WydawnictwoPsychoskokKonin2019

Wersja Demonstracyjna

KrzysztofWołk„BibliaWindowsServer2016.

PodręcznikAdministratora”

Copyright©byKrzysztofWołk,2019

Copyright©byWydawnictwoPsychoskokSp.zo.o.2019

Wszelkieprawazastrzeżone.Żadnaczęśćniniejszej

publikacji nie możebyćreprodukowana,

powielanaiudostępnianaw jakiejkolwiekformiebezpisemnejzgodywydawcy.

Redaktorprowadząca:RenataGrześkowiak

Projektokładki:KrzysztofWołk

Ilustracjenaokładce:KrzysztofWołk

Korekta:BogusławJusiak,JoannaBarbaraGębicka

Składepub,mobiipdf:KamilSkitek

http://wolk.pl/

ISBN:978-83-8119-318-4

WydawnictwoPsychoskokSp.zo.o.

ul.Spółdzielców3,pok.325,62-510Konin

tel.(63)2420202,kom.695-943-706

http://www.psychoskok.pl/http://wydawnictwo.psychoskok.pl/e-mail:wydawnictwo@psychoskok.pl

3

Spistreści

WstępOautorze1.Instalacja1.1.Wymaganiasprzętoweiopisśrodowiska1.2.Procesinstalacji2.Post-instalacja2.1.Czynnościpost-instalacyjne2.1.1.Aktualizacje2.1.2.Zmiananazwykomputera2.2.Konfiguracjasieci2.3.Zarządzanieprocesoramiipamięciąoperacyjną3.ActiveDirectoryDomainServices3.1.Czymjestdomena?3.2.InstalacjaActiveDirectoryDomainServices3.3.WstępnakonfiguracjaADDS3.4.ActiveDirectoryUsersandComputers3.5.ActiveDirectoryAdministrativeCenter4.SerwerDNS4.1.ZapoznaniezkonsoląDNSManager4.2.RęcznakonfiguracjastrefyDNS4.3.ZarządzanieserweremDNS4.4.ZapasowyserwerDNS5.SerwerDHCP5.1.InstalacjapierwszegoserweraDHCP5.2.KonfiguracjaserweraDHCP5.3.ZarządzanieserweremDHCP5.3.1.DHCPPolicies5.4.WysokadostępnośćDHCP5.4.1.KonfiguracjaklastraDHCP5.4.2.Split-Scope6.IISzFTPorazUrządCertyfikacji6.1.InstalacjaroliWebServer(IIS)6.2.InstalacjaActiveDirectoryCertificateServices6.3.Aktualizacjaplatformy.NET6.4.Tworzenienowychcertyfikatów

4

6.5.ZarządzanieSerweremIIS6.6.UruchamianieSerweraFTP6.7.IISiPHP7.NetworkAccessProtection7.1.NetworkPolicyandAccessServices7.2.ZarządzanieNetworkPolicyServer8.VPN,DirectAccessiNAT8.1.InstalacjaroliRemoteAccess8.2.KonfiguracjaVPNiNAT8.3.KonfiguracjaDirectAccess9.Polisy(ZarządzanieZasadamiGrupy)9.1.WybranenowościwGPO10.UprawnieniaSiecioweinasystemieplików10.1.Uprawnieniasieciowe10.1.1.Dodatkoweustawieniaudostępnianychplików10.2.UprawnieniaNTFS10.3.AutoryzacjametodąCLAIM10.3.1.NakładanieuprawnieńClaim10.3.2.DefiniowanieClaimTypes10.4.UprawnienianasystemieplikówReFS10.5.Zarządzaniedrukarkami10.5.1.Instalowaniedrukarek10.5.2.Zarządzaniedostępemdodrukareksieciowych11.SerwerPlików11.1.InstalacjaroliSerweraPlików11.2.Zapoznanieznowympodejściemdousługplików11.3.StoragePools11.4.ZarządzanieprzezMenadżeraSerweraPlików11.4.1.ZarządzanieOsłonamiPlików11.4.2.ZarządzaniePrzydziałami12.Pracazdalna12.1.Wstępnakonfiguracjaserwera12.2.KorzystaniezPomocyZdalnej12.3.Nawiązywaniepołączeniapulpituzdalnego13.Zarządzaniedyskami13.1.Dyskiwirtualne13.2.Instalacjasystemunawirtualnymdysku14.WDS–zdalnainstalacja15.Hyper–V

5

15.1.Instalacja15.2.ZarządzanieHyper-V16.WindowsServerUpdateServices17.Bezpieczeństwodanychikomputera17.1.WindowsBackup17.2.ShadowCopies17.3.Kilkauwagogólnych17.3.1.Politykahaseł17.3.2.Podmianalogon.scr17.3.3.Niezabezpieczoneserwerywydruku17.3.4.BestPracticesAnalyzer18.RemoteDesktopServices19.SerwerWydruku20.Serwerfaksów21.VolumeActivationServices21.1.Instalacja21.2.WstępnakonfiguracjaVAServices22.Triki22.1.Wędrującyiwymuszonyprofilużytkownika22.2.Danewchmurze-mapowanieSkyDrive22.3.GodMode23.Windows2016bezGUI(wersjaCore)23.1.Instalacjawstępnakonfiguracja23.2.ZarządzaniesystememwwersjiCore23.2.1.Interfejsyużytkownika23.2.2.Podstawoweroleserwera24.NienadzorowanainstalacjaActiveDirectory25.MigracjazWindowsServer200325.1.PodnoszenieDomainFunctionalLevel26.InstalowanieActiveDirectoryRolenaWindowsServer201227.PrzesyłanieroliFlexibleSingleMasterOperations(FSMO)28.ZmianaActiveDirectoryDomainController29.Zmianaschematuwzorcowego30.DodawaniekonsolischematuActiveDirectoryzMMC31.Usuwanieserwerazgłównegokatalogu.32.MigracjazWindowsServer200832.1.PodnoszenieDomainFunctionalLevel33.MigracjazWindows201234.WeryfikacjapoprawnościdziałaniausługikatalogowejActiveDirectory

6

35.PrzeniesienierólFSMOnanowykontrolerdomeny36.Deinstalacjastaregokontroleradomeny37.PrzywracanieusługiActiveDirectorypokatastrofalnejawarii38.Wykonywaniekopiizapasowejsystemu39.Dodatkowykontrolerdomeny40.InstalacjaADRolenaSerwerze41.Awansowanieserweranakontrolerdomeny42.DodawaniedomenypodrzędnejKrok1.KonfiguracjastatycznegoIPKrok2.DodanieserweradodomenyKrok3.InstalacjaroliADKrok4.PromocjaserwerajakokontroleradomenyKrok5.Dodawanieserwera/klientadosubdomeny43.KlasterawaryjnyHyper-V44.MigracjanażywowklastrzeHyper-V45.RemoteFX45.1.InstalacjaikonfiguracjavGPURemoteFx46.Relacjazaufaniapomiędzydomenami1.TworzenieprzekazywarkiDNS46.1.TworzenieTRUST47.Kontrolerdomenytylkodoodczytu(RODC)48.Jakdziałauwierzytelnianieużytkownika.Sprawdzanieprzykładuprocesulogowania49.Veeam49.1.InstalacjaVEEAM49.2.Dodawanieserweradotworzeniakopiizapasowych49.3.TworzenieBackupJob49.4.WykonaniepełnegoprzywracaniaVM50.MicrosoftAzureUsługiwchmurzetokolejnymodel,którywspieramywbudowaniuaplikacji.FaultDomainsUpgradeDomains51.KonteneryDockerwWindowsServer51.1.PodstawykontenerówsystemuWindowsWirtualneMaszynyvsKonteneryArchitekturaWirtualnychMaszynArchitekturaKontenerówKonteneryWindowsServervsKonteneryHyper-VDocker

