Embed Size (px)
Citation preview
InhaltWindows.....................................................................................................................................2
Verwaltungswerkzeuge (Kleckner)........................................................................................2
Benutzerverwaltung (Winkler)...............................................................................................8
Dateisystemrechte (Purgaj)...................................................................................................11
Drucken (Flock)....................................................................................................................14
Gruppenrichtlinien (Dajakaj)................................................................................................16
ADS Struktur für mehrere Standorte aufbauen – Purgaj.....................................................20
ADS Replikation - Kleckner.................................................................................................22
DNS - Fraissler.....................................................................................................................27
DHCP– Zimmermann...........................................................................................................28
RRAS– Falzberger X............................................................................................................29
RRAS– Dajakaj.....................................................................................................................30
Netzwerkrichtlinien-Server - Nahrgang................................................................................32
Interne Struktur der Standorte in der ADS– Winkler...........................................................38
WSUS, Windows Firewall - Flock.......................................................................................43
Novell........................................................................................................................................44
Verwaltungswerkzeuge (Fraißler 18.5.11)...........................................................................44
Allgemeines zum eDirectory (Kleckner 30.5.11) relationale Datenbank, Objektorientiert. 48
Benutzerverwaltung (Flock 23.5.11)....................................................................................49
Dateisystemrechte (Nahrgang 18.5.11).................................................................................53
Drucken (Falzberger 23.5.11)...............................................................................................54
Zenworks-Richtlinien (Dajakaj 30.5.11)..............................................................................56
Linux.........................................................................................................................................60
Verwaltungswerkzeuge (Zimmermann 6.6.11)....................................................................60
Benutzerverwaltung (Winkler 25.5.11)................................................................................61
Dateisystemrechte (Purgaj 25.5.11)......................................................................................64
Serverdienste (Mail, Web, FTP,...) (Purgaj 25.5.11)............................................................65
Drucken (Falzberger 23.5.11)...............................................................................................67
MySQL.....................................................................................................................................71
Verwaltungswerkzeuge– Nahrgang......................................................................................71
Grundsätze des Datenbankentwurfs – Fraissler...................................................................74
SQL – Zimmermann.............................................................................................................81
Programmatischer Zugriff auf MySQL-Datenbanken - Falzberger X.................................82
Novell-Spezial...........................................................................................................................89
Fernverwaltung (Kleckner) X...............................................................................................89
1
iPrint (Winkler).....................................................................................................................89
Ifolder (Purgaj)......................................................................................................................92
Verwaltungsobjekte (Fraißler)..............................................................................................97
Benutzer (Flock)X..........................................................................................................100
Attributobjekt (Dajki) X.................................................................................................100
Windows
Verwaltungswerkzeuge (Kleckner)
Verwaltungswerkzeuge Klecks
Wichtigste Administrative Verwaltungsaufgaben bei einem Windows Rechners
Computerverwaltung
Gib einen Kurzüberblick auf die wichtigsten Verwaltungsaufgaben!
BenutzerverwaltungHardwareressourcenverwaltungSpeicherverwaltungNetzwerkverwaltungLeistungsüberwachung
FestplattenverwaltungPartition braucht unter Windows Laufwerksbuchstaben, allerdings kann man es einhängen in einen leeren Ordner. Laufwerksbuchstabe kann geändert werden.
Kontingent: Speichervolumen pro User kann pro Partition beschränkt werden.Wie viele Partitionen kann man erstellen?Primäre, Erweiterte Partitionen gibt esRaid System dient zur Ausfallssicherheit, Raid 1 heißt spiegeln.
Netzwerkverwaltung
Durch Netzwerk und Freigabe Center kann man es ändern
2
DatenträgerverwaltungBeim Erstellen von Laufwerken werden eigentlich neue Partitionen erstellt. Die Begriffe Laufwerk und Partition werden oft vermischt. Eine Partition ist ein festgelegter Bereich einer Festplatte. Dieser Bereich kann die gesamte Festplatte oder auch nur einen Teil der Festplatte umfassen. Die Partition verfügt weder über einen Laufwerksbuchstaben, noch können ohne weitere Schritte Daten auf der Partition gespeichert werden. Ein Laufwerk ist eine Partition, die formatiert wurde und der ein Laufwerkbuchstabe zugewiesen wurde. Laufwerke werden unter Windows ganz normal mit einem Laufwerksbuchstaben angezeigt, und können zum Speichern von Daten verwendet werden. Um ein neues Laufwerk zu erstellen, muss man also auch eine neue Partition erstellen. Man kann nur bis zu vier Partitionen und somit auch nur bis zu vier Laufwerke erstellen. Wenn man mehr als vier Laufwerke benötigen, dann wird eine erweiterte Partition erstellet. Grundsätzlich ist eine Partition also lediglich ein nicht zugreifbarer, abgeteilter Bereich der Festplatte. Ein Laufwerk hingegen ist eine Partition, die auch formatiert ist und der ein Laufwerksbuchstabe zugewiesen wurde.Erreichbar ist dieser Register unter dem Kontextmenü des Arbeitsplatzes „Verwalten“ und dann die Datenträgerverwaltung anwählen.
was ist napIm unteren Bereich des Fensters sieht man alle physisch im Computer vorhandenen Datenträger (Festplatten, CD-Laufwerke, DVD-Laufwerke etc.). Der blaue Bereich eines Datenträgers ist bereits einem Laufwerk (Partition) zugeordnet. Der schwarze Bereich eines Datenträgers ist noch nicht zugeordnet und kann für das Erweitern einer bestehenden Partition genutzt werden.Beim Anlegen einer neuen Partition gibt es nicht mehr die Unterscheidung zwischen primärer Partition und erweiterter Partition wie unter Windows XP (und 2000). Es gibt nur die Option “Neues einfaches Volume”. Die ersten drei Partitionen werden als “primäre Partionen” angelegt. Beim Anlegen der vierten Partition wird automatisch eine erweitere Partition mit einem logischen Laufwerk angelegt. Die weiteren Partitionen/Volumes sind dann auch logische Laufwerke.
3
Seit Windows Vista besteht auch die Möglichkeit Volumes zu verkleiner bzw. zu vergrößern. Dies geschieht mit einem einfachen Rechtsklick auf das gewählte Volume.
HardwareverwaltungUm die installierte Hardware betrachten zu können weist sich der Geräte Manager als durchaus nützlich. Hier lassen sich alle Hardwarekomponenten auswählen, ihre Eigenschaften können beobachtet werden, Treiberaktualisierungen können vorgenommen werden und vieles mehr. Den Geräte Manager erreicht man, indem man diesen Befehl ausführt: devmgmt.msc
NetzwerkverwaltungUm sich ein Überblick über seine Schnittstellen zu beschaffen oder ob man IP-Adressen manuell oder automatisch Vergeben möchte muss man unter Windows zu Start-
4
>Systemsteuerung->Netzwerkverbindungen wechseln.
Hier lassen sich durch Rechstklick>Eigenschaften viele Einstellungen einstellen zB. IP-Adressen eingeben, Gateways ändern oder WINS einstellen. BenutzerverwaltungUm die Benutzer verwalten zu können muss man als erstes unter Systemsteuerung und dann Benutzerverwaltung wechseln. Dort lassen sich diverse Einstellungen durchführen wie das ändern von Passwörtern, Persönliches Bild einfügen, Anmeldeinformationen einstellen oder den Kontotypen ändern.
5
Leistungs- und Systemüberwachung
Das System zu überprüfen kann man mithilfe des Befehles perfmon. Es öffnet sich die Leistungs- und Systemüberwachung, die die CPU, Datenträger, Netzwerk und Speicher beobachtet. Dies dient zur genauen Erkenntnis, wie der PC arbeitet. Falls häufiger Fehlermeldungen, Abbrüche, Abstürze oder andere Probleme vorkommen, dann besteht die Möglichkeit diese mit der Zuverlässigkeitsüberwachung genauer anzusehen. Dort sieht man alle Vorkommnisse und Ereignisse am Windows Rechner.
6
DiensteFalls man neue Dienste starten möchte oder andere beenden oder neu starten sollte man unter Windows zu dem Dienstmanager wechseln der unter dem Befehl services.msc. Hier sieht man alle Dienste die zuzeit am Windows Rechner verfügbar sind.
7
Benutzerverwaltung (Winkler)
Benutzerverwaltung Winkler
man unterscheidet zwischen lokalen und Benutzer in der ADS.
lokale Benutzer:gibt es ein Tool,
Benutzer in der ADS:normale Profile:serverbasierende Profile: Egal auf was für einen Computer man sich anmeldet die Einstellungen sind immer die gleichen. Kann groß werden über 100 MB Da eigene Dateien dazugehören und der Desktop auch - Mitarbeitet speichern gerne auf den Desktop.Beim abmelden werden die Dateien wieder auf den Server zurückgespeichert!Netzlaufwerk wäre besser. Das was am Desktop ist kann man den Pfad auch auf ein Homeverzeichnis weiterleiten.
Verbindliche Benutzerprofile: bekommt man die Daten über den Server kann es im Zuge der Sitzung ändern und nach abmelden wird es wieder auf normalen Zustand zurückgebracht.
Was wird auf Basis der Benutzer gesetzt?-Festplatten zugriff-Systemrechte (sind über Gruppenrichtlinien gesteuert)-Freigaben
Was ist wenn man User anlegt versehentlich löscht sind Rechte weg?- ja da es sich auf die Security ID beziehtBeim Domänencontroller (RID-Master) können SID's bereitgestellt werden.Ausfall von Betriebsmasterkonfigurationen können diese Einstellungen lahm legen.
ProfileServerbasierende ProfileHome
8
BenutzerverwaltungLokale Benutzer und GruppenDas Tool Lokale Benutzer und Gruppen befindet sich in der Computerverwaltung. Es handelt sich um eine Sammlung von Verwaltungsprogrammen, mit deren Hilfe ein einzelner lokaler Computer oder ein Remotecomputer verwaltet werden kann. Man kann das Tool Lokale Benutzer und Gruppen verwenden, um lokal auf dem Computer gespeicherte Benutzerkonten und Gruppen zu sichern und zu verwalten. Einem lokalen Benutzer- oder Gruppenkonto können Berechtigungen und Rechte für einen bestimmten Computer zugewiesen werden, die ausschließlich für diesen Computer gelten. Mithilfe des Tools Lokale Benutzer und Gruppen kann man durch Zuweisen von Rechten und Berechtigungen die Ausführung bestimmter Aktionen durch Benutzer und Gruppen einschränken. Ein Recht autorisiert einen Benutzer zum Ausführen bestimmter Aktionen auf einem Computer, wie das Sichern von Dateien und Ordnern oder das Herunterfahren eines Computers. Bei einer Berechtigung handelt es sich um eine einem Objekt zugewiesene Regel, über die festgelegt wird, welche Benutzer auf welche Weise über Zugriff auf das entsprechende Objekt verfügen.Man kann das Tool Lokale Benutzer und Gruppen nicht zum Anzeigen lokaler Benutzer- und Gruppenkonten verwenden, wenn ein Mitgliedsserver heraufgestuft wurde, um als Domänencontroller zu fungieren. Man Lokale Benutzer und Gruppen jedoch auf einem Domänencontroller verwenden, um im Netzwerk Aktionen auf Remotecomputern (bei denen es sich nicht um Domänencontroller handelt) auszuführen. Mithilfe von Active Directory-Benutzer und -Computer kann man Benutzer und Gruppen in Active Directory verwalten.Benutzer- und Computerkonten (ADS)Benutzerkonten und Computerkonten in Active Directory entsprechen einer physikalischen Einheit, z. B. einem Computer oder einer Person. Benutzerkonten können in bestimmten Anwendungen auch als dedizierte Dienstkonten verwendet werden.Benutzer- und Computerkonten (ebenso wie Gruppen) werden auch als Sicherheitsprinzipale bezeichnet. Sicherheitsprinzipale sind Verzeichnisobjekte, denen automatisch Sicherheitskennungen (Security IDs, SIDs) zugewiesen werden und die den Zugriff auf Domänenressourcen ermöglichen. Benutzer- und Computerkonten werden für die folgenden Aufgaben eingesetzt:
Authentifizierung eines Benutzers oder Computers.
Mithilfe eines Benutzerkontos meldet sich der Benutzer an Computern und Domänen mit einer Identität an, die von der Domäne authentifiziert werden kann. Jeder Benutzer, der sich an einem Netzwerk anmeldet, sollte über ein eigenes Benutzerkonto und Kennwort verfügen. Zur Optimierung der Sicherheit sollte man vermeiden, dass mehrere Benutzer dasselbe Benutzerkonto verwenden. Zugriffskontrolle auf Domänenressourcen.
Nach der Authentifizierung des Benutzers wird dem Benutzer der Zugriff auf Domänenressourcen anhand der expliziten Berechtigungen, die diesem Benutzer in der Ressource zugewiesen sind, entweder gewährt oder verweigert. Verwaltung anderer Sicherheitsprinzipale.
Active Directory erstellt in der lokalen Domäne je ein fremdes Sicherheitsprinzipal-Objekt für die einzelnen Sicherheitsprinzipale in einer vertrauenswürdigen externen Domäne. Überwachungsaufgaben unter Verwendung von Benutzer- oder Computerkonten.
Mithilfe der Überwachung behalten Sie den Überblick über die Kontensicherheit.
9
BenutzerkontenDer Container „Benutzer“ in „Active Directory-Benutzer und -Computer“ enthält die folgenden drei vordefinierten Benutzerkonten: „Administrator“, „Gast“ und „Hilfeassistent“. Diese vordefinierten Benutzerkonten werden automatisch beim Erstellen der Domäne angelegt.Jedes vordefinierte Konto verfügt über eine bestimmte Kombination von Rechten und Berechtigungen. Das Administratorkonto bietet die umfangreichsten Rechte und Berechtigungen über die Domäne, während das Gastkonto nur eingeschränkte Rechte und Berechtigungen gewährt.Solange die Rechte und Berechtigungen eines vordefinierten Kontos vom Netzwerkadministrator nicht geändert oder deaktiviert werden, kann sich ein Benutzer mit böswilligen Absichten (oder ein Dienst) unrechtmäßig als Administrator oder Gast an einer Domäne anmelden. Zum Schutz dieser Konten empfiehlt es sich, diese umzubenennen oder zu deaktivieren. Weil ein umbenanntes Benutzerkonto die zugehörige Sicherheitskennung (Security ID, SID) beibehält, behält es auch alle anderen zugehörigen Eigenschaften, wie z. B. die Beschreibung, das Kennwort, Gruppenmitgliedschaften, das Benutzerprofil, Kontoinformationen sowie alle zugewiesenen Berechtigungen und Benutzerrechte.Um Sicherheit in Form der Benutzerauthentifizierung und -autorisierung zu implementieren, sollte man für jeden Benutzer, der sich am Netzwerk anmeldet, in "Active Directory-Benutzer und -Computer" ein eigenes Benutzerkonto erstellen. Jedes Benutzerkonto (einschließlich des Administrator- und Gastkontos) kann einer Gruppe hinzugefügt werden, in der die kontospezifischen Rechte und Berechtigungen verwaltet werden können. Durch die auf das Netzwerk abgestimmten Konten und Gruppen wird sichergestellt, dass die Benutzer bei der Netzwerkanmeldung identifiziert werden und nur auf die vorgesehenen Ressourcen zugreifen können.Durch das Erzwingen der Verwendung sicherer Kennwörter und das Implementieren einer Kontosperrungsrichtlinie schützen Sie Ihre Domäne vor Angreifern. Sichere Kennwörter reduzieren das Risiko, dass Kennwörter durch intelligentes Erraten oder Wörterbuchangriffe preisgegeben werden.Eine Kontosperrungsrichtlinie reduziert die Gefahr, dass ein Angreifer mittels wiederholter Anmeldeversuche die Sicherheit der Domäne gefährdet. Denn eine Kontosperrungsrichtlinie bestimmt, wie viele fehlgeschlagene Anmeldeversuche für ein Benutzerkonto zulässig sind, bevor es deaktiviert wird.KontooptionenJedes Active Directory-Benutzerkonto verfügt über eine Reihe von Kontooptionen, die bestimmen, wie ein Benutzer im Netzwerk authentifiziert wird, der sich mit diesem Benutzerkonto anmeldet.„Benutzer muss Kennwort bei der nächsten Anmeldung ändern“ oder„Benutzer kann Kennwort nicht ändern“Servergespeicherte BenutzerprofileServergespeicherte Benutzerprofile dienen eigentlich dazu, Benutzer zu unterstützen, die sich an mehreren Computern anmelden. Deshalb werden sie auch als wandernde Benutzerprofile bzw. Roaming User Profiles (RUPs) bezeichnet. Eine Ausnahme bilden auch Benutzer, die sich regelmäßig an verschiedenen Standorten anmelden, denn in den Pfad des servergespeicherten Benutzerprofils geht der Servername ein, und der Anmeldevorgang würde sich für diese Benutzer hinziehen, wenn das Profil über eine WAN-Leitung geladen werden müsste. Wenn sich ein Benutzer an einem Computer anmeldet, werden seine persönlichen Einstellungen für das Betriebssystem, aber auch die Office-Einstellungen und die persönlichen Einstellungen für andere Anwendungen gespeichert. Meldet sich der Benutzer an einem anderen Computer an, so findet er dort nicht die Einstellungen des ersten Computers
10
wieder, sondern die Standardeinstellungen. Aber auch die Favoriten, die im Internet Explorer angelegt werden, sowie die in Word erstellten Dokumentvorlagen und die selbst angelegten und gepflegten Wörterbücher sind auf dem anderen Computer nicht verfügbar. Alle diese wichtigen Einstellungen und die Favoriten sowie die mit viel Mühe erstellten Dokumentvorlagen und Wörterbücher gehen aber auch verloren, wenn der Computer des Anwenders neu installiert werden muss, weil z.B. die Festplatte den Geist aufgegeben hat und diese Daten vorher nicht gesichert wurden.Durch servergespeicherte Benutzerprofile werden nun Kopien der clientgespeicherten Benutzerprofile auf dem Server gehalten und bei jeder An- und Abmeldung mit diesen lokalen Profilen synchronisiert. Meldet sich ein Benutzer, für den ein servergespeichertes Benutzerprofil erstellt wurde, zum ersten Mal an einem anderen Computer an, so wird das servergespeicherte Profil nach C:\Dokumente und Einstellungen herunterkopiert und der Benutzer findet seine Einstellungen, Favoriten und Dokumentvorlagen sowie die persönlichen Wörterbücher vor. Wenn der Computer des Benutzers ausgetauscht oder ein neues Standardabbild eingespielt wird, gehen diese wichtigen Dinge nicht verloren.Servergespeicherte Profile einrichtenUm servergespeicherte Profile für die Anwender einzurichten, legt man auf dem Server ein Verzeichnis z.B. mit dem Namen Profiles an und gibt es unter derselben Bezeichnung frei. Man muss die Freigabeberechtigung für die Gruppe Jeder auf Ändern erweitern. Wenn aus Sicherheitsgründen nicht gewünscht ist, dass die Gruppe Jeder auf einem Serververzeichnis Rechte besitzt, kann man Jeder auch durch die Sicherheitsgruppe Domänen-Benutzer ersetzen und dieser Gruppe dann das Freigaberecht Ändern gewähren.Bei jeder Kennung, für die ein servergespeichertes Profil angelegt werden soll, tippt man in der Registerkarte Profil des Benutzers nun hinter Profilpfad Folgendes ein: \\s1\profiles\%username%Wenn man auf Übernehmen klickt, wird die Variable %username% durch die Kennung des Benutzers ersetzt. Das Verzeichnis wird aber erst erzeugt, wenn sich der Benutzer zum ersten Mal anmeldet.Sobald sich alle Benutzer, für die auf diese Weise ein servergespeichertes Profil definiert wurden, einmal an- und abgemeldet haben, finden Sie für diese Benutzer in der Freigabe \\S1\Profiles Unterverzeichnisse. Jeder Benutzer, der nach Netzfreigaben suchen darf, kann diese Unterverzeichnisse zwar sehen, jedoch nur sein eigenes Verzeichnis öffnen.
Dateisystemrechte (Purgaj)
DateisystemrechteNTFS-BerechtigungBerechtigungen werden im Dateisystem selbst gespeichert. Derartige Eintrge nennt man ACE (Access Control Entry), die sich daraus ergebende Liste heit ACL (Access Control List).Bei der Erstellung eines Ordners oder einer Datei wird der Benutzer, der das Objekt anlegt, als Besitzer des Objekts eingetragen.Der Besitz eines Objekts ist ein wichtiges Attribut, das ein Benutzer auf eine Ressource haben kann. Der Besitzer einer Ressource entscheidet nmlich, wer mit welcher Berechtigung auf sie zugreifen kann.
11
Aus einer Vielzahl von Einzelberechtigungen wurden Standardberechtigungen definiert, die der Administrator oder Besitzer eines Objekts vergeben kann.
" Lesen: Lesen einer Datei sowie Anzeige der Dateiattribute, der Berechtigungen und des Besitzers.
" Schreiben: Mit dieser Berechtigung kann die Datei berschrieben werden. Daneben werden auch Besitz und Berechtigungen angezeigt.
" Lesen, Ausfhren: Diese Berechtigung ist notwendig, um Programme ausfhren, also starten zu knnen.
" ndern: Neben dem Lesen, Schreiben, Ausfhren umfasst diese Berechtigung noch das ndern und Lschen von Objekten wie z. B. einer Datei oder eines Ordners.
" Vollzugriff: Diese Berechtigung ist die hchstmgliche, sie enthlt alle anderen Berechtigungen und erlaubt die bernahme des Besitzes an einem Objekt.
Wenn man die Berechtigungen einsehen oder ndern mchte, muss man das gewnschte Objekt im Dateisystem auswhlen und durch einen Rechtsklick das Kontextmen aufrufen. In dem sich ffnenden Men whlt man die Funktion EIGENSCHAFTEN aus.In dem sich ffnenden Fenster wechselt man in das Register SICHERHEIT, in dem man die Berechtigungen des Objekts einsehen bzw. ndern kann.
