Jak získat přístup ke správě uživatelů z příkazového řádku. Nastavení rolí pomocí Správce serveru
Jedním z aktuálních témat systému Windows Server 2008 je „méně je více“. Neznamená to zbytečné vyřezávání součástek. To znamená strategii zjednodušování a vyjasňování rolí a nástrojů tak, aby bylo stanoveno přesně to, co je potřeba – a nic víc. Server Manager je důležitou součástí tohoto konceptu ve Windows Server® 2008.
To je vyjádřeno ve dvou aspektech. Prvním je kriticky důležitý koncept serverových rolí a komponent, které jsou stavebními kameny systému Windows Server 2008. Druhým je samotný nástroj Server Manager. Nejen, že tento nástroj nahrazuje několik nástrojů systému Windows Server 2003, ale také přináší mnohem více funkcí na jedno místo, takže zaneprázdnění správci mohou udělat více, rychleji a snadněji.
Role a komponenty
Ti, kteří četli o systému Windows Server 2008, pravděpodobně narazili na některé termíny, které se v kontextu Windows® dříve nepoužívaly, například „pracovní zátěž“ a „role“. Začnu tím, že vysvětlím, co tyto pojmy znamenají pro IT profesionály.
Na začátku vývojového cyklu Windows Server 2008 jsme strávili spoustu času snahou zjistit, jak přesně uživatelé naše serverové produkty používají. (Ve skutečnosti to zkoušíme dál.) Celkově jsme zjistili, že uživatelé nasazují naše servery k provádění konkrétních úkolů. Možná to nezní jako velké zjevení, ale pro některé z nás byly statistiky ukazující, že uživatelé nekupují naše servery jen proto, aby měli server, zjevením. Ještě důležitější je, že nenasazují servery k provádění více úkolů. Místo toho vyžadují od serveru něco konkrétního. Samozřejmě existují výjimky, ale ve většině případů je server vyhrazen k provádění konkrétní funkce.
V reakci na tato odhalení jsme tyto „definované funkce“ seskupili do širokých kategorií nazývaných pracovní zátěže. Například zatížení databáze a zatížení aplikačního serveru. Protože jsou pracovní zátěže široké a někdy mlhavé, vytvořili jsme v nich podkategorie nazývané role. Role je jednoduchá, dobře definovaná funkce, kterou má server provádět. Přemýšlejte o tom, jak vy (a lidé, které znáte) pojmenováváte servery ve vaší síti. Většina uživatelů je považuje za souborový server, řadič domény, tiskový server, webový server a tak dále. Protože uživatelé mají tendenci uvažovat o serverech tímto způsobem, používá Windows Server 2008 stejný přístup k práci s rolemi.
Zhruba řečeno, v systému Windows Server 2008 existují tři široké kategorie rolí: správa identity a přístupu (tyto role jsou označeny jako součást Active Directory®), infrastruktura (to zahrnuje souborové servery, tiskové servery, DNS atd.) aplikace (jako je role webového serveru a terminálové služby).
Windows Server 2008 bude dodáván s přibližně 17 rolemi (včetně rolí, jako jsou Active Directory Certificate Services, Network Policy and Access Services a Windows Server Virtualization Services). Další role, jako je role Streaming Media Services, budou pravděpodobně k dispozici ke stažení.
Celkově vzato si každá role zaslouží svůj vlastní článek. Některé z nich jsou podrobněji rozebrány v tomto čísle. Časopis TechNet, některé již byly pokryty a některé teprve budou. Každý z nich stojí za prozkoumání, počínaje informacemi uvedenými na adrese technet2.microsoft.com/windowsserver2008/en/servermanager/default.mspx.
Když zahájíte nasazení systému Windows Server 2008, musíte zvolit, které role se nainstalují na každý server. Toto nasazení založené na rolích je důležitým prvkem využití systému Windows Server 2008 a poskytuje flexibilitu při nasazování stávajících prostředků.
Seznam rolí nezahrnuje položky, jako je šifrování jednotky BitLockerTM a NLB (Network Load Balancing). Jde totiž o komponenty – jejich přítomnost je žádoucí, ale uživatel si systém nekoupí jen kvůli nim. Role naproti tomu představují přesně ty úkoly, pro které je systém zakoupen. Uživatelé například nekupují servery, aby mohli použít vyrovnávání zatížení sítě. Kupují je za účelem, řekněme, údržby webových stránek. NLB může být velmi významným aspektem, řekněme, webového serveru, ale není účelem, pro který server existuje.
Namísto instalace a povolení všech komponent serveru vybere správce, které z nich nainstaluje. (Seznam funkcí obsažených v systému Windows Server 2008 naleznete v části rýže. 1.) Povolení pouze požadovaných rolí a funkcí zlepšuje stabilitu a zabezpečení. Pokud funkce nebo role není nainstalována, nemusíte se starat o zdroje, které spotřebovává. Stejně tak se nemusíte starat o odstraňování problémů s komponentami nebo zabezpečením rolí, pokud nejsou nainstalovány.
Obrázek 1 Komponenty zahrnuté v systému Windows Server 2008
| Funkce rozhraní Microsoft .NET Framework 3.0 |
| Technologie šifrování jednotky BitLocker |
| Serverová rozšíření BITS |
| Connection Manager Administration Pack |
| Motivy plochy |
| Správa zásad skupiny |
| Internetový tiskový klient |
| Server Internet Storage Name Service (iSNS). |
| Monitor portu LPR |
| Fronta zpráv |
| Vícecestný I/O |
| Peer Name Resolution Protocol |
| qWave |
| Vzdálená pomoc |
| Nástroje pro vzdálenou správu serveru |
| Správce vyměnitelného úložiště |
| Proxy RPC přes HTTP |
| Služby pro NFS. |
| Server SMTP |
| Správce úložiště pro sítě SAN |
| Jednoduché služby TCP/IP |
| Služby SNMP |
| Subsystém pro aplikace založené na UNIXu |
| Telnet klient |
| Telnet server |
| TFTP klient |
| Clusterování při selhání |
| Vyrovnávání zatížení sítě |
| Zálohovací systém Windows Server |
| Správce systémových prostředků Windows |
| WINS Service Server (volitelně) |
| Služba bezdrátové sítě LAN |
| Interní databáze Windows |
| Windows PowerShell |
| Služba aktivace procesů systému Windows |
Ztělesněním tohoto konceptu je možnost instalace Server Core. Popis Server Core přesahuje rámec tohoto článku, ale čtenář si dokáže představit logický závěr myšlenky, že nepoužívané role a funkce by se neměly ani kopírovat na pevný disk nebo zpřístupňovat. Klíčový rozdíl mezi normální instalací a instalací Server Core je v tom, že běžná instalace zahrnuje všechny potřebné prostředky k instalaci dalších rolí kdykoli a podporuje všechny role. Server Core nemá ani grafické rozhraní pro svůj shell a podporuje pouze omezenou sadu rolí.
Správce serveru
Nová konzola Správce serveru v systému Windows Server 2008 usnadňuje správu a zabezpečení více rolí serveru ve vaší organizaci. Server Manager, který je v podstatě rozšířením konzoly Microsoft® Management Console (MMC), umožňuje prohlížet a spravovat prakticky všechny informace a nástroje, které ovlivňují výkon serveru. Poskytuje jediný zdroj pro správu identity serveru a systémových informací, zobrazení stavu serveru, identifikaci problémů při konfiguraci rolí serveru a správu nainstalovaných rolí. (Všimněte si, že také nahrazuje několik funkcí, které byly součástí systému Windows Server 2003, jako je správa serveru, konfigurace serveru a přidávání nebo odebírání funkcí systému Windows.)
V některých případech může Správce serveru také snížit potřebu, aby správce před nasazením serverů spouštěl Průvodce konfigurací zabezpečení (SCW). Správce serveru konfiguruje server tak, aby byly funkční všechny nainstalované role – například automaticky konfiguruje bránu Windows Firewall. V případech, kdy jsou role přidávány a poté odebírány, nebo kdy uživatel potřebuje větší kontrolu nad konkrétními nastaveními zabezpečení, je SCW stále cenným nástrojem. Další informace naleznete v článku Jespera Johanssona „Using SCW on Windows Server 2008“ v části Security Watch tohoto vydání našeho časopisu (microsoft.com/technet/technetmag/issues /2008/03).
Když jsme pracovali na Windows Server 2008, pečlivě jsme zvažovali, jak očekáváme, že správci budou provádět úkoly. Našli jsme způsoby, jak jim nástroje a průvodci usnadnili práci, a případy, kdy bylo potřeba příliš mnoho přeskakovat z jednoho nástroje na druhý. Důležitým cílem, který jsme měli při navrhování systému Windows Server 2008 obecně a Server Manager konkrétně, bylo zefektivnit správu serveru tím, že správcům umožní provádět mnoho typů úkolů na jednom místě. V důsledku toho můžete pomocí Správce serveru:
- Prohlédněte si role a funkce nainstalované na serveru a proveďte v nich změny.
- Provádějte úlohy správy související se serverem, jako je spouštění nebo zastavování služeb nebo správa místního uživatelského účtu.
- Provádějte úlohy správy související s rolemi nainstalovanými na serveru.
- Zkontrolujte stav serveru, identifikujte důležité události a analyzujte problémy s konfigurací.
- Nainstalujte nebo odeberte role, služby rolí a komponenty pomocí GUI nebo příkazového řádku.
Server Manager Console představuje spoustu informací a funkcí na malém prostoru. Na rýže. 2 zobrazuje roli uzlu Souborové služby v konzole Správce serveru. Hlavní okno konzoly obsahuje čtyři sbalitelné části: Souhrn serveru, Souhrn rolí, Souhrn funkcí a Obsah a podpora.
Rýže. 2 Konzola pro správu serveru zobrazující roli souborových služeb.
Souhrn serveru má dvě podsekce: informace o počítači a informace o zabezpečení. Podčást Informace o počítači zobrazuje název počítače, doménu, název účtu místního správce, síťová připojení a kód produktu operačního systému. Tyto informace můžete změnit pomocí příkazů. Podsekce s informacemi o zabezpečení zobrazuje, zda jsou povoleny automatické aktualizace systému Windows a brána Windows Firewall a zda je povoleno rozšířené zabezpečení aplikace Internet Explorer® Windows (buď pro správce nebo jiné uživatele). Podobně jsou zde k dispozici příkazy pro změnu těchto nastavení a pro zobrazení všech dalších možností.
Část Souhrn rolí obsahuje tabulku, která ukazuje, které role jsou nainstalovány na serveru. Příkazy v této části vám umožňují přidávat nebo odebírat role nebo vás převedou do podrobnější konzole, pomocí které můžete spravovat jednotlivé role.
Část Souhrn součástí obsahuje tabulku, která uvádí, které součásti jsou nainstalovány na serveru. Podle očekávání zde můžete přidávat a odebírat součásti.
Nakonec sekce Obsah a podpora určuje, zda se server účastní programu Customer Experience Program a Windows Error Reporting, a umožňuje vám nakonfigurovat účast serveru v programech zpětné vazby. Můžete také rychle objevit další nápovědu a témata výzkumu dostupná v TechCenters a Windows Server Technical Libraries.
Podrobnosti o roli
Každá nainstalovaná role má svou vlastní domovskou stránku ve Správci serveru. Pro každou z těchto stránek hlavních rolí nabízí část Zdroje a podpora nabídku doporučených nastavení nebo případů, kdy tato role nebo části role fungují. Každé doporučené nastavení je spojeno s kontrolním seznamem nápovědy, který uživatele provede úlohami, které je třeba dokončit, aby byla pro danou roli co nejlepší zkušenost.
Obzvláště užitečným aspektem Správce serveru je, že posouvá důležité informace a příkazy na vrchol a umísťuje je přesně tam, kde je uživatel potřebuje. Pokud například uživatel zobrazí hlavní stránku role Souborové služby, může okamžitě vidět všechny události související s touto rolí; k tomu nepotřebuje spouštět prohlížeč událostí a vytvářet filtr.
Některé role však mohou vytvářet stovky událostí, takže uživatel má také možnost vytvářet vlastní filtry přímo z hlavní stránky role. Z postranní nabídky můžete vybrat „Filtrovat události“ a dále zúžit kategorie zobrazených událostí. Toto dialogové okno neposkytuje všechny možnosti filtrování dostupné v Prohlížeči událostí, ale umožňuje vám rychle se zaměřit pouze na události relevantní pro danou konkrétní roli, aniž byste se museli obtěžovat filtrováním ostatních.
