ZAJECIA1 6 DOC

ZAJĘCIA 1 - ZAKRES PRAC I MATERIAŁY POMOCNICZE

ZAKRES PRAC

Ogólna charakterystyka systemu Microsoft Windows Server 2003

Warianty systemu Windows Server 2003
Nowe cechy systemu Windows Server 2003 w porównaniu do wcześniejszych serwerowych wersji Windows
Role serwerów rodziny Windows Server 2003
Licencje CAL produktów serwerowych

Instalacja systemu Windows Server 2003

Wymagania sprzętowe
Inne czynności przedinstalacyjne
Metody wykonywania instalacji
Aktualizacja starszych systemów Windows
Wybrane uwagi dotyczące nadzorowanej instalacji systemu
Współistnienie wielu systemów operacyjnych - multiboot
Dyskietka startowa (Boot Disk)

Narzędzia pracy administratora systemu Windows Server 2003. Część I

Centrum pomocy i obsługi technicznej (Help and Support Center)
Udzielanie pomocy za pośrednictwem Pomocy zdalnej (Remote Assistance)
- przypadek zaawansowanego wysyłania zaproszenia/prośby jako pliku
Uruchamianie w imieniu innego użytkownika (Run As)
Legenda formatowania dla narzędzi i poleceń wydawanych w wierszu polecenia
Wykaz narzędzi administracyjnych według kategorii
Narzędzia i polecenia wiersza polecenia winnt32.exe, bootcfg.exe, msconfig.exe, runas, shutdown, winver.

Zasoby Laboratorium Windows Server 2003 - WS2003Lab
Ważne informacje

Liczba ćwiczeń: 15

MATERIAŁY POMOCNICZE

Ogólna charakterystyka systemu Microsoft Windows 2003

Rodzina systemów Windows Server 2003 jest następcą rodziny systemów operacyjnych Windows 2000, z uwzględnieniem wielu cech systemu Windows XP oraz wprowadzeniem szeregu rozszerzeń.
W chwili obecnej (luty 2006 r.) jest dostępna rodzina systemów MS Windows Server 2003 Service Pack 1 (SP1). Anonsowana jest handlowa dostępność, w perspektywie kilku tygodni, MS Windows Server 2003 Release 2 (R2).

Warianty systemu Windows Server 2003

System Windows Server 2003 jest oferowany w czterech podstawowych wariantach:

Windows Server 2003 Web Edition
Windows Server 2003 Standard Edition
Windows Server 2003 Enterprise Edition
Windows Server 2003 Datacenter Edition

Wybrane cechy tych czterech odmian Windows Server 2003 SP1 przedstawia poniższa tabela:

Funkcja	Web Edition	Standard Edition	Enterprise Edition	Datacenter Edition
Procesory 32-bitowe (maks.)	2	4	8	32
32-bitowa pamięć RAM (maks.)	2 GB	4 GB	32 GB	64 GB
Procesory 64-bitowe (maks.)	Nie obsługiwane	Nie obsługiwane	8	64
64-bitowa pamięć RAM (maks.)	Nie obsługiwane	Nie obsługiwane	64 GB	512 GB
Połączenia udostępniania plików	Ograniczone do 10 Bez licencji CAL	Bez ograniczeń	Bez ograniczeń	Bez ograniczeń
Serwer wydruku	Nie	Tak	Tak	Tak
Usługa Active Directory	Serwer w domenie	Kontroler domeny lub serwer w domenie	Kontroler domeny lub serwer w domenie	Kontroler domeny lub serwer w domenie
Usługi terminalowe	Tylko tryb administracji	Tryb aplikacji i administracji	Tryb aplikacji i administracji	Tryb aplikacji i administracji
Katalog sesji usług terminalowych	Nie	Nie	Tak	Tak
Usługi UDDI (Universal Description, Discovery, and Integration Services)	Nie	Tylko lokalna baza danych	Tak	Tak
Klastrowanie z pracą awaryjną	Nie	Nie	8 węzłów	8 węzłów
Program Windows Media Server	Nie	Basic	Enterprise	Enterprise
Połączenia VPN	1 / typ nośnika	Maks. 1000	Bez ograniczeń	Bez ograniczeń
Usługa uwierzytelniania internetowego (IAS)	Nie	Ograniczona do 50 urządzeń	Tak	Tak
Serwer certyfikatów	Nie	Poziom systemu Windows 2000	Tak	Tak
WSRM (Windows System Resource Manager)	Nie	Nie	Tak	Tak

Kilkustronicowy opis systemu używanego podczas ćwiczeń, tzn. Windows Server 2003 Enterprise Edition, można

odnaleźć m.in. na stronie http://wss.pl/WindowsServer/Default.aspx w artykule: Opis Windows Server 2003 Enterprise Edition. Pobrany z tej witryny artykuł znajduje się w pliku \zaj1\Opis_Windows_Server_2003_Enterprise_Edition.doc

Nowe cechy systemu Windows Server 2003 w porównaniu do wcześniejszych serwerowych wersji Windows

Oficjalny, skrótowy wykaz korzyści z zastosowania systemu Windows Serwer 2003 można znaleźć na stronie http://www.microsoft.com/poland/windowsserver2003/opis/dlaczego/top10best.mspx pod tytułem: 10 głównych zalet systemu Windows 2003 Server.

Dokonując swoistego podsumowania informacji zamieszczonych na w/w stronie można wyeksponować ważniejsze obszary nowych właściwości lub usprawnień systemu Windows Serwer 2003 w odniesieniu do wcześniejszych wersji serwerowych Windows (poniższe zestawienie nie wyczerpuje wszystkich elementów):

Nowy interfejs graficzny (istnieje możliwość przełączania interfejsu typowego dla Windows XP na wygląd tzw. klasyczny).
Możliwość dostosowywania i oprogramowywania interfejsu systemu operacyjnego (wykorzystanie specjalizowanych narzędzi Windows do programowania w języku XML do tworzenia prostych interfejsów ze skryptami przypisanymi do np. przycisków dodawania użytkowników, tworzenia kopii zapasowych itd.
Ulepszenia w obrębie narzędzi administracyjnych i wiele kreatorów przeznaczonych do instalacji, konfiguracji i zarządzania.
Zwiększone bezpieczeństwo technologii bezprzewodowych.
Obsługa uwierzytelnienia logowania za pomocą technologii Windows Passport.
Zdolność serwerów do buforowania danych wykazu globalnego w pamięci podręcznej kontrolerów domeny oraz usprawnienie synchronizacji wykazu globalnego.
Możliwość zarządzania kompresją w szybkich łączach pomiędzy serwerami wykazu globalnego.
Lepsza obsługa standardów (IPv6, XML, IETF).
Możliwość wybierania i usuwania obiektów ze schematu Active Directory.
Wprowadzenie funkcji Volume Shadow Copy.
Ulepszenie zarządzania plikami Distributed File System (DFS) oraz podniesienie odporności na błędy danych plikowych.
Wprowadzenie narzędzia do przywracania systemu Automatic Serwer Recovery (ASR).
Usługa aktualizacji oprogramowania SUS (Software Update Service).
Wprowadzenie narzędzia zarządzania zasadami grup (GPMC - Group Policy Management Console).
Wprowadzenie narzędzia do zdalnej instalacji dla serwerów (RIS for Servers - Remote Installation Service For Servers).
Udostępnienie funkcji Out-of Band Management (zarządzanie poza siecią). Funkcja umożliwia połączenie się z modemem lub portem szeregowym RS-232 serwera przy użyciu kabla pseudo-modemu i zarządzać serwerem z poziomu wiersza polecenia.

Obszerne informacje dotyczące porównania cech systemów serwerowych mogą być m.in. osiągane w niżej podany sposób.

W obszarze Help Contents okna Help and Support Center należy wybrać Getting Started - New Features - Feature comparison: Windows NT, Windows 2000, and the Windows Server 2003 family. Można tu wybrać łącza do Windows NT 4.0 to the Windows Server 2003 family lub Windows 2000 to the Windows Server 2003 family.

Dodatek Service Pack 1

Opublikowanie dodatku Service Pack 1 znacznie rozszerzyło paletę możliwości omawianego systemu.
Instalacja dodatku wnosi wiele zmian nastawionych głównie na podniesienie bezpieczeństwa komputera oraz komfortu pracy użytkownika, mając na uwadze specyfikę tych potrzeb w odniesieniu do serwera.
Wiele informacji można na ten temat uzyskać na stronach Microsoft TechNet - Windows Server 2003 Service Pack 1 (SP1) Roadmap http://technet2.microsoft.com/windowsserver/en/sp1.mspx.
Omówienie cech SP1 można również znaleźć w pliku \zaj1\SP1ProductOverview_120904.doc.

Poniżej zaprezentowano, cytując fragmenty artykułu Pana Wojciecha Kowasza „Przegląd Windows Server 2003 Service Pack 1 RC1” (http://wss.pl) - \zaj1\Przeglad_Windows_Server_2003_Service_Pack1_RC1.doc, trzy nowe, spektakularne cechy wynikające z zastosowanie dodatku SP1.

Kreator post-instalacji

„...Kreator Post-Setup Security Updates zaprojektowany został w celu ochrony serwera w najbardziej krytycznym momencie przypadającym na przełom instalacji systemu i pobrania aktualizacji. System w pełni zainstalowany, ale niezaktualizowany o najnowsze poprawki jest najbardziej narażony na atak internetowych robaków.

Kreator poinstalacyjny uruchamia się tylko przy spełnieniu odpowiednich warunków po zakończeniu instalacji systemu Windows Server 2003 ze zintegrowaną poprawką Service Pack 1. Zakończenie procesu uaktualnienia z wcześniejszych wersji Windows (poza NT 4.0) nie spowoduje otwarcia kreatora. Jeśli administrator jawnie nie włączy Windows Firewall (uruchamiany domyślnie) za pomocą odpowiedniego wpisu w pliku unattend.txt lub w Group Policy, po pierwszym uruchomieniu systemu pojawi się kreator Post-Setup Security Updates.

Kreator blokuje wszystkie połączenia przychodzące uniemożliwiając jakikolwiek dostęp do serwera z zewnątrz. Wyjątkiem jest sytuacja, w której administrator za pomocą wpisu w pliku odpowiedzi instalacji nienadzorowanej lub w Group Policy włączył usługę Remote Desktop (lub ustawił dowolne inne wyjątki w Windows Firewall) - wtedy blokowane jest wszystko oprócz tejże usługi.

Kreator nie pojawi się po aktualizacji systemu z poziomu Windows Server 2003 lub Windows 2000 Server, ale pojawi się po zakończonej aktualizacji systemu Windows NT 4.0.

Kreator po uruchomieniu oferuje odnośniki do usługi Windows Update jednocześnie blokując ruch przychodzący, dzięki czemu administrator może bezpiecznie pobrać niezbędne aktualizacje do nowego systemu. Kreator proponuje również włączenie usług Aktualizacji automatycznych. Jeśli jakiekolwiek zdarzenie wymaga restartu serwera (np. instalacja poprawki), wtedy po ponownym uruchomieniu kreator pojawia się ponownie...”

Kreator zabezpieczeń systemu Windows (Security Configuration Wizard)

„...Kreator zabezpieczeń systemu Windows (nie jest instalowany domyślnie - należy go zainstalować przy użyciu Add or Remove Programs - Add/Remove Windows Components - Security Configuration Wizard) służy do ograniczenia potencjalnego obszaru ataku. Cel ten osiągany jest poprzez odpowiednią konfigurację usług systemowych i polityk zabezpieczeń. Po uruchomieniu kreatora użytkownik będzie musiał odpowiedzieć na szereg pytań związanych z rolą konfigurowanego serwera tak, aby kreator mógł w jak najlepszym stopniu dopasować ustawienia do aktualnych potrzeb.

Security Configuration Wizard dokonuje weryfikacji konfiguracji systemu Windows, a w szczególności:

- wyłącza niepotrzebne w danym środowisku usługi

- blokuje niepotrzebne rozszerzenia serwera IIS

- blokuje niewykorzystywane porty

- zabezpiecza otwarte porty za pomocą technologii IPSec

- redukuje zagrożenia płynące z wykorzystania protokołów LDAP, LAN Manager czy SMB

- konfiguruje politykę inspekcji systemowej

- importuje szablony zabezpieczeń dla pozostałych ustawień, których kreator bezpośrednio nie weryfikuje...”

Windows Firewall

„...Windows Firewall (poprzednio znany jako Internet Connection Firewall - ICF) to podstawowy systemowy firewall działający w środowisku Windows XP SP2 i Windows Server SP1. Windows Firewall zapewnia bezpieczeństwo kontrolowanym systemom poprzez filtrowanie ruchu zarówno przychodzącego, jak i wychodzącego oraz obsłudze protokołów TCP/IP (v4) oraz TCP/IP (v6 - IPv6). Pod pojęciem filtrowania ruchu kryją się takie funkcje jak konfiguracja i ograniczanie portów, blokowanie dostępu aplikacjom, konfigurowanie podstawowych opcji ICMP oraz prowadzenie dziennika udanych i nieudanych prób połączenia.

Windows Firewall w obecnej odsłonie jest w pełni zarządzalny z poziomu Group Policy. Oznacza to, że administratorzy nie muszą ręcznie konfigurować zapory dla każdego komputera, a mogą użyć znacznie prostszego i szybszego narzędzia jakim jest polityka zabezpieczeń. Zestaw zasad zabezpieczeń zawiera takie możliwości jak konfigurowanie wyjątków, określanie restrykcji dla ICMP, blokowanie powiadomień czy ustawienia dziennika...”

MS Windows Server 2003 R2 (Release 2)

Grudzień 2005 r. był miesiącem oficjalnej premiery finalnej wersji Windows Server 2003 R2 (Release 2).

Anonsowana komercyjna wersja MS Windows Server 2003 R2 stanowi następne wydanie MS Windows Server 2003 zbudowane w oparciu o Windows Server 2003 SP1 i poszerzone o zestaw dodatkowych komponentów. Prawie wszystkie nowe komponenty są dostępne jako opcjonalnie instalowane dodatki.

Pośród nowych cech/składników można wymienić m.in.:

Active Directory Federation Services
Active Directory Application Mode (ADAM)
Branch Office/Distributed File System
Microsoft Services for Network File System (MSNFS)
Print Management Console, File Server Resource Manager
Subsystem for UNIX-based Applications / Identity Management for UNIX
Storage Management for SANs
Windows SharePoint Services SP2
Microsoft Management Console 3.0
Hardware Management

Więcej informacji zawarto np. na stronach http://www.microsoft.com/WindowsServer2003/R2/default.mspx
i Windows Server 2003 R2 Roadmap http://technet2.microsoft.com/windowsserver/en/r2.mspx.

Porównanie wersji SP1 i R2 rodziny systemów MS Windows Server 2003 przedstawia również artykuł „Compare the Editions of Windows Server 2003”

http://www.microsoft.com/windowsserver2003/evaluation/features/comparefeatures.mspx

Role serwerów rodziny Windows Server 2003

W systemach operacyjnych z rodziny Windows Server 2003 dostępnych jest kilkanaście ról serwerów, dostępnych w zależności od zainstalowanej wersji edycji systemu, a wśród nich:

File server (Serwer plików)
Print server (Serwer wydruku)
Application server (Serwer aplikacji)
Mail server (Serwer poczty)
Terminal server (Serwer terminali)
Remote access/VPN (Serwer dostępu zdalnego/VPN)
Domain controller (Serwer kontrolera domeny)
DNS server (Serwer DNS)
DHCP server (Serwer DHCP)
Streaming media server (Serwer multimediów strumieniowych)
WINS server (Serwer WINS)

Wyboru poszczególnych ról można dokonywać w dowolnym momencie po standardowej instalacji systemu. Skrótowe omówienie poszczególnych ról serwerów znajduje się w pliku \zaj1\role_serwerow_2003.doc.

Licencje CAL produktów serwerowych

Przed ukazaniem się Microsoft Windows Server 2003 model licencjonowania produktów z serii Microsoft Windows Server dawał możliwość zakupu dwóch rodzajów licencji: per seat i per server.

Licencja per seat (na stanowisko) oznaczała, że klient musi zakupić licencję dostępową (CAL - Client Access Licence) dla każdego urządzenia, które będzie łączyło się z dowolnym serwerem w sieci i korzystało z oferowanych przez niego usług i zasobów.
Licencja per server (na serwer) stosowana była w sytuacji, gdy firma nie musiała, bądź nie chciała dopuszczać wszystkich użytkowników do korzystania z tej samej usługi w tym samym czasie. W tym wypadku należało wykupić licencję na serwer i taką ilość licencji CAL, ile było u jednocześnie łączących się z serwerem.

Nowe warunki umów są dostępne wraz z ukazaniem się Microsoft Windows Server 2003. Nowe opcje licencjonowania to:

Dzięki dodanej do modelu licencjonowania Server CAL opcji User CAL, klienci będą mieli możliwość nabycia pojedynczej licencji dla każdego użytkownika, który będzie mógł otrzymać dostęp lub korzystać z produktów serwerowych z dowolnej liczby urządzeń (Device CAL), bez potrzeby wykupywania osobnej licencji na każde z tych urządzeń. Każda z instalacji oprogramowania serwerowego nadal wymagać będzie licencji serwerowej.
Do modelu licencjonowania Server CAL została dodana opcja licencjonowania External Connector. Korzystający z niej klienci będą mieli możliwość nabycia pojedynczej licencji, umożliwiającej nieograniczonej liczbie użytkowników spoza organizacji klienta (np. partnerom biznesowym i klientom końcowym) dostęp do danej instalacji oprogramowania serwerowego i/lub usług serwerowych.

Skrótowe omówienie zagadnień licencjonowania produktów znajduje się w pliku \zaj1\Licencje_CAL_produktow_serwerowych.doc pozyskanym ze strony http:/wss.pl/.

Instalacja systemu Windows Server 2003

Wymagania sprzętowe

Wymagania sprzętowe, według Microsoft, dla potrzeb instalacji MS Windows Server 2003 SP1 są następujące:

Wymagania	Web Edition	Standard Edition	Enterprise Edition	Datacenter Edition
Minimalna szybkość procesora	133 MHz	133 MHz	133 MHz dla komputerów z procesorami x86 733 MHz dla komputerów z procesorami Itanium	400 MHz dla komputerów z procesorami x86 733 MHz dla komputerów z procesorami Itanium
Zalecana szybkość procesora	550 MHz	550 MHz	733 MHz	733 MHz
Minimalny rozmiar pamięci RAM	128 MB	128 MB	128 MB	512 MB
Zalecany rozmiar pamięci RAM	256 MB	256 MB	256 MB	1 GB
Maksymalny rozmiar pamięci RAM	2 GB	4 GB	32 GB dla komputerów z procesorami x86M 64 GB dla komputerów z procesorami Itanium	64 GB dla komputerów z procesorami x86M 512 GB dla komputerów z procesorami Itanium
Obsługa wielu procesorów	Do 2	Do 4	Do 8	Minimalnie 8 (wymagane) Maksymalnie 64
Ilość miejsca na dysku potrzebna do instalacji	1,5 GB	1.5 GB	1,5 GB dla komputerów z procesorami x86 2 GB dla komputerów z procesorami Itanium	1,5 GB dla komputerów z procesorami x86 2 GB dla komputerów z procesorami Itanium

Artykuł KB 892807 (http://support.microsoft.com/kb/892807) przedstawia szczegółowo wymagania dotyczące wolnego miejsca na dysku twardym niezbędnego do instalacji dodatku Service Pack 1 (SP1) dla systemu Windows Server 2003, na komputerze, na którym ten system jest już zainstalowany.

Inne czynności przedinstalacyjne

Spełnienie minimalnych wymagań sprzętowych nie jest jedynym, koniecznym, warunkiem do spełniania dla skutecznej zdolności do prawidłowego działania komputera pod kontrolą systemu z rodziny MS Windows Server 2003. Należy dokonać weryfikacji, czy sprzęt zainstalowany w komputerze jest obsługiwany przez ten system dokonując m. in.:

sprawdzenia, czy posiadany sprzęt posiada logo "Designed for Windows Server 2003" (według Microsoft sprzęt posiadający ten znak będzie prawidłowo funkcjonował pod kontrolą systemu),
wyszukania go na liście Windows HCL (Windows Hardware Compatibility List). Lista ta jest dostępna w Internecie pod adresem http://www.microsoft.com/windows/catalog/server. Na liście tej znajduje się również kompatybilne z Windows Server 2003 oprogramowanie,
bezpośredniego sprawdzenia przy użyciu nośnika z wersją instalacyjną systemu Windows Server 2003 w działającej, wcześniejszej wersji systemu serwerowego (po włożeniu nośnika instalacyjnego w napęd CD należy, w pojawiającym się oknie powitalnym, wybrać opcję Check system compatibility, a następnie Check my system automatically). Można się tu również odwołać do strony http://www.microsoft.com/windows/catalog/server/ za pomocą przycisku Visit my compatibility Web site.
wykorzystując udostępniony zasób zawierający folder \i386 systemu Windows Server 2003.

Metody wykonywania instalacji

Instalacja systemu Windows Server 2003 może być wykonana na kilka sposobów, a wśród nich m. in.:

Nadzorowana instalacja z lokalnego nośnika CD traktowanego jako nośnik boot'owalny
Nadzorowana instalacja poprzez sieć, z wykorzystaniem udostępnionego w sieci zasobu zawierającego zawartość instalacyjnego CD, do którego następuje podłączenie z innego działającego systemu lub z wykorzystaniem sieciowej dyskietki startowej (network boot disk)
Instalacja nienadzorowana (unattended) przebiegająca w zautomatyzowany sposób dzięki wykorzystaniu tzw. plików odpowiedzi (answer files) przygotowanych ręcznie lub za pomocą Setup Manager (setupmgr.exe wyodrębniany z instalacyjnego CD)
Instalacja wykorzystująca narzędzie Sysprep (System Preparation Tool) do przygotowania wzorcowego komputera, następnie powielenie obrazu dysku takiego komputera za pomocą oprogramowania firm trzecich na inne komputery i wykonanie prostych kroków konfiguracyjnych (minisetup) przy uruchomieniu tych komputerów
Instalacja z wykorzystaniem mechanizmu RIS (Remote Installation Service) z kreatorem RIPrep (Remote Installation Preparation).

Zestawienie metod instalacji i ich obszerne omówienie zamieszcza m. in. pozycja literaturowa:
Marimoto R., i inni: Windows Server 2003 - Księga eksperta, Wyd. HELION, Gliwice, 2004 (http://helion.pl).
Poniżej zamieszczono tabelę - zestawienie alternatywnych metod instalacji, sporządzoną na podstawie tej publikacji.

Narzędzia alternatywnych instalacji i ich zastosowania

Instalacja/Opcje	Nienadzorowana	RIS	Sysprep	GP/SMS
Podstawowa instalacja	Tak	Tak	Tak	Nie
Aktualizacja	Tak	Nie	Nie	Tak
Różnice w sprzęcie	Tak	Tak	Nie	Tak
Instalacja z obrazu	Nie	Tak	Tak	Nie
System operacyjny i aplikacje instalowane razem	Nie	Tak	Tak	Tak
Active Directory wymagana	Nie	Tak	Nie	Tak

Skróty GP i SMS w tabeli oznaczają kolejno Group Policy i System Management Server.

Portale internetowe oferują wiele informacji dotyczących metod instalacji. Polskojęzyczny portal użytkowników Microsoft Windows Serwer zamieszcza artykuł: „Instalacja Windows Server 2003” (wprowadzony na stronę przez Wojciecha Kowasza), poszerzający wiedzę dotyczącą w/w zagadnienia, dostępny na stronie http://wss.pl/articles_det.aspx?id=80. Kopię artykułu zamieszczono w \zaj1\Instalacja_Windows_Server_2003.htm.

Sposób osiągania listy kontrolnej czynności zalecanych przez Microsoft podczas instalacji przedstawiono w Ćwiczeniu 3 bieżących zajęć.

Aktualizacja starszych systemów Windows

Bezpośrednia aktualizacja (upgrade) do systemu Windows Server 2003 z wcześniejszych wersji Windows jest możliwa wyłącznie dla NT 4.0 Server (Sevice Pack 5 lub nowszy) i rodziny Windows 2000 Server. Aktualizacja systemu Windows NT 3.5.1 jest możliwa dopiero po modernizacji do NT 4.0 Server (Sevice Pack 5 lub nowszy).

Przed dokonaniem migracji należy uprzednio sprawdzić zgodność aplikacji i wykonać wszelkie niezbędne procedury związane z kopiami zapasowymi.

Aktualizacja z systemów Windows 2000 Professional i Windows XP nie jest możliwa.

Sposób osiągania listy kontrolnej czynności zalecanych przez Microsoft podczas aktualizacji przedstawiono w Ćwiczeniu 3 bieżących zajęć.

Wybrane uwagi dotyczące nadzorowanej instalacji systemu

W procesie nadzorowanej instalacji Windows Server 2003, w porównaniu do wersji serwerowych Windows 2000 można wyróżnić kilka nowych cech, a wśród nich m.in.:

Pojawienie się dodatkowych opcji formatowania - szybkiego (quick) formatowania partycji dla systemu plików FAT i NTFS. (Wśród dostępnych systemów plików nie wymienia się oddzielnie systemów FAT i FAT32 - wybór odpowiedniego systemu następuje automatycznie. Dla partycji mniejszej niż 2 GB następuje formatowanie w FAT, powyżej tego rozmiaru w FAT32).
Podczas wprowadzania hasła konta administratora następuje sprawdzenie, czy proponowane hasło spełnia wymagania tzw. silnego hasła. W przypadku nie spełniania tego warunku pojawia się stosowne okno z odpowiednimi wskazówkami i istnieje możliwość zaakceptowania nawet tzw. słabego hasła. Problematyka związana z tymi zagadnieniami będzie przedstawiana podczas dalszych zajęć.
Podczas instalacji nie występuje możliwość dodawania poszczególnych komponentów definiowania przyszłej roli serwera.
Inny katalog instalacyjny systemu (\WINDOWS zamiast \WINNT)

Podczas instalacji tworzone są pliki zawierające wykaz czynności wykonywanych podczas konfiguracji systemu, zapisywane w folderze systemowym (np. c:\Windows):

setuplog.txt - opisuje procesy przebiegajace podczas tekstowego etapu instalacji,
setuperr.log - zawiera komunikaty o błędach
setupact.log - informacje o części graficznej instalacji
setupapi.log - informacje dotyczące instalacji urządzeń.

Dodatkowym źródłem informacji o błędach jest Dziennik zdarzeń (Event Viewer).

Współistnienie wielu systemów operacyjnych - multiboot

Uruchomieniowy program ładujący (ntldr) wykorzystuje plik boot.ini jako swój plik konfiguracyjny. W oparciu o jego zawartość wyświetlany jest spis (menu) dostępnych na danym komputerze systemów operacyjnych i wariantów ich uruchomienia (w komputerach zawierającej pojedynczą instalację Windows Serwer 2003, takie menu nie pojawia się) oraz podejmowany jest decyzja, który z nich ma być uruchomiony. Ścieżki wyznaczające położenie systemów operacyjnych na partycjach dyskowych są zapisywane w notacji ścieżek ARC (Advanced RISC Computing).

Na jednym komputerze, którego praca jest obsługiwana przez program ładujący ntldr i plik boot.ini mogą być zainstalowane różne systemy firmy Microsoft a także inne systemy operacyjne np. Linux.

Pierwszy przykład zawartości boot.ini odpowiada komputerowi, na którym są zainstalowane: wersja Windows 2000 Professional (na partycji 1), dwie konfiguracje systemu Windows Server 2003 - obydwie na partycji 2, lecz zainstalowane w różnych katalogach (\WINDOWS, \WIN-DC). Domyślnie uruchamianym systemem jest Windows 2000 Professional.

[boot loader]

timeout=30

default=multi(0)disk(0)rdisk(0)partition(1)\WINNT

[operating systems]

multi(0)disk(0)rdisk(0)partition(1)\WINNT="Microsoft Windows 2000 Professional" /fastdetect

multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows Server 2003, Enterprise" /fastdetect

multi(0)disk(0)rdisk(0)partition(2)\WIN-DC="Windows Server 2003, Enterprise, DOMAIN CONTROLLER" /fastdetect

Drugi przykład zawartości pliku boot.ini pochodzi z komputera na którym są zainstalowane systemy: MS-DOS, Windows Server 2003 oraz Linux. Domyślnie uruchamianym systemem jest Windows Server 2003.

[boot loader]

timeout=30

default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS

[operating systems]

C:\="MS-DOS"

multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows Server 2003, Enterprise" /fastdetect

C:\BOOTSECT.LNX="Red Hat Linux"

gdzie w sekcji:
[boot loader] ( program ładujący ) podawane są parametry:

timeout tzn. ilość czasu przeznaczonego na podjęcie decyzji o wyborze systemu

default czyli domyślnie wybierany system do uruchomienia

natomiast w sekcji:

[operating systems] wyszczególnienie dostępnych systemów określonych ścieżką ARC:

rdisk(#) - z liczbą (#) rozpoczynającą się od "0": wyznacza dysk twardy z systemem do uruchomienia

partition(#) - z liczbą (#) rozpoczynającą się od "1": wyznacza partycję na dysku

Dyskietka startowa (Boot Disk)

Dyskietka startowa pozwala na wystartowanie systemu Windows Server 2003 w przypadku uszkodzenia sektora startowego dysku lub uszkodzenia, czy też braku, podstawowych programów wykorzystywanych podczas startu systemu (program ładujący ntldr, detekcja sprzętu ntdetect.com).
Tworzenie takiej dyskietki odbywa się analogicznie jak w Windows 2000 i jest opisane w Ćwiczeniu 6 bieżących zajęć.

Narzędzia pracy administratora systemu Windows Server 2003 Część I

Centrum pomocy i obsługi technicznej (Help and Support Center)

Użycie Start - Help and Support (Centrum pomocy i obsługi technicznej) powoduje wyświetlenie okna Help and Support Center. Jest to centralna lokalizacja dla tematów pomocy, samouczków, narzędzi do rozwiązywania problemów i innych usług. Innym sposobem osiągania tej lokalizacji jest użycie sekwencji klawiszowej [WinKey + F1].

Obsługa Centrum pomocy dla większości zadań jest intuicyjna. Dość wygodną formą, szczególnie dla mniej zaawansowanych administratorów, jest możliwość uruchamiania wielu narzędzi administracyjnych z poziomu tego Centrum.
Dokumentacja systemu, zawarta w Centrum pomocy, jest również dostępna na stronie:
http://www.microsoft.com/resources/documentation/WindowsServ/2003/enterprise/proddocs/en-us/default.asp.

Udzielanie pomocy za pośrednictwem Pomocy zdalnej (Remote Assistance)

Czasami najlepszym sposobem udzielenia pomocy podczas rozwiązania problemu jest zademonstrowanie gotowego rozwiązania. Jeśli otrzymano zaproszenie, Pomoc zdalna zapewnia wygodny sposób połączenia się z komputerem użytkownika i przedstawienia mu rozwiązania problemu. Zaproszenie do udzielenia Pomocy zdalnej może się odbyć przy wykorzystaniu Windows Messenger, e-mail (przy użyciu stosownego załącznika) lub przez przesłanie pliku do lokalizacji (dysk lokalny, udział sieciowy, dyskietka lub inny sposób) dostępnej dla udzielającego pomocy - opcja zaawansowana (Save invitation as a file (Advanced)).

Po nawiązaniu połączenia można przeglądać zawartość ekranu komputera użytkownika oraz rozmawiać o tym, co na nim widać. Po otrzymaniu uprawnień osobistych można nawet sterować jego komputerem za pomocą własnej myszy i klawiatury.

Narzędzie Remote Assistance może zostać tak skonfigurowane by umożliwić użytkownikowi-ekspertowi inicjowanie sesji Pomocy zdalnej, używając funkcji Offer Remote Assistance, bez oczekiwania na zaproszenie użytkownika-adepta (nowicjusza).

Uwagi:

Pomoc zdalna wymaga, aby na obu komputerach był zainstalowany system Windows XP lub produkt z rodziny Windows Server 2003.
Podczas korzystania z Pomocy zdalnej zarówno użytkownik udzielający pomocy, jak i użytkownik jej potrzebujący muszą być podłączeni do Internetu albo znajdować się w tej samej sieci lokalnej (LAN). W razie wysyłania zaproszenia pocztą e-mail pomocnik może potrzebować dostępu do Internetu.
Zapory oraz urządzenia do translacji adresów sieciowych (NAT, Network Address Translation) mogą uniemożliwić korzystanie z połączenia Pomocy zdalnej. W celu rozpoczęcia połączenia można spróbować użyć programu Windows Messenger zamiast wysyłania poczty e-mail. Jeśli to nie zadziała, należy poprosić administratora sieci o dodanie portu 3389.
Jeśli zasada Oferuj Pomoc zdalną (Offer Remote Assistance) jest włączona w edytorze zasad grupy na komputerze użytkownika, pomocnik może oferować użytkownikowi Pomoc zdalną bez jawnego zaproszenia. Pomocnik musi być wcześniej dodany do listy pomocników w edytorze zasad grupy na komputerze użytkownika albo musi być członkiem grupy Administratorzy tego komputera. Aby funkcja Oferuj Pomoc zdalną działała, konieczne jest włączenie zasady Pomoc zdalna na żądanie.
Można zwiększyć wydajność sesji Pomocy zdalnej przez zmniejszenie liczby kolorów wyświetlanych na komputerze użytkownika. Za pomocą ustawienia Jakość kolorów na karcie Ustawienia w aplecie Ekran (w Panelu sterowania) należy zmniejszyć liczbę kolorów wyświetlanych na ekranie.
Jeśli komputer ma wielu użytkowników, Administrator może zobaczyć tylko swoje bilety. Administrator nie może zobaczyć biletów Pomocy zdalnej utworzonych przez innych użytkowników komputera.
Jeśli osoba, której udzielana jest pomoc, jest zalogowana na komputerze jako Gość (Guest), utworzenie zaproszenia Pomocy zdalnej będzie niemożliwe.
Jeśli Pomoc online została skopiowana z innego komputera przy użyciu funkcji pomocy udostępnionej w Centrum pomocy i obsługi technicznej, Pomoc zdalna nie zostanie uruchomiona przy użyciu wersji Centrum pomocy i obsługi technicznej zainstalowanej z komputera zdalnego. Pomoc zdalna musi zostać uruchomiona przy użyciu wersji Centrum pomocy i obsługi technicznej, która była oryginalnie zainstalowana na używanym komputerze.

Więcej informacji można uzyskać w Help and Support Center i wielu artykułach Microsoft Knowledge Base np.: 300692, 301527, 308013, 306496. Informacje dotyczą również blokowania funkcji Pomocy zdalnej i aspektów używania w środowisku z Windows Firewall.

Uruchamianie w imieniu innego użytkownika (Run As)

Dlaczego należy unikać uruchamiania komputera przy użyciu konta z poświadczeniami administracyjnymi

Poświadczenia (Credentials) - definicja: Zestaw informacji, zawierający identyfikator i potwierdzenie identyfikatora, używane do uzyskania dostępu do zasobów lokalnych i sieciowych. Przykładami poświadczeń są nazwy i hasła użytkowników, karty inteligentne i certyfikaty.
Poświadczenia administracyjne (Administrative Credentials) - definicja: Informacje o logowaniu, służące do identyfikacji członka grupy administracyjnej. Do grup, które używają poświadczeń administracyjnych, należą administratorzy, administratorzy domeny i administratorzy DNS. Poświadczenia administracyjne są niezbędne do wykonywania większości zadań na poziomie systemu lub na poziomie domeny.

Uruchamiając komputer jako członek grupy Administrators, użytkownik naraża system na konie trojańskie i inne zagrożenia dla bezpieczeństwa. Samo odwiedzenie witryny internetowej lub otwarcie załącznika wiadomości
e-mail może uszkodzić system. Nieznana witryna internetowa lub załącznik wiadomości e-mail mogą zawierać kod konia trojańskiego, który może zostać pobrany do systemu i wykonany.

Jeśli użytkownik jest zalogowany jako Administrator komputera lokalnego, koń trojański może sformatować ponownie dysk twardy, usunąć pliki oraz utworzyć nowe konto użytkownika z dostępem administracyjnym. Jeśli użytkownik jest zalogowany jako członek grupy Administrators domeny, Administrators przedsiębiorstwa lub Administrators schematu w usłudze Active Directory, koń trojański może utworzyć nowe konto użytkownika domeny z dostępem administracyjnym i narazić na niebezpieczeństwo schemat, konfigurację oraz dane domeny.

Na komputerze lokalnym zaleca się dodanie konta użytkownika domeny tylko do grupy Users (Użytkownicy) (a nie do grupy Administrators), służącego do wykonywania rutynowych zadań, w tym wykonywania programów i odwiedzania witryn internetowych.

Korzystanie z funkcji Run As (Uruchom jako)

Funkcja Run As (mechanizm tzw. Secondary Logon) umożliwia otwarcie i uruchomienie programu przy użyciu innego konta i kontekstu zabezpieczeń niż te, których użytkownik użył do zalogowania się. Można więc zalogować się przy użyciu „zwykłego” konta użytkownika, a następnie użyć funkcji Run As do otwarcia programu administracyjnego w kontekście administracyjnym. Kontekst administracyjny jest wykorzystywany tylko przez określony program i jest dostępny tylko do czasu zamknięcia tego programu.
Korzystanie z polecenia Run As nie jest ograniczone do kont administratorów, ale jest to jego najpowszechniejsze zastosowanie. Każdy użytkownik posiadający kilka kont może stosować polecenie Run As do uruchamiania programu, konsoli MMC lub elementu Control Panel z różnymi poświadczeniami.

Funkcji Run As można używać w interfejsie użytkownika lub jako narzędzia wiersza polecenia.

Interfejs użytkownika
Funkcja Run As wbudowana w interfejs użytkownika jest skrótem dostępnym z menu skrótów (po kliknięciu prawym przyciskiem myszy) dla niektórych programów (.exe), niektórych elementów Control Panel (Panelu sterowania) (.cpl) i konsoli programu Microsoft Management Console (MMC) (.msc). Przed uruchomieniem programu, elementu Control Panel lub konsoli programu MMC funkcja Run As monituje o podanie konta użytkownika i hasła. Niektóre programy i zadania administracyjne, takie jak uaktualnianie systemu operacyjnego lub konfigurowanie parametrów systemowych, nie obsługują funkcji Run As. Te zadania wymagają logowania interakcyjnego.
Narzędzie wiersza polecenia
Z mechanizmu Secondary Logon można także skorzystać w wierszu poleceń za pomocą polecenia runas.

Posługując się narzędziami graficznymi, uzyskuje się możliwość korzystania z Secondary Logon wyświetlając menu kontekstowe danej pozycji i wybierając Run As... W przypadku niektórych programów opcja Run As staje się dostępna dopiero przy wciśniętym klawiszu [Shift], czyli [Shift + prawy przycisk myszy na określonej pozycji w menu].

Legenda formatowania dla narzędzi i poleceń wydawanych w wierszu

Posługując się Help and Support Center (Centrum pomocy i obsługi technicznej) można zapoznać się ze składnią poszczególnych poleceń. Elementy składni - polecenia i parametry - należy wpisywać w określonej kolejności. Poniższy przykład polecenia xcopy przedstawia różnorodność formatów tekstu składni:

xcopy lokalizacja_źródłowa [lokalizacja_docelowa] [/w] [/p] [/c] [/v] [/q] [/f] [/l] [/g] [/d[:mm-dd-rrrr]] [/u] [/i] [/s [/e]] [/t] [/k] [/r] [/h] [{/a | /m}] [/n] [/o] [/x] [/exclude:plik1[+[plik2]][+[plik3]] [{/y | /-y}] [/z]

Poniższa tabela objaśnia sposób interpretowania różnych formatów tekstu.

Format	Znaczenie
Kursywa	Informacje, które musi podać użytkownik
Pogrubienie	Elementy, które użytkownik musi wpisać dokładnie tak, jak pokazano
Opuszczenie w tekście (...)	Parametry, które mogą powtórzyć się kilka razy w wierszu polecenia
W nawiasie kwadratowym ([])	Elementy opcjonalne
W nawiasie klamrowym ({}); opcje oddzielone znakiem potoku (\|). Przykład: {even\|odd}	Zestaw opcji, z których użytkownik musi wybrać tylko jedną
Czcionka Courier	Kod lub dane wyjściowe programu

Wykaz narzędzi administracyjnych według kategorii

Po zainstalowaniu domyślnej konfiguracji systemu dostępne są następujące typy narzędzi:

narzędzia do zarządzania usługą Active Directory
narzędzia dostępności i skalowalności
narzędzia powłoki poleceń i skryptów
narzędzia do zarządzania dyskami i danymi
narzędzia do zarządzania plikami i folderami
narzędzia do zarządzania zasadami grupy
narzędzia do zarządzania sprzętem
narzędzia do zarządzania usługami internetowymi
narzędzia do zarządzania usługami sieciowymi
narzędzia do monitorowania wydajności
narzędzia do zarządzania drukarkami i faksami
narzędzia do zarządzania procesami i usługami
narzędzia administrowania zdalnego
narzędzia do zarządzania zabezpieczeniami
narzędzia do wdrażania systemu i oprogramowania
narzędzia do zarządzania systemem

Więcej informacji można uzyskać m.in., uruchamiając Start - Help and Support a w obszarze Support Tasks używając hiperłącza Tools - Tools by Category.

Alfabetyczny wykaz narzędzi znajduje się m.in. po uruchomieniu Centrum pomocy używając w obszarze Support Tasks łącza Tools - Windows interface administrative tool reference A-Z.

Narzędzie konfiguracji systemu (System Configuration Utility) (Msconfig.exe)

Narzędzie konfiguracji systemu (System Configuration Utility) (Msconfig.exe) automatyzuje rutynowe kroki podejmowane przez pracowników Pomocy technicznej firmy Microsoft podczas diagnozowania problemów z konfiguracją systemu Windows. Narzędzie to pozwala modyfikować konfigurację systemu w procesie eliminacji przy użyciu pól wyboru, co zmniejsza ryzyko błędów literowych.

Aby móc korzystać z Narzędzia konfiguracji systemu, użytkownik musi być zalogowany jako Administrator lub członek grupy Aministrators (możliwe jest użycie funkcji Run As). Jeśli komputer jest podłączony do sieci, ustawienia zasad sieci mogą uniemożliwiać korzystanie z tego narzędzia.

UWAGA: Firma Microsoft przestrzega, aby bez konsultacji z pracownikiem Pomocy technicznej tej firmy nie używać narzędzia konfiguracji systemu do modyfikowania pliku Boot.ini. Operacja taka może trwale uszkodzić komputer.

Zasoby WS2003Lab

Pod określeniem zasoby WS2003Lab używanym w materiałach do zajęć, rozumiany jest katalog umieszczony na serwerze oceanic, do którego dostęp jest następujący:

Poprzez FTP: oceanic.wsisiz.edu.pl:/opt/windows/staff/ws2003lab/lab2006
Można podłączyć się z dowolnego komputera w Internecie, logując się z parametrami konta posiadanego w WSISiZ. Do komputera oceanic nie ma dostępu w trybie anonymous FTP.
Pracując na komputerach WSISiZ można podłączyć się do udostępnionego z komputera oceanic zasobu:
\\oceanic\staff\ws2003lab\lab2006
lub skorzystać np. z istniejącego mapowania dysku w systemach Windows XP.

Materiały do zajęć są przygotowane w formie plików *.doc, zgodnych z wymogami programu MS Word 2000. Pliki takie można przeglądać na komputerach z Windows Server 2003, używając zainstalowanego na nich bezpłatnego narzędzia MS Word Viewer.

Ważne informacje

W folderze \zaj1\Help_2003_PL_SP1 zamieszczona jest, skopiowana z polskojęzycznej wersji Windows Serwer 2003 Enterprise Edition SP1, zawartość Centrum pomocy i obsługi technicznej - odpowiednik Help and Support Center. „Klasyczny”” widok Centrum pomocy i obsługi technicznej wywołuje się otwierając plik \zaj1\Help_2003_PL_SP1\Windows.chm.

W pliku \zaj1\wazne_linki.doc znajdują się hiperłącza do polecanych stron zajmujących się poruszaną w zajęciach tematyką.

ZAJĘCIA 1 - ĆWICZENIA

UWAGA 1: Opisy ćwiczeń odnoszą się do domyślnego, a nie klasycznego, wyglądu Menu Start
UWAGA 2: Ćwiczenia oznaczone komentarzem [Dodatkowe] mają charakter nieobowiązkowych. Tryb ich wykonywania przedstawia prowadzący zajęcia.
UWAGA 3: Ostatnie z wykonywanych ćwiczeń o nazwie Porządki winno być bezwzględnie wykonane.

Ćwiczenie 1 (Przygotowania)

Uruchomić Windows Server 2003, Instalacja standardowa.
Po zalogowaniu się jako Administrator należy sprawdzić i w razie potrzeby skorygować nazwę lokalnego komputera (np. w Properties dla My Computer, karta Computer Name, przycisk Change...). Wprowadzona nazwa winna być taka, jaka została umieszczona na obudowie komputera (np. sz455).
Z zasobów WS2003Lab skopiować do katalogu głównego lokalnego dysku cały folder \\oceanic\staff\ws2003lab\lab2006\zaj1
z zachowaniem jego nazwy zaj1.
Utworzyć, dla potrzeb poprawnej koordynacji przebiegu ćwiczeń, dwuosobowe zespoły złożone z partnerów przy sąsiednich stanowiskach. Partnerzy winni uzgadniać swoje postępowanie (w pełni je synchronizować) w przypadku zdalnego wykonywania zadań.

