Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00161 008413 10461136 na godz. na dobę w sumie
Windows Server 2003. Podręcznik administratora - książka
Windows Server 2003. Podręcznik administratora - książka
Autor: , Liczba stron: 264
Wydawca: Helion Język publikacji: polski
ISBN: 83-7361-421-4 Data wydania:
Lektor:
Kategoria: ebooki >> komputery i informatyka >> systemy operacyjne >> windows server
Porównaj ceny (książka, ebook, audiobook).

'Windows Server 2003. Podręcznik administratora' to książka opisująca najważniejsze kwestie związane z zarządzaniem systemem Windows Server 2003 i rozwiązywaniem dotyczących go problemów. Opisuje ona ponad 160 zadań administracyjnych, wraz z zalecaną częstotliwością wykonywania każdego z nich. Rozpoczyna się przedstawieniem ogólnych działań, które należy podjąć w przypadku wszystkich serwerów, niezależnie od roli, jaką pełnią. Omówione zostały również jednorazowe zadania, które musimy wykonać, aby odpowiednio przygotować środowisko administracyjne. Opisano ponadto klastry serwerów, a także serwery zarządzające infrastrukturą sieciową, w skład których wchodzą DHCP (Dynamic Host Configuration Protocol) i WINS (Windows Internet Naming Service). Zostały przedstawione również serwery służące do zdalnej instalacji systemów operacyjnych, takich jak Windows XP lub sam Windows Server 2003. Na koniec omówiono jeszcze czynności administracyjne związane z wydajnością i monitorowaniem sieci.

W książce omówiono między innymi:

Znajdź podobne książki Ostatnio czytane w tej kategorii

Darmowy fragment publikacji:

IDZ DO IDZ DO PRZYK£ADOWY ROZDZIA£ PRZYK£ADOWY ROZDZIA£ SPIS TREĎCI SPIS TREĎCI KATALOG KSI¥¯EK KATALOG KSI¥¯EK KATALOG ONLINE KATALOG ONLINE ZAMÓW DRUKOWANY KATALOG ZAMÓW DRUKOWANY KATALOG TWÓJ KOSZYK TWÓJ KOSZYK DODAJ DO KOSZYKA DODAJ DO KOSZYKA CENNIK I INFORMACJE CENNIK I INFORMACJE ZAMÓW INFORMACJE ZAMÓW INFORMACJE O NOWOĎCIACH O NOWOĎCIACH ZAMÓW CENNIK ZAMÓW CENNIK CZYTELNIA CZYTELNIA FRAGMENTY KSI¥¯EK ONLINE FRAGMENTY KSI¥¯EK ONLINE Windows Server 2003. Podrêcznik administratora Autorzy: Nelson Ruest, Danielle Ruest T³umaczenie: Adam Jarczyk ISBN: 83-7361-421-4 Tytu³ orygina³u: Windows Server 2003 Pocket Administrator Format: B5, stron: 264 „Windows Server 2003. Podrêcznik administratora” to ksi¹¿ka opisuj¹ca najwa¿niejsze kwestie zwi¹zane z zarz¹dzaniem systemem Windows Server 2003 i rozwi¹zywaniem dotycz¹cych go problemów. Opisuje ona ponad 160 zadañ administracyjnych, wraz z zalecan¹ czêstotliwoġci¹ wykonywania ka¿dego z nich. Rozpoczyna siê przedstawieniem ogólnych dzia³añ, które nale¿y podj¹æ w przypadku wszystkich serwerów, niezale¿nie od roli, jak¹ pe³ni¹. Omówione zosta³y równie¿ jednorazowe zadania, które musimy wykonaæ, aby odpowiednio przygotowaæ ġrodowisko administracyjne. Opisano ponadto klastry serwerów, a tak¿e serwery zarz¹dzaj¹ce infrastruktur¹ sieciow¹, w sk³ad których wchodz¹ DHCP (Dynamic Host Configuration Protocol) i WINS (Windows Internet Naming Service). Zosta³y przedstawione równie¿ serwery s³u¿¹ce do zdalnej instalacji systemów operacyjnych, takich jak Windows XP lub sam Windows Server 2003. Na koniec omówiono jeszcze czynnoġci administracyjne zwi¹zane z wydajnoġci¹ i monitorowaniem sieci. W ksi¹¿ce omówiono miêdzy innymi: • Serwery zarz¹dzania to¿samoġciami • Active Directory • Serwery DNS • Dedykowane serwery WWW • Serwery aplikacji • Serwery terminali • Serwery DHCP i WINS • Serwery dostêpu zdalnego i VPN O autorach: Wydawnictwo Helion ul. Chopina 6 44-100 Gliwice tel. (32)230-98-63 e-mail: helion@helion.pl Nelson Ruest g³ównie zajmuje siê przygotowywaniem strategicznych rozwi¹zañ dla du¿ych firm i specjalizuje siê w projektach infrastruktury. W swojej urozmaiconej karierze zawodowej bywa³ operatorem komputerów, administratorem systemów i sieci oraz mened¿erem IT. Danielle Ruest zajmuje siê organizacj¹ pracy oraz doradztwem z zakresu biznesu. Specjalizuje siê w problemach zwi¹zanych z wdra¿aniem du¿ych projektów informatycznych. Wraz z Nelsonem Ruestem jest autork¹ „Windows Server 2003: Best Practices for Enterprise Deployments”. Oboje pisuj¹ do MCP Magazine i .NET Magazine oraz pracuj¹ dla Resolutions Enterprises. Spis treści O Autorach...................................................h...............11 Przedmowa ...................................................h..............13 Wstęp ...................................................h......................15 Rozdział 1. Ogólne zarządzanie serwerem ......................................21 Czynności administracyjne ...................................................a................ 21 Ogólne zarządzanie serwerem ...................................................a........... 24 GS-01. Skróty Uruchom jako ...................................................a...... 24 GS-02. Ogólna weryfikacja stanu usług ......................................... 28 GS-03. Weryfikacja dziennika zdarzeń System ............................. 29 GS-04. Weryfikacja dziennika zdarzeń Zabezpieczenia ................ 30 GS-05. Zarządzanie kontami usług i administracyjnymi................ 32 GS-06. Utrzymanie dziennika działań ............................................ 34 GS-07. Zarządzanie raportem o czasie dostępności systemu ......... 35 GS-08. Zarządzanie skryptami ...................................................a.... 36 GS-09. Zarządzanie certyfikatami skryptów .................................. 38 GS-10. Aktualizacje definicji wirusów dla programów antywirusowych ........................................ 40 GS-11. Restart serwera ...................................................a................ 40 GS-12. Przegląd i aktualizacja zasad zabezpieczeń........................ 42 GS-13. Weryfikacja aktualizacji zabezpieczeń ................................. 43 GS-14. Aktualizacja poprawek i pakietów Service Pack ............... 45 GS-15. Ocena nowego oprogramowania ........................................ 46 GS-16. Inwentaryzacja ...................................................a................ 47 GS-17. Tworzenie globalnej konsoli MMC ................................... 50 GS-18. Automatyczne pobieranie sygnatur dla oprogramowania antywirusowego ............................... 51 GS-19. Tworzenie i weryfikacja zaplanowanych zadań................. 52 6 Windows Server 2003. Podręcznik administratora GS-20. Tworzenie i modyfikacja szablonów zabezpieczeń ........... 53 GS-21. Zarządzanie plikami pomocy technicznej .......................... 55 GS-22. Przygotowanie serwera ...................................................a... 55 GS-23. Konfiguracja narzędzi administracyjnych.......................... 56 GS-24. Aktualizacja domyślnego profilu użytkowników .............. 57 GS-25. Przegląd środowiska sprzętowego ..................................... 59 GS-26. Dokumentacja systemu i sieci ............................................ 60 GS-27. Zarządzanie umowami o świadczeniu usług ...................... 60 GS-28. Zarządzanie priorytetami w rozwiązywaniu problemów ... 61 GS-29. Przegląd nakładów pracy ...................................................a 61 Administrowanie sprzętem ...................................................a................ 61 HW-01. Kontrola urządzeń sieciowych.......................................... 62 HW-02. Zarządzanie BIOS-em serwerów ...................................... 62 HW-03. Zarządzanie aktualizacjami oprogramowania sprzętowego i zarządzającego serwerami ........................ 63 HW-04. Zarządzanie urządzeniami ................................................ 63 Tworzenie i przywracanie kopii zapasowych ....................................... 64 BR-01. Generowanie kopii zapasowych stanu systemu ................. 65 BR-02. Weryfikacja kopii zapasowych .......................................... 66 BR-03. Zarządzanie składowaniem taśm poza lokalizacją serwerów ................................................. 67 BR-04. Testowanie strategii usuwania skutków awarii.................. 