Wersja: 3.1, 2006.03.22
ZAJĘCIA 6 - ZAKRES PRAC I MATERIAŁY POMOCNICZE
ZAKRES PRAC
1. Rejestr systemu Windows Server 2003
1.1. Przeznaczenie i budowa Rejestru
1.2. Wartości w Rejestrze
1.3. Klucze główne Rejestru i reprezentacja Rejestru na dysku
1.4. Odczyt i modyfikacja zawartości Rejestru
1.5. Edytor Rejestru: regedit
1.6. Polecenie reg – narzędzie wiersza poleceń
1.7. Rozmiar Rejestru i jego porządkowanie
1.8. Ochrona dostępu do Rejestru
1.9. Kopie zapasowe Rejestru
1.10. Dodatkowe narzędzia do pracy z Rejestrem
Liczba ćwiczeń: 15
MATERIAŁY POMOCNICZE
1 Rejestr systemu Windows Server 2003
1.1 Przeznaczenie i budowa Rejestru
•
Rejestr jest zunifikowaną bazą danych konfiguracyjnych Windows Server 2003: obejmuje informacje
dotyczące sprzętu, oprogramowania i użytkowników. Informacje te są wykorzystywane przez jądro
systemu Windows Server 2003, programy obsługi urządzeń, programy instalacyjne, profile sprzętowe,
profile użytkowników.
Organizacja i obsługa Rejestru Windows Server 2003 są wzorowane na Rejestrze Windows NT 4.0/2000
•
Rejestr ma budowę hierarchiczną podobną do struktury katalogów i plików na dysku. Składa się z
poddrzew, umieszczonych w nich kluczy i podkluczy oraz wartości przypisanych kluczom i podkluczom.
Na najwyższym poziomie organizacji Rejestru znajdują się poddrzewa (inaczej: klucze poddrzew
nazywane też kluczami głównymi), które są jakby odpowiednikami głównych katalogów na oddzielnych
dyskach. W poddrzewie umieszczone są klucze i podklucze, będące odpowiednikami katalogów i
podkatalogów. Klucze lub podklucze mogą mieć przypisaną jedną lub więcej wartości. Taka wartość jest
odpowiednikiem pliku w systemie plików.
•
Małe i duże litery w nazwach kluczy oraz wartości nie są rozróżniane, ale zalecane jest stosowanie się do
sposobu zapisu tych nazw podawanego przez Microsoft w dokumentacjach Rejestru.
1.2 Wartości w Rejestrze
•
Wartość przypisana kluczowi (nazywana też czasem parametrem klucza lub wpisem) charakteryzuje się
trzema atrybutami: nazwą wartości, typem danych oraz daną (czyli wartością nadaną wartości klucza). Jest
pięć najważniejszych typów danych (REG_DWORD, REG_SZ, REG_EXPAND_SZ, REG_BINARY,
REG_MULTI_SZ
). W zapisie wartości przypisanych do klucza stosuje się notację, w której poszczególne
atrybuty są rozdzielone symbolem dwukropka. Dla przykładu wartość
Shell:REG_SZ:Explorer.exe
oznacza wartość o nazwie Shell, typie danych REG_SZ, danej w
postaci ciągu znaków Explorer.exe
Laboratorium Windows Server 2003
(P.Kowalski, A.Skirmunt)
WSISiZ
1
Wersja: 3.1, 2006.03.22
1.3 Klucze
główne Rejestru i reprezentacja Rejestru na dysku
Dodatkowe informacje na temat kluczy głównych można znaleźć w pliku klucze.doc.
•
W Rejestrze jest pięć predefiniowanych poddrzew (kluczy głównych):
HKEY_LOCAL_MACHINE
– zawiera dane konfiguracyjne lokalnego systemu
HKEY_USERS
– dane konfiguracyjne dla domyślnego użytkownika (w podkluczu .DEFAULT) oraz dla
bieżąco zalogowanego użytkownika
HKEY_CURRENT_USER
– zawiera dane o użytkowniku bieżąco zalogowanym w trybie interakcyjnym.
Kopia danych tego typu (czyli profil użytkownika), dla każdego konta, które zostało użyte do zalogowania
się na tym komputerze jest przechowywana w pliku Ntuser.dat w katalogu przeznaczonym na profil
użytkownika.
HKEY_CLASSES_ROOT
– definiuje typy plików i klas OLE znanych systemowi
HKEY_CURRENT_CONFIG
– zawiera dane o aktualnej konfiguracji systemu zawarte w aktualnie
używanym profilu sprzętowym
•
Najważniejsze są dwa pierwsze poddrzewa: HKEY_LOCAL_MACHINE i HKEY_USERS, następne trzy
zawierają w istocie wskaźniki na odpowiednie podklucze w tych dwóch.
•
Hive (dosłownie: ul) jest zestawem kluczy, podkluczy i wartości, które mają swoją reprezentację w postaci
plików binarnych przechowywanych w katalogu %systemroot%\system32\config. Jest pięć takich uli:
Default, SAM, Security, Software, System. Stanowią więc one reprezentację Rejestru na dysku.
1.4 Odczyt i modyfikacja zawartości Rejestru
•
Informacje przechowywane w Rejestrze najlepiej jest wyświetlać w czytelnej postaci za pomocą
odpowiednich narzędzi systemu Windows Server 2003 takich jak Control Panel, polecenie net, konsole
MMC służące do administrowania systemem, czy polecenia informacyjne np. System Information
(Accessories – System Tools – System Information, lub samodzielnie jako msinfo32.exe).
•
Modyfikacje zawartości Rejestru najlepiej jest wykonywać za pomocą:
- programów instalacyjnych
- Control Panel
- narzędzi do konfiguracji zasad grup i zabezpieczeń systemowych (Group Policy, Local Security Policy)
- programów do administrowania systemem (Administrative Tools, Administration Support Tools)
- skryptów WSH (metody: RegDelete, RegRead, RegWrite)
- użyciem mechanizmu WMI w skryptach lub polecenia wmic
- narzędzi dodatkowych takich jak Xteq-dotec X-Setup Pro
- jako ostatnie, najmocniejsze ale i potencjalnie najbardziej niebezpieczne narzędzie pozostaje edytor
Rejestru lub jego odpowiednik działający w wierszu poleceń
1.5 Edytor
Rejestru
•
Windows Server 2003 udostępnia jeden edytor Rejestru o nazwie regedit Jego możliwości są
połączeniem cech dwóch edytorów Rejestru używanych w systemie Windows 2000 tzn. edytora regedit i
regedt32.
(Porównanie cech tych dwóch edytorów jest zawarte w pliku Edytory-Rejestru-Win2k.doc)
•
Posługując się edytorem Rejestru trzeba zachować ostrożność, gdyż zmiany w Rejestrze są
natychmiastowe i nie ma polecenia cofnięcia zmian. Edytor Rejestru nie oferuje również żadnych
mechanizmów kontroli dopuszczalnego zakresu wprowadzanych danych w wartościach Rejestru ani
weryfikacji nazw definiowanych kluczy i wartości. Microsoft ostrzega, że nieprawidłowe stosowanie
edytora Rejestru może spowodować poważne problemy dotyczące całego systemu, co w konsekwencji może
prowadzić do konieczności zainstalowania Windows Server 2003 od nowa.
•
Edytor regedit posiada następujące możliwości działania i cechy:
Dodawanie, usuwanie, modyfikacja kluczy i wartości (w tym danych binarnych)
Przeszukiwanie wg. klucza, wartości i danych
Obsługa głównych typów danych
Laboratorium Windows Server 2003
(P.Kowalski, A.Skirmunt)
WSISiZ
2
Wersja: 3.1, 2006.03.22
Zmiana nazwy klucza i wartości; kopiowanie nazwy klucza
Zapis części lub całości Rejestru do plików (pliki binarne, pliku .reg) i odczyt z takich
plików
Załadowanie lub zwolnienie (Load/Unload) części Rejestru, przechowywanej w pliku
Import i eksport (w różnych formatach) z wiersza poleceń
Auto odświeżanie (wartości)
Rozpoczynanie pracy z ostatnio używanym kluczem
Wydruk zawartości Rejestru; menu Ulubione (Favorites)
Administracja bezpieczeństwem Rejestru (uprawnienia dostępu, własność kluczy, inspekcja)
Praca ze zdalnym Rejestrem
1.6 Polecenie reg – narzędzie wiersza poleceń
•
Polecenie reg jest standardowym poleceniem systemu Windows Server 2003 (w Windows 2000 jest ono
dostępne w zestawie Windows 2000 Support Tools) służącym do wykonywania z wiersza poleceń operacji
na Rejestrze lokalnego komputera oraz (niektórych operacji) na Rejestrze zdalnego komputera.
•
Operacje realizowane za pomocą reg:
- odpytywanie (odczyt) (query),
- dodawanie lub usuwanie kluczy i wartości, nazywanych tu: wpisami (entries) (add, delete)
- eksport, import zawartości z plików .reg (export, import)
- kopia zapasowa, odtwarzanie zawartości z plików .hiv (save, restore)
- załadowanie, zwolnienie gałęzi Rejestru (load, unload)
- porównywanie kluczy i wpisów (compare)
- kopiowanie kluczy i wpisów (copy)
1.7 Rozmiar Rejestru i jego porządkowanie
•
W systemie Windows Server 2003 nie ma już jawnie zdefiniowanych ograniczeń na całkowitą wielkość
miejsca, która może być zajęta przez hives Rejestru w tzw. stronicowanym obszarze pamięci (paged pool
memory) ani na dysku. Jedynie rozmiar System hive jest ograniczony przez wielkość pamięci fizycznej.
(W systemie Windows 2000 dopuszczalny rozmiar Rejestru (Registry Size Limit, RSL) wynosi od 4MB do
80% tzw. PagedPoolSize.)
•
Zbędne i niepoprawne pozycje w Rejestrze można usunąć przy pomocy programu regclean bezpłatnie
udostępnionego przez Microsoft. Przyjmuje się, że z systemem Windows 2000 oraz NT 4.0 SP5+ jest
zgodna wersja 4.1a, Build 7364.1 programu regclean. Tego programu nie ma jednak już na stronach
Microsofta
•
Znacznie większe możliwości porządkowania Rejestru daje bezpłatny program RegCleaner, przeznaczony
dla różnych wersji systemów Windows (9x/Me, NT/2000/XP/2003) opracowany poza firmą Microsoft.
Do tego celu można także używać odpłatnych narzędzi takich jak RegSupreme czy Registry Mechanic.
1.8 Ochrona
dostępu do Rejestru
•
Klucze Rejestru mają swojego właściciela oraz chronione są uprawnieniami dostępu (permissions) w
analogiczny sposób jak pliki i katalogi w NTFS (choć uprawnienia dostępu są inne). Dla poszczególnych
kluczy Rejestru można uruchomić mechanizm inspekcji (audit). Obsługa tych zabezpieczeń jest
realizowana w edytorze regedit, w menu Edit – Permissions .
•
Można ograniczyć użytkownikom zdalny dostęp do Rejestru z innych komputerów oraz możliwość
interakcyjnego korzystania z edytora Rejestru przez lokalnych użytkowników
Laboratorium Windows Server 2003
(P.Kowalski, A.Skirmunt)
WSISiZ
3
Wersja: 3.1, 2006.03.22
1.9 Kopie zapasowe Rejestru i odtwarzanie Rejestru
•
Kopie zapasowe Rejestru mogą obejmować wybrane klucze Rejestru lub jego całość. Zalecane jest
regularne wykonywanie kopii zapasowych Rejestru oraz wykonywanie ich przed dokonaniem edycji
Rejestru lub instalacjami sprzętu lub oprogramowania.
•
Polecenie Backup (Accessories – System Tools – Backup) udostępnia opcję tworzenia kopii zapasowej
Rejestru (w ramach tzw. System State Data) i jej odtwarzania. Wykonywanie kopii zapasowej stanu
systemu (System State) powoduje też aktualizację kopii plików Rejestru przechowywanych w katalogu
%SystemRoot%\Repair, które mogą być przydatne w ręcznych metodach odtwarzania Rejestru
•
Edytor Rejestru regedit oferuje możliwość zapisania w pliku części (lub całości) Rejestru i odtwarzania z
takiego pliku, w szczególności oferuje możliwość eksportowania oraz importowania kluczy Rejestru
poprzez pliki .reg
(Microsoft zaleca jednak, aby w przypadku konieczności wykonania kopii zapasowej całego hive Rejestru,
nie stosować metody eksportu/importu, tylko wykonać kopię zapasową całości Rejestru (KB 322756))
•
Narzędzie wiersza poleceń do pracy z Rejestrem, polecenie reg, pozwala na wykonanie kopii zapasowej i
odtworzenie części Rejestru.
•
Ręczne kopiowanie plików Rejestru: należy skopiować pliki Rejestru znajdujące się w katalogu
%systemroot%\system32\config . Ze wzgl. na to, że podczas działania systemu pliki te są cały czas otwarte
i w użyciu co uniemożliwia ich skopiowanie, należy taką operację wykonać posługując się innym
zainstalowanym systemem operacyjnym lub narzędziem/środowiskiem zewnętrznym (np. uruchamianym z
CD-ROM środowiskiem typu Preinstalled Environment) oferującym dostęp do tego systemu plików
gdzie przechowywane są pliki Rejestru. Ręczne odtworzenie Rejestru wymaga wtedy skorzystania z
podobnej metody.
•
Inne metody: a) zaawansowane opcje uruchamiania systemu (klawisz [F8] podczas startu) i wybranie Last
Known Good Configuration daje ograniczone możliwości odtworzenia ustawień Rejestru tzn. ustawień
tylko dla klucza HKLM\SYSTEM\CurrentControlSet związanego z konfiguracją sprzętową
komputera.
b) Mechanizm Automated System Recovery (ASR) odtwarzania działania całego systemu.
1.10 Dodatkowe narzędzia do pracy z Rejestrem
•
Windows 2000 Resource Kit zawiera szereg dodatkowych narzędzi do obsługi Rejestru:
- RegEntry.chm najbardziej kompletny opis (w formie pliku przeglądanego przez Help) kluczy i wartości
Rejestru, także tych, które standardowo nie występują w Rejestrze
- polecenia regback i regrest służące do robienia kopii zapasowej i odtwarzania Rejestru
- polecenia scanreg do przeszukiwania oraz regfind do przeszukiwania i zastępowania łańcuchów w
Rejestrze
- polecenie regdmp służące do uzyskania zawartości Rejestru na ekranie, w pliku lub na drukarce
- polecenie dureg do znajdowania rozmiaru Rejestru, kluczy głównych lub innych kluczy
Wszystkie te polecenia działają w wierszu poleceń.
•
W systemie Windows Server 2003 aspekty użytkowe poleceń regback, regrest, regdmp oraz regfind
zostały zintegrowane z poleceniem reg (na podstawie: Windows Resource Kit Tools Read Me)
•
Obszerna dokumentacja Microsoft Windows Server 2003 Deployment Kit (4000 stron, 6 tomów, 3 CD-
ROM-y) obejmuje m.in. Registry Reference for Windows Server 2003 czyli techniczny podręcznik
referencyjny (z możliwością przeszukiwania) zawierający drobiazgowy opis wybranych części Rejestru
systemu Windows Server 2003 – z uwzględnieniem wielu wartości (wpisów) Rejestru, które mogą być
definiowane tylko za pomocą edytora Rejestru – oraz opisuje metody wykonywania kopii zapasowych i
odtwarzania Rejestru a także zalecenia dotyczące edycji Rejestru.
Microsoft Windows Server 2003 Resource Kit wydany w maju 2005r. (5000 stron, 7 tomów, 1 CD-ROM)
zawiera m.in. Microsoft Windows Registry Guide, sec. ed.
Laboratorium Windows Server 2003
(P.Kowalski, A.Skirmunt)
WSISiZ
4
Wersja: 3.1, 2006.03.22
ZAJĘCIA 6 - ĆWICZENIA
Ćwiczenie 1 (Przygotowania)
1. Zalogować się jako Administrator w Windows Server 2003 Instalacja standardowa.
2. Z zasobów WS2003Lab skopiować do katalogu głównego lokalnego dysku cały folder lab2006\zaj6
z zachowaniem jego nazwy zaj6.
3. Założyć konto użytkownika o nazwie ntrej, z hasłem ntrej, mającym katalog osobisty d:\ntrej. Zrezygnować z
wymogu: User must change password at next logon.
Użytkownik ntrej ma należeć do grupy Users.
Zalogować się jako użytkownik ntrej, sprawdzić powstanie katalogu d:\ntrej, oraz upewnić się, że ten katalog
ma zdefiniowane uprawnienie dostępu Full Control dla grupy Administrators oraz użytkownika ntrej oraz nie
ma zdefiniowanych uprawnień dostępu dla grupy Everyone.
Ćwiczenie 2 (Wyeksportowanie kluczy przed ich modyfikacją w dalszych ćwiczeniach)
Domyślny sposób eksportowania kluczy z edytora regedit do plików tekstowych *.reg czyli eksport w standardzie
Registry Editor Version 5.00 powoduje, że niektóre ważne narzędzia do przetwarzania plików tekstowych
(np. findstr ) nie działają poprawnie.
Przyczyną w/w problemu jest zapisywanie plików tekstowych w standardzie Unicode. Z taką postacią plików radzą
sobie inne polecenia Windows Server 2003 tzn. find oraz fc (z opcją /U).
1. Zalogować się jako Administrator. Uruchomić edytor Rejestru, program regedit (Start – Run lub w oknie
wiersza poleceń).
Wyeksportować do pliku klucz HKEY_LOCAL_MACHINE\SOFTWARE w następujący sposób: w oknie
programu regedit zaznaczyć (podświetlić) w/w klucz, wybrać w menu File pozycję Export..., w polu Save in
wybrać d:\ntrej, w polu File name wpisać nazwę szXXX.hklm.software, (gdzie szXXX oznacza używany
komputer), w polu Save as type zostawić domyślną wartość Registration Files (*.reg), natomiast w rubryce
Export range powinno być zaznaczone Selected branch oraz wpisane
HKEY_LOCAL_MACHINE\SOFTWARE
, nacisnąć przycisk Save. W efekcie powinien powstać plik
d:\ntrej\szXXX.hklm.software.reg (zostanie automatycznie dołożone rozszerzenie .reg).
Innym sposobem eksportowania kluczy jest ich zapisywanie w binarnych plikach, nazywanych plikami hive. W
niektórych sytuacjach odtwarzanie zawartości Rejestru z takich plików jest skuteczniejsze niż odtwarzanie z
plików tekstowych *.reg.
2. Wyeksportować do pliku binarnego d:\ntrej\szXXX.hku.default.hiv klucz HKEY_USERS\.DEFAULT,
postępując jak w p. 1), za wyjątkiem określenia typu pliku, tzn. w polu Save as type wybrać Registry Hive
Files (*.*) a w polu File name jawnie wpisać pełną nazwę pliku łącznie z rozszerzeniem .hiv.
Zakończyć pracę z edytorem Rejestru regedit.
Ćwiczenie 3 (Wyszukiwanie informacji w Rejestrze)
1. Pracując jako Administrator, uruchomić z okna wiersza poleceń edytor Rejestru regedit. Posługując się nim w
sposób opisany niżej, odnaleźć klucz(-e) o nazwie CentralProcessor w poddrzewie Rejestru
HKEY_LOCAL_MACHINE
(w skrócie HKLM):
W edytorze regedit zaznaczyć poddrzewo HKLM, wybrać menu Edit – Find... (lub nacisnąć [Ctrl+F]),
w polu Find what wpisać CentralProcessor, w rubryce Look at zaznaczyć tylko Keys, oraz zaznaczyć Match
whole string only, po czym nacisnąć przycisk Find Next. Kolejne wystąpienia poszukiwane są po wybraniu
Edit – Find Next (lub naciśnięciu klawisza [F3]).
2. Używając regedit, w poddrzewie HKLM wykonać poszukiwanie wartości (wpisu) o nazwie Hostname (w polu
Find what wpisać Hostname, w rubryce Look at zaznaczyć jedynie Values, zaznaczyć Match whole string
Laboratorium Windows Server 2003
(P.Kowalski, A.Skirmunt)
WSISiZ
5
Wersja: 3.1, 2006.03.22
only, ponawiać poszukiwania klawiszem [F3]).
Powtórzyć takie poszukiwania bez zaznaczania opcji Match whole string only (powinno być znalezionych
więcej elementów).
3. Używając regedit odnaleźć w poddrzewie HKLM dane przypisane wartościom kluczy (czyli wartości
przypisane wartościom kluczy) odpowiadające nazwie używanego komputera szXXX (w polu Find what
wpisać szXXX, w rubryce Look at zaznaczyć jedynie Data, zaznaczyć Match whole string only, ponawiać
poszukiwania klawiszem [F3])
Powtórzyć takie poszukiwania bez zaznaczania opcji Match whole string only.
4. Informacje przechowywane w Rejestrze mogą być zapisane do plików tekstowych, co pozwala m.in. na
wykonanie poszukiwań poprzez przejrzenie takiego pliku. Pliki tekstowe utworzone przez regedit mogą także
posłużyć do zmodyfikowania zawartości Rejestru dzięki użyciu operacji importowania (por. Ćw 5, 11, 15).
a) Używając regedit, odpowiedni plik tekstowy tworzony jest poleceniem File – Export... jak w p.1 Ćw.2.
Wyeksportować klucz główny (poddrzewo) HKLM do pliku d:\ntrej\r.reg
b) Używając regedit, można operacją eksportu utworzyć plik tekstowy zgodny z wymogami Rejestru starszych
systemów Windows, czyli plik w tzw. standardzie REGEDIT4.
Wyeksportować klucz główny (poddrzewo) HKLM do pliku d:\ntrej\r-nt4.reg w sposób jak w p. a) lecz w polu
określającym typ pliku, tzn. w polu Save as type wybrać Win9x/NT4 Registration Files (*.reg).
5. Największe możliwości przeszukania plików tekstowych uzyskuje się w Windows Server 2003 za pomocą
polecenia findstr (podpowiedź: findstr /?). Aby odnaleźć wiersze pliku tekstowego zawierające napis
CentralProcessor lub Hostname lub szXXX należy wydać w oknie wiersza poleceń następujące polecenie:
findstr /N "CentralProcessor Hostname szXXX" nazwa-pliku
Wykonać to dla pliku tekstowego otrzymanego w p. 4b) po eksporcie w standardzie REGEDIT4 tzn. dla pliku
d:\ntrej\r-nt4.reg
Polecenie findstr nie obsługuje prawidłowo plików tekstowych Unicode. Dlatego, aby zastosować to
polecenie do pliku eksportu d:\ntrej\r.reg otrzymanego w p. 4a) należy posłużyć się obejściem polegającym na
użyciu potoku poleceń wykorzystującego polecenie type, które (przy domyślnych opcjach pracy interpretera
CMD.EXE) dokonuje automatycznej konwersji pliku Unicode na plik ASCII np.:
type d:\ntrej\r.reg |
findstr /N "CentralProcessor Hostname szXXX"
Ćwiczenie 4 (Odnajdowanie zmian w Rejestrze)
Jednym ze sposobów sprawdzania jakie zmiany zaszły w Rejestrze, jest porównywanie jego zawartości zapisanej w
plikach tekstowych przed i po wprowadzeniu zmian. W ćwiczeniu odnajdowane będą modyfikacje klucza
HKEY_USERS\.DEFAULT
(w skrócie HKU\.DEFAULT)
1. Pracując jako Administrator uruchomić edytor regedit i posługując się nim zapisać do pliku
d:\ntrej\a-przed.reg zawartość klucza HKU\.DEFAULT.
2. Używając edytora regedit przejść do podklucza HKU\.DEFAULT\Control Panel\Desktop. Zmienić
w nim wartość o nazwie Wallpaper z (None) – lub innej, aktualnie obowiązującej – na
d:\windows\greenstone.bmp (ta wartość określa tapetę wyświetlaną na ekranie zanim zaloguje się jakiś
użytkownik) zaznaczając tę wartość w prawym okienku, po czym dwukrotnie klikając na niej lub wybierając
Edit – Modify, pojawi się wtedy okienko Edit string, wpisując nową wartość w polu Value data i naciskając
przycisk OK.
3. Używając regedit zapisać klucz HKU\.DEFAULT w pliku d:\ntrej\a-po.reg.
4. Porównywanie plików tekstowych wykonuje się w Windows Server 2003 poleceniem fc (podpowiedź fc /?).
Aby porównać dwa pliki tekstowe plik1 i plik2 , zapisane w standardzie Unicode, wyświetlając różniące je
wiersze wraz z numerami takich wierszy, trzeba wykonać w oknie wiersza poleceń polecenie:
fc /U /L /N plik1 plik2 | more
Laboratorium Windows Server 2003
(P.Kowalski, A.Skirmunt)
WSISiZ
6
Wersja: 3.1, 2006.03.22
Porównać w ten sposób parę utworzonych w tym ćwiczeniu plików tzn.: d:\ntrej\a-przed.reg i d:\ntrej\a-
po.reg.
Powinny być wyświetlone różnice w ustawieniu wartości Wallpaper.
5. [Dodatkowe] Do porównywania plików tekstowych można też wykorzystać okienkowe polecenie windiff
dostępne w zestawie Windows Server 2003 Support Tools. Dla potrzeb tych zajęć zostało ono umieszczone w
katalogu \zaj6\tools.
Uruchomić to polecenie w celu porównania zawartości obydwu plików:
\zaj6\tools\windiff d:\ntrej\a-przed.reg d:\ntrej\a-po.reg
Powinny być wyświetlone różnice, sygnalizowane odpowiednimi kolorami, w ustawieniu wartości
Wallpaper
.
Ćwiczenie 5 (Modyfikacja Rejestru w trybie wsadowym, z podglądem na bieżąco)
Edytor regedit może być użyty do wprowadzania modyfikacji w Rejestrze na podstawie definicji umieszczonych w
pliku tekstowym (*.reg), oraz obsługuje automatyczne odświeżanie wyświetlania wartości lokalnego Rejestru.
1. Pracując jako Administrator obejrzeć w Notepad zawartość pliku \zaj6\PlainPassword.reg -- zawiera on
definicję wartości o nazwie EnablePlainTextPassword w podkluczu
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxSmb\Parameters
, który
decyduje o tym, czy Windows Server 2003 prześle (jeśli zażąda tego serwer SMB) w sieci hasło w formie
czystego tekstu (gdy równe 1) czy jedynie w postaci zaszyfrowanej (gdy 0).
Skopiować ten plik dwa razy: raz do d:\ntrej\pass0.reg drugi raz jako d:\ntrej\pass1.reg. Zmodyfikować za
pomocą notepada plik pass0.reg, aby dana miała postać 00000000, natomiast pass1.reg ma zawierać daną w
postaci 00000001.
2. Uruchomić edytor regedit, oraz ustawić się na wyświetlanie podanego wyżej podklucza.
3. Otworzyć okno wiersza poleceń tak, aby nie zasłaniać okna regedit. Wydać w nim polecenie regedit /s
d:\ntrej\pass0.reg
i zaobserwować w oknie edytora regedit zmianę danej dla wartości
EnablePlainTextPassword
. Wydać polecenie regedit /s d:\ntrej\pass1.reg
i ponownie zaobserwować zmianę w oknie regedit.
(Opcja /s w regedit powoduje, że nie jest wyświetlane okienko potwierdzające wprowadzenie informacji do
Rejestru)
Ćwiczenie 6 [Dodatkowe] (Modyfikacja Rejestru – uzupełnianie nazw plików)
1. Zalogować się jako ntrej. Niżej opisana modyfikacja Rejestru daje taki sam efekt jak domyślnie obowiązujące
zaznaczenie opcji AutoComplete w ustawieniach Defaults okna wiersza poleceń (zakładka Options, rubryka
Edit Options). Jeśli jest zaznaczona opcja AutoComplete to wyłączyć ją.
W systemie Windows 2000 nie ma opcji AutoComplete.
Następnie używając edytora regedit, zmodyfikować w podkluczu
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Command Processor
, wartość o nazwie
CompletionChar
, zmieniając daną przypisaną tej wartości z 0 (lub 20) na 9 (tzn. kod ASCII znaku tabulacji
poziomej). Zamknąć edytor Rejestru.
2. Wylogować się i zalogować ponownie jako ntrej. Otworzyć okno wiersza poleceń i wydać w nim polecenie:
cd \Win[TAB]\s[TAB]\dr[TAB]
, gdzie celem jest dotarcie do katalogu d:\Windows\system32\drivers,
zaś [TAB] oznacza naciśnięcie klawisza tabulacji. Czasami naciśnięcie klawisza [TAB] trzeba ponawiać, jeśli
początek nazwy pliku czy katalogu pasuje do kilku nazw, np. s[TAB] pasuje do system i system32.
W podobny sposób wyświetlić zawartość katalogu d:\Documents and Settings\ntrej, wydając polecenie
dir \Do[TAB]\nt[TAB]
Laboratorium Windows Server 2003
(P.Kowalski, A.Skirmunt)
WSISiZ
7
Wersja: 3.1, 2006.03.22
Ćwiczenie 7 (Modyfikacja Rejestru – indywidualne komunikaty logowania)
1. Pracując jako Administrator, uruchomić regedit i w kluczu
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
,
zmodyfikowac dwie wartości. Wartość LegalNoticeCaption określa tytuł dodatkowego okna
(wpisujemy tu: Powitanie na szXXX) w którym będzie wyświetlony komunikat, natomiast
LegalNoticeText
określa treść tego komunikatu, czyli zawartość dodatkowego okna (wpisujemy tu np.:
Ten komputer szkoleniowy nalezy do WSISIZ).
2. Zakończyć pracę z edytorem Rejestru, wylogować się z systemu, w razie potrzeby nacisnąć [Ctrl+Alt+Del] i
przed wyświetleniem okna logowania powinno pojawić się dodatkowe okno ze zdefiniowanym uprzednio
komunikatem.
Ćwiczenie 8 (Zdalna praca z Rejestrem)
Edytor Rejestru pozwala na oglądanie i modyfikowanie zawartości Rejestru na zdalnym komputerze.
(Istnieje także możliwość ograniczenia zdalnego dostępu do Rejestru)
Przykładowe modyfikacje w tym ćwiczeniu mają za zadanie wyświetlić w górnej części okna logowania
przywitanie zawierające nazwę komputera.
1. Pracując jako Administrator, uruchomić edytor regedit. Standardowo w węźle o nazwie My Computer,
wyświetla on zawartość lokalnego Rejestru.
Do zdalnego Rejestru sięga się poprzez menu File – Connect Network Registry.... Wybrać komputer innego
użytkownika na sali (uzgadniając to z nim) i w polu Enter the object name to select okienka Select
Computer wpisać jego nazwę szYYY (można też w formie \\szYYY , lub naciskając przycisk Advanced... a
potem Find Now wybrać ze spisu) i nacisnąć OK.
W oknie edytora regedit powinien pojawić się węzeł o nazwie szYYY .
2. Modyfikacje wykonywane są na podkluczu
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
.
Podświetlić (zaznaczyć) ten klucz w Rejestrze zdalnego komputera.
Dodać nową wartość (lub tylko zmodyfikować jeśli już istnieje) używając Edit – New – String Value, (czyli
wartość o typie danych REG_SZ), o nazwie LogonPrompt.
Zmodyfikować tę wartość podświetlając ją i wybierając Edit – Modify lub dwukrotnie klikając. W rubryce
Value data: wpisać daną w postaci napisu Welcome to szYYY.wsisiz.edu.pl.
Odłączyć połączenie do Rejestru na zdalnym komputerze szYYY (File – Disconnect Network Registry...).
Zakończyć pracę z regedit.
(Uwaga: dodawanie, usuwanie i modyfikację klucza lub wartości można także wykonywać po zaznaczeniu
takiego elementu i wybraniu stosownej czynności z menu kontekstowego wyświetlanego po naciśnięciu
prawego przycisku myszy.)
3. Poprosić użytkownika komputera szYYY aby zakończył sesję i wylogował się. Po naciśnięciu [Ctrl+Alt+Del] i
wyświetleniu się okna logowania na szYYY, zaobserwować, że w górnej części pojawił się komunikat
powitalny z nazwą komputera szYYY (czyli Welcome to ...).
Nie wszystkie modyfikacje wykonane na zdalnym (i lokalnym) Rejestrze odniosą bezpośredni skutek. Na przykład
próba zmodyfikowania wpisów w Rejestrze odpowiadających za dostępność przycisku Shutdown... lub
wyświetlanie nazwy ostatnio zalogowanego użytkownika nie odniesie skutku w Windows Server 2003. Wynika to
z faktu, że aspektami bezpieczeństwa systemu rządzą tzw. Zasady Grup (Group Policy), które w systemie Windows
Server 2003 są ustawiane m.in. przez Administrative Tools – Local Security Policy. Ustawienia przyjęte w
zasadach grup przesłaniają ustawienia zapisane w Rejestrze.
Ćwiczenie 9 (Modyfikacja Rejestru – zmiana używanego shella)
Laboratorium Windows Server 2003
(P.Kowalski, A.Skirmunt)
WSISiZ
8
Wersja: 3.1, 2006.03.22
W momencie rozpoczynania sesji przez użytkownika, uruchamiany jest przydzielony mu shell (powłoka) .
Standardowo jest nim Explorer, łącznie z paskiem zadań i pulpitem z zawartością. Ten shell można jednak zmienić
np. na shell wzorowany na graficznych środowiskach systemu UNIX (LiteStep naśladujący AfterStep, evwm
naśladujący fvwm itd.) dostępny w Internecie (Replace the Shell, http://shellcity.net). Można tez wykorzystać
istniejące w Windows Server 2003 inne narzędzia do takiej podmiany.
1. (Zmiana globalna) Pracując jako Administrator zmienić w kluczu
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
,
wartość o nazwie Shell, z Explorer.exe na pusty ciąg znaków. Wylogować się i zalogować kolejno jako ntrej
i Administrator. Po rozpoczęciu sesji powinien zostać "pusty" ekran.
Aby naprawić sytuację pracując jako Administrator nacisnąć [Ctrl+Alt+Del], wybrać Task Manager, kartę
Applications, przycisk New Task... (lub w menu File, pozycję New task (Run..) ) i w polu Open wpisać
regedit.
Przywrócić ustawienie explorer.exe dla wartości Shell powyższego klucza.
2. (Zmiana indywidualna) Zalogować się jako ntrej, uruchomić regedit dodać nową wartość o nazwie Shell,
typie danych REG_SZ (czyli String Value), i danej cmd.exe w kluczu
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
.
Wylogować się i zalogowac ponownie jako ntrej – uruchomionym programem startowym powinno być okno
wiersza poleceń.
Ćwiczenie 10 (Ograniczanie modyfikacji Rejestru i zmiana ustawień użytkownika w Rejestrze)
1. (Zabronienie użytkownikowi korzystania z narzędzi do obsługi Rejestru) Zalogować się jako
Administrator. Uruchomić edytor regedit. Podświetlić klucz główny HKEY_USERS. W menu File wybrać
Load Hive..., i jako plik podać ntuser.dat w d:\Documents and Settings\ntrej oraz nacisnąć Open.
W polu Key Name wpisać nazwę nowego klucza np. ntrej (może być inna, nie związana z użytkownikiem,
np. nowy123).
W powstałym kluczu ntrej, wyszukać podklucz
\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
Jeśli nie istnieje w nim podklucz
System
, to należy go utworzyć (Edit – New – Key). W podkluczu System utworzyć (lub zmienić) wartość
o nazwie DisableRegistryTools, typ REG_DWORD (Edit – New – DWORD Value) i ustawić ją na 1.
Zaznaczyć klucz HKEY_USERS\ntrej i z menu File wykonać Unload Hive...
2. Zalogować się jako ntrej, powinno uruchomić się okno wiersza poleceń. Spróbować uruchomić regedit – ta
próba powinna być odrzucona, co jest sygnalizowane komunikatem Registry editing has been disabled by your
administrator.
(Uwaga: również próba użycia polecenia reg opisanego w Ćw. 12 nie powinna się udać)
3. Zalogować się jako Administrator, uruchomić regedit. Podświetlić poddrzewo HKEY_USERS, wykonać File –
Load Hive.. i załadować zawartość pliku D:\Documents and Settings\ntrej\NTUSER.DAT pod nazwę nowego
klucza ntrej jak w punkcie 1 tego Ćwiczenia.
Zmienić wartość Shell z cmd.exe na explorer.exe w podkluczu
HKEY_USERS\ntrej\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Zaznaczyć klucz HKEY_USERS\ntrej, wykonać File – Unload Hive.., zamknąć regedit.
Po zalogowaniu jako ntrej, powinna wystartować standardowa sesja Windows Server 2003 z Explorerem.
Ćwiczenie 11 [Dodatkowe] (Porządkowanie Rejestru – program RegCleaner)
1. Zalogować się jako Administrator. Zainstalować program RegCleaner (wersja 4.3) używając pliku
\zaj6\clean\RegCleaner.exe, wybierając typ instalacji Normal oraz jako katalog instalacyjny domyślnie
proponowany D:\Program Files\RegCleaner.
Na pulpicie powinna pojawić się ikona skrótu do programu RegCleaner.
Laboratorium Windows Server 2003
(P.Kowalski, A.Skirmunt)
WSISiZ
9
Wersja: 3.1, 2006.03.22
2. Uruchomić program RegCleaner. Oferuje on rozbudowane możliwości usuwania wpisów w Rejestrze w
oparciu o zakładki Software, Startup List, Uninstall Menu, File Types, New File i Shell Extensions jeśli
użytkownik wie co chciałby usunąć (ew. odinstalować).
Jest tez możliwość automatycznego porządkowania Rejestru. W menu Tools wybrać Registry Cleanup –
Automatic Registry cleaner. Po chwili powinien być wyświetlony spis zbędnej zawartości Rejestru.
Przejrzeć ten spis po czym zaznaczyć wszystkie jego pozycje i nacisnąć przycisk Remove Selected (w
prawym dolnym rogu). Następnie nacisnąć przycisk Done.
Ponownie wykonać operacje automatycznego porządkowania Rejestru (Tools – Registry Cleanup –
Automatic Registry cleaner). Tym razem spis pozycji do usunięcia powinien być pusty.
3. W podkatalogu Backups katalogu instalacyjnego programu RegCleaner powinien pojawić się plik
yyyy.mm.dd.hh.mm.ss.ZZZZ.reg
, który umożliwia przywrócenie Rejestru do stanu sprzed przebiegu
RegCleaner (nazwa pliku może mieć inną postać, ze wzgl. na sposób kodowania daty).
Zajrzeć do tego pliku wybierając Edit z jego menu kontekstowego.
Przywrócić poprzedni stan Rejestru zaznaczając w zakładce Backups programu RegCleaner plik utworzony w
p.2 tego Ćwiczenia i naciskając przycisk Restore Backup
(Inny sposób to: pracując w Explorerze, klikając dwukrotnie na tym pliku, można przywrócić poprzedni stan
Rejestru.)
4. Odinstalować program RegCleaner wybierajac w zakładce Options – RegCleaner pozycję Unistall
RegCleaner.
Ćwiczenie 12 (Polecenie reg – praca z Rejestrem w wierszu polecenia)
Celem ćwiczenia jest takie zmodyfkowanie Rejestru, aby w menu kontekstowym foldera przeglądanego za pomocą
Explorera była dostępna opcja uruchamianie okna wiersza polecenia w tym folderze (taka możliwość jest znana
zwykle pod nazwą CMD Here).
Modyfikacje będą dotyczyć klucza HKEY_CLASSES_ROOT\Folder\shell (czyli w notacji polecenia reg
klucza HKCR\Folder\shell).
1. Pracując jako Administrator otworzyć okno wiersza poleceń i przejść do katalogu d:\zaj6.
Polecenie reg wyświetla podpowiedzi po użyciu opcji /?, np.:
reg /?
reg query /?
Wyświetlić zawartość klucza HKCR\Folder\shell:
reg query HKCR\Folder\shell
(powinny w nim być m.in. podklucze open i explore)
oraz ponownie ze wszystkimi podkluczami i wartościami:
reg query HKCR\Folder\shell /s
2. Dodać nowy podklucz grupa\command (gdzie grupa to nazwa grupy studenckiej, np. id213):
reg add HKCR\Folder\shell\grupa\command
Dodać nową wartość (nie mającą nazwy) definiującą napis pojawiający się w menu kontekstowym:
reg add HKCR\Folder\shell\grupa /ve /t REG_SZ
/d ”CMD zrobiony przez grupa”
oraz zmodyfikować wartość (również nie mającą nazwy, dlatego używana jest opcja /ve) definiującą postać
uruchamianego polecenia (akceptując komunikat ostrzegawczy o konieczności nadpisania istniejącej już
wartości) :
reg add HKCR\Folder\shell\grupa\command /ve /t REG_SZ
/d ”d:\windows\system32\cmd.exe /k cd \”%l\” ”
(Uwaga: l powyżej to litera 'el')
Sprawdzić poprawność operacji wykonując:
reg query HKCR\Folder\shell\grupa /s
3. Uruchomić Explorer, przejść do foldera D:\Documents and Settings, wyświetlić menu kontekstowe prawym
przyciskiem myszy. Powinna być w nim pozycja CMD zrobiony przez ..... Po jej wybraniu powinno
Laboratorium Windows Server 2003
(P.Kowalski, A.Skirmunt)
WSISiZ
10
Wersja: 3.1, 2006.03.22
uruchomić się okno wiersza poleceń z katalogiem bieżącym D:\Documents and Settings.
4. Pracując w oknie wiersza poleceń w katalogu d:\zaj6, wyeksportować zdefiniowany podklucz:
reg export HKCR\Folder\shell\grupa grupa.reg
5. Usunąć zdefiniowany podklucz:
reg delete HKCR\Folder\shell\grupa
6. Zaimportować zawartość pliku grupa.reg:
reg import grupa.reg
Sprawdzić poprawność operacji wykonując:
reg query HKCR\Folder\shell\grupa /s
7. Ponownie usunąć klucz jak w p 5.
Ćwiczenie 13 [Dodatkowe] (Inne możliwości polecenia reg )
Polecenie reg pozwala wykonać dwie operacje, których nie ma w edytorze regedit: porównanie kluczy oraz
kopiowanie kluczy łącznie z ich zawartością. Te operacje mogą być wykonywane na lokalnym i zdalnym Rejestrze.
1. Pracując jako Administrator użyć edytora regedit aby dodać nową wartość o nazwie NAZWISKO i typie
REG_SZ
w kluczu HKEY_USERS\.DEFAULT\Environment (czyli HKU\.DEFAULT\Environment).
Jako daną dla tej wartości przypisać swoje nazwisko.
2. Gdy partner pracujący na drugim komputerze w zespole (szYYY) wykona taką modyfikację, użyć polecenia reg
do porównania postaci kluczy na lokalnej i zdalnej maszynie:
reg compare \\szYYY\HKU\.DEFAULT\Environment \\. /s
Powinny być wyświetlone różnice w ustawieniach wartości NAZWISKO.
3. Skopiować klucz łącznie z całą zawartością do klucza HKEY_CURRENT_USER\Environment:
reg copy \\szYYY\HKU\.DEFAULT\Environment HKCU\Environment\grupa /s
gdzie grupa to nazwa grupy studenckiej.
Używając edytora regedit, obejrzeć zawartość klucza HKEY_CURRENT_USER\Environment, powinien
pojawić się w nim podklucz grupa z zawartością pochodzącą z komputera szYYY.
Usunąć podklucz grupa .
Ćwiczenie 14 [Dodatkowe] (X-Setup Pro)
1. Używając pliku \zaj6\x-setup\xqdcxsp-setup-en-6.5.zip zainstalować bezpłatne narzędzie konfiguracyjne
systemów Windows 95/98/Me oraz NT4/2000/XP/2003 czyli program X-Setup Pro (wersja 6.5).
Jest to bardzo wygodne i rozbudowane narzędzie konfiguracyjne, którego działania przekładają się na
modyfikowanie zawartości Rejestru.
Po uruchomieniu programu X-Setup Pro w trybie Classic, upewnić się, ze w ustawieniach File – Options –
Display Plug-ins jest zaznaczona pozycja Display only plug-ins that match the current Operating System.
Jeśli tak jest, to program X-Setup Pro będzie prezentował tylko te wtyczki (plug-ins), które wg. jego twórców
mają zastosowanie do systemu Windows Server 2003 (a niektóre z nich także do innych wersji Windows).
(Identyfikacja wtyczek możliwych do wykorzystania w konkretnej odmianie systemu MS Windows jest
wykonywana na podstawie parametru OSVERSION w pliku źródłowym wtyczki (pliki .xpl, przykładowy plik
XQ AMD Win2k Check.xpl). Ten parametr ma postać siedmiu cyfr zero-jedynkowych. Jeśli na siódmym
miejscu występuje jedynka, to znaczy, że wtyczka może być użyta w Windows Server 2003. Jeśli parametr
OSVERSION nie jest zdefiniowany, to wtyczka może być użyta we wszystkich wersjach systemów MS
Laboratorium Windows Server 2003
(P.Kowalski, A.Skirmunt)
WSISiZ
11
Wersja: 3.1, 2006.03.22
Windows)
Zapoznać się z programem.
Odinstalować ten program (Control Panel – Add or Remove Programs ).
2. Nowsza wersja programu X-Setup Pro (wersja 7.0) umieszczona w pliku \zaj6\x-setup\xqdcxsp-setup-en-7.0.zip
jest już wersją typu shareware. Jej możliwości zostały rozbudowane. Wtyczki zostały przepisane na język
XML i są przechowywane w plikach .xppl (przykładowy plik XQ AMD Win2k Check.xppl). Identyfikacja
wtyczek możliwych do wykorzystania w konkretnej odmianie systemu MS Windows jest wykonywana na
podstawie znacznika <xspitem-osversion> w którym jawnie wymieniane są oznaczenia dopuszczalnych
wersji systemów Windows np. <win2003>1</win2003>. Jeśli znacznik <xspitem-osversion> nie
jest zdefiniowany, to wtyczka może być użyta we wszystkich wersjach systemów MS Windows.
Ćwiczenie 15 (Porządki)
1. Pracując jako Administrator, zaimportować plik d:\ntrej\szXXX.hklm.software.reg (utworzony w punkcie 1
Ćwiczenia 2). Można to zrobić poleceniem regedit nazwa-pliku, albo uruchamiając regedit, wybierając
w menu File polecenie Import ... oraz podając ścieżkę i nazwę pliku, albo w Explorerze dwukrotnie klikając
na nazwie pliku.
2. Używają edytora regedit zaimportować binarny plik hive (utworzony w punkcie 2 Ćwiczenia 2) w następujący
sposób: podświetlić klucz HKEY_USERS\.DEFAULT, w menu File wybrać Import... , w rubryce Files of
type wybrać Registry Hive Files (*.*) , po czym wskazać plik d:\ntrej\szXXX.hku.default.hiv i zaakceptować.
W okienku Confirm Restore Key zaakceptować komunikat ostrzegawczy: The key will be restored on top of
key: .DEFAULT. All value entries and subkeys of this key will be deleted.
3. Używając regedit usunąć wartość LogonPrompt w
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
która mogła się tu pojawić po Ćwiczeniu 8.
4. Usunąć konto użytkownika ntrej.
Usunąć katalog d:\ntrej.
Usunąć wszystkie profile użytkownika o nazwie Account Unknown z zakładki Control Panel – System –
Advanced – ramka User Profiles – przycisk Settings.
Usunąć katalog d:\zaj6 łącznie z całą zawartością.
Laboratorium Windows Server 2003
(P.Kowalski, A.Skirmunt)
WSISiZ
12
Wersja 3.4, 2006.04.05
ZAJĘCIA 8 - ZAKRES PRAC I MATERIAŁY POMOCNICZE
ZAKRES PRAC
1. Omówienie wyników Sprawdzianu 1
2. Wybrane aspekty pracy serwera autonomicznego Windows Server 2003 w sieci
2.1.
Definiowanie i usuwanie roli serwera plików
2.2.
Włączanie, konfigurowanie i wyłączanie Volume Shadow Copies – polecenia
vssadmin, schtasks
2.3.
Konfiguracja systemu plików DFS
2.4.
Udostępniania zasobów lokalnych w sieci i modyfikowanie uprawnień do udziałów
przy
użyciu menu kontekstowego foldera oraz przystawki Shared Folders
2.5.
Ukrywanie przed niepowołanymi użytkownikami wybranego udziału sieciowego
2.6.
Ukrywanie przed niepowołanymi użytkownikami wybranego komputera w sieci z
grupami roboczymi – polecenie net config
2.7.
Ukrywanie przed niepowołanymi użytkownikami zawartości wybranego udziału w
oparciu o uprawnienia i dodatek Access-based Enumeration ABE
2.8.
Osiąganie dostępu do nie udostępnionych, w sposób jawny, zasobów zdalnego
komputera z wykorzystaniem specjalnych, administracyjnych zasobów
udostępnionych
2.9.
Sprawdzenie możliwości uzyskania dostępu do udostępnionego w sieci zasobu z
poziomu
Command Prompt przy użyciu polecenia net view
2.10. Udostępnianie zasobów lokalnych w sieci, udzielanie uprawnień oraz usuwanie
udziału z poziomu Command Prompt przy użyciu polecenia net share
2.11. Tworzenie połączenia ze zdalnym zasobem i odłączanie zamapowanego zasobu
za
pomocą polecenia net use
2.12. Wyświetlanie listy procesów uruchomionych na zdalnym komputerze i ich
zamykanie – polecenia tasklist i taskkill
2.13. Zdalne udostępnianie folderów oraz konfiguracja obsługi plików trybu
offline – przykład jednej z możliwości
2.14. Wyświetlanie bieżących wartości konfiguracyjnych protokołu TCP/IP w sieci i ich
zapis do pliku oraz manipulowanie dzierżawą DHCP
2.15. Definiowanie parametrów IP w trybie wsadowym za pomocą narzędzia Netsh
2.16. Tworzenie, kopiowanie i usuwanie profilu sprzętowego – przypadek profilu bez karty
sieciowej
2.17. Szybkie odłączanie lokalnego komputera od lokalnej sieci i przywracanie tego
połączenia
Liczba ćwiczeń: 21
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
1
Wersja 3.4, 2006.04.05
MATERIAŁY POMOCNICZE
1 Wybrane informacje dotyczące zagadnień realizowanych podczas
ćwiczeń
1.1 Serwer
plików
Serwery plików umożliwiają dostęp do plików i zarządzanie nimi. Planując wykorzystanie miejsca na dysku
komputera do przechowywania i udostępniania takich informacji, jak pliki i aplikacje dostępne w sieci oraz
zarządzania nimi, należy skonfigurować komputer jako serwer plików.
Rola serwera plików jest automatycznie, lecz nie ze wszystkimi opcjami (m.in. nie jest tworzona w Administrative
Tools konsola File Server Management), ustanawiana dla systemu Windows Server 2003 już podczas dokonania
operacji udostępnienia jakiegokolwiek foldera.
Po skonfigurowaniu roli serwera plików można wykonywać m. in. następujące czynności:
• Można korzystać z przydziałów dysku na woluminach sformatowanych w systemie plików NTFS, aby
monitorować i ograniczać ilość miejsca na dysku dostępną dla poszczególnych użytkowników. Można
także określić, czy zdarzenie ma być rejestrowane w dzienniku, gdy użytkownik przekroczy określony
limit miejsca na dysku lub gdy przekroczy określony poziom ostrzegawczy miejsca na dysku (tj. punkt, w
którym zbliża się do limitu przydziału).
• Aby szybko i bezpiecznie wyszukiwać informacje, lokalnie lub w sieci, należy używać usługi
indeksowania.
Zestaw zalecanych przez firmę Microsoft uprawnień (dla grupy Users) dotyczących określonych typów folderów
udostępnionych dla serwera plików i inne ważne uwagi zamieszczono w pliku
\zaj8\Docs\zalecane_uprawnienia_do_serwera_plikow.doc.
1.2 Przystawka Foldery udostępnione (Shared Folders)
Przystawka Shared Folders (Foldery udostępnione) występuje w systemie zarówno jako element samodzielny, jak
i element składowy innych przystawek. Przykładem może być m. in. występowanie węzła Shared Folders w
przystawce Computer Management, czy w zarządzaniu rolą Serwera Plików.
Korzystając z Shared Folders, można wyświetlić podsumowanie dotyczące połączeń i wykorzystania zasobów dla
komputerów lokalnych i zdalnych. Foldery udostępnione zastępują składniki związane z zasobami w Panelu
sterowania systemu Microsoft Windows NT® 4.0 Server.
Za pomocą Shared Folders można m. in.:
• Tworzyć i wyświetlać zasoby udostępnione oraz ustawiać ich uprawnienia.
• Wyświetlić listę wszystkich użytkowników, którzy nawiązali połączenie z komputerem za pośrednictwem
sieci i odłączyć jednego lub wszystkich użytkowników.
• Wyświetlić listę plików otwartych przez zdalnych użytkowników, a także zamknąć jeden lub wszystkie
otwarte pliki.
Aby korzystać z Shared Folders, użytkownik musi być zalogowany jako członek grupy Administrators, Server
Operators, lub Power Users.
Więcej informacji na temat Folderów udostępnionych znajduje się pliku \zaj8\Docs\Shared_Folders.doc.