7

PlatformaDockerKonteneryWindowswpraktyce51.2.Image2DockerLicencjonowanieJaktodziała?51.3.WindowsServer2016zkonteneraminaplatformieAzure51.4.KomendyDockera51.5.RetrieveImagesfromDockerHub51.6.WdrażanienowegokonteneraWindows51.7.Budowaniewłasnegoobrazukontenera51.8.Tworzenieobrazukontenera51.9.PrzesyłanieobrazudoDockerHub51.10.KonteneryLinuxwsystemieWindows:niwelowanieróżnic51.11.IzolacjaHyper-V52.ChronionemaszynywirtualnewHyper-V(ShieldedVM)52.1.KomponentywymaganedoskonfigurowaniachronionegośrodowiskaVM52.2.KonfiguracjawęzłaHGS52.3.InicjalizacjawęzłaHGS52.4.Konfiguracjakontroleradomenywykonawcy52.5.Konfiguracjahostastrzeżonego53.WjednejzsiecizMacOSX53.1.KonfiguracjaMagicTriangle

8

Wstęp

NiniejszaksiążkastanowipraktycznyprzewodnikpoWindowsSerwer 2016. Stanowi ona propozycję nie tylko dlapoczątkujących administratorów, lecz także dla tychdoświadczonych, pragnących szybko i w przyjazny sposóbpoznaćnowościnowegosystemuserwerowego firmyMicrosoft.Prezentuje najważniejsze jego funkcje i możliwości. Pozaniezbędną teorią zawiera szczegółowe instrukcje i ćwiczenia,w których każdy element, nawet najdrobniejszy, jestprzedstawiony na zrzucie ekranowym, objaśnionym tak, byosoba,którapierwszyrazpracujezWindowsSerwer,poradziłasobie z jego konfiguracją i administracją. Książka zostałanapisanatak,abypozapoznaniusięzjejtreściąodpoczątkudokońca, użytkownikowi udało się w pełni skonfigurować własnyserwer, a następnie nadzorować jego działanie i nimadministrować.Jestkompatybilnazarównozanglojęzyczną,jaki polskojęzyczną wersją systemu, która dopiero będzie miałaswoją premierę. Wszelkie ewentualne poprawki zostanąopublikowane na blogu autora: http://www.wolk.pl. Z tejpublikacji czytelnik nauczy się także współpracowaćzmaszynami i sieciami opartymi na systemach z rodzinyMacOS X oraz Linux. Współdzielenie się zasobami oraz wspólnapraca w domenie czy grupie roboczej nie będzie stanowić dlaniego żadnego problemu. Przy okazji czytelnik zapozna siętakże z zaawansowanymi możliwościami nowego serwera.

Książka jest idealną propozycją dla osób mających już doś

pozycji encyklopedycznych, a pragnących lekturyukierunkowanej na praktykę i ćwiczenia.

9

Oautorze

Doktor inżynier nauk technicznych w dziedzinie informatykii bioinformatyki. Pasjonat zagadnień związanych ze sztucznąinteligencją, uczeniemmaszynowym, sieciami komputerowymioraz szeroko pojętymi multimediami. Wykładowca, trener IT,autorksiążekspecjalistycznychatakżepublicysta internetowy.Certyfikowany specjalista Microsoft, Adobe, Apple, w3schoolsorazEITCA.Recenzentkonferencjinaukowych.

Jego specjalizacja to sztuczna inteligencja, inżynierialingwistyczna, NLP, aplikacje mobilne, multimedia, aplikacjegraficzne Adobe, HTML 5, budowa sieci IT oraz produktyserwerowe firm Apple i Microsoft. Posiada uprawnieniapedagogiczne.

Doświadczony projektant infrastruktur sieciowych dla firmorazinstytucji.

Od 2009 roku redaktor portali informatycznych: in4.pl,pclab.plorazwłasnegobloga:www.wolk.pl,na łamachktórychopublikowałkilkadziesiątartykułóworazporadnikówzdziedzinyinformatyki. Tworzy także autorskie materiały szkoleniowe,udzielasięnaportalue-biotechnologia.pl,atakżejestautoremartykułówdla„iCoderMagazine”.

Posiada liczne certyfikaty firm Apple i Microsoft, międzyinnymiAppleCertifiedSystemAdministrator (ACSA),MicrosoftCertifiedSystemAdministrator (MCSA)orazMicrosoftCertifiedITProfessional(MCITP).

10

Naukowiec i adiunkt w katedrze Multimediów Polsko-Japońskiej Akademii Technik Komputerowych w Warszawie.Prowadzi badania naukowe związane z przetwarzaniem językanaturalnegoorazuczeniemmaszynowymopartymnametodachstatystycznych oraz sieciach neuronowych. Recenzentspecjalistycznych konferencji naukowych oraz branżowychczasopism.

W ramach swojej pracy dydaktycznej prowadzi zajęcia nawydziale Informatyki oraz Sztuki Nowych Mediów w Polsko-Japońskiej Akademii Technik Komputerowych, w przeszłościtakże prowadził zajęcia dydaktyczne w Warszawskiej SzkoleFotografii i Grafiki Projektowej (przedmioty: grafikakomputerowa, multimedia, warsztaty komputerowe I –Photoshop, warsztaty komputerowe II – Adobe AIR[projektowanieaplikacjimobilnych],kompozycjaproceduralna–HTML5, CSS3, Javascript, interakcja człowiek–komputer –badanie użyteczności, grafika wektorowa – Ilustrator,magisterska pracownia dyplomowa – tematy mieszane). Byłpromotoremtechnicznymprac licencjackichorazmagisterskichna Wydziale Sztuki Nowych Mediów, a także recenzentem naWydzialeInformatyki.

11

1.Instalacja

Niniejszy rozdziałopisujeproces instalacji systemuWindowsServer 2016. Można ją wykonać samodzielnie na dowolnymkomputerze, lecz w celach ćwiczeniowych zalecana jestinstalacjawedługksiążkiwśrodowiskuwirtualnymprzyużyciuwersji testowej Microsoft Windows Server 2016 oraz systemumaszynwirtualnych VirtualBox. Zaleca się także wykonywanieczęstych migawek maszyny wirtualnej, np. przed instalacjąkolejnychrólserwera–pozwolitowraziebłęduwkonfiguracjiszybkoprzywrócićmaszynędostanupoprzedniego.

WindowsServer2016występujewtrzechedycjach:

⇒ Essentials – jest idealna dla małych przedsiębiorstwz podstawowymiwymaganiamiwzględem IT; bardzomały lubbrak działu IT. Uprawnienia do wirtualizacji: brak; jednainstalacja,fizycznalubwirtualna.Modellicencjonowaniaopartyna CPU. Licencje CAL nie są wymagane (ograniczenie do 25użytkowników/50urządzeń). Limit pamięciRAM64GB, aCPU2.

⇒ Standard – przeznaczona dla przedsiębiorstw, którewymagają zaawansowanych funkcji lub są zwirtualizowanew minimalnym stopniu. Uprawnienia do wirtualizacji to 2wirtualne maszyny lub 2 kontenery Hyper-V. Modellicencjonowania oparty na rdzeniach, licencje CAL sąwymagane.LimitpamięciRAM24TB,aCPU512rdzeni.

⇒ Datacenter – dla wszystkich wysoko zwirtualizowanych

12

przedsiębiorstw z dużymi wymaganiami względem IT.

NieograniczonailośćwirtualnychmaszynlubkontenerówHyper-V.Model licencjonowania oparty na rdzeniach, licencje CAL sąwymagane.LimitpamięciRAM24TB,aCPU512rdzeni.Natejwersjisystemuzostałaopartaniniejszaksiążka.

