Περιεχόμενα · Περιεχόμενα 9 Γνωριμία με την κονσόλα...

Περιεχόμενα

Ευχαριστίες ............................................................................................................................ 23

Εισαγωγή................................................................................................................................ 25

Μέρος Ι

Τα βασικά της διαχείρισης των Microsoft Windows Server 2003

1 Γενική παρουσίαση της διαχείρισης συστήματος στα Microsoft Windows Server 2003 ................................................................... 31

Microsoft Windows Server 2003 ........................................................................................... 32

Ελεγκτές περιοχών και διακομιστές-μέλη......................................................................... 34

Κατανόηση και χρήση των ρόλων διακομιστών............................................................... 35

Άλλοι πόροι των Windows Server 2003 ........................................................................... 38

Εργαλεία που χρησιμοποιούνται συχνά ............................................................................ 40

Χρήση βοηθητικών προγραμμάτων του Πίνακα Ελέγχου..................................................... 40

Χρήση εργαλείων διαχείρισης με γραφικά ............................................................................ 41

Βασικά εργαλεία διαχείρισης με γραφικά......................................................................... 42

Εργαλεία και διευθέτηση................................................................................................... 44

Χρήση βοηθητικών προγραμμάτων γραμμής διαταγών ........................................................ 44

Βοηθητικά προγράμματα που αξίζει να γνωρίζετε ........................................................... 44

Χρήση εργαλείων ΝΕΤ ..................................................................................................... 45

2 Διαχείριση διακομιστών που εκτελούν τα Microsoft Windows Server 2003 ... 47

Διαχείριση δικτυωμένων συστημάτων................................................................................... 47

Σύνδεση με άλλους υπολογιστές....................................................................................... 48

Αποστολή μηνυμάτων κονσόλας ...................................................................................... 49

Εξαγωγή καταλόγων πληροφοριών................................................................................... 50

Χρήση των εργαλείων συστήματος της κονσόλας Computer Management..................... 50

Χρήση των εργαλείων αποθήκευσης στην κονσόλα Computer Management.................. 51

Εργασία με υπηρεσίες και εφαρμογές............................................................................... 52

Διαχείριση περιβάλλοντος, προφίλ, και ιδιοτήτων συστήματος ........................................... 52

Η καρτέλα General ............................................................................................................ 53

Η καρτέλα Computer Name .............................................................................................. 53

Η καρτέλα Hardware ......................................................................................................... 54

Η καρτέλα Advanced......................................................................................................... 55

Διευθέτηση μεταβλητών περιβάλλοντος συστήματος και χρήστη ................................... 60

Δημιουργία μεταβλητής περιβάλλοντος ........................................................................... 61

Διευθέτηση εκκίνησης και αποκατάστασης συστήματος ................................................. 61

Ενεργοποίηση και απενεργοποίηση αναφορών σφαλμάτων ............................................ 64

Η καρτέλα Automatic Updates.......................................................................................... 66

Η καρτέλα Remote ............................................................................................................ 66

Διαχείριση συσκευών και προγραμμάτων οδήγησης υλικού ................................................ 67

8 Περιεχόμενα

Εργασία με ενυπόγραφα και ανυπόγραφα προγράμματα οδήγησης συσκευών .............. 67

Εξέταση και διαχείριση συσκευών υλικού........................................................................ 68

Διευθέτηση προγραμμάτων οδήγησης συσκευών............................................................. 70

Διαχείριση υλικού ............................................................................................................. 74

Διαχείριση βιβλιοθηκών δυναμικής σύνδεσης ...................................................................... 77

3 Παρακολούθηση διεργασιών, υπηρεσιών, και συμβάντων.............................. 79

Διαχείριση εφαρμογών, διεργασιών, και επιδόσεων ............................................................. 79

Διαχείριση εργασιών ......................................................................................................... 79

Διαχείριση εφαρμογών ...................................................................................................... 80

Διαχείριση διεργασιών ...................................................................................................... 81

Εξέταση και διαχείριση συσκευών υλικού........................................................................ 84

Εξέταση και διαχείριση επιδόσεων δικτύου ..................................................................... 86

Εμφάνιση και διαχείριση περιόδων εργασίας απομακρυσμένων χρηστών ...................... 88

Διαχείριση υπηρεσιών συστήματος ....................................................................................... 89

Εκκίνηση, τερματισμός, και διακοπή υπηρεσιών ............................................................. 90

Διευθέτηση εκκίνησης υπηρεσιών .................................................................................... 91

Διευθέτηση σύνδεσης υπηρεσίας ...................................................................................... 92

Διευθέτηση επαναφοράς υπηρεσίας.................................................................................. 93

Απενεργοποίηση μη απαραίτητων υπηρεσιών.................................................................. 95

Καταγραφή και προβολή συμβάντων .................................................................................... 96

Προσπέλαση και χρήση των ημερολογίων συμβάντων .................................................... 97

Καθορισμός επιλογών ημερολογίου συμβάντων .............................................................. 98

Καθαρισμός των ημερολογίων συμβάντων..................................................................... 100

Αρχειοθέτηση των ημερολογίων συμβάντων ................................................................. 100

Παρακολούθηση απόδοσης και δραστηριότητας διακομιστή ............................................. 103

Γιατί πρέπει να παρακολουθείτε το διακομιστή σας;...................................................... 103

Ετοιμασία για παρακολούθηση....................................................................................... 103

Χρήση του βοηθήματος Performance Monitor ............................................................... 104

Επιλογή μετρητών για παρακολούθηση.......................................................................... 104

Χρήση ημερολογίων απόδοσης....................................................................................... 106

Εμφάνιση και επανεξέταση ημερολογίων απόδοσης...................................................... 113

Διευθέτηση ειδοποιήσεων για μετρητές απόδοσης......................................................... 113

Εκτέλεση σεναρίων ως ενεργειών................................................................................... 117

Ακριβείς ρυθμίσεις της απόδοσης του συστήματος............................................................. 118

Παρακολούθηση και ρύθμιση της χρήσης της μνήμης................................................... 118

Παρακολούθηση και ρύθμιση της χρήσης του επεξεργαστή.......................................... 121

Παρακολούθηση και ρύθμιση της εισόδου/εξόδου στο δίσκο........................................ 121

Παρακολούθηση και ρύθμιση του εύρους ζώνης και της συνδετικότητας του δικτύου 122

4 Αυτοματοποίηση εργασιών διαχείρισης, πολιτικών, και διαδικασιών.......... 125

Διαχείριση πολιτικών για ομάδες......................................................................................... 125

Τι είναι οι πολιτικές ομάδων ........................................................................................... 126

Με ποια σειρά εφαρμόζονται οι πολλαπλές πολιτικές;................................................... 127

Πότε εφαρμόζονται οι πολιτικές ομάδων;....................................................................... 127

Απαιτήσεις για τις πολιτικές ομάδων και συμβατότητα εκδόσεων ................................ 128

Διαχείριση τοπικών πολιτικών για ομάδες...................................................................... 129

Διαχείριση πολιτικών για τοποθεσίες, περιοχές, και μονάδες ........................................ 130

Εργασία με πολιτικές για ομάδες ......................................................................................... 136

Περιεχόμενα 9

Γνωριμία με την κονσόλα Group Policy ......................................................................... 136

Κεντρική διαχείριση ειδικών φακέλων ........................................................................... 137

Χρήση προτύπου διαχείρισης για τον καθορισμό πολιτικών.......................................... 142

Διαχείριση σεναρίων για χρήστες και υπολογιστές ............................................................. 144

Αντιστοίχιση σεναρίων εκκίνησης και τερματισμού του υπολογιστή............................ 145

Αντιστοίχιση σεναρίων σύνδεσης και αποσύνδεσης χρηστών ....................................... 146

Εφαρμογή πολιτικής ασφαλείας μέσω προτύπων................................................................ 148

Κατανόηση των πολιτικών ασφαλείας και των διαχειριστικών εργαλείων.................... 148

Εφαρμογή προτύπων ασφαλείας ..................................................................................... 150

Προγραμματισμός εργασιών................................................................................................ 151

Βοηθητικά προγράμματα για προγραμματισμό εργασιών.............................................. 151

Ετοιμασία για προγραμματισμό εργασιών...................................................................... 152

Προγραμματισμός εργασιών με τον Οδηγό Προγραμματισμού εργασιών..................... 152

5 Χρήση υπηρεσιών υποστήριξης και απομακρυσμένης επιφάνειας εργασίας........................................................................................... 155

Παρουσίαση των υπηρεσιών υποστήριξης .......................................................................... 155

Εργασία με το αυτοματοποιημένο σύστημα Βοήθειας........................................................ 156

Χρήση του κέντρου Βοήθειας και Υποστήριξης ............................................................ 157

Παρουσίαση του πλαισίου εφαρμογής............................................................................ 158

Παρακολούθηση της υγείας του συστήματος ................................................................. 159

Κατανόηση και χρήση των αυτόματων ενημερώσεων ........................................................ 161

Γενικά για τις Αυτόματες ενημερώσεις........................................................................... 161

Διευθέτηση των Αυτόματων ενημερώσεων.................................................................... 162

Διευθέτηση διακομιστών ενημέρωσης............................................................................ 165

Κατέβασμα και εγκατάσταση Αυτόματων ενημερώσεων .............................................. 166

Κατάργηση Αυτόματων ενημερώσεων για την ανάνηψη από προβλήματα................... 166

Διαχείριση της τηλεπρόσβασης σε διακομιστές .................................................................. 167

Διευθέτηση της τηλεβοήθειας ......................................................................................... 167

Διευθέτηση της πρόσβασης στη απομακρυσμένη επιφάνεια εργασίας .......................... 168

Δημιουργία συνδέσεων απομακρυσμένης επιφάνειας εργασίας..................................... 169

Διευθέτηση ώρας των Windows .......................................................................................... 171

Υπηρεσία Windows Time και Windows Server 2003 .................................................... 172

Ενεργοποίηση και απενεργοποίηση της υπηρεσίας Windows Time σε αυτόνομους

διακομιστές και σε διακομιστές-μέλη ......................................................................... 173

Μέρος ΙΙ

Διαχείριση των υπηρεσιών καταλόγου στα Microsoft Windows Server 2003

6 Χρήση της υπηρεσίας Ενεργού Καταλόγου ..................................................... 177

Εισαγωγή στην υπηρεσία Ενεργού Καταλόγου................................................................... 177

Η υπηρεσία Ενεργού Καταλόγου και η υπηρεσία DNS ................................................. 177

Ξεκίνημα στην υπηρεσία Ενεργού Καταλόγου............................................................... 178

Εργασία με δομές περιοχών ................................................................................................. 179

Περιοχές .......................................................................................................................... 179

Δάση περιοχών και δένδρα περιοχών.............................................................................. 180

Οργανωτικές μονάδες...................................................................................................... 182


Τοποθεσίες και υποδίκτυα............................................................................................... 183

Χρήση περιοχών Ενεργού Καταλόγου ................................................................................ 184

Υπολογιστές με Windows Server 2003, Windows XP, και Windows 2000

με τεχνολογία Active Directory................................................................................... 185

Χρήση της τεχνολογίας Active Directory στα Windows 95 και τα Windows 98 ......... 186

Χρήση της τεχνολογίας Active Directory σε περιοχές Windows NT

και Windows 2000....................................................................................................... 188

Ανύψωση λειτουργιών περιοχής και δάσους .................................................................. 193

Δομή του καταλόγου ............................................................................................................ 194

Εξερεύνηση της αποθήκης δεδομένων............................................................................ 195

Εξερεύνηση των καθολικών καταλόγων......................................................................... 196

Τοποθέτηση όλων των συμμετοχών μιας ομάδας στην κρυφή μνήμη ........................... 197

Αναπαραγωγή και υπηρεσία Ενεργού Καταλόγου ......................................................... 198

Υπηρεσία Ενεργού Καταλόγου και πρωτόκολλο LDAP................................................ 199

Ρόλοι κύριων διακομιστών λειτουργιών ......................................................................... 200

7 Διαχείριση πυρήνα Ενεργού Καταλόγου .......................................................... 203

Εργαλεία διαχείρισης υπηρεσιών Ενεργού Καταλόγου....................................................... 203

Διαχειριστικά εργαλεία Ενεργού Καταλόγου ................................................................. 203

Εργαλεία Ενεργού Καταλόγου με χρήση γραμμής διαταγών......................................... 205

Εργαλεία υποστήριξης Ενεργού Καταλόγου .................................................................. 205

Χρήση του εργαλείου Active Directory Users And Computers .......................................... 205

Εκκίνηση του εργαλείου Active Directory Users And Computers................................. 206

Εισαγωγή στη χρήση του εργαλείου Active Directory Users And Computers .............. 207

Σύνδεση σε έναν ελεγκτή περιοχής................................................................................. 208

Σύνδεση σε μια περιοχή .................................................................................................. 209

Αναζήτηση λογαριασμών και κοινόχρηστων πόρων ...................................................... 209

Διαχείριση λογαριασμών υπολογιστών........................................................................... 211

Δημιουργία λογαριασμών υπολογιστών σε σταθμό εργασίας ή διακομιστή.................. 212

Δημιουργία λογαριασμών υπολογιστών με το εργαλείο Active

Directory Users And Computers ................................................................................. 212

Εμφάνιση και επεξεργασία ιδιοτήτων λογαριασμών υπολογιστών................................ 213

Διαγραφή, απενεργοποίηση, και ενεργοποίηση λογαριασμών υπολογιστών ................ 213

Επαναφορά κλειδωμένων λογαριασμών υπολογιστών ................................................... 214

Μετακίνηση λογαριασμών υπολογιστών ........................................................................ 214

Διαχείριση υπολογιστών ................................................................................................. 215

Προσθήκη υπολογιστή σε περιοχή ή ομάδα εργασίας.................................................... 215

Διαχείριση ελεγκτών περιοχής, ρόλων, και καταλόγων ...................................................... 218

Εγκατάσταση και υποβιβασμός ελεγκτών περιοχής ....................................................... 218

Εμφάνιση και μεταβίβαση του ρόλου του κύριου διακομιστή λειτουργιών

απόδοσης ονομάτων περιοχών .................................................................................... 220

Εμφάνιση και μεταβίβαση του ρόλου του κύριου διακομιστή

λειτουργιών σχήματος ................................................................................................. 221

Μεταφορά ρόλων με τη γραμμή διαταγών ..................................................................... 221

Απόσπαση ρόλων από τη γραμμή διαταγών ................................................................... 222

Διευθέτηση καθολικών καταλόγων................................................................................. 223

Διευθέτηση του συνόλου των συμμετοχών ομάδας στην κρυφή μνήμη ........................ 224


Διαχείριση οργανωτικών μονάδων ...................................................................................... 225

Δημιουργία οργανωτικών μονάδων ................................................................................ 225

Εμφάνιση και επεξεργασία ιδιοτήτων οργανωτικών μονάδων....................................... 226

Μετονομασία και διαγραφή οργανωτικών μονάδων ...................................................... 226

Μετακίνηση οργανωτικών μονάδων............................................................................... 226

8 Εξερεύνηση των λογαριασμών χρηστών και ομάδων .................................... 227

Το μοντέλο ασφαλείας των Windows Server 2003 ............................................................. 227

Πρωτόκολλα πιστοποίησης ............................................................................................. 227

Έλεγχοι πρόσβασης......................................................................................................... 228

Διαφορές μεταξύ λογαριασμών χρηστών και λογαριασμών ομάδων................................. 229

Λογαριασμοί χρηστών..................................................................................................... 229

Ομάδες............................................................................................................................. 231