1.3 Zarządzanie folderami udostępnionymi z wiersza polecenia
W celu zarządzania zasobami udostępnionymi, oprócz Shared Folders i Eksploratora Windows, można używać
następujących narzędzi wiersza polecenia:
Nazwa
Zastosowanie
net file
Umożliwia wyświetlanie oraz kontrolę nad zasobami udostępnionymi w sieci. Aby można było
korzystać z tego polecenia, musi być uruchomiona usługa Serwer.
net config
Umożliwia m. in. wyświetlanie maksymalnej liczby użytkowników, którzy mają dostęp do zasobu
udostępnionego, oraz maksymalnej liczby plików otwartych podczas sesji.
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
2
Wersja 3.4, 2006.04.05
net use
Umożliwia podłączanie komputera do zasobu udostępnionego i odłączanie go od takiego zasobu.
net session
Umożliwia zarządzanie połączeniami serwera.
net share
Umożliwia tworzenie, usuwanie, zarządzanie i wyświetlanie zasobów udostępnionych.
net view
Umożliwia wyświetlanie informacji o domenach, komputerach lub zasobach, które są
udostępniane przez określony komputer, w tym informacji o ustawieniach buforowania klientów
w trybie offline.
net help
Pozwala wyświetlić pomoc dla poleceń dotyczących sieci.
1.4 Uprawnienia
udziału (Share permissions)
Aby wykonać udostępniania udziału, użytkownik musi być zalogowany jako członek grupy Administrators, Server
Operators lub Power Users. Jeśli komputer jest podłączony do sieci, wykonanie tej procedury mogą uniemożliwiać
ustawienia zasad sieci.
Zasób udostępniony (Shared resource) zapewnia dostęp do aplikacji i danych, w tym także danych osobistych
użytkownika. W przypadku każdego zasobu udostępnionego można przypisać uprawnienia lub ich odmówić.
Dostęp do udostępnianych zasobów można kontrolować za pomocą różnych metod. Można skorzystać z uprawnień
udziału, które są najprostsze do stosowania i zarządzania. Można także zastosować kontrolę dostępu w ramach
systemu plików NTFS, która zapewnia bardziej szczegółową kontrolę nad udostępnionym zasobem i jego
zawartością. Można również posłużyć się kombinacją wymienionych metod. W przypadku użycia kombinacji
metod zawsze będzie stosowana bardziej restrykcyjna interpretacja uprawnień. Na przykład jeśli uprawnienie
udziału ma ustawienie Everyone = Read (czyli domyślne), a uprawnienie NFTS zezwala użytkownikom na
wprowadzanie zmian w udostępnionym pliku, to obowiązuje uprawnienie udziału i użytkownikowi nie wolno
zmienić pliku.
Nie zawsze trzeba jawnie odmówić uprawnienia do zasobu udostępnionego. Zazwyczaj odmowa uprawnienia jest
niezbędna tylko wtedy, gdy trzeba zastąpić konkretne i już przyznane uprawnienie.
Ważne
• W systemach z rodziny Windows Server 2003 utworzenie nowego zasobu udostępnionego powoduje
automatyczne przydzielenie grupie Everyone uprawnienia Read, które jest najbardziej restrykcyjne.
Uprawnienia udziału:
• Są stosowane tylko wobec użytkowników uzyskujących dostęp do zasobu za pośrednictwem sieci. Nie
dotyczą użytkowników logujących się lokalnie, np. na serwerze terminali. W takich wypadkach
uprawnienia należy ustawić za pomocą kontroli dostępu w ramach systemu plików NTFS.
• Są stosowane do wszystkich plików i folderów w zasobie udostępnionym. Jeśli zachodzi konieczność
bardziej szczegółowego zabezpieczenia podfolderów lub obiektów w folderze udostępnionym, należy użyć
kontroli dostępu w ramach systemu plików NTFS.
• Stanowią jedyny sposób zabezpieczenia zasobów sieciowych na woluminach systemu plików FAT i
FAT32, ponieważ uprawnienia systemu plików NTFS są na tych woluminach niedostępne.
• Określają maksymalną liczbę użytkowników, którzy mogą uzyskiwać dostęp do zasobu udostępnionego za
pośrednictwem sieci. Jest to funkcja dodatkowa wobec zabezpieczeń systemu plików NTFS.
Do udostępnionych folderów i stacji dysków można zastosować następujące typy uprawnień dostępu:,
Read (Odczyt)
Uprawnienie Read jest uprawnieniem domyślnym, które jest przypisywane grupie Everyone. Uprawnienie Read
umożliwia:
• Przeglądanie nazw plików i podfolderów
• Przeglądanie danych w plikach
• Uruchamianie plików programów
Change (Zmiana)
Uprawnienie Change nie jest domyślne dla żadnej grupy. Uprawnienie Change umożliwia przeprowadzanie tych
samych operacji, co uprawnienie Read, a ponadto:
• Dodawanie plików i podfolderów
• Zmienianie danych w plikach
• Usuwanie podfolderów i plików
Full Control (Pełna kontrola)
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
3
Wersja 3.4, 2006.04.05
Uprawnienie Full Control jest przydzielane domyślnie grupie Administrators na komputerze lokalnym. Pełna
kontrola umożliwia przeprowadzanie wszystkich operacji dozwolonych dla uprawnień Read i Change, a ponadto:
• Zmienianie uprawnień (tylko pliki i foldery systemu NTFS).
1.5 Ważne wskazówki dotyczące dostępu do zasobów
Przypisywać uprawnienia do grup, a nie do kont użytkowników.
• Przypisywanie uprawnień do grup upraszcza zarządzanie zasobami udostępnionymi, ponieważ pozwala
dodawać i usuwać użytkowników z grup, a nie zmusza do ponownego przypisywania uprawnień. Aby
odmówić dostępu do zasobu udostępnionego, należy odmówić (Deny) uprawnienia Full Control.
Przypisywać uprawnienia najbardziej restrykcyjne, umożliwiając jednak użytkownikom wykonywanie
wymaganych zadań.
• Dla przykładu, jeżeli użytkownicy potrzebują jedynie odczytywać informacje w folderze, lecz nigdy nie
będą usuwać, tworzyć ani zmieniać plików, należy przypisać im uprawnienie Read.
Jeśli użytkownicy logują się lokalnie w celu uzyskiwania dostępu do zasobów udostępnionych, na przykład na
serwerze terminali, ustawiać uprawnienia przy użyciu systemu plików NTFS lub kontroli dostępu.
• Uprawnienia udziału są stosowane tylko w przypadku tych użytkowników, którzy uzyskują dostęp do
zasobów udostępnionych w sieci, nie są natomiast stosowane do użytkowników logujących się lokalnie. W
takiej sytuacji należy użyć systemu plików NTFS i kontroli dostępu.
Organizować zasoby tak, aby obiekty o tych samych wymaganiach zabezpieczeń były zlokalizowane w tym
samym folderze.
• Na przykład, jeżeli użytkownicy wymagają uprawnienia Read do kilku folderów aplikacji, należy
przechowywać te foldery aplikacji w tym samym folderze nadrzędnym. Następnie należy udostępnić folder
nadrzędny zamiast każdego folderu aplikacji z osobna. Należy zauważyć, że w razie konieczności zmiany
lokalizacji aplikacji może zaistnieć potrzeba jej ponownego zainstalowania.
Udostępniając aplikacje, organizować wszystkie aplikacje udostępnione w jednym folderze.
• Organizowanie wszystkich aplikacji w jednym udostępnionym folderze upraszcza administrację, ponieważ
instalowanie i uaktualnianie oprogramowania jest dokonywane z jednej lokalizacji.
Aby zapobiec problemom z dostępem do zasobów sieciowych, nie odmawiać uprawnień grupie Everyone.
• Do grupy Everyone należy każdy użytkownik, który ma dostęp do zasobów sieciowych, w tym konto
Guest. Wyjątek stanowią członkowie grupy Anonymous Logon.
Unikać jawnego odmawiania uprawnień do zasobu udostępnionego.
• Zwykle jawna odmowa uprawnienia (Deny) jest niezbędna tylko wtedy, gdy trzeba zastąpić konkretne i już
przyznane uprawnienie.
Ograniczyć członkostwo w grupie Administrators i przypisać jej uprawnienie Full Control.
• Umożliwia to administratorom zarządzanie oprogramowaniem aplikacji oraz kontrolowanie praw
użytkowników.
W większości wypadków nie zmieniać domyślnego uprawnienia Read grupy Everyone.
• Do grupy Everyone należy każdy użytkownik mający dostęp do zasobów sieciowych, w tym konto Guest.
W większości wypadków nie należy zmieniać tego ustawienia domyślnego, chyba że zamierza się
pozwolić użytkownikom na wprowadzanie zmian w plikach i obiektach zasobu udostępnionego.
Udzielać uprawnień dostępu za pośrednictwem kont użytkowników domeny.
• Na komputerach połączonych z domeną, należy udzielać dostępu do zasobów udostępnionych za
pośrednictwem kont użytkowników domeny, a nie kont użytkowników lokalnych. Umożliwia to
scentralizowanie administracji uprawnieniami udziału.
Używać scentralizowanych folderów z danymi.
• Scentralizowane foldery z danymi ułatwiają zarządzanie zasobami i wykonywanie kopii zapasowych
danych.
Używać krótkich, intuicyjnych etykiet zasobów udostępnionych.
• Dzięki temu zasoby udostępnione będą łatwo rozpoznawane i dostępne dla użytkowników oraz wszystkich
klienckich systemów operacyjnych.
Używać zapory.
• Zapora chroni zasoby udostępnione przed dostępem za pośrednictwem Internetu. W systemie Windows XP
i w systemach z rodziny Windows Server 2003 można korzystać z wielu nowych funkcji zapory.
1.6 Specjalne zasoby udostępnione (Special Shared Folders
)
Zależnie od konfiguracji komputera niektóre lub wszystkie z następujących specjalnych zasobów udostępnionych są
tworzone automatycznie do użytku systemowego i administracyjnego. Te zasoby udostępnione są niewidoczne w
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
4
Wersja 3.4, 2006.04.05
oknie My Computer, ale można je przeglądać za pomocą np. przystawki Shared Folders (Foldery udostępnione).
W większości przypadków specjalnych zasobów udostępnionych nie należy modyfikować ani usuwać.
Aby ukryć inny zasób udostępniony przed użytkownikami, należy wpisać $ jako ostatni znak w jego nazwie (znak $
staje się częścią nazwy zasobu). Tego rodzaju foldery udostępnione są ukrywane w Eksploratorze Windows,
podobnie jak specjalne zasoby udostępnione, ale w innych wypadkach nie są traktowane jak zasoby specjalne
W przypadku zmiany uprawnień do specjalnych zasobów udostępnionych, takich jak ADMIN$, ustawienia
domyślne można przywrócić, zatrzymując i ponownie uruchamiając usługi serwera oraz ponownie uruchamiając
komputer. Należy zauważyć, że nie dotyczy to utworzonych przez użytkowników zasobów udostępnionych,
których nazwa udziału kończy się znakiem $.
W przystawce Shared Folders, w węźle Shares są widoczne niektóre lub wszystkie z opisanych niżej
administracyjnych zasobów udostępnionych. Inne aplikacje mogą tworzyć dodatkowe specjalne zasoby
udostępnione
litera dysku$
Folder udostępniony, który pozwala administratorowi łączyć się z katalogiem głównym dysku. Folder taki jest
wyświetlany jako np. C$, D$ itd.
ADMIN$
Zasób wykorzystywany podczas zdalnego administrowania komputerem. Ścieżka tego zasobu jest zawsze ścieżką
do katalogu głównego systemu (katalogu, w którym zainstalowano system operacyjny, na przykład
C:\WINDOWS).
IPC$
Zasób udostępniający tzw. potoki nazwane, które są niezbędne do komunikacji między programami. Zasobu IPC$
używa się podczas zdalnego administrowania komputerem i podczas przeglądania udostępnionych zasobów
komputera. Nie można usunąć tego zasobu.
PRINT$
Zasób wykorzystywany podczas zdalnego administrowania drukarką.
NETLOGON
Zasób wymagany, używany na kontrolerach domen. Usunięcie tego zasobu udostępnionego powoduje utratę funkcji
wszystkich komputerów klienckich obsługiwanych przez kontroler domeny.
FAX$
Folder udostępniony serwera, wykorzystywany przez klientów faksu podczas wysyłania faksów. Folder
udostępniony jest wykorzystywany do tymczasowego buforowania plików i uzyskiwania dostępu do stron
tytułowych przechowywanych na serwerze.
SYSVOL
Zasób wymagany, używany na kontrolerach domen. Usunięcie tego zasobu udostępnionego powoduje utratę funkcji
wszystkich komputerów klienckich obsługiwanych przez kontroler domeny.
UWAGA: Możliwe jest osiąganie dostępu do jawnie nie udostępnionych zasobów zdalnego komputera przez
zastosowanie znaku $ w wydawanej w Start – Run ścieżce dostępu, w notacji UNC, np.:
\\nazwa_zdalnego_komputera/d$.
W tym przypadku osiągana jest zawartość partycji D: zdalnego komputera.
W uzasadnionych przypadkach, ze względów bezpieczeństwa, można uniemożliwić korzystanie z takiego dostępu
np. wprowadzając stosowny wpis w Rejestrze zdalnego komputera – patrz plik \zaj8\Docs\NO_Udzialy_Adm.txt.
1.7 Rozproszony system plików (DFS, Distributed File System)
Dzięki rozproszonemu systemowi plików (DFS, Distributed File System) administratorzy systemów mogą ułatwiać
użytkownikom dostęp do plików i zarządzanie plikami, które są fizycznie rozproszone po sieci. Dzięki systemowi
DFS pliki rozmieszczone w wielu serwerach z punktu widzenia użytkowników wyglądają tak, jak gdyby
znajdowały się w jednym miejscu w sieci. Użytkownicy nie muszą już znać ani podawać rzeczywistej fizycznej
lokalizacji plików, aby uzyskać do nich dostęp.
Jeśli, przykładowo, pewne materiały marketingowe znajdują się na różnych serwerach w domenie, to dzięki
systemowi DFS można stworzyć wrażenie, jakby całość materiałów znajdowała się na jednym serwerze. Dzięki
temu użytkownicy nie muszą już sięgać do różnych lokalizacji w sieci, aby uzyskać potrzebne informacje.
Kiedy korzystać z systemu DFS
Implementację systemu DFS należy rozważyć, jeśli:
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
5
Wersja 3.4, 2006.04.05
• Przewidywane jest dodawanie serwerów plików lub modyfikowanie lokalizacji plików.
• Użytkownicy, którzy korzystają z dostępu do elementów docelowych (targets) są rozproszeni po wielu
miejscach.
• Większość użytkowników potrzebuje dostępu do wielu elementów docelowych.
• Dzięki redystrybucji elementów docelowych można lepiej równoważyć obciążenia serwerów.
• Użytkownicy potrzebują nieprzerwanego dostępu do elementów docelowych.
• Firma ma witryny sieci Web do użytku wewnętrznego lub zewnętrznego.
Typy systemów DFS
Rozproszony system plików można zaimplementować na dwa sposoby: jako autonomiczny główny (Stand-alone
Root) system plików lub jako system DFS oparty na domenie (Domain Root).
Dostęp do elementów docelowych systemu DFS z innych komputerów
W skład systemu Windows Server 2003 oprócz serwerowego składnika DFS wchodzi również kliencki składnik
DFS. Klient DFS buforuje odwołania (referral) do katalogu głównego DFS (DFS Root) lub łącza systemu DFS
(DFS Link) przez określony czas zdefiniowany przez Administratora.
Systemem DFS można zarządzać przy użyciu konsoli Distributed File System lub polecenia dfscmd.
Klient systemu DFS działa na wielu różnych platformach Windows.
UWAGA: Za działanie systemu DFS odpowiedzialna jest usługa systemowa Distributed File System.
W MS Windows Server 2003 SP1 jest ona domyślnie wyłączona.
Więcej wybranych informacji na temat rozproszonego systemowi plików znajduje się w pliku \zaj8\Docs\DFS.doc.
1.8 Funkcja/usługa kopiowania woluminów w tle (Volume Shadow Copy)
Funkcja kopiowania w tle folderów udostępnionych (Shadow Copies of Shared Folders) umożliwia tworzenie
bieżących kopii plików należących do zasobów udostępnionych, takich jak serwer plików. Dzięki tej funkcji można
przeglądać udostępnione pliki i foldery w stanie, w jakim znajdowały się w określonym momencie w przeszłości.
Uzyskanie dostępu do poprzednich wersji plików lub kopii w tle jest szczególnie przydatne w sytuacjach gdy
należy:
• Odzyskać przypadkowo usunięte pliki. Jeżeli dany plik został przypadkowo usunięty, można otworzyć
jego poprzednią wersję i skopiować ją do bezpiecznej lokalizacji.
• Odzyskać przypadkowo zastąpiony plik. Jeżeli dany plik został przypadkowo zastąpiony, można
odzyskać jego poprzednią wersję (np. poprzez wybranie Save zamiast Save As...).
• Porównać wersje plików podczas pracy. Dzięki poprzednim wersjom można sprawdzić, jakie zmiany
zaszły między dwoma wersjami pliku.
Dostęp do części serwera funkcji kopiowania w tle folderów udostępnionych można uzyskać w oknie dialogowym
Local Disk Properties (Właściwości dysku lokalnego) na karcie Shadow Copies (Kopie w tle).
Oprogramowanie klienckie kopiowania w tle folderów udostępnionych znajduje się na serwerze i trzeba je wdrożyć
na komputerach klienckich. Widok klienta kopii w tle jest dostępny w oknie dialogowym Properties (Właściwości)
udostępnionego pliku lub folderu na karcie Previous Versions (Poprzednie wersje).
Uwagi:
• Kopie w tle są dostępne jedynie na woluminach z systemem plików NTFS.
• Kopie w tle są dostępne jedynie w systemach, gdzie zainstalowano Dodatek dla klientów Usług
kopiowania woluminów w tle (Twcli32.msi) (dla systemów Windows Server 2003 nie ma potrzeby jego
instalacji). Dla systemu Windows XP Professional można instalować klienta usługi z lokalizacji
\\%systemroot%\system32\clients\twclient w folderze instalacyjnym Windows Server 2003.
Dla pozostałych systemów (tylko: Windows 2000 Professional, Windows 2000 Server, Windows 98)
Dodatek jest dostępny na stronie firmy Microsoft wyszukując: ShadowCopyClient.
Więcej wybranych informacji na temat funkcji kopiowania w tle znajduje się w pliku \zaj8\Docs\kopie_w_tle.doc.
1.9 Program Pliki trybu offline
Dla zwiększenia niezawodności i dostępności współdzielonych folderów, partycje NTFS umożliwiają tworzenie
lokalnych kopii plików i folderów zawartych w sieciowym udziale. Wykorzystywana jest tu funkcja Client-Side
Caching (CSC). Pliki obsługiwane przez tą funkcję są nazywane plikami „odłączonymi”, plikami offline (offline
files).
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
6
Wersja 3.4, 2006.04.05
Według terminologii firmy Microsoft za realizację wspomnianej wyżej funkcji jest odpowiedzialny program Pliki
trybu offline.
Po utracie połączenia z siecią lub oddokowaniu przenośnego komputera udostępnione zasoby sieciowe (które
zostały tak skonfigurowane, że są dostępne w trybie offline) są nadal widoczne, tak jak wtedy, gdy komputer był
podłączony do sieci. Można kontynuować normalną pracę z tymi elementami. Ma się wtedy te same uprawnienia
dostępu do tych plików i folderów, jakimi dysponuje się wtedy, gdy komputer jest podłączony do sieci. Kiedy stan
połączenia sieciowego ulegnie zmianie, w obszarze powiadomień pojawia się ikona programu Pliki trybu offline, a
nad nią może (w zależności od sposobu konfiguracji) zostać wyświetlany „dymek” informacyjny, który powiadamia
użytkownika o zaistniałej zmianie.
Kiedy łączność z siecią jest odzyskiwana lub komputer przenośny jest dokowany, wszystkie zmiany wprowadzone
podczas pracy w trybie offline są domyślnie wprowadzane do sieci (możliwe są również inne tryby synchronizacji).
Jeśli dwoje użytkowników w sieci wprowadzało zmiany do tego samego pliku, każdy z nich może zapisać w sieci
swoją wersję pliku, może zachować tę drugą wersję lub może zapisać obie wersje.
Więcej informacji na temat trybu offline dla zasobów udostępnionych znajduje się w pliku \zaj8\Docs\offline.doc.
1.10 Ukrywanie przed niepowołanymi użytkownikami zawartości wybranego
udziału w oparciu o uprawnienia i dodatek Access-based Enumeration (ABE)
Dysponując systemem MS Windows Server 2003 SP1 można dodać rozszerzenie Access-based Enumeration
(ABE).
Jego zainstalowanie umożliwia, w udostępnionym udziale, ukrywanie jego zawartości dla użytkowników nie
posiadających uprawnień do poszczególnych plików i folderów. Funkcję Access-based Enumeration można
włączyć dla wybranego pojedynczego udostępnianego zasobu lub dla wszystkich udostępnianych folderów.
Dodatek ABE można pobierać z witryny:
Korzystanie z ABE możliwe jest przy użyciu GUI lub narzędzia wiersza polecenia (ABEcmd.exe).
Więcej informacji znajduje się w pliku \zaj8\Docs\ABEWhitePaper.doc.
Po zainstalowaniu ABE plik ten tworzy się w poniższej, domyślnej lokalizacji:
\Program Files\Microsoft Corporation\Windows Server 2003 Access-based Enumeration\.
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
7
Wersja 3.4, 2006.04.05
ZAJĘCIA 8 - ĆWICZENIA
Ćwiczenie 1 (Przygotowania)
1. Uwaga: Bieżące ćwiczenia winny być wykonywane w dwuosobowych zespołach i przy użyciu dwóch wersji
instalacyjnych systemu Windows Server 2003.
2. Jeden z członków zespołu winien uruchomić Windows Server 2003, Instalacja standardowa.
Po zalogowaniu się jako Administrator należy sprawdzić i w razie potrzeby skorygować nazwę lokalnego
komputera (np. w Properties dla My Computer, karta Computer Name, przycisk Change...).
3. Drugi członek zespołu winien uruchomić Windows Server 2003, Kontroler domeny i po zalogowaniu się jako
Administrator wykonać poniższe czynności zmierzające przede wszystkim do zmiany sposobu uzyskiwania
adresu IP i przynależności do grupy roboczej.
W Properties dla Control Panel – Network Connections – Local Area Connection zaznaczyć Internet
Protocol (TCP/IP) i użyć Properties. W pojawiającym się oknie zaznaczyć pole Obtain an IP address
automatically i zatwierdzić.
W Properties dla My Computer wybrać kartę Computer Name, przycisk Change... W pojawiającym się
oknie użyć More..., usunąć (jeżeli istnieje) całą nazwę z pola Primary DNS suffix of this computer: i
zatwierdzić.
Wprowadzić właściwą nazwę komputera w polu Computer name:, dla pola Workgroup: wprowadzić
WS2003LAB i zatwierdzić.
4. Z zasobów WS2003Lab skopiować do katalogu głównego lokalnej partycji D: folder
\\oceanic\staff\ws2003lab\lab2006\zaj8 z zachowaniem jego nazwy zaj8.
5. Dokonać synchronizacji lokalnego czasu systemowego z komputerem (szkkk) wskazanym przez prowadzącego
zajęcia wprowadzając w Command Prompt:
net time \\szkkk /set
6. Otworzyć Command Prompt i uruchomić skrypt d:\zaj8\konfiguracja8.cmd wydając polecenie:
d:\zaj8\konfiguracja8.cmd nazwa_grupy_studenckiej nazwa_komputera
W wyniku tej operacji winny zostać utworzone konta: bilbo-grupa (hasło: bilbo, grupa lokalna Users),
cent-grupa (hasło: cent, grupa lokalna Users), admin-grupa (hasło: admin, dodatkowa grupa lokalna
Administrators) oraz stosowne foldery i pliki. Wylogować się.
7. Zalogować się jako bilbo-grupa i sprawdzić czy istnieje możliwość udostępniania jakiegokolwiek foldera.
Nie powinno się to udać. Wylogować się.
8. Zalogować się jako cent-grupa i wylogować się.
9. Zalogować się jako admin-grupa i otworzyć np. My Computer, wybrać Tools – Foder Options… – View i
odznaczyć opcję Hide protected operating system files (Recommended).
10. Dodać ikonę sygnalizacji istnienia połączenia sieciowego na pasku zadań wybierając np. Control Panel –
Network Connections – Local Area Connection – Properties i zaznaczając pole Show icon in notification
area when connected.
Ćwiczenie 2 (Wyświetlanie bieżących wartości konfiguracyjnych protokołu TCP/IP w sieci i
ich zapis do pliku oraz manipulowanie dzierżawą DHCP)
1. Pracując jako admin-grupa z menu kontekstowego ikony Local Area Conection wybrać Status.
W oknie Local Area Conection Status wybrać Properties a następnie zaznaczyć Internet Protocol (TCP/IP) i
użyć Properties.
W oknie Internet Protocol (TCP/IP) Properties zauważyć, że zaznaczone jest pole Obtain IP Address
Automatically. Oznacza to, że komputer automatycznie uzyskuje wartości protokołu TCP/IP z serwera DHCP.
Alternatywą tej metody jest przydzielanie parametrów protokołu w sposób statyczny – ręczny. W dwóch
ostatnio otwartych oknach użyć Cancel.
2. W oknie Local Area Conection Status wybrać kartę Support, a na niej użyć Details...
W oknie Network Connection Details wyświetlane są wartości parametrów TCP/IP. Zamknąć wszystkie okna
związane z ikoną Local Area Conection.
3. Zapoznać się, przy użyciu Command Prompt, ze składnią polecenia ipconfig wprowadzając:
ipconfig /?
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
8
Wersja 3.4, 2006.04.05
4. Wyświetlić i zapisać do pliku d:\zaj8\config.txt informacje o bieżącej konfiguracji protokołu TCP/IP wydając
polecenia:
ipconfig /all
ipconfig /all > d:\zaj8\config.txt
5. Zwolnić systemowy adres IP (lub adres odpowiadający określonej karcie sieciowej) wydając polecenie:
ipconfig /release
Podjąć próbę połączenia siecią WSISiZ. Próba nie powinna się udać.
Sprawdzić parametry konfiguracyjne TCP/IP poleceniem ipconfig (jako adres IP otrzymuje się 0.0.0.0).
Uwaga: W sytuacji, gdy istnieją w systemie inne, poza TCP/IP, protokoły transmisji lub klienci Novell taka
próba mogła by się udać.
Po ponownym uruchomieniu komputera automatycznie zostaje przywrócony adres IP (nie restartować
komputera). Można to również osiągnąć wybierając np. Control Panel – Network Connections – Local Area
Connection – Properties – Repair.
6. Odnowić systemowy adres IP (lub adres odpowiadający określonej karcie sieciowej) wydając polecenie:
ipconfig /renew
Podjąć próbę połączenia z innym komputerem w sieci WSISiZ wykorzystując Start – Run. Próba powinna się
udać.
Ćwiczenie 3 (Osiąganie dostępu do nie udostępnionych, w sposób jawny, zasobów zdalnego
komputera z wykorzystaniem specjalnych, administracyjnych zasobów
udostępnionych)
1. Będąc zalogowanym jako admin-grupa wprowadzić w Start – Run \\szyyy\d$ gdzie szyyy jest nazwą
zdalnego komputera.
Winna być wyświetlona zawartość partycji D: zdalnego komputera.
Ćwiczenie 4 (Rola serwera plików – jej występowanie i definiowanie)
Część 1: Udostępnienie lokalnego zasobu źródłem automatycznego uruchamiania roli serwera plików
1. Będąc zalogowanym jako admin-grupa.
Wybrać Start – Manage Your Server. W oknie Manage Your Server w sekcji Managing Your Server
Roles winna być zamieszczona informacja: No roles have been added to this server. To add a role, click
Add or remove a role. Jest to domyślne ustawienie dla systemów Windows Server 2003.
Zamknąć okno Manage Your Server.
2. Wybrać np. w Explore (menu kontekstowe na Start) folder d:\TEMP i dokonać jego udostępnienia, przy
zastosowaniu domyślnych ustawień, korzystając z jego menu kontekstowego oraz opcji Sharing and
Security... (na karcie Sharing zaznaczyć pole Share this folder i użyć przycisku OK).
Ponownie otworzyć okno Manage Your Server i zauważyć, że pojawiła się informacja o nowej roli
systemu – File Server.
Wybrać hiperłącze Manage this file server i zapoznać się z zawartością okna File Server Management a
następnie je zamknąć. Zamknąć okno Manage Your Server.
3. Przerwać udostępnianie foldera z punktu 2 tego ćwiczenia (korzystając z jego menu kontekstowego oraz opcji
Sharing and Security... (na karcie Sharing zaznaczyć pole Do not share this folder i użyć przycisku OK).
4. Ponownie otworzyć okno Manage to Your Server i zauważyć brak zdefiniowanej roli serwera.
Część 2: Definiowanie roli serwera plików File Server
Uwaga: Sam fakt udostępnienia foldera uruchamia rolę serwera plików lecz w szczególności nie powoduje
dodania do systemu wygodnej w użyciu konsoli File Server Management.
5. W otwartym oknie Manage Your Server użyć (w sekcji Adding Roles to Your Server) łącza Add or remove
a role.
6. W pierwszym oknie (Preliminary Steps) kreatora zapoznać się z zaleceniami dotyczącymi wstępnych
czynności przygotowawczych i użyć Next.
7. W oknie Server Role zaznaczyć rolę File Server i użyć Next.
8. W oknie File Server Disk Quotas pozostawić domyślne ustawienia (pole Set up default disk quotas for new
users of this server nie powinno być zaznaczone) i użyć Next.
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
9
Wersja 3.4, 2006.04.05
9. W oknie File Server Indexing Service pozostawić domyślne ustawienia (zaznaczone pole No, leave Indexing
Service turned off) i użyć Next.
10. W oknie Summary of Selections użyć Next.
11. W pojawiającym się kreatorze Share a Folder Wizard użyć Next, w nowym oknie Folder Path, w polu
Folder path: wprowadzić ścieżkę d:\share1-grupa i użyć Next.
12. W oknie Name, Descriptions, and Settings poczynić następujące wpisy i ustalenia:
Share name: share1-grupa-szxxx, gdzie szxxx jest nazwą komputera udostępniającego folder
Description: dowolny tekst
Offline settings: wybrać Change... i w oknie Offline Settings zaznaczyć pole Files or programs from the
share will not be available offline., zatwierdzić a następnie użyć Next.
13. W oknie Permissions zaznaczyć pole Administrators have full access; other users have read and write
access i użyć Finish. W oknie Sharing was Successful użyć Close.
14. W oknie kreatora (Configure Your Server Wizard) This Server Is Now a File Server użyć hiperłącza View
the next steps for this role i zapoznać się z zawartością pojawiającego się okna. Użyć przycisku Finish.
15. Wybrać Start – Administrative Tools i zauważyć fakt pojawienia się nowej konsoli File Server
Management. Otworzyć tę konsolę i konsolę Computer Management. W konsoli File Server Management
wskazać węzeł Shares (Local) a w konsoli Computer Management węzeł Shared Folders .
Dokonać porównania formy i treści tych węzłów. Zwrócić uwagę m.in. na dodatkowe funkcje, w oknie
szczegółów dla File Server Management dotyczące hiperłącza Backup File Server i wyeksponowanego łącza
Configure Shadow Copies, nie występującego jawnie w Shared Folders.
Zamknąć konsolę Computer Management i okno Manage Your Server.
Ćwiczenie 5 (Włączanie i konfigurowanie Volume Shadow Copies (VSS) – przykładowa
droga realizacji – polecenie vssadmin i narzędzie schatask)
Włączanie i konfigurowanie funkcji Volume Shadow Copies można realizować różnymi sposobami. Oprócz
przedstawionego poniżej można to osiągnąć np. operując właściwościami woluminu lub konsolą Computer
Management.
1. W otwartym oknie File Server Management, dla zaznaczonego węzła Shares (Local) użyć (w oknie
szczegółów) hiperłącza Configure Shadow Copies.
2. W oknie Shadow Copies, w polu Select a volume: wybrać pozycję D:\ i użyć Settings...
3. Ustalanie harmonogramu wykonywania kopii VSS
Uwaga: Domyślne ustawienia harmonogramu VSS przewidują dokonanie 2 kopii w ciągu dnia. Nie zaleca się
wykonywania takiego konfigurowania Volume Shadow Copies, by tworzone były kopie częściej niż raz na
godzinę.
W oknie Settings użyć przycisku Schedule…
W oknie Schedule dla pola Schedule Task: wybrać Daily (codzienie) a w polu Start time: wprowadzić
bieżący czas systemowy i użyć przycisku Advanced...
W oknie Advanced Schedule Options zaznaczyć pole Repeat task i w polu Every: ustalić warość 1
(pozostawiając domyślną jednostkę czasu minutes).
Pozostawić domyślnie zaznaczone pole Duration: z wartością 1.
Sprawdzić, czy dla pola Start Date: wpis dotyczy bieżącej daty (winien taki być) i użyć przycisku OK.
W najwyżej położonym polu wyboru okna Schedule usunąć wpis
At 12:00 every Mon, Tue, ... odpowiedzialny za tworzenie kopii VSS w cyklu tygodniowym (Schedule Task:
Weekly) za pomocą przycisku Delete.
Zamknąć okno Schedule za pomocą przycisku OK.
4. W oknie Settings dla pola Use limit: wprowadzić 800 MB i użyć przycisku OK.
5. W oknie Shadow Copies użyć przycisku Create Now. Zauważyć zaistniałe zmiany w zawartości pól Select a
volume: i Shadow copies of selected volume a następnie użyć OK. Zamknąć okno konsoli File Server
Management.
6. Sprawdzenie terminu wykonywania następnej kopii VSS
W Command Prompt wydać polecenie:
schtasks /query
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
10
Wersja 3.4, 2006.04.05
7. Wyświetlenie wykazu istniejących kopii VSS
W Command Prompt wydać kolejno polecenia:
vssadmin /?
vssadmin list shadows /?
vssadmin list shadows | more
8. Uruchomić Explore, otworzyć D:\System Volume Information i zauważyć zaistnienie dodatkowych plików o
nazwach zawartych w nawiasach {*}. To one są odpowiedzialne za przechowywanie danych o Shadow Copies.
9. Po skonfigurowaniu przez partnera z zespołu kopii w tle połączyć się z jego komputerem wydając w
Start – Run \\szyyy\share1-grupa-szyyy, gdzie szyyy jest nazwą komputera udostępniającego folder, czyli
komputerem partnera. Usunąć plik s1.txt (nie usuwać pliku s3.doc) i utworzyć nowy folder.
Zamknąć okno połączenia ze zdalnym komputerem.
10. Połączyć się z komputerem partnera wydając w Run \\szyyy i wybrać z menu kontekstowego udziału
share1-grupa-szyyy Properties – Previous Versions. W polu Folder versions winny znajdować się pozycje
share1-grupa-szyyy opisane dzisiejszą datą i stosowną godziną. Wybrać „najstarszą” pozycję i użyć
przycisku View.
Zauważyć, że w otwierającym się oknie Eksplorera, w polu Adress, oprócz informacji o ścieżce do zasobu
zamieszczona jest również informacja o dacie i godzinie utworzenia poprzedniej wersji zasobu. Nie zamykać
Eksplorera.
11. Ponownie połączyć się z komputerem partnera wydając w Run: \\szyyy\share1-grupa-szyyy.
Otwiera się nowe okno Eksplorera. Porównać zawartość tego okna i okna otwartego w punkcie 10 bieżącego
ćwiczenia. Ich zawartość winna się różnić. Nie zamykać okna share1-grupa-szyyy on szyyy Properties.
Zamknąć wszystkie okna Eksplorera.
12. W oknie share1-grupa-szyyy on szyyy Properties (na karcie Previous Versions) zaznaczyć „najstarszą”
pozycję i użyć przycisku Restore.
W pojawiającym się oknie Previous Versions, po zapoznaniu się z zawartymi w nim informacjami użyć Yes a
następnie OK. Zamknąć, przyciskiem OK, okno share1-grupa-szyyy on szyyy Properties.
13. Ponownie połączyć się z komputerem partnera wydając w Run: \\szyyy\share1-szyyy. Zauważyć, że
przywrócony został plik s1.txt usunięty podczas realizacji punktu 9 bieżącego ćwiczenia. Zamknąć połączenie
ze zdalnym komputerem.
Ćwiczenie 6 (Wyłączanie funkcji Volume Shadow Copies)
1. Uzgodnić wykonywanie z partnerem.
W Properties dla woluminu Local Disk (D:) wybrać kartę Shadow Copies, przy zaznaczonej pozycji D:\
wybrać przycisk Disable i w oknie Disable Shadow Copies użyć Yes. Zamknąć okno Local Disk (D:)
Properties przyciskiem OK.
Ćwiczenie 7 (Usuwanie roli serwera plików)
1. Wybrać Start – Manage Your Server. W oknie Manage Your Server w sekcji Managing Your Server
Roles wybrać przycisk Add or remove a role.
2. W pierwszym oknie kreatora użyć Next, w oknie Server Role zaznaczyć pozycję File server i użyć przycisku
Next.
3. W oknie Role Removal Confirmation przeczytać informację o konsekwencjach usunięcia roli serwera
(usunięcie udostępnienia wszystkich folderów i konsoli File Server Management).
Zaznaczyć pole Remove the file server role i użyć Next.
4. W oknie File Server Role Removed użyć Finish. Zamknąć okno Manage Your Server.
Ćwiczenie 8 (Udostępnianie zasobów lokalnych w sieci i nadawanie uprawnień do udziałów
przy użyciu menu kontekstowego foldera oraz przystawki Shared Folders)
Część 1: Wykorzystanie przystawki Shared Folders
1. Dodać do konsoli MMC (Start – Run – mmc) przystawkę Shared Folders dla lokalnego komputera i zapisać
ją w domyślnej lokalizacji jako grupa.msc, gdzie grupa jest nazwą grupy odbywającej ćwiczenia.
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
11
Wersja 3.4, 2006.04.05
2. Rozwinąć węzeł Shared Folders (Local).
Z menu kontekstowego Shares wybrać New Share... i w pierwszym oknie kreatora użyć Next.
3. W oknie Folder Path, wprowadzić w polu Folder path: d:\share1-grupa i użyć Next.
4. W oknie Name, Descriptions, and Settings poczynić następujące wpisy i ustalenia:
Share name: share1-grupa-szxxx, gdzie szxxx jest nazwą komputera udostępniającego folder
Description: dowolny tekst
Offline settings: pozostawić domyślne ustawienie Selected files and programs available offline a następnie
użyć Next.
W oknie Permissions zaznaczyć pole Administrators have full access; other users have read and write
access i użyć Finish. W oknie Sharing was Successful użyć Close.
Część 2: Wykorzystanie menu kontekstowego foldera
5. Z menu kontekstowego foldera d:\off2-grupa wybrać Sharing and Security...
6. W oknie off2-grupa Properties zaznaczyć pole Share this folder i wprowadzić:
Share name: off2-grupa-szxxx, gdzie szxxx jest nawą lokalnego komputera
Description: dowolny komentarz
Wybrać przycisk Permissions. W oknie Permissions for off2-grupa-szxxx dodać grupie Everyone dodatkowe
uprawnienie Change (kolumna Allow) i użyć przycisku Add…
7. W oknie Select Users or Groups użyć przycisku Advanced… (potem Find Now) i dodać grupę
Administrators.
8. W oknie Permissions for off2-grupa-szxxx dodać grupie Administrators dodatkowo uprawnienie Full Control
(kolumna Allow) i zatwierdzić. Zamknąć, potwierdzając okno Permissions for off2-grupa-szxxx.
9. Poprosić partnera z zespołu, by podłączył się do udostępnionego zasobu share1-grupa-szxxx i otworzył plik
s3.doc.
10. Obejrzeć okna szczegółów w otwartej konsoli grupa.msc dla kolejno Sessions i Open Files. Winny pojawić się
stosowne zapisy wskazujące na nawiązanie sesji i korzystanie z pliku udostępnionego zasobu w sesji otwartej
przez użytkownika admin-grupa pracującego na komputerze szyyy (te informacje można również uzyskiwać
wydając w Command Prompt równoważne polecenia net sessions i net file).
Zamknąć okno konsoli MMC. Poprosić partnera o zamknięcie pliku i odłączenie się od zasobu.
Ćwiczenie 9 (Ukrywanie przed niepowołanymi użytkownikami wybranego udziału)
1. Z menu kontekstowego foldera d:\off2-grupa wybrać Sharing and Security...
2. W oknie off2-grupa Properties zaznaczyć pole Do not share this folder i użyć Apply.
3. W oknie off2-grupa Properties zaznaczyć pole Share this folder, w polu Share name: na końcu
proponowanej nazwy umieścić znak $ (ustaloną nazwą winno być off2-grupa$), inne ustawienia pozostawić
domyślne i użyć OK.
4. Poprosić partnera by za pomocą np. Run – \\szyyy lub My Network Places zobaczył udostępniony zasób.
Próba nie powinna się udać. Powiadomić partnera o właściwej nazwie udziału i poprosić, by za pomocą Run
wprowadził pełną ścieżkę do zasobu tzn. \\szyyy\off2-grupa$. Partner powinien zobaczyć zawartość
udostępnionego zasobu.
Ćwiczenie 10 [Dodatkowe] (Ukrywanie przed niepowołanymi użytkownikami wybranego
komputera w sieci z grupami roboczymi)
UWAGA: Punkty 3 i 6 tego Ćwiczenia będą wykonane na komputerze wskazanym przez prowadzącego zajęcia.
Nie należy ich wykonywać na komputerze lokalnym!!!
Jest to spowodowane długim okresem oczekiwania na rezultat wydawanych poleceń i utrudnieniami w
przeprowadzaniu dalszych ćwiczeń.
1. Będąc zalogowanym jako admin-grupa, w otwartym oknie Command Prompt zapoznać się ze składnią
poleceń
net config
i net config server wprowadzając kolejno:
net config /?
net config server /help
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
12
Wersja 3.4, 2006.04.05
2. Wyświetlić aktualne parametry usługi Server poleceniem:
net config server
3. (!!! UWAGA: Nie wykonywać na lokalnym komputerze!!!)
Ukryć komputer w sieci wydając polecenie:
net config server /HIDDEN:YES
4. Po okresie oczekiwania (nawet kilkadziesiąt minut) sprawdzić czy w wykazie komputerów grupy roboczej
znajduje się „ukryty” komputer poleceniami:
net view
net view \\szqqq
gdzie szqqq jest nazwą „ukrywanego” komputera
W wykazie komputerów nie powinien się znajdować. Po pewnym czasie (opóźnienie może być spowodowane
m.in. brakiem w sieci serwera WINS – Windows Internet Name Service) zniknie on również w My Network
Places. Od tej chwili zasoby „ukrytego” komputera staną się widoczne wyłącznie dla użytkownika, który zna
dokładną nazwę tego komputera.
5. Sprawdzić dostępność zasobów za pomocą np. Run – \\szqqq. Powinny być dostępne (za wyjątkiem
potencjalnie istniejących udziałów ukrytych znakiem $).
6. (!!! UWAGA: Nie wykonywać na lokalnym komputerze!!!)
Przywrócić widoczność komputera w otoczeniu sieciowym poleceniem:
net config server /HIDDEN:NO
Ćwiczenie 11 (Wyświetlanie listy procesów uruchomionych na zdalnym komputerze i ich
zamykanie – polecenia tasklist i taskkill)
1. Poprosić partnera z zespołu by uruchomił Inernet Explorer.
2. Zapoznać się ze składnią polecenia tasklist poleceniem:
tasklist /?
3. Wyświetlić listę uruchomionych procesów w komputerze partnera poleceniem:
tasklist /s szyyy
gdzie szyyy jest nazwą komputera partnera.
Zauważyć, że przy wykazie uruchomionych procesów znajduje się unikatowy identyfikator w kolumnie PID.
Uruchomiona przez partnera aplikacja wyspecyfikowana jest jako IEXPLORE.EXE.
4. Zapoznać się ze składnią polecenia taskkill poleceniem:
taskkill /?
5. Zamknąć zdalnie uruchomiony proces IEXPLORE.EXE poleceniem:
taskkill /s szyyy /PID identyfikator procesu /T
6. Sprawdzić skuteczność operacji poleceniem:
tasklist /s szyyy
Ćwiczenie 12 (Sprawdzenie możliwości uzyskania dostępu do udostępnionego w sieci zasobu z
poziomu Command Prompt przy użyciu polecenia net view)
1. Zapoznać się ze składnią polecenia net view wydając polecenie
net view /help
2. Dokonać sprawdzenia, czy partner z zespołu dokonał udostępnienia swoich folderów wydając polecenie:
net view \\szyyy
gdzie szyyy jest nazwą komputera zdalnego.
Winna się pojawić na liście zasobów pozycja share1-grupa-szyyy. Jeżeli partner prawidłowo wykonał
ćwiczenie 9 nie powinien być widoczny wpis off2-grupa$.
Ćwiczenie 13 (Udostępnianie zasobów lokalnych w sieci, udzielanie uprawnień oraz usuwanie
udziału z poziomu Command Prompt przy użyciu polecenia net share)
1. Zapoznać się ze składnią polecenia net share wydając polecenie:
net share /help | more
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
13
Wersja 3.4, 2006.04.05
2. Wyświetlić listę udostępnionych w systemie zasobów wydając polecenie:
net share
3. Usunąć z listy udostępnianych przez siebie zasobów udział off2-grupa$ poleceniem:
net share off2-grupa$ /delete
3. Sprawdzić skuteczność operacji wydając polecenie:
net share
Na wyświetlonej liście nie powinno być informacji o udziale off2-grupa$.
4. Udostępnić folder d:\share2-grupa z nazwą nowego udziału share2-grupa-szxxx z uprawnieniami do udziału
Full Control – dla grupy Administrators i Change – dla grupy Everyone oraz komentarzem dowolny text
poleceniem (w jednym ciągu):
net share share2-grupa-szxxx=d:\share2-grupa
/grant:administrators,full /grant:everyone,change /remark:"dowolny text"
5. Sprawdzić skuteczność operacji wydając polecenie (pkt 2) lub np. w My Computer (winien być przy ikonie
foldera symbol udostępniania).
6. Sprawdzić dodatkowe informacje o udziale wydając polecenie:
net share share2-grupa-szxxx
7. Poprosić partnera z zespołu o sprawdzenie dostępności zasobu przez wprowadzenie w Start – Run polecenia
\\szyyy gdzie szyyy jest nazwą komputera udostępniającego zasób lub przy użyciu polecenia
net view \\szyyy
Ćwiczenie 14 (Tworzenie połączenia ze zdalnym zasobem i odłączanie zamapowanego zasobu
za pomocą polecenia net use)
1. Będąc zalogowanym jako admin-grupa dokonać mapowania jako dysk M: udziału share1-grupa-szyyy z
komputera szyyy swojego partnera w następujący sposób.
W Start – Run wprowadzić \\szyyy.
W oknie \\szyyy wybrać z menu kontekstowego udziału share1-grupa-szyyy Map Network Drive...
W oknie Map Network Drive w polu Drive: wprowadzić M:, wyczyścić pole Reconect at logon i użyć
przycisku Finish.
Otworzyć My Computer i zauważyć pojawienie się nowej sekcji Network Drives z ikoną dysku sieciowego
opatrzonego literą (M:).
2. Zapoznać się ze składnią polecenia net use wydając polecenie
net use /help | more
3. Wyświetlić za pomocą polecenia:
net use
listę połączeń sieciowych.
4. Odłączyć udział share1-grupa-szyyy od swojego komputera poleceniem:
net use m: /delete
Jeżeli zasób jest w użyciu pojawia się stosowny komunikat. Należy potwierdzić go wprowadzając y.
5. Sprawdzić skuteczność operacji wydając polecenie net use lub oglądając zawartość okna My Computer.
6. Dokonać trwałego połączenia (wznawianego podczas następnego logowania w systemie) z udziałem
share1-grupa-szyyy z komputera partnera szyyy, mapując udział jako dysk P: poleceniem:
net use
p: \\szyyy\share1-grupa-szyyy /persistent:yes
7. Sprawdzić skuteczność wydanego polecenia jak w punkcie 3 oraz wylogowując się i ponownie logując się jako
admin-grupa.
Odłączyć się od wszystkich zasobów do których jest podłączony własny komputer wykonując:
net use * /delete
potwierdzając komunikat (y).
Ćwiczenie 15 (Konfiguracja systemu plików DFS)
1. Uruchomić usługę Distributed File System (odpowiedzialną za funkcjonowanie systemu DFS) przy użyciu
Administrative Tools – Services lub wydając polecenie:
net start "Distributed File System"
2. W Administrative Tools uruchomić konsolę Distributed File System i utworzyć katalog główny systemu
DFS wybierając z menu Action – New Root... W powitalnym oknie kreatora użyć Next.
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
14
Wersja 3.4, 2006.04.05
3. W oknie Root Type zaznaczyć pole Stand-alone root i użyć Next.
4. W oknie Host Server wprowadzić w polu Server name: szxxx, gdzie szxxx jest nazwą komputera lokalnego i
użyć Next.
5. W oknie Root Name wprowadzić następujące wpisy:
Root name: Nazwisko, tu należy wprowadzić swoje nazwisko
Comments: dowolny komentarz
i użyć Next.
6. W oknie Root Share użyć przycisku Browse…
7. Woknie Browse For Folder zaznaczyć Local Disk (D:), użyć przycisku Make New Folder i wprowadzić dla
nowego foldera nazwę dfs-szxxx (gdzie szxxx jest nazwą lokalnego komputera) a następnie zatwierdzić.
8. W oknie Root Share użyć Next, a w oknie Completing the New Root Wizard przycisku Finish.
Po tej operacji w lokalnym komputerze pojawia się, jeszcze „pusty”, folder dfs-szxxx z nazwą udziału
Nazwisko.
9. W drzewie konsoli Distributed File System, z menu kontekstowego katalogu głównego \\szxxx\nazwisko
wybrać Check Status. W oknie szczegółów winna się pojawić informacja o odwołaniu do systemu DFS (DFS
Referal – Enabled) i stanie połączenia (Status – Online).
10. Z menu kontekstowego katalogu głównego \\szxxx\nazwisko wybrać New Link... i w oknie New Link
wprowadzić:
Link name: link1
Comment: dowolny komentarz 1
Amount of time clients cache this referal in seconds: (Czas, w sekundach, przez który klienci buforują to
odwołanie:) pozostawić wartość domyślną 1800.
Użyć przycisku Browse... i w oknie Browse for Folder, po rozwinięciu stosownych gałęzi, wskazać dla
komputera partnera – szyyy udział share2-grupa-szyyy a następnie zatwierdzić. Zamknąć, zatwierdzając okno
New Link.
11. Z menu kontekstowego katalogu głównego \\szxxx\nazwisko wybrać New Link... i w oknie New Link
wprowadzić:
Link name: link2
Comment: dowolny komentarz 2
Amount of time clients cache this referal in seconds: pozostawić wartość domyślną 1800.
Użyć przycisku Browse... i w oknie Browse for Folder, po rozwinięciu stosownych gałęzi, wskazać dla
swojego (tzn. lokalnego) komputera udział share1-grupa-szxxx a następnie zatwierdzić. Zamknąć,
zatwierdzając okno New Link.
12. Wydać w Run \\szxxx, gdzie szxxx jest nazwą komputera lokalnego, otworzyć udział Nazwisko i zauważyć, że
zaistniały dwa foldery link1, link2, z których każdy pochodzi z innego serwera plików. Sprawdzić to
wyświetlając Properties dla tych nazw i przeglądając zakładkę DFS. Poprosić partnera by połączył się z
udziałem Nazwisko i potwierdził ten fakt.
Ćwiczenie 16 (Usuwanie elementów systemu plików DFS)
1. W otwartej konsoli Distributed File System zaznaczyć łącze link1 i w oknie szczegółów z menu
kontekstowego elementu docelowego wybrać Remove Target. W oknie komunikatu Distributed File System
pojawia się informacja m.in. o tym, że jeżeli jest to jedyny element docelowy dla łącza (tzn. dla link1) zostanie
również usunięte to łącze. Zatwierdzić ostrzeżenie.
2. W drzewie konsoli z menu kontekstowego dla łącza link2 wybrać Delete Link. W oknie komunikatu pojawia
się informacja, że operacja nie spowoduje utraty danych w elemencie docelowym usuwanego łącza.
Zatwierdzić.