67 BR-05. Testowanie procedury przywracania kopii zapasowych.... 68 BR-06. Przegląd strategii kopii zapasowych .................................. 69 BR-07. Odbudowa serwera...................................................a.......... 69 Administrowanie zdalne ...................................................a.................... 70 RA-01. Zarządzanie RDC w serwerach.......................................... 70 RA-02. Zarządzanie RDC w komputerach osobistych................... 72 RA-03. Pomoc dla użytkowników poprzez narzędzie Pomoc zdalna . 73 RA-04. Skróty do Podłączania pulpitu zdalnego i dostęp przez WWW...................................................a...... 74 Rozdział 2. Zarządzanie serwerami plików i drukowania .................77 Czynności administracyjne ...................................................a................ 77 Administrowanie usługami plików ...................................................a........ 79 FS-01. Weryfikacja dostępnego miejsca ........................................ 80 FS-02. Zarządzanie kopiami zapasowymi danych ......................... 81 FS-03. Zarządzanie folderami udostępnionymi .................................. 82 FS-04. Weryfikacja dziennika zdarzeń usługi replikacji plików .... 84 FS-05. Zarządzanie kopiowaniem woluminów w tle...................... 85 FS-06. Zarządzanie rozproszonym systemem plików .................... 87 FS-07. Zarządzanie przydziałami ...................................................a 88 FS-08. Zarządzanie usługą indeksowania....................................... 89 FS-09. Weryfikacja integralności dysków danych ......................... 89 FS-10. Defragmentacja dysków z danymi ...................................... 90 Spis treści 7 FS-11. Weryfikacja dziennika inspekcji dostępu do plików .......... 91 FS-12. Usuwanie plików tymczasowych ........................................ 92 FS-13. Weryfikacja parametrów zabezpieczeń ................................... 93 FS-14. Zarządzanie folderami zaszyfrowanymi................................. 94 FS-15. Archiwizacja danych ...................................................a........ 94 FS-16. Zarządzanie usługą replikacji plików.................................. 95 FS-17. Zarządzanie dyskami i woluminami ................................... 97 Usługi drukowania ...................................................a............................. 97 PS-01. Zarządzanie kolejkami drukowania .................................... 99 PS-02. Zarządzanie dostępem do drukarek..................................... 99 PS-03. Zarządzanie sterownikami drukarek ................................. 100 PS-04. Udostępnianie drukarek ...................................................a. 101 PS-05. Zarządzanie buforowaniem drukowanych dokumentów .. 102 PS-06. Zarządzanie śledzeniem lokalizacji drukarek ................... 102 PS-07. Masowe zarządzanie drukarkami...................................... 104 PS-08. Ocena nowych modeli drukarek ....................................... 104 Usługi klastrów ...................................................a................................ 105 CS-01. Klastry — weryfikacja ich stanu ...................................... 105 CS-02. Klastry — weryfikacja stanu kolejek drukowania ........... 106 CS-03. Klastry — zarządzanie serwerem klastrów ...................... 106 CS-04. Klastry — weryfikacja stanu kworum................................ 107 Rozdział 3. Zarządzanie serwerami infrastruktury sieciowej ..........109 Czynności administracyjne ...................................................a.............. 109 Administrowanie serwerami DHCP i WINS ...................................... 111 DW-01. Weryfikacja stanu serwera DHCP .................................. 111 DW-02. Weryfikacja stanu serwera WINS................................... 115 DW-03. Zarządzanie rekordami WINS ........................................ 117 DW-04. Zarządzanie atrybutami DHCP....................................... 117 DW-05. Zarządzanie zakresami DHCP ........................................ 119 DW-06. Zarządzanie rezerwacjami DHCP................................... 120 DW-07. Zarządzanie superzakresami DHCP ............................... 121 DW-08. Zarządzanie zakresami multiemisji DHCP..................... 122 DW-09. Zarządzanie klasami opcji DHCP................................... 123 DW-10. Autoryzacja serwerów DHCP i RIS ............................... 126 Serwery wdrażania ...................................................a........................... 127 RI-01. Weryfikacja stanu serwera RIS ......................................... 128 RI-02. Zarządzanie obrazami RIS ................................................ 128 Klastry NLB ...................................................a..................................... 130 NC-01. Weryfikacja stanu klastrów NLB .................................... 130 NC-02. Zarządzanie członkami klastrów NLB............................. 131 Dostęp zdalny i sieci VPN ...................................................a............... 132 RV-01. Weryfikacja stanu serwerów dostępu zdalnego............... 133 RV-02. Weryfikacja stanu serwerów RADIUS/IAS .................... 134 RV-03. Monitorowanie sieci bezprzewodowych ................................ 134 8 Windows Server 2003. Podręcznik administratora RV-04. Weryfikacja zasad dostępu zdalnego ............................... 135 RV-05. Zarządzanie usługą NAT.................................................. 135 RV-06. Zarządzanie łączami VPN................................................ 136 Rozdział 4. Zarządzanie serwerami tożsamości ................................139 Czynności administracyjne ...................................................a.............. 139 Zarządzanie kontrolerami domen...................................................a...... 141 DC-01. Zarządzanie użytkownikami ............................................ 142 DC-02. Zmiana haseł użytkowników ........................................... 145 DC-03. Weryfikacja dziennika zdarzeń usługi katalogowej ........ 147 DC-04. Zarządzanie kontami...................................................a..... 147 DC-05. Zarządzanie grupami zabezpieczeń ................................. 148 DC-06. Kontrola stanu usługi KCC.............................................. 151 DC-07. Kontrola topologii replikacji AD ..................................... 152 DC-08. Weryfikacja stanu wykazu globalnego................................ 154 DC-09. Zarządzanie administracyjnymi grupami uniwersalnymi...155 DC-10. Weryfikacja zasad kont...................................................a. 156 DC-11. Weryfikacja usługi PKI ...................................................a 158 DC-12. Weryfikacja usługi AD i konta administratora ................ 159 DC-13. Zarządzanie obiektami Lost And Found.......................... 159 DC-14. Zarządzanie delegowaniem praw..................................... 160 DC-15. Zarządzanie instalowaniem oprogramowania.................. 163 DC-16. Zarządzanie GPO ...................................................a.......... 165 DC-17. Zarządzanie obiektami komputerów................................ 167 DC-18. Zarządzanie grupami dystrybucyjnymi .............................. 169 DC-19. Zarządzanie lasem AD...................................................a.. 170 DC-20. Zarządzanie informacjami w AD..................................... 172 DC-21. Zarządzanie schematem ...................................................a 172 DC-22. Zarządzanie dostępem do schematu................................. 174 DC-23. Modyfikacje zawartości schematu................................... 175 DC-24. Ocena programów modyfikujących schemat................... 177 DC-25. Zarządzanie rolami wzorców operacji............................... 178 DC-26. Przenoszenie ról wzorców operacji ................................. 