Local Area NetworkManagement,Design and
Security• Windows
– Kap.8 i kursboken
Historia mm.• DOS 1.0 (81) upp till 64 Kbyte RAM• Windows 1.0 (85)• W 2.0 (87)• W 3.0 (90)• W 3.11wfwg (92) Windows for WorkGroup• W95 (94)• W98 (98) Active Desktop IE i OS• Me (99) W95-core
DOS
MS-Windows
DOS
MS-Windows
Network support
LAN cable
Historia mm.
• NT3.1 (93) NewTechnology-core• NT3.5/3.51 (94) Server/Workstation• NT4.0 (96) Server/Workstation• W2k (00) Server/Pro• XP (H01) Pro/Home• [.net (XP-server)] kom aldrig!• W2003 (W2k3) 24 April 2003• ServicePack (Uppdatering) och ”Patches” (Fixar)
LAN cable
WindowsNT
W2k (Windows 2000)• Professional (Pro) workstation• (2003 server Web Edition)• Standard server• Advanced server (2003 Enterprise
Edition)• Datacenter server (NOS kan inte köpas
separat, endast förinstallerad)
W2k Pro• FAT16/32 & NTFS5.0 (NT File System 5)• Äkta inloggning• Krav: Min: Rek: Max
P133 PIII Dual CPU64MByte 128 4GB685MByte+RAM 2GB->
• Volym Min Max Max filstorlekNTFS5 10MByte 2TB 2TB eller vol.FAT32 512MByte 2TB(32GB) 4GBFAT16 Floppy 4GB 2GBOBS W2k-server kan formatera FAT32-volymer till MAX 32 GByte
W2k Pro• Users
– Administrator– Personal user– Guest user
• Grupper• Lösenord
– Max/Min ålder– Min antal tecken– Unika– ”Login restriction”
”Foolproof”
W2k Server/Advanced server/Datacenter server
• FAT16/32 & NTFS5.0 (NT File System 5)• ”Mycket äkta” inloggning• Krav: Min: Rek: Max S,AS,DS
P133 PIII 4,8,32128MByte 256-> 4,8,32GB
685MByte+RAM 2GB->• Volym se W2k Pro
W2k-Nätprotokoll• TCP/IP• NetBEUI• NWLink• DLC – DataLinkControl• EAP• RADIUS• IPSec• L2TP• BAP• +många fler!
W2k Pro i nät
• W2k Pro måste anslutas till domän-kontrollant för att få access till domänen. (Måste ske m.h.a Administratörskonto)
• Workgroup/Arbetsgrupp– PeerToPeer– Share
Ansluta W2k-dator till domän-kontrollanten
Servertyper
• Domaincontroller Användarkonton mm.
• Memberserver [DCPROMO.EXE]
• Standalone server [Som ”W2k Pro” men server, med egen
säkerhet]
Domain
• W2k Pro/server och nyare kan vara med i Domän• W9X m.fl. kan använda resurser (PreW2000).
W2Kprof.
W2KServer
W2KServerW2K
Server
Domain 1
Dom
ain
3
Domain 2
W2Kprof.
W2Kprof.
W2Kprof.
W2Kprof.
W2Kprof.
W2Kprof.
W2Kprof.
W2Kprof.
Transitive Trust
Transitive Trust
W2KServer
W2Kprof.
W2Kprof.
W2Kprof.
W2KServer
W2Kprof.
W2Kprof.
W2Kprof.
W2KServer
W2Kprof.
W2Kprof.
W2Kprof.
Domain 3
Domain 1
Domain 2
Domain-Tree fig 8.10 s.325root
child1.root child2.root
grandchild.child1.root
Forestroot
child1.root child2.root
grandchild.child1.root
Two-Way Transitive Trust
ibm
child1.ibm child2.ibm
grandchild.child1. ibm
Active Directory
• Directory service, MS svar på NDS– Object – Resurser i AD– Objekt Classes – Typer av objekt– Properties – Attribut för objektet
• Databasen lagras i DNS:en som därför måste vara dynamisk.
”Containers” i AD
• ”Containers” används för att skapa struktur och gruppering av resurser i AD
• För att skapa Forest, Trees mm. används speciella Containers.
• För vanlig administration används uteslutande Organizational Unit (OU)
Organizational Unit (OU)
• User• Group• Computer• Printer
• Contact• Shared Folder *• Andra OU• (Security policy)• (Application)
Objekt som kan användas i OU:
* Pekare till Share i filsystem
AD-Design
1. Geografisk2. Objekt-baserat3. Kostnadsställe4. Projektvis5. Avdelningsvis6. Organisationsvis7. Hybrid – blandning av ovanstående
USA
Washington California
Europe
Norway Germany
DomainMulticorp
Domain
OU
Geografisk modell fig.8.13 s. 328
Adm
Sale Accounting
DomainMulticorp
Domain
OU
Avdelningsvis Fig 8.14 s.329
Nätverksinställningar Windows 2003
Alternativ för att få upp ”Network Connections” dvs dina nätverksanslutningar och för att kunna göra inställningar för dessa.
Alt 1 /Start/All Programs/Accessories/ Communications /Network Connections
Alt 2 /Start/Control Panel/Network ConnectionsAlt 3 C:\Documents and settings\All Users\Start menu\
programs\Assessories\Network ConnectionsAlt 4&5 I Windows Explorer: (run explorer.exe)• <höger musknapp> på My Network Places
<Välj> properties /Network Connectionseller
• Control Panel/Network Connections
Objekt i AD
Verktyg:• MMC-administration Microsoft Management Console
Ett kraftfullt verktyg med ”PlugIns” dvs.fler program och verktyg kan läggas in vilket gör det väldigt dynamiskt och anpassningsbart.[”För mycket på en gång” för nybörjare?]
• Active Directory Users and Computers
HÖGERKLICKA
Användar-administration
• First name• Initials• Last name• Full name• User logon name• User logon name (pre-windows 2000)
Password
• User must change password at next logon• User cannot change password• Password never expires• Account is disabled
•Password•Confirm password
Funkar bara i NT &fr.o m W2k
Tips: %USERNAME%
Profiles
Profiles
• User profile: Personlig inställningar som skrivbordsbakgrund, ikoner, startmeny, mm.
• Administreras av Administratör eller varje användare själv.
• Local profile – Lagras på klienten eller• Roaming profile – Lagras på server och ”följer
med” användaren i nätverket.– Personal user profile (användarnamn.dat) – Mandatory user profile (byt till .man) [Låst profil]
Groups
Två typer:•Security•Distribution
Tre scope:•Domain local•Global•Universal
Global-Local-Universal
• Global group (GG)– Användare från domänen– Kan användas i hela forest
• Local group (LG)– Användare och globala grupper från hela forest– Kan användas endast i domänen
• Universal (UG) endast i Native mode (Inga NT4)– Användare och Global/Universal grupper från hela forest– Kan användas i hela forest
Domain Magazine
Domain Cars Domain Boats
LGCommon Shared
resources
GGCar
GGBoat
OlaJan PHildeTed
JohnMaryMarkLouise
•Car•Boat
Builtin groups
Några inbyggda grupper:• Guests, Users, Domain Users, Administrators
Builtin groups
Några inbyggda grupper:• Guests, Users, Domain Users, Administrators
Builtin groups
Några inbyggda grupper:• Guests, Users, Domain Users, Administrators
Builtin User
File Security
Två delar:• Share/Share-rights [ACL]• NTFS-rights [ACL]
FAT16/32 har inga file-rights
Det måste först skapas en Share som användaren kan använda, sedan kan ”filerights” sättas för användaren.
Sharing: Dela ut!
Work+
WINNT+
Home+
Data+
(C:)
W2+
W1+
Share:Arbete
Högerklicka på mappen, välj Sharing
Share:Data
Share:Jobb
Sharing rights• Fullcontroll• Change• Read• Allow & DenyOBS Deny gäller även om Allow
erhållits från annan ”källa” OBS
Standard-shares:•NETLOGON – C:\WINNT\sysvol\sysvol\dev.local\SCRIPTS•SYSVOL – C:\WINNT\sysvol\sysvol
Domain
Hidden Share$
• Osynlig, dvs man måste veta vad den heter för att kunna använda den.
Standard hidden shares:• C$ - C:• Admin$ - W2k-systemfiler [C:\WINNT]
Folder/file rights:Basic rights [ACL]
• Table 8.2 och lista s.351 beskriver alla de rättigheter som kan sättas för foldrar och filer.
• Standard rights är en gruppering av dessa för att förenkla arbetet.
Folder/file rights: Standard rights• Full control• Modify• Read & Execute• List Folder Contents• Read• Write
• Advanced…• Inherited rights
Folder/file rights: Standard rights• Summan av rättigheter från
olika källor är de”effektiva rättigheterna”
Men:• Deny bestämmer, om den
sätts här (inte arv)• NoAccess bestämmer• Inherited rights kan
blockeras• Den share som man kommer
genom kan också begränsa. (Man kan aldrig få mer)
Finjustering av basic rights [ACL]
Arv (Skuggad/Grå)
AD-Access, vem får göra vad i AD:et?
• Full control• Read• Write• Create all child objects• Delete all child objects• Apply Group Policy – med
Group policy kan vi styra konfigurationen av säkerheten för hela eller stora delar av vårt nät. (överkurs)
Group policy
• Password template• Account lockout• Kerberos• User rights assignment:
Vad får en användare göra i systemet. Fig 8.37s.357 t.ex. log on localy
Tungt: Inget under labben