Windows Server 2003. Podręcznik Administratora

IDZ DO
PRZYKADOWY ROZDZIA
SPIS TRECI
KATALOG KSIEK
KATALOG ONLINE
ZAMW DRUKOWANY KATALOG
TWJ KOSZYK
DODAJ DO KOSZYKA
CENNIK I INFORMACJE
ZAMW INFORMACJE
O NOWOCIACH
ZAMW CENNIK
CZYTELNIA
FRAGMENTY KSIEK ONLINE
Windows Server 2003.

Podrcznik administratora
Autorzy: Nelson Ruest, Danielle Ruest
Tumaczenie: Adam Jarczyk
ISBN: 83-7361-421-4
Tytu oryginau: Windows Server 2003 Pocket Administrator
Format: B5, stron: 264
Windows Server 2003. Podrcznik administratora to ksika opisujca najwaniejsze
kwestie zwizane z zarzdzaniem systemem Windows Server 2003 i rozwizywaniem
dotyczcych go problemw. Opisuje ona ponad 160 zada administracyjnych, wraz
z zalecan czstotliwoci wykonywania kadego z nich. Rozpoczyna si
przedstawieniem oglnych dziaa, ktre naley podj w przypadku wszystkich
serwerw, niezalenie od roli, jak peni. Omwione zostay rwnie jednorazowe
zadania, ktre musimy wykona, aby odpowiednio przygotowa rodowisko
administracyjne. Opisano ponadto klastry serwerw, a take serwery zarzdzajce
infrastruktur sieciow, w skad ktrych wchodz DHCP (Dynamic Host Configuration
Protocol) i WINS (Windows Internet Naming Service). Zostay przedstawione rwnie
serwery suce do zdalnej instalacji systemw operacyjnych, takich jak Windows XP
lub sam Windows Server 2003. Na koniec omwiono jeszcze czynnoci administracyjne
zwizane z wydajnoci i monitorowaniem sieci.
W ksice omwiono midzy innymi:
Serwery zarzdzania tosamociami
Active Directory
Serwery DNS
Dedykowane serwery WWW
Serwery aplikacji
Serwery terminali
Serwery DHCP i WINS
Serwery dostpu zdalnego i VPN
O autorach:
Wydawnictwo Helion
ul. Chopina 6
44-100 Gliwice
tel. (32)230-98-63
e-mail: helion@helion.pl
Nelson Ruest gwnie zajmuje si przygotowywaniem strategicznych rozwiza

dla duych firm i specjalizuje si w projektach infrastruktury. W swojej urozmaiconej
karierze zawodowej bywa operatorem komputerw, administratorem systemw i sieci
oraz menederem IT.
Danielle Ruest zajmuje si organizacj pracy oraz doradztwem z zakresu biznesu.
Specjalizuje si w problemach zwizanych z wdraaniem duych projektw
informatycznych. Wraz z Nelsonem Ruestem jest autork Windows Server 2003:
Best Practices for Enterprise Deployments. Oboje pisuj do MCP Magazine i .NET
Magazine oraz pracuj dla Resolutions Enterprises.
Spis treci
O Autorach..................................................................11
Przedmowa .................................................................13
Wstp .........................................................................15
Rozdzia 1. Oglne zarzdzanie serwerem ......................................21
Czynnoci administracyjne ................................................................... 21
Oglne zarzdzanie serwerem .............................................................. 24
GS-01. Skrty Uruchom jako ......................................................... 24
GS-02. Oglna weryfikacja stanu usug ......................................... 28
GS-03. Weryfikacja dziennika zdarze System ............................. 29
GS-04. Weryfikacja dziennika zdarze Zabezpieczenia ................ 30
GS-05. Zarzdzanie kontami usug i administracyjnymi................ 32
GS-06. Utrzymanie dziennika dziaa ............................................ 34
GS-07. Zarzdzanie raportem o czasie dostpnoci systemu ......... 35
GS-08. Zarzdzanie skryptami ....................................................... 36
GS-09. Zarzdzanie certyfikatami skryptw .................................. 38
GS-10. Aktualizacje definicji wirusw
dla programw antywirusowych ........................................ 40
GS-11. Restart serwera ................................................................... 40
GS-12. Przegld i aktualizacja zasad zabezpiecze........................ 42
GS-13. Weryfikacja aktualizacji zabezpiecze ................................. 43
GS-14. Aktualizacja poprawek i pakietw Service Pack ............... 45
GS-15. Ocena nowego oprogramowania ........................................ 46
GS-16. Inwentaryzacja ................................................................... 47
GS-17. Tworzenie globalnej konsoli MMC ................................... 50
GS-18. Automatyczne pobieranie sygnatur
dla oprogramowania antywirusowego ............................... 51
GS-19. Tworzenie i weryfikacja zaplanowanych zada................. 52
Windows Server 2003. Podrcznik administratora

GS-20. Tworzenie i modyfikacja szablonw zabezpiecze ........... 53
GS-21. Zarzdzanie plikami pomocy technicznej .......................... 55
GS-22. Przygotowanie serwera ...................................................... 55
GS-23. Konfiguracja narzdzi administracyjnych.......................... 56
GS-24. Aktualizacja domylnego profilu uytkownikw .............. 57
GS-25. Przegld rodowiska sprztowego ..................................... 59
GS-26. Dokumentacja systemu i sieci ............................................ 60
GS-27. Zarzdzanie umowami o wiadczeniu usug ...................... 60
GS-28. Zarzdzanie priorytetami w rozwizywaniu problemw ... 61
GS-29. Przegld nakadw pracy ................................................... 61
Administrowanie sprztem ................................................................... 61
HW-01. Kontrola urzdze sieciowych.......................................... 62
HW-02. Zarzdzanie BIOS-em serwerw ...................................... 62
HW-03. Zarzdzanie aktualizacjami oprogramowania
sprztowego i zarzdzajcego serwerami ........................ 63
HW-04. Zarzdzanie urzdzeniami ................................................ 63
Tworzenie i przywracanie kopii zapasowych ....................................... 64
BR-01. Generowanie kopii zapasowych stanu systemu ................. 65
BR-02. Weryfikacja kopii zapasowych .......................................... 66
BR-03. Zarzdzanie skadowaniem tam
poza lokalizacj serwerw ................................................. 67
BR-04. Testowanie strategii usuwania skutkw awarii.................. 67
BR-05. Testowanie procedury przywracania kopii zapasowych.... 68
BR-06. Przegld strategii kopii zapasowych .................................. 69
BR-07. Odbudowa serwera............................................................. 69
Administrowanie zdalne ....................................................................... 70
RA-01. Zarzdzanie RDC w serwerach.......................................... 70
RA-02. Zarzdzanie RDC w komputerach osobistych................... 72
RA-03. Pomoc dla uytkownikw poprzez narzdzie Pomoc zdalna . 73
RA-04. Skrty do Podczania pulpitu zdalnego
i dostp przez WWW......................................................... 74
Rozdzia 2. Zarzdzanie serwerami plikw i drukowania .................77

Czynnoci administracyjne ................................................................... 77
Administrowanie usugami plikw ........................................................... 79
FS-01. Weryfikacja dostpnego miejsca ........................................ 80
FS-02. Zarzdzanie kopiami zapasowymi danych ......................... 81
FS-03. Zarzdzanie folderami udostpnionymi .................................. 82
FS-04. Weryfikacja dziennika zdarze usugi replikacji plikw .... 84
FS-05. Zarzdzanie kopiowaniem woluminw w tle...................... 85
FS-06. Zarzdzanie rozproszonym systemem plikw .................... 87
FS-07. Zarzdzanie przydziaami ................................................... 88
FS-08. Zarzdzanie usug indeksowania....................................... 89
FS-09. Weryfikacja integralnoci dyskw danych ......................... 89
FS-10. Defragmentacja dyskw z danymi ...................................... 90
Spis treci
7
FS-11. Weryfikacja dziennika inspekcji dostpu do plikw .......... 91
FS-12. Usuwanie plikw tymczasowych ........................................ 92
FS-13. Weryfikacja parametrw zabezpiecze ................................... 93
FS-14. Zarzdzanie folderami zaszyfrowanymi................................. 94
FS-15. Archiwizacja danych........................................................... 94
FS-16. Zarzdzanie usug replikacji plikw.................................. 95
FS-17. Zarzdzanie dyskami i woluminami ................................... 97
Usugi drukowania ................................................................................ 97
PS-01. Zarzdzanie kolejkami drukowania .................................... 99
PS-02. Zarzdzanie dostpem do drukarek..................................... 99
PS-03. Zarzdzanie sterownikami drukarek ................................. 100
PS-04. Udostpnianie drukarek .................................................... 101
PS-05. Zarzdzanie buforowaniem drukowanych dokumentw .. 102
PS-06. Zarzdzanie ledzeniem lokalizacji drukarek ................... 102
PS-07. Masowe zarzdzanie drukarkami...................................... 104
PS-08. Ocena nowych modeli drukarek ....................................... 104
Usugi klastrw ................................................................................... 105
CS-01. Klastry weryfikacja ich stanu ...................................... 105
CS-02. Klastry weryfikacja stanu kolejek drukowania ........... 106
CS-03. Klastry zarzdzanie serwerem klastrw ...................... 106
CS-04. Klastry weryfikacja stanu kworum................................ 107
Rozdzia 3. Zarzdzanie serwerami infrastruktury sieciowej ..........109

Czynnoci administracyjne ................................................................. 109
Administrowanie serwerami DHCP i WINS ...................................... 111
DW-01. Weryfikacja stanu serwera DHCP .................................. 111
DW-02. Weryfikacja stanu serwera WINS................................... 115
DW-03. Zarzdzanie rekordami WINS ........................................ 117
DW-04. Zarzdzanie atrybutami DHCP....................................... 117
DW-05. Zarzdzanie zakresami DHCP ........................................ 119
DW-06. Zarzdzanie rezerwacjami DHCP................................... 120
DW-07. Zarzdzanie superzakresami DHCP ............................... 121
DW-08. Zarzdzanie zakresami multiemisji DHCP..................... 122
DW-09. Zarzdzanie klasami opcji DHCP................................... 123
DW-10. Autoryzacja serwerw DHCP i RIS ............................... 126
Serwery wdraania.............................................................................. 127
RI-01. Weryfikacja stanu serwera RIS ......................................... 128
RI-02. Zarzdzanie obrazami RIS ................................................ 128
Klastry NLB........................................................................................ 130
NC-01. Weryfikacja stanu klastrw NLB .................................... 130
NC-02. Zarzdzanie czonkami klastrw NLB............................. 131
Dostp zdalny i sieci VPN .................................................................. 132
RV-01. Weryfikacja stanu serwerw dostpu zdalnego............... 133
RV-02. Weryfikacja stanu serwerw RADIUS/IAS .................... 134
RV-03. Monitorowanie sieci bezprzewodowych................................ 134

RV-04. Weryfikacja zasad dostpu zdalnego ............................... 135
RV-05. Zarzdzanie usug NAT.................................................. 135
RV-06. Zarzdzanie czami VPN................................................ 136
Rozdzia 4. Zarzdzanie serweramitosamoci ................................139

Zarzdzanie kontrolerami domen......................................................... 141
DC-01. Zarzdzanie uytkownikami ............................................ 142
DC-02. Zmiana hase uytkownikw ........................................... 145
DC-03. Weryfikacja dziennika zdarze usugi katalogowej ........ 147
DC-04. Zarzdzanie kontami........................................................ 147
DC-05. Zarzdzanie grupami zabezpiecze ................................. 148
DC-06. Kontrola stanu usugi KCC.............................................. 151
DC-07. Kontrola topologii replikacji AD ..................................... 152
DC-08. Weryfikacja stanu wykazu globalnego................................ 154
DC-09. Zarzdzanie administracyjnymi grupami uniwersalnymi...155
DC-10. Weryfikacja zasad kont.................................................... 156
DC-11. Weryfikacja usugi PKI ................................................... 158
DC-12. Weryfikacja usugi AD i konta administratora ................ 159
DC-13. Zarzdzanie obiektami Lost And Found.......................... 159
DC-14. Zarzdzanie delegowaniem praw..................................... 160
DC-15. Zarzdzanie instalowaniem oprogramowania.................. 163
DC-16. Zarzdzanie GPO ............................................................. 165
DC-17. Zarzdzanie obiektami komputerw................................ 167
DC-18. Zarzdzanie grupami dystrybucyjnymi .............................. 169
DC-19. Zarzdzanie lasem AD..................................................... 170
DC-20. Zarzdzanie informacjami w AD..................................... 172
DC-21. Zarzdzanie schematem ................................................... 172
DC-22. Zarzdzanie dostpem do schematu................................. 174
DC-23. Modyfikacje zawartoci schematu................................... 175
DC-24. Ocena programw modyfikujcych schemat................... 177
DC-25. Zarzdzanie rolami wzorcw operacji............................... 178
DC-26. Przenoszenie rl wzorcw operacji ................................. 181
DC-27. Przywracanie wzorcw operacji po awarii ...................... 182
DC-28. Promocja kontrolerw domen.......................................... 182
DC-29. Przywracanie kontrolerw domen ................................... 185
DC-30. Zarzdzanie relacjami zaufania........................................ 187
DC-31. Zarzdzanie strukturami lasw, domen i OU .................. 189
DC-32. Zarzdzanie skryptami Active Directory ......................... 191
DC-33. Zarzdzanie synchronizacj czasu ................................... 193
DC-34. Zarzdzanie listami kontroli dostpu ............................... 194
DC-35. Zarzdzanie zapisanymi kwerendami .............................. 197
DC-36. Zarzdzanie miejscem w AD ........................................... 198
DC-37. Zarzdzanie zasadami kwerend LDAP.............................. 199
DC-38. Zarzdzanie baz danych AD .......................................... 201
Spis treci
9
Zarzdzanie serwerem przestrzeni nazw (DNS) ................................. 202
DN-01. Kontrola dziennika zdarze DNS .................................... 202
DN-02. Zarzdzanie konfiguracj DNS-u .................................... 203
DN-03. Zarzdzanie rekordami DNS ........................................... 204
DN-04. Zarzdzanie partycj aplikacji DNS ................................ 205
Rozdzia 5. Zarzdzanie serwerami aplikacji.................................207

Zarzdzanie dedykowanymi serwerami WWW ................................. 209
WS-01. Weryfikacja dziennika zdarze Aplikacje....................... 209
WS-02. Weryfikacja stanu serwera IIS ........................................ 210
WS-03. Generowanie statystyk uycia serwera IIS...................... 211
WS-04. Weryfikacja dziennika zdarze serwera WWW.............. 213
WS-05. Weryfikacja aktualizacji zabezpiecze IIS...................... 214
WS-06. Zarzdzanie konfiguracj serwera WWW....................... 215
Zarzdzanie serwerami aplikacji......................................................... 216
AS-01. Weryfikacja stanu wspuytkowanych aplikacji ............ 217
AS-02. Administrowanie aplikacjami COM+ .............................. 218
AS-03. Administrowanie aplikacjami .NET................................. 221
AS-04. Administrowanie serwerem baz danych........................... 223
AS-05. Dostp klientw serwera aplikacji ................................... 223
AS-06. Instalacja oprogramowania uytkownikw...................... 224
Serwery usug terminalowych............................................................. 226
TS-01. Zarzdzanie poczeniami usug terminalowych.............. 227
TS-02. Zarzdzanie drukarkami w usugach terminalowych ....... 228
TS-03. Zarzdzanie katalogiem sesji ............................................ 229
TS-04. Administrowanie licencjami usug terminalowych .......... 230
TS-05. Administrowanie dostpem uytkownikw
usug terminalowych ........................................................ 230
TS-06. Zarzdzanie aplikacjami w usugach terminalowych ....... 231
Zarzdzanie wydajnoci i monitorowaniem...................................... 232
PM-01. Weryfikacja dziennikw ruterw i zapr sieciowych ..... 233
PM-02. Oglne monitorowanie miejsca na dyskach .................... 234
PM-03. Zarzdzanie zasobami systemw..................................... 235
PM-04. Monitorowanie ruchu w sieci .......................................... 237
PM-05. Zarzdzanie wydajnoci serwerw ................................ 238
PM-06. Diagnostyka systemw .................................................... 240
PM-07. Zarzdzanie raportowaniem bdw w przedsibiorstwie.... 241
PM-08. Przegld narzdzi do monitorowania ................................ 242
Uwagi kocowe................................................................................... 243
Dodatek A Lista czstotliwoci wykonywania zada ....................245

Skorowidz .................................................................251
Rozdzia 1.
Oglne zarzdzanie
serwerem
Wprawdzie wikszo serwerw odgrywa konkretne role w strukturze naszej organizacji, lecz jest oczywiste, e pewne zadania administracyjne naley wykonywa we wszystkich serwerach, niezalenie od ich rl. S to oglne zadania
administracyjne. Nale do nich wszelkie czynnoci od upewnienia si, e
serwer funkcjonuje poprawnie, a po weryfikacj, czy konfiguracja serwera jest
zgodna ze standardami organizacji. Wiele z tych zada ma charakter techniczny i cz z nich moe by zautomatyzowana, lecz niektre s czysto administracyjne i ich przeprowadzenie nie wymaga pracy z technologi.
Czynnoci administracyjne
Oglne zarzdzanie serwerami Windows dzieli si na cztery kategorie administracyjne. Nale do nich oglna obsuga serwera, sprzt, tworzenie i przywracanie kopii zapasowych oraz administrowanie zdalne. Tabela 1.1 przedstawia
list czynnoci administracyjnych, ktre musimy wykonywa regularnie, aby zapewni prawidowe funkcjonowanie usug, wiadczonych przez serwery naszej
spoecznoci uytkownikw. W tabeli tej zostaa te przedstawiona czstotliwo
wykonywania poszczeglnych zada.
Nie kady musi zgadza si z czstotliwoci zada zasugerowan w tabeli 1.1.
Co wicej, wykonywanie absolutnie wszystkich czynnoci moe nie by konieczne, jeli nie stosujemy wszystkich wspomnianych w tabeli usug. Dlatego Czytelnik powinien spersonalizowa t ksik, zaznaczajc wszystkie numery procedur, z ktrych faktycznie bdzie korzysta. Dziki temu atwiej bdzie znale
najczciej uywane procedury.
22
Tabela 1.1. Lista zada administracyjnych dla serwera

Nr procedury
Czynno
Harmonogram
Oglne zarzdzanie serwerem

GS-01
Skrty Uruchom jako
Codziennie
GS-02
Oglna weryfikacja stanu usug
Codziennie
GS-03
Weryfikacja dziennika zdarze System
Codziennie
GS-04
Weryfikacja dziennika zdarze Zabezpieczenia
Codziennie
GS-05
Zarzdzanie kontami usug i administracyjnymi
Codziennie
GS-06
Utrzymanie dziennika dziaa
Codziennie
GS-07
Zarzdzanie raportem o czasie dostpnoci systemu
Co tydzie
GS-08
Zarzdzanie skryptami
Co tydzie
GS-09
Zarzdzanie certyfikatami skryptw
Co tydzie
GS-10
Aktualizacje definicji wirusw dla programw

antywirusowych
Co tydzie
GS-11
Restart serwera
Co tydzie
GS-12
Przegld i aktualizacja zasad zabezpiecze
Co miesic
GS-13
Weryfikacja aktualizacji zabezpiecze
Co miesic
GS-14
Aktualizacja poprawek i pakietw Service Pack
Co miesic
GS-15
Ocena nowego oprogramowania
Co miesic
GS-16
Inwentaryzacja
Co miesic
GS-17
Tworzenie globalnej konsoli MMC
W miar potrzeb
GS-18
Automatyczne pobieranie sygnatur

dla oprogramowania antywirusowego
W miar potrzeb
GS-19
Tworzenie i weryfikacja zaplanowanych zada
W miar potrzeb
GS-20
Tworzenie i modyfikacja szablonw zabezpiecze
W miar potrzeb
GS-21
Zarzdzanie plikami pomocy technicznej
W miar potrzeb
GS-22
Przygotowanie serwera
W miar potrzeb
GS-23
Konfiguracja narzdzi administracyjnych
W miar potrzeb
GS-24
Aktualizacja domylnego profilu uytkownikw
W miar potrzeb
GS-25
Przegld rodowiska sprztowego
W miar potrzeb
GS-26
Dokumentacja systemu i sieci
W miar potrzeb
GS-27
Zarzdzanie umowami o wiadczeniu usug
W miar potrzeb
GS-28
Zarzdzanie priorytetami w rozwizywaniu

problemw
W miar potrzeb
GS-29
Przegld nakadw pracy
W miar potrzeb
Rozdzia 1. Oglne zarzdzanie serwerem
23
Tabela 1.1. Lista zada administracyjnych dla serwera (cig dalszy)

Nr procedury
Czynno
Harmonogram
Sprzt
HW-01
Kontrola urzdze sieciowych
Co tydzie
HW-02
Zarzdzanie BIOS-em serwerw
Co miesic
HW-03
Zarzdzanie aktualizacjami oprogramowania

sprztowego i zarzdzajcego serwerami
Co miesic
HW-04
Zarzdzanie urzdzeniami
W miar potrzeb
Tworzenie i przywracanie kopii zapasowych

BR-01
Generowanie kopii zapasowych stanu systemu
Codziennie
BR-02
Weryfikacja kopii zapasowych
Codziennie
BR-03
Zarzdzanie skadowaniem tam poza lokalizacj

serwerw
Co tydzie
BR-04
Testowanie strategii usuwania skutkw awarii
Co miesic
BR-05
Testowanie procedury przywracania kopii

zapasowych
Co miesic
BR-06
Przegld strategii kopii zapasowych
Co miesic
BR-07
Odbudowa serwera
W miar potrzeb
Administrowanie zdalne
RA-01
Zarzdzanie RDC w serwerach
Co miesic
RA-02
Zarzdzanie RDC w komputerach osobistych
Co miesic
RA-03
Pomoc dla uytkownikw poprzez narzdzie

Pomoc zdalna
W miar potrzeb
RA-04
Skrty do Podczania pulpitu zdalnego i dostp

przez WWW
W miar potrzeb
Harmonogram rwnie moe rni si od przedstawionego w tabeli 1.1. Czstotliwo zada zaley od mnstwa czynnikw, na przykad od niezawodnoci
systemu, jego obcienia, wielkoci i szybkoci dyskw, mocy obliczeniowej procesorw i tak dalej. Jeli przedstawiony harmonogram nie pasuje do konkretnych
potrzeb, mona go zmieni.
Jeli przedstawiony harmonogram nie zaspokaja potrzeb Czytelnikw,
prosimy o uwagi. Chtnie dowiemy si, jaki harmonogram najlepiej
pasuje do Waszych wymaga i opublikujemy zaktualizowane arkusze
na stronie www.Reso-Net.com/PocketAdmin. Oczekujemy na uwagi pod adresem
PocketAdmin@Reso-Net.com.
24
Oglne zarzdzanie serwerem

Serwery z zaoenia projektowane s z myl o obsugiwaniu wielu uytkownikw wykonujcych codzienne zadania. Niezalenie od tego, czy organizacja ma
4 uytkownikw czy 4000, zadaniem administratora systemw jest zapewnienie,
by systemy dziaay poprawnie, zagwarantowanie ich bezpieczestwa i wydajnoci wystarczajcej do produktywnego funkcjonowania serwerw teraz i w przyszoci.
Cz dziaa wymaganych, by osign te cele stosuje si do wszystkich serwerw. Wiele z nich dotyczy po prostu cigoci dziaania systemu i sposobw
interakcji z nim.
GS-01. Skrty Uruchom jako

4 Harmonogram: codziennie
Praca z serwerami czsto wymaga dostpu administracyjnego do systemu. Prawa
dostpu przyznane administratorom systemw Windows Server 2003 s ogromne, poniewa pozwalaj na cakowit kontrol nad komputerem na poziomie
lokalnym, nad domen na poziomie domeny i nad caym lasem na poziomie
przedsibiorstwa. Praw tych musimy uywa z rozwag, szczeglnie dlatego,
e kady program dziaajcy w kontekcie administracyjnym uzyskuje automatycznie wszystkie prawa do komputera.
Poniewa konta administracyjne mog stanowi
zagroenie dla przedsibiorstwa, naley zmieni ich
nazwy na inne ni domylne i zastosowa do nich silne,
zoone hasa, zwykle dusze ni 15 znakw. Aby dodatkowo zwikszy
bezpieczestwo tych kont, moemy je powiza z kartami inteligentnymi.
Na przykad, wirus lub robak uruchomiony w kontekcie administracyjnym moe

spowodowa o wiele wicej szkd ni wtedy, gdy uruchomi si w kontekcie
uytkownika. Z tego powodu skrty Uruchom jako s tak wane. Poniewa
umoliwiaj one wykonywanie polece i uruchamianie aplikacji w innym kontekcie zabezpiecze, pozwalaj na bardziej oszczdne stosowanie dostpu administracyjnego moemy korzysta z konta zwykego uytkownika, wykonujc dziaania administracyjne z ograniczeniem dostpu administracyjnego do
minimum, jednoczenie chronic dobra przedsibiorstwa.
25
Poprzez Uruchom jako moemy skorzysta z kadego narzdzia.

W systemie Windows Server 2003 wystarczy klikn prawym przyciskiem
myszy narzdzie, wybra Uruchom jako, poda odpowiedni nazw konta
i haso oraz klikn OK. Jeli polecenie Uruchom jako nie pojawia si w menu
podrcznym, naley przy klikniciu prawym przyciskiem myszy przytrzyma
klawisz Shift.
To zadanie zostao okrelone jako wykonywane codziennie, poniewa jeli prawidowo zaprojektujemy skrty, to bdziemy z nich korzysta codziennie przy
wykonywaniu czynnoci administracyjnych w kadym serwerze w obrbie organizacji. Moemy tworzy tyle skrtw, ile tylko potrzebujemy. Zalet skrtw
Uruchom jako jest moliwo wyboru konta administracyjnego przy kadym
uruchomieniu narzdzia. Dziki temu moemy do kadego skrtu przyzna
tylko niezbdne prawa dostpu. I poniewa skrty nie s uruchamiane automatycznie w nowym kontekcie (nie mona osadzi w nich nazwy konta i hasa),
same z siebie nie stanowi zagroenia.
Najbezpieczniejsz metod korzystania z polecenia
Uruchom jako jest stosowanie skrtw w trybie
graficznym.
Za pomoc skrtw Uruchom jako warto uruchamia nastpujce narzdzia:

globaln konsol MMC, ktr utworzymy w procedurze GS-17,
Eksplorator Windows,
wiersz polece,
narzdzie Kopia zapasowa.
narzdzia wyspecjalizowane, np. konsole Active Directory i zarzdzanie

Zasadami grup.
Skrty najatwiej tworzy na pulpicie. Po utworzeniu moemy je przenie do paska narzdzi Szybkie uruchamianie i usun z pulpitu. Aby utworzy skrt Uruchom jako:
1.
Przejd do widoku pulpitu. Najszybciej moesz to zrobi, klikajc ikon

Poka pulpit w obszarze Szybkie uruchamianie.
2.
Kliknij prawym przyciskiem myszy dowolne miejsce na pulpicie i wybierz

Nowy/Skrt.
26
3.
Kliknij przycisk Przegldaj, aby znale podane polecenie lub konsol,

ktra ma zosta otwarta, albo wpisz polecenie bezporednio. Zalet
bezporedniego wpisania polecenia jest moliwo uycia zmiennych
rodowiskowych do zlokalizowania polecenia lub konsoli. Na przykad,
dla Eksploratora, wiersza polece i konsoli Kopia zapasowa moemy
uy zmiennej . Kliknij Dalej.
4.
Kliknij Zakocz, aby utworzy skrt.

Zadanie to moemy sobie uatwi poprzez utworzenie kopii skrtw
z menu Wszystkie programy.
5.
Po utworzeniu skrtu kliknij go prawym przyciskiem myszy i wybierz

Waciwoci.
6.
Na zakadce Skrt kliknij przycisk Zaawansowane.
7.
W oknie dialogowym Zaawansowane wybierz Uruchom z innymi

powiadczeniami. Kliknij OK, aby zamkn okno dialogowe.
8.
Kliknij OK, aby zamkn okno dialogowe Waciwoci.
Skrt jest gotowy. Teraz moemy przenie go do obszaru szybkiego uruchamiania. Uycie skrtu spowoduje automatyczne wywietlenie okna dialogowego
Uruchom jako. Tutaj moemy uruchomi polecenie z biecymi powiadczeniami lub wybra Nastpujcy uytkownik i wprowadzi dane konta administracyjnego (patrz rysunek 1.1).
Rysunek 1.1.
Uruchomienie
programu poprzez
Uruchom jako
Skrty Uruchom jako mona te tworzy za pomoc wiersza polece. Wystarczy

umieci polecenie w pliku z rozszerzeniem .cmd i wskaza skrt do tego pliku. Wiersz polece daje nam moliwo bardziej precyzyjnego zdefiniowania
27
polecenia Uruchom jako za pomoc opcji, ktre zmieni domylne zachowanie

polecenia. Oprcz tego wiersz polece pozwala utworzy pojedynczy plik .cmd
zawierajcy polecenia uruchamiajce wszystkie narzdzia niezbdne do wykonywania standardowych zada administracyjnych. Do takiego pliku polece moemy nastpnie utworzy skrt i umieci go w obszarze szybkiego uruchamiania.
Kolejn zalet tej metody jest dostpno opcji
. Peni ona dwie funkcje: zapamituje powiadczenia dla polecenia i pozwala wykorzysta zapisane
powiadczenia. Jeli wic uyjemy w pliku .cmd polecenia o strukturze przedstawionej poniej, bdziemy mogli uruchomi wszystkie niezbdne narzdzia,
przydzielajc do kadego z nich odpowiednie konto uytkownika:

gdzie

to nazwa gwna uytkownika dla konta
administracyjnego, ktrego chcemy uy, a
oznacza ciek i nazw
polecenia, ktre chcemy uruchomi. Polecenia uruchamiajce narzdzia wspomniane uprzednio bd wyglda tak:

!"

!"

Tej samej struktury polece moemy uy dla innych narzdzi, ktre uznamy
za niezbdne do pracy, wymagajcych uprawnie administracyjnych. Plik polece naley zapisa w folderze C:\Toolkit, aby udostpni je wszystkim uywanym kontom administracyjnym. Folder ten jest niezbdny, poniewa folder
Moje dokumenty domylnie pozwala na interakcj z wasnego konta i wymaga
modyfikacji uprawnie, aby inni uytkownicy mieli dostp do jego zawartoci.
Folder ten zostanie dokadniej omwiony w procedurze GS-17.
Koniecznie skorzystaj z procedury FS-13, aby przypisa
odpowiednie parametry zabezpiecze do folderu
C:\Toolkit, zwaszcza jeli maj si w nim znale pliki
polece zawierajce polecenia z zapisanymi powiadczeniami. Umoliwienie
komukolwiek dostpu do tego folderu stanowi powane zagroenie bezpieczestwa.
Mona rozway ograniczenie dostpu do tego folderu jedynie dla kont
administracyjnych i stworzenie skrtu Uruchom jako do pliku polece zestawu
narzdzi. W ten sposb nikt nie bdzie mg nieumylnie uruchomi tego pliku
przez niepoprawny dostp do naszej stacji roboczej.
Z poleceniem mona jeszcze uy dwch przydatnych opcji wiersza polece. Opcja
umoliwia uycie do uwierzytelnienia karty inteligentnej (ang. SmartCard) i powinna by uywana w organizacjach kadcych duy
28
nacisk na bezpieczestwo. Stosowanie kart inteligentnych w systemie Windows

Server 2003 jest tak proste, e uycie ich dla kont administracyjnych jest wysoce
zalecane. Opcja
ogranicza prawa dostpu jedynie do sieci i nie pozwala
nowemu kontekstowi zabezpiecze na interakcj z komputerem lokalnym.
GS-02. Oglna weryfikacja stanu usug

Przeznaczeniem serwera jest dostarczanie usug. Serwer mona uzna za funkcjonujcy poprawnie, gdy wszystkie usugi, ktre ma dostarcza, s uruchomione i w peni funkcjonalne. Dlatego te tak wana jest dokadna dokumentacja
nie tylko konkretnej roli kadego serwera w infrastrukturze naszej sieci, lecz rwnie zainstalowanych usug i oglnego stanu kadej usugi.
Szczegowy arkusz danych serwera jest dostpny pod adresem
www.Reso-Net.com/PocketAdmin. Arkusz ten moe posuy jako
podstawa dokumentacji serwera i identyfikacji zainstalowanych usug.
Aby zweryfikowa stan usug w serwerze:

1.
Uruchom konsol Zarzdzanie komputerem.
2.
Pocz si z odpowiednim serwerem (Akcja/Pocz z innym komputerem)

i albo wpisz nazw serwera (), albo zlokalizuj serwer
za pomoc przycisku Przegldaj. Kliknij OK.
3.
Przejd do okna Usugi (Usugi i aplikacje/Usugi).
4.
Posortuj usugi wedug stanu, klikajc Stan na grze okna Usugi.
5.
Zweryfikuj na podstawie notatek, czy wszystkie usugi s w odpowiednim

stanie uruchomienia. Jeli ktre z usug uywaj powiadcze innych
ni lokalne konto systemowe, skorzystaj z procedury GS-05, aby upewni
si, e wszystkie powiadczenia zostay wprowadzone prawidowo. Zanotuj
i zbadaj wszystkie usugi znajdujce si w innym stanie ni oczekiwany.
Zweryfikuj wszystkie serwery.
Alternatyw dla tej procedury moe by uycie polecenia Remote Server Information z zestawu narzdzi Resource Kit dla kadego serwera, ktrym zarzdzamy i przekierowanie wyjcia polecenia do pliku tekstowego:
#
$
gdzie
oznacza nazw serwera, ktry chcemy zbada. Jeli nazwa
serwera nie zostanie podana, polecenie wywietli informacje o serwerze lokalnym. oznacza nazw i ciek do pliku, do ktrego informacje
29
maj zosta wysane. Ponownie moemy umieci seri takich polece w pliku
.cmd i za pomoc procedury GS-19 codziennie generowa automatycznie pliki
wyjciowe. To pomoe szybko zorientowa si w stanie wszystkich usug w sieci.
Oprcz tego wszystkie usugi moemy kontrolowa za pomoc polece i .
Wpisanie w wierszu polece powoduje wywietlenie listy wszystkich obsugiwanych polece. Szczegowe informacje o kadym poleceniu moemy
otrzyma, wpisujc PC\YCRQNGEGPKC. Jedyn wad tego narzdzia jest
niemoliwo wykonywania polece zdalnie. Aby skorzysta z tych polece, musimy otworzy sesj lokaln albo zdaln w serwerze, ktrym chcemy zarzdza.
Z drugiej strony, polecenie moemy uruchomi w kadym serwerze, do ktrego mamy dostp. Jego struktura wyglda nastpujco:

gdzie oznacza nazw serwera, z ktrym chcemy si poczy,

jest nazw polecenia , ktre ma zosta wykonane, a
wskazuje na usug, z ktr chcemy pracowa. Dodatkowe informacje otrzymamy przez wpisanie
.
Microsoft TechNet Script Center zawiera szereg przykadowych skryptw
WSH (ang. Windows Scripting Host), pomagajcych przeprowadza
prace administracyjne z usugami. Skrypty te znajdziemy pod adresem
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/scrip
tcenter/services/default.asp?frame=true.
GS-03. Weryfikacja dziennika zdarze

System
Kolejnym przydatnym narzdziem diagnostycznym jest systemowy dziennik zdarze, ktry informuje o oglnym stanie zdrowia i funkcjonowaniu serwera.
Kade istotne zdarzenie jest rejestrowane wraz z opisem. Zdarzenia mog nalee do trzech grup:
Informacja: zaszo zdarze nie wystarczajco istotne, by je zarejestrowa.
Zdarzenia te zwykle zwizane s z normaln prac serwera.
Ostrzeenie: wystpi bd niekrytyczny, ktry uzasadnia utworzenie
rekordu w Dzienniku zdarze. Na zdarzenia tego typu naley zwraca
uwag, poniewa szybko mog przej w bdy.
30
Bd: wystpi bd krytyczny, ktry powinien zosta zbadany

i naprawiony. Kade takie zdarzenie musi prowadzi do kontroli
i naprawy. Windows Server 2003 czsto docza szczegowe
informacje o metodach postpowania w takich przypadkach.
Aby sprawdzi dziennik zdarze System w serwerze:
1.
Uruchom konsol Zarzdzanie komputerem.
2.