Ćwiczenie 2 [Dodatkowe] (Prezentacja cech i możliwości produktów serii MS Windows Server 2003)

Otworzyć plik \zaj1\premiera_2003.ppt. Pojawiająca się prezentacja została przedstawiona z okazji polskiej premiery Windows Server 2003 (Warszawa, kwiecień 2003 r.). Zapoznać się z zawartymi w niej informacjami.

Ćwiczenie 3 (Wybrane aspekty posługiwania się Help and Support Center)

UWAGA: W folderze \zaj1\Help_2003_PL_SP1 zamieszczona jest, skopiowana z polskojęzycznej wersji Windows Serwer 2003 Enterprise Edition SP1, zawartość Centrum pomocy i obsługi technicznej - odpowiednik Help and Support Center. Klasyczny widok Centrum pomocy i obsługi technicznej wywołuje się otwierając plik \zaj1\Help_2003_PL_SP1\Windows.chm.

Uruchomić Centrum Help and Support Center wybierając Start - Help and Support.

Zadanie 1: Wyświetlanie list kontrolnych dotyczących uaktualniania i instalowania systemu Windows Server 2003

W obszarze Help Contents okna Help and Support Center wybrać Getting Started - Installing and Upgrading the Operating System - Checklists. Znajdują się tu dwa hiperłącza Checklist: Performing an upgrade i Checklist: Performing a new installation. Zapoznać się z informacjami zawartymi po użyciu tych łącz.
UWAGA: W przypadku braku dostępu do zainstalowanego systemu Windows Server 2003 zaleca się korzystać z informacji zamieszczonych na stronach Microsoft Windows Server TechCenter:
http://www.microsoft.com/resources/documentation/WindowsServ/2003/enterprise/proddocs/en-us/default.asp.

Zadanie 2: Zaawansowane opcje wyszukiwania

Wybrać w Help and Support Center hiperłącze Set search options (poniżej pola Search).
Sprawdzić, przez porównanie z obrazem z pliku \zaj1\options.jpg, czy ustawione są domyślne opcje. Jeżeli nie są należy je zmienić zgodnie z domyślnymi ustawieniami na obrazie.
W polu Search wprowadzić net services commands (celem jest wyszukania tematu opisującego polecenia z serii net) i uruchomić wyszukiwanie.
W kategorii Help topics znaleziono np. 22 rezultaty a w kategorii Microsoft Knowledge Base np. 40.
Ponownie użyć Set search options i odznaczyć pole przy Suggested Topics oraz zaznaczyć w sekcji Help Topics pole Search in title only. Uruchomić wyszukiwanie. Porównać wynik z rezultatem poprzedniego.

Zadanie 3: Uruchamianie wybranego narzędzia informacyjnego do uzyskiwania informacji o lokalnym i zdalnym komputerze

W Centrum pomocy w części Support Tasks wybrać System Information - View Advanced System Information - View detailed system information (Msinfo32.exe). Wyświetlone zostaje okno System Information zawierające dane o lokalnym komputerze. Należy zauważyć, że w tym oknie uwzględniono możliwość wyszukiwania informacji i zamknąć to okno.
Wybrać łącze View information for another computer.
W oknie View Remote Computer wprowadzić szyyy (gdzie szyyy jest nazwą komputera partnera).
W pojawiającym się oknie Computer Information for \\szyyy wybrać dowolne hiperłącza.

Zadanie 4: Uruchamianie „klasycznego” wyglądu Centrum pomocy

Nie zamykając okna Help and Support Center wprowadzić w Start - Run:
hh windows.chm
Po zapoznaniu się z wyglądem okna Windows Server 2003 Family Help zamknąć je.
Przywrócić domyślne ustawienia w Set search options i zamknąć okno Help and Support Center.

Ćwiczenie 4 (Udzielanie pomocy za pośrednictwem Pomocy zdalnej (Remote Assistance)
- przypadek zaawansowanego wysyłania zaproszenia/prośby jako pliku)

W tym ćwiczeniu jeden z komputerów w zespole będzie pełnił rolę komputera użytkownika (Eksperta) udzielającego pomocy, natomiast drugi rolę komputera użytkownika (Adepta) korzystającego ze zdalnej pomocy. Poszczególne etapy ćwiczenia powinny być wykonywane wspólnie.

Etapy bieżącego ćwiczenia przeznaczone do wykonania tylko na komputerze Eksperta będą oznaczane jako (Ekspert), natomiast przeznaczone do wykonania tylko na komputerze Adepta jako (Adept).

(Adept) Przygotowanie komputera do operacji udzielania Pomocy zdalnej
Otworzyć okno System Properties (np. z menu kontekstowego My Computer) i wybrać kartę Remote.
Zaznaczyć pole Turn on Remote Assistance and allow invitations to be sent from this computer i zatwierdzić.
(Adept) Wysyłanie zaproszenia (prośby) o udzielenie Pomocy zdalnej
Zaproszenie takie może wystosować domyślnie każdy użytkownik, również ten, który nie posiada poświadczeń administracyjnych. Warunkiem koniecznym jest by członek grupy Administrators uprzednio włączył możliwość korzystania z Pomocy zdalnej - patrz podpunkt 1 bieżącego ćwiczenia.

Uruchomić Start - Help and Support a następnie wybrać w obszarze Support Tasks - Support łącze Remote Assistance.

W oknie Remote Assistance użyć łącza Invite someone to help you.

W pojawiającym się oknie Connect to w3cache.wsisiz.edu.pl wprowadzić swoje parametry uwierzytelnia dla sieci WSISiZ.

W oknie Pick how you want to contact your assitant wybrać Save invitation as a file (Advanced).

W oknie Remote Assistance - Save Invitation w obszarze Enter your name wprowadzić Adept_Swoje_Imie (pozostałe ustalenia pozostawić bez zmian.) i użyć Continue >.

W następnym oknie Remote Assistance - Save Invitation pozostawić domyślne zaznaczenie pole Require the recipient to use a password i dwukrotnie wprowadzić hasło pomoc wymagane dla podłączenia się do komputera Adepta przez komputer Eksperta a następnie użyć przycisku Save Invitation.

W oknie Save As w polu Save in: wybrać jako lokalizację dykietkę, zachowując domyślną nazwę pliku zaproszenia RAInvitation.msrcincident i użyć Save.
Powinna się pojawić, w oknie Help and Support Center, w obszarze Remote Assistance informacja o zapisie pliku zaproszenia w wybranej lokalizacji.
Przekazać dyskietkę partnerowi z zespołu.
(Ekspert) Przyjęcie zaproszenia do udzielenia Pomocy zdalnej
Umieścić otrzymaną dyskietkę w napędzie i dwukrotnie kliknąć na pliku a:\RAInvitation.msrcincident.

W oknie Remote Assistance Invitation wprowadzić Password: pomoc i użyć przycisku Yes.
W wyniku tej operacji pojawia się okno Remote Assistance z „pustym” pulpitem Adepta. Aktywna jest ikona Disconnect umożliwiająca Ekspertowi kolejną możliwość odrzucenie zaproszenia. Nie stosować jej.
(Adept) Zatwierdzenie umożliwienia dostępu do komputera Adepta, a w tym m.in. do oglądania pulpitu Adepta przez Eksperta łącznie z opcją przesyłania informacji i pracowania na nim

W okienku Remote Assistance użyć przycisku Yes.
(Ekspert)
W oknie Remote Assistance Eksperta pojawia się zawartość pulpitu Adepta. Ekspert może teraz tylko obserwować zachowanie się tego pulpitu.
(Adept) Przykład czynności, którą może podjąć Adept po nawiązaniu łączności z Ekspertem - przesyłanie pliku do Eksperta.
Po nawiązaniu łączności z Ekspertem pojawia się okno Remote Assistance wyposażone w szereg ikon i m.in.
w możliwość przesyłania wiadomości (Message Entry).

Użyć ikony Send a File.

W oknie Open użyć Browse, wybrać plik np. c:\zaj1\msconfig.txt i użyć Open. Zatwierdzić przyciskiem Save.

W następnym oknie wybrać Send File. Pojawia się okno Remote Assistance - Web page Dialog z informacją o transferze pliku i oczekiwaniu na odpowiedź.
(Ekspert) Akceptacja transferu pliku od Adepta
W pojawiającym się oknie Remote Assistance - Web page Dialog zaakceptować zapis pliku wysyłanego przez Adepta przyciskiem Save As...

W oknie Save As wybrać lokalizację Desktop.
(Adept)
Zatwierdzić informację o dokonaniu transferu pliku do komputera Eksperta.
UWAGA: Zauważyć, że dla przekazania pliku nie było konieczności udostępniania zasobu w komputerze Eksperta.
(Ekspert) Otrzymanie informacji o transferze pliku z komputera Adepta
W oknie dotyczącym wyboru otwarcia otrzymanego pliku wybrać przycisk No.
(Ekspert) Przejęcie kontroli nad pulpitem Adepta
W lewym górnym rogu okna Remote Assistance wybrać Take Control.
(Adept) Wyrażenie zgody na przejęcie kontroli, przez Eksperta, nad komputerem Adepta
W okienku Remote Assistance - Web Page Dialog zapoznać się z zawartymi informacjami (szczególnie dotyczącymi użycia klawisza ESC przerywającego zdalną kontrolę) i wybrać przycisk Yes.
(Ekspert) Przystosowanie widoku pulpitu Adepta
Zatwierdzić informację o współdzieleniu kontroli nad komputerem Adepta przyciskiem OK.

Przystosować widok pulpitu Adepta tak, by widzieć jego całą zawartość wybierając Scale to Window
(w prawym górnym rogu nad pulpitem Adepta).
(Adept i Ekspert) Wspólne działania
Po uzgodnieniu z partnerem wykonać szereg prób i czynności działając w obrębie komputera/zdalnego pulpitu komputera Adepta.
(Adept lub Ekspert) Przerwanie kontroli nad komputerem Adepta
Pracując jako np. Adept użyć klawisza ESC. W obydwu komputerach pojawia się informacja o przerwaniu zdalnej kontroli nad komputerem Adepta. Zaakceptować ją.
(Adept lub/i Ekspert) Rozłączenie sesji Pomocy zdalnej
Pracując jako np. Ekspert użyć, w oknie Remote Assistance, Disconnect. Zatwierdzić informację o rozłączeniu z komputerem Adepta i zamknąć okno Remote Assistance.
Pracując jako Adept również zamknąć okno Remote Assistance.

Ćwiczenie 5 (Przegląd Menu Start, Administrative Tools i Control Panel)

Rzeczą charakterystyczną dla domyślnego wyglądu Menu Start zalogowanego użytkownika należącego do grupy Administrators jest m.in. występowanie, wyraźnie wyeksponowanych, pozycji: Manage your Server, Administrative Tools, Command Prompt, Notepad.
Dokonać krótkiego przeglądu narzędzi i miniaplikacji zawartych w Administrative Tools oraz Control Panel zwracając uwagę na występujące różnice w stosunku do wcześniej poznanych wersji systemów operacyjnych Windows.

Ćwiczenie 6 (Przygotowania do instalacji lub aktualizacji systemu)

W pierwszym punkcie ćwiczenia zostanie użyta pełna nazwa zasobu sieciowego w konwencji UNC (zgodna z Universal Naming Convention, uniwersalną konwencją nazewnictwa).
Składnia nazwy UNC jest następująca: \\nazwa_serwera\nazwa_udziału, gdzie nazwa_serwera jest nazwą serwera udostępniającego zasoby, a nazwa_udziału jest nazwą udostępnionego zasobu. Nazwy UNC katalogów lub plików mogą również zawierać ścieżkę katalogów po nazwie udziału, zgodnie z następującą składnią: \\nazwa_serwera\nazwa_udziału\katalog\nazwa_pliku

UWAGA: Użycie notacji zgodnej z UNC jest najszybszym sposobem osiągania dostępu do zasobów sieciowych.

Zweryfikować wymagania używanego komputera pod kątem możliwości zainstalowania na nim systemu Windows Server 2003, za pomocą polecenia wydanego w Start - Run:
\\szKKK\install\i386\winnt32.exe /checkupgradeonly
gdzie szKKK to nazwa komputera wskazanego przez wykładowcę.
W przypadku pojawienia się okna z ostrzeżeniem użyć przycisku Open.

W oknie Get Updated Setup Files zaznaczyć opcję No, skip this step and continue installing Windows i użyć przycisku Next.
W oknie Report System Compatibility można dla wybranych, ewentualnie pojawiających się, pozycji wybrać Details... w celu dokonania przeglądu informacji lub użyć Save As... w celu dokonania zapisu do pliku tekstowego i późniejszej analizy. Przykładową zawartość zapisanego pliku powstałą z analizy zdolności do migracji z przykładowej konfiguracji systemu Windows 2000 Server do systemu Windows Server 2003 prezentuje \zaj1\upgrade.txt.
UWAGA: Nie można dokonywać aktualizacji systemu z jednej wersji językowej do innej.
(Normalnie takie sprawdzenie powinno być wykonane np. przed aktualizacją systemów Windows NT 4.0 Server lub Windows 2000 Server, np. poprzez uruchomienie programu \i386\winnt32.exe z instalacyjnego CD lub proste umieszczenie nośnika instalacyjnego w napędzie wybranie w oknie powitalnym opcji Check system compatibility).
Sprawdzić nazwę i wersję systemu Windows zainstalowanej na używanym komputerze, za pomocą (wydanego w Command Prompt) polecenia:
winver
Polecenie winver jest dobrym sposobem m.in. na sprawdzenie okresu pozostającego do wygaśnięcia ewaluacyjnej 180-dniowej wersji systemu operacyjnego.
Zlokalizować w systemie pliki setuplog.txt, setuperr.log, setupact.log, setupapi.log (zastosować np. szukanie setup*.*). Są to pliki zawierające wykaz czynności wykonywanych w trakcie instalacji systemu - patrz materiały pomocnicze. Zapoznać się z formą zamieszanych w nich danych.

Ćwiczenie 7 (Tworzenie i wykorzystanie dyskietki startowej - Boot Disk)

Sformatować dyskietkę.
Pliki, które mają być skopiowane na dyskietkę są plikami systemowymi i ukrytymi, dlatego należy spowodować, aby Explorer wyświetlał takie pliki.
Uruchomić np. miniaplikację Folder Options w panelu sterowania Control Panel.
W zakładce View uzyskać następujące ustawienia pozycji konfiguracyjnych:
Show hidden files and folders - zaznaczona
Hide extensions for known file types - odznaczona
Hide protected operating system files (Recommended) - odznaczona
Posługując się np. oknem My Computer, z partycji C:, przekopiować na dyskietkę następujące pliki:

boot.ini
ntdetect.com
ntldr
bootsect.dos (występuje, jeżeli ma być opcja uruchamiania w systemie DOS)
ntbootdd.sys (występuje, jeżeli komputer ma dysk SCSI, którego kontroler nie jest wyposażony w BIOS).

W charakterze próby skuteczności dyskietki, włożyć ją do stacji dyskietek i zrestartować komputer. W trakcie uruchamiania komputer upewnić się, że pierwszym z urządzeń bootujących jest FDD.
System Windows Serwer 2003 powinien uruchomić się prawidłowo.
Wyjąć dyskietkę startową ze stacji dyskietek.
Po prawidłowym starcie systemu zalogować się jako Administrator, zasymulować uszkodzenie, przemianowując plik ntldr (umieszczony w katalogu głównym partycji systemowej C:) na ntldr.OLD i ponownie zrestartować komputer bez dyskietki startowej w stacji.
Podczas startu powinien być zasygnalizowany błąd:
NTLDR is missing
Press Ctrl+Alt+Del to restart
Włożyć dyskietkę startową i ponownie zrestartować komputer. Tym razem system powinien się uruchomić, gdyż program ładujący ntldr został pobrany z dyskietki. Po prawidłowym starcie systemu zalogować się jako Administrator, przemianować plik ntldr.OLD na ntldr.
Wyjąć dyskietkę startową ze stacji dyskietek i zrestartować system. Uruchomienie systemu będzie odbywać się w całości z dysku i powinno przebiec poprawnie.

Ćwiczenie 8 (Przygotowania dostosowujące wygląd Menu Start użytkownika nie posiadającego uprawnień administracyjnych do wygodnego korzystania z funkcji Run As)

Zalogować się jako labuser a następnie zwrócić uwagę na to, że w Menu Start nie występują, jeżeli są to domyślne ustawienia, pozycje np.: Administrative Tools, Command Prompt, Notepad.
Dodać do Menu Start pozycję Administrative Tools wybierając z menu kontekstowego Start opcję Properties.
W oknie Taskbar and Start Menu Properties, przy zaznaczonym polu dla Start menu, użyć Customize...,
a następnie Advanced i w części System Administrative Tools zaznaczyć pole Display on the All Programs menu and the Start menu.

Ćwiczenie 9 (Uruchamianie narzędzia administracyjnego przy użyciu Run As)

W Administrative Tools wybrać Local Security Policy.
Pojawia się okno Group Policy Error z komunikatem o niedozwolonym dostępie.
Zamknąć to i następne pojawiające się okna.
Z menu kontekstowego Local Security Policy wybrać Run as… i w oknie Run As zaznaczyć pole The following user:. Wprowadzić hasło dla konta Administrator.
Zamknąć okno Local Security Settings.

Ćwiczenie 10 (Tworzenie skrótu korzystającego z polecenia runas)

UWAGA: Do wykonania tego zadania nie trzeba mieć poświadczeń administracyjnych. Dlatego, ze względów bezpieczeństwa, zadanie to najlepiej wykonywać jako użytkownik nie mający poświadczeń administracyjnych.

Z menu kontekstowego pulpitu wybrać New - Shortcut i w oknie Create Shortcut wprowadzić:
runas /user:szxxx\administrator cmd.exe
gdzie szxxx jest nazwą komputera lokalnego.
Użyć przycisku Next i w oknie Select a Title for the Program wprowadzić Runas cmd i wybrać Finish.
Dwukrotnie kliknąć na utworzonym skrócie i w pojawiającym się oknie Runas cmd wprowadzić hasło Administratora.
Pojawia się okno wiersza polecenia z opisem cmd.exe (running as szxxx\administrator). Nie zamykać tego okna.

Ćwiczenie 11 (Zmiana opcji uruchomieniowych z użyciem poleceń narzędzia bootcfg.exe
z zastosowaniem funkcji Run As)

UWAGA: Domyślnie, użytkownik labuser należący do grupy Users nie może zmieniać parametrów uruchomieniowych systemu.

W uruchomionym oknie cmd.exe (running as szxxx\administrator) zapoznać się ze składnią uruchamiania bootcfg.exe wprowadzając:

bootcfg /?

Sprawdzić przy użyciu poniższego polecenia dane dotyczące opcji uruchamiania lokalnego systemu:
bootcfg /query
Sprawdzić przy użyciu poniższego polecenia dane dotyczące opcji uruchamiania zdalnego systemu:

bootcfg /query /s szyyy

gdzie szyyy jest nazwą komputera partnera z zespołu.

Dokonać (po uzgodnieniu z partnerem) zmiany parametru oczekiwania (z domyślnej wartości 30 sekund na wartość 15 sekund) na wybór systemu dla zdalnego komputera szyyy przy użyciu polecenia:
bootcfg /timeout 15 /s szyyy
Sprawdzić przy użyciu poniższego polecenia aktualne ustawienia zdalnego komputera szyyy przy użyciu polecenia:
bootcfg /query /s szyyy
Zminimalizować okno Command Prompt.

Ćwiczenie 12 (Przeglądanie opcji uruchomieniowych z użyciem narzędzia msconfig.exe i funkcji Run As)

Po dokonaniu zmian w zdalnym systemie sprawdzić lokalnie ustawienia parametrów uruchamiania wprowadzając, jednym ciągiem, w Start - Run następujące polecenie (!!! mając na uwadze dosyć skomplikowaną postać polecenia można się posłużyć plikiem \zaj1\msconfig.txt zmieniając w nim nazwę szxxx na właściwą i kopiując cały, poprawiony tekst do Start - Run):

runas.exe /user:szxxx\administrator C:\WINDOWS\PCHEALTH\HELPCTR\Binaries\msconfig.exe
gdzie szxxx jest nazwą lokalnego komputera.

W pojawiającym się oknie c:\windows\system32\runas.exe podać hasło konta Administrator

W uruchomionym oknie System Configuration Utility wybrać kartę Boot.ini i sprawdzić jaka jest wartość parametru timeout (zgodnie z poprzednim ćwiczeniem winna być 15).
!!! Nie należy zmieniać ustawień w System Configuration Utility. Po dokonaniu przeglądu możliwości tego narzędzia zamknąć jego okno.

Ćwiczenie 13 (Wykonywanie restartu zdalnego komputera przy użyciu polecenia shutdown
i funkcji Run As)

Naturalną konsekwencją zmiany parametrów uruchamiania zdalnego komputera jest dokonanie, również w sposób zdalny, jego powtórnego uruchomienia. Można tego dokonać przy użyciu polecenia shutdown z odpowiednimi ustaleniami.

Zmaksymalizować okno Command Prompt (cmd.exe (running as szxxx\administrator)). Zapoznać się ze składnią uruchamiania shutdown wprowadzając:

shutdown /?

Wywołać graficzną postać polecenia wydając:
shutdown /i

W oknie Remote Shutdown Dialog użyć przycisku Add...
W oknie Add Computers (!!! po uzgodnieniu z partnerem !!!) wprowadzić szyyy (gdzie szyyy jest nazwą komputera partnera).
Dla sekcji What do you want these computer to do: wybrać Restart.
W oknie Comment: (This field is REQUIRED.....) wprowadzić np. Restart po zmianie boot.ini, a pozostałe opcje pozostawić bez zmian i, po uzyskaniu ponownej akceptacji ze strony partnera, zatwierdzić ustalenia przyciskiem OK.

Ćwiczenie 14 (Zmiana opcji uruchomieniowych przy użyciu miniaplikacji System z użyciem funkcji Run As)

Po dokonaniu ponownego uruchomienia komputera zalogować się jako labuser, wybrać w Control Panel uruchomienie miniaplikacji System z opcją Run As (z wciśniętym klawiszem [Shift]).
W oknie Run As wprowadzić hasło dla użytkownika Administrator. Na karcie Advanced wybrać w sekcji Startup and Recovery przycisk Settings.
W oknie Startup and Recovery, dla zaznaczonej opcji Time to display list of operating systems: ustawić domyślną wartość 30 seconds. Pozostałe ustalenia pozostawić bez zmian (domyślne ustawienia zawarte są na obrazie z pliku \zaj1\startup_and_recovery.jpg - mogą wystąpić różnice w zawartości pola Default operating system:). Zamknąć otwarte okna używając przycisku OK.

Ćwiczenie 15 (Porządki)

Będąc zalogowanym jako labuser usunąć wszystkie nowoutworzone skróty na ekranie.
Usunąć z Menu Start pozycję Administrative Tools wybierając z menu kontekstowego Start opcję Properties.
W oknie Taskbar and Start Menu Properties, przy zaznaczonym polu dla Start menu, użyć Customize...,
a następnie Advanced i w części System Administrative Tools zaznaczyć pole Don't display this item.
Wylogować się i zalogować jako Administrator
Będąc zalogowanym jako Administrator otworzyć okno System Properties (np. z menu kontekstowego My Computer) i wybrać kartę Remote.
Odznaczyć pole Turn on Remote Assistance and allow invitations to be sent from this computer
i zatwierdzić.
Będąc zalogowanym jako Administrator powrócić do domyślnego sposobu wyświetlania zasobów plikowych
w poniższy sposób.
Uruchomić miniaplikację Folder Options w panelu sterowania Control Panel.
W zakładce View uzyskać następujące domyślne ustawienia pozycji konfiguracyjnych:
Show hidden files and folders - zaznaczona
Hide extensions for known file types - odznaczona
Hide protected operating system files (Recommended) - zaznaczona

Usunąć folder c:\zaj1.
Zamknąć system.

ZAJĘCIA 2 - ZAKRES PRAC I MATERIAŁY POMOCNICZE

ZAKRES PRAC

Narzędzia pracy administratora systemu Windows Server 2003. Część II

Microsoft Management Console (MMC)
Dodatkowe narzędzia dostępne na instalacyjnych CD
Zaawansowane opcje uruchamiania systemu
Konsola odzyskiwania (Recovery Console)
Automatyczne odzyskiwanie systemu ASR (Automated System Recovery)
Resource Kit
Narzędzia i polecenia mmc, winnt32, diskuse, diruse, attrib, fc
Konfigurowanie systemu do wysyłania ofert pomocy z wykorzystaniem funkcji Offer Remote Assistance (Oferuj Pomoc zdalną) bez jawnego zaproszenia wysyłanego przez oczekującego na porady

Liczba ćwiczeń: 11

MATERIAŁY POMOCNICZE

Microsoft Management Console (MMC)

Wraz z Service Pack 4.0 i Option Pack 4.0 dla Windows NT 4.0, Microsoft wprowadził do użytku po raz pierwszy konsolę zarządzającą MMC (Microsoft Management Console), która w oparciu o zestaw tzw. snap-ins, pozwala na konfigurowanie i uzyskiwanie całej gamy narzędzi zarządzających (przechowywanych w plikach .msc).

Zgodnie z zamierzeniami firmy Microsoft konsola MMC miała być dalej rozwijana i rzeczywiście stała się podstawową konstrukcją (framework) do zarządzania systemami Windows 2000, Windows XP i Windows Server 2003.
Zdecydowana większość narzędzi administracyjnych w Windows Server 2003 jest zbudowana w oparciu o mechanizm MMC.

Program MMC nie wykonuje zadań administracyjnych, a tylko przechowuje narzędzia do ich wykonywania. Podstawowym typem narzędzia, które można dodawać do konsoli, jest przystawka (snap-in). Innymi elementami, które można dodawać, są formanty ActiveX, łącza do stron sieci Web, foldery, widoki bloków zadań i zadania.

MMC jest aplikacją, która sama z siebie nie ma żadnych aspektów funkcjonalnych do administrowania systemem, natomiast zapewnia ona mechanizm podłączania (instalowania) i obsługi odpowiednich elementów oprogramowania nazywanych przystawkami (snap-ins) służących do administrowania wybranym aspektem systemu Windows Server 2003. W wyniku zainstalowania w MMC jednego lub więcej elementów typu snap-in, otrzymuje się tzw. konsolę MMC (console), która po zapamiętaniu jest przechowywana w pliku *.msc . Zapamiętana konsola może być użyta ponownie. Zestaw przystawek użytych w konsoli może być dobierany indywidualnie do potrzeb użytkownika.

Budowę nowej konsoli MMC można rozpocząć od uruchomienia pustej konsoli za pomocą polecenia:
mmc
wydanego np. w menu Start - Run lub w oknie wiersza polecenia.

Następnym krokiem jest dodanie nowego elementu typu snap-in za po wybraniu pozycji Console - Add/Remove Snap-in ...

W zakładce Standalone wybierane są przystawki o charakterze autonomicznym - samodzielnym (standalone), natomiast w zakładce Extensions wybierane są, jeśli istnieją, ich rozszerzenia (extensions).

0x01 graphic

Dla przykładu, po wybraniu samodzielnej przystawki Computer Management, zdecydowaniu się na jej tryb pracy dla lokalnego komputera oraz uwzględnienia wszystkich jej rozszerzeń otrzymuje się konsolę jak powyżej.

W lewym panelu tej konsoli wyświetlana jest drzewiasta struktura nazywana drzewem konsoli (console tree). Korzeń tego drzewa identyfikuje wykorzystywaną przystawkę oraz komputer zarządzany za jej pomocą (tutaj: lokalny komputer). Poniżej znajdują się trzy pojemniki (containers), nazywane czasami węzłami: System Tools, Storage, Services and Applications służące do grupowania zawartych w nich węzłów.

Prawy panel nazywany jest panelem szczegółów (detail panel) i jego zawartość jest całkowicie zależna od tego jaki kontener/węzeł jest wybrany w lewym panelu. Ta zawartość może obejmować listy atrybutów, elementy graficzne, podpanele, strony WWW i inne.

Aby zapamiętać konsolę, trzeba wykonać polecenie File - Save . Po wpisaniu nazwy dla tej konsoli np. robocza, zostanie ona zapamiętana w pliku robocza.msc

Konsola może być dalej dostosowywana do własnych potrzeb za pomocą m.in.:

zmian w wyświetlaniu informacji w panelu szczegółów (menu View)
zmian sposobu wyświetlania drzewa konsoli w lewym panelu, poprzez grupowanie węzłów za pomocą przystawki Folder
wykorzystanie menu Favorites do szybkiego przełączania się, do wybranych miejsc w rozbudowanej konsoli
zawężanie informacji prezentowanej w lewym panelu, za pomocą New Windows from Here
definiowanie Taskpad View, czyli stron w panelu szczegółów, do których można dodać skróty powodujące wykonywanie specyficznych czynności (Tasks) takich jak: uruchamianie kreatorów, otwieranie menu właściwości, otwieranie stron WWW czy uruchamianie poleceń lub skryptów

Przykład dostosowania za pomocą kreatora Taskpad View i kreatora New Task pokazuje, przedstawiony poniżej, wygląd uzyskanej konsoli:

0x01 graphic

Aby uruchomić konsolę MMC zapamiętaną w pliku nazwa.msc można posłużyć się m.in. następującymi metodami:

W Eksploratorze odnaleźć plik nazwa.msc i dwukrotnie kliknąć na nim, lub z menu kontekstowego wybrać opcję Author jeśli konsola ma być otwarta w trybie author mode
Jeśli plik nazwa.msc został zapamiętany w tzw. indywidualnym folderze Administrative Tools danego użytkownika, czyli w folderze
\Documents and Settings\konto_użytkownika\Start Menu\Programs\Administrative Tools
to będzie ona widoczna w menu Start - All Programs - Administrative Tools dla tego użytkownika
Uruchamiając polecenie:
mmc ścieżka_do_pliku_konsoli\nazwa.msc
lub
mmc ścieżka_do_pliku_konsoli\nazwa.msc /a
jeśli konsola ma być otwarta w trybie author mode

Przystawka (snap-in)

Przystawka jest podstawowym składnikiem konsoli programu MMC. Przystawki zawsze znajdują się w konsoli; nie można ich uruchamiać poza programem MMC.

Jeśli zainstalowany zostanie składnik, z którym skojarzona jest przystawka, przystawka ta jest dostępna dla każdej osoby tworzącej konsolę na danym komputerze (o ile nie ma ograniczeń wynikających z zasad użytkowników).

Program MMC obsługuje dwa typy przystawek: przystawki autonomiczne (stand-alone snap-ins) i przystawki rozszerzeń (extension snap-ins). Przystawkę autonomiczną, zazwyczaj nazywaną po prostu przystawką, można dodać do drzewa konsoli bez uprzedniego dodawania innego elementu. Przystawka rozszerzenia, nazywana zwykle rozszerzeniem, jest zawsze dodawana do przystawki autonomicznej lub do innej przystawki rozszerzenia, która już się znajduje w drzewie konsoli. Jeśli dla przystawki włączone są rozszerzenia, działają one na obiekty sterowane przez daną przystawkę, takie jak komputery, drukarki, modemy lub inne urządzenia.

Jeśli przystawka autonomiczna lub przystawka rozszerzenia zostanie dodana do konsoli, może ona się pojawić jako nowy element w drzewie konsoli albo może ona dodać elementy menu skrótów, dodatkowe paski narzędzi, dodatkowe strony właściwości lub kreatorów do przystawki, która już jest zainstalowana w konsoli.

Do konsoli można dodać jedną lub wiele przystawek oraz inne elementy. Ponadto do tej samej konsoli można dodać wiele instancji określonej przystawki, aby administrować różnymi komputerami lub naprawić uszkodzoną konsolę. Za każdym razem, gdy do konsoli zostanie dodana nowa instancja przystawki, wszelkie zmienne dla tej przystawki są ustawione na wartości domyślne, dopóki przystawka nie zostanie skonfigurowana. Jeśli na przykład określona przystawka zostanie skonfigurowana do zarządzania komputerem zdalnym, a następnie zostanie dodana druga instancja tej przystawki, ta druga instancja nie będzie automatycznie skonfigurowana do zarządzania komputerem zdalnym.

Zazwyczaj można dodawać tylko przystawki zainstalowane na komputerze użytym do utworzenia konsoli. Jeśli jednak dany komputer jest częścią domeny, programu MMC można użyć do pobrania dowolnej przystawki, która nie jest zainstalowana lokalnie, ale która jest dostępna w usłudze katalogowej Active Directory.

Drzewo konsoli (Console Tree) i katalog główny konsoli (Console Root)

Drzewo konsoli jest hierarchiczną strukturą w lewym okienku konsoli programu MMC. W drzewie konsoli pokazywane są elementy dostępne w danej konsoli. Do elementów tych należą foldery, przystawki, formanty, strony sieci Web i inne narzędzia.

Aby wyświetlić drzewo nowej konsoli należy otworzyć program MMC klikając przycisk Start, polecenie Run, a następnie wpisując mmc i klikając przycisk OK.

Jedynym elementem drzewa nowej konsoli jest folder oznaczony jako Katalog główny konsoli (Console Root). Funkcje administracyjne konsoli można tworzyć przez dodawanie elementów do konsoli.

Nie trzeba umieszczać okna konsoli w katalogu głównym konsoli. Okno konsoli można umieścić w dowolnym elemencie drzewa konsoli. Wówczas elementy znajdujące się powyżej tego miejsca zostaną ukryte, a w oknie zostanie wyświetlony nowy katalog główny konsoli i wszelkie narzędzia administracyjne znajdujące się niżej w hierarchii.

Kontenery w drzewie konsoli (Containers on the console tree)

Kontener (container) jest dowolnym elementem drzewa konsoli, do którego dodawane są obiekty. Domyślnym kontenerem jest folder, którego można używać do grupowania pokrewnych elementów w drzewie konsoli. Jednak programu MMC można również używać w celu dodawania obiektów do elementów innych niż foldery, które również stają się wtedy kontenerami.

Katalog główny konsoli (console root))jest kontenerem. Jego jedyną funkcją jest zawieranie drzewa konsoli. Najwyżej położonym elementem przystawki jest zwykle folder lub inny kontener.

Kolejnym typem elementu, który może zawierać inne elementy, jest element wyświetlany (viewable item). Po kliknięciu takiego elementu w okienku szczegółów zamiast dodatkowych elementów jest wyświetlana lista, tekst lub informacja graficzna. Elementami takimi są strony sieci Web, ponieważ wymagają one przeglądarki, którą można otworzyć tylko w okienku szczegółów.
Nie należy dodawać elementów do elementów wyświetlanych, ponieważ użytkownik może ukryć drzewo konsoli.
W takim wypadku nie będzie wiadomo, czy element wyświetlany zawiera inne elementy. W zamian, jeśli istnieje kolekcja elementów wyświetlanych, można dodać do drzewa konsoli folder i zgrupować w nim te elementy. Użytkownik ma wtedy dostęp do wszystkich elementów, gdy drzewo konsoli zostanie ukryte.

Typem elementu, który nie może zawierać innych elementów, jest liść (leaf). Po kliknięciu liścia w okienku szczegółów jest wyświetlana lista elementów. Zazwyczaj są to elementy, które są pojedynczo zawarte w drzewie konsoli. Jeśli jednak elementów jest kilkaset lub kilka tysięcy, przystawka używa liścia zamiast kontenera.

Widoki bloków zadań i zadania (Taskpad views and tasks)

Widoki bloków zadań (taskpad views) są stronami, do których można dodawać widoki okienka szczegółów konsoli, a także skróty do funkcji wewnątrz i na zewnątrz danej konsoli. Skrótów tych można używać do uruchamiania zadań (tasks), takich jak uruchamianie kreatorów, otwieranie stron właściwości, wykonywanie poleceń menu, uruchamianie wierszy poleceń i otwieranie stron sieci Web. Widok bloku zadań można tak skonfigurować, aby zawierał on wszystkie zadania, które wykonuje dany użytkownik. Ponadto w konsoli można utworzyć wiele widoków bloków zadań, tak aby zadania można było pogrupować według funkcji lub użytkowników.

Widok bloku zadań może ułatwiać pracę nowym użytkownikom. Można, na przykład, dodać do widoku bloku zadań odpowiednie zadania, a następnie ukryć drzewo konsoli, aby użytkownik mógł zacząć używać narzędzi, zanim pozna lokalizacje określonych elementów w drzewie konsoli lub w systemie operacyjnym.

Widoki bloków zadań mogą również ułatwiać wykonywanie złożonych zadań. Na przykład, jeśli użytkownik musi często wykonywać zadanie, które wymaga użycia wielu przystawek i innych narzędzi, poszczególne zadania można uwidocznić w jednej lokalizacji, z której będą otwierane lub uruchamiane wymagane okna dialogowe, strony właściwości, wiersze polecenia i skrypty.

Opcje - tryby dostępu do konsoli MMC

Istnieją dwie główne metody pracy z MMC:

praca w trybie użytkownika (User Mode) czyli praca z istniejącą konsolą MMC w celu administrowania systemem, natomiast bez możliwości wprowadzania zmian w takiej konsoli (występują trzy warianty trybu pracy użytkownika)
praca w trybie autorskim (Author Mode) pozwalająca na tworzenie nowej lub modyfikacje istniejącej konsoli

Poniższa tabela przedstawia zestawienie trybów pracy.

Mode

(Tryb)

Description

(Opis)

Author mode

(Tryb autorski)

Umożliwia pełne dostosowywanie konsoli programu MMC, w tym dodawanie i usuwanie przystawek, tworzenie nowych okien, tworzenie listy Favorites (Ulubione) i bloków zadań oraz dostęp do wszystkich opcji okien dialogowych Customize View (Dostosowywanie widoku) i Options (Opcje). Tryb ten jest zazwyczaj używany przez użytkowników tworzących pliki konsoli na własny lub cudzy użytek. Utworzona w ten sposób konsola jest zwykle zapisywana w jednym z następujących, poniżej wymienionych, trybów użytkownika.

User mode-full access

(Tryb użytkownika - pełny dostęp)

Taki sam tryb, jak tryb autorski, tyle że użytkownik nie może dodawać i usuwać przystawek, zmieniać opcji konsoli, tworzyć listy Favorites (Ulubione) ani bloków zadań (Taskpads).

User mode-limited access, multiple windows

(Tryb użytkownika - dostęp ograniczony, wiele okien)

Udostępnia tylko te części drzewa konsoli, które były widoczne w momencie zapisania pliku konsoli. Użytkownicy mogą tworzyć nowe okna, ale nie mogą zamykać okien już istniejących.

User mode-limited access, single window

(Tryb użytkownika - dostęp ograniczony, jedno okno)

Udostępnia tylko te części drzewa konsoli, które były widoczne w momencie zapisania pliku konsoli. Użytkownicy nie mogą tworzyć nowych okien.

Opcje te można konfigurować w oknie dialogowym Options w programie MMC

Zmiany wprowadzone w konsolach w trybie autorskim i w trybie użytkownika są zapisywane w różny sposób. Jeśli użytkownik pracuje z konsolą w trybie autorskim, przy zamykaniu konsoli jest wyświetlany monit o zapisanie zmian. Jeśli jednak użytkownik pracuje z konsolą w trybie użytkownika i jest wyczyszczone pole wyboru Do not save changes to this console (Nie zapisuj zmian w tej konsoli) (dostępne przez kliknięcie polecenia Options (Opcje) w menu File (Plik)), przy zamykaniu konsoli zmiany są zapisywane.

Jeśli jest spełniony jeden z następujących warunków, domyślny tryb konsoli jest ignorowany i konsola jest otwierana w trybie autorskim:

Program MMC jest już otwarty podczas otwierania konsoli.
Konsola jest otwierana przy użyciu polecenia menu skrótów Author (Autor).
Konsola jest otwierana z wiersza polecenia z opcją /a.

Funkcje trybu autorskiego dla programu MMC są zwykle niepotrzebne użytkownikom, którzy nie muszą tworzyć ani zmieniać konsoli programu MMC. Administrator systemu może tak skonfigurować ustawienia profilu użytkownika, aby uniemożliwić użytkownikom otwieranie konsoli programu MMC w trybie autorskim, wyłączając opcję /a lub polecenie menu skrótów. Ponadto Administrator może użyć ustawień zasad grup, aby uniemożliwić użytkownikom otwieranie programu MMC i konsoli zapisanych w trybie autorskim.

Dodatkowe narzędzia dostępne na instalacyjnym CD

Na nośniku instalacyjnym Windows Server 2003 Enterprise Edition w katalogu \I386 znajduje się pakiet dodatkowych narzędzia administracyjnych, które można zainstalować (nie są domyślnie instalowane) w systemie:

Adminpak.msi: zestaw narzędzi Windows Server 2003 Service Pack 1 Administration Tools Pack będący uzupełnieniem narzędzi Administrative Tools o możliwości wykonywania czynności zdalnego administrowania serwerami, zarówno serwerami samodzielnymi, członkowskimi w domenie oraz kontrolerami domeny
Aktualizacje narzędzi zestawu Windows Server 2003 Service Pack 1 Administration Tools Pack, w postaci (luty 2006 r.) pliku WindowsServer2003-KB304718-AdministrationToolsPack.exe, można pobrać z zasobów portalu Microsoft:
http://www.microsoft.com/downloads/details.aspx?FamilyID=E487F885-F0C7-436A-A392-25793A25BAD7&displaylang=en.

Godnym polecenia jest artykuł KB 304718 „Jak zdalnie administrować komputerami z systemem Windows Server 2003, Windows XP lub Windows 2000 za pomocą pakietu narzędzi administracyjnych”
http://support.microsoft.com/default.aspx?scid=kb%3Bpl%3B304718

Na nośniku instalacyjnym Windows Server 2003 Enterprise Edition w katalogu \SUPPORT\TOOLS znajdują się pakiety dodatkowych narzędzia wspomagających, a wśród nich:

Support.cab: zestaw narzędzi Windows Support Tools (Narzędzia obsługi systemu Windows) zawierający kilkadziesiąt dodatkowych programów, wraz z plikami pomocy do nich.
Narzędzia obsługi systemu Windows nie są automatycznie instalowane z dodatkiem SP1 dla systemu Windows Server 2003. Aby zainstalować je na komputerze z systemem Windows Server 2003, należy uruchomić program instalacyjny Suptools.msi znajdujący się w folderze \Support\Tools na dysku CD z dodatkiem SP1 dla systemu Windows Server 2003.

Plik pomocy narzędzi obsługi systemu Windows Server 2003 (Suptools.chm) znajduje się w pliku archiwum \Support\Tools\Sup_srv.cab (dla Windows XP Professional w pliku \Support\Tools\Sup_pro.cab).
Rozpakowaną wersję plików zamieszczono, dla wygody uczestników zajęć, odpowiednio w folderach \zaj2\Sup_srv i \zaj2\Sup_pro. Należy otwierać plik suptools.chm.
W pliku pomocy można znaleźć informacje o każdym narzędziu i składni polecenia oraz przykładowe dane wyjściowe i uwagi. W tym pliku pomocy znajdują się szczegółowe informacje na temat sposobu użycia tych narzędzi.

Więcej informacji o m.in. zaktualizowanych narzędzia obsługi systemu Windows można uzyskać w artykule KB 892777 „Narzędzia obsługi dodatku Service Pack 1 dla systemu Windows Server 2003”.

Aby pobrać zaktualizowane narzędzia obsługi systemu Windows, należy odwiedzić następującą witrynę firmy Microsoft w sieci Web:
http://www.microsoft.com/downloads/details.aspx?FamilyId=6EC50B78-8BE1-4E81-B3BE-4E7AC4F0912D.

Uwaga: Jeśli na komputerze zainstalowana jest starsza wersja narzędzi obsługi systemu Windows, należy ją odinstalować przed zainstalowaniem narzędzi obsługi z dodatku SP1 dla systemu Windows Server 2003.
Deploy.cab: zestaw narzędzi wspomagających proces instalacji systemu Windows Server 2003 Enterprise Edition na wielu komputerach (Setup Manager oraz SysPrep).

Zaawansowane opcje uruchamiania systemu

UWAGA: Nawet wtedy, gdy lokalne konto Administratora zostanie wyłączone, nadal będzie ono dostępne w przypadku wykorzystania trybu awaryjnego.

Fizyczny dostęp do serwera stwarza duże zagrożenie dla bezpieczeństwa. Aby zwiększyć bezpieczeństwo systemu, należy ograniczyć fizyczny dostęp do wszystkich serwerów i sprzętu sieciowego.