Windows Server 2008 arbeitet mit vererbbaren Berechtigungen, d. h. ein Objekt erbt die Berechtigungen des darber liegenden Ordners. Ein neu erstellter Ordner erbt die Berechtigungen des bergeordneten Ordners.
Um die Berechtigung der Gruppe "Benutzer" zu ndern, muss zuerst die Vererbung ausgeschaltet werden. Mit einem Klick auf die Schaltflche ERWEITERT ' Berechtigungen ' BEARBEITEN gelangt man in die erweiterten Sicherheitseinstellungen des Ordners. Im unteren Abschnitt des Fensters muss die Kontrollbox VERERBBARE BERECHTIGUNGEN DES BERGEORDNETEN OBJEKTEs EINSCHLIESSEN, abgehakt werden.
Wenn man einen detaillierten berblick wnscht, welche Berechtigungen im Einzelnen durch das Setzen der Kontrollbox einer Standardberechtigung wirklich vergeben werden, muss man lediglich den Benutzer oder die Gruppe anklicken und anschlieend die Schaltflche BEARBEITEN whlen.
12
Die effektive Berechtigung eines Benutzers setzt sich aus den einzelnen Berechtigungen zusammen, die er durch die Mitgliedschaft in unterschiedlichen Gruppen erhalten hat. Alle Berechtigungen addieren sich, wobei das Verweigern der Berechtigung eine hhere Prioritt hat als das Zulassen.
Unter Windows Server 2008 hat man die Mglichkeit, die effektiven Berechtigungen eines Benutzers oder einer Gruppe sofort zu ermitteln.Im Register EFFEKTIVE BERECHTIGUNGEN des Fensters "Erweiterte Sicherheitseinstellungen fr " kann man sofort die effektiven Berechtigungen ermitteln. Nachdem man auf das Register geklickt hat, muss man ber die Schaltflche AUSWHLEN den Benutzer oder die Gruppe eingeben, fr die man die effektiven Berechtigungen ermitteln mchte.
13
Drucken (Flock)
Drucken Flock
Funktioniert über den Servermanager Rollen hinzufügen
Mithilfe der Druckerverwaltung kann man die Warteschlange und die Druckerclients verwalten
Was ist ein lokaler und ein Netzwerkdrucker?
Lokaler Drucker ist im internen NetzNetzwerkdrucker - sobald er eine Netzwerkkarte hat und man ein Netzwerkkabel dafür braucht
Wie sorgt man dafür dass der Chef als erstes Drucken darf
Druckerspool 2 Mal hinzufügen -Beide Freigeben - speziell für den Chef eine Priorität setzen und beim anderen Druckerpool für andere Benutzer andere Priorität geben - Ein Spooler durch den kann der Zugriffreglementiert werden
Gibts die Möglichkeit
Druckprioritäten oder Druckerspool einrichten
Kann man über http drucken?
Ja dafür braucht man das Internet Printing ProtocolVorteil man kann den Druckserver damit einsprechen . Drucker muss für jeden Client ansprechbar sein - Client schickt was vorbereitet an Server wird dann beim Server durch Druckerspools geschickt und dann gedruckt.
14
Drucken unter Windows Server 2008
Ein erster Blick auf die Druckverwaltung zeigt folgende BereicheUnter dem Knoten Druckserver findet man die Druckserver, mit dem man das Werkzeug verbunden hat. Unterhalb eines Druckservers finden sich die einzelnen Konfigurationspunkte, also Treiber, Formulare, Anschlsse und Drucker. Das sind alles Aspekte, die man bereits aus der Druckerkonfiguration der frheren Windows Server-Versionen kennt.
Drucker InstallationIm Kontextmen den Menpunkt Drucker hinzufgen auswhlen. Die erste Frage des Installationsassistenten ist, wie der neue Drucker gefunden werden kann bzw. angeschlossen ist.
Wenn man einen TCP/IP-Drucker installieren mchte, muss man im nchsten Dialog die IP-Adresse eintragen. Auf Wunsch kann man dort die Checkbox Zu verwendenden Druckertreiber automatisch ermitteln aktiviert lassen. Der Assistent wird dann ber das Netzwerk den Typ des Druckers ermitteln und den passenden Treiber vorschlagen.Hier sieht man, was passiert, wenn es im Lieferumfang von Windows Server 2008 keinen passenden Treiber fr den gefundenen Drucker gibt: Die oberste Option (Druckertreiber verwenden, den der Assistent ausgewhlt hat) steht nicht zur Verfgung. Man kann nun einen bereits auf dem Server installierten Treiber auswhlen oder die Option Einen neuen Treiber installieren whlen.
Wenn man die Option Einen neuen Treiber installieren gewhlt hat, gelangt man zu dem altbekannten Dialog zur Auswahl von Hersteller und Druckertyp. Hier findet man dann auch die Schaltflche Datentrger zum Einspielen eines Treibers, den man aus dem Internet oder ber CD beziehen kann. Der letzte Schritt ist dann die Auswahl des Druckernamens und der Freigabe.
Zustzliche Treiber installierenWenn ein Client sich mit einem Drucker verbindet, bentigt er einen Treiber. In Windows-Netzwerken ist das prinzipiell sehr einfach, weil der Client den bentigten Treiber selbst installieren kann - vorausgesetzt, der Druckserver hlt den Treiber fr den Client bereit. Wenn die Clients nicht gerade auf dem Stand Windows NT4, Windows 95 oder dergleichen sind, wird das sogar auf Anhieb funktionieren. Damit die Clients, die eine andere Prozessorfamilie als der Server verwenden, automatisch die bentigten Treiber erhalten knnen, mssen diese auf dem Server installiert werden. Dies geschieht ber den Menpunkt Treiber hinzufgen.
Der Assistent wird zunchst abfragen, fr welche Prozessorfamilien ein Treiber installiert werden soll.
Anschlsse konfigurierenIn der Druckverwaltung kann man die Anschlsse eines Druckers bearbeiten. Die ist vor allem dann hilfreich, wenn man sehr viele TCP/IP-Drucker an einem Druckserver betreibt.
Druckserver konfigurieren Zunchst wre der Eigenschaftendialog zu nennen. In diesem findet man auch die Konfigurationsmglichkeiten fr Formulare, Anschlsse und Treiber. Interessant ist die
15
Registerkarte Erweitert, auf der beispielsweise der Spoolordner definiert werden kann. In diesem werden alle Druckjobs vor dem Senden zum Drucker zwischengespeichert. Bei stark benutzten Druckservern bietet es sich an, diesen Ordner von der Systemplatte auf eine zustzliche Festplatte zu verschieben.
Import und Export der Konfiguration
Arbeiten mit FilternAuch zur berwachung von Druckern bietet die Druckverwaltung einige Funktionen. Der Grundgedanke dabei ist, dass man sich zunchst ber verschiedene gefilterte Ansichten einen schnellen berblick verschaffen kann. So kann man beispielsweise auf einen Blick erkennen, wenn Drucker den Status Drucker nicht bereit haben.
Gruppenrichtlinien (Dajakaj)
Windows - GruppenrichtlinienWas sind Richtlinien?
Eine Richtliniendatei enthält die Informationen für den Client mit Einschränkungen für den Benutzer.
Mit den Richtlinien können man die Clients zentral und einheitlich konfigurieren und haben die Möglichkeit, diese Einstellungen leicht zu verändern.
Mit einer Richtliniendatei werden Werte in der Registry gesetzt und verändert.
16
Bei jeder Anmeldung an das Netzwerk werden diese Einstellungen der Richtliniendatei mit der aktuellen Computer/Anwendereinstellung verglichen und bei Unterschieden angepasst.
Die Richtlinien werden aus den Informationen einer Richtlinienvorlage (ADM-Datei) erstellt.
Diese Richtlinienvorlage ist bei den System-/Gruppenrichtlinien weitgehend identisch.
Gruppenrichtlinien können an drei »Orten« angelegt werden:
Domäne
Organisationseinheit
Standort
Die Gültigkeitsbereiche der Gruppenrichtlinie sind einfach zu verstehen:
Eine lokale Gruppenrichtlinie gilt verständlicherweise nur auf dem lokalen Computer. Windows Vista/7 und Windows Server 2008/R2 verfügen über drei lokale GPOs, die eine zusätzliche Einschränkung des Gültigkeitsbereichs ermöglichen.
Eine Standortrichtlinie gilt für alle Computer an einem Standort und alle Benutzer, die sich dort anmelden.
Eine Domänenrichtlinie wird auf alle in der Domäne befindlichen Benutzer- und Computer angewendet.
Eine Gruppenrichtlinie, die in einer Organisationeinheit definiert ist, gilt für alle dort angesiedelten Objekte, einschließlich denen, die in »Unter-OUs« angelegt sind (und
auch für die in der OU in der OU in der OU …).1: Standort GR abgearbeitet2: Domäne GR abgearbeitet3: äußere OU abgearbeitet4:als letztes die innere OU
Sicherheit und Vorrang
Die am nächsten befindliche Gruppenrichtlinie hat Vorrang. Diese Regel hat eine Ausnahme, Gruppenrichtlinien die sich ganz oben befinden wirken auf alle anderen auch.
Lokale GPOs
17
Die Betriebssysteme ab Windows Vista und Windows Server 2008 kennen vier lokale Gruppenrichtlinienobjekte (GPOs), mit denen erstaunlicherweise Einstellungen des lokalen Computers konfiguriert werden können:
das lokale Richtlinienobjekt (Local Policy Object)
ein GPO für Administratoren und eines für Nicht-Administratoren
ein benutzerspezifisches lokales GPO
Softwareverteilung mit Gruppenrichtlinien
Mithilfe der Gruppenrichtlinien ist eine Softwareverteilung möglich. Eine wesentliche Einschränkung ist, dass »nur« MSI-Pakete verteilt werden können; in anderen Formaten vorliegende Software muss umgepackt werden
Verarbeitung von Gruppenrichtlinien können durch folgendes beeinflusst werden:
Zugriffsberechtigungen bzw. Filter der GPOs
Einstellung "Kein Vorrang" Dadurch werden Einstellungen von untergeordneten Containern überschrieben. Es gelten die Einstellungen der zuerst verarbeiteten Richtlinie (diese Option sollten Sie, wenn möglich, nicht benutzen, da es schnell unübersichtlich werden kann).
Richtlinienvererbung deaktiviert: Dadurch wird die Vererbung unterbrochen und die Einstellungen der oberen Ebene werden nicht übernommen (Achtung: Kann durch das Setzen von "Kein Vorrang" übergangen werden).
Mehrere GPOs werden in der zugeordneten Reihenfolge bearbeitet.
Synchronisieren
Standardmäßig werden die Gruppenrichtlinien synchron verarbeitet.
asynchrone Verarbeitung (über die MMC "Computerkonfiguration" -> "Administrative Vorlagen" -> "System" -> "Gruppenrichtlinien") ist nicht zu empfehlen, da die Oberfläche geladen wird bevor feststeht, welche Berechtigungen der Anwender hat!
Synchrone VerarbeitungErfolgt folgendermaßen:
Die Computerbezogenen Richtlinien werden beim Start des Rechners verarbeitet. Die Richtlinien werden vollständig eingelesen, bevor der Anmeldedialog angezeigt wird. Nach der Anmeldung werden die benutzerbezogenen Richtlinien eingelesen und verarbeitet. Die Oberfläche wird erst nach dem vollständigen Abarbeiten der Richtlinien angezeigt.
Updates der Richtlinien
Das Intervall für die Synchronisierung liegt standardmäßig bei 90 Minuten zuzüglich einer zufälligen Zeit von 0 - 30 Minuten.
GPOEinstellungen in einer Gruppenrichtlinie wir in einer GPO (Group Policy Object) gespeichert.
18
- wird ein GPO in einer ADS einem Container zugewiesen wird nur ein Link auf das GPO im Container gespeichert
- GPOs können somit an mehreren Stellen gleichzeitig und sogar über Domänengrenzen hinweg genutzt werden.
Default Domain Policy
- gilt für alle Benutzer und Computer in der Domäne!Einstellungen werden auf untere Objekte weitervererbt.
Lokale Gruppenrichtlinien (GR=Gruppenrichtlinie/n)
-Clients (ab Windows 2000) die im Netzwerk ohne Active Directory betrieben werden, arbeiten standardmäßig auch mit GR! Problem: Können somit nur lokal konfiguriert werden.
-lokale GR werden überschrieben sobald Anmeldung an einer Domäne erfolgt. Dort werden dann die gesetzten Richtlinien überschrieben!
-können nicht über Gruppen zugeordnet werden, gelten für alle Benutzer des lokalen System die Leserecht auf diese Richtlinie haben
Gruppenrichtlinien werden im Verzeichnis "%SYSTEMROOT%\System32\GroupPolicy" abgelegt!
Setzen von Dateizugriffberechtigungen können Accounts von der Benutzung dieser Richtlinien ausgeschlossen werden
über "Verwaltung" -> "Lokale Sicherheitsrichtlinie" können lokale GR bearbeitet werden. aber nur die Sicherheitsrichtlinien. Um alle Einstellungen bearbeiten zu wollen, geht man folgender maßen vor:
Die MMC starten
Datei -> "Snap-In hinzufügen/entfernen" auswählen und im Register "Eigenständig" -> "Hinzufügen" auswählen
Das Snap-In "Gruppenrichtlinie" auswählen -> "Hinzufügen"
"Lokaler Computer" -> "Fertigstellen"
19
Befehle: gpupdate /force - Richtlinien werden sofort synchronisiertLokal: gpedit => dort werden lokale Gruppenrichtlinien konfiguriert.
ADS Struktur für mehrere Standorte aufbauen – Purgaj
ADS-StrukturBetriebsmaster Ein Betriebsmaster ist ein DC, der eine Einzelmaster-Betriebsfunktion ausführt. Solche Vorgänge dürfen nicht auf mehreren DCs gleichzeitig auftreten. Der erste in der Gesamtstruktur erstellte DC übernimmt alle Einzelmaster-Funktionen der Gesamtstruktur und der Stammdomäne. Der erste in einer untergeordneten Domäne erstellte DC übernimmt die domänenbezogenen Einzelmaster-Funktionen. Alle Rollen können auf andere DCs übertragen werden. Schemamaster Einer in der Gesamtstruktur. Steuert alle Aktualisierungen und Änderungen am Schema. Bei Ausfall können Administratoren keine Änderungen am Schema durchführen, die Benutzer werden nicht beeinträchtigt. Übertragung in AD-Schema, nur wenn der alte Schema-Master endgültig ausgefallen ist. Domain Naming Master Einer in der Gesamtstruktur. Steuert das Hinzufügen und Entfernen von Domänen. Bei Ausfall können Administratoren keine Domänen in der Gesamtstruktur erstellen oder entfernen, die Benutzer werden nicht beeinträchtigt. Übertragung in AD-Domänen und Vertrauensstellungen, nur wenn der alte Domain Naming Master endgültig ausgefallen ist.
20
RID-Master Einer pro Domäne. Weist DCs der jeweiligen Domäne RID-Sequenzen zu. Eine RID-Sequenz ist Teil der SID von Benutzer-, Gruppen- und Computer-Objekten. Die SID (Security Identifier) setzt sich aus der Domänen-SID zusammen, die für alle Objekte in der Domäne gleich ist, und der RID, die innerhalb der Domäne eindeutig ist. Bei Ausfall können Administratoren keine neuen Objekte erzeugen, wenn der DC alle vorhandenen RIDs aufgebraucht hat. Benutzer werden nicht beeinträchtigt. Übertragung in AD-Benutzer und Computer, nur wenn der alte RID-Master endgültig ausgefallen ist. PDC-Emulator Einer pro Domäne. Arbeitet als Primärer Domänen-Controller in Domänen mit Computern ohne W2k-Client-Software oder mit DCs unter Windows NT 4.0. In einer W2k-Domäne im einheitlichen Modus ist dies der bevorzugte Empfänger von Replikationen von auf anderen DCs ausgeführten Kennwortänderungen. Bei einer fehlgeschlagenen Anmeldung aufgrund eines falschen Kennworts wird zunächst der PDC-Emulator befragt, bevor die Anmeldung abgewiesen wird. Übertragung in AD-Benutzer und Computer, kann unmittelbar nach Ausfall erfolgen und zurück übertragen werden, wenn der alte PDC-Emulator wieder online ist.Infrastruktur-Master Einer pro Domäne. Aktualisiert die Verweise von Gruppen zu Benutzern bei der Änderung von Gruppenmitgliedschaften und Objektnamen und verteilt die Aktualisierungen über die Replikation. Sollte auf einem Server liegen, der nicht den globalen Katalog enthält, da sonst Inkonsistenzen (Widersprüche) bei domänenübergreifenden Verweisen nicht identifiziert werden können. Sollte aber eine gute Verbindung zu einem globalen Katalog haben, möglichst im gleichen Standort, Ein Ausfall macht sich für Administratoren bemerkbar, die umfangreichere Änderungen in den Gruppenmitgliedschaften durchgeführt haben, die Aktualisierungen werden verzögert. Benutzer werden nicht beeinträchtigt. Read Only Domain Controller Ein zentrales Feature für Active Directory Domain Services in Windows Server 2008 sind Domänen Controller, auf die man nur lesend zugreifen kann (Read-only Domain Controller – RODC). Da ein RODC fast keine Passwörter enthält, bietet RODC auch einen Schutz vor dem Diebstahl der Serverhardware in Umgebungen, wo der DC physikalisch nur schlecht gesichert werden kann (z.B. Handelsfilialen). Zum RODC werden nur die Passwörter repliziert von den Benutzern, die sich an dem Standort einmal angemeldet haben. Diese Konten können zentral ermittelt werden unf ggf. einfach gesperrt werden. Außerdem kann man definieren, was zu einem RODC repliziert wird. Kernfunktionalität: Der RODC stellt einen vollwertigen Domain Controller dar. Allerdings kann von dem Controllertyp nur gelesen werden. Schreibende Zugriffe auf die Active Directory DS-Datenbank werden unterbunden. In der ADS-Datenbank werden keine sicherheitskritischen Daten und Attribute hinterlegt. (z. B. Kontokennwörter). Der Domain Controller kann nur unidirektional repliziert werden. Um Daten zu ändern, muss also der Domain Controller verändert werden, von welchem aus der RODC repliziert wird. Für die Administration des RODC können eigene Rollen vergeben werden, somit ist die administrative Wartung delegierbar. Zusätzlich verfügt der RODC über einen schreibgeschützten DNS.
Aufbau einer ADSDomänenDomänencontrollerClients
21
ADS Replikation - Kleckner
Sofortige ADS Replikation erzwingenUm Änderungen im Active Directory gleich zu sehen und anzuwenden stehen verschiedene Werkzeuge zur Verfügung.
Die schnellste Möglichkeit, eine sofortige Synchronisation aller AD-Standorte zu erzwingen ist, das Konsolenprogramm repadmin aus den Support-Tools.
repadmin /syncall /force
Man kann auch manuell zum Server gehen in Active Directory Standorte und Dienste
Server auswählen
NTDS Settings
Replikationsver-bindungen werden angezeigt
rechte Maustaste
jetzt replizierenInfrastrukturmaster übertragenUm den Infrastrukturmaster auf einen anderen DC zu übertragen muss man die entsprechenden Rechte besitzen: Dömänenadministrator oder Organisationsadministrator!Im Snap in Active Directory-Benutzer und -Computer muss man mit dem Menü der rechten Maustaste die Option Verbindung mit Domänencontroller herstellen wählen und den Namen des Domänencontrollers angeben der die Funktion des Infrastrukrurmasters übernehmen soll. In der Konsolenstruktur wählt man danach Alle Tasks, und klickt auf Betriebsmaster, im Registerreiter Infrastruktur kann man dann über die Option ändern den Vorgang aktivieren. Alternativ kann auch ntdsutil verwendet werden.
22
PDC-Emulatorfunktion übertragenUm die PDC-Emulationsfunktion zu übertragen öffnet man das Snap in Active Directory-Benutzer und -Computer.In der Konsolenstruktur mit der rechten Maustaste auf Active Directory-Benutzer und -Computer, klicken und die Option Verbindung mit Domänencontroller herstellen wählen. Unter der Option „Geben Sie den Namen eines weiteren Domänencontrollers ein“ wird der Zielcomputer angegeben der die Funktion erhalten soll. In der Konsolenstruktur kann man nun mit der Option Alle Tasks unter Betriebsmaster auf dem Registerreiter PDC den DC mit der PDC Emulation ändern. Man muss mindestens Domänenadmin oder Organisationsadministrator sein, um diese Änderungen durchführen zu können.Alternativ kann man das Ganze auch über die CMD mit dem Tool ntdsutil realisieren:
1. Komandozeile öffnen 2. ntdsutil3. roles4.connection 5.connect to server >>Server<< 6. quit
Replikation des globalen KatalogsDie Replikation des globalen Katalogs stellt sicher, dass
die
23
Benutzer in der kompletten Gesamtstruktur schnellen Zugriff auf Informationen zu jedem Objekt in der Gesamtstruktur haben. Die Standardattribute des globalen Katalogs stellen eine Grundlage der am häufigsten gesuchten Attribute dar. Diese Attribute werden im Rahmen der regulären Active Directory-Replikation auf den globalen Katalog repliziert.
Konfiguration vom ausgewählten DC replizieren: DC1 holt Info. von DC2
Konfiguration auf ausgewählten DC replizieren: DC1 spielt die Info. auf DC2
ADS Replikationen (standortübergreifend)
Active Directory behandelt die Replikation zwischen Standorten anders als die Replikation innerhalb von Standorten, da die Bandbreite zwischen Standorten in der Regel eingeschränkt ist. Die KCC von Active Directory erstellt die standortübergreifende Replikationstopologie mithilfe eines möglichst kostengünstigen Strukturalgorithmusentwurfs. Die standortübergreifende Replikation ist für eine optimale Nutzung der Bandbreite ausgelegt, und die Verzeichnisaktualisierungen zwischen den Standorten werden automatisch anhand eines konfigurierbaren Zeitplans ausgeführt. Verzeichnisaktualisierungen, die zwischen den Standorten repliziert werden, werden komprimiert, um Bandbreite zu sparen.Active Directory erstellt automatisch die effizienteste standortübergreifende Replikationstopologie anhand der Informationen, die zu der Standortverbindungen eingeben werden. Im Verzeichnis werden diese Informationen als Standortverknüpfungsobjekte gespeichert.
