I) Einführung in Windows 2000

1. Überblick über die Windows 2000 PlattformUnterstützt: Client/Server und Peer to Peer Netzwerke Geeignet für große und kleine Netzwerke Neue Technologien senken die Gesamtbetriebskosten (TCO, Total cost of ownership)TCO enthält alle Kosten von der Planung bis zu den Kosten des laufenden Betriebes.

Win 2000 gibt es als:Win 2000 Professional: Zusammenführung von Win NT Workstation und Win 98Win 2000 Server: entspricht Win NT ServerWin 2000 Advanced Server: entspricht Win NT Server 5, Enterprise EditionWin 2000 Datacenter Server: Für Datawarehouses, Wirtschaftsanalysen, wissenschaftliche und technische Simulation und zu Serverkonsolidierung.

Merkmale von Win 2000

GesamtbetriebskostenAutomatische Installation und Aufrüstung von Applikationen, vereinfachte Konfiguration von Clienten

Sicherheitauthentifiziert Benutzer und überwacht den Ressourcenzugriff

Verzeichnisdienste (nicht bei Win 2000 Profess)(Active Directory-Techgnologie)Dieser Dienst speichert alle Informationen von Benutzekonten bis Ressourcen Ermöglicht Benutzer auf Ressourcen im gesamten Win 2000 Netzwerk zuzugreifen.Ermöglicht Administrator alle Ressourcen zu verwalten

Leistung und SkalierbarkeitUnterstützt SMP (Symetric Multiprocessing) mehrere Prozessoren (Win 2000 Profess, zwei Prozessoren)

Netzwerk und Kommunikationsdienstealle gängigen ProtokolleKonnektivität zu Novell, UNIX, AppleDFÜ (für RAS)Win 2000 Professional: 1Win 2000 Server : 256

Integrationvon lokalem Computer, Intranet und Internet(Win 2000 Professional hat einen eigenen Webserver)

Hardwareunterstützung:USB und Plug & Play

2. Win 2000 Professional

2.1 Benutzerfreundlichkeit2.1.1 Erweiterung der BenutzeroberflächeAngepaßtes Startmenü man kann selten genutzte Anwendungen ausblendenDialogfelder zum Anmelden und Beenden Weniger und günstiger angeordnete OptionenTaskplaner Zur automatischen Ausführung von Skripten und Anwendungen

2.1.2 Unterstützung mobiler Benutzerunterstützt APM (Advanced Power Management) und ACPI (Advanced Configuration und Power Interface) (s. Kap 24)Ändern der Komponenten erfordert kein Ausschalten des Laptops

Netzwerk-Verbindungsassistent zur Konfiguration von DFÜ und VPN Verbindungen (s. Kap 21)VPN Unterstützung Externer Zugriff auf Firmennetze via Internet (s. Kap 21)Offlineorder Kopiert Daten aus dem Netzwerk auf den lokalen Computer (s. Kap 24)Synchronisationsverwaltung Aktualisiert im Offlinemodus geänderte Dateien im Netzwerk nach den nächsten Anmeldung automatisch (s. Kap 24)

2.1.3 Verbesserte DruckmöglichkeitenIPP (Internet Printing Protokoll) Ermöglicht Drucken in jedem Win 2000 Netzwerk am Internet über eine URL. Browser gibt Informationen über den Druckerstatus. Treiber können über das Internet installiert werden.Druckerinstallations-Assistent vereinfacht die Installation von Druckern weiter. (s. Kap 12)ICM 2 ist Betriebsystem API die Farbdarstellung auf Monitor-, Scanner-, und Druckerausgaben angleicht.

2.2 Vereinfachte VerwaltungSoftware Assistent Zur Installation und Deinstallation von Software (auch über Intra- und Internet). Kann Software nach Größe und Häufigkeit der Benutzung auflisten.Windows Installer kann Anwendungen Installieren, deinstallieren, reparieren und modifizieren (z.B. auch einzelne Komponenten des Software-Paketes).Stellt auch API zur Verwaltung von Applikationen und Tools zu Verfügung.

2.2.1 Tools zur ProblembehandlungKompatibilitätstool meldet drohende Inkompatibilität bei der Installation von neuen Komponenten oder Software. (Start durch Setup /checkupgradeonly)Problembehandlungstools Aufzurufen über die Onlinehilfe.

2.3 Erweiterte HardwareunterstützungHardware-Assistent zur Installation, Deinstallation und Fehlersuche von Hardware-Komponenten. Starten und Stoppen von GerätenWDM (Win32 Driver Model) sind Gerätetreiber für Win 2000 und Win 98.Plug & Play Erweiterung: Automatische und dynamische Neukonfiguration installierter Hardware, Laden geeigneter Treiber, Registrierung von Gerätbenachrichtigungsereignissen, austauschbare und demontierbare Geräte.Energieoptionen versorgt Komponenten nur im Bedarfsfall mit Energie (sofern diese das unterstützen) Standby: Monitor und Festplatte werden ausgeschaltet. Ruhezustand: Computer schaltet ganz ab, merkt sich letzte Einstellung

2.3.1 Symmetric Multiprozessing (SMP)Win 2000 kann alle Threads auf jedem (installierten) Prozessor ausführen. Man kann aber auch festlegen auf welchem Prozessor (Prozessoraffinität). Diese APIs müssen in der Anwendung definiert sein. Threads werden aber immer noch nach Priorität abgearbeitet

2.3.2 Asymmetric Multiprozessing (ASMP)wenn Prozessoren verschieden oder Zugriff auf verschieden physikalischen Speicher.Wird von Win 2000 nicht unterstützt.

2.4 Verbesserte DateiverwaltungNTFS: Unterstützt Dateiverschlüsselung, hinzunahme eines weiteren NTFS Datenträgers ohne Neustart, Überwachung von verteilter Dateiverknüpfungen um Festplatten Kapazität zu schonen (begrenzt Benutzer-Festplatten-Speicher?) (s. Kap 2) FAT32: zur Kompatibilität zu Win 98 (ermöglicht Nutzung von Festplatten über 2GB)Defragmentierungstool: (s. Kap 18)Sicherungsprogramm: Backupprogramm. (s. Kap 19)Datenträger-Bereitstellungspunkte: Mounten eines Laufwerkes in einem Ordner.

2.5 Erweiterte SicherheitsfunktionenKerberos 5: zur AnmeldungEFS (Encrypting File System): Festplatte-VerschlüsselungIPSec (Internet Protocol Security) verschlüsselt TCP/IPSmartcard-Unterstützung: Authentifizierungstickets und Schlüsselwörter nicht mehr über Netzwerk übertragen.

3. Win 2000 Arbeitsgruppen und Domänen3.1 Win 2000 Arbeitsgruppen (Peer to Peer Netzwerk)Ressourcen (ohne dedizierten Server) werden gleichberechtigt verwendet.Verwaltung der Ressourcen(sicherheit) und der Benutzerkonten dezentral.Jeder (Win 2000) Computer hält dazu eine lokale "Sicherheitsdatenbank"Somit werden die Ressourcen auch dezentral verwaltet.Voraussetzung:Benutzer braucht auf dem Computer auf den er zugreifen will ein Konto-> Neue Benutzer müssen in alle Computer einzeln aufgenommen werden Vorteile einer Arbeitsgruppe:Win 2000 Server nicht notwendigEinfach zu planen, aufzubauen und zu verwalten! möglichst nicht mehr als 10 Computer in einer Arbeitsgruppe

3.2 Win 2000 DomänenEine zentrale "Sicherheitsdatenbank" (Active Directory-Verzeichnisdienst) für Ressourcen(sicherheit) und Benutzerkonten (auf dem PDC)- Mitglieder einer Domäne sind nicht ortsgebunden, beliebige Verbindungsart (ISDN, Ethernet etc)Vorteile einer Domäne Zentrale Verwaltung Nur einmalige Anmeldung notwendig im alle (erlaubten) Ressourcen zu nutzen

Unbegrenzt erweiterbarComputer in einer Domäne: PDC: zur Authentifizierung der Benutzer und Vergabe der Rechte in der gesamten

Domäne. Sind mehrere Domäne Controller vorhanden repliziert sich das Active Directory automatisch

Mitgliedsserver: Stellen gemeinsam zu nutzende Ressourcen bereit. Clients: Schnittstelle für Benutzer zu den Ressourcen

4. Anmeldung bei Win 2000 4.1 Lokale AnmeldungÜberall, nur nicht auf einem PDCAnmeldeoptionen:Benutzername, Kennwort, über DFÜ anmelden, Herunterfahren

4.2 AuthentifizierungsprozessMethode bei lokaler Anmeldung:1. Eingabe der Userdaten2. Prüfung in der lokalen Sicherheitsdatenbank3. Generierung eines Zugriffstoken (Enthält Userspezifische Rechte)

5. Dialogfeld Windows-Sicherheit5.1 Dialogfeld: Windows-SicherheitAufzurufen durch Strg+Alt+EntfEnthält Information des derzeit angemeldeten Users (Username, Anmeldedatum)Optionen:Computer sperren (nur Benutzer oder Admin können Sperre aufheben, tut es der Admin, wird der Benutzer automatisch abgemeldet), Abmelden, Herunterfahren, Kennwort ändern, Taskmanager

II) Win 2000 Installation 1. Einstieg1.1 Vor der Installation Kenntnis über die Hardware des Computers (im Zweifelsfall HCL nutzen)Festplattenpartitionierung und Dateisystem bestimmen

1.2 HardwareanforderungenProzessor: PentiumSpeicher: 64MB (min 32MB)Festplatte: 2GB (min 650MB)

1.3 Hardwarekompatibilitätsliste (auf InstallationsCD: \Support\hcl.txt)Gibt Auskunft mit welcher Hardware Win 2000 schon getestet wurde

1.4 Festplattenpartitionen (beim Setup)1.4.1 Neue oder vorhandene Partition oder Partition Löschen1.4.2 Freien Speicherplatz konfigurieren (unpartitionierten Bereich partitionieren)Empfohlen nur die Partition anzulegen in der Win 2000 installiert werden soll, alles weitere dann mit dem Festplattenmanager1.4.3 Größe der Partition festlegensiehe 1.2

1.5 DateisystemeNTFS kann:Zugriffsberechtigung auf Dateien und Ordner-Ebene vergeben (s. Kap 14)Komprimieren (s. Kap 18)Maximal verfügbaren Speicherplatz für Benutzer festlegen (s. Kap 18)Verschlüsseln (s. Kap 18) Dynamische Partitionen?Partition in Ordner mountenRemotespeicherung

FAT oder FAT 32 :+ es können auch andere Betriebsysteme darauf zugreifen+ Dualboot wird möglich! Sicherheit nur auf FreigabeebeneFAT32 kann auch > 2GB partitionieren

1.6 LizenzierungNeben der normalen Lizenzierung aller Win 2000 Betriebsysteme sind auch alle Client/Server Verbindungen zu lizensieren

1.6.1 Zugriffslizenz für Clienten (Client Access License, CAL)Berechtigt "einen" Client eine (legale) Verbindung zu anderen Computern herzustellenModi: (bei Server zu wählen): pro Arbeitsplatz oder pro Server

keine Lizenz nötig bei: FTP, Telnet, HTTP.! Back Office verlangt extra Lizenz

1.6.2 pro ArbeitsplatzJeder Client bekommt eigene Lizenz. Sinnvoll bei großen Netzwerken, wenn Clienten auf mehrere Server zugreifen1.6.3 pro ServerCALs werden bestimmten Servern zugeordnet und erlauben eine bestimmte Anzahl von gleichzeitigen Verbindungen zu Clienten mit diesem ServerSinnvoll für kleine Unternehmen die nur einen Server besitzen.! Anzahl der maximal zugelassenen Verbindungen läßt sich konfigurieren

1.7 Zugehörigkeit einer Domäne oder Arbeitsgruppekann schon bei Installation entschieden werden.1.7.1 Einer Domäne beitretenVoraussetzung:Domänennahme (mit DNS),

Computerkonto (auch während der Installation mit Benutzername und Kennwort möglich, wenn man die ausreichenden Rechte besitzt einen Computer der Domäne hinzuzufügen), PDC und DNS-Server1.7.2 Einer Arbeitsgruppe beitretenVoraussetzung:Eine neue oder vorhandene Arbeitsgruppe! wird ein Server hinzugefügt, so nennt man diesen "Stand Alone Server" da er zu keiner Domäne gehört

1.8 Checkliste zur Vorbereitung der Installation

2. Win 2000 von CD-ROM installieren 2.1 Win 2000 Setupprogramm2.2 Setupprogramm ausführenBooten von CD oder Setup-Startdikette2.3 Setup-Assistenten ausführenFragt Systemgrundeinstellungen ab. 2.4 Netzwerk-Komponenten installiereninstalliert: NIC-Treiber, Netzwerk-Komponenten

Client für MS Netzwerke zum Zugriff auf Netzwerk Ressourcen Datei und Druckfreigabe selbst Netzwerk Ressourcen bereitstellenTCP/IP Standardprotokoll für LAN/WAN

Einer Arbeitsgruppe oder einer Domäne beitretenKonfiguration dieser Komponenten2.5 Installation abschließenStartmenü generieren, Komponenten registrieren (Konfigurationseinstellungen laden), Konfiguration speichern(auf Festplatte), temporäre Daten löschen, Reset.2.6 Praxis: Win 2000 von CD installieren

3. Win 2000 über Netzwerk installieren 3.1 Installation über das Netzwerk vorbereitenDer Fileserver auf dem sich die Win 2000 Installationsdateien befinden nennt sich "Distributionsserver"weitere Voraussetzungen:FAT-Partition (min 650MB) auf dem ZielrechnerBootdiskette, um eine Verbindung zum Distributionsserver herzustellen

3.2 Distributionsserver einrichtenSinnvoll, wenn man viele Computer (immer mal wieder) installieren willWenn viele Computer gleichzeitig installiert werden sollen, empfiehlt es sich mehrere Distributions"Ordner" anzulegen und diese auf mehren Computern zu verteilen.Vorgehen:Einen (Distributions)Ordner auf Server erstellen und Inhalt von i386 hineinkopierenIn Ordner einen weiteren Ordner "$OEM$" (wird als temp-verzeichnis genutzt?) erstellen.

$OEM$ kann auch außerhalb des Disributionsordners erstellt werden, braucht aber dann den Schlüssel "OEMFILESPATH" in der Antwortdatei

3.3 Installation über das Netzwerk durchführenNachdem die Verbindung zum Distributionsserver hergestellt ist, starten von:win32.exe (bei Update von Win 95/98, Win NT 3.5/4.0 oder Win 2000) winnt.exe (für DOS und Win 3.x)

3.4 Setupprozeß mit WinNT modifizierenWichtige Optionen:/e[:Befehl] Wird nach der Graphikmodusphase ausgeführt/r[:Ordner] Gibt einen Ordner an der installiert werden soll./rx[:Ordner] dito, wird aber nach der Installation gelöscht/s[:Quellpfad] gibt das Quellinstallationsverzeichnis an (z.B. \\server\[pfad])/t[:Laufwerk] Laufwerk für die Temporärdateien (beugt Defragmentierung vor)/u[:Antwortdatei] zur automatischen Installation/udf:id[,UDF-Datei] modifiziert Antwortdatei

3.5 Setupprozess mit WinNT32.exe modifizierenOptionen:/checkupgradeonly Wird Bericht erstellt, ob Computer Win 2000 fähig ist/copydir:ordnername Kopiert beliebige Ordner in das Win 2000 Systemverzeichnis/copysource:ordnername dito, wird aber nach Installation wieder gelöscht/cmd:befehlszeile führt vor der letzten Phase des Setups einen Befehl aus/cmdcons fügt dem Betriebsystemauswahlmenü eine Option für die

Wiederherstellungskonsole hinzu./debug[ebene][dateiname] Erstellt ein Fehlerprotokoll auf der angegebenen Ebene

Default: c:\winnt32.log, Ebene 2/m:Ordnername ?/makelocalsource installiert sämtlich Installationsdateien auf die lokale Festplatte /noreboot kein Reset nach Installation /s:quellpfad gibt das Quellinstallationsverzeichnis an (z.B. \\server\[pfad])/syspart:laufwerk kopiert nur die Startdateien auf die (jetzt boot) Festplatte zum weiteren

Setup /tempdrive:laufwerk/unattend [zahl][:antwortdatei] zur automatischen Installation/udf:id[,UDF-Datei] modifiziert Antwortdatei

4. Probleme während der Installation 4.1 Allgemeine Probleme lösen4.2 Setupkontrolle4.2.1 Aktionsprotokoll verwenden (Setupact.log)alle Aktionen in chronologischer ReihenfolgeAktion ist: Kopieren von Daten, Einträge in der Registrierung etc.Enthält auch Einträge des Fehlerprotokolls4.2.1 Fehlerprotokoll verwenden (Setuperr.log)