3. Usunąć katalog główny DFS wybierając Action – Delete Root i zatwierdzając ostrzeżenie.
4. Poprosić partnera by sprawdził zawartość udziału Nazwisko. Udział nie powinien zawierać folderów.
5. Zamknąć konsolę Distributed File System.
6. Usunąć udostępnienie foldera dfs-szxxx a następnie sam folder.
Ćwiczenie 17 (Ukrywanie przed niepowołanymi użytkownikami zawartości wybranego udziału
w oparciu o uprawnienia i dodatek Access-based Enumeration (ABE))
Część I: Instalacja dodatku Access-based Enumeration (ABE)
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
15
Wersja 3.4, 2006.04.05
1. Będąc zalogowanym jako admin-grupa z menu kontekstowego pliku d:\zaj8\ABEUI.msi wybrać opcję Install.
2. W oknie dialogowym instalatora pozostawiać domyślne ustawienia.
Część II: Udostępnienie foldera i sprawdzenie stanu wyjściowego
3. Z menu kontekstowego foldera d:\enum wybrać Sharing and Security... i dokonać, na karcie Sharing,
udostępnienia zasobu z domyślnymi ustawieniami.
4. Poprosić partnera by zalogował się jako cent-grupa (hasło: cent) i otworzył udostępniony zasób \\szyyy\enum.
Winny tu występować foldery cent, dolar i zloty. Partner winien się odłączyć się od zasobu.
Część III: Modyfikacja uprawnień NTFS uniemożliwiających użytkownikowi dostęp do wybranych folderów
5. Z menu kontekstowego foldera d:\enum\dolar wybrać Sharing and Security... i na karcie Security wybrać
przycisk Add.
6. W oknie Select Users or Groups, w polu Enter the object names to select wprowadzić cent-grupa i
zatwierdzić.
7. Na karcie Security, przy wybranej pozycji dla konta cent-grupa zaznaczyć w polu Permissions for cent, w
kolumnie Deny pole Read. Użyć przycisku Apply i zatwierdzić okno komunikatu Security.
8. Zamknąć okno dolar Properties przyciskiem OK.
9. Poprosić partnera by ponownie podłączył się do zasobu \\szyyy\enum.
Sytuacja nie uległa zmianie. Użytkownik cent-grupa nadal widzi folder dolar mimo, że nie posiada do niego
uprawnień. Odłączyć się od zasobu.
Część IV: Włączenie funkcji Access-based Enumeration
10. Z menu kontekstowego foldera d:\enum wybrać Properties a następnie kartę Access-based Enumeration i
zaznaczyć pole Enable access-based enumeration on this shared folder. Zamknąć okno enum Properties
przyciskiem OK.
Część V: Sprawdzenie działania funkcji ABE
11. Poprosić partnera by ponownie podłączył się do zasobu \\szyyy\enum.
Sytuacja uległa zmianie. Użytkownik cent-grupa nie widzi już foldera dolar. Odłączyć się od zasobu.
Część VI: Wyłączenie funkcji Access-based Enumeration
12. Z menu kontekstowego foldera d:\enum wybrać Properties a następnie kartę Access-based Enumeration i
odznaczyć pole Enable access-based enumeration on this shared folder. Zamknąć okno enum Properties
przyciskiem OK.
Część VII: Deinstalacja dodatku ABE
13. Z menu kontekstowego pliku d:\zaj8\ABEUI.msi wybrać opcję Uninstall.
Ćwiczenie 18 (Zdalne udostępnianie folderów oraz konfiguracja obsługi plików trybu offline –
przykład jednej z możliwości)
Uwaga: Ćwiczenie wymaga precyzyjnej koordynacji działań partnerów
Część 1: Konfiguracja plików trybu offline po stronie serwera plików – przykład zdalnej procedury
Funkcja plików trybu offline służy do buforowania plików i folderów sieciowych na dysku twardym lokalnego
komputera. Po stronie serwera plików należy udostępnić folder i określić właściwości buforowania dotyczące tego
foldera oraz znajdujących się w nim podfolderów i plików.
W większości przypadków proces udostępniania i określania właściwości buforowania odbywa się lokalnie na
serwerze plików. Dla potrzeb tego ćwiczenia zademonstrowano zdalną procedurę przeprowadzenia tego procesu.
1. Będąc zalogowanym jako admin-grupa dodać do konsoli grupa.msc przystawkę Shared Folders dla
komputera partnera z zespołu (szyyy). Dla przypomnienia, należy w procesie dodawania snap-in, w oknie
Shared Folders, zaznaczyć opcję Another Computer: i wprowadzić szyyy i kolejno zatwierdzać.
2. Rozwinąć węzeł Shared Folders (\\szyyy) i z menu kontekstowego Shares wybrać New Share... i w oknie
kreatora użyć Next.
W oknie Folder Path użyć przycisku Browse.
W oknie Browse For Folder rozwinąć węzeł D$, zaznaczyć folder off1-grupa, zatwierdzić i użyć Next.
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
16
Wersja 3.4, 2006.04.05
W oknie Name, Descriptions, and Settings wprowadzić, w polu Share name: off1-grupa-szyyy, gdzie szyyy
jest nazwą komputera partnera z zespołu (grupa – numer grupy). Pozostawić bez zmian ustawienie dla pola
Offline settings: Selected files and programs available offline i użyć przycisku Next.
3. W oknie Permissions zaznaczyć opcję Administrators have full access; other users have read and write
access i użyć Finish. W pojawiającym się oknie Sharing was Successful wybrać Close. Zamknąć konsolę.
Część 2: Konfiguracja plików trybu offline po stronie komputera klienta – przypadek ręcznego buforowania
4. Otworzyć Explore i wybrać z menu Tools – Folder Options... – Offline Files.
Na karcie Offline Files zaznaczyć pole Enable Offline Files.
Pola Synchronize all offline files when loggin on, Synchronize all offline files before loggin off powinny
być odznaczone a pole Display a reminder every: winno być zaznaczone. Pozostałe opcje – pozostawić
domyślne ustawienia.
Wybrać przycisk Advanced i sprawdzić, czy w oknie Offline Files – Advanced Settings wybrana jest opcja
Notify me and begin working offline (jeżeli nie jest, należy ją zaznaczyć) i użyć przycisku OK.
Zamknąć okno Folder Options przyciskiem OK.
5. Uwaga: Przy pierwszym użyciu plików trybu offline pojawia się kreator pozwalający na początkowe
skonfigurowanie systemu. Przy następnym użyciu nie pojawia się ponownie, jednak wszelkie konfiguracje
oferowane przez kreator są dostępne z poziomu Folder Options.
Dla potrzeb tego ćwiczenia w przypadku pojawienia się kreatora należy potwierdzać domyślne ustawienia.
Przy użyciu Start – Run podłączyć się do komputera partnera z zespołu i otworzyć udział off1-grupa-szyyy.
Z menu kontekstowego pliku off1-szyyy.txt wybrać Make Available Offline.
W pierwszym oknie kreatora użyć Next, w pozostałych oknach użyć ustawień domyślnych.
Na ikonie pliku pojawiają się dwie strzałki symbolizujące korzystanie z trybu offline. Nie zamykać okna
\\szyyy\off1-grupa-szyyy.
6. Otworzyć plik off1-szyyy.txt i wprowadzić tekst: teraz jest on-line. Nie dokonywać zapisu. Nie zamykać
Notepad.
7. Przerwać połączenia z siecią wybierając z menu kontekstowego ikony Local Area Connection opcję Disable.
Ikona znika z paska zadań.
Wprowadzić do otwartego pliku tekst: teraz pracuje bez sieci !!!.
Wybrać z menu Tools – Folder Options... – Offline Files i użyć przycisku View Files. Pojawia się okno
Offline Files Folder a w nim informacja o statusie pliku (Server Status – Offline). Zamknąć to okno i okno
Folder Options.
!!! Dokonać zapisu pliku off1-szyyy.txt i zamknąć Notepad. Zamknąć okno połączenia z komputerem partnera.
Przywrócić łączność z siecią używając w menu kontekstowym Control Panel – Network Connections –
Local Area Connection opcji Enable.
Część 3: Synchronizacja plików
8. Ponownie dokonać połączenia z komputerem partnera i w oknie \\szyyy\off1-grupa-szyyy otworzyć plik
off1-szyyy.txt.
Zauważyć, że w dokumencie znalazła się treść wprowadzana podczas sesji offline.
Poprosić partnera z zespołu, by też otworzył ten plik (plik powinien zawierać treść sprzed modyfikacji
dokonanych w punktach 6, 7 bieżącego ćwiczenia) a następnie zamknął plik.
9. Ręczna synchronizacja plików offline.
W oknie \\szyyy\off1-grupa-szyyy z menu kontekstowego pliku off1-szyyy.txt wybrać Synchronize.
Zauważyć krótkie zaistnienie okna synchronizacji (może pojawić się okno Close Open Files z komunikatem,
który po przeczytaniu należy zatwierdzić).
Poprosić partnera z zespołu, by otworzył ten plik i sprawdził skuteczność synchronizacji a następnie zamknął
plik.
10. Otworzyć, w oknie \\szyyy\off1-grupa-szyyy, plik off1-szyyy.txt.
Przerwać połączenia z siecią, jak w punkcie 7 tego ćwiczenia.
Wprowadzić treść: bedzie konflikt przy synchronizacji z szyyy.
Dokonać zapisu i zamknąć Notepad.
Poprosić partnera z zespołu, by otworzył ten plik, wprowadził tekst: na pewno bedzie konflikt przy
synchronizacji z szxxx, dokonał zapisu i zamknął Notepad.
11. Zmiana sposobu synchronizacji plików.
Otworzyć My Computer i z menu wybrać Tools – Synchronize...
W oknie Items to Synchronize użyć przycisku Setup...
W oknie Synchronization Settings zaznaczyć pozycję dotyczącą komputera partnera i odznaczyć pola When I
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
17
Wersja 3.4, 2006.04.05
log on my computer i When I log off my computer. Użyć przycisku OK a w oknie Items to Synchronize
przycisku Close.
12. Przywrócić łączność z siecią używając w menu kontekstowym Control Panel – Network Connections –
Local Area Connection opcji Enable.
Część 4: Rozwiązywanie konfliktu plików
13. Połączyć się z komputerem partnera i w oknie \\szyyy\off1-grupa-szyyy z menu kontekstowego pliku
off1-szyyy.txt wybrać Synchronize. Może pojawić się okno Close Open Files – należy je zatwierdzić.
W oknie Resolve File Conflicts wyświetlić zawartość pliku lokalnie zbuforowanego (przycisk View przy
Local Version Modified by ...) i pliku na serwerze (przycisk View przy Network Version Modified ...).
Zauważyć różnice wynikające z realizacji punktu 10 tego ćwiczenia.
Zamknąć obydwa pliki.
14. W oknie Resolve File Conflicts wybrać opcję Keep only the version on my computer. Replace the network
version i użyć przycisku OK.
Poprosić partnera z zespołu, by otworzył plik off1-szyyy.txt i sprawdził skuteczność synchronizacji a następnie
zamknął plik.
Część 5: Wyłączanie trybu offline dla sieciowego zasobu
15. W oknie \\szyyy\off-grupa-szyyy z menu kontekstowego pliku off1-szyyy.txt odznaczyć Make Available
Offline.
Znika oznaczenie trybu offline z ikony tego pliku.
16. Otworzyć Explore i wybrać z menu Tools – Folder Options... – Offline Files.
Na karcie Offline Files odznaczyć pole Enable Offline Files i zatwierdzić.
Ćwiczenie 19 [Dodatkowe] (Definiowanie parametrów IP w trybie wsadowym za pomocą
netsh)
Polecenie netsh działające w oknie wiersza poleceń jest bardzo rozbudowanym narzędziem Windows Server 2003
służącym do konfiguracji parametrów i usług sieciowych,. Jego wybrane możliwości zostaną zaprezentowane na
przykładzie konfiguracji parametrów IP (dla połączenia sieciowego Local Area Connection) takich jak adres IP,
maska sieci, domyślna brama oraz serwery DNS i WINS. Zmiany tych ustawień nie wymagają restartu systemu.
1. Będąc zalogowanym jako admin-grupa wykonać polecenie ipconfig /all i odnotować na kartce adres IP
związany z połączeniem Local Area Connection, maskę sieci, adres domyślnego gateway’a oraz adresy IP
pierwszego serwera DNS oraz pierwszego serwera WINS (obszerniejsze informacje znajdują się w pliku
d:\zaj8\config.txt).
2. W pliku \zaj8\wsisiz-static.cmd znajduje się przykładowy skrypt interpretera poleceń, wykorzystujący
polecenie netsh do ręcznego (statycznego) skonfigurowania połączenia sieciowego. Posługując się edytorem
Notepad zapoznać się z jego treścią po czym dopasować występujące w nim parametry do danych zapisanych
w poprzednim punkcie bieżącego ćwiczenia (przede wszystkim adres IP).
3. Wykonać ten skrypt w oknie wiersza poleceń.
Sprawdzić za pomocą polecenia ping łączność z innym komputerem na sali oraz komputerem poza siecią
WSISIZ, np. z www.tpnet.pl (powinna być).
4. Aktualnie zdefiniowaną konfigurację IP połączenia (uzyskaną np. za pomocą narzędzi omówionych w
poprzednim ćwiczeniu lub za pomocą netsh) można zapamiętać w pliku tekstowym używając polecenia:
netsh interface dump > d:\zaj8\netsh-conf.txt
gdzie d:\zaj8\netsh-conf.txt jest tutaj przykładową nazwą pliku.
Jedną z zalet takiego postępowania jest uzyskanie w ten sposób dokumentacji ustawień sieciowych IP danego
komputera.
Kolejna zaleta wynika z faktu, że w razie potrzeby można zapamiętaną konfigurację przywrócić później
poleceniem:
netsh –f d:\zaj8\netsh-conf.txt
Dysponując plikami tekstowymi odpowiadającymi różnym konfiguracjom IP używanego komputera, można
dzięki tej metodzie łatwo przełączać się między różnymi ustawieniami. Dodatkowym ułatwieniem jest też to,
że zmiana ustawień IP nie wymaga restartu systemu.
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
18
Wersja 3.4, 2006.04.05
5. W pliku \zaj8\wsisiz-dhcp.cmd znajduje się przykładowy skrypt interpretera poleceń, wykorzystujący polecenie
netsh
do dynamicznego (za pomocą protokołu DHCP) skonfigurowania połączenia sieciowego.
Zapoznać się z jego treścią.
6. Wykonać ten skrypt w oknie wiersza poleceń.
Sprawdzić za pomocą polecenia ping łączność z innym komputerem na sali oraz komputerem poza siecią
WSISIZ, np. z www.tpnet.pl (powinna być).
Ćwiczenie 20 [Dodatkowe] (Tworzenie, kopiowanie i usuwanie profilu sprzętowego –
przypadek profilu bez karty sieciowej)
Część 1: Kopiowanie oryginalnego profilu sprzętowego
1. Będąc zalogowanym jako admin-grupa wybrać Properties z menu kontekstowego My Computer.
W oknie System Properties otworzyć kartę Hardware i wybrać przycisk Hardware Profiles.
2. W oknie Hardware Profiles wybrać przycisk Copy.
W oknie Copy Profile, w poly To: wprowadzić Profil bez karty i zatwierdzić.
W oknie Hardware Profiles sprawdzić, czy wybrany jest Profil bez karty i użyć przycisku ze strzałką do góry,
aby ten profil znalazł się na pierwszym miejscu listy. Pole Select the first profile listed if I don’t select a
profile in winno być zaznaczone a czas oczekiwania winien być 30 sekund.
Wybrać przycisk OK by zamknąć okna Hardware Profiles i System Properties.
3. Uruchomić ponownie komputer. Podczas uruchamiania komputera w pojawiającym się menu Hardware
Profile/Configuration Recovery Menu użyć klawisza Enter, by wybrać profil Profil bez karty.
Zalogować się jako admin-grupa.
Część 2: Tworzenie własnego profilu sprzętowego w oparciu o kopię profilu oryginalnego
4. Wybrać Properties z menu kontekstowego My Computer.
5. W oknie System Properties otworzyć kartę Hardware i wybrać przycisk Hardware Profiles.
6. W oknie Hardware Profiles sprawdzić, czy wybrany jest Profil bez karty.
W polu Select the first profile listed if I don’t select a profile in ustawić ilość sekund na 0 i użyć przycisku
OK.
7. Na karcie Hardware użyć przycisku Device Manager.
W oknie Device Manager rozwinąć Network adapters i z menu kontekstowego karty sieciowej wybrać
Properties.
W oknie karta sieciowa Properties, na karcie General, w sekcji Device Usage: wybrać Do not use this device
in the current hardware profile (disable) i zatwierdzić.
Zauważyć, że ikona karty sieciowej otrzymała znak przekreślenia.
W podobny sposób można dla aktualnie tworzonego profilu uniemożliwić korzystanie z np. napędów CD,
FDD.
8. Zamknąć okna Device Manager i System Properties (przycisk OK).
9. Ponownie uruchomić komputer.
Zauważyć, że podczas uruchamiania się komputera nie pojawiło się menu Hardware Profile/Configuration
Recovery Menu !!!. A zatem uzyskana konfiguracja startowa systemu obowiązuje dla wszystkich jego
użytkowników.
10. Zalogować się jako bilbo-grupa.
Sprawdzić możliwość uzyskania połączenia z siecią WSISiZ np. przy użyciu My Network Places.
Zapoznać się z rezultatem wydania polecenia ipconfig /all.
Podjąć próbę usunięcia profilu sprzętowego (próba nie powinna się udać, ponieważ użytkownik bilbo-grupa
może wyłącznie stwierdzić fakt istnienia różnych profili sprzętowych lecz nie posiada uprawnień do takiej
operacji).
Wylogować się.
Część 3: Usuwanie utworzonego profilu sprzętowego
11. Zalogować się jako admin-grupa.
Wybrać Properties z menu kontekstowego My Computer.
W oknie System Properties otworzyć kartę Hardware i wybrać przycisk Hardware Profiles.
Sprawdzić, czy w oknie Hardware Profiles wybrany jest profil Profil bez karty (Current) i użyć przycisku ze
strzałką w dół.
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
19
Wersja 3.4, 2006.04.05
!!! W polu Select the first profile listed if I don’t select a profile in ustawić ilość sekund na 30.
Używając przycisku OK zamknąć okna Hardware Profiles i System Properties.
Ponownie uruchomić komputer.
Podczas uruchamiania powinien być wybrany profil Profile 1.
12. Zalogować się jako admin-grupa.
Zauważyć, że dostępne są już połączenia sieciowe.
Wybrać Properties z menu kontekstowego My Computer.
W oknie System Properties otworzyć kartę Hardware i wybrać przycisk Hardware Profiles.
W oknie Hardware Profiles zaznaczyć profil Profil bez karty i użyć przycisków Delete a następnie Yes i OK.
Używając przycisku OK zamknąć okno System Properties.
Ćwiczenie 21 (Porządki)
Zalogować się jako Administrator:
1. Otworzyć Command Prompt i uruchomić skrypt d:\zaj8\dekonfiguracja8.cmd wydając polecenie:
d:\zaj8\dekonfiguracja8.cmd nazwa_grupy_studenckiej
2. Zamknąć system.
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
20
Wersja 3.2, 2006.04.10
ZAJĘCIA 9 - ZAKRES PRAC I MATERIAŁY POMOCNICZE
ZAKRES PRAC
1. Zdalna praca z systemem Windows Server 2003
1.1. Mechanizmy identyfikacji używane podczas podłączania się do zdalnych zasobów
1.2. Wbudowane możliwości zdalnej pracy w narzędziach Windows Server 2003
1.3. Serwer usługi Telnet
1.4. Usługa zdalnego pulpitu (Remote Desktop) i usługi terminalowe (Terminal Services)
1.4.1. Remote Desktop for Administration – konfiguracja i narzędzia na serwerze
1.4.2. Remote Desktop Connection – klient usługi zdalnego pulpitu
1.4.3. Remote Desktops – konsola MMC do obsługi wielu sesji
1.4.4. Remote Desktop Web Connection – klient w przeglądarce
Liczba ćwiczeń: 11
MATERIAŁY POMOCNICZE
1 Zdalna praca z systemem Windows Server 2003
Mechanizmy sieciowe wykorzystywane przez system Windows Server 2003 pozwalają na zdalny dostęp do
zasobów, zdalne administrowanie i pracę z systemem Windows Server 2003.
1.1 Mechanizmy identyfikacji używane podczas podłączania się do zdalnych
zasobów
Podczas podłączania się do zasobów udostępnianych z serwera sieciowego czyli nawiązywaniu sesji z takim
serwerem, z komputera klienckiego wysyłane są poświadczenia (ang. credentials), nazywane też parametrami
uwierzytelnienia, obejmujące nazwę konta i hasło (oraz w razie potrzeby nazwę domeny). Na ich podstawie serwer
zezwala (lub nie zezwala) na nawiązanie sesji i dostęp do zasobów.
System Windows Server 2003 (podobnie jak Windows NT 4.0 i Windows 2000) nie pozwala na nawiązanie z
danego komputera wielu sesji do tego samego serwera sieciowego z wykorzystaniem różnych parametrów
uwierzytelnienia. Przy próbie nawiązania dwóch lub więcej połączeń do tego samego serwera w oparciu o dwa lub
więcej zestawy poświadczeń generowany jest poniższy błąd systemowy o numerze 1219:
Multiple connections to a server or shared resource by the same user, using more
than one user name, are not allowed. Disconnect all previous connections to the
server or shared resource and try again.
(W systemie Windows 2000 ten sam błąd 1219 jest wyświetlany z innym opisem:
The credentials supplied conflict with an existing set of credentials
)
Aby nawiązać sesję posługując się parametrami innego konta należy najpierw zamknąć wszystkie dotychczasowe
połączenia do tego serwera, w efekcie zamykając też sesję z tym komputerem.
Jest to opisane w bazie wiedzy Microsofta (Microsoft Knowledge Base) jako problem 106211.
Konsekwencją powyższego mechanizmu nie jest brak możliwości podłączenia się do wielu różnych zasobów
udostępnionych z danego serwera. Można podłączać się do wielu udostępnionych zasobów, ale zawsze będzie
wykorzystywany ten sam zestaw poświadczeń identyfikujących użytkownika jak w pierwszym nawiązanym
połączeniu. Inaczej mówiąc, z określonego komputera można nawiązać jedną sesję ze zdalnym serwerem
udostępniającym zasoby, ale w oparciu o parametry tak nawiązanej sesji można podłączyć się do wielu różnych
zasobów udostępnianych z tego serwera.
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
1
Wersja 3.2, 2006.04.10
Domyślnie wysyłanymi poświadczeniami są dane dotyczące bieżąco zalogowanego użytkownika. Jeśli takie
parametry nie mogą być zaakceptowane przez serwer udostępniający zasób, pojawia się zwykle okno dialogowe
pozwalające wprowadzić inne poświadczenia.
Niektóre polecenia i narzędzia systemu takie jak: net use, czy Map Network Drive pozwalają na jawne określenie
parametrów innego konta jeszcze przed próbą nawiązania połączenia.
W systemie Windows Server 2003 można szukać obejścia sytuacji sygnalizowanej błędem 1219 przy użyciu
mechanizmu Secondary Logon czyli Run As.
1.2 Wbudowane
możliwości zdalnej pracy w narzędziach Windows Server 2003
Wiele standardowych narzędzi oferowanych w Windows Server 2003 pozwala na wykonywanie czynności na
zdalnym komputerze. Podczas podłączania się do zdalnego komputera wysyłane są poświadczenia odpowiadające
bieżąco zalogowanemu użytkownikowi. Większość narzędzi do administrowania systemem wymaga aby
użytkownicy logujący się zdalnie należeli do jednej z systemowych grup, najczęściej do grupy Administrators.
Narzędzia takie można generalnie podzielić na:
• przeznaczone do wykonywania specjalizowanych czynności (m.in. konsole MMC, Administrative Tools,
Backup, polecenie netsh)
• narzędzia dzięki którym może być wykonany szereg potencjalnie nie związanych ze sobą czynności na
zdalnym komputerze (m.in. edytor Rejestru, polecenie at i schtasks, serwer i klient usługi Telnet, Remote
Desktop i Terminal Services)
Konsole MMC predefiniowane w Windows Server 2003 (np. konsola Computer Management) pozwalają objąć
zakresem swojego zdalnego oddziaływania inne komputery.
Niektóre przystawki (snap-ins) dodawane do budowanej konsoli MMC posiadają aspekt konfiguracji określający na
jakim komputerze (domyślnie: lokalnym) mają być uruchamiane.
Specjalizowane polecenie netsh działające w wierszu poleceń pozwala na konfigurację parametrów i wybranych
usług sieciowych (DNS, WINS, RAS i in.) na lokalnym i zdalnym komputerze.
Edytory Rejestru regedit umożliwia podłączenie się do zdalnego Rejestru. Polecenie reg pozwala przy
specyfikacji klucza lub wartości użyć odwołania do zdalnego komputera w notacji UNC (\\nazwa).
Polecenie at nominalnie służące do planowania wykonania poleceń o zadanej porze może posłużyć do zlecenia
wykonania określonej czynności lub zestawu czynności opisanych np. w pliku wsadowym także na zdalnym
komputerze. Takie same możliwości oferuje polecenie schtasks.
Serwer usługi Telnet pozwala administratorowi lub użytkownikowi na zdalne zalogowanie się na komputer z
Windows Server 2003 i pracę interakcyjną z narzędziami nie korzystającymi z interfejsu GUI.
Usługa zdalnego pulpitu (Remote Desktop for Administration) oraz usługi Terminalowe (Terminal Services)
oferują pełnię możliwości zdalnej pracy na serwerach Windows Server 2003 zarówno dla użytkowników jak i
administratorów, korzystających z narzędzi z interfejsem GUI oraz interfejsem znakowym.
1.3 Serwer usługi Telnet
System Windows Server 2003 oferuje standardowo serwer usługi Telnet czyli możliwość zdalnego logowania się
do systemu i pracy interakcyjnej w trybie wiersza poleceń.
(Pierwszym systemem Microsoftu, który posiadał standardowo tę możliwość był Windows 2000).
Cechą wyróżniającą serwer Telneta w systemie Windows Server 2003 jest możliwość stosowania uwierzytelniania
NTLM, które nie wymaga od użytkownika podawania nazwy konta i hasła (te informacje są przesyłane
samoczynnie, w formie zaszyfrowanej) zamiast standardowego zachowania usługi Telnet wymagającego przesłania
nazwy konta i hasła czystym tekstem. Klient usługi Telnet w systemie Windows Server 2003 potrafi wykorzystać
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
2
Wersja 3.2, 2006.04.10
ten mechanizm uwierzytelniania. Klienci usługi Telnet dostępni w innych systemach operacyjnych (np.
UNIX/Linux) wymagają zazwyczaj uwierzytelniania drugim z podanych sposobów.
Usługa Telnet jest standardowo wyłączona (ang. disabled) w systemie Windows Server 2003.
Po włączeniu tej usługi, narzędziem używanym do zarządzania nią jest tlntadmn.exe.
Jest to narzędzie działające w wierszu poleceń.
Zakres dostępnych czynności obejmuje: wyświetlanie informacji o sesjach, rozłączanie sesji, wysyłanie
komunikatów do sesji, wyświetlanie i zmianę parametrów pracy serwera Telnet, zatrzymanie i uruchomienie tej
usługi.
Za pomocą tlntadmn.exe można wykonywać również konfigurację serwera Telnet na zdalnym komputerze.
Domyślnie tylko użytkownicy z grupy Administrators mogą zalogować się korzystając z uruchomionej już usługi
Telnet. Jeśli inni użytkownicy mają uzyskać taką samą możliwość, to należy dodać ich konta do grupy
TelnetClients, która domyślnie jest pusta.
Konfiguracja usługi Telnet obejmuje szereg parametrów i jest wykonywana przy pomocy polecenia
tlntadmn config parametr_konfiguracji, gdzie jako parametr_konfiguracji najczęściej wykorzystywane są:
• maxconn – maksymalna liczba równoczesnych połączeń do serwera Telnet (def. 2)
• maxfail – maksymalna liczba dopuszczalnych nieudanych prób logowania przed zakończeniem połączenia
(def. 3)
• sec – rodzaj uwierzytelniania (def. NTLM, potem Passwd)
Bardziej szczegółowe informacje dotyczące konfiguracji można znaleźć w Help and Support Center wybierając
Administration and Scripting Tools – Command-line reference – Command-line reference A-Z – Telnet commands.
Klient usługi Telnet w systemie Windows Server 2003 (oraz Windows 2000) został zmieniony w porównaniu do
Windows NT 4.0 w następujących głównych aspektach:
• jest programem znakowym, działającym w wierszu polecenia (w Windows NT 4.0 działał w trybie graficznym)
• obsługuje uwierzytelnianie NTLM
1.4 Usługa zdalnego pulpitu (Remote Desktop) i usługi terminalowe (Terminal
Services)
Usługi terminalowe systemu Windows Server 2003 pozwalają wielu użytkownikom na równoczesną pracę
interakcyjną w graficznym środowisku systemu Windows. Dzięki usługom terminalowym system Windows Server
2003 staje się systemem wielodostępnym (ang. multiuser).
Usługi terminalowe Windows Server 2003 są rozwinięciem usług terminalowych oferowanych przez serwery
Windows 2000 a wcześniej przez specjalizowaną wersję Windows NT 4.0 Terminal Server.
Rolę klienta usług terminalowych Windows Server 2003 mogą spełniać systemy:
• Windows Server 2003
• Windows XP
• Windows NT 4.0/2000
• Windows 95/98/Me
• Windows for Workgroups 3.11 (z 32-bitowym stosem TCP/IP)
• Komputery typu palmtop z systemem Windows CE
• Terminale systemu Windows
• Inne systemy po zainstalowaniu dodatkowych produktów komercyjnych Citrix MetaFrame
• Systemy UNIX/Linux korzystające z oprogramowania takiego jak rdesktop czy tsclient.
W charakterze oprogramowania klienckiego wykorzystywany jest najczęściej klient Remote Desktop Connection,
standardowo dostępny w systemach Windows Server 2003 oraz Windows XP.
W systemach Windows 95/98/Me oraz Windows NT4/2000 należy go zainstalować posługując się np. pakietem
msrdpcli.exe dostępnym na stronach Internetowych Microsoftu.
Windows Server 2003 dysponuje również drugim oprogramowaniem klienckim, konsolą MMC o nazwie Remote
Desktops przydatną do obsługi połączeń w wielu sesjach. Ponadto po zainstalowaniu serwera IIS, który w swojej
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
3
Wersja 3.2, 2006.04.10
konfiguracji uwzględni oprogramowanie Remote Desktop Web Connection, użytkownicy przeglądarki Internet
Explorer mogą uzyskać połączenia do usług terminalowych w ramach tej przeglądarki. Aktualną wersję
oprogramowania potrzebną do zainstalowania na serwerze IIS (pakiet tswebsetup.exe) można pobrać ze stron
Internetowych Microsofta.
Komunikacja między klientem a serwerem usług terminalowych jest wykonywana z wykorzystaniem protokołu
aplikacyjnego RDP (Remote Desktop Protocol) na bazie zestawu protokołów TCP/IP (w oparciu o port tcp/3389).
Mechanizm komunikacji uwzględnia szyfrowanie. Windows Server 2003 wykorzystuje protokół RDP w wersji 5.2.
Usługi terminalowe Windows Server 2003 mogą pracować w jednym z dwóch trybów:
• Remote Desktop for Administration – tryb przeznaczony do zdalnego administrowania serwerem, nie
wymagający licencji klienckich dla usług terminalowych (Terminal Services CAL), możliwe jest uruchomienie
dwóch sesji terminalowych (odpowiednik Remote administration mode w usługach terminalowych systemów
serwerowych Windows 2000).
Usługa Remote Desktop for Administration jest standardowo zainstalowana w Windows Server 2003, lecz
korzystanie z niej wymaga jej włączenia.
• Terminal Services– tryb aplikacyjny, wielu użytkowników pracujących równocześnie (odpowiednik
Application server mode w usługach terminalowych systemów serwerowych Windows 2000), wymagane jest
posiadanie licencji klienckich dla usług terminalowych nadzorowanych przez Terminal Services Licensing . W
sieci musi działać co najmniej jeden serwer licencji klienckich. Bez wykupienia licencji klienckich na usługi
terminalowe ten rodzaj pracy będzie obsługiwany tylko przez 120 dni.
Usługi terminalowe w pełnej wersji wymagają doinstalowania z nośników instalacyjnych systemu.
Aplikacje uruchamiane w sesjach terminalowych powinny być 32-bitowymi aplikacjami Windows. Aplikacje 16-
bitowych systemów Windows mogą być uruchamiane, ale korzystanie z nich powoduje znaczne obniżenie
wydajności serwera. Aplikacje starszego typu (MS-DOS), wymagające środowiska jednoużytkownikowego lub
specjalnego dostępu do urządzeń nie są obsługiwane przez usługi terminalowe.
Większość aplikacji systemu Windows Server 2003 powinna działać prawidłowo w środowisku terminalowym.
Niektóre z nich wymagają jednak do poprawnej pracy uruchomienia tzw. skryptów zgodności aplikacji.
Instalowanie aplikacji w systemie serwera Windows Server 2003 z zainstalowanymi usługami terminalowymi jest
wykonywane tylko przez Administratora przy użyciu Add or Remove Programs.
Na serwerze terminalowym, parametry kont użytkowników są rozszerzone o szereg atrybutów definiowanych w
dodatkowych zakładkach narzędzi Local Users and Groups lub Active Directory Users and Computers
obejmujących m.in. możliwość zdefiniowania oddzielnych profili i katalogów osobistych wykorzystywanych tylko
podczas sesji terminalowych.
Usługi terminalowe mogą być zainstalowane na serwerach Windows Server 2003 będących kontrolerami domeny
lub na serwerach członkowskich i samodzielnych (ten drugi wariant jest zalecany, ze wzgl. na wydajność pracy
serwera).
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
4
Wersja 3.2, 2006.04.10
ZAJĘCIA 9 - ĆWICZENIA
Ćwiczenie 1 (Przygotowania)
1. Zalogować się jako Administrator w Windows Server 2003, Instalacja standardowa.
2. Z zasobów WS2003Lab skopiować do katalogu głównego lokalnego dysku D: cały folder lab2006\zaj9
z zachowaniem jego nazwy zaj9.
3. Otworzyć okno Command Prompt i uruchomić skrypt konfiguracja9.cmd wydając polecenie:
d:\zaj9\konfiguracja9.cmd
W wyniku tej operacji powinny zostać zdefiniowane trzy lokalne konta użytkowników należących
do grupy Users: konto1 (z hasłem konto1), konto2 (z hasłem konto2), tsuser (z hasłem tsuser).
Użytkownik konto2 należy także do lokalnej grupy TelnetClients.
4. Dla potrzeb bieżących zajęć utworzyć dwuosobowe zespoły. Komputer partnera w zespole będzie oznaczany
jako szYYY, natomiast własny komputer jako szXXX.
Ćwiczenie 2 (Poświadczenia (credentials) podczas podłączania się do zasobów)
Podczas podłączania się do zasobów udostępnianych z serwera sieciowego czyli nawiązywania sesji z takim
serwerem, z komputera klienckiego wysyłane są poświadczenia (ang. credentials) nazywane też parametrami
uwierzytelnienia obejmujące nazwę konta i hasło (oraz w razie potrzeby nazwę domeny).
System Windows Server 2003 nie pozwala na nawiązanie z danego komputera wielu sesji do tego samego serwera
sieciowego z wykorzystaniem różnych parametrów uwierzytelnienia. Odstępstwo od tej cechy systemu oferowane
jest przez mechanizm Secondary Logon (Run As).
1. Pracując jako Administrator w systemie Windows Server 2003 udostępnić katalog d:\zaj9 jako zajecia (z
uprawnieniami udostępniania Full Control dla grupy Everyone) oraz utworzyć (w razie potrzeby) katalog
d:\temp i udostępnić go jako temp z domyślnymi uprawnieniami udostępniania.
2. Zalogować się jako tsuser. Uruchomić okno wiersza poleceń (Command Prompt) i podłączyć się do dwóch
zasobów udostępnionych z komputera szYYY wykonując:
net use p: \\szYYY\zajecia
net use q: \\szYYY\temp
Obydwa podłączenia powinny wykonać się prawidłowo. Powyższa sytuacja dotyczy przypadku podłączenia
się do różnych zasobów tego samego serwera sieciowego z wykorzystaniem tego samego zestawu poświadczeń
– tutaj domyślnie wysyłanych parametrów bieżąco pracującego użytkownika tsuser. Przy pierwszym
podłączeniu została nawiązana sesja, drugie podłączenie wykorzystuje taki sam zestaw poświadczeń.
3. Wykonać:
net use r: \\szYYY\zajecia /user:konto1
*
(i podać odpowiednie hasło użytkownika konto1)
W tym przypadku powinien być wygenerowany błąd systemowy numer 1219:
Multiple connections to a server or shared resource by the same user, using more
than one user name, are not allowed. Disconnect all previous connections to the
server or shared resource and try again.
gdyż była podjęta próba podłączenia się z wykorzystaniem innego zestawu poświadczeń (tutaj: parametrów
użytkownika konto1) niż ten, który został użyty do otwarcia sesji z komputerem szYYY.
4. Można w takiej sytuacji usunąć wszystkie podłączenia nawiązane w ramach sesji w imieniu użytkownika
tsuser:
net use p: /delete
net use q: /delete
i nawiązać sesję w imieniu innego użytkownika, np. konto1:
net use r: \\szYYY\zajecia /user:konto1 *
(i podać odpowiednie hasło użytkownika konto1)
net use s: \\szYYY\temp
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
5
Wersja 3.2, 2006.04.10
(tutaj wykorzystywane są już poświadczenia użytkownika konto1)
Jeśli na komputerze szYYY (czyli serwerze, do którego są wykonane podłączenia) zostałyby teraz wykonane
przez użytkownika z uprawnieniami administracyjnymi polecenia:
net session
oraz
net session \\szXXX
(
lub jeśli powyższe polecenie generuje błąd, to zamiast niego polecenie:
net session \\adres_IP_komputera_szXXX
)
to powinno dać się zauważyć, że z komputera szXXX została nawiązana jedna sesja, w ramach której uzyskano
podłączenia do dwóch różnych zasobów.
Próba podłączenia się (z szXXX ) do zasobu komputera szYYY jako inny użytkownik niż konto1 powinna być
wtedy odrzucona z sygnalizacją błędu numer 1219:
net use t: \\szYYY\temp /user:konto2 *
(i podać odpowiednie hasło użytkownika konto2)
Nie zamykać okna wiersza poleceń.
5. W systemie Windows Server 2003 można wykorzystać mechanizm Run As (inaczej: Secondary Logon) do
podłączenia się z innymi parametrami uwierzytelniania.
Wyświetlić Start – All Programs – Accessories, użyć sekwencji [Shift + prawy przycisk myszy] na aplikacji
Command Prompt, z wyświetlonego menu wybrać Run As...
W oknie Run As, zaznaczyć The following user: oraz wpisać nazwę konta Administrator i jego hasło,
potwierdzając to przyciskiem OK.
(Inny sposób to pracując jako tsuser uruchomić okno wiersza poleceń w imieniu użytkownika Administrator:
runas /user:szXXX\Administrator "cmd.exe"
)
Następnie wykonać w tym oknie:
net use t: \\szYYY\zajecia /user:konto2 *
(i podać odpowiednie hasło użytkownika konto2)
co powinno zakończyć się powodzeniem – zostanie nawiązana oddzielna sesja.
Wykonanie z uprawnieniami administracyjnymi na szYYY polecenia:
net session
powinno pokazać, że są nawiązane dwie sesje z komputera szXXX: jedna w imieniu użytkownika konto1 i
druga w imieniu użytkownika konto2.
W razie potrzeby można byłoby kolejny raz użyć mechanizmu Secondary Logon, uzyskując uprawnienia
innego (a nawet tego samego) użytkownika w oddzielnie otwartym oknie wiersza polecenia i nawiązywać
kolejną sesję z serwerem udostępniającym zasoby sieciowe.
6. (Weryfikacja identyfikacji użytkownika podłączonego do zasobu sieciowego)
Po wykonaniu poprzednich etapów tego ćwiczenia sytuacja powinna być następująca:
W jednym oknie wiersza polecenia, użytkownik tsuser (nazwę użytkownika można wyświetlić poleceniem
whoami) jest podłączony z wykorzystaniem litery r: do zasobu \\szYYY\zajecia w imieniu użytkownika
konto1.
W drugim oknie wiersza polecenia, użytkownik Administrator jest podłączony z wykorzystaniem litery t: do
tego samego zasobu \\szYYY\zajecia w imieniu użytkownika konto2.
W oknie użytkownika tsuser wykonać polecenie:
echo tekst > r:\plik-konto1
W oknie użytkownika Administrator wykonać polecenie:
echo tekst > t:\plik-konto2
Utworzone w ten sposób pliki znajdują się na szYYY w katalogu udostępnionym jako zajecia, czyli katalogu
d:\zaj9. Jeśli na szYYY zostanie następnie wykonane polecenie:
dir /q d:\zaj9\plik-konto1 d:\zaj9\plik-konto2
(użycie opcji /q powoduje wyświetlenie właściciela pliku)
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
6
Wersja 3.2, 2006.04.10
to powinno się okazać, że właścicielem pliku plik-konto1 jest użytkownik szYYY\konto1, natomiast
właścicielem pliku plik-konto2 jest użytkownik szYYY\konto2
(Uwaga: w systemie Windows 2000 można to sprawdzić prościej, wykonując polecenie dir na komputerze
szXXX, czyli wykonać w odpowiednich oknach:
dir /q r:\plik-konto1
dir /q t:\plik-konto2
Jednak w systemie Windows Server 2003 zamiast nazwy konta pojawia się wtedy oznaczenie składające się z
trzech kropek (...))
7. Usunąć wszystkie podłączenia (i sesje) nawiązane do szYYY wykonując w obydwu oknach wierszy poleceń
(tzn. jako tsuser oraz Administrator):
net use * /delete
Zamknąć obydwa okna wiersza polecenia.
Ćwiczenie 3 [Dodatkowe] (Przykłady zdalnej pracy wbudowanych narzędzi
Windows Server 2003)
1. Zalogować się jako Administrator i uruchomić pustą konsolę MMC.
Następnie użyć File – Add/Remove Snap-in... W zakładce Standalone okna Add/Remove Snap-in użyć
przycisku Add... W spisie samodzielnych przystawek wyświetlonych w oknie Add Standalone Snap-in,
zaznaczyć przystawkę Services oraz nacisnąć przycisk Add.
W oknie Services charakteryzującym pracę tej przystawki, wybrać w rubryce This snap-in will always
manage: pole Another computer oraz wpisać nazwę komputera partnera szYYY. Nacisnąć przycisk Finish
potem Close i OK.
(Można też zaznaczyć rubrykę Allow the selected computer to be changed ..., co pozwala wywołać później
konsolę MMC zapamiętaną w pliku *.msc z parametrem /computer:nazwa_komputera określającym inny
komputer niż wprowadzony podczas definiowania przystawki).
Powinien być uzyskany dostęp do zarządzania usługami na komputerze partnera.
Zakończyć pracę z tą konsolą.
2. Uruchomić konsolę Administrative Tools – Computer Management.
Zaznaczyć węzeł Computer Mangement (Local) i z menu Action wybrać Connect to another computer ...
po czym w rubryce Another computer wpisać nazwę komputera partnera szYYY i zaakceptować.
Powinien być uzyskany dostęp do zarządzania komputerem partnera.
Warto zwrócić uwagę na to, że zdalny dostęp nie zawsze daje możliwość wykonywania wszystkich zmian na
docelowym komputerze. Aby się o tym przekonać, wybrać węzeł System Tools – Device Manager w konsoli
Computer Management operującej na zdalnym komputerze. Powinien pojawić się komunikat:
Device Manager is running in read-only mode because you are running it on a remote computer ...
wskazujący, że zmiany w konfiguracji urządzeń muszą być wykonywane lokalnie.
Zakończyć pracę z tą konsolą.
3. Polecenie netsh jest przeznaczone do zarządzania wybranymi usługami sieciowymi i może być uruchomione w
odniesieniu do zdalnego komputera. W oknie wiersza poleceń wykonać dwa równoważne pod względem
efektu zestawy poleceń powodujące wyświetlenie informacje dotyczących użytkowników Remote Access
Server (RAS) na zdalnym komputerze:
A)
netsh –r szYYY –c ras show user
B)
netsh –r szYYY
(Pojawi się zgłoszenie gotowości do pracy: [szYYY] netsh> )
[szYYY] netsh> ras
[szYYY] netsh ras> show user
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
7
Wersja 3.2, 2006.04.10
[szYYY] netsh ras> quit
4. Edytor Rejestru regedit pozwala podłączyć się do zdalnego Rejestru dzięki File – Connect Network
Registry...
Polecenie reg używa notacji UNC do odwoływania się do zdalnego Rejestru np.
reg query ”\\szYYY\HKLM\SYSTEM\CurrentControlSet\Services\CDRom” /v AutoRun
(Zdalne korzystanie z Rejestru dotyczy wyłącznie kluczy głównych HKEY_LOCAL_MACHINE lub
HKEY_USERS
)
5. Polecenie at oraz schtasks pozwalają odwoływać się do zdalnego komputera:
at \\szYYY 23:59 /interactive cmd /t:1e
schtasks /create /tn zad /sc once /s szYYY /u Administrator /p
/st 23:59 /it /tr "cmd /t:1e"
Ćwiczenie 4 (Serwer i klient usługi Telnet)
W bieżącym ćwiczeniu rolę serwera i klienta usługi Telnet będzie (zwykle) spełniał własny komputer. Dzięki temu
będzie można łatwiej wypróbować różne ustawienia konfiguracyjne. W warunkach normalnej pracy klient i serwer
usługi Telnet mogą być oczywiście uruchomione na różnych komputerach.
1. Usługa Telnet jest standardowo wyłączona (ang. disabled) w systemie Windows Server 2003.
Są następujące sposoby zarządzania tą usługą:
A) Administrative Tools – Services (lub węzeł Services w konsoli Computer Management) umożliwia
uruchomienie, zatrzymanie, wstrzymanie, wznowienie oraz określenie sposobu uruchamiania usługi podczas
startu systemu (Automatic, Manual, Disabled)
(Ponieważ konsola Computer Management może być uruchomiona zdalnie, więc również zdalnie można np.
wystartować usługę Telnet, a potem z niej skorzystać.)
B) W wierszu poleceń, należy najpierw ustawić inny niż disabled tryb uruchamiania:
sc getkeyname telnet
(uzyskanie nazwy usługi akceptowanej przez polecenie sc)
sc config tlntsvr start= demand
(demand jest odpowiednikiem Manual, można też
zmienić na auto)
Uruchomienie usługi można uzyskać wtedy różnymi metodami:
sc start tlntsvr
(odpowiednio sc stop tlntsvr jej zatrzymanie)
albo
net start telnet
(odpowiednio net stop telnet jej zatrzymanie)
albo
tlntadmn start
(odpowiednio tlntadmn stop jej zatrzymanie)
Po zatrzymaniu usługi można zmienić jej tryb uruchamiania na wyłączony poleceniem:
sc config tlntsvr start= disabled
(Polecenia sc oraz tlntadmn mogą być również uruchamiane zdalnie. Nazwa zdalnego komputera podawana
jest wtedy jako pierwszy parametr w notacji \\komputer).
2. Pracując jako Administrator uruchomić usługę Telnet na swoim komputerze, jednym z wyżej opisanych
sposobów.
3. Narzędziem do zarządzania usługą Telnet jest polecenie tlntadmn działające w wierszu poleceń.
Zakres dostępnych czynności obejmuje: wyświetlanie informacji o sesjach, rozłączanie sesji, wysyłanie
komunikatów do sesji, wyświetlanie i zmianę parametrów pracy serwera Telnet, zatrzymanie i uruchomienie tej
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
8
Wersja 3.2, 2006.04.10
usługi.
Podpowiedzi dotyczące polecenia tlntadmn:
tlntadmn /?
Uruchomienie polecenia bez parametrów powoduje wyświetlenie aktualnych ustawień pracy serwera Telnet:
tlntadmn
Jako atrybut State powinno być wyświetlone Running. Domyślne ustawienia obejmują m.in.: maksymalną
liczbę połączeń (2) oraz mechanizm uwierzytelniania (NTLM, Password).
Mechanizm uwierzytelniania jest definiowany poprzez użycie opcji sec z wartościami ntlm oraz passwd
poprzedzonych oznaczeniem + (używać) lub – (nie używać), gdzie:
uwierzytelnianie NTLM: szyfrowane, bez jawnego podawania nazwy konta i hasła
uwierzytelnianie Password: jawne podawanie nazwy konta i hasła czystym tekstem.
Najpierw brane jest pod uwagę uwierzytelnianie NTLM (jeśli przewidziano jego użycie) potem Password.
Dla przykładu, domyślną postać uwierzytelniania uzyskuje się poleceniem:
tlntadmn config sec=+ntlm+passwd
Otworzyć inne okno wiersza polecenia, z którego będzie uruchamiany klient usługi Telnet.
Następnie w narzędziu do konfiguracji usługi Telnet wypróbować wszystkie trzy wartości uwierzytelniania,
dla każdego z nich logując się do własnego komputera poleceniem telnet szXXX
(Polecenie exit kończy nawiązaną sesję telnetową)
Zaobserwować, że tylko w wariancie sec=–ntlm+passwd pojawia się pytanie o nazwę konta i hasło, dzięki
czemu można łatwo wybrać parametry logującego się użytkownika, w tym dopuszczalne jest podanie
parametrów konta Administratora.
4. Domyślna konfiguracja serwera Telnet w Windows Server 2003 dopuszcza maksymalnie dwa równoczesne
połączenia. Można zmienić to ustawienie stosując parametr maxconn. Zwiększyć maksymalną liczbę
połączeń telnetowych do własnego serwera z 2 do 3:
tlntadmn config maxconn=3
Wypróbować to ustawienie, otwierając trzy równoczesne sesje telneta (np. wykonując kolejno polecenie telnet
szXXX w okienku Start – Run ) przedstawiając się jako użytkownik Administrator lub konto2.
Informacje o sesjach telnetowych jest wyświetlana na serwerze po wykonaniu polecenia:
tlntadmn –s
Zakończyć trzy otwarte sesje telnetowe.
5. W uzgodnieniu z partnerem otworzyć sesję telnetową do komputera szYYY (usługa Telnet musi być na tym
komputerze uruchomiona), jako Administrator i wykonać polecenia:
hostname
ipconfig /all | more
net user konto3 konto3 /add
(założenie nowego konta)
net user konto3 *
(zmiana hasła istniejącego konta)
net user konto3 /delete
(usunięcie konta)
Spróbować także uruchomić polecenie wymagające interfejsu graficznego Windows np.:
notepad
Jaki jest tego skutek? (Wskazówka: Poprosić partnera o uruchomienie Task Manager – Processes na szYYY)
Zamknąć sesje telnetową na komputerze partnera.
6. Klient usługi Telnet dostępny w Windows Server 2003 jest aplikacją wiersza poleceń.
Obsługiwane są przez niego cztery typy terminali: ANSI, VT100, VT52 oraz VTNT
Zmiana typu terminala jest wykonywana poleceniem set np.
D:>
telnet
Microsoft Telnet> set ?
Microsoft Telnet> set term vt100
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
9
Wersja 3.2, 2006.04.10
Microsoft Telnet> open szYYY
Ustawienie typu terminala VT100 lub ANSI może być szczególnie przydatne podczas nawiązywania sesji
telnetowych z komputerami działającymi pod kontrolą innych systemów operacyjnych niż Windows Server
2003.
Innym przydatnym ustawieniem klienta może być włączenie odnotowywania zapisu sesji w pliku (logowania
sesji) dzięki użyciu opcji set logging oraz set logfile.
Niektóre z tych ustawień można podać w formie opcji dla polecenia telnet (por. telnet /?).
Zakończyć wszystkie otwarte w tym ćwiczeniu sesje telnetowe.
Ćwiczenie 5 (Remote Desktop for Administration – konfiguracja serwera)
W systemie Windows Server 2003 praca w trybie Remote Desktop for Administration jest odpowiednikiem trybu
Remote administration mode usług terminalowych w systemach serwerowych Windows 2000. Taki tryb pracy jest
przeznaczony do zdalnego administrowania serwerem, nie wymaga posiadania licencji klienckich dla usług
terminalowych oraz ogranicza liczbę równoczesnych sesji do dwóch.
Udogodnieniem serwera Windows 2003 jest to, że usługa Remote Desktop for Administration jest standardowo
zainstalowana na każdym serwerze, należy tylko włączyć możliwość jej użycia.
Włączenie/wyłączenie takiej usługi jest wykonywana w zakładce System Properites – Remote.
Konfiguracja usług terminalowych jest wykonywana za pomocą narzędzia Terminal Services Configuration.
Parametry kont użytkowników związane z korzystaniem z usług terminalowych są definiowane w węźle Local
Users and Groups – Users.
Zarządzanie sesjami nawiązanymi z serwerem jest wykonywane poprzez Terminal Services Manager oraz (w
nieco węższym zakresie) w zakładce Task Manager – Users.
1. (Umożliwienie dostępu do usługi)
Będąc zalogowanym jako Administrator, w System Properties – Remote w rubryce Remote Desktop
zaznaczyć pole Enable Remote Desktop on this computer. Zaakceptować informacje wyświetlone w
okienku Remote Sessions dotyczące m.in. konieczności posiadania hasła przez użytkowników korzystających
ze zdalnego pulpitu.