181 DC-27. Przywracanie wzorców operacji po awarii ...................... 182 DC-28. Promocja kontrolerów domen.......................................... 182 DC-29. Przywracanie kontrolerów domen ................................... 185 DC-30. Zarządzanie relacjami zaufania........................................ 187 DC-31. Zarządzanie strukturami lasów, domen i OU .................. 189 DC-32. Zarządzanie skryptami Active Directory ......................... 191 DC-33. Zarządzanie synchronizacją czasu ................................... 193 DC-34. Zarządzanie listami kontroli dostępu ............................... 194 DC-35. Zarządzanie zapisanymi kwerendami .............................. 197 DC-36. Zarządzanie miejscem w AD ........................................... 198 DC-37. Zarządzanie zasadami kwerend LDAP.............................. 199 DC-38. Zarządzanie bazą danych AD .......................................... 201 Spis treści 9 Zarządzanie serwerem przestrzeni nazw (DNS) ................................. 202 DN-01. Kontrola dziennika zdarzeń DNS .................................... 202 DN-02. Zarządzanie konfiguracją DNS-u .................................... 203 DN-03. Zarządzanie rekordami DNS ........................................... 204 DN-04. Zarządzanie partycją aplikacji DNS ................................ 205 Rozdział 5. Zarządzanie serwerami aplikacji.................................207 Czynności administracyjne ...................................................a.............. 207 Zarządzanie dedykowanymi serwerami WWW ................................. 209 WS-01. Weryfikacja dziennika zdarzeń Aplikacje....................... 209 WS-02. Weryfikacja stanu serwera IIS ........................................ 210 WS-03. Generowanie statystyk użycia serwera IIS...................... 211 WS-04. Weryfikacja dziennika zdarzeń serwera WWW.............. 213 WS-05. Weryfikacja aktualizacji zabezpieczeń IIS...................... 214 WS-06. Zarządzanie konfiguracją serwera WWW....................... 215 Zarządzanie serwerami aplikacji...................................................a...... 216 AS-01. Weryfikacja stanu współużytkowanych aplikacji ............ 217 AS-02. Administrowanie aplikacjami COM+ .............................. 218 AS-03. Administrowanie aplikacjami .NET................................. 221 AS-04. Administrowanie serwerem baz danych........................... 223 AS-05. Dostęp klientów serwera aplikacji ................................... 223 AS-06. Instalacja oprogramowania użytkowników...................... 224 Serwery usług terminalowych...................................................a.......... 226 TS-01. Zarządzanie połączeniami usług terminalowych.............. 227 TS-02. Zarządzanie drukarkami w usługach terminalowych ....... 228 TS-03. Zarządzanie katalogiem sesji ............................................ 229 TS-04. Administrowanie licencjami usług terminalowych .......... 230 TS-05. Administrowanie dostępem użytkowników usług terminalowych ...................................................a..... 230 TS-06. Zarządzanie aplikacjami w usługach terminalowych ....... 231 Zarządzanie wydajnością i monitorowaniem...................................... 232 PM-01. Weryfikacja dzienników ruterów i zapór sieciowych ..... 233 PM-02. Ogólne monitorowanie miejsca na dyskach .................... 234 PM-03. Zarządzanie zasobami systemów..................................... 235 PM-04. Monitorowanie ruchu w sieci .......................................... 237 PM-05. Zarządzanie wydajnością serwerów ................................ 238 PM-06. Diagnostyka systemów ...................................................a. 240 PM-07. Zarządzanie raportowaniem błędów w przedsiębiorstwie.... 241 PM-08. Przegląd narzędzi do monitorowania ................................ 242 Uwagi końcowe...................................................a................................ 243 Dodatek A Lista częstotliwości wykonywania zadań ....................245 Skorowidz ...................................................h..............251 Rozdział 1. Ogólne zarządzanie serwerem Wprawdzie większość serwerów odgrywa konkretne role w strukturze naszej or- ganizacji, lecz jest oczywiste, że pewne zadania administracyjne należy wyko- nywać we wszystkich serwerach, niezależnie od ich ról. Są to ogólne zadania administracyjne. Należą do nich wszelkie czynności — od upewnienia się, że serwer funkcjonuje poprawnie, aż po weryfikację, czy konfiguracja serwera jest zgodna ze standardami organizacji. Wiele z tych zadań ma charakter technicz- ny i część z nich może być zautomatyzowana, lecz niektóre są czysto admini- stracyjne i ich przeprowadzenie nie wymaga pracy z technologią. Czynności administracyjne Ogólne zarządzanie serwerami Windows dzieli się na cztery kategorie admini- stracyjne. Należą do nich ogólna obsługa serwera, sprzęt, tworzenie i przywra- canie kopii zapasowych oraz administrowanie zdalne. Tabela 1.1 przedstawia listę czynności administracyjnych, które musimy wykonywać regularnie, aby za- pewnić prawidłowe funkcjonowanie usług, świadczonych przez serwery naszej społeczności użytkowników. W tabeli tej została też przedstawiona częstotliwość wykonywania poszczególnych zadań. Nie każdy musi zgadzać się z częstotliwością zadań zasugerowaną w tabeli 1.1. Co więcej, wykonywanie absolutnie wszystkich czynności może nie być koniecz- ne, jeśli nie stosujemy wszystkich wspomnianych w tabeli usług. Dlatego Czy- telnik powinien spersonalizować tę książkę, zaznaczając wszystkie numery pro- cedur, z których faktycznie będzie korzystać. Dzięki temu łatwiej będzie znaleźć najczęściej używane procedury. 22 Windows Server 2003. Podręcznik administratora Tabela 1.1. Lista zadań administracyjnych dla serwera Nr procedury Czynność Harmonogram GS-01 GS-02 GS-03 GS-04 GS-05 GS-06 GS-07 GS-08 GS-09 GS-10 GS-11 GS-12 GS-13 GS-14 GS-15 GS-16 GS-17 GS-18 GS-19 GS-20 GS-21 GS-22 GS-23 GS-24 GS-25 GS-26 GS-27 GS-28 Ogólne zarządzanie serwerem Skróty Uruchom jako Ogólna weryfikacja stanu usług Weryfikacja dziennika zdarzeń System Codziennie Codziennie Codziennie Weryfikacja dziennika zdarzeń Zabezpieczenia Codziennie Zarządzanie kontami usług i administracyjnymi Codziennie Utrzymanie dziennika działań Codziennie Zarządzanie raportem o czasie dostępności systemu Co tydzień Zarządzanie skryptami Zarządzanie certyfikatami skryptów Aktualizacje definicji wirusów dla programów antywirusowych Restart serwera Przegląd i aktualizacja zasad zabezpieczeń Weryfikacja aktualizacji zabezpieczeń Co tydzień Co tydzień Co tydzień Co tydzień Co miesiąc Co miesiąc Aktualizacja poprawek i pakietów Service Pack Co miesiąc Ocena nowego oprogramowania Inwentaryzacja Tworzenie globalnej konsoli MMC Automatyczne pobieranie sygnatur dla oprogramowania antywirusowego Co miesiąc Co miesiąc W miarę potrzeb W miarę potrzeb Tworzenie i weryfikacja zaplanowanych zadań W miarę potrzeb Tworzenie i modyfikacja szablonów zabezpieczeń W miarę potrzeb Zarządzanie plikami pomocy technicznej W miarę potrzeb Przygotowanie serwera W miarę potrzeb Konfiguracja narzędzi administracyjnych W miarę potrzeb Aktualizacja domyślnego profilu użytkowników W miarę potrzeb Przegląd środowiska sprzętowego Dokumentacja systemu i sieci W miarę potrzeb W miarę potrzeb Zarządzanie umowami o świadczeniu usług W miarę potrzeb Zarządzanie priorytetami w rozwiązywaniu problemów W miarę potrzeb GS-29 Przegląd nakładów pracy W miarę potrzeb Rozdział 1. ♦ Ogólne zarządzanie serwerem 23 Tabela 1.1. Lista zadań administracyjnych dla serwera (ciąg damlszy) Nr procedury Czynność Harmonogram HW-01 HW-02 HW-03 Sprzęt Kontrola urządzeń sieciowych Zarządzanie BIOS-em serwerów Zarządzanie aktualizacjami oprogramowania sprzętowego i zarządzającego serwerami Co tydzień Co miesiąc Co miesiąc HW-04 Zarządzanie urządzeniami W miarę potrzeb BR-01 BR-02 BR-03 BR-04 BR-05 BR-06 BR-07 RA-01 RA-02 RA-03 RA-04 Tworzenie i przywracanie kopii