Enthält alle Fehler und wie schwerwiegend diese sind4.2.3 Weitere ProtokolleWinows2000\comsetup.log beschreibt Installation des Managers für optionale

Komponenten und com+ Komponenten Winows2000\mmdet.log Anschlussbericht von Multimediageräten Winows2000\setupapi.log enthält jede ausgeführte Zeile einer *.inf Datei Winows2000\debug\netsetup.log Fehler beim Eingliedern in Domäne oder Arbeitsgruppe

III) Management Console und Taskplaner1. Einführung in die MS Management Console1.1 Management Konsolen (die MS-shell MMC)geeignet für:Taskverwaltung und Problembehandlung mit der MMC sind Verwaltungstasks durchzuführenZentralisierte Verwaltung Verwaltungstasks von beliebigen Computer durchführbarTaskverwaltung und Problembehandlung remote wenn Snap-In für Remotecomputer zur Verfügung steht, muß nur der Name des Computer angegeben werdenConsole umfasst min ein Snap-In. Einstellungen zu den Snap-In die zu einer bestimmten Konsole gehören werden in einer Datei (*.MSC) gespeichert.1.1.1 Konsolenstruktur und DetailfensterausschnittDie Konsolenstruktur stellt die hierarchische Organisation der Snap-Ins dar.Es sind beliebige Snap-Ins in die MMC aufzunehmen.1.1.2 Verwaltungstools Benutzerdefinierte Konsolendateien werden im Verzeichnis: C:\Dokumente und Einstellungen\%USERNAME%\startmenü\Programme\Verwaltung\*.MSC gespeichert.! dieser Menüpunkt ist defaultmäßig unsichtbar. Um diesen Menüpunkt zu erhalten:

Start Einstellungen Taskleiste und Startmenü Eigenschaften Erweitert Verwaltung anzeigen

1.2 Snap-InsSind so konzipiert, daß sie in eine MMC integriert werden können1.2.1 Eigenständige Snap-Ins Um Verwaltungstasks auszuführen1.2.2 Erweiterungs-Snap-Ins für zusätzliche Verwaltungsfunktionen eigenständiger Snap-Ins Beim Hinzunehmen von Erweiterungen werden nur die Erweiterungen angezeigt die mit dem Eigenständigen Snap-In kompatibel sind. Beim Hinzufügen von eigenständigen Snap-In werden automatisch auch die verfügbaren Erweiterungen aufgenommen, die jedoch auch wieder zu löschen sind.Eigenständige Snap-In können um zahlreiche Erweiterungen ergänzt werden

1.3 KonsolenoptionenEs gibt Snap-Ins die sowohl als eigenständig als auch als Erweiterung fungieren können1.3.1 AutorenmodusNach dem Speichern in diesem Modus, läßt sich die Konfiguration beliebig verändernIm Einzelnen:Snap-Ins löschen und hinzufügen, Fenster einblenden, gesamte Struktur anzeigen, speichern

1.3.2 BenutzermodusBenutzer hat dann nur noch einen beschränkten ZugriffIm Einzelnen:Vollzugriff: alle Funktionen, nur nicht löschen und laden von Snap-Ins Benutzermodus – Beschränkter Zugriff, mehrere Fenster: keine neuen Fenster öffnen, keinen Zugriff auf Teile der Struktur. Darf aber mehrere Fenster in der Konsole ansehenBenutzermodus – Beschränkter Zugriff, einzel Fenster: Nur der Status anzuzeigen, wie es auch gespeichert wurde.

2. Konsolen verwenden2.1 Konsolen erstellenStart Ausführen mmcGewünschte Snap-Ins aufnehmenSnap-Ins kombinieren die verwandte Tasks ausführenBenutzerdefiniert speichernVerteilen an andere AdminsKonsolen (von beliebigen Computern) aufrufen, um Admintasks zu zentralisieren und zu vereinfachen2.2 Konsolen zur Remoteverwaltung erstellenSnap-Ins müssen vom Hersteller remotetauglich programmiert werden. Ist das Snap-In zur Remoteverwaltung geeignet, wird man aufgefordert den Computernamen einzugeben.2.3 Praxis:

3. Taskplaner verwendenFührt Batch-Dateien einmalig, regelmäßig, zu gewünschten Zeitpunkten oder bei Betriebsystemereignissen durch.3.1 Einführung in den TaskplanerZeitpläne werden gespeichert im Verzeichnis: "Geplante Tasks" in der Systemsteuerung oder im Fenster "Arbeitsplatz". Es ist natürlich auch möglich die Taskliste eines anderen Computers remote anzuzeigen, kopieren oder zu löschen.Typische Aufgaben:Wartungsprogramme ausführenProgramme dann ausführen, wenn Rechner wenig ausgelastet ist

3.2 OptionenAssistent starten durch doppelclick auf geplante Task hinzufügen3.3 Erweiterte Eigenschaften3.4 Praxis:

IV) Windows Systemsteuerung1. Hardwarekonfiguration festlegen1.1 Wichtiges über HardwareprofileIm Hardwareprofil wird die Konfigurationseinstellung für Geräte und Dienste gespeichert.Auf einem Computer kann man auch mehr als eins speichern .

1.2 Hardwareprofile erstellen und bearbeitenSystemsteuerung System Hardwareprofile?oderArbeitsplatz rechte Maus Eigenschaftenerstellen: vorhandenes Profil markieren kopieren! oberstes Profil in Liste ist Defaultprofil beim Startbearbeiten: Systemsteuerung Geräte Ein Gerät wählen HW-Profile in Profil aufnehmen/löschen1.3 Hardwareprofil aktivieren Beim Rechnerstart auswählen (In der Hardwareprofile Dialogbox ist die Wartezeit einzustellen)1.4 Hardwareprofieleigenschaften anzeigenEinfach einzustellen, ob Computer fest oder tragbar Win 2000 erkennt dann automatisch, ob Computer in Dockingstation oder nicht.

2. Bildschirm konfigurieren2.1 Anzeieeigenschaften festlegenDesktop (rechte Maus) Eigenschaften Einstellungen

NEU: Desktop auf max 10 Bildschirme erweiterbar (nur mir PCI oder AGP)! Hardware-Anforderungen für primär und sekundär Bildschirme sind Unterschiedlich! Integriete (onboard)Graphikkarten werden immer zu sekundären Graphikkarten und müssen mehrere Bildschirmmodus unterstützen! Weitere Graphikkarten erst nach der Win 2000 Installation hinzufügen.! PCI-Slotreihenfolge legt Hauptbildschirm fest, wenn nicht durch BIOS zu bestimmen.! Laptop/Docking-Station: Hier müssen die Graphikarten in die Docking-Statiom eingebaut sein2.2 Mehrfachbildschirmanzeigen konfigurieren Jeder Bildschirm muß einzeln konfiguriert werden !Systemsteuerung Anzeige Eigenschaften Einstellungen Monitornummer ....2.3 Problembehandlung bei der Mehrfachbildschirmanzeige3. Betriebsystemeinstellungen konfigurieren 3.1 SystemleistungsoptionenSystemeigenschaften Erweitert3.1.1 Reaktionsgeschwindigkeit der AnwendungLegt fest, ob Anwendungen oder Hintergrundprozesse Priorität haben3.1.2 Virtueller ArbeitsspeicherVerwaltet mit "Virtual Memory Management System" (VMM) Ermöglicht mehr Anwendungen als dies der physikalische Arbeitsspeicher zulassen würde Verhindert Überschneidungen der Anwendungen im ArbeitsspeicherDa 32 Bit Adressierung 4GB virtueller Speicher Aufgaben des VMM: Verwaltung der Speicherzuordnungstabelle

Listet virtuelle Adressen auf die zu einem Prozess gehörenListet die Speicherorte der Dateien auf, die auf die in diesen Adressen verwiesen wird.Threat fordert Adresse VMM sucht danach und sendet angeforderte Daten

Schreibt Dateien von der- und auf die Festplatte 3.1.3 Virtueller Adressraum

VMM stellt 4GB zur Verfügung: 2GB für Kernel-Modus-Threads

Unterer Abschnitt wird direkt von Hardware genutzt (ist sehr schnell)2GB für Anwendungen und für Kernel-Modus-Threads

Auslagerungspool und Nicht-Auslagerungspool (verbleibt immer im Speicher)Seitengröße: 4kB

3.1.4 Dateien auslagern – PagingWenn Speicher belegt und Thread auf Daten zugreifen will wird Speicherbereich aus physikalischen Speicher auf die Festplatte geschrieben und die angeforderten Daten in den frei gewordenen Speicher geschrieben.Dem Prozeß zugewiesener Virtueller Adressraum ist unterteilt in gültige und ungültige Seiten

gültig: im phys. Arbeitsspeicher ungültig: auf Festplatte ausgelagert Aufgaben des VMM beim Auslagern: Weiß welche Seiten pro Prozeß sich im Arbeitsspeicher befinden Entscheidet nach FIFO was ausgelagert werden soll "Paging auf Abruf mit Clusterbildung" läd auch benachbarte Seiten, um Seitenfehlern

vorzubeugen. Entscheidet welcher Arbeitsspeicher-Bereich für eine Anfrage verwendet wird3.1.5 Die Größe von Auslagerungsdateienbei Win 2000 Installation wird in der System-Partition pagefile.sys angelegt

min 2 MB, opt 1.5 x ArbeitsspeicherKonfiguration mit: Systemeigenschaften Erweitert ändern3.1.6 Die Größe der RegistrierungSystemeigenschaften Erweitert ändern (s. Kap 5)3.1.7 Die Performance verbessern Mehrere Festplatten Auslagerungsdateien verteilen keine Auslagerungsdateien in System-Partition, aber wenn unbedingt nötig: weitere

Auslagerungsdateien in anderen Partitionen, denn VMM vermeidet die Nutzun der Bootpartition.

???3.2 UmgebungsvariablenArbeitsplatz (rechte Maus) Eigenschaften Umgebungsvariablen3.2.1 SystemvariablenFür alle Benutzer gleich3.2.2 BenutzervariablenBenutzerspezifisch, Benutzer darf auch Änderungen vornehmen3.2.3 So legt Win 2000 Umgebungsvariablen fest

1. Autoexec.bat enthaltene Umgebungsvariablen (Durchsuchung der Autoexec.bat zu verhindern durch: \HKEY_CURRENT_Benutzer\SOFTWARE\Microsoft\WindowsNT\Current Version\Winlogon ParseAutoexec = 0 )

2. Dann System-Variablen im Zweifelsfall höhere Priorität als Autoexec.bat 3. Dann Benutzer-Variablen Im Zweifelsfall höhere Prorität als System-Variablen

oder Autoexec.bat3.3 Optionen zum Starten und WiederherstellenArbeitsplatz (rechte Maus) Eigenschaften Starten und WiederherstellenWiederherstelloptionen:

Eintrag in das System-Protokoll Admin-Warnung senden Automatisch neu starten

Debuginfo speichern: keine, klein (64k), Kernel (50 – 800MB), Vollständig (! Page.sys auf Bootpartition muß für die gewählte Option groß genug sein [benötigter Speicher + 1MB])

3.4 Praxis

4. Automatische Installation von Hardware-Komponenten 4.1 Plug & Play Hardware installieren4.2 Nicht Plug & Play fähige Hardware installieren

1. Hardware-Assistent starten Win 2000 führt Hardwareabfrage durch2. Überprüfen der Hardware-Installation Hardware konfigurieren

4.3 Hardware Assisistent (Probleme beheben)starten: Systemsteuerung Hardware (Assistent sucht nach neuen Plug & Play)Aus Liste mit Geräten: Problem-Gerät wählen4.4 Hardwareinstallation überprüfenGerätemanager starten: Systemsteuerung System Hardware GerätemanagerSymbole: Stop: Hardwarekonflikt rechte Maus Eigenschaften

Ausrufezeichen: falsche Konfiguration oder fehlender Treiber

5. Hardware manuell installieren 5.1 Bedarf an Hardwareressourcen ermittelnIRQ (0-15), I/Ordner, DMA (0-7, Speicherzugriff ohne IRQ), Arbeitsspeicher 5.2 Verfügbaren Hardwareressourcen ermittelnGerätemanager Menü:Ansicht Ressourcen nach Verbindung5.3 Zuweisung von Hardwareressourcen ändernGerätemanager Menü:Ansicht Ressourcen nach Verbindung/nach Typ rechte Maus auf Gerät Eigenschaften Ressource

6. Desktopumgebung konfigurieren und Probleme beheben6.1 Gebietsschemas und Spracheinstellungen konfigurieren Systemsteuerung Ländereinstellung....etc6.2 Praxis6.3 Eingabehilfen konfigurieren und Problemen beheben6.4 Weitere Desktopeinstellungen konfigurieren und Fehler beheben

V) Registrierung1. RegistrierungErsetzt ini, sys, com1.1 Funktionen der Registrierung Enthält Information: Hardware(&Ressourcen), Treiber, Anwendungen, NetzwerkprotokolleKomponenten die zugreifen:Win NT Kernel: (ntoskernel.exe) liest: zu ladende Gerätetreiber und deren Reihenfolge

schreibt: VersionsnummerGerätetreiber: liest: Konfigurationsparameter

schreibt: verwendete Ressourcen, Protokoll ermittelter Konfig.datenBenutzerprofil: schreibt ntuser.dat in Registrierung

Setupprogramme: liest: welche Komponenten schon vorhandenschreibt: neue Komponenten

Hardwareprofile: ...wenn mehr als eins vorhandenNtdetect.com: schreibt: beim Systemstart ermittelte die Hardwarekonfiguration

(! nur bei i386)1.2 Hierarchische Struktur der Registrierung Teilstruktur: HKEY_LOCAL_MACHINE, HKEY_USERS

für Übersichtlichkeit aufgeteilt in:HKEY_LOCAL_MACHINE, HKEY_USERS,

HKEY_CURRENT_USERSHKEY_CLASSES_ROOT, HKEY_CURRENT_CONFIG

Schlüssel: Ordner und Unterordner, beziehen sich auf Hardwareobjekte, Softwareobjekte

ObjektgruppenEinträge: (in Schlüsseln), Format: Name, Dateityp, WertZweig: Element aus Schlüsseln, Unterschlüsseln, Einträgen

Jeder Zweig hat *.LOG Datei in Windows2000 \System32\KonfigurationDatentypen: REG_DWORD: String mit 1-8 Hexzeichen

REG_SZ Einzelner Wert interpretiert als StringREG_EXPAND_SZ: REG_SZ als Variable z.B.