Podobně můžete vidět stav systémových služeb (služby požadované danou rolí, ale které jsou součástí celkového systému) a služeb rolí (služby specifické pro danou roli). U některých služeb si můžete vybrat, které části role jsou dostupné, a nainstalovat různé sady služeb rolí. Přímo z hlavní stránky role můžete spouštět a zastavovat služby a určit, které služby mají být pro danou roli monitorovány jako systémové služby.
Práce s mistry
Dobře navržený průvodce může uživateli ušetřit čas a pomoci předcházet chybám, zejména při práci s úkoly, které jsou prováděny jen příležitostně. V předchozích verzích systému Windows Server vyžadovala změna součástí nainstalovaných na serveru použití průvodce Spravovat tento server, Konfigurovat tento server a Přidat nebo odebrat funkce systému Windows. Kontroly závislostí byly omezené a Průvodce přidáním nebo odebráním funkcí systému Windows vyžadoval, abyste dokončili instalaci jedné role před přidáním další.
Pomocí průvodců Správce rolí nyní můžete nainstalovat nebo odinstalovat více rolí, služeb rolí a funkcí v jedné relaci. Ale co je důležitější, průvodci správcem serveru provádějí kontroly závislostí, aby zajistili, že jsou nainstalovány všechny požadované role a služby rolí. A role jsou standardně instalovány s doporučeným nastavením zabezpečení – i když je lze změnit pomocí Průvodce konfigurací zabezpečení. Jediná relace jednoho z průvodců Správce serveru reálně stačí k úplné přípravě serveru na nasazení.
Správce serveru má sadu průvodců, včetně průvodců Přidat role, Přidat služby rolí, Přidat funkce, Odebrat role, Odebrat služby rolí a Odebrat funkce.
Průvodce přidáním rolí, o kterém můžete hádat, že se používá k přidávání rolí na server, automaticky kontroluje závislosti mezi rolemi a zajišťuje, že jsou nainstalovány všechny role, stejně jako služby rolí potřebné ke spuštění každé vybrané role. Pro některé role, jako jsou Terminálové služby a Certifikační služby Active Directory, poskytuje Průvodce přidáním role také konfigurační stránky, které umožňují uživateli zadat požadovanou konfiguraci role během procesu instalace. Rýže. 3 ukazuje stránku pro výběr role serveru Průvodce přidáním rolí.
Rýže. 3 Pomocí Průvodce přidáním rolí vyberte role serveru
Většina rolí se skládá z několika prvků, které Správce serveru označuje jako služby rolí. Poté, co nainstalujete komplexní roli, můžete k ní přidat služby pomocí Průvodce přidáním služeb rolí.
Podobně jako Průvodce přidáním rolí umožňuje Průvodce přidáním funkcí instalovat funkce. V jedné relaci můžete přidat jednu nebo více komponent.
Průvodce odebráním role, jak jeho název napovídá, umožňuje odebrat role ze serveru. Průvodce automaticky kontroluje závislosti, aby zajistil, že role nebo služby rolí vyžadované jinými rolemi nebudou odebrány a zůstanou nainstalovány. Služby rolí můžete také odebrat z nainstalované role pomocí Průvodce odebráním služeb rolí. Zároveň vám Průvodce odinstalací součástí umožňuje odebrat součásti systému.
Příkazový řádek
Občas potkávám IT lidi, kteří čaroděje prostě nenávidí. Ačkoli to málokdo cítí, mnoho IT profesionálů miluje možnost používat příkazový řádek. To může být pohodlnější, protože to umožňuje jednoduchou opakovatelnost a skriptování. Server Manager poskytuje nástroj příkazového řádku ServerManagerCmd.exe, jehož použití je výrazně jednodušší než starší nástroje ocsetup a pkgmgr. ServerManagerCmd.exe lze použít k instalaci a odinstalaci rolí, služeb rolí a funkcí. Můžete také použít jednoduché možnosti k zobrazení seznamu všech rolí, služeb rolí a funkcí – včetně těch, které jsou nainstalovány, i těch, které jsou k dispozici pro instalaci.
Tento příkazový řádek umožňuje automaticky instalovat a odinstalovat role, služby rolí a funkce, což je docela pohodlné. Pomocí příkazového řádku můžete nainstalovat nebo odebrat jednu roli, službu role nebo funkci v instanci příkazu; nebo můžete použít soubor odpovědí XML pomocí příkazu Server Manager k instalaci nebo odebrání více rolí, služeb rolí a funkcí pomocí jediné instance příkazu. Můžete také prohlížet protokoly a spouštět dotazy pro zobrazení seznamů rolí, služeb rolí a funkcí, včetně těch, které jsou již nainstalované a které jsou k dispozici pro instalaci.
Vrcholem tohoto nástroje příkazového řádku je parametr whatif, který vám umožňuje přesně vidět, jaké změny budou provedeny na serveru instalací zadané role. Například na rýže. 4 zobrazuje výsledky spuštění následujícího příkazu:
ServerManagerCmd -install Web-Server -allsubfeatures -whatif
Rýže. 4 Použití parametru whatif k zobrazení změn, které by byly provedeny na serveru
Podrobnější informace o podrobnostech a syntaxi ServerManagerCmd.exe naleznete v příloze „Technický přehled správce serveru“ na adrese
Kategorie ~ Technické tipy – Igor (administrátor)Někdy to vypadá, že se Microsoft snaží různé systémové nástroje před uživateli co nejdál schovat. Řada takových nástrojů je navíc tak dobře skryta, že je nutné je „hledat“. Buď je cesta k nim velmi trnitá, nebo je najdete, až když už o nich víte. Mezi těmito nástroji existuje skupina systémových aplikací s obecným názvem „Microsoft Management Console“ (MMC). Říká se jim také snap-in. Takových zařízení jsou asi dvě až tři desítky. Jsou k dispozici ve Windows XP, Vista a 7. Jako systémové nástroje vyžadují ke spuštění práva správce.
Poznámka: Touha Microsoftu skrýt systémové nástroje je zcela oprávněná. Téměř každý systémový nástroj může vést k vážným problémům, dokonce i k poškození operačního systému.
Konzola nebo modul snap-in konzoly MMC má speciální příponu .msc a běží jako běžný spustitelný soubor. Stačí zadat celé jméno s příponou například do příkazového řádku. Můžete také použít dialogové okno Spustit nebo vyhledávací panel ve Windows Vista/7.