Einstellungen in Active Directory-Standorte und -DiensteAls erstes werden die neuen Standorte eingebunden:
´
24
Als nächstes brauchen die Standorte Subnetze damit sie auch als Standorte definiert werden können. Unter WServ 2008 ist diese mit <IP-Adresse/Präfixlänge> einzugeben:
Die ausschlaggebende Konfiguration ist hierbei die Orte im Register Inter-Site (standortübergreifend) einzustellen. Man wählt einen Namen aus und die zwei Standorte die miteinander replizieren sollen:
Nachdem dies geschehen ist kann man alles feiner Einstellen, indem man in die Einstellungen von der Standortverknüpfung geht.
25
ADS Replikation KlecksProlog:
Wir haben eine Firma emuliert - Diese beinhaltet 3 Standorte. An jedem Standort befindet sich 1 Domain Controller. Man möchte das sich diese Standorte untereinander Replizieren.Repadmin /syncall / force ==> damit kann man alle Standorte miteinander replizieren
Was versteht man unter der ADS Replikation?2 Arten von Replikationstandort intern: standort extern: Intersite Transports?Ist die Replikation - Vorteil von Email, Empfänger braucht nicht Online sein, Mail wird auf SMTP Server gespeichert.Davon braucht man mindestens 2 Standorte dann setzt man die Kosten - vorgezogen wird derjenige mit den niedrigsten Kosten.
Was ermöglich sie Konkret?Alle W2003Server.die sollen nun die AD-Einstellungen von den anderen Standorten jeweils übernehmen, wenn auf einem was geändert wurde.
Inwieweit unterscheiden sich die Replikationen auf den selben Standorten?
Replikation unter unterschiedlichen Standorten?
Wie oft wird Standort Intern repliziert?SofortKCCKnowledge Consistent CheckerSchaut wie die Bandbreite von den Verbindungen an - um anhand dessen den kürzesten Weg zu finden.
Was heißt das konkret für unser Projekt?Alle dass was in der ADS sich befindet wird repliziert.Im DNS Server stehen die Eintragungen drinnen. Wichtigste Einstellung die man vom DHCP bekommt - Den richtigen Name Server bekommt man eingetragen. All das was im Sysvol sich befindet wird repliziert! Also keine servergespeicherten Profile!
Gewisse Dinge kann man nur ausgehend vom Betriesbmaster aus replizierenSchema - Änderungen können nur am Schemamaster erfolgen sonst kommt es zu konsistenzen. Ein Kennwort das geändert wird von einem Benutzer wird zuerst auf den PDC Emulator übertragen.
26
Replikation des globalen Katalogbeinhaltet Teilatributte von Objekteigenschaften. Sachen die Domänenübergreifend wichtig sind. Wie Z.B. Telefonnummer etc.
DNS - FraisslerEs geht grundsätzlich um einen Dienst der Hostnamen auflöst.Wichtig:Client würde ohne DNS nicht die Domäne herausfinden können.Wann besteht die Notwendigkeit das der Name Service funktioniert?Wenn sich der Client in die Domäne einfügen möchte.Durch den Name Service findet er die Domäne ganz gezielt wenn:
Der richtige DNS Server eingetragen ist.
Der der den Domänenname gehostet hat.
Forward Look Up Zone:Es wird so aufgelöst das ein Name gefragt wird und IP geschickt wird Reverse: UmgekehrtZonen in Forward und Reverse einteilen - und diese in primäre und sekundäre einteilen!Primär: Dateien werden lokal abgerufen - kann man komplett verwalten, Eigenschaften etcsekundären: Daten die gefragt werden, werden vom Primären geholt, muss auf den primären veweisen. - ist nichts anderes als ein BackUp einer primären Zone - dafür ist alles Read Only Domain Controller anzukreuzen. Bei Sekundären Zone muss man den NameServer des primären eintragen. Replikation kann auch eingestellt werden. Aktualisierungsintervall für den sekundären kann eingestellt werden. Bei primären muss man die Zonenübertragung durch ein Häckchen zulassen.Beim Projekt sind alle primär, wenn einer etwas ändert, wird es bei jedem geändert. Einfachste Variante in einem unsicheren Standort ist, DNS einrichten und alles vom primären replizieren lassen. In den meisten Fällen braucht man kein Reverse, bei manchen Programmen, Dateien ist es allerdings notwendig, dass der Name durch die IP herausgefunden werden muss.Reverse werden so viele eingerichtet wie man Sub-Netze hat. Name wird immer in gespiegelter weise angezeigt. Mail Server werden nicht über den Rechnernamen angegeben, mail ist ein A eintrag mit einer Rechneradresse. Mailserver bekommt immer einen MX Eintrag.MX Einrichten: A Eintrag einrichten - darin wird mail und IP eingerichtet - muss angegeben werden!!Danach einen MX Eintrag einrichten - wo man diese Daten dann eingeben muss. EinträgeA Eintrag, Point Eintrag, PTR Eintrag, NS Eintrag, SRV Eintrag (Für Client wichtig , LDAP = Anmeldedienst, Kerberos = Wie er es dann untersuchen kann)
Wie findet der Client den Domänenserver?In jeder Forward Look gibt es einen Verweis ganz nach oben, dieser wird automatisch erstellt im Zuge der Einrichtung. z.B. Leoben weiß wo er ist durch die Standort Einträge!
27
Wenn SRV nicht drinnen ist - den Anmeldedienst neu starten!Bei Cerberus muss eine einheitliche Zeit eingerichtet sein sonst streikt das ganze System.
DHCP– Zimmermann
Der DHCP Server ist dafür da Clients automatisch IP Adressen zuzuweisen, wenn diese auf Automatisch Beziehen eingestellt sind. Er kann nicht nur IP-Adressen vergeben sondern auch viele andere Dinge wie Standartgateway, DNS-Server, WINS-Server oder verschiedene Konfigurationen. Das zuweisen der IP Adresse folgt in 4 Schritten (DORA)
1.) DHCP DiscoverDer Client schickt eine DHCP Discover via Broadcast ans lokale Netz um die DHCP Server zu finden. Dieser Broadcast geht nur bis zum nächsten Router, außer es ist ein DHCP-Relay Agent eingerichtet
2.) DHCP OfferDer DHCP Server schickt via Unicast* eine gültige IP Adresse und parameter zur konfiguration an den Client. Sollte der DHCP Server eine Reservierung für die MAC-Adresse haben so wird ihm diese gesendet.
3.) DHCP RequestDer Client akzeptiert die IP-Adresse vom DHCP-Server oder verlangt sonst die IP-Adresse die er vorher hatte.
4.) DHCP AcknoledgeWenn die IP-Adresse die der Client haben möchte noch verfügbar ist, sendet der DHCP-Server eine Bestätigung an den Client danach kann der Client die IP-Adresse verwenden.
*Anmerkung: Pichler meint es ist alles ein Broadcast, in Wirklichkeit ist aber nur der DHCP Discover ein Broadcast.Leases:Die Leas Dauer gibt an wie lange der DHCP Server die IP-Adresse des Clients reserviert.Standartmäßig ist es 6h für Wireless und 8 Tage für Kabel. Wenn die Hälfte der Leasdauer vorbei ist versucht der DHCP Client die Leas zu erneuern, wenn der DHCP Server online ist startet die Leas von neuem, ist der Server aber nicht erreichbar versucht der Client es nach der Hälfte der Verbliebenen Leasdauer noch einmal. Sollte der Server noch immer nicht online sein nachdem 87,5% der Leasdauer verstrichen sind, versucht der Client einen neuen DHCP Server zu finden. DHCP Bereiche:Um IP-Adressen vergeben zu können müssen am DHCP Server Bereiche eingetragen werden, diese entsprechen dem Subnet. Von diesen Bereichen werden die IP-Adressen vergeben, in den Bereichen kann man noch Ausnahmen oder Reservierungen hinzufügen.DHCP Optionen:Die DHCP Optionen sind Einstellungen die dem Client mitgeteilt werden einige der häufigsten sind folgende:003 Router, 006, DNS-ServerDie Optionen können für den ganzen Server, für den Bereich, oder mithilfe von Reservierungen für einzelne Computer eingestellt werden. Bei den DHCP Optionen kann man noch auswählen für wen dies gilt, so gibt es Standard Optionen oder zum Beispiel Optionen für Clients die durch die NAP Prüfung gefallen sind.
28
RRAS– Falzberger X
29
RRAS– DajakajRouting and Remote Access Service, RRAS / Standort zu Standort VPN Verbindung Was ist das?
Es ist die Erweiterung eines privaten Netzwerke, dass Verbindung über gemeinsame Netzwerke oder ein öffentliches Netzwerk wie das Internet umfasst. Es ermöglicht Daten zwischen zwei Computern über ein gemeinsames oder öffentliches Netzwerk zu senden als wären diese beiden Computer über eine private Point-to-point Verbindung miteinander verbunden.
Wie kommt man dazu?
Mittels Server Manager - Rollen Hinzufügen - Serverrollen - Netzwerkrichtlinien- und Zugriffsdienste installieren, diese enthält unter anderen Routing und RAS.
Standort zu Standort VPN Verbindung in unserem Netzwerkprojekt
In unserem Netzwerkprojekt gab es 3 Standorte wovon eines die Zentrale war. Die VPN Verbindung wurde jeweils von den Nebenstandorten zum zentralen Standort gelegt. Der Gedanke dabei war eben, dass die Nebenstandorte sich mit der Zentrale leichter austauschen können.
Um das realisieren zu können wurde jeweils eine statische Route auf den Standorten erstellt
Danach wurden auf den Standorten jeweils eine "Wählen nach Bedarf" - VPN Verbindung erstellt
30
Was haben wir beachtet um eine "Wählen nach Bedarf" Verbindung zwischen den Standorten zu erstellen?
Beim Assistenten für eine Schnittstelle für Wählen nach Bedarf eine VPN Verbindung ausgewählt.
Danach gibt es die Möglichkeit zwischen 2 Protokollen:
Point-to-Point-Tunneling - Der Netzwerkverkehr verschiedenster Protokolle zu verschlüsseln dann mit einem IP-Header zu kapseln und so über ein IP-Netzwerk zu übertragen.
Layer-2-Tunneling-Protokoll (L2TP) - ermöglicht Verschlüsselung und Versendung verschiedenster Netzwerkprotokolle.
oder eben automatisch auswählen lassen, danach die richtige Zieladresse eingeben.Hat man mehrere VPN Verbindungen zum Computer kann man die Metrik auch einstellen, je niedriger der Wert desto höher die Priorität
Tunneling-Protokolle und die grundlegenden VPN-Anforderungen
Da sie auf dem PPP-Protokoll basieren, verfügen PPTP und L2TP über einige der nützlichen Features von PPP:
• Benutzerauthentifizierung: PPTP und L2TP übernimmt die Benutzerauthentifizierungs-Schemata von PPP - und zwar auch die später in diesem Whitepaper besprochenen EAP-Verfahren. Mit dem EAP-Protokoll (Extensible Authentication Protocol) unterstützen PPTP- und L2TP-Verbindungen eine große Zahl von Authentifizierungsverfahren (unter anderem Einmal-Passwörter und Smartcards).
• Dynamische Adresszuweisung: PPTP- und L2TP-Verbindungen unterstützten die dynamische Zuweisung von Clientadressen basierend auf dem NCP-Aushandlungsmechanismus (Network Control Protocol). IP verwendet zum Beispiel das Internet Protocol Control Protocol (IPCP) zu Aushandlung einer IP-Adresse.
• Datenkomprimierung: PPTP und L2TP unterstützen PPP-basierte Kompression. Die Microsoft-Implementierungen von PPTP und L2TP verwenden die Microsoft Point-to-Point-Compression (MPPC).
• Datenverschlüsselung: PPTP und L2TP unterstützten PPP-basierte Mechanismen zur Datenverschlüsselung. Die Microsoft-Implementierung von PPTP unterstützt die Verwendung von Microsoft Point-to-Point Encryption (MPPE), die auf dem RSA/RC4-Algorithmus basiert. Die Microsoft-Implementierung von L2TP verwendet IPSec-Verschlüsselung, um den Datenstrom zwischen VPN-Client und VPN-Server zu schützen.
31
• Schlüsselverwaltung: MPPE für PPTP-Verbindungen ist von dem Initialschlüssel, der während der Benutzerauthentifizierung erzeugt wird, abhängig. Dieser wird regelmäßig erneuert. IPSec für L2TP/IPSec-Verbindungen handelt während des IKE-Austausches explizit einen allgemeinen Schlüssel aus. Auch dieser wird regelmäßig erneuert.
WIndows Server 2003 unterstützt die folgenden PPP-Authentifizierungsprotokolle:
PAP, CHAP, MS-CHAP, MS-CHAP v2
Netzwerkrichtlinien-Server - Nahrgang
Netzwerkrichtlinienserver
Was ist ein Netzwerkrichtlinienserver?
Mit einem Netzwerkrichtlinienserver (NPS, Network Policy Server) kann man einfach Richtlinien für Clients erstellen. Im Folgenden werden Richtlinien für die Dienste NAP mit DHCP und VPN behandelt.
Was ist NAP?NAP (Network Access Protection) ist ein neues Feature von Windows Server 2k8, mit dessen Richtlinien man verhindern kann, dass Clients, die gegen bestimmte Richtlinien verstoßen, sich mit dem Server verbinden können.
Wie funktioniert NAP?Wenn ein Client sich zum Server verbinden möchte (egal in welcher Art und Weiße), muss er sich zuerst einer „Gesundheitsprüfung“ unterziehen. Das heißt, der „NAP-Agent“, der auf dem Client installiert ist, überprüft mit Hilfe von „System Help Agents“ (SHA), ob der Client die Richtlinien des Servers erfüllt. Erfüllt er diese jedoch nicht, kann er beispielsweiße auf einen Wartungsserver Zugriff bekommen, der den Client dabei hilft, die benötigten fehlenden Daten, die er nicht besitzt (z.B. Firewall, Virenscanner) zu bekommen.
Diese SHAs können übrigens auch selbst programmiert werden, falls es den gewünschten noch nicht gibt.
Netzwerkrichtlinienserver konfigurieren
Verbindungsanforderungsrichtlinien
Hier legt man fest, wann und wie sich ein Client zum Server verbinden darf.
Zeit/Wochentag
VPN/DHCP…
Netzwerkrichtlinien:
Mit den Netzwerkrichtlinien wird letztendlich festgelegt, welche Bedingungen zu einer Genehmigung oder einer Verweigerung des Zugriffs führen.
32
Betriebssystem
Zeit/Wochentag
Client/Server
…
Integritätsrichtlinien: Mit den Integritätsrichtlinien werden letztendlich die Bedingungen formuliert, die von einer Netzwerkrichtlinie ausgewertet werden. Hier wird insbesondere formuliert, welche Systemintegritätsprüfungen (SHV, System Health Validator) durchgeführt werden sollen.
Systemintegritätsprüfungen: Hinter diesem Stichwort verbergen sich die SHVs, die System Health Validators. Standardmäßig wird eine Systemintegritätsprüfung mitgeliefert, die solche Aspekte wie Virenpattern, Firewallstatus und dergleichen mehr auswertet.
Wartungsservergruppen: In Wartungsservergruppen werden diejenigen Server definiert, auf die ein Client Zugriff hat, wenn er als nicht zu den Richtlinien kompatibel erkannt wurde. Von diesen Servern kann sich der Client die benötigten Updates, Virenpattern etc. herunterladen.
DHCP Assistenten
RADIUS-Clients: Hier wird der DHCP-Server eingetragen
DHCP-Bereiche: Hier trägt man die gewünschten Bereiche ein, für die die Richtlinien gelten sollen. Wird keiner eingetragen, gelten die Richtlinien für alle Bereiche.
Computergruppen: Hier werden Benutzer und Computergruppen hinzugefügt, für die man die Richtlinien erlauben oder verweigern möchte.
Nach Abschluss der Assistenten werden Netzwerkrichtlinien erstellt:
Interessanter sind da schon die Änderungen an den Netzwerkrichtlinien.
kompatible DHCP-Clients
Kompatible Clients müssen die Integritätsrichtlinie NAP DHCP Kompatibel erfüllen, die ebenfalls vom Assistenten angelegt worden ist.
Kompatiblen Clients wird Vollständiger Netzwerkzugriff gewährt.
nicht kompatible DHCP-Clients
Nicht kompatible Clients erfüllen die vom Assistenten angelegte Integritätsrichtlinie NAP DHCP Nicht Kompatibel.
Nicht kompatiblen und nicht NAP-fähigen Clients wird Eingeschränkter Zugriff gewährt.
nicht NAP-fähige DHCP-Clients
Clients, die nicht NAP-fähig sind, erfüllen die Bedingung Computer ist nicht NAP-fähig, was sozusagen eine »eingebaute Bedingung« ist.
33
Konfiguration des DHCP-Servers
DHCP-Dienst aufmachen
IPv4 Eigenschaften, Bereich auswählen
Unter Bereichsoptionen „Standardmäßige Netzwerkzugriffsschutzrichtlinie“
VPN
Um VPN mit NAP zu verwenden, muss bei den VPN-Nutzern unter Eigenschaften – Einwählen – „Zugriff über NAP-Netzwerkrichtlinien steuern“ aktiviert sein.
VPN Einwahlbeschränkungen
Man kann eine RAS-Richtlinie erstellen, die für bestimmte Benutzergruppen wirkt (z.B. VPN-User). In diesen kann man gewisse Einwahleinschränkungen vornehmen, wie etwa, dass man nur an bestimmten Tagen und Uhrzeiten sich einwählen kann.
Es gibt drei Netzwerkzugriffsberechtigungen, die man im Benutzerprofil von VPN-Usern findet:
Zugriff gestatten
Zugriff verweigern
Zugriff über NPS-Netzwerkrichtlinien steuern; NPS ist der Network Policy Server, Sie haben ihn weiter vorn bereits kennengelernt.
Anleitung einer VPN-Richtlinie – manuell erstellen
Nachdem man den Netzwerkrichtlinienserver installiert hat, öffnet man ihn, klickt auf „Richtlinien“ und wählt mit der rechten Maustaste bei „Verbindungsanforderungen“ den Menüpunkt „Neu“ aus.
34
Zunächst wird man aufgefordert der Richtlinie einen passenden Namen zu geben und den Typ des Netzwerkzugriffes auszuwählen. In diesem Szenario wähle ich natürlich „Remotezugriffserver (VPN)“ aus.
Im nächsten Fenster können wir Bedingungen einstellen, wann die Richtlinie in Kraft gesetzt wird. Hierzu klicken wir auf „Hinzufügen“. Wir wählen eine „Tag- und Uhrzeiteinschränkung“ aus, und stellen diese wie gewünscht ein:
Das nächste Fenster können wir überspringen, da der VPN-Dienst auf unserem Server läuft, und die Authentifizierung auch auf demselben Server geschieht.
Im nächsten Punkt kann man verschiedene Authentifizierungstypen auswählen. Eine interessante Einstellung ist hier, dass man nur mit einer Smartcardauthentifizierung. Hierzu klickt man auf „Hinzufügen“ und wählt die gewünschte Option aus.
Das nächste Fenster kann man wieder überspringen. Zum Schluss wird noch eine Zusammenfassung der erstellten Richtlinie erstellt.
35
Im Netzwerkrichtlinienserver sieht man nun unter „Netzwerkrichtlinien“ zwei Richtlinien. Eine für das Verweigern, und eine für das Zulassen gewisser Verbindungen. Durch doppelklicken wählen wir zunächst die Richtlinie mit dem Zugriffstyp „Zugriff gewähren“.
Hier sieht man zunächst eine klare Übersicht über die Richtlinie. Die Richtlinie muss logischer Weiße aktiviert sein, und die Zugriffsberechtigung auf „Zugriff gewähren“ eingestellt. Der Typ des Netzwerkzgriffsservers muss hier noch auf VPN umgestellt werden.
In der Registerkarte „Bedingungen“ fügen wir die Optionen „Benutzergruppe“ und „Datum- und Uhrzeit“ hinzu und stellen die gewünschten Optionen ein.
Unter den Einschränkungen geben wir wieder die Smartcard als Authentifizierungsmethode an.
Damit beenden wir diese Richtlinie und widmen uns der nächsten.
In der nächsten Richtlinie muss wie gewohnt die Richtlinie aktiviert, und der Typ des Netzwerkzugriffs
auf VPN gestellt sein. Für diese Richtlinie muss allerdings die Zugriffsberechtigung auf „Zugriff verweigern“ gestellt sein.
Wir stellen als Bedingung ein, dass ein Server sich nicht mit VPN verbinden darf. Hierzu wählt man unter
36
„Bedingungen“ den Punkt „Betriebssystem“ aus, geht auf hinzufügen und wählt den Punkt „Server aus“.
Mehr wollen wir hier nicht einstellen, also klicken wir auf OK um die Richtlinie zu speichern.
Bei der Integritätsrichtlinie wählt man eine SHV aus und, wann der Client überprüft werden soll.
Die SHV lasst sich unter „Systemintegratätsprüfungen“ einstellen. Hierzu macht man einen Doppelklick drauf.
Klickt man auf „konfigurieren“ sieht man zwei Registerkarten. Windows Vista und Windows XP.
Der Unterschied besteht lediglich darin, dass Windows Vista einen Spywareschutz mit dabei hat, Windows XP hat diesen nicht. Für Windows 7 und den zukünftigen Windows OS‘ wird auch die Registerkarte von Vista verwendet.
Hier kann man also einstellen, welche Sicherheitsmaßnahmen die Clients erfüllen sollen, damit sie sich in das Netzwerk verbinden kann.
Ganz wichtig ist, dass man nach der Konfiguration sicherstellt, dass die gewünschten VPN-Benutzer auch die richtigen Einwahloptionen besitzen.