%systemroot%REG_BINARY: einzelner Wert, String aus Hexziffern,

Zahlenpaar=1ByteREG_MULTI_SZ: Mehrere Werte möglich; jeder String ist einzelne

Komponente des MULTI_SZ-Wertes_FULL_RESSOURCE_DESCRIPTOR: Ressourcenliste mit

Hardware-Komponenten und Treibern. Nicht zu ändern

1.2.1 Teilstrukturen der Registrierung HKEY_LOCAL_MACHINE: Enthält Konfigurationsdaten (Hardware- und

Betriebsystemdaten). z.B. Bustyp, Speicher, Treiber, etc. HKEY_USERS: Systemstandardeinstellung (Default User)HKEY_CURRENT_USERS:HKEY_CLASSES_ROOT: Softwarekonfigurationsdaten z.B. OLE, Dateiverknüpfung

(ist gleich HKEY_LOCAL_MACHINE\SOFTWARE\Classes)HKEY_CURRENT_CONFIG:Daten zum aktiven Hardwareprofil. Aus SOFTWARE und

SYSTEM extrahiert. (z.B. welche Gerätetreiber, Bildschirmauflösung

1.2.1 Teilstruktur HKEY_LOCAL_MACHINE (Unterschlüssel)HARDWARE: Typ und Status der Geräte. Wird bei jedem Systemstart neu generiertSAM: Verzeichnisdatenbank Windows2000\System32\Konfiguration\sam.log

Anwendungen müssen APIs verwendenSECURITY: Windows2000\System32\Config\Security.log; können von Applikationen

nicht geändert werden. Applikationen müssen Sicherheits-APIs zur Abfrage verwenden

SOFTWARE: Benutzerunabhängige SoftwarekonfigurationseinstellungenWindows2000\System32\Config\Software.log(bzw .sav)kann auch Information zu Dateiverknüpfungen und OLE enthalten

SYSTEM: Information über Systemgeräte und –dienste (Installation und Konfiguration)

Windows2000\System32\Config\System (bzw .log, .sav).alt=Sicherheitskopie

2. Registrierungseditor2.1 Regedt32.exe2.2 Praxis

VI) Datenträger verwalten1. Einführung in die Datenträgerverwaltung1.1 Zur Einrichtung von Festplatten erforderlichen ArbeitenVorbereitung:1. Initialisierung: festlegen des Datenträgertyps Basisdatenträger, dynamische Festplatte 2. Partitionierung3. Formatieren: FAT, FAT32, NTFS1.2 Datenträgertypen! Auf einer physikalischen Festplatte nur ein Typ möglich1.2.1 Basisdatenträger1.2.2 Dynamischer DatenträgerLäßt sich auf Grundlage eines Basisdatenträgers erstellenEine Partition über gesamte Festplatte Unterteilt in eine oder mehrere Bereiche auf einer oder mehreren Festplatten Größenänderung einer dynamischen Festplatte ohne reboot möglich1.3 Partitionstypen (Basisfestplatten)eine-vier Primäre oder eine-drei Primäre und eine Erweiterte mit n-logischen Laufwerken1.3.1 Primäre Partition! nur primäre können (zum System-Start) als aktiv gekennzeichnet werden!Für Dualboot mit DOS etc. muß aktive Partition FAT formatiert sein.1.3.2 Erweiterte PartitionWird in logische Laufwerke segmentiert! Systempartition (boot) immer aktiv und enthält Hardware-Spezifische Daten! Startpartition enthält eigentliches Betriebsystem und kann auf jedem Laufwerk liegen1.4 Datenträgertypen (dynamische Festplatten)Basisfestplatten sind in dynamische Festplatten umzuwandelneinfacher Datenträger: Enthält Speicherplatz eines einzigen Laufwerks (nicht fehlertolerant)übergreifender Datenträger: Speicherplatz von bis zu 32 Festplatten (nicht fehlertolerant)Stripesetdatenträger: Faßt freie Bereiche von (max 32) Festplatten zu einem logischen Laufwerk zusammen (nicht fehlertolerant)1.5 Dateisysteme FAT, FAT32, NTFS.NTFS ermöglicht:

Zugriffsrechte auf Datei- und OrdnerebeneVerschlüsselungKomprimierungKontingente

in NTFS umzuwandeln mit: Convert Datenträger /FS:NTFS /V (z.B. Convert c: /FS:NTFS)1.6 Snap-In Datenträgerverwaltung

2. Routineaufgaben der Datenträgerverwaltung2.1 Mit einfachen Datenträgern arbeitenNTFS kann nicht-partitionierten Bereich in vorhandene Partition aufnehmenVorgehen: rechte Maus auf zu erweiternden Datenträger erweitern2.2 Mit übergreifenden Datenträgern arbeiten! Nur bei dynamischen Festplatten möglich! können nicht Teil eines Stripesets sein2.2.1 Freien Speicherplatz zu übergreifenden Datenträger zusammenfassenfreie Speicherbereiche unterschiedlicher Größe, von bis zu 32 Festplatten ein logischer Datenträger+ weniger Laufwerksbuchstaben2.2.2 Übergreifende Datenträger erweitern und löschenNTFS-Partitionen auch nachträglich erweiterbar! kein Stripeset über mehrere Festplatten ! System- oder Startdatenträger können nicht erweitert werden! Nach Erweiterung eines übergreifenden Datenträgers wird durch Löschen eines beliebigen Teils des Datenträgers immer der gesamte übergreifende Datenträger gelöscht.2.3 Mit Stripesetdatenträgern arbeiten Daten werden in 64kB Einheiten auf alle physikalischen Festplatten verteilt+ schneller, da I/O parallelStripeset erstellen (Voraussetzung: min 2 dynamische Festplatte) durch zusammenfassen mehrerer freier Bereiche zu einem logischen LaufwerkVorgehen: rechte Maus auf unpartitionierten Bereich erstellen Anweisungen folgen2.4 Festplatte hinzufügen2.4.1 Neue Festplatte aufnehmen (entfernen)Menü: Vorgang Festplatten neu einlesen2.4.2 Aus anderen Rechner entfernte Festplatte aufnehmenrechte Maus auf "fremde" Festplatte Fremde Festplatte importieren2.4.3 Mehrere aus einem anderen Computer entfernte Festplatten hinzufügendito, aber alle neuen Festplatten werden in einer Gruppe angezeigt.wenn dynamische geplant müssen Festplatten einzeln aufgenommen werden, dazu: ????2.5 Datenträgertyp ändern

2.6 Datenträgerinformationen anzeigen und aktualisieren2.7 Festplatten auf Remoterechnern verwalten2.8 Praxis

VII) Netzwerk-Protokolle installieren und konfigurieren1. TCP/IPGedacht für heterogene Netzwerke (insb. WAN)1.1 Grundlagen der TCP/IP Protokollsuite

+ wird häufig unterstützt, routing fähig, standardisierte Dienstprogramme, unterstützt Winsock für Client/Server Anwendungen, Internetzugriff.1.1.1 NetzwerkschnittstellenschichtBild1.1.2 Internetschicht (3)IP verbindungslos, unsicher, Reihenfolge der Pakete nicht vorauszusehenARP Zuordnung IP/MAC um (via IP-Broadcast) MAC anzufordern.ICPM um Status- & Fehlerinformationen gemeinsam zu nutzen. Zur (automatischen) Wiederherstellung nach Übertragungsproblemen. Oder händisch: pingIGMP Mulicasting (=eingeschränktes Broadcast) setzt benachbarte Multicast-Router in Kenntnis, wer jemand einer Host-Gruppe in einem bestimmten Netzwerk anwesend ist1.1.3 Transportschicht (4)TCP verbindungsorientiert, zuverlässig, für Anwendungen, für große Datenmengen, ParitätUDP verbindungslos, unzuverlässig, kleine Datenmengen1.1.4 Anwendungsschicht (Schnittstelle f. Anwendungen zum Netzwerk)Winsock Standardschnittstelle zwischen Anwendungen auf Socketbasis & TCP/IP ProtokollNetBT NetBIOS over TCP/IP, Standartschnittstelle NetBIOS/TCP/IP 1.2 TCP/IP zur Verwendung einer statischen IP-Adresse konfigurieren Wenn kein DHCP vorhanden ist (z.B. beim DHCP-Server selbst).IP-Adresse: logische 32-Bit Adr. mit der der Host eindeutig identifiziert wird

setzt sich zusammen aus: Netzwerkidentifikation (alle Host im gleichen phys. Netzwerkund eigentliche Host ID

Subnetmask: Trennt Host-ID von Netzwerk-ID. Sagt aus, ob sich angesprochener Host in diesem oder in einem anderen Netzwerk befindet.

1.3 TCP/IP zum dynamischen Bezug einer IP-Adresse konfigurieren

1.4 Automatische private IP-Adressierung1.5 automatische IP-Adressierung deaktivieren1.6 TCP/IP Dienstprogramme verwenden1.7 TCP/IP Konfiguration testen1.8 Praxis2. NWLink2.1 Merkmale von NWLink2.2 NWLink installieren 2.3 NWLink konfigurieren 2.4 Praxis3. Andere Protokolle für Win 2000 3.1 NetBEUI 3.2 DLC3.3 AppleTalk

3.4 Netzwerkmonitortreiber 24. Netzwerkbindungen4.1 Bindungen zwischen den Ebenen der Architektur4.2 Netzwerkbindungen kombinieren4.3 Netzwerkbindungen konfigurieren 4.4 Bindungsreihenfolge festlegen4.5 Praxis

VIII) DNS-Dienst1. Grundlegende Funktionsweise des DNSlöst Computernamen (Domainnamen) in IP-AdresseAdressen auf (s. RFC 1034/1035) + einfacherer Handhabung beim Zugriff auf Computer + IP ändert sich eher als der Computername+ Namenskonventionen im Intranet gleich dem Internet1.1 Domain Name Space (Domänennamensbereich)= Benennungsschema der hierarchischen DNS-DatenbankHierarchiestruktur: (Stammdomäne) . – (Top-Level-Domäne) Suffix – (Domäne 2. Ebene) Domäne – HostHost.Domäne.Suffix z.B. www.thoranet.com! der Begriff "Domäne" hat nichts mit dem Begriff der Domäne im Zusammenhang des Active Directory zu tun.Bild: HierarchieFQDN – Full Qualified Domain Name z.B. "www.thoranet.com."1.2 Richtlinien zur Benennung von Domänen Hostnamen 3. bis max 6. Hierarchieebenen Jede Subdomäne muß eindeutigen Namen innerhalb der übergeordneten Domäne haben Einfache Namen verwenden (Benutzerfreundlich) zu lange Namen vermeiden (Domänenname (inkl. Punkte) 63 Zeichen, FQDN max 255 standardmäßig DNS und Unicode-Zeichen (RFC 2044) verwenden 1.3 ZonenGeschlossener Bereich innerhalb des Domain Name Space, zur besseren Verwaltung der Domäne. z.B. ließe sich der Domainspace thoranet.com aufteilen in www.thoranet.com und produkte.thoranet.com. Hier könnte die Verwaltung in die Domänen produkte und thoranet (Zone 1) bzw. www (Zone 2) aufgeteilt werden. Es wäre nicht möglich eine Zone aus www.thoranet.com und produkte.thoranet.com zu bilden, da diese nicht zusammenhängen (da zwei Zonen).Jede Zone führt eine eigene Datenbank zur Zuordnung von Namen zu IP-Adressen.Zone ist Teil einer Stammdomäne und enthält normaler Weise nur Informationen über Subdomänen innerhalb der Zone.Im Beispiel ist die Stammdomäne der Zone 1 thoranet.com und enthält die Informationen zu thoranet und produkte.

Bild: In Zonen aufgeteilter Domain Space

1.4 NamenserverDatenbank einer oder mehrerer Zonen ist auf dem DNS-Nameserver gespeichert

In jeder Zone muß es mindestens einen Nameserver geben, da auf Nameserver innerhalb einer Zone immer eine Primärdatenbankdatei vorhanden ist.Sicherungs DNS-Server:+ Zonentransfer: replizieren der Primärdatenbankdatei+ Redundanz+ Verringern die Belastung des Nameservers mit der Primärdatenbank, da sie auch Anfragen bearbeiten

2. Namensauflösung2.1 Forward-Lookup-AbfragenAblauf:1. Client sendet Namensabfrage an lokalen DNS-Server (z.B. www.thoranet.com)2. Lokaler DNS-Server hat für "com" keine Autorität, gibt Anfrage an DNS-Stammserver

weiter und fragt nach Hostnamen des "com"-zuständigen Servers. Stammserver gibt Adresse eines com-Autoriesierten Servers zurück.

3. Lokaler Server gibt anfrage an com-Server und erhält Adresse von thoranet.4. Lokaler Server sendet Anfrage an thoranet Nameserver, dieser schickt die IP von

www.thoranet.com an lokalen Server zurück.5. Lokaler Server sendet IP an Client2.2 Zwischenspeichern von NamenserverServer speichert temporär (Gültigkeitsdauer TTL von Zone bestimmt, üblich: 60 Min) erfolgreiche Abfragen, um Datenverkehr zu minimieren 2.3 Reverse-Lookup-AbfragenErmittelt Name einer IP mit dem Befehl nslookup.Da DNS-Datenbank nach Namen Indiziert sind müßten sämtliche Domänennamen vollständig durchsucht werden.Lösung: Domäne "in-addr.arpa" (nach IP indiziert)z.B. 169.5.10.0 bis 255 ist die fest zugewiesene IP eines Unternehmensso besitzt es die Autorität über die Domäne 10.5.169.in-addr.arpa.

Bild

3. DNS-Clients konfigurierenVoraussetzung: Win NT-Server mit DNS-Dienst im Netzwerk Client: TCP/IPOption: DNS-Serveradresse automatisch beziehen DHCP-Server im Netzwerk notwendig.3.1Konfiguration vorbereiten3.2 PraxisIX) Active Directory-VerzeichnisdiensteVoraussetzung: Win 2000 Server

1. Active Directory-Verzeichnisdienste im Überblick1.1 Was sind Active Directory-Verzeichnisdienste? Verzeichnisdienste identifizieren Ressourcen und stellen sie Benutzern und Anwendungen zur VerfügungActive Directory-Verzeichnisdienst setzt sich zusammen aus dem eigentlichen Verzeichnis (Gespeicherte Informationen über Netzwerkressourcen) und den Diensten (machen Ressourcen zugänglich) Hinweis: Einzelne Ressourcen werden auch als Objekte bezeichnet.

1.2 Vereinfachte VerwaltungActive Directory-Verzeichnisdienste ordnen Ressourcen hierarchisch in Domänen anJeder Domänenconroller enthält Verzeichnis und ist gleichberechtigt, Änderungen werden repliziert. Active Directory-Verzeichnisdienste sind zentrale Stelle zur Verwaltung von Objekten im Netzwerk Admin kann von jedem Computer Objekte verwalten.1.3 SkalierbarkeitVerzeichnis ist in Bereiche gegliedert und fast beliebig erweiterbar.! Verzeichnisinformationen können auf mehrere Computer verteilt werden.1.4 Unterstützung offener StandardsActive Directory-Verzeichnisdienste integrieren das Internet-Namespace-Konzept Vereinheitlichung und Verwaltung der verschiedenen Namespace-Formate.1.4.1 DNSWin 2000 Domänennamen sind DNS NamenDynamic DNS (DDNS): Clients mit dynamisch zugewiesenen Adressen werden auf Server registriert und dynamisch aktualisiert. (ersetzt WINS)1.4.2 LDAP (Lightweight Directory Access Protocol (RFC1777)), HTTPLDAP ist Internetstandard für den Zugriff auf Verzeichnisdienste(einfachere Lösung zu DAP)HTTP Unterstützung ermöglicht das Anzeigen von (Netzwerk)Objekten im Browser.1.5 Unterstützung von StandardnamensformatenRFC 822 Name@DomäneHTTP URL http://domäne.....UNC \\host\...LDAP URL spricht Active Directory-Verzeichnisdienste auf Server an.

nach RFC 17779:LDAP://host.Domäne.com/CN=FirstnameLastname,

OU=System,OU=produkt,OU=Division,DC=Devel

CN = CommonNameOU = OrganisationalUnitNameDC = DomainComponentName

2. Aufbau und Replikation des Active Directory 2.1 Logische AufbauRessourcen werden hierarchisch gegliedert ermöglicht das Suchen anhand der Namen und nicht der Position.2.1.1 Objektesind eine eindeutige, benannt Menge von Attributen, die eine Netzwerkressource darstellt. Objektattribute sind Merkmale der Objekte im Verzeichnis (z.B. Name eines Users)Klassen teilen Objekte in logisch aufgebaute Objektgruppen auf (z.B. alle Beuntzerkonten)Container sind Objekte die andere Objekte enthalten (z.B. Domänen)2.1.2 Organisationseinheiten (OU)Container mit dem Objekte einer Domäne zu logische Verwaltungsgruppen zusammengefaßt werden. Kann Benutzerkonten, Gruppen, Drucker, Anwendungen, Freigaben etc. enthalten)BildOU-Hierarchie einer Domäne ist unabhängig anderer DomänenEmpfohlen wird die Hierarchie nicht zu tief zu schachteln (Effektivität)Hinweis: Es ist möglich ganzen Organisationseinheiten rechte zuzuweisen

2.1.3 DomäneObjekte sind in einer oder mehreren Domänen zu gruppieren. Dies bildet die Organisationsstruktur des Unternehmens im Netzwerk ab.Domänenmerkmale: In einer Domäne sind nur Informationen der in ihr enthaltenen Netzwerkobjekte (max

10Mio, empf. 1Mio) enthalten Domäne ist Sicherheitszone. Zugriffserlaubnis auf Objekte wird über ACLs (Access

Control Lists) gesteuert. !! Gelten nur domänenweit.2.1.4 Struktur (Tree)Gruppe oder hierarchische Anordnung einer oder mehrerer Win 2000 Domänen, die einen zusammenhängenden Namespace gemeinsam nutzen. Entsprechend DNS: Name der untergeordneten Domäne besteht aus Domänennamen

selbst der, der übergeordneten Domäne angehängt wird. Domänen einer Struktur haben gemeinsames Schema, welches eine formale Definition

aller Objekttypen darstellt. Domäne einer Struktur nutzen gemeinsamen globalen Katalog der als zentraler Ablageort

für die Informationen aller Objekte einer Struktur handelt.2.1.5 Gesamtstruktur (Forest)Anordnung eines oder mehrere Bäume mit getrennten Namespace Einzelstrukturen sind Teil eines gemeinsamen Schemas Einzelstrukturen haben (entsprechend ihrer Domänen) unterschiedliche Namensstrukturen Domänen einer Gesamtstruktur nutzen gemeinsamen, globalen Katalog Domänen einer Gesamtstruktur arbeiten unabhängig. Die Gesamtstruktur ermöglicht

jedoch die Kommunikation in der gesamten Organisation2.2 Standortesind Kombinationen aus einem oder mehreren (empf. mit min. 128Kbps) verbundenen IP-Subnetzen (Reichweite = LAN). Bei Active Directory-Verzeichnisdiensten sind Standorte nicht Bestandteil des Namespace wenn Namespace durchsucht wird, gibt er keinen Aufschluß über Standorte. Standorte enthalten nur Computer und Verbindungsobjekte, die für die Replikation zwischen Standorten verwendet wird.2.3 Replikationen in einem StandortReplikationszeitintervall und maximale Datenmenge steuerbarFunktion von Domänencontrollern: besitzt eine Kopie des Active Directory-Verzeichnises. Repliziert bei Veränderungen Alle Objekte in der Domäne werden auf jedem Domänencontroller (in Domäne) repliziert Sofortige Replikation bei spezi. Aktualisierungen (z.B. Sperren eines Benutzerkontos) Multimasterreplikation: alle Domänencontroller sind gleichberechtigt mehrere Domänencontroller bieten Fehlertoleranz Auf Domänencontroller werden alle Interaktionen zwischen Benutzern und der Domäne

verwaltet (z.B. das Suchen von Objekten, Benutzeranmeldungen)Replikation erfolgt nach Ringtopologie-Schema, dies stellt sicher, daß zwei Replikationspfade vorhanden sind, damit auch beim Ausfall eines Servers eine Replikation stattfinden kann.Wird ein neuer Server eingefügt konfigurieren die Active Directory-Verzeichnisdienste die Replikation automatisch neu.