Poznámka: Vždy musíte zadat celý název modulu snap-in, protože přípona .msc není zahrnuta v seznamu automaticky přidaných modulů.
Jak již bylo zmíněno dříve, ve výchozím nastavení jsou v systému asi dva až tři desítky takových modulů snap-in. Snap-iny mohou být přidány i programy třetích stran, například MS SQL přidává své vlastní snap-iny. Nechybí ani speciální konstruktér, díky kterému si můžete sestavit vlastní konzoli z veškeré dostupné výbavy. Je však lepší přejít k druhému až poté, co se vypořádáte s několika moduly snap-in (ve skutečnosti alespoň trochu rozumíte dvěma otázkám: „proč jsou potřeba?“ a „jak je používat? “).
Jeden z nejznámějších modulů snap-in, který je užitečný pro začátečníky i zkušené uživatele, se nazývá Správa počítače. Modul snap-in obsahuje většinu systémových nástrojů, které bude průměrný uživatel kdy potřebovat.
Chcete-li konzoli otevřít, musíte zadat „compmgmt.msc“ (bez uvozovek) nebo v případě Windows Vista a 7 jej vyhledat podle názvu ve vyhledávací liště nabídky Start. Na obrázku níže je znázorněno rozhraní z Windows 7. Kromě externích efektů zde nejsou žádné velké rozdíly oproti modulům snap-in ve Windows XP a Vista.
Jak vidíte, tento modul snap-in obsahuje nejčastěji používané systémové nástroje a funkce. Správce zařízení, Správa disků, Místní uživatelé, Plánovač úloh a tak dále. V tomto případě lze každý z vnořených modulů snap-in otevřít v samostatném okně. Například tři nejznámější zařízení:
- Správce zařízení (devmgmt.msc)
- Správa disků (diskmgmt.msc)
- Služby (services.msc)
Poznámka: Běžný uživatel se setkal s většinou utilit a funkcí, které jsou dostupné ve Správě počítače. Jednoduše je oddělovala jak životnost OS Windows (například rozdělení disků na oddíly), tak různé přístupové cesty k nim (například přeinstalace ovladačů ze správce zařízení nebo nastavení uživatelů).
Windows byl vždy spojen s grafickým rozhraním a po dlouhou dobu považovali win-admini za požehnání, že si nemusí pamatovat příkazy konzole. Ale jak se možnosti zvětšovaly, používání GUI se již nezdálo tak snadné. Nastavení musíte hledat v mnoha vnořených dialogových oknech. Pokusy vše optimalizovat, měnit místa a přidávat nové čaroděje jen zvýšily zmatek. Objevilo se jádro serveru, místo jednoho serveru musíte spravovat desítky, často provádějících stejný typ operací. V důsledku toho se správci vrátili do konzole.
Základní operace
Ve skutečnosti ani vývoj konzolových utilit po celou tu dobu nezůstal stát. Seznam příkazů se příliš nezměnil: net, netdom, whoami, aktivační skript slmgr.vbs, program pro správu služeb sc, síťové nástroje pro konfiguraci a diagnostiku ipconfig, netsh, netstat/nbtstat, arp/getmac, ping, tracert, nslookup a mnoho dalších. Po oznámení PowerShellu se objevily oficiální informace, že obvyklé utility již nebudou vyvíjeny, nahradí je cmdlety.
Tento osud potkal konzolovou verzi správce serveru ServerManagerCmd.exe a nástroj pro instalaci komponent OCSetup.exe, které poté, co se objevily ve Win2008, zmizely ve Win2012. Rutiny Install-WindowsFeature a Add-WindowsFeature se nyní používají k instalaci funkcí z konzoly. Konzolové nástroje jsou stále známější než rutiny, ale výsledek získaný pomocí PowerShellu umožňuje vybrat více parametrů, filtrovat je a zpracovávat ve skriptech. A co je nejdůležitější, nyní lze potřebná data získat nejen z lokálního systému, ale i ze vzdáleného systému, a to v pohodlné formě. To vše naznačuje, že musíte být připraveni na změnu.
V nejnovějších edicích OS byla zkratka pro spuštění cmd.exe skryta dále v nabídce. Je pravda, že není nutné jej používat, protože všechny tradiční příkazy konzoly lze zadávat přímo do konzoly PowerShell (i když existují určité nuance), což má nepochybnou výhodu - automatické dokončování (přes Tab). Postupně se objevují odpovídající rutiny, které nahrazují staré dobré nástroje, které poskytují podobné výsledky. Pokusme se zjistit všechny operace v pořadí, zvažte typické úkoly pomocí příkazů konzoly a PowerShellu.
Ihned po instalaci obdrží operační systém náhodně vygenerovaný název. Chcete-li přejmenovat systém a připojit jej k doméně, použijte nástroj netdom:
> netdom renamecomputer Win01 /newname:SRV01 > netdom join SRV01 /Domain:example.org /OU:ou=ouname,dc=example,dc=org /UserD:DomainAdmin /PasswordD:password
Stejné operace pomocí PowerShellu vypadají ještě přehledněji.
PS> Přejmenovat-počítač –Nový název SRV01 PS> Přidat počítač -název domény example.org -OUPath "OU=ouname=example,DC=org"
Po instalaci systému nebo součásti může být nutné nakonfigurovat režim spouštění služby. V konzole jsou k tomu dva příkazy:
> Sc config winrm start= auto > Net start winrm
Existuje však několik rutin pro správu spouštění služeb: Get-Service, Start-Service, Set-Service, Stop-Service, Resume-Service. Jejich účel mluví sám za sebe.
PS> Set-Service -name winrm -status Running -StartupType Automatic
Sconfig.cmd
Správci Win si opravdu neradi pamatují příkazy v systému můžete najít pohodlný shell pro většinu příkazů konzoly, Sconfig.cmd. Původně byl vyvinut pro Server Core, ale ve Win2012R2 je k dispozici také v režimu plné serverové instalace. Sconfig nevyžaduje znalost všech klíčů a umožňuje vám pohybem přes 15 bodů rychle provést základní nastavení nebo provést některé příkazy: přidat server do domény nebo pracovní skupiny, změnit název počítače, přidat místního správce, nakonfigurovat vzdálený ovládat přes WinRM a vzdálenou plochu, nakonfigurovat síť, Windows Update, čas a datum, restartovat a vypnout počítač. Musíte si uvědomit, že skript používá standardní konzolové nástroje a pokud v příštím vydání zmizí, pak s největší pravděpodobností nebude ani Sconfig.