Standardmäßig sollte zwar die Option „Zugriff über NPS-Netzwerkrichtlinien steuern“ ausgewählt sein, aber unter Windows Betriebssystemen weiß man ja nie.
37
Interne Struktur der Standorte in der ADS– Winkler
Struktur in einer ADS abbilden Winkler
Werkzeuge:OU'sBenutzergruppen
OU's:
Für jede Abteillung nimmt man eine OU, bei unter Abteilungen nimmt man weiter OU's.
Für was kann man OU's nutzen?Um Gruppenrichtlinen zu vergebenVerwaltungsaufgaben deligieren:Das bestimmter User für sämtliche Objekte in der OU verantwortlich sind.Wie macht man das? Standardmäßig macht es der Administrator
Welche Arten von Gruppen gibt es?universaleglobaleVerteilerBenutzer
Interne Struktur der Standorte in der ADS abbilden (OUs, GPOs, Verwaltungsaufgaben delegieren)
Abbildung des UnternehmensIm Active Directory bildet man die Struktur des Unternehmens bzw. der Organisation ab, beispielsweise so, wie in diesem Organigramm:
38
Man muss sich natürlich nicht an solch eine Struktur halten, jedoch soll ein Verzeichnisdienst mehr als nur die Datenbank für Benutzernamen und Passwörter sein. Wenn ein Benutzer wissen möchte, wer alles in einer gewissen Abteilung arbeitet, so kann er das im Active Diretory nachschauen. In der Praxis ist das für einen „normalen“ Benutzer allerdings nicht so leicht durchschaubar. Das Abbilden von Standorten ist nicht zwingend notwendig, dafür gibt es verschiedene Konfigurationsmöglichkeiten unter Sites/Standorte.Für das Abbilden von Standorten gibt es drei Gründe:
Für einen Benutzer ist es eine wichtige Orientierungshilfe Es können Administrationsaufgaben für einzelne OUs vergeben werden Für Standorte können unterschiedliche Gruppenrichtlinien verwendet werden.
Um Standorte in eine logische Struktur einzubinden gibt es natürlich viele Möglichkeiten:
Eine Unternehmensstruktur mit Standorten als erstes Gliederungsmerkmal:
Alternative Struktur, die Fachbereiche als primäres Gliederungsmerkmal verwendet:
Im ersten Beispiel ist der Standort der erste Gliederungspunkt, im zweiten Beispiel ist der Standort erst zum Schluss. Es sind alle Formen möglich, es kommt auf die Anforderungen an.Übersichtlichkeit und VerwaltbarkeitFragestellung: Soll man die Unternehmensstruktur lieber mit Domänen oder OUs abbilden?Erstes Beispiel:Abteilungen/Bereiche, die als Domäne implementiert werden, sind mit einem Dreieck gekennzeichnet, Organisationseinheiten ohne Dreieck werden als OU eingerichtet
Vorteile: Zwischen Domänen ist
der Replikationsverkehr viel geringer als innerhalb von Domänen. Das könnte ein Vorteil in diesem Beispiel sein, da es von vier Standorten ausgeht.
Man kann den Standort eines Servers an seinem Namen erkennen
Nachteile: Der administrative Aufwand wird erhöht, da jede Domäne einzeln administriert
werden muss. Gruppenrichtlinien könne nicht zwischen Domänen vererbt werden. Mindestens ein Domänencontroller pro Domäne ist notwendig, aus
Redundanzgründen eigentlich sogar zwei pro Domäne.
39
Die Vorgehensweiße, wie im ersten Beispiel, macht nur dann Sinn wenn ein Unternehmen 100.000 PC-Arbeitsplätze hat, bei weniger Arbeitsplätzen wäre es nicht sehr sinnvoll.Zweites Beispiel:realistisches Szenario, hier gibt es ganz oben eine Root-Domäne, darunter Domänen für jeden Standort und weitere Strukturierungen erfolgen mittels OUs.
Voraussetzungen für die sinnvolle Nutzung dieses Beispiels:
Die einzelnen Standorte werden weitgehend autark administriert
Der Replikationsverkehr zwischen den Standorten soll auf ein Minimum begrenzt bleiben.
Drittes Beispiel:Für die gesamte Organisation wird eine einzige Domäne eingerichtet.
Da an jeden Standort mindestens ein Domänencontroller vorhanden sein muss, werden hier nicht weniger Server als im zweiten Bespiel benötigt. Der Administratoraufwand ist in diesem Beispiel jedoch am geringsten, da die Gruppenrichtlinien Vererbungen nutzen können.StandorteDie physikalische Struktur ist recht schnell erklärt. Es gibt den Begriff des Standorts – fertig. In der englischsprachigen Literatur spricht man übrigens von „sites“.Ein Standort wird durch ein oder mehrere IP-Subnetze definiert.Standorte und DomänenDer Zusammenhang zwischen Standorten und Domänen:Im ersten Beispiel sind Standort- und Domänengrenzen identisch.
Im zweiten Beispiel befinden sich mehrere Domänen an einem Standort. Wenn zwischen den Standorten eine sehr schnelle WAN-Verbindung vorliegt, könnte man nur einen Standort definieren und hätte somit einen geringeren Administatoraufwand. Im dritten Beispiel erstreckt sich eine Domäne über mehrere Standorte. Das macht vor allem in mittelgroßen Organisationen Sinn.
40
Standorte konfigurierenDas Active Directory muss in der Lage sein, problemlos und zuverlässig den Standort eines Mitgliedsservers oder eines Clients ermitteln zu können. Die einfachste Möglichkeit ist die Auswertung der IP-Adresse des jeweiligen Geräts. Darum müssen bei der Abbildung zuerst die IP-
Subnetzte erfasst werden. Die Konfigurationsarbeiten werden im Werkzeug „Active Directory-Standorte und –Dienste“ vorgenommen.Erfassung der IP-Subnetze:
Hinter der eigentlichen IP-Adresse wird die Länge der Subnetzmaske in Bits angegeben. Zwei Beispiele:
Die Subnetzmaske eines Class-C-Netzes, also 255.255.255.0, ist 24 Bit lang. Die Subnetzmaske eines Class-B-Netzes, also 255.255.0.0, ist 16 Bit lang.
Im nächsten Schritt werden die Standorte (Sites) angelegt. Für die Beziehung zwischen IP-Subnetz und Active Directory-Standort gilt:
Ein Standort kann mehrere Subnetze umfassen. Ein Subnetz kann immer nur an einem Standort sein.
Standorte werden insbesondere für die Optimierung der Replikationsvorgänge oder für die Zuweisung von standortbezogenen Gruppenrichtlinien eingerichtet. Mit Hilfe von Sites können Clients den nächstgelegenen Domänencontroller identifizieren. Alle in einem Standort befindlichen Domänencontroller können über eine schnelle Verbindung kommunizieren. Jeder Domänencontroller muss mit jedem anderen kommunizieren können.
41
Anlegen eines neuen Standorts:
Sofern keine weiteren Standortverknüpfungsobjekte definiert sind, kann auch nur der Name des Standorts eingetragen werden. Ohne weitere Konfiguration ist der Standort noch unverbunden. Im Eigenschaftendialog eines angelegten Subnetzes, kann es einem Standort zugeordnet werden:
Wenn man aber alle Subnetzte die zu einem Standort gehören anzeigen will, geht das im Eigenschaftendialog des Standorts:
In einem gerade installierten Active Directory existiert immer ein Standort namens „Standardname-des-ersten-Standorts“. Dieser Standort kann problemlos umbenannt werden.Ein Domänencontroller der im „falschen“ Standort angezeigt wird, kann sehr einfach verschoben werden. In „Active Directory-Standorte und –Dienste“ gibt es die Funktion Verschieben, mit der der Domänencontroller in jeden Standort verschoben werden kann.
42
WSUS, Windows Firewall - Flock
WSUS und Firewall FlockWindows Server Update ServiceFür was braucht man den WSUS Server?2 Funktionen:Einerseits kann man die Updates Zentral vom Server runterladenAndererseits dass man den Clients diese Updates Zentral zur Verfügung stelltInstallation von WSUSMan braucht mindestens 6 GB für den WSUS ServerDie neueste Form vom WSUS ist ein Verwaltungssnapin ab der Version 3
Bei unseren Projekt findet der WSUS Server auf der Zentrale stattMan kann Updates testen, auf bestimmte Abteilungen gespielt. Die und die Updates werden dann freigegeben. Wie kooperieren die WSUS zwischen den Standorten?Wie bringt man die Clients dazu dass sie sich die Updates wirklich holen?Beim Client gpedit und dann unter Computerkonfiguration etc Administrative Vorlagen bis zu Automatische Updates. Häckchen der ersten Kofingurationsoption auf aktiviert setzen.Oder eine neue Gruppenrichtlinien erstellen - wäre einfacher!Wie realisiert man WSUS mittels Gruppenrichtlinien?
43
Novell
Verwaltungswerkzeuge (Fraißler 18.5.11)
Netwerkadministrator
älteste Tools, keine Unterkategorien - arbeitet mit einer 1-Fenster Technik - unübersichtlichConsoleOne
lässt sich lokal installieren - Client oder am Server, ist praktisch, Groupwise und ZenWorks7 kann man nur mit ConsoleOne verwenden. Frei downloadbar man kann Applikationsobjekte von dritten damit verwalten. Zusatzmodule werden mit der installation von GroupWise in die ConsoleOne eingefügtVerwaltbare Objekte werden angezeigt - bei ? fehlt ein SnapInIMonitor
webbasierend, mit jeden beliebigen Browser benutzbar - erreichbar unter http://server-adress8008/nds erreichbar bzw bei https -.-8009/nds
Gesundheitszustand vom Server - Grün, Orange, Rot je nachdem inwiefern die Prozesse nicht funktionieren, leuchtet es dementsprechend.
Teile der gesamten NDS sind auch auf den anderen Servern abgelegt
DS-Repair: Alle Objekte haben einen Zeitstempel und es ist eine objektorientierte Datenbank, Probleme wären Inkonsistenten, Zeitsteuerungsprobleme / ist ein Kommandozeilentool und ist eingebaut in den Imonitor
ImanagerHaupttool - kann damit alles bis auf GroupWise damit konfigurieren https://server-adress/nps/iManager.htmlDHCP, IPrint, Edirectory Objekte verwalten, RBS (rollenbasierte Services - jeder Benutzer braucht gewissen Rollen um gewisse Dinge ausführen kann wie z.B. in gewissen Containern Benutzer anlegen) Ein RBS Benutzer hat eine eingeschränkte SichtRemote Managerist ebenfalls Browsergesteuertdamit kann man Volumes mounten, Speicher vom Server verwalten, Zugriff folgt über https://IPAdress:8009 - über die Welcome Page kommt man zu all diesen ToolsWan setzt man Remote oder IManager an?Remote Manager bei Hardware; IManager bei eDirectory Dateien
44
VerwaltungswerkzeugeMan braucht nur wissen, dass es das Programm gibt und, dass es veraltet und unübersichtlich ist.
NetWare Administrator
Das alte Verwaltungstool für nur Netware Server
o eDirectory Dateien erstellen
o Kann mit neueren Objekten
nicht umgehen
o Bewegen und umbenennen
von Objekten
o Verwendet die alte Art des q
based printing
o Nwadmn32.exe => Befindet
sich in Sys:\Public\Win32
o Hat eine Ein-Fenstertechnik.
Alle Objekte sind darin
angeordnet und man verliert
die Übersicht
ConsoleOne
lässt sich lokal installieren. Ist aber auch schon nichtmehr ganz neu.
Man braucht es für zenworks
o Man kann sie auch direkt am Server aufrufen oder am Client.
o Üblich ist sie Lokal oder über einen entsprechenden Link vom Server.
o Es ist Java basierend.
o Man kann damit das eDirectory und auch Zenworks administrieren.
o Sie kann mehrere Objekte verwalten
o Freidownloadbar
o Theoretisch braucht sie keinen Novellclient, also für Drittanbieter programme
braucbar
o Zenworks 10 und 11 sind allerdings nur mehr webbasierend
o GroupWise kann mit ConsoleOne ganz verwaltet werden.
45
o Zusatzmodule (Snap-In)
Novell iMonitor
Um Einstellwerte und Gegebenheiten zu beobachten. Es lässt das ganze Webbasierend
anzeigen.
o Es lässt die Diagnose und
Einstellwerte webbasierend zu.
o Theoretisch mit jedem beliebigen
Browser benutzbar
o Man kann einen
Gesundheitszustand des Servers
anschauen:
Grün = alles passt;
gelb = kritisch aber nicht gefährlich;
rot = Behebung ist erforderlich;
o Schema-Browser => Aus was bestehen welche Dateien?
o Partition list => hier wird die Partition list des Baumes angezeigt, nicht von
einer Festplatte
o DS Repair => Alle Objekte haben einen Zeitstempel, dieser wird verwendet um
zu aktualisieren oder um zu überprüfen ob manche Manipulationen möglich
sind.
o http://server_address:8008/nds
o Statt 8008 ist auch 8009 (https) möglich
iManager
Das „Haupttool“
Netware oder Linux OS Server sind hier verwaltbar.
https://server_address/nps/iManager.html
o Er ist Browsergesteuert.
o Einige Verwaltungsmöglichkeiten:
DNS
DHCP
iPrint
46
eDirectory
Rollen basierte Services (RBS)
NSS storage
Die rollenbasierten Services (RBS) weisen innerhalb von eDirectory die Rechte zu, die
zur Durchführung von Aufgaben
erforderlich sind.
Um bestimmte Vorgänge
durchzuführen, müssen Sie im
eDirectory-Baum über bestimmte
Rechte verfügen.
Wenn Sie einem Benutzer eine Rolle
zuweisen, weist RBS die Rechte zu,
die zur Durchführung der Aufgaben dieser Rolle erforderlich sind.
Remote Manager
Der Remote Manager ist ebenfalls Browsergesteuert.
Man kann die Gesundheit des Servers überprüfen.
Man kann Volumes anzeigen und mounten.
Server Konsolen Befehle ausführen
Man kann Rechte vergeben
Den Speicher vom Server verwalten
Zugriff mit: http://IP_Adress:8008
https://IP_Adress:2200
47
Allgemeines zum eDirectory (Kleckner 30.5.11)relationale Datenbank, Objektorientiert
Allgemeines zu eDirectory KlecknaWas ist das?Eine relationale objektorientierte hierarchische Datenbank Was macht der Baum?Er fragt zunächst wo der Benutzer also der Admin ist und wo der Fileserverkontext ist.In dieser Organisation gibt er all seine Objekte rein. Es gibt Dienste die mit dem eDirectory automatisch mitinstalliert werden, iFolder.
Man spricht von eDirectory der NDS version 8
Netware 5, Windows NT/2000, Linux/Unix, Solaris
Unterstützt: LDAP, DNS, XML und ADS
Setzt sich aus Directory Service Agent und dem Directory Clients zusammen
DSA Enthält Verzeichnis
LDAP oder NDAP Damit kann man auf den
Verzeichnisdienst zugreifen Directory Clients
Ermöglicht Novell-Produkten Zugriff auf das eDirectory In 3 Ebenen aufgebaut
Physical plane Physikalisch aufgebautes Verzeichnisdienst
Logical plane was der Admin bei der Verwaltung sieht
48
Schema plane Beschreibt die Objekte (Benutzer, Gruppen, Drucker,
Datenbanken, Anwendungen, Router und Fileserver) Der "Baum" weist eine hierarchische Struktur auf und beinhaltet tree
objects und container objects Der Tree zeigt den logischen Aufbau der Datenbank Existiert nur einmal im Server Beinhaltet weitere Container Container Objekte beinhalten Leaf oder andere Container Sie dienen zur organisation des Directorys Folgende Objekte können Vorkommen:
Country Domain Licence Container Organization OU Security Container
Benutzerverwaltung (Flock 23.5.11)
unter ConsoleOne:Erster Schritt: Die Konsole One öffnen, und den markierten Button drücken.Dann den Namen eingeben:Wenn man will kann man auch noch eine Schablone oder ein Basisverzeichnis hinzufügen.
Dann das PW wählen:In diesem Falle „borg16“.
Nach dem Erstellen findet man den User hier auf:
Dann auf den User rechtsklick Eigenschaften:Hier findet man die Reiter Allgemein, Zenworks, Fernverwaltung, Beschränkung, Mitgliedschaften,Sicherheit, Anmeldeskript, NDS-Rechte etc......Im Reiter Allgemein kann man alle Daten des Users eintragen (z.B. Titel, Telefonnummer, Adresse)
Beschränkunge:nMan kann einstellen dass ein Kennwort erforderlich ist.Mindestlänge kann definiert werden.Periodische Passwortänderung (Alle 14 Tage muss das PW geändert werden)
49
Eindeutige Passwörter: Man hat 8 Verschiedene Passwörter. Mann kann einstellen in welchenIntervallen man das Passwort braucht.Kulanzanmeldungen: Man kann sich mit abgelaufenen Kennwort anmelden aber er zählt runter,das heißt man kann sich damit 6(änderbar)mal anmeldenKonto deaktivierenKonto hat Ablaufdatum: Man kann ein Datum eingebenParallele Verbindungen beschränken: Wie oft kann man sich gleichzeitig anmelden.Zeitbeschränkungen: Wann man sich anmelden kannAdressbeschränkungenUnbefugte Benutzer: Nur über Container einstellen – ProtokollmäßigKontostand: unüblich man kann unbegrenzten Kredit einstellen
Mitgliedschaften:Man kann hier über hinzufügen eine Gruppe hinzufügen – Dann wäre eineGruppenmitgliedschaft gegeben – Man sollte nicht in zu vielen Gruppen drin sein damit nicht zulange Suchzeiten entstehenSicherheitsäquivalenten – Man kann hier einen Benutzer hinzufügen – solange dieser Userexistiert kann man alles machen was der auch kann – Wenn man deren Eigenschaften verändertwerden die eigenen auch verändert – wenn man ihn löscht wird man allerdings selbst auchgelöscht
Sicherheit entspricht mir:Hier kann man dann die gewünschten Objekte auswählen.
Anmeldeskript:Profilobjekt: Gruppenloginskript Wenn ein Benutzer an so einem Profil einteilig ist steht dasauf derselben Seite – Man würde hier eins auswählen können und könnte ein persönlichesAnmeldeskript machen können.
NDS-Rechte:Wer mit welchen Rechten an den Objekt teilnimmt ( Wer darf mit dem Objekt was machen)Filter für vererbte RechteEffektive Rechte – Was darf er nun wirklich bzw. was hat er nun wirklich
Sonstiges:Im e-Directory gibt es unterschiedliche Objektklassen und eine Objektklasse setzt sich ausmehreren Teilbereichen zusammen.Man kann damit sehr leicht seine Objektklassen erweiternDort macht man normalerweise nichts.
Rechte auf Dateien und Ordner:NDS RechteDateisystemrechteWird beides unterschiedenMan kann hier gewisse Tätigkeiten voraus programmieren. (z.B. Schablone)
Mit der Console One kann man auch eine neue Benutzerschablone. Die Benutzerschablone bietetden Vorteil dass man schnell viele ähnliche Benutzer zu erstellen.Zum erstellen eines neuen Objekt hier klicken:Dann „
50
Dann „Template“ für eine Schablone auswählen:
Dann den Namen der Schablone angeben.Weiters kann man auswählen ob man eine Schablone oder einen Benutzer verwenden will.Und zum Abschluss kann man noch die „Zusätzlichen Eigenschaften definieren“.
Rechtsklick auf die „flock-schablone“Im Reiter Allgemein kann man das Basisverzeichnis auswählen. In unserem Fall „NW65-ROS04_DATA2.borg“.
Hier kann man die Passwortbeschränkungen einstellen:
Bei diesem Reiter ist einzustellen was der User darf bzw. was er nicht darf (Rechte)Hier stellt man ein wo und wie viel der User speichern darf (In meinem Fall ROS02-DTAT2):
Hier kann man einen neuen Benutzer einer Schablone machen. Der neue Benutzer erhält auch einHome Directory. (Es werden alle Eigenschaften der Schablone übernommen)
Es ist auch möglich die Eigenschaften mehrerer User gleichzeitig zu bearbeiten.Zum Löschen des Users markieren und entfernen drückenNach dem Erstellen findet man den User hier auf.
iMangaerUm zu Beginn überhaupt in den iManager zu gelangen, muss man mit Hilfe eines Web-Browsers diegewünschte URL eingeben und sich anschließend mit seinem Benutzernamen und Passwortanmelden. Danach wählt man auf der linken Seite den Reiter „Benutzer“ aus.In meinem Szenario erstelle ich einen Benutzer.Für diesen Versuch wähle ich den Benutzernamen „flock3“ und den Kontext der aufscheint.Nach dem erfolgreichen Erstellen erscheint dieses Fenster.
Will man dem Benutzer weitere Informationen anhängen, so muss man auf „bearbeiten“ klicken.Nun öffnet sich ein Fenster mit diversen Reitern. Beim ersten Reiter kann man beispielsweisefestlegen welche Telefonnummer und Email-Adresse der User hat.
Außerdem kann man angeben, wie man an den blauen Links erkennen kann, welcher Gruppe derUser angehört und welches Anmeldeskript für ihn verwendet wird. Diese Punkte könnten evtl. ineiner großen Firma von Vorteil sein.Hilfreich kann auch sein, das Volumesverzeichnis für den User anzugeben.
Wenn man den Reiter „NMAS-Anmeldemethode“ auswählt, kann man das eDirectory-Passwort
51
festlegen, oder das Passwort deaktivieren.
Im Reiter „RPM“ kann ein gewünschter Drucker konfiguriert beziehungsweise bearbeitet werden.
Im Reiter „Zertifikate“ ist es möglich ein Zertifikat zu erstellen, zu importieren bzw. zu exportieren.
Im Reiter „Beschränkungen“ kann man die ganzen Beschränkungen festlegen. SprichPasswortänderung, wie lange ein Passwort sein muss, wann das Passwort erneuert werden muss,etc..
Üblicherweise hakt man „Passwort anfordern“ an.Im selben Reiter kann man auch noch einstellen wie viele Parallel Verbindungen möglich sind. Alsowie oft man sich gleichzeitig auf ein Benutzerkonto anmelden kann.
In meinem Fall habe ich die maximalen Verbindungen auf 1 gesetzt. Evtl. handelt es sich in einerFirma um einen Ferialpraktikanten, weshalb der Punkt „Ablaufdatum des Kontos“ hilfreich ist.Ich erstelle testmäßig nun eine Schablone. Einfach auf eDirectory und dann Objekt erstellen drücken.
Dann „Template“ für Vorlage auswählen und Ok drücken.Nun den entsprechenden Namen und den Kontext eingeben.Bei erfolgreicher Erstellung erscheint dieses Fenster.
Um die Schablone zu bearbeiten „Bearbeiten“ auswählen. Es erscheint folgendes Fenster. (Man siehtgleich bei einer Schablone kann man viel weniger einstellen als bei einem User.)
Den entsprechenden Reiter auswählen und das Volumeverzeichnis wieder auswählen.Zum Abschließen auf „Übernehmen“ drücken.Danach den Reiter Beschränkungen auswählen und die Passwort Beschränkungen konfigurieren. Indiesem Falle wieder die Mindestlänge auf 5 stellen.
Nur zur Information auf Sicherheit klicken.Nun erstellen wir einen neuen User mit Hilfe der Schablone.
Wieder alles ausfüllen.Bei „Aus Schablone oder Benutzerobjekt kopieren“ die „Flock2“ Schablone auswählen.
Bestätigung wird angezeigt.Und dieses Objekt kann man wiederum auch bearbeiten.
52
Dateisystemrechte (Nahrgang 18.5.11)Dateisystemrechte und Attribute Kai Welche Rechte gibt es überhaupt?
S - Supervisor / hat alle Rechte, kann S vergeben read write create erase filescan - Verz.Dat. sehen modify - Attribute ändern/umbennen access Control - kann alle Rechte vergeben außer S
Wo finden sie Anwendung?beziehen sich nur auf ein NSS Volume eines Servers!Aufgaben:
Ausführen von Dateien - R F Aus Verz. kopieren - R F In Verz. kopieren - WCF bezieht sich auf ein NSS Volume eines Servers Wiederherstellung gelöschter Dateien - C für das Verz, R F für die Datei
Welche Begriffe gibt es?TrusteeKai Fragen!
Vererbung: Rechte die im Dateibaum oben sind, werden an die davon ausgehenden unteren
Dateien weitervererbt Addieren
Wie wirkt es zusammen?AttributeEs gibt Attribute die auf Dateien wirken und Attribute die auf Ordner wirken und diese werden unterschieden!Unterscheidung zu Ordner gibt es ähnliche aber nicht die gleichenDiese gelten mehr auf ein Recht damit nichts unabsichtlich gelöscht wird.
Dateisystemrechte
Um Dateisystemrechte einzustellen, benutzen Sie eines der Admin Tools Netware Administrator oder Console One.
S- Supervisor alles
R- Read Dateiinhalt einsehen
W- Write Dateiinhalt ändern
C- Create Verz./Dat. erstellen
E- Erase Verz./Dat. löschen
53
F- Filescan Verz./Dat. sehen
M- Modify Attribute ändern/umbenennen
A- Access Control Rechte ändern / IRF ändern
Für bestimmte Aufgaben erforderliche Rechte:
Ausführen einer Programmdatei R F
aus Verz. kopieren R F
in Verz. kopieren WCF
Wiederherstellen gelöschter Dateien C für das Verz. und RF für die Datei
Regeln für die Dateisystemrechte
o Rechte addieren sich! o Oben im Dateibaum vergebene Rechte vererben sich automatisch an die
darunterliegenden Verzeichnisse/Dateien. o Vererbung kann durch den IRF blockiert werden, Ausnahme "S"-Recht und durch
"Neue Rechtevergabe"!
Datei-/Verzeichnisattribute
Um die Sicherheit des Systems zu garantieren, werden für Dateien und Verzeichnisse Attribute gesetzt. Nutzen Sie bitte hierfür die Programme Netware Administrator, Console One, Filer oder Flag.
DC= Der Ordner wird nicht komprimiert. => Allerdings heißt es das ein Zugriff auf den Ordner Platz braucht weil mans dekomprimieren muss. Aber es kann sein dass dadurch Datenverlust passiert weil man sie ausgepackt nur zwischenspeichert.
Migrate= auslagern. => Auf ein anderes Medium auslagern. Vorteil =Platz.Nachteil = Zeit.
Immediate Compress => Beim nächsten komprimierungslauf komprimieren. Bsp. Großer Ordner den man nicht so schnell wieder brauchen wird. Also soll der komprimiert werden.
Immediate Purge => gelöschte Dateien sind nicht wiederherstellbar
System => Der Ordner bzw. die Datei wird zu einer Systemdatei (kann nicht gesehen und verändert werden)
54
Rename Inhibit => Umbenennen verhindern
Read Only => löschen und verändern ist nicht erlaubtCopy Inhibit => Jeder der R und F hat kann eine Datei von dort wegkopieren. Funktioniert nur bei Mac, weils mehr unterscheidungen gibt als bei windows. Sublocation => Teilblockzuordnung => Dateien werden in Blöcken abgelegtShareable => Jeder kann auf das Dokument zugreifen, gleichzeitig und jeder kann es dann auch abspeichern. Bei Dokumenten ist das ein Problem weil der, der zuletzt abgespeichert hat, dann die gültige Version abspeichert. Bei Programmen ist es nutzvoller. Transactional => Verhindert dass etwas abgeschickt wird, aber nicht ankommt. Es sichert dass die Transaktionen ausgeführt werden, auch wenn der Computer dabei abstürzt.
Welche Dateisystemrechte gibt es? Welche rechte für welche aufgaben? Attribute für Dateien Attribute für Ordner
Bezeichnung Recht
S – Supervisor alles
R – Read Dateiinhalt ansehen
W – Write Dateiinhalt ändern
C – Create Verz./Dat. erstellen
E – Erase Verz./Dat. löschen
F – Filescan Verz./Dat. sehen
M – Modify Attribute ändern/umbennen
A – Access Control
Rechte ändern
Aufgabe Recht
Ausführen von R F55
Dateien
Aus Verz. kopieren
R F
In Verz. kopieren
W C F
Wiederherstellen gelöschter Dateien
C für das Verz., R F für die Datei
56
Drucken (Falzberger 23.5.11)
NDPS Novell Verteilte Druck-Services (NDPS) wurde entwickelt, um die Komplexitt bei der Verwaltung von Druckern in allen Arten von Netzwerkumgebungen zu bewltigen - angefangen von kleinen Arbeitsgruppen bis hin zu unternehmensweiten Systemen. NDPS ermglicht es Administrator Drucker zu erstellen, zu konfigurieren und zu verwalten, ohne dass man selbst an die Serverkonsole gehen muss. Man kann auch Drucker zur automatischen Installation auf die Benutzer-Arbeitsstationen bestimmen, ohne dass der Benutzer eingreifen muss. NDPS ersetzt die vorhandene warteschlangenbasierte Technologie. Es mssen weder Druckerwarteschlangen, Druckerobjekte oder Druckerserver einrichten noch muss man diese miteinander verbinden. Stattdessen konzentrieren sich smtliche Verwaltungsaufgaben auf den Drucker selbst, welcher als NDS-Objekt konfiguriert wird und auf den durch NetWare Administrator zugegriffen wird.Mit NDPS werden die Funktionen von Druckern, Druckwarteschlangen und Druckservern in einer einzigen Einheit, dem Druckeragenten, kombiniert. Druckwarteschlangen mssen nicht erstellt werden. Benutzer knnen Auftrge direkt an Drucker senden." Merkmale von NDPSo NDPS-fhige Drucker werden vom Netzwerk automatisch erkannt.
57
o Drucker werden zentral verwaltet(z.B. Papierstau, Tonermeldung per E-Mail).o Druckertreiber liegen in einer Datenbank auf dem Server.o Auch "Nicht-NDPS-fhige" Drucker werden untersttzt (Gateway).o Die Druckerbenutzung kann auf bestimmte Netzbenutzer eingeschrnkt werden.
IPRINTNovell iPrint ist ein Dienst von Novell, der es Benutzern einer Open Enterprise Server-Infrastruktur ermglicht von berall aus ber das Internet auf jedem Drucker zu drucken.IPrint Konfigurieren :" IManager starten " Um die Ansicht bersichtlicher zu machen die Funktion Drucken auswhlen sodass nurmehr Informationen rund ums drucken angezeigt werden " Unter dem Menpunkt IPRINT knnen jetzt zahlreiche Funktionen ausgefhrt werden
" Brokerist eine Software, die auf dem Server luft (BROKER.NLM)Der Broker bietet drei Netzwerkuntersttzungs-Services, die bisher nicht in NetWare verfgbar waren: den Service-Registrierungs-Service (SRS), den Ereignisbenachrichtigungs-Service (ENS) und den Ressourcen-Management-Service (RMS).Whrend diese Services fr den Endbenutzer unsichtbar sind, sollte der Netzwerkverwalter die Funktionen dieser Services kennen. NDPS verwendet diese Services folgendermaen:" Service-Registrierungs-Service Mit Hilfe der Service-Registrierung knnen Drucker mit ffentlichem Zugriff sich selbst bekanntgeben, damit sie von Administratoren und Benutzern gefunden werden knnen. Dieser Service verwaltet Informationen ber Gertetyp, Gertenamen, Gerteadresse und gertespezifische Informationen, wie z. B. Hersteller und Modellnummer. Siehe Service-Registrierungs-Service.
" Ereignisbenachrichtigungs-Service. Dieser Service lt Drucker benutzerdefinierte Benachrichtigungen ber Druckerereignisse und Druckauftragsstatus an Anwender und Operatoren senden. Der Benachrichtigungs-Service untersttzt eine Reihe von Sendemethoden einschlielich NetWare Popup, Protokolldatei, Email (GroupWise) und programmatisch. Siehe Ereignisbenachrichtigungs-Services.
" Ressourcen-Management-Service Mit diesem Service werden Ressourcen an einem zentralen Speicherort installiert und dann auf Clients, Drucker oder sonstige Netzwerkkomponenten, die diese bentigen, heruntergeladen. Der Ressourcen-Management-Service untersttzt das Hinzufgen, Auflisten und Ersetzen von Ressourcen, einschlielich Druckertreibern, Druckerdefinitionsdateien (PDF), Bannern und Fonts. Siehe Ressourcen-Management-Service.
58
Zenworks-Richtlinien (Dajakaj 30.5.11)axd-datei (welche dateien kommen vor? *.fil), aot-dateiEr schreibt alle Dateien lokal bei der ersten installation, in einen Ort im Novell Verzeichnis. Mit einem veränderten Namen 1,2,3.fil. Wenn alle da sind, dann geht er registry nochmal durch und schaut nach was dazugekommen ist. Die differenzmenge schreibt er auch auf. Dadurch weiß er, was die Applikation dann wirklich alles zu leisten hat. System kann nun merken… ah da fehlt was, soll ichs drüber kopieren?
3…. Nur bei windows Computern.
Reperaturmechanismen(!); roll out(!)(zb win updates); zenworks kann auch, wenn die geräte es unterstützen geräte aufzuwecken.
Novell ZENworks ist eine Softwaresuite, die von Novell entwickelt wird, um den gesamten Lebenszyklus von Servern, Desktop-PCs (sowohl Windows- als auch Linux), Laptops und Handhelds zu verwalten. ZENworks unterstützt unterschiedliche Server-Plattformen und Filesysteme um es dem Anwender zu ermöglichen, die Umgebung zu verwenden, die am besten zur bestehenden passt. Die meisten konkurrierenden Produkte decken nicht die Breite der unterschiedlichen Clientsysteme voll ab und zwingen somit den Kunden zu einer Single-Server-Plattform und/oder Filesystem.
Desktop Managementerlaubt Administratoren, Software zu installieren, konfigurieren, von einem Festplattenimage herüber zuspielen, inventarisieren und Ferndiagnose von Windows-basierten Workstations und Laptops von einer zentralen Position zu betreiben, mit Hilfe von Policy-betriebener Automation.
Softwarepakete, die über Desktop Management installiert werden, können selbstheilende Funktionen haben und können sich selbst bei Bedarf installieren.
59
Desktop Management unterstützt auch MSI Pakete und Group Policies, entgegen der allgemein verbreiteten Unwahrheit, dass Systemadministratoren Microsoft Active Directory brauchen und einen Windows Server, um die Technologien voll auszureizen.
Das Application Explorer utility (nalview.exe) stellt einen Novell Application Launcher (NAL) Sicht zu Verfügung um Anwendungen in die Microsoft Windows Desktop Anzeige zu verknüpfen.
Desktop Management Software kann sowohl innerhalb wie außerhalb von Firewalls arbeiten.
Über Application LauncherMan kann es verwenden, um Richtlinien auf einer Workstations zu verteilen. Diese täglichen Drill Downs erfolgen über die Verwaltung von Anwendungen mit dem ZENworks Application Launcher. Diese Komponente von ZENworks ermöglicht einem, die Mühe von Installation, Konfiguration und Umpackung von Anwendungen und liefert eine automatische Installation ohne manuelle Mühe
Wozu?Nutzer in Netwerken erwarten immer mehr Anwendungen und Updates dieser. Eine Installation über zum Beispiel eine CD-ROM ist keine logische Lösung in größeren IT-Strukturen.Die strategische Antwort darauf ist, die automatische Lieferung, Reperatur und Verwaltung dieser Anwendungen. Ebenso die Erhaltung und Verbesserung der Stabilität des Systems sowie die Notwendigkeit die Workstations auf ein Minimum zu besuchen.Anwendungen die mittels Application Launcer installiert werden sind von Fehlern nicht ausgeschlossen. Man könnte immer Fehler einbauen, was bedeuten kann dass die Anwendung konsequent über alle Arbeitsstationen falsch, bzw bei korrektem Installieren richtig installiert wird.Bei fehelerhafte Installation kann man einfach eine globale Korrektur errichten um auf sämtlichen Workstations das Problem zu beheben.
Über ZENworks Application Launcher eine der mächtigsten Funktionen von ZENworks. Es erlaubt einem, eine strategische Lieferung von Anwendungen in einer einheitlichen Art und Weise. Für Windows braucht man die Version ZenWorks 10, 11 damit es läuft.
Funktionen von Application LauncherApplication Launcher hat drei Hauptkomponenten
1. Snapshot-Tool: hilft einem zu verstehen, was während der Installation geschieht
erstellt AXD Dateien (Text File) und fil Dateien (Konfigurationsdateien)das Tool speichert all diese Dateien in ein bestimmtes Verzeichnis, bennent die Dateien allerdings anders (1.fil, 2.fil usw)Vor der Installation erfolgt ein Screening - dann wird die Installation durchgeführt -
60
danach screent er ein zweites Mal - Danach fragt er wo er die Application abspeichern soll.
2. Application-Object: ist in der NDS und hält alle Details über die Anwendungen
Kann es verwenden für Roll Outs: zb Windows Updates verteilen dabei kann man auch die Uhrzeit und Datum festlegen wann die Verteilung im Netzwerk erfolgen soll.
3. Workstation-Agent: läuft auf dem Client-PC und zeigt das Application-Object für den UserMan kann auswählen ob der Client das Object im Application Explorer sieht, oder nur am Desktop, ob er es ausführen darf.
Application-Objectwerden auf dem Client-Desktop angezeigt als wären sie normale Tastenkombinationen angezeigt. Das Objekt hält alle Information zum Ausführen der Anwendung bereit. Das Application-Object wird nicht durch ein Setup-Programm installiert bzw durch das kopieren an die richtige Position. Die Installation erfolgt mittels Registrierungsschlüssel und INI-Dateien die Konfigurationen beinhalten. Mittels Snapshot-Tool werden diese Konfigurationen erfasst und dieses Programm erstellt dann eine Datei mit der Liste der Änderungen. Mit diesen Einstellungen erfasst man dann das Application-Object. Außerdem erhalten die Application-Objects enthalten Informationen zur Installation sowie die Durchführungsinformationen. Entweder man stellt die Dateien über alle Server zur Verfügung oder von einem bestimmten. Der Basis Standort wird Source path genannt
Snapshot-Tool
Es erfasst welche Dateien sich auf dem Dateisystem geändert haben und diese Veränderungen werden in der Registration erfasst. Das Snapshot-Tool macht sich ein Bild vor und nach einer Anwendungsinstallation und vergleicht diese um Unterschiede zu finden. Diese Unterschiede werden dann in einer Datei gespeichert, um ein Application-Object zu erstellen.3 Möglichkeiten zum Ausführen vom Snapshot-Tool
Standard Custom: Mehr Flexibilität bei der Ausübung einer Momentaufnahme. Die Optionen
können gespeichert und somit wiederverwendet werden, mittels der "Express" Option Express: Lädt die Standardeinstellungen, die zuvor gespeichert wurden aus einer
benutzerdefinierten Session
Die Bereiche in denen es gilt Veränderungen zu suchen sind INI-Dateien, Textdateien und die Registrierung. Dies sind die Standardoptionen, spezifisch kann man auch bestimmte Bereiche weglassen (SWAP-Dateien). Man kann benutzerspezifische Daten in einem bestimmten Verzeichnis im Benutzer-Home-Datei Raum speichern. Dies kann dann zu einem "Raum-Nutzfläche-Snapshot" werden. Hauptproblem dabei ist, zu verstehen wie die Komponenten "Copy Always" und "Create Always" verwendet werden. Wenn man die Dateien oder Registrierungsschlüssel überschreiben möchte, wählt man "Copy Always" und "Create Always"
DateienWenn man den Quellpfad direkt untersucht, wird man eine Reihe von Dateien mit folgenden Erweiterungen sehen
61
fil: sind Duplikate der Dateien die auf der Arbeitsstation während der Installation der Anwendung kopiert werden, sind unbenannt
txt: Eine Liste aller Dateien, die auf der Arbeiststation installiert wurden und was ihre entsprechenden fil Namen sind
aot: Vorlagendatei für Application-Object enthält Liste aller Änderungen und kann verwendet werden um ein Application-Object zu erstellen
axt: Die Text Version der AOT Datei
Client-AgentDer Application-Launcher hat zwei Client-Optionen
1. Apllication Launcher WindowIst ein Programm-Manager Fenster, die Aplication-Objects direkt oder im
Ordner zeigen2. Application Explorer
62
Erstellen eines neuen Application-Object
Hier kann festgelegt werdenwelche Dateien zur Anwendungmit installiert werden
Bei der Erstellung können Regeln zur Steuerung der Verfügbarkeit dieser Anwendung erstellt werden
Hier sieht man das installierte Application-Object
Erstellen eines SnapShots
Danach wird die Applikation auf der Station abgesucht
63
Linux
Verwaltungswerkzeuge (Zimmermann 6.6.11)
Yast – grafisch aufrufbar, in Gruppen eingeteilt Software
Man kann in die Paetdatenbank gehen und neue Pakete registrieren, installieren, man kann über CD oder Netzwerk installieren, es gibt viele repositories (Quellen zum Downloaden). Man kann hier nach gewissen Objekten suchen.
RunleveleditorWas gestartet wird und welche Dienste wann
NetzwerkkartenNeue hinzufügen, bearbeiten, IP-Adressen bearbeiten, Firewall aktiv, inaktiv.
HardwareGrafikkarten, Monitor
Partitionieren – Hier kann man grafisch Partitionen verwalten. Partitionen löschen, erstellen, zusammenfügen
Konsole Man kann die meisten sachen auch hier machen Ifconfig – netzwerk konfigurieren, kontrollieren
bsp eth5, sieht man nur eth 5 Wenn man interface angibt und ip adresse hinzufügt, kann man auch konfigurieren. Fdisk – partitionen anzeigen lassen und verändern Mount und umount – damit kann man die dateisysteme endmountn.
Netzwerklaufwerke. Mount zeigt an, was gemountet ist (fsdap, die in etc liegt)Man kann auch hinzufügen (mount –parameter – c, welches device, wohin)
In der kommandozeile kann man auch yast einstellen, einfach yast eingeben in der zeile und dann kann man mit text den verändern. Mit yast 2 kommt er nochmal grafisch.
Es gibt beliebig viele verwaltungswerkzeuge
Der Yast stöpselt alle zusammen zu einer oberfläche.