Podczas startu systemu Windows Server 2003 i wyświetlania menu dostępnych systemów pojawia się u dołu ekranu informacja:

For troubleshooting and advanced startup options for Windows, press F8
Naciśnięcie klawisza [F8] powoduje wyświetlenie zaawansowanych opcji uruchamiania systemu (Windows Advanced Options Menu) obejmujących następującą listę:

Debugging Mode (Tryb debugowania): Podczas uruchamiania systemu informacje debugowania są przesyłane do innego komputera za pośrednictwem kabla szeregowego. Ten kabel szeregowy musi być podłączony do portu COM1 i zapewniać szybkość transmisji 115 200. Jeżeli Remote Installation Services (Usługi instalacji zdalnej) są lub były używane do instalacji systemu Windows na danym komputerze, to mogą zostać udostępnione dodatkowe opcje związane z odzyskiwaniem lub przywracaniem systemu przy użyciu Remote Installation Services.
Directory Service Restore Mode (Tryb przywracania usług katalogowych): Ta opcja jest przeznaczona dla systemów operacyjnych serwerów i jest używana tylko do odzyskiwania katalogu SYSVOL i usługi katalogowej Active Directory na kontrolerze domeny.
Enable Boot Logging (Włącz rejestrowanie rozruchu): tworzenie tekstowego pliku ntbtlog.txt w katalogu %SystemRoot% (zwykle jest nim C:\WINDOWS) odnotowującego udane lub nieudane inicjalizacje programów obsługi urządzeń i usług systemowych
Safe Mode (Tryb awaryjny): System jest uruchamiany przy użyciu podstawowych plików i sterowników (mysz, z wyjątkiem myszy szeregowych, monitor, klawiatura, pamięć masowa, podstawowy system graficzny, bez połączeń sieciowych). Jeżeli nie można pomyślnie uruchomić komputera w trybie awaryjnym, to może się okazać konieczne wykorzystanie Recovery Console (Konsoli odzyskiwania) do naprawy systemu.
Safe Mode with Networking (Tryb awaryjny z obsługą sieci): jak Safe Mode ale łącznie z podstawowymi programami obsługi i usługami sieciowymi.
Safe Mode with Command Prompt (Tryb awaryjny z wierszem polecenia): jak Safe Mode ale praca odbywa się w wierszu polecenia zamiast w graficznym interfejsie użytkownika
Enable VGA Mode (Włącz tryb VGA): Komputer jest uruchamiany przy użyciu sterownika wideo z najniższą rozdzielczością. Podstawowy sterownik wideo jest zawsze używany podczas uruchamianiu systemu w trybie awaryjnym (opcja Safe Mode, Safe Mode with Networking lub Safe Mode with Command Prompt).
Last Known Good Configuration (Ostatnia znana dobra konfiguracja): Komputer jest uruchamiany przy użyciu informacji zawartych w rejestrze i sterowników zapisanych przez system Windows podczas ostatniego logowania się do systemu. Wszystkie zmiany dokonane w ustawieniach sterowników lub innych ustawieniach systemu od ostatniego pomyślnego zalogowania się zostaną utracone. Opcji tej należy używać tylko w przypadku niewłaściwej konfiguracji.
Start Windows Normally (Uruchom system Windows normalnie)
Reboot (Wykonaj ponowny rozruch)
Return to OS Choices Menu (Powróć do menu wyboru systemu operacyjnego)

Po wybraniu odpowiedniej opcji uruchamiania jest ponownie wyświetlane menu dostępnych systemów i należy wybrać ten, który ma być w taki sposób uruchomiony. Praca w trybie Safe Mode lub jego odmianach jest sygnalizowana wyświetlaniem odpowiedniej adnotacji w rogach ekranu.

Konsola odzyskiwania (Recovery Console)

Jeśli zaawansowane opcje uruchamiania nie pozwolą doprowadzić systemu do prawidłowego stanu, można posłużyć się Konsolą odzyskiwania (Recovery Console) czyli minimalnym środowiskiem systemu Windows Server 2003 działającym w wierszu polecenia.

Za pomocą Recovery Console można m.in.:

Dokonać naprawy Master Boot Record (MBR) - polecenie Fixmbr
Zmienić podział na partycje i sformatować dyski i partycje - polecenia Diskpart, Format
Odczytać i/lub zapisać pliki na partycjach NTFS, np. skopiować pliki z instalacyjnego CD na dysk systemowy
Zezwolić lub zabronić uruchamiania wybranych usług systemowych lub sterowników urządzeń - polecenia Enable, Disable

Po uruchomieniu Recovery Console, można wyświetlić opis dostępnych poleceń za pomocą polecenia help.

Pełen spis poleceń stosowalnych w Recovery Console zawiera plik \zaj2\Polecenia_Konsoli_odzyskiwania.doc.

Przy domyślnych ustawieniach, Konsola odzyskiwania pozwala kopiować pliki np. ze stacji dyskietek, CD-ROM na dysk twardy (ale nie odwrotnie) oraz pozwala na dostęp tylko do wybranych katalogów systemowych na dysku.

Po wykonaniu polecenia exit następuje restart systemu.

Istnieją dwa podstawowe sposoby uruchomienia Recovery Console:

Z bootowalnego instalacyjnego CD. Wybór Konsoli odzyskiwania przebiega jak poniżej:
Umieszczenie instalacyjnego CD w napędzie i uruchomienie komputera ze stacji CD.
Po uruchomieniu tekstowej część Instalatora należy postępować zgodnie z monitami; wybrać opcję Repair or Recover (naprawy lub odzyskiwania), naciskając klawisz [R].
Jeśli używany jest system z podwójnym lub z wielokrotnym rozruchem, wybrać instalację, do której należy uzyskać dostęp z Konsoli odzyskiwania.
Po wyświetleniu monitu wprowadzić hasło lokalnego konta Administratora
Z wersji Recovery Console zainstalowanej (zainstalowanie konsoli nie jest możliwe dla komputerów z procesorem Itanium) na lokalnym dysku.

W tym ostatnim przypadku, instalacja Recovery Console na dysku powinna być wykonana, zanim zajdzie potrzeba skorzystania z niej, czyli jeszcze przy poprawnie działającym systemie Windows Server 2003.
Aby wykonać taką instalację należy uruchomić polecenie:
winnt32.exe /cmdcons
będąc w katalogi \I386 nośnika instalacyjnego.

Usunięcie Recovery Console z dysku wymaga:

usunięcia stosownego wpisu z pliku boot.ini
usunięcia pliku cmldr z katalogu głównego partycji systemowej
usunięcia katalogu \cmdcons z partycji systemowej

Ważne uwagi dotyczące Konsoli odzyskiwania (Recovery Console)

UWAGA 1: Ustawienia zabezpieczeń lokalnych można tak skonfigurować, by Konsola odzyskiwania (Recovery Console) zezwalała na automatyczne logowanie administracyjne. Nie jest to domyślne ustalenie. Zmiana tego ustawienia pozwala na uruchomienie Konsoli odzyskiwania bez konieczności podawania hasła Administratora !!!

Tej opcji należy używać bardzo ostrożnie. Pozwala ona osobom mającym fizyczny dostęp do komputera na uruchomienie systemu w trybie Konsoli odzyskiwania i używanie jej poleceń.
Jeżeli, z uzasadnionych powodów, zachodzi potrzeba zastosowania automatycznego logowania administracyjnego należy wykorzystać przystawkę Group Policy Object Editor.

Po rozwinięciu drzewa konsoli
Local Computer Policy - Computer Configuration - Windows Settings - Security Settings - Security Options
należy wybrać następujące ustawienie zabezpieczeń
Recovery console: Allow automatic administrative logon
(Konsola odzyskiwania: zezwalaj na automatyczne logowanie administracyjne)
i zmienić domyślne ustawienie zasady ze stanu Disable na Enable.

UWAGA 2: Domyślne ustawienia zabezpieczeń lokalnych pozwalają na częściowy (z niewielkimi wyjątkami) dostęp do zasobów dyskowych, niektórych napędów i dołączanych urządzeń zewnętrznych. Przykładami mogą tu być: niemożność dokonywania kopii plików z dysku twardego na dyskietkę i inne urządzenia zewnętrzne, zabroniony dostęp do tworzenia nowych folderów w katalogu głównym partycji i innych lokalizacjach, zabroniony dostęp do prawie wszystkich plików i folderów komputera.

Warunkiem koniecznym do zmiany domyślnych ustawień zabezpieczeń (tej opcji, ze względów bezpieczeństwa, należy używać bardzo ostrożnie) jest poczynienie odpowiednich ustaleń przy użyciu przystawki Group Policy Object Editor. W tym celu należy rozwinąć drzewo konsoli
Local Computer Policy - Computer Configuration - Windows Settings - Security Settings - Security Options
i wybrać następujące ustawienie zabezpieczeń
Recovery console: Allow floppy copy and access to all drives and all folders
(Konsola odzyskiwania: zezwalaj na kopiowanie na dyskietkę oraz dostęp do wszystkich dysków i folderów)
a następnie zmienić domyślne ustawienie zasady ze stanu Disable na Enable.

Włączenie w/w zasady powoduje aktywację pełnych możliwości użycia polecenia Set w Konsoli odzyskiwania.
Umożliwia ona ustawienie następujących zmiennych środowiskowych Konsoli odzyskiwania:

- AllowWildCards: Powoduje włączenie obsługi symboli wieloznacznych dla niektórych poleceń (np. Del)
- AllowAllPaths: Umożliwia uzyskanie dostępu do wszystkich plików i folderów znajdujących się na komputerze
- AllowRemovableMedia: Umożliwia kopiowanie plików na nośniki wymienne, takie jak np. dyskietka
- NoCopyPrompt: Powoduje, że zastępowaniu istniejącego pliku nie towarzyszy wyświetlenie monitu.

Domyślnie wszystkie zmienne środowiskowe Konsoli odzyskiwania mają, po wydaniu polecenia Set następującą przykładową wartość:
AllowAllPaths = FALSE
Po zmianach domyślnych ustawień zabezpieczeń lokalnego komputera możliwe jest wydanie np. polecenia
set AllowAllPaths = TRUE
zezwalającego, w tym przypadku, na uzyskanie dostępu do wszystkich plików i folderów znajdujących się w komputerze.

Automatyczne odzyskiwanie systemu ASR (Automated System Recovery)

Dzięki funkcji automatycznego odzyskiwania systemu ASR (Automated System Recovery) można tworzyć regularnie zestawy, które stanowią niezbędny element ogólnego planu odzyskiwania systemu w przypadku awarii. Użycie funkcji ASR jest ostatnim etapem odzyskiwania systemu, który następuje po wypróbowaniu wszystkich innych opcji, takich jak opcje uruchamiania w trybie awaryjnym i ostatnia znana dobra konfiguracja.

Zastosowanie funkcji ASR przebiega w dwóch etapach: wykonanie kopii zapasowej i przywracanie danych. Realizację etapu pierwszego zapewnia Kreator przygotowania automatycznego odzyskiwania systemu (Automated System Recovery Preparation Wizard), który jest dostępny w programie Kopia zapasowa (Backup). Kreator przygotowania automatycznego odzyskiwania systemu wykonuje kopie zapasowe danych o stanie systemu, usług systemowych i wszystkich dysków związanych ze składnikami systemu operacyjnego. Tworzy również dyskietkę zawierającą informacje o kopii zapasowej, konfiguracji dysków (włącznie z woluminami podstawowymi i dynamicznymi) i procesie przywracania.

Aby przeprowadzić drugi etap automatycznego odzyskiwania systemu, należy nacisnąć klawisz [F2] po wyświetleniu monitu w części instalacji wykonywanej w trybie tekstowym. W ramach odzyskiwania ASR są odczytywane konfiguracje z dyskietek, a następnie są przywracane wszystkie te podpisy dysków, woluminy i partycje, które są konieczne do uruchomienia komputera (z minimalnymi możliwościami).

Jest podejmowana próba przywrócenia wszystkich konfiguracji dysków, ale w niektórych okolicznościach może to być niemożliwe. Następnie funkcja ASR uruchamia prostą instalację systemu Windows i automatycznie rozpoczyna przywracanie przy użyciu zestawu ASR kopii zapasowych utworzonego przez Kreatora automatycznego odzyskiwania systemu.

UWAGA:

Funkcja ASR nie wpływa na pliki danych. Kopie zapasowe plików danych należy wykonywać osobno, choć też cyklicznie, a same pliki przywracać po przywróceniu poprawnego działania systemu.
Użycie opcji zwykłego kreatora Wszystkie informacje na tym komputerze (Back up everything on this computer) również powoduje utworzenie dyskietki ASR i zestawu ASR.

Funkcja ASR obsługuje tylko woluminy FAT16 do pojemności 2,1 GB. Funkcja ASR nie obsługuje partycji FAT16 o rozmiarze 4 GB, w których rozmiar klastra wynosi 64 kilobajty. Jeśli w systemie występują partycje FAT16 o rozmiarze 4 GB, przed użyciem funkcji ASR należy przekonwertować je z formatu FAT16 na format NTFS.

Resource Kit

Do niedawna Resource Kit dla wcześniejszych wersji systemów był dostępny na warunkach komercyjnych. Obejmował dokumentację drukowaną oraz CD-ROMy z elektroniczną wersją tej dokumentacji i oprogramowaniem dostarczanym w zestawie Resource Kit.

W przypadku systemów z rodziny systemów Windows 2000 były dostępne dwa zestawy Resource Kit:

Windows 2000 Professional Resource Kit
Windows 2000 Server Resource Kit (obszerniejszy i droższy)

W charakterze oferty specjalnej, czasopismo CHIP zaoferowało swoim czytelnikom CD-ROM z polską wersją Windows 2000 Professional Resource Kit

Od 7-go lutego 2003 roku firma Microsoft Polska udostępniła bezpłatnie polską wersję Windows 2000 Server Resource Kit w trybie on-line na swojej stronie:

http://www.microsoft.com/poland/windows2000/win2000serv/default.asp

W formie drukowanej, Windows 2000 Server Resource Kit jest dokumentacją zajmującą prawie kilka tysięcy

stron i składającą się z kilku tomów.

W chwili obecnej narzędzia zestawu Microsoft Windows Server 2003 Resource Kit dostępne są na stronie http://www.microsoft.com/downloads/details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en
natomiast handlowa, drukowana wersja, wraz z zestawem CD's, jest dostępna np. w wersji polskiej „Microsoft Windows Server 2003 Resource Kit po Polsku” (http://www.promise.com.pl/sklep/asp/is.pin.asp?pid=29432).

Należy zauważyć, że większość narzędzi Resource Kit dla rodziny systemów Windows 2000 wchodzi w skład jego odpowiednika dla środowiska Windows Server 2003. Część z nich została wbudowana w nowy system (przykładowo polecenie shutdown) i nie jest objęte zestawem. Część została uwzględniona w Support Tools (dostępne na instalacyjnym CD) np. diruse, efsinfo - patrz plik \zaj2\Porownanie_Res_Kits.doc. Przybyły również nowe narzędzia.

Dostępne są również uaktualnienia Windows Server 2003 Resource Kit Tool Updates

http://www.microsoft.com/windowsserver2003/techinfo/reskit/tools/default.mspx.

ZAJĘCIA 2 - ĆWICZENIA

Ćwiczenie 1 (Przygotowania)

Podczas uruchamiania komputera pojawia się ekran wyboru systemów operacyjnych i innych zadań - Welcome on the WSISiZ network. Należy wybrać Win2003, a następnie pozycję Windows Server 2003, Instalacja standardowa.
Po zalogowaniu się jako Administrator należy sprawdzić i w razie potrzeby skorygować nazwę lokalnego komputera (np. w Properties dla My Computer, karta Computer Name, przycisk Change...). Wprowadzona nazwa winna być taka, jaka została umieszczona na obudowie komputera (np. sz455).
Z zasobów WS2003Lab skopiować do katalogu głównego partycji D: lokalnego dysku cały folder (!!! uprzednio zalecane jest wydanie w Start - Run: \\oceanic i podanie swoich parametrów uwierzytelnienia w sieci WSISiZ) \\oceanic\staff\ws2003lab\lab2006\zaj2 z zachowaniem jego nazwy zaj2.
Uruchomić miniaplikację Folder Options w panelu sterowania Control Panel.
W zakładce View uzyskać następujące ustawienia pozycji konfiguracyjnych:
Show hidden files and folders - zaznaczona
Hide extensions for known file types - odznaczona
Hide protected operating system files (Recommended) - odznaczona
Dokonać formatowania dyskietki używając Explore (nie stosując Quick Format) lub w Command Prompt poleceniem format a:. Skopiować na dyskietkę plik \zaj2\cos.txt.
Utworzyć, dla potrzeb poprawnej koordynacji przebiegu ćwiczeń, dwuosobowe zespoły złożone z partnerów przy sąsiednich stanowiskach. Partnerzy winni uzgadniać swoje postępowanie (w pełni je synchronizować) w przypadku zdalnego wykonywania zadań.

UWAGA/Przypomnienie: W folderze \\oceanic\staff\ws2003lab\lab2006\zaj1\Help_2003_PL_SP1 zamieszczona jest, skopiowana z polskojęzycznej wersji Windows Serwer 2003 Enterprise Edition SP1, zawartość Centrum pomocy i obsługi technicznej - odpowiednik Help and Support Center. W razie potrzeby należy ten folder pobrać na dysk lokalny. Klasyczny widok Centrum pomocy i obsługi technicznej wywołuje się otwierając plik \Help_2003_PL_SP1\Windows.chm.

Ćwiczenie 2 (Tworzenie i modyfikowanie zawartości konsoli MMC, różne tryby używania konsoli)

Pusta konsola MMC (Microsoft Management Console) jest uruchamiana za pomocą polecenia mmc wydanego najczęściej w rubryce Start - Run lub w oknie wiersza polecenia.
Po uruchomieniu konsoli, w menu Help - Help Topics można znaleźć rozbudowaną pomoc dotyczącą konsol MMC.

Część I: Dodawanie autonomicznej przystawki odnoszącej się do lokalnego komputera

Pracując jako Administrator uruchomić pustą konsolę MMC.
Użyć File - Add/Remove Snap-in ...
W zakładce Standalone okna Add/Remove Snap-in użyć przycisku Add....
W spisie samodzielnych przystawek wyświetlonych w oknie Add Standalone Snap-in, zaznaczyć przystawkę Shared Folders oraz nacisnąć przycisk Add.
W oknie Shared Folders charakteryzującym pracę tej przystawki, wybrać w rubryce This snap-in will always manage: pole Local computer oraz upewnić się, że w rubryce View jest wybrana wartość All. Użyć przycisku Finish.
Nie zamykać okna Add Standalone Snap-in.

Część II: Dodawanie autonomicznej przystawki odnoszącej się do zdalnego komputera

W spisie samodzielnych przystawek wyświetlonych w oknie Add Standalone Snap-in, zaznaczyć przystawkę Computer Management oraz nacisnąć przycisk Add.
W oknie Computer Management charakteryzującym pracę tej przystawki, wybrać w rubryce This snap-in will always manage: pole Another computer: W polu Another computer: wprowadzić szyyy (gdzie szyyy jest nazwą zdalnego komputera). Użyć przycisku Finish.
Nie zamykać okna Add Standalone Snap-in.

Część III: Wykorzystanie przystawki Folder jako przykład sposobu umożliwiającego grupowanie elementów składowych konsoli MMC

W spisie samodzielnych przystawek wyświetlonych w oknie Add Standalone Snap-in zaznaczyć przystawkę Folder, nacisnąć przycisk Add a następnie Close.
Wybrać przycisk OK aby zamknąć okno Add/Remove Snap-in.
Wybrać w menu File - Add/Remove Snap-in...
W zakładce Standalone okna Add/Remove Snap-in, w rubryce Snap-ins added to: wybrać Folder i użyć przycisku Add...
W oknie Add Standalone Snap-in wybrać Group Policy Object Editor i użyć Add.
W oknie Select Group Policy Object pozostawić domyślne ustawienia i użyć Finish, Close.
Zamknąć okno Add/Remove Snap-in przyciskiem OK.
Zauważyć, że w węźle Folder pojawiła się pozycja Local Computer Policy.
Z menu kontekstowego węzła Folder wybrać Rename i wprowadzić dowolny tekst.
Zapamiętać konsolę (File - Save As...) pod nazwą nazwisko-grupa.msc (np. nowak-id213.msc) w domyślnie proponowanym folderze \Documents and Settings\Administrator\Start Menu\Programs\Administrative Tools.
Zamknąć konsolę.

Część IV: Dodawanie nowego widoku zadań (New Taskpad View) i nowego zadania (Task)

Otworzyć konsolę All Programs - Administrative Tools - nazwisko-grupa.msc.
Dodać przystawkę Computer Management dla lokalnego komputera.
W drzewie konsoli rozwinąć kontener Computer Management (Local).
Rozwinąć węzły System Tools i Shared Folders.
Otworzyć pozycję Shares i z jej menu kontekstowego wybrać New Taskpad View...

Posługując się kreatorem New Taskpad View a następnie kreatorem New Task podjąć samodzielną próbę utworzenia nowego widoku zadań dla Shares podobnego do tego, jak w oknie szczegółów na ostatnim z rysunków w materiałach pomocniczych. W razie potrzeby można też posłużyć się, jako pomocą, prezentacją \zaj2\mmc_task.ppt.
Zamieszczony skrót dotyczy Command Prompt (d:\WINDOWS\SYSTEM32\cmd.exe).

Część V: Modyfikowanie ustawień dotyczących widoczności poszczególnych rozszerzeń przystawki

W drzewie konsoli rozwinąć kontener Computer Management (SZYYY) i gałąź System Tools. Zauważyć występowanie czterech rozwijalnych pozycji i jednej nierozwijalnej.
Użyć w menu File - Add/Remove Snap-in ...
W zakładce Extensions okna Add/Remove Snap-in, w rubryce Snap-ins that can be extended: wybrać Computer Management i usunąć zaznaczenie dla pola Add all extensions.
W spisie Available extensions usunąć zaznaczenie dla pozycji Event Viewer Extension, Performance Logs and Alerts Extension i nacisnąć przycisk OK aby zamknąć okno Add/Remove Snap-in.
W drzewie konsoli rozwinąć kontener Computer Management (SZYYY) i gałąź System Tools. Zauważyć występowanie tylko dwóch rozwijalnych pozycji.
Przywrócić !!! poprzednie ustawienia widoczności wykonując poniższe czynności.
Użyć w menu File - Add/Remove Snap-in ...
W zakładce Extensions okna Add/Remove Snap-in, w rubryce Snap-ins that can be extended: wybrać Computer Management, przywrócić zaznaczenie dla pola Add all extensions i zatwierdzić.
Zapamiętać ustawienia konsoli i zamknąć konsolę.

Część VI: Zmiana trybu dostępu do konsoli

Otworzyć pustą konsolę MMC i wybrać File - Open...
W oknie Open wybrać pozycję nazwisko-grupa.msc.
W kontenerze Computer Management (Local) znaleźć pozycję Shares i z jej menu kontekstowego wybrać New Window from Here. Tworzone jest nowe okno widoku rozpoczynające się od węzła Shares.
Przełączanie się między różnymi oknami w danej konsoli odbywa się np. przy użyciu menu Window.
Zmienić domyślną opcję dostępu do używanej konsoli z trybu Author mode na User mode - full access posługując się poniższymi wskazówkami.
Wybrać File - Options i w oknie Options, zakładka Console dla pola Console mode: wybrać User mode - full access. Zaznaczyć również opcję Do not save changes to this console (domyślnie nie jest zaznaczona), pozostawić domyślnie zaznaczoną opcję Allow the user to customize views i zatwierdzić.
Zakończyć pracę z tą konsolą zapamiętując (Save) modyfikacje wprowadzone w tej konsoli.
Otworzyć konsolę All Programs - Administrative Tools - nazwisko-grupa.msc.
Tym razem powinna być zauważalna okrojona zawartość menu File, składająca się tylko z pozycji Exit i Options, nie dającej możliwości zmian pozycji, co w konsekwencji uniemożliwia zmiany konfiguracji konsoli poprzez dodawanie/usuwanie przystawek lub zmianę opcji jej działania. Ponadto, na skutek wcześniejszego zaznaczenia opcji Do not save changes to this console, inne zmiany wprowadzone przez użytkownika nie będą zapamiętywane podczas kończenia pracy z konsolą.

Chcąc zmodyfikować tę konsolę, należałoby ją uruchomić w trybie autorskim, np. wybierając z jej menu kontekstowego pozycję Author.
Zakończyć pracę z tą konsolą

Część VII: Uruchamianie konsoli z wiersza polecenia

Skopiować plik konsoli, nazwisko-grupa.msc do katalogu głównego dysku D:

Uruchomić konsolę w Command Prompt lub w rubryce Start - Run wprowadzając:
mmc d:\nazwisko-grupa.msc
jeśli ma być ona używana w domyślnym trybie dostępu (tutaj: User mode - full access),
lub
mmc d:\nazwisko-grupa.msc /a
jeśli ma być ona używana w trybie Author mode, pozwalającym na modyfikacje jej zawartości.

Zakończyć pracę ze wszystkimi uruchomionymi konsolami MMC.

Ćwiczenie 3 (Zaawansowane opcje uruchamiania systemu)

Pracując jako Administrator usunąć (jeśli istnieje) plik %SystemRoot%\ntbtlog.txt, czyli plik D:\WINDOWS\ntbtlog.txt.

Dokonać restartu systemu i podczas jego ponownego uruchamiania i wyświetlania menu dostępnych systemów nacisnąć klawisz [F8]. Powinno pojawić się menu Windows Advanced Options Menu.
Wybrać w nim wariant uruchamiania Safe Mode a potem uruchomienie Windows Server 2003, Instalacja standardowa.
Po zakończeniu startu systemu, zalogować się jako Administrator i uruchomić okno wiersza polecenia Command Prompt.

W katalogu D:\WINDOWS przemianować plik ntbtlog.txt na grupa-1.txt (gdzie grupa to nazwa własnej grupy studenckiej, np. id213-1.txt) - należy zastosować polecenie rename (patrz plik \zaj2\polecenie_rename.doc). W pliku tym (grupa-1.txt) znajduje się zapis jakie programy obsługi oraz jakie usługi systemowe zostały uruchomione podczas bieżącego startu systemu w trybie Safe Mode.

Wykonać polecenie ipconfig. Efektem powinno być wyświetlenie samego nagłówka konfiguracji sieciowej Windows IP Configuration i informacje o możliwych przyczynach niepowodzenia.

Wykonać polecenie
ping oceanic.wsisiz.edu.pl
Łączność z oceanic nie powinna być nawiązana.
Dokonać restartu systemu i podczas uruchamiania nacisnąć klawisz [F8] wybrać tryb startu Safe Mode with Networking.
Po zakończeniu uruchamiania, zalogować się jako Administrator, przemianować plik ntbtlog.txt na grupa-2.txt.
W Command Prompt wykonać polecenie ipconfig. Czy system uzyskał parametry konfiguracyjne IP?
Wykonać polecenie
ping oceanic.wsisiz.edu.pl
Łączność z komputerem oceanic tym razem powinna być nawiązana.
Dokonać restartu systemu (bez użycia klawisza [F8]).
Porównanie listy ładowanych programów obsługi systemu dla różnych opcji uruchomieniowych trybu awaryjnego.

Zalogować się jako Administrator i otworzyć Command Prompt.
Zapoznać się z formą treści zawartej w plikach grupa-1.txt oraz grupa-2.txt.
Zapoznać się ze składnią polecenia fc wydając w Command Prompt:
fc /?

Dokonać wyspecyfikowania różnic w listach ładowanych programów obsługi systemu w trybach Safe Mode i Safe Mode with Networking (porównanie zawartości plików grupa-1.txt oraz grupa-2.txt) wydając w Command Prompt polecenie:
fc /u d:\windows\grupa-1.txt d:\windows\grupa-2.txt

Zestaw załadowanych programów obsługi powinien się różnić.

Ćwiczenie 4 (Konsola odzyskiwania - Recovery Console - instalacja konsoli i wybrane aspekty jej stosowania)

Uwaga: Z konfiguracji komputerów w sali laboratoryjnej wynika, że Konsola odzyskiwania instaluje się na
partycji C:.

Instalacji Konsoli odzyskiwania towarzyszą (patrz Materiały pomocnicze):
- pojawienie się stosownego wpisu w pliku c:\boot.ini
- utworzenie w katalogu głównym partycji foldera c:\cmdcons
- utworzenie w katalogu głównym partycji pliku c:\cmldr

Czynności wstępne - przykład zastosowania Command Prompt i polecenia attrib.
Pracując jako Administrator, dokonać, w Command Prompt, sprawdzenia atrybutów pliku c:\boot.ini poleceniem:
attrib c:\boot.ini
Plik powinien mieć domyślnie atrybuty ASH (A - archiwalny, S - systemowy, H - ukryty). Po zainstalowaniu Konsoli odzyskiwania może mieć odpowiednio atrybuty ASHR.

Wprowadzić kolejno następne polecenia:
attrib -r -h -s c:\boot.ini
copy c:\boot.ini c:\boot-grupa.ini
(gdzie grupa to nazwa własnej grupy studenckiej, np. id213)

W przypadku pierwszego polecenia modyfikowane są atrybuty pliku boot.ini. Bez dokonania tej operacji nie jest możliwe skopiowanie pliku przy użyciu drugiego polecenia.

W przypadku drugiego polecenia wykonywana jest kopia pliku boot.ini pod inną nazwą. Kopię należy wykonać ze względu na to, że po zainstalowaniu Recovery Console zawartość pliku boot.ini ulega modyfikacji (kopia jest sporządzana dla potrzeb dalszych ćwiczeń).
Instalacja Recovery Console z wykorzystaniem udostępnionego zasobu sieciowego
Zainstalować Recovery Console posługując się poleceniem wydanym w Start - Run:
\\szKKK\install\i386\winnt32.exe /cmdcons
gdzie szKKK to nazwa komputera używanego przez wykładowcę.

Zapoznać się z informacją zawartą w oknie Windows Setup i zatwierdzić.
W oknie Windows Setup przeczytać zamieszczoną informację i zatwierdzić.
W oknie Getting Updated Setup Files należy użyć klawisza [Esc]. Użycie tego klawisza przerywa proces pobierania najnowszych wersji plików instalacyjnych z sieci Microsoft.
W oknie Windows Setup wybrać przycisk Yes.
W oknie Getting Updated Setup Files zaznaczyć pole Skip this step and continue installing Windows i użyć Next.
Na zakończeniu działania instalatora zatwierdzić informację zamieszczoną w ostatnim oknie i dokonać restartu komputera.
Podczas uruchamiania komputera na ekranie wyboru systemów operacyjnych i innych zadań - Welcome on the WSISiZ network wybrać WinXP, a następnie pozycję

Microsoft Windows Recovery Console

Gdy pojawi się pytanie o wybór instalacji systemu, do której należy się zalogować, wybrać instalację umieszczona w katalogu D:\WINDOWS przez wprowadzenie liczby odpowiadającej tej pozycji
(w tym szczególnym przypadku 3).
Podać hasło Administratora dla tej instalacji.
Wykonać polecenie help, aby zapoznać się ze spisem poleceń Konsoli odzyskiwania.
Przejrzeć opis wybranych poleceń wydając help nazwa_polecenia dla np. poleceń map, diskpart, logon, exit, listsvc, fixmbr, fixboot
Używając polecenia logon, przełączyć się do drugiej instalacji Windows Server 2003 umieszczonej w katalogu D:\WIN-DC po czym powrócić do instalacji D:\WINDOWS.
Poleceniem map zapoznać się z mapowaniem liter dysków rozpoznanych przez Konsolę.
Skopiować z dyskietki plik a:\cos.txt na dysk twardy (do katalogu głównego partycji D:) pod nazwą cos_cons.txt poleceniem:
copy a:\cos.txt d:\cos_cons.txt

Wyświetlić zawartość pliku cos_cons.txt poleceniem:
type d:\cos_cons.txt

Podjąć próbę skopiowania pliku cos_cons.txt z dysku twardego na dyskietkę.
Jaki jest rezultat tej próby?
Podjąć próbę utworzenia nowego foldera na partycji D:. Próba winna się zakończyć niepowodzeniem.
Podjąć próbę użycia polecenia Set w celu aktywacji możliwości pełnego dostępu do zasobów lokalnego komputera wydając polecenie:
set AllowAllPaths = TRUE
Próba winna się zakończyć niepowodzeniem. Generowany komunikat, sugerujący konieczność zastosowania przystawki Security Configuration and Analysis, jest rozwiązaniem możliwym do zastosowania, lecz dość kłopotliwym i skomplikowanym. Proponuje się zastosowanie metody przedstawionej w punkcie 1.4.1 Materiałów pomocniczych niniejszych zajęć.
Uruchomić polecenie diskpart bez argumentów, zapoznać się z konfiguracją dysku i użyć (wyłącznie !!!) klawisza [Esc].
Wykonać polecenie listsvc dla zapoznania się z listą usług systemowych, ich stanem oraz sterowników dostępnych w komputerze.
Na zakończenie wykonać polecenie exit, które spowoduje restart systemu.

Ćwiczenie 5 (Przywracanie domyślnej postaci pliku boot.ini i deinstalacja Recovery Console)

Podczas uruchamiania komputera na ekranie wyboru systemów operacyjnych i innych zadań - Welcome on the WSISiZ network wybrać Win2003, a następnie pozycję Windows Server 2003, Instalacja standardowa.

Zalogować się jako Administrator i podjąć próbę skopiowania pliku c:\boot-grupa.ini na plik c:\boot.ini wykonując (w Command Prompt) polecenie:
copy c:\boot-grupa.ini c:\boot.ini
Operacja winna się zakończyć niepowodzeniem. Przyczyną jest obowiązywanie atrybutu R (read only) dla pliku d:\boot.ini. Można to sprawdzić wydając polecenie:
attrib c:\boot.ini

Zmienić atrybuty pliku c:\boot.ini wydając polecenie:
attrib -r -h -s c:\boot.ini

Skopiować plik c:\boot-grupa.ini na plik c:\boot.ini wydając polecenie:
copy c:\boot-grupa.ini c:\boot.ini

Przywrócić domyślne atrybuty pliku d:\boot.ini wydając polecenie:
attrib +a +h +s c:\boot.ini

Dzięki zastosowaniu powyższych poleceń została przywrócona zawartość pliku boot.ini sprzed jego modyfikacji na skutek instalowania Konsoli odzyskiwania. Przywrócenie tej postaci pliku można również uzyskać wykonując edycję np. w miniaplikacji System w Control Panel.
Usunąć plik c:\cmldr
Usunąć katalog c:\cmdcons

Ćwiczenie 6 (Instalacja dodatkowych narzędzi, dostępnych na instalacyjnym CD, z zestawu Windows Support Tools i przykład zastosowania)

Wprowadzić w Start - Run:
\\szKKK\install\support\tools
gdzie szKKK to nazwa komputera używanego przez wykładowcę.
W pojawiającym się oknie Tools wybrać z menu kontekstowego suptools.msi opcję Install.
W pierwszym oknie kreatora instalacji użyć Next a w następnym wyrazić zgodę na warunki licencji.
W oknie instalatora dotyczącym User Information dane pozostawić bez zmiany i użyć Next.
W oknie instalatora dotyczącym Destination Directory pozostawić domyślną lokalizację tzn.
D:\Program Files\Support Tools\ i użyć Install Now.
W ostatnim instalatora oknie użyć Finish.
Otworzyć Start - All Programs - Windows Support Tools - Support Tools Help.
Wyszukać, posługując się w Help and Support Center, w części zawierającej Alphabetical List of Tools by File Name pozycję dla narzędzia diruse.exe.
Narzędzie diruse.exe jest odpowiednikiem polecenia du w systemie UNIX. Pozwala ono określać całkowity rozmiar katalogów i ich podkatalogów. Nie posiada swego odpowiednika w domyślnie zainstalowanym systemie.
Użyć łącza Diruse.exe (Directory Disk Usage) i zapoznać się ze składnią dla tego polecenia wybierając hiperłącze Syntax.
Uruchomić Start - All Programs - Windows Support Tools - Command Prompt i wydać polecenie wyświetlające wielkość (w MB) określonego katalogu i jego podkatalogu:
diruse /s /m d:\zaj2

Wydać w/w polecenie z dodatkową opcją eksponowania (znak !przy nazwie) katalogów lub podkatalogów o rozmiarze większym niż 2MB:
diruse /s /m /q:2 d:\zaj2

Zamknąć okna Command Prompt i Help and Support Center.

Ćwiczenie 7 (Instalacja narzędzi Resource Kit i przykład zastosowania)

Dwukrotnie kliknąć na pliku \zaj2\rktools.exe.
W pierwszym oknie kreatora użyć Next a w następnym wyrazić zgodę na warunki licencji.
W oknie instalatora dotyczącym User Information dane pozostawić bez zmiany i użyć Next.
W oknie instalatora dotyczącym Destination Directory pozostawić domyślną lokalizację i użyć Install Now.
W ostatnim instalatora oknie użyć Finish.
Otworzyć Start - All Programs - Windows Resource Kit Tools - Windows Resource Kit Tools Help.
Wyszukać w części zawierającej Alphabetical List of Tools by File Name pozycję dla narzędzia diskuse.exe.
Użyć łącza Diskuse.exe: User Disk Usage Tool i zapoznać się ze składnią dla tego polecenia wybierając hiperłącze Syntax.
Dokonać sprawdzenia wielkości zajmowanego miejsca na dysku przez poszczególnych użytkowników systemu wydając w Start - All Programs - Windows Resource Kit Tools - Command Shell polecenie:
diskuse d: /s
Po przejrzeniu wygenerowanych informacji zamknąć okno Command Shell.
Zamknąć Help and Support Center i wylogować się.

Ćwiczenie 8 (Konfigurowanie systemu do wysyłania ofert pomocy z wykorzystaniem funkcji Offer Remote Assistance (Oferuj Pomoc zdalną) bez jawnego zaproszenia wysyłanego przez oczekującego na porady)

Narzędzie Remote Assistance może zostać tak skonfigurowane by umożliwić użytkownikowi-ekspertowi inicjowanie sesji Pomocy zdalnej, używając funkcji Offer Remote Assistance, bez oczekiwania na zaproszenie użytkownika-adepta (nowicjusza). Występuje tu inna sytuacja niż w przypadku ćwiczenia 4 z poprzednich zajęć, gdzie to
użytkownik-adept był inicjatorem sesji.
Aby funkcja Offer Remote Assistance mogła być wykorzystywana muszą być spełnione określone warunki, a w tym m.in.:
- zasady grupy (Group Policy) na komputerze użytkownika-adepta muszą umożliwiać (przy użyciu
szablonów administracyjnych) oferowanie Zdalnej pomocy;

- komputery adepta i eksperta muszą posiadać zainstalowane systemy MS Widows XP lub MS Windows
Server 2003

- użytkownik-ekspert musi być członkiem grupy lokalnej Administrators na komputerze adepta.

UWAGA: Dla zadziałania funkcji Offer Remote Assistance nie jest konieczne, w przeciwieństwie do przypadku ćwiczenia 4 podczas Zajęć 1, zaznaczanie w System Properties, na karcie Remote pola Turn on Remote Assistance and allow invitations to be sent from this computer.

Etapy bieżącego ćwiczenia przeznaczone do wykonania tylko na komputerze Eksperta będą oznaczane jako (Ekspert), natomiast przeznaczone do wykonania tylko na komputerze Adepta jako (Adept).

(Adept) Włączenie zasady Offer Remote Assistance na komputerze adepta przy wykorzystaniu przystawki Group Policy Object Editor i funkcji Run As.

Zalogować się jako labuser i utworzyć na pulpicie (New - Shortcut) skrót do przystawki edytora Group Policy.
W oknie Create Shortcut wprowadzić gpedit.msc, użyć Next i zaakceptować domyślną nazwę gpedit.

Podjąć próbę uruchomienia edytora Group Policy dwukrotnie klikając na nowym skrócie. Próba winna się zakończyć niepowodzeniem. Zalogowany użytkownik labuser ma zabroniony dostęp do korzystania z edytora.
(Adept) Z menu kontekstowego skrótu gpedit wybrać Run as... i wprowadzić hasło Administratora.
(Adept) W oknie konsoli Group Policy Object Editor zlokalizować folder Local Computer Policy - Computer Configuration - Administrative Templates - System - Remote Assistance. Otworzyć go i dwukrotnie kliknąć na pozycji Offer Remote Assistance.

W otwartym oknie Offer Remote Assistance Properties zaznaczyć pole Enabled (domyślne ustawienie - Not Configured).

W polu Permit remote control of this computer: pozostawić domyślnie wybraną opcję Allow helpers to remotely control the computer.
Użyć przycisku Show i w oknie Show Contents użyć Add.

W okienku Add Item wprowadzić szYYY/labuser, gdzie szYYY jest nazwą komputera Eksperta i zatwierdzić.
Użyć OK by zamknąć okno Offer Remote Assistance Properties i okno konsoli.
Zmiany zostają wprowadzone do systemu i komputer nie musi być ponownie uruchamiany.
(Ekspert) Oferowanie Remote Assistance przez komputer Eksperta
Będąc zalogowanym jako Administrator na komputerze Eksperta wybrać Start - Help and Support.

W oknie Help and Support Center w obszarze Support Tasks wybrać Tools.
W lewym panelu wybrać Help and Support Center Tools i użyć Offer Remote Assistance.

W obszarze Offer Remote Assistance w polu Type or paste the computer name or IP address: wprowadzić nazwę komputera Adepta - szYYY i użyć Connect.

W następnym etapie zaakceptować domyślną (wynikającą z nazwy konta zalogowanego użytkownika w komputerze Adepta) nazwę komputera i konta (pole Several users are logged ...) oraz użyć przycisku
Start Remote Assistance.

W wyniku tej operacji pojawia się okno Remote Assistance z „pustym” pulpitem Adepta.
(Adept) Zatwierdzenie umożliwienia dostępu do komputera Adepta, w tym m.in. do oglądania pulpitu Adepta przez Eksperta łącznie z opcją przesyłania informacji i pracowania na nim

Będąc zalogowanym jako labuser w okienku Remote Assistance użyć przycisku Yes.
(Adept i Ekspert)
Od tego momentu obowiązują zasady współpracy Remote Asisstance zaprezentowane podczas poprzednich zajęć.
Po zakończeniu współpracy zamknąć wszystkie okna dotyczące Pomocy zdalnej.
(Adept) Wyłączenie zasady Offer Remote Assistance na komputerze adepta przy wykorzystaniu przystawki Group Policy Object Editor i funkcji Run As

Z menu kontekstowego skrótu gpedit wybrać Run as... i wprowadzić hasło Administratora.

W oknie konsoli Group Policy Object Editor zlokalizować folder Local Computer Policy - Computer Configuration - Administrative Templates - System - Remote Assistance. Otworzyć go i dwukrotnie kliknąć na pozycji Offer Remote Assistance.

W otwartym oknie Offer Remote Assistance Properties zaznaczyć pole Not Configured i zatwierdzić
Usunąć ikonę gpedit z pulpitu i wylogować się.

Ćwiczenie 9 [Dodatkowe] (Instalacja i deinstalacja dodatkowych narzędzia administracyjnych Windows Server 2003 Administration Tools Pack)

Zalogować się jako Administrator i dwukrotnie kliknąć na pliku \zaj2\adminpak\adminpak.msi.
W pierwszym oknie kreatora Windows Server 2003 Service Pack 1 Administration Tools Pack Setup Wizard użyć Next a w następnym wyrazić zgodę na warunki licencji.
W ostatnim oknie użyć Finish.
Otworzyć Administrative Tools i zauważyć, że liczba pozycji znacznie się zwiększyła.
W menu Administrative Tools pojawia się kilkanaście dodatkowych narzędzi np. DNS, DHCP,WINS oraz grupa poleceń związanych z Active Directory i Terminal Services.

Te dodatkowe narzędzia są przeznaczone głównie do zdalnego administrowania serwerami Windows, zarówno serwerami samodzielnymi, członkowskimi w domenie oraz kontrolerami domeny.
Dla przykładu, uruchomić narzędzie DNS. Powinna się pojawić możliwość podłączenia do serwera, na którym jest skonfigurowany DNS. W przypadku dostepności takiego serwera, można byłoby nim zdalnie zarządzać.

Porównać stan przed instalacją i po instalacji na obrazie w pliku \zaj2\tools_pack.ppt.
Dokonać deinstalacji wybierając w Control Panel - Add or Remove Programs pozycję Windows Server 2003 Service Pack 1 Administration Tools Pack i Remove.

Ćwiczenie 10 (Automatyczne odzyskiwanie systemu ASR (Automated System Recovery) - tworzenie kopii zapasowej na potrzeby odzyskiwania systemu)

Wobec ograniczeń czasowych dla wykonania tego ćwiczenia należy otworzyć prezentację z pliku \zaj2\asr.ppt, zapoznać się z możliwą procedurą postępowania zmierzającą do utworzenia zestawu ASR, który stanowi niezbędny element ogólnego planu odzyskiwania systemu w przypadku awarii.

Ćwiczenie 11 (Porządki)

Będąc zalogowanym jako Administrator usunąć z dysku lokalnego folder \zaj2 wraz z cała zawartością.
Posługując się Control Panel - Add or Remove Programs usunąć dodatkowe narzędzia Windows Resource Kit Tools oraz Windows Support Tools.
Posługując się np. Start - Search zlokalizować pliki grupa-1.txt, grupa-2.txt, nazwisko-grupa.msc,
boot-grupa.ini, cos_cons.txt i usunąć je.
Powrócić do domyślnego sposobu wyświetlania zasobów plikowych w poniższy sposób.
Uruchomić miniaplikację Folder Options w panelu sterowania Control Panel.
W zakładce View uzyskać następujące domyślne ustawienia pozycji konfiguracyjnych:
Show hidden files and folders - zaznaczona
Hide extensions for known file types - odznaczona
Hide protected operating system files (Recommended) - zaznaczona
Zamknąć system.

