Darmowy fragment publikacji:
IDZ DO
IDZ DO
PRZYK£ADOWY ROZDZIA£
PRZYK£ADOWY ROZDZIA£
SPIS TREĎCI
SPIS TREĎCI
KATALOG KSI¥¯EK
KATALOG KSI¥¯EK
KATALOG ONLINE
KATALOG ONLINE
ZAMÓW DRUKOWANY KATALOG
ZAMÓW DRUKOWANY KATALOG
TWÓJ KOSZYK
TWÓJ KOSZYK
DODAJ DO KOSZYKA
DODAJ DO KOSZYKA
CENNIK I INFORMACJE
CENNIK I INFORMACJE
ZAMÓW INFORMACJE
ZAMÓW INFORMACJE
O NOWOĎCIACH
O NOWOĎCIACH
ZAMÓW CENNIK
ZAMÓW CENNIK
CZYTELNIA
CZYTELNIA
FRAGMENTY KSI¥¯EK ONLINE
FRAGMENTY KSI¥¯EK ONLINE
Windows Server 2003.
Podrêcznik administratora
Autorzy: Nelson Ruest, Danielle Ruest
T³umaczenie: Adam Jarczyk
ISBN: 83-7361-421-4
Tytu³ orygina³u: Windows Server 2003 Pocket Administrator
Format: B5, stron: 264
„Windows Server 2003. Podrêcznik administratora” to ksi¹¿ka opisuj¹ca najwa¿niejsze
kwestie zwi¹zane z zarz¹dzaniem systemem Windows Server 2003 i rozwi¹zywaniem
dotycz¹cych go problemów. Opisuje ona ponad 160 zadañ administracyjnych, wraz
z zalecan¹ czêstotliwoġci¹ wykonywania ka¿dego z nich. Rozpoczyna siê
przedstawieniem ogólnych dzia³añ, które nale¿y podj¹æ w przypadku wszystkich
serwerów, niezale¿nie od roli, jak¹ pe³ni¹. Omówione zosta³y równie¿ jednorazowe
zadania, które musimy wykonaæ, aby odpowiednio przygotowaæ ġrodowisko
administracyjne. Opisano ponadto klastry serwerów, a tak¿e serwery zarz¹dzaj¹ce
infrastruktur¹ sieciow¹, w sk³ad których wchodz¹ DHCP (Dynamic Host Configuration
Protocol) i WINS (Windows Internet Naming Service). Zosta³y przedstawione równie¿
serwery s³u¿¹ce do zdalnej instalacji systemów operacyjnych, takich jak Windows XP
lub sam Windows Server 2003. Na koniec omówiono jeszcze czynnoġci administracyjne
zwi¹zane z wydajnoġci¹ i monitorowaniem sieci.
W ksi¹¿ce omówiono miêdzy innymi:
• Serwery zarz¹dzania to¿samoġciami
• Active Directory
• Serwery DNS
• Dedykowane serwery WWW
• Serwery aplikacji
• Serwery terminali
• Serwery DHCP i WINS
• Serwery dostêpu zdalnego i VPN
O autorach:
Wydawnictwo Helion
ul. Chopina 6
44-100 Gliwice
tel. (32)230-98-63
e-mail: helion@helion.pl
Nelson Ruest g³ównie zajmuje siê przygotowywaniem strategicznych rozwi¹zañ
dla du¿ych firm i specjalizuje siê w projektach infrastruktury. W swojej urozmaiconej
karierze zawodowej bywa³ operatorem komputerów, administratorem systemów i sieci
oraz mened¿erem IT.
Danielle Ruest zajmuje siê organizacj¹ pracy oraz doradztwem z zakresu biznesu.
Specjalizuje siê w problemach zwi¹zanych z wdra¿aniem du¿ych projektów
informatycznych. Wraz z Nelsonem Ruestem jest autork¹ „Windows Server 2003:
Best Practices for Enterprise Deployments”. Oboje pisuj¹ do MCP Magazine i .NET
Magazine oraz pracuj¹ dla Resolutions Enterprises.
Spis treści
O Autorach...................................................h...............11
Przedmowa ...................................................h..............13
Wstęp ...................................................h......................15
Rozdział 1. Ogólne zarządzanie serwerem ......................................21
Czynności administracyjne ...................................................a................ 21
Ogólne zarządzanie serwerem ...................................................a........... 24
GS-01. Skróty Uruchom jako ...................................................a...... 24
GS-02. Ogólna weryfikacja stanu usług ......................................... 28
GS-03. Weryfikacja dziennika zdarzeń System ............................. 29
GS-04. Weryfikacja dziennika zdarzeń Zabezpieczenia ................ 30
GS-05. Zarządzanie kontami usług i administracyjnymi................ 32
GS-06. Utrzymanie dziennika działań ............................................ 34
GS-07. Zarządzanie raportem o czasie dostępności systemu ......... 35
GS-08. Zarządzanie skryptami ...................................................a.... 36
GS-09. Zarządzanie certyfikatami skryptów .................................. 38
GS-10. Aktualizacje definicji wirusów
dla programów antywirusowych ........................................ 40
GS-11. Restart serwera ...................................................a................ 40
GS-12. Przegląd i aktualizacja zasad zabezpieczeń........................ 42
GS-13. Weryfikacja aktualizacji zabezpieczeń ................................. 43
GS-14. Aktualizacja poprawek i pakietów Service Pack ............... 45
GS-15. Ocena nowego oprogramowania ........................................ 46
GS-16. Inwentaryzacja ...................................................a................ 47
GS-17. Tworzenie globalnej konsoli MMC ................................... 50
GS-18. Automatyczne pobieranie sygnatur
dla oprogramowania antywirusowego ............................... 51
GS-19. Tworzenie i weryfikacja zaplanowanych zadań................. 52
6
Windows Server 2003. Podręcznik administratora
GS-20. Tworzenie i modyfikacja szablonów zabezpieczeń ........... 53
GS-21. Zarządzanie plikami pomocy technicznej .......................... 55
GS-22. Przygotowanie serwera ...................................................a... 55
GS-23. Konfiguracja narzędzi administracyjnych.......................... 56
GS-24. Aktualizacja domyślnego profilu użytkowników .............. 57
GS-25. Przegląd środowiska sprzętowego ..................................... 59
GS-26. Dokumentacja systemu i sieci ............................................ 60
GS-27. Zarządzanie umowami o świadczeniu usług ...................... 60
GS-28. Zarządzanie priorytetami w rozwiązywaniu problemów ... 61
GS-29. Przegląd nakładów pracy ...................................................a 61
Administrowanie sprzętem ...................................................a................ 61
HW-01. Kontrola urządzeń sieciowych.......................................... 62
HW-02. Zarządzanie BIOS-em serwerów ...................................... 62
HW-03. Zarządzanie aktualizacjami oprogramowania
sprzętowego i zarządzającego serwerami ........................ 63
HW-04. Zarządzanie urządzeniami ................................................ 63
Tworzenie i przywracanie kopii zapasowych ....................................... 64
BR-01. Generowanie kopii zapasowych stanu systemu ................. 65
BR-02. Weryfikacja kopii zapasowych .......................................... 66
BR-03. Zarządzanie składowaniem taśm
poza lokalizacją serwerów ................................................. 67
BR-04. Testowanie strategii usuwania skutków awarii.................. 67
BR-05. Testowanie procedury przywracania kopii zapasowych.... 68
BR-06. Przegląd strategii kopii zapasowych .................................. 69
BR-07. Odbudowa serwera...................................................a.......... 69
Administrowanie zdalne ...................................................a.................... 70
RA-01. Zarządzanie RDC w serwerach.......................................... 70
RA-02. Zarządzanie RDC w komputerach osobistych................... 72
RA-03. Pomoc dla użytkowników poprzez narzędzie Pomoc zdalna . 73
RA-04. Skróty do Podłączania pulpitu zdalnego
i dostęp przez WWW...................................................a...... 74
Rozdział 2. Zarządzanie serwerami plików i drukowania .................77
Czynności administracyjne ...................................................a................ 77
Administrowanie usługami plików ...................................................a........ 79
FS-01. Weryfikacja dostępnego miejsca ........................................ 80
FS-02. Zarządzanie kopiami zapasowymi danych ......................... 81
FS-03. Zarządzanie folderami udostępnionymi .................................. 82
FS-04. Weryfikacja dziennika zdarzeń usługi replikacji plików .... 84
FS-05. Zarządzanie kopiowaniem woluminów w tle...................... 85
FS-06. Zarządzanie rozproszonym systemem plików .................... 87
FS-07. Zarządzanie przydziałami ...................................................a 88
FS-08. Zarządzanie usługą indeksowania....................................... 89
FS-09. Weryfikacja integralności dysków danych ......................... 89
FS-10. Defragmentacja dysków z danymi ...................................... 90
Spis treści
7
FS-11. Weryfikacja dziennika inspekcji dostępu do plików .......... 91
FS-12. Usuwanie plików tymczasowych ........................................ 92
FS-13. Weryfikacja parametrów zabezpieczeń ................................... 93
FS-14. Zarządzanie folderami zaszyfrowanymi................................. 94
FS-15. Archiwizacja danych ...................................................a........ 94
FS-16. Zarządzanie usługą replikacji plików.................................. 95
FS-17. Zarządzanie dyskami i woluminami ................................... 97
Usługi drukowania ...................................................a............................. 97
PS-01. Zarządzanie kolejkami drukowania .................................... 99
PS-02. Zarządzanie dostępem do drukarek..................................... 99
PS-03. Zarządzanie sterownikami drukarek ................................. 100
PS-04. Udostępnianie drukarek ...................................................a. 101
PS-05. Zarządzanie buforowaniem drukowanych dokumentów .. 102
PS-06. Zarządzanie śledzeniem lokalizacji drukarek ................... 102
PS-07. Masowe zarządzanie drukarkami...................................... 104
PS-08. Ocena nowych modeli drukarek ....................................... 104
Usługi klastrów ...................................................a................................ 105
