Wydawnictwo Psychoskok Konin 2020
Krzysztof Wołk „Biblia Windows Server 2019.
Podręcznik Administratora”
Copyright © by Krzysztof Wołk, 2020
Copyright © by Wydawnictwo Psychoskok Sp. z o.o. 2020
Wszelkie prawa zastrzeżone. Żadna część niniejszej publikacji nie
może być reprodukowana, powielana i udostępniana w
jakiejkolwiek formie bez pisemnej zgody wydawcy.
Redaktor prowadząca: Renata Grześkowiak
Projekt okładki: Krzysztof Wołk, Kamil Skitek
Ilustracje w książce: Krzysztof Wołk
Skład epub, mobi i pdf: Kamil Skitek
ISBN:978-83-8119-783-0
Wydawnictwo Psychoskok Sp. z o.o.
ul. Spółdzielców 3, pok. 325, 62-510 Konin
tel. (63) 242 02 02, kom. 695-943-706
http://www.psychoskok.pl/http://wydawnictwo.psychoskok.pl/ e-mail:[email protected]
O Książce
Niniejsza książka stanowi praktyczny przewodnik po Windows Serwer 2019. Stanowi ona propozycję nie tylko dla początkujących administratorów, lecz także dla tych doświadczonych, pragnących szybko i w przyjazny sposób poznać nowości nowego systemu serwerowego firmy Microsoft. Prezentuje ona w sposób praktyczny najważniejsze funkcje i możliwości nowego systemu serwerowego. Poza niezbędną teorią zawiera także szczegółowe instrukcje i ćwiczenia, w których każdy, nawet najdrobniejszy element jest zawarty na zrzucie ekranowym objaśnionym tak, aby nawet osoba, która pierwszy raz pracuje z Windows Serwer spokojnie poradziła sobie z konfiguracją i administracją tymże systemem. Książka została tak napisana, aby przechodząc przez nią od początku do końca, użytkownikowi udało się w pełni skonfigurować własny serwer, a następnie nadzorować jego działanie i nim administrować. Książka jest kompatybilna zarówno z anglojęzyczną jak i polskojęzyczną wersją systemu, która dopiero będzie miała swoją premierę. Wszelkie ewentualne poprawki zostaną opublikowane na blogu autora http://www.wolk.pl. Z tej lektury czytelnik nauczy się także współpracować z maszynami i sieciami opartymi o systemy z rodziny Mac OS X oraz Linux. Współdzielenie się zasobami oraz wspólna praca w domenie czy grupie roboczej nie będzie stanowić dla czytelnika żadnego problemu. Czytelnik także zapozna się z innymi zaawansowanymi możliwościami nowego serwera. Jest to idealna pozycja dla czytelników mających już dość encyklopedycznych pozycji i pragnących lektury ukierunkowanej na praktykę i ćwiczenia.
O Autorze
Doktor inżynier nauk technicznych w dziedzinie informatyki i bioinformatyki. Pasjonat zagadnień związanych ze sztuczną inteligencją, uczeniem maszynowym, sieciami komputerowymi oraz szeroko pojętymi multimediami. Wykładowca, trener IT, autor książek specjalistycznych a także publicysta internetowy. Certyfikowany specjalista Microsoft, Adobe, Apple, w3schools oraz EITCA. Recenzent konferencji naukowych. Chętnie podejmuje zlecenia z dziedziny informatyki i angażuje się w ciekawe projekty okołoinformatyczne.
Jego specjalizacja to sztuczna inteligencja, inżynieria lingwistyczna, NLP, aplikacje mobilne, multimedia, aplikacje graficzne Adobe, HTML 5, budowa sieci IT oraz produkty serwerowe Apple i Microsoft. W tym zakresie możliwe jest zlecenie opracowania i prowadzenia kursów i szkoleń, zarówno w trybie stacjonarnym, jak i wyjazdowym czy internetowym. Posiada uprawnienia pedagogiczne.
Doświadczony projektant infrastruktur sieciowych dla firm i instytucji. Podejmuje zlecenia na ich tworzenie, administrację i serwis.
Od 2009 roku redaktor portalu informatycznego in4.pl, pclab.pl oraz własnego bloga www.wolk.pl, na łamach, których opublikował kilkadziesiąt artykułów oraz poradników w dziedzinie informatyki. Tworzy także autorskie materiały szkoleniowe, udziela się na portalu e-biotechnologia.pl, a także autor niektórych artykułów dla magazynu iCoder Magazine. Posiada także liczne certyfikaty firm Apple i Microsoft, między innymi Apple Certified System Administrator (ACSA), Microsoft Certified System Administrator (MCSA) oraz Microsoft Certified IT Professional (MCITP).
Obecnie naukowiec i adiunkt w katedrze Multimediów Polsko-Japońskiej Akademii Technik Komputerowych w Warszawie. Prowadzi badania naukowe związane z przetwarzaniem języka naturalnego oraz uczeniem maszynowym w oparciu o metody statystyczne oraz sieci neuronowe. Bywa recenzentem specjalistycznych konferencji naukowych oraz branżowych czasopism. W przeszłości także wykładowca w Warszawskiej Wyższej Szkole Fotografii.