Προεπιλεγμένοι λογαριασμοί χρηστών και ομάδων............................................................ 235

Ενσωματωμένοι λογαριασμοί χρηστών .......................................................................... 236

Προκαθορισμένοι λογαριασμοί χρηστών........................................................................ 237

Ενσωματωμένες και προκαθορισμένες ομάδες............................................................... 239

Υπονοούμενες ομάδες και ειδικές ταυτότητες................................................................ 239

Δυνατότητες λογαριασμών .................................................................................................. 240

Προνόμια ......................................................................................................................... 241

Δικαιώματα σύνδεσης ..................................................................................................... 244

Ενσωματωμένες δυνατότητες ομάδων Ενεργού Καταλόγου.......................................... 244

Χρήση προεπιλεγμένων λογαριασμών ομάδων................................................................... 249

Ομάδες που χρησιμοποιούνται από διαχειριστές............................................................ 249

Υπονοούμενες ομάδες και ταυτότητες ............................................................................ 251

9 Δημιουργία λογαριασμών χρηστών και ομάδων............................................. 253

Διαμόρφωση και οργάνωση λογαριασμών χρηστών ........................................................... 253

Πολιτικές ονομασίας λογαριασμών ................................................................................ 253

Πολιτικές κωδικών πρόσβασης και λογαριασμών.......................................................... 255

Διευθέτηση πολιτικών λογαριασμών ................................................................................... 260

Διευθέτηση πολιτικών κωδικών πρόσβασης................................................................... 260

Διευθέτηση πολιτικών αποκλεισμού λογαριασμών ........................................................ 262

Διευθέτηση πολιτικών του πρωτοκόλλου Kerberos ....................................................... 264

Διευθέτηση πολιτικής δικαιωμάτων χρήστη........................................................................ 266

Διευθέτηση δικαιωμάτων χρηστών σε καθολικό επίπεδο............................................... 267

Διευθέτηση δικαιωμάτων χρηστών σε τοπικό επίπεδο................................................... 268

Προσθήκη λογαριασμού χρήστη.......................................................................................... 269

Δημιουργία λογαριασμών χρηστών περιοχής ................................................................. 269

Δημιουργία τοπικών λογαριασμών χρηστών .................................................................. 271

Προσθήκη λογαριασμού ομάδας.......................................................................................... 273

Δημιουργία καθολικής ομάδας........................................................................................ 273

Δημιουργία τοπικής ομάδας και προσθήκη μελών ......................................................... 275

Χειρισμός μελών καθολικών ομάδων.................................................................................. 276

Διαχείριση μεμονωμένων μελών..................................................................................... 276

Διαχείριση πολλών μελών σε μια ομάδα ........................................................................ 277

Ορισμός της πρωτεύουσας ομάδας χρηστών και υπολογιστών...................................... 277


10 Διαχείριση υπαρχόντων λογαριασμών χρηστών και ομάδων....................... 279

Διαχείριση πληροφοριών επαφής με το χρήστη .................................................................. 279

Καθορισμός πληροφοριών επαφής ................................................................................. 279

Αναζήτηση χρηστών και δημιουργία καταχωρίσεων βιβλίου διευθύνσεων................... 281

Διευθέτηση των ρυθμίσεων περιβάλλοντος του χρήστη ..................................................... 282

Μεταβλητές περιβάλλοντος συστήματος........................................................................ 283

Σενάρια σύνδεσης............................................................................................................ 284

Ανάθεση αρχικών φακέλων ............................................................................................ 285

Ορισμός επιλογών και περιορισμών των λογαριασμών ...................................................... 286

Διαχείριση ωρών σύνδεσης ............................................................................................. 286

Καθορισμός σταθμών εργασίας από όπου επιτρέπεται η σύνδεση................................. 288

Καθορισμός προνομίων τηλεφωνικής σύνδεσης και εικονικού ιδιωτικού δικτύου ...... 290

Ορισμός επιλογών ασφαλείας λογαριασμού................................................................... 292

Διαχείριση προφίλ χρηστών................................................................................................. 293

Προφίλ τοπικά, περιαγωγής, και υποχρεωτικά ............................................................... 293

Χρήση του βοηθήματος System για τη διαχείριση τοπικών προφίλ............................... 296

Ενημέρωση λογαριασμών χρηστών και ομάδων ................................................................. 300

Μετονομασία λογαριασμών χρηστών και ομάδων ......................................................... 301

Αντιγραφή λογαριασμών χρηστών στην περιοχή ........................................................... 302

Διαγραφή λογαριασμών χρηστών και ομάδων ............................................................... 303

Αλλαγή και επαναφορά κωδικών πρόσβασης................................................................. 304

Ενεργοποίηση λογαριασμών χρηστών ............................................................................ 304

Διαχείριση λογαριασμών πολλών χρηστών ......................................................................... 305

Καθορισμός προφίλ για πολλούς λογαριασμούς ............................................................ 306

Ορισμός ωρών σύνδεσης για πολλούς λογαριασμούς .................................................... 307

Ορισμός επιτρεπόμενων σταθμών εργασίας σύνδεσης για πολλούς

λογαριασμούς............................................................................................................... 308

Ορισμός ιδιοτήτων σύνδεσης, κωδικών πρόσβασης, και λήξης για πολλούς

λογαριασμούς............................................................................................................... 308

Αντιμετώπιση προβλημάτων κατά τη σύνδεση ................................................................... 309

Ορισμός προχωρημένων αδειών Ενεργού Καταλόγου ........................................................ 309

Προχωρημένες άδειες χρηστών, ομάδων, και υπολογιστών........................................... 310

Μέρος ΙΙΙ

Διαχείριση δεδομένων στα Microsoft Windows Server 2003

11 Διαχείριση συστημάτων αρχείων και μονάδων δίσκων ................................. 315

Προσθήκη μονάδων σκληρού δίσκου.................................................................................. 315

Φυσικές μονάδες δίσκων................................................................................................. 316

Προετοιμασία μονάδας για χρήση................................................................................... 317

Εγκατάσταση και έλεγχος νέας μονάδας δίσκου ............................................................ 320

Η έννοια της κατάστασης του δίσκου ............................................................................. 320

Εργασία με βασικούς και δυναμικούς δίσκους.................................................................... 320

Χρήση βασικών και δυναμικών δίσκων.......................................................................... 322

Ειδικά θέματα για τους βασικούς και τους δυναμικούς δίσκους .................................... 323

Σήμανση ενεργού διαμερίσματος.................................................................................... 323

Αλλαγή τύπου δίσκου...................................................................................................... 324

Επαναφορά δυναμικού δίσκου σε βασικό....................................................................... 325

Επανενεργοποίηση δυναμικών δίσκων ........................................................................... 325


Επανασάρωση δίσκων..................................................................................................... 326

Μεταφορά δυναμικού δίσκου σε νέο σύστημα............................................................... 326

Χρήση βασικών δίσκων και διαμερισμάτων ....................................................................... 327

Βασικά περί διαμερίσεων................................................................................................ 327

Δημιουργία διαμερισμάτων............................................................................................. 328

Διαμόρφωση διαμερισμάτων........................................................................................... 331

Ενημέρωση του δίσκου εκκίνησης.................................................................................. 332

Διαχείριση διαμερισμάτων και μονάδων ............................................................................. 334

Αντιστοίχιση γραμμάτων και διαδρομών δίσκου ........................................................... 334

Αλλαγή ή διαγραφή της ετικέτας μονάδας...................................................................... 335

Διαγραφή διαμερισμάτων και μονάδων .......................................................................... 335

Μετατροπή μονάδας σε NTFS ........................................................................................ 336

Έλεγχος μονάδας για σφάλματα και κατεστραμμένους τομείς ...................................... 337

Ανασυγκρότηση δίσκων.................................................................................................. 339

Συμπίεση μονάδων και δεδομένων ................................................................................. 340

Κρυπτογράφηση μονάδων και δεδομένων...................................................................... 343

Η κρυπτογράφηση και το σύστημα κρυπτογράφησης αρχείων EFS .............................. 343

Εργασία με κρυπτογραφημένα αρχεία και φακέλους ..................................................... 346

Διευθέτηση πολιτικής ανάκτησης ................................................................................... 346

Ανάκτηση χώρου στο δίσκο ............................................................................................ 349

12 Διαχείριση συνόλων μονάδων δίσκων και συστοιχιών RAID ........................ 351

Χρήση μονάδων και συνόλων μονάδων .............................................................................. 351

Βασικά περί μονάδων...................................................................................................... 352

Η έννοια των συνόλων μονάδων..................................................................................... 353

Δημιουργία μονάδων και συνόλων μονάδων.................................................................. 354

Διαγραφή μονάδων και συνόλων μονάδων..................................................................... 358

Επέκταση απλής ή διευρυμένης μονάδας ....................................................................... 358

Διαχείριση μονάδων ........................................................................................................ 359

Βελτιωμένη απόδοση και ανοχή σφαλμάτων με τις συστοιχίες RAID .............................. 359

Υλοποίηση RAID στα Windows Server 2003 ..................................................................... 360

Υλοποίηση RAID 0: Διαγράμμιση δίσκων ..................................................................... 361

Υλοποίηση RAID 1: Είδωλα δίσκων .............................................................................. 362

Υλοποίηση RAID 5: Διαγράμμιση δίσκων με ισοτιμία.................................................. 364

Διαχείριση RAID και ανάκαμψη από αστοχίες ................................................................... 365

Θραύση συνόλου ειδώλων .............................................................................................. 365

Επανασυγχρονισμός και επισκευή ενός συνόλου ειδώλων ............................................ 366

Επισκευή ειδώλου μονάδας συστήματος για επαναφορά της

δυνατότητας εκκίνησης................................................................................................ 367

Κατάργηση συνόλου ειδώλων......................................................................................... 368

Επισκευή διαγραμμισμένου συνόλου χωρίς ισοτιμία ..................................................... 368

Αναγέννηση διαγραμμισμένου συνόλου με ισοτιμία...................................................... 368

13 Διαχείριση αρχείων και φακέλων ...................................................................... 371

Δομές αρχείων στα Windows Server 2003 .......................................................................... 371

Κύρια χαρακτηριστικά των FAT και NTFS.................................................................... 371

Ονομασία αρχείων........................................................................................................... 373

Προσπέλαση μεγάλων ονομάτων αρχείων από το MS-DOS.......................................... 374


Γρήγορες συμβουλές για τη διαχείριση αρχείων, φακέλων, και μονάδων δίσκου............. 375

Εξέταση ιδιοτήτων αρχείων και φακέλων....................................................................... 375

Εμφάνιση κρυφών και συμπιεσμένων αρχείων στην Εξερεύνηση των Windows......... 376

Συμβουλές για την επιλογή πολλών αρχείων και φακέλων ............................................ 377

Συμβουλές για την αντιγραφή και μετακίνηση πόρων ................................................... 377

Συμβουλές για την αντιγραφή πόρων σε θέσεις που δεν είναι ορατές ........................... 378

Συμβουλές για την αντιγραφή και επικόλληση αρχείων................................................. 378

Μετακίνηση αρχείων με αποκοπή και επικόλληση ........................................................ 378

Διαμόρφωση δισκετών και άλλων αφαιρούμενων δίσκων ............................................. 379

Αντιγραφή δισκετών........................................................................................................ 379

14 Κοινή χρήση, ασφάλεια, και έλεγχος δεδομένων ............................................ 381

Κοινή χρήση φακέλων σε τοπικά και απομακρυσμένα συστήματα ................................... 381

Εμφάνιση των κοινόχρηστων στοιχείων ......................................................................... 382

Δημιουργία κοινόχρηστων φακέλων............................................................................... 382

Δημιουργία πρόσθετων κοινόχρηστων στοιχείων σε υπάρχον....................................... 386

Διαχείριση αδειών κοινής χρήσης........................................................................................ 386

Οι διάφορες άδειες κοινής χρήσης .................................................................................. 386

Εμφάνιση αδειών κοινής χρήσης .................................................................................... 387

Ρύθμιση αδειών κοινής χρήσης ....................................................................................... 387

Τροποποίηση αδειών κοινής χρήσης............................................................................... 389

Κατάργηση αδειών πρόσβασης χρηστών και ομάδων.................................................... 389

Διαχείριση υπαρχόντων κοινόχρηστων στοιχείων............................................................... 389

Τι είναι τα ειδικά κοινόχρηστα στοιχεία; ........................................................................ 389

Σύνδεση σε ειδικά κοινόχρηστα στοιχεία ....................................................................... 390

Εμφάνιση περιόδων σύνδεσης χρηστών και υπολογιστών ............................................. 391

Τερματισμός κοινής χρήσης αρχείων και φακέλων........................................................ 394

Χρήση των σκιωδών αντιγράφων ........................................................................................ 395

Τι είναι τα σκιώδη αντίγραφα ......................................................................................... 395

Δημιουργία σκιωδών αντιγράφων................................................................................... 396

Διαγραφή των σκιωδών αντιγράφων............................................................................... 396

Απενεργοποίηση των σκιωδών αντιγράφων ................................................................... 397

Σύνδεση σε μονάδες δικτύου ............................................................................................... 397

Αντιστοίχιση μονάδας δικτύου........................................................................................ 398

Αποσύνδεση μονάδας δικτύου ........................................................................................ 398

Διαχείριση αντικειμένων, κατοχή, και κληρονομικότητα ................................................... 398

Αντικείμενα και διαχειριστές αντικειμένων.................................................................... 399

Κατοχή αντικειμένων και μεταβίβασή της...................................................................... 399

Κληρονομικότητα αντικειμένων ..................................................................................... 400

Άδειες πρόσβασης σε αρχεία και φακέλους ........................................................................ 401

Άδειες για αρχεία και φακέλους...................................................................................... 401

Καθορισμός αδειών πρόσβασης σε αρχεία και φακέλους .............................................. 405

Έλεγχος πόρων συστήματος ................................................................................................ 407

Καθορισμός πολιτικής ελέγχου....................................................................................... 407

Έλεγχος αρχείων και φακέλων........................................................................................ 409

Έλεγχος αντικειμένων Ενεργού Καταλόγου................................................................... 411


Χρήση, διευθέτηση, και διαχείριση ορίων χρήσης δίσκων ................................................. 412

Η έννοια του ορίου χρήσης δίσκων και η χρήση τους .................................................... 412

Καθορισμός πολιτικών εκχώρησης ορίων χρήσης δίσκων ............................................. 414

Ενεργοποίηση ορίων χρήσης δίσκων σε μονάδες NTFS ................................................ 417

Εμφάνιση των καταχωρίσεων ορίου χρήσης δίσκων...................................................... 419

Δημιουργία καταχωρίσεων ορίου χρήσης δίσκων .......................................................... 419

Διαγραφή καταχωρίσεων ορίου χρήσης δίσκων ............................................................. 420

Εξαγωγή και εισαγωγή ρυθμίσεων ορίου χρήσης δίσκου............................................... 422

Απενεργοποίηση ορίων χρήσης δίσκου .......................................................................... 423

15 Αντίγραφα ασφαλείας και επαναφορά δεδομένων.......................................... 425

Κατάστρωση σχεδίου λήψης αντιγράφων ασφαλείας..................................................... 425

Βασικοί τύποι αντιγράφων ασφαλείας ............................................................................ 427

Διαφορικά και αυξητικά αντίγραφα ασφαλείας.............................................................. 428

Επιλογή συσκευών και μέσων αποθήκευσης αντιγράφων ασφαλείας ............................... 428

Συνηθισμένες λύσεις για τη λήψη αντιγράφων ασφαλείας............................................. 429

Αγορά και χρήση μαγνητοταινιών .................................................................................. 431

