IVV Naturwissenschaften IV der Fachbereiche Biologie Chemie Physik Westfälische Wilhelms-Universität Münster Einführung in die Administration von Rechnern in der IVV SS 2006 Installation und Konfiguration von Windows Servern Sicherer Betrieb von Arbeitsgruppen-Servern als Member-Server in NWZnet 11-MAY-2006 Heinz-Hermann Adam (adamh@nwz.uni-muenster.de) 1 Agenda Unterschiede und Einsatzgebiete von Windows Server gegen über der Professional Version Installation Konfiguration Fileserver Printserver Terminalserver Management und was dazu gehört 2 www.uni-muenster.de/ivvnwz 1
Unterschiede Features auf Windows Server Unterstützt mehr als 10 gleichzeitige Clienten File- und Druckershares Webserver Unterstützung für Nicht-Windows Clients File and Print Services for Macintosh (SFM) Terminalservices 3 Installation Demo 4 www.uni-muenster.de/ivvnwz 2
Vorbereitung Separate OU für Server im Active Directory Spezielle Policy für Server SUS Zugriffsrechte Terminal Server Firewall (z.b. Datei- und Druckerfreigabe) Spezielles Installationsmedium Angepaßte Select-CD Setupprozess vom Hersteller, z.b. Compaq/HP SmartStart 5 Voraussetzungen Speicher Wichtig für viele, gleichzeitige Verbindungen Serverbasierte Anwendungen CPU Wichtig für performanten Fileservice UND Virenschutz Festplatte System und Daten trennen Ausfallsicherheit durch RAID Hardware (SCSI, IDE) Software 6 www.uni-muenster.de/ivvnwz 3
Lizenzierung Client Access License (CAL) berechtigt zum Zugriff auf Windows Server File Shares Drucker Shares Zwei Modi Per Device/User Jeder Client hat eine eigene Lizenz, die ihn zum Zugriff auf beliebig viele Windows Server berechtigt Per Server Jeder Server hat eine bestimmte Anzahl von Lizenzen, die von beliebigen Clients benutzt werden können 7 Lizenzierung 8 www.uni-muenster.de/ivvnwz 4
Firewall Konfiguration Seit SP 1 wird die Firewall bereits während der Installation aktiviert Keinerlei Netzwerkverkehr außer DHCP DNS Windows Update Nach der Installation Laden der Updates von Windowsupdate Konfiguration der Automatic Updates Aktivieren des Netzzugriffes von Außen 9 Firewall Konfiguration Ausnahme Server wird während der Installation Mitglied der Domäne Gruppenrichtlinien konfigurieren Firewall Automatic Updates 10 www.uni-muenster.de/ivvnwz 5
Konfiguration Server Roles: Manage Your Server-Wizard File Server Print Server Terminal Server Weitergehende Dienste: Control Panel, Add/Remove Programs File Services für Macintosh Print Services für Macintosh Print Services für Unix 11 Zugriffsrechte - Arten Freigaben Zugriff auf Ressourcen eines Servers Es gilt immer die Summe der gewährten Zugriffsrechte Ausnahme: Kein Zugriff Rechte treffen auf alle in der Freigabe enthaltene Objekte zu Dateisystem Zugriffsrechte auf Verzeichnisse und Dateien Es gilt immer die Summe der gewährten Zugriffsrechte Ausnahme: Kein Zugriff Rechte können für jedes Objekt im Dateisystem individuell gesetzt werden 12 www.uni-muenster.de/ivvnwz 6
Freigaben - Problem Ziel Benutzer haben auf einer Freigabe das Recht Dateien zu Erstellen, zu Ändern und zu Löschen Im Verzeichnis Handbuch sollen sie aber nur Lesen dürfen Ist Benutzer dürfen alles in der Freigabe ändern Die Struktur ist unsicher Benutzer: Ändern Freigabe Benutzer: Ändern Öffentlich Benutzer: Lesen Handbuch Benutzer: Ändern 14 Kombination von Freigabe und Dateisystem Kombination der Rechte auf Freigabe und Dateisystem Die geringsten Rechte auf Freigabe und Dateisystem gelten Lösung des Problem Benutzer haben auf der Freigabe das Recht Dateien zu Erstellen, zu Ändern und zu Löschen Im Verzeichnis Handbuch haben Sie auf dem Dateisystem das Recht zu Lesen Benutzer: Ändern Freigabe Benutzer: Ändern Öffentlich Benutzer: Lesen Handbuch 15 www.uni-muenster.de/ivvnwz 7
Zugriffsrechte Freigabe-Berechtigungen Gelten für alle Verzeichnisse und Dateien in der Freigabe Sind mehrere Berechtigungen vergeben, so gilt immer die Summe aller Rechte Ausnahme: Kein Zugriff (No Access) 16 Zugriffsrechte Dateisystem-Berechtigungen Können für Verzeichnisse und darin enthaltene Datei separat festgelegt werden Sind mehrere Berechtigungen vergeben, so gilt immer die Summe aller Rechte Ausnahme: Kein Zugriff (No Access) Kombination von Freigabe- und Dateisystem-Berechtigungen Die strengste Beschränkung gilt 17 www.uni-muenster.de/ivvnwz 8
Gruppen Sind eine Menge von Benutzern Werden verwendet, um Benutzer nach beliebigen Kriterien zu organisieren Z.B. Arbeitsgruppe, Zugriffsrechte Zwei Arten Lokale Gruppen Globale Gruppen 18 Lokale Gruppen Bestehen aus Benutzern Globalen Gruppen Nur auf dem jeweiligen Computer definiert, auf dem sie eingerichtet wurden Ausnahme Domain-Controller Domain-Controller 19 www.uni-muenster.de/ivvnwz 9
Lokale Gruppen Werden verwendet, um Zugriffsrechte zu zuweisen Statt für jeden Benutzer einzeln die Zugriffsrechte zu vergeben N * Zugriffsrechte Werden die Zugriffsrechte einer Gruppe zugewiesen Die Benutzer werden der Gruppe zugeordnet, um Zugriff zu erhalten Freigabe 20 Globale Gruppen Können Benutzer oder andere globale Gruppen der selben Domäne enthalten Werden zur Rechtevergabe lokalen Gruppen der eigenen oder einer vertrauten Domäne (z.b. Domäne im Active Directory) hinzugefügt adamh p0zierau 21 www.uni-muenster.de/ivvnwz 10
Beispiel - Druckerfreigabe Drucker an einem Computer (Server) soll im Netz bereitgestellt werden Lokale Gruppe für Druckerzugriff Druckerfreigabe mit Zugriff für lokale Gruppe Berechtigte globale Gruppen und Benutzer in lokale Gruppe eintragen 22 Gruppen Gruppen Sind eine Menge von Nutzern Gruppen Vereinfachen die Verwaltung von Zugriffsrechten Lokale Gruppen Existieren nur auf dem jeweiligen Server Erhalten Zugriffsrechte auf Freigaben und Dateisystem 23 www.uni-muenster.de/ivvnwz 11
Gruppen Globale Gruppen Existieren in der Domäne und sind allen Rechnern der Domäne bekannt Können nur vom Domänen- Adminstrator erzeugt werden Verwalten Accounts von Domänen- Benutzern Werden lokalen Gruppen hinzugefügt, um Benutzern Zugriffsrechte zu erteilen 24 Anbieten von Diensten Vorbereitung Firewall Konfiguration Beispiele für Dienste Fileserver Printserver Terminalserver Demos 25 www.uni-muenster.de/ivvnwz 12
Firewall Konfiguration Pre-Staging.msc Server- OU Gruppenrichtlinie Computer Configuration Administrative Templates Network Network Connections Windows Firewall Domain Profile Windows Firewall: Allow remote administration exception Allow file and printer sharing exception Allow Remote Desktop exception 26 Beispielkonfiguration: Datei- und Druckerfreigabe IP-Adressen die Zugriff haben sollen Kommaseparierte Liste von * Alle haben Zugriff Kein Schutz, unsicher localsubnet Rechner aus dem selben Subnetz haben Zugriff Adressen oder Subnetzen, z. B. 128.176.xxx.xxx 128.176.xxx.xxx/255.255.xxx.xxx Standardmäßig enthalten sein sollte 128.176.197.0/255.255.255.224 IVV-4 Systemmanagement Subnetz 27 www.uni-muenster.de/ivvnwz 13
File Server Print Server Roles Demo 28 Configure File Server ❶ ❷ ❸ ❹ 29 www.uni-muenster.de/ivvnwz 14
Configure File Server ❺ ❻ ❼ ❽ 30 Configure File Server ❾ ❿ 31 www.uni-muenster.de/ivvnwz 15
Configure Print Server ❶ ❷ ❸ ❹ 32 Configure Print Server ❺ ❻ ❼ ❽ 33 www.uni-muenster.de/ivvnwz 16
Configure Print Server ❾ ❿ ❶❶ ❶❷ 34 Configure Print Server ❶❸ ❶❹ ❶❺ ❶❻ 35 www.uni-muenster.de/ivvnwz 17
Configure Print Server 36 Terminal Services Echtes Mehrbenutzer-Windowssystem Nicht für Remote Administration Stattdessen Remote Desktop for Administration Limitiert auf zwei gleichzeitige Verbindungen Erfordert keine weiteren Lizenzen 37 www.uni-muenster.de/ivvnwz 18
Terminal Services Standard Installation Erlaubt nur Benutzern, die Mitglied der lokalen Administratoren Gruppe sind Zugriff auf den Terminalserver Erfordert zusätzliche Terminalserver Client Access Licenses, die von einem speziellen Lizenzserver bereitgestellt und verwaltet werden müssen. Vorsicht Falle: Bis 120 Tage nach der Installation funktioniert der TS auch ohne Lizenzserver Konfiguration der Terminal Services Erlaubt Benutzern Zugriff auf den Terminalserver, um dort Programme auszuführen Lizenzserver im ZIV Wird im Active Directory automatisch gefunden Wenn nicht: wwuetc 38 Terminal Server Role Demo 39 www.uni-muenster.de/ivvnwz 19
Configure Terminal Server ❶ ❷ ❸ ❹ 40 Configure Terminal Server 41 www.uni-muenster.de/ivvnwz 20
Configure Terminal Server Control Panel Administrative Tools Local Security Settings Local Policies User Rights Assignment Allow log on through Terminal Services Computer Management System Tools Local Users and Groups Remote Desktop Users Domain Users p/q/r0 NWZnet-Terminal Server Group Policy Siehe auch NWZnet-Operators Manual 42 N:\Info\NWZnet\Windows\Operator\NWZnet-Operators Manual.pdf Virenschutz On-Access Überwachung der ein- und ausgehenden Dateien in Echtzeit On-Demand Prüfung von Dateien auf Anforderung oder zu bestimmten Zeiten (Off-hours) Service-/Applikationsspezifisch Entlastung des Systems, wenn sichere Applikationen auf Dateien zugreifen z.b. Backup 43 www.uni-muenster.de/ivvnwz 21
Virenschutz Network Associates McAfee VirusScan Enterprise leistet diese drei Basis-Dienste Ausserdem notwendig Schutz vor Trojanern Ausspähen von Passwörtern Remotezugriff von Unbefugten Nur unzureichend durch VirusScan abgedeckt Weitere Software notwendig Ewido STAT Fragen zur Sicherheit? Kontaktieren Sie Herrn Weil oder Herrn Strathoff 44 Backup Datensicherung System Je nach Verfügbarkeitsanforderung Imagebackup Emergency Restore Lösung Daten Backupplan aus kompletter und inkrementeller Sicherung Hardware Lokal (Streamer: DAT, Exabyte, DLT, LTO ) Backupserver (TSM) 45 www.uni-muenster.de/ivvnwz 22
Zusammenfassung Windows Server vs. Windows Professional Installation und spezielle Dienste Lizenzierung Terminalserver Freigabe von Ressourcen Freigabeberechtigungen NTFS-Berechtigungen Sicherer Betrieb beinhaltet Zugriffschutz auf Server- Freigabe- Dateisystemebene Datenintegrität Virenschutz Systemschutz Datensicherung Gegen Hardwaredefekt Gegen menschliches Versagen 46 Q & A Fragen und Antworten NWZnet.uni-muenster.de 47 www.uni-muenster.de/ivvnwz 23