W ramach swojej pracy dydaktycznej prowadzi zajęcia ćwiczeniowe na wydziale Informatyki oraz Sztuki Nowych Mediów na Polsko-Japońskiej Akademii Technik Komputerowych a także prowadził zajęcia dydaktyczne na Warszawskiej Szkole Fotografii i Grafiki Projektowej. W szczególności przedmioty: Grafika Komputerowa, Multimedia, Warsztaty Komputerowe I (Photoshop), Warsztaty Komputerowe II (Adobe AIR – projektowanie aplikacji mobilnych), Kompozycja Proceduralna (HTML5, CSS3, Javascript), Interakcja Człowiek-Komputer (badanie użyteczności), Grafika Wektorowa (Ilustrator), Magisterska Pracownia Dyplomowa (tematy mieszane). Dodatkowo był promotorem technicznym prac licencjackich oraz magisterskich na wydziale Sztuki Nowych Mediów a także recenzentem na wydziale informatyki. Także recenzent konferencji i czasopism naukowych.
1. Instalacja
Niniejszy rozdział opisuje proces instalacji systemu Windows Server 2019. Instalację można wykonać na własną rękę na dowolnym komputerze, lecz w celach ćwiczeniowych zalecana jest instalacja według książki w środowisku wirtualnym przy użyciu wersji testowej Microsoft Windows Server 2019 ze wszystkimi aktualizacjami dostępnymi na grudzień 2019 oraz systemu maszyn wirtualnych VirtualBox. Zaleca się także wykonywać częste migawki maszyny wirtualnej, np. przed instalacją kolejnych ról serwera, pozwoli to w razie błędu w konfiguracji szybko przywrócić maszynę do stanu poprzedniego.
Windows Server 2019 występuje w trzech edycjach:
Essentials – jest idealna dla małych przedsiębiorstw z podstawowymi wymaganiami względem IT; bardzo mały lub brak działu IT. Uprawnienia do wirtualizacji: brak, jedna instalacja, fizyczna lub wirtualna. Model licencjonowania w oparciu o CPU. Licencje CAL nie są wymagane (ograniczenie do 25 użytkowników / 50 urządzeń).
Standard – poznaczona dla przedsiębiorstw, które wymagają zaawansowanych funkcji lub są zwirtualizowane w minimalnym stopniu. Uprawnienia do wirtualizacji to 2 wirtualne maszyny lub 2 kontenery Hyper-V. Model licencjonowania w oparciu o rdzenie, licencje CAL są wymagane. Limit pamięci RAM 24 TB, a CPU bez limitu.
Datacenter – Dla wszystkich wysoko zwirtualizowanych przedsiębiorstw z dużymi wymaganiami wyglądem IT. Nieograniczona ilość wirtualnych maszyn lub kontenerów Hyper-V. Model licencjonowania w oparciu o rdzenie, licencje CAL są wymagane. Limit pamięci RAM 24 TB, a CPU bez limitu rdzeni. Właśnie na tej wersji systemu została oparta ta książka.
[*] Licencja na edycję Windows Server Standard umożliwia korzystanie z dwóch środowisk OSE lub maszyn wirtualnych
[**] Ograniczenie do jednego woluminu do 2 TB.
Edycje systemu Windows Server 2019 różnią się pod względem dostępnych ról i usług serwera:
*Wds transport dodano do instalacji core
Edycje systemu Windows Server 2019 różnią się pod względem dostępnych funkcjonalności: [5]
1.1. Wymagania sprzętowe i opis środowiska
W tym dziale zajęto się dość prostym zagadnieniem, jakim jest instalacja systemu. Do tego celu będzie potrzebny komputer lub wirtualna maszyna z procesorem wspierającym architekturę x64 taktowany zegarem minimum 1,4 GHz (NX, DEP, CMPXCHG16b, LAHF/SAHF, PrefetchW oraz EPT lub NPT), z 512MB pamięci RAM oraz minimum 32 GB wolnego miejsca na dysku. Komputer musi także mieć UEFI 2.3.1c, kartę graficzną SVGA, moduł TPM. W praktyce zaleca się użycie minimum dwurdzeniowego procesora, 4 GB pamięci RAM oraz dużego i szybkiego dysku. W komputerze potrzebne też będą dwie karty sieciowe. Jedna podłączona do sieci lokalnej, a druga do globalnej. Tworząc wirtualne środowisko zadbano o to. Poniższy przykład wykorzystuje VirtualBox w wersji 6.
Stworzono też trzy wirtualne dyski twarde. Nie są one wymogiem. Zdecydowano się na nie w celu dalszego zaprezentowania pracy na macierzach dyskowych.
1.2. Proces instalacji
Instalator systemu wygląda bardzo podobnie do tego znanego z Windows 10 i Windows 8. Do zaprezentowania kolejnych kroków została użyta testowa wersja systemu Windows Server 2019 dostępna do pobrania na stronach Microsoft. Po uruchomieniu komputera z płyty CD po chwili pojawi się ekran powitalny. Należy ustawić preferencje systemowe i nacisnąć przycisk Dalej (Next).
Na kolejnej planszy należy kliknąć przycisk Zainstaluj Teraz (Install Now).
W kolejnym oknie instalatora należy wybrać wersję systemu Windows, na którą została zakupiona licencja.
W następnym kroku należy zaakceptować umowę licencyjną i kliknąć przycisk Dalej (Next).
Jako, że przygotowywana jest nowa instalacja należy wybrać opcję niestandardową, czyli zaawansowaną (Install Windows only (advanced)).
Pojawi się ekran wyboru dysku, na którym ma zostać zainstalowany system operacyjny. W tym przypadku zostanie zaznaczony Dysk4, a następnie należy kliknąć przyciskDalej (Next). Drzewo partycji utworzy się automatycznie.
Rozpocznie się proces instalacji, którego czas trwania będzie zależny od wydajności komputera, na którym się on odbywa.