64
Benutzerverwaltung (Winkler 25.5.11) bash-shell; standardbenutzer ab 1000; system die darunter, root = 0; Benutzername und PasswortEin Benutzerkonto besteht aus einer Benutzername/Passwort-Kombination. Erwartungsgemäß melden Sie sich auch bei Linux durch die Angabe Ihres Benutzernamens und des zugehörigen Passwortes an. Mehr muss der Anwender im Allgemeinen nicht wissen. Aus Systemsicht sind jedoch noch einige weitere Attribute eines Benutzerkontos interessant.Benutzer-ID (UID) und Gruppen-ID (GID)Während Sie üblicherweise einfach einen Benutzernamen angeben, um sich auf einen bestimmten Benutzer zu beziehen, verwendet Linux intern lediglich eine Identifikationsnummer, die sogenannte Benutzer-ID.Nach der Anmeldung - die ShellErfolgt die Anmeldung nicht über einen Display-Manager, so wird für gewöhnliche Benutzer eine Shell gestartet. Um welche Shell es sich handelt, wird dabei für jeden Benutzer einzeln festgelegt. Man kann für einzelne Benutzer auch festlegen, dass sie keine Shell erhalten - z.B. wenn man sie temporär vom System aussperren möchte oder wenn für einzelne Benutzer generell keine Shell-Umgebung ermöglicht werden soll.Das HeimatverzeichnisDie Login-Shell startet im sogenannten Heimatverzeichnis des Benutzers. Dieses und alle seine Unterverzeichnisse gehören dem Benutzer. Im Wesentlichen bietet das Heimatverzeichnis seinem Besitzer Platz für die Ablage von Dateien, welche meist oder ausschließlich von ihm verwendet werden. Neben den Arbeitsdateien und -verzeichnissen selbst liegen im Heimatverzeichnis noch eine Reihe Dateien, welche applikationsspezifische Einstellungen des Benutzers enthalten. BenutzertypenrootDer Benutzer root ist mit allen Rechten ausgestattet, die ihm die Administration des Systems erlauben. Diesem auch als Superuser bezeichneten Benutzer ist immer die UID 0 zugeordnet.SystembenutzerJe nach System kann eine Vielzahl von Prozessen und Diensten erwünscht sein, die bereits beim Hochfahren des Systems verfügbar sein sollen. Nicht jeder dieser Prozesse benötigt jedoch die volle Rechteausstattung des Superusers. Ein Systembenutzerkonto ist in diesem Sinne ein Benutzerkonto, das jedoch ausschließlich zur Ausführung von Programmen unter einer speziellen Benutzerkennung verwendet wird. Kein menschlicher Benutzer meldet sich normalerweise unter einem solchen Konto an. (UID 1-999)StandardbenutzerDies ist das normale Benutzerkonto, unter welchem jeder üblicherweise arbeiten sollte. (UID ab 1000)Benutzerklassen: user, group und othersAus der Sicht des Systems existieren drei Benutzerklassen, wenn entschieden werden soll, ob die Berechtigung für einen Dateizugriff existiert oder nicht. Soll beispielsweise eine Datei gelöscht werden, so muss das System ermitteln, ob der Benutzer, welcher die Datei löschen möchte, das erforderliche Recht besitzt.Drei Benutzerklassen werden unterschieden: user, group und others. Jede dieser Benutzerklassen ist wiederum in ein Lese-, Schreib- und Ausführrecht unterteilt:user-read Leserecht für Dateieigentümer user-write Schreibrecht für Dateieigentümer user-execute Ausführrecht für Dateieigentümer
65
group-read Leserecht für Gruppe des Dateieigentümers group-write Schreibrecht für Gruppe des Dateieigentümers group-execute Ausführrecht für Gruppe des Dateieigentümers other-read Leserecht für alle anderen Benutzer other-write Schreibrecht für alle anderen Benutzer other-execute Ausführrecht für alle anderen Benutzer Berechtigungsklassen: Lesen, Schreiben und AusführenDa unter Unix letztlich alle Ein- und Ausgabeoperationen mit denselben Systemrufen vorgenommen werden, hat sich der Ausspruch "Alles ist eine Datei!" etabliert. Beispielsweise sind auch Verzeichnisse letztlich - wie alle anderen Einträge im Dateisystem - ein besonderer Typ Datei. Für jeden dieser Dateitypen haben die unterschiedlichen Rechte (Lesen, Schreiben und Ausführen) eine unterschiedliche Bedeutung.LesenLeserecht für DateienFür Datendateien aller Art, wie z.B. Textdateien, Bilder usw., leuchtet das Leserecht unmittelbar ein: Die Datei kann zur Ansicht geöffnet und ihr Inhalt angezeigt oder abgespielt werden. Für Programmdateien ist das Leserecht weniger intuitiv verständlich. Manchen mag es überraschen, dass für die Ausführung eines Programms nicht das Leserecht gesetzt sein muss.Leserecht für VerzeichnisseDa Verzeichnisse keine Daten im eigentlichen Sinne enthalten, sondern lediglich Information über Dateien und Unterverzeichnisse, hat das Leserecht hier freilich eine andere Bedeutung. Das klassische Kommando zum Auslesen von Verzeichnisinformation ist ls. SchreibenSchreibrecht für DateienDas Schreibrecht für reguläre Dateien ist ebenso intuitiv verständlich wie das Leserecht. Ist dieses Recht gesetzt, darf die Datei überschrieben oder weiterer Inhalt an sie angehängt werden.Schreibrecht für VerzeichnisseErwartungsgemäß bezieht sich das Schreibrecht für Verzeichnisse auf das Anlegen und Löschen von Dateien in Verzeichnissen. Ohne Schreibrecht ist weder das eine noch das andere möglich.AusführenAusführrecht für DateienProgramme und Skripte sind es, die ausgeführt werden können. Programme liegen in Binärformaten vor - unter Linux hat sich das Executable and Linking Format (ELF) durchgesetzt, aber auch andere Formate werden unterstützt. Bei Programmen, d.h. Dateien in einem ausführbaren Binärformat, liegt die Sache einfach. Ist das Ausführrecht gesetzt, darf das Programm aufgerufen und ausgeführt werden. Ausführrecht für VerzeichnisseDas Ausführrecht für Verzeichnisse bezeichnet das elementare Recht, dieses Verzeichnis zu betreten.Das "Betreten" eines Verzeichnisses ist jedoch allgemeiner zu verstehen als das bloße Wechseln des „current working directory“. Es ist vielmehr die grundlegende Voraussetzung für alle weiteren Operationen auf dem Verzeichnis und seinen Inhalten. Lesen von Dateien, Anlegen und Löschen von Dateien und auch Ausführen von Dateien in einem Verzeichnis erfordern ein Ausführrecht auf diesem Verzeichnis. Dies gilt übrigens auch für alle Unterverzeichnisse und deren Inhalte.Das Benutzerkonzept von Linux
66
Unter Linux werden alle Benutzer, die zur Arbeit am System berechtigt sein sollen, zu Benutzergruppen zusammengefasst. Alle Ressourcen können nun für bestimmte Gruppen oder Benutzer freigegeben werden.User-ID (uid) Dies ist die ID, mit der sich ein Benutzer am System anmeldet. effektive User-ID (euid) Dies ist die ID, mit der ein Benutzer auf eine Ressource zuzugreifen
versucht. Group-ID (gid) Dies ist die ID, mit der sich eine Gruppe am System anmeldet. effektive Group-ID (egid) Dies ist die ID, mit der eine Gruppe auf eine Ressource zuzugreifen
versucht.
Für die Zugriffskontrolle überprüft das System bei jedem Zugriff auf eine Ressource, unter welcher effektiven uid und guid der Zugriff erfolgt. Durch diese Unterscheidung von ID und effektiver ID ist es z. B. möglich, dass ein Benutzer zwar unter seiner eigenen uid arbeitet, zugleich aber (temporär) auf Dateien zugreift, die anderen Gruppen gehören.Wichtige Befehle
ls -al - Anzeigen von Datei- und Verzeichniseigenschaften chmod - Ändern der Dateizugriffsrechte chown - Ändern des Eigentümers und der Gruppenzugehörigkeit von Dateien und
Verzeichnisse chgrp - Ändern der Gruppenzugehörigkeit von Dateien oder Verzeichnissen id - Ermitteln der effektiven UIDs und GIDs groups - die Gruppenzugehörigkeit ermitteln who - Angemeldete Benutzer ermitteln lsof – Dateien die im Moment geöffnet sind und wer sie geöffnet hat ps aux - laufenden Prozesse sowie zusätzliche Informationen über Eigentümer,
Ressourcenverbrauch usw. Benutzerverwaltung:
o useradd Neuen Benutzer anlegen
o usermod Existierenden Benutzer ändern
o groupadd Gruppe anlegen
o groupmod Existierende Gruppe ändern
Multiuser-BetriebZu den wichtigsten Eigenschaften von Linux zählt sicher die Fähigkeit zu echtem Multitasking und zum Multiuser-Betrieb. "Multitasking" bedeutet dabei, dass mehrere Prozesse parallel ablaufen, und sich dabei die vorhandenen Ressourcen teilen. "Multiuser" bedeutet, dass mehrere Benutzer gleichzeitig am System arbeiten und damit die Multitasking-Fähigkeiten des Systems nutzen können. Hierbei trennt das Betriebssystem die einzelnen Benutzer, die von diesen Benutzern gestarteten Prozesse/Tasks sowie die von ihnen angelegten Dateien und Verzeichnisse voneinander und kontrolliert restriktiv den Zugriff darauf.Für Privatanwender scheint ein Multiuser-System zunächst wenig vorteilhaft zu sein. In erster Linie denkt man bei solchen Systemen sicher an Server, auf die über Shell-Accounts, FTP, Internet usw. viele Kunden gleichzeitig zugreifen können. Trotzdem bringt dieses Konzept auch für "normale" Anwender entscheidende Vorteile: Ein Multiuser-System ist eine gute Basis für diszipliniertes Arbeiten. Man kann z. B. sehr genau beobachten, unter welchem Account man welche Aufgaben erledigt.
67
Es bietet eine wesentlich höhere Sicherheit als ein "Single-User-System", da die Zugriffsrechte auf Daten, Prozesse etc. je nach Benutzer und Nutzergruppe kontrolliert und eingeschränkt werden können. Dadurch ist es z. B. möglich, dass ein Virus nur Zugriff auf die Daten desjenigen Benutzers erhält, über den er in das System gelangt ist.
Dateisystemrechte (Purgaj 25.5.11)
RechteRechte auf Dateien Die Wirkung der Rechte ist bei Dateien und Verzeichnissen unterschiedlich. Bei Dateien arbeiten Sie wie folgt: r (read = lesen) Der Benutzer kann den Inhalt der Datei einsehen, d. h. unter anderem, er kann sie am Bildschirm anzeigen lassen, sie drucken oder kopieren. w (write = schreiben) Der Benutzer kann die Datei verändert unter dem bisherigen Namen speichern. x (execute = ausführen) Die Datei kann als Programm gestartet werden. Dies setzt natürlich voraus, daß die Datei ein Programm ist.
chownMit dem Befehl chown ist es möglich der Datei einen neuen Besitzer und eine neue Gruppe zu geben. chown [OPTIONEN] [BENUTZER][:GRUPPE] DATEILISTE Allerdings ist es nur dem Superuser gestattet, den Eigentümer einer Datei zu ändern. Die Änderung der Gruppe ist für den Besitzer und für den Superuser erlaubt. Der Besitzer darf allerdings seiner Datei nur eine Gruppe zuordnen, in der er selber Mitglied ist. Optionen-c Informationen über alle geänderten Dateien werden angezeigt-v Informationen über alle Aktionen werden ausgegeben-f Fehlermeldungen werden nicht ausgegeben-R Änderungen werden rekursiv den Verzeichnisbaum herunter durchgeführt
Beispiel:chown -R tapico:users /home/herbertändert den Besitzer auf tapico und die Gruppe auf users für das Verzeichnis /home/Herbert und seinem Inhalt.
chgrpÄndert für eine Datei die zugehörige Gruppe. chgrp [OPTIONEN] GRUPPE DATEILISTE Die Änderung der Gruppe ist für den Besitzer und für den Superuser erlaubt. Der Besitzer darf allerdings seiner Datei nur eine Gruppe zuordnen, in der er selber Mitglied ist. Optionen-c Informationen über alle geänderten Dateien werden angezeigt-v Informationen über alle Aktionen werden ausgegeben-f Fehlermeldungen werden nicht ausgegeben-R Änderungen werden rekursiv den Verzeichnisbaum herunter durchgeführt
Beispiel chgrp users pampelmuse
68
ändert die Gruppe der Datei pampelmuse auf users.
chmodDer Befehl chmod erlaubt das Ändern der Rechte für eine Datei. chmod [OPTIONEN] RECHTE DATEILISTEZiffer Bedeutung4 r-Recht2 w-Recht1 x-Recht0 kein RechtOptionen-c Informationen über alle geänderten Dateien werden angezeigt-v Informationen über alle Aktionen werden ausgegeben-f Fehlermeldungen werden nicht ausgegeben-R Änderungen werden rekursiv den Verzeichnisbaum herunter durchgeführtBeispiele:chmod u+x memo*.txt fügt für den Besitzer das x-Recht hinzu. chmod 755 makeitso setzt die Rechte auf rwxr-xr-x. chmod a-rwx,u=rwx meinsein entzieht allen alle Rechte und gibt dem Besitzer alle Rechte.
Alle Informationen über das Benutzerkonto werden in der Datei /etc/passwd gespeichert
Serverdienste (Mail, Web, FTP,...) (Purgaj 25.5.11)
rcapache2; option routers => Gateway;MTAE-Mails werden zunächst vom eigentlichen Mailprogramm (z.B.: kmail oder Mozilla) an den Mail Transport Agent (MTA) weitergegeben. Als MTA dient auf den meisten Systemen sendmail. Als Alternativen gibt es unter anderem noch qmail und exim. Der MTA übernimmt mehrere Aufgaben auf einmal: Zwischenspeichern der E-Mail bis zur nächsten Online-Verbindung Ermitteln bzw. Überprüfen des Empfängers Evtl. ändern der Absenderadresse auf die Mailadresse beim Provider (Maskierung) Übertragung der Mail zum Empfänger (bzw. zum nächsten Mailserver)PostfixWas ist Postfix?Postfix ist ein MTA (Mail Transfer Agent), der den bekannten sendmail Email-Server "ersetzt". Postfix ist schnell, leicht zu konfigurieren und sicher, während es kompatibel mit sendmail ist. Daher sieht er zwar von außen so aus wie sendmail, ist aber im Innern ganz etwas anderes./etc/postfix/main.cfsendmail
69
Suse-Benutzer müssen noch in der Datei /etc/sysconfig/mail die Variablen 'MAIL_CREATE_CONFIG' auf 'no' und 'SMTPD_LISTEN_REMOTE' auf 'yes' (früher in der Datei /etc/rc.config die Variable 'SENDMAILTYPE' auf 'no') setzen. Ansonsten überschreibt Yast2 u.a. die eigene sendmail.cf (MAIL_CREATE_CONFIG) und sendmail würde so gestartet, dass nur lokale Mails (vom Linux-Rechner) angenommen werden (SMTPD_LISTEN_REMOTE).Die Datei 'sendmail.cf' Konfiguriert wird sendmail in der Datei /etc/sendmail.cf. Allerdings ist diese Datei die vermutlich komplizierteste Konfigurationsdatei die es unter Linux gibt
ApacheUm mit Linux einen Webserver - entweder im lokalen Netz (Intranet) oder im Internet zu betreiben, brauchen wir einen HTTP-Daemon. Der bekannteste und professionellste Server ist heute der Apache-Webserver, der übrigens eigentlich auch nur httpd heisst. Er sollte als stand-alone-Dienst gestartet werden.Um nun einen Webserver einzurichten genügt es im einfachsten Fall, den Daemon httpd zu starten und die Webseiten, die er anbieten soll, in das Verzeichnis zu legen, in dem der Server sein document-root hat. Das Starten läuft zumeist wieder über ein Startscript ab, z.B. /etc/init.d/apache. NFSNFS (Network File System) ist die im UNIX-Bereich übliche Art, Verzeichnisse zu ex- bzw. zu importieren und dadurch auf mehreren Rechnern zu benutzen. Es wird dabei transparent auf die freigegebenen Verzeichnisse zugegriffen. So kann also am Server das komplette /home oder /usr-Verzeichnis exportiert werden, welches dann vom Client übernommen wird - die Benutzer merken davon nichts. Das Angenehme ist, dass man bestimmte Verzeichnisse nur für bestimmte Rechner oder Domänen freigeben kann. Wer einen festplattenlosen ThinClient aufziehen will, kann auch das gesamte DateiSystem des Servers per NFS importieren. Um Datenverzeichnisse von anderen Rechnern einzubinden, kann auch der AutoMounter verwendet werden - dadurch reduziert sich bei sehr vielen Clients die Zahl der Mounts auf die wirklich gebrauchten. NFS ist ein relativ unsicheres Protokoll und kann deshalb nur in geschützten Umgebungen (lokales Netz ohne feindliche Rechner) eingesetzt werden. NFS vertraut auf TCP/IP bzw. DNS und darauf, dass die Clientrechner zuverlässige Authentifizierung ihrer Benutzer machen und lässt sich dementsprechend über diese Mechanismen angreifen - zudem ist NFS unverschlüsselt. Die Benutzerkennungen auf Server und Client müssen für die korrekte Funktion übereinstimmen.DHCPEin DHCP-Server ist dafür zuständig, IP-Adressen aus einem Pool an Clients zu vergeben./etc/dhcpd.confBsp.:option domain-name "example.com";option domain-name-servers 192.168.2.1;option nis-domain "example.com";default-lease-time 60;max-lease-time 120;use-host-decl-names on;subnet 192.168.2.0 netmask 255.255.255.0 { option routers 192.168.2.1; option subnet-mask 255.255.255.0;
70
range dynamic-bootp 192.168.2.128 192.168.2.254;}subnet 192.168.11.0 netmask 255.255.255.0 { option routers 192.168.11.1; option subnet-mask 255.255.255.0; range dynamic-bootp 192.168.11.128 192.168.11.254;}host rechnerX { hardware ethernet 01:02:03:45:67:89; }host rechnerY { hardware ethernet 01:02:03:45:78:9A; }
DNSEin Nameserver dient der Namensauflösung eines Hostnamens zu einer IP-Adresse (und umgekehrt) und zur Bekanntgabe von bestimmten Servern, die bestimmte Funktionen für eine Domain erfüllen (z.B. Mailserver).Es gibt zwei Arten von Nameservern:
Rekursive Nameserverfragen andere (autoritative oder auch rekursive) Nameserver ab, meist haben sie auch eine Cache-Funktion, sie besitzen keine eigenen Zoneninformationen.
Autoritative Nameserververwalten die Zonen von bestimmten Domänen oder Subnetzen, d.h. sind diese "zuständig".
Ein (autoritativer) Nameserver kann für jede Zone entweder als Master (primary) oder als Slave (secondary) betrieben werden. In ersterem Falle stellt er die letzte Instanz für Abfragen dar, in zweiterem Falle holt er sich regelmäßig die Daten vom Masterserver und dient als Backup, falls der Master ausfällt oder nicht erreichbar ist.
Drucken (Falzberger 23.5.11)
Drucker FelixPLC5 PCL6 sind gängige VariantenGhostscript Ein Dienst der die Sprachen auf Standardsprachen übersetztDer Registrierungsservice wird festgelegt dass sich ein Drucker meldet und falls er wichtig ist sich registriert.Allgemein:Unter Linux werden Drucker über sog. ,,Druckerwarteschlangen`` angesprochen. Die zu druckenden Daten werden dabei in einer Druckerwarteschlange zwischengespeichert und durch den sog. ,,Druckerspooler`` nacheinander zum Drucker geschickt. Meist liegen diese Daten nicht in einer Form vor, die direkt an den Drucker geschickt werden könnte. Eine Grafik beispielsweise muss normalerweise in ein Format umgewandelt werden, das der Drucker direkt ausgeben kann. Die Umwandlung in die sog. ,,Druckersprache`` erfolgt durch den Druckerfilter,
71
der vom Druckerspooler zwischengeschaltet wird, um Daten ggf. so umzuwandeln, dass sie der Drucker direkt ausgeben kann.
o Druckersprachen
PostScript - ist die Standardsprache unter Unix/Linux in der Druckausgaben erstellt werden, die dann auf PostScript-Druckern direkt ausgegeben werden können. Wenn kein PostScript-Drucker angeschlossen ist, verwendet der Druckerfilter das Programm Ghostscript, um die Daten in eine dieser anderen Standarddruckersprachen umzuwandeln (PCL3, PCL4, PCL5e, PCL6, ESC/P, ESC/P2, ESC/P-Raster). Dabei wird ein möglichst gut zu dem jeweiligen Druckermodell passender Treiber verwendet, um modellspezifische Besonderheiten (z. B. Farbeinstellungen) berücksichtigen zu können.
Ghostscript Man kann damit z.B. das von Linux-Programmen generierte Postscript in von einem Nicht-Postscript-Drucker verstandenes PCL umwandeln lassen.
Ablauf eines Druckauftrages unter Linux 1. Der Anwender oder ein Anwendungsprogramm erzeugt einen neuen Druckauftrag.2. Die zu druckenden Daten werden in der Druckerwarteschlange zwischengespeichert,
von wo sie der Druckerspooler an den Druckerfilter weiterleitet.3. Der Druckerfilter macht nun normalerweise folgendes:
a. Der Typ der zu druckenden Daten wird bestimmt.b. Wenn die zu druckenden Daten nicht PostScript sind, werden sie zuerst in die
Standardsprache PostScript umgewandelt. Insbesondere ASCII-Text wird normalerweise mit dem Programm a2ps in PostScript umgewandelt.
c. Die PostScript-Daten werden ggf. in eine andere Druckersprache umgewandelt.
i. Wenn ein PostScript-Drucker angeschlossen ist, werden die PostScript-Daten direkt an den Drucker geschickt.
ii. Wenn kein PostScript-Drucker angeschlossen ist, wird das Programm Ghostscript mit einem zur Druckersprache des jeweiligen Druckermodells passenden Ghostscript-Treiber verwendet, um die druckerspezifischen Daten zu erzeugen, die dann an den Drucker geschickt werden.
4. Nachdem der Druckauftrag komplett an den Drucker geschickt wurde, löscht der Druckerspooler den Druckauftrag aus der Druckerwarteschlange.
Drucker Installation Yast - Hardware – Drucker
72
Falls man unter Linux einen Drucker im laufenden Betrieb anschließt, erscheint sofort eine Meldung, dass neue Hardware erkannt wurde. Nach dem Bestätigen dieser Meldung landen man in der Yast-Druckerkonfiguration. Falls die automatische Hardware-Erkennung nicht funktioniert, kommt man unter Yast-Hardware-Drucker, zum Konfigurationsmenü. Danach versucht Yast, den Drucker zu erkennen und meldet sich bei Erfolg mit dem Modell.
Netzwerkdrucker installierenWenn es um einen Drucker geht der direkt ans Netzwerk angeschlossen ist öffnet man im Yast Hardware – Drucker und kommt dadurch in die Druckerkonfiguration. Darin Klickt man auf Hinzufügen und wählt Netzwerkdrucker.
Alternativ kann auch ein anderer Servertyp ausgewählt werden, etwa einen Drucker, der an einen Windows-Rechner angeschlossen ist (Über SMB-Netzwerkserver drucken). Falls über einen an einen anderen Linux-PC angeschlossenen Drucker verwenden wollen, wählt man die Option "Drucken per CUPS".
Nach einem Klick auf Weiter müssen Hostname und IP-Adresse des Druckers eingegeben werden.
Drucken mit CUPSBei CUPS handelt es sich um ein Drucksystem das mittlerweile zu den Standard-Druck-Systemen gehört. Dabei verwendet CUPS grundsätzlich Netzwerkverbindungen, um Druckaufträge anzunehmen und zu verschicken. Folglich macht CUPS auch keinen Unterschied zwischen einem Rechner im Netzwerk und dem Rechner, an dem man gerade sitzt. Um CUPS zu konfigurieren, startet man einen Browser und gibst als Adresse http://localhost:631 ein. Dadurch kommt man auf die Startseite der CUPS-Konfiguration wo man nun die entsprechenden Einstellungen treffen muss. Bevor man allerdings loslegen kann, muss zuerst auf der Shell ein Kennwort eingeben werden. Dazu gibt man als Benutzer root den Befehl
lppasswd -g sys -a root
ein. Anschließend muss ein Kennwort mit mindestens sechs Zeichen, davon mindestens eine Ziffer eingeben werden.
rccups restart
Danach kann man auf die Administrationsoberfläche zugreifen. Um beispielsweise den Standard-Papierschacht bei einem Laserdrucker umzustellen, klicken Sie auf Drucker verwalten und danach beim gewünschten Drucker auf Drucker konfigurieren. Im Kennwortfenster tragen Sie den Benutzernamen root und das zuvor eingegebene Kennwort ein. Danach sehen Sie unter Allgemein den Eintrag Medien-Quelle (sofern der Drucker mehrere Papierschächte hat). Dort wählen Sie den Schacht aus, klicken auf Weiter und auf Unverschlüsselt senden.
73
Drucken auf der Kommandozeile o der lpr-Befehl
Der Allgemeine Druckbefehl zum drucken aus der Konsole:o lpr -P <druckername> -o <optionen> <dokument.ps>
<optionen>: Rand setzen: -o page-left=NN (wobei left auch durch right, top, bottom
ersetzt werden kann, "NN" steht für Punkte (1 Punkt = 0.35cm)) Bei Textdokumenten überlange Zeilen umbrechen: -o wrap=true eigene Fächerwahl: -o InputSlot=Lower (ist leider etwas komplizierter, da
jedes Druckermodel seine eigenen Bezeichungen für verschiedene Fächer besitzt).
KPRINTER Druckwerkzeug mit grafischer Oberfläche
<kprinter>
74
MySQL
Verwaltungswerkzeuge– Nahrgang
MySQL Query Browser
Unter „File“ – „Open Script“ können Datenbanken importiert werden.MySQL Administrator
Um alle Funktionen nutzen zu können, muss er als Administrator ausgeführt werden.
75
Unter „Server Information“ sieht man alles Wichtige über den Server. Bei den Startup Variables kann noch der Port geändert werden.Unter User Administration können Benutzer verwaltet werden.„Global Privilegs“ sind Rechte, die der User immer hat.„Schema Privilegs“ sind Rechte, die der User für eine bestimmte Datenbank hat.„Schema Object Privilegs“ sind Rechte, die der User für bestimmte Tabellen und/oder Spalten hat.Zum Schluss kann man noch einstellen, wie viele Anfragen und Verbindungen ein User in einer Stunde eingehen darf.Backup/Wiederherstellen
Unter „Backup“ ein neues Projekt erstellen.Zunächst muss man einen Namen zuweisen, dann stellt man ein welche Datenbanken und Tabellen betroffen sein sollen.Unter „Advanced Options“ stellt man dann ein, welche Art der Sicherung man verwenden will (Pichler hat das beim Referat nicht gefragt), standardmäßig ist die InnoDB Online Backup eingestellt.Hier kann man auch einstellen, ob die Datenbanken, falls vorhanden, überschrieben werden sollen (beim Wiederherstellen) usw.Unter Schedule kann man einen Zeitplan einstellen.
Um das Ganze wiederherzustellen wählt man die *.sql Datei unter Restore aus. „Create Database if not exist“ sollte man anhaken wenn man das will.
76
Unter Restore Content kann man die Datei zunächst ansehen wenn man will. Auf „Start Restore“ drücken.Unter „Catalogs“ können Tabellen und Spalten angelegt und verwaltet werden (Name, Datatype (Integer, CHAR, usw.), Auto inc. Usw.)Hat er nicht gefragt, und interessiert auch keinen so genau.
Grundsätze des Datenbankentwurfs – Fraissler
77
n : m Beziehungen
typische Beispiele für n:m Beziehungen:
BestellungenBuchungenVerleihvorgängeAnmeldungen/Teilnahmen (an Events)
78
ER Umsetzung dieser Beispiele:
Kunde (Gast) – bestellt – Artikel (Mittagessen)
Kandidat – meldet sich an zur – Prüfung
Kandidat – nimmt teil an – Prüfung
Kunde – bucht – Reise, Hotel
Kunde – leiht sich – DVD, Motorad, Auto
Entitäten
Beziehungen : n:m-Beziehungen sind (wie die Entitäten) durch Eigenschaften charakterisiert (z.B. Bestelldatum, Teilnahmedatum, Teilnahmegebühr, Buchungsdatum, Verleihdatum, …).Somit ergibt sich für n:m Beziehungen die Notwendigkeit, diese Beziehungen selbst als (wie wir schon wissen) Beziehungstabellen zu realisieren.Die Beziehungstabelle enthält dann die Primärschlüssel-Felder der verbundenen Tabellen als Fremdschlüssel-Felder.
Aus der Erfahrung:
Es besteht meist die Notwendigkeit, die Beziehungstabelle selbst, weiter in zwei Tabellen aufzuspalten:
Kopftabelle (1) Positionen-Tabelle (n)
Die eigentliche n:m-Beziehungstabelle ist dann die Positionen-Tabelle
Beispiele:
1) Bestellungen:
Kunde bestellt Artikel
„bestellt“ Bestellungs-Kopf + Bestell-Positionen
Somit ergibt sich für den gesamten Bestellvorgang folgende Tabellenstruktur:
Kunde 1 – n Bestellung 1– n Bestell-Positionen n – 1 Artikel
79
konkrete Umsetzung in Tabellen:t_bestellung (id_bestellung, id_kunde, bestelldatum, …)t_bestellpositionen (id, id_bestellung, id_artikel, anzahl)
2) Buchungen:
Kunde bucht Leistungen (Flug, Hotel, Leihauto, Tagesauflüge, …) „bucht“ Buchungs-Kopf + Buchungs-Positionen
Somit ergibt sich für den gesamten Buchungsvorgang folgende Tabellenstruktur:
Kunde 1 – n Buchung 1 – n Buchungs-Positionen n – 1 Leistung
3) Anmeldungen / Teilnahmen:
Teilnehmer – nimmt teil / meldet sich an – Event (Veranstaltung, Prüfung, …)
„nimmt teil / meldet sich an“ Anmelde/Teilnahme-Kopf + Anmelde/Teilnahme-Positionen
Teilnehmer 1 – n Anmeldung/Teilnahme 1 – n Anmelde/Teilnahme-Positionen n – 1 Event
konkretes Beispiel:
Athlet 1 – n Sport-Veranstaltung 1 – n Nennungen n – 1 Bewerb
ER Modell StiDie Grundlage für relationale Datenbanken wird damit erstellt.Das Relation-Modell bedeutet das Einträge nicht doppelt vorhanden sind.
Kunde wird einmal erfasst in einer Tabelle um nachher leichter den Namen zu ändernum Redundanz zu vermeiden.
Skizziere Ansatzweise das ER Modell einer Videothek! 1 n n m n n n
80
KundeBestellung
Arbeiter
Artikel
Bestellposition
1 1 1
Info: Bestellung und Videos kann man nicht direkt zusammen tunBei N ZU M kommt eine Vermittler Tabelle (z.B. Bestellpositionen) dazu.Eine Bestellung hat viele Positionen. Den Artikel gibt es einmal in vielfacher Ausführung aber in der Tabelle gibt es ihn einmal! 1 zu 1 = Wenn man eine Tabelle Mitarbeiter hat 1 Tabelle Public und eine Geheim um vertrauliche Dateien nicht offen zu legen.
Referenzielle Integrität Wenn Abhängigkeiten zwischen Tabellen entstehen dass bei löschen einer Tabelle das Programm das löschen verweigert. Z.B. bei Kunden und Bestellungen kann Kunden Tabelle nicht gelöscht werden. Dabei kann man Normalisierungsregeln von 1-6 erstellen.
Wieso baut man eine Datenbank nicht irgendwie auf?Das Daten doppelt drinnen sind, Redundanz und dass man irgendwann mal die Datenbank nicht mehr erweitern kann weil alles so verflechtet ist. - Normalformen sollten erfüllt sein dann gibt es solche Probleme nicht.
Grundsätze des Datenbankentwurfs Mit dem E ntity- R elationship-Modell kann die grundlegende Tabellen- und
Beziehungsstruktur einer Datenbank strukturiert entworfen und visualisiert werden.
das Relationen-Modell ist die tabellarische Darstellung des ER-Modells und die
theoretische Grundlage für das relationale Datenbankmodell.
Das fertige Relationen-Modell muss einem Normalisierungsprozess unterworfen
werden, um Redundanzen und Dateninkonsistenzen zu vermeiden. Schließlich müssen
die Integritätsregeln überprüft werden, ebenfalls um Dateninkonsistenzen zu
vermeiden.
Das ER-Modell aufstellen
Begriffsdefinitionen:Eigenschaften (Attribute) sind die verschiedenen Felder einer Entität bzw. später eines Datensatzes in Access. Der Wertebereich einer Eigenschaft heißt Domäne. Eigenschaften werden graphisch durch Rechtecke mit abgerundeten Ecken dargestellt, die mit der zugehörigen Entität oder Beziehung verbunden sind.
81
Beispiel: Vorname, Nachname, Personal-Nr eines Mitarbeiters.Eine Entität kann ein Objekt, eine Person, ein Begriff oder ein Ereignis sein. Entitäten unterscheiden sich durch ihre jeweiligen Eigenschaften. Später entspricht eine Entität einem Datensatz in Access. Beispiel: Abteilung Forschung, Mitarbeiter Schmitz, Projekt 1009Entitätsmengen sind Sammlungen von Entitäten mit gleichen Eigenschaften. Eine Entitätsmenge entspricht später einer Tabelle in Access.Beispiel: Alle Abteilungen, Alle MitarbeiterBeziehungen sind Verknüpfungen von Entitäten. Eine Beziehung ist von einem Beziehungstyp und kann Eigenschaften haben. Mehrere Beziehungen werden durch die Eigenschaften unterschieden.Graphisch werden Beziehungen durch Rauten dargestellt, die mit den zugehörigen Entitäten verbunden werden.Beispiel: Mitarbeiter Schmitz arbeitet an Projekt 1009.Der Beziehungstyp beschreibt die numerische Zusammenhänge zwischen den einzelnen Elementen einerBeziehung: 0 Keine Zuordnung1 genau eine Zuordnungn, m viele ZuordnungenDer Beziehungstyp wird in der graphischen Darstellung an den Verbindungslinien der Beziehung notiert.Beispiel: 1 Abteilung besteht aus n Mitarbeiter,n Mitarbeiter arbeiten an m ProjektenBeziehungsmengen sind Sammlungen von Beziehungen gleicher Art zur Verknüpfung von Entitätsmengen.Ein Primärschlüssel ermöglicht die eindeutige Identifizierung einer Entität. Er setzt sich aus einer oder mehreren Eigenschaften zusammen. In der graphischen Darstellung werden Primärschlüssel durch Unterstreichung der jeweiligen Eigenschaften angezeigt.Damit sind alle Elemente der folgenden graphischen Darstellung definiert:
ER-Modell
Die ER-Modellierung verläuft etwa so:
1. Zu Beginn des Datenbankentwurfs müssen die Entitäten und Entitätsmengen bestimmt
werden.
2. Die Beziehungen zwischen den Elementen müssen bestimmt und ihr Typ muss festgelegt
werden.
82
3. Die Eigenschaften zu jedem Element müssen festgelegt werden. Dazu die zugehörigen
Domänen.
4. Für jede Entitätsmenge muss ein Primärschlüssel festgelegt werden.
Vom ER-Modell zur relationalen Tabellenstruktur
dargestellt werden relationale Tabellenstrukturen wie folgt:
TABELLENNAME (Primärschlüssel, Attribut2, Attribut3, ...)
In einer zusätzlichen Liste werden die zugehörigen Domänen notiert. Beziehungen werden
durch identische (und eindeutige) Datenfelddefinitionen in den zugehörigen Tabellen
berücksichtigt.
Transformationsschritte vom fertigen ER-Modell in eine relationale Tabellenstruktur:
1. Aus jeder Entitätsmenge kann eine Tabelle mit Name der Entitätsmenge abgeleitet werden.
2. Jede 1:n-Beziehung schlägt sich nieder als identische Datenfelddefinition in den
zugehörigen Tabellen.
3. Jede n:m-Beziehung ergibt eine zusätzliche Tabelle, die aus den Primärschlüsseln der
zugehörigen Tabellen im ER-Modell und ggf. weiterer Attribute besteht. Ihr Name muss
sinnvoll neu gewählt werden.
IntegritätsregelnIntegrität auf DatenfeldebeneDurch die Wahl von passenden Datenfeldtypen und durch die Angabe von Gültigkeitsregeln im Tabellenentwurfvon Access sowie durch Nachschlagelisten (z.B. können die möglichen Werte mit Kombinationsfeldern in Formularen eingegeben werden) kann die Beschränkung auf Werte der zugehörigen Domäne erfolgen.
Integrität auf DatensatzebeneDurch Normalisierungsprozeße ist die Datenintegrität auf Datensatzebene weitgehend sichergestellt. Integrität auf Beziehungsebene eine relationale Beziehung besteht automatisch, wenn die Tabellen nach den Grundsätzen der relationalen Datenbank erstellt wurden. Das Einfügen oder Löschen von Datensätzen kann zu unerwünschten Ergebnissen führen, vor allem zu Datensätzen, zu denen die Entsprechenden in einer verknüpften Tabelle fehlen. Wird im Beispiel Projekt 2 gelöscht, verbleiben dennochEinträge in der Tabelle Projektauswertung zum gelöschten Projekt.
Eine Problemlösung wird durch referentielle Integrität erreicht. Wenn für eine relationale Beziehung referentielle Integrität eingerichtet wird, so überprüft das Datenbankprogramm vor dem Einfügen bzw. Ändern von Datensätzen,
83
ob in den zugehörigen relationalen Beziehungen passende Daten vorhanden sind.Das Aktivieren der referentiellen Integrität alleine bewirkt schon, dass Datensätze nicht versehentlich geändertoder gelöscht werden, wenn die Integrität dadurch verletzt würde. Es erfolgen dann Meldungen, und die durchgeführte Änderung oder Löschung lässt sich nur dann ausführen, wenn zuvor alle verknüpften Daten ebenfalls geändertbzw. gelöscht wurden.
SQL – Zimmermann SELECT t1.name, t2.salary FROM employee AS t1, info AS t2
WHERE t1.name = t2.name
ORDER BY DESC/ASC
SELECT: Wählt die Spalte name von der Tabelle t1 und die Spalte salary von der Tabelle t1FROM: Definiert welche Tabellen verwendet werden sollen, in diesem Fall employeeAS: gibt der Tabelle einen Alias, in diesem Fall t1WHERE: gibt Bedingungen zum Filtern an, man kann vergleiche machen oder nach Buchstaben oder Zahlen Filtern, hier wo alle Felder der Spalte Name in der Tabelle t1 der Spalte Name in der Tabelle t2 entspricht.ORDER BY: hiermit kann man die Sortierreinfolge ändern, ASC ist absteigend , DESC ist aufsteigend.SELECT * FROM t1 LEFT JOIN (t2, t3, t4)
ON (t2.a=t1.a AND t3.b=t1.b AND t4.c=t1.c)
LEFT JOIN: Fügt mehrere Tabellen zusammen, wobei Links die Muttertabelle steht, wenn kein Datensatz in der Tochtertabelle für die Muttertabelle gefunden wird wird dieser mit den Übrigen Feldern 0 erstelltON: Gibt die Bedingungen des Joins anINNER JOIN
INNER JOIN: Wenn keine Datensätze forhanden sind werden auch keine erstellt.DELETE FROM somelog WHERE user = 'jcole'
Löscht den entsprechenden DatensatzINSERT INTO tbl_name (col1,col2) VALUES(15,16)
Schreibt einen Wert in einen Datensatz
Programmatischer Zugriff auf MySQL-Datenbanken - Falzberger X
HTTP-Request-Methoden [Bearbeiten]GET
ist die gebräuchlichste Methode. Mit ihr wird eine Ressource (z. B. eine Datei) unter Angabe eines URI vom Server angefordert. Als Argumente in dem URI können also auch Inhalte zum Server übertragen werden. Die Länge des URIs ist je nach
84
eingesetztem Server begrenzt und sollte aus Gründen der Abwärtskompatibilität nicht länger als 255 Bytes sein. (siehe unten)
POSTschickt unbegrenzte, je nach physikalischer Ausstattung des eingesetzten Servers, Mengen an Daten zur weiteren Verarbeitung zum Server, diese werden als Inhalt der Nachricht übertragen und können beispielsweise aus Name-Wert-Paaren bestehen, die aus einem HTML-Formular stammen. Es können so neue Ressourcen auf dem Server entstehen oder bestehende modifiziert werden. POST-Daten werden im Allgemeinen nicht von Caches zwischengespeichert. Zusätzlich können bei dieser Art der Übermittlung auch Daten wie in der GET-Methode an den URI gehängt werden. (siehe unten)
HEADweist den Server an, die gleichen HTTP-Header wie bei GET, nicht jedoch den eigentlichen Dokumentinhalt (Body) zu senden. So kann zum Beispiel schnell die Gültigkeit einer Datei im Browsercache geprüft werden.
PUTdient dazu eine Ressource (z. B. eine Datei) unter Angabe des Ziel-URIs auf einen Webserver hochzuladen.
DELETElöscht die angegebene Ressource auf dem Server. Heute ist das, ebenso wie PUT, kaum implementiert bzw. in der Standardkonfiguration von Webservern abgeschaltet, beides erlangt jedoch mit RESTful Web Services und der HTTP-Erweiterung WebDAV neue Bedeutung.
TRACEliefert die Anfrage so zurück, wie der Server sie empfangen hat. So kann überprüft werden, ob und wie die Anfrage auf dem Weg zum Server verändert worden ist – sinnvoll für das Debugging von Verbindungen.
OPTIONSliefert eine Liste der vom Server unterstützen Methoden und Features.
CONNECTwird von Proxyservern implementiert, die in der Lage sind, SSL-Tunnel zur Verfügung zu stellen.
RESTful Web Services verwenden die unterschiedlichen Request-Methoden zur Realisierung von Web-Services. Insbesondere werden dafür die HTTP-Request-Methoden GET, POST, PUT und DELETE verwendet.
WebDAV fügt folgende Methoden zu HTTP hinzu: PROPFIND, PROPPATCH, MKCOL, COPY, MOVE, LOCK, UNLOCK
Argumentübertragung [Bearbeiten]
Häufig will der Nutzer einer Website spezielle Informationen senden. Dazu stellt HTTP prinzipiell zwei Möglichkeiten zur Verfügung:
1. HTTP-GET: Die Daten sind Teil der URL und bleiben deshalb beim Speichern oder der Weitergabe des Links erhalten.
2. HTTP-POST: Übertragung der Daten mit einer speziell dazu vorgesehenen Anfrageart im HTTP-Body, so dass sie in der URL nicht sichtbar sind.
85
Die zu übertragenden Daten müssen ggf. URL-kodiert werden, d. h. reservierte Zeichen müssen mit „%<Hex-Wert>“ und Leerzeichen mit „+“ dargestellt werden.
HTTP GET [Bearbeiten]
Hier werden die Parameter-Wertepaare durch das Zeichen ? in der URL eingeleitet. Oft wird diese Vorgehensweise gewählt, um eine Liste von Parametern zu übertragen, die die Gegenstelle bei der Bearbeitung einer Anfrage berücksichtigen soll. Häufig besteht diese Liste aus mit dem Zeichen & getrennten Wertepaaren, die je aus einem Parameternamen, dem Zeichen = und dem Wert des Parameters bestehen. Seltener wird das Zeichen ; zur Trennung von Einträgen der Liste benutzt.[3]
Ein Beispiel: Auf der Startseite von Wikipedia wird in das Eingabefeld der Suche „Katzen“ eingegeben und auf die Schaltfläche „Artikel“ geklickt. Der Browser sendet folgende oder ähnliche Anfrage an den Server:
GET /wiki/Spezial:Search?search=Katzen&go=Artikel HTTP/1.1Host: de.wikipedia.org…
Dem Wikipedia-Server werden zwei Wertepaare übergeben:
Argument Wertsearch Katzengo Artikel
Diese Wertepaare werden in der Form
Argument1=Wert1&Argument2=Wert2
mit vorangestelltem ? an die geforderte Seite angehängt.
Dadurch „weiß“ der Server, dass der Nutzer den Artikel Katzen betrachten will. Der Server verarbeitet die Anfrage, sendet aber keine Datei, sondern leitet den Browser mit einem Location-Header zur richtigen Seite weiter, etwa mit:
HTTP/1.0 302 Moved TemporarilyDate: Fri, 13 Jan 2006 15:12:44 GMTLocation: http://de.wikipedia.org/wiki/Katzen…
Der Browser befolgt diese Anweisung und sendet aufgrund der neuen Informationen eine neue Anfrage, etwa:
GET /wiki/Katzen HTTP/1.1Host: de.wikipedia.org…
Und der Server antwortet und gibt den Artikel Katzen aus, etwa:
HTTP/1.0 200 OKDate: Fri, 13 Jan 2006 15:12:48 GMTLast-Modified: Tue, 10 Jan 2006 11:18:20 GMT
86
Content-Language: deContent-Type: text/html; charset=utf-8
Die Katzen (Felidae) sind eine Familie aus der Ordnung der Raubtiere (Carnivora)innerhalb der Überfamilie der Katzenartigen (Feloidea).…
Der Datenteil ist meist länger, hier soll nur das Protokoll betrachtet werden.
HTTP POST [Bearbeiten]
Da sich die Daten nicht in der URL befinden, können per POST große Datenmengen, z. B. Bilder, übertragen werden.
Im folgenden Beispiel wird wieder der Artikel Katzen angefordert, doch diesmal verwendet der Browser aufgrund eines modifizierten HTML-Codes (method="POST") eine POST-Anfrage. Die Variablen stehen dabei nicht in der URL, sondern gesondert im Body-Teil, etwa:
POST /wiki/Spezial:Search HTTP/1.1Host: de.wikipedia.orgContent-Type: application/x-www-form-urlencodedContent-Length: 24
search=Katzen&go=Artikel
Auch das versteht der Server und antwortet wieder mit beispielsweise folgendem Text:
HTTP/1.0 302 Moved TemporarilyDate: Fri, 13 Jan 2006 15:32:43 GMTLocation: http://de.wikipedia.org/wiki/Katzen…
HTTP-Statuscodes [Bearbeiten]→ Hauptartikel: HTTP-Statuscode
Jede HTTP-Anfrage wird vom Server mit einem HTTP-Statuscode beantwortet. Er gibt zum Beispiel Informationen darüber, ob die Anfrage erfolgreich bearbeitet wurde, oder teilt dem Client, also etwa dem Browser, im Fehlerfall mit, wo (z. B. Umleitung) bzw. wie (z. B. mit Authentifizierung) er die gewünschten Informationen (wenn möglich) erhalten kann.
1xx InformationenDie Bearbeitung der Anfrage dauert trotz der Rückmeldung noch an. Eine solche Zwischenantwort ist manchmal notwendig, da viele Clients nach einer bestimmten Zeitspanne (Timeout) automatisch annehmen, dass ein Fehler bei der Übertragung oder Verarbeitung der Anfrage aufgetreten ist, und mit einer Fehlermeldung abbrechen.2xx Erfolgreiche OperationDie Anfrage wurde bearbeitet und die Antwort wird an den Anfragesteller zurückgesendet.3xx UmleitungUm eine erfolgreiche Bearbeitung der Anfrage sicherzustellen, sind weitere Schritte seitens des Clients erforderlich. Das ist zum Beispiel der Fall, wenn eine Webseite vom Betreiber umgestaltet wurde, so dass sich eine gewünschte Datei nun an einem anderen Platz befindet. Mit der Antwort des Servers erfährt der Client im Location-Header, wo sich die Datei jetzt
87
befindet.4xx Client-FehlerBei der Bearbeitung der Anfrage ist ein Fehler aufgetreten, der im Verantwortungsbereich des Clients liegt. Ein 404 tritt beispielsweise ein, wenn ein Dokument angefragt wurde, das auf dem Server nicht existiert. Ein 403 weist den Client darauf hin, dass es ihm nicht erlaubt ist, das jeweilige Dokument abzurufen. Es kann sich zum Beispiel um ein vertrauliches oder nur per HTTPS zugängliches Dokument handeln.5xx Server-FehlerEs ist ein Fehler aufgetreten, dessen Ursache beim Server liegt. Zum Beispiel bedeutet 501, dass der Server nicht über die erforderlichen Funktionen (d. h. zum Beispiel Programme oder andere Dateien) verfügt, um die Anfrage zu bearbeiten.
Zusätzlich zum Statuscode enthält der Header der Server-Antwort eine Beschreibung des Fehlers in englischsprachigem Klartext. Zum Beispiel ist ein Fehler 404 an folgendem Header zu erkennen:
HTTP/1.1 404 Not Found…
HTTP-Authentifizierung [Bearbeiten]→ Hauptartikel: HTTP-Authentifizierung
Stellt der Webserver fest, dass für eine angeforderte Datei Benutzername oder Passwort nötig sind, meldet er das dem Browser mit dem Statuscode 401 Unauthorized und dem Header WWW-Authenticate. Dieser prüft, ob die Angaben vorliegen, oder präsentiert dem Anwender einen Dialog, in dem Name und Passwort einzutragen sind, und überträgt diese an den Server. Stimmen die Daten, wird die entsprechende Seite an den Browser gesendet. Es wird nach RFC 2617 unterschieden in:
Basic AuthenticationDie Basic Authentication ist die häufigste Art der HTTP-Authentifizierung. Der Webserver fordert eine Authentifizierung an, der Browser sucht daraufhin nach Benutzername/Passwort für diese Datei und fragt gegebenenfalls den Benutzer. Anschließend sendet er die Authentifizierung mit dem Authorization-Header in der Form Benutzername:Passwort Base64-codiert an den Server.
Digest Access AuthenticationBei der Digest Access Authentication sendet der Server zusätzlich mit dem WWW-Authenticate-Header eine eigens erzeugte zufällige Zeichenfolge („nonce“). Der Browser berechnet den Hashcode der gesamten Daten (Benutzername, Passwort, erhaltener Zeichenfolge, HTTP-Methode und angeforderter URI) und sendet sie im Authorization-Header zusammen mit dem Benutzernamen und der zufälligen Zeichenfolge zurück an den Server, der diese mit der selbst berechneten Prüfsumme vergleicht. Ein Abhören der Kommunikation nützt hier einem Angreifer nichts, da sich durch die Verschlüsselung mit dem Hashcode die Daten nicht rekonstruieren lassen und für jede Anforderung anders lauten.
Mögliche Auswahlfelder [Bearbeiten]
einzeiliges Texteingabefeld Passwortfeld mehrzeiliges Texteingabefeld Auswahllisten (Dropdown-Liste) Radiobuttons (Auswahl einer Option aus mehreren)
88
Checkboxen (Kästchen zum Abhaken) Felder zum Hochladen von Dateien versteckte Formularfelder (z.B. für Session-IDs) Klick-Buttons
Jedes Formular enthält einen Button zum Absenden und einige auch einen Button zum Zurücksetzen der Angaben.
Verwendung [Bearbeiten]
Neben Suchmaschinen und Webmailern gibt es noch die Onlineshops, die Formulare für die Korrektur der Adress- und Kontodaten anbieten. Auch werden Webformulare für Bestellung von Newslettern, für die Personalisierung oder das Hochladen von Dateien eingesetzt. Formulare werden eingesetzt, um Kommunikation ohne eine Angabe einer E-Mail-Adresse durchzuführen. Dabei kann Spam zum Beispiel durch CAPTCHAs ausgeschlossen werden.
Beispiel [Bearbeiten]
Beispielausgabe eines einfachen Webformulars.
Der folgende HTML-Quelltext bindet eine Wikipedia-Suche in die entsprechende Stelle der Webseite ein.
<form action="http://de.wikipedia.org/wiki/Spezial:Suche"> <fieldset> <legend>Suchen</legend> <input type="text" name="search" value="" /> <input type="submit" name="go" value="Artikel"/> <input type="submit" name="fulltext" value="Volltext" /> </fieldset><form>
Weiteres:
<?php
//Zum Datenbankserver verbinden
89
$dbc_id = mysql_connect('193.171.4.200', 'kurs','borg16');
if ($dbc_id == false)die ("Verbindung zum Datenbankserver fehlgeschlagen");
//Datenbank auswählen
if (mysql_select_db ('db_eg_sportborg', $dbc_id) == FALSE)die ("Verbindung mit der Datenbank ist fehlgeschlagen");else echo "OK";
//Benutzername und Kennword überprüfen
$username = $_POST['username'];$pwd = $_POST['pwd'];
//Ueberpruefen ob der User in der DB ist
$stmt= "SELECT account_lid, e.`account_pwd` FROM egw_accounts eWhere account_lid = '".$username."'";
if (!$result=mysql_query($stmt))die ('Falscher benutzername');elseecho "OK2";
?>
90
Novell-Spezial
Fernverwaltung (Kleckner) X
iPrint (Winkler)
Novell iPrint ist ein Dienst, mit dem es möglich ist über das Internet auf jedem Drucker zu drucken.Die verfügbaren Drucker werden im Webbrowser angezeigt. Wenn ein Drucker ausgewählt wird, werden die zugehörigen Treibern und der iPrint Client automatisch heruntergeladen und
91
installiert. Obwohl iPrint an NDPS gebunden ist, ist kein Novell Client notwendig, sondern lediglich ein iPrint Client. iPrint basiert auf dem IPP (Internet Printing Protocol).Vorteile von IPP:
Es benutzt das IP-Protokoll Es unterstützt ein breites Netz an Anbietern Es funktioniert lokal, aber auch über das Internet Es unterstützt gesicherte Verbindungen (SSL, TLS) Es funktioniert auf den meisten gängigen Plattformen (Windows, Novell, Macintosh,
Linux, UNIX etc.)
Vorteile von iPrint: Drucker-Treiber Download und Installation Webbrowser basierendes Druck-Interface Veränderbare Benutzeroberfläche Sicherer Datentransfer eDirectory Einbindung für sicheres Drucken
iPrint besteht aus verschiedenen Komponenten.
Auf dem Host-Computer (Server): IPP Server:
Das Netzwerk-Frontend von iPrint. Leitet die Druckaufträge von Clients an den Print Manager weiter.
Print Manager: Verwaltet die Printer Agents. Verteilt die Druckaufträge vom IPP Server auf die Printer Agents. Er regelt auch die Zugriffsberechtigungen.
Printer Agent:Jeder Drucker benötigt einen Printer Agent, der die Druckaufträge verwaltet. Er kommuniziert mit dem Drucker über das iPrint Gateway.
iPrint Gateway: Das Gateway ist das Backend, das die verarbeiteten Druckaufträge an die Drucker weiterleitet.
Driver Store: Stellt dem Client bei der Installation eines Druckers die Treiber zur Verfügung
Auf dem Client-Computer:
92
Der iPrint Client sorgt für die Kommunikation zwischen lokalem Betriebssystem und dem Server.
Automatische Druckerinstallation (mit NPDS Manager)RPM-Konfiguration3 Kästchen:
Workstation nicht updaten, falls ein Treiber nicht funktioniert so kann man es aushackenVerschiedene Drucker die alte und neue Revisionen habenEine Meldung soll erscheinen, wenn eine Aktualisierung stattgefunden hat.Bei mehreren Druckern kann man einen als Default auswählen
Printers to removeDrucker können entfernt werden, ohne dass man sich direkt beim Drucker befindet.Printer SecurityLow: Nur client applications werden gefragtMedium: über NDPS-Manager (Installationsstandard)High: Alles was im NDPS Manager eingetragen wird und druckmäßig gestattet istWeg: iPrint Manage printer Access control SecurityOrder of print jobsDie Reihenfolge der Druckaufträge kann bestimmt werdenWeg: Printer control Job Promote (Einstellungen können vor- oder zurückgesetzt werden)
Print Service ManagerMan kann theoretisch an einem beliebigen Ort, sofern der Drucker über eine Internet-Verbindung verfügt, drucken. Darum braucht der Drucker eine URL.Vorgang: NDPSM NDPS_Manager_Object_Name/dnsname=NDPS_Manager_DNS_NameIPP (Internet Printer Protocol) muss vorhanden sein, damit ein Drucker über jede Website verfügbar ist. IPP muss im iManager bzw. im Drucker konfiguriert werden. Man kann eine Art Lageplan von Druckern in einem Gebäude erstellen und die Drucker per Klick ansprechen.
iPrint Map DesignerBildformate JPEG,GIF,BMP können verwendet werde.Mit einem map tool können Zuordnungen oder Gestaltungen durchgeführt werden (Zugriff auf eine Website mit Port 631). Es werden die verfügbaren Drucker auf einer Seite angezeigt
93
Ifolder (Purgaj)
iFolderNovell iFolder ist ein Produkt der Firma Novell. Mit den zu iFolder gehörenden Programmen ist es auf einfache Weise möglich, Dateien auf mehreren Computern synchron zu halten.Ist ein iFolder-System aufgesetzt, ermöglicht es den Nutzern das Arbeiten mit gemeinsam genutzten Verzeichnissen: Markiert ein Nutzer auf seinem Computer ein Verzeichnis als ein iFolder-Verzeichnis, wird dies dem zentralen Server mitgeteilt, der daraufhin eine eigene Kopie erstellt. Sobald der Nutzer nun in diesem iFolder-Verzeichnis etwas ändert, werden diese Änderungen mit der Kopie auf dem Server synchronisiert. Der Nutzer kann zusätzlich andere Nutzer einladen, ebenfalls auf das Verzeichnis zuzugreifen. Auf deren Computern wird dann ebenfalls eine Kopie des Verzeichnisses abgelegt, das alle Änderungen mit dem Server abgleicht. Somit hat jeder Nutzer, welcher Zugriffsrechte für das Verzeichnis hat, die gleichen Dokumente und den gleichen Versionsstand wie die anderen Nutzer.Darüber hinaus ist auch der Zugriff über eine Web-Schnittstelle möglich, um auch dann Zugriff zu gewähren, wenn der Nutzer sich an einem Computer ohne einen iFolder-Client befindet.Bei Netware 6.5 ist der iFolder-Server 2 dabei, dieser kann einen Ordner mit einem anderen Ordner im Netz abgleichen.Für iFolder kann IIS verwendet werden, doch die bessere Lösung ist ApacheiFolder 3 gibt es zurzeit für Linux. Dort steht shared iFolder zur Verfügung man hat die Möglichkeit einen Folder gemeinsam zu nutzen. Nicht auf Netware-Servern möglichInstallation von iFolder unter SLES
YaST > Software Repositorieshttp server name : download.opensuse.orgserver directory : /repositories/Mono:/UIA:/iFolder/MonoSLE_11/
2) YaST > Sofware Management und folgende Pakete installieren apache2, ifolder-server, ifolder-server-plugins
3) SSL für Apache aktivieren
94
Im Terminal:su - # switch to roota2enmod ssl # SSL-Modul für Apache 2 aktivierencp /etc/apache2/vhosts.d/vhosts.ssl.template vhosts-ssl.conf # Kopieren der Template-Datei um SSL-Konfiguration zu benutzen
Jetzt muss man das kopierte Template bearbeiten:Mit einem Editor seiner Wahl öffnet man die vhost-ssl.conf und sucht die Zeile mit 'SSLCertificateFile...' und ändert sie zu --> SSLCertificateFile /etc/ssl/servercerts/servercert.pemDasselbe macht man mit der Zeile: 'SSLCertificateKeyFile' --> SSLCertificateKeyFile /etc/ssl/servercerts/serverkey.pem(Beide pem-Dateien wurden bei der Sles-Installation erstellt. Wenn diese Dateien fehlen, muss man sie manuell erstellen.)
Apache stoppen - service apache2 stop
Im Terminal noch - Simias config- iFolder admin config- iFolder web configeingeben und den Schritten folgen
Alle .conf-Dateien in den Ordner /etc/apache2 kopieren
Apache-Dienst wieder starten:service apache2 start
iFolder wird über die iFolder Managment Console konfigurierthttps://server_adresse/iFolderServer/Admin
Global Settings>General Information
95
Was darf der User, was darf er nicht Policies
Probleme kann es geben, wenn man mit mehreren iFolder-Usern angemeldet ist und gleichzeitig mehrere Threads zum Apache hat.Es sind 312 Threads erlaubtDie Threads werden in der http.conf konfiguriert
User:
Informationen des Users:
96
Zugriff auf iFolder für Benutzer aktivieren1. Man meldet sich beim Abschnitt "User Management" an2. Man sucht mit der "erweiterten Suche" nach allen Benutzern auf dem Server, die soeben iFolder installiert hatten.3. Man aktiviert das Kontrollkästchen neben allen Benutzern, die ein iFolder-Konto erhalten sollen und klickt dann auf "Enable", neben "Checked Users as iFolder Users". Falls alle Benutzer ein iFolder-Konto erhalten sollen, klickt man lediglich auf die Schaltfläche "Enable" neben "All Listed Users as iFolder Users".
NetStorageNetStorage erlaubt einen leichten Zugriff auf Dateien am Server über einen Web-Browser. Um NetStorage zu konfigurieren, macht man folgende Schritte:
1. iManager öffnen
2. Virtual Office Managment --> Services Administration -->NetStorage. Dann kommt folgendes Fenster:
97
3. "Enable" ankreuzen
4. Darunter wählt man den Server aus, auf dem NetStorage installiert ist.
a. NetStorage ist am aktuellen Server installiert
b. Man gibt die IP-Adresse oder den DNS-Namen des Servers ein
c. spezifische URL eingeben für NetStorage
Zugriff auf NetStorage-Verzeichnisse
Im Browser eingeben: https://DNS_oder_IP_Adresse:443/NetStorage/
Nun hat man Zugriff auf die freigegeben Verzeichnisse:
98
Im Browser-Fenster erscheinen die Ordner und Dateien des Homeverzeichnisses. Als Dateioperationen sind Löschen, Umbenennen, Heraufladen und Herunterladen möglich. Neue Ordner können ebenfalls erstellt werden
Verwaltungsobjekte (Fraißler)
Objektklassen:Container(kann andere beinhalten) == Organisationen, Organisatorische Einheit. und Blattobjekte(keine weitere in sich). == Kann nichts beinhalten
Tree Root (Man kann nicht alle Eigenschaften verändern => Nicht container).
Tree Container (gibt es nur einmal auf dem Server wo die erste installation stattgefunden hat). == Muss Organisation beinhalten und könnte Country und alias Objekte(Kann auf Tree und O zeigen) beinhalten.
!! Wenn man nach Root fragt ist Tree Root gemeint !!
Man kann mit DS Merch den Treenamen ändern
Trusty => ZugriffsberechtigterTreeobjekt Berechtigungen gelten nur für angemeldete Benutzer.Container:
Domain(OO) => Für bessere Organisation; Container Objekt License Container => Container Object
99
Organisation => In einem Baum muss mindestens eine davon existieren Organisational Unit => Sec Container => Beinhaltet verschlüsselte Objekte Role Based Service (Container) RBS => Man kann hier rollen definieren. Man sieht
Menüpunkte und kann diese durchführen und andere nicht weil er sie nicht sieht. Z.B. Druckeradministratoren dürfen Objekte anlegen und verwalten. Das Objekt wirkt Gruppen-Artik aber ist ein Container.
Blattobjekte: Aliasobjekt => Alias kann auf einen Container zeigen oder was auch immer Applikation Objekt => kann Applikationen (Ausführbare Anwendungen die ein
Ereignis auslösen) Directory Map => Wenn man z.B. ein Programm verschiebt also sind alle Pfade
falsch. Ein Map Objekt kann alle diese Pfade verwalten. Gruppe => Sie besitzt Eigenschaften wie Mitgliederliste diese Mehrwertig ist
(beinhaltet z.B. Namen) LDAP Group/Server => werden automatisch erstellt License Certificate => Beinhaltet Lizenzen NDPS Broker/Manager/Printer => Neues Konzept des Druckens; Broker stellt
Druckertreiber zur Verfügung; Manager auch und kontrolliert Broker; Printer ist ein gesteuerter Drucker
Printer => Er geht nach dem alten Warteschlangen verfahren. Print-Server => wurde durch den Broker ersetzt. Netware Server => Der Server taucht auch im Baum auf. Der Server und seine
Volumes tauchen im Baum auf. Er beinhaltet Volumes und ist trotzdem Blattobjekt. Organisational Role => Gruppenartiges Blattobjekt. Man verwendet es um
administrative Tätigkeiten im Baum zu verwalten während die Gruppe für Dateien zu administrieren. Die Mitglieder hier heißen „Träger“
Profile => Ist ein Objekt dass für die Anmeldung eines Users zur Verfügung stehen kann. Es beinhaltet ein Login-Skript (z.B. Autostart) Es kann hier für eine Gruppe kein Login-Skript geben weil sich keine Gruppen anmelden können. Sie gilt nur für mehrere gleichzeitig.
Unknown => Nur wenn das System nicht weiß wie das System ein Objekt zuordnen soll.
User => Der der sich anmeldet Volume => Man sieht darin die Struktur ist aber ein Blattobjekt. Workstation Objekt => Ist ein Computer Apple filing Protocoll Print Queue => Nicht NDPS Template => Vorlage, Das Objekt wird definiert. Benutzervorgaben. Es steht nicht der
Name Kennwort weiter aber es steht dass er eins haben muss.
Fluss der Berechtigungen Identifizieren
100
Es wir über Vererbung weitergegeben. Kontext
Das festlegen des Containers in dem das Objekt sich befindet. Bei Anmeldung ist es das Benutzerobjekt.Wenn man den Benutzernamen eingibt gibt man den Namen eines zugeordneten Benutzerobjekts ein. Dann ist die Frage in welchem Kontext (wo es liegt) es sich befindet. Der Kontext ist sehr sehr wichtig. Man muss ihn kennen.Außer beim Bindery Objekt. Alle Objekte hier da muss man keinen Kontext angeben.
Wo befindet sich das Blattobjekt? Kontext zeigt dorthin. Bei der ADS ist es nicht möglich 2 gleichnamige Benutzer zu haben. Bei der Netware gibt es das schon sofern sie nicht im selben Container sitzen. LDAP Anmeldung(Kontextlose Anmeldung) gibt es hier nicht. Also ist bei LDAP das nicht möglich.
Naming ConventionMan muss angeben wie man das findet. Jedes Objekt bekommt 1 oder 2 Buchstaben zugeordnet je nach Art. Man kann ohne Typangabe arbeiten wenn man kein Country Objekt hat.
Als Kennzeichen für einen vollständigen Namen wird ein führender Punkt verwendet. Novell erlaubt deshalb keine Punkte im Name. Im Dos bewegt man sich von Wurzel zu Blatt. Im eDirectory von Blatt zu Wurzel. Der Punkt vorne ist das Kennzeichen dass es bis zur Wurzel geht. Bzw. bis zum Country. Ein Name ohne Punkt ist ein relativer Name. Relativ heißt immer auf den aktuellen Kontext bezogen. Wenn man in O borg ist und man sieht den Container Roschger dann kann man ihn ohne Punkt angeben. Das ein relativer Name.Der Kontext wird durch die Anmeldung festgelegt. Und der Kontext wird erstellt durch klicken auf den Container in ConsoleOne. eGuy ist hier die Suchfunktion.
C= Countryname O= Organisation C= blattObjekt OU= Organisationseinheit
101
Benutzer (Flock)X
Attributobjekt (Dajki) X
102