ZAJĘCIA 3 - ZAKRES PRAC I MATERIAŁY POMOCNICZE

ZAKRES PRAC

Wdrażanie zasad zabezpieczeń dla serwera autonomicznego (samodzielnego) z systemem Windows Server 2003. Część I

Ogólna informacja o systemie zabezpieczeń serwera autonomicznego
Lokalne grupy wbudowane, ich prawa i przywileje
Tworzenie, modyfikowanie, usuwanie nowych kont użytkowników i grup oraz elementy zasad zabezpieczeń lokalnych

Wykorzystanie graficznych konsoli zarządzających
Wykorzystanie poleceń net localgroup, net user, net accounts
Dyski resetowania hasła

Profile użytkowników (tworzenie, modyfikacja, kopiowanie, usuwanie profili)

Liczba ćwiczeń: 18

MATERIAŁY POMOCNICZE

Wybrane informacje dotyczące zagadnień realizowanych podczas ćwiczeń

Ogólne zasady, konwencja nazewnicza dotycząca nazwy i hasła konta użytkownika

Konto użytkownika jest wpisem składającym się ze wszystkich informacji definiujący użytkownika w systemie Windows Server 2003. Informacje tego typu dotyczą, na przykład, nazwy użytkownika i hasła wymaganego podczas logowania użytkownika, grup, których konto użytkownika jest członkiem oraz praw i uprawnień użytkownika dotyczących korzystania z komputera i sieci oraz uzyskiwania dostępu do zasobów. W przypadku systemu Windows Server 2003 w serwerach autonomicznych, konta użytkowników są zarządzane przy użyciu funkcji Użytkownicy i grupy lokalne (Local Users and Groups). W przypadku kontrolerów domeny systemu Windows Server 2003 konta użytkowników są zarządzane przy użyciu stosownego okna usługi Active Directory firmy Microsoft.

Konta użytkowników posiadają dwa rodzaje nazw. Nazwa użytkownika (nazwa logowania) - User name i Pełną nazwę (nazwa wyświetlana) - Full name.

Nazwy logowania muszą się stosować do następujących ograniczeń:

Lokalne nazwy logowania (User name) muszą być unikalne na serwerze, a globalne nazwy logowania muszą być unikalne w domenie.
Nazwa konta użytkownika może zawierać do 20 znaków, z wyjątkiem zamieszczonych poniżej:

”/ \ | [ ] : ; | = , + * ? < >
Nazwa konta użytkownika może zawierać inne znaki specjalne, łącznie ze spacjami, kropkami i podkreśleniami, jednakże stosowanie spacji nie jest zalecane.
Nazwa użytkownika nie może składać się z samych kropek (.) lub spacji.

Nazwy wyświetlane (Full name) muszą się stosować do następujących ograniczeń:

Muszą być unikalne na serwerze.
Muszą być unikalne w całej domenie.
Nie mogą przekraczać 64 znaków.
Mogą zawierać znaki alfanumeryczne i znaki specjalne.

Hasło musi spełniać wymogi minimalnej długości określone przez stosowną opcję zabezpieczeń. Hasło może zawierać do 127 znaków. Jeśli jednak w sieci są używane komputery z systemami Windows 95 lub Windows 98, lepiej używać haseł o długości nie przekraczającej 14 znaków. Komputery Windows 95 i Windows 98 obsługują hasła składające się maksymalnie z 14 znaków. Jeśli hasło jest dłuższe, logowanie się do sieci z takich komputerów może być niemożliwe.

Domyślne ustawienia zasad haseł na komputerze lokalnym przedstawiają poniższe rysunki:

0x01 graphic

Domyślne ustawienia zasad blokowania kont na komputerze lokalnym przedstawiają poniższe rysunki:

0x01 graphic

Wybrane, najważniejsze wskazówki dotyczące zasad ochrony haseł

Przeszkolenie użytkowników w kwestii postępowania zgodnie z najważniejszymi wskazówkami dotyczącymi ochrony haseł, a wśród nich np.:

Zawsze używać silnych haseł.
Jeśli hasła muszą być zapisane na kartce papieru, przechowywać papier w bezpiecznym miejscu i zniszczyć go, kiedy będzie już niepotrzebny.
Nigdy nie udostępniać haseł osobom nieupoważnionym.
Używać różnych haseł dla wszystkich kont użytkownika.
Zmieniać hasła natychmiast, gdy mogły zostać złamane.
Zachowywać ostrożność przy wyborze miejsca przechowywania haseł na komputerze. W niektórych oknach dialogowych, na przykład umożliwiających dostęp zdalny i wykonywanie połączeń telefonicznych, występuje opcja umożliwiająca zapisanie lub zapamiętanie hasła. Wybór tej opcji stanowi potencjalne zagrożenie dla zabezpieczeń.

Definiowanie zasad haseł, aby wszystkie konta użytkowników były chronione silnymi hasłami:

Zdefiniować ustawienie zasady Wymuszaj tworzenie historii haseł (Enforce password history), aby kilka poprzednich haseł było zapamiętywanych. Przy takim ustawieniu zasad użytkownicy nie mogą skorzystać z tego samego hasła po wygaśnięciu hasła.
Zdefiniować ustawienie zasady Maksymalny okres ważności hasła (Maximum password age), aby hasła wygasały z częstością potrzebną w danym środowisku. Zwykle hasła powinny wygasać po 30-60 dniach. Jeśli przy tym ustawieniu zasad osoba nieupoważniona złamie hasło, będzie miała dostęp do sieci tylko do chwili wygaśnięcia hasła.
Zdefiniować ustawienie zasady Minimalny okres ważności hasła (Minimum password age), aby hasła nie mogły być zmieniane przed upływem określonego okresu ich używania. To ustawienie zasady współgra z ustawieniem Wymuszaj tworzenie historii haseł (Enforce password history). Po zdefiniowaniu minimalnego okresu ważności hasła użytkownicy nie mogą wielokrotnie zmienić hasła, aby obejść ustawienie zasad Wymuszaj tworzenie historii haseł i użyć pierwotnego hasła. Użytkownicy muszą odczekać określoną liczbę dni przed zmianą hasła.
Zdefiniować ustawienie zasady Minimalna długość hasła (Minimum password length), aby hasła miały długość większą od określonej liczby znaków. Długie hasła, mające co najmniej siedem znaków, są zwykle silniejsze od krótszych. Przy tym ustawieniu zasad użytkownicy nie mogą używać pustych haseł, a także muszą tworzyć hasła o określonej długości.
Włączyć ustawienie zasady Hasło musi spełniać wymagania co do złożoności (Password must meet complexity requirements). To ustawienie zasad powoduje sprawdzanie wszystkich nowych haseł, aby były zgodne z podstawowymi wymaganiami co do złożoności.

Zachować ostrożność przy definiowaniu zasad blokady kont:

Zasady blokady konta nie powinny być stosowane przypadkowo. Zasady blokady konta zwiększają wprawdzie prawdopodobieństwo odparcia nieautoryzowanego ataku na organizację, ale ich stosowanie może doprowadzić do nieumyślnego zablokowania autoryzowanych użytkowników, co może być dla organizacji dosyć kosztowne.
Jeśli podjęto decyzję o zastosowaniu zasad blokady konta, wartość Próg blokady konta (Account lockout threshold) trzeba ustawić na tyle wysoko, aby autoryzowani użytkownicy nie byli blokowani po prostu dlatego, że błędnie wpiszą hasło.
Autoryzowani użytkownicy mogą zostać zablokowani, jeśli zmienią hasło na jednym komputerze, ale nie na drugim. Komputer korzystający ze starego hasła będzie stale uwierzytelniał użytkownika przy użyciu błędnego hasła, co w końcu doprowadzi do blokady konta użytkownika. Może się to okazać kosztowną konsekwencją zdefiniowania zasad blokady kont, ponieważ autoryzowani użytkownicy nie będą mogli uzyskać dostępu do zasobów sieciowych, dopóki ich konta nie zostaną przywrócone. Problem ten nie dotyczy organizacji, które korzystają z kontrolerów domeny z systemami operacyjnymi z rodziny Windows Server 2003.

Silne hasła

Często nie docenia się i nie zauważa roli, jaką odgrywają hasła w zabezpieczaniu sieci firmy. Hasła stanowią pierwszą linię obrony przed nieautoryzowanym dostępem do organizacji.

Systemy z rodziny Microsoft Windows Server 2003 mają nową funkcję sprawdzania złożoności hasła konta Administrator podczas instalacji systemu operacyjnego. Jeśli hasło jest puste lub nie spełnia wymagań co do złożoności, pojawia się okno dialogowe Instalator systemu Windows ostrzegające o zagrożeniach związanych z niestosowaniem silnego hasła dla konta Administrator. Jeśli hasło pozostanie puste, nie będzie można uzyskać do niego dostępu za pośrednictwem sieci.

Słabe hasła dają atakującym łatwy dostęp do komputerów i sieci, podczas gdy silne hasła są znacznie trudniejsze do złamania, nawet przy użyciu dostępnego dzisiaj oprogramowania do łamania haseł. Powstają coraz doskonalsze narzędzia do łamania haseł, a moc komputerów używanych do tego celu jest większa niż kiedykolwiek wcześniej. Oprogramowanie służące do łamania haseł używa jednego z trzech podejść: zgadywania inteligentnego, ataków słownikowych lub siłowych ataków automatycznych działających na zasadzie pełnego przeglądu wszystkich możliwych kombinacji znaków. Mając wystarczająco dużo czasu, za pomocą metody automatycznej można złamać każde hasło. Silne hasła są jednak trudniejsze do złamania od haseł słabych. Zabezpieczony komputer ma silne hasła do wszystkich kont użytkowników.

Słabe hasło:

W ogóle nie jest hasłem.

Zawiera nazwę użytkownika, imię, nazwisko lub nazwę firmy.

Zawiera cały wyraz słownikowy. Na przykład hasło jest słabym hasłem.

Silne hasło:

Ma co najmniej siedem znaków długości.

Nie zawiera nazwy użytkownika, imienia, nazwiska ani nazwy firmy.

Nie zawiera całego wyrazu słownikowego.

Różni się znacznie od poprzednich haseł. Hasła tworzone na zasadzie wyliczanki (Hasło1, Hasło2, Hasło3...) nie są silne.

Zawiera znaki z każdej z czterech następujących grup:

Grupa	Przykłady
Wielkie litery	A, B, C...
Małe litery	a, b, c...
Cyfry	0, 1, 2, 3, 4, 5, 6, 7, 8, 9
Symbole występujące na klawiaturze (wszystkie znaki na klawiaturze niezdefiniowane jako litery lub cyfry)	` ~ ! @ # $ % ^ & * ( ) _ + - = { } \| [ ] \ : " ; ' < > ? , . /

Przykładem silnego hasła jest J*p2leO4>F.

Hasło może spełniać większość kryteriów dotyczących silnego hasła i pozostać dość słabym hasłem. Na przykład hasło Dzis3maja! jest stosunkowo słabym hasłem, choć spełnia większość kryteriów silnego hasła, a także wymogi złożoności opisane w zasadach haseł. D!z+i|s3Ma?j jest silnym hasłem, ponieważ wyraz słownikowy przeplata się z symbolami, liczbami i innymi literami. Należy informować użytkowników o zaletach stosowania silnych haseł i nauczyć ich tworzyć hasła, które będą rzeczywiście silne.

Można tworzyć hasła zawierające znaki z rozszerzonego zestawu znaków ASCII. Zastosowanie rozszerzonych znaków ASCII oznacza, że zwiększa się liczba znaków do wyboru przy tworzeniu hasła. W rezultacie łamanie hasła przez oprogramowanie do łamania haseł może być bardziej czasochłonne w wypadku użycia rozszerzonych znaków ASCII niż w wypadku łamania innych haseł. Przed zastosowaniem rozszerzonych znaków ASCII w haśle należy je gruntownie przetestować, aby mieć pewność, że hasła zawierające rozszerzone znaki ASCII są zgodne z używanymi w organizacji aplikacjami. Należy zachować szczególną ostrożność przy używaniu w hasłach rozszerzonych znaków ASCII, jeśli w organizacji jest używanych kilka różnych systemów operacyjnych.

Rozszerzone znaki ASCII można znaleźć w Tablicy znaków (Accessories - System Tools - Character Map Character Map) . Niektóre rozszerzone znaki ASCII nie powinny być stosowane w hasłach. Nie należy używać znaku, jeśli w dolnym prawym rogu okna dialogowego Tablica znaków nie ma zdefiniowanego dla niego naciśnięcia klawisza.

Przykładami haseł zawierających znaki z rozszerzonego zestawu znaków ASCII są:

kUµ!¶0o i Wf©$0k#»g¤5ªrd.

Można i należy zaimplementować ustawienie zasady haseł wymagającej haseł o określonej złożoności.

Autoryzacja przy użyciu smart card - nowy element w systemie

Autoryzacja jest procesem weryfikacji obiektu - czy rzeczywiście jest tym, za kogo się podaje.

Najpowszechniejszym przykładem autoryzacji jest logowanie się użytkownika do systemu. W najprostszym przypadku - podaje swój identyfikator oraz hasło. Jednak Windows Server 2003 obsługuje także smart card czy inne mechanizmy przekazywania informacji do autoryzacji.

Smart cards (czyli inteligentne karty) są trudnymi do zniszczenia obiektami przechowującymi poufne i osobiste informacje. Są kluczem, który pozwala uzyskać dostęp do określonych zasobów, a także zalogować się do serwera. Odgrywają także istotną rolę w zaawansowanej infrastrukturze klucza publicznego PKI (dostępnej z poziomu Windows XP oraz Windows Server 2003). smart cards oddzielają komputer od mechanizmów związanych z autoryzacją i identyfikacją - podpisami cyfrowymi, mechanizmem wymiany kluczy itp. Wszystkie te operacje dzieją się na karcie. Może ona stanowić podstawę „cyfrowej identyfikacji” użytkownika.

Logowanie przy użyciu smart card to najpewniejszy sposób autoryzacji. Użytkownik musi posiadać kartę, a dodatkowo znać swój kod PIN (który w odróżnieniu od kart bankomatowych może zawierać także znaki alfanumeryczne). Smart Card utrudnia też nieautoryzowane wejście do systemu. Włamywacz musi nie tylko podsłuchać PIN użytkownika, ale także ukraść kartę. Jest to znacznie trudniejsze do wykonania niż samo „złamanie” hasła. I - należy to mocno podkreślić - jest niemożliwe w sytuacji, gdy włamanie ma być wykonane zdalnie - konieczny jest fizyczny kontakt między włamywaczem a ofiarą, by stworzyć okazję do kradzieży.
Warto dodać, że w prawie wielu krajów trudno jest dowieść włamania do systemu informatycznego. Łatwiej można pokazać, że włamywacz/haker ukradł fizyczny obiekt - smart card.

Logowanie przy użyciu smart card nie wymaga naciskania CTRL+ALT+DEL. Wystarczy, by użytkownik wsunął kartę do czytnika, a system operacyjny poprosi go o podanie identyfikatora PIN (a nie o wprowadzenie nazwy użytkownika i hasła).

Dodatkowo w Windows Server 2003 można ograniczyć dostęp do części poleceń administracyjnych w taki sposób, by mógł je wykonać tylko administrator z odpowiednią smart card. Są to polecenia takie jak: DCPromo (do instalacji lub poważnych zmian w strukturze katalogu), mapowanie dysków sieciowych, polecenie Run As czy Net.

Smart Card może być także wykorzystana przy sesjach terminalowych, a może nawet być określone wymaganie, że logowanie do serwera terminali musi opierać się na mechanizmie SmartCard.

Jeżeli system rozpozna przekazane dane, użytkownik jest zalogowany i może wykonywać określone operacje w systemie. Dzięki mechanizmowi DACL (Discretionary Access Control List) administrator może dość dokładnie określić, co dany użytkownik może robić. Windows Server 2003 pozwala na jednorazowe logowanie się do wszystkich zasobów sieciowych.

Prawa i przywileje użytkowników, grupy lokalne

Prawa użytkownika (User Rights) - definicja: Zadania, które użytkownik może wykonywać w systemie komputerowym lub domenie. Są dwa typy praw użytkownika: przywileje i prawa logowania. Przykładem przywileju jest prawo do zamykania systemu. Przykładem prawa logowania jest prawo do lokalnego logowania się na komputerze. Oba typy praw są przypisywane poszczególnym użytkownikom lub grupom przez administratorów w ramach ustawień zabezpieczeń komputera.

Przywileje (Privileges) - definicja: Prawo użytkownika do wykonywania konkretnego zadania, zazwyczaj takiego, które ma wpływ na cały system komputera, a nie na pojedynczy obiekt. Przywileje są przypisywane przez administratorów poszczególnym użytkownikom lub grupom w ramach ustawień zabezpieczeń komputera.

Uprawnienie (Permissions) - definicja: Reguła skojarzona z obiektem w celu określenia, którzy użytkownicy i w jaki sposób mogą uzyskać do niego dostęp. Uprawnienia są udzielane lub odbierane przez właściciela obiektu.

Domyślne (wbudowane w system) grupy lokalne (Local Groups)

Prawa mogą być przydzielane poszczególnym kontom użytkowników, lecz są przede wszystkim przeznaczone dla grup. Folder Grupy (Groups), znajdujący się w przystawce Użytkownicy i grupy lokalne (Local Users and Groups) w programie Microsoft Management Console (MMC), wyświetla domyślne grupy lokalne, a także grupy lokalne utworzone przez użytkownika.

Domyślne grupy lokalne są automatycznie tworzone podczas instalacji serwera autonomicznego lub serwera członkowskiego działającego w systemie Windows Server 2003. Dzięki przynależności do grupy lokalnej użytkownik ma prawo i możliwość wykonywania różnych zadań na komputerze lokalnym.

Do grup lokalnych można dodawać konta użytkowników lokalnych, konta użytkowników domeny, konta komputera i konta grup. Do kont grup domeny nie można jednak dodawać kont użytkowników lokalnych i kont grup lokalnych.
W Windows Server 2003 powstają następujące wbudowane grupy lokalne:

Administratorzy (Administrators)
Goście (Guests)
Użytkownicy (Users)
Użytkownicy zaawansowani (Power Users)
Operatorzy kopii zapasowych (Backup Operators)
Replikator (Replicator)
Operatorzy konfiguracji sieci (Network Configuration Operators)
Użytkownicy monitora wydajności (Performance Monitor Users)
Użytkownicy dzienników wydajności (Performance Log Users)
Operatorzy drukowania (Print Operators)
Użytkownicy pulpitu zdalnego (Remote Desktop Users)
Użytkownicy serwera terminali (Terminal Server Users)
Grupa usług pomocy (Help Services Group)
Telnet Clients (Telnet Clients)

Po instalacji dodatkowych usług i programów kreowane są następne grupy np.:

Administratorzy DHCP (instalowani z usługą serwera DHCP) (DHCP Administrators (installed with the DHCP Server service))
Użytkownicy DHCP (instalowani z usługą serwera DHCP) (DHCP Users (installed with the DHCP Server service))
Użytkownicy WINS (instalowani z usługą WINS) (WINS Users (installed with WINS service))

Opis (Description) grup i domyślne prawa użytkownika (Default user rights) przysługujące z racji przynależności do grupy zawarto w pliku \zaj3\Domyslne_grupy_lokalne.doc.

Domyślne przywileje (Privileges) wynikające z przynależności do poszczególnych domyślnych, wbudowanych grup lokalnych zawarto w plikach \zaj3\Przywileje.doc - wersja polskojęzyczna, \zaj3\Privileges.doc - wersja angielskojęzyczna.

Powstają również tzw. grupy nazwane: Tożsamości specjalne lub Grupy specjalne. Łączą one użytkowników dla celów obsługi systemowej. Administratorzy nie mogą modyfikować członkostwa w tych grupach. Użytkownicy stają się ich członkami w sposób automatyczny, na skutek swojej aktywności w sieci. Dla przykładu, użytkownicy , którzy po zalogowaniu się do komputera uzyskują dostęp do zgromadzonych na nim danych, stają się automatycznie członkami grupy Interactive.

Aby dokładniej zabezpieczyć komputer lokalny, należy kierować się m. in. następującymi wytycznymi dotyczącymi zabezpieczeń:

Ograniczyć liczbę użytkowników w grupie Administratorzy, ponieważ członkowie grupy Administratorzy na komputerze lokalnym mają uprawnienia Pełna kontrola (Full Control) na tym komputerze.
Zmienić nazwę konta Administratora lub je wyłączyć.
Konto Gość (Guest) pozostawić wyłączone. Konto Gość służy osobom, które nie mają własnego konta na danym komputerze. Konto Gość nie wymaga hasła, stanowi więc zagrożenie dla bezpieczeństwa. Domyślnie konto Gość jest wyłączone i zaleca się, aby pozostało wyłączone.

Domyślne (wbudowane) konta użytkowników (User Accounts)

Folder Użytkownicy (Users), znajdujący się w przystawce Użytkownicy i grupy lokalne (Local Users and Groups) w programie Microsoft Management Console (MMC), wyświetla domyślne konta użytkownika, a także grupy lokalne utworzone przez użytkownika. Domyślne konta użytkownika są automatycznie tworzone podczas instalacji serwera autonomicznego lub serwera członkowskiego działającego w systemie Windows Server 2003.

W poniższej tabeli przedstawiono wszystkie domyślne konta użytkownika na serwerach z systemem Windows Server 2003.

Domyślne konto użytkownika	Opis
Konto Administrator (Administrator Account)	Konto Administrator zapewnia pełną kontrolę nad serwerem i w razie potrzeby umożliwia przypisywanie użytkownikom praw użytkownika i uprawnień kontroli dostępu. Konta tego należy używać tylko do wykonywania zadań wymagających poświadczeń administracyjnych. Zaleca się, aby konfiguracja konta wymagała użycia silnego hasła. Konto Administrator jest członkiem grupy Administratorzy na serwerze. Konta Administrator nie można usunąć z grupy Administratorzy, ale można zmienić jego nazwę lub je wyłączyć. Ponieważ wiadomo, że konto Administrator istnieje w wielu wersjach systemu Windows, zmiana jego nazwy lub jego wyłączenie utrudni złośliwym użytkownikom uzyskanie do niego dostępu. Konto Administrator służy do instalowania i konfigurowania serwera po raz pierwszy. Konta tego użytkownik używa, zanim utworzy konto dla siebie. Ważne: Nawet kiedy konto Administrator zostanie wyłączone, nadal może umożliwić dostęp do komputera w Trybie awaryjnym.
Konto Gość (Guest Account)	Konto Gość służy osobom, które nie mają własnego konta na danym komputerze. Użytkownik, którego konto jest wyłączone, ale nie usunięte, również może korzystać z konta Gość. Konto Gość nie wymaga hasła. Konto Gość jest domyślnie wyłączone, ale można je włączyć. Prawa i uprawnienia dla konta Gość można ustawiać tak samo, jak dla dowolnego innego konta użytkownika. Domyślnie konto Gość jest członkiem domyślnej grupy Goście, co umożliwia użytkownikowi zalogowanie się na serwer. Dodatkowe prawa oraz wszelkie uprawnienia muszą zostać udzielone grupie Goście przez członka grupy Administratorzy. Domyślnie konto Gość jest wyłączone i zaleca się, aby pozostało wyłączone.
Konto Pomocnik (Support Account)	Konto dostawcy dla Pomocy (Help) i obsługi technicznej. Ma ono ograniczony dostęp do komputera.

Występowanie innych kont związane jest z dalszymi działaniami administracyjnymi lub instalacjami aplikacji i usług w domyślnej konfiguracji systemu operacyjnego.

Profile użytkowników

Profil użytkownika definiuje dostosowane środowiska pulpitu, zawierające indywidualne ustawienia ekranu, połączenia sieci i drukarki oraz inne określone ustawienia. Użytkownik lub administrator systemu mogą zdefiniować środowisko pulpitu.

Do typów profili użytkownika należą m in:

Lokalny profil (Local User Profile) - Lokalny profil użytkownika jest utworzony podczas pierwszego logowania do komputera i przechowywany na lokalnym dysku twardym komputera. Każda zmiana lokalnego profilu użytkownika dotyczy jedynie komputera, na którym została wprowadzona.
Mobilny profil (Roaming User Profile) - Mobilny profil użytkownika jest tworzony przez administratora systemu i przechowywany na serwerze. Ten profil jest dostępny podczas każdego logowania na dowolnym komputerze w sieci. Zmiany mobilnego profilu użytkownika są wprowadzane na serwerze.
Obowiązkowy profil (Mandatory User Profile) - Obowiązkowy profil użytkownika to profil mobilny, który może określać konkretne ustawienia dla pojedynczych użytkowników i całych grup. Tylko administratorzy systemu mogą wprowadzać zmiany w obowiązkowym profilu użytkownika.
Tymczasowy profil użytkownika (Temporary User Profile) - Tymczasowy profil użytkownika jest tworzony, jeśli błąd uniemożliwia załadowanie profilu użytkownika. Tymczasowe profile są usuwane pod koniec każdej sesji. Zmiany wprowadzone przez użytkownika w ustawieniach pulpitu i w plikach są tracone po wylogowaniu się użytkownika.

Zawartość profilu użytkownika

Każdy profil użytkownika powstaje jako kopia profilu Użytkownik domyślny (Default User), czyli domyślnego profilu przechowywanego na każdym komputerze z systemem operacyjnym z rodziny Windows Server 2003. W pliku NTuser.dat w folderze Default User znajdują się ustawienia konfiguracji systemów z rodziny Windows Server 2003. Każdy profil użytkownika korzysta także z typowych grup programów zawartych w folderze Wszyscy użytkownicy (All Users).

Foldery profilów użytkownika zawierają różne elementy, w tym pulpit i menu Start.

W poniższej tabeli wymieniono i opisano elementy zawartości każdego folderu profilu użytkownika.

Folder profilu użytkownika	Zawartość
Dane aplikacji	Dane typowe dla programu, na przykład słownik niestandardowy. Producenci programów decydują, które dane mają być przechowywane w folderze profilu użytkownika.
Pliki cookie	Informacje o użytkowniku i preferencje.
Pulpit	Elementy pulpitu, w tym pliki, skróty i foldery.
Ulubione	Skróty do ulubionych lokalizacji w Internecie.
Ustawienia lokalne	Dane aplikacji, pliki historii i pliki tymczasowe. Dane aplikacji są przenoszone razem z użytkownikiem przez mobilne profile użytkownika.
Moje dokumenty	Dokumenty i podfoldery użytkownika.
Moje bieżące dokumenty	Skróty do niedawno używanych dokumentów i ostatnio otwieranych folderów.
NetHood	Skróty do elementów folderu Moje miejsca sieciowe.
PrintHood	Skróty do elementów folderu drukarek.
Wyślij do	Skróty do narzędzi obsługujących dokumenty.
Menu Start	Skróty do programów.
Szablony	Szablony użytkownika.

Plik NTuser.dat

Plik NTuser.dat jest fragmentem rejestru profilu użytkownika. Kiedy użytkownik wylogowuje się z komputera, system zwalnia część rejestru danego użytkownika (tj. klucz HKEY_CURRENT_USER) do pliku NTuser.dat i aktualizuje ją.

Folder Wszyscy użytkownicy (All Users)

Ustawienia w folderze Wszyscy użytkownicy nie są kopiowane do folderów profilu użytkownika, ale służą do tworzenia indywidualnych profilów użytkownika. Systemy z rodziny Windows Server 2003 obsługują dwa typy grup programów:

Wspólne grupy programów są zawsze dostępne na komputerze, bez względu na to, kto jest zalogowany.
Osobiste grupy programów to prywatne grupy użytkownika, który je tworzy.

Wspólne grupy programów są przechowywane w folderze \Dokumenty i Ustawienia\Wszyscy użytkownicy (\Documents and Settings\All Users). Folder Wszyscy użytkownicy zawiera także ustawienia pulpitu i menu Start.

Zarządzanie plikami dla kont użytkowników lokalnych - foldery macierzyste

Administratorzy mogą używać folderów macierzystych (home directories) i folderu Moje dokumenty (My Documents), aby przechowywać wszystkie pliki użytkowników w jednym miejscu. Pliki użytkowników zgromadzone w jednym miejscu upraszczają wykonywanie kopii zapasowych i ułatwiają zarządzanie kontrolą dostępu.

Foldery macierzyste mogą być folderem lokalnym lub folderem znajdującym się w zasobie udostępnionym; mogą być przypisane jednemu lub wielu użytkownikom. Folder macierzysty przypisany użytkownikowi stanie się domyślnym folderem tego użytkownika w oknach dialogowych Otwórz (Open) i Zapisz jako (Save As), w sesjach wiersza polecenia oraz we wszystkich programach bez zdefiniowanego folderu roboczego.

Folder Moje dokumenty jest alternatywą dla folderów macierzystych, ale ich nie zastępuje. Gdy użytkownik próbuje zapisać lub otworzyć plik, większość programów określa, czy użyć folderu macierzystego, czy folderu Moje dokumenty, na jeden z dwóch sposobów:

Niektóre programy najpierw przeszukują folder macierzysty w poszukiwaniu plików odpowiadających typowi pliku, który ma zostać otwarty lub zapisany (na przykład *.doc lub *.txt). Jeśli jakiś plik z danym rozszerzeniem zostanie znaleziony, program otwiera folder macierzysty i ignoruje folder Moje dokumenty. Jeśli plik danego typu nie zostanie znaleziony, program otwiera folder Moje dokumenty.
W przypadku innych programów, folder macierzysty jest ignorowany, bez względu na to, czy zawiera jakiekolwiek pliki.

W wypadku uaktualniania serwerów z systemu Windows NT 4.0 lub starszego programy, które przechowywały dokumenty w folderze macierzystym, będą nadal otwierać i zapisywać dokumenty w folderze macierzystym. Jeśli jednak program został zainstalowany po uaktualnieniu, do otwierania i zapisywania plików program użyje folderu Moje dokumenty.

Identyfikatory zabezpieczeń SID (SID Security Identifier)

Identyfikatory zabezpieczeń (SID, Security Identifier) są wartościami liczbowymi, które identyfikują użytkowników i grupy. Dla każdego wpisu kontroli dostępu (ACE, Access Control Entry) istnieje identyfikator SID, określający użytkowników i grupy, którym udzielono lub odmówiono dostępu albo dostęp ten podlega inspekcji.

Wewnętrzne procesy w systemie Windows odwołują się do numerów SID kont zamiast nazw kont użytkowników lub grup.
Więcej informacji na temat SID zawiera plik \zaj3\identyfikatory_zabezpieczen.doc.

Dyski resetowania hasła (Password Reset Disks)

Nie jest niczym niezwykłym, że użytkownicy zapominają swoje hasła przypisane do kont użytkowników lokalnych, zwłaszcza jeśli korzystają z silnych haseł. Przed wynalezieniem dysków resetowania hasła jedyną dostępną dla administratorów metodą przywrócenia zapomnianego hasła konta użytkownika lokalnego było ręczne resetowanie hasła użytkownika. W rezultacie dochodziło do utraty następujących informacji:

wiadomości e-mail, zaszyfrowanych kluczem publicznym użytkownika;
haseł internetowych zapisanych na danym komputerze;
plików zaszyfrowanych przez użytkownika.

Dyski resetowania hasła stanowią inne rozwiązanie problemu zapomnianego hasła do konta użytkownika lokalnego. Jeśli użytkownicy utworzą dyski resetowania haseł dla swoich kont lokalnych przed zapomnieniem hasła, będą mogli resetować hasła, nie tracąc wartościowych danych, które utraciliby w wypadku resetowania hasła metodą administracyjną.

W czasie tworzenia dysku resetowania hasła powstaje para kluczy: klucz publiczny i klucz prywatny. Klucz prywatny jest zapisywany na dysku resetowania hasła. Klucz publiczny szyfruje hasło do konta użytkownika lokalnego. Jeśli użytkownicy zapomną swoje hasła, mogą włożyć dysk resetowania hasła zawierający klucz prywatny, a następnie odszyfrować bieżące hasło. Kreator przypominania hasła monituje użytkownika o nowe hasło, które jest następnie szyfrowane kluczem publicznym. Dane nie są tracone, ponieważ w istocie użytkownik po prostu zmienia hasło. Kluczowe znaczenie ma przechowywanie dysków resetowania haseł w bezpiecznym miejscu.

Uwaga:

Dyski resetowania hasła mogą być używane tylko w przypadku kont komputera lokalnego, a nie kont domeny.
Nie można jednocześnie zmienić hasła i utworzyć dysku resetowania hasła. Wpisanie nowego hasła w polach Nowe hasło i Potwierdź nowe hasło przed kliknięciem przycisku Kopia zapasowa powoduje, że nowe informacje o haśle nie są zapisywane. Kiedy kreator monituje o bieżące hasło do konta użytkownika, trzeba wpisać stare hasło. Hasło można zmienić po utworzeniu dysku resetowania hasła.
Hasło można zmienić w dowolnym czasie po utworzeniu dysku resetowania hasła. Po zmianie hasła lub jego ręcznym zresetowaniu nie trzeba tworzyć nowego dysku resetowania hasła.

ZAJĘCIA 3 - ĆWICZENIA

Ćwiczenie 1 (Przygotowania)

Podczas uruchamiania komputera pojawia się ekran wyboru systemów operacyjnych i innych zadań - Welcome on the WSISiZ network. Należy wybrać Win2003, a następnie pozycję Windows Server 2003, Instalacja standardowa.
Po zalogowaniu się jako Administrator należy sprawdzić i w razie potrzeby skorygować nazwę lokalnego komputera (np. w Properties dla My Computer, karta Computer Name, przycisk Change...). Wprowadzona nazwa winna być taka, jaka została umieszczona na obudowie komputera (np. sz455).
Z zasobów WS2003Lab skopiować do katalogu głównego partycji D: (!!! uprzednio zalecane jest wydanie w Start - Run: \\oceanic i podanie swoich parametrów uwierzytelnienia w sieci WSISiZ) cały folder \\oceanic\staff\ws2003lab\lab2006\zaj3 z zachowaniem jego nazwy zaj3.
Uruchomić miniaplikację Folder Options w panelu sterowania Control Panel.
W zakładce View uzyskać następujące ustawienia pozycji konfiguracyjnych:
Show hidden files and folders - zaznaczona
Hide extensions for known file types - odznaczona
Hide protected operating system files (Recommended) - odznaczona
Utworzyć, dla potrzeb poprawnej koordynacji przebiegu ćwiczeń, dwuosobowe zespoły złożone z partnerów przy sąsiednich stanowiskach. Partnerzy winni uzgadniać swoje postępowanie (w pełni je synchronizować) w przypadku zdalnego wykonywania zadań.

Ćwiczenie 2 (Utworzenie roboczej konsoli MMC)

Pracując jako Administrator uruchomić pustą konsolę MMC (Start - Run polecenie mmc).
Użyć File - Add/Remove Snap-in...
W zakładce Standalone okna Add/Remove Snap-in użyć przycisku Add...
W spisie samodzielnych przystawek wyświetlonych w oknie Add Standalone Snap-in zaznaczyć przystawkę Computer Management oraz nacisnąć przycisk Add.
W oknie Computer Management charakteryzującym pracę tej przystawki, w rubryce This snap-in will always manage: powinno być wybrane pole Local computer. Nacisnąć przycisk Finish i nie zamykać okna Add Standalone Snap-in.
W otwartym oknie Add Standalone Snap-in dodać przystawkę Group Policy Object Editor (zaznaczając tę przystawkę, używając przycisku Add i pozostawiając w oknie Select Group Policy Object domyślne ustawienia) dla lokalnego komputera.
W otwartym oknie Add Standalone Snap-in dodać przystawkę Local Users and Groups dla zdalnego komputera partnera z zespołu. W tym celu po zaznaczeniu tej przystawki, użyciu przycisku Add, w pojawiającym się oknie Chose Target Machine zaznaczyć opcję Another computer: i w uaktywnionym polu wprowadzić szyyy, gdzie szyyy jest nazwą komputera partnera z zespołu. Użyć przycisku Finish a następnie Close i OK.
Zapamiętać konsolę (File - Save) pod nazwą nazwisko-grupa.msc (np. nowak-id213.msc) w domyślnie proponowanym folderze \Documents and Settings\Administrator\Start Menu\Programs\Administrative Tools.
Zamknąć okno konsoli.

Ćwiczenie 3 (Dodawanie nowych kont użytkowników przy użyciu graficznego interfejsu użytkownika GUI - Graphical User Interface)

Część I: Przykład tworzenia konta użytkownika, który należy do grupy Users i musi zmienić hasło podczas swojego pierwszego logowania się w systemie

Pracując jako Administrator uruchomić konsolę MMC o nazwie nazwisko-grupa.msc wykorzystując Start - All Programs - Administrative Tools.
W oknie drzewa konsoli rozwinąć kontener Computer Management (Local) a następnie, System Tools - Local Users and Groups.
Otworzyć folder Users (po domyślnej instalacji systemu operacyjnego znajdują się tu tylko trzy wbudowane konta: Administrator,Guest i konto Suport_3888945a0; po zainstalowaniu np. serwera Internetowego pojawiają się kolejne konta). W menu Action wybrać New User… i w pojawiającym się oknie New User dokonać następujących wpisów i ustaleń:

User name: smeagol-grupa !!! gdzie grupa jest nazwą grupy odbywającej ćwiczenia - np. dla grupy id213 nazwa konta to: smeagol-id213.
Full name: zero
Description: smiecie
Password: (pozostawić puste)
Zaznaczone pole User must change password at next logon

Uwaga: Utworzenie konta odbywa się po naciśnięciu przycisku Create
Utworzone w powyższy sposób konto smeagol-grupa domyślnie jest zaliczane do grupy lokalnej Users.

Zamknąć okno New User. Zauważyć, że w katalogu d:\Documents and Settings nie pojawia podkatalog tyczący się nowego konta użytkownika. Oznacza to, że nie zaistniał jeszcze w systemie profil tego konta.
Zapamiętać konsolę (File - Save) i zamknąć ją.

Wylogować się.

Część II: Sprawdzenie wybranych możliwości członka grupy Users

Zalogować jako smeagol-grupa.
W oknie Log On to Windows nie wprowadzać hasła i użyć przycisku OK. W pojawiającym się oknie Logon Message zatwierdzić informację o konieczności zmiany hasła przy pierwszym logowaniu. W oknie Change Password wprowadzić:

New Password: smeagol
Confirm New Password: smeagol

Po zalogowaniu zauważyć, że w katalogu d:\Documents and Settings pojawił się podkatalog smeagol-grupa.

Podjąć próbę udostępnienia jakiegokolwiek foldera z d:\Documents and Settings\smeagol-grupa. Taka próba kończy się niepowodzeniem, w ogóle nie występuje funkcja Sharing.... Konto, utworzone w powyższy sposób, domyślnie zaliczane jest do grupy Users nie posiadających prawa do udostępniania zasobów komputera.
Podjąć próbę zmiany daty systemowej (próba powinna zakończyć się niepowodzeniem).
Podjąć próbę utworzenia podfoldera d:\Documents and Settings\smeagol-grupa\nowy. Próba winna być udana.
Przejść w Control Panel - System do karty Advanced i w części User Profiles użyć przycisku Settings.
Dla zalogowanego użytkownika widoczny jest tylko wpis o jego profilu mimo, że w systemie istnieje z definicji, po domyślnej instalacji, co najmniej profil konta Administrator.
Zamknąć okna związane z miniaplikacją System.

Część III: Przykład tworzenia nowego konta użytkownika korzystając z logowania członka grupy Users i funkcji Run As

Będąc zalogowanym jako smeagol-grupa wybrać Control Panel - Administratiwe Tools i z menu kontekstowego Computer Management wybrać Run as...
W oknie Run As, zaznaczyć pole The following user: oraz wprowadzić hasło dla użytkownika Administrator, potwierdzając to przyciskiem OK.
W oknie drzewa konsoli rozwinąć kontener Computer Management (Local) a następnie, System Tools - Local Users and Groups.
Otworzyć folder Users.
Z menu kontekstowego foldera Users lub z menu kontekstowego wolnej przestrzeni okna szczegółów wybrać pozycję New User... i dodać nowe konto użytkownika dokonując następujących wpisów i ustaleń:

User name: durin-grupa !!! gdzie grupa jest nazwą grupy odbywającej ćwiczenia - np. id213
Full name: (pozostawić puste pole)
Description: Moria
Password: durin
Odznaczyć pole User must change password at next logon i zaznaczyć pole Password never expires

Po użyciu przycisku Create zamknąć okno New User. Nie zamykać okna Computer Management.
Zauważyć, że dla użytkownika durin-grupa system automatycznie nadał Full name: durin-grupa.

Ćwiczenie 4 (Dodawanie kont do standardowych grup lokalnych i ich usuwanie z grup przy użyciu GUI)

Część I: Dodawanie konta do standardowej grupy lokalnej

Z menu kontekstowego konta durin-grupa wybrać Properties.
W oknie durin-grupa Properties wybrać zakładkę Member Of i użyć przycisku Add...
W pojawiającym się oknie Select Groups użyć przycisku Advanced... a następnie przycisku Find Now.
W obszarze Search results: zaznaczyć pozycję Power Users i zatwierdzić.
Zamknąć okno Select Groups przyciskiem OK.
Zamknąć okno durin-grupa Properties przyciskiem OK.
W drzewie konsoli wybrać Groups. Przejrzeć (dwukrotne kliknięcie na nazwę grupy lub Properties w jej menu kontekstowym) listę członków grup Power Users i Users. Zauważyć że rezultatem przyjętej metody dodawania nowego konta użytkownika durin-grupa jest jego uczestnictwo w dwóch standardowych grupach lokalnych.

Część II: Usuwanie konta ze standardowej grupy lokalnej

Otworzyć okno Users Properties czyli okno właściwości dla grupy Users, zaznaczyć konto durin-grupa, użyć przycisków Remove i OK. Sprawdzić skuteczność przeprowadzenia usuwania konta durin-grupa z grupy Users. Nie zamykać okna Computer Management. Nie usuwać konta durin-grupa z grupy Power Users !!!

Ćwiczenie 5 (Dodawanie - definiowanie lokalnych folderów macierzystych dla kont
użytkowników przy użyciu GUI)

Folder macierzysty użytkownika to w założeniu folder zawierający jego własne dane. Może być lokowany na dysku lokalnym lub sieciowym. Niektóre programy np. Command Prompt przy otwieraniu używają go jako własnego domyślnego katalogu. Każdy użytkownik może, już na początku pracy z folderem macierzystym, przydzielać uprawnienia dostępu do swego folderu macierzystego. Dotyczy to również użytkownika z grupy Users.

W otwartym oknie Computer Management, w otwartym folderze Users z menu kontekstowego konta smeagol-grupa wybrać Properties. W oknie smeagol-grupa Properties otworzyć kartę Profile, w polu Local path: wprowadzić d:\smeagol-grupa i zatwierdzić. Zaobserwować fakt utworzenia katalogu d:\smeagol-grupa.
Zdefiniować folder macierzysty dla konta durin-grupa, przy czym w polu Local path: wprowadzić d:\%username% i zatwierdzić.
Zaobserwować fakt utworzenia foldera d:\durin-grupa i wylogować się.

Ćwiczenie 6 (Sprawdzenie wybranych możliwości użytkownika grupy Power users)

Utworzone w Ćwiczeniu 3 konto durin-grupa początkowo należało domyślnie do grupy Users, podobnie jak konto smeagol-grupa. Dzięki dodaniu konta durin-grupa do grupy Power users (Ćwiczenie 4) użytkownik ten odziedziczył prawa przynależne tej grupie.

Zalogować jako durin-grupa.
Sprawdzić możliwości:

udostępniania zasobów komputera
zmiany czasu systemowego
użycia w Control Panel - Administrative Tools - Computer Management - Local Users and Groups.
Przeprowadzić operacje dodawania i usuwania nowego konta użytkownika, nowej grupy lokalnej. Podjąć próbę dodania nowego konta użytkownika do grupy Power users i Administrators. Jaki jest tego rezultat i dlaczego?

Wylogować się.

Ćwiczenie 7 (Tworzenie dysku resetowania hasła (Password Reset Disk))

Część I: Tworzenie dysku resetowania hasła (należy dysponować pustą sformatowaną dyskietką)

Zalogować się jako smeagol-grupa i w otwartej sesji użyć sekwencji klawiszy [Ctrl]+[Alt]+[Del].
W oknie Windows Security wybrać Change Password...
W oknie Change Password użyć przycisku Backup…
Włożyć dyskietkę do napędu.
W oknie kreatora Forgotten Password Wizard użyć Next.
W oknie kreatora Create a Password Reset Disk użyć Next.
W oknie kreatora Current User Account Password wprowadzić aktualne hasło (smeagol) dla konta
smeagol-grupa i użyć Next, Next, Finish a następnie Cancel.
Zamknąć okno Windows Security i wylogować się.