Δημιουργία αντιγράφων ασφαλείας των δεδομένων σας .................................................... 432

Γνωριμία με το πρόγραμμα Backup................................................................................ 432

Ορισμός προεπιλογών για το Backup ............................................................................. 434

Δημιουργία αντιγράφων ασφαλείας με τον Οδηγό Αντιγράφων ασφαλείας.................. 438

Δημιουργία αντιγράφων ασφαλείας χωρίς τον Οδηγό.................................................... 441

Επαναφορά δεδομένων με τον Οδηγό Επαναφοράς ....................................................... 444

Επαναφορά δεδομένων χωρίς τον Οδηγό Επαναφοράς.................................................. 447

Επαναφορά του Ενεργού Καταλόγου ............................................................................. 449

Δημιουργία αντιγράφων ασφαλείας και επαναφορά δεδομένων σε

απομακρυσμένα συστήματα ........................................................................................ 450

Εξέταση αρχείων καταγραφής αντιγράφων ασφαλείας .................................................. 450

Διαχείριση πολιτικής επαναφοράς κρυπτογραφημένων δεδομένων ................................... 451

Τα πιστοποιητικά κρυπτογράφησης και η πολιτική επαναφοράς................................... 451

Διευθέτηση της πολιτικής επαναφοράς EFS................................................................... 453

Δημιουργία αντιγράφων ασφαλείας και επαναφορά κρυπτογραφημένων

δεδομένων και πιστοποιητικών ........................................................................................ 454

Δημιουργία αντιγράφων ασφαλείας των πιστοποιητικών κρυπτογράφησης.................. 455

Επαναφορά πιστοποιητικών κρυπτογράφησης ............................................................... 456

Προετοιμασία και επαναφορά από πιθανές καταστροφές ................................................... 456

Δημιουργία δεδομένων επαναφοράς συστήματος .......................................................... 457

Εκκίνηση συστήματος σε κατάσταση Ασφαλούς Λειτουργίας ...................................... 458

Χρήση της δισκέτας επείγουσας επισκευής για την επαναφορά ενός συστήματος....... 459

Χρήση της Κονσόλας Ανάκαμψης.................................................................................. 460

Διαχείριση δεξαμενών αποθηκευτικών μέσων .................................................................... 463

Κατανόηση των δεξαμενών αποθηκευτικών μέσων ....................................................... 463

Προετοιμασία μέσων για χρήση με τη δεξαμενή ελεύθερων αποθηκευτικών μέσων ... 464

Μετακίνηση μέσων σε άλλη δεξαμενή μέσων................................................................ 465

Δημιουργία δεξαμενών αποθηκευτικών μέσων .............................................................. 465

Αλλαγή του τύπου των αποθηκευτικών μέσων μιας δεξαμενής..................................... 466

Καθορισμός πολιτικών εκχώρησης αποθηκευτικών μέσων ........................................... 466

Εργασία με άδειες πρόσβασης για τη λειτουργία Removable Storage........................... 467

Διαγραφή δεξαμενών αποθηκευτικών μέσων εφαρμογών.............................................. 469


Διαχείριση ουρών εργασιών, αιτήσεων, και χειριστών ....................................................... 469

Χρήση ουράς εργασιών................................................................................................... 469

Αντιμετώπιση προβλημάτων με ενέργειες σε αναμονή .................................................. 470

Αλλαγή σειράς ενεργειών ανάρτησης ............................................................................. 470

Έλεγχος της στιγμής διαγραφής των ενεργειών.............................................................. 471

Χρήση της ουράς αιτήσεων χειριστών............................................................................ 472

Μέρος IV

Διαχείριση δικτύων στα Microsoft Windows Server 2003

16 Διαχείριση δικτύων TCP/IP................................................................................. 475

Εγκατάσταση δικτύωσης με TCP/IP.................................................................................... 475

Εγκατάσταση καρτών διασύνδεσης δικτύου................................................................... 475

Εγκατάσταση του πρωτοκόλλου TCP/IP ........................................................................ 476

Διευθέτηση δικτύου TCP/IP ................................................................................................ 476

Καθορισμός στατικών διευθύνσεων ΙΡ........................................................................... 477

Καθορισμός δυναμικών διευθύνσεων ΙΡ ........................................................................ 480

Διευθέτηση εναλλακτικών ιδιωτικών διευθύνσεων IP ................................................... 480

Καθορισμός πολλών διευθύνσεων ΙΡ και πυλών ............................................................ 482

Διευθέτηση ανάλυσης DNS ............................................................................................ 484

Διευθέτηση προσδιορισμού WINS ................................................................................. 486

Διευθέτηση πρόσθετων στοιχείων του δικτύου ................................................................... 488

Εγκατάσταση και απεγκατάσταση στοιχείων δικτύου.................................................... 488

Εγκατάσταση προαιρετικών στοιχείων δικτύου ............................................................. 489

Διαχείριση συνδέσεων δικτύου............................................................................................ 491

Δημιουργία συνδέσεων δικτύου...................................................................................... 491

Διαχείριση ασφαλείας για συνδέσεις τηλεπρόσβασης.................................................... 493

Έλεγχος της κατάστασης, της ταχύτητας, και της δραστηριότητας

των τοπικών συνδέσεων .............................................................................................. 494

Εμφάνιση στοιχείων διευθέτησης δικτύου...................................................................... 495

Αντιγραφή συνδέσεων δικτύου ....................................................................................... 496

Ενεργοποίηση και απενεργοποίηση συνδέσεων δικτύου................................................ 496

Διαγραφή συνδέσεων δικτύου......................................................................................... 496

Μετονομασία τοπικών συνδέσεων.................................................................................. 497

Επισκευή τοπικών συνδέσεων......................................................................................... 497

Αντιμετώπιση προβλημάτων και έλεγχος των ρυθμίσεων δικτύου.................................... 497

Εκτέλεση βασικών ελέγχων δικτύου............................................................................... 497

Αποδέσμευση και ανανέωση ρυθμίσεων DHCP............................................................. 498

Καταχώριση και καθαρισμός DNS ................................................................................. 499

Εκτέλεση αναλυτικών διαγνωστικών ελέγχων στο δίκτυο ............................................. 500

17 Διαχείριση εκτυπωτών δικτύου και υπηρεσιών εκτύπωσης.......................... 503

Αντιμετώπιση προβλημάτων με εκτυπωτές......................................................................... 503

Εγκατάσταση εκτυπωτών..................................................................................................... 505

Χρήση τοπικών εκτυπωτών και εκτυπωτών δικτύου...................................................... 505

Εγκατάσταση φυσικά συνδεδεμένων εκτυπωτικών συσκευών ...................................... 506

Εγκατάσταση εκτυπωτικών συσκευών συνδεδεμένων στο δίκτυο................................. 510

Σύνδεση με εκτυπωτές δικτύου....................................................................................... 514

Επίλυση προβλημάτων παροχέτευσης ............................................................................ 514


Ρύθμιση ιδιοτήτων εκτυπωτή............................................................................................... 515

Προσθήκη σχολίων και πληροφοριών θέσης.................................................................. 516

Διαχείριση προγραμμάτων οδήγησης εκτυπωτών .......................................................... 516

Ρύθμιση διαχωριστικής σελίδας και αλλαγή κατάστασης της εκτυπωτικής συσκευής ........ 517

Αλλαγή της θύρας εκτύπωσης......................................................................................... 518

Προγραμματισμός και ορισμός προτεραιοτήτων για εργασίες εκτύπωσης.................... 518

Έναρξη και τερματισμός της κοινής χρήσης εκτυπωτή.................................................. 520

Ρύθμιση αδειών πρόσβασης στον εκτυπωτή................................................................... 521

Έλεγχος εκτυπωτικών εργασιών ..................................................................................... 522

Ρύθμιση των προεπιλογών για τα έγγραφα ..................................................................... 522

Ρύθμιση ιδιοτήτων του διακομιστή εκτυπώσεων ................................................................ 523

Εντοπισμός του φακέλου παροχέτευσης και ενεργοποίηση της εκτύπωσης

σε NTFS....................................................................................................................... 523

Διαχείριση μεγάλου όγκου εκτυπώσεων......................................................................... 523

Καταγραφή συμβάντων εκτυπωτή .................................................................................. 524

Κατάργηση της ειδοποίησης για ολοκλήρωση της εργασίας εκτύπωσης....................... 524

Διαχείριση εργασιών εκτύπωσης σε τοπικούς και απομακρυσμένους εκτυπωτές ............. 524

Χρήση του παραθύρου διαχείρισης εκτυπώσεων ........................................................... 525

Διακοπή του εκτυπωτή και επανεκκίνηση της εκτύπωσης ............................................. 525

Καθαρισμός της ουράς εκτύπωσης ................................................................................. 525

Διακοπή, συνέχιση, και επανεκκίνηση της εκτύπωσης μεμονωμένων εγγράφων......... 526

Κατάργηση εγγράφου και ακύρωση εργασίας εκτύπωσης ............................................. 526

Έλεγχος των ιδιοτήτων των εγγράφων στον εκτυπωτή .................................................. 526

Καθορισμός της προτεραιότητας μεμονωμένων εγγράφων............................................ 526

Προγραμματισμός της εκτύπωσης μεμονωμένων εγγράφων.......................................... 527

18 Χρήση πελατών και διακομιστών DHCP........................................................... 529

Κατανόηση του πρωτοκόλλου DHCP ................................................................................. 529

Ο πελάτης DHCP και η διεύθυνση IP ............................................................................. 529

Έλεγχος των αντιστοιχίσεων διευθύνσεων IP................................................................. 530

Η έννοια του εύρους........................................................................................................ 531

Εγκατάσταση διακομιστή DHCP......................................................................................... 532

Εγκατάσταση στοιχείων DHCP ...................................................................................... 532

Ξεκίνημα και χρήση της κονσόλας DHCP...................................................................... 533

Σύνδεση με απομακρυσμένους διακομιστές DHCP ....................................................... 534

Ξεκίνημα και διακοπή της υπηρεσίας DHCP Server ...................................................... 535

Εξουσιοδότηση διακομιστή DHCP σε καταλόγους Active Directory............................ 535

Διευθέτηση διακομιστών DHCP.......................................................................................... 536

Δέσμευση διακομιστή DHCP μέσω πολλών καρτών δικτύου με

συγκεκριμένη διεύθυνση IP......................................................................................... 536

Ενημέρωση στατιστικών στοιχείων DHCP..................................................................... 537

Έλεγχος και αντιμετώπιση προβλημάτων του DHCP..................................................... 537

Ολοκλήρωση DHCP και DNS ........................................................................................ 539

Αποφυγή διενέξεων σε διευθύνσεις IP............................................................................ 539

Αποθήκευση και επαναφορά της διευθέτησης DHCP .................................................... 540

Διαχείριση ευρών DHCP ..................................................................................................... 541

Δημιουργία και διαχείριση υπερεύρους .......................................................................... 541

Δημιουργία και διαχείριση ευρών ................................................................................... 542


Διαχείριση της δεξαμενής διευθύνσεων, των αδειών χρήσης, και των δεσμεύσεων ......... 550

Εμφάνιση στατιστικών στοιχείων για το εύρος .............................................................. 550

Ρύθμιση μιας νέας περιοχής αποκλεισμού...................................................................... 551

Διαγραφή μιας περιοχής αποκλεισμού............................................................................ 551

Δέσμευση διευθύνσεων DHCP ....................................................................................... 551

Τροποποίηση των ιδιοτήτων των δεσμεύσεων διεύθυνσης ............................................ 553

Διαγραφή αδειών χρήσης και δεσμεύσεων ..................................................................... 553

Λήψη αντιγράφων ασφαλείας και επαναφορά της βάσης δεδομένων του DHCP ............. 553

Λήψη αντιγράφων ασφαλείας της βάσης δεδομένων του DHCP................................... 554

Επαναφορά της βάσης δεδομένων DHCP από το αντίγραφο ασφαλείας ....................... 554

Χρήση αντιγράφων ασφαλείας για μετακίνηση της βάσης δεδομένων DHCP

σε νέο διακομιστή ........................................................................................................ 555

Επισκευή της βάσης δεδομένων DHCP .......................................................................... 555

Εξαναγκασμός της υπηρεσίας DHCP Server να αναγεννήσει τη

βάση δεδομένων DHCP............................................................................................... 556

Εναρμόνιση των αδειών χρήσης και των δεσμεύσεων ................................................... 557

19 Συντήρηση του WINS .......................................................................................... 559

Κατανόηση των WINS και NetBIOS στο TCP/IP............................................................... 560

Διευθέτηση πελατών και διακομιστών WINS ................................................................ 560

Μέθοδοι ανάλυσης ονομάτων ......................................................................................... 561

Χρήση της κονσόλας WINS ................................................................................................ 562

Γνωριμία με την κονσόλα WINS .................................................................................... 562

Προσθήκη διακομιστή WINS στην κονσόλα WINS ...................................................... 563

Εκκίνηση και διακοπή της υπηρεσίας WINS Server ...................................................... 563

Εμφάνιση στατιστικών στοιχείων για το διακομιστή ..................................................... 563

Διευθέτηση διακομιστών WINS .......................................................................................... 565

Ενημέρωση στατιστικών στοιχείων WINS ..................................................................... 566

Διαχείριση της δήλωσης, της ανανέωσης, και της αποδέσμευσης ονομάτων ................ 566

Καταγραφή συμβάντων WINS στο ημερολόγιο συμβάντων των Windows .................. 567

Ρύθμιση του κωδικού έκδοσης της βάσης δεδομένων WINS......................................... 568

Διευθέτηση του χειρισμού ριπής στη δήλωση ονομάτων ............................................... 569

Αποθήκευση και επαναφορά της διευθέτησης της υπηρεσίας WINS ............................ 569

Ρύθμιση της αναπαραγωγής της βάσης δεδομένων WINS.................................................. 570

Ρύθμιση των προεπιλεγμένων παραμέτρων για την αναπαραγωγή................................ 570

Δημιουργία εταίρων ώθησης και έλξης........................................................................... 573

Αλλαγή του τύπου αναπαραγωγής και των ρυθμίσεων για τους εταίρους ..................... 573

Πυροδότηση της αναπαραγωγής της βάσης δεδομένων ................................................. 574

Διαχείριση της βάσης δεδομένων WINS ............................................................................. 575

Εξέταση των αντιστοιχίσεων της βάσης δεδομένων WINS ........................................... 575

Εκκαθάριση της βάσης δεδομένων WINS ...................................................................... 576

Επαλήθευση της συνέπειας της βάσης δεδομένων WINS .............................................. 576

Λήψη αντιγράφων ασφαλείας και επαναφορά της βάσης δεδομένων WINS................. 577

Καθαρισμός WINS και ξεκίνημα με νέα βάση δεδομένων ............................................ 578


20 Βελτιστοποίηση της υπηρεσίας DNS................................................................ 581

Κατανόηση του DNS ........................................................................................................... 581

Συνδυασμός του Active Directory και του DNS............................................................. 582

Ενεργοποίηση του DNS στο δίκτυο................................................................................ 583

Εγκατάσταση διακομιστών DNS ......................................................................................... 583

Εγκατάσταση της υπηρεσίας DNS Server ...................................................................... 584

Διευθέτηση πρωτεύοντος διακομιστή DNS .................................................................... 585

Διευθέτηση δευτερεύοντος διακομιστή DNS ................................................................. 588

Διευθέτηση αντίστροφων αναζητήσεων ......................................................................... 589

Διαχείριση διακομιστών DNS.............................................................................................. 591

Προσθήκη απομακρυσμένων διακομιστών στην κονσόλα DNS.................................... 592

