obchodní akademie orlová počítačové systémy i

Transkript

Obsah
Úvod........................................................................................................... 1
1. Teorie operačních systémů................................................................ 3
1.1. Základní funkce OS.......................................................................... 5
1.1.1 Přidělování procesoru a správa procesů ...................................... 7
1.1.2 Správa paměti .............................................................................. 9
1.1.3 Správa informací – souborové systémy ...................................... 10
1.2 Dělení operačních systémů................................................................ 12
2. Textový operační systém ................................................................... 17
2.1 Základní příkazy a jejich použití....................................................... 19
2.2 Hvězdičková konvence ..................................................................... 25
3. Základní nástroje údržby Windows................................................. 31
4. Uživatelé ve Windows........................................................................ 39
4.1 Uživatelské účty a skupiny................................................................ 39
4.2 Uživatelský profil.............................................................................. 46
5. Řízení přístupu k souborům a složkám ........................................... 53
5.1 Zjednodušené sdílení......................................................................... 55
5.2 Řízení přístupu pomocí systému souborů NTFS (Rozšířené
nastavení zabezpečení)...................................................................... 57
5.2.1 Přístupová oprávnění .................................................................. 57
5.2.2 Vliv kopírování a přesouvání na oprávnění ................................ 64
5.2.3 Vlastnictví ................................................................................... 66
5.3 Sdílení souborů a složek.................................................................... 68
korespondenční úkol ............................................................................. 74
6. Zálohování dat ................................................................................... 75
6.1 Zálohování souborů, složek a diskových oddílů ............................... 75
6.2 Zálohování ostatních důležitých dat.................................................. 79
6.3 Umístění záloh................................................................................... 81
7. Vytvoření malé sítě ............................................................................ 85
8. Řešení potíží se sítí ............................................................................. 93
8.1 Základní nástroje pro diagnostiku sítě .............................................. 93
8.2 Řešení potíží...................................................................................... 96
9. Server .................................................................................................. 103
10. DNS ..................................................................................................... 111
10.1 Fungování DNS............................................................................... 112
10.2 Instalace a nastavení DNS............................................................... 114
11. Řadič domény..................................................................................... 123
11.1 Instalace domény Active Directory................................................. 125
11.2 Uživatelé a skupiny v doméně ........................................................ 131
12. DHCP .................................................................................................. 139
Závěr.......................................................................................................... 151
Použitá literatura...................................................................................... 153
Vysvětlení grafických symbolů ............................................................... 155
Vážení studenti,
právě jste otevřeli studijní oporu, jejímž cílem je rozšířit Vaše dosavadní
znalosti v oblasti počítačů a počítačových sítí.
V první kapitole se nejdříve seznámíte s teorii operačních systémů, abyste
se pak postupně naučili základnímu ovládání operačního systému
z příkazové řádky a rozšířili znalosti ovládání v grafickém režimu.
V úvodních kapitolách budete nastavovat lokální počítač a postupně jej
zapojíte do malé sítě peer-to-peer. V posledních kapitolách se seznámíte se
základními službami Windows serveru.
Většinu příkladů jsem se snažil psát tak, abyste si je mohli vyzkoušet na
svém domácím počítači. V části věnované serveru a jeho službám bych
Vám doporučil využít možností virtuálních počítačů. Informace o této
technologii získáte snadno, když do vyhledávače zadáte „virtuální
počítače“.
Celý učební text zvládnete za 60 -70 hodin. Je vhodnější nestudovat
nárazově, ale celé studium si vhodně rozložit, a k některým částem se
vracet.
Přeji Vám mnoho úspěchů a … pojďme na to.
Autor
) po prostudování opory budete znát:
9 základní teorii operačních systémů
9 základní teorii počítačových sítí
9 základní nástroje pro správu operačního systému
9 popis a využití základních služeb poskytovaných serverem v síti
) budete umět:
9
9
9
9
ovládat operační systém z příkazové řádky
nakonfigurovat počítač pro připojení do sítě
vyřešit některé problémy se sítí
nainstalovat a nakonfigurovat některé služby serveru
1
2
1. Teorie operačních systémů
Cíl: Po prostudování této kapitoly byste měli být schopni:
Vysvětlit účel a základní funkce operačního systému
Popsat jak probíhá ovládání počítače prostřednictvím operačního
systému
Objasnit účel BIOSu a ovladačů zařízení
Rozlišit textový a grafický operační systém, popsat jejich výhody
a nevýhody
Vyjmenovat nejrozšířenější operační systémy osobních počítačů
Čas potřebný k prostudování této kapitoly: 5
Abyste mohli používat operační systém, měli byste o něm znát základní
informace. Někdy se vám může zdát, že jde o zbytečnou teorii. Ale věřte mi,
že její množství je hodně ořezané. Tato teorie vás naučí nejen, jak systém
pracuje, ale také vás učí myslet, jak se některé problémy mohou řešit.
Operační systém tvoří prostředníka mezi uživatelem na jedné straně
a hardwarem na straně druhé. Základním účelem OS je spravovat počítač
(ostatní programy a hardware) tak, aby uživatel mohl řádně pracovat.
Jak operační systém ovládá počítač a komunikuje s uživatelem a ostatními
součástmi počítače, je znázorněno na obrázku 1.1.
Uživatel
2
1
Programy
3
4
Operační systém
7
6
5
8
BIOS
Ovladače zařízení
9
10
Hardware
Obr. 1.1: Princip komunikace v počítači
1
Uživatel může zadávat pokyny přímo OS (např. zkopíruj, smazej
soubor apod.). Případně může využít některých programů, které jsou
součástí operačního systému např. kalkulačky.
2
Uživatel běžně na počítači využívá služeb aplikačních programů, které
mají několik možností jak splnit své úkoly.
3
Aplikační program požádá operační systém, aby pro něj provedl
nějakou operaci (např. vytvořil soubor Dopis.doc). Takový způsob
komunikace je pro program výhodný, protože mu stačí umět domluvit
se s OS. Program nemusí zajímat, jak to operační systém dělá a co
musí operační systém umět, aby se domluvil s hardwarem.
3
Počítačové systémy I
4
5
6
7
9
Řada programů může chtít pracovat s hardwarem, ale neumí pracovat
přímo s konkrétní verzí součástky. Musí proto použít ovladač, který
umí daný hardware řídit. K tomu aby mohl aplikační program využít
služeb ovladače, musí umět „jazyk ovladače“, aby se s ovladačem
domluvil.
Některé programy, které to umí, mohou komunikovat s hardwarem
a ovládat jej přímo bez prostředníků. Jsou to obvykle programy
napsané pro konkrétní HW. Tento způsob je pro většinu běžných
programů nevýhodný, protože s nově vyrobenou verzí hardwaru by
nemusely umět komunikovat a musely by být přeprogramovány.
Operační systém může s hardwarem komunikovat přímo. To ale od OS
vyžaduje, aby s konkrétním typem HW daného výrobce a dané verze
uměl pracovat. Tohle může OS umět jen pro některé standardní typy
hardwaru, které byly známy v době, kdy byl OS naprogramován.
Kdyby přímým způsobem musel komunikovat se všemi HW součástmi
počítače, znamenalo by to, že v okamžiku, kdy se objeví na trhu nová
a trochu odlišná verze součástky, musí být OS přeprogramován. Je
vám tedy jasné, že tudy cesta povede opravdu jen pro základní HW
největších výrobců. V ostatních případech OS využije služeb BIOSu
nebo se naučí ovládat nové zařízení pomocí ovladačů.
8
Počítač tvoří řada hardwarových komponentů. Uvědomte si, kolik je
jen součástek např. na základní desce. Pokud by operační systém chtěl
ovládat základní desku přímo, musel by se všemi těmi částmi základní
desky umět pracovat. A to by bylo velmi náročné. Použije proto BIOS.
BIOS je program, který umí pracovat určitou skupinou hardware.
Operačnímu systému pak stačí obrátit se pouze na BIOS, aby BIOS se
zařízením něco provedl. O to, jak konkrétně to BIOS provede, se už
OS nemusí starat.
10
BIOS se ovšem potýká se stejným problémem jako operační systém.
Co když se objeví nový hardware, s kterým BIOS neumí pracovat?!
Proto existuje řešení – ovladač.
Ovladač je program, který je napsán tak, aby uměl pracovat s daným
hardwarem a mohl komunikovat s určitým operačním systémem.
Všimněte si, že když se podíváte na stránky některého výrobce
hardwaru, najdete tam ovladače zařízení pro různé operační systémy.
To proto, že každý OS „mluví trochu jiným jazykem“. Ovladač
zařízení se nainstaluje do OS (případně programu) a ten se tak „naučí“
dané zařízení používat.
Operační systém, BIOS a ovládače tvoří takové „prostředníky“. Výhody
prostředníků si můžete představit z obrázku 1.2. Každá úroveň komunikuje
vždy se svým nejbližším (nadřízeným a podřízeným) okolím jazyky a způsoby,
které zná. A nemusí se starat o to, jakými způsoby a jazyky se komunikuje na
jiných úrovních.
Obr. 1.2: Schéma komunikace
4
Celý systém vlastně znáte z práce. Šéf si něco vymyslí a po těch dole chce,
aby to provedli a předložili mu výsledky. Šéf může např. mluvit česky se
svými
přímými podřízenými. Šéfovi přímí podřízení pak mohou
komunikovat s dělníky třeba svahilsky a je jim jedno, jakými nářečími mezi
sebou dělníci komunikují.
Z hlediska řízení podniku to není nejlepší řešení, ale tady jde o princip řízení
a komunikace v počítači. ☺
Takže pokud byste chtěli vysvětlit účel OS školákovi, pak je asi nejvhodnější
říci, že OS „oživuje počítač“. Tím se nemá na mysli, že mu narostou nožičky
a odkráčí, ale že umožňuje člověku ovládat počítač - operačnímu systému
je svěřena vláda nad počítačem.
Každý OS se skládá za tří základních částí:
jádra OS (tzv. kernel): zajišťuje chod operačního systému - jaké programy
jsou spouštěny, které prostředky jsou jim dány k dispozici apod.
Základní části
operačního
systému
uživatelského rozhraní (tzv. user interface): část operačního systému,
která zajišťuje komunikaci s uživatelem. Určuje, jakým způsobem uživatel
ovládá pomocí OS počítač. Zda přes textové rozhraní (zadáváním příkazů
do příkazové řádky) nebo přes grafické rozhraní (klikáním myši, výběrem
z nabídek apod.). Tato část operačního systému je pro uživatele nejvíce
viditelná.
souborového systému (file system): stará se o to, jakým způsobem
operační systém spravuje data – soubory. Jak jsou soubory pojmenovány,
organizovány do adresářů apod.
Tyto tři základní části operačního systému musí plnit řadu funkcí, aby mohl
počítač řádně pracovat.
1.1 Základní funkce OS
Operační systém plní funkci prostředníka mezi uživatelem a jeho programy
na jedné straně a hardwarem počítače na straně druhé.
Operační systém je složen z řady programů, které řídí a koordinují hardware
a aplikační programy.
Z předchozích kurzů víte, že v počítači se používá dvojková soustava
a většinu výpočetních operací provádí procesor na základě instrukcí.
Instrukce jsou tedy příkazy, kterými se řídí procesor. Jsou napsány
ve dvojkové soustavě a uloženy přímo v procesoru. Určitě je vám jasné, že
my běžní smrtelníci nemůžeme řídit počítač pomocí instrukcí procesoru - od
toho je operační systém.
5
instrukce
procesoru
funkce OS
Aby operační systém uspokojil požadavky, které na něj kladete, musí plnit
řadu funkcí:
synchronizace
správa paměti
správa procesoru
správa periferií
správa informací
správa ovládačů hardwaru (zařízení)
synchronizace: hardware počítače je složen z řady částí, které spolu musí
spolupracovat. Aby spolupráci mohly vykonávat efektivně, je nutné je
sladit. A to je úkolem OS – musí říci, kdo, co a kdy má vykonat.
správa paměti: program, s kterým se pracuje, je nahrán v operační paměti.
Velikost paměti není nekonečná a proto zde musí být někdo (OS), kdo
operační dá paměť programu k dispozici a kdo mu ji v případě nutnosti
odebere.
správa procesoru: procesor je tou nejdůležitější součástkou, která provádí
většinu výpočtů v počítači. Z toho plyne, že je o něj velký zájem.
Samozřejmě každý program by chtěl CPU co nejvíce pro sebe. Od toho je
zde OS, který čas procesoru přidělí jednotlivým programům a musí zajistit,
aby se na každého dostalo.
správa periferií: tak jako přiděluje OS procesor jednotlivým procesům,
má OS k dispozici také ostatní zařízení (disky, tiskárny, vstupní a výstupní
zařízení …), o něž se také musí postarat, aby byly co nejlépe využity.
správa informací: ze své počítačové praxe už víte, že abyste se v datech
vyznali, musíte vytvářet soubory a ty pak ukládat do přehledné struktury
adresářů. O každém souboru a adresáři musí být navíc vedeny informace
(datum a čas vytvoření, poslední změny, atributy souboru apod.). Navíc
musí být jasné, kde na disku se má vámi požadovaný soubor nebo složka
vyhledat. Rovněž vytváříte, měníte, mažete, kopírujete a přesouváte data.
O všechny tyto operace a informace se musí postarat operační systém ⇒ OS
se stará o systém souborů (souborový systém).
správa ovladačů hardwaru: v dnešní době existuje řada hardwarových
komponentů. K tomu, aby je mohl operační systém řádně spravovat
potřebuje program, který mu to umožní – ovladač (angl. driver). Ovladače
základního hardwaru (např. HDD, některých grafických karet apod.) jsou
součástí operačního systému. Operační systém ovšem nemůže obsahovat
ovladače všeho hardwaru, který existuje. Stejně tak programátoři
operačního systému v době vzniku OS nemohli umět ovládat hardware,
který ještě neexistoval. Proto obvykle bývají ovládače součástí dodávky
hardwaru a je nutné dodatečně je doinstalovat – operační systém pak bude
umět HW používat.
6
1.1.1 Přidělování procesoru a správa procesů
I když se v poslední době stále více rozšiřují počítače s více procesory, je
většina počítačů stále vybavena jedním procesorem. O služby procesoru
mají zájem všechny programy, které jsou na počítači spuštěny. Operační
systém proto musí procesor programům přidělovat.
Často se můžete setkat s pojmy úloha a proces. Úloha je spuštěný
program např. MS Word. Takový program je ovšem velký a proto se
může skládat z menších částí (dalších programů), kterým se říká procesy.
Když máte zapnutý počítač tak se vám může zdát, že na něm běží
současně více programů najednou – píšete dopis, zpracováváte
tabulku, stahujete film z internetu, komunikujete s kamarády přes ICQ
a k tomu posloucháte hudbu. Většinu z těchto činností musí vykonávat
procesor. Navíc vám se musí zdát, že vše probíhá současně (nechcete
čekat na to až dohraje písnička, abyste mohli napsat další řádku
dopisu).
To že procesor vykonává více operací najednou je zdání. Procesor
vykonává jednu činnost po druhé a střídá je tak rychle, že to v člověku
vyvolává iluzi současného běhu více úloh najednou.
Pokud na počítači běží více úloh, nazývá se to multitasking. Rozlišují se
dva typy multitaskingu:
multitasking
1) kooperativní multitasking
starší
program obdrží od OS k dispozici procesor a využívá jeho
služeb. Když už jej nepotřebuje, vrátí procesor k dispozici
operačnímu systému a ten jej přidělí dalšímu programu.
Nevýhodou tohoto způsobu je, že pokud program uvázne
(zatuhne) v okamžiku, kdy má k dispozici procesor, nemůže
jej vrátit operačnímu systému a zatuhne tak celý počítač.
2) preemptivní multitasking
novější
operační systém přiděluje a odebírá procesor jednotlivým
programům na určitou dobu (desítky nebo stovky milisekund).
Výhoda tohoto řešení je v tom, že pokud proces uvázne,
operační systému mu procesor po určité době odebere a předá
jej dalším programům. Zatuhnutí jednoho procesu nezpůsobí
pád celého systému.
Preemptivní čtěte jako primptivní.
Výhody preemptivního multitaskingu znáte. Občas jej používáte ve
Windows. Když vám některý proces (např. okno prohlížeče internetu)
zatuhne, zmačknete kombinaci kláves CTRL + ALT + DEL a zavoláte
Správce úloh a uváznutý proces ukončíte.
Správce procesů (součást operačního systému) musí rozhodnout v jakém
pořadí přidělí procesům procesor. Rozhoduje, který proces bude aktivní
(bude mít procesor) a který aktivní proces bude přerušen. Existuje
několik strategií přidělování:
7
strategie
přidělování
procesoru
1) fronta: procesy se postaví do fronty a čekají na procesor (fronta
FIFO – first in first out – „kdo dřív přijde, ten dřív mele“).
Nejedná se o preemptivní strategii, ale zato je nejjednodušší
2) prioritní: každý proces má svou prioritu a podle ní mu je
přidělován procesor
3) nejkratší úloha: správce nejdříve přidělí procesor procesu, který
jej bude využívat nejkratší dobu
4) cyklické plánování: vlastně fronta, ale proces dostává procesor
na určitý čas a pak mu je odebrán a předán dalšímu procesu ve
frontě.
5) vícenásobná fronta: kombinace cyklického plánování a prioritní
strategie. Správce zařadí procesy do fronty podle priority
a přiděluje jim procesor na určitou dobu.
stavy procesů
Proces se může nacházet v řadě různých stavů (zde máte uvedeny jen ty
základní):
current: aktivní proces (má přidělen procesor)
ready: proces, který je připraven a může mu být přidělen procesor
waiting: proces je připraven, ale čeká (např. na stisknutí klávesy)
rodičovský proces: základní proces, který spouští další procesy. Je-li
naprogramován dobře, tak se spustí jako první a ukončí jako poslední.
Představte si jej jako strom, kde rodičovský proces je kmen a jeho
potomci tvoří větve. Ukončením stromu procesu ukončíte rodičovský
proces a všechny procesy, které rodičovský proces spustil.
ukončení
zatuhnutého
procesu
Informace o spuštěných procesech, jejich prioritě, velikosti, kterou
zabírají v operační paměti apod. zjistíte ve Správci úloh (Task manager),
který zavoláte stiskem CTRL + ALT + DEL.
Obr. 1.3: Ukončení uváznutého procesu
Podobné techniky, které používá operační systém pro řízení počítače
s jedním procesorem, se používají i pro více procesorů. V případě více
procesorů se řeší problém rovnoměrného zatížení všech procesorů.
8
1.1.2 Správa paměti
Stejně jako je většinou v počítači 1 procesor, je k dispozici pouze jedna
operační paměť. Do operační paměti (RAM) si procesor odkládá data,
s kterými zrovna nepracuje. Přestože je dnes velikost operační paměti
oproti dřívějším dobám podstatně větší, není nekonečná. Musí se proto
její přidělování řídit.
Správce paměti má za úkol:
přidělovat paměť procesům.
udržovat přehled o volné paměti a přidělené paměti ( a komu)
odebírat paměť procesům (je-li to nutné)
ochranu paměti – aby žádný proces nemohl poškodit data jiného
procesu, byť změnou jediného bitu.
Představte si, že na počítači úředníka v bance běží dva procesy. Jeden
se stará o zápis informace, že částka byla/nebyla zaplacena. Druhým
běžícím procesem je úředníkův diář, který mu má připomínat, že úkol
od šéfa byl/nebyl splněn. Oba procesy zapisují informaci Ano/Ne a to
je vlastně jen změna hodnoty jednoho bitu z 1 na 0 a naopak.
Kdyby se operační systém dokonale nepostaral o ochranu paměti
přidělené jednomu procesu před zásahem jiného procesu, mohlo by
dojít k následující situaci.
První proces zapíše informaci, že dům, který jste si koupili, jste už
zaplatili (nastaví si jeden jediný bit na hodnotu 1 tj. ano). Poté druhý
proces, který zapisuje splněné úkoly, „sáhne“ na úplně stejné místo
v paměti a zapíše 0 tj. ne. K čemu došlo? Když bude někdo
kontrolovat, zda jste už za dům zaplatili, najde informaci 0 tzn. NE. To
by vás asi nepotěšilo ….
Obr. 1.4: Využití paměti procesy
virtuální paměť: místo, které si operační systém vyhradí na harddisku.
V případě, že má nedostatek místa pro spuštěné procesy v operační
paměti, operační systém si odloží některá data do virtuální paměti, tedy
9
virtuální
paměť
na disk. Když se mu operační paměť uvolní, data z virtuální paměti do
operační paměti přesune zpět. Práce s virtuální paměti je značně
pomalejší, ale zvětší se tak velikost operační paměti. Virtuální paměť se
také označuje jako stránkovací soubor nebo swapovací soubor.
Proto musíte dávat pozor, co vše je na počítači spuštěno. Bude-li toho příliš, začne
operační systém odkládat část dat z RAM do virtuální paměti na disk ⇒ dojde
k citelnému zpomalení počítače.
Jak roste velikost operační paměti, tak také roste nenasytnost programů, které chtějí
více a více místa v operační paměti. Proto platí, že operační paměť není nikdy dost
velká.
1.1.3 Správa informací – souborové systémy
V této části nebudu rozebírat, jak se provádí operace jako např.
kopírování, mazání apod., to už máte znát. Velice stručně shrnu
základní vlastnosti souborových systémů FAT a NTFS.
Souborový systém organizuje data na harddisku. Neboli jinými slovy
- stará se o to, které části souboru patří k sobě, kde jsou na disku
uloženy, a do které složky významově patří (ve které složce se soubor
uživateli zobrazí).
Soubor: skupina dat, která významově patří k sobě. Například text
jednoho dopisu jsou data, která významově patří k sobě. Fotka
z dovolené je také skupina bodů patřících k sobě, proto jsou uloženy
v jednom souboru.
Složka (adresář): slouží k uspořádání souborů a ostatních složek.
Souborový systém eviduje o souboru řadu informací :
název souboru
přípona souboru
zda se jedná o soubor nebo složku
atributy souboru
datum vytvoření
datum změny
apod.
Souborový systém určuje maximální délku jména souboru a jeho
přípony. Určuje zda je rozdíl v malých a velkých písmenech. Dále určuje
jaké znaky mohou nebo nemohou být použity v názvech. Rovněž určuje
přesný tvar, jakým se zapisuje cesta k souboru např. C:\ Dokumenty \
Dopisy \ Přihláška.doc.
Pro některé operační systémy je rozdíl, zda v názvu souboru uvedete dopis.txt nebo
Dopis.txt. Windows, na rozdíl od např. UNIXu a Linuxu, nerozlišují malá a velká
písmena v názvech souborů a adresářů .
Dnes existuje řada souborových systémů s odlišnými vlastnostmi
a omezeními. Nejstarší souborový systém FAT byl nahrazen FAT32,
který můžete použít i dnes. Ovšem i FAT32 je dnes zastaralý a má řadu
nevýhod. Je proto výhodnější použít souborový systém NTFS (ten ovšem
standardně nepodporují jiné operační systémy než Windows NT
a novější).
10
Souborový systém FAT32:
umožňuje dlouhé názvy souboru (původní FAT jen 8+3
tj. 8 znaků pro jméno a 3 znaky pro příponu)
maximální velikost oddílu 2 TB
maximální velikost souboru 4 GB
stejně jako FAT je FAT32 náchylný k chybám.
Ti z vás, kteří chtěli pracovat s velkými video soubory uloženými na
HDD z DVD (tzv. rippy), a měli na disku souborový systém FAT32,
určitě narazili na omezení, že maximální velikost souboru je 4 GB.
K jednomu z hlavních rozdílů mezi souborovými systémy patří rozdíl ve velikosti
clusteru a jak souborový systém s clustery hospodaří. Zajímá-li vás toto téma,
doporučuji na Internetu vyhledat rozdíly mezi FAT a NTFS. Podívejte se např. na
stránky Microsoftu a nechte vyhledat klíčové slovo NTFS.
Souborový systém NTFS:
maximální velikost oddílu (svazku) od 2 TB a výše
maximální velikost souboru 16 TB
přístupová oprávnění na úrovni souborů a složek
šifrování
komprese (zmenšení velikosti souboru)
diskové kvóty (omezení místa na disku pro jednotlivé uživatele)
větší odolnost vůči chybám
složka je v NTFS rovněž souborem obsahující informace o tom,
které soubory do složky patří.
Obr. 1.5: Vlastnosti disku
Některé ostatní operační systémy (například Novell Netware nebo Linux)
mají své vlastní souborové systémy.
Při volbě souborového systému byste si měli být vědomi vlastností
souborového systému a jeho omezení.
Myslete hlavně na to, že pokud zvolíte NTFS, nebude oddíl (partition)
s tímto systémem dostupný operačním systémům Windows 98
a starším, případně jiným operačním systémům. Pokud naopak
použijete FAT32, nevyužijete ve Windows přístupová oprávnění,
šifrování apod.
11
1.2 Dělení operačních systémů
Operační systémy můžete rozdělit z různých hledisek.
1) podle druhů počítačů pro něž jsou určeny:
¡ OS pro mainframe (mainframe jsou velké a výkonné počítače
používané ve velkých firmách a institucích).
¡ OS pro osobní počítače
¡ OS pro kapesní počítače, PDA a ostatní mobilní zařízení
2) podle postavení v síti:
¡ OS pro servery
¡ OS pro stanice
¡ podle počtu uživatelů:
3) Podle počtu uživatelů, kteří mohou s počítačem v jednu chvíli
pracovat:
¡ jednouživatelské (v jednu chvíli s počítačem, na kterém běží
jednouživatelský OS, může pracovat pouze jeden uživatel)
¡ víceuživatelské (dovolují práci více uživatelům současně)
4) podle uživatelského rozhraní:
¡ textově orientované OS (OS systém se ovládá pomocí příkazů
psaných do příkazové řádky). Textové operační systémy kladou
mnohonásobně menší nároky na hardware počítače a jsou proto
mnohem výkonnější. Jejich značnou nevýhodou je způsob ovládání
pomocí příkazů psaných z klávesnice.
¡ graficky orientované OS (tzv. GUI – graphical user interface.
Operační systém se ovládá pomocí nabídek, tlačítek a ikon, s kterými
manipulujete pomocí myši případně klávesnice. Grafický OS
používáte zcela běžně. Typickými zástupci jsou Windows. Mezi
výhody patří jednoduchost a intuitivnost ovládání a uživatelská
přívětivost.
Obr. 1.6: Grafický OS
Obr. 1.7: Textový OS
Prosím, neučte se zpaměti dělení OS! Soustřeďte se na pochopení
jednotlivých pojmů a uvedené dělení berte spíše orientačně.
12
Běžně používané OS:
MS Windows
Windows 95
Windows 98
Windows NT
Windows ME
Windows 2000
Windows XP
Windows Vista
Apple Macintosh
OS 8
OS 9
OS X (10)
Linux
Linuxy zahrnují distribuce řady různých společností a skupin.
Například:
Red Hat
Caldera
SuSE
Slack ware
Debian
Výhody Linuxu proti Windows:
o cena
o dostupnost zdrojového kódu
pro úpravy
o méně virů
Nevýhody Linuxu proti Windows:
o méně aplikací pro Linux
o méně uživatelů jej umí ovládat
UNIX
Operační systémy rodiny UNIX jsou určeny pro velké a výkonné
počítače a zahrnují např. HP –UX, Sun Solaris, BSD apod.