Część II: Wykorzystanie dysku resetowania hasła

Podjąć próbę zalogowania się jako smeagol-grupa z nieprawidłowo podanym hasłem.
W oknie Logon Failed użyć Reset...
Ważne: Okno z możliwością resetowania hasła pojawia się tylko wtedy, gdy uprzednio został utworzony Password Reset Disk.
W oknie kreatora Password Reset Wizard użyć Next.
Gdy pojawi się okno kreatora Insert the Password Reset Disk włożyć uprzednio utworzoną dyskietkę resetowania hasła do napędu i użyć Next.
W oknie Reset the User Account Password w polach dotyczących nowego hasła dwukrotnie wprowadzić nowe hasło: reset.
Pole Type a new password hint: pozostawić puste, użyć Next, Finish i zalogować się przy użyciu nowego hasła (hasło: reset).
Wylogować się.

Ćwiczenie 8 (Zakładanie konta użytkownika na zdalnym komputerze w grupie roboczej)

Zalogować się jako Administrator, otworzyć konsolę nazwisko-grupa.msc i wybrać Local User and Groups (szyyy).
Dodać użytkownika zdalny-szxxx, gdzie szxxx jest nazwą komputera, z którego dokonywana jest operacja. Poprosić partnera z zespołu o sprawdzenie skuteczności operacji. Po uzyskaniu potwierdzenia usunąć utworzone konto.

Ćwiczenie 9 (Dodawanie konta użytkownika przy użyciu polecenia net user)

Pracując jako Administrator wybrać Command Prompt.
Sprawdzić jakie konta użytkowników istnieją w systemie wydając polecenie:
net user
Zapoznać się ze składnią polecenia net user wprowadzając:
net user /?
a następnie:
net user /help
Wyświetlić informację o koncie smeagol-grupa wprowadzając:
net user smeagol-grupa
Utworzyć nowe konto użytkownika gandalf-grupa z hasłem gandalf wprowadzając:
net user gandalf-grupa gandalf /add
Sprawdzić skuteczność operacji wydając polecenie jak w p. 2.
Usunąć konto użytkownika smeagol-grupa wprowadzając:
net user smeagol-grupa /delete

Ćwiczenie 10 (Dodawanie konta użytkownika z losowo generowanym silnym hasłem, określanie, kiedy użytkownik ma prawo korzystać z komputera i usuwanie tego konta przy użyciu polecenia net user)

Część I: Utworzenie nowego konta z losowo generowanym silnym hasłem

Pracując jako Administrator w oknie Command Prompt utworzyć nowe konto użytkownika wydając polecenie:
net user losowy-grupa /random /add
Zapisać na kartce wygenerowane hasło.
Wylogować się.

Część II: Sprawdzenie skuteczności przeprowadzonej operacji

Zalogować się jako losowy-grupa podając zapisane hasło.
Po skutecznym zalogowaniu, wylogować się.

Część III: Ustalanie okresu dostępności konta użytkownika

Zalogować się jako Administrator, wybrać Command Prompt i wydać polecenie określające prawo do korzystania z konta losowy-grupa we wtorki (Tuesday), w godz. od 15.00 (3pm) do 18.00 (6pm):
net user losowy-grupa /times:T,3pm-6pm
Zauważyć, że po wydaniu polecania net user losowy-grupa dla pozycji Logon hours allowed wystąpił stosowny wpis.
Wylogować się

Część IV: Sprawdzenie skuteczności przeprowadzonej operacji

Podjąć próbę zalogowania się jako losowy-grupa. Próba nie powinna się udać, co sygnalizowane jest komunikatem „Your account has time restrictions...”.

Część V: Usuwanie konta użytkownika

Zalogować się jako Administrator i w oknie Command Prompt wydać polecenie:
net user losowy-grupa /delete
Sprawdzić skuteczność przeprowadzonej operacji wydając polecenie:
net user

Ćwiczenie 11 (Dodawanie nowej grupy lokalnej przy użyciu polecenia
net localgroup)

Sprawdzić jakie grupy lokalne istnieją w systemie wydając polecenie:
net localgroup
Zapoznać się ze składnią polecenia net localgroup wprowadzając kolejno:
net localgroup /?
net localgroup /help
Utworzyć nową lokalną grupę Tolkien-grupa wprowadzając:
net localgroup Tolkien-grupa /add
Sprawdzić skuteczność operacji jak p. 1.

Ćwiczenie 12 (Dodawanie do grupy lokalnej konta użytkownika przy użyciu polecenia net
localgroup)

Dodać do grupy lokalnej Tolkien-grupa konto użytkownika gandalf-grupa wprowadzając:
net localgroup Tolkien-grupa gandalf-grupa /add
Sprawdzić skuteczność wykonanego polecenia ponownie wprowadzając:
net localgroup Tolkien-grupa

Ćwiczenie 13 (Usuwanie utworzonej grupy lokalnej przy użyciu narzędzi konsoli MMC)

Usunąć lokalną grupę Tolkien-grupa wykorzystując np. menu kontekstowe My Computer - Manage, a następnie rozwijając kontener Computer Management (Local) - System Tools - Local Users and Groups.
Otworzyć folder Groups i z menu kontekstowego Tolkien-grupa wybrać pozycję Delete. Zaakceptować komunikat ostrzegawczy.

Ćwiczenie 14 (Ustalanie minimalnej liczby znaków, jakie musi zawierać hasło przy użyciu interfejsu graficznego)

Pracując jako Administrator skorzystać z konsoli nazwisko-grupa.msc.
Rozwinąć gałąź Local Computer Policy, węzły Computer Configuration a następnie Windows Settings, Security Settings, Account Policies. Wybrać węzeł Password Policy.
W oknie szczegółów dwukrotnie kliknąć na Minimum password lenght i w pojawiającym się oknie Minimum password lenght Properties, w polu obok characters wprowadzić 5 i nacisnąć OK.
Od tej chwili obowiązują nowe zasady haseł.
Podjąć próbę, przy użyciu wiersza poleceń, utworzenia nowego konta z dwuznakowym hasłem (próba nie powinna się udać, przeczytać komunikat).

Ćwiczenie 15 (Ustalanie minimalnej liczby znaków, jakie musi zawierać hasło przy użyciu polecenia net accounts)

Sprawdzić wymagania dotyczące polityki haseł w systemie wydając polecenie:
net accounts
Zapoznać się ze składnią polecenia net accounts wprowadzając:
net accounts /?
Określić minimalną liczbę znaków, jakie musi zawierać hasło na 0 (co jest domyślnym ustawieniem) wprowadzając:
net accounts /minpwlen:0
Sprawdzić skuteczność operacji wydając polecenie jak w p.1 bieżącego ćwiczenia.

Ćwiczenie 16 (Tworzenie, definiowanego przez administratora, profilu użytkownika poprzez
kopiowanie istniejącego profilu - przykład sposobu postępowania)

Część I: Tworzenie wzorca profilu

Zalogować się jako durin-grupa i dodać na pulpicie folder wzorzec1. Dodać również skrót do dowolnego programu oraz we właściwościach ekranu wybrać kartę Desktop i ustawić kolor pulpitu na żółty. Nie zmieniać tapety.

Wylogować się i ponownie zalogować jako durin-grupa (podczas tej operacji dokonany został zapis profilu użytkownika). Sprawdzić, czy zostały zachowane zmiany na pulpicie (winny pozostać) i wylogować się.
Tak zmodyfikowany profil będzie wzorcem.

Część II: Kopiowanie wzorca profilu

Zalogować się jako Administrator.
Z menu kontekstowego My Computer wybrać Manage i w Computer Management dodać nowe konto
bilbo-grupa, gdzie grupa jest nazwą grupy studenckiej odbywającej zajęcia np. bilbo-id213, (hasło:bilbo, zaznaczyć pole Password never expires).
Wylogować się i ponownie zalogować jako bilbo-grupa. Zapamiętać wygląd ekranu i wylogować się.
Zalogować się jako Administrator i utworzyć folder d:\wzorce-grupa, gdzie grupa jest nazwą grupy studenckiej odbywającej zajęcia np. wzorce-id213.
Z menu kontekstowego My Computer wybrać Properties, a następnie kartę Advanced i w części User Profiles użyć przycisku Settings.
Zaznaczyć w obszarze Profiles stored on this computer: profil użytkownika SZXXX\durin-grupa i użyć przycisku Copy To.
Uwaga: W przypadku, gdy przyciski Copy To, Delete są niedostępne należy dokonać restartu komputera
i ponownie rozpocząć realizację punktu 4 bieżącego ćwiczenia.
W oknie Copy To wprowadzić d:\wzorce-grupa\bilbo-grupa, gdzie grupa jest nazwą grupy studenckiej odbywającej zajęcia np. d:\wzorce-id213\bilbo-id213.
W sekcji Permitted to use użyć przycisku Change.
W oknie Select User or Groups użyć przycisku Advanced... a następnie Find Now.
W części Search results: zaznaczyć pozycję dla bilbo-grupa i zatwierdzić.
Zamknąć okno Select User or Groups przyciskiem OK.
Zaobserwować fakt pojawienia się w oknie Copy To, w rubryce Permitted to use nazwy SZXXX\bilbo-grupa.
Zamykać kolejne okna w obrębie System Properties przyciskiem OK.
Zaobserwować fakt pojawienia się stosownego foldera w d:\wzorce-grupa, obejrzeć jego zawartość.
Otworzyć Computer Management - Local Users and Groups - Users i z menu kontekstowego konta bilbo-grupa wybrać Properties. W oknie bilbo-grupa Properties otworzyć kartę Profile, w obszarze User Profile, w polu Profile path: wprowadzić d:\wzorce-grupa\bilbo-grupa i zatwierdzić.
Wylogować się.

Część III: Sprawdzenie skuteczności procedur bieżącego ćwiczenia

Zalogować jako bilbo-grupa.
Ocenić zawartość pulpitu. Winna być taka, jak dla konta durin-grupa.
Dodać na pulpit nowy folder bilbo1. Wylogować się i zalogować ponownie jako bilbo-grupa.
Upewnić się, czy istnieje nowy folder i wylogować się.

Ćwiczenie 17 (Zamiana profilu użytkownika na profil obowiązkowy - Mandatory)

Zalogować się jako Administrator.
W folderze d:\wzorce-grupa\bilbo-grupa odnaleźć plik NTUSER.DAT (w razie potrzeby użyć Folder Options...).
Zmienić nazwę pliku NTUSER.DAT na NTUSER.MAN i wylogować się.
Zalogować się jako bilbo-grupa utworzyć na pulpicie nowy katalog bilbo2 i zmienić tapetę.
Wylogować się i ponownie zalogować jako bilbo-grupa. Zauważyć, że elementy pulpitu nie zostały zapamiętane. Użytkownik nie może zmieniać tej cechy.
Zauważyć również, że w aplikacji Control Panel - System, zakładka Advanced w części User Profiles, przycisk Settings, w kolumnie Type pojawił się wpis Mandatory.

Ćwiczenie 18 (Porządki)

Będąc zalogowanym jako Administrator:

Usunąć konta użytkownika bilbo-grupa, durin-grupa, gandalf-grupa i inne utworzone podczas ćwiczeń.
Usunąć z dysku lokalnego foldery d:\durin-grupa, d:\smeagol-grupa, d:\wzorce-grupa wraz z cała zawartością.
Usunąć, w razie potrzeby, inne grupy lokalne utworzone podczas ćwiczeń.
Usunąć plik nazwisko-grupa.msc przechowującego konsolę MMC.
Usunąć w aplikacji Control Panel - System, zakładka Advanced - User profiles - Settings wszystkie pozycje Account Unknown.
Zamknąć system.

ZAJĘCIA 4 - ZAKRES PRAC I MATERIAŁY POMOCNICZE

ZAKRES PRAC

Konfiguracja i praca w oknie wiersza poleceń (Command Prompt)

Konfiguracja okna wiersza poleceń
Edycja poleceń, historia poleceń
Mechanizm uzupełniania nazw plików
Praca w okienku Start - Run

Wybrane polecenia oraz mechanizmy dostępne w oknie wiersza poleceń

Uzyskiwanie podpowiedzi dotyczących poleceń
Ogólne zasady wydawania poleceń
Warunkowe wykonanie poleceń
Mechanizmy przeadresowań i cytowanie
Zmienne środowiskowe
Wybrane polecenia
Polecenie start w oknie wiersza poleceń
Polecenia at i schtasks
Polecenia odpowiadające narzędziom administracyjnym Windows Server 2003

Skrypty

Skrypty interpretera poleceń CMD.EXE
Windows Script Host (WSH)

Mechanizm WMI oraz polecenie wmic
Praca bez myszy

Przydatne sekwencje klawiszowe

Liczba ćwiczeń: 17

MATERIAŁY POMOCNICZE

Konfiguracja i praca w oknie wiersza poleceń (Command Prompt)

Mimo istnienia wielu narzędzi graficznych do zarządzania systemem Windows Server 2003 (opartych przede wszystkim o konsole MMC) zakres działania i znaczenie pracy w wierszu poleceń nawet jeszcze wzrosło w porównaniu do systemu Windows 2000.

“As (Windows) OS has matured, however, Microsoft has realized that command-line utility is superior to a graphical one in many situations. Automation is the most obvious area. […] Microsoft formed Command Line Management, a distinct program office in the Windows Server 2003 development project.”
[Windows & .NET Magazine, April 2003]

“Windows 2000 made some great strides in offering better command-line tools, but didn't go all the way. With Windows Server 2003, it's actually possible to do about 98 percent of your administration from the command line.” [M. Minasi, Mastering Windows Server 2003]

Ważność narzędzi wiersza poleceń podkreślają m.in. następujące aspekty:

rozszerzone możliwości interpretera poleceń CMD.EXE oraz domyślnie przyjmowane ustawienia okna wiersza poleceń ułatwiające pracę
rozbudowane polecenie netsh (NetShell) do zarządzania z wiersza poleceń komponentami sieciowymi na komputerach lokalnych i zdalnych (m.in. DHCP, WINS, RAS) zintegrowane z narzędziem diagnostycznym netdiag oraz kilka narzędzi specjalizowanych do obsługi m.in. Certificate Services, Cluster Service czy Terminal Services
dostępność serwera Telnet
mechanizm runas (secondary logon)
dodatkowe polecenia (w porównaniu do Windows 2000) dostępne standardowo w systemie oraz w zestawie Resource Kit
standardowo dostępny mechanizm skryptowy: Windows Script Host (WSH)
interfejsy skryptowe do pracy z Active Directory (ADSI, Active Directory Service Interfaces) oraz Instrumentacją zarządzania Windows (WMI, Windows Management Instrumentation), a także wykorzystanie WMI za pomocą polecenia wmic

Konfiguracja okna wiersza poleceń

Okno wiersza poleceń wykorzystuje 32-bitową aplikację %systemroot%\system32\CMD.EXE tzn. interpreter poleceń systemu Windows Server 2003. Drugi dostępny interpreter poleceń: COMMAND.COM przeznaczony jest tylko do uruchamiania aplikacji systemu MS-DOS. W pozostałych przypadkach nie powinno się z niego korzystać
Okno wiersza poleceń było nazywane w starszych wersjach systemów Windows NT oknem konsoli. W Windows Server 2003 taka nazwa pojawia się nadal w tytule okienka konfiguracyjnego (opisanego poniżej)

Konfiguracja domyślna dla nowych okien jest ustawiana poprzez pozycję Defaults wyświetlaną w menu systemowym okna (lewy górny róg) albo w menu kontekstowym na pasku tytułu okna wiersza poleceń wybieranym prawym przyciskiem myszy
Konfiguracja dla konkretnego okna jest ustawiana poprzez pozycję Properties wyświetlaną w menu systemowym okna (lewy górny róg) albo w menu kontekstowym na pasku tytułu okna wiersza poleceń wybieranym prawym przyciskiem myszy
W pozycjach Defaults i Properties występują poniższe elementy konfiguracyjne:
karta Options: parametry historii poleceń, tryb wstawiania Insert Mode, wyświetlanie w oknie lub na całym ekranie, tryb szybkiej edycji QuickEdit Mode, uzupełnianie nazw plików poprzez AutoComplete (tylko w Defaults)
karta Fonts: rodzaj i wielkość używanego fontu
karta Layout: rozmiar i położenie okna, rozmiar bufora ekranowego (możliwość przewijania w oknie)
karta Colors: kolorystyka okna wiersza poleceń

Niektóre ważniejsze ustawienia domyślne w systemie Windows Server 2003 to: na karcie Options (korzystanie z historii poleceń, tryby wstawiania Insert Mode, uzupełnianie nazw plików AutoComplete) oraz na karcie Layout (rozmiar bufor ekranowego 300 wierszy, zapewniający przewijanie w oknie).

Edycja poleceń, historia poleceń

Mechanizm edycji wiersza polecenia pozwala na wykonywanie poprawek w jego treści, natomiast mechanizm historii poleceń na korzystanie z wcześniej wydanych poleceń.

Edycja poleceń i korzystanie z historii poleceń: klawisze strzałek, [PgUp], [PgDn], [Ctrl+strzałka], [Home], [End], kasowanie [Esc], podmenu Edit oraz tryb QuickEdit,
[F7] - podokienko ze spisem wydanych poleceń, [F9] - odwołanie poprzez numer polecenia, [F8] - przywołanie wcześniej wydanego polecenia, którego początek pokrywa się z wpisanym ciągiem znaków,
[Alt+F7] - kasowanie spisu wydanych poleceń

Mechanizm uzupełniania nazw plików

Mechanizm uzupełniania nazw plików ułatwia wpisywanie długich i skomplikowanych nazw plików i folderów oraz ścieżek do nich prowadzących.

Pierwszy sposób: uruchomienie interpretera poleceń CMD.EXE z opcją /F:ON (lub wykonanie modyfikacji Rejestru). Po wpisaniu początkowej (częściowej) nazwy pliku lub katalogu, użyciu sekwencji [Ctrl+D] powoduje jej uzupełnienie do pełnej nazwy jednego z katalogów rozpoczynających się od wpisanego ciągu znaków (kolejne naciśnięcia [Ctrl+D] powodują uzupełnianie do nazw innych katalogów pasujących do początkowego ciągu znaków) natomiast użycie sekwencji [Ctrl+F] powoduje taki sam efekt ale w odniesieniu do pasujących nazw plików i katalogów.
Drugi sposób: obowiązuje jeśli w konfiguracji domyślnej (Defaults) okna wiersza poleceń jest zaznaczona pozycja AutoComplete (lub wymaga modyfikacji Rejestru): naciśnięcie klawisza [Tab] uzupełnia wtedy podaną częściowo nazwę katalogu lub pliku do pełnej nazwy. Każde kolejne naciśnięcie klawisza [Tab] uzupełnia do kolejnej pasującej pełnej nazwy.

Mechanizm uzupełniania nazw plików działa nawet podczas odwoływania się do zasobów współdzielonych podanych w notacji UNC (np. \\serwer\nazwa_udziału\folder\plik) nie obejmuje jednak uzupełniania nazwy komputera i nazwy udziału czyli części \\serwer\nazwa_udziału.

Praca w okienku Start - Run:

Okienko Start - Run ułatwia szybkie uruchamianie pojedynczych poleceń systemu Windows Server 2003 (także działających w trybie graficznym)

wpisywanie ścieżek i nazw lub wybór w trybie Browse
można podawać nazwy: programów, katalogów, dokumentów a także odwołania do udostępnionych zasobów w sieci (w notacji UNC) lub adresy WWW
działa uzupełnianie nazw (pasujące nazwy są wyświetlane w samoczynnie rozwijającym się okienku, dającym możliwość wyboru) do zasobów lokalnych, zasobów udostępnionych w sieci, użytych wcześniej adresów WWW itp.

Wybrane polecenia oraz mechanizmy dostępne w oknie wiersza poleceń

Uzyskiwanie podpowiedzi dotyczących poleceń:

większość poleceń (oprócz sieciowych): help polecenie lub polecenie /? (działa nieco szybciej), np. help xcopy, xcopy /?
polecenie sieciowe net (tylko składnia): net /?, net /? parametr lub net parametr /?,
np. net /? use, net use /?
polecenie sieciowe net (pełny opis): net help, net help parametr lub
net parametr /help, np. net help use, net use /help
treść komunikatów polecenia net: net helpmsg numer, np. net helpmsg 5
niektóre pozostałe polecenia: użycie bez parametrów, np. finger, tracert, rcp, rsh, ping
przeglądanie strona po stronie: ( ... ) | more, np. xcopy /? | more, net use /help | more
wbudowana obsługa przeglądania podpowiedzi strona po stronie np. cmd /?
oraz polecenia interpretera poleceń np. set /?

Ogólne zasady wydawania poleceń:

Pojedyncze polecenie w wierszu: polecenie opcje argumenty, gdzie opcje są poprzedzone ukośnikiem (/) lub myślnikiem (-), natomiast argumenty są oddzielone odstępami (lub w niektórych przypadkach: przecinkami lub średnikami)
Jedno polecenie w kilku wierszach: jeśli ostatnim znakiem w wierszu jest ^, to polecenie jest kontynuowane w wierszu kolejnym
Kilka poleceń w wierszu: oddzielone znakiem & (ampersand), np, cd c:\windows & dir
Grupowanie poleceń: polecenia ujęte w nawiasy okrągłe, np. (echo A & echo B) > plik

Warunkowe wykonanie poleceń:

polecenie1 && polecenie2
(polecenie2 wykonuje się tylko wtedy jeśli polecenie1 wykonało się prawidłowo)
polecenie1 || polecenie2
(polecenie2 wykonuje się tylko wtedy jeśli polecenie1 nie wykonało się prawidłowo)

Mechanizmy przeadresowań i cytowanie

Mechanizmy przeadresowań (UNIX): <, >, >>, 2>, 2>> oraz potoki: |
Symbol cytowania: znak ^ odbiera specjalne znaczenie umieszczonemu po nim symbolowi, np. porównać polecenie:
echo A ^& echo B oraz polecenie echo A & echo B

Zmienne środowiskowe:

Definiowanie wartości: set NAZWA=wartość
lub Control Panel - System - zakładka Advanced - przycisk Environment Variables

Wyświetlanie wartości: set, set NAZWA
Odwołanie się do wartości zmiennej: %NAZWA% np. echo %PATH%
Usunięcie zmiennej: set NAZWA=
Rozszerzone definiowane lub modyfikowanie (lecz nie usuwanie) zmiennych środowiskowych: setx

Wybrane polecenia:

bootcfg, systeminfo, diskpart, defrag, driverquery, inuse, sc, shutdown, takeown, where, whoami
ipconfig, ping, pathping, ftp, telnet, tracert, hostname, nslookup, rcp, rexec, rsh, lpq, lpr
net {user, accounts, view, use, share ... }
convert, expand, compact (NTFS), cipher (NTFS), pax
assoc, ftype,
cacls, secedit, gpresult, gpupdate
tasklist, taskkill
ds{add, get, mod, move, query, rm}

Przeglądowe omówienie poleceń systemu Windows Server 2003 przeznaczonych do pracy w wierszu poleceń można znaleźć w systemie pomocy Windows Server 2003, w temacie o nazwie Command-line reference A-Z osiągalnym poprzez:

Start - Help and Support - Administration and Scripting Tools - Command-line reference

albo przy pomocy polecenia: hh ntcmds.chm .

Polecenie start w oknie wiersza poleceń:

Służy do uruchamiania poleceń, otwieranie dokumentów, katalogów i zasobów sieciowych, uruchamianie aplikacji 16-bitowych w oddzielnych obszarach pamięci, uruchamiania aplikacji w oddzielnym oknie lub w tym samym oknie wiersza poleceń, uruchamiania aplikacji z różnymi priorytetami
Polecenie start bez argumentów otwiera nowe okno wiersza poleceń

Polecenia at oraz schtasks:

Obydwa te polecenia pozwalają na:

Planowanie wykonania czynności o zadanej porze (jednokrotnie lub z powtarzaniem w określonych dniach) na lokalnym lub zdalnym komputerze
Mogą to robić użytkownicy z grupy Administrators
Na komputerze musi być uruchomiony usługa (serwis) Task Scheduler

Graficznym odpowiednikiem polecenia schtasks jest narzędzie Scheduled Tasks.

Polecenia odpowiadające narzędziom administracyjnym
Windows Server 2003

Najważniejsze narzędzia do administrowania Windows Server 2003 (nie związane z domenami) i nazwy poleceń służących do ich uruchamiania:

Local Users and Groups - lusrmgr.msc
Local Security Settings - secpol.msc
Computer Management - compmgmt.msc
Device Manager - devmgmt.msc
Task Manager - taskmgr.exe
EventViewer - eventvwr.exe, eventvwr.msc
Disk Management - diskmgmt.msc
Group Policy Editor - gpedit.msc
Backup - ntbackup.exe
Performance - perfmon.exe, perfmon.msc
System Information - winmsd.exe, msinfo32.exe
Registry Editor - regedit.exe
Command Prompt - cmd.exe
MMC console - mmc.exe
Control Panel - control.exe

Poszczególne aplikacje (aplety) w Control Panel też mogą być uruchamiane z wiersza poleceń np.:

control ncpa.cpl (aplikacja Network Connections)

Konsole MMC mogą być uruchamiane po wpisaniu polecenia:

mmc %SystemRoot%\system32\compmgmt.msc
lub krócej:
compmgmt.msc

Ta druga możliwość wynika z predefiniowanego skojarzenia plików .msc z poleceniem mmc.exe służącym do uruchamiania konsoli MMC, co widać po wykonaniu poleceń:

assoc .msc
.msc=MSCFile
ftype MSCFile
MSCFile=%SystemRoot%\system32\mmc.exe "%1" %*

Konsole MMC można uruchamiać wpisując samą nazwę konsoli (bez rozszerzenia .msc) jeśli zostanie odpowiednio uaktualniona zmienna środowiskowa PATHEXT:

set PATHEXT=.msc;%PATHEXT%
Wtedy wystarczy samo polecenie:
compmgmt

Skrypty

Skrypty stanowią podstawowe narzędzie do automatyzacji czynności administrowania systemem.

W systemie Windows Server 2003 można wykorzystać dwa główne rodzaje skryptów:

Skrypty interpretera poleceń CMD.EXE
Skrypty obsługiwane przez WSH (Windows Script Host)

Skrypty interpretera poleceń

Konstrukcje języka skryptów dla CMD.EXE są z jednej strony znacznie bogatsze niż dla interpretera COMMAND.COM z systemu MS-DOS, zaś z drugiej strony za małe w porównaniu do możliwości interpreterów poleceń (shells) systemów operacyjnych UNIX/Linux.

Dodatkowe możliwości w porównaniu do COMMAND.COM obejmują m.in.:

Definiowanie zmiennych lokalnych (setlocal, endlocal)
Kilka wariantów instrukcji pętli for
Rozbudowana instrukcja warunkowa if
Możliwość wykonywania operacji na zmiennych arytmetycznych (set /a) oraz wczytywania wartości zmiennych podczas wykonania skryptu (set /p)
Możliwość stosowania opóźnionego rozwijania zmiennych (delayed expansion) (cmd /v:on) oraz operacji zastępowania (substitution) czy wybierania podłańcuchów ze zmiennych (substring)
Dodatkowe wbudowane zmienne np. CD, RANDOM, DATE, TIME i in.
Cechy wymienione w punktach 2.2, 2.3 i 2.4 bieżących materiałów pomocniczych

Ponadto, w systemie Windows Server 2003 pojawiły się nowe polecenia przydatne przy pisaniu skryptów np. choice, timeout, forfiles.

Skrypty interpretera poleceń są umieszczane w plikach .CMD lub .BAT

Bardzo dobry opis tworzenia skryptów interpretera CMD.EXE jest zamieszczony w książce:
Hill, „Windows NT Shell Scripting”, Robomatic, 1999

Windows Script Host (WSH)

Mechanizm Windows Script Host, standardowo dostępny w Windows Server 2003, pozwala na uruchamianie skryptów poprzez kliknięcie na odpowiednim pliku lub poprzez wpisanie jego nazwy w wierszu poleceń. Narzuty związane z obsługą skryptów przez WSH są nieduże, dlatego ten mechanizm nadaje się zarówno do obsługi skryptów interakcyjnych jak i nieinterakcyjnych (np. skryptów logowania).

WSH obsługuje skrypty napisane w VBScript (Visual Basic Scipting Edition, pliki .vbs) oraz Jscript (pliki .js).
Może być rozszerzony o obsługę skryptów w innych językach.

Są dwie wersje WSH: okienkowa (wscript.exe) umożliwiająca definiowanie właściwości skryptów w trybie okienkowym oraz wersja działająca w wierszu poleceń (cscript.exe) umożliwiająca definiowanie właściwości skryptów za pomocą opcji wpisywanych w wierszu poleceń.

Najnowsze wersje WSH można pobierać bezpłatnie ze stron WWW firmy Microsoft.

Adresy WWW:
http://msdn.microsoft.com/scripting/

http://www.windows-script.com/
http://www.winguides.com/scripting/

Mechanizm WMI oraz polecenie wmic

Instrumentacja zarządzania Windows (WMI, Windows Management Instrumentation) to zaimplementowanie przez firmę Microsoft przemysłowego standardu, który ma umożliwić zarządzanie i dostęp do informacji o konfiguracji wszystkich komputerów działających w przedsiębiorstwie, niezależnie od platformy sprzętowej i użytego systemu operacyjnego. WMI wykorzystuje Wspólny Model Informacji (Common Information Model) - ogólnie przyjęty sposób reprezentowania systemów, aplikacji, sieci, urządzeń i innych składników, którymi zarządza się w firmie. WMI zawiera repozytorium obiektów (tzw. Dostawców WMI) i Menedżera obiektów CIM, obsługującego kolekcje i modyfikacje obiektów WMI. Dostawcy WMI działają jako pośrednicy między WMI i komponentami systemu operacyjnego, aplikacji i innych systemów. Przykładami dostawców są Rejestr systemowy, usługa Active Directory [PC Kurier Plus, lipiec 2003, str. 34].

Przemysłowy standard, o którym jest mowa powyżej to WBEM (Web Based Enterprise Management Initiative), którego charakterystyka podana jest na stronie internetowej www.dmtf.org/standards.
W Help and Support systemu Windows Server 2003 można zacząć zapoznawanie się z WMI od tematu Windows Management Instrumentation overview

Z mechanizmu WMI można korzystać za pomocą wbudowanych narzędzi systemu takich jak msinfo32.exe (System Information) czy System Properties (Właściwości systemu) dostępnego np. jako Properties dla Computer Management (Local) lub Computer Management (zdalny_komputer), przystawek konsoli MMC takich jak Services (Usługi) oraz ze skryptów WSH dzięki interfejsowi dostępnemu np. z języka VBScript.

Nowe polecenie wmic działa w wierszu poleceń i pozwala na wykorzystanie mechanizmu WMI na lokalnym komputerze oraz na komputerach zdalnych, zarówno w trybie interakcyjnym jak i w trybie wsadowym, także w skryptach.

Zapoznawanie się z wmic można zacząć od tematu Windows Management Instrumentation Command-line dostępnego w systemie pomocy Help and Support - Administration and Scripting tools - Configuration and Management Tools.

Ze strony Internetowej Microsoftu można pobrać m.in. dwa bezpłatne narzędzia związane z WMI: WMI Tools oraz Scriptomatic 2.0.
Zestaw narzędzi WMI Tools obejmuje: WMI CIM Studio, WMI Event Registration, WMI Event Viewer oraz WMI Object Browser.
Narzędzie Scriptomatic 2.0 pozwala na generowanie skryptów korzystających z WMI. Generowane skrypty mogą być zapisane w językach: VBScript, Perl, Python i Jscript oraz poddawane dalszym modyfikacjom. Skrypty mogą być uruchamiane równocześnie na wielu komputerach. Wyniki tych skryptów mogą być wyświetlane w oknie wiersza poleceń lub zapisywane do pliku w następujących formatach: tekstowym, HTML, Excela , XML.

Praca bez myszy

Przydatne sekwencje klawiszowe

Wykorzystanie klawisza [WinKey] (dwa dodatkowe klawisze po obu stronach klawiszy [Alt]) oraz [Menu] (jeden klawisz między prawym [WinKey] oraz [Ctrl])

[WinKey] - wyświetlenie menu Start, [Esc] - anulowanie
[WinKey + E] - uruchomienie Explorera (My Computer) (najszybszy sposób)
[WinKey + R] - okienko Start - Run
np. [WinKey + R], wpisanie cmd i [Enter] - szybki sposób uruchomienia okna Command Prompt
[WinKey + F] - Search for Files and Folders; [Ctrl + WinKey +F] - Search for Computers
[WinKey + M] - zwinięcie wszystkich okien na Pasek zadań;
[Shift + WinKey +M] - rozwinięcie ich z Paska zadań do normalnej postaci
[WinKey + F1] - Help and Support (Pomoc)
[WinKey + Break] - okno System Properties
[WinKey + L] - blokada dostępu do komputera (Lock computer)
[Menu] - menu kontekstowe nazywane również menu skrótów (jak efekt naciśnięcia prawego przycisku myszy), nawigacja za pomocą klawiszy strzałek, [Esc] - anulowanie

Inne sekwencje klawiszy:

[Ctrl + Esc] - menu Start
[Ctrl + Shift + Esc] - uruchomienie Task Manager
[Alt + F4] - zamknięcie aktualnej aplikacji
[Alt + Tab], [Shift + Alt + Tab] - przełączanie się pomiędzy uruchomionymi aplikacjami
[Alt + Esc] - przełączanie między aplikacjami na Pasku zadań (Taskbar)
[Alt + spacja] - menu okna nazywane również menu systemowym (w lewym górnym rogu)
[F10] lub [Lewy_Alt] - przejście do paska menu w aplikacji, ponowne naciśnięcie powoduje powrót np. do dokumentu
[Shift + F10] - menu kontekstowe (jak efekt naciśnięcia prawego przycisku myszy)
[Tab], [Shift+Tab] - przełączanie się między polami w oknach dialogowych
[Ctrl+Tab], [Shift+Ctrl+Tab] - przełączanie się między różnymi kartami (zakładkami) w oknach dialogowych, np. w oknach właściwości różnych obiektów
[Alt + Enter] - przełączanie między wyświetlaniem programu (np. Command Prompt) w oknie lub na całym ekranie albo wyświetlanie pozycji Properties dla podświetlonego pliku, katalogu, dysku itp.
[PrintScrn], [Alt + PrintScrn] - kopiowanie widoku ekranu (okna) do wieloschowka

ZAJĘCIA 4 - ĆWICZENIA

Ćwiczenie 1 (Przygotowania)

Zalogować się jako Administrator w Windows Server 2003 Instalacja standardowa.
Z zasobów WS2003Lab skopiować do katalogu głównego lokalnego dysku D: cały folder lab2006\zaj4
z zachowaniem jego nazwy zaj4.
Założyć konto użytkownika o nazwie ntkons, z hasłem ntkons, mającym katalog osobisty d:\ntkons. Zrezygnować z wymogu: User must change password at next logon.
Użytkownik ntkons ma należeć do grupy Users.

Ćwiczenie 2 (Konfiguracja i podstawy pracy w oknie wiersza poleceń)

Zalogować się jako użytkownik ntkons.
Uruchomić okno wiersza poleceń (Start - All Programs - Accessories - Command Prompt).
Z menu systemowego okna (wyświetlanego po kliknięciu w lewym górnym rogu okna) wybrać pozycję Defaults, co spowoduje otwarcie okienka konfiguracyjnego Console Windows Properties.
Zaznaczyć w nim niżej podane ustawienia (lub sprawdzić, że są już obowiązujące):
karta Options, ramka Edit Options:
zaznaczony tryb szybkiej edycji QuickEdit Mode (domyślnie wyłączony)
zaznaczony tryb wstawiania Insert Mode
zaznaczony mechanizm uzupełniania nazw plików AutoComplete
karta Layout, ramka Screen buffer size:
pole wysokości Height ma wartość 300
Zaakceptować ustawienia przyciskiem OK.
Zamknąć okno wiersza poleceń, wykonując w nim polecenie exit.
Pracując nadal jako ntkons otworzyć ponownie okno wiersza poleceń.
(Dzięki przyjętym domyślnym parametrom, okno powinno otworzyć się w katalogu osobistym d:\ntkons, mieć pasek przewijania, powinien działać tryb wstawiania, tryb szybkiej edycji oraz uzupełniania nazw plików)
Wydać kilka poleceń w otwartym oknie wiersza poleceń (dir, date /t, time /t, skopiować pliki d:\windows\*.ini do katalogu osobistego itp.).
Wypróbować klawisze edycyjne i korzystanie z historii poleceń za pomocą klawiszy kursorów.
Wypróbować korzystanie ze spisu wydanych poleceń (klawisz [F7]), odwoływania się przez numer polecenia ([F9]), przywoływanie wcześniej wydanych poleceń pasujących do wprowadzonego wzorca ([F8]), kasowanie spisu historii poleceń ([Alt+F7]).
Wypróbować tryby edycji poleceń poprzez zaznaczanie tekstu na ekranie i kopiowanie.
Pierwsza możliwość (jeśli jest aktywny tryb QuickEdit) to: zaznaczanie tekstu na ekranie za pomocą lewego przycisku myszy, użycie prawego przycisku do skopiowania i ponownie prawego przycisku myszy do wklejenia.
(Zaznaczony i skopiowany tekst trafia do schowka, dlatego może być wykorzystany także w innych programach systemu Windows i wklejony np. za pomocą standardowej sekwencji [Ctrl+V]).
Druga możliwość to: wybranie w menu systemowym okna wiersza poleceń, podmenu Edit, polecenia Mark (wskazanie kursorem tekstowym początku zaznaczanego tekstu, po czym naciskając klawisz [Shift] i używając strzałek wyznaczenie końca zaznaczonego tekstu), następnie Copy i potem Paste.
(Uzupełnianie nazw plików: gdy obowiązuje ustawienie AutoComplete)
W oknie wiersza poleceń wydać poniższe polecenie, którego celem jest wyświetlenie informacji o pliku \Windows\system32\mmc.exe, zaś [Tab] oznacza użycie klawisza tabulacji poziomej powodujące uzupełnianie nazwy katalogu i pliku - być może tych sekwencji trzeba będzie użyć kilka razy, jeśli początek nazwy pliku czy katalogu pasuje do kilku nazw: dir \w[Tab]\sy[Tab]\mm[Tab]
Kolejny przykład: cd d:\[Tab], gdzie celem jest przejrzenie spisu folderów w katalogu głównym dysku D: i wybranie foldera d:\ntkons.
Ostatni przykład: copy d:\windows\g[Tab], gdzie celem jest skopiowanie pliku Greenstone.bmp do bieżącego katalogu.
(Uzupełnianie nazw plików: gdy jest użyta opcja /F:ON)
Ustawić opcję /F:ON w bieżącym oknie, poleceniem cmd /f:on
Następnie w tym samym oknie wydać poniższe polecenie, którego celem jest wyświetlenie informacji o pliku \windows\system32\mmc.exe, zaś [Ctrl+D] i [Ctrl+F] oznaczają użycie odpowiedniej sekwencji klawiszowej powodującej uzupełnianie nazwy katalogu i pliku - być może tych sekwencji trzeba będzie użyć kilka razy, jeśli początek nazwy pliku czy katalogu pasuje do kilku nazw: dir \w[Ctrl+D]\sy[Ctrl+D]\mm[Ctrl+F]
Kolejny przykład: cd d:\[Ctrl+D], gdzie celem jest przejrzenie spisu folderów w katalogu głównym dysku D: i wybranie foldera d:\ntkons.
Ostatni przykład: copy d:\windows\g[Ctrl+F], gdzie celem jest skopiowanie pliku Greenstone.bmp do bieżącego katalogu.
Przeszukiwanie tekstu wyświetlonego w oknie wiersza poleceń.
W menu systemowym używanego okna wiersza poleceń, wybrać podmenu Edit a w nim pozycję Find... Używając wyświetlonego okienka Find odnaleźć kolejne miejsca wystąpienia napisu windows w używanym oknie wiersza poleceń.
Zamknąć okno wiersza poleceń.

Ćwiczenie 3 (Okienko Start - Run)

Wybrać pozycję Run w menu Start ([WinKey+R] lub myszą) po czym wprowadzić w polu Open kolejno następujące nazwy i zaobserwować rezultaty:

cmd
explorer /e (Windows Explorer, całe zawartość drzewa Desktop,
wyświetlenie katalogu głównego partycji D:)
explorer . (Windows Explorer w bieżącym katalogu, w okienku Start -
Run jest nim katalog osobisty)
explorer /e, /root, d:\ntkons (Windows Explorer, lista parametrów
rozdzielonych przecinkami, tutaj: potraktowanie katalogu
d:\ntkons jako katalogu od którego zaczyna się drzewo
wyświetlania)
explorer /select, d:\windows\system32\drivers\etc
(Windows Explorer, wyświetlenie katalogu
d:\windows\system32\drivers z zaznaczeniem wskazanej nazwy
podkatalogu, tutaj: etc, zamiast pierwszej nazwy w spisie)
d:\windows\greenstone.bmp
. (kropka)
D:\Windows
\\szKKK (gdzie szKKK to komputer prowadzącego zajęcia)
\\oceanic\staff\ws2003lab
(przy pierwszym podłączaniu się do tego zasobu
powinno pojawić się okno logowania Connect to ...)
http://www.wsisiz.edu.pl/

Przećwiczyć mechanizm uzupełniania nazw w okienku Start - Run wpisując np.:

d:\windows\sy[wybierając z wyświetlonego okienka: system32][wpisując odwrotny ukośnik \]
[wpisując: mm] [wybierając z wyświetlonego okienka: mmc.exe]
explorer [wybierając z wyświetlonego okienka jeden z wariantów wcześniejszego uruchomienia tego polecenia]
\\oceanic\ [wybierając jeden z zasobów tego komputera]
http: [wybierając jeden z wcześniej odwiedzonych węzłów WWW]

3. Zamknąć wszystkie okna otwarte w tym ćwiczeniu.

Ćwiczenie 4 (Podpowiedzi dotyczące poleceń)

Otworzyć okno wiersza poleceń ([WinKey+R], cmd).
Pracując w tym oknie wyświetlić podpowiedzi dotyczące poleceń, zwracając uwagę na niektóre aspekty użytkowe tych poleceń:

help rmdir (np. opcja /s)
cd /? (np. opcja /d)
dir /? (np. możliwość zdefiniowania ustawień w zmiennej DIRCMD)
(Uwaga: polecenia takie jak dir czy cd same obsługują mechanizm
wyświetlania informacji porcjami mieszczącymi się na
ekranie - polecenia net nie mają tej cechy i wymagają
użycia potoku z poleceniem more)

Wyświetlić poniższe podpowiedzi, po czym drugim z podanych poleceń wysłać komunikat np. do innego komputera lub do użytkownika ntkons

net help user | more (dla przypomnienia)
net send /help | more (przesyłanie komunikatów wymaga aby była uruchomiona usługa (serwis) Messenger. Jeśli nie jest uruchomiona, należy zalogować się jako Administrator i uruchomić ją posługując się np. konsolą Start - Administrative Tools - Services)

Ćwiczenie 5 (Wydawanie poleceń)

Wykonać poniższe polecenia w oknie wiersza poleceń i zaobserwować rezultaty (szXXX oznacza własny komputer):

net ^[Enter]
send szXXX Komunikat
cd /d d:\windows & cd system32 & dir /p

Ze względu na własności warunkowego wykonywania poleceń, w poniższych przykładach polecenie
echo tak powinno się wykonać powodując wyświetlenie napisu: tak, natomiast polecenie echo nie w ogóle nie powinno być wykonane (sss jest nazwą nieistniejącego polecenia, zatem jego próba użycia generuje błąd).

dir >NUL && echo tak
sss >NUL && echo nie
sss 2>NUL && echo nie
dir >NUL || echo nie
sss >NUL || echo tak
sss 2>NUL || echo tak

Ćwiczenie 6 (Polecenie more, zmienne środowiskowe, polecenie dir)

Polecenie more w Windows Server 2003 zachowuje się jak w UNIXie tzn. działa zarówno more < plik jak i działa more plik1 [plik2 ...] (tj. bez znaku przeadresowania wejścia <) oraz wygodne przeglądanie tekstu. Podczas przeglądania tekstu za pomocą more użycie klawisza [Spacja] powoduje przewinięcie wyświetlania o cały ekran, klawisza [Enter] przewinięcie o jeden wiersz, klawisza [q] rezygnację z przeglądania - inne polecenia można poznać po wpisaniu znaku zapytania (?). (Domyślne zachowanie polecenia more w Windows Server 2003 jest takie samo jako more z opcją /E w systemie Windows NT 4.0)

W oknie wiersza poleceń wyświetlić ustawienia wszystkich zmiennych: set | more
Wyświetlić ustawienia zmiennych o nazwach na literę S oraz na literę H: set S & set H
Polecenie dir bez dodatkowych opcji nie wyświetla informacji o wszystkich plikach np.
dir d:\ntldr
dir d:\boot.ini
generują komunikat File Not Found, choć obydwa pliki (mające atrybuty: System, Hidden) normalnie istnieją w instalacji Windows Server 2003.
Aby wyświetlić informacje o wszystkich plikach trzeba użyć opcji /a. Dodatkowo, w tym ćwiczeniu, używane są opcje /o:gn powodujące wyświetlanie nazw w kolejności alfabetycznej z grupowaniem nazw katalogów na początku oraz /p powodująca wstrzymanie wyświetlania po zapełnieniu ekranu:
dir /a/o:gn/p d:\
Aby powyższe opcje były przyjmowane domyślnie, trzeba zdefiniować zmienną DIRCMD:
set DIRCMD=/A/O:GN/P
Sprawdzić, że po tej definicji dir d:\ zachowuje się jak w p.3 (z jawnym użyciem odpowiednich opcji).
Na zakończenie, zdefiniować zmienną DIRCMD o powyższej wartości w środowisku użytkownika ntkons (Control Panel - System - zakładka Advanced - przycisk Environment Variables, kliknąć myszą w rubryce User variables for ntkons, kliknąć przycisk New, w polu Variable name wpisać DIRCMD, w polu Variable value wpisać /A/O:GN/P, nacisnąć przycisk OK).
Wylogować się i zalogować ponownie jako ntkons. W oknie wiersza poleceń sprawdzić działanie polecenia dir. Wyświetlić wartość zmiennej DIRCMD: set DIRCMD lub echo %DIRCMD%.
Jeśli trzeba użyć polecenia dir z innymi ustawieniami niektórych opcji niż zdefiniowane w zmiennej DIRCMD, należy poprzedzić takie opcje znakiem myślnika. Porównać efekt:
dir d:\windows
dir /-p d:\windows

Ćwiczenie 7 [Dodatkowe] (Nowe polecenia: setx oraz clip, dalsze możliwości set)

Polecenie setx służy do tworzenia lub modyfikowania zmiennych środowiskowych użytkownika lub systemowych. Nowe zmienne są zapisywane w Rejestrze. Wartości zmiennych mogą być definiowane jawnie, pobierane z pliku lub pobierane z Rejestru.
Nowe wartości zdefiniowane przez setx na lokalnym komputerze, będą widoczne dopiero po otwarciu kolejnego okna wiersza poleceń.

setx MOJA szkola (jawne przypisanie wartości)
setx MOJA2 /K "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\CurrentBuildNumber"
(przypisanie wartości z Rejestru)
echo raz dwa trzy > plik
setx /f plik /x
setx MOJA3 /f plik /A 0,2 (przypisanie porcji danych z pliku)
setx MOJA4 proba /M (próba zdefiniowania systemowej zmiennej
środowiskowej; powinna być nieudana, gdyż użytkownik
ntkons nie ma uprawnień Administratora)
Po otwarciu nowego okna wiersza poleceń, i wykonaniu w nim polecenia set | more (lub set MOJA)
powinny być widoczne zmienne MOJA, MOJA2, MOJA3.

Polecenie clip służy do umieszczania informacji w schowku (clipboard).
Dla przykładu, polecenie systeminfo dostarcza obszernych informacji charakteryzujących system:

systeminfo | more

Jeśli te informacje miałyby być wkomponowane do dokumentu w oparciu o schowek, można posłużyć się poleceniem:
systeminfo | clip
(Można też umieścić w schowku zawartość pliku: systeminfo > plik, potem: clip < plik)
A następnie otworzyć np. edytor tekstów i wkleić tę informację: otworzyć edytor wordpad i wkleić informacje ze schowka.

Polecenie set pozwala także na obliczanie wartości wyrażeń arytmetycznych. Jeśli obliczenia nie są wykonywane w skrypcie, to ich wynik jest wyświetlany na ekranie:

set /a 2+2
set /a 2 + 3 * 5 (odstępy między argumentami są dopuszczalne)
set /a x=37, y=27, wynik= x * y (kilka wyrażeń w jednym wierszu)
set /a wynik % 100

Drugą możliwością polecenia set jest wczytywanie wartości zmiennej z wiersza polecenia:
set /p wiek= Wpisz swoj wiek:
echo %wiek%

Ćwiczenie 8 (Polecenie start w oknie wiersza poleceń)

W oknie wiersza poleceń wykonać poniższe polecenia i zaobserwować rezultaty:

start cmd lub samo polecenie start (otwarcie nowego okna wiersza poleceń),
exit w tym oknie powoduje jego zamknięcie
start dir (oddzielne okno)
start /b dir (to samo okno)
start d:\windows\greenstone.bmp
start . (kropka)
start d:\windows
start \\szKKK
start \\oceanic\staff\ws2003lab
start http://www.wsisiz.edu.pl/

Ćwiczenie 9 (Wyszukiwanie poleceń; polecenie where)

Podstawowy mechanizm wyszukiwania poleceń jest następujący: po wpisaniu w oknie wiersza poleceń nazwy polecenia zewnętrznego (tzn. innego niż wbudowane polecenie interpretera CMD.EXE), jest ono poszukiwane w katalogu bieżącym oraz w katalogach określonych wartością zmiennej PATH. Wartość tej zmiennej można sprawdzić wykonując polecenie echo %PATH% lub polecenie path.
W okienku Start - Run oraz w poleceniu start stosowany jest jednak szerszy mechanizm wyszukiwania,
o czym można się przekonać podejmując próbę wykonania np. poleceń msconfig.exe oraz wordpad.exe:
W oknie wiersza poleceń próby powinny zakończyć się niepowodzeniem:
msconfig
wordpad
W okienku Start - Run powinny się udać (choć polecenie msconfig zasygnalizuje brak uprawnień):
msconfig
wordpad
Przy użyciu polecenia start w oknie wiersza poleceń, próby odnalezienia również powinny być udane:
start msconfig
start wordpad
Polecenie where pozwala sprawdzić, gdzie dane polecenie (lub ogólniej: dany plik) zostanie odnaleziony. Domyślnie, polecenie where przeszukuje katalog bieżący oraz katalogi wymienione w zmiennej PATH.
where notepad
where /t *.msc
where msconfig wordpad (nie powinny być znalezione)

Jesli zostanie użyta opcja /R, wtedy przeszukiwany jest podany katalog oraz wszystkie jego podkatalogi:
where /R d:\ msconfig wordpad

Po znalezieniu katalogów w których znajdują się potrzebne polecenia, można zmodyfikować zmienną PATH.
Najprostszym sposobem modyfikacji (obowiązującym tylko w danym oknie wiersza poleceń) jest wykonanie:
set PATH=%PATH%;d:\program files\windows nt\accessories
Po takiej modyfikacji, powinno dać się uruchomić polecenie:
wordpad

(Aby taka modyfikacja obowiązywała także po zamknięciu bieżącego okna wiersza poleceń, można posłużyć się modyfikacją zmiennych środowiskowych użytkownika poprzez Control Panel (jak w Ćwiczeniu 6) lub za pomocą setx (jak w Ćwiczeniu 7). Administrator systemu może zmienić w analogiczny sposób ustawienia systemowych zmiennych środowiskowych)

Ćwiczenie 10 (Polecenie at)

Aby działało polecenie at, na komputerze z Windows Server 2003 musi być uruchomiona usługa Task Scheduler. Zalogować się jako Administrator i otworzyć okno wiersza poleceń. Upewnić się, że usługa Task Scheduler jest uruchomiona: w wyniku wykonania polecenia: net start powinna być wymieniona jej nazwa. Jeśli jej nie ma, to uruchomić tę usługę poleceniem net start "task scheduler".
Polecenie at pozwala w opcjach /next oraz /every podawać nazwy dni tygodnia. Oznaczenia dni tygodnia stosowane w angielskojęzycznej wersji systemu to: M, T, W, Th, F, S, Su.
Pracując jako Administrator, w oknie wiersza poleceń zaplanować uruchomienie programu notepad o 12:00 w najbliższy czwartek:
at 12:00 /next:Th notepad
Sprawdzić przyjęcie tego zlecenia:
at
at identyfikator_zlecenia
Usunąć je:
at identyfikator_zlecenia /delete
Zaplanować uruchomienie notepada, w trybie interakcyjnym, za 2 minuty. W tym celu sprawdzić bieżący czas: time /t i wykonać (podstawiając odpowiednią wartość godziny HH ( czas 24-godzinny) i minuty MM):
at HH:MM /interactive notepad
Odczekać ok. 2 minuty.
Zaplanować wyświetlenie w zmienionych kolorach okna wiersza poleceń na innym komputerze za 3 minuty.
Kolory tła i znaku okna wiersza poleceń określa się w opcji /t tj. start cmd /t:BF, gdzie B,F ∈ {1, 2, ..., d, e, f}, znaczenia poszczególnych kolorów wyświetla podpowiedź: color /?.
Dla przykładu start cmd /t:fc wyświetli okno wiersza poleceń w kolorach czerwono-białych.

Dobrać kolory tła B i znaku F, sprawdzić czas na zdalnym komputerze \\szYYY (np. na komputerze prowadzącego zajęcia lub na komputerze innego studenta) wykonując polecenie:
net time \\szYYY
po czym wykonać:
at \\szYYY HH:MM /interactive cmd /t:BF
Sprawdzić, że to zadanie zostało przyjęte na zdalnym komputerze, wykonując:
at \\szYYY

Ćwiczenie 11 (Polecenie schtasks)

Polecenie schtasks jest narzędziem wiersza poleceń będącym odpowiednikiem graficznego narzędzia Scheduled Tasks. Jest ono również traktowane jako następca polecenia at.
Wymogi działania polecenia schtasks są takie same jak dla polecenia at.

Podpowiedzi dotyczące tego polecenia:
schtasks /? | more
oraz podpowiedzi dla specyficznych parametrów schtasks /parametr /? np.:
schtasks /create /? | more
Pracując jako Administrator, w oknie wiersza poleceń zaplanować uruchomienie programu notepad o 12:00
w najbliższy czwartek (yyyy/mm/dd lub mm/dd/yyyy oznacza datę odpowiadającą temu dniu):
schtasks /create /tn zad1 /sc ONCE /sd yyyy/mm/dd /st 12:00 /tr notepad
Sprawdzić przyjęcie tego zlecenia:
schtasks /query
Usunąć je:
schtasks /delete /tn zad1
Zaplanować uruchomienie notepada, w trybie interakcyjnym, za 2 minuty. Ponadto, w odstępach jednominutowych mają być uruchamiane następne egzemplarze notepada. Wreszcie, po upłynięciu trzech minut zadanie ma być zakończone.

W tym celu sprawdzić bieżący czas: time /t i wykonać (podstawiając odpowiednią wartość godziny HH (czas 24-godzinny) i minuty MM):
schtasks /create /tn zad2 /sc minute /mo 1 /ST HH:MM /DU 0000:03 /k /it /tr notepad
Odczekać ok. 2 minuty. Zamknąć pierwsze i drugie okno notepad, które się pojawi.
Zaplanować wyświetlenie w zmienionych kolorach okna wiersza poleceń na innym komputerze za 3 minuty.
Sprawdzić czas na zdalnym komputerze \\szYYY (np. na komputerze prowadzącego zajęcia lub na komputerze innego studenta) wykonując polecenie:
net time \\szYYY
po czym wykonać:
schtasks /create /tn zad3 /sc once /s szYYY /u Administrator /p /st HH:MM /it /tr "cmd /t:72"
Sprawdzić, że to zadanie zostało przyjęte na zdalnym komputerze, wykonując:
schtasks /query /s szYYY
Po zakończeniu eksperymentów usunąć wszystkie zaplanowane zadania z własnego komputera wydając polecenie:
schtasks /delete /tn *

Ćwiczenie 12 (Polecenie runas)

System Windows Server 2003 oferuje użytkownikowi możność korzystania z tzw. Secondary Logon czyli możliwości uruchamiania narzędzi i poleceń z uprawnieniami innego użytkownika bez konieczności każdorazowego wylogowania się i ponownego zalogowania. Jest to przydatne np. wtedy gdy podczas pracy jako „zwykły” użytkownik, chcemy wykonać jakieś polecenie w imieniu użytkownika Administrator.

Aby można było skorzystać z tego mechanizmu, w systemie musi być uruchomiona usługa RunAs Service.

Zalogować się jako ntkons i uruchomić okno wiersza poleceń w imieniu użytkownika Administrator:
runas /user:szXXX\Administrator "cmd.exe"
Należy wpisać hasło w odpowiedzi na żądanie jego podania:
Enter password for szXXX\Administrator:
po czy pojawi się informacja o uruchamianiu polecenia:
Attempting to start "cmd.exe" as user "szXXX\Administrator"...

Zwrócić uwagę na napis wyświetlany w pasku tytułu nowo otwartego okna wiersza poleceń.
Polecenie runas użyte w tej formie powoduje przyjęcie jako środowiska użytkownika (environment) ustawień użytkownika podanego w opcji /user o czym można się przekonać wykonując w tym oknie polecenie:
set U
i sprawdzając wartość zmiennych USERPROFILE oraz USERNAME.
Jeśli dla uruchomionego przez runas polecenia ma obowiązywać środowisko użytkownika, który uruchamia polecenie runas, to należy użyć dodatkowo opcji /env:
runas /env /user:szXXX\Administrator "cmd.exe"
Porównać efekt wykonania polecenia:
set U
z poprzednim przypadkiem.
Zamknąć okna wiersza poleceń otwarte w imieniu użytkownika Administrator.
Pracując jako ntkons spróbować uruchomić konsolę MMC służącą do zarządzania dyskami wykonując:
diskmgmt.msc
Próba jej uruchomienia powinna być odrzucona co sygnalizuje komunikat o błędzie:
You do not have access rights to Logical Disk Manager on szXXX.
Zamknąć okno Disk Management.

Uruchomić tę konsolę MMC korzystając z polecenia runas:
runas /user:szXXX\Administrator "mmc d:\windows\system32\diskmgmt.msc"
Tym razem próba powinna być udana.
Zamknąć konsolę MMC do zarządzania dyskami.

Ćwiczenie 13 [dodatkowe] (Skrypty interpretera poleceń CMD.EXE)

W katalogu \zaj4\winwho znajduje się zestaw krótkich skryptów służących do identyfikowania użytkowników pracujących na komputerach sieci Windows. Identyfikacja użytkownika jest możliwa, jeśli w systemie Windows jest uruchomiona usługa Messenger (standardowo wyłączona w Windows Server 2003, natomiast standardowo włączona w Windows NT4/2000/XP). Jeśli odpytywany komputer jest wyłączony lub niedostępny, nie pojawia się żadna informacja. Skrypty te mogą być uruchamiane w Windows NT 4.0/2000/XP/2003.

Zalogować się jako Administrator, otworzyć okno wiersza poleceń i przejść w nim do katalogu \zaj4\winwho.
Skrypt winwho.cmd pozwala uzyskać informację o użytkowniku pracującym na komputerze o podanej nazwie NetBIOSowej lub o podanym adresie IP:
winwho (sposób użycia)
winwho -name szYYY
winwho -ip 213.135.45.nnn
Skrypt namewinwho.cmd pozwala odpytać o tę informację zestaw komputerów o nazwach podanych jako parametry np.:
namewinwho szXXX szYYY
lub o nazwach zapisanych w pliku tekstowym.
Przygotować plik tekstowy komp.dat zawierający nazwy trzech różnych komputerów na sali zajęciowej po czym wykonać polecenie:
namewinwho -f komp.dat
Skrypt ipwinwho.cmd pozwala odpytać zestaw komputerów identyfikowany przez zakres adresów IP np.
ipwinwho 213.135.45.0 1 22

Ćwiczenie 14 [dodatkowe] (Skrypty WSH)

Najczęściej wykorzystywanym językiem skryptowym w kontekście mechanizmu Windows Script Host (WSH), standardowo obecnym w Windows Server 2003, jest VBScript (Visual Basic Scripting Edition).
Programy pisane w tym języku są umieszczane w plikach .vbs.

Posługując się edytorem notepad, przygotować jednowierszowy skrypt \zaj4\wsh\a.vbs zawierający polecenie:
Wscript.Echo "Laboratorium Windows Server 2003"

Uruchomić ten skrypt za pomocą programu cscript.exe:
cscript \zaj4\wsh\a.vbs
a następnie za pomocą programu wscript.exe:
wscript \zaj4\wsh\a.vbs
W katalogu \zaj4\wsh znajduje się przykładowy skrypt CES.vbs (CreateExplorerShortcut) pobrany z Internetu, przeznaczony do umieszczania na pulpicie skrótów powodujących uruchamianie Windows Explorer w taki sposób, że wskazany katalog jest traktowany jako katalog główny.
Wypróbować działanie tego skryptu:
wscript \zaj4\wsh\CES.vbs
Niektóre nowe polecenia Windows Server 2003 są przygotowane jako skrypty .vbs.
Przykładem jest polecenie pagefileconfig.
Podstawowy sposób uruchomienia to wykonanie z jawnym podanie hosta skryptów cscript np.:
cscript d:\windows\system32\pagefileconfig.vbs /query
Jeśli polecenie cscript zostanie zarejestrowane jako domyślny host skryptów .vbs, dzięki użyciu:
cscript //H:cscript
wtedy będzie można używać tego skryptu bez podawania polecenia cscript:
d:\windows\system32\pagefileconfig.vbs /query
a nawet, korzystając z faktu, że katalog d:\windows\system32 jest wymieniony w zmiennej PATH oraz rozszerzenie .vbs jest wymienione w zmiennej PATHEXT można będzie używać najprostszej postaci:
pagefileconfig /query

Ćwiczenie 15 (Korzystanie z interfejsu WMI oraz polecenia wmic)

Interfejs WMI może być wykorzystywany między innymi ze skryptów WSH. W katalogu \zaj4\wmi znajduje się przykładowy skrypt services.vbs, pobrany ze stron Microsofta (KB, 271362), służący do wyświetlania tzw. krótkich nazw (short names) usług systemowych. Te krótkie nazwy mogą być wygodniejsze w użyciu w skryptach i poleceniach (np. w poleceniu net start).
Skrypt services.vbs wykorzystuje WMI.
Uruchomić ten skrypt poleceniem:
cscript \zaj4\wmi\services.vbs
cscript \zaj4\wmi\services.vbs szYYY
Dla przykładu, do usługi Task Scheduler można odwoływać się także przy użyciu jej krótkiej nazwy: Schedule
Bardzo rozbudowane polecenie wmic oferuje Administratorowi możliwość pracy z WMI w wierszu polecenia. Przytoczone poniżej przykładowe kroki pozwalają uzyskać rezultat podobny do otrzymywanego przez skrypt services.vbs oraz prezentują podstawy pracy z narzędziem wmic:
wmic (uruchomienie w trybie interakcyjnym, pojawia się zgłoszenie wmic:root\cli> )
wmic:root\cli> /? (pomoc: globalna)
wmic:root\cli> service /? (pomoc dla aliasu service)
wmic:root\cli> service list /? (pomoc dla zlecenia list)
wmic:root\cli> service list full (wyświetlenie pełnego spisu usług)
wmic:root\cli> service get /? (pomoc dla zlecenia get)
wmic:root\cli> service get /format /? (pomoc dla formatów)
wmic:root\cli> service get description,displayname,name /format:list
(wyświetlenie wybranych trzech właściwości poszczególnych usług)
wmic:root\cli> /node:szYYY service get description,displayname,name /format:list (jak wyżej, ale na zdalnym komputerze szYYY)
wmic:root\cli> /output:uslugi.htm service get description,displayname,name
/format:htable (zapis wyniku w pliku HTML w postaci tabeli)
(w innym oknie wiersza poleceń wykonać start uslugi.htm)
wmic:root\cli> service where "name='Schedule'" get displayname
(odwołanie się do konkretnej usługi)
wmic:root\cli> service call /? (pomoc dla zlecenia call)
wmic:root\cli> service where "name='Schedule'" call StopService (zatrzymanie usługi)
wmic:root\cli> service where "name='Schedule'" call StartService (uruchomienie usługi)
wmic:root\cli> quit (zakończenie pracy interakcyjnej z wmic)

Przykład uruchomienia w wierszu poleceń bez wchodzenia do trybu interakcyjnego:
wmic service where "name='schedule'" list full /format:hform > schedule.htm
start schedule.htm

Ćwiczenie 16 (Praca bez myszy)

Zakończyć bieżącą sesję, ODŁOŻYĆ MYSZ; zalogować się jako ntkons.
Uruchomić Explorera ([Winkey+E]), przejrzeć zawartość katalogu D:\Windows\System32\drivers.
Uruchomić nowe okno wiersza poleceń ([WinKey+R], Open: cmd).
Zwinąć wszystkie otwarte okna na Pasek zadań ([WinKey + M]), po czym ponownie je rozwinąć ([Shift + WinKey + M]).
Przełączyć się do okna Explorera ([Alt+Esc] lub [Alt+Tab]). Wyświetlić je na całym ekranie (wykorzystując np. menu systemowe). Wyświetlić właściwości dysku D: (podświetlić ikonkę dysku, potem [Alt+Enter] ). Wrócić do normalnych rozmiarów okna Explorera.
Zablokować dostęp do komputera ([WinKey+L]). Powrócić do sesji ([Ctrl+Alt+Del], podanie hasła).
Zamknąć wszystkie okna, wylogować się ([Ctrl+Alt+Del], przycisk Log Off...).

Ćwiczenie 17 (Porządki)

Zalogować się jako Administrator.
Zatrzymać i wyłączyć usługę Messenger (jeśli została włączona w trakcie ćwiczeń).
Usunąć konto użytkownika ntkons. Usunąć folder d:\ntkons.
Usunąć wszystkie profile użytkownika o nazwie Account Unknown z zakładki Control Panel - System - Advanced - ramka User Profiles - przycisk Settings.
Usunąć katalog d:\zaj4 łącznie z całą zawartością. Usunąć pliki schedule.htm oraz uslugi.htm.

ZAJĘCIA 5 - ZAKRES PRAC I MATERIAŁY POMOCNICZE

ZAKRES PRAC

Wdrażanie zasad zabezpieczeń dla serwera autonomicznego (samodzielnego) z systemem Windows Server 2003. Część II

Szablony zabezpieczeń

Eksportowanie (Export List) wybranej listy wpisów dotyczących ustaleń w Local Computer Policy
Tworzenie kopii - eksportowanie (Export Policy) - aktualnych lokalnych ustawień zabezpieczeń komputera przy użyciu konsoli MMC
Tworzenie kopii - eksportowanie - aktualnych lokalnych ustawień zabezpieczeń komputera przy użyciu narzędzia secedit.exe - wykorzystanie jednej z opcji narzędzia będącej odpowiednikiem Export Policy w GUI
Tworzenie własnego, nowego szablonu zabezpieczeń
Analiza i konfiguracja zasad bezpieczeństwa komputera przy użyciu szablonu zabezpieczeń
Przywracanie lokalnych ustawień zabezpieczeń przy zastosowaniu wcześniej zapisanego wzorca

Uprawnienia do plików i folderów wynikające ze stosowania systemu plików NTFS

Dokonywanie przeglądu, modyfikacji i usuwania uprawnień do folderów przy użyciu GUI i polecenia cacls
Usuwanie domyślnych i definiowanie własnych uprawnień NTFS do folderów
Modyfikacja uprawnienia własności do foldera, przejmowanie na własność przy użyciu narzędzia GUI i takeown
Wpływ operacji kopiowania i przenoszenia foldera na kwestie dziedziczenia uprawnień
Uzyskiwanie informacji o uprawnieniach do obiektu z zastosowaniem narzędzia Effective Permissions Tool (Narzędzie Czynne Uprawnienia)

Konfigurowanie ustawień Zasad inspekcji (Auditing policy) i ich implementowanie
Dziennik zdarzeń (Event Viewer)

Liczba ćwiczeń: 19

MATERIAŁY POMOCNICZE

Wybrane informacje dotyczące zagadnień realizowanych podczas ćwiczeń

Szablony zabezpieczeń

Za pomocą przystawki Szablony zabezpieczeń (Security Templates) dla konsoli Microsoft Management Console można tworzyć zasady zabezpieczeń dla komputera lub sieci. Jest to pojedynczy punkt wprowadzania, gdzie można brać pod uwagę pełny zakres zabezpieczeń. Przystawka Security Templates nie wprowadza nowych parametrów zabezpieczeń, a tylko organizuje wszystkie istniejące atrybuty zabezpieczeń w jednym miejscu, co ułatwia administrowanie zabezpieczeniami.

Importowanie szablonu zabezpieczeń do obiektu zasad grupy upraszcza administrowanie domeną, ponieważ wystarczy tylko raz skonfigurować zabezpieczenia dla domeny lub jednostki organizacyjnej.

Aby zastosować szablon zabezpieczeń do komputera lokalnego, można użyć przystawki Security configuration and analysis (Konfiguracja i analiza zabezpieczeń) lub narzędzia wiersza polecenia Secedit.

Szablony zabezpieczeń mogą być używane do określania następujących obszarów zabezpieczeń:

Account Policies (Zasady kont):

Password Policy (Zasady haseł)
Account Lockout Policy (Zasady blokady konta)
Kerberos Policy (Zasady protokołu Kerberos)

Local Policies (Zasady lokalne):

Audit Policy (Zasady inspekcji)
User Rights Assignment (Przypisywanie praw użytkownika)
Security Options (Opcje zabezpieczeń)

Event Log (Dziennik zdarzeń): Application, system, and security Event Log settings (Ustawienia aplikacji, systemu i dziennika zdarzeń zabezpieczeń)
Restricted Groups (Grupy z ograniczeniami): Membership of security-sensitive groups (Członkostwo w grupach zabezpieczeń)
System Services (Usługi systemowe): Startup and permissions for system services (Tryby uruchomienia i uprawnienia usług systemowych)
Registry (Rejestr): Permissions for registry keys (Uprawnienia do kluczy Rejestru)
File System (System plików): Permissions for folders and files (Uprawnienia do folderów i plików)

Każdy szablon jest zapisany jako tekstowy plik *.inf. Pozwala to na kopiowanie, wklejanie, importowanie lub eksportowanie niektórych lub wszystkich atrybutów szablonu. W szablonie zabezpieczeń mogą być zawarte wszystkie atrybuty zabezpieczeń z wyjątkiem zasad zabezpieczeń protokołu internetowego i zasad kluczy publicznych.

Nowe i wstępnie zdefiniowane szablony

Wszystkie systemy z rodziny MS Windows Server 2003 oraz system MS Windows XP (również MS Windows 2000) zawierają zbiór wstępnie zdefiniowanych szablonów utworzonych dla różnych poziomów zabezpieczeń stosowanych w firmach.

Istnieje kilka wstępnie zdefiniowanych szablonów zabezpieczeń, które mogą pomóc w zabezpieczeniu systemu, w zależności od konkretnych potrzeb. Te szablony pozwalają na:

Ponowne zastosowanie ustawień domyślnych.
Zaimplementowanie środowiska o wysokim poziomie zabezpieczeń.
Zaimplementowanie środowiska mniej bezpiecznego, ale bardziej zgodnego.
Zabezpieczanie głównego katalogu systemowego.

W rodzinie MS Windows Server 2003 SP 1występują następujące szablony zabezpieczeń:

Default security (Setup security.inf) - (Zabezpieczenia domyślne)
Domain controller default security (DC security.inf) - (Domyślne zabezpieczenia kontrolera domeny)
Compatible (Compatws.inf) - (Szablon zgodny)
Secure (Secure*.inf) - (Szablony bezpieczne)
Highly Secure (hisec*.inf) - (Szablony bardzo bezpieczne)
System root security (Rootsec.inf) - (Zabezpieczenia katalogu głównego systemu)
No Terminal Server user SID (Notssid.inf) - (Brak identyfikatora SID serwera terminali)
Iesacls.inf - (Dodatkowe wzmocnienie restrykcyjnych ustawień Internet Explorer)

UWAGA:

Te szablony zabezpieczeń opracowano przy założeniu, że będą one stosowane do komputerów, na których używane są domyślne ustawienia zabezpieczeń. Innymi słowy, szablony te modyfikują domyślne ustawienia zabezpieczeń, jeśli są one określone na komputerze. Nie instalują one domyślnych ustawień przed wprowadzeniem modyfikacji.
Wstępnie zdefiniowane szablony zabezpieczeń nie powinny być stosowane do systemów produkcyjnych bez przetestowania, które zapewni, że dla architektury sieci i systemu określono odpowiedni poziom funkcjonalności aplikacji.

Więcej szczegółów dotyczących poszczególnych, wstępnie zdefiniowanych szablonów zabezpieczeń, znajduje się w plikach \zaj5\Docs\Wstepnie_zdefiniowane_szablony_zabezpieczen.doc - wersja polskojęzyczna i \zaj5\Docs\Predefined_security_templates.doc- wersja angielskojęzyczna.

Poniżej, dla przykładu, podano krótki opis szablonów Setup security.inf i Rootsec.inf.

Default security template (Szablon zabezpieczeń domyślnych) (Setup security.inf)
Podczas instalacji na każdym komputerze jest tworzony szablon Setup security.inf. Może być on różny na różnych komputerach w zależności od tego, czy instalacja miała charakter instalacji „czystej” czy uaktualnienia. Szablon Setup security.inf zawiera domyślne ustawienia zabezpieczeń stosowane podczas instalowania systemu operacyjnego, w tym uprawnienia do plików dla katalogu głównego dysku systemowego. Może on być wykorzystywany na serwerach i komputerach klienckich, ale nie może być używany na kontrolerach domen. Fragmenty szablonu można wydzielać dla celów odzyskiwania po awarii.

Szablonu Setup security.inf nigdy nie należy stosować przy użyciu przystawki Group Policy (Zasady grupy). Zawiera on bardzo duże ilości danych i jego stosowanie przy użyciu tej przystawki może spowodować znaczne obciążenie komputera, ponieważ zasady są okresowo odświeżane, w związku z czym w domenie byłyby przesyłane znaczne ilości danych.

Zaleca się, aby szablon Setup security.inf był stosowany fragmentami. Ponieważ taką możliwość zapewnia narzędzie wiersza polecenia (secedit.exe), zalecane jest korzystanie właśnie z niego.

System root security template (Zabezpieczenia katalogu głównego systemu) (Rootsec.inf)

Szablon Rootsec.inf określa uprawnienia na poziomie katalogu głównego. Domyślnie szablon Rootsec.inf określa te uprawnienia dla katalogu głównego dysku systemowego. Ten szablon może być używany w celu ponownego zastosowania uprawnień dostępu do katalogu głównego, jeśli zostaną one przypadkowo zmienione. Można go również zmodyfikować, aby te same uprawnienia dostępu do katalogu głównego zastosować do innych woluminów. Szablon ten nie zastępuje uprawnień wyraźnie określonych dla obiektów podrzędnych; propaguje on jedynie te uprawnienia, które są dziedziczone przez obiekty podrzędne.

Opcje zabezpieczeń (Security Options)

W konsoli Local Security Policy - Local Policies - Security Options znajdują się różne opcje, pogrupowane w poszczególne kategorie.

Listę dostępnych opcji zabezpieczeń, pogrupowanych w poszczególnych kategoriach, zawiera plik \zaj5\Docs\Security_options_opcje_zabezpieczen.doc.

Dla przykładu, można tu wymienić m.in.:

Interactive logon: Do not require CTRL+ALT+DEL
Logowanie interakcyjne: nie wymagaj naciśnięcia klawiszy CTRL+ALT+DEL
Shutdown: Allow system to be shut down without having to log on
Zamknięcie: zezwalaj na zamykanie systemu bez konieczności zalogowania

Prawa użytkowników (User Rights)

Administratorzy mogą przypisywać kontom grup lub kontom poszczególnych użytkowników specjalne prawa. Prawa te upoważniają użytkowników do wykonywania określonych działań.. Prawa użytkowników różnią się od uprawnień, ponieważ prawa użytkowników dotyczą kont użytkowników, podczas gdy uprawnienia są dołączone do obiektów. Prawa użytkowników określają ich możliwości na poziomie lokalnym. Chociaż prawa użytkowników można stosować do poszczególnych kont użytkowników, najlepiej administrować nimi przy użyciu grup. Zapewnia to, że użytkownik logujący się jako członek jakiejś grupy automatycznie dziedziczy prawa skojarzone z tą grupą. Przypisywanie praw użytkowników grupom, a nie użytkownikom, upraszcza zadanie administrowania kontami użytkowników. Jeśli wszyscy użytkownicy należący do grupy muszą mieć takie same prawa użytkowników, wystarczy raz przypisać odpowiednie prawa całej grupie, zamiast przypisywać je po kolei wszystkim kontom użytkowników.

Prawa użytkowników przypisane grupie są stosowane do wszystkich członków grupy, dopóki pozostają jej członkami. Jeśli użytkownik jest członkiem wielu grup, jego prawa użytkownika kumulują się, co oznacza, że użytkownik ma więcej niż jeden zestaw praw. Jedyna sytuacja, w której prawa przypisane jednej grupie mogą kolidować z prawami przypisanymi innej grupie, występuje w przypadku pewnych praw logowania. W zasadzie prawa użytkownika przypisane jednej grupie nie kolidują z prawami przypisanymi innej grupie. Aby odebrać użytkownikowi prawa, administrator musi go po prostu usunąć z grupy. W takim wypadku użytkownik przestaje mieć prawa przypisane grupie, z której został usunięty.

Listę kilkudziesięciu praw użytkowników zawiera plik \zaj5\Docs\User_rights_prawa_uzytkownika.doc.

Dla przykładu można przytoczyć prawa do:

Access this computer from the network
Uzyskiwanie dostępu do tego komputera z sieci
Allow log on locally
Zezwalaj na logowanie lokalne
Change the system time
Zmiana czasu systemowego
Deny log on locally
Odmowa logowania lokalnego

Uprawniania dla plików i folderów (Permissions for files and folders)

UWAGA: Uprawnienia do plików i folderów można ustawiać tylko na dyskach twardych używających systemu plików NTFS.
Uprawnienia do plików zawierają następujące opcje:

Full Control - Pełna kontrola
Modify - Modyfikacja
Read & Execute - Odczyt i wykonanie
Read - Odczyt
Write - Zapis

Uprawnienia do folderów zawierają następujące opcje:

Full Control - Pełna kontrola
Modify - Modyfikacja
Read & Execute - Odczyt i wykonanie
List Folder Contents - Wyświetlanie zawartości folderu
Read - Odczyt
Write - Zapis

Każde z wyżej wymienionych uprawnień jest logiczną grupą składającą się z uprawnień specjalnych.
W pliku \zaj5\Docs\skojarzenia_podstawowe_specjalne zamieszczono tabelę, w której i określono, jakie uprawnienia specjalne są skojarzone z podstawowymi uprawnieniami do pliku, folderu.

Specjalne uprawnienia dla plików i folderów (Special permissions for files and folders)

Poniżej wyspecyfikowano specjalne uprawnienia dla plików i folderów. Niektóre z nich dotyczą wyłącznie plików i, inne folderów. Pełne zestawienie specjalnych uprawnień dla plików i folderów, wraz z ich opisem, zawiera plik \zaj5\Docs\Specjalne_uprawniania_dla_plikow_i_folderow.doc.

Traverse Folder/Execute File - Przechodzenie przez folder/Wykonywanie pliku
List Folder/Read Data - Wyświetlanie zawartości folderu/Odczyt danych
Read Attributes - Odczyt atrybutów
Read Extended Attributes - Odczyt atrybutów rozszerzonych
Create Files/Write Data - Tworzenie plików/Zapis danych
Create Folders/Append Data - Tworzenie folderów/Dołączanie danych
Write Attributes - Zapis atrybutów
Write Extended Attributes - Zapis atrybutów rozszerzonych
Delete Subfolders and Files - Usuwanie podfolderów i plików
Delete - Usuwanie
Read Permissions - Odczyt uprawnień
Change Permissions - Zmiana uprawnień
Take Ownership - Przejęcie na własność
Synchronize - Synchronizowanie

Uprawniania jawne a dziedziczone (Explicit vs. inherited permissions)

Są dwa typy uprawnień: uprawnienia jawne i uprawnienia dziedziczone.

Uprawnienia jawne (explicit)są to uprawnienia ustawione domyślnie w wyniku akcji użytkownika związanej z utworzeniem obiektu.
Uprawnienia dziedziczone (inherited) to uprawnienia, które zostały propagowane do obiektu z obiektu nadrzędnego. Uprawnienia dziedziczone ułatwiają zarządzanie uprawnieniami i zapewniają spójność uprawnień we wszystkich obiektach z wybranego kontenera.

Obiekty tworzone w kontenerze domyślnie dziedziczą uprawnienia z tego kontenera. Na przykład, po utworzeniu folderu MyFolder wszystkie podfoldery i pliki utworzone w folderze MyFolder automatycznie dziedziczą uprawnienia z tego folderu. Dlatego MyFolder ma uprawnienia jawne, podczas gdy wszystkie pliki i podfoldery znajdujące się w nim mają uprawnienia dziedziczone.

Uwagi:

Odziedziczone uprawnienia Deny (Odmów) nie zapobiegają dostępowi do obiektu, jeżeli obiekt ma jawny wpis uprawnienia Allow (Zezwalaj).
Jawne uprawnienia mają wyższy priorytet od uprawnień odziedziczonych, nawet odziedziczonych uprawnień Deny.

Własność (Ownership) obiektu

Każdy obiekt ma właściciela, niezależnie od tego, czy znajduje się na woluminie NTFS czy w usłudze Active Directory. Właściciel kontroluje, w jaki sposób ustawiane są uprawnienia do obiektu i komu uprawnienia takie są nadawane.

Ważne:

Administrator, który musi naprawić lub zmienić uprawnienia do pliku, musi rozpocząć od przejęcia pliku na własność.

W rodzinie systemów Windows Server 2003 właścicielem domyślnym jest grupa Administrators. Właściciel może zawsze zmieniać uprawnienia do obiektu, nawet jeśli nie ma do niego żadnego dostępu.

Własność może uzyskać:

Administrator. Grupa Administrators ma domyślnie przyznane prawo użytkownika Take ownership (Przejęcie na własność) plików lub innych obiektów.
Każdy użytkownik i grupa z uprawnieniem Take ownership do danego obiektu.
Użytkownik, który ma przywilej Restore files and directories (Przywracanie plików i katalogów).

Własność można przenieść w następujący sposób:

Aktualny właściciel może przyznać uprawnienie Take ownership innym użytkownikom, pozwalając im przejąć obiekt na własność w dowolnym czasie. Aby dopełnić przekazywania, użytkownik musi rzeczywiście przejąć własność.
Własność może przejąć Administrator.
Użytkownik, który ma przywilej Restore files and directories (Przywracanie plików i katalogów), może kliknąć dwukrotnie ikonę Other users and groups (Inni użytkownicy i grupy) i wybrać dowolnego użytkownika lub grupę, aby przypisać im własność.

Ważne wskazówki dotyczące uprawnień i praw użytkowników

Uprawnienia jest lepiej przypisywać do grup, a nie do użytkowników

Ponieważ bezpośrednie zarządzanie kontami użytkowników jest nieefektywne, przypisywanie praw poszczególnym użytkownikom powinno być wyjątkiem.

W szczególnych przypadkach należy użyć uprawnień Deny (Odmów)

Odmowy uprawnień należy używać do wyłączenia podzestawu grupy, której przyznano uprawnienia.
Odmowy można użyć do wyłączenia szczególnego uprawnienia po przyznaniu użytkownikowi lub grupie pełnej kontroli.

Korzystać z szablonów zabezpieczeń

Zamiast konfigurować poszczególne uprawnienia, zawsze gdy to możliwe, używać szablonów.

Jeżeli to możliwe, unikać wprowadzania zmian w domyślnych wpisach zabezpieczeń obiektów systemu plików, szczególnie folderów systemowych i folderów głównych

Zmiana uprawnień domyślnych może spowodować nieoczekiwane problemy z dostępem lub pogorszenie skuteczności zabezpieczeń.

Nigdy nie odmawiać dostępu (nie stosować Deny) do obiektu grupie Everyone (Wszyscy)

Jeżeli odmówi się uprawnienia do obiektu grupie Everyone, odmówi się go także administratorom. Lepszym rozwiązaniem jest usunięcie grupy Everyone, jeżeli udzieli się uprawnienia do tego obiektu innym użytkownikom, grupom lub komputerom.

Przypisywać uprawnienia do obiektu znajdującego się jak najwyżej w drzewie, a następnie zastosować dziedziczenie, aby propagować ustawienia zabezpieczeń w całym drzewie

Można szybko i efektywnie stosować ustawienia kontroli dostępu dla wszystkich obiektów podrzędnych lub poddrzewa obiektu nadrzędnego. Dzięki temu można uzyskać największe efekty najmniejszym wysiłkiem. Ustanawiane ustawienia uprawnień powinny być odpowiednie dla większości użytkowników, grup i komputerów.

Uwagi:

Odziedziczone uprawnienia Deny nie zapobiegają dostępowi do obiektu, jeżeli obiekt ma jawny wpis uprawnienia Allow.
Jawne uprawnienia mają wyższy priorytet od uprawnień odziedziczonych, nawet odziedziczonych uprawnień Deny.

Jaki wpływ na uprawnienia do plików i folderów ma dziedziczenie

Po ustawieniu uprawnień (permissions) do folderu nadrzędnego (parent folder) nowe pliki i podfoldery tworzone w folderze dziedziczą te uprawnienia.
Aby pliki i podfoldery nie dziedziczyły uprawnień, podczas konfigurowania uprawnień specjalnych do folderu nadrzędnego należy zaznaczyć na liście Apply onto (Zastosuj dla) pozycję This folder only (Tylko ten folder).

Aby tylko określone pliki i podfoldery nie dziedziczyły uprawnień, należy kliknąć prawym przyciskiem myszy plik lub podfolder, kliknąć polecenie Properties (Właściwości), kliknąć kartę Security (Zabezpieczenia), kliknąć przycisk Advanced (Zaawansowane), a następnie wyczyścić pole wyboru Allow inheritable permissions from the parent to propagate to this object and all child objects. Include these with entries explicitly defined here. (Zezwalaj na propagowanie dziedziczonych uprawnień z obiektu nadrzędnego do tego obiektu i wszystkich obiektów podrzędnych. Uwzględnij je razem z wpisami tutaj zdefiniowanymi.).
Jeśli pola wyboru są zacieniowane, plik lub folder odziedziczył uprawniania po folderze nadrzędnym. Istnieją trzy sposoby wprowadzania zmian do uprawnień dziedziczonych:
- Wprowadzeni zmiany do folderu nadrzędnego, a plik lub folder będzie dziedziczyć te uprawnienia.

- Zaznaczenie uprawnienia przeciwnego (Allow or Deny) (Zezwalaj lub Odmów), aby zastąpić
uprawnienie dziedziczone.
- Wyczyszczenie pole wyboru Allow inheritable permissions from the parent to propagate to this object and all child objects. Include these with entries explicitly defined here. Następnie można wprowadzać zmiany do uprawnień lub usunąć użytkownika albo grupę z listy uprawnień. Jednak plik lub folder nie będzie już wtedy dziedziczyć uprawnień po folderze nadrzędnym.

W większości przypadków uprawnienie Deny (Odmów) zastępuje Allow (Zezwalaj), chyba że folder dziedziczy skonfliktowane ustawienia po różnych obiektach nadrzędnych. W takim przypadku pierwszeństwo ma ustawienie dziedziczone po obiekcie nadrzędnym, znajdującym się najbliżej w poddrzewie.

Tylko uprawnienia dziedziczne są dziedziczone przez obiekty podrzędne. Ustawiając uprawnienia do obiektu nadrzędnego, można zdecydować za pomocą listy Apply onto (Zastosuj dla), czy foldery lub podfoldery mogą je dziedziczyć.
Uprawnienia użytkownika lub grupy do obiektu można sprawdzić za pomocą Effective Permissions tool (narzędzia Czynne uprawnienia).

Narzędzie Effective Permissions tool (Czynne uprawnienia)

Aby dowiedzieć się, jakie uprawnienia do obiektu ma użytkownik lub grupa, można użyć narzędzia Effective Permissions tool (Czynne uprawnienia). Narzędzie to oblicza uprawnienia udzielane określonemu użytkownikowi lub grupie. W obliczeniach są uwzględniane uprawnienia wykorzystywane dzięki przynależności do grupy oraz odziedziczone po obiekcie nadrzędnym. Podczas obliczeń narzędzie przeszukuje wszystkie grupy domen i grupy lokalne, których członkiem jest dany użytkownik lub grupa.
Narzędzie Effective Permissions tool umożliwia uzyskanie tylko przybliżonych danych o uprawnieniach, które posiada użytkownik. Uprawnienia, które rzeczywiście posiada użytkownik, mogą być inne, ponieważ uprawnień można udzielać lub odmawiać na podstawie sposobu logowania użytkownika. Tych informacji dotyczących logowania nie można określić za pomocą Effective Permissions tool, ponieważ użytkownik nie jest zalogowany; dlatego wyświetlane informacje dotyczące czynnych uprawnień odzwierciedlają uprawnienia określone przez użytkownika lub grupę, a nieokreślone w procesie logowania.

Więcej informacji na ten temat podano w plikach \zaj5\Docs\Narzedzie_Czynne_uprawninia.doc
i \zaj5\Docs\Effective_Permissions_tool.doc.

Ustawienia inspekcji obiektów (Auditing settings on objects)

Do każdego obiektu (object) jest dołączony zbiór informacji o zabezpieczeniach, nazywany deskryptorem zabezpieczeń (security descriptor). Część deskryptora zabezpieczeń określa grupy i użytkowników, którzy mają dostęp do obiektu, oraz typy praw dostępu (uprawnienia) udzielone tym grupom lub użytkownikom. Ta część deskryptora zabezpieczeń nazywana jest listą arbitralnej kontroli dostępu - Discretionary Access Control List (DACL).

Deskryptor zabezpieczeń obiektu zawiera również informacje o inspekcji. Te informacje znane są jako systemowa lista kontroli dostępu - System Access Control List (SACL). Systemowa lista kontroli dostępu określa w szczególności:

Konta użytkowników i grup, które mają podlegać inspekcji podczas uzyskiwania dostępu do obiektu.
Operacje, które mają podlegać inspekcji dla każdej grupy lub dla każdego użytkownika, na przykład modyfikacja pliku.
Atrybut Success (Powodzenie) lub Failure (Niepowodzenie) dla każdego zdarzenia dostępu, oparty na uprawnieniach udzielonych każdej grupie i każdemu użytkownikowi na liście DACL obiektu.

Inspekcji może podlegać obiekt i - poprzez dziedziczenie - wszystkie jego obiekty podrzędne. Jeśli na przykład jest prowadzona inspekcja nieudanych prób dostępu do folderu, to zdarzenie inspekcji mogą dziedziczyć wszystkie pliki znajdujące się w folderze. Aby prowadzić inspekcję plików i folderów, trzeba zalogować się jako członek grupy Administratorzy.

Zasady inspekcji (Auditing policy)

Przed zaimplementowaniem zasad inspekcji trzeba wybrać kategorie zdarzeń podlegające inspekcji. Wybrane dla kategorii zdarzeń ustawienia inspekcji definiują zasady inspekcji. Na serwerach członkowskich i stacjach roboczych przyłączonych do domeny ustawienia inspekcji dla kategorii zdarzeń są domyślnie niezdefiniowane. Na kontrolerach domeny inspekcja jest domyślnie wyłączona. Definiując ustawienia inspekcji dla określonych kategorii zdarzeń, można utworzyć zasady inspekcji zgodne z wymaganiami danej organizacji w zakresie zabezpieczeń.

Wybrać można następujące kategorie zdarzeń podlegających inspekcji:

Audit account logon events - Przeprowadź inspekcję zdarzeń logowania na kontach
Audit account management - Przeprowadź inspekcję zarządzania kontami
Audit directory service access - Przeprowadź inspekcję dostępu do usługi katalogowej
Audit logon events - Przeprowadź inspekcję zdarzeń logowania
Audit object access - Przeprowadź inspekcję dostępu do obiektów
Audit policy change - Przeprowadź inspekcję zmian zasad
Audit privilege use - Przeprowadź inspekcję użycia uprawnień
Audit process tracking - Przeprowadź inspekcję śledzenia procesów
Audit system events - Przeprowadź inspekcję zdarzeń systemowych

Więcej informacji na temat kategorii zdarzeń podlegających inspekcji znajduje się w pliku \zaj5\Docs\zasady_inspekcji.doc.
Najważniejsze wskazówki dotyczące implementacji zasad inspekcji zawarte są w pliku \zaj5\Docs\Najwazniejsze_wskazowki_inspekcja.doc.

ZAJĘCIA 5 - ĆWICZENIA

Ćwiczenie 1 (Przygotowania)

Podczas uruchamiania komputera pojawia się ekran wyboru systemów operacyjnych i innych zadań - Welcome on the WSISiZ network. Należy wybrać Win2003, a następnie pozycję Windows Server 2003, Instalacja standardowa.
Po zalogowaniu się jako Administrator należy sprawdzić i w razie potrzeby skorygować nazwę lokalnego komputera (np. w Properties dla My Computer, karta Computer Name, przycisk Change...). Wprowadzona nazwa winna być taka, jaka została umieszczona na obudowie komputera (np. sz455).
Z zasobów WS2003Lab skopiować do katalogu głównego partycji D: (!!! uprzednio zalecane jest wydanie w Start - Run: \\oceanic i podanie swoich parametrów uwierzytelnienia w sieci WSISiZ) cały folder \\oceanic\staff\ws2003lab\lab2006\zaj5 z zachowaniem jego nazwy zaj5.
Uruchomić miniaplikację Folder Options w panelu sterowania Control Panel.
W zakładce View uzyskać następujące ustawienia pozycji konfiguracyjnych:
Show hidden files and folders - zaznaczona
Hide extensions for known file types - odznaczona
Hide protected operating system files (Recommended) - odznaczona
Otworzyć Command Prompt i uruchomić skrypt d:\zaj5\konfiguracja5.cmd wydając polecenie:
d:\zaj5\konfiguracja5.cmd nazwa_grupy_studenckiej
W wyniku tej operacji winny zostać utworzone konta: bilbo-grupa (puste hasło, grupa lokalna Users),
gandalf-grupa (puste hasło, dodatkowa grupa lokalna Power Users) oraz stosowne foldery i plik..
Zalogować i wylogować się kolejno jako bilbo-grupa i gandalf-grupa sprawdzając czy istnieje, dla obydwu użytkowników, opcja możliwości zamknięcia systemu - lecz nie zamykać systemu !!!

Ćwiczenie 2 (Konfigurowanie Zasad inspekcji - Auditing policy)

Uwaga: Nie jest możliwe, poza kilkoma wyjątkami, zaimplementowanie zasad inspekcji bez uprzedniego dokonania stosownych wyborów kategorii zdarzeń podlegających kontroli. Dokonanie wyboru kategorii zdarzeń podlegających inspekcji jest pierwszym, koniecznym do spełnienia, warunkiem uruchomienia mechanizmu pojawiania się wpisów w Dzienniku zdarzeń.

Będąc zalogowanym jako Administrator z menu Administrative Tools wybrać Local Security Policy.

W drzewie konsoli rozwinąć Local Policies i wybrać Audit Policy.

W oknie szczegółów, podwójnie klikając na poszczególne pozycje zaznaczać lub odznaczać pola opcji Success lub Failure (na karcie Local Security Setting) zgodnie z poniższą specyfikacją:

Audit account logon events - nie poddawać inspekcji (domyślnie jest Success)
Audit account management - pozostawić bez inspekcji (ustawienie domyślne)
Audit directory service access - pozostawić bez inspekcji (ustawienie domyślne)
Audit logon events - tylko Failure (domyślnie jest tylko Success)
Audit object access - Success i Failure (domyślnie jest No auditing -pozostawić bez inspekcji)
Audit policy change - pozostawić bez inspekcji (ustawienie domyślne)
Audit privilege use - pozostawić bez inspekcji (ustawienie domyślne)
Audit process tracking - pozostawić bez inspekcji (ustawienie domyślne)
Audit system events - pozostawić bez inspekcji (ustawienie domyślne)

Wybrać prawym klawiszem myszy Security Settings i z menu podręcznego polecenie Reload. Od tego momentu obowiązują w systemie nowe zasady inspekcji. Zamknąć konsolę Local Security Policy.

Ćwiczenie 3 (Czyszczenie wybranej zawartości Dziennika zdarzeń - Event Viewer)

Będąc zalogowanym jako Administrator z menu Administrative Tools wybrać Event Viewer.

W oknie drzewa konsoli Event Viewer wybrać prawym klawiszem myszy Security i wydać polecenie Clear all Events.
W pojawiającym się oknie Event Viewer użyć przycisku No.
Zamknąć konsolę Event Viewer. Wyniki inspekcji będą przeglądane w Ćwiczeniu 18.

Ćwiczenie 4 (Dokonywanie przeglądu, modyfikacji i usuwania uprawnień do folderów przy użyciu GUI i polecenia cacls)

UWAGA: Grupy lub użytkownicy, którym udzielono uprawnienia Full Control dla folderu, mogą usuwać pliki i podfoldery znajdujące się w tym folderze niezależnie od uprawnień chroniących pliki i podfoldery.
Dodawany nowy użytkownik lub grupa mają domyślnie udzielone uprawnienia Read & Execute, List Folder Contents i Read.

Przeglądanie zabezpieczeń dla dysku lokalnego
Z menu kontekstowego Local Disk (D:) wybrać Properties - Security.
Zauważyć, że domyślnie, w polu Group or user names: zakładki Security występuje tylko pięć grup systemowych (Administrators, Creator Owner, Everyone, SYSTEM i Users). Dokonać, wybierając w polu Group or user names: odpowiednie pozycje, przeglądu uprawnień dla poszczególnych grup.

W oknie Local Disk (D:) Properties, w zakładce Security użyć przycisku Advanced i zauważyć, że w oknie Advanced Security Settings for Local Disk (D:), na karcie Permissions, w polu Permissions entries:, w kolumnie Inherited From (Odziedziczone po), dla każdej z pozycji występuje wpis <not inherited> (nie odziedziczone). Zamknąć wszystkie okna zawiązane z Local Disk (D:) Properties.
Przeglądanie zabezpieczeń dla folderu
Z menu kontekstowego foldera d:\nadrzedny1-grupa\aaa wybrać Properties - Security.
Zauważyć, że domyślnie, w polu Group or user names: występuje tylko cztery grupy systemowe (Administrators, Creator Owner, SYSTEM i Users). Dokonać przeglądu uprawnień dla poszczególnych grup.
Zauważyć, że w rubryce Permissions for Group pola opcji w kolumnie Allow są szare, co świadczy o tym, że uprawnienia są dziedziczone z folderu nadrzędnego.

W oknie aaa Properties, w zakładce Security użyć przycisku Advanced i zauważyć, że w oknie Advanced Security Settings for aaa, na karcie Permissions, w polu Permissions entries:, w kolumnie Inherited From (Odziedziczone po), tylko dla wymienionej najwyżej pozycji Administrators (SZXXX) odnoszącej się do This folder only w kolumnie Inherited From występuje zapis <not inherited>. Wszystkie inne pozycje domyślnie wskazują na dziedziczenie uprawnień z dysku D:\.
Zamknąć okno Advanced Security Settings for aaa.
Ustawianie zabezpieczeń dla wybranego użytkownika
W otwartym oknie aaa Properties użyć przycisku Add..., w oknie Select Users or Groups użyć przycisku Advanced..., następnie Find Now i w polu Search results: wskazać na pozycję bilbo-grupa. Dwukrotnie zatwierdzać.
W oknie aaa Properties pojawił się nowy wpis dla użytkownika bilbo-grupa.

W polu Permissions for bilbo-grupa, w kolumnie Allow zaznaczyć pozycję Full Control i użyć przycisku OK.
Odmawianie dostępu do foldera dla wybranego użytkownika przy użyciu polecenia cacls
W Command Prompt zapoznać się ze składnią polecenia cacls (cacls /?) a następnie wydać je w poniższy sposób:
cacls d:\nadrzedny1-grupa\aaa
Wyświetlona zostaje informacja o uprawnieniach do foldera d:\nadrzedny1-grupa\aaa. Dla pozycji
SZXXX\bilbo-grupa: występuje wpis F (pełna kontrola). Wpis <OI> świadczy o stosowaniu się tego uprawnienia do tego foldera i plików a wpis <CI> o stosowaniu się tego uprawnienia do tego foldera i podfolderów.

Odmówić użytkownikowi bilbo-grupa jakiegokolwiek dostępu do foldera d:\nadrzedny1-grupa\aaa (bez ingerencji w ustawienia innych grup i użytkowników) wydając polecenia:
cacls d:\nadrzedny1-grupa\aaa /e /d bilbo-grupa
cacls d:\nadrzedny1-grupa\aaa
Przy pozycji dotyczącej użytkownika bilbo-grupa pojawił się wpis N świadczący o braku dostępu do w/w foldera.
Wybrać kartę Security w Properties foldera d:\nadrzedny1-grupa\aaa i zaznaczyć pozycję odpowiadającą użytkownikowi bilbo-grupa. Zauważyć, że dla kolumny Deny zaznaczone są wszystkie (oprócz jednej) pozycje dotyczące uprawnień. Użytkownik bilbo-grupa nie będzie mieć dostępu do w/w foldera. Zamknąć okno aaa Properties.
Przywracanie dostępu do foldera dla wybranego użytkownika przy użyciu polecenia cacls
Wydać polecenia:
cacls d:\nadrzedny1-grupa\aaa /e /r bilbo-grupa
cacls d:\nadrzedny1-grupa\aaa
Usuwany jest wpis dotyczący uprawnień dla użytkownika bilbo-grupa. Jego konto ma teraz takie uprawnienia do foldera d:\nadrzedny1-grupa\aaa, jak inni członkowie grupy Users.

Ćwiczenie 5 (Uzyskiwanie informacji o uprawnieniach do obiektu z zastosowaniem narzędzia Effective Permissions Tool (Narzędzie Czynne Uprawnienia))

Sprawdzenie czynnych uprawnień dla ustawień domyślnych
Wybrać kartę Security we właściwościach foldera d:\nadrzedny1-grupa\aaa i użyć przycisku Add.
Dodać grupę Power Users (jak w Ćw. 4, p. 4) i użyć przycisku Apply.
Użyć przycisku Advanced, wybrać zakładkę Effective Permissions i użyć przycisku Select.
Wybrać (Advanced... - Find Now) pozycję gandalf-grupa. Zauważyć, że zaznaczenie występuje dla siedmiu pozycji, a wśród nich dla: Create Files / Write Data i Create Folders / Append Data.
Zamknąć okno Advanced Security Settings for aaa.
Sprawdzenie czynnych uprawnień dla zmodyfikowanych ustawień
W oknie aaa Properties wybrać pozycję Power Users. W kolumnie Deny zaznaczyć pozycję Write i użyć przycisku Apply.
Po przeczytaniu informacji w oknie Security zatwierdzić ostrzeżenie przyciskiem Yes.
Użyć przycisku Advanced, wybrać zakładkę Effective Permissions i użyć przycisku Select.
Wybrać, kierując się poprzednimi doświadczeniami, pozycję gandalf-grupa.
Zauważyć, że w polu Effective Permissions: pozycje Create Files / Write Data i Create Folders / Append Data nie są już zaznaczone.
Użytkownik gandalf-grupa należy do dwóch grup: Users i Power Users. Z racji przynależności do grupy Users posiada, domyślnie, m.in. uprawnienia Create Files / Write Data i Create Folders / Append Data.
W wyniku wprowadzenia Deny dla uprawnienia Write (dla grupy Power Users) użytkownik nie może już korzystać z tych uprawnień.
Członek grupy Administrators nie musi już pamiętać o tym, że zastosował pewne ograniczenia w dostępie do foldera dla użytkownika gandalf-grupa. Może po prostu posłużyć się narzędziem Effective Permissions Tool uzyskując spis aktualnie obowiązujących uprawnień dostępu dla tego konta użytkownika.
Zamknąć, zatwierdzając, okna związane z aaa Properties.

Ćwiczenie 6 (Usuwanie domyślnych i definiowanie własnych uprawnień NTFS do folderu pomijających łańcuch dziedziczenia uprawnień)

Wywołać kartę Security dla foldera d:\nadrzedny1-grupa\aaa.
Usunąć, przy użyciu przycisku Remove, grupę Power Users i użyć Apply (od tej chwili grupa Power Users odzyskuje domyślne ustawienia uprawnień - znika z pola Group or user names:).
Podjąć próbę usunięcia grup: Users, Creator Owner i System. Próby nie powinny się udać (pojawia się komunikat, że nie można usunąć grupy, ponieważ uprawnienia są dziedziczone z folderu nadrzędnego). Zamknąć (OK) okna Security, gdzie wyświetlany jest ten komunikat.
Użyć przycisku Advanced, odznaczyć pole Allow inheritable permissions from the parent to propagate to this object and all child objects. Include these with entries explicitly defined here. (Zezwalaj na propagowanie dziedziczonych uprawnień z obiektu nadrzędnego do tego obiektu i wszystkich obiektów podrzędnych. Uwzględnij je razem z wpisami tutaj zdefiniowanymi.), aby zablokować dziedziczenie uprawnień.

W okienku Security zostaje wyświetlony komunikat o możliwości skopiowania uprawnień aktualnie dziedziczonych lub usunięcia wszystkich uprawnień dziedziczonych do tego folderu a pozostawienie tylko jawnie przypisanych.
Użyć przycisku Remove. Zauważyć, że w części Permisson entries: pozostała tylko jedna pozycja (Administrators - oznaczenie <not inherited>) dotycząca wpisu odnoszącego się do This folder only. Użyć przycisku OK.
W oknie aaa Properties użyć przycisku Add...
Wykorzystując okno Select Users or Groups (przycisk Advanced…) dodać grupy Creator Owner, Power Users, System (użyć klawisz [Ctrl]).
Dla grup Administrators i System przyznać uprawnienie Full Control.
Dla grupy Power Users przyznać dodatkowo uprawnienie Write (odpowiednie pola dla uprawnień Read & Execute, List Folder Contents, Read winny być również zaznaczone).
Użyć przycisku Advanced, w oknie Advanced Security Settings for aaa wybrać grupę Creator Owner i użyć przycisku Edit…
W oknie Permission Entry for aaa dla pola Apply onto: wybrać This folder, subfolders and files.
W polu Permissions, w kolumnie Allow, zaznaczyć Full Control i dwa razy zatwierdzić.
Zamknąć okno aaa Properties przyciskiem OK.

Ćwiczenie 7 (Implementacja zasad inspekcji na przykładzie kontroli dostępu do plików i folderów)

UWAGA: Uzyskanie informacji (pojawienie się) w Dzienniku zdarzeń stosownych wpisów, o powodzeniu lub

niepowodzeniu operacji dostępu do foldera lub pliku wymaga uprzedniego włączenia odpowiedniej Zasady inspekcji

(patrz ćwiczenie 2 bieżących zajęć). Kontrola dostępu do plików i folderów wymaga włączenia zasady

Audit object access (Przeprowadź inspekcję dostępu do obiektów).

Włączenie tej zasady jest warunkiem koniecznym lecz nie wystarczającym do skutecznego prowadzenie inspekcji do obiektów.
Drugim warunkiem jest, by dla konkretnego, wybranego obiektu dokonać zespołu operacji konfigurowania inspekcji dotyczących określenia czyje działania, związane z jakimi czynnościami, będą podlegać śledzeniu.

Wybrać w Properties dla foldera d:\nadrzedny1-grupa\aaa kartę Security, przycisk Advanced, kartę Auditing.
Przy zaznaczonej opcji Allow inheritable auditing entries from the parent to propagate to this object and all child objects. Include these with entries explicitly defined here. (Zezwalaj na propagowanie dziedziczonych wpisów inspekcji z obiektu nadrzędnego do tego obiektu i wszystkich obiektów podrzędnych. Uwzględnij je razem z wpisami tutaj zdefiniowanymi.) użyć przycisku Add... (pozostawienie w/w opcji spowoduje, że będą śledzone działania dotyczące również pliku d:\nadrzedny1-grupa\aaa\admin.txt).
Posługując się oknem Select User or Group dodać konto bilbo-grupa.
Po zatwierdzeniach pojawia się okno Auditing Entry for aaa. Zaznaczyć, w kolumnie Failed, pole dla pozycji Delete i zatwierdzić.

Ponownie użyć przycisku Add... i dodać grupę Administrators.

W oknie Auditing Entry for aaa zaznaczyć pola Successful i Failed dla poniższych typów dostępu:

Change Permissions
Take Ownership

i ,zatwierdzając, zamknąć wszystkie okna mające związek z aaa Properties.

Ćwiczenie 8 (Sprawdzanie możliwości dostępu do plików i folderów)

Załogować się jako bilbo-grupa podając początkowo błędne hasło, a następnie prawidłowe.
W dzienniku zdarzeń winien pojawić się stosowny wpis - sprawdzanie wpisów w dalszej części zajęć.
Sprawdzić możliwość otwarcia foldera d:\nadrzedny1-grupa\aaa. Próba nie powinna się udać.
Sprawdzić możliwość utworzenia foldera d:\nadrzedny1-grupa\bilbo. Próba udaje się ponieważ restrykcjami objęty jest tylko folder d:\nadrzedny1-grupa\aaa.
Wylogować się.
Zalogować się jako gandalf-grupa i podjąć następujące próby.

Otworzyć folder d:\nadrzedny1-grupa\aaa (próba winna być udana ponieważ użytkownik
gandalf-grupa należy do grupy Power Users, której nadano stosowne uprawnienia
w Ćwiczeniu 6)
Utworzyć plik tekstowy (np. prawy klawisz myszy na pustym obszarze okna aaa folderu aaa) d:\nadrzedny1-grupa\aaa\gandalf.txt (powodzenie operacji wynikające z udzielenia dodatkowo, oprócz domyślnych, uprawnienia Write)
Otworzyć plik d:\nadrzedny1-grupa\aaa\gandalf.txt
Zmienić zawartość pliku
Zapisać plik
Usunąć plik

Ostatnie cztery zadania powiodły się ponieważ grupie Creator Owner przypisano dla folderu d:\nadrzedny1-grupa\aaa specjalne uprawnienie NTFS Full Control. Użytkownik gandalf-grupa jest twórcą (Creator) i właścicielem (Owner) pliku d:\nadrzedny1-grupa\aaa\gandalf.txt.

Dokonać na pliku d:\nadrzedny1-grupa\aaa\admin.txt następujących prób.

Otworzyć plik d:\nadrzedny1-grupa\aaa\admin.txt

Zmienić zawartość pliku
Zapisać plik
Usunąć plik

Ostatnia operacja nie powinna się udać. Użytkownik gandalf-grupa nie posiada uprawnienia Modify i nie był jego twórcą (folder utworzył Administrator). Fakt niemożności usunięcia pliku stanie się oczywisty po wykonaniu poniższego sprawdzenia.
Otworzyć w Properties pliku d:\nadrzedny1-grupa\aaa\admin.txt kartę Security, użyć Advanced.
W oknie Advanced Security Settings for admin.txt zaznaczyć pozycję dla Power Users i użyć przycisku View... Zauważyć, że opcja Delete nie jest zaznaczona.
Zamknąć wszystkie okna dotyczące właściwości pliku.

Ćwiczenie 9 (Modyfikacja uprawnienia własności do foldera, przejmowanie na własność przy użyciu narzędzia GUI i takeown)

UWAGA: Aby zmienić uprawnienia, użytkownik musi być właścicielem lub mieć odpowiednie uprawnienia przydzielone przez właściciela.

Modyfikowanie i usuwanie uprawnień przez użytkownika będącego twórcą i właścicielem foldera
Będąc zalogowanym jako gandalf-grupa utworzyć foldery d:\nadrzedny1-grupa\aaa\gandalf1
i d:\nadrzedny1-grupa\aaa\gandalf2.

W Properties foldera d:\nadrzedny1-grupa\aaa\gandalf1 wybrać kartę Security, użyć przycisku Advanced.
W oknie Advanced Security Settings for gandalf1 wybrać kartę Owner i zauważyć, że właścicielem foldera jest gandalf-grupa.

Ponownie wybrać kartę Permissions i zauważyć, że w obszarze Permission entries:, w kolumnie Inherited From znajduje się wpis świadczący o dziedziczeniu uprawnień po folderze d:\nadrzedny1-grupa\aaa.
Zwrócić również uwagę na fakt, że przycisk Remove jest nieaktywny.

Wyczyścić pole Allow inheritable permissions from the parent to propagate to this object and all child objects. Include these with entries explicitly defined here. aby zablokować dziedziczenie uprawnień z obiektu nadrzędnego, tzn. z foldera d:\nadrzedny1-grupa\aaa.

Zostaje wyświetlony komunikat o możliwości skopiowania uprawnień aktualnie dziedziczonych lub usunięcia wszystkich uprawnień dziedziczonych do tego folderu a pozostawienie tylko jawnie przypisanych.
Użyć przycisku Copy. W wyniku tej operacji pozostały wszystkie pozycje w obszarze Permission entries: lecz łańcuch dziedziczenia został przerwany. Wpisy w kolumnie Inherited From uległy zmianie na <not inherited>.
W obszarze Permission entries: zaznaczyć wszystkie pozycje z wyjątkiem konta gandalf-grupa i usunąć je przy użyciu przycisku Remove.
Zamknąć, zatwierdzając, okna dotyczące właściwości foldera d:\nadrzedny1-grupa\aaa\gandalf1.
Analogiczne czynności przeprowadzić (!!!) dla foldera d:\nadrzedny1-grupa\aaa\gandalf2.
Wylogować się.
Sprawdzenie dostępu do foldera z konta o poświadczeniach administracyjnych i przejęcie na własność w GUI
Zalogować się jako Administrator.
Podjąć próby otwarcia i usunięcia folderów d:\nadrzedny1-grupa\aaa\gandalf1
oraz d:\nadrzedny1-grupa\aaa\gandalf2 (próby nie powinny się udać).
Wywołać kartę Security dla foldera d:\nadrzedny1-grupa\aaa\gandalf1.
Pojawia się komunikat o możliwości dokonania wyłącznie operacji przejęcia na własność lub zmiany ustawień inspekcji. Użyć przycisku OK.
W karcie Security użyć przycisku Advanced, wybrać kartę Owner i zauważyć, że w polu Current owner of this item: znajduje się informacja Unable to display current owner.
W polu Change owner to: zaznaczyć Administrators i użyć Apply. Pojawia się okno Security z informacją o konieczności zamknięcia i ponownego otwarcia okna właściwości obiektu.
Ponownie wywołać Properties i kartę Security dla d:\nadrzedny1\aaa\gandalf1oraz użyć przycisku Advanced.
Na karcie Owner zaznaczyć pole Replace owner on subcontainers and objects (Zamień właściciela dla podkontenerów i obiektów) i użyć przycisku Apply.
W pojawiającym się oknie Security ukazuje się informacja o niemożliwości przeglądania foldera i zapytanie o wyrażenie zgody na zamianę uprawnień do foldera przyznającą uprawnienie pełnej kontroli (Full Control).
Zatwierdzić komunikat.
Zamknąć, zatwierdzając, okno dotyczące właściwości foldera.

Wywołać kartę Security dla foldera d:\nadrzedny1-grupa\aaa\gandalf1 i zauważyć, że obszarze Group or user names: znajduje się pozycja Administrators a uprawnienia do foldera są jawnie ustalone jako Full Control.
Zamknąć, zatwierdzając okna dotyczące właściwości foldera.

Podjąć próby otwarcia i usunięcia foldera d:\nadrzedny1-grupa\aaa\gandalf1. Obydwie próby kończą się powodzeniem. Grupa Administrators po przejęciu na własność foldera d:\nadrzedny1-grupa\aaa\gandalf1 posiada komplet uprawnień.
Przejęcie na własność foldera przy użyciu polecenia takeown
Zapoznać się ze składnią polecenia takeown wydając:
takeown /?
Przejąć na własność folder d:\nadrzedny1-grupa\aaa\gandalf2 wydając polecenie:
takeown /f d:\nadrzedny1-grupa\aaa\gandalf2
Podjąć próbę usunięcia foldera d:\nadrzedny1-grupa\aaa\gandalf2 wydając polecenie:
rmdir d:\nadrzedny1-grupa\aaa\gandalf2
Polecenie nie powinno się udać. Grupa Administrators nie posiada jeszcze stosownych uprawnień do przeprowadzenia tej operacji
Udzielanie uprawnień do foldera przy użyciu polecenia cacls
W Command Prompt wydać polecenie nadające uprawnienie Full Control dla foldera
d:\nadrzedny1-grupa\aaa\gandalf2 grupie Administrators:
cacls d:\nadrzedny1-grupa\aaa\gandalf2 /e /g Administrators:f
Usunąć folder d:\nadrzedny1-grupa\aaa\gandalf2 wydając polecenie:
rmdir d:\nadrzedny1-grupa\aaa\gandalf2
Polecenie powinno się wykonać.

Ćwiczenie 10 (Wpływ operacji kopiowania i przenoszenia foldera na kwestie dziedziczenia
uprawnień)

Będąc zalogowanym jako Administrator dokonać operacji kopiowania foldera d:\nadrzedny1-grupa\aaa do foldera d:\nadrzedny2-grupa.
Obejrzeć w Properties foldera d:\nadrzedny2-grupa\aaa, w karcie Security ustawienia uprawnień.
Zauważyć, że uprawnienia zostały odziedziczone po folderze nadrzędnym - istnieją domyślne zapisy dotyczące grup. Usunąć folder d:\nadrzedny2-grupa\aaa
Dokonać operacji przeniesienia (Cut) foldera d:\nadrzedny1-grupa\aaa do foldera d:\nadrzedny2-grupa.
Obejrzeć w Properties foldera d:\nadrzedny2-grupa\aaa, w karcie Security ustawienia uprawnień.
Zauważyć, że uprawnienia nie zostały odziedziczone po folderze nadrzędnym. Są nadal takie same jak po zrealizowaniu Ćwiczenia 6 (Operacja przenoszenia foldera w obrębie jednej partycji NTFS zachowuje uprawnienia dostępu przenoszonego foldera).

Ćwiczenie 11 (Utworzenie, dla potrzeb dalszych ćwiczeń, roboczej konsoli MMC)

Będąc zalogowanym jako Administrator, uruchomić pustą konsolę MMC (Start - Run polecenie mmc) i użyć
File - Add/Remove Snap-in ...
W zakładce Standalone okna Add/Remove Snap-in użyć przycisku Add...
W spisie samodzielnych przystawek wyświetlonych w oknie Add Standalone Snap-in, zaznaczyć przystawkę Group Policy Object Editor oraz nacisnąć przycisk Add. Pozostawić w oknie Select Group Policy Object, w polu Group Policy Object:, domyślne ustawienie Local Computer i użyć przycisku Finish.

W podobny sposób dodać przystawki Security Configuration and Analysis i Security Templates. Na koniec użyć przycisków Close i OK.

Zapamiętać konsolę (File - Save As...) pod nazwą nazwisko-grupa.msc (np. nowak-id213.msc) w domyślnie proponowanym folderze d:\Documents and Settings\Administrator\Start Menu\Programs\Administrative Tools.

Ćwiczenie 12 [Dodatkowe] (Eksportowanie (Export List) wybranej listy wpisów dotyczących ustaleń w Local Computer Policy)

Pracując jako Administrator, w drzewie konsoli nazwisko-grupa.msc (np. nowak-id213.msc) rozwinąć gałąź Local Computer Policy, węzły Computer Configuration a następnie Windows Settings, Security Settings, Local Policies. Wskazać Security Options. Z menu kontekstowego Security Options wybrać polecenie Export List... W oknie Export List... dokonać dwukrotnie zapisu pliku

najpierw jako:

Text (Tab Delimited) d:\grupa\sec-opt.txt,

a następnie jako:

Text (Comma Delimited) d:\grupa\sec-opt.csv

Obejrzeć zawartość pliku d:\grupa\sec-opt.txt. Łatwiejsze w percepcji są pliki *.csv, które przeglądane w
MS Excel zawierają informacje podzielone na stosowne kolumny.

Uwaga: Proponuje się, by uczestnicy zajęć, dla dalszego pogłębiania wiedzy o systemie, dokonali eksportu interesujących ich list w formacie *.csv i skopiowania do swoich katalogów macierzystych na Oceanic.
Nie zamykać otwartej konsoli MMC !!!

Ćwiczenie 13 (Tworzenie kopii - eksportowanie (Export Policy) - aktualnych lokalnych ustawień zabezpieczeń komputera przy użyciu konsoli MMC)

W otwartej konsoli nazwisko-grupa.msc z menu kontekstowego
Local Computer Policy - Computer Configuration - Windows Settings - Security Settings wybrać polecenie Export policy... (!!! nie należy mylić znaczenia polecenia Export Policy z wymienionym wcześniej poleceniem Export List...). W pojawiającym się oknie Export Policy To dokonać zapisu pliku jako: d:\grupa\oryginal-1.inf (np. d:\id213\oryginal-1.inf).
Nie zamykać otwartej konsoli. Obejrzeć zawartość tak powstałego pliku d:\grupa\oryginal-1.inf przy użyciu np. Notepad.

Ćwiczenie 14 (Tworzenie kopii - eksportowanie - aktualnych lokalnych ustawień zabezpieczeń komputera przy użyciu narzędzia secedit.exe - wykorzystanie jednej z opcji narzędzia będącej odpowiednikiem Export Policy w GUI)

Uruchomić Help and Support Center, wyszukać w Tools - Command-line reference A-Z pozycję odpowiadającą poleceniu secedit i zapoznać się ze składnią tego polecenia szczególnie dla pozycji
secedit /export.
Dokonać eksportu ustawień zabezpieczeń, z określeniem pliku dziennika operacji, wprowadzając jako jedno polecenie w Command Prompt:
secedit /export /cfg d:\grupa\oryginal-2.inf /log d:\grupa\oryginal-2.log

Zawartość plików d:\grupa\oryginal-1.inf (z Ćwiczenia 13) i d:\grupa\oryginal-2.inf jest identyczna (dla porównania zawartości tych plików można się posłużyć poleceniem fc d:\grupa\oryginal-1.inf d:\grupa\oryginal-2.inf).
Wyżej wymienione pliki mogą stać się szablonami zabezpieczeń umożliwiającymi powrót np. do oryginalnej domyślnie instalowanej w systemie zasady zabezpieczeń komputera lokalnego.

Ćwiczenie 15 (Tworzenie własnego, nowego szablonu zabezpieczeń - przykład postępowania)

W drzewie konsoli nazwisko-grupa.msc rozwinąć Security Templates i wskazać D:\WINDOWS\security\templates.
W oknie szczegółów ukazuje się lista istniejących w systemie szablonów.
W drzewie konsoli wskazać prawym przyciskiem myszy D:\WINDOWS\security\templates i wybrać New Template….
W oknie D:\WINDOWS\security\templates w polu Template name: wprowadzić templ-grupa, gdzie grupa jest nazwą grupy aktualnie odbywającej ćwiczenia np. templ-id213 a w polu Description: np. Moj szablon i użyć przycisku OK. W polu szczegółów pojawia się nowy wpis.
W drzewie konsoli rozwinąć D:\WINDOWS\security\templates, następnie kolejno templ-grupa i Local Policies.
Wskazać User Rights Assignment i w oknie szczegółów wybrać prawym klawiszem myszy pozycję Shut down the system a następnie Properties (lub dwukrotnie kliknąć). Pojawia się okno Shut down the system Properties.

W karcie Template Security Policy Setting zaznaczyć pole Define these policy settings in the template i użyć przycisku Add User or Group…

W oknie Add Users or Groups, użyć przycisku Browse...
W oknie Select Users or Groups, w polu From this location: sprawdzić, czy widoczna jest nazwa komputera lokalnego (taka winna być).
Użyć przycisku Object Types... i w oknie Object Types zaznaczyć dodatkowo pole Groups i zatwierdzić.
Użyć przycisku Advanced... a następnie Find Now.
W części Search results: wybrać (stosując klawisz [Ctrl]) pozycje dla grup Administrators, Users i użyć OK.
Użyć przycisku OK, aby zamknąć okno Add Users or Groups i ponownie OK, aby zamknąć okno Shut down the system Properties.
Zauważyć, że w oknie szczegółów konsoli przy zasadzie Shut down the system widoczne są teraz grupy Administrators i Users. W wyniku powyższych działań również członkowie grupy Users będą mogli zamknąć system (po zastosowaniu tego szablonu).
W oknie szczegółów dla User Rights Assignment dwukrotnie kliknąć na pozycji Force shutdown from the remote system (Wymuszanie zamknięcia systemu z systemu zdalnego).
W oknie Force shutdown from the remote system Properties zaznaczyć pole Define these policy settings in the template i, nie definiując dla jakich kont/grup lokalnych użytkowników ma stosować się ta zasada, zatwierdzić.
W tym przypadku oznacza to deklarację, by żadne z kont użytkowników znajdujących się w zdalnym systemie nie posiadało prawa do zdalnego zamykania systemu (blokowanie zdalnych możliwości polecenia shutdown).
W drzewie konsoli wskazać dla szablonu templ-grupa Security Options, a w oknie szczegółów dwukrotnie kliknąć na pozycji Interactive logon: Do not display last username.
W oknie Interactive logon: Do not display last user name Properties zaznaczyć pola Define this policy settings in the template i Enabled oraz użyć OK.
Zauważyć, że w oknie szczegółów przy zasadzie Interactive logon: Do not display last user name wyświetlony jest napis Enabled.
W oknie szczegółów, dla templ-grupa w Security Options, dwukrotnie kliknąć na pozycji
Interactive logon: Message text for users attemting to log on.
W oknie Interactive logon: Message text for users attemting to log on zaznaczyć pole Define these policy settings in the template:, wprowadzić ustalony przez siebie tekst komunikatu i użyć przycisku OK.
W oknie szczegółów, dla templ-grupa w Security Options, dwukrotnie kliknąć na pozycji
Interactive logon: Message title for users attemting to log on.
W oknie Interactive logon: Message title for users attemting to log on zaznaczyć pole Define these policy settings in the template, wprowadzić ustalony przez siebie dowolny tekst tytulowy okna powitalnego i użyć przycisku OK.
Dokonać zapisu dokonanych zmian w szablonie wybierając z menu podręcznego szablonu templ-grupa opcję Save.

Ćwiczenie 16 (Analiza i konfiguracja zasad bezpieczeństwa komputera przy użyciu szablonu zabezpieczeń)

UWAGA: Wdrażanie istniejącego w systemie, zakupionego lub samodzielnie przygotowanego szablonu

zabezpieczeń jest jedną z możliwych dróg postępowania dla kompleksowego konfigurowania ustawień

zabezpieczeń. W praktyce, należy się liczyć z tym, że zajdzie konieczność dodatkowej ingerencji w wybrane

ustawienia zabezpieczeń różnych lokalnych systemów. Modyfikacji wybranych ustawień zabezpieczeń dokonuje się

przy użyciu edytora Group Policy Object Editor, a w nim, przez zastosowanie

Local Computer Policy - Computer Configuration - Windows Settings - Security Settings.

Dla przykładu, aby uchronić komputer przed możliwością zdalnego zamknięcia lub restartu należy wybrać Local Computer Policy - Computer Configuration - Windows Settings - Security Settings - Local Policy - User Rights Assignment.
W właściwościach zasady Force shutdown from the remote system zaznaczyć istniejący domyślnie wpis Administrators (potencjalnie może być więcej wpisów) i użyć Remove a następnie zatwierdzić.

Część I: Analiza zasad bezpieczeństwa - porównanie dwóch szablonów

W drzewie konsoli wybrać Security Configuration and Analysis. Zauważyć, że w oknie szczegółów pojawia się instrukcja dotycząca sposobu dalszego postępowania.
Wskazać prawym przyciskiem myszy Security Configuration and Analysis i z menu podręcznego wybrać polecenie Open Database...

W oknie Open database pozostawić domyślną lokalizację pliku w rubryce Look in: (d:\Documents and Settings\Administrator\My Documents\Security\Database) a w polu File name: wprowadzić szxxx, gdzie szxxx jest nazwą lokalnego komputera np. sz453 i użyć przycisku Open.

W pojawiającym się oknie Import Template, w polu Look in: wybrać d:\WINDOWS\security\templates i wskazać plik templ-grupa.inf oraz użyć przycisku Open.

Zauważyć, że w oknie szczegółów pojawia się informacja wskazująca na możliwość konfiguracji lub analizy systemu zabezpieczeń.

W drzewie konsoli wskazać prawym przyciskiem myszy Security Configuration and Analysis i z menu podręcznego wybrać polecenie Analyze Computer Now...

W pojawiającym się oknie Perform Analysis zaakceptować domyślną lokalizację (d:\Documents and Settings\Administrator\My Documents\Security\Logs) i nazwę - szxxx.log - pliku dziennika operacji a następnie wybrać przycisk OK.

Dzięki tej operacji następuje porównanie ustawień w przygotowanym szablonie templ-grupa z ustawieniami aktualnie obowiązującymi w systemie.
W oknie szczegółów Security Configuration and Analysis przejrzeć dla Local Policies zawartość User Rights Assignment i Security Options. Zauważyć, że w kolumnie Policy wyróżnione zostały, białym znakiem X na czerwonym okrągłym polu, te ustawienia, które były modyfikowane w Ćwiczeniu 15.
Otworzyć plik d:\Documents and Settings\Administrator\My Documents\Security\Logs\szxxx.log.
Wyszukać w tekście pozycje rozpoczynające się od słowa Mismatch (posłużyć się w menu Edit - Find).
Winno być znalezionych pięć pozycji dotyczących zmian wynikających z działań w Ćwiczeniu 15.

Część II: Zastosowanie nowych, wcześniej zdefiniowanych, zasad bezpieczeństwa komputera lokalnego

W oknie drzewa konsoli wskazać prawym klawiszem myszy Security Configuration and Analysis i wybrać polecenie Configure Computer Now.
W pojawiającym się oknie Configure System zaakceptować domyślną lokalizację (d:\Documents and Settings\Administrator\My Documents\Security\Logs) i nazwę - szxxx.log - pliku dziennika operacji a następnie użyć przycisku OK. Po zakończonej operacji dokonać przeglądu zawartości pliku szxxx.log np. wybierając View Log File z menu kontekstowego Security Configuration and Analysis.
W oknie drzewa konsoli wskazać prawym klawiszem myszy Security Configuration and Analysis i wybrać polecenie Analyze Computer Now...

W pojawiającym się oknie Perform Analysis zaakceptować lokalizację i nazwę - szxxx.log - pliku dziennika operacji (d:\Documents and Settings\Administrator\My Documents\Security\Logs) a następnie wybrać przycisk OK.
Po zakończeniu analizy, wybrać folder (dla sprawdzenia rezultatów w przypadku Security Options) Security Configuration and Analysis - Local Policies - Security Options.

Zauważyć, że w oknie szczegółów konsoli, w kolumnach Database Setting i Computer Setting wyróżnione zostały, zielonym znakiem * na tle białego koła, te ustawienia, które były modyfikowane w Ćwiczeniu 15. Wpisy w kolumnach Database Setting i Computer Setting dla tych ustawień są identyczne.

W drzewie otwartej konsoli wybrać z menu kontekstowego Local Computer Policy - Computer Configuration - Windows Settings - Security Settings opcję Reload i dokonać przeglądu zapisów w Local Policies - Security Options. Wpisy powinny uwzględniać dokonane wcześniej zmiany.
Zamknąć, zapisując !!! ustawienia, okno konsoli nazwisko-grupa.msc. Wylogować się.

Część III: Sprawdzenie skuteczności dokonanych zmian zabezpieczeń

Zalogować się jako bilbo-grupa. Sprawdzić: czy pojawiło się okno komunikatu z tytułem i treścią skonfigurowanymi wcześniej (powinno się pojawić) - jeżeli pojawiło się należy użyć przycisku OK; czy w oknie Log On to Windows wyświetlana jest nazwa ostatnio zalogowanego użytkownika (nie powinna się pojawić). Czy będąc zalogowanym jako bilbo-grupa można zamknąć system?
Wylogować się.
Poprosić, by użytkownik innego komputera w sieci podjął, będąc zalogowanym jako Administrator, próbę zdalnego zamknięcia „naszego” systemu przy użyciu (w Command Prompt) polecenia
shutdown -i. Próba winna się zakończyć niepowodzeniem. Po stronie użytkownika wydającego to polecenie powinien być wyświetlony (w Command Prompt) komunikat: nazwa_komputera: Access is denied.(5).
Jest to wynikiem zastosowania, zadeklarowanej (w Ćwiczeniu 15, punkt 4) zmiany domyślnych ustawień Force shutdown from the remote system i zastosowania tej zasady w Ćwiczeniu 16.

Ćwiczenie 17 (Przywrócenie lokalnych ustawień zabezpieczeń przy zastosowaniu
wcześniej zapisanego wzorca - przykład postępowania)

Zalogować się jako Administrator i otworzyć konsolę nazwisko-grupa.msc.
W oknie drzewa konsoli wskazać prawym klawiszem myszy Security Settings i wybrać polecenie Import Policy...
W oknie Import Policy From w polu Look in: wybrać d:\grupa a w polu File name: wybrać oryginal-2 i użyć przycisku Open.
W oknie drzewa konsoli wskazać prawym klawiszem myszy Security Settings i wybrać polecenie Reload.
Wylogować się.
Zalogować się ponownie jako Administrator. Zauważyć, że nie pojawia się okno z komunikatem oraz, że nazwa ostatnio zalogowanego użytkownika jest wyświetlana. Zostały przywrócone ustawienia zabezpieczeń do stanu systemu przed wykonaniem Ćwiczenia 16.

Ćwiczenie 18 [Dodatkowe] (Przeglądanie dziennika Event Viewer)

Będąc zalogowanym jako Administrator z menu Administrative Tools wybrać Event Viewer.
W oknie drzewa konsoli Event Viewer wybrać Security i dokonać przeglądu dziennika zwracając szczególną uwagę (w kolumnie Type) na wpisy Failure Audit. Zamknąć konsolę Event Viewer.

Ćwiczenie 19 (Porządki)

Będąc zalogowanym jako Administrator:

Otworzyć Command Prompt i uruchomić skrypt d:\zaj5\dekonfiguracja5.cmd wydając polecenie:
d:\zaj5\dekonfiguracja5.cmd nazwa_grupy_studenckiej
Warunkiem pełnego powodzenia operacji jest wykonanie, zgodnie z zamieszczonymi powyżej tokiem zajęć, ćwiczeń dotyczących uprawnień do plików i folderów (również operacji przejmowania na własność).
Nie usuwać !!! foldera d:\grupa.
Uruchomić Local Security Policies w Administrative Tools. W drzewie konsoli wybrać Security Settings - Local Policies - Audit Policy. W oknie szczegółów usunąć opcje Success i Failure ze wszystkich pozycji oprócz Audit account logon events (winno być tylko Success) i Audit logon events (winno być tylko Success).
Z menu kontekstowego Security Settings wybrać operację Reload.
Usunąć folder d:\zaj5 i niżej wymienione pliki:

d:\Documents and Settings\Administrator\Start Menu\Programs\Administrative Tools\nazwisko-grupa.msc
d:\WINDOWS\Security\Templates\templ-grupa
d:\Documents and Settings\Administrator\My Documents\Security\Database\szxxx.sdb
d:\Documents and Settings\Administrator\My Documents\Security\Logs\szxxx.log

Zamknąć system.

ZAJĘCIA 6 - ZAKRES PRAC I MATERIAŁY POMOCNICZE

ZAKRES PRAC

Rejestr systemu Windows Server 2003

Przeznaczenie i budowa Rejestru
Wartości w Rejestrze
Klucze główne Rejestru i reprezentacja Rejestru na dysku
Odczyt i modyfikacja zawartości Rejestru
Edytor Rejestru: regedit
Polecenie reg - narzędzie wiersza poleceń
Rozmiar Rejestru i jego porządkowanie
Ochrona dostępu do Rejestru
Kopie zapasowe Rejestru
Dodatkowe narzędzia do pracy z Rejestrem

Liczba ćwiczeń: 15

MATERIAŁY POMOCNICZE

Rejestr systemu Windows Server 2003

Przeznaczenie i budowa Rejestru

Rejestr jest zunifikowaną bazą danych konfiguracyjnych Windows Server 2003: obejmuje informacje dotyczące sprzętu, oprogramowania i użytkowników. Informacje te są wykorzystywane przez jądro systemu Windows Server 2003, programy obsługi urządzeń, programy instalacyjne, profile sprzętowe, profile użytkowników.
Organizacja i obsługa Rejestru Windows Server 2003 są wzorowane na Rejestrze Windows NT 4.0/2000
Rejestr ma budowę hierarchiczną podobną do struktury katalogów i plików na dysku. Składa się z poddrzew, umieszczonych w nich kluczy i podkluczy oraz wartości przypisanych kluczom i podkluczom. Na najwyższym poziomie organizacji Rejestru znajdują się poddrzewa (inaczej: klucze poddrzew nazywane też kluczami głównymi), które są jakby odpowiednikami głównych katalogów na oddzielnych dyskach. W poddrzewie umieszczone są klucze i podklucze, będące odpowiednikami katalogów i podkatalogów. Klucze lub podklucze mogą mieć przypisaną jedną lub więcej wartości. Taka wartość jest odpowiednikiem pliku w systemie plików.
Małe i duże litery w nazwach kluczy oraz wartości nie są rozróżniane, ale zalecane jest stosowanie się do sposobu zapisu tych nazw podawanego przez Microsoft w dokumentacjach Rejestru.

Wartości w Rejestrze

Wartość przypisana kluczowi (nazywana też czasem parametrem klucza lub wpisem) charakteryzuje się trzema atrybutami: nazwą wartości, typem danych oraz daną (czyli wartością nadaną wartości klucza). Jest pięć najważniejszych typów danych (REG_DWORD, REG_SZ, REG_EXPAND_SZ, REG_BINARY, REG_MULTI_SZ). W zapisie wartości przypisanych do klucza stosuje się notację, w której poszczególne atrybuty są rozdzielone symbolem dwukropka. Dla przykładu wartość Shell:REG_SZ:Explorer.exe oznacza wartość o nazwie Shell, typie danych REG_SZ, danej w postaci ciągu znaków Explorer.exe

Klucze główne Rejestru i reprezentacja Rejestru na dysku

Dodatkowe informacje na temat kluczy głównych można znaleźć w pliku klucze.doc.

W Rejestrze jest pięć predefiniowanych poddrzew (kluczy głównych):
HKEY_LOCAL_MACHINE - zawiera dane konfiguracyjne lokalnego systemu
HKEY_USERS - dane konfiguracyjne dla domyślnego użytkownika (w podkluczu .DEFAULT) oraz dla bieżąco zalogowanego użytkownika
HKEY_CURRENT_USER - zawiera dane o użytkowniku bieżąco zalogowanym w trybie interakcyjnym. Kopia danych tego typu (czyli profil użytkownika), dla każdego konta, które zostało użyte do zalogowania się na tym komputerze jest przechowywana w pliku Ntuser.dat w katalogu przeznaczonym na profil użytkownika.
HKEY_CLASSES_ROOT - definiuje typy plików i klas OLE znanych systemowi
HKEY_CURRENT_CONFIG - zawiera dane o aktualnej konfiguracji systemu zawarte w aktualnie używanym profilu sprzętowym
Najważniejsze są dwa pierwsze poddrzewa: HKEY_LOCAL_MACHINE i HKEY_USERS, następne trzy zawierają w istocie wskaźniki na odpowiednie podklucze w tych dwóch.
Hive (dosłownie: ul) jest zestawem kluczy, podkluczy i wartości, które mają swoją reprezentację w postaci plików binarnych przechowywanych w katalogu %systemroot%\system32\config. Jest pięć takich uli: Default, SAM, Security, Software, System. Stanowią więc one reprezentację Rejestru na dysku.

Odczyt i modyfikacja zawartości Rejestru

Informacje przechowywane w Rejestrze najlepiej jest wyświetlać w czytelnej postaci za pomocą odpowiednich narzędzi systemu Windows Server 2003 takich jak Control Panel, polecenie net, konsole MMC służące do administrowania systemem, czy polecenia informacyjne np. System Information (Accessories - System Tools - System Information, lub samodzielnie jako msinfo32.exe).
Modyfikacje zawartości Rejestru najlepiej jest wykonywać za pomocą:
- programów instalacyjnych
- Control Panel
- narzędzi do konfiguracji zasad grup i zabezpieczeń systemowych (Group Policy, Local Security Policy)
- programów do administrowania systemem (Administrative Tools, Administration Support Tools)
- skryptów WSH (metody: RegDelete, RegRead, RegWrite)
- użyciem mechanizmu WMI w skryptach lub polecenia wmic
- narzędzi dodatkowych takich jak Xteq-dotec X-Setup Pro
- jako ostatnie, najmocniejsze ale i potencjalnie najbardziej niebezpieczne narzędzie pozostaje edytor Rejestru lub jego odpowiednik działający w wierszu poleceń

Edytor Rejestru

Windows Server 2003 udostępnia jeden edytor Rejestru o nazwie regedit Jego możliwości są połączeniem cech dwóch edytorów Rejestru używanych w systemie Windows 2000 tzn. edytora regedit i regedt32.
(Porównanie cech tych dwóch edytorów jest zawarte w pliku Edytory-Rejestru-Win2k.doc)
Posługując się edytorem Rejestru trzeba zachować ostrożność, gdyż zmiany w Rejestrze są natychmiastowe i nie ma polecenia cofnięcia zmian. Edytor Rejestru nie oferuje również żadnych mechanizmów kontroli dopuszczalnego zakresu wprowadzanych danych w wartościach Rejestru ani weryfikacji nazw definiowanych kluczy i wartości. Microsoft ostrzega, że nieprawidłowe stosowanie edytora Rejestru może spowodować poważne problemy dotyczące całego systemu, co w konsekwencji może prowadzić do konieczności zainstalowania Windows Server 2003 od nowa.
Edytor regedit posiada następujące możliwości działania i cechy:

Dodawanie, usuwanie, modyfikacja kluczy i wartości (w tym danych binarnych)

Przeszukiwanie wg. klucza, wartości i danych

Obsługa głównych typów danych

Zmiana nazwy klucza i wartości; kopiowanie nazwy klucza

Zapis części lub całości Rejestru do plików (pliki binarne, pliku .reg) i odczyt z takich plików

Załadowanie lub zwolnienie (Load/Unload) części Rejestru, przechowywanej w pliku

Import i eksport (w różnych formatach) z wiersza poleceń

Auto odświeżanie (wartości)

Rozpoczynanie pracy z ostatnio używanym kluczem

Wydruk zawartości Rejestru; menu Ulubione (Favorites)

Administracja bezpieczeństwem Rejestru (uprawnienia dostępu, własność kluczy, inspekcja)

Praca ze zdalnym Rejestrem

Polecenie reg - narzędzie wiersza poleceń

Polecenie reg jest standardowym poleceniem systemu Windows Server 2003 (w Windows 2000 jest ono dostępne w zestawie Windows 2000 Support Tools) służącym do wykonywania z wiersza poleceń operacji na Rejestrze lokalnego komputera oraz (niektórych operacji) na Rejestrze zdalnego komputera.
Operacje realizowane za pomocą reg:
- odpytywanie (odczyt) (query),
- dodawanie lub usuwanie kluczy i wartości, nazywanych tu: wpisami (entries) (add, delete)
- eksport, import zawartości z plików .reg (export, import)
- kopia zapasowa, odtwarzanie zawartości z plików .hiv (save, restore)
- załadowanie, zwolnienie gałęzi Rejestru (load, unload)
- porównywanie kluczy i wpisów (compare)
- kopiowanie kluczy i wpisów (copy)

Rozmiar Rejestru i jego porządkowanie

W systemie Windows Server 2003 nie ma już jawnie zdefiniowanych ograniczeń na całkowitą wielkość miejsca, która może być zajęta przez hives Rejestru w tzw. stronicowanym obszarze pamięci (paged pool memory) ani na dysku. Jedynie rozmiar System hive jest ograniczony przez wielkość pamięci fizycznej.
(W systemie Windows 2000 dopuszczalny rozmiar Rejestru (Registry Size Limit, RSL) wynosi od 4MB do 80% tzw. PagedPoolSize.)
Zbędne i niepoprawne pozycje w Rejestrze można usunąć przy pomocy programu regclean bezpłatnie udostępnionego przez Microsoft. Przyjmuje się, że z systemem Windows 2000 oraz NT 4.0 SP5+ jest zgodna wersja 4.1a, Build 7364.1 programu regclean. Tego programu nie ma jednak już na stronach Microsofta
Znacznie większe możliwości porządkowania Rejestru daje bezpłatny program RegCleaner, przeznaczony dla różnych wersji systemów Windows (9x/Me, NT/2000/XP/2003) opracowany poza firmą Microsoft.
Do tego celu można także używać odpłatnych narzędzi takich jak RegSupreme czy Registry Mechanic.

Ochrona dostępu do Rejestru

Klucze Rejestru mają swojego właściciela oraz chronione są uprawnieniami dostępu (permissions) w analogiczny sposób jak pliki i katalogi w NTFS (choć uprawnienia dostępu są inne). Dla poszczególnych kluczy Rejestru można uruchomić mechanizm inspekcji (audit). Obsługa tych zabezpieczeń jest realizowana w edytorze regedit, w menu Edit - Permissions .
Można ograniczyć użytkownikom zdalny dostęp do Rejestru z innych komputerów oraz możliwość interakcyjnego korzystania z edytora Rejestru przez lokalnych użytkowników

Kopie zapasowe Rejestru i odtwarzanie Rejestru

Kopie zapasowe Rejestru mogą obejmować wybrane klucze Rejestru lub jego całość. Zalecane jest regularne wykonywanie kopii zapasowych Rejestru oraz wykonywanie ich przed dokonaniem edycji Rejestru lub instalacjami sprzętu lub oprogramowania.
Polecenie Backup (Accessories - System Tools - Backup) udostępnia opcję tworzenia kopii zapasowej Rejestru (w ramach tzw. System State Data) i jej odtwarzania. Wykonywanie kopii zapasowej stanu systemu (System State) powoduje też aktualizację kopii plików Rejestru przechowywanych w katalogu %SystemRoot%\Repair, które mogą być przydatne w ręcznych metodach odtwarzania Rejestru
Edytor Rejestru regedit oferuje możliwość zapisania w pliku części (lub całości) Rejestru i odtwarzania z takiego pliku, w szczególności oferuje możliwość eksportowania oraz importowania kluczy Rejestru poprzez pliki .reg
(Microsoft zaleca jednak, aby w przypadku konieczności wykonania kopii zapasowej całego hive Rejestru, nie stosować metody eksportu/importu, tylko wykonać kopię zapasową całości Rejestru (KB 322756))
Narzędzie wiersza poleceń do pracy z Rejestrem, polecenie reg, pozwala na wykonanie kopii zapasowej i odtworzenie części Rejestru.
Ręczne kopiowanie plików Rejestru: należy skopiować pliki Rejestru znajdujące się w katalogu %systemroot%\system32\config . Ze wzgl. na to, że podczas działania systemu pliki te są cały czas otwarte i w użyciu co uniemożliwia ich skopiowanie, należy taką operację wykonać posługując się innym zainstalowanym systemem operacyjnym lub narzędziem/środowiskiem zewnętrznym (np. uruchamianym z CD-ROM środowiskiem typu Preinstalled Environment) oferującym dostęp do tego systemu plików gdzie przechowywane są pliki Rejestru. Ręczne odtworzenie Rejestru wymaga wtedy skorzystania z podobnej metody.
Inne metody: a) zaawansowane opcje uruchamiania systemu (klawisz [F8] podczas startu) i wybranie Last Known Good Configuration daje ograniczone możliwości odtworzenia ustawień Rejestru tzn. ustawień tylko dla klucza HKLM\SYSTEM\CurrentControlSet związanego z konfiguracją sprzętową komputera.
b) Mechanizm Automated System Recovery (ASR) odtwarzania działania całego systemu.

Dodatkowe narzędzia do pracy z Rejestrem

Windows 2000 Resource Kit zawiera szereg dodatkowych narzędzi do obsługi Rejestru:
- RegEntry.chm najbardziej kompletny opis (w formie pliku przeglądanego przez Help) kluczy i wartości Rejestru, także tych, które standardowo nie występują w Rejestrze
- polecenia regback i regrest służące do robienia kopii zapasowej i odtwarzania Rejestru
- polecenia scanreg do przeszukiwania oraz regfind do przeszukiwania i zastępowania łańcuchów w Rejestrze
- polecenie regdmp służące do uzyskania zawartości Rejestru na ekranie, w pliku lub na drukarce
- polecenie dureg do znajdowania rozmiaru Rejestru, kluczy głównych lub innych kluczy

Wszystkie te polecenia działają w wierszu poleceń.
W systemie Windows Server 2003 aspekty użytkowe poleceń regback, regrest, regdmp oraz regfind zostały zintegrowane z poleceniem reg (na podstawie: Windows Resource Kit Tools Read Me)
Obszerna dokumentacja Microsoft Windows Server 2003 Deployment Kit (4000 stron, 6 tomów, 3 CD-ROM-y) obejmuje m.in. Registry Reference for Windows Server 2003 czyli techniczny podręcznik referencyjny (z możliwością przeszukiwania) zawierający drobiazgowy opis wybranych części Rejestru systemu Windows Server 2003 - z uwzględnieniem wielu wartości (wpisów) Rejestru, które mogą być definiowane tylko za pomocą edytora Rejestru - oraz opisuje metody wykonywania kopii zapasowych i odtwarzania Rejestru a także zalecenia dotyczące edycji Rejestru.

Microsoft Windows Server 2003 Resource Kit wydany w maju 2005r. (5000 stron, 7 tomów, 1 CD-ROM) zawiera m.in. Microsoft Windows Registry Guide, sec. ed.

ZAJĘCIA 6 - ĆWICZENIA

Ćwiczenie 1 (Przygotowania)

Zalogować się jako Administrator w Windows Server 2003 Instalacja standardowa.
Z zasobów WS2003Lab skopiować do katalogu głównego lokalnego dysku cały folder lab2006\zaj6
z zachowaniem jego nazwy zaj6.
Założyć konto użytkownika o nazwie ntrej, z hasłem ntrej, mającym katalog osobisty d:\ntrej. Zrezygnować z wymogu: User must change password at next logon.
Użytkownik ntrej ma należeć do grupy Users.
Zalogować się jako użytkownik ntrej, sprawdzić powstanie katalogu d:\ntrej, oraz upewnić się, że ten katalog ma zdefiniowane uprawnienie dostępu Full Control dla grupy Administrators oraz użytkownika ntrej oraz nie ma zdefiniowanych uprawnień dostępu dla grupy Everyone.

Ćwiczenie 2 (Wyeksportowanie kluczy przed ich modyfikacją w dalszych ćwiczeniach)

Domyślny sposób eksportowania kluczy z edytora regedit do plików tekstowych *.reg czyli eksport w standardzie Registry Editor Version 5.00 powoduje, że niektóre ważne narzędzia do przetwarzania plików tekstowych
(np. findstr ) nie działają poprawnie.
Przyczyną w/w problemu jest zapisywanie plików tekstowych w standardzie Unicode. Z taką postacią plików radzą sobie inne polecenia Windows Server 2003 tzn. find oraz fc (z opcją /U).

Zalogować się jako Administrator. Uruchomić edytor Rejestru, program regedit (Start - Run lub w oknie wiersza poleceń).
Wyeksportować do pliku klucz HKEY_LOCAL_MACHINE\SOFTWARE w następujący sposób: w oknie programu regedit zaznaczyć (podświetlić) w/w klucz, wybrać w menu File pozycję Export..., w polu Save in wybrać d:\ntrej, w polu File name wpisać nazwę szXXX.hklm.software, (gdzie szXXX oznacza używany komputer), w polu Save as type zostawić domyślną wartość Registration Files (*.reg), natomiast w rubryce Export range powinno być zaznaczone Selected branch oraz wpisane HKEY_LOCAL_MACHINE\SOFTWARE, nacisnąć przycisk Save. W efekcie powinien powstać plik d:\ntrej\szXXX.hklm.software.reg (zostanie automatycznie dołożone rozszerzenie .reg).

Innym sposobem eksportowania kluczy jest ich zapisywanie w binarnych plikach, nazywanych plikami hive. W niektórych sytuacjach odtwarzanie zawartości Rejestru z takich plików jest skuteczniejsze niż odtwarzanie z plików tekstowych *.reg.

Wyeksportować do pliku binarnego d:\ntrej\szXXX.hku.default.hiv klucz HKEY_USERS\.DEFAULT, postępując jak w p. 1), za wyjątkiem określenia typu pliku, tzn. w polu Save as type wybrać Registry Hive Files (*.*) a w polu File name jawnie wpisać pełną nazwę pliku łącznie z rozszerzeniem .hiv.
Zakończyć pracę z edytorem Rejestru regedit.

Ćwiczenie 3 (Wyszukiwanie informacji w Rejestrze)

Pracując jako Administrator, uruchomić z okna wiersza poleceń edytor Rejestru regedit. Posługując się nim w sposób opisany niżej, odnaleźć klucz(-e) o nazwie CentralProcessor w poddrzewie Rejestru HKEY_LOCAL_MACHINE (w skrócie HKLM):

W edytorze regedit zaznaczyć poddrzewo HKLM, wybrać menu Edit - Find... (lub nacisnąć [Ctrl+F]),
w polu Find what wpisać CentralProcessor, w rubryce Look at zaznaczyć tylko Keys, oraz zaznaczyć Match whole string only, po czym nacisnąć przycisk Find Next. Kolejne wystąpienia poszukiwane są po wybraniu Edit - Find Next (lub naciśnięciu klawisza [F3]).
Używając regedit, w poddrzewie HKLM wykonać poszukiwanie wartości (wpisu) o nazwie Hostname (w polu Find what wpisać Hostname, w rubryce Look at zaznaczyć jedynie Values, zaznaczyć Match whole string only, ponawiać poszukiwania klawiszem [F3]).
Powtórzyć takie poszukiwania bez zaznaczania opcji Match whole string only (powinno być znalezionych więcej elementów).
Używając regedit odnaleźć w poddrzewie HKLM dane przypisane wartościom kluczy (czyli wartości przypisane wartościom kluczy) odpowiadające nazwie używanego komputera szXXX (w polu Find what wpisać szXXX, w rubryce Look at zaznaczyć jedynie Data, zaznaczyć Match whole string only, ponawiać poszukiwania klawiszem [F3])
Powtórzyć takie poszukiwania bez zaznaczania opcji Match whole string only.
Informacje przechowywane w Rejestrze mogą być zapisane do plików tekstowych, co pozwala m.in. na wykonanie poszukiwań poprzez przejrzenie takiego pliku. Pliki tekstowe utworzone przez regedit mogą także posłużyć do zmodyfikowania zawartości Rejestru dzięki użyciu operacji importowania (por. Ćw 5, 11, 15).

a) Używając regedit, odpowiedni plik tekstowy tworzony jest poleceniem File - Export... jak w p.1 Ćw.2. Wyeksportować klucz główny (poddrzewo) HKLM do pliku d:\ntrej\r.reg

b) Używając regedit, można operacją eksportu utworzyć plik tekstowy zgodny z wymogami Rejestru starszych systemów Windows, czyli plik w tzw. standardzie REGEDIT4.
Wyeksportować klucz główny (poddrzewo) HKLM do pliku d:\ntrej\r-nt4.reg w sposób jak w p. a) lecz w polu określającym typ pliku, tzn. w polu Save as type wybrać Win9x/NT4 Registration Files (*.reg).
Największe możliwości przeszukania plików tekstowych uzyskuje się w Windows Server 2003 za pomocą polecenia findstr (podpowiedź: findstr /?). Aby odnaleźć wiersze pliku tekstowego zawierające napis CentralProcessor lub Hostname lub szXXX należy wydać w oknie wiersza poleceń następujące polecenie:
findstr /N "CentralProcessor Hostname szXXX" nazwa-pliku
Wykonać to dla pliku tekstowego otrzymanego w p. 4b) po eksporcie w standardzie REGEDIT4 tzn. dla pliku d:\ntrej\r-nt4.reg

Polecenie findstr nie obsługuje prawidłowo plików tekstowych Unicode. Dlatego, aby zastosować to polecenie do pliku eksportu d:\ntrej\r.reg otrzymanego w p. 4a) należy posłużyć się obejściem polegającym na użyciu potoku poleceń wykorzystującego polecenie type, które (przy domyślnych opcjach pracy interpretera CMD.EXE) dokonuje automatycznej konwersji pliku Unicode na plik ASCII np.:
type d:\ntrej\r.reg | findstr /N "CentralProcessor Hostname szXXX"

Ćwiczenie 4 (Odnajdowanie zmian w Rejestrze)

Jednym ze sposobów sprawdzania jakie zmiany zaszły w Rejestrze, jest porównywanie jego zawartości zapisanej w plikach tekstowych przed i po wprowadzeniu zmian. W ćwiczeniu odnajdowane będą modyfikacje klucza HKEY_USERS\.DEFAULT (w skrócie HKU\.DEFAULT)

Pracując jako Administrator uruchomić edytor regedit i posługując się nim zapisać do pliku
d:\ntrej\a-przed.reg zawartość klucza HKU\.DEFAULT.
Używając edytora regedit przejść do podklucza HKU\.DEFAULT\Control Panel\Desktop. Zmienić w nim wartość o nazwie Wallpaper z (None) - lub innej, aktualnie obowiązującej - na d:\windows\greenstone.bmp (ta wartość określa tapetę wyświetlaną na ekranie zanim zaloguje się jakiś użytkownik) zaznaczając tę wartość w prawym okienku, po czym dwukrotnie klikając na niej lub wybierając Edit - Modify, pojawi się wtedy okienko Edit string, wpisując nową wartość w polu Value data i naciskając przycisk OK.
Używając regedit zapisać klucz HKU\.DEFAULT w pliku d:\ntrej\a-po.reg.
Porównywanie plików tekstowych wykonuje się w Windows Server 2003 poleceniem fc (podpowiedź fc /?). Aby porównać dwa pliki tekstowe plik1 i plik2 , zapisane w standardzie Unicode, wyświetlając różniące je wiersze wraz z numerami takich wierszy, trzeba wykonać w oknie wiersza poleceń polecenie:
fc /U /L /N plik1 plik2 | more
Porównać w ten sposób parę utworzonych w tym ćwiczeniu plików tzn.: d:\ntrej\a-przed.reg i d:\ntrej\a-po.reg.
Powinny być wyświetlone różnice w ustawieniu wartości Wallpaper.
[Dodatkowe] Do porównywania plików tekstowych można też wykorzystać okienkowe polecenie windiff dostępne w zestawie Windows Server 2003 Support Tools. Dla potrzeb tych zajęć zostało ono umieszczone w katalogu \zaj6\tools.
Uruchomić to polecenie w celu porównania zawartości obydwu plików:
\zaj6\tools\windiff d:\ntrej\a-przed.reg d:\ntrej\a-po.reg
Powinny być wyświetlone różnice, sygnalizowane odpowiednimi kolorami, w ustawieniu wartości Wallpaper.

Ćwiczenie 5 (Modyfikacja Rejestru w trybie wsadowym, z podglądem na bieżąco)

Edytor regedit może być użyty do wprowadzania modyfikacji w Rejestrze na podstawie definicji umieszczonych w pliku tekstowym (*.reg), oraz obsługuje automatyczne odświeżanie wyświetlania wartości lokalnego Rejestru.

Pracując jako Administrator obejrzeć w Notepad zawartość pliku \zaj6\PlainPassword.reg -- zawiera on definicję wartości o nazwie EnablePlainTextPassword w podkluczu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxSmb\Parameters, który decyduje o tym, czy Windows Server 2003 prześle (jeśli zażąda tego serwer SMB) w sieci hasło w formie czystego tekstu (gdy równe 1) czy jedynie w postaci zaszyfrowanej (gdy 0).

Skopiować ten plik dwa razy: raz do d:\ntrej\pass0.reg drugi raz jako d:\ntrej\pass1.reg. Zmodyfikować za pomocą notepada plik pass0.reg, aby dana miała postać 00000000, natomiast pass1.reg ma zawierać daną w postaci 00000001.
Uruchomić edytor regedit, oraz ustawić się na wyświetlanie podanego wyżej podklucza.
Otworzyć okno wiersza poleceń tak, aby nie zasłaniać okna regedit. Wydać w nim polecenie regedit /s d:\ntrej\pass0.reg i zaobserwować w oknie edytora regedit zmianę danej dla wartości EnablePlainTextPassword. Wydać polecenie regedit /s d:\ntrej\pass1.reg
i ponownie zaobserwować zmianę w oknie regedit.
(Opcja /s w regedit powoduje, że nie jest wyświetlane okienko potwierdzające wprowadzenie informacji do Rejestru)

Ćwiczenie 6 [Dodatkowe] (Modyfikacja Rejestru - uzupełnianie nazw plików)

Zalogować się jako ntrej. Niżej opisana modyfikacja Rejestru daje taki sam efekt jak domyślnie obowiązujące zaznaczenie opcji AutoComplete w ustawieniach Defaults okna wiersza poleceń (zakładka Options, rubryka Edit Options). Jeśli jest zaznaczona opcja AutoComplete to wyłączyć ją.
W systemie Windows 2000 nie ma opcji AutoComplete.

Następnie używając edytora regedit, zmodyfikować w podkluczu HKEY_CURRENT_USER\SOFTWARE\Microsoft\Command Processor, wartość o nazwie CompletionChar, zmieniając daną przypisaną tej wartości z 0 (lub 20) na 9 (tzn. kod ASCII znaku tabulacji poziomej). Zamknąć edytor Rejestru.
Wylogować się i zalogować ponownie jako ntrej. Otworzyć okno wiersza poleceń i wydać w nim polecenie:
cd \Win[TAB]\s[TAB]\dr[TAB], gdzie celem jest dotarcie do katalogu d:\Windows\system32\drivers,
zaś [TAB] oznacza naciśnięcie klawisza tabulacji. Czasami naciśnięcie klawisza [TAB] trzeba ponawiać, jeśli początek nazwy pliku czy katalogu pasuje do kilku nazw, np. s[TAB] pasuje do system i system32.
W podobny sposób wyświetlić zawartość katalogu d:\Documents and Settings\ntrej, wydając polecenie
dir \Do[TAB]\nt[TAB]

Ćwiczenie 7 (Modyfikacja Rejestru - indywidualne komunikaty logowania)

Pracując jako Administrator, uruchomić regedit i w kluczu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, zmodyfikowac dwie wartości. Wartość LegalNoticeCaption określa tytuł dodatkowego okna (wpisujemy tu: Powitanie na szXXX) w którym będzie wyświetlony komunikat, natomiast LegalNoticeText określa treść tego komunikatu, czyli zawartość dodatkowego okna (wpisujemy tu np.: Ten komputer szkoleniowy nalezy do WSISIZ).
Zakończyć pracę z edytorem Rejestru, wylogować się z systemu, w razie potrzeby nacisnąć [Ctrl+Alt+Del] i przed wyświetleniem okna logowania powinno pojawić się dodatkowe okno ze zdefiniowanym uprzednio komunikatem.

Ćwiczenie 8 (Zdalna praca z Rejestrem)

Edytor Rejestru pozwala na oglądanie i modyfikowanie zawartości Rejestru na zdalnym komputerze.
(Istnieje także możliwość ograniczenia zdalnego dostępu do Rejestru)
Przykładowe modyfikacje w tym ćwiczeniu mają za zadanie wyświetlić w górnej części okna logowania przywitanie zawierające nazwę komputera.

Pracując jako Administrator, uruchomić edytor regedit. Standardowo w węźle o nazwie My Computer, wyświetla on zawartość lokalnego Rejestru.
Do zdalnego Rejestru sięga się poprzez menu File - Connect Network Registry.... Wybrać komputer innego użytkownika na sali (uzgadniając to z nim) i w polu Enter the object name to select okienka Select Computer wpisać jego nazwę szYYY (można też w formie \\szYYY , lub naciskając przycisk Advanced... a potem Find Now wybrać ze spisu) i nacisnąć OK.
W oknie edytora regedit powinien pojawić się węzeł o nazwie szYYY .
Modyfikacje wykonywane są na podkluczu
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.

Podświetlić (zaznaczyć) ten klucz w Rejestrze zdalnego komputera.
Dodać nową wartość (lub tylko zmodyfikować jeśli już istnieje) używając Edit - New - String Value, (czyli wartość o typie danych REG_SZ), o nazwie LogonPrompt.
Zmodyfikować tę wartość podświetlając ją i wybierając Edit - Modify lub dwukrotnie klikając. W rubryce Value data: wpisać daną w postaci napisu Welcome to szYYY.wsisiz.edu.pl.
Odłączyć połączenie do Rejestru na zdalnym komputerze szYYY (File - Disconnect Network Registry...).
Zakończyć pracę z regedit.

(Uwaga: dodawanie, usuwanie i modyfikację klucza lub wartości można także wykonywać po zaznaczeniu takiego elementu i wybraniu stosownej czynności z menu kontekstowego wyświetlanego po naciśnięciu prawego przycisku myszy.)
Poprosić użytkownika komputera szYYY aby zakończył sesję i wylogował się. Po naciśnięciu [Ctrl+Alt+Del] i wyświetleniu się okna logowania na szYYY, zaobserwować, że w górnej części pojawił się komunikat powitalny z nazwą komputera szYYY (czyli Welcome to ...).

Nie wszystkie modyfikacje wykonane na zdalnym (i lokalnym) Rejestrze odniosą bezpośredni skutek. Na przykład próba zmodyfikowania wpisów w Rejestrze odpowiadających za dostępność przycisku Shutdown... lub wyświetlanie nazwy ostatnio zalogowanego użytkownika nie odniesie skutku w Windows Server 2003. Wynika to z faktu, że aspektami bezpieczeństwa systemu rządzą tzw. Zasady Grup (Group Policy), które w systemie Windows Server 2003 są ustawiane m.in. przez Administrative Tools - Local Security Policy. Ustawienia przyjęte w zasadach grup przesłaniają ustawienia zapisane w Rejestrze.

Ćwiczenie 9 (Modyfikacja Rejestru - zmiana używanego shella)

W momencie rozpoczynania sesji przez użytkownika, uruchamiany jest przydzielony mu shell (powłoka) . Standardowo jest nim Explorer, łącznie z paskiem zadań i pulpitem z zawartością. Ten shell można jednak zmienić np. na shell wzorowany na graficznych środowiskach systemu UNIX (LiteStep naśladujący AfterStep, evwm naśladujący fvwm itd.) dostępny w Internecie (Replace the Shell, http://shellcity.net). Można tez wykorzystać istniejące w Windows Server 2003 inne narzędzia do takiej podmiany.

(Zmiana globalna) Pracując jako Administrator zmienić w kluczu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, wartość o nazwie Shell, z Explorer.exe na pusty ciąg znaków. Wylogować się i zalogować kolejno jako ntrej i Administrator. Po rozpoczęciu sesji powinien zostać "pusty" ekran.
Aby naprawić sytuację pracując jako Administrator nacisnąć [Ctrl+Alt+Del], wybrać Task Manager, kartę Applications, przycisk New Task... (lub w menu File, pozycję New task (Run..) ) i w polu Open wpisać regedit.
Przywrócić ustawienie explorer.exe dla wartości Shell powyższego klucza.
(Zmiana indywidualna) Zalogować się jako ntrej, uruchomić regedit dodać nową wartość o nazwie Shell, typie danych REG_SZ (czyli String Value), i danej cmd.exe w kluczu HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. Wylogować się i zalogowac ponownie jako ntrej - uruchomionym programem startowym powinno być okno wiersza poleceń.

Ćwiczenie 10 (Ograniczanie modyfikacji Rejestru i zmiana ustawień użytkownika w Rejestrze)

(Zabronienie użytkownikowi korzystania z narzędzi do obsługi Rejestru) Zalogować się jako Administrator. Uruchomić edytor regedit. Podświetlić klucz główny HKEY_USERS. W menu File wybrać Load Hive..., i jako plik podać ntuser.dat w d:\Documents and Settings\ntrej oraz nacisnąć Open.
W polu Key Name wpisać nazwę nowego klucza np. ntrej (może być inna, nie związana z użytkownikiem, np. nowy123).
W powstałym kluczu ntrej, wyszukać podklucz \SOFTWARE\Microsoft\Windows\CurrentVersion\Policies Jeśli nie istnieje w nim podklucz System, to należy go utworzyć (Edit - New - Key). W podkluczu System utworzyć (lub zmienić) wartość o nazwie DisableRegistryTools, typ REG_DWORD (Edit - New - DWORD Value) i ustawić ją na 1.
Zaznaczyć klucz HKEY_USERS\ntrej i z menu File wykonać Unload Hive...
Zalogować się jako ntrej, powinno uruchomić się okno wiersza poleceń. Spróbować uruchomić regedit - ta próba powinna być odrzucona, co jest sygnalizowane komunikatem Registry editing has been disabled by your administrator.
(Uwaga: również próba użycia polecenia reg opisanego w Ćw. 12 nie powinna się udać)
Zalogować się jako Administrator, uruchomić regedit. Podświetlić poddrzewo HKEY_USERS, wykonać File - Load Hive.. i załadować zawartość pliku D:\Documents and Settings\ntrej\NTUSER.DAT pod nazwę nowego klucza ntrej jak w punkcie 1 tego Ćwiczenia.
Zmienić wartość Shell z cmd.exe na explorer.exe w podkluczu
HKEY_USERS\ntrej\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Zaznaczyć klucz HKEY_USERS\ntrej, wykonać File - Unload Hive.., zamknąć regedit.
Po zalogowaniu jako ntrej, powinna wystartować standardowa sesja Windows Server 2003 z Explorerem.

Ćwiczenie 11 [Dodatkowe] (Porządkowanie Rejestru - program RegCleaner)

Zalogować się jako Administrator. Zainstalować program RegCleaner (wersja 4.3) używając pliku \zaj6\clean\RegCleaner.exe, wybierając typ instalacji Normal oraz jako katalog instalacyjny domyślnie proponowany D:\Program Files\RegCleaner.
Na pulpicie powinna pojawić się ikona skrótu do programu RegCleaner.
Uruchomić program RegCleaner. Oferuje on rozbudowane możliwości usuwania wpisów w Rejestrze w oparciu o zakładki Software, Startup List, Uninstall Menu, File Types, New File i Shell Extensions jeśli użytkownik wie co chciałby usunąć (ew. odinstalować).
Jest tez możliwość automatycznego porządkowania Rejestru. W menu Tools wybrać Registry Cleanup - Automatic Registry cleaner. Po chwili powinien być wyświetlony spis zbędnej zawartości Rejestru. Przejrzeć ten spis po czym zaznaczyć wszystkie jego pozycje i nacisnąć przycisk Remove Selected (w prawym dolnym rogu). Następnie nacisnąć przycisk Done.
Ponownie wykonać operacje automatycznego porządkowania Rejestru (Tools - Registry Cleanup - Automatic Registry cleaner). Tym razem spis pozycji do usunięcia powinien być pusty.
W podkatalogu Backups katalogu instalacyjnego programu RegCleaner powinien pojawić się plik yyyy.mm.dd.hh.mm.ss.ZZZZ.reg, który umożliwia przywrócenie Rejestru do stanu sprzed przebiegu RegCleaner (nazwa pliku może mieć inną postać, ze wzgl. na sposób kodowania daty).
Zajrzeć do tego pliku wybierając Edit z jego menu kontekstowego.
Przywrócić poprzedni stan Rejestru zaznaczając w zakładce Backups programu RegCleaner plik utworzony w p.2 tego Ćwiczenia i naciskając przycisk Restore Backup
(Inny sposób to: pracując w Explorerze, klikając dwukrotnie na tym pliku, można przywrócić poprzedni stan Rejestru.)
Odinstalować program RegCleaner wybierajac w zakładce Options - RegCleaner pozycję Unistall RegCleaner.

Ćwiczenie 12 (Polecenie reg - praca z Rejestrem w wierszu polecenia)

Celem ćwiczenia jest takie zmodyfkowanie Rejestru, aby w menu kontekstowym foldera przeglądanego za pomocą Explorera była dostępna opcja uruchamianie okna wiersza polecenia w tym folderze (taka możliwość jest znana zwykle pod nazwą CMD Here).
Modyfikacje będą dotyczyć klucza HKEY_CLASSES_ROOT\Folder\shell (czyli w notacji polecenia reg klucza HKCR\Folder\shell).

Pracując jako Administrator otworzyć okno wiersza poleceń i przejść do katalogu d:\zaj6.
Polecenie reg wyświetla podpowiedzi po użyciu opcji /?, np.:
reg /?
reg query /?
Wyświetlić zawartość klucza HKCR\Folder\shell:
reg query HKCR\Folder\shell
(powinny w nim być m.in. podklucze open i explore)
oraz ponownie ze wszystkimi podkluczami i wartościami:
reg query HKCR\Folder\shell /s
Dodać nowy podklucz grupa\command (gdzie grupa to nazwa grupy studenckiej, np. id213):
reg add HKCR\Folder\shell\grupa\command
Dodać nową wartość (nie mającą nazwy) definiującą napis pojawiający się w menu kontekstowym:
reg add HKCR\Folder\shell\grupa /ve /t REG_SZ
/d ”CMD zrobiony przez grupa”
oraz zmodyfikować wartość (również nie mającą nazwy, dlatego używana jest opcja /ve) definiującą postać uruchamianego polecenia (akceptując komunikat ostrzegawczy o konieczności nadpisania istniejącej już wartości) :
reg add HKCR\Folder\shell\grupa\command /ve /t REG_SZ
/d ”d:\windows\system32\cmd.exe /k cd \”%l\” ”
(Uwaga: l powyżej to litera 'el')

Sprawdzić poprawność operacji wykonując:
reg query HKCR\Folder\shell\grupa /s
Uruchomić Explorer, przejść do foldera D:\Documents and Settings, wyświetlić menu kontekstowe prawym przyciskiem myszy. Powinna być w nim pozycja CMD zrobiony przez ..... Po jej wybraniu powinno uruchomić się okno wiersza poleceń z katalogiem bieżącym D:\Documents and Settings.
Pracując w oknie wiersza poleceń w katalogu d:\zaj6, wyeksportować zdefiniowany podklucz:
reg export HKCR\Folder\shell\grupa grupa.reg
Usunąć zdefiniowany podklucz:
reg delete HKCR\Folder\shell\grupa
Zaimportować zawartość pliku grupa.reg:
reg import grupa.reg

Sprawdzić poprawność operacji wykonując:
reg query HKCR\Folder\shell\grupa /s
Ponownie usunąć klucz jak w p 5.

Ćwiczenie 13 [Dodatkowe] (Inne możliwości polecenia reg )

Polecenie reg pozwala wykonać dwie operacje, których nie ma w edytorze regedit: porównanie kluczy oraz kopiowanie kluczy łącznie z ich zawartością. Te operacje mogą być wykonywane na lokalnym i zdalnym Rejestrze.

Pracując jako Administrator użyć edytora regedit aby dodać nową wartość o nazwie NAZWISKO i typie REG_SZ w kluczu HKEY_USERS\.DEFAULT\Environment (czyli HKU\.DEFAULT\Environment). Jako daną dla tej wartości przypisać swoje nazwisko.
Gdy partner pracujący na drugim komputerze w zespole (szYYY) wykona taką modyfikację, użyć polecenia reg do porównania postaci kluczy na lokalnej i zdalnej maszynie:
reg compare \\szYYY\HKU\.DEFAULT\Environment \\. /s

Powinny być wyświetlone różnice w ustawieniach wartości NAZWISKO.
Skopiować klucz łącznie z całą zawartością do klucza HKEY_CURRENT_USER\Environment:
reg copy \\szYYY\HKU\.DEFAULT\Environment HKCU\Environment\grupa /s
gdzie grupa to nazwa grupy studenckiej.
Używając edytora regedit, obejrzeć zawartość klucza HKEY_CURRENT_USER\Environment, powinien pojawić się w nim podklucz grupa z zawartością pochodzącą z komputera szYYY.
Usunąć podklucz grupa .

Ćwiczenie 14 [Dodatkowe] (X-Setup Pro)

Używając pliku \zaj6\x-setup\xqdcxsp-setup-en-6.5.zip zainstalować bezpłatne narzędzie konfiguracyjne systemów Windows 95/98/Me oraz NT4/2000/XP/2003 czyli program X-Setup Pro (wersja 6.5).
Jest to bardzo wygodne i rozbudowane narzędzie konfiguracyjne, którego działania przekładają się na modyfikowanie zawartości Rejestru.

Po uruchomieniu programu X-Setup Pro w trybie Classic, upewnić się, ze w ustawieniach File - Options - Display Plug-ins jest zaznaczona pozycja Display only plug-ins that match the current Operating System.
Jeśli tak jest, to program X-Setup Pro będzie prezentował tylko te wtyczki (plug-ins), które wg. jego twórców mają zastosowanie do systemu Windows Server 2003 (a niektóre z nich także do innych wersji Windows).

(Identyfikacja wtyczek możliwych do wykorzystania w konkretnej odmianie systemu MS Windows jest wykonywana na podstawie parametru OSVERSION w pliku źródłowym wtyczki (pliki .xpl, przykładowy plik XQ AMD Win2k Check.xpl). Ten parametr ma postać siedmiu cyfr zero-jedynkowych. Jeśli na siódmym miejscu występuje jedynka, to znaczy, że wtyczka może być użyta w Windows Server 2003. Jeśli parametr OSVERSION nie jest zdefiniowany, to wtyczka może być użyta we wszystkich wersjach systemów MS Windows)

Zapoznać się z programem.
Odinstalować ten program (Control Panel - Add or Remove Programs ).
Nowsza wersja programu X-Setup Pro (wersja 7.0) umieszczona w pliku \zaj6\x-setup\xqdcxsp-setup-en-7.0.zip jest już wersją typu shareware. Jej możliwości zostały rozbudowane. Wtyczki zostały przepisane na język XML i są przechowywane w plikach .xppl (przykładowy plik XQ AMD Win2k Check.xppl). Identyfikacja wtyczek możliwych do wykorzystania w konkretnej odmianie systemu MS Windows jest wykonywana na podstawie znacznika <xspitem-osversion> w którym jawnie wymieniane są oznaczenia dopuszczalnych wersji systemów Windows np. <win2003>1</win2003>. Jeśli znacznik <xspitem-osversion> nie jest zdefiniowany, to wtyczka może być użyta we wszystkich wersjach systemów MS Windows.

Ćwiczenie 15 (Porządki)

Pracując jako Administrator, zaimportować plik d:\ntrej\szXXX.hklm.software.reg (utworzony w punkcie 1 Ćwiczenia 2). Można to zrobić poleceniem regedit nazwa-pliku, albo uruchamiając regedit, wybierając w menu File polecenie Import ... oraz podając ścieżkę i nazwę pliku, albo w Explorerze dwukrotnie klikając na nazwie pliku.
Używają edytora regedit zaimportować binarny plik hive (utworzony w punkcie 2 Ćwiczenia 2) w następujący sposób: podświetlić klucz HKEY_USERS\.DEFAULT, w menu File wybrać Import... , w rubryce Files of type wybrać Registry Hive Files (*.*) , po czym wskazać plik d:\ntrej\szXXX.hku.default.hiv i zaakceptować. W okienku Confirm Restore Key zaakceptować komunikat ostrzegawczy: The key will be restored on top of key: .DEFAULT. All value entries and subkeys of this key will be deleted.
Używając regedit usunąć wartość LogonPrompt w HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon która mogła się tu pojawić po Ćwiczeniu 8.
Usunąć konto użytkownika ntrej.
Usunąć katalog d:\ntrej.
Usunąć wszystkie profile użytkownika o nazwie Account Unknown z zakładki Control Panel - System - Advanced - ramka User Profiles - przycisk Settings.
Usunąć katalog d:\zaj6 łącznie z całą zawartością.