Biblia Windows Server 2016. Podręcznik Administratora ebook

Krzysztof Wołk „Biblia Windows Server 2016. 

Podręcznik Administratora”

Copyright © by Krzysztof Wołk, 2019

Copyright © by Wydawnictwo Psychoskok Sp. z o.o. 2019

Wszelkie prawa zastrzeżone. Żadna część niniejszej publikacji nie

 może być reprodukowana, powielana i udostępniana w 

jakiejkolwiek formie bez pisemnej zgody wydawcy.

Redaktor prowadząca: Renata Grześkowiak

Projekt okładki: Krzysztof Wołk

Ilustracje na okładce: Krzysztof Wołk

Korekta:Bogusław Jusiak, Joanna Barbara Gębicka

Skład epub, mobi i pdf: Kamil Skitek

http://wolk.pl/

ISBN: 978-83-8119-318-4

Wydawnictwo Psychoskok Sp. z o.o.

ul. Spółdzielców 3, pok. 325, 62-510 Konin

tel. (63) 242 02 02, kom. 695-943-706

http://www.psychoskok.pl/http://wydawnictwo.psychoskok.pl/ e-mail:[email protected]

Wstęp

Niniejsza książka stanowi praktyczny przewodnik po Windows Serwer 2016. Stanowi ona propozycję nie tylko dla początkujących administratorów, lecz także dla tych doświadczonych, pragnących szybko i w przyjazny sposób poznać nowości nowego systemu serwerowego firmy Microsoft. Prezentuje najważniejsze jego funkcje i możliwości. Poza niezbędną teorią zawiera szczegółowe instrukcje i ćwiczenia, w których każdy element, nawet najdrobniejszy, jest przedstawiony na zrzucie ekranowym, objaśnionym tak, by osoba, która pierwszy raz pracuje z Windows Serwer, poradziła sobie z jego konfiguracją i administracją. Książka została napisana tak, aby po zapoznaniu się z jej treścią od początku do końca, użytkownikowi udało się w pełni skonfigurować własny serwer, a następnie nadzorować jego działanie i nim administrować. Jest kompatybilna zarówno z anglojęzyczną, jak i polskojęzyczną wersją systemu, która dopiero będzie miała swoją premierę. Wszelkie ewentualne poprawki zostaną opublikowane na blogu autora: http://www.wolk.pl. Z tej publikacji czytelnik nauczy się także współpracować z maszynami i sieciami opartymi na systemach z rodziny Mac OS X oraz Linux. Współdzielenie się zasobami oraz wspólna praca w domenie czy grupie roboczej nie będzie stanowić dla niego żadnego problemu. Przy okazji czytelnik zapozna się także z zaawansowanymi możliwościami nowego serwera. Książka jest idealną propozycją dla osób mających już dość pozycji encyklopedycznych, a pragnących lektury ukierunkowanej na praktykę i ćwiczenia.

O autorze

Doktor inżynier nauk technicznych w dziedzinie informatyki i bioinformatyki. Pasjonat zagadnień związanych ze sztuczną inteligencją, uczeniem maszynowym, sieciami komputerowymi oraz szeroko pojętymi multimediami. Wykładowca, trener IT, autor książek specjalistycznych a także publicysta internetowy. Certyfikowany specjalista Microsoft, Adobe, Apple, w3schools oraz EITCA. Recenzent konferencji naukowych.

Jego specjalizacja to sztuczna inteligencja, inżynieria lingwistyczna, NLP, aplikacje mobilne, multimedia, aplikacje graficzne Adobe, HTML 5, budowa sieci IT oraz produkty serwerowe firm Apple i Microsoft. Posiada uprawnienia pedagogiczne.

Doświadczony projektant infrastruktur sieciowych dla firm oraz instytucji. 

Od 2009 roku redaktor portali informatycznych: in4.pl, pclab.pl oraz własnego bloga: www.wolk.pl, na łamach których opublikował kilkadziesiąt artykułów oraz poradników z dziedziny informatyki. Tworzy także autorskie materiały szkoleniowe, udziela się na portalu e-biotechnologia.pl, a także jest autorem artykułów dla „iCoder Magazine”.

Posiada liczne certyfikaty firm Apple i Microsoft, między innymi Apple Certified System Administrator (ACSA), Microsoft Certified System Administrator (MCSA) oraz Microsoft Certified IT Professional (MCITP).

Naukowiec i adiunkt w katedrze Multimediów Polsko-Japońskiej Akademii Technik Komputerowych w Warszawie. Prowadzi badania naukowe związane z przetwarzaniem języka naturalnego oraz uczeniem maszynowym opartym na metodach statystycznych oraz sieciach neuronowych. Recenzent specjalistycznych konferencji naukowych oraz branżowych czasopism. 

W ramach swojej pracy dydaktycznej prowadzi zajęcia na wydziale Informatyki oraz Sztuki Nowych Mediów w Polsko-Japońskiej Akademii Technik Komputerowych, w przeszłości także prowadził zajęcia dydaktyczne w Warszawskiej Szkole Fotografii i Grafiki Projektowej (przedmioty: grafika komputerowa, multimedia, warsztaty komputerowe I – Photoshop, warsztaty komputerowe II – Adobe AIR [projektowanie aplikacji mobilnych], kompozycja proceduralna – HTML5, CSS3, Javascript, interakcja człowiek–komputer – badanie użyteczności, grafika wektorowa – Ilustrator, magisterska pracownia dyplomowa – tematy mieszane). Był promotorem technicznym prac licencjackich oraz magisterskich na Wydziale Sztuki Nowych Mediów, a także recenzentem na Wydziale Informatyki.