Następnie wybrać przycisk Select Remote Users... Wszyscy użytkownicy należący do grupy Administrators
maja domyślnie prawo korzystania z takich połączeń. Używając przycisku Add... dodać do spisu
uprawnionych użytkowników konto tsuser. Dodatkowi użytkownicy zdefiniowani w ten sposób są
automatycznie zaliczani do grupy Remote Desktop Users, co można sprawdzić w oknie wiersza poleceń np.
wpisując:
net localgroup "Remote Desktop Users"
Zamknąć okna Remote Desktop Users oraz System Properties używając przycisku OK.
2. (Konfiguracja usług terminalowych)
Uruchomić Administrative Tools – Terminal Services Configuration.
Zaznaczyć węzeł Connections, po czym w oknie szczegółów wyświetlić właściwości połączenia RDP-Tcp
Powinny być wyświetlone zakładki: General, Logon Settings, Sessions, Environment, Remote Control,
Client Settings, Network Adapter i Permissions.
Przejrzeć wybrane zakładki: m.in. General (wersja używanego protokołu (RDP 5.2, tcp), ustawienie poziomu
szyfrowania połączeń terminalowych), Logon Settings (opcja wymagania podawania hasła), Sessions (limity
czasowe i mechanizmy kończenia sesji odłączonych, aktywnych i jałowych), Network Adapter (maksymalna
liczba połączeń terminalowych do serwera), Permissions (uprawnienia jakie posiadają określone grupy
użytkowników w odniesieniu do pracy terminalowej).
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
10
Wersja 3.2, 2006.04.10
Spróbować zwiększyć maksymalną liczbę połączeń terminalowych do serwera z dwóch do trzech (nie powinno
się udać, zwrócić uwagę na ostrzeżenie wyświetlone w dolnej części zakładki Network Adapter).
W zakładce Permissions zapoznać się ze szczegółowymi uprawnieniami dostępu dla grupy Remote Desktop
Users, wybierając przycisk Advanced.
W drzewie konsoli zaznaczyć węzeł Server Settings, przejrzeć wyświetlone ustawienia np. Licensing czy też
Restrict each user to one session.
Zakończyć pracę z tym narzędziem.
3. (Konfiguracja kont użytkowników korzystających z usług terminalowych)
Utworzyć katalogi d:\tsprofiles oraz d:\tshomes.
Uruchomić Computer Management – Local Users and Groups – Users
Wyświetlić właściwości konta tsuser.
Zakładki Environment, Sessions, Remote Control, Terminal Services Profile są związanych z usługami
terminalowymi.
Dla przykładu, w zakładce Terminal Services Profile dla użytkownika tsuser zdefiniować oddzielnie używany
profil i katalog osobisty podczas korzystania z usług terminalowych tzn. w rubryce Terminal Services User
Profile w polu Profile Path: wprowadzić d:\tsprofiles\tsuser natomiast w rubryce Terminal Services Home
Folder w polu Local path: wprowadzić d:\tshomes\tsuser.
Zwrócić uwagę, że zaznaczając pole Deny this user permissions to log on to any Terminal server można
zabronić użytkownikowi korzystania z usług terminalowych (nie ma to wpływu na zwykły sposób pracy
użytkownika bez korzystania z sesji terminalowych). Nie zaznaczać tego pola.
Zakończyć pracę z tym narzędziem przyciskiem OK..
Ćwiczenie 6 (Remote Desktop Connection – praca klienta )
W systemie Windows Server 2003 są standardowo zainstalowane dwa narzędzia klienckie do realizacji połączeń z
serwerami usług zdalnego pulpitu (i usług terminalowych). Pierwszym z nich jest klient Remote Desktop
Connection, którego odpowiednikiem w systemie Windows 2000 (wymagającym zainstalowania przy pomocy
dodatkowego pakietu) jest Terminal Services Advanced Client (TSAC).
1. Pracując jako Administrator, uruchomić klienta usług zdalnego pulpitu Remote Desktop Connection.
(wybierajac All programs – Accessories – Communications – Remote Desktop Connection).
W rubryce Computer wpisać nazwę szYYY lub adres IP komputera partnera z zespołu.
Nacisnąć przycisk Connect.
W pojawiającym się oknie logowania Windows Server 2003 pochodzącym z komputera szYYY (nazwa
komputera wyświetlana jest u góry ekranu) wprowadzić parametry użytkownika konto1 i spróbować się
zalogować w systemie. Próba nie powinna się udać, wyświetlany jest komunikat:
To log on to this remote computer, you must be granted the Allow log on through Terminal Services right.
By default, members of the Remote Desktop Users group have this right …
Podjąć próbę zalogowania się jako użytkownik tsuser. Ta próba powinna zakończyć się powodzeniem, gdyż
użytkownik tsuser został dodany do grupy Remote Desktop Users na zdalnym komputerze.
Użycie sekwencji [Ctrl + Alt + End] w sesji terminalowej daje taki sam efekt jak użycie sekwencji [Ctrl + Alt +
Delete] podczas zwykłej pracy w Windows Server 2003 tzn. wyświetlane jest okno Windows Security, z
którego m.in. można odczytać nazwę bieżąco pracującego użytkownika w takiej sesji oraz wykonać operację
zamknięcia sesji terminalowej.
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
11
Wersja 3.2, 2006.04.10
2. Zmniejszyć okno zajmowane przez zdalne połączenie (np. drugim przyciskiem w prawym górnym rogu)
Na własnym komputerze (nie w sesji terminalowej do szYYY) uruchomić Administrative Tools – Terminal
Services Manager
Używając Actions – Connect to Computer.., podłączyć się do komputera partnera z zespołu aby obejrzeć
informacje o nawiązanych przez siebie sesjach.
Przejrzeć informacje dotyczące zdalnych sesji otwartych na wszystkich serwerach (All Listed Servers) i na
serwerze partnera (WS2003LAB – szYYY) posługując się zakładkami Users, Sessions, Processes.
Następnie obejrzeć informacje dotyczące konkretnych zdalnych sesji (te sesje są oznaczane jako RDP-
Tcp#numer (nazwa_użytkownika) ) rozwijając odpowiedni węzeł i używając zakładek Processes,
Information.
Zaznaczyć sesję otwartą przez użytkownika tsuser (RDP-Tcp#numer(tsuser)) czyli własną, wcześniej
nawiązana sesję terminalową i wysłać komunikat do użytkownika tej sesji (Send Message).
3. Zamknięcie sesji terminalowej może być wykonane na dwa sposoby:
Log off (całkowite zakończenie pracy wszystkich aplikacji i całej sesji)
Disconnect (odłączenie się od sesji, aplikacje uruchomione w tej sesji nadal działają na serwerze, można się
ponownie podłączyć do takiej sesji)
Zamknięcie sesji przez Disconnect pozostawia na serwerze (przez pewien czas) sesję, do której można się
ponownie podłączyć.
W sesji terminalowej otwartej jako tsuser, otworzyć okno Command Prompt. Uruchomić w nim skrypt
\zaj9\miernik.cmd
Efektem jego działania jest wyświetlanie w regularnych odstępach czasu (ok. 5 sekund) kolejnych liczb.
Zapamiętać ostatnią wyświetloną liczbę.
Następnie rozłączyć się, wybierając (w sesji terminalowej) Start – Shut Down – Disconnect.
W Terminal Services Manager zaobserwować zmianę informacji o tej sesji.
Odczekać ok. 1 minuty i ponownie nawiązać sesję terminalową jako użytkownik tsuser.
Powinno być nadal otwarte okno wiersza polecenia z uruchomionym skryptem miernik.cmd i widoczna
różnica w zawartości tego okna w porównaniu do sytuacji przed rozłączeniem sesji.
Przerwać działanie skryptu miernik.cmd używając [Ctrl+C].
Uwaga: Zwykłe zamknięcie okna zawierającego sesję terminalową jest równoważne wykonaniu operacji
Disconnect.
Zakończyć sesję terminalową użytkownika tsuser, wybierając Start – Shut Down – Log off tsuser
W Terminal Services Manager zaobserwować zmianę informacji o tej sesji.
Zakończyć pracę Terminal Services Manager.
4. Innym sposobem uruchomienia klienta Remote Desktop Connection jest skorzystanie z polecenia mstsc.
Otworzyć okno Command Prompt i wykonać polecenia:
mstsc /?
mstsc –v:szYYY
(zalogować się jako tsuser)
Zakończyć tę sesję wykonując [Ctrl+Alt+End], potem wybierając przycisk Log off...
Uruchomienie polecenie mstsc bez parametrów powoduje wyświetlenie okna Remote Desktop Connection.
W wyświetlonym oknie nacisnąć przycisk Options>>, co spowoduje wyświetlenie sześciu zakładek
konfiguracyjnych: General, Display, Local Resources, Programs, Experience, Security.
W zakładce Local Resources, w rubryce Local Devices zaznaczyć pozycję Disk Drives (domyślnie jest ona
wyłączona).
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
12
Wersja 3.2, 2006.04.10
W zakładce Experience w polu Choose your connection speed to optimize performance, zmienić domyślną
wartość Modem (56Kbps) na LAN (10Mbps or higher).
Użyć przycisku Connect. Zatwierdzić okno komunikatu Remote Desktop Connection Security Warning.
Nawiązać nową sesję z komputerem szYYY przedstawiając się jako tsuser.
W nawiązanej sesji sprawdzić za pomocą Explorera (lub My Computer), że są dostępne zasoby dyskowe z
własnego komputera oznaczane jako A on szXXX, C on szXXX itd.
Zakończyć sesję terminalową, przywrócić ustawienia domyślne w zakładkach Local Resources oraz
Experience.
5. (Praca terminalowa w trybie konsoli)
Uzgodnić wykonanie tego elementu ćwiczeń z partnerem, pracującym jako Administrator na swoim
komputerze szYYY
W oknie wiersza poleceń wykonać:
mstsc /v:szYYY /console
i zalogować się jako Administrator do zdalnego komputera.
Efektem takiego podłączenia powinno być wylogowanie i zablokowanie (Computer Locked) lokalnej sesji
Administratora na komputerze szYYY, gdyż nastąpiło przejęcie sesji związanej z Administratorem pracującym
na lokalnej konsoli zdalnego komputera.
Jeśli Administrator komputera szYYY ponownie zaloguje się do systemu, sesja terminalowa zostanie odłączona
z komunikatem: The remote session was disconnected because another user has connected to the session.
W systemie może być uruchomiona tylko jedna sesja związana z lokalną konsolą.
Innym sposobem podłączenia się do sesji lokalnej konsoli jest uruchomienie narzędzia Remote Desktop
Connection i wpisanie w rubryce Computer nazwy zdalnego komputera oraz opcji /console za nią
(np. szYYY /console).
Ćwiczenie 8
[
Dodatkowe
]
(Remote Desktops – praca klienta )
W systemie Windows Server 2003 drugim standardowo dostępnym narzędziem do realizacji połączeń z serwerami
usług zdalnego pulpitu (i usług terminalowych) jest konsola MMC Remote Desktops której odpowiednikiem w
systemie Windows 2000 (wymagającym zainstalowania przy pomocy dodatkowego pakietu) jest konsola
Terminal Services Connections.
1. Uruchomić Administrative Tools – Remote Desktops
(Innym sposobem jest wykonanie np. w Start – Run polecenia tsmmc.msc)
Zmaksymalizować wewnętrzne okienko konsoli MMC.
Po zaznaczeniu Remote Desktops i wybraniu z menu kontekstowego Add new connection... zdefiniować trzy
różne sesje terminalowe do tego samego serwera szYYY o przytoczonej dalej charakterystyce. Nadać sesjom
różne nazwy w rubryce Connection name. W pierwszych dwóch wyłączyć korzystanie z opcji Connect to
console, natomiast w trzeciej zostawić zaznaczoną tę opcje. W pierwszej wpisać konto i hasło użytkownika
tsuser, w pozostałych dwóch, konto i hasło użytkownika Administrator. We wszystkich zaznaczyć opcję Save
password.
Obejrzeć Properites zdefiniowanych sesji.
2. Klikajac na nich kolejno (w oknie drzewa konsoli) uaktywnić te sesje (jeśli podczas pracy sesja zostanie
odłączona, można ją ponownie uaktywnić wybierając z menu kontekstowego pozycję Connect)
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
13
Wersja 3.2, 2006.04.10
W sesji użytkownika tsuser otworzyć okno wiersza poleceń, aby przekonać się, że katalogiem osobistym tego
użytkownika jest d:\tshomes\tsuser zdefiniowany we wcześniejszym ćwiczeniu.
Sesja trzecia (Administrator, podłączenie do konsoli) powinna spowodować zablokowanie sesji lokalnej
konsoli na komputerze szYYY
Wypróbować przełączanie się miedzy otwartymi sesjami w ramach tego pojedynczego narzędzia.
Zakończyć wszystkie sesje terminalowe otwarte przy pomocy Remote Desktops.
3. Usunąć wszystkie definicje połączeń zdefiniowane wcześniej w Remote Desktops.
Ćwiczenie 9 (Remote Control dla sesji terminalowej – wspólne malowanie i pisanie)
Zdalne sterowanie i przejmowanie kontroli nad sesja terminalową jest możliwe po uruchomieniu Terminal
Services Manager z sesji terminalowej otwartej przez Administratora ale nie jest możliwe po uruchomieniu
Terminal Services Manager z konsoli Windows Server 2003.
W tym ćwiczeniu jeden z komputerów w zespole będzie pełnił rolę serwera usług terminalowych, natomiast drugi
rolę klienta korzystającego z takich usług. Poszczególne etapy ćwiczenia powinny być wykonywane wspólnie.
Etapy ćwiczeń przeznaczone do wykonania tylko na serwerze będą oznaczane jako (Serwer), natomiast
przeznaczone do wykonania tylko na kliencie jako (Klient).
1. (Serwer) Pracując jako Administrator otworzyć zwykłą (bez parametru /console) sesję terminalową do swojego
własnego serwera i zalogować się jako Administrator
Uruchomić w tej sesji Terminal Services Manager.
2. (Klient) Pracując jako Administrator otworzyć sesję terminalową na serwerze, logując się jako tsuser.
Uruchomić program graficzny Paint (Accessories – Paint).
(Windows Server 2003 nie ma w zestawie instalacyjnym gier komputerowych, więc nie można cech tego
ćwiczenia zaprezentować np. na grze w pasjansa, jak w systemie Windows 2000).
3. (Serwer) Zaznaczyć sesję otwartą przez partnera jako tsuser, z właściwości tej sesji wybrać Remote Control.
Zaakceptować domyślną postać sekwencji klawiszowej powodującej odłączenie od sterowania sesją
(sekwencja [Ctrl + klawisz_*_na_klaw_numerycznej]
4. (Klient) Powinien być wyświetlony komunikat (Remote Control Request) informujący o chęci zdalnego
sterowania sesją, wymagający zatwierdzenia po stronie klienta. Zaakceptować go.
5. (Klient i Serwer) Od tego momentu w obu sesjach terminalowych wyświetlana jest ta sama informacja,
przenoszone są zmiany postaci obrazu, skutki ruchów myszą oraz wpisywania znaków z klawiatury itd.
Narysować wspólnie obrazek (np. wykonując na zmianę po kilka ruchów).
Uruchomić okno wiersza poleceń oraz wpisać i wykonać „wspólnymi siłami” polecenie:
dir d:\windows /p
6. (Serwer) Używając sekwencji [Ctrl+*] odłączyć się od zdalnego sterowania sesją partnera.
Następnie zaznaczyć tę sesję w oknie Terminal Services Manager i z jej właściwości wybrać Connect.
W oknie Connect Password Required wpisać hasło użytkownika tsuser.
Powinno nastąpić przejęcie sesji (na komputerze klienta wyświetlany jest stosowny komunikat)
Zakończyć tę sesję, wylogowując się.
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
14
Wersja 3.2, 2006.04.10
7. (Klient) Zakończyć wszystkie sesje terminalowe.
8. (Serwer) Sprawdzić w Terminal Services Manager czy nie pozostały jakieś sesje terminalowe otwarte lub
odłączone z innych komputerów, w razie potrzeby wykonując dla nich operację Reset.
Zakończyć pracę z Terminal Services Manager.
Ćwiczenie 10 [Dodatkowe] (Remote Desktop Web Connection – klient w przeglądarce)
Remote Desktop Web Connection
(RDWC)
to wersja klienta usług terminalowych, który może być uruchomiony
w oknie przeglądarki Internet Explorer 5.x lub nowszej (co oferuje wygodną możliwość korzystania z usług
terminalowych poprzez WWW).
Korzystanie z klienta usług terminalowych poprzez przeglądarkę (jest on tez czasami określany mianem TSWEB,
od nazwy Terminal Services Web Client stosowanej w systemie Windows 2000), wymaga zainstalowania na
serwerze WWW obsługującym Active Server Pages (np. IIS 4.0 lub nowszy) strony WWW, która pozwala na
wybranie połączenia do jednego z dostępnych serwerów usług zdalnego pulpitu i usług terminalowych oraz
zainstalowania kontrolki ActiveX, która przy pierwszym podłączeniu do takiej strony jest pobierana przez
przeglądarkę Internet Explorer.
Pakiet oprogramowania dla serwera IIS realizujący tę funkcje można znaleźć na stronach Internetowych Microsofta
(pakiet tswebsetup.exe) albo w przypadku serwera Windows Server 2003 zainstalować go wraz z
oprogramowaniem serwera IIS z nośnika instalacyjnego systemu.
Serwery Windows Server 2003 używane na zajęciach nie mają zainstalowanego serwera Internetowego IIS.
Rolę nośnika instalacyjnego będzie spełniał zasób sieciowy \\szKKK\install, gdzie szKKK to komputer wykładowcy.
1. Pracując jako Administrator zainstalować serwer Internetowy IIS 6.0, używając Control Panel – Add or
Remove Programs – Add/Remove Windows Components w oparciu o podane niżej kroki:
Podświetlić (nie zaznaczać) Application Server i nacisnąć przycisk Details..
Zaznaczyć Internet Information Services (IIS) po czym nacisnąć przycisk Details...
Podświetlić World Wide Web Service i nacisnąć przycisk Details..
Zaznaczyć dodatkowo (oprócz World Wide Web Service) pozycję Remote Desktop Web Connection.
Zaakceptować wprowadzone informacje naciskając trzykrotnie przycisk OK, po czy nacisnąć Next.
Jako źródło instalacyjne w okienku Files needed (takie okienko może pojawić się dwukrotnie) wprowadzać
nazwę udziału sieciowego \\szKKK\install\i386
2. Po zakończeniu instalacji IIS 6.0 wraz z obsługą klienta RDWC, sprawdzić informacje konfiguracyjne tego
serwera uruchamiając Administrative Tools – Internet Information Services (IIS) Manager.
Rozwinąć węzeł szXXX (local computer) – Web Sites – Default Web Site – tsweb aby obejrzeć zawartość
strony związanej z obsługą połączeń terminalowych przez przeglądarkę.
Wyświetlić Properties dla węzła tsweb. W zakładce Virtual Directory, w polu Local path podana jest
ścieżka katalogu, gdzie znajdują się te pliki (\Windows\web\tsweb).
Zakończyć pracę z Internet Information Services (IIS) Manager.
3. Posługując się Internet Explorer (wersja używana na zajęciach to 6.x) połączyć się ze stroną
http://szXXX/tsweb/
W pojawiającym się oknie Internet Enhanced Security Configuration użyć przycisku Add. W oknie
Trusted Sites odznaczyć pole Require server verification (https:) for all sites in this zone i przyciskiem
Add zaakceptować nazwę http://szXXX a następnie potwierdzić przyciskiem Close. Zamknąć okna
Information bar oraz VBScript: Remote Desktop Connection.
Podczas pierwszego podłączenia z użyciem danej przeglądarki pojawi się żądanie zainstalowania Remote
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
15
Wersja 3.2, 2006.04.10
Desktop ActiveX Control. Wykonać tę instalację, klikając na żółtym pasku z informacją (poniżej pola
adresu).
Podczas kolejnych prób łączenia się (z użyciem tej przeglądarki) z serwerami usług terminalowych, takie
żądanie nie będzie ponawiane.
Powinno pojawić się okno opisane jako Microsoft Windows Remote Desktop Web Connection.
Jako Server wpisać w nim nazwę serwera terminalowego szYYY partnera z zespołu.
Jako Size zostawić Full-Screen.
Nacisnąć przycisk Connect.
Następne kroki pracy będą przebiegały w analogiczny sposób jak w podstawowym narzędziu Remote Desktop
Connection.
Podłączyć się jako tsuser. Zakończyć sesję terminalową.
Powinno pojawić się ponownie okno Microsoft Windows Remote Desktop Web Connection.
Jako Server wpisać w nim nazwę serwera terminalowego szYYY partnera z zespołu.
Jako Size wybrać 640 by 480 (zamiast Full-Screen).
Nacisnąć przycisk Connect.
Następnie zostanie wyświetlone, w obrębie okna przeglądarki, okno logowania do serwera Windows Server
2003.
Zalogować się w nim jako użytkownik tsuser.
Zakończyć sesję terminalową.
Zamknąć przeglądarkę Internet Explorer.
4. Odinstalować serwer Internetowy IIS 6.0 używając Control Panel – Add or Remove Programs –
Add/Remove Windows Components i odznaczając pozycję Application server.
Ćwiczenie 11 (Porządki)
Zalogować się jako Administrator.
1. Otworzyć okno Command Prompt i uruchomić skrypt dekonfiguracja9.cmd wydając polecenie:
d:\zaj9\dekonfiguracja9.cmd
2. Usunąć z dysku lokalnego foldery D:\zaj9 i D:\temp wraz z całą zawartością.
3. Usunąć wszystkie profile użytkowników oznaczone jako Account Unknown
4. Wyłączyć dostęp do usługi Remote Desktop (w System Properties – Remote).
5. Zatrzymać usługę Telnet oraz zmienić jej sposób uruchamiania na Disabled.
6. Zamknąć system.
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
16
Wersja 3.3, 2006.04.26
ZAJĘCIA 10 - ZAKRES PRAC I MATERIAŁY POMOCNICZE
ZAKRES PRAC
1. Konfiguracja i zarządzanie dyskami
1.1. Narzędzie Disk Management (Zarządzanie dyskami)
1.2. Program DiskPart.exe
1.3. Wdrażanie woluminów odpornych na uszkodzenia
2. Konwersja partycji/woluminu z systemem plików FAT32 na system NTFS (polecenie
convert
)
3. Przydziały dyskowe (Disk Quota) – zarządzanie przy użyciu interfejsu GUI i polecenia
fsutil
Liczba ćwiczeń: 20
MATERIAŁY POMOCNICZE
1 Wybrane informacje dotyczące zagadnień realizowanych podczas
ćwiczeń
(Zamieszczone poniżej informacje są, w przeważającej części, zmodyfikowanym wyciągiem ze stosownych,
wybranych w Help and Support Center, tematów dla systemów Windows Server 2003 w wersji polskiej i
angielskiej)
1.1 Narzędzie Zarządzanie dyskami (Disk Management)
Uwaga: Wszystkie czynności związane z zarządzaniem dyskami mogą być prowadzone, na komputerze lokalnym,
wyłącznie przez członków grupy Backup Operators (Operatorzy kopii zapasowych), grupy Administrators
(Administratorzy) lub użytkowników mających udzielone odpowiednie pełnomocnictwo. Aby wykonać tę
procedurę zdalnie, trzeba być członkiem grupy Backup Operators lub grupy Administrators na komputerze
zdalnym. Jeśli komputer jest dołączony do domeny, członkowie grupy Domain Admins (Administratorzy domeny)
mogą mieć możliwość wykonania tej procedury. Ze względów bezpieczeństwa procedurę tę najlepiej wykonać przy
użyciu polecenia Run as.
Narzędzia/przystawki Disk Management można używać w systemie Windows XP Professional oraz w systemach
operacyjnych z rodziny Windows Server 2003 do wykonywania zadań związanych z dyskami, takich jak tworzenie
i formatowanie partycji i woluminów oraz przypisywanie im liter dysków. Na komputerach z systemami
operacyjnymi z rodziny Windows Server 2003 można używać przystawki Disk Management do wykonywania
zaawansowanych zadań, takich jak tworzenie i naprawianie woluminów odpornych na uszkodzenia. Do
wykonywania zadań zarządzania dyskami można również używać polecenia DiskPart oraz innych narzędzi wiersza
polecenia.
1.2 Program
DiskPart.exe
Program DiskPart.exe jest interpreterem poleceń działającym w trybie tekstowym, którego można używać do
zarządzania obiektami (dyskami, partycjami lub woluminami) przy użyciu skryptów lub informacji wprowadzanych
bezpośrednio z wiersza polecenia. Przed użyciem poleceń programu DiskPart.exe, należy najpierw wyświetlić listę
obiektów, a następnie wybrać odpowiedni obiekt, aby ustawić fokus na tym obiekcie. Wszystkie wpisane polecenia
programu DiskPart.exe dotyczą obiektu, na którym ustawiono fokus.
Korzystając z poleceń list disk, list volume i list partition, można wyświetlić listę dostępnych obiektów i określić
numer obiektu lub literę dysku. Polecenia list disk i list volume wyświetlają wszystkie dyski i woluminy na
Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) WSISiZ
1
Wersja 3.3, 2006.04.26
komputerze. Polecenie list partition wyświetla natomiast tylko partycje na dysku, na którym ustawiono fokus.
Podczas korzystania z poleceń list obok obiektu, na którym jest ustawiony fokus, pojawia się gwiazdka (*). Obiekt
można zaznaczyć przy użyciu numeru obiektu lub litery dysku, na przykład dysk 0, partycja 1, wolumin 3 lub
wolumin C.
Fokus jest ustawiony na wybranym obiekcie do chwili, kiedy zostanie wybrany inny obiekt. Na przykład, jeżeli
fokus ustawiono na dysku 0 i wybrano wolumin 8 na dysku 2, to fokus zostanie przeniesiony z dysku 0 na wolumin
8 dysku 2. Niektóre polecenia powodują automatyczną zmianę fokusu. Na przykład podczas tworzenia nowej
partycji fokus jest automatycznie przełączany do nowej partycji.
Fokus może być ustawiony tylko na partycji na wybranym dysku. Gdy fokus jest ustawiony na partycji, fokus jest
również ustawiony na woluminie powiązanym z daną partycją (jeżeli jest taki wolumin). Gdy fokus jest ustawiony
na woluminie, fokus jest również ustawiony na dysku i partycji powiązanych z danym woluminem, jeżeli wolumin
jest mapowany na jedną określoną partycję. W przeciwnym razie fokus ustawiony na dysku i partycji zostanie
utracony.
Informacje dotyczące poleceń programu DiskPart.exe znajdują się w pliku \zaj10\Docs\Program_DiskPart.doc
1.3 Mini-słownik terminów związanych z nazewnictwem dotyczącym
zarządzaniem dyskami
Mini-słownik terminów jest zawarty w tabeli pliku \zaj10\Docs\tabela_terminow_pl_eng.doc.
1.4 Style partycji (Partition styles)
Styl partycji jest związany ze sposobem, w jaki system Windows XP Professional oraz systemy operacyjne z
rodziny Windows Server 2003 organizują partycje na dysku. Na wszystkich komputerach z procesorem x86
stosowany jest styl partycji nazywany głównym rekordem rozruchowym MBR (Master Boot Record) (master
boot record (MBR)). W rekordzie MBR znajduje się tabela partycji, która opisuje miejsce partycji na dysku.
Rekord MBR to jedyny styl partycji dostępny w przypadku komputerów z procesorem x86, nie trzeba go więc
wybierać, bo jest używany automatycznie.
Komputery z procesorem Itanium i systemem Windows XP 64-Bit Edition, 64-bitowej wersji systemu Windows
Server 2003, Enterprise Edition lub 64-bitowej wersji systemu Windows Server 2003, Datacenter Edition używają
nowego stylu partycji, nazywanego tabelą partycji GUID (GPT) (GUID partition table (GPT)). Style partycji
GPT i MBR różnią się, ale większość zadań związanych z dyskami jest wykonywana tak samo. Dyski podstawowe
i dynamiczne działają tak samo, jak w systemie Windows 2000, a wymienione typy magazynowania są dostępne
bez względu na użyty styl partycji.
Do uruchomienia komputera z zainstalowanym systemem Windows XP 64-Bit Edition, 64-bitową wersją systemu
Windows Server 2003, Enterprise Edition, lub 64-bitową wersją systemu Windows Server 2003, Datacenter Edition
potrzebny jest dysk GPT z partycją systemową EFI (Extensible Firmware Interface) i niezbędnymi plikami. W
systemie opartym na procesorze Itanium można także instalować dyski z rekordem MBR, które jednak nie
umożliwiają uruchomienia systemu.
Aby ułatwić odróżnienie dysków z rekordem MBR od dysków z tabelą GPT, w przystawce Zarządzanie dyskami
(Disk Management) dyski z głównym rekordem rozruchowym mają etykietę MBR, a dyski z tabelą partycji
GUID — etykietę GPT.
W pliku \zaj10\Docs\typy_magazynow_style_partycji.doc zamieszczono tabelę zestawiającą typy magazynów
(storage types) i style partycji stosowane w systemach Windows XP Professional oraz systemach operacyjnych z
rodziny Windows Server 2003.
1.5 Dyski i woluminy podstawowe (Basic disks and volumes)
Dysk podstawowy to dysk fizyczny, który zawiera partycje podstawowe (primary partitions), partycje rozszerzone
(extended partitions) lub dyski logiczne (logical drives). Partycje i dyski logiczne na dyskach podstawowych
nazywamy woluminami podstawowymi. Woluminy podstawowe można tworzyć tylko na dyskach podstawowych.
Liczba partycji, którą można utworzyć na dysku podstawowym, zależy od metody partycjonowania:
• Na dyskach z głównym rekordem rozruchowym (MBR) (master boot record (MBR)) można utworzyć
najwyżej cztery partycje podstawowe (primary partitions) na dysk albo trzy partycje podstawowe i
jedną rozszerzoną (extended partition). Na partycji rozszerzonej można utworzyć dowolną (ograniczoną
liczbą wolnych liter alfabetu) liczbę dysków logicznych (logical drives).
Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) WSISiZ
2
Wersja 3.3, 2006.04.26
• Na dyskach z tabelą partycji GUID (GPT) (GUID partition table (GPT)) można utworzyć do 128 partycji
podstawowych. Ze względu na to, że liczba partycji na dyskach GPT nie jest ograniczona do czterech, nie
trzeba tworzyć na nich partycji rozszerzonych ani dysków logicznych.
Do istniejących partycji podstawowych i dysków logicznych można dodać więcej miejsca, rozszerzając je o ciągły,
nieprzydzielony obszar tego samego dysku (wyłącznie polecenie DiskPart.exe). Wolumin podstawowy można
rozszerzyć tylko pod warunkiem, że został sformatowany w systemie plików NTFS. Dysk logiczny można
rozszerzyć o ciągłe wolne miejsce partycji rozszerzonej, na której się znajduje. Jeżeli rozszerzony dysk logiczny
przekroczy wolne miejsce dostępne na partycji rozszerzonej, to rozszerzy się ona do niezbędnego rozmiaru pod
warunkiem, że istnieje odpowiedni ciągły, nieprzydzielony obszar
Na komputerach z systemami MS-DOS, Windows 95, Windows 98, Windows Millennium Edition, Windows NT
4.0 lub Windows XP Home Edition, które są skonfigurowane do rozruchu również z systemami z rodziny
Windows XP Professional lub Windows Server 2003, należy zawsze używać woluminów podstawowych zamiast
woluminów dynamicznych. Powyższe systemy operacyjne nie mogą uzyskać dostępu do danych na woluminach
dynamicznych.
System Windows XP Professional oraz systemy operacyjne z rodziny Windows Server 2003 nie obsługują
utworzonych w systemie Windows NT 4.0 lub starszym wielodyskowych woluminów podstawowych, takich jak
zestawy woluminów, zestawy dublowania, zestawy rozłożenia i zestawy rozłożenia z parzystością.
1.6 Dyski i woluminy dynamiczne (Dynamic disks and volumes)
Dyski dynamiczne zapewniają funkcje niedostępne na dyskach podstawowych, takie jak możliwość tworzenia
woluminów obejmujących wiele dysków (woluminy łączone i rozłożone) czy odpornych na uszkodzenia (woluminy
dublowane i RAID-5). Wszystkie woluminy na dyskach dynamicznych są nazywane woluminami dynamicznymi.
Istnieje pięć typów woluminów dynamicznych: proste (simple), łączone (spanned), rozłożone (striped) – RAID-0,
dublowane (mirrored) – RAID-1 i RAID-5. Woluminy dublowane i RAID-5 cechują się odpornością na
uszkodzenia i są dostępne wyłącznie na komputerach z systemem Windows 2000 Server, Windows 2000 Advanced
Server, Windows 2000 Datacenter Server lub z systemami operacyjnymi z rodziny Windows Server 2003.
Komputer z systemem Windows XP Professional można jednak wykorzystać do zdalnego utworzenia woluminów
dublowanych i RAID-5 z myślą o wymienionych systemach operacyjnych.
Bez względu na to, czy używanym stylem partycjonowania dysku dynamicznego jest główny rekord rozruchowy
(MBR), czy tabela partycji GUID (GPT) można utworzyć do 2000 woluminów dynamicznych, ale zalecana liczba
woluminów dynamicznych to 32 lub mniej.
Uwagi dotyczące sytuacji, w których należy korzystać z dysków i woluminów dynamicznych zamieszczono w pliku
\zaj10\Docs\uwagi_dyski_woluminy_dynamiczne.doc.
1.6.1 Woluminy proste (Simple Volumes)
Wolumin prosty to część dysku fizycznego, która działa jak jednostka oddzielna fizycznie (podobnie do partycji
podstawowej). Wolumin prosty jest woluminem dynamicznym składającym się z obszaru w obrębie jednego dysku
dynamicznego.
Woluminy proste można tworzyć tylko na dyskach dynamicznych. Rozmiar istniejącego woluminu prostego można
zwiększyć, rozszerzając go o nieprzydzielone miejsce na tym samym lub innym dysku.
Rozszerzenie woluminu prostego jest możliwe, jeśli wolumin nie jest sformatowany lub jest sformatowany w wersji
systemu plików NTFS, używanej w systemie Windows 2000 lub systemach operacyjnych z rodziny Windows
Server 2003. Wolumin prosty, który rozszerzono na tym samym dysku, wciąż pozostaje woluminem prostym i
nadal można go dublować.
Wolumin prosty można także rozszerzyć o regiony znajdujące się na innych dyskach dynamicznych tego samego
komputera. Wolumin prosty, który rozszerzono na wielu innych dyskach, staje się woluminem łączonym. Usunięcie
dowolnej części rozszerzonego woluminu łączonego powoduje usunięcie go w całości.
1.6.2 Woluminy łączone (Spanned Volumes)
Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) WSISiZ
3
Wersja 3.3, 2006.04.26
Wolumin łączony to wolumin dynamiczny składający się z obszarów nieprzydzielonego miejsca na kilku dyskach
połączonych w jeden wolumin logiczny. Do woluminu łączonego można w dowolnym momencie dodać więcej
miejsca przez rozszerzenie woluminu.
• Woluminy łączone można tworzyć tylko na dyskach dynamicznych.
• Do utworzenia woluminu łączonego potrzeba przynajmniej dwóch dysków dynamicznych.
• Wolumin łączony można rozszerzyć maksymalnie na 32 dyski dynamiczne.
• Woluminów łączonych nie można dublować.
• Woluminy łączone nie są odporne na uszkodzenia.
W systemie Windows NT w wersji 4.0 lub starszej wolumin łączony był nazywany zestawem woluminowym.
1.6.3 Woluminy rozłożone (Striped Volumes)
Wolumin rozłożony to wolumin przechowujący dane w paskach na dwóch lub większej liczbie dysków fizycznych.
Dane na woluminie rozłożonym są alokowane alternatywnie i równomiernie (w paskach) do tych dysków.
Woluminy rozłożone oferują najlepszą wydajność ze wszystkich woluminów dostępnych w systemie Windows
Server 2003, jednak nie są odporne na uszkodzenia. Jeżeli jeden z dysków woluminu rozłożonego ulegnie
uszkodzeniu, dane w całym woluminie zostaną utracone.
• Do utworzenia woluminu rozłożonego potrzeba przynajmniej dwóch dysków dynamicznych. Wolumin
rozłożony można utworzyć maksymalnie na 32 dyskach.
• Woluminy rozłożone nie są odporne na uszkodzenia i nie można ich rozszerzać ani dublować.
W systemie Windows NT w wersji 4.0 lub starszej wolumin rozłożony nazywany był zestawem paskowym.
1.6.4 Uwarunkowania rozszerzania woluminu prostego (Simple Volume) i
łączonego (Spanned Volume)
• Rozszerzyć można tylko wolumin pozbawiony systemu plików albo sformatowany przy użyciu systemu
plików NTFS. Nie można rozszerzyć woluminów sformatowanych w systemie FAT lub FAT32.
• Nie można rozszerzyć woluminu systemowego, woluminu rozruchowego, woluminu rozłożonego,
woluminu dublowanego ani woluminu RAID-5.
• Woluminy proste i łączone, które nie są woluminami systemowymi ani rozruchowymi, można rozszerzyć,
o ile na dysku jest dostępne miejsce. Dotyczy to zarówno woluminów utworzonych od razu jako
dynamiczne, jak i woluminów utworzonych jako podstawowe, a później przekonwertowanych na
dynamiczne w systemie Windows XP Professional lub systemie operacyjnym z rodziny Windows
Server 2003.
• Po uaktualnieniu systemu Windows 2000 do systemu Windows XP Professional lub systemu operacyjnego
z rodziny Windows Server 2003 nie można rozszerzyć woluminu prostego ani łączonego utworzonego
pierwotnie w systemie Windows 2000 jako wolumin podstawowy, który następnie został
przekonwertowany na dynamiczny.
• Wolumin prosty można rozszerzyć na dodatkowe dyski dynamiczne, tworząc w ten sposób wolumin
łączony. Woluminów łączonych nie można dublować.
• Po rozszerzeniu woluminu łączonego nie można usunąć żadnej jego części, nie usuwając go w całości.
1.6.5 Uwarunkowania związane z dublowaniem – woluminy dublowane (Mirrored
Volumes)
• Tworzenie dublowanych woluminów jest możliwe tylko na komputerach z systemem Windows 2000
Server, Windows 2000 Advanced Server, Windows 2000 Datacenter Server lub systemem operacyjnym z
rodziny Windows Server 2003.
• Do utworzenia woluminu dublowanego potrzebne są dwa dyski dynamiczne.
• Woluminy dublowane są odporne na uszkodzenia. Zastosowany w nich standard RAID-1 zapewnia
nadmiarowość, tworząc dwie identyczne kopie woluminu.
• Woluminów dublowanych nie można rozszerzać.
• Obie kopie woluminu dublowanego współdzielą tę samą literę dysku.
• Gdy wolumin dublowany zostanie podzielony, dwie kopie woluminu, które tworzyły wolumin dublowany,
stają się dwoma niezależnymi woluminami prostymi. Woluminy te nie są już odporne na uszkodzenia.
Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) WSISiZ
4
Wersja 3.3, 2006.04.26
• Po usunięciu dublowania z woluminu dublowanego, dublowanie to staje się miejscem nieprzydzielonym, a
pozostałe dublowanie staje się woluminem prostym, który nie jest już odporny na uszkodzenia. Wszystkie
dane znajdujące się na usuwanym dublowaniu zostają usunięte.
1.6.6 Wybrane uwarunkowania woluminu RAID-5 (RAID-5 Volume)
• Tworzenie woluminów RAID-5 jest możliwe tylko na komputerach z systemem Windows 2000 Server,
Windows 2000 Advanced Server, Windows 2000 Datacenter Server lub systemem operacyjnym z rodziny
Windows Server 2003.
• Do utworzenia woluminu RAID-5 potrzeba przynajmniej trzech dysków dynamicznych (ale nie więcej niż
32).
• Woluminy RAID-5 zapewniają odporność na uszkodzenia za cenę tylko jednego dodatkowego dysku na
wolumin (N-1). Na przykład pojemność woluminu RAID-5 utworzonego z trzech dysków o rozmiarze 10
GB każdy wyniesie 20 GB. Pozostałe 10 GB będzie używane na potrzeby parzystości.
• Woluminów RAID-5 nie można rozszerzać ani dublować.
1.6.7 Opisy stanu dysku (Disk Status Descriptions)
Jeden z następujących opisów stanu dysku zawsze pojawia się w widoku graficznym dysku i w kolumnie Status
(Stan) dysku w widoku listy (skrótowy opis możliwych stanów dysku znajduje się w pliku
\zaj10\Docs\opisy_stanow_dysku.doc):
Audio CD (Audio CD)
Foreign (Obcy)
Initializing (Inicjowanie)
Missing (Brak)
No Media (Brak nośnika)
Not Initialized (Nie zainicjowany)
Online (Online) lub Online (Errors) (Online (błędy))
Offline (Offline)
Unreadable (Nieodczytywalny)
1.6.8 Opisy stanu woluminu (Volume status descriptions)
Jeden z następujących opisów stanu woluminu zawsze pojawia się w widoku graficznym woluminu i w kolumnie
Status (Stan) woluminu w widoku listy. Skrótowy opis stanu dysku znajduje się w pliku
\zaj10\Docs\opisy_stanow_woluminu.doc.
Failed (Niepowodzenie)
Failed Redundancy (Niepowodzenie nadmiarowości) – wyróżnianych jest 5 podstanów
Formatting (Formatowanie)
Healthy (Zdrowy) – wyróżnianych jest 11 podstanów
Regenerating (Regeneracja)
Resynching (Ponowne synchronizowanie) – wyróżniane są 4 podstany
Unknown (Nieznany)
Data Incomplete (Dane niepełne)
Data Not Redundant (Dane nienadmiarowe)
Stale Data (Dane stare)
1.7 Dyski instalowane (Mounted drives)
Dysk instalowany/montowany to dysk podłączony do pustego folderu na woluminie NTFS. Zainstalowane dyski
działają podobnie jak inne dyski, jednak zamiast liter dysków są im przypisywane etykiety. Nazwa zainstalowanego
dysku jest rozpoznawana jako pełna ścieżka systemu plików zamiast litera dysku.
Dyski zainstalowane systemu NTFS stanowią łatwą metodę dodawania woluminów dodatkowych na komputerze,
na którym nie ma już wolnych liter dysków. Można ponadto dodać więcej miejsca do woluminu – bez konieczności
ponownego tworzenia woluminu na innym, większym dysku – przez zainstalowanie innych dysków jako folderów
na woluminie.
Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) WSISiZ
5
Wersja 3.3, 2006.04.26
Zwiększanie struktury folderów za pomocą dysków zainstalowanych zapewnia skalowalność woluminu i zwiększa
jego pojemność. Przystawki Zarządzanie dyskami (Disk Management) można użyć do zainstalowania woluminu
lokalnego w dowolnym pustym folderze na lokalnym woluminie NTFS.
Dysk zainstalowany można sformatować w dowolnym systemie plików, obsługiwanym przez system Windows XP
Professional lub systemy operacyjne z rodziny Windows Server 2003.
Przystawka Zarządzanie dyskami przypisuje dyskowi lokalnemu, który zainstalowano w pustym folderze na
woluminie NTFS, ścieżkę, a nie literę dysku. Liczba dysków zainstalowanych nie jest ograniczona do 26, ponieważ
nie są im przypisywane oznaczenia literowe.
Stosując dyski zainstalowane, można więc uzyskać dostęp do więcej niż 26 dysków na komputerze. Zachowanie
skojarzenia ścieżek dysków z dyskami jest zapewniane przez system Windows, można więc dodawać urządzenia
pamięci masowej i ponownie je rozmieszczać bez obawy o błędy ścieżek.
Jeśli na przykład do dysku twardego jest przypisana litera dysku D, a woluminowi sformatowanemu w systemie
plików NTFS – litera C, to dysk twardy można zainstalować w pustym folderze, do którego prowadzi następująca
ścieżka: C:\datadisk. Dostęp do tego dysku twardego można wówczas uzyskiwać bezpośrednio przy użyciu ścieżki
C:\datadisk. Można też wybrać usunięcie litery dysku D z dysku twardego i dalszy dostęp do dysku za pomocą
ścieżki dysku zainstalowanego.
Dyski zainstalowane sprawiają, że dane są łatwiej dostępne oraz zapewniają odpowiednią do środowiska pracy i
sposobu użytkowania systemu elastyczność zarządzania składowaniem danych. Na przykład można:
• Skonfigurować folder C:\Użytkownicy jako dysk zainstalowany z przydziałami dysku NTFS, co pozwala
śledzić lub ograniczać wykorzystanie dysku, nie robiąc tego samego na całym dysku C.
• Skonfigurować folder C:\Temp jako dysk zainstalowany, aby zapewnić dodatkowe miejsce na pliki
tymczasowe.
• Gdy brakuje miejsca na dysku C, przenieść zawartość folderu Moje dokumenty na inny, większy dysk i
zainstalować go w folderze C:\Moje dokumenty.
1.8 Konwersja woluminu FAT16 i FAT32 do NTFS
System Windows Server 2003 posiada wbudowany pogram Convert (convert.exe) do konwersji woluminów FAT
oraz FAT32 na NTFS. Przy dokonywanej konwersji nie są tracone żadne dane. Odwrotna konwersja bez utraty
danych jest niemożliwa.
• Jeżeli polecenie Convert nie może zablokować dysku (na przykład woluminu systemowego lub bieżącego
dysku), to proponuje konwersję dysku przy ponownym uruchomieniu komputera. Jeżeli nie można
ponownie uruchomić komputera natychmiast w celu zakończenia konwersji, należy zaplanować godzinę
ponownego uruchomienia komputera i uwzględnić dodatkowy czas wymagany do ukończenia procesu
konwersji.
• W przypadku woluminów konwertowanych z systemu plików FAT lub FAT32 na system plików NTFS, na
skutek istniejącego użycia dysku, tabela MFT (Master File Table) jest tworzona w lokalizacji innej niż na
woluminie formatowanym oryginalnie przy użyciu systemu plików NTFS, dlatego wydajność woluminu
może być niższa niż w przypadku woluminów formatowanych oryginalnie przy użyciu systemu plików
NTFS. Aby uzyskać optymalną wydajność, należy rozważyć możliwość ponownego utworzenia i
sformatowania tych woluminów przy użyciu systemu plików NTFS.
• Woluminy konwertowane z systemu FAT do systemu NTFS pozostawiają pliki bez zmian, jednak
wydajność woluminu jest niższa w porównaniu z woluminami formatowanymi oryginalnie przy użyciu
systemu NTFS. Na przykład, tabela MFT może ulec fragmentacji na konwertowanych woluminach.
Ponadto, na konwertowanych woluminach rozruchowych podczas konwersji stosowane są zabezpieczenia
domyślne, które są stosowane podczas instalacji systemu Windows.
Przed wykonaniem konwersji, program Convert sprawdza, czy dysk posiada wystarczającą ilość wolnego miejsca
dla wykonywania operacji. Wymagany jest ciągły blok stanowiący około 25% całkowitej zajętej powierzchni
dysku. Podczas trwania procesu konwersji nie wolno otwierać żadnego pliku na dysku.
1.9 Przydziały dyskowe (Disk Quota)
Zarządzanie przydziałami dyskowymi może odbywać się za pomocą karty Quota w Properties dla wybranego
dysku lub przy użyciu polecania fsutil.exe (fsutil quota).
Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) WSISiZ
6
Wersja 3.3, 2006.04.26
Przydziały dysku śledzą i kontrolują wykorzystanie miejsca na dysku przez woluminy NTFS. Członkowie grupy
Administrators mogą konfigurować system Windows w celu:
• Zapobiegania dalszemu wykorzystaniu miejsca na dysku i rejestrowania zdarzenia w dzienniku, jeżeli
użytkownik przekroczy określony limit miejsca na dysku, czyli dozwoloną ilość miejsca na dysku, z której
może korzystać.
• Rejestrowania w dzienniku zdarzenia, jeśli użytkownik przekroczy określony poziom ostrzegania
dotyczący miejsca na dysku, czyli punkt, w którym użytkownik zbliża się do limitu przydziału.
Po włączeniu przydziałów dysku można ustawić dwie wartości: limit przydziału dysku i poziom ostrzegania o
przydziale dysku. Na przykład można ustawić dla danego użytkownika limit przydziału dysku użytkownika na 500
megabajtów (MB), a poziom ostrzegania o przydziale dysku na 450 MB. W tym przypadku użytkownik może
przechowywać na danym woluminie nie więcej niż 500 MB plików danych. Można tak skonfigurować system
przydziałów dysku, aby po zapisaniu na woluminie plików o wielkości przekraczającej 450 MB było rejestrowane
zdarzenie systemowe. Przydziałami na woluminie może administrować tylko członek grupy Administrators.
Można określić, że użytkownicy mogą przekraczać swoje limity przydziałów dysku. Włączanie przydziałów bez
określenia limitu miejsca na dysku jest użyteczne, jeśli nie trzeba odmawiać użytkownikom dostępu do woluminu,
ale konieczne jest śledzenie wykorzystania miejsca na dysku przez poszczególnych użytkowników. Można również
określić, czy w dzienniku będzie rejestrowane zdarzenie po przekroczeniu przez użytkowników limitu przydziału
lub poziomu ostrzegania o przydziale.
Po włączeniu dla woluminu przydziałów dysku wykorzystanie woluminu przez wszystkich użytkowników jest
śledzone automatycznie.
Przydziały można włączyć na woluminach lokalnych, woluminach sieciowych i dyskach wymiennych
sformatowanych zgodnie z systemem plików NTFS. Ponadto woluminy sieciowe muszą być udostępniane z
katalogu głównego woluminu, a dyski wymienne muszą być udostępnione. Woluminy sformatowane zgodnie z
wersją systemu NTFS używaną w systemie Windows NT 4.0 są automatycznie uaktualniane przez Instalatora
systemu Windows.
Nie można używać skompresowanych plików, aby zapobiegać przekraczaniu przez użytkowników limitów
przydziałów, ponieważ skompresowane pliki są śledzone zgodnie z ich rozmiarami po dekompresji. W przypadku
pliku o rozmiarze 50 MB, którego rozmiar po kompresji wynosi 40 MB, system Windows porównuje z limitem
przydziału oryginalny rozmiar 50 MB.
Więcej informacji na temat przydziałów dyskowych zawarto w pliku
\zaj10\Docs\Wybrane_zagadnienia_przydzialow_dyskowych.doc.
Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) WSISiZ
7
Wersja 3.3, 2006.04.26
ZAJĘCIA 10 - ĆWICZENIA
Ćwiczenie 1 (Przygotowania)
1. Zalogować się jako Administrator w Windows Server 2003, Instalacja standardowa.
2. Zmienić nazwę komputera na właściwą (opis na obudowie komputera).
3. Z zasobów WS2003Lab skopiować do katalogu głównego partycji d:\ cały folder
\\oceanic\staff\ws2003lab\lab2006\zaj10 z zachowaniem jego nazwy zaj10. Skopiować również, do foldera
d:\zaj10, z systemu UBI Szkoły pliki znajdujące się w folderze \ws2003lab\lab2006\Zajecia10.
4. Utworzyć nowe konto użytkownika bilbo-grupa z hasłem bilbo, gdzie grupa jest nazwą grupy odbywającej
ćwiczenia – np. bilbo-id213 dla grupy id213 (w Command Prompt):
net user bilbo-grupa bilbo /add
).
Zalogować się jako bilbo-grupa i wylogować. Jest to konieczne dla prawidłowego przeprowadzenia
Ćwiczenia 2.
5. Zalogować się jako Administrator i utworzyć konsolę MMC zawierającą przystawkę (snap-in) Disk
Management dla lokalnego komputera.
Zapisać, na Pulpicie, konsolę pod nazwą grupa.msc, gdzie grupa jest nazwą grupy aktualnie odbywającej
ćwiczenia.
Ćwiczenie 2 (Przydziały dyskowe (Disk Quota) – zarządzanie przy użyciu interfejsu GUI)
Część 1: Włączenie mechanizmu przydziałów dyskowych i prowadzenia inspekcji tych przydziałów
1. Wybrać, z menu kontekstowego lokalnego dysku D:, polecenie Properties.
2. Otworzyć kartę Quota i zaznaczyć pole Enable quota management. Pozostawić domyślnie zaznaczone pole
Do not limit disk usage. Ponadto zaznaczyć pola Deny disk space to users exceeding quota limit, Log
event when a user exceeds their quota limit, Log event when a user exceeds their warning level i użyć
przycisku Apply.
3. W pojawiającym się oknie Disk Quota zaakceptować, przyciskiem OK, komunikat informujący, że po
włączeniu systemu przydziałów dyskowych, wolumin będzie przeskanowany w celu aktualizacji statystyk
użycia dysku. Po przeskanowaniu na ikonie sygnalizacji świetlnej pojawia się zielone światło. Użyć przycisku
Quota Entries...
4. Po otwarciu się okna Quota Entries for Local Disk (D:) w kolumnie Name początkowo (po pierwszym
uruchomieniu przydziałów dyskowych lub po dodaniu nowego konta) pojawiają się wpisy [Retrieving Name]
a w kolumnie Logon Name występują nazwy w postaci niejawnej (odpowiadającej identyfikatorom SID). Po
pewnym czasie pojawiają się nazwy w czytelnej postaci.