Κατάργηση διακομιστή από την κονσόλα DNS ............................................................. 593

Εκκίνηση και διακοπή της υπηρεσίας DNS Server ........................................................ 593

Δημιουργία θυγατρικών περιοχών μέσα σε ζώνες.......................................................... 593

Δημιουργία θυγατρικών περιοχών σε ξεχωριστές ζώνες ................................................ 593

Διαγραφή περιοχής ή υποδικτύου ................................................................................... 595

Διαχείριση εγγραφών DNS .................................................................................................. 595

Προσθήκη εγγραφών διεύθυνσης και δείκτη .................................................................. 596

Προσθήκη ψευδωνύμων DNS με εγγραφές CNAME .................................................... 598

Προσθήκη διακομιστών ανταλλαγής αλληλογραφίας .................................................... 599

Προσθήκη διακομιστών ονομάτων ................................................................................. 600

Εμφάνιση και ενημέρωση εγγραφών DNS ..................................................................... 601

Ενημέρωση των ιδιοτήτων της ζώνης και της εγγραφής SOA............................................ 601

Τροποποίηση της εγγραφής SOA.................................................................................... 602

Ανοχή και περιορισμός μεταφορών ζώνης ..................................................................... 603

Ενημέρωση των δευτερευόντων για τις αλλαγές ............................................................ 605

Ορισμός του τύπου της ζώνης ......................................................................................... 606

Ενεργοποίηση και απενεργοποίηση δυναμικών ενημερώσεων ...................................... 606

Διαχείριση διευθέτησης και ασφάλειας διακομιστή DNS................................................... 607

Ενεργοποίηση και απενεργοποίηση διευθύνσεων IP για ένα διακομιστή DNS ............ 607

Έλεγχος της πρόσβασης σε διακομιστές DNS εκτός της εταιρείας................................ 607

Ενεργοποίηση και απενεργοποίηση καταγραφής συμβάντων ........................................ 609

Χρήση της καταγραφής αποσφαλμάτωσης για την παρακολούθηση

της δραστηριότητας DNS ............................................................................................ 610

Παρακολούθηση του διακομιστή DNS........................................................................... 610

Ενοποίηση WINS με το DNS ........................................................................................... 612

Διευθέτηση αναζητήσεων WINS στο DNS .................................................................... 612

Διευθέτηση αντίστροφων αναζητήσεων WINS στο DNS .............................................. 612

Ορισμός κρυφής μνήμης και τιμών λήξης χρόνου αναμονής για την

υπηρεσία WINS στο DNS ........................................................................................... 613

Διευθέτηση της πλήρους ενοποίησης με εύρη NetBIOS ................................................ 614


Πίνακες

1 Πίνακας 1-1. Γρήγορη αναφορά για τα βασικά εργαλεία διαχείρισης των

Windows Server 2003 .............................................................................. 42

3 Πίνακας 3-1. Αποκάλυψη σημείων συμφόρησης λόγω μνήμης.................................. 120

Πίνακας 3-2. Αποκάλυψη σημείων συμφόρησης λόγω επεξεργαστή ......................... 122

Πίνακας 3-3. Αποκάλυψη σημείων συμφόρησης λόγω δίσκου .................................. 122

7 Πίνακας 7-1. Εργαλεία υποστήριξης υπηρεσιών Ενεργού Καταλόγου....................... 206

8 Πίνακας 8-1. Πώς επηρεάζει το εύρος των ομάδων τις δυνατότητες των ομάδων ..... 233

Πίνακας 8-2. Διαθεσιμότητα υπονοούμενων ομάδων κατά τύπο πόρων

του δικτύου............................................................................................. 240

Πίνακας 8-3. Προνόμια των Windows Server 2003 για χρήστες και ομάδες ............. 242

Πίνακας 8-3. Προνόμια των Windows Server 2003 για χρήστες και ομάδες ............. 243

Πίνακας 8-4. Δικαιώματα σύνδεσης των Windows Server 2003 για χρήστες

και ομάδες .............................................................................................. 244

Πίνακας 8-5. Προεπιλεγμένα δικαιώματα χρηστών των ομάδων του

Ενεργού Καταλόγου............................................................................... 245

Πίνακας 8-6. Προεπιλεγμένα δικαιώματα χρηστών για ομάδες εργασίες

και διακομιστές-μέλη ............................................................................. 247

Πίνακας 8-7. Άλλες δυνατότητες ενσωματωμένων και τοπικών ομάδων................... 248

Πίνακας 8-8. Επισκόπηση των ομάδων των διαχειριστών .......................................... 249

10 Πίνακας 10-1. Χαρακτηριστικά του πλαισίου διαλόγου Logon Hours......................... 288

11 Πίνακας 11-1. Συνηθισμένες καταστάσεις μονάδων δίσκου και η σημασία τους ........ 321

12 Πίνακας 12-1. Κατανόηση και εξήγηση θεμάτων κατάστασης μονάδων ..................... 354

Πίνακας 12-2. Υποστήριξη RAID σε Windows Server 2003 ....................................... 360

13 Πίνακας 13-1. Σύγκριση χαρακτηριστικών των FAT και FAT32................................. 372

Πίνακας 13-2. Σύγκριση χαρακτηριστικών των NTFS 4.0 και NTFS 5.0 .................... 373

14 Πίνακας 14-1. Ειδικά κοινόχρηστα στοιχεία που χρησιμοποιούνται

στα Windows Server 2003 ..................................................................... 390

Πίνακας 14-2. Αντικείμενα των Windows Server 2003................................................ 399

Πίνακας 14-3. Άδειες πρόσβασης σε αρχεία και φακέλους


Πίνακας 14-4. Ειδικές άδειες για αρχεία ....................................................................... 403

Πίνακας 14-5. Ειδικές άδειες για φακέλους .................................................................. 404

Πίνακας 14-6. Πολιτικές για τον καθορισμό ορίων χρήσης δίσκων ............................. 414

Πίνακας 14-6. Πολιτικές για τον καθορισμό ορίων χρήσης δίσκων ............................. 415

15 Πίνακας 15-1. Τεχνικές αυξητικών και διαφορικών αντιγράφων ασφαλείας ............... 429

Πίνακας 15-2. Γενικές επιλογές του βοηθήματος Backup ............................................ 435

Πίνακας 15-3. Οι επιλογές των καρτελών Restore, Backup Type, και Backup Log .... 436

Πίνακας 15-4. Άδειες πρόσβασης για τη λειτουργία Removable Storage .................... 468


16 Πίνακας 16-1. Ιδιωτικές διευθύνσεις δικτύου ............................................................... 478

Πίνακας 16-2. Στοιχεία δικτύου διαθέσιμα στα Windows Server 2003........................ 489

Πίνακας 16-3. Προαιρετικά στοιχεία δικτύου διαθέσιμα


17 Πίνακας 17-1. Άδειες πρόσβασης σε εκτυπωτές στα Windows Server 2003 ............... 521

Πίνακας 17-2. Ειδικές άδειες για εκτυπωτές ................................................................. 522

Κεφάλαιο 8

Εξερεύνηση των λογαριασμών χρηστών και ομάδων

Η διαχείριση λογαριασμών είναι ένα από τα βασικά καθήκοντα κάθε διαχειριστή των Microsoft

Windows Server 2003. Στο Κεφάλαιο 7, "Διαχείριση πυρήνα Ενεργού Καταλόγου" περιγράψα-

με τους λογαριασμούς των υπολογιστών. Σε αυτό το κεφάλαιο θα ασχοληθούμε με τους λογα-

ριασμούς χρηστών και ομάδων. Οι λογαριασμοί χρηστών (user accounts) επιτρέπουν στους με-

μονωμένους χρήστες να συνδέονται στο δίκτυο και να αποκτούν πρόσβαση στους πόρους του.

Οι λογαριασμοί ομάδων (group accounts) είναι χρήσιμοι για τη διαχείριση των πόρων πολλών

χρηστών. Οι άδειες και τα δικαιώματα που εκχωρείτε στους λογαριασμούς χρηστών και ομά-

δων καθορίζουν τις ενέργειες που μπορούν να εκτελούν οι χρήστες, καθώς και τα υπολογιστικά

συστήματα και τους πόρους όπου έχουν πρόσβαση.

Αν και μπορεί να μπείτε στον πειρασμό να εκχωρήσετε στους χρήστες πολλά δικαιώματα πρό-

σβασης, πρέπει να εξισορροπήσετε τις ανάγκες των χρηστών για πόρους σχετικούς με τη δου-

λειά τους με τη δική σας ανάγκη να προστατεύετε τους "ευαίσθητους" πόρους ή κάποιες εμπι-

στευτικές πληροφορίες. Για παράδειγμα, προφανώς δεν θέλετε να έχουν όλοι οι υπάλληλοι της

εταιρείας σας πρόσβαση στα δεδομένα της μισθοδοσίας. Κατά συνέπεια, πρέπει να εξασφαλί-

σετε ότι πρόσβαση σε αυτές τις πληροφορίες θα έχουν μόνον όσοι πρέπει να έχουν.

Το μοντέλο ασφαλείας των Windows Server 2003

Ο έλεγχος της πρόσβασης στους πόρους του δικτύου επιτυγχάνεται με τη βοήθεια των επιμέ-

ρους στοιχείων του μοντέλου ασφαλείας των Windows Server 2003. Τα βασικά στοιχεία για τα

οποία πρέπει να γνωρίζετε είναι αυτά που χρησιμοποιούνται για την πιστοποίηση της ταυτότη-

τας των χρηστών (user authentication) και τον έλεγχο της πρόσβασης (access control).

Πρωτόκολλα πιστοποίησης

Η πιστοποίηση ταυτότητας στα Windows Server 2003 υλοποιείται σε μια διαδικασία δύο βημά-

των. Τα βήματα αυτά είναι η αλληλεπιδραστική διαδικασία σύνδεσης (interactive logon) και η

πιστοποίηση (επικύρωση) από την πλευρά του δικτύου (network authentication). Όταν ένας

χρήστης συνδέεται σε κάποιον υπολογιστή, η αλληλεπιδραστική διαδικασία σύνδεσης επικυ-

ρώνει τη σύνδεση του χρήστη επιβεβαιώνοντας την ταυτότητά του στον τοπικό υπολογιστή και

παρέχοντάς του πρόσβαση στην υπηρεσία Ενεργού Καταλόγου (Active Directory). Από εκείνη

τη στιγμή και μετά, κάθε φορά που ο χρήστης προσπελάζει πόρους του δικτύου, ενεργοποιείται

η διαδικασία πιστοποίησης από μέρους του δικτύου (για συντομία, πιστοποίηση δικτύου) ώστε

να αποφασιστεί αν ο χρήστης έχει την άδεια να προσπελάζει τους συγκεκριμένους πόρους.

228 Μέρος II Διαχείριση των υπηρεσιών καταλόγου στα Microsoft Windows Server 2003

Τα Windows Server 2003 υποστηρίζουν πολλά πρωτόκολλα πιστοποίησης δικτύου. Τα βασικά

πρωτόκολλα είναι τα εξής:

• Kerberos v5 Ένα καθιερωμένο πρωτόκολλο του Διαδικτύου (Internet) για την πιστοποίη-

ση της ταυτότητας χρηστών και συστημάτων, που αποτελεί το βασικό μηχανισμό πιστοποί-

ησης ταυτότητας των Windows Server 2003.

• NT LAN Manager (NTLM) Το βασικό πρωτόκολλο πιστοποίησης των Microsoft Win-

dows NT, που χρησιμοποιείται για την πιστοποίηση υπολογιστών σε περιοχές Windows NT.

• Secure Socket Layer/Transport Layer Security (SSL/TLS) Ο βασικός μηχανισμός πι-

στοποίησης που χρησιμοποιείται κατά την προσπέλαση ασφαλών διακομιστών Ιστού (se-

cure Web servers).

• .NET Passport Authentication Η πιστοποίηση NET Passport μπορεί να ενεργοποιηθεί για

τις υπηρεσίες Microsoft Internet Information Services (IIS) 6.0. Το πρωτόκολλο αυτό σας

επιτρέπει να χρησιμοποιείτε πληροφορίες του Ενεργού Καταλόγου (Active Directory) για να

πιστοποιείτε χρήστες του Διαδικτύου, του ενδοδικτύου (intranet), και του εξτραδικτύου (ex-

tranet). Λεπτομέρειες θα βρείτε στο Κεφάλαιο 7, "Enhancing Web Server Security", του βι-

βλίου Microsoft IIS 6.0 Administrator’s Pocket Consultant (Microsoft Press, 2003).

Ένα βασικό χαρακτηριστικό του μοντέλου πιστοποίησης ταυτότητας των Windows Server 2003

είναι ότι υποστηρίζει τη "μοναδική αρχική σύνδεση" (Single Sign-On). Η τεχνική Single Sign-

On λειτουργεί με τον ακόλουθο τρόπο:

1. Ο χρήστης συνδέεται στην περιοχή χρησιμοποιώντας ένα όνομα σύνδεσης (logon name) και

έναν κωδικό πρόσβασης ή τοποθετώντας μια "έξυπνη κάρτα" (smart card) σε μια μονάδα

ανάγνωσης καρτών (card reader).

2. Η αλληλεπιδραστική διαδικασία σύνδεσης πιστοποιεί το δικαίωμα του χρήστη για πρόσβα-

ση. Μέσω ενός τοπικού λογαριασμού πιστοποιούνται τοπικά τα "διαπιστευτήρια" (creden-

tials) του χρήστη και παραχωρείται στο χρήστη πρόσβαση στον τοπικό υπολογιστή. Παράλ-

ληλα, μέσω ενός λογαριασμού της περιοχής, τα διαπιστευτήρια του χρήστη πιστοποιούνται

από τον Ενεργό Κατάλογο και παραχωρείται στο χρήστη πρόσβαση στους πόρους του δι-

κτύου.

3. Ο χρήστης μπορεί να πιστοποιηθεί σε οποιονδήποτε υπολογιστή της περιοχής μέσω της δια-

δικασίας πιστοποίησης του δικτύου. Στην περίπτωση των λογαριασμών της περιοχής, η δια-

δικασία πιστοποίησης του δικτύου είναι αυτόματη (μέσω της τεχνικής της μοναδικής αρχι-

κής σύνδεσης). Από την άλλη, στην περίπτωση των τοπικών λογαριασμών, ο χρήστης πρέ-

πει να πληκτρολογεί το όνομα και τον κωδικό πρόσβασής του κάθε φορά που προσπελάζει

έναν πόρο του δικτύου.

Έλεγχοι πρόσβασης

Η τεχνολογία Active Directory βασίζεται σε αντικείμενα. Οι χρήστες, οι υπολογιστές, οι ομά-

δες, οι κοινόχρηστοι πόροι, και πολλές άλλες οντότητες ορίζονται ως αντικείμενα. Σε αυτά τα

αντικείμενα εφαρμόζονται έλεγχοι πρόσβασης με τη χρήση περιγραφέων ασφαλείας (security

descriptors). Οι περιγραφείς ασφαλείας κάνουν τα εξής:

• Παραθέτουν τους χρήστες και τις ομάδες στους οποίους έχει εκχωρηθεί πρόσβαση σε αντι-

κείμενα

• Καθορίζουν τις άδειες που έχουν εκχωρηθεί σε χρήστες και ομάδες

Κεφάλαιο 8 Εξερεύνηση των λογαριασμών χρηστών και ομάδων 229

• Παρακολουθούν τα συμβάντα που πρέπει να παρακολουθούνται για αντικείμενα, και

• Ορίζουν την κυριότητα των αντικειμένων

Οι μεμονωμένες καταχωρίσεις ενός περιγραφέα ασφαλείας ονομάζονται καταχωρίσεις ελέγχου

πρόσβασης (access control entries, ACE). Τα αντικείμενα Ενεργού Καταλόγου μπορούν να

κληρονομούν καταχωρίσεις ελέγχου πρόσβασης από τα γονικά τους αντικείμενα. Αυτό σημαί-

νει ότι οι άδειες που ισχύουν για ένα γονικό αντικείμενο μπορούν να εφαρμοστούν και σε ένα

θυγατρικό του αντικείμενο. Για παράδειγμα, άδειες που έχουν εκχωρηθεί στην ομάδα των δια-

χειριστών της περιοχής (Domain Admins) κληρονομούνται από όλα τα μέλη της.