Po wgraniu wszystkich plików podczas pierwszego uruchomiania komputer poprosi o zmianę hasła dla konta administratora. Należy dwukrotnie wprowadzić hasło, a następnie kliknąć przycisk Zakończ(Finish). Hasło musi spełniać odpowiednie normy bezpieczeństwa, tj. musi mieć minimum 7 znaków, w tym jedną dużą literę, jedną cyfrą i jeden znak specjalny jak np. @ lub !.
Pojawi się ekran logowania. Aby się zalogować należy na klawiaturze wcisnąć kombinację klawiszy CTRL+ALT+DEL.
W oknie, które się zostanie wyświetlone należy podać hasło dla pożądanego użytkownika, a następnie kliknąć ikonkę
tuż obok pola wpisywania hasła.
Po zalogowaniu wczyta się całkowicie nowy interfejs użytkownika znany z systemu Windows 10. System Windows Server 2019 jest już zainstalowany, a naszym oczom ukazał się menadżer serwera!
2. Post-instalacja
Po pomyślnym uruchomieniu serwera zanim przejdzie się do jego dalszej konfiguracji należy wykonać kilka ważnych czynności. Przede wszystkim zapoznać się z zupełnie nowym interfejsem użytkownika i odmienioną konsolą Menadżera Serwera względem wcześniejszych wersji. Następnie zaktualizować serwer, skonfigurować interfejsy sieciowe i przygotować maszynę do awansu na kontroler domeny.
2.1. Czynności Post-instalacyjne
Kiedy na komputerze zainstalowane są już wszystkie urządzenia można spokojnie przystąpić do podstawowej jego konfiguracji. Z pomocą przychodzi Konsola Zarządzania Serwerem (Server Manager), która w swoim głównym oknie prezentuje 4 podstawowe kroki. Pierwszym z nich jest konfiguracja serwera lokalnego.
Po wybraniu opcji Konfiguruj Serwer Lokalny (Configure this local server) włączona zostanie konsola, w której można zmienić nazwę komputera, przyłączyć go do grupy roboczej, a także zarządzać aktualizacjami, firewallem, raportowaniem błędów, ustawieniami sieci, zwiększonymi zabezpieczeniami IE, itp.
2.1.1. Aktualizacje
W pierwszej kolejności warto uruchomić aktualizacje automatyczne i zainstalować wszystkie dostępne aktualizacje, używając przycisku Włącz automatyczne aktualizacje (Turn on automatic updates).
Kiedy system zostanie przeanalizowany można rozpocząć aktualizację klikając przycisk Zainstaluj Aktualizacje (Install Updates).
W menu po lewej stronie należy wybrać opcję Advanced options (Opcje zaawansowane).
W oknie, które się pojawi najwygodniej będzie wybrać opcję – Pobierz aktualizacje automatycznie (Download updates automatically). Jeśli jednak na celu jest uniknięcie samoistnych instalacji aktualizacji, a co za tym idzie ponownych uruchomień komputera należy wybrać opcję Pobierz powiadominia… Show notifications …), która jest w przypadku serwera znacznie bezpieczniejsza dla zachowania ciągłości pracy. Następnie należy kliknąć OK.
Przed dalszą lekturą i administracją prawdziwym serwerem warto zawsze zaraz po instalacji wykonać aktualizację systemu, oraz wgrać najnowsze wersje programów o sterowników np. programem Driver Booster.
2.1.2. Zmiana nazwy komputera
Na ekranie podsumowującym Menadżera Serwera (Server Manager), w sekcjiWłaściwości (Properties) znajduje się parametr Nazwa Komputera (Computer Name), gdzie należy kliknąć w nazwę komputera.
W karcie Nazwa Komputera (Computer Name) należy kliknąć przyciskZmień (Change).
Lepiej na początku ustalić sobie sposób nazewnictwa komputerów, aby utrzymać porządek w sieci np. ElitePC-DC01, gdzie ElitePC to nazwa firmy, DC – Kontroler Domeny (Domain Controler), a 01 to numer komputera. Zamiennie do DC w nazewnictwie można użyć skrótów SR dla oznaczenia serwera oraz WS (Work Station) dla stacji roboczych.
W komunikacie, który się pojawi należy kliknąć przycisk OK i uruchomić ponownie komputer.
2.2. Konfiguracja sieci
Kolejnym krokiem będzie zmiana nazw interfejsów sieciowych tak, aby w każdej chwili wiedzieć, czy operuje się na łączu internetowym czy też lokalnym. Połączenie z Internetem warto nazwać WAN, a z sieć lokalną LAN. Wystarczy kliknąć na wybranym połączeniu w konsoli zarzadzania serwerem.
Na karcie sieciowej podpiętej do Internetu należy kliknąć prawym guzikiem i wybrać opcję Zmień nazwę (Rename). Tą samą czynność należy powtórzyć dla drugiej karty sieciowej.
Przy interfejsie łączącym z siecią lokalną należy wejść we Właściwości (Properties) i ustalić stały adres IP, ponieważ chodzi tu o serwer. Należy wejść we Właściwości protokołu IPv4.
Należy wprowadzić adresy IP z dowolnego zakresu, na przykład standardowa adresacja 192.168.1.1 przy masce 255.255.255.0.
2.3. Zarządzanie procesorami i pamięcią operacyjną
Ostatnim krokiem post instalacyjnym będzie uruchomienie większej liczby rdzeni procesora podczas startu systemu. W tym celu należy kliknąć na ikonę
z menu Start związaną z konsolą Power Shell i wydać poleceniemsconfig.
W zakładce Rozruch (Boot) konieczne jest kliknięcie Opcji Zaawansowanych (Advanced options).
W następnej kolejność należy zaznaczyć opcję Liczba procesorów (Number of processors), a w rozwijanej liście wybrać ich tak dużo jak to jest tylko możliwe.
3. Active Directory Domain Services
Usługi Domenowe Active Directory (Active Directory Domain Services) są niezbędne do awansu serwera na główny kontroler domeny. Serwer stanie się w ten sposób centralną bazą danych użytkowników odpowiedzialnych za autentykację i autoryzację użytkowników. Zostaną wyjaśnione takie pojęcia jak grupa robocza oraz domena. Czytelnik zrozumie, w jakim celu wdraża się domenę oraz na czym polega struktura drzewa oraz lasu. W następnej kolejności prześledzi proces instalacji pierwszego kontrolera domeny oraz nauczy się zarządzać obiektami przechowywanymi w Active Directory za pomocą konsoli Active Directory Users and Computers orazActive Directory Administrative Center.
3.1. Czym jest domena?
Na początek warto wyjaśnić kilka pojęć. Przede wszystkim, czym jest domena oraz dlaczego się ją stosuje zamiast grup roboczych. Dla przykładu w grupie roboczej lista kont użytkowników, uprawnienia użytkowników i zabezpieczenia systemu przechowywane są lokalnie, tzn. osobno na każdym komputerze wchodzącym w skład grupy roboczej. Każdy komputer jest jednostką autonomiczną. Aby móc pracować na komputerze należącym do grupy roboczej, trzeba mieć konto na tym komputerze. Wiąże się to z tym, że w przypadku, gdy osób pracujących na jednym komputerze może być więcej, co oznacza konieczność powielania kont na różnych komputerach. To samo się tyczy ustawień i oprogramowania. Co więcej, jeśli ktoś zachowa jakiś plik na jednym komputerze, to nie otworzy go już na innym, chyba że ręcznie go przekopiuje. Dla przykładu można wyobrazić sobie sytuację, w której zarządza się kilkunastoma komputerami i należy aktualizować programy, wprowadzać konta nowym pracownikom itp. Byłaby to strasznie żmudna praca. W domenie natomiast zarządzanie informacją o kontach użytkowników, komputerach domeny oraz zasadach obowiązujących w domenie jest scentralizowane. Komputery współdzielą bazę danych kont, zasad, zabezpieczeń, która znajduje się na kontrolerach domeny. W trakcie logowania się na konto w domenie Windows, dane użytkownika porównywane są z danymi zapisanymi w kontrolerze domeny. Przestaje mieć znaczenie, z którego konkretnie komputera loguje się dany użytkownik, i tak zachowa swoje pliki i ustawienia. W przypadku instalacji nowego oprogramowania wystarczy, że administrator wyda taką „dyspozycję” na serwerze, a komputery podłączone do domeny same sobie poradzą z instalacją. Naturalnie logowanie na lokalne konta użytkowników tak jak to miało miejsce w przypadku grupy roboczej dalej jest możliwe. To oczywiście tylko czubek góry lodowej, więcej możliwości zostanie przedstawione w kolejnych rozdziałach.
Obecnie rozróżnia się dwa typy domen: NT4 oraz domena Active Directory, której będzie poświęcone najwięcej uwagi. Active Directory to usługa katalogowa będąca implementacją protokołu LDAP. Jest następcą NT4 i usuwa największe wady poprzednika. Wprowadzono do niej hierarchiczność przechowywania informacji, dużo wyższe limity przechowywania informacji (powyżej 1 miliona obiektów w domenie Active Directory) oraz rozszerzalność schematu zawierającego definicje obiektów.
Domeny zorganizowane są hierarchicznie tworząc strukturę drzewa. Drzewo posiada zawsze przynajmniej jedną domenę – domenę najwyższego poziomu (ang. root) – korzeń drzewa. Pozostałe domeny (o ile istnieją) mogą być umieszczone poniżej domeny najwyższego poziomu, tworząc drzewo. Takie rozwiązanie często stosuje się w przypadku kilku siedzib firmy lub na przykład do wygodnego zarządzania komputerami w dwóch odległych od siebie miejscach. Jako przykład poniżej pokazano fragment drzewa dla firmy ElitePC:
Każde drzewo należy do jakiegoś lasu, każdy las składa się z przynajmniej jednego drzewa. Nie ma możliwości utrzymywania drzewa bez utrzymywania lasu.
Uwaga!
To odnosi się również do domeny Active Directory – domena nie może istnieć samodzielnie, musi istnieć w jakimś drzewie i jakimś lesie. Jeżeli jest to pierwsza domena, to tworzy pierwsze drzewo (którego korzeniem się staje) oraz pierwszy las. Poniżej przykład lasu z dwoma drzewami:
3.2. Instalacja Active Directory Domain Services
W przypadku, gdy serwer jest kierowany ku zastosowaniom domowym czy małej firmy wystarczy jedna domena. Aby rozpocząć instalację należy kliknąć ikonkę Menadżer Serwera (Server Manager) znajdującą się obok guzika Start. Warto zapamiętać ten krok, gdyż będzie on często wykonywany.
W Menadżerze Serwera (Server Manager) będą instalowane praktycznie wszystkie role dostępne w tym produkcie.
W górnym menu po prawej stronie należy kliknąć przycisk Zarządzaj (Manage), a następnie opcję Dodaj Role i Funkcje (Add Roles and Features). Pojawi się plansza powitalna, gdzie konieczne jest kliknięcie przycisku Dalej (Next).
Jedną z nowości Windows Server 2019 jest możliwość instalowania ról serwera na zdalnych komputerach, obrazach dysków VHD czy na maszynach wirtualnych. Na potrzeby tej publikacji i dla ułatwienia zrozumienia omawianych zagadnień na razie będą instalowane wszelkie nowe role i funkcje na tej samej maszynie. Należy wybrać więc opcję pierwszą Role-based i kliknąć Dalej (Next). Instalacja oparta na scenariuszu jest nowością w systemie Windows Server 2019. Dzięki niej można jednocześnie instalować komponenty związane z Usługami Pulpitu Zdalnego (Remote Desktop Services). AD jest instalowane jako klasyczna rola.
W kolejnym kroku należy wybrać serwer, na jakim dana rola ma zostać skonfigurowana. W środowisku przykładowym naturalnie do wyboru jest tylko jedna maszyna. Należy ją zaznaczyć i wybrać przycisk Dalej (Next). Jest to kolejna z nowości w systemie Windows Server 2019. Pozwala ona zdalnie instalować role na innych serwerach, a także je wgrywać na wirtualne dyski VHD, które można potem podmontować pod konkretny serwer.
Następnie należy wybrać Usługi Domenowe w Usłudze Active Directory (Active Directory Domain Services). Znawcy tematu zauważą, że Role są niemalże identyczne z tymi z Windows Server 2008 R2. Nowością jest Zdalny Dostęp (Remote Access), który w rzeczywistości jest nową nazwą dla Direct Access orazUsługi Aktywacji Woluminowej (Volume Activation Services) związane z aktywacją licencji woluminowych.
Pojawi się komunikat, na którym należy kliknąć Dodaj Wymagane Funkcje (Add Features), a następnie Dalej (Next).
Następnie ponownie należy kliknąć przycisk Dalej (Next).
Poniższe okno prezentuje informacje podsumowujące oraz dotyczące dalszych kroków instalacyjnych. Między innymi powiadamia ono o konieczności zainstalowania serwera DNS, ponieważ ta rola jest wymagana do prawidłowego działania AD. Wgrany zostanie także komponent odpowiadający za replikację serwera DFS, który został wprowadzony już w Windows 2003 R2 do replikacji wolumenu SYSVOL. Po raz kolejny należy kliknąć Dalej (Next).
Na ostatniej już planszy należy wybrać przycisk Zainstaluj (Install).
Proces instalacji chwilę potrwa, gdy dobiegnie końca należy kliknąć Zakończ (Close).
Komputer należy uruchomić ponownie, aby instalacja dobiegła końca.
3.3. Wstępna konfiguracja AD DS
W Menadżerze Serwera (Server Manager) w menu po lewej stronie należy kliknąć w Usługi Domenowe w Usłudze Active Directory (AD DS).
Kiedy plansza się załaduje, po prawej stronie znajduje się wyróżniony napis Więcej (More), który należy wybrać.
A następnie Promuje ten serwer na kontroler domeny (Promote this server to a domain Controller) poprzez wybranie odpowiedniej akcji.
To samo można uzyskać korzystając bezpośrednio z menu akcji, które oznaczone jest w górnym menu chorągiewką.
Ponieważ tworzony jest pierwszy serwer, który jednocześnie będzie głównym kontrolerem domeny w sieci, należy wybrać opcję trzecią. W przeciwnym wypadku, kiedy serwer miałby zostać wpięty do istniejącej już struktury, konieczne byłoby wybranie opcji drugiej lub pierwszej. Niezbędne jest także podanie nazwy domeny, która ma zostać stworzona.
Należy ustawić poziom funkcjonalności lasu tak, aby był kompatybilny z resztą sieci. Jeżeli istniałby już jakiś kontroler domeny, pracujący pod kontrolą Windows Server 2003, musiałby zostać wybrany taki sam poziom. Wiązałoby się to niestety z utratą nowych funkcjonalności wprowadzonych w Windows Server 2019. W przypadku przedstawionym w książce należy wybrać poziom najwyższy, czyli Windows Server 2019. Przy okazji zostanie zainstalowany serwer DNS, ponieważ takowego w domenie jeszcze nie ma, a jest niezbędny do jej prawidłowego funkcjonowania. Konieczne jest także podanie w kreatorze hasła niezbędnego w razie potrzeby przywracania usługi katalogowej.
W następnej kolejności należy Dalej (Next).
Na kolejnej planszy nie są konieczne żadne zmiany, dlatego też należy przejść do kolejnej karty klikając Dalej (Next), chyba, że nazwa kontrolera dla komputerów korzystających z NetBIOS ma być inna niż domyślna.
Podobnie jest w przypadku ścieżek, chyba, że dane mają być przechowywane na osobnym nośniku.
Na planszy podsumowującej należy kliknąć Dalej (Next).
System zostanie poddany analizie. Jeżeli wszystko przebiegnie pomyślenie można kliknąć przycisk Zainstaluj (Install).
Proces instalacji zajmie dłuższą chwilkę. Należy zatem uzbroić się w cierpliwość.
3.4. Active Directory Users and Computers
Po ponownym uruchomieniu komputera w Menadżerze Serwera (Server Manager) konieczne jest wybranie AD DS (Active Directory Domain Services), następnie na serwerze należy kliknąć prawym klawiszem myszy i wybrać Komputery i Użytkownicy Usługi Active Directory (Active Directory Users and Computers).
Jest to miejsce szalenie ważnie, ponieważ będą w nim tworzone grupy i konta dla użytkowników oraz komputerów, będą im przypisywane odpowiednie role i uprawnienia. W system Windows jest już wbudowana całkiem pokaźna liczba grup bezpieczeństwa. W przypadku przykładowym nie będzie jednak potrzeby tworzenia nowych grup, mimo, że daje to ogromne możliwości w przydzielaniu i odbieraniu uprawnień użytkownikom. Opis ról dostępny jest pod adresem:
http://technet.microsoft.com/pl-pl/library/cc756898%28WS.10%29.aspx .
Przechodząc do praktyki, warto od samego początku utrzymywać ład i porządek, a także intuicyjne nazwy. Dlatego też na początek zostanie stworzona nowa Jednostka Organizacyjna. Dla zobrazowania czym ona jest, można ją traktować jako byt podobny do katalogu. W celu jej utworzenia konieczne jest kliknięcie prawym klawiszem myszy na nazwie domeny, następnie w przycisk Nowy (New) i wybranie opcji Jednostka Organizacyjna (Organizational Unit).
W celu ćwiczeniowym zostanie stworzona jednostka organizacyjna o nazwie Księgowość (oczywiście starając się nie używać przy tym polskich znaków), gdzie będą przechowywani zatrudnieni księgowi. Wybór, a także akceptacja jej utworzenia zostaną zatwierdzone przyciskiem OK.
Następnie powstanie nowa grupa. W tym celu należy kliknąć prawym przyciskiem myszy na nowo powstałym elemencie, a następnie w Nowy (New) i Grupa (Group).
Dokonany zostanie podział na pracowników, którzy pracują na kasach oraz na tych, którzy pracują w biurze. Odpowiednio niech będą to grupy Kasa i Biuro. Czynność trzeba powtórzyć dla każdej z grup. Na planszy, która się pojawi należy podać nazwę dla grupy oraz zaznaczyć opcje w taki sam sposób jak jest to zrobione na poniższej ilustracji i kliknąć przycisk OK.
Grupy dystrybucyjne mogą być używane tylko z aplikacjami poczty e-mail (np. Exchange) do wysyłania poczty e-mail do grup użytkowników. Grupy dystrybucyjne nie obsługują zabezpieczeń, co oznacza, że nie są wyświetlane na listach arbitralnej kontroli dostępu (DACL, Discretionary Access Control List). Jeśli jest potrzebna grupa służąca do kontroli dostępu do zasobów udostępnionych, należy utworzyć grupę zabezpieczeń.
Grupy zabezpieczeń, jeśli są używane z rozwagą, stanowią wydajny sposób udzielania dostępu do zasobów w sieci.
Za pomocą grup zabezpieczeń można wykonywać następujące operacje:
● Przypisywanie praw użytkownika grupom zabezpieczeń w usłudze Active Directory. Prawa użytkownika są przypisywane grupie zabezpieczeń w celu ustalenia czynności, jakie członkowie danej grupy mogą wykonać w zakresie domeny (lub lasu). Prawa użytkownika są automatycznie przypisywane niektórym grupom zabezpieczeń podczas instalowania usługi Active Directory, aby ułatwić administratorom określenie roli administracyjnej poszczególnych osób w domenie. Na przykład użytkownik dodany do grupy „Operatorzy kopii zapasowych” w usłudze Active Directory może wykonywać kopie zapasowe plików i katalogów znajdujących się na każdym kontrolerze domeny, a także przywracać te pliki i katalogi z kopii zapasowych. Jest to możliwe, ponieważ domyślnie grupie „Operatorzy kopii zapasowych” są automatycznie przypisywane prawa użytkownika, wykonywanie kopii zapasowych plików i katalogów oraz przywracanie plików i katalogów, a członkowie grupy dziedziczą prawa użytkownika przypisane grupie.
● Za pomocą przystawki Zasady grupy (Group Policies) można przypisać grupom zabezpieczeń prawa użytkownika, aby ułatwić delegowanie określonych zadań. Przypisując delegowane zadania, należy zachować dużą ostrożność, ponieważ niedoświadczony użytkownik mający zbyt wiele praw w grupie zabezpieczeń stanowi zagrożenie dla bezpieczeństwa sieci.
● Przypisywanie uprawnień do zasobów grupom zabezpieczeń. Uprawnień nie wolno mylić z prawami użytkownika. Uprawnienia przypisuje się grupom zabezpieczeń dla danego zasobu udostępnionego. Decydują one o tym, kto ma mieć możliwość dostępu do zasobu i na jakim poziomie np. pełna kontrola (Full Control). Niektóre uprawnienia są przypisywane automatycznie np. dla obiektów domeny, po to aby określić różne poziomy dostępu domyślnych grup, jak np. Administratorzy domeny czy Operatorzy kont.
Grupy zabezpieczeń wymieniane są na listach DACL. Listy te określają uprawnienia do obiektów i zasobów. Administratorzy powinni przypisywać uprawnienia do zasobów (drukarek, udziałów plików itp.) nie pojedynczym użytkownikom, lecz całym grupom zabezpieczeń. Przypisywanie uprawnień grupie jest o tyle wygodne, że nie trzeba powtarzać wielokrotnie tej samej procedury. Każde konto, które zostało przydzielone do grupy otrzymuje prawa narzucone tej grupie w usłudze Active Directory, tak samo jak i uprawnienia tej grupy do określonych zasobów.
Grupy zabezpieczeń, podobnie jak grupy dystrybucyjne mogą zostać użyte jako adresaci poczty e-mail. Gdy zostanie wysłana wiadomość e-mail do danej grupy, otrzymają ją wszyscy jej członkowie.
Grupy będą bardzo pomocne, jeśli większej liczbie użytkowników będą miały zostać przypisane dane uprawnienia, a innej już nie, np. w ćwiczeniowym przypadku kasjerzy nie powinni mieć tak wysokich uprawnień jak pracownicy biurowi.
Naturalnie tak utworzonej grupie należałoby nadać odpowiednie prawa. W przypadku z przykładu niech to będą prawa zwykłego Użytkownika. Zostanie więc wykorzystana wbudowana w system Windows grupa bezpieczeństwa. W tym celu należy kliknąć prawym klawiszem myszy na Właściwości (Properties) na przykład kasjerów.
W oknie, które się pojawi konieczne jest przejście do zakładki Członek Grupy (Member Of) i wybranie przycisku Dodaj (Add).
Następnie należy kliknąć Zaawansowane (Advanced).
W dalszej kolejności należy kliknąć Znajdź teraz (Find Now), a z listy, jaka się wygeneruje wybrać Użytkownicy (Users) i kliknąć przyciskOK, a następnie jeszcze raz OK.
Jak widać kasjerzy są już w Użytkownikach. Należy kliknąć OK.
Dla testu zostanie dodany użytkownik, na którym będą przeprowadzane różne doświadczenia w dalszej części książki. W celu stworzenia użytkownika należy prawym przyciskiem myszy kliknąć na Księgowość> Nowy (New)> Użytkownik (User).
Trzeba wypełnić wszystkie pola. Ważna jest nazwa logowania użytkownika, gdyż to dzięki niej będzie się on mógł zalogować na danym komputerze. W przykładzie zastosowano nazwę kasjer_01.
Na następnej karcie należy wybrać dla tego użytkownika odpowiednie hasło. Warto zostawić zaznaczoną opcję Użytkownik musi zmienić hasło przy następnym logowaniu (User must change password at next logon), aby to on mógł sobie w trakcie pierwszego logowania je zmienić wedle własnych upodobań. Należy kliknąć dalej Dalej (Next), a następnie Zakończ (Finish).
W następnej kolejności należy wejść w jego Właściwości (Properties) klikając prawym przyciskiem myszy, a następnie w zakładkę Członek Grupy (Member of).
Domyślnie jest on Użytkownikiem Domeny (Domain Users). Można więc skasować tą pozycję, a potem dodać go do grupy "Kasy".
Grupę kasy można natomiast teraz przypisać do grupy Użytkownicy Domeny (Domain Users). To, co zostało uzyskane to pewnego rodzaju hierarchia (dziedziczenie). Użytkownicy należą do grupy Kasy, a grupa Kasy należy do jednej lub więcej innych grup. Dzięki temu można swobodnie zarządzać uprawnieniami wielu użytkowników naraz zamiast każdego użytkownika z osobna.
Należy sprytnie zarządzać zarówno grupami użytkowników jak i jednostkami organizacyjnymi, ponieważ nie tylko ułatwi to pracę administratorowi systemu i zwiększy bezpieczeństwo, ale także pozwoli wydajnie zarządzać np. Zasadami grupy, które można przyłączać wyłącznie do jednostek organizacyjnych.
Zostanie teraz stworzona kolejna jednostka organizacyjna, lecz tym razem wewnątrz księgowości. Zostanie nazwana "Komputery". Będą tam przechowywane konta dla komputerów w tym dziale.
Teraz należy kliknąć prawym przyciskiem myszy na Komputery > Nowy > Komputer(Komputery > New > Computer).
A następnie stworzyć maszynę, która będzie się nazywać KS-WS-01
Komputer domyślnie zostanie przypisany do grupy Komputery Domeny (Domain Computers). Co można sprawdzić klikając w jego Właściwości (Properties).
Trzeba pamiętać, że każdy komputer z systemem Windows NT, Windows 2000 lub nowszym, który zostaje dołączony do domeny, otrzymuje własne konto komputera. Podobnie jak konta użytkowników, konta komputerów umożliwiają uwierzytelnianie oraz inspekcję dostępu komputera do sieci i zasobów domeny. Każde konto komputera musi być unikatowe. Uniemożliwi to niepowołanym osobom podłączenie się do sieci bez zgody administratora. Skoro zostali już stworzeni i pogrupowani użytkownicy oraz konta komputerów, warto jeszcze zwrócić uwagę na ich właściwości. Po kliknięciu prawym guzikiem myszy na koncie komputera są dwie ważne opcje. Jedną z nich jest Wyłączenie Konta (Disable Account), a drugą Zresetowanie Konta (Reset Account). Ta druga niezbędna jest wtedy, gdy maszyna o danej nazwie uległa awarii i została wymieniona na nową. Nowego komputera nie podłączy się do domeny do chwili zresetowania konta.
W przypadku konta użytkownika również można je wyłączyć, a także zresetować mu hasło opcją Resetuj Hasło (Reset Password). Przydatna jest także możliwość Wysłania Wiadomości (Send Mail).
Kont użytkownika z założenia nie powinno się kasować z kilku względów. Jednym z nich jest to, że na miejsce danego pracownika może przyjść jego następca – musiałoby wtedy albo zostać utworzone dla niego nowe konto, wprowadzane wszelkie ustawienia oraz uprawnienia. Prościej będzie użyć opcji Kopiuj (Copy).
Będzie konieczne podanie nowej nazwy użytkownika oraz hasła, natomiast wszelkie inne ustawienia jak np. uprawnienia czy zamontowane dyski sieciowe pozostaną zachowane. Z racji tego, że na ogół ustawień jest dość dużo praktykuje się właśnie stworzenie wzorcowego konta użytkownika w obrębie danej Grupy i kopiowanie zamiast tworzenia za każdym razem nowego konta. Użytkowników, którzy przestają być potrzebni najlepiej wyłączyć i przenieść do wcześniej przygotowanej jednostki organizacyjnej (np. czasowo wyłączeni). Można teraz wejść we właściwości jakiegoś konta użytkownika.