3. Grundlagen und Konzepte von Active Directory 3.1 SchemaDies enthält eine formale Definition (Attribute, Klassen und Klasseneigenschaften) des Inhalts und der Struktur von Active Directory-Verzeichnisdiensten

Legt für jede Objektklasse fest welche Attribute für eine Klasseninstanz obligatorisch oder optional sind und welche Klasse die übergeordnete sein kann.BildActive Directory-Schema ist durch Snap-In Active Directory-Schema oder ADSI (Active Directory Services Interface) um neue Objekttypen oder Attribute schon vorhandener Objekte erweitert werden.Das Schema wird in den Active Directory-Verzeichnisdiensten implementiert und gespeichert und kann dynamisch aktualisiert werden. So können dem Schema in einer Anwendung neue Attribute und Klassen hinzugefügt werden.3.2 Globaler Katalog ist der zentrale Ablageort für Informationen über Objekte in einer Struktur oder

Gesamtstruktur. Wird bei der Replikation aus den Domänen generiert. ist Dienst und Speicherort und enthält für jedes Objekt ein Replikat bestimmter Attribute,

die am häufigsten in Suchoperationen verwendet werden (z.B. Anmeldenamen), um das vollständige Objektreplikat zu ermitteln.

Erster (eingerichteter) Domänencontroller enthält automatisch den globalen Katalog. Es können (mit Snap-In Active Directory Standort und Dienste) aber auch weitere Domänencontroller mit solchen Katalogen eingerichtet werden.

! Wie viele Kataloge sinnvoll? Mehr Kataloge + Antwortzeiten(bei Anfragen) kürzer, (normalerweise reicht einer pro Hauptstandort) - Replikation belastet Netzwerk ! Mit Snap-In Active Directory Schema welche Attribute in den Replikationsprozess aufgenommen werden sollen.Bild3.3 Namespaceist ein (daten)Bereich in dem mit einem Prozeß ein Name einem Objekt oder einer Information zugeordnet wirdActive Directory Schema basiert auf DNS, um Interoperabilität mit Internettechnologien zu gewährleisten.Zwei Typen: Zusammenhängender Namespace: Name eines untergeordneten Objekts enthält immer

den Namen der Übergeordneten Domäne (eine Struktur ist ein solcher Typ) Getrennter Namespace: Namen des übergeordneten und eines ihm untergeordneten

Objekts stehen nicht in direkter Beziehung zueinander(Gesamtstruktur ist ein solcher Typ)Bild3.4 Namenskonventionin Active Directory wird jedes Objekt über seinen Namen identifieziert. 3.4.1 Definierte NamenJedes Objekt hat einen (eindeutigen) definierten Namen (DN) mit dem es im Verzeichnis zu ermitteln ist. Dieser Name besteht aus dem Domänenname und dem vollständigen Pfad (Containerhierarchie) z.B. Benutzerobjekt "Vorname Nachname" in der Domäne thoranet.com/DC=COM/DC=thoranet/OU=div/CN=Benutzer/CN=Vorname Nachname3.4.2 Relative definierte Namen (RDN)Anhand von Attributen Objekte finden.im Beispiel wäre das Vorname-Nachname-Benutzerobjekt Vorname Nachname und des übergeordneten Objekts BenutzerKann mehrdeutig sein.innerhalb einer Organisationseinheit (z.B. Benutzerkonto "Nase Weis" darf nur einmal vorkommen)

Bild3.4.3 Global eindeutige Kennung (GUID, Globaly Unique Identifier)GUID wird einem Objekt bei der Erstellung zugewiesenbesteht aus einer eindeutigen 128-Bit ZahlÄndert sich nie, auch wenn Objekt verschoben oder umbenannt wirdAnwendungen können sie speichern um ein bestimmtes Objekt immer sicher aufzurufen3.4.4 User Prinzipal Name (UPN)Benutzerkonten besitzen einen "beschreibbaren" Namen des sich aus einer Kurzbeschreibung für das Benutzerkonto und dem DNS Namen der Struktur (in dem sich das Konto befindet) zusammensetzt.z.B. könnte der Benutzer "Nase Weis" in der Struktur thoranet.com den UPN NaseW@thoranet.com haben.

X) Benutzerkonten1. Wichtigste über Benutzerkonten 1.1 Lokale Benutzerkonten Nach Anmeldung kann Benutzer nur lokale Ressourcen nutzen Werden nicht in der Domäne geführt1.2 Domänenbenutzerkonten Bieten Zugriffe auf Ressourcen in der Domäne Liefern Zugriffstoken zur Authentifizierung (einen pro Sitzung) werden im Active Directory-Verzeichnisdiensten des Domänencontrollers erstellt1.3 Vordefinierte Benutzerkonten wichtigsten:AdministratorGast (defaultmäßig gesperrt)

2. Neue Benutzerkonten planen2.1 NamenskonventionenActive Directory erkennt max. 20 Zeichen für den Benutzernamenungültige Zeichen: " / \ [ ] : ; | = * ? < >Groß- und Kleinschreibung egalBeschreibung der Art des Mitarbeiters emfp.2.2 Richtlinien für KennwörterWer, welches Kennwort wie verändern darf, kann festgelegt werdenmax 128 Zeichen, empf. min 8 Zeichenungültige Zeichen: " / \ [ ] : ; | = * ? < >

3. Benutzerkonten erstellenmit Snap-In Computerverwaltung3.1 Snap-In Computerverwaltung3.2 Praxis4. Eigenschaften für Benutzerkonten bearbeiten4.1 Registrierkarte: Allgemein4.2 Registrierkarte: Mitgliedschafthier ist Benutzer in Gruppe aufzunehmen oder zu entfernen4.3 Registrierkarte: ProfilPfad für Profil, Anmeldeskript und Stammordner

4.3.1 Benutzerprofilggf. auch Netzwerkverbindungen herstellenStellt die Desktopumgebung her wie sie bei der letzten Abmeldung bestandBenutzerprofil kopieren: Systemsteuerung System BenutzerprofieleVerbindliches Benutzerprofil: (für einzelne, Gruppen oder alle) ntuser.dat umbenennen in ntuser.man4.2.2 AnmeldeskriptWird bei Anmeldung ausgeführt4.2.3 StammordnerNormaler Weise auf dem Server+ Von jedem Client aus zuzugreifen+ Verwaltung aller Benutzerdaten an zentraler StelleStammordner empfohlen auf NTFS-Partition, da Rechtevergabe auch auf Dateiebene möglich.Einrichten:Hauptordner für alle Benutzer anlegen und Rechte "Vollzugriff" für (alle)Benutzer.Auf der Registrierungskarte eines jeden Benutzers: \\Servername\Stammordnerverzeichnis\%username%4.4 Übung:XI) Gruppen1. Lokale Gruppen einrichten1.1 Grundlegende Information über GruppenErleichtert die Verwaltung von Benutzerkonten, da Rechtevergabe in Gruppen zusammengefaßt wird.1.2 Lokale Gruppen Vergibt Rechte zu Ressourcen eines lokalen Computers1.3 Einsatz von lokalen Gruppen vorbereiten sollte nur bei Computern verwendet werden die in keiner Domäne sind, sonst keine

Zentrale Verwaltung möglich.! Auf Domänencontrollern sind keine lokalen Gruppen zu erstellen, da Sicherheitsdatenbank auf Domänencontrollern nicht unabhängig von der Datenbank im Active Directory-Verzeichnisdienst arbeiten kann.! Lokale Gruppen können nur lokale Benutzerkonten enthalten! Lokale Gruppen können selbst nicht Mitglied anderer Gruppen sein.1.4 Lokale Gruppen definierenSnap-In Computerverwaltung lokale Benutzer1.5 Lokale Gruppe löschen1.6 Mitglieder in eine Gruppe aufnehmen1.7 Praxis:2. Vordefinierte lokale Gruppen implementieren2.1 Vordefinierte lokale GruppenAdministratoren Darf alles. Wenn Computer in Domäne wird Domänenadmin in

lokale Admin eingefügtSicherungs-Operatoren Dürfen m.H.v. Sicherungssoftware speichern und

wiederherstellen

Gäste Dürfen bestimmte Ressourcen nutzen. Dürfen ihren Desktop

nicht ändern. Wenn Computer in Domäne Domänengäste in lokale Gäste eingefügt.

Hauptbenutzer Dürfen lokale Benutzer erstellen und Ressourcen freigebenReplikatrions-Operator Unterstützt die Replikation von Dateien in einer Domäne Benutzer ?2.2 Vordefinierte SystemgruppenSystemgruppen haben keine bestimmte MitgliedschaftRepräsentieren die Benutzer (je nach dem wie diese auf den Computer oder die Systemressourcen zugreifen)Sind nicht bei der Gruppenverwaltung zu findenNur da, wenn Rechte bei Ressourcen vergeben werdenJeder auch GastAuthent. Benutzer Benutzer mit gültigem Benutzerkonto Ersteller-BesitzerNetzwerk jeder Benutzer der eine aktuelle Verbindung zu einer

Netzwerkressourcen hatInteraktiv Benutzerkonto das an diesem (lokalen) Computer angemeldet istAnonymous Nicht authentifiziertDialup Benutzer mit DFÜ-Verbindung

XII) Netzwerkdrucker einrichten und konfigurieren1. Einführung in das Drucken mit Win 2000 1.1 TerminologieLogischer Drucker: Softwareschnittstelle zwischen Drucker und Betriebsystem. Legt fest an welche Stelle ein Dokument übertragen wird (lokaler oder Netzwerkanschluß oder an eine Datei) Drucker: das physikalische Gerät. Windows unterstützt: Lokale Drucker physikalisch an Druckerserver angeschlossen Netzwerkdrucker lokal (meist an Druckerserver) angeschlossen, im Netzwerk freigegebenDruckeranschluß: Softwareschnittstelle über die ein Computer mittels lokaler Schnittstelle mit dem Drucker kommuniziert. LPT, CON, USB, und Netzwerkgeräte: HP JetDirect, Intel NetPortDruckerserver: befinden sich logische Drucker die mit den lokalen und Netzwerkdruckern verbunden sind und werden freigegeben.Empfängt und verarbeitet Dokumente Druckertreiber: Softwareschnittstelle von Computer zu physikalischen Drucker

1.2 Voraussetzung für das Drucken im Netzwerk Druckerserver mit Win 2000 Server unterstützt auch UNIX, NetWare und MacIntosh Clients Win 2000 Professional unterstützt UNIX und max. 10 Verbindungenausreichend Speicher für alle gleichzeitig zu verarbeitenden Dokumente (sonst langsam)ausreichend Festplattenspeicher sonst Fehlermeldungen und kein Druck1.3 Richtlinien für das Drucken im Netzwerk Druckanforderungen der Benutzer (z.B. Abteilung Rechnungswesen Anforderungen hoch)

Druckanforderungen des UnternehmensAnzahl der DruckerserverStandorte der Drucker für Benutzer schnell zu erreichen

2. Netzwerkdrucker einrichten2.1 Logischen Drucker für einen lokalen Drucker einrichten und freigeben1. Bei Druckerserver als Administrator anmelden2. Start Einstellungen Drucker neuer Drucker 2.2 Logischen Drucker für einen Netzwerkdrucker einrichten und freigebenhat eigene IP schneller und muß nicht über Druckerserver gesucht werdenBenötigt zusätzliche Information für Anschluß und Protokoll (TCP/IP) bei Option "Anschluß"

2.3 Clientcomputer einrichtenDruckertreiber MUß auch auf Client installiert sein:Win 2000 wird Druckertreiber automatisch für 95/98, Win NT oder Win 2000 Clienten heruntergeladen.Bei anderen MS-Betriebsystemen muß Treiber manuell installiert werdenBei anderen Betriebsystemen muß Treiber und Druckerdienst installiert werden 2.3.1 Clienten mit Win 2000, Win NT, 95/98Es muß nur eine Verbindung zum freigegebenen Drucker hergestellt werden! Kopie des Treibers muß sich zum herunterladen auf dem Druckerserver befinden! Bei Win 2000 und Win NT wird bei jedem Zugriff der Treiber auf Aktualität überprüft2.3.2 Andere MS-Betriebsysteme2.3.3 Andere BetriebsystemeMacIntosh: Datei und Druckdienste werden nur von Win 2000 Server zur Verfügung gestelltUNIX: LPD-Dienste werden von Win 2000 Server unterstützt aber nicht standardmäßig Inst.NetWare: FPNW ist optionaler Add-On-Dienst für Win 2000 Server.2.4 Praxis:3. Verbindung zu Netzwerkdruckern herstellen3.1 Druckerinstallations-Assistent verwenden kann Verbindung zu einem logischen Drucker herstellen3.1.1 Client mit Win 2000 Verbindung mit UNC-Namen herstellen \\Druckerserver\Druckername mit Assistent

Drucker suchen. Netzwerk durchsuchen. Auch Assistent suchen, aber kein Namen eingeben mit URL. Assistent suchen Mit einem Computer im Intra- oder Internet verbinden Active Directory-Verzeichnisdienst. Wenn Mitglied in Domäne ist gesamtes oder

telverzeichnis zu durchsuche. Auch Möglichkeit mit Eigenschaften (z.B. Farbdrucker) Suche einzuschränken.

3.1.2 Mit Win Win NT oder 95/98 UNC Netzwerkumgebung durchsuchen3.1.3 Anderes MS Betriebsystemnet use lpt(n): \\Servername\Freigabename (n steht für die Nummer des Druckeranschlusses)3.2 Webbrowser verwenden

http://Servername/printers zeigt alle Drucker auf die Benutzer die Berechtigung hat#http://Servername/Druckerfreigabename Spricht Drucker direkt an 3.3 Druckertreiber herunterladen4. Netzwerkdrucker konfigurieren 4.1 Vorhandenen Drucker freigebenVoraussetzung: Für einen phys. Drucker muß ein logischer Drucker installiert sein1. Frei wählbaren Namen vergeben2. rechte Maus Drucker Eigenschaften Freigabe.4.2 Druckerpool anlegenEin logischer Drucker mehrere phys. Drucker (Netzwerk oder lokal) (gleicher Bauart (min. selber Treiber))Pool wählt automatisch einen freien Drucker.Vorgehen für jeden Drucker der in den Pool soll: rechte Maus Drucker Eigenschaften Anschlüsse Druckerpool aktivieren4.3 Logischen Druckern Priorität zuweisenVoraussetzung: ein pys. Drucker (ein Anschuß) mehrere logische Drucker Priorität für jeden logischen Drucker anders zu vergeben: Eigenschaften Erweiter (NT4.0 Zeitplanung...) Priorität 1 = niedrigste Prio

5. Fehlerbehandlung bei Netzwerkdruckern5.1 Fehlerszenarien Testseite wird nicht gedruckt Falschen Anschluß gewählt Texte verstümmelt Falscher Treiber W2000 bei Ausdruck: Aufforderung zur Teiberinst. Auf Druckerserver sind die

nötigen Treiber für Client nicht installiert Docs eines Clienten werden nicht gedruckt aber von anderen Clienten sehr wohl Client

ist mit dem falschen log. Drucker verbunden auf Client löschen und richtigen einrichten.