Rozdíl v operačních systémech je také samozřejmě v jejich ceně. Jak jste asi
už slyšeli, tak specifika Linuxu jsou ta, že jejich některé distribuce jsou
zdarma (to znamená, že ne zdaleka všechny) a mají otevřený kód. Otevřený
kód znamená, že zdrojový kód je k dispozici každému, kdo si jej chce
prostudovat či případně změnit.
Samozřejmě, že výhoda jednoho je nevýhodou druhého a naopak. Takže,
když se vás někdo zeptá jaké jsou výhody Windows oproti Linux, co
odpovíte?
13
Chcete-li se o jednotlivých operačních systémech dozvědět více, podívejte se
např. na stránky wikipedia.cz a vyhledejte v nich výraz „operační systém“.
Cvičení 1.1
1) Jaké základní funkce plní operační systém v počítači ?
a. přehrává filmové záznamy a umožňuje jejich editaci
b. ovládá pomocí ovládačů (driverů) hardwarové součásti počítače
c. zprostředkovává komunikaci mezi počítačem a uživatelem
d. poskytuje prostředí pro spuštění a provoz aplikací
2) Přiřaďte správné tvrzení
I. přiděluje
místo
v RAM
spuštěným
programům
II. v případě nedostatku operační paměti slouží
k odkládání dat z operační paměti na disk.
III. uváznutí programu, který má právě přidělen
procesor, může způsobit pád celého
systému.
IV. OS sám přiděluje a odebírá procesor tak,
aby v případě uváznutí jednoho procesu
nebylo nutné restartovat celý počítač.
a. virtuální paměť
b. preemptivní
multitasking
c. kooperativní
multitasking
d. správce paměti
3) Rozhodněte, zda je tvrzení pravdivé:
a. Všechny distribuce Linuxu jsou zdarma.
b. Starší verze MS Windows jsou k volnému použití (zdarma).
c. Mainframe jsou velké a výkonné počítače stojící řádově statisíce
a milióny dolarů.
d. Mobily a ostatní kapesní zařízení používají vlastní operační systémy.
e. Aby mohl uživatel ovládat textový OS, musí znát přesný tvar příkazů
daného operačního systému.
f. Výhodou grafických OS je jejich větší výkonnost oproti textovým
OS.
g. Ve Windows nezáleží na velikosti písmen v názvech souborů
a složek.
4) Doplňte:
Pro označení grafického uživatelského prostředí se používá zkratka
.
Souborový systém
umožňuje uživateli, aby svá data chránil pomocí
____________________ a
__ .
zajišťuje, že na počítači může běžet současně více programů
a uživatel se mezi nimi může přepínat.
Správce úloh ve Windows, pomocí kterého můžete ukončit uváznutý program
nebo proces, spustíte pomocí kombinace kláves
.
Procesy se mohou nacházet v řadě stavů. Proces, který čeká na reakci uživatele
je ve stavu
.
14
Shrnutí
Operační systém je nejdůležitějším programem, který slouží jako prostředník
mezi uživatelem na straně jedné a hardwarem na straně druhé, bez něhož
nemůže uživatel s počítačem pracovat.
Operační systém plní celou řadu funkcí. Komunikuje s uživatelem, přiděluje
systémové prostředky (hardware) spuštěným programům, řídí ukládání
a vyhledávání dat ve formě souborů atd. Mezi nejdůležitější funkce, které OS
plní, patří správa procesoru, paměti a informací (systému souborů).
V rámci správy procesoru zajišťuje přidělování procesoru procesům tak, aby se
uživateli jevilo, že spuštěné programy běží současně. Současný běh více
programů (tzv. úloh) se označuje pojmem multitasking. V současné době
moderní OS používají preemptivní multitasking.
Neméně důležitou funkcí operačního systému je správa paměti. Operační
systém se musí postarat, aby spuštěné programy měly dostatek operační paměti
a navzájem si nepřepisovaly data. V případě, že velikost operační paměti
nedostačuje, odkládá systém data do virtuální paměti na harddisku.
Způsob jakým operační systém organizuje data na harddisku, určuje zvolený
souborový systém. Mnohé OS používají odlišné souborové systémy. Proto
nemusí být například data uložená na harddisku se souborovým systémem
Linuxu dostupná z Windows. Ve Windows lze používat souborový systém
FAT (v různých verzích) a novější NTFS.
Operačních systémů existuje celá řada a lze je rozdělit podle nejrůznějších
kritérií. Mezi nejvýznamnější patří skupiny operačních systémů Windows,
Linux, UNIX, Mac OS atd.
Kontrolní otázky
1)
2)
3)
4)
5)
6)
7)
Co je účelem operačního systému?
Ze kterých tří hlavních částí se skládá operační systém?
Pomocí obrázku vysvětlete princip komunikace v počítači.
Vysvětlete rozdíl mezi kooperativním a preemptivním multitasking.
Jaká je nevýhoda kooperativního multitaskingu?
Jakým způsobem zavoláte ve Windows Správce úloh?
Vysvětlete jakým způsobem může operační systém přidělovat procesor
procesům?
8) Proč je nutné, aby operační systém chránil data v operační paměti
9) Které operační systémy znáte? Jsou textové nebo grafické?
10) Jaký je rozdíl v ovládání grafického a textového OS?
15
Pojmy k zapamatování
BIOS
FAT32
fronta
grafický OS
instrukce procesoru
kernel (jádro OS)
kooperativní multitasking
Linux
MS-DOS
NTFS
ovladač
proces
složka (adresář)
soubor
stavy procesů
textový OS
UNIX
user interface (uživatelské rozhraní)
virtuální paměť
Windows
Řešení:
Cvičení 1.1
1) b., c., d.
2) I.d
II.a
III.c
IV.b
3)
a.
b.
c.
d.
e.
f.
g.
ne
ne
ano
ano
ano
ne
ano
4)
Pro označení grafického uživatelského prostředí se používá zkratka GUI .
Souborový systém NTFS umožňuje uživateli, aby svá data chránil pomocí
přístupových oprávnění a šifrování .
Multitasking zajišťuje, že na počítači může běžet současně více programů
a uživatel se mezi nimi může přepínat.
Správce úloh ve Windows, pomocí kterého můžete ukončit uváznutý program
nebo proces, spustíte pomocí kombinace kláves CTRL + Alt + Del .
Procesy se mohou nacházet v řadě stavů. Proces, který čeká na reakci uživatele
je ve stavu waiting .
16
2. Textový operační systém
Cíl: Po absolvování této kapitoly byste měli být schopni
; používat Příkazový řádek ve Windows
; znát a použít základní příkazy textového režimu
; umět použít hvězdičkovou konvenci pro vyhledávání souborů
Proč se v dnešní době operačních systémů s grafickým uživatelským
rozhraním ještě učit příkazy textového režimu ?
9 naučí základům práce s textovým rozhraním (naučí jejich principům)
9 některé nástroje operačních systémů jsou použitelné pouze v textovém
rozhraní
9 „hodí se“ v případě, že „něco nejede“
9 textové rozhraní je méně náročné na systémové prostředky a tudíž
rychlejší
9 v dalším studiu se budete učit používat Linux a návyky pro používaní
textového režimu ve Windows využijete.
Jak už víte z předchozí kapitoly textový operační systém se ovládá pomocí
příkazů, které se zadávají do příkazové řádky. Příkaz se po zadání potvrdí
stiskem klávesy Enter (klávesou Enter vlastně počítači říkáte – proveď).
Příkazy musí být zapsány ve správném tvaru. Nezáleží na velikosti znaků.
Příkazy operačního systému lze rozdělit na interní a externí.
) Interní
Interní příkazy jsou součástí operačního systému a jsou dostupné
kdykoli a kdekoli. Typickými interními příkazy jsou např. DIR, CD,
MD, RD, DEL.
) Externí
Externí příkazy jsou to samostatné spustitelné soubory (s příponou EXE
a COM) a OS je spouští jako kterékoli jiné programy. Operační systém
„musí vědět v kterém adresáři se nacházejí“, nemůže-li soubor
externího příkazu najít (např. jste ho omylem smazali nebo přesunuli),
zahlásí chybu. Příkladem externích příkazů je např. příkaz FORMAT
nebo FDISK.
Externí příkazy jsou ve Windows 2000 a XP uloženy v adresáři %SystemRoot%\
system32. Ve Windows 98 v adresáři %SystemRoot% \command.
% určují proměnnou – to znamená, že %SystemRoot% označuje adresář, ve kterém
jsou nainstalována Windows. A to může být na každém počítači jinde. Jednou to
může být v adresáři C:\Windows nebo v adresáři D:\Windows a jindy např. v adresáři
C:\OS\Windows.
Z toho že existují interní a externí příkazy pro vás plyne → pokud chcete
použít externí příkaz, musíte jej mít k dispozici. Znamená to, že když např.
vytváříte bootovací disketu, CD nebo flash disk, musíte si na ně externí
příkazy nahrát
17
Příkazový řádek
Příkazy textového režimu lze ve Windows zadávat v Příkazovém řádku.
Prompt, označuje aktuální adresář a slouží
k zadání příkazů
Obr. 2.1: Příkazový řádek ve Windows
Příkazový řádek lez spustit dvojím způsobem:
1. Nabídka Start / Programs / Accessories / Command Prompt (Nabídka Start
/ Programy / Příslušenství / Příkazový řádek)
Obr. 2.2: Spuštění příkazového řádku
2. zadáním příkazu Cmd
Obr. 2.3: Spuštění příkazového řádku
Ve Windows 98 se nepoužívá příkaz cmd ale příkaz command.
18
2.1 Základní příkazy a jejich použití
Základním příkazem, který budete pro práci potřebovat, je příkaz pro
spuštění nápovědy. Ta obsahuje seznam všech dostupných příkazů a jejich
podrobný popis.

příkaz se vždy píše v přesném tvaru.
za jménem příkazu následují parametry, které upřesňují nastavení
příkazu.
parametry se od sebe oddělují mezerou
povinné parametry (ty se musí použít) se uvádí bez závorek.
nepovinné parametry (nemusí se vůbec použít) se uvádí do hranatých
závorek.
na pořadí parametrů nezáleží
nezáleží na velikosti písmen (ve Windows nezáleží na velikosti znaků)
HELP – vypíše seznam použitelných příkazů
HELP [příkaz] – vypíše nápovědu k příkazu.
Tj. příkaz HELP md vypíše nápovědu k příkazu Md.
Obr. 2.4: Vyvolání nápovědy
Obr. 2.5: Nápověda k příkazu md 1
Pozor!
Jiný způsob jak zapsat nápovědu k příkazu: Příkaz /?
Tj. například Copy /?
V hranatých závorkách
jsou nepovinné parametry
Všimněte si povinného
parametru source (zdroj)
Obr. 2.6: Vyvolání nápovědy pomocí /?
19
Zbystřete!
Všimněte si, že některé parametry jsou odděleny lomítkem. Existují dva
druhy lomítek a nesmíte si je plést. Pomůcka – jako by se písmeno
v parametru příkazu chtěl pod lomítkem schovat, aby na něj nepršelo: /a
Zpětné lomítko „\ “ se používá k zapsání cesty k souboru nebo složce.
V příkazech musíte často počítači říci, s kterými soubory a složkami má
pracovat a kde jsou umístěny. K tomu se používá dvojí způsob:
úplná cesta
k souboru
nebo složce
úplná cesta: vypíšete celou cestu, kde má systém soubor hledat
C:\dokumenty\dopisy\dopis1.txt
jméno disku
neúplná cesta
k souboru
nebo složce
složky, kde je soubor umístěn
jméno požadovaného souboru
neúplná cesta:
dopis1.txt
Při zadání neúplné cesty vychází systém z aktuálního adresáře. To znamená,
že prohledává adresář, ve kterém se právě nacházíte. V případě zadání úplné
cesty bude počítač soubor hledat v adresáři, který je určen úplnou cestou.
Nyní si už projdete příkazy. V závorce je uvedeno, zda jde o interní nebo
externí příkaz. Kurzivou je zvýrazněn příklad použití příkazu.
I. příkazy pro práci s disky a adresáři
FORMAT (e): formátování diskety nebo disku.
Format jméno_disku
format a: (zformátuje disketu)
Varování !!!
Ve starších verzích Windows a v MS-DOSu se můžete setkat s příkazem
FDISK. Příkaz FORMAT je dostupný i ve Windows 2000 a XP.
Pokud nepracujete na cvičném počítači ale na počítači s vašimi daty,
vyhněte se zkoušení a experimentům s příkazy FDISK a FORMAT.
Jejich nesprávným použitím můžete nenávratně smazat všechna data
na svém počítači!!!
Vyhněte se proto použití příkazu Format a písmene pevného disku např.
format c:
DISKCOPY (e): kopíruje obsah jedné diskety na druhou.
Diskcopy zdrojový_disk cílový disk
C: (i):
změna aktuálního disku ( a:
Neplést dvojtečku a dvě tečky
obvykle přepne na disketu ).
MD (i): vytvoření adresáře
Md jméno adresáře
md dokumenty
20
Diskcopy a: a:
RD (i): smazání adresáře. Nelze smazat aktuální adresář (nelze mazat
adresář, ve kterém se nacházíme tj. nejde si podřezat větev
stromu, na které sedíme)
Rd jméno adresáře
rd dokumety
DIR (i): vypíše obsah adresáře
parametr:
/p
vypíše obsah adresáře po stránkách
/w
vypíše obsah adresáře ve sloupcích
Dir
dir /p
dir /w
CD (i): změna aktuálního adresáře ( vstoupení/vystoupení do/z adresáře)
cd jméno adresáře vstoupí do adresáře
cd..
opuštění adresáře (o úroveň výše)
cd\
návrat do root adresáře
cd dokumenty
TREE (e): zobrazí strukturu složek
Pokud používáte českou verzi Windows, vypíše vám systém nápovědu
k příkazům v češtině. V začátcích fajn, ale zkuste si zvykat na angličtinu.
Příklad
1) Vytvořte na disku C: následující strukturu složek
21
2) Vypište si obsah Root adresáře a zobrazte strukturu adresáře Moje
3) smazejte složku úkoly
II. příkazy pro práci se soubory
COPY (i): kopírování souboru
Při použití příkazu copy velice často použijete zápis pomocí úplné a neúplné
cesty k souboru. Příkaz Copy má vždy alespoň 2 parametry:
odkud a co se kopíruje (musí být jasné, co chcete zkopírovat a kde to
má systém najít)
kam se má kopírovat
Použití zápisu pomocí úplné a neúplné cesty můžete navzájem kombinovat
podle toho, v jakém adresáři se nacházíte a kam chcete kopírovat.
1.
copy „soubor“ „cesta kam“ zkopíruje daný soubor z aktuálního
adresáře do zadanéhoadresáře.
22
Příklad
Zkopírujte soubor vzkaz.txt z adresáře Vzkazy do adresáře Vyrizene.
2.
copy „odkud a co“ zkopíruje vybraný soubor do aktuálního adresáře.
Příklad
Zkopírujte soubor emilce.txt z adresáře Dopisy do aktuálního adresáře
3.
copy „cesta a soubor“ „cesta kam“ zkopíruje daný soubor do
zadaného adresáře. V tomto případě můžete kopírovat, i když jste
kdekoli na disku. Jediným problémem je, že musíte znát přesné názvy
adresářů a souboru.
Příklad
Zkopírujte soubor pavle.txt z adresáře Dopisy do adresáře Vyrizene.
Poznámka: Příkaz copy nekopíruje celé adresáře, k tomu slouží příkaz xcopy.
MOVE (i): Přesune soubor nebo složku. Příkaz Move se používá stejně
jako příkaz Copy.
REN (i): přejmenuje soubor nebo složku
REN původní_název nový_název
23
ren dopis1.txt dopis2.txt
DEL (i) smaže soubor
DEL název_souboru
del dopis.txt
Když systém soubor smaže, neobjeví se na obrazovce žádná zpráva. Pokud
si nejste jisti, podívejte se pomocí příkazu DIR, že je soubor opravdu
smazán. Naopak pokud dojde k chybě, vypíše systém zprávu, že nemohl
soubor smazat.
Obr. 2.7: Použití příkazu Del
TYPE (i) vypíše obsah souboru. Slouží k tomu, abyste si prohlédli, co je
napsáno v textovém souboru. Aby vám výpis neutekl, je dobré
použít jej v kombinaci s přepínačem MORE. Před MORE se
zapisuje svislá čára (někdy ji na klávesnici najdete jako dvě svislé
čárky nad sebou).
TYPE název_souboru
type dopis.txt |more
Obr. 2.8: Použití příkazu Type
ATTRIB (i) vypíše seznam atributů souboru.
ATTRIB název_souboru
attrib dopis.txt
Jak vidíte, výpis není žádná sláva. Ale znalost příkazu type se hodí
v případech nouze. Například když se potřebujete podívat, co je napsáno
v souboru, a nemáte nainstalovaný žádný textový editor.
III. Ostatní příkazy:
CLS (i) smaže obrazovku
DATE (i) slouží k výpisu a změně aktuálního data.
TIME (i) slouží k výpisu a změně aktuálního času.
Po čase určitě některé příkazy zapomenete. Ale neměli byste zapomenout
základní příkazy CD, MD, RD, DIR, DEL, COPY. Také byste neměli
zapomenout, jak získat seznam použitelných příkazů a podrobnější nápovědu
k zvolenému příkazu.
24
Cvičení 2.1:
1) Příkaz
pro
souboru:
a) move
b) cop
c) copy
5) Příkaz
adresáře:
a) del
b) rd
c) cd
kopírování
pro
smazání
2) Příkaz pro opuštění adresáře
( o úroveň výše):
a) cd..
b) cd
c) cd:
6) Příkaz pro výpis obsahu
souboru:
a) type
b) move
c) dir
3) Příkaz pro přechod
adresáře
(vstup
adresáře):
a) md
b) cd
c) rd
do
do
7) Příkaz pro výpis obsahu
adresáře:
a) md
b) type
c) dir
4) Příkaz pro
disketu:
a) cd a
b) a:
c) a..
na
přepnutí
2.2 Hvězdičková konvence
Usnadní vyhledání souborů a složek nahrazením určitého počtu znaků
v názvu souboru nebo složky. Přednosti oceníte v okamžiku, kdy neznáte
přesný název souboru.
* nahrazuje libovolný počet znaků (i žádný znak je libovolný počet znaků)
? nahrazuje přesný počet znaků (? – jeden znak, ?? – dva znaky, apod.)
Zástupné znaky lze umístit na různých pozicích našeho dotazu.
Příklad
*pis
vrátí dokumenty, které v názvu obsahují slova začínající
libovolně(„nějak“), ale končí znaky „pis“ tj. ( dopis, nápis, úřední
dopis, … )
??pis vrátí nápis, dopis,… ,ale již nevrátí přípis nebo opis, protože mají
více nebo méně znaků.
Hvězdičkové konvence lze využít zejména při vyhledávání, kopírování
a mazání souborů. V následující tabulce vidíte jaké výsledky vám
pravděpodobně systém vrátí na dotazy pomocí hvězdičkové konvence.
Snažte se odlišovat jméno souboru a příponu.
25
Dotaz
*.*
*.txt
dopis.*
*dopis.doc
Dopis*.doc
*dopis*.doc
Dop??.*
??pis.*
Příklad vyhledaných souborů
Vypíše úplně všechny soubory (s libovolným jménem
a libovolnou příponou)
Nalezne všechny soubory s příponou txt (poznámky.txt,
dopis pro Pavlu.txt, manuál.txt, …)
Vrátí všechny soubory jejichž jméno je přesně dopis
a mají libovolnou příponu (dopis.txt, dopis.doc,
dopis.pdf,…)
Najde soubory s příponou doc a jejichž název začíná
libovolným textem a končí slovem dopis (Můj dopis.doc,
Úřední dopis.doc, Tento nerozumný dopis.doc,…)
Vypíše soubory s příponou doc jejichž název začíná
slovem dopis a pokračuje libovolně (Dopis.doc, Dopis
Katce.doc, Dopisní předloha.doc,…)
Vrátí soubory s příponou doc v jejichž názvu je (na
libovolné pozici) slovo dopis (Malý dopis na
rozloučenou.doc, Mé dopisní hrátky.doc, Dopis pro
Pavlu.doc, Poslední dopis.doc,…)
Nalezne soubory s libovolnou příponou, začínající slovem
Dop a pokračující přesně dvěmi znaky (Dopis.txt,
Dopis.doc, Dopij.prd, Dopni.xls, …)
Vypíše soubory končící slovem pis, před nímž jsou
přesně dva znaky (Nápis.xls, Dopis.doc, …), ale již
nevrátí např. soubor Opis.txt
Příklad
Zkopírujte všechny záznamy z porad (dokumenty s názvem porada č.1.doc ,
porada č.2.doc atd.) z adresáře Dokumenty do adresáře Porady.
Hvězdičkovou konvenci můžete využít ve Windows i v grafickém rozhraní
pro nalezení hledaných souborů.
Vyhledávání se spouští z nabídky Start / Hledat / Soubory či složky nebo
klávesou F3. Vzhled okna pro vyhledání se liší podle verze Windows, ale
princip je stejný.
S nalezenými soubory, lze pracovat jak jste ve Windows zvyklí (označovat
do bloku, kopírovat, mazat apod.)
26
Název hledaného souboru
Text, který se vyskytuje uvnitř
hledaného souboru
Adresář, který se bude
Nejčastější
prohledávat.
chybou nenalezení souboru
je, že se prohledává špatné
uložiště
Obr. 2.9: Vyhledávání souborů a složek ve Windows
Pro správné použití musíte alespoň tušit jak dotaz zadat a umět si najít
chybu ve vašem dotazu. Pokud systém nenalezne soubor, který zaručeně
na počítači existuje, ptejte se jinak tj. obecněji.
Pokud na dotaz Úřední dopis ze dne*.doc nenalezne soubor, ptejte se
obecněji (např. jste udělali při zadávání chybu a soubor pojmenovali
s krátkým U apod.). Zeptejte se např. *dopis*.doc. V tomto případě vám
sice počítač vypíše i soubory, které vás nezajímají, ale mezi nimi by mohl
být i vámi hledaný soubor.
Cvičení 2.2:
V daných příkladech je jedno, zda budete provádět výpis obsahu adresáře
pomocí DIR nebo vyhledávat ve Windows. Pozor, lze zvolit více možností.
1) Soubor Plán sběru odpadů.xls bude počítačem nalezen na základě dotazu:
a) *ěru odp*.xls
b) *odpad.xls
c) sběr*.xls
d) Plán*.*
2) Dotaz Dopi? pro*.doc nalezne:
a) Dopis pro Jirku.doc
b) Dopiš prostý text.doc
c) Dopisní papíry.doc
3) Dotaz ??běr.txt nalezne:
a) sběr.txt
b) výběr.doc
c) záběr.txt
4) Dotaz *ručk?.pdf nalezne:
a) Příručka pro chovatele.pdf
b) Nová příručka.pdf
c) S příručkou.pdf
d) Malý příruční slovník.pdf
e) Špinavé malé ručky.pdf
5) Dotaz Žádost*.doc najde soubory:
a) Žádost.doc, Žádost o půjčku.doc
b) Nová žádost o půjčku.doc
c) Žádost o půjčku.doc, Má žádost o půjčku.doc
27
Cvičení 2.3:
1
2
3
4
5
6
7
10
8
11
12
9
Vodorovně
2 příkaz pro smazání souboru
3 příkaz pro kopírování
5
příkaz pomocí něhož rozdělíte disk na
oblasti
6 příkaz pro přejmenování
7 příkaz pro výpis atributů souborů
10 kterým příkazem se přepnete do adresáře?
12 příkaz pro zobrazení struktury adresářů
Svisle:
1 kterým příkazem si vypíšete informace
o dostupných příkazech?
3 příkaz pro smazání obrazovky
4 příkaz pro vytvoření adresáře
5 příkaz pro zformátování disku
8 kterým příkazem vypíšete obsah
souboru dopis.txt?
9 příkaz pro smazání adresáře
11 příkaz pro výpis obsahu adresáře
Shrnutí
V této kapitole jste se seznámili se základními příkazy textového operačního
systému MS DOS. Tyto příkazy můžete použít i v příkazovém řádku Windows
a poslouží vám v okamžiku, kdy vás počítač přestane poslouchat a začne dělat
problémy.
Při práci s příkazy musíte dodržovat určitá pravidla daná operačním systémem.
Příkaz musíte zadat v přesném tvaru a bez chyb. Stačí jediný překlep a počítač
příkaz neprovede, nebo jej provede špatně. Myslete na to, že za příkazem vždy
následuje mezera a teprve pak až zbývajíc pokyny. K upřesnění příkazu se
používají parametry příkazu.
Operační systém používá interní a externí příkazy. Interní příkazy jsou součástí
jádra OS a můžete je použít vždy, když máte spuštěný OS. Externí příkazy jsou
samostatnými soubory a z toho vyplývá, že chcete-li je použít, musí operační
systém vědět, kde je má na disku nebo disketě najít.
Pro vás, pracující s počítačem trochu lépe než běžní uživatelé, platí, že musíte
znát základní příkazy pro práci s disky, adresáři a soubory. Je ale zbytečné,
abyste si pamatovali úplně všechny příkazy. Co ale musíte znát, je způsob, jak
získáte seznam příkazů a bližší informace k příkazům. Tzn. nesmíte
zapomenout využít příkazu HELP případně příkaz /?.
Pro práci s více soubory můžete využít tzv. hvězdičkovou konvenci. Jedná se
o zástupné znaky. Hvězdička nahrazuje libovolný počet znaků a otazník pouze
jeden znak. Tyto zástupné znaky můžete využít nejen pro hromadnou práci se
soubory (kopírování, mazání apod.), ale také pro upřesnění vyhledávání
souborů nebo složek ve Windows.
28
Kontrolní otázky
1)
Vyjmenujte základní příkazy pro práci s adresáři.
2)
Jakým způsobem se přepnete na jiný disk nebo oddíl disku?
3)
Které příkazy použijete pro kopírování a smazání souboru?
4)
Napište příkaz, pomocí kterého vypíšete obsah souboru Pokyny.txt tak,
aby vám výpis neutekl.
5)
Uveďte příkaz pro vypsání obsahu adresáře.
6)
Je ve Windows rozdíl v tom, zda příkaz zapíšete velkými nebo malými
písmeny?
7)
Jakým způsobem získáte nápovědu k příkazu?
8)
Vysvětlete rozdíl mezi použitím úplné a neúplné cesty k souboru.
9)
Objasněte rozdíly v použití lomítek.
10) Vysvětlete k čemu slouží hvězdičková konvence a uveďte příklady
použití.
11) Jak spustíte příkazový řádek ve Windows XP a ve Windows 98?

C:
Cmd, command
CD, MD, RD
CLS
COPY, MOVE
DATE, TIME
DEL
DIR
Řešení
Cvičení 2.1
1.c,
2.a,
3.b,
4.b,
5.b,
6.a,
Cvičení 2.2
1. a, d
2. a, b
3. a, c
4. b, e
5. a
29
7.c
FORMAT, FDISK
Hvězdičková konvence
Interní a externí příkazy
REN
TREE
TYPE
*
?
