Windows rendszergazda

Átírás

1 Windows rendszergazda előadás jegyzet Készítette: Szabó Gergő Miskolci Egyetem, 2011

2 Történeti áttekintés DOS alapú Windows OS-ek: Windows 3.1 Nem volt hálózati támogatása, DOS alól indult a GUI. Windows 3.11 (Windows for Workgroups) Rendelkezett hálózati támogatással TCP/IP, TSR (Terminate & Stay Resident) elvet követte (rendszerhívás), rossz programok miatt lefagyhatott. Windows 95 Instabil volt, a memóriában ütköző programokat nem kezelte jól. Windows 98 A Plug & Play eszközöket viszonylag jól támogatta, SE (Second Edition) verziója már stabil volt. Windows Me (Millennium Edition) Főleg a digitális eszközök támogatásában fejlődött. Egy idő után a Microsoft külön Windows változatokat készített a vállalatok, illetve az otthoni felhasználók számára. A Windows 95 korszakában szükség volt egy vállalati OS-re, de nem volt megfelelő tapasztalat az elkészítéséhez, ezért a DEC cég VMS OS-e alapján készült el a Microsoft Windows NT, DOS alap nélkül, multitask/multiuser OS-ként. Két változatban jött ki: Workstation gyorsaságra törekedett, a jobb futás érdekében Server hálózati szolgáltatásokat részesítette előnyben Mivel ez sem volt tökéletes OS, ezért folyamatosak voltak a PATCH-ek, ezeket összefogva jöttek ki bizonyos időközönként a Service (Security) Pack-ek. Windows NT 4.0 esetén az utolsó javítócsomag az SP6a volt. A Windows NT manapság is közkedvelt egyes körökben, ugyanis telepítője ~100 MB, továbbá memóriafoglalása ~32 MB. 2

3 Vállalati célra szánt Windows termékek: Windows 2000 szerver-család NT ben jelent meg 1 otthoni (Professional) és 3 szerver termék formájában: Server, Advanced Server, Datacenter Server. Utolsó javítócsomagja a SP4 volt. Windows Server 2003 NT ban jelent meg (R2 volt a stabil verziója) 3 fő változatban: Standard, Enterprise, Datacenter. SP2 készült el belőle. Windows Server 2008 NT 6.0 a 2008-ban megjelent szerver-család 3 fő termék formájában vált elérhetővé: Standard, Enterprise, Datacenter. Jelenleg a SP2 javítócsomag készült el hozzá. R2 változata NT 6.1 kernellel rendelkezik. Otthoni célra szánt Windows termékek: Windows 2000 Professional NT 5.0 az első NT kernelre épülő otthonra szánt Windows termék. Windows XP NT ben jelent meg az elmúlt évek egyik legsikeresebb OS-e, átdolgozott GUI-val, két fő változatban: Home Edition, Professional. SP3 volt hozzá az utolsó javítócsomag. Windows Vista NT az XP-t hivatott leváltani, mint soron következő otthoni Windows, 2007-ben jelent meg. Azonban tervezésénél túlbecsülték az megjelenésekor várható PC konfigurációkat, így eleve nagy memóriaigényű OS-ként jelent meg, emiatt lassú volt pár gépen. Nem lett túl népszerű a felhasználók körében, amit részben a negatív előítéleteknek is köszönhetett. 5 változatban elérhető: Home Basic, Home Premium, Professional, Business, Ultimate. Eddig a SP2 készült el hozzá. Windows 7 NT 6.1 a 2009-ben rohamléptekben megjelenő Windows 7 a Windows Vista sikertelenségét hivatott kiküszöbölni. Változatai: Starter (főleg netbook-ra), Home Basic/Premium, Professional, Enterprise, Ultimate. 3

4 Menedzselés Kisvállalkozás Workgroup munkacsoport A célszámítógépen szükséges az egyes felhasználók számára egy fiók kialakítása, az ehhez tartozó jelszavak (csoporttagságok) a SAMben (Security Accounts Manager Biztonsági Fiókkezelő) tárolódnak, ami egy registry fájl, hash kódban tárolja az előbbi információkat (más szolgáltatásokkal együtt az lsass.exe folyamaton belül fut). Munkacsoport esetén csak az azonos munkacsoport névvel konfigurált számítógépek képesek a másik megosztásainak elérésére. Nagyobb intézmény Domain tartomány Az egy tartományba tartozó számítógépek bármelyikén be lehet jelentkeznie egy tartományba regisztrált felhasználónak. A tartományt a Domain Controller (DC) menedzseli a rendszergazda által. A DC-en levő adatbázis (DB) tartalmazza a tartományba regisztrált felhasználókat. Windows NT 4.0 operációs rendszernél (OS) csak Server változat esetén lehet kialakítani DC-t, ennél az OS-nél mindez még telepítéskor dőlt el. Megkülönböztetünk: Elsődleges (Primary) DC PDC Tartalék (Backup) DC BDC 4

5 Egy adott tartományban csak egy PDC lehet és először azt kell telepíteni. BDC-ből az ajánlás szerint gépenként ajánlatos egynek a beüzemeltetése. A PDC igyekszik egyes feladatokat átruházni a BDC-re, azonban nem minden feladat ruházható át, ill. ennek következtében a BDC is túlterhelődhet. A DC adatbázisát címtárnak vagy Directory Database -nek nevezzük. Minden címtári módosítás (felhasználónév, jelszó, stb.) a PDC-n valósul meg. A BDC-nek is van adatbázisa, amely a PDC-n lévő Master Directory Database másolata. Változtatáskor a PDC jelet küld a BDC felé a módosítás tényéről replikációnak vagy szinkronizációnak nevezzük. Ilyenkor a teljes DB kerül módosításra, nemcsak a változtatások. Mindez bizonyos késleltetéssel történik, általában 15 percenként. A PDC-BDC közötti szinkronizáció időtartamának bele kell férnie az adott időintervallumba. PDC BDC Kétféle esetet különböztetünk meg: TMK Tervezett megelőző karbantartás Crash Rendszer összeomlás TMK Beállítást követel, mégpedig a Server Manager program segítségével. Első indításkor üres az ablak, fel kell venni a tartományi tagokat. Ezután kiválasztunk egy BDC-t és a menüből kiválasztjuk a Promote to PDC opciót. A gépeken leállnak a hálózati szolgáltatások, majd a PDC csak ezzel a BDC-vel végrehajt egy szinkronizációt, időtartama függ a DB méretétől. Ezt követi a szerepcsere: PDC BDC, BDC PDC, majd újraindulnak a hálózati szolgáltatások. Innentől kezdve a kiválasztott BDC már PDC funkciót tölt be a tartományban. Miután a PDC-n elvégzik a karbantartást, vissza kell, hogy vegye az eredeti szerepét. Ekkor BDC-ként van beállítva. Ismét elindítjuk a Server Manager-t az eredeti PDC-n, majd a Promote to PDC opciót választjuk, ezután automatikusan BDC lesz az aktuális PDC-ből. Ezt követően már csak a szerepcserének, ill. a szinkronizációnak kell ismét megvalósulnia. Crash Ekkor kiválasztunk egy BDC-t, mely egy időre majd átveszi a tartományban a PDC szerepét. Azon változtatások elvesznek a DB-ből, melyek PDC-vel történő szinkronizáció után kerültek beírásra a DB-be (adott időpecséten túl). Elindítjuk rajta a Server Manager-t, majd Promote to PDC. Egy ideig szólítja a PDC-t, majd az időszelet lejárta után leállnak a hálózati szolgáltatások, szerepet cserél saját magával, újraindulnak a hálózati szolgáltatások, de a szinkronizáció kimarad. 5