Docs werden in einem Pool nicht auf allen Drucker richtig gedruckt Druckermodelle nicht gleich

Docs werden nicht nach Prio gedruckt Prio falsch eingestellt

XIII) Netzwerkdrucker verwalten1. Druckerverwaltung im Überblick1.1 Drucker verwalten1.2 Dokumente verwalten1.3 Fehlerbeseitigung1.4 Tätigkeiten, für die Berechtigung Druckerverwalten erforderlich sind 1.5 Auf Drucker (zu Verwaltungszwecken) zugreifenDrucker auswählen Start Einstellungen Drucker1.6 Zugriff auf Drucker steuern (Rechtevergabe)Drucken: drucken, (für eigene Docs) Druckvorgang anhalten, fortsetzten, neu starten & abbrechen, Verbindung zum Drucker herstellen.Docs verwalten: zusätzlich: , (für alle Benutzer) Druckvorgang anhalten, fortsetzten, neu starten & abbrechen Druckauftragseinstellung für alle Docs steuern

Drucker verwalten: zusätzlich: (für alle Docs) Druckvorgang abbrechen, Drucker freigeben, Eigenschaften ändern, Drucker löschen, Berechtigungen ändern

2. Drucker verwalten2.1 Papierformate an Papierschächte zuweisenDrucker Eigenschaften Geräteeinstellungen Jedem Papierschacht ist auch ein Format (z.B. A4) zuzuweisen.2.2 Trennseite festlegen (winnt\system32\*.sep) Identifiziert und trennen ausgedruckt Docs voneinander Druckmodie für Drucker ändern (ESC Sequenzen). Kann z.B. auch die Sprache für

Drucker angeben (z.B. PostScript/PLC)Sysprint.sep: Vor jedem Doc wird eine Seite gedruckt (PostScript Drucker kompatibel)Pcl.sep: setzt HPs in den PCL-Modus & vor jedem Doc wird eine Seite gedrucktPscript.sep: setzt HPs in PostScript Mod. Wird KEINE Seite gedruckt.Sysprtj.sep: Nur für JapserTrennseite einstellen: Eigenschaften Erweitert (NT4.0 Allgemein...) Trennseite2.3 Druckaufträge anhalten, fortsetzten und abbrechenBei auftretenden Druckprobs. anhalten nach Lösung fortsetztenWenn keine Lösung: abbrechen2.4 Dokumente an einen Drucker umleitenVoraussetztung: Gleicher TreiberDrucker Eigenschaften Anschlüsse Hinzufügen local Port neuer Anschluß UNC-Name eintragen (z.B. \\prntServer\Duckerna) 2.5 Besitzrechte für einen logischen Drucker übernehmenDürfen: Mitglieder der Gruppe die das recht hat diesen Drucker zu verwalten

Admins. & HauptbesucherVorgehen: Drucker Eigenschaften Sicherheitseinstellungen Erweitert Zugriffseinstellung Besitzer2.6 Praxis3. Dokumente verwalten3.1 Druckvorgang für ein Dokument anhalten, neu starten und abbrechen3.2 Benachrichtigung, Priorität und Druckzeitpunkt festlegen Voraussetzung: Recht "Docs Verwalten"Eigenschaften allgemein.Benachrichtigung: Benutzername3.3 Praxis4. Drucker mit Hilfe eines Webbrowsers verwalten4.1 Webserver im Überblick4.2 Drucker mit einem Webbrowser verwalten4.3 Mit einem Webbrowser auf logische Drucker zugreifenVoraussetzung: Server: IIS, Client: Webbrowser (Betriebssystem egal)http://Druckerserver/printers zeigt alle Drucker logischen Druckerhttp://Druckerserver/Druckerfreigabename Zeigt einen speziellen Drucker

5. Druckerprobleme beseitigen 5.1 Problem analysierenEingeschaltet? mit Druckerserver verbunden (oder Netzwerkverbindung)? Drucken andere Docs? Können andere User Drucken? Verwendet Server den richtigen Treiber? Hat Server genug Festplattenspeicher für Spooler? Hat Client den richtigen Treiber?5.2 Problemursachen und LösungsvorschlägeXIV) Ressourcen sichern mit NTFS-Berechtigungen1. Grundsätzliches zur NTFS-Berechtigung1.1 NTFS-OrdnerberechtigungLesen (r):Dateien lesen; dir, Ordnerbesitzrechte, Berechtigunge & Attrib ansehen.Schreiben (w):Dateien & Ordner erstellen, Attrib. ändern; Ordnerbesitzrechte und Berechtigungen lesenDir: Dateien & Unterordnerrx: Bewegen durch Ebenen, um andere Dateien o. Ordner zu erreichen (auch wenn eigentlich nicht dazu berechtigt. Sonst wie r & DirÄndern: Ordner löschen. Sonst wie rwxVollzugriff: zusätzlich: Berechtigung ändern, Besitz übernehmen1.2 NTFS-Dateiberechtigungr: Dateien lesen; Attrib., Berechtigungen & Dateibesitzrechte ansehenw: Dateien überschreiben; Attrb. ändern; Dateibesitzrechte & Berechtigung lesenrx: Appl. ausführen sonst wie rÄndern: Datei ändern & löschen, sonst wie rwxVollzugriff: zusätzlich: Berechtigung ändern, Besitz übernehmen

2. NTFS-Berechtigungen anwendenZugriffssteuerungslisten (ACL Access Control List)Enthält alle Berechtigungen (inkl Art) v. Benutzer & Gruppen für jede Ressource2.2 Mehrfach NTFS-Berechtigungen2.2.1 Kumulierte Berechtigungeffektive Berechtigung: Berechtigungen addieren sich. z.B. GrA lesen GrB schreiben; Benutzer ist in A&B darf rw2.2.2 Ordnerberchtigung durch Dateiberechtigung überschreibenkann mit dem Vollständigen UCN Pfad auf (berechtigte) Dateien zugreifen die in Ordnern stehen für die keine Berechtigung besteht.2.2.3 Andere Berechtigung durch Verweigern überschreibenNicht empfehlenswert!User r, GrA w, GrB w verweigert. User in A&B w verweigert2.3 Vererbung von NTFS-BerechtigungenRechte von Ordner werden von Dateien übernommen, auch wenn eine Datei neu erstellt wird.Ist auch zu unterbinden (wie ?)

3. NTFS-Berechtigungen vergeben3.1 NTFS-Berechtigungen planenRichtlinien:

drei Gruppen: Anwendungsordner, Datenordner (öffentl?), BasisordnerAnwendungen & Betriebssystem eine PartitionDatenordner (öffentl?) & Basisordner andere Partition+ einfacheres und kürzeres Backup (müssen keine Anwendungen etc. gesichert werden)+ Berechtigungen müssen nur für Ordner nicht für einzelne Dateien vergeben werden

Nur Rechte vergeben die Benutzer wirklich brauchen Benutzer mit gleichen bedürfnissen in Gruppen zusammenfassen Für Daten und Anwendung: sicherheitshalber alle nur Lesen & ausführen Bei offentl. Datenordnern Gruppe: Benutzer rwx; Ersteller-besitzer Vollzugr. BerechtigungsARTEN Verweigern nur in Ausnahmefällen !! Benutzer aufklären wie für eigene Dateien Rechte vergeben werden3.2 NTFS-Berechtigungen einrichtenHinweis: Bei Installation bekommt Gruppe: jeder Vollzugriff (schlecht)Datei rechte Maus Eigenschaften Sicherheit (hier auch verweigern & Rechte übernehmen)3.3 Praxis:4. Sonderberechtigungen vergeben4.1 Beschränkte Berechtigung verwenden4.2 Berechtigung ändernAdmin kann Benutzer das Recht geben Berechtigungen zu ändern ohne daß Benutzer Vollzugriff bekommt.4.3 Besitzrechte übernehmenkann Admin immerMan kann auch Besitzrecht übertragen oder Benutzer die Möglichkeit geben Besitzrecht zu übernehmen.Recht: Besitzer oder Vollzugr. kann diese Rechte auch an Gruppe oder Benutzer übergeben damit darf Benutzer oder Gruppe Besitzrechte übernehmenHinweis: Man kann einen Benutzer nicht zu Besitzer machen, nur das Recht geben Besitz zu übernehmen4.4 Sonderberechtigungen (beschränkte) festlegenrechte Maus Datei? Zugriffseinstellung (hier muß Gruppenliste mit Rechten stehen) Berechtigungen Anzeigen/Bearbeiten.4.5 Besitzrechte einer Datei oder eines Ordners übernehmenZugriffseinstellungen Besitzer Besitzer ändern auf ...(kann auch alle untergeordnete Dateien Besitz übernehmen)

6. Dateien und Ordner kopieren und verschieben5.1 Dateien und Ordner kopierenBei Kopieren immer Rechte des Zieordners5.2 Dateien und Ordner verschiebenBei Verschieben innerhalb einer Partition Rechte bleiben erhaltenBei Verschieben von Partition zu anderer Rechte des Zielordners

6. Probleme bei Berechtigungen lösen6.1 Bearbeiten von BerechtigungsproblemenBenutzer kein Zugriff beim Vertschieben/Kopieren können sich Rechte ändernBenutzerkonto in Gruppe aufnehmen Benutzer muß sich neu anmeldenBenutzer hat Vollzugriff und löschte eine Datei, darf aber nicht Sonderberechtigung

6.2 Problemen mit Berechtigungen vermeiden6.3 PraxisXV) Freigegebene Ordner verwalten.1. Informationen über freigegebene Ordner1.1 Berechtigungen für freigegebene Ordner Eigenschaften: Freigabe betrifft immer auch alle untergeordneten Dateien, somit läßt sich die Sicherheit

nicht so detailliert regeln wie mit NTFS Haben lokal keine Bedeutung Geben die Möglichkeit auch für FAT Rechte zu vergeben Standardfreigabe ist immer für "jeden" ZugriffsART auch zu verweigern (z.B. Vollzugr. verweigert kein Zugiff mehr)1.2 Zugriffsrechte für freigegebene Ordner vergeben Rechte summieren sich 1x lesen + 1x ändern = Lesen & Ändern (ändern) Verweigerungen sind (immer) Dominant Das restriktivere Verbot (Freigabe oder NTFS) zählt Kopien (auch verschieben) müssen erneut freigegeben werden1.3 Richtlinien z. Vergabe v. Zugriffsrechten auf freigegebene Ordner Vorher festlegen welche Gruppe welche Rechte benötigt Wenn möglich Rechte nur Gruppen zuordnen, den Gruppen dann die Benutzer zuordnen Nur Rechte vergeben die Benutzer (Gruppe) unbedingt braucht Ordner mit gleichen Rechten in einen Gemeinsamen Ordner (Rechteverwaltung wird

einfacher) z.B. alle Anwendungen (nur rx) in einen Ordner Aussagekräftig Namen verwenden Darauf achten, daß alle Betriebssysteme diesen Namen verarbeiten können1.4 Praxis:2. Freigabe von Ordnern planen2.1 ProgrammordnerNur einen Ordner in dem alle Programme enthalten sindjeder Vollzugriff ersetzten durch Benutzer lesenProgramme mit abweichenden Zugriffsrechten außerhalb des Hauptordners anlegen2.2 DateiordnerEnthält Dateien die von mehreren genutzt werdenmöglichst nicht auf der System- oder Anwendungspartition (am besten eigene)+ leicht zu sichern (sollte häufig passieren)+ bei Neuinstallation des Systems nicht betroffen2.2.1 Öffentliche Dateien (frei geben)Möglicht alles in einem Ordner Benutzergruppe dieses Ordner: ändern2.2.2 Arbeitsdaten (frei geben)Admins. VollzugriffUnterordner für entsprechende Gruppen (z.B. Buchhaltung) zum ändern freigeben

3. Ordner freigeben3.1 Voraussetzung für die FreigabeMitglied der Gruppen: Administratoren oder Hauptbenutzer

Domäne: Administratoren und Serveroperatoren alle Ordner auf allen Computern in DomäneHauptbenutzer (ist lokale Gruppe) kann nur auf W2Proff & stand alone Server freigeben. Bed. Gruppe muß dort angelegt seinArbeitsgruppe: Administratoren & Hauptbenutzer auf W2p & Stand-Alone-Server, (wenn Gruppe angelegt.)3.2 Administrative freigegebene Ordner Standardfreigaben: C$, D$ etc (bei w2 jetzt auch das CD-ROM)Admin$ immer der Systemordner Zugriff nur Administratoren Print$ erster gemeinsamer Drucker... ...\system32\Spool\drivers.

Vollzugriff: Administrator, Server Op, Druck Op. Jeder: lesen Hinweis: Es läßt sich jedes Verzeichnis mit name$ freigeben ist dann unsichtbar3.3 Ordner freigebenVorrausetzung: Recht zur Freigaberechte Maus auf Ordner Eigenschaften ...Benutzerbegrenzung: w2p 10, w2s max Client Zugriffslizenzen (beliebig)Zwischenspeichern: s.u. 3.4 ZwischenspeicherungSteht Benutzer dann auch offline zur VerfügungDaten werden auf die lokale Festplatte im Ordner Cache gespeichertStandardmäßig ist Cache auf 10% Festplattenplatz eingestellt.

info wie viel Platz schon genutzt: Ordner Offline Files Folder Eigenschaftenändern in: Ordneroptionen

Speicherort verändern: Cachemov.exe im w2p Ressource KitEigenen Ordner für Offlinebearbeitung freigeben: rechte Maus Ordner Eigenschaften ZwischenspeichernOptionen: manuelles Z. f. Docs. (deafault) nur die Dateien die von einem User

(speziell?) identifiziert wurde stehen off. zur Verfügung. Sinnvoll wen Dateien die von mehreren bearbeitet werden sollen

automatisches Z.f.Docs. Nur jemals (von diesem Benutzer) geöffnete Docs

stehen später auch off. zur Verfügung.automat. Z. f. PRGs. nur rx, Veringert Netzwerklast, da Programme lokal gespeichert werden (s. auch Kap 24)

3.5 Berechtigung für freigegebene Ordner zuweisenrechte Maus Ordner Eigenschaften Freigabe Berechtigung3.6 Freigegebene Ordner änderns.o.3.7 Verbindung zu einem freigegebenen Ordner herstellen4. Berechtigungen für freigegebene Ordner und NTFS Rechte kombinieren! restriktivere Berechtigung gilt!!!! Freigabeordnerberechtigung gilt nicht für Unterverzeichnisse und enthaltene Dateien !!Empfohlene Reihenfolge: Freigabe & Berechtigung, dann mit NTFS Rechten verfeinern

4.1 Strategien für die Kombination von Berechtigungen für freigegebene Ordner und NTFS-Berechtigung 4.2 PraxisXVI) Ressourcen und Ereignisse überwachen1. Grundlagen der ÜberwachungBenutzeraktivitäten & w2 Aktivitäten in SicherheitsprotokollNotiert wird: Aktion, Benutzer, Erfolg o. FehlschlagProtokoll immer lokal auf Rechner. z.B. Datei lesen: dort, aber Anmeldefehlschlag: PDC1.1 Mit Überwachungsrichtlinien arbeiten1.2 Sicherheitsprotokolle im Ereignisanzeige überprüfen2. Überwachungsstrategien planen2.1 Richtlinien für Überwachungsstrategien Zugriffe auf Dateien und Ordner An- & Abmeldeversuche Herunterfahren und Neustart Änderungen an Benutzerkonten und Gruppen Auf Active Directory-Verzeichnisdiensten basierende Objekte ändern Erfog oder nur VeruchHinweis: Mit Erfolg auch Statistik für Resourcenzugriff zu machen.