Cvičení 2.3
H
D E L
L
C O P Y
M
L
F D I S K
O
R E N
M
A
A T T R I B
C D
Y
I
P
D
T R E E
30
3. Základní nástroje údržby Windows
zjistit informace o systému
vyčistit a defragmentovat disk
najít hlášení o chybách v systému
určit jak je váš systém zatížen
V této kapitole se seznámíte s tím, jak získat informace o systému a jak
využít některé nástroje pro údržbu systému obsažené v samotném operačním
systému. V žádném případě se nebudu věnovat základnímu ovládání
Windows – to byste už měli znát. Proto cítíte-li nedostatky, doplňte si prosím
své znalosti dříve, než budete pokračovat ve čtení této (i dalších) kapitoly.
Co byste už měli umět:
běžně používat Windows (spouštění programů, kopírování, vytváření
složek apod.)
změnit a upravit vzhled Windows
o nastavení plochy, rozlišení apod.
o nastavení nabídky Start a Hlavního panelu
Nastavení Průzkumníka Windows (položky v okně Tento počítač
v nabídce Nástroje / Možnosti složky)
zjistit základní informace o:
o OS (typ, verze)
o HDD, RAM (využité a volné místo)
nastavit v Ovládacích panelech chování základního hardwaru (myš,
klávesnice, přidání nového hardwaru)
nainstalovat a odebrat aplikace (a součásti operačního systému)
nastartovat Windows v nouzovém režimu
Instalace
Instalace Windows probíhá ve dvou režimech. Nejdříve v textovém režimu
a pak v grafickém režimu.
Instalaci vás provede názorný průvodce, takže není se čeho bát. Nemá
cenu popisovat zde konkrétní kroky instalace Windows. Těch je celý
Internet. Stačí vyhledat frázi „postup instalace Windows“ nebo obecněji
„instalace Windows“ apod.
Před instalací musíte ale věnovat pozornost systémovým požadavkům
operačního systému na hardware. Ty musí být splněny, aby OS mohl řádně
fungovat. Všimněte si, že je najdete ve variantách minimální a doporučené
požadavky. Jestliže váš počítač splňuje minimální požadavky na hardware,
systém bude fungovat, ale nemůžete od něj čekat rychlostní zázraky. Platí,
že čím lepší máte HW, tím rychleji bude OS pracovat.
31
Systémové informace
K nejdůležitějším schopnostem každého informatika patří schopnost získat
základní informace o počítači, u kterého zrovna pracuje. Samozřejmě
důležité je také znát, co získané informace znamenají.
Ve Windows XP můžete pro přístup k informacím o systému použít také
nápovědu, kde klikněte na Odborná pomoc. Poté v okně vlevo dole vyberte
Informace o tomto počítači nebo Rozšířené informace o sytému.
Obr. 3.1: Informace o systému pomocí nápovědy XP
Dalším způsobem jak získat informace je spustit nástroj Systémové
informace, který najdete v nabídce Start/Příslušenství/Systémové nástroje.
Obr. 3.2: Systémové informace
Nástroj Systémové informace můžete zavolat také zadáním příkazu msinfo32.
Základní nástroje pro údržbu sytému
Windows mají jednu základní vlastnost (chtělo by se přímo říci systémovou
vlastnost ☺) – „bobtnat“. Od své instalace na počítač na sebe nabalují řadu
nejrůznější dat (ať už různé opravné balíčky a záplaty nebo data, které do nich
dodaly nainstalované aplikace). Důsledkem nárůstu velikosti samotných
Windows je mimo úbytku místa také zpomalování celého sytému.
O systém se musíte trošku starat, jinak byste mohli co chvíli přeinstalovávat
Windows. Proto se podívejte na některé nástroje pro údržbu systému, které jsou
obsaženy ve Windows. Existuje ovšem celá řada další (mnohdy výkonnějších)
nástrojů od jiných výrobců. Mnohé jsou freeware a stačí se podívat např.
www.studna.cz nebo www.stahuj.cz apod.
32
Vyčištění disku
Prohledá zvolenou diskovou jednotku a hledá dočasné soubory, které lze
odstranit nebo soubory ke komprimaci (kompresi, zahuštění). Komprimuje
soubory, které nebyly dlouho použity (standardně 50 dní) ⇒ uvolnění
místa na disku
Výhodou je zisk místa. Nevýhoda se projeví v případě, kdy komprimované
soubory potřebujete použít. Systém je musí nejdříve dekomprimovat a to
stojí čas. Ale protože jste ty soubory nepotřebovali 50 dní, tak je asi malá
pravděpodobnost, že je budete používat příliš často. ☺
spuštění nástroje:
Start/Příslušenství/Systémové
nástroje/Vyčištění disku
příkazem cleanmgr.exe do
nabídky Start/Spustit
Obr. 3.3: prohledávání disku
Obr. 3.4: Možnosti nástroje Vyčištění disku
Bližší informace můžete získat jestliže si vygoolujete „vyčištění disku“,
„nástroj vyčištění disku“ nebo „vyčištění windows“ apod.
Defragmentace disku
Při běžných diskových operacích jako je kopírování, mazání, přidávání dat
do souborů se po určité době data na disku fragmentují. Znamená to, že data
jednoho souboru jsou na HDD rozházeny. Ve výsledku se zpomalují
diskové operace (čtení a zápis) ⇒ citelně se zpomaluje celý systém.
Počítač byste proto měli pravidelně defragmentovat
spuštění:
Start/Příslušenství/Systémové nástroje/Defragmentace disku
ve vlastnostech diskové jednotky , kterou chcete defragmentovat a na
kartě Nástroje zvolte Defragmentovat.
33
Před defragmentací je dobré disk
analyzovat, abyste věděli, jak na tom je
Obr. 3.5: Defragmentace disku
Před tím, než spustíte defragmentaci je vhodné:
smazat nepotřebné soubory (provést vyčištění disku)
spustit kontrolu disku (Scandisk)
vypnout všechny programy, které by mohly vyvolat diskové operace,
zejména antivirový program
provést analýzu, zda je nutné disk defragmentovat
Obr. 3.6: Výsledek analýzy fragmentace
Podle procenta fragmentace a velikosti disku může celý proces
defragmentace trvat i několik hodin, spouští se většinou přes noc.
Ti všímavější z vás možná při bližším pohledu na obrázky zakroutili
hlavou. Ano, kovářova kobyla chodí bosa. Takovýto disk nepůjde
defragmentovat. Je třeba promazat nepotřebné soubory a teprve pak
defragmentovat. I když v tomto případě, sotva dopíšu tuhle oporu, celý
počítač promažu, zálohuju a přeinstaluju – bude to rychlejší ☺.
34
Obnovení systému
Do Windows XP přidal Microsoft docela užitečný nástroj, který vám
pomůže ušetřit spoustu času při hledání problémů. Znáte to, jeden den
Windows fungují, jak mají a druhý den… Než byste dlouho, a mnohdy
marně, hledali některé chyby, můžete použít nástroj Obnovení systému.
Že se vám, žádný takový problém nestal
systému dočtete v kapitole 6.
? Stane! Více se o Obnovení
Prohlížeč událostí
Systém obsahuje nástroj, o kterém většina uživatelů ani neví, ale je
neocenitelný v případech, že „něco nejede“ – Prohlížeč událostí.
spuštění:
Ovládací panely/Nástroje pro správu/Prohlížeč událostí
Můžete sledovat,
kdy problémy začaly
Kdo problém vyvolal
číslo události.
Obr. 3.7: Prohlížeč událostí
Pomocí čísla událostí můžete vyhledat na Internetu o jaký problém se jedná
a zda jej již někdo řešil a vyřešil. Když poklepete na některý záznam získáte
detailní informace (obr. 3.8).
V angličtině se Prohlížeč událostí jmenuje Event Viewer a Nástroje pro správu jsou
Administrative Tools
Obr. 3.8: Detail události
35
Výkon
Ke sledování výkonu vašeho počítače můžete použít několik nástrojů.
Jedním ze základních je Správce úloh (Task manager), kterého zavoláte
stiskem kláves CTRL+Alt+Del. Pomocí Správce úloh si můžete
prohlédnout aktuální stav vytížení procesoru, který proces systém zatěžuje
nejvíce i kolik paměti spotřebovává.
Obr. 3.9: Správce úloh
Pomocí Správce úloh můžete získat více informací tak, že v nabídce
Zobrazit zvolíte Vybrat sloupce (obr. 3.10).
Obr.3.10: Upřesnění možností
Správce úloh
Ke sledování výkonu počítače můžete rovněž použít nástroj, který najdete v
Ovládací panely/Nástroje pro správu/Výkon. Pomocí tohoto nástroje si
můžete vybrat, zda budete sledovat údaje o lokální počítači, nebo si
vyberete počítač v síti. Rovněž si můžete vybrat jakou část vašeho systému
chcete sledovat (procesor, síťovou kartu apod.). Každý objekt má spoustu
parametrů, které lze sledovat (obr. 3.12).
36
Nabídku pro výběr čítačů
nejrychleji získáte, když
kliknete pravým tlačítkem
myši.
Obr. 3.11: Výkon systému
Obr. 3.12: Výběr parametrů pro sledování
Správa počítače
Hlavním nástrojem, který v sobě obsahuje některé z výše uvedených
nástrojů je Správa počítače (Computer management). Ten najdete v
Ovládací panely /Nástroje pro správu/Správa počítače.
Obr. 3.13: nástroj pro správu počítače
37
Shrnutí
V této kapitole jste se zběžně seznámili s některými nástroji, které můžete
použít pro správu a údržbu počítače. Některé budete využívat v dalších
kapitolách.
Během svého provozu mají Windows tendenci postupně narůstat a nabalovat
na sebe další data. Občas je vhodné disk promazat pomocí nástroje Vyčištění
disku. Při vytváření, kopírování, mazání a doplňování dat v souborech se data
na disku fragmentují a čas od času musíte použít nástroj pro defragmentaci
disku.
V případě potíží se systémem můžete systém vrátit do původního stavu pomocí
nástroje Obnovení systému nebo se můžete pokusit určit zdroj problémů
Prohlížečem událostí.
Pokud se systém počítače zpomaluje, sledujte faktory ovlivňující jeho výkon
pomocí nástroje Výkon v Ovládacích panelech nebo pomocí Správce úloh.
Integrovaným nástrojem pro práci se systémem je Správce počítače. Jestliže
vám nástroje obsažené v samotném operačním systému nevyhovují, podívejte
se na Internetu po dalších. Existuje jich spousta a mnohé jsou freeware.
Kontrolní otázky
1) Co můžete udělat, když se vám zdá, že počítač najíždí příliš dlouho ?
2) Kde v Ovládacích panelech najdete mnohé z uvedených nástrojů ?
3) Který nástroj použijete v případě, že systém nebo program nefungují
správně a nedaří se vám najít chybu ?
4) Jak získáte informace o systému ?
fragmentace a defragmentace
Vyčištění disku
Obnovení systému
Výkon
Správce počítače
Správce úloh
Systémové informace
38
4. Uživatelé ve Windows
Cíl: Po prostudování této kapitoly byste měli být schopni
vysvětlit, jak je identifikován každý uživatel počítače
vysvětlit, význam uživatelských skupin
vytvořit uživatelský účet, přiřadit jej do uživatelské skupiny a nastavit
přihlašovací heslo
objasnit, jak postupovat při tvorbě hesel
vysvětlit účel uživatelských profilů
popsat typy profilů
nastavit uživatelský profil
K jedněm z nejdůležitějších činnosti správce počítačů v každé firmě patří
vytváření uživatelských účtů. Ty umožňují jednotlivým zaměstnancům
pracovat a zároveň jednoznačně identifikují, kdo a co na počítači udělal
(nebo může udělat).
Vytváření účtů, nastavování hesel a uživatelských profilů se drobně liší ve
Windows XP a ve Windows 2000, ale princip je stejný. Abyste si také trochu
zvykli na angličtinu, budu používat většinu ilustračních obrázků
z anglických Windows 2000.
4.1 Uživatelské účty a skupiny
Uživatelské účty slouží k jednoznačné identifikaci uživatele. Každý uživatel
má přiděleno jedinečné identifikační číslo SID (security ID). Po přihlášení
systém uživatele ověří a vytvoří přístupový token, který obsahuje jméno
uživatele, SID a seznam všech skupin jichž je uživatel členem. Kopii tokenu
pak získá každý spuštěný program.
Ověření, zda uživatel, který chce použít uživatelský účet, je skutečně tou
osobou, za níž se chce vydávat, probíhá ověřením znalosti hesla. Toho,
kdo zná k účtu heslo, systém považuje za tu správnou osobu. Co z toho
pro vás plyne? Pokud se někdo zmocní vašeho hesla, může se za vás
vydávat a vašim jménem provádět nejrůznější ať už „kalé“ nebo „nekalé“
činnosti. Takže - pozor na heslo.
Po instalaci Windows jsou automaticky vytvořeny účty Administrator
a Guest (ten je hned z důvodu bezpečnosti zakázán).
Uživatelské skupiny slouží k usnadnění práce s uživateli a jejich účty.
Představte si situaci, že máte 40 uživatelů a pro každého z nich musíte
nastavit, co na počítači smí a nesmí dělat. Proto jsou vytvořeny uživatelské
skupiny (předdefinované nebo vámi vytvořené skupiny), kterým nastavíte,
co smí členové skupiny na počítači provádět. Pak už jen nového uživatele
přiřadíte do patřičné skupiny.
Předdefinované skupiny
Ve Windows kromě skupin, které si může vytvořit správce systému, existují
také skupiny předdefinované výrobcem. Tyto skupiny vzniknou
automaticky při instalaci.
39
Uživatelské
skupiny
Administrators: členové této skupiny mají přístup ke všem souborům
a složkám v počítači.
Backup Operators: mají přístup k nástroji pro zálohování systému
HelpServicesGroup(v XP): využívá Microsoft pro vzdálenou správu,
mohou se (se souhlasem) připojit k PC.
Network Configurations Operators(v XP): členové této skupiny mohou
nastavovat síťová připojení
Power Users :
pro ty, kteří požadují téměř všechna oprávnění skupiny
Administrators
nemohou přebírat vlastnictví, zálohovat a obnovovat soubory, zavádět
a uvolňovat ovládače zařízení, spravovat protokoly zabezpečení.
a auditování
ale mohou (na rozdíl od běžných uživatelů): sdílet složky, vytvářet,
spravovat, odebírat a sdílet místní tiskárny, vytvářet místní uživatele
a skupiny
Users: omezená práva
Poznámka: některé předdefinované skupiny v XP Home nejsou.
Vytvoření uživatele
Vytvoření uživatele (uživatelského účtu) můžete ve Windows provést
několika způsoby. V Ovládacích panelech pomocí Users and Passwords
(Uživatelé a hesla) nebo v Computer Management (Správa počítače).
Vytvoření
uživatele pomocí
Uživatelé a hesla
Users and Passwords (Uživatelé a Hesla)
Pomocí této volby můžete jednoduše vytvořit uživatele a přiřadit jej do
některé ze skupin. Pokud budete používat této volby, můžete uživatele
zařadit pouze do jedné skupiny.
Obr. 4.1: Vytvoření uživatelského účtu
40
Po stisknutí Add se vyplníte v okně User name a Full name. Nepleťte tyto
dva pojmy. User name je uživatelské jméno, kterým se uživatel hlásí do
počítače např. kulhava_23. Full name je jméno člověka tak, jak jej
používají lidé např. Jana Kulhavá.
User name
a Full name
Poté zadáte heslo k uživatelskému účtu. Heslo se musí zadat dvakrát stejně.
Heslo se nezobrazuje. Systém porovnává, zda oba zadané výrazy jsou stejné
(nedošlo-li k překlepu).
Pak přiřadíte uživatele do některé uživatelské skupiny. Můžete použít
zjednodušeného výběru nebo vybrat některou z jiných skupin. Všimněte si,
že za standardního uživatele považuje systém člena skupiny Power Users
a za omezeného uživatele (funkčně ☺) člena skupiny Users.
Obr. 4.2: Přiřazení uživatele do uživatelské skupiny
Tím vytvoření nového uživatele skončí. Je to trochu nedostatečné
nastavení, proto si všimněte záložky Advanced, kde v části Advanced
User Management je tlačítko Advanced. To vám umožní detailněji
nastavit uživatele. Nebudu jej tady samostatně vysvětlovat, protože
zavolá stejné okno, které vidíte na další stránce popisující práci s uživateli
v Computer Management.
Na kartě Advanced si všimněte poslední části Secure Boot Settings. Jejím
zaškrtnutím zvýšíte bezpečnost svého počítače, protože každý, kdo se bude
chtít přihlásit k počítači, bude muset na klávesnici stisknout kombinaci
kláves CTRL+ALT+DEL.
Přihlašovací
okno
pomocí
CTRL+Alt+Del
Computer Management (Správa počítače)
Computer Management je nástroj, který velice často použijete k nastavení
počítače. Všimněte si i ostatních položek, které obsahuje. Při vytváření
uživatelských účtů a skupin v Computer Management můžete využít
detailnějšího nastavení.
41
Vytvoření uživatelů
a skupin pomocí
Computer
Management
Obr. 4.3: Computer Management
Obr. 4.4: Vytvoření uživatele
User must change password at next logon: Uživatel musí při příštím
přihlášení změnit heslo. Toto se používá, když uživateli nastavíte nějaké známé
heslo (nebo je necháte prázdné) a chcete uživatele donutit, aby si zadal vlastní
heslo.
User cannot change password: uživateli zakážete změnit heslo, které jste mu
nastavili vy. Tuto volbu zaškrtněte u uživatelského účtu, který používá současně
více lidí, aby si navzájem nemohli změnit heslo a pak se dohadovat, jaké je
heslo a kdo ho změnil.
Password never expres: zaškrtnutím zajistíte, že nastavené heslo nikdy neztratí
platnost. Bude stále platné bez ohledu na nastavení v Local Security Settings
(Místní zásady zabezpečení), kde můžete nastavit, jak dlouho bude uživatelovo
heslo platit.
Account is disabled: pokud zaškrtnete tuto volbu, zakážete použití daného účtu.
Po vytvoření účtu jej ještě musíte přidat do skupiny uživatelů. Výhodou
použití Computer Management je, že uživatele můžete přiřadit do více
uživatelských skupin. Přiřazení uživatele do skupiny provedete tak, že na
něj kliknete a z k.m. vyberte Properties (vlastnosti). Na kartě Member of (je
členem) kliknete na tlačítko Add (přidat). Ze seznamu skupin vyberete
skupinu, do které chcete uživatele přidat. Vše potvrdíte OK. Ve Windows
42
XP je tento mezikrok - v okně, které se objeví, kliknete dole na Advanced
(Upřesnit) a v dalším okně kliknete vpravo na tlačítko Find (najít).
Nelekejte se, že postup zde není popsán graficky. Postupujete stejně jako
v kapitole 5. při nastavování přístupových oprávnění k adresářům.
Pomocí Computer Management můžete vytvářet vlastní uživatelské skupiny
podobným způsobem, jakým jste vytvořili uživatele. Do těchto vlastních
uživatelských skupin pak můžete přiřazovat jednotlivé uživatele.
Pravidla vytvoření pro vytváření uživatelského účtu:
uživatelské jméno musí být jednoznačné (nesmí být dva účty se
stejným názvem).
uživatelské jméno pište bez mezer, v některých programech by to
mohlo způsobovat potíže.
nepoužívejte diakritiku !!!
chcete-li použít mezeru, nahraďte ji podtržítkem.
na jednom počítači to není nutné, ale pro vytváření názvů účtů v síti si
vytvořte pravidla. Může se vám totiž stát, že se sejdou dva lidé, kteří
se jmenují stejně. Jak pak budete postupovat. Příklady pro tvorbu
názvů účtů:
Tabulka 4.1: ukázky tvorby uživatelských jmen
Účet bude tvořen jménem a příjmením. Sejdou-li se dva lidé se
stejným jménem, přidá se pořadové číslo nástupu v organizaci
Pouze příjmení s pořadovým číslem
kropacek_jan,
kropacek_jan01
kropacek01
Účet bude tvořen zkratkou příjemní a pořadovým číslem
kro01
Účet bude tvořen osobním číslem v organizaci (např. označení
oddělení marketing, rok 06 a pořadí nástupu v daném roce 13 apod.)
m0613
Příklady
uživatelských
jmen
Určitě vás napadnou další způsoby jak vytvořit uživatelské jméno tak, aby
bylo jednoznačné.
Zásady tvorby hesel
Na to jak vytvořit bezpečné heslo existuje řada návodů. Jako správci
musíte mít povědomí o tom, jak s hesly pracovat a jaká stanovit pravidla
pro vytváření hesel.
Zejména zde platí, že čeho je moc, toho je příliš. Když to s pravidly pro
vytváření hesel přeženete, budou se je snažit uživatelé obejít (složité hesla
si někam poznačí – pokud možno nejblíže k počítači , řeknou je
kolegům, budou opakovat ověřená hesla apod.).
Pravidla zvolte podle toho, jaký počítač nebo síť chcete ochránit. Jiná
pravidla budou platit pro počítač v řeznictví a jiná pro síť ministerstva
obrany.
Tady jsou některá pravidla:
heslo by nemělo být snadno „uhodnutelné“
Nepoužívejte taková „hloupá“ hesla jako : heslo, 12345678, rok
narození apod.
43
Pravidla pro
tvorbu hesel
jako heslo nedávejte údaje o své osobě nebo blízkých (např. datum
narození, jména, koníčky apod.)
Díváte-li se často na fotbal tak vás může napadnout heslo Chalsea,
Baník apod. Takováto hesla jsou při případě útoku zkoušena jako
jedna z prvních.
Heslo nesmí tvořit jedno slovo. Takové slovo je obvykle možné
najít ve slovníku a toho útočníci často využívají.
používejte zkomolená slova
používejte hesla, která mají nejméně osm znaků
používejte malá i velká písmena
přidávejte do hesel i čísla a speciální znaky
Například slovo prasatko je primitivní heslo, které můžete zesílit
například takto: Pr@$@tko. Ještě silnějším se stane, pokud jej
doplníte o číslice.
zkuste zkratky vytvořené z vaší oblíbené věty
Máte-li rádi větu např. „Někdejší růže zůstává jen co jméno, jen
pouhá jména držíme ve své moci“ pak můžete například zvolit první
písmena ze slov (nebo druhá písmena apod.) a vznikne silné heslo
Nrzjcjjpjdvsm. Zesílit je můžete, když nahradíte písmeno „s“
znakem „$” nebo písmeno „m“ znakem “#” . Navíc to můžete
potuplovat nějakým tím číslem.
heslo si nikam nezapisujte
heslo nikomu neříkejte
heslo měňte v pravidelných intervalech.
Pozor!
Asi nejsilnější hesla by měli používat členové skupiny Administrators. Heslo
administrátora by mělo být poznačeno a bezpečně uloženo. Proč? Představte si,
že jenom vy v celém podniku znáte heslo pro účet administratora a něco se vám
stane. Jak se bude váš nástupce dostávat do systému a spravovat jej?!
Platí pravidlo, že správce počítače (sítě) se nemá běžně hlásit pomocí účtu
Administrator, ale pro běžnou práci si vytvořit jiný účet s menšími
oprávněními. Omezí tak riziko odlovení hesla k účtu Administrator.
Pokud se chcete dozvědět více o bezpečnosti hesel nebo vytváření silných hesel, zadejte do
vyhledávače slovní spojení „silná hesla“ nebo „slabá hesla“ apod.
Aby uživatel musel při vytváření hesel respektovat některá pravidla, musíte
jej k tomu donutit. Pravidla nastavíte v Místní zásady zabezpečení, které
naleznete v Ovládacích panelech v Adminsistrative Tools (Nástroje pro
správu; nebo je můžete zavolat z příkazem secpol.msc).
44
Obr. 4.5: Místní zásady zabezpečení
Zde můžete nastavit:
minimální počet znaků, které musí mít hesla všech uživatelů
minimální staří hesla
maximální stáří hesla
Cvičení 4.1:
Vyberte z nabízených hesel ta, která alespoň trochu splňují požadavky na
silné heslo.
e) SousedovicAlíkII
a)
ahoj
f) NaK0n0pi$ti
b)
Alík
g) suvtjjjkdpsdv
c)
Franta14
h) $uvtjjjkdp$dv
d)
Sparta
Odstranění účtu
Vždy než začnete odstraňovat uživatele, uvědomte si, že ve Windows je
uživatel identifikován jedinečným SID. I když vtvoříte nového uživatele
se stejným uživatelským jménem a heslem, bude mít jiné SID. Proč vás
na to upozorňuji?
Řadu zabezpečovacích funkcí váže Windows právě na SID. Vytvořením
nového uživatele se stejným uživatelským jménem nezíská uživatel
přístup k objektům, jichž byl předtím vlastníkem (souborům,
zašifrovaným souborům, osobním certifikátům, heslům pro přístup
k webovým stránkám a prostředkům v síti), protože nové SID není
shodné se starým SID.
Uživatelské účty odstraňujte pomocí dialogu Users and Passwords
v Ovládacích panelech. Pokud se rozhodnete odstranit účet ve Windows XP,
systém se vás zeptá na to zda má :
zachovat soubory: zkopíruje soubory a složky uložené v Dokumenty do
složky na plochu
odstranit soubory: odstraní účet, profil a všechny příslušné soubory
včetně složky Dokumenty.
45
Odstranění
uživatelského
účtu
4.2 Uživatelský profil
Princip fungování profilů už znáte. Přihlásíte se na počítači, na kterém
jste si upravili pracovní plochu, vzhled nabídky start, oblíbené položky
apod. Po vás se přihlásí někdo jiný, kdo má vytvořen vlastní uživatelský
účet, a má k dispozici úplně jiný vzhled plochy, jinak upravenou nabídku
Start a v Oblíbených jiné položky, které si tam přidal.
V této části se spolu podíváme, co profil obsahuje, kde jej najdete a jak jej
můžete využít pro práci s uživateli. Jak jsem již napsal v úvodu,
předpokládám, že máte základy správy počítače. Např. umíte upravit
vzhled nabídky Start nebo přidat do Oblíbených novou položku. Tyto
základní znalosti se zde nebudou probírat ale využívat.
Uživatelský profil obsahuje všechna nastavení a soubory pracovního
prostředí uživatele a každý uživatel má úplný přístup k vlastnímu profilu.
Nastavení uživatelského profilu jsou uložena na dvou místech: ve složce
Documents and Settings a v systémovém registru. V registru jsou uložena
například nastavení Průzkumníka Windows, Hlavního panelu, Ovládacích
panelů nebo nastavení aplikací.
Dále jsou popsány jen některé položky profilu, kterých je samozřejmě více.
Některé složky v profilu jsou skryté.
Obsah profilu v Documents and Settings:
Obr. 4.6: Obsah profilu
Cookies: obsahuje malé soubory, které urychlují a usnadňují práci
s webovými stránkami (např. nemusíte při každém otevření stránky
znovu zadávat hesla apod.).
Desktop (Plocha): vše, co je uloženo nebo zobrazeno na ploše, včetně
zástupců.