Όταν εργάζεστε με καταχωρίσεις ελέγχου πρόσβασης πρέπει να έχετε υπόψη σας τα παρακάτω:

• Οι καταχωρίσεις ελέγχου πρόσβασης δημιουργούνται με την κληρονομικότητα ενεργοποιη-

μένη εξ ορισμού.

• Η κληρονομικότητα εφαρμόζεται αμέσως μετά την εγγραφή κάθε καταχώρισης ελέγχου

πρόσβασης.

• Όλες οι καταχωρίσεις ελέγχου πρόσβασης περιέχουν πληροφορίες οι οποίες καθορίζουν αν

η άδεια έχει κληρονομηθεί ή έχει εκχωρηθεί ρητά στο σχετικό αντικείμενο.

Διαφορές μεταξύ λογαριασμών χρηστών και λογαριασμών ομάδων

Τα Windows Server 2003 υποστηρίζουν λογαριασμούς χρηστών και λογαριασμούς ομάδων

(στους οποίους μπορούν να είναι μέλη οι χρήστες). Οι λογαριασμοί χρηστών (user accounts)

έχουν σχεδιαστεί για μεμονωμένους χρήστες, ενώ οι λογαριασμοί ομάδων (group accounts)

έχουν σχεδιαστεί για να διευκολύνεται η διαχείριση πολλών χρηστών. Αν και μπορείτε να συν-

δεθείτε σε ένα λογαριασμό χρήστη, δεν μπορείτε να συνδεθείτε σε ένα λογαριασμό ομάδας. Οι

λογαριασμοί ομάδων αναφέρονται τις περισσότερες φορές απλώς ως ομάδες (groups).

Στην πράξη Τα Windows Server 2003 υποστηρίζουν το αντικείμενο InetOrgPerson. Ου-

σιαστικά, πρόκειται για ένα αντικείμενο ίδιο με ένα αντικείμενο χρήστη και μπορείτε να το

χρησιμοποιήσετε σαν αντικείμενο χρήστη. Ο πραγματικός προορισμός ενός αντικειμένου

InetOrgPerson, όμως, είναι να επιτρέπει τη συμβατότητα και τη δυνατότητα μεταφοράς

από υπηρεσίες καταλόγου X.500 και Lightweight Directory Access Protocol (LDAP) άλλων

κατασκευαστών, οι οποίες χρησιμοποιούν αυτό το αντικείμενο για την αντιπροσώπευση

χρηστών. Αν κάνετε μεταφορά από μια υπηρεσία καταλόγου άλλου κατασκευαστή και βρε-

θείτε με πολλά αντικείμενα InetOrgPerson, μην ανησυχήσετε. Τα αντικείμενα αυτά μπο-

ρούν να χρησιμοποιηθούν ως υπόλογοι ασφαλείας (security principals) όπως οι λογαρια-

σμοί χρηστών. Το αντικείμενο InetOrgPerson ενεργοποιείται πλήρως μόνο στην κατάστα-

ση λειτουργιών των Windows Server 2003. Στην κατάσταση αυτή μπορείτε να ορίζετε κω-

δικούς πρόσβασης για αντικείμενα InetOrgPerson και, αν θέλετε, μπορείτε να αλλάξετε την

τάξη του αντικειμένου. Όταν αλλάξετε την τάξη του αντικειμένου, το αντικείμενο Ine-

tOrgPerson μετατρέπεται σε αντικείμενο χρήστη και αναφέρεται στο εξής στο παράθυρο

Active Directory Users And Computers με τύπο User (Χρήστης).

Λογαριασμοί χρηστών

Στα Windows Server 2003 ορίζονται δύο τύποι λογαριασμών χρηστών:

• Λογαριασμοί χρηστών περιοχής (domain user accounts) Έτσι ονομάζονται οι λογαρια-

σμοί χρηστών που ορίζονται στον Ενεργό Κατάλογο. Μέσω της μοναδικής αρχικής σύνδε-


σης (Single Sign-On), οι λογαριασμοί χρηστών περιοχής μπορούν να προσπελάζουν πόρους

σε ολόκληρη την περιοχή. Η δημιουργία λογαριασμών χρηστών περιοχής γίνεται με το ερ-

γαλείο Active Directory Users And Computers (Χρήστες και υπολογιστές Ενεργού Καταλό-

γου),

• Τοπικοί λογαριασμοί χρηστών (local user accounts) Έτσι ονομάζονται οι λογαριασμοί

χρηστών που ορίζονται σε έναν τοπικό υπολογιστή. Οι τοπικοί λογαριασμοί χρηστών έχουν

πρόσβαση μόνο στον τοπικό υπολογιστή και, για να προσπελάσουν πόρους του δικτύου,

πρέπει να πιστοποιούν την ταυτότητά τους. Μπορείτε να δημιουργείτε τοπικούς λογαρια-

σμούς χρηστών με το βοήθημα Local Users And Groups (Τοπικοί χρήστες και ομάδες).

Σημείωση Σε μια περιοχή, μόνον οι διακομιστές-μέλη (member servers) και οι σταθμοί

εργασίας (workstations) έχουν τοπικούς λογαριασμούς χρηστών και ομάδων. Στον αρχικό

ελεγκτή μιας περιοχής, αυτοί οι λογαριασμοί μετακινούνται από το διαχειριστή τοπικής α-

σφαλείας (local security manager) στον Ενεργό Κατάλογο και γίνονται λογαριασμοί περιο-

χής.

Ονόματα σύνδεσης, κωδικοί πρόσβασης, και δημόσια πιστοποιητικά

Όλοι οι λογαριασμοί χρηστών χαρακτηρίζονται και αναγνωρίζονται από ένα όνομα σύνδεσης

(logon name). Στα Windows Server 2003, αυτό το όνομα σύνδεσης αποτελείται από δύο μέρη:

• Όνομα χρήστη (User name) Η ετικέτα κειμένου που έχει αποδοθεί στο λογαριασμό

• Περιοχή ή ομάδα εργασίας χρήστη (User domain ή workgroup) Η περιοχή ή η ομάδα

εργασίας όπου βρίσκεται ο λογαριασμός χρήστη

Έτσι, για το χρήστη wrstanek, του οποίου ο λογαριασμός έχει δημιουργηθεί στην περιοχή mi-

crosoft.com, το πλήρες όνομα σύνδεσης για τα Windows Server 2003 είναι wrstanek@micro-

soft.com. Το όνομα σύνδεσης που θα είχε αυτός ο χρήστης στις εκδόσεις των Windows πριν τα

Windows 2000 είναι MICROSOFT\wrstanek.

Κατά την εργασία σας στον Ενεργό Κατάλογο, μπορεί επίσης να χρειαστεί να καθορίσετε το

πλήρως προσδιορισμένο όνομα περιοχής (FQDN, fully qualified domain name) ενός χρήστη. Το

πλήρως προσδιορισμένο όνομα περιοχής (FQDN) μιας ομάδας είναι ο συνδυασμός του ονόμα-

τος περιοχής DNS (Domain Name Service — Υπηρεσία Ονομάτων Περιοχών), η θέση του α-

ποδέκτη ή της οργανωτικής μονάδας, και το όνομα της ομάδας. Στην περίπτωση του χρήστη

microsoft.com\users\wrstanek, microsoft.com είναι το όνομα περιοχής DNS, users είναι η θέση

του αποδέκτη ή της οργανωτικής μονάδας, και wrstanek είναι το όνομα του χρήστη.

Στους λογαριασμούς χρηστών μπορεί επίσης να έχουν αποδοθεί κωδικοί πρόσβασης (pass-

words) και δημόσια πιστοποιητικά (public certificates). Οι κωδικοί πρόσβασης είναι αλφαριθ-

μητικά πιστοποίησης της ταυτότητας ενός λογαριασμού. Τα δημόσια πιστοποιητικά αποτελούν

συνδυασμό ενός δημόσιου και ενός ιδιωτικού "κλειδιού" για την αναγνώριση του χρήστη. Η

σύνδεση με τη χρήση κωδικού πρόσβασης γίνεται αλληλεπιδραστικά. Η σύνδεση ενός χρήστη

με δημόσιο πιστοποιητικό γίνεται με τη βοήθεια μιας "έξυπνης κάρτας" και μια μονάδας ανά-

γνωσης έξυπνων καρτών.


Αναγνωριστικά ασφαλείας και λογαριασμοί χρηστών

Αν και τα Windows Server 2003 εμφανίζουν ονόματα χρήστη για να περιγράψουν τα προνόμια

και τις άδειες, οι "κωδικοί-κλειδιά" που χαρακτηρίζουν τους λογαριασμούς είναι τα αναγνωρι-

στικά ασφαλείας (security identifiers, SID). Οι κωδικοί ασφαλείας SID είναι μοναδικές ενδεί-

ξεις ταυτότητας που παράγονται κατά τη δημιουργία των λογαριασμών. Αποτελούνται από το

πρόθεμα αναγνωριστικού κωδικού ασφαλείας της περιοχής (domain security ID) και ένα μονα-

δικό σχετικό κωδικό ο οποίος παρέχεται από τον κύριο διακομιστή λειτουργιών σχετικών κωδι-

κών (relative ID master).

Τα Windows Server 2003 χρησιμοποιούν αυτά τα αναγνωριστικά για να παρακολουθούν τους

λογαριασμούς ανεξάρτητα από τα ονόματα χρηστών. Τα αναγνωριστικά ασφαλείας (SID) εξυ-

πηρετούν πολλούς σκοπούς. Οι δύο σπουδαιότεροι από τους σκοπούς αυτούς είναι ότι σας επι-

τρέπουν να αλλάζετε εύκολα τα ονόματα χρηστών και να διαγράφετε λογαριασμούς, χωρίς να

ανησυχείτε για την περίπτωση να αποκτήσει κάποιος πρόσβαση στους πόρους του δικτύου α-

πλώς αναδημιουργώντας ένα λογαριασμό.

Όταν αλλάζετε ένα όνομα χρήστη, ζητάτε στην ουσία από τα Windows Server 2003 να αντι-

στοιχίσουν ένα συγκεκριμένο αναγνωριστικό ασφαλείας σε ένα νέο όνομα. Παρόμοια, όταν

διαγράφετε ένα λογαριασμό, στην πραγματικότητα ενημερώνετε τα Windows Server 2003 ότι

το συγκεκριμένο αναγνωριστικό ασφαλείας παύει να είναι έγκυρο. Από εκείνη τη στιγμή και

μετά, ακόμη και αν δημιουργήσετε ένα λογαριασμό με το ίδιο όνομα χρήστη, ο νέος λογαρια-

σμός δεν θα έχει τα ίδια προνόμια και άδειες που είχε ο προηγούμενος. Ο λόγος είναι ακριβώς

το ότι ο νέος λογαριασμός θα έχει νέο αναγνωριστικό ασφαλείας.

Ομάδες

Εκτός από λογαριασμούς χρηστών, τα Windows Server 2003 υποστηρίζουν και ομάδες. Μπο-

ρείτε να χρησιμοποιείτε ομάδες για να εκχωρείτε άδειες σε χρήστες που ανήκουν στον ίδιο τύπο

χρήστη και για να απλοποιείτε τη διαχείριση των λογαριασμών. Αν ένας χρήστης είναι μέλος

μιας ομάδας στην οποία έχει εκχωρηθεί άδεια να προσπελάζει έναν πόρο, ο συγκεκριμένος

χρήστης θα μπορεί να προσπελάζει τον ίδιο πόρο. Έτσι μπορείτε να παρέχετε σε ένα χρήστη

πρόσβαση σε διάφορους πόρους σχετικούς με τη δουλειά του, απλώς κάνοντας το χρήστη μέλος

στις κατάλληλες ομάδες. Θα πρέπει να έχετε υπόψη σας πάντως ότι, ενώ μπορείτε να συνδεθεί-

τε σε έναν υπολογιστή με ένα λογαριασμό χρήστη, δεν μπορείτε να συνδεθείτε σε έναν υπολο-

γιστή με ένα λογαριασμό ομάδας.

Επειδή οι διάφορες περιοχές Ενεργού Καταλόγου είναι δυνατόν να έχουν ομάδες με το ίδιο

όνομα, η αναφορά στις ομάδες γίνεται συχνά με τη μορφή περιοχή\όνομα-ομάδας, όπως για

παράδειγμα στο work\gmarketing για την ομάδα gmarketing της περιοχής work. Κατά τη χρήση

των υπηρεσιών Ενεργού Καταλόγου ενδέχεται επίσης να χρειαστεί να χρησιμοποιήσετε το

πλήρως προσδιορισμένο όνομα περιοχής (FQDN) μιας ομάδας. Το πλήρως προσδιορισμένο

όνομα περιοχής (FQDN) μιας ομάδας είναι ο συνδυασμός του ονόματος περιοχής DNS (Do-

main Name Service), η θέση του αποδέκτη ή της οργανωτικής μονάδας, και το όνομα της ομά-

δας. Έτσι, στην περίπτωση της ομάδας microsoft.com\users\gmarketing, το microsoft.com είναι

το όνομα περιοχής DNS, το users είναι η θέση του αποδέκτη ή της οργανωτικής μονάδας, και

το gmarketing είναι το όνομα της ομάδας.


Στην πράξη Οι υπάλληλοι του τμήματος μάρκετινγκ μιας εταιρείας χρειάζεται, κατά πάσα

πιθανότητα, να έχουν πρόσβαση σε όλους τους πόρους που σχετίζονται με το μάρκετινγκ.

Αντί να εκχωρήσετε πρόσβαση γι’ αυτούς τους πόρους μεμονωμένα, θα μπορούσατε να

προσθέσετε τους χρήστες αυτού του τμήματος σε μια ομάδα marketing. Έτσι θα αποκτή-

σουν αυτόματα τα προνόμια αυτής της ομάδας. Αν αργότερα κάποιος χρήστης μετατεθεί

σε άλλο τμήμα, αρκεί απλώς να αφαιρέσετε το χρήστη από την ομάδα και όλες οι άδειες

πρόσβασης που του είχαν εκχωρηθεί θα ανακληθούν αυτόματα. Σε σύγκριση με τη δου-

λειά που απαιτείται για την ανάκληση των αδειών για κάθε μεμονωμένο πόρο, αυτή η τε-

χνική είναι κυριολεκτικά παιχνιδάκι — γι’ αυτό και πρέπει να χρησιμοποιείτε ομάδες όσο το

δυνατόν συχνότερα.

Τύποι ομάδων

Στα Windows Server 2003 υπάρχουν τρεις τύποι ομάδων:

• Τοπικές ομάδες (Local groups) Είναι οι ομάδες που ορίζονται σε έναν τοπικό υπολογιστή.

Οι τοπικές ομάδες χρησιμοποιούνται μόνο σε αυτόν τον τοπικό υπολογιστή. Η δημιουργία

τοπικών ομάδων γίνεται με το εργαλείο Local Users And Groups.