zapasowych Generowanie kopii zapasowych stanu systemu Codziennie Weryfikacja kopii zapasowych Zarządzanie składowaniem taśm poza lokalizacją serwerów Codziennie Co tydzień Testowanie strategii usuwania skutków awarii Co miesiąc Testowanie procedury przywracania kopii zapasowych Co miesiąc Przegląd strategii kopii zapasowych Co miesiąc Odbudowa serwera Administrowanie zdalne W miarę potrzeb Zarządzanie RDC w serwerach Co miesiąc Zarządzanie RDC w komputerach osobistych Co miesiąc Pomoc dla użytkowników poprzez narzędzie Pomoc zdalna W miarę potrzeb Skróty do Podłączania pulpitu zdalnego i dostęp przez WWW W miarę potrzeb Harmonogram również może różnić się od przedstawionego w tabeli 1.1. Czę- stotliwość zadań zależy od mnóstwa czynników, na przykład od niezawodności systemu, jego obciążenia, wielkości i szybkości dysków, mocy obliczeniowej pro- cesorów i tak dalej. Jeśli przedstawiony harmonogram nie pasuje do konkretnych potrzeb, można go zmienić. Jeśli przedstawiony harmonogram nie zaspokaja potrzdeb Czytelników, prosimy o uwagi. Chętnie dowiemy się, jaki harmonogdram najlepiej pasuje do Waszych wymagań i opublikujemy zaktualizodwane arkusze na stronie www.Reso-Net.com/PocketAdmin. Oczekujemy na uwagi pod adresem PocketAdmin@Reso-Net.com. 24 Windows Server 2003. Podręcznik administratora Ogólne zarządzanie serwerem Serwery z założenia projektowane są z myślą o obsługiwaniu wielu użytkowni- ków wykonujących codzienne zadania. Niezależnie od tego, czy organizacja ma 4 użytkowników czy 4000, zadaniem administratora systemów jest zapewnienie, by systemy działały poprawnie, zagwarantowanie ich bezpieczeństwa i wydaj- ności wystarczającej do produktywnego funkcjonowania serwerów teraz i w przy- szłości. Część działań wymaganych, by osiągnąć te cele stosuje się do wszystkich ser- werów. Wiele z nich dotyczy po prostu ciągłości działania systemu i sposobów interakcji z nim. GS-01. Skróty Uruchom jako 4 Harmonogram: codziennie Praca z serwerami często wymaga dostępu administrac yjnego do systemu. Prawa dostępu przyznane administratorom systemów Windows Server 2003 są ogrom- ne, ponieważ pozwalają na całkowitą kontrolę nad komputerem na poziomie lokalnym, nad domeną na poziomie domeny i nad całym lasem na poziomie przedsiębiorstwa. Praw tych musimy używać z rozwagą, szczególnie dlatego, że każdy program działający w kontekście administracyjnym uzyskuje automa- tycznie wszystkie prawa do komputera. Ponieważ konta administracyjne mogą stanowić zagrożenie dla przedsiębiorstwa, należy zmienić ich nazwy na inne niż domyślne i zastosować do nich silnde, złożone hasła, zwykle dłuższe niż 15 znaków. Aby dodatkowdo zwiększyć bezpieczeństwo tych kont, możemy je powiązać z kartamid inteligentnymi. Na przykład, wirus lub robak uruchomiony w kontekście administracyjnym może spowodować o wiele więcej szkód niż wtedy, gdy uruchomi się w kontekście użytkownika. Z tego powodu skróty Uruchom jako są tak ważne. Ponieważ umożliwiają one wykonywanie poleceń i uruchamianie aplikacji w innym kon- tekście zabezpieczeń, pozwalają na bardziej oszczędne stosowanie dostępu ad- ministracyjnego — możemy korzystać z konta zwykłego użytkownika, wyko- nując działania administracyjne z ograniczeniem dost ępu administracyjnego do minimum, jednocześnie chroniąc dobra przedsiębiorstwa . Rozdział 1. ♦ Ogólne zarządzanie serwerem 25 Poprzez Uruchom jako możemy skorzystać z każdego narzędzia. W systemie Windows Server 2003 wystarczy kliknąć prawym pdrzyciskiem myszy narzędzie, wybrać Uruchom jako, podać odpowiednią nazwę konta i hasło oraz kliknąć OK. Jeśli polecenie Uruchom jako nie pojawia się w menu podręcznym, należy przy kliknięciu prawym przyciskidem myszy przytrzymać klawisz Shift. To zadanie zostało określone jako wykonywane codziennie, ponieważ jeśli pra- widłowo zaprojektujemy skróty, to będziemy z nich korzystać codziennie przy wykonywaniu czynności administracyjnych w każdym serwerze w obrębie or- ganizacji. Możemy tworzyć tyle skrótów, ile tylko potrzebujemy. Zaletą skrótów Uruchom jako jest możliwość wyboru konta administracyjnego przy każdym uruchomieniu narzędzia. Dzięki temu możemy do każdego skrótu przyznać tylko niezbędne prawa dostępu. I ponieważ skróty nie są uruchamiane automa- tycznie w nowym kontekście (nie można osadzić w nich nazwy konta i hasła), same z siebie nie stanowią zagrożenia. Najbezpieczniejszą metodą korzystania z polecenia Uruchom jako jest stosowanie skrótów w trybie graficznym. Za pomocą skrótów Uruchom jako warto uruchamiać nastę pujące narzędzia:  globalną konsolę MMC, którą utworzymy w procedurze GS-17,  Eksplorator Windows,  wiersz poleceń,  narzędzie Kopia zapasowa.  narzędzia wyspecjalizowane, np. konsole Active Direct ory i zarządzanie Zasadami grup. Skróty najłatwiej tworzyć na pulpicie. Po utworzeniu możemy je przenieść do pa- ska narzędzi Szybkie uruchamianie i usunąć z pulpitu. Aby utworzyć skrót Uru- chom jako: 1. Przejdź do widoku pulpitu. Najszybciej możesz to zrobi ć, klikając ikonę Pokaż pulpit w obszarze Szybkie uruchamianie. 2. Kliknij prawym przyciskiem myszy dowolne miejsce na pulpicie i wybierz Nowy/Skrót. 26 Windows Server 2003. Podręcznik administratora 3. Kliknij przycisk Przeglądaj, aby znaleźć pożądane polecenie lub konsolę, która ma zostać otwarta, albo wpisz polecenie bezpoś rednio. Zaletą bezpośredniego wpisania polecenia jest możliwość uż ycia zmiennych środowiskowych do zlokalizowania polecenia lub kons oli. Na przykład, dla Eksploratora, wiersza poleceń i konsoli Kopia zap asowa możemy użyć zmiennej 5[UVGO4QQV. Kliknij Dalej. 4. Kliknij Zakończ, aby utworzyć skrót. Zadanie to możemy sobie ułatwić poprzez utworzenie kopdii skrótów z menu Wszystkie programy. 5. Po utworzeniu skrótu kliknij go prawym przyciskiem myszy i wybierz Właściwości. 6. Na zakładce Skrót kliknij przycisk Zaawansowane. 7. W oknie dialogowym Zaawansowane wybierz Uruchom z innymi poświadczeniami. Kliknij OK, aby zamknąć okno dialogowe. 8. Kliknij OK, aby zamknąć okno dialogowe Właściwości. Skrót jest gotowy. Teraz możemy przenieść go do obszaru szybkiego urucha- miania. Użycie skrótu spowoduje automatyczne wyświetlenie okna dialogowego Uruchom jako. Tutaj możemy uruchomić polecenie z bieżącymi poświadczenia- mi lub wybrać Następujący użytkownik i wprowadzić dane konta administracyj- nego (patrz rysunek 1.1). Rysunek 1.1. Uruchomienie programu poprzez Uruchom jako Skróty Uruchom jako można też tworzyć za pomocą wiers za poleceń. Wystarczy umieścić polecenie w pliku z rozszerzeniem .cmd i wskazać skrót do tego pli- ku. Wiersz poleceń daje nam możliwość bardziej precyzyjnego zdefiniowania Rozdział 1. ♦ Ogólne zarządzanie serwerem 27 polecenia Uruchom jako za pomocą opcji, które zmienią domyślne zachowanie polecenia. Oprócz tego wiersz poleceń pozwala utworzyć pojedynczy plik .cmd zawierający polecenia uruchamiające wszystkie narzędzia niezbędne do wykony- wania standardowych zadań administracyjnych. Do takiego pliku poleceń może- my następnie utworzyć skrót i umieścić go w obszarz e szybkiego uruchamiania. Kolejną zaletą tej metody jest dostępność opcji UCXGETGF. Pełni ona dwie funk- cje: zapamiętuje poświadczenia dla polecenia i pozwala wykorzystać zapisane poświadczenia. Jeśli więc użyjemy w pliku .cmd polecenia o strukturze przed- stawionej poniżej, będziemy mogli uruchomić wszystkie niezbędne narzędzia, przydzielając do każdego z nich odpowiednie konto u żytkownika: TWPCUWUGTPCYCWľ[VMQYPKMC PCYCFQOGP[UCXGETGFRQNGEGPKG gdzie PCYCWľ[VMQYPKMC PCYCFQOGP[ to nazwa główna użytkownika dla konta administracyjnego, którego chcemy użyć, a RQNGEGPKG oznacza ścieżkę i nazwę polecenia, które chcemy uruchomić. Polecenia uruchamiające narzędzia wspo- mniane uprzednio będą wyglądać tak: TWPCUWUGTPCYCWľ[VMQYPKMC PCYCFQOGP[UCXGETGFOOE  6QQNMKV INQDCNOOEOUE TWPCUWUGTPCYCWľ[VMQYPKMC PCYCFQOGP[UCXGETGF5[UVGO4QQV GZRNQTGGZG TWPCUWUGTPCYCWľ[VMQYPKMC PCYCFQOGP[UCXGETGF5[UVGO4QQV U[UVGO EOFGZG TWPCUWUGTPCYCWľ[VMQYPKMC PCYCFQOGP[UCXGETGF5[UVGO4QQV