Favorites (Oblíbené položky): položky, které jsou zobrazeny v nabídce
Oblíbené.
Local Settings: obsahuje nastavení a soubory, které v případě cestovního
profilu necestují s uživatelem, protože jsou závislé na konkrétním
počítači nebo jsou příliš velké.
Dokumenty: je výchozí složkou pro zástupce Dokumenty umístěného na
ploše a v nabídce Start. Tady nabízí ukládat soubory většina programů.
46
NetHood (Okolní síť): obsahuje
My Network Places (Místa v síti).
zástupce
zobrazované
v okně
PrintHood (Okolní tiskárny): zástupci na položky okna Tiskárny
Poslední dokumenty: zástupce
zobrazovaných v nabídce Start
nedávno
použitých
dokumentů
SendTo: obsahuje zástupce složek a aplikací, které se zobrazují
v podnabídce Odeslat v kontextovém menu.
Start menu (nabídka Start): zástupci, kteří jsou zobrazení v nabídce Start
Templates (Šablony): složka je skrytá, obsahuje šablony dokumentů.
Všimněte si, že součástí profilu jsou i Temporary Internet files (dočasné
soubory internetu), kde se ukládají např. obrázky ze stránek, které jste
navštívili apod.
typy profilů:
místní
vytvoří se při 1.přihlášení uživatele
změny v profilu se uloží pouze v místním počítači
cestovní
uložen na síťovém disku serveru ⇒ je dostupný na libovolném
počítači v síti
místní kopii uloží při 1.přihlášení k počítači
změna v profilu se uloží místně a po odhlášení uživatele se
aktualizuje profil uložený na disku serveru
v případě nedostupnosti cestovního profilu se použije uložený
místní profil
povinný
může jej měnit pouze správce
uložen na síťovém disku a při 1.přihlášení se vytvoří místní kopie,
ale na rozdíl od cestovního profilu není povinný profil po
odhlášení aktualizován ⇒ profil zůstává stále tak, jak jej správce
nastavil
uživatel může provádět změny (nejsou-li zakázány v zásadách
skupin), které jsou ale po odhlášení zahozeny
Místní profil je uložen v %SystemDrive%\Documents and Settings nebo
%SystemRoot%Profiles
Když někde najdete označení %SystemDrive% označuje to proměnnou.
Autor tím chce naznačit, že jde o disk, na kterém je nainstalován operační
systém a ten může být jednou C:\, D:\ a jindy třeba F:\. Složka Documents
and Settings pak bude nainstalována na disku, na kterém je nainstalován
operační systém. Proměnná %SystemRoot% označuje hlavní adresář, ve
kterém jsou nainstalovány Windows, ať už se složka jmenuje jakkoli.
47
společné profily:
All Users
Doplňuje profil každého uživatele. Co je zde nastaveno, se projeví
všem uživatelům
do složek Plocha a Nabídka Start mohou přidávat pouze členové
skupin Administrators a Power Users
Dokumenty jsou zobrazovány jako Sdílené dokumenty a přístupné
všem uživatelům
Default Users
Standardní profil pro 1.přihlášení uživatele, který nemá cestovní
profil
obsah se zkopíruje do profilu nového uživatele
změny mohou provádět pouze členové skupiny Administrators
Změny v uživatelských profilech:
Můžete sice přidávat, měnit a odebírat položky přímo v Průzkumníku. Ale
stejným způsobem není vhodné odstraňovat, přesouvat nebo kopírovat celé
profily, protože nedojde k odstranění profilu z registrů a při kopírování se
nepřidělí oprávnění.
Změny můžete provést v Profily Uživatele (ve Vlastnostech systému).
Windows 2000 a XP se trochu liší, ale princip je stejný.
Obr. 4.7: Profily ve Windows XP
Kopírování profilu
Výhodou kopírování profilu pomocí nabídky Profily uživatelů je, že systém
přidělí vytvořené kopii odpovídající oprávnění. Nezapomeňte ale, že profil
se vytvoří a přidá do registrů až po prvním přihlášení uživatele. Nelze
zkopírovat aktuálně přihlášený profil (ani ten svůj).
48
Obr. 4.8: Profily ve Windows 2000
Odstranění profilu
Odstranění profilu můžete provést v :
Profily Uživatele: odstraní profil nejen z disku, ale i z registrů. Nelze
odstranit profil aktuálně přihlášeného uživatele
Uživatelské účty: odstraněním uživatele se odstraní i jeho profil
Přiřazení profilu
Přiřazení profilu se provádí v Computer Management v Local Users and
Groups. Ve Windows XP můžete také v
Ovládací panely\Uživatelé
\Uživatelské jméno účtu \ k.Profil.
Co když ale nastavíte profil a nějaký chytřejší uživatel si jej úplně předělá?! Co s tím?
Platí, že nastavení zásad v Místní zásady zabezpečení mají vyšší prioritu než nastavení
v uživatelském profilu (zabrání se tak zkušeným uživatelům v provádění změn).
Příklad
Nakonfigurujte profil Default Users pro nově vytvořené uživatele. Pro
nakonfigurování profilu můžete použít následující postup:
1) Vytvořte si nového uživatele např. TvorbaProfilu
2) Přihlaste se jako uživatel TvorbaProfilu (počítač použije doposud
nastavený default profil).
3) Upravte nastavení profilu ( např: vzhled plochy; nastavení Hlavního
panelu; nastavení Průzkumníka Windows apod.)
4) Odhlaste se a přihlaste jako Administrátor
5) Zapněte si zobrazení skrytých souborů a složek
6) Přepněte se do složky Documents and Settings\Default Users a
vymažte celý její obsah
7) Zkopírujte celý obsah složky TvorbaProfilu (včetně skrytých složek)
do složky Default Users.
49
Cvičení 4.2:
Vytvořte na počítači skupinu uživatelů Pokusní. Pak vytvořte uživatele Ferda
a uživatele Pepina. Oba vytvořené uživatele zařaďte do skupiny Pokusní.
Nastavte oběma uživatelům jejich profily.
Každý uživatel bude mít jiný obrázek na pozadí pracovní plochy
(nastavte podle uvážení)
Oba uživatelé uvidí na ploše tyto ikony Tento počítač, Koš a zástupce
programů Word a Excel (nebo jiného textového a tabulkového editoru,
který máte na počítači)
Pepina bude mít navíc na ploše dokumenty Pokyny.doc a Pravidla.doc
(tyto dokumenty Ferda na ploše mít nebude).
Ferda bude mít navíc na ploše dokumenty Výsledky.xls a Uzávěrka.xls
(tyto dokumenty Pepina na ploše mít nebude).
Každému z uživatelů upravte podle vlastního uvážení nabídku Start.
Donuťte oba uživatele, aby si museli při příštím přihlášení změnit heslo.
Shrnutí
V této kapitole jste se seznámili se základy (opravdu jen základy) práce
s uživateli ve Windows.
Běžné počítače zatím neumí identifikovat uživatele např. podle hlasu, ale dělají
to pomocí jména a hesla. Každý uživatel se do systému hlásí uživatelským
jménem (user name) a heslem (password). Pomocí uživatelského jména
a hesla systém pozná, kdo s ním pracuje. Protože počítače ale raději pracují
s čísly, má každý uživatel přiřazeno jedinečné identifikační číslo tzv. SID.
Jestliže někdo cizí získá uživatelovo heslo, může pracovat jeho jménem
a nikdo nepozná, že to provedl někdo jiný. Proto je nutné, aby uživatelé
i právci počítačů dodržovali pravidla pro práci s hesly.
Nejdůležitějším uživatelem, automaticky vytvořeným při instalaci systému, je
Administrátor. Administrátor může s počítačem provádět prakticky cokoli
a proto pravidla o nakládání s hesly platí „tím tuplem“.
Pro usnadnění práce s velkým počtem uživatelů se pracuje s uživatelskými
skupinami. Místo toho abyste pokaždé nastavovali zvlášť pro každého
uživatele, co může na počítači dělat, nastavíte pravidla pro celou uživatelskou
skupinu. Jednotlivé uživatelé pak jen přiřadíte do příslušné skupiny.
Aby uživatelé měli pokaždé počítač ve stavu, který si nastavili, používají se
tzv. uživatelské profily. Profil také umožňuje, aby uživatel měl stejné nastavení
na každém počítači v síti. Ve Windows existuje několik typů profilů (místní,
cestovní, povinný). Speciálními druhy profilů jsou společné profily All Users
a Default Users
.
50
Kontrolní otázky
1) Jaký je účel uživatelských skupin a které znáte předdefinované skupiny ve
Windows ?
2) Čím je v systému jednoznačně určen konkrétní uživatel ?
3) Jak systém pozná, že uživatel, který se do systému hlásí, je ten pravý ?
4) K čemu slouží uživatelský profil a co je jeho součástí ?
5) Které profily jsou společné a kde je najdete ?
6) Potřebujete, aby všichni uživatelé měli na ploše určitý dokument. Kam jej
umístíte?
7) Vyjmenujte alespoň 5 doporučení pro vytváření hesel
8) Který účet musí mít nastaveno nejsilnější heslo
9) Navrhněte jakým způsobem vytvořit uživatelské jméno a uveďte příklady
10) Uveďte příklady nevhodných hesel
o
o
o
o
o
o
o
SID
Administrator
Guest
Administrators
Power Users
Users
User name
o
o
o
o
o
Full name
silná a slabá hesla
uživatelský profil
typy profilů
společné profily
Řešení
Cvičení 4.1
Když se nad hesly zamyslíte, tak alespoň základní požadavky splňují hesla e),
f), g), h).
Cvičení 4.2
Nejlépe asi bude využít nástroj Správa počítače (ten najdete v Ovládacích
panelech/ Nástroje pro správu). Zde vytvořte uživatelskou skupinu Pokusní,
uživatelé Ferda a Pepina a zařaďte je do skupiny Pokusní.
Prozatím si pro nastavte heslo, které znáte vy (např. student), nenuťte uživatele
k tomu, že musí heslo změnit při příštím přihlášení.
Přihlaste se jako uživatel Ferda (heslo znáte ☺), upravte plochu a nabídku
Start. Poté se přihlaste jako Pepina a rovněž nastavte plochu a nabídku Start.
Přihlaste se jako správce počítače a teprve nyní pro každý účel zatrhněte
možnost, že uživatel musí při příštím přihlášení změnit heslo.
Poznámka. Jestliže požadované zástupce (Tento počítač, Koš, zástupce Wordu a Excelu) mají
vidět i ostatní uživatelé počítače můžete využít profil All Users a zástupce vytvořte ve složce
%SystemDrive%\Documents and Settings\All Users\Plocha.
51
52
5. Řízení přístupu k souborům a složkám
určit rozdíl mezi Zjednodušeným sdílením souborů a složek
a Rozšířeným nastavením zabezpečením
vysvětlit rozdíl mezi oprávněními a právy
nastavit oprávnění souborového systému NTFS
chápat rozdíl mezi oprávněními při přístupu k místnímu počítači
a přístupu k počítači ze sítě
nastavit oprávnění pro sdílení souborů a složek
Čas potřebný k prostudování kapitoly: 12
Obsah této kapitoly patří k tomu nejdůležitějšímu, co se v této opoře
dozvídáte. Nastavování uživatelských práv bude vašim denním
chlebem, proto zvyšte ještě více svou pozornost. Prostudování této kapitoly
pouze jednou nestačí. Je dobré se k ní několikrát vrátit a upevnit si své
znalosti. Napadne-li vás nějaký problém v souvislosti s přístupovými
oprávněními, hledejte jeho řešení. Zejména zde platí, že pouze cvik dělá
mistra ⇒ cvičit, cvičit a cvičit.
Pokud budete zkoušet oprávnění na svém počítači, vytvořte si pokusné
složky. Nezkoušejte experimentovat na systémových složkách a složkách,
které jsou pro vás důležité. Ušetříte si tak hezkou řádku horkých chvil.
Zabezpečení počítače je jednou z nejzákladnějších činností, které musíte jako
správce počítače (nebo sítě) provádět. Existuje řada postupů a zásad, které
byste měli dodržet. Mějte na paměti, že to nejcennější jsou vaše data.
Základní zabezpečení počítače provádí Windows pomocí:
přihlášení k systému: s počítačem může pracovat pouze oprávněný
uživatel, který má na počítači vytvořen uživatelský účet.
řízení přístupu k souborům a složkám: každý objekt (složka a soubor)
má určeno, kdo a co s ním může provádět
auditování systému: v případě zapnutí těchto funkcí, systém sleduje
a zaznamenává, kdo a co na počítači prováděl.
Nezapomeňte, že veškerá vaše nastavení přístupů a zabezpečení jsou na nic, pokud
necháte účet, který je členem skupiny Administrators, bez nastaveného silného hesla.
Správně by měl mít heslo každý účet.
Windows XP Profesional v zabezpečení vycházejí z Windows 2000. Jak ale
víte, tak Windows XP existují také ve verzi Home, která má řadu
bezpečnostních funkcí osekaných. Většina dále probíraných funkcí je přístupná
pouze ve Windows XP Profesional a 2000. V obou je jejich použití podobné.
Windows XP používají 2 typy zabezpečení:
Zjednodušené sdílení souborů. Je dostupné v XP Profesional i XP Home.
Řízení přístupu pomocí systému souborů NTFS (označované též jako
Rozšířené nastavení zabezpečení nebo jako Řízení oprávnění k souborům
stylu Windows 2000 apod.). Je dostupné pouze ve Windows XP
Professional.
53
Windows 2000 mají pouze Řízení přístupu pomocí systému souborů NTFS.
Šmankote, neučte se nazpaměť ty dlouhé názvy. Zapamatujte si
Zjednodušené sdílení a Rozšířené nastavení zabezpečení. Všichni budeme
vědět, o co jde.
Jak poznáte, který typ zabezpečení používáte?
•
•
podívejte se v libovolném okně do nabídky Nástroje /Možnosti složky /
k.Zobrazení/ jestli je zaškrtnuto Použít zjednodušené sdílení.
ve vlastnostech libovolné složky podle vzhledu záložky Sdílení nebo
záložky Zabezpečení (obr. 5.1 a 5.2).
U
Zjednodušeného
sdílení má záložka
Sdílení odlišný vzhled
a úplně chybí záložka
Zabezpečení
Obr. 5.1: Zjednodušené sdílení souborů
Obr. 5.2: Rozšířené nastavení zabezpečení
54
5.1 Zjednodušené sdílení souborů a složek
je zapnuto po instalaci
vše je přístupno každému uživateli, který má v počítači vytvořen učet
(s výjimkou souborů v profilech ostatních uživatelů). Vychází se
z filozofie, že jednotliví uživatelé si navzájem věří (jako v 95/98/ME).
Každý uživatel může nastavit libovolnou složku svého profilu jakou
soukromou ( bude mít do ní přístup pouze on)
Zapnutí (vypnutí) zjednodušeného sdílení : Nástroje /Možnosti složky /
k.Zobrazení/ Použít zjednodušené sdílení
K ochraně vlastního profilu před ostatními se používá nastavení
„Soukromé“. K takto označené složce nebudou mít ostatní uživatelé
přístup. Nastavení provedete ve vlastnostech složky vašeho profilu na kartě
Sdílení
Složka označená jako soukromá má tato omezení:
o je k dispozici jen v rámci vlastního profilu. Jiné umístění (např. na
C:\ nebo D:\ apod.) není součástí profilu.
o ochrana se týká všech podsložek a souborů ve složce nastavené jako
soukromá. Nelze některé z ochrany vyjmout – tj. vše nebo nic
o je-li povoleno zjednodušené sdílení a kopíruje se nebo se přesouvá
objekt mezi soukromou a sdílenou složkou, zdědí kopírované či
přesouvané objekty atributy zabezpečení cílové složky (pozor, jiným
způsobem se systém chová, pokud používáte Rozšířené nastavení
zabezpečení viz. dále)
Příklad
3 studenti (Petr, Pavel a Franta) používají na kolejích svůj společný
počítač. Pavel plní roli administratora. Operační systém Windows XP
Professional je nastaven tak, aby používal Zjednodušené sdílení souborů.
Petr má na ploše svého profilu složku Přednášky, kterou chce
zpřístupnit ostatním uživatelům
Franta má na disku C:\ složku Fotky jejíž obsah si nepřeje zveřejňovat.
Na své ploše vytvořil ještě složku Dopisy a přeje si, aby do ní neměl
přístup ani Pavel jako správce počítače.
Co by měli oba udělat?
Petr: přesunout složku Přednášky mezi sdílené složky (tj. do C:\
Documents and settings\All users\).
Franta: Přesunout složku fotky do svého profilu (tzn. např. na plochu) a
ve vlastnostech složky Dopisy na kartě Sdílení zaškrtnout políčko
Soukromé.
Tento příklad si můžete bez obav vyzkoušet. A jak uvidíte za chvíli, toto Frantovo řešení
může fungovat jen u nezkušeného správce počítače. O trochu málo zkušenějšího uživatele
s administrátorským oprávněním Frantovo opatření nezastaví.
Sdílené složky se nachází v C:\Documents and Settings \ All Users
55
o mají k nim přístup všichni uživatelé počítače
o sdílí se:
Sdílené dokumenty
Sdílené obrázky
Sdílená hudba
Plocha: všechny soubory a složky, které se zde zkopírují, se
zobrazí každému uživateli
Nabídka Start: všechny soubory a složky, které se zde
zkopírují, se zobrazí každému uživateli
Oblíbené položky: na rozdíl od Plochy a nabídky Start nedělá
vůbec nic.
Možné problémy se zjednodušeným sdílením:
? používá se NTFS? ( Soukromé u FAT32 není k dispozici !!!)
? je zapnuto zjednodušené sdílení?
? je složka součástí mého profilu?
? není již jako soukromá nastavena nadřazená složka?
Cvičení 5.1:
Rozhodněte, zda je tvrzení pravdivé.
1) Windows XP Home a Profesional mají stejné služby zabezpečení.
2) Pro využití většiny služeb zabezpečení není nutný souborový systém
NTFS.
3) Jako „soukromou“ lze nastavit libovolnou složku na disku.
4) Ochránit svá data před ostatními uživateli nastavením složky jako
„soukromé“ můžu pouze v rámci vlastního profilu.
5) Nastavení „soukromé“ je k dispozici pouze při zapnutém
zjednodušeném sdílení.
6) Uvnitř soukromé složky můžu některé soubory zveřejnit pro ostatní
uživatele.
Vyberte správnou možnost
7) Přesunuji podadresář Dopisy ze svého profilu (v C:\Documents and
Settings) do složky C:\Petr. Profil je nastaven jako soukromý. Po
přesunu bude složka Dopisy:
a. soukromá
c. veřejná, ale soubory uvnitř soukromé
d. soukromá, ale soubory uvnitř veřejné
b. veřejná
8) Pokud umístím soubor do adresáře C:\Documents and Settings\All
Users\ Desktop budou:
a. Vidět soubory na své ploše všichni uživatelé
b. Vidět soubory jen ti uživatelé, kterým to nastavím
9) Kopíruji soubory z CD na plochu. V adresáři Documents and Settings
mám nastaven profil jako soukromý. Zkopírované soubory budou:
a. soukromé
c. ostatním uživatelům nedostupné
b. veřejné
d. ostatním uživatelům přístupné
56
5.2 Řízení přístupu pomocí systému souborů NTFS
(Rozšířené nastavení zabezpečení)
Podmínkou použití přístupových oprávnění je zformátování disku
souborovým systémem NTFS a vypnutí Zjednodušeného sdílení souborů.
Při práci se zabezpečením ve Windows můžete narazit na pojem
přístupová privilegia. Přístupová privilegia jsou dvojí:
oprávnění: schopnost přistoupit k objektu (např. souboru nebo složce)
a provést s ním určitou operaci. Například oprávnění Číst a spouštět
nebo oprávnění Zobrazovat obsah složky.
práva: schopnost provádět akce týkající se celého systému. Například
právo zálohovat data na počítači.
Součástí každého objektu na počítači je tzv. ACL (Access Control List),
který obsahuje SID (jedinečné ID každého uživatele) a seznam oprávnění
(tj. co může daný uživatel s objektem provádět). Vám se naštěstí SID
neukazuje, ale zobrazí se jméno uživatele nebo skupiny.
5.2.1 Přístupová oprávnění
Abyste mohli používat řízení přístupu pomocí přístupových oprávnění, musí
být svazek (nebo oddíl) disku naformátován souborovým systémem NTFS.
V případě, že používáte XP Professional musí být vypnuto Zjednodušené
sdílení souborů a složek.
Přístupová oprávnění se ve Windows dělí na základní a rozšířená
(speciální). Rozšířená oprávnění jsou pouze upřesněním základních
oprávnění. Oprávnění se nastavují ve vlastnostech objektu na kartě
Zabezpečení (Security).
Oprávnění
zvoleného
uživatele
Rozšířená
oprávnění
Povolení dědění
oprávnění
Obr. 5.3: Základní oprávnění ve Windows 2000
57
Oprávnění povolíte zaškrtnutím Alow (povolit) a odepřete zaškrtnutím
Deny (odepřít).
Odepření (Deny):
uživateli je zakázáno používat příslušné oprávnění
má přednost před všemi dalšími nastaveními. To znamená že pokud má
uživatel odepřen ke složce přístup, tak i když je uživatel členem skupiny,
která má ke složce oprávnění Full Control, je mu přístup odepřen. Ostatní
členové skupiny, ale mají do složky přístup.
Oprávnění pro soubory je důležitější než oprávnění pro složky.
Snažte se nepoužívat volbu Deny příliš často. Vyhnete se tak problémům
s tím, že ztratíte přehled, co má kdo povoleno.
Obrázek jedné hlavy
v seznamu
znamená
jeden uživatelský účet.
Dvě hlavy symbolizují
skupinu uživatelů.
Zaškrtnutím přidělíte
označenému uživateli
nebo skupině příslušná
oprávnění.
Obr. 5.4: Základní oprávnění ve Windows XP
Základní oprávnění
Úplné řízení (Full Control):
• uživatel může s objektem nakládat jakkoli včetně změny oprávnění
a vlastnictví objektu
• zaškrtnutím úplného řízení se zaškrtnou vyberou všechna podřízená
oprávnění.
Měnit (Modify):
• umožňuje číst, měnit, vytvářet a odstraňovat soubory a složky.
• všechna nižší oprávnění, navíc možnost mazání a provedení změn ve
složkách a souborech.
• uživatel nemůže měnit oprávnění a přebírat vlastnictví
• stejného výsledku se dosáhne současným zatrhnutím Zapisovat a Číst
a spouštět
58
Číst a spouštět (Read & Execute):
• umožňuje prohlížet soubory a spouštět programy.
• volbou tohoto oprávnění se automaticky zapne oprávnění Zobrazovat
obsah složky a Číst
Zobrazovat obsah složky (List Folder Contens):
• existuje jen u složek
• totéž jako oprávnění Číst a spouštět, ale použije se jen na složku
a podložky, ale už neplatí na soubory uvnitř složky. To znamená, že
jestliže má uživatel pouze právo List Folder Content, nemůže spustit
soubory uložené uvnitř složky.
Číst (Read):
• jedná se o nejzákladnější oprávnění
• umožňuje vypisovat obsah složky, číst oprávnění a synchronizovat
soubory
Zapisovat (Write):
• umožňuje vytvářet soubory a zapisovat data
• číst atributy a oprávnění
• synchronizovat soubory
Rozšířená oprávnění
Poskytují možnost upřesňujícího nastavení. Ve většině případů je
dostačující použití základních oprávnění. Zapnete-li některé základní
oprávnění, projeví se to tak, že se automaticky zaškrtne určitá skupina
rozšířených oprávnění.
Obr. 5.5: Rozšířená oprávnění
59
Dědění oprávnění:
Soubory a složky mohou dědit oprávnění z rodičovské složky.
skupina Studenti má
oprávnění k sl1 Read.
složka sl1 je
rodičovskou složkou
pro složky sl2 a sl3.
Je-li zapnuto dědění oprávnění, pak ke složkám sl2 a sl3 získala
skupina Studenti také oprávnění Read.
zděděná oprávnění lze objektu odebrat
lze nastavit, aby nově vytvořené objekty (např. podložky)
automaticky nedědily oprávnění rodičovské složky
lze zrušit „dědickou“ vazbu mezi rodičovskou složkou a podsložkou.
Odstranění
zděděných
oprávnění
Chcete-li odstranit zděděná oprávnění, musíte nejdříve zrušit zaškrtnutí
políčka Alow inhertitable permissions from parent to propagate to this
object (v XP: Povolit šíření oprávnění z rodiče na tento objekt). Objeví se
dialogové okno, které se zeptá, jak se mají upravit stávající oprávnění ke
složce.
Obr. 5.6: Zrušení dědění oprávnění ve Windows 2000
kopírovat: zkopíruje stávající oprávnění z rodičovské složky a vazbu zruší.
Pak můžete upravit oprávnění podle svých představ.
odstranit: odstraní všechna zděděná oprávnění a zůstanou jen ta, která jsou
vytvořena přímo k dané složce.
I když se vám to možná nezdá, dědění oprávnění zjednodušuje správu
a zabezpečení. Oprávnění, která přiřadíte složce, se pak promítnou do všech
podsložek. Nemusíte tak „ručně“ nastavovat oprávnění ke každé podsložce.
Jak tedy poznáte v tom množství všech možných oprávnění, která jsou
zděděná? Ve Windows 2000 klikněte na tl. Advanced a na kartě rozšířených
oprávnění si všimněte obrázku klíčů. Oprávnění se stínovanými klíči jsou
zděděná. Ve Windows XP vám to usnadní a rovnou vám napíší, z které
složky jsou oprávnění zděděná.
60
Stínované klíče znamenají
zděděná oprávnění
Obr. 5.7: Zděděná oprávnění ve Windows 2000
Která oprávnění jsou
zděděná a odkud
Obr. 1.8: Zděděná oprávnění ve Windows XP
Příklad
Uživatel Petr má ke složkám následující oprávnění:
SL1- List Folder Content, Read, Write
SL2 – Read & Execute
Složka SL2 dědí oprávnění ze SL1. Jaká jsou Petrova oprávnění ke složce SL2 ?
skutečná oprávnění: List Folder Content, Read, Write, Read & Execute
Příklad
SL1- Modify
SL2 – odepřeno Write
Složka SL2 dědí oprávnění ze SL1. Uživatel má odepřeno oprávnění Write ke
složce SL2. Jaká jsou výsledná Petrova oprávnění ke složce SL2 ?
skutečná oprávnění: List Folder Content, Read&Execute, Read.
Odepření oprávnění Write znamená, že uživateli je vlastně znehodnoceno
zděděné oprávnění Modify (Modify se vlastně rovná Read&Execute + Write).
Důsledkem je, že uživatel si může prohlížet obsah složky i obsah souborů, ale
nemůže obsah měnit ani vytvořit nový soubor. Zato mu zůstala možnost soubory
ve složce odstranit (protože má zděděno, byť částečně znehodnocené, oprávnění
Modify).
61
Vidíte, že práce se základními oprávněními je složitá. A to jste
nezasahovali do oprávnění speciálních. Při této práci mám pro vás jedinou
radu. Vše, co nastavíte, si nejdříve odzkoušejte. Dříve než do změn
pustíte běžného uživatele!!!