Wszystkie występujące na liście konta mają status OK i oznaczone są zieloną strzałką (w kolumnie Quota
Limit widnieją wpisy No Limit). Brak ograniczeń dla istniejących kont użytkowników jest stanem domyślnym
po włączeniu mechanizmu przydziałów dyskowych.
Zauważyć, że z samego faktu utworzenia nowego konta bilbo-grupa, jego skutecznego zalogowania i
wylogowania się konto zajmuje na dysku ponad 3,5 MB (jest to wartość przykładowa zależna m.in. od
konfiguracji systemu i zainstalowanego oprogramowania).
Część 2: Ustalanie limitów dla wybranego, istniejącego konta użytkownika
5. W oknie Quota Entries for Local Disk (D:) z menu kontekstowego pozycji dla SZXXX\bilbo-grupa wybrać
Properties.
6. W oknie Quota Settings for SZXXX\bilbo-grupa zaznaczyć pole Limit disk space to i ustalić ograniczenie
na 3.0 MB, a dla pola Set warning level to na 2 MB. Użyć przycisku Apply.
Pojawia się znak białego wykrzyknika na tle czerwonego koła. Wprowadzenie powyższych ustaleń praktycznie
uniemożliwiłoby pracę użytkownika w systemie.
7. Zmienić ustalenia dla Limit disk space to i Set warning level to na odpowiednio 30 MB i 15 MB. Użyć
przycisku Apply. Zauważyć, że znak ostrzegawczy zmienił się na zielony znak a następnie użyć OK.
W oknie Quota Entries for Local Disk (D:), dla konta SZXXX\bilbo-grupa, w kolumnach Quota Limit,
Warning Level i Percent Used pojawiły się stosowne wpisy. Zamknąć okno Quota Entries for Local Disk
(D:). Zamknąć okno Local Disk (D:) Properties przyciskiem OK i wylogować się.
Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) WSISiZ
8
Wersja 3.3, 2006.04.26
Część 3: Sprawdzenie skuteczności wprowadzonych ustawień
8. Zalogować jako bilbo-grupa. Zauważyć w Properties dysku D: na karcie General, że zalogowany użytkownik
widzi pojemność tego dysku jako 30 MB.
9. Utworzyć folder d:\bilbo-grupa (gdzie grupa jest nazwą grupy odbywającej ćwiczenia – np. d:\bilbo-id213 dla
grupy id213) i skopiować do niego podfolder d:\WINDOWS\system32\drivers (ok. 20 MB). Podjąć próbę
skopiowania do tego foldera podfoldera d:\WINDOWS\system32\Wbem (ok. 18 MB). Operacja nie powinna się
zakończyć sukcesem. Skopiowana została tylko część podfoldera i pojawia się okno Error Copying File or
Folder z komunikatem m.in. o braku wolnego miejsca na dysku . Zatwierdzić komunikat i wylogować się.
Ćwiczenie 3 (Zarządzanie przydziałami dyskowymi przy użyciu polecenia fsutil)
Część 1: Uzyskiwanie informacji o istniejących przydziałach dyskowych
1. Zalogować się jako Administrator i zapoznać się z listą dostępnych podpoleceń polecenia fsutil wydając w
Command Prompt:
fsutil
2. Wyświetlić informację o istniejących przydziałach dyskowych na woluminie D: wydając polecenie:
fsutil quota query d:
Część 2: Dokonanie przeszukania dziennika systemu i aplikacji w celu wykrycia przypadków naruszenia
przydziałów lub osiągnięcia przez użytkowników wartości progowych przydziałów lub limitów przydziałów
(podobne informacje pojawiają się w Administrative Tools – Event Viewer – System, kolumna Source (Źródło)
– ntfs)
3. Przeszukać dziennik systemu i aplikacji wydając polecenie:
fsutil quota violations
Wyświetlone zostają wpisy dotyczące konta użytkownika bilbo-grupa. Dostarczają informacji o tym, że
przekroczony został próg ostrzegawczy (A user hit their quota treshold!) i limit (A user hit
their quota limit!
) dotyczące stanu przydziałów dyskowych dla tego konta.
Część 3: Zmiana wartości progowej przydziału i limitu przydziału dyskowego
4. Zmienić wartość progową przydziału (Warning Level) i limit przydziału (Quota Limit) (dla woluminu D:) dla
konta bilbo-grupa odpowiednio na 40 000 000 i 50 000 000 bajtów poleceniem:
fsutil quota modify d: 40000000 50000000 bilbo-grupa
Część 4: Tworzenie nowego przydziału dyskowego
5. Utworzyć nowe konto użytkownika elf-grupa z hasłem elf (gdzie grupa jest nazwą grupy odbywającej
ćwiczenia – np. bilbo-id213 dla grupy id213) poleceniem:
net user elf-grupa elf /add
6. Utworzenie nowego konta nie powoduje automatycznego dodania wpisu do przydziałów dyskowych.
Następuje to dopiero, gdy użytkownik zaloguje i wyloguje się z systemu. Sprawdzić to wybierając Properties
dla dysku D: kartę Quota i przycisk Quota Entries... Nie powinno być wpisu o koncie elf-grupa w oknie
Quota Entries for Local Disk (D:). By pojawił się wpis należałoby dodać użytkownika wybierając z menu
Quota – New Quota Entry... Nie dodawać wpisu !!!. Zamknąć okno Quota Entries for Local Disk (D:).
Dodać konto użytkownika elf-grupa do listy wpisów przydziałów dyskowych, dodatkowo wprowadzając
wartość progową przydziału 8 000 000 i limit przydziału 10 000 000 (dla woluminu D:), poleceniem
fsutil quota modify d: 8000000 10000000 elf-grupa
7. Ponownie użyć przycisku Quota Entries... Po pewnym czasie pojawia się wpis dotyczący konta elf-grupa.
Zamknąć okno Quota Entries for Local Disk (D:).
Część 5: Wyłączenie śledzenia i wymuszania przydziałów na woluminie
8. Wyłączyć przydziały dyskowe dla woluminu D: wydając polecenie:
fsutil quota disable d:
Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) WSISiZ
9
Wersja 3.3, 2006.04.26
Ćwiczenie 4 [Dodatkowe] (Próby usuwania wpisów dotyczących przydziałów dyskowych)
1. Ponownie użyć przycisku Quota Entries... i podjąć próbę usunięcia (polecenie Delete z menu kontekstowe dla
pozycji SZXXX\bilbo-grupa) wpisu, zatwierdzając pojawiające się komunikaty, dla konta bilbo-grupa.
Po zamknięciu okna Disk Quota (przyciskiem Close) operacja winna się zakończyć niepowodzeniem z
wygenerowaniem komunikatu Miejsce na dysku jest obciążone kontem wybranego użytkownika. Użytkownicy
obciążeni miejscem na dysku nie mogą być usunięci (oryginalne brzmienie komunikatu z polskojęzycznej
wersji systemu).
2. Wybrać pozycję dla konta elf-grupa. Zauważyć, że w kolumnie Amount Used widnieje dla tego konta wpis
0 bytes. Wynika to z faktu, że użytkownik nie logował się jeszcze do systemu. Z menu kontekstowego wpisu
dla konta elf-grupa wybrać polecenie Delete. Po zatwierdzeniu komunikatu próba winna się udać.
Ćwiczenie 5 (Tworzenie i usuwanie partycji podstawowej (primary partition) na dysku
podstawowym)
Standardowa konfiguracja dysku w komputerach wykorzystywanych na zajęciach jest przedstawiona poniżej.
Pojedynczy dysk o wielkości 111,79 GB (Basic) jest podzielony na cztery partycje, traktowane przez system jako
podstawowe (czyli wyczerpany jest limit podziału dysku na liczbę partycji).
Ta konfiguracja, w Disk Management, prezentuje się następująco (różnić się mogą wielkości Free Space i
%Free):
Windows XP
Systemy Windows
Server 2003
Linux i naprawa
Linux swap
Partycja podstawowa
Partycja
podstawowa
Partycja
podstawowa
Partycja
podstawowa
1. Będąc zalogowanym jako Administrator otworzyć, w konsoli grupa.msc, węzeł Disk Management i
sprawdzić, w oknie szczegółów, czy oglądana konfiguracja dysków jest podobna do wyżej prezentowanej (po
dokonaniu naprawy obraz dysku może mieć dla poszczególnych partycji inne opisy). Jeżeli tak nie jest, należy
przeprowadzić operację naprawy partycji, zgodnie z przebiegiem Ćwiczenia 20.
2. Zaznaczyć, używając prawego klawisza myszy, obszar 478 MB Healthy (Unknown Parition) i z jego menu
kontekstowego wybrać Delete Partition...
3. Pojawia się okno Disk Management z komunikatem informującym o tym, że partycja nie została utworzona w
systemie Windows. Należy zatwierdzić to ostrzeżenie przyciskiem Yes.
Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) WSISiZ
10
Wersja 3.3, 2006.04.26
Po wykonaniu powyższej operacji „obraz” w konsoli winien być następujący:
Partycja podstawowa
Partycja
podstawowa
Partycja
podstawowa
Obszar
nieprzydzielony
4. Z menu kontekstowego obszaru 478 MB Unallocated wybrać New Partition...
5. W pierwszym oknie kreatora New Partition Wizard użyć przycisku Next.
6. W następnym oknie kreatora Select Partition Type pozostawić domyślnie zaznaczone pole Primary partition
i użyć przycisku Next.
7. W kolejnym oknie Specify Partition Size dla pola Partition size in MB: wprowadzić 50 MB. Zauważyć, że
minimalną, teoretycznie możliwą do zadeklarowania, wartością wielkości partycji jest 8 MB. Użyć przycisku
Next.
8. W oknie Assign Drive Letter or Path pozostawić zaznaczone pole Assign the following drive letter:
i wybrać literę G, użyć przycisku Next.
9. W pojawiającym się oknie Format Partition kreatora istnieje możliwość wyboru wielu opcji. Należy zwrócić
uwagę na możliwość podjęcia decyzji o kompresji danych na kreowanej partycji (Enable file and folder
compression) już na etapie jej tworzenia – nie zaznaczać tej opcji (jest to domyślne ustawienie).
Opcja szybkiego formatowania (Perform a quick format) winna być stosowana wyłącznie wtedy, gdy istnieje
pewność, że dysk nie zawiera błędów. Podczas szybkiego formatowania nie jest dokonywane sprawdzanie
błędów na dysku.
W oknie Format Partition kreatora, w polu Volume label: wprowadzić Part, a dla pola File system: wybrać
FAT32. Zauważyć, że po wyborze systemu plików FAT32 opcja Enable file and folder compression stała się
niedostępna. Ustawienie dla Allocation unit size: pozostawić domyślne (Default). Użyć przycisku Next, a w
następnym oknie przycisku Finish.
Po zakończeniu procesu formatowania na dysku podstawowym przybyła partycja podstawowa 55 MB FAT32,
o literze G: i etykiecie PART.
Uwaga: Zauważyć, że mimo deklarowanej wielkości partycji (50 MB) utworzona została partycja o wielkości
55 MB. Rozmiar partycji jest zaokrąglany (w górę) zgodnie z wielkością cylindrów dysku, do najbliższej
granicy cylindra HDD.
Aktualny widok w oknie szczegółów konsoli winien być, jak poniżej. Po dokonaniu porównania, osiągniętej
z deklarowaną, konfiguracji zamknąć konsolę grupa.msc.
Partycja podstawowa
(NTFS)
Partycja
podstawowa
(NTFS)
Partycja
podstawowa
Partycja
podstawowa
(FAT32)
Obszar
nie-
przydzielony
Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) WSISiZ
11
Wersja 3.3, 2006.04.26
Ćwiczenie 6 (Konwersja partycji/woluminu z systemem plików FAT32 na system NTFS
i
usuwanie
partycji)
Uwaga: Podczas trwania procesu konwersji dysku nie wolno otwierać żadnego pliku z tego dysku.
Woluminy konwertowane na system plików NTFS nie mogą być konwertowane ponownie na system
plików FAT lub FAT32 (bez użycia dodatkowych narzędzi).
1. Przekopiować na wolumin G: (wolumin na skutek ustaleń w punkcie 9 Ćwiczenia 2 posiada system plików
FAT32) folder d:\zaj10.
2. Sprawdzić ilość wolnego miejsca na woluminie G:. Przed wykonaniem konwersji, program Convert sprawdza,
czy wolumin posiada wystarczającą ilość wolnego miejsca dla wykonywania operacji. Wymagany jest ciągły
blok stanowiący około 25% całkowitej zajętej powierzchni woluminu.
3. W Command Prompt zapoznać się ze składnią polecenia convert wprowadzając:
convert /?
4. Dokonać konwersji systemu plików dla partycji G: z systemu FAT32 na NTFS wprowadzając polecenie:
convert g: /fs:ntfs /v
W pojawiającym się wierszu Enter current volume label for drive G: wprowadzić etykietę
napędu tzn. Part. Po zakończeniu operacji zamknąć okno Command Prompt.
Po zakończeniu konwersji sprawdzić, że dane na partycji podstawowej G: nie zostały utracone i, że jej
systemem plików stał się NTFS.
Zamknąć wszystkie okna mające związek z partycją G:.
5. Otworzyć konsolę grupa.msc.
Aktualny widok w oknie szczegółów konsoli winien być, jak poniżej:
6. Z menu kontekstowego obszaru partycji podstawowej PART (G:) 55 MB NTFS wybrać Delete Partition...
W pojawiającym się oknie Delete primary partition użyć przycisku Yes.
Ćwiczenie 7 (Tworzenie partycji podstawowej przy użyciu programu DiskPart.exe)
1. Tworzenie partycji podstawowej
Tak rozmieścić okna konsoli grupa.msc i Command Prompt by jednocześnie była widoczna ich zawartość.
W Command Prompt wprowadzić polecenie:
diskpart
Zapoznać się z listą dostępnych poleceń programu DiskPart.exe wprowadzając:
DISKPART> help
Wyświetlić listę dostępnych obiektów (dysków fizycznych) wprowadzając:
DISKPART> list disk
Zaznaczyć dysk (w przypadku laboratoryjnych komputerów jest tylko jeden dysk HDD) umieszczając fokus na
tym dysku wprowadzając:
DISKPART> select disk=0
Po ponownym wydaniu polecenia list disk przy wpisie dysku pojawia się symbol *.
Utworzyć partycją podstawową o rozmiarze 100 MB wprowadzając:
DISKPART> create partition primary size=100
Wyświetlić listę dostępnych partycji wprowadzając:
DISKPART> list partition
Zauważyć, że fokus (*) jest automatycznie ustawiany na utworzonej ostatnio partycji.
2. Nadawanie litery partycji
Nadać literę P partycji podstawowej wprowadzając:
DISKPART> assign letter=p
Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) WSISiZ
12
Wersja 3.3, 2006.04.26
i zamknąć sesję programu DiskPart.exe wprowadzając exit.
3. Formatowanie partycji P:
W Command Prompt zapoznać się ze składnią polecenia format wprowadzając:
format /?
4. Dokonać formatowania partycji P: z użyciem systemu plików NTFS wydając polecenie:
format p: /fs:ntfs
i zatwierdzając ostrzeżenie – litera Y. Jako etykietę partycji wprowadzić podst.
Powstała partycja podstawowa P: o rozmiarze 102 MB NTFS o etykiecie podst.
Aktualna sytuacja w oknie szczegółów konsoli winna być następująca:
Ćwiczenie 8 (Rozszerzanie, bez utraty danych, partycji podstawowej i jej usuwanie przy
użyciu
programu DiskPart.exe)
UWAGA:
Do istniejących partycji podstawowych i dysków logicznych można dodać więcej miejsca – bez utraty
istniejących tam danych – rozszerzając je o ciągły, nieprzydzielony obszar tego samego dysku wyłącznie przy
użyciu polecenia DiskPart.exe.
Wolumin podstawowy można rozszerzyć tylko pod warunkiem, że został sformatowany w systemie plików NTFS.
Dysk logiczny można rozszerzyć o ciągłe wolne miejsce partycji rozszerzonej, na której się znajduje.
Nie można rozszerzyć bieżącej partycji systemowej ani rozruchowej.
1. Rozszerzanie partycji podstawowej
Warunkiem powodzenia operacji rozszerzania partycji podstawowej jest dysponowanie, bezpośrednio za nią,
odpowiednią wielkością przestrzeni nieprzydzielonej (Unallocated) na dysku.
Operacji rozszerzania partycji podstawowej nie można przeprowadzić przy użyciu przystawki Disk
Management.
Przekopiować na partycję P: folder d:\zaj10.
2. Uruchomić program DiskPart.exe.
Wyświetlić listę dostępnych obiektów (dysków fizycznych) wprowadzając:
DISKPART> list disk
Zauważyć, że nie zostało zapamiętane ustawienie fokusa z poprzedniej sesji programu DiskPart.exe.
Umieścić fokus na dysku wprowadzając:
DISKPART> select disk=0
Wyświetlić listę dostępnych woluminów wprowadzając:
DISKPART> list volume
Umieścić fokus na woluminie podstawowym P: - numer woluminu 2 (numer w kolumnie ### obok litery P (w
kolumnie Ltr) wprowadzając:
DISKPART> select volume 2
Rozszerzyć istniejącą partycję P: (102 MB) o wielkość 100 MB, bez utraty danych umieszczonych na niej,
wydając polecenie:
DISKPART> extend size=100
Partycja po rozszerzeniu ma rozmiar 204 MB. Dane nie zostały utracone. Sprawdzić ten fakt.
Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) WSISiZ
13
Wersja 3.3, 2006.04.26
Aktualna sytuacja w oknie szczegółów konsoli winna być następująca:
3. Usuwanie partycji podstawowej
Usuwanie partycji podstawowej może się odbywać przy użyciu polecenia delete partition lub delete
volume
. W obydwu przypadkach należy zaznaczyć właściwy numer partycji lub woluminu.
Usunąć partycję P:, uprzednio sprawdzając poleceniem list volume czy jest na niej umieszczony fokus,
poleceniem:
DISKPART> delete volume
Sprawdzić skuteczność operacji poleceniem list volume. Zamknąć program DiskPart.exe poleceniem
exit
i zamknąć okno Command Prompt.
Ćwiczenie 9 (Tworzenie partycji rozszerzonej i dysków logicznych)
1. Tworzenie partycji rozszerzonej (extended partition)
W otwartym oknie konsoli grupa.msc z menu kontekstowego przestrzeni 478 MB Unallocated wybrać New
Partition...
2. W oknie kreatora New Partition Wizard użyć przycisku Next.
W następnym oknie kreatora Select Partition Type zaznaczyć pole Extended partition i użyć przycisku Next.
W kolejnym oknie Specify Partition Size dla pola Partition size in MB: wprowadzić 200 MB i użyć
przycisku Next, a w następnym oknie Finish.
Na dysku podstawowym przybył obszar 204 MB oznaczony jako Free Space.
3. Tworzenie dysku logicznego (logical drive)
Z menu kontekstowego obszaru Free Space wybrać New Logical Drive...
4. W oknie kreatora New Partition Wizard użyć przycisku Next.
5. Zauważyć, że w oknie kreatora Select Partition Type jedynym dostępnym polem jest pole Logical drive i
użyć przycisku Next.
6. W kolejnym oknie Specify Partition Size dla pola Partition size in MB: wprowadzić 50 MB i użyć przycisku
Next.
7. W oknie Assign Drive Letter or Path pozostawić domyślnie zaznaczone pole Assign the following drive
letter: z wybraną literą E i użyć przycisku Next.
8. W oknie Format Partition kreatora, w polu Volume label: wprowadzić disklog, a pozostałe opcje pozostawić
w ich ustawieniach domyślnych. Użyć przycisku Next, a w kolejnym oknie Finish.
Rezultatem powyższej procedury jest utworzenie dysku logicznego 55 MB NTFS, o literze E:, z etykietą
disklog, na partycji rozszerzonej. Na pozostałej przestrzeni Free Space można tworzyć następne dyski
logiczne.
Ćwiczenie 10 (Konwersja dysku podstawowego na dysk dynamiczny)
Uwaga: Przed dokonaniem konwersji należy upewnić się, że nie będzie konieczności dysponowania w komputerze
możliwością wyboru startowania różnych systemów operacyjnych. Możliwość ta, po dokonaniu operacji,
może zostać utracona.
Operacja konwersji wymaga obecności co najmniej 1 MB wolnej przestrzeni na dysku podstawowym
podlegającym tej operacji. Jest to wymóg przystawki Disk Management.
Przed uaktualnianiem dysku podstawowego do dynamicznego zawsze, dla bezpieczeństwa danych, należy
Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) WSISiZ
14
Wersja 3.3, 2006.04.26
sporządzić kopię zapasową konwertowanego dysku. Dla potrzeb bieżącego laboratorium ta zasada zostanie
odrzucona!!!
1. W otwartej konsoli grupa.msc wybrać, z menu kontekstowego dla dysku fizycznego DISK 0, polecenie
Convert to Dynamic Disk... i w pojawiającym się oknie Convert to Dynamic Disk pozostawić zaznaczony
DISK 0 oraz użyć przycisku OK.
2. W oknie Disks to Convert wybrać przycisk Convert.
3. W wyświetlanym oknie Disk Management zaakceptować ostrzeżenie (nie będzie możliwości uruchamiania
innych zainstalowanych systemów operacyjnych) przez użycie przycisku Yes.
4. W pojawiającym się oknie Convert Disk to Dynamic użyć przycisku Yes.
5. W nowym oknie Confirm użyć przycisku OK, co spowoduje powtórne uruchomienie komputera.
6. Po restarcie komputera ponownie zalogować się jako Administrator w Windows Server 2003, Instalacja
standardowa i należy oczekiwać na pojawienie się komunikatu o znalezieniu nowego sprzętu. Po pojawieniu
się komunikatu użyć przycisku Yes. System dokonuje ponownego uruchomienia.
7. Zalogować się jako Administrator i otworzyć konsolę grupa.msc.
Sprawdzić, jaki jest typ dysku DISK 0. Winien być Dynamic. Stan partycji/woluminów na dysku przed
konwersją (tzn. po wykonaniu Ćwiczenia 9) i po konwersji powinien być, jak poniżej.
Dysk
logiczny na
partycji
rozszerzo-
nej
Wolna
przestrzeń
na partycji
rozszerzonej
Partycja
podstawowa
Partycja podstawowa
Partycja
podstawowa
Partycja rozszerzona
Obszar nie-
przydzielony
Wolumin prosty
Wolumin prosty -
systemowy
Wolumin prosty
Wolumin
prosty
Obszar
nieprzy-
dzielony
Zauważyć, że wszystkie partycje i dysk logiczny stały się woluminami prostymi (simple volume) (zmieniły
swój układ (Layout) na woluminy proste (Simple)). Wolna przestrzeń na partycji rozszerzonej została
przydzielona do obszaru Unallocated.
Ćwiczenie 11 (Tworzenie woluminu prostego)
1. Z menu podręcznego dla przestrzeni 424 MB Unallocated dysku dynamicznego Disk 0 wybrać New
Volume...
2. W oknie kreatora New Volume Wizard wybrać przycisk Next.
Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) WSISiZ
15
Wersja 3.3, 2006.04.26
3. Zauważyć, że w wyświetlonym oknie Select Volume Type jedyną dostępną opcją jest wolumin prosty –
Simple i użyć przycisku Next.
4. W oknie Select Disks, w polu Select the amount of space in MB: wprowadzić 350 MB i wybrać przycisk
Next.
5. W oknie Assign Drive Letter or Path winna być zaznaczona opcja Assign the following drive letter: z
wybraną literą F i użyć przycisku Next.
6. W oknie Format Volume kreatora, w polu Volume label: wprowadzić prosty, zaznaczyć pole Perform a
quick format, a pozostałe opcje pozostawić w ustawieniach domyślnych. Użyć przycisku Next, a w kolejnym
oknie Finish.
Rezultatem powyższej procedury jest utworzenie i sformatowanie nowego woluminu prostego 350 MB NTFS,
z etykietą prosty o literze F:.
Aktualna sytuacja w oknie szczegółów konsoli winna być następująca:
Wolumin prosty
Wolumin prosty -
systemowy
Wolumin prosty
Wolumin
prosty
Wolumin
prosty
Obszar
nieprzy-
dzielony
Ćwiczenie 12 (Rozszerzanie woluminu prostego)
1. Skopiować folder d:\zaj10 do woluminu F:.
2. Z menu kontekstowego woluminu prosty (F:) 350 MB wybrać polecenie Extend Volume...
3. W oknie kreatora Extend Volume Wizard wybrać przycisk Next.
4. W oknie Select Disks, w polu Select the amount of space in MB: wprowadzić 50 MB i wybrać przycisk
Next.
5. W kolejnym oknie użyć przycisku Finish.
Zauważyć, że wolumin prosty (F:) składa się teraz z dwóch części o pojemności 350 MB i 50 MB.
Sprawdzić, że podczas rozszerzania woluminu prostego nie następuje utrata zawartych na nim danych.
Aktualna sytuacja w oknie szczegółów konsoli winna być następująca:
Wolumin prosty
Wolumin prosty -
systemowy
Wolumin prosty
Wolumin
prosty
Wolumin
prosty po
rozszerzeniu
Obszar
nieprzy-
dzielony
Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) WSISiZ
16
Wersja 3.3, 2006.04.26
Ćwiczenie 13 (Tworzenie dysku zainstalowanego (zamontowanego) i usuwanie go – przypadek
wykorzystania przestrzeni nieprzydzielonej (unallocated) dysku)
Część 1: Tworzenie dysku zainstalowanego
1. W otwartym oknie konsoli grupa.msc wybrać, z menu kontekstowego przestrzeni Unallocated, polecenie New
Volume...
2. W oknie kreatora New Volume Wizard wybrać przycisk Next.
3. W wyświetlonym oknie Select Volume Type wybrać przycisk Next.
4. W oknie Select Disks, w polu Select the amount of space in MB: pozostawić domyślną wartość 23 MB i
wybrać przycisk Next.
5. W oknie Assign Drive Letter or Path zaznaczyć pole Mount in the following empty NTFS folder: i użyć
przycisku Browse…
6. W oknie Browse for Drive Path zaznaczyć wolumin F:\ i użyć przycisku New Folder...
Nazwać powstający folder jako punkt i wybrać przycisk OK.
7. W oknie Assign Drive Letter or Path wybrać przycisk Next.
8. W oknie Format Volume kreatora, w polu Volume label: wprowadzić montowany, zaznaczyć pole Perform a
quick format, a pozostałe opcje pozostawić w ustawieniach domyślnych. Użyć przycisku Next, a w kolejnym
oknie Finish.
W wyniku przeprowadzonej procedury powstał wolumin 23 MB NTFS o etykiecie montowany.
Należy zauważyć, że nie posiada on przypisanej litery.
Aktualna sytuacja w oknie szczegółów konsoli winna być następująca:
Wolumin prosty
Wolumin prosty -
systemowy
Wolumin prosty
Wolumin
prosty
Wolumin
prosty po
rozszerzeniu
Wolumin
zainstalowany w
pustym folderze
F:\punkt
9. Otworzyć My Computer lub Explore i obejrzeć zawartość woluminu F:. Zauważyć, że w tym woluminie
widoczna jest ikona, charakterystyczna dla napędu dyskowego, o nazwie punkt. Jest to rezultatem utworzenia,
sformatowania, a następnie zamontowania woluminu montowany w folderze punkt.
Wybrać Properties dla punkt. Zauważyć specyficzny układ karty General np. nie występuje informacja o
rozmiarze. Znajduje się tu pozycja Type: Mounted Volume oraz przycisk Properties, który odnosi się do
woluminu montowany.
W Command Prompt wydać polecenie dir f:
Zauważyć, że w opisie dla punkt (w tym folderze był montowany wolumin) występuje określenie
<JUNCTION>
stosowane dla punktu montowania.
Część 2: Usuwanie punktu montowania
10. Z menu kontekstowego woluminu montowany 23 MB wybrać polecenie Delete Volume...
Zatwierdzić ostrzeżenie w oknie Delete simple volume przy użyciu przycisku Yes.
Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) WSISiZ
17
Wersja 3.3, 2006.04.26
Otworzyć My Computer lub Explore i obejrzeć zawartość woluminu F:. Zauważyć, że na tym woluminie
widoczna jest tylko ikona, charakterystyczna dla foldera o nazwie punkt.
Aktualny stan woluminów po, prawidłowo przeprowadzonych dotychczas ćwiczeniach, winien wyglądać
następująco:
Ćwiczenie 14 [Dodatkowe] (Zdalne zarządzanie dyskami)
Większość operacji zarządzania dyskami można prowadzić w sposób zdalny. (Przykładem może być nawet zmiana
typu dysku z podstawowego na dynamiczny).
1. W otwartym oknie konsoli grupa.msc dodać przystawkę Disk Management dla komputera partnera z zespołu.
W oknie Select Computer, pojawiającym się w trakcie dodawania przystawki, zaznaczyć pole Another
computer: i wprowadzić szyyy, gdzie szyyy jest nazwą komputera partnera z zespołu.
2. Otworzyć Disk Management (SZyyy) – dla zdalnego komputera.
Po uzgodnieniu z partnerem, z menu kontekstowego woluminu disklog (E:) 55 MB wybrać polecenie Delete
Volume...
Zatwierdzić ostrzeżenie w oknie Delete simple volume przy użyciu przycisku Yes.
3. W wyniku operacji usunięty został wolumin prosty, a w jego miejscu powstał obszar nieprzydzielony 55 MB
Unallocated.
Aktualny stan woluminów (na zdalnym komputerze) po prawidłowo przeprowadzonych dotychczas
ćwiczeniach winien wyglądać następująco.
Wolumin
prosty
Wolumin prosty -
systemowy
Wolumin prosty Obszar
nieprzy-
dzielony
Wolumin
prosty po
rozszerzeniu
Obszar
nieprzy
-
dzielon
y
4. Zakończyć pracę z konsolą grupa.msc.
Ćwiczenie 15 [Dodatkowe] (Tworzenie wirtualnego dysku – polecenie subst)
Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) WSISiZ
18
Wersja 3.3, 2006.04.26
Uwaga: Dysk wirtualny można wykorzystywać zamiast podawania pełnej ścieżki do folderu. Aby uzyskać dostęp
do tego folderu, po utworzeniu dysku wirtualnego wystarczy podać nadaną uprzednio literę dysku
wirtualnego z dwukropkiem. Po restarcie systemu dyski wirtualne są usuwane.
1. W Command Prompt zapoznać się ze składnią polecenia subst wprowadzając:
subst /?
2. Utworzyć dysk wirtualny o literze napędu V: wprowadzając polecenie:
subst v: d:\zaj10
3. Sprawdzić fakt utworzenia dysku wirtualnego wprowadzając polecenie:
subst
Sprawdzić w Properties dla napędu V: możliwości dotyczące m.in. udostępniania, zabezpieczeń, kompresji.
Zauważyć, w uruchomionej konsoli grupa.msc, fakt nieobecności tego napędu w Disk Management.
Ćwiczenie 16 (Tworzenie, rozszerzanie i usuwanie woluminu łączonego – Spanned Volume)
1. Zapoznać się z procedurą postępowania otwierając prezentację \zaj10\Spanned_volume.ppt.
Ćwiczenie 17 (Tworzenie i usuwanie woluminu rozłożonego – Striped Volume)
1. Zapoznać się z procedurą postępowania otwierając prezentację \zaj10\Striped_volume.ppt.
Ćwiczenie 18 (Tworzenie woluminu dublowanego (Mirrored Volume) i przykład metody
postępowania w przypadku awarii jednego z dysków)
1. Zapoznać się z procedurą postępowania otwierając prezentację \zaj10\Mirrored_volume.ppt.
Ćwiczenie 19 (Tworzenie woluminu RAID-5 (RAID-5 Volume) i przykład metody
postępowania w przypadku awarii jednego z dysków)
1. Zapoznać się z procedurą postępowania otwierając prezentację \zaj10\RAID5_volume.ppt.
Ćwiczenie 20 (Porządki)
1. Będąc zalogowanym jako Administrator umieścić w napędzie dyskietkę naprawczą i dokonać restartu
komputera..
2. Po pojawieniu się LILO 22.5.9 Boot Menu wybrać pozycję x64-newelska.
Po zgłoszeniu się listy opcji napraw wprowadzić 1 ((1) Odtworzyc tablice partycji (szxxx)).
Po zakończeniu procesu odtwarzania tablicy partycji wyjąć z napędu dyskietkę i ponownie uruchomić
komputer (opcja 12) Koniec).
3. Podczas uruchamiania komputera na ekranie Welcome on the WSISiZ network wybrać pozycję naprawa i
powiadomić prowadzącego.
Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) WSISiZ
19
Wersja 3.2, 2006.04.25
ZAJĘCIA 11 - ZAKRES PRAC I MATERIAŁY POMOCNICZE
ZAKRES PRAC
1. Usługa Active Directory i domeny Windows 2003
1.1. Active Directory – ogólnie
1.2. Active Directory i DNS
1.3. Struktura logiczna – domeny
1.4. Struktura logiczna – jednostki organizacyjne
1.5. Struktura logiczna – relacje zaufania
1.6. Struktura logiczna – drzewa i lasy
1.7. Struktura logiczna – schemat
1.8. Active Directory – struktura fizyczna
1.9. Active Directory – Konwencje nazewnicze obiektów
Liczba ćwiczeń: 9
MATERIAŁY POMOCNICZE
1 Usługa Active Directory i domeny Windows 2003
Usługa Active Directory jest usługą katalogową systemu Windows 2003. Najważniejszym elementem logicznym w
hierarchicznej strukturze jej obiektów jest domena.
1.1 Active Directory – ogólnie
Active Directory jest usługą katalogową (ang. directory service) w sieci opartej o system Windows 2003. Usługa
katalogowa jest to usługa sieciowa, która przechowuje informacje o zasobach sieciowych i zapewnia ich dostępność
użytkownikom i aplikacjom. Istotą usługi katalogowej jest zapewnienie spójnego podejścia do nazywania, opisu,
odnajdywania, dostępu, zarządzania i ochrony informacji o tych zasobach. Działanie Active Directory sprawia, że
fizyczna topologia sieci i używane protokoły są przezroczyste dla użytkownika sieci, który może uzyskać dostęp do
odpowiedniego zasobu nie wiedząc gdzie ten zasób jest i jak jest on fizycznie podłączony.
Active Directory przechowuje wszystkie obiekty, które składają się na sieć opartą o system Windows 2003 takie jak
obiekty użytkowników, grup i komputerów. Active Directory zapewnia mechanizmy, które pozwalają
użytkownikom i aplikacjom odnajdować i uzyskiwać dostęp do odpowiednich obiektów w sieci oraz zapewnia
administratorom narzędzia, które są niezbędne do zarządzania siecią opartą o Windows 2003.
Active Directory oferuje dużą elastyczność w podejściu do administrowania zasobami sieciowymi. Z jednej strony
oferuje możliwość centralizowania administrowania, pozwalając na zarządzanie zasobami z dowolnych miejsc (lub
z pojedynczego miejsca) w sieci korporacyjnej (ang. enterprise) przez niewielką grupę użytkowników.
Z drugiej strony Active Directory pozwala na decentralizację administrowania poprzez wydzielenie w korporacji
logicznych struktur takich jak domena, a w niej jednostki organizacyjne i upoważnienie godnych zaufania
użytkowników do wykonywania części zadań administrowania siecią.
1.2 Active Directory i DNS
Active Directory (AD) wykorzystuje DNS (Domain Name System) do trzech celów:
• rozwiązywania nazw (ang. name resolution): DNS zapewnia mechanizm tłumaczenia nazw hostów na
odpowiadające im adresy IP
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
1
Wersja 3.2, 2006.04.25
• zdefiniowania przestrzeni nazw (ang. namespace) AD wykorzystuje konwencje nazewnicze DNS do nazywania
domen. Nazwy domen Windows 2003 są nazwami DNS-owymi. Dla przykładu, wsisiz.edu.pl jest poprawną
nazwą domeny DNS i może wobec tego być także nazwą domeny Windows 2003
• zlokalizowania fizycznych komponentów AD: Aby zalogować się do sieci i wydawać zapytania skierowane do
AD, komputer należący do domeny Windows 2003 musi najpierw zlokalizować kontroler domeny lub serwer
globalnego katalogu, aby mogła być uwierzytelniona procedura logowania lub zrealizowane zapytanie. Baza
DNS-owa przechowuje informacje o tym, które komputery spełniają takie funkcje, dlatego stosowne żądanie
może zostać skierowane bezpośrednio do odpowiedniego komputera
1.3 Struktura logiczna – domeny
Na strukturę logiczną Active Directory (AD) składają się następujące komponenty:
• domeny
• jednostki organizacyjne
• drzewa
• lasy
• schemat
Domena jest podstawową jednostką struktury logicznej AD. Domena jest zbiorem komputerów, zdefiniowanym
przez administratora, które korzystają ze wspólnej bazy katalogowej.
W sieci Windows 2003, domena wyznacza granice bezpieczeństwa (ang. security boundary). Wyraża się to w tym,
że administrator domeny ma odpowiednie prawa i uprawnienia do administrowania tylko w ramach tej domeny
(chyba, że w jawny sposób zostanie mu nadane uprawnienie administrowania inną domeną). Każda domena ma
swoje własne zasady bezpieczeństwa (ang. security policy) i relacje bezpieczeństwa z innymi domenami.
Domeny są także jednostkami replikacji. Wszystkie kontrolery domeny w ramach domeny, biorą udział w procesie
replikacji i zawierają komplet informacji katalogowych dla swojej domeny.
Po zainstalowaniu AD i utworzeniu domeny, domena pracuje na poziomie funkcjonalnym (ang. functional level)
Windows 2000 mixed dopuszczającym kontrolery domeny pracujące na serwerach Windows Server 2003, Windows
2000 lub Windows NT 4.0.
W przypadku, gdy wszystkie kontrolery domeny pracują na serwerach Windows Server 2003 lub Windows 2000
można wykonać (w sposób nieodwracalny) podniesienie poziomu funkcjonalnego domeny do poziomu Windows
2000 native.
Natomiast jeśli wszystkie kontrolery domeny pracują na serwerach Windows Server 2003 można wykonać (w
sposób nieodwracalny) podniesienie poziomu funkcjonalnego domeny do poziomu Windows Server 2003.
(Istnieje także poziom funkcjonalny domeny o nazwie Windows Server 2003 interim, dotyczący szczególnego
przypadku aktualizacji domen z systemu Windows NT4 do Windows Server 2003)
Na domenowym poziomie funkcjonalnym Windows 2000 native oraz Windows Server 2003, domena i AD
pozwalają na korzystanie z nowych aspektów użytkowych takich jak grupy uniwersalne typu security, czy
zagnieżdżanie grup.
Najpełniejsze własności oferuje poziom Windows Server 2003, na którym dopuszczalne są jeszcze dalsze
możliwości m.in. zmiana nazwy kontrolera domeny.
Więcej informacji o tym zagadnieniu można przeczytać w Help and Support po wyszukaniu tematu Domain and
forest functionality.
Każda domena może mieć podniesiony poziom funkcjonalny, niezależnie od innych domen.
1.4 Struktura logiczna – jednostki organizacyjne
W ramach domeny można wydzielić tzw. jednostki organizacyjne (ang. Organizational Units, OU), które są
obiektami typu kontener (pojemnik), służącymi do organizowania obiektów w ramach domeny. Jednostka
organizacyjna może zawierać obiekty takie jak konta użytkowników, grupy czy komputery oraz może zawierać inne
jednostki organizacyjne.
Jednostki organizacyjne mogą tworzyć hierarchiczną, drzewiastą strukturę.
Jednostki OU mogą być przenoszone w ramach domeny i zagnieżdżane w sobie.
Każda domena może zdefiniować własną hierarchię jednostek organizacyjnych.
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
2
Wersja 3.2, 2006.04.25
AD przewiduje mechanizm delegowania administrowania (delegowania kontroli) jednostką OU tzn. nadania
określonych uprawnień do OU i obiektów w niej zawartych wybranym użytkownikom lub grupom. Dla danej
jednostki OU można delegować pełne możliwości administrowania (Full Control dla wszystkich obiektów w OU)
lub ograniczone możliwości (np. zmianę haseł dla obiektów typu konto użytkownika).
Active Directory może przechowywać miliony obiektów i dlatego nawet w przypadku dużych korporacji
korzystających wcześniej z wielo-domenowego modelu pracy Windows NT, jest możliwość przejścia na model
jedno-domenowy, z wewnętrzną, rozbudowaną, hierarchiczną strukturą jednostek organizacyjnych OU.
Microsoft wręcz sugeruje korzystanie z modelu jedno-domenowego pracy sieci Windows 2003, tam gdzie jest to
możliwe, ze wzgl. na uproszczenie mechanizmów zarządzania.
1.5 Struktura logiczna – relacje zaufania
Mechanizmem łączenia domen w sensie aspektów bezpieczeństwa jest relacja zaufania (ang. trust relationship) .
Jeśli domenaA ufa domenaB (co jest oznaczane: domenaA Î domenaB) to znaczy, że konta zdefiniowane w
domenaB będą akceptowane podczas logowania się na komputerach należących do domenaA. domenaA jest
nazywana domeną ufającą (ang. trusting), natomiast domenaB domeną zaufaną (ang. trusted).
Active Directory obsługuje dwa rodzaje relacji zaufania:
• jednostronne, nieprzechodnie
• dwustronne, przechodnie
Jednostronność oznacza, że jeśli domenaA Î domenaB to nie wynika z tego automatycznie, że domenaB Î
domenaA
Nieprzechodniość oznacza, że jeśli domenaA Î domenaB i domenaB Î domenaC to nie zachodzi automatycznie
domenaA Î domenaC
Dwustronność oznacza, że jeśli domenaA Î domenaB to zachodzi automatycznie domenaB Î domenaA
Przechodniość oznacza, że jeśli domenaA Î domenaB i domenaB Î domenaC to zachodzi automatycznie
domenaA Î domenaC
Jeśli jest zdefiniowana dwustronna, przechodnia relacja zaufania miedzy domenami, można wtedy zdefiniować
uprawnienia dostępu do zasobów znajdujących się w jednej domenie, dla użytkowników i grup należących do
drugiej domeny i na odwrót.
1.6 Struktura logiczna – drzewa i lasy
W niektórych sytuacjach (zwłaszcza dla instalacji sieciowych dużych firm, rozmieszczonych w wielu odległych
miejscach) zachodzi potrzeba korzystania z więcej niż jednej domeny. Może to wynikać np. z poniższych
powodów:
• zróżnicowanych wymagań dotyczące haseł w różnych częściach sieci
• bardzo dużej liczby obiektów
• różnych nazw domen Internetowych (DNS)
• potrzeby decentralizacji administrowania
Drzewo (ang. tree) jest hierarchicznie zorganizowanym zestawem domen Windows 2003, mających wspólną
przestrzeń nazw DNS. Dodanie domeny do drzewa domenowego powoduje, że staje się ona domeną podrzędną
(ang. child domain) względem domeny do której jest dołączana, nazywanej domeną nadrzędną dla niej (ang. parent
domain).
Dla przykładu, dodanie nowych domen podrzędnych dom1.wsisiz.edu.pl i dom2.wsisiz.edu.pl do istniejącej domeny
Windows 2003 o nazwie wsisiz.edu.pl, spowoduje powstanie drzewa domenowego, którego węzłem głównym (ang.
root) jest domena wsisiz.edu.pl.
Wszystkie trzy domeny tworzą ciągłą przestrzeń nazw DNS (ang. contiguous namespace) z domena główną o
nazwie wsisiz.edu.pl
Domeny w drzewie domen są wzajemnie połączone dwustronną, przechodnią relacją zaufania.
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
3
Wersja 3.2, 2006.04.25
Las (ang. forest) jest grupą drzew domen, które nie współdzielą ciągłej przestrzeni nazw DNS. Każde drzewo
domen w lesie ma własną, unikatową przestrzeń nazw.
Dla przykładu, dwa drzewa domen, o węzłach głównych wsisiz.warszawa.edu.pl oraz wsisiz.lublin.edu.pl mogą być
połączone w jeden las.
Mechanizmem łączącym jest tu dwustronna, przechodnia relacja zaufania ustanowiona pomiędzy węzłami
głównymi wszystkich drzew wchodzących w skład lasu.
Drzewa w lesie współdzielą wspólną konfigurację, schemat i katalog globalny.
Z definicji, pierwsza nowo tworzona domena Windows 2003, staje się domeną główną lasu (ang. forest root
domain) i jest używana do oznaczenia całego lasu.
Również lasy domen (podobnie jak poszczególne domeny) charakteryzuję się poziomem funkcjonalnym. Dla
lasów domen uwzględniono trzy takie poziomy: Windows 2000 (dopuszczalne kontrolery domen to serwery
Windows NT 4.0, Windows 2000 oraz Windows Server 2003), Windows Server 2003 interim (kontrolery: Windows
NT 4.0 oraz Windows Server 2003) i Windows Server 2003 (tylko kontrolery Windows Server 2003).
Domyślnym poziomem funkcjonalnym lasu jest Windows 2000. Można wykonać (nieodwracalną) operację
podniesienia poziomu funkcjonalnego lasu. Poziom Windows Server 2003 oferuje najszersze możliwości w tym
zwiększenie wydajność pracy AD poprzez usprawnienia mechanizmu replikacji oraz nowe cechy m.in. możliwość
zmiany nazwy domeny lub definiowania relacji zaufania miedzy lasami.
1.7 Struktura logiczna – schemat
Schemat (ang. schema) usługi katalogowej AD zawiera definicje wszystkich obiektów przechowywanych w AD
takich jak użytkownicy, komputery czy drukarki. W Schemacie znajdują się dwa rodzaje definicji: klasy (inaczej
klasy obiektów) oraz atrybuty. Klasy są kolekcjami atrybutów opisującymi możliwe do utworzenia obiekty.
Atrybuty są definiowane oddzielnie od klas. Każdy atrybut jest definiowany tylko raz i może być wykorzystany w
definicji wielu różnych klas.
W Windows 2003 jest jeden Schemat dla całego lasu, dlatego wszystkie obiekty tworzone w AD stosują się do tych
samych reguł. Schemat jest przechowywany w bazie katalogowej.
1.8 Active Directory – struktura fizyczna
W Active Directory (AD) struktura fizyczna jest oddzielona od struktury logicznej opisanej wcześniej.
Struktura fizyczna AD określa gdzie i kiedy wykonywana jest replikacja informacji oraz obsługa procesów
logowania.
Elementami struktury fizycznej są:
• lokacje
• kontrolery domen
Lokacja (ang. site) składa się z jednej lub więcej podsieci IP połączonych szybkimi łączami.
Celem tworzenia lokacji jest optymalizacja ruchu związanego z replikacją informacji pomiędzy kontrolerami domen
oraz umożliwienie użytkownikom podłączanie się do kontrolerów domen z wykorzystaniem szybkich i
niezawodnych połączeń.
Lokacje stanowią odzwierciedlenie fizycznej struktury (topologii) sieci komputerowej, podczas gdy domeny
stanowią odwzorowanie logicznej struktury firmy, która wykorzystuje tę sieć.
Kontroler domeny (ang. domain controller) to komputer pracujący z systemem Windows Server 2003 w jednej z
trzech odmian: Standard Edition, Enterprise Edition lub Datacenter Edition, który przechowuje replikę bazy
katalogowej. Kontroler domeny zarządza również zmianami w informacjach katalogowych i replikuje te zmiany do
innych kontrolerów w tej samej domenie. Kontrolery domeny przechowują dane katalogowe, zarządzają procesem
logowania się użytkowników, uwierzytelnianiem oraz przeszukiwaniem danych katalogowych.
AD wykorzystuje model replikacji określany jako multi-master, co oznacza, że wszystkie kontrolery domeny w
określonej domenie mogą wprowadzać zmiany informacji w AD i replikować te zmiany do wszystkich pozostałych
kontrolerów w domenie.
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
4
Wersja 3.2, 2006.04.25
Wybranym kontrolerom domeny przydzielane są dodatkowe funkcje, które nie podlegają replikacji w trybie multi-
master. Najważniejszą z nich jest Global Catalog Server.
Katalog globalny (ang. global catalog) jest składnicą informacji zawierającą podzbiór atrybutów dla wszystkich
obiektów w AD, to znaczy tych które są najczęściej używane w zapytaniach kierowanych do AD (np. nazwa
logowania dla konta użytkownika). Katalog globalny zawiera informacje niezbędne do zlokalizowania dowolnego
obiektu.
Serwerem globalnego katalogu jest kontroler domeny, który przechowuje kopię katalogu globalnego i obsługuje
zapytania kierowane do katalogu globalnego. Domyślnie, pierwszy tworzony kontroler domeny w AD staje się
serwerem globalnego katalogu.
Katalog globalny spełnia dwie podstawowe funkcje:
• umożliwia użytkownikom zalogowanie się do sieci, dzięki dostarczaniu informacji o przynależności do tzw.
grup uniwersalnych poszczególnym kontrolerom domeny, na których proces logowania został zainicjowany
• umożliwia użytkownikom odnajdowanie informacji w całym lesie, niezależnie od położenia tych danych
1.9 Active Directory – Konwencje nazewnicze obiektów
Aby zlokalizować zasoby sieciowe, użytkownicy i aplikacje muszą znać nazwę lub jakieś atrybuty zasobu.
Distinguished Name (DN)
Każdy obiekt w AD ma unikatową nazwę wyróżniającą (ang. distinguished name). Identyfikuje ona domenę, w
której obiekt jest zlokalizowany, wraz z kompletna ścieżką dzięki której można się do niego dostać.
Przykład:
CN=Jan Student, OU=OurUsers, DC=wsisiz, DC=edu, DC=pl
Identyfikuje obiekt użytkownika Jan Student, umieszczony w jednostce organizacyjnej OurUsers, znajdującej się
na poziomie głównym w domenie Windows 2003 o nazwie wsisiz.edu.pl
Skróty stosowane w nazwach wyróżniających: CN oznacza common name, OU oznacza organizational unit,
natomiast DC oznacza domain component.
Canonical name
Nazwa potoczna (ang. canonical name) jest to nazwa DN zapisana w kolejności odwrotnej (nie dotyczy to nazwy
domeny DNS)
Przykład:
wsisiz.edu.pl/OurUsers/Jan Student
(Nazwa potoczna jest wyświetlana m.in. w zakładce Object właściwości obiektów)
Relative Distinguished Name (RDN)
Względna nazwa wyróżniająca (ang. relative distinguished name) jednoznacznie identyfikuje obiekt wewnątrz
kontenera nadrzędnego.
Przykład:
RDN dla obiektu Jan Student ma postać CN=Jan Student
RDN dla obiektu OurUsers ma postać OU=OurUsers
User Principal Name (UPN)
Główna nazwa użytkownika (ang. user principal name) dotyczy tylko obiektów kont użytkowników. Składa się z
nazwy logowania użytkownika (ang. logon name), symbolu @ oraz sufiksu głównej nazwy użytkownika, którym
domyślnie jest nazwa DNS-owa domeny, w której znajduje się obiekt użytkownika.
Nazwa UPN może być użyta do zalogowania się do domeny albo w poleceniach takich jak runas czy net use
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
5
Wersja 3.2, 2006.04.25
Przykład:
Jeśli nazwa logowania użytkownika Jan Student w domenie wsisiz.edu.pl ma postać JStudent, to UPN tego obiektu
ma postać JStudent@wsisiz.edu.pl
(Mimo możliwego podobieństwo UPN do adresu e-mail użytkownika, nie są one tym samym)
Globally Unique Identifier (GUID)
Globalnie unikatowe ID (ang. globally unique identifier) obiektu jest 128-bitową liczbą w notacji szesnastkowej,
przypisywaną przez Windows 2003 obiektowi podczas jego utworzenia. Jest to unikatowa wartość jednoznacznie
identyfikująca każdy obiekt. GUID obiektu nigdy nie ulega zmianie, nawet jeśli obiekt zostanie przeniesiony lub
będzie miał zmienioną nazwę. Aplikacje mogą zapamiętać GUID obiektu i uzyskać wtedy dostęp do niego nawet
gdy jego nazwa wyróżniająca (DN) ulegnie zmianie. GUID jest też używany wewnętrznie przez Active Directory.
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
6
Wersja 3.2, 2006.04.25
ZAJĘCIA 11 - ĆWICZENIA
Ćwiczenie 1 (Przygotowania)
1. Zalogować się jako Administrator w Windows Server 2003 Instalacja standardowa.
2. Z zasobów WS2003Lab skopiować do katalogu głównego lokalnego dysku (D:\) cały folder lab2006\zaj11
z zachowaniem jego nazwy zaj11.
3. Dla potrzeb bieżących zajęć utworzyć dwuosobowe zespoły. W kolejnych ćwiczeniach komputer partnera w
zespole będzie oznaczany jako szYYY, natomiast własny komputer jako szXXX.
4. Każdy zespół otrzymuje numer, oznaczany w dalszej części ćwiczeń jako N, niezbędny do prawidłowego
zdefiniowania adresów IP komputerów i nazw domen.