1. Instalacja

Niniejszy rozdział opisuje proces instalacji systemu Windows Server 2016. Można ją wykonać samodzielnie na dowolnym komputerze, lecz w celach ćwiczeniowych zalecana jest instalacja według książki w środowisku wirtualnym przy użyciu wersji testowej Microsoft Windows Server 2016 oraz systemu maszyn wirtualnych VirtualBox. Zaleca się także wykonywanie częstych migawek maszyny wirtualnej, np. przed instalacją kolejnych ról serwera – pozwoli to w razie błędu w konfiguracji szybko przywrócić maszynę do stanu poprzedniego.

Windows Server 2016 występuje w trzech edycjach:

⇒ Essentials – jest idealna dla małych przedsiębiorstw z podstawowymi wymaganiami względem IT; bardzo mały lub brak działu IT. Uprawnienia do wirtualizacji: brak; jedna instalacja, fizyczna lub wirtualna. Model licencjonowania oparty na CPU. Licencje CAL nie są wymagane (ograniczenie do 25 użytkowników/50 urządzeń). Limit pamięci RAM 64 GB, a CPU 2.

⇒ Standard – przeznaczona dla przedsiębiorstw, które wymagają zaawansowanych funkcji lub są zwirtualizowane w minimalnym stopniu. Uprawnienia do wirtualizacji to 2 wirtualne maszyny lub 2 kontenery Hyper-V. Model licencjonowania oparty na rdzeniach, licencje CAL są wymagane. Limit pamięci RAM 24 TB, a CPU 512 rdzeni.

⇒  Datacenter – dla wszystkich wysoko zwirtualizowanych przedsiębiorstw z dużymi wymaganiami względem IT. Nieograniczona ilość wirtualnych maszyn lub kontenerów Hyper-V. Model licencjonowania oparty na rdzeniach, licencje CAL są wymagane. Limit pamięci RAM 24 TB, a CPU 512 rdzeni. Na tej wersji systemu została oparta niniejsza książka.

Edycje systemu Windows Server 2016 różnią się pod względem dostępnych ról i usług serwera:

Rola serwera

Datacenter/Standard

Essentials

Usługi certyfikatów Active Directory

✔

✔automatycznie zainstalowane / skonfigurowane (1)

Usługi domenowe Active Directory

✔

✔automatycznie zainstalowane / skonfigurowane (2)

Usługi Active Directory Federation Services

✔

✔

Usługi LDS Active Directory

✔

✔

Usługi Active Directory Rights Management (3)

✔

✔

Serwer aplikacji

✔

✔

Serwer DHCP

✔

✔

Serwer DNS

✔

✔automatycznie zainstalowany / skonfigurowany

Serwer faksów

✔

✔

Usługi plików i magazynowania

✔

✔automatycznie zainstalowane / skonfigurowane (4)

Funkcja Hyper-V

✔

✔

Usługi zasad sieciowych i dostępu sieciowego

✔

✔automatycznie zainstalowane / skonfigurowane

Usługi drukowania i zarządzania dokumentami

✔

✔

Dostęp zdalny

✔

✔automatycznie zainstalowany / skonfigurowany (5)

Usługi pulpitu zdalnego (6)

✔

brak

Usługi aktywacji zbiorczej

✔

✔

Usługi sieci Web (IIS)

✔

✔automatycznie zainstalowane / skonfigurowane

Usługi wdrażania systemu Windows

✔

✔

Program Windows Server Update Services

✔

✔

(1) Funkcja ograniczona do konfiguracji jednostek certyfikacyjnych-inne funkcje Active Directory Certificate Services (Network Device Enrollment Services, Online Responder Service) są niedostępne. Więcej informacji można znaleźć na stronach TechNet, w opisie roli AD CS.

(2) Musi być rootem w strukturze domeny AD DS i pełnić wszystkie główne role operacyjne.

(3) Dostęp wymaga dodatkowej licencji AD RMS CAL.

(4) Deduplikacja danych nie jest dostępna.

(5) Ograniczenie do 50 połączeń RRAS i 50 połączeń IAS; DirectAccess i VPN są wspierane.

(6) Dostęp wymaga dodatkowych licencji RDS CAL (wyjątek: wykorzystanie funkcji Remote Web Access w edycji Essentials).

(7) Tylko usługa RD Gateway jest zainstalowana i skonfigurowana, pozostałe zdalne usługi (włączając w to host sesji RD) nie są wspierane.

Edycje systemu Windows Server 2016 różnią się pod względem dostępnych funkcjonalności:

Funkcjonalność

Essentials

Standard

Datacenter

Podstawowe funkcjonalności w Windows Server

brak

✔

✔

Kontenery OSEs / Hyper-V

Brak

✔2

✔bez ograniczeń

Kontenery Windows Server

Brak

✔bez ograniczeń

✔bez ograniczeń

Host Guardian Service

Brak

✔

✔

Nano Server

Brak

✔*

✔*

Funkcjonalności storage z Storage Spaces Direct i Storage Replica

Brak

Brak

✔

Shielded Virtual Machines

brak

brak

✔

Networking stack

brak

brak

✔

* Instalacja systemu Nano Server i jego eksploatacja wymaga Software Assurance.

1.1. Wymagania sprzętowe i opis środowiska

W tym dziale zajęto się dość prostym zagadnieniem, jakim jest instalacja systemu. Do tego celu będzie potrzebny komputer lub wirtualna maszyna z procesorem wspierającym architekturę x64 taktowany zegarem minimum 1,4 GHz, z 512 MB pamięci RAM oraz minimum 32 GB wolnego miejsca na dysku. W praktyce zaleca się użycie minimum dwurdzeniowego procesora, 4 GB pamięci RAM oraz dużego i szybkiego dysku. W komputerze potrzebne też będą dwie karty sieciowe. Jedna podłączona do sieci lokalnej, a druga do globalnej. Tworząc wirtualne środowisko zadbano o to. 

Stworzono też trzy wirtualne dyski twarde. Nie są one wymogiem. Zdecydowano się na nie w celu dalszego zaprezentowania pracy na macierzach dyskowych.

1.2. Proces instalacji

Instalator systemu wygląda bardzo podobnie do tego znanego z Windows 7 i Windows Vista. Do zaprezentowania kolejnych kroków została użyta testowa wersja systemu Windows Server 2016 RC dostępna do pobrania na stronach Microsoft. Po uruchomieniu komputera z płyty CD, USB lub PXE po chwili pojawi się ekran powitalny. Należy ustawić preferencje systemowe i nacisnąć przycisk Dalej (Next).

Na kolejnej planszy należy kliknąć przycisk Zainstaluj teraz (Install Now).

W kolejnym oknie instalatora należy wybrać wersję systemu Windows, na którą została zakupiona licencja.

W następnym kroku należy zaakceptować umowę licencyjną i kliknąć przycisk Dalej (Next).

Jako że przygotowywana jest nowa instalacja, należy wybrać opcję niestandardową, czyli zaawansowaną (Install Windows only (advanced)).

Pojawi się ekran wyboru dysku, na którym ma zostać zainstalowany system operacyjny. W tym przypadku zostanie zaznaczony Dysk3, a następnie należy kliknąć przycisk Dalej (Next). Drzewo partycji utworzy się automatycznie.

Rozpocznie się proces instalacji, którego czas trwania będzie zależny od wydajności komputera, na którym się on odbywa.

Po wgraniu wszystkich plików, podczas pierwszego uruchomiania komputer poprosi o zmianę hasła dla konta administratora. Należy dwukrotnie wprowadzić hasło, a następnie kliknąć przycisk Zakończ (Finish). Hasło musi spełniać odpowiednie normy bezpieczeństwa, tj. musi mieć minimum 7 znaków, w tym jedną dużą literę, jedną cyfrę i jeden znak specjalny, jak np. @ lub !.

Pojawi się ekran logowania. Aby się zalogować należy na klawiaturze wcisnąć kombinację klawiszy Ctrl+Alt+Del/Delete.

W oknie, które zostanie wyświetlone, należy podać hasło dla pożądanego użytkownika, a następnie kliknąć ikonkę

tuż obok pola wpisywania hasła.

Po zalogowaniu wczyta się całkowicie nowy interfejs użytkownika, znany z systemu Windows 10. System Windows Server 2016 jest już zainstalowany, a naszym oczom ukazał się menadżer serwera!

2. Post-instalacja

Po pomyślnym uruchomieniu serwera, zanim przejdzie się do jego dalszej konfiguracji, należy wykonać kilka ważnych czynności. Przede wszystkim zapoznać się z zupełnie nowym interfejsem użytkownika i zmienioną konsolą Menadżera Serwera względem wcześniejszych wersji. Następnie zaktualizować serwer, skonfigurować interfejsy sieciowe i przygotować maszynę do awansu na kontroler domeny. 

2.1. Czynności post-instalacyjne

Kiedy na komputerze zainstalowane są już wszystkie urządzenia, można spokojnie przystąpić do podstawowej jego konfiguracji. Z pomocą przychodzi Konsola Zarządzania Serwerem (Server Manager), która w swoim głównym oknie prezentuje cztey podstawowe kroki. Pierwszym z nich jest konfiguracja serwera lokalnego.

Po wybraniu opcji Konfiguruj Serwer Lokalny (Configure this local server) włączona zostanie konsola, w której można zmienić nazwę komputera, przyłączyć go do grupy roboczej, a także zarządzać aktualizacjami, firewallem, raportowaniem błędów, ustawieniami sieci, zwiększonymi zabezpieczeniami IE itp.

2.1.1. Aktualizacje

W pierwszej kolejności warto uruchomić aktualizacje automatyczne i zainstalować wszystkie dostępne aktualizacje, używając przycisku Włącz automatyczne aktualizacje (Turn on automatic updates).

Kiedy system zostanie przeanalizowany, można rozpocząć aktualizację, klikając przycisk Zainstaluj Aktualizacje (Install Updates).

W menu po lewej stronie należy wybrać opcję Zmień Ustawienia (Change Settings).

W oknie, które się pojawi, najwygodniej będzie wybrać opcję pierwszą – Zainstaluj aktualizacje automatycznie (Install updates automatically). Jeśli jednak na celu jest uniknięcie samoistnych instalacji aktualizacji, a co za tym idzie ponownych uruchomień komputera, należy wybrać opcję drugą – Pobierz aktualizacje, ale daj mi wybrać kiedy zostaną zainstalowane (Download updates but let me choose whether to Install them), która jest w przypadku serwera znacznie bezpieczniejsza dla zachowania ciągłości pracy. Następnie należy kliknąć OK.

Przed dalszą lekturą i administracją prawdziwym serwerem warto zawsze zaraz po instalacji wykonać aktualizację systemu oraz wgrać najnowsze wersje programów i sterowników, np. przy pomocu programu Driver Booster.

2.1.2. Zmiana nazwy komputera

Na ekranie podsumowującym Menadżera Serwera (Server Manager), w sekcjiWłaściwości (Properties) znajduje się parametr Nazwa Komputera (Computer Name), gdzie należy kliknąć w nazwę komputera. 

W karcie Nazwa Komputera (Computer Name) należy kliknąć przycisk Zmień (Change).

Lepiej na początku ustalić sobie sposób nazewnictwa komputerów, aby utrzymać porządek w sieci, np. ElitePC-DC01, gdzie ElitePC to nazwa firmy, DC – Kontroler Domeny (Domain Controler), a 01 to numer komputera. Zamiennie do DC w nazewnictwie można użyć skrótów SR dla oznaczenia serwera oraz WS (Work Station) dla stacji roboczych.

W komunikacie, który się pojawi, należy kliknąć przycisk OK i uruchomić ponownie komputer.

2.2. Konfiguracja sieci

Kolejnym krokiem będzie zmiana nazw interfejsów sieciowych tak, aby w każdej chwili wiedzieć, czy operuje się na łączu internetowym czy też lokalnym. Połączenie z Internetem warto nazwać WAN, a z sieć lokalną LAN. Wystarczy kliknąć na wybranym połączeniu w konsoli zarzadzania serwerem.

Na karcie sieciowej podpiętej do Internetu należy kliknąć prawym guzikiem i wybrać opcję Zmień nazwę (Rename). Tą samą czynność należy powtórzyć dla drugiej karty sieciowej.

Przy interfejsie łączącym z siecią lokalną należy wejść we Właściwości (Properties) i ustalić stały adres IP, ponieważ chodzi tu o serwer. Należy wejść we Właściwości protokołu IPv4.

Należy wprowadzić adresy IP z dowolnego zakresu, np. standardowa adresacja 192.168.1.1 przy masce 255.255.255.0.

2.3. Zarządzanie procesorami i pamięcią operacyjną

Ostatnim krokiem post-instalacyjnym będzie uruchomienie większej liczby rdzeni procesora podczas startu systemu. W tym celu należy kliknąć na ikonę  

  paska Start, związaną z konsolą Power Shell i wydać poleceniemsconfig.

W zakładce Rozruch (Boot) konieczne jest kliknięcie Opcji Zaawansowanych (Advanced options).

W następnej kolejność należy zaznaczyć opcję Liczba procesorów (Number of processors), a z rozwijanej listy wybrać ich tak dużo, jak to jest tylko możliwe. 

3. Active Directory Domain Services

Usługi Domenowe Active Directory (Active Directory Domain Services) są niezbędne do awansu serwera na główny kontroler domeny. Serwer stanie się w ten sposób centralną bazą danych użytkowników, odpowiedzialnych za autentykację i autoryzację użytkowników. Zostaną wyjaśnione takie pojęcia jak grupa robocza oraz domena. Czytelnik zrozumie, w jakim celu wdraża się domenę, a także na czym polega struktura drzewa oraz lasu. W następnej kolejności prześledzi proces instalacji pierwszego kontrolera domeny i nauczy się zarządzać obiektami przechowywanymi w Active Directory za pomocą konsoli Active Directory Users and Computers oraz Active Directory Administrative Center. 

3.1. Czym jest domena?

Na początku warto wyjaśnić kilka pojęć. Przede wszystkim, czym jest domena oraz dlaczego się ją stosuje zamiast grup roboczych. Dla przykładu w grupie roboczej lista kont użytkowników, uprawnienia użytkowników i zabezpieczenia systemu przechowywane są lokalnie, tzn. osobno na każdym komputerze wchodzącym w skład grupy roboczej. Każdy komputer jest jednostką autonomiczną. Aby móc pracować na komputerze należącym do grupy roboczej, trzeba mieć konto na tym komputerze. Wiąże się to z tym, że osób pracujących na jednym komputerze może być więcej, co oznacza konieczność powielania kont na różnych komputerach. To samo dotyczy ustawień i oprogramowania. Co więcej, jeśli ktoś zachowa jakiś plik na jednym komputerze, to nie otworzy go już na innym, chyba że ręcznie go przekopiuje.

Można wyobrazić sobie sytuację, w której zarządza się kilkunastoma komputerami i należy aktualizować programy, zakładać konta nowym pracownikom itp. Byłaby to strasznie żmudna praca. W domenie natomiast zarządzanie informacją o kontach użytkowników, komputerach domeny oraz zasadach obowiązujących w domenie jest scentralizowane. Komputery współdzielą bazę danych kont, zasad, zabezpieczeń, która znajduje się na kontrolerach domeny. W trakcie logowania się na konto w domenie Windows, dane użytkownika porównywane są z danymi zapisanymi w kontrolerze domeny. Przestaje mieć znaczenie, z którego konkretnie komputera loguje się dany użytkownik, gdyż i tak zachowa swoje pliki i ustawienia.

W przypadku instalacji nowego oprogramowania wystarczy, że administrator wyda taką „dyspozycję” na serwerze, a komputery podłączone do domeny same sobie poradzą z instalacją. Naturalnie logowanie na lokalne konta użytkowników, tak jak to miało miejsce w przypadku grupy roboczej, dalej jest możliwe. To oczywiście tylko czubek góry lodowej, inne możliwości zostaną przedstawione w kolejnych rozdziałach.