Aby se to ještě více zkomplikovalo, můžete oprávnění nastavovat i na
úrovní souborů. Ale pokud jen to jde, snažte se mu vyhýbat. Následující
dva příklady vám ukážou proč.
Příklad
Uživatel Franta si má ke složce SL1, ve které jsou 2 soubory, k nimž jsou
Frantovi přidělena následující oprávnění
SL1- List Folder Content,
Dopis1.txt
Dopis2.txt – Read
Oprávnění k souboru Dopis1.txt nemá žádné. Soubor Dopis2.txt si může Franta
otevřít i a prohlédnout, protože k němu vlastní oprávnění Read. Protože Franta
nevlastní oprávnění Modify, nemůže provádět v souboru změny.
Nyní se podívejte, jak může být nastavování oprávnění složité a zrádné.
A co všechno musí správce při nastavování oprávnění vzít v úvahu. Nad
následujícím příkladem se dobře zamyslete.
Příklad
Administrátor si přeje, aby si uživatel Franta mohl prohlížet obsah složky SL1 a
mohl číst informace uložené v souborech. Jediným souborem, který by měl mít
Franta možnost měnit, je soubor Dopis2. Proto nastavil tato oprávnění:
Read
Dopis1.txt
Dopis2.txt – Modify
Administrátor uvažuje takto:
Oprávnění k souboru Dopis1.txt má Read. Soubor Dopis2.txt si může Franta
prohlédnout i měnit, protože k němu zdědil oprávnění Read a navíc má
k souboru nastaveno oprávnění Modify.
Když chce nastavení odzkoušet, zjistí, že proti všem předpokladům nefunguje.
V čem je zakopaný pes?
Chyták je v tom, jakým způsobem systém provádí změny v souborech. Chce-li
uživatel upravit soubor, tak systém:
1. vytvoří kopii původního souboru (pracovní soubor)
2. v kopii nechá uživatele provádět změny
3. chce-li uživatel změny uložit, uloží si systém kopii
4. odstraní původní soubor
5. přejmenuje kopii na název původního souboru
62
A když se podíváte na oprávnění ve složce, tak Franta nemůže do složky
zapisovat a tudíž se nemůže uložit a přejmenovat kopie, na které Franta
pracoval. Navíc systém zakřičí v okamžiku, kdy chce soubor přejmenovat a
zjistí, že uživatel nemá oprávnění k zápisu. Důsledkem je, že se mezitím
odstranil i původní soubor, takže ze složky soubor Dopis2.txt úplně zmizel.
Administrátor se zamyslel a doplnil oprávnění ke složce o právo Write:
Read, Write
Dopis1.txt
Dopis2.txt – Modify
Nyní došlo k následující situaci:
Franta otevřel Dopis2.txt, provedl v něm změny a uložil. Otevřel soubor znovu
a viděl, že změny se projevily. Pokračoval proto v úpravě souboru. Nyní došlo
k tomu, že když chtěl změny uložit, systém zahlásil chybu. Tentokrát soubor
Dopis2.txt nezmizel, ale uvnitř není nic napsáno. Proč?
Vychází to z výše popsaného. Při první změně se Frantovi podařilo změny
uložit, protože měl k souboru oprávnění Modify. Během tohoto procesu se ale
vytvořil nový soubor Dopis2.txt a zdědil nastavení složky ⇒ k novému
Dopis2.txt už Franta nemá oprávnění Modify. Protože má oprávnění Write,
dovoluje systém Frantovi vytvořit soubor Dopis2. Už mu ale nedovoluje měnit
obsah, proto je soubor Dopis2 prázdný.
Administrátor je víceméně znovu na začátku řešení problému.
Mohlo by vás napadnout řešení, nastavit oprávnění Modify na celou
složku a souborům, které uživatel nemá měnit toto oprávnění odepřít. Ale
dostanete se do stejného problému, protože nový soubor už toto odepření
nebude mít. Navíc se po chvíli ztratíte v tom, kdo co má a nemá
povoleno.
Vidíte, že začnete-li přiřazovat oprávnění na úrovní souborů docela se
v nich zamotáte. Proto pro přehlednou správu platí pravidlo - většinou
nastavovat oprávnění na úrovni složek a vyhýbat se nastavení oprávnění
na úrovni souborů a vyhýbat se odepírání oprávnění pomocí Deny.
Ušetříte si bolení hlavy. Ale někdy není zbytí … .
Výhodnějším řešením bude vytvořit vhodnou strukturu složek a nastavit
oprávnění na ně.
Myslete na to, jak se vytváří soubory a jak se provádí změny uvnitř
souborů!
63
5.2.2 Vliv kopírování a přesouvání na oprávnění
Při práci s oprávněními musíte mít stále na paměti, co se s oprávněními
stane, když soubor nebo složku zkopírujete nebo přesunete.
Pro snadnější odvození toho jaký má vliv kopírování a přesouvání složek
a souborů na nastavení oprávnění, si vždy uvědomte, jaký je rozdíl mezi
kopírováním a přesouváním.
kopírování: není rozdíl, jestli se kopíruje v rámci jednoho nebo dvou oddílu
disku. Při kopírování se vždy vytváří nový soubor!
přesouvání v rámci jednoho oddílu: Nevytváří se nový soubor, ale pouze
se přepíše informace, ke které složce soubor (podsložka) patří.
přesouvání mezi dvěma oddíly: Nejdříve se v cílovém oddílu disku vytvoří
nový soubor a poté se soubor v původním oddílu disku smaže.
Pomozte si informací, že když se vytvoří nový soubor, pak získává
oprávnění místa, kde se vytváří. Podívejte se na následující tabulku, která
zachycuje, jak se projeví kopírování nebo přesouvání na nastavení
oprávnění.
Tabulka 1: vliv přesouvání a kopírování na oprávnění
Stejný oddíl NTFS
Jiný oddíl (disk) NTFS
Jiný oddíl FAT
Kopírování
Oprávnění se dědí
z cílové složky
Oprávnění se dědí z cílové
složky
Oprávnění zaniká
Přesouvání
Oprávnění zůstává
zachováno
Oprávnění se dědí z cílové
složky
Oprávnění zaniká
Příklad
Na počítači jsou dva disky se složkami SL1, SL2 a SL3. Složky dědí oprávnění.
SL1 – Full Control
SL2 – Read, Write, List Folder Content
SL3 – List Folder Content
Disk C:\
(NTFS)
Disk D:\
(NTFS)
SL1
SL2
SL3
Dejte pozor, jaký mají
disky souborový systém
a. Jaká budou výsledná oprávnění Petra v případě, že zkopírujete SL1 do SL3 ?
b. Jaká budou výsledná oprávnění Petra v případě, že zkopírujete SL3 do SL1 ?
c. Jaká budou výsledná oprávnění Petra v případě, že přesune SL2 do SL1 ?
Řešení
Petr bude mít ke složkám tato oprávnění:
a. D:\SL3\SL1 → List Folder Content
b. C:\SL1\SL3 → Full Control
c. C:\SL1\SL2 → Red, Write, List Folder Content
64
Cvičení 5.2
Na počítači jsou dva disky se složkami SL1, SL2 a SL3. Všechny složky
dědí oprávnění. Uživatel Petr má ke složkám následující oprávnění:
SL1 – Full Control
SL2 – Read & Execute
SL3 – nemá žádné oprávnění
a.
b.
c.
d.
e.
Disk C:\
(NTFS)
Disk D:\
(NTFS)
SL1
SL2
SL3
Jaká budou výsledná oprávnění Petra v případě, že zkopírujete SL1 do SL2 ?
Jaká budou výsledná oprávnění Petra v případě, že přesunete SL1 do SL2 ?
Jaká budou výsledná oprávnění Petra v případě, že přesunete SL1 do SL3 ?
Jak se máte v té spoustě oprávnění vyznat? Ve Windows 2000 se budete
muset spolehnout na svou logiku, tužku a papír. Ve Windows XP vám už
tvůrci pomohli vytvořením karty Skutečná oprávnění. Zde se můžete
podívat, jaká oprávnění má zvolený uživatel ke složce. Zjistíte-li, že má
oprávnění, která mu nepatří, musíte pouze vypátrat, kde k nim přišel ☺.
Vyberte ze seznamu
uživatele,
jehož
oprávnění si chcete
zobrazit
Obrázek 5.9: Zobrazení skutečných oprávnění uživatele
ke složce ve Windows XP
Výsledná oprávnění uživatele ke složkám a souborům jsou tvořena nejen
těmi oprávněními, která jsou pro uživatele na objekt nastavena a zděděným
oprávněním k objektu, ale také oprávněními, které mají k objektu skupiny,
jichž je uživatel členem.
65
Příklad
Na počítači jsou vytvořeny skupiny uživatelů SK1 (členové Petr, Pavel, Karel),
SK2 (členové Petr) a SK3 (člen Pavel). Skupiny mají ke složce Dokumenty
následující oprávnění:
SK1: Read, Write, List Folder Content
SK2: Modify
SK3: Full Control
a. Jaká jsou skutečná oprávnění Petra ke složce Dokumenty?
b. Jaká jsou skutečná oprávnění Pavla ke složce Dokumenty?
c. Jaká jsou skutečná oprávnění Karla ke složce Dokumenty?
řešení:
Uživatelé budou mít ke složce dokumenty následující oprávnění:
a. Petr: Read, Write, List Folder Content + Modify ⇒ Modify
b. Pavel: Read, Write, List Folder Content + Full Control ⇒ Full Control
c. Karel: Read, Write, List Folder Content
5.2.3 Vlastnictví
Aby to vše bylo ještě trochu komplikovanější, tak každý objekt ve
Windows má svého vlastníka. Vlastník (creator owner) má k objektu
všechna oprávnění a může s objektem nakládat podle své vůle. Například
může přidělit přístupová oprávnění k objektu jiným uživatelům a skupinám.
Členové skupiny Administrators mohou přebírat vlastnictví. To znamená,
že se mohou stát vlastníky libovolného objektu. A protože vlastník může
s objektem provádět vše…
Přebírání vlastnictví může být vaší poslední záchranou. Pokud si sami
sobě chybně odstraníte práva k nějakému objekt, převezmete vlastnictví a
sami sobě pak potřebná oprávnění nastavíte zpět. Že se vám to nemůže
stát?! Vsaďte se ☺.
Příklad – vlastnictví
Omylem jste si odstranili svůj účet ze seznamu ACL složky se svými dokumenty
⇒ ztratili jste přístup ke složce. Přístup v tomto případě nemá žádný uživatel.
Takto může vypadat výsledek vašeho omylu:
Všimněte si, že máte dostupné tlačítko
Přidat. To protože jste vlastníky složky
(ač jste si smazali oprávnění, jste stále
vlastníky). Stačí pouze kliknout na
tlačítko Přidat a vrátit sami sebe do
seznamu ACL a nastavit si potřebná
oprávnění
66
Podobný omyl jako v předchozím příkladě se vám může podařit provést
na složce jiného uživatele. Asi by nebylo to pravé ořechové zajít za
dotyčným uživatelem, který je stále vlastníkem složky, a požádat ho, aby
vám, administrátorovi sítě, přidělil potřebná oprávnění ke složce… ☺.
Řešením bude si to vlastnictví převzít.
Převzetí vlastnictví cizí složky
Potřebujete-li převzít vlastnictví některého objektu, postupujte následovně:
1. ve vlastnostech objektu klikněte na kartu Zabezpečení
2. dole klikněte na tlačítko Upřesnit
3. v novém okně se přepněte na kartu Vlastník
4. ve spodním okně vidíte seznam uživatelů, kteří mohou převzít
vlastnictví. Vyberte svůj účet a potvrďte OK.
Obr. 5.10: Přebírání vlastnictví v XP
Nyní jste vlastníkem složky a jako vlastník s ní můžete provádět libovolné
operace.
Příklad
A nyní se prosím vraťte k příkladu v kapitole 5.1 (Zjednodušení sdílení)
Na počítači máte zapnuté Zjednodušené sdílení souborů a Franta si nastavil na
složku Dopisy, že je soukromá. Franta se odstěhoval a Pavel, který plní roli
správce počítače chce složku Dopisy smazat. Systém to Pavlovi ovšem nedovolí
s odůvodněním, že nemá potřebná oprávnění.
Pavel trochu znervózní, přece je administrátor, tak jaképak odmítání přístupu. Po
chvíli si vzpomene, jak problém vyřešit:
1. vypne Zjednodušené sdílení souborů
2. přebere vlastnictví složky Dopisy
3. složku odstraní
67
Co z předchozího příkladu plyne?
Řiďte se zásadou, že každá bezpečnostní opatření se dají obejít – je to jen otázkou času.
A získá-li někdo neomezený fyzický přístup k vašemu počítači (necháte jej dlouho bez
dozoru, nebo vám počítač někdo ukradne) a dá si tu práci, do počítače a k vaším datům se
dostane. Jde jen o to, zda mu to za tu námahu stojí.
• každý soubor nebo složka má svého vlastníka
• vlastníkem je obvykle ten, kdo soubor nebo složku vytvořil.
• vlastník má právo přidělovat a odebírat přístupová oprávnění a může tak
zabránit v přístupu ostatním uživatelům.
• členové skupiny Administrators mohou násilně převzít vlastnictví
a měnit oprávnění , i když nemají oprávnění Full Control.
Pracovat s oprávněními se nenaučíte čtením. Musíte zkoušet a zase
zkoušet. Vytvořte si pokusného uživatele a zkušební složky, na kterých
budete experimentovat. Říkám zkušební! Nezkoušejte to na složkách, ve
kterých máte důležitá data! A abych nezapomněl, vždy si nechte zadní
vrátka pro administrátora (nebo si alespoň vzpomeňte na to, co víte o
přebírání vlastnictví).
5.3 Sdílení souborů a složek
Sdílení je jedna z příčin existence sítě. Sdílet lze soubory, složky,
tiskárny, připojení k Internetu apod. V této části se naučíte, jak sdílení
zapnout, řídit přístup ke sdíleným složkám a jak odzkoušet, zda sdílení
funguje správně.
Sdílení umožňuje poskytnout soubor nebo složku dalším uživatelům, kteří
pracují na jiném počítači a přes síť přistoupí ke složkám a souborům ve
vašem počítači.
Podmínky fungování sdílení:
• funkční připojení k síti
• nainstalovaná služba Sdílení souborů a tiskáren v sítích Microsoft
Podle různých verzí Windows existuje více typů sdílení:
zjednodušené: výchozí pro XP. Sdílení je dostupné všem uživatelům,
kteří mají na počítači účet. Sdílení nelze nastavit samostatně pro
jednotlivé uživatele a skupiny.
klasické: sdílený přístup ke složce lze nastavit uživatelům a skupinám
rozdílně. Dostupný v Windows 2000 a XP Professional.
na základě sdílené složky: ve Windows 95, 98, Me. Přístup ke sdílené
složce je omezen heslem. Každý, kdo zná heslo, získá přístup.
Se zjednodušeným sdílením jste se seznámili hned na začátku této
kapitoly. Dále se naučíte používat klasické sdílení. Neučte se zpaměti toto
dělení, je pouze orientační. Důležité je, abyste poznali zjednodušené
sdílení a uměli ho vypnout, nebo naopak zapnout.
Na každou složku, kterou chcete sdílet, musíte sdílení zapnout. Klikněte na
složku a z k.m. vyberte Vlastnosti. Měli byste vidět kartu s názvem Sdílení
(Sharing). Nastavení sdílení pro Windows XP a Windows 2000 se od sebe
neliší.
68
Jestli kartu Sdílení (Sharing) nevidíte, pak patrně nemáte nainstalovanou službu Sdílení
souborů a tiskáren v sítích Microsoft. Pokud ji vidíte odlišnou (nikoli jazykově) od obrázku
č. 5.11, pak patrně máte zapnuto Zjednodušené sdílení.
Přístup ke sdílenému zdroji řídí ten počítač, který sdílený zdroj
poskytuje (ten počítač na němž je složka nebo soubor uložena) !!!
Zde zapnete sdílení
Pod jakým názvem uvidí ostatní
tuto
složku
v seznamu
sdílených objektů. Zobrazovaný
název může být rozdílný od
skutečného názvu složky.
Nastavení oprávnění
pro přístup ke
sdílené složce
Obr. 5.11: karta Sdílení
Oprávnění ke sdíleným zdrojům
Zde nastavujete, kteří uživatelé a skupiny mohu vzdáleně přistupovat ke
zdrojům umístěným na vašem počítači. Každému uživateli a skupině můžete
přiřadit odlišná přístupová oprávnění. Můžete nastavit tato oprávnění:
Úplné řízení (Full control): umožňuje provádět se složkou nebo souborem
všechny operace včetně toho, že umožňuje „na dálku“ změnit oprávnění ke
sdílení a také oprávnění systému NTFS.
Měnit (Modify, Change): umožňuje čtení, zápis, přejmenování
a odstraňování souborů ve sdílené složce a podsložkách, ale nelze vytvářet
nové soubory.
Číst (Read): umožňuje si soubory prohlížet, ale nelze je jakkoli měnit,
přejmenovat nebo odstraňovat.
Zde přidáte uživatele
a skupiny, kterým chcete
umožnit přístup z jiného
počítače.
Obr. 5.12: Nastavení oprávnění ke vzdálenému
přístupu ke sdílené složce
69
V případě sdílení vstupují do hry také oprávnění NTFS. Jak je to tedy
s přístupovými oprávněními ke sdílené složce a s oprávněními NTFS ?!
Která mají přednost?! Záleží na situaci.
Sedíte u počítače, na kterém je složka uložena
K počítači, na kterém je složka uložena, přistupujete vzdáleně
přes síť
Sedím u klávesnice počítače
Přistupuji přes síť
• Použijí se pouze oprávnění • Použijí se oprávnění ke sdílení .
souborového
systému
NTFS.
• Navíc
se
použijí
oprávnění
Oprávnění ke sdílení na mě nemají
souborového systému NTFS.
vliv.
Obojí platí současně!
Přistupujete-li ke vzdálené sdílené složce, musíte mít nastavena potřebná
oprávnění jak ke vzdálenému přístupu (sdílení), tak oprávnění v NTFS.
Podívejte se na příklady.
Oprávnění uživatele ke
sdílení
Oprávnění uživatele
nastavená v NTFS
Výsledná oprávnění
Read
Full control
Read
Read, Modify
Read
Read
Read
Žádná oprávnění
Nezapomeňte, že skutečná uživatelova práva jsou dána nejen jeho
oprávněními k objektu ale také oprávněními, která mají skupiny
jichž je členem.
Plete se to? Tak si holt musíte zapamatovat, že když
•
sedím u počítače řídím se pouze oprávněními NTFS
•
přistupuji k vzdálenému počítači přes síť, řídím se oprávněními ke
sdílení a zároveň oprávněními k NTFS (obojí musí platit současně)
Pokud byste chtěli umožnit přístup k soboru nebo složce pouze místním
uživatelům, můžete to dostatečně vyřešit nastavením oprávnění NTFS
k objektu. Pokud ale potřebujete přistupovat k objektu ze sítě, musíte ještě
navíc nastavit oprávnění ke sdílení.
Každý účet, kterým chcete vzdáleně přistupovat ke sdíleným složkám
a souborům, musí být opatřen heslem jinak mu systém odmítne přístup.
Při nastavování oprávnění (NTFS i ke sdílení) si dejte pozor na
oprávnění, která systém automaticky přiřazuje skupině Everyone. Jde
o speciální skupinu, jejíž členem je každý uživatel počítače. Například
se rozhodnete, že členové určité skupiny nemají mít ke složce přístup
a na složku jim nepřidělíte žádná oprávnění. Ponecháte-li v seznamu
skupinu Everyone s přiděleným oprávněním, pak členové dané skupiny
ke složce přístup získají.
70
Skryté sdílení
Zvláštním druhem sdílení je tzv. skryté sdílení. Složky, přestože jsou
sdílené, se uživateli, který se pokouší o vzdálený přístup, nezobrazují.
Pokud se k nim chce dostat, musí o jejich existenci vědět a znát jejich
přesný název. Chcete-li složku nastavit jako skrytou, tak za jejich název
přidáte speciální znak $.
Všimněte si, že název, přes který se
bude ke složce přistupovat (který se
v případě neskryté složky bude
zobrazovat) může být odlišný od
názvu, pod kterým je složka uložena
na disku.
Že složka bude skrytá,
zajistíte znakem $ na konci
názvu pro sdílení.
Obr. 5.13: Zapnutí skrytého sdílení
Pro přístup pak musíte znát přesný název skryté složky a můžete jej zadat
například ve tvaru \\název počítače nebo IP adresa\SkrytaSlozka$.
Cvičení 5.3
Na počítači zpracovávají data uložená ve složce Výkazy uživatelé skupiny
Účetní (Pavel, Eržika) a skupiny Prodej (Karel, Brunhilda).
•
•
•
Členové skupiny Účetní mají mít možnost opravit data ve složce Výkazy jak
lokálně, tak z jiného počítače.
Členové skupiny Prodej mohou data zpracovávat lokálně, ale vzdáleně si je
mohou pouze prohlížet.
Výkazy si mohou na dálku prohlednout členové skupiny Vedení. Členové této
skupiny si mohou data pouze prohlížet - a to jak lokálně, tak vzdáleně.
Důležité je umět najít všechny sdílené složky, které mohou být rozmístěny
kdekoli na disku. K tomu slouží nástroj Computer Management (Správa
počítače), který naleznete v Administrative Tools (Nástroje pro správu)
v Ovládacích panelech.
Obr. 5.14: Sdílené složky v nástroji Computer Management
71
Jako skryté jsou automaticky nasdíleny také disky počítače. Ale k tomuto sdílení má přístup
pouze administrátor. Jako bezpečnostní opatření funguje také to, že účet pro vzdálený
přístup musí mít nastavené heslo. Jinač systém nedovolí vzdáleně se přihlásit ani
administrátorovi.
Pomocí tohoto nástroje můžete pohodlně spravovat všechny sdílené složky.
Máte přehled o tom, které složky jsou veřejné a které skryté. Rovněž zde
získáte přehled, kolik uživatelů právě se složkami pracuje, a které mají
otevřené soubory.
V této kapitole jste se seznámili pouze s úplnými základy řízení přístupu
uživatelů ke zdrojům, které jsou na počítači uloženy. Zájemci mohou trochu
pohledat na Internetu nebo si v knihovně půjčit knihu Mistrovství
v zabezpečení Microsoft Windows 2000 a XP autorů Ed Bott, a Carl Siechert,
případně jinou vhodnou knihu.
Přístupová oprávnění jsou silnou ochranou vašich dat, nicméně nikoli zcela
úplnou a dokonalou. Existují totiž programy, které umožní obejít
zabezpečení NTFS. Proto, pokud chcete mít ještě větší jistotu, používejte
šifrování. Pokud se pro šifrování rozhodnete, vždy si rozmyslete, co má a co
nemá cenu šifrovat. Dopředu si nastudujte, jak šifrování funguje a jaké jsou
výhody a nevýhody šifrování dat!!!
Shrnutí
Řízení přístupu k zdrojům umístěným na počítači patří k základním
a nejdůležitějším činnostem každého administrátora počítače a sítě.
Jedním ze způsobů jak zabezpečit data je určit, kdo s nimi může pracovat a kdo
nikoli. Toto se realizuje pomocí přihlášením uživatele, ověřením uživatelským
heslem a přidělením přístupových oprávnění k jednotlivým objektům.
Pro běžné uživatele nabízí Windows XP Zjednodušení sdílení, ale pro
bezpečnější nastavení je vhodné použít Rozšířené nastavení zabezpečení, které
vychází ze souborového systému NTFS
Ve Windows lze rozdělit oprávnění na základní a rozšířená. Rozšířená jsou
upřesněním základních oprávnění. Oprávnění lze přiřazovat buď přímo na
soubory nebo složky. Pro zjednodušení správy se doporučuje nastavovat
oprávnění především na složky a výjimečně na soubory.
Skutečná oprávnění, která má uživatel k objektu přidělena, jsou výsledkem
oprávnění nastavených k objektu, která objekt zdědil z nadřazených objektů, a
členstvím uživatele v uživatelských skupinách.
Činnost uživatele rovněž ovlivňuje vlastnictví, protože vlastník může
s objektem provádět vše, ať už mu nastavíte jakákoli oprávnění. Členové
skupiny administrators mohou přebírat vlastnictví. Na oprávnění působí také
kopírování a přesouvání objektů mezi disky (oddíly disků) a souborový systém
cílového umístění.
72
V případě, že ostatní uživatelé chtějí pracovat se složkami a soubory vzdáleně,
musíte zapnout sdílení. Aby mohli s objekty pracovat, musí mít uživatelé na
počítači účet zabezpečený heslem a k objektu potřebná oprávnění. Při
vzdáleném přístupu se požaduje, aby měl uživatel přidělená oprávnění NTFS
a zároveň oprávnění ke sdílení.
Požaduje-li se ovšem vysoký stupeň zabezpečení dat, pak je nutné přístupová
oprávnění podpořit dalšími metodami jako například omezením fyzického
přístupu k počítači nebo šifrováním.
Kontrolní otázky
1)
2)
3)
4)
5)
6)
7)
8)
9)
10)
11)
12)
13)
14)
15)
16)
17)
Jakými způsoby lze chránit data v počítači před neoprávněnými osobami?
Jaký je rozdíl mezi oprávněními a právy?
V čem vidíte rozdíl mezi použitím Zjednodušeného sdílení a Rozšířeného
nastavení zabezpečení ?
Vyjmenujte základní oprávnění souborového systému NTFS.
Vysvětlete funkci jednotlivých základních oprávnění.
Kde zapnete/vypnete Zjednodušené sdílení souborů ?
Popište princip dědění oprávnění
Popište, jak systém provádí změnu uvnitř souboru (jeho editaci).
Jak se „chová“ oprávnění v případě kopírování (přesouvání) objektu
v rámci jednoho diskového oddílu a mezi oddíly ?
Které faktory ovlivňují skutečná oprávnění uživatele k objektu ?
V jakých případech můžete použít přebírání vlastnictví administrátorem ?
Co může s objektem provádět jeho vlastník ?
K jakému účelu slouží sdílení souborů a složek ?
Jak nastavíte skryté sdílení a jaký je jeho účel ?
Objasněte, která oprávnění jsou platná v případě, že uživatel pracuje
lokálně.
Která oprávnění se použijí v případě, že uživatel přistupuje ke zdrojům
PC přes počítačovou síť (tj. vzdáleně) ?
Je zabezpečení dat pomocí hesel a oprávnění dokonalé ? Jak byste měli
postupovat v případě obzvláště citlivých dat ?
SID (security ID uživatele)
Zjednodušené sdílení
Rozšířené
zabezpečení
dědění oprávnění
nastavení
vlastnictví
Oprávnění (Read, Write, List
Folder Content, Read &
Execute, Modify, Full Control)
sdílení souborů a složek
oprávnění ke sdílení
Odepření oprávnění (Deny)
skryté sdílení
ACL
73
Korespondenční úkol
Vytvořte složky S1 až S10. V každé složce bude vytvořen jeden soubor. (Práci si usnadněte
tak, že vytvoříte jednu složku s jedním souborem, tu pak zkopírujete a přejmenujete).
