IVV Naturwissenschaften IV der Fachbereiche Biologie Chemie Physik Westfälische Wilhelms-Universität Münster Einführung für Administratoren im SS 2005 Installation und Konfiguration von Windows Servern Sicherer Betrieb von Arbeitsgruppen-Servern als Member-Server in NWZnet 09-JUN-2005 Heinz-Hermann Adam (adamh@nwz.uni-muenster.de) 1 New dates Termin 21-APR-2005 28-APR-2005 12-MAY-2005 02-JUN-2005 09-JUN-2005 16-JUN-2005 23-JUN-2005 30-JUN-2005 07-JUL-2005 14-JUL-2005 21-JUL-2005 Ausblick auf die Veranstaltungsreihe Thema IVV Naturwissenschaften und NWZnet Überblick und Konzepte (nicht nur für Windows-Administratoren) Arbeitsgruppenadministration mit NWZnet Organizational Units (OUs) und Group Policy Objects (GPOs) Installation von NWZnet Windows-Clients Erzeugen und Verteilen von Referenzinstallationen mit SysPrep-Images und Symantec Ghost Installation und Konfiguration von Windows Servern Sicherheit Teil I: Windows Sicherheit Teil II: Linux Linux Active Directory-Integration Linux ZIV Unix-Integration mit DCE/DFS NWZnet-Fileserver mit Linux und SaMBa Einrichten eines NWZnet-Arbeitsplatzes als GRID-Rechner für MORFEUS 2 www.uni-muenster.de/ivvnwz 1
Agenda Unterschiede und Einsatzgebiete von Windows Server gegen über der Professional Version Installation Konfiguration Fileserver Printserver Terminalserver Management und was dazu gehört Zusammenfassung 3 Unterschiede Features auf Windows Server Unterstützt mehr als 10 gleichzeitige Clienten File- und Druckershares Webserver Unterstützung für Nicht-Windows Clients File and Print Services for Macintosh (SFM) Terminalservices 4 www.uni-muenster.de/ivvnwz 2
Installation Demo 5 Vorbereitung Separate OU für Server im Active Directory Spezielle Policy für Server SUS Zugriffsrechte Terminal Server Spezielles Installationsmedium Angepaßte Select-CD Setupprozess vom Hersteller, z.b. Compaq/HP SmartStart 6 www.uni-muenster.de/ivvnwz 3
Voraussetzungen Speicher Wichtig für viele, gleichzeitige Verbindungen Serverbasierte Anwendungen CPU Wichtig für performanten Fileservice UND Virenschutz Festplatte System und Daten trennen Ausfallsicherheit durch RAID Hardware (SCSI, IDE) Software 7 Lizenzierung Client Access License (CAL) berechtigt zum Zugriff auf Windows Server File Shares Drucker Shares Zwei Modi Per Device/User Jeder Client hat eine eigene Lizenz, die ihn zum Zugriff auf beliebig viele Windows Server berechtigt Per Server Jeder Server hat eine bestimmte Anzahl von Lizenzen, die von beliebigen Clients benutzt werden können 8 www.uni-muenster.de/ivvnwz 4
Lizenzierung 9 Firewall Konfiguration Seit SP 1 wird die Firewall bereits während der Installation aktiviert Keinerlei Netzwerkverkehr außer DHCP DNS Windows Update Nach der Installation Laden der Updates von Windowsupdate Konfiguration der Automatic Updates Aktivieren des Netzzugriffes von Außen 10 www.uni-muenster.de/ivvnwz 5
Firewall Konfiguration Ausnahme Server wird während der Installation Mitglied der Domäne Gruppenrichtlinien konfigurieren Firewall Automatic Updates 11 Konfiguration Server Roles: Manage Your Server-Wizard File Server Print Server Terminal Server Weitergehende Dienste: Control Panel, Add/Remove Programs File Services für Macintosh Print Services für Macintosh Print Services für Unix 12 www.uni-muenster.de/ivvnwz 6
Zugriffsrechte - Arten Freigaben Zugriff auf Ressourcen eines Servers Es gilt immer die Summe der gewährten Zugriffsrechte Ausnahme: Kein Zugriff Rechte treffen auf alle in der Freigabe enthaltene Objekte zu Dateisystem Zugriffsrechte auf Verzeichnisse und Dateien Es gilt immer die Summe der gewährten Zugriffsrechte Ausnahme: Kein Zugriff Rechte können für jedes Objekt im Dateisystem individuell gesetzt werden 13 Freigaben - Problem Ziel Benutzer haben auf einer Freigabe das Recht Dateien zu Erstellen, zu Ändern und zu Löschen Im Verzeichnis Handbuch sollen sie aber nur Lesen dürfen Ist Benutzer dürfen alles in der Freigabe ändern Die Struktur ist unsicher Benutzer: Ändern Freigabe Benutzer: Ändern Öffentlich Benutzer: Lesen Handbuch Benutzer: Ändern 15 www.uni-muenster.de/ivvnwz 7
Kombination von Freigabe und Dateisystem Kombination der Rechte auf Freigabe und Dateisystem Die geringsten Rechte auf Freigabe und Dateisystem gelten Lösung des Problem Benutzer haben auf der Freigabe das Recht Dateien zu Erstellen, zu Ändern und zu Löschen Im Verzeichnis Handbuch haben Sie auf dem Dateisystem das Recht zu Lesen Benutzer: Ändern Freigabe Benutzer: Ändern Öffentlich Benutzer: Lesen Handbuch 16 Zugriffsrechte Freigabe-Berechtigungen Gelten für alle Verzeichnisse und Dateien in der Freigabe Sind mehrere Berechtigungen vergeben, so gilt immer die Summe aller Rechte Ausnahme: Kein Zugriff (No Access) 17 www.uni-muenster.de/ivvnwz 8
Zugriffsrechte Dateisystem-Berechtigungen Können für Verzeichnisse und darin enthaltene Datei separat festgelegt werden Sind mehrere Berechtigungen vergeben, so gilt immer die Summe aller Rechte Ausnahme: Kein Zugriff (No Access) Kombination von Freigabe- und Dateisystem-Berechtigungen Die strengste Beschränkung gilt 18 Gruppen Sind eine Menge von Benutzern Werden verwendet, um Benutzer nach beliebigen Kriterien zu organisieren Z.B. Arbeitsgruppe, Zugriffsrechte Zwei Arten Lokale Gruppen Globale Gruppen 19 www.uni-muenster.de/ivvnwz 9
Lokale Gruppen Bestehen aus Benutzern Globalen Gruppen Nur auf dem jeweiligen Computer definiert, auf dem sie eingerichtet wurden Ausnahme Domain-Controller Domain-Controller 20 Lokale Gruppen Werden verwendet, um Zugriffsrechte zu zuweisen Statt für jeden Benutzer einzeln die Zugriffsrechte zu vergeben N * Zugriffsrechte Werden die Zugriffsrechte einer Gruppe zugewiesen Die Benutzer werden der Gruppe zugeordnet, um Zugriff zu erhalten Freigabe 21 www.uni-muenster.de/ivvnwz 10
Globale Gruppen Können Benutzer oder andere globale Gruppen der selben Domäne enthalten Werden zur Rechtevergabe lokalen Gruppen der eigenen oder einer vertrauten Domäne (z.b. Domäne im Active Directory) hinzugefügt adamh p0zierau 22 Beispiel - Druckerfreigabe Drucker an einem Computer (Server) soll im Netz bereitgestellt werden Lokale Gruppe für Druckerzugriff Druckerfreigabe mit Zugriff für lokale Gruppe Berechtigte globale Gruppen und Benutzer in lokale Gruppe eintragen 23 www.uni-muenster.de/ivvnwz 11
Gruppen Gruppen Sind eine Menge von Nutzern Gruppen Vereinfachen die Verwaltung von Zugriffsrechten Lokale Gruppen Existieren nur auf dem jeweiligen Server Erhalten Zugriffsrechte auf Freigaben und Dateisystem 24 Gruppen Globale Gruppen Existieren in der Domäne und sind allen Rechnern der Domäne bekannt Können nur vom Domänen- Adminstrator erzeugt werden Verwalten Accounts von Domänen- Benutzern Werden lokalen Gruppen hinzugefügt, um Benutzern Zugriffsrechte zu erteilen 25 www.uni-muenster.de/ivvnwz 12
File Server Print Server Roles Demo 26 Configure File Server ❶ ❷ ❸ ❹ 27 www.uni-muenster.de/ivvnwz 13
Configure File Server ❺ ❻ ❼ ❽ 28 Configure File Server ❾ ❿ 29 www.uni-muenster.de/ivvnwz 14
Configure Print Server ❶ ❷ ❸ ❹ 30 Configure Print Server ❺ ❻ ❼ ❽ 31 www.uni-muenster.de/ivvnwz 15
Configure Print Server ❾ ❿ ❶❶ ❶❷ 32 Configure Print Server ❶❸ ❶❹ ❶❺ ❶❻ 33 www.uni-muenster.de/ivvnwz 16
Configure Print Server 34 Terminal Services Echtes Mehrbenutzer-Windowssystem Nicht für Remote Administration Stattdessen Remote Desktop for Administration Limitiert auf zwei gleichzeitige Verbindungen Erfordert keine weiteren Lizenzen 35 www.uni-muenster.de/ivvnwz 17
Terminal Services Standard Installation Erlaubt nur Benutzern, die Mitglied der lokalen Administratoren Gruppe sind Zugriff auf den Terminalserver Erfordert zusätzliche Terminalserver Client Access Licenses, die von einem speziellen Lizenzserver bereitgestellt und verwaltet werden müssen. Vorsicht Falle: Bis 120 Tage nach der Installation funktioniert der TS auch ohne Lizenzserver Konfiguration der Terminal Services Erlaubt Benutzern Zugriff auf den Terminalserver, um dort Programme auszuführen Lizenzserver im ZIV Wird im Active Directory automatisch gefunden Wenn nicht: wwuetc 36 Terminal Server Role Demo 37 www.uni-muenster.de/ivvnwz 18
Configure Terminal Server ❶ ❷ ❸ ❹ 38 Configure Terminal Server 39 www.uni-muenster.de/ivvnwz 19
Configure Terminal Server Control Panel Administrative Tools Local Security Settings Local Policies User Rights Assignment Allow log on through Terminal Services Computer Management System Tools Local Users and Groups Remote Desktop Users Domain Users p/q/r0 NWZnet-Terminal Server Group Policy Siehe auch NWZnet-Operators Manual 40 N:\Info\NWZnet\Windows\Operator\NWZnet-Operators Manual.pdf Virenschutz On-Access Überwachung der ein- und ausgehenden Dateien in Echtzeit On-Demand Prüfung von Dateien auf Anforderung oder zu bestimmten Zeiten (Off-hours) Service-/Applikationsspezifisch Entlastung des Systems, wenn sichere Applikationen auf Dateien zugreifen z.b. Backup 41 www.uni-muenster.de/ivvnwz 20
Virenschutz Network Associates McAfee VirusScan Enterprise leistet diese drei Basis-Dienste Ausserdem notwendig Schutz vor Trojanern Ausspähen von Passwörtern Remotezugriff von Unbefugten Nur unzureichend durch VirusScan abgedeckt Weitere Software notwendig Anti-Trojan TDS STAT Fragen zur Sicherheit? Kontaktieren Sie Herrn Strathoff oder Herrn Weil 42 Backup Datensicherung System Je nach Verfügbarkeitsanforderung Imagebackup Emergency Restore Lösung Daten Backupplan aus kompletter und inkrementeller Sicherung Hardware Lokal (Streamer: DAT, Exabyte, DLT, LTO ) Backupserver (TSM) 43 www.uni-muenster.de/ivvnwz 21
Zusammenfassung Windows Server vs. Windows Professional Installation und spezielle Dienste Lizenzierung Terminalserver Freigabe von Ressourcen Freigabeberechtigungen NTFS-Berechtigungen Sicherer Betrieb beinhaltet Zugriffschutz auf Server- Freigabe- Dateisystemebene Datenintegrität Virenschutz Systemschutz Datensicherung Gegen Hardwaredefekt Gegen menschliches Versagen 44 Q & A Fragen und Antworten NWZnet.uni-muenster.de 45 www.uni-muenster.de/ivvnwz 22