U[UVGO PVDCEMWRGZG Tej samej struktury poleceń możemy użyć dla innych narzędzi, które uznamy za niezbędne do pracy, wymagających uprawnień administracyjnych. Plik po- leceń należy zapisać w folderze C:Toolkit, aby udostępnić je wszystkim uży- wanym kontom administracyjnym. Folder ten jest niezbędny, ponieważ folder Moje dokumenty domyślnie pozwala na interakcję z własnego konta i wymaga modyfikacji uprawnień, aby inni użytkownicy mieli dostęp do jego zawartości. Folder ten zostanie dokładniej omówiony w procedurze GS-17. Koniecznie skorzystaj z procedury FS-13, aby przypisać odpowiednie parametry zabezpieczeń do folderu C:Toolkit, zwłaszcza jeśli mają się w nim znaleźć pliki poleceń zawierające polecenia TWPCU z zapisanymi poświadczeniami. Umożliwienie komukolwiek dostępu do tego folderu stanowi poważne dzagrożenie bezpieczeństwa. Można rozważyć ograniczenie dostępu do tego folderu jeddynie dla kont administracyjnych i stworzenie skrótu Uruchom jako ddo pliku poleceń zestawu narzędzi. W ten sposób nikt nie będzie mógł nieumyśdlnie uruchomić tego pliku przez niepoprawny dostęp do naszej stacji roboczej.d Z poleceniem TWPCU można jeszcze użyć dwóch przydatnych opcji wiersza pole- ceń. Opcja UOCTVECTF umożliwia użycie do uwierzytelnienia karty inteligent- nej (ang. SmartCard) i powinna być używana w organizacjach kładących duży 28 Windows Server 2003. Podręcznik administratora nacisk na bezpieczeństwo. Stosowanie kart inteligentnych w systemie Windows Server 2003 jest tak proste, że użycie ich dla kont administracyjnych jest wysoce zalecane. Opcja PGVQPN[ ogranicza prawa dostępu jedynie do sieci i nie pozwala nowemu kontekstowi zabezpieczeń na interakcję z komp uterem lokalnym. GS-02. Ogólna weryfikacja stanu usług 4 Harmonogram: codziennie Przeznaczeniem serwera jest dostarczanie usług. Serwer można uznać za funk- cjonujący poprawnie, gdy wszystkie usługi, które ma dostarczać, są uruchomio- ne i w pełni funkcjonalne. Dlatego też tak ważna jest dokładna dokumentacja nie tylko konkretnej roli każdego serwera w infrastrukturze naszej sieci, lecz rów- nież zainstalowanych usług i ogólnego stanu każdej usługi. Szczegółowy arkusz danych serwera jest dostępny pod dadresem www.Reso-Net.com/PocketAdmin. Arkusz ten może posłużyć jako podstawa dokumentacji serwera i identyfikacji zainsdtalowanych usług. Aby zweryfikować stan usług w serwerze: 1. Uruchom konsolę Zarządzanie komputerem. 2. Połącz się z odpowiednim serwerem (Akcja/Połącz z innym komputerem) i albo wpisz nazwę serwera ( PCYCUGTYGTC), albo zlokalizuj serwer za pomocą przycisku Przeglądaj. Kliknij OK. 3. Przejdź do okna Usługi (Usługi i aplikacje/Usługi). 4. Posortuj usługi według stanu, klikając Stan na górze okna Usługi. 5. Zweryfikuj na podstawie notatek, czy wszystkie usługi są w odpowiednim stanie uruchomienia. Jeśli któreś z usług używają poś wiadczeń innych niż lokalne konto systemowe, skorzystaj z procedury GS-05, aby upewnić się, że wszystkie poświadczenia zostały wprowadzone prawidłowo. Zanotuj i zbadaj wszystkie usługi znajdujące się w innym stan ie niż oczekiwany. Zweryfikuj wszystkie serwery. Alternatywą dla tej procedury może być użycie polecenia Remote Server Infor- mation z zestawu narzędzi Resource Kit dla każdego serwera, którym zarządza- my i przekierowanie wyjścia polecenia do pliku tekstowego: UTXKPHQ PCYCMQORWVGTC PCYCRNKMWVZV gdzie PCYCMQORWVGTC oznacza nazwę serwera, który chcemy zbadać. Jeśli nazwa serwera nie zostanie podana, polecenie wyświetli informacje o serwerze lokal- nym. PCYCRNKMWVZV oznacza nazwę i ścieżkę do pliku, do którego informacje Rozdział 1. ♦ Ogólne zarządzanie serwerem 29 mają zostać wysłane. Ponownie możemy umieścić serię takich poleceń w pliku .cmd i za pomocą procedury GS-19 codziennie generować automatycznie pliki wyjściowe. To pomoże szybko zorientować się w stanie wszystkich usług w sieci. Oprócz tego wszystkie usługi możemy kontrolować za pomocą poleceń UE i PGV. Wpisanie PGV w wierszu poleceń powoduje wyświetlenie listy wszystkich ob- sługiwanych poleceń. Szczegółowe informacje o każdym poleceniu możemy otrzymać, wpisując PGVJGNRPCYCRQNGEGPKC. Jedyną wadą tego narzędzia jest niemożliwość wykonywania poleceń zdalnie. Aby skorzystać z tych poleceń, mu- simy otworzyć sesję lokalną albo zdalną w serwerze, k tórym chcemy zarządzać. Z drugiej strony, polecenie UE możemy uruchomić w każdym serwerze, do któ- rego mamy dostęp. Jego struktura wygląda następująco: UE PCYCUGTYGTCRQNGEGPKGPCYCWUđWIK gdzie PCYCUGTYGTC oznacza nazwę serwera, z którym chcemy się połączyć, RQNGEGPKG jest nazwą polecenia UE, które ma zostać wykonane, a PCYCWUđWIK wskazuje na usługę, z którą chcemy pracować. Dodatkowe informacje otrzyma- my przez wpisanie UE!. Microsoft TechNet Script Center zawiera szereg przykładowych skryptów WSH (ang. Windows Scripting Host), pomagających przeprowadzać prace administracyjne z usługami. Skrypty te znajdzidemy pod adresem http://www.microsoft.com/technet/treeview/default.asp?ucrl=/technet/scrip tcenter/services/default.asp?frame=true. GS-03. Weryfikacja dziennika zdarzeń System 4 Harmonogram: codziennie Kolejnym przydatnym narzędziem diagnostycznym jest systemowy dziennik zda- rzeń, który informuje o ogólnym „stanie zdrowia” i funkcjonowaniu serwera. Każde istotne zdarzenie jest rejestrowane wraz z opisem. Zdarzenia mogą na- leżeć do trzech grup: Informacja: zaszło zdarze nie wystarczająco istotne, by je zarej estrować. Zdarzenia te zwykle związane są z normalną pracą serwe ra. Ostrzeżenie: wystąpił błąd niekrytyczny, który uzasadnia utworzeni e rekordu w Dzienniku zdarzeń. Na zdarzenia tego typu n ależy zwracać uwagę, ponieważ szybko mogą przejść w błędy. 30 Windows Server 2003. Podręcznik administratora Błąd: wystąpił błąd krytyczny, który powinien zostać zbadany i naprawiony. Każde takie zdarzenie musi prowadzić do kontroli i naprawy. Windows Server 2003 często dołącza szczegółowe informacje o metodach postępowania w takich przypad kach. Aby sprawdzić dziennik zdarzeń System w serwerze: 1. Uruchom konsolę Zarządzanie komputerem. 2. Połącz się z odpowiednim serwerem (Akcja/Połącz z innym komputerem) i albo wpisz nazwę serwera ( PCYCUGTYGTC), albo zlokalizuj serwer za pomocą przycisku Przeglądaj. Kliknij OK. 3. Przejdź do dziennika zdarzeń System (Zarządzanie komputerem/ Podgląd zdarzeń/System). 4. Zidentyfikuj wszelkie błędy i ostrzeżenia oraz podejm ij odpowiednie kroki w razie ich pojawienia się. Zanotuj wszelkie czynności naprawcze, które musisz podjąć. Wykorzystaj proce- durę GS-06 do rejestrowania różnorodnych kontrolowanych codzi ennie zdarzeń. Można zmienić wielkość pliku dziennika. W tym celu kliknij prawym przyciskiem myszy nazwę dziennika w lewym panelu MMC i wybierz Właściwości. Ustaw Maksymalny rozmiar dziennika i związane z nim zdarzenie zgodnie z potrzebami. Microsoft TechNet Script Center zawiera szereg przykładowych skryptów WSH (ang. Windows Scripting Host), pomagających przeprowadzać prace administracyjne z usługami. Skrypty te znajdzidemy pod adresem http://www.microsoft.com/technet/treeview/default.asp?ucrl=/technet/scrip tcenter/logs/default.asp?frame=true. GS-04. Weryfikacja dziennika zdarzeń Zabezpieczenia 4 Harmonogram: codziennie Jeśli organizacja zdecydowała się, by prowadzić inspekcje dostępu, to musimy codziennie weryfikować dziennik zdarzeń Zabezpieczenia, aby upewnić się, że w sieci nie zachodzą niestosowne zdarzenia. Inspekcje dostępu można umożliwić poprzez zmiany w Zasadach grup. Zasady inspekcji mieszczą się w ustawieniach zabezpieczeń zasad grup. Włączenie in- spekcji może mieć poważny wpływ na działanie sieci. Kontrola obiektów i zdarzeń spowalnia system, więc powinniśmy prowadzić inspekcje tylko tych zdarzeń i obiektów, które uznamy za krytyczne dla naszej si eci. Rozdział 1. ♦ Ogólne zarządzanie serwerem 31 W systemie Windows Server 2003 wszystkie inspekcje są domyślnie włączone; wystarczy więc dokładniej zdefiniować i dodać obiekty, które chcemy weryfikować.d Poza tym dziennik zdarzeń Zabezpieczenia ma zdefiniowadny rozmiar: 132 MB i jest po zapełnieniu nadpisywany. Aby zdefiniować lub przejrzeć zasady inspekcji: 1. Korzystając z procedury DC-16, dokonaj edycji odpowiedniego obiektu zasad grupy (ang. GPO — Group Policy Object). Będzie to zazwyczaj GPO stosujący się do wszystkich obiektów w domenie. 