Tartalmi kivonat
Windows NT adminisztráció A tanterem szervezése Az ábrán bemutatott szervezése a gépeknek a tananyag elsajátításához ajánlott. Ez az elrendezés az alapja a tananyaghoz tartozó laborgyakorlatoknak is. • Az „Instructor” vagy tanári számítógépre Windows NT Workstation, Windows NT Server mint PDC van telepítve • A számítógáp neve \Instructor • Ez a számítógép a „Classroom” tartomány vezérlője • A diákok számítógépein Windows NT Server fut • A számítógépek neve Itx, ahol az x gépenként változik. • A számítógépek páronként vannak tartományokba, domain-ekbe szervezve, amely tartományokat UGTx nevekkel látunk el, ahol az x tartományonként változó szám. Ezek a tartományok „Trust” kapcsolatban állnak a „Classroom” tartománnyal. • A két számítógép közül az egyik mint elsődleges tartományvezérlő PDC, míg a másik mint tartalék tartományvezérlő BDC van telepítve. 1. Bevezetés a Windows NT
adminisztrálásba • • A Windows NT adminisztrálása magába foglalja: • a telepítés utáni tevékenységeket • és a naponta elvégzendő tevékenységeket Ezeket a tevékenységeket öt csoportba sorolhatjuk, ezek a következők: • Felhasználók és felhasználócsoportok fiókjainak (account) az adminisztrációja Magában foglalja a felhasználók és felhasználócsoportok tervezését, létrehozását és karbantartását, azért, hogy minden felhasználó be tudjon lépni a hálózatba és hozzáférhessen a számára szükséges erőforrásokhoz • Nyomtatók adminisztrációja. Helyi és hálózati nyomtatók telepítését beállítását és a nyomtatással kapcsolatos hibák elhárítását jelenti. Így a felhasználók gyorsan és könnyen kapcsolódhatnak a nyomtatókhoz és használhatják azokat. • Biztonsági adminisztráció. Házirendek (policy-k) tervezése és telepítése az adatok és a megosztott hálózati erőforrások file-ok, könyvtárak
és nyomtatók védelmére. • Hálózati események és erőforrások monitorizálása. Olyan házirendek tervezése és rendszerbe állítása amelyek lehetővé teszik hogy nyomon kövessük a hálózat erőforrásainak a használatát. • Adatok mentése és visszaállítása Az adatok mentésének tervezése, szervezése és végrehajtása tartozik ide és nagyon fontos az adatok védelme szempontjából. Ha jól terveztük a mentési stratégiánkat, gyorsan azonosíthatjuk adatainkat. majd visszaállíthatjuk sérült Windows NT adminisztrációs eszközök Az adminisztrációs eszközök egy része csak az NT Server, más része csak az NT Workstation része, de vannak közös, mindkét rendszerben megtalélható eszközök is. • Csak a Windows NT Server-en működő eszközök: • Adminisztratív varázslók, léoésenként vezetnek az adminisztrációs feladaton, mint például a felhasználói fiókok létesítése, felhasználócsoportok létesítése vagy
módosítása, file-ok illetve könyvtárakhoz rendelt jogosultságok beállítása, vagy a hálózati nyomtatók beállításai. • Server manager, segítségével beállíthatók és láthatók a tartományok és számítógépek tulajdonságai. • User Manager for Domains a tartomány illetve a tartomány szerverei és munkaállomásai biztonságos működésének beállítására szolgál. Ez a program akkor is telepítve lesz, ha a számítógépünk nem tartományvezérlőnek lett telepítve. • Csak a Windows NT Workstation-on működő eszközök • User manager, a Windows NT Workstation-t futtató gépeken használható a biztonságos működés beállítására. • Mindkét operációs rendszeren működő eszközök • Backup, adatmentésre szolgál, hogy megvédhessük az adatainkat hardware vagy egyéb hiba miatt bekövetkezhető adatvestéstől. • Event Viewer, a számítógépünk eseménynaplójának a kezelésére szolgál. Információkat kaphatunk általa a
gépünk működése közben előfordult hibákról, rendszer-üzenetekről, taskok sikeres vagy hibás befejezéséről mint például a felhasználók sikeres vagy sikertelen belépési kísérletei. • Windows NT Diagnostics, megmutatja vagy kinyomtatja a rendszerinformációkat, mint például információk a memóriáról, lemezekről vagy szolgáltatásokról. • Help gyors információ szolgáltatása a feladata. Belépés egy számítógépbe vagy egy tartományba Amikor bekapcsoljuk a számítógépünket, a Windows NT felkér bennünket a belépésre a Ctrl+Alt+Del billentyűkombináció lenyomásával. A számítógépbe vagy tartományba való belépésre a Logon Information dialógusablak szolgál. Ezen a dialógusablakon a következő beállítási lehetőségeink vannak: • User name: egy, a rendszergazda által már definiált felhasználó nevét írhatjuk be ide. Ha tartományba szeretnénk belépni, a felhasználói fiók a tartományvezérlő felhasználói
adatbázisában lesz tárolva illetve keresve. Ha számítógépre akarunk bejelentkezni akkor ez az account a helyi gép felhasználói adatbázisában kell hogy legyen. • Password a felhasználó érvényes jelszava. A jelszó „case sensitiv” azaz nem mindegy hogy kis vagy nagy-betűt írunk. Begépeléskor biztonsági okokból csak csillagok jelennek meg. • • • Domain A tartományba való belépéshez válasszuk ki a tartomány nevét a listáról. Ha tartományba (domainbe) akarunk belépni, akkor a tartományvezérlő felhasználói adatbázisából lesz lekérdezve a felhasználó azonosításához szükséges információ. Ha a számítógépre akarunk bejelentkezni, válasszuk ki a számítógép nevét a listáról. Ha a helyi számítógépre jelentkezünk be, az azonosítást a helyi számítógép felhasználói adatbázisa fogja elvégezni. A helyi számítógépre csak a helyi gép felhasználói adatbázisában létező felhasználói névvel lehet. A
tagszerverek és a munkaállomások telepítés után tartalmaznak egy „administrator” és egy „guest” felhasználót. A többi helyi felhasználót létre kell hozni. Logon Using Dial-up Networking, ha a Remote Access Service (RAS) telepítve van, ezt a választódobozt kijelölve a felhasználó beléphet egy távoli hálózatba a RAS-t használva Shut Down, bezárja az összes állományt, menti az operációs rendszer minden adatát, azaz felkészíti a gépet a biztonságos kikapcsolásra. A Windows NT Server változatán ez a gomb le van tiltva, hogy a nem jogosult felhasználók ne tudják kikapcsolni a gépet. A Windows NT Security (biztonsági) dialógus ablaka Ha a felhasználó már belépett, a Ctrl+Alt+Delete billentyűkombináció a biztonsági dialógusablakot hozza elő. Itt a következő parancsok adhatók ki: • Lock Workstation, „lezárja” a számítógépet anélkül, hogy kilépne. Az alkalmazások továbbra is futnak a gépen A „lezárt”
munkaállomást „kinyitni” csak az aktuális felhasználó vagy az adminisztrátor tudja. Ha az adminisztrátor „nyitja” ki vagy oldja fel a zárolást, az egyedüli amit megtehet, az az,hogy kilépteti a felhasználót. • Change Password, megengedi a felhasználóknak, hogy megváltoztassák a saját account-juk jelszavát. Ehhez persze ismerni kell a régi jelszót amit a gép bekér, mielőtt az új jelszót létrehozná. Így ki van zárva annak a lehetősége, hogy valaki egy másik felhasználó jelszavát módosíthassa. Ez az egyedüli módja annak, hogy a felhasználók a jelszavukat módosítsák. • Logoff, kilépteti a felhasználót úgy, hogy a Windows NT szolgáltatásai továbbra is műküdnek. Ajánlott, hogy mindíg lépjünk ki, ha már nem használjuk a számítógépet. • Task Manager, Kilistázza az éppen futó alkalmazásokat. Arra használhatjuk, hogy átkapcsoljunk az alkalmazások között, illetve, hogy leállítsunk (bezárjunk) egy lefagyott
alkalmazást. • Shut Down, bezárja az összes file-t, elmenti az operációs rendszer adatait és előkészíti a szervert a biztonságos kikapcsolásra. • Cancel, mégsem azaz bezárja a dialógusablakot. Kérdések: 1. Mi a különbség a „User Manager” és a „User Manager for Domains” között? 2. Melyik billentyűkombinációt használjuk, hogy belépjünk egy számítógépre vagy egy tartományba, illetve arra hogy előhozzuk a Windows NT Security azaz biztonsági dialógusablakát? 3. Melyik dialógusablakban változtathatják meg a felhasználók a jelszavukat? 4. Hogyan tudja egy felhasználó biztonságba helyezni a számítógépét anélkül, hogy kilépne? 5. Mit kell tenniük a felhasználóknak a számítógép kikapcsolása előtt? 2. Felhasználói fiókok (account) létrehozása Mi a felhasználói fiók avagy „account”? A felhasználói fiók egyfajta egyedi igazolvány ami a felhasználónak lehetőséget ad arra, hogy belépjen a tartományba
és használja a tartomány erőforrásait, illetve arra, hogy belépjen a helyi számítógépre és használja annak a helyi erőforrásait. Minden olyan személy aki használni akarja a hálózatot kell egy ilyen account. Ezeket az account-okat vagy fiókokat arra használhatjuk, hogy ellenőrizzük, hogy a felhasználók milyen módon használják a tartomány illetve a számítógép erőforrásait. Például előírhatjuk egy felhasználónak azt, hogy mely órákban léphet be a tartományba. A felhasználói fiókok (account-ok) típusai Két típusú felhasználói fiók létezik a Windows NT-ben, általunk létrehozott és beépített fiók. • Az általunk létrehozott fiók lehetővé teszi a felhasználónak azt hogy belépjen a hálózatba és a megfelelő jogosultságokkal használja a hálózat erőforrásait. Ez a fiók tartalmazza a felhasználóra vonatkozó adatokat, beleértve a felhasználói nevet és a jelszót is. • Guest egy beépített fiók amit az
alkalmi felhasználóknak szántak azért, hogy lehetőségük legyen bejelentkezni a helyi számítógépre és használni a helyi erőforrásokat. Csak korlátozott jogosultságot biztosít, és alapértelmezés szerint le van tiltva. • Administrator a beépített adminisztrátor fiók használható a úgy a helyi számítógép mint a tartomány konfigurálására. Segítségével minden task elérhető mint például a felhasználók vagy csoportok létrehozása vagy modosítása, a biztonsági korlátozásállományok (policy-k) kezelése, a nyomtatók és a hozzájuk való jogosultságok kezelése és általában a fiók erőforrásokhoz való jogosultságai a hálózaton. A Windows NT címtárszolgáltatása (Directory Services) A következő videó bemutatja a Windows NT környezetet és a felhasználói fiókok szerepét az NT címtárszolgáltatásában. Miután megnézte a videót, próbáljon válaszolni a következő kérdésekre: 1. Mely három dolgot támogatja a
Windows NT Server címtárszolgáltatása? 2. Melyek a Windows NT Server három konfigurációja? 3. Egy tartományon belül hány primér tartományvezérlő (PDC) és hány tartalék tartományvezérlő (BDC) lehet? 4. Miben különbözik egy tartomány az egyenrangú (peer-to-peer) hálózatoktól? 5. Mi az a logikai kapcsolat ami a tartományokat egy adminisztratív egységgé kapcsolja össze? Milyen fiókokat hozhatunk létre? • Tartományi felhasználói fiók-ot a User Manager for Domains programmal, amely a fiókot a PDC felhasználói adatbázisában hozza létre. Erről az adatbázisról a BDC-kre másolatok készülnek Ha a felhasználói fiók elkészült a PDC-n a felhasználó dejelentkezhet a tartományba a tartomány bármelyik számítógépén. (A PDC és a BDC-k közzött a szinkronizálás néhány perc időt ígényelhet és előfordulhat, hogy ezért egy új felhasználó nem tud mindjárt bejelentkezni. A szinkronizálás az adatbázisok között kézzel
is elvégezhető a Server Manager programban, vagy parancssorból a net accounts /sync paranccsal.) • Helyi felhasználói fiók-ot tagszervereken vagy NT Workstation-t futtató gépeken hozhatunk létre a User Manager programmal. Ekkor a fiók csak a helyi gép felhasználói adatbázisában jön létre és a felhasználó természetesen csak a helyi gép erőforrásait érheti el. (Awindows NT Workstation-t vagy Windows 95-t futtató gépen is hozhatunk létre tartományi felhasználói fiókokat, ha telepítjük a szerver adminisztratív eszközeit a Windows NT Server telepítő CDjéről.) Új felhasználói fiókok tervezése A felhasználói fiókok létrehozása leegyszerűsíthető a szükséges információ szervezésével és tervezésével. A fiókok tervezésénél a következők sükségesek: • Egy elnevezési konvenció amely biztosítja a felhasználói nevek egyediségét a hálózatban. Egy tömör és könnyen megjegyezhető neveket adó eljárás könnyen
megtalálhatóvá és azonosíthatóvá teszi a felhasználókat a listákon. • Ön vagy a felhasználó meg kell határozzon egy jelszót, a nemkívánatos felhasználók belépését megakadályozandó • Az órák amikora felhasználó használhatja a hálózatot, illetve amikor nem használhatja azt. • A felhasználó mely számítógépeken jelentkezhet be, hogy használja a hálózat erőforrásait. • Melyik lesz a felhasználó saját (home) könyvtára, a saját gépen vagy esetleg a serveren a biztonsági mentések könnyebbé tétele miatt. A névadási konvenció kijelöli, hogyan lesznek azonosítva a felhasználók a hálózaton. Akönnyű tájékozódás miatt ajánlott betartani a következő ajánlásokat: • A felhasználói nevek egyediek kell hogy legyenek. A tartomány felhasználói egyediek kell legyenek a tartományban, míg a helyi felhasználók egyediek kell legyenek a helyi gépen. • A nevek maximum 20 kis vagy nagy betűből állhatnak, kivéve a
következő karaktereket: „ / [ ] : ; | = , + * ? < >. A speciális és az alfanumerikus karakterek is használhatóak. • Ha sok felhasználó van a hálózatban a névadási konvenciónak alkalmazkodnia kell az azonos vagy majdnem azonos nevű felhasználókhoz. • Nagy cégeknél hasznos lehet az ideiglenes felhasználók neve elé egy t betűt írni, amiből azonnal látható, hogy a felhasználó ideiglenes (temporary). Jelszók Passwords) A tartományba vagy a számítógépbe való illetéktelen belépés megakadályozására szolgál, minden felhasználói fióknak van jelszava. A következő ajánlásokat érdemes betartani a jelszókkal kapcsolatban: • Az Administrator fiókhoz mindig tartozzon jelszó, hogy az illetéktelen felhasználók ne használhassák ezt a fiókot. • Határozzuk meg, hogy ki fogja ellenőrízni a jelszót. A rendszergazda megadhat minden felhasználónak egy-egy jelszót és megtilthatja a megváltoztatását, vagy pedig kérheti,
hogy a felhasználó az első bejelentkezéskor írják be a saját felhasználói jelszavukat. A legtöbb hálózaton a felhasználók saját maguk ellenőrzik a jelszavukat. • Határozzuk meg, hogy melyek azok az accountok amelyek lejárnak, azaz az ideiglenes alkalmazottak számára létrehozott fiókokat lássuk el lejárási határidővel a munkaszerződésnek megfelelően. • Oktassuk ki a felhasználókat a jelszavak védelmére és ennek a fontosságára: - Használjanak hosszú jelszavakat (max 14 karakter hosszúak lehetnek) - Hasnáljanak kis és nagybetűket is mivel a jelszó „case sensitiv” - Ne használjanak jelszónak nyilvánvaló karaktersorozatokat, mint például a csládtagjaik neve. Beléphetési órák, munkaállomás korlátozások A rendszergazda korlátozhatja a hálózat használatát illetve a hálózatba való belépést a nap bizonyos óráiban, illtve előírhatja, hogy egyes felhasználók mely számítógépeken jelentkezhetnek be. - A
beléphetés óráit azoknak a felhasználóknak írjuk elő akiknek a munkája a vállalatnál amúgy is csak meghatározott időintervallumban zajlik - A géphez kötött bejelentkezést azoknál a felhasználóknál érdemes kijelölni akiknek a munkájához szükséges információk legalábbis részben a saját gépen találhatók. A home könyvtár helye A home könyvtár a felhasználó saját könyvtára, ahol a dolgait tarthatja. Ezt a könyvtárat használják alapértelmezés szerint a file nyitó és a file mentő parancsok. Ez a könyvtár lehet a helyi gépen vagy pedig a hálózat egyik szerverén. A következők figyelembevétele ajánlott amikor a home könyvtár helyét határozzuk meg: - Az adatmentés és visszaállítás a rendszergazda legnagyobb felelőssége. Ezért fontos, hogy a mentésre váró file-ok egy központi helyen legyenek elérhetőek a server-en. Ha a felhasználó home könyvtára a saját gépen van, akkor a rendszergazdának rendszeresen
mentenie kell minden gép tartalmát. - A hely a tartományvezérlőkön - azaz, hogy van-e elég hely a PDC-n illetve a BDC-ken arra, hogy a felhasználók ott tartsák az adataikat? A Windows NT nem támogatja a felhasználható lemezterület korlátozását a különböző felhasználókra - Ha a felhasználó számítógépén nagyon kicsi a merevlemez, vagy esetleg egyáltalán nincs is a home könyvtár kötelezően a szerverek egyikén lesz. - A hálózat forgalma viszont csökken, ha a home könyvtár a saját gépen található. Felhasználói fiókok létrehozása A felhasználói fiókok léttrehozásához a következő eljárást használjuk: 1. Indítsuk el a User Manager for Domains (Windows NT Workstation esetében User Manager) programot. 2. Aprogram User menüjében klikkeljünk a New User-re 3. Állítsuk be, töltsük ki az alábbi szövegmezőket: - Username ide írjuk az egyedi felhasználói nevet - Full Name opcionális mező, ide ajánlott beírni a
felhasználó teljes nevét a könnyebb azonosítás végett. - Description opcionális mező, a munkaköri beosztás, a vállalat részlegének a megnevezése írható ide. - Password mezőbe írjuk a jelszót de csak akkor ha mi akarjuk azt ellenőrízni. Nem szükséges jelszót beírnunk akkor, ha a nagyobb biztonság érdekében a felhasználó meg kell változtassa a jelszavát az első belépés után. Ha beírjuk a jelszót ez nem lesz kiírva, hanem a karakterek helyén csillagok fognak megjelenni amelyek csak a jelszó hosszára engednek megkövetkeztetni. - Confirm password a jelszó újragépelését kéri, hogy biztosak legyünk abban, hogy nem gépeltük el a jelszót. 4. Klikkeljünk az Add gombra és a felhasználói fiók létrejön Miután az Add gombra klikkeltünk minden bevitt mező eltünik és helyettük üresek jelennek meg. Ez azt jelenti, hogy új felhasználót hozhatunk létre. A dialógusablakon látható, hogy a fiókon beállítható még néhány
tulajdonság „opció” is ezek jelentése a következő: - User Must Change Password at Next Logon (alapértelmezés szerint ki van választva) kényszeríti a felhasználót, hogy az első belépéskor megváltoztassa a jelszavát. Ez azt jelenti, hogy ezután csak az illető felhasználó fogja ismerni a jelszót. - User Cannot Change Password akkor használjuk, ha több felhasználó használja ugyanazt a fiókot, mint például a Gest, vagy pedig ha mint rendszergazda szeretnénk ellenőrzés alatt tartani a jelszót. - Password Never Expires Azoknál a fiókoknál jelöljük be ahol nem akarjuk a jelszót megváltoztatni. Ez az opció erősebb mint a User Must Change Pasword at Next Logon és tehát felülbírálja azt, ha egyidőben be vannak kapcsolva. - Account Disabled egy account ideiglenes kikapcsolására hsználható, például ha a felhasználónk egy ideig valamilyen okból kifolyólag hiányozni fog. A beléphetés óráinak beállítása A beléphetés óráinak
beállításával meghatározhatjuk, hogy a felhasználónk mikor használhatja a hálózatot. Ez a típusú tiltás segíthet a biztonság növelésében, csökkenti az esélyét annak, hogy rosszindulatú behatolók, megtudva egy felhasználói jelszót behatoljanak a hálózatba. A beléphetés óráinak a meghatározásához: 1. az előbbi New User ablakban klikkeljünk a Hours gombra. Alapértelmezés szerint minden nap minden órájában beléphetünk amit kitöltött négyzetek jelölnek. Az üres négyzet azt jelenti, hogy a felhasználó nem léphet be. 2. Pozicionáljuk az egér mutatóját a kívánt nap megfelelő órájára amikor nem akarjuk engedni a felhasználónknak a belépést. Nyomjuk meg az egér gombját és húzzuk végig az órákon amiket tiltani szeretnénk. Eredményként a tiltásra kijelölt terület szürke lesz 3. Klikkeljünk a Disallow gombra, hogy a tiltást érvényesítsük 4. A 2-3 lépéseket megismételhetjük amig a felhasználó
beléphetési ideje úgy nem néz ki ahogyan szeretnénk. 5. Klikkeljünk az OK-ra Megjegyzés: Az a felhasználó aki már belépett, nem lesz kitiltva a hálózatból csak azért mert a beléphetési ideje lejárt. Ugyanakkor a felhasználó már nem létesíthet semmilyen új kapcsolatot. Munkaállomás opciók beállítása Lehetőség van arra, hogy meghatározzuk a felhasználónknak azt, hogy melyik számítógépen jelentkezhet be a hálózatba. Így csökken az esélye annak, hogy a felhasználónk más felhasználók helyi adataihoz hozzáférjenek, illetve biztosított az, hogy a felhasználónk csak a megfelelő helyen tudjon bejelentkezni a hálózatba. Ehhez a New user ablakban nyomjuk meg a Logon To gombot. Alapértelmezésben minden felhasználó minden gépen bejelentkezhet a tartományba. - klikkeljünk a User May Log On To These Workstations rádiógombra. - Adjunk meg legalább egy, vagy maximum nyolc számítógépnevet, amelyeket az account használhat a
bejelentkezésre, majd klikkeljünk az OK gombra. Fiók (Account) információk Az Account Information dialógusablakban a köveetkező két opciót állíthatjuk be: - Account Expires segítségével beállítható az a dátum amikor a fiók érvényessége automatikusan lejár. Ez főleg ideiglenes alkalmazottak esetében lehet hasznos. - Account Type használjuk ezt, hogy egy felhasználónak helzi fiókot készítsünk egy nem „trust”-olt tartományban de ahol szükséges a hozzáférés egy másik tartomány erőforrásaihoz. A helyi fiókot használhatlyuk a hálózat erőforrásaihoz való csatlakozásra. Nem használható viszont arra, hogy bejelentkezzünk annak a tartománynak egy számítógépén amelyiken ez a fiók létre lett hozva. A fiók információk beállításához: 1. A New User dialógusablakban klikkeljünk az Account gombra 2. A fiók lejártának a dátumát írjuk az End of rádiógomb melletti szövegdobozba miután az egérrel kiválasztottuk. 3. A
helyi fiókot jelöljük meg a Local Account ra klikkelve Távoli felhívás engedéjezése Mielőtt egy felhasználó beléphetne egy hálózatba, használva a RAS-t, neki szüksége van arra,hogy az accountjában ez engedélyezve legyen. Meg kell legyen határozva az is hogy a RAS server hívja-e vissza a felhasználót az általa megadott számon (ekkor a cég fogja tehát fizetni a hívás azaz a „beszélgetés” díját), vagy a rendszergazda által meghatározott számon, hogyha korlátozni akarjuk a visszahívott helyeket. A távoli felhívás engedélyezéséhez: 1. A New User dialógusablakban klikkeljünk a Dialin gombra 2. Jelöljük be a Grant dialin permission to user választónégyzetet 3. Állítsuk be a visszahívási opciókat: - No Call back ha ez a rádiógomb aktív a server nem fog visszahívni és a felhasználó fogja fizetni a hívás telefonköltségét. Ez az alapértelmezett. - Set By Caller ha ezt választjuk, engedélyezzük a felhasználónak, hogy
ő határozza meg a telefonszámot amin aRAS server visszahívja. Ekkor a RAS servert üzemeltető cég fogja kifizetni a hívás díját. - Preset To ha ezt választjuk akkor a RAS server csak ezen a számon hívja vissza a felhasználónkat. Így csökkenthető annak a lehetősége, hogy egy nemkívánatos személy használja a hálózatot mert hogy a felhasználó egy meghatározott helyről hívja a RAS servert. Ha hálózatunkban törekszünk a nagy biztonságra akkor ezt válasszuk. Felhasználói fiókok törlése és átnevezése Ha egy fiókra már nincs szükségünk letörölhetjük vagy átnevezhetjük, hogy egy másik felhasználó használhassa. Mikor töröljük és mikor nevezzük át a fiókot? - Töröljük a fiókot ha már nincs rá szükség. Ha töröljük a fiókot elvész annak minden tulajdonsága úgy mint a jogosultságok, és csoporttagságok. Az Administrator és a Guest fiókok nem törölhetőek. - Nevezzük át a fiókot ha szeretnénk megtartani a
jogosultságokat és a csoporttagságokat más felhasználók számára. Például ha a felhasználónk munkakörét egy új alkalmazott tölti be, nevezzük át a fiókot és a jelszót állítsuk be úgy, hogy az első belépéskor a felhasználónak meg kelljen módosítania. Afiók törléséhez: 1. Indítsuk el a User Manager for Domains programot, majd válasszuk ki a törölni kívánt fiókot. 2. Nyomjuk meg a DELETE gombot, vagy a User menüben adju ki a Delete parancsot. Meg fog jelenni egy dialógusablak amely figyelmeztet arra, ha letöröljük elveszítjük az összes információt (jogosultság, csoporttagság) ami ehhez a fiókhoz tartozik. 3. OK-t nyomva a fiók véglegesen törlődik A fiók átnevezéséhez 1. Indítsuk el a User Manager for Domains programot, majd válasszuk ki a törölni kívánt fiókot. 2. A User menüben adju ki a Rename parancsot 3. A megjelenő Change To dialógusablakba írjuk be az új felhasználó nevét, majd nyomjuk meg az OK gombot.
Laborgyakorlat A felhasználói környezet kezelése Felhasználói profilok Amikor a felhasználó először lép be egy Windows NT alapú kliensről, létrejön az alapértelmezett felhasználói profil minden felhasználó számára. Ebben olyan beállítások tárolódnak mint a felhasználó képernyőjén az asztal beállításai, a felhasználó hálózati kapcsolatai és a hozzárendelt nyomtatók. A felhasználói profil arra is használható, hogy leszűkítsük azoknak a programoknak a számát amelyeket a felhasználónk elindíthat. Például letilthatjuk az Adminisztratív eszközök használatát, hogy a felhasználók ne módosíthassák meg a környezetüket. A felhasználói profilok hatáskörébe tartozik minden a munkakörnyezetet állító parancs a Windows NT-t futtató gépeken. Minden felhasnálóspecifikus beállítás automatikusa a „Profiles” könyvtárba mentődik el (C:WinntProfiles). Logon script-ek Ha a felhasználó nem Windows NT kliensről
jelentkezik be (LAN Manager, MS-DOS, Windows for Workgroups, vagy Windows 3.x) logon scrpt-et használhatunk a felhasználó hálózati környezetének a beállítására illetve a nyomtatók csatlakoztatására. Alogon script nem használható a munkaasztal megjelenésének a beállítására vagy hardver beállításokra, mint például a monitor felbontásának a beállítása. A logon script egy batch (.bat vagy cmd) file esetleg egy végrehajtható (.exe) file amelyik automatikusan lefut, ha a felhasználó bejelentkezik a hálózatba. A felhasználói profil „roaming”-olása Ez azt jelenti, hogy a felhasználó bejelentkezhet a hálózat bármelyik Windows NT-t futtató számítógépen és ugyanazt a felhasználói profilt fogják kapni. A roaming-olt felhasználói profil központosítva van tárolva a hálózat egy szerverén. A felhasználói fiókhoz meghatározhatunk roaming-olt felhasználói profilt is. Aroamingolt felhasználói profiloknak a következő két
fajtája van: • Kötelező roamingolt felhasználói profil – ez egy előre beállított profil amit a felhasználó nem változtathat meg. Egy ilyen profil felhasnálható több felhasnáló által is. Ez a fajta felhasználói profil akkor használható jól, ha sok felhasználó ugyanolyan beállításokat ígényel (például banki alkalmazottak) • Roaming-olt személyes felhasználói profil: - ez egy a felhasználó által módosítható felhasználói profil, ami azt jelenti, hogy amikor a felhasználó kilép, a felhasználói profilja aktualizálva lesz minden olyan változtatással amit a felhasználó a munkakörnyezetén beállított. Amikor a felhasználó újra belép a gépen ugyanazt a környezetet fogja majd találni amit utoljára használt. A Windows 95 –ös kliensek felhasználói profiljait a helyi számítógépen kell létrehozni, mivel a Windows NT felhasználói profilja nem kompatibilis a Windows 95 felhasználói profiljával. A roaming-olt
felhasználói profil létrehozása: Ez egy két lépéses folyamat ami egy „teszt” felhasználói profil létrehozásából majd ennek a z átmásolásából áll a hálózat serverére. A teszt felhasználói profil létrehozása 1. Hozzunk létre egy felhasználói fiókot amelyen majd a tesztelést elvégezhetjük 2. Lépjünk be ilyen „teszt” felhasználóként A feelhasználói profilunk automatikusan létrejön a helyi számítógépen a C:WinntProfiles könyvtárban 3. Állítsuk be a munkaasztal környezetét, beleértve a amegjelenést a gyorskulcsokat és a Start menü opcióit. 4. Lépjünk ki majd lépjünk be mint Adminisztrátor A teszt felhasználó profiljának másolása a hálózat serverére 1. Hozzunk létre a hálózat serverén egy könyvtárat, ahol a felhasználói profilokat fogjuk majd tárolni. Például: \servernévProfilesfelhasználónév 2. A Control Panel-en indítsuk el a System programot aho válasszuk a User Profiles fület 3. A Profiles
Stored On This Computer részben klikkeljünk arra aprofilra amelyiket másolni szeretnénk, majd klikkeljünk a Copy To gombra 4. A Copy Profile To szövegdobozban írjuk be a hálózati elérési útját az imént létrehozott könyvtárnak. 5. A Permitted to Use részben klikkeljünk a Changere 6. Adjuk hozzá a felhasználói nevet, majd klikkeljünk az OK-ra 7. A hálózati meghajtón így létrejött file-t nevezzük át Ntuserdat – ról Ntuser.man –ra ha ez egy kötelező roamingolt felhasználói profil. 8. Indítsuk el a User Manager for Domains programot, majd klikkeljünk duplán a felhasználó fiókjára, azután pedig a User Properties dialógusablakban klikkeljünk a Profile - ra. 9. A User Profile Path dobozba írjuk be az UNC path-ját a profilokat tartalmazó hálózati meghajtónak például: \servernévProfilesfelhasználónév Felhasználói környezet meghatározása A User Environment Profile dialógusablakot használjuk, hogy meghatározzuk a
felhasználóhoz a profile, logon script és a home könyvtár elérési útját. A felhasználói profil, logon sscript és a home könyvtárhelyének meghatározásához: 1. A New User (vagy User Properties) dialógusablakban klikkeljünk a Profile gombra. 2. A User Environment Profile dialógusablakban állítsuk be a következő opciókat. - User Profile Path a felhasználói profil elérési útja. A személyes felhasználói profiloknak írjuk a következő formában: \szervernévprofile share\%username%. Kötelező felhasználói profil esetén pedig írjuk a: \szervernévprofile shareprofile name. - Logon Script Name a logon script file neve. Használható a path a felhasználó helyi számítógépéhez, vagy egy UNC path egy hálózati server megosztott könyvtárához. - Home Directory a home könyvtár elérési útja. Használhatjuk a felhasználó saját számítógépére mutató utat, például: \servernévscript sharescript name. Hálózati elérési út esetén,
válasszuk a Connectparancsot és a meghajtó betűjelét. A To dobozba írjuk az UNC elérési útját a könyvtárnak, például: \servernévusers\%username%. Mielőtt a hálózati elérési utat megadnánk, a könyvtárnak léteznie kell a hálózati serveren. Amikor home künyvtárat vagy felhasználói használjuk a %Username% változót. Ez a behelyettesítődik a felhasználói fiók nevével. profilt változó hozunk létre automatikusan Ajánlások, tanácsok - A nagyobb biztonság elérése érdekében, hozzunk létre egy felhasználói fiókot nem adminisztratív feladatokhoz, nevezzük át az Administrator fiókot, és Administrátorként csak akkor jelentkezzünk be ha ténylegesen daminisztratív jellegű tevékenységet folytatunk. - A Guest fiókot csak az alacsony biztonságú hálózatokon engedélyezzük és ott is csak jelszóval. Alapértelmezésben ez a fiók le van tiltva. - Minden esetben az új felhasználói fiókok létrehozásakor állítsuk be hogy a
felhasználónk változtassa meg a jelszavát az első belépés után. - A közepes és nagy biztonságú rendszerekben hozzunk létre egy véletlenszerű kezdeti jelszót a felhasználói fiókoknak. - Használjunk roamingolt felhasználói profilokat, hogy ezek legyenek elérhetőek a felhasználóknak függetlenül attól, hogy melyik gépen jelentkeztek be a hálózatba. Laborgyakorlat Kérdések 1. Hol van tárolva a tartomány felhasználói adatbázisa? 2. Hol hozzuk létre a tartomány felhasználói fiókjait? 3. Miért hozzuk létre a felhasználók home könyvtárát a hálózat serverén? 4. A nagy biztonságú hálózatokon mit ajánlott tenni a Guest ás az Administrator fiókok nagyobb biztonságáért? 5. Mi a különbség a helyi és a roamingolt felhasználói profilok között? 3. Felhasználócsoportok létrehozása Egy felhasználócsoport felhasználói fiókok gyűjteménye. Ha egy felhasználói fiókot felveszünk egy csoportba, a felhasználó megkapja a
csoportra érvényes összes jogosultságot. Segítségükkel egyszerűsíthető az adminisztrációs tevékenység, mivel ez a leggyorsabb módja annak, hogy sok felhasználónak egyszerre biztosítsunk jogosultságokat. A csoportoknak két alapvető típusa van: lokális és globális csoport. - A lokális csoport arra használható, hogy jogosultságokat biztosítsunk általa a hálózat erőforrásaihoz, úgy mint file-ok, könyvtárak (mappák) vagy nyomtatók. A lokális csoportok tehát arra használhatók, hogy a felhasználóknak jogosultságokat adjunk, mint például a számítógép órájának az állítása, vagy adatok illetve file-ok mentése és vagy visszaállítása. A Windows NT tartalmaz bizonyos előre meghatározott, úgynevezett beépített lokális csoportokat amelyek elő vannak készítve arra, hogy a felhasználóknak biznyos előre meghatározott jogosultságokat adjanak - Globális csoportok amelyek a tartományi felhasználók fiókjainak a
szervezésére használhatók. Tipikusan a több tartományból felépülő szervezetek hálózataiban használható ki amikor egy tartomány bizonyos felhasználóinak jogosultságokat akarunk adni egy másik tartomány erőforrásaihoz. A következő videó a lokális és globális csoportokat mutatja be illetve magyarázza ezek használatát a több tartományos hálózatokon. A video megtekintése közben figyeljenek a következőkre: - mi a célja a lokális csoportoknak és a globális csoportoknak? - hogyan hozzuk létre a lokális és a globális csoportokat? Lokális és globális csoportok összehasonlítása Lokális csoport Globális csoport A felhasználói fiókok csoportos A tartományi felhasználók jogadására szolgál szervezéséere szolgál Tartalmazhat felhasználói Csak a saját tartomány fiókokat, vagy globális felhasználói fiókjait tarcsoportokat úgy a saját, mind más talmazhatja. Nem tartalmazhat tartományok-ból (ekkor trust lokális csoportot
vagy más kapcsolat szükséges a tartomá-nyok globális csoportot között). Nem tartalmazhat más lokális csoportot. A helyi tartományban engedélyek és Felvehető a lokális csoportokba jogosultságok megadására használható bármely tarto-mányban (külső tartományba trust kapcsolat által) és így adható a tagjainak jogosultság és hozzáférés az erőforrásokhoz Ha egy tagszerveren, vagy egy Nincsen hozzákapcsolva a helyi Windows NT Workstation-t futtató erőforrásokhoz gépen van létrerhozva csak a helyi számítógép erőforrásaihoz adhatók jogosultságok Ha a PDC-nvan létrehozva Minden esetben a tartomány PDC-jén létrehozni, amelyiken a hozzárendelhetők az egész kell tartomány minden felhasználói fiókok is léteznek. tartományvezérlőjén érvényes jogosultságok A globális platformról program. csoportok amelyiken létrehozhatók a telepítve van a PDC-n bármely Windows NT User Manager for Domains Esettanulmány A World Wide Importers
cégnek a Párizs-I irodájában egy egytartományos hálózat működik, és van benne egy PDC egy BDC és egy tagszerver. A BDCn egy számla kifizetési adatbázis, a tagszerveren egy raktárkészlet adatbázisa található. Minden felhasználó mindkét adatbázissal dolgozik. 1. Melyik számítógépen hozná létre a globális csoportot a felhasználok fiókjainak a szervezéséhez? Miért? 2. Melyik számítógépen hozná létre a lokális csoportot hogy a felhasználóknak biztosíthassa a hozzáférést a számla kifizetési adatbázishoz? Miért? 3. Melyik számítógépen hozná létre a lokális csoportot hogy a felhasználóknak biztosíthassa a hozzáférést a raktárkészlet adatbázishoz? Miért? A csoportok tervezésének a stratégiája A csoportok létrehozásakor tartsuk szem előtt a következő ajánlásokat: • A tartomány felhasználóit szervezzük logikai alapon a közös szükségleteiket figyelembe véve. Például ha az eladási osztály minden
felhasználója használja a színes nyomtatót és minden managernek szüksége van a beszállítókat tartalmazó adatbázisra, szervezzük a felhasználókat két csoportba (pl. eladók és vezetők) • Minden tartományban ahol felhasználói fiókok vannak, hozzunk létre egy-egy globális csoportot minden logikailag egy csoportba tartozó felhasználónak, majd vegyük fel a megfelelő felhasználókat a megfelelő globális csoportokba. • Az erőforrásokhoz való hozzáférés függvényében hozzunk létre lokális csoportokat. Például ha a managerek teljes hozzáférést ígényelneek a Beszállítók mappához, míg az eladási részleg felhasználói az itt található file-okat csak olvassák, létesítsünk egy lokális csoportot a managereknek és egy másik lokális csoportot az eladási részlegnek. - Ha az erőforrás egy tagszerveren vagy egy Windows NT Workstation-t futtató számítógépen van, a lokális csoportot az illető számítógépen hozzuk létre. -
Ha az erőforrás a PDC-n vagy a BDC-n van a lokális csoportot a PDC-n hozzuk létre. • Rendeljük hozzá a megfelelő jogosultságokat a lokális csoportokhoz. • Vegyük fel a megfelelő globális csoportot (vagy csoportokat) a lokális csoportba. Egy tartomány globális csoportját egy másik tartomány lokális csoportjába akkor vehetjük fel ha a megfelelő trust kapcsolatot már létrehoztuk. Lokális és globális csoportok létrehozása A Windows NT Serveren a lokális és a globális csoportokat a User Manager for Domains programmal készíthetjük el. A Windows NT Workstation-t futtató gépen a lokális csoportokat a User Manager programmal készíthetjük el míg globális csoportot nem hozhatunk létre. A lokális és a globális csoportok készítésénél a következőket vegyük figyelembe: • Az Administrators vagy az Account Operators csoport tagjaként legyünk bejelentkezve. • Lokális csoport minden Windows NT-t futtató gépről létrehozható. • A
globális csoportot a PDC-n hozzuk létre, a létrehozásához használhatjuk bármelyik számítógépet amelyiken működik a User Manager for Domains program (BDC, tagszerver amelyik a tartomány része, olyan Windows NT Workstation-t vagy Windows 95-t futtató számítógép amelyikre az Administrativ Tools telepítve lett). • A csoportnevek a tartományban egyediek kell hogy legyenek. Nem egyezhetnek meg más felhasználók neveivel sem. Globális csoportok létrehozása A felhasználók létrehozásakor mindig azt a stratégiát kövessük, hogy őket logikailag csoportosítva felvegyük a megfelelő globális csoportokba. A globális csoportok létrehozásához: 1. A User menüben adjuk ki a New Global Group parancsot A New Global Group dialógusablak jelenik meg. 2. A Group Name dobozba írjuk be a csoport nevét A globális csoport neve tartalmazhat kis és nagybetüket kivéve a következő írásjeleket: „ / [ ] : ; | = , + * ? < >, lehetőleg legyen
szuggesztív és maximum 20 karakter hosszú lehet. 3. A Description dobozba írjuk be a csoport rövid leírását Igaz hogy a kitöltése nem kötelező, de hasznos lehet a csoport szerepének azonosításakor. 4. A Not Member listán vválasszuk ki azokat a felhasználókat akiket szeretnénk ha tagja lennének a csoportunknak. 5. Klikkeljünk az Add gombra A kiválasztott felhasználó meg fog jelenni a Members listán. 6. Klikkeljünk az OK gombra hogy létrhozzuk a globális csoportot az általunk kiválasztott felhasználókkal mint a csoport tagjai. Lokális csoportok létrehozása A lokális csoportok létrehozásához: 1. A User menüben adjuk ki a New Local Group parancsot A New Local Group dialógusablak jelenik meg. 2. A Group Name dobozba írjuk be a csoport nevét A globális csoport neve tartalmazhat kis és nagybetüket kivéve a , lehetőleg legyen szuggesztív, maximum 256 karakter hosszú lehetde csak az első 22 karakter jelenik meg a legtöbb ablakban. 3. A
Description dobozba írjuk be a csoport rövid leírását, majd klikkeljünk az Add-ra. Az Add Users and Groups dialógusablak jelenik meg. 4. A Names listán válasszuk ki a felhasználókat, illetve a globális csoportokat a helyi tartományból amiket szeretnénk felvenni a csoportba. 5. Más tartomány globális csoportjának a felvételéhez, a List Names From doboz listáján válasszuk ki a kívánt tartományt, majd azután válasszuk ki a kívánt globális csoportot. A listán a csillag a saját tartományunkat jelöli. A List Names From doboz listáján csak a „trust”-olt tartományok jelennek meg. Ha a kívánt tartomány neve nincs a listán akkor a trust kapcsolat nem „él”. 6. Klikkeljünk az Add gombra majd az OK-ra 7. Klikkeljünk az OK-ra a New Local Group dialógusablakban, hogy létrehozzuk az új lokális csoportot. Csoport törlése A csoport törlésekor kitörlődik annak a neve, leírása és az összes jogosultság is ami hozzá volt rendelve. Nem
törlődnek viszon a felhasználói fiókok amiket tartalmazott. Egy csoport törléséhez: 1. Indítsuk a User Manager, vagy a User Manager for Domains programot 2. Válasszuk ki a csoportot amit törölni szeretnénk 3. Nyomjuk mega DELETE gombot A megjelenő üzenet arra figyelmeztet bennünket, hogy a csoport törlésével elvesznek a hozzárendelt jogosultságok is, illetve hogy a csoport újra létrehozásával ezek a jogosultságok maguktól nem fognak újra rendelkezésünkre állani. 4. Klikkeljünk az OK-ra a csoport törléséhez Laborgyakorlat Beépített csoportok implementálása A beépített csoportok olyan előre elkészített, a telepítékor létrejövő csoportok amelyekhez előre meghatározott felhasználói jogosultságok tartoznak. Ezek a jogok meghatározzák azokat a tevékenységeket amiket egy felhasználó a beépített csoport tagjaként elvégezhet. A Windows NT-t futtató gépeken a beépített csoportoknak három típusa van. • Beépített
lokális csoportok, amelyek a felhasználóknak jogosultságokat adhatnak bizonyos tevékenységek elvégzéséhez mint például az adatmentés vagy adatvisszaállítás, a rendszeridő beállítása és a rendszer erőforrásainak adminisztrálása. Beépített lokális csoportok minden Windows NT-t futtató számítógépen találhatók. • Beépített globális csoportok, amelyek a rendszergazdát segítik a tartomány felhasználóinak gyors azonosításában. Csak a tartományvezérlőkön találhatunk ilyeneket. • Rendszer csoportok, amelyek automatikusan szervezik a felhasználókat a rendszer használatában. A rendszergazda nem jelöli ki a tagjaikat A felhasználók vagy alpértelmezésben , vagy a hálózati tevékenységük során lesznek a tagjai az ilyen csoportoknak. Minden Windows NT-t futtató gépen megtalálhatóak. A beépített csoportok nem törölhetőek és nem nevezhetőek át. A beépített csoportok minden Windows NT-t futtató számítógépen Mnden
Windows NT-t futtató gépen vannak beépített csoportok. A tartományvezérlő beépített csoportjai lehetővé teszik a tagjaik számára, hogy előre meghatározott feladatokat lássanak el a tartományban. A nem tartományvezérlőkön lévő beépített csoportok pedig lehetővé teszik, hogy a tagjaik előre meghatározott feladatokat lássanak el a helyi számítógépen. A következő táblázat a beépített lokális csoportokat és az általuk támogatott lehetőségeket foglalja össze: Lokális Lehetőségek csoport neve Users Lehetővé teszi azon tevékenységek végrehajtását amikhez jogosultságokat kapott és hogy használja az engedélyezett erőforrásokat Administrators A tagjainak minden adminisztratív tevékenységet Guests Backup Operators Replicator lehetővé tesz a helyi számítógépen. Ha aszámítógép mint tartományvezérlő működik, a tagjai az egész tartományt adminisztrálhatják. Lehetővé teszi azon tevékenységek végrehajtását
amikhez jogosultságokat kapott és hogy használja az engedélyezett erőforrásokat A csoport tagjai nem változtathatják meg maradandóan a környezetüket. Használhatják a Windows NT Backup programját hogy mentsék illetve visszaállítsák a Windows NT-t futtató gépek adatait. A Directory Replicator szolgáltatás használja. Ez a csoport nem használatos az adminisztratív tevékenységben. A Power Users csoport csak a tagszervereken illetve a Windows NT Workstation-t futtató számítógépeken található. Tagjai létrehozhatnak vagy módosíthatnak felhasználói fiókokat, illetve megoszthatnak erőforrásokat. A tartományvezérlők beépített csoportjai Lokális csoportok A következő táblázat csak a tartományvezérlőkön található lokális csoportokat írja le. Ezeknek a csoportoknak kezdetben egy felhasználó sem tagja. Lokális csoport neve Account Operators Server Operators Printer Operators Lehetőségek Létrehozza, módosítja vagy törli
afelhasználói fiókokat, a lokális és globális csoportokat. Nem módosíthatja az Administrators és a Server Operators csoportot. Megoszthatja a lemezes erőforrásoka, mentheti vagy visszaállíthatja a server-t Beállítja és kiszolgálja a hálózati nyomtatókat. Globális csoportok Amikor a Windows NT Server-t mint tartományvezérlőt telepítjük, három beépített globális csoport keletkezik a tartomány felhasználói adatbázisában: Domain Admins, Domain Users, és Domain Guests. Alapértelmezés szerint ezekhez a csoportokhoz nem tatrozik semmilyen beépített jogosultság. A tagjai akkor szereznek jogosultságokat, amikor ezeket a globális csoportokat felvesszük a lokális csoportokba és az ott érvényes jogosultságokat fogják örörkölni. A következő táblázat azt írja le, hogy mi történik a beépített globális csoportokkal amikor egy Windows NT-t futtató számítógépet hozzáadunk egy tartományhoz. Ez a csoport Automatikusan hozzáadódik a
Domain Users Local Users csoporthoz. Amikor a Domain Users csoport létrejön az Administrator felhasználó automatikusan tagja lesz ennek a csoportnak. Domain Admins Domain Guests Local Administrators csporthoz. A Domain Admins csoport tagjai adminisztratív tevékenységeket végezhetnek a helyi számítógépen. Az Administrátor felhasználó automatikusan tagja a csoportnak. Local Gests csoportnak. A Guest felhasználó automatikusan tagja a csoportnak. Beépített rendszercsoportok A beépített renszercsoportok minden Windows NT-t futtató számítógépen jelen vannak. Ezekbe a csoportokba a felhasználó a hálózati tevékenységük alapján nyernek felvételt. A scoporttagság nem módosítható. A következő táblázat a hálózat adminisztrálásában használható rendszercsoportokat írja le: Rendszer Leírás csoport Everyone Magában foglal minden helyi és távoli felhasználót aki használja a számítógépet. Eltérően a Domain Users csoporttól, az
Everyone csoport tatralmazhat más felhasználókat is mint amelyeket a rendszergazda hozott létre a tartományban. A rendszergazdák adhatnak engedélyeket és jogosultságokat az Everyone csoportnak. Creator Owner A következő táblázat a hálózat adminisztrálásában nem használható rendszercsoportokat írja le Rendszer Leírás csoport Network Azokat a felhasználókat tartalmazza akik jelenleg kapcsolódnak a hálózaton keresztül a helyi számítógép megosztott erőforrásaira. Interactiv Automatikusan magába foglalja azokat a felhasználókat akik a helyi számítógépre jelentkeznek be. A csoport tagjai annak a számítógépnek az erőforrásaihoz férhetnek hozzá amelyik eőtt ülnek. Az Everyone és a Creator Owner csoportokról a későbbiékben még lesz szó. Ajánlások A következő néhány ajánlást érdemes megfogadni a felhasználói fiókok és csoportok adminisztrációjával kapcsolatosan. • Alkalmazzuk a következő stratégiát amikor lokális
és globális csoportokkal dolgozunk: - Szervezzük a felhasználókat globális csoportokba - Adjuk meg a megfelelő jogosultságokat a lokális csoportoknak - A lokális csoportokba vegyük fel a megfelelő globális csoportokat • Használja inkább a Domain Users globális csoportot a Everyone csoport helyett. A Domain Users csoport csak az általunk létrehozott felhasználókat tartalmazza és nem minden felhasználót aki a hálózatunkra csatlakozik. • • • Hogy az Administrators csoport tagjai adminisztratív tevékenységet folytathassanak más tartományokban is, vegyük fel a Domain Admins globális csoportot az illető tartomány(ok) tartományvezérlőjén az Administrators lokális csoportba. Ha a beépített csoport jogosultsága megfelel az elvárásainknak, vegyük fel a csoportba a kiválasztott felhasználó fiókját. Ellenkező esetben hozzunk létre egy új lokális csoportot, majd jelöljük ki a megfelelő felhasználói jogosultságokat. Például
ha biztonsági okokból azt szeretnénk, hogy egy felhasználó menthesse a file-okat de ne állíthassa vissza őket, hozzunk létre például egy Backup Only nevű lokális csoportot és adjuk meg neki a Backup Files and Directories jogot. A felhasználókat lehetőleg beépített csoportokba vegyük fel, mert ezek a beépített csoportok jogosultsága biztosan jól definiált. Laborgyakorlat Kérdések 1. Mi a célja a lokális csoportoknak? És a globális csoportoknak? 2. Mi a különbség a beépített lokális csoport és a beépített globális csoport között? 3. Mi engedélyezi a rendszergazdának hogy adminisztratív tevékenységet folytasson a tartomány valamennyi számítógépén? 4. Melyik az ajánlott stratégia a lokális és a globális csoportok implementálására? 5. Mi a különbség a Domain Users és az Everyone csoportok között? 5. Felhasználók és felhasználócsoportok adminisztrációja Bevezetés Azokkal az eljárásokkal és eszközökkel fogunk
itt megismerkedni amelyek a rendszergazda napi tevékenységét könnyítik meg és teszik hatékonyabbá a hálózat simább működése érdekében. Ezek a következők: • Sablonok létesítése az új felhasználói fiókok létrehozásához • A változtatások egyszerre több felhasználói fiókon történő végrehajtása, mint például a home könyvtár elköltöztetése. • Korlátozások (policy-k) tervezése és bevezetése a hálózat biztonságának a növeléséért. • A tartományvezérlők karbantartása annak érdekében, hogy a felfasználói fiókok mindig sikeresen elérhetőek legyenek • Elhárítása minden olyan hibának amelyek a felhasználók munkája során derül ki és amelyek elsősorban a hálózatba való belépéssel kapcsolatosak. • Az adminisztratív munka megosztása, más adminisztratív felhasználói fiókok létrehozásával, vagy az Account Operators csoport segítségével. - - Az Administrators csoport tagjai teljes
adminisztratív jogosultsággal rendelkeznek. Ők felelősek a hálózat biztonságának a tervezéséért és karbantartásáért. Az Account Operators csoport tagjai létrehozhatnak, törölhetnek, vagy módosíthatnak felhasználói fiókokat, globális és lokális csoportokat és beállíthatják a felhasználói fiókok házirendjét (policy). Felhasználói fiókok sablonjainak a létrehozása A felhasználói fiókok sablonja egy szabályos felhasználói fiók az összes tulajdonságaival együtt amire a felhasználóknak szükségük van.Például az eladási részleg összes felhasználója a Sales csoport tagja kell hogy legyen, ezért létrehozhatunk egy olyan sablont amely ezt a csoporttagságot definiálja. Amikor a felhasználói fiók létrehozásához sablont használunk,tulajdonképpen lemásoljuk ezt a sablon fiókot és elnevezzük a felhasználónk nevével majd megadjuk a hozzátatozó jelszót. A sablonok által a fiókok következő tulajdonságai másolhatók
az új felhasználói fiókba: - Description - User Must Change Password at Next Logon - User Cannot Change Password - Password Never Expires - Groups - Profile - Hours (csak a tartományvezérlőn) - Logon to (csak a tartományvezérlőn) - Account (csak a tartományvezérlőn) - Dialin A felhasználókra vonatkozó jogosultságok és engedélyek nem másolódnak. Néhány megjegyzés a fióksablonok létrehozásához: • készítsünk egy sablont minden felhasználó-kategóriához, úgy mint eladók, vezetők, stb. • Ha hálózatot rendszeresen használják ideiglenes felhasználók, készítsünk egy sablont korlátozott belépési idővel, meghatározott munkaállomásokkal és egyéb szükséges korlátozásokkal. Ha a sablonok neveit nem alfabetikus karakterrel kezdjük (például ) akkor a sablonok a User manager ablakban a lista elején fognak megjelenni. A sablonok használata felhasználói fiókok létrehozásához. Amikor egy új felhasználói fiókot sablon
segítségével hozunk létre, másoljuk le a sablont. A sablon lemásolásához: 1. Indítsuk el a User manager, vagy a User manager for Domains programot 2. A Username listán válasszuk ki a sablont amit le akarunk másolni 3. Az User menüben adjuk ki a Copy parancsot 4. Írjuk be a felhasználói nevet és a jelszót az új felhasználói fiók megfelelő elemeibe, majd klikkeljünk az Add gombra. 5. Hozzunk létre új felhasználót, vagy klikkeljünk a Close gombra Korlátozásállományok (Policy-k) implementálása felhasználói fiókokhoz A felhasználói fiókokhoz rendelt korlátozásállományok meghatározzák hogyan kell használni a jelszavakat minden felhasználói fióknál. Követelmények állíthatók fel a következőkre: • A jelszó minimális illetve maximális érvényességi ideje • A jelszó minimális hossza • A jelszó egyedisége • A felhasználói fiók kizárásának a feltételei. A korlátozásállományokban (Policy file-ok) végzett
módosítások a felhasználókra a következő esetekben gyakorolhatnak hatást: • Amikor a felhasználó legközelebb belép. • Amikor aelhasználó legközelebb végez olyan műveletet amit a policy szabályoz. Például ha beállítottuk a jelszó minimális hosszát egy adott értékre,majd egy idő után a felhasználó lecseréli a jelszavát és ez a jelszó rövidebb mint a beállított minimális hossz. Korlátozásállományok (Policy-k) tervezése Alapértelmezés szerint a jelszóra az egyedüli kitétel az, hogy a felhasználó meg kell változtassa az első bejelentkezéskor. A policy-k által további biztonsági előírásokat foganatosíthatunk a felhasználói fiókokhoz: • Ne engedélyezzük az üres jelszavakat mert nem biztonságosak. Ilyesmit nem szabad alkalmazni olyan rendszereken amelyek az internetre kapcsolódnak, vagy telefonvonalon felhívhatók. • Írjuk elő a jelszó minimális hosszát. A hosszab jelszavakat nehezbb megfejteni. Közepes
biztonságú hálózatokon használjunk 6-8 karakter hosszú jelszavakat, míg nagy biztonságú hálózatokon 8-14 karakter hosszú jelszavakat. • Írjuk elő, milyen gyakran szükséges ajelszó megváltoztatása. Ez is elősegiti azt hogy ajelszó nehezebben legyen megfejthető. Közepes biztonságú hálózatokban 45-90 naponként, míg nagy biztonságú hálózatokban 15-45 naponként cseréltessük le a felhasználók jelszavait • Írjuk elő, hogy a felhasználók használjanak mindíg más-más jelszót amikor azt le kell cserélniük és ne csak két jelszót cserélgessenek egymás közt. közepes biztonsági fokozatú hálózatokban 8-12 jelszó, míg a nagy biztonságú hálózatokban 12-24 különböző jelszó után legyen lehetőség az ismétlődésre. • Zárjuk ki azokat afelhasználói fiókokat amelyeken több sikertelen belépési kísérlet történt. Ezáltal csökkenthető a nemkívánatos személyek behatolása a hálózatba. Közepes biztonságú
hálózatokban 5, míg a nagy biztonságú hálózatokban 3 sikertelen próbálkozás után zárjuk ki a felhasználót. • Csak a rendszergazda engedhesse vissza a kizárt felhasználókat • Azok a felhasználók akiknek az accountja előírja, hogy csak bizonyos órákban léphetnek be a hálózatba legyenek kitiltva amikor nincs engedélyezve a belépésük. A jelszóval kapcsolatos opciók beállítása A felhasználói korlátozásállományok (policy-k) ellenőrzik a jelszóval kapcsolatos előírásokat. A policy beállításához 1. Indítsuk el a User Manager for Domains programot 2. A Policy menüben klikkeljünk az account parancsra 3. Az alábbi táblázat alapján állítsuk be a kívánt értékeket: Opció Leírás Maximum Password Az az időperiódus amelyben a jelszó használható, Age vagyis a felhasználónak neem szükséges azt megváltoztatnia. A választható értékek: 1-999 nap Minimum Password Az az időperiódus amelyben a jelszó nem Age
változtatható meg. Az értéke kisebb kell legyen a Maximum Password Age értékénél. A választható értékek: 1-999 nap. Minimum Password A jelszó minimálisan megkövetelt hossza Lenght karakterekben. Értéke 1-14 karakter lehet Password A felhasználó által használt új jelszavak száma, Uniqueness mielőtt egy régebben már használt jelszót újra használhat. Értéke 1-24 között lehet Fontos, hogy a Password Never Expires választónégyzetet kijelölve egy felhasználói fiókban, ez felülírja a Maximum Password Age beállítását. A felhasználói fiók kizárásával kapcsolatos beállítások A felhasználói fiókok kizárását szintén policy-val szabályozhatjuk. Opció Leírás No account lockout A felhasználói fiók soha nem lesz kizárva, függetlenül attól, hogy hány sikertelen próbálkozást tett a belépésre. Account Lockout Ha ezt választjuk, akkor a következő három lehetőség közül választhatunk. Lockout After A szám azt jelzi,
hogy hány sikertelen belépési kísérlet után tiltsuk ki a felhasználókat. Értéke 1-999 lehet. Reset count after A szám az időt jelzi percekben, amelynek el kell telnie ahhoz, hogy a felhasználói fiók újra használható legyen. Értéke 1-99999 között lehet Forever: vagyis mindig, azaz a felhasználói fiókot Lockout Duration ha kizárta a rendszer csak a rendszergazda engedélyezheti újra. (Az Administrator fiók nem zárható ki a rendszerből) Duration: a felhasználói fiókot kizárja a számok által jelzett percek idejére. Értéke 1-99999 között lehet. Forcibly Ha ki van választva, a felhasználót lekapcsolja a disconnect remote tartomány minden serveréről ha lejárt a fiók users from server belépésre engedélyezett ideje. when logon hours Ha nincs kiválasztva,a felhasználót nem kapcsolja expire le automatikusan amikor lejár a beléphetési ideje. User must log on Ha ki van választva, a felhasználó nem in order to change változtathatja meg a
saját lejárt jelszavát. password Ha nincs kiválasztva, a felhasználó megváltoztathatja a saját lejárt jelszavát A beállítások után nyomjuk meg az OK gombot. Felhasználói fiókok jelszavának átírása Erre akkor van szükség ha: • A jelszó lejárt • A felhasználó elfelejtette a jelszavát A jelszó átírásához: 1. Indítsuk el a User Manager for Domains programot 2. Klikkeljünk duplán a felhasználó fiókjára A User Properties dialógusablak fog megjelenni. 3. A Password dobozban válasszuk ki az egész jelszót (csillagok), majd nyomjuk meg a Delete gobot. 4. A Confirm Password dobozban válasszuk ki az egész jelszót (csillagok), majd nyomjuk meg a Delete gobot. 5. A Password és a Confirm Password dobozokba írjuk be a felhasználónk új jelszavát, majd nyomjuk meg klikkeljünl az OK-ra. Felhasználói fiók kizárásának a feloldása Ha házirend (policy) által szabályoztuk azt, hogy a felhasználói fiók legyen kizárva bizonyos számú
szabálytalan belépési kísárlet után, szükséges lehet a kizárás feloldása. Felhasználói fiók kizárásának a feloldásáért: 1. Indítsuk el a User Manager for Domains programot 2. Klikkeljünk duplán a kizárt felhasználó fiókjára A User Properties dialógusablak fog megjelenni. 3. Klikkeljünk az Account Locked Out választónégyzetre, hogy eltűnjön belőle a kijelölés. 4. klikkeljünk az OK gombra Ha a felhasználónak azért nem sikerült belépnie mert elfelejtette a jelszavát, akkor egyúttal töröljük a jelszavát is és adjunk neki új jelszót. Több felhasználói fiók módosítása Ezt az eljárást akkor használjuk, ha több felhasználó fiókját kell módosítani hasonló módon. Például ha a aome könyvtárakat kell áthelyezni egy másik serverre vagy kötetre, vagy beállítani a beléphetési órákat 100 felhasználónak. Több felhasználói fiók egyidőbeni módosításához: 1. Indítsuk el a User Manager for Domains vagy a User
Manager programot 2. Válasszunk ki a listán minden olyan felhasználói fiókot amelet ugyanúgy szeretnénk módosítani. Ehhez válasszuk ki az első fiókot, majd a Ctrl gombot nyomva tartva klikkeljün sorra a többi fiókra is, vagy ha fiókok sorban vannak klikkeljünk az elsőre, majd a Shift gombot lenyomva klikkeljünk az utolsó fiókra. 3. A User menüben klikkeljünk a Properties parancsra A User Properties dialógusablak jelenik meg. 4. Tegyük meg a szükséges változtatásokat 5. Klikkeljünk az OK gombra Laborgyakorlat A tartományvezérlők karbantartása A tartományvezérlők karbantartásánál vegyük figyelembe azt, hogy az elsődleges tartományvezérlő, PDC mindig elérhető kell legyen a tartományban és a felhasználói adatbázisnak aktuálisnak kell lenni a tartalék tartományvezérlőkön. Minden tartományban egy PDC van. A PDC-n tároljuk a felhasználói adatbázis „első példányát”. Ez a felhasználói adatbázis öt percenként
automatikusan replikálódik (átmásolódik, aktualizálódik) a BDC-kre. Ha valamilyen oknál fogva a PDC-t lekapcsoljuk, a felhasználók beléptetését és azonosítását csak a BDC-k végezhetik el és a rendszergazda nem végezhet semmiféle adminisztrációs tevékenységet a felhasználói fiókokkal. Ha a PDC-t ki kell kapcsoljuk Kikapcsolás előtt végezzük el a következő műveleteket: 1. Léptessük elő a BDC-t (ha több is van akkor a „legerősebbet”) a PDC helyére. Ez a PDC-t automati-kusan visszaminősíti BDC-re 2. Ha az eredeti PDC-n elvégeztük a szükséges bővítéseket vagy javításokat és szeretnénk visszaállítani a hálózatba, léptessük elő PDC-nek, ez az aktuális PDC-t visszaminősíti BDC-re. Ha a PDC meghibásodik Ha a PDC például meghibásodás miatt kerül ki a hálózatból és nem volt rá módunk, hogy az egyik BDC-t a helyébe léptessük, akkor a következőképp járjunk el. 1. Léptessünk elő egy BDC-t PDC-nek 2. Ha az
eredeti PDC visszaáll a hálózatba, léptessük vissza BDC-nek 3. Léptessük elő a régi PDC-t BDC előléptetése Amikor egy BDC-t előléptetünk, a felhasználói adatbázis replikálódik a PDC-ről és az eredeti PDC visszaminősül BDC-nek. BDC előléptetéséhez 1. Indítsuk el a Server Manager programot (Start ,Programs, Administrativ Tools) 2. A Compiuter listán válasszuk ki a BDC-t 3. A Compiuter menüben klikkeljünk a Promote to Primary Domain Controller parancsra. Egy üzenet fog megjelenni ami figyelmeztet arra, hogy a művelet eltarthat néhány percig és hogy minden felhasználói kapcsolatot a BDC-re és a PDC-re lezár. Azután felkér bennünket arra, hogy hagyjuk jóvá a változtatást. 4. Klikkeljünk a Yes-re Ha befejeztük ezt az eljárást az eredeti PDC automatikusan BDC lesz. A tartományvezérlő szerpének a visszaállítása A BDC-t tehát előléptethetjük PDC-nek azután is miután a PDC kikapcsolt (elromlott) és tehát az eredeti PDC nem lett
visszaninősítve. Ekkor nem lehetünk biztosak abban, hogy a felhasználói adatbázis replikálódott-e aBDC-re. Amikor az eredeti PDC ismét működik, a hálózaton már talál egy PDC-t, és ezért a Net Logon szolgáltatása nem fog elindulni. Ekkor szükséges visszaállítanunk az eredeti PDC-t. Az eredeti PDC szerepének a visszaállításához 1. Indítsuk el a számítógépet, amelyik eredetileg PDC-ként működött Ez induláskor észre fogja venni, hogy a tartományban már van egy PDC. 2. Indítsuk el a Server Manager programot az eredeti PDC-n Annak ellenére, hogy az eredeti és az aktuális PDC-k mint elsődleges tartományvezérlők jelennek meg, az eredeti PDC neve nem elérhető. 3. Válasszuk ki az eredeti PDC-t 4. A Compiuter menüben adjuk ki a Demote to Backup Domain Controller parancsot. 5. Válasszuk ki a BDC-t ami az eredeti PDC volt, majd a Compiuter menüben adjuk ki a Promote to Primary Domain Controller parancsot. 6. Klikkeljünk a Yes-re, hogy
elmentsük a változásokat A képernyőn üzenetet fogunk kapni, amely azt jelzi, hogy a felhasználói adatbázis az aktuális PDC-ről szinkronizálódik a BDC-re mielőtt az előlépne PDC-vé. Mindenféle adminisztrációs tevékenység után, mint például új felhasználó felvétele, vagy jelszó megváltoztatása, ha az eredeti PDCt lekapcsoljuk, egy automatikus szinkronizáció hajtódik végre a felhasználói adatbázis példányai között, hogy a változtatások ne vesszenek el. Tartományvezérlők szinkronizálása. A tartományvezérlőket manuálisan is szinkronizálhatjuk, hogy: • azonnal érvényesítsük a változtatásokat a felhasználói adatbázisban. • feeloldjuk a jelszók egyezésével kapcsolatos problémákat. Ha a felhasználó megváltoztatja a jelszavát időbe telik amíg ez az új jelszó automatikusan szétasztódik a tartományban. Egy kiválasztott BDC szinkronizálása 1. Indítsuk el a Server Manager programot, majd válasszuk ki a BDC-t 2.
A Compiuter menüben klikkeljünk a Synchronize with Primary Domain Controller parancsra. Egy üzenetet fogunk kapni ami felhívja a figyelmünket arra, hogy a művelet néhány percig eltarthat és felkér, hogy hagyjuk jóvá a változtatást. 3. Klikkeljün k Yes-re Egy üzenet fog megjelenni amely közli, hogy a kiválasztott BDC szinkronizálódik a PDC adatbázisával. Ezenkívül felhívja a figyelmünket arra, hogy nézzük meg az event logfile-t a kiválasztott BDC-n és a PDC-n, hogy meggyőződjunk a szinkronizálás sikerességéről. 4. Klikkeljünk az OK-ra Minden tartományvezérlő szinkronizálásához 1. Indítsuk el a Server Manager programot, majd válasszuk ki a PDC-t 2. A Compiuter menüben adjuk ki a Snchronize Entire Domain parancsot A megjelenő üzenet közli, hogy a folyamat néhány percig eltarthat és felkér, hogy hagyjuk jóvá a változtatásokat. 3. Klikkeljünk a Yes-re A megjelenő üzenet közli, hogy a PDC minden BDC-t felszólított a rajtuk
tárolt felhasználói adatbázis másolatának a szinkronizálására, és azt szugerálja, hogy nézzük meg az Event Log-ot, hogy megyőződjünk a szinkroizálás sikerességéről. 4. Klikkeljünk az OK-ra A belépéssel kapcsolatos problémák elhárítása A következő táblázat a gyakrabban előforduló hibaüzeneteket illetve az elhárításukhoz tartozó megoldásokat tatralmazza. Hibaüzenet Megoldás The system could not log Vizsgáljuk meg, hogy a felhasználói nevünk, you on. Make sure your a tartomány (domain) neve, és a jelszó user name are correct, helyesen van-e beírva, nézzük meg a KAPS and then type your LOCK gombot, ugyanis a jelszóban nem password again. Letters mindegy, hogy kis vagy nagybetűt írtunk-e in Password must be Ha a felhasználó elfelejtette a jelszavát, typed using correct case. Make sure CAPS LOCK is accidentaly on. that töröljük a jelszót, vagy adjunk új jelszót a not felhasználónak. Ha a felhasználói fiók új, esetleg
még nem szinkronizálódott a BDC-kkel. Sinkronizáljuk a tartományvezérlőket. A domain controller for Győződjünk meg arról, hogy ez-e az egyetlen your domain could not be számítógép amelyiken a probléma jelentkezik. contacted. You have been Ellenőrizzük, hogy a tartományvezérlők logged on using cached elérhetőek-e. account information. Ha aPDC nem „online”, léptessük elő a BDC-t Changes made to your PDC-nek. profile since you last Ha csak egy számítógépen jelentkezik a logged on may not be probléma, ellenőrizzük, hogy a hibás gép avialable. csatlakozik-e a hálózatra, a hálókártyája működik-e (villog-e). Ha mindent rendben találtunk, próbáljuk meg újraindítani a hibás számítógépet. Your account has time A felhasználónak ebben az órában nem restriction that prevent engedélyezett a belépés. A felhasználónak a you from logging on at beléptetéséhez módosíthatjuk a beléphetési this time. Please try óráit again later.
Your account is A felhasználónk csak bizonyos gépeken léphet configured to prevent be a hálózatba. Ahhoz, hogy egy másik gépen dolgozhasson módosítsu a Logon To you from using this is workstation. Please try korlátozásokat a felhasználói fiókjában another workstation Laborgyakorlat Kérdések 1. Mikor és hogyan hozunk látre sablonokat a felhasználói fiókok létrehozásához? 2. Miket tartalmaz a felhasználói fiókok házirendje (policy) és mi a jelentősége? 3. Ha a PDC-je elromlik, mit kell tennie a felhasználói adatbázis karbantartásáért? 4. Mi lehet az oka annak, ha egy felhasználó nem tud bejelentkezni? 5. Hálózati erőforrások védelme rendelt jogsultságokkal a megosztott könyvtárakhoz Bevezetés a megosztott mappákba Mi a Megosztás A megosztás a Windows NT azon lehetősége amely megengedi, hogy kijelöljük azokat az erőforrásokat amelyeket szeretnénk, hogy a felhasználók elérjenek a hálózaton keresztül. Ha egy
könyvtár meg van osztva, a felhasználók hozzákapcsolódhatnak a hálózaton keresztül és elérjék azokat a file-okat amiket tartalmaz. A megosztott könyvtárakhoz jogosultságokat adhatunk, hogy ellenőrzés alatt tarthassuk azt, hogy a felhasználók mit tehetnek a megosztott könyvtarban. Például, ha a felhasználoknak elég csak megnézni a megosztott könyvtár file-jait adjunk nekik Read jogot, ha a felhasználóknak file-okat kell hozzáadni vagy eltávolítani a megosztott könyvtárból, adjunk nekik Change jogot. A megosztot könyvtár a Windows NT Explorer-ben és a My Computer-ben úgy jelenik meg, hogy a mappa ikont egy kéz tartja. Fontos: ha egy könyvtár meg van osztva, a jogosult felhasználók hozzáférhetnek a könyvtár összes file-jához és alköyvtárjához. Miért osszuk meg a könyvtárakat? A megosztott könyvtárak megengedik a felhasználóknak, hogy elérjék az alkalmazásokat, adatokat és hogy használják a home könyvtárukat. • A
hálózati alkalmazások könyvtárai centralizálják egyszerűsítik a hálózat adminisztrációját egyetlen hely kijelölésével a programok beállítása és frissítése érdekében. Ilyen módon egyszerűbb a kliens programok karbantartása. • Az adatokat tartalmazó könyvtárakban a felhasználók egy közös helyen tarthatják az adataikat amelyeket közösen használnak. • A felhasználók home könyvtára egy olyan központi hely ahonnan könnyű menteni a felhasználók egyéni, személyes adatait. A megosztott könyvtárak használata az egyedüli módja annak, hogy az erőforrásainknak biztonságot nyújtsunk FAT köteteken. Megosztott könyvtárak engedélyei (jogosultságai) Hogy ellenőrizhessük azt, hogy a felhasználók hogyan használják a megosztott könyvtárakat, nekik engedélyeket, jogosultságokat kell adnunk. A jogosultságokat adhatjuk a felhasználói fiókoknak, csoportoknak, vagy mindkettőnek. A következő tábláza ezeket a jogosultságokat
foglalja össze: A Megengedi a felhasználónak, hogy joogosultság Full Control megváltozthassa a fille-hoz tartozó jogosultságokat (alapértelme elnyerje a file-ok tulajdonjogát az NTFS köteteken zett) elvégezzen minden olyan műveletet amit a Change jog biztosít Change file-okat és könyvtárakat hozzon létre megváltoztassa a file adatait illetve hogy új adatokat írjon a már létezőkhöz megváltoztassa a file attribútumait töröljön file-okat és könyvtárakat és mindent amit a Read jog megenged Read láthassuk a file-ok és könyvtárak neveit láthassuk a file-ok adatait és attribútumait futtassuk a programfile-okat váltsunk a könyvtárak között Csak egy kapcsolatot létesít a megosztott könyvtárral. A No Access hozzáférés nem engedélyezett és a tartalma nem jelenik meg. Fontos hogy a megosztott könyvtárakhoz rendelt jogok csak akkor érvényesek, ha a könyvtárhoz hálózaton keresztül kapcsolódik a felhasználó. Azok a felhasználók
akiknek van „Log on locally” joguk, használhatják a helyi számítógépet és annak az erőforrásait (merevlemezét) kikerülve a megosztott könyvtárakhoz rendelt jogokat. Egy ilyen felhasználó ugyanakkor korlátozható NTFS jogosultságok által. Hogyan érvényesülnek a felhasználói és csoport jogosultságok A jogosultságokat a megosztott könyvtárakhoz rendelhetjük a felasználói fiókokhoz, vagy pedig a felhasználócsoportokhoz. Mivel egy felhasználó tagja lehet több csoportnak is amelyeknek különböző jogosultságai vannak, ezért az egyes felhasználók különböző hozzáférési jogosultságokat kaphatnak. A jogosultságok a következő módon jutnak érvényre: • Ha a felhasználónak kiosztottunk valamilyen jogosultságot egy megosztott könyvtárhoz és a felhasználónk ugyanakkor tagja egy csoportnak is, amely csoportnak szintén van ahhoz a könyvtárhoz egy másmilyen jogosultsága, a felhasználónk effektív joga az illető könyvtárhoz a
kétféle jogosultság kombinálásából alakul ki. Például ha a felhasználónknak Read jogot adunk a Public könyvtárhoz és a felhasználonk tagja az Everyone csoportnak amely csoportnak ugyanehhez a könyvtárhoz FullControl joga van, a jogosultságok kombinálásából a felhasználónknak FullContol joga lesz. • Ez alól az egyetlen kivétel a No Access jog, amely jog felülír minden más jogot amit a felhasználóhoz esetleg más csoportokhoz rendeltünk, amely csoportoknak a felhasználó szintén a tagja. Például ha a felhasználónk megkapta a Public könyvtár Read jogát, és a felhasználónk tagja a Sales csoportnak, amely csoportnak No Access joga van ugyanazon könyvtárhoz, a felhasználónk effektív joga a No Access lesz. Ha egy erőforráshoz nincs kiosztva jogosultság sem afelhasználó számára sem egyik olyan csoport számára sem amelyiknek a felhasználó tagja, akkor ez a felhasználó nem fogja tudni elérni az illető erőforrást. Példák a
jogosultságok alkalmazására (Vitassuk meg) Az ábrán két példa látható, ahol a megasztott könyvtárakhoz jogosultságokat adtunk. Vizsgáljuk meg mindkét példát és határozzuk meg a User1 felhasználó effektív jogait. 1. Az első példa azt mutatja, hogy az User1 felhasználó tagja a Groups1,2,3és4 csoportoknak, de a négy csoportnak különböző jogosultságai vannak a megosztott Folder A könyvtárhoz. Melyek lesznek az effektív jogai az User1 felhasználónak a Folder A könyvtárhoz? 2. A második példa azt mutatja, hogy az User1 felhasználó tagja a Groups1,2,3és4 csoportoknak, de a négy csoportnak különböző jogosultságai vannak a megosztott Folder B könyvtárhoz. A felhasználónak direkt joghozzárendelése is van. Melyek lesznek az effektív jogai az User1 felhasználónak a Folder B könyvtárhoz? Irányelvek megosztott könyvtárakhoz Egy jól működő hálózaton a hálózati alkalmazások, a publikus és a privát adatok illetva a
felhasználók home könyvtárai gyorsan elérhetőek kell legyenek a meghatalmazott felhasználók számára. A könyvtárak megosztásánál vegyük figyelembe a kövezkezőket: • Használjunk intuitív megosztásneveket, hogy a felhasználók tudják gyorsan felismerni és azonosítani az erőforrásokat. Például az Application könyvtárnak használjuk az Apps megosztási nevet. • Használjunk olyan megosztási neveket, amelyek elolvashatóak a hálózat minden kliense által. A következő táblázatban a könyvtárak névadási szabályait írtuk le: Kliens Share név Könyvtárnév Windows NT és Windows 95 12 karakter 255 karakter MS-DOS, Windows 3.x és 8.3 karakter 8.3 karakter Windows for Workgroups A Windows NT támogatja a 8.3 típusu ekivalens nevek előállítását, de ezek a nevek nem intuitívak a felhasználók számára. Például a Accountants Database nevű könyvtár mint Accoun~1 fog megjelenni egy MS-DOS-t, Windows 3.x-et, vagy Windows for
Workgroups-t futtató kliensnek • Szervezzük meg a lemez eerőforrásait úgy, hogy a hasonlo biztonsági könyvtárak ugyanabban a követelményeket ígénylő könyvtárhierarchiában legyenek. Például ha egy felhasználónak szüksége van a Read jogra több alkalmazásokat tartalmazó könyvtárra, ezeket a könyvtárakat tegyük ugyanabba a főkönyvtárba. Példák megosztott könyvtárakra A szerverünkön lévő erőfoorások alapján meg kell határoznunk, hogy a szerverünk mely könyvtárait használhatják a felhasználók a hálózaton keresztül. Bármelyik könyvtárat megoszthatjuk a könyvtárszerkezetből A felhasználók csak a megosztott könyvtárakhoz csatlakozhatnak a hálózaton keresztül. Ha könyvtár meg van osztva , a felhasználók a megfelelő jogosultságokkal elérhetik a tartalmát, de nem érhetik el a könyvtár szülőkönyvtárát, illetve a megosztott könyvtárral egy szinten lévő könyvtárakat. Az ábrán bemutatott példák azt
próbálják megmagyarázni, hogyan osszuk meg a könyvtárakat úgy, hogy a könyvtárszerkezet többi része biztonságban maradjon. Mindhárom példában a Users felhasználócsoport csak az Apps, App1 és App2 könyvtárakhoz férhet hozzá a hálózaton keresztül. A. Ebben a példában megosztjuk az Apps könyvtárat és a Users csoportnak Read jogot adunk. A Users csoport tagjai kapcsolódhatnak a megosztott Apps könyvtárhoz, ami tartalmazza az App1 ésApp2 alkönyvtárakat is. B. Ebben a példában is megosztjuk az Apps könyvtárat és a Users csoportnak Read jogot adunk. Ez megengedi a felhasználóknak, hogy elérjék az Apps, App1 és App2 könyvtárakat, mivel ugyanabban a hierarhiában vannak, de nem engedi meg, hogy elérjék a SW, SW1 és SW2 könyvtárakat amelyek már egy másik hierarhiában találhatóak. Amikor a felhasználó csatlakozik az Apps könyvtárhoz, ez mint root vagy gyökérkönyvtár jelenik meg. Nem láthatóak a magasabb szintű könyvtárak, de
az azonos szinten lévők sem. Csak a megosztott könyvtár látszik amihez kapcsolódtunk. C. Ebben a példában megosztjuk az SW könyvtárat és az Administrators csoportnak Full Control jogosultságot adunk. Ezzel az Administrators csoportnak engedélyeztük könyvtárakhoz. a hozzáférést az SW, SW1,SW2 és Apps Irányelvek a jogosultságok kiosztásához A következőkben felsoroljuk azokat az általános irányelveket, amelyeket ajánlott követni amikor felhasználói fiókokhoz vagy csoportokhoz jogosultságokat osztunk ki. • Határozzuk meg minden erőforráshoz azt, hogy mely csoportoknak milyen szintű hozzáférésre van szüksége. Dokumentáljuk a csoportokat és a nekik kiosztott jogosultságokat minden erőforráshoz. Például a Sales Data könyvtárhoz Sales csoportnak Change joga, az Administrators csoportnak Full Control joga, míg az Executives csoportnak Read joga van. • A jogosultságokat inkább csoportoknak adjunk mint feelhasználóknak,
hogy egyszerűsödjön az adminisztráció. • A globális csoportokat vegyük fel a lokális csoportokba, majd a lokális csoportoknak adjunk megfelelő jogosultságokat. • A megosztott könyvtárakhoz csak azoknak a csoportoknak adjunk jogosultságot amelyeknek szükséges. • Az erőforrásokhoz csak a munka elvégzéséhez feltétlenül szükséges jogosultságot adjuk meg. Például, ha felhasználóknak elég elolvasni a könyvtár file-jaiban lévő információt, és nekik soha nem kell ott file-okat létrehozni vagy törölni, adjunk Read jogot hozzá. • Vegyük el az Everyone csoporttól az alapértelmezett Full Control jogot az újonnan megosztott könyvtáraknál. Ha megosztunk egy könyvtárat, az Everyone csoport automatikusn megkapja hozzá a Full Control jogot. A nagyobb biztonság eléréséért, töröljük az Everyone csoporot és adjunk jogokat a megfelelő csoportoknak. Az Everyone csoport ugyanis minden olyan felhasználót tartalmaz aki használja a
hálózatunkat és még a Guest csoport tagjait is. Irányelvek a hálózati alkalmazások könyvtárához Nagy helyi hálózatok esetében egy vagy több szervert csak a hálózati alkalmazások futtatására használnak. Kis helyi hálózatokon egy szervert használhatnak az alkalmazások futtatására és az adatok tárolására is. Amikor az alkalmazások könyvtárait sztjuk meg, vegyük figyelembe a következőket. • Az alkalmazásokat telepítsük egy közös könyvtárba, majd osszuk meg például Apps néven. Az alacsonyabb szzintű könyvtárakat, ahol az egyes alkalmazások találhatóak csak akkor osszuk meg az egyes felhasználócsoportok felé, ha korlátozni akarjuk a hozzáférést bizonyos alkalmazásokat tartalmazó könyvtárakhoz. Ha például az Accountants csoport tagjait csak a Microsoft Excell könyvtárra korlátozzuk Read joggal, tegyük a következőket: - Vegyük el a jogosultságát minden olyan csoportnak az MSOffice könyvtártól amelyik tartalmazza az
Accountants csoportot vagy annak a tagjait. - Osszuk meg a Microsoft Excell könyvtárat Excell néven, majd az Accountants globális csoportot tartalmazó lokális csoportnak adjunk Read jogot a könyvtárhoz. • • • Az Administrators csoportnak adjnk Full Control jogot az Apps könyvtárhoz. Az Everyone csoport Full Control jogát vegyük el és adjunk Read jogot a Users csoportnak. Ez nagyobb biztonságot nyújt, mert a Users csoport csak általunk létesített felhasználói fiókokat tartalmaz, míg az Everyone csoport mindenkit aki a hálózaton keresztül csatlakozik. Adjunk Change jogot annak a csoportnak aki az alkalmazások frissítéséért és hibaelhárításáért felelős. Irányelvek az adatkönyvtárakhoz Amikor adatokat tartalmazó könyvtárakat osztunk meg, vegyük figyelembe a következőket: Publikus adatok esetében • Használjunk közös könyvtárakat azért, hogy az adatokat könyebb legyen menteni. • A Public könyvtárat egy, az operációs
rendszertől és az alkalmazásoktól elkülönülő köteten hozzuk létre és osszuk meg. • A Users felhasználócsoportnak adjunk Change jogot. Ez lehetővé teszi a felhasználóknak, hogy ezen a központi helyen tárolják és osszák meg a file-jaikat másokkal. Munka adatok esetében • Hozzuk létre és osszuk meg aData könyvtárat égy az operációs rendszertől és az alkalmazásoktól elkülönült köteten. Ez megkönnyíti a mentési és visszaállítási műveleteket. Ha esetleg szükség lenne az operációs rendszer újratelepítésére, az adatokat tartalmazó kötet sértetlen marad. • Az alacsonyabb szintő adatkönyvtárakat osszuk meg a megfelelő csoportok felé, ha korlátozni akarjuk a hozzáférést ezekhez a könyvtárakhoz. Például az Accountants könyvtár adatainak védelmében a könyvtárat csak az Accountants csoport felé osszuk meg Change jogot adva a csoportnak. Így az Accountants csoport tagjai hozzáférhetnek az Accountants könyvtár
adataihoz. Az Administrator csoport a Data könyvtárhoz férhet hozzá. Irányelvek a home könyvtárakhoz Ha a felhasználók home könyvtárát FAT köteten hozzuk létre és csak megosztással korlátozzuk a hozzáférést, járjunk el a következőképpen: 1. Hozzunk létre egy központi könyvtárat, például Users néven, egy az operációs rendszertől és az alkalmazásoktól elkülönülő köteten. Ez megkönnyíti a mentési és visszaállítási eljárást. Ha esetleg az operációs rendszert újra kell telepíteni, a home könyvtárakat tartalmazókötet sértetlen marad. 2. Ebben a könyvtárban hozzunk létre minden felhasználónak egy könyvtárat a saját felhasználói nevével. 3. A FAT köteten osszuk megminden felhasználó home könyvtárát és csak az illető felhasználónak adjunk Full Control jogot a saját home könyvtárához. Ez garantálni fogja a felhasználónak, hogy egyedül csak ő tud majd a home könyvtárához hozzáférni. A FAT köteteken ez
az egyedüli módja a felhasználók könyvtárainak a védelmére. 4. Hogy a felhasználó belépésekor meghatározzuk a felhasználó home könyvtárának a helyét, A User Manager for Domains programban írjuk be a höme könyvtár elérési útját az UNC szabvány szerint a Home Directory To dobozba, úgy hogy az tartalmazza a server nevét és a %Username% rendszerváltozót is. Például: \szervernévUsers\%Username% alakban. A FAT köteteken szükséges előbb létrehozni és megosztani a home könyvtárat és csak majd azután meghatározni a home könyvtár elérési útját a User Manager for Domains programban. 5. Hogy a kizárólagos jogosultság biztosítva legyen, ne osszuk meg az egy szinttel feljebb levő Users könyvtárat. Ahhoz, hogy a home könyvtárakkal adminisztratív tevékenységet végezhessünk jelentkezzünk be helyileg a szerverre, vagy csatlakozzunk egy adminisztratív share-hezmint például a C$, D$,. Laborgyakorlat Könyvtárak megosztása A
Windows NT-t futtató számítógépeken minden könyvtár megosztható. A következő táblázat tartalmazza a csoportra és az operációs rendszerre vonatkozó feltételeket ahhoz, hogy egy könyvtárat megoszthassunk. Csoport Operációs rendszer Administrators Minden Windows NT-t futtató számítógép Server Operators Csak a PDC-ként működő Windows NT Server Power Users A Windows NT Server- t futtató tagszerverekés a Windows NT Worksta-tion-t futtató számítógépek. Az NTFS köteteken a felhasználónak legalább List joggal kell rendelkeznie, hogy megoszthasson egy könyvtárat. Adminisztratív share-ek A Windows NT a következő share neveket használja adminisztratív célokra. Share Célszerű C$,D$,E$ és A mervlemez minden kötete automatikusan meg lesz osztva, ilyenek a megosztási név pedig úgy lesz megállapítva, hogy a meghajtó betűjele után egy dollárjel kerül. A dollárjel elrejti a megosztott könyvtárat a számítógpet böngésző felhasználók
elől. Ha ehhez a könyvtárhoz csatlakozunk, akkor az egész kötetet láthatjuk. Az adminisztratív share-eket arra használhatjuk, hogy távolról kapcsolódva a számítógéphez el tudjuk végezni az adminisztratív tevékenységeket. Admin$ A C:Winnt könyvtár mint Admin$ van megosztva. Ez egy speciális megosztott könyvtár és csak a rendszer távoli adminisztrálásához szükséges. Könyvtár megosztása A könyvtár megosztásakor az első lépés egy megosztásnév kijelölése. Megosztott könyvtár létrehozásához 1. A Windows NT Explorer programban klikkeljünk a jobb gombbal a megosztandó könyvtárra. 2. Klikkeljünk a Sharingparancsra. A Könyvtárnév Properties dialógusablak jelenik meg. 3. Válasszuk a Sharing fület, majd állítsuk be a következőket: Opció Leírás Share Name Ezen a néven fogják látni a távoli felhasználók az erőforrást amikor hozzá csatlakoznak. A share-nevet (megosztásnevet) be kell írnunk. Ha rejtett Share-t akarunk
létrehozni, írjunk a neve után egy $ jelet. A $ jel elrejti a megosztott könyvtárat a számítógépet böngésző felhasználók elől. Comment A megosztott könyvtár tömör leírását adhatjuk meg itt. Ez megjelenik a Map Network Drive dialógusablakban amikor a felhasználók megosztott konyvtárakat keresnek a szerveren. Segíthet a megosztott könyvtár gyors azonosításában. User Limit Beállítja, hogy maximálisan hány felhasználó csatlakozhat egyidőben a megosztott könyvtárra. A Windows NT Workstation esetében ez maximum 10 lehet, míg a Windows NT Server esetében nincs korlátozás Permissions A könyvtárhoz való jogosultságokat állítja be amelyek csak akkor érvényesek, ha a hálózaton keresztül csatlakozunk a könyvtárra. Az Everyone csoport minden újonnan megosztot könyvtárhoz automatikusan Full Control jogot kap. New Share Akkor jelenik meg ha a könyvtár már előzőleg is meg volt osztva. Egy könyvtár többször is megosztható
különböző nevekkel és különböző jogosultságokkal. Ugyanakkor a könyvtárhoz rendelt több megosztási név több adminisztrációt is kíván. 4. Klikkeljünk az OK-ra Jogosultságok adása a megosztott könyvtárakhoz A megosztási név megadása után a következő lépés annak a meghatározása, hogy mely felhasználók használhatják a megosztott könyvtárat. Ezt jogosultságok kiosztásával tehetjük meg a kiválasztott felhasználócsoportok felé. Jogosultságok adásához egy megosztott könyvtárra 1. A Windows NT Explorerben klikkeljünk a jobb gombbal a megosztott könyvtárra. 2. Klikkeljünk a Sharing fülre 3. A Könyvtárnév Properties dialógusablakban klikkeljünk a Permissionsra 4. A megjelenő Access Trough Share Permission dialógusablakban klikkeljünk az Add-ra, az Add Users and Groups dialógusablak fog megjelenni. 5. Az Add Users and Groups dialógusablakban válasszuk ki a felhasználót, vagy a csoportot, amelyhez szeretnénk jogosultságot
rendelni. 6. Klikkeljünk a Show Users-re, hogy a tartomány minden felhasználója megjelenjen. A kiválasztott felhasználók és a csoportok az Add Names dobozba íródnak át. A többtartományú hálózatokban klikkeljünk a List Names From listára, hogy kiválasszuk mely tartomány felhasználóit vagy csoportjait lássuk illetve hogy melyekhez rendeljünk jogosultságokat. 7. A Type Of Access dobozban, klikkeljünk a megfelelő jogosultságra, amit a felhasználónak vagy csoportnak adni szeretnénk.(No Access, Read,Change,vagy Full Control) 8. Klikkeljünk az OK-ra, hogy visszatérjünk a Access Through Share Permission dialógusablakhoz. 9. Klikkeljünk az OK-ra, hogy visszatérjünk a Könyvtárnév Properties dialógusablakhoz, majd ott is klikkeljünk az OK-ra. Megosztott könyvtérak módosítása A megosztott könyvtárak minden tulajdonsága megváltoztatható a könyvtárnév Properties dialógusablakban, kivéve a megosztási név. A megosztott könyvtár
módosításához: 1. A Windows NT Explorer-ben klikkeljünk a jobb gombbal a megosztott könyvtár nevére, majd pedig a Sharing parancsra. 2. A könyvtárnév Properties dialógusablakban a Sharing fülön állítsuk át a kívánt módon az alábbiakat: Azért, hogy Tegyük a következőt megszüntessük a Klikkeljünk a Not Shared rádiógombra, majd az OK-ra. megosztást megváltoztassuk a Klikkeljünk a Not Shared rádiógombra, hogy megszüntessük a megosztást, majd az Apply megosztá-si nevet gombra, hogy érvényesítsük a változtatást. Klikkeljünk a Shared As rádiógombra, majd írjuk be az új share nevet. megosztott könyvtár Klikkeljünk a Permission gombra. Access Through Share Permissions jogosult-ságait a Az megváltoztassuk dialógusablakban válasszuk ki a felhasználót, vagy csoportot akinek a jogosultságát módosítani szeretnénk. A Type Of Access dobozban klikkeljünk arra a jogosultságra amit szeretnénk megadni, majd klikkeljünk az OK-ra Fontos: Ha
egy könyvtár megosztását akkor szüntetjük meg amikor egy felhasználó éppen megnyitva tartja a könyvtár egy file-ját, adatvesztés történhet. Amikor klikkeljük a Not Sharedrádiógombot, egy üzenet jelenik meg ami figyelmeztet arra, hogy felhasználó kapcsolódik a megosztott könyvtárhoz. Hozzáférés megosztott könyvtárakhoz Megosztott könyvtárakhoz a Windows NT Explorer, vagy a Run parancs segítségével lehetséges a kapcsolódás. Hálózati meghajtó mapelése a Windows NT Explorerrel 1. Indítsuk el a Windows NT Explorer programot 2. A Tools menüben klikkeljünk a Map Network Drive parancsra, majd állítsuk be a következő opciókat. Ppció Jelentése Drive A megosztott könyvtárhoz egy meghajtó betűjelet rendel és az úgy fog megjelenni mint egy helyi meghajtó. A felhasználó így legtöbb 26 betűt rendelhet megosztott hálózati könyvtárakhoz. A hely egységek által már elhasznált betűk már nem jelennek meg a Drive listán. Path Ez egy
UNC path és meghatározza azt, hogy a megosztott könyvtárat milyen úton lehet elérni. Connect As Reconnect Logon (számítógépnév, share-név) A megosztott könyvtárhoz mint más felhasználó csatlakozik. Például a rendszergazda egy felhasználó gépén dolgozik és szüksége van egy olyan erőforrásra amire az illető felhasználónak nincs jogosultsága. Aconnect As opciónak szüksége van a tartománynévre és egy ott érvényes felhasználói fiók nevére a következő formában: Tartománynévfelhasználónév. Ha a felhasználónak van jelszava a felszólít, hogy azt adjuk meg. at Ha ki van választva, minden újraindításkor amikor a felhasználó belép megpróbálja újra összekapcsolni a felhasználót a megosztott könyvtárral . A Run parancs használata A Run parancs használata a hálózati megosztott könyvtárakhoz való csatlakozásra két előnnyel is jár a Map Network Drive parancshoz képest. Ezek a következők: • Nem szükséges a
meghajtó betűjel, ami memóriát foglal le • A felhasználó végigböngészhet a hálózaton minden megosztott könyvtárat a számítógépeken. Hogy elérjünk egy megosztott könyvtárat a Run paranccsal: 1. Klikkeljünk a Start-ra majd a Run parancsra 2. Az Open dialógusablakban, írjuk be az elérési utat UNC formában, ami a számítógépnévből és a megosztásnévből áll. Például: \servernévshare-név Ahhoz, hogy egy számítógépen láthassuk az összes megosztott könyvtár nevét, írjuk be csak a számítógépnév részét az UNC path-nak,majd klikkeljünk az OK-ra. Például, beírva a \Instruktor path-ot megnyílik az Instructor Explorer ablak, ami tartalmazza az Instructor számítógép minden megosztott könyvtárát. A kívánt megosztott könyvtárra klikkelve befejezzük a kapcsolódást. Jó tanácsok A következő lista a könyvtármegosztással kapcsolatos jótanácsokat foglal össze. • Szervezzük meg a merevlemezünk erőforrásait úgy, hogy
az azonos biztonsági küvetelményeket támasztó könyvtárak ugyanabban a könyvtárhierarhiában legyenek. gy egyszerűsödik az adminisztráció • Az adatokat és a home könyvtárakat tároljuk az operációs rendszertől és az alkalmazásoktól külön köteten. Ezáltal egyszerűsödik a mentési és visszaállítási tevékenység. Ha az operációs rendszert újra kell instalálnunk, ezek az adatok érintetlenek maradnak. • Távolítsuk el az Everyone csoportot a jogosultsági listáról, hogy megelőzzük az erőforrások illetéktelen használatát. Az Everyone csoport helyett esetleg használhatjuk a Users csoportot ami több biztonságot ad mivel csak a rendszergazda által létrehozott felhasználói fiókokat tartalmaz. • Inkább csoportoknak mint felhasználóknak adjunk jogosultságokat, hogy egyszerűbb legyen az adminisztráció. • Korlátozzuk az egyszerre kapcsolódó felhasználók számát az User Limit opció segítségével a Sharing fülün. Ezáltal
csökkenthető a hálózati forgalom a megosztott könyvtár felé, illetve megerősítjük a software licens-ben előírt korlátozást az egyidőbeli használatra vonatkozóan. • Készítsünk parancsikonokat azok felé az erőforrások felé amiket a felhasználók gyakran használnak. Dokumentáljuk a megosztott könyvtárakhoz rendelt jogosultságokat. Módosítsuk mindíg ezt a dokumentumot amikor a szerveren olyan változtatásk történnek mint például software aktualizálás, vagy megosztott könyvtárak nevének illetve jogosultságainak a megváltoztatása. Laborgyakorlat Kérdések 1. Hogyan adhatunk egy felhasználónak olyan képességeket, hogy könyvtárakat tudjon megosztani a Windows NT-t futtató számítógépeken? 2. Ha egy könyvtár meg van osztva , a felhasználóknak a megfelelő jogosultságokkal mihez van hozzáférésük? 3. Milyen jogosultságok adhatók a megosztott könyvtárakhoz? 4. Melyik az alapértelmezett jogosultság a megosztott
könyvtárakhoz? 5. Hálózati erőforrások biztonsága NTFS partíción Bevezetés az NTFS jogosultságokba Mik az NTFS jogosultságok? Olyan jogosultságok amelyek csak a Windows NT file rendszerrel (NTFS) formázott köteteken érvényesíthetőek. Nagyobb biztonságot nyújtanak mivel hozzárendelhetőek a könyvtárakhoz és az egyes file-okhoz is. A megosztott könyvtárak jogosultságaival ellentétben, az NTFS jogosultságok védik a helyi file-okat és könyvtárakat is és úgy hivatkozunk rájuk mint helyi jogosultságokra. Miért használunk NTFS jogosultságokat? NTFS jogosultságokat az erőforrások védelmében használunk, hogy megvédjük őket a számítógépet használó felhasználóktól: - Helyileg, a számítógép előtt ülőtől, ahol az erőforrás tárolva van. - Távolról, a megosztott könyvtárakhoz kapcsolódások által. Fontos: Ha egy kötetet NTFS-re formázunk , az Everyone csoport automatikusa Full Control jogot kap a kötethez. A köteten
létrehozott könyvtárak és file-ok örökölni fogják ezt a jogot. NTFS jogosultságok Az Ntfs jogosultságokat megadhatjuk egyaránt könyvtárakhoz és fileokhoz is. A következő táblázat összefoglalja azokat a tevékenységeket amiket a felhasználónak jogában áll megtenni, amikor egyéni jogosultságokat osztunk ki file-okhoz illetve könyvtárakhoz: NTFS Könyvtárszinten a felhasználó File szinten a felhasználó jogosult ság Read (R) Láthatja a könyvtárneveket, Láthatja a file tartalmát, attribútumo-kat,tulajdonost attribótumait, tulajdonosát és és jogosultságokat a jogosultságokat Write Új file-okat és könyvtárakat Láthatja a tulajdonost és a (W) hozhat létre, jogosultságokat, megváltoztathatja a könyvtár megváltoztathatja a file attribútu-mait, láthatja a attribútumait, a file-ban tulajdonost és a adatokat hozhat létre, vagy jogosultságokat adatokat adhat hozzá a filehoz. Execute Láthatja a könyvtár Láthatja a tulajdonost
és a (X) attribútumait, láthat-ja jogosultságokat, és az atulajdonost és a attribútumokat. Futtathatja a jogosultságokat, file-t ha az végrehajtható. változtatásokat tehet a könyvtáron belül. Delete Letörölheti a könyvtárat Letörölheti a file-t. (D) Change Megváltoztathatja a Megváltoztathatja a file-hoz Permissi könyvtárhoz tartozó tartozó jogosultságokat. on (P) jogosultságokat. Take Átveheti a könyvtár Átveheti a file tulajdonjogát. Ownershi tulajdonjogát p (O) Az NTFS köteteken az a felhasználó aki létrehoz egy file-t vagy könyvtárat, automatikusan a tulajdonosa lesz annak. A tulajdonos bármikor megváltoztathatja a file vagy könyvtár jogosultságát. Szabványos jogosultságok A legtöbb esetben az NTFS szabványos jogosultságokat használjuk. A szabványos jogosultaágok tulajdonképpen az egyedi NTFS jogosultságok bizonyos kombinációjából áll. Általuk egyszerűsödhet az adminisztráció, mivel megadják azt a lehetőséget,
hogy egy időben a jogosultságok egy kombinációját jelöljük ki. A Windows NT támogatja a szabványos jogosultságokat a file-okhoz és a könyvtárakhoz is. Szabványos könyvtár-jogosultságok A következő táblázat a szabváyos könyvtár-jogosultságokat tartalmazza és az egyéni NTFS jogosultságokat amikből ezek állanak. Szabványos jogosultság Egyéni jogosultságok a Egyéni jogosultságok a könyvtárban könyvtár file-jaiban No Access Nincs Nincs List RX Nincs meghatározva Read RX RX Add WX Nincs meghatározva RWX RX Add & Read Change RWXD RWXD Full Control All All Szabványos file jogosultságok A következő táblázat a szabványos file jogosultságokat tartalmazza és az egyedi NTFS jogosultságokat, amelyek alkotják ezeket. Szabványos Egyedi NTFS jogosultság jogosultságok No Access nincs Read RX Change RWXD Full Control All Hogyan érvényesülnek az NTFS jogosultságok Az NTFS jogosultságokat felhasználóknak és csoportoknak adjuk,
ugyanógy mint a megosztott könyvtárjogokat adtuk ki. - egy felhasználó kaphat jogokat direkt hozzárendeléssel, vagy mint egy csoport tagja. - egy felhasználó több csoportnak is lehet a tagja, amelyekhez különböző jogosultságokat rendeltek A file-okhoz rendelt NTFS jogosultságok elsőbbséget élveznek, vagyis erősebbek a könyvtárakhoz (amelyben az illető file is található) rendelt jogoknál. Például, ha egy felhasználónak Read joga van egy könyvtárban és Write joga van egy file-hoz amely file az iménti könyvtárban van, akkor a felhasználó írhatja a file-t. Ez mindig igaz, kivéve ha a felhasználónak No Access joga van a könyvtárhoz. A felhasználó viszont mindenesetben (ebben az esetben is) elérheti a file-t, a file-hoz rendelt jogosultságaival, ha az UNCpathot használja (helyi számítógépen a közönséges lokális path is haszználható). Például ha a felhasználónknak No Access joga van egy könyvtárhoz, ami tartalmaz egy olyan
file-t amihez a felhasználónknak Change joga van, a file megnyitható egy alkalmazásból ha az alkalmazás Open File dialógusablakába beírjuk a file teljes elérési útját. Megosztott könyvtárjogok és NTFS jogok kombinálása Hogy segítsük a felhasználókat a lemezeken található erőforrásokelérésében, az erőforrásokat tartalmazó könyvtárakat meg kell osztani. Ha a könyvtárat megosztottuk, rendelhetünk hozzá jogosultságokat a felhasználók és a csoportok számára, hogy ellenőrízhessük a hálózaton keresztül történő hozzáféréseket. A megosztott könyvtárakhoz rendelt jogosultságok kisebb biztonságot nyújtanak, mert: - a felhasználónak ugyanolyan szintű jogokat ad a megosztott könyvtár minden file-jához és alkönyvtárához, mint magához a megosztott könyvtárhoz. - nincs hatása akkor amikor a felhasználó a helyi gépen használja az erőforrást. - nem használható egyes kiemelt file-ok védelmére. A legmagasabb biztonsági
szint a kétféle jogosultság kombinálásából alakítható ki. Az effektív jog mindíg a leginkább kizáró (restriktív) jogosultság. Például: Az ábra példáján, az Everyone csoportnak Read joga van a Public megosztott könyvtárra. Ugyancsak az Everyone csoportnak direkt hozzárendeléssel a File-A és a File-B file-okhoz Full Control NTFS joga van. Mégis az effektív joga a Read mert az a leginkább restriktív jog a kétféle jogosultság között. User2-nek Full Control joga van a File-A és Read joga a File B fileokhoz. User2 nincs korlátozva a megosztott könyvtárhoz rendelt jogosultságok által mert ő a helyi számítógépről használja a Public könyvtárat. A videón is láthatjuk, hogyan alakulnak azzz effektív jogok, akkor amikor kombináljuk az NTFS jogokat a megosztott könyvtárakhoz rendelt jogokkal. Ha megnézték a videót próbáljanak meg válaszolni a következő kérdésekre? 1. Mihez adnak hozzáférést a megosztott könyvtárak? 2. Mihez
kapcsolódnak a megosztott könyvtárak jogosultságai? 3. Mihez lehet NTFS jogosultságokat hozzárendelni? 4. Mikor kombinálod a megosztott könyvtárak jogosultságait az NTFS jogosultságokkal? Melyik lesz az effektív jog? Példák az NTFS jogok és a megosztott könyvtárakhoz rendelt jogok kombinálására Vitassuk meg az ábrán látható két esetet. Az ábra megosztott könyvtáraiban file-ok és könyvtárak találhatók, amikhez NTFS jogokat rendeltünk. Mindkét példában határozzuk meg a felhasználók effektív jogait: 1. Az első példában, a Users könyvtár, amely a felhasználók home könyvtárait tartalmazza, meg van osztva, és a Users csoportnak a megosztott könyvtárhoz Full Control jogot adtunk. User1, User2 és User3 felhasználóknak NTFS Full Control jogot adtunk, de kinek kinek csak a saját alkönyvtárához. Mindhárom felhasználó tagja a Users csoportnak. Van-e a Users csoportnak teljes hozzáférése (Full Control joga) minden home könyvtárhoz
a Users könyvtárban, ha kapcsolódnak a Users megosztott könyvtárhoz? 2. A második példában a Data könyvtár meg van osztva A Sales csoportnak a megosztott Data könyvtárhoz Read megosztási jogot adtunk és ezenkívül megadtuk nekik a Full Control NTFS jogot a Sales alkönyvtárhoz. Melyek a Sales csoport effektív jogai a Sales alkönyvtárban amikor a Data megosztott könyvtárhoz kapcsolódnak? Irányelvek NTFS jogosultságok adásához Alkalmazások könyvtáraihoz Amikor NTFS jogokat adunk alkalmazásokat tartalmazó könyvtárakhoz, vegyük figyelembe a következőket: - Vegyük el az alapértelmezett Full Contrl jogot az Everyone felhasználócsoporttól és adjuk oda az Administrators csoportnak. A software-ek frissítéséért és hibaelhárításáért felelős felhasználók csoportjának adjunk szintén Full Control vagy Change jogot. a megfelelő könyvtárakra - Ha az alkalmazások megosztott könyvtárakban vannak, a Users csoportnak adjunk Read jogot. Adatok
könyvtáraihoz Amikor NTFS jogokat adunk adatokat tartalmazó könyvtárakhoz, vegyük figyelembe a következőket: - Vegyük el az alapértelmezett Full Contrl jogot az Everyone felhasználócsoporttól és adjuk oda az Administrators csoportnak. - Adjunk a Users csoportnak Add&Read jogot és a file tulajdonosának Full Control jogot az adatkönyvtárahoz. Így azok a felhasználók akik helyileg jelentkeznek be csa az általuk létrehozott file-okat módosíthatják, vagy törölhetik. - Szoktassuk rá a felhasználókat, hogy ha megosszák a számítógépüket, rendeljenek NTFS jogosultságokat a saját file-jaikhoz és könyvtáraikhoz. Home könyvtárakhoz Amikor NTFS jogokat adunk home könyvtárakhoz, vegyük figyelembe a következőket: - A home könyvtárakat közös helyen hozzuk létre egy hálózati köteten, lehetőleg külön az alkalmazásoktól és az operációs rendszertől, mert így könnyebb az adminisztrációjuk. - Használjuk a %Username%
rendszerváltozót, hogy automatikusan hozzárendelhessük a felhasználói fiók nevét a könyvtárhoz és a Full Control NTFS jogosultságot. Home könyvtárak Ajánlott a home könyvtárakat egy NTFS kötetre elhelyezni a hálózat egyik szerverén. Ez egyszerűsíti az adminisztrációt az adatok mentése és helyreállítása illetve a jogosultságok kijelölése szempontjából. Ajánlatos a felhasználókat kioktatni arra, hogy a személyes és a munkájukkal kapcsolatos adatokat ezekbe a home könyvtárakba mentsék el. Ha ezeket a home könyvtárakat át kell helyeznünk egy másik server-re, csak a home könyvtár elérési útját kell megváltoztatnunk. A home könyvtár létrehozásához és megosztásához egy NTFS köteten: 1. Hozzunk létre egy Users nevű könyvtárat egy az operációs rendszertől és az alkalmazásoktól különálló köteten. Így, ha az operációs rendszert újra kell telepítenünk ezek az adatok érintetlenek maradnak. 2. Osszuk meg a Users
könyvtárat,hogy egy egyedüli csatlakozási pontot biztosítsunk a felhasználóknak, és egy egyedüli adminisztrációs pontot a rendszergazdáknak. 3. Vegyük el az alapértelmezett Full Control jogot az Everyone felhasználócsoporttól és adjuk oda ezt a Full Control megosztási jogot a Users csoportnak. 4. Használjuk a %Username% rendszerváltozót a home könyvtárak automatikus elnevezéséhez a felhasználói fiókok neveivel. - Indítsuk el a User Manager, vagy a User Manager for Domains programot és hozzunk létre egy új felhasználói fiókot, vagy klikkeljünk duplán egy már létező fiókra. - A New User vagy a User Properties dialógusablakban, klikkeljünk a Profile-ra, majd azután a Home Drectory To dobozba írjuk be : \servernévUsers\%Username% Fontos Az NTFS köteteken a %Username% rendszerváltozó használata automatikusan Full Control jogot ad a home könyvtárakhoz. A FAT köteteken a home könyvtáraknak csak a megosztás szintjén szabályozható a
jogosultsága. NTFS jogosultságok kiosztása Ahhoz, hogy NTFS jogosultságokat adhassunk, szükséges, hogy tulajdonosai legyünk az illető file-nak, vagy könyvtárnak, vagy pedig, hogy rendelkezzünk az alábbi jogosultságok egyikével: • Full Control • Change jogosultság • Tulajdonjog átvétele – ezzel a speciális jogosultsággal a felhasználó átveheti a file vagy könyvtár tulajdonjogát és így a felhasnáló mint tulajdonos megváltoztathatja az erőforráshoz tartozó hozzáférési jogosultságokat. Alapértelmezett NTFS jogosultságok A következő lista az alapértelmezett NTFS jogosultságokat foglalja össze: • Amikor egy kötetet NTFS-re formázunk, Az Everyone csoport automatikusan Full Control jogosultságot kap hozzá. Ez minden olyan felhasználónak akinek megvan a Log on Locally joga (azaz joga van bejelentkezni a helyi számítógépen) teljeskörű hozzáférést biztosít az egész kötethez. • Amikor egy új könyvtárat hozunk létre
az NTFS köteten, ez a könyvtár örökölni fogja az Őt tartalmazó könyvtár jogosultságait. Fontos Amikor a Windows NT-t NTFS kötetre telepítjük, az NTFS jogosultságok automatikusan hozzárendelődnek a rendszerkönyvtárakhoz. Ne módosítsuk a rendszerfile-ok jogosultságait. Az NTFS jogosultságok kiosztásához: 1. A Windows NT Explorer-ben klikkeljünk jobb gombbal a file-ra, vagy könyvtárra, majd klikkeljünk a Properties parancsra 2. A megjelenő dialógusablakban válasszuk a Security fület, majd klikkeljünk a Permissions-ra 3. A Permissions dialógusablakban állítsuk be a következő opciókat Opció Jelentése Replace Ha ki van választva, megváltoztatja a létező Permissions on jogosultságokat a kiválasztott könyvtár minden Subdirectories alkönyvtárában. Nem változtatja meg a file-okhoz tartozó jogosultságokat ezekben az alkönyvtárakban. Alapértelmezésben ez a választónégyzet nincs kiválasztva és csak a könyvtárjogosultságok
adásával állítható be. Replace Ha ki van választva, megváltoztatja a könyvtárban Permissions on található minden file jogosultságát. Nincs hatással a Existing Files kiválasztott könyvtár alkönyvtáraiban lévő file-okra. Alapértelmezésben ez a választónégyzet nincs kiválasztva és csak a könyvtárjogosultságok adásával állítható be. Name Kijelzi egy felhasználó, vagy csoport jogusultságait egy file-hoz, vagy könyvtárhoz. Az első zárójelben a könyvtár jogosultságai vannak felsorolva, míg a második zárojelben a könyvtárban létesített új fileokhoz rendelt jogosultságokat láthatjuk. A Name dialógusablakban kiválasztott felhasználó, Type of Access vagy csoport jogosultságait jelzi ki és megengedi hogy változtassunk ezeken a jogosultságokon. 4. Klikkeljünk az Add-ra, hogy felhasználókat vagy csoportokat vegyünk fel a file vagy könyvtár jogosultjai közé. Speciális hozzáférési jogosultságok Általában a standard
(alapvető) jogosultságok segítségével biztonságban tudhatjuk a file-jainkat és a könyvtárainkat. Ha egyedi jogosultságokra van szükségünk, vagy pedig egy különböző jogosultságokból álló készletre, használhatunk speciális hozzáférési jogosultságokat. Például, hogy egy másik felhasználó adhasson jogosultságokat azokhoz a file-okhoz amelyeknek mi vagyunk a tulajdonosai, adjunk ennek a másik felhasználónak Change Permissions (P) speciális hozzáférési jogosultságot. A speciális hozzáférési jogosultságok ugyanazok a file-okhoz és a könyvtárakhoz is. A speciális hozzáférési jogosultságok megadásához: 1. A Windows NT Explorer-ben klikkeljünk jobb gombbal a file-ra, vagy könyvtárra, majd klikkeljünk a Properties parancsra 2. A megjelenő dialógusablakban válasszuk a Security fület, majd klikkeljünk a Permissions-ra 3. A Permissions dialógusablakban válasszuk ki a felhasználó, vagy a csoport nevét. 4. Atype of Access listán
klikkeljünk a Special Directory Access vagy a Special File Access parancsra. 5. A megjelenő dialógusablakban klikkeljünk a megfelelő jogosultságra majd pedig az OK-ra. Laborgyakorlat Könyvtárak és file-ok tulajdonjogának az átvétele Ha valaki file-t vagy könyvtárat hoz létre, akkor annak a tulajdonosa lesz. Mint a file, vagy könyvtár tulajdonosa, a felhasználó megoszthatja a file-t, vagy könyvtárat más felhasználók vagy csoportok felé. A felhasználó ugyanezt nem teheti meg azokkal a file-okkal és könyvtárakkal amelyek nem az ő tulajdonában vannak. Ha egy felhasználó letiltotta mások hozzáférését egy file-hoz, vagy könyvtárhoz, majd elmegy a cégtől, átvehetjük a file, vagy könyvtár tulajdonjogát, majd megváltoztathatjuk a hozzárendelt jogosultságokat, úgy, hogy mások is hozzáférjenek. Alapértelmezésben az Administrators csoport tagjai mindíg átvehetik a file-ok és könyvtárak tulajdonjogát. Ha a csoport egy tagja átveszi a
file, vagy könyvtár tulajdonjogát, az Administrators csoport az erőforrás tulajdonosa lesz, ami azt jelenti, hogy a csoport minden tagja használhatja ezt az erőforrást. Az erőforrás tulajdonosa nem tudja megváltoztatni az erőforrás tulajdonjogát aminek ő a tulajdonosa. Csak másoknak adhat joogot a tulajdonban lévő erőforrás tulajdonjogának az átvételére. Az erőforrás biztonsága azáltal valósul meg, hogy megakadályozza a felhasználókat abban, hogy szerkesszék vagy létrehozzanak file-okat és ez úgy tűnjün mintha nem az ő file-juk lenne. Például, ha egy felhasználó No Access jogot rendel egy file-hoz, majd egy rendszergazda átvéve a file tulajdonjogát, megváltoztathatja annak a tartalmát. A felhasználó amikor megnyitja a file-t láthatja, hogy a file tulajdonosa mostmár az illető rendszergazda, aki elvette a filetól a No Access jogot. A tulajdonos más felhasználóknak,vagy csoportoknak adhat olyan jogosultságot, hoy átvegyék a
tulajdonjogot. Ezt a követekző jogosultságok által lehet biztosítani: • Full Control • Take Ownership (Speciális jogosultság) • Change Permissions (Speciális jogosultság) – ezzel a jogosultsággal a felhasználó a Take Ownership jogosultságot megadhatja saját magának, illetve más felhasználóknak, vagy csoportoknak. File-ok és könyvtárak másolása vagy mozgatása Egy felhasználó nem másolhat, vagy mozgathat file-okat NTFS kötetek között, vagy azon belül a megfelelő jogosultságok nélkül. A következő táblázat a szükséges jogosultságokat tartalmazza a file-ok másolásához, vagy mozgatásához az NTFS köteten belül, illetve az NTFS kötetek között. Szükséges jogosultság Művelet Másolás Add jogosultság a célkönyvtárban (Copy) Mozgatás Add jogosultság a célkönyvtárban és Delete jogosultság a (Move) forráskönyvtárban. A delete jogosultság azért szükséges, mert amikor a file-t vagy könyvtárat mozgatjuk, őt
letöröljük a forrásról miután felírtuk a célra. A file-ok másolása és mozgatása az NTFS köteten belül, illetve a kötetek között befolyásolhatja a file eredeti jogosultságait. A következő táblázat azt foglalja össze, hogy miként változnak a jogosultságok másolás és mozgatás közben: NTFS köteten belül NTFS kötetek között Művelet Másolás A célkönyvtár jogosultságait A célkönyvtár (Copy) örökli jogosultságait örökli Mozgatás Megtartja az eredeti A célkönyvtár (Move) jogosultságait jogosultságait örökli Megjegyzés A felhasználó a másolt file-ok, vagy könyvtárak tulajdonosa lesz. Fontos A FAT kötetekre másolt vagy mozgatott file-ok, vagy könyvtárak elvesztik a hozzájuk rendelt NTFS jogosultságokat. Példák: Vitassuk meg a következő példát: Az ábrán a File-A a C:UsersMary könyvtárban van. A Users csoport tagjainak a C és D lemezeken a következő NTFS jogosultságai vannak: • Read jogosultság a C:UsersMary
könyvtárhoz és a benne található file-okhoz • Change jogosultság a c:Public könyvtárhoz • Full Control jogosultság a D:Data könyvtárhoz 1. Milyen jogosultságai lesznek a Users csoportnak a File-A file-hoz miután átmásolták a C:Public könyvtárba? 2. Milyen miután 3. Milyen miután jogosultságai lesznek a Users csoportnak a File-A file-hoz átmmozgatták a C:Public könyvtárba? jogosultságai lesznek a Users csoportnak a File-A file-hoz átmozgatták a D:Data könyvtárba? A jogosultságokkal kacsolatos zavarok, hibák elhárítása A hálózati erőforrásokhoz való hozzáféréssel kapcsolatban gyakran lépnek fel hibák. A következő néhány példa által próbáljuk meg bemutatni az általában előforduló hibák elhárítását. 1. A felhasználó nem fér hozzá az erőforráshoz Megoldás Vizsgáljuk meg a felhasználói fiók jogosultságait és azoknak a csoportoknak a jogosultságait amelyeknek a felhasználó tagja. Ha a No Access jog ki van
osztva a felhasználónak, vagy valamelyik csoportnak amelyikben a felhasználónk tag, a felhasználónk nem tud hozzáférni az erőforráshoz. Ha a file-t másoltuk egy NTFS köteten belül, vagy mozgattuk NTFS kötetek között, a file jogosultságai változhattak mivel ilyenkor a célkönyvtár jogosultságait örökli. 2. A felhasználó letörölt egy file-t, pedig No Access jogosultsága volt hozzá. Megoldás Ne adjunk a felhasználóknak NTFS Full Controll jogosultságot a könyvtárakhoz. Ehelyett adjuk meg a felhasználóknak a speciális könyvtárjogokat. Ez teljes hozzáférést biztosít nekik a könyvtárhoz, ugyanakkor nem engedi meg, hogy letöröljék azt a file-t a könyvtárban amihez No Access joguk van. Megjegyzés:Az itt felvetődött probléma az egyedüli kivétel az alól, hogy a file jogosultságok fölülírják a könyvtárjogosultságokat. Ez azért van mert a Windows NT futtathat POSIX alkalmazásokat amelyeket az UNIX file-rendszerre terveztek. Az UNIX
filerendszerben a Write jogosultság megengedi a file törlését a könyvtárban. Az NTFS Full Control jogosultság ezzel megegyezik 3. Felvesz egy felhasználót egy csoportba azért, hogy az elérjen egy erőforrást, de a felhasználó mégsem tudja azt használni. Megoldás A felhasználó lépjen ki, majd lépjen vissza a rendszerbe, vagy kapcsolódjon szét, azután pedig kapcsolódjon újra a távoli számítógéphez. Egy objektumhoz való hozzáféréskor szükség van egy kulcsra (access token) ami akkor jön létre amikor a felhasználó belép a hálózatba és azonosítva lesz egy Windows NT-t futtató számítógépen. Ez a kulcs tartalmazza azt az információt is, hogy a felhasználónk mely csoportoknak a tagja. Ha a csoporttagság megváltozott, ez csak a legközelebbi belépéskor jut érvényre a kulcsban. Jó tanácsok Az NTFS jogosultságok kiosztásánál érdemes megfogadni a következő tanácsokat: • Az NTFS jogosultságokat osszuk ki a könyvtár
megosztása előtt. Ezzel kivédhető az, hogy más felhaználók csatlakozzanak hozzá, még mielőtt azt teljes biztonságba helyeztük volna. • Adjunk Read jogosultságot a Users és Administrators csoportoknak minden alkalmazás végrehajtható file-jaihoz. Az alkalmazások • • • sérülése legyakrabban a vírusok illetve a balesetek következménye. Az ilyenfajta károsodások megelőzése érdekében adjunk Read jogot minden felhasználónak, beleértve az Administrators csoport tagjait is, az alkalmazások végrehajtható file-jaihoz. Ha így teszünk megakadályozhatjuk a felhasználókat és a vírusokat is abban, hogy módosítsák, vagy letöröljék ezeket a file-okat. Ezenkívül az Administrators csoportnak adjuk meg a Change Permissions (P) speciális jogosultságot, így ők ha szükséges az alkalmazás módosítása (upgrade) biztosíthatnak maguknak magasabb szintű hozzáférést. Használjuk a %Username% rendszerváltozót a home könyvtárak
létrehozásánál – ezáltal egyszerűsítve az adminisztrációt, mert a felhasználó egyedül fog jogosultságokat kapni a saját home könyvtárához. Az MS-DOS-t futtató kliensekhez használjunk nyolc karakteres, vagy még rövidebb neveket. Majd amikor a %Username% változóval létrehozzuk a home könyvtárat, ezt a könyvtárnevet az MSDOS alapú kliens is gyorsan el tudja olvasni. A Data könyvtárhoz rendeljünk speciális beépített Creator Owner jogosultságot, ami Full Control jogot ad a felhasználóknak ebben a könyvtárban, de kinek kinek csak a saját tulajdonában lévő fileokhoz. Ha az erőforrás csak a helyi gépen használt, használjunk hosszú, kifejező neveket. Ha a könyvtárat később esetleg majd meg fogjuk osztani, használjunk minden kliens számára értelmezhető file és könyvtárneveket. Laborgyakorlat Kérdések: 1. Hogyan hozhat létre automatikusan home könyvtárakat, úgy, hogy azokhoz csak a megfelelő felhasználóknak legyen Full
Control jogosultsága? 2. Melyek az alapértelmezett jogosultságok egy NTFS-re formázott köteten? 3. Mit fog ellenőrízni, amikor egy felhasználó nem tud elérni egy erőforrást? 6. Hálózati nyomtató beállítása Bevezetés a Windows NT nyomtatási rendszerébe A Windows NT hálózatokon egy nyomtató beállításánsk és megosztásánsk a következő feltételei vannak: • Legalább egy Windows NT Server-t, vagy Windows NT Workstation-t futtató számítógép legyen print szerverként konfigurálva. Print szerver az a számítógép, amelynek a kliens gépek elküldik a nyomtatni való dokumentumokat. A nyomtató a print szerverhez kapcsolódik. A Windows NT-ben a printer szó alatt azt a software-t értjük ami az alkalmazás és a nyomtató közötti kapcsolatot biztosítja. • Egy nyomtató, ami az a hardware eszköz ami a nyomtatott dokumentumot előállítja. A nyomtató kapcsolódhat a helyi print server-hez és ekkor a neve local printer, vagy kapcsolódhat
direkt módon a hálózathoz egy saját hálózati kártyával (nagy teljesítményű nyomtató) ekkor network printer a neve. A Windows NT hálózatokon a felhasználók a következő operációs rendszereket futtató számítógépekről nyomtathatnak: - Windows NT - Windows 95 - Windows for Workgroups - Windows 3.1 - MS-DOS - LAN Manager 2.x - OS/2 - NetWare - UNIX - Macintosh Ha egyszer a print server-t beállítottuk, azután: adminisztrálhatjuk a print server-t minden Windows NT-t futtató számítógépről. Kezelhetjük azt a jogosultságok által, hogy mely felhasználónak mely nyomtató legyen elérhető. Konfigurálhatjuk a nyomtatót. A nyomtatási jogosultságok A nyomtatási jogosultságoknak négy szintje van: No Access, Print, Manage Document és Full Control. Alapértelmezésben a felhasználók Print jogosultságot kapnak. Biztonsági okokból szükséges lehet korlátozni a felhasználók hozzáférését egyes nyomtatókhoz. Nagyobb szervezetekben
szükség lehet arra is, hogy egy-két felhasználónak különleges jogosultságokat adjunk a nyomtatókhoz. A következő táblázata négy jogosultsági szint lehetőségeit foglalja össze. No Print Manage Full Lehetőség Access (alapértelme Documents Control zett) Dokumentumok × × × nyomtatása Szüneteltetni, × × × folytatni, újraindítani és leállítani a felhasználók saját dokumentuma-inak a nyomtatását Kapcsolódás egy × × × nyomtatóhoz A nyomtatás paramétereinek beállítása (job control) minden dokumentumhoz Szüneteltetni, folytatni, újraindítani és leállítani minden dokumentum nyomtatását. Nyomtató megosztása Nyomtató tulajdonságainak amegváltoztatása Nyomtató törlése Nyomtató jogosultságainak megváltoztatása × × × × × × × × Hálózati nyomtató konfigurálása A hálózati nyomtató több felhasználó számára teszi lehetővé, hogy nyomtasson rajta. A hálózati nyomtató konfigurálásához a következő
műveleteket kell elvégezni: 1. Ellenőrizzük, hogy a nyomtatónk rajta van-e a Windows NT HCL-en (Hardware Compatibility List). Ha igen, akkor a Windows NT tartalmazza a megfelelő nyomtatómeghajtót. Ha nem, akkor a megfelelő nyomtatómeghajtót a gyártótól kell beszerezni, esetleg használható egy olyan nyomtatómeghajtó amelyik képes emulálni a nyomtatónkat. 2. Lépjünk be rendszergazdaként Az Administrators csoport tagjai telepíthetnek új nyomtatókat, illetve megoszthatják a nyomtatókat, azaz a nyomtatási rendszerhez Full Control jogosultságuk van, tehát tudják a nyomtatókat adminisztrálni. A csoport Adminisztrálhatják a nyomtatót tagjai Administrators a tartomány minde Windows NT Server-t, vagy Windows NT Workstation-t futtató számítógépén. Print Operators minden tartományvezérlőn Server minden tartományvezérlőn Operators Power Users a tartomány minden helyi számítógépén amelyiken a csoport létezik 3. Nyomtató telepítése – a
nyomtató meghajtóprogramját telepíti a print server-re. 4. Nyomtató megosztása – megengedi a felhasználóknak, hogy a hálózaton keresztül kapcsolódjanak a nyomtatóhoz. A nyomtatót a telepítése után lehet megosztani, vagy pedig megoszthatunk egy már korábban telepített nyomtatót. Alapértelmezés szerint a nyomtatási jogosultságok az Everyone csoporthoz rendelődnek hozzá. Új nyomtató telepítése és megosztása Ha a nyomtatónk rajta van a Windows jogosultságokkal rendelkező csoport NT HCL-en, tagjaként és a megfelelő léptünk be, telepíthetjük, majd megoszthatjuk a nyomtatót. Ezután a felhasználók kapcsolódhatnak majd hozzá a hálózaton keresztül. A nyomtató telepítéséhez és megosztásához: 1. Klikkeljünk a Start menüben a Settings-re majd pedig a Printers-re A nyomtatók mappája fog megjelenni. 2. Klikkeljünk duplán az Add Printe-re A megjelenő varázsló átvezet bennünket a nyomtató telepítésének a lépésein. A
következő lehetőségek közül választhatunk: Opció Jelentése My Compiuter Amikor először telepítünk nyomtatószervert a számítógépre, kijelöli azt mint nyomtatószervert. Azután pedig megengedi, hogy további nyomtatót adjunk hozzá a nyomtatószerverhez Avialable Meghatározza, hogy a nyomtató mely porton keresztül ports kapcsolódik a print szerverhez Manufacturers, A megfelelő nyotatómeghajtót telepíti a print serverPrinters re. Ha a meghajtó nincs a listán, klikkeljünk az Otherre és adjuk meg a meghajtót Printer name Azonosítja a nyomtatót a felhasználók felé akik kezelik. Érdemes kifejező neveket használni Default Beállítja az alapértelmezett nyomtatót minden Windows printer alapú alkalmazáshoz. Ezután a felhasználó már nem kell beállítsa a nyomtatót minden alkalmazáshoz. Ez az opció automatikusan érvényes a print server első nyomtatójára. Shared Lehetővé teszi a megfelelő jogosultságokkal rendelkező felhasználók
számára, hogy kapcsolódjanak egy nyomtatóhoz a hálózaton keresztül. Share name Kijelöli a megosztási nevet. A név kifejező kell legyen, hogy a felhasználók lássák a nyomtató típusát, helyét illetve kompatibilis kell legyen minden kliens géppel a hálózaton. Alapértelmezésben ez a nyomtató neve csonkítva a 8.3 karakteres formára Operating Azonosítja a Windows NT-t és a Windows 95-t futtató systems klienseket, akik a nyomtatót használni szeretnék és biztosítja hogy a megfelelő meghajtó telepítve legyen. Test page Kinyomtat egy tesztlapot, hogy ellenőrízhessük azt, hogy a nyomtatómeghajtó jól lett telepítve. 3. Ha befejeztük a nyomtató telepítő varázslóval a munkát, klikkeljünk a Finish-re. A Copying FilesFiles Needed dialógusablak jelenik meg 4. A Copy Files From dobozba írjuk be a nyomtatómeghajtó telepítőfilejainak az elérési útját, majd klikkeljünk az OK-ra Először a Copying Files státuszablak jelenik meg, majd pedig a
Nyomtatónév Properties fül. 5. Klikkeljünk az OK-ra Nyomtató törléséhez: 1. A Printers mappában, klikkeljünk annak a nyomtatónak az ikonjára, amelyiket törölni szeretnénk. 2. Nyomjuk meg a DELETE gombot – vagy – a File menüben klikkeljünk a Delete parancsra. Egy üzenet jelenik meg ami figyelmeztet bennünket és arra kér, hogy erősítsük meg a nyomtató törlését. 3. Klikkeljünk az OK-ra és a nyomtató eltűnik a mappából Létező nyomtató megosztása Ha a hálózaton már van telepítve egy nyomtató, ami nincs megosztva, akkor ezt megoszthatjuk. például, ha egy felhasználónak van egy helyi nyomtatója, ezt megosztva, más felhasználók is kapcsolódhatnak hozzá a hálózaton. A nyomtató megosztásához 1. Klikkeljünk a Start menüben a Settings-re, majd pedig a Printers-re A Printers mappa fog megjelenni. 2. Klikkeljünk annak a nyomtatónak az ikonjára, amelyiket szeretnénk megosztani. 3. A File menüben klikkeljünk a Sharing-re A
nyomtatónév Properties dialógusablakban a Sharing fül jelenik meg. 4. Klikkeljünk a Sharing-re Az alapértelmezett megosztási név meg fog jelenni, amit felül is írhatunk egy általunk meghatározott megosztási névvel. Az Alternate Drivers dobozban más operációs rendszerekhez tarozó meghajtókat telepíthetünk a nyomtatónkhoz, azért hogy ezeket az operációs rendszereket futtató számítógépek automatikusan letölthessék a megfelelő meghajtót amikor kapcsolódnak a nyomtatóhoz. 5. Klikkeljünk az OK-ra Egy nyitott kéz jelenik meg a nyomtató ikonja alatt a Printers mappában. Ez jelzi azt, hogy a nyomtató meg van osztva. Hogy egy létező nyomtatót alapértelmezetté tegyünk 1. A printers mappában klikkeljünk a kiválasztott nyomtató ikonjára 2. A File menüben klikkeljünk a Set As Default parancsra Nyomtatási jogosultságok kiosztása Alapértelmezés szerint az Everyone csoport megkapja a Print jogosultságot. Ha azt akarjuk, hogy a felhasználók
valamijen módon korlátozva legyenek a nyomtatók használatában, módosítanunk kell az alapértelmezett jogosultságon. Hogy felhasználóhoz, vagy csoporthoz nyomtatási jogosultságot rendeljünk: 1. A Printers mappában, klikkeljünk annak a nyomtatónak az ikonjára, amelyiknek meg akarjuk változtatni a jogosultságát. 2. A File menüben klikkeljünk a Properties-re 3. A nyomtatónév Properties dialógusablakban klikkeljünk a Security fülre. 4. A Security fülön klikkeljünk a Permissions-ra A Printer Permissoins dialógusablak jelenik meg. 5. Klikkeljünk az Add-ra Az Add Users and Groups dialógusablak jelenik meg. 6. Válasszuk ki a megfelelő felhasználókat és/vagy csoportokat, majd klikkeljünk az Add-ra. A felhasználók és csoportok megjelennek az Add Names listán. 7. A Type Of Access dobozban klikkeljünk a jogosultságra amit a felhasználónak, vagy csoportnak adni szeretnénk, majd klikkeljünk az OK-ra. aPrinter Permissions dialógusablakhoz térünk
vissza 8. Klikkeljünk az OK-ra Hálózati kliensek beállítása Windows NT és Windows 95 alapú kliensek Ha már van egy megosztott nyomtatónk, ezekkel a kliensekkel semmit nem kell tenni. A felhasználónak csak annyi dolga van, hogy csatlakozzon a megosztott nyomtatóhoz. MásMicrosoft alapú kliensek Hogy egy Windows NT alapú megosztott nyomtatón nyomtatni lehessen az MS DOS, OS/2 (LAN Manager Kliens2.2c változatával telepítve), LAN Manager 2.x, Windows 3.1, Windows for Workgroups operációs rendszerekből, telepíteni kell a megfelelő nyomtatómeghajtót helyileg a kliens számítógépen. Nem Microsoft alapú kliensek esetében, hogy nyomtatni lehessen, meg kell győződnünk a következő követelmények létezéséről: A print server-en egy szolgáltatást kell működtetni. A következő táblázat példákat tartalmaz a nem Microsoft alapú kliensek és a hozzátartozó szolgáltatásokra. Kliens számítógép Szolgáltatás Macintosh Services for
Macintosh NetWare File and Print Services for NetWare (FPNW) UNIX TCP/IP Line Printer Daemon (LPD) Service A nyomtatómeghajtót a kliensgépre helyileg kell telepíteni, például a kliens operációs rendszerének telepítőlemez készletéről. Hozzáférés hálózati nyomtatóhoz Alapértelmezés szerint minden felhasználó Print jogosultságot kap, hogy elérje a hálózati nyomtatókat. A Windows NT 4.0-t és Windows 95-öt futtató kliensek a Printers mappát használják, hogy kapcsolódjanak egy megosztott hálózati nyomtatóhoz. Amikor először kapcsolódnak, a megfelelő nyomtatómeghajtó automatikusan bemásolódik a memóriájukba. Ezután a Windows NT és a Windows 95 kliensek különbözőképpen viselkednek: Amikor a Windows NT-t futtató kliens újrakapcsolódik a hálózathoz, ha a nyomtatómeghajtó nem megfelelő, az új nyomtatómeghajtó letöltődik a print server-ről. Ezzel automatikusan biztosított a megfelelő nyomtatómeghajtó. A Windows
95-öt futtató klienseknél a nyomtatómeghajtó nem marad automatikusan aktuális. Ha újjítjuk a nyomtatómeghajtót a print server-en, akkor ezt manuálisan telepítenünk kell a Windows 95-ös kliensre is. Hogy egy nyomtatóhoz kapcsolódjunk: 1. A Printers mappában klikkeljünk duplán az Add Printer ikonra Az Add Printer varázsló fog megjelenni. 2. Klikkeljünk a Network Printer Server-re majd pedig a Next-re A Connect to Printer dialógusablak jelenik meg. 3. A Printer dobozba írjuk be a nyomtató UNC nevét amelyhez kapcsolódni szeretnénk, vagy a Shared Printers dobozban válasszuk ki a megfelelő nyomtatót. Itt a hálózat minden tartománya megjelenik Először válasszuk k a tartományt. A számítógépek és a megosztott nyomtatók megjelennek a Shared Printers dobozban, majd klikkeljünk a kívánt nyomtatóra. 4. Klikkeljünk az OK-ra 5. Klikkeljünk a Yes-re ha a nyomtatót alapértelmezettként akarjuk használni, vagy a No-ra ha nem. Ezután klikkeljünk a
Next-re 6. Klikkeljünk a Finish-re A nyomtatónév Properties fül jelenik meg 7. Klikkeljünk az OK-ra A Windows 3.1 és a Windows for Workgroups kliensek a Print Manager programot használják a nyomtatókhoz való kapcsolódásra. Egyéb kliensek A Windows NT vagy Windows 95-től eltérő kliensek esetében használjuk a kliens specifikus parancsokat a nyomtatóhoz való csatlakozáshoz. Az MS DOS-t, vagy OS/2-t futtató LAN Manager kliensek a net use parancsot használják. Például: net use lptx \szervernévmegosztásnév A TCP/IP alapú UNIX kliensek az LPR-t használják. lpr –Sszervernév – Pmegosztásnév filenév Az Apple Macintosh-hoz használjuk a Chooser-t. Nyomtatókészlet létrehozása A nyomtatókészlet egy olyan „nyomtató”, amely több porton keresztül csatlakozik a print szerverhez. Akkor hasznos ha a hálózaton nagy mennyiségű nyomtatnivaló van. Általa csökkenthető az az idő amit a dokumentumok töltenek el a nyomtatási sorokban
(queue-kban). A rendszergazdának pedig egyszerűbb egy nyomtatót kezelnie több helyett. A felhasználó úgy nyomtatja a dokumentumot, hogy nem foglalkoztatja az, hogy milyen nyomtató érhető el a hálózaton. A nyomtató megkeres egy szabad portot. A keresést abban a sorrendben végzi, amilen sorrendben a portok fel lettek véve a rendszerbe, ezért először a leggyorsabb nyomtatóhoz kapcsolt portot vegyük fel először. A nyomtatókészlet létrehozásáért 1. A Printers mappában válasszuk ki a megfelelő nyomtató ikonját 2. A File menüben klikkeljünk a Properties-re A Nyomtatónév Properties dialógusablak jelenik meg. 3. Klikkeljünk a Ports fülre 4. Válasszuk ki a Enable printer pooling választónégyzetet 5. Válasszuk ki a portot amit hozzá szeretnénk rendelni és klikkeljünk az OK-ra. Ajánlás: egy nyomtatókészlet nyomtatói lehetőleg közel legyenek egymáshoz, hogy a felhasználók ne töltsék feleslegesen az idejüket a dokumentumaik
keresgélésével. Prioritások beállítása a nyomtatók között. A nyomtatókhoz rendelt prioritásokkal lehetséges prioritások beállítása dokumentumok csoportjaihoz. Például a vezetőség dokumentumai a többi felhasználó dokumentumai előtt lesznek kinyomtatva, azaz a sürgős dokumentumok mindig az alacsonyabb prioritású dokumentumok előtt lesznek kinyomtatva. A prioritások beállításáért a következőket kell tennünk: Kapcsoljunk két vagy több nyomtatómeghajtót ugyanarra a snyomtatóra. Ezek a nyomtatómeghaj-tók ugyanazon a Printserver-en kell legyenek és ugyanazt a portot kell használják a nyomtatóhoz való kapcsolódásra. A port vagy egy fizikailag létező port a print server-en, vagy pedig az UNC neve egy hálózati nyomtatónak. Állítísunk be különböző prioritást minden nyomtatómeghajtóhoz amelyik a nyomtatóhoz csatlakozik. Ezután a felhasználók különböző prioritású nyomtatómeghajtókat használnak. Az ábra
példáján látszik, hogy a két felhasználó, User1 és User2elküldik a dokumentumaikat a nyomtatónak, de hiába érkezett előbb a User1 felhasználó dokumentuma, a User2-é fog hamarabb kinyomtatódni, mert nagyobb a prioritása. A nyomtatók prioritásának a beállítása része a dokumentumok ütemezésének amit ezután tárgyalunk. Dokumentumok ütemezése A dokumentumok ütemezése lehetőséget ad arra, hogy rugalmasan állítsuk be azt, hogy a dokumentumaink miképpen kerüljenek nyomtatásra. Az ütemezés hatással van minden olyan dokumentumra amit elküldtünk a nyomtatónak. A következő táblázat az ütemezéssel kapcsolatos tevékenységeket foglalja össze és azt hogy mikor használjuk ezeket. Tevékenység Mikor használjuk Az ütemezési paraméterek megváltoztatásáért 1. A Printers mappában válasszuk ki a kívánt nyomtató ikonját 2. A File menüben klikkeljünk a Properties-re A nyomtatonév Properties dialógusablak jelenik meg. 3.
Klikkeljünk a Scheduling fülre. Figyeljük meg, hogy az alapértelmezett beállítás az Always (bármikor). 4. Az Avialable From dobozba és a To dobozba írjuk be vagy válasszuk ki azokat az órákat amikor a dokumentumot nyomtatni szeretnénk., majd klikkeljünk az KO-ra. Az idő megváltoztatása azt állítja be, hogy mikor lesz a dokumentum kinyomtatva és nem azt, hogy mikor lesz elküldve a várakozási sorba. 5. A Priority-nál mozgassuk a mutatót a kívánt prioritás felé Az alapértelmezett a legalacsonyabb prioritás, azaz 1. A legmagassabb prioritási szint a 99. 6. A rádiógobok és választónégyzetek közül válasszuk ki az éppen megfelelőket: Kapcsoló Leírás Spool print documents A kapcsoló vagy ebben az állásban, vagy pedig a so program finishes Print directly to te printer állásban lehet. Ha printing faster ezt választjuk, a dokumentumot sorbaállítja. Ennek a kapcsolónak két elágazása van. dokumentum nyomtatása csak a teljes Start
printing A after last page is feldolgozás után kezdődik meg. Az alkalmazás spooled amelyik a nyomtatást kezdemányezte nem érhető el a feldolgozás befejezéséig. Start printing A dokumentum nyomtatása elkezdődik még a immediately feldolgozás befejezése előtt, ami azt jelenti, hogy a nyomtatás hamarabb elkezdődik. A nyomtatást kezdeményező alkalmazás is hamarabb lesz elérhető. Print directly to the A dokumentum nem lesz sorbaállítva, ezáltal printer csökken a nyomtatási idő. Ezt a kapcsolót ne használjuk a megosztott nyomtatókon. Hod mismatched Az olyan dokumentumok, amelyek beállításai nem documents egyeznek meg a nyomtató beállításaival, nem lesznek kinyomtatva. Leállítja a hibás dokumentumok nyomtatását. Print spooled A sorbaállított dokumentumokat nyomtatja a még documents first nem teljesen sorbaállítottak előtt. (amelyek sorbaállítása még nem fejeződött be) Keep documents after A dokumentum a nyomtatási sorban marad
a they have printed nyomtatás után is és gyorsan újranyomtatható. Megjegyzés A Windows NT nyomtatási rendszerében a nyomtatási sor a print server-en van. A sorkezelő feldolgozza és ütemezi a dokumentumokat. A sorbaállítás (sorkezelés) az a folyamat amikor a dokumentum nyomtatási képét a lemezre írjuk, majd onnan a nyomtatóra küldjük. 7. Klikkeljünk az OK-ra A Windows NT érvényesíti a beállításainkat Formok (papírfajták) kezelése Ha a nyomtatónknak tübb fiókja van különböző méretű papírok számára, ezekhez a fiókokhoz úgynevezett formokat rendelhetünk. A felhasználó kiválaszthatja az alkalmazásában a neki megfelelő papírfajtát. Amikor majd nyomtat a megfelelő papírtárolóhoz lesz irányítva. A form a papír típusát és méretét jelenti. Egy form hozzárendeléséért egy papírtároló fiókhoz: 1. A Printers mappában válasszuk ki a megfelelő nyomtató ikonját 2. A File menüben klikkeljünk a Properties-re A nyomtatonév
Properties dialógusablak jelenik meg. 3. Válasszuk a Device Settings fület Az ablak felső részében a Form to Tray Assignment alatt klikkeljünk arra a papírtartóra, amelyikhez meg akarjuk határozni a papírfajtát. A Change paper tray Setting jelenik meg az ablak alsó részében, ahol beállíthatjuk a kiválasztott papírtartóhoz a kívánt papírt. F O N T O S hogy az alapértelmezett beállítás a papírtárolókhoz a Not Avialable (nem elérhető). 4. Válasszuk ki a kívánt papírméretet Ez a papírméret meg fog jelenni a kiválasztott papírtartó mellett az ablak felső reszében. 5. Klikkeljünk az OK-ra Csak ha a nyomtatónknak több papírtartója van és ezeket telepítettük is, érhetik majd el a felhasználók ezeket a papírtartókat. A Windows NT ismerni fogja, hogy melyik papírtárolóban milyen papír van. Elválasztóoldal beállítása Az elválasztóoldalaknak két szerepe is van, ezek a következők: Azonosítja és elválassza a kinyomtatott
dokumentumokat Átkapcsolja a nyomtatót különböző nyomtatási módok között, mint azt a következő táblázat mutatja. A Windows NT három elválasztóoldal file-t tartalmaz. Ezeket a file-okat a endszerkönyvtárSystem32 útvonalon találhatjuk meg. File-név Funkció Sysprint.sep Minden dokumentum előtt nyomtat egy oldalt. Kompatibilis a PostScript eszközökkel. Pcl.sep PCL módba kapcsolja a HP sorozatú nyomtatókat, és minden dokumentum előtt nyomtat egy oldalt Pscript.sep Post Script nyomtatási módba kapcsolja a HP sorozatú nyomtatókat, de nem nyomtat elválasztó oldalt a dokumentum előtt. Hogy beállítsunk egy elválasztóoldalt: 1. A Printers mappában válasszuk ki a megfelelő nyomtató ikonját 2. A File menüben klikkeljünk a Properties-re A nyomtatonév Properties dialógusablak jelenik meg. A General fül az aktív 3. Klikkeljünk a Separator Page-re A Separator Page dialógusablak jelenik meg. 4. A Separator Page dobozba írjuk be a nevét az
elválasztóoldal filenak, vagy klikkeljünk a Browse-ra és válasszuk ki a kívánt file-t, majd klikkeljünk az Open-re. 5. Klikkeljünk az OK-ra, majd ismét az OK-ra Jó tanácsok A hálózati nyomtatók beállításánál érdemes megfogadni a következő tanácsokat: Használjuk ugyanazokat az irányelveket mint más erőforrások megosztásánál. Hozzunk létre egy „Printer Users” lokális csoportot Print jogosultsággal, majd vegyünk fel globális csoportokat ebbe a lokális csoportba. Vegyük el a Print jogosultságot az alapértelmezett Everyone csoporttól és adjuk oda a inkább a beépített Users csoportnak. Ezáltal korlátozhatjuk a nyomtatók használatát az általunk létrehozott felhasználókra. Osszuk szét az adminisztratív tevékenységet. Ha a biztonság nem fontos szempont, adjunk egy felhasználónak Manage Documents jogosultságot, vagy vegyuk fel a Print Operators csoportba, hogy kezelje a nyomtatót. A nyomtatót lezárható
szobába tegyük, ha rajta bizalmas információkat is nyomtatunk. Ugyanakkor csak az Administrators csoport tagjainak engedélyezzük a nyomtató kezelését. A nyomtatókészlet nyomtatóit fizikailag tegyük egymás mellé. Így a felhasználóknak nem kell külön helyiségekben keresgélniük a dokumentumaik után. Több nyomtatónál használhatunk különböző ütemezéseket, hogy csökkentsük a nyomtató leterhelését a csúcsórákban. A terjedelmes dokumentumokat nyomtató felhasználók anyagait, akiknek a dokumentumai nem sürgősek ütemezzük az éjszakai órákra. Dokumentáljuk a hálózati nyomtatókat és a hozzájuk rendelt jogosultságokat. Ez segít nyomon követni a változtatásokat Laborgyakorlat Kérdések: 1. Mi a különbség a nyomtató (printer device) és a nyomtatómeghajtó (printer) között? 2. Melyek az alapértelmezett nyomtatási jogosultságai a felhasználóknak? 3. Új nyomtatót telepített és osztott meg Mit kell tennie és
miért, hogy a Windows NT 4.0-t futtató kliensei nyomtatni tudjanak? 4. Melyik a legnagyobb prioritás ami egy nyomtatóhoz hozzárendelhető? 5. Miért használünk nyomtatókészletet? 8. Hálózati nyomtatók adminisztrációja A hálózati nyomtatókat adminisztrálhatjuk helyileg, vagy távolról a hálózaton keresztül. Az adminisztratív tevékenység a következőket foglalja magába: Dokumentumok kezelése, ami a könetkező tevékenységekből áll: - dokumentum törlése - dokumentum prioritásának a megváltoztatása - bejelentés beállítása - a nyomtatás idejének a beállítása Nyomtatók kezelése, ami a könetkező tevékenységekből áll: - a nyomtatás szüneteltetése és újraindítása - dokumentum átirányítása - nyomtató kiürítése - a nyomtató tulajdonjogának átvétele A nyomtatással kapcsolatosan problémák azonosítása A nyomtatók adminisztrálásához a Full Control nyomtatási jogosultság szükséges. Ez a
jogosultsága az Administrators, Print Operators, Server Operators, vagy Power Users csoportok tagjainak van meg. A következő táblázat a Print Operators, Server Operators és Power Users csoportok beépített jogosultságait tartalmazza a nyomtatással kapcsolatban. Csoport Beépített jogosultságok Print Operators és Nyomtatók hozzáadása és törlése Server Operators Nyomtatók megosztása Nyomtatók tulajdonjogának az átvétele Power Users Nyomtatók hozzáadása és törlése Nyomtatók megosztása Nyomtatók tulajdonjogának az átvétele A nyomtatás folyamata A nyomtatási folyamat áttekintése segít a nyomtatók kezelésében. Például a Windows NT-ben egy sorkezelő működik a prin server-en, amelyik feldolgozza és ütemezi a nyomtatni való dokumentumokat. Ha egy dokumentum beragad a sorkezelőbe, szükség van a sorkezelő leállítására és újraindítására. Windows NT és Windows 95 alapú kliensek Ezek a kliensek rendelkeznek egy kiegészítő
sorkezelővel a kliens gépen. Amikor a felhasználó elküldi nyomtatásra a dokumentumát, a következők történnek: 1. A nyomtatómeghajtó részben feldolgozza a dokumentumot egy a nyomtató által elfogadható formára. 2. A dokumentum a kliens gép sorkezelőjébe kerül, ahol addig marad amíg a print server sorkezelőjében lesz elég hely a számára. 3. A print server sorkezelője befejezi a dokumentum feldolgozását A dokumentum mindaddig a várakozási sorban marad, amíg a nyomtató elérhetővé válik és kinyomtatja. Más kliensek esetében sorkezelő csak a print server-en van. Miután a felhasználó elküldi a dokumentumát nyomtatásra, a következők történnek. 1. A nyomtatómeghajtó teljes mértékben feldolgozza a dokumentumot a nyomtató számára elfogadható formára 2. A dokumentum a nyomtatási sorban vár amíg a nyomtató felszabadul, majd pedig ki lesz nyomtatva. Megjegyzés A nem Microsoft alapú kliensek esetében a megfelelő
szolgáltatásnak nűködnie kell a print server-en. Dokumentum törlése Szükséges lehet egy dokumentumot törölni, még mielőtt nyomtatásra kerülne. Például, ha a dokumentumnak nem megfelelő a nyotatóbeállítása, inkább töröljük ki Más felhasználó dokumentumának a törléséhez Full Contrl, vagy Manage Documents jogosultság szükséges. A print jogosultságú felhasználók csak a saját dokumentumaikat törölhetik ki. Egy dokumentum törléséhez: 1. A Startmenüben klikkeljünk a Settings-re, majd pedig a Printers-re A Printers mappa jelenik meg. 2. Klikkeljünk duplán a megfelelő nyomtató ikonjára A Nyomtatónév dialógusablak jelenik meg. 3. Klikkeljünk a kívánt dokumentumra, majd nyomjuk meg a Delete gombot A dokumentum eltünik a Nyomtatónév dialógusablakból. Egy dokumentum visszavonásához: 1. A printers mappában klikkeljünk duplán a megfelelő nyomtató ikonjára. A Nyomtatónév dialógusablak jelenik meg 2. Válasszuk ki a megfelelő
dokumentumot és a Document menüben klikkeljünk a Cancel parancsra. Bejelentések, prioritások és nyomtatási idők beállítása A nyomtatási feladatok ellenőrízhetőek bejelentések prioritások és nyomtatási idők beállításával. Egy dokumentum ezen tulajdonságainak beállításához a felhasználónak Full Control,vagy Manage Documents jogosultsággal kell rendelkezzen a megfelelő nyomtatóhoz. Bejelentések, prioritások és nyomtatási idők beállításához 1. A printers mappában klikkeljünk duplán a megfelelő nyomtató ikonjára. A Nyomtatónév dialógusablak jelenik meg 2. Válasszuk ki a dokumentumot, amelyiknek a tulajdonságait változtatni szeretnénk. 3. A Document menüben klikkeljünk a Properties-re. A DokumentumnévProperties dialógusablak jelenik meg ahol a General fül az aktuális. 4. Klikkeljünk a megfelelő parancsra az alábbi táblázat alapján Hogy Bejelentések beállításáho z Járjunk el így A Notify dobozba írjuk be a
felhasználói nevét annak akinek vennie kell majd ezt a megjegyzést Ilyen helyzetekben Akkor változtassunk rajta, ha más felhasználóhoz isel kell juttatni ezt a megjegyzést, mint az aki majd ki fogja nyomtatni a dokumentumot. Dokumentum Mozgassuk a nyilat a A prioritást úgy állítsuk be, prioritásána kívánt prioritás irányába hogy a kritikus azaz a fontos k a 1-től 99-ig. dokumentumok más dokumentumok megváltoztat előtt legyenek kinyomtatva. ása Az Only From és a To Terjedelmes Nyomtatás dokumentumokhoz idejének beállítása dobozokba állítsuk be az időintervallumot amikor a dokumentumot nyomtatni akarjuk. 5. Klikkeljünk az OK-ra állítsunk be éjszakai órákat. Így munkaidőben követhető a helyes sorbaállításuk de a nyomtatásuk éjjel történik. Nyomtatás szüneteltetése, folytatása és a nyomtató kiürítése Ezek a műveletek akkor válnak szükségessé, ha valamilyen nyomtatási hiba lép fel. Nyomtatás szüneteltetése,
folytatása és a nyomtató kiürítése érdekében 1. A printers mappában klikkeljünk duplán a megfelelő nyomtató ikonjára. A Nyomtatónév dialógusablak jelenik meg 2. Aprinter menüben adjuk ki a megfelelő parancsot Hogy Járjunk el így Ilyen helyzetekben szüneteltess Klikkeljünk a Pause Printing Használjuk ha a nyomtatóval ük a parancsra. Egy jel valami gond van. nyomtatást jelenik meg a parancs mmellett. folytassuk a Klikkeljünk a Pause Printing Akkor használjuk, ha a fent nyomtatást gondot parancsra. A jel eltűnik említett elhárítottuk. meg a parancs mmellől. Klikkeljünk a Purge Print Akkor használjuk ha minden kiürítsük a Documents parancsra. Minden dokumentumot nyomtatót ki akarunk törölni a nyomtatási dokumentum eltűnik a sorból. Nyomtatónév ablakból. A nyomtatást gyorsan is szüneteltethetjük úgy, hogy a nyomtatót „offline” kapcsoljuk. Dokumentumok átirányítása A dokumentumok átirányíthatóak úgy hálózati, mint
helyi nyomtatóra. Ilyen akkor szükséges, ha például elromlik egy nyomtatómeghajtóhoz csatlakoztatott nyomtató. Így a felhasználóknak nem kell semmit tenniük. Amikor egy hálózaton portot adunk hozzá a rendszerhez, ezt csak egy már létező porttal tehetjük meg. Hálózaton keresztül nem hozhatunk létre,törölhetünk, vagy konfigurálhatunk portot. Ezt csak helyileg tehetjük meg. Hogy a dokumentumokat a helyi gépre irányítsuk át, rendeljünk egy portot a helyi nyomtatóhoz. Ez egy hasonló eljárás mint a helyi portok hozzárendelése a nyomtatókészlet beállításánál. Hogy egy dokumentumot átirányítsunk: 1. A Printers mappában, válasszuk ki a megfelelő nyomtató ikonját 2. A File menüben klikkeljünk a Properties-re A nyomtatonév Properties dialógusablak jelenik meg. 3. Klikkeljünk a Ports fülre A portok aktuális konfigurációja jelenik meg. 4. Klikkeljünk az Add Port-ra A Printer Ports dialógusablak jelenik meg egy listával az elérhető
nyomtató portok típusaival. 5. Klikkeljük a Local Port-ot, majd pedig a New port-ot A Port Name dialógusablak jelenik meg. 6. Az Enter a port name dobozba írjuk be az UNC nevét egy másik nyomtatónak, például: \prntsrv4HPLaser4. Az új nyomtató ugyanazt a nyomtatómeghajtót kell használja, mint az amelyikről átirányítunk. Ezenkívül még szükséges az eredeti port eltávolítása, hogy biztosak legyünk abban, hogy a dokumentumok az átirányított portra nyomtatódnak. Ha több portunk is van, a nyomtató keresni fog egy elérhető portot, abban a sorrendben amelyikben a portok létre lettek hozva. 7. Klikkeljünk az OK-ra Nyomtató tulajdonjogának az átvétele Nyomtató tulajdonjogának az átvétele segít a nyomtató adminisztrálásában. Alapértelmezésben aki telepítette a nyomtatót az a tulajdonosa is. Ha már ezek a felhasználók nem adminisztrálják tovább a nyomtatót, akkor a tulajdonjogukat át kell adni. A következő felhasználók vehetik
át egy nyomtató tulajdonjogát: Alapértelmezésben az Administrators, Print Operators, Server Operators, és Power Users csoport tagjai. Egy felhasználó, vagy egy csoport tagja aki megkapta a Ful Control jogosultságot a nyomtatóhoz. Nyomtató tulajdonjogának az átvételéért: 1. A Printers mappában válasszuk ki a megfelelő nyomtató ikonját 2. A File menüben klikkeljünk a Properties-re A nyomtatonév Properties dialógusablak jelenik meg. 3. Klikkeljünk a Security fülre 4. Klikkeljünk az Ownership-re Az Owner dialógusablak jelenik meg 5. Klikkeljünk a Take Ownership-re, a Security fül tér vissza 6. Klikkeljünk az OK-ra A Windows NT megváltoztatja a nyomtató tulajdonjogát, az új tulajdonos az aktuális felhasználó lett. Nyomtatási problémák azonosítása A következő táblázat a gyakrabban előforduló problémáat és megoldásaikat tartalmazza. Probléma Lehetséges oka Megoldása A felhasználó egy A felhasználónak nincs Változtassuk meg
a „Access Denied” meg a megfelelő felhasználó üzenetet kap amikor jogosultsága, vagy hogy jogosultságait, megpróbálja a megváltoztassa be neki a a állítsuk nyomtatót beállítani nyomtató beállításait. nyomtatót egy alkalmazásban (Pl. Excel-ben) A dokumentum nem Nem ki a megfelelő a Cseréljük nyomtatódik helyesen, nyomtatómeg-hajtó. meghajtót. vagy elferdítve jön ki a nyomtatóból. A merevlemez akadozva Nincs elég hely a Szabadítsunk fel indul és a dokumentum lemezen a helyet a lemezen, vagy nem éri el a print sorbaállítshoz tegyük a nyomtatási server-t sort egy másik partícióra. Nem lehet a server-en A sorkezelő lefagyott Indítsuk el a Control nyomtatni. Panel Services Dokumentumok vannak a programját, állítsuk nyom-tatási sorban, de le a sorkezelő nem nyomtatódnak ki és szolgáltatást(spooler nem is törölhetök. service), majd indítsuk újra el. A hiba okának a meghatározásáért: 1. Nézzük meg hoy a nyomtató
működik-e, illetve próbáljuk ki, hogy egyes felhasználók tudnak-e nyomtatni. 2. Nézzük meg,hogy a nyomtató és a nyomtatómeghajtó illenek-e egymáshoz. 3. Vizsgáljuk meg, hogy a nyomtatószerver működik-e és hogy van e rajta elég szabad lemezterület nyomtatási sornak. 4. Vizsgáljuk meg, hogy a klienseknek megfelelő-e a nyomtatómeghajtójuk. Laborgyakorlat Kérdések 1. Amikor egy Windows NT-t futtató kliens nyomtat, hol várakozik a dokumentuma a saját gépén, addig amíg hely lesz a print server-en? Hova megy, hova kerül a print server-en. 2. Miért szükséges egy nyomtató tulajdonjogát átvenni? 3. Milyen nyomtatási jogosultságokkal kell rendelkezzen egy felhasználó, hogy megváltoztathassa egy másik felhasználó dokumentumának a prioritását? 4. Milyen software komponenseket ellenőríz, amikor egy felhasználó dokumentuma nem nyomtatódik ki? 8. Események és erőforrások auditálása A Windows NT-ben az auditálást a felhasználók
aktivitásának és a rendszer eseményeinek a nyomonkövetésére használják. Az auditálás által meghatározható az, hogy milyen események kerüljenek naplózásra. Az auditálás bejegyzései a következő információkat trtalmazzák: az esemény bekövetkezett a felhasználó hol hajtotta végre azeseményt a dátuma és az ideje a bekövetkezett eseménynek. Az audit policy-t, vagy audit korlátozásállományt arra használjuk, hogy kiválasszuk azokat a tartomány biztonsága szempontjából fontos eseményeket, amelyeket rögzíteni, naplózni akarunk. Ezután az esemény ha bekövrtkezik, beíródik a tartományvezérlő biztonsági naplójába is. Ezáltal követhetőek a biztonság szempontjából fontos események. A Windows NT Workstation-t illetve a Windows NT Server-t ami nem tartományvezérlő, futtató számítógépek audit policy file-jai csak az illető számítógép biztonságát szabályozzák. Egy tartományban bevezethetjük az
auditálást azért, hogy: • nyomon kövessük a sikeres, vagy sikertelen eseményeket, mint például a belépés, a felhasználó kísérlete egy file olvasására, változtatások a felhasználói fiókokban, vagy csoportokban és a policy file-okban • kiküszöbölhessük vagy a minimálisra csökkentsük az erőforrások engedély nélküli használatát. Az Event Viewer programot arra használjuk, hogy megnézzük auditált események naplóját. Az eseménynaplókat archiválhatjuk. Így visszamenőlegesen meghatározható az, hogy ki használta illetéktelenül erőforrásokat. az is az Audit Policy (korlátozásállomány) tervezése Amikor korlátozásállományt tervezünk, vegyük figyelembe a következőket: Állapítsuk meg a megfigyelni kívánt eseményeket, mint: • File és könyvtár használata • Felhasználók bejelentkezése és kijelentkezése • A Windows NT server indítása és leállítása • Felhasználók és csoportok
változásai • A biztonsági policy-k változásai, mint például a belépési korlátozások. Állapítsuk meg, hogy mi kerüljön naplózásra, a sikeres, vagy a sikertelen művelet. A sikeres műveletek figyelése megmutathatja, hogy milyen sűrűn használnak bizonyos file-okat, vagy nyomtatókat. Ezt az információt aztán használhatjuk az erőforrások tervezésénél. A sikertelen műveletek figyelése a biztonság hibáira hívhatja fel a figyelmünket. A közepes és nagy biztonságú hálózatokon a következőket ajánlott megfigyelni: • A felhasználók belépésének sikerességét és sikertelenségét. • Az erőforrások használatát. Hotározzuk meg azt, hogy szükséges-e a trendeket megfigyelnünk. Ha igen akkor meg kell terveznünk a naplófile-ok archiválását. Megjegyzés A túl sok esemény figyelése és naplózása túlterheli a rendszert. Ha a szerverünknek amúgy is nagy a kihasználtsága, igyekezzünk az auditálást a minimumra
csökkenteni. Audit Policy implementálása Az audit policy számítógép alapú. Például, hogy auditáljuk az elsődleges tartományvezérlő eseményeit, mint a felhasználó belépését vagy a felhasználói fiókon eszközölt változtatásokat, egy audit policy-t kell beállítanunk az elsődleges tartományvezérlőn. Ha a tartomány egy másik számítógépén akarunk auditálni, például egy filehoz való hozzáféréseket egy tagszerveren, akkor egy audit policy-t kell implementálni a tagszerveren. Az események a helyi számítógépen lesznek naplózva, de megnézhető bármelyik számítógépen egy adminisztratív jogosultsággal rendelkező felhasználó által. Az auditálás feltételei A következő feltételeket kell teljesítenünk az auditálás adminisztrálása és implementálása érdekében: A tartományvezérlőkön csak az Administrators csoport tagjai kezdeményezhetik a file-ok, könyvtárak, vagy a nyomtatók auditálását. Nem
tartományvezérlőn a helyi számítógép Administrators csoportjába tartozó felhasználó kezdeményezheti az auditálást. Alapértelmezésben a Manage Auditing and Security Log jog csak az Administrators csoportnak van meg. Az Administrators és a Server Operators csoport tagjai megnézhetik és arhiválhatják a naplófile-okat, illetve további adminisztratív tevékenységeket folytathatnak, ha az auditálás már korábban el volt indítva. File-okat és könyvtárakat csak NTFS köteteken lehet auditálni. Az auditálás folyamata Az auditálás engedélyezése egy kétlépcsős folyamat: • Az audit policy beállítása és a figyelni kívánt események kiválasztása. • Az auditálni kívánt események meghatározása a file-okhoz, könyvtárakhoz és nyomtatókhoz. Audit Policy meghatározása Az első lépés az audit policy meghatározásakor az auditálni kívánt események kiválasztása. Egy tartomány auditálásának az engedélyezéséért:
1. Indítsuk el a User Manager for Domains programot 2. A Policy menüben klikkeljünk az Audit-ra. Az Audit Policy dialógusablak jelenik meg. 3. Klikkeljünk az Audit These Events rádiógombra, majd válasszuk ki a megfelelő Success és Failure választónégyzeteket. Esemény típusa Leírás Logon and logoff Felhasználó belépése, vagy kilépése, illetve hálózati kapcsolat létesítése vagy bontása egy szerverrel. File and Object Egy felhasználó használt egy file-t, könyvtárat, Access vagy nyomtatót amely megfigyelés alatt állt. Ez az esemény ki kell legyen választva az audit file-ban vagy a nyomtató erőforráson Use of User Rights A felhasználóhoz rendelt jogosultságok, kivéve a belépési és a kilépési jogosultságot User and Group A felhasználói fiókokkal és csoportokkal végzett Management műveletek (létrehozás, törlés, módosítás, átnevezés, letiltás, engedélyezés, jelszó beállítása vagy megváltoztatása.) Security Policy Azok
a változtatások amelyek a felhasználói Changes jogosultságokra, auditálásra, vagy a trust kapcsolatokra vonatkoznak Restart, Shutdown, A felhasználó leállítja, vagy újraindítja a and System számítógépet, vagy olyan esemény történt ami érinti a rendszer biztonságát vagy a naplófile-t. (például a naplófile megtelt és nem lehet bele új bejegyzést eszközölni.) Process Traking Részletes információ különböző eseményekről mint például program indítása 4. Klikkeljünk az OK-ra, ha beállítottuk a kívánt kapcsolókat File-ok és könyvtárak auditálása Ha egyedi file-okat vagy könyvtárakat akarunk auditálni, meg kell határozzuk azokat az eseményeket, amelyeket meg akarunk figyelni. File-ok és könyvtárak auditálásához: 1. Indítsuk el a Windows NT Exploret és válasszuk ki az auditálni kívánt file-t vagy könyvtárat. 2. A File menüben klikkeljünk a Properties-re 3. klikkeljünk a Security fülre 4. Klikkeljünk az
Auditing-ra A File Auditing, vagy a Directory Auditing dialógusablak jelenik meg. 5. Könyvtár auditálásakor az auditálás alapértelmezésben csak a könyvtárra és a benne lévő file-okra vonatkozik. Ha szükséges, tegyük meg a következőket. Tegyük ezt Ha azt akarjuk, hogy jelöljük ki a Replace Auditing on Így az auditálás érvényes lesz a Subdirectories választónégyzetet könyvtár alkönyvtáraira is Töröljük a kijelölést a Replace Az auditálás csak a könyvtár fileAuditing on Subdirectories jaira lesz érvényes. választónégyzetből 6. Klikkeljünk az Add-ra Az Add Users and Groups dialógusablak jelenik meg. 7. Válasszuk ki a kívánt tartomány felhasználóit és/vagy csoportjait, azután klikkeljünk az Add-ra majd az OK-ra Fontos ha az Everyone csoportot auditáljuk a Users csoport helyett, akkor nyomon követjük az erőforrás használatát bárki által aki kapcsolódik hozzá, nem csak azok által a felhasználók által akiknek
felhasználói fiókot hoztunk létre a tartományban. 8. Az Event to Audit részben, válasszuk ki a megfigyelni kívánt események sikeres vagy sikertelen teljesülését. Esemény Hogy nyomon kövessük Read File-oknál a file tartalmának, attribútumainak, jogosultságainak és tulajdonosának a megtekintését. Könyvtáraknál a filenevek, attribútumok, jogosultságok és tulajdonosok megnézését. Használjuk minden fontosabb adat esetében. Write File-oknál, a file tartalmának, vagy attribútumainak a megváltoztatását és a jogosultságok és a tulajdonos megnézését. Könyvtáraknál, file-ok és alkönyvtárak létrehozását, attribútumok megváltoztatását, a jogosultságok és atulajdonos megnézését. Használjuk minden fontosabb adat esetében. Execute File-oknál a file attribútumainak, jogosultságainak és tulajdonosának a megtekintését és a program futtatását. Könyvtáraknál a könyvtárnevek megváltoztatását, attribútumok, jogosultságok
és tulajdonosok megnézését. Nagy biztonságú hálózatokban használjuk. Delete File-ok, vagy könyvtárak törlését. Használjuk a fontosabb adatok esetében a közepes és nagy biztonságú hálózatokon Change A file-ok és könyvtárak jogosultságainak a megváltozását. Permission Használjuk a közepes és nagy biztonságú hálózatokon. s Take A file-ok és könyvtárak tulajdonosainak a megváltozását. Ownership Használjuk a közepes és nagy biztonságú hálózatokon. 9. Klikkeljünk az OK-ra, hogy visszatérjünk a Properties dialógusablakhoz 10. Klikkeljünk az OK-ra Hogy visszavonjuk a file, vagy könyvtár auditálást egy felhasználóra, vagy csoportra • Válasszuk ki a felhasználó, vagy a csoport nevét, majd klikkeljünk a Remove parancsra. Nyomtató auditálása Amikor egy nyomtatót auditálunk, hasonlóan mint afile-oknál és a könyvtáraknál, meg kell határoznunk a megfigyelni kívánt eseményeket. Hogy egy nyomtatót auditáljunk 1.
Klikkeljünk a Start menüben a Settings-re majd pedig a Printers-re 2. Válasszuk ki a megfigyelni kívánt nyomtatót 3. A File menüben klikkeljünk a Properties-re, majd válasszuk a Security fület 4. Klikkeljünk az Auditing-ra A Printer Auditing dialógusablak jelenik meg. 5. Klikkeljünk az Add-ra Az Add Users and Groups dialógusablak jelenik meg. 6. Válasszuk ki a kívánt tartomány felhasználóit és/vagy csoportjait és klikkeljünk az Add-ra, majd az OK-ra, hogy visszatérjünk a Printer Auditing dialógusablakhoz. 7. Az Events to Audit részben válasszuk ki azokat a sikeres vagy sikertelen esemányeket, amelyeket meg akarunk figyelni. Auditált Nyomon követi a esemény Print A nyomtató használatát. Kis hálózatokban használatos. Full Control A nyomtatandó dokumentumok beállításainak a megváltoztatását, a nyomtatás szüneteltetését, újraindítását, a dokumentum törlését, átirányítását, anyomtató megosztását, vagy a tulajdonságainak a
megváltoztatását. Nagy biztonságú hálózatokban alkalmazzuk Delete A nyomtatási munkák törlését Nagy biztonságú hálózatokban alkalmazzuk Change A nyomtató jogosultságainak a változását. Permissions A közepes és a nagy biztonságú hálózatokban alkalmazzuk Take Ownership A nyomtató tulajdonosnak a megváltozását A közepes és a nagy biztonságú hálózatokban alkalmazzuk 8. Klikkeljünk az OK-ra Az Event Viewer program használata Az Event Viewer információkat szolgáltat a hibákról, hibaüzenetekről, és a sikeres,vagy sikertelen műveletekről. Ez az információ három típusú naplófile-ban tárolható. Ezek a következők: • System – hibákat, hibaüzeneteket, vagy a Windows NT által generált információkat tartalmaz. • Security – Az auditált események sikeres, vagy sikertelen eredményét tartalmazza. A felvett események az audit policy file következményeként kerülnek ide. • Application – a programok által generált hibák,
hibaüzenetek, vagy információk kerülnek ide. Az eseményeket a programok fejlesztői határozzák meg. Biztonsági naplófile-ok megnézése Hogy megnézzük a biztonsági naplófile-t a helyi számítógépen: 1. Klikkeljünk a Start menüben a Programs-ra, majd az Administrative Tools-ra és ott válasszuk az Event Viewer parancsot. Az alapértelmezett rendszernapló jelenik meg. 2. A Log menüben klikkeljünk a Security-re A sikeres események egy kulcs ikonnal jelennek meg, míg a sikertelen események egy lakat ikonnal. Az esemény adatai közt megtaláljuk a dátumot és az időt amikor az bekövetkezett, és az esemény fajtáját, mint például hozzáférés egy objektumhoz (Object Access) vagy felhasználói fiók módosítása (Account Management). 3. Egy eseményhez kapcsolódó egyéb információ megnézéséhez, válasszuk ki az eseményt és a View menüben klikkeljünk a Detail-ra. Megjegyzés: Ha a számítógépünk a kiválasztott számítógépre módemen
keresztül csatlakozik, jelöljük ki a Low Speed Connection választónégyzetet. Hogy megnézzük a biztonsági naplófile-t egy távoli számítógépen: 1. A Log menüben klikkeljünk a Select Compiuter-re A Select Compiuter dialógusablak jelenik meg. 2. A Compiuter dobozba írjuk be a távoli számítógép nevét, vagy klikkeljünk duplán a tartományra, majd válasszuk ki a számítógépet a listáról. Megjegyzés: Hogy más tartomány számítógépeit láthassuk, léteznie kell a megfelelő trust kapcsolatnak a tartományok között, és a mi tartományunk Domain Admins globális csoportja fel kell legyen véve a távoli tartomány vagy számítógép Administrators lokális csoportjába. Események azonosítása Amikor először indítjuk el az Event Viewer programot, a kiválasztott naplófileban minden regisztrált esemény automatikusan megjelenik. A megjelenített események azonban szűrhetőek is, hogy csak bizonyos fajta események jelenjenek meg a listán. Erre a
Filter Events parancs használható. Az információk keresésére pedig a Find parancs használható. Hogy az eseményeket megszűrjük, vagy megkeressük: 1. Indítsuk el az Event Viewer programot 2. A Viewmenüben klikkeljünk a Filter Events, vagy pedig a Find parancsok egyikére. 3. Válasszuk ki a kereső, vagy a szűrő feltételeket Opció Leírás View from/ Csak a szűrésnél: meghatározza azokat az adatokat View trough amelyeket látni szeretnénk az eseménynaplóban. Types A látni kívánt események típusát jelöli ki. Source Meghatározza azt a software-t vagy meghajtót, ami által generált bejegyzéseket megjeleníti. Category Kiválassza az esemény típusát a Source-on belül, például a belépési biztonság kategóriája a Logon/Logoff. User Egy bizonyos felhasználóhoz kapcsolódó események Computer Egy adott számítógéphez kacsolható események Event ID Az esemény azonosítószámát használja a válogatásra Description Csak a keresésné:
Mehatározza azt a szöveget ami az esemény leírásában szerepel. 4. Klikkeljünk azOK-ra A biztonsági napló arhiválása Az eseménynaplók arhiválásával trendeket figyelhetünk meg a rendszerben. A trendek megfigyelése segít az erőforrások kihasználtságának a meghatározásában, illetve az erőforrások engedély nélküli használóinak a felderítésében. Az eseménynaplók beállításai Amikor az eseményeket kiválasztjuk az auditálásra, szükséges meghatároznunk azt is, hogy mekkora lehet a naplófile mérete, ha a naplófile eléri ezt a méretet, több esemény már nem naplózható. Az Event Log Settings dialógusablakban a következő bellítási lehetőségeink vannak. • A naplófile maximális mérete (alapértelmezés=512K) • Hogyan legyenek naplózva az események. A következő lehetőségeink vannak: • Overwrite Events as Needed • Overwrite Events Older than x Days:írjuk be a napok számát • Do Not Overwrite Events ha ezt
választjuk, magunknak kell a naplófile-t kiüríteni miután arhiváltuk. Hogy arhiváljuk, kiürítsük, vagy megnézzünk egy arhivált naplófile-t 1. Klikkeljünk a Start menüben a Programs-ra, majd az Administrative Tools-ra és ott válasszuk az Event Viewer parancsot. 2. A Log menüben állítsuk be a következő parancsokat A Log menüben Azért hogy arhiváljuk az klikkeljünk a Save As parancsra majd adjuk eseménynaplót meg a file nevét. kiürítsük a naplófile-t klikkeljünk a Clear All Events parancsra. Ez egy bejegyzést eredményez a naplóba amiből kitűnik, hogya napló ki lett ürítve. megnézzünk egy arhivált klikkeljünk az Open parancsra, majd adjuk meg naplót a file nevét és elérési útját. Jó tanácsok Az erőforrások és események auditálásánál érdemes betartani a következőket: • Olyan audit policy-t készítsünk ami hasznos és kezelhető. Csak azokat az eseményeket kövessük nyomon amelyek hasznos információt adnak a
hálózatunkról. Ezáltal csokkentjük a server erőforrásainak a terheltségét és hamarabb megtalálhatjuk a keresett információkat. • Alacsony és közepes biztonságú környezetben, kövessük a megfelelő sikeres eseményeket, ha szükségünk van egy erőforrás leterheltségének a meghatározására. A nagy biztonságú rendszerekben kövessünk minden sikeres eseményt. • Alacsony és közepes biztonságú környezetben, kövessük a sikertelen eseményeket, hogy figyelmeztessen bennünket az esetleges biztonsági résekre. A nagy biztonságú rendszerekben kövessünk minden sikertelen eseményt. • Mindíg auditáljuk a bizalmas jellegü adatokat. • Auditáljuk az Everyone csoportot a Users csoport helyett. Ez biztosítja azt, hogy bárki, aki a hálózatunkra csatlakozik meg lesz figyelve, nem csak azok a felhasználók akiknek felhasználói fiókot hoztunk létre a tartományban. • • Készítsünk határidőnaplót az audit file-ok megnézésére és
ezt a tevékenységet rendszeresen végezzük el int az adminisztratív tevékenység részét. Arhiváljuk rendszeresen a naplófile-okat. Ez hasznos az erőforrások tzervezésénél. Laborgyakorlat Kérdések 1. Melyik számítógépről állíthatjuk be az audit policy-t, hogy figyelje egy tartományban a belépéseket? 2. Melyik számítógépről állíthatjuk be az audit policy-t, hogy figyeljen egy könyvtárat egy Windows NT Workstation-t futtató számítógépen, amely számítógép a tartomány része. 3. Milyen eseményeket kell beállítanunk az Audit Policy dialógusablakban, mielőtt file-okat, könyvtárakat és nyomtatókat auditálunk? 4. Hol kezdeményezzük az auditálást? 5. Hol adminisztrálhatjuk az auditálást? Hálózati erőforrások monitorizálása Miért monitorizáljuk az erőforrásokat? Az erőforrásokat azért monitorizáljuk, hogy hozzáférjünk az erőforráshoz és aztán kezelni tudjuk az erőforrás használatát a hálózat szerverein.
Például, láthatjuk ha egy felhasználó kapcsolódott egy file-hoz, miközben egy másik felhasználó is megpróbál kapcsolódni. lyenkor üzenetet küldhrtünk a felhasználónak aki használja a file-t, hogy egy másik felhasználó is szeretné azt használni. Server manager A Server Manager program lehetőséget ad arra, hogy láthassuk és elvégezhessük úgy a helyi mint távoli számítógépeken a következő műveleteket: • Megnézni és kilistázni a kapcsolódott felhasználókat • Megnézni és adminisztrálni a megosztott erőforrásokat • Megnézni és megnyitni az erőforrásokat • Üzenetet küldeni a kapcsolódott felhasználóknak • Listát készíteni azokkal afelhasználókkal, akik meg kell kapják a Windows NT rendszerüzeneteit A következő táblázat a Server Manager használatának a feltételeit tartalmazza: Adminisztrálhatják A következő csoportok tagjai A kiválasztott tartomány A szervereket és a Administrators vagy Server
Operators csoportok tagjai A kiválasztott számítógép Administrators vagy Power Users csoportjának a tagjai munkaállomásokat a tartományban A tagszervereket, munkaállomásokat kiválasztott vagy a Windows NT Diagnostics Ez a program egy grafikus felületet támogat és általa információkat láthatunk a számítógép hardware – és operációs rendszeréről. Arra használjuk, hogy információt gyűjtsünk a hardware és memóriaproblémák elhárótására. Számítógép tulajdonságainak a monitorizálása Hogy elindítsuk a Server Manager-t • Klikkeljünk a Start menüben a Programs-ra, majd azAdministrative Tools-ra, majd a Server Manager-re. A Server Manager-ben a következő információk jelennek meg az aktuális tartományra: • A számítógép neve, operációs rendszere és cerziószáma amit futtat. • Egy ikon ami azt mutatja, hogy melyik számítógép tartománívezérlő, szerver, vagy munkaállomás. • Ha a számítógép nem működik, az
ikonja elhalványulva jelenik meg. • Egy leírás (magyarázószöveg, amit a felhasználó ad meg) Ezen a listán a tartomány minden számítógépét láthatjuk amelyik Windows NT-t futtat, de sokgépes hálózatokon lehetőség van arra, hogy kiszűrjük csak a szervereket, vagy csak a munkaállomásokat a View megfelelő parancsával. Hogy megnézzük egy számítógép tulajdonságait: 1. Hogy egy más tartomány számítógépét láthssuk, a Computer menüben klikkeljünk a Select Domain parancsra. 2. Klikkeljünk duplán a számítógép nevére, hogy láthassuk a tulajdonságait. A következő táblázat a Properties for Számítógépnév dialógusablak információit írja le: Információ Leírás Session A számítógéphez távolról csatlakozó felhasználók száma Open Files A számítógépen megosztott és megnytott erőforrások száma File Locks A számítógépen a felhasználók által zárolt file-ok száma Open Named Pipes A számítógépen megnyitott
bitcsovek száma 3. Klikkeljünk a megfelelő gombra, hogy láthassuk a felhasználók kapcsolódásait és a használt erőforrásokat. Felhasználók monitorizálása Ha az Users gombot lenyomjuk, információkat kaphatunk a felhasználók tevékenységéről. Megtehetjük, hogy: • megnézzük a számítógéphez a hálózaton keresztül kapcsolódott felhasználókat, illetve azokat a megosztott könyvtárakat, amelyekhez kapcsolódtak • megnézzük ast, hogy milyen file-okat nyitottak meg • lekapcsoljuk a felhasználót a számítógépről. Ez az információ fontos akkor amikor meg akarjuk határozni azt, hogy melyik felhasználónak üzenjünk, ha szükségessé válik a Server szolgáltatás leállítása a mentési, vagy visszaállítási műveletek idejére, illetve azért, hogy a tudomására hozzuk azt, hogy másnak is szüksége lenne az általa használt file-ra. Hogy egy felhasználó tevékenységét megnézzük: • A Properties for számítógépnév
dialógusablakban klikkeljünk a Usersre. A következő táblázatban a megjelenő Connected Users dialógusablak információit írjuk le. Információ Leírás Connected A kapcsolódott felhasználók nevei Users Computer A számítógép neve, amelyen a felhasználó bejelentkezett. Opens Az erőforrások száma, amelyeket a felhasználó megnyitott erről a számítógépről. Time A kapcsolat létesítésétől kezdve eltelt idő. Idle Az azóta eltelt idő, hogy a felhasználó utoljára használta az erőforrást. Guest Ha a felhasználónak Guest státusza van a számítógépen. Ha kiválasztunk egy felhasználót, a megosztott erőforrás amelyhez a felhasználó kapcsolódik, meg fog jelenni a Resource részben, látni fogjuk az erőforrás nevét, a file-ok számát, amelyeket a felhasználó megnyitott, és az eltelt időt ami az erőforrás első megnyitásától számítódik. Felhasználók lekapcsolása Lekapcsolhatunk egy, vagy akár minden felhasználót is: •
Azonnal alkalmazza aváltoztatásokat egy csoport tagságára és a megosztott erőforrásra és NTFS jogosultságokra • Szabadítsa fel a nem használt kapcsolatokat a Windows NT Workstation-t futtató számítógépeken. A Windows NT Workstation csak 10 kapcsolatot engedélyez egy időben. • Lekapcsolja a szervert. Hogy egy felhasználót lekapcsoljunk • Egy felhasználó lekapcsolásához, válasszuk ki a felhasnálót, majd klikkeljünk a Disconnect parancsra. • Minden felhasználó lekapcsolásához, klikkljünk a Disconnect All parancsra. Figyelem a felhasználókat mindíg értesítsük a server szolgáltatás leállításáról és győződjünk meg arról, hogy file-ok nincsenek megnyitva akkor amikor a server szolgáltatást leállítjuk, vagy magát a server-t lekapcsoljuk, ellenkező esetben a felhasználók adatokat veszthetnek. Megosztott erőforrások monitorizálása A Shares gomb megnyomásával megkapjuk a számítógép megosztott erőforrásainak a
listáját és az ezekhez kapcsolódó felhasználókat. Használjuk ezt a gombot, hogy: • megtudjuk, elértük-e a maximális felhasználószámot ami az erőforráshoz kapcsolódhat. Ennek akkor van értelme, ha egy felhasználó nem tud kapcsolódni a megosztott erőforráshoz. • Felhasználókat kapcsoljunk le. Ha a felhasználó kikapcsolja a számítógépét anélkül, hogy kijelentkezett volna a hálózatból, a kapcsolat érvényes marad. Figyelem a felhasználókat mindíg értesítsük a szétkapcsolásról, nehogy adatokat veszítsünk. Hogy megnézzünk egy megosztott erőforrást: • A Properties forszámítógépnév dialógusablakban klikkeljünk a Sharesre. A következő táblázat a Shared Resources on számítógépnév dialógusablakban megjelenő információkat magyarázza meg: Információ Jelentése Sharename A megosztott erőforrás neve. Ez lehet egy megosztott könyvtár, nyomtató, vagy bitcső (named pipe) Uses A kapcsolódások száma a
megosztott erőforráshoz. Path A megosztott erőforrás elérési útja Connected Az erőforráshoz kapcsolódó felhasználók nevei. Users Time Az eltelt idő azóta, hogy a felhasználó először kapcsolódott ehhez az erőforráshoz. In Use Mely felhasználóknak vannak jelenleg nyitott file-jai ezen a megosztott erőforráson Használatban lévő erőforrások monitorizálása Az In Use gomb megnyomásával egy listát kapunk azokról a felhasználókról akik kapcsolódnak a megosztott erőforráshoz és ott file-okat nyitottak meg. Az információ a következőkre használható: • Meghatározhatjuk, hogy egy file használva van-e. Például, ha egy felhasználó nem tud használni egy bizonyos file-t, mert azt egy másik felhasználó már megnyitotta, üzenhetünk a file használójának, hogy egy másik felhasználónak is szüksége van a file-ra. • A file bezárására. Például ha megváltoztattuk az NTFS jogosultságot a file-hoz, hogy a változtatásoknak azonnal
érvényt szerezzünk, a file-t előbb be kell zárni, majd azután újra meg lehet nyitni. Hogy lássuk a használatban lévő erőforrásokat: 1. A Properties for számítógépnév dialógusablakban klikkeljünk az In Use gombra. A következő táblázat a megjelenő Open Resources for számítógépnév dialógusablak információit írja le: Információ Jelentése Open Resources A megnyitott erőforrásk száma a számítógépen (file-ok, nyomtatók, bitcsövek) File Locks A zárolt file-ok száma a megnyitott erőforrásokon Opened by Annak a felhasználónak a neve aki megnyitotta az erőforrást Locks Ugyanannak a felhasználónak a zárolásai az erőforráson For Az érvényes jogosultságok az erőforrás megnyitásakor Path A megnyitott erőforrás elérési útja 2. Klikkeljünk a Refresh-re, hogy aktualizáljuk a megnyitott erőforrások listáját. Ez az ablak nem aktualizálódik automatikusan Hogy egy erőforrást lezárjunk • Ha egy erőforrást akarunk lezárni,
válasszuk ki az erőforrást, majd klikkeljünk a Close-ra. Minden erőforrás leuárásáért, klikkeljünk a Close All Resources-ra. Adminisztratív riasztások beállítása Az Alert gomb arra használható, hogy létrehozzunk egy listát azokról a felhasználókról vagy számítógépekről akiknek venniük kell egy a Windows NT operációs rendszere által generált hibaüzenetet, mint például biztonsági, vagy hozzáférési problémák, felhasználókkal, vagy nyomtatókkal kapcsolatos problémák. Például, ha azt akarjuk, hogy az Administrators csoport értesüljön amikor az áramellátás kimarad egy bizonyos számítógépen, tegyük a következőket: 1. A Properties for számítógépnév dialógusablakban klikkeljünk az Alert-re. 2. A New Computer or Username dobozba, írjuk be a számítógép, vagy a felhasználó nevét. 3. Klikkeljünk az Add-ra és a beírt név felkerül a Send Administrative Allerts To listára. 4. klikkeljünk az OK-ra A riasztásokat
csak a Windows NT Alert szolgáltatása generálja. Az alkalmazások által generált hibaüzenetekre a fentiek nem vonatkoznak. Üzenet küldése a felhasználóknak Bármikor lehetőségünk van üzenetet küldeni bármelyik felhasználónak akármelyik számítógépen, ha korlátozódik egy szerver, vagy egy erőforrás elérhetősége. A következő esetekben indokolt egy felhasználónak üzenetet küldeni: • Ha egy mentési, vagy egy visszaállítási műveletet kezdünk el. • Ha lekapcsolunk egy felhasználót egy erőforrásról. • Software, vagy hardware frissítést végzünk. • Kikapcsoljuk a szervert. Hogy üzenetet küldjünk minden felhasználónak aki a számítógéphez kapcsolódik 1. Indítsuk el a Server Manager-t 2. A Computer oszlopban, válasszuk ki a megfelelő számítógépet 3. A Computer menüben klikkeljünk a Send Message parancsra A Send Message dialógusablak jelenik meg. 4. Írjuk be az üzenetünket, majd klikkeljünk az OK-ra Megjegyzés A
Messenger szolgáltatásnak működnie kell ahhoz, hogy az üzeneteket elküldhessük. Ez a szolgáltatás alapértelmezésben elindul A Windows 95-öt futtató számítógépen futnia kell a WinPopUp.exe – nek, hogy az üzeneteket venni lehessen. A rendszerkonfiguráció megnézése A Windows NT Diagnostics egy olyan eszköz ami használható információk gyűjtésére a számítógép hardware és software konfigurációjáról, és egy grafikus felületet támogat, hogy könnyen lássuk, vagy kinyomtathassuk ezt a konfigurációt. Hogy elindítsuk a Windows NT Diagnostics programot: • Klikkeljünk a Start menüben a Programs-ra, majd az Administrative Tools-ra és ott válasszuk az Windows NT Diagnostics parancsot. A következő táblázat összefoglalja a megjelenő információkat: Informáci Leírás ó Version Az operációs rendszer jellemzői, mint verziószám, service pack száma és ajogosult felhasználó azonosítója. System ROM BIOS és CPU információk,
beleértve a mikroprocesszor típusát és aprocesszorok számát is a számítógépen. Display Drives A videókártya és a videómeghajtó jellemzői Az elérhető meghajtók és azok típusai, beleértve a hajlékonylemezmeghajtókat, CD-ket, merevlemezeket és hálózati meghajtókat is. Memory A fizikai és virtuális memoria jellemzői. Adatokat találunk a virtuális memória helyéről, az összes memóriáról, az elérhető memóriárólés a memória betöltöttségi mutatójáról. A szolgáltatások listája a Current Control Set-ben analóg a Services működő (running) vagy leállított (stopped) státuszokkal. Resources Aktív eszközök és részletek minden erőforrásról, inkluszív a direkt memóriahozzáférés (DMA), megszakítások (IRQ), memória és port információk. Ez a lista rendezhető Environme Környezeti változók a környezeti folyamatokhoz (hasonlóan a parancssori set parancshoz), rendszer és felhasználói nt környezethez. Network
Hálózat beállítási információk, beleértve az aktuális hálózati statisztikát. Megjegyzés Hogy egy másik számítógép „diagnosztikáját” megnézzük, vagy kinyomtassuk egy több tartományból álló hálózaton, a File menüben klikkeljünk a Select Computer parancsra. Jelentés nyomtatása A jelentéstelkészíthetjük egyes füleken, vagy pedig minden fülön. Hogy kinyomtassuk és elmentsük a jelentést • A File menüben adjuk ki a Print Report parancsot. A következő táblázat a beállítható paramétereket írja le. Parancs Leírás Scope Kinyomtatja az aktuális fülön, vagy minden fülön található infomációt. Detail Level Részletes, vagy tömör jelentés beállítása Destination Az információkat egy file-ba, a vágólapra, vagy a nyomtatóra írja ki. • A File menüben klikkeljünk a Save Report-ra. Jó tanácsok • Telepítsük a Windows NT Administrative Tools programot a Windows NT Workstation-t és a Windows 95-öt futtató kliensekre
is (a Windows NT Server CD-jén a ClientSrvtools könyvtárban található). Ezáltal lehetővé válik a Windows NT Server-t futtató számítógépek adminisztrálása a kliens gépekről. • Mindíg értesítsük a felhasználókat a szerver leállításáról. A felhasználók adatokat veszthetnek, ha lekapcsoljuk a szervert, miközben nekik megnyitot file-jaik vannak az illető szerveren. • Ugyanazon okok miatt értesítsük a felhasználókat mielőtt szétkapcsolnánk őket egy erőforrástól. • Állítsuk be az adminisztratív riasztások küldését azoknak a felhasználóknak, akik felelősek a szerver karbantartásáért. Laborgyakorlat Kérdések 1. Milyen eszközt használunk a hálózati erőforrások monitorizálására? 2. A számítógép milyen tulajdonsága kezelhető a Server Manager programmal? 3. Mi a különbség az Alerts opció és a Send Message között? 4. Milyen eszközt használhatunk egy jelentés készítésére a hardware konfigurációról?
Adatok mentése és visszaállítása A Microsoft Windows NT Backup programja egy grafikus eszköz ami az adatok mentésére és visszaállításárs használható az NTFS és FAT köteteken. Természetesen kézileg is végezhetünk mentéseket, vagy ütemezhetünk egy egyedi mentést. Az adatok mentéséhez és visszaállításához: • A szalagos egységnek kompatibilisnek kell lenie a hardware-rel. (HCL) • A felhasználónak megfelelő jogosultsággal kell rendelkeznie. • Minden felhasználó mentheti azokat a file-okat és könyvtárakat amelyekhez Read jogosultsága van. • Minden file és könyvtár mentéséhez a felhasználónak Backup Files and Directories jogosultságra van szüksége. • Minden file és könyvtár visszaállításához a felhasználónak Restore Files and Directories jogosultságra van szüksége. • A Backup Operators, vagy a Server Operators csoportok tagjairendelkeznek ezekkel a jogosultságokkal. Megjegyzés A Windows NT Backup nem arra van
tervezve, hogy köteteket visszaállítson, mert nem szektor szinten menti az adatokat. A Windows NT Backup csak szalagos egységre támogatja a mentést. Ha más, nem szalagos egységre akarunk menteni, használjuk az MS-DOS xcopy, vagy backup parancsát. Mentési stratégia tervezése. Mielőtt adatokat mentenénk, szükséges egy stratégiának a megállapítása a szervezetünk számára, ami garantálja az elveszett adatok visszaállítását. Ilyenkor vegyük figyelembe a következőket: • Hogy melyik file-t mentsük – általánosságban minden olyan file-t ami nem nélkülözhető • Hálózati, vagy inkább több helyi mentésst végezzünk – ez attól függ, hogy a szervezetünk számítógépei hol tárolják a menteni kívánt adatokat. • Mentsünk hálózaton keresztül, ha a kritikus adatok több szerveren vannak szétosztva Hátrányok Előnyök Az egész hálózatot menti A felhasználók a fontos adataikat a szerveren kell tartsák Kevesebb szalagos egységet
ígényel A távoli számítógépek rendszerleíró adatbázisa nem menthető Kevesebb adathordozót kell Megnő a hálózat forgalma. nyilvántartani Egy felhasználó elvégezheti a Nagyobb előkészítési és tervezési műveletet munkát ígényel • Végezzünk több helyi mentést, ha a kritikus adatok a mliens gépeken vannak tárolva. Hátrányok Előnyök Kevesebb hálózati erőforrást Több szalagosegységet és szalagot ígényel ígényel A felhasználók felelősek a saját gépükön lévő adatok mentéséért. A felhasználók általában ritkán megbízhatók. • Végezzünk helyi és hálózati mentést is, ha az adataink úgy szervereken, mint munkaállomásokon vannak szétszóródva. • Hogy milyen gyakran mentsünk – a következőktől függ: • Mennyi kritikus adata van a szervezetünknek. Igyekezzünk a kritikus adatokat minnél sűrűbben menteni. • Milyen gyakran változnak ezek az adatok. ha egy felhasználónk csak péntekenként készít egy
jelentést, elégséges a heti mentés a jelentés file-ról. Ajánlott a mentéseket olyankorra tervezni amikor a hálózat forgalma kicsi. Ha a menteni kívánt file használatban van (meg van nyitva), a Windows NT, csak az utoljára mentett változatát tartja meg a file-nak. A menteni kívánt file-ok és könyvtárak meghatározása A következő irányelveket tartsuk be amikor megállapítjukazt, hogy mely file-okat mentsük. • Mindíg mentsük: • A szervezetünk működése szempontjából fontos file-okat és könyvtárakat. • A tartományvezérlő PDC, vagy BDC Registry-jét (felhasználói adatbázisát). Minden tartományvezérlőn megtalálható a felhasználói adatbázis egy másolata a Registry-ben. Ezen információk mentése biztosítja azt, hogy ne vesszenek el a felhasználói fiókokra és a biztonságra vonatkozó adatok. Fontos A Windows NT Backup programja csak annak a számítógépnek a Registry-jét tudja elmenteni, amelyikbe a szlagos egységet
szerelték. Ezért, ha lehet ezt az egységet szereljük egy tartományvezérlőbe. • Ritkábban, de mentsük el a szervezetünk számára kevésbé fontos adatokat tartalmazó file-okat is. • Ne mentsük el az időleges (temporary *.tmp) file-okat, mert ezek állandóan változnak és csak az a szerepük, hogy adatokat állítsanak vissza. A használandó mentés típusának a megállapítása A Windows NT Backup programja ötféle mentési típust támogat, amiket még mentési módszereknek is neveznek. Az effektív mentési stratégia ezeknek a kombinálásából alakul ki. A mentés típusa A mentés eredménye Normal A kiválasztott file-ok és könyvtárak, beállítja az archiv attribútumot. Copy A kiválasztott file-ok és könyvtárak, de nem állítja be az archiv attribútumot. Incremental A kiválasztott file-ok és könyvtárak, beállítja az archiv attribútumot, de csak azok amelyek az utolsó mentés óta megváltoztak és ezt az archiv attribútum jelzi.
Differential A kiválasztott file-ok és könyvtárak, de csak azok amelyek az utolsó mentés óta megváltoztak és ezt az archiv attribútum jelzi. Nem állítja be az archiv attribútumot. Daily copy Csak azokat a file-okat és könyvtárakat, amelyek a nap folyamán változtak meg. Nem állítja be az archiv attribútumot. Mentési markerek (jelzések) A Windows NT Backup programja be tudja állítani az archiv attributumait a file-oknak, amit markereknek vagy jelzéseknek is neveznek. Ez az attribútum jelzi azt, hoga a file mentve volt Például, ha egy Differential típusú mentést alkalmazunk minden kedden és szerdán, a szerdai mentés tartalmazni fogja a keddi mentés filejait is, még akkor is ha azok nem változtak meg azóta. Ez azért van, mert a diferenciális mentés nem állítja be at archiv attribútumot. A második diferenciális mentés tehát kumulatív. Mivel a mentés másolata nem jelzi a file-okon, hogy mentve lettek, használhatjuk arra, hogy a szalagokon
???????????????????????????????????????????? Példák különböző mentési fajtákra A mentések fajtáit kombinálhatjuk. Bizonyos mentési fajták több időbe telnek, de gyorsabban lehet a visszaállítást elvégezni rójuk. Mások hamarabb végzik el a mentést, de több időbe kerül a visszaállítás. El kell döntenünk, hogy számunkra melyik az előnyösebb. A következő néhány példa ebben próbál segíteni. 1. Normal és Differential metések Hétfőn normal mentés és keddtől péntekig diferenciális mentés, ami nem változtatja meg az archiv attribútumot. Így minden diferenciális mentés elmenti a hétfői állapotokhoz képest jelentkező változásokat. Ha egy adat megsérül pénteken, csak a hétfői és a csütörtöki mentett adatokat ahsználjuk a visszaállításhoz. Ez a stratégia sok időt ígényel a mentésre, de keveset a visszaállításra. 2. Normal és Incremental mentések Hétfőn normal mentés és keddtől péntekig inkrementális
mentés, ami megváltoztatja az archiv attribútumot. Minden inkrementálismentés, csak az előző naphoz képest megváltozott, vagy új file-okat menti el. Ha egy adatfile pénteken meghibásodik, vissza kell állítanunk minden mentést hétfőtől kezdve. Ez a stratégia kevesebb időt ígényel a mentéskor, de többet a visszaállításkor. 3. Normal, Differential és Copy mentések Ez a példa hasonló mint az első pontban leírt kivéve egy copy-t (másolatot) szerdán. Mivel a másolás, a copy nem állítja az attribútumokat, ezért nem befolyásolja a megszokott mentési stratégiát. Ez akkor lehet hasznos, ha az adatokat el akarjuk valakinek küldeni. Például ajánlott, hogy egy másolatot készítsünk magunknak amikor adatokat küldünk el például egy gazdasági ellenőrnek. Szalagok arhiválása és forgatása Egy másik fontos szempont amikor az arhiválás stratégiáját tervezzük, a szalagok forgatása. Ezáltal a szalagokat újra felhasználjuk és
tehát a költségeket csökkentjük. Bizonyos szalagokat arhiválnunk kell. Az arhivált szalagok az adataink állapotát rögzítik egy bizonyos időpontban, például a negyedév végi adatok fontosak lehetnek a gazdasági auditálás szempontjából. Ha egy szalagot arhiválunk, akkor kivonjuk a forgatásból. A következőkben két példát adunk a szalagok forgatására: • A hét minden napján másik szalagot használunk. Az egyik nap, például a péntek szalagját arhiváljuk és kivonjuk a körforgásból. A következő héten hétfőtől csütörtökig ugyanazokat a szalagokat használjuk, mint az előző héten (például hétfőn a múlt hét hétfői szalagját használjuk, stb) de pénteken új szalagot használunk, mert az előző hát péntekit arhiváltuk. • Hétfőtől csütörtökig ugyanúgy mentünk mint az előző példában, de ugyanarra a szalagra mentjük rá az előző naphoz képest a változásokat. Pénteken egy külön szalagra mentünk amit
arhiválunk A következő héten ugyanazt a szalagot használjuk mint az előző héten hétfőtől csütörtökig. Megjegyzés A szükséges számú szalag nem csak az egység fordulatszámától és a mentési ciklus napjaitól függ, hanem az adatfile-ok méretétől és a szalag garantált élettartamától is. Az élettartam a gyártó és a tárolási körülmények függvénye. Mentési készletek, katalógusok és a mentési napló (Backup Log) Mielőtt nekilátnánk a mentéseknek, meg kell ismernünk, mit takar a mentési készlet, katalógus és a Backup Log fogalma. • Amentési készlet (Backup Set) a file-ok és könyvtárak azon csoportja amelyek egy köteten találhatók és egy mentési művelethez tartoznak. Egy szalag több mentési készletet is tartalmazhat Ha egy mentési művelet több szalagot is ígényel, ezeket a szalagokat famili set-nek hívjuk. • A katalógus a mentés grafikus megjelenítése. A Windows NT automatikusan létrehozza a katalógust a
mentés során és felírja a szalagra. Kétfajta katalógus van: • A szalag katalógusa, ami a szalagon lévő mentési készleteket tartalmazza. • A mentési készlet katalógusa, ami a mentett file-ok és könyvtárak listáját mutatja meg. Mielőtt helyreállítanánk file-okat először a katalógusokat kell betölteni. Azután kiválaszthatjuk a mentési készletet, file-okat és könyvtárakat amiket vissza akarunk állítani. • A mentési napló, vagy Backup Log egy szöveg-file ahova a mentési műveleteket regisztráljuk. Ez a file segíthet amikor adatokat állítunk vissza, mert kinyomtatható, vagy elolvasható egy szövegszerkesztőben. Azaz, ha a mentési készlet a szalagon megsérül, a kinyomtatott Backup Log segít a file-ok azonosításában. A backup Log a következő információkat tartalmazhatja, attól függően, hogy milyen log opciókat választottunk: • a mentés dátuma • a szalagkészlet száma • • • • • a mentés fajtája hol
végeztük a mentést a mentett file-okat a mentett számítógépet a szalagegység helye Adatok mentése A mentést magát megelőzve a Windows NT Backup progjamját használjuk, ahol elvégezzük a megfelelő beállításokat. A következőkben ezekről a műveletekről adunk áttekintést: 1. Kapcsolódjunk a távoli meghajtókhoz Ha távoli gépeken levő fileokat mentünk, először kapcsolódjunk a megosztott könyvtárakhoz, ahol ezek a file-ok találhatóak. Fontos A Windows NT a Registry-t és az eseménynaplót csak a helyi gépről tudja menteni, amelyiken a szalagegység található. 2. Ertesítsük a felhasználókat a file-ok bezárásáról a mentés megkezdése előtt. Erre használjuk a Server Manager program Send Message parancsát. A Windows NT Backup programja nem tud menteni alkalmazások által megnyitott, vagy használt file-okat. Például, egy a Word szövegszerkesztőben éppen szerkesztett dokumentumot. Ezalól a Windows NT operációs rendszer
rendszerfile-jai kivételt képeznek, azaz ezek a rendszerfile-ok menthetők. 3. Indítsuk el a Windows NT Backup programot és válasszuk ki a menteni kívánt file-okat 4. Állítsuk be a kívánt mentési opciókat Meghajtók, file-ok és könyvtárak kiválasztása Miután kapcsolódtunk a távoli meghajtókhoz és figyelmeztettük a felhasználókat, elindíthatjuk a Windows NT Backup programot és kiválaszthatjuk a menteni kívánt file-okat. Hogy elindítsuk a Windows NT Backup programot 1. Klikkeljünk a Start menüben a Programs-ra, majd az Administrative Tools-ban válasszuk a Backup-ot. A Backup dialógusablak jelenik meg. Megjegyzés Ha esetleg csak a szalagot akarjuk letörölni, az Operation menüben adjuk ki az Erase Tape parancsot. 2. Nagítsuk ki a Drives ablakot Ez az ablak tartalmazza a helyi és a kapcsolódó hálózati meghajtókat. 3. Egy meghajtó minden file-jának és könyvtárának a kiválasztására, jelöljük ki az ikonja melletti választónégyzetet
4. Ha egy meghajtó bizonyos file-jait és könyvtárait akarjuk menteni, a Drives ablakban klikkeljünk duplán a kívánt mrghajtó ikonjára. A meghajtónév dialógusablak jelenik meg. Ebben az ablakban a meghajtó egy grafiks képe látható, ami hasonlít a Windows NT Explorer-ben megszokotthoz. Kétféleképpen választhatjuk ki a kívnt file-okat • A kívánt file-ok és könyvtárak mellett jelöljük be a választónégyzetet. • Válasszuk ki a menteni kívánt file-okat, vagy könyvtárakat, majd azután a Select menüben adjuk ki a Check parancsot. Megjegyzés Ha egy könyvtárban vagy meghajtón nem minden file-t választottunk ki, a választónégyzet a szülőkönyvtárban, vagy a meghajtó neve mellett szürkén jelenik meg. Ez részleges kiválasztást jelez Szalag és mentési opciók beállítása Ha már kiválasztottuk a menteni kívánt file-okat és könyvtárakat, állítsuk be a szalag és a mentési opciókat. A szalag és a mentési opciók
beállításához 1. A Backup dialógusablakban klikkeljünk a Backup parancsra A Backup Information dialógusablak jelenik meg. A dialógusablak felső részén a szalagra vonatkozó információk vannak, mint a szalag neve, afelírás ideje és a szalag tulajdonosa. 2. A Tape Name dobozba írjuk be a szerver nevét amit mentünk Ez a név 32 karakter hosszú lehet. Ha az Append opciót választottuk, a Tape Name doboz nem elérhető. 3. Válsszunk a következő opciókból: Opció Leírás Operation: Egy új mentési készletet ír az utolsó mentési készlet • Append után a szalagra. Minden adatot felülír a szalagon egy új mentési • Replace készlettel Verify After Mentés utáni ellenőrzést végez. Backup Backup A Registry egy másolatát hozzáadja a mentési Registry készlethez. Ez az opció csak akkor elérhető, ha legalább egy file-t kiválasztottunk mentésre arról a kötetről, amelyik tartalmazza a rendszerleíró adatbázist. Restrict A szalagra mentett
információkhoz korlátozza az Access to Administrators, és a Backup Operators csoportok illetve Owner or a mentést végző felhasználó hozzáférését. Ha a Administrator Registry-t mentjük, mindig válasszuk ki ezt az opciót. Hardware Akkor válasszuk, ha a szalagos egységünk támogatja az Compression adattömörítést, különben az opció nem elérhető. 4. A Description dobozba írjuk be a mentés jellemzőit, például: Server12DriveC. Ha több mentési készletünk is van, mindegyik mellé írhatunk ilyen jellemzőket. Használjuk a Backup Set Information dobozt, hogy a mentési készletek között közlekedjünk. 5. A Backup Type dobozban klikkeljünk a következk egyikére: • Normal • Copy • Incremental • Differential • Daily Copy Napló, vagy Log Opciók beállítása A Backup Informationdialógusablak utolsó részében vannak a Log Information, azaz a mentési naplóval kapcsoatos információk, ahol beállíthatóak a naplófile tulajdonságai. A
mentési napló beállításához 1. A Log File dobozba írjuk be a nevét annak a szövegfile-nak, amiben szeretnénk tárolni a mentési naplót. Az alapértelmezett neve a filenak a Backuplog és a systemroot (Winnt) könyvtárba lesz mentve 2. A Log Information részben válasszunk egyet az alábbi lehetőségek közül: Opció Leírás Full Detail Minden mentési információt naplóz, beleértve az összes mentett, átugrott esetleg hibás file és könyvtár neveit Summary Csak a fontosabb mentési műveleteket naplózza, mint a Only szalag betöltése, mentés indítása, és egy file sikertelen megnyitása. Don’t Log Nem történik naplózás 3. Klikkeljünk az OK-ra Abackup Status ablak fog megjelenni Amikor a mentés befejeződik, görgethetjük az ablak információit, hogy átnézzük nem történt-e valamilyen probléma egyik, vagy másik mentési készlettel. 4. Klikkeljünk az OK-ra A Drive ablak fog megjelenni Ajánlott minden mentési naplót kinyomtatni, majd
befűzni egy irattartóba. Mentés ütemezése batch file-okkal Az at parancsot használva (At.exe) ütemezhetjük a mentéseket batch file-ok segítségével is. 1. Készítsünk egy batch file-t, amelyik tartalmazza az Ttbackupexe parancsot. Parancssorban a következő szintaxis hsználható: ntbackup backup [elérési út [opciók]] A táblázat azokat az opciókat foglalja össze : Opció Leírás /a Bármennyi, már létező mentési készlethez hozzáad egy új mentési készletet. Nem elérhető egy üres szalag esetében /b Menti a helyi gép Registy-jét, decsak ha más file-t is mentünk ugyanarról a kötetről. /d „text” A mentési készlet leírása. Ez a leírás látható lesz a szalag katalógusában. /e Kivételes naplózás, mint például a fontosabb mőveletek naplózása. Ha nem használjuk, részletes naplózást végez /l file-név Nevet ad a naplófile-nak. Alapértelmezésben Backuplog a neve és a Winnt könyvtárban található. /r Korlátozza az
Administrators, Backup Operators csoportok tagjainak illetve a mentést végző felhasználónak a hozzáférését a szalaghoz. Ha nincs használva bárki, akinek Restore jogosultsága van visszaállíthat a mentési készletről. /t {Normal Meghatározza a mentés típusát. Az alapértelmezett típus a Normal. Copy Incremental Differentia l Daily } /v Ellenőrzi a mentett file-okat és visszajelzést ad a sikeresen menteet file-okról /hc: {on engedélyezi, vagy tiltja a hardware tömörítést azokon a szalagos meghajtókon, amelyek ezt támogatják. Az off } alapértelmezés az off. cmd /c net Hozzákapcsol egy távoli megosztott könyvtárhoz.Ezt a use x: parancsot használjuk a parancssor elején, ha egy távoli gép file-jait akarjuk menteni – például : net use x: \szervernévmegosztásnév A mentési parancsban tehát használható az UNC neve a megosztott könyvtáraknak. cmd /c net Lekapcsol a távoli megosztásról. Ezt a parancsot a use x: parancssor
végén használjuk. /delete 2. Használjuk az at parancsot (Atexe), hogy ütemezzük a batch file futtatását egy bizonyos időre. Amikor a Windows NT Backup programját futtatjuk, hozzáférhető a „Using Batch Files toDo Backups” nevű súgófile, ami tartalmazza az összes parancsori opciót és példákat is ad. Példa ütemezett mentésre Vitassuk meg az osztályban a következő batch file-t és válaszoljuk meg a következő kérdéseket: cmd /c net use x: \student1public cmd /c net use y: \student2public ntbackup backup c: d: x: y: \instructorpublic /t Incremental /b /hc:on /v /l „c:weekly.log” cmd /c net use x: /delete cmd /c net use y: /delete 1. Milyen műveleteket végez el ez a batch file? 2. Mit kell még hozzáadnunk ehhez a batch file-hoz azért, hogy gyorsan azonosítani lehessen a szalag tartalmát, ami ezen batch file által íródik fel? 3. Milyen parancsot adna hozzá a batch file-hoz, hogy az mentse el az \Instructorx számíógép file-jait? Az at
parancs használata Az at paranccsal ütemezni lehet a parancsok futtatását a Windows NT Schedule szolgáltatása által. Mifel ez a parancs időzítve indítja el a parancsokat, használható a mentési batch file ütemezésére is. A Schedule szolgáltatásnak működnie kell azon a számítógépen amelyiken az időzített mentési programot működtetni akarjuk. Hogy egy időzített mentést indítsunk • Használjuk a Server Manager programot és állítsuk be a Schedule szolgáltatáson a Startup Type-ot Automatic-ra. Ezáltal az időzített parancsok akkor is működni fognak, ha a számítógépet újraindítjuk, függetlenül attól, hogy melyik felhasználó lép be. Hogy módosítsuk az indulási opciókat a szolgáltató alkalmazásokban 1. Klikkeljünk a Start menüben a Programs-ra, majd az Administrative Tools-ra, majd a Server Manager-re. 2. A Compiuter ablakban válasszuk ki a kívánt számítógép nevét, majd a Computer menüben klikkeljünk a Services-re. A
Services on számítógépnév dialógusablak jelenik meg. 3. A Service-nél válasszuk a Schedule-t, majd klikkeljünk a Startup-ra A Services on számítógépnév dialógusablak jelenik meg. 4. A Startup Type-nál válasszuk az Automatic-ot, majd klikkeljünk az OK-ra. A Services on számítógépnév dialógusablak jelenik meg A Schedule szolgáltatás ezután automatikusan el fog indulni, amikor a számítógépet újraindítjuk. 5. A Service-nél válasszuk a Schedule-t, azután klikkeljünk a Start-ra A Service Control üzenetablak jelenik meg a következő üzenettel: Attempting to Start the Schedule service on computer name. (Kísérlet az ütemező szolgáltatás indítására a számítógépen) 6. Ütemezzük a műveleteket az Atexe programmal A következőkben az at parancs ütemezhető a mentési batch file. szintaxisát at [\számítógépnév][id][/delete] datum[,]/next: datum[,] „parancs” time tárgyaljuk, amelyikkel [/interactive][/every: A
táblázatban Opció \számítógépn év id az at parancs opcióit elemezzük: Leírás A távoli számítógépet jelöli ki. Ha nincs megadva, a parancs a helyi számítógépre érvényes Egy azonosítószámot rendel az időzített, ütemezett parancshoz. /delete Érvényteleníti az időzített parancsot. Ha elhagyjuk, a számítógépen minden ütemezett parancs érvénytelen marad. time Meghatározza azt az időt, amikortól a parancsot működésbe hozza. Az időt óra:perc formában kell megadni a 24 órás skálán. /interactive Engedélyezi a programhoz az interaktív hozzáférést, azon a képenyőn, amelyiken a felhasználó bejelentkezett. Ha elhagyjuk, a program egy láthatatlan képernyőn fut. /every: Meghatározza a hét, vagy a hónap napjait, amelyeken a date[,] parancsot futtassa. Ha elhagyjuk az alapértelmezés a hónap aktuális napja. /next: Meghatározza a hét, vagy a hónap következő napját, date[,] amikor a parancsot ismét futtatnia kell. Ha
elhagyjuk az alapértelmezés a hónap aktuális napja. „parancs” A futtatandó program, vagy batch file neve, például az Ntbackup. Megjegyzés A Resource Kit Winat.exe programja egy grafikus eszköz, ami használható az Schedule (ütemező) szolgáltatás konfigurálására. Laborgyakorlat Visszaállítási stratégia implementálása Egy jó visszaállítási stratégia, a következők függvénye: • Jó mentési stratégia. Például, ha mindíg teljes mentést készítettünk egy kötetről, egy esetleges lemezmeghibásodás esetén az egész kötet visszaállítható egyetlen művelettel. A szalagokat cserélgetve a hét napjain, pedig lehetőséget ad a file egy korábbi változatának a visszaállítására. • Őrizzük meg minden mentés dokumentációját. Ha létrehozzuk és kinyomtatjuk a mentési naplót minden mentéskor, gyorsan azonosíthatjuk a visszaállítandó file-okat, anélkül, hogy be kellene töltenünk a mentési készleteknek katalógusait. A
létrehozott mentési naplók, a beállítások függvényében tartalmazhatják a mentés típusát, milyen file-ok és könyvtárak voltak elmentve, és melyik szalagra történt a mentés. • • Időnként végezzünk próba visszaállítást, hogy ellenőrízhessük azt, hogy a file-ok jól lettek-e elmentve. Ezáltal felmerülhetnek olyan hardware problémák is amelyek a software-esen nem mutatkoztak. Állítsuk vissza a szalagot egy másik meghajtóra, nem az eredetire, majd hasonlítsuk össze a visszaállított adatokat az eredetiekkel az eredeti meghajtón. Őrizzük meg naptárszerűen a mentéseket,úgy, hogy kitűnjenek a napok, amikor készültek. Minden mentésnél jegyezzük fel a mentés típusát és a szalag azonosítóját, vagy számát. Ezután, ha szükséges, gyorsan átláthatunk több heti mentett anyagot és azt, hogy melyik mentés melyik szalagon van. Példák a visszaállítási stratégiákra A következő példák az ábrán bemutatott mentési
ütemezéseket feltételezik. 1. Normal és diferenciális mentések visszaállítása Pénteken elromlik az egész kötet. A mentési ütemezés alapján állítsuk vissza hétfői Normal mentést. Azután, mivel a többi mentések diferenciálisak, csak a csütörtöki mentést kell még visszaállítanunk. 2. Normal és inkrementális mentések visszaállítása Pénteken elromlik az egész kötet. A mentési ütemezés alapján állítsuk vissza hétfői Normal mentést. Azután, mivel a többi mentések inkrementálisak, szükséges visszaállítanunk a mentéseket keddtől keddig a megfelelő sorrendben. 3. Egyetlen file visszaállítása Pénteken megsérül egy file. Mivel hétfő után a mentések inkrementálisak, nem lehetünk biztosak abban, hogy melyik szalag tartalmazza a file-unk legújabb változatát. Használjuk a mentési naplót, hogy meghatározhassuk, a keresett file melyik szalagon található. Azután állítsuk vissza a file-t Fontos Győződjünk meg a dátum
helyességéről a számítógépünkön. A Windows NT Backup programja a file dátum attribútumát használja annak a meghatározására, hogy melyik változata a file-nak az aktuális. Ha a dátumot megváltoztattuk, esetleg felülírhatjuk a file-unkat egy régebbi változattal. Adatok visszaállítása Amikor adatokat állítunk vissza, a következő műveleteket kell elvégeznünk. 1. Kapcsolódjunk a távoli meghajtókhoz Ha távoli számítógépen akarunk file-okat visszaállítani, a Windows NT Backup programjának az indítása előtt kapcsolódnunk kell a távoli gép megfelelő meghajtójához. A Windows NT Backup programja a Registry-t és az eseménynaplót csak a haelyi számítógépen tudja visszaállítani. 2. Indítsuk el a Windows NT Backup programot 3. Töltsük be a szalag katalógusát, hogy láthassuk a mentési készleteket. Amígbetöltjük a szalag katalógusát, a Windows NT az első mentési készlet információit mutatja. 4. Állítsuk be a kívánt
visszaállítási opciókat A visszaállítási eljárásunk kevéésé függ attól, hogy az egész szalagot, mentési készleteket, vagy csak egyedi file-okat állítunk vissza. Katalógusok Be kell töltenünk a katalógusokat, hogy kiválaszthassuk a file-okat és könyvtárakat. Ha a mentés több szalagra történt, a katalógus az utolsó szalagon található. A szalag katalógusának a betöltéséért: 1. Indítsuk el a Windows NT Backup programját és nagyítsuk ki a szalagnév ablakot. 2. Az Operation menüben klikkeljünk a Catalog-ra A Catalog Status dialógusablak jelenik meg. 3. Miután a katalógus betöltése befejeződött, klikkeljünk az KO-ra A szalagnév ablak maximizálódik.Ha egy mentési készlet mappaikonja mellett egy kérdőjel (?) található, akkor a mentési készlet katalógusa nem lett betöltve. Egy mentési készlet katalógusának a betöltéséért: 1. A szalagnév ablakban klikkeljünk duplán a megfelelő mentési készlet mappájára. A
Catalog Status dialógusablak jelenik meg 2. Ha befejeződött a katalógus betöltése, klikkeljünk az OK-ra A szalagnév ablak jelenik meg a mentési készlet könyvtárszerkezetével. Csak miután a mentési készlet katalógusa betöltődött a (?)jel a mappa ikonja mellett átvált a plusz jelre (+). Hogy ezt lássuk, nagyítsuk ki a szalagnévablakot. Ha a szalagon hibás file-ok vannak, a file-okat tartalmazó könyvtárak egy piros X-el lesznek jelölve. Fontos Ha egy „family set” utolsó szalagja hiányzik, vagy sérült, kényszeríthetjük a Windows NT Backup programját arra, hogy a megmaradt szalagokat kezelje külön-külön egységként. Ilyenkor a programot indítsuk parancssorból a /missingtape opcióval. Mentési készletek, file-ok és könyvtárak kiválasztása Csak miután betöltöttük a szalag katalógusát, választhatjuk ki a mentési készletet, file-t, vagy könyvtárat, amit vissza akarunk állítani. Egy mentési készlet kiválasztásához: • A
szalagnév ablakban jelöljük ki a visszaállítandó mentési készletek melletti jelölőnégyzetet, vagy válasszuk ki a kívánt mentési készletet, majd a Select menüben klikkeljünk a Check-re. Ismételjük meg ezt a lépést a többi mentési készletre is ha szükséges. Egyedi file-ok és könyvtárak kiváasztásához egy mentési készletben 1. Ha szükséges belenéznünk az alkönyvtárakba egy mentési készlet ablakban, klikkeljünk duplán a megfelelő könyvtárra. 2. A megnyílt könyvtárszerkezetet a mentési készlet ablakban a következő módokon használhatjuk: • Jelöljük ki a választónégyzeteket a visszaállítandó file, vagy könyvtár mellett, vagy • Válasszuk ki a visszaállítani kívánt file-t, vagy könyvtárat, majd a Select menüben adjuk ki a Check parancsot. Egy X fog megjelennia kiválasztott file, vagy könyvtár melletti választónégyzetben, és úgyszintén a szülőkönyvtár és a meghajtó melletti választónégyzetben is. Ha
nem minden file-t választunk ki egy könyvtárban, az X halványan jelenik meg. MegjegyzésTöbb file és könyvtár is kiválasztható egyszerre, ha nyomva tartjuk a SHIFT, vagy a CTRL gombot. A visszaállítás opcióinak beállítása Miután kiválasztottuk a mentésből szükséges file-okat és könyvtárakat, válasszuk ki a visszaállítás opcióit. A visszaállítás opcióinak beállításáért 1. A Backup dialógusablakban klikkeljünk a Restore-ra A Restore Information dialógusablak jelenik meg. A Backup Set Information részében, információkat találunk a mentési készletek számárol, a szalag nevéről, mentési készlet leírása, szalag létrehozási dátuma és a szalag tulajdonosa látható még. 2. A Restore to Drive dobozban klikkeljünk a helyreállítandó meghajtóra. Az alapértelmezés az eredeti meghajtó Választhatunk azonban egy másik meghajtót is, ha az eredeti meghajtó minden mentési készletét visszaállítjuk 3. Ha egy mentési
készletet nem az eredeti helyére állítunk vissza, írjuk be az új elérési utat. Böngészhetünk is, hogy megkeressük az új helyet. Tipp Ha ki akarjuk próbálni azt hogy a mentési és a visszaállítási műveletek helyesen működnek, állítsuk vissza a mentést egy másik meghajtóra, majd hasonlítsuk össze az eredeti és a visszaállított file-okat. 4. Válasszuk bármelyiket a következő visszaállítási opciók közül: Opció Leírás Restore Local Visszaállítja a felhasnálói adatbázist (Registry). Hogy Registry a változások érvényre jussanak, újra kell indítanunk a számítógépet. Restore File Visszaállítja az NTFS jogosultságokat. Ha nincs Permissions kiválastva, a file-ok azoknak a könyvtáraknak a jogosultságait öröklik, amelyekbe vissza lettek állítva. Ne használjuk, ha egy olyan számítógépre állítunk vissza ahol nem ugyanazok a felhasználói fiókok és a csoportok. Verify After Ellenőrzi a visszaállított file tartalmát a
szalagon Restore levőével Napló opciók kiválasztása Miután kiválasztottuk a visszaállítás opcióit, válasszuk ki a napló opciókat is. A napló opciók kiválasztásához: 1. Válasszuk bármelyiket a következő opciók közül: Opció Leírás Log File A szöveges naplófile helye, ahol minden szalagos műveletet naplózunk. Böngészéssel is megkereshető Log Information Minden információt lement minden visszaállítási • Full műveletről, inkluszív a visszaállított file-ok és detail könyvtárak neveit. Csak afontosabb műveleteket naplózza, mint a szalag • Summary betöltése, visszaállítás indítása és a file only visszaállításának a sikertelensége. • Don’t Log Nem naplóz semmit 2. Klikkeljünk az OK-ra A Restore Status ablak jelenik meg a visszaállítási folyamat leírásával, majd átvált a Verify Status ablakra. Megjegyzés Ezalatt a folyamat alatt a Confirm File Replacement dialógusablak jelenik meg. Klikkeljünk mindig a
Yes-re, hogy felülírjunk egy-egy file-t, vagy a Yes To All-re, hogy felülírjunk minden file-t anélkül, hogy erre mindíg rákérdezzen. 3. Amikor a visszaállítási folyamatnak vége van a „The operation was successfully completed” üzenet jelenik meg. Klikkeljünk az OK-ra A Backup dialógusablak fog megjelenni. A visszaállítási művelet befejeződött Jó tanácsok A következő listán néhány jótanács az adatok mentésével és visszaállításával kapcsolatban. • Alacsony és közepes biztonságú hálózatokon, adjunk egy felhasználónak mentési jogosultságot és egy másik felhasználónak visszaállítási jogosultságot. • Csak mentési jogosultságot például úgy adhatunk, ha elvesszük a Restore Files and Directories jogosultságot a Backup Operators, vagy Server Operators csoporttól. • Csak visszaállítási jogosultságot például úgy adhatunk, hogy létrehozunk egy lokális csoportot Restore Operators néven, majd a csoportnak megadjuk a
Restore Directories and Files jogosultságot. Majd létrehozunk egy globális csoportot Restore Only néven és felvesszük az iménti lokális csoportba. Megjegyzés A nagy biztonságú hálózatokban, csak az Administrators csoport tagjai állíthatnak vissza adatokat. • Mentsük le az egész kötetet az esetleges lemezmeghibásodás kivédéséért. Sokkal hatékonyabb az egész kötet visszaállítása egy műveletben. • Mindíg mentsük el a Registry-t a tartományvezérlőn, hogy megelőzzük a felhasználói fiókok és a biztonsági információk elvesztését. • Minden mentéshez készítsünk mentési naplót és azt nyomtassuk is ki, majd fűzzük be, így gyorsabban tudjuk azonosítani a keresett fileokat. • A szalagokról tartsuk három másolatot. Legalább egyet tartsunk egy másik épületben, biztonságos helyen. • Végezzünk időről időre próbából visszaállításokat, hogy ellenőrízhessük azt, hogy a file-jaink jól vannak-e lementve. Ezzel
felderíthetünk esetleges hardware problémákat is amelyek másként nem kideríthetőek. Megjegyzés Biztosítsuk a szalagegységet és a szalagokat is, nehogy valaki ellopva a szalagot, visszaálítsa a rajta lévő adatokat egy másik számítógépen, ahol neki adminisztrátori jogosultsága van. Laborgyakorlat Kérdések 1. Milyen file-okat mentsünk mindíg? 2. Hogyan befolyásolják az attribútumok a mentést? 3. Milyen módszert tud alkalmazni, hogy ellenőrizze azt, hogy hol lehet visszaállítani egy szalagot? 4. Melyik az a három művelet, amit el kell végeznie ahhoz, hogy megbizonyosodjon arról, hogy a mentett és visszaállított adatai teljesek és pontosak? 5. Egy egyedülálló file-t kell visszaállítania Tegnap egy normál mentést csinált, de elfelejtett mentési naplót készíteni. Hogyan tudja a file-t megtalálni? 6. A szerver adatait kell visszaállítania A mentett adatok több szalagot töltenek meg, de az utolsó szalag hibás. Mit tehet?
Windows NT adminisztráció A tanterem szervezése Az ábrán bemutatott szervezése a gépeknek a tananyag elsajátításához ajánlott. Ez az elrendezés az alapja a tananyaghoz tartozó laborgyakorlatoknak is. • Az „Instructor” vagy tanári számítógépre Windows NT Workstation, Windows NT Server mint PDC van telepítve • A számítógáp neve \Instructor • Ez a számítógép a „Classroom” tartomány vezérlője • A diákok számítógépein Windows NT Server fut • A számítógépek neve Itx, ahol az x gépenként változik. • A számítógépek páronként vannak tartományokba, domain-ekbe szervezve, amely tartományokat UGTx nevekkel látunk el, ahol az x tartományonként változó szám. Ezek a tartományok „Trust” kapcsolatban állnak a „Classroom” tartománnyal. • A két számítógép közül az egyik mint elsődleges tartományvezérlő PDC, míg a másik mint tartalék tartományvezérlő BDC van telepítve. 3. Bevezetés a Windows
NT adminisztrálásba • • A Windows NT adminisztrálása magába foglalja: • a telepítés utáni tevékenységeket • és a naponta elvégzendő tevékenységeket Ezeket a tevékenységeket öt csoportba sorolhatjuk, ezek a következők: • Felhasználók és felhasználócsoportok fiókjainak (account) az adminisztrációja Magában foglalja a felhasználók és felhasználócsoportok tervezését, létrehozását és karbantartását, azért, hogy minden felhasználó be tudjon lépni a hálózatba és hozzáférhessen a számára szükséges erőforrásokhoz • Nyomtatók adminisztrációja. Helyi és hálózati nyomtatók telepítését beállítását és a nyomtatással kapcsolatos hibák elhárítását jelenti. Így a felhasználók gyorsan és könnyen kapcsolódhatnak a nyomtatókhoz és használhatják azokat. • Biztonsági adminisztráció. Házirendek (policy-k) tervezése és telepítése az adatok és a megosztott hálózati erőforrások file-ok,
könyvtárak és nyomtatók védelmére. • Hálózati események és erőforrások monitorizálása. Olyan házirendek tervezése és rendszerbe állítása amelyek lehetővé teszik hogy nyomon kövessük a hálózat erőforrásainak a használatát. • Adatok mentése és visszaállítása Az adatok mentésének tervezése, szervezése és végrehajtása tartozik ide és nagyon fontos az adatok védelme szempontjából. Ha jól terveztük a mentési stratégiánkat, gyorsan azonosíthatjuk majd visszaállíthatjuk sérült adatainkat. Windows NT adminisztrációs eszközök Az adminisztrációs eszközök egy része csak az NT Server, más része csak az NT Workstation része, de vannak közös, mindkét rendszerben megtalélható eszközök is. • Csak a Windows NT Server-en működő eszközök: • Adminisztratív varázslók, léoésenként vezetnek az adminisztrációs feladaton, mint például a felhasználói fiókok létesítése, felhasználócsoportok létesítése
vagy módosítása, file-ok illetve könyvtárakhoz rendelt jogosultságok beállítása, vagy a hálózati nyomtatók beállításai. • Server manager, segítségével beállíthatók és láthatók a tartományok és számítógépek tulajdonságai. • User Manager for Domains a tartomány illetve a tartomány szerverei és munkaállomásai biztonságos működésének beállítására szolgál. Ez a program akkor is telepítve lesz, ha a számítógépünk nem tartományvezérlőnek lett telepítve. • Csak a Windows NT Workstation-on működő eszközök • • User manager, a Windows NT Workstation-t futtató gépeken használható a biztonságos működés beállítására. Mindkét operációs rendszeren működő eszközök • Backup, adatmentésre szolgál, hogy megvédhessük az adatainkat hardware vagy egyéb hiba miatt bekövetkezhető adatvestéstől. • Event Viewer, a számítógépünk eseménynaplójának a kezelésére szolgál. Információkat kaphatunk
általa a gépünk működése közben előfordult hibákról, rendszer-üzenetekről, taskok sikeres vagy hibás befejezéséről mint például a felhasználók sikeres vagy sikertelen belépési kísérletei. • Windows NT Diagnostics, megmutatja vagy kinyomtatja a rendszerinformációkat, mint például információk a memóriáról, lemezekről vagy szolgáltatásokról. • Help gyors információ szolgáltatása a feladata. Belépés egy számítógépbe vagy egy tartományba Amikor bekapcsoljuk a számítógépünket, a Windows NT felkér bennünket a belépésre a Ctrl+Alt+Del billentyűkombináció lenyomásával. A számítógépbe vagy tartományba való belépésre a Logon Information dialógusablak szolgál. Ezen a dialógusablakon a következő beállítási lehetőségeink vannak: • User name: egy, a rendszergazda által már definiált felhasználó nevét írhatjuk be ide. Ha tartományba szeretnénk belépni, a felhasználói fiók a tartományvezérlő
felhasználói adatbázisában lesz tárolva illetve keresve. Ha számítógépre akarunk bejelentkezni akkor ez az account a helyi gép felhasználói adatbázisában kell hogy legyen. • Password a felhasználó érvényes jelszava. A jelszó „case sensitiv” azaz nem mindegy hogy kis vagy nagy-betűt írunk. Begépeléskor biztonsági okokból csak csillagok jelennek meg. • Domain A tartományba való belépéshez válasszuk ki a tartomány nevét a listáról. Ha tartományba (domainbe) akarunk belépni, akkor a tartományvezérlő felhasználói adatbázisából lesz • • lekérdezve a felhasználó azonosításához szükséges információ. Ha a számítógépre akarunk bejelentkezni, válasszuk ki a számítógép nevét a listáról. Ha a helyi számítógépre jelentkezünk be, az azonosítást a helyi számítógép felhasználói adatbázisa fogja elvégezni. A helyi számítógépre csak a helyi gép felhasználói adatbázisában létező felhasználói
névvel lehet. A tagszerverek és a munkaállomások telepítés után tartalmaznak egy „administrator” és egy „guest” felhasználót. A többi helyi felhasználót létre kell hozni. Logon Using Dial-up Networking, ha a Remote Access Service (RAS) telepítve van, ezt a választódobozt kijelölve a felhasználó beléphet egy távoli hálózatba a RAS-t használva Shut Down, bezárja az összes állományt, menti az operációs rendszer minden adatát, azaz felkészíti a gépet a biztonságos kikapcsolásra. A Windows NT Server változatán ez a gomb le van tiltva, hogy a nem jogosult felhasználók ne tudják kikapcsolni a gépet. A Windows NT Security (biztonsági) dialógus ablaka Ha a felhasználó már belépett, a Ctrl+Alt+Delete billentyűkombináció a biztonsági dialógusablakot hozza elő. Itt a következő parancsok adhatók ki: • Lock Workstation, „lezárja” a számítógépet anélkül, hogy kilépne. Az alkalmazások továbbra is futnak a gépen A
„lezárt” munkaállomást „kinyitni” csak az aktuális felhasználó vagy az adminisztrátor tudja. Ha az adminisztrátor „nyitja” ki vagy oldja fel a zárolást, az egyedüli amit megtehet, az az,hogy kilépteti a felhasználót. • Change Password, megengedi a felhasználóknak, hogy megváltoztassák a saját account-juk jelszavát. Ehhez persze ismerni kell a régi jelszót amit a gép bekér, mielőtt az új jelszót létrehozná. Így ki van zárva annak a lehetősége, hogy valaki egy másik felhasználó jelszavát módosíthassa. Ez az egyedüli módja annak, hogy a felhasználók a jelszavukat módosítsák. • Logoff, kilépteti a felhasználót úgy, hogy a Windows NT szolgáltatásai továbbra is műküdnek. Ajánlott, hogy mindíg lépjünk ki, ha már nem használjuk a számítógépet. • • • Task Manager, Kilistázza az éppen futó alkalmazásokat. Arra használhatjuk, hogy átkapcsoljunk az alkalmazások között, illetve, hogy leállítsunk
(bezárjunk) egy lefagyott alkalmazást. Shut Down, bezárja az összes file-t, elmenti az operációs rendszer adatait és előkészíti a szervert a biztonságos kikapcsolásra. Cancel, mégsem azaz bezárja a dialógusablakot. Kérdések: 6. Mi a különbség a „User Manager” és a „User Manager for Domains” között? 7. Melyik billentyűkombinációt használjuk, hogy belépjünk egy számítógépre vagy egy tartományba, illetve arra hogy előhozzuk a Windows NT Security azaz biztonsági dialógusablakát? 8. Melyik dialógusablakban változtathatják meg a felhasználók a jelszavukat? 9. Hogyan tudja egy felhasználó biztonságba helyezni a számítógépét anélkül, hogy kilépne? 10. Mit kell tenniük a felhasználóknak a számítógép kikapcsolása előtt? 4. Felhasználói fiókok (account) létrehozása Mi a felhasználói fiók avagy „account”? A felhasználói fiók egyfajta egyedi igazolvány ami a felhasználónak lehetőséget ad arra, hogy
belépjen a tartományba és használja a tartomány erőforrásait, illetve arra, hogy belépjen a helyi számítógépre és használja annak a helyi erőforrásait. Minden olyan személy aki használni akarja a hálózatot kell egy ilyen account. Ezeket az account-okat vagy fiókokat arra használhatjuk, hogy ellenőrizzük, hogy a felhasználók milyen módon használják a tartomány illetve a számítógép erőforrásait. Például előírhatjuk egy felhasználónak azt, hogy mely órákban léphet be a tartományba. A felhasználói fiókok (account-ok) típusai Két típusú felhasználói fiók létezik a Windows NT-ben, általunk létrehozott és beépített fiók. • Az általunk létrehozott fiók lehetővé teszi a felhasználónak azt hogy belépjen a hálózatba és a megfelelő jogosultságokkal használja a hálózat erőforrásait. Ez a fiók tartalmazza a felhasználóra vonatkozó adatokat, beleértve a felhasználói nevet és a jelszót is. • Guest egy
beépített fiók amit az alkalmi felhasználóknak szántak azért, hogy lehetőségük legyen bejelentkezni a helyi számítógépre és használni a helyi erőforrásokat. Csak korlátozott jogosultságot biztosít, és alapértelmezés szerint le van tiltva. • Administrator a beépített adminisztrátor fiók használható a úgy a helyi számítógép mint a tartomány konfigurálására. Segítségével minden task elérhető mint például a felhasználók vagy csoportok létrehozása vagy modosítása, a biztonsági korlátozásállományok (policy-k) kezelése, a nyomtatók és a hozzájuk való jogosultságok kezelése és általában a fiók erőforrásokhoz való jogosultságai a hálózaton. A Windows NT címtárszolgáltatása (Directory Services) A következő videó bemutatja a Windows NT környezetet és a felhasználói fiókok szerepét az NT címtárszolgáltatásában. Miután megnézte a videót, próbáljon válaszolni a következő kérdésekre: 6. Mely három
dolgot támogatja a Windows NT Server címtárszolgáltatása? 7. Melyek a Windows NT Server három konfigurációja? 8. Egy tartományon belül hány primér tartományvezérlő (PDC) és hány tartalék tartományvezérlő (BDC) lehet? 9. Miben különbözik egy tartomány az egyenrangú (peer-to-peer) hálózatoktól? 10. Mi az a logikai kapcsolat ami a tartományokat egy adminisztratív egységgé kapcsolja össze? Milyen fiókokat hozhatunk létre? • Tartományi felhasználói fiók-ot a User Manager for Domains programmal, amely a fiókot a PDC felhasználói adatbázisában hozza létre. Erről az adatbázisról a BDC-kre másolatok készülnek Ha a felhasználói fiók elkészült a PDC-n a felhasználó dejelentkezhet a tartományba a tartomány bármelyik számítógépén. (A PDC és a BDC-k közzött a szinkronizálás néhány perc időt ígényelhet és előfordulhat, hogy ezért egy új felhasználó nem tud mindjárt bejelentkezni. A szinkronizálás az adatbázisok
között kézzel is • elvégezhető a Server Manager programban, vagy parancssorból a net accounts /sync paranccsal.) Helyi felhasználói fiók-ot tagszervereken vagy NT Workstation-t futtató gépeken hozhatunk létre a User Manager programmal. Ekkor a fiók csak a helyi gép felhasználói adatbázisában jön létre és a felhasználó természetesen csak a helyi gép erőforrásait érheti el. (Awindows NT Workstation-t vagy Windows 95-t futtató gépen is hozhatunk létre tartományi felhasználói fiókokat, ha telepítjük a szerver adminisztratív eszközeit a Windows NT Server telepítő CDjéről.) Új felhasználói fiókok tervezése A felhasználói fiókok létrehozása leegyszerűsíthető a szükséges információ szervezésével és tervezésével. A fiókok tervezésénél a következők sükségesek: • Egy elnevezési konvenció amely biztosítja a felhasználói nevek egyediségét a hálózatban. Egy tömör és könnyen megjegyezhető neveket adó
eljárás könnyen megtalálhatóvá és azonosíthatóvá teszi a felhasználókat a listákon. • Ön vagy a felhasználó meg kell határozzon egy jelszót, a nemkívánatos felhasználók belépését megakadályozandó • Az órák amikora felhasználó használhatja a hálózatot, illetve amikor nem használhatja azt. • A felhasználó mely számítógépeken jelentkezhet be, hogy használja a hálózat erőforrásait. • Melyik lesz a felhasználó saját (home) könyvtára, a saját gépen vagy esetleg a serveren a biztonsági mentések könnyebbé tétele miatt. A névadási konvenció kijelöli, hogyan lesznek azonosítva a felhasználók a hálózaton. Akönnyű tájékozódás miatt ajánlott betartani a következő ajánlásokat: • A felhasználói nevek egyediek kell hogy legyenek. A tartomány felhasználói egyediek kell legyenek a tartományban, míg a helyi felhasználók egyediek kell legyenek a helyi gépen. • A nevek maximum 20 kis vagy nagy betűből
állhatnak, kivéve a következő karaktereket: „ / [ ] : ; | = , + * ? < >. A speciális és az alfanumerikus karakterek is használhatóak. • Ha sok felhasználó van a hálózatban a névadási konvenciónak alkalmazkodnia kell az azonos vagy majdnem azonos nevű felhasználókhoz. • Nagy cégeknél hasznos lehet az ideiglenes felhasználók neve elé egy t betűt írni, amiből azonnal látható, hogy a felhasználó ideiglenes (temporary). Jelszók Passwords) A tartományba vagy a számítógépbe való illetéktelen belépés megakadályozására szolgál, minden felhasználói fióknak van jelszava. A következő ajánlásokat érdemes betartani a jelszókkal kapcsolatban: • Az Administrator fiókhoz mindig tartozzon jelszó, hogy az illetéktelen felhasználók ne használhassák ezt a fiókot. • Határozzuk meg, hogy ki fogja ellenőrízni a jelszót. A rendszergazda megadhat minden felhasználónak egy-egy jelszót és megtilthatja a • •
megváltoztatását, vagy pedig kérheti, hogy a felhasználó az első bejelentkezéskor írják be a saját felhasználói jelszavukat. A legtöbb hálózaton a felhasználók saját maguk ellenőrzik a jelszavukat. Határozzuk meg, hogy melyek azok az accountok amelyek lejárnak, azaz az ideiglenes alkalmazottak számára létrehozott fiókokat lássuk el lejárási határidővel a munkaszerződésnek megfelelően. Oktassuk ki a felhasználókat a jelszavak védelmére és ennek a fontosságára: - Használjanak hosszú jelszavakat (max 14 karakter hosszúak lehetnek) - Hasnáljanak kis és nagybetűket is mivel a jelszó „case sensitiv” - Ne használjanak jelszónak nyilvánvaló karaktersorozatokat, mint például a csládtagjaik neve. Beléphetési órák, munkaállomás korlátozások A rendszergazda korlátozhatja a hálózat használatát illetve a hálózatba való belépést a nap bizonyos óráiban, illtve előírhatja, hogy egyes felhasználók mely számítógépeken
jelentkezhetnek be. - A beléphetés óráit azoknak a felhasználóknak írjuk elő akiknek a munkája a vállalatnál amúgy is csak meghatározott időintervallumban zajlik - A géphez kötött bejelentkezést azoknál a felhasználóknál érdemes kijelölni akiknek a munkájához szükséges információk legalábbis részben a saját gépen találhatók. A home könyvtár helye A home könyvtár a felhasználó saját könyvtára, ahol a dolgait tarthatja. Ezt a könyvtárat használják alapértelmezés szerint a file nyitó és a file mentő parancsok. Ez a könyvtár lehet a helyi gépen vagy pedig a hálózat egyik szerverén. A következők figyelembevétele ajánlott amikor a home könyvtár helyét határozzuk meg: - Az adatmentés és visszaállítás a rendszergazda legnagyobb felelőssége. Ezért fontos, hogy a mentésre váró file-ok egy központi helyen legyenek elérhetőek a server-en. Ha a felhasználó home könyvtára a saját gépen van, akkor a
rendszergazdának rendszeresen mentenie kell minden gép tartalmát. - A hely a tartományvezérlőkön - azaz, hogy van-e elég hely a PDC-n illetve a BDC-ken arra, hogy a felhasználók ott tartsák az adataikat? A Windows NT nem támogatja a felhasználható lemezterület korlátozását a különböző felhasználókra - Ha a felhasználó számítógépén nagyon kicsi a merevlemez, vagy esetleg egyáltalán nincs is a home könyvtár kötelezően a szerverek egyikén lesz. - A hálózat forgalma viszont csökken, ha a home könyvtár a saját gépen található. Felhasználói fiókok létrehozása A felhasználói fiókok léttrehozásához a következő eljárást használjuk: 4. Indítsuk el a User Manager for Domains (Windows NT Workstation esetében User Manager) programot. 5. Aprogram User menüjében klikkeljünk a New User-re 6. Állítsuk be, töltsük ki az alábbi szövegmezőket: - Username ide írjuk az egyedi felhasználói nevet - Full Name opcionális mező,
ide ajánlott beírni a felhasználó teljes nevét a könnyebb azonosítás végett. - Description opcionális mező, a munkaköri beosztás, a vállalat részlegének a megnevezése írható ide. - Password mezőbe írjuk a jelszót de csak akkor ha mi akarjuk azt ellenőrízni. Nem szükséges jelszót beírnunk akkor, ha a nagyobb biztonság érdekében a felhasználó meg kell változtassa a jelszavát az első belépés után. Ha beírjuk a jelszót ez nem lesz kiírva, hanem a karakterek helyén csillagok fognak megjelenni amelyek csak a jelszó hosszára engednek megkövetkeztetni. - Confirm password a jelszó újragépelését kéri, hogy biztosak legyünk abban, hogy nem gépeltük el a jelszót. 5. Klikkeljünk az Add gombra és a felhasználói fiók létrejön Miután az Add gombra klikkeltünk minden bevitt mező eltünik és helyettük üresek jelennek meg. Ez azt jelenti, hogy új felhasználót hozhatunk létre. A dialógusablakon látható, hogy a fiókon
beállítható még néhány tulajdonság „opció” is ezek jelentése a következő: - User Must Change Password at Next Logon (alapértelmezés szerint ki van választva) kényszeríti a felhasználót, hogy az első belépéskor megváltoztassa a jelszavát. Ez azt jelenti, hogy ezután csak az illető felhasználó fogja ismerni a jelszót. - User Cannot Change Password akkor használjuk, ha több felhasználó használja ugyanazt a fiókot, mint például a Gest, vagy pedig ha mint rendszergazda szeretnénk ellenőrzés alatt tartani a jelszót. - Password Never Expires Azoknál a fiókoknál jelöljük be ahol nem akarjuk a jelszót megváltoztatni. Ez az opció erősebb mint a User Must Change Pasword at Next Logon és tehát felülbírálja azt, ha egyidőben be vannak kapcsolva. - Account Disabled egy account ideiglenes kikapcsolására hsználható, például ha a felhasználónk egy ideig valamilyen okból kifolyólag hiányozni fog. A beléphetés óráinak
beállítása A beléphetés óráinak beállításával meghatározhatjuk, hogy a felhasználónk mikor használhatja a hálózatot. Ez a típusú tiltás segíthet a biztonság növelésében, csökkenti az esélyét annak, hogy rosszindulatú behatolók, megtudva egy felhasználói jelszót behatoljanak a hálózatba. A beléphetés óráinak a meghatározásához: 6. az előbbi New User ablakban klikkeljünk a Hours gombra. Alapértelmezés szerint minden nap minden órájában beléphetünk amit kitöltött négyzetek jelölnek. Az üres négyzet azt jelenti, hogy a felhasználó nem léphet be. 7. Pozicionáljuk az egér mutatóját a kívánt nap megfelelő órájára amikor nem akarjuk engedni a felhasználónknak a belépést. Nyomjuk meg az egér gombját és húzzuk végig az órákon amiket tiltani szeretnénk. Eredményként a tiltásra kijelölt terület szürke lesz 8. Klikkeljünk a Disallow gombra, hogy a tiltást érvényesítsük 9. A 2-3 lépéseket
megismételhetjük amig a felhasználó beléphetési ideje úgy nem néz ki ahogyan szeretnénk. 10. Klikkeljünk az OK-ra Megjegyzés: Az a felhasználó aki már belépett, nem lesz kitiltva a hálózatból csak azért mert a beléphetési ideje lejárt. Ugyanakkor a felhasználó már nem létesíthet semmilyen új kapcsolatot. Munkaállomás opciók beállítása Lehetőség van arra, hogy meghatározzuk a felhasználónknak azt, hogy melyik számítógépen jelentkezhet be a hálózatba. Így csökken az esélye annak, hogy a felhasználónk más felhasználók helyi adataihoz hozzáférjenek, illetve biztosított az, hogy a felhasználónk csak a megfelelő helyen tudjon bejelentkezni a hálózatba. Ehhez a New user ablakban nyomjuk meg a Logon To gombot. Alapértelmezésben minden felhasználó minden gépen bejelentkezhet a tartományba. - klikkeljünk a User May Log On To These Workstations rádiógombra. - Adjunk meg legalább egy, vagy maximum nyolc számítógépnevet,
amelyeket az account használhat a bejelentkezésre, majd klikkeljünk az OK gombra. Fiók (Account) információk Az Account Information dialógusablakban a köveetkező két opciót állíthatjuk be: - Account Expires segítségével beállítható az a dátum amikor a fiók érvényessége automatikusan lejár. Ez főleg ideiglenes alkalmazottak esetében lehet hasznos. - Account Type használjuk ezt, hogy egy felhasználónak helzi fiókot készítsünk egy nem „trust”-olt tartományban de ahol szükséges a hozzáférés egy másik tartomány erőforrásaihoz. A helyi fiókot használhatlyuk a hálózat erőforrásaihoz való csatlakozásra. Nem használható viszont arra, hogy bejelentkezzünk annak a tartománynak egy számítógépén amelyiken ez a fiók létre lett hozva. A fiók információk beállításához: 4. A New User dialógusablakban klikkeljünk az Account gombra 5. A fiók lejártának a dátumát írjuk az End of rádiógomb melletti szövegdobozba miután az
egérrel kiválasztottuk. 6. A helyi fiókot jelöljük meg a Local Account ra klikkelve Távoli felhívás engedéjezése Mielőtt egy felhasználó beléphetne egy hálózatba, használva a RAS-t, neki szüksége van arra,hogy az accountjában ez engedélyezve legyen. Meg kell legyen határozva az is hogy a RAS server hívja-e vissza a felhasználót az általa megadott számon (ekkor a cég fogja tehát fizetni a hívás azaz a „beszélgetés” díját), vagy a rendszergazda által meghatározott számon, hogyha korlátozni akarjuk a visszahívott helyeket. A távoli felhívás engedélyezéséhez: 4. A New User dialógusablakban klikkeljünk a Dialin gombra 5. Jelöljük be a Grant dialin permission to user választónégyzetet 6. Állítsuk be a visszahívási opciókat: - No Call back ha ez a rádiógomb aktív a server nem fog visszahívni és a felhasználó fogja fizetni a hívás telefonköltségét. Ez az alapértelmezett. - Set By Caller ha ezt választjuk,
engedélyezzük a felhasználónak, hogy ő határozza meg a telefonszámot amin aRAS server visszahívja. Ekkor a RAS servert üzemeltető cég fogja kifizetni a hívás díját. - Preset To ha ezt választjuk akkor a RAS server csak ezen a számon hívja vissza a felhasználónkat. Így csökkenthető annak a lehetősége, hogy egy nemkívánatos személy használja a hálózatot mert hogy a felhasználó egy meghatározott helyről hívja a RAS servert. Ha hálózatunkban törekszünk a nagy biztonságra akkor ezt válasszuk. Felhasználói fiókok törlése és átnevezése Ha egy fiókra már nincs szükségünk letörölhetjük vagy átnevezhetjük, hogy egy másik felhasználó használhassa. Mikor töröljük és mikor nevezzük át a fiókot? - Töröljük a fiókot ha már nincs rá szükség. Ha töröljük a fiókot elvész annak minden tulajdonsága úgy mint a jogosultságok, és csoporttagságok. Az Administrator és a Guest fiókok nem törölhetőek. - Nevezzük át a
fiókot ha szeretnénk megtartani a jogosultságokat és a csoporttagságokat más felhasználók számára. Például ha a felhasználónk munkakörét egy új alkalmazott tölti be, nevezzük át a fiókot és a jelszót állítsuk be úgy, hogy az első belépéskor a felhasználónak meg kelljen módosítania. Afiók törléséhez: 4. Indítsuk el a User Manager for Domains programot, majd válasszuk ki a törölni kívánt fiókot. 5. Nyomjuk meg a DELETE gombot, vagy a User menüben adju ki a Delete parancsot. Meg fog jelenni egy dialógusablak amely figyelmeztet arra, ha letöröljük elveszítjük az összes információt (jogosultság, csoporttagság) ami ehhez a fiókhoz tartozik. 6. OK-t nyomva a fiók véglegesen törlődik A fiók átnevezéséhez 4. Indítsuk el a User Manager for Domains programot, majd válasszuk ki a törölni kívánt fiókot. 5. A User menüben adju ki a Rename parancsot 6. A megjelenő Change To dialógusablakba írjuk be az új felhasználó
nevét, majd nyomjuk meg az OK gombot. Laborgyakorlat 1 A felhasználói környezet kezelése Felhasználói profilok Amikor a felhasználó először lép be egy Windows NT alapú kliensről, létrejön az alapértelmezett felhasználói profil minden felhasználó számára. Ebben olyan beállítások tárolódnak mint a felhasználó képernyőjén az asztal beállításai, a felhasználó hálózati kapcsolatai és a hozzárendelt nyomtatók. A felhasználói profil arra is használható, hogy leszűkítsük azoknak a programoknak a számát amelyeket a felhasználónk elindíthat. Például letilthatjuk az Adminisztratív eszközök használatát, hogy a felhasználók ne módosíthassák meg a környezetüket. A felhasználói profilok hatáskörébe tartozik minden a munkakörnyezetet állító parancs a Windows NT-t futtató gépeken. Minden felhasnálóspecifikus beállítás automatikusa a „Profiles” könyvtárba mentődik el (C:WinntProfiles). Logon script-ek Ha a
felhasználó nem Windows NT kliensről jelentkezik be (LAN Manager, MS-DOS, Windows for Workgroups, vagy Windows 3.x) logon scrpt-et használhatunk a felhasználó hálózati környezetének a beállítására illetve a nyomtatók csatlakoztatására. Alogon script nem használható a munkaasztal megjelenésének a beállítására vagy hardver beállításokra, mint például a monitor felbontásának a beállítása. A logon script egy batch (.bat vagy cmd) file esetleg egy végrehajtható (.exe) file amelyik automatikusan lefut, ha a felhasználó bejelentkezik a hálózatba. A felhasználói profil „roaming”-olása Ez azt jelenti, hogy a felhasználó bejelentkezhet a hálózat bármelyik Windows NT-t futtató számítógépen és ugyanazt a felhasználói profilt fogják kapni. A roaming-olt felhasználói profil központosítva van tárolva a hálózat egy szerverén. A felhasználói fiókhoz meghatározhatunk roaming-olt felhasználói profilt is. Aroamingolt
felhasználói profiloknak a következő két fajtája van: • Kötelező roamingolt felhasználói profil – ez egy előre beállított profil amit a felhasználó nem változtathat meg. Egy ilyen profil felhasnálható több felhasnáló által is. Ez a fajta felhasználói profil akkor használható jól, ha sok felhasználó ugyanolyan beállításokat ígényel (például banki alkalmazottak) • Roaming-olt személyes felhasználói profil: - ez egy a felhasználó által módosítható felhasználói profil, ami azt jelenti, hogy amikor a felhasználó kilép, a felhasználói profilja aktualizálva lesz minden olyan változtatással amit a felhasználó a munkakörnyezetén beállított. Amikor a felhasználó újra belép a gépen ugyanazt a környezetet fogja majd találni amit utoljára használt. A Windows 95 –ös kliensek felhasználói profiljait a helyi számítógépen kell létrehozni, mivel a Windows NT felhasználói profilja nem kompatibilis a Windows 95
felhasználói profiljával. A roaming-olt felhasználói profil létrehozása: Ez egy két lépéses folyamat ami egy „teszt” felhasználói profil létrehozásából majd ennek a z átmásolásából áll a hálózat serverére. A teszt felhasználói profil létrehozása 5. Hozzunk létre egy felhasználói fiókot amelyen majd a tesztelést elvégezhetjük 6. Lépjünk be ilyen „teszt” felhasználóként A feelhasználói profilunk automatikusan létrejön a helyi számítógépen a C:WinntProfiles könyvtárban 7. Állítsuk be a munkaasztal környezetét, beleértve a amegjelenést a gyorskulcsokat és a Start menü opcióit. 8. Lépjünk ki majd lépjünk be mint Adminisztrátor A teszt felhasználó profiljának másolása a hálózat serverére 10. Hozzunk létre a hálózat serverén egy könyvtárat, ahol a felhasználói profilokat fogjuk majd tárolni. Például: \servernévProfilesfelhasználónév 11. A Control Panel-en indítsuk el a System programot aho
válasszuk a User Profiles fület 12. A Profiles Stored On This Computer részben klikkeljünk arra aprofilra amelyiket másolni szeretnénk, majd klikkeljünk a Copy To gombra 13. A Copy Profile To szövegdobozban írjuk be a hálózati elérési útját az imént létrehozott könyvtárnak. 14. A Permitted to Use részben klikkeljünk a Changere 15. Adjuk hozzá a felhasználói nevet, majd klikkeljünk az OK-ra 16. A hálózati meghajtón így létrejött file-t nevezzük át Ntuserdat –ról Ntuser.man –ra ha ez egy kötelező roamingolt felhasználói profil. 17. Indítsuk el a User Manager for Domains programot, majd klikkeljünk duplán a felhasználó fiókjára, azután pedig a User Properties dialógusablakban klikkeljünk a Profile - ra. 18. A User Profile Path dobozba írjuk be az UNC path-ját a profilokat tartalmazó hálózati meghajtónak például: \servernévProfilesfelhasználónév Felhasználói környezet meghatározása A User Environment Profile
dialógusablakot használjuk, hogy meghatározzuk a felhasználóhoz a profile, logon script és a home könyvtár elérési útját. A felhasználói profil, logon sscript és a home könyvtárhelyének meghatározásához: 3. A New User (vagy User Properties) dialógusablakban klikkeljünk a Profile gombra. 4. A User Environment Profile dialógusablakban állítsuk be a következő opciókat. - User Profile Path a felhasználói profil elérési útja. A személyes felhasználói profiloknak írjuk a következő formában: Kötelező felhasználói \szervernévprofile share\%username%. profil esetén pedig írjuk a: \szervernévprofile shareprofile name. - Logon Script Name a logon script file neve. Használható a path a felhasználó helyi számítógépéhez, vagy egy UNC path egy hálózati server megosztott könyvtárához. - Home Directory a home könyvtár elérési útja. Használhatjuk a felhasználó saját számítógépére mutató utat, például: \servernévscript
sharescript name. Hálózati elérési út esetén, válasszuk a Connectparancsot és a meghajtó betűjelét. A To dobozba írjuk az UNC elérési útját a könyvtárnak, például: \servernévusers\%username%. Mielőtt a hálózati elérési utat megadnánk, a könyvtárnak léteznie kell a hálózati serveren. Amikor home künyvtárat vagy felhasználói profilt hozunk létre használjuk a %Username% változót. Ez a változó automatikusan behelyettesítődik a felhasználói fiók nevével. Ajánlások, tanácsok - A nagyobb biztonság elérése érdekében, hozzunk létre egy felhasználói fiókot nem adminisztratív feladatokhoz, nevezzük át az Administrator fiókot, és Administrátorként csak akkor jelentkezzünk be ha ténylegesen daminisztratív jellegű tevékenységet folytatunk. - A Guest fiókot csak az alacsony biztonságú hálózatokon engedélyezzük és ott is csak jelszóval. Alapértelmezésben ez a fiók le van tiltva. - Minden esetben az új felhasználói
fiókok létrehozásakor állítsuk be hogy a felhasználónk változtassa meg a jelszavát az első belépés után. - A közepes és nagy biztonságú rendszerekben hozzunk létre egy véletlenszerű kezdeti jelszót a felhasználói fiókoknak. - Használjunk roamingolt felhasználói profilokat, hogy ezek legyenek elérhetőek a felhasználóknak függetlenül attól, hogy melyik gépen jelentkeztek be a hálózatba. Laborgyakorlat 2 Kérdések 6. Hol van tárolva a tartomány felhasználói adatbázisa? 7. Hol hozzuk létre a tartomány felhasználói fiókjait? 8. Miért hozzuk létre a felhasználók home könyvtárát a hálózat serverén? 9. A nagy biztonságú hálózatokon mit ajánlott tenni a Guest ás az Administrator fiókok nagyobb biztonságáért? 10. Mi a különbség a helyi és a roamingolt felhasználói profilok között? 3. Felhasználócsoportok létrehozása Egy felhasználócsoport felhasználói fiókok gyűjteménye. Ha egy felhasználói fiókot
felveszünk egy csoportba, a felhasználó megkapja a csoportra érvényes összes jogosultságot. Segítségükkel egyszerűsíthető az adminisztrációs tevékenység, mivel ez a leggyorsabb módja annak, hogy sok felhasználónak egyszerre biztosítsunk jogosultságokat. A csoportoknak két alapvető típusa van: lokális és globális csoport. - A lokális csoport arra használható, hogy jogosultságokat biztosítsunk általa a hálózat erőforrásaihoz, úgy mint file-ok, könyvtárak (mappák) vagy nyomtatók. A lokális csoportok tehát arra használhatók, hogy a felhasználóknak jogosultságokat adjunk, mint például a számítógép órájának az állítása, vagy adatok illetve file-ok mentése és vagy visszaállítása. A Windows NT tartalmaz bizonyos előre meghatározott, úgynevezett beépített lokális csoportokat amelyek elő vannak készítve arra, hogy a felhasználóknak biznyos előre meghatározott jogosultságokat adjanak - Globális csoportok amelyek a
tartományi felhasználók fiókjainak a szervezésére használhatók. Tipikusan a több tartományból felépülő szervezetek hálózataiban használható ki amikor egy tartomány bizonyos felhasználóinak jogosultságokat akarunk adni egy másik tartomány erőforrásaihoz. A következő videó a lokális és globális csoportokat mutatja be illetve magyarázza ezek használatát a több tartományos hálózatokon. A video megtekintése közben figyeljenek a következőkre: - mi a célja a lokális csoportoknak és a globális csoportoknak? - hogyan hozzuk létre a lokális és a globális csoportokat? Lokális és globális csoportok összehasonlítása Lokális csoport Globális csoport A felhasználói fiókok csoportos A tartományi felhasználók jogadására szolgál szervezéséere szolgál Tartalmazhat felhasználói Csak a saját tartomány fiókokat, vagy globális csoportokat úgy a saját, mind más tartományok-ból (ekkor trust kapcsolat szükséges a
tartomá-nyok között). Nem tartalmazhat más lokális csoportot. A helyi tartományban engedélyek és jogosultságok megadására használható felhasználói fiókjait tartalmazhatja. Nem tartalmazhat lokális csoportot vagy más globális csoportot Felvehető a lokális csoportokba bármely tarto-mányban (külső tartományba trust kapcsolat által) és így adható a tagjainak jogosultság és hozzáférés az erőforrásokhoz Ha egy tagszerveren, vagy egy Nincsen hozzákapcsolva a helyi Windows NT Workstation-t futtató erőforrásokhoz gépen van létrerhozva csak a helyi számítógép erőforrásaihoz adhatók jogosultságok Ha a PDC-nvan létrehozva Minden esetben a tartomány PDC-jén létrehozni, amelyiken a hozzárendelhetők az egész kell tartomány minden felhasználói fiókok is léteznek. tartományvezérlőjén érvényes jogosultságok A globális platformról program. csoportok amelyiken létrehozhatók a telepítve van a PDC-n bármely Windows NT User
Manager for Domains Esettanulmány A World Wide Importers cégnek a Párizs-I irodájában egy egytartományos hálózat működik, és van benne egy PDC egy BDC és egy tagszerver. A BDCn egy számla kifizetési adatbázis, a tagszerveren egy raktárkészlet adatbázisa található. Minden felhasználó mindkét adatbázissal dolgozik. 4. Melyik számítógépen hozná létre a globális csoportot a felhasználok fiókjainak a szervezéséhez? Miért? 5. Melyik számítógépen hozná létre a lokális csoportot hogy a felhasználóknak biztosíthassa a hozzáférést a számla kifizetési adatbázishoz? Miért? 6. Melyik számítógépen hozná létre a lokális csoportot hogy a felhasználóknak biztosíthassa a hozzáférést a raktárkészlet adatbázishoz? Miért? A csoportok tervezésének a stratégiája A csoportok létrehozásakor tartsuk szem előtt a következő ajánlásokat: • A tartomány felhasználóit szervezzük logikai alapon a közös szükségleteiket
figyelembe véve. Például ha az eladási osztály minden felhasználója használja a színes nyomtatót és minden managernek szüksége van a beszállítókat tartalmazó adatbázisra, szervezzük a felhasználókat két csoportba (pl. eladók és vezetők) • Minden tartományban ahol felhasználói fiókok vannak, hozzunk létre egy-egy globális csoportot minden logikailag egy csoportba tartozó felhasználónak, majd vegyük fel a megfelelő felhasználókat a megfelelő globális csoportokba. • Az erőforrásokhoz való hozzáférés függvényében hozzunk létre lokális csoportokat. Például ha a managerek teljes hozzáférést ígényelneek a Beszállítók mappához, míg az eladási részleg felhasználói az itt található file-okat csak olvassák, létesítsünk egy lokális csoportot a managereknek és egy másik lokális csoportot az eladási részlegnek. - Ha az erőforrás egy tagszerveren vagy egy Windows NT Workstation-t futtató számítógépen van, a
lokális csoportot az illető számítógépen hozzuk létre. - Ha az erőforrás a PDC-n vagy a BDC-n van a lokális csoportot a PDC-n hozzuk létre. • Rendeljük hozzá a megfelelő jogosultságokat a lokális csoportokhoz. • Vegyük fel a megfelelő globális csoportot (vagy csoportokat) a lokális csoportba. Egy tartomány globális csoportját egy másik tartomány lokális csoportjába akkor vehetjük fel ha a megfelelő trust kapcsolatot már létrehoztuk. Lokális és globális csoportok létrehozása A Windows NT Serveren a lokális és a globális csoportokat a User Manager for Domains programmal készíthetjük el. A Windows NT Workstation-t futtató gépen a lokális csoportokat a User Manager programmal készíthetjük el míg globális csoportot nem hozhatunk létre. A lokális és a globális csoportok készítésénél a következőket vegyük figyelembe: • Az Administrators vagy az Account Operators csoport tagjaként legyünk bejelentkezve. • Lokális
csoport minden Windows NT-t futtató gépről létrehozható. • A globális csoportot a PDC-n hozzuk létre, a létrehozásához használhatjuk bármelyik számítógépet amelyiken működik a User Manager for Domains program (BDC, tagszerver amelyik a tartomány része, olyan Windows NT Workstation-t vagy Windows 95-t futtató számítógép amelyikre az Administrativ Tools telepítve lett). • A csoportnevek a tartományban egyediek kell hogy legyenek. Nem egyezhetnek meg más felhasználók neveivel sem. Globális csoportok létrehozása A felhasználók létrehozásakor mindig azt a stratégiát kövessük, hogy őket logikailag csoportosítva felvegyük a megfelelő globális csoportokba. A globális csoportok létrehozásához: 7. A User menüben adjuk ki a New Global Group parancsot A New Global Group dialógusablak jelenik meg. 8. A Group Name dobozba írjuk be a csoport nevét A globális csoport neve tartalmazhat kis és nagybetüket kivéve a következő
írásjeleket: „ / [ ] : ; | = , + * ? < >, lehetőleg legyen szuggesztív és maximum 20 karakter hosszú lehet. 9. A Description dobozba írjuk be a csoport rövid leírását Igaz hogy a kitöltése nem kötelező, de hasznos lehet a csoport szerepének azonosításakor. 10. A Not Member listán vválasszuk ki azokat a felhasználókat akiket szeretnénk ha tagja lennének a csoportunknak. 11. Klikkeljünk az Add gombra A kiválasztott felhasználó meg fog jelenni a Members listán. 12. Klikkeljünk az OK gombra hogy létrhozzuk a globális csoportot az általunk kiválasztott felhasználókkal mint a csoport tagjai. Lokális csoportok létrehozása A lokális csoportok létrehozásához: 8. A User menüben adjuk ki a New Local Group parancsot A New Local Group dialógusablak jelenik meg. 9. A Group Name dobozba írjuk be a csoport nevét A globális csoport neve tartalmazhat kis és nagybetüket kivéve a , lehetőleg legyen szuggesztív, maximum 256 karakter hosszú
lehetde csak az első 22 karakter jelenik meg a legtöbb ablakban. 10. A Description dobozba írjuk be a csoport rövid leírását, majd klikkeljünk az Add-ra. Az Add Users and Groups dialógusablak jelenik meg. 11. A Names listán válasszuk ki a felhasználókat, illetve a globális csoportokat a helyi tartományból amiket szeretnénk felvenni a csoportba. 12. Más tartomány globális csoportjának a felvételéhez, a List Names From doboz listáján válasszuk ki a kívánt tartományt, majd azután válasszuk ki a kívánt globális csoportot. A listán a csillag a saját tartományunkat jelöli. A List Names From doboz listáján csak a „trust”-olt tartományok jelennek meg. Ha a kívánt tartomány neve nincs a listán akkor a trust kapcsolat nem „él”. 13. Klikkeljünk az Add gombra majd az OK-ra 14. Klikkeljünk az OK-ra a New Local Group dialógusablakban, hogy létrehozzuk az új lokális csoportot. Csoport törlése A csoport törlésekor kitörlődik annak
a neve, leírása és az összes jogosultság is ami hozzá volt rendelve. Nem törlődnek viszon a felhasználói fiókok amiket tartalmazott. Egy csoport törléséhez: 6. Indítsuk a User Manager, vagy a User Manager for Domains programot 7. Válasszuk ki a csoportot amit törölni szeretnénk 8. Nyomjuk mega DELETE gombot A megjelenő üzenet arra figyelmeztet bennünket, hogy a csoport törlésével elvesznek a hozzárendelt jogosultságok is, illetve hogy a csoport újra létrehozásával ezek a jogosultságok maguktól nem fognak újra rendelkezésünkre állani. 9. Klikkeljünk az OK-ra a csoport törléséhez Laborgyakorlat 3 Beépített csoportok implementálása A beépített csoportok olyan előre elkészített, a telepítékor létrejövő csoportok amelyekhez előre meghatározott felhasználói jogosultságok tartoznak. Ezek a jogok meghatározzák azokat a tevékenységeket amiket egy felhasználó a beépített csoport tagjaként elvégezhet. A Windows NT-t
futtató gépeken a beépített csoportoknak három típusa van. • Beépített lokális csoportok, amelyek a felhasználóknak jogosultságokat adhatnak bizonyos tevékenységek elvégzéséhez mint például az adatmentés vagy adatvisszaállítás, a rendszeridő beállítása és a rendszer erőforrásainak adminisztrálása. Beépített lokális csoportok minden Windows NT-t futtató számítógépen találhatók. • Beépített globális csoportok, amelyek a rendszergazdát segítik a tartomány felhasználóinak gyors azonosításában. Csak a tartományvezérlőkön találhatunk ilyeneket. • Rendszer csoportok, amelyek automatikusan szervezik a felhasználókat a rendszer használatában. A rendszergazda nem jelöli ki a tagjaikat A felhasználók vagy alpértelmezésben , vagy a hálózati tevékenységük során lesznek a tagjai az ilyen csoportoknak. Minden Windows NT-t futtató gépen megtalálhatóak. A beépített csoportok nem törölhetőek és nem nevezhetőek át.
A beépített csoportok minden Windows NT-t futtató számítógépen Mnden Windows NT-t futtató gépen vannak beépített csoportok. A tartományvezérlő beépített csoportjai lehetővé teszik a tagjaik számára, hogy előre meghatározott feladatokat lássanak el a tartományban. A nem tartományvezérlőkön lévő beépített csoportok pedig lehetővé teszik, hogy a tagjaik előre meghatározott feladatokat lássanak el a helyi számítógépen. A következő táblázat a beépített lokális csoportokat és az általuk támogatott lehetőségeket foglalja össze: Lokális Lehetőségek csoport neve Users Lehetővé teszi azon tevékenységek végrehajtását amikhez jogosultságokat kapott és hogy használja az engedélyezett erőforrásokat Administrators A tagjainak minden adminisztratív tevékenységet lehetővé tesz a helyi számítógépen. Ha aszámítógép mint tartományvezérlő működik, a tagjai az egész tartományt adminisztrálhatják. Guests
Lehetővé teszi azon tevékenységek végrehajtását amikhez jogosultságokat kapott és hogy használja az engedélyezett erőforrásokat A csoport tagjai nem változtathatják meg maradandóan a környezetüket. Backup Használhatják a Windows NT Backup programját hogy Operators mentsék illetve visszaállítsák a Windows NT-t futtató gépek adatait. Replicator A Directory Replicator szolgáltatás használja. Ez a csoport nem használatos az adminisztratív tevékenységben. A Power Users csoport csak a tagszervereken illetve a Windows NT Workstation-t futtató számítógépeken található. Tagjai létrehozhatnak vagy módosíthatnak felhasználói fiókokat, illetve megoszthatnak erőforrásokat. A tartományvezérlők beépített csoportjai Lokális csoportok A következő táblázat csak a tartományvezérlőkön található lokális csoportokat írja le. Ezeknek a csoportoknak kezdetben egy felhasználó sem tagja. Lokális csoport neve Account Operators Server
Operators Printer Operators Lehetőségek Létrehozza, módosítja vagy törli afelhasználói fiókokat, a lokális és globális csoportokat. Nem módosíthatja az Administrators és a Server Operators csoportot. Megoszthatja a lemezes erőforrásoka, mentheti vagy visszaállíthatja a server-t Beállítja és kiszolgálja a hálózati nyomtatókat. Globális csoportok Amikor a Windows NT Server-t mint tartományvezérlőt telepítjük, három beépített globális csoport keletkezik a tartomány felhasználói adatbázisában: Domain Admins, Domain Users, és Domain Guests. Alapértelmezés szerint ezekhez a csoportokhoz nem tatrozik semmilyen beépített jogosultság. A tagjai akkor szereznek jogosultságokat, amikor ezeket a globális csoportokat felvesszük a lokális csoportokba és az ott érvényes jogosultságokat fogják örörkölni. A következő táblázat azt írja le, hogy mi történik a beépített globális csoportokkal amikor egy Windows NT-t futtató
számítógépet hozzáadunk egy tartományhoz. Ez a csoport Automatikusan hozzáadódik a Domain Users Local Users csoporthoz. Amikor a Domain Users csoport létrejön az Administrator felhasználó automatikusan tagja lesz ennek a csoportnak. Domain Admins Local Administrators csporthoz. A Domain Admins csoport tagjai adminisztratív tevékenységeket végezhetnek a helyi számítógépen. Az Administrátor felhasználó automatikusan tagja a csoportnak. Domain Guests Local Gests csoportnak. A Guest felhasználó automatikusan tagja a csoportnak. Beépített rendszercsoportok A beépített renszercsoportok minden Windows NT-t futtató számítógépen jelen vannak. Ezekbe a csoportokba a felhasználó a hálózati tevékenységük alapján nyernek felvételt. A scoporttagság nem módosítható. A következő táblázat a hálózat adminisztrálásában használható rendszercsoportokat írja le: Rendszer Leírás csoport Everyone Magában foglal minden helyi és távoli
felhasználót aki használja a számítógépet. Eltérően a Domain Users csoporttól, az Everyone csoport tatralmazhat más felhasználókat is mint amelyeket a rendszergazda hozott létre a tartományban. A rendszergazdák adhatnak engedélyeket és jogosultságokat az Everyone csoportnak. Creator Owner A következő táblázat a hálózat adminisztrálásában nem használható rendszercsoportokat írja le Rendszer Leírás csoport Network Azokat a felhasználókat tartalmazza akik jelenleg kapcsolódnak a hálózaton keresztül a helyi számítógép megosztott erőforrásaira. Interactiv Automatikusan magába foglalja azokat a felhasználókat akik a helyi számítógépre jelentkeznek be. A csoport tagjai annak a számítógépnek az erőforrásaihoz férhetnek hozzá amelyik eőtt ülnek. Az Everyone és a Creator Owner csoportokról a későbbiékben még lesz szó. Ajánlások A következő néhány ajánlást érdemes megfogadni a felhasználói fiókok és csoportok
adminisztrációjával kapcsolatosan. • Alkalmazzuk a következő stratégiát amikor lokális és globális csoportokkal dolgozunk: - Szervezzük a felhasználókat globális csoportokba - Adjuk meg a megfelelő jogosultságokat a lokális csoportoknak - A lokális csoportokba vegyük fel a megfelelő globális csoportokat • Használja inkább a Domain Users globális csoportot a Everyone csoport helyett. A Domain Users csoport csak az általunk létrehozott felhasználókat tartalmazza és nem minden felhasználót aki a hálózatunkra csatlakozik. • Hogy az Administrators csoport tagjai adminisztratív tevékenységet folytathassanak más tartományokban is, vegyük fel a Domain Admins globális csoportot az illető tartomány(ok) tartományvezérlőjén az Administrators lokális csoportba. • Ha a beépített csoport jogosultsága megfelel az elvárásainknak, vegyük fel a csoportba a kiválasztott felhasználó fiókját. Ellenkező esetben hozzunk létre egy új lokális
csoportot, majd jelöljük ki a megfelelő felhasználói jogosultságokat. Például ha biztonsági okokból azt szeretnénk, hogy egy felhasználó menthesse a file-okat de ne állíthassa vissza őket, hozzunk létre például egy Backup Only nevű lokális csoportot és adjuk meg neki a Backup Files and Directories jogot. • A felhasználókat lehetőleg beépített csoportokba vegyük fel, mert ezek a beépített csoportok jogosultsága biztosan jól definiált. Laborgyakorlat 4 Kérdések 6. Mi a célja a lokális csoportoknak? És a globális csoportoknak? 7. Mi a különbség a beépített lokális csoport és a beépített globális csoport között? 8. Mi engedélyezi a rendszergazdának hogy adminisztratív tevékenységet folytasson a tartomány valamennyi számítógépén? 9. Melyik az ajánlott stratégia a lokális és a globális csoportok implementálására? 10. Mi a különbség a Domain Users és az Everyone csoportok között? 10. Felhasználók és
felhasználócsoportok adminisztrációja Bevezetés Azokkal az eljárásokkal és eszközökkel fogunk itt megismerkedni amelyek a rendszergazda napi tevékenységét könnyítik meg és teszik hatékonyabbá a hálózat simább működése érdekében. Ezek a következők: • Sablonok létesítése az új felhasználói fiókok létrehozásához • A változtatások egyszerre több felhasználói fiókon történő végrehajtása, mint például a home könyvtár elköltöztetése. • Korlátozások (policy-k) tervezése és bevezetése a hálózat biztonságának a növeléséért. • A tartományvezérlők karbantartása annak érdekében, hogy a felfasználói fiókok mindig sikeresen elérhetőek legyenek • Elhárítása minden olyan hibának amelyek a felhasználók munkája során derül ki és amelyek elsősorban a hálózatba való belépéssel kapcsolatosak. • Az adminisztratív munka megosztása, más adminisztratív felhasználói fiókok létrehozásával, vagy
az Account Operators csoport segítségével. - Az Administrators csoport tagjai teljes adminisztratív jogosultsággal rendelkeznek. Ők felelősek a hálózat biztonságának a tervezéséért és karbantartásáért. - Az Account Operators csoport tagjai létrehozhatnak, törölhetnek, vagy módosíthatnak felhasználói fiókokat, globális és lokális csoportokat és beállíthatják a felhasználói fiókok házirendjét (policy). Felhasználói fiókok sablonjainak a létrehozása A felhasználói fiókok sablonja egy szabályos felhasználói fiók az összes tulajdonságaival együtt amire a felhasználóknak szükségük van.Például az eladási részleg összes felhasználója a Sales csoport tagja kell hogy legyen, ezért létrehozhatunk egy olyan sablont amely ezt a csoporttagságot definiálja. Amikor a felhasználói fiók létrehozásához sablont használunk,tulajdonképpen lemásoljuk ezt a sablon fiókot és elnevezzük a felhasználónk nevével majd megadjuk
a hozzátatozó jelszót. A sablonok által a fiókok következő tulajdonságai másolhatók az új felhasználói fiókba: - Description - User Must Change Password at Next Logon - User Cannot Change Password - Password Never Expires - Groups - Profile - Hours (csak a tartományvezérlőn) - Logon to (csak a tartományvezérlőn) - Account (csak a tartományvezérlőn) - Dialin A felhasználókra vonatkozó jogosultságok és engedélyek nem másolódnak. Néhány megjegyzés a fióksablonok létrehozásához: • készítsünk egy sablont minden felhasználó-kategóriához, úgy mint eladók, vezetők, stb. • Ha hálózatot rendszeresen használják ideiglenes felhasználók, készítsünk egy sablont korlátozott belépési idővel, meghatározott munkaállomásokkal és egyéb szükséges korlátozásokkal. Ha a sablonok neveit nem alfabetikus karakterrel kezdjük (például ) akkor a sablonok a User manager ablakban a lista elején fognak megjelenni. A sablonok
használata felhasználói fiókok létrehozásához. Amikor egy új felhasználói fiókot sablon segítségével hozunk létre, másoljuk le a sablont. A sablon lemásolásához: 6. Indítsuk el a User manager, vagy a User manager for Domains programot 7. A Username listán válasszuk ki a sablont amit le akarunk másolni 8. Az User menüben adjuk ki a Copy parancsot 9. Írjuk be a felhasználói nevet és a jelszót az új felhasználói fiók megfelelő elemeibe, majd klikkeljünk az Add gombra. 10. Hozzunk létre új felhasználót, vagy klikkeljünk a Close gombra Korlátozásállományok (Policy-k) implementálása felhasználói fiókokhoz A felhasználói fiókokhoz rendelt korlátozásállományok meghatározzák hogyan kell használni a jelszavakat minden felhasználói fióknál. Követelmények állíthatók fel a következőkre: • A jelszó minimális illetve maximális érvényességi ideje • A jelszó minimális hossza • A jelszó egyedisége • A
felhasználói fiók kizárásának a feltételei. A korlátozásállományokban (Policy file-ok) végzett módosítások a felhasználókra a következő esetekben gyakorolhatnak hatást: • Amikor a felhasználó legközelebb belép. • Amikor aelhasználó legközelebb végez olyan műveletet amit a policy szabályoz. Például ha beállítottuk a jelszó minimális hosszát egy adott értékre,majd egy idő után a felhasználó lecseréli a jelszavát és ez a jelszó rövidebb mint a beállított minimális hossz. Korlátozásállományok (Policy-k) tervezése Alapértelmezés szerint a jelszóra az egyedüli kitétel az, hogy a felhasználó meg kell változtassa az első bejelentkezéskor. A policy-k által további biztonsági előírásokat foganatosíthatunk a felhasználói fiókokhoz: • Ne engedélyezzük az üres jelszavakat mert nem biztonságosak. Ilyesmit nem szabad alkalmazni olyan rendszereken amelyek az internetre kapcsolódnak, vagy telefonvonalon
felhívhatók. • Írjuk elő a jelszó minimális hosszát. A hosszab jelszavakat nehezbb megfejteni. Közepes biztonságú hálózatokon használjunk 6-8 karakter hosszú jelszavakat, míg nagy biztonságú hálózatokon 8-14 karakter hosszú jelszavakat. • Írjuk elő, milyen gyakran szükséges ajelszó megváltoztatása. Ez is elősegiti azt hogy ajelszó nehezebben legyen megfejthető. Közepes biztonságú hálózatokban 45-90 naponként, míg nagy biztonságú hálózatokban 15-45 naponként cseréltessük le a felhasználók jelszavait • Írjuk elő, hogy a felhasználók használjanak mindíg más-más jelszót amikor azt le kell cserélniük és ne csak két jelszót cserélgessenek egymás közt. közepes biztonsági fokozatú hálózatokban 8-12 jelszó, míg a nagy biztonságú hálózatokban 12-24 különböző jelszó után legyen lehetőség az ismétlődésre. • Zárjuk ki azokat afelhasználói fiókokat amelyeken több sikertelen belépési kísérlet
történt. Ezáltal csökkenthető a nemkívánatos személyek behatolása a hálózatba. Közepes biztonságú hálózatokban 5, míg a nagy biztonságú hálózatokban 3 sikertelen próbálkozás után zárjuk ki a felhasználót. • Csak a rendszergazda engedhesse vissza a kizárt felhasználókat • Azok a felhasználók akiknek az accountja előírja, hogy csak bizonyos órákban léphetnek be a hálózatba legyenek kitiltva amikor nincs engedélyezve a belépésük. A jelszóval kapcsolatos opciók beállítása A felhasználói korlátozásállományok (policy-k) ellenőrzik a jelszóval kapcsolatos előírásokat. A policy beállításához 4. Indítsuk el a User Manager for Domains programot 5. A Policy menüben klikkeljünk az account parancsra 6. Az alábbi táblázat alapján állítsuk be a kívánt értékeket: Opció Leírás Maximum Password Az az időperiódus amelyben a jelszó használható, Age vagyis a felhasználónak neem szükséges azt megváltoztatnia.
A választható értékek: 1-999 nap Minimum Password Az az időperiódus amelyben a jelszó nem Age változtatható meg. Az értéke kisebb kell legyen a Maximum Password Age értékénél. A választható értékek: 1-999 nap. Minimum Password A jelszó minimálisan megkövetelt hossza Lenght karakterekben. Értéke 1-14 karakter lehet Password A felhasználó által használt új jelszavak száma, Uniqueness mielőtt egy régebben már használt jelszót újra használhat. Értéke 1-24 között lehet Fontos, hogy a Password Never Expires választónégyzetet kijelölve egy felhasználói fiókban, ez felülírja a Maximum Password Age beállítását. A felhasználói fiók kizárásával kapcsolatos beállítások A felhasználói fiókok kizárását szintén policy-val szabályozhatjuk. Opció Leírás No account lockout A felhasználói fiók soha nem lesz kizárva, függetlenül attól, hogy hány sikertelen próbálkozást tett a belépésre. Account Lockout Ha ezt
választjuk, akkor a következő három lehetőség közül választhatunk. Lockout After A szám azt jelzi, hogy hány sikertelen belépési kísérlet után tiltsuk ki a felhasználókat. Értéke 1-999 lehet. Reset count after A szám az időt jelzi percekben, amelynek el kell telnie ahhoz, hogy a felhasználói fiók újra használható legyen. Értéke 1-99999 között lehet Forever: vagyis mindig, azaz a felhasználói fiókot Lockout Duration ha kizárta a rendszer csak a rendszergazda engedélyezheti újra. (Az Administrator fiók nem zárható ki a rendszerből) Duration: a felhasználói fiókot kizárja a számok által jelzett percek idejére. Értéke 1-99999 között lehet. Forcibly Ha ki van választva, a felhasználót lekapcsolja a disconnect remote tartomány minden serveréről ha lejárt a fiók users from server belépésre engedélyezett ideje. when logon hours Ha nincs kiválasztva,a felhasználót nem kapcsolja expire le automatikusan amikor lejár a
beléphetési ideje. User must log on Ha ki van választva, a felhasználó nem in order to change változtathatja meg a saját lejárt jelszavát. password Ha nincs kiválasztva, a felhasználó megváltoztathatja a saját lejárt jelszavát A beállítások után nyomjuk meg az OK gombot. Felhasználói fiókok jelszavának átírása Erre akkor van szükség ha: • A jelszó lejárt • A felhasználó elfelejtette a jelszavát A jelszó átírásához: 6. Indítsuk el a User Manager for Domains programot 7. Klikkeljünk duplán a felhasználó fiókjára A User Properties dialógusablak fog megjelenni. 8. A Password dobozban válasszuk ki az egész jelszót (csillagok), majd nyomjuk meg a Delete gobot. 9. A Confirm Password dobozban válasszuk ki az egész jelszót (csillagok), majd nyomjuk meg a Delete gobot. 10. A Password és a Confirm Password dobozokba írjuk be a felhasználónk új jelszavát, majd nyomjuk meg klikkeljünl az OK-ra. Felhasználói fiók
kizárásának a feloldása Ha házirend (policy) által szabályoztuk azt, hogy a felhasználói fiók legyen kizárva bizonyos számú szabálytalan belépési kísárlet után, szükséges lehet a kizárás feloldása. Felhasználói fiók kizárásának a feloldásáért: 5. Indítsuk el a User Manager for Domains programot 6. Klikkeljünk duplán a kizárt felhasználó fiókjára A User Properties dialógusablak fog megjelenni. 7. Klikkeljünk az Account Locked Out választónégyzetre, hogy eltűnjön belőle a kijelölés. 8. klikkeljünk az OK gombra Ha a felhasználónak azért nem sikerült belépnie mert elfelejtette a jelszavát, akkor egyúttal töröljük a jelszavát is és adjunk neki új jelszót. Több felhasználói fiók módosítása Ezt az eljárást akkor használjuk, ha több felhasználó fiókját kell módosítani hasonló módon. Például ha a aome könyvtárakat kell áthelyezni egy másik serverre vagy kötetre, vagy beállítani a beléphetési
órákat 100 felhasználónak. Több felhasználói fiók egyidőbeni módosításához: 6. Indítsuk el a User Manager for Domains vagy a User Manager programot 7. Válasszunk ki a listán minden olyan felhasználói fiókot amelet ugyanúgy szeretnénk módosítani. Ehhez válasszuk ki az első fiókot, majd a Ctrl gombot nyomva tartva klikkeljün sorra a többi fiókra is, vagy ha fiókok sorban vannak klikkeljünk az elsőre, majd a Shift gombot lenyomva klikkeljünk az utolsó fiókra. 8. A User menüben klikkeljünk a Properties parancsra A User Properties dialógusablak jelenik meg. 9. Tegyük meg a szükséges változtatásokat 10. Klikkeljünk az OK gombra Laborgyakorlat 5 A tartományvezérlők karbantartása A tartományvezérlők karbantartásánál vegyük figyelembe azt, hogy az elsődleges tartományvezérlő, PDC mindig elérhető kell legyen a tartományban és a felhasználói adatbázisnak aktuálisnak kell lenni a tartalék tartományvezérlőkön. Minden
tartományban egy PDC van. A PDC-n tároljuk a felhasználói adatbázis „első példányát”. Ez a felhasználói adatbázis öt percenként automatikusan replikálódik (átmásolódik, aktualizálódik) a BDC-kre. Ha valamilyen oknál fogva a PDC-t lekapcsoljuk, a felhasználók beléptetését és azonosítását csak a BDC-k végezhetik el és a rendszergazda nem végezhet semmiféle adminisztrációs tevékenységet a felhasználói fiókokkal. Ha a PDC-t ki kell kapcsoljuk Kikapcsolás előtt végezzük el a következő műveleteket: 3. Léptessük elő a BDC-t (ha több is van akkor a „legerősebbet”) a PDC helyére. Ez a PDC-t automati-kusan visszaminősíti BDC-re 4. Ha az eredeti PDC-n elvégeztük a szükséges bővítéseket vagy javításokat és szeretnénk visszaállítani a hálózatba, léptessük elő PDC-nek, ez az aktuális PDC-t visszaminősíti BDC-re. Ha a PDC meghibásodik Ha a PDC például meghibásodás miatt kerül ki a hálózatból és nem volt
rá módunk, hogy az egyik BDC-t a helyébe léptessük, akkor a következőképp járjunk el. 4. Léptessünk elő egy BDC-t PDC-nek 5. Ha az eredeti PDC visszaáll a hálózatba, léptessük vissza BDC-nek 6. Léptessük elő a régi PDC-t BDC előléptetése Amikor egy BDC-t előléptetünk, a felhasználói adatbázis replikálódik a PDC-ről és az eredeti PDC visszaminősül BDC-nek. BDC előléptetéséhez 5. Indítsuk el a Server Manager programot (Start ,Programs, Administrativ Tools) 6. A Compiuter listán válasszuk ki a BDC-t 7. A Compiuter menüben klikkeljünk a Promote to Primary Domain Controller parancsra. Egy üzenet fog megjelenni ami figyelmeztet arra, hogy a művelet eltarthat néhány percig és hogy minden felhasználói kapcsolatot a BDC-re és a PDC-re lezár. Azután felkér bennünket arra, hogy hagyjuk jóvá a változtatást. 8. Klikkeljünk a Yes-re Ha befejeztük ezt az eljárást az eredeti PDC automatikusan BDC lesz. A tartományvezérlő
szerpének a visszaállítása A BDC-t tehát előléptethetjük PDC-nek azután is miután a PDC kikapcsolt (elromlott) és tehát az eredeti PDC nem lett visszaninősítve. Ekkor nem lehetünk biztosak abban, hogy a felhasználói adatbázis replikálódott-e aBDC-re. Amikor az eredeti PDC ismét működik, a hálózaton már talál egy PDC-t, és ezért a Net Logon szolgáltatása nem fog elindulni. Ekkor szükséges visszaállítanunk az eredeti PDC-t. Az eredeti PDC szerepének a visszaállításához 7. Indítsuk el a számítógépet, amelyik eredetileg PDC-ként működött Ez induláskor észre fogja venni, hogy a tartományban már van egy PDC. 8. Indítsuk el a Server Manager programot az eredeti PDC-n Annak ellenére, hogy az eredeti és az aktuális PDC-k mint elsődleges tartományvezérlők jelennek meg, az eredeti PDC neve nem elérhető. 9. Válasszuk ki az eredeti PDC-t 10. A Compiuter menüben adjuk ki a Demote to Backup Domain Controller parancsot. 11. Válasszuk
ki a BDC-t ami az eredeti PDC volt, majd a Compiuter menüben adjuk ki a Promote to Primary Domain Controller parancsot. 12. Klikkeljünk a Yes-re, hogy elmentsük a változásokat A képernyőn üzenetet fogunk kapni, amely azt jelzi, hogy a felhasználói adatbázis az aktuális PDC-ről szinkronizálódik a BDC-re mielőtt az előlépne PDC-vé. Mindenféle adminisztrációs tevékenység után, mint például új felhasználó felvétele, vagy jelszó megváltoztatása, ha az eredeti PDCt lekapcsoljuk, egy automatikus szinkronizáció hajtódik végre a felhasználói adatbázis példányai között, hogy a változtatások ne vesszenek el. Tartományvezérlők szinkronizálása. A tartományvezérlőket manuálisan is szinkronizálhatjuk, hogy: • azonnal érvényesítsük a változtatásokat a felhasználói adatbázisban. • feeloldjuk a jelszók egyezésével kapcsolatos problémákat. Ha a felhasználó megváltoztatja a jelszavát időbe telik amíg ez az új jelszó
automatikusan szétasztódik a tartományban. Egy kiválasztott BDC szinkronizálása 5. Indítsuk el a Server Manager programot, majd válasszuk ki a BDC-t 6. A Compiuter menüben klikkeljünk a Synchronize with Primary Domain Controller parancsra. Egy üzenetet fogunk kapni ami felhívja a figyelmünket arra, hogy a művelet néhány percig eltarthat és felkér, hogy hagyjuk jóvá a változtatást. 7. Klikkeljün k Yes-re Egy üzenet fog megjelenni amely közli, hogy a kiválasztott BDC szinkronizálódik a PDC adatbázisával. Ezenkívül felhívja a figyelmünket arra, hogy nézzük meg az event logfile-t a kiválasztott BDC-n és a PDC-n, hogy meggyőződjunk a szinkronizálás sikerességéről. 8. Klikkeljünk az OK-ra Minden tartományvezérlő szinkronizálásához 5. Indítsuk el a Server Manager programot, majd válasszuk ki a PDC-t 6. A Compiuter menüben adjuk ki a Snchronize Entire Domain parancsot A megjelenő üzenet közli, hogy a folyamat néhány percig eltarthat
és felkér, hogy hagyjuk jóvá a változtatásokat. 7. Klikkeljünk a Yes-re A megjelenő üzenet közli, hogy a PDC minden BDC-t felszólított a rajtuk tárolt felhasználói adatbázis másolatának a szinkronizálására, és azt szugerálja, hogy nézzük meg az Event Log-ot, hogy megyőződjünk a szinkroizálás sikerességéről. 8. Klikkeljünk az OK-ra A belépéssel kapcsolatos problémák elhárítása A következő táblázat a gyakrabban előforduló hibaüzeneteket illetve az elhárításukhoz tartozó megoldásokat tatralmazza. Hibaüzenet Megoldás The system could not log Vizsgáljuk meg, hogy a felhasználói nevünk, you on. Make sure your a tartomány (domain) neve, és a jelszó user name are correct, helyesen van-e beírva, nézzük meg a KAPS and then type your LOCK gombot, ugyanis a jelszóban nem password again. Letters mindegy, hogy kis vagy nagybetűt írtunk-e in Password must be typed using correct case. Make sure that CAPS LOCK is not accidentaly
on. A domain controller for your domain could not be contacted. You have been logged on using cached account information. Changes made to your profile since you last logged on may not be avialable. Your account has time restriction that prevent you from logging on at this time. Please try again later. Your account is configured to prevent you from using this workstation. Please try another workstation Ha a felhasználó elfelejtette a jelszavát, töröljük a jelszót, vagy adjunk új jelszót a felhasználónak. Ha a felhasználói fiók új, esetleg még nem szinkronizálódott a BDC-kkel. Sinkronizáljuk a tartományvezérlőket. Győződjünk meg arról, hogy ez-e az egyetlen számítógép amelyiken a probléma jelentkezik. Ellenőrizzük, hogy a tartományvezérlők elérhetőek-e. Ha aPDC nem „online”, léptessük elő a BDC-t PDC-nek. Ha csak egy számítógépen jelentkezik a probléma, ellenőrizzük, hogy a hibás gép csatlakozik-e a hálózatra, a hálókártyája
működik-e (villog-e). Ha mindent rendben találtunk, próbáljuk meg újraindítani a hibás számítógépet. A felhasználónak ebben az órában nem engedélyezett a belépés. A felhasználónak a beléptetéséhez módosíthatjuk a beléphetési óráit. A felhasználónk csak bizonyos gépeken léphet be a hálózatba. Ahhoz, hogy egy másik gépen is dolgozhasson módosítsu a Logon To korlátozásokat a felhasználói fiókjában. Laborgyakorlat 6 Kérdések 6. Mikor és hogyan hozunk látre sablonokat a felhasználói fiókok létrehozásához? 7. Miket tartalmaz a felhasználói fiókok házirendje (policy) és mi a jelentősége? 8. Ha a PDC-je elromlik, mit kell tennie a felhasználói adatbázis karbantartásáért? 9. Mi lehet az oka annak, ha egy felhasználó nem tud bejelentkezni? 10. Hálózati erőforrások védelme a megosztott könyvtárakhoz rendelt jogsultságokkal Bevezetés a megosztott mappákba Mi a Megosztás A megosztás a Windows NT azon
lehetősége amely megengedi, hogy kijelöljük azokat az erőforrásokat amelyeket szeretnénk, hogy a felhasználók elérjenek a hálózaton keresztül. Ha egy könyvtár meg van osztva, a felhasználók hozzákapcsolódhatnak a hálózaton keresztül és elérjék azokat a file-okat amiket tartalmaz. A megosztott könyvtárakhoz jogosultságokat adhatunk, hogy ellenőrzés alatt tarthassuk azt, hogy a felhasználók mit tehetnek a megosztott könyvtarban. Például, ha a felhasználoknak elég csak megnézni a megosztott könyvtár file-jait adjunk nekik Read jogot, ha a felhasználóknak file-okat kell hozzáadni vagy eltávolítani a megosztott könyvtárból, adjunk nekik Change jogot. A megosztot könyvtár a Windows NT Explorer-ben és a My Computer-ben úgy jelenik meg, hogy a mappa ikont egy kéz tartja. Fontos: ha egy könyvtár meg van osztva, a jogosult felhasználók hozzáférhetnek a könyvtár összes file-jához és alköyvtárjához. Miért osszuk meg a
könyvtárakat? A megosztott könyvtárak megengedik a felhasználóknak, hogy elérjék az alkalmazásokat, adatokat és hogy használják a home könyvtárukat. • A hálózati alkalmazások könyvtárai centralizálják egyszerűsítik a hálózat adminisztrációját egyetlen hely kijelölésével a programok beállítása és frissítése érdekében. Ilyen módon egyszerűbb a kliens programok karbantartása. • Az adatokat tartalmazó könyvtárakban a felhasználók egy közös helyen tarthatják az adataikat amelyeket közösen használnak. • A felhasználók home könyvtára egy olyan központi hely ahonnan könnyű menteni a felhasználók egyéni, személyes adatait. A megosztott könyvtárak használata az egyedüli módja annak, hogy az erőforrásainknak biztonságot nyújtsunk FAT köteteken. Megosztott könyvtárak engedélyei (jogosultságai) Hogy ellenőrizhessük azt, hogy a felhasználók hogyan használják a megosztott könyvtárakat, nekik
engedélyeket, jogosultságokat kell adnunk. A jogosultságokat adhatjuk a felhasználói fiókoknak, csoportoknak, vagy mindkettőnek. A következő tábláza ezeket a jogosultságokat foglalja össze: A Megengedi a felhasználónak, hogy joogosultság Full Control megváltozthassa a fille-hoz tartozó jogosultságokat (alapértelme elnyerje a file-ok tulajdonjogát az NTFS köteteken zett) elvégezzen minden olyan műveletet amit a Change jog biztosít Change file-okat és könyvtárakat hozzon létre megváltoztassa a file adatait illetve hogy új adatokat írjon a már létezőkhöz megváltoztassa a file attribútumait töröljön file-okat és könyvtárakat és mindent amit a Read jog megenged Read láthassuk a file-ok és könyvtárak neveit láthassuk a file-ok adatait és attribútumait futtassuk a programfile-okat váltsunk a könyvtárak között Csak egy kapcsolatot létesít a megosztott könyvtárral. A No Access hozzáférés nem engedélyezett és a tartalma nem
jelenik meg. Fontos hogy a megosztott könyvtárakhoz rendelt jogok csak akkor érvényesek, ha a könyvtárhoz hálózaton keresztül kapcsolódik a felhasználó. Azok a felhasználók akiknek van „Log on locally” joguk, használhatják a helyi számítógépet és annak az erőforrásait (merevlemezét) kikerülve a megosztott könyvtárakhoz rendelt jogokat. Egy ilyen felhasználó ugyanakkor korlátozható NTFS jogosultságok által. Hogyan érvényesülnek a felhasználói és csoport jogosultságok A jogosultságokat a megosztott könyvtárakhoz rendelhetjük a felasználói fiókokhoz, vagy pedig a felhasználócsoportokhoz. Mivel egy felhasználó tagja lehet több csoportnak is amelyeknek különböző jogosultságai vannak, ezért az egyes felhasználók különböző hozzáférési jogosultságokat kaphatnak. A jogosultságok a következő módon jutnak érvényre: • Ha a felhasználónak kiosztottunk valamilyen jogosultságot egy megosztott könyvtárhoz és a
felhasználónk ugyanakkor tagja egy csoportnak is, amely csoportnak szintén van ahhoz a könyvtárhoz egy másmilyen jogosultsága, a felhasználónk effektív joga az illető könyvtárhoz a kétféle jogosultság kombinálásából alakul ki. Például ha a felhasználónknak Read jogot adunk a Public könyvtárhoz és a felhasználonk tagja az Everyone csoportnak amely csoportnak ugyanehhez a könyvtárhoz FullControl joga van, a jogosultságok kombinálásából a felhasználónknak FullContol joga lesz. • Ez alól az egyetlen kivétel a No Access jog, amely jog felülír minden más jogot amit a felhasználóhoz esetleg más csoportokhoz rendeltünk, amely csoportoknak a felhasználó szintén a tagja. Például ha a felhasználónk megkapta a Public könyvtár Read jogát, és a felhasználónk tagja a Sales csoportnak, amely csoportnak No Access joga van ugyanazon könyvtárhoz, a felhasználónk effektív joga a No Access lesz. Ha egy erőforráshoz nincs kiosztva
jogosultság sem afelhasználó számára sem egyik olyan csoport számára sem amelyiknek a felhasználó tagja, akkor ez a felhasználó nem fogja tudni elérni az illető erőforrást. Példák a jogosultságok alkalmazására (Vitassuk meg) Az ábrán két példa látható, ahol a megasztott könyvtárakhoz jogosultságokat adtunk. Vizsgáljuk meg mindkét példát és határozzuk meg a User1 felhasználó effektív jogait. 3. Az első példa azt mutatja, hogy az User1 felhasználó tagja a Groups1,2,3és4 csoportoknak, de a négy csoportnak különböző jogosultságai vannak a megosztott Folder A könyvtárhoz. Melyek lesznek az effektív jogai az User1 felhasználónak a Folder A könyvtárhoz? 4. A második példa azt mutatja, hogy az User1 felhasználó tagja a Groups1,2,3és4 csoportoknak, de a négy csoportnak különböző jogosultságai vannak a megosztott Folder B könyvtárhoz. A felhasználónak direkt joghozzárendelése is van. Melyek lesznek az effektív jogai
az User1 felhasználónak a Folder B könyvtárhoz? Irányelvek megosztott könyvtárakhoz Egy jól működő hálózaton a hálózati alkalmazások, a publikus és a privát adatok illetva a felhasználók home könyvtárai gyorsan elérhetőek kell legyenek a meghatalmazott felhasználók számára. A könyvtárak megosztásánál vegyük figyelembe a kövezkezőket: • Használjunk intuitív megosztásneveket, hogy a felhasználók tudják gyorsan felismerni és azonosítani az erőforrásokat. Például az Application könyvtárnak használjuk az Apps megosztási nevet. • Használjunk olyan megosztási neveket, amelyek elolvashatóak a hálózat minden kliense által. A következő táblázatban a könyvtárak névadási szabályait írtuk le: Kliens Share név Könyvtárnév Windows NT és Windows 95 12 karakter 255 karakter MS-DOS, Windows 3.x és 8.3 karakter 8.3 karakter Windows for Workgroups A Windows NT támogatja a 8.3 típusu ekivalens nevek előállítását, de
ezek a nevek nem intuitívak a felhasználók számára. Például a Accountants Database nevű könyvtár mint Accoun~1 fog megjelenni egy MS-DOS-t, Windows 3.x-et, vagy Windows for Workgroups-t futtató kliensnek • Szervezzük meg a lemez eerőforrásait úgy, hogy a hasonlo biztonsági követelményeket ígénylő könyvtárak ugyanabban a könyvtárhierarchiában legyenek. Például ha egy felhasználónak szüksége van a Read jogra több alkalmazásokat tartalmazó könyvtárra, ezeket a könyvtárakat tegyük ugyanabba a főkönyvtárba. Példák megosztott könyvtárakra A szerverünkön lévő erőfoorások alapján meg kell határoznunk, hogy a szerverünk mely könyvtárait használhatják a felhasználók a hálózaton keresztül. Bármelyik könyvtárat megoszthatjuk a könyvtárszerkezetből A felhasználók csak a megosztott könyvtárakhoz csatlakozhatnak a hálózaton keresztül. Ha könyvtár meg van osztva , a felhasználók a megfelelő jogosultságokkal
elérhetik a tartalmát, de nem érhetik el a könyvtár szülőkönyvtárát, illetve a megosztott könyvtárral egy szinten lévő könyvtárakat. Az ábrán bemutatott példák azt próbálják megmagyarázni, hogyan osszuk meg a könyvtárakat úgy, hogy a könyvtárszerkezet többi része biztonságban maradjon. Mindhárom példában a Users felhasználócsoport csak az Apps, App1 és App2 könyvtárakhoz férhet hozzá a hálózaton keresztül. D. Ebben a példában megosztjuk az Apps könyvtárat és a Users csoportnak Read jogot adunk. A Users csoport tagjai kapcsolódhatnak a megosztott Apps könyvtárhoz, ami tartalmazza az App1 ésApp2 alkönyvtárakat is. E. Ebben a példában is megosztjuk az Apps könyvtárat és a Users csoportnak Read jogot adunk. Ez megengedi a felhasználóknak, hogy elérjék az Apps, App1 és App2 könyvtárakat, mivel ugyanabban a hierarhiában vannak, de nem engedi meg, hogy elérjék a SW, SW1 és SW2 könyvtárakat amelyek már egy másik
hierarhiában találhatóak. Amikor a felhasználó csatlakozik az Apps könyvtárhoz, ez mint root vagy gyökérkönyvtár jelenik meg. Nem láthatóak a magasabb szintű könyvtárak, de az azonos szinten lévők sem. Csak a megosztott könyvtár látszik amihez kapcsolódtunk. F. Ebben a példában megosztjuk az SW könyvtárat és az Administrators csoportnak Full Control jogosultságot adunk. Ezzel az Administrators csoportnak engedélyeztük a hozzáférést az SW, SW1,SW2 és Apps könyvtárakhoz. Irányelvek a jogosultságok kiosztásához A következőkben felsoroljuk azokat az általános irányelveket, amelyeket ajánlott követni amikor felhasználói fiókokhoz vagy csoportokhoz jogosultságokat osztunk ki. • Határozzuk meg minden erőforráshoz azt, hogy mely csoportoknak milyen szintű hozzáférésre van szüksége. Dokumentáljuk a csoportokat és a nekik kiosztott jogosultságokat minden erőforráshoz. Például a Sales Data könyvtárhoz Sales csoportnak Change
joga, az Administrators csoportnak Full Control joga, míg az Executives csoportnak Read joga van. • A jogosultságokat inkább csoportoknak adjunk mint feelhasználóknak, hogy egyszerűsödjön az adminisztráció. • A globális csoportokat vegyük fel a lokális csoportokba, majd a lokális csoportoknak adjunk megfelelő jogosultságokat. • A megosztott könyvtárakhoz csak azoknak a csoportoknak adjunk jogosultságot amelyeknek szükséges. • Az erőforrásokhoz csak a munka elvégzéséhez feltétlenül szükséges jogosultságot adjuk meg. Például, ha felhasználóknak elég elolvasni a könyvtár file-jaiban lévő információt, és nekik soha nem kell ott file-okat létrehozni vagy törölni, adjunk Read jogot hozzá. • Vegyük el az Everyone csoporttól az alapértelmezett Full Control jogot az újonnan megosztott könyvtáraknál. Ha megosztunk egy könyvtárat, az Everyone csoport automatikusn megkapja hozzá a Full Control jogot. A nagyobb biztonság
eléréséért, töröljük az Everyone csoporot és adjunk jogokat a megfelelő csoportoknak. Az Everyone csoport ugyanis minden olyan felhasználót tartalmaz aki használja a hálózatunkat és még a Guest csoport tagjait is. Irányelvek a hálózati alkalmazások könyvtárához Nagy helyi hálózatok esetében egy vagy több szervert csak a hálózati alkalmazások futtatására használnak. Kis helyi hálózatokon egy szervert használhatnak az alkalmazások futtatására és az adatok tárolására is. Amikor az alkalmazások könyvtárait sztjuk meg, vegyük figyelembe a következőket. • Az alkalmazásokat telepítsük egy közös könyvtárba, majd osszuk meg például Apps néven. Az alacsonyabb szzintű könyvtárakat, ahol az egyes alkalmazások találhatóak csak akkor osszuk meg az egyes felhasználócsoportok felé, ha korlátozni akarjuk a hozzáférést bizonyos alkalmazásokat tartalmazó könyvtárakhoz. Ha például az Accountants csoport tagjait csak a
Microsoft Excell könyvtárra korlátozzuk Read joggal, tegyük a következőket: - Vegyük el a jogosultságát minden olyan csoportnak az MSOffice könyvtártól amelyik tartalmazza az Accountants csoportot vagy annak a tagjait. - Osszuk meg a Microsoft Excell könyvtárat Excell néven, majd az Accountants globális csoportot tartalmazó lokális csoportnak adjunk Read jogot a könyvtárhoz. • Az Administrators csoportnak adjnk Full Control jogot az Apps könyvtárhoz. • Az Everyone csoport Full Control jogát vegyük el és adjunk Read jogot a Users csoportnak. Ez nagyobb biztonságot nyújt, mert a Users csoport csak általunk létesített felhasználói fiókokat tartalmaz, míg az Everyone csoport mindenkit aki a hálózaton keresztül csatlakozik. • Adjunk Change jogot annak a csoportnak aki az alkalmazások frissítéséért és hibaelhárításáért felelős. Irányelvek az adatkönyvtárakhoz Amikor adatokat tartalmazó könyvtárakat osztunk meg, vegyük figyelembe
a következőket: Publikus adatok esetében • Használjunk közös könyvtárakat azért, hogy az adatokat könyebb legyen menteni. • A Public könyvtárat egy, az operációs rendszertől és az alkalmazásoktól elkülönülő köteten hozzuk létre és osszuk meg. • A Users felhasználócsoportnak adjunk Change jogot. Ez lehetővé teszi a felhasználóknak, hogy ezen a központi helyen tárolják és osszák meg a file-jaikat másokkal. Munka adatok esetében • Hozzuk létre és osszuk meg aData könyvtárat égy az operációs rendszertől és az alkalmazásoktól elkülönült köteten. Ez megkönnyíti a mentési és visszaállítási műveleteket. Ha esetleg szükség lenne az operációs rendszer újratelepítésére, az adatokat tartalmazó kötet sértetlen marad. • Az alacsonyabb szintő adatkönyvtárakat osszuk meg a megfelelő csoportok felé, ha korlátozni akarjuk a hozzáférést ezekhez a könyvtárakhoz. Például az Accountants könyvtár adatainak
védelmében a könyvtárat csak az Accountants csoport felé osszuk meg Change jogot adva a csoportnak. Így az Accountants csoport tagjai hozzáférhetnek az Accountants könyvtár adataihoz. Az Administrator csoport a Data könyvtárhoz férhet hozzá. Irányelvek a home könyvtárakhoz Ha a felhasználók home könyvtárát FAT köteten hozzuk létre és csak megosztással korlátozzuk a hozzáférést, járjunk el a következőképpen: 6. Hozzunk létre egy központi könyvtárat, például Users néven, egy az operációs rendszertől és az alkalmazásoktól elkülönülő köteten. Ez megkönnyíti a mentési és visszaállítási eljárást. Ha esetleg az operációs rendszert újra kell telepíteni, a home könyvtárakat tartalmazókötet sértetlen marad. 7. Ebben a könyvtárban hozzunk létre minden felhasználónak egy könyvtárat a saját felhasználói nevével. 8. A FAT köteten osszuk megminden felhasználó home könyvtárát és csak az illető felhasználónak
adjunk Full Control jogot a saját home könyvtárához. Ez garantálni fogja a felhasználónak, hogy egyedül csak ő tud majd a home könyvtárához hozzáférni. A FAT köteteken ez az egyedüli módja a felhasználók könyvtárainak a védelmére. 9. Hogy a felhasználó belépésekor meghatározzuk a felhasználó home könyvtárának a helyét, A User Manager for Domains programban írjuk be a höme könyvtár elérési útját az UNC szabvány szerint a Home Directory To dobozba, úgy hogy az tartalmazza a server nevét és a %Username% rendszerváltozót is. Például: \szervernévUsers\%Username% alakban. A FAT köteteken szükséges előbb létrehozni és megosztani a home könyvtárat és csak majd azután meghatározni a home könyvtár elérési útját a User Manager for Domains programban. 10. Hogy a kizárólagos jogosultság biztosítva legyen, ne osszuk meg az egy szinttel feljebb levő Users könyvtárat. Ahhoz, hogy a home könyvtárakkal adminisztratív
tevékenységet végezhessünk jelentkezzünk be helyileg a szerverre, vagy csatlakozzunk egy adminisztratív share-hezmint például a C$, D$,. Laborgyakorlat 7 Könyvtárak megosztása A Windows NT-t futtató számítógépeken minden könyvtár megosztható. A következő táblázat tartalmazza a csoportra és az operációs rendszerre vonatkozó feltételeket ahhoz, hogy egy könyvtárat megoszthassunk. Csoport Operációs rendszer Administrators Minden Windows NT-t futtató számítógép Server Operators Csak a PDC-ként működő Windows NT Server Power Users A Windows NT Server- t futtató tagszerverekés a Windows NT Worksta-tion-t futtató számítógépek. Az NTFS köteteken a felhasználónak legalább List joggal kell rendelkeznie, hogy megoszthasson egy könyvtárat. Adminisztratív share-ek A Windows NT a következő share neveket használja adminisztratív célokra. Share Célszerű C$,D$,E$ és A mervlemez minden kötete automatikusan meg lesz osztva, ilyenek a
megosztási név pedig úgy lesz megállapítva, hogy a meghajtó betűjele után egy dollárjel kerül. A dollárjel elrejti a megosztott könyvtárat a számítógpet böngésző felhasználók elől. Ha ehhez a könyvtárhoz csatlakozunk, akkor az egész kötetet láthatjuk. Az adminisztratív share-eket arra használhatjuk, hogy távolról kapcsolódva a számítógéphez el tudjuk végezni az adminisztratív tevékenységeket. Admin$ A C:Winnt könyvtár mint Admin$ van megosztva. Ez egy speciális megosztott könyvtár és csak a rendszer távoli adminisztrálásához szükséges. Könyvtár megosztása A könyvtár megosztásakor az első lépés egy megosztásnév kijelölése. Megosztott könyvtár létrehozásához 5. A Windows NT Explorer programban klikkeljünk a jobb gombbal a megosztandó könyvtárra. 6. Klikkeljünk a Sharingparancsra. A Könyvtárnév Properties dialógusablak jelenik meg. 7. Válasszuk a Sharing fület, majd állítsuk be a következőket: Opció
Leírás Share Name Ezen a néven fogják látni a távoli felhasználók az erőforrást amikor hozzá csatlakoznak. A share-nevet (megosztásnevet) be kell írnunk. Ha rejtett Share-t akarunk létrehozni, írjunk a neve után egy $ jelet. A $ jel elrejti a megosztott könyvtárat a számítógépet böngésző felhasználók elől. Comment A megosztott könyvtár tömör leírását adhatjuk meg itt. Ez megjelenik a Map Network Drive dialógusablakban amikor a felhasználók megosztott konyvtárakat keresnek a szerveren. Segíthet a megosztott könyvtár gyors azonosításában. User Limit Beállítja, hogy maximálisan hány felhasználó csatlakozhat egyidőben a megosztott könyvtárra. A Windows NT Workstation esetében ez maximum 10 lehet, míg a Windows NT Server esetében nincs korlátozás Permissions A könyvtárhoz való jogosultságokat állítja be amelyek csak akkor érvényesek, ha a hálózaton keresztül csatlakozunk a könyvtárra. Az Everyone csoport minden újonnan
megosztot könyvtárhoz automatikusan Full Control jogot kap. New Share Akkor jelenik meg ha a könyvtár már előzőleg is meg volt osztva. Egy könyvtár többször is megosztható különböző nevekkel és különböző jogosultságokkal. Ugyanakkor a könyvtárhoz rendelt több megosztási név több adminisztrációt is kíván. 8. Klikkeljünk az OK-ra Jogosultságok adása a megosztott könyvtárakhoz A megosztási név megadása után a következő lépés annak a meghatározása, hogy mely felhasználók használhatják a megosztott könyvtárat. Ezt jogosultságok kiosztásával tehetjük meg a kiválasztott felhasználócsoportok felé. Jogosultságok adásához egy megosztott könyvtárra 10. A Windows NT Explorerben klikkeljünk a jobb gombbal a megosztott könyvtárra. 11. Klikkeljünk a Sharing fülre 12. A Könyvtárnév Properties dialógusablakban klikkeljünk a Permissions-ra. 13. A megjelenő Access Trough Share Permission dialógusablakban klikkeljünk az
Add-ra, az Add Users and Groups dialógusablak fog megjelenni. 14. Az Add Users and Groups dialógusablakban válasszuk ki a felhasználót, vagy a csoportot, amelyhez szeretnénk jogosultságot rendelni. 15. Klikkeljünk a Show Users-re, hogy a tartomány minden felhasználója megjelenjen. A kiválasztott felhasználók és a csoportok az Add Names dobozba íródnak át. A többtartományú hálózatokban klikkeljünk a List Names From listára, hogy kiválasszuk mely tartomány felhasználóit vagy csoportjait lássuk illetve hogy melyekhez rendeljünk jogosultságokat. 16. A Type Of Access dobozban, klikkeljünk a megfelelő jogosultságra, amit a felhasználónak vagy csoportnak adni szeretnénk.(No Access, Read,Change,vagy Full Control) 17. Klikkeljünk az OK-ra, hogy visszatérjünk a Access Through Share Permission dialógusablakhoz. 18. Klikkeljünk az OK-ra, hogy visszatérjünk a Könyvtárnév Properties dialógusablakhoz, majd ott is klikkeljünk az OK-ra. Megosztott
könyvtérak módosítása A megosztott könyvtárak minden tulajdonsága megváltoztatható könyvtárnév Properties dialógusablakban, kivéve a megosztási név. A megosztott könyvtár módosításához: a 3. A Windows NT Explorer-ben klikkeljünk a jobb gombbal a megosztott könyvtár nevére, majd pedig a Sharing parancsra. 4. A könyvtárnév Properties dialógusablakban a Sharing fülön állítsuk át a kívánt módon az alábbiakat: Azért, hogy Tegyük a következőt megszüntessük a Klikkeljünk a Not Shared rádiógombra, majd az OK-ra. megosztást megváltoztassuk a Klikkeljünk a Not Shared rádiógombra, hogy megszüntessük a megosztást, majd az Apply megosztá-si nevet gombra, hogy érvényesítsük a változtatást. Klikkeljünk a Shared As rádiógombra, majd írjuk be az új share nevet. megosztott könyvtár Klikkeljünk a Permission gombra. Access Through Share Permissions jogosult-ságait a Az megváltoztassuk dialógusablakban válasszuk ki a
felhasználót, vagy csoportot akinek a jogosultságát módosítani szeretnénk. A Type Of Access dobozban klikkeljünk arra a jogosultságra amit szeretnénk megadni, majd klikkeljünk az OK-ra Fontos: Ha egy könyvtár megosztását akkor szüntetjük meg amikor egy felhasználó éppen megnyitva tartja a könyvtár egy file-ját, adatvesztés történhet. Amikor klikkeljük a Not Sharedrádiógombot, egy üzenet jelenik meg ami figyelmeztet arra, hogy felhasználó kapcsolódik a megosztott könyvtárhoz. Hozzáférés megosztott könyvtárakhoz Megosztott könyvtárakhoz a Windows NT Explorer, vagy a Run parancs segítségével lehetséges a kapcsolódás. Hálózati meghajtó mapelése a Windows NT Explorerrel 3. Indítsuk el a Windows NT Explorer programot 4. A Tools menüben klikkeljünk a Map Network Drive parancsra, majd állítsuk be a következő opciókat. Ppció Jelentése Drive A megosztott könyvtárhoz egy meghajtó betűjelet rendel és az úgy fog megjelenni
mint egy helyi meghajtó. A felhasználó így legtöbb 26 betűt rendelhet megosztott hálózati könyvtárakhoz. A hely egységek által már elhasznált betűk már nem jelennek meg a Drive listán. Path Ez egy UNC path és meghatározza azt, hogy a megosztott könyvtárat milyen úton lehet elérni. (számítógépnév, share-név) Connect As A megosztott könyvtárhoz mint más felhasználó csatlakozik. Például a rendszergazda egy felhasználó gépén dolgozik és szüksége van egy olyan erőforrásra amire az illető felhasználónak nincs jogosultsága. Aconnect As opciónak szüksége van a tartománynévre és egy ott érvényes felhasználói fiók nevére a következő formában: Tartománynévfelhasználónév. Ha a felhasználónak van jelszava a felszólít, hogy azt adjuk meg. Reconnect at Ha ki van választva, minden újraindításkor amikor a Logon felhasználó belép megpróbálja újra összekapcsolni a felhasználót a megosztott könyvtárral . A Run parancs
használata A Run parancs használata a hálózati megosztott könyvtárakhoz való csatlakozásra két előnnyel is jár a Map Network Drive parancshoz képest. Ezek a következők: • Nem szükséges a meghajtó betűjel, ami memóriát foglal le • A felhasználó végigböngészhet a hálózaton minden megosztott könyvtárat a számítógépeken. Hogy elérjünk egy megosztott könyvtárat a Run paranccsal: 3. Klikkeljünk a Start-ra majd a Run parancsra 4. Az Open dialógusablakban, írjuk be az elérési utat UNC formában, ami a számítógépnévből és a megosztásnévből áll. Például: \servernévshare-név Ahhoz, hogy egy számítógépen láthassuk az összes megosztott könyvtár nevét, írjuk be csak a számítógépnév részét az UNC path-nak,majd klikkeljünk az OK-ra. Például, beírva a \Instruktor path-ot megnyílik az Instructor Explorer ablak, ami tartalmazza az Instructor számítógép minden megosztott könyvtárát. A kívánt megosztott
könyvtárra klikkelve befejezzük a kapcsolódást. Jó tanácsok A következő lista a könyvtármegosztással kapcsolatos jótanácsokat foglal össze. • Szervezzük meg a merevlemezünk erőforrásait úgy, hogy az azonos biztonsági küvetelményeket támasztó könyvtárak ugyanabban a könyvtárhierarhiában legyenek. gy egyszerűsödik az adminisztráció • Az adatokat és a home könyvtárakat tároljuk az operációs rendszertől és az alkalmazásoktól külön köteten. Ezáltal egyszerűsödik a mentési és visszaállítási tevékenység. Ha az operációs rendszert újra kell instalálnunk, ezek az adatok érintetlenek maradnak. • Távolítsuk el az Everyone csoportot a jogosultsági listáról, hogy megelőzzük az erőforrások illetéktelen használatát. Az Everyone csoport helyett esetleg használhatjuk a Users csoportot ami több biztonságot ad mivel csak a rendszergazda által létrehozott felhasználói fiókokat tartalmaz. • Inkább csoportoknak mint
felhasználóknak adjunk jogosultságokat, hogy egyszerűbb legyen az adminisztráció. • Korlátozzuk az egyszerre kapcsolódó felhasználók számát az User Limit opció segítségével a Sharing fülün. Ezáltal csökkenthető a hálózati forgalom a megosztott könyvtár felé, illetve megerősítjük a software licens-ben előírt korlátozást az egyidőbeli használatra vonatkozóan. • Készítsünk parancsikonokat azok felé az erőforrások felé amiket a felhasználók gyakran használnak. Dokumentáljuk a megosztott könyvtárakhoz rendelt jogosultságokat. Módosítsuk mindíg ezt a dokumentumot amikor a szerveren olyan változtatásk történnek mint például software aktualizálás, vagy megosztott könyvtárak nevének illetve jogosultságainak a megváltoztatása. Laborgyakorlat 8 Kérdések 6. Hogyan adhatunk egy felhasználónak olyan képességeket, hogy könyvtárakat tudjon megosztani a Windows NT-t futtató számítógépeken? 7. Ha egy könyvtár meg
van osztva , a felhasználóknak a megfelelő jogosultságokkal mihez van hozzáférésük? 8. Milyen jogosultságok adhatók a megosztott könyvtárakhoz? 9. Melyik az alapértelmezett jogosultság a megosztott könyvtárakhoz? 6. Hálózati erőforrások biztonsága NTFS partíción Bevezetés az NTFS jogosultságokba Mik az NTFS jogosultságok? Olyan jogosultságok amelyek csak a Windows NT file rendszerrel (NTFS) formázott köteteken érvényesíthetőek. Nagyobb biztonságot nyújtanak mivel hozzárendelhetőek a könyvtárakhoz és az egyes file-okhoz is. A megosztott könyvtárak jogosultságaival ellentétben, az NTFS jogosultságok védik a helyi file-okat és könyvtárakat is és úgy hivatkozunk rájuk mint helyi jogosultságokra. Miért használunk NTFS jogosultságokat? NTFS jogosultságokat az erőforrások védelmében használunk, hogy megvédjük őket a számítógépet használó felhasználóktól: - Helyileg, a számítógép előtt ülőtől, ahol az
erőforrás tárolva van. - Távolról, a megosztott könyvtárakhoz kapcsolódások által. Fontos: Ha egy kötetet NTFS-re formázunk , az Everyone csoport automatikusa Full Control jogot kap a kötethez. A köteten létrehozott könyvtárak és file-ok örökölni fogják ezt a jogot. NTFS jogosultságok Az Ntfs jogosultságokat megadhatjuk egyaránt könyvtárakhoz és fileokhoz is. A következő táblázat összefoglalja azokat a tevékenységeket amiket a felhasználónak jogában áll megtenni, amikor egyéni jogosultságokat osztunk ki file-okhoz illetve könyvtárakhoz: NTFS Könyvtárszinten a felhasználó File szinten a felhasználó jogosult ság Read (R) Láthatja a könyvtárneveket, Láthatja a file tartalmát, attribútumo-kat,tulajdonost attribótumait, tulajdonosát és és jogosultságokat a jogosultságokat Write Új file-okat és könyvtárakat Láthatja a tulajdonost és a (W) hozhat létre, jogosultságokat, megváltoztathatja a könyvtár
megváltoztathatja a file attribútu-mait, láthatja a attribútumait, a file-ban tulajdonost és a adatokat hozhat létre, vagy jogosultságokat adatokat adhat hozzá a filehoz. Execute Láthatja a könyvtár Láthatja a tulajdonost és a (X) attribútumait, láthat-ja jogosultságokat, és az atulajdonost és a attribútumokat. Futtathatja a jogosultságokat, file-t ha az végrehajtható. változtatásokat tehet a könyvtáron belül. Delete Letörölheti a könyvtárat Letörölheti a file-t. (D) Change Megváltoztathatja a Megváltoztathatja a file-hoz Permissi könyvtárhoz tartozó tartozó jogosultságokat. on (P) jogosultságokat. Take Átveheti a könyvtár Átveheti a file tulajdonjogát. Ownershi tulajdonjogát p (O) Az NTFS köteteken az a felhasználó aki létrehoz egy file-t vagy könyvtárat, automatikusan a tulajdonosa lesz annak. A tulajdonos bármikor megváltoztathatja a file vagy könyvtár jogosultságát. Szabványos jogosultságok A legtöbb esetben az NTFS
szabványos jogosultságokat használjuk. A szabványos jogosultaágok tulajdonképpen az egyedi NTFS jogosultságok bizonyos kombinációjából áll. Általuk egyszerűsödhet az adminisztráció, mivel megadják azt a lehetőséget, hogy egy időben a jogosultságok egy kombinációját jelöljük ki. A Windows NT támogatja a szabványos jogosultságokat a file-okhoz és a könyvtárakhoz is. Szabványos könyvtár-jogosultságok A következő táblázat a szabváyos könyvtár-jogosultságokat tartalmazza és az egyéni NTFS jogosultságokat amikből ezek állanak. Szabványos jogosultság Egyéni jogosultságok a Egyéni jogosultságok a könyvtárban könyvtár file-jaiban No Access Nincs Nincs List RX Nincs meghatározva Read RX RX Add WX Nincs meghatározva RWX RX Add & Read Change RWXD RWXD Full Control All All Szabványos file jogosultságok A következő táblázat a szabványos file jogosultságokat tartalmazza és az egyedi NTFS jogosultságokat, amelyek alkotják
ezeket. Szabványos Egyedi NTFS jogosultság jogosultságok No Access nincs Read RX Change RWXD Full Control All Hogyan érvényesülnek az NTFS jogosultságok Az NTFS jogosultságokat felhasználóknak és csoportoknak adjuk, ugyanógy mint a megosztott könyvtárjogokat adtuk ki. - egy felhasználó kaphat jogokat direkt hozzárendeléssel, vagy mint egy csoport tagja. - egy felhasználó több csoportnak is lehet a tagja, amelyekhez különböző jogosultságokat rendeltek A file-okhoz rendelt NTFS jogosultságok elsőbbséget élveznek, vagyis erősebbek a könyvtárakhoz (amelyben az illető file is található) rendelt jogoknál. Például, ha egy felhasználónak Read joga van egy könyvtárban és Write joga van egy file-hoz amely file az iménti könyvtárban van, akkor a felhasználó írhatja a file-t. Ez mindig igaz, kivéve ha a felhasználónak No Access joga van a könyvtárhoz. A felhasználó viszont mindenesetben (ebben az esetben is) elérheti a file-t, a file-hoz
rendelt jogosultságaival, ha az UNCpathot használja (helyi számítógépen a közönséges lokális path is haszználható). Például ha a felhasználónknak No Access joga van egy könyvtárhoz, ami tartalmaz egy olyan file-t amihez a felhasználónknak Change joga van, a file megnyitható egy alkalmazásból ha az alkalmazás Open File dialógusablakába beírjuk a file teljes elérési útját. Megosztott könyvtárjogok és NTFS jogok kombinálása Hogy segítsük a felhasználókat a lemezeken található erőforrásokelérésében, az erőforrásokat tartalmazó könyvtárakat meg kell osztani. Ha a könyvtárat megosztottuk, rendelhetünk hozzá jogosultságokat a felhasználók és a csoportok számára, hogy ellenőrízhessük a hálózaton keresztül történő hozzáféréseket. A megosztott könyvtárakhoz rendelt jogosultságok kisebb biztonságot nyújtanak, mert: - a felhasználónak ugyanolyan szintű jogokat ad a megosztott könyvtár minden file-jához és
alkönyvtárához, mint magához a megosztott könyvtárhoz. - nincs hatása akkor amikor a felhasználó a helyi gépen használja az erőforrást. - nem használható egyes kiemelt file-ok védelmére. A legmagasabb biztonsági szint a kétféle jogosultság kombinálásából alakítható ki. Az effektív jog mindíg a leginkább kizáró (restriktív) jogosultság. Például: Az ábra példáján, az Everyone csoportnak Read joga van a Public megosztott könyvtárra. Ugyancsak az Everyone csoportnak direkt hozzárendeléssel a File-A és a File-B file-okhoz Full Control NTFS joga van. Mégis az effektív joga a Read mert az a leginkább restriktív jog a kétféle jogosultság között. User2-nek Full Control joga van a File-A és Read joga a File B fileokhoz. User2 nincs korlátozva a megosztott könyvtárhoz rendelt jogosultságok által mert ő a helyi számítógépről használja a Public könyvtárat. A videón is láthatjuk, hogyan alakulnak azzz effektív jogok, akkor
amikor kombináljuk az NTFS jogokat a megosztott könyvtárakhoz rendelt jogokkal. Ha megnézték a videót próbáljanak meg válaszolni a következő kérdésekre? 5. Mihez adnak hozzáférést a megosztott könyvtárak? 6. Mihez kapcsolódnak a megosztott könyvtárak jogosultságai? 7. Mihez lehet NTFS jogosultságokat hozzárendelni? 8. Mikor kombinálod a megosztott könyvtárak jogosultságait jogosultságokkal? Melyik lesz az effektív jog? az NTFS Példák az NTFS kombinálására jogok és a megosztott könyvtárakhoz rendelt jogok Vitassuk meg az ábrán látható két esetet. Az ábra megosztott könyvtáraiban file-ok és könyvtárak találhatók, amikhez NTFS jogokat rendeltünk. Mindkét példában határozzuk meg a felhasználók effektív jogait: 3. Az első példában, a Users könyvtár, amely a felhasználók home könyvtárait tartalmazza, meg van osztva, és a Users csoportnak a megosztott könyvtárhoz Full Control jogot adtunk. User1, User2
és User3 felhasználóknak NTFS Full Control jogot adtunk, de kinek kinek csak a saját alkönyvtárához. Mindhárom felhasználó tagja a Users csoportnak. Van-e a Users csoportnak teljes hozzáférése (Full Control joga) minden home könyvtárhoz a Users könyvtárban, ha kapcsolódnak a Users megosztott könyvtárhoz? 4. A második példában a Data könyvtár meg van osztva A Sales csoportnak a megosztott Data könyvtárhoz Read megosztási jogot adtunk és ezenkívül megadtuk nekik a Full Control NTFS jogot a Sales alkönyvtárhoz. Melyek a Sales csoport effektív jogai a Sales alkönyvtárban amikor a Data megosztott könyvtárhoz kapcsolódnak? Irányelvek NTFS jogosultságok adásához Alkalmazások könyvtáraihoz Amikor NTFS jogokat adunk alkalmazásokat tartalmazó könyvtárakhoz, vegyük figyelembe a következőket: - Vegyük el az alapértelmezett Full Contrl jogot az Everyone felhasználócsoporttól és adjuk oda az Administrators csoportnak. A software-ek
frissítéséért és hibaelhárításáért felelős felhasználók csoportjának adjunk szintén Full Control vagy Change jogot. a megfelelő könyvtárakra - Ha az alkalmazások megosztott könyvtárakban vannak, a Users csoportnak adjunk Read jogot. Adatok könyvtáraihoz Amikor NTFS jogokat adunk adatokat tartalmazó könyvtárakhoz, vegyük figyelembe a következőket: - Vegyük el az alapértelmezett Full Contrl jogot az Everyone felhasználócsoporttól és adjuk oda az Administrators csoportnak. - Adjunk a Users csoportnak Add&Read jogot és a file tulajdonosának Full Control jogot az adatkönyvtárahoz. Így azok a felhasználók akik helyileg jelentkeznek be csa az általuk létrehozott file-okat módosíthatják, vagy törölhetik. - Szoktassuk rá a felhasználókat, hogy ha megosszák a számítógépüket, rendeljenek NTFS jogosultságokat a saját file-jaikhoz és könyvtáraikhoz. Home könyvtárakhoz Amikor NTFS jogokat adunk home könyvtárakhoz, vegyük
figyelembe a következőket: - A home könyvtárakat közös helyen hozzuk létre egy hálózati köteten, lehetőleg külön az alkalmazásoktól és az operációs rendszertől, mert így könnyebb az adminisztrációjuk. - Használjuk a %Username% rendszerváltozót, hogy automatikusan hozzárendelhessük a felhasználói fiók nevét a könyvtárhoz és a Full Control NTFS jogosultságot. Home könyvtárak Ajánlott a home könyvtárakat egy NTFS kötetre elhelyezni a hálózat egyik szerverén. Ez egyszerűsíti az adminisztrációt az adatok mentése és helyreállítása illetve a jogosultságok kijelölése szempontjából. Ajánlatos a felhasználókat kioktatni arra, hogy a személyes és a munkájukkal kapcsolatos adatokat ezekbe a home könyvtárakba mentsék el. Ha ezeket a home könyvtárakat át kell helyeznünk egy másik server-re, csak a home könyvtár elérési útját kell megváltoztatnunk. A home könyvtár létrehozásához és megosztásához egy NTFS
köteten: 5. Hozzunk létre egy Users nevű könyvtárat egy az operációs rendszertől és az alkalmazásoktól különálló köteten. Így, ha az operációs rendszert újra kell telepítenünk ezek az adatok érintetlenek maradnak. 6. Osszuk meg a Users könyvtárat,hogy egy egyedüli csatlakozási pontot biztosítsunk a felhasználóknak, és egy egyedüli adminisztrációs pontot a rendszergazdáknak. 7. Vegyük el az alapértelmezett Full Control jogot az Everyone felhasználócsoporttól és adjuk oda ezt a Full Control megosztási jogot a Users csoportnak. 8. Használjuk a %Username% rendszerváltozót a home könyvtárak automatikus elnevezéséhez a felhasználói fiókok neveivel. - Indítsuk el a User Manager, vagy a User Manager for Domains programot és hozzunk létre egy új felhasználói fiókot, vagy klikkeljünk duplán egy már létező fiókra. - A New User vagy a User Properties dialógusablakban, klikkeljünk a Profile-ra, majd azután a Home Drectory To
dobozba írjuk be : \servernévUsers\%Username% Fontos Az NTFS köteteken a %Username% rendszerváltozó használata automatikusan Full Control jogot ad a home könyvtárakhoz. A FAT köteteken a home könyvtáraknak csak a megosztás szintjén szabályozható a jogosultsága. NTFS jogosultságok kiosztása Ahhoz, hogy NTFS jogosultságokat adhassunk, szükséges, hogy tulajdonosai legyünk az illető file-nak, vagy könyvtárnak, vagy pedig, hogy rendelkezzünk az alábbi jogosultságok egyikével: • Full Control • Change jogosultság • Tulajdonjog átvétele – ezzel a speciális jogosultsággal a felhasználó átveheti a file vagy könyvtár tulajdonjogát és így a felhasnáló mint tulajdonos megváltoztathatja az erőforráshoz tartozó hozzáférési jogosultságokat. Alapértelmezett NTFS jogosultságok A következő lista az alapértelmezett NTFS jogosultságokat foglalja össze: • Amikor egy kötetet NTFS-re formázunk, Az Everyone csoport automatikusan Full
Control jogosultságot kap hozzá. Ez minden olyan felhasználónak akinek megvan a Log on Locally joga (azaz joga van bejelentkezni a helyi számítógépen) teljeskörű hozzáférést biztosít az egész kötethez. • Amikor egy új könyvtárat hozunk létre az NTFS köteten, ez a könyvtár örökölni fogja az Őt tartalmazó könyvtár jogosultságait. Fontos Amikor a Windows NT-t NTFS kötetre telepítjük, az NTFS jogosultságok automatikusan hozzárendelődnek a rendszerkönyvtárakhoz. Ne módosítsuk a rendszerfile-ok jogosultságait. Az NTFS jogosultságok kiosztásához: 5. A Windows NT Explorer-ben klikkeljünk jobb gombbal a file-ra, vagy könyvtárra, majd klikkeljünk a Properties parancsra 6. A megjelenő dialógusablakban válasszuk a Security fület, majd klikkeljünk a Permissions-ra 7. A Permissions dialógusablakban állítsuk be a következő opciókat Opció Jelentése Replace Ha ki van választva, megváltoztatja a létező Permissions on
jogosultságokat a kiválasztott könyvtár minden Subdirectories alkönyvtárában. Nem változtatja meg a file-okhoz tartozó jogosultságokat ezekben az alkönyvtárakban. Alapértelmezésben ez a választónégyzet nincs kiválasztva és csak a könyvtárjogosultságok adásával állítható be. Replace Ha ki van választva, megváltoztatja a könyvtárban Permissions on található minden file jogosultságát. Nincs hatással a Existing Files kiválasztott könyvtár alkönyvtáraiban lévő file-okra. Alapértelmezésben ez a választónégyzet nincs kiválasztva és csak a könyvtárjogosultságok adásával állítható be. Name Kijelzi egy felhasználó, vagy csoport jogusultságait egy file-hoz, vagy könyvtárhoz. Az első zárójelben a könyvtár jogosultságai vannak felsorolva, míg a második zárojelben a könyvtárban létesített új fileokhoz rendelt jogosultságokat láthatjuk. A Name dialógusablakban kiválasztott felhasználó, Type of Access vagy csoport
jogosultságait jelzi ki és megengedi hogy változtassunk ezeken a jogosultságokon. 8. Klikkeljünk az Add-ra, hogy felhasználókat vagy csoportokat vegyünk fel a file vagy könyvtár jogosultjai közé. Speciális hozzáférési jogosultságok Általában a standard (alapvető) jogosultságok segítségével biztonságban tudhatjuk a file-jainkat és a könyvtárainkat. Ha egyedi jogosultságokra van szükségünk, vagy pedig egy különböző jogosultságokból álló készletre, használhatunk speciális hozzáférési jogosultságokat. Például, hogy egy másik felhasználó adhasson jogosultságokat azokhoz a file-okhoz amelyeknek mi vagyunk a tulajdonosai, adjunk ennek a másik felhasználónak Change Permissions (P) speciális hozzáférési jogosultságot. A speciális hozzáférési jogosultságok ugyanazok a file-okhoz és a könyvtárakhoz is. A speciális hozzáférési jogosultságok megadásához: 7. A Windows NT Explorer-ben klikkeljünk jobb gombbal a file-ra,
vagy könyvtárra, majd klikkeljünk a Properties parancsra 8. A megjelenő dialógusablakban válasszuk a Security fület, majd klikkeljünk a Permissions-ra 9. A Permissions dialógusablakban válasszuk ki a felhasználó, vagy a csoport nevét. 10. Atype of Access listán klikkeljünk a Special Directory Access vagy a Special File Access parancsra. 11. A megjelenő dialógusablakban klikkeljünk a megfelelő jogosultságra majd pedig az OK-ra. Laborgyakorlat 9 Könyvtárak és file-ok tulajdonjogának az átvétele Ha valaki file-t vagy könyvtárat hoz létre, akkor annak a tulajdonosa lesz. Mint a file, vagy könyvtár tulajdonosa, a felhasználó megoszthatja a file-t, vagy könyvtárat más felhasználók vagy csoportok felé. A felhasználó ugyanezt nem teheti meg azokkal a file-okkal és könyvtárakkal amelyek nem az ő tulajdonában vannak. Ha egy felhasználó letiltotta mások hozzáférését egy file-hoz, vagy könyvtárhoz, majd elmegy a cégtől, átvehetjük a
file, vagy könyvtár tulajdonjogát, majd megváltoztathatjuk a hozzárendelt jogosultságokat, úgy, hogy mások is hozzáférjenek. Alapértelmezésben az Administrators csoport tagjai mindíg átvehetik a file-ok és könyvtárak tulajdonjogát. Ha a csoport egy tagja átveszi a file, vagy könyvtár tulajdonjogát, az Administrators csoport az erőforrás tulajdonosa lesz, ami azt jelenti, hogy a csoport minden tagja használhatja ezt az erőforrást. Az erőforrás tulajdonosa nem tudja megváltoztatni az erőforrás tulajdonjogát aminek ő a tulajdonosa. Csak másoknak adhat joogot a tulajdonban lévő erőforrás tulajdonjogának az átvételére. Az erőforrás biztonsága azáltal valósul meg, hogy megakadályozza a felhasználókat abban, hogy szerkesszék vagy létrehozzanak file-okat és ez úgy tűnjün mintha nem az ő file-juk lenne. Például, ha egy felhasználó No Access jogot rendel egy file-hoz, majd egy rendszergazda átvéve a file tulajdonjogát,
megváltoztathatja annak a tartalmát. A felhasználó amikor megnyitja a file-t láthatja, hogy a file tulajdonosa mostmár az illető rendszergazda, aki elvette a filetól a No Access jogot. A tulajdonos más felhasználóknak,vagy csoportoknak adhat olyan jogosultságot, hoy átvegyék a tulajdonjogot. Ezt a követekző jogosultságok által lehet biztosítani: • Full Control • Take Ownership (Speciális jogosultság) • Change Permissions (Speciális jogosultság) – ezzel a jogosultsággal a felhasználó a Take Ownership jogosultságot megadhatja saját magának, illetve más felhasználóknak, vagy csoportoknak. File-ok és könyvtárak másolása vagy mozgatása Egy felhasználó nem másolhat, vagy mozgathat file-okat NTFS kötetek között, vagy azon belül a megfelelő jogosultságok nélkül. A következő táblázat a szükséges jogosultságokat tartalmazza a file-ok másolásához, vagy mozgatásához az NTFS köteten belül, illetve az NTFS kötetek között.
Szükséges jogosultság Művelet Másolás Add jogosultság a célkönyvtárban (Copy) Mozgatás Add jogosultság a célkönyvtárban és Delete jogosultság a (Move) forráskönyvtárban. A delete jogosultság azért szükséges, mert amikor a file-t vagy könyvtárat mozgatjuk, őt letöröljük a forrásról miután felírtuk a célra. A file-ok másolása és mozgatása az NTFS köteten belül, illetve a kötetek között befolyásolhatja a file eredeti jogosultságait. A következő táblázat azt foglalja össze, hogy miként változnak a jogosultságok másolás és mozgatás közben: NTFS köteten belül NTFS kötetek között Művelet Másolás A célkönyvtár jogosultságait A célkönyvtár (Copy) örökli jogosultságait örökli Mozgatás Megtartja az eredeti A célkönyvtár (Move) jogosultságait jogosultságait örökli Megjegyzés A felhasználó a másolt file-ok, vagy könyvtárak tulajdonosa lesz. Fontos A FAT kötetekre másolt vagy mozgatott file-ok, vagy
könyvtárak elvesztik a hozzájuk rendelt NTFS jogosultságokat. Példák: Vitassuk meg a következő példát: Az ábrán a File-A a C:UsersMary könyvtárban van. A Users csoport tagjainak a C és D lemezeken a következő NTFS jogosultságai vannak: • Read jogosultság a C:UsersMary könyvtárhoz és a benne található file-okhoz • Change jogosultság a c:Public könyvtárhoz • Full Control jogosultság a D:Data könyvtárhoz 4. Milyen jogosultságai lesznek a Users csoportnak a File-A file-hoz miután átmásolták a C:Public könyvtárba? 5. Milyen jogosultságai lesznek a Users csoportnak a File-A file-hoz miután átmmozgatták a C:Public könyvtárba? 6. Milyen jogosultságai lesznek a Users csoportnak a File-A file-hoz miután átmozgatták a D:Data könyvtárba? A jogosultságokkal kacsolatos zavarok, hibák elhárítása A hálózati erőforrásokhoz való hozzáféréssel kapcsolatban gyakran lépnek fel hibák. A következő néhány példa által próbáljuk
meg bemutatni az általában előforduló hibák elhárítását. 4. A felhasználó nem fér hozzá az erőforráshoz Megoldás Vizsgáljuk meg a felhasználói fiók jogosultságait és azoknak a csoportoknak a jogosultságait amelyeknek a felhasználó tagja. Ha a No Access jog ki van osztva a felhasználónak, vagy valamelyik csoportnak amelyikben a felhasználónk tag, a felhasználónk nem tud hozzáférni az erőforráshoz. Ha a file-t másoltuk egy NTFS köteten belül, vagy mozgattuk NTFS kötetek között, a file jogosultságai változhattak mivel ilyenkor a célkönyvtár jogosultságait örökli. 5. A felhasználó letörölt egy file-t, pedig No Access jogosultsága volt hozzá. Megoldás Ne adjunk a felhasználóknak NTFS Full Controll jogosultságot a könyvtárakhoz. Ehelyett adjuk meg a felhasználóknak a speciális könyvtárjogokat. Ez teljes hozzáférést biztosít nekik a könyvtárhoz, ugyanakkor nem engedi meg, hogy letöröljék azt a file-t a könyvtárban
amihez No Access joguk van. Megjegyzés:Az itt felvetődött probléma az egyedüli kivétel az alól, hogy a file jogosultságok fölülírják a könyvtárjogosultságokat. Ez azért van mert a Windows NT futtathat POSIX alkalmazásokat amelyeket az UNIX file-rendszerre terveztek. Az UNIX filerendszerben a Write jogosultság megengedi a file törlését a könyvtárban. Az NTFS Full Control jogosultság ezzel megegyezik 6. Felvesz egy felhasználót egy csoportba azért, hogy az elérjen egy erőforrást, de a felhasználó mégsem tudja azt használni. Megoldás A felhasználó lépjen ki, majd lépjen vissza a rendszerbe, vagy kapcsolódjon szét, azután pedig kapcsolódjon újra a távoli számítógéphez. Egy objektumhoz való hozzáféréskor szükség van egy kulcsra (access token) ami akkor jön létre amikor a felhasználó belép a hálózatba és azonosítva lesz egy Windows NT-t futtató számítógépen. Ez a kulcs tartalmazza azt az információt is, hogy a
felhasználónk mely csoportoknak a tagja. Ha a csoporttagság megváltozott, ez csak a legközelebbi belépéskor jut érvényre a kulcsban. Jó tanácsok Az NTFS jogosultságok kiosztásánál érdemes megfogadni a következő tanácsokat: • Az NTFS jogosultságokat osszuk ki a könyvtár megosztása előtt. Ezzel kivédhető az, hogy más felhaználók csatlakozzanak hozzá, még mielőtt azt teljes biztonságba helyeztük volna. • Adjunk Read jogosultságot a Users és Administrators csoportoknak minden alkalmazás végrehajtható file-jaihoz. Az alkalmazások sérülése legyakrabban a vírusok illetve a balesetek következménye. Az ilyenfajta károsodások megelőzése érdekében adjunk Read jogot minden felhasználónak, beleértve az Administrators csoport tagjait is, az alkalmazások végrehajtható file-jaihoz. Ha így teszünk megakadályozhatjuk a felhasználókat és a vírusokat is abban, hogy módosítsák, vagy letöröljék ezeket a file-okat. Ezenkívül az
Administrators csoportnak adjuk meg a Change Permissions (P) speciális jogosultságot, így ők ha szükséges az alkalmazás módosítása (upgrade) biztosíthatnak maguknak magasabb szintű hozzáférést. • Használjuk a %Username% rendszerváltozót a home könyvtárak létrehozásánál – ezáltal egyszerűsítve az adminisztrációt, mert a felhasználó egyedül fog jogosultságokat kapni a saját home könyvtárához. Az MS-DOS-t futtató kliensekhez használjunk nyolc karakteres, vagy még rövidebb neveket. Majd amikor a %Username% változóval létrehozzuk a home könyvtárat, ezt a könyvtárnevet az MSDOS alapú kliens is gyorsan el tudja olvasni. • A Data könyvtárhoz rendeljünk speciális beépített Creator Owner jogosultságot, ami Full Control jogot ad a felhasználóknak ebben a könyvtárban, de kinek kinek csak a saját tulajdonában lévő fileokhoz. • Ha az erőforrás csak a helyi gépen használt, használjunk hosszú, kifejező neveket. Ha a
könyvtárat később esetleg majd meg fogjuk osztani, használjunk minden kliens számára értelmezhető file és könyvtárneveket. Laborgyakorlat 10 Kérdések: 4. Hogyan hozhat létre automatikusan home könyvtárakat, úgy, hogy azokhoz csak a megfelelő felhasználóknak legyen Full Control jogosultsága? 5. Melyek az alapértelmezett jogosultságok egy NTFS-re formázott köteten? 6. Mit fog ellenőrízni, amikor egy felhasználó nem tud elérni egy erőforrást? 12. Hálózati nyomtató beállítása Bevezetés a Windows NT nyomtatási rendszerébe A Windows NT hálózatokon egy nyomtató beállításánsk és megosztásánsk a következő feltételei vannak: • Legalább egy Windows NT Server-t, vagy Windows NT Workstation-t futtató számítógép legyen print szerverként konfigurálva. Print szerver az a számítógép, amelynek a kliens gépek elküldik a nyomtatni való dokumentumokat. A nyomtató a print szerverhez kapcsolódik. A Windows NT-ben a printer
szó alatt azt a software-t értjük ami az alkalmazás és a nyomtató közötti kapcsolatot biztosítja. • Egy nyomtató, ami az a hardware eszköz ami a nyomtatott dokumentumot előállítja. A nyomtató kapcsolódhat a helyi print server-hez és ekkor a neve local printer, vagy kapcsolódhat direkt módon a hálózathoz egy saját hálózati kártyával (nagy teljesítményű nyomtató) ekkor network printer a neve. A Windows NT hálózatokon a felhasználók a következő operációs rendszereket futtató számítógépekről nyomtathatnak: - Windows NT - Windows 95 - Windows for Workgroups - Windows 3.1 - MS-DOS - LAN Manager 2.x - OS/2 - NetWare - UNIX - Macintosh Ha egyszer a print server-t beállítottuk, azután: adminisztrálhatjuk a print server-t minden Windows NT-t futtató számítógépről. Kezelhetjük azt a jogosultságok által, hogy mely felhasználónak mely nyomtató legyen elérhető. Konfigurálhatjuk a nyomtatót. A nyomtatási jogosultságok
A nyomtatási jogosultságoknak négy szintje van: No Access, Print, Manage Document és Full Control. Alapértelmezésben a felhasználók Print jogosultságot kapnak. Biztonsági okokból szükséges lehet korlátozni a felhasználók hozzáférését egyes nyomtatókhoz. Nagyobb szervezetekben szükség lehet arra is, hogy egy-két felhasználónak különleges jogosultságokat adjunk a nyomtatókhoz. A következő táblázata négy jogosultsági szint lehetőségeit foglalja össze. Lehetőség Dokumentumok nyomtatása Szüneteltetni, folytatni, újraindítani és leállítani a felhasználók saját dokumentuma-inak a nyomtatását Kapcsolódás egy nyomtatóhoz A nyomtatás paramétereinek beállítása (job control) minden dokumentumhoz Szüneteltetni, folytatni, újraindítani és leállítani minden No Access Print (alapértelme zett) × Manage Documents Full Control × × × × × × × × × × × × dokumentum nyomtatását. Nyomtató megosztása
Nyomtató tulajdonságainak amegváltoztatása Nyomtató törlése Nyomtató jogosultságainak megváltoztatása × × × × Hálózati nyomtató konfigurálása A hálózati nyomtató több felhasználó számára teszi lehetővé, hogy nyomtasson rajta. A hálózati nyomtató konfigurálásához a következő műveleteket kell elvégezni: 5. Ellenőrizzük, hogy a nyomtatónk rajta van-e a Windows NT HCL-en (Hardware Compatibility List). Ha igen, akkor a Windows NT tartalmazza a megfelelő nyomtatómeghajtót. Ha nem, akkor a megfelelő nyomtatómeghajtót a gyártótól kell beszerezni, esetleg használható egy olyan nyomtatómeghajtó amelyik képes emulálni a nyomtatónkat. 6. Lépjünk be rendszergazdaként Az Administrators csoport tagjai telepíthetnek új nyomtatókat, illetve megoszthatják a nyomtatókat, azaz a nyomtatási rendszerhez Full Control jogosultságuk van, tehát tudják a nyomtatókat adminisztrálni. A csoport Adminisztrálhatják a nyomtatót tagjai
Administrators a tartomány minde Windows NT Server-t, vagy Windows NT Workstation-t futtató számítógépén. Print Operators minden tartományvezérlőn Server minden tartományvezérlőn Operators Power Users a tartomány minden helyi számítógépén amelyiken a csoport létezik 7. Nyomtató telepítése – a nyomtató meghajtóprogramját telepíti a print server-re. 8. Nyomtató megosztása – megengedi a felhasználóknak, hogy a hálózaton keresztül kapcsolódjanak a nyomtatóhoz. A nyomtatót a telepítése után lehet megosztani, vagy pedig megoszthatunk egy már korábban telepített nyomtatót. Alapértelmezés szerint a nyomtatási jogosultságok az Everyone csoporthoz rendelődnek hozzá. Új nyomtató telepítése és megosztása Ha a nyomtatónk rajta van a Windows NT HCL-en, és a megfelelő jogosultságokkal rendelkező csoport tagjaként léptünk be, telepíthetjük, majd megoszthatjuk a nyomtatót. Ezután a felhasználók kapcsolódhatnak majd hozzá a
hálózaton keresztül. A nyomtató telepítéséhez és megosztásához: 6. Klikkeljünk a Start menüben a Settings-re majd pedig a Printers-re A nyomtatók mappája fog megjelenni. 7. Klikkeljünk duplán az Add Printe-re A megjelenő varázsló átvezet bennünket a nyomtató telepítésének a lépésein. A következő lehetőségek közül választhatunk: Opció Jelentése My Compiuter Amikor először telepítünk nyomtatószervert a számítógépre, kijelöli azt mint nyomtatószervert. Azután pedig megengedi, hogy további nyomtatót adjunk hozzá a nyomtatószerverhez Avialable Meghatározza, hogy a nyomtató mely porton keresztül ports kapcsolódik a print szerverhez Manufacturers, A megfelelő nyotatómeghajtót telepíti a print serverPrinters re. Ha a meghajtó nincs a listán, klikkeljünk az Otherre és adjuk meg a meghajtót Printer name Azonosítja a nyomtatót a felhasználók felé akik kezelik. Érdemes kifejező neveket használni Default Beállítja az
alapértelmezett nyomtatót minden Windows printer alapú alkalmazáshoz. Ezután a felhasználó már nem kell beállítsa a nyomtatót minden alkalmazáshoz. Ez az opció automatikusan érvényes a print server első nyomtatójára. Shared Lehetővé teszi a megfelelő jogosultságokkal rendelkező felhasználók számára, hogy kapcsolódjanak egy nyomtatóhoz a hálózaton keresztül. Share name Kijelöli a megosztási nevet. A név kifejező kell legyen, hogy a felhasználók lássák a nyomtató típusát, helyét illetve kompatibilis kell legyen minden kliens géppel a hálózaton. Alapértelmezésben ez a nyomtató neve csonkítva a 8.3 karakteres formára Operating Azonosítja a Windows NT-t és a Windows 95-t futtató systems klienseket, akik a nyomtatót használni szeretnék és biztosítja hogy a megfelelő meghajtó telepítve legyen. Test page Kinyomtat egy tesztlapot, hogy ellenőrízhessük azt, hogy a nyomtatómeghajtó jól lett telepítve. 8. Ha befejeztük a
nyomtató telepítő varázslóval a munkát, klikkeljünk a Finish-re. A Copying FilesFiles Needed dialógusablak jelenik meg 9. A Copy Files From dobozba írjuk be a nyomtatómeghajtó telepítőfilejainak az elérési útját, majd klikkeljünk az OK-ra Először a Copying Files státuszablak jelenik meg, majd pedig a Nyomtatónév Properties fül. 10. Klikkeljünk az OK-ra Nyomtató törléséhez: 4. A Printers mappában, klikkeljünk annak a nyomtatónak az ikonjára, amelyiket törölni szeretnénk. 5. Nyomjuk meg a DELETE gombot – vagy – a File menüben klikkeljünk a Delete parancsra. Egy üzenet jelenik meg ami figyelmeztet bennünket és arra kér, hogy erősítsük meg a nyomtató törlését. 6. Klikkeljünk az OK-ra és a nyomtató eltűnik a mappából Létező nyomtató megosztása Ha a hálózaton már van telepítve egy nyomtató, ami nincs megosztva, akkor ezt megoszthatjuk. például, ha egy felhasználónak van egy helyi nyomtatója, ezt megosztva, más
felhasználók is kapcsolódhatnak hozzá a hálózaton. A nyomtató megosztásához 6. Klikkeljünk a Start menüben a Settings-re, majd pedig a Printers-re A Printers mappa fog megjelenni. 7. Klikkeljünk annak a nyomtatónak az ikonjára, amelyiket szeretnénk megosztani. 8. A File menüben klikkeljünk a Sharing-re A nyomtatónév Properties dialógusablakban a Sharing fül jelenik meg. 9. Klikkeljünk a Sharing-re Az alapértelmezett megosztási név meg fog jelenni, amit felül is írhatunk egy általunk meghatározott megosztási névvel. Az Alternate Drivers dobozban más operációs rendszerekhez tarozó meghajtókat telepíthetünk a nyomtatónkhoz, azért hogy ezeket az operációs rendszereket futtató számítógépek automatikusan letölthessék a megfelelő meghajtót amikor kapcsolódnak a nyomtatóhoz. 10. Klikkeljünk az OK-ra Egy nyitott kéz jelenik meg a nyomtató ikonja alatt a Printers mappában. Ez jelzi azt, hogy a nyomtató meg van osztva. Hogy egy létező
nyomtatót alapértelmezetté tegyünk 3. A printers mappában klikkeljünk a kiválasztott nyomtató ikonjára 4. A File menüben klikkeljünk a Set As Default parancsra Nyomtatási jogosultságok kiosztása Alapértelmezés szerint az Everyone csoport megkapja a Print jogosultságot. Ha azt akarjuk, hogy a felhasználók valamijen módon korlátozva legyenek a nyomtatók használatában, módosítanunk kell az alapértelmezett jogosultságon. Hogy felhasználóhoz, vagy csoporthoz nyomtatási jogosultságot rendeljünk: 9. A Printers mappában, klikkeljünk annak a nyomtatónak az ikonjára, amelyiknek meg akarjuk változtatni a jogosultságát. 10. A File menüben klikkeljünk a Properties-re 11. A nyomtatónév Properties dialógusablakban klikkeljünk a Security fülre. 12. A Security fülön klikkeljünk a Permissions-ra A Printer Permissoins dialógusablak jelenik meg. 13. Klikkeljünk az Add-ra Az Add Users and Groups dialógusablak jelenik meg. 14. Válasszuk ki a
megfelelő felhasználókat és/vagy csoportokat, majd klikkeljünk az Add-ra. A felhasználók és csoportok megjelennek az Add Names listán. 15. A Type Of Access dobozban klikkeljünk a jogosultságra amit a felhasználónak, vagy csoportnak adni szeretnénk, majd klikkeljünk az OK-ra. aPrinter Permissions dialógusablakhoz térünk vissza 16. Klikkeljünk az OK-ra Hálózati kliensek beállítása Windows NT és Windows 95 alapú kliensek Ha már van egy megosztott nyomtatónk, ezekkel a kliensekkel semmit nem kell tenni. A felhasználónak csak annyi dolga van, hogy csatlakozzon a megosztott nyomtatóhoz. MásMicrosoft alapú kliensek Hogy egy Windows NT alapú megosztott nyomtatón nyomtatni lehessen az MS DOS, OS/2 (LAN Manager Kliens2.2c változatával telepítve), LAN Manager 2.x, Windows 3.1, Windows for Workgroups operációs rendszerekből, telepíteni kell a megfelelő nyomtatómeghajtót helyileg a kliens számítógépen. Nem Microsoft alapú kliensek esetében, hogy
nyomtatni lehessen, meg kell győződnünk a következő követelmények létezéséről: A print server-en egy szolgáltatást kell működtetni. A következő táblázat példákat tartalmaz a nem Microsoft alapú kliensek és a hozzátartozó szolgáltatásokra. Kliens számítógép Szolgáltatás Macintosh Services for Macintosh NetWare File and Print Services for NetWare (FPNW) UNIX TCP/IP Line Printer Daemon (LPD) Service A nyomtatómeghajtót a kliensgépre helyileg kell telepíteni, például a kliens operációs rendszerének telepítőlemez készletéről. Hozzáférés hálózati nyomtatóhoz Alapértelmezés szerint minden felhasználó Print jogosultságot kap, hogy elérje a hálózati nyomtatókat. A Windows NT 4.0-t és Windows 95-öt futtató kliensek a Printers mappát használják, hogy kapcsolódjanak egy megosztott hálózati nyomtatóhoz. Amikor először kapcsolódnak, a megfelelő nyomtatómeghajtó automatikusan bemásolódik a memóriájukba.
Ezután a Windows NT és a Windows 95 kliensek különbözőképpen viselkednek: Amikor a Windows NT-t futtató kliens újrakapcsolódik a hálózathoz, ha a nyomtatómeghajtó nem megfelelő, az új nyomtatómeghajtó letöltődik a print server-ről. Ezzel automatikusan biztosított a megfelelő nyomtatómeghajtó. A Windows 95-öt futtató klienseknél a nyomtatómeghajtó nem marad automatikusan aktuális. Ha újjítjuk a nyomtatómeghajtót a print server-en, akkor ezt manuálisan telepítenünk kell a Windows 95-ös kliensre is. Hogy egy nyomtatóhoz kapcsolódjunk: 8. A Printers mappában klikkeljünk duplán az Add Printer ikonra Az Add Printer varázsló fog megjelenni. 9. Klikkeljünk a Network Printer Server-re majd pedig a Next-re A Connect to Printer dialógusablak jelenik meg. 10. A Printer dobozba írjuk be a nyomtató UNC nevét amelyhez kapcsolódni szeretnénk, vagy a Shared Printers dobozban válasszuk ki a megfelelő nyomtatót. Itt a hálózat minden
tartománya megjelenik Először válasszuk k a tartományt. A számítógépek és a megosztott nyomtatók megjelennek a Shared Printers dobozban, majd klikkeljünk a kívánt nyomtatóra. 11. Klikkeljünk az OK-ra 12. Klikkeljünk a Yes-re ha a nyomtatót alapértelmezettként akarjuk használni, vagy a No-ra ha nem. Ezután klikkeljünk a Next-re 13. Klikkeljünk a Finish-re A nyomtatónév Properties fül jelenik meg. 14. Klikkeljünk az OK-ra A Windows 3.1 és a Windows for Workgroups kliensek a Print Manager programot használják a nyomtatókhoz való kapcsolódásra. Egyéb kliensek A Windows NT vagy Windows 95-től eltérő kliensek esetében használjuk a kliens specifikus parancsokat a nyomtatóhoz való csatlakozáshoz. Az MS DOS-t, vagy OS/2-t futtató LAN Manager kliensek a net use parancsot használják. Például: net use lptx \szervernévmegosztásnév A TCP/IP alapú UNIX kliensek az LPR-t használják. lpr –Sszervernév – Pmegosztásnév filenév
Az Apple Macintosh-hoz használjuk a Chooser-t. Nyomtatókészlet létrehozása A nyomtatókészlet egy olyan „nyomtató”, amely több porton keresztül csatlakozik a print szerverhez. Akkor hasznos ha a hálózaton nagy mennyiségű nyomtatnivaló van. Általa csökkenthető az az idő amit a dokumentumok töltenek el a nyomtatási sorokban (queue-kban). A rendszergazdának pedig egyszerűbb egy nyomtatót kezelnie több helyett. A felhasználó úgy nyomtatja a dokumentumot, hogy nem foglalkoztatja az, hogy milyen nyomtató érhető el a hálózaton. A nyomtató megkeres egy szabad portot. A keresést abban a sorrendben végzi, amilen sorrendben a portok fel lettek véve a rendszerbe, ezért először a leggyorsabb nyomtatóhoz kapcsolt portot vegyük fel először. A nyomtatókészlet létrehozásáért 6. A Printers mappában válasszuk ki a megfelelő nyomtató ikonját 7. A File menüben klikkeljünk a Properties-re A Nyomtatónév Properties dialógusablak jelenik meg.
8. Klikkeljünk a Ports fülre 9. Válasszuk ki a Enable printer pooling választónégyzetet 10. Válasszuk ki a portot amit hozzá szeretnénk rendelni és klikkeljünk az OK-ra. Ajánlás: egy nyomtatókészlet nyomtatói lehetőleg közel legyenek egymáshoz, hogy a felhasználók ne töltsék feleslegesen az idejüket a dokumentumaik keresgélésével. Prioritások beállítása a nyomtatók között. A nyomtatókhoz rendelt prioritásokkal lehetséges prioritások beállítása dokumentumok csoportjaihoz. Például a vezetőség dokumentumai a többi felhasználó dokumentumai előtt lesznek kinyomtatva, azaz a sürgős dokumentumok mindig az alacsonyabb prioritású dokumentumok előtt lesznek kinyomtatva. A prioritások beállításáért a következőket kell tennünk: Kapcsoljunk két vagy több nyomtatómeghajtót ugyanarra a snyomtatóra. Ezek a nyomtatómeghaj-tók ugyanazon a Printserver-en kell legyenek és ugyanazt a portot kell használják a nyomtatóhoz
való kapcsolódásra. A port vagy egy fizikailag létező port a print server-en, vagy pedig az UNC neve egy hálózati nyomtatónak. Állítísunk be különböző prioritást minden nyomtatómeghajtóhoz amelyik a nyomtatóhoz csatlakozik. Ezután a felhasználók különböző prioritású nyomtatómeghajtókat használnak. Az ábra példáján látszik, hogy a két felhasználó, User1 és User2elküldik a dokumentumaikat a nyomtatónak, de hiába érkezett előbb a User1 felhasználó dokumentuma, a User2-é fog hamarabb kinyomtatódni, mert nagyobb a prioritása. A nyomtatók prioritásának a beállítása része a dokumentumok ütemezésének amit ezután tárgyalunk. Dokumentumok ütemezése A dokumentumok ütemezése lehetőséget ad arra, hogy rugalmasan állítsuk be azt, hogy a dokumentumaink miképpen kerüljenek nyomtatásra. Az ütemezés hatással van minden olyan dokumentumra amit elküldtünk a nyomtatónak. A következő táblázat az ütemezéssel
kapcsolatos tevékenységeket foglalja össze és azt hogy mikor használjuk ezeket. Tevékenység Mikor használjuk Az ütemezési paraméterek megváltoztatásáért 9. A Printers mappában válasszuk ki a kívánt nyomtató ikonját 10. A File menüben klikkeljünk a Properties-re A nyomtatonév Properties dialógusablak jelenik meg. 11. Klikkeljünk a Scheduling fülre. Figyeljük meg, hogy az alapértelmezett beállítás az Always (bármikor). 12. Az Avialable From dobozba és a To dobozba írjuk be vagy válasszuk ki azokat az órákat amikor a dokumentumot nyomtatni szeretnénk., majd klikkeljünk az KO-ra. Az idő megváltoztatása azt állítja be, hogy mikor lesz a dokumentum kinyomtatva és nem azt, hogy mikor lesz elküldve a várakozási sorba. 13. A Priority-nál mozgassuk a mutatót a kívánt prioritás felé Az alapértelmezett a legalacsonyabb prioritás, azaz 1. A legmagassabb prioritási szint a 99. 14. A rádiógobok és választónégyzetek közül válasszuk ki
az éppen megfelelőket: Kapcsoló Leírás Spool print documents A kapcsoló vagy ebben az állásban, vagy pedig a so program finishes Print directly to te printer állásban lehet. Ha printing faster ezt választjuk, a dokumentumot sorbaállítja. Ennek a kapcsolónak két elágazása van. dokumentum nyomtatása csak a teljes Start printing A after last page is feldolgozás után kezdődik meg. Az alkalmazás amelyik a nyomtatást kezdemányezte nem érhető el a feldolgozás befejezéséig. Start printing A dokumentum nyomtatása elkezdődik még a immediately feldolgozás befejezése előtt, ami azt jelenti, hogy a nyomtatás hamarabb elkezdődik. A nyomtatást kezdeményező alkalmazás is hamarabb lesz elérhető. Print directly to the A dokumentum nem lesz sorbaállítva, ezáltal printer csökken a nyomtatási idő. Ezt a kapcsolót ne használjuk a megosztott nyomtatókon. Hod mismatched Az olyan dokumentumok, amelyek beállításai nem documents egyeznek meg a
nyomtató beállításaival, nem lesznek kinyomtatva. Leállítja a hibás dokumentumok nyomtatását. Print spooled A sorbaállított dokumentumokat nyomtatja a még documents first nem teljesen sorbaállítottak előtt. (amelyek sorbaállítása még nem fejeződött be) Keep documents after A dokumentum a nyomtatási sorban marad a they have printed nyomtatás után is és gyorsan újranyomtatható. Megjegyzés A Windows NT nyomtatási rendszerében a nyomtatási sor a print server-en van. A sorkezelő feldolgozza és ütemezi a dokumentumokat. A sorbaállítás (sorkezelés) az a folyamat amikor a dokumentum nyomtatási képét a lemezre írjuk, majd onnan a nyomtatóra küldjük. 15. Klikkeljünk az OK-ra A Windows NT érvényesíti a beállításainkat spooled Formok (papírfajták) kezelése Ha a nyomtatónknak tübb fiókja van különböző méretű papírok számára, ezekhez a fiókokhoz úgynevezett formokat rendelhetünk. A felhasználó kiválaszthatja az
alkalmazásában a neki megfelelő papírfajtát. Amikor majd nyomtat a megfelelő papírtárolóhoz lesz irányítva. A form a papír típusát és méretét jelenti. Egy form hozzárendeléséért egy papírtároló fiókhoz: 6. A Printers mappában válasszuk ki a megfelelő nyomtató ikonját 7. A File menüben klikkeljünk a Properties-re A nyomtatonév Properties dialógusablak jelenik meg. 8. Válasszuk a Device Settings fület Az ablak felső részében a Form to Tray Assignment alatt klikkeljünk arra a papírtartóra, amelyikhez meg akarjuk határozni a papírfajtát. A Change paper tray Setting jelenik meg az ablak alsó részében, ahol beállíthatjuk a kiválasztott papírtartóhoz a kívánt papírt. F O N T O S hogy az alapértelmezett beállítás a papírtárolókhoz a Not Avialable (nem elérhető). 9. Válasszuk ki a kívánt papírméretet Ez a papírméret meg fog jelenni a kiválasztott papírtartó mellett az ablak felső reszében. 10. Klikkeljünk az OK-ra
Csak ha a nyomtatónknak több papírtartója van és ezeket telepítettük is, érhetik majd el a felhasználók ezeket a papírtartókat. A Windows NT ismerni fogja, hogy melyik papírtárolóban milyen papír van. Elválasztóoldal beállítása Az elválasztóoldalaknak két szerepe is van, ezek a következők: Azonosítja és elválassza a kinyomtatott dokumentumokat Átkapcsolja a nyomtatót különböző nyomtatási módok között, mint azt a következő táblázat mutatja. A Windows NT három elválasztóoldal file-t tartalmaz. Ezeket a file-okat a endszerkönyvtárSystem32 útvonalon találhatjuk meg. File-név Funkció Sysprint.sep Minden dokumentum előtt nyomtat egy oldalt. Kompatibilis a PostScript eszközökkel. Pcl.sep PCL módba kapcsolja a HP sorozatú nyomtatókat, és minden dokumentum előtt nyomtat egy oldalt Pscript.sep Post Script nyomtatási módba kapcsolja a HP sorozatú nyomtatókat, de nem nyomtat elválasztó oldalt a dokumentum előtt. Hogy
beállítsunk egy elválasztóoldalt: 6. A Printers mappában válasszuk ki a megfelelő nyomtató ikonját 7. A File menüben klikkeljünk a Properties-re A nyomtatonév Properties dialógusablak jelenik meg. A General fül az aktív 8. Klikkeljünk a Separator Page-re A Separator Page dialógusablak jelenik meg. 9. A Separator Page dobozba írjuk be a nevét az elválasztóoldal filenak, vagy klikkeljünk a Browse-ra és válasszuk ki a kívánt file-t, majd klikkeljünk az Open-re. 10. Klikkeljünk az OK-ra, majd ismét az OK-ra Jó tanácsok A hálózati nyomtatók beállításánál érdemes megfogadni a következő tanácsokat: Használjuk ugyanazokat az irányelveket mint más erőforrások megosztásánál. Hozzunk létre egy „Printer Users” lokális csoportot Print jogosultsággal, majd vegyünk fel globális csoportokat ebbe a lokális csoportba. Vegyük el a Print jogosultságot az alapértelmezett Everyone csoporttól és adjuk oda a inkább a beépített Users
csoportnak. Ezáltal korlátozhatjuk a nyomtatók használatát az általunk létrehozott felhasználókra. Osszuk szét az adminisztratív tevékenységet. Ha a biztonság nem fontos szempont, adjunk egy felhasználónak Manage Documents jogosultságot, vagy vegyuk fel a Print Operators csoportba, hogy kezelje a nyomtatót. A nyomtatót lezárható szobába tegyük, ha rajta bizalmas információkat is nyomtatunk. Ugyanakkor csak az Administrators csoport tagjainak engedélyezzük a nyomtató kezelését. A nyomtatókészlet nyomtatóit fizikailag tegyük egymás mellé. Így a felhasználóknak nem kell külön helyiségekben keresgélniük a dokumentumaik után. Több nyomtatónál használhatunk különböző ütemezéseket, hogy csökkentsük a nyomtató leterhelését a csúcsórákban. A terjedelmes dokumentumokat nyomtató felhasználók anyagait, akiknek a dokumentumai nem sürgősek ütemezzük az éjszakai órákra. Dokumentáljuk a hálózati
nyomtatókat és a hozzájuk rendelt jogosultságokat. Ez segít nyomon követni a változtatásokat Laborgyakorlat 11 Kérdések: 6. Mi a különbség a nyomtató (printer device) és a nyomtatómeghajtó (printer) között? 7. Melyek az alapértelmezett nyomtatási jogosultságai a felhasználóknak? 8. Új nyomtatót telepített és osztott meg Mit kell tennie és miért, hogy a Windows NT 4.0-t futtató kliensei nyomtatni tudjanak? 9. Melyik a legnagyobb prioritás ami egy nyomtatóhoz hozzárendelhető? 10. Miért használünk nyomtatókészletet? 16. Hálózati nyomtatók adminisztrációja A hálózati nyomtatókat adminisztrálhatjuk helyileg, vagy távolról a hálózaton keresztül. Az adminisztratív tevékenység a következőket foglalja magába: Dokumentumok kezelése, ami a könetkező tevékenységekből áll: - dokumentum törlése - dokumentum prioritásának a megváltoztatása - bejelentés beállítása - a nyomtatás idejének a beállítása
Nyomtatók kezelése, ami a könetkező tevékenységekből áll: - a nyomtatás szüneteltetése és újraindítása - dokumentum átirányítása - nyomtató kiürítése - a nyomtató tulajdonjogának átvétele A nyomtatással kapcsolatosan problémák azonosítása A nyomtatók adminisztrálásához a Full Control nyomtatási jogosultság szükséges. Ez a jogosultsága az Administrators, Print Operators, Server Operators, vagy Power Users csoportok tagjainak van meg. A következő táblázat a Print Operators, Server Operators és Power Users csoportok beépített jogosultságait tartalmazza a nyomtatással kapcsolatban. Csoport Beépített jogosultságok Print Operators és Nyomtatók hozzáadása és törlése Server Operators Nyomtatók megosztása Nyomtatók tulajdonjogának az átvétele Power Users Nyomtatók hozzáadása és törlése Nyomtatók megosztása Nyomtatók tulajdonjogának az átvétele A nyomtatás folyamata A nyomtatási folyamat áttekintése
segít a nyomtatók kezelésében. Például a Windows NT-ben egy sorkezelő működik a prin server-en, amelyik feldolgozza és ütemezi a nyomtatni való dokumentumokat. Ha egy dokumentum beragad a sorkezelőbe, szükség van a sorkezelő leállítására és újraindítására. Windows NT és Windows 95 alapú kliensek Ezek a kliensek rendelkeznek egy kiegészítő sorkezelővel a kliens gépen. Amikor a felhasználó elküldi nyomtatásra a dokumentumát, a következők történnek: 4. A nyomtatómeghajtó részben feldolgozza a dokumentumot egy a nyomtató által elfogadható formára. 5. A dokumentum a kliens gép sorkezelőjébe kerül, ahol addig marad amíg a print server sorkezelőjében lesz elég hely a számára. 6. A print server sorkezelője befejezi a dokumentum feldolgozását A dokumentum mindaddig a várakozási sorban marad, amíg a nyomtató elérhetővé válik és kinyomtatja. Más kliensek esetében sorkezelő csak a print server-en van. Miután a felhasználó
elküldi a dokumentumát nyomtatásra, a következők történnek. 3. A nyomtatómeghajtó teljes mértékben feldolgozza a dokumentumot a nyomtató számára elfogadható formára 4. A dokumentum a nyomtatási sorban vár amíg a nyomtató felszabadul, majd pedig ki lesz nyomtatva. Megjegyzés A nem Microsoft alapú kliensek esetében a megfelelő szolgáltatásnak nűködnie kell a print server-en. Dokumentum törlése Szükséges lehet egy dokumentumot törölni, még mielőtt nyomtatásra kerülne. Például, ha a dokumentumnak nem megfelelő a nyotatóbeállítása, inkább töröljük ki Más felhasználó dokumentumának a törléséhez Full Contrl, vagy Manage Documents jogosultság szükséges. A print jogosultságú felhasználók csak a saját dokumentumaikat törölhetik ki. Egy dokumentum törléséhez: 4. A Startmenüben klikkeljünk a Settings-re, majd pedig a Printers-re A Printers mappa jelenik meg. 5. Klikkeljünk duplán a megfelelő nyomtató ikonjára A
Nyomtatónév dialógusablak jelenik meg. 6. Klikkeljünk a kívánt dokumentumra, majd nyomjuk meg a Delete gombot A dokumentum eltünik a Nyomtatónév dialógusablakból. Egy dokumentum visszavonásához: 3. A printers mappában klikkeljünk duplán a megfelelő nyomtató ikonjára. A Nyomtatónév dialógusablak jelenik meg 4. Válasszuk ki a megfelelő dokumentumot és a Document menüben klikkeljünk a Cancel parancsra. Bejelentések, prioritások és nyomtatási idők beállítása A nyomtatási feladatok ellenőrízhetőek bejelentések prioritások és nyomtatási idők beállításával. Egy dokumentum ezen tulajdonságainak beállításához a felhasználónak Full Control,vagy Manage Documents jogosultsággal kell rendelkezzen a megfelelő nyomtatóhoz. Bejelentések, prioritások és nyomtatási idők beállításához 6. A printers mappában klikkeljünk duplán a megfelelő nyomtató ikonjára. A Nyomtatónév dialógusablak jelenik meg 7. Válasszuk ki a
dokumentumot, amelyiknek a tulajdonságait változtatni szeretnénk. 8. A Document menüben klikkeljünk a Properties-re. A DokumentumnévProperties dialógusablak jelenik meg ahol a General fül az aktuális. 9. Klikkeljünk a megfelelő parancsra az alábbi táblázat alapján Hogy Bejelentések beállításáho z Járjunk el így A Notify dobozba írjuk be a felhasználói nevét annak akinek vennie kell majd ezt a megjegyzést Ilyen helyzetekben Akkor változtassunk rajta, ha más felhasználóhoz isel kell juttatni ezt a megjegyzést, mint az aki majd ki fogja nyomtatni a dokumentumot. Dokumentum Mozgassuk a nyilat a A prioritást úgy állítsuk be, prioritásána kívánt prioritás irányába hogy a kritikus azaz a fontos k a 1-től 99-ig. dokumentumok más dokumentumok megváltoztat előtt legyenek kinyomtatva. ása Az Only From és a To Terjedelmes Nyomtatás dokumentumokhoz idejének dobozokba állítsuk be az állítsunk be éjszakai órákat. beállítása 10.
időintervallumot amikor a Így munkaidőben követhető dokumentumot nyomtatni helyes sorbaállításuk de akarjuk. nyomtatásuk éjjel történik. Klikkeljünk az OK-ra a a Nyomtatás szüneteltetése, folytatása és a nyomtató kiürítése Ezek a műveletek akkor válnak szükségessé, ha valamilyen nyomtatási hiba lép fel. Nyomtatás szüneteltetése, folytatása és a nyomtató kiürítése érdekében 3. A printers mappában klikkeljünk duplán a megfelelő nyomtató ikonjára. A Nyomtatónév dialógusablak jelenik meg 4. Aprinter menüben adjuk ki a megfelelő parancsot Hogy Járjunk el így Ilyen helyzetekben szüneteltess Klikkeljünk a Pause Printing Használjuk ha a nyomtatóval ük a parancsra. Egy jel valami gond van. nyomtatást jelenik meg a parancs mmellett. folytassuk a Klikkeljünk a Pause Printing Akkor használjuk, ha a fent nyomtatást gondot parancsra. A jel eltűnik említett elhárítottuk. meg a parancs mmellől. Klikkeljünk a Purge
Print Akkor használjuk ha minden kiürítsük a Documents parancsra. Minden dokumentumot nyomtatót ki akarunk a nyomtatási dokumentum eltűnik a törölni sorból. Nyomtatónév ablakból. A nyomtatást gyorsan is szüneteltethetjük úgy, hogy a nyomtatót „offline” kapcsoljuk. Dokumentumok átirányítása A dokumentumok átirányíthatóak úgy hálózati, mint helyi nyomtatóra. Ilyen akkor szükséges, ha például elromlik egy nyomtatómeghajtóhoz csatlakoztatott nyomtató. Így a felhasználóknak nem kell semmit tenniük. Amikor egy hálózaton portot adunk hozzá a rendszerhez, ezt csak egy már létező porttal tehetjük meg. Hálózaton keresztül nem hozhatunk létre,törölhetünk, vagy konfigurálhatunk portot. Ezt csak helyileg tehetjük meg. Hogy a dokumentumokat a helyi gépre irányítsuk át, rendeljünk egy portot a helyi nyomtatóhoz. Ez egy hasonló eljárás mint a helyi portok hozzárendelése a nyomtatókészlet beállításánál. Hogy egy
dokumentumot átirányítsunk: 9. A Printers mappában, válasszuk ki a megfelelő nyomtató ikonját 10. A File menüben klikkeljünk a Properties-re A nyomtatonév Properties dialógusablak jelenik meg. 11. Klikkeljünk a Ports fülre A portok aktuális konfigurációja jelenik meg. 12. Klikkeljünk az Add Port-ra A Printer Ports dialógusablak jelenik meg egy listával az elérhető nyomtató portok típusaival. 13. Klikkeljük a Local Port-ot, majd pedig a New port-ot A Port Name dialógusablak jelenik meg. 14. Az Enter a port name dobozba írjuk be az UNC nevét egy másik nyomtatónak, például: \prntsrv4HPLaser4. Az új nyomtató ugyanazt a nyomtatómeghajtót kell használja, mint az amelyikről átirányítunk. Ezenkívül még szükséges az eredeti port eltávolítása, hogy biztosak legyünk abban, hogy a dokumentumok az átirányított portra nyomtatódnak. Ha több portunk is van, a nyomtató keresni fog egy elérhető portot, abban a sorrendben amelyikben a portok
létre lettek hozva. 15. Klikkeljünk az OK-ra Nyomtató tulajdonjogának az átvétele Nyomtató tulajdonjogának az átvétele segít a nyomtató adminisztrálásában. Alapértelmezésben aki telepítette a nyomtatót az a tulajdonosa is. Ha már ezek a felhasználók nem adminisztrálják tovább a nyomtatót, akkor a tulajdonjogukat át kell adni. A következő felhasználók vehetik át egy nyomtató tulajdonjogát: Alapértelmezésben az Administrators, Print Operators, Server Operators, és Power Users csoport tagjai. Egy felhasználó, vagy egy csoport tagja aki megkapta a Ful Control jogosultságot a nyomtatóhoz. Nyomtató tulajdonjogának az átvételéért: 7. A Printers mappában válasszuk ki a megfelelő nyomtató ikonját 8. A File menüben klikkeljünk a Properties-re A nyomtatonév Properties dialógusablak jelenik meg. 9. Klikkeljünk a Security fülre 10. Klikkeljünk az Ownership-re Az Owner dialógusablak jelenik meg 11. Klikkeljünk a Take
Ownership-re, a Security fül tér vissza 12. Klikkeljünk az OK-ra A Windows NT megváltoztatja a nyomtató tulajdonjogát, az új tulajdonos az aktuális felhasználó lett. Nyomtatási problémák azonosítása A következő táblázat a gyakrabban előforduló problémáat és megoldásaikat tartalmazza. Probléma Lehetséges oka Megoldása A felhasználó egy A felhasználónak nincs Változtassuk meg a „Access Denied” meg a megfelelő felhasználó üzenetet kap amikor jogosultsága, vagy hogy jogosultságait, megpróbálja a megváltoztassa be neki a a állítsuk nyomtatót beállítani nyomtató beállításait. nyomtatót egy alkalmazásban (Pl. Excel-ben) A dokumentum nem Nem ki a megfelelő a Cseréljük nyomtatódik helyesen, nyomtatómeg-hajtó. meghajtót. vagy elferdítve jön ki a nyomtatóból. A merevlemez akadozva Nincs elég hely a Szabadítsunk fel indul és a dokumentum lemezen a helyet a lemezen, vagy nem éri el a print sorbaállítshoz tegyük a
nyomtatási server-t sort egy másik partícióra. Nem lehet a server-en A sorkezelő lefagyott Indítsuk el a Control nyomtatni. Panel Services Dokumentumok vannak a programját, állítsuk nyom-tatási sorban, de le a sorkezelő nem nyomtatódnak ki és szolgáltatást(spooler nem is törölhetök. service), majd indítsuk újra el. A hiba okának a meghatározásáért: 5. Nézzük meg hoy a nyomtató működik-e, illetve próbáljuk ki, hogy egyes felhasználók tudnak-e nyomtatni. 6. Nézzük meg,hogy a nyomtató és a nyomtatómeghajtó illenek-e egymáshoz. 7. Vizsgáljuk meg, hogy a nyomtatószerver működik-e és hogy van e rajta elég szabad lemezterület nyomtatási sornak. 8. Vizsgáljuk meg, hogy a klienseknek megfelelő-e a nyomtatómeghajtójuk. Laborgyakorlat 12 Kérdések 5. Amikor egy Windows NT-t futtató kliens nyomtat, hol várakozik a dokumentuma a saját gépén, addig amíg hely lesz a print server-en? Hova megy, hova kerül a print server-en. 6. Miért
szükséges egy nyomtató tulajdonjogát átvenni? 7. Milyen nyomtatási jogosultságokkal kell rendelkezzen egy felhasználó, hogy megváltoztathassa egy másik felhasználó dokumentumának a prioritását? 8. Milyen software komponenseket ellenőríz, amikor egy felhasználó dokumentuma nem nyomtatódik ki? 16. Események és erőforrások auditálása A Windows NT-ben az auditálást a felhasználók aktivitásának és a rendszer eseményeinek a nyomonkövetésére használják. Az auditálás által meghatározható az, hogy milyen események kerüljenek naplózásra. Az auditálás bejegyzései a következő információkat trtalmazzák: az esemény bekövetkezett a felhasználó hol hajtotta végre azeseményt a dátuma és az ideje a bekövetkezett eseménynek. Az audit policy-t, vagy audit korlátozásállományt arra használjuk, hogy kiválasszuk azokat a tartomány biztonsága szempontjából fontos eseményeket, amelyeket rögzíteni, naplózni akarunk.
Ezután az esemény ha bekövrtkezik, beíródik a tartományvezérlő biztonsági naplójába is. Ezáltal követhetőek a biztonság szempontjából fontos események. A Windows NT Workstation-t illetve a Windows NT Server-t ami nem tartományvezérlő, futtató számítógépek audit policy file-jai csak az illető számítógép biztonságát szabályozzák. Egy tartományban bevezethetjük az auditálást azért, hogy: • nyomon kövessük a sikeres, vagy sikertelen eseményeket, mint például a belépés, a felhasználó kísérlete egy file olvasására, változtatások a felhasználói fiókokban, vagy csoportokban és a policy file-okban • kiküszöbölhessük vagy a minimálisra csökkentsük az erőforrások engedély nélküli használatát. Az Event Viewer programot arra használjuk, hogy megnézzük az auditált események naplóját. Az eseménynaplókat archiválhatjuk. Így visszamenőlegesen is meghatározható az, hogy ki használta illetéktelenül
az erőforrásokat. Audit Policy (korlátozásállomány) tervezése Amikor korlátozásállományt tervezünk, vegyük figyelembe a következőket: Állapítsuk meg a megfigyelni kívánt eseményeket, mint: • File és könyvtár használata • Felhasználók bejelentkezése és kijelentkezése • A Windows NT server indítása és leállítása • Felhasználók és csoportok változásai • A biztonsági policy-k változásai, mint például a belépési korlátozások. Állapítsuk meg, hogy mi kerüljön naplózásra, a sikeres, vagy a sikertelen művelet. A sikeres műveletek figyelése megmutathatja, hogy milyen sűrűn használnak bizonyos file-okat, vagy nyomtatókat. Ezt az információt aztán használhatjuk az erőforrások tervezésénél. A sikertelen műveletek figyelése a biztonság hibáira hívhatja fel a figyelmünket. A közepes és nagy biztonságú hálózatokon a következőket ajánlott megfigyelni: • A felhasználók belépésének
sikerességét és sikertelenségét. • Az erőforrások használatát. Hotározzuk meg azt, hogy szükséges-e a trendeket megfigyelnünk. Ha igen akkor meg kell terveznünk a naplófile-ok archiválását. Megjegyzés A túl sok esemény figyelése és naplózása túlterheli a rendszert. Ha a szerverünknek amúgy is nagy a kihasználtsága, igyekezzünk az auditálást a minimumra csökkenteni. Audit Policy implementálása Az audit policy számítógép alapú. Például, hogy auditáljuk az elsődleges tartományvezérlő eseményeit, mint a felhasználó belépését vagy a felhasználói fiókon eszközölt változtatásokat, egy audit policy-t kell beállítanunk az elsődleges tartományvezérlőn. Ha a tartomány egy másik számítógépén akarunk auditálni, például egy filehoz való hozzáféréseket egy tagszerveren, akkor egy audit policy-t kell implementálni a tagszerveren. Az események a helyi számítógépen lesznek naplózva, de megnézhető
bármelyik számítógépen egy adminisztratív jogosultsággal rendelkező felhasználó által. Az auditálás feltételei A következő feltételeket kell teljesítenünk az auditálás adminisztrálása és implementálása érdekében: A tartományvezérlőkön csak az Administrators csoport tagjai kezdeményezhetik a file-ok, könyvtárak, vagy a nyomtatók auditálását. Nem tartományvezérlőn a helyi számítógép Administrators csoportjába tartozó felhasználó kezdeményezheti az auditálást. Alapértelmezésben a Manage Auditing and Security Log jog csak az Administrators csoportnak van meg. Az Administrators és a Server Operators csoport tagjai megnézhetik és arhiválhatják a naplófile-okat, illetve további adminisztratív tevékenységeket folytathatnak, ha az auditálás már korábban el volt indítva. File-okat és könyvtárakat csak NTFS köteteken lehet auditálni. Az auditálás folyamata Az auditálás engedélyezése egy
kétlépcsős folyamat: • Az audit policy beállítása és a figyelni kívánt események kiválasztása. • Az auditálni kívánt események meghatározása a file-okhoz, könyvtárakhoz és nyomtatókhoz. Audit Policy meghatározása Az első lépés az audit policy meghatározásakor az auditálni kívánt események kiválasztása. Egy tartomány auditálásának az engedélyezéséért: 5. Indítsuk el a User Manager for Domains programot 6. A Policy menüben klikkeljünk az Audit-ra. Az Audit Policy dialógusablak jelenik meg. 7. Klikkeljünk az Audit These Events rádiógombra, majd válasszuk ki a megfelelő Success és Failure választónégyzeteket. Esemény típusa Leírás Logon and logoff Felhasználó belépése, vagy kilépése, illetve hálózati kapcsolat létesítése vagy bontása egy szerverrel. File and Object Egy felhasználó használt egy file-t, könyvtárat, Access vagy nyomtatót amely megfigyelés alatt állt. Ez az esemény ki kell legyen
választva az audit file-ban vagy a nyomtató erőforráson Use of User Rights A felhasználóhoz rendelt jogosultságok, kivéve a belépési és a kilépési jogosultságot User and Group A felhasználói fiókokkal és csoportokkal végzett Management műveletek (létrehozás, törlés, módosítás, átnevezés, letiltás, engedélyezés, jelszó beállítása vagy megváltoztatása.) Security Policy Azok a változtatások amelyek a felhasználói Changes jogosultságokra, auditálásra, vagy a trust kapcsolatokra vonatkoznak Restart, Shutdown, A felhasználó leállítja, vagy újraindítja a and System számítógépet, vagy olyan esemény történt ami érinti a rendszer biztonságát vagy a naplófile-t. (például a naplófile megtelt és nem lehet bele új bejegyzést eszközölni.) Process Traking Részletes információ különböző eseményekről mint például program indítása 8. Klikkeljünk az OK-ra, ha beállítottuk a kívánt kapcsolókat File-ok és
könyvtárak auditálása Ha egyedi file-okat vagy könyvtárakat akarunk auditálni, meg kell határozzuk azokat az eseményeket, amelyeket meg akarunk figyelni. File-ok és könyvtárak auditálásához: 11. Indítsuk el a Windows NT Exploret és válasszuk ki az auditálni kívánt file-t vagy könyvtárat. 12. A File menüben klikkeljünk a Properties-re 13. klikkeljünk a Security fülre 14. Klikkeljünk az Auditing-ra A File Auditing, vagy a Directory Auditing dialógusablak jelenik meg. 15. Könyvtár auditálásakor az auditálás alapértelmezésben csak a könyvtárra és a benne lévő file-okra vonatkozik. Ha szükséges, tegyük meg a következőket. Tegyük ezt Ha azt akarjuk, hogy jelöljük ki a Replace Auditing on Így az auditálás érvényes lesz a Subdirectories választónégyzetet könyvtár alkönyvtáraira is Töröljük a kijelölést a Replace Az auditálás csak a könyvtár fileAuditing on Subdirectories jaira lesz érvényes. választónégyzetből 16.
Klikkeljünk az Add-ra Az Add Users and Groups dialógusablak jelenik meg. 17. Válasszuk ki a kívánt tartomány felhasználóit és/vagy csoportjait, azután klikkeljünk az Add-ra majd az OK-ra Fontos ha az Everyone csoportot auditáljuk a Users csoport helyett, akkor nyomon követjük az erőforrás használatát bárki által aki kapcsolódik hozzá, nem csak azok által a felhasználók által akiknek felhasználói fiókot hoztunk létre a tartományban. 18. Az Event to Audit részben, válasszuk ki a megfigyelni kívánt események sikeres vagy sikertelen teljesülését. Esemény Read Hogy nyomon kövessük File-oknál a file tartalmának, attribútumainak, jogosultságainak és tulajdonosának a megtekintését. Könyvtáraknál a filenevek, attribútumok, jogosultságok és tulajdonosok megnézését. Használjuk minden fontosabb adat esetében. Write File-oknál, a file tartalmának, vagy attribútumainak a megváltoztatását és a jogosultságok és a tulajdonos
megnézését. Könyvtáraknál, file-ok és alkönyvtárak létrehozását, attribútumok megváltoztatását, a jogosultságok és atulajdonos megnézését. Használjuk minden fontosabb adat esetében. Execute File-oknál a file attribútumainak, jogosultságainak és tulajdonosának a megtekintését és a program futtatását. Könyvtáraknál a könyvtárnevek megváltoztatását, attribútumok, jogosultságok és tulajdonosok megnézését. Nagy biztonságú hálózatokban használjuk. Delete File-ok, vagy könyvtárak törlését. Használjuk a fontosabb adatok esetében a közepes és nagy biztonságú hálózatokon Change A file-ok és könyvtárak jogosultságainak a megváltozását. Permission Használjuk a közepes és nagy biztonságú hálózatokon. s Take A file-ok és könyvtárak tulajdonosainak a megváltozását. Ownership Használjuk a közepes és nagy biztonságú hálózatokon. 19. Klikkeljünk az OK-ra, hogy visszatérjünk a Properties dialógusablakhoz 20.
Klikkeljünk az OK-ra Hogy visszavonjuk a file, vagy könyvtár auditálást egy felhasználóra, vagy csoportra • Válasszuk ki a felhasználó, vagy a csoport nevét, majd klikkeljünk a Remove parancsra. Nyomtató auditálása Amikor egy nyomtatót auditálunk, hasonlóan mint afile-oknál és a könyvtáraknál, meg kell határoznunk a megfigyelni kívánt eseményeket. Hogy egy nyomtatót auditáljunk 9. Klikkeljünk a Start menüben a Settings-re majd pedig a Printers-re 10. Válasszuk ki a megfigyelni kívánt nyomtatót 11. A File menüben klikkeljünk a Properties-re, majd válasszuk a Security fület 12. Klikkeljünk az Auditing-ra A Printer Auditing dialógusablak jelenik meg. 13. Klikkeljünk az Add-ra Az Add Users and Groups dialógusablak jelenik meg. 14. Válasszuk ki a kívánt tartomány felhasználóit és/vagy csoportjait és klikkeljünk az Add-ra, majd az OK-ra, hogy visszatérjünk a Printer Auditing dialógusablakhoz. 15. Az Events to Audit részben
válasszuk ki azokat a sikeres vagy sikertelen esemányeket, amelyeket meg akarunk figyelni. Auditált Nyomon követi a esemény Print A nyomtató használatát. Kis hálózatokban használatos. Full Control A nyomtatandó dokumentumok beállításainak a megváltoztatását, a nyomtatás szüneteltetését, újraindítását, a dokumentum törlését, átirányítását, anyomtató megosztását, vagy a tulajdonságainak a megváltoztatását. Nagy biztonságú hálózatokban alkalmazzuk Delete A nyomtatási munkák törlését Nagy biztonságú hálózatokban alkalmazzuk Change A nyomtató jogosultságainak a változását. Permissions A közepes és a nagy biztonságú hálózatokban alkalmazzuk Take Ownership A nyomtató tulajdonosnak a megváltozását A közepes és a nagy biztonságú hálózatokban alkalmazzuk 16. Klikkeljünk az OK-ra Az Event Viewer program használata Az Event Viewer információkat szolgáltat a hibákról, hibaüzenetekről, és a sikeres,vagy
sikertelen műveletekről. Ez az információ három típusú naplófile-ban tárolható. Ezek a következők: • System – hibákat, hibaüzeneteket, vagy a Windows NT által generált információkat tartalmaz. • Security – Az auditált események sikeres, vagy sikertelen eredményét tartalmazza. A felvett események az audit policy file következményeként kerülnek ide. • Application – a programok által generált hibák, hibaüzenetek, vagy információk kerülnek ide. Az eseményeket a programok fejlesztői határozzák meg. Biztonsági naplófile-ok megnézése Hogy megnézzük a biztonsági naplófile-t a helyi számítógépen: 4. Klikkeljünk a Start menüben a Programs-ra, majd az Administrative Tools-ra és ott válasszuk az Event Viewer parancsot. Az alapértelmezett rendszernapló jelenik meg. 5. A Log menüben klikkeljünk a Security-re A sikeres események egy kulcs ikonnal jelennek meg, míg a sikertelen események egy lakat ikonnal. Az esemény adatai
közt megtaláljuk a dátumot és az időt amikor az bekövetkezett, és az esemény fajtáját, mint például hozzáférés egy objektumhoz (Object Access) vagy felhasználói fiók módosítása (Account Management). 6. Egy eseményhez kapcsolódó egyéb információ megnézéséhez, válasszuk ki az eseményt és a View menüben klikkeljünk a Detail-ra. Megjegyzés: Ha a számítógépünk a kiválasztott számítógépre módemen keresztül csatlakozik, jelöljük ki a Low Speed Connection választónégyzetet. Hogy megnézzük a biztonsági naplófile-t egy távoli számítógépen: 3. A Log menüben klikkeljünk a Select Compiuter-re A Select Compiuter dialógusablak jelenik meg. 4. A Compiuter dobozba írjuk be a távoli számítógép nevét, vagy klikkeljünk duplán a tartományra, majd válasszuk ki a számítógépet a listáról. Megjegyzés: Hogy más tartomány számítógépeit láthassuk, léteznie kell a megfelelő trust kapcsolatnak a tartományok között, és a
mi tartományunk Domain Admins globális csoportja fel kell legyen véve a távoli tartomány vagy számítógép Administrators lokális csoportjába. Események azonosítása Amikor először indítjuk el az Event Viewer programot, a kiválasztott naplófileban minden regisztrált esemény automatikusan megjelenik. A megjelenített események azonban szűrhetőek is, hogy csak bizonyos fajta események jelenjenek meg a listán. Erre a Filter Events parancs használható. Az információk keresésére pedig a Find parancs használható. Hogy az eseményeket megszűrjük, vagy megkeressük: 5. Indítsuk el az Event Viewer programot 6. A Viewmenüben klikkeljünk a Filter Events, vagy pedig a Find parancsok egyikére. 7. Válasszuk ki a kereső, vagy a szűrő feltételeket Opció Leírás View from/ Csak a szűrésnél: meghatározza azokat az adatokat View trough amelyeket látni szeretnénk az eseménynaplóban. Types A látni kívánt események típusát jelöli ki. Source
Meghatározza azt a software-t vagy meghajtót, ami által generált bejegyzéseket megjeleníti. Category Kiválassza az esemény típusát a Source-on belül, például a belépési biztonság kategóriája a Logon/Logoff. User Egy bizonyos felhasználóhoz kapcsolódó események Computer Egy adott számítógéphez kacsolható események Event ID Az esemény azonosítószámát használja a válogatásra Description Csak a keresésné: Mehatározza azt a szöveget ami az esemény leírásában szerepel. 8. Klikkeljünk azOK-ra A biztonsági napló arhiválása Az eseménynaplók arhiválásával trendeket figyelhetünk meg a rendszerben. A trendek megfigyelése segít az erőforrások kihasználtságának a meghatározásában, illetve az erőforrások engedély nélküli használóinak a felderítésében. Az eseménynaplók beállításai Amikor az eseményeket kiválasztjuk az auditálásra, szükséges meghatároznunk azt is, hogy mekkora lehet a naplófile mérete, ha a
naplófile eléri ezt a méretet, több esemény már nem naplózható. Az Event Log Settings dialógusablakban a következő bellítási lehetőségeink vannak. • A naplófile maximális mérete (alapértelmezés=512K) • Hogyan legyenek naplózva az események. A következő lehetőségeink vannak: • Overwrite Events as Needed • Overwrite Events Older than x Days:írjuk be a napok számát • Do Not Overwrite Events ha ezt választjuk, magunknak kell a naplófile-t kiüríteni miután arhiváltuk. Hogy arhiváljuk, kiürítsük, vagy megnézzünk egy arhivált naplófile-t 3. Klikkeljünk a Start menüben a Programs-ra, majd az Administrative Tools-ra és ott válasszuk az Event Viewer parancsot. 4. A Log menüben állítsuk be a következő parancsokat A Log menüben Azért hogy arhiváljuk az klikkeljünk a Save As parancsra majd adjuk eseménynaplót meg a file nevét. kiürítsük a naplófile-t klikkeljünk a Clear All Events parancsra. Ez egy bejegyzést eredményez a
naplóba amiből kitűnik, hogya napló ki lett ürítve. megnézzünk egy arhivált klikkeljünk az Open parancsra, majd adjuk meg naplót a file nevét és elérési útját. Jó tanácsok Az erőforrások és események auditálásánál érdemes betartani a következőket: • Olyan audit policy-t készítsünk ami hasznos és kezelhető. Csak azokat az eseményeket kövessük nyomon amelyek hasznos információt adnak a hálózatunkról. Ezáltal csokkentjük a server erőforrásainak a terheltségét és hamarabb megtalálhatjuk a keresett információkat. • Alacsony és közepes biztonságú környezetben, kövessük a megfelelő sikeres eseményeket, ha szükségünk van egy erőforrás leterheltségének a meghatározására. A nagy biztonságú rendszerekben kövessünk minden sikeres eseményt. • Alacsony és közepes biztonságú környezetben, kövessük a sikertelen eseményeket, hogy figyelmeztessen bennünket az esetleges biztonsági résekre. A nagy
biztonságú rendszerekben kövessünk minden sikertelen eseményt. • Mindíg auditáljuk a bizalmas jellegü adatokat. • Auditáljuk az Everyone csoportot a Users csoport helyett. Ez biztosítja azt, hogy bárki, aki a hálózatunkra csatlakozik meg lesz figyelve, nem csak azok a felhasználók akiknek felhasználói fiókot hoztunk létre a tartományban. • Készítsünk határidőnaplót az audit file-ok megnézésére és ezt a tevékenységet rendszeresen végezzük el int az adminisztratív tevékenység részét. • Arhiváljuk rendszeresen a naplófile-okat. Ez hasznos az erőforrások tzervezésénél. Laborgyakorlat 13 Kérdések 6. Melyik számítógépről állíthatjuk be az audit policy-t, hogy figyelje egy tartományban a belépéseket? 7. Melyik számítógépről állíthatjuk be az audit policy-t, hogy figyeljen egy könyvtárat egy Windows NT Workstation-t futtató számítógépen, amely számítógép a tartomány része. 8. Milyen eseményeket kell
beállítanunk az Audit Policy dialógusablakban, mielőtt file-okat, könyvtárakat és nyomtatókat auditálunk? 9. Hol kezdeményezzük az auditálást? 10. Hol adminisztrálhatjuk az auditálást? 10. Hálózati erőforrások monitorizálása Miért monitorizáljuk az erőforrásokat? Az erőforrásokat azért monitorizáljuk, hogy hozzáférjünk az erőforráshoz és aztán kezelni tudjuk az erőforrás használatát a hálózat szerverein. Például, láthatjuk ha egy felhasználó kapcsolódott egy file-hoz, miközben egy másik felhasználó is megpróbál kapcsolódni. lyenkor üzenetet küldhrtünk a felhasználónak aki használja a file-t, hogy egy másik felhasználó is szeretné azt használni. Server manager A Server Manager program lehetőséget ad arra, hogy láthassuk és elvégezhessük úgy a helyi mint távoli számítógépeken a következő műveleteket: • Megnézni és kilistázni a kapcsolódott felhasználókat • Megnézni és adminisztrálni a
megosztott erőforrásokat • Megnézni és megnyitni az erőforrásokat • Üzenetet küldeni a kapcsolódott felhasználóknak • Listát készíteni azokkal afelhasználókkal, akik meg kell kapják a Windows NT rendszerüzeneteit A következő táblázat a Server Manager használatának a feltételeit tartalmazza: Adminisztrálhatják A következő csoportok tagjai A kiválasztott tartomány A szervereket és a Administrators vagy Server munkaállomásokat a kiválasztott Operators csoportok tagjai tartományban A kiválasztott számítógép A tagszervereket, vagy a Administrators vagy Power Users munkaállomásokat csoportjának a tagjai Windows NT Diagnostics Ez a program egy grafikus felületet támogat és általa információkat láthatunk a számítógép hardware – és operációs rendszeréről. Arra használjuk, hogy információt gyűjtsünk a hardware és memóriaproblémák elhárótására. Számítógép tulajdonságainak a monitorizálása Hogy
elindítsuk a Server Manager-t • Klikkeljünk a Start menüben a Programs-ra, majd azAdministrative Tools-ra, majd a Server Manager-re. A Server Manager-ben a következő információk jelennek meg az aktuális tartományra: • A számítógép neve, operációs rendszere és cerziószáma amit futtat. • Egy ikon ami azt mutatja, hogy melyik számítógép tartománívezérlő, szerver, vagy munkaállomás. • Ha a számítógép nem működik, az ikonja elhalványulva jelenik meg. • Egy leírás (magyarázószöveg, amit a felhasználó ad meg) Ezen a listán a tartomány minden számítógépét láthatjuk amelyik Windows NT-t futtat, de sokgépes hálózatokon lehetőség van arra, hogy kiszűrjük csak a szervereket, vagy csak a munkaállomásokat a View megfelelő parancsával. Hogy megnézzük egy számítógép tulajdonságait: 4. Hogy egy más tartomány számítógépét láthssuk, a Computer menüben klikkeljünk a Select Domain parancsra. 5. Klikkeljünk duplán a
számítógép nevére, hogy láthassuk a tulajdonságait A következő táblázat a Properties for Számítógépnév dialógusablak információit írja le: Információ Session Open Files File Locks Leírás A számítógéphez távolról csatlakozó felhasználók száma A számítógépen megosztott és megnytott erőforrások száma A számítógépen a felhasználók által zárolt file-ok száma Open Named Pipes A számítógépen megnyitott bitcsovek száma 6. Klikkeljünk a megfelelő gombra, hogy láthassuk a felhasználók kapcsolódásait és a használt erőforrásokat. Felhasználók monitorizálása Ha az Users gombot lenyomjuk, információkat kaphatunk a felhasználók tevékenységéről. Megtehetjük, hogy: • megnézzük a számítógéphez a hálózaton keresztül kapcsolódott felhasználókat, illetve azokat a megosztott könyvtárakat, amelyekhez kapcsolódtak • megnézzük ast, hogy milyen file-okat nyitottak meg • lekapcsoljuk a felhasználót a
számítógépről. Ez az információ fontos akkor amikor meg akarjuk határozni azt, hogy melyik felhasználónak üzenjünk, ha szükségessé válik a Server szolgáltatás leállítása a mentési, vagy visszaállítási műveletek idejére, illetve azért, hogy a tudomására hozzuk azt, hogy másnak is szüksége lenne az általa használt file-ra. Hogy egy felhasználó tevékenységét megnézzük: • A Properties for számítógépnév dialógusablakban klikkeljünk a Usersre. A következő táblázatban a megjelenő Connected Users dialógusablak információit írjuk le. Információ Connected Users Computer Opens Leírás A kapcsolódott felhasználók nevei A számítógép neve, amelyen a felhasználó bejelentkezett. Az erőforrások száma, amelyeket a felhasználó megnyitott erről a számítógépről. Time A kapcsolat létesítésétől kezdve eltelt idő. Idle Az azóta eltelt idő, hogy a felhasználó utoljára használta az erőforrást. Guest Ha a
felhasználónak Guest státusza van a számítógépen. Ha kiválasztunk egy felhasználót, a megosztott erőforrás amelyhez a felhasználó kapcsolódik, meg fog jelenni a Resource részben, látni fogjuk az erőforrás nevét, a file-ok számát, amelyeket a felhasználó megnyitott, és az eltelt időt ami az erőforrás első megnyitásától számítódik. Felhasználók lekapcsolása Lekapcsolhatunk egy, vagy akár minden felhasználót is: • Azonnal alkalmazza aváltoztatásokat egy csoport tagságára és a megosztott erőforrásra és NTFS jogosultságokra • Szabadítsa fel a nem használt kapcsolatokat a Windows NT Workstation-t futtató számítógépeken. A Windows NT Workstation csak 10 kapcsolatot engedélyez egy időben. • Lekapcsolja a szervert. Hogy egy felhasználót lekapcsoljunk • Egy felhasználó lekapcsolásához, válasszuk ki a felhasnálót, majd klikkeljünk a Disconnect parancsra. • Minden felhasználó lekapcsolásához, klikkljünk a
Disconnect All parancsra. Figyelem a felhasználókat mindíg értesítsük a server szolgáltatás leállításáról és győződjünk meg arról, hogy file-ok nincsenek megnyitva akkor amikor a server szolgáltatást leállítjuk, vagy magát a server-t lekapcsoljuk, ellenkező esetben a felhasználók adatokat veszthetnek. Megosztott erőforrások monitorizálása A Shares gomb megnyomásával megkapjuk a számítógép megosztott erőforrásainak a listáját és az ezekhez kapcsolódó felhasználókat. Használjuk ezt a gombot, hogy: • megtudjuk, elértük-e a maximális felhasználószámot ami az erőforráshoz kapcsolódhat. Ennek akkor van értelme, ha egy felhasználó nem tud kapcsolódni a megosztott erőforráshoz. • Felhasználókat kapcsoljunk le. Ha a felhasználó kikapcsolja a számítógépét anélkül, hogy kijelentkezett volna a hálózatból, a kapcsolat érvényes marad. Figyelem a felhasználókat mindíg értesítsük a szétkapcsolásról, nehogy
adatokat veszítsünk. Hogy megnézzünk egy megosztott erőforrást: • A Properties forszámítógépnév dialógusablakban klikkeljünk a Sharesre. A következő táblázat a Shared Resources on számítógépnév dialógusablakban megjelenő információkat magyarázza meg: Információ Jelentése Sharename A megosztott erőforrás neve. Ez lehet egy megosztott könyvtár, nyomtató, vagy bitcső (named pipe) Uses Path Connected Users Time In Use A kapcsolódások száma a megosztott erőforráshoz. A megosztott erőforrás elérési útja Az erőforráshoz kapcsolódó felhasználók nevei. Az eltelt idő azóta, hogy a felhasználó először kapcsolódott ehhez az erőforráshoz. Mely felhasználóknak vannak jelenleg nyitott file-jai ezen a megosztott erőforráson Használatban lévő erőforrások monitorizálása Az In Use gomb megnyomásával egy listát kapunk azokról a felhasználókról akik kapcsolódnak a megosztott erőforráshoz és ott file-okat nyitottak
meg. Az információ a következőkre használható: • Meghatározhatjuk, hogy egy file használva van-e. Például, ha egy felhasználó nem tud használni egy bizonyos file-t, mert azt egy másik felhasználó már megnyitotta, üzenhetünk a file használójának, hogy egy másik felhasználónak is szüksége van a file-ra. • A file bezárására. Például ha megváltoztattuk az NTFS jogosultságot a file-hoz, hogy a változtatásoknak azonnal érvényt szerezzünk, a file-t előbb be kell zárni, majd azután újra meg lehet nyitni. Hogy lássuk a használatban lévő erőforrásokat: 3. A Properties for számítógépnév dialógusablakban klikkeljünk az In Use gombra. A következő táblázat a megjelenő Open Resources for számítógépnév dialógusablak információit írja le: Információ Open Resources Jelentése A megnyitott erőforrásk száma a számítógépen (file-ok, nyomtatók, bitcsövek) File Locks A zárolt file-ok száma a megnyitott erőforrásokon
Opened by Annak a felhasználónak a neve aki megnyitotta az erőforrást Locks Ugyanannak a felhasználónak a zárolásai az erőforráson For Az érvényes jogosultságok az erőforrás megnyitásakor Path A megnyitott erőforrás elérési útja 4. Klikkeljünk a Refresh-re, hogy aktualizáljuk a megnyitott erőforrások listáját. Ez az ablak nem aktualizálódik automatikusan Hogy egy erőforrást lezárjunk • Ha egy erőforrást akarunk lezárni, válasszuk ki az erőforrást, majd klikkeljünk a Close-ra. Minden erőforrás leuárásáért, klikkeljünk a Close All Resources-ra. Adminisztratív riasztások beállítása Az Alert gomb arra használható, hogy létrehozzunk egy listát azokról a felhasználókról vagy számítógépekről akiknek venniük kell egy a Windows NT operációs rendszere által generált hibaüzenetet, mint például biztonsági, vagy hozzáférési problémák, felhasználókkal, vagy nyomtatókkal kapcsolatos problémák. Például, ha azt
akarjuk, hogy az Administrators csoport értesüljön amikor az áramellátás kimarad egy bizonyos számítógépen, tegyük a következőket: 5. A Properties for számítógépnév dialógusablakban klikkeljünk az Alert-re. 6. A New Computer or Username dobozba, írjuk be a számítógép, vagy a felhasználó nevét. 7. Klikkeljünk az Add-ra és a beírt név felkerül a Send Administrative Allerts To listára. 8. klikkeljünk az OK-ra A riasztásokat csak a Windows NT Alert szolgáltatása generálja. Az alkalmazások által generált hibaüzenetekre a fentiek nem vonatkoznak. Üzenet küldése a felhasználóknak Bármikor lehetőségünk van üzenetet küldeni bármelyik felhasználónak akármelyik számítógépen, ha korlátozódik egy szerver, vagy egy erőforrás elérhetősége. A következő esetekben indokolt egy felhasználónak üzenetet küldeni: • Ha egy mentési, vagy egy visszaállítási műveletet kezdünk el. • Ha lekapcsolunk egy felhasználót egy
erőforrásról. • Software, vagy hardware frissítést végzünk. • Kikapcsoljuk a szervert. Hogy üzenetet küldjünk minden felhasználónak aki a számítógéphez kapcsolódik 5. Indítsuk el a Server Manager-t 6. A Computer oszlopban, válasszuk ki a megfelelő számítógépet 7. A Computer menüben klikkeljünk a Send Message parancsra A Send Message dialógusablak jelenik meg. 8. Írjuk be az üzenetünket, majd klikkeljünk az OK-ra Megjegyzés A Messenger szolgáltatásnak működnie kell ahhoz, hogy az üzeneteket elküldhessük. Ez a szolgáltatás alapértelmezésben elindul A Windows 95-öt futtató számítógépen futnia kell a WinPopUp.exe – nek, hogy az üzeneteket venni lehessen. A rendszerkonfiguráció megnézése A Windows NT Diagnostics egy olyan eszköz ami használható információk gyűjtésére a számítógép hardware és software konfigurációjáról, és egy grafikus felületet támogat, hogy könnyen lássuk, vagy kinyomtathassuk ezt a
konfigurációt. Hogy elindítsuk a Windows NT Diagnostics programot: • Klikkeljünk a Start menüben a Programs-ra, majd az Administrative Tools-ra és ott válasszuk az Windows NT Diagnostics parancsot. A következő táblázat összefoglalja a megjelenő információkat: Informáci Leírás ó Version Az operációs rendszer jellemzői, mint verziószám, service pack száma és ajogosult felhasználó azonosítója. System ROM BIOS és CPU információk, beleértve a mikroprocesszor típusát és aprocesszorok számát is a számítógépen. Display A videókártya és a videómeghajtó jellemzői Drives Az elérhető meghajtók és azok típusai, beleértve a hajlékonylemezmeghajtókat, CD-ket, merevlemezeket és hálózati meghajtókat is. Memory A fizikai és virtuális memoria jellemzői. Adatokat találunk a virtuális memória helyéről, az összes memóriáról, az elérhető memóriárólés a memória betöltöttségi mutatójáról. A szolgáltatások listája a
Current Control Set-ben analóg a Services működő (running) vagy leállított (stopped) státuszokkal. Resources Aktív eszközök és részletek minden erőforrásról, inkluszív a direkt memóriahozzáférés (DMA), megszakítások (IRQ), memória és port információk. Ez a lista rendezhető Environme Környezeti változók a környezeti folyamatokhoz (hasonlóan a parancssori set parancshoz), rendszer és felhasználói nt környezethez. Network Hálózat beállítási információk, beleértve az aktuális hálózati statisztikát. Megjegyzés Hogy egy másik számítógép „diagnosztikáját” megnézzük, vagy kinyomtassuk egy több tartományból álló hálózaton, a File menüben klikkeljünk a Select Computer parancsra. Jelentés nyomtatása A jelentéstelkészíthetjük egyes füleken, vagy pedig minden fülön. Hogy kinyomtassuk és elmentsük a jelentést • A File menüben adjuk ki a Print Report parancsot. A következő táblázat a beállítható
paramétereket írja le. Parancs Leírás Scope Kinyomtatja az aktuális fülön, vagy minden fülön található infomációt. Detail Level Részletes, vagy tömör jelentés beállítása Destination Az információkat egy file-ba, a vágólapra, vagy a nyomtatóra írja ki. • A File menüben klikkeljünk a Save Report-ra. Jó tanácsok • Telepítsük a Windows NT Administrative Tools programot a Windows NT Workstation-t és a Windows 95-öt futtató kliensekre is (a Windows NT Server CD-jén a ClientSrvtools könyvtárban található). Ezáltal lehetővé válik a Windows NT Server-t futtató számítógépek adminisztrálása a kliens gépekről. • Mindíg értesítsük a felhasználókat a szerver leállításáról. A felhasználók adatokat veszthetnek, ha lekapcsoljuk a szervert, miközben nekik megnyitot file-jaik vannak az illető szerveren. • Ugyanazon okok miatt értesítsük a felhasználókat mielőtt szétkapcsolnánk őket egy erőforrástól. • Állítsuk be
az adminisztratív riasztások küldését azoknak a felhasználóknak, akik felelősek a szerver karbantartásáért. Laborgyakorlat 14 Kérdések 5. Milyen eszközt használunk a hálózati erőforrások monitorizálására? 6. A számítógép milyen tulajdonsága kezelhető a Server Manager programmal? 7. Mi a különbség az Alerts opció és a Send Message között? 8. Milyen eszközt használhatunk egy jelentés készítésére a hardware konfigurációról? 11. Adatok mentése és visszaállítása A Microsoft Windows NT Backup programja egy grafikus eszköz ami az adatok mentésére és visszaállításárs használható az NTFS és FAT köteteken. Természetesen kézileg is végezhetünk mentéseket, vagy ütemezhetünk egy egyedi mentést. Az adatok mentéséhez és visszaállításához: • A szalagos egységnek kompatibilisnek kell lenie a hardware-rel. (HCL) • A felhasználónak megfelelő jogosultsággal kell rendelkeznie. • Minden felhasználó mentheti
azokat a file-okat és könyvtárakat amelyekhez Read jogosultsága van. • Minden file és könyvtár mentéséhez a felhasználónak Backup Files and Directories jogosultságra van szüksége. • Minden file és könyvtár visszaállításához a felhasználónak Restore Files and Directories jogosultságra van szüksége. • A Backup Operators, vagy a Server Operators csoportok tagjairendelkeznek ezekkel a jogosultságokkal. Megjegyzés A Windows NT Backup nem arra van tervezve, hogy köteteket visszaállítson, mert nem szektor szinten menti az adatokat. A Windows NT Backup csak szalagos egységre támogatja a mentést. Ha más, nem szalagos egységre akarunk menteni, használjuk az MS-DOS xcopy, vagy backup parancsát. Mentési stratégia tervezése. Mielőtt adatokat mentenénk, szükséges egy stratégiának a megállapítása a szervezetünk számára, ami garantálja az elveszett adatok visszaállítását. Ilyenkor vegyük figyelembe a következőket: • Hogy melyik
file-t mentsük – általánosságban minden olyan file-t ami nem nélkülözhető • Hálózati, vagy inkább több helyi mentésst végezzünk – ez attól függ, hogy a szervezetünk számítógépei hol tárolják a menteni kívánt adatokat. • Mentsünk hálózaton keresztül, ha a kritikus adatok több szerveren vannak szétosztva Hátrányok Előnyök Az egész hálózatot menti A felhasználók a fontos adataikat a szerveren kell tartsák Kevesebb szalagos egységet ígényel A távoli számítógépek rendszerleíró adatbázisa nem menthető Kevesebb adathordozót kell Megnő a hálózat forgalma. nyilvántartani Egy felhasználó elvégezheti a Nagyobb előkészítési és tervezési műveletet munkát ígényel • Végezzünk több helyi mentést, ha a kritikus adatok a kliens gépeken vannak tárolva. Hátrányok Előnyök Kevesebb hálózati erőforrást Több szalagosegységet és szalagot ígényel ígényel A felhasználók felelősek a saját gépükön lévő
adatok mentéséért. A felhasználók általában ritkán megbízhatók. • Végezzünk helyi és hálózati mentést is, ha az adataink úgy szervereken, mint munkaállomásokon vannak szétszóródva. • Hogy milyen gyakran mentsünk – a következőktől függ: • Mennyi kritikus adata van a szervezetünknek. Igyekezzünk a kritikus adatokat minnél sűrűbben menteni. • Milyen gyakran változnak ezek az adatok. ha egy felhasználónk csak péntekenként készít egy jelentést, elégséges a heti mentés a jelentés file-ról. Ajánlott a mentéseket olyankorra tervezni amikor a hálózat forgalma kicsi. Ha a menteni kívánt file használatban van (meg van nyitva), a Windows NT, csak az utoljára mentett változatát tartja meg a file-nak. A menteni kívánt file-ok és könyvtárak meghatározása A következő irányelveket tartsuk be amikor megállapítjukazt, hogy mely file-okat mentsük. • Mindíg mentsük: • A szervezetünk működése szempontjából fontos
file-okat és könyvtárakat. • A tartományvezérlő PDC, vagy BDC Registry-jét (felhasználói adatbázisát). Minden tartományvezérlőn megtalálható a felhasználói adatbázis egy másolata a Registry-ben. Ezen információk mentése biztosítja azt, hogy ne vesszenek el a felhasználói fiókokra és a biztonságra vonatkozó adatok. Fontos A Windows NT Backup programja csak annak a számítógépnek a Registry-jét tudja elmenteni, amelyikbe a szlagos egységet szerelték. Ezért, ha lehet ezt az egységet szereljük egy tartományvezérlőbe. • Ritkábban, de mentsük el a szervezetünk számára kevésbé fontos adatokat tartalmazó file-okat is. • Ne mentsük el az időleges (temporary *.tmp) file-okat, mert ezek állandóan változnak és csak az a szerepük, hogy adatokat állítsanak vissza. A használandó mentés típusának a megállapítása A Windows NT Backup programja ötféle mentési típust támogat, amiket még mentési módszereknek is neveznek.
Az effektív mentési stratégia ezeknek a kombinálásából alakul ki. A mentés típusa A mentés eredménye Normal A kiválasztott file-ok és könyvtárak, beállítja az archiv attribútumot. Copy A kiválasztott file-ok és könyvtárak, de nem állítja be az archiv attribútumot. Incremental A kiválasztott file-ok és könyvtárak, beállítja az archiv attribútumot, de csak azok amelyek az utolsó mentés óta megváltoztak és ezt az archiv attribútum jelzi. Differential A kiválasztott file-ok és könyvtárak, de csak azok amelyek az utolsó mentés óta megváltoztak és ezt az archiv attribútum jelzi. Nem állítja be az archiv attribútumot. Daily copy Csak azokat a file-okat és könyvtárakat, amelyek a nap folyamán változtak meg. Nem állítja be az archiv attribútumot. Mentési markerek (jelzések) A Windows NT Backup programja be tudja állítani az archiv attributumait a file-oknak, amit markereknek vagy jelzéseknek is neveznek. Ez az attribútum jelzi
azt, hoga a file mentve volt Például, ha egy Differential típusú mentést alkalmazunk minden kedden és szerdán, a szerdai mentés tartalmazni fogja a keddi mentés filejait is, még akkor is ha azok nem változtak meg azóta. Ez azért van, mert a diferenciális mentés nem állítja be at archiv attribútumot. A második diferenciális mentés tehát kumulatív. Példák különböző mentési fajtákra A mentések fajtáit kombinálhatjuk. Bizonyos mentési fajták több időbe telnek, de gyorsabban lehet a visszaállítást elvégezni rójuk. Mások hamarabb végzik el a mentést, de több időbe kerül a visszaállítás. El kell döntenünk, hogy számunkra melyik az előnyösebb. A következő néhány példa ebben próbál segíteni. 4. Normal és Differential metések Hétfőn normal mentés és keddtől péntekig diferenciális mentés, ami nem változtatja meg az archiv attribútumot. Így minden diferenciális mentés elmenti a hétfői állapotokhoz képest
jelentkező változásokat. Ha egy adat megsérül pénteken, csak a hétfői és a csütörtöki mentett adatokat ahsználjuk a visszaállításhoz. Ez a stratégia sok időt ígényel a mentésre, de keveset a visszaállításra. 5. Normal és Incremental mentések Hétfőn normal mentés és keddtől péntekig inkrementális mentés, ami megváltoztatja az archiv attribútumot. Minden inkrementálismentés, csak az előző naphoz képest megváltozott, vagy új file-okat menti el. Ha egy adatfile pénteken meghibásodik, vissza kell állítanunk minden mentést hétfőtől kezdve. Ez a stratégia kevesebb időt ígényel a mentéskor, de többet a visszaállításkor. 6. Normal, Differential és Copy mentések Ez a példa hasonló mint az első pontban leírt kivéve egy copy-t (másolatot) szerdán. Mivel a másolás, a copy nem állítja az attribútumokat, ezért nem befolyásolja a megszokott mentési stratégiát. Ez akkor lehet hasznos, ha az adatokat el akarjuk valakinek
küldeni. Például ajánlott, hogy egy másolatot készítsünk magunknak amikor adatokat küldünk el például egy gazdasági ellenőrnek. Szalagok arhiválása és forgatása Egy másik fontos szempont amikor az arhiválás stratégiáját tervezzük, a szalagok forgatása. Ezáltal a szalagokat újra felhasználjuk és tehát a költségeket csökkentjük. Bizonyos szalagokat arhiválnunk kell. Az arhivált szalagok az adataink állapotát rögzítik egy bizonyos időpontban, például a negyedév végi adatok fontosak lehetnek a gazdasági auditálás szempontjából. Ha egy szalagot arhiválunk, akkor kivonjuk a forgatásból. A következőkben két példát adunk a szalagok forgatására: • A hét minden napján másik szalagot használunk. Az egyik nap, például a péntek szalagját arhiváljuk és kivonjuk a körforgásból. A következő héten hétfőtől csütörtökig ugyanazokat a szalagokat használjuk, mint az előző héten (például hétfőn a múlt hét
hétfői szalagját használjuk, stb) de pénteken új szalagot használunk, mert az előző hát péntekit arhiváltuk. • Hétfőtől csütörtökig ugyanúgy mentünk mint az előző példában, de ugyanarra a szalagra mentjük rá az előző naphoz képest a változásokat. Pénteken egy külön szalagra mentünk amit arhiválunk A következő héten ugyanazt a szalagot használjuk mint az előző héten hétfőtől csütörtökig. Megjegyzés A szükséges számú szalag nem csak az egység fordulatszámától és a mentési ciklus napjaitól függ, hanem az adatfile-ok méretétől és a szalag garantált élettartamától is. Az élettartam a gyártó és a tárolási körülmények függvénye. Mentési készletek, katalógusok és a mentési napló (Backup Log) Mielőtt nekilátnánk a mentéseknek, meg kell ismernünk, mit takar a mentési készlet, katalógus és a Backup Log fogalma. • Amentési készlet (Backup Set) a file-ok és könyvtárak azon csoportja amelyek
egy köteten találhatók és egy mentési művelethez tartoznak. Egy szalag több mentési készletet is tartalmazhat Ha egy mentési művelet több szalagot is ígényel, ezeket a szalagokat famili set-nek hívjuk. • A katalógus a mentés grafikus megjelenítése. A Windows NT automatikusan létrehozza a katalógust a mentés során és felírja a szalagra. Kétfajta katalógus van: • A szalag katalógusa, ami a szalagon lévő mentési készleteket tartalmazza. • A mentési készlet katalógusa, ami a mentett file-ok és könyvtárak listáját mutatja meg. Mielőtt helyreállítanánk file-okat először a katalógusokat kell betölteni. Azután kiválaszthatjuk a mentési készletet, file-okat és könyvtárakat amiket vissza akarunk állítani. • A mentési napló, vagy Backup Log egy szöveg-file ahova a mentési műveleteket regisztráljuk. Ez a file segíthet amikor adatokat állítunk vissza, mert kinyomtatható, vagy elolvasható egy szövegszerkesztőben. Azaz, ha
a mentési készlet a szalagon megsérül, a kinyomtatott Backup Log segít a file-ok azonosításában. A backup Log a következő információkat tartalmazhatja, attól függően, hogy milyen log opciókat választottunk: • a mentés dátuma • a szalagkészlet száma • a mentés fajtája • hol végeztük a mentést • a mentett file-okat • a mentett számítógépet • a szalagegység helye Adatok mentése A mentést magát megelőzve a Windows NT Backup progjamját használjuk, ahol elvégezzük a megfelelő beállításokat. A következőkben ezekről a műveletekről adunk áttekintést: 5. Kapcsolódjunk a távoli meghajtókhoz Ha távoli gépeken levő fileokat mentünk, először kapcsolódjunk a megosztott könyvtárakhoz, ahol ezek a file-ok találhatóak. Fontos A Windows NT a Registry-t és az eseménynaplót csak a helyi gépről tudja menteni, amelyiken a szalagegység található. 6. Ertesítsük a felhasználókat a file-ok bezárásáról a mentés
megkezdése előtt. Erre használjuk a Server Manager program Send Message parancsát. A Windows NT Backup programja nem tud menteni alkalmazások által megnyitott, vagy használt file-okat. Például, egy a Word szövegszerkesztőben éppen szerkesztett dokumentumot. Ezalól a Windows NT operációs rendszer rendszerfile-jai kivételt képeznek, azaz ezek a rendszerfile-ok menthetők. 7. Indítsuk el a Windows NT Backup programot és válasszuk ki a menteni kívánt file-okat 8. Állítsuk be a kívánt mentési opciókat Meghajtók, file-ok és könyvtárak kiválasztása Miután kapcsolódtunk a távoli meghajtókhoz és figyelmeztettük a felhasználókat, elindíthatjuk a Windows NT Backup programot és kiválaszthatjuk a menteni kívánt file-okat. Hogy elindítsuk a Windows NT Backup programot 5. Klikkeljünk a Start menüben a Programs-ra, majd az Administrative Tools-ban válasszuk a Backup-ot. A Backup dialógusablak jelenik meg. Megjegyzés Ha esetleg csak a szalagot
akarjuk letörölni, az Operation menüben adjuk ki az Erase Tape parancsot. 6. Nagítsuk ki a Drives ablakot Ez az ablak tartalmazza a helyi és a kapcsolódó hálózati meghajtókat. 7. Egy meghajtó minden file-jának és könyvtárának a kiválasztására, jelöljük ki az ikonja melletti választónégyzetet 8. Ha egy meghajtó bizonyos file-jait és könyvtárait akarjuk menteni, a Drives ablakban klikkeljünk duplán a kívánt mrghajtó ikonjára. A meghajtónév dialógusablak jelenik meg. Ebben az ablakban a meghajtó egy grafiks képe látható, ami hasonlít a Windows NT Explorer-ben megszokotthoz. Kétféleképpen választhatjuk ki a kívnt file-okat • A kívánt file-ok és könyvtárak mellett jelöljük be a választónégyzetet. • Válasszuk ki a menteni kívánt file-okat, vagy könyvtárakat, majd azután a Select menüben adjuk ki a Check parancsot. Megjegyzés Ha egy könyvtárban vagy meghajtón nem minden file-t választottunk ki, a választónégyzet a
szülőkönyvtárban, vagy a meghajtó neve mellett szürkén jelenik meg. Ez részleges kiválasztást jelez Szalag és mentési opciók beállítása Ha már kiválasztottuk a menteni kívánt file-okat és könyvtárakat, állítsuk be a szalag és a mentési opciókat. A szalag és a mentési opciók beállításához 6. A Backup dialógusablakban klikkeljünk a Backup parancsra A Backup Information dialógusablak jelenik meg. A dialógusablak felső részén a szalagra vonatkozó információk vannak, mint a szalag neve, afelírás ideje és a szalag tulajdonosa. 7. A Tape Name dobozba írjuk be a szerver nevét amit mentünk Ez a név 32 karakter hosszú lehet. Ha az Append opciót választottuk, a Tape Name doboz nem elérhető. 8. Válsszunk a következő opciókból: Opció Leírás Operation: Egy új mentési készletet ír az utolsó mentési készlet • Append után a szalagra. Minden adatot felülír a szalagon egy új mentési • Replace készlettel Verify After
Mentés utáni ellenőrzést végez. Backup Backup A Registry egy másolatát hozzáadja a mentési Registry készlethez. Ez az opció csak akkor elérhető, ha legalább egy file-t kiválasztottunk mentésre arról a kötetről, amelyik tartalmazza a rendszerleíró adatbázist. Restrict A szalagra mentett információkhoz korlátozza az Access to Administrators, és a Backup Operators csoportok illetve Owner or a mentést végző felhasználó hozzáférését. Ha a Administrator Registry-t mentjük, mindig válasszuk ki ezt az opciót. Hardware Akkor válasszuk, ha a szalagos egységünk támogatja az Compression adattömörítést, különben az opció nem elérhető. 9. A Description dobozba írjuk be a mentés jellemzőit, például: Server12DriveC. Ha több mentési készletünk is van, mindegyik mellé írhatunk ilyen jellemzőket. Használjuk a Backup Set Information dobozt, hogy a mentési készletek között közlekedjünk. 10. A Backup Type dobozban klikkeljünk a
következk egyikére: • Normal • Copy • Incremental • Differential • Daily Copy Napló, vagy Log Opciók beállítása A Backup Informationdialógusablak utolsó részében vannak a Log Information, azaz a mentési naplóval kapcsoatos információk, ahol beállíthatóak a naplófile tulajdonságai. A mentési napló beállításához 5. A Log File dobozba írjuk be a nevét annak a szövegfile-nak, amiben szeretnénk tárolni a mentési naplót. Az alapértelmezett neve a filenak a Backuplog és a systemroot (Winnt) könyvtárba lesz mentve 6. A Log Information részben válasszunk egyet az alábbi lehetőségek közül: Opció Leírás Full Detail Minden mentési információt naplóz, beleértve az összes mentett, átugrott esetleg hibás file és könyvtár neveit Summary Csak a fontosabb mentési műveleteket naplózza, mint a Only szalag betöltése, mentés indítása, és egy file sikertelen megnyitása. Don’t Log Nem történik naplózás 7. Klikkeljünk az
OK-ra Abackup Status ablak fog megjelenni Amikor a mentés befejeződik, görgethetjük az ablak információit, hogy átnézzük nem történt-e valamilyen probléma egyik, vagy másik mentési készlettel. 8. Klikkeljünk az OK-ra A Drive ablak fog megjelenni Ajánlott minden mentési naplót kinyomtatni, majd befűzni egy irattartóba. Mentés ütemezése batch file-okkal Az at parancsot használva (At.exe) ütemezhetjük a mentéseket batch file-ok segítségével is. 3. Készítsünk egy batch file-t, amelyik tartalmazza az Ttbackupexe parancsot. Parancssorban a következő szintaxis hsználható: ntbackup backup [elérési út [opciók]] A táblázat azokat az opciókat foglalja össze : Opció Leírás /a Bármennyi, már létező mentési készlethez hozzáad egy új mentési készletet. Nem elérhető egy üres szalag esetében /b Menti a helyi gép Registy-jét, decsak ha más file-t is mentünk ugyanarról a kötetről. /d „text” A mentési készlet leírása. Ez a
leírás látható lesz a szalag katalógusában. /e Kivételes naplózás, mint például a fontosabb mőveletek naplózása. Ha nem használjuk, részletes naplózást végez /l file-név Nevet ad a naplófile-nak. Alapértelmezésben Backuplog a neve és a Winnt könyvtárban található. /r Korlátozza az Administrators, Backup Operators csoportok tagjainak illetve a mentést végző felhasználónak a hozzáférését a szalaghoz. Ha nincs használva bárki, akinek Restore jogosultsága van visszaállíthat a mentési készletről. /t {Normal Meghatározza a mentés típusát. Az alapértelmezett típus a Normal. Copy Incremental Differentia l Daily } /v Ellenőrzi a mentett file-okat és visszajelzést ad a sikeresen menteet file-okról /hc: {on engedélyezi, vagy tiltja a hardware tömörítést azokon a szalagos meghajtókon, amelyek ezt támogatják. Az off } alapértelmezés az off. cmd /c net Hozzákapcsol egy távoli megosztott könyvtárhoz.Ezt a use x:
parancsot használjuk a parancssor elején, ha egy távoli gép file-jait akarjuk menteni – például : net use x: A mentési megosztott net Lekapcsol x: parancssor \szervernévmegosztásnév parancsban tehát használható az UNC neve a könyvtáraknak. a távoli megosztásról. Ezt a parancsot a végén használjuk. cmd /c use /delete 4. Használjuk az at parancsot (Atexe), hogy ütemezzük a batch file futtatását egy bizonyos időre. Amikor a Windows NT Backup programját futtatjuk, hozzáférhető a „Using Batch Files toDo Backups” nevű súgófile, ami tartalmazza az összes parancsori opciót és példákat is ad. Példa ütemezett mentésre Vitassuk meg az osztályban a következő batch file-t és válaszoljuk meg a következő kérdéseket: cmd /c net use x: \student1public cmd /c net use y: \student2public ntbackup backup c: d: x: y: \instructorpublic /t Incremental /b /hc:on /v /l „c:weekly.log” cmd /c net use x: /delete cmd /c net use y: /delete 4.
Milyen műveleteket végez el ez a batch file? 5. Mit kell még hozzáadnunk ehhez a batch file-hoz azért, hogy gyorsan azonosítani lehessen a szalag tartalmát, ami ezen batch file által íródik fel? 6. Milyen parancsot adna hozzá a batch file-hoz, hogy az mentse el az \Instructorx számíógép file-jait? Az at parancs használata Az at paranccsal ütemezni lehet a parancsok futtatását a Windows NT Schedule szolgáltatása által. Mifel ez a parancs időzítve indítja el a parancsokat, használható a mentési batch file ütemezésére is. A Schedule szolgáltatásnak működnie kell azon a számítógépen amelyiken az időzített mentési programot működtetni akarjuk. Hogy egy időzített mentést indítsunk • Használjuk a Server Manager programot és állítsuk be a Schedule szolgáltatáson a Startup Type-ot Automatic-ra. Ezáltal az időzített parancsok akkor is működni fognak, ha a számítógépet újraindítjuk, függetlenül attól, hogy melyik
felhasználó lép be. Hogy módosítsuk az indulási opciókat a szolgáltató alkalmazásokban 7. Klikkeljünk a Start menüben a Programs-ra, majd az Administrative Tools-ra, majd a Server Manager-re. 8. A Compiuter ablakban válasszuk ki a kívánt számítógép nevét, majd a Computer menüben klikkeljünk a Services-re. A Services on számítógépnév dialógusablak jelenik meg. 9. A Service-nél válasszuk a Schedule-t, majd klikkeljünk a Startup-ra A Services on számítógépnév dialógusablak jelenik meg. 10. A Startup Type-nál válasszuk az Automatic-ot, majd klikkeljünk az OK-ra. A Services on számítógépnév dialógusablak jelenik meg A Schedule szolgáltatás ezután automatikusan el fog indulni, amikor a számítógépet újraindítjuk. 11. A Service-nél válasszuk a Schedule-t, azután klikkeljünk a Startra A Service Control üzenetablak jelenik meg a következő üzenettel: Attempting to Start the Schedule service on computer name. (Kísérlet az ütemező
szolgáltatás indítására a számítógépen) 12. Ütemezzük a műveleteket az Atexe programmal A következőkben az at parancs szintaxisát tárgyaljuk, amelyikkel ütemezhető a mentési batch file. at [\számítógépnév][id][/delete] datum[,]/next: datum[,] „parancs” A táblázatban Opció \számítógépn év id time [/interactive][/every: az at parancs opcióit elemezzük: Leírás A távoli számítógépet jelöli ki. Ha nincs megadva, a parancs a helyi számítógépre érvényes Egy azonosítószámot rendel az időzített, ütemezett parancshoz. Érvényteleníti az időzített parancsot. Ha elhagyjuk, a számítógépen minden ütemezett parancs érvénytelen marad. time Meghatározza azt az időt, amikortól a parancsot működésbe hozza. Az időt óra:perc formában kell megadni a 24 órás skálán. /interactive Engedélyezi a programhoz az interaktív hozzáférést, azon a képenyőn, amelyiken a felhasználó bejelentkezett. Ha elhagyjuk, a program
egy láthatatlan képernyőn fut. /every: Meghatározza a hét, vagy a hónap napjait, amelyeken a date[,] parancsot futtassa. Ha elhagyjuk az alapértelmezés a hónap aktuális napja. /next: Meghatározza a hét, vagy a hónap következő napját, date[,] amikor a parancsot ismét futtatnia kell. Ha elhagyjuk az alapértelmezés a hónap aktuális napja. „parancs” A futtatandó program, vagy batch file neve, például az Ntbackup. Megjegyzés A Resource Kit Winat.exe programja egy grafikus eszköz, ami használható az Schedule (ütemező) szolgáltatás konfigurálására. /delete Laborgyakorlat 15 Visszaállítási stratégia implementálása Egy jó visszaállítási stratégia, a következők függvénye: • Jó mentési stratégia. Például, ha mindíg teljes mentést készítettünk egy kötetről, egy esetleges lemezmeghibásodás esetén az egész kötet visszaállítható egyetlen művelettel. A szalagokat cserélgetve a hét napjain, pedig lehetőséget ad a file
egy korábbi változatának a visszaállítására. • Őrizzük meg minden mentés dokumentációját. Ha létrehozzuk és kinyomtatjuk a mentési naplót minden mentéskor, gyorsan azonosíthatjuk a visszaállítandó file-okat, anélkül, hogy be kellene töltenünk a mentési készleteknek katalógusait. A létrehozott mentési naplók, a beállítások függvényében tartalmazhatják a mentés típusát, milyen file-ok és könyvtárak voltak elmentve, és melyik szalagra történt a mentés. • Időnként végezzünk próba visszaállítást, hogy ellenőrízhessük azt, hogy a file-ok jól lettek-e elmentve. Ezáltal felmerülhetnek olyan hardware problémák is amelyek a software-esen nem mutatkoztak. Állítsuk vissza a szalagot egy másik meghajtóra, nem az eredetire, majd hasonlítsuk össze a visszaállított adatokat az eredetiekkel az eredeti meghajtón. • Őrizzük meg naptárszerűen a mentéseket,úgy, hogy kitűnjenek a napok, amikor készültek. Minden
mentésnél jegyezzük fel a mentés típusát és a szalag azonosítóját, vagy számát. Ezután, ha szükséges, gyorsan átláthatunk több heti mentett anyagot és azt, hogy melyik mentés melyik szalagon van. Példák a visszaállítási stratégiákra A következő példák az ábrán bemutatott mentési ütemezéseket feltételezik. 4. Normal és diferenciális mentések visszaállítása Pénteken elromlik az egész kötet. A mentési ütemezés alapján állítsuk vissza hétfői Normal mentést. Azután, mivel a többi mentések diferenciálisak, csak a csütörtöki mentést kell még visszaállítanunk. 5. Normal és inkrementális mentések visszaállítása Pénteken elromlik az egész kötet. A mentési ütemezés alapján állítsuk vissza hétfői Normal mentést. Azután, mivel a többi mentések inkrementálisak, szükséges visszaállítanunk a mentéseket keddtől keddig a megfelelő sorrendben. 6. Egyetlen file visszaállítása Pénteken megsérül egy
file. Mivel hétfő után a mentések inkrementálisak, nem lehetünk biztosak abban, hogy melyik szalag tartalmazza a file-unk legújabb változatát. Használjuk a mentési naplót, hogy meghatározhassuk, a keresett file melyik szalagon található. Azután állítsuk vissza a file-t Fontos Győződjünk meg a dátum helyességéről a számítógépünkön. A Windows NT Backup programja a file dátum attribútumát használja annak a meghatározására, hogy melyik változata a file-nak az aktuális. Ha a dátumot megváltoztattuk, esetleg felülírhatjuk a file-unkat egy régebbi változattal. Adatok visszaállítása Amikor adatokat állítunk vissza, a következő műveleteket kell elvégeznünk. 5. Kapcsolódjunk a távoli meghajtókhoz Ha távoli számítógépen akarunk file-okat visszaállítani, a Windows NT Backup programjának az indítása előtt kapcsolódnunk kell a távoli gép megfelelő meghajtójához. A Windows NT Backup programja a Registry-t és az
eseménynaplót csak a haelyi számítógépen tudja visszaállítani. 6. Indítsuk el a Windows NT Backup programot 7. Töltsük be a szalag katalógusát, hogy láthassuk a mentési készleteket. Amígbetöltjük a szalag katalógusát, a Windows NT az első mentési készlet információit mutatja. 8. Állítsuk be a kívánt visszaállítási opciókat A visszaállítási eljárásunk kevéésé függ attól, hogy az egész szalagot, mentési készleteket, vagy csak egyedi file-okat állítunk vissza. Katalógusok Be kell töltenünk a katalógusokat, hogy kiválaszthassuk a file-okat és könyvtárakat. Ha a mentés több szalagra történt, a katalógus az utolsó szalagon található. A szalag katalógusának a betöltéséért: 4. Indítsuk el a Windows NT Backup programját és nagyítsuk ki a szalagnév ablakot. 5. Az Operation menüben klikkeljünk a Catalog-ra A Catalog Status dialógusablak jelenik meg. 6. Miután a katalógus betöltése befejeződött, klikkeljünk
az KO-ra A szalagnév ablak maximizálódik.Ha egy mentési készlet mappaikonja mellett egy kérdőjel (?) található, akkor a mentési készlet katalógusa nem lett betöltve. Egy mentési készlet katalógusának a betöltéséért: 3. A szalagnév ablakban klikkeljünk duplán a megfelelő mentési készlet mappájára. A Catalog Status dialógusablak jelenik meg 4. Ha befejeződött a katalógus betöltése, klikkeljünk az OK-ra A szalagnév ablak jelenik meg a mentési készlet könyvtárszerkezetével. Csak miután a mentési készlet katalógusa betöltődött a (?)jel a mappa ikonja mellett átvált a plusz jelre (+). Hogy ezt lássuk, nagyítsuk ki a szalagnévablakot. Ha a szalagon hibás file-ok vannak, a file-okat tartalmazó könyvtárak egy piros X-el lesznek jelölve. Fontos Ha egy „family set” utolsó szalagja hiányzik, vagy sérült, kényszeríthetjük a Windows NT Backup programját arra, hogy a megmaradt szalagokat kezelje külön-külön egységként.
Ilyenkor a programot indítsuk parancssorból a /missingtape opcióval. Mentési készletek, file-ok és könyvtárak kiválasztása Csak miután betöltöttük a szalag katalógusát, választhatjuk ki a mentési készletet, file-t, vagy könyvtárat, amit vissza akarunk állítani. Egy mentési készlet kiválasztásához: • A szalagnév ablakban jelöljük ki a visszaállítandó mentési készletek melletti jelölőnégyzetet, vagy válasszuk ki a kívánt mentési készletet, majd a Select menüben klikkeljünk a Check-re. Ismételjük meg ezt a lépést a többi mentési készletre is ha szükséges. Egyedi file-ok és könyvtárak kiváasztásához egy mentési készletben 3. Ha szükséges belenéznünk az alkönyvtárakba egy mentési készlet ablakban, klikkeljünk duplán a megfelelő könyvtárra. 4. A megnyílt könyvtárszerkezetet a mentési készlet ablakban a következő módokon használhatjuk: • Jelöljük ki a választónégyzeteket a visszaállítandó
file, vagy könyvtár mellett, vagy • Válasszuk ki a visszaállítani kívánt file-t, vagy könyvtárat, majd a Select menüben adjuk ki a Check parancsot. Egy X fog megjelennia kiválasztott file, vagy könyvtár melletti választónégyzetben, és úgyszintén a szülőkönyvtár és a meghajtó melletti választónégyzetben is. Ha nem minden file-t választunk ki egy könyvtárban, az X halványan jelenik meg. MegjegyzésTöbb file és könyvtár is kiválasztható egyszerre, ha nyomva tartjuk a SHIFT, vagy a CTRL gombot. A visszaállítás opcióinak beállítása Miután kiválasztottuk a mentésből szükséges file-okat és könyvtárakat, válasszuk ki a visszaállítás opcióit. A visszaállítás opcióinak beállításáért 5. A Backup dialógusablakban klikkeljünk a Restore-ra A Restore Information dialógusablak jelenik meg. A Backup Set Information részében, információkat találunk a mentési készletek számárol, a szalag nevéről, mentési készlet
leírása, szalag létrehozási dátuma és a szalag tulajdonosa látható még. 6. A Restore to Drive dobozban klikkeljünk a helyreállítandó meghajtóra. Az alapértelmezés az eredeti meghajtó Választhatunk azonban egy másik meghajtót is, ha az eredeti meghajtó minden mentési készletét visszaállítjuk 7. Ha egy mentési készletet nem az eredeti helyére állítunk vissza, írjuk be az új elérési utat. Böngészhetünk is, hogy megkeressük az új helyet. Tipp Ha ki akarjuk próbálni azt hogy a mentési és a visszaállítási műveletek helyesen működnek, állítsuk vissza a mentést egy másik meghajtóra, majd hasonlítsuk össze az eredeti és a visszaállított file-okat. 8. Válasszuk bármelyiket a következő visszaállítási opciók közül: Opció Leírás Restore Local Visszaállítja a felhasnálói adatbázist (Registry). Hogy Registry a változások érvényre jussanak, újra kell indítanunk a számítógépet. Restore File Visszaállítja az NTFS
jogosultságokat. Ha nincs Permissions kiválastva, a file-ok azoknak a könyvtáraknak a jogosultságait öröklik, amelyekbe vissza lettek állítva. Ne használjuk, ha egy olyan számítógépre állítunk vissza ahol nem ugyanazok a felhasználói fiókok és a csoportok. Verify After Restore Ellenőrzi a visszaállított file tartalmát a szalagon levőével Napló opciók kiválasztása Miután kiválasztottuk a visszaállítás opcióit, válasszuk ki a napló opciókat is. A napló opciók kiválasztásához: 4. Válasszuk bármelyiket a következő opciók közül: Opció Leírás Log File A szöveges naplófile helye, ahol minden szalagos műveletet naplózunk. Böngészéssel is megkereshető Log Information Minden információt lement minden visszaállítási • Full műveletről, inkluszív a visszaállított file-ok és detail könyvtárak neveit. Csak afontosabb műveleteket naplózza, mint a szalag • Summary betöltése, visszaállítás indítása és a file
only visszaállításának a sikertelensége. • Don’t Log Nem naplóz semmit 5. Klikkeljünk az OK-ra A Restore Status ablak jelenik meg a visszaállítási folyamat leírásával, majd átvált a Verify Status ablakra. Megjegyzés Ezalatt a folyamat alatt a Confirm File Replacement dialógusablak jelenik meg. Klikkeljünk mindig a Yes-re, hogy felülírjunk egy-egy file-t, vagy a Yes To All-re, hogy felülírjunk minden file-t anélkül, hogy erre mindíg rákérdezzen. 6. Amikor a visszaállítási folyamatnak vége van a „The operation was successfully completed” üzenet jelenik meg. Klikkeljünk az OK-ra A Backup dialógusablak fog megjelenni. A visszaállítási művelet befejeződött Jó tanácsok A következő listán néhány jótanács az adatok mentésével és visszaállításával kapcsolatban. • Alacsony és közepes biztonságú hálózatokon, adjunk egy felhasználónak mentési jogosultságot és egy másik felhasználónak visszaállítási
jogosultságot. • Csak mentési jogosultságot például úgy adhatunk, ha elvesszük a Restore Files and Directories jogosultságot a Backup Operators, vagy Server Operators csoporttól. • Csak visszaállítási jogosultságot például úgy adhatunk, hogy létrehozunk egy lokális csoportot Restore Operators néven, majd a csoportnak megadjuk a Restore Directories and Files jogosultságot. Majd létrehozunk egy globális csoportot Restore Only néven és felvesszük az iménti lokális csoportba. Megjegyzés A nagy biztonságú hálózatokban, csak az Administrators csoport tagjai állíthatnak vissza adatokat. • Mentsük le az egész kötetet az esetleges lemezmeghibásodás kivédéséért. Sokkal hatékonyabb az egész kötet visszaállítása egy műveletben. • Mindíg mentsük el a Registry-t a tartományvezérlőn, hogy megelőzzük a felhasználói fiókok és a biztonsági információk elvesztését. • Minden mentéshez készítsünk mentési naplót és azt
nyomtassuk is ki, majd fűzzük be, így gyorsabban tudjuk azonosítani a keresett fileokat. • A szalagokról tartsuk három másolatot. Legalább egyet tartsunk egy másik épületben, biztonságos helyen. • Végezzünk időről időre próbából visszaállításokat, hogy ellenőrízhessük azt, hogy a file-jaink jól vannak-e lementve. Ezzel felderíthetünk esetleges hardware problémákat is amelyek másként nem kideríthetőek. Megjegyzés Biztosítsuk a szalagegységet és a szalagokat is, nehogy valaki ellopva a szalagot, visszaálítsa a rajta lévő adatokat egy másik számítógépen, ahol neki adminisztrátori jogosultsága van. Laborgyakorlat 16 Kérdések 7. Milyen file-okat mentsünk mindig? 8. Hogyan befolyásolják az attribútumok a mentést? 9. Milyen módszert tud alkalmazni, hogy ellenőrizze azt, hogy hol lehet visszaállítani egy szalagot? 10. Melyik az a három művelet, amit el kell végeznie ahhoz, hogy megbizonyosodjon arról, hogy a mentett és
visszaállított adatai teljesek és pontosak? 11. Egy egyedülálló file-t kell visszaállítania Tegnap egy normál mentést csinált, de elfelejtett mentési naplót készíteni. Hogyan tudja a file-t megtalálni? 12. A szerver adatait kell visszaállítania A mentett adatok több szalagot töltenek meg, de az utolsó szalag hibás. Mit tehet?