• Ομάδες ασφαλείας (Security groups) Ομάδες με τις οποίες είναι δυνατόν να συσχετιστούν

περιγραφείς ασφαλείας (security descriptors). Η δημιουργία ομάδων ασφαλείας σε περιοχές

γίνεται με το εργαλείο Active Directory Users And Computers.

• Ομάδες διανομής (Distribution groups) Ομάδες που χρησιμοποιούνται ως λίστες διανομής

ηλεκτρονικού ταχυδρομείου. Δεν είναι δυνατός ο συσχετισμός περιγραφέων ασφαλείας με

αυτές τις ομάδες. Η δημιουργία ομάδων διανομής σε περιοχές γίνεται με το εργαλείο Active

Directory Users And Computers.

Εύρος ομάδων

Οι ομάδες μπορούν να έχουν διαφορετικό εύρος (εμβέλεια, scope) — τοπικό περιοχής, ενσω-

ματωμένο τοπικό, καθολικό, και οικουμενικό. Με άλλα λόγια, οι ομάδες μπορεί να είναι έγκυ-

ρες σε διαφορετικούς "χώρους".

• Τοπικές ομάδες περιοχής (Domain local groups) Ομάδες που χρησιμοποιούνται για την

εκχώρηση αδειών στο εσωτερικό μίας μόνο περιοχής. Μέλη μιας τοπικής ομάδας περιοχής

μπορεί να είναι μόνον οι λογαριασμοί (χρηστών και υπολογιστών) και οι ομάδες της περιο-

χής στην οποία έχει οριστεί η ομάδα.

• Ενσωματωμένες τοπικές ομάδες (Built-in local groups) Ομάδες που έχουν ένα ειδικό

εύρος ομάδας και τοπικές άδειες περιοχής. Για λόγους απλότητας, αυτές οι ομάδες αναφέ-

ρονται συχνά ως τοπικές ομάδες περιοχής. Η διαφορά μεταξύ των ενσωματωμένων τοπικών

ομάδων και των άλλων ομάδων είναι ότι οι ενσωματωμένες τοπικές ομάδες δεν μπορούν

ούτε να δημιουργηθούν ούτε να διαγραφούν. Οι ενσωματωμένες τοπικές ομάδες μπορούν

μόνο να τροποποιηθούν. Οι αναφορές σε τοπικές ομάδες περιοχής εφαρμόζονται και στις

ενσωματωμένες τοπικές ομάδες, εκτός αν καθορίζεται κάτι διαφορετικό.

• Καθολικές ομάδες (Global groups) Πρόκειται για ομάδες που χρησιμοποιούνται για την

εκχώρηση αδειών σε αντικείμενα που βρίσκονται σε οποιαδήποτε περιοχή του δένδρου ή

του δάσους των περιοχών. Μέλη μιας καθολικής ομάδας μπορεί να είναι μόνον οι λογαρια-

σμοί και οι ομάδες της περιοχής στην οποία έχει οριστεί η ομάδα.

• Οικουμενικές ομάδες (Universal groups) Πρόκειται για ομάδες που χρησιμοποιούνται για

την εκχώρηση αδειών σε ευρεία κλίμακα μέσα σε ένα ολόκληρο δένδρο ή δάσος περιοχών.

Μέλη μιας οικουμενικής ομάδας μπορεί να είναι λογαριασμοί, καθολικές ομάδες, και άλλες


οικουμενικές ομάδες οποιασδήποτε περιοχής του δένδρου ή του δάσους μιας περιοχής. Οι

οικουμενικές ομάδες είναι διαθέσιμες μόνον όταν ο Ενεργός Κατάλογος εκτελείται στην εγ-

γενή κατάσταση λειτουργιών των Windows 2000 ή στην κατάσταση λειτουργιών των Win-

dows Server 2003.

Καλύτερη μέθοδος Οι οικουμενικές ομάδες είναι πολύ χρήσιμες σε μεγάλες επιχειρήσεις

των οποίων τα δίκτυα έχουν πολλές περιοχές. Αν κάνετε καλό σχεδιασμό, θα μπορέσετε

να χρησιμοποιήσετε οικουμενικές ομάδες για να απλοποιήσετε τη διαχείριση του συστήμα-

τος. Τα μέλη των οικουμενικών ομάδων δεν πρέπει να αλλάζουν συχνά. Ο λόγος είναι ότι,

κάθε φορά που αλλάζετε τα μέλη μιας οικουμενικής ομάδας, πρέπει να αναπαράγετε αυτές

τις αλλαγές σε όλους τους καθολικούς καταλόγους του δένδρου ή του δάσους των περιο-

χών. Για να περιορίσετε αυτού του είδους τις αλλαγές, καλό είναι να ορίζετε ως μέλη μιας

οικουμενικής ομάδας άλλες ομάδες και όχι λογαριασμούς. Περισσότερες πληροφορίες θα

βρείτε στην ενότητα "Πότε πρέπει να χρησιμοποιούνται τοπικές ομάδες περιοχής, καθολι-

κές ομάδες, και οικουμενικές ομάδες", στη συνέχεια αυτού του κεφαλαίου.

Κατά την εργασία σας με ομάδες, υπάρχουν πολλά πράγματα που μπορείτε ή δεν μπορείτε να

κάνετε με βάση το εύρος της ομάδας. Στον παρακάτω Πίνακα 8-1 θα βρείτε μια σύντομη επι-

σκόπηση αυτών των στοιχείων. Αναλυτικές πληροφορίες σχετικά με τη δημιουργία ομάδων θα

βρείτε στο Κεφάλαιο 9, "Δημιουργία λογαριασμών χρηστών και ομάδων".

Αναγνωριστικά ασφαλείας και λογαριασμοί ομάδων

Όπως συμβαίνει και με τους λογαριασμούς χρηστών, τα Windows Server 2003 χρησιμοποιούν

μοναδικά αναγνωριστικά ασφαλείας (SID) για να παρακολουθούν και τους λογαριασμούς ομά-

δων. Αυτό σημαίνει ότι δεν μπορείτε να διαγράψετε ένα λογαριασμό ομάδας, να τον αναδη-

μιουργήσετε, και να περιμένετε να παραμένουν ίδιες όλες οι άδειες και τα δικαιώματα. Η νέα

ομάδα θα έχει νέο αναγνωριστικό ασφαλείας και όλες οι άδειες και τα προνόμια της παλαιάς

ομάδας θα έχουν χαθεί.

Πίνακας 8-1. Πώς επηρεάζει το εύρος των ομάδων τις δυνατότητες των ομάδων

Δυνατότητα ομάδας Τοπικό εύρος περιοχής Καθολικό εύρος Οικουμενικό εύρος

Λειτουργία στην εγγενή

κατάσταση ενεργειών

των Windows Server

2003/ Windows 2000

Λογαριασμοί, καθολικές

ομάδες, και οικουμενικές

ομάδες οποιασδήποτε

περιοχής. τοπικές ομάδες

περιοχής μόνον από την ίδια

περιοχή

Μόνο λογαριασμοί από την

ίδια περιοχή και καθολικές

ομάδες από την ίδια

περιοχή

Λογαριασμοί από κάθε

περιοχή, καθώς και

ομάδες από κάθε περιοχή,

ανεξαρτήτως εύρους

Λειτουργία στη μικτή

κατάσταση των

Windows 2000

Λογαριασμοί και καθολικές

ομάδες από οποιαδήποτε

περιοχή

Μόνο λογαριασμοί από την

ίδια περιοχή

Αδυναμία δημιουργίας σε

περιοχές μικτής

κατάστασης

Μέλος του Μπορούν να τοποθετηθούν

σε άλλες τοπικές ομάδες

περιοχής και να λάβουν

άδειες μόνο στην ίδια περιοχή

Μπορούν να τοποθετηθούν

σε άλλες ομάδες και να

λάβουν άδειες σε

οποιαδήποτε περιοχή

Μπορούν να

τοποθετηθούν σε άλλες

ομάδες και να λάβουν

άδειες σε οποιαδήποτε

περιοχή

Μετατροπή εύρους Μπορεί να μετατραπεί σε

οικουμενικό εύρος, με την

προϋπόθεση ότι δεν έχει ως

μέλος της κάποια άλλη ομάδα

με τοπικό εύρος περιοχής

Μπορεί να μετατραπεί σε

οικουμενικό εύρος, με την

προϋπόθεση ότι δεν είναι

μέλος οποιασδήποτε άλλης

ομάδας με καθολικό εύρος

Δεν μπορεί να μετατραπεί σε

οποιοδήποτε άλλο εύρος

ομάδας


Τα Windows Server 2003 δημιουργούν για κάθε σύνδεση χρήστη στο δίκτυο ένα "τεκμήριο

ασφαλείας" (security token), το οποίο περιλαμβάνει τον κωδικό του λογαριασμού χρήστη και

τους κωδικούς (τα αναγνωριστικά ασφαλείας) όλων των ομάδων ασφαλείας στις οποίες ανήκει

ο χρήστης. Καθώς ο χρήστης προστίθεται σε επιπλέον ομάδες ασφαλείας, το μέγεθος αυτού του

τεκμηρίου ασφαλείας μεγαλώνει. Αυτό το γεγονός έχει πολλές συνέπειες:

• Το τεκμήριο ασφαλείας πρέπει να μεταβιβαστεί στη διεργασία σύνδεσης χρήστη για να ο-

λοκληρωθεί η σύνδεση. Γι’ αυτόν το λόγο, όσο πληθαίνουν οι ομάδες ασφαλείας στις οποίες

είναι μέλος ο συγκεκριμένος χρήστης, τόσο περισσότερο καθυστερεί η διαδικασία

σύνδεσης.

• Προκειμένου να εξακριβωθούν οι άδειες πρόσβασης, το τεκμήριο ασφαλείας διαβιβάζεται

σε κάθε υπολογιστή τον οποίο προσπελάζει ο συγκεκριμένος χρήστης. Έτσι, το μέγεθος του

τεκμηρίου ασφαλείας επηρεάζει άμεσα το "κυκλοφοριακό" του δικτύου.

Σημείωση Η ιδιότητα μέλους ενός χρήστη σε κάποια ομάδα διανομής δεν γνωστοποιείται

με τεκμήρια ασφαλείας. Το αποτέλεσμα είναι ότι η συμμετοχή ενός χρήστη σε τέτοιες ομά-

δες δεν επηρεάζει το μέγεθος του τεκμηρίου ασφαλείας.

Πότε πρέπει να χρησιμοποιούνται τοπικές ομάδες περιοχής, καθολικές ομάδες, και οικουμενικές ομάδες

Η ύπαρξη τοπικών ομάδων περιοχής, καθολικών ομάδων, και οικουμενικών ομάδων παρέχει

πολλές επιλογές για τη διευθέτηση των χρηστών μιας επιχείρησης. Αν και αυτά τα εύρη ομά-

δων έχουν σχεδιαστεί προκειμένου να διευκολύνεται η διαχείριση, ο κακός σχεδιασμός μπορεί

να αναδείξει το θέμα του εύρους των ομάδων στο χειρότερο εφιάλτη κάθε διαχειριστή. Στην

ιδανική περίπτωση, πρέπει να χρησιμοποιείτε τα εύρη ομάδων για να δημιουργείτε ευκολότερα

ιεραρχίες ομάδων παρόμοιες με τη δομή του οργανισμού σας και τις ευθύνες των συγκεκριμέ-

νων ομάδων χρηστών του. Ακολουθεί μια σύνοψη των βέλτιστων χρήσεων των τοπικών ομά-

δων περιοχής, των καθολικών ομάδων, και των οικουμενικών ομάδων:

• Τοπικές ομάδες περιοχής Οι ομάδες με τοπικό εύρος περιοχής έχουν τη μικρότερη εμβέ-

λεια από όλες. Μπορείτε να χρησιμοποιείτε ομάδες με τοπικό εύρος περιοχής για να διευκο-

λύνεστε στη διαχείριση της πρόσβασης σε κάποιους πόρους όπως οι εκτυπωτές και οι κοι-

νόχρηστοι φάκελοι.

• Καθολικές ομάδες Μπορείτε να χρησιμοποιείτε ομάδες καθολικού εύρους για να διαχειρί-

ζεστε ευκολότερα τους λογαριασμούς χρηστών και υπολογιστών μιας συγκεκριμένης περιο-

χής. Έτσι μπορείτε να εκχωρήσετε άδειες πρόσβασης για έναν πόρο ορίζοντας την ομάδα με

το καθολικό εύρος ως μέλος της ομάδας με το τοπικό εύρος περιοχής.

• Οικουμενικές ομάδες Οι ομάδες με οικουμενικό εύρος έχουν τη μεγαλύτερη εμβέλεια.

Μπορείτε να χρησιμοποιείτε οικουμενικές ομάδες για να συνενώνετε ομάδες οι οποίες ε-

κτείνονται σε πολλές περιοχές. Κανονικά, αυτό γίνεται με τον ορισμό καθολικών ομάδων ως

μελών μιας οικουμενικής ομάδας. Έτσι, κάθε φορά που αλλάζουν τα μέλη των καθολικών

ομάδων, οι αλλαγές δεν θα αναπαράγονται σε όλους τους καθολικούς καταλόγους. Αυτό

συμβαίνει επειδή η ιδιότητα μέλους των οικουμενικών ομάδων δεν θα έχει αλλάξει.

Για να κατανοήσετε τα παραπάνω με ένα παράδειγμα, εξετάστε το ακόλουθο σενάριο. Ας υπο-

θέσουμε ότι η εταιρεία σας έχει παραρτήματα στη Θεσσαλονίκη, την Πάτρα, και την Αθήνα.

Κάθε γραφείο έχει τη δική του περιοχή, που αποτελεί μέρος του ίδιου δένδρου ή δάσους περιο-

χής. Οι περιοχές αυτές ονομάζονται Saloniki, Patra, και Athina. Επειδή θέλετε να κάνετε ευκο-


λότερη τη ζωή οποιουδήποτε διαχειριστή (σε οποιοδήποτε παράρτημα) σε ό,τι αφορά τη διαχεί-

ριση των πόρων του δικτύου, δημιουργήσατε μια δομή ομάδων η οποία είναι παρόμοια σε όλα

τα παραρτήματα. Η εταιρεία έχει διευθύνσεις Μάρκετινγκ, Πληροφορικής, και Παραγωγής,

αλλά για το παράδειγμά μας θα εστιάσουμε την προσοχή μας στη δομή της διεύθυνσης Μάρκε-

τινγκ. Σε κάθε παράρτημα, τα μέλη της διεύθυνσης Μάρκετινγκ χρειάζεται να έχουν πρόσβαση

σε έναν κοινόχρηστο εκτυπωτή που ονομάζεται MarketingPrinter και σε έναν κοινόχρηστο φά-

κελο δεδομένων που ονομάζεται MarketingData. Θέλετε επίσης να μπορούν οι χρήστες να χρη-

σιμοποιούν έγγραφα από κοινού και να τα τυπώνουν. Για παράδειγμα, θα πρέπει ο Βασίλης από

τη Θεσσαλονίκη να μπορεί να τυπώσει έγγραφα των οποίων τις εκτυπώσεις θα μπορεί να παρα-

λάβει στην Αθήνα η Μαρία από τον τοπικό της εκτυπωτή, ενώ ο Βασίλης πρέπει επίσης να

μπορεί να προσπελάσει την τριμηνιαία έκθεση στον κοινόχρηστο φάκελο στο γραφείο της Α-

θήνας.