Montáž síťových disků ale není tak jednoduchá. Tradičně se tato operace provádí pomocí použití sítě:
> net use E: \\SRV01\users /Persistent:Ano
Rutina New-PSDrive (od PowerShell Drive) je považována za její analog, ale existuje zde problém, který není pro mnohé zřejmý a vyvolává spoustu otázek.
PS> Nový-PSDrive –Název E –PSProvider FileSystem –Root \\SRV01\users
Pomocí New-PSDrive se vytvoří tzv. PowerShell disk, který je přístupný pouze v aktuální relaci konzoly a pouze v PowerShellu. To znamená, že pomocí Průzkumníka, WMI, .NET Framework nebo net use se k takovému disku nemůžete připojit. Není to zřejmé, ale v dokumentaci je to jasně uvedeno. Jen to málokdo čte.
Chcete-li jednotku trvale používat, musíte exportovat relaci, ve které byla jednotka přidána, nebo uložit příkaz New-PSDrive do profilu PowerShell nebo nejprve použít rutinu New-Object:
PS> $net = New-Object -ComObject WScript.Network PS> $net.MapNetworkDrive("E:", "\\SRV01\users")
Teprve v PowerShellu 4.0 se objevil parametr –Persist, který umožňuje trvale připojit PS disky.
PS> Nový-PSDrive –Název E –PSProvider FileSystem –Root \\SRV01\users –Trvale
Pro práci s disky a oddíly nabízí konzola Windows dva nástroje: diskpart a fsutil. Nejsou příliš pohodlné a informativní, a proto nejsou populární a jsou často nahrazovány alternativním vývojem. Podívejme se na statistiky pro oddíl.
> fsutil fsinfo statistiky C:
Get-Command disk" vytvoří několik cmdletů, ale v našem příkladu nejsou příliš užitečné a abychom získali informace o volném místě, stále musíme přistupovat k WMI:
PS> Get-WmiObject Win32_LogicalDisk -ComputerName SRV01 -Filter "DeviceID="C:"" | Select-Object Size,FreeSpace
Přístup k souborům ve Win je tradičně regulován dvěma utilitami - takeown a icacls (existuje také cacls, ale je považován za zastaralý), které si se svými povinnostmi poradí celkem dobře. Chcete-li například změnit aktuální účet (musí být členem skupiny administrátorů) vlastníkem adresáře, stačí zadat:
> takeown /f c:\temp
Nástroj icacls vám umožňuje spravovat seznamy řízení přístupu. Uložme například ACL do souboru a obnovíme jej:
> icacls c:\temp\* /uložit acl.txt /T > icacls c:\temp\ /obnovit acl.txt
Stejná operace pomocí PowerShellu vypadá jednodušeji:
PS> Get-Acl c:\temp | Set-Acl -Path c:\temp
Správa BYOD pomocí PowerShellu
Jednou z největších výzev, kterým čelíte u modelu BYOD, je nedostatek kontroly nad zařízeními uživatelů. Ve Win2012R2 to spravuje Služba registrace zařízení (DRS), při registraci se na zařízení nainstaluje certifikát a v AD se vytvoří nový objekt zařízení.
Tento objekt naváže spojení mezi uživatelem a zařízením a vytvoří něco jako dvoufaktorovou autentizaci. Uživatelé získají přístup k podnikovým zdrojům, které byly nedostupné, když pracovali mimo doménovou síť. K práci budete potřebovat roli Active Directory Federation Services (AD FS) a samotnou službu DRS (nainstalovanou pomocí rutiny Install-AdfsFarm). Nyní inicializujeme službu a začneme registrovat uživatelská zařízení.
PS> Initialize-ADDeviceRegistration -ServiceAccountName example\adfsfarm PS>Enable-AdfsDeviceRegistration
V konzole AD FS Management přejděte na Zásady ověřování, vyberte Upravit globální primární ověřování a aktivujte možnost Povolit ověřování zařízení. Nyní pomocí rutiny Get-AdfsDeviceRegistration můžeme zobrazit a potvrdit zařízení ().
Nastavení sítě
Sada konzolových síťových utilit je správcům poměrně dobře známá, protože se musí poměrně často používat jak při instalaci, tak při diagnostice. Nakonfigurujte síťové rozhraní pomocí rozhraní netsh. Podívejme se například na seznam a nastavte IP a DNS server pro jeden z dostupných:
> netsh interface ipv4 show interfaces > netsh interface ipv4 set address name="1" source=static address=192.168.1.10 mask=255.255.255.0 gateway=192.168.1.1. > netsh interface ipv4 add dnsserver name="Local" address=8.8.8.8 index=1 
Chcete-li nastavit a změnit parametry síťového rozhraní pomocí prostředí PowerShell 3.0 a vyšší, použijte rutiny New-NetIPAddress a Set-NetIPAddress.
PS> Get-NetIPInterface PS> Set-NetIPAddress –InterfaceAlias Ethernet –IPv4Address 192.168.1.10 –PrefixLength 24 –DefaultGateway 192.168.1.1 PS> Set-DNSClientServerAddress –InterfaceAliasAddress1es"29.8.8Ethernet"29.8.8 "
Navíc New-NetIPAddress umožňuje zadat několik IP adres pro jedno rozhraní. Místo InterfaceAlias můžete použít InterfaceIndex, který lze snadno najít ve výstupu Get-NetIPInterface.
Příkaz route byl nahrazen sadou rutin, které jsou velmi jednoduché a snadno použitelné.