Obecnie rozróżnia się dwa typy domen: NT4 oraz Active Directory, której będzie poświęcone najwięcej uwagi. Active Directory to usługa katalogowa będąca implementacją protokołu LDAP. Jest następcą NT4 i usuwa największe wady poprzednika. Wprowadzono do niej hierarchiczność przechowywania informacji, dużo wyższe limity przechowywania informacji (powyżej 1 miliona obiektów w domenie Active Directory) oraz rozszerzalność schematu zawierającego definicje obiektów.

Domeny zorganizowane są hierarchicznie, tworząc strukturę drzewa. Drzewo posiada zawsze przynajmniej jedną domenę – domenę najwyższego poziomu (ang. root) – korzeń drzewa. Pozostałe domeny (o ile istnieją) mogą być umieszczone poniżej domeny najwyższego poziomu, tworząc drzewo. Takie rozwiązanie często stosuje się w przypadku kilku siedzib firmy lub do wygodnego zarządzania komputerami w dwóch odległych od siebie miejscach. Jako przykład pokazano poniżej fragment drzewa dla firmy ElitePC.

Każde drzewo należy do jakiegoś lasu, każdy las składa się z przynajmniej jednego drzewa. Nie ma możliwości utrzymywania drzewa bez utrzymywania lasu. 

Uwaga! 

To odnosi się również do domeny Active Directory – domena nie może istnieć samodzielnie, musi istnieć w jakimś drzewie i jakimś lesie. Jeżeli jest to pierwsza domena, to tworzy pierwsze drzewo (którego korzeniem się staje) oraz pierwszy las. Poniżej przykład lasu z dwoma drzewami:

3.2. Instalacja Active Directory Domain Services

W przypadku gdy serwer jest kierowany ku zastosowaniom domowym czy małej firmy, wystarczy jedna domena. Aby rozpocząć instalację, należy kliknąć ikonkę Menadżer Serwera (Server Manager) znajdującą się obok guzika Start. Warto zapamiętać ten krok, gdyż będzie on często wykonywany.

W Menadżerze Serwera (Server Manager) będą instalowane praktycznie wszystkie role dostępne w Windows Serwer 2016.

W górnym menu po prawej stronie należy kliknąć w przycisk Zarządzaj (Manage), a następnie wybrać opcję Dodaj role i funkcje(Add Roles and Features). Pojawi się plansza powitalna, gdzie konieczne jest kliknięcie w przycisk Dalej (Next).

Jedną z nowości Windows Server 2016 jest możliwość instalowania ról serwera na zdalnych komputerach, obrazach dysków VHD czy na maszynach wirtualnych. Na potrzeby tej publikacji i dla ułatwienia zrozumienia omawianych zagadnień na razie będą instalowane wszelkie nowe role i funkcje na tej samej maszynie. Należy wybrać więc opcję pierwszą Role-based i kliknąć Dalej (Next). Instalacja oparta na scenariuszu jest nowością w systemie Windows Server 2016. Dzięki niej można jednocześnie instalować komponenty związane z Usługami Pulpitu Zdalnego (Remote Desktop Services). AD jest instalowane jako klasyczna rola.

W kolejnym kroku należy wybrać serwer, na jakim dana rola ma zostać skonfigurowana. Naturalnie w środowisku przykładowym do wyboru jest tylko jedna maszyna. Należy ją zaznaczyć i wybrać przycisk Dalej (Next). Jest to kolejna z nowości w systemie Windows Server 2016. Pozwala ona zdalnie instalować role na innych serwerach, a także je wgrywać na wirtualne dyski VHD, które można potem podmontować pod konkretny serwer. 

Następnie należy wybrać Usługi Domenowe w Usłudze Active Directory (Active Directory Domain Services). Znawcy tematu zauważą, że Role są niemalże identyczne z tymi z Windows Server 2008 R2. Nowością jest Zdalny Dostęp (Remote Access), który w rzeczywistości jest nową nazwą dla Direct Access oraz Usługi Aktywacji Woluminowej (Volume Activation Services) związane z aktywacją licencji woluminowych.

Pojawi się komunikat, na którym należy kliknąć Dodaj Wymagane Funkcje(Add Features), a następnie Dalej (Next).

Następnie ponownie należy kliknąć w przycisk Dalej (Next).

Poniższe okno prezentuje informacje podsumowujące oraz dotyczące dalszych kroków instalacyjnych. Między innymi powiadamia ono o konieczności zainstalowania serwera DNS, ponieważ ta rola jest wymagana do prawidłowego działania AD. Wgrany zostanie także komponent odpowiadający za replikację serwera DFS, który został wprowadzony już w Windows 2003 R2 do replikacji wolumenu SYSVOL. Po raz kolejny należy kliknąć w Dalej (Next).

Na ostatniej już planszy należy wybrać przycisk Zainstaluj (Install).

Proces instalacji chwilę potrwa. Gdy dobiegnie końca, należy kliknąć w Zakończ (Close).

Aby instalacja dobiegła końca, należy ponownie uruchomić komputer. 

3.3. Wstępna konfiguracja AD DS

W Menadżerze Serwera (Server Manager) w menu po lewej stronie należy kliknąć w Usługi Domenowe w Usłudze Active Directory (AD DS). 

Kiedy plansza się załaduje, po prawej stronie pojawi się wyróżniony napis Więcej (More), który należy wybrać.

Następnie należy wybrać Promuje ten serwer na kontroler domeny (Promote this server to a domain Controller) poprzez wybranie odpowiedniej akcji.