Ćwiczenie 2 [Dodatkowe] (Prezentacja: Wprowadzenie do Active Directory)
1. Idea funkcjonowania oraz podstawowe pojęcia terminologiczne związane z usługą Active Directory
wykorzystywaną w systemach Windows Server 2003 oraz Windows 2000 są przedstawione w krótkiej
prezentacji, zaczerpniętej z materiałów szkoleniowych Microsofta.
Pracując jako Administrator w systemie Windows Server 2003 otworzyć plik
D:\zaj11\media\AD_Concepts.htm zawierający treść prezentacji:
Concepts of Microsoft Windows 2000 Active Directory.
Użycie klawisza funkcyjnego [F11] pozwala oglądać prezentację w trybie pełnoekranowym. W dolnej części
ekranu powinny być wyświetlane komentarze, w razie potrzeby można włączyć lub wyłączyć ich wyświetlanie
klikając na przycisku CC.
(Dla prawidłowego wyświetlania prezentacji, może być konieczne wcześniejsze doinstalowanie obsługi
Macromedia Flash Player np. z katalogu D:\zaj11\Flash oraz wyłączenie rozszerzonego trybu
bezpieczeństwa przeglądarki czyli wyłączenie Internet Explorer Enhanced Security Configuration np. w
Control Panel – Add or Remove Programs – Add/Remove Windows Components)
Ćwiczenie 3 (Instalacja Active Directory na serwerze, utworzenie domeny)
Celem pozostałych ćwiczeń jest:
• utworzenie domeny Windows 2003 (instalacja Active Directory)
• dołączenie do tej domeny jednego komputera (serwera członkowskiego)
• wypróbowanie niektórych cech pracy użytkowników w domenie
• wypróbowanie niektórych możliwości użycia jednostek organizacyjnych w domenie
i na koniec:
• usunięcie komputera z domeny
• usunięcie domeny
Jeden z komputerów w zespole będzie pełnił rolę kontrolera domeny (ang. domain controller), będzie pracował z
systemem Windows Server 2003 Enterprise Edition wybieranym w instalacji szkolnej jako konfiguracja Kontroler
domeny i nosił nazwę dcXXX.
Drugi komputer w zespole będzie pełnił rolę komputera należącego do domeny, będzie pracował z systemem
Windows Server 2003 Enterprise Edition wybieranym w instalacji szkolnej jako Instalacja standardowa i nosił
nazwę memYYY.
Poszczególne ćwiczenia powinny być wykonywane w uzgodnieniu i wspólnie.
Części ćwiczeń przeznaczone do wykonania tylko na komputerze pełniącym rolę kontrolera domeny będą
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
7
Wersja 3.2, 2006.04.25
oznaczane jako (DC), natomiast przeznaczone do wykonania tylko na komputerze należącym do domeny będą
oznaczane jako (Member).
W ramach dwuosobowego zespołu (o numerze N przydzielonym przez prowadzącego zajęcia) wyznaczyć, który
komputer będzie pełnił rolę kontrolera domeny dcXXX, a który serwera członkowskiego memYYY.
Pierwszym etapem ćwiczeń jest zainstalowanie Active Directory i utworzenie domeny labN.wsisiz.edu.pl na
serwerze.
1. (DC) Konfiguracja sieciowa przyszłego kontrolera domeny
Wybierając konfigurację Kontroler domeny, uruchomić system Windows Server 2003 i zalogować się jako
Administrator.
Zmienić hasło Administratora na domena ([Ctrl+Alt+Del], Change Password...)
Zdefiniować następujące parametry TCP/IP (Control Panel – Network Connections – Local Area
Connection – Properties – Internet Protocol (TCP/IP) – przycisk Properties)
IP address: 172.16.N.201 (gdzie N jest numerem zespołu)
Subnet mask: 255.255.0.0
Pozostałe rubryki nie mają być wypełnione.
Zdefiniować następujące parametry identyfikacji sieciowej (System Properties – Computer Name – przycisk
Change):
Computer name: dcXXX (gdzie XXX to cyfry występujące w oryginalnej nazwie szXXX, np. dc615 dla sz615)
przycisk More, rubryka Primary DNS suffix of this computer ma być pusta.
Zrestartować system. Wybrać konfigurację Windows Server 2003 Kontroler domeny. Zalogować się jako
Administrator.
2. (DC) Instalacja Active Directory łącznie z serwerem DNS, utworzenie domeny
Uruchomić kreator Active Directory Installation Wizard jednym z dwóch sposobów:
a) Administrative Tools – Manage Your Server – Add or remove a role – Domain Controller (Active
Directory)
albo
b) wprowadzając w rubryce Start – Run nazwę polecenia dcpromo.exe
Na ekranie Welcome to the Active Directory Installation Wizard nacisnąć przycisk Next.
Na ekranie Operating System Compatibility informującym o niedostosowaniu starszych systemów Windows
(Windows 95 oraz Windows NT4 SP3) do współpracy z domeną Windows 2003 nacisnąć Next.
Na ekranie Domain Controller Type wybrać wariant Domain controller for a new domain.
Na ekranie Create New Domain wybrać Domain in a new forest.
Na ekranie Install or Configure DNS pojawi się informacja o braku konfiguracji DNS (Domain Naming
Service lub Domain Name System) na używanym komputerze. Wybrać No, just install and configure DNS
on this computer.
Na ekranie New Domain Name wpisać w rubryce Full DNS name for new domain pełną nazwę
kwalifikowaną domeny (FQDN) czyli labN.wsisiz.edu.pl (gdzie N oznacza numer zespołu).
Po pewnej chwili, na kolejnym ekranie NetBIOS Domain Name zostanie wyświetlona skrócona nazwa
domeny jako Domain NetBIOS name (wykorzystywana w niektórych sytuacjach). Zaakceptować
proponowana nazwę LABN (gdzie N jest numerem zespołu).
Na ekranie Database and Log Folders zaakceptować domyślną ścieżkę D:\WIN-DC\NTDS (druga instalacja
Windows Server 2003 na komputerach Szkoły jest umieszczona w katalogu D:\WIN-DC).
Na ekranie Shared System Volume zaakceptować domyślną ścieżkę D:\WIN-DC\SYSVOL
Na ekranie Permissions wybrać Permissions Compatible only with Windows 2000 or Windows Server
2003 operating systems.
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
8
Wersja 3.2, 2006.04.25
Na ekranie Directory Services Restore Mode Administrator Password wpisać (dwukrotnie) hasło restore
(To hasło jest wymagane, w sytuacji gdy zajdzie potrzeba odtworzenia zawartości Active Directory).
Pojawi się ekran Summary zawierający podsumowanie podjętych decyzji (m.in. informujący o chęci
zainstalowania pierwszego kontrolera domeny w nowym lesie drzew domen oraz planowanym zainstalowaniu
usługi DNS na tym komputerze. Nazwa nowej domeny jest tutaj jednocześnie nazwą nowego lasu drzew
domen).
Nacisnąć przycisk Next akceptujący proponowaną instalację i konfigurację Active Directory.
Przebieg instalacji i konfiguracji będzie sygnalizowany odpowiednimi komunikatami – trwa to dłuższą chwilę.
Może okazać się potrzebny dostęp do nośnika instalacyjnego. Jako źródło instalacyjne w okienku Files
needed (takie okienko może pojawić się dwukrotnie) należy wprowadzać nazwę udziału sieciowego
\\szKKK\install\i386, gdzie szKKK to komputer wykładowcy.
UWAGA: Podczas instalacji usługi DNS na komputerach Szkoły używanych na zajęciach może pojawić się
okienko komunikatu Optional Networking Components sygnalizujące (niepoprawnie), że system korzysta z
co najmniej jednego dynamicznego adresu IP (This computer has at least one dynamically assigned IP address
..).
W takim przypadku należy zaakceptować ten komunikat, oraz zaakceptować wyświetlane po nim okienko
konfiguracji Local Area Connection Properties a także końcowy komunikat o błędzie (You have chosen to
continue using dynamically assigned IP address ..).
Na zakończenie pojawi się ekran Completing the Active Directory Installation Wizard. Nacisnąć przycisk
Finish a potem przycisk Restart Now.
Po restarcie systemu, który też trwa dłużej niż zwykle, wybrać uruchomienie systemu Windows Server 2003 w
konfiguracji Kontroler domeny.
3. (DC) Sprawdzenie instalacji i dostosowanie konfiguracji.
W oknie logowania (czyli oknie Log On to Windows) wybrać Options>> i zauważyć, że pojawiła się rubryka
Log on to: zawierająca skrócona nazwę domeny (tutaj: LABN).
Zalogować się jako Administrator.
W oknie Configure Your Server Wizard wyświetlany jest komunikat informujący, że ten komputer pełni rolę
kontrolera domeny (This Server is Now a Domain Controller). Nacisnąć przycisk Finish.
W oknie My Network Places, potem Entire Network i Microsoft Windows Network powinna pojawić się
domena LABN zawierająca komputer dcXXX.
W Administrative Tools uruchomić Active Directory Users and Computers. Powinna być w nim nazwa
zdefiniowanej domeny labN.wsisiz.edu.pl. Rozwinąć ten węzeł. W kontenerze Domain Controllers powinna
być wymieniona nazwa kontrolera domeny dcXXX.
Sprawdzenie poprawności pracy DNS-a można wykonać dzięki Administrative Tools – DNS. Wskazać w
drzewie konsoli nazwę serwera dcXXX, wyświetlić menu kontekstowe, potem Properties i przejść do zakładki
Monitoring.
Zaznaczyć pozycję A simple query against this DNS server i nacisnąć przycisk Test Now. Pomyślny
przebieg testu jest sygnalizowany wartością PASS.
Odznaczyć w/w pozycję.
4. (DC)
Otworzyć okno Command Prompt.
Wykonać polecenie ipconfig /all i sprawdzić parametry TCP/IP serwera dcXXX.
Wykonać polecenia:
nslookup dcXXX
powinien
być wyświetlony adres IP serwera dcXXX
nslookup 172.16.N.201
zwykle zostanie zasygnalizowany błąd
Przyczyną sygnalizacji błędu w drugim przypadku, jest brak zdefiniowanej tzw. strefy odwrotnej DNS (ang.
reverse lookup zone) służącej do tłumaczenia adresów IP na nazwy komputerów.
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
9
Wersja 3.2, 2006.04.25
Aby to skorygować należy zdefiniować strefę odwrotną i umieścić w niej adres IP serwera dcXXX. W tym celu
uruchomić Administrative Tools – DNS, rozwinąć węzeł dcXXX, zaznaczyć pozycję Reverse Lookup Zone i
z jej menu kontekstowego wybrać New Zone.... Zostanie uruchomiony kreator tworzenia nowej strefy,
nacisnąć przycisk Next. Na ekranie Zone Type zaznaczyć wariant Primary Zone oraz zostawić zaznaczoną
opcję Store the zone in Active Directory (available only if DNS server is a domain controller), po czym na
ekranie Active Directory Zone Replication Scope zostawić zaznaczoną pozycję To all domain controllers in
the Active Directory domain labN.wsisiz.edu.pl.
Na ekranie Reverse Lookup Zone Name zaznaczyć Network ID i w wpisać numer sieci związany z
komputerami zespołu czyli 172.16.N (gdzie N jest numerem zespołu). Na ekranie Dynamic Update zostawić
opcję Allow only secure dynamic updates (recommended for Active Directory). Na ekranie Completing
the New Zone Wizard nacisnąć przycisk Finish. Powinien pojawić się węzeł 172.16.N.x Subnet. Wskazać
ten węzeł (ew. dwukrotnie kliknąć na nim). Z menu kontekstowego tej strefy odwrotnej wybrać pozycję New
Pointer (PTR)..., w rubryce Host IP number wypełnionej częściowo przez adres sieci 172.16.N dopisać 201,
a w rubryce Host name pełną nazwę kwalifikowana serwera dcXXX, tj. dcXXX.labN.wsisiz.edu.pl.
(łącznie z kropką końcową w nazwie) i nacisnąć OK.
Zmodyfikować następujące parametry TCP/IP (Local Area Connection Properties – Internet Protocol
(TCP/IP) – przycisk Properties) umieszczając w rubryce
Preferred DNS server: adres 172.16.N.201 (gdzie N jest numerem zespołu) tego serwera
i zatwierdzić tą zmianę.
Ponownie wykonać polecenie nslookup:
nslookup dcXXX
powinien
być wyświetlony adres IP serwera dcXXX
nslookup 172.16.N.201
powinna być wyświetlona nazwa odpowiadająca IP=172.16.N.201
Ćwiczenie 4 (Definiowanie domenowego konta użytkownika)
Konta użytkowników w domenie są zwykle definiowane w taki sposób, że konto wykorzystuje profil wędrujący
(ang. roaming profile), katalog osobisty (ang. home folder) udostępniany z serwera sieciowego oraz (w razie
potrzeby) udostępniany w sieci skrypt logowania (ang. logon script).
1. (DC) Udostępnienie katalogów przechowujących profile i katalogi osobiste
Pracując jako Administrator na kontrolerze domeny dcXXX, sprawdzić czy jest i w razie potrzeby dodać do
uprawnień dostępu dla foldera D:\Documents and Settings pozycję Full Control dla grupy Authenticated Users.
Następnie udostępnić folder D:\Documents and Settings jako Profiles, definiując uprawnienia dostępu do
zasobów współdzielonych jako Full Control dla grupy Authenticated Users i usuwając pozostałe.
Utworzyć katalog D:\Home i udostępnić go pod nazwą Home. Zdefiniować uprawnienia dostępu do zasobów
współdzielonych jako Full Control dla grupy Users i usuwając pozostałe.
2. (DC) Udostępnienie skryptu logowania
W katalogu udostępnionym jako netlogon (sprawdzenie jego lokalizacji: net share netlogon) utworzyć przy
pomocy edytora Notepad skrypt logon.cmd zawierajacy (przykładową) treść powodującą podłączenie się do
zasobu sieciowego tzn. polecenie:
net use I: \\dcXXX\zajecia
Udostępnić katalog d:\zaj11 jako zajecia z domyślnymi uprawnieniami do zasobów współdzielonych.
3. (DC) Utworzenie konta użytkownika
Zdefiniować w domenie konto użytkownika userdomN (gdzie N jest numerem zespołu) następująco:
uruchomić Administrative Tools – Active Directory Users and Computers, rozwinąć węzeł domeny
labN.wsisiz.edu.pl, następnie kontener Users i z menu kontekstowego wybrać New, potem User.
Jako First Name i Last name wpisać swoje imię i nazwisko, jako User logon name wpisać userdomN (gdzie
N jest numerem zespołu), nacisnąć przycisk Next, odznaczyć pole User must change password at next
logon, zdefiniować hasło user-domN dla tego konta, nacisnąć Next i Finish.
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
10
Wersja 3.2, 2006.04.25
Dwukrotnie kliknąć na nazwie utworzonego konta userdomN (reprezentowanego tutaj i dalej, przez
wprowadzone wcześniej imię i nazwisko), wybrać zakładkę Profile i wpisać w polu Profile Path ścieżkę
\\dcXXX\Profiles\%username% , w polu Logon script wpisać nazwę logon.cmd (dla skryptów logowania nie
podaje się pełnych ścieżek) oraz zdefiniować katalog osobisty zaznaczając w rubryce Home folder pole
Connect, wybierając dysk logiczny H: i w rubryce To wpisując ścieżkę \\dcXXX\Home\%username%,
nacisnąć OK.
W ten sposób zarówno profil użytkownika userdomN jak i jego katalog osobisty będą dostępne poprzez sieć,
oraz użytkownik będzie korzystał zawsze z tego samego profilu i katalogu osobistego nawet gdy zaloguje się
na innym komputerze w domenie. Taki profil nosi nazwę profilu wędrującego.
Ponadto, użytkownik korzysta ze skryptu logowania zdefiniowanego w domenie.
4. (DC) Próba logowania zwykłego użytkownika na kontrolerze domeny
Pracując na serwerze dcXXX podjąć próbę zalogowania się jako użytkownik userdomN. Ta próba nie powinna
się udać. System Windows Server 2003 generuje komunikat (The local policy of this system does not permit
you to logon interactively.) informujący, że użytkownik nie ma prawa zalogować się lokalnie na tym serwerze
– jest to domyślne zachowanie wobec zwykłych użytkowników logujących się na kontrolerach domeny
Windows 2003. W razie potrzeby można to zmienić, przydzielając prawo (ang. user right) Log on locally
odpowiedniej grupie użytkowników.
Ćwiczenie 5 (Dołączenie komputera do domeny)
Drugim etapem ćwiczeń jest dołączenie serwera członkowskiego memYYY do domeny labN.wsisiz.edu.pl.
1. (Member) Konfiguracja sieciowa przyszłego serwera członkowskiego w domenie
Uruchomić system Windows Server 2003 Konfiguracja standardowa i zalogować się jako Administrator.
Zdefiniować następujące parametry TCP/IP (Control Panel – Network Connections – Local Area
Connection – Properties – Internet Protocol (TCP/IP) – przycisk Properties)
IP address: 172.16.N.101 (gdzie N jest numerem zespołu)
Subnet mask: 255.255.0.0
Preferred DNS server: 172.16.N.201 (czyli adres serwera dcXXX)
Pozostałe rubryki nie mają być wypełnione.
Zdefiniować następujące parametry identyfikacji sieciowej (System Properties – Computer Name – przycisk
Change):
Computer name: memYYY (gdzie YYY to cyfry występujące w oryginalnej nazwie szYYY, np. mem614 dla
sz614)
Zrestartować system. Wybrać konfigurację Windows Server 2003 Instalacja standardowa. Zalogować się jako
Administrator.
2. (Member) Dołączenie komputera do domeny
Usunąć komputer z grupy roboczej i przyłączyć do domeny, wybierając System Properties – Computer
Name – przycisk Change, w rubryce Member of zaznaczając Domain i wpisując nazwę domeny
labN.wsisiz.edu.pl (gdzie N jest numerem zespołu) oraz naciskając OK.
W oknie Computer Name Changes należy wpisać parametry konta, które posiada uprawnienie dodawania
komputerów do tej domeny. Jako nazwę konta podać userdomN, jako hasło user-domN (gdzie N jest numerem
zespołu) czyli parametry konta zwykłego użytkownika w domenie – oczywiście można byłoby też podać konto
Administrator, z hasłem domena.
Po wyświetleniu komunikatu potwierdzającego udane dołączenie do domeny (Welcome to labN.wsisiz.edu.pl
domain), zrestartować system (jego start trwa dłużej niż zwykle).
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
11
Wersja 3.2, 2006.04.25
3. (Member) Sprawdzenie efektów dołączenia do domeny
W oknie logowania (czyli oknie Log On to Windows) wybrać Options>> i zauważyć, że pojawiła się rubryka
Log on to: zawierająca dwie pozycje: nazwę serwera członkowskiego (tutaj: MEMYYY(this computer)) oraz
skróconą nazwę domeny (tutaj: LABN). Wybranie pierwszej z tych pozycji pozwala na logowanie lokalne na
serwerze członkowskim, natomiast wybranie drugiej pozwala na logowanie się do domeny.
Zalogować się jako Administrator lokalnego serwera (czyli w rubryce Log on to powinna być nazwa
komputera memYYY).
Zainstalować dodatkowy pakiet narzędzi Windows Server 2003 Service Pack 1 Administration Tools Pack
(z pliku D:\zaj11\software\adminpak.exe), dwukrotnie klikając na tym pliku.
W menu Administrative Tools powinno pojawić się kilka dodatkowych narzędzi m.in. grupa poleceń
związanych z Active Directory oraz narzędzie do administrowania DNS-em.
Te dodatkowe narzędzia są przeznaczone do zdalnego administrowania serwerami Windows Server 2003,
zarówno serwerami samodzielnymi, członkowskimi w domenie jak i kontrolerami domeny.
Zalogować się jako userdomN (czyli posługując się kontem zdefiniowanym w domenie), podając hasło
user-domN i w rubryce Log on to: wybierając nazwę domeny LABN. Otworzyć okno wiersza poleceń i
zauważyć, że katalogiem bieżącym (tutaj jest nim katalog osobisty) jest katalog H:\, czyli zasób sieciowy.
Następnie sprawdzić, że profil tego użytkownika jest profilem wędrującym (roaming), zaglądając do Control
Panel – System – Advanced – User Profiles – Settings, gdzie w spisie powinna być pozycja LABN\userdomN
Skutkiem wykonania się skryptu logowania powinno być podłączenie zasobu \\dcXXX\zajecia jako dysku I:, co
można sprawdzić poleceniem net use
Dane charakteryzujące konto userdomN można wyświetlić poleceniem:
net user userdomN /domain
Ponownie zalogować się jako userdomN, tym razem jednak wykorzystując nazwę UPN (user principal name),
tzn. wpisując w rubryce User name: nazwę userdomN@labN.wsisiz.edu.pl oraz odpowiednie hasło (zwrócić
uwagę, że podczas wpisywania UPN, rubryka Log on to: staje się nieaktywna).
4. (Member)
Zalogować się jako administrator domeny, czyli użytkownik Administrator, z hasłem domena przy wybranej w
rubryce Log on to: nazwie domeny LABN
Sprawdzić poprawność informacji DNS dla serwera członkowskiego wykonując w oknie Command Prompt
polecenia:
nslookup memYYY
nslookup 172.16.N.101
Obydwa polecenia powinny wykonać się poprawnie.
Skąd w DNS pojawiła się informacja o serwerze członkowskim? Uruchomić Administrative Tools – DNS, w
razie potrzeby zaznaczając rubrykę The following computer i wpisując w niej dcXXX oraz naciskając OK.
Sprawdzić, że dla tego serwera zarówno w strefie Forward Lookup Zone (o nazwie labN.wsisiz.edu.pl) jak i
Reverse Lookup Zone (o nazwie 172.16.N.x Subnet) pojawiły się wpisy (tzw. rekordy zasobów) dotyczące
komputera memYYY. Wykorzystana tu została własność tzw. dynamicznej aktualizacji serwera DNS.
W oknie My Network Places, potem Entire Network i Microsoft Windows Network powinna pojawić się
domena LABN zawierająca dwa komputery: dcXXX oraz memYYY.
Uruchomić Administrative Tools – Active Directory Users and Computers. Powinna być w nim nazwa
zdefiniowanej domeny labN.wsisiz.edu.pl. Rozwinąć ten węzeł. W kontenerze Computers powinna być
wymieniona nazwa: memYYY
W oknie wiersza poleceń wykonać polecenia:
net view
powinien
być widoczny skład komputerów własnej domeny
net view /domain
powinny być widoczne nazwy wszystkich dostępnych domen
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
12
Wersja 3.2, 2006.04.25
Ćwiczenie 6 (Praca w domenie – rodzaje grup, tryb pracy domeny)
W domenie Windows 2003 występują cztery rodzaje grup: globalne, domenowe lokalne, lokalne i uniwersalne.
Domena Windows 2003 może pracować na jednym z czterech poziomów funkcjonalnych (ang. functional level),
gdzie w nawiasach po nazwie poziomu są podane dopuszczalne rodzaje systemów operacyjnych pełniących rolę
kontrolerów domen: Windows 2000 mixed (Windows NT4/2000/2003), Windows 2000 native (Windows
2000/2003), Windows Server 2003 Interim (Windows NT4/2003) oraz Windows Server 2003 (Windows 2003).
Bezpośrednio po instalacji Active Directory i utworzeniu domeny, pracuje ona w trybie Windows 2000 mixed
(chyba, że ustawienia poziomu funkcjonalnego lasu domen stanowią inaczej) i jest to najniższy z możliwych
poziomów funkcjonalnych. Można wykonać (nieodwracalne) podniesienie poziomu funkcjonalnego domeny do
wyższego poziomu.
Grupy globalne spełniają rolę organizacyjną, służą do różnicowania zestawu kont. Grupy globalne są definiowane
na kontrolerach domeny Windows 2003. Na poziomie funkcjonalnym Windows 2000 mixed grupy globalne mogą
zawierać tylko konta z tej domeny i nie zawierają innych grup.
Grupy domenowe lokalne są definiowane na kontrolerach domeny oraz są wykorzystywane przede wszystkim do
przydzielania praw do wykonywania czynności systemowych (user rights) oraz uprawnień dostępu (permissions)
do zasobów. Na poziomie funkcjonalnym Windows 2000 mixed grupy domenowe lokalne mogą zawierać konta i
grupy globalne z każdej domeny w lesie oraz nie zawierają innych domenowych grup lokalnych.
Grupy lokalne są definiowane na serwerach członkowskich i stacjach roboczych należących do domeny oraz mają
podobne własności jak grupy domenowe lokalne na kontrolerach domeny, z tym że mogą jeszcze zawierać konta
lokalne zdefiniowane tylko na danym komputerze.
Ogólna strategia zalecana przez Microsoft do zarządzania dostępem użytkowników domeny Windows 2003 do
zasobów jest czasami określana skrótem AGP: organize user Accounts into Groups to which suitable Permissions
are assigned, czyli przydzielania użytkowników do grup, którym to grupom nadawane są odpowiednie uprawnienia
dostępu.
(Oznacza to też, że powinno się unikać definiowania praw i uprawnień dostępu dla indywidualnych kont
użytkowników.)
Podczas pracy domeny na poziomie funkcjonalnym Windows 2000 mixed, ta strategia rozwija się w bardziej
szczegółowe zalecenia: przydzielanie użytkowników do grup globalnych, zaliczanie grup globalnych do grup
domenowych lokalnych lub lokalnych na poszczególnych komputerach oraz definiowanie praw i uprawnień
dostępu w oparciu o grupy domenowe lokalne lub lokalne.
Czyli zwykle sugeruje się postępowanie:
"użytkownik" Æ "grupa globalna" Æ "grupa (domenowa) lokalna" Æ "zasób"
Po podniesieniu poziomu funkcjonalnego domeny do Windows 2000 native (lub do poziomu Windows Server
2003), można zacząć korzystać z grup uniwersalnych typu Security oraz zwiększają się możliwości formowania
składów poszczególnych rodzajów grup i wariantów ich zagnieżdżania.
Wtedy też, jeśli wykorzystuje się grupy uniwersalne, ulegają zmianie szczegółowe zalecenia opisane powyżej.
To ćwiczenie może być wykonywane na kontrolerze domeny lub na serwerze członkowskim (z zainstalowanym
pakietem Adminpak) – wybrać kontroler domeny.
1. (DC) Pracując jako Administrator na dcXXX uruchomić Administrative Tools – Active Directory Domains
and Trusts. Sprawdzić w Properties dla domeny labN.wsisiz.edu.pl, w zakładce General, że domena pracuje
na poziomie funkcjonalnym (pole Domain functional level) Windows 2000 mixed.
Uruchomić Administrative Tools – Active Directory Users and Computers i zdefiniować w kontenerze
Users dwie nowe grupy: globalną o nazwie grglob i domenową lokalną o nazwie grloc, w następujący sposób:
z menu kontekstowego kontenera Users wybrać New – Group, potem wpisać odpowiednią nazwę, następnie
wybrać zakres: Global (dla grupy grglob) albo Domain Local (dla grupy grloc), zostawiając typ grupy jako
Security. Zauważyć, ze zakres Universal nie jest dostępny.
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
13
Wersja 3.2, 2006.04.25
2. (DC) Wyświetlając Properties kolejno dla grup grglob oraz grloc, potem zakładkę Members i przycisk Add..
następnie Advanced.. oraz Find Now sprawdzić jakiego typu elementy mogą wchodzić w skład
poszczególnych grup.
(Powinno być:
w skład grupy globalnej mogą wchodzić: konta
w skład grupy domenowej lokalnej mogą wchodzić: konta lub grupy globalne.)
3. (DC) Podnieść poziom funkcjonalny domeny na poziom Windows Server 2003, używając Administrative
Tools – Active Directory Domains and Trusts. Z menu kontekstowego dla domeny labN.wsisiz.edu.pl,
wybrać Raise Domain Functional Level.., w rubryce Select an available domain functional level wybrać
Windows Server 2003. Zwrócić uwagę na ostrzeżenie wyświetlone w dolnej części okna o braku możliwości
odwrócenia tej operacji. Nacisnąć przycisk Raise, zaakceptować komunikat ostrzegający o nieodwracalności
tej operacji przyciskiem OK i potem komunikat informacyjny o dokonanej zmianie poziomu funkcjonalnego
przyciskiem OK.
Sprawdzić, jak w p. 1) tego Ćwiczenia, że poziom funkcjonalny domeny uległ zmianie.
Używając Administrative Tools – Active Directory Users and Computers utworzyć w kontenerze Users
nową grupę uniwersalna gruniv (zakres: Universal, typ: Security).
Następnie powtórzyć sprawdzanie możliwego składu każdego z trzech rodzajów grup.
(Powinno być tym razem:
grupa globalna: konta, grupy globalne
grupa domenowa lokalna: konta, grupy globalne, grupy domenowe lokalne, grupy uniwersalne
grupa uniwersalna: konta, grupy globalne, grupy uniwersalne.)
4. (Member) Sprawdzenie zalecanej strategii przydzielania praw i uprawnień do grup na serwerze członkowskim
należącym do domeny
Zalogować się jako Administrator domeny.
Otworzyć okno Command Prompt.
Sprawdzić, że w przypadku zdefiniowania, na komputerze należącym do domeny, uprawnień dostępu (np. do
zasobów NTFS lub zasobów współdzielonych) lub praw do wykonywania czynności systemowych dla lokalnej
grupy Users, będzie to również dotyczyło kont domenowych takich jak userdomN należących do grupy
globalnej Domain Users:
net localgroup Users
net group ”Domain Users” /domain
net user userdomN /domain
Ćwiczenie 7 [Dodatkowe] (Praca w domenie: Organizational Units oraz delegowanie kontroli)
Jednym z aspektów pracy z Active Directory, jest możliwość definiowania jednostek organizacyjnych (ang.
Organizational Units, OU), służących do hierarchicznego grupowania powiązanych ze sobą obiektów takich jak
wybrani użytkownicy, grupy, komputery, drukarki itd., w celu łatwiejszego zarządzania nimi. Po zdefiniowaniu
OU można przyznać godnym zaufania użytkownikom, uprawnienie do wykonywania operacji uprzywilejowanych
na takiej jednostce organizacyjnej. Jest to określane mianem delegate of (administration) control.
To ćwiczenie może być wykonywane na kontrolerze domeny lub na serwerze członkowskim (z zainstalowanym
pakietem Adminpak) – wybrać serwer członkowski.
1. (Member) Zdefiniowanie jednostek organizacyjnych (OU)
Pracując jako administrator domeny uruchomić Administrative Tools – Active Directory Users and
Computers. Wybrać domenę labN.wsisiz.edu.pl. Z menu kontekstowego wybrać New, potem Organizational
Unit, jako nazwę wprowadzić firma. W OU firma, wybrać z menu kontekstowego New, potem
Organizational Unit, jako nazwę wprowadzić biuro1. Analogicznie zdefiniować OU biuro2.
Dla OU firma/biuro1, z menu kontekstowego wybrać New, potem User i zdefiniować konto o nazwie konto1
z hasłem konto-1.
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
14
Wersja 3.2, 2006.04.25
Dla OU firma/biuro2, z menu kontekstowego wybrać New, potem User i zdefiniować konto o nazwie konto2
z hasłem konto-2.
2. (Member) Delegowanie kontroli
Zdefiniować grupę globalną PasswdAdmins w następujący sposób: w kontenerze Users, wybrać z menu
kontekstowego New, potem Group, wpisać nazwę PasswdAdmins, zostając przy domyślnych ustawieniach
zakresu grupy (Global) i rodzaju (Security).
Dołączyć do grupy PasswdAdmins użytkownika userdomN (reprezentowanego tutaj przez wprowadzone
wcześniej imię i nazwisko) np. wybierając właściwości tej grupy, zakładkę Members, przycisk Add i dodając
użytkownika userdomN.
Grupie globalnej PasswdAdmins, będzie delegowana kontrola do częściowego administrowania OU
firma/biuro1.
Z menu kontekstowego OU firma/biuro1, wybrać Delegate Control..., co spowoduje uruchomienie kreatora.
Na ekranie Users or Groups dodać (Add...) grupę PasswdAdmins, a na ekranie Tasks to Delegate, w spisie
Delegate the following common tasks zaznaczyć Reset user passwords and force password change at next
logon, potem nacisnąć Next i Finish. Takie delegowanie kontroli administracyjnej, powinno spowodować, że
użytkownicy z grupy PasswdAdmins będą mogli zmieniać hasła użytkownikom, których konta są umieszczone
w OU firma/biuro1 (i tylko im).
3. (Member) Sprawdzenie delegowania kontroli
Zalogować się jako userdomN, uruchomić Control Panel – Administrative Tools – Active Directory Users
and Computers, rozwinąć węzeł labN.wsisiz.edu.pl, wybrać kontener firma/biuro1, następnie z menu
kontekstowego obiektu konto1 wybrać Reset Password..., wpisać dwukrotnie nowe hasło (np. zmiana-1234)
i zaakceptować. Ta operacja powinna zakończyć się powodzeniem.
Powtórzyć powyższą próbę dla OU firma/biuro2 i obiektu konto2. Ta operacja nie powinna się udać – po
dwukrotnym wprowadzeniu hasła dla obiektu konto2, powinien pojawić się komunikat: Windows cannot
complete password change for konto2 because: Access is denied.
4. (Member) Usunięcie delegowania kontroli
Zalogować się jako Administrator domeny, uruchomić Administrative Tools – Active Directory Users and
Computers, wskazać domenę, z menu kontekstowego wybrać View, potem zaznaczyć Advanced Features.
Wyświetlić Properties dla OU firma/biuro1, powinny pojawić się dodatkowe zakładki, m.in. zakładka
Security. Odnaleźć w zakładce Security wpis dotyczący grupy PasswdAdmins i usunąć go.
Ćwiczenie 8 (Usunięcie komputera z domeny)
1. (Member)
Zalogować się jako Administrator domeny.
Usunąć komputer z domeny i przyłączyć do grupy roboczej, wybierając System Properties – Computer
Name – przycisk Change, w rubryce Member of zaznaczając Workgroup i wpisując nazwę grupy roboczej
WS2003LAB, naciskając OK.
W oknie Computer Name Changes należy wpisać parametry konta, które posiada uprawnienie usuwania
komputerów z tej domeny. Jako nazwę konta podać userdomN, jako hasło user-domN (gdzie N jest numerem
zespołu) czyli parametry konta zwykłego użytkownika w domenie – oczywiście można byłoby też podać konto
Administrator, z hasłem domena.
Po wyświetleniu komunikatu potwierdzającego udane przyłączenie do grupy roboczej, zrestartować system.
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
15
Wersja 3.2, 2006.04.25
Ćwiczenie 9 (Usunięcie ostatniego kontrolera domeny, likwidacja domeny,
usunięcie serwera DNS)
W domenie Windows 2003 może pracować kilka kontrolerów domeny. Dopóki nie zostanie usunięty ostatni z nich
domena spełnia swoje funkcje.
1. (DC)
Pracując jako administrator domeny, uruchomić Active Directory Installation Wizard jednym z dwóch
sposobów:
a) wprowadzając w rubryce Start – Run nazwę polecenia dcpromo.exe
b) Administrative Tools – Manage Your Server – Add or remove a role – zaznaczyć Domain Controller
(Active Directory) i nacisnąć Next – zaznaczyc rubrykę Remove the domain controller role i nacisnąć Next
Na ekranie Welcome to the Active Directory Installation Wizard zostanie wyświetlona informacja, że ten
komputer jest już kontrolerem domeny Active Directory i kreator zostanie użyty do usunięcia Active Directory
z niego. Usunięcie Active Directory spowoduje, że komputer będzie pracował jako zwykły serwer
samodzielny lub członkowski w domenie.
Nacisnąć Next.
Pojawi się ostrzeżenie, że ten kontroler domeny spełnia rolę serwera Global Catalog, służącego do obsługi
procesu logowania się użytkowników. Potwierdzić ten komunikat przyciskiem OK.
Na ekranie Remove Active Directory zaznaczyć rubrykę This server is the last domain controller in the
domain.
Na ekranie Application Directory Partitions pojawi się informacja, że ten kontroler domeny przechowuje
ostatnią replikę aplikacyjnych partycji katalogowych. Zaakceptować ich usunięcie przyciskiem Next.
Na ekranie Confirm Deletion zaznaczyc rubrykę Delete all application directory partitions on this domain
controller i nacisnąć Next.
Na ekranie Administrator Password wprowadzić dwukrotnie nowe hasło Administratora w postaci
WS2003Lab – będzie ono obowiązywać po usunięciu roli kontrolera domeny z tego systemu.
Pojawi się podsumowanie Summary podjętych decyzji, zawierające stwierdzenie, że usunięcie Active
Directory z tego komputera spowoduje, iż domena przestanie istnieć. Serwer stanie się zwykłym serwerem
samodzielnym (należącym do grupy roboczej WS2003LAB).
Nacisnąć przycisk Next akceptujący skutki tych decyzji.
Przebieg usuwania będzie sygnalizowany odpowiednimi komunikatami – trwa to dłuższą chwilę.
Na zakończenie pojawi się ekran Completing the Active Directory Installation Wizard z informacją o
usunięciu Active Directory. Nacisnąć przycisk Finish a potem przycisk Restart Now.
Zalogować się jako Administrator (z hasłem WS2003Lab).
W oknie Configure Your Server Wizard może być wyświetlony komunikat informujący, że ten komputer
przestał pełnić rolę kontrolera domeny (Domain Controller Role Removed). Nacisnąć przycisk Finish.
Używając Administrative Tools – Manage Your Server – Add or remove a role – zaznaczyć DNS Server i
nacisnąć Next – zaznaczyc rubrykę Remove the DNS server role i nacisnąć Next
W oknie Configure Your Server Wizard będzie wyświetlony komunikat informujący, że ten komputer
przestał pełnić rolę serwera DNS (DNS server Role Removed). Nacisnąć przycisk Finish.
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
16
Wersja 3.2, 2006.04.25
Ćwiczenie 10 (Porządki)
1. (Member) Zalogować się jako Administrator do systemu Windows Server 2003 Instalacja standardowa
Usunąć z dysku lokalnego folder D:\zaj11 wraz z całą zawartością.
Posługując się Control Panel – Add or Remove Programs, usunąć dodatkowe narzędzia Windows Server
2003 Service Pack 1 Administration Tools Pack
Posługując się Control Panel – System – Advanced – User Profiles – Settings, usunąć wszystkie profile
Account Unknown.
Przywrócić standardowe parametry TCP/IP (Local Area Connection Properties – Internet Protocol
(TCP/IP) – przycisk Properties) zaznaczając: Obtain an IP address automatically oraz Obtain DNS server
address automatically
Przywrócić następujące parametry identyfikacji sieciowej (System Properties – Computer Name – przycisk
Change):
Computer name: szYYY
More – Primary DNS suffix of this computer (jeśli jest zwartość, usunąć ją zostawiając to pole puste)
Zrestartować system.
2. (DC) Będąc zalogowany jako Administrator do systemu Windows Server 2003 Kontroler domeny:
Zmienić hasło użytkownika Administrator na używane w Szkole.
Zlikwidować udostępnianie foldera D:\zaj11 jako zajecia
Usunąć z dysku lokalnego folder D:\zaj11 wraz z całą zawartością.
Zlikwidować udostępnianie foldera D:\Documents and Settings jako Profiles
Zlikwidować udostępnianie foldera D:\Home jako Home.
Usunąć katalog D:\Home.
Posługując się Control Panel – System – Advanced – User Profiles – Settings, usunąć wszystkie profile
Account Unknown.
Zmienić parametry TCP/IP (Local Area Connection Properties – Internet Protocol (TCP/IP) – przycisk
Properties) zaznaczając: Obtain an IP address automatically oraz Obtain DNS server address
automatically
Zmienić następujące parametry identyfikacji sieciowej (System Properties – Computer Name – przycisk
Change):
Computer name:szXXX
More – Primary DNS suffix of this computer (usunąć zwartość i pozostawić to pole puste)
Zrestartować system.
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
17
Wersja 2.2, 2006.04.25
ZAJĘCIA 12 - ZAKRES PRAC I MATERIAŁY POMOCNICZE
ZAKRES PRAC
1. Zasady Grup (Group Policy) w domenie Windows 2003
1.1. Zasady Grup – ogólnie
1.2. Domyślne zasady grup w domenie
1.3. Obiekty GPO, ich dowiązania, blokowanie dziedziczenia,
przesłanianie dziedziczenia, wymuszanie ustawień
1.4. Konsola GPMC (Group Policy Management Console)
1.5. Wynikowe ustawienia zasad grup, modelowanie zasad grup
Liczba ćwiczeń: 14
MATERIAŁY POMOCNICZE
1 Zasady Grup (Group Policy)
Zasady Grup (ang. Group Policy) są mechanizmem pozwalającym na definiowanie ustawień konfiguracyjnych
komputerów i użytkowników. Zasady Grup są wykorzystywane przede wszystkim w powiązaniu z usługą
katalogową Active Directory do scentralizowanego zarządzania takimi ustawieniami konfiguracyjnymi.
(Nazwa zasady grup jest nieco myląca, gdyż w istocie zasady grup nie są zorientowane na grupy użytkowników czy
komputerów ani nie mogą być one względem nich bezpośrednio zastosowane.)
1.1 Zasady Grup – ogólnie
Zasady grup pozwalają na konfigurację następujących rodzajów ustawień:
• Szablonów administracyjnych (ang. Administrative templates): wpisów Rejestru wykorzystywanych do
konfiguracji aplikacji i środowiska pracy użytkowników
• Skryptów (ang. Scripts): określania kiedy i jaki skrypty mają być uruchamiane
• RIS (Remote Installation Services): ustawienia opcji pracy klientów podczas wykorzystywania mechanizmu
zdalnej instalacji systemu
• Internet Explorer: ustawienia administrowania i dopasowania parametrów pracy przeglądarki Internetowej
• Przeadresowania folderów (ang. Folder redirection): dotyczące przechowywania wybranych folderów profilu
użytkownika na serwerze sieciowym
• Bezpieczeństwa (ang. Security): konfiguracje bezpieczeństwa lokalnego komputera, domeny i sieci
• Instalacji oprogramowania (ang. Software installation): scentralizowane zarządzanie instalacjami,
aktualizacjami i usuwaniem oprogramowania
Zasady grup działają tylko na komputery z systemami Windows 2000, Windows XP oraz Windows Server 2003.
Porcja ustawień zasad grup (inaczej, pojedyncza zasada grup) jest definiowana przy pomocy Obiektu Zasad Grup
(Group Policy Object) czyli w skrócie: obiektu GPO. Zestaw obiektów GPO składa się na zasady grup.
Ustawienia zawarte w obiekcie GPO mogą dotyczyć komputera (Computer Configuration) i/lub użytkownika
(User Configuration). Ustawienia dotyczące komputera odnoszą się też do wszystkich użytkowników, którzy
pracują na komputerze, którego dotyczy dany obiekt GPO. Ustawienia obiektu GPO dotyczące użytkownika,
odnoszą się do użytkownika, niezależnie od tego na jakim komputerze pracuje. Niektóre ustawienia zasad grup
występują zarówno w części dotyczącej komputera jak i użytkownika. Jeśli obydwa takie ustawienia są
zdefiniowane, to ustawienia dotyczące użytkownika mają domyślnie wyższy priorytet niż ustawienia dotyczące
komputera.
Zasady grup mogą być definiowane i modyfikowane przy użyciu:
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
1
Wersja 2.2, 2006.04.25
• konsoli MMC utworzonej w oparciu o przystawkę Group Policy Object Editor
• narzędzia Administrative Tools – Active Directory Users and Computers lub Active Directory Sites and
Services
• konsoli Group Policy Management Console (GPMC)
W węższym zakresie, obejmującym tylko ustawienia bezpieczeństwa w zasadach grup można się też posłużyć:
• narzędziami Administrative Tools – Domain Controller Security Policy oraz Administrative Tools –
Domain Security Policy (dostępnymi na kontrolerach domeny)
• narzędziem Administrative Tools – Local Security Policy (dostępnym na serwerach członkowskich domeny
lub serwerach samodzielnych)
Obiekty GPO mogą być definiowane przez użytkowników należących do grup: Administrators oraz Group Policy
Creator Owners, natomiast modyfikowane przez użytkowników z tych grup albo przez użytkowników
posiadających uprawnienia dostępu Read i Write do obiektu GPO.
Zmiana ustawień dotyczących komputera wykonywana jest normalnie podczas startu systemu, a ustawień
dotyczących użytkownika podczas jego zalogowania. Oprócz tego, w dłuższych odstępach czasu tj. co kilkadziesiąt
minut na komputerach członkowskich w domenie (domyślnie od 60 do 120 minut), oraz co kilka minut na
kontrolerach domeny (domyślnie co 5 minut) następuje odświeżanie ustawień po wprowadzeniu zmian w zasadach
grup dla domeny. Nie dotyczy to ustawień związanych z Przeadresowaniem folderów oraz Instalacją
oprogramowania.
Zamiast restartować system w celu zadziałania wprowadzonych zmian, można wymusić odświeżenie ustawień
korzystając z polecenia gpupdate (narzędzia wiersza polecenia).
1.2 Domyślne zasady grup w domenie
W każdej domenie Active Directory jest zdefiniowany obiekt GPO o nazwie Default Domain Policy, określający
domyślne ustawienia zasad grup dla całej domeny.
Te ustawienia przesłaniają lokalne ustawienia zasad grup (w tym niektóre ustawienia Rejestru) na komputerach
należących do domeny.
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
2
Wersja 2.2, 2006.04.25
Dla kontrolerów domeny jest zdefiniowany obiekt GPO o nazwie Default Domain Controller Policy o
analogicznej strukturze zawartości. Ten obiekt GPO jest dowiązany do jednostki organizacyjnej Domain
Controllers.
Ustawienia Zasad Grup dotyczące aspektów bezpieczeństwa pracy domeny można modyfikować przy pomocy
narzędzia Domain Security Policy. Te ustawienia stanowią porcję Zasad Grup, zawartą w węźle Computer
Configuration – Windows Settings – Security Settings.
1.3 Obiekty GPO, ich dowiązania oraz blokowanie dziedziczenia, przesłanianie
dziedziczenia, wymuszanie ustawień
Obiekt GPO sam w sobie nie wprowadza żadnych modyfikacji konfiguracyjnych, dopóki nie zostanie dowiązany
(dołączony) (ang. linked) do określonego elementu Active Directory. Obiekt GPO może być dowiązany do lokacji
(ang. site), domeny, lub jednostki organizacyjnej (ang. organizational unit).
Ten sam obiekt GPO może być dowiązany do kilku różnych elementów.
Ponadto, do tego samego elementu Active Directory może być dowiązanych kilka obiektów GPO.
Ustawienia zasad grup podlegają dziedziczeniu (ang. inheritance). Jeśli np. obiekt GPO jest dowiązany do domeny,
to jednostki organizacyjne zawarte w tej domenie dziedziczą ustawienia w nim zawarte. Można zablokować
mechanizm dziedziczenia (ang. block inheritance).
Blokada dziedziczenia zasad grup jest definiowana dla domeny lub jednostki organizacyjnej, a nie dla obiektu GPO
lub jego dowiązania.
Dziedziczenie ustawień z kontenera nadrzędnego Active Directory (którym jest np. jednostka organizacyjna OU1)
może być przesłonięte poprzez dowiązanie obiektu GPO bezpośrednio do zawartego w nim kontenera podrzędnego,
np. do zawartej w niej podrzędnej jednostki organizacyjnej OU1/OU2.
Można dowiązać obiekt GPO w taki sposób, że dowiązanie wymusi zastosowanie ustawień dla wszystkich
kontenerów podrzędnych, nawet takich, dla których jest zdefiniowana blokada dziedziczenia.
Taka cecha dowiązania (a nie cecha obiektu GPO) jest określana jest jako Enforced (w konsoli GPMC) albo No
Override w oryginalnych narzędziach systemu.
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
3
Wersja 2.2, 2006.04.25
Kolejność stosowania zasad grup w domenie jest następująca: najpierw lokalne obiekty GPO, potem GPO
dowiązane do lokacji, następnie GPO dowiązane do domeny, wreszcie GPO dowiązane do jednostki
organizacyjnej.
Taka kolejność stosowania zasad grup jest często zapisywana w skrótowej notacji: L S D OU
Jeśli kilka obiektów GPO jest dowiązanych do tego samego kontenera Active Directory (np. jednostki
organizacyjnej), to będą one stosowane w kolejności od dołu do góry listy obiektów prezentowanej w graficznych
narzędziach konfiguracyjnych zasad grup. Czyli obiekt na dole listy jest stosowany jako pierwszy a obiekt na
górze listy jest stosowany jako ostatni. Obiekt znajdujący się wyżej na takiej liście ma wyższy priorytet W
przypadku konfliktu ustawień wygrywa więc obiekt umieszczony wyżej na liście.
Jeśli ustawienia w stosowanych obiektach GPO nie są z sobą w konflikcie, to wynikowy zestaw ustawień jest ich
sumą. Jeśli występuje konflikt ustawień, to ustawienia zastosowane jako ostatnie są traktowane jako wynikowe.
Wyjątkiem od ogólnej reguły LSDOU stosowania zasad grup są domenowe ustawienia dotyczące Account Policies
(w konfiguracji komputera) obejmujące m.in. Password Policy. Są one stosowane wyłącznie na poziomie domeny i
zawarte w obiekcie GPO o nazwie Default Domain Policy. Natomiast obiekt GPO obejmujący ustawienia Account
Policies, ale dowiązany do jednostki organizacyjnej w domenie lub do lokacji ma wpływ tylko na ustawienia
konfiguracyjne lokalnej bazy kont na komputerach członkowskich w domenie (na kontrolerach domeny nie ma
lokalnej bazy kont) a nie na konta domenowe znajdujące się w jednostce organizacyjnej czy lokacji.
1.4 Konsola GPMC (Group Policy Management Console)
Konsola GPMC (Group Policy Management Console) jest zintegrowaną konsolą MMC przeznaczoną do
administrowania zasadami grup w domenach Active Directory. Łączy w sobie możliwości kilku różnych narzędzi
systemu Windows Server 2003 i rozszerza je o czynności dodatkowe, których żadne inne narzędzie nie oferuje.
Oprogramowanie GPMC zostało udostępnione bezpłatnie przez firmę Microsoft już po wprowadzeniu systemu
Windows Server 2003 do sprzedaży. Można je pobrać ze stron internetowych Microsoftu.
Konsola GPMC jest zalecanym narzędziem do pracy z Group Policy. Po jej zainstalowaniu w systemie (Windows
Server 2003 lub Windows XP) następuje podmiana sposobu obsługi zasad grup w innych narzędziach np. takich jak
Active Directory Users and Computers (w zakładce Properties – Group Policy)
Oprogramowanie GPMC składa się z konsoli MMC oraz narzędzi skryptowych.
Bardziej szczegółowe informacje można znaleźć w dokumencie Administering Group Policy with Group Policy
Management Console umieszczonym w pliku d:\zaj12\gpmc\GPMC_Administering.doc
Wszystkie zdefiniowane obiekty GPO trafiają do kontenera Group Policy Objects w konsoli GPMC.
W innych kontenerach (lokacja, domena, jednostka organizacyjna) pojawiają się wtedy, jeśli zostały do nich
dowiązane (ang. linked).
Obiekt GPO, który jest zdefiniowany ale nie został dowiązany do jakiegoś kontenera, nie wprowadza żadnych
zmian w ustawieniach konfiguracyjnych komputerów i użytkowników.
1.5 Wynikowe ustawienia zasad grup, modelowanie zasad grup
Konsola GPMC pozwala na uzyskanie w przejrzysty sposób tzw. wynikowego rezultatu ustawień zasad grup
(Group Policy Results), co jest możliwe także (lecz w mniej czytelnej formie) przy pomocy dołączonego do
systemu Windows Server 2003 narzędzia wiersza polecenia gpresult lub konsoli MMC o nazwie Resultant Set of
Policy pracującej w tzw. trybie Logging mode.
Konsola GPMC pozwala także, na wykonanie symulacji (modelowania) skutków działania zdefiniowanych zasad
grup (Group Policy Modeling) co jest odpowiednikiem użycia konsoli Resultant Set of Policy w trybie Planning
mode.
Wynikowy zestaw ustawień zasad grup (Resultant Set of Policy, RSoP) uzyskiwany jest po ich zastosowaniu do
wskazanego komputera i użytkownika (pod warunkiem, że użytkownik choć raz zalogował się na takim
komputerze).
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
4
Wersja 2.2, 2006.04.25
Konsola MMC Resultant Set of Policy (można jej użyć samodzielnie lub poprzez Active Directory Users and
Computers) prezentuje w innej formie te same wyniki co węzeł Group Policy Results konsoli GPMC, ale daje
dodatkowo możliwość prześledzenia, które obiekty wpływały na końcowe ustawienie, a nie tylko jaki był obiekt
końcowy, który dane ustawienie wprowadził. Zakłada Precedence, której nie ma w konsoli GPMC zawiera
uporządkowany pod względem ważności spis obiektów GPO, które próbowały zmienić wartość wskazanego
ustawienia zasad grup.