PS> Get-NetRoute PS> New-NetRoute -DestinationPrefix "0.0.0.0/0" -NextHop "10.10.10.1" -InterfaceAlias Ethernet 
Obdobou pingu jsou dva cmdlety Test-Connection a Test-NetConnection (zkráceně tnc). První je velmi jednoduchý a připomíná běžný ping, druhý umožňuje zkontrolovat dostupnost konkrétního portu nebo systému z různých počítačů. Podívejme se například, na kterých počítačích ve skupině je povoleno RDP a zkontrolujte připojení k example.org ze dvou systémů:
PS> Test-NetConnection -ComputerName example.org -source localhost, SRV02 PS> (Get-ADComputer -LDAPFilter "(jméno=kancelář*)").DNSHostName | Test-NetConnection -Port 3389
Někdy si ale místo jednoho příkazu budete muset zapamatovat několik cmdletů. Stav síťových rozhraní lze tedy tradičně zjistit pomocí ipconfig. Chcete-li před Win2012/8 provést totéž pomocí PowerShellu, museli jste přejít přímo do WMI. Potřebujeme například MAC a IP adresy:
PS> Get-WmiObject -Class Win32_NetworkAdapterConfiguration -Filter IPEnabled=TRUE | Vyberte MACAddress,IPAddress
proměnná patch
Jako příkazy může Win přijmout jakýkoli soubor s příponou exe, bat, cmd, com, js, msc a vbs, který se nachází v aktuálním adresáři nebo je uveden v proměnné PATH. Zobrazení hodnoty PATH je velmi snadné. Chcete-li to provést, zadejte „echo %PATH%“ nebo použijte příkaz set (set > filename.txt). V konzole PowerShell - „echo $Env:PATH“ nebo „Get-ChildItem Env:“. Pro změnu jednoduše přidejte požadovaný adresář:
> nastavit PATH=%PATH%;C:\example
nebo použijte GUI (Tento počítač -> Vlastnosti systému -> Upřesnit -> Proměnné prostředí -> Cesta). Pomocí PowerShellu můžete změnit hodnotu nastavením SetEnvironmentVariable:
PS> ::SetEnvironmentVariable("path","$env:Path;C:\example","Machine")
A pouze v PowerShell 3.0 se objevil jednoduchý analog ipconfig, nebo spíše několik. Například rutina Get-NetIPAddress poskytuje podrobné informace o rozhraních a Get-NetIPConfiguration (alias gip) umožňuje získat informace o nastavení sítě: IP rozhraní, brána a DNS. Přidáním dalších parametrů, například –Detailed, získáme více dat.
Filtrováním jejich výstupu můžeme nahradit „ARP –a“, který zobrazuje tabulku MAC adres, a GETMAC, který zobrazuje MAC adresy síťových adaptérů místního nebo vzdáleného počítače. Existují již hotové skripty. Například Ping Násobek Server S Traceroute.ps1 (goo.gl/0iLeyg) vám umožňuje zkontrolovat připojení k několika serverům a spustit analog tracert na nereagující systémy.
Ovládání WFAS
Konfigurace Windows firewallu v režimu WFAS (Windows Firewall with Advanced Security) se tradičně provádí pomocí netsh advfirewall, který se objevil v OS počínaje Win2k8/Vista a od té doby zůstal prakticky nezměněn. Kontext advfirewall umožňuje sedm příkazů (export, import, dump, reset, set, show a help) a čtyři dílčí kontexty (consec, firewall, mainmode a monitor). Podrobnosti můžete zobrazit pomocí tlačítka nápovědy nebo „/?“ a na internetu je k dispozici dostatečné množství příkladů. Například příkaz set umožňuje konfigurovat profily, zobrazit - zobrazit stav. Pojďme se podívat na výchozí nastavení, aktivovat profily a nastavit akci blokování pro doménu jako výchozí.
> netsh advfirewall zobrazit všechny profily > netsh advfirewall nastavit stav všech profilů na > netsh advfirewall nastavit profil domény firewallpolicy blockinbound
Oficiální informace říkají, že netsh může v budoucích vydáních zmizet a měly by být použity rutiny PowerShell, které také umožní ovládat ještě více funkcí. Rutiny NetSecurity jsou k dispozici pouze v systému PS 3.0 a je třeba je importovat pomocí modulu Import-Module NetSecurity, abyste je mohli používat ve Win2012/8. Pomocí Get-Command firewall dostaneme seznam 27 rutin (úplný seznam modulových rutin je goo.gl/Aj9Mg4). Situaci zjednodušuje fakt, že názvy rutin se překrývají s příkazy netsh.
Nyní stejný příklad, ale pomocí PS:
PS> Get-NetFirewallProfile PS> Set-NetFirewallProfile -All -Enabled True PS> Set-NetFirewallProfile –Name Domain –DefaultInboundAction Block
Jak vidíte, rutiny vypadají ještě jednodušeji. Místo parametru Vše můžete zadat konkrétní profil: –Doména profilu,Veřejné,Soukromé.
K dispozici jsou i další funkce. Z profilu Public můžeme například vyloučit rozhraní Ethernet.
PS> Set-NetFirewallProfile -name Public -DisabledInterfaceAliases Ethernet
Chcete-li vrátit nastavení do původního stavu, stačí místo Ethernet nastavit NotConfigured. Další parametry rutiny Set-NetFirewallProfile umožňují konfigurovat protokolování, přidat IP, port, protokol a další. Všechny manipulace s pravidly se provádějí pomocí sedmi rutin: Nový|Nastavit|Kopírovat|Povolit|Zakázat|Odstranit|Přejmenovat-NetFirewallRule. Pro zobrazení nainstalovaných pravidel používáme rutinu Get-NetFirewallRule pomocí filtrů, snadno vybereme ta, která potřebujeme. Například blokátory a vše, co souvisí s IE:
PS> Get-NetFirewallRule -Povoleno true -Akční blok PS> Get-NetFirewallRule -DisplayName „*IE*“
Vytvořme pravidlo, které blokuje odchozí připojení pro IE ve dvou profilech.
PS> New-NetFirewallRule -Program "C:\Program Files\Internet Explorer\iexplore.exe" -Akční blok -Doména profilu, Soukromá -Zobrazovaný název "Block IE" -Popis "Block IE" -Odchozí směr
Nyní můžeme do pravidla přidat protokol, port a IP vzdáleného a lokálního systému.
PS> Set-NetFirewallRule -DisplayName “Block IE” -Protocol TCP -RemotePort 80 -RemoteAddress “10.10.10.1-10.10.10.10” -LocalAddress “192.168.1.10”
Při vytváření nebo změně můžeme pravidla seskupovat pomocí parametru –Group a následně spravovat nejen jedno pravidlo, ale všechny členy skupiny pomocí -DisplayGroup. Chcete-li pravidlo zakázat, použijte
PS> Disable-NetFirewallRule -DisplayName „Blokovat IE“
Závěr
Je zcela zřejmé, že v budoucnu bude muset administrátor stále častěji provádět nastavení nikoli pomocí GUI, ale pomocí nástrojů příkazového řádku. Je rychlejší, umožňuje automatizovat téměř všechny úkoly a snadno spravovat velké množství serverů.