Edycje systemu Windows Server 2016 różnią się podwzględemdostępnychróliusługserwera:

Rolaserwera Datacenter/Standard Essentials

UsługicertyfikatówActiveDirectory

✔ ✔automatyczniezainstalowane/

skonfigurowane(1)

UsługidomenoweActiveDirectory

✔ ✔automatyczniezainstalowane/

skonfigurowane(2)

UsługiActiveDirectoryFederationServices

✔ ✔

UsługiLDSActiveDirectory

✔ ✔

UsługiActiveDirectoryRightsManagement(3)

✔ ✔

Serweraplikacji ✔ ✔SerwerDHCP ✔ ✔SerwerDNS ✔ ✔

automatycznie

13

zainstalowany/skonfigurowany

Serwerfaksów ✔ ✔Usługiplików

imagazynowania✔ ✔

automatyczniezainstalowane/

skonfigurowane(4)

FunkcjaHyper-V ✔ ✔Usługizasadsieciowychidostępusieciowego

✔ ✔automatyczniezainstalowane/skonfigurowane

Usługidrukowaniaizarządzaniadokumentami

✔ ✔

Dostępzdalny ✔ ✔automatyczniezainstalowany/

skonfigurowany(5)

Usługipulpituzdalnego(6)

✔ brak

Usługiaktywacjizbiorczej

✔ ✔

UsługisieciWeb(IIS) ✔ ✔automatyczniezainstalowane/skonfigurowane

Usługiwdrażania ✔ ✔

14

systemuWindows

ProgramWindowsServerUpdateServices

✔ ✔

(1) Funkcja ograniczona do konfiguracji jednostek certyfikacyjnych - innefunkcje Active Directory Certificate Services (Network Device EnrollmentServices,OnlineResponderService) są niedostępne.Więcej informacjimożnaznaleźćnastronachTechNet,wopisieroliADCS.

(2)MusibyćrootemwstrukturzedomenyADDSipełnićwszystkiegłówneroleoperacyjne.

(3)DostępwymagadodatkowejlicencjiADRMSCAL.

(4)Deduplikacjadanychniejestdostępna.

(5) Ograniczenie do 50 połączeń RRAS i 50 połączeń IAS; DirectAccessiVPNsąwspierane.

(6)DostępwymagadodatkowychlicencjiRDSCAL(wyjątek:wykorzystaniefunkcjiRemoteWebAccesswedycjiEssentials).

(7)TylkousługaRDGatewayjestzainstalowanaiskonfigurowana,pozostałezdalneusługi(włączającwtohostsesjiRD)niesąwspierane.

EdycjesystemuWindowsServer2016różniąsiępodwzględemdostępnychfunkcjonalności:

Funkcjonalność Essentials Standard Datacenter

PodstawowefunkcjonalnościwWindowsServer

brak ✔ ✔

KonteneryOSEs/Hyper-V Brak ✔2 ✔bezograniczeń

KonteneryWindowsServer Brak ✔bez ✔bez

15

ograniczeń ograniczeń

HostGuardianService Brak ✔ ✔NanoServer Brak ✔* ✔*

FunkcjonalnościstoragezStorageSpacesDirectiStorageReplica

Brak Brak ✔

ShieldedVirtualMachines brak brak ✔Networkingstack brak brak ✔* Instalacja systemu Nano Server i jego eksploatacja wymaga Software

Assurance.

1.1.Wymaganiasprzętoweiopisśrodowiska

W tym dziale zajęto się dość prostym zagadnieniem, jakimjest instalacja systemu. Do tego celu będzie potrzebnykomputer lub wirtualna maszyna z procesorem wspierającymarchitekturęx64taktowanyzegaremminimum1,4GHz,z512MB pamięci RAM oraz minimum 32 GB wolnego miejsca nadysku.Wpraktycezalecasięużycieminimumdwurdzeniowegoprocesora, 4GB pamięci RAM oraz dużego i szybkiego dysku.W komputerze potrzebne też będą dwie karty sieciowe. Jednapodłączona do sieci lokalnej, a druga do globalnej. Tworzącwirtualneśrodowiskozadbanooto.

16

Stworzono też trzy wirtualne dyski twarde. Nie są onewymogiem. Zdecydowano się na nie w celu dalszegozaprezentowaniapracynamacierzachdyskowych.

1.2.Procesinstalacji

Instalatorsystemuwyglądabardzopodobniedotegoznanegoz Windows 7 i Windows Vista. Do zaprezentowania kolejnychkrokówzostałaużyta testowawersjasystemuWindowsServer2016 RC dostępna do pobrania na stronach Microsoft. Pouruchomieniu komputera z płyty CD, USB lub PXE po chwili

17

pojawi się ekran powitalny. Należy ustawić preferencjesystemoweinacisnąćprzyciskDalej(Next).

Na kolejnej planszy należy kliknąć przycisk Zainstaluj teraz(InstallNow).

Wkolejnymoknie instalatoranależywybraćwersjęsystemuWindows,naktórązostałazakupionalicencja.

Wnastępnymkrokunależy zaakceptować umowę licencyjną

18

ikliknąćprzyciskDalej(Next).

Jakożeprzygotowywanajestnowainstalacja,należywybraćopcję niestandardową, czyli zaawansowaną (Install Windowsonly(advanced)).

Pojawi się ekran wyboru dysku, na którym ma zostaćzainstalowany system operacyjny. W tym przypadku zostaniezaznaczony Dysk3, a następnie należy kliknąć przycisk Dalej(Next).Drzewopartycjiutworzysięautomatycznie.

19

Rozpoczniesięproces instalacji,któregoczastrwaniabędziezależnyodwydajnościkomputera,naktórymsięonodbywa.

Po wgraniu wszystkich plików, podczas pierwszegouruchomiania komputer poprosi o zmianę hasła dla kontaadministratora. Należy dwukrotnie wprowadzić hasło,a następnie kliknąć przycisk Zakończ (Finish). Hasło musispełniać odpowiednie normy bezpieczeństwa, tj. musi miećminimum 7 znaków, w tym jedną dużą literę, jedną cyfręijedenznakspecjalny,jaknp.@lub!.

20

Pojawi się ekran logowania. Aby się zalogować należy naklawiaturzewcisnąćkombinacjęklawiszyCtrl+Alt+Del/Delete.

Woknie,którezostaniewyświetlone,należypodaćhasłodlapożądanegoużytkownika,anastępniekliknąćikonkę

tużobokpolawpisywaniahasła.

21

Po zalogowaniu wczyta się całkowicie nowy interfejsużytkownika, znany z systemuWindows 10. SystemWindowsServer2016jestjużzainstalowany,anaszymoczomukazałsięmenadżerserwera!

22

Popomyślnymuruchomieniuserwera,zanimprzejdziesiędojego dalszej konfiguracji, należy wykonać kilka ważnychczynności. Przede wszystkim zapoznać się z zupełnie nowyminterfejsem użytkownika i zmienioną konsolą MenadżeraSerwera względem wcześniejszych wersji. Następniezaktualizować serwer, skonfigurować interfejsy siecioweiprzygotowaćmaszynędoawansunakontrolerdomeny.

2.1.Czynnościpost-instalacyjne

Kiedy na komputerze zainstalowane są już wszystkieurządzenia, można spokojnie przystąpić do podstawowej jegokonfiguracji. Z pomocą przychodzi Konsola ZarządzaniaSerwerem (Server Manager), która w swoim głównym oknieprezentuje cztey podstawowe kroki. Pierwszym z nich jestkonfiguracjaserweralokalnego.

PowybraniuopcjiKonfigurujSerwer Lokalny (Configure thislocal server) włączona zostanie konsola, w której możnazmienić nazwę komputera, przyłączyć go do grupy roboczej,a także zarządzać aktualizacjami, firewallem, raportowaniembłędów, ustawieniami sieci, zwiększonymi zabezpieczeniami IEitp.

