Windows Server 2003 R2 Standard Edition with Service Pack 2 Microsoft Virtual PC 2007 (6.0.156.0) környezetben 1
Virtuális gépek telepítése 1. VPC beállítások 1 GB RAM esetén (cél, hogy a RAM kb. fele a HOST számára biztosítva legyen) Vserver: (virtuális szerver) 4GB HDD 256MB RAM Hang nincs (nekünk nem kell!) 2
Virtuális gépek telepítése 2. Vclient: (virtuális ügyfél) 8GB HDD 256MB RAM Hang nincs (nekünk nem kell!) Arra számítunk, hogy néhány alkalmazást is telepítenünk kell 3
Szerver telepítés: Windows 2003 Név: Vowner 1. Szervezet: Vorganization Gépnév: Vserver IP: 192.168.5.1 Mask: 255.255.255.0 Gateway: nem kell! (ebben a környezetben) DNS: nem kell! Hiszen a szerver maga lesz a DNS szerver is. 4
Szerver telepítés: Windows 2003 2. Ellenőrzés: NETSH DIAG show test Vagy: NETSH DIAG GUI Munkacsoport: WGROUP (aminek később nem lesz jelentősége) Jelszó: f4hcx A telepítés végén bekéri a kettes CD-t, onnan fejezi be a telepítést 5
Szerver telepítés: Windows 2003 3. Újraindítás után: dcpromo (települ az Active Directory) Új tartomány DNS: vdomain.hu Új tartomány NETBIOS: VDOMAIN Visszaállítási mód jelszava: f4hcx 1-es CD vissza 6
Szerver telepítés: Windows 2003 4. Windows összetevők: Hálózatszolgáltatás/WINS (ha vannak más OS-ek! A LINUX-nak is jól jöhet, hiszen a SAMBA global parameters hivatkozhat rá.) Ekkor még mindig van kb. 1,7GB szabad hely a virtuális HDD-n. Event log törlése! Csak innen érdekel a tartalma. 7
Kliens telepítés: Windows XP SP2 Név: Vowner Szervezet: Vorganization Gépnév: Vclient IP: 192.168.5.2 Mask: 255.255.255.0 1. Gateway: nem kell! (ebben a környezetben) DNS: 192.168.5.1 mert, ha ez nincs nem fog menni a GPO egyáltalán, nem csak az eredő! 8
Kliens telepítés: Windows XP SP2 2. Ellenőrzés: NETSH DIAG show test VAGY: NETSH DIAG GUI Munkacsoport: WGROUP (aminek később nem lesz jelentősége) Jelszó: f4hcx Az alapvető telepítés kész. Event log törlése! Csak innen érdekel a tartalma. (eventvwr.exe) 9
CMD: gpedit.msc GPMC telepítés internet hozzáférés kell (vagy adom a telepítőt: gpmc.msi) CMD: gpmc.msc 1. Tartomány működési szintjének előléptetése (ha szükséges) Adminpak telepítés System32-ből Alkalmazáskiszolgáló IIS telepítése 10
Hálózatszolgáltatás - DHCP telepítése Kioszthat: 192.168.5.1-192.168.5.254 Kizárni: 192.168.5.1-192.168.5.15 Hatókör beállításai! 2. Fontos: netsh dhcp server set dnscredentials rendszergazda vdomain * (vagy más user ) 11
2,5. DHCP Fenntartások Művelet Új fenntartás DHCP Hatókör beállításai Művelet Beállítások konfigurálása 12
3. Központi telepítési szolgáltatások WEB interface for remote administration Sasetup.msi https://vserver:8098 Létrehozni és megosztani: \\server\profiles és \\server\home megosztásokat Megosztás: Felhasználók full control Biztonság: Rendszergazda full control 13
Group: Lazy User: Gipsz Jakab Username: gipsz 4. Password: c29j5s777 Saját GPO gpupdate VPC additions telepítése Z: legyen C:\Downloads 14
5. C:\Profiles\gipsz mappára Rendszergazda és gipsz kap teljes jogot, ha lesz Roaming Profile (vándorló profil) C:\Home\gipsz mappára Rendszergazda és gipsz kap teljes jogot, hiszen hálózati mappája mindenkinek lesz vélhetőleg Most vándorol a profil és H: betűjellel a user látja a hálózati mappáját 15
6. A C:\Profiles megosztásakor ügyelni kell arra, hogy a Megosztás/Gyorsítótár beállítása A megosztáson lévő fájlok és programok nem lesznek elérhetők kapcsolat nélkül legyen! Máskülönben a profil sérülhet hálózati hibák során Roaming Profile = rettenetesen nagy hálózati forgalom belépéskor és kilépéskor 16
Kliens konfigurálás: Windows XP SP2 A kliens felvétele a tartományba Csoportházirend ellenőrzése Cmd gpresult 1. VPC additions telepítése Z: legyen C:\Downloads (VMAdditions.iso) Megosztott mappa ellenőrzése: HOST, Vserver, Vclient hozzáférhet 17
7. Netlogon gipsz.cmd létrehozása Mi történjen, ha gipsz belép? (notepad.exe) Nem mondhat ellen az eredő házirendnek Ha program futtatását írjuk elő azt a GPO is teheti, nem kell gipsz.cmd! (bár az hasznos!) Felhasználó konfigurációja / Felügyeleti sablonok / Rendszer / Bejelentkezés / Felhaználó bejelentkezésekor futtatandó programok / iexplore.exe 18
GPO beállítások 1. 8. Felhasználó konfigurációja / Felügyeleti sablonok / Vezérlőpult / Képernyő / Tapéta megváltoztatásának megakadályozása + A Megjelenés és témák lap elrejtése + A Beállítások lap elrejtése 19
GPO beállítások 2. 9. Felhasználó konfigurációja / Felügyeleti sablonok / Vezérlőpult / Képernyő / Asztal témák / Adott vizuális stílusfájl betöltése vagy a Klasszikus Windows kikényszerítése Egységesítés -> hatékonyabb munka 20
10. GPO beállítások 3. Számítógép konfigurációja / Felügyeleti sablonok / Rendszer / Bejelentkezés / A számítógép indításakor és bejelentkezéskor mindig várjon a hálózatra Nagyon fontos! Egyébként nem a tartományvezérlő léptet be, hanem a helyi jelszó CACHE-ben tárolt név/jelszó kerül ellenőrzésre, azt a hamis látszatot keltve, hogy a tartományvezérlőre léptem be!!! 21
11. Mandatory Profile (rosszul és jól) Számítógép konfigurációja / Felügyeleti sablonok / Rendszer / Felhasználói profilok / A központi profilban végzett módosítások kiszolgálóhoz való továbbításának megakadályozása (ez önmagában nem szokott elégségesnek tűnni) Vagy ntuser.dat -> ntuser.man legyen, azaz Mandatory Profile (ez meg jó, ha előtte mentünk mindent) Akarjuk ezt????? 22
12. Roaming Profile (Ntuser.dat) Mielőtt átneveznénk, mentsünk mindent a profilból, mert visszanevezni nem lesz elég, hogy újra ROAMING PROFILE legyen! ntuser.dat -> ntuser.man Nem ajánlom ezt az eljárást 23
GPO beállítások 4. 13. Számítógép konfigurációja / Felügyeleti sablonok / Rendszer / Felhasználói profilok / Csak helyi felhasználói profilok engedélyezése És ezt akarjuk????? Ugyan csökken a hálózati forgalom, de nő az adatvesztés esélye 24
14. Most akkor Roaming Profile vagy Mandatory Profile vagy Local Profile nyert csatát? Nem tudom Prioritások legyenek: Biztonság > Hálózati sebesség > Szerver kötet terhelése Hálózati sebesség > Biztonság > Szerver kötet terhelése Szerver kötet terhelése > Biztonság > Hálózati sebesség És folytathatnánk 25
GPO beállítások 5. 15. Akarunk távoli telepítéseket? Számítógép konfigurációja / Felügyeleti sablonok / Rendszer / Felhasználói profilok / A Windows Installer és a Csoportházirend alapú szoftvertelepítési adatok megőrzése 26
16. MSI csinálás gyorsan (csak példa!) Pl. Paint.NET rajzolóprogram http://www.getpaint.net/download.html Hogyan lesz belőle MSI: http://www.getpaint.net/doc/latest/en/unatt endedinstallation.html Persze ezt a programot erre a fejlesztők felkészítették 27
17. És a telepítés akár sikerülhetett is volna, ha a gépen lett volna.net keretrendszer, de nem volt Viszont érdemes belenézni a logba! Nem súlyos?! Akkor milyen? 28
18. MSI telepítés jól: Legyen a Vserver megosztott mappája a C:\Downloads pl. a Downloads megosztási névvel Abban legyen a 7z457.MSI fájl A gpmc-ben végezzük el a: Számítógép konfigurációja / Szoftver beállítások / Szoftver telepítése / Új / Csomag / \\Vserver\Downloads\7z457.MSI speciális telepítésre való beállítást A kliens OS indulásakor települni fog 29
19. Lemezkvóta helyi És tartományi 30
20. Time szerver beállítások 31
21. Új szervezeti egységek (OU) létrehozása Amelyik OU ikonja nem könyv, az valójában nem is OU 32
22. Új szervezeti egységek (OU) létrehozása Három új szervezeti egységünk lett Organizational Unit célja a strukturáltság és átláthatóság 33
23. 34
24. Parancssori műveletek: tömeges felhasználó-létrehozás dsadd user "cn=test User,ou=Gazdasagi_iroda,dc=vdomain,dc =hu" -samid testuser -upn testuser@vdomain.hu -fn Test -ln User - display "Test User" -pwd P@ssw0rd - disabled no 35
(25.) 36
(26.) DC, Domain Component, tartományösszetevő. A tartományunk nevét adjuk meg ezzel a kulcsszóval, mégpedig úgy, hogy a tartomány DNS nevét tagonként felcímkézzük. Azaz ha a tartomány neve kukutyin.hu, akkor az X.500 útvonal így fest: DC=kukutyin,DC=hu. A DNS név és a DC hasonló felépítése nem véletlen, ez a szócska az átjáró az X.500 és a DNS világ között. Ha ugyanis címtárhozzáférésünk során nem adunk meg kiszolgálónevet (ahogy a fenti példában sem), akkor a Windows a DC összetevők visszafejtése révén nyert DNS tartománynév alapján keresi meg a célba vett domain-t mégpedig DNS lekérdezéssel! 37
(27.) Az LDAP a Lightweight Directory Access Protocol rövidítése. Az X.500-ra alapulva átfogja annak a legtöbb fő funkcióját, de hiányzik belőle néhány olyan titokzatos funkció, amivel az X.500 rendelkezik. Mi ez a X.500 (pl. Novell Netware 4 NDS) és miért van LDAP (pl. MS AD)? Az X.500 egy modell a könyvtár-szolgáltatásokra az OSI definíciója szerint. Ez tartalmaz névterület-definíciókat és protokollokat a lekérdezésekhez és a könyvtárak frissítéséhez. Az X.500-at azonban sok szituációban túlzásnak találták. Nézzünk bele az LDAP-ba. Az X.500-hoz hasonlóan biztosítja az adat/névterület modelleket a könyvtárakhoz és egy protokollt is. Ellenben az LDAP úgy lett tervezve, hogy közvetlenül a TCP/IP verem felett fusson. Tekints úgy az LDAP-ra, mint az X.500 karcsúsított változatára. 38
(28.) OU, Organizational Unit, szervezeti egység. A tartomány belső hierarchiájának leírására való. Ha egymásba ágyazott szervezeti egységeink vannak, azokra így tudunk hivatkozni: OU=legalul,OU=középen,OU=legfelül. Érdekes jelenség, hogy az Active Directory telepítésekor megjelenő tárolók többsége nem OU, nem valódi, hanem álkonténer, így nem OU-ként hivatkozunk majd rájuk, hanem CN-nel. Az alábbi ábrán egy tartomány alapértelmezett, és utólag létrehozott konténereit láthatjuk. A valódi OU-k ikonja könyvecskés, az álkonténereké sima sárga. 39
(29.) 40
(30.) CN, Common Name, objektumnév. Ez a szócska az úgynevezett Relative Distinguished Name megjelölésére szolgál. Ezzel azonosítjuk az objektumokat (CN=Kis Pista, CN=Senki Alfonz stb.). Az Active Directoryban felhasználók és egyéb hétköznapi objektumok mellett rendszeradatokat is találunk (CN=Configuration, CN=Schema és így tovább), ezeken túlmenően az álkonténereket is hasonlóan címezzük (CN=Users, CN=Computers stb.). 41
(31.) 42
(32.) 43