CS-01. Klastry — weryfikacja ich stanu ...................................... 105
CS-02. Klastry — weryfikacja stanu kolejek drukowania ........... 106
CS-03. Klastry — zarządzanie serwerem klastrów ...................... 106
CS-04. Klastry — weryfikacja stanu kworum................................ 107
Rozdział 3. Zarządzanie serwerami infrastruktury sieciowej ..........109
Czynności administracyjne ...................................................a.............. 109
Administrowanie serwerami DHCP i WINS ...................................... 111
DW-01. Weryfikacja stanu serwera DHCP .................................. 111
DW-02. Weryfikacja stanu serwera WINS................................... 115
DW-03. Zarządzanie rekordami WINS ........................................ 117
DW-04. Zarządzanie atrybutami DHCP....................................... 117
DW-05. Zarządzanie zakresami DHCP ........................................ 119
DW-06. Zarządzanie rezerwacjami DHCP................................... 120
DW-07. Zarządzanie superzakresami DHCP ............................... 121
DW-08. Zarządzanie zakresami multiemisji DHCP..................... 122
DW-09. Zarządzanie klasami opcji DHCP................................... 123
DW-10. Autoryzacja serwerów DHCP i RIS ............................... 126
Serwery wdrażania ...................................................a........................... 127
RI-01. Weryfikacja stanu serwera RIS ......................................... 128
RI-02. Zarządzanie obrazami RIS ................................................ 128
Klastry NLB ...................................................a..................................... 130
NC-01. Weryfikacja stanu klastrów NLB .................................... 130
NC-02. Zarządzanie członkami klastrów NLB............................. 131
Dostęp zdalny i sieci VPN ...................................................a............... 132
RV-01. Weryfikacja stanu serwerów dostępu zdalnego............... 133
RV-02. Weryfikacja stanu serwerów RADIUS/IAS .................... 134
RV-03. Monitorowanie sieci bezprzewodowych ................................ 134
8
Windows Server 2003. Podręcznik administratora
RV-04. Weryfikacja zasad dostępu zdalnego ............................... 135
RV-05. Zarządzanie usługą NAT.................................................. 135
RV-06. Zarządzanie łączami VPN................................................ 136
Rozdział 4. Zarządzanie serwerami tożsamości ................................139
Czynności administracyjne ...................................................a.............. 139
Zarządzanie kontrolerami domen...................................................a...... 141
DC-01. Zarządzanie użytkownikami ............................................ 142
DC-02. Zmiana haseł użytkowników ........................................... 145
DC-03. Weryfikacja dziennika zdarzeń usługi katalogowej ........ 147
DC-04. Zarządzanie kontami...................................................a..... 147
DC-05. Zarządzanie grupami zabezpieczeń ................................. 148
DC-06. Kontrola stanu usługi KCC.............................................. 151
DC-07. Kontrola topologii replikacji AD ..................................... 152
DC-08. Weryfikacja stanu wykazu globalnego................................ 154
DC-09. Zarządzanie administracyjnymi grupami uniwersalnymi...155
DC-10. Weryfikacja zasad kont...................................................a. 156
DC-11. Weryfikacja usługi PKI ...................................................a 158
DC-12. Weryfikacja usługi AD i konta administratora ................ 159
DC-13. Zarządzanie obiektami Lost And Found.......................... 159
DC-14. Zarządzanie delegowaniem praw..................................... 160
DC-15. Zarządzanie instalowaniem oprogramowania.................. 163
DC-16. Zarządzanie GPO ...................................................a.......... 165
DC-17. Zarządzanie obiektami komputerów................................ 167
DC-18. Zarządzanie grupami dystrybucyjnymi .............................. 169
DC-19. Zarządzanie lasem AD...................................................a.. 170
DC-20. Zarządzanie informacjami w AD..................................... 172
DC-21. Zarządzanie schematem ...................................................a 172
DC-22. Zarządzanie dostępem do schematu................................. 174
DC-23. Modyfikacje zawartości schematu................................... 175
DC-24. Ocena programów modyfikujących schemat................... 177
DC-25. Zarządzanie rolami wzorców operacji............................... 178
DC-26. Przenoszenie ról wzorców operacji ................................. 181
DC-27. Przywracanie wzorców operacji po awarii ...................... 182
DC-28. Promocja kontrolerów domen.......................................... 182
DC-29. Przywracanie kontrolerów domen ................................... 185
DC-30. Zarządzanie relacjami zaufania........................................ 187
DC-31. Zarządzanie strukturami lasów, domen i OU .................. 189
DC-32. Zarządzanie skryptami Active Directory ......................... 191
DC-33. Zarządzanie synchronizacją czasu ................................... 193
DC-34. Zarządzanie listami kontroli dostępu ............................... 194
DC-35. Zarządzanie zapisanymi kwerendami .............................. 197
DC-36. Zarządzanie miejscem w AD ........................................... 198
DC-37. Zarządzanie zasadami kwerend LDAP.............................. 199
DC-38. Zarządzanie bazą danych AD .......................................... 201
Spis treści
9
Zarządzanie serwerem przestrzeni nazw (DNS) ................................. 202
DN-01. Kontrola dziennika zdarzeń DNS .................................... 202
DN-02. Zarządzanie konfiguracją DNS-u .................................... 203
DN-03. Zarządzanie rekordami DNS ........................................... 204
DN-04. Zarządzanie partycją aplikacji DNS ................................ 205
Rozdział 5. Zarządzanie serwerami aplikacji.................................207
Czynności administracyjne ...................................................a.............. 207
Zarządzanie dedykowanymi serwerami WWW ................................. 209
WS-01. Weryfikacja dziennika zdarzeń Aplikacje....................... 209
WS-02. Weryfikacja stanu serwera IIS ........................................ 210
WS-03. Generowanie statystyk użycia serwera IIS...................... 211
WS-04. Weryfikacja dziennika zdarzeń serwera WWW.............. 213
WS-05. Weryfikacja aktualizacji zabezpieczeń IIS...................... 214
WS-06. Zarządzanie konfiguracją serwera WWW....................... 215
Zarządzanie serwerami aplikacji...................................................a...... 216
AS-01. Weryfikacja stanu współużytkowanych aplikacji ............ 217
AS-02. Administrowanie aplikacjami COM+ .............................. 218
AS-03. Administrowanie aplikacjami .NET................................. 221
AS-04. Administrowanie serwerem baz danych........................... 223
AS-05. Dostęp klientów serwera aplikacji ................................... 223
AS-06. Instalacja oprogramowania użytkowników...................... 224
Serwery usług terminalowych...................................................a.......... 226
TS-01. Zarządzanie połączeniami usług terminalowych.............. 227
TS-02. Zarządzanie drukarkami w usługach terminalowych ....... 228
TS-03. Zarządzanie katalogiem sesji ............................................ 229
TS-04. Administrowanie licencjami usług terminalowych .......... 230
TS-05. Administrowanie dostępem użytkowników
usług terminalowych ...................................................a..... 230
TS-06. Zarządzanie aplikacjami w usługach terminalowych ....... 231
Zarządzanie wydajnością i monitorowaniem...................................... 232
PM-01. Weryfikacja dzienników ruterów i zapór sieciowych ..... 233
PM-02. Ogólne monitorowanie miejsca na dyskach .................... 234
PM-03. Zarządzanie zasobami systemów..................................... 235
PM-04. Monitorowanie ruchu w sieci .......................................... 237
PM-05. Zarządzanie wydajnością serwerów ................................ 238
PM-06. Diagnostyka systemów ...................................................a. 240
PM-07. Zarządzanie raportowaniem błędów w przedsiębiorstwie.... 241
PM-08. Przegląd narzędzi do monitorowania ................................ 242
Uwagi końcowe...................................................a................................ 243
Dodatek A Lista częstotliwości wykonywania zadań ....................245
Skorowidz ...................................................h..............251
Rozdział 1.
Ogólne zarządzanie
serwerem
Wprawdzie większość serwerów odgrywa konkretne role w strukturze naszej or-
ganizacji, lecz jest oczywiste, że pewne zadania administracyjne należy wyko-
nywać we wszystkich serwerach, niezależnie od ich ról. Są to ogólne zadania
administracyjne. Należą do nich wszelkie czynności — od upewnienia się, że
serwer funkcjonuje poprawnie, aż po weryfikację, czy konfiguracja serwera jest
zgodna ze standardami organizacji. Wiele z tych zadań ma charakter technicz-
ny i część z nich może być zautomatyzowana, lecz niektóre są czysto admini-
stracyjne i ich przeprowadzenie nie wymaga pracy z technologią.
Czynności administracyjne
Ogólne zarządzanie serwerami Windows dzieli się na cztery kategorie admini-
stracyjne. Należą do nich ogólna obsługa serwera, sprzęt, tworzenie i przywra-
canie kopii zapasowych oraz administrowanie zdalne. Tabela 1.1 przedstawia
listę czynności administracyjnych, które musimy wykonywać regularnie, aby za-
pewnić prawidłowe funkcjonowanie usług, świadczonych przez serwery naszej
społeczności użytkowników. W tabeli tej została też przedstawiona częstotliwość
wykonywania poszczególnych zadań.
Nie każdy musi zgadzać się z częstotliwością zadań zasugerowaną w tabeli 1.1.
Co więcej, wykonywanie absolutnie wszystkich czynności może nie być koniecz-
ne, jeśli nie stosujemy wszystkich wspomnianych w tabeli usług. Dlatego Czy-
telnik powinien spersonalizować tę książkę, zaznaczając wszystkie numery pro-
cedur, z których faktycznie będzie korzystać. Dzięki temu łatwiej będzie znaleźć
najczęściej używane procedury.
22
Windows Server 2003. Podręcznik administratora
Tabela 1.1. Lista zadań administracyjnych dla serwera
Nr procedury Czynność
Harmonogram
GS-01
GS-02
GS-03
GS-04
GS-05
GS-06
GS-07
GS-08
GS-09
GS-10
GS-11
GS-12
GS-13
GS-14
GS-15
GS-16
GS-17
GS-18
GS-19
GS-20
GS-21
GS-22
GS-23
GS-24
GS-25
GS-26
GS-27
GS-28
Ogólne zarządzanie serwerem
Skróty Uruchom jako
Ogólna weryfikacja stanu usług
Weryfikacja dziennika zdarzeń System
Codziennie
Codziennie
Codziennie
Weryfikacja dziennika zdarzeń Zabezpieczenia
Codziennie
Zarządzanie kontami usług i administracyjnymi
Codziennie
Utrzymanie dziennika działań
Codziennie
Zarządzanie raportem o czasie dostępności systemu Co tydzień
Zarządzanie skryptami
Zarządzanie certyfikatami skryptów
Aktualizacje definicji wirusów dla programów
antywirusowych
Restart serwera
Przegląd i aktualizacja zasad zabezpieczeń
Weryfikacja aktualizacji zabezpieczeń
Co tydzień
Co tydzień
Co tydzień
Co tydzień
Co miesiąc
Co miesiąc
Aktualizacja poprawek i pakietów Service Pack
Co miesiąc
Ocena nowego oprogramowania
Inwentaryzacja
Tworzenie globalnej konsoli MMC
Automatyczne pobieranie sygnatur
dla oprogramowania antywirusowego
Co miesiąc
Co miesiąc
W miarę potrzeb
W miarę potrzeb
Tworzenie i weryfikacja zaplanowanych zadań W miarę potrzeb
Tworzenie i modyfikacja szablonów zabezpieczeń W miarę potrzeb
Zarządzanie plikami pomocy technicznej
W miarę potrzeb
Przygotowanie serwera
W miarę potrzeb
Konfiguracja narzędzi administracyjnych
W miarę potrzeb
Aktualizacja domyślnego profilu użytkowników W miarę potrzeb
Przegląd środowiska sprzętowego
Dokumentacja systemu i sieci
W miarę potrzeb
W miarę potrzeb
Zarządzanie umowami o świadczeniu usług
W miarę potrzeb
Zarządzanie priorytetami w rozwiązywaniu
problemów
W miarę potrzeb
GS-29
Przegląd nakładów pracy
W miarę potrzeb
Rozdział 1. ♦ Ogólne zarządzanie serwerem
23
Tabela 1.1. Lista zadań administracyjnych dla serwera (ciąg damlszy)
Nr procedury Czynność
Harmonogram
HW-01
HW-02
HW-03
Sprzęt
Kontrola urządzeń sieciowych
Zarządzanie BIOS-em serwerów
Zarządzanie aktualizacjami oprogramowania
sprzętowego i zarządzającego serwerami
Co tydzień
Co miesiąc
Co miesiąc
HW-04
Zarządzanie urządzeniami
W miarę potrzeb
BR-01
BR-02
BR-03
BR-04
BR-05
BR-06
BR-07
RA-01
RA-02
RA-03
RA-04
Tworzenie i przywracanie kopii zapasowych
Generowanie kopii zapasowych stanu systemu
Codziennie
Weryfikacja kopii zapasowych
Zarządzanie składowaniem taśm poza lokalizacją
serwerów
Codziennie
Co tydzień
Testowanie strategii usuwania skutków awarii
Co miesiąc
Testowanie procedury przywracania kopii
zapasowych
Co miesiąc
Przegląd strategii kopii zapasowych
Co miesiąc
Odbudowa serwera
Administrowanie zdalne
W miarę potrzeb
Zarządzanie RDC w serwerach
Co miesiąc
Zarządzanie RDC w komputerach osobistych
Co miesiąc
Pomoc dla użytkowników poprzez narzędzie
Pomoc zdalna
W miarę potrzeb
Skróty do Podłączania pulpitu zdalnego i dostęp
przez WWW
W miarę potrzeb
Harmonogram również może różnić się od przedstawionego w tabeli 1.1. Czę-
stotliwość zadań zależy od mnóstwa czynników, na przykład od niezawodności
systemu, jego obciążenia, wielkości i szybkości dysków, mocy obliczeniowej pro-
cesorów i tak dalej. Jeśli przedstawiony harmonogram nie pasuje do konkretnych
potrzeb, można go zmienić.
Jeśli przedstawiony harmonogram nie zaspokaja potrzdeb Czytelników,
prosimy o uwagi. Chętnie dowiemy się, jaki harmonogdram najlepiej
pasuje do Waszych wymagań i opublikujemy zaktualizodwane arkusze
na stronie www.Reso-Net.com/PocketAdmin. Oczekujemy na uwagi pod adresem
PocketAdmin@Reso-Net.com.
24
Windows Server 2003. Podręcznik administratora
Ogólne zarządzanie serwerem
Serwery z założenia projektowane są z myślą o obsługiwaniu wielu użytkowni-
ków wykonujących codzienne zadania. Niezależnie od tego, czy organizacja ma
4 użytkowników czy 4000, zadaniem administratora systemów jest zapewnienie,
by systemy działały poprawnie, zagwarantowanie ich bezpieczeństwa i wydaj-
ności wystarczającej do produktywnego funkcjonowania serwerów teraz i w przy-
szłości.
Część działań wymaganych, by osiągnąć te cele stosuje się do wszystkich ser-
werów. Wiele z nich dotyczy po prostu ciągłości działania systemu i sposobów
interakcji z nim.
GS-01. Skróty Uruchom jako
4 Harmonogram: codziennie
Praca z serwerami często wymaga dostępu administrac yjnego do systemu. Prawa
dostępu przyznane administratorom systemów Windows Server 2003 są ogrom-
ne, ponieważ pozwalają na całkowitą kontrolę nad komputerem na poziomie
lokalnym, nad domeną na poziomie domeny i nad całym lasem na poziomie
przedsiębiorstwa. Praw tych musimy używać z rozwagą, szczególnie dlatego,
że każdy program działający w kontekście administracyjnym uzyskuje automa-
tycznie wszystkie prawa do komputera.
Ponieważ konta administracyjne mogą stanowić
zagrożenie dla przedsiębiorstwa, należy zmienić ich
nazwy na inne niż domyślne i zastosować do nich silnde,
złożone hasła, zwykle dłuższe niż 15 znaków. Aby dodatkowdo zwiększyć
bezpieczeństwo tych kont, możemy je powiązać z kartamid inteligentnymi.
Na przykład, wirus lub robak uruchomiony w kontekście administracyjnym może
spowodować o wiele więcej szkód niż wtedy, gdy uruchomi się w kontekście
użytkownika. Z tego powodu skróty Uruchom jako są tak ważne. Ponieważ
umożliwiają one wykonywanie poleceń i uruchamianie aplikacji w innym kon-
tekście zabezpieczeń, pozwalają na bardziej oszczędne stosowanie dostępu ad-
ministracyjnego — możemy korzystać z konta zwykłego użytkownika, wyko-
nując działania administracyjne z ograniczeniem dost ępu administracyjnego do
minimum, jednocześnie chroniąc dobra przedsiębiorstwa .
Rozdział 1. ♦ Ogólne zarządzanie serwerem
25
Poprzez Uruchom jako możemy skorzystać z każdego narzędzia.
W systemie Windows Server 2003 wystarczy kliknąć prawym pdrzyciskiem
myszy narzędzie, wybrać Uruchom jako, podać odpowiednią nazwę konta
i hasło oraz kliknąć OK. Jeśli polecenie Uruchom jako nie pojawia się w menu
podręcznym, należy przy kliknięciu prawym przyciskidem myszy przytrzymać
klawisz Shift.
To zadanie zostało określone jako wykonywane codziennie, ponieważ jeśli pra-
widłowo zaprojektujemy skróty, to będziemy z nich korzystać codziennie przy
wykonywaniu czynności administracyjnych w każdym serwerze w obrębie or-
ganizacji. Możemy tworzyć tyle skrótów, ile tylko potrzebujemy. Zaletą skrótów
Uruchom jako jest możliwość wyboru konta administracyjnego przy każdym
uruchomieniu narzędzia. Dzięki temu możemy do każdego skrótu przyznać
tylko niezbędne prawa dostępu. I ponieważ skróty nie są uruchamiane automa-
tycznie w nowym kontekście (nie można osadzić w nich nazwy konta i hasła),
same z siebie nie stanowią zagrożenia.
Najbezpieczniejszą metodą korzystania z polecenia
Uruchom jako jest stosowanie skrótów w trybie
graficznym.
Za pomocą skrótów Uruchom jako warto uruchamiać nastę pujące narzędzia:
globalną konsolę MMC, którą utworzymy w procedurze GS-17,
Eksplorator Windows,
wiersz poleceń,
narzędzie Kopia zapasowa.
narzędzia wyspecjalizowane, np. konsole Active Direct ory i zarządzanie
Zasadami grup.
Skróty najłatwiej tworzyć na pulpicie. Po utworzeniu możemy je przenieść do pa-
ska narzędzi Szybkie uruchamianie i usunąć z pulpitu. Aby utworzyć skrót Uru-
chom jako:
1.
Przejdź do widoku pulpitu. Najszybciej możesz to zrobi ć, klikając ikonę
Pokaż pulpit w obszarze Szybkie uruchamianie.
2.
Kliknij prawym przyciskiem myszy dowolne miejsce na pulpicie i wybierz
Nowy/Skrót.
26
Windows Server 2003. Podręcznik administratora
3.
Kliknij przycisk Przeglądaj, aby znaleźć pożądane polecenie lub konsolę,
która ma zostać otwarta, albo wpisz polecenie bezpoś rednio. Zaletą
bezpośredniego wpisania polecenia jest możliwość uż ycia zmiennych
środowiskowych do zlokalizowania polecenia lub kons oli. Na przykład,
dla Eksploratora, wiersza poleceń i konsoli Kopia zap asowa możemy
użyć zmiennej 5[UVGO4QQV. Kliknij Dalej.
4.
Kliknij Zakończ, aby utworzyć skrót.
Zadanie to możemy sobie ułatwić poprzez utworzenie kopdii skrótów
z menu Wszystkie programy.
5.
Po utworzeniu skrótu kliknij go prawym przyciskiem myszy i wybierz
Właściwości.
6.
Na zakładce Skrót kliknij przycisk Zaawansowane.
7.
W oknie dialogowym Zaawansowane wybierz Uruchom z innymi
poświadczeniami. Kliknij OK, aby zamknąć okno dialogowe.
8.
Kliknij OK, aby zamknąć okno dialogowe Właściwości.
Skrót jest gotowy. Teraz możemy przenieść go do obszaru szybkiego urucha-
miania. Użycie skrótu spowoduje automatyczne wyświetlenie okna dialogowego
Uruchom jako. Tutaj możemy uruchomić polecenie z bieżącymi poświadczenia-
mi lub wybrać Następujący użytkownik i wprowadzić dane konta administracyj-
nego (patrz rysunek 1.1).
Rysunek 1.1.
Uruchomienie
programu poprzez
Uruchom jako
Skróty Uruchom jako można też tworzyć za pomocą wiers za poleceń. Wystarczy
umieścić polecenie w pliku z rozszerzeniem .cmd i wskazać skrót do tego pli-
ku. Wiersz poleceń daje nam możliwość bardziej precyzyjnego zdefiniowania
Rozdział 1. ♦ Ogólne zarządzanie serwerem
27
polecenia Uruchom jako za pomocą opcji, które zmienią domyślne zachowanie
polecenia. Oprócz tego wiersz poleceń pozwala utworzyć pojedynczy plik .cmd
zawierający polecenia uruchamiające wszystkie narzędzia niezbędne do wykony-
wania standardowych zadań administracyjnych. Do takiego pliku poleceń może-
my następnie utworzyć skrót i umieścić go w obszarz e szybkiego uruchamiania.
Kolejną zaletą tej metody jest dostępność opcji UCXGETGF. Pełni ona dwie funk-
cje: zapamiętuje poświadczenia dla polecenia i pozwala wykorzystać zapisane
poświadczenia. Jeśli więc użyjemy w pliku .cmd polecenia o strukturze przed-
stawionej poniżej, będziemy mogli uruchomić wszystkie niezbędne narzędzia,
przydzielając do każdego z nich odpowiednie konto u żytkownika:
TWPCUWUGTPCYCWľ[VMQYPKMC PCYCFQOGP[UCXGETGFRQNGEGPKG
gdzie PCYCWľ[VMQYPKMC PCYCFQOGP[ to nazwa główna użytkownika dla konta
administracyjnego, którego chcemy użyć, a RQNGEGPKG oznacza ścieżkę i nazwę
polecenia, które chcemy uruchomić. Polecenia uruchamiające narzędzia wspo-
mniane uprzednio będą wyglądać tak:
TWPCUWUGTPCYCWľ[VMQYPKMC PCYCFQOGP[UCXGETGFOOE 6QQNMKV
INQDCNOOEOUE
TWPCUWUGTPCYCWľ[VMQYPKMC PCYCFQOGP[UCXGETGF5[UVGO4QQV GZRNQTGGZG
TWPCUWUGTPCYCWľ[VMQYPKMC PCYCFQOGP[UCXGETGF5[UVGO4QQV U[UVGO
EOFGZG
TWPCUWUGTPCYCWľ[VMQYPKMC PCYCFQOGP[UCXGETGF5[UVGO4QQV U[UVGO
PVDCEMWRGZG
Tej samej struktury poleceń możemy użyć dla innych narzędzi, które uznamy
za niezbędne do pracy, wymagających uprawnień administracyjnych. Plik po-
leceń należy zapisać w folderze C:Toolkit, aby udostępnić je wszystkim uży-
wanym kontom administracyjnym. Folder ten jest niezbędny, ponieważ folder
Moje dokumenty domyślnie pozwala na interakcję z własnego konta i wymaga
modyfikacji uprawnień, aby inni użytkownicy mieli dostęp do jego zawartości.
Folder ten zostanie dokładniej omówiony w procedurze GS-17.
Koniecznie skorzystaj z procedury FS-13, aby przypisać
odpowiednie parametry zabezpieczeń do folderu
C:Toolkit, zwłaszcza jeśli mają się w nim znaleźć pliki
poleceń zawierające polecenia TWPCU z zapisanymi poświadczeniami. Umożliwienie
komukolwiek dostępu do tego folderu stanowi poważne dzagrożenie bezpieczeństwa.
Można rozważyć ograniczenie dostępu do tego folderu jeddynie dla kont
administracyjnych i stworzenie skrótu Uruchom jako ddo pliku poleceń zestawu
narzędzi. W ten sposób nikt nie będzie mógł nieumyśdlnie uruchomić tego pliku
przez niepoprawny dostęp do naszej stacji roboczej.d
Z poleceniem TWPCU można jeszcze użyć dwóch przydatnych opcji wiersza pole-
ceń. Opcja UOCTVECTF umożliwia użycie do uwierzytelnienia karty inteligent-
nej (ang. SmartCard) i powinna być używana w organizacjach kładących duży
28
Windows Server 2003. Podręcznik administratora
nacisk na bezpieczeństwo. Stosowanie kart inteligentnych w systemie Windows
Server 2003 jest tak proste, że użycie ich dla kont administracyjnych jest wysoce
zalecane. Opcja PGVQPN[ ogranicza prawa dostępu jedynie do sieci i nie pozwala
nowemu kontekstowi zabezpieczeń na interakcję z komp uterem lokalnym.
GS-02. Ogólna weryfikacja stanu usług
4 Harmonogram: codziennie
Przeznaczeniem serwera jest dostarczanie usług. Serwer można uznać za funk-
cjonujący poprawnie, gdy wszystkie usługi, które ma dostarczać, są uruchomio-
ne i w pełni funkcjonalne. Dlatego też tak ważna jest dokładna dokumentacja
nie tylko konkretnej roli każdego serwera w infrastrukturze naszej sieci, lecz rów-
nież zainstalowanych usług i ogólnego stanu każdej usługi.
Szczegółowy arkusz danych serwera jest dostępny pod dadresem
www.Reso-Net.com/PocketAdmin. Arkusz ten może posłużyć jako
podstawa dokumentacji serwera i identyfikacji zainsdtalowanych usług.
Aby zweryfikować stan usług w serwerze:
1.
Uruchom konsolę Zarządzanie komputerem.
2.
Połącz się z odpowiednim serwerem (Akcja/Połącz z innym komputerem)
i albo wpisz nazwę serwera ( PCYCUGTYGTC), albo zlokalizuj serwer
za pomocą przycisku Przeglądaj. Kliknij OK.
3.
Przejdź do okna Usługi (Usługi i aplikacje/Usługi).
4.
Posortuj usługi według stanu, klikając Stan na górze okna Usługi.
5.
Zweryfikuj na podstawie notatek, czy wszystkie usługi są w odpowiednim
stanie uruchomienia. Jeśli któreś z usług używają poś wiadczeń innych
niż lokalne konto systemowe, skorzystaj z procedury GS-05, aby upewnić
się, że wszystkie poświadczenia zostały wprowadzone prawidłowo. Zanotuj
i zbadaj wszystkie usługi znajdujące się w innym stan ie niż oczekiwany.
Zweryfikuj wszystkie serwery.
Alternatywą dla tej procedury może być użycie polecenia Remote Server Infor-
mation z zestawu narzędzi Resource Kit dla każdego serwera, którym zarządza-
my i przekierowanie wyjścia polecenia do pliku tekstowego:
UTXKPHQ PCYCMQORWVGTC PCYCRNKMWVZV
gdzie PCYCMQORWVGTC oznacza nazwę serwera, który chcemy zbadać. Jeśli nazwa
serwera nie zostanie podana, polecenie wyświetli informacje o serwerze lokal-
nym. PCYCRNKMWVZV oznacza nazwę i ścieżkę do pliku, do którego informacje
Rozdział 1. ♦ Ogólne zarządzanie serwerem
29
mają zostać wysłane. Ponownie możemy umieścić serię takich poleceń w pliku
.cmd i za pomocą procedury GS-19 codziennie generować automatycznie pliki
wyjściowe. To pomoże szybko zorientować się w stanie wszystkich usług w sieci.
Oprócz tego wszystkie usługi możemy kontrolować za pomocą poleceń UE i PGV.
Wpisanie PGV w wierszu poleceń powoduje wyświetlenie listy wszystkich ob-
sługiwanych poleceń. Szczegółowe informacje o każdym poleceniu możemy
otrzymać, wpisując PGVJGNRPCYCRQNGEGPKC. Jedyną wadą tego narzędzia jest
niemożliwość wykonywania poleceń zdalnie. Aby skorzystać z tych poleceń, mu-
simy otworzyć sesję lokalną albo zdalną w serwerze, k tórym chcemy zarządzać.
Z drugiej strony, polecenie UE możemy uruchomić w każdym serwerze, do któ-
rego mamy dostęp. Jego struktura wygląda następująco:
UE PCYCUGTYGTCRQNGEGPKGPCYCWUđWIK
gdzie PCYCUGTYGTC oznacza nazwę serwera, z którym chcemy się połączyć,
RQNGEGPKG jest nazwą polecenia UE, które ma zostać wykonane, a PCYCWUđWIK
wskazuje na usługę, z którą chcemy pracować. Dodatkowe informacje otrzyma-
my przez wpisanie UE!.
Microsoft TechNet Script Center zawiera szereg przykładowych skryptów
WSH (ang. Windows Scripting Host), pomagających przeprowadzać
prace administracyjne z usługami. Skrypty te znajdzidemy pod adresem
http://www.microsoft.com/technet/treeview/default.asp?ucrl=/technet/scrip
tcenter/services/default.asp?frame=true.
GS-03. Weryfikacja dziennika zdarzeń
System
4 Harmonogram: codziennie
Kolejnym przydatnym narzędziem diagnostycznym jest systemowy dziennik zda-
rzeń, który informuje o ogólnym „stanie zdrowia” i funkcjonowaniu serwera.
Każde istotne zdarzenie jest rejestrowane wraz z opisem. Zdarzenia mogą na-
leżeć do trzech grup:
Informacja: zaszło zdarze nie wystarczająco istotne, by je zarej estrować.
Zdarzenia te zwykle związane są z normalną pracą serwe ra.
Ostrzeżenie: wystąpił błąd niekrytyczny, który uzasadnia utworzeni e
rekordu w Dzienniku zdarzeń. Na zdarzenia tego typu n ależy zwracać
uwagę, ponieważ szybko mogą przejść w błędy.
30
Windows Server 2003. Podręcznik administratora
Błąd: wystąpił błąd krytyczny, który powinien zostać zbadany
i naprawiony. Każde takie zdarzenie musi prowadzić do kontroli
i naprawy. Windows Server 2003 często dołącza szczegółowe
informacje o metodach postępowania w takich przypad kach.
Aby sprawdzić dziennik zdarzeń System w serwerze:
1.
Uruchom konsolę Zarządzanie komputerem.
2.
Połącz się z odpowiednim serwerem (Akcja/Połącz z innym komputerem)
i albo wpisz nazwę serwera ( PCYCUGTYGTC), albo zlokalizuj serwer
za pomocą przycisku Przeglądaj. Kliknij OK.
3.
Przejdź do dziennika zdarzeń System (Zarządzanie komputerem/
Podgląd zdarzeń/System).
4.
Zidentyfikuj wszelkie błędy i ostrzeżenia oraz podejm ij odpowiednie
kroki w razie ich pojawienia się.
Zanotuj wszelkie czynności naprawcze, które musisz podjąć. Wykorzystaj proce-
durę GS-06 do rejestrowania różnorodnych kontrolowanych codzi ennie zdarzeń.
Można zmienić wielkość pliku dziennika. W tym celu kliknij prawym przyciskiem
myszy nazwę dziennika w lewym panelu MMC i wybierz Właściwości. Ustaw
Maksymalny rozmiar dziennika i związane z nim zdarzenie zgodnie z potrzebami.
Microsoft TechNet Script Center zawiera szereg przykładowych skryptów
WSH (ang. Windows Scripting Host), pomagających przeprowadzać
prace administracyjne z usługami. Skrypty te znajdzidemy pod adresem
http://www.microsoft.com/technet/treeview/default.asp?ucrl=/technet/scrip
tcenter/logs/default.asp?frame=true.
GS-04. Weryfikacja dziennika zdarzeń
Zabezpieczenia
4 Harmonogram: codziennie
Jeśli organizacja zdecydowała się, by prowadzić inspekcje dostępu, to musimy
codziennie weryfikować dziennik zdarzeń Zabezpieczenia, aby upewnić się, że
w sieci nie zachodzą niestosowne zdarzenia.
Inspekcje dostępu można umożliwić poprzez zmiany w Zasadach grup. Zasady
inspekcji mieszczą się w ustawieniach zabezpieczeń zasad grup. Włączenie in-
spekcji może mieć poważny wpływ na działanie sieci. Kontrola obiektów i zdarzeń
spowalnia system, więc powinniśmy prowadzić inspekcje tylko tych zdarzeń
i obiektów, które uznamy za krytyczne dla naszej si eci.
Rozdział 1. ♦ Ogólne zarządzanie serwerem
31
W systemie Windows Server 2003 wszystkie inspekcje
są domyślnie włączone; wystarczy więc dokładniej
zdefiniować i dodać obiekty, które chcemy weryfikować.d
Poza tym dziennik zdarzeń Zabezpieczenia ma zdefiniowadny rozmiar: 132 MB
i jest po zapełnieniu nadpisywany.
Aby zdefiniować lub przejrzeć zasady inspekcji:
1.
Korzystając z procedury DC-16, dokonaj edycji odpowiedniego obiektu
zasad grupy (ang. GPO — Group Policy Object). Będzie to zazwyczaj
GPO stosujący się do wszystkich obiektów w domenie.
2.
W Edytorze obiektów zasad grupy wybierz Konfiguracja komputera/
Ustawienia systemu Windows/Ustawienia zabezpieczeń/Zasady inspekcji.
3.
Kliknij dwukrotnie zdarzenie, które chcesz kontrolo wać i zmodyfikuj
zasady. Rejestrowane mogą być sukces lub niepowodzenie zdarzenia,
albo jedno i drugie.
4.
Udokumentuj każdą dokonaną zmianę ustawień.
Arkusz dokumentacji zasad grup jest dostępny na strdonie www.Reso-
-Net.com/PocketAdmin.
Aby dokonać inspekcji dostępu do obiektu, na przykład kontenera w AD lub pli-
ku w serwerze, trzeba włączyć inspekcje dla tego obiektu i zidentyfikować, kto
powinien podlegać inspekcji. W tym celu:
1.
Znajdź obiekt przeznaczony do inspekcji. Zamiast pojed ynczych obiektów
warto kontrolować kontenery, na przykład foldery i j ednostki organizacyjne.
2.
Kliknij obiekt prawym przyciskiem myszy i wybierz Właściwości. Przejdź
do zakładki Zabezpieczenia.
3.
Kliknij przycisk Zaawansowane. Aby to było możliwe w przypadku AD,
należy w konsolach Active Directory włączyć w menu Widok opcję Opcje
Zaawansowane.
4.
Zidentyfikuj grupy, które chcesz kontrolować. Zwykle łatwiej jest
wybierać grupy o szerokim zasięgu, na przykład Użytko wnicy
uwierzytelnieni, zamiast grup bardziej konkretnych. Wszystko zależy
od tego, kogo i co chcemy kontrolować.
5.
Od tej chwili zdarzenia dostępu będą monitorowane w d zienniku
zdarzeń Zabezpieczenia.
32
Windows Server 2003. Podręcznik administratora
Zanotuj wszelkie wprowadzone zmiany. Aby przejrzeć wy niki inspekcji:
1.
Uruchom konsolę Zarządzanie komputerem (pasek Szybkie uruchamianie/
Zarządzanie komputerem).
2.
Połącz się z odpowiednim serwerem (Akcja/Połącz z innym komputerem)
i albo wpisz nazwę serwera ( PCYCUGTYGTC), albo zlokalizuj serwer
za pomocą przycisku Przeglądaj. Kliknij OK.
3.
Przejdź do dziennika zdarzeń Zabezpieczenia (Narzędzia systemowe/
Podgląd zdarzeń/Zabezpieczenia).
4.
Zidentyfikuj wszelkie zdarzenia zakończone powodzenie m lub
niepowodzeniem. Podejmij odpowiednie działania w raz ie odkrycia
niepożądanych działań.
Zanotuj wszelkie czynności naprawcze, które trzeba było podjąć. Korzystając
z procedury GS-06, zarejestruj sprawdzane codziennie zdarzenia.
Rozmiar dziennika zdarzeń Zabezpieczenia można zmienić. W tym celu skorzy-
staj z ostatniej części procedury GS-03.
W przypadku zablokowania pliku dziennika (Nie zastępuj zdarzeń)
po osiągnięciu przez plik maksymalnej wielkości serdwer zostanie
automatycznie wyłączony i będzie wymagać wyczyszczenida pliku.
GS-05. Zarządzanie kontami usług
i administracyjnymi
4 Harmonogram: codziennie
Konta administracyjne są cennymi dobrami w każdej sieci. Minęły już czasy, gdy
rozdawano je prawie każdemu, kto wystarczająco głośno się ich domagał. W dzi-
siejszych sieciach Windows Server 2003 możemy i powinniśmy definiować je-
dynie dostateczny poziom praw dostępu każdemu, kto wchodzi w interakcję
z systemem. Wobec tego powinniśmy mieć jak najmniej kont administracyjnych
na poziomie domeny lub lasu, za to o wiele więcej wyspecjalizowanych kont
administracyjnych, które będą miały prawa dostępu wystarczające jedynie do
wykonania określonych zadań. Konta te i ich prawa dostępu powinny być przy-
najmniej przeglądane codziennie.
Kilka procedur wspomaga przyznawanie odpowiednich praw i uprawnień dla kont
administracyjnych. Niektóre z nich są przydzielane przez wykorzystanie wbudo-
wanych grup zabezpieczeń, na przykład Serwer lub Operatorzy kopii zapasowych,
Rozdział 1. ♦ Ogólne zarządzanie serwerem
33
zaś inne przez kojarzenie z zasadami Przypisywanie praw użytkowników dla kont
lub grup zawierających te konta. Trzy narzędzia pozwalają przydzielać odpo-
wiednie prawa:
Użytkownicy i komputery usługi Active Directory — pozwa la tworzyć
konta i przydzielać je do wbudowanych albo własnych g rup
administracyjnych.
Konsola Group Policy Management Console — pozwala znajd ować
i modyfikować odpowiednie GPO.
Edytor obiektów zasad grupy — pozwala przypisywać prawa użytkowników.
Oprócz tego konsola Zarządzanie komputerem może przydać się do przydziela-
nia praw lokalnych do grup domeny i kont.
Aby zmodyfikować prawa użytkownika, skorzystaj z procedury DC-16 w celu
edycji odpowiedniego GPO, zwykle tego wpływającego na wszystkie obiekty,
które chcesz zmodyfikować. Znajdź ustawienia User Rights Assignment (Com-
puter Policy/Security Settings/Local Policies/User Rights Assignment) i przypisz
odpowiednie ustawienia do kont administracyjnych. Zawsze łatwiej jest przy-
pisywać prawa do grupy niż do indywidualnych obiektów, więc dobrze jest
zgromadzić konta administracyjne w grupy administracyjne. Skorzystaj ponow-
nie z procedury DC-16, aby zapewnić właściwe wykorzystanie tych kont.
Oprócz tego we współczesnych sieciach przedsiębiorstw trzeba też zarządzać
kontami usług — kontami, które posiadają wystarczające przywileje administra-
cyjne, by obsługiwać konkretne usługi w sieci. Na przykład, konta usług mogą
służyć do uruchamiania mechanizmów narzędzi antywirusowych i zaplanowa-
nych zadań (patrz procedura GS-19). Zaletą korzystania z konta usługi do uru-
chamiania danej usługi lub zautomatyzowanego zadania jest możliwość kon-
troli poprawności działania usługi za pomocą dziennika zdarzeń Zabezpieczenia.
Zdarzenie sukcesu jest zapisywane w tym dzienniku za każdym razem, gdy usłu-
ga wykorzysta swój uprzywilejowany dostęp lub zaloguje się.
Konta usług muszą mieć określone przywileje i ustawie nia:
Konto musi mieć złożoną nazwę.
Do konta musi być przypisane złożone hasło o długości przynajmniej
15 znaków.
Hasło nigdy nie wygasa.
Użytkownik nie może zmienić hasła.
Prawo Działanie jako element systemu operacyjnego.
Prawo Logowanie w trybie usługi.
34
Windows Server 2003. Podręcznik administratora
Dwa ostatnie ustawienia nie powinny być stosowane
zbyt skwapliwie, zwłaszcza Działanie jako element
systemu operacyjnego, ponieważ przyznają usłudze
wyjątkowo wysoki poziom dostępu.
Dwa ostatnie ustawienia trzeba skonfigurować w GPO w Przypisywanie praw
użytkownika (ang. User Rights Assignment). Proszę też pamiętać o przegrupo-
waniu kont usług w grupy usług.
Konta usług wymagają dodatkowych nakładów pracy, ponieważ wymagają re-
gularnych zmian haseł. Nie jest to ograniczone do prostej zmiany hasła w konsoli
Użytkownicy i komputery usługi Active Directory, ponieważ po przypisaniu konta
usługi do usługi musimy w usłudze podać hasło konta, aby mogła działać prawi-
dłowo. Oznacza to, że musimy dodatkowo zmienić hasło w oknie dialogowym
Właściwości usługi. W tym celu można posłużyć się procedurą GS-02.
Microsoft TechNet Script Center zawiera przykładowy skrdypt WSH,
który pozwala zmieniać hasła kont usług. Skrypt ten jedst dostępny
pod adresem http://www.microsoft.com/technet/treeview/
default.asp?url=/technet/scriptcenter/services/scrsvc01.ascp?frame=true.
Pozwala on również zmieniać hasła dla kont użytkownikódw administracyjnych.
Szereg skryptów do pracy z kontami użytkowników znajddziemy pod adresem
http://www.microsoft.com/technet/treeview/default.asp?ucrl=/technet/scrip
tcenter/user/default.asp?frame=true.
GS-06. Utrzymanie dziennika działań
4 Harmonogram: codziennie
Jednym z zadań administratora jest rejestrowanie na bieżąco własnych działań
i tego, co musi zrobić w celu utrzymania i przeprowadzenia napraw w sieci. Z tego
powodu każdy administrator powinien utrzymywać dziennik swoich działań.
W idealnej wersji dziennik ten powinien mieć postać elektroniczną i być prze-
nośny, aby można było robić notatki w każdej chwili. Może być przechowywany
w komputerze ręcznym Tablet PC lub Pocket PC. Tablet PC jest bardziej przy-
datny, ponieważ obsługuje w pełni funkcjonalną wersję Windows i pozwala
uruchamiać pliki pomocy Windows Server 2003 (patrz procedura GS-21) oraz
maszyny wirtualne w celu symulowania problematycznych sytuacji. Oprócz tego
Microsoft OneNote idealnie nadaje się do rejestrowania codziennych czynności.
Jeśli żadne z tych urządzeń nie jest dostępne, administrator powinien przynajm-
niej nosić ze sobą cały czas papierowy dziennik. Sposób jego prowadzenia za-
leży od osobistych preferencji, lecz czasem najlepiej jest rejestrować swoje działa-
nia w miarę ich wykonywania zamiast czekać na określoną porę dnia.
Rozdział 1. ♦ Ogólne zarządzanie serwerem
35
Przykładowy dziennik działań dostępny jest pod adresemd www.Reso-
-Net.com/PocketAdmin.
GS-07. Zarządzanie raportem
o czasie dostępności systemu
4 Harmonogram: codziennie
Raz na tydzień należy generować raporty o czasie dostępności wszystkich ser-
werów. Pozwoli to śledzić stan poszczególnych serwerów i identyfikować, któ-
re konfiguracje najlepiej sprawdzają się w danym środowisku. Do tworzenia
tych raportów możemy posłużyć się kilkoma narzędzia mi.
Ostatni wiersz raportu generowanego przez polecenie UTXKPHQ, opisane w proce-
durze GS-02, informuje o tym, od jak dawna serwer jest czynny. Kolejne pole-
cenie, U[UVGOKPHQ, podaje informacje o badanym serwerze i od jakiego czasu
system funkcjonuje. Trzecie narzędzie, WRVKOG, zostało zaprojektowane specjal-
nie do raportowania czasu pracy serwera. Narzędzie to trzeba pobrać z witryny
Microsoftu. Przejdź do www.microsoft.com/downloads i wyszukaj „uptime”.
Z pomocą tego narzędzia i odrobiny pomysłowości można generować raporty
o czasie dostępności automatycznie:
1.
2.
Pobierz i zainstaluj uptime.exe w folderze C:Toolkit.
Utwórz plik poleceń, zawierający dla każdego serwera w sieci polecenie:
WRVKOG PCYCUGTYGTC
3.
4.
5.
Zapisz plik poleceń.
Korzystając z procedury GS-19, stwórz cotygodniowy harmonogram
dla tego pliku poleceń.
W zaplanowanym zadaniu przekieruj wynik do pliku te kstowego
za pomocą polecenia:
PCYCRNKMWRQNGEGPEOF PCYCRNKMWVZV
Polecenie WRVKOG będzie teraz tworzyć raport co tydzień. Od tej pory będziemy
musieli jedynie znaleźć plik wyjściowy i przejrzeć wyniki.
Microsoft TechNet Script Center zawiera dwa skrypty zwdiązane
z zarządzaniem czasem dostępności systemu. Pierwszy dto Determining
System Uptime, a drugi to Monitoring System Uptime. Oba dostępne są
pod adresem http://www.microsoft.com/technet/treeview/default.asp?ucrl=/
technet/scriptcenter/monitor/default.asp?frame=true.
36
Windows Server 2003. Podręcznik administratora
GS-08. Zarządzanie skryptami
4 Harmonogram: co tydzień
Skrypty uruchamiane w środowisku Windows Script Host (host skryptów sys-
temu Windows) są niezbędnym elementem zarządzania siecią Windows. Jak
wiemy, skrypty w systemie Windows stanowią własny świat. Język pisania
skryptów wyewoluował do poziomu, na którym skrypt stanowi wyrafinowany
program, uruchamiany albo w trybie graficznym (przeznaczonym dla użytkow-
ników), albo w trybie tekstowym (skrypty administracyjne). Wybór trybu odbywa
się przez wybór polecenia aktywującego skrypt:
YUETKRVPCYCUMT[RVW
EUETKRVPCYCUMT[RVW
gdzie YUETKRV uruchamia skrypt w trybie graficznym, a EUETKRV — w znakowym.
Ponieważ pojawiły się już wirusy skryptowe, takie jak ILOVEYOU.vbs, musi-
my upewnić się, że uruchamiane skrypty są bezpieczne. Najlepszym sposobem
na to jest podpisywanie skryptów certyfikatami cyfrowymi. Najpierw musimy
zdobyć certyfikat. Możemy go albo otrzymać od zewnętrznego wydawcy certy-
fikatów, albo wydać sobie samemu, jeśli zdecydujemy się zainstalować własny
serwer certyfikatów (usługę serwera dostępną w systemie Windows Server 2003).
Do tego może posłużyć procedura DC-11.
Podpisanie skryptu certyfikatem jest działaniem progrdamistycznym.
Przykładowe skrypty do dodawania podpisów i zarządzandia nimi
są dostępne w Microsoft TechNet Script Center pod adresdem
http://www.microsoft.com/technet/treeview/default.asp?ucrl=/technet/scrip
tcenter/security/default.asp?frame=true.
Skrypty można również chronić przez zakodowanie.
Microsoft Script Encoder jest dostępny pod adresem
http://msdn.microsoft.com/scripting/vbscript/
download/x86/sce10en.exe.
Każdy tworzony i podpisywany skrypt powinien mieć pełną, aktualizowaną co
tydzień dokumentację, zawierającą wszystkie istotne i nformacje o skrypcie.
Do dokumentowania zawartości skryptu może posłużyć inndy skrypt.
Przykładowy kod dostępny jest w Microsoft TechNet Scriptd Center pod
adresem http://www.microsoft.com/technet/treeview/default.asp?ucrl=/
technet/scriptcenter/other/ScrOth03.asp?frame=true.
Rozdział 1. ♦ Ogólne zarządzanie serwerem
37
Pisanie skryptów może być sporym wyzwaniem, jeśli nie znamy Windows Ma-
nagement Instrumentation (WMI) lub Active Directory Services Interface (ADSI).
Dlatego też doskonałym pomysłem może być wykorzystanie do generowania
za nas skryptów narzędzia Microsoft Scriptomatic. Narzędzie to jest dostępne
w Microsoft Download Center; wystarczy poszukać Scriptomatic w www.micro-
soft.com/downloads. Oprócz tego dobre wprowadzenie do pisania skryptów jest
dostępne pod adresem http://msdn.microsoft.com/library/en-us/dnclinic/html/
scripting06112002.asp.
Instalacja narzędzia Scriptomatic jest prosta, wystarczy rozpakować pobrane ar-
chiwum. Plik scriptomatic.hta należy zapisać w folderze C:Toolkit. Możemy
też użyć skrótu Uruchom jako (patrz procedura GS-01) do uruchamiania Scripto-
matic i umieścić go w obszarze szybkiego uruchamiania.
Aby napisać skrypt za pomocą narzędzia Scriptomatic:
1.
2.
Uruchom scriptomatic.hta lub skrót Uruchom jako.
W programie Scriptomatic wybierz klasę WMI, z którą ch cesz pracować.
Każda klasa ma nazwę w postaci Win32_nazwa. Wystarczy zwrócić
uwagę na ostatnią część nazwy klasy. Na przykład, aby napisać skrypt
pozwalający wyświetlić stan każdej usługi, wybierz kl asę 9KPA5GTXKEG.
Scriptomatic automatycznie generuje właściwy skrypt (patrz rysunek 1.2).
Rysunek 1.2. Aby wygenerować skrypt wyświetlający grupy lokalnem w komputerze,
wybierz klasę Win32_Group w narzędziu Scriptomatic
38
Windows Server 2003. Podręcznik administratora
3.
Kliknij Run. Scriptomatic uruchomi konsolę poleceń, aby uruchomi ć
skrypt.
4.
Kliknij Save, aby zapisać skrypt w pliku z rozszerzeniem VBS.
Skrypty te mogą posłużyć do wykonywania zadań administracyjnych i rejestro-
wania wyników wyjściowych. W tym celu wpisz polecenie:
EUETKRVPCYCUMT[RVWXDU PCYCRNKMWVZV
gdzie PCYCUMT[RVWXDU oznacza nazwę skryptu przeznaczonego do uruchomie-
nia, a PCYCRNKMWVZV będzie utworzonym plikiem z danymi wyjściowymi. Za
pomocą procedury GS-19 można umieścić to polecenie w zaplanowanym zada-
niu i uruchamiać zgodnie z harmonogramem.
Scriptomatic może pomóc w generowaniu skryptów logowania. Aby utworzyć
kompletny skrypt logowania, może okazać się konieczne połączenie fragmentu
skryptu WMI z fragmentem skryptu ADSI. Opisuje to procedu ra DC-31.
Oprócz skryptu logowania możemy chcieć wyświetlać komunikat dla użytkow-
ników przed logowaniem. Pomaga to ostrzegać użytkowników przed prawny-
mi konsekwencjami nadużycia sprzętu komputerowego i informacji. Do tego
ponownie posłuży GPO. Aby wyświetlić komunikat przy logowaniu, można
posłużyć się procedurą DC-16 do edycji odpowiedniego GPO i modyfikacji
ustawień:
User Configuration/Windows Settings/Security Settings/Local Policies/
Security Options/Interactive Logon/Message title for users attempting
to log on
User Configuration/Windows Settings/Security Settings/Local Policies/
Security Options/Interactive Logon/ Message text for users attempting
to log on
GS-09. Zarządzanie certyfikatami skryptów
4 Harmonogram: co tydzień
Najlepszą metodą na zapewnienie, by jedynie podpisane skrypty mogły być
uruchamiane w naszej sieci, są Zasady ograniczeń oprogramowania (ang. SRP
— Software Restriction Policies). SRP umożliwiają weryfikację skryptów i pro-
gramów poprzez wykorzystanie jednego z czterech sposobów:
Reguły mieszania,
Reguły certyfikatów,
Rozdział 1. ♦ Ogólne zarządzanie serwerem
39
Reguły ścieżki,
Reguły strefy internetowej.
Najprostsze i najbezpieczniejsze w użyciu są reguły mieszania i (lub) certyfika-
tów. Obie można zastosować do skryptów i programów, takich jak pakiety insta-
lacyjne dla przedsiębiorstwa (zwykle w formacie Instalatora systemu Windows
.msi). Reguły SRP oparte na certyfikatach można zastosować lub zweryfikować
następująco:
1.
Zastosuj procedurę DC-16 do edycji odpowiedniego GPO. Powinna się
ona stosować do wszystkich docelowych systemów.
2.
Kliknij prawym przyciskiem myszy Zasady ograniczeń oprogramowania
(Konfiguracja komputera/Ustawienia systemu Windows/Ustawienia
zabezpieczeń/Zasady ograniczeń oprogramowania) i wybierz Nowe
zasady ograniczeń oprogramowania z menu podręcznego. Ta czynność
spowoduje wygenerowanie środowiska SRP.
3.
Upewnij się, że w lewym panelu rozwinięte są Zasady ograniczeń
oprogramowania, a następnie kliknij prawym przyciskiem myszy Reguły
dodatkowe i wybierz Nowa reguła certyfikatu.
4.
W oknie dialogowym Nowa reguła certyfikatu kliknij Przeglądaj, aby
znaleźć certyfikat używany do podpisywania pakietów instalacyjnych
i skryptów, wybierz poziom zabezpieczeń Bez ograniczeń i wpisz opis.
Kliknij OK.
5.
Przejdź do Zasad ograniczeń oprogramowania i wybierz z prawego panelu
Wyznaczone typy plików. Pliki .wsh i .msi będą już wymienione jako
wyznaczone. Kliknij OK, aby zamknąć okno dialogowe.
6.
Wybierz w tej samej lokalizacji Zaufani wydawcy. Upewnij się,
że Użytkownicy końcowi mogą przyjmować certyfikaty, i że zaznaczone
są pola wyboru przy Wydawca i Sygnatura czasowa. Kliknij OK.
7.
Wybierz Wymuszanie, aby sprawdzić, czy pliki .dll nie są weryfikowane,
i czy to ustawienie stosuje się do wszystkich użytk owników.
Można wyłączyć z tej reguły administratorów lokalnych,
lecz z dużą rozwagą.
8.
Udokumentuj wszystkie zmiany.
40
Windows Server 2003. Podręcznik administratora
GS-10. Aktualizacje definicji wirusów
dla programów antywirusowych
4 Harmonogram: co tydzień
Ochrona przed wirusami jest kluczowym elementem
zintegrowanego systemu ochrony. Oznacza to, że musimdy
na bieżąco kontrolować poprawność jej działania.
To jest pierwsze zadanie typu ogólnego. Zostało tu umieszczone, ponieważ
należy je bezwzględnie wykonywać w serwerach, lecz nie dotyczy samego sys-
temu Windows Server 2003.
Zarządzanie zabezpieczeniami antywirusowymi wymaga wykonywania trzech
cotygodniowych zadań:
Kontroli dzienników systemu antywirusowego, aby upew nić się,
że w ciągu ostatniego dnia nie zostały znalezione ża dne wirusy.
Kontroli konsoli zarządzania systemem antywirusowym, aby sprawdzić,
czy posiadane sygnatury wirusów są aktualne. Harmono gram aktualizacji
można zmienić, jeśli jest niewystarczający lub gdy w zrasta zagrożenie
wirusami.
Losowego skanowania udziałów plikowych, aplikacji i dysków
systemowych, aby upewnić się, że nie zawierają wirus ów.
W niektórych narzędziach antywirusowych większość tych zadań można zauto-
matyzować, a konsola zarządzająca oprogramowaniem może ostrzegać admini-
stratora o znalezieniu nowych wirusów.
Upewnij się, że narzędzie antywirusowe jest zgodne zd systemem
Windows Server 2003. Najlepiej byłoby, gdyby program był dcertyfikowany
dla tej platformy.
GS-11. Restart serwera
4 Harmonogram: co tydzień
Od chwili pojawienia się Windows NT Microsoftu, zwłaszcza NT 4.0 w roku
1996, większość administratorów systemów doszła do wniosku, że dobrze jest
regularnie restartować serwery korzystające z tego systemu operacyjnego, aby
Rozdział 1. ♦ Ogólne zarządzanie serwerem
41
oczyścić pamięć RAM i ogólnie odświeżyć system. Od tamtej pory Microsoft
podjął poważne wysiłki, by ograniczyć, a nawet wyeliminować konieczność
wykonywania tej procedury.
Przed wprowadzeniem tego zwyczaju w życie zdecydowandie radzimy
zorientować się, jak Windows Server 2003 funkcjonuje w dadnej sieci.
Okaże się, że serwery WS03 nie wymagają już regularnych rdestartów.
W istocie Czytelników może zaskoczyć poziom dostępności, jaki można osiągnąć
w tym systemie operacyjnym. Dowodem będą raporty czadsu dostępności,
generowane w procedurze GS-07.
Jeśli ktoś uzna, że regularne wykonywanie tej czynności jest niezbędne, to może
posłużyć się poleceniem UJWVFQYP, pozwalającym zdalnie wyłączać i restartować
serwery. Poniższe polecenie wykonuje restart zdalne go serwera:
UJWVFQYPTHO nazwaserwera
gdzie T żąda restartu, H zmusza uruchomione aplikacje do zamknięcia, a O
wskazuje komputer przeznaczony do restartu. Podobnie jak w przypadku każ-
dego polecenia tekstowego, możemy utworzyć plik poleceń zawierający polece-
nie dla każdego serwera, który chcemy zamknąć. W takim przypadku należy do-
datkowo użyć parametru E, aby dodać komunikat do polecenia:
UJWVFQYPTHO nazwaserweraE QV[IQFPKQY[TGUVCTVUGTYGTC
Procedura GS-19 pozwoli przypisać plik poleceń do zaplanowanego za dania.
Polecenie UJWVFQYP automatycznie omija Śledzenie zdarzeń zamknięcia
systemu — okno dialogowe, które musimy standardowo wypełnić
przy wyłączaniu serwera Windows Server 2003. Wobec tego ndależy
utrzymywać rejestr zdarzeń wyłączenia systemu, aby dokdumentować
zautomatyzowane restarty.
Śledzenie zdarzeń zamknięcia systemu to narzędzie, którego Windows Server 2003
używa do rejestrowania informacji o wyłączaniu i restartach serwera. Zapisuje
ono swoje informacje w folderze SystemRootSystem32LogFilesShutdown.
Działanie narzędzia można kontrolować przez dwa usta wienia GPO:
Konfiguracja komputera/Szablony administracyjne/System/Wyświetl
śledzenie zdarzeń zamknięcia systemu
Konfiguracja komputera/Szablony administracyjne/System/Uaktywnij
funkcję Dane o stanie systemu Śledzenie zdarzeń zamknięciia systemu
Do modyfikacji odpowiedniego GPO może posłużyć procedura DC-16. Ten
obiekt GPO powinien stosować się do wszystkich serweró w.
42
Windows Server 2003. Podręcznik administratora
Microsoft TechNet Script Center zawiera przykładowy skrdypt do restartu
komputera pod adresem http://www.microsoft.com/technet/treeview/
default.asp?url=/technet/scriptcenter/comptmgmt/
ScrCM38.asp?frame=true.
GS-12. Przegląd i aktualizacja
zasad zabezpieczeń
4 Harmonogram: co miesiąc
Zasady zabezpieczeń są narzędziem, które stanowi podstawę programu bezpie-
czeństwa sieci. Decydują o wszystkim, między innymi o tym, jak reagować na
naruszenia bezpieczeństwa i jak chronić się przed nimi. Identyfikują jednolite
standardy bezpieczeństwa, które implementujemy w organizacji, i obejmujące
procedury zarówno techniczne, jak i nietechniczne. Przykładem zasad technicz-
nych mogą być parametry zabezpieczeń, definiowane podczas przygotowywa-
nia do eksploatacji każdego komputera w organizacji. Zasady nietechniczne to
przyzwyczajenie użytkowników do wybierania i chronienia złożonych haseł.
Oprócz tego musimy zidentyfikować parametry dla każdej zdefiniowanej zasady.
Przykładowa lista pozycji zawartych w zasadach zabezdpieczeń dostępna
jest na stronie WWW towarzyszącej książce: www.Reso-Net.com/
PocketAdmin.
Comiesięczna weryfikacja zasad zabezpieczeń powinna obejmować przegląd
wszystkich pozycji zawartych w tych zasadach i odpo wiadać na pytania:
Jak skuteczny jest program komunikacji z użytkownik ami? Czy powinien
być ulepszony?
Jak skuteczne są strategie bezpieczeństwa? Czy powinny być wzmocnione?
Czy administratorzy stosują się do wszystkich zasad bezpieczeństwa?
Czy nie zostały zidentyfikowane jakieś potencjalne na ruszenia
bezpieczeństwa?
Czy nowe technologie są bezpieczne? Jaki jest ich wpływ na globalną
strategię bezpieczeństwa firmy?
Wszystkie zmiany dokonane podczas tego przeglądu powinny zostać udokumen-
towane i przekazane użytkownikom.
Rozdział 1. ♦ Ogólne zarządzanie serwerem
43
GS-13. Weryfikacja aktualizacji zabezpieczeń
4 Harmonogram: co miesiąc
Aktualizacje zabezpieczeń są nieuniknionym elementem środowiska kompute-
rowego każdej organizacji. Lecz jeśli nasze systemy operacyjne są prawidłowo
zaprojektowane a w serwerach uruchomione są tylko usługi niezbędne d
Pobierz darmowy fragment (pdf)