2.Post-instalacja

23

2.1.1.Aktualizacje

W pierwszej kolejności warto uruchomić aktualizacjeautomatyczne i zainstalować wszystkie dostępne aktualizacje,używając przyciskuWłącz automatyczne aktualizacje (Turn onautomaticupdates).

Kiedy system zostanie przeanalizowany, można rozpocząćaktualizację, klikając przycisk Zainstaluj Aktualizacje (InstallUpdates).

W menu po lewej stronie należy wybrać opcję ZmieńUstawienia(ChangeSettings).

24

Woknie,któresiępojawi,najwygodniejbędziewybraćopcjępierwszą – Zainstaluj aktualizacje automatycznie (Installupdates automatically). Jeśli jednak na celu jest uniknięciesamoistnychinstalacjiaktualizacji,acozatymidzieponownychuruchomień komputera, należy wybrać opcję drugą – Pobierzaktualizacje, ale daj mi wybrać kiedy zostaną zainstalowane(DownloadupdatesbutletmechoosewhethertoInstallthem),która jest w przypadku serwera znacznie bezpieczniejsza dlazachowaniaciągłościpracy.NastępnienależykliknąćOK.

25

Przed dalszą lekturą i administracją prawdziwym serweremwartozawszezarazpoinstalacjiwykonaćaktualizacjęsystemuoraz wgrać najnowsze wersje programów i sterowników, np.przypomocuprogramuDriverBooster.

2.1.2.Zmiananazwykomputera

Na ekranie podsumowującym Menadżera Serwera (ServerManager), w sekcji Właściwości (Properties) znajduje sięparametr Nazwa Komputera (Computer Name), gdzie należykliknąćwnazwękomputera.

WkarcieNazwaKomputera(ComputerName)należykliknąćprzyciskZmień(Change).

26

Lepiej na początku ustalić sobie sposób nazewnictwakomputerów,abyutrzymaćporządekwsieci,np.ElitePC-DC01,gdzieElitePCtonazwafirmy,DC–KontrolerDomeny(DomainControler), a 01 to numer komputera. Zamiennie do DCwnazewnictwiemożnaużyćskrótówSRdlaoznaczeniaserweraorazWS(WorkStation)dlastacjiroboczych.

27

Wkomunikacie,którysiępojawi,należykliknąćprzyciskOKiuruchomićponowniekomputer.

2.2.Konfiguracjasieci

Kolejnymkrokiembędziezmiananazwinterfejsówsieciowychtak, aby w każdej chwili wiedzieć, czy operuje się na łączuinternetowymczyteż lokalnym.PołączeniezInternetemwartonazwać WAN, a z sieć lokalną LAN. Wystarczy kliknąć nawybranympołączeniuwkonsolizarzadzaniaserwerem.

Na karcie sieciowej podpiętej do Internetu należy kliknąćprawym guzikiem i wybrać opcję Zmień nazwę (Rename). Tąsamączynnośćnależypowtórzyćdladrugiejkartysieciowej.

28

Przy interfejsie łączącym z siecią lokalną należy wejść weWłaściwości(Properties)iustalićstałyadresIP,ponieważchodzituoserwer.NależywejśćweWłaściwościprotokołuIPv4.

Należy wprowadzić adresy IP z dowolnego zakresu, np.standardowaadresacja192.168.1.1przymasce255.255.255.0.

29

2.3.Zarządzanieprocesoramiipamięciąoperacyjną

Ostatnim krokiem post-instalacyjnym będzie uruchomieniewiększejliczbyrdzeniprocesorapodczasstartusystemu.Wtymcelunależykliknąćnaikonę

paska Start, związaną z konsolą Power Shell i wydaćpoleceniemsconfig.

W zakładce Rozruch (Boot) konieczne jest kliknięcie OpcjiZaawansowanych(Advancedoptions).

30

W następnej kolejność należy zaznaczyć opcję Liczbaprocesorów(Numberofprocessors),azrozwijanejlistywybraćichtakdużo,jaktojesttylkomożliwe. 

3.ActiveDirectoryDomainServices

UsługiDomenoweActiveDirectory (ActiveDirectoryDomain

31

Services)sąniezbędnedoawansuserweranagłównykontrolerdomeny.Serwerstaniesięwtensposóbcentralnąbaządanychużytkowników, odpowiedzialnych za autentykację i autoryzacjęużytkowników. Zostaną wyjaśnione takie pojęcia jak gruparoboczaorazdomena.Czytelnikzrozumie,wjakimceluwdrażasiędomenę,atakżenaczympolegastrukturadrzewaorazlasu.W następnej kolejności prześledzi proces instalacji pierwszegokontrolera domeny i nauczy się zarządzać obiektamiprzechowywanymiwActiveDirectoryzapomocąkonsoliActiveDirectory Users and Computers oraz Active DirectoryAdministrativeCenter.

3.1.Czymjestdomena?

Na początku warto wyjaśnić kilka pojęć. Przede wszystkim,czym jest domena oraz dlaczego się ją stosuje zamiast gruproboczych. Dla przykładu w grupie roboczej lista kontużytkowników, uprawnienia użytkowników i zabezpieczeniasystemu przechowywane są lokalnie, tzn. osobno na każdymkomputerze wchodzącym w skład grupy roboczej. Każdykomputer jest jednostką autonomiczną.Abymócpracowaćnakomputerzenależącymdogrupyroboczej,trzebamiećkontonatym komputerze.Wiąże się to z tym, że osób pracujących najednym komputerzemoże byćwięcej, co oznacza koniecznośćpowielania kont na różnych komputerach. To samo dotyczyustawieńioprogramowania.Cowięcej,jeśliktośzachowajakiśplik na jednym komputerze, to nie otworzy go już na innym,

32

chybażeręczniegoprzekopiuje.

Można wyobrazić sobie sytuację, w której zarządza siękilkunastoma komputerami i należy aktualizować programy,zakładać konta nowym pracownikom itp. Byłaby to strasznieżmudna praca. W domenie natomiast zarządzanie informacjąo kontach użytkowników, komputerach domeny oraz zasadachobowiązujących w domenie jest scentralizowane. Komputerywspółdzielą bazę danych kont, zasad, zabezpieczeń, któraznajduje się na kontrolerach domeny.W trakcie logowania sięnakontowdomenieWindows,daneużytkownikaporównywanesązdanymizapisanymiwkontrolerzedomeny.Przestajemiećznaczenie, z którego konkretnie komputera loguje się danyużytkownik,gdyżitakzachowaswojeplikiiustawienia.

W przypadku instalacji nowego oprogramowania wystarczy,że administrator wyda taką „dyspozycję” na serwerze,a komputery podłączone do domeny same sobie poradząz instalacją. Naturalnie logowanie na lokalne kontaużytkowników, tak jak to miało miejsce w przypadku grupyroboczej, dalej jest możliwe. To oczywiście tylko czubek górylodowej, inne możliwości zostaną przedstawione w kolejnychrozdziałach.

Obecnie rozróżnia się dwa typy domen: NT4 oraz ActiveDirectory, której będzie poświęcone najwięcej uwagi. ActiveDirectorytousługakatalogowabędącaimplementacjąprotokołuLDAP.JestnastępcąNT4iusuwanajwiększewadypoprzednika.Wprowadzono do niej hierarchiczność przechowywaniainformacji, dużo wyższe limity przechowywania informacji(powyżej1milionaobiektówwdomenieActiveDirectory)orazrozszerzalnośćschematuzawierającegodefinicjeobiektów.

33

Domeny zorganizowane są hierarchicznie, tworząc strukturędrzewa.Drzewoposiadazawszeprzynajmniej jednądomenę–domenę najwyższego poziomu (ang. root) – korzeń drzewa.Pozostałedomeny(oileistnieją)mogąbyćumieszczoneponiżejdomeny najwyższego poziomu, tworząc drzewo. Takierozwiązanie częstostosujesięwprzypadkukilkusiedzib firmylubdowygodnegozarządzaniakomputeramiwdwóchodległychod siebiemiejscach. Jakoprzykładpokazanoponiżej fragmentdrzewadlafirmyElitePC.