Συμβουλή Αν η εταιρεία σας δεν έχει δύο ή περισσότερες περιοχές, δεν χρειάζεται κανο-

νικά να χρησιμοποιήσετε οικουμενικές ομάδες. Είναι προτιμότερο στη θέση τους να οικο-

δομήσετε τη δομή των ομάδων σας χρησιμοποιώντας τοπικές και καθολικές ομάδες πε-

ριοχής. Έτσι, αν προσθέσετε στο μέλλον κάποια άλλη περιοχή στο δένδρο ή το δάσος των

περιοχών σας, μπορείτε να επεκτείνετε την ιεραρχία των ομάδων πολύ εύκολα για να εν-

σωματώσετε τη νέα περιοχή σε αυτή.

Για τη διευθέτηση των ομάδων των διευθύνσεων Μάρκετινγκ στα τρία παραρτήματα πρέπει να

ακολουθήσετε τα παρακάτω βήματα:

1. Ξεκινήστε δημιουργώντας καθολικές ομάδες για κάθε ομάδα μάρκετινγκ. Στην περιοχή Sa-

loniki, δημιουργήστε μια ομάδα GMarketing και προσθέστε σε αυτή τα μέλη της διεύθυνσης

Μάρκετινγκ της Θεσσαλονίκης. Παρόμοια, δημιουργήστε στην περιοχή Patra μια ομάδα

GMarketing και προσθέστε της τα μέλη της διεύθυνσης Μάρκετινγκ της Πάτρας. Στην πε-

ριοχή Athina δημιουργήστε επίσης μια ομάδα GMarketing και προσθέστε της τα μέλη της

διεύθυνσης Μάρκετινγκ της Αθήνας.

2. Δημιουργήστε σε κάθε θέση του δικτύου (παράρτημα της εταιρείας) τοπικές ομάδες περιο-

χής οι οποίες θα παρέχουν πρόσβαση στους κοινόχρηστους εκτυπωτές και τους κοινόχρη-

στους φακέλους. Ονομάστε την ομάδα τού εκτυπωτή LocalMarketingPrinter. Ονομάστε τον

κοινόχρηστο φάκελο της Αθήνας LocalMarketingData. Κάθε μία από τις περιοχές Saloniki,

Patra, και Athina θα πρέπει να έχει τις δικές της τοπικές ομάδες.

3. Δημιουργήστε στην περιοχή οποιουδήποτε παραρτήματος μια ομάδα οικουμενικού εύρους με

το όνομα UMarketing. Προσθέστε στην ομάδα αυτή τις Saloniki\GMarketing, Patra\GMar-

keting, και Athina\GMarketing.

4. Προσθέστε την ομάδα UMarketing ως μέλος στις ομάδες LocalMarketingPrinter και Lo-

calMarketingData κάθε παραρτήματος. Οι χρήστες των διευθύνσεων Μάρκετινγκ θα μπο-

ρούν τώρα να μοιράζονται τα δεδομένα και τους εκτυπωτές τους.

Προεπιλεγμένοι λογαριασμοί χρηστών και ομάδων

Κατά την εγκατάσταση των Windows Server 2003, το λειτουργικό σύστημα εγκαθιστά προεπι-

λεγμένους χρήστες και ομάδες. Οι λογαριασμοί αυτοί έχουν σχεδιαστεί ώστε να παρέχουν τη

βασική δομή για την περαιτέρω ανάπτυξη του δικτύου σας. Το σύστημα παρέχει τρεις τύπους

προεπιλεγμένων λογαριασμών:


• Ενσωματωμένοι (Built-in) Λογαριασμοί χρηστών και ομάδων που εγκαθίστανται μαζί με

το λειτουργικό σύστημα, με εφαρμογές και με υπηρεσίες

• Προκαθορισμένοι (Predefined) Λογαριασμοί χρηστών και ομάδων που εγκαθίστανται

μαζί με το λειτουργικό σύστημα

• Υπονοούμενοι (Implicit) Ειδικές ομάδες που δημιουργούνται ως αποτέλεσμα της προσπέ-

λασης κάποιων πόρων δικτύου. αναφέρονται επίσης ως ειδικές οντότητες (special identities)

Σημείωση Αν και μπορείτε να τροποποιήσετε προεπιλεγμένους χρήστες και ομάδες, δεν

μπορείτε να διαγράψετε προεπιλεγμένους λογαριασμούς χρηστών και ομάδων που έχουν

δημιουργηθεί από το λειτουργικό σύστημα. Ο λόγος που δεν μπορείτε να διαγράψετε αυ-

τούς τους λογαριασμούς είναι ότι δεν θα μπορούσατε να τους αναδημιουργήσετε. Αν τους

διαγράφατε, τα αναγνωριστικά ασφαλείας (SID) των παλιών και των νέων λογαριασμών

δεν θα ταίριαζαν, και οι άδειες και τα προνόμια των αρχικών λογαριασμών θα χάνονταν

οριστικά.

Ενσωματωμένοι λογαριασμοί χρηστών

Οι ενσωματωμένοι λογαριασμοί χρηστών (built-in user accounts) έχουν ειδικές χρήσεις στα

Windows Server 2003. Όλα τα συστήματα Windows Server 2003 έχουν τρεις ενσωματωμένους

λογαριασμούς χρηστών:

• LocalSystem, έναν ψευδολογαριασμό που χρησιμεύει για την εκτέλεση των διεργασιών του

συστήματος και το χειρισμό εργασιών επιπέδου συστήματος. Ο λογαριασμός αυτός δίνει το

δικαίωμα σύνδεσης Log On As A Service (Σύνδεση ως υπηρεσία). Οι περισσότερες υπηρε-

σίες εκτελούνται στα πλαίσια του λογαριασμού LocalSystem. Σε μερικές περιπτώσεις, οι

υπηρεσίες αυτές έχουν το προνόμιο της αλληλεπίδρασης με την Επιφάνεια εργασίας. Οι υ-

πηρεσίες που χρειάζονται επιπλέον προνόμια ή δικαιώματα σύνδεσης εκτελούνται στα

πλαίσια των λογαριασμών LocalService ή NetworkService.

• LocalService, έναν ψευδολογαριασμό για την εκτέλεση υπηρεσιών που χρειάζονται πρό-

σθετα προνόμια και δικαιώματα σύνδεσης σε κάποιο τοπικό σύστημα. Υπηρεσίες που εκτε-

λούνται στα πλαίσια του λογαριασμού αυτού έχουν εξ ορισμού το δικαίωμα σύνδεσης ως

υπηρεσία (Log On As A Service) και τα προνόμια αλλαγής της ώρας συστήματος (Change

The System Time) και δημιουργίας ελέγχων ασφαλείας (Generate Security Audits). Στις υ-

πηρεσίες που εκτελούνται στον LocalService περιλαμβάνονται οι Alerter (Ειδοποίηση),

Messenger (Αγγελιοφόρος), Remote Registry (Απομακρυσμένο Μητρώο), Smart Card (Έ-

ξυπνη κάρτα), Smart Card Helper (Βοηθός έξυπνης κάρτας), SSDP Discovery Service (Υ-

πηρεσία ανακάλυψης SSDP), TCP/IP NetBIOS Helper (Βοηθός TCP/IP NetBIOS), Uninter-

ruptible Power Supply (Αδιάλειπτη παροχή ισχύος), και WebClient (Πελάτης Ιστού).

• NetworkService, έναν ψευδολογαριασμό για την εκτέλεση υπηρεσιών που χρειάζονται

πρόσθετα προνόμια και δικαιώματα σύνδεσης στο τοπικό σύστημα και στο δίκτυο. Όπως

συμβαίνει και με τον LocalService, οι υπηρεσίες που εκτελούνται στα πλαίσια του λογαρια-

σμού NetworkService έχουν το δικαίωμα σύνδεσης ως υπηρεσία (Log On As A Service) και

τα προνόμια αλλαγής της ώρας συστήματος (Change The System Time) και δημιουργίας ε-

λέγχων ασφαλείας (Generate Security Audits). Στις υπηρεσίες που εκτελούνται στον Net-

workService περιλαμβάνονται οι Distributed Transaction Coordinator (Συντονιστής κατανε-

μημένων πράξεων), DNS Client (Πελάτης DNS), Performance Logs and Alerts (Καταγρα-

φές και ειδοποιήσεις απόδοσης), και Remote Procedure Call (RPC) Locator (Εντοπιστής

κλήσης απομακρυσμένης διαδικασίας).


Όταν εγκαθιστάτε πρόσθετα ή άλλες εφαρμογές σε ένα διακομιστή, ενδέχεται μαζί τους να ε-

γκατασταθούν και άλλοι προεπιλεγμένοι λογαριασμοί. Αυτούς τους λογαριασμούς μπορείτε

συνήθως να τους διαγράψετε.

Όταν εγκαταστήσετε τις υπηρεσίες IIS θα διαπιστώσετε την παρουσία πολλών νέων λογαρια-

σμών, μεταξύ των οποίων οι IUSR_όνομα-υπηρεσίας και IWAM_όνομα-υπηρεσίας, όπου όνο-

μα-υπηρεσίας το όνομα του υπολογιστή. Ο λογαριασμός IUSR_υπολογιστής είναι ο ενσωματω-

μένος λογαριασμός για την ανώνυμη προσπέλαση των υπηρεσιών πληροφοριών Διαδικτύου. Οι

υπηρεσίες IIS χρησιμοποιούν το λογαριασμό IWAM_όνομα-υπηρεσίας για να ξεκινούν εφαρ-

μογές εκτός διαδικασίας. Αυτοί οι λογαριασμοί, όταν διευθετούνται σε κάποια περιοχή, ορίζο-

νται στον Ενεργό Κατάλογο. Αντίθετα, όταν διευθετούνται σε έναν αυτόνομο διακομιστή ή

σταθμό εργασίας, ορίζονται ως τοπικοί χρήστες. Ένας άλλος ενσωματωμένος λογαριασμός που

μπορεί να δείτε είναι ο TSInternetUser. Ο λογαριασμός αυτός χρησιμοποιείται από τις υπηρεσί-

ες τερματικού (Terminal Services).

Προκαθορισμένοι λογαριασμοί χρηστών

Μαζί με τα Windows Server 2003 εγκαθίσταται και ένας αριθμός προκαθορισμένων λογαρια-

σμών χρηστών: Administrator (Διαχειριστής), ASPNET, Guest (Επισκέπτης), και Support (Υ-

ποστήριξη). Στην περίπτωση των διακομιστών-μελών, οι προκαθορισμένοι λογαριασμοί είναι

τοπικοί στο μεμονωμένο σύστημα στο οποίο έχουν εγκατασταθεί.

Οι προκαθορισμένοι λογαριασμοί έχουν τους αντίστοιχούς τους λογαριασμούς στον Ενεργό

Κατάλογο. Οι λογαριασμοί αυτοί έχουν άδεια πρόσβασης σε ολόκληρο το εύρος της περιοχής

και δεν έχουν καμία απολύτως σχέση με τους τοπικούς λογαριασμούς των μεμονωμένων συ-

στημάτων.

Ο λογαριασμός Administrator

Ο λογαριασμός Administrator (Διαχειριστής) είναι ένας προκαθορισμένος λογαριασμός που

παρέχει πλήρη πρόσβαση σε αρχεία, φακέλους, υπηρεσίες, και άλλες λειτουργίες. Αυτόν το

λογαριασμό δεν μπορείτε ούτε να τον διαγράψετε ούτε να τον απενεργοποιήσετε. Στον Ενεργό

Κατάλογο, ο λογαριασμός Administrator έχει πρόσβαση και προνόμια σε ολόκληρη την περιο-

χή. Διαφορετικά, ο λογαριασμός Administrator έχει γενικά πρόσβαση μόνο στο τοπικό σύστη-

μα. Αν και είναι δυνατή η προσωρινή προστασία αρχείων και φακέλων από το λογαριασμό

Administrator, ο λογαριασμός Administrator μπορεί να αναλάβει τον έλεγχο αυτών των πόρων

ανά πάσα στιγμή αλλάζοντας τις άδειες πρόσβασής τους. Για περισσότερες πληροφορίες σχετι-

κά, δείτε το Κεφάλαιο 13, "Διαχείριση αρχείων και φακέλων".

Θέματα ασφαλείας Για να εμποδίσετε την πρόσβαση μη εξουσιοδοτημένων χρηστών

στο σύστημα ή στην περιοχή, φροντίστε να δώσετε σε αυτόν το λογαριασμό έναν ιδιαίτερα

ασφαλή κωδικό πρόσβασης. Επίσης, επειδή πρόκειται για ένα γνωστό λογαριασμό των

Windows, ένα επιπλέον σκόπιμο μέτρο προφύλαξης είναι να τον μετονομάσετε. Αν μετο-

νομάσετε τον αρχικό λογαριασμό Administrator, είναι σκόπιμο να δημιουργήσετε και ένα

νέο, παραπλανητικό λογαριασμό Administrator. Αυτός ο παραπλανητικός λογαριασμός δεν

πρέπει να έχει καμία άδεια πρόσβασης, κανένα δικαίωμα, και κανένα προνόμιο, και πρέπει

να τον απενεργοποιήσετε.

Στις περισσότερες περιπτώσεις δεν θα χρειαστεί να αλλάξετε τις βασικές ρυθμίσεις αυτού του

λογαριασμού, Ενδέχεται, πάντως, να θελήσετε να αλλάξετε κάποιες "προηγμένες" ρυθμίσεις

του όπως η ιδιότητα του μέλους σε συγκεκριμένες ομάδες. Εξ ορισμού, ο λογαριασμός Admin-


istrator μιας περιοχής είναι μέλος των εξής ομάδων: Administrators (Διαχειριστές), Domain

Admins (Διαχειριστές περιοχής), Domain Users (Χρήστες περιοχής), Enterprise Admins (Δια-

χειριστές επιχείρησης), Group Policy Creator Owners (Ιδιοκτήτες/δημιουργοί πολιτικών ομά-

δων), και Schema Admins (Διαχειριστές σχήματος). Περισσότερες πληροφορίες γι’ αυτές τις

ομάδες θα βρείτε στην επόμενη ενότητα αυτού του κεφαλαίου.

Στην πράξη Στο περιβάλλον μιας περιοχής, θα χρησιμοποιήσετε λογικά τον τοπικό λογα-

ριασμό Administrator μόνο για τη διαχείριση του συστήματος μετά την εγκατάστασή του για

πρώτη φορά. Ο λόγος είναι ότι η παρουσία αυτού του λογαριασμού σάς επιτρέπει να δια-

μορφώσετε το σύστημα χωρίς να κινδυνέψετε να "κλειδωθείτε" έξω από αυτό. Κατά πάσα

πιθανότητα πάντως, δεν πρόκειται να ξαναχρησιμοποιήσετε αυτόν το λογαριασμό μετά την

εγκατάσταση του συστήματος, αφού είναι προτιμότερο να κάνετε τους διαχειριστές τού συ-

στήματος μέλη της ομάδας των διαχειριστών (Administrators). Έτσι θα μπορείτε να ανακαλεί-

τε προνόμια των διαχειριστών χωρίς να πρέπει να αλλάξετε τους κωδικούς πρόσβασης όλων

των λογαριασμών Administrator.

Στην περίπτωση ενός συστήματος που ανήκει σε μια ομάδα εργασίας στην οποία η διαχείρι-

ση κάθε μεμονωμένου υπολογιστή γίνεται ξεχωριστά, βασίζεστε συνήθως σε αυτόν το λογα-

ριασμό κάθε φορά που χρειάζεται να εξασκήσετε τα καθήκοντά σας ως διαχειριστές του συ-

στήματος. Σε αυτή την περίπτωση, καλό είναι να μη διαμορφώσετε μεμονωμένους λογαρια-

σμούς για κάθε χρήστη που έχει πρόσβαση διαχειριστή σε ένα σύστημα, αλλά να προτιμήσε-

τε να χρησιμοποιήσετε ένα μόνο λογαριασμό Administrator σε κάθε υπολογιστή.