Mit Fehlschlag auch Sicherheitslücken findenTrends für Systemauslastung Ereignisprot. archivieren, Sinnvolle Überwachungsrichtlinien Vertrauliche Daten immer überwachen; nur aussagekräftige Ereignistypen überwachenÜberwachen mit der Gruppe "jeder" erfasst alle (auch Benutzer aus anderen Domänen)

3. Überwachungsrichtlinien implementieren3.1 Überwachung konfigurieren für jeden w2p Computer separat3.1.1 VoraussetzungRecht: Verwalten und Überwachen von Sicherheitsprotokollen (Administrator)FS: NTFS3.1.2 Einrichten1. Überwachungsrichtlinie definieren erlaubt Objekte zu überwachen2. Festlegen welche Ereignisse für Daten, Ordner, Drucker und Active Directory-ObjekteEinrichten: Start Programme Verwaltung Lokale Sicherheitsrichlinie Lokale Richtlinien Überwachungsrichtlinien Ereignistyp markieren Menü "Vorgang" Sicherheitseinstellungen Fenster "Lokale Sicherheitsrichtlinie" für gewähltes Ereignis ???!! REBOOT nötig3.2 Überwachungsrichtlinien festlegenEreignistypen: (Menü: Verwaltung Sicherheitsrichtlinien)Anmeldeversuche (gilt nur, wenn w2 Rechner mitglied einer w2 Domäne ist)Kontoverwaltung Neu, bearbeitet, löscht, umbenennt, de- aktiviert, Kennwortänd.Active Directory-Zugiff: !Active Directory-Objekte müssen zur Überwachung konf. werdenAnmeldeereignisse auch wenn eine Netzwerk-Verbindung hergestellt wirdObjektzugriffe Ordner, Datei, Drucker festlegen welche überwacht werden sollen

Richtlinienänderung Benutzersicherheitsoptionen; Benutzerrechte; ÜberwachungsrichtlinienRechteverwendung z.B. Ändern der Systemzeit (exkl. An- Abmelden)Prozessverfolgung Wenn PRG eine Aktion durchführt (für Programmierer sinnvol)Systemereignisse Computer start/stop; Sicherheitsprot.: z.B. Überwachungsprot. ist voll3.3 Datei- und Ordnerzugriffe überwachenÜberwachung für Ordner/Dateien aktivieren:rechte Maus Datei Eigenschaften erweitert Überwachung Hinzufügen ...! Deafault auch Unterordner3.4 Zugriffe auf Drucker überwachenwie in 3.3

4. Ereignisanzeige4.1 Wichtiges über Win 2000 ProtokolleStart Progamme Verwaltung (Allg.) Ereignisanzeige Datei ProtokollAnwendungsprotokoll: Fehler, Warnungen, Info von Anwendungen. (Progammentwickler entscheidet welche Meldungen gebracht werden)Sicherheitsprotokoll: Ergebnisse von überwachten EreignissenSystemprotokoll: Betriebssystem Fehler, Info, Meldungen4.2 Sicherheitsprotokolle anzeigenSchlüssel: Erfolgreiche EreignisseSchloß: Fehlgeschlagene EreignisseDetails: Vorgang EigenschaftenHinweis: Mit Adminrechten läßt sich Liste von jedem Computer aus einsehen Management-Console benutzerdefinierte Konsole erstellen Bei der Aufnahme diese Snap-Ins die Ereignisanzeige auf den Remotecomputer ausrichten4.3 Ereignisse suchenAnsicht Ereignisse lassen sich filtern oder suchen.Von - bis Zeitintervall, Ereignistyp, Ereignisquelle, Kategorie, Ereigniskennung, Computer, Benutzer, Beschreibung, Suchrichtung.4.4 Überwachungsprotokolle verwaltenProtokolle archivieren und mit verschiedenen Perioden vergleichen Trends für Ressourcenauslastung, Erweiterungspläne und Zugriffsmuster ermitteln.W2p kann Maximalgröße eines Protokolls und darauffolgende Aktion festlegen.Hinweis: Es lassen sich Eigenschaften für jedes Protokoll einzeln einstellen. Protokollgröße: 64 kB - 4MB (1GB) default: 512kB Aktionen: nach Bedarf überschreiben, älter als überschreiben, nicht überschreiben

(manuell)4.5 Protokolle archivierenArchivieren, löschen und aufräumen.4.6 PraxisXVII) Gruppenrichtlinien und lokale Sicherheitsrichtlinien konfigurieren1. Kontorichtlinien konfigurieren 1.1 Kennwortrichtlinien konfigurieren MMC benutzerdefinierte Konsole erstellen Snap-In Gruppenrichtlinie hinzufügen speichern unter : "Gruppenrichtlinie"

Eintrag: lokale Sicherheitsrichtlinien erweitern erweitern "Computerkonfiguration" um Eintrag: Windows-Einstellungen Erweitern: Sicherheitseinstellungen Kontorichtlinien KennwortrichtlinienOptionen: Kennwortchronik erzwingen (0-24); Max. Kennwortalter (0-99 Default 42); Min. Kennwortalter (0-999 default 0); Min. Kennwortlänge (0-14); Kennwort muß Komplexitätsanforderungen entsprechen; Kennwörter für alle Domänenbenutzer mit umkehrbarer Verschlüsselung speichern (z.B. f. CHAP, Bedingung: PC muß Teil einer Domäne sein.1.2 Kontosperrungsrichtlinien konfigurieren Eintrag: lokale Sicherheitsrichtlinien erweitern erweitern "Computerkonfiguration" um Eintrag: Windows-Einstellungen Erweitern: Sicherheitseinstellungen Kontorichtlinien KontosperrungsrichtlinienOptionen: Kontosperrdauer (0-99.999 Min.); Kontensperrungsschwelle (0-999); Kontosperrungszähler zurücksetzten nach x Minuten (0-99.999 Min.)1.3 Praxis2. Sicherheitsoptionen konfigurieren 2.1 Den Computer herunterfahren, ohne angemeldet zu seinSnap-In Gruppenrichtlinien Richtlinie für lokalen Computer erweitern "Computerkonfiguration" um Eintrag: Windows-Einstellungen Erweitern: Sicherheitseinstellungen lokale Richtlinien Sicherheitsoptionen2.2 Auslagerungsdatei beim herunterfahren löschens. 2.12.3 Str+Alt+Entf Anforderung zur Abmeldung deaktivierens 2.12.4 Letzten Benutzernamen nicht anzeigens. 2.12.5 PraxisXVIII) Verwaltung der Datenspeicherung1. NTFS-Kompremierung1.1 Mit komprimierten Dateien und Ordnern arbeitenGeht automatisch.Hinweis: Zugewiesener Speicherplatz = Dekomprimiertes File (vorläufig)1.2 Dateien und Ordner komprimierenrechte Maus Ordner Eigenschaften ErweitertHinweis: Zustand nur mit Schreibrechten zu ändern Hinweis: Verschlüsseln & Komprimieren nicht möglichHinweis: Clustergröße > 4kB Komprimierung nicht mehr möglich1.3 Anzeigefarbe komprimierter Dateien und Ordner einstellenExplorer Extras Optionen Ansicht1.4 Komprimierte Dateien und Ordner kopieren und verschiebenKomprimierungszustand des Zielordners: innerhalb NTFS Laufwerk kopieren, in anderes NTFS Laufwerk verschieben oder kopieren, nach FAT kopieren oder verschieben, nach Diskette verschieben oder kopierenKomprimierungszustand der Quelldatei: Innerhalb NTFS Laufwerks verschieben1.5 Einsatzmöglichkeiten und Grenzen der NTFS-Komprimierung

Dateityp beachten: z.B. *.bmp besser komprimierbar als *.exe Nicht zwei mal packen: z.B. keine *.zip Dateien Möglichst nur statische Dateien (selten geändert, kopiert, verschoben etc. werden)1.6 Praxis:2. Datenträger kontingentierenFestplattenplatz für Benutzer begrenzen! nur auf NTFS Laufwerken2.1 Verwaltung von Datenträgerkontingenten in Win 2000 Eigenschaften: Summe aus allen im "Besitz" des Benutzers befindlichen Dateien Komprimierung wird nicht berücksichtigt Anwendungen wissen von dem verbleibenden Speicherplatz des BenutzersAdministratoren haben folgende Möglichkeiten: Grenzwert für jeden Benutzer Schwellwert für Meldung an Benutzer festlegen, wenn Speicherplatz fast erschöpft Können Benutzer auch das Recht geben mehr als festgelegten Speicherplatz zu nutzen Protokollieren, wenn Grenze oder auch nur Schwellwert für Meldung erreicht 2.2 Datenträgerkontingente festlegenLaufwerk Eigenschaften KontingentFür einzelne Benutzer: Laufwerk Eigenschaften Kontingent Kontingenteinträge2.3 Status von Datenträgerkontingenten prüfenLaufwerk EigenschaftenAmpel rot: Datenträgerkontingente nicht aktiviert

gelb: Informationen über Datenträgerkontingente werden neu erstelltgrün: Datenträgerkontingente aktiviert

2.4 Datenträgerkontingente überwachenLaufwerk Eigenschaften Kontingent Kontingenteinträge aktuell genutzter Speicher eines jeden Benutzers Warnstufe erreicht (gelbes Dreieck) Grenze überschritten (roter Kreis) Warnstufe und Grenze jeden Benutzers2.5Einsatz der Datenträgerkontingente optimieren Bei Installation von SW-Komponenten Administrator benutzen (nicht Userkontingent) Um Trend abzuschätzen Benutzer Speicherplatz nur virtuell begrenzen Benutzern nur den Platz geben den sie wirklich brauchen Arbeiten mehrere an einem Rechner für jedes Laufwerk Kontingent festlegen Bei gemeinsam genutzten Laufwerken immer Kontingent festlegen, damit Speicherplatz

gerecht aufgeteilt wird Nicht mehr aktuelle Einträge immer löschen (erst Dateien des Users löschen)2.6 Praxis3. Mehr Sicherheit mit EFS (Encrypting File System)Systemdienstauf der Basis privater/öffentlicher Schlüssel!Betrifft alle Daten innerhalb eines OrdnersCipher ist entsprechendes Tool im Befehlszeilenmodus!Nur auf NTFS möglich!Verschlüsselte Dateien können nicht freigegeben werden3.1 EFS- Dateisystem

Hinweis: Bei servergespeicherten Profilen ist Schlüssel auch auf vertrauenswürdigen Remotesystemen zu nutzenRichtlinien zur Wiederherstellung festlegen: Wiederherstellung kann Daten entschlüsseln ??EFS wird entweder durch Explorer oder durch Befehlszeile implementiert dazu:MMC Gruppenrichtlinien Sicherheitseinstellung (insb. Wiederherstellungsrechte)! Daten können durch EFS nicht verschlüsselt über das Netzwerk übermittelt werden, dazu SSL Protokoll nutzen.Merkmale:Transparent: Benutzer braucht sich um nichts zu kümmernSchlüsselschutz: (X.509 v3 Zertifikate) Nur Besitzer verfügt über priv. Schlüssel zum Entschlüsseln.Wiederherstellung: auch Wiederherstellungsagent kann mit priv. Schlüssel entschlüsseln. Um Dateien zu verschlüsseln muß mindestens ein öffentl. Wiederherstellungsschlüssel vorhanden seinAusgelagerte und temporäre Dateien: Da Verschlüsselung ordnerbezogen ist werden Temporärdatei auch verschlüsselt3.2 EFS Verschlüsselung (56 Bit; CryptoPAK (USA) 128 Bit)rechte Maus Ordner Eigenschaften Allgemein Erweitert Verschlüsselung blockweise. Jeder Block eigener Schlüssel. Alle Schlüssel werden im DDF (Data Decryption Field = Datenentschlüsselungsfeld) und im DRF (Data Recovery Field = Datenwiederherstellungsfeld) gespeichert und verschlüsselt. 3.3 Verschlüsselung aufhebens. 3.23.4 Dienstprogramm Ciphercipher [/e | /d] [/s:ordnername] [/a][/i][/f][/q][/h][/k][dateiname [...]]cipher Zeigt Verschlüsselungszustand des aktuellen Ordners/e Verschlüsselt angegebenen Ordner /d Entschlüsselt Ordner /s führt angegebene Operation im angegebenen Ordner und Unterordner durch/a führt Operation im Ordner und Dateien durch. ??/i führ Operation auch mit Fehlermeldungen durch/f Erzwingt Verschlüsselung alle angegeben Dateien (auch wenn schon verschlüsselt)/q verbose/h zeit auch verbogene und Systemdateien an/k Erstellt einen neuen Schlüssel (alle anderen Optionen werden ignoriert)dateiname: Datei, Ordnername oder Muster mit Platzhalter zur Generierung einer Namensliste3.5 Wiederherstellungsargenten einsetztenwenn privater Schlüssel nicht vorhanden kann Person die als Wiederherstellungsagent angegeben ist (mit priv. Schlüssel) öffnen.! Die Datei auf den Rechner des Wiederherstellungsagenten kopieren und nicht den Schlüssel des Agenten auf den Computer mit Datei (Sicherheitsaspekte)Hinweis: (default) Wiederherstellungsagent Administrator bzw. in Domäne DomAdminVorgehen bei Wiederherstellung (Agent):Explorer Ordner Eigenschaften Allgemein Erweitert Markierung "Inhalt verschlüsseln" entfernen Speichern3.6 Praxis:4. Defragmentierungsprogramm4.1 Festplatten defragmentieren für FAT, FAT32 und NTFS

Start Programme Zubehör Systemprogramme Defragmentierungoder: rechte Maus Partition Eigenschaften Extras Jetzt defragmentierenrot: fragmentierte Dateien, blau: nicht fragmentiert, weiß: freier Speicher, grün: (nicht zu bearbeitende) Systemdateien4.2 Defragmentierungsprogramm richtig einsetzten möglichst nur dann, wenn Rechner nicht gebraucht wird ein mal pro Monat Laufwerk (ggf.) vor Installation von Anwendungen defragmentieren nach großen Löschaktionen auf Server häufiger

XIX) Daten sichern und wiederherstellen1. Datensicherung und –wiederherstellung1.1 Sicherungsfunktion in WinStart Programme Zubehör Systemprogramme Sicherungoder: Start Ausführen ntbackupmanuell oder mit Zeitplan möglichNötige Berechtigungen:Alle Benutzer, sichern: Eigene Dateien und alle rwxÄndernVollAlle Benutzer, wiederherstellen: wÄndernVollAdministrator, Sicherungs-Operator: immer sichern & wiederherstellen1.2 Planungsschritte für das Win-SicherheitsprogrammWelche Dateien und Ordner sichern: alle unwiederbringbaren + Registrierung + Active Directory-Verzeichnis Wie oft sichern:unerlässliche Daten täglich (aber eigentlich immer abhängig von Änderungszyklus)Welche Zielmedien: (s. auch Anhang D)Dateien: haben dann Endung *.bkf (jazz, ZIP, CD etc)Band: + sehr, sehr billigNetzwerk oder lokale SicherungsaufträgeRegistrierung oder Active Directory-Verzeichnis nur lokal zu speichernMöglichkeit: lokale Daten auf Server speichern und dann Serverbackup.1.3 SicherungstypenNormal: alle ausgewählten Daten werden gespeichert; Archivbit zurück; + unkomplizierte WiederherstellungKopieren: alle ausgewählten Daten werden gespeichert; Archivbit nicht zurück;Geeignet zwischen Normal- und Inkrementellsicherung zur Momentaufnahme d. NW-DatenInkrementell: Sichert alle mit gesetztem Archivbit und setzt Bit zurückDifferenziell: Sichert alle mit gesetztem Archivbit und setzt Bit nicht zurückTäglich: alle ausgewählten Daten die sich geändert haben (nicht über Arvchivbits)1.3.1 Sicherungstypen kombinierenNormal & differenziell 1x pro Woche normal sonst differenziell jede Differnzsicherung enthält alle Änderungen seit einer Woche.Wiederherstellung: normal zurück letzte differenziell zurück +einfache Wiederherstellung –Zeitaufwändige SicherungNormal & inkrementell 1x pro Woche normal sonst inkrementell jede Differnzsicherung enthält alle Änderungen seit des letzten Tages.Wiederherstellung: normal zurück jede inkrementelle nach der Normalen zurückspielen-aufwändige Wiederherstellung +schnelle Sicherung

Normal, differenziell & kopieren siehe "kopieren"

2. Daten sichernAlle Dateien müssen geschlossen sein.2.1 Vorbereitende Maßnahmen2.2 Dateien und Ordner für die Sicherung auswählenStart Programme Zubehör Systemprogramme Sicherung Sicherungsassistentoder: Start Ausführen ntbackupAlle Dateien... per Voreinstellung können Dateien auch ausgeschlossen werden?? opder sind ausgeschlossen (z.B. bestimmte Ereignisverwaltungsdateien)???Ausgewählte...Systemstatusdateien.... z.B. Registrierung und boot Dateien2.3 Sicherungsziel und Medien festlegenSpeicherort Sicherungsmedientyp: Das verwendete Zielmedium (z.B. Band oder Datei etc.)Sicherungsmedium oder Datei: Zielort (für Datei einen Pfad oder für Band einen Bandnamen)Erweiterte SicherheitseinstellungenSicherungsvorgang: Normal, inkrementell, Differenziell, Täglichmigrierte Remotespeicherdaten: w2s verschiebt selten gebrauchte Daten in Remotespeicher, diese werden gesichert.Daten nach Sicherung überprüfen:Hardwarekomprimierung verwenden, wenn verfügbar: muß (band)Laufwerk unterstützenFalls Medium schon Daten enthält...an Medium anhängen oder ersetzten:Nur Besitzer (und Admin) Zugriff auf Medium erlauben: empfohlen bei Registrierung oder Active DirectoryHinweis: Erste Sicherung muß geschützt sein, dann sind es auch die angehängtenSicherungsbezeichnung: frei wählbar. Default: Sicherungssatz, Datum und UhrzeitMedienbezeichnung: frei wählbar (s.o.)Zeitpunkt der Sicherung: jetzt oder später. Später: Auftragsname & AnfangsdatumHinweis: Ein Sicherungsprotokoll wird auf (lokalem) PC gespeichertHinweis: die erweiterten Einstellungen betreffen nur den aktuell bearbeiteten Auftrag.2.4 Erweiterte Sicherungseinstellung festlegen2.5 Zeitplan erstellenSicherungsassistent Zeitpunkt der Sicherung: Später ... Sicherungsauftragsname eingeben ....Erweitert: wie lange Auftrag gültig ist2.5 Praxis3. Daten wiederherstellen3.1 Datenwiederherstellung vorbereiten Regelmäßig Testwiederherstellungen durchführen, um Hardwarefehler auszuschließen Sicherungsaufträge dokumentieren: Erstellen und Drucken des Sicherungsprotokolls

sagt aus welches Speichermedium die gewünschten Dateien enthält. alternativ: von w2 automatisch angelegter Katalog