2. W Edytorze obiektów zasad grupy wybierz Konfiguracja komputera/ Ustawienia systemu Windows/Ustawienia zabezpieczeń/Zasady inspekcji. 3. Kliknij dwukrotnie zdarzenie, które chcesz kontrolo wać i zmodyfikuj zasady. Rejestrowane mogą być sukces lub niepowodzenie zdarzenia, albo jedno i drugie. 4. Udokumentuj każdą dokonaną zmianę ustawień. Arkusz dokumentacji zasad grup jest dostępny na strdonie www.Reso- -Net.com/PocketAdmin. Aby dokonać inspekcji dostępu do obiektu, na przykład kontenera w AD lub pli- ku w serwerze, trzeba włączyć inspekcje dla tego obiektu i zidentyfikować, kto powinien podlegać inspekcji. W tym celu: 1. Znajdź obiekt przeznaczony do inspekcji. Zamiast pojed ynczych obiektów warto kontrolować kontenery, na przykład foldery i j ednostki organizacyjne. 2. Kliknij obiekt prawym przyciskiem myszy i wybierz Właściwości. Przejdź do zakładki Zabezpieczenia. 3. Kliknij przycisk Zaawansowane. Aby to było możliwe w przypadku AD, należy w konsolach Active Directory włączyć w menu Widok opcję Opcje Zaawansowane. 4. Zidentyfikuj grupy, które chcesz kontrolować. Zwykle łatwiej jest wybierać grupy o szerokim zasięgu, na przykład Użytko wnicy uwierzytelnieni, zamiast grup bardziej konkretnych. Wszystko zależy od tego, kogo i co chcemy kontrolować. 5. Od tej chwili zdarzenia dostępu będą monitorowane w d zienniku zdarzeń Zabezpieczenia. 32 Windows Server 2003. Podręcznik administratora Zanotuj wszelkie wprowadzone zmiany. Aby przejrzeć wy niki inspekcji: 1. Uruchom konsolę Zarządzanie komputerem (pasek Szybkie uruchamianie/ Zarządzanie komputerem). 2. Połącz się z odpowiednim serwerem (Akcja/Połącz z innym komputerem) i albo wpisz nazwę serwera ( PCYCUGTYGTC), albo zlokalizuj serwer za pomocą przycisku Przeglądaj. Kliknij OK. 3. Przejdź do dziennika zdarzeń Zabezpieczenia (Narzędzia systemowe/ Podgląd zdarzeń/Zabezpieczenia). 4. Zidentyfikuj wszelkie zdarzenia zakończone powodzenie m lub niepowodzeniem. Podejmij odpowiednie działania w raz ie odkrycia niepożądanych działań. Zanotuj wszelkie czynności naprawcze, które trzeba było podjąć. Korzystając z procedury GS-06, zarejestruj sprawdzane codziennie zdarzenia. Rozmiar dziennika zdarzeń Zabezpieczenia można zmienić. W tym celu skorzy- staj z ostatniej części procedury GS-03. W przypadku zablokowania pliku dziennika (Nie zastępuj zdarzeń) po osiągnięciu przez plik maksymalnej wielkości serdwer zostanie automatycznie wyłączony i będzie wymagać wyczyszczenida pliku. GS-05. Zarządzanie kontami usług i administracyjnymi 4 Harmonogram: codziennie Konta administracyjne są cennymi dobrami w każdej sieci. Minęły już czasy, gdy rozdawano je prawie każdemu, kto wystarczająco głośno się ich domagał. W dzi- siejszych sieciach Windows Server 2003 możemy i powinniśmy definiować je- dynie dostateczny poziom praw dostępu każdemu, kto wchodzi w interakcję z systemem. Wobec tego powinniśmy mieć jak najmniej kont administracyjnych na poziomie domeny lub lasu, za to o wiele więcej wyspecjalizowanych kont administracyjnych, które będą miały prawa dostępu wystarczające jedynie do wykonania określonych zadań. Konta te i ich prawa dostępu powinny być przy- najmniej przeglądane codziennie. Kilka procedur wspomaga przyznawanie odpowiednich praw i uprawnień dla kont administracyjnych. Niektóre z nich są przydzielane przez wykorzystanie wbudo- wanych grup zabezpieczeń, na przykład Serwer lub Operatorzy kopii zapasowych, Rozdział 1. ♦ Ogólne zarządzanie serwerem 33 zaś inne przez kojarzenie z zasadami Przypisywanie praw użytkowników dla kont lub grup zawierających te konta. Trzy narzędzia pozwalają przydzielać odpo- wiednie prawa:  Użytkownicy i komputery usługi Active Directory — pozwa la tworzyć konta i przydzielać je do wbudowanych albo własnych g rup administracyjnych.  Konsola Group Policy Management Console — pozwala znajd ować i modyfikować odpowiednie GPO.  Edytor obiektów zasad grupy — pozwala przypisywać prawa użytkowników. Oprócz tego konsola Zarządzanie komputerem może przydać się do przydziela- nia praw lokalnych do grup domeny i kont. Aby zmodyfikować prawa użytkownika, skorzystaj z procedury DC-16 w celu edycji odpowiedniego GPO, zwykle tego wpływającego na wszystkie obiekty, które chcesz zmodyfikować. Znajdź ustawienia User Rights Assignment (Com- puter Policy/Security Settings/Local Policies/User Rights Assignment) i przypisz odpowiednie ustawienia do kont administracyjnych. Zawsze łatwiej jest przy- pisywać prawa do grupy niż do indywidualnych obiektów, więc dobrze jest zgromadzić konta administracyjne w grupy administracyjne. Skorzystaj ponow- nie z procedury DC-16, aby zapewnić właściwe wykorzystanie tych kont. Oprócz tego we współczesnych sieciach przedsiębiorstw trzeba też zarządzać kontami usług — kontami, które posiadają wystarczające przywileje administra- cyjne, by obsługiwać konkretne usługi w sieci. Na przykład, konta usług mogą służyć do uruchamiania mechanizmów narzędzi antywirusowych i zaplanowa- nych zadań (patrz procedura GS-19). Zaletą korzystania z konta usługi do uru- chamiania danej usługi lub zautomatyzowanego zadania jest możliwość kon- troli poprawności działania usługi za pomocą dziennika zdarzeń Zabezpieczenia. Zdarzenie sukcesu jest zapisywane w tym dzienniku za każdym razem, gdy usłu- ga wykorzysta swój uprzywilejowany dostęp lub zaloguje się. Konta usług muszą mieć określone przywileje i ustawie nia:  Konto musi mieć złożoną nazwę.  Do konta musi być przypisane złożone hasło o długości przynajmniej 15 znaków.  Hasło nigdy nie wygasa.  Użytkownik nie może zmienić hasła.  Prawo Działanie jako element systemu operacyjnego.  Prawo Logowanie w trybie usługi. 34 Windows Server 2003. Podręcznik administratora Dwa ostatnie ustawienia nie powinny być stosowane zbyt skwapliwie, zwłaszcza Działanie jako element systemu operacyjnego, ponieważ przyznają usłudze wyjątkowo wysoki poziom dostępu. Dwa ostatnie ustawienia trzeba skonfigurować w GPO w Przypisywanie praw użytkownika (ang. User Rights Assignment). Proszę też pamiętać o przegrupo- waniu kont usług w grupy usług. Konta usług wymagają dodatkowych nakładów pracy, ponieważ wymagają re- gularnych zmian haseł. Nie jest to ograniczone do prostej zmiany hasła w konsoli Użytkownicy i komputery usługi Active Directory, ponieważ po przypisaniu konta usługi do usługi musimy w usłudze podać hasło konta, aby mogła działać prawi- dłowo. Oznacza to, że musimy dodatkowo zmienić hasło w oknie dialogowym Właściwości usługi. W tym celu można posłużyć się procedurą GS-02. Microsoft TechNet Script Center zawiera przykładowy skrdypt WSH, który pozwala zmieniać hasła kont usług. Skrypt ten jedst dostępny pod adresem http://www.microsoft.com/technet/treeview/ default.asp?url=/technet/scriptcenter/services/scrsvc01.ascp?frame=true. Pozwala on również zmieniać hasła dla kont użytkownikódw administracyjnych. Szereg skryptów do pracy z kontami użytkowników znajddziemy pod adresem http://www.microsoft.com/technet/treeview/default.asp?ucrl=/technet/scrip tcenter/user/default.asp?frame=true. GS-06. Utrzymanie dziennika działań 4 Harmonogram: codziennie Jednym z zadań administratora jest rejestrowanie na bieżąco własnych działań i tego, co musi zrobić w celu utrzymania i przeprowadzenia napraw w sieci. Z tego powodu każdy administrator powinien utrzymywać dziennik swoich działań. W idealnej wersji dziennik ten powinien mieć postać elektroniczną i być prze- nośny, aby można było robić notatki w każdej chwili. Może być przechowywany w komputerze ręcznym Tablet PC lub Pocket PC. Tablet PC jest bardziej przy- datny, ponieważ obsługuje w pełni funkcjonalną wersję Windows i pozwala uruchamiać pliki pomocy