INFO
Seznam parametrů rutiny můžete najít pomocí Show-Command, například Show-Command Get-NetFirewallRule.
- Konzultace
Viděl jsi kokpit? Vše je po ruce, žádné zbytečné pohyby. Aby mohl pilot vzlétnout, nejde na druhý konec letadla zapnout motor.
Totéž platí pro konzole MMC. Vytvoříte si „ovládací panel“ a v určitých situacích stisknete potřebná „tlačítka“.
Publikace je určena pro systémové administrátory, kteří se chtějí seznámit se způsobem vytváření konzol pro správu Windows pomocí mmc.exe.
Co je konzole MMC?
Microsoft odpovídá:MMC (Microsoft Management Console) je místo pro ukládání a zobrazování nástrojů pro správu vytvořených společností Microsoft a dalšími dodavateli softwaru. Tyto nástroje se nazývají moduly snap-in a používají se ke správě hardwaru, softwaru a síťových součástí systému Windows. Některé nástroje umístěné ve složce Nástroje pro správu, například Správa počítače, jsou moduly snap-in konzoly MMC.
Zavedení
MMC konzoli rád charakterizuji jako ovládací panel. Přidáním všech potřebných nástrojů k němu můžete ušetřit spoustu času. Vše, co potřebujete, máte vždy před sebou, na jednom místě.Výhody použití:
+ Nehledáte neustále zkratky k použitému vybavení, programům, skriptům;
+ Chcete-li začít pracovní den, stačí spustit jeden soubor;
+ Možnost vytvářet si vlastní konzole pro různé úkoly, projekty nebo pro každou obsluhovanou kancelář.
Modulární systém umožňuje kombinovat různá zařízení na jednom místě, může to být monitor zdrojů serveru a nejběžnější webový prohlížeč. Podíváme se na nejnovější MMC verze 3.0 dodávanou s Windows Server 2003 SP2, Windows Server 2003 R2, Windows Vista, Windows 7 a Windows Server 2008. Historie konzol pro správu začala s MMC 1.0 a Windows 95.
Konzole pro správu je na cestě C:\Windows\System32\mmc.exe.
Spuštěním konzole tímto způsobem ji otevřeme autorský režimu, tzn. budeme moci provést změny ve struktuře. Konzole MMC mají dva režimy spouštění:
- Autorská – ve které budeme mít naprostou svobodu jednání a budeme moci ubírat a přidávat vybavení;
- Vlastní - zakazuje změny konstrukce a je vhodný pro koncového uživatele.
Prázdná konzole vypadá takto:
Moment o bitové hloubce konzolí (MMC32 a MMC64)
Chcete-li spustit 32bitové konzoly MMC na 64bitových systémech, musí být konzola spuštěna s volbou /32.Pokud spustíte 64bitovou konzolu na 32bitovém systému, bude ukončena.
"Moje první konzole"
Rozhodli jsme se, že konzole by měla zjednodušit proces správy systému. Pro přehlednost navrhuji zdůraznit sadu vybavení a funkcí, které má typický správce systému v jakékoli společnosti v té či oné podobě:- Active Directory snap-in;
- DHCP snap-in;
- Správa tiskového serveru;
- Počítačový management;
- Řízení služeb;
- Sada skriptů a nástrojů;
- Sada síťových zdrojů;
- Sada vzdálených ploch;
Proces přidávání modulů snap-in do konzoly je intuitivní:
Chcete-li přidat některé moduly snap-in, nemusíte okamžitě provádět žádná další nastavení:
Při přidávání dalších budete vyzváni k jejich okamžité konfiguraci:
Při přidávání několika modulů snap-in budete vyzváni k výběru počítače, který chcete spravovat. Například při přidávání modulů snap-in Správa počítače A Služby. Protože plánujeme používat konzoli k ovládání dalších počítačů, vyplatí se věnovat pozornost zaškrtávacímu políčku a zaškrtnout ho:
Povolit změnu počítače vybraného pro správu při spuštění z příkazového řádku. Platí při ukládání konzole.
Pokud děláte zařízení univerzální pro připojení k jakémukoli počítači, pak je v tomto bodě nejlepší volba místní počítač. Pokud existuje „jiný počítač“, pak při každém spuštění konzole, kterou jsme vytvořili, budou požadavky odeslány na vzdálený počítač... Co když je vypnutý? Budete muset počkat, až to zařízení pochopí a vyhodí chybu.
Po kliknutí na OK obdržíme konzolu s moduly snap-in, které jsme přidali:
Ale nejsme spokojeni s tím, jak to vypadá, chceme některé prvky skrýt. Pole Akce zabírá příliš mnoho místa, chceme se ho zbavit a např. zbavit stavové lišty. Nastavení zobrazení lze provést v nabídce konzoly Zobrazit - Přizpůsobit....
Zde můžeme odebrat a povolit zobrazení prvků, které potřebujeme. Zaškrtneme políčka a uvidíme výsledek:
Na hlavním panelu některých modulů snap-in můžeme vidět sadu některých standardních akcí a vlastností. Jiné moduly snap-in nemusí mít standardní hlavní panel vůbec.
Zařízení Služby, například obsahuje tlačítka, která umožňují Zastávka A Restartujte servis. Můžeme změnit vzhled hlavního panelu a přidat do něj akce, které potřebujeme.
Chcete-li to provést, nejprve klikněte na modul snap-in v kořenovém adresáři konzoly (v tomto případě klikněte na Služby (místní)) a spadat do nabídky Akce – Nové zobrazení hlavního panelu...
Otevře se Průvodce novým zobrazením hlavního panelu. Klikněte na další.
Vyberte si styl pro náš nový hlavní panel. Vezměte prosím na vědomí, že průvodce nám dává rady, jaký styl se k čemu hodí, a v okně náhledu nám ukazuje, jak bude vypadat:
V dalším kroku vybereme, do kterých prvků konzoly přidáme námi vytvořené zobrazení hlavního panelu. Pokud vyberete Na všechny prvky, které mají vybraný typ prvku, pak kdybychom měli v konzole ještě jeden snap-in Služby, tento typ by platil i pro ni. Pokud si vybereme Na vybraný prvek stromu, pak se zobrazení vztahuje pouze na vybraný modul snap-in v kořenovém adresáři konzoly.