Ο λογαριασμός ASPNET

Ο λογαριασμός ASPNET χρησιμοποιείται από το ενσωματωμένο πλαίσιο .NET και έχει σχε-

διαστεί έτσι ώστε να μπορεί να εκτελεί διαδικασίες εργασιών ASP.NET. Ο λογαριασμός είναι

μέλος της ομάδας χρηστών περιοχής (Domain Users Group) και, από τη φύση του αυτή, έχει

όλα τα προνόμια που έχουν και οι κανονικοί χρήστες στην περιοχή.

Ο λογαριασμός Guest

Ο λογαριασμός Guest (Επισκέπτης) έχει σχεδιαστεί για τους χρήστες που θα χρειαστούν πρό-

σβαση στο σύστημα μόνο μία φορά ή που προσπελάζουν το σύστημα πολύ σπάνια. Αν και οι

επισκέπτες έχουν περιορισμένα δικαιώματα στο σύστημα, πρέπει να είστε ιδιαίτερα προσεκτι-

κοί σε ό,τι αφορά τη χρήση αυτού του λογαριασμού. Κάθε φορά που χρησιμοποιείται αυτός ο

λογαριασμός, το σύστημα είναι ευάλωτο και επιρρεπές σε ενδεχόμενα προβλήματα ασφαλείας.

Ο κίνδυνος είναι τόσο μεγάλος ώστε μετά την εγκατάσταση των Windows Server 2003 ο λογα-

ριασμός Guest είναι αρχικά απενεργοποιημένος.

Ο λογαριασμός Guest είναι εξ ορισμού μέλος των λογαριασμών Domain Guests (Επισκέπτες

περιοχής) και Guests (Επισκέπτες). Είναι σημαντικό να θυμάστε ότι ο λογαριασμός Guest —

όπως και όλοι οι άλλοι επώνυμοι λογαριασμοί — είναι μέλος της υπονοούμενης ομάδας Every-

one. Κανονικά, η ομάδα Everyone έχει εξ ορισμού πρόσβαση σε αρχεία και φακέλους. Η ομάδα

Everyone έχει επίσης ένα προκαθορισμένο σύνολο δικαιωμάτων χρηστών.

Θέματα ασφαλείας Αν αποφασίσετε να ενεργοποιήσετε το λογαριασμό Guest, φροντίστε

να περιορίσετε τη χρήση του και να αλλάζετε τον κωδικό πρόσβασής του τακτικά. Όπως

και με το λογαριασμό Administrator, ένα σκόπιμο πρόσθετο μέτρο προφύλαξης είναι να

μετονομάσετε το λογαριασμό Guest.


Ο λογαριασμός Support

Ο λογαριασμός Support χρησιμοποιείται από την ενσωματωμένη υπηρεσία Help And Support

(Βοήθεια και υποστήριξη). Ο λογαριασμός είναι μέλος των ομάδων HelpServicesGroup και

Domain Users. Ο λογαριασμός έχει το δικαίωμα σύνδεσης ως εργασία δέσμης (batch job). Αυτή

η αντιστοίχιση των δικαιωμάτων των χρηστών επιτρέπει στο λογαριασμό Support να εκτελεί

ομαδικές εργασίες ενημέρωσης.

Θέματα ασφαλείας Ο λογαριασμός Support δεν έχει το δικαίωμα τοπικής σύνδεσης (ε-

κτός από σύνδεση στα πλαίσια μιας εργασίας δέσμης) και επίσης δεν έχει το δικαίωμα

σύνδεσης με τον υπολογιστή μέσω του δικτύου. Οι περιορισμοί αυτοί είναι σημαντικοί για

να διασφαλιστεί ότι δεν θα γίνουν συμβιβασμοί στην ασφάλεια του συστήματος.

Ενσωματωμένες και προκαθορισμένες ομάδες

Ενσωματωμένες ομάδες (built-in groups) εγκαθίστανται σε όλα τα συστήματα των Windows

Server 2003. Μπορείτε να χρησιμοποιείτε τις ενσωματωμένες και τις προκαθορισμένες ομάδες

για να εκχωρήσετε σε κάποιο χρήστη τα προνόμια και τις άδειες της ομάδας. Για να γίνει αυτό,

αρκεί να κάνετε το χρήστη μέλος της ομάδας. Για παράδειγμα, μπορείτε να δώσετε σε ένα χρή-

στη διαχειριστικά προνόμια σε ένα σύστημα κάνοντάς τον μέλος της τοπικής ομάδας των δια-

χειριστών (Administrators). Παρόμοια, μπορείτε να εκχωρήσετε σε ένα χρήστη άδεια διαχειρι-

στικής πρόσβασης στην περιοχή κάνοντάς τον μέλος της τοπικής ομάδας Administrators της

περιοχής στον Ενεργό Κατάλογο.

Υπονοούμενες ομάδες και ειδικές ταυτότητες

Στα Windows NT, οι υπονοούμενες ομάδες (implicit groups) αποδίδονταν με έμμεσο τρόπο

(υπονοούνταν) κατά τη διαδικασία σύνδεσης με βάση τον τρόπο πρόσβασης ενός χρήστη σε

κάποιο πόρο του δικτύου. Για παράδειγμα, αν ένας χρήστης προσπέλαζε έναν πόρο μέσω της

αλληλεπιδραστικής διαδικασίας σύνδεσης (interactive logon), γινόταν αμέσως μέλος μιας υπο-

νοούμενης ομάδας που ονομαζόταν Interactive (Αλληλεπιδραστική). Στα Windows 2000 και

στα Windows Server 2003, η βασισμένη στα αντικείμενα προσέγγιση της δομής του καταλόγου

αλλάζει τους αρχικούς κανόνες που ίσχυαν για τις υπονοούμενες ομάδες. Αν και εξακολουθείτε

να μην μπορείτε να δείτε τα μέλη των "ειδικών ταυτοτήτων" (special identities), μπορείτε τώρα

να ορίσετε χρήστες, ομάδες, και υπολογιστές ως μέλη υπονοούμενων ομάδων.

Για να αντικατοπτρίζουν ακριβώς το νέο τους ρόλο, οι υπονοούμενες ομάδες αναφέρονται επί-

σης και ως ειδικές ταυτότητες (special identities). Ειδική ταυτότητα είναι μια ομάδα της οποίας

η ιδιότητα μέλους δεν μπορεί να οριστεί ούτε έμμεσα (να υπονοηθεί), όπως κατά τη διαδικασία

σύνδεσης, ούτε ρητά μέσω της εκχώρησης αδειών πρόσβασης. Όπως συμβαίνει και με τις άλλες

προεπιλεγμένες ομάδες, το αν θα είναι διαθέσιμη μια συγκεκριμένη υπονοούμενη ομάδα εξαρ-

τάται από την τρέχουσα διευθέτηση. Ο Πίνακας 8-2 δείχνει τη διαθεσιμότητα των διαφόρων

υπονοούμενων ομάδων. Οι υπονοούμενες ομάδες περιγράφονται στη συνέχεια του κεφαλαίου.


Πίνακας 8-2. Διαθεσιμότητα υπονοούμενων ομάδων κατά τύπο πόρων του δικτύου

Όνομα ομάδας

Τύπος

ομάδας

Περιοχή Ενεργού

Καταλόγου

Διακομιστής-μέλος των

Windows Server 2003

Anonymous Logon (Ανώνυμη σύνδεση) Υπονοούμενη Ναι Ναι

Authenticated Users (Πιστοποιημένοι

χρήστες)

Υπονοούμενη Ναι Ναι

Batch (Ομαδικές εργασίες) Υπονοούμενη Ναι Ναι

Creator Group (Ομάδα δημιουργού) Υπονοούμενη Ναι Ναι

Creator Group (Ιδιοκτήτης δημιουργού) Υπονοούμενη Ναι Ναι

Dialup (Κλήση) Υπονοούμενη Ναι Ναι

Enterprise Domain Controllers

(Ελεγκτές περιοχών επιχείρησης)

Υπονοούμενη Ναι Όχι

Everyone (Όλοι) Υπονοούμενη Ναι Ναι

Interactive (Αλληλεπιδραστική) Υπονοούμενη Ναι Ναι

Local Service (Τοπική υπηρεσία) Υπονοούμενη Όχι Ναι

Network (Δίκτυο) Υπονοούμενη Ναι Ναι

Network Service (Υπηρεσία δικτύου) Υπονοούμενη Όχι Ναι

Proxy (Μεσολάβηση) Υπονοούμενη Ναι Όχι

Remote Interactive Logon (Μακρινή

αλληλεπιδραστική σύνδεση)

Υπονοούμενη Όχι Ναι

Restricted (Περιορισμένη) Υπονοούμενη Ναι Όχι

Self (Εαυτή) Υπονοούμενη Ναι Όχι

Service (Υπηρεσία) Υπονοούμενη Ναι Ναι

System (Σύστημα) Υπονοούμενη Ναι Ναι

Terminal Server User (Χρήστης

υπηρεσιών τερματικού)

Υπονοούμενη Ναι Ναι

Δυνατότητες λογαριασμών

Όταν διαμορφώνετε ένα λογαριασμό χρήστη, μπορείτε να εκχωρήσετε στο χρήστη συγκεκριμέ-

νες δυνατότητες. Γενικά, εκχωρείτε αυτές τις δυνατότητες ορίζοντας το χρήστη ως μέλος μιας ή

περισσότερων ομάδων και κληροδοτώντας του με αυτόν τον τρόπο τις δυνατότητες αυτών των

ομάδων. Κατά συνέπεια, μπορείτε να εκχωρήσετε σε κάποιο χρήστη πρόσθετες δυνατότητες

κάνοντάς τον μέλος στις κατάλληλες ομάδες, Επίσης, μπορείτε να του αφαιρέσετε δυνατότητες

διαγράφοντας το λογαριασμό του από τις κατάλληλες ομάδες.

Στα Windows Server 2003 μπορείτε να αποδώσετε σε ένα λογαριασμό διάφορους τύπους δυνα-

τοτήτων: Στις δυνατότητες αυτές περιλαμβάνονται οι εξής:

• Προνόμια (Privileges) Ένας τύπος δικαιωμάτων χρηστών που εκχωρεί άδειες για την ε-

κτέλεση συγκεκριμένων διαχειριστικών εργασιών. Μπορείτε να εκχωρείτε προνόμια σύνδε-

σης τόσο σε λογαριασμούς χρηστών όσο και σε λογαριασμούς ομάδων. Ένα παράδειγμα

προνομίου είναι η δυνατότητα να τερματίζει κάποιος χρήστης τη λειτουργία του συστήμα-

τος.


• Δικαιώματα σύνδεσης (Logon rights) Ένας τύπος δικαιωμάτων χρηστών που εκχωρεί

άδειες σύνδεσης στο δίκτυο. Μπορείτε να εκχωρείτε δικαιώματα σύνδεσης τόσο σε λογα-

ριασμούς χρηστών, όσο και σε λογαριασμούς ομάδων. Ένα παράδειγμα δικαιώματος σύν-

δεσης είναι η δυνατότητα τοπικής σύνδεσης του χρήστη.

• Ενσωματωμένες δυνατότητες (Built-in capabilities) Ένας τύπος δικαιωμάτων χρηστών

που εκχωρείται σε ομάδες και περιλαμβάνει τις αυτόματες δυνατότητες της ομάδας. Οι εν-

σωματωμένες δυνατότητες είναι προκαθορισμένες και δεν τροποποιούνται, αλλά μπορούν

να μεταβιβαστούν στους χρήστες που έχουν άδεια να διαχειρίζονται αντικείμενα, οργανωτι-

κές μονάδες, ή άλλους αποδέκτες αντικειμένων. Ένα παράδειγμα ενσωματωμένης δυνατό-

τητας είναι η δυνατότητα δημιουργίας, διαγραφής, και διαχείρισης λογαριασμών χρηστών. η

οποία εκχωρείται στα μέλη των ομάδων των διαχειριστών (Administrators) και των χειρι-

στών λογαριασμών (Account Operators). Έτσι, αν ένας χρήστης είναι μέλος της ομάδας

Administrators, μπορεί να δημιουργεί, να διαγράφει, και να διαχειρίζεται λογαριασμούς

χρηστών.

• Άδειες πρόσβασης (Access permissions) Ένας τύπος δικαιωμάτων χρηστών που ορίζει τις

λειτουργίες οι οποίες είναι δυνατόν να εκτελεστούν στους πόρους του δικτύου. Μπορείτε να

εκχωρείτε άδειες πρόσβασης σε λογαριασμούς χρηστών, υπολογιστών, και ομάδων. Ένα

παράδειγμα άδειας πρόσβασης είναι η δυνατότητα να δημιουργήσει κάποιος ένα αρχείο σε

έναν κατάλογο. Οι άδειες πρόσβασης περιγράφονται στο Κεφάλαιο 13.

Ως διαχειριστές, θα ασχολείστε καθημερινά με τις δυνατότητες των λογαριασμών. Οι ενότητες

που ακολουθούν θα σας βοηθήσουν να παρακολουθείτε καλύτερα τις ενσωματωμένες δυνατό-

τητες. Να θυμάστε ότι, μολονότι δεν μπορείτε να τροποποιήσετε τις ενσωματωμένες δυνατότη-

τες μιας ομάδας, μπορείτε να αλλάξετε τα προεπιλεγμένα της δικαιώματα. Ως διαχειριστές, θα

μπορούσατε για παράδειγμα να ανακαλέσετε το δικαίωμα πρόσβασης σε έναν υπολογιστή μέ-

σω του δικτύου, καταργώντας το δικαίωμα μιας ομάδας να προσπελάζει το συγκεκριμένο υπο-

λογιστή από το δίκτυο.

Προνόμια

Τα προνόμια (privileges) είναι ένας τύπος δικαιωμάτων χρηστών που εκχωρεί άδειες για την

εκτέλεση μιας συγκεκριμένης διαχειριστικής εργασίας. Μπορείτε να εκχωρείτε προνόμια μέσω

πολιτικών ομάδων (group policies), οι οποίες είναι δυνατόν να εφαρμοστούν σε μεμονωμένους

υπολογιστές, οργανωτικές μονάδες, και περιοχές. Αν και μπορείτε να εκχωρείτε προνόμια τόσο

σε λογαριασμούς χρηστών όσο και σε λογαριασμούς ομάδων, συνήθως είναι προτιμότερο να τα

εκχωρείτε σε ομάδες. Με αυτόν τον τρόπο, τα κατάλληλα προνόμια θα εκχωρούνται στους

χρήστες αυτόματα, μόλις γίνουν μέλη μιας ομάδας. Η εκχώρηση προνομίων σε ομάδες διευκο-

λύνει εξάλλου τη διαχείριση των λογαριασμών των χρηστών.

Στον Πίνακα 8-3 θα βρείτε μια σύντομη επισκόπηση των προνομίων που είναι δυνατόν να εκ-

χωρηθούν σε χρήστες και ομάδες. Θα μάθετε πώς να εκχωρείτε τέτοια προνόμια στο Κεφάλαιο

9.

Περιεχόμενα · Περιεχόμενα 9 Γνωριμία με την κονσόλα...

Documents

Transcript of Περιεχόμενα · Περιεχόμενα 9 Γνωριμία με την κονσόλα...