6 Miután az eredeti PDC működőképes lesz, vissza kell illeszteni azt a tartományba, azonban abban a pillanatban ő még PDC-nek hiszi magát és emiatt le kell rajta futtatni a Server Manager-t, majd Demote to BDC. Majd az aktuális PDC-n Server Manager elindít, eredeti PDC kiválaszt és Promote to PDC. Leállnak a hálózati szolgáltatások megtörténik a szinkronizáció, majd ismét újraindulnak a hálózati szolgáltatások. Windows NT 4.0 Windows 2000 Server Directory Database Active Directory Egy szerver lehet: Member Server benne van egy tartományban Standalone Server nincs tartományban, munkacsoportban van Hogyan lehet DC-vé alakítani egy Member Server-t? - A megoldás a DCPROMO alkalmazás, mellyel DC-t alakíthatunk ki egy szerverből, ill. vissza is minősíthetjük azt. Visszaminősítésnél a telepítés alapján történő fordított sorrendben minősítjük vissza a DC-t. Windows 2000 Server-től rekordszinten, Windows Server 2003-tól pedig mezőszinten történik a szinkronizáció a PDC-BDC között. A Windows 2000 Server Active Directory kibővíti a Windows korábbi verzióiban használt egyetlen főkiszolgálós modellt, mivel több szerepet kínál, és a szerepek átadhatók a vállalat tetszőleges tartományvezérlője számára. Mivel az Active Directory szerepe nem egyetlen tartományvezérlőhöz tartozik, mozgó egyedüli főkiszolgálóval végzett művelet (Flexible Single Master Operation FSMO) szerepének is nevezhetjük. A Windows 2000 Server rendszerben öt FSMO-szerep található: Séma-főkiszolgáló Tartománynév-kiosztási főkiszolgáló RID-kiszolgáló Elsődleges tartományvezérlő (PDC) emulátora Inrastruktúra démon 6

7 Active Directory replikáció kezelésére használható eszközök: USN Update Sequence Number A state-based (állapot alapú) replikációhoz szükséges, hogy a forrás tartományvezérlő megállapíthassa melyik változtatásokat kapta már meg a cél kiszolgáló, ezzel együtt, hogy a cél tartományvezérlő megállapíthassa, mely változtatásokat kell kérnie a forrás kiszolgálótól. Mivel az órák szinkronizálása nagy kihívás, ezért aztán az elsődleges szabályozás nem a timestamp, hanem az USN. Timestamp (időpecsét) Az időpecsét sorrenden (TO, Timestamp Ordering) alapuló ütezemés alapelve az, hogy minden tranzakcióhoz rendel egy születési dátumot, vagy időpecsétet, amely jelzi, hogy mikor is jött létre a tranzakció a többi tranzakcióhoz viszonyítva. Az időpecsét tehát egy sorszámnak is tekinthető, amely megadja, hogy hol helyezkedik el a tranzakció a többi tranzakcióhoz viszonyítva a létrehozási időpont tekintetében, így a korábban létrejött tranzakciók időpecsétje kisebb, míg a később létrejövő tranzakciók időpecsétje nagyobb. Hálózatba kötött DC-k között létrejön egy bejárási irány. A DC-k rendelkeznek egy táblázattal, mely nyilvántartja az összes DC-t a hálózatban, ill. egy (sor)számot, ez azt jelzi, hogy melyik az az Active Directory-ban történt változás, amit ő már megkapott. Kapcsolat felvételkor egy DC-nek az adott (sor)számtól számított későbbi változásokra van szüksége, ehhez szükséges, hogy egységes legyen az óra. Windows NT 4.0 esetén amennyiben megosztunk egy erőforrást a tartományon belül a tagok számára, a jogosultságot azon a gépen kell kiadni, melyhez az adott erőforrás csatlakoztatva van. Windows 2000-től ha mindez publikálásra kerül az Active Directory-ba, onnantól a rendszergazda szolgáltathatja a jogokat közvetlenül a DC-ről, ezzel szűrést is meg lehet valósítani. Szintén Windows 2000 Server-nél nem lehet csökkenteni az Active Directory-ban lévő attribútumokat, a Windows Server 2003-ban már lehet őket módosítani, a Windows Server tól pedig már lehet őket törölni is. 7

8 Windows 2000 struktúra A képen jól kivehető, hogy több szabványos alrendszer helyezkedik el a struktúrában, ezek arra szolgálnak, hogy az eltérő szabványú programok gond nélkül futhassanak a Windows rendszeren. A futó folyamatok között megtalálható a csrss.exe (Client-Server Runtime Subsystem) nevű, mely az egyes folyamatok számára adja ki a futási engedélyt. Kezdetben még a Win32 GDI a User Mode-ba került, a meghajtóprogram (driver) hibája esetén nem szállt el a rendszer, de az alapból a GUI-ra fektető Windows alkalmazások jelentősen belassultak, így berakták azt Kernel Mode-ba. A rendszer teljesítménye megnőtt, hibás grafikus driver viszont gondot okozhat. Pár évvel ezelőtt a 64 bites CPU megjelenésekor célszerű volt egy 64 bites operációs rendszert is létrehozni, ezáltal gyorsabb működést produkálva. Otthoni felhasználásban mindmáig nincsenek egyértelmű fölényben a 64 bites rendszerek, habár CPU felől támogatást élveznek. Alkalmazások sokasága 32 bites OS-re készül el, azonban mégis futtathatóak lesznek a 64 bites rendszeren. Mindezt a junk -olás folyamata teszi lehetővé. Azonban ez sebességbeli veszteséggel jár, vagyis egy 64 bites OS-en egy 32 bites alkalmazás (ha nem is észrevehetően) lassabb futást eredményez, mintha azon egy 64 bites alkalmazást futtatnánk. 8

9 Windows Server 2008 R2 rendszerigénye (ajánlott) 2 GB rendszermemória (RAM) 2 GHz vagy annál nagyobb órajelű CPU 40 GB tárhely a rendszerpartíción IPv6 alapértelmezett hálózati protokoll, valamint csak 64 bites verzióban készül, emiatt célszerű 64 bites alkalmazások telepítése. A Windows Server 2008 még elérhető 32 bites platformra is. Windows termékekhez (otthoni és szerver változatok) megtalálható egy kompatibilitást igazoló lista az egyes hardware elemekhez, ezt nevezzük HCL-nek Hardware Compatibility List. Az egyes termékeken a Windows Logo jelöli a garantált kompatibilitást. Windows Server termékek esetén ezt megtaláljuk az alábbi weboldalon: OS telepítése A telepítés előkészületei: kiválasztjuk a merevlemezt, létrehozunk rajta egy partíciót az OS számára, kiválasztjuk a megfelelő fájlrendszert, majd megformázzuk a kiválasztott partíciót, elkezdjük a telepítést. Windows környezetben használatos fájlrendszerek: FAT (FAT16) File Allocation Table max 4 GB-os partíciók hozhatóak létre max 2 GB-os fájlméret partíciónként max 16 2 db. floppy lemezek, illetve több OS által is támogatott elavultnak számít FAT32 FAT16 kibővítése gyakorlatilag 32 GB-os partíciók alakíthatóak ki, max 128 GB-os merevlemez kezelésére képes 22 max 4 GB-os fájlméret partíciónként max 2 db. nincs lehetőség hozzáférések szabályozására titkosítás hiánya támogatja a dual boot megoldásokat 9