Nyní nám zbývá pouze pojmenovat hlavní panel a pokud chceme, přidat popis.
V posledním kroku jsme vyzváni po kliknutí na tlačítko Připraveno přidat nový úkol do nově vytvořeného hlavního panelu.
Protože jsme v posledním kroku nezaškrtli políčko, otevře se před námi Průvodce vytvořením úkolu.
Vyberte typ příkazu pro vytvářenou úlohu. Na výběr máme ze tří typů:
- Příkaz nabídky – spustí standardní příkaz nabídky snap-in.
- Příkaz operačního systému – umožňuje nám spustit program, skript nebo skript.
- Příkaz Přejít – Zobrazí hlavní panel pro položku v seznamu Oblíbené MMC.
Vybereme položku Příkaz nabídky.
Vyberte zdroj příkazů Položka na panelu výsledků.
Uvádíme jméno a volitelný popis našeho týmu.
Vyberte ikonu úkolu, která se vám líbí, z dostupných nebo nahrajte svou vlastní.
V posledním kroku stiskněte tlačítko Připraveno. Pokud chceme přidat další úkol, zaškrtneme příslušné políčko
Po dokončení průvodce, výběru libovolné služby, na hlavním panelu, který jsme vytvořili, uvidíme úlohu Restartovat, kterou jsme přidali, po kliknutí se služba začne restartovat
Takové hlavní panely můžete přidat s úkoly pro jakýkoli modul snap-in.
Dalším krokem je přidání položky do kořenového adresáře naší konzole, ze které budeme spouštět naše pracovní skripty a skripty: Soubor – Přidat nebo odebrat modul snap-in...
Přidání vybavení Složka:
V kořenovém adresáři konzoly ji přejmenujte a vytvořte nový hlavní panel: Akce – Nové zobrazení hlavního panelu...
Pro usnadnění vyberte styl panelu bez seznamu a použijte jej na vybraný prvek seznamu.
Tvorbu dokončíme výběrem názvu a přidáním popisu.
Spusťte průvodce vytvořením úlohy a tentokrát vyberte položku Příkaz operačního systému:
Chcete-li spustit například skript PowerShell, do pole Příkaz napíšeme powershell a v terénu Možnosti- cesta ke skriptu. V našem případě uvedeme cestu ke skriptu C:\Console\script\new-user.ps1.
Pokud uložíme naši konzoli do složky C:\Konzole, pak můžeme zadat cestu ke skriptu script\new-user.ps1.
Přidejte název a popis, vyberte ikonu úkolu a dokončete vytvoření.
Když vybereme složku Scripts v kořenovém adresáři konzole, uvidíme odkaz na skript, který byl právě vytvořen.
Tímto způsobem můžeme přidat všechny potřebné nástroje a skripty
Chcete-li přidat další úkol, po ukončení průvodce vybereme požadované vybavení v kořenovém adresáři konzoly: Akce – Upravit zobrazení hlavního panelu...
Tab Generál pro přizpůsobení stylu zobrazení hlavního panelu.
Tab Úkoly přidat nové úkoly, odstranit a změnit stávající.
Chcete-li přidat nový úkol, klikněte na tlačítko Vytvořit..., otevře se Průvodce vytvořením úkolu a můžeme přidat nový úkol, podobný předchozímu. Přidáme například odkaz na soubor execute.reg. Chcete-li to provést, při vytváření příkazového pole zadejte cestu C:\Console\Settings.reg.
Pro spuštění např. .exe souboru s parametry budeme muset do pole zadat cestu k souboru Tým a spouštěcí parametry v terénu Možnosti.
Dále začneme přidávat odkazy na síťové zdroje. Mohou to být buď složky umístěné lokálně v počítači nebo v síti, nebo odkazy na webové stránky.
Soubor – Přidat nebo odebrat modul snap-in...
Protože chceme, aby byly všechny zdroje uspořádány, přidáme nový modul snap-in Složka a abyste do něj mohli vložit další vybavení, klikněte na tlačítko Navíc a zaškrtněte políčko Povolit úpravu nadřazeného modulu snap-in.
V rozevíracím seznamu Rodičovský snap vybrat Složka a přidat ještě jedno vybavení - Odkaz na webový zdroj:
Pokud je umístění online, zadejte cestu. Například na serveru server1 sdílená složka měkký
Zadejte jméno a stiskněte Připraveno
V kořenovém adresáři konzole přejmenujte naši složku např. na Network Resources. Otevřeme jej a uvidíme odkaz, který jsme vytvořili na síťovou složku měkký. Kliknutím na složku měkký, uvidíme jeho obsah.
Jak již bylo zmíněno dříve, tímto způsobem můžete přidat odkazy na místní a síťové složky a na webové zdroje.
Nakonec do naší konzole přidáme modul snap-in Vzdálené plochy.
Po přidání vybavení na něj klikněte pravým tlačítkem a vyberte Přidávání nového připojení....
Zadejte název počítače nebo IP adresu a název připojení.
Když vybereme náš terminál, připojíme se k němu z okna konzoly.
Na začátku jsme se bavili o tom, že některé snap-iny fungují buď s aktuálním lokálním počítačem, nebo s jiným, vzdáleným.
Vezměme si například výbavu Správa počítače. Klikněte pravým tlačítkem myši na zařízení - Připojit k jinému počítači....
Zadejte název druhého počítače a klikněte OK.
Pokud počítač existuje, získáme konzoli pro ovládání jiného počítače.
Pokud ne, vidíme chybu.
Když konzoli znovu otevřeme, opět ji vstoupíme do režimu Autor, který nám umožňuje provádět změny ve struktuře. Nechceme ale, aby koncový uživatel mohl například provádět nějaké změny. Chcete-li to provést, změňte výchozí režim spuštění.
Vybrat Soubor - Možnosti...
Vybíráme např Vlastní – plný přístup. Klikněte Použít A OK.
Tento režim vám umožní pracovat se stávajícími moduly snap-in a neumožní vám přidávat nebo mazat nové
Ukončíme modul snap-in a uložíme.
Pokud jsme například při ukončení měli rozbalený modul Správa počítače, při uložení a opětovném otevření konzole se před námi objeví i rozbalený modul Správa počítače.
Tímto jsme dokončili vytváření naší konzoly pro správu. Je zcela připraven k použití správcem systému.
Vytvářejte konzole, experimentujte, zjednodušte si práci!