Sicherungsaufträge, typ und Speicherort in einem Kalender dokumentieren3.2 Sicherungssätze, Dateien und Ordner für die Wiederherstellung auswählenSicherungssatz = Dateien & Ordner einer Speichereinheit

Wiederherstellungsassistent Medientyp einzelne oder mehrere Dateien wählen3.3 Erweiterte Wiederherstellungsoptionen auswählenOptionen:Datei wiederherstellen in:

Ursprünglicher bereich:Alternativer Bereich: wird an anderem Ort wiederhergestellt (geeignet auch für Wiederherstellungstest)Einzelner Ordner:

Beim Wiederherstellen einer bestehenden Datei: (Menü extras Optionen)Datei auf meinem Computer nicht ersetzten: (default)Datei auf Datenträger nur ersetzten, wenn die Datei auf dem Datenträger älter ist:Datei auf meinem Computer immer ersetzten:

Wählen sie die gewünschte Wiederherstellungsoption(Wiederherstellung startenerweitert):Sicherheitsdaten wiederherstellen: Stellt auch alte Zugriffsberechtigungen etc. herDatenbank der Wechselmedien wiederherstellen: config für Wechselspeichermedien

und Medienpooleinstellungen wiederherstellen. (in ..\system32\remotetorage)Abzweigungspunkte (Verknüpfung??) und Daten bzw. Ordner an diesen Punkten...:Stellt auch Daten her auf die durch Verknüpfung verwiesen wirdDie wiederhergestellten Daten in replizierten Datensätzen als primäre Daten für alle Replikate markieren: Daten alle replizierten Datenmengen werden wiederhergestellt

3.4 Praxis4. Voreinstellung des Sicherungsprogramms ändernWindows Sicherheitsprogramm Extras OptionenAllgemein: Datenüberprüfung, Statusinformationen, Warnungen und die zu sichernden DatenWiederherstellen: Legt fest was passiert, wenn wiederherzustellende = vorhandene DateiSicherungsart: Typ...Normal, differenziell etcSicherungsprotokoll: sagt was dort aufgenommen werden sollDateien ausschließen: legt fest welche Daten nicht berücksichtigt werden sollenHinweis: Änderungen wirken sich i.a. nur auf aktuell vorliegenden Auftrag aus.

XX) Netzwerkressourcen und –benutzer überwachen1. Netzwerkressourcen überwachenUm aktuelle Auslastung zu ermitteln1.1 ZieleZur Wartung & Pflege Benutzer Rechte entziehen oder benachrichtigenSicherheit Greifen wirklich nur berechtigte Benutzer auf Ressourcen zu?Planung Wie ist die Auslastung, wie wird sie in Zukunft sein?! Snap-In Computerverwaltung und freigegebene Ordner bei Aufnahme in einer benutzerdefinierten Konsole angeben, ob lokal oder remote überwacht werden soll1.2 Berechtigungen zum ÜberwachenAdmin oder Server-OP einer Domäne: in gesamter DomäneAdmin oder Hauptbenutzer für Mitgliedsserver: lokale PCs und remote in Arbeitsgruppe

2. Zugriff auf freigegebene Ordner überwachenWieviel Benutzer eine Verbindung zu einer Ressource habenWelche Benutzer auf welche Dateien zugreifenVerbindungen trennen

2.1 Freigegebene Ordner überwachenSnap-In Computerverwaltung Freigegebene Ordner (+ Pfad) Freigaben Liste aller freigegebenen Ordner und (Clienten)Anzahl der Verbindungen! Liste zeigt auch mit welchem Betriebsystem auf den Ordner zugegriffen werden kann! Liste wird nicht automatisch aktualisiert, dazu: Menü Vorgang aktualisieren2.1.1 Anzahl der gleichzeitigen Zugriffe beschränkenSnap-In Computerverwaltung Freigegebene Ordner Freigaben rechte Maus Eigenschaften Allgemein! bei w2p höchstens 10 Benutzer2.1.2 Eigenschaften freigegebener Ordner bearbeitens. 2.1.1 (kann bei Sicherheit auch die Berechtigungen ändern)2.2 Geöffnete Dateien überwachenSnap-In Computerverwaltung Freigegebene Ordner geöffnete Dateiensagt: welche Dateien geöffnet, welcher Benutzer, Welches Betriebssystem darauf zugreift, ob gesperrt wenn ein bestimmter Benutzer geöffnet hat, Zugriffstyp (lesen, schreiben etc)2.3 Benutzer von geöffneten Dateien trennenSnap-In Computerverwaltung Freigegebene Ordner geöffnete Dateien Menü Vorgang (einzelne oder alle trennen)2.4 Praxis3. Ordner mit dem Snap-In Freigegebene Ordner freigebenSnap-In Computerverwaltung Freigegebene OrdnerStandardfreigabeberechtigungen: Alle Vollzugriff; Admin voll, jeder lesen; Admin voll, jeder keinsonst: Berechtigungen anpassen3.1 Praxis3.2 Ordner auf einem Remotecomputer freigebenSnap-In Freigegebene Ordner in Management-Konsole aufnehmen:Start ausführen MMC Menü Konsole Snap-In hinzufügen Eigenständiges Snap-In hinzufügen: Freigegebene Ordner hinzufügen Anderer Computer ...!mit "Änderungen zulassen" kann mit dieser Konsole auch ein anderer Computer angesprochen werden

4. Netzwerkbenutzer überwachen4.1 Benutzersitzungen überwachenSnap-In Computerverwaltung Freigegebene Ordner Sitzungen....zeigt alle Benutzer (bzw. Computer) die Verbindung zum überwachten Computer habenweitere Infos: Betriebssystem des zugreifenden Rechners; Anzahl der geöffneten Dateien; bisherige Dauer der Sitzung; wann (in dieser Sitzung) zum letzen Mal tzgegriffen; ob Gast4.2 Benutzer trennen um Zugriffsberechtigungsänderungen sofort wirksam werden zu lassen wenn Höchstzahl erreicht aber ein Weiterer User zugreifen muß. Server herunter fahren! Verbindungen können noch mehrere Minuten wirksam bleiben, auch wenn getrennt wurde! Nach Trennung wird Client Verbindung wieder automatisch herstellen. Zu vermeiden indem man Freigabe beendet (gilt dann für alle User) oder User Zugriffsrechte ändert (verweigert)4.3 Adminwarnmeldung an Benutzer senden4.4 Praxis

XXI) Remotezugriff konfigurieren1. Neue Authentifizierungsprotokolle in Win 2000alte: PAP Passwort Authentication Protokoll

CHAP Challenge Handshake Authentication ProtokollMS-CHAP Microsoft Challenge....

SPAP Shiva Passwort Authentication ProtokollPPTP Point-to-Point Tunneling Protokoll

neu:EAP, RADIUS, IPSec, L2TP, BAP1.1 Extensible Authentication Protocol (EAP) RFC 2284PPP Erweiterung, für DFÜ-, PPTP- & L2TP-ClientsUnterstützt folgende Authentifizierungen: Generische Tokenkarten phys. Karte die Kennwörter zur Verfügung stellt. Karten

unterstützen mehrer Authentifizierungsmethoden z.B. ständig ändernde Codes MD5-CHAP (Message Digest 5) Verschlüsselung mit dem MD5 Algorithmus TLS (Transport Level Security) z.B. Smartcards (ist Zertifikat & priv. Schlüssel)Alle Softwarehersteller können für Tokenkarten, Smartcards, biometrische Hardware, einmalig nutzbare Kennwortsysteme etc. Authentifizierungsmodule implementieren. 1.2 Remote Authentication Dail-in Benutzer Service (RADIUS) RFC 2138/2139. Autenthifizierungs- & Kontoführungsdienste für verteilte DFÜ NetzwerkeClientkonfiguration: RAS-Server Eigenschaften SicherheitMacht die Authentifizierung unabhängig vom Hersteller (für heterogene Netzwerke), skalierbar, fehlertolerant. RADIUS-Client = i.d.R ISP-DFÜ-Server = RAS-Server der Anfragen an den RADIUS Server weiterleitet. w2 (RADIUS-Client) gibt Kontoführungsinformationen an RADIUS-Kontoführungsserver weiter. RADIUS-Server überprüft Anfragen des RADIUS-Client, w2 Internet Authentication Services (IAS) führt Authentifizierung durch. IAS (Funktion als RADIUS-Server) speichert die Konteninformationen der Clients in Protokolldateien.Hinweis: IAS ist eine optionale Komponente von w2. Installation über Systemsteuerung Software. Ausführen: Start Verwaltung1.3 Internet Protocol Security (IPSec)(Sicherheitsmechanismen für IP:RFC 1825)Ist Satz von Sicherheitsprotokollen & kryptografischen Diensten für die Sicherheit privater Verbindungen in IP Netzwerken. Clients handeln Sicherheitszuordnung (Security Association SA) (= priv. Schlüssel) ausKonfiguration über IPSec Richtlinien (keine Software oder Betriebssystem)Konfiguration sehr variabel: für Benutzer, Gruppe, Anwendung, Domäne, Site etc.Richtlinien in IP-Sicherheitsrichtlinienverwaltung (Snap-In). Zu nutzen für Domänenmitglieder auf der Ebene von Gruppenrichtlinien oder auch auf lokalen PCs1.4 Layer 2 Tunnelprotokoll (L2TP)Gemeinsamkeiten zu PPTP:Verschlüsselter Tunnel durch ein vertrauensunwürdiges Netzwerk, Verwendet PPP als Verpackung.Unterschiede: L2TP PTPreicht Paketorientierte PtP Verbindung Braucht Transitnetzwerk auf IP-BasisIPSec Verschlüsselung PPP-VerschlüsselungHeaderkomprimierung (4Byte) Byte HeaderTunnelauthentifizierung (oder IPSec) nur mit IPSec1.5 Bandwith Allocation (Control) Protocol (BAP/BACP) (RFC1825)RAS-Server Eigenschaften PPP

bei NT: Bündelung mehrere Carrier-Kanäle mit RAS-Server wurde unterstütztbei w2 mit BAP/BACP: PPP-Steuerungsprotokoll, kann dynamisch Verbindungen hinzu & wegnehmen+ geeignet für Gebührenabrechnung über genutzte Badbreite

2. Eingehende Verbindungen konfigurieren2.1 Eingehende DFÜ-Verbindung zulassenStart Einstellungen Netzwerk & DFÜ Verbindungen neue Verbindung Netzwerk-Verbindungsassistent eingehende Verbindungen akzeptieren.2.1.1Geräte für eingehende Verbindungen konfigurieren2.1.2 Virtuelle private Verbindungen2.1.3 Benutzer und Rückrufoptionen angebenDialogfeld: Zugelassene Benutzer ... Eigenschaften Rückruf+ Sicherheit2.1.4 Netzwerkkomponenten auswählen...oder installieren (z.B. IPX/SPX etc)2.2 Praxis3. Ausgehende Verbindungen konfigurieren 3.1 DFÜ-Verbindungen3.1.1 In ein privates Netzwerk einwählens.2.1 Netzwerk-Verbindungsassistent privates Netzwerk einwählen3.1.2 In das Internet einwählens.2.1 Netzwerk-Verbindungsassistent Internet einwählen Anmelden und diesen Computer für ein neues Internetkonto konfigurieren. Bestehendes Internetkonto auf diesen Computer übertragen. Wenn bei ISP ein Konto

vorhanden ist und alle erforderlichen Informationen zum Erstellen einer Verbindung vorhanden sind

Manuelle Einrichtung der Internetverbindung oder Verbindung zum LAN herstellen man kann festlegen, ob die Verbindung via Modem oder LAN hergestellt werden soll und wird nach anderen Einstellungen befragt (z.B. Proxy-Server)

3.2 Verbindung zu einem VPNEin VPN wird durch ein Tunnelprotokoll erzeugt??? Garantiert eine sichere Verbindung in einem vertrauensunwürdigen Netzwerk. s.2.1 Netzwerk –Verbindungsassistent Verbindung mit einem privaten Netzwerk über Internet herstellen.wenn Verbindung zum VPN über Internet automatische Anwahl der Verbindung ListeIP-Adresse des Rechners oder des Netzwerks zu dem verbunden werden soll angeben. 3.3 Direkte Kabelverbindung zu anderen Computerns.2.1 Netzwerk –Verbindungsassistent Direkt mit anderem Computer verbinden3.4 PraxisXXII) Startprozess von Win 2000 1. Startprozess1.1 Verwendete Dateien ntldr Stammverzeichnis der Systempartition (i.a. C:\) vor Start Startsequenzboot.ini dito Startsequenz

bootsect.dos dito dito (optional)ntdetect.com dito ditontbootdd.sys dito dito (optional)ntoskernel.exe Windows2000\System32 laden des Kernelshal.dll dito ditoSystem Windows2000\System32\Config

Initialisierung des KernelsTreiber (*.sys) Windows2000\System32\Drivers dito1.2 Phase von dem Start1. POST (Power-On-Self-Test) Speichertest, Hardware Komponenten etc2. BIOS sucht MBR sucht aktive Partition und führt diese aus3. Ntldr1.3 StartsequenzSammelt Info über Hardware und Treiber. 4 Phasen: 1.3.1 Urlader (Ntldr)Umschalten der CPU von Real auf linearen 32Bit Speichermodus.Starten des Dateisystemtreibers für FAT/NTFSlesen der boot.ini1.3.2 Betriebssystemauswahl (boot.ini)! wenn boot.ini nicht vorhanden ist, wird versucht aus c:\winnt zu starten1.3.3 Hardwareerkennung (Ntdetect.com & Ntoskrnl.exe)Ntdetect stellt Liste installierter Hardware zusammen und übergibt sie Ntldr (ntoskrnl???)Liste wird später in HKEY_LOCAL_MACHINE\HARDWARE eingefügtNtdetect.com erkennt: Bus-/Kartentyp, Kommunikationsanschlüsse, Gleitkomma-Koprozessor, Diskettenlaufwerke, Tastatur, Maus/Zeigergeräte, Parallele Ansclüsse, SCSI-Adapter, Videokarten1.3.4 KonfigurationsauswahlTaste "L" aktiviert: Letzte als funktionierend bekannte Konfiguration1.4 Laden des Kernels (Ntoskrnl.exe)Lädt Gerätetreiber (inkl. Initialisierung) und DiensteVorgang: Ntoskrnl.exe1. Ntoskrnl.exe wird geladen aber nicht initialisiert2. Hal.dll wird geladen3. HKEY_LOCAL_MACHINE\System wird aus Win2000\System32\Config\System geladen4. Steuersatz (Konfigurationsdaten (z.B. Treiber, Dienste) zur Steuerung des Systems) für die Initialisierung des PCs wird geladen5. Gerätetreiber (low-Level) werden mit 0x0 (Start) geladen. Reihenfolge steht in:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ServiceGroupOrder1.5 Kernel-Initialisierung1. Hardwareschlüssel wird erstellt: HKEY_LOCAL_MACHINE\HARDWARE2. Steuersatz Clone wird erstellt: HKEY_LOCAL_MACHINE\SYSTEM\Select zeigt auf Daten mit denenen Clone erstrellt wird. Clone ändert sich nie.???3. Gerätetreiber laden und initialisieren: initialisieren der in 1.4 geladenen Treiber. Danach durchsuchen HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services nach Start=0x1. Eintrag Group legt Reihenfolge fest....und sofort initialisiert.

wenn Fehlere auftritt Der ErrorControl Eintrag des Treibers sagt wie es weiter geht: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<Dienst>\ErrorControl 0x0 (ignorieren) Fehler ohne Meldung ignorieren0x1 (normal) Fehler mit Meldung ignorieren0x2 (schwerwiegend) LastKnownGood neu gestartet, wenn auch Fehler:ignorieren0x3 (kritisch) LastKnownGood neu gestartet, wenn auch Fehler:Stop Errormeldung4. Dienste werden gestartet: Sessionmanager (Smss.exe) startet die Dienste. Datenelement BootExecute smss führt vor dem Laden der Dienste die dort enthaltenen Befehle ausSchlüssel Memory Management erstellt Auslagerungsdateiinformationen für die Verwaltung des virtuellen ArbeitsspeichersSchlüssel DOS Devices erstellt symbolische Verknüpfungen, über die bestimmte Befehlsklassen an die entsprechende Komponente im Dateisystem weitergeleitet wirdSchlüssel SubSystems (=Win32) Bildschirm I/O und Anmeldeprozess1.6 Anmeldung (winlogon.exe)1. winlogon.exe startet lsass.exe (local security Authority) Anmeldedialogfeld2. start Service-Controller sucht HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services nach Diensten mit Eintrag 0x2 automatisch laden. Die Registrierungseinträge: DependOnGroup und DependOnService bestimmen Reihenfolge.3. Nach erfolgreichen Anmeldung wird Clone nach LastKnownGood kopiert