Windows Server 2003 (patrz procedura GS-21) oraz maszyny wirtualne w celu symulowania problematycznych sytuacji. Oprócz tego Microsoft OneNote idealnie nadaje się do rejestrowania codziennych czynności. Jeśli żadne z tych urządzeń nie jest dostępne, administrator powinien przynajm- niej nosić ze sobą cały czas papierowy dziennik. Sposób jego prowadzenia za- leży od osobistych preferencji, lecz czasem najlepiej jest rejestrować swoje działa- nia w miarę ich wykonywania zamiast czekać na określoną porę dnia. Rozdział 1. ♦ Ogólne zarządzanie serwerem 35 Przykładowy dziennik działań dostępny jest pod adresemd www.Reso- -Net.com/PocketAdmin. GS-07. Zarządzanie raportem o czasie dostępności systemu 4 Harmonogram: codziennie Raz na tydzień należy generować raporty o czasie dostępności wszystkich ser- werów. Pozwoli to śledzić stan poszczególnych serwerów i identyfikować, któ- re konfiguracje najlepiej sprawdzają się w danym środowisku. Do tworzenia tych raportów możemy posłużyć się kilkoma narzędzia mi. Ostatni wiersz raportu generowanego przez polecenie UTXKPHQ, opisane w proce- durze GS-02, informuje o tym, od jak dawna serwer jest czynny. Kolejne pole- cenie, U[UVGOKPHQ, podaje informacje o badanym serwerze i od jakiego czasu system funkcjonuje. Trzecie narzędzie, WRVKOG, zostało zaprojektowane specjal- nie do raportowania czasu pracy serwera. Narzędzie to trzeba pobrać z witryny Microsoftu. Przejdź do www.microsoft.com/downloads i wyszukaj „uptime”. Z pomocą tego narzędzia i odrobiny pomysłowości można generować raporty o czasie dostępności automatycznie: 1. 2. Pobierz i zainstaluj uptime.exe w folderze C:Toolkit. Utwórz plik poleceń, zawierający dla każdego serwera w sieci polecenie: WRVKOG PCYCUGTYGTC 3. 4. 5. Zapisz plik poleceń. Korzystając z procedury GS-19, stwórz cotygodniowy harmonogram dla tego pliku poleceń. W zaplanowanym zadaniu przekieruj wynik do pliku te kstowego za pomocą polecenia: PCYCRNKMWRQNGEGPEOF PCYCRNKMWVZV Polecenie WRVKOG będzie teraz tworzyć raport co tydzień. Od tej pory będziemy musieli jedynie znaleźć plik wyjściowy i przejrzeć wyniki. Microsoft TechNet Script Center zawiera dwa skrypty zwdiązane z zarządzaniem czasem dostępności systemu. Pierwszy dto Determining System Uptime, a drugi to Monitoring System Uptime. Oba dostępne są pod adresem http://www.microsoft.com/technet/treeview/default.asp?ucrl=/ technet/scriptcenter/monitor/default.asp?frame=true. 36 Windows Server 2003. Podręcznik administratora GS-08. Zarządzanie skryptami 4 Harmonogram: co tydzień Skrypty uruchamiane w środowisku Windows Script Host (host skryptów sys- temu Windows) są niezbędnym elementem zarządzania siecią Windows. Jak wiemy, skrypty w systemie Windows stanowią własny świat. Język pisania skryptów wyewoluował do poziomu, na którym skrypt stanowi wyrafinowany program, uruchamiany albo w trybie graficznym (przeznaczonym dla użytkow- ników), albo w trybie tekstowym (skrypty administracyjne). Wybór trybu odbywa się przez wybór polecenia aktywującego skrypt: YUETKRVPCYCUMT[RVW EUETKRVPCYCUMT[RVW gdzie YUETKRV uruchamia skrypt w trybie graficznym, a EUETKRV — w znakowym. Ponieważ pojawiły się już wirusy skryptowe, takie jak ILOVEYOU.vbs, musi- my upewnić się, że uruchamiane skrypty są bezpieczne. Najlepszym sposobem na to jest podpisywanie skryptów certyfikatami cyfrowymi. Najpierw musimy zdobyć certyfikat. Możemy go albo otrzymać od zewnętrznego wydawcy certy- fikatów, albo wydać sobie samemu, jeśli zdecydujemy się zainstalować własny serwer certyfikatów (usługę serwera dostępną w systemie Windows Server 2003). Do tego może posłużyć procedura DC-11. Podpisanie skryptu certyfikatem jest działaniem progrdamistycznym. Przykładowe skrypty do dodawania podpisów i zarządzandia nimi są dostępne w Microsoft TechNet Script Center pod adresdem http://www.microsoft.com/technet/treeview/default.asp?ucrl=/technet/scrip tcenter/security/default.asp?frame=true. Skrypty można również chronić przez zakodowanie. Microsoft Script Encoder jest dostępny pod adresem http://msdn.microsoft.com/scripting/vbscript/ download/x86/sce10en.exe. Każdy tworzony i podpisywany skrypt powinien mieć pełną, aktualizowaną co tydzień dokumentację, zawierającą wszystkie istotne i nformacje o skrypcie. Do dokumentowania zawartości skryptu może posłużyć inndy skrypt. Przykładowy kod dostępny jest w Microsoft TechNet Scriptd Center pod adresem http://www.microsoft.com/technet/treeview/default.asp?ucrl=/ technet/scriptcenter/other/ScrOth03.asp?frame=true. Rozdział 1. ♦ Ogólne zarządzanie serwerem 37 Pisanie skryptów może być sporym wyzwaniem, jeśli nie znamy Windows Ma- nagement Instrumentation (WMI) lub Active Directory Services Interface (ADSI). Dlatego też doskonałym pomysłem może być wykorzystanie do generowania za nas skryptów narzędzia Microsoft Scriptomatic. Narzędzie to jest dostępne w Microsoft Download Center; wystarczy poszukać Scriptomatic w www.micro- soft.com/downloads. Oprócz tego dobre wprowadzenie do pisania skryptów jest dostępne pod adresem http://msdn.microsoft.com/library/en-us/dnclinic/html/ scripting06112002.asp. Instalacja narzędzia Scriptomatic jest prosta, wystarczy rozpakować pobrane ar- chiwum. Plik scriptomatic.hta należy zapisać w folderze C:Toolkit. Możemy też użyć skrótu Uruchom jako (patrz procedura GS-01) do uruchamiania Scripto- matic i umieścić go w obszarze szybkiego uruchamiania. Aby napisać skrypt za pomocą narzędzia Scriptomatic: 1. 2. Uruchom scriptomatic.hta lub skrót Uruchom jako. W programie Scriptomatic wybierz klasę WMI, z którą ch cesz pracować. Każda klasa ma nazwę w postaci Win32_nazwa. Wystarczy zwrócić uwagę na ostatnią część nazwy klasy. Na przykład, aby napisać skrypt pozwalający wyświetlić stan każdej usługi, wybierz kl asę 9KPA5GTXKEG. Scriptomatic automatycznie generuje właściwy skrypt (patrz rysunek 1.2). Rysunek 1.2. Aby wygenerować skrypt wyświetlający grupy lokalnem w komputerze, wybierz klasę Win32_Group w narzędziu Scriptomatic 38 Windows Server 2003. Podręcznik administratora 3. Kliknij Run. Scriptomatic uruchomi konsolę poleceń, aby uruchomi ć skrypt. 4. Kliknij Save, aby zapisać skrypt w pliku z rozszerzeniem VBS. Skrypty te mogą posłużyć do wykonywania zadań administracyjnych i rejestro- wania wyników wyjściowych. W tym celu wpisz polecenie: EUETKRVPCYCUMT[RVWXDU PCYCRNKMWVZV gdzie PCYCUMT[RVWXDU oznacza nazwę skryptu przeznaczonego do uruchomie- nia, a PCYCRNKMWVZV będzie utworzonym plikiem z danymi wyjściowymi. Za pomocą procedury GS-19 można umieścić to polecenie w zaplanowanym zada- niu i uruchamiać zgodnie z harmonogramem. Scriptomatic może pomóc w generowaniu skryptów logowania. Aby utworzyć kompletny skrypt logowania, może okazać się konieczne połączenie fragmentu skryptu WMI z fragmentem skryptu ADSI. Opisuje to procedu ra DC-31. Oprócz skryptu logowania możemy chcieć wyświetlać komunikat dla użytkow- ników przed logowaniem. Pomaga to ostrzegać użytkowników przed prawny- mi konsekwencjami nadużycia sprzętu komputerowego i informacji. Do tego ponownie posłuży GPO. Aby wyświetlić komunikat przy logowaniu, można posłużyć się procedurą DC-16 do edycji odpowiedniego GPO i modyfikacji ustawień:  User Configuration/Windows Settings/Security Settings/Local Policies/ Security Options/Interactive Logon/Message title for users attempting to log on  User Configuration/Windows Settings/Security Settings/Local Policies/ Security Options/Interactive Logon/ Message text for users attempting to log on GS-09. Zarządzanie certyfikatami skryptów 4 Harmonogram: co tydzień Najlepszą metodą na zapewnienie, by jedynie podpisane skrypty mogły być uruchamiane w naszej sieci, są Zasady ograniczeń oprogramowania (ang. SRP — Software Restriction Policies). SRP umożliwiają weryfikację skryptów i pro- gramów poprzez wykorzystanie jednego z czterech sposobów:  Reguły mieszania,  Reguły certyfikatów, Rozdział 1. ♦ Ogólne zarządzanie serwerem 39  Reguły ścieżki,  Reguły strefy internetowej. Najprostsze i najbezpieczniejsze w użyciu są reguły mieszania i (lub) certyfika- tów. Obie można zastosować do skryptów i programów, takich jak pakiety insta- lacyjne dla przedsiębiorstwa (zwykle w formacie Instalatora systemu Windows .msi). Reguły SRP oparte na certyfikatach można zastosować lub zweryfikować następująco: 1. Zastosuj procedurę DC-16 do edycji odpowiedniego GPO. Powinna się ona stosować do wszystkich docelowych systemów. 