Każde drzewo należy do jakiegoś lasu, każdy las składa sięz przynajmniej jednego drzewa. Nie ma możliwościutrzymywaniadrzewabezutrzymywanialasu.

Uwaga!

ToodnosisięrównieżdodomenyActiveDirectory–domenanie może istnieć samodzielnie, musi istnieć w jakimś drzewiei jakimś lesie. Jeżeli jest to pierwsza domena, to tworzypierwsze drzewo (którego korzeniem się staje) oraz pierwszylas.Poniżejprzykładlasuzdwomadrzewami:

34

3.2.InstalacjaActiveDirectoryDomainServices

W przypadku gdy serwer jest kierowany ku zastosowaniomdomowym czy małej firmy, wystarczy jedna domena. Abyrozpocząć instalację, należy kliknąć ikonkę Menadżer Serwera(Server Manager) znajdującą się obok guzika Start. Wartozapamiętaćtenkrok,gdyżbędzieonczęstowykonywany.

WMenadżerze Serwera (Server Manager) będą instalowanepraktyczniewszystkieroledostępnewWindowsSerwer2016.

Wgórnymmenupoprawejstronienależykliknąćwprzycisk

35

Zarządzaj (Manage), a następnie wybrać opcję Dodaj rolei funkcje (Add Roles and Features). Pojawi się planszapowitalna, gdzie konieczne jest kliknięcie w przycisk Dalej(Next).

Jedną z nowości Windows Server 2016 jest możliwośćinstalowania ról serwera na zdalnych komputerach, obrazachdysków VHD czy na maszynach wirtualnych. Na potrzeby tejpublikacji i dla ułatwienia zrozumienia omawianych zagadnieńna razie będą instalowanewszelkie nowe role i funkcje na tejsamejmaszynie.NależywybraćwięcopcjępierwsząRole-basedi kliknąć Dalej (Next). Instalacja oparta na scenariuszu jestnowościąwsystemieWindowsServer2016.Dziękiniejmożnajednocześnie instalować komponenty związane z UsługamiPulpitu Zdalnego (Remote Desktop Services). AD jestinstalowanejakoklasycznarola.

36

Wkolejnymkrokunależywybraćserwer,najakimdanarolama zostać skonfigurowana. Naturalnie w środowiskuprzykładowymdowyboru jest tylko jednamaszyna.Należy jązaznaczyć i wybrać przycisk Dalej (Next). Jest to kolejnaz nowości w systemie Windows Server 2016. Pozwala onazdalnieinstalowaćrolenainnychserwerach,atakżejewgrywaćnawirtualnedyskiVHD,któremożnapotempodmontowaćpodkonkretnyserwer.

NastępnienależywybraćUsługiDomenowewUsłudzeActiveDirectory (Active Directory Domain Services). Znawcy tematuzauważą, że Role są niemalże identyczne z tymi z WindowsServer2008R2.NowościąjestZdalnyDostęp(RemoteAccess),którywrzeczywistości jestnowąnazwądlaDirectAccessorazUsługi Aktywacji Woluminowej (Volume Activation Services)związanezaktywacjąlicencjiwoluminowych.

37

Pojawi się komunikat, na którym należy kliknąć DodajWymaganeFunkcje(AddFeatures),anastępnieDalej(Next).

NastępnieponownienależykliknąćwprzyciskDalej(Next).

38

Poniższe okno prezentuje informacje podsumowujące orazdotyczące dalszych kroków instalacyjnych. Między innymipowiadamia ono o konieczności zainstalowania serwera DNS,ponieważtarolajestwymaganadoprawidłowegodziałaniaAD.Wgranyzostanietakżekomponentodpowiadającyzareplikacjęserwera DFS, który został wprowadzony już wWindows 2003R2 do replikacji wolumenu SYSVOL. Po raz kolejny należykliknąćwDalej(Next).

Na ostatniej już planszy należy wybrać przycisk Zainstaluj(Install).

39

Proces instalacjichwilępotrwa.Gdydobiegniekońca,należykliknąćwZakończ(Close).

Aby instalacja dobiegła końca, należy ponownie uruchomićkomputer.

40

WMenadżerze Serwera (ServerManager)wmenu po lewejstronie należy kliknąć w Usługi Domenowe w Usłudze ActiveDirectory(ADDS).

Kiedy plansza się załaduje, po prawej stronie pojawi sięwyróżnionynapisWięcej(More),którynależywybrać.

Następnie należy wybrać Promuje ten serwer na kontrolerdomeny (Promote this server to a domain Controller) poprzezwybranieodpowiedniejakcji.

To samo można uzyskać, korzystając bezpośrednio z menuakcji,któreoznaczonejestwgórnymmenuchorągiewką.

Ponieważ tworzony jest pierwszy serwer, który jednocześniebędzie głównym kontrolerem domeny w sieci, należy wybraćopcję trzecią. W przeciwnym wypadku, kiedy serwer miałbyzostać wpięty do istniejącej już struktury, konieczne byłobywybranie opcji drugiej lub pierwszej. Niezbędne jest takżepodanienazwydomeny,któramazostaćstworzona.

41

3.3.WstępnakonfiguracjaADDS

Należy ustawić poziom funkcjonalności lasu tak, aby byłkompatybilny z resztą sieci. Jeżeli istniałby już jakiś kontrolerdomeny, pracujący pod kontrolą Windows Server 2003,musiałby zostać wybrany taki sam poziom. Wiązałoby się toniestety z utratą nowych funkcjonalności wprowadzonychw Windows Server 2016. W przypadku przedstawionymw książce należy wybrać poziom najwyższy, czyli WindowsServer 2016. Przy okazji zostanie zainstalowany serwer DNS,ponieważtakowegowdomeniejeszczeniema,ajestniezbędnydo jej prawidłowego funkcjonowania. Konieczne jest takżepodanie w kreatorze hasła niezbędnego w razie potrzebyprzywracaniausługikatalogowej.

WnastępnejkolejnościnależywybraćDalej(Next).

42

Nakolejnej planszynie są konieczne żadne zmiany, dlategoteżnależyprzejśćdonastępnejkarty,klikającwDalej (Next),chyba że nazwa kontrolera dla komputerów korzystającychzNetBIOSmabyćinnaniżdomyślna.

Podobniejestwprzypadkuścieżek,chybażedanemająbyćprzechowywanenaosobnymnośniku.

NaplanszypodsumowującejnależykliknąćwDalej(Next).

43

System zostanie poddany analizie. Jeżeli wszystkoprzebiegnie pomyślnie, można kliknąć w przycisk Zainstaluj(Install).

Procesinstalacjizajmiedłuższąchwilę,należyzatemuzbroićsięwcierpliwość.

3.4.ActiveDirectoryUsersandComputers

Po ponownym uruchomieniu komputera w MenadżerzeSerwera (Server Manager) konieczne jest wybranie AD DS(Active Directory Domain Services), następnie na serwerzenależy kliknąć prawym klawiszemmyszy i wybrać Komputeryi Użytkownicy Usługi Active Directory (Active Directory Users

44

andComputers).

Jest to miejsce niezwykle ważnie, ponieważ będą w nimtworzone grupy i konta dla użytkowników oraz komputerów,będą im przypisywane odpowiednie role i uprawnienia.WsystemWindowsjestjużwbudowanacałkiempokaźnaliczbagrupbezpieczeństwa.Wprzykładzieniebędziejednakpotrzebytworzenia nowych grup,mimo że daje to ogromnemożliwościwprzydzielaniuiodbieraniuuprawnieńużytkownikom.Opisróldostępnyjestpodadresem:

http://technet.microsoft.com/pl-pl/library/cc756898%28WS.10%29.aspx.

