IVV Naturwissenschaften IV der Fachbereiche Biologie Chemie Physik Westfälische Wilhelms-Universität Münster Einführung für Administratoren im WS Installation und Konfiguration von Windows Servern Sicherer Betrieb von Arbeitsgruppen-Servern als Member-Server in NWZnet 16-DEC-2004 Heinz-Hermann Adam (adamh@nwz.uni-muenster.de) 1 Ausblick auf die Veranstaltungsreihe Termin 11-NOV-2004 18-NOV-2004 25-NOV-2004 02-DEC-2004 09-DEC-2004 16-DEC-2004 13-JAN-2004 20-JAN-2004 Thema IVV Naturwissenschaften und NWZnet Überblick und Konzepte (nicht nur für Windows-Administratoren) Arbeitsgruppenadministration mit NWZnet Organizational Units (OUs) und Group Policy Objects (GPOs) Installation von NWZnet Windows-Clients Erzeugen und Verteilen von Referenzinstallationen mit SysPrep-Images und Symantec Ghost Serverbasierte Installation von Software mit VMware und Admin Studio Installation und Konfiguration von Windows Servern Linux in NWZnet Benutzung von tragbaren Computern unter Windows in NWZnet www.uni-muenster.de/ivvnwz 1
Agenda Unterschiede und Einsatzgebiete von Windows Server gegen über der Professional Version Installation Konfiguration Fileserver Printserver Terminalserver Management und was dazu gehört Zusammenfassung Unterschiede Features auf Windows Server Unterstützt mehr als 10 gleichzeitige Clienten File- und Druckershares Webserver Unterstützung für Nicht-Windows Clients File and Print Services for Macintosh (SFM) Terminalservices www.uni-muenster.de/ivvnwz 2
Installation Demo Vorbereitung Separate OU für Server im Active Directory Spezielle Policy für Server SUS Zugriffsrechte Terminal Server Spezielles Installationsmedium Angepaßte Select-CD Setupprozess vom Hersteller, z.b. Compaq/HP SmartStart www.uni-muenster.de/ivvnwz 3
Voraussetzungen Speicher Wichtig für viele, gleichzeitige Verbindungen Serverbasierte Anwendungen CPU Wichtig für performanten Fileservice UND Virenschutz Festplatte System und Daten trennen Ausfallsicherheit durch RAID Hardware (SCSI, IDE) Software Lizenzierung Client Access License (CAL) berechtigt zum Zugriff auf Windows Server File Shares Drucker Shares Zwei Modi Per Device/User Jeder Client hat eine eigene Lizenz, die ihn zum Zugriff auf beliebig viele Windows Server berechtigt Per Server Jeder Server hat eine bestimmte Anzahl von Lizenzen, die von beliebigen Clients benutzt werden können www.uni-muenster.de/ivvnwz 4
Lizenzierung Integrierte Hotfixes Wichtige Hotfixes wurden in das Installationsmedium (Select-CD) integriert Austausch der zur Installation gehörigen Dateien durch gepatchte Versionen Unattended Installation von Hotfixes während bzw. nach der Betriebssysteminstallation www.uni-muenster.de/ivvnwz 5
Konfiguration Server Roles: Manage Your Server-Wizard File Server Print Server Terminal Server Weitergehende Dienste: Control Panel, Add/Remove Programs File Services für Macintosh Print Services für Macintosh Print Services für Unix Zugriffsrechte - Arten Freigaben Zugriff auf Ressourcen eines Servers Es gilt immer die Summe der gewährten Zugriffsrechte Ausnahme: Kein Zugriff Rechte treffen auf alle in der Freigabe enthaltene Objekte zu Dateisystem Zugriffsrechte auf Verzeichnisse und Dateien Es gilt immer die Summe der gewährten Zugriffsrechte Ausnahme: Kein Zugriff Rechte können für jedes Objekt im Dateisystem individuell gesetzt werden www.uni-muenster.de/ivvnwz 6
Freigaben - Problem Ziel Benutzer haben auf einer Freigabe das Recht Dateien zu Erstellen, zu Ändern und zu Löschen Im Verzeichnis Handbuch sollen sie aber nur Lesen dürfen Ist Benutzer dürfen alles in der Freigabe ändern Die Struktur ist unsicher Benutzer: Ändern Freigabe Benutzer: Ändern Öffentlich Benutzer: Lesen Handbuch Benutzer: Ändern Kombination von Freigabe und Dateisystem Kombination der Rechte auf Freigabe und Dateisystem Die geringsten Rechte auf Freigabe und Dateisystem gelten Lösung des Problem Benutzer haben auf der Freigabe das Recht Dateien zu Erstellen, zu Ändern und zu Löschen Im Verzeichnis Handbuch haben Sie auf dem Dateisystem das Recht zu Lesen Benutzer: Ändern Freigabe Benutzer: Ändern Öffentlich Benutzer: Lesen Handbuch www.uni-muenster.de/ivvnwz 7
Zugriffsrechte Freigabe-Berechtigungen Gelten für alle Verzeichnisse und Dateien in der Freigabe Sind mehrere Berechtigungen vergeben, so gilt immer die Summe aller Rechte Ausnahme: Kein Zugriff (No Access) Zugriffsrechte Dateisystem-Berechtigungen Können für Verzeichnisse und darin enthaltene Datei separat festgelegt werden Sind mehrere Berechtigungen vergeben, so gilt immer die Summe aller Rechte Ausnahme: Kein Zugriff (No Access) Kombination von Freigabe- und Dateisystem-Berechtigungen Die strengste Beschränkung gilt www.uni-muenster.de/ivvnwz 8
Gruppen Sind eine Menge von Benutzern Werden verwendet, um Benutzer nach beliebigen Kriterien zu organisieren Z.B. Arbeitsgruppe, Zugriffsrechte Zwei Arten Lokale Gruppen Globale Gruppen Lokale Gruppen Bestehen aus Benutzern Globalen Gruppen Nur auf dem jeweiligen Computer definiert, auf dem sie eingerichtet wurden Ausnahme Domain-Controller Domain-Controller www.uni-muenster.de/ivvnwz 9
Lokale Gruppen Werden verwendet, um Zugriffsrechte zu zuweisen Statt für jeden Benutzer einzeln die Zugriffsrechte zu vergeben N * Zugriffsrechte Werden die Zugriffsrechte einer Gruppe zugewiesen Die Benutzer werden der Gruppe zugeordnet, um Zugriff zu erhalten Freigabe Globale Gruppen Können Benutzer oder andere globale Gruppen der selben Domäne enthalten Werden zur Rechtevergabe lokalen Gruppen der eigenen oder einer vertrauten Domäne (z.b. Domäne im Active Directory) hinzugefügt adamh p0zierau www.uni-muenster.de/ivvnwz 10
Beispiel - Druckerfreigabe Drucker an einem Computer (Server) soll im Netz bereitgestellt werden Lokale Gruppe für Druckerzugriff Druckerfreigabe mit Zugriff für lokale Gruppe Berechtigte globale Gruppen und Benutzer in lokale Gruppe eintragen Gruppen Gruppen Sind eine Menge von Nutzern Gruppen Vereinfachen die Verwaltung von Zugriffsrechten Lokale Gruppen Existieren nur auf dem jeweiligen Server Erhalten Zugriffsrechte auf Freigaben und Dateisystem www.uni-muenster.de/ivvnwz 11
Gruppen Globale Gruppen Existieren in der Domäne und sind allen Rechnern der Domäne bekannt Können nur vom Domänen- Adminstrator erzeugt werden Verwalten Accounts von Domänen- Benutzern Werden lokalen Gruppen hinzugefügt, um Benutzern Zugriffsrechte zu erteilen File Server Print Server Roles Demo www.uni-muenster.de/ivvnwz 12
Configure File Server ❶ ❷ ❸ ❹ Configure File Server ❺ ❻ ❼ ❽ www.uni-muenster.de/ivvnwz 13
Configure File Server ❾ ❿ Configure Print Server ❶ ❷ ❸ ❹ www.uni-muenster.de/ivvnwz 14
Configure Print Server ❺ ❻ ❼ ❽ Configure Print Server ❾ ❿ ❶❶ ❶❷ www.uni-muenster.de/ivvnwz 15
Configure Print Server ❶❸ ❶❹ ❶❺ ❶❻ Configure Print Server www.uni-muenster.de/ivvnwz 16
Terminal Services Echtes Mehrbenutzer-Windowssystem Nicht für Remote Administration Stattdessen Remote Desktop for Administration Limitiert auf zwei gleichzeitige Verbindungen Erfordert keine weiteren Lizenzen Terminal Services Standard Installation Erlaubt nur Benutzern, die Mitglied der lokalen Administratoren Gruppe sind Zugriff auf den Terminalserver Erfordert zusätzliche Terminalserver Client Access Licenses, die von einem speziellen Lizenzserver bereitgestellt und verwaltet werden müssen. Vorsicht Falle: Bis 120 Tage nach der Installation funktioniert der TS auch ohne Lizenzserver Konfiguration der Terminal Services Erlaubt Benutzern Zugriff auf den Terminalserver, um dort Programme auszuführen Lizenzserver im ZIV wwusv1 wwusv2 www.uni-muenster.de/ivvnwz 17
Terminal Server Role Demo Configure Terminal Server ❶ ❷ ❸ ❹ www.uni-muenster.de/ivvnwz 18
Configure Terminal Server Configure Terminal Server Control Panel Administrative Tools Local Security Settings Local Policies User Rights Assignment Allow log on through Terminal Services Computer Management System Tools Local Users and Groups Remote Desktop Users Domain Users p/q/r0 NWZnet-Terminal Server Group Policy Siehe auch NWZnet-Operators Manual N:\Info\NWZnet\Windows\Operator\NWZnet-Operators Manual.pdf www.uni-muenster.de/ivvnwz 19
Virenschutz On-Access Überwachung der ein- und ausgehenden Dateien in Echtzeit On-Demand Prüfung von Dateien auf Anforderung oder zu bestimmten Zeiten (Off-hours) Service-/Applikationsspezifisch Entlastung des Systems, wenn sichere Applikationen auf Dateien zugreifen z.b. Backup Virenschutz Network Associates McAfee VirusScan Enterprise leistet diese drei Basis-Dienste Ausserdem notwendig Schutz vor Trojanern Ausspähen von Passwörtern Remotezugriff von Unbefugten Nur unzureichend durch VirusScan abgedeckt Weitere Software notwendig Anti-Trojan TDS STAT Fragen zur Sicherheit? Kontaktieren Sie Herrn Strathoff oder Herrn Weil www.uni-muenster.de/ivvnwz 20
Backup Datensicherung System Je nach Verfügbarkeitsanforderung Imagebackup Emergency Restore Lösung Daten Backupplan aus kompletter und inkrementeller Sicherung Hardware Lokal (Streamer: DAT, Exabyte, DLT, LTO ) Backupserver (TSM) Zusammenfassung Windows Server vs. Windows Professional Installation und spezielle Dienste Lizenzierung Terminalserver Freigabe von Ressourcen Freigabeberechtigungen NTFS-Berechtigungen Sicherer Betrieb beinhaltet Zugriffschutz auf Server- Freigabe- Dateisystemebene Datenintegrität Virenschutz Systemschutz Datensicherung Gegen Hardwaredefekt Gegen menschliches Versagen www.uni-muenster.de/ivvnwz 21
Q & A Fragen und Antworten NWZnet.uni-muenster.de www.uni-muenster.de/ivvnwz 22