2. Steuersätze in der Registrierung2.1 Win 2000 SteuersätzeSteuersatzunterschlüssel: Clone, ControlSet001, ControlSet002, CurrentControlSetin HKEY_LOCAL_MACHINE\SYSTEMCurrentControlSet = Zeiger auf ControlSet00xClone = duplikat von Default oder LastKnownGood für die Initialisierung des RechnersHKEY_LOCAL_MACHINE\SYSTEM\Select\ (REG_WORD) Current (CurrentControlSet) Wenn Registrierungseinträge über Systemsteuerung

geändert werden Default wird bei nächstem Start von Windows genommen (i.a. = Current). außer Kraft zu

setzen durch die Auswahl LastKnownGood Failed Wird Steuersatz markiert, wenn LastKnownGood gestartet werden musste LastKnownGood nach (erfolgreichem) Start von Win =CloneHinweis zum Verständnis: wenn Current Wert 0x1 zeigt CurrentControlSet auf ControlSet001 oder Wert LastKnownGood = 0x2 ControlSet0022.2 LastKnownGood Prozess + default Sinnvoll, wenn nach Konfigurationsänderungen (auch bei versehentlich deaktivierten Treibern) system nicht mehr Starten kann.BildAlle Konfigurationsänderungen werden in Current gespeichert Nach Neustart Current = Clone...wenn erfolgreich Clone = LastKnownGoodBei Startproblemen: Herunterfahren bei Betriebssystemwahl: F8 Letzte funktionierendeoder: Herunterfahren Betriebssystemwahl: w2000 Leertaste LDefault wird beim Herunterfahren gespeichertLastKnownGood wird nach einer erfolgreichen Anmeldung gespeichert

3. Erweiterte Startoptionen (mit F8 zu erreichen)3.1 Abgesicherter Modus (Typ in Umgebungsvariable SAVEBOOT_OPTION save)lädt nur Maus, VGA, Tastatur, Massenspeicher, Standardsystemdienste...mit Netzwerktreibern

...mit EingabeaufforderungHinweis: wenn alles nichts hilft automatische Systemwiederherstellung3.2 Zusätzliche erweiterte Startoptionen Startprotokollierung aktivieren: der Status eines jeden Treibers oder Dienstes wird in \

windir\ntbtlog.txt gespeichert VGA-Modus aktivieren: letzte als funktionierend bekannte Konfiguration: Verzeichnisdienstwiederherstellung: nur sinnvoll bei PDC/BDC Debugmodus: bis auf Programmcodeebene (PDC/BDC)

4. Die Boot.ini benutzt von ntldr4.1 Inhalte der Datei 4.2 ARC-Pfade (Advanced RISC Computing) verweist auf Startpartitionmulti|scsi(w)disk(x)rdisk(y)partition(z)w: der wievielte Controller (0-n) (scsi nur wenn Controller kein eigenes BIOS hat)x: SCDI-ID, für multi immer "0" (0-n)y: Nr. zur Identifikation des (phys. master 0 slave 1???)Laufwerks (bei SCSI ignoriert) (0-n)z: Identifikationsnummer der Partition (1-n) erst alle Primären, dann die logischen4.3 Optionen der Boot.ini/basevideo startet im VGA Modus/fastdetect=[comx | comx,y,z] serielle Mauserkennung deaktiviert | keine COM Erkennung/maxmen:n RAM der von W2 genutzt wird (bei Verdacht auf RAM defekt)/noguiboot Ladestatus wird bei Start nicht angezeigt/sos Gerätetreibernamen werden bei Start angezeigt4.4 Datei Boot.ini Bearbeiten5. Die Wiederherstellungskonsole5.1 Wiederherstellungskonsole initialisieren und starteninitialisieren: i386\winnt32 /cmdcons nun in Bootmenü anzuwählen odermit Setup-Disketten oder w2000 CD Wiederherstellungskonsole

5.2 Wiederherstellungskonsole verwendenboot (wie in 5.1) R (für Reparatur) K (Wiederherstellungskonsole)

5.3 Befehle der Wiederherstellungskonsolecd, chdisk, cls, copy, del, dir, Disable/Enable (Systemdienst oder Gerätetreiber de/aktiviert), exit, fdisk, fixboot (auf Systempartition einen neuen Partitionssektor anlegen), fixmbr (MBR Reparatur), format, help, logon, map (Laufwerkszuordnungsbuchstaben anzeigen), mkdir, more, rmdir, rename, Systemroot (aktueller Ordner wird als Systemstammordner festgelegt), type

5.4 PraxisXXIII) Win 2000 in Netzwerken verteilen1. Installation automatisieren1.1 Installation mit dem Installations-Manager automatisierenInstallieren des Installations-Manager:Win 2000-CD: Support\deploy.cab auf die lokale Festplatte kopieren und extrahieren.Tool kann:Erstellen von Antwortdateien mit Hilfe eine AssistentenVereinfacht die Eingabe von Benutzer- oder Computer spezifischer Daten

Vereinfacht die Aufnahme von Anwendungsinstallationsskripts in die AntwortdateiErstellt automatisch den für die Installationsdateien erforderlichen Distributionsordner.Optionen:neue AntwortdateiAntwortdatei eines installierten Rechners generierenAntwortdatei bearbeitenAntwortdateientypen: Unbeaufsichtigte Installation, Systemvorbereitungsinstallation, Remoteinstallationsdienste (RIS)

sysdiff.exe kann Win 2000 mit Hilfe von Differenzdateien installieren

1.2 Praxis

2. Win 2000 mit Hilfe von Datenträgerduplikaten verteilenSinnvoll, wenn viele identische Computer installiert werden müssen.Auch geeignet, um eine Rechnerinstallation bei schweren Problemen wiederherzustellen.Win 2000 bietet das Programm Sysprep.exe um Images zu erstellen.Zum kopieren dieses Images sind Tools anderer Hersteller zu verwenden

2.1 Grundlagen der Festplattenduplizierung2.2 Win 2000 Systemvorbereitungsprogramm extrahierenDeploy.cap installieren (XXIII.1.1)2.3 Masterimage mit Win 2000 Systemvorbereitungsprogramm erstellengeneriert automatisch eine SIDFügt Mini-Setupassitenten hinzu. Dieser fragt bei der Installation nach:Lizezvertrag, Produkt-ID, Ländereinstellung, Benutzername, Firmenbezeichnung, Netzwerkkonfiguration, Arbeitsgruppe oder Domäne, Zeitzone.! Es kann auch ein Skript erstellt werden (sysprep.inf)Es wir auch eine Plug & Play Hardware suche veranlaßt ! Treiber für Festplattencontroller und HAL müssen bei Quelle und Ziel identisch seinSysprep.exe optionen:/quiet alles ohne Benutzerinteraktion/pnp sucht nach Plug & Play geräten auf dem Zielcomputer/reboot Quellcomputer???? wird nicht neu gestartet/nosidgen es wird keine SID auf dem Ziel erzeugt2.4 Praxis2.5 Win 2000 von einem Masterfestplattenimage installieren 2.6 Praxis

3. Remoteinstallation durchführenHinweis: ???3.1 Grundlagen der Remote InstallationInstallation aller Computer von einem Ort aus.Vorgehen:1. Verbindung zu einem Server auf dem RIS (Remote Installation Service) herstellen

2. danach automatisierte Installation auf lokalem Rechner starten+ vereinfachte Verwaltung von Images, da bei Installation Plug & Play Komponenten erkannt werden+ schnelle Wiederherstellung eines Rechners+ sicherheitseinstellungen bleiben nach Neustart erhalten+ geringere Kosten, da jeder installieren kann(darf)3.2 Remoteinstallationsdienste initialisieren und konfigurieren3.2.1 Vorausetztungen für die RemoteinstallationsdiensteMindestens ein Win 2000 Server Dienste (mit RIS Funktionen): DNS, DHCP, Active Directory Dienst.

RIS muß auf einem freigegeben Datenträger mit folgenden kriterien installiert sein:Nicht das Laufwerk auf dem Win 2000 Server ausgeführt wird.Groß genug für RIS und ImagesNTFS Formatiert

Wenn RIS Installation abgeschlossen, konfigurieren mir Snap-In Active Directory-Benutzer und Computer (s. Kap 9)

RIS-Server speichert die RIS-Images auf Netzwerkfähigen ClientenRIS-Server muß Mitglied einer Domäne mit Active Directory-Verzeichnisdienst sein.3.3 Praxis3.4 Clientvoraussetzung zur RemoteinstallationMüssen nach Net PC Spezifikationen konfigurieren seinNIC mit PXE-Start-ROM und ein BIOS das den Start von PXE unterstützt.Remoteinstallationsdiskette und unterstützte NIC vorhanden3.5 Net PCsDefiniert Computer die sehr effizient verwaltet werden können. können über das Netzwerk gestartet oder aktualisiert werden, Hardware und Betriebsystem Konfiguration für Benutzer unveränderlich.Voaussetztungen: NIC muß im BIOS als primäres Startgerät eingestellt sein Benutzerkonto zur Installation muß das Recht "Anmelden als Stapelverarbeitungsauftrag"

haben! Dieses Recht muß explizit vergeben erden, defaultmäßig hat es nicht mal der Admin

Benutzer muß das Recht zur Erstellung von Computerkonten haben3.6 Computer die der NetPC-Spezifikation nicht entsprechen....sind nicht verloren ;o)Vorgehen:1: NIC mit PXE-Start-ROM installieren2. BIOS auf PXE stellen3. Benutzerkonto bracht das Recht: "Anmelden als Stapelverarbeitungsauftrag"4. Benutzer das Recht: Erstellung von Computerkonten geben3.7 Startdisketten erstellenWenn NIC nicht PXE-Start-ROM fähig ist.Vogehen: Win 2000-Remote-Stardiskettenerstellung mit rbfg.exe im Verzeichnis RemoteIns\admin\i386 starten.! Installationsuser braucht Rechte: Anmelden als Stapelverarbeitungsauftrag und Computerkonten erstellen.

3.8 Praxis4. Ältere Win-Versionen aktualisieren4.1 Aktualisierungsmöglichkeiten für ClientbetriebsystemeAchtung: nur Version NT 3.1 und 3.5 müssen erst auf 3.51 upgedatet werden4.2 Hardwarevoraussetzungen und KompatibilitätsfragenCPU: 166 MHz, RAM 32MB, Festplatte 650MB, Video: VGA, CD-ROM oder DVD4.3 Hardwarekompatibilitätsberichte erstellenMit Windows 2000 Readiness Analyzer (sinnvoll bei Installation vieler gleicher PCs)Start Ausführen Winnt32 /checkupgradeonly oderChkupgrade.exe (dowload bei: http://www.microsoft.com/windows/downloads/default.asp)Erstellt Textdatei: nicht kompatible Hardware & Software; auch Info: welche Software aktualisiert werden muß und welche Änderungen im System notwendig sind.4.4 Softwarekompatibilität überprüfen Netzwerkprotokolle und Clientsoftware von Fremdherstellern im i386\Winntupg für die

keine Aktualisierung zur Verfügung steht Antivirenprogramme und Festplattenverwaltungstools entfernen (da neues Dateisystem) Programme zur benutzerdefinierten Energieverwaltung (jetzt über APM- o. ACPI-BIOS)4.5 Kompatibele Win 95/98 Rechner aktualisieren (mit Winnt32.exe...)4.6 Verzeichnisdienstclient installieren (w2 CD: Clients\Win9x\dsclient.exe)Vorrausetzung: IE 4.01 und Active Desktop Komponente aktivierenBei nicht kompatiblen w95/98 Computern bietet Verzeichnisclient eine Alternative.Unterstützt: fehlertoleranten DFS-Redirektor-Dienst

Durchsuchen von Active-Directory-VerzeichnisdiensteKennwortänderung auf PDC

4.7 Win Win NT 3.51/4.0 aktualisieren (mit Winnt32.exe...)können sich an Domäne anmelden aber es fehlen viele Features (auch Kap 4.6 nicht möglich)

5. Service Pack installieren 5.1 Slipstreaming von Service PacksServicepacks werden in die Installationsdateien integriert. D.h. SP nicht nachträglich install.5.2 Service Packs nach der Install. von Win2000 verteilen(mit Update.exe)Hinweis: Bei ändern von Systemkomponenten nicht mehr SP Erneuerung nötig

XXIV) Win 2000 für mobile Computer konfigurieren 1. Offlineorder und –dateien verwenden1.1 Computer für die Verwendung von Offlineordern und –datei konfigurieren Arbeitsplatz/Explorer Extras Ordneroptionen Offlinedateien Offlinedateien aktivieren + Vor Abmelden alle Offlinedateien synchronisierenOption Erweitert: Bestimmt Verhalten des Computers bei Netzwerktrennung1.2 Praxis1.3 Computer so konfigurieren, dass Offlineorder und Dateien zur Verfügung stehen

Arbeitsplatz/Explorer/I-NetExplorer rm Ordner Einstellungen für die ZwischenspeicherungManuelles: Benutzer muß Dokumente kennzeichnen mit denen er offline arbeiten will.Automatisches: Jede Datei die Benutzer öffnet wird zwischengespeichertAutom. zw. Prog: s.o.1.4 Praxis1.5 Dateien synchronisierenAutomatisch, wenn sich die Datei im Netzwerk nicht geändert hat.sonst aufpassen: nur lokal speichern, auf Netzwerk ersetzten oder (neue) Kopie auf Netzwerk 1.6 Synchronisationsverwaltung konfigurieren Arbeitsplatz/Explorer Extras EinrichtenSynchroniesieren bei An- und/oder Abmeldung; Meldung vor Synchr.; NetzwerkverbindungBei Leerlauf angeben: bei welcher Netzwerkverbindung synchr.; welche Objekte; nur synchr. bei Leerlauf...Erweitert: nach wieviel Min. Leerlauf soll synchr. werden; Wiederholungsintervall; keien synchr. wenn Computer im Akkubetrieb.Geplante Tasks: Verbindung und Objekte angeben; Verbindung automatisch herstellen; Verbindung vorhanden, wenn synchr. gestartet werden soll?; Zeitpunkt der Synchr. festlegen; Synchr. Intervall (erster Tag, jeden Tag, jeden Arbeitstag; alle X Tage)1.7 Praxis2. Energieoptionen konfigurieren 2.1 Energieschemas konfigurieren Systemsteuerung Energieoptionen (für Monitor und Festplatte)2.2 Den Ruhezustand verwendenSystemsteuerung Energieoptionen Eigenschaften Ruhezustand ...aktivieren2.3 Advanced Power Management konfigurieren (APM 1.2)Voraussetzung: Administrator, w2p, APM BIOS Systemsteuerung Energieoptionen Eigenschaften APM aktivierenWenn kein APM BIOS ähnliches auch durch ACPI BIOS zu erreichenACPI (Advanced Configuratin & Power Interface) ermöglicht wechseln von Plug & Play Komponenten, An- und Ausdocken und Laufwerke wechseln während des Betriebes2.4 PraxisXXV) Geräte und Treiber implementieren und verwalten.1. Mit dem Gerätemanager und dem Snap-In Systeminformationen arbeiten1.1 Einführung in den GerätemanagerSnap-In Computerverwaltung System Gerätemanager 1.2 Geräte installieren Bei Plug & Play mit Plug & Play BIOS oder ACPI BIOS automatischsonst Hardwareassistent (s. Kp 4)1.3 Geräte konfigurieren und Probleme behebenMit Gerätemanager: freie Ressourcen suchen und Gerät zuweisen o. Gerät deaktivierenHinweis: Ressourcenzuweisungen an Geräte ist dynamisch (wird vergeben was frei ist)

Plug & Play möglichst nicht manuell einstellenGerätemanager Plug & Play Eigenschaften Ressourcen automatisch konfigurierenEigenschaften für Geräte:??? wirklich eintragen?1.4 Mit den Snap-In Systeminformationen arbeiten

1.5 Praxis2. Mit Treibersignaturoptionen umgehen2.1 Treibersignaturoptionen konfigurieren 2.2 Treibersignaturen und Signaturprobleme beheben 2.3 Dateisignaturverifizierung2.4 Praxis3. Computer mit mehreren Prozessoren konfigurieren und Systemperformance überwachen 3.1 Skalierung3.2 Treiber aktualisieren3.3 Systemleistung mit dem Systemmonitor überwachen3.4 Leistungsindikatoren hinzufügen4. Geräte installieren und verwalten4.1 Faxunterstütztung konfigurieren und Probleme beheben4.2 Eingabe-/Ausgabegeräte verwalten und Fehler beheben