45

Przechodząc do praktyki, warto od samego początkuutrzymywać ład i porządek, a także intuicyjne nazwy.Dlategoteż na początku zostanie stworzona nowa JednostkaOrganizacyjna. Dla zobrazowania, czym ona jest, można jątraktowaćjakobytpodobnydokatalogu.Wcelujejutworzeniakonieczne jest kliknięcie prawym klawiszemmyszy na nazwiedomeny, następnie w przycisk Nowy (New) i wybranie opcjiJednostkaOrganizacyjna(OrganizationalUnit).

W ramach ćwiczenia zostanie stworzona jednostkaorganizacyjnaonazwieKsięgowość(oczywiście,starającsięnieużywaćprzytympolskichznaków),gdziebędąprzechowywanizatrudnieniksięgowi.Wybór,atakżeakceptacja jejutworzeniazostanązatwierdzoneprzyciskiemOK.

46

Następniepowstanienowagrupa.Wtymcelunależykliknąćprawym przyciskiem myszy na nowo powstałym elemencie,anastępniewNowy(New)iGrupa(Group).

Dokonanyzostaniepodziałnapracowników,którzypracująnakasach oraz na tych, którzy pracują w biurze. Odpowiednioniech będą to grupy Kasa i Biuro. Czynność trzeba powtórzyćdla każdej z grup. Na planszy, która się pojawi, należy podaćnazwędlagrupyorazzaznaczyćopcjew taki samsposób, jakjesttozrobionenaponiższejilustracjiikliknąćprzyciskOK.

47

Grupydystrybucyjnemogąbyć używane tylko z aplikacjamipoczty e-mail (np. Exchange) do wysyłania poczty e-mail dogrup użytkowników. Grupy dystrybucyjne nie obsługujązabezpieczeń, co oznacza, że nie są wyświetlane na listacharbitralnejkontrolidostępu(DACL,DiscretionaryAccessControlList).Jeślijestpotrzebnagrupasłużącadokontrolidostępudozasobówudostępnionych,należyutworzyćgrupęzabezpieczeń.

Grupy zabezpieczeń, jeśli są używane z rozwagą, stanowiąwydajnysposóbudzielaniadostępudozasobówwsieci.

Zapomocągrupzabezpieczeńmożnawykonywaćnastępująceoperacje:

• Przypisywanie praw użytkownika grupom zabezpieczeńwusłudzeActiveDirectory.Prawaużytkownikasąprzypisywanegrupie zabezpieczeń w celu ustalenia czynności, jakieczłonkowiedanejgrupymogąwykonaćwzakresiedomeny(lublasu). Prawa użytkownika są automatycznie przypisywaneniektórym grupom zabezpieczeń podczas instalowania usługiActive Directory, aby ułatwić administratorom określenie roliadministracyjnejposzczególnychosóbwdomenie.Naprzykładużytkownik dodany do grupy „Operatorzy kopii zapasowych”

48

w usłudze Active Directory może wykonywać kopie zapasoweplików i katalogów znajdujących się na każdym kontrolerzedomeny, a także przywracać te pliki i katalogi z kopiizapasowych. Jest to możliwe, ponieważ domyślnie grupie„Operatorzykopiizapasowych”sąautomatycznieprzypisywaneprawa użytkownika, wykonywanie kopii zapasowych plikówikatalogóworazprzywracanieplikówikatalogów,aczłonkowiegrupydziedzicząprawaużytkownikaprzypisanegrupie.

•ZapomocąprzystawkiZasadygrupy(GroupPolicies)możnaprzypisaćgrupomzabezpieczeńprawaużytkownika,abyułatwićdelegowanie określonych zadań. Przypisując delegowanezadania, należy zachować dużą ostrożność, ponieważniedoświadczony użytkownikmający zbytwiele praww grupiezabezpieczeństanowizagrożeniedlabezpieczeństwasieci.

•Przypisywanieuprawnieńdozasobówgrupomzabezpieczeń.Uprawnieńniewolnomylićzprawamiużytkownika.Uprawnieniaprzypisuje się grupom zabezpieczeń dla danego zasobuudostępnionego.Decydująoneo tym,ktomamiećmożliwośćdostępudozasobuinajakimpoziomie,np.pełnakontrola(FullControl).Niektóreuprawnieniasąprzypisywaneautomatycznie,np. dla obiektów domeny, po to, aby określić różne poziomydostępudomyślnychgrup,jaknp.AdministratorzydomenyczyOperatorzykont.

Grupyzabezpieczeńwymienianesąna listachDACL.Listyteokreślają uprawnienia do obiektów i zasobów. Administratorzypowinni przypisywać uprawnienia do zasobów (drukarek,udziałów plików itp.) nie pojedynczym użytkownikom, leczcałym grupom zabezpieczeń. Przypisywanie uprawnień grupiejest o tyle wygodne, że nie trzeba powtarzać wielokrotnie tej

49

samej procedury. Każde konto, które zostało przydzielone do

grupy,otrzymujeprawanarzuconetejgrupiewusłudzeActiveDirectory,taksamojakiuprawnieniatejgrupydookreślonychzasobów.

Grupy zabezpieczeń, podobnie jak grupy dystrybucyjne,mogą zostać użyte jako adresaci poczty e-mail. Gdy zostaniewysłana wiadomość e-mail do danej grupy, otrzymają jąwszyscyjejczłonkowie.

Grupy będą bardzo pomocne, jeśli większej liczbieużytkownikówzostanąprzypisanedaneuprawnienia,ainnejjużnie,np.wćwiczeniowymprzypadkukasjerzyniepowinnimiećtakwysokichuprawnieńjakpracownicybiurowi.

Naturalnie, tak utworzonej grupie należałoby nadaćodpowiednieprawa.NaprzykładniechtobędąprawazwykłegoUżytkownika. Zostanie więc wykorzystana wbudowanaw systemWindows grupa bezpieczeństwa.W tym celu należykliknąć prawym klawiszem myszy na Właściwości (Properties)np.kasjerów.

50

W oknie, które się pojawi, konieczne jest przejście dozakładkiCzłonekGrupy(MemberOf)iwybranieprzyciskuDodaj(Add).

NastępnienależykliknąćwZaawansowane(Advanced).

W dalszej kolejności należy kliknąć w Znajdź teraz (FindNow), a z listy, jaka się wygeneruje, wybrać Użytkownicy(Users)ikliknąćwprzyciskOK,anastępniejeszczerazOK.

51

Jakwidać, kasjerzy są jużwUżytkownikach.Należy kliknąćwOK.

Dla testu zostanie dodany użytkownik, na którym będąprzeprowadzane różne doświadczenia w dalszej części książki.W celu stworzenia użytkownika należy prawym przyciskiemmyszy kliknąć w Księgowość > Nowy (New) > Użytkownik(User).

52

Trzebawypełnićwszystkiepola.Ważnajestnazwalogowaniaużytkownika,gdyżtodziękiniejbędziesięonmógłzalogowaćna danym komputerze. W przykładzie zastosowano nazwękasjer_01.

Na następnej karcie należy wybrać dla tego użytkownikaodpowiednie hasło. Warto zostawić zaznaczoną opcjęUżytkownik musi zmienić hasło przy następnym logowaniu(User must change password at next logon), aby mógł sobiew trakcie pierwszego logowania je zmienić wedle własnychupodobań. Potem należy kliknąć w Dalej (Next), a następnie

53

Zakończ(Finish).

W następnej kolejności należy wejść w jego Właściwości(Properties), klikając prawym przyciskiem myszy, a następniewzakładkęCzłonekGrupy(Memberof).

Domyślnie jest on Użytkownikiem Domeny (Domain Users).Możnawięc skasować tąpozycję,apotemdodaćgodogrupy„Kasy”.