To samo można uzyskać, korzystając bezpośrednio z menu akcji, które oznaczone jest w górnym menu chorągiewką.

Ponieważ tworzony jest pierwszy serwer, który jednocześnie będzie głównym kontrolerem domeny w sieci, należy wybrać opcję trzecią. W przeciwnym wypadku, kiedy serwer miałby zostać wpięty do istniejącej już struktury, konieczne byłoby wybranie opcji drugiej lub pierwszej. Niezbędne jest także podanie nazwy domeny, która ma zostać stworzona. 

Należy ustawić poziom funkcjonalności lasu tak, aby był kompatybilny z resztą sieci. Jeżeli istniałby już jakiś kontroler domeny, pracujący pod kontrolą Windows Server 2003, musiałby zostać wybrany taki sam poziom. Wiązałoby się to niestety z utratą nowych funkcjonalności wprowadzonych w Windows Server 2016. W przypadku przedstawionym w książce należy wybrać poziom najwyższy, czyli Windows Server 2016. Przy okazji zostanie zainstalowany serwer DNS, ponieważ takowego w domenie jeszcze nie ma, a jest niezbędny do jej prawidłowego funkcjonowania. Konieczne jest także podanie w kreatorze hasła niezbędnego w razie potrzeby przywracania usługi katalogowej.

W następnej kolejności należy wybrać Dalej (Next).

Na kolejnej planszy nie są konieczne żadne zmiany, dlatego też należy przejść do następnej karty, klikając w Dalej (Next), chyba że nazwa kontrolera dla komputerów korzystających z NetBIOS ma być inna niż domyślna.

Podobnie jest w przypadku ścieżek, chyba że dane mają być przechowywane na osobnym nośniku.

Na planszy podsumowującej należy kliknąć w Dalej (Next).

System zostanie poddany analizie. Jeżeli wszystko przebiegnie pomyślnie, można kliknąć w przycisk Zainstaluj (Install).

Proces instalacji zajmie dłuższą chwilę, należy zatem uzbroić się w cierpliwość.

3.4. Active Directory Users and Computers

Po ponownym uruchomieniu komputera w Menadżerze Serwera (Server Manager) konieczne jest wybranie AD DS (Active Directory Domain Services), następnie na serwerze należy kliknąć prawym klawiszem myszy i wybrać Komputery i Użytkownicy Usługi Active Directory (Active Directory Users and Computers).

Jest to miejsce niezwykle ważnie, ponieważ będą w nim tworzone grupy i konta dla użytkowników oraz komputerów, będą im przypisywane odpowiednie role i uprawnienia. W system Windows jest już wbudowana całkiem pokaźna liczba grup bezpieczeństwa. W przykładzie nie będzie jednak potrzeby tworzenia nowych grup, mimo że daje to ogromne możliwości w przydzielaniu i odbieraniu uprawnień użytkownikom. Opis ról dostępny jest pod adresem: 

http://technet.microsoft.com/pl-pl/library/cc756898%28WS.10%29.aspx .

Przechodząc do praktyki, warto od samego początku utrzymywać ład i porządek, a także intuicyjne nazwy. Dlatego też na początku zostanie stworzona nowa Jednostka Organizacyjna. Dla zobrazowania, czym ona jest, można ją traktować jako byt podobny do katalogu. W celu jej utworzenia konieczne jest kliknięcie prawym klawiszem myszy na nazwie domeny, następnie w przycisk Nowy (New) i wybranie opcji Jednostka Organizacyjna (Organizational Unit). 

W ramach ćwiczenia zostanie stworzona jednostka organizacyjna o nazwie Księgowość (oczywiście, starając się nie używać przy tym polskich znaków), gdzie będą przechowywani zatrudnieni księgowi. Wybór, a także akceptacja jej utworzenia zostaną zatwierdzone przyciskiem OK. 

Następnie powstanie nowa grupa. W tym celu należy kliknąć prawym przyciskiem myszy na nowo powstałym elemencie, a następnie w Nowy (New) i Grupa (Group).  

Dokonany zostanie podział na pracowników, którzy pracują na kasach oraz na tych, którzy pracują w biurze. Odpowiednio niech będą to grupy Kasa i Biuro. Czynność trzeba powtórzyć dla każdej z grup. Na planszy, która się pojawi, należy podać nazwę dla grupy oraz zaznaczyć opcje w taki sam sposób, jak jest to zrobione na poniższej ilustracji i kliknąć przycisk OK.

Grupy dystrybucyjne mogą być używane tylko z aplikacjami poczty e-mail (np. Exchange) do wysyłania poczty e-mail do grup użytkowników. Grupy dystrybucyjne nie obsługują zabezpieczeń, co oznacza, że nie są wyświetlane na listach arbitralnej kontroli dostępu (DACL, Discretionary Access Control List). Jeśli jest potrzebna grupa służąca do kontroli dostępu do zasobów udostępnionych, należy utworzyć grupę zabezpieczeń.

Grupy zabezpieczeń, jeśli są używane z rozwagą, stanowią wydajny sposób udzielania dostępu do zasobów w sieci. 