Vytvořte uživatele Karel, který je členem pouze skupiny Users.
Jednotlivým složkám přiřaďte pro skupinu Users oprávnění podle následující tabulky.
Poté se přihlaste jako Karel a zkoumejte, co systém tomuto uživateli dovolí. Svá zjištění
zaznamenejte do tabulky (křížkem v případě úspěšného provedení operace).
S1
S2
S3
S4
Read &
Execute
List
Folder
Content
Read
Write
List
Folder
Content
Složky
S5
S6
List
Folder
Content
List
Folder
Content
Read
Write
S7
S8
List
Folder
Content
Read
Write
S9
S10
Modify
Full
Control
Read
Write
Read
Prohlížet složku
Činnost uživatele
Prohlížet atributy
Prohlížet oprávnění
Spuštění souboru
Provedení změny v souboru
a uložení změny
Přejmenování souboru
Vytvoření nového souboru
Smazání souboru
Vytvoření podsložky
Přidělení přístupových
oprávnění jinému uživateli
Řešení
Cvičení 5.1
1. Ne
2. Ne
3. Ne
4. Ne
5. Ano
Cvičení 5.2
a. Read & Execute
b. žádné
c. Read & Execute
6. Ne 7. b
8. a 9. a, c
d. Full Control
e. žádné
Cvičení 5.3
Uživatel (skupina)
Oprávnění uživatele
nastavená v NTFS
Oprávnění ke sdílení
Účetní
Modify
Read, Write
Prodej
Modify
Read
Vedení
Read, List Folder
Content, Read & Execute
74
6. Zálohování dat
Cíl: Po přečtení této kapitoly byste měli být schopni:
určit data, která je vhodné především zálohovat
stanovit, které události mohou ohrozit vaše data
vysvětlit rozdíl mezi základními zálohovacími strategiemi
navrhnout postup zálohování pro svůj počítač
Čas potřebný k prostudování této kapitoly: 3 hodiny
Zálohování dat patří k činnostem, které mnozí z nás opomíjejí a vzpomenou si
na ně až v okamžiku, kdy už je pozdě. To nejcennější na vašem počítači není
hardware nebo nainstalovaný software, ale vaše data. Přitom na ně číhá řada
různých nebezpečí:
Možné příčiny
ztráty dat
selhání pevného disku
elektrické přepětí a problémy s napájením
živelné pohromy (oheň, voda…)
krádež
omyly a chyby uživatelů
chyby v programech a ovladačích
Sáhněte si do svědomí, jak často zálohujete svá data?! I v naší branži platí,
pořekadlo, že kovářova kobyla chodí bosa. A pokud zálohujete, jak stará je
vaše záloha ?!
Vždy byste si měli uvědomit, jaká data je nutné zálohovat. Ta která jsou pro
vás nejdůležitější. Zkuste se zamyslet, která data to jsou.
Jsou to vaše osobní výtvory (dokumenty, tabulky, databáze naplněné údaji,
kontakty v adresářích apod.). Proč? Uvědomte si, kolik času vás stálo
vytvořit dopis, který jste si založili. Pokud o tyto své dokumenty přijdete
a nemáte je zálohovány, máte smůlu. Nenajdete je na Internetu a nekoupíte
v obchodech.
Například „obyčejné“ fotky z dovolené. S přítelkyní/přítelem, s kterou jste na
dovolené byli, jste se už rozešli. Sotva ji přemluvíte, aby s vámi jela na
dovolenou ještě jednou pro nafocení nové fotky. A ani toho psa, co kolem
náhodou proběhl, a vy jste ho měli na fotce, už asi neseženete, aby vám znova
„zapózoval“ ⇒ fotky z jedinečné dovolené jsou navždy ztraceny.
6.1 Zálohování souborů, složek a diskových
oddílů
Existuje řada zálohovacích strategií a doporučení jak postupovat. Tradiční
metodou pro zálohování je určit, které složky a soubory se budou zálohovat,
a ty se pak zkopírují do záložního umístění. Soubory a složky pro
zálohování můžete vybírat podle různých kritérií např. jména souborů, typu
souborů, data vytvoření atributů apod.
Rozhodnete-li se provádět zálohování, musíte být členem supiny
Administrators nebo Backup operators!
75
Nejdůležitější
data
Pro zálohování můžete použít řadu komerčních programů s množstvím
funkcí. Nebo můžete využít možnosti, které nabízí samotný operační systém
Windows.
Například v příkazové řádce můžete pro zálohování vybraných souborů
použít příkaz XCOPY (kopíruje celý adresář včetně podadresářů a souborů).
Ve Windows je zabudován program Backup, který spustíte příkazem
ntbackup nebo z nabídky Start/Příslušenství/Systémové nástroje.
Na programu Backup se naučíte základní pojmy zálohování. Zde uvedené
zálohovací strategie jsou obecné a používá je řada jiných programů.
Program
Backup
Obr. 6.1: Zálohovací program ve Windows
Zálohování můžete nastavit ručně nebo použít průvodce. Ať vyberete
kterýkoli způsob, měli byste zvolit, které adresáře nebo soubory si přejete
zálohovat. Dále si vyberete strategii zálohování
Obr. 6.2: Průvodce a strategie zálohování
76
Strategie zálohování
o Úplné (normální, obecné) zálohování: pravidelně se zálohují všechny
vybrané soubory. Program Backup u takto zvolených souborů využívá
atributu a – Archivovat. V okamžiku, kdy je soubor zálohován se atribut
nastaví na hodnotu 0. Dojde-li ke změně souboru (nebo vytvoření
souboru), je atribut nastaven na 1. Úplnou zálohu budete obvykle
provádět pokud pracujete s počítačem občas.
To jaký má soubor aktuálně nastaven atribut Archivovat, zjistíte ve
vlastnostech souboru klepnutím na tlačítko Advanced.
Úplné
zálohování
Atribut
Archivovat
Obr. 6.3: Atributy souboru
o Přírůstkové (Incremental): kopíruje soubory, které se od posledního
zálohování (normálního nebo přírůstkového) změnily případně byly
vytvořeny. U zálohovaných souborů pak nastaví atribut Archivovat na
nulu.
Přírůstkové a
rozdílové
zálohování
o Rozdílové (Different): kopíruje soubory, které se od posledního
normálního nebo přírustkového zálohování změnily, ale atribut
Archivovat ponechá na hodnotě 1.
V obou případech se nezálohují soubory, které se od posledního
zálohování nezměnily. Jaký je tedy rozdíl mezi přírůstkovým
a rozdílovým zálohováním ?
Další přírůstkové zálohování zálohovaný soubor již nezálohuje
(protože soubor má atribut Archivovat 0). Kdežto rozdílové zálohování
znova zálohuje všechny soubory, které mají atribut Archivovat na
hodnotě 1 (a dále ponechá hodnotu atributu na 1).
o Kopírovací (Copy): zkopíruje všechny vybrané soubory a nemění jejich
atribut Archivovat. Nenaruší se tak již nastavený systém zálohování.
o Denní (Daily): kopíruje všechny vybrané soubory, které se ten den
změnily, aniž se změní nastavení atributu Archivovat. Nenaruší se tak již
nastavený systém zálohování.
77
Kopie a denní
zálohování
Mohlo by se vám zdát, že denní zálohování je nejvhodnější, ale není. Má
dvě nevýhody:
- zálohují se jen ty soubory, které se změnily ten den do okamžiku
zálohování tj. např. do 18.00. Soubory změněné v 18.20 už
zálohovány nebudou a to ani následující den !!!
- pokud budete používat denní zálohování a některý den zálohování
vynecháte (úloha se nespustí, není vloženo médium aj.), pak soubory
změněné daný den již zálohovány nebudou.
Nejdříve proto vytvořte úplnou zálohu souborů a složek. Pak se
rozhodněte, která z doplňkových strategií je pro vás výhodnější.
V případě, že se k zálohování rozhodnete nepoužít průvodce, objeví se vám
následující okno
Označte složky a soubory, které si
přejete zálohovat
Výběr strategie zálohován í (pomocí
tlačítka Advanced) a vytvoření zálohy
Kde se vytvoří soubor se zálohou
Obr. 6.4: Nastavení zálohování bez použití průvodce
Vyhledání
zálohovaných
souborů
Při vyhledávání nejnovějších zálohovaných souborů pak postupujte takto:
přírůstkové: nejdříve projděte úplnou zálohu a potom všechny přírůstkové
záložní soubory.
rozdílové: pro vyhledání nejnovější verze souboru vám stačí prohledat
maximálně 2 záložní média – poslední úplnou zálohu a poslední rozdílovou
zálohu.
Cvičení 6.1
1. Který způsob zálohování zálohuje více souborů ?
a) rozdílové
b) přírůstkové
2. Která zálohovací strategie je méně náročná na místo na záložním
médiu?
a) rozdílová
b) přírůstková
3. Použití které zálohovací strategie je méně náročné na čas zálohování
a) rozdílová
b) přírůstková
4. Která ze zálohovacích strategií je jednodušší na obnovu zálohovaných
dat (nalezení, kde se zálohovaný soubor nachází) ?
a) rozdílová
b) přírůstková
c)
denní
78
Zálohování celých diskových oddílů
Při tomto způsobu se zkopíruje celá oblast disku (např. disk C:) a vytvoří se
tak obraz (tzv. image) oblasti disku. Pro takovéto zálohování lze použít
programy Drive Image (firmy PowerQuest), Northon Ghost (Symantec
Corporation).
Abyste mohli provést takovouto zálohu musíte nejdříve mít volnou partition
(oblast disku), na kterou se bude zapisovat obraz zálohovaného disku.
Výsledný obraz je samozřejmě uložený v souboru a můžete jej rozdělit na
několik části a uložit tak na různá zálohovací média.
Prostě se vezme vše, co je na disku a „strčí“ se to do souboru. Předtím než
vytvoříte image, disk pročistěte, ať nezálohujete zbytečná data.
6.2 Zálohování ostatních důležitých dat
Dokumenty, fotky, mp3 a další vaše osobní data nejsou jedinými soubory,
které je vhodné zálohovat. Když se nad tím zamyslíte, existuje ještě další
skupina „dat“, jejichž nastavení vám dalo spoustu práce.
Mezi takovouto zvláštní skupinu patří nastavení operačního systému,
programů a vůbec celého počítače. Nastavení počítače, operačního systému
a programů do podoby, která vám vyhovuje a usnadňuje práci, vám zabralo
nemalý čas. A pokud budete muset znovu nainstalovat systém a programy,
tak vás jejich konfigurace bude opět stát spoustu času a energie.
Postup zálohování těchto dat by vydal na další učební materiál, proto vás
jen upozorním na nástroje obsažené v OS. Nechám na vás, zda se budete
tímto tématem blíže zabývat, nebo se spokojíte s únavnou opětovnou
konfigurací.
Kontrola chyb pevného disku – provádí kontrolu jak souborového systému
tak fyzické chyby média (k.m. disku/ Nástroje/tl.Zkontrolovat)
Záchranná disketa – slouží k obnovení systému v případě jeho
nefunkčnosti
Obnovení systému – služba ve Windows XP, která běží v pozadí a sleduje
informace o změnách v systému. OS tak lze vrátit do stavu před změnami.
Bod obnovení: bod do kterého lze vrátit systém. Windows vytváří body
obnovení samy, ale můžete si vytvořit také svůj bod obnovení. Obnovení
systému nezálohuje žádné soubory (tj. ani soubory ve složce Dokumenty,
Oblíbené, Cookies, ..) ⇒ ale ani je nepoškodí ⇒ je nepoužitelná jako
zálohovací systém pro vaše uživatelské soubory.
Obnovení systému spustíte v Nabídka Start / Programy / Příslušenství /
Systémové nástroje / Obnovení systému
Body obnovení vznikají pokud:
je nainstalován nepodepsaný ovládač zařízení
je nainstalována aplikace, která je se službou Obnovení systému kompatibilní
je nainstalována aktualizace nebo opravný balíček pro Windows
je obnoven systém do dřívějšího stavu pomocí služby Obnovení systému.
jsou obnovena data pomocí programu Backup
79
Pokud se vám nechce hledat chyby (nebo je nemůžete najít), které
způsobují problémy ve Windows je Obnovení systému dobrou pomůckou,
jak dostat OS do doby, kdy fungoval. Samozřejmě vše za nějakou cenu –
body obnovy zabírají místo na HDD a sledování změn klade další nároky
na hardware. Ale pomocí Obnovení systému vyřešíte spoustu problémů.
A vyřešíte je rychle. ☺
Abyste mohli nástroj používat, musí být zapnut. Zapnutí nebo vypnutí se
provádí ve vlastnostech systému: Ovládací panely / Systém nebo stačí
kliknout na ploše na ikonu Tento počítač a z k.m vybrat Vlastnosti.
Zapnutí/vypnutí Obnovení systému
Sledování je dobré pouze pro disk, na
kterém se nachází operační systém.
Protože Obnovení systému nezálohuje
žádné uživatelské soubory, je zapnuté
sledování pro disk s daty zbytečným
plýtváním.
Obr. 6.5: Zapnutí/vypnutí nástroje pro obnovu systému
V případě, že potřebujete vrátit systém do původního stavu spusťte Nabídka
Start / Programy / Příslušenství / Systémové nástroje / Obnovení systému
Můžete si také říct, že
teď
máte
počítač
nastavený
v dobrém
stavu, tak nařídíte
vytvořit bod obnovení.
Obr. 6.6: Průvodce obnovením systému
Klikněte na tlačítko další a v dalším okně vidíte body obnovení. V kalendáři
jsou dny, ve kterých byly vytvořeny body obnovení zachyceny tučně.
Vyberte si kontrolní bod,o kterém si myslíte, že v té době systém fungoval
správně a klikněte na další. Nyní se systém po pár upozorněních vrátí do
80
stavu, kdy byl bod obnovení vytvořen. Má-li systém stále problémy, můžete
zkusit vrátit jej ještě více do minulosti.
Body obnovení mají tendenci bobtnat a proto ve vlastnostech systému (k.m
Tento počítač) omezte velikost, kterou mohou na disku zabírat. Občas je
dobré body obnovení promazat. K tomu použijte nástroj Vyčištění disku,
který najdete v Nabídka Start / Programy / Příslušenství / Systémové
nástroje nebo spustíte příkazem cleanmgr.
Systémový registr – obsahuje nastavení systému Windows. Zálohu
systémového registrů můžete provést dvěma způsoby:
1) pomocí programu Backup → Zálohovat pouze stav systému. Tuto
zálohu využijete k opětovnému nastavení v případě, že budete muset
celý systém přeinstalovat. Zálohuje se celý registr nebo nic.
2) pomocí Editoru registru – spuštění se provádí v příkazové řádce
příkazem regedit a pak v nabídce Export. Na rozdíl od předchozího
způsobu můžete zálohovat vybrané položky registru.
Další data vhodná pro zálohování:
nastavení elektronické pošty
nastavení parametrů kancelářského balíku (např. MS Office –
slovínky, šablony, seznamy…)
6.3 Umístění záloh
Neméně důležitou součásti ochrany vašich dat je určení média, na které se
bude zálohování provádět. Pokud se rozhodnete k nákupu některého
komerčního programu sledujte, která zálohovací média podporuje.
Nezapomeňte, že vaším zálohám hrozí stejná nebezpečí jako vaším
primárním datům. Navíc je nutné respektovat doporučení výrobce pro
skladování daného zálohovacího média.
Základní pravidlo zálohování: Zálohy umístit dostatečně daleko
a zabezpečeně od původních dat (živelní pohroma, krádež…).
médium
kapacita
výhody
disketa
1.44 MB
Standardní vybavení
Diskety s vysokou
kapacitou
Magnetooptické
disky
1 GB – 2 GB
128MB –
5GB
(interní i externí)
Malá kapacita
Malá rozšířenost
100-250 MB
Podle
potřeby
Pevné disky
nevýhody
Nelze
použít
na
počítačích bez speciální
mechaniky
vyšší kapacita
Malá rozšířenost
Nelze použít na počítačích bez speciální
mechaniky
vyšší kapacita
Nemusí se
ňovat média
vymě-
Určitá ochrana před
poruchou disku, viry,
nechtěným smazáním
souborů
Nevýhody interních
pevných disků od-
81
V zálohování na interní
pevné disky je neúčinné
v případě
živelní
pohromy, poškozením
v důsledku
přepětí
a selhání napájení nebo
krádeží.
straňují pevné disky
externí
Disky CD-R
CD-RW
Disky DVD-R
DVD-RW
Disky Blu-Ray
cca 700 MB
Lze použít k dlouhodobému zálohování
Nutné vyměňovat
Nelze najednou zálohovat celý disk
4.7 – 17 GB
vyšší kapacita
Lze použít k dlouhodobému zálohování
Nutné vyměňovat
Nelze najednou zálohovat celý disk
25 – 100 GB
Vysoká kapacita
Zatím méně rozšířené
Dostupnost
Záloha fyzicky umístěna jinde
Pomalé připojení
Nelze obnovit hned
celé, nejdříve systém
a pak data
Webová uložiště
K zamyšlení:
Budete zálohovat na DVD - RW. Máte již vytvořenu 14 dní starou zálohu na DVD.
Rozhodnete se provést nové zálohování na stejné médium. Je vhodný následující postup ?
1) Připravím soubory k zálohování
2) Smažu DVD
3) Provedu novou zálohu
Co se stane, když mezi krokem 2 a 3 (nebo v průběhu zálohování) zkolabuje váš počítač ?
…
Rotace médií
Pokud zálohujete na přepisovatelná média (CD-RW, DVD-RW, flash
paměti apod.), která mezi sebou rotujete (střídáte), musíte si stanovit plán
rotace. Budete tak mít stále aktuální zálohu. Cílem je stanovit minimální
počet médií a uspořádání dat na nich tak, aby obnova byla rychlá
a efektivní.
Příklad rotace médií
Pro rozvržení rotace médií můžete použít rozvržení, které si označíte
zkratkou DTM (Den, Týden, Měsíc). Pro zálohování budete potřebovat
10 přepisovatelných CD (nebo jiných přepisovatelných médií).
- 4 CD pro denní rozdílové zálohy
- 3 CD pro týdenní úplné zálohy
- 3 CD pro měsíční úplné zálohy
CD vyhrazená pro denní rozdílové zálohování si označte jako Pondělí,
Úterý, Středa, Čtvrtek ⇒ v těchto dnech pořídíte rozdílové zálohy
První 3 pátky v měsíci použijete CD, která si označíte jako Týden1,
Týden2, Týden3. Na ně provedete každý pátek úplnou zálohu.
Poslední pátek v měsíci (neboli jinak čtvrtý pátek v měsíci) použijete CD
označené jako Měsíc1, o 4 týdny později Měsíc2, a o další 4 týdny
později Měsíc3.
Tím je cyklus rotace dokončen a můžete jej opakovat. V případě výpadku
by vám nemělo nic zabránit obnovit aktuální data.
82
Ehm, to jsem trošku přehnal, když jsem napsal – že nic. Třeba takové
poškození záložního média . Ale to není až takový problém, budete mít
o malilinko méně aktuální obnovu (prostě použijete o něco starší zálohu).
Všímavější z vás asi napadla otázka – „A co sobota a neděle?!“. Celý
příklad vychází z toho, že zálohujete data v práci a to v rámci běžného
pracovního týdne. Pokud byste chtěli zálohovat každý den v týdnu včetně
soboty a neděle, pak počet CD vyhrazených pro rozdílové zálohování zvyšte
na 6. Úplné zálohy pak provádějte místo pátku v neděli.
Existuje řada různých návrhů rotací. Pro jejich vyhledání „vygooglujte“ klíčová slova
„backup rotation schedule“.
Kontrolní otázky:
1) Určete zdroje ztráty nebo poškození vašich dat.
2) Která zálohovací média můžete použít? Objasněte jejich výhody
a nevýhody.
3) Jak zjistíte nastavení atributu Archivovat souboru ?
4) Které zálohovací strategie znáte a jaký je mezi nimi rozdíl ?
5) Jaké platí hlavní pravidlo zálohování ? Proč ?
6) Jaký je rozdíl mezi zálohováním souborů a složek a mezi zálohováním
celých diskových oddílů ?
7) Můžete použít službu Obnovení souborů pro zálohování svých souborů
a složek
Shrnutí
Zálohování dat patří k jedné z nejdůležitějších ale velmi často opomíjených
činností nejen správce sítě, ale také běžného uživatele. Hlavním úkolem je
zálohovat data, která v případě ztráty nemůžete ničím nahradit. Například
dokumenty, fotky, adresáře s kontakty apod. Tato data jsou v případě
poškození harddisku nebo jiného datového nosiče nenávratně ztracena.
Zálohovat můžete jak jednotlivé adresáře a soubory, tak i celé diskové oddíly.
V obou případech je před vytvořením zálohy vhodné odstranit nepotřebné
soubory a adresáře.
Pro vytvoření záloh existují různé strategie – úplné zálohování, přírůstkové,
rozdílové, denní zálohování. Mezi zálohovací strategie se řadí i obyčejné
zkopírování souborů a složek (nezohledňuje se, zda již soubory byly nebo
nebyly zálohovány).
Mimo osobních a firemních dat se doporučuje zálohovat také nastavení
operačního systému a nainstalovaných programů. To proto, aby se v případě
poškození tyto programy nemusely znovu pracně nastavovat. Mezi nástroje,
které vám pomohou z potíží patří záchranná disketa, nástroj Obnovení systému
nebo vytvoření zálohy systémového registru.
83
Neméně důležitou částí zálohování je volba paměťového média, na které se
záložní data uloží. Každé médium má své výhody a nevýhody a je limitováno
svou kapacitou a životností.
Pro uchování záloh můžete využít přepisovatelná média, která budou mezi
sebou rotovat. Seznámili jste se s strategií rotace, pro jejíž zapamatování jsme
použili zkratku DTM (D – každý den rozdílové zálohování, T- na konci
každého týdne provést úplnou zálohu, M- na konci každého měsíce provést
úplnou zálohu). Existuje řada dalších návrhů jak média mezi sebou
zaměňovat.
Samozřejmě každou zálohu vhodně stručně označte, ať víte, co na ní nachází
a napište datum vytvoření. Usnadní vám to orientaci v zálohách.
Při všem zálohování nezapomeňte na základní pravidlo – zálohy vždy ukládat
na jiné místo než zdroj dat. A pozor, jiným místem se nemyslí šuplík stolu, na
kterém stojí počítač ☺.
o
o
o
o
o
o
o
základní pravidlo zálohování
zálohovací strategie (úplná, rozdílová, přírůstková, denní, kopírování)
zdroje ohrožení dat
média pro uchování záložních dat
rotace médií
záchranná disketa
nástroj Obnovení systému
Korespondenční úkol:
Sestavte plán zálohování pro svůj domácí počítač, notebook apod. (pokud
pracujete v oboru IT, tak tento plán sestavte pro svou firmu nebo oddělení).
Vyjděte z analýzy potřeb:
která data jsou pro vás nejdůležitější
které soubory se nejčastěji mění (přibývají)
sjednoťte strukturu adresářů, které budou podléhat zálohování (ať to není
soubor sem soubor tam)
stanovte média, na která se bude zálohovat
stanovte termíny zálohování (rotaci)
Řešení:
Cvičení 6.1
1.a
2.b
3.b
4.a
84
7. Vytvoření malé sítě
Cíl: Po prostudování této kapitoly budete umět:
; vyjmenovat, který hardware potřebujete pro vytvoření malé sítě
; nastavit protokol TCP/IP, nastavit IP adresu a masku
; nakonfigurovat malou síť peer-to-peer
Než začnete studovat tuto kapitolu, zopakujte si Úvod do počítačových sítí,
kde najdete vysvětlení IP adres, masek a síťového hardwaru.
Předpokládám, že počítač už máte nainstalovaný a teď jste se rozhodli jej
zapojit do sítě. Prozatím budete vytvářet malou síť typu peer-to-peer.
Síť peer-to-peer se ve Windows označuje jako prostředí pracovní skupiny.
pracovní skupina: skupina navzájem nezávislých počítačů
Potřebný hardware
Přes rychlý vývoj v oblastí bezdrátových technologií a jejich rostoucí
přenosové rychlosti, jsou prozatím v oblasti sítí LAN dominantní drátová
přenosová média. A ta také pro budování naší malé sítě použijete.
Jaký hardware budete pro vytvoření sítě potřebovat, záleží na tom, kolik
počítačů chcete v síti propojit.
n propojení 2 počítačů

počítače vybavené síťovou kartou s konektorem pro kroucenou
dvojlinku (označení pro nestíněnou kroucenou dvojlinku – UTP)

křížený kabel kroucené dvojlinky
V obchodě se křížený kabel často značí jako PC to PC. Jak to
ověřit?
o Na jednom konci by mělo být barevné pořadí vodičů:
bílooranžová, oranžová, bílozelená, modrá, bílomodrá, zelená,
bílohnědá, hnědá
o na druhém konci: bílozelená, zelená, bílooranžová, modrá,
bílomodrá , oranžová, bílohnědá, hnědá
o propojení více počítačů

počítače vybavené síťovou kartou s konektorem pro kroucenou
dvojlinku

nekřížený kabel kroucené dvojlinky. Někdy se také značí jako
PC-Hub (nebo switch). Na obou koncích by mělo být pořadí vodičů
stejné, tedy:
o bílooranžová, oranžová, bílozelená, modrá, bílomodrá, zelená,
bílohnědá, hnědá

switch alespoň s tolika porty, kolik chcete připojit počítačů (nějaký
volný port navíc nikdy neuškodí – pro připojení dalšího počítače
nebo jiného zařízení).
85
Vidíte, že po hardwarové stránce není propojení počítačů do sítě nijak
náročné.
Tak, teď se podíváte na to, co musíte nastavit, aby vám počítače spolu
komunikovaly. Prozatím vůbec nebudete řešit připojení sítě k Internetu,
k tomu potřebujete zařízení, které plni roli směrovače (routeru).
Nastavení komunikačního software
Abyste mohli přistupovat k souborům a složkám na jiném počítači, musí být na
počítačích nainstalovány a nastaveny tyto komponenty:
;
;
;
;
;
;
služba Sdílení souborů a tiskáren v sítích Microsoft
služba Klient sítě Microsoft
komunikační protokol
vytvořen uživatelský účet na počítači k němuž chcete přistupovat
zapnuto a nastaveno sdílení (přístupová oprávnění ke sdílení)
potřebná přístupová oprávnění NTFS ke složce
Sdílení souborů a tiskáren v sítích Microsoft: umožňuje uživatelům
z jiných počítačů přistupovat ke složkám ve vašem počítači.
Klient sítě Microsoft: díky této službě můžete z vašeho počítače
přistupovat ke sdíleným souborům, složkám a tiskárnám na jiných
počítačích v síti.
Pro uživatele, kteří mají získat přístup k vašemu počítači, musíte vytvořit
uživatelský účet a přiřadit heslo. Složkám, které chcete zpřístupnit ostatním
uživatelům v síti, nastavte sdílení a přístupová oprávnění NTFS. Místo
otrockého nastavování pro jednotlivé uživatele využijte nastavení oprávnění
pro skupiny uživatelů.