10 NTFS NT File System tranzakció orientált partíciónként kvóták alakíthatóak ki támogatja a fájlok titkosítását (EFS), ill. az alternatív adatfolyamokat (ADS) fájltömörítés támogatása régebben a rendszermemória sebessége jóval nagyobb volt, mint a merevlemezé, ezért az ottani műveletek gyorsabban lezajlottak, mint a merevlemezen manapság nem használatos legalább ~ MB-os partíciómérettől ajánlott a használata gyakorlatilag max 16 TB 4 kb-os kötetek hozhatóak létre, amennyiben alapértelmezett 4 kb-os klaszterméretet használunk, 2 TB feletti kötetméretek csak dinamikus kötetek használatával alakíthatóak ki 32 gyakorlatilag max 16 TB-os fájlméret partíciónként max 2 1 db. fájl könyvtár/fájlnevek hossza max 255 karakter lehet Windows aktiválása Windows-t egy konkrét konfigurációval lehet aktiválni. Amennyiben hivatalos kulccsal rendelkezünk, de a már időközben cserélt komponensek száma meghaladja az 5-öt, abban az esetben az újraaktiválás már nem lehetséges. Licence beszerzése Két módszer lehetséges: Per Seat adott géphez kötődik gépenként 1 CAL (Client Access License) Per Server adott szerverhez csatlakozóakra kapcsolatonként 1 CAL Több szerver esetén javasolt a Per Seat megoldás. Per Server-ről lehet konvertálni Per Seat-re, de visszafelé nem megoldható. OS frissítése egy új változatra tiszta telepítés tiszta lappal indulás, mindent újra be kell konfigurálni frissítés megmaradnak a beállítások, azonban egyes esetekben kompatibilitási problémák merülhetnek fel (pl. eltérő Registry-struktúra miatt), ezek jellege lehet: informatív warning (figyelmeztetés) fatal error (hiba) 10

11 Utóbbi kettőt ajánlott megszűntetni, mert később még egy warning is fatal error-t eredményezhet. Erre használható az Event Viewer, ezen belül az Application, ill. a Security naplófájl, melyekben hasznos információkhoz juthatunk a hiba okát illetően. Frissítés előtt célszerű végrehajtani az alábbi lépéseket: Registry és lemez mentése frissíteni a helyreállító lemezt Emergency Repair Disk vírusírtó kikapcsolása UPS (Uninterruptible Power Supply szünetmentes tápegység) lecsatolása fenntartani az IRQ-kat (Interrupt Request megszakítás kérés) Rendszerleíró adatbázis Registry A Registry a.ini kiterjesztésű fájlok gyűjteménye, a konfigurációs beállítások tárolására. Nagy része a memóriában tárolódik, ez az a része, mely nem található meg fájl formájában a lemezen. Egy része azonban megtalálható, ezt a részt Registry Hive-nak nevezzük és 5 részre oszlik: HKEY_CLASSES_ROOT HKEY_CURRENT_USER HKEY_LOCAL_MACHINE HKEY_USERS HKEY_CURRENT_CONFIG Ez képezi a Registry csúcsát hierarchiai szempontból, nagymértékű módosítása előtt ajánlott biztonsági másolat készítése. 64 bites rendszereknél 32 és 64 bites részre oszlik. Hardware telepítés Új hardware hozzáadásának folyamata: eszköz csatlakoztatása, eszközmeghajtó (driver) telepítése, eszköz konfigurálása. Plug & Play eszközök esetén az OS kategorizálja az adott hardware-t, majd megpróbál hozzá illesztőprogramot párosítani. Speciális (főleg multimédiás) eszközöknél ebből probléma adódhat, ugyanis a driver telepítésének van egy előre meghatározott menete, melytől eltérve helytelen működést tapasztalhatunk. 11

12 Amennyiben driver-t szeretnénk frissíteni, az Eszközkezelőt kell megnyitnunk, majd az egyes eszközre jobb egérgombbal kattintva, a Tulajdonság menüpontban válasszuk az Update Device Driver Wizard. Ha régebbi verzióval szeretnénk helyettesíteni a már meglévő driver-t, akkor az OS rákérdez, hogy valóban ezt szeretnénk-e. Driver telepítése során 3 opció közül választhatunk: Windows felismeri az eszközt és telepíti a számára megfelő driver-t Windows felismeri az eszközt és mi adunk meg keresési útvonalat Windows nem ismeri fel és saját driver-t telepítünk Digitális aláírás A digitális aláírással igazolni tudjuk az aláíró személyét, és azt hogy a dokumentum az aláírás óta nem változott meg. Az aláírás tartalmaz egy ellenőrzőösszeget, amihez szükség van egy MD algoritmusra (hashfüggvény) ez általában SHA-1 vagy MD5. Ez a dokumentumból egy fix hosszúságú (bit)sorozatot készít. Ehhez hozzáfűzzük az aláíró nevét vagy azonosítóját, az aláírás idejét, az MD algoritmus nevét, és amit még fontosnak tartunk. Ezután ezt az aláíró kódolja a titkos kulcsával. Az így előállt kód csak a küldő titkos kulcsával állítható elő és csak az ő nyilvános kulcsával olvasható el. Ezt a kódot csatolnunk kell az üzenethez és így kell elküldeni. Ha címzett vagy akárki, aki meg akar bizonyosodni az üzenet hitelességéről, annak kell készíteni az üzenetről egy ellenőrzőösszeget, ugyanazzal az MD algoritmussal, amit az aláíráskor is használtak, és dekódolnia kell az aláírást a küldő nyilvános kulcsával. Az ebben található kódot össze kell hasonlítani az újjal. Ha megegyeznek, akkor biztos lehet benne, hogy a küldő írta alá az üzenetet, és az nem változott meg mióta alá lett írva, feltételezve, hogy nem került illetéktelen kezekbe a titkos kulcs. A Windows Server 2008 bootoláskor ellenőrzi a digitális aláírást, ha egy adott driver-hez nincs, akkor azt nem engedi betöltődni. Ez persze futási problémához vezethet, ezért haladó bootoláskor (F8) lehetőség van arra, hogy a digitális aláírás nélküli driverek is elinduljanak. Hardware profile Windows Server 2008 R2 előtti (Windows Server 2008-ban is) OS-ekben lehetőség van egy hardware profil kialakítása. Egy már meglévő profilt lemásolunk, majd ezután lehetőségünk van annak változtatására. A körülményekhez alkalmazkodva példáúl jelentős mértékben megnövelhetjük akkumulátorunk üzemidejét egy olyan profillal, amelyet akkor használunk, amikor nem tartózkodunk Internet lefedettséggel rendelkező térségben, ilyenkor a hálózati kártyát leválasztva üzemidőt nyerhetünk. Vagy akár kellemetlen hibaüzenetek kiküszöbölésére is alkalmazható, amennyiben azt adott hardware okozza. 12

13 Képernyőbeállítások Alapvetően háromféle monitortípus elterjedt: CRT Cathode Ray Tube katódsugárcsöves kijelző LCD/TFT Liquid Crystal Display / Thin Film Transistor folyadékkristályos kijelző / vékonyfilm tranzisztor PDP Plasma Display Panel plazmakijelző CRT monitorokban egy katódsugárcső található, melynek egyik végén (egy) elektronágyú elektronnyalábokat bocsát ki, majd a nagy mágneses tér kellő mértékben téríti azt el ahhoz, hogy megjelenítse az egyes képpontokat a kijelzőn. Azt, hogy másodpercenként hányszor frissíti a képpontokat, képfrissítési frekvenciának nevezzük és hertzben mérjük (Hz). Minél magasabb ez a frekvencia, szemünknek annál kevésbé megterhelő a monitor figyelése, ugyanis csökken a képernyő vibrálása, ezáltal folyamatosabb lesz a kép, viszont ezzel egyidőben csökken a kontraszt is. LCD kijelzők folyadékkristályokat tartalmaznak, elől és hátul polárszűrővel közrefogva, amely csak egy bizonyos síkban engedi tovább a fény minden irányú rezgését. A folyadékkristályok elforgatják a rá eső fény rezgési síkját. Ha a folyadékkristályra feszültséget kapcsolunk, akkor nem forgatják el a fényt, az eredmény egy feket képpont lesz. Az LCD technológián alapuló TFT minden egyes képpontja egy saját tranzisztorból áll, amely aktív állapotban elő tud állítani egy világító pontot. Az ilyen kijelzőket gyakran aktív-mátrixos LCD-nek is szokás nevezni. CRT kijelzőknél a felbontás állításakor nem torzul el a kép, azonban LCD kijelzők esetén ún. szellemképek alakulhatnak ki, melyek a natív felbontástól történő eltérés miatt mutatkozhat meg. Ilyenkor az egyes szegmensekre (folyadékkristályokra) nem egy, hanem két vagy több képkocka eshet, amikor dönteni kell, hogy milyen színt jelenítsen meg az adott képkocka esetén. A monitorokon megjelenő képkockák aktuális állapotát tárolni kell. Attól függően, hogy milyen színmélységet ill. felbontást használunk, ez az érték kb-októl több MB-ig terjedhet, amit tárolni kell, erre használatos a videókártya belső memóriája. NT 4.0-tól már több mint 10 monitor van egyidejűleg támogatva. Ezek egyenként eltérő beállítással rendelkezhetnek. Lehetőség van arra, hogy egyidejűleg az alapértelmezésként 1 monitoron megjelő képet több monitorra osszuk szét, ezzel jelentős mértékben megkönnyíthetjük a munkavégzést. Mindezt a képernyő beállításai között az Extend my Windows desktop onto this monitor opcióval kapcsolhatjuk be. 13