54

Grupę Kasy można natomiast teraz przypisać do grupyUżytkownicyDomeny(DomainUsers).To,cozostałouzyskane,to pewnego rodzaju hierarchia (dziedziczenie). UżytkownicynależądogrupyKasy,agrupaKasynależydojednejlubwięcejinnych grup. Dzięki temu można swobodnie zarządzaćuprawnieniami wielu użytkowników naraz, zamiast każdegoużytkownikazosobna.

Należy sprytnie zarządzać zarówno grupami użytkownikówjakijednostkamiorganizacyjnymi,ponieważnietylkoułatwitopracęadministratorowisystemuizwiększybezpieczeństwo,aletakże pozwoli wydajnie zarządzać, np. Zasadami grupy, któremożnaprzyłączaćwyłączniedojednostekorganizacyjnych.

Zostanie teraz stworzona kolejna jednostka organizacyjna,lecz tym razem wewnątrz księgowości. Zostanie nazwana„Komputery”.Będątamprzechowywanekontadlakomputerówwtymdziale.

55

Teraz należy kliknąć prawym przyciskiem myszy naKomputery > Nowy > Komputer (Komputery > New >Computer).

Następnie należy stworzyć maszynę, która będzie sięnazywać„KS-WS-01”.

KomputerdomyślniezostanieprzypisanydogrupyKomputeryDomeny (Domain Computers). Co można sprawdzić, klikającwjegoWłaściwości(Properties).

56

Trzeba pamiętać, że każdy komputer z systememWindowsNT, Windows 2000 lub nowszym, który zostaje dołączony dodomeny, otrzymuje własne konto komputera. Podobnie jakkonta użytkowników, konta komputerów umożliwiająuwierzytelnianie oraz inspekcję dostępu komputera do siecii zasobów domeny. Każde konto komputera musi byćunikatowe. Uniemożliwi to niepowołanym osobom podłączeniesię do sieci bez zgody administratora. Skoro zostali jużstworzeni i pogrupowani użytkownicy oraz konta komputerów,warto jeszcze zwrócić uwagę na ich właściwości. Po kliknięciuprawymprzyciskiemmyszynakonciekomputerasądwieważneopcje. Jedną z nich jest Wyłączenie Konta (Disable Account),a drugą Zresetowanie Konta (Reset Account). Ta druganiezbędna jest wtedy, gdy maszyna o danej nazwie uległaawarii i została wymieniona na nową. Nowego komputera niepodłączysiędodomenydochwilizresetowaniakonta.

57

Wprzypadkukontaużytkownikarównieżmożnajewyłączyć,a także zresetować mu hasło opcją Resetuj Hasło (ResetPassword). Przydatna jest także możliwość WysłaniaWiadomości(SendMail).

Kontużytkownikazzałożenianiepowinnosiękasowaćzkilkuwzględów. Jednym z nich jest to, że na miejsce danegopracownika może przyjść jego następca – musiałoby wtedyzostaćutworzonedlaniegonowekonto,wprowadzonewszelkieustawienia oraz uprawnienia. Prościej będzie użyć opcji Kopiuj

58

(Copy).

Będzie konieczne podanie nowej nazwy użytkownika orazhasła,natomiastwszelkie inneustawienia,jaknp.uprawnieniaczyzamontowanedyskisieciowe,pozostanązachowane.Zracjitego,żenaogółustawieńjestdośćdużo,praktykujesięwłaśniestworzenie wzorcowego konta użytkownika w obrębie danejGrupy i kopiowanie, zamiast tworzenia za każdym razemnowego konta. Użytkowników, którzy przestają być potrzebni,najlepiej wyłączyć i przenieść do wcześniej przygotowanejjednostkiorganizacyjnej (np. czasowowyłączeni).Można terazwejśćwewłaściwościjakiegośkontaużytkownika.

59

W zakładkach Ogólne (General), Adres (Address), Telefony(Telephones) i Organizacja (Organization) znajdują się jedyniepola,wktórychmożnawpisaćjakieśinformacjeoużytkowniku.

W zakładce Konto (Account) warto zwrócić uwagę na to, iżmożna zmienić login użytkownika lub nadać inny dla różnychdomen. Warto korzystać z funkcji Wygasania ważności konta(AccountExpires),którapowodujewyłączeniekontapoupływiedatyjakiegośczasu(np.wdniukońcaumowyopracę).Dzięki

60

temu administrator nie musi pamiętać o wyłączeniu konta

zwolnionegopracownika.

BezpieczeństwosiecimożnadodatkowozwiększyćzapomocąustawieńGodzinLogowania(LogonHours).

Łatwym sposobem można określić to, w jakich godzinachkonto może być używane, a w jakich nie. Dzięki temupotencjalny włamywacz, jeżeli nawet dostanie się na takiekonto,pozagodzinamipracy,czyliwtedy,gdyniemanadzorunadsiecią,niebędziewstanieniczegozrobić.

WzakładceProfil(Profile)możnaokreślićścieżkęsieciowądlaprofilu, czyli lokalizację w sieci, gdzie dany profil ma byćprzechowywany. Parametr %USERNAME% to zmienna

61

środowiskowa, która zwraca nazwę użytkownika. Dzięki temuwpodanejlokalizacjizostanieutworzonykatalogonazwietakiejsamej, jak nazwa użytkownika. Kopiując tak skonfigurowanyprofil, pewne jest, że każdy nowy użytkownik dostanie swójwłasny prywatny folder w zasobie sieciowym. Istnieje takżemożliwość zamontowania dysku sieciowego. Niestetyograniczona do jednego dysku.Więcejmożna zamontować zapomocąZasadGrupy.

WzakładceTelefonowanie(Dial–in)wartozwrócićuwagęnato, czy użytkownik ma zgodę na dostęp do sieci z zewnątrz.Jeżeli takiej niema, to np. nie będziemógł się podłączyć dowewnętrznejsieci zapomocąVPN’a itp.Na takidostępmożnamu pozwolić lub wybrać opcję trzecią, która mówi o tym, żeNPS zajmie się jego weryfikacją (o czym już w dalszychdziałach).

62

Ze względów licencyjnych, i nie tylko, w zakładce Sesje(Sessions) warto ustawić limity czasu trwania sesji tak, abyużytkownicy nieaktywni lub tacy, którzy zostawili włączonekomputery przed wyjściem z pracy, byli automatyczniewylogowywani.

Zapomocąikonki

można dostać się do wyszukiwarki Active Directory, w którejmożna tworzyć kwerendy, przefiltrowujące dokładnie całąusługę katalogową i pomagające wyłuskać pożądaneinformacje.

63

ZamykającdziałdotyczącyActiveDirectory,wartonadmienić,iż ze względów wydajnościowych w obrębie jednostkiorganizacyjnej nie powinno znajdować się więcej niż 5000użytkowników.

Warto także pamiętać, że w jednostce organizacyjnejUżytkownicy (Users) znajduje się bardzo newralgiczne kontoAdministrator.

Każdy użytkownik Windows posiada IdentyfikatorBezpieczeństwa (Security Identifier), który wygląda mniejwięcej tak: S-1-5-21-3627861015-3361044348-30300820-1013. Konto Administrator posiada na samym końcu zawszeliczbę 500, czyli wygląda mniej więcej tak: S-1-5-21-3623811015-3361897348-30300820-500. Dzięki temupotencjalny włamywacz posiada wiedzę na temat tego, którekontotoAdministrator.Dlategoteżjednymzpierwszychkrokóww pracy z Active Directory powinno być powielenie kontaadministratora. Można to osiągnąć wyłącznie poprzez opcjęKopiuj (Copy), a następnie wyłączenie pierwotnego kontazwcześniejszymnadaniemmubardzozłożonegohasła.

Naturalnie administrator nie jest osobą odpowiedzialną zacałedziałanieserwera.Naogółróżneosobyzarządzająróżnymi

64

rolami,anawetczęściamiról.TaksamojestwprzypadkuActiveDirectory. W celu przeprowadzenia demonstracji, należystworzyćjednostkęorganizacyjnąPracownicyorazużytkownikaSzef.Następniena jednostceorganizacyjnejPracownicynależyprzycisnąć prawy przycisk myszki i wybrać Deleguj kontrolę(DelegateControl).

Ukażesiękreator,którypozwalanaprzedelegowaniekontrolinad pojedynczą jednostką organizacyjną i jej zawartościąwybranemu użytkownikowi. Użytkownik ten będzie mógłzarządzać innymi użytkownikami, nadawać im uprawnienia,tworzyć grupy, komputery, jednostki organizacyjne oraz inneobiekty Active Directory, lecz tylko wewnątrz jednostkiorganizacyjnejPracownicy.NależykliknąćDalej(Next).

Kolejne okno kreatora służy do określenia tego, komukontrola zostanie przedelegowana. Tych użytkowników lub ichgrupydodajesięprzyciskiemDodaj(Add).

65

Następnie należy określić, jakie zadania dany użytkownikbędziemógłrealizować.Dowyborujestkilkapredefiniowanychszablonów. Istnieje także możliwość stworzenianieszablonowegozadania.

NakarciepodsumowującejnależykliknąćZakończ(Finish).

66

Fizyczny dostęp do serwera jest niewskazany nawet dlaadministratora, a tym bardziej dla zwykłego użytkownika.Dlatego też należy dać użytkownikom możliwość zarządzaniarolami, do których mają dostęp. Można to uczynić, tworzącwłasną konsolę MMC. Aby ją stworzyć w menu Start należywyszukaćaplikacjęMMCijąuruchomić.

67

W programie, który się uruchomi, należy wybrać Plik (File)iopcjęDodaj/UsuńPrzystawkę(AddorRemoveSnap-ins).

Pojawisięokno,wktórymzlistypolewejstroniewybierasię,które konsole mają być dołączone do obecnie tworzonej zapomocąguzikaDodaj(Add).

68

Tak przygotowaną konsolę należy zachować wybierając Plik(File), a następnie Zapisz (Save). Konsoli należy nadaćprzyjazną nazwę, tak aby odzwierciedlała to, co się w niejznajduje. Tym bardziej, że jej zawartość może składać sięzkilkustandardowychkonsol,np.możezawieraćprzystawkidozarządzaniaDNS,DHCPczyActiveDirectoryitp.

69

Tak przygotowany plik wystarczy przekazać użytkownikomdocelowym. Musi on zostać uruchomiony na komputerzewpiętym do sieci firmowej bezpośrednio bądź przez VPN.Uruchomienie następuje poprzez dwukrotne kliknięcie nakonsoli,asposóbzarządzanianieodbiegaodtegobezpośredniozserwera.

Innąopcjąudzieleniakomuśmożliwościzarządzanianp.nadpojedynczągrupąjestudzieleniewładzypoprzezjejWłaściwości(Properties) i wybranie zakładki Zarządzany przez (Managedby). Karta ta pozwala na przypisanie jednego użytkownika dozarządzaniajednąkonkretnągrupą.

3.5.ActiveDirectoryAdministrativeCenter

Chyba najlepszą i zarazem najbardziej popularną usługąkatalogową jest Active Directory. Mimo że jest ona wciąż nabieżąco rozwijana, to jednak należy pamiętać, żewywodzi sięjeszcze z czasów Windows 2000. Nic więc dziwnego, żeMicrosoft stara się ciągle nie tylko dopracowywać starą, aletakżetworzyćbyćmożelepszerozwiązania,którebędąwstaniezastąpić swoich poprzedników. Jedną z takich nowości jestprzystawka Centrum Administracyjne Active Directory (ActiveDirectory Administrative Center). Została ona wprowadzonaw Windows Serwer 2008 R2, a w rozwiniętej wersjizaimplementowanarównieżwWindowsServer2016.

70

Choć na pierwszy rzut oka wygląda ona do złudzeniapodobnie do tej z Windows Server 2008, to wprowadza kilkanowych możliwości. Podobnie jak inne konsolki, znajduje sięonawnarzędziachadministracyjnych.Możnasiędoniejdostaćtakże poprzez Menadżera Serwera, analogiczne doUżytkownikówiKomputerówusługiActiveDirectory.

Celem jej wprowadzenia było uproszczenie, przyspieszeniei ułatwienie wykonywania najczęstszych czynności, jakieadministrator napotyka na swojej drodze. Zostaną więc tutajstworzeni użytkownicy, grupy, kontenery, jednostkiadministracyjne itp. Można przy tym jednocześnie zarządzaćwięcej niż jedną domeną, używać filtrów wyszukiwania orazpowiązaćjejpracęzPowerShell'em.Jużpierwszakartapozwalanazresetowaniehasłaużytkownikaczyprzeszukaniedomeny.

71

Po kliknięciu z lewej strony na pożądaną domenę,w środkowej części ekranu pojawi się pasek z możliwościąręcznego pisania kwerend oraz zawartością domeny. Napierwszyrzutokawyglądapodobniedostarejprzystawki.

Klikając w Dodaj kryteria (Add Criteria) można wybraćinteresujące administratora właściwości obiektów, wedługktórychbędąfiltrowanewartości.

72

Ogólnie rzecz ujmując, zarządzanie jest bardzo podobne doprzystawki Użytkownicy i komputery usługi Active Directory.Można np. kliknąćw dany kontener prawymguzikiem i dodaćnowegoużytkownikaczykomputer.

Zmianie uległy także kreatory. Teraz nie ma potrzebyprzeglądania kilku zakładek jedna po drugiej, wszystkiewłaściwościzostałyzebranewpostaciformularza.

73

Nauwagęzasługujetakżewyszukiwanieglobalne,awłaściwieciekawa funkcjonalność, jaka się tam znalazła, tj. możliwośćskonwertowaniazapytaniadoformatuLDAP.

Wracając jednakdooknagłównegonowejprzystawki,wartozauważyć,iżpojawiłsiękontenerDynamicznaKontrolaDostępu(Dynamic Access Control), który powiązany jest z autoryzacjąbazującą na mechanizmie Claim, o którym będzie więcejwdziale8.3.Natąchwilęwystarczywiedza, iżCentralAccessPolicies odpowiada za polisy autoryzacji w metodzie Claim,Central Access Rules posiada w sobie reguły autoryzacyjneniezbędne przy budowaniu polis dostępu, Claim Types zawiera

74

uzgodnienia (Claim) pomiędzy obiektema atrybutami obiektu,

Resource Properties to miejsce na zdefiniowane ustawieniazasobów używane przy autoryzacji typu Claim, natomiastResource Property List to nic innego, jak listy własnościzasobówużywanychpodczasautoryzacjiClaim.

Warto terazkliknąćwnazwędomeny i zerknąćnamenupoprawejstronie.

OprócztrzechopcjiznanychzWindowsServer2008R2,czyliZmiany kontrolera domeny (Change domain controller) oraz

75

Zwiększaniapoziomufunkcjonalnościdomeny,bądźlasu(Raisethe domain functional level oraz Raise the forest functionallevel),pojawiłsiętakżeKoszdlaUsługiActiveDirectory(EnableRecycleBin).Pokliknięciuwniegopojawisiękomunikatotym,że raz włączonego kosza nie można już wyłączyć. Należy topotwierdzić,klikającwOK.

76

Koniec Wersji Demonstracyjnej

Dziękujemyzaskorzystaniezofertynaszegowydawnictwaiżyczymymiłospędzonychchwilprzykolejnychnaszychpublikacjach.

WydawnictwoPsychoskok