Za pomocą grup zabezpieczeń można wykonywać następujące operacje:

• Przypisywanie praw użytkownika grupom zabezpieczeń w usłudze Active Directory. Prawa użytkownika są przypisywane grupie zabezpieczeń w celu ustalenia czynności, jakie członkowie danej grupy mogą wykonać w zakresie domeny (lub lasu). Prawa użytkownika są automatycznie przypisywane niektórym grupom zabezpieczeń podczas instalowania usługi Active Directory, aby ułatwić administratorom określenie roli administracyjnej poszczególnych osób w domenie. Na przykład użytkownik dodany do grupy „Operatorzy kopii zapasowych” w usłudze Active Directory może wykonywać kopie zapasowe plików i katalogów znajdujących się na każdym kontrolerze domeny, a także przywracać te pliki i katalogi z kopii zapasowych. Jest to możliwe, ponieważ domyślnie grupie „Operatorzy kopii zapasowych” są automatycznie przypisywane prawa użytkownika, wykonywanie kopii zapasowych plików i katalogów oraz przywracanie plików i katalogów, a członkowie grupy dziedziczą prawa użytkownika przypisane grupie.

• Za pomocą przystawki Zasady grupy (Group Policies) można przypisać grupom zabezpieczeń prawa użytkownika, aby ułatwić delegowanie określonych zadań. Przypisując delegowane zadania, należy zachować dużą ostrożność, ponieważ niedoświadczony użytkownik mający zbyt wiele praw w grupie zabezpieczeń stanowi zagrożenie dla bezpieczeństwa sieci.

• Przypisywanie uprawnień do zasobów grupom zabezpieczeń. Uprawnień nie wolno mylić z prawami użytkownika. Uprawnienia przypisuje się grupom zabezpieczeń dla danego zasobu udostępnionego. Decydują one o tym, kto ma mieć możliwość dostępu do zasobu i na jakim poziomie, np. pełna kontrola (Full Control). Niektóre uprawnienia są przypisywane automatycznie, np. dla obiektów domeny, po to, aby określić różne poziomy dostępu domyślnych grup, jak np. Administratorzy domeny czy Operatorzy kont.

Grupy zabezpieczeń wymieniane są na listach DACL. Listy te określają uprawnienia do obiektów i zasobów. Administratorzy powinni przypisywać uprawnienia do zasobów (drukarek, udziałów plików itp.) nie pojedynczym użytkownikom, lecz całym grupom zabezpieczeń. Przypisywanie uprawnień grupie jest o tyle wygodne, że nie trzeba powtarzać wielokrotnie tej samej procedury. Każde konto, które zostało przydzielone do grupy, otrzymuje prawa narzucone tej grupie w usłudze Active Directory, tak samo jak i uprawnienia tej grupy do określonych zasobów. 

Grupy zabezpieczeń, podobnie jak grupy dystrybucyjne, mogą zostać użyte jako adresaci poczty e-mail. Gdy zostanie wysłana wiadomość e-mail do danej grupy, otrzymają ją wszyscy jej członkowie. 

Grupy będą bardzo pomocne, jeśli większej liczbie użytkowników zostaną przypisane dane uprawnienia, a innej już nie, np. w ćwiczeniowym przypadku kasjerzy nie powinni mieć tak wysokich uprawnień jak pracownicy biurowi.

Naturalnie, tak utworzonej grupie należałoby nadać odpowiednie prawa. Na przykład niech to będą prawa zwykłego Użytkownika. Zostanie więc wykorzystana wbudowana w system Windows grupa bezpieczeństwa. W tym celu należy kliknąć prawym klawiszem myszy na Właściwości (Properties) np. kasjerów.

W oknie, które się pojawi, konieczne jest przejście do zakładki Członek Grupy (Member Of) i wybranie przycisku Dodaj (Add). 

Następnie należy kliknąć w Zaawansowane (Advanced). 

W dalszej kolejności należy kliknąć w Znajdź teraz (Find Now), a z listy, jaka się wygeneruje, wybrać Użytkownicy (Users) i kliknąć w przycisk OK, a następnie jeszcze raz OK.

Jak widać, kasjerzy są już w Użytkownikach. Należy kliknąć w OK. 

Dla testu zostanie dodany użytkownik, na którym będą przeprowadzane różne doświadczenia w dalszej części książki. W celu stworzenia użytkownika należy prawym przyciskiem myszy kliknąć w Księgowość > Nowy (New) > Użytkownik (User).

Trzeba wypełnić wszystkie pola. Ważna jest nazwa logowania użytkownika, gdyż to dzięki niej będzie się on mógł zalogować na danym komputerze. W przykładzie zastosowano nazwę kasjer_01.

Na następnej karcie należy wybrać dla tego użytkownika odpowiednie hasło. Warto zostawić zaznaczoną opcję Użytkownik musi zmienić hasło przy następnym logowaniu (User must change password at next logon), aby mógł sobie w trakcie pierwszego logowania je zmienić wedle własnych upodobań. Potem należy kliknąć w Dalej (Next), a następnie Zakończ (Finish).

W następnej kolejności należy wejść w jego Właściwości (Properties), klikając prawym przyciskiem myszy, a następnie w zakładkę Członek Grupy (Member of).

Domyślnie jest on Użytkownikiem Domeny (Domain Users). Można więc skasować tą pozycję, a potem dodać go do grupy „Kasy”.

Grupę Kasy można natomiast teraz przypisać do grupy Użytkownicy Domeny (Domain Users). To, co zostało uzyskane, to pewnego rodzaju hierarchia (dziedziczenie). Użytkownicy należą do grupy Kasy, a grupa Kasy należy do jednej lub więcej innych grup. Dzięki temu można swobodnie zarządzać uprawnieniami wielu użytkowników naraz, zamiast każdego użytkownika z osobna.