3.
Przejd do dziennika zdarze System (Zarzdzanie komputerem/

Podgld zdarze/System).
4.
Zidentyfikuj wszelkie bdy i ostrzeenia oraz podejmij odpowiednie

kroki w razie ich pojawienia si.
Zanotuj wszelkie czynnoci naprawcze, ktre musisz podj. Wykorzystaj procedur GS-06 do rejestrowania rnorodnych kontrolowanych codziennie zdarze.
Mona zmieni wielko pliku dziennika. W tym celu kliknij prawym przyciskiem
myszy nazw dziennika w lewym panelu MMC i wybierz Waciwoci. Ustaw
Maksymalny rozmiar dziennika i zwizane z nim zdarzenie zgodnie z potrzebami.
Microsoft TechNet Script Center zawiera szereg przykadowych skryptw
WSH (ang. Windows Scripting Host), pomagajcych przeprowadza
prace administracyjne z usugami. Skrypty te znajdziemy pod adresem
tcenter/logs/default.asp?frame=true.
GS-04. Weryfikacja dziennika zdarze

Zabezpieczenia
Jeli organizacja zdecydowaa si, by prowadzi inspekcje dostpu, to musimy
codziennie weryfikowa dziennik zdarze Zabezpieczenia, aby upewni si, e
w sieci nie zachodz niestosowne zdarzenia.
Inspekcje dostpu mona umoliwi poprzez zmiany w Zasadach grup. Zasady
inspekcji mieszcz si w ustawieniach zabezpiecze zasad grup. Wczenie inspekcji moe mie powany wpyw na dziaanie sieci. Kontrola obiektw i zdarze
spowalnia system, wic powinnimy prowadzi inspekcje tylko tych zdarze
i obiektw, ktre uznamy za krytyczne dla naszej sieci.
31
W systemie Windows Server 2003 wszystkie inspekcje

s domylnie wczone; wystarczy wic dokadniej
zdefiniowa i doda obiekty, ktre chcemy weryfikowa.
Poza tym dziennik zdarze Zabezpieczenia ma zdefiniowany rozmiar: 132 MB
i jest po zapenieniu nadpisywany.
Aby zdefiniowa lub przejrze zasady inspekcji:

1.
Korzystajc z procedury DC-16, dokonaj edycji odpowiedniego obiektu

zasad grupy (ang. GPO Group Policy Object). Bdzie to zazwyczaj
GPO stosujcy si do wszystkich obiektw w domenie.
2.
W Edytorze obiektw zasad grupy wybierz Konfiguracja komputera/

Ustawienia systemu Windows/Ustawienia zabezpiecze/Zasady inspekcji.
3.
Kliknij dwukrotnie zdarzenie, ktre chcesz kontrolowa i zmodyfikuj

zasady. Rejestrowane mog by sukces lub niepowodzenie zdarzenia,
albo jedno i drugie.
4.
Udokumentuj kad dokonan zmian ustawie.

Arkusz dokumentacji zasad grup jest dostpny na stronie www.Reso-Net.com/PocketAdmin.
Aby dokona inspekcji dostpu do obiektu, na przykad kontenera w AD lub pliku w serwerze, trzeba wczy inspekcje dla tego obiektu i zidentyfikowa, kto
powinien podlega inspekcji. W tym celu:
1.
Znajd obiekt przeznaczony do inspekcji. Zamiast pojedynczych obiektw

warto kontrolowa kontenery, na przykad foldery i jednostki organizacyjne.
2.
Kliknij obiekt prawym przyciskiem myszy i wybierz Waciwoci. Przejd

do zakadki Zabezpieczenia.
3.
Kliknij przycisk Zaawansowane. Aby to byo moliwe w przypadku AD,

naley w konsolach Active Directory wczy w menu Widok opcj Opcje
Zaawansowane.
4.
Zidentyfikuj grupy, ktre chcesz kontrolowa. Zwykle atwiej jest

wybiera grupy o szerokim zasigu, na przykad Uytkownicy
uwierzytelnieni, zamiast grup bardziej konkretnych. Wszystko zaley
od tego, kogo i co chcemy kontrolowa.
5.
Od tej chwili zdarzenia dostpu bd monitorowane w dzienniku

zdarze Zabezpieczenia.
32
Zanotuj wszelkie wprowadzone zmiany. Aby przejrze wyniki inspekcji:

1.
Uruchom konsol Zarzdzanie komputerem (pasek Szybkie uruchamianie/

Zarzdzanie komputerem).
2.

3.
Przejd do dziennika zdarze Zabezpieczenia (Narzdzia systemowe/

Podgld zdarze/Zabezpieczenia).
4.
Zidentyfikuj wszelkie zdarzenia zakoczone powodzeniem lub

niepowodzeniem. Podejmij odpowiednie dziaania w razie odkrycia
niepodanych dziaa.
Zanotuj wszelkie czynnoci naprawcze, ktre trzeba byo podj. Korzystajc

z procedury GS-06, zarejestruj sprawdzane codziennie zdarzenia.
Rozmiar dziennika zdarze Zabezpieczenia mona zmieni. W tym celu skorzystaj z ostatniej czci procedury GS-03.
W przypadku zablokowania pliku dziennika (Nie zastpuj zdarze)
po osigniciu przez plik maksymalnej wielkoci serwer zostanie
automatycznie wyczony i bdzie wymaga wyczyszczenia pliku.
GS-05. Zarzdzanie kontami usug

i administracyjnymi
Konta administracyjne s cennymi dobrami w kadej sieci. Miny ju czasy, gdy
rozdawano je prawie kademu, kto wystarczajco gono si ich domaga. W dzisiejszych sieciach Windows Server 2003 moemy i powinnimy definiowa jedynie dostateczny poziom praw dostpu kademu, kto wchodzi w interakcj
z systemem. Wobec tego powinnimy mie jak najmniej kont administracyjnych
na poziomie domeny lub lasu, za to o wiele wicej wyspecjalizowanych kont
administracyjnych, ktre bd miay prawa dostpu wystarczajce jedynie do
wykonania okrelonych zada. Konta te i ich prawa dostpu powinny by przynajmniej przegldane codziennie.
Kilka procedur wspomaga przyznawanie odpowiednich praw i uprawnie dla kont
administracyjnych. Niektre z nich s przydzielane przez wykorzystanie wbudowanych grup zabezpiecze, na przykad Serwer lub Operatorzy kopii zapasowych,
33
za inne przez kojarzenie z zasadami Przypisywanie praw uytkownikw dla kont

lub grup zawierajcych te konta. Trzy narzdzia pozwalaj przydziela odpowiednie prawa:
Uytkownicy i komputery usugi Active Directory pozwala tworzy

konta i przydziela je do wbudowanych albo wasnych grup
administracyjnych.
Konsola Group Policy Management Console pozwala znajdowa

i modyfikowa odpowiednie GPO.
Edytor obiektw zasad grupy pozwala przypisywa prawa uytkownikw.
Oprcz tego konsola Zarzdzanie komputerem moe przyda si do przydzielania praw lokalnych do grup domeny i kont.
Aby zmodyfikowa prawa uytkownika, skorzystaj z procedury DC-16 w celu
edycji odpowiedniego GPO, zwykle tego wpywajcego na wszystkie obiekty,
ktre chcesz zmodyfikowa. Znajd ustawienia User Rights Assignment (Computer Policy/Security Settings/Local Policies/User Rights Assignment) i przypisz
odpowiednie ustawienia do kont administracyjnych. Zawsze atwiej jest przypisywa prawa do grupy ni do indywidualnych obiektw, wic dobrze jest
zgromadzi konta administracyjne w grupy administracyjne. Skorzystaj ponownie z procedury DC-16, aby zapewni waciwe wykorzystanie tych kont.
Oprcz tego we wspczesnych sieciach przedsibiorstw trzeba te zarzdza
kontami usug kontami, ktre posiadaj wystarczajce przywileje administracyjne, by obsugiwa konkretne usugi w sieci. Na przykad, konta usug mog
suy do uruchamiania mechanizmw narzdzi antywirusowych i zaplanowanych zada (patrz procedura GS-19). Zalet korzystania z konta usugi do uruchamiania danej usugi lub zautomatyzowanego zadania jest moliwo kontroli poprawnoci dziaania usugi za pomoc dziennika zdarze Zabezpieczenia.
Zdarzenie sukcesu jest zapisywane w tym dzienniku za kadym razem, gdy usuga wykorzysta swj uprzywilejowany dostp lub zaloguje si.
Konta usug musz mie okrelone przywileje i ustawienia:
Konto musi mie zoon nazw.
Do konta musi by przypisane zoone haso o dugoci przynajmniej

15 znakw.
Haso nigdy nie wygasa.
Uytkownik nie moe zmieni hasa.
Prawo Dziaanie jako element systemu operacyjnego.
Prawo Logowanie w trybie usugi.
34
Dwa ostatnie ustawienia nie powinny by stosowane

zbyt skwapliwie, zwaszcza Dziaanie jako element
systemu operacyjnego, poniewa przyznaj usudze
wyjtkowo wysoki poziom dostpu.
Dwa ostatnie ustawienia trzeba skonfigurowa w GPO w Przypisywanie praw

uytkownika (ang. User Rights Assignment). Prosz te pamita o przegrupowaniu kont usug w grupy usug.
Konta usug wymagaj dodatkowych nakadw pracy, poniewa wymagaj regularnych zmian hase. Nie jest to ograniczone do prostej zmiany hasa w konsoli
Uytkownicy i komputery usugi Active Directory, poniewa po przypisaniu konta
usugi do usugi musimy w usudze poda haso konta, aby moga dziaa prawidowo. Oznacza to, e musimy dodatkowo zmieni haso w oknie dialogowym
Waciwoci usugi. W tym celu mona posuy si procedur GS-02.
Microsoft TechNet Script Center zawiera przykadowy skrypt WSH,
ktry pozwala zmienia hasa kont usug. Skrypt ten jest dostpny
pod adresem http://www.microsoft.com/technet/treeview/
default.asp?url=/technet/scriptcenter/services/scrsvc01.asp?frame=true.
Pozwala on rwnie zmienia hasa dla kont uytkownikw administracyjnych.
Szereg skryptw do pracy z kontami uytkownikw znajdziemy pod adresem
tcenter/user/default.asp?frame=true.
GS-06. Utrzymanie dziennika dziaa

Jednym z zada administratora jest rejestrowanie na bieco wasnych dziaa
i tego, co musi zrobi w celu utrzymania i przeprowadzenia napraw w sieci. Z tego
powodu kady administrator powinien utrzymywa dziennik swoich dziaa.
W idealnej wersji dziennik ten powinien mie posta elektroniczn i by przenony, aby mona byo robi notatki w kadej chwili. Moe by przechowywany
w komputerze rcznym Tablet PC lub Pocket PC. Tablet PC jest bardziej przydatny, poniewa obsuguje w peni funkcjonaln wersj Windows i pozwala
uruchamia pliki pomocy Windows Server 2003 (patrz procedura GS-21) oraz
maszyny wirtualne w celu symulowania problematycznych sytuacji. Oprcz tego
Microsoft OneNote idealnie nadaje si do rejestrowania codziennych czynnoci.
Jeli adne z tych urzdze nie jest dostpne, administrator powinien przynajmniej nosi ze sob cay czas papierowy dziennik. Sposb jego prowadzenia zaley od osobistych preferencji, lecz czasem najlepiej jest rejestrowa swoje dziaania w miar ich wykonywania zamiast czeka na okrelon por dnia.
35
Przykadowy dziennik dziaa dostpny jest pod adresem www.Reso-Net.com/PocketAdmin.
GS-07. Zarzdzanie raportem

o czasie dostpnoci systemu
Raz na tydzie naley generowa raporty o czasie dostpnoci wszystkich serwerw. Pozwoli to ledzi stan poszczeglnych serwerw i identyfikowa, ktre konfiguracje najlepiej sprawdzaj si w danym rodowisku. Do tworzenia
tych raportw moemy posuy si kilkoma narzdziami.
Ostatni wiersz raportu generowanego przez polecenie , opisane w procedurze GS-02, informuje o tym, od jak dawna serwer jest czynny. Kolejne polecenie, , podaje informacje o badanym serwerze i od jakiego czasu
system funkcjonuje. Trzecie narzdzie, , zostao zaprojektowane specjalnie do raportowania czasu pracy serwera. Narzdzie to trzeba pobra z witryny
Microsoftu. Przejd do www.microsoft.com/downloads i wyszukaj uptime.
Z pomoc tego narzdzia i odrobiny pomysowoci mona generowa raporty
o czasie dostpnoci automatycznie:
1.
Pobierz i zainstaluj uptime.exe w folderze C:\Toolkit.
2.
Utwrz plik polece, zawierajcy dla kadego serwera w sieci polecenie:

3.
Zapisz plik polece.
4.
Korzystajc z procedury GS-19, stwrz cotygodniowy harmonogram

dla tego pliku polece.
5.
W zaplanowanym zadaniu przekieruj wynik do pliku tekstowego

za pomoc polecenia:
%& $%&
Polecenie bdzie teraz tworzy raport co tydzie. Od tej pory bdziemy
musieli jedynie znale plik wyjciowy i przejrze wyniki.
Microsoft TechNet Script Center zawiera dwa skrypty zwizane
z zarzdzaniem czasem dostpnoci systemu. Pierwszy to Determining
System Uptime, a drugi to Monitoring System Uptime. Oba dostpne s
pod adresem http://www.microsoft.com/technet/treeview/default.asp?url=/
technet/scriptcenter/monitor/default.asp?frame=true.
36
GS-08. Zarzdzanie skryptami

4 Harmonogram: co tydzie
Skrypty uruchamiane w rodowisku Windows Script Host (host skryptw systemu Windows) s niezbdnym elementem zarzdzania sieci Windows. Jak
wiemy, skrypty w systemie Windows stanowi wasny wiat. Jzyk pisania
skryptw wyewoluowa do poziomu, na ktrym skrypt stanowi wyrafinowany
program, uruchamiany albo w trybie graficznym (przeznaczonym dla uytkownikw), albo w trybie tekstowym (skrypty administracyjne). Wybr trybu odbywa
si przez wybr polecenia aktywujcego skrypt:
&

gdzie uruchamia skrypt w trybie graficznym, a w znakowym.

Poniewa pojawiy si ju wirusy skryptowe, takie jak ILOVEYOU.vbs, musimy upewni si, e uruchamiane skrypty s bezpieczne. Najlepszym sposobem
na to jest podpisywanie skryptw certyfikatami cyfrowymi. Najpierw musimy
zdoby certyfikat. Moemy go albo otrzyma od zewntrznego wydawcy certyfikatw, albo wyda sobie samemu, jeli zdecydujemy si zainstalowa wasny
serwer certyfikatw (usug serwera dostpn w systemie Windows Server 2003).
Do tego moe posuy procedura DC-11.
Podpisanie skryptu certyfikatem jest dziaaniem programistycznym.
Przykadowe skrypty do dodawania podpisw i zarzdzania nimi
s dostpne w Microsoft TechNet Script Center pod adresem
tcenter/security/default.asp?frame=true.
Skrypty mona rwnie chroni przez zakodowanie.

Microsoft Script Encoder jest dostpny pod adresem
http://msdn.microsoft.com/scripting/vbscript/
download/x86/sce10en.exe.
Kady tworzony i podpisywany skrypt powinien mie pen, aktualizowan co

tydzie dokumentacj, zawierajc wszystkie istotne informacje o skrypcie.
Do dokumentowania zawartoci skryptu moe posuy inny skrypt.
Przykadowy kod dostpny jest w Microsoft TechNet Script Center pod
adresem http://www.microsoft.com/technet/treeview/default.asp?url=/
technet/scriptcenter/other/ScrOth03.asp?frame=true.
37
Pisanie skryptw moe by sporym wyzwaniem, jeli nie znamy Windows Management Instrumentation (WMI) lub Active Directory Services Interface (ADSI).
Dlatego te doskonaym pomysem moe by wykorzystanie do generowania
za nas skryptw narzdzia Microsoft Scriptomatic. Narzdzie to jest dostpne
w Microsoft Download Center; wystarczy poszuka Scriptomatic w www.microsoft.com/downloads. Oprcz tego dobre wprowadzenie do pisania skryptw jest
dostpne pod adresem http://msdn.microsoft.com/library/en-us/dnclinic/html/
scripting06112002.asp.
Instalacja narzdzia Scriptomatic jest prosta, wystarczy rozpakowa pobrane archiwum. Plik scriptomatic.hta naley zapisa w folderze C:\Toolkit. Moemy
te uy skrtu Uruchom jako (patrz procedura GS-01) do uruchamiania Scriptomatic i umieci go w obszarze szybkiego uruchamiania.
Aby napisa skrypt za pomoc narzdzia Scriptomatic:
1.
Uruchom scriptomatic.hta lub skrt Uruchom jako.
2.
W programie Scriptomatic wybierz klas WMI, z ktr chcesz pracowa.

Kada klasa ma nazw w postaci Win32_nazwa. Wystarczy zwrci
uwag na ostatni cz nazwy klasy. Na przykad, aby napisa skrypt
pozwalajcy wywietli stan kadej usugi, wybierz klas .
Scriptomatic automatycznie generuje waciwy skrypt (patrz rysunek 1.2).
Rysunek 1.2. Aby wygenerowa skrypt wywietlajcy grupy lokalne w komputerze,

wybierz klas Win32_Group w narzdziu Scriptomatic
38
3.
Kliknij Run. Scriptomatic uruchomi konsol polece, aby uruchomi

skrypt.
4.
Kliknij Save, aby zapisa skrypt w pliku z rozszerzeniem VBS.
Skrypty te mog posuy do wykonywania zada administracyjnych i rejestrowania wynikw wyjciowych. W tym celu wpisz polecenie:
%& $%&
gdzie oznacza nazw skryptu przeznaczonego do uruchomienia, a bdzie utworzonym plikiem z danymi wyjciowymi. Za
pomoc procedury GS-19 mona umieci to polecenie w zaplanowanym zadaniu i uruchamia zgodnie z harmonogramem.
Scriptomatic moe pomc w generowaniu skryptw logowania. Aby utworzy
kompletny skrypt logowania, moe okaza si konieczne poczenie fragmentu
skryptu WMI z fragmentem skryptu ADSI. Opisuje to procedura DC-31.
Oprcz skryptu logowania moemy chcie wywietla komunikat dla uytkownikw przed logowaniem. Pomaga to ostrzega uytkownikw przed prawnymi konsekwencjami naduycia sprztu komputerowego i informacji. Do tego
ponownie posuy GPO. Aby wywietli komunikat przy logowaniu, mona
posuy si procedur DC-16 do edycji odpowiedniego GPO i modyfikacji
ustawie:
User Configuration/Windows Settings/Security Settings/Local Policies/

Security Options/Interactive Logon/Message title for users attempting
to log on
User Configuration/Windows Settings/Security Settings/Local Policies/

Security Options/Interactive Logon/ Message text for users attempting
to log on
GS-09. Zarzdzanie certyfikatami skryptw

Najlepsz metod na zapewnienie, by jedynie podpisane skrypty mogy by
uruchamiane w naszej sieci, s Zasady ogranicze oprogramowania (ang. SRP
Software Restriction Policies). SRP umoliwiaj weryfikacj skryptw i programw poprzez wykorzystanie jednego z czterech sposobw:
Reguy mieszania,
Reguy certyfikatw,

Reguy cieki,
Reguy strefy internetowej.
39
Najprostsze i najbezpieczniejsze w uyciu s reguy mieszania i (lub) certyfikatw. Obie mona zastosowa do skryptw i programw, takich jak pakiety instalacyjne dla przedsibiorstwa (zwykle w formacie Instalatora systemu Windows
.msi). Reguy SRP oparte na certyfikatach mona zastosowa lub zweryfikowa
nastpujco:
1.
Zastosuj procedur DC-16 do edycji odpowiedniego GPO. Powinna si

ona stosowa do wszystkich docelowych systemw.
2.
Kliknij prawym przyciskiem myszy Zasady ogranicze oprogramowania

(Konfiguracja komputera/Ustawienia systemu Windows/Ustawienia
zabezpiecze/Zasady ogranicze oprogramowania) i wybierz Nowe
zasady ogranicze oprogramowania z menu podrcznego. Ta czynno
spowoduje wygenerowanie rodowiska SRP.
3.
Upewnij si, e w lewym panelu rozwinite s Zasady ogranicze

oprogramowania, a nastpnie kliknij prawym przyciskiem myszy Reguy
dodatkowe i wybierz Nowa regua certyfikatu.
4.
W oknie dialogowym Nowa regua certyfikatu kliknij Przegldaj, aby

znale certyfikat uywany do podpisywania pakietw instalacyjnych
i skryptw, wybierz poziom zabezpiecze Bez ogranicze i wpisz opis.
Kliknij OK.
5.
Przejd do Zasad ogranicze oprogramowania i wybierz z prawego panelu

Wyznaczone typy plikw. Pliki .wsh i .msi bd ju wymienione jako
wyznaczone. Kliknij OK, aby zamkn okno dialogowe.
6.
Wybierz w tej samej lokalizacji Zaufani wydawcy. Upewnij si,

e Uytkownicy kocowi mog przyjmowa certyfikaty, i e zaznaczone
s pola wyboru przy Wydawca i Sygnatura czasowa. Kliknij OK.
7.
Wybierz Wymuszanie, aby sprawdzi, czy pliki .dll nie s weryfikowane,

i czy to ustawienie stosuje si do wszystkich uytkownikw.
Mona wyczy z tej reguy administratorw lokalnych,
lecz z du rozwag.
8.
Udokumentuj wszystkie zmiany.
40
GS-10. Aktualizacje definicji wirusw

dla programw antywirusowych
Ochrona przed wirusami jest kluczowym elementem
zintegrowanego systemu ochrony. Oznacza to, e musimy
na bieco kontrolowa poprawno jej dziaania.
To jest pierwsze zadanie typu oglnego. Zostao tu umieszczone, poniewa

naley je bezwzgldnie wykonywa w serwerach, lecz nie dotyczy samego systemu Windows Server 2003.
Zarzdzanie zabezpieczeniami antywirusowymi wymaga wykonywania trzech
cotygodniowych zada:
Kontroli dziennikw systemu antywirusowego, aby upewni si,

e w cigu ostatniego dnia nie zostay znalezione adne wirusy.
Kontroli konsoli zarzdzania systemem antywirusowym, aby sprawdzi,

czy posiadane sygnatury wirusw s aktualne. Harmonogram aktualizacji
mona zmieni, jeli jest niewystarczajcy lub gdy wzrasta zagroenie
wirusami.
Losowego skanowania udziaw plikowych, aplikacji i dyskw

systemowych, aby upewni si, e nie zawieraj wirusw.
W niektrych narzdziach antywirusowych wikszo tych zada mona zautomatyzowa, a konsola zarzdzajca oprogramowaniem moe ostrzega administratora o znalezieniu nowych wirusw.
Upewnij si, e narzdzie antywirusowe jest zgodne z systemem
Windows Server 2003. Najlepiej byoby, gdyby program by certyfikowany
dla tej platformy.
GS-11. Restart serwera

Od chwili pojawienia si Windows NT Microsoftu, zwaszcza NT 4.0 w roku
1996, wikszo administratorw systemw dosza do wniosku, e dobrze jest
regularnie restartowa serwery korzystajce z tego systemu operacyjnego, aby
41
oczyci pami RAM i oglnie odwiey system. Od tamtej pory Microsoft

podj powane wysiki, by ograniczy, a nawet wyeliminowa konieczno
wykonywania tej procedury.
Przed wprowadzeniem tego zwyczaju w ycie zdecydowanie radzimy
zorientowa si, jak Windows Server 2003 funkcjonuje w danej sieci.
Okae si, e serwery WS03 nie wymagaj ju regularnych restartw.
W istocie Czytelnikw moe zaskoczy poziom dostpnoci, jaki mona osign
w tym systemie operacyjnym. Dowodem bd raporty czasu dostpnoci,
generowane w procedurze GS-07.
Jeli kto uzna, e regularne wykonywanie tej czynnoci jest niezbdne, to moe
posuy si poleceniem ! , pozwalajcym zdalnie wycza i restartowa
serwery. Ponisze polecenie wykonuje restart zdalnego serwera:
' &((#(nazwaserwera
gdzie " da restartu, " zmusza uruchomione aplikacje do zamknicia, a "

wskazuje komputer przeznaczony do restartu. Podobnie jak w przypadku kadego polecenia tekstowego, moemy utworzy plik polece zawierajcy polecenie dla kadego serwera, ktry chcemy zamkn. W takim przypadku naley dodatkowo uy parametru " , aby doda komunikat do polecenia:
' &((#(nazwaserwera( &&
Procedura GS-19 pozwoli przypisa plik polece do zaplanowanego zadania.

Polecenie ' & automatycznie omija ledzenie zdarze zamknicia
systemu okno dialogowe, ktre musimy standardowo wypeni
przy wyczaniu serwera Windows Server 2003. Wobec tego naley
utrzymywa rejestr zdarze wyczenia systemu, aby dokumentowa
zautomatyzowane restarty.
ledzenie zdarze zamknicia systemu to narzdzie, ktrego Windows Server 2003

uywa do rejestrowania informacji o wyczaniu i restartach serwera. Zapisuje
ono swoje informacje w folderze %SystemRoot\System32\LogFiles\Shutdown.
Dziaanie narzdzia mona kontrolowa przez dwa ustawienia GPO:
Konfiguracja komputera/Szablony administracyjne/System/Wywietl

ledzenie zdarze zamknicia systemu
Konfiguracja komputera/Szablony administracyjne/System/Uaktywnij

funkcj Dane o stanie systemu ledzenie zdarze zamknicia systemu
Do modyfikacji odpowiedniego GPO moe posuy procedura DC-16. Ten

obiekt GPO powinien stosowa si do wszystkich serwerw.
42
Microsoft TechNet Script Center zawiera przykadowy skrypt do restartu

komputera pod adresem http://www.microsoft.com/technet/treeview/
default.asp?url=/technet/scriptcenter/comptmgmt/
ScrCM38.asp?frame=true.
GS-12. Przegld i aktualizacja

zasad zabezpiecze
4 Harmonogram: co miesic
Zasady zabezpiecze s narzdziem, ktre stanowi podstaw programu bezpieczestwa sieci. Decyduj o wszystkim, midzy innymi o tym, jak reagowa na
naruszenia bezpieczestwa i jak chroni si przed nimi. Identyfikuj jednolite
standardy bezpieczestwa, ktre implementujemy w organizacji, i obejmujce
procedury zarwno techniczne, jak i nietechniczne. Przykadem zasad technicznych mog by parametry zabezpiecze, definiowane podczas przygotowywania do eksploatacji kadego komputera w organizacji. Zasady nietechniczne to
przyzwyczajenie uytkownikw do wybierania i chronienia zoonych hase.
Oprcz tego musimy zidentyfikowa parametry dla kadej zdefiniowanej zasady.
Przykadowa lista pozycji zawartych w zasadach zabezpiecze dostpna
jest na stronie WWW towarzyszcej ksice: www.Reso-Net.com/
PocketAdmin.
Comiesiczna weryfikacja zasad zabezpiecze powinna obejmowa przegld

wszystkich pozycji zawartych w tych zasadach i odpowiada na pytania:
Jak skuteczny jest program komunikacji z uytkownikami? Czy powinien

by ulepszony?
Jak skuteczne s strategie bezpieczestwa? Czy powinny by wzmocnione?
Czy administratorzy stosuj si do wszystkich zasad bezpieczestwa?
Czy nie zostay zidentyfikowane jakie potencjalne naruszenia

bezpieczestwa?
Czy nowe technologie s bezpieczne? Jaki jest ich wpyw na globaln

strategi bezpieczestwa firmy?
Wszystkie zmiany dokonane podczas tego przegldu powinny zosta udokumentowane i przekazane uytkownikom.
43
GS-13. Weryfikacja aktualizacji zabezpiecze

Aktualizacje zabezpiecze s nieuniknionym elementem rodowiska komputerowego kadej organizacji. Lecz jeli nasze systemy operacyjne s prawidowo
zaprojektowane a w serwerach uruchomione s tylko usugi niezbdne do penienia ich rl, to najprawdopodobniej bdziemy mogli ograniczy weryfikacje
dostpnych aktualizacji zabezpiecze do przegldw raz na miesic.
Windows i Microsoft udostpniaj kilka narzdzi i technik sucych do tego.
Microsoft oferuje powiadamianie o biuletynach zabezpiecze poczt elektroniczn. Moemy dokona subskrypcji tego i innych biuletynw Microsoftu w register.microsoft.com/regsys/pic.asp. Do tego niezbdny jest Microsoft Passport.
Jeli kto go nie ma, to moe zdoby go, postpujc zgodnie z instrukcjami
umieszczonymi na tej stronie. Kto nie chce korzysta z paszportu, moe dokona
subskrypcji pod adresem http://register.microsoft.com/subscription/subscribeme.
asp?ID=135. Jest jeszcze biuletyn powicony bezpieczestwu i poprawkom,
udostpniajcy przydatne informacje. Mona go znale pod adresem http://
www.microsoft.com/technet/security/current.asp.
Microsoft nie jest jedyn organizacj, ktra rozsya biuletyny powicone bezpieczestwu. Doskonaym rdem informacji tego typu jest SANS Institute.
Biuletyny SANS mona subskrybowa pod adresem www.sans.org/newsletters.
Kolejnym przydatnym rdem podobnych informacji o rnych technologiach
jest CERT Coordination Center (Cert/CC): http://www.cert.org.
Oprcz tego Windows Server 2003 obsuguje aktualizacje automatyczne. Oznacza to, e system moe wstpnie pobra poprawki i aktualizacje oraz powiadomi administratora, e s gotowe do zainstalowania. Funkcj t mona tak
zmodyfikowa, by wszystkie komputery w sieci przedsibiorstwa pobieray dane
aktualizacji z centralnego serwera intranetowego. Su do tego ustawienia GPO,
mieszczce si w Konfiguracja komputera/Szablony administracyjne/Skadniki
systemu Windows/Windows Update i obejmujce:
Konfigurowanie aktualizacji automatycznych w rodowisku

duego przedsibiorstwa powinnimy wybra ustawienie 4, co oznacza,
e aktualizacje bd pobierane i instalowane zgodnie ze staym
harmonogramem co miesic.
Okrel lokalizacj intranetow usugi aktualizujcej firmy Microsoft

nazwa serwera, z ktrego aktualizacje bd pobierane; powinna to by
pena nazwa DNS.
44
Bez automatycznego uruchamiania ponownego dla zaplanowanych

instalacji aktualizacji automatycznych to ustawienie powstrzymuje
serwery przed restartem po instalacji aktualizacji. Serwery moemy
uruchamia ponownie zgodnie z bardziej regularnym harmonogramem,
korzystajc z procedury GS-11.
Do edycji odpowiedniego GPO moe posuy procedura DC-16. Ten obiekt GPO
powinien stosowa si tylko do serwerw. Kolejny GPO naley skonfigurowa
podobnie dla stacji roboczych, lecz w miar moliwoci z uyciem innego intranetowego serwera rdowego. Ustawienia te powinny by stosowane w poczeniu z Microsoft Software Update Services (SUS). Serwer SUS posuy
do sprawdzenia poprawnoci aktualizacji zabezpiecze niezbdnych w naszym
rodowisku sieciowym. Wszystkie zmiany powinny by udokumentowane.
Aby pobra i zainstalowa SUS, poszukaj Microsoft Software Update
Services pod adresem www.microsoft.com/downloads.
Do analizy stanu poprawek i pakietw Service Pack w naszych systemach moe te posuy Microsoft Baseline Security Analyzer (MBSA). MBSA jest
dostpny w serwisie Microsoft Download: szukaj MBSA pod adresem www.
microsoft.com/ downloads.
Do skanowania systemw Windows Server 2003 potrzebna jest wersja
MBSA 1.1.1 lub nowsza.
Poniewa plik instalacyjny MBSA jest plikiem Instalatora Windows, program

mona zainstalowa interaktywnie lub za pomoc procedury DC-15 w kilku systemach docelowych. MBSA moe posuy do skanowania pojedynczego systemu
lub caej sieci. Potrafi nawet skanowa segmenty sieci na podstawie zakresw
adresw IP.
Aby sprawdzi system:
1.
Uruchom MBSA (menu Start/Wszystkie programy/Microsoft Baseline

Security Analyzer).
2.
Wybierz Scan a computer.
3.
Wpisz nazw komputera lub adres IP i wybierz opcje skanowania.

Kliknij Start scan (rysunek 1.3).
4.
Po zakoczeniu skanowania przejrzyj raport w panelu szczegw MBSA.

Raport jest automatycznie zapisywany wraz z nazw domeny, nazw
komputera i dat w folderze \%UserProfile%\Security Scans bezporednio
w folderze Documents and Settings.
45
Rysunek 1.3. Microsoft Baseline Security Analyzer

Otrzymane raporty zawieraj istotne informacje
o bezpieczestwie systemw, wic naley je
przechowywa z zachowaniem zasad bezpieczestwa.
GS-14. Aktualizacja poprawek

i pakietw Service Pack
Po zaaprobowaniu przez serwer SUS aktualizacje bd automatycznie instalowane we wszystkich wyznaczonych systemach, jeli odpowiednio skonfigurujemy GPO (patrz procedura GS-13). Najlepszym sposobem na uytkowanie SUS
jest podzia na dwa rodowiska: produkcyjne i testowe (laboratorium). Z laboratoryjnym serwerem testowym powinno by poczonych kilka komputerw
(PC i serwerw).
Serwer Software Update Services weryfikuje i instaluje jedynie
aktualizacje krytyczne i zwizane z bezpieczestwem. Aby instalowane
byy rwnie aktualizacje sterownikw i inne, musimy skorzysta
z serwisu WWW Windows Update: http://v4.windowsupdate.microsoft.com/
pl/default.asp.
46
Do akceptowania aktualizacji powinno posuy laboratorium testowe:

1.
Uruchom konsol SUS w serwerze testowym przez przejcie do http://

nazwaserwera/SUSAdmin, gdzie nazwaserwera jest adresem DNS serwera
testowego.
2.
Kliknij Approve Updates, aby przejrze dostpne aktualizacje. Posortuj

aktualizacje wedug stanu (Status). Zaznacz te, ktre dotycz posiadanego
rodowiska.
3.
Kliknij przycisk Approve, aby wprowadzi wszystkie zaznaczone

aktualizacje. Zaczekaj na wprowadzenie ich w komputerach testowych
i uruchom komputery ponownie, jeli to bdzie konieczne.
4.
Sprawd, czy systemy testowe dziaaj poprawnie po wprowadzeniu zmian.

Jeli wystpi problem, usuwaj aktualizacje jedn po drugiej, aby znale
t sprawiajc problemy, dopki problem nie zostanie rozwizany. Zastosuj
ponownie pozostae aktualizacje. Zanotuj zaakceptowane poprawki.
5.
Przejd do produkcyjnego serwera SYS i zaaprobuj aktualizacje

do rozprowadzenia w systemach produkcyjnych.
Poprawki i aktualizacje s za pomoc SUS instalowane automatycznie, lecz nie

dotyczy to pakietw serwisowych (Service Pack). Wymagaj one zwykle bardziej dokadnego przygotowania do instalacji. Przygotowanie obejmuje znacznie bardziej szczegowe testy ni dla poprawek, poniewa pakiety serwisowe
wpywaj na wiele elementw serwera. Po sprawdzeniu i zaaprobowaniu pakietu
serwisowego mona go wdroy za pomoc procedury DC-15 (chyba e w rodowisku dostpne jest bardziej solidne narzdzie instalacyjne, na przykad SMS).
Microsoft TechNet Script Center zawiera kilka skryptw zwizanych
z zarzdzaniem poprawkami i pakietami serwisowymi (Enumerate
Installed Hot Fixes i Identify the Latest Installed Service Pack):
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/
scriptcenter/compmgmt/default.asp?frame=true.
GS-15. Ocena nowego oprogramowania

Raz na miesic musimy znale czas na przegld nowego oprogramowania administracyjnego. Celem tego zadania jest sprawdzenie, czy moemy zmniejszy
nakady pracy zwizane z administrowaniem, wprowadzajc nowy produkt.
Dobrym przykadem wysoce produktywnego narzdzia eksploatacyjnego jest
47
Microsoft Operations Management Server (MOM). MOM jest bardzo efektywny, poniewa monitoruje zdarzenia systemowe w serwerach, automatycznie poprawia zachowania, ktre mog by potencjalnie szkodliwe i powiadamia administratora o zmianach.
Jeli rodowisko komputerowe naszej firmy nie jest na tyle due, by uzasadniao
uycie tak wyrafinowanego narzdzia jak MOM, moemy poszuka innego
narzdzia o podobnych moliwociach. Wiele powtarzajcych si zada administracyjnych mona wykona z pomoc skryptw, jak pokazalimy ju w szeregu przykadw. Do tego mog take posuy niedrogie lub darmowe narzdzia. Dwoma cennymi rdami informacji o takich narzdziach s strony www.
MyITForum.com i www.TechRepublic.com.
Warto uwaa, aby nie stosowa narzdzi rnicych si powanie od siebie
sposobem uycia. Dziki temu ograniczymy liczb narzdzi lub interfejsw,
ktrych administratorzy naszej sieci bd musieli si uczy. Wszelkie nowe narzdzia w sieci powinny zosta udokumentowane.
Do monitorowania okrelonych zdarze w Dzienniku zdarze i generowania
alarmw w razie ich wystpienia moe te posuy skrypt dostpny
w Microsoft TechNet Script Center: http://www.microsoft.com/technet/
treeview/default.asp?url=/technet/scriptcenter/monitor/
ScrMon21.asp?frame=true.
GS-16. Inwentaryzacja
Jednym z zada, ktre naley wykona przynajmniej raz na miesic jest zarzdzanie inwentarzem. Dotyczy to zarwno sprztu, jak i oprogramowania. W sieci
moe by obecne narzdzie do inwentaryzacji, np. Systems Management Server,
lub nie. Jeli jest, to doskonale problem z gowy. Jeli nie, potrzebne bd
inne narzdzia.
Microsoft oferuje narzdzie Microsoft Software Inventory Analyser (MSIA). Nie
inwentaryzuje ono caoci oprogramowania, lecz przynajmniej zarzdza wszystkimi programami Microsoftu. Aby pobra MSIA, wystarczy wyszuka narzdzie
w www.microsoft.com/downloads.
MSIA jest narzdziem opartym na kreatorach, pozwalajcym wykonywa trzy
zadania:
Skanowa komputer lokalny w poszukiwaniu produktw Microsoftu.
48
Przygotowa plik wejciowy dla wiersza polece, zawierajcy wszystkie

ustawienia skanowania, ktrych chcemy uy.
Przeprowadzi skanowanie z uyciem przygotowanego uprzednio pliku

wejciowego wiersza polece.
Oprcz tego MSIA pozwala skanowa systemy lokalne, zdalne lub ca sie
naraz. Instalacja opiera si na usudze Instalatora Windows. Narzdzie mona
instalowa interaktywnie lub, za pomoc procedury DC-15, w wybranych komputerach docelowych.
Aby utworzy plik wejciowy wiersza polece:
1.
Uruchom MSIA (menu Start/Wszystkie programy/Microsoft Software

Inventory Analyzer). Kliknij Next.
2.
Wybierz Scan using Custom settings i Create Custom settings. Kliknij

Browse, aby wybra folder docelowy i nazw pliku wyjciowego. Plik
wejciowy dla wiersza polece otrzyma rozszerzenie .cli. Kliknij Save,
aby utworzy plik. Kliknij Next.
3.
Wybierz zakres skanowania: Local Computer (komputer lokalny), Network

(sie) lub Report Consolidation (konsolidacja raportu). Kliknij Next.
Wybierajc opcj Network, musimy poda odpowiednie
powiadczenia, aby przeprowadzi skanowanie
wszystkich systemw.
4.
W oknie dialogowym Download Database Files kliknij Download. MSIA

przejdzie do strony WWW Microsoftu i pobierze najwiesze dane
o produktach firmy. Pojawi si zapytanie o akceptacj certyfikatu
Microsoftu w celu instalacji bazy danych. Kliknij Yes. Po zakoczeniu
pobierania kliknij OK, a nastpnie Next.
5.
Wybierz produkty, ktrych chcesz szuka i kliknij Add (wiksz liczb

produktw moesz zaznaczy, przytrzymujc klawisz Ctrl). Zaznacz
Save these products as the default (zapisz te produkty jako domylne)
i kliknij Next.
6.
Wybierz format (formaty) raportu. Kliknij Browse, aby wybra folder

dla raportu i nazw pliku. Kliknij Save, aby zapisa plik. Kliknij Next.
7.
Moesz wybra opcj konsolidacji raportw zbiorczych, przydatnych

w zarzdzaniu. Kliknij Next.
49
Rysunek 1.4.
Microsoft Software
Inventory Analyser
8.
Moesz wybra opcj wysania raportu zbiorczego do kogo poczt

elektroniczn (lub wysa go pniej). Jeli raport ma by wysany
do grupy, utwrz grup dystrybucyjn i wpisz tu jej adres e-mail. Nie
zaznaczaj opcji Save settings as default, poniewa tworzysz plik wejciowy
wiersza polece.
9.
Kliknij Finish, aby zamkn plik wejciowy.
Aby uruchomi skanowanie MSIA:

1.
Uruchom MSIA (menu Start/Wszystkie programy/Microsoft Software

Inventory Analyzer). Kliknij Next.
2.
Wybierz Scan using Custom settings i Load existing Custom settings.

Jeli wywietlony plik nie jest tym, ktrego chcesz uy, kliknij Browse,
aby wybra odpowiedni folder i plik. Kliknij Open, aby zaadowa
plik. Kliknij Next.
3.
MSIA przeprowadzi skanowanie systemw na podstawie ustawie pliku.
4.
Zaznacz View Reports Now (wywietl raporty) i kliknij Finish.
Jest to doskonae narzdzie do inwentaryzowania oprogramowania Microsoftu.

Microsoft TechNet Script Center zawiera dwa przydatne skrypty
do zarzdzania inwentarzem: Enumerate Installed Software (http://
www.microsoft.com/technet/treeview/default.asp?url=/technet/
scriptcenter/compmgmt/scrcm16.asp?frame=true) i Inventory Computer
Hardware (http://www.microsoft.com/technet/treeview/default.asp?url=/
technet/scriptcenter/compmgmt/ScrCM30.asp?frame=true).
50
GS-17. Tworzenie globalnej konsoli MMC

4 Harmonogram: w miar potrzeb
W systemie Windows Server 2003 do administracji i zarzdzania su konsole
MMC (ang. Microsoft Management Console). Najbardziej przydatn z nich jest
konsola Zarzdzanie komputerem, znajdujca si w folderze Narzdzia administracyjne. Mona te klikn prawym przyciskiem myszy ikon Mj komputer
i wybra Zarzdzaj z menu kontekstowego.
Lecz chocia jest to dobra uniwersalna konsola, nie mona jej uywa do wszystkiego. Wobec tego jednym z doranych dziaa administracyjnych, ktre warto
wykona jest zbudowanie globalnej konsoli zarzdzajcej, czcej wszystkie potrzebne przystawki (ang. snap-in) w jedn konsol MMC. Oprcz wszystkich
funkcji narzdzia Zarzdzanie komputerem, ta konsola powinna zawiera przystawki:
.NET Framework 1.1 Configuration.
Dzienniki wydajnoci i alerty.
Group Policy Management (wymaga instalacji GPMC patrz rozdzia 4.).
Konfiguracja i analiza zabezpiecze.
Meneder autoryzacji.
Monitor sieci bezprzewodowej.
Pulpity zdalne.
Rozproszony system plikw (DFS).
Szablony zabezpiecze.
Trzy dostpne przystawki do zarzdzania Active Directory.
Urzd certyfikacji (trzeba wskaza serwer do zarzdzania).
Usugi skadowe
Wynikowy zestaw zasad.
Aby utworzy t konsol:

1.
Uyj Start/Uruchom, aby wyda polecenie:

!"
2.
Spowoduje to uruchomienie konsoli Zarzdzanie komputerem w trybie

edycji. Zacznij od Plik/Zapisz jako, aby zapisa konsol pod nazw
globalnaMMC.msc w folderze C:\Toolkit.
51
3.
Uyj Plik/Dodaj/Usu przystawk, aby otworzy okno dialogowe. Upewnij

si, e w polu wyboru Przystawki dodane do jest wybrana przystawka
Zarzdzanie komputerem i kliknij Dodaj.
4.
Kliknij dwukrotnie kad z przystawek wymienionych powyej. Po dodaniu

wszystkich kliknij Zamknij.
5.
Kliknij OK, aby wrci do konsoli.
6.
Kliknij Plik/Opcje, nazwij konsol # $ $%%&, upewnij si,

e jest w trybie Tryb uytkownika peny dostp i usu zaznaczenie
przy Nie zapisuj zmian w tej konsoli. Kliknij OK.
7.
Wybierz Plik/Zapisz, aby zapisa zmiany.
Jak zobaczymy, konsola ta ma kilka zastosowa, lecz zasadniczo bdzie naszym

najczciej uywanym narzdziem do zarzdzania sieci serwerw.
Utwrz skrt do tej konsoli, uywajc procedury GS-01, i zapisz go w pasku
Szybkie uruchamianie.
Ten szablon musi by dobrze chroniony, poniewa ma
naprawd due moliwoci.
GS-18. Automatyczne pobieranie sygnatur

dla oprogramowania antywirusowego
To jest kolejna czynno typu oglnego, niezbdna w kadej strategii antywirusowej. Jest zwizana z konfiguracj agenta aktualizacji sygnatur wirusw,
ktry pobiera aktualizacje sygnatur i rozprowadza je do wszystkich PC i serwerw w sieci.
Jest to jednorazowa czynno, ktrej nie moemy pomin na licie zada administracyjnych zwizanych z serwerem.
Powinna by wspierana przez regularne wyrywkowe kontrole w rnych systemach, ktre pozwol upewni si, e serwer aktualizujcy sygnatury dla oprogramowania antywirusowego dziaa poprawnie.
52
GS-19. Tworzenie i weryfikacja

zaplanowanych zada
Harmonogram zada jest jednym z narzdzi, bez ktrych administratorzy nie
mog si oby, poniewa pozwala automatyzowa powtarzajce si zadania
w sieci. W systemie Windows Server 2003 mieci si w Panelu sterowania
w Eksploratorze Windows. Mona go rwnie znale jako pierwszy udostpniony element kadego serwera w oknie Moje miejsca sieciowe.
Dodanie zadania do harmonogramu wymaga posuenia si Kreatorem zaplanowanych zada:
1.
Kliknij dwukrotnie Dodaj zaplanowane zadanie (Eksplorator Windows/

Mj komputer/Panel sterowania/Zaplanowane zadania). Kliknij Dalej.
2.
Wybierz zadanie z listy lub kliknij Przegldaj, aby znale je na dysku.

Zadaniem moe by aplikacja, skrypt lub plik polece. Kliknij Dalej.
3.
Nazwij zadanie i okrel jego czstotliwo. Kliknij Dalej.
4.
Wybierz godzin i dat rozpoczcia. Kliknij Dalej.
5.
Wpisz nazw odpowiedniego uytkownika i haso. Kliknij Dalej.
6.
Zaznacz Otwrz okno Zaawansowane waciwoci dla tego zadania,

kiedy klikn przycisk Zakocz. Kliknij Zakocz.
7.
W arkuszu waciwoci zadania dokadniej okrel harmonogram zadania.

Zakadka Harmonogram pozwala w razie potrzeby zastosowa wiele
harmonogramw dla zadania. Zakadka Ustawienia pozwoli sprawdzi, czy
zadanie jest skonfigurowane zgodnie ze standardami firmy. Kliknij OK.
Do weryfikacji stanu zaplanowanych zada w kadym serwerze moe posuy

polecenie !, o nastpujcej skadni:
')

gdzie
oznacza nazw DNS lub adres IP serwera. Aby dowiedzie
si wicej o poleceniu, wpisz
. Tak jak poprzednio, metoda opisana na kocu procedury GS-07 pozwala wygenerowa automatycznie raport dla
wszystkich serwerw.
Microsoft TechNet Script Center zawiera cztery rne skrypty
do zarzdzania zaplanowanymi zadaniami: http://www.microsoft.com/
technet/treeview/default.asp?url=/technet/scriptcenter/schedule/
default.asp?frame=true.
53
GS-20. Tworzenie i modyfikacja

szablonw zabezpiecze
Szablony zabezpiecze su do definiowania waciwoci zabezpiecze dla serwerw. Poniewa przypisywane s jako zasady lokalne, powinny zawiera tylko podstawowe ustawienia zabezpiecze, na przykad zabezpieczenia plikw,
Rejestru i usug. Moemy tworzy wasne szablony z istniejcych. Microsoft udostpnia szereg przyzwoitych szablonw w Windows Server 2003 Security Guide
(ktrego mona poszuka w www.microsoft.com/downloads), przydatnych na
pocztek.
Szablony zabezpiecze i konfiguracja zabezpiecze
wraz z GPO to jedne z podstawowych rodkw
zapewnienia bezpieczestwa serwerw.
Aby utworzy wasne szablony zabezpiecze:

1.
Uruchom globaln konsol MMC utworzon w procedurze GS-17. Przejd

do Szablonw administracyjnych. Szablony mieszcz si w katalogu
%SystemRoot\security\templates.
2.
Aby utworzy nowy szablon z istniejcego, kliknij go prawym przyciskiem

myszy, wybierz Zapisz jako i nadaj now nazw. Po zmianie nawy bdzie
mona dodawa wasne ustawienia.
3.
Przejd do nowego szablonu i zmodyfikuj jego ustawienia. Zacznij

od kliknicia prawym przyciskiem myszy nazwy szablonu i wybrania
Ustaw opis, aby zmodyfikowa opis. Wpisz odpowiednie informacje
i kliknij OK.
4.
Rozwi szablon, aby wywietli jego skadniki i zmodyfikuj je zgodnie

z potrzebami. Pamitaj, by klikn nazw szablonu prawym przyciskiem
myszy i wybra Zapisz przed wyjciem z konsoli.
Szablony maj szereg rnych zastosowa. Mog suy do przypisywania ustawie zabezpiecze do serwerw lub do analizowania faktycznych ustawie
w porwnaniu z zapisanymi w szablonie. Jedno i drugie moemy wykona w trybie graficznym lub tekstowym. Aby przeanalizowa serwer lub przywrci oryginalne ustawienia dla serwera w trybie graficznym:
1.
Uruchom globaln konsol MMC utworzon w procedurze GS-17.
2.
Kliknij prawym przyciskiem myszy Konfiguracja i analiza zabezpiecze

i wybierz Otwieranie bazy danych.
54
3.
W oknie Otwieranie bazy danych znajd odpowiedni baz danych lub

wpisz nazw nowej i kliknij OK. Domyln ciek jest Moje dokumenty\
Security\Database.
4.
Wybierz odpowiedni szablon z listy dostpnych i kliknij OK.
5.
Aby przeanalizowa system, kliknij prawym przyciskiem myszy

Konfiguracja i analiza zabezpiecze i wybierz Analizuj komputer teraz.
6.
Poniewa kada analiza lub operacja konfiguracji wymaga pliku dziennika,

pojawi si okno dialogowe z zapytaniem o pooenie tego pliku. Domylna
cieka to Moje dokumenty\Security\Logs, a domylna nazwa pliku jest
taka sama jak dla bazy danych. Wpisz nazw nowego pliku dziennika,
uyj przycisku Przegldaj, aby zlokalizowa istniejcy plik albo kliknij
OK, aby zaakceptowa nazw domyln. Analiza si rozpocznie.
7.
Po zakoczeniu analizy widoczne stan si rnice pomidzy szablonem

a komputerem. Przejd do ustawienia, ktre chcesz obejrze i zaznacz
je. Ewentualne rnice zostan wywietlone w prawym panelu.
8.
Ustawienia w bazie danych moemy modyfikowa tak, by byy zgodne

z wartociami, ktre chcemy zastosowa, przez przejcie do odpowiedniej
wartoci i dwukrotne jej kliknicie. Zaznacz Definiuj w bazie danych
nastpujce zasady, zmodyfikuj ustawienie i kliknij OK. Powtrz czynno
dla kadego ustawienia, ktre chcesz zmieni.
9.
Uywajc prawego przycisku myszy, wywietl menu podrczne konsoli

Konfiguracja i analiza zabezpiecze i wybierz Zapisz, aby zapisa zmiany
wprowadzone w bazie danych.
10.
Aby skonfigurowa komputer zgodnie z ustawieniami w bazie danych,

wybierz Konfiguruj komputer teraz z tego samego menu podrcznego.
Ponownie trzeba tu poda pooenie i nazw pliku dziennika, aby
konfiguracja moga si rozpocz.
Te same zadania mona wykona z wiersza polece za pomoc polecenia .

Aby skonfigurowa system, wpisz polecenie:
# *+,*-
./0*1**2/*)
Ponisze polecenie analizuje system:

% )
Drugie polecenie moesz umieci w zaplanowanym zadaniu, korzystajc z procedury GS-19. Aby otrzyma wicej informacji, wpisz
.
55
GS-21. Zarzdzanie plikami

pomocy technicznej
Kolejn czynnoci wykonywan doranie jest instalacja plikw pomocy serwera we wasnym systemie. Zainstalowanie plikw pomocy serwera w komputerze
lokalnym moe by bardzo przydatne, poniewa daje atwy dostp do skarbnicy
informacji o serwerze. Posuy do tego Centrum pomocy i obsugi technicznej
Windows XP/Server 2003 i bdzie wymagao pyty instalacyjnej Windows Server 2003:
1.
Uruchom Centrum pomocy i obsugi technicznej w swoim komputerze

i kliknij przycisk Opcje na grze okna.
2.
Kliknij Zainstaluj i udostpnij Pomoc systemu Windows w lewym panelu

okna. Kliknij Zainstaluj zawarto Pomocy dysku CD lub z obrazu dysku.
3.
Wpisz liter napdu CD i kliknij Znajd.
4.
Zaznacz pliki pomocy, ktre chcesz zainstalowa i kliknij Zainstaluj.
5.
Po zainstalowaniu bdzie mona klikn Przecz z jednej do drugiej

zawartoci Pomocy systemu operacyjnego, wybra podany system
operacyjny i klikn Przecz.
Teraz w komputerze lokalnym bdzie moliwe przegldanie plikw pomocy

systemu Windows Server 2003. Mona zainstalowa pomoc dla kadej wersji
i przecza pomidzy nimi za pomoc opcji Centrum pomocy i obsugi technicznej.
GS-22. Przygotowanie serwera

O czstotliwoci wykonywania tego zadania decyduj skala obsugiwanej sieci
komputerowej i liczba znajdujcych si w niej serwerw. Niektre centra komputerowe przygotowuj serwery do eksploatacji co tydzie, choby po to, by
odbudowa starzejce si serwery i przeprojektowa struktur usug.
Przygotowanie serwera obejmuje szereg rnych czynnoci. Oprcz tego Windows Server 2003 udostpnia rne metody przygotowywania serwera do eksploatacji:
Rczna lub interaktywna ta metoda powinna by oparta przynajmniej

na szczegowej licie kontrolnej.
56
Nienadzorowana z uyciem pliku odpowiedzi ta metoda opiera

si na drobiazgowym i kompletnym pliku odpowiedzi.
Obraz dysku z uyciem SysPrep ta metoda wymaga uycia narzdzi

do tworzenia obrazu dysku, dostarczanych przez innych producentw.
Usugi instalacji zdalnej (ang. RIS Remote Installation Services)

ta metoda tworzy serwer z modelu zarejestrowanego i zapisanego
w serwerze RIS.
Automated Deployment Services ta metoda czy RIS i obrazy

dyskw, zapewniajc najszybszy i najdokadniejszy proces konstruowania
serwera.
Jeli to tylko moliwe, powinnimy korzysta z ADS ta metoda jest szybka,

moe posuy zarwno do tworzenia, jak i do odtwarzania systemw, i jest atwa do wdroenia.
Informacje o rnych metodach instalacji i przygotowaniu serwerw
wzorcowych oraz zarzdzaniu nimi dostpne s w rozdziale 2. Windows
Server 2003: Best Practices for Enterprise Management (Ruest & Ruest,
McGraw-Hill/Osborne, 2003).
Jeli trzeba jednoczenie przygotowa bardzo du liczb serwerw,

to moe w tym pomc skrypt z Microsoft TechNet Script Center,
automatycznie przygotowujcy konta komputerw wymagane dla kadego
serwera (http://www.microsoft.com/technet/treeview/default.asp?url=/technet/
scriptcenter/compmgmt/ScrCM81.asp?frame=true).
Warto przeprowadzi procedur HW-04 po zainstalowaniu kadego

nowego serwera. Pozwoli to zidentyfikowa ewentualne urzdzenia
stwarzajce problemy.
GS-23. Konfiguracja
narzdzi administracyjnych
Do zarzdzania rodowiskiem Windows Server 2003 potrzebnych jest kilka
narzdzi. Nale do nich rne zestawy, poczwszy od podstawowego zestawu
Pakiet narzdzi administracyjnych a po Windows Server 2003 Support Tools,
57
w tym narzdzia Windows Server 2003 Resource Kit. Pakiet narzdzi administracyjnych i Support Tools dostpne s na pycie instalacyjnej Windows Server
(pierwszy w folderze \i386, a drugi w \Support\Tools). Wszystkie trzy zestawy
mona pobra z witryny WWW Microsoft Download, wystarczy wyszuka nazw zestawu w www.microsoft.com/downloads.
Instalacja kadego z pakietw opiera si na usudze Instalator Windows. Po pobraniu mona je zainstalowa interaktywnie lub wykorzysta procedur DC-15
do zainstalowania w wyznaczonych komputerach. Wszystkie zestawy narzdzi
radzimy zainstalowa we wszystkich serwerach i w kadym komputerze sucym do administrowania.
Kilka narzdzi z zestawu Resource Kit daje uytkownikowi
wysoki poziom uprzywilejowania. Wszystkie narzdzia
powinny by odpowiednio zabezpieczone jako skrty
Uruchom jako (patrz procedura GS-01).
GS-24. Aktualizacja domylnego

profilu uytkownikw
Nie ma nic lepszego ni zalogowanie do systemu, w ktrym wszystko, co potrzebne do szybkiego i atwego zarzdzania i administracji jest pod rk. Jednym
z najlepszych sposobw na to jest dostosowanie rodowiska do wasnych potrzeb i skopiowanie go do profilu domylnego uytkownika (ang. Default User).
W ten sposb kady nowy administrator logujcy si do serwera bdzie mia pod
rk te same narzdzia suce do zarzdzania systemem.
Dostosowanie rodowiska powinno obj:
Umieszczenie w pasku szybkiego uruchamiania wszystkich skrtw,

ktrych uywamy najczciej. Powinny si do nich zalicza skrty
Uruchom jako utworzone w procedurze GS-01.
Konfiguracj ustawie Eksploratora Windows (wywietlanie wszystkich

plikw, wczenie pasku stanu, szczegowy widok elementw).
Zainstalowanie narzdzi administracyjnych, Support Tools i Resource

Kit (patrz procedura GS-23).
Na potrzeby bezpieczestwa moemy nawet utworzy faszywe konto

Administrator, majce jedynie przywileje uytkownika Go.
rodowisko powinno zdecydowanie zawiera wasne ustawienia pulpitu.
58
Po wybraniu ustawie moemy zaktualizowa profil Default User tak, e zawsze bdzie generowa te same ustawienia przy tworzeniu profilu nowego uytkownika.
Dostosowanie ustawie pulpitu i innych wymaga
uprawnie lokalnego administratora.
Do przeprowadzenia tych dziaa potrzebne bdzie drugie konto

administratora (patrz procedura GS-05). Windows Server 2003 nie
pozwala kopiowa otwartego profilu uytkownika do innego, poniewa
wiele otwartych opcji jest nietrwaych. Aby zaktualizowa domylnego uytkownika,
trzeba zaoy drugie konto administracyjne.
Aby zaktualizowa profil Default User:

1.
Wyloguj si z konta Administrator (Start/Wyloguj).
2.
Zaloguj si do drugiego konta administracyjnego. Windows Server utworzy

nowy profil oparty na starych ustawieniach.
3.
Otwrz Eksploratora Windows (menu Start/Wszystkie programy/

Akcesoria/Eksplorator Windows) i wybierz w opcjach folderw
wywietlanie ukrytych plikw (Narzdzia/Opcje folderw/zakadka
Widok). Kliknij OK.
4.
Przejd do lewego panelu i kliknij prawym przyciskiem myszy Mj

komputer.
5.
Wybierz Waciwoci/Zaawansowane/Profile uytkownika (rysunek 1.5).
6.
Wybierz profil Administrator i kliknij Kopiuj do.
7.
Przejd do folderu Documents and Settings\Default User. Kliknij OK.
8.
Kliknij OK, aby zastpi istniejce pliki.
9.
Zamknij wszystkie okna dialogowe i wyloguj si z drugiego konta

administracyjnego.
10.
Zaloguj si jako Administrator.
11.
Uruchom Eksploratora i wr do okna dialogowego Profile uytkownika.
12.
Usu profil drugiego konta administracyjnego (jego zadaniem bya

tylko aktualizacja profilu Default User).
13.
Zamknij wszystkie okna dialogowe i wyloguj si z konta Administrator.
59
Rysunek 1.5.
Zarzdzanie profilami
uytkownikw
14.
Zaloguj si do drugiego konta administracyjnego, aby przetestowa

profil Default User. Powinna to by kopia dostosowanego profilu
Administrator.
15.
Wr do profilu administratora.
Z t operacj naley uwaa w serwerach usug terminalowych,

poniewa w nich Default User suy do tworzenia profilu uytkownika,
a nie administratora. Oczywicie profile uytkownikw wymagaj
innych ustawie ni administracyjne.
GS-25. Przegld rodowiska sprztowego

Od czasu do czasu naley te powici troch czasu na przegld caego rodowiska technicznego i sprawdzenie, czy wymaga zmian. Zadanie to zwykle podejmowane jest dwa razy w roku lub podczas przegldu budetu. Zgromadzone
do tego czasu dzienniki dziaa i raporty z rozwizywania problemw pozwol
zidentyfikowa obszary sieci, w ktrych przydayby si ulepszenia i wiadczone przez nie usugi. Moemy te znale miejsce na sugestie uytkownikw.
Najlepszym sposobem na to bdzie stworzenie aliasu pocztowego sugestie i poinformowanie uytkownikw o jego istnieniu.
60
Kada proponowana zmiana powinna by udokumentowana, aby mona byo

otrzyma finanse i zgod na zmian. Kada faktycznie zaimplementowana zmiana rwnie powinna zosta dokadnie opisana.
GS-26. Dokumentacja systemu i sieci

Troch czasu trzeba przeznaczy od czasu do czasu na przegld dokumentacji
systemu i sieci. Czy dokumentacja jest aktualna? Czy precyzyjnie opisuje istniejce rodowisko? Nie jest to zadanie zbyt popularne wrd nas, administratorw systemw, lecz niestety jest niezbdne. Do pracy z dokumentacj moemy
wykorzysta odpowiednie narzdzia, na przykad Microsoft Office lub Visio.
Oprcz nich Microsoft udostpnia szereg narzdzi, ktre automatycznie dokumentuj niektre aspekty sieci. S to Customer Configuration Capture Tools
z Microsoft Product Support, ktre moemy znale na stronie www.microsoft.
com/downloads. Dostpnych jest pi narzdzi do dokumentowania Alliance (specjalny program wspomagajcy), usug katalogowych, sieci, klastrw, SUS i podstawowej konfiguracji (w tym usug plikw i drukowania oraz wydajnoci).
Dokumentacja powinna by regularnie aktualizowana.
GS-27. Zarzdzanie umowami

o wiadczeniu usug
Kolejn czynnoci wykonywan doranie jest przegld umw o wiadczeniu
usug (ang. SLA Service level agreement). Naley przeprowadza go przynajmniej dwa razy w roku. SLA s umowami o dostarczaniu usug, ktre podpisujemy ze spoecznoci uytkownikw. Usugi powinny by podzielone na kategorie wedug priorytetw, a dla kadego priorytetu powinien zosta zdefiniowany
czas przywracania usugi. Na przykad, usuga niekrytyczna moe by przywrcona w cigu czterech godzin lub szybciej, za usug krytyczn naley przywrci w cigu godziny.
Raporty z rozwizywania problemw bd przy tym przegldzie bardzo przydatne. Uwagi uytkownikw rwnie s tu cenne, poniewa potrzeby mog ulega zmianom, gdy uytkownicy lepiej poznaj moliwoci systemw.
61
GS-28. Zarzdzanie priorytetami

w rozwizywaniu problemw
Podobnie jak procedura GS-27, priorytety rozwizywania problemw powinny
by przegldane dwa razy do roku. Ten przegld pozwala okreli, jakie priorytety powinnimy nada naszym dziaaniom, gdy wystpi jednoczenie kilka
rnych problemw. Zaley to od dotychczasowego dowiadczenia z dziaaniem
sieci i rozwizywaniem problemw. Priorytety s mocno zalene od umw SLA
z uytkownikami.
Opracowane podejcie powinno opiera si na zasadzie maksymalnych korzyci
kosztem minimalnych nakadw pracy. Na przykad, jeli ulegn awarii jednoczenie kontroler domeny (DC) i dysk w macierzy RAID 5 serwera plikw, to
lepiej najpierw wymieni dysk, a nastpnie zacz odbudowywa DC. W ten
sposb czas zostanie wykorzystany najskuteczniej. Przydzielajc priorytety naley kierowa si zdrowym rozsdkiem.
GS-29. Przegld nakadw pracy

Ostatni przegld, ktry musimy wykonywa co p roku, dotyczy nakadw
pracy. Niniejsza ksika pomaga uporzdkowa prac Czytelnika-administratora
z podziaem na dni i tygodnie. Pomaga te zautomatyzowa ogromn liczb zada za pomoc skryptw i innych narzdzi.
Nadal jednak nakady pracy powinny by analizowane, aby upewni si, e mamy pod dostatkiem czasu, by wykona wszystkie niezbdne zadania. Jeli niektrych z zada nie damy rady wykona z czstotliwoci zaproponowan w tym
przewodniku, moe okaza si niezbdna dodatkowa pomoc. W takim przypadku radzimy z rozwag przygotowa uzasadnienie propozycji i przedstawi je
kierownictwu. Gdy takie sugestie s dobrze przygotowane i odpowiednio uzasadnione, to rzadko zostaj odrzucone.
Administrowanie sprztem
Wszystkie zadania zawarte w tym podrozdziale s przedstawione oglnikowo,
poniewa mimo e ich regularne wykonywanie jest niezbdne, trudno opisa dokadnie, jak wykonywa poszczeglne prace, gdy na rynku istnieje tak wiele
modeli sprztu i podej do zarzdzania sprztem.
62
Wobec tego kady z Czytelnikw bdzie musia dostosowa wymienione poniej zadania do swoich potrzeb, dodajc wasne czynnoci.
HW-01. Kontrola urzdze sieciowych

Sie zwykle zbudowana jest z przecznikw, koncentratorw, ruterw, zapr
sieciowych i tak dalej. Ich dobry stan zapewnia poprawne dziaanie systemw
Windows Server 2003. Warto wic regularnie zwiedza pomieszczenia komputerowe i sprawdza, czy sprzt sieciowy dziaa prawidowo. Do tego przegldu
nale nastpujce czynnoci:
Obejrzenie kadego urzdzenia sieciowego i sprawdzenie, czy wiec

si waciwe kontrolki.
Przegld dziennikw urzdze i ustawie konfiguracji w celu upewnienia

si, e konfiguracja jest stabilna i nie zdarzaj si prby atakw.
Sprawdzenie stanu kabli i pocze.
To zadanie powinno by dostosowane do korzystania z narzdzi dostpnych

w konkretnym rodowisku.
HW-02. Zarzdzanie BIOS-em serwerw

Podobnie jak systemy operacyjne, wersje BIOS-u ulegaj cigym zmianom ich
producenci wci dodaj nowe moliwoci i funkcje. Na szczcie wikszo
producentw serwerw stosuje si do zalece Desktop Management Task Force
(www.dmtf.org), wic nie musimy ju aktualizowa BIOS-u, siedzc przy serwerze. Narzdzie do tego stosowane bdzie zalee od platformy, z ktr pracujemy, lecz wszyscy liczcy si producenci serwerw udostpniaj narzdzia zdalnego zarzdzania DMTF. Intel oferowa nawet kiedy oglne narzdzie DMTF
do zarzdzania zdalnego, LANDesk, ktre wsppracowao z wikszoci sprztu
opartego na ukadach Intela. LANDesk jest obecnie dostpny jako produkt LANDesk Software (www.landesksoftware.com). Niezalenie od uywanego narzdzia, BIOS i inne oprogramowanie producentw sprztu bdziemy musieli czsto
aktualizowa, aby w peni kwalifikowa si do cigego wsparcia technicznego.
Raz na miesic powinnimy sprawdzi dostpno nowych wersji BIOS-u dla
naszego sprztu i skontrolowa, czy w naszym rodowisku nowy BIOS bdzie
potrzebny. Jeli tak, powinnimy pobra nowy BIOS i za pomoc narzdzi DMTF
dokona aktualizacji we wszystkich wybranych serwerach.
63
Do uzyskania informacji o BIOS-ie systemu moe posuy skrypt Microsoft

TechNet Center, dostpny pod adresem http://www.microsoft.com/
technet/treeview/default.asp?url=/technet/scriptcenter/compmgmt/
ScrCM39.asp?frame=true.
HW-03. Zarzdzanie aktualizacjami

oprogramowania sprztowego
i zarzdzajcego serwerami
Oprcz BIOS-u producenci sprztu udostpniaj oprogramowanie sprztowe (ang.
firmware) i oprogramowanie do zarzdzania serwerami. Narzdzia te maj rnorodne moliwoci, od informowania o stanie komponentw w szafkach serwerw a po obsug konkretnych komponentw sprztowych. W wikszoci przypadkw narzdzia te obejmuj du liczb rnorodnych komponentw, wic
zwykle s regularnie aktualizowane. Jeli wic chcemy dysponowa wsparciem
producenta, musimy aktualizowa i to oprogramowanie.
Raz na miesic powinnimy sprawdzi dostpno nowego oprogramowania sprztowego i nowych wersji oprogramowania do zarzdzania serwerami dla naszego sprztu i sprawdzi, czy bd one w naszym rodowisku potrzebne. Jeli tak,
to powinnimy pobra je i za pomoc narzdzi DMTF lub przeznaczonych do
zarzdzania serwerami dokona aktualizacji wszystkich serwerw, ktrych to
dotyczy.
HW-04. Zarzdzanie urzdzeniami

Windows Server 2003 wsppracuje ze sprztem poprzez sterowniki urzdze.
Interfejsem dla tych sterownikw jest Meneder urzdze skadnik konsoli
MMC Zarzdzanie komputerem, a teraz rwnie globalnej konsoli MMC, ktr utworzylimy w procedurze GS-17.
Sterowniki czasem trzeba zaktualizowa lub zmodyfikowa. W niektrych przypadkach pewne sterowniki mog w ogle nie dziaa, zwaszcza jeli uywamy
serwerw niemarkowych (klonw). Wobec tego warto przynajmniej sprawdzi
w Menederze urzdze, czy nie wystpuj jakie bdy urzdze.
64
Aby zweryfikowa status sterownikw urzdze:

1.
Uruchom globaln konsol MMC (pasek szybkiego uruchomienia/

globalna MMC).
2.
Pocz si z odpowiednim serwerem (Akcja/Podcz do innego komputera)

i wpisz nazw komputera () albo zlokalizuj serwer
3.
Wybierz Menedera urzdze (Zarzdzanie komputerem/Narzdzia

systemowe/Meneder urzdze).
4.
Przejrzyj stan urzdze w panelu szczegw. Dla wszystkich urzdze

drzewa powinny by zwinite. Kade urzdzenie sprawiajce problemy
pojawi si w rozwinitym drzewie z tym znakiem zapytania.
5.
Kliknij prawym przyciskiem myszy takie urzdzenie i przejrzyj Waciwoci.

Z menu podrcznego mona te zaktualizowa sterownik. Zidentyfikuj
producenta urzdzenia i poszukaj nowego lub zaktualizowanego sterownika.
Jeli aden sterownik nie jest dostpny, wycz urzdzenie.
Sterowniki urzdze powinny by certyfikowane dla

systemu Windows Server 2003, poniewa w przeciwnym
razie ich stabilno nie bdzie gwarantowana. Windows
Server domylnie ostrzega uytkownika przy prbie zainstalowania sterownika,
ktry nie jest certyfikowany.
Tworzenie i przywracanie
kopii zapasowych
Chocia serwery s projektowane z wykorzystaniem redundantnych systemw do
ochrony serwera i danych, adna organizacja nie moe funkcjonowa bez strategii przywracania systemu po katastrofie. Strategia taka powinna obejmowa zarwno efektywn strategi wykonywania regularnych kopii zapasowych, jak i dobry system przywracania. Procedury opisane poniej opieraj si na NTBackup.exe
domylnym narzdziu kopii zapasowych zawartym w systemie Windows Server 2003. Ta wersja NTBackup jest o wiele peniejsza od poprzednich i zawiera zarwno usug kopiowania woluminw w tle, jak i usug automatycznego
odzyskiwania systemu. Pierwsza opcja pozwala stworzy obraz danych przed
wykonaniem kopii, co rozwizuje wiele problemw z kopiowaniem otwartych
plikw. Druga pozwala odbudowa serwer bez koniecznoci ponownej instalacji oprogramowania.
65
Lecz jeli firma powanie traktuje swoje dane, to najprawdopodobniej Czytelnik bdzie mia do czynienia z bardziej wszechstronnym narzdziem kopii zapasowych. Najlepszym z nich jest QiNetix firmy Commvault Systems Inc. (www.
commvault.com). Jest to jedyne narzdzie kopii zapasowej, ktre w peni obsuguje Active Directory, pozwalajc przywraca obiekty i atrybuty katalogu bez
koniecznoci wykonania przywracania autorytatywnego operacji raczej zoonej. Oprcz tego, jeli mamy do czynienia z naprawd du objtoci danych,
to QiNetix potrafi zaoszczdzi sporo czasu, zwaszcza dla penych kopii zapasowych, poniewa dla nich tworzy peny obraz kopii zapasowej z poprzednich kopii przyrostowych, wykorzystujc unikatow technologi pojedynczego
magazynu. Oznacza to, e nigdy nie braknie czasu na wykonanie kopii zapasowej, poniewa nie jest ona pobierana z systemw, lecz z poprzednich kopii
zapasowych.
BR-01. Generowanie kopii zapasowych

stanu systemu
Kopie zapasowe stanu systemu dla kadego serwera s krytyczne, poniewa stanowi narzdzie chronice sam system operacyjny. Kopia zapasowa stanu systemu zawiera dziewi potencjalnych skadnikw. Niektre s kopiowane zawsze,
a pozostae zalenie od typu serwera. S to:
Rejestr systemowy.
Baza danych rejestru klas COM+.
Pliki startowe i systemowe.
Pliki ochrony plikw systemu Windows.
Baza danych Active Directory (w kontrolerach domen).
Katalog SYSVOL (w kontrolerach domen).
Baza danych usug certyfikatw (w serwerach certyfikatw).
Dane konfiguracyjne usugi klastrw (w klastrach serwerw).
Metakatalog IIS (w serwerach aplikacji WWW).
Dane stanu systemu s zawsze zapisywane w kopii zapasowej jako cao, ktrej nie mona podzieli. Jest to zadanie codzienne, ktre powinno by zautomatyzowane. Aby zaplanowa wykonywanie kopii zapasowej stanu systemu:
1.
W globalnej konsoli MMC otwrz podczanie pulpitu zdalnego (patrz

procedura RA-01) z serwerem, ktry chcesz zweryfikowa. Uruchom
NTBackup (obszar szybkiego uruchamiania/Kopia zapasowa).
Upewnij si, e narzdzie jest uruchomione w trybie zaawansowanym.
66
2.
Przejd do zakadki Planowanie zada i kliknij Dodaj zadanie.
3.
Otworzy si Kreator kopii zapasowej, ktry pozwoli zdefiniowa

parametry zadania. Kliknij Dalej.
4.
Wybierz Wykonaj jedynie kopi zapasow danych o stanie systemu

i kliknij Dalej.
5.
Okrel pooenie kopii zapasowej, ktra powinna mieci si na noniku

wymiennym. Kliknij Dalej.
6.
Zaznacz Weryfikuj dane po wykonaniu kopii zapasowej i Uyj kompresji

sprztowej, jeli jest dostpna. Nie wyczaj kopiowania woluminw
w tle.
7.
Wybierz, czy doczy dane, czy zamieni istniejce kopie zapasowe,

i kliknij Dalej.
8.
Nadaj nazw zadaniu i kliknij Ustaw harmonogram, aby wybra

Cotygodniowo (od poniedziaku do pitku). Kliknij OK po wybraniu
dni. Wybierz konto, z ktrego kopia zapasowa bdzie wykonywana
i kliknij OK. Kliknij Dalej i Finish, aby zakoczy.
Powtrz procedur, tworzc kopie zapasowe danych w tym samym harmonogramie i dodaj pene kopie zapasowe w weekendy.
BR-02. Weryfikacja kopii zapasowych

Chocia tworzenie kopii zapasowych jest o wiele atwiejsze i bardziej niezawodne w systemie Windows Server 2003, i tak powinnimy powici troch czasu
na upewnienie si, e kopie s wykonywane poprawnie. W tym celu powinnimy przejrze dzienniki kopii zapasowych we wszystkich serwerach plikw.
Aby przejrze te dzienniki:
1.
Otwrz w globalnej konsoli MMC podczanie pulpitu zdalnego

do serwera, ktry chcesz zweryfikowa.
2.
Uruchom narzdzie Kopia zapasowa w widoku zaawansowanym (obszar

szybkiego uruchamiania/Kopia zapasowa).
3.
Wybierz Narzdzia/Raport, aby przejrze raporty.
4.
Wybierz odpowiedni raport z okna dialogowego Raporty kopii zapasowych

i kliknij Widok.
5.
Poszukaj sowa ' w dzienniku.
67
Jeli znajd si jakie bdy, sprawd, czy s typu krytycznego i skontroluj za

pomoc Eksploratora Windows, dlaczego dany plik nie zosta skopiowany lub
czy wymaga przywrcenia. Zanotuj wyniki kontroli w dzienniku swoich prac
(patrz procedura GS-06).
BR-03. Zarzdzanie skadowaniem tam

poza lokalizacj serwerw
Jednym z kluczowych elementw strategii usuwania skutkw katastrof jest
ochrona tam z kopiami zapasowymi. W kocu jeli centrum komputerowe spali
si do gruntu, a wszystkie tamy spal si razem z nim, to rekonstrukcja systemw moe okaza si do trudna. Wobec tego musimy skadowa tamy z cotygodniowymi kopiami zapasowymi w innym miejscu, chronionym przed katastrofami. Moe to by jakiekolwiek bezpieczne miejsce, od depozytu w banku
a po wyspecjalizowan firm chronic dane.
Oznacza to, e raz w tygodniu powinnimy wysa tamy z weekendow kopi
zapasow na zewntrz centrum komputerowego do chronionej lokalizacji i pobra starsze kopie, aby odzyska tamy. Naley rozway przechowywanie na
zewntrz penej miesicznej kopii zapasowej i przynajmniej jednej rocznej (to
moe by ostatnia miesiczna kopia zapasowa w danym roku fiskalnym).
BR-04. Testowanie strategii

usuwania skutkw awarii
Strategia usuwania skutkw katastrof jest tylko tak dobra, jak jej udowodniona
zdolno do przywracania i rekonstrukcji systemw. Wobec tego powinnimy
co miesic znale czas na sprawdzenie poprawnoci tej strategii. Inaczej mwic,
powinnimy upewni si, e wszystko, co skada si na strategi usuwania skutkw katastrof, jest na miejscu i moe w kadej chwili posuy do rekonstrukcji systemw. Zaliczaj si do tego czci zapasowe, serwery zapasowe, zapasowe urzdzenia sieciowe, tamy z kopiami zapasowymi przechowywane poza
dan lokalizacj, rozsdny system rotacji tam z kopiami zapasowymi, regularne
czyszczenie napdw tamowych, udokumentowane procedury rekonstrukcji systemu (zwaszcza rekonstrukcji AD) i tak dalej. Przegld powinien opiera si
na licie kontrolnej, ktrej uyjemy do kontroli poprawnoci kadego z elementw skadajcych si na przywracanie systemu. Po ukoczeniu przegldu naley
udokumentowa wszelkie zmiany wprowadzone w strategii.
68
Dla kadego serwera powinnimy te wykonywa kopie zapasowe do automatycznego odzyskiwania systemu (ang. ASR Automated System Recovery).
Kopi zapasow ASR musimy wykona rcznie, poniewa tworzona jest jednoczenie dyskietka do przywracania systemu. Naley wykonywa kopi zapasow co miesic, aby dyskietka ASR bya aktualna, oraz po kadej znaczcej
zmianie w dowolnym serwerze. ASR rejestruje stan systemu, zainstalowane usugi, wszystkie informacje o dyskach zainstalowanych w systemie i o sposobie
przywracania serwera. Aby wykona kopi zapasow ASR:
1.
W globalnej konsoli MMC otwrz podczanie pulpitu zdalnego

z odpowiednim serwerem. Uruchom NTBackup (obszar szybkiego
uruchamiania/Kopia zapasowa). Upewnij si, e narzdzie jest
uruchomione w trybie zaawansowanym.
2.
Na ekranie powitalnym kliknij Kreator automatycznego odzyskiwania

systemu. Uruchomi to Kreatora ASR. Kliknij Dalej.
3.
Wybierz typ i nazw kopii zapasowej i kliknij Dalej.
4.
Kliknij Zakocz, aby rozpocz tworzenie kopii zapasowej ASR. Upewnij

si, e masz pod rk dyskietk do utworzenia dyskietki startowej ASR.
Dyskietk ASR przechowuj w bezpiecznym miejscu.

Kopia zapasowa ASR nie jest pen kopi zapasow systemu. Suy
jedynie do odbudowania systemu operacyjnego. Sam system musi
by dodatkowo chroniony pen kopi zapasow.
BR-05. Testowanie procedury

przywracania kopii zapasowych
Kopie zapasowe s tylko tak dobre, jak ich zdolno do przywracania informacji w systemie. Wobec tego raz na miesic powinnimy przeprowadzi test przywracania z losowo wybranej kopii zapasowej na noniku, aby upewni si, e
faktycznie dziaa. Zbyt wielu administratorw pozostao z pustymi rkami, gdy
prbowali przywrci krytyczne pliki z nigdy nie przetestowanych tam z kopiami zapasowymi, ktre nie dziaay. Aby przetestowa procedur przywracania:
1.
Wybierz losowo nonik z kopi zapasow i w do napdu w serwerze.
2.
W globalnej konsoli MMC otwrz podczanie pulpitu zdalnego

z odpowiednim serwerem. Uruchom NTBackup (obszar szybkiego
uruchamiania/Kopia zapasowa). Upewnij si, e narzdzie jest uruchomione
w trybie zaawansowanym.

3.
Na ekranie powitalnym kliknij Kreator przywracania. Uruchomi to

Kreatora przywracania. Kliknij Dalej.
4.
Wybierz kopi zapasow do przywrcenia lub kliknij Przegldaj, by j

zlokalizowa.
5.
Rozwi listing kopii zapasowej i wybierz losowy plik do przywrcenia.

Kliknij Dalej.
6.
Kliknij przycisk Zaawansowane, by przywrci plik do nowej, testowej

lokalizacji.
7.
Kliknij Zakocz, by rozpocz przywracanie.
69
Zweryfikuj integralno przywrconych plikw, po czym usu je.
BR-06. Przegld strategii kopii zapasowych

Raz na miesic powinnimy te przejrze strategi wykonywania kopii zapasowych. Czy objto kopii ulega zmianie? Czy do kopii naley doczy jakie
nowe informacje? Czy harmonogram kopii zapasowych jest zadowalajcy? Te
i podobne pytania powinny pomc w stworzeniu listy kontrolnej, ktra pniej
posuy do przegldu strategii.
Udokumentuj wszelkie wprowadzone zmiany.
BR-07. Odbudowa serwera

Raz na jaki czas powinnimy znale czas na przetestowanie procesu odbudowy serwera. Oznacza to wzicie serwera testowego, zniszczenie systemu przez
zaoranie macierzy RAID i wykonanie penej odbudowy z wykorzystaniem
kopii zapasowej ASR i dyskietki ASR. Taki test powinnimy przeprowadza
przynajmniej dwa razy do roku.
Aby odbudowa serwer z pomoc ASR:
1.
Uruchom Instalatora systemu z pyty instalacyjnej Windows Server 2003.

Nacinij F2, gdy program o to poprosi i w dyskietk ASR. Upewnij
si, e nonik z kopi zapasow jest rwnie dostpny i online.
70
2.
Narzdzie przywracania ASR odtworzy sygnatury dyskw, zainstaluje

minimaln wersj Windows i przywrci wszystkie pliki systemowe.
3.
Po zakoczeniu przywracania ASR przywr pliki danych z kopii

zapasowych.
4.
Skontroluj dokadnie serwer, upewniajc si, e jest w peni funkcjonalny.
Udokumentuj wszelkie zmiany wprowadzone w procedurze ASR.
Administrowanie zdalne
W systemie Windows 2000 wprowadzona zostaa koncepcja zdalnego zarzdzania serwerem przez Usugi terminalowe w trybie administracji zdalnej. Tryb ten
pozwala na maksymalnie dwa jednoczesne zdalne poczenia z serwerem bez
dodatkowych licencji klienckich usug terminalowych. W systemie Windows
Server 2003 ta funkcja otrzymaa now nazw, tak jak w Windows XP, Podczanie pulpitu zdalnego (ang. RDC Remote Desktop Connections).
RDC to cenne narzdzie dla administratorw, poniewa daje peny dostp do pulpitu serwera bez koniecznoci fizycznego dostpu do komputera.
RDC jest narzdziem bezpiecznym, poniewa ogranicza
konieczno dostpu do pomieszcze z serwerami.
Administratorzy mog pracowa przy wasnych biurkach,
konfigurujc serwery i zarzdzajc nimi zdalnie.
RA-01. Zarzdzanie RDC w serwerach

Raz na miesic powinnimy dokona przegldu metod zdalnego zarzdzania serwerami. Przegld taki powinien odpowiedzie na pytania typu: Czy nasze zdalne
poczenia s bezpieczne? Ilu administratorw ma zdalny dostp do serwerw?
Czy hasa administratorw s zmieniane wystarczajco czsto? Czy konsole, dajce dostp zdalny do serwerw, s wystarczajco chronione?
Prosz pamita, e Podczanie pulpitu zdalnego jest wymagane tylko
wtedy, gdy musimy zmodyfikowa ustawienia w serwerze. Radzimy
zamiast tego przyzwyczai si do pracy z globaln konsol MMC.
71
Podczanie pulpitu zdalnego moe odbywa si tylko wtedy, gdy ustawienie

Pulpit zdalny zostanie w serwerze wczone. W tym celu:
1.
Uruchom okno dialogowe Waciwoci systemu (menu Start/Panel

sterowania/System).
2.
Przejd do zakadki Zdalny i zaznacz Zezwalaj uytkownikom na zdalne

czenie si z tym komputerem.
3.
Jeli wszyscy administratorzy s czonkami lokalnej grupy Administratorzy,

to nie trzeba ju robi nic wicej, poniewa uzyskaj automatycznie
dostp do serwera. Zamiast tego moesz doda operatorw serwerw
zdalnych do wbudowanej grupy Uytkownicy pulpitu zdalnego
(Uytkownicy i komputery usugi Active Directory/Builtin). Da im to
dostp do lokalnego pulpitu za pomoc zdalnych sesji. Jeli uytkownicy
nie nale do adnej z tych grup, trzeba ich wpisa po kolei. W tym celu
kliknij Wybierz uytkownikw zdalnych.
4.
Kliknij OK w kadym oknie dialogowym po zakoczeniu wprowadzania

zmian.
Opcj t mona te ustawi zdalnie za pomoc Zasad grup. Do edycji odpowiedniego GPO posuy procedura DC-16, przy czym GPO powinien obowizywa
tylko dla serwerw. Wcz ustawienie Zezwalaj uytkownikom na zdalne czenie si przy uyciu usug terminalowych (Konfiguracja komputera/Szablony
administracyjne/Skadniki systemu Windows/Usugi terminalowe). To ustawienie GPO zapewnia t sam funkcjonalno, co pole wyboru w oknie Waciwoci systemu.
Teraz, gdy serwery ju pozwalaj na zdalne poczenia, musimy dokona faktycznego poczenia z kadym serwerem. Posuy do tego globalna konsola MMC
utworzona w procedurze GS-17.
1.
Przejd do Pulpity zdalne.
2.
Kliknij prawym przyciskiem myszy Pulpity zdalne i wybierz Dodaj nowe

poczenie.
3.
Wpisz nazw DNS serwera, nazw poczenia i upewnij si, e zaznaczone

jest pole Podcz do konsoli i wpisz powiadczenia uytkownika (Nazwa
uytkownika, Haso, Domena). Zaznacz Zapisz haso, aby utworzy
poczenie z automatycznym logowaniem. Kliknij OK po wpisaniu
danych. Powtrz dla kadego serwera.
Upewnij si, e globalna konsola MMC jest zabezpieczona

poprzez skrt Uruchom jako (patrz procedura GS-01), jeli
wybierzesz poczenie z automatycznym logowaniem,
poniewa moe to by powane zagroenie bezpieczestwa.
72
Od tej pory, gdy trzeba bdzie poczy si z serwerem, wystarczy raz klikn
nazw poczenia. Po zakoczeniu pracy kliknij nazw poczenia prawym
przyciskiem i wybierz Rozcz.
RDC w trybie administracyjnym pozwala na dwa poczenia na raz.
Najlepiej zaraz po poczeniu sprawdzi, czy w danej chwili kto inny
pracuje z serwerem. Najlepszym sposobem jest otwarcie konsoli
wiersza polece i wpisanie ). Jeli zalogowany jest inny administrator,
powinnimy skontaktowa si z nim i upewni, e nasze dziaania w jednym
serwerze nie s konfliktowe.
RA-02. Zarzdzanie RDC

w komputerach osobistych
Zarzdzanie RDC w komputerach osobistych wyglda tak samo jak w serwerach
i wymaga takiego samego podejcia (patrz procedura RA-01). Jednak w zwizku
z tym, e komputerw biurkowych mamy zwykle w organizacji o wiele wicej
ni serwerw, warto utworzy wspln konsol do zarzdzania PC. W tym celu:
1.
Utwrz now konsol jak w procedurze GS-17, lecz tym razem wydajc
polecenie
.
2.
Otworzy si nowa konsola MMC. Dodaj przystawk Pulpity zdalne

do najwyszego poziomu konsoli.
3.
Zapisz konsol jako Zarzdzanie PC w folderze C:\Toolkit. Upewnij

si, e t konsol mona modyfikowa podczas korzystania z niej.
Zamknij konsol.
4.
Uruchom konsol ponownie, klikajc jej nazw. Dodaj nowe poczenie

dla kadego zarzdzanego przez siebie PC.
5.
Zapisz konsol (Plik/Zapisz).
Upewnij si, e wszystkie komputery PC s zarzdzane przez GPO zezwalajcy na podczanie pulpitu zdalnego. Zabezpiecz konsol przez skrt Uruchom
jako (procedura GS-01).
Komputery osobiste pozwalaj na tylko jedno zalogowanie jednoczenie.
Jeli zalogujemy si zdalnie do PC, do ktrego zalogowany jest ju
uytkownik, to uytkownik ten zostanie automatycznie wylogowany.
Aby udzieli pomocy uytkownikowi, naley skorzysta zamiast tego
z procedury RA-03.
73
RA-03. Pomoc dla uytkownikw

poprzez narzdzie Pomoc zdalna
Gdy musimy udzieli zdalnej pomocy uytkownikowi, ktry jest nadal zalogowany, nie moemy skorzysta z Podczania pulpitu zdalnego, poniewa w ten
sposb wylogowalibymy uytkownika automatycznie. Zamiast tego skorzystamy z Pomocy zdalnej.
Pomoc zdalna dziaa w dwojaki sposb. Moe pozwoli uytkownikowi zada
pomocy od dziau pomocy technicznej lub pozwoli pracownikowi tego dziau
oferowa pomoc uytkownikom. Uytkownik musi wyranie wyrazi zgod na
pomoc, aby bya moliwa. Pomoc zdaln kontroluj dwa ustawienia GPO: Pomoc
zdalna na danie i Oferuj Pomoc zdaln (Konfiguracja komputera/Szablony
administracyjne/System/Pomoc zdalna). Oba ustawienia pozwalaj identyfikowa Pomocnikw w organizacji. Pomoc na danie pozwala ustali godziny,
w ktrych uytkownicy mog da pomocy i mechanizm dania (mailto lub
Simple MAPI). Oprcz tego kada opcja pozwala ustali typy oferowanej pomocy: czy pomocnik moe ingerowa w pulpit czy jedynie obserwowa. Ingerencja
zapewnia najpeniejsz pomoc, lecz rwnie stanowi zagroenie bezpieczestwa.
Pamitajmy, e aby Pomocnik mg wspomaga
uytkownika lub ingerowa w jego pulpit, uytkownik
musi najpierw zaakceptowa ofert zdalnej pomocy.
Musimy ostrzec uytkownikw, aby nigdy nie pozostawiali komputerw bez
nadzoru, gdy kto inny wchodzi w interakcje z pulpitem.
Obie opcje wymagaj listy pomocnikw. Pomocnicy stanowi grup uytkownikw, wpisanych w postaci
.
Te ustawienia GPO nie pozwalaj wybiera nazw grup z AD; musimy
wpisa je rcznie. Przed zastosowaniem GPO do komputerw PC
powinnimy sprawdzi, czy te informacje zostay wpisane poprawnie.
Po zastosowaniu tych ustawie do wszystkich PC moemy oferowa pomoc nastpujco:

1.
Uruchom Centrum pomocy i obsugi technicznej (menu Start/Pomoc

i obsuga techniczna).
2.
Kliknij Narzdzia (Zadania pomocy technicznej/Narzdzia).
74
3.
Rozwi Narzdzia centrum pomocy i obsugi technicznej w lewym

panelu i kliknij Oferuj Pomoc zdaln.
4.
Wpisz nazw DNS komputera, z ktrym chcesz si poczy i kliknij

Pocz.
5.
Zaczekaj na zaakceptowanie poczenia przez uytkownika zanim zaczniesz

pomaga.
Zadanie to okrelilimy jako W miar potrzeb, poniewa mamy nadziej, e

Czytelnik nie bdzie musia wykonywa go regularnie.
RA-04. Skrty do Podczania pulpitu

zdalnego i dostp przez WWW
Poniewa utworzylimy globaln konsol MMC (patrz procedura GS-17), zawierajc przystawk Pulpity zdalne, nie bdziemy zbyt czsto potrzebowa
skrtw RDC. Konsola zapewnia czno o wiele prostsz ni indywidualne
skrty. Jednak moe si okaza, e bdziemy musieli poczy si zdalnie z serwerem z innego komputera ni stojcy na naszym biurku. Najlepszym sposobem
na to jest opublikowanie strony WWW Podczanie pulpitu zdalnego i stosowanie jej do czenia z serwerami z dowolnego komputera.
Nigdy nie zapominaj zamkn poczenia z pulpitem
zdalnym serwera po zakoczeniu pracy z komputera
innego ni wasny.
Klient podczania pulpitu zdalnego (RDWC) nie jest domylnie instalowany.

Operacj t trzeba wykona w serwerze mieszczcym Internetowe usugi informacyjne (IIS). Jeli ich nie ma, trzeba bdzie zainstalowa IIS w serwerze
za pomoc nastpujcej procedury (do tej operacji niezbdna jest instalacyjna
pyta CD Windows Server 2003):
1.
Uruchom Dodaj lub usu programy (menu Start/Panel sterowania)

i wybierz Dodaj/Usu skadniki systemu Windows.
2.
Przejd do Serwer aplikacji i kliknij Szczegy.
3.
Przejd do Internetowe usugi informacyjne (IIS) i kliknij Szczegy.
4.
Przejd do Usuga World Wide Web i kliknij Szczegy.
75
5.
Zaznacz Podczanie pulpitu zdalnego w sieci Web i kliknij OK. Kliknij OK

jeszcze trzy razy, aby wrci do okna dialogowego Skadniki systemu
Windows. Kliknij Dalej.
6.
Po zainstalowaniu klienta bdzie mona przej do folderu %SystemRoot%\

Web\TSWeb i otworzy plik Default.htm, aby wywietli domyln
stron RDWC.
7.
T stron mona zmodyfikowa tak, by pasowaa do standardw

przedsibiorstwa i umieci w intranecie, aby da administratorom
zdalny dostp do serwerw przez interfejs WWW.
Domylne ustawienia zabezpiecze Internet Explorera w serwerze

musz zosta zmienione; w przeciwnym razie uytkownicy nie bd
mogli zobaczy tej strony. Wybierz w Internet Explorerze Narzdzia/
Opcje internetowe/Zabezpieczenia i ustaw Poziom domylny dla strefy Lokalny
intranet. To powinno pozwoli uytkownikom automatycznie pobiera formant
ActiveX Usug terminalowych mieszczcy si na tej stronie.
Po zakoczeniu instalacji strona ta bdzie moga suy do czenia z wszystkimi

serwerami z dowolnego PC.

Windows Server 2003. Podręcznik Administratora

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Windows Server 2003. Podręcznik Administratora

Uploaded by

Copyright:

Available Formats

IDZ DO

Windows Server 2003.

Nelson Ruest gwnie zajmuje si przygotowywaniem strategicznych rozwiza

Windows Server 2003. Podrcznik administratora

Rozdzia 2. Zarzdzanie serwerami plikw i drukowania .................77

Rozdzia 3. Zarzdzanie serwerami infrastruktury sieciowej ..........109

Windows Server 2003. Podrcznik administratora

Rozdzia 4. Zarzdzanie serweramitosamoci ................................139

Rozdzia 5. Zarzdzanie serwerami aplikacji.................................207

Dodatek A Lista czstotliwoci wykonywania zada ....................245

Windows Server 2003. Podrcznik administratora

Tabela 1.1. Lista zada administracyjnych dla serwera

Oglne zarzdzanie serwerem

Skrty Uruchom jako

Oglna weryfikacja stanu usug

Weryfikacja dziennika zdarze System

Weryfikacja dziennika zdarze Zabezpieczenia

Zarzdzanie kontami usug i administracyjnymi

Utrzymanie dziennika dziaa

Zarzdzanie raportem o czasie dostpnoci systemu

Zarzdzanie certyfikatami skryptw

Aktualizacje definicji wirusw dla programw

Przegld i aktualizacja zasad zabezpiecze

Weryfikacja aktualizacji zabezpiecze

Aktualizacja poprawek i pakietw Service Pack

Ocena nowego oprogramowania

Tworzenie globalnej konsoli MMC

Automatyczne pobieranie sygnatur

Tworzenie i weryfikacja zaplanowanych zada

Tworzenie i modyfikacja szablonw zabezpiecze

Zarzdzanie plikami pomocy technicznej

Konfiguracja narzdzi administracyjnych

Aktualizacja domylnego profilu uytkownikw

Przegld rodowiska sprztowego

Dokumentacja systemu i sieci

Zarzdzanie umowami o wiadczeniu usug

Zarzdzanie priorytetami w rozwizywaniu

Przegld nakadw pracy

Rozdzia 1. Oglne zarzdzanie serwerem

Tabela 1.1. Lista zada administracyjnych dla serwera (cig dalszy)

Kontrola urzdze sieciowych

Zarzdzanie BIOS-em serwerw

Zarzdzanie aktualizacjami oprogramowania

Tworzenie i przywracanie kopii zapasowych

Generowanie kopii zapasowych stanu systemu

Weryfikacja kopii zapasowych

Zarzdzanie skadowaniem tam poza lokalizacj

Testowanie strategii usuwania skutkw awarii

Testowanie procedury przywracania kopii

Przegld strategii kopii zapasowych

Zarzdzanie RDC w serwerach

Zarzdzanie RDC w komputerach osobistych

Pomoc dla uytkownikw poprzez narzdzie

Skrty do Podczania pulpitu zdalnego i dostp

Windows Server 2003. Podrcznik administratora

Oglne zarzdzanie serwerem

GS-01. Skrty Uruchom jako

Na przykad, wirus lub robak uruchomiony w kontekcie administracyjnym moe

Rozdzia 1. Oglne zarzdzanie serwerem

Poprzez Uruchom jako moemy skorzysta z kadego narzdzia.

Za pomoc skrtw Uruchom jako warto uruchamia nastpujce narzdzia:

globaln konsol MMC, ktr utworzymy w procedurze GS-17,

narzdzie Kopia zapasowa.

gdzie oznacza nazw serwera, z ktrym chcemy si poczy,