Modelowanie zasad grup jest wykonywane w oparciu o informacje przechowywane na kontrolerze domeny i nie
wymaga dostępności komputera i użytkownika, dla których symulacja jest wykonywana. Pozwala to analizować
potencjalne skutki przeprowadzanych zmian, np. jakie ustawienia zasad grup będą obowiązywać po przeniesienia
danego konta użytkownika do określonej jednostki organizacyjnej i jego zalogowaniu się na wskazanym
komputerze ale bez rzeczywistego przenoszenia tego konta oraz bez logowania się użytkownika na wskazanym
komputerze.
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
5
Wersja 2.2, 2006.04.25
ZAJĘCIA 12 - ĆWICZENIA
Ćwiczenie 1 (Przygotowania)
Przyjmuje się, że jest już utworzona domena Active Directory o nazwie labN.wsisiz.edu.pl, której kontrolerem
domeny jest komputer szN.labN.wsisiz.edu.pl, o adresie IP postaci 192.168.3.www i masce sieci 255.255.255.0.
Konto Administratora tej domeny ma zdefiniowane hasło w postaci: domena-N.
1. Zalogować się jako Administrator w Windows Server 2003 Instalacja standardowa.
2. Z zasobów WS2003Lab skopiować do katalogu głównego lokalnego dysku (D:\) cały folder lab2006\zaj12
z zachowaniem jego nazwy zaj12.
3. Otworzyć okno Command Prompt.
Wykonać polecenie ipconfig i odnotować ostatni oktet (bajt) adresu IP własnego komputera szYYY,
np. dla adresu 213.135.45.65, będzie to liczba K=65.
4. Zdefiniować następujące parametry TCP/IP (Control Panel – Network Connections – Local Area
Connection – Properties – Internet Protocol (TCP/IP) – przycisk Properties)
IP address: 192.168.3.K (gdzie K jest liczbą odnotowaną w p.3 tego ćwiczenia)
Subnet mask: 255.255.255.0
Preferred DNS server: 192.168.3.www (czyli adres kontrolera domeny szN.labN.wsisiz.edu.pl)
Pozostałe rubryki nie mają być wypełnione.
5. Zmienić nazwę komputera, usunąć komputer z grupy roboczej i przyłączyć do domeny, wybierając System
Properties – Computer Name – przycisk Change po czym
w rubryce Computer name: wpisując memYYY (gdzie YYY to cyfry występujące w oryginalnej nazwie szYYY,
np. mem614 dla sz614)
natomiast w rubryce Member of zaznaczając Domain i wpisując nazwę domeny labN.wsisiz.edu.pl oraz
naciskając OK.
W oknie Computer Name Changes należy wpisać parametry konta, które posiada uprawnienie dodawania
komputerów do tej domeny. Jako nazwę konta podać Administrator, jako hasło domena-N.
Po wyświetleniu komunikatu potwierdzającego udane dołączenie do domeny (Welcome to labN.wsisiz.edu.pl
domain), zrestartować system.
6. Zalogować się jako Administrator lokalnego serwera (czyli w rubryce Log on to powinna być nazwa własnego
komputera memYYY).
Zainstalować dodatkowy pakiet narzędzi Windows Server 2003 Service Pack 1 Administration Tools Pack (z
pliku D:\zaj12\software\adminpak.exe), dwukrotnie klikając na tym pliku.
Ćwiczenie 2 [Dodatkowe] (Prezentacja: Wprowadzenie do Group Policy)
1. Podstawowe pojęcia związane z mechanizmem Group Policy wykorzystywanym w domenach Active Directory
systemów Windows Server 2003 oraz Windows 2000 są przedstawione w krótkiej prezentacji, zaczerpniętej z
materiałów szkoleniowych Microsofta.
Pracując jako Administrator w systemie Windows Server 2003 otworzyć plik
D:\zaj12\media\IntroGP.html zawierający treść prezentacji:
Introduction to Group Policy.
Użycie klawisza funkcyjnego [F11] pozwala oglądać prezentację w trybie pełnoekranowym. W dolnej części
ekranu powinny być wyświetlane komentarze, w razie potrzeby można włączyć lub wyłączyć ich wyświetlanie
klikając na przycisku CC.
(Dla prawidłowego wyświetlania prezentacji, może być konieczne wcześniejsze doinstalowanie obsługi
Macromedia Flash Player np. z katalogu D:\zaj12\Flash oraz wyłączenie rozszerzonego trybu
bezpieczeństwa przeglądarki czyli wyłączenie Internet Explorer Enhanced Security Configuration np. w
Control Panel – Add or Remove Programs – Add/Remove Windows Components)
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
6
Wersja 2.2, 2006.04.25
Ćwiczenie 3 (Domyślne zasady grup w domenie)
Mechanizm Group Policy (Zasady Grup) pozwala na definiowanie m.in. ustawień bezpieczeństwa dla komputerów i
użytkowników pracujących w domenie.
Zasady grup dla domeny mogą być definiowane przy użyciu konsoli MMC utworzonej w oparciu o przystawkę
Group Policy, lub dzięki narzędziu Administrative Tools – Domain Security Policy (dostępnym na kontrolerach
domeny) lub z użyciem narzędzia Administrative Tools – Active Directory Users and Computers.
Ten ostatni sposób jest stosowany najczęściej.
W każdej domenie Active Directory jest zdefiniowany obiekt GPO (Group Policy Object, czyli Obiekt Zasad Grup)
o nazwie Default Domain Policy, określający domyślne ustawienia zasad grup dla całej domeny.
1. Sprawdzenie ustawienia wymogów bezpieczeństwa dla domeny, dotyczącego liczby pamiętanych haseł
Zalogować się jako Administrator domeny (czyli w rubryce Log on to powinna być nazwa domeny LABN).
Uruchomić Administrative Tools – Active Directory Users and Computers, zaznaczyć domenę
labN.wsisiz.edu.pl, z menu kontekstowego wybrać Properties, potem zakładkę Group Policy, zaznaczyć
obiekt Default Domain Policy i nacisnąć przycisk Edit.
Rozwinąć węzeł Computer Configuration – Windows Settings – Security Settings – Account Policies –
Password Policy.
Sprawdzić wartość ustawienia Enforce password history – powinna mieć wartość domyślną (24).
Zakończyć pracę z tym narzędziem.
2. Sprawdzenie obowiązujących ustawień
Otworzyć okno Command Prompt i wykonać w nim polecenie net accounts.
Jeśli jako Length of password history maintained jest wyświetlona pozycja none, to znaczy, że trzeba
dokonać odświeżenia ustawień w sposób opisany niżej.
Zmiana ustawień dotyczących komputera (Computer Configuration) wykonywana jest normalnie podczas
startu systemu, lub w dłuższych odstępach czasu (kilkadziesiąt minut) po wprowadzeniu zmian w zasadach
grup dla domeny.
Zamiast restartować system w celu zadziałania wprowadzonych zmian, można wymusić odświeżenie ustawień
wykonując polecenie (zrobić to):
gpupdate
Ponownie wykonać polecenie net accounts.
Jako Length of password history maintained powinna być wyświetlona wartość 24.
Dotyczy ona ustawienia dla lokalnej bazy kont użytkowników na serwerze członkowskim memYYY.
(Można też użyć konsoli Administrative Tools – Local Security Policy)
Wykonać polecenie net accounts /domain
Jako Length of password history maintained powinna być wyświetlona wartość 24.
Dotyczy ona ustawienia dla kont użytkowników zdefiniowanych w domenie labN.wsisiz.edu.pl.
Obie sprawdzane wyżej wartości powinny być, na tym etapie konfiguracji, takie same.
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
7
Wersja 2.2, 2006.04.25
Ćwiczenie 4 (Utworzenie zestawu jednostek organizacyjnych dla potrzeb dalszych ćwiczeń)
Próby dotyczące zasad grup będą wykonywane na zestawie jednostek organizacyjnych (OU, Organizational Unit) z
odpowiednią zawartością, utworzonych w domenie labN.wsisiz.edu.pl.
Docelowa struktura jednostek organizacyjnych i ich zawartość powinny być następujące:
OU-YYY
zawiera: konto użytkownika a1-YYY i konto komputera memYYY oraz jednostki organizacyjne P i Q
P zawiera konto użytkownika a2-YYY
Q zawiera konto użytkownika a3-YYY
gdzie YYY to numer występujący w oznaczeniu memYYY serwera członkowskiego domeny (np. w domenie, do
której należy serwer członkowski mem789 należy utworzyć jednostkę organizacyjną o nazwie OU-789, konta
użytkowników a1-789, a2-789, a3-789).
1. Pracując jako administrator domeny uruchomić Administrative Tools – Active Directory Users and
Computers. Wybrać domenę labN.wsisiz.edu.pl. Z menu kontekstowego wybrać New, potem Organizational
Unit, jako nazwę wprowadzić OU-YYY. W jednostce organizacyjnej OU-YYY, wybrać z menu kontekstowego
New, potem Organizational Unit, jako nazwę wprowadzić P. Analogicznie zdefiniować jednostkę Q.
Dla jednostki OU-YYY z menu kontekstowego wybrać New, potem User i zdefiniować konto
o nazwie a1-YYY (zarówno Full name jak i User logon name) z hasłem konto1-OU i odznaczyć
pole User must change password at next logon
Dla jednostki OU-YYY/P, w analogiczny sposób zdefiniować konto o nazwie a2-YYY z hasłem konto2-OU.
Dla jednostki OU-YYY/Q, w analogiczny sposób zdefiniować konto o nazwie a3-YYY z hasłem konto3-OU.
Przenieść konto komputera memYYY z kontenera Computers do jednostki OU-YYY, zaznaczając nazwę
memYYY w kontenerze Computers, po czym z menu kontekstowego wybierając Move.. oraz w okienku
reprezentującym drzewiastą strukturę kontenerów zawartych w domenie wskazać jednostkę OU-YYY i
zaakceptować przyciskiem OK.
(Przeniesienie elementu z jednego kontenera do drugiego można także wykonać posługując się technikę
przeciągnij i upuść (ang. drag and drop)).
Sprawdzić, że zawartość jednostki OU-YYY spełnia wymagania określone na początku tego Ćwiczenia.
Ćwiczenie 5 (Instalacja konsoli GPMC)
Konsola GPMC (Group Policy Management Console) jest konsolą MMC przeznaczoną do administrowania
zasadami grup w domenach Active Directory. Łączy w sobie możliwości kilku różnych narzędzi systemu Windows
Server 2003 i rozszerza je o czynności dodatkowe, których żadne inne narzędzie nie oferuje. Oprogramowanie
GPMC zostało udostępnione bezpłatnie przez firmę Microsoft już po wprowadzeniu systemu Windows Server 2003
do sprzedaży. Można je pobrać ze stron internetowych Microsoftu.
Konsola GPMC jest zalecanym narzędziem do pracy z Group Policy. Po jej zainstalowaniu w systemie (Windows
Server 2003 lub Windows XP) następuje podmiana sposobu obsługi zasad grup w innych narzędziach np. takich jak
Active Directory Users and Computers (w zakładce Properties – Group Policy).
Oprogramowanie GPMC składa się z konsoli MMC oraz narzędzi skryptowych.
Bardziej szczegółowe informacje można znaleźć w dokumencie Administering Group Policy with Group Policy
Management Console umieszczonym w pliku d:\zaj12\gpmc\GPMC_Administering.doc
1. Pracując jako administrator domeny zainstalować konsolę GPMC wykorzystując plik d:\zaj12\gpmc\gpmc.msi
Po instalacji staje się ona dostępna pod nazwą Administrative Tools – Group Policy Management
Dla wygody korzystania utworzyć na pulpicie skrót do tego narzędzia.
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
8
Wersja 2.2, 2006.04.25
Ćwiczenie 6 (Zasada grup dot. ustawień komputera, dowiązana do jednostki organizacyjnej)
Celem ćwiczenia jest zdefiniowanie nowego obiektu GPO (obiektu zasad grup) obejmującego ustawienia
komputera i dowiązania go (ang. link) do jednostki organizacyjnej OU-YYY.
1. Sprawdzenie aktualnego ustawienia długości historii haseł
Pracując jako administrator domeny otworzyć okno Command Prompt i wykonać w nim polecenie net
accounts oraz polecenie net accounts /domain.
Jako Length of password history maintained powinna być wyświetlona wartość 24 (taka sama jak w
Ćwiczeniu 3).
2. Zdefiniowanie nowego obiektu GPO i dowiązanie go do jednostki organizacyjnej
Pracując jako administrator domeny uruchomić Group Policy Management, rozwinąć węzeł Forest:
labN.wsisiz.edu.pl, następnie węzły Domains i labN.wsisiz.edu.pl. Zaznaczyć jednostkę OU-YYY i z menu
kontekstowego wybrać Create and Link a GPO Here... W okienku New GPO wpisać nazwę GPO1-YYY (np.
GPO1-789) i zaakceptować. Zostanie zdefiniowany nowy (pusty) obiekt GPO1-YYY zasad grup. Powinien
być widoczny po rozwinięciu kontenera OU-YYY oraz kontenera Group Policy Objects.
Wszystkie zdefiniowane obiekty GPO trafiają do kontenera Group Policy Objects.
W innych kontenerach (lokacja, domena, jednostka organizacyjna) pojawiają się wtedy, jeśli zostały do nich
dowiązane (ang. linked).
Obiekt GPO, który jest zdefiniowany ale nie został dowiązany do jakiegoś kontenera, nie wprowadza żadnych
zmian w ustawieniach konfiguracyjnych komputerów i użytkowników.
Zaznaczyć obiekt GPO1-YYY i z menu kontekstowego wybrać Edit... Edycja ustawień obiektów GPO jest
wykonywana przy pomocy automatycznie uruchamianego edytora Group Policy Object Editor.
Rozwinąć węzeł Computer Configuration – Windows Settings – Security Settings – Account Policies –
Password Policy.
Z menu kontekstowego pozycji Enforce password history wybrać Properties, zaznaczyć Define this policy
setting, wpisać wartość 16 w rubryce passwords remembered i zaakceptować przyciskiem OK.
Zakończyć pracę z edytorem Group Policy Object Editor oraz konsolą Group Policy Management.
3. Sprawdzenie
Wymusić odświeżenie ustawień wykonując polecenie: gpupdate
Wykonanie polecenia net accounts powinno pokazać zmianę wartości parametru Length of password history
maintained z 24 na 16.
Dotyczy ona ustawienia dla lokalnej bazy kont użytkowników na serwerze członkowskim memYYY.
Uwaga: Jeśli ustawienie nie uległo zmianie pomimo wykonania polecenia gpupdate czy nawet
gpupdate /force, należy zrestartować system i sprawdzić ponownie.
Wykonanie polecenia net accounts /domain powinno pokazać że wartość parametru Length of password
history maintained nie uległa zmianie (wynosi 24).
Dotyczy ona ustawienia dla kont użytkowników zdefiniowanych w domenie labN.wsisiz.edu.pl.
Obie sprawdzane wyżej wartości powinny, po tym etapie konfiguracji, różnić się od siebie.
Dzieje się tak, gdyż zmiana ustawienia konfiguracyjnego zawarta w GPO1-YYY dotyczyła tylko komputerów
znajdujących się w jednostce organizacyjnej OU-YYY (czyli komputera memYYY) i w tym przypadku miała
wpływ tylko na lokalne konta użytkowników na tym komputerze. Jest to konsekwencją odmiennego niż
ogólna reguła L S D OU traktowania ustawień dotyczących Account Policies w domenie (por. punkt 1.3 w
Materiałach Pomocniczych).
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
9
Wersja 2.2, 2006.04.25
Ćwiczenie 7 (Zasada grup dot. ustawień użytkownika, dowiązana do jednostki organizacyjnej)
Celem ćwiczenia jest zdefiniowanie nowego obiektu GPO obejmującego ustawienia użytkownika i dowiązania go
do jednostki organizacyjnej OU-YYY.
1. Sprawdzenie aktualnej dostępności menu Search i Run
Zalogować się kolejno jako użytkownik: a1-YYY (hasło konto1-OU) oraz a2-YYY (hasło konto2-OU)
i sprawdzić, że w menu Start są dostępne pozycje Search oraz Run..
2. Zdefiniowanie nowego obiektu GPO i związanie go z jednostką organizacyjną
Zalogować się jako administrator domeny. Uruchomić Group Policy Management, rozwinąć węzeł Forest:
labN.wsisiz.edu.pl, następnie węzły Domains i labN.wsisiz.edu.pl. Zaznaczyć jednostkę OU-YYY i z menu
kontekstowego wybrać Create and Link a GPO Here... W okienku New GPO wpisać nazwę GPO2-YYY (np.
GPO2-789) i zaakceptować.
Zaznaczyć obiekt GPO2-YYY i z menu kontekstowego wybrać Edit... (Uwaga: Jeśli zostanie zaznaczony
obiekt GPO w lewym panelu (drzewiastym) to w menu kontekstowym jest pozycja Edit... natomiast jeśli
zostanie zaznaczony obiekt w prawym panelu to w niektórych zakładkach w menu kontekstowym jest Edit
(bez kropek na końcu). Skutek użycia jest taki sam w obydwu przypadkach)
Rozwinąć węzeł User Configuration – Administrative Templates – Start Menu and Taskbar
Wybrać Properties pozycji Remove Search menu from Start Menu (albo dwukrotnie kliknąć na tej
pozycji), w zakładce Explain można przeczytać opis skutków modyfikacji tego ustawienia, natomiast w
zakładce Setting można to ustawienie zmienić. Włączyć to ustawienie, czyli zaznaczyć Enabled w zakładce
Setting i zaakceptować.
W analogiczny sposób włączyć (Enabled) ustawienie pozycji Remove Run menu from Start Menu
3. Sprawdzenie skutków zastosowania obiektu GPO2-YYY
Zalogować się kolejno jako użytkownik: a1-YYY oraz a2-YYY i sprawdzić, że w menu Start nie ma już pozycji
Search oraz Run..
Ćwiczenie 8 (Charakterystyka obiektów GPO; blokowanie dziedziczenia zasad grup)
Celem ćwiczenia jest zapoznanie się z charakterystykami obiektów GPO dostępnymi przy użyciu GPMC oraz
zademonstrowanie skutków blokowania dziedziczenia zasad grup.
Blokada dziedziczenia zasad grup jest definiowana dla domeny lub jednostki organizacyjnej, a nie dla obiektu GPO
lub jego dowiązania.
1. Charakterystyki kontenera wykorzystującego obiekty GPO
Zalogować się jako administrator domeny i uruchomić Group Policy Management, rozwinąć węzeł Forest:
labN.wsisiz.edu.pl, następnie węzły Domains i labN.wsisiz.edu.pl.
Zaznaczyć jednostkę OU-YYY. W prawym panelu konsoli GPMC pojawią się informacje dot. zasad grup
odnoszących się do tego kontenera (tutaj: jednostki organizacyjnej). Składają się na nie zakładki:
Linked Group Policy Objects – zawierająca spis obiektów GPO dowiązanych do kontenera, charakterystykę
ich atrybutów, kolejność dowiązania decydująca o ważności ich ustawień (tę kolejność można zmienić)
Group Policy Inheritance – zestawienie dziedziczonych zasad grup, w kolejności od najważniejszej (o
najwyższym priorytecie wynoszącym 1) do najmniej ważnych (najniższy priorytet)
Delegation – uprawnienia związane z kontenerem i dotyczącymi go obiektami GPO (można je tu
modyfikować).
Sprawdzić w zakładce Linked Group Policy Objects jakie obiekty GPO i w jakiej kolejności dowiązania
dotyczą jednostki OU-YYY (powinny być dwa obiekty).
Sprawdzić w zakładce Group Policy Inheritance z jakich obiektów GPO są dziedziczone ustawienia przez
jednostkę OU-YYY i z jakim priorytetem (powinny być trzy obiekty).
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
10
Wersja 2.2, 2006.04.25
2. Charakterystyki obiektów GPO
W kontenerze Group Policy Objects zaznaczyć obiekt GPO2-YYY
W prawym panelu konsoli GPMC pojawią się charakterystyki tego obiektu GPO, na które składają się
zakładki:
Scope – zawierająca informacje o tym jakie lokacje, domeny i jednostki organizacyjne mają dowiązany (Link)
ten obiekt GPO i z jakimi atrybutami oraz jakie mechanizmy filtrowania (Security oraz WMI) dotyczą tego
obiektu
Details – cechy obiektu GPO przechowywanego w Active Directory oraz jego status (GPO status), który
można zmienić
Settings – bardzo użyteczna zakładka zawierająca tylko te ustawienia konfiguracyjne dla komputera i/lub
użytkownika, które zostały zdefiniowane w danym obiekcie GPO (korzystanie z tej zakładki może wymagać
zaakceptowania użycia pliku security_mmc.exe)
Delegation – uprawnienia dotyczące tego obiektu GPO, decydujące o tym kto może zmieniać zawarte w nim
ustawienia, kto może je odczytać i wobec kogo mogą być zastosowane.
Sprawdzić w zakładce Scope, gdzie obiekt GPO2-YYY jest wykorzystywany, w zakładce Details jaki jest jego
status (powinien być: Enabled) a w zakładce Settings (po automatycznym wygenerowaniu raportu) wyświetlić
pełny spis ustawień wybierając przycisk show all (w prawym górnym rogu).
3. Blokada dziedziczenia zasad grup
W Group Policy Management zaznaczyć jednostkę organizacyjną P w jednostce OU-YYY (czyli jednostkę
OU-YYY/P). Zwrócić uwagę na spis obiektów GPO, z których dziedziczone są zasady grup (powinny być trzy
takie obiekty) wyświetlany w zakładce Group Policy Inheritance.
Zablokować dziedziczenie zasad grup przez jednostkę P, wybierając z jej menu kontekstowego operację Block
Inheritance. Przy nazwie jednostki P powinno pojawić się dodatkowe oznaczenie w postaci białego
wykrzyknika na niebieskim tle.
Zauważyć też, że spis obiektów w zakładce Group Policy Inheritance stał się pusty.
4. Sprawdzenie skutków zastosowania blokady dziedziczenia zasad grup
Zalogować się kolejno jako użytkownik: a1-YYY, a2-YYY oraz a3-YYY i sprawdzić, że dla użytkowników
a1-YYY oraz a3-YYY w menu Start nadal nie ma pozycji Search oraz Run.., natomiast użytkownik a2-YYY ma
te dwie pozycje ponownie. Dlaczego ?
Ćwiczenie 9 (Wynikowe ustawienia zasad grup, modelowanie zasad grup)
Konsola GPMC pozwala na uzyskanie tzw. wynikowego rezultatu ustawień zasad grup (Group Policy Results),
oraz na wykonanie symulacji (modelowania) skutków działania zdefiniowanych zasad grup (Group Policy
Modeling)
Wynikowy zestaw ustawień zasad grup (Resultant Set of Policy, RSoP) uzyskiwany jest po ich zastosowaniu do
wskazanego komputera i użytkownika (pod warunkiem, że użytkownik choć raz zalogował się na takim
komputerze) natomiast modelowanie zasad grup jest wykonywane w oparciu o informacje przechowywane na
kontrolerze domeny i nie wymaga dostępności komputera i użytkownika dla których symulacja jest wykonywana.
1. Wynikowy zestaw ustawień (RSoP)
Zalogować się jako Administrator domeny, uruchomić Group Policy Management, rozwinąć węzeł Forest:
labN.wsisiz.edu.pl, następnie węzły Domains i labN.wsisiz.edu.pl.
Zaznaczyć węzeł Group Policy Results i z jego menu kontekstowego wybrać Group Policy Results Wizard..
Na ekranie powitalnym nacisnąć Next, na ekranie Computer selection zostawić zaznaczenie This computer i
nacisnąć Next, na ekranie User selection zaznaczyć pozycję Select a specific user , wskazać użytkownika
LABN\a1-YYY (gdzie LABN to nazwa domeny) i nacisnąć Next, na ekranie Summary of Selections nacisnąć
Next i na ekranie końcowym przycisk Finish.
Po chwili zostanie wygenerowany raport dotyczący ustawień zasad grup dla użytkownika a1-YYY (z domeny
LABN) na komputerze memYYY (w domenie LABN).
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
11
Wersja 2.2, 2006.04.25
W zakładce Summary znajduje się podsumowanie zestawu obiektów zasad grup i ich parametrów użytych do
otrzymania wynikowych ustawień dla komputera i użytkownika.
W zakładce Settings znajdują się szczegółowe ustawienia komputera i użytkownika obowiązujące po
zastosowaniu wszystkich odnoszących się do nich obiektów zasad grup.
W zakładce Summary wyświetlić pełną postać podsumowania wybierając przycisk show all
W części User Configuration Summary – Group Policy Objects – Applied GPOs powinny znajdować się
dwa obiekty GPO (Default Domain Policy oraz GPO2-YYY) – co oznacza, że ustawienia zawarte w GPO2-YYY
zabraniające wyświetlania w menu Start obu pozycji Search i Run miały zastosowanie do użytkownika
a1-YYY.
W zakładce Settings wyświetlić pełny spis ustawień wybierając przycisk show all, zwracając zwłaszcza
uwagę na wartości umieszczone w kolumnie Winning GPO. Dla ustawień dotyczących użytkownika (User
Configuration) powinny np. być ustawienia Remove Search menu from Start Menu oraz Remove Run
menu from Start Menu opisane jako Enabled oraz "wygrywającym" obiektem zasad grup powinien być
GPO2-YYY.
Kliknięcie na nazwie takiego ustawienia powoduje wyświetlenie jego opisu.
W analogiczny sposób otrzymać wynikowy zestaw ustawień dla użytkownika a2-YYY.
Tym razem jednak, w zakładce Settings powinno być widoczne, że ustawienia użytkownika są puste (dlatego
użytkownik a2-YYY widzi w menu Start obie pozycje: Search i Run).
Ponadto w zakładce Summary, w części User Configuration Summary – Group Policy Objects – Denied
GPOs powinny znajdować się trzy obiekty GPO mające w kolumnie Reason denied wartości Blocked SOM
(SOM oznacza Scope of Management) — co oznacza, że te obiekty zasad grup zostały zablokowane z punktu
widzenia dziedziczenia ustawień i nie miały zastosowania do użytkownika a2-YYY.
2. Modelowanie (symulacja) użycia zasad grup
Niżej przeprowadzona próba ma wyjaśnić jakie ustawienia zaczerpnięte z zasad grup obowiązywałyby dla
użytkownika a1-YYY gdyby został przeniesiony z jednostki organizacyjnej OU-YYY do jednostki P oraz
zalogowałby się na kontrolerze domeny (a nie na serwerze członkowskim).
Wynik zostanie uzyskany drogą zasymulowania takiej sytuacji tzn. bez rzeczywistego przeniesienia konta
a1-YYY do jednostki organizacyjnej OU-YYY/P oraz bez logowania się użytkownika na kontrolerze domeny.
Zaznaczyć węzeł Group Policy Modeling i z jego menu kontekstowego wybrać Group Policy Modeling
Wizard..
Na ekranie powitalnym nacisnąć Next, oraz na każdym z niżej wymienionych ekranów akceptować
wprowadzone informacje przyciskiem Next:
na ekranie Domain Controller Selection pozostawić ustawienie domyślne,
na ekranie User and Computer Selection, w rubryce User information zaznaczyć User i wpisać (lub wybrać
za pomocą przycisku Browse) konto LABN\a1-YYY, w rubryce Computer information zaznaczyć Computer i
wpisać (lub wybrać za pomocą przycisku Browse) nazwę kontrolera domeny LABN\szN,
na ekranie Advanced Simulation Options zostawić ustawienia domyślne,
na ekranie Alternative Active Directory Paths w rubryce User location zmienić wartość za pomocą przycisku
Browse na jednostkę organizacyjną P (zamiast OU-YYY), w rubryce Computer location pozostawić
kontener Domain Controllers,
na ekranie User Security Groups pozostawić ustawienia domyślne,
na ekranie Computer Security Groups pozostawić ustawienia domyślne,
na ekranie WMI Filters for Users pozostawić ustawienia domyślne,
na ekranie WMI Filters for Computers pozostawić ustawienia domyślne,
na ekranie Summary of Selections nacisnąć Next,
na ekranie końcowym nacisnąć Finish.
Zakładki Summary i Settings pełnią taka samą rolę jak dla Group Policy Results.
Sprawdzić w zakładce Summary w części Computer Configuration Summary – Group Policy Objects –
Applied GPOs oraz w części User Configuration Summary – Group Policy Objects– Applied GPOs jakie
obiekty zasad grup zostały zastosowane, odpowiednio, do ustawień komputera i użytkownika.
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
12
Wersja 2.2, 2006.04.25
W zakładce Settings sprawdzić, ze ustawienie Enforce password history dla komputera ma wartość 24 (a nie
16 jak w jednostce organizacyjnej OU-YYY) oraz, że ustawienia użytkownika są puste czyli m.in. pozycje
Search i Run byłyby widoczne w menu Start.
Ćwiczenie 10 (Przesłonięcie dziedziczonych ustawień zasad grup)
Celem ćwiczenia jest zdefiniowanie nowego obiektu GPO obejmującego ustawienia użytkownika i dowiązanie go
do jednostki organizacyjnej OU-YYY/Q co spowoduje przesłonięcie ustawień dziedziczonych z jednostki
nadrzędnej.
1. Zdefiniowanie nowego obiektu GPO i związanie go z podrzędna jednostką organizacyjną
Pracując jako administrator domeny uruchomić Group Policy Management, rozwinąć węzeł Forest:
labN.wsisiz.edu.pl, następnie węzły Domains i labN.wsisiz.edu.pl. Zaznaczyć jednostkę OU-YYY/Q i z menu
kontekstowego wybrać Create and Link a GPO Here... W okienku New GPO wpisać nazwę GPO3-YYY (np.
GPO3-789) i zaakceptować.
Zaznaczyć obiekt GPO3-YYY i z menu kontekstowego wybrać Edit...
Rozwinąć węzeł User Configuration – Administrative Templates – Start Menu and Taskbar
Dwukrotnie kliknąć na pozycji Remove Search menu from Start Menu oraz w zakładce Setting wyłączyć to
ustawienie, czyli zaznaczyć Disabled i zaakceptować.
2. Sprawdzenie skutków zastosowania przesłonięcia ustawień odziedziczonych
Zalogować się jako użytkownik a3-YYY i sprawdzić, że w jego w menu Start jest pozycja Search oraz nie ma
pozycji Run...
3. Zalogować się jako administrator domeny, uruchomić Group Policy Management.
Zaznaczyć jednostkę organizacyjną OU-YYY/Q i w zakładce Group Policy Inheritance sprawdzić spis i
kolejność stosowania obiektów GPO do tej jednostki (powinny być cztery GPO).
Używając Group Policy Result sprawdzić jakie wynikowe ustawienia będą obowiązywać dla użytkownika
a3-YYY pracującego na serwerze członkowskim memYYY.
W zakładce Settings, w części User Configuration, pozycja Remove Search menu from Start Menu
powinna mieć wartość Disabled, a odpowiedzialnym za to obiektem GPO powinien być GPO3-YYY.
Ćwiczenie 11 (Obiekt zasad grup dowiązany do kilku jednostek)
Celem ćwiczenia jest zdefiniowanie nowego obiektu GPO obejmującego ustawienia użytkownika i dowiązanie go
do dwóch jednostek organizacyjnych, w tym jednej dla której obowiązuje blokada dziedziczenia ustawień z
jednostek nadrzędnych.
1. Zdefiniowanie nowego obiektu GPO i związanie go z dwoma jednostkami
Pracując jako administrator domeny uruchomić Group Policy Management, rozwinąć węzeł Forest:
labN.wsisiz.edu.pl, następnie węzły Domains i labN.wsisiz.edu.pl.
Zostanie tutaj użyty inny sposób polegający najpierw na utworzeniu obiektu GPO, po czym na dowiązaniu go
do dwóch różnych kontenerów.
Zaznaczyć węzeł Group Policy Objects, z jego menu kontekstowego wybrać New, w okienku New GPO
wpisać nazwę GPO4-YYY (np. GPO4-789) i zaakceptować.
Zaznaczyć obiekt GPO4-YYY i z menu kontekstowego wybrać Edit...
Rozwinąć węzeł User Configuration – Administrative Templates – Start Menu and Taskbar
Dwukrotnie kliknąć na pozycji Remove Help menu from Start Menu oraz w zakładce Setting włączyć to
ustawienie, czyli zaznaczyć Enabled i zaakceptować.
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
13
Wersja 2.2, 2006.04.25
Zaznaczyć jednostkę OU-YYY/P i z menu kontekstowego wybrać Link an Existing GPO..., w okienku Select
GPO wybrać GPO4-YYY i zaakceptować.
Wykonać analogiczną czynność dla jednostki OU-YYY/Q.
2. Sprawdzenie skutków
Zalogować się kolejno jako użytkownicy: a1-YYY, a2-YYY oraz a3-YYY i sprawdzić, że w ich menu Start jest
następująca sytuacja:
a1-YYY:
Help and Support (jest), Search (brak), Run (brak)
a2-YYY:
Help and Support (brak), Search (jest), Run (jest)
a3-YYY:
Help and Support (brak), Search (jest), Run (brak)
Ćwiczenie 12 (Wymuszenie ustawień, nawet dla kontenerów stosujących blokadę
dziedziczenia)
Celem ćwiczenia jest zdefiniowanie nowego obiektu GPO obejmującego ustawienia użytkownika i dowiązanie go
do jednostki organizacyjnej OU-YYY w taki sposób, że dowiązanie wymusi zastosowanie ustawień dla wszystkich
kontenerów podrzędnych, nawet takich dla których jest zdefiniowana blokada dziedziczenia.
Taka cecha dowiązania (a nie cecha obiektu GPO) jest określana jest jako Enforced (w konsoli GPMC) albo No
Override w oryginalnych narzędziach systemu.
1. Zdefiniowanie nowego obiektu GPO i utworzenie dowiązania z atrybutem Enforced
Zalogować się jako administrator domeny. Uruchomić Group Policy Management, rozwinąć węzeł Forest:
labN.wsisiz.edu.pl, następnie węzły Domains i labN.wsisiz.edu.pl. Zaznaczyć jednostkę OU-YYY i z menu
kontekstowego wybrać Create and Link a GPO Here... W okienku New GPO wpisać nazwę GPO5-YYY (np.
GPO5-789) i zaakceptować.
Zaznaczyć obiekt GPO5-YYY i z menu kontekstowego wybrać Edit...
Rozwinąć węzeł User Configuration – Administrative Templates – Start Menu and Taskbar
Włączyć (Enabled) ustawienia:
Remove Search menu from Start Menu
Remove Help menu from Start Menu
Remove Run menu from Start Menu
i zaakceptować.
Zaznaczyć jednostkę OU-YYY, a następnie dowiązanie obiektu GPO5-YYY w niej.
W menu kontekstowym tego dowiązania zaznaczyć atrybut Enforced.
2. Sprawdzenie skutków
Zalogować się kolejno jako użytkownicy: a1-YYY, a2-YYY oraz a3-YYY i sprawdzić, że w ich menu Start jest
następująca sytuacja: Help and Support (brak), Search (brak), Run (brak)
3. Wykorzystanie konsoli Resultant Set of Policy
Zalogować się jako administrator domeny, uruchomić Group Policy Management.
W zakładce Group Policy Inheritance, dla jednostek organizacyjnych OU-YYY, OU-YYY/P, OU-YYY/Q
sprawdzić spis i kolejność stosowania obiektów GPO do nich. Na pierwszym miejscu powinien być obiekt
GPO5-YYY z atrybutem (Enforced).
Używając Group Policy Results sprawdzić jakie wynikowe ustawienia będą obowiązywać dla użytkownika
a3-YYY pracującego na serwerze członkowskim memYYY.
W zakładce Settings, w części User Configuration, wszystkie trzy pozycje Remove ... from Start Menu
powinna mieć wartość Enabled, a odpowiedzialnym za to obiektem GPO powinien być GPO5-YYY.
W węźle Group Policy Results zaznaczyć aktualnie oglądany raport tzn. raport o nazwie a3-YYY on
memYYY, z menu kontekstowego wybrać Advanced View..
Powoduje to uruchomienie oddzielnej konsoli MMC o nazwie Resultant Set of Policy prezentującej te same
wyniki w innej formie, ale dającej możliwość prześledzenia, które obiekty wpływały na końcowe ustawienie, a
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
14
Wersja 2.2, 2006.04.25
nie tylko jaki był obiekt końcowy, który dane ustawienie wprowadził.
W konsoli Resultant Set of Policy rozwinąć węzeł User Configuration – Administrative Templates – Start
Menu and Taskbar
Dwukrotnie kliknąć np. na pozycji Remove Search menu from Start Menu.
Pojawi się dodatkowa zakładka Precedence, której nie ma w konsoli GPMC. Zawiera ona uporządkowany pod
względem ważności spis obiektów GPO, które próbowały ustawić wartość oglądanej pozycji (tutaj: trzy
obiekty GPO). Zamknąć konsolę Resultant Set of Policy.
Używając Group Policy Results sprawdzić jakie wynikowe ustawienia będą obowiązywać dla użytkownika
a2-YYY pracującego na serwerze członkowskim memYYY.
W zakładce Summary, w części User Configuration Summary – Group Policy Objects – Denied GPOs
powinny znajdować się trzy obiekty GPO mające w kolumnie Reason denied wartości Blocked SOM
natomiast w części Applied GPOs dwa obiekty GPO: jeden (GPO4-YYY) dowiązany bezpośrednio do
jednostki OU-YYY/P do której należy konto a2-YYY i drugi obiekt (GPO5-YYY) którego dowiązanie do
jednostki nadrzędnej OU-YYY ma atrybut Enforced.
Ćwiczenie 13 (Usunięcie obiektów GPO)
1. Usunięcie zdefiniowanych obiektów GPO
Będąc zalogowanym jako administrator domeny, w Group Policy Management rozwinąć węzeł Forest:
labN.wsisiz.edu.pl, następnie węzły Domains i labN.wsisiz.edu.pl.
Rozwinąć (otworzyć) węzeł Group Policy Objects.
Pracując w oknie szczegółów (prawy panel, zakładka Contents) zaznaczyć wszystkie obiekty GPO o nazwach
GPON-YYY, gdzie N=1,..,5
W menu kontekstowym wybrać operację Delete.
Potwierdzić przyciskiem OK chęć usunięcia wszystkich zaznaczonych obiektów GPO, łącznie ze wszystkimi
dowiązaniami utworzonymi dla nich w domenie labN.wsisiz.edu.pl
Po zakończeniu wyświetlania statusu wykonywanych operacji usuwania (powinno być: Succeeded) zamknąć
przyciskiem OK okno Delete.
2. Zaznaczyć jednostkę OU-YYY/P (dla której obowiązuje blokada dziedziczenia) i w menu kontekstowym tej
jednostki wyłączyć (odznaczyć) atrybut Block Inheritance.
Przy nazwie jednostki P powinno zniknąć dodatkowe oznaczenie w postaci białego wykrzyknika na niebieskim
tle.
3. Wymusić odświeżenie ustawień wykonując polecenie: gpupdate
4. Sprawdzenie skutków
Zalogować się kolejno jako użytkownicy: a1-YYY, a2-YYY oraz a3-YYY i sprawdzić, że w ich menu Start jest
następująca sytuacja: Help and Support (jest), Search (jest), Run (jest)
tzn. obowiązują ustawienia domyślne dla menu Start.
Ćwiczenie 14 (Porządki)
1. Zalogować się jako Administrator domeny.
Uruchomić Administrative Tools – Active Directory Users and Computers. Wybrać domenę
labN.wsisiz.edu.pl.
Przenieść konto komputera memYYY z jednostki organizacyjnej OU-YYY do kontenera Computers.
Usunąć jednostkę organizacyjne OU-YYY (wraz z całą zawartością tzn. kontami użytkowników: a1-YYY,
a2-YYY
, a3-YYY oraz jednostkami OU-YYY/Q, OU-YYY/P) wybierając z jej menu kontekstowego pozycję
Delete i akceptując dwa wyświetlane komunikaty ostrzegawcze.
2. Pracując jako Administrator domeny usunąć komputer z domeny i przyłączyć do grupy roboczej, wybierając
System Properties – Computer Name – przycisk Change, w rubryce Member of zaznaczając Workgroup i
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
15
Wersja 2.2, 2006.04.25
wpisując nazwę grupy roboczej WS2003LAB, naciskając OK.
W oknie Computer Name Changes należy wpisać parametry konta, które posiada uprawnienie usuwania
komputerów z tej domeny. Jako nazwę konta podać Administrator, jako hasło domena-N.
Po wyświetleniu komunikatu potwierdzającego udane przyłączenie do grupy roboczej, zrestartować system.
3. Zalogować się jako Administrator do systemu Windows Server 2003 Instalacja standardowa
Usunąć z dysku lokalnego folder D:\zaj12 wraz z całą zawartością.
Posługując się Control Panel – Add or Remove Programs, usunąć dodatkowe narzędzia Windows Server
2003 Service Pack 1 Administration Tools Pack oraz Microsoft Group Policy Management Console with SP1.
Posługując się Control Panel – System – Advanced – User Profiles – Settings, usunąć wszystkie profile
Account Unknown.
Przywrócić standardowe parametry TCP/IP (Control Panel – Network Connections – Local Area
Connection – Properties – Internet Protocol (TCP/IP) – przycisk Properties) zaznaczając: Obtain an IP
address automatically oraz Obtain DNS server address automatically
Przywrócić następujące parametry identyfikacji sieciowej (System Properties – Computer Name – przycisk
Change):
Computer name: szYYY
More – Primary DNS suffix of this computer (jeśli jest zwartość, usunąć ją zostawiając to pole puste)
Zrestartować system.
Laboratorium Windows Server 2003 (P. Kowalski, A. Skirmunt) WSISiZ
16
Wersja 3.2, 2006.05.17
ZAJĘCIA 13 - ZAKRES PRAC I MATERIAŁY POMOCNICZE
ZAKRES PRAC
1. Konfiguracja kompresji plików NTFS (polecenie compact)
2. Zabezpieczanie danych przy wykorzystaniu systemu EFS – Encrypting File System
(polecenia cipher, efsinfo)
3. Archiwizowanie i odtwarzanie danych, planowanie uruchamiania procesu – program
Backup
4. Korzystanie z plików wsadowych do tworzenia kopii zapasowych danych – polecenie
ntbackup
5. Zarządzanie programem Performance (Wydajność)
Liczba ćwiczeń: 12
MATERIAŁY POMOCNICZE
1 Wybrane informacje dotyczące zagadnień realizowanych podczas
ćwiczeń
(Zamieszczone poniżej informacje są, w przeważającej części, zmodyfikowanym wyciągiem ze stosownych,
wybranych w Help and Support Center, tematów dla systemów Windows Server 2003 w wersji polskiej i
angielskiej)
1.1 System szyfrowania plików EFS (Encrypting File System)
System szyfrowania plików EFS (Encrypting File System) zapewnia podstawową technologię szyfrowania plików
używaną do przechowywania zaszyfrowanych plików na woluminach systemu NTFS. Użytkownik pracuje z
zaszyfrowanym plikiem lub folderem podobnie jak z innymi plikami i folderami.
Szyfrowanie jest przezroczyste dla użytkownika, który zaszyfrował plik. Oznacza to, że nie musi on ręcznie
odszyfrowywać zaszyfrowanego pliku przed jego użyciem. Można otwierać i zmieniać plik tego typu tak jak inne
pliki.
System EFS jest używany podobne jak uprawnienia dotyczące plików i folderów. Obie metody mogą być
wykorzystywane do ograniczania dostępu do danych. Na przykład nie uwierzytelniona osoba, który uzyska
fizyczny dostęp do zaszyfrowanych plików lub folderów, nie będzie mogła ich odczytać. Jeżeli intruz będzie
usiłował otwierać lub kopiować zaszyfrowany plik lub folder, pojawi się komunikat informujący o odmowie
dostępu. Uprawnienia dotyczące plików i folderów nie zabezpieczają przez fizycznymi atakami nieupoważnionych
osób.
Folder lub plik można szyfrować lub odszyfrowywać, ustawiając właściwości szyfrowania folderów i plików,
podobnie jak inne atrybuty, takie jak tylko do odczytu, skompresowany lub ukryty. Podczas szyfrowania folderu
automatycznie są szyfrowane wszystkie utworzone w nim pliki i podfoldery. Zalecane jest szyfrowanie na poziomie
folderu.
Można również szyfrować lub odszyfrowywać plik lub folder, używając polecenia cipher.
Podczas pracy z zaszyfrowanymi plikami i folderami należy uwzględnić następujące informacje:
Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) WSISiZ
1
Wersja 3.2, 2006.05.17
• Można szyfrować tylko pliki i foldery znajdujące się na woluminach NTFS. Oprogramowanie WebDAV
współpracuje z systemem NTFS, dlatego jest on wymagany podczas szyfrowania plików za pomocą
programu WebDAV (Web Distributed Authoring and Versioning).
• Nie można szyfrować skompresowanych plików lub folderów. Plik lub folder, który oznaczono jako
przeznaczony do szyfrowania, zostanie wcześniej zdekompresowany.
• Zaszyfrowane pliki mogą zostać odszyfrowane po skopiowaniu lub przeniesieniu ich do woluminu, który
nie jest woluminem systemu NTFS.
• Niezaszyfrowane pliki przeniesione do zaszyfrowanego folderu są automatyczne szyfrowane w nowym
folderze. Odwrotne działanie nie powoduje jednak automatycznego odszyfrowania plików. Pliki muszą
być odszyfrowywane jawnie.
• Nie można szyfrować plików z atrybutem Systemowy oraz plików znajdujących się w głównym katalogu
systemowym.
• Zaszyfrowanie folderu lub pliku nie chroni przed usunięciem lub wyświetlaniem plików lub katalogów.
Każda osoba posiadająca odpowiednie uprawnienia może usuwać lub wyświetlać szyfrowane foldery lub
pliki. W związku z tym zalecane jest korzystanie z systemu EFS w połączeniu z uprawnieniami NTFS.
• Szyfrowane lub odszyfrowywane mogą być pliki i foldery znajdujące się na komputerze zdalnym
przystosowanym do szyfrowania zdalnego. Jeżeli jednak zaszyfrowany plik jest otwierany poprzez sieć, to
dane transmitowane przez sieć w trakcie tego procesu nie są szyfrowane. Do szyfrowania danych
transmitowanych w sieci należy używać innych protokołów, takich jak SSL/TLS (Secure Socket
Layer/Transport Layer Security) lub zabezpieczenia IPSec. Oprogramowanie WebDAV może jednak
szyfrować plik lokalnie i transmitować je w formie zaszyfrowanej.
Więcej informacji na temat systemu szyfrowania EFS znajduje się w stosownych plikach:
• \zaj13\Docs\szyfrowanie_odszyfrowywanie.doc – Wybrane aspekty szyfrowania i odszyfrowywania.
• \zaj13\Docs\zarzadzanie_certyfikatami.doc – Wybrane aspekty zarządzania certyfikatami.
• \zaj13\Docs\odzyskiwanie_danych.doc – Wybrane aspekty odzyskiwania zaszyfrowanych danych.
• \zaj13\Docs\najwazniejsze_wskazowki_efs.doc – Zalecenia dotyczące systemu EFS.
1.2 Program Kopia zapasowa (Backup) – Ntbackup.exe
Uwaga: Czynności związane z użytkowaniem programu mogą być prowadzone przez Administratora lub członków
grup Administratorzy i Operatorzy kopii zapasowych (Backup Operators). Jeśli dany komputer jest podłączony do
sieci, przeprowadzenie tej procedury mogą również uniemożliwić ustawienia zasad dla sieci.
Program Kopia zapasowa (Backup) pomaga chronić dane przed przypadkową utratą w razie awarii sprzętu lub
nośników magazynowania. Na przykład, programu Backup można użyć do utworzenia duplikatowej kopii danych
na dysku twardym, a następnie zarchiwizowania danych na innym urządzeniu magazynującym. Nośnikiem
magazynowania kopii zapasowej może być dysk logiczny, taki jak dysk twardy, lub oddzielne urządzenie
magazynujące, takie jak dysk wymienny, albo też cała biblioteka dysków lub taśm zorganizowanych i sterowanych
przez automatyczny zmieniacz. Jeśli oryginalne dane na dysku twardym zostaną przypadkowo wymazane lub
zastąpione, lub też dostęp do nich będzie niemożliwy z powodu awarii dysku twardego, można bez trudu odtworzyć
dane z zarchiwizowanej kopii.
Program Backup może sporządzać kopię woluminu w tle danych (mechanizm Volume Shadow Copies), aby
utworzyć dokładną kopię zawartości dysku twardego, włącznie z wszelkimi otwartymi plikami, które są używane
przez system. W trakcie korzystania z narzędzia Backup użytkownicy mogą nadal korzystać z systemu bez ryzyka
utraty danych.
Za pomocą programu Backup można:
• Archiwizować wybrane pliki i foldery na dysku twardym.
• Przywracać zarchiwizowane pliki i foldery na dysku twardym lub jakimkolwiek innym dostępnym dysku.
• Używać funkcji automatycznego odzyskiwania systemu do zapisywania i przywracania wszystkich plików
systemowych i ustawień konfiguracyjnych niezbędnych do odzyskania systemu po całkowitej awarii.
• Tworzyć kopie zapasowe Magazynu zdalnego i wszelkich innych danych, przechowywanych na
zainstalowanych dyskach.
• Tworzyć kopię zapasową danych o stanie systemu komputera (System State data).
• Tworzyć dziennik, w którym są rejestrowane informacje o terminie wykonania kopii zapasowej oraz
plikach, których dotyczyła ta operacja.
Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) WSISiZ
2
Wersja 3.2, 2006.05.17
• Tworzyć kopię partycji systemowej, partycji rozruchowej komputera i plików potrzebnych do
uruchomienia systemu w razie awarii komputera lub sieci.
• Planować systematyczne tworzenie kopii zapasowych, aby zarchiwizowane dane były stale aktualne.
Program Backup zapewnia proste funkcje zarządzania nośnikami, na przykład formatowanie. Bardziej
zaawansowane zadania zarządzania, takie jak instalowanie lub odinstalowanie taśmy lub dysku, są wykonywane
przez usługę nazywaną Removable Storage (Magazyn wymienny).
Uwaga
Narzędzie Backup służy do wykonywania kopii zapasowych i przywracania danych w woluminach FAT16, FAT32
lub NTFS. Jeśli jednak kopię zapasową danych wykonano z woluminu NTFS, zaleca się ich przywrócenie w
woluminie NTFS o identycznej wersji, aby zapobiec utracie danych. Niektóre systemy plików mogą nie obsługiwać
wszystkich funkcji innych systemów plików.
1.2.1 Uprawnienia i prawa użytkownika wymagane do wykonywania kopii
zapasowych i przywracania
Aby wykonywać kopie zapasowe plików i folderów, trzeba mieć określone uprawnienia lub prawa użytkownika.
Będąc członkiem grupy Administrators lub Backup Operators można wykonywać kopie zapasowe dowolnego pliku
i folderu na komputerze lokalnym, do którego stosują się zasady grupy lokalnej. Podobnie, będąc członkiem grupy
Administrators lub Backup Operators na kontrolerze domeny, można wykonywać kopie zapasowe dowolnego pliku
i folderu na dowolnym komputerze lokalnym lub w dowolnej domenie, z którą nawiązano dwukierunkowe relacje
zaufania.
Nie będąc członkiem grupy Administrators lub Backup Operators, a chcąc wykonać kopię zapasową plików, należy
być właścicielem plików i folderów, których kopia zapasowa ma być wykonana, lub należy dysponować jednym
lub kilkoma z następujących uprawnień do plików i folderów, których kopia zapasowa ma być wykonana: Read
(Odczyt), Read and Execute (Odczyt i wykonywanie), Modify (Modyfikowanie) lub Full Control (Pełna kontrola).
Należy się też upewnić, że nie istnieją żadne ograniczenia przydziałów dysku, które mogłyby uniemożliwiać dostęp
do dysku twardego. Ograniczenia te uniemożliwiają wykonanie kopii zapasowej danych. Stan ograniczeń
przydziałów dysku można sprawdzić, klikając prawym przyciskiem myszy dysk, na którym mają być zapisane dane,
a następnie klikając polecenie Properties i kartę Quota.
Można też ograniczyć dostęp do pliku kopii zapasowej, zaznaczając w oknie dialogowym Backup Job
Information (Informacje o zadaniu kopii zapasowej) opcję Allow only the owner and the Administrator access
to the backup data (Zezwalaj tylko właścicielowi i administratorowi na dostęp do danych w kopii zapasowej). Po
zaznaczeniu tej opcji pliki i foldery może przywracać tylko Administrator lub ta osoba, która utworzyła plik kopii
zapasowej.
Uwaga
• Kopię zapasową oraz przywracanie danych o stanie systemu można wykonywać tylko na komputerze
lokalnym. Nawet będąc Administratorem na komputerze zdalnym, nie można wykonać kopii zapasowej ani
przywrócić danych o stanie systemu na tym komputerze.
1.2.2 Typy kopii zapasowych
Program Kopia zapasowa (Backup) obsługuje pięć metod tworzenia kopii zapasowych danych na komputerze lub
w sieci.