2. Kliknij prawym przyciskiem myszy Zasady ograniczeń oprogramowania (Konfiguracja komputera/Ustawienia systemu Windows/Ustawienia zabezpieczeń/Zasady ograniczeń oprogramowania) i wybierz Nowe zasady ograniczeń oprogramowania z menu podręcznego. Ta czynność spowoduje wygenerowanie środowiska SRP. 3. Upewnij się, że w lewym panelu rozwinięte są Zasady ograniczeń oprogramowania, a następnie kliknij prawym przyciskiem myszy Reguły dodatkowe i wybierz Nowa reguła certyfikatu. 4. W oknie dialogowym Nowa reguła certyfikatu kliknij Przeglądaj, aby znaleźć certyfikat używany do podpisywania pakietów instalacyjnych i skryptów, wybierz poziom zabezpieczeń Bez ograniczeń i wpisz opis. Kliknij OK. 5. Przejdź do Zasad ograniczeń oprogramowania i wybierz z prawego panelu Wyznaczone typy plików. Pliki .wsh i .msi będą już wymienione jako wyznaczone. Kliknij OK, aby zamknąć okno dialogowe. 6. Wybierz w tej samej lokalizacji Zaufani wydawcy. Upewnij się, że Użytkownicy końcowi mogą przyjmować certyfikaty, i że zaznaczone są pola wyboru przy Wydawca i Sygnatura czasowa. Kliknij OK. 7. Wybierz Wymuszanie, aby sprawdzić, czy pliki .dll nie są weryfikowane, i czy to ustawienie stosuje się do wszystkich użytk owników. Można wyłączyć z tej reguły administratorów lokalnych, lecz z dużą rozwagą. 8. Udokumentuj wszystkie zmiany. 40 Windows Server 2003. Podręcznik administratora GS-10. Aktualizacje definicji wirusów dla programów antywirusowych 4 Harmonogram: co tydzień Ochrona przed wirusami jest kluczowym elementem zintegrowanego systemu ochrony. Oznacza to, że musimdy na bieżąco kontrolować poprawność jej działania. To jest pierwsze zadanie typu ogólnego. Zostało tu umieszczone, ponieważ należy je bezwzględnie wykonywać w serwerach, lecz nie dotyczy samego sys- temu Windows Server 2003. Zarządzanie zabezpieczeniami antywirusowymi wymaga wykonywania trzech cotygodniowych zadań:  Kontroli dzienników systemu antywirusowego, aby upew nić się, że w ciągu ostatniego dnia nie zostały znalezione ża dne wirusy.  Kontroli konsoli zarządzania systemem antywirusowym, aby sprawdzić, czy posiadane sygnatury wirusów są aktualne. Harmono gram aktualizacji można zmienić, jeśli jest niewystarczający lub gdy w zrasta zagrożenie wirusami.  Losowego skanowania udziałów plikowych, aplikacji i dysków systemowych, aby upewnić się, że nie zawierają wirus ów. W niektórych narzędziach antywirusowych większość tych zadań można zauto- matyzować, a konsola zarządzająca oprogramowaniem może ostrzegać admini- stratora o znalezieniu nowych wirusów. Upewnij się, że narzędzie antywirusowe jest zgodne zd systemem Windows Server 2003. Najlepiej byłoby, gdyby program był dcertyfikowany dla tej platformy. GS-11. Restart serwera 4 Harmonogram: co tydzień Od chwili pojawienia się Windows NT Microsoftu, zwłaszcza NT 4.0 w roku 1996, większość administratorów systemów doszła do wniosku, że dobrze jest regularnie restartować serwery korzystające z tego systemu operacyjnego, aby Rozdział 1. ♦ Ogólne zarządzanie serwerem 41 oczyścić pamięć RAM i ogólnie odświeżyć system. Od tamtej pory Microsoft podjął poważne wysiłki, by ograniczyć, a nawet wyeliminować konieczność wykonywania tej procedury. Przed wprowadzeniem tego zwyczaju w życie zdecydowandie radzimy zorientować się, jak Windows Server 2003 funkcjonuje w dadnej sieci. Okaże się, że serwery WS03 nie wymagają już regularnych rdestartów. W istocie Czytelników może zaskoczyć poziom dostępności, jaki można osiągnąć w tym systemie operacyjnym. Dowodem będą raporty czadsu dostępności, generowane w procedurze GS-07. Jeśli ktoś uzna, że regularne wykonywanie tej czynności jest niezbędne, to może posłużyć się poleceniem UJWVFQYP, pozwalającym zdalnie wyłączać i restartować serwery. Poniższe polecenie wykonuje restart zdalne go serwera: UJWVFQYPTHO nazwaserwera gdzie T żąda restartu, H zmusza uruchomione aplikacje do zamknięcia, a O wskazuje komputer przeznaczony do restartu. Podobnie jak w przypadku każ- dego polecenia tekstowego, możemy utworzyć plik poleceń zawierający polece- nie dla każdego serwera, który chcemy zamknąć. W takim przypadku należy do- datkowo użyć parametru E, aby dodać komunikat do polecenia: UJWVFQYPTHO nazwaserweraE QV[IQFPKQY[TGUVCTVUGTYGTC Procedura GS-19 pozwoli przypisać plik poleceń do zaplanowanego za dania. Polecenie UJWVFQYP automatycznie omija Śledzenie zdarzeń zamknięcia systemu — okno dialogowe, które musimy standardowo wypełnić przy wyłączaniu serwera Windows Server 2003. Wobec tego ndależy utrzymywać rejestr zdarzeń wyłączenia systemu, aby dokdumentować zautomatyzowane restarty. Śledzenie zdarzeń zamknięcia systemu to narzędzie, którego Windows Server 2003 używa do rejestrowania informacji o wyłączaniu i restartach serwera. Zapisuje ono swoje informacje w folderze SystemRootSystem32LogFilesShutdown. Działanie narzędzia można kontrolować przez dwa usta wienia GPO:  Konfiguracja komputera/Szablony administracyjne/System/Wyświetl śledzenie zdarzeń zamknięcia systemu  Konfiguracja komputera/Szablony administracyjne/System/Uaktywnij funkcję Dane o stanie systemu Śledzenie zdarzeń zamknięciia systemu Do modyfikacji odpowiedniego GPO może posłużyć procedura DC-16. Ten obiekt GPO powinien stosować się do wszystkich serweró w. 42 Windows Server 2003. Podręcznik administratora Microsoft TechNet Script Center zawiera przykładowy skrdypt do restartu komputera pod adresem http://www.microsoft.com/technet/treeview/ default.asp?url=/technet/scriptcenter/comptmgmt/ ScrCM38.asp?frame=true. GS-12. Przegląd i aktualizacja zasad zabezpieczeń 4 Harmonogram: co miesiąc Zasady zabezpieczeń są narzędziem, które stanowi podstawę programu bezpie- czeństwa sieci. Decydują o wszystkim, między innymi o tym, jak reagować na naruszenia bezpieczeństwa i jak chronić się przed nimi. Identyfikują jednolite standardy bezpieczeństwa, które implementujemy w organizacji, i obejmujące procedury zarówno techniczne, jak i nietechniczne. Przykładem zasad technicz- nych mogą być parametry zabezpieczeń, definiowane podczas przygotowywa- nia do eksploatacji każdego komputera w organizacji. Zasady nietechniczne to przyzwyczajenie użytkowników do wybierania i chronienia złożonych haseł. Oprócz tego musimy zidentyfikować parametry dla każdej zdefiniowanej zasady. Przykładowa lista pozycji zawartych w zasadach zabezdpieczeń dostępna jest na stronie WWW towarzyszącej książce: www.Reso-Net.com/ PocketAdmin. Comiesięczna weryfikacja zasad zabezpieczeń powinna obejmować przegląd wszystkich pozycji zawartych w tych zasadach i odpo wiadać na pytania:  Jak skuteczny jest program komunikacji z użytkownik ami? Czy powinien być ulepszony?  Jak skuteczne są strategie bezpieczeństwa? Czy powinny być wzmocnione?  Czy administratorzy stosują się do wszystkich zasad bezpieczeństwa?  Czy nie zostały zidentyfikowane jakieś potencjalne na ruszenia bezpieczeństwa?  Czy nowe technologie są bezpieczne? Jaki jest ich wpływ na globalną strategię bezpieczeństwa firmy? Wszystkie zmiany dokonane podczas tego przeglądu powinny zostać udokumen- towane i przekazane użytkownikom. Rozdział 1. ♦ Ogólne zarządzanie serwerem 43 GS-13. Weryfikacja aktualizacji zabezpieczeń 4 Harmonogram: co miesiąc Aktualizacje zabezpieczeń są nieuniknionym elementem środowiska kompute- rowego każdej organizacji. Lecz jeśli nasze systemy operacyjne są prawidłowo zaprojektowane a w serwerach uruchomione są tylko usługi niezbędne d
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

Windows Server 2003. Podręcznik administratora
Autor:
,

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: