Administrácia
Windows 2003 Servra

This error is generated automatically. I am sorry, but this page is NOT available in English. The page You see right now, is here for compatibility purpose only. I am sorry for any inconvenience. It seems You've been on Slovak only page and clicked the note on the bottom. So - do You or do You not understand Slovak? Anyway - bottom line - this page is not available in English. Do You want to return to main page in English?

Administrátorský účet

Účet administrátora je veľmi silný nástroj, pretože s týmto účtom sa dá urobiť v doméne prakticky hocičo... Z tohto vyplýva že administrátorský účet by sa nemal používať na "hocičo". Je dobrým nápadom ho hneď na začiatku deaktivovať...

Význam tohto je kvôli zvýšenej bezpečnosti. Potencionálny útočník sa bude ako prvé snažiť získať prístup k účtu administrátora. Na to aby ho získal potrebuje užívateľské meno a heslo. Ak vie že užívateľské meno je administrator tak má úlohu o čosi ľahšiu. Je teda chybou ak užívateľské meno administrátora je administrator. Lepšie (bezpečnejšie) je vytvoriť obyčajný užívateľský účet a tomuto prideliť príslušné práva. Nie je tiež zlý nápad vytvoriť falošný administrátorský účet s prihlasovacím menom administrator, ktorý nemá žiadne práva...

Prihlásim sa teda na môj server ServerA. Na počítači s Windows XP sa (lokálne) užívateľské účty spravujú v Control Panel/Administrative Tools/Computer Management/Local Users and Groups.
Na servri však takéto čosi nenájdem. Server pracuje v doméne a užívateľské účty sa spravujú v Active Directory. Takže namiesto Local Users and Groups hľadám Active Directory Users and Computers...

Administrátorský účet nájdem v zložke Users (tá je tam automaticky hneď po nainštalovaní servra).
Keď na tento účet 2x kliknem (resp. pravé tlačítko a properties), a zvolím Memeber Of zistím členom ktorých skupín je. Členom týchto skupín by mal byť aj môj nový administrátorský účet ktorý vytvorím. A až potom - keď som si istý že existuje účet/užívateľ, ktorý dokáže robiť zmeny v Active Directory, pôvodný administrator účet zablokujem.

Vytvorím si teda nový účet s mojim menom. (Pravé tlačítko a Create User alebo ikonka hore...). V ďalšom kroku zvolím heslo (ja som zvolil Password@0 ale v praxi rozhodne zvolím dostatočne silné heslo - jedná sa o administrátorský účet) Finish a užívateľ je hotový.

Skontrolujem vlastnosti tohto užívateľa - členstvo v skupinách, kliknem na Add a spravím ho členom potrebných skupín. Pri výbere skupiny stačí napísať pár písmen a kliknúť na Check Name. Napíšem teda "dom", kliknem na Check Name a vyberiem skupinu Domain Admins. Aby som mal naozaj plné práva zaradím účet aj do Enterprise Admins a Schema Admins.

Moja doména vyzerá teda takto.
Reštartnem server a skúsim sa prihlásiť ako novovytvorený užívateľ.
Je DÔLEŽITÉ sa skúsiť prihlásiť ako tento užívateľ a overiť si či mám príslušné práva predtým ako deaktivujem účet administrator.

Pravé tlačítko na účet Administrator a skúsim ho vypnúť (Disable Account) a hneď aj pre istotu zapnúť (Enable Account) ak to funguje značí to že mám dostatočné práva a účet môžem ponechať deaktivovaný (ak by som aj v budúcnosti potreboval čosi spraviť pod týmto účtom viem ako ho aktivovať)

Keďže chcem byť "veľmi zlomyseľný" tak zmením aj prihlasovacie meno pre účet administrator aby som mohol vytvoriť falošný administrátorský účet - návnadu pre prípadného útočníka...

...A vytvorím falošný administrátorský účet, ktorý nebude mať žiadne práva. Heslo zvolím hocijaké - radšej zložité nech to má útočník ťažšie...
Nielen že som sťažil prípadnému útočníkovi prácu, ale mám teraz možnosť sledovať logy a uvidím keď sa niekto bude snažiť prihlásiť ako administrátor.

Vzdialená správa servra pomocou Remote Desktop

Keďže server bude v praxi pravdepodobne zamknutý v nejakej inej miestnosti musím zariadiť aby bolo možné ho spravovať na diaľku. Služba ktorá to umožňuje sa volá Remote Desktop.

Pravé tlačítko na My Computer, Properties a zaškrtnem Enable Remote Desktop. Poznámku odkliknem. Tlačítkom Select Remote Users môžem pridať užívateľov ktorí majú mať prístup a okrem iného zistím že môj užívateľský účet už prístup má...

Skúsim to teda overiť a prihlásim sa na moju pracovnú stanicu (XPClientA) ako lubo.

Pri prihlasovaní je nutné zadávať úplné užívateľské meno (User Principle Name) lubo@wray.sk aby bolo jasné že sa prihlasujem do domény. Ak plné meno neuvediem a použijem iba lubo, je treba stlačiť tlačítko options a zvoliť doménu (v mojom prípade WRAY)

No a úplne ako prvé (aspoň v mojom prípade) si zmením Start Menu, Windows Theme a zruším obrázok pozadia (ktorý zaberá veľa kB na všetkých screenshotoch čo tu mám :)

Vyskúšam sa prihlásiť na ServerA cez Remote Desktop. Start/Programs/Accesories/Communications/Remote Desktop Connection, prípadne z príkazového riadku mstsc.exe
Meno počítača na ktorý sa prihlasujem je ServerA.

To že pracujem na servri na diaľku možno zistiť podľa bledožltého pásu hore na obrazovke kde je napísané na ktorom servri som cez Remote Desktop pripojený.
Iba pre istotu môžem skúsiť spustiť Active Directory Users and Computers, ale je jasné že cez Remote Desktop môžem robiť plnohodnotnú správu servra.

*Ak skúsim pingnúť z počítača XPClientA môj server ping servera.wray.sk všetko funguje ok. Ak však skúsim pingnúť XPClientA z môjho servra ping xpclienta.wray.sk príkaz bude hlásiť počítač ako nedostupný. To je len taká drobnosť spôsobená tým, že na počítači XPClientA je zapnutý firewall a tak ho teda zatiaľ vypnem. (Nie je to nijak nutné len mi to pomôže neskôr diagnostikovať prípadné problémy)

Nástroje na správu servra.

Remote Desktop je síce fajn, ale v praxi sa server zvykne spravovať inak. Som na pracovnej stanici XPClientA predsa prihlásený ako užívateľ s administrátorskými právami a mal by som teda mať možnosť nejak spravovať server bez toho aby som použil Remote Desktop (a zadával znova meno a heslo ktoré som už predsa raz zadal...)

Skúsim teda zájsť (na počítači XPClientA) do Control Panel/Administrative Tools a... Zistím že žiadne Active Directory Users and Computers nevidím.
Ono sa pri inštalácii Windows XP nepredpokladalo že z tej pracovnej stanice budem chcieť spravovať server, a tak sa nenainštalovali všetky aplikácie na vzdialenú správu servra... Stiahnem teda z internetu (na hlavnom - host počítači pretože v mojej doméne zatiaľ internet nefunguje) súbor adminpak.msi...

Tento súbor sa dá nájsť aj na servri ServerA (\WINDOWS\system32\adminpak.msi), a tak ho možno stiahnuť priamo odtiaľ. Keďže som administrátor tak mám prístup na diaľku aj k lokálnym diskom počítača ServerA a teda ak zájdem do Start/Run a spustím \\servera\c$ môžem stiahnuť adminpak odtiaľ.
To C$ je zdieľaný harddisk a znak $ na konci značí že nie je bežne viditeľný (teda kto o ňom nevie, ten ho nenájde). Štandardne je disk C (a všetky disky) vždy zdieľaný a administrátor má teda prístup na diaľku ku všetkým lokálnym diskom počítačov v doméne...

Keď vôjdem do Administrative Tools teraz (po nainštalovaní adminpak.msi) možností je oveľa viac, okrem iného vidím aj Active Directory users and Computers a keď ich skúsim otvoriť zistím že naozaj môžem spravovať Active Directory mojej domény na diaľku.

Ďalšia vec, ktorú chcem možno skontrolovať je DNS, takže skúsim spustiť DNS a zadám že beží na počítači ServerA.

Iná veľmi dôležitá vec ktorá je v Administrative Tools sa volá Remote Desktops. Kliknem pravým tlačítkom a vytvorím nové spojenie.

Hneď pri vytváraní spojenia je možnosť zadať meno a heslo (takže si ho nebude pýtať zakaždým keď sa pokúsim pripojiť) a druhá zmena oproti Remote Desktop je možnosť prihlásiť sa "na konzolu".
Prihlásenie "na konzolu" má výhodu v tom, že nebudem pripojený cez reláciu (session) ale budem prihlásený akoby som naozaj sedel za počítačom ServerA. Zároveň - ak je na tom počítači prihlásený niekto iný odhlásim ho...

Stačí teda kliknúť na spojenie, ktoré som práve vytvoril a hneď som "akokeby na servri"

A ak som bol predtým prihlásený na servri lokálne, a pozrem sa na obrazovku počítača ServerA tak teraz zistím že ma automaticky odhlásilo...
Dôsledok tohto je - ak má mať na server prístup viac administrátorov naraz nemali by používať prihlasovanie "na konzolu"

A keď som si už tak pekne vytvoril spojenie na môj server ServerA tak si to uložím.
A keď vyberiem Save As tak vidím že typ súboru je akási Microsoft Managemet Console...

Microsoft Management Console

Microsoft Management Console (mmc) je nástroj od Microsoftu, ktorý je vytvorený špeciálne pre IT Administrátorov Windows servra a umožňuje vlastne to isté ako Administrative Tools, ale umožňuje si vytvoriť vlastné konfigurácie a tieto potom uložiť a používať.
Jednotlivé položky, ktoré sú v Administrative Tools sú v mmc ako tzv. Snap-Ins. Takže do konzoly si pridám iba tie snap-iny, ktoré naozaj používam a nakonfigurujem si ich podľa vlastnej siete a toho čo chcem spravovať...

Prvý krát konzolu spustím cez Start/Run/mmc neskôr keď ju nakonfigurujem podľa svojich predstáv uložím si konfiguráciu niekde kde je ľahko dostupná. Napr. na desktop.

Jednotlivé nástroje sa pridávajú cez File, Add/Remove Snap-In.

Ako prvé si pridám (tlačítkom Add) Active Directory Users and Computers.

Potom napríklad Remote Desktops a DNS. Iné zatiaľ nepotrebujem...

Nakonfigurujem snap-in na správu DNS...

A Remote Desktops...

Potom už len uložím moju konzolu na desktop a nástroje na diaľkovú správu servra mám teraz poruke na "1 klik"...

(c) Wray 2007