14 Környezeti változók Segítségükkel befolyásolható a programok futása. Az egyes szoftverek megszabják, hogy milyen elnevezéssel lehet őket létrehozni (pl. DIR parancs esetén a dircmd). Hivatkozni a %valtozo% formában tudunk rájuk, beállításuk a SET kulcsszóval történik, pl. SET a = 5, ezen változó törlésére pedig a SET a= szintaxis használatos. Külön környezeti változók definiáltak a felhasználó és a rendszer számára. Ezek neve azonban megegyezhet, ezért meg van szabva egy bizonyos sorrend, mely alapján eldől, hogy a rendszer vagy a felhasználó által definiált környezeti változó lesz az éppen érvényes. Vagyis az egyik által definiált felüldefiniálhatja a másikat. A környezeti változók végrehajtási sorrendje: AUTOEXEC.NT-ben definiáltak, rendszer szintűek, felhasználó szintűek. A rendszerszintű környezeti változókat csakis rendszergazda módosíthatja. A környezeti változókat parancssorból a SET kulcsszó begépelésével kérdezhetjük le, grafikus környezetben a Rendszer tulajdonságok között a Haladó fülecskének Környezeti változók opciójával. Teljesítmény Kliens és szerver üzemmódban eltérő működésre (teljesítményre) van szükségünk. Míg kliens esetén a felhasználó által éppen futtatott programok memória ill. processzor-igényének kielégítése a fő cél, addig egy szerver esetén a háttérben futó kiszolgálást végző alkalmazások futása élvez magasabb prioritást. Windows-ban lehetőség van ezek között váltani, alapértelmezettként a Windows maga dönti el, hogy aktuálisan melyik profilt alkalmazza. Mindezt a Rendszer tulajdonságok között a Haladó fülecskének Teljesítmény opciójával adhatjuk meg. Kékhalál (BSOD Blue Screen Of Death) Előfordulnak User-módban futó alkalmazások, melyek hozzá tudnak férni Kernel módban a memóriához és tudják vizsgálni annak állapotát például telepített alkalmazásokat tudják ellenőrizni stb. Ezzel kiküszöbölhetőek lennének a rendszerhibák. BSOD esetén az aktuális memóriatartalom mentésre kerül, amit később analizálhatunk, ami azonban nehézkes, ugyanis mindez hexadecimális kódban szerepel. 14

15 A memória mentése egy Memory Dump fájlba történik, melynél választhatunk, hogy milyen formában kívánjuk a mentést elvégezni, mely lehet: kis méretű dump fájl (64 kb), kernel memória mentése, teljes memóriaterület mentése. Ezen kívül az első esetben megadhatjuk a mentés helyét, mely alapértelmezésként a %SystemRoot%\Minidump mappa. Egyes cégek kifejezetten arra specializálódtak, hogy dump fájlok visszafejtésével választ adjanak a rendszerhiba okára. Nagyobb cégek esetén megfontolandó lehet hasonló szolgáltatás igénybevétele. Rendszerindítás és visszaállítás Az előbb említett útvonalon a Teljesítmény opció helyett választhatjuk a címben szereplőt is. Ekkor megszabhatjuk, telepített rendszerünk indítási paramétereit, az indítandó OS-eket (multiboot esetén a választásra szánt várakozási időt), a naplófájlok méretét, rendszerhiba esetén az OS működését. A boot.ini fájlt a Windows Server 2008 és Windows 7 rendszerktől kezdve a bootmgr.dll által lett áthelyezve a rendszerkönyvtárba, az illetéktelen módosítások kivédésére. Hozzáférés beállítások StickyKeys beragadó gombok opció, billentyűkombinációk használata esetén hasznos lehet, FilterKeys lassabban érzékeli az egyes billentyűk leütését, ToggleKeys hangjelzést ad, amennyiben a Caps Lock, Num Lock, ill. a Scroll Lock billentyűk leütésekor. Microsoft Installer (MSI) Az MSI egy Windows OS olyan komponense, amely szükséges ahhoz, hogy a legújabb technológiák szerint készült programok is könnyen telepíthetők legyenek. Tranzakciós naplófájlt vezet, amiben jegyzi a módosításokat, felülírásokat, ebben az esetben menti a régebbi verziót, így szükséges esetben az visszaállítható. MSI csomagok léltrehozásakor.msi kiterjesztésű futtatható fájlok jönnek létre. Ilyen célra használható az ingyenes WinInstall program, de előfordulnak más, fizetős alternatívák is. 15

16 Csatlakozás a hálózathoz Az ábra tartalmazza a Windows OS hálózathoz csatlakozásának sémáját. A 3 réteg között határrétegek helyezkednek el, az ún. binding-ok. Alulról az első ilyen az NDIS (Network Driver Interface Specification), ez határozza meg, hogy mely hálózati kártyák, milyen protokollokkal vannak kapcsolatban és milyen irányban. Kompatibilitási kérdésekben célszerű az NDIS verziót figyelembe venni, amely adott OS esetén egyezik a kernel verzióval, így pl. Windows 7 esetén az NDIS 6.2 verziójú. 16

17 A következő binding a TDI (Transport Driver Interface), amely megszabja, hogy az egyes alkalmazások milyen protokollokat használhatnak, azok irányát is beleértve. Az Internethez történő csatlakozás esetén alapértelmezett protokollok: NetBEUI Windows NT-től, IPv4 Windows 2000-től, IPv6 Windows Vista / Windows Server 2008-tól. IP konfigurálás esetén kétféle mód közül választhatunk: az OS automatikusan (dinamikusan) szerezze be az IP-t (DHCP-n keresztül), statikus IP cím kiosztással manuálisan megadva. A hálózat működésének tesztelése: IPCONFIG /ALL paranccsal megkapjuk az IP beállításokat PING a visszacsatolt interfész (localhost) pingelése, melynek akkor is működnie kell, ha nincs tényleges hálózati kapcsolat PING a saját IP címre, ezzel ellenőrizhető a hálózati kártya működése. PING az alapértelmezett átjáró IP címére. PING egy távoli gépre. 17

18 Megosztás Megosztáshoz történő csatlakozás módjai: Internet Explorer (Windows Explorer) UNC (Universal Naming Convention) név megadásával. Az UNC név két részből tevődik össze (mindkettőnek egyedinek kell lennie): gépazonosító NetBIOS név IP cím FQDN (Fully Qualified Domain Name) megosztási név - eltérhet a valódi katalógus nevétől, de nem javasolt, mert kikeresése bonyolult, időigényes lehet. Fájlt és további katalógust tartalmazhat. Parancssorból NET VIEW megosztott fájlok és nyomtatók megjelenítése NET VIEW \\... \... megadott hálózati helyen elérhető megosztások megjelenítése NET USE X: \\... \... /user:username password az X: betűjel hozzárendelése (meghajtóként) a megadott hálózati helyhez, a felhasználói név és jelszóval együtt, annak elhagyása esetén az aktuális felhasználó neve és jelszava kerül elküldésre NET USE X: /delete előbbi hozzárendelés megszűntetése Map Network Drive Network (régebben My Network Places) Hálózati helyek - a hálózaton elérhető logikai csoportokat vagy gépeket jeleníti meg Keresés menü 18

19 Az I/O Manager hálózati komponense Egy Workstation Service által igényelt szolgáltatás az adott lokális gép Redirector fájlrendszerén (rdr.sys) keresztül küld kérést a távoli gép Server fájlrendszerén (srv.sys) keresztül az ottani Server Service-nek. Így alakul ki közöttük a kliens-szerver kapcsolat. 19

20 A rétegek közötti kommunikáció ún. szolgálatok segítségével valósul meg. A szolgálatok a rétegek ki/bemeneti pontján ún. SAP-ján (Service Access Point) keresztül érhetők el. Ezek mindig két szomszédos réteg között találhatók. Lényegében a két réteg közötti kommunikáció ténylegesen ezeken a pontokon keresztül valósul meg. A Windows hálózati komponenseihez tartozik a MPR és a MUP is. A MPR (Multiple Provider Router) többszörös szolgáltatású útválasztó, mely valójában egy DLL (mpr.dll) fájl a \Windows\System32 almappában. Meghatározza, hogy az alkalmazás melyik hálózathoz férjen hozzá, amikor Windows WNet API-t használ a távoli fájlok elérésére. A MUP (Multiple Universal Naming Convention Provider) egy driver (mup.sys) a \Windows\System32\Drivers almappában. Meghatározza, hogy az alkalmazás melyik hálózathoz férjen hozzá, amikor Windows I/O API-t használ távoli fájlok megnyitására. Automatikus megosztások Csak rendszergazdai jogokkal rendelkező felhasználó férhet hozzájuk. Automatikusan létrejönnek, nem jelennek meg távoli felhasználók számára. Házirenddel kikapcsolhatóak, amennyiben egy megosztás létrehozásakor az elnevezés végére a $ szimbólumot illesztjük, abban az esetben egy saját, rejtett megosztást hozunk létre. ADMIN$ rendszerkönyvtár C:\WINDOWS, C$ gyökérkönyvtár C:\ esetleg más meghajtó, IPC$ hálózati kommunikációhoz, ennek segítségével látják egymást a gépek, FAX$ fax küldésére, ill. fájlok gyorsítótárazására, PRINT$ nyomtatók távoli felügyeletére használatos, nyomtató driver elérésére is. 20

21 DHCP A DHCP (Dynamic Host Configuration Protocol) leegyszerűsíti az egyes gépek hálózatba kötését. Windows-ban a TCP/IP beállításoknál alapértelmezésként DHCP van beállítva. Ilyenkor az adott gép automatikusan kap egy IP címet, alhálózati maszkot, DNS IP címet és egyéb szabványos, ill. nem szabványos paramétert is a csatlakozáshoz. Eszközök: DHCP szerver egy DHCP Scope-pal rendelkezik, vagyis a kiosztható IP címek tartományával DHCP kliens a DHCP szervertől kapja az adatokat statikus IP címmel rendelkező gép - nem a DHCP szervertől kapja az adatokat DHCP szolgáltatás lépései Első lépésben a DHCP-t igénybe venni kívánó kliens egy szórás (broadcast) üzenetet küld a hálózatba, amit mindegyik állomás megkap DHCP Discover. Amennyiben a DHCP szerver rendelkezik még kiosztható IP címmel, abban az esetben egy szórás üzenetben (a kérvényező MAC címével címezve) felajánlja a választott IP címet, így csak a kérvényező kapja meg DHCP Offer. Ekkor az állomás még nem használhatja az IP-t, hanem egy DHCP kérést kell intéznie a DHCP szerver felé, hogy használni kívánja a kapott IP címet DHCP Request. Ezután a szerver egy nyugtát (acknowledgement) küld a kliensnek a további paraméterekkel együtt, így lehetővé válik a csatlakozás a hálózatba DHCP ACK. Ha több DHCP szerver is működik egy hálózatban, a kliens attól fogadja el az IP-t, amelytől a leggyorsabban érkezik válasz. 21

22 Windows Vista-tól kezdve az előzőleg DHCP által szerzett IP címet megjegyzi az adott állomás, így bootoláskor a DHCP folyamat a DHCP Request-től indul, ezáltal gyorsabb lehet a rendszerindítás. DHCP szervertől kapott IP cím egy adott T időre vonatkozik Leasing. Ez a T időt T1 és T2 időre oszlik, T1 idő lesz a T idő 50%-a, T2 pedig a T 87,5%-a. T1 elérésekor az állomás próbálja megujítani a kapott IP-t további T időre. Amennyiben sikeres lesz a kérvénye, úgy T1 idő múlva ismét megpróbálja ugyanezt és így tovább. Ellenkező esetben T2 elérésekor ismét újra próbálkozik. Ha ekkor sikerrel jár a kliens, akkor újabb T időre lefoglalja az IP-t, ellenben a T lejártakor lemond az IP címéről és új DHCP kérést intéz. DHCP szerver csak Windows Server verzióból alakítható ki, feltétel a statikus IP cím, szabad IP tartomány (DHCP Scope), ill. DHCP szolgáltatás telepítése. Amennyiben ún. partizán DHCP szerverek is lennének a hálózatban, azok kiküszöböl-hetőek a hálózatba kötött gépek domain-be léptetésével, így az Active Directory-ba beépíthető a jogosultság adott DHCP szerverhez. Csak az a szerver működhez DHCP szerverként, amelyik rendelkezik az előbbi jogosultsággal. APIPA (Automatic Private IP Addressing) Amikor egy állomás DHCP-re van konfigurálva (DHCP kliens), de még nem rendelkezik IP címmel, az IPCONFIG parancsot kiadva azt tapasztalhatjuk, hogy IP-je: Ha a hálózatban éppen nem található DHCP szerver, a DHCP kliensek nem kapnak választ egy DHCP szervertől sem. Ekkor a kliens egy idő után automatikusan kioszt magának egy IP címet a xxx.xxx címek egyike közül, ezt nevezzük APIPA-nak Mivel az APIPA alapján történő címzéskor egy állomás privát IP-t kap (ez a Microsoft által megvásárolt B osztályú IP cím tartomány), ezért az Internetet nem használhatja és csak APIPA-s állomásokkal kommunikálhat. Az APIPA-s állomások 5 percenként próbálnak szabadulni az APIPA címtől. 22

23 DHCP scope(pool) Az a tartomány, melyből a DHCP szerver IP címeket oszthat a DHCP kliensek számára. Feltétel, hogy folytonosnak kell lennie, azonban egy folytonos tartományt több résztartományra oszthatunk az EXCLUDE opcióval, így kijátszható az eredeti feltétel. Pl.: eredeti IP tartomány: RANGE: EXCLUDE Dedikált szerverek (fájlszerver, webszerver, stb.) esetén a DHCP szervertől a MAC címekhez vannak fix IP címek hozzárendelve Reserving. 23

24 A DHCP egy forgalomirányító által ún. nem irányítható (rout-olható) protokoll, ez azt jelenti, hogy egy forgalomirányító mögötti DHCP üzenetek nem kerülnek ki a forgalomirányító által lefedett belső hálózatból, ami logikus, hiszen a DHCP szórás üzeneteket produkál, amiket a forgalomirányító nem enged át. Előfordulhat azonban, hogy a forgalomirányító ún. RFC kompatibilis, ami azt jelenti, hogy egy RFC (Request For Comment) ajánlást támogató forgalomirányító átengedheti a DHCP üzeneteket. Amennyiben ez mégsem lenne így, úgy a forgalomirányító mögé eső belső hálózatba egy DHCP Relay Agent elhelyezése szükséges, ami tipikusan egy Windows Server, szintén fix IP címmel. A DHCP Relay Agent komponens egy Bootstrap Protocol (BOOTP) relay ügynök, amely átdobja a DHCP üzeneteket a DHCP kliensek és kiszolgálók között a különféle IP hálózatokon. Minden IP hálózati szegmensben, amely DHCP klienst tartalmaz, egy DHCP szerver vagy egy DHCP Relay ügynökként működő számítógép szükséges. A DHCP működéséhez szükséges adatbázis fájlok a %systemroot%\system32\dhcp könyvtárban találhatóak meg. Ha backup-ot hoznánk létre a DHCP működéséről, akkor az a %systemroot%\system32\dhcp\backup\jet\new könyvtárban kerülnek eltárolásra. A DHCP működésével kapcsolatos naplófájlok (.log) DHCPSrvLog.xxx alakban tárolódnak, ahol xxx egy sorszám. 24

25 WINS A WINS (Windows Internet Name Service) a NetBIOS nevek IP címekké alakítását végzi el. Előnye a hasonló rendszerekkel szemben, hogy automatizált, nem kíván kézi beavatkozást a működése folyamán. A WINS ügyfélgépek az operációs rendszer elindítása alatt felveszik a kapcsolatot a WINS kiszolgálóval és bejegyeztetik az IP címüket. Amikor kommunikációt akarnak kezdeményezni egy másik géppel, szintén a WINS kiszolgálóhoz fordulnak, kérve a célgép IP címét. Ha a keresett név nem található a WINS szerver adatbázisában, úgy a DNS szerverhez fordul névfeloldásért. A kiszolgálói bejegyzéseknek van egy élettartama (TTL - Time To Live), amíg használhatók maradnak. Ennek lejártával a bejegyzések megszűnnek. Amikor a WINS ügyfél kilép a hálózatból (szabályosan kilépünk a Windows-ból), a lefoglalt bejegyzést felszabadítja. Felhasználói fiókok Minden felhasználói fiókot a név-jelszópáros jellemez (utóbbi időnként elmarad). Munkacsoport (Workgroup) esetén ez a Directory Database-ben tárolódik, míg tartomány (Domain) esetén a Domain Controller Active Directory-jában (AD). A felhasználónévnek érvényességi körén belül egyendinek kell lennie. Workgroup esetén 2 azonos felhasználónév 2 eltérő gépen nem biztos, hogy közvetlen kapcsolatot jelent, vagyis az eltérő felhasznákat is azonosíthat. Amennyiben egy felhasználó felvétele az AD-be sikertelen lenne, úgy a Directory DB-ben a fiókja megmarad, de domain-be léptetéskor már elérhetetlenné válik egyszerre a kettő nem lehet aktív. A felhasználók elnevezése: Workgroup Users Domain Domain Users Minden felhasználói fiókhoz létrehozáskor generálódik egy SID (Security Identifier) biztonsági azonosító, amely egyedi módon azonosítja a felhasználókat. 25

26 Létezik telepítéskor beépített felhasználói fiók, a Vendég (Guest) felhasználói fiók, melyet nem lehet törölni. Egy felhasználói fiók létrehozásakor elnevezésbeli konvenciókat szoktunk követni: nagyvállalatoknál : a host a fontos, ahhoz kötődnek, pl. Terv01, kisebb cégeknél : a névhez kötődik KovacsP. Elnevezéskor ékezeteket lehet használni, de nem ajánlott, a helyközre és a speciális karakterekre (/, \, <, >, *,...) ugyanez vonatkozik. A Windows nem különbözteti meg a kis és nagy betűket (non Case Sensitive), de megjegyzi őket. Ajánlott helyköz helyett az _ karakter használata, számok szintén használhatóak. Az felhasználi fiók nevének hossza max 256 karakter lehet (Windows Server 2008), de javasolt a 64 karakter vagy annál kisebb. Jelszavak A jó jelszó nem bonyolult, de hosszú! Javasolt a 10 vagy annál hosszabb jelszavak használata, amire már kis és nagybetű érzékenység (Case Sensitive) vonatkozik. A rendszergazdáknak lehet ellenőrizni a komplexitási feltételt, amelyre a következők érvényesek (komplex jelszó tartalma): kis és nagy betűk, számok, speciális karakterek pl.: stb. A rendszergazda beállíthat további opciókat: Password History hány jelszóra emlékezzen a rendszer, Maximális élettartam érvényességi idő (alapértelmezésként 42 nap), Minimális élettartam minimális érvényességi idő. 26

27 Felhasználói profilok A Windows a felhasználókhoz úgynevezett profilokat rendel hozzá, ezekben tárolja az adott felhasználó Asztal, Start menü és egyéb beállításait, de itt kaptak helyet a dokumentumok is. A profil egy mappa a merevlemezen és a beállításokat almappák rendszerében tárolja. Alapértelmezésben a rendszermeghajtó "Document and Settings" könyvtárában helyezkednek el (általában c:\ Document and Settings). Ezen belül találhatók további mappák, a nevük megegyezik annak a felhasználónak a nevével, akinek a beállításait tárolja (pl.: Rendszergazda). Ha a gép tartományi tag, akkor a felhasználó neve után egy pont következik, majd a tartomány neve (pl.: Rendszergazda.ANIMARE). Fontos, hogy mindig a felhasználó első bejelentkezése alkalmával keletkeznek a profilok (kilépéskor mentődnek). Hiába van a belépésre jogosultak között valaki, ha még nem lépett ténylegesen be, nincs profilja. Ha megnézzük a fent említett mappát, találunk benne olyan almappákat is, amelyekhez nem tartozik felhasználó, ezek az "All Users" és "Default User". Az "All Users" profilban helyet kapott beállítások érvényesek minden felhasználó számára. A "Default User", mint ahogy a neve is mutatja alapértelmezett beállításokat tartalmaz. Ahogy előbb szó esett róla, a felhasználó első bejelentkezésekor generálódik számára egy profil. Azonban ez nem a semmiből keletkezik, hanem a "Default User" másolódik át másik néven. Ebből következik, ha itt változtatunk valamit, az megjelenik az összes leendő felhasználó beállításai között. Van még egy speciális eset a "Vendég" ("Guest") fiók, ők ugyanis nem rendelkeznek saját profillal. Két környezeti változón keresztül lehet elérni ezeket a mappákat: %USERPROFILE% - az aktuálisan bejelentkezett felhasználó mappáját, %ALLUSERPROFILE% - az "All Users" mappa elérési útját tartalmazza. A profil gyökérkönyvtárában találunk NTUSER.* nevű fájlokat is. Ezek a Registry HKEY_CURRENT_USER kulcsa alatt szereplő beállításokat rejtik és az operációs rendszer indításakor töltődnek be. Local User Profile Ez az alapértelmezett felhasználói profil. Az előbbiekben leírtak érvényesek rá, a profil a helyi merevlemezen tárolódik. 27

28 Roaming Profile Olyan felhasználói profil, mely egy fájlszerverről (DC-ről) hálózaton keresztül töltődik le a helyi gépre (elérési út: \\fszerver_gépnév\profiles\felhasználónév\ ). Ez sem jön létre automatikusan, legalább egyszer be kell jelentkezni. Hálózati probléma esetén nem érhető el a szerver, ekkor a helyi merevlemezen lévő profilt ajánlja fel használatra a rendszer. Ha ezt elfogadja a felhasználó, akkor egy régebbi profil töltődhet be, ellenkező esetben viszont nem tud bejelentkezni. A konfigurációs beállítások NTUSER.DAT fájlban tárolódnak. Amennyiben ezt átneveznénk NTUSER.MAN névre, úgy létrejön egy ún. Mandatory Roaming Profile, amely a Roaming Profile kiegészítése. A különbség a sima Roaming Profile-tól, hogy kilépéskor nem mentődnek vissza a változtatások a szerverre, vagyis a.man kiterjesztésre történő változtatás csak olvashatóvá teszi az adott profilt. Szervezeti egységek A szervezeti egységek (Organization Unit - OU) az Active Directory objektumainak tárolói, amelyekbe felhasználók, csoportok, számítógépobjektumok, illetve más szervezeti egységek helyezhetők. A szervezeti egységek rendkívül fontos szerepet játszanak a csoportházirend érvényesítésével és a felügyeleti jogok delegálásával kapcsolatban is. A szervezeti egységek használatával a tartományon belüli hierarchia pontosan megfelelhet az adott szervezet hierarchikus felépítésének. Ezekhez külön jogokat lehet állítani, így a rendszergazda feladata megosztható, korlátozható. Helyi Biztonsági Házirend (Local Security Policy) lehetőségek Rendszergazda által megszabható egy felhasználó számára, hogy mikor jeletkezhet be az adott gépre (napokra, órákra vett időtartamra). Beállítástól függ, hogy ha ez az időtartam letelt, akkor mi lesz az aktuális munkamenetekkel. Egyik eshetőség, hogy a fájlok elmentődnek és csak kilépni lehet, új munkamenet már nem indítható. Domain esetén szükséges lehet, hogy egy adott gépre csak adott felhasználó(k) léphessen(ek) be, így a felhasználó(k) letiltható(ak) lesz(nek). Erre és további lehetőségekre adnak módot: Account Policies (Password Policy, Account Lockout Policy), Local Policies, Public Key Policies, Software Restriction, IP Security. 28

29 Jelszavakkal kapcsolatos jogok (AD-ben megszabva): User must change password at next logon - első belépéskor jelszót kell változtatni User cannot change password - a felhasználó nem módosíthatja a jelszavát Password never expires Ha egy felhasználói fiók törlésre kerülne, majd ugyanolyan névvel létrehoznánk egy másikat, akkor ahhoz új SID generálódik (amennyiben ugyanaz generálódna, akkor a rendszer megvizsgálja, hogy generálódott-e már az a SID és ha igen, akkor azt eldobja és újat generál). Ez gondot okozhat egyes, már előzőleg kiadott hozzáférési engedélyeknél, jogoknál, az ugyanis SID-hez kötődik és azok visszaállítása hosszadalmas lehet, ezért felhasználókat nem célszerű törölni, hanem csak letiltani. Domain esetén lehetőségünk nyílik felhasználói sablonok (template) létrehozására, melyben előre megszabhatunk jogokat és hozzáférési engedélyeket. Felhasználói fiókok létrehozásakor így leegyszerűsödik az adott felhasználót megillető jogok, engedélyek kiadása, hiszen elég egy sablont lemásolni, majd a nem ismétlődő adatokat átírni. Microsoft Management Console (MMC) A Microsoft Management Console egy keretrendszer, amely a különböző eszközökhöz közös navigációs felületet, menüket, eszköztárakat és munkafolyamatot biztosítva egységessé és egyszerűvé teszi a mindennapos rendszer-felügyeleti feladatokat (Windows 2000-től elérhető). Az MMC eszközeivel (beépülő moduljaival snap in) felügyelhetők a hálózatok, a számítógépek, a szolgáltatások, az alkalmazások és a rendszer más összetevői. Maga az MMC nem végez felügyeleti feladatokat, de sokféle Windows alapú és nem Microsoft fejlesztésű beépülő modult tartalmaz, amelyek erre szolgálnak (ezek.msc kiterjesztésű fájlok, sajátokat is létrehozhatunk): Számítógép kezelő Computer Management rendszereszközök események megosztott mappák teljesítmény naplózás eszközkezelő adathordozók lemezkezelő szolgáltatások és alkalmazások szolgáltatások indexelő szolgáltatás Helyi Biztonsági Házirend Local Security Policy számítógép beállítások felhasználói beállítások Csoportházirend Group Policy 29

30 Csoportok A felhasználói csoport olyan felhasználói fiókok gyűjteménye, amelyek azonos biztonsági engedélyekkel rendelkeznek. Olykor a felhasználói fiókokat biztonsági csoportoknak is nevezik. Egy felhasználói fiók egynél több csoportnak is lehet tagja. A két leggyakoribb felhasználói csoport az általános jogú felhasználó és a rendszergazda, de léteznek egyéb csoportok is. Egy felhasználói fiókra gyakran azon a felhasználói csoporton keresztül hivatkoznak, amelyben található (például egy olyan fióknak, ami az általános jogú csoportban található, a neve általános jogú fiók). Ha rendszergazdai felhasználói fiókkal rendelkezik, létrehozhat egyéni felhasználói csoportokat, áthelyezhet fiókokat egyik csoportból a másikba, valamint bizonyos csoportokhoz hozzáadhat fiókokat vagy eltávolíthatja azokat belőlük. Ha egyéni felhasználói csoportot hoz létre, kiválaszthatja, hogy milyen jogokat rendel a fiókhoz. Workgroup esetén gépenként kell a jogosultságokat beállítani adott csoporthoz, míg Domain esetén a DC-ről lehet mindezt elintézni. A Windows megengedi, hogy közvetlenül felhasználóknak adjunk jogosultságokat, de nem ajánlott! Ha mégis így történne, akkor a több jogosultsággal rendelkező felhasználó jogosultságok összeadódnak (kumulálódnak). Csoportok hatókör szerint: Helyi csoport (Local Group) Olyan biztonsági csoport, amely csak annak a számítógépnek az erőforrásaihoz kaphat jogokat és engedélyeket, amelyen a csoportot létrehozták. A helyi csoportok tartalmazhatják bármely megbízható hely, például a tartomány, vagy más megbízotti kapcsolatban álló tartományok és erdők felhasználói fiókjait és csoportjait. Fontos szabály, hogy helyi erőforráshoz csak helyi csoportnak adjunk közvetlenül jogosultságot, vagyis például egy ügyfélgép NTFS jogainak kiosztásakor egyetlen hozzáférés-vezérlési listába se kerüljön felhasználói fiók, illetve tartományi csoport (az egyes felhasználók profilját tároló mappákon kívül). A tartomány szintjén definiált csoportok mindig a helyi csoport tagjai közé való felvétellel szerezzenek jogot az erőforrások használatára. Globális csoport (Global Group) Olyan biztonsági vagy terjesztési csoport, amelynek tagjai saját tartományában található felhasználók, csoportok és számítógépek. A globális biztonsági csoport az erdő bármely tartományának erőforrásaira kaphat jogosultságokat és engedélyeket. A globális csoportok kialakításának tükröznie kellene a szervezeti felépítést. 30

31 Tartományon belüli csoport (Domain Local Group) A tartományon belüli csoportok tagjai a Windows Server és Windows NT alapú tartományok csoportjai és fiókjai lehetnek. A tartományon belüli csoportoknak csak a tartományon belül adható engedély. Univerzális csoport (Universal Group) Az univerzális hatókörű csoport tagjai a tartományfa vagy az erdő bármely tartományában lévő csoportok és fiókok lehetnek. Univerzális hatókörű csoportnak a tartományfa vagy az erdő bármely tartományában adható engedély. Az univerzális csoport csak legalább Windows 2000 natív módban működő tartományban használható. Az ilyen csoportok tagjai a globális katalógusban tárolódnak. Más tartományból lehet bele felhasználókat rendelni. Biztonsági és terjesztési csoportokként is használhatóak, így akár konverziós célokra is használható. Csoportok típusai: Biztonsági csoport (Security Group) Ezek hagyományos értelembe vett felhasználói csoportok. Kaphatnak hozzáférési engedélyeket a rendszerhez, megosztott erőforrásokhoz, stb. Terjesztési csoport (Distribution Group) Nem kap a rendszerben jogokat az erőforrások használatához, egy kivételével és ez a csoportos levélküldés, tekinthető úgy is, mint egy üzenetszórásos csoport. Feltelepítés után két helyen keletkeznek a rendszerrel szállított csoportok: a beépített (Built-in) és a felhasználók (Users) mappákban. Az előzőben azok kaptak helyet, amelyek hatókörüket tekintve csak a tartományon belül ténykedhetnek, kívül nem, pl. rendszergazdák, nyomtatófelelősök, replikáló, vendégek. A másik esetben nincsenek ilyen korlátozások. Azt, hogy felhasználói csoporttal van dolgunk, nagyon könnyen eldönthetjük, ha megnézzük a név előtti ikont. A két emberi fejet szimbolizáló rajz minden esetben egy csoportot jelöl. A beépített csoportok telepítéskor létrejönnek, bizonyos jogokkal felruházva, nem lehet őket törölni, de lehet hozzájuk felhasználókat rendelni / eltávolítani. Speciális felhasználói csoportok a csoportba besorolást a rendszer végzi dinamikusan Hálózat a rendszerrel az éppen hálózaton keresztül kommunikáló felhasználókat tartalmazza Interaktív az éppen bejelentkezett felhasználókat tartalmazza Mindenki Hitelesített felhasználók stb. 31

32 Mindenki (Everyone) csoport Minden egyes felhasználó beletartozik, így rendszergazda jogokkal nem szabad benne tiltásokat kiadni, mert különben saját magunkkal is kitolhatunk. Ennek a csoportnak tagja az összes felhasználó és másik csoport is, függetlenül attól, hogy hitelesített vagy az Interneten keresztül bejelentkezett névtelen felhasználóról van szó. Hasznos tippek Amennyiben arra kerülne a sor, hogy felhasználó(ka)t kellene törölni a rendszerből, úgy célszerű (őket) előbb kiszedni a csoport(ok)ból, a hozzáférési engedélyeket és jogokat pedig megvonni. Csoportokat nem lehet letiltani, csak hozzájuk rendelt felhasználókat. A rendszer gyorsaságának megőrzése érdekében részesítsük előnyben a beépített csoportokat, saját csoportok létrehozása lassíthatja a működést. (!) Megjegyzés: A Windows élesen elhatárolja a jog és az engedély fogalmát! Habár sokak számára egy és ugyanazt jelenti a kettő, illik tudni megkülönböztetni a kettőt. Hozzáférési engedély (Permission) erőforrás használatához kötődik, Jog (Right) tevékenység elvégzéséhez szükséges (tipikusan rendszertevékenységek). AGDLP stratégia tartománybeli csoportok számára Az ábra azt mutatja, hogy miként javasolt biztonságos erőforrás-hozzáférést kialakítani tartománybeli csoportok segítségével. Munkacsoport esetén hasonlóan fest az ábra, azzal a különbséggel, hogy ott ALP stratégia van, ami az Account-Local-Permission szavak kezdőbetűiből jött létre, vagyis ott helyi csoportokba vannak rendelve a felhasználók, majd úgy kaphatnak hozzáférést az egyes erőforrásokhoz. 32

33 NTFS Az NTFS vagy New Technology File System (új technológiájú fájlrendszer) a Microsoft Windows NT és utódainak (Windows 2000, Windows XP, Windows Server 2003, stb.) szabványos fájlrendszere. A korábbi Windows 95, 98, 98SE és ME nem képesek natív módon olvasni az NTFS fájlrendszert, bár léteznek programok erre a célra is. Az NTFS a Microsoft korábbi FAT fájlrendszerét váltotta le, melyet az MS-DOS és a korábbi Windows verziók esetén használtak. Az NTFS több újdonsággal rendelkezik a FAT fájlrendszerrel szemben, mint például a metaadatok támogatása, fejlettebb adatstruktúrák támogatása a sebesség, a megbízhatóság és lemezterület-felhasználás érdekében, valamint már rendelkezik hozzáférésvédelmi listával és megtalálható benne a naplózás is. A fő hátránya a korlátozott támogatottsága a nem Microsoft operációs rendszerek oldaláról, mivel a pontos specifikáció a Microsoft szabadalma. Az NTFS-nek három (fő) verziója létezik: v1.2 NT 3.51, NT 4 v3.0 Windows 2000 v3.1 Windows XP, W2k3, Windows Vista, W2k8, Windows 7 Ezekre a verziókra gyakran v4.0-ként, v5.0-ként és v5.1-ként is szoktak hivatkozni a Windows verziója alapján. Az újabb verziók újabb funkciókat vezettek be. Például a Windows 2000-ben jelent meg a kvóta támogatás. Öröklés Egy adott katalógusban előforduló fájlokra azonos fájlvédelmi opciók vonatkoznak. Ez mindaddig igaz, míg az egyes fájlokhoz külön hozzáférést nem állítunk be. Ekkor egyéni hozzáférési engedély kiadásával megszakítjuk az ún. öröklési láncot. Ezzel ki lehet kényszeríteni, hogy fában egy adott almappától kezdődően lefelé más hozzáférési engedélyek legyenek érvényesek. Amennyiben meg kívánjuk szakítani egy fájl esetében az öröklési láncolt, úgy a felugró ablakban 3 opció közül választhatunk: hozzáférési engedélyek másolása (copy), tiszta lappal indulás (remove), visszavonás (cancel). 33

34 Létrehozó, tulajdonos Az NTFS megkülönbözteti adott fájl létrehozóját és tulajdonosát. Alkalom adtán módosítható a tulajdonos személye, amelyhez külön joggal kell rendelkezni tulajdonjog (take ownership (o)). Amennyiben egy fájl tulajdonosai vagyunk, hozzáférési engedélyeket oszthatunk a fájlra vonatkozóan akár saját magunknak is change permission (p). Érdekesség, hogy egy fájl tulajdonosa akkor is meg fogja tudni ezt tenni, ha már saját magától megvont bizonyos engedélyeket. A könnyebb kezelhetőség érdekében az egyes fájlokra vonatkozó hozzáférési engedélyeket csoportosították, pl.: írásra vonatkozó engedélyek. Access Control List (ACL) Az NTFS az ACL-eket arra használja, hogy engedélyeket állítson be a felhasználókhoz és a csoportokhoz az objektumokon. Az ACL-ek a hozzáférési vezérlőelemekből (ACE) épülnek fel. Minden ACE bejegyzés információval rendelkezik, amely vezérli a jogosultságait egy megadott felhasználónak vagy csoportnak. Jelenleg négy ACE típus definiált: Access Allowed engedélyezett hozzáférés, Access Denied tiltott hozzáférés, System Alarm rendszerriasztás, System Audit rendszerfelügyelet. Jogosultságok - írás (W) - olvasás (R) - olvasás és végrehajtás (RE) - módosítás (M) - teljes hozzáférés (FC) Fájlműveletek (másolás, áthelyezés) végzése után kérdésessé válhat, hogy az adott fájlra az új helyén milyen hozzáférési engedélyek fognak vonatkozni. Ehhez pontosan definiálni kell, mit nevezünk másolásnak és áthelyezésnek partíciók között vagy azon belül. 34