Należy sprytnie zarządzać zarówno grupami użytkowników jak i jednostkami organizacyjnymi, ponieważ nie tylko ułatwi to pracę administratorowi systemu i zwiększy bezpieczeństwo, ale także pozwoli wydajnie zarządzać, np. Zasadami grupy, które można przyłączać wyłącznie do jednostek organizacyjnych.

Zostanie teraz stworzona kolejna jednostka organizacyjna, lecz tym razem wewnątrz księgowości. Zostanie nazwana „Komputery”. Będą tam przechowywane konta dla komputerów w tym dziale.

Teraz należy kliknąć prawym przyciskiem myszy na Komputery > Nowy > Komputer (Komputery > New > Computer). 

Następnie należy stworzyć maszynę, która będzie się nazywać „KS-WS-01”.

Komputer domyślnie zostanie przypisany do grupy Komputery Domeny (Domain Computers). Co można sprawdzić, klikając w jego Właściwości (Properties).

Trzeba pamiętać, że każdy komputer z systemem Windows NT, Windows 2000 lub nowszym, który zostaje dołączony do domeny, otrzymuje własne konto komputera. Podobnie jak konta użytkowników, konta komputerów umożliwiają uwierzytelnianie oraz inspekcję dostępu komputera do sieci i zasobów domeny. Każde konto komputera musi być unikatowe. Uniemożliwi to niepowołanym osobom podłączenie się do sieci bez zgody administratora. Skoro zostali już stworzeni i pogrupowani użytkownicy oraz konta komputerów, warto jeszcze zwrócić uwagę na ich właściwości. Po kliknięciu prawym przyciskiem myszy na koncie komputera są dwie ważne opcje. Jedną z nich jest Wyłączenie Konta (Disable Account), a drugą Zresetowanie Konta (Reset Account). Ta druga niezbędna jest wtedy, gdy maszyna o danej nazwie uległa awarii i została wymieniona na nową. Nowego komputera nie podłączy się do domeny do chwili zresetowania konta.

W przypadku konta użytkownika również można je wyłączyć, a także zresetować mu hasło opcją Resetuj Hasło (Reset Password). Przydatna jest także możliwość Wysłania Wiadomości (Send Mail).  

Kont użytkownika z założenia nie powinno się kasować z kilku względów. Jednym z nich jest to, że na miejsce danego pracownika może przyjść jego następca – musiałoby wtedy zostać utworzone dla niego nowe konto, wprowadzone wszelkie ustawienia oraz uprawnienia. Prościej będzie użyć opcji Kopiuj (Copy). 

Będzie konieczne podanie nowej nazwy użytkownika oraz hasła, natomiast wszelkie inne ustawienia, jak np. uprawnienia czy zamontowane dyski sieciowe, pozostaną zachowane. Z racji tego, że na ogół ustawień jest dość dużo, praktykuje się właśnie stworzenie wzorcowego konta użytkownika w obrębie danej Grupy i kopiowanie, zamiast tworzenia za każdym razem nowego konta. Użytkowników, którzy przestają być potrzebni, najlepiej wyłączyć i przenieść do wcześniej przygotowanej jednostki organizacyjnej (np. czasowo wyłączeni). Można teraz wejść we właściwości jakiegoś konta użytkownika. 

W zakładkach Ogólne (General), Adres (Address), Telefony (Telephones) i Organizacja (Organization) znajdują się jedynie pola, w których można wpisać jakieś informacje o użytkowniku.

W zakładce Konto (Account) warto zwrócić uwagę na to, iż można zmienić login użytkownika lub nadać inny dla różnych domen. Warto korzystać z funkcji Wygasania ważności konta (Account Expires), która powoduje wyłączenie konta po upływie daty jakiegoś czasu (np. w dniu końca umowy o pracę). Dzięki temu administrator nie musi pamiętać o wyłączeniu konta zwolnionego pracownika.

Bezpieczeństwo sieci można dodatkowo zwiększyć za pomocą ustawień Godzin Logowania (Logon Hours).

Łatwym sposobem można określić to, w jakich godzinach konto może być używane, a w jakich nie. Dzięki temu potencjalny włamywacz, jeżeli nawet dostanie się na takie konto, poza godzinami pracy, czyli wtedy, gdy nie ma nadzoru nad siecią, nie będzie w stanie niczego zrobić. 

W zakładce Profil (Profile) można określić ścieżkę sieciową dla profilu, czyli lokalizację w sieci, gdzie dany profil ma być przechowywany. Parametr %USERNAME% to zmienna środowiskowa, która zwraca nazwę użytkownika. Dzięki temu w podanej lokalizacji zostanie utworzony katalog o nazwie takiej samej, jak nazwa użytkownika. Kopiując tak skonfigurowany profil, pewne jest, że każdy nowy użytkownik dostanie swój własny prywatny folder w zasobie sieciowym. Istnieje także możliwość zamontowania dysku sieciowego. Niestety ograniczona do jednego dysku. Więcej można zamontować za pomocą Zasad Grupy.

W zakładce Telefonowanie (Dial –in) warto zwrócić uwagę na to, czy użytkownik ma zgodę na dostęp do sieci z zewnątrz. Jeżeli takiej nie ma, to np. nie będzie mógł się podłączyć do wewnętrznej sieci za pomocą VPN’a itp. Na taki dostęp można mu pozwolić lub wybrać opcję trzecią, która mówi o tym, że NPS zajmie się jego weryfikacją (o czym już w dalszych działach).

Ze