W zakładkach Ogólne (General),Adres (Address), Telefony (Telephones) orazOrganizacja (Organization) znajdują się jedynie pola, w które można wpisać jakieś informacje o użytkowniku.
W zakładce Konto (Account) warto zwrócić uwagę na to, iż można zmienić login użytkownika lub nadać inny dla różnych domen. Warto korzystać z funkcji Wygasania ważności konta (Account Expires), która powoduje wyłączenie konta po upływie jakiejś daty (np. w dniu końca umowy o pracę). Dzięki temu administrator nie musi pamiętać o wyłączeniu konta zwolnionego pracownika.
Bezpieczeństwo sieci można dodatkowo zwiększyć za pomocą ustawień Godzin Logowania (Logon Hours).
W łatwy sposób można określić to, w jakich godzinach konto może być używane, a w jakich nie. Dzięki temu potencjalny włamywacz, jeżeli nawet dostanie się na takie konto, to poza godzinami pracy, czyli wtedy, gdy nie ma nadzoru nad siecią, nie będzie w stanie niczego zrobić.
W zakładce Profil (Profile) można określić ścieżkę sieciową dla profilu, czyli lokalizację w sieci, gdzie dany profil ma być przechowywany. Parametr %USERNAME% to zmienna środowiskowa, która zwraca nazwę użytkownika. Dzięki temu w podanej lokalizacji zostanie utworzony katalog o nazwie takiej samej jak nazwa użytkownika. Kopiując tak skonfigurowany profil pewne jest, że każdy nowy użytkownik dostanie swój własny prywatny folder w zasobie sieciowym. Istnieje także możliwość zamontowanie dysku sieciowego. Niestety ograniczona do jednego dysku. Więcej można zamontować za pomocą Zasad Grupy.
W zakładce Telefonowanie (Dial –in) warto zwrócić uwagę na to, czy użytkownik ma zgodę na dostęp do sieci z zewnątrz. Jeżeli takiej nie ma to np. nie będzie mógł się podłączyć do wewnętrznej sieci za pomocą VPN’a itp. Na taki dostęp można mu pozwolić lub wybrać opcję trzecią, która mówi o tym, że NPS zajmie się jego weryfikacją (o czym już w dalszych działach).
Ze względów licencyjnych i nie tylko w zakładce Sesje (Sessions) warto ustawić limity czasu trwania sesji tak, aby użytkownicy nieaktywni lub tacy, którzy zostawili włączone komputery przed wyjściem do pracy byli automatycznie wylogowywani.
Za pomocą ikonki
można dostać się do wyszukiwarki Active Directory, w której można tworzyć kwerendy, które przefiltrują dokładnie całą usługę katalogową i pomogą wyłuskać pożądane informacje.
Zamykając dział dotyczący Active Directory warto nadmienić, iż w obrębie jednostki organizacyjnej nie powinno znajdować się więcej niż 5000 użytkowników ze względów wydajnościowych.
Warto także pamiętać, że w jednostce organizacyjnej Użytkownicy (Users) znajduje się bardzo newralgiczne konto Administrator.
Każdy użytkownik Windows posiada Identyfikator Bezpieczeństwa (Security Identifier), który wygląda mniej więcej tak: S-1-5-21-3627861015-3361044348-30300820-1013. Konto Administrator posiada na samym końcu zawsze liczbę 500, czyli wygląda mniej więcej tak: S-1-5-21-3623811015-3361897348-30300820-500. Dzięki temu potencjalny włamywacz posiada wiedzę na temat tego, które konto to Administrator. Dlatego też jednym z pierwszych kroków w pracy z Active Directory powinno być powielenie konta administratora. Można to osiągnąć wyłącznie poprzez opcję Kopiuj (Copy), a następnie wyłączenie pierwotnego konta z wcześniejszym nadaniem mu bardzo złożonego hasła.
Naturalnie administrator nie jest osobą odpowiedzialną za całe działanie serwera. Na ogół różne osoby zarządzają różnymi rolami a nawet częściami ról. Tak samo jest w przypadku Active Directory. W celu przeprowadzenia demonstracji należy stworzyć jednostkę organizacyjną Pracownicy oraz użytkownika Szef. Następnie na jednostce organizacyjnej pracownicy należy przycisnąć prawy guzik myszki i wybrać Deleguj kontrolę (Delegate Control).
Ukaże się kreator, który pozwala na przedelegowanie kontroli nad pojedynczą jednostką organizacyjną i jej zawartością wybranemu użytkownikowi. Użytkownik ten będzie mógł zarządzać innymi użytkownikami, nadawać im uprawnienia, tworzyć grupy, komputery, jednostki organizacyjne oraz inne obiekty Active Directory, lecz tylko wewnątrz jednostki organizacyjnej Pracownicy. Należy kliknąć Dalej (Next).
Kolejne okno kreatora służy do określenia tego, komu kontrola zostanie przedelegowana. Tych użytkowników lub ich grupy dodaje się przyciskiem Dodaj (Add).
Następnie należy określić jakie zadania dany użytkownik będzie mógł realizować. Do wyboru jest kilka predefiniowanych szablonów. Istnieje także możliwość stworzenia nieszablonowego zadania.
Na karcie podsumowującej należy kliknąć Zakończ (Finish).
Fizyczny