Kopia zapasowa typu Kopia (Copy backup)
Wybór tego typu kopii zapasowej powoduje, że są kopiowane wszystkie zaznaczone pliki, ale nie każdy plik jest
oznaczany jako taki, którego kopię zapasową wykonano (innymi słowy, atrybut archiwizacji nie jest czyszczony).
Jest to przydatne wtedy, gdy zaistnieje potrzeba wykonania kopii zapasowej plików między wykonywaniem
normalnych i przyrostowych kopii zapasowych, ponieważ kopiowanie nie ma wpływu na to, jak są przeprowadzane
inne operacje kopii zapasowych.
Codzienna kopia zapasowa (Daily backup)
Wybór tego typu kopii zapasowej powoduje, że są kopiowane wszystkie zaznaczone pliki, których zawartość
modyfikowano w dniu wykonywania codziennej kopii zapasowej. Pliki, których kopie zapasowe wykonano, nie są
oznaczane jako pliki, których kopie zapasowe wykonano (innymi słowy, atrybut archiwizacji nie jest czyszczony).
Różnicowa kopia zapasowa (Differential backup)
Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) WSISiZ
3
Wersja 3.2, 2006.05.17
Wybór tego typu kopii zapasowej powoduje, że są kopiowane te pliki, które zostały zmodyfikowane lub utworzone
od momentu wykonania ostatniej normalnej lub przyrostowej kopii zapasowej. W metodzie tej pliki nie są
oznaczane jako takie, których kopie zapasowe wykonano (innymi słowy, atrybut archiwizacji nie jest czyszczony).
Wykonując kombinację normalnych i różnicowych kopii zapasowych, przy przywracaniu plików i folderów należy
dysponować zarówno ostatnią normalną, jak i ostatnią różnicową kopią zapasową.
Przyrostowa kopia zapasowa (Incremental backup)
Wybór tego typu kopii zapasowej powoduje, że są wykonywane kopie zapasowe tylko tych plików, które zostały
utworzone lub zmodyfikowane od momentu wykonania ostatniej normalnej lub przyrostowej kopii zapasowej. W
metodzie tej pliki oznaczane są jako takie, których kopie zapasowe zostały wykonane (innymi słowy, atrybut
archiwizacji jest czyszczony). Przy wykonywaniu kombinacji normalnych i przyrostowych kopii zapasowych, aby
przywracać dane, należy dysponować ostatnim normalnym zestawem kopii zapasowych oraz wszystkimi zestawami
przyrostowych kopii zapasowych.
Normalna kopia zapasowa (Normal backup)
Wybór tego typu kopii zapasowej powoduje, że są kopiowane wszystkie zaznaczone pliki, a ponadto są one
oznaczane jako takie, których kopie zapasowe zostały wykonane (innymi słowy, atrybut archiwizacji jest
czyszczony). Aby przywrócić wszystkie pliki, wystarczy dysponować tylko ostatnią kopią pliku lub taśmy z kopią
zapasową. Normalną kopię zapasową wykonuje się zwykle wtedy, gdy zestaw kopii zapasowych jest tworzony po
raz pierwszy.
Tworząc kopie zapasowe danych z użyciem kombinacji normalnych i przyrostowych kopii zapasowych, w
minimalnym stopniu wykorzystuje się ilość miejsca na nośniku. Jest to też najszybsza metoda tworzenia kopii
zapasowych. Jednak odzyskiwanie plików może być wtedy czasochłonne i trudne do wykonania, ponieważ zestaw
kopii zapasowych może być przechowywany na kilku dyskach lub na kilku taśmach.
Tworząc kopie zapasowe danych z użyciem kombinacji normalnych i różnicowych kopii zapasowych, należy się
liczyć z tym, że jest to operacja bardzo czasochłonna, szczególnie wtedy, gdy dane są często modyfikowane.
Łatwiej jest jednak wtedy przywracać dane, ponieważ zestaw takich kopii zapasowych jest przechowywany tylko
na kilku dyskach lub taśmach.
1.2.3 Kopiowanie woluminów w tle (Volume Shadow Copy)
Program Backup pozwala tworzyć kopie zapasowe kopii woluminów w tle oraz dokładne chwilowe kopie plików,
w tym wszystkich otwartych plików. Na przykład w czasie wykonywania kopii zapasowej kopii woluminu w tle w
kopii zapasowej są zapisywane bazy danych, które są otwarte w trybie wyłączności, i pliki, które są otwarte z
powodu działań operatora lub systemu. W ten sposób są poprawnie kopiowane pliki, które zostały zmienione w
czasie wykonywania kopii zapasowej.
Kopie zapasowe kopii w tle dają pewność, że:
• Aplikacje mogą kontynuować zapisywanie danych do woluminu w czasie wykonywania kopii zapasowej.
• Otwarte pliki nie są już pomijane w czasie wykonywania kopii zapasowej.
• Kopie zapasowe mogą być wykonywane w dowolnym czasie, bez blokowania użytkowników.
W przypadku niektórych aplikacji spójność magazynu jest obsługiwana inaczej, gdy są otwarte pliki, a to może
mieć wpływ na spójność plików w kopii zapasowej. Gdy jakaś aplikacja ma istotne znaczenie, warto sięgnąć do jej
dokumentacji lub zwrócić się do jej dostawcy, aby uzyskać informacje o zalecanej metodzie wykonywania kopii
zapasowych. W razie wątpliwości lepiej zamknąć aplikację przed rozpoczęciem wykonywania kopii zapasowej.
Kopie zapasowe powinny być wykonywane w czasie niewielkiego obciążenia serwera. Na przykład można je
wykonywać w nocy.
1.2.4 Opcje wykonywania kopii zapasowej
Informacje są zawarte w pliku \zaj13\Opcje_kopii_zapasowych.doc.
1.2.5 Zaawansowane opcje wykonywania kopii zapasowej
Informacje są zawarte w pliku \zaj13\Zaawansowane_opcje_kopii_zapasowej.doc.
1.2.6 Najważniejsze wskazówki dotyczące kopii zapasowych
• Opracowanie zasad tworzenia kopii zapasowych i przywracania danych oraz ich testowanie.
Dobry plan zapewnia szybkie przywrócenie danych w razie ich utraty.
• Przeszkolenie personelu.
W sieciach o minimalnym i średnim poziomie zabezpieczeń należy przydzielić prawa do tworzenia kopii
zapasowych jednemu użytkownikowi, a prawa do przywracania danych innemu użytkownikowi.
Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) WSISiZ
4
Wersja 3.2, 2006.05.17
Pracowników z prawem do przywracania danych należy przeszkolić, tak by potrafili wykonać wszystkie
zadania przywracania danych, w razie gdyby administrator był nieosiągalny.
W sieciach o wysokim poziomie zabezpieczeń pliki powinni przywracać wyłącznie Administratorzy.
• Wykonanie kopii zapasowych wszystkich danych na woluminach systemowych i rozruchowych oraz
danych o stanie systemu.
Kopie zapasowe danych na wszystkich woluminach oraz danych o stanie systemu należy wykonać
jednocześnie. W ten sposób system zostanie przygotowany do nieoczekiwanej awarii dysku.
• Utworzenie zestawu automatycznego odzyskiwania systemu za pomocą programu Backup.
Zestaw kopii zapasowych automatycznego odzyskiwania systemu (zestaw ASR) należy tworzyć przed
każdą planowaną, lecz jeszcze nie sprawdzoną w środowisku testowym, poważniejszą zmianą w systemie.
Dotyczy to na przykład instalowania nowego sprzętu, sterowników, uaktualnień lub pakietów Service
Pack. Taki zestaw winno się ponownie utworzyć po pozytywnym zakończeniu wyżej wspomnianych
zmian. Zestaw ASR znacznie ułatwia odzyskiwanie danych po awarii systemu. W tym samym czasie
należy utworzyć kopie zapasowe wszystkich woluminów z danymi. Zestaw ASR chroni tylko system, a
zatem kopie zapasowe woluminów z danymi powinny zostać wykonane oddzielnie.
• Utworzenie dziennika kopii zapasowych.
Dla każdej kopii zapasowej należy utworzyć dziennik i wydrukować go. Księgę dzienników należy
przechowywać, by łatwiej było zlokalizować określone pliki. Dziennik kopii zapasowych przydaje się do
przywracania danych; można go wydrukować lub odczytać w dowolnym edytorze tekstów. Jeśli taśma
zawierająca wykaz zestawów kopii zapasowych jest uszkodzona, wydruk dziennika może pomóc w
zlokalizowaniu pliku.
• Przechowywanie kopii.
Należy zachować co najmniej trzy kopie nośnika. Przynajmniej jedna kopia powinna być przechowywana
w innym miejscu w starannie kontrolowanym środowisku.
• Próbne przywracanie danych.
Należy okresowo przeprowadzać próbne przywracanie danych, aby sprawdzić, czy kopie zapasowe zostały
wykonane poprawnie. Próbne przywracanie danych może ujawnić problemy ze sprzętem, które nie zostały
wykryte podczas weryfikacji programowej.
• Zabezpieczenie urządzeń i nośnika.
Należy zabezpieczyć urządzenia pamięci masowej, a także nośniki kopii zapasowych. Jest możliwe, że
ktoś ukradnie nośnik i uzyska dostęp do danych, przywracając je na innym serwerze, którym administruje.
• Korzystanie z domyślnej kopii zapasowej kopii woluminu w tle.
Nie należy wyłączać domyślnej metody wykonywania kopii zapasowej kopii woluminu w tle i używać
metody wykonywania kopii zapasowych, która obowiązywała w systemach poprzedzających system
Windows Server 2003. Jeśli wymieniona wyżej metoda zostanie wyłączona, w trakcie wykonywania kopii
zapasowej mogą zostać pominięte otwarte pliki lub pliki używane przez system podczas wykonywania
kopii zapasowej.
1.2.7 Magazyn zdalny (Remote Storage) i Magazyn wymienny (Removable
Storage)
Magazyn zdalny korzysta z Magazynu wymiennego przy dostępie do nośników w bibliotece, które są używane
przez magazyn zdalny.
Magazyn zdalny może obsługiwać automatyczną bibliotekę z wieloma stacjami, ale tylko wtedy, gdy wszystkie
stacje są takie same. W takiej bibliotece automatycznej Magazyn zdalny może uzyskać dostęp do co najmniej
dwóch stacji jednocześnie. Jeżeli biblioteka automatyczna zawiera co najmniej dwie stacje, Magazyn zdalny może
jednocześnie kopiować i pobierać dane z dwóch różnych taśm lub dysków.
Wszystkie taśmy lub dyski magazynu zdalnego używane przez Magazyn zdalny znajdują się w jednej puli
nośników aplikacji, która jest automatycznie tworzona podczas instalacji Magazynu zdalnego. Za pomocą
Magazynu wymiennego można sprawdzić, czy odpowiednie nośniki zostały przeniesione do puli wolnych
nośników, aby w razie potrzeby Magazyn zdalny mógł użyć taśm lub dysków znajdujących się w tej puli. Nie
można przenosić taśm lub dysków z puli nośników aplikacji Magazynu zdalnego do puli nośników innej aplikacji.
Magazyn zdalny może obsługiwać tylko jeden typ taśmy lub dysku do zdalnego przechowywania danych.
Obsługiwany typ należy określić po uruchomieniu Kreatora instalacji magazynu zdalnego. Typu taśmy nie można
później zmienić.
Odwoływanie danych z magazynu zdalnego może zająć więcej czasu niż zwykle. Opóźnienie zależy od kilku
czynników:
• tego, czy taśma (lub dysk) jest już zainstalowana w stacji;
Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) WSISiZ
5
Wersja 3.2, 2006.05.17
• szybkości instalowania taśmy lub dysku przez bibliotekę;
• dostępności taśm lub dysków i stacji w bibliotece;
• tego, czy oczekują inne odwołania plików.
Należy zauważyć, że kiedy dane są odwoływane, są wówczas kopiowane z powrotem na oryginalny wolumin, a
plik znów zajmuje miejsce na dysku.
Magazyn zdalny nie obsługuje taśm QIC jako zdalnych nośników przechowywania.
Nośniki używane przez Magazyn zdalny zawierają tylko dane, które zostały skopiowane z woluminów
zarządzanych. Biblioteka może jednak zawierać dodatkowe nośniki używane przez inne aplikacje, takie jak
program Kopia zapasowa.
Magazyn zdalny nie obsługuje odwoływania danych dla woluminu, który był zarządzany w różnym czasie przez
dwie różne instalacje Magazynu zdalnego.
1.2.8 Automatyczne odzyskiwanie systemu ASR (Automated System Recovery)
Informacje zawarto w materiałach pomocniczych do Zajęć 2 i zamieszczonej tam stosownej prezentacji. Dla
przypomnienia przytoczono je teraz w pliku \zaj13\Docs\ASR.doc. Dodatkowe informacje zawarto w pliku
\zaj13\Docs\Przywracanie_ASR.doc.
1.2.9 Dane o stanie systemu (System State data)
Program Backup pozwala wykonać kopię zapasową stanu systemu za pomocą wykonania kopii zapasowych i
przywrócenia następujących składników systemu:
Component (Składnik)
When this component is included in System
State? (Kiedy składnik ten wchodzi w skład
danych o stanie systemu?)
Registry (Rejestr)
Always (Zawsze)
COM+ Class Registration database (Baza danych
COM+ Class Registration)
Always (Zawsze)
Boot files, including the system files (Pliki rozruchowe,
łącznie z plikami systemowymi)
Always (Zawsze)
Certificate Services database (Baza danych usług
certyfikacji)
If it is a Certificate Services server (Jeśli jest serwerem
usług certyfikacji)
Active Directory directory service (Usługa katalogowa
Active Directory)
If it is a domain (Jeśli jest domeną)
SYSVOL directory (Katalog SYSVOL)
Only if it is a domain controller (Tylko jeśli jest
kontrolerem domeny)
Cluster service information (Informacje o usłudze
klastrowania)
If it is within a cluster (Jeśli znajduje się w klastrze)
IIS Metadirectory (Metakatalog usługi IIS)
If it is installed (Jeśli jest zainstalowany)
System files that are under Windows File Protection
(Pliki systemowe, które są objęte ochroną plików
systemu Windows)
Always (Zawsze)
Te wszystkie składniki systemu są traktowane jako dane o stanie systemu. Szczegółowy zestaw składników
systemu, które tworzą dane o stanie systemu komputera, zależy od systemu operacyjnego komputera i jego
konfiguracji.
Szerszy opis tego zagadnienia znajduje się w pliku \zaj13\Docs\Dane_o_stanie_systemu.doc.
1.2.10 Przywracanie autorytatywne, podstawowe i normalne (Authoritative
restore, primary and normal restores)
Jeśli jest używany program Backup usług rozproszonych, które stanowią część danych o stanie systemu (np. dane
usługi katalogowej Active Directory), mogą być przywracane przy użyciu jednej z trzech metod:
• Primary restore (Przywracanie podstawowe)
• Normal (nonauthoritative) restore (Przywracanie normalne (nieautorytatywne))
• Authoritative restore (Przywracanie autorytatywne)
Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) WSISiZ
6
Wersja 3.2, 2006.05.17
Aby zrozumieć istotę każdej z metod przywracania danych, należy uświadomić sobie, jak narzędzie Backup
wykonuje kopie zapasowe danych dla usług rozproszonych. Podczas wykonywania kopii zapasowej danych o stanie
systemu na kontrolerze domeny tworzona jest kopia zapasowa wszystkich danych usługi Active Directory, jakie
istnieją na tym serwerze (razem z innymi składnikami systemu, takimi jak katalog SYSVOL i Rejestr). Aby
przywrócić na tym serwerze te usługi rozproszone, należy przywrócić dane o stanie systemu. Niemniej jednak
wybór metody przywracania zależy od liczby i konfiguracji działających w systemie kontrolerów domeny. Na
przykład jeśli zachodzi potrzeba odwrócenia replikowanych wcześniej zmian usługi Active Directory, a w firmie
użytkownika działa więcej niż jeden kontroler domeny, trzeba będzie wybrać metodę przywracania
autorytatywnego, bo ta metoda zapewnia replikowanie przywróconych danych na wszystkie serwery. Jeśli jednak
zachodzi potrzeba przywrócenia danych usługi Active Directory na autonomicznym kontrolerze domeny lub na
pierwszym spośród kilku kontrolerów domeny, trzeba będzie przeprowadzić przywracanie podstawowe. Jeśli
zachodzi potrzeba przywrócenia danych usługi Active Directory na jednym tylko kontrolerze domeny, przy czym
chodzi o system, w którym dane usługi Active Directory mają swoje repliki na kilku kontrolerach domeny, można
zastosować metodę przywracania normalnego (przy założeniu, że przywracane dane nie muszą być replikowane na
wszystkie serwery).
Szerszy opis tego zagadnienia znajduje się w pliku \zaj13\Docs\Przywracanie.doc.
1.2.11 Kompresja plików
Kompresja plików, folderów i programów pozwala zmniejszyć ich rozmiary, a tym samym ilość miejsca, które
zajmują na dyskach lub wymiennych nośnikach urządzeń pamięci masowej. Kompresując dysk, zmniejsza się ilość
miejsca wykorzystywanego przez wszystkie, przechowywane na nim pliki i foldery.
System Windows obsługuje dwa typy kompresji: kompresję NTFS i kompresję przy użyciu funkcji Foldery
skompresowane (spakowane).
Kompresja NTFS
• Jeśli dysk nie jest dyskiem NTFS, opcja ta jest niedostępna.
• Przy użyciu kompresji NTFS można kompresować poszczególne pliki i foldery, jak również całe dyski
NTFS.
• Folder można skompresować bez kompresowania jego zawartości.
• Na skompresowanych plikach NTFS można pracować bez ich dekompresowania.
• Aby skompresowane pliki i foldery NTFS było łatwiej identyfikować, ich nazwy można wyświetlać innym
kolorem.
• Pracując ze skompresowanymi plikami NTFS, można zauważyć spadek wydajności. Gdy użytkownik
otwiera plik skompresowany, system Windows automatycznie dekompresuje go, a gdy użytkownik
zamyka ten plik, system Windows ponownie go kompresuje. Proces ten może obniżyć wydajność
komputera.
• Pliki i foldery poddane kompresji NTFS pozostają skompresowane tylko wtedy, gdy są przechowywane na
dysku NTFS.
• Pliku poddanego kompresji NTFS nie można zaszyfrować.
Foldery skompresowane (spakowane) – Compressed (zipped) Folders
• Pliki i foldery poddane kompresji przy użyciu funkcji Foldery skompresowane (spakowane) pozostają
skompresowane zarówno na dyskach FAT, jak i NTFS.
• Niektóre programy można uruchomić bezpośrednio z tych folderów skompresowanych, bez ich
dekompresowania. Pliki również mogą być otwierane bezpośrednio z folderów skompresowanych.
• Pliki i foldery skompresowane mogą być przenoszone na dowolny dysk lub do dowolnego folderu na
komputerze, w Internecie lub w sieci, a ponadto są one zgodne z innymi programami do kompresowania
plików.
• Foldery skompresowane przy użyciu tej funkcji są oznaczane specjalną ikoną.
• Kompresowanie plików przy użyciu funkcji Foldery skompresowane (spakowane) nie obniża wydajności
komputera.
Aby kompresować poszczególne pliki przy użyciu funkcji Foldery skompresowane, należy utworzyć folder
skompresowany i przenieść lub skopiować pliki do niego.
Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) WSISiZ
7
Wersja 3.2, 2006.05.17
ZAJĘCIA 13 - ĆWICZENIA
Ćwiczenie 1 (Przygotowania)
1. Zalogować się jako Administrator w Windows Server 2003, Instalacja standardowa.
2. Z zasobów WS2003Lab skopiować do katalogu głównego partycji podstawowej D: lokalnego dysku cały folder
\\oceanic\staff\ws2003lab\lab2006\zaj13 z zachowaniem jego nazwy zaj13.
Skopiować również, do foldera d:\zaj13, z systemu UBI Szkoły plik \ws2003lab\lab2006\zajecia13.doc.
3. Utworzyć nowe konta (konta winny należeć do grupy Users) użytkowników bilbo-grupa z hasłem bilbo
i elf-grupa z hasłem elf, gdzie grupa jest nazwą grupy odbywającej ćwiczenia – np. dla grupy id213 nazwa
konta to: bilbo-id213 – zastosować polecenie net user
(np. net user bilbo-grupa bilbo /add).
4. Utworzyć nową konsolę MMC zawierającą przystawkę Certificates z pozostawieniem domyślnego ustalenia
My user account. Dodać również przystawkę Group Policy Object Editor dla lokalnego komputera. Zapisać
konsolę, w domyślnej lokalizacji, jako grupa.msc, gdzie grupa jest nazwą grupy odbywającej ćwiczenia.
5. Dla potrzeb bieżących zajęć konieczne jest dysponowanie partycją z systemem plików FAT32. Komputery w
sali zajęciowej nie posiadają, w swej domyślnej konfiguracji, partycji FAT32.
Należy utworzyć partycję FAT32 o rozmiarze 100 MB, literze napędu E, wykorzystując obszar (!!! nie należy
wykorzystywać innego niż wskazany obszaru!!!) 478 MB Healthy (Unknown Partition) dysku w niżej
podany (dla przypomnienia) sposób.
Z menu kontekstowego My Computer wybrać Manage a następnie Disk Management.
Z menu kontekstowego obszaru 478 MB Healthy (Unknown Parition) dysku wybrać Delete Partition...
(zatwierdzić ostrzeżenie).
Z menu kontekstowego obszaru 478 MB Unallocated wybrać New Partition...
W uruchomionym kreatorze wybrać typ partycji: Primary partition i rozmiar partycji 100 MB.
W oknie Assign Drive Letter or Path wybrać literę E.
W oknie Format Partition wybrać File system: FAT32 i zaznaczyć pole Perform a Quick Format.
Ćwiczenie 2 (Kompresowanie foldera na komputerze lokalnym przy użyciu kompresji plików
NTFS)
Uwaga: Kompresja plików NTFS jest alternatywą dla wbudowanej w system Windows Server 2003 funkcji
Compressed (zipped) Folders (Foldery skompresowane (zip)). Z tej funkcji można skorzystać wybierając z menu
podręcznego pliku lub foldera Send To – Compressed (zipped) Folders.
.
Część I: Kompresja foldera
1. Wybrać z menu kontekstowego foldera d:\zaj13\compress polecenie Properties. Zanotować na kartce wartości
parametrów, na karcie General, Size: i Size on disk: dla tego foldera.
2. W oknie compress Properties, na karcie General wybrać przycisk Advanced...
3. W oknie Advanced Attributes, w sekcji Compress or Encrypt attributes zaznaczyć pole Compress
contents to save disk space i wybrać przycisk OK, a następnie Apply.
4. W pojawiającym się oknie Confirm Attribute Changes zaznaczyć pole Apply changes to this folder,
subfolders and files i wybrać przycisk OK. Po pewnym czasie zamiany zostają zastosowane i można
zauważyć, na karcie General, że dla parametru Size on disk: wielkość zajmowanego przez folder miejsca na
dysku uległa redukcji. Zamknąć okno właściwości foldera d:\zaj13\compress stosując OK.
Część II: Otwieranie pliku skompresowanego
5. Dwukrotnie kliknąć na pliku d:\zaj13\compress\pict1.tif. Plik został otwarty w Windows Picture and Fax
Viewer. Zauważyć, że użytkownik nie obserwuje operacji dekompresji (przy otwieraniu większych plików
może być odczuwalne spowolnienie procesu otwierania).
Zamknąć otwarty plik i zauważyć, że jego nazwa, przez cały czas wyświetlana jest kolorem niebieskim
oznaczającym stan skompresowany.
Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) WSISiZ
8
Wersja 3.2, 2006.05.17
Część III: Próba kompresji foldera na partycji FAT32
6. Podjąć próbę kompresji jakiegokolwiek pliku lub foldera skopiowanego na dysk E:. Próba winna się
zakończyć niepowodzeniem, ponieważ partycja E: została sformatowana w systemie plików FAT32, dla
którego
(z definicji) niemożliwe jest stosowanie kompresji NTFS.
Ćwiczenie 3 (Wpływ przenoszenia i kopiowania plików na status kompresji)
Część I: Kopiowanie pliku skompresowanego do foldera nieskompresowanego na woluminie NTFS
1. Skopiować plik d:\zaj13\compress\pict1.tif do foldera d:\zaj13.
Po dokonaniu tej operacji plik d:\zaj13\pict1.tif uległ automatycznej dekompresji (zauważyć zmianę koloru
nazwy pliku).
Część II: Przenoszenie pliku skompresowanego do foldera nieskompresowanego na tym samym woluminie NTFS
2. Przenieść plik d:\zaj13\compress\pict2.tif do foldera d:\zaj13.
Po dokonaniu tej operacji plik d:\zaj13\pict2.tif pozostał w stanie skompresowanym.
Część III: Kopiowanie pliku nieskompresowanego do foldera skompresowanego na woluminie NTFS
3. Skopiować plik d:\zaj13\zajecia13.doc do foldera d:\zaj13\compress.
Po dokonaniu tej operacji plik d:\zaj13\compress\ zajecia13.doc automatycznie uległ kompresji.
Część IV: Kopiowanie skompresowanych plików z woluminu NTFS na wolumin FAT32.
4. Skopiować plik d:\zaj13\compress\pict1.tif na dysk E:.
Zauważyć, że po przeprowadzeniu tej operacji plik e:\ pict1.tif uzyskuje status pliku nieskompresowanego.
Ćwiczenie 4 (Wykorzystanie polecenia compact do kompresji lub dekompresji plików lub
folderów)
Część I: Kompresja pliku
1. W Command Prompt przejść do foldera d:\zaj13.
Wprowadzić polecenie:
compact /?
i zapoznać się z jego składnią.
2. Wyświetlić stan kompresji plików i podfolderów bieżącego foldera (d:\zaj13) poleceniem:
compact
Zauważyć, że, po skutecznym wykonaniu polecenia podawane są różne informacje, również stopień kompresji
(np. dla pliku pict2.tif stopień kompresji wynosi 16 : 1)
Dla porównania obejrzeć informacje dotyczące foldera d:\zaj13\compress wydając polecenie:
compact /s:compress
3. Dokonać kompresji pliku d:\zaj13\zajecia13.doc wprowadzająd:
compact /c zajecia13.doc
Sprawdzić skuteczność dokonanej operacji wydając polecenie compact.
Część II: Dekompresja pliku
4. W otwartym oknie Command Prompt wprowadzić polecenie:
compact /u zajecia13.doc
Sprawdzić skuteczność dokonanej operacji dekompresji wydając polecenie compact.
Ćwiczenie 5 (Szyfrowanie plików i folderów przy wykorzystaniu systemu EFS – Encrypting
File System)
Część I: Szyfrowanie pliku i foldera
1. Zalogować się jako bilbo-grupa. Utworzyć folder d:\bilbo-grupa i przekopiować do tej lokalizacji podfolder
d:\zaj13\confidential.
Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) WSISiZ
9
Wersja 3.2, 2006.05.17
2. Z menu kontekstowego pliku d:\bilbo-grupa\confidential\conf1.txt wybrać polecenie Properties.
3. W oknie conf1 Properties, na karcie General wybrać przycisk Advanced...
4. W oknie Advanced Attributes zaznaczyć pole Encrypt Contents to secure data i wybrać przycisk OK.
Wybrać przycisk OK, aby zamknąć okno conf1 Properties.
5. W oknie Encryption Warning zaznaczyć pole Encrypt the file only i użyć przycisku OK.
Sprawdzić, czy nadal istnieje możliwość odczytu zawartości pliku d:\bilbo-grupa\confidential\conf1.txt (winna
istnieć) i zamknąć ten plik. Zauważyć fakt oznaczenia kolorem zielonym zaszyfrowanego pliku. Wylogować
się.
6. Zalogować się jako elf-grupa, utworzyć folder d:\elf-grupa i przekopiować do tej lokalizacji podfolder
d:\zaj13\confidential. Dokonać szyfrowania folderu d:\elf-grupa\confidential wybierając w Properties dla tego
foldera Advanced... – Encrypt Contents to secure data i przycisk OK. Wybrać przycisk OK, aby zamknąć
okno confidential Properties.
7. W oknie Confirm Attribute Changes zaznaczyć pole Apply changes to this folder, subfolders and files i
użyć przycisku OK. Zauważyć fakt oznaczenia kolorem zielonym zaszyfrowanego foldera.
Część II: Sprawdzenie możliwości otwarcia zaszyfrowanego pliku i jego kopiowania oraz przenoszenia przez
innych członków różnych grup lokalnych
8. Będąc zalogowanym jako elf-grupa sprawdzić możliwość otwarcia pliku
d:\bilbo-grupa\confidential\conf1.txt. Podczas tej próby winno pojawić się okno z komunikatem o braku
dostępu do pliku (Access is denied). Należy zatwierdzić ostrzeżenie oraz zamknąć okno programu Notepad.
Podjąć próbę przeniesienia pliku d:\bilbo-grupa\confidential\conf1.txt do foldera d:\elf-grupa. Próba nie
powinna się udać.
Sprawdzić możliwość kopiowania pliku d:\bilbo-grupa\confidential\conf1.txt na dyskietkę. Próba nie powinna
się udać.
9. Utworzyć folder elf-grupa na partycji E: (FAT32). Podjąć próbę skopiowania pliku
d:\bilbo-grupa\confidential\conf1.txt zaszyfrowanego przez innego użytkownika do foldera e:\elf-grupa. Próba
nie powinna się udać.
Podjąć próbę skopiowania pliku d:\elf-grupa\confidential\conf1.txt do foldera e:\elf-grupa. Podczas
wykonywania próby pojawia się okno Encrypted File z komunikatem, że plik conf1.txt nie może zostać
skopiowany lub przeniesiony bez utraty atrybutu zaszyfrowania. Wybrać przycisk Ignore.
Rezultatem tej operacji jest przekopiowanie zaszyfrowanego pliku na partycję FAT32 z jego rozszyfrowaniem.
Wylogować się.
10. Zalogować się jako Administrator. Sprawdzić możliwość otwierania pliku d:\bilbo-
grupa\confidential\conf1.txt.
Próba nie powinna się udać. W systemie autonomicznego serwera, domyślnie nie istnieje agent odzyskiwania
zaszyfrowanych, przez innych użytkowników, plików. Wylogować się.
Ćwiczenie 6 (Dodawanie użytkownika, który może w sposób przezroczysty uzyskiwać dostęp
do zaszyfrowanego pliku i sporządzanie kopii zapasowej certyfikatu oraz klucza
publicznego
użytkownika przez użytkownika szyfrującego plik)
Część I: Dodawanie użytkownika, który może w sposób przezroczysty uzyskiwać dostęp do zaszyfrowanego pliku
1. Zalogować się jako bilbo-grupa i wybrać z Properties dla pliku d:\bilbo-grupa\confidential\conf1.txt
Advanced... – Details.
2. W oknie Encryption Details for D:\bilbo-grupa\confidential\conf1.txt dla sekcji Users Who Can
Transparently Access This File: użyć przycisku Add…
3. Udzielić dostępu do pliku użytkownikowi elf-grupa zaznaczając w oknie Select User pozycję certyfikatu dla
elf-grupa (zauważyć brak wpisu dla konta Administrator) i używając przycisku OK.
Uwaga 1: Brak wpisu o użytkowniku Administrator wynika z faktu, że nie użył do tej pory funkcji szyfrowania
(użytkownik elf-grupa użył jej w poprzednim ćwiczeniu i posiada certyfikat) i nie posiada jeszcze certyfikatu
oraz klucza publicznego.
Uwaga 2: Dodanie użytkownika elf-grupa, który może w sposób przezroczysty uzyskiwać dostęp do
zaszyfrowanego pliku nie jest jednoznaczne z przyznaniem mu roli agenta odzyskiwania. Użytkownik może
jedynie korzystać z przywileju używania określonego pliku (conf1.txt), co nie dotyczy wszystkich
szyfrowanych w systemie plików.
Część II: Eksportowanie certyfikatu oraz klucza publicznego użytkownika przez użytkownika szyfrującego plik
Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) WSISiZ
10
Wersja 3.2, 2006.05.17
4. Użytkownik może samodzielnie odzyskać zaszyfrowany plik lub folder, jeżeli przechowywał kopię zapasową
certyfikatu szyfrowania pliku i klucz prywatny w pliku *.pfx na dyskietce. Może to być szczególnie przydatne,
gdy użytkownik np. podczas operacji zmiany swego hasła nie zastosował opcji tworzenia dysku Password
Recovery Disk. Może wtedy skorzystać z przystawki Certificates i dodać klucze certyfikatów zawarte na
dyskietce.
W otwartym oknie Encryption Details for D:\bilbo-grupa\confidential\conf1.txt zaznaczyć pozycję dla
bilbo-grupa(bilbo-grupa@SZXXX) i użyć przycisku Backup Keys.
5. W pierwszym oknie kreatora Certificate Export Wizard użyć przycisku Next.
6. W oknie Export File Format pozostawić domyślnie zaznaczone opcje Personal Information Exchange –
PKCS # 12 (.PFX) i Enable strong protection (requires IE 5.0, NT 4.0 SP4 or above) a następnie użyć
Next.
7. W oknie Password dwukrotnie wprowadzić hasło klucze i użyć Next.
8. Włożyć do napędu sformatowaną dyskietkę.
W oknie File to Export wprowadzić w polu File name: a:\bilbo-grupa i użyć Next. W końcowym oknie
kreatora użyć przycisku Finish. Zaakceptować komunikat o sukcesie operacji eksportu. Zamknąć,
potwierdzając wszystkie okna dotyczące właściwości pliku d:\bilbo-grupa\confidential\conf1.txt.
Ćwiczenie 7 (Wyświetlanie stanu szyfrowania plików – polecenia cipher i narzędzie Windows
Support Tools – efsinfo.exe)
1. Zalogować się jako Administrator i w Command Prompt wydać polecenie.
cipher /?
i zapoznać się z jego składnią.
2. Wyświetlić stan szyfrowania plików w folderze d:\bilbo-grupa\confidential poleceniem:
cipher d:\bilbo-grupa\confidential\*
Zauważyć, że, w pojawiających się informacjach podawany jest (z lewej strony linii opisującej plik) stan U lub
E
. Litera E świadczy o zaszyfrowaniu pliku a litera U o braku szyfrowania.
3. W otwartym oknie Command Prompt wprowadzić polecenie:
d:\zaj13\efsinfo /?
i zapoznać się z jego składnią.
4. Wyświetlić stan szyfrowania plików w folderze d:\bilbo-grupa\confidential poleceniem:
d:\zaj13\efsinfo d:\bilbo-grupa\confidential\*
Zauważyć, że, po skutecznym wykonaniu polecenia podawane są różne informacje, m.in. kto może
odszyfrować plik. W tym przypadku, dla wpisu o pliku conf1.txt, znajduje się informacja o możliwości
odszyfrowaniu przez użytkownika bilbo-grupa i elf-grupa.
Natomiast, po wydaniu polecenia:
d:\zaj13\efsinfo /r d:\bilbo-grupa\confidential\*
pojawia się informacja o braku agenta odzyskiwania (Recovery Agent).
Ćwiczenie 8 (Dodawanie agenta odzyskiwania dla konta komputera lokalnego
i implementowanie go do systemu)
Uwaga: W serwerze autonomicznym, domyślnie, nie ma żadnego agenta odzyskiwania.
Część I: Tworzenie certyfikatu odzyskiwania plików
1. Utworzyć w Command Prompt klucze o nazwie agent, w folderze d:\zaj13, niezbędne do utworzenia agenta
odzyskiwania poleceniem:
cipher /r:d:\zaj13\agent
W pojawiającym się komunikacie o haśle zabezpieczającym plik .PFX dwukrotnie wprowadzić agent.
W wyniku tej operacji zostały utworzone dwa pliki: d:\zaj13\agent.pfx zawierający certyfikat i klucz prywatny
oraz d:\zaj13\agent.cer zawierający wyłącznie certyfikat.
Część II: Importowanie agenta odzyskiwania do zasady systemu EFS
2. Otworzyć konsolę grupa.msc i wybrać Local Computer Policy – Computer Configuration – Windows
Settings – Security Settings – Public Keys Policies – Encrypting File System. W oknie szczegółów, gdy w
systemie po raz pierwszy definiowana jest zasada Encrypting File System, pojawia się informacja No
Encrypting File System Policies Definied (Nie zdefiniowano zasad systemu szyfrowania plików).
Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) WSISiZ
11
Wersja 3.2, 2006.05.17
3. Z menu kontekstowego Encrypting File System wybrać Add Data Recovery Agent... i w pierwszym oknie
kreatora Add Recovery Agent Wizard użyć Next.
4. W oknie Select Recovery Agents użyć przycisku Browse Folders... i w oknie Open wybrać plik agent.cer z
lokalizacji d:\zaj13 a następnie użyć Open.
5. W pojawiającym się oknie komunikatu Add Recovery Agents wyświetlana jest informacja o tym, że m.in.,
system nie może ustalić, czy certyfikat został odwołany. Zatwierdzić komunikat.
W oknie Select Recovery Agent pojawia się, w sekcji Recovery agents:, w kolumnie Users pozycja
USER_UNKNOWN z certyfikatem Administratora. Dodanie agenta odzyskiwania z pliku identyfikuje
użytkownika właśnie jako USER_UNKNOWN ponieważ w pliku agent.cer nie jest przechowywana nazwa
użytkownika.
6. W oknie Select Recovery Agent użyć przycisku Next a w końcowym oknie kreatora Finish.
Część III: Importowanie klucza publicznego agenta odzyskiwania
7. Dokonanie importu agenta odzyskiwania do zasady systemu EFS jest warunkiem koniecznym lecz jeszcze nie
wystarczającym by agent odzyskiwania mógł odszyfrowywać szyfrowane od tego momentu pliki.
W otwartym oknie konsoli grupa.msc otworzyć kontener Certificates – Current User – Personal. Z menu
kontekstowego Personal wybrać polecenie All Tasks – Import... i w pierwszym oknie kreatora Certificate
Import Wizard użyć Next.
8. W oknie File to Import wprowadzić d:\zaj13\agent.pfx, użyć Next.
9. W oknie Password wprowadzić hasło agent i zaznaczyć opcję Mark this key as exportable. This will allow
you to back up or transport your keys at a later time i użyć Next.
10. W oknie Certificate Store pozostawić zaznaczoną opcję Place all certificates in the following store i
domyślne ustawienie dla Certificate Store: - Personal. Użyć przycisku Next a w końcowym oknie kreatora
Finish. Zatwierdzić okno komunikatu o powodzeniu operacji importu.
Część IV: Sprawdzenie możliwości odzyskiwania zaszyfrowanych plików
11. Dokonać próby otwarcia zaszyfrowanego pliku d:\bilbo-grupa\confidential\conf1.txt. Próba winna się
zakończyć niepowodzeniem. Agent odzyskiwania systemu został dodany do systemu po fakcie szyfrowania
pliku przez użytkownika bilbo-grupa. Administrator posługując się dyskietką sporządzoną przez użytkownika
w punkcie 8 Ćwiczenia 6 (i znając hasło) mógłby zaimportować klucze użytkownika w przystawce
Certificates – Current User – Personal a następnie odszyfrować plik.
12. Wylogować się i zalogować jako bilbo-grupa. Dokonać szyfrowania foldera d:\bilbo-grupa\confidential w
sposób przedstawiony w punktach 6 i 7 Ćwiczenia 5. Wylogować się.
13. Zalogować się jako Administrator i w Command Prompt wydać polecenie sprawdzające zaistnienie agenta
odzyskiwania dla foldera d:\bilbo-grupa\confidential:
d:\zaj13\efsinfo /r d:\bilbo-grupa\confidential
Pojawia się wpis Recovery Agents: Administrator.
14. Dokonać próby otwarcia plików d:\bilbo-grupa\confidential\conf2.txt, d:\bilbo-grupa\confidential\conf3.txt.
Próby winny się udać. Szyfrowania dokonano po dodaniu agenta odzyskiwania do systemu. Można również
odczytać zawartość pliku d:\bilbo-grupa\confidential\conf1.txt ponieważ został on ponownie zaszyfrowany
podczas szyfrowania foldera d:\bilbo-grupa\confidential.
15. Dokonać odszyfrowania pliku d:\bilbo-grupa\confidential\conf2.txt wybierając w jego Properties przycisk
Advanced... i odznaczając w oknie Advanced Attributes opcję Encrypt contents to secure data. Zamknąć,
zatwierdzając, wszystkie okna dotyczące właściwości pliku.
Ćwiczenie 9 (Archiwizowanie i odtwarzanie danych, planowanie uruchamiania procesu –
program Backup)
Część I: Archiwizowanie foldera i zaplanowanie uruchomienia tego procesu
1. Wybrać z menu Start – All Programs – Accesories – System Tools – Backup lub wprowadzić ntbackup w
Start – Run.
2. W pierwszym oknie kreatora Backup or Restore Wizard nie odznaczać pola Always start in wizard mode i
użyć przycisku Next.
3. W oknie Backup or Restore zaznaczyć pozycję Back up files and settings i użyć przycisku Next.
4. W oknie What to Back Up zaznaczyć opcję Let me choose what to back up i użyć przycisku Next.
Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) WSISiZ
12
Wersja 3.2, 2006.05.17
5. W oknie Items to Back Up rozwinąć węzeł My Computer – Local Disk (D:) – zaj13.
Zaznaczyć pole przy folderze Docs i użyć Next.
6. W oknie Backup Type, Destination, and Name użyć przycisku Browse... i w oknie Save As wprowadzić
lokalizację d:\zaj13 z nazwą pliku (koniecznie wprowadzić rozszerzenie) docs.bkf a następnie użyć Save.
7. W oknie Backup Type, Destination, and Name użyć przycisku Next.
8. W oknie Completing the Backup or Restore Wizard wybrać przycisk Advanced…
9. W oknie Type of Backup pozostawić domyślne ustawienia (typ: Normal) i użyć Next.
10. W oknie How to Back Up zaznaczyć pole Verify data after backup i użyć Next.
11. W oknie Backup Options pozostawić domyślnie zaznaczone pole Append this backup to the existing
backups i użyć Next.
12. W oknie When to Back Up zaznaczyć pole Later i wprowadzić Job name: docs-grupa i użyć przycisku Set
Schedule...
13. W oknie Schedule Job dla rubryki Schedule Task: pozostawić domyślne Once. W rubryce Run on: winna
być bieżąca data. W rubryce Start time: ustawić termin z 2 minutowym wyprzedzeniem w stosunku do czasu
systemowego i użyć OK.
14. W oknie Set Account Information dwukrotnie wprowadzić hasło Administratora i zatwierdzić.
15. W oknie When to Back Up użyć przycisku Next a w ostatnim oknie kreatora użyć Finish.
16. W zaplanowanym czasie winno się pojawić okno Backup i po zakończonej operacji winno się zamknąć
Część II: Usunięcie foldera, który poddano archiwizacji
17. Usunąć folder d:\zaj13\Docs i opróżnić Recycle Bin.
Część III: Odzyskiwanie usuniętego foldera
18. Z menu kontekstowego pliku d:\zaj13\docs.bkf wybrać Open i w pierwszym oknie kreatora Backup or
Restore Wizard nie odznaczać pola Always start in wizard mode i użyć przycisku Next.
19. W oknie Backup or Restore zaznaczyć pozycję Restore files and settings i użyć przycisku Next.
20. W oknie What to Restore, w polu Items to restore: rozwinąć węzeł File – docs.bkf created tu występuje
data i godzina kopii zapasowej i zaznaczyć pole przy pozycji D: oraz użyć Next.
21. W ostatnim oknie kreatora użyć Finish. W wyniku przeprowadzonej operacji odzyskano usunięty folder.
Zamknąć okno Restore Progress.
Część IV: Usuwanie zaplanowanego zadania
22. W menu Start – Run wprowadzić ntbackup i w pierwszym oknie kreatora użyć hiperłącza Advanced Mode.
23. W oknie Backup Utility wybrać kartę Schedule Jobs.
24. Kliknąć na ikonie w polu zaznaczonego, dzisiejszego dnia.
25. W oknie Scheduled Job Options wybrać kartę Schedule data i użyć przycisku Delete.
W oknie Removing a Scheduled Job użyć przycisku Yes.
Nie zamykać okna programu Backup.
Ćwiczenie 10 (Korzystanie z plików wsadowych do tworzenia kopii zapasowych danych –
polecenie
ntbackup
)
Część 1: Sporządzanie pliku wyboru kopii zapasowej (*.bks) służącego do automatyzacji wykonywania kopii przy
użyciu Command Prompt
1. W otwartym oknie programu Backup Utility wybrać kartę Backup a następnie rozwinąć węzeł My Computer
– Local Disk (D:) – zaj13 i otworzyć folder Docs.
2. W prawej części karty Backup zaznaczyć pola przy plikach ASR.doc i Przywracanie.doc.
3. Wybrać z menu Job – Save Selections As...
W oknie Save As wybrać lokalizację d:\zaj13\backup oraz wprowadzić nazwę pliku auto.bks.
Zamknąć okno Backup Utility.
Część I1: Dokonanie kopii zapasowej przy użyciu pliku wyboru i polecenia ntbackup
4. W Command Prompt utworzyć kopię zapasową, w oparciu o zestaw plików zapisanych w
d:\zaj13\backup\auto.bks, zlokalizowaną w folderze d:\zaj13\backup pod nazwą doc.bkf poleceniem:
ntbackup backup ”@d:\zaj13\backup\auto.bks” /f ”d:\zaj13\backup\doc.bkf”
Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) WSISiZ
13
Wersja 3.2, 2006.05.17
Połączenie wyżej przedstawionego sposobu z poleceniami at lub schtasks może znacznie ułatwiać
automatyzację procesów tworzenia kopii zapasowych.
5. Sprawdzić fakt utworzenia stosownego pliku.
Ćwiczenie 11 (Monitorowanie aktywności systemu w programie Performance (Wydajność))
Część I: Wybór obiektów i liczników do monitorowania
1. Będąc zalogowanym jako Administrator wybrać Administrative Tools – Performance.
W drzewie konsoli sprawdzić, czy jest wybrany System Monitor.
2. W systemie po uruchomieniu programu Performance, domyślnie, monitorowane są trzy liczniki wydajności:
Pages/sec (obiekt – Memory), Avg. Disk Queue Lenght (obiekt – PhysicalDisk), % Processor Time (obiekt
– Processor). Każdy z tych liczników może zostać usunięty. Można też dodawać inne liczniki.
Prawym przyciskiem myszy wskazać okno szczegółów konsoli Performance i wybrać polecenie Add
Counters...
3. W oknie Add Counters domyślnie, w rubryce Performance object: wybrany jest obiekt Processor, a w sekcji
Select counters from list: licznik % Processor Time. Jest to najczęściej wybierany licznik dla tego obiektu.
W oknie Add Counters wybrać przycisk Explain i zapoznać się z opisem licznika % Processor Time a
następnie zamknąć okno Explain Text.
4. Z listy Performance object: wybrać obiekt PhysicalDisk i na liście Select counters from list: wskazać licznik
% Disk Read Time.
W polu poniżej opcji Select instances from list powinna być wybrana pozycja _Total i wybrać przycisk Add.
Wybrać przycisk Close aby zamknąć okno dialogowe Add Counters.
Część II: Uruchomienie aplikacji i śledzenie jej wpływu na wartości wskazywane przez liczniki
5. W Command Prompt wydać polecenie dokonujące analizy pofragmentowanych plików i folderów na
woluminie D: wydając polecenie: defrag d: -a -v
6. Po zakończeniu operacji analizy przejść do okna Performance i w panelu szczegółów wybrać przycisk Freeze
Display (czerwone koło z białym znakiem X).
7. Wybrać ikonę z symbolem świecącej żarówki - Highlihgt (Ctrl+H). Podświetlony został wykres dotyczący
bieżącego licznika (np. licznika % Processor Time).
Korzystając z klawiszy ze strzałkami w górę i w dół, dokonać przeglądu innych liczników.
Z dokonanego przeglądu wynika, że zastosowanie programu Disk Defragmenter znalazło swe wyraźne
odzwierciedlenie w licznikach % Processor Time, Avg. Disk Queue Lenght i % Disk Read Time.
Ponownie wybrać ikonę Highlihgt (Ctrl+H) i „odmrozić” wykresy - przycisk Freeze Display (czerwone koło
z białym znakiem X).
Część III: Usuwanie licznika
8. W dolnej części okna szczegółów konsoli użyć prawego przycisku myszy i wybrać polecenie Properties...
9. W oknie System Monitor Properties wybrać kartę Data a na niej zaznaczyć pozycję
\\SZxxx\PhysicalDisk[_Total]\% Disk Read Time, wybrać przycisk Remove i następnie OK
Część IV: Zapisywanie obrazu wykresu liczników do pliku
10. Z menu kontekstowego okna szczegółów wybrać przycisk Save As...
11. W oknie Save As, w polu Save in: wybrać Desktop.
W polu File name: wprowadzić System Overview, pozostawić domyślny format Web Page (*.htm; *.html) i
wybrać przycisk Save. Zminimalizować okno Performance.
12. Otworzyć z pulpitu System Overview.htm.
Zaakceptować komunikat w oknie Information Bar.
Kliknąć na „żółty” pasek komunikatu o blokowaniu zawartości strony IE i wybrać Allow Blocked Content...
Zatwierdzić komunikat Security Warning.
Przejrzeć informacje zapisane w postaci strony Web.
13. Zauważyć, że po „odmrożeniu” wykresów i zatwierdzeniu komunikatu (w pojawiającym się oknie System
Monitor Control) kontynuowane jest monitorowanie wcześniej zapamiętanych liczników.
Zamknąć okno Internet Explorer.
Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) WSISiZ
14
Wersja 3.2, 2006.05.17
Część V: Ustawianie alertów i wymuszanie wpisów do dziennika zdarzeń
14. Uruchomić usługę Messenger w trybie Manual poleceniami:
sc config messenger start= demand
net start messenger
15. Przywrócić okno Performance.
16. W oknie drzewa konsoli rozwinąć Performance Logs and Alerts i z menu kontekstowego Alerts wybrać
polecenie New Alert Settings...
17. W oknie dialogowym New Alert Settings wprowadzić badapp i wybrać przycisk OK.
18. W oknie badapp, na karcie General, w polu Comment: wprowadzić zla aplikacja i wybrać przycisk Add...
19. W oknie Add Counters pozostawić domyślnie wybrany obiekt i licznik (obiekt: Processor, licznik:
%Processor Time), użyć przycisku Add a następnie Close.
20. W oknie badapp z listy Alert when the value is: wybrać Over, a w polu Limit: wprowadzić 30.
W sekcji Sample data every, w polu Interval: wprowadzić 15 ( dla pola Units winny być ustawione seconds).
21. Na karcie Action sprawdzić, czy jest domyślnie zaznaczone pole Log on entry in the application event log.
Zaznaczyć dodatkowo pole opcji Send a network message to: i wprowadzić szxxx, gdzie szxxx jest nazwą
komputera, na którym wykonywane jest ćwiczenie.
22. Na karcie Schedule, w sekcji Start scan powinna być wybrana opcja At. Wprowadzić godzinę o 1 minutę
późniejszą od aktualnego czasu systemowego. Wybrać przycisk OK. Zminimalizować okno Performance.
23. Nie zamykając okna Performance uruchomić aplikację Bad App – d:\zaj13\badapp32.exe (złą aplikację 32-
bitową). Wybrać z jej menu Action – Hang.
Po ustalonym czasie zostają wyświetlane kolejne okna komunikatów.
24. W drzewie konsoli wybrać Alerts. W oknie szczegółów, z menu kontekstowego badapp wybrać polecenie
Stop i zminimalizować okno Performance. Zamknąć wszystkie okna komunikatów.
Zakończyć działanie Bad App za pomocą Windows Task Manager.
25. Wybrać Administrative Tools – Event Viewer.
W konsoli Event Viewer wybrać dziennik Application i w panelu szczegółów otworzyć wpis, którego
źródłem jest SysmonLog. Przeczytać opis zdarzenia, użyć przycisku OK i zamknąć konsolę Event Viewer.
26. Zatrzymać usługę Messsenger i nadać jej status Disabled (Wyłączona) poleceniami:
net stop messenger
sc config messenger start= disabled
27. Przywrócić okno Performance.
W drzewie konsoli wybrać Performance Logs and Alerts. Usunąć, w oknie szczegółów dla kontenera Alerts
pozycję badapp.
Zamknąć okno Performance.
Ćwiczenie 12 (Porządki)
1. Będąc zalogowanym jako Administrator umieścić w napędzie dyskietkę naprawczą i dokonać restartu
komputera..
2. Po pojawieniu się LILO 22.5.9 Boot Menu wybrać pozycję x64-newelska.
Po zgłoszeniu się listy opcji napraw wprowadzić 1 ((1) Odtworzyc tablice partycji (szxxx)).
Po zakończeniu procesu odtwarzania tablicy partycji wyjąć z napędu dyskietkę i ponownie uruchomić
komputer (opcja 12) Koniec).
3. Podczas uruchamiania komputera na ekranie Welcome on the WSISiZ network wybrać pozycję naprawa i
powiadomić prowadzącego.
Laboratorium Windows Serwer 2003 (P. Kowalski, A. Skirmunt) WSISiZ
15