Protokol TCP/IP
Protokol
TCP/ IP
Když spolu začnou komunikovat dva cizí lidé, musí se nejdříve dohodnout,
jaký budou používat jazyk. V prostředí počítačů k tomu účelu slouží dohodnutí
se na komunikačním protokolu. Protože budete později určitě chtít pracovat na
internetu, zvolte z nabídky protokolů, které jsou ve Windows k dispozici,
protokol TCP/IP.
Určitě si všimnete, že můžete nainstalovat několik síťových protokolů. Každý
má své výhody a nevýhody. Neinstalujte zbytečně protokoly navíc, protože to
zbytečně zatěžuje počítač a síť. Když už musíte mít nainstalováno více
protokolů, dohlédněte, aby ten nejpoužívanější byl jako první v pořadí.
Aby mohly počítače spolu komunikovat, musí mít každý z nich nastavenou IP
adresu, která jej jednoznačně identifikuje.
Pozor!
Protože vytváříte LAN, musíte pro všechny počítače zvolit takové IP adresy,
abyste se později nedostali do konfliktu s IP adresami na internetu (vaše síť
není zatím připojena k internetu. Nezkoušejte použít některé z veřejných adres,
protože na to zapomenete a později se nestačíte divit, proč najednou nejede to,
co doposud fungovalo).
86
Už víte, že pro lokální sítě jsou vyhrazeny adresy v rozsahu:
Tabulka 1: Rozsah neveřejných IP adres
Třída
A
B
C
Neveřejné IP
adresy
IP adresy v LAN
10.0.0.0 až 10.255.255.255
172.16.0.0 až 172.31.255.255
192.168.0.0 až 192.168.255.255
Protože vytváříte síť do 10 počítačů, můžete vybrat IP adresu třídy C a to např.
192.168.15.x, kde 192.168.15 je síťová část IP adresy. Za x dosadíte číslo
z intervalu <1,254>, které bude pro každý počítač odlišné – to je hostitelská
část IP adresy.
tak např. počítače budou mít tyto názvy a IP adresy:
PC1
PC2
PC3
PC7
192.168.15.1
192.168.15.2
192.168.15.3
…
192.168.15.7
Maska, která určuje síťovou a hostitelskou část IP adresy, bude pro všechny
počítače stejná tj. 255.255.255.0. Aby počítače spolu komunikovaly, musí
být ve stejné síti. To znamená, že musí mít stejnou síťovou část IP adresy.
V případě, že chcete, aby uživatelé mohli pracovat s Internetem, nastavte
Default gateway (výchozí brána). Jde o IPadresu počítače (zařízení), který
propojuje síť s Internetem. Obvykle se označuje také jako směrovač (router).
Protože nemáte v síti DHCP server, který přiděluje IP adresu a masku
automaticky, musíte ji nastavit ručně. Nastavení protokolu TCP/IP se provádí
v Ovládacích panelech a liší se mírně ve Windows 2000 a Windows XP.
Pokud nemáte nainstalován protokol TCP/IP nebo ostatní potřebné služby,
nainstalujte je pomocí tlačítka Install. Poté nastavte protokol například jako na
obrázku. Okno, které vidíte na Obr. 7.1 získáte tak, že zvolíte vlastnosti
protokolu TCP/IP.
Aby počítače v síti spolu
komunikovaly
musí
být
vyplněna alespoň tato 2 pole.
Nevyplněné pole nás informuje,
že počítač nebude komunikovat
s počítači v jiné síti, protože nemá
nastavenou adresu výchozí brány
(směrovače neboli routeru)
Zde se zadává adresa DNS
serveru,
který
překládá
IPadresy na doménové názvy.
V případě malé sítě nechte pole
prázdná.
Více o DNS se
dozvíte v kapitole 10.
Obr. 7.1: Nastavení protokolu TCP/IP
87
Nastavení
IPadresy
a masky
Nastavení názvu
počítače a zařazení
do pracovní skupiny
Nastavte název počítače (ve vaší síti nesmí být 2 počítače se stejným názvem)
a příslušnost k pracovní skupině (zadáte název pracovní skupiny). Nastavení se
ve Windows 2000 a Windows XP liší, ale vždy jej najdete, když z k.m.
vyberete vlastnosti Tohoto počítače.
Jméno počítače zvolte
jedinečné a tak, aby při
prvním pohledu bylo
jasné o jaký počítač jde.
jméno pracovní skupiny
bude na všech počítačích
nastaveno stejně
Obr. 7.2: Přiřazení do pracovní skupiny
Pro název počítače nepoužívejte české znaky a mezery. Místo mezery můžete
použít podtržítko.
Nalezení počítače v síti
K nalezení počítače v síti můžete použít několik cest:
1.
způsob: na ploše otevřete My Network Places (Místa v síti) a pak

ve Windows 2000: Computers Near Me a pak vyberte konkrétní počítač
Obr. 7.3: Místa v síti ve Windows 2000
88

ve Windows XP: klikněte na Zobrazit počítače ve skupině a vyberte
konkrétní počítač
Obr. 7.4: Místa v síti ve Windows XP
Dejte Windows čas, aby počítače ve skupině objevil (někdy to trvá /).
Pokud se vám neobjevuje počítač ve skupině, můžete jeho zobrazení
urychlit, pokud na něj „pingnete“. Tj. do příkazové řádky napíšete příkaz
PING IP_adresa počítače, který se nehlásí (např. ping 192.168.15.4).
Jestli se ani po pár minutách počítač neobjevil, zkontrolujte nastavení a
podívejte se do kapitoly 8. Řešení potíží.
2.
způsob: do řádku Adresa v libovolném otevřeném okně Windows napište
IPadresu počítače, který hledáte ve tvaru \\192.168.15.3
Obr. 7.5: Vyhledání PC pomocí IPadresy
Dejte si pozor na ta dvě zpětná lomítka, ta musí být zadána. Poté následuje (bez
mezer a samozřejmě překlepů) IPadresa počítače, který chcete najít. Stejným
způsobem můžete použít jméno počítače (pokud je přesně znáte).
Obr. 7.6: Vyhledání PC pomocí jména počítače
89
Příklad – velikost sítě peer-to-peer
Doporučená velikost pro sítě peer-to-peer je maximálně deset počítačů. Proč
tak málo ?
Uvědomte si, co je pro tuto síť typické : databáze zabezpečení je uložena na
každém počítači samostatně a každý počítač je nutné administrovat samostatně.
Představte si, že jste správce sítě peer-to-peer a máte na starosti 10 počítačů,
s kterými pracuje 10 uživatelů (každý u jednoho počítače). Všech deset
uživatelů potřebuje mít přístup na všech deset počítačů.
Aby se mohl uživatel na počítači přihlásit, musí mít vytvořen uživatelský účet
⇒ učet jednoho uživatele musíte vytvořit na všech desíti počítačích. Toto
musíte provést pro všechny uživatele a pokud dobře počítám, tak to znamená
stokrát.
Navíc, pokud potřebujete určitou míru bezpečnosti, musíte na každém počítači
nastavit přístupová práva k souborům a složkám a přístupová práva pro
vzdálený přístup (tj. sdílení). To zase na 10 počítačích….
Ještě se vám do toho chce? A to už vůbec nemluvím o tom, že dva uživatelé
zjistí, že zapomněli heslo….
Nenechte se vyděsit, tyto sítě jsou pro několik počítačů celkem efektivní,
zvládnutelné a hlavně levné.
Cvičení 7.1
1) Vyberte správné tvrzení
a. Maska určuje síťovou část IP adresy
b. Výhodnější je mít na počítači nainstalovány všechny dostupné
komunikační protokoly
c. Když zvolíte automatickou konfiguraci TCP/IP z DHCP serveru,
musíte ještě nastavit IP adresu vašeho počítače
d. Když síť nebude připojena k Internetu (nebo jiné síti), není nutné
konfigurovat IP adresu a masku výchozí brány.
e. Výchozí brána je zařízení (počítač), které propojuje síť s jinou sítí
f. Dva počítače v síti mohou mít stejnou IP adresu
g. Pro správnou komunikaci počítačů pomocí protokolu TCP/IP postačí
nastavit pouze IP adresu. Maska není nutná, pouze je vhodné masku
nastavit pro zrychlení rychlosti komunikace na síti.
2) Vyberte správnou možnost
a. Pokud nenainstaluji Sdílení souborů a tiskáren na mém počítači, nebude
nikdo moci přistoupit z ostatních počítačů k mým sdíleným zdrojům
b. Nainstaluji-li Sdílení souborů a tiskáren na svém počítači, umožní mi
tato služba přistoupit ke sdíleným souborům a složkám na vzdáleném
počítači
c. Bude-li na mém počítači nainstalováno pouze Sdílení souborů
a tiskáren, nakonfigurován protokol a síťová karta, nebudu moci
přistupovat ke sdíleným zdrojům vzdáleného počítače
90
3) Vyberte variantu, kdy dva níže popsané počítače mohou spolu
komunikovat
a.
b.
c.
d.
e.
PC1 - 192.168.64.15
PC1 - protokol TCP/IP
PC1 - 192.138.64.15
PC1 - 192.168.64.15
PC1 - 192.168.64.15
PC2 - 192.168.64.15
PC2 - protokol IPX/SPX
PC2 - 192.168.64.16
PC2 - 192.168.64.16
PC2 - 192.168.65.1
4) Kterou adresu sítě zvolíte pro lokální síť?
a.
b.
c.
d.
e.
f.
93.21.16.0
10.16.23.0
192.168.3.0
172.16.0.0
193.168.1.0
132.168.10.0
Shrnutí
Pro propojení dvou počítačů v síti použijete křížený kabel kroucené dvoulinky.
V případě, že potřebujete propojit více počítačů mezi sebou, použijte switch
a nekřížený kabel kroucené dvoulinky.
Sítě peer-to-peer se ve Windows nazývají prostředí pracovní skupiny.
Aby mohly počítače v síti plnohodnotně pracovat, musí mít nainstalován
protokol, Sdílení souborů a tiskáren v sítích Microsoft a Klient sítě Microsoft.
Pokud by chyběl nebo byl špatně nakonfigurován protokol, nemohly by
počítače spolu komunikovat. Bude-li chybět služba Klient sítě Microsoft,
nebudete moci ze svého počítače přistoupit ke sdíleným zdrojům sítě. Naopak
nebude-li na vašem počítači nainstalována služba Sdílení souborů a tiskáren
v sítích Microsoft, nebudete moci poskytovat své zdroje ostatním uživatelům.
Nezapomeňte, že abyste mohli k souborům a složkám na vzdáleném počítači
přistupovat, musíte mít na vzdáleném počítači vytvořen uživatelský účet,
zapnuto na danou složku sdílení, mít pro uživatele nastaveno oprávnění ke
sdílení a oprávnění NTFS ke složce.
V dnešní době je nejpoužívanějším protokolem TCP/IP, který se používá jak na
Internetu, tak v lokálních sítích. Ke správnému fungování TCP/IP musí mít
každý počítač v síti nastavenu minimálně IPadresu a síťovou masku. Ty může
počítač získat dvojím způsobem. První způsob - z DHCP serveru, což je
počítač, který ostatním počítačům v síti přiděluje IPadresu, masku a další
parametry TCP/IP. Druhý způsob – ruční nastavení správcem počítače.
IPadresu pro počítače v LAN nelze zvolit libovolně, ale je nutné ji vybrat
z množiny adres, které jsou pro LAN vyhrazeny. Počítače ve stejné síti musí
mít nastavenu stejnou síťovou část IPadresy a stejnou masku.
91
Kontrolní otázky
1)
2)
3)
4)
Co potřebujete, pokud budete chtít propojit 7 počítačů do sítě peer-to-peer?
Jak se peer-to-peer označují ve Windows?
Jaký obvykle použijete komunikační protokol?
Které služby nainstalujete, abyste využívali zdrojů na jiných počítačích
a zároveň poskytovali zdroje svého počítače?
5) Které další činnosti musíte provést, aby ostatní uživatelé v síti mohli
přiměřeně využívat služeb vašeho počítače?
6) Co musíte minimálně nakonfigurovat v protokolu TCP/IP pokud chcete
komunikovat v síti bez připojení k Internetu ?
7) Jak musíte nastavit protokol TCP/IP na počítačích v síti, pokud chcete, aby
počítač zasílal své požadavky do sítě Internet?

peer-to-peer
křížený a nekřížený kabel UTP
Klient sítě Microsoft
Sdílení souborů a tiskáren
v sítích Microsoft
IPadresa
Řešení
Cvičení 7.1
1) a., d., e.
2) a., c.
3) d.
4) b., c., d.
92
maska sítě
switch
pracovní skupina
název počítače
8. Řešení potíží se sítí
použít základní nástroje TCP/IP
určit možné příčiny nefunkčnosti sítě
V této kapitole se seznámíte se 2 základními nástroji, které můžete použít
pro zjištění, proč počítače ve vaší malé síti nekomunikují. Následně se
seznámíte s možnými příčinami nefunkčnosti sítě.
8.1 Základní nástroje pro diagnostiku sítě
Existuje řada grafických nástrojů pro diagnostiku sítě. Problémem není
jejich ovládání, ale spíše vyhodnocení spousty informací, které poskytují.
Většina z grafických programů využívá základních nástrojů, s kterými se
seznámíte níže. Proto je nutné znát tyto základní nástroje a umět je použít.
Pomocí těchto 2 nástrojů a trochou selského rozumu odhalíte řadu chyb.
IPCONFIG
Slouží k výpisu nastavení protokolu TCP/IP a zobrazí nastavení:
IP adresy
masky
adresy výchozí brány
adresy DNS serveru
zda počítač získává nastavení TCP/IP ze serveru DHCP
fyzickou adresu síťové karty (MAC adresu)
Příkaz se používá buď v základním tvaru IPCONFIG nebo s řadou
parametrů. Některé parametry:
/?
vypíše nápovědu k příkazu
/All
vypíše všechna nastavení TCP/IP
/Renew obnoví IP adresu (pokud ji počítač získává z DHCP serveru)
Obr. 8.1: Použití příkazu Ipconfig
Nezapomínejte na to, jak se zapisují parametry příkazů. Vždy ve tvaru
příkaz mezera lomítko (pod které se chce parametr schovat) a parametr.
93
Obr. 8.2: Ipconfig s parametrem /All
Ve Windows si můžete informace o nastavení TCP/IP zobrazit i poklepáním
na Síťová připojení v Ovládacích panelech
Obr. 8.3: Stav síťového
připojení ve Windows
PING
Slouží ke zjištění, zda dva počítače spolu komunikují. Vyšle druhému
počítači kratičkou zprávu a očekává odpověď. Odpověď pak vyhodnotí.
PING
IP adresa příjemce(nebo název) -parametr
IP adresa počítače, který odpovídal.
Průměrná doba odpovědi v milisekundách
Obr. 8.4: Použití příkazu Ping
Pozor!
Nápovědu k příkazu ping vypíšete tak, jak jste zvyklí pomocí /?. Ostatní parametry
se v případě příkazu ping nezadávají pomocí lomítka, ale pomocí pomlčky.
94
Není-li z cílového počítače odezva, může se zobrazit jedna ze dvou
následujících možností:
Vypršel časový limit žádosti: cílový počítač neodpovídá a chyba
bude patrně na straně příjemce (nebo někde mezi odesílatelem a
příjemcem).
Cílový hostitel není dostupný: počítač nemůže odeslat pakety
s požadavky. Nejčastějším důvodem bývá špatné nastavení protokolu
TCP/IP počítače, na kterém zadáváte příkaz ping (např. chyba v IP
adrese výchozí brány apod.)
Pozor!
Zkusíte-li použít příkaz ping na některé servery na Internetu, zjistíte, že neodpovídají.
Jejich firewally v rámci ochrany vyhodnotí pakety, které posíláte příkazem ping, jako
„útok“ a pakety s vaším požadavkem o odpověď zahodí. Totéž se vám může stát ve vaší
malé síti.
Příklad
Zkuste se podívat ve webovém prohlížeči na stránku www.microsoft.com.
Můžete si ji prohlížet. Nyní zkuste „pingnout“ na stejnou adresu.
Nedostali jste žádnou odpověď. V tomto případě proto, že server
Microsoftu z bezpečnostních důvodů pakety s vašimi požadavky zahodil.
Standardně posílá příkaz ping 4 pakety a očekává odpověď. Mnohdy ale
potřebujete, aby počítač posílal pakety, dokud mu neřeknete dost. K tomu
použijete je parametr –t.
Obr. 8.5: Příkaz Ping -t
Příkaz Ping IPadresa –t použijete například v případě, když hledáte, který
kabel ve switchi patří danému počítači. Necháte neustále posílat pakety na
jiný počítač a postupně vytahujete kabely. Když vytáhnete kabel
hledaného počítače, projeví se to v odpovědi na příkaz ping. Objeví se –
Vypršel časový limit žádosti.
Tip
Chcete-li zjistit více o uvedených příkazech, stačí je vyhledat v nápovědě Windows. Bylo-li
by vám to málo stačí název příkazu zadat do vyhledávače a najít na Internetu ☺
95
Nástrojů, která máte k dispozici pro analýzu fungování sítě je celá řada
(např. tracert, pathping, netstat, …). Pro začátek většinou vystačíte
s dvěmi základními (ipconfig, ping) a špetkou zdravého rozumu.
Zde není jiné rady než zkoušet a sledovat, jaké získáte výsledky. Máte-li
propojené dva počítače do sítě, pohrajte si s nimi a sledujte výsledky.
Zkoušejte použít příkazy IPCONFIG a PING a jak se projeví např.:
-
vytáhnutí kabelu z jedné síťové karty
zařazení počítače do jiné sítě (změňte jednomu z počítačů IP adresu
nebo masku)
zapnutí firewallu na jednom z počítačů
8.2 Řešení potíží
Nyní se vás pokusím upozornit na nejčastější možné problémy a jejich
řešení. Vždy se zamyslete, kde může vzniknout chyba.
Oblasti možných chyb a potíží:
Hardware a kabeláž
Nastavení protokolu TCP/IP
Nainstalovaný a konfigurovaný síťový software
V případě hardwaru může nastat problém v kabeláži (špatně zasunutý
konektor do síťové karty, kabel může být na poškozený, použijete místo
kříženého kabelu nekřížený apod.). U síťové karty může nastat situace, kdy
vlivem otřesů „vyskočí“ ze základní desky, „vyhoří“ port apod. Podobné
problémy pak musíte hledat na opačné straně kabelu, tj. u druhého počítače
nebo switche.
Možná si říkáte, proč nám to tady cpe, když je to snad jasné?! Divili byste
se, kolik práce si ušetříte, když nejdříve zkontrolujete, zda není vypadlá
koncovka na obou stranách kabelu. Nic vám neudělá vytáhnout koncovku
a zastrčit ji zpátky tak, aby jste slyšeli, že cvakla. ☺
Se softwarem se také můžete dočkat řady překvapení. Např. byste měli
prověřit, jestli síťová karta správně komunikuje se systémem – jestli je
použit správný ovladač. Zkontrolujte, zda jsou nainstalovány všechny
potřebné komponenty sítě. Další problémy může způsobovat zapnutý
(nevhodně nastavený) firewall.
Celou řadu problémů může způsobovat špatně nakonfigurovaný protokol
TCP/IP. Nejčastějším příčinami může být, že počítače mají stejnou IP
adresu nebo naopak jsou v různých sítích (mají jinou síťovou část IP adresy)
apod.
Proto se dále podívejte na některé případy, které mohou nastat. Jak je
můžete poznat a vyřešit.
96
Mám správnou IP adresu a masku? Je stejná síťová část IP
adresy u všech počítačů v síti?
Nezapomeňte, že síťová část IP adresy u počítačů, které spolu mají
komunikovat, musí být stejná. Budou li mít spolu komunikovat PC1 a PC2,
musí mít například tyto IP adresy:
192.168.15.1
255.255.255.0
192.168.15.2
255.255.255.0
Obr. 8.6: Aby PC komunikovaly musí mít
stejnou síťovou část IP adresy.
Pokud budou mít rozdílnou síťovou část IP adresy pak se neuvidí a nebudou
spolu komunikovat.
IP adresu zjistíte 2 způsoby:
1. Poklepáním na síťová připojení v Ovládacích panelech
2. Použitím příkazu ipconfig v příkazovém řádku
Funguje správně síťový software?
Pingněte sami na sebe na 127.0.0.1.
ping 127.0.0.1
síťový sw
síťový sw
síťová karta
síťová karta
přenosové médium
Obr. 8.7: Ping na localhost
Dostanete-li odpověď, síťový software funguje patrně správně a problém
může být v nastavení IP adres počítačů, v síťové kartě nebo přenosovém
médiu.
127.0.0.1 je adresa lokální smyčky(tzv. localhost) tj. vašeho počítače. Komunikace
proběhne jen v rámci síťového softwaru a nedotkne se ani síťové karty, natož aby pakety
byly vyslány přes přenosové medium.
Komunikuje správně síťová karta? Je dobře nainstalována?
Pingněte znovu sami na sebe, ale tentokrát na svou IP adresu. Například
ping 192.168.15.4 .
ping 192.168.15.4
síťový sw
síťový sw
síťová karta
síťová karta
přenosové médium
Obr. 8.8: Ping na vlastní IP
97
Je-li vše v pořádku a vrátí se vám všechny 4 pakety, síťová karta
komunikuje. Problém může být v druhém počítači, kabeláži nebo switchi.
Proto stejně ověřte druhý počítač a zkontrolujte zda máte správně nastaveny
IP adresy.
Komunikace proběhne přes síťový software a síťovou kartu, ale pakety nejsou vyslány na
přenosové médium.
Mohu poslat data na druhý počítač?
Pingněte na IP adresu druhého počítače.
ping 192.168.15.7
IP:
IP:
síťový sw
síťový sw
síťová karta
síťová karta
přenosové médium
Obr. 8.9: Ping na druhý počítač v síti
Pokud se vrátí všechny pakety, pak počítače spolu komunikují. V opačném
případě zkuste prověřit přenosové médium a také to, jestli jsou počítače ve
stejné síti (mají stejnou síťovou část IP adresy) .
Chyby přenosového média
propojujete 2 počítače mezi sebou. Používáte křížený kabel kroucené
dvojlinky?
propojujete počítače pomocí switche. Používáte nekřížený kabel
kroucené dvojlinky?
zkontrolujte konektory, není některý uvolněný? Jsou všechny vodiče
zasunuty v konektoru do konce? Je správné pořadí vodičů v konektoru
(nevěřili byste kolikrát se ti, co je dělají spletou).
Vyměňte kabel a zkuste použít jiný, nebo zkuste kabel použít u
počítačů o nichž víte, že spolu přes jiný kabel komunikovaly.
I když budete propojovat síť pomocí switche a nekřížených kabelů,
pořiďte si i křížený kabel. Nikdy nevíte, kdy budete potřebovat
propojit jen dva počítače mezi sebou a přenést větší objem dat. Navíc
vám kabel umožní zjistit, zda dva počítače spolu komunikují.
Pokud propojujete 2 počítače – notebook a počítač, pořiďte si také
ještě k notebooku nekřížený kabel. Také nikdy nevíte, kdy přijdete
k někomu, kdo používá switch a budete se potřebovat připojit.
Je na přenosové cestě switch? Propojte mezi sebou pouze dva počítače
a odzkoušejte, zda mezi sebou komunikují. Jen pozor, k propojení dvou
počítačů použijte křížený kabel.
Pozor častou příčinu proč nevidíte počítač a ani nedostáváte odpověď
na ping je zapnutý a nevhodně nastavený firewall.
98
Každý z počítačů komunikuje sám s sebou, ale nekomunikují
navzájem.
Prověřte cestu mezi oběmi počítači (kabel,switche). Máte-li tu možnost,
použijte kabel mezi počítači, které spolu komunikují.
Velice častou příčinou proč počítače spolu nekomunikují bývá zapnutý
firewall na jednom z počítačů. Vypněte jej a zkuste příkaz ping znovu.
Obr. 8.10: Vypnutí firewallu
Pozor, pokud vytváříte síť, dočasně firewall vypněte. Po odzkoušení
funkčnosti sítě firewall nastavte a nakonfigurujte. Nenechávejte počítač a
síť bez ochrany zejména, pokud se připojujete k internetu. Konfiguraci
firewallu si musíte dohledat sami, je mimo rozsah tohoto učebního
materiálu.
Nemůžu se připojit k Internetu
Jste-li připojeni k LAN, která je připojena k Internetu. Počítač komunikuje
v LAN, ale nelze se připojit k Internetu. Pomocí příkazu ipconfig /all
zjistěte adresu brány (routeru, který připojuje vaší síť k Internetu) a pingněte
na IP adresu brány.
Je-li vše v pořádku, zkuste pingnout na některý server na Internetu např.
ping seznam.cz. Nedostáváte-li odpověď, bude chyba patrně někde na cestě
od vaší brány (routeru) dále do Internetu.
Ping na server na Internetu se zdařil, ale přesto nevidím
stránku v prohlížeči.
V tomto případě bývá nejčastěji „zakopán pes“ v nastavení samotného
prohlížeče, konkrétně proxy serveru.
Spusťte prohlížeč a v nabídce Nástroje vyberte Možnosti Internetu. Přepněte
se na záložku Připojení a zde ve spodní části vyberte Nastavení místní sítě.
Máte-li zaškrtnutu položku Server proxy, zkuste ji zrušit a vše potvrdit OK.
Pak aktualizujte stránku.
99
Následující příklady jsou záznamem komunikace mezi studentem
a vyučujícím přes ICQ a podle toho ta komunikace vypadá. Ale až na drobné
úpravy jsem ji nechal v původním stavu. ☺
Příklad – Mám doma dva počítače a nekomunikují spolu
Student se snaží doma propojit dva počítače. Nemůže přijít na možnou
příčinu, proč mu toto propojení nefunguje. Dotazuje se proto svého
vyučujícího (např. přes ICQ).
Student:
Dobrý večer, mám doma propojené dva PC přes switch. Ale nekomunikují spolu. Kde
může být chyba?
Vyučující:
Dobrý večer. Jakou má každý z nich IP ?
Student:
Jeden má 192.168.16.71 a druhý 192.168.16.70. IP je přidělena automaticky pres
DHCP.
Vyučující:
Pingněte z prvního na druhý. Odpovídá? Pak pingněte z druhého na první. Odpovídá?
Student:
Na obou je 100% ztráta paketů.
Vyučující:
Tak se na obou podívejte, jestli nemáte zapnuté firewally.
Student:
mam
Vyučující:
No a to je ono – zkuste firewally vypnout (pak je ale budete muset nastavit).
Student:
ok
Vyučující:
Zkuste znovu pingnout.
Student:
Ok, vyzkouším.
Student:
yeeeeees
Příklad – nemohu nastavit sdílení a přístupová oprávnění
Student:
Dobrý den, mám zase nějaký problém - nelze sdílet :-\
Vyučující: (09:02 PM) :
Nejde nastavit sdílení na tom počítači, kde chcete sdílet ?
Student:
ano
Aha, tak se podívejte do nastavení sítě, jaké služby máte nainstalované. Máte tam:
- protokol TCP/IP ( to jo jinak byste „nepingnul“ )
- Klient sítě Microsoft
- Sdílení souborů a tiskáren v sítích Microsoft
Student:
Ano mám
100
No už to možná tuším. Otevřete Tento počítač a v nabídce Nástroje vyberte Možnosti
složky
Student:
mám
Přepněte se na kartu Zobrazení. Máte zaškrtnutou položku Použít zjednodušené sdílení
?
