570 likes | 720 Views
Systeembeheer. Windows 2000. Overzicht Windows 2000 netwerkbeheer I. Inleiding Active Directory Gebruikers, groepen en rechten Shares DNS / DHCP Aanmaken van veel gebruikers (csvde en ldifde) Netwerkcommando's. Een stukje Windows geschiedenis. 1981 MS-DOS 1.0 1990 Windows 3.0
E N D
Systeembeheer Windows 2000
Overzicht Windows 2000 netwerkbeheer I • Inleiding • Active Directory • Gebruikers, groepen en rechten • Shares • DNS / DHCP • Aanmaken van veel gebruikers (csvde en ldifde) • Netwerkcommando's Systeembeheer Windows 2000
Een stukje Windows geschiedenis • 1981 MS-DOS 1.0 • 1990 Windows 3.0 • 1993 Windows NT 3.1 (zelfde GUI als Windows 3.1) • Windows NT 4.0 (zelfde GUI als Windows 95) • Windows NT 5.0 of 2000 (met ondersteuning clusters): • Professional (vroeger NT4 Workstation) • 2 CPU’s • Server (vroeger NT4 Server) • 4 CPU’s (Software uitbreiding van Professional) • Advanced Server (vroeger NT4 server enterprise ed.) • 8 CPU’s, cluster met 2 nodes • Datacenter Server (nieuw) • 32 CPU’s, cluster met 4 nodes Systeembeheer Windows 2000
Verschil Win2k Professional en Server Professional Server Verbindingen met andere clients 10 Onbeperkt Verbinding met andere netwerken Onbeperkt Onbeperkt Multiprocessing 2 processors 4 processors Remote Access Service (RAS) 1 verbinding 255 verbindingen Replicatie directories Import Import+Export Macintosh diensten Nee Ja Aanmeldingvalidatie Nee Ja Schijffout Nee Ja Netwerk Peer-to-peer Server Systeembeheer Windows 2000
Verschil Windows NT en Windows 2000 • Lijnen Code: • NT4 = 16 miljoen lijnen code • Windows 2000 = 35 miljoen lijnen code • 90 % C, rest Assembler en C++(C++ = zwakste = voor oude win toepassingen) • Kernel architectuur is ongeveer gelijk • Een hoop nieuwe functies: • Active Directory, uitbreidingen NTFS (bv quota's) • Encryptie, Plug and Play Systeembeheer Windows 2000
Lokaal <-> Netwerk • Windows 2000 kent twee soorten gebruikers: Lokale gebruikers en netwerkgebruikers • Local Users and Groups: • Aanmaken van Lokale gebruikers • Active Directory Users and Computers: • Aanmaken van Netwerkgebruikers Systeembeheer Windows 2000
Computers binnen een Workgroup • NAAM • Ze hebben éénzelfde workgroupname (max 8 chars, geen punt bv KDG) • DELEN • Ze kunnen met elkaar bestanden, printers delen • PASSWD • Ze hebben elk hun eigen user/password bestand en gebruikers melden zich enkel lokaal aan • Wanneer zij bijvoorbeeld bestanden gebruiken op een andere server of workstation wordt hun lokale paswoord vergeleken met het lokale paswoord op de andere computer. • Dit betekent dat als iemand zijn paswoord verandert, je dit op elke computer afzonderlijk moet doen! • Ze kunnen wel deelnemen aan een domain, maar zullen dan een username en paswoord moeten ingeven van het domain (dit kan pas vanaf Windows 2000) Systeembeheer Windows 2000
Computers binnen een Domain • NAAM • Ze hebben éénzelfde domainname (bv kdg.be) • Ze moeten in het domain geplaatst worden door iemand met Domain Admin privileges (Administrator) • DELEN • Ze kunnen met elkaar bestanden, printers delen • PASSWD • Ze gebruiken het user/password bestand van één van de Domain Controllers en moeten zich dus over het netwerk aanmelden bij die Domain Controllers aanmelden eer ze mogen meespelen. Systeembeheer Windows 2000
Active Directory • De Active directory is een netwerkdienst die alle gegevens bevat van dat netwerk (van het domein) • Een domein bevat objecten zoals gebruikers, computers, printers, ... • Een domein wordt beheerd door één of meerdere domain controllers. De eerste domain controller in het domein is de Primary Domain Controller (PDC), alle andere zijn Backup Domain Controllers (BDC). • Objecten (gebruikers, computers,...) kan je groeperen in Organizational Units of OU's. • Per OU kan je rechten instellen Systeembeheer Windows 2000
Tools: Microsoft Management Console • MMC Microsoft Management Console kan je opstarten door Start Menu, Run en mmc in te tikken Systeembeheer Windows 2000
Tools: MMC stap 2 • Je kan alle administrator acties invoeren door Console, Add/Remove Snap-in te kiezen • Kies dan Add om de lijst met mogelijke beheersprogramma's te zien Systeembeheer Windows 2000
Tools: MMC stap 3 • Selecteer de gewenste Snap-ins in delijst en kies telkens Add • Wanneer je hiermee klaar bent druk je op Close Systeembeheer Windows 2000
Tools: MMC stap 4 • Je komt terug op het vorige scherm • Kies hier OK om de console met de gevraagde functies te krijgen • Bij netwerk-problemen kan het zijn dat je niet alle gekozen opties kan uitvoeren Systeembeheer Windows 2000
AD structuur: voorbeeld Systeembeheer Windows 2000
AD: Aanmaken van objecten • In de Active Directory User and Computers kan je volgende dingen aanmaken: • Organizational Unit (OU): een logische groepering waarin je users en/of computers kan onderbrengen • User: Gebruiker van het netwerk (voldoet aan de rechten van de OU waar hij/zij in staat) • Group: een groep van gebruikers: enkel gebruikt om schijf-rechten in te stellen (al-dan niet over netwerk) Systeembeheer Windows 2000
AD: Aanmaak van een OU • Domein naam selecteren, rechtermuistoets,new Organizational Unit Systeembeheer Windows 2000
AD: Aanmaak user stap 1 • Selecteer een OU, rechtermuisknop, new user Systeembeheer Windows 2000
AD: Aanmaak user stap 2 • Invullen logon script voor automatische aanmaak van drives • Invullen van de homedrive en de share naar de home drive Systeembeheer Windows 2000
AD: Aanmaak van een groep • Toevoegen van een gebruiker in deze groep kan bij het selecteren van een gebruiker, Member Of • De plaats van de groep binnen de AD structuur heeft een weerslag op de policies van alle gebruikers Systeembeheer Windows 2000
AD: Group Policy • De Group Policy is instelbaar per OU, OU met een sub-OU kunnen al-dan-niet rechten overerven van elkaar • Om de Group Policy in te stellen selecteer je in de Active Directory Users and Computers een OU (bv info2), kies rechter muistoets en Properties. De derde TAB is de Group Policy die je gaat opleggen aan alle objecten die onder deze OU staan. • Bestaat er nog geen, dan kan je de policy creeren door New aan te duiden. Systeembeheer Windows 2000
AD: Group Policy aanmaken Systeembeheer Windows 2000
AD: Group Policy voorbeeld Systeembeheer Windows 2000
AD: Group Policy toepassen • De group policy wordt niet direct doorgevoerd. Om dit te doen volg je volgende stappen op de PDC: • Start Menu->Runsecedit /refreshpolicy USER_POLICY /enforce • Start Menu->Runsecedit /refreshpolicy MACHINE_POLICY /enforce Systeembeheer Windows 2000
Shares: Delen van netwerkdrive • Met een share kan je een netwerkdrive openstellen voor bepaalde gebruikers • Meestal geef je een gebruiker een homedrive op een server • Eventueel zijn er andere drives, om gemeenschappelijk gegevens te lezen, of samen gegevens aan te passen (bv voor een project) • Er zijn verschillende soorten shares: • Normale share op servernaam • Distributed File System (DFS) share op domeinnaam Systeembeheer Windows 2000
Shares: Normale share • Benadering vanaf het netwerk met \\server\sharename Systeembeheer Windows 2000
Shares: DFS share • Benadering vanaf het netwerk met \\kdg\dfs • Ziet eruit als een gewone share, benadering gebeurt op domeinnaam en niet op naam van een server • Kan DFS links bevatten naar data van andere shares op andere servers • Opmerking: Vanaf een DFS share kan de data van een DFS link niet verwijderd worden (je krijgt dan een permission denied, zelfs als administrator) . Systeembeheer Windows 2000
Share aanmaken stap 1 • Ga in de windows explorer naar de properties van een drive die je wil delen • Kies Share this folder • Er zijn 2 mogelijke security instellingen: • Permissions knop: Regelt locale permissies • Security TAB: Regelt permissies vanaf het netwerk Systeembeheer Windows 2000
Share aanmaken stap 2 • Permissions knop • Staat default op Everyone Full control • Iedereen kan dus lokaal aan de drives • Gewone gebruikers kunnen standaard niet lokaal inloggen op de server (enkel van de groep Admins) Systeembeheer Windows 2000
Share aanmaken stap 3 • Nieuwe permissies lokaal • Groepen of gebruikers toevoegen met de Add... knop • Administrators mogen alles • Gebruiker krijgt Change rechten Systeembeheer Windows 2000
Share aanmaken stap 4 • Bericht bij het verwijderen van Everyone • Dit komt omdat Everyone default wordt overgeerft van de hogere directory. Wanneer je onderaan Allow Inheritance deselecteert en je kiest Remove dan kan je Everyone wel verwijderen. Systeembeheer Windows 2000
Share aanmaken stap 5 • Zelfde procedure voor de TAB security (netwerk security) • Een gewone gebruiker krijgt Modify rechten (hetzelfde als Change), anders kunnen gebruikers de rechten van de Administrator afnemen Systeembeheer Windows 2000
Tools: Registry editor • De Registry is de databank waarin allerlei instellingen worden bewaard van programma's en van gebruikers. De Group policy instellingen veranderen ook sommige instellingen van de registry • De eigenlijke databank staat in de NTUSER.DAT file, die wordt geladen bij het inloggen van de gebruiker • Alle profiles van de gebruikers staan in de directory C:\Documents and Settings. Hierin bevat de directory Default User de NTUSER.DAT waarmee elke gebruiker opstart. • Er zijn 2 programma's: regedit.exe en regedt32.exe Systeembeheer Windows 2000
Tools: REGEDIT.EXE • Ideaal voor het zoeken naar bepaalde gegevens (zoekt door alle HKEYs) Systeembeheer Windows 2000
Tools: REGEDT32.EXE • Kan permissies instellen voor gebruikers binnen de registry tree Systeembeheer Windows 2000
Tools: Registry editor: voorbeelden • Automatisch NUMLOCK aanzetten bij inloggen • HKEY_CURRENT_USER\Control Panel\ Keyboard\InitialKeyboardIndicatorsValue=2 • Command Completion aanzetten met TAB toets • HKEY_LOCAL_MACHINE\Software\Microsoft\ Command Processor\CompletionCharValue=09 • Soms gebruik je deze ook voor het opkuisen van programma's die geen uninstall meer hebben • CTRL-F ->Zoeken op programmanaam en verwijderen van alle sleutels van dat programmaMet F3 zoek je de volgende sleutel Systeembeheer Windows 2000
Command line: NET GROUP • Met NET GROUP kan je groepen toevoegen en users toevoegen aan een groep • NET GROUP info1 /ADD • Toevoegen van een groep • NET GROUP info1 /DELETE • Verwijderen van een groep • NET GROUP info1 jancelis • Toevoegen van een gebruiker aan een groep Systeembeheer Windows 2000
Command line: NET SHARE • Met NETSHARE kan je een directory openstellen voor gebruikers vanaf het netwerk • NET SHARE jancelis /DELETE • Verwijderen van een share • Hier moet soms nog een bevestiging op volgen • NET SHARE jancelis /DELETE <antwoord(met in antwoord Y <enter> Y <enter> Y) • NET SHARE jancelis=E:\Studenten\jancelis • Aanmaken van een nieuwe share Systeembeheer Windows 2000
Command line: NET USE • Met NET USE kan je een driveletter toekennen aan een netwerkdrive • NET USE J: /DELETE • Verwijderen van een driveletter • NET USE J: \\server\jancelis • Aanmaken van een nieuwe driveletter voor een share • NET USE J: \\domeinnaam\sharename • Aanmaken nieuwe driveletter voor een DFS share Systeembeheer Windows 2000
Command line: andere NET commando's • NET VIEW • Geeft een lijst van alle computers op het netwerkOpmerking: Geeft een oude lijst weer! • NET USERS • Geeft een lijst van de gebruikers die ingelogd zijn • NET USER jancelis • Geeft informatie over specifieke gebruiker • NET GROUPS "Domain Admins" • Geeft iedereen die in de groep "Domain Admins" staat Systeembeheer Windows 2000
Command line: Rechten met CACLS • Met CACLS kan je rechten van een directory en subdirectories (/T) instellen • Administrator krijgt normaal Full Control (F), Gebruikers maximum Change (C) • CACLS E:\Studenten\jancelis /P Administrator:F jancelis:C /T • Hierop moet je nog bevestigen door Y te drukken. Om dit te verhelpen zet je er echo Y | voor. • ECHO Y|CACLS E:\Studenten\jancelis /P Administrator:F jancelis:C /T Systeembeheer Windows 2000
Command line CUSRMGR (windows NT) • Command-line user manager waarmee je de users kan aanmaken en de meeste opties specifieren • CUSRMGR -ujancelis -m \\server -h \\server\jancelis -H h -agg jancelis +s MustChangePassword -s AccountDisabled Systeembeheer Windows 2000
Aanmaken van veel gebruikersdirectories • ECHO Y > antwoordECHO Y >> antwoordECHO Y >> antwoordECHO Y >> antwoord • NET SHARE n111aa /DELETE <antwoordMKDIR e:\users\n111MKDIR e:\users\n111\n111aaNET SHARE n111aa=e:\users\n111\n111aaECHO Y|CACLS e:\users\n111\n111aa /P administrator:F n111aa:C Systeembeheer Windows 2000
Tools: CSVDE voor aanmaak users • In userfile.csv:DN,ObjectClass,samAccountName,userPrincipalName\cn=user1,cn=INFO1,dc=school,dc=be,user,user1,user1 \cn=user2,cn=INFO1,dc=school,dc=be,user,user2,user2 \cn=user3,cn=INFO2,dc=school,dc=be,user,user3,user3 • Opstarten met:CSVDE -i -f userfile.csv • Opgepast: • Als er een lijntje fout is worden alle users erna ook niet aangemaakt • Er mogen geen dubbele usernames voorkomen, zelfs niet twee gebruikers met dezelfde userPrincipalName, vandaar dat het misschien handig is om alleen maar met unieke codes te werken of om bij de gewone naam ook de unieke nummer toe te voegen (bv naam: Jan Celis_user1) Systeembeheer Windows 2000
Tools: LDIFDE voor AD users • LDIFDE maakt gebruik van LDAP (Lightweight Directory Access Protocol) om in de AD users aan te maken of te modifiëren • Nadeel is dat LDIFDE soms pas een half uur na activatie werkt. Voor aanmaak is CSVDE sneller. • Output van de hele Active Directory:LDIFDE -f output.ldf -p subtree • Output van een specifieke Organizational Unit:LDIFDE -f outputou.ldf -d "OU=Info1,OU=Studenten,DC=SCHOOL,DC=BE" • Modifiëren van nieuwe users:LDIFDE -i -f input.ldf Systeembeheer Windows 2000
Tools: LDIFDE voor modify / delete users • Met changetype: modify in je inputbestand kan je nieuwe gebruikers aanmaken dn: CN=Jan Celis,OU=Info1,OU=Studenten,DC=School,DC=bechangetype: modifyreplace: telephoneNumbertelephoneNumber: +0031 (0)3830 41 05- • Met changetype: delete in je inputbestand kan je gebruikers verwijderen dn: CN=Jan Celis,OU=Info1,OU=Studenten,DC=School,DC=bechangetype: delete- • Let erop dat je steeds een gebruiker afsluit met een streepje "-" ! • LDIFDE is zeer kritisch voor uw input bestand. Er mag zelfs geen spatie aan het einde van de regel teveel staan, of het werkt niet! Systeembeheer Windows 2000
Netwerk: connectie nakijken met PING • Met PING kijk je de drie onderste lagen van het OSI model na. Als een ping lukt is: • je fysische laag in orde (kabel is ok) • de datalinklaag in orde (dus driver netwerkkaart in orde) • de netwerklaag (IP laag) in orde (dus je ip adres is juist ingesteld en de TCP/IP driver werkt) • $ PING 192.168.1.10Pingen naar 192.168.1.10 met 32 byte gegevens:Antwoord van 192.168.1.10: bytes=32 time<10ms TTL=128Antwoord van 192.168.1.10: bytes=32 time<10ms TTL=128Antwoord van 192.168.1.10: bytes=32 time<10ms TTL=128 Systeembeheer Windows 2000
Netwerk: routers nakijken met TRACERT • TRACERT (traceroute) bekijkt alle tussenliggende routers en de tijd dat een pakket nodig heeft om tot bij de router te geraken. C:\WINDOWS> TRACERT toyota.co.jp Tracing route to tidweb.toyota.co.jp [210.148.240.37]over a maximum of 30 hops: 1 122 ms 118 ms 119 ms a04.antw.online.be [62.112.0.36] 2 128 ms 122 ms 118 ms c1-s4-0-0.brus.online.be [194.88.114.49] 3 134 ms 123 ms 127 ms 422.ATM6-0-0.CR1.BRS2.Alter.Net [146.188.4.145] 4 206 ms 195 ms 195 ms 214.ATM3-0.BR1.NYC5.Alter.Net [146.188.5.122] 5 254 ms 248 ms 246 ms 104.at-6-1-0.TR3.SCL1.ALTER.NET [152.63.3.150] 6 268 ms 269 ms 261 ms 193.ATM1-0.SAN-JOSE.ALTER.NET [146.188.144.137] 7 400 ms 400 ms 794 ms Osaka-bb1.IIJ.Net [202.232.0.158] 8 399 ms 2448 ms 2719 ms Nagoya-bb1.IIJ.Net [202.232.0.102] 9 2200 ms * * ngyatm0.IIJ.Net [202.232.1.244] 10 387 ms 378 ms 386 ms tidweb.toyota.co.jp [210.148.240.37] Trace complete. • Je kan ook commando PATHPING gebruiken. Dit geeft tussen de routers ook een packet-loss weer, waardoor je beter de fout kan opsporen Systeembeheer Windows 2000
Netwerk: netwerkaartinfo met IPCONFIG • Met IPCONFIG kan je de instellingen bekijken van je netwerkkaart • IPCONFIG geeft ip adres, subnet mask en gateway instellingen van je netwerkkaart(en)Windows 2000 IP configurationEthernet adapter Local Area Connection: IP-adres . . . . . . . . . . . : 192.168.1.2 Subnetmasker . . . . . . . . . : 255.255.255.0 Standaardgateway . . . . . . . : 192.168.1.1 • IPCONFIG /ALLgeeft alle instellingen van je kaarten, ook MAC adres, DNS servers en DHCP toekenning, ... Systeembeheer Windows 2000
Netwerk: route bepalen met ROUTE • Met commando ROUTE kan je statische routes(wegen) opgeven naar bepaalde doeladressen, het stelt dus gewoon de weg in waar pakketten naar gestuurd moeten worden • ROUTE PRINTtoont de routing tabel • ROUTE DELETE 192.168.1.0verwijdert een route • ROUTEADD192.168.1.0MASK 255.255.255.0 192.168.1.1 METRIC 1 IF 1 Geeft voor alle bestemmingen binnen het netwerk 192.168.1.0 als gateway 192.168.1.1 op(dit via interface 1 of via de eerste netwerkkaart) Systeembeheer Windows 2000
Netwerk: Statistieken met NETSTAT • Met NETSTAT kan je allerlei data opvragen van connecties met je netwerkkaart • NETSTAT -A • alle actieve interfaces en poorten • NETSTAT -P IP • alle actieve IP connecties (mag ook met TCP, UDP) • NETSTAT -R • toont de routing tabel Systeembeheer Windows 2000