Student:
ano
Tak ji zrušte, to je pro babičky, aby se nevrtaly, kde nemají. Pak už byste se měl dostat
ke sdílení, které jsme se učili.
Student:
ok, děkuji.
Shrnutí
Ať už vytváříte nebo už provozujete malou či střední síť LAN, vždy narazíte
na problémy. Nejčastějším problémem bývá, že počítače spolu nekomunikují
(a to je v případě sítě dost závažný problém ☺). Příčin může být celá řada – od
poškození softwaru až po uvolněnou koncovku síťového kabelu. Měli byste
proto znát, kde hledat příčiny poruch.
Existuje celá řada nástrojů (od různých hardwarových měřících přístrojů po
softwarové diagnostické programy). V případě malé sítě vystačíte se dvěmi
základními programy – ipconfig, ping a trochou logiky.
Už z názvu programu ipconfig odhadnete, že slouží ke zjištění a nastavení
protokolu IP (tj. IP adresy počítače, masky, adresy výchozí brány, adresy DNS
serveru atd.).
Příkazem ping zjistíte, jestli dvě zařízení spolu komunikují. Ipconfig a ping
vám pomohou určit, zda se problém nachází v jednom počítači, přenosové
cestě nebo na druhém počítači.
Kontrolní otázky
1) Co je to výchozí brána a jak zjistíte, jakou používá počítač výchozí bránu?
2) Budou spolu komunikovat počítače, jestliže budou mít rozdílnou síťovou
část IP adresy?
3) Vysvětlete k jakému účelu použijete příkazy ipconfig a ping?
4) Vysvětlete, co se stane, pokud na počítači napíšete příkaz ping 127.0.0.1
5) Počítač má nastavenou IP adresu 192.168.1.26. Vysvětlete, k čemu je dobré
na tomtéž počítači zadat příkaz ping 192.168.1.26. Čeho tím dosáhnete?
6) Rozeberte, co může být příčinami nefungující komunikace mezi počítači.
Jak můžete jednotlivé typy problémů poznat?
7) Jak poznáte, že problém bude patrně v softwarové části (programech,
službách, protokolech) vašeho počítače?
8) Co může signalizovat, že máte problémy se síťovou kartou?
101
9) Máte propojeny 3 počítače PC1, PC2, PC3 pomocí switche. PC1 a PC2
mezi sebou komunikují. Ale když jeden z nich pošle pakety na PC3,
nedostane žádnou odpověď. Když PC3 pošle pakety na PC1 a PC2, oba
počítače mu odpoví. Funguje přenosová cesta mezi počítači? Co může být
příčinou, že PC1 a PC2 nedostávají z PC3 odpověď?
•
•
•
ipconfig
ping
127.0.0.1
Přejete si vytvořit počítačovou síť tvořenou třemi počítači ve třech pokojích
vašeho bytu. Proveďte návrh propojení těchto počítačů mezi sebou.
1) Co k tomu budete potřebovat?
2) Jak počítače nakonfigurujete (rozepište konkrétně nastavení každého
počítače)?
3) Jak budete postupovat v případě, že jeden z počítačů s ostatními
nekomunikuje?
4) Sestavte rozpočet takovéto sítě (využijte ceník některé firmy zveřejněný na
Internetu)
Při návrhu vycházejte také ze znalostí nabytých v předchozích kapitolách.
102
9. Windows Server
9. Windows Server
rozdělit serverové OS Windows
připravit podklady pro rozhodnutí o instalaci serveru
V předchozích kapitolách jste se naučili vytvořit uživatele a nastavit mu
přístupová oprávnění, vytvořit a konfigurovat malou síť typu peer-to-peer.
Nyní se podíváte na vytváření větší sítě typu klient/server. Jak už je patrné
z názvu, základ takové sítě tvoří server.
V této kapitole narazíte na některé základní pojmy z oblasti hardwaru.
Nebudu se k jejich vysvětlení příliš vracet. Pokud si nejste stoprocentně jistí,
zastavte se a nejdříve si zopakujte základy hardwaru.
Samotná instalace serveru se příliš neliší od instalace klientské stanice. Ale na
rozdíl od instalace stanice musíte před instalací server promyslet řadu věcí.
Server totiž není obyčejná stanice, kterou lze „kdykoli“ přeinstalovat, ale musí
běžet (a pokud možno správně) ze všech systémů nejdéle. Proto je nutné,
abyste si před instalaci ujasnili:
strukturu sítě
role (účel neboli služby, které bude server poskytovat)
instalovaný OS
kapacitu HDD a RAM
fyzickou a logickou strukturu disků
typ instalace
další informace pro nastavení serverů
Pozor!
Řadu parametrů lze doopravit později, jiné jen během instalace. Ale pamatujte,
že nepřipravené a zbrklé zásahy přináší problémy. A v případě serverů velké
problémy pro chod sítě.
Struktura sítě
Ze struktury sítě musí instalace serveru vycházet. Je nutné, abyste už měli
zpracovanou dokumentaci k síti. Například z topologie sítě, použité kabeláže
a aktivních prvků vychází rozhodnutí o síťových kartách. Podle počtu
fyzických segmentů sítě rozhodujete, zda do serveru nainstalujete jednu
síťovou kartu s jedním nebo více porty, případně více síťových karet.
Musíte rozhodnout, v které místnosti bude server umístěn. Jde o velmi důležitý
počítač, ke kterému by neměl mít každý přístup – tomu se říká fyzické
zabezpečení.
Takto by se dalo uvažovat dále, ale to není předmětem tohoto materiálu.
Mou povinností je ale upozornit vás na to, nad čím vším se musíte zamyslet.
Takže, zkuste přemýšlet ještě chvilku a určitě vás napadne, co vše ještě
souvisí se strukturou sítě.
103
Role serveru
Při úvahách o serveru rozhodujete jaké role bude server plnit. Ptáte se – co
bude dělat, k jakému účelu bude sloužit. Některé role může plnit jeden server,
jiné role se rozloží mezi více serverů. Vše záleží na tom, o jakou činnost jde,
velikosti sítě a samozřejmě finančních prostředcích, které máte k dispozici.
Takže toto rozhodování je hlavně o penězích .
Možné role serveru:
souborový server: slouží k ukládání dat uživatelů. Uživatelé si ukládají
data na server místo toho, aby je ukládali na lokální stanice. Umožňuje se
tak lepší sdílení a správa těchto dat.
databázový server: server se stará o databázi (např. zákazníků)
a pracovníci mohou ze svých stanic s touto databázi pracovat.
aplikační server: na serveru jsou nainstalovány programy, které pak
mohou uživatelé na svých stanicích používat. Odpadá tak většinou nutnost
instalovat některé programy na stanice. Někdy je část programu
nainstalována na server a další část na stanici.
DNS server: provádí překlad „slovních“ názvů počítačů na IP adresy
a naopak.
DHCP server: přiděluje počítačům IP adresy a další nastavení protokolu
TCP/IP. Usnadňuje tak práci s protokolem TCP/IP ve velkých sítích.
řadič domény: slouží k centralizované správě a zabezpečení prostředků
sítě. Ověřuje přihlašování do sítě, oprávnění uživatelů apod.
webový server: slouží uchování zdrojových kódů a souborů webových
stránek, které poskytuje klientům.
tiskový server: zajišťuje přístup k síťovým tiskárnám a jejich správu.
další role: poštovní server, FTP server, server se službou vzdálené
instalace apod.
Rolí, které může server plnit, je celá řada. V dalších kapitolách se podíváte
na některé z nich: řadič domény, DNS server a DHCP server.
Pro zájemce
Pro bližší informace o jednotlivých rolích vám stačí zadat do vyhledávače frázi „role
serveru“.
Cvičení 9.1
Přiřaďte k sobě roli serveru a popis jeho činnosti:
1. Souborový server
a.
2. DHCP server
b. Umožňuje uživatelům centrálně zpracovávat
Přiděluje klientským počítačům IP adresu.
a vyhodnocovat data.
3. DNS server
c.
4. Databázový server
d. Provádí překlad „slovních“ názvů na IP adresy
Slouží uživatelům k uchování a sdílení jejich dat.
a naopak.
5. Řadič domény
e.
Rozhoduje, kdo se může přihlásit na počítače
v síti.
104
9. Windows Server
Operační systém
Volba konkrétní operačního systému závisí na řadě faktorů:
role, které má server plnit
velikost sítě
požadavky OS na hardware
cena
zkušenosti správců
hlavní síťové operační systémy:
NetWare
Unix
Linux
Windows Server
o Windows NT
o Windows Server 2000
o Windows Server 2003
V případě Windows bývá zvykem, že existují vždy různé verze daného
operačního systému. Jsou určené pro jiné účely a samozřejmě mají jinou cenu.
Např. verze Windows Server 2003:
o Web Edition – hostitelské služby na webu, není určena pro běžné funkce
LAN
o Standard Edition – standardní pro malé a střední organizace
o Enterprise Edition – pro větší prostředí, pro prostředí s kritickými
aplikacemi
o Datacenter Edition –pro prostředí s vysokými požadavky na bezpečnost
a rychlost, umožňuje instalovat více serverů na 1 hardwaru.
V žádném případě se neučte zpaměti, jaké existují verze Windows server
2003. Postačí vám znalost, že verzí Windows je více. Až budete některou
verzi používat, pak je dobré znát její přesný název.
Každá verze se liší vždy systémovými požadavky. Systémové požadavky
určují, jaký hardware je potřebný pro správné fungování operačního systému.
Dejte si pozor, protože se uvádí ve dvou variantách
minimální: taková, kdy sytém bude fungovat, ale nemůžete jej příliš zatížit
a očekávat nejlepší výkon.
doporučené: taková konfigurace, která je pro chod systému vhodná.
Samozřejmě není na škodu jestli počítač, na který si chystáte nainstalovat
operační systém, má lepší parametry.
Příklad
Požadavky na Windows Server 2003 Standard Edition
Minimální rychlost procesoru
Doporučená rychlost procesoru
Minimální velikost paměti RAM
Doporučená minimální velikost paměti RAM
Maximální velikost paměti RAM
Podpora více procesorů
Volné místo na disku pro instalaci
133 MHz
550 MHz
128 MB
256 MB
4 GB
Až 4
1,5 GB
105
Úkol:
Podívejte se na http://www.microsoft.com/cze/windowsserversystem/produkty/default.mspx
, kolik různých serverových produktů Microsoft nabízí, k jakému účelu slouží
a jaké mají systémové požadavky.
Kapacita HDD a RAM
Jsou sice stanoveny v rámci minimálních požadavků na systém, ale musíte vzít
v úvahu:
nainstalovaný OS – minimálně 1,5 GB
doinstalované Service packy – minimálně 1 GB
instalované aplikace – např. antiviry, programy pro údržbu systému
apod.- minimálně 5 GB
samotná data serveru ⇒ minimálně 7,5 MB, ale Windows mají tendenci
bobtnat, proto raději počítejte s větší rezervou.
data uživatelů – zde platí zásada, že disk není nikdy dost velký. Platí to
zejména, bude-li počítač plnit roli souborového serveru. Spočítejte si,
kolik potřebuje průměrný zaměstnanec prostoru na disku pro svou práci.
Připočítejte rezervu. Výhodou je, že můžete omezit prostor na disku pro
uživatele. V dnešní době pro běžnou práci počítejte na jednoho uživatele
např. 1GB (což např. při 120 zaměstnancích není,vzhledem ke kapacitě
dnešních disků, až tak moc).
Service Pack: slouží k dodatečné opravě chyb, na které se přišlo až po uvolnění produktu
k prodeji. Součástí bývá také vylepšení některých funkcí nebo nové ovládače pro zařízení.
Instalují se dodatečně. V případě serveru je dvakrát důležité hlídat jejich existenci
a doinstalovat je.
Co se týká RAM vycházejte z úvahy, co vše bude na serveru spuštěno.
Uvědomte si, že data s kterými zrovna procesor nepracuje si odkládá do
operační paměti. Má-li počítač málo operační paměti, odkládá si data na
harddisk (do stránkovacího souboru). Ovšem HDD je o hodně pomalejší než
operační paměť. Výsledkem je pak citelné zpomalení systému. Proto se na
velikosti operační paměti nevyplatí šetřit.
Než budete číst dále, měli byste si zopakovat nebo případně najít, jak pracuje
HDD a pojmy jako partition (oblast), swapovací (stránkovací) soubor, řadiče
disku – EIDE, SCSI, SATA.
Fyzická a logická struktura disků
Fyzickou strukturou disků se rozumí, kolik harddisků bude zamontováno ve
skříni počítače. O následujících odrážkách přemýšlíte, pokud máte v počítači
alespoň 2 fyzické disky.
pravidla:
OS by se měl nacházet na jiném fyzickém disku než stránkovací
(swapovací) soubor. Nestačí rozdělení jednoho disku na více partition.
Uvědomte si, jak disk čte a zapisuje data. V jednom harddisku je jedno
rameno s čtecími/zapisovacími hlavičkami. Zapisují-li na jednu oblast,
nemůžou současně zapisovat na druhou, takže rozdělení disku na dvě
partition je zbytečné.
106
9. Windows Server
Data aplikací by měla být oddělená od systému i samotných aplikací.
V případě databázového serveru je vhodné mít k dispozici ještě fyzické
disky pro protokoly transakcí.
Protože kdykoli může selhat HDD je dobré pro operační systém a důležitá
data vytvořit diskové struktury odolné vůči chybám (zrcadlené svazky,
svazky typu RAID-5).
Pro zájemce
S práci serverů a více disků souvisí pojem RAID. Stačí zadat tento pojem do
vyhledávače a dostanete spoustu odkazů. Pro začátek doporučuji podívat se na
www.wikipedia.cz a zde vyhledat pojem RAID.
S počtem disků souvisí i to jaký máte v počítači řadič disků. Zejména pokud
budete chtít vytvářet disková pole (RAID) nebo zrcadlit disky, zvažte typ
řadiče. Pro servery bude vhodnější použít SCSI, který umožňuje připojit více
disků než EIDE nebo SATA.
Logickou strukturou se myslí, na kolik oblastí (partition) je disk rozdělen. Zde
platí to, co je napsáno výše o práci harddisku. Je vhodné mít na jednom
fyzickém disku pouze jednu partition.
Typ instalace
Odkud a jak budete systém instalovat. Až budete zkušení správci, můžete se
rozhodnout, že už vás nebaví pokaždé sedět u počítače a promačkávat
nastavení instalačních oken. Můžete se pak rozhodnout pro automatickou
instalaci (v tom případě si musíte předem připravit soubor s odpověďmi pro
instalační program). V počátcích ale určitě budete instalovat klasicky z CD.
Další informace a nastavení
Následující položky patří k těm nejdůležitějším, proto je nesmíte vymýšlet až
v průběhu instalace. Věnujte dobrou pozornost návrhu adres názvů, protože
dodatečné zásahy a změny vám mohou nadělat pěknou paseku ve fungující síti.
jméno počítače
jméno uživatele
heslo administrátora
IP adresu serveru
IP adresu nevymýšlejte při instalaci, ale musíte vycházet z návrhu vaší sítě. IP
adresy serveru by měly být nastaveny staticky, aby server měl svou IP adresu
i v případě výpadku služby DHCP.
Heslo administrátora si poznamenejte, zapečeťte a uložte na bezpečné místo
(v případě firmy do trezoru s firemními dokumenty). Co když vás z toho
všeho trefí šlak. Co si pak počne váš nástupce? Nový administrátor zůstane
bez důležitých hesel?! ☺
107
Instalace serveru
Samotná instalace serveru se podobá instalaci klientské stanice, jen musíte
doplňovat údaje, které jste si dopředu připravili. V průběhu celého procesu
instalace se vyplatí číst, co počítač vypisuje na obrazovku.
Nejdříve vás přivítají nepříliš přitažlivé modré obrazovky, ale postupně se
propracujete ke klasickým Windows oknům.
Obr. 9.1: Instalace Windows serveru v textovém režimu
Obr. 9.2: Pokračování instalace
v grafickém režimu
Přesný popis instalace je zbytečné zde popisovat, protože vám stačí trochu
zagooglovat a najdete plno již zpracovaných postupů. Ptejte se například na
fráze „instalace Windows 2003“,
Shrnutí
Servery patří k nejdůležitějším zařízením sítě a proto si jejich instalaci
a konfiguraci musíte dopředu promyslet a připravit si podklady. A během
celého procesu návrhu a instalace si tvořte dokumentaci. Není nic horšího než
provádět instalaci zbrkle a navíc si nedělat poznámky.
Před instalací je nutné, abyste si promysleli strukturu sítě, roli serveru, zvolili
operační systém, rozhodli se pro kapacitu HDD a RAM a fyzickou a logickou
strukturu disků. Rovněž je vhodné si promyslet strukturu složek na discích.
Před instalací je nezbytné připravit si název počítače a IP adresu (případně
adresy), které serveru přidělíte. V případě serverů se obvykle nastavuje IP
adresa statická (tj. ručně, napevno), aby servery byly dostupné i v případě
výpadku služby DHCP.
Pokud nastavujete hesla a kódy, poznamenejte si je a uložte na bezpečné místo.
Nespoléhejte na svoji paměť. Nikdy nevíte, co se může stát.
108
9. Windows Server
Kontrolní otázky
1) Na co musíte při plánování instalace serveru navázat?
2) Shrňte hlavní oblasti, kterým musíte věnovat pozornost dříve než začnete
server instalovat.
3) Které ze systémových požadavků pro instalaci Windows Serveru je
vhodnější splnit ? Minimální nebo doporučenou? Vysvětlete proč.
4) Vyjmenujte hlavní serverové operační systémy.
5) Vyjmenujte alespoň 5 rolí, které může server plnit.
6) Je vhodné rozdělovat harddisk na více partition?
7) Jak naložíte s důležitými hesly po instalaci serveru?
struktura sítě
kapacita HDD
role serveru
kapacita RAM
souborový server
databázový server
aplikační server
DNS server
DHCP server
řadič domény
webový server
tiskový server
fyzická struktura disků
logická struktura disků
typy instalace
síťové operační systémy
minimální systémové požadavky
doporučené systémové požadavky
service packy
Řešení
Cvičení 9.1
1.c
2.a
3.d
4.b
5.e
109
110
10. DNS
10. DNS
vysvětlit účel DNS
popsat překlad doménových adres na IP adresy
nainstalovat službu DNS
Čas potřebný k prostudování kapitoly: 4
V této kapitole se seznámíte s jednou z nejdůležitějších služeb, která dnes
zajišťuje jak fungování lokálních sítí tak celého Internetu.
Už víte, že každý počítač v síti (a je v tuto chvíli jedno o jakou síť jde) musí
mít jedinečnou adresu. Tou adresou je IP adresa. Také víte, že data neputují po
síti najednou ale jako „balíky dat“ – pakety. V hlavičce každého paketu je IP
adresa příjemce a odesílatele.
Označit „balíky dat“ za pakety je zjednodušený pohled. Ve skutečnosti jsou data „balena“ do
„balíků“, které mají různá jména a vlastnosti podle toho, na jaké vrstvě modelu ISO/OSI
(případně modelu TCP /IP) se právě nacházejí. V převážné části lokálních sítí si mezi sebou
switche a počítače vyměňují rámce a to se děje na linkové vrstvě. V hlavičce rámce se jako
adresa příjemce a odesílatele používá MAC adresa (fyzická adresa síťové karty).
Teprve na úrovni síťové vrstvy se hovoří o paketech. V paketech se pro určení příjemce
a odesílatele používá IP adresa.
Příklad
Chcete-li zavolat kamarádovi, podle čeho ho najdete v seznamu svého
mobilu?
Asi budete postupovat tak, že najdete jeho jméno a vytočíte. Mobil už pak
sám dodá telefonní číslo, které vytočí (přístroj provádí spojení na základě
telefonního čísla).
Podobně vyhledáváte v klasickém telefonním seznamu - hledáte podle
jména (názvu firmy, oborou apod.). Většinou nehledáte člověka podle jeho
telefonního čísla.
U počítačů je to podobné. Lidé si pamatují jména a slovní názvy, kdežto
počítače používají pro komunikaci IPadresy ⇒ počítač musí někde získat
překlad slovní adresy, kterou mu zadáte, na IP adresu.
Zdánlivě nejjednodušším způsobem by asi bylo mít na každém počítači lokální
seznam, ve kterém budete udržovat seznam hostitelů a jim přiřazených IP
adres.
PC1
192.168.15.23
PC2
192.168.15.29
Reditelna
192.168.15.49
Jako řešení pro lokální síť se to může zdát pohodlné a snadné. Představte si ale,
že máte takto nastavenou síť se 100 počítači a do sítě přidáte nový počítač. Pak
musíte obejít každý počítač a do jeho seznamu přidat nový řádek
s informacemi o názvu a IP nového počítače.
Co taková situace, kdy ve vaší síti používáte notebooky, které do sítě přicházejí
a odcházejí a pokaždé mají jinou IP adresu ?
111
Situaci navíc hodně zkomplikuje připojení k Internetu. Představte si, že byste
museli do seznamu na každém počítači přidávat řádky s informacemi o IP
adresách Seznamu, Centrumu, Atlasu….. Takhle to mohlo fungovat za dávných a
dávných časů, ale dnes při celosvětovém rozsahu Internetu ?! Kdy každým
okamžikem se přihlašuje nebo odhlašuje nějaký ten počítač, s kterým byste mohli
chtít komunikovat ?!
Dnes proto musí existovat služba, která automaticky překládá slovní názvy
adres, které používají lidé, a IP adres, které používají počítače. Tato služba se
jmenuje DNS (Domain Name System – systém doménových jmen).
10.1 Fungování DNS
DNS se stará o strukturu tzv. domén a jejich názvů, která má svou
hierarchii. Jednotlivé úrovně se označují jako řády.
. (root)
org
com
gov
seznam
pl
sk
cz
centrum
ekf
domény 1.řádu
vsb
hgf
domény 2. řádu
fs
domény 3. řádu
Pro každou doménu jsou určené autoritativní servery, které se starají
o danou doménu. Každý takovýto server zná IP adresy počítačů, které do
domény patří. Zná proto i adresy DNS serverů, které se starají o podřízené
domény.
ROOT
CZ
Seznam
COM
PL
Centrum
Příklad
Že vám ta hierarchická struktura moc neříká ? A co tento zápis:
http://www.ekf.vsb.cz/
Tímto zápisem říkáte, že chcete komunikovat s webovým serverem
Ekonomické fakulty Vysoké školy báňské v doméně .cz. Webový server
se stará o webové stránky, které jsou na něm umístěny, a zpřístupňuje tyto
stránky žadatelům. Tím http:// říkáte, že počítače spolu budou
komunikovat pomocí protokolu http.
A k tomu, aby mohl váš počítač komunikovat, potřebuje znát IP adresu
dotyčného počítače. Proto se musí požádat DNS server, aby mu IP sdělil.
112
10. DNS
Příklad
Chcete si vytvořit vlastní doménu s názvem mafirma na doméně .cz.
Zeptáte se správce domény .cz, jestli už takové doména není registrována.
Jestliže je volná, pak si ji za poplatek můžete zaregistrovat.
Připravíte si server, který se bude starat o vaši doménu mafirma. Veřejná
IP adrese vašeho DNS serveru bude např. 188.134.11.232. Tuto IP adresu
nahlásíte správci domény .cz
Když teď někdo bude chtít komunikovat s počítačem v doméně
mafirma.cz, bude mu správcem domény .cz sdělena adresa
188.134.11.232.
Autoritou pro doménu mafirma.cz je už váš DNS server, který pak musí
být schopen sdělit IP adresy počítačů ve vaší doméně.
Princip překladu adres:
Platí, že DNS server starající se o doménu prvního řádu, zná IP
adresy DNS serverů starajících se o domény druhého řádu. Např.
server starající se o doménu CZ (je autoritou pro doménu CZ), zná IP
adresy serverů starajících se o domény Seznam, Centrum, VSB, apod.
Když se DNS serveru někdo zeptá na překlad, podívá se nejdříve do
své paměti, jestli už odpověď nezná a teprve pak se doptá
nadřazených DNS serverů.
Každý DNS server má ve své paměti uloženy IP adresy a jim
přiřazená jména:
• počítačů domény, kterou spravuje
• nadřazených serverů (aby věděl, kde se má ptát, když něco neví)
• adresy, které původně neznal, ale dodatečně zjistil (aby se
nemusel pokaždé doptávat)
Příklad
1. Potřebuji se spojit s počítačem PC1 v doméně obaka-orlova.cz. Můj
počítač ale nezná IP adresu počítače PC1. Dotáže se proto svého
výchozího DNS serveru (v nastavení TCP/IP na obr. 10.16), zda zná
IP adresu počítače PC1 v doméně obaka-orlova.cz.
2. DNS server se podívá do své paměti (tabulky pro překlad adres).
Pokud adresu zná, sdělí ji klientovi a ten může kontaktovat počítač.
Jestliže ale DNS server adresu v paměti nemá, musí se sám zeptat
jinde.
3. Zeptá se dalších názvových serverů, který zná, jestli by mu mohli
dotaz přeložit.
4. Nebo se zeptá „vejš“ -některého z kořenových serverů (root serverů) ,
ať mu sdělí IP serveru, který se stará o doménu cz.
5. Poté se může zeptat serveru DNS domény CZ, jaká je adresa serveru
starajícího se o doménu obaka-orlova.cz.
6. Nyní se už může dotázat přímo DNS serveru domény obaka-orlova.cz
na adresu konkrétního počítače v této doméně.
113
Pro vyhledání informací o práci DNS vám stačí zadat klíčová slova DNS,
fungování DNS, princip DNS apod. a obdržíte dostatečné množství
výsledků.
Pokud budete přemýšlet o hierarchii doménových názvů, rozlišujte, zda se
jedná o domény veřejné (venkovní, dostupné z Internetu) nebo vnitřní (vaší
lokální sítě). V případě venkovní domény musíte požádat o registraci.
V případě vnitřní domény si můžete zvolit libovolné jméno domény
a nemusíte ji nikde registrovat například – skola.local. Přípona local vám
zajistí, že jde o vnitřní doménu, která není dostupná z Internetu.
10.2 Instalace a nastavení DNS
Tak, teď když trošku tušíte, jak DNS funguje, nastal nejvyšší čas tuto
službu nainstalovat a nastavit. Samotná instalace není nic složitého
a zvládnete ji i v polospánku. Na správnou konfiguraci služby je
vhodnější už být vzhůru ☺ !
Instalaci zahájíte tak, že v Ovládacích panelech vyberete Přidat nebo
odebrat programy a pak zvolíte Přidat nebo odebrat součásti systému.
Označte Síťové služby a klikněte na tl. Podrobnosti. Poté zaškrtněte Domain
Name System (DNS) a klikněte na OK a pak na Další.
Obr. 10.1: Instalace síťových služeb
Obr. 10. 2: Instalace DNS
114
10. DNS
Jak vidíte, tak samotná instalace je zcela jednoduchá. Nyní musíte službu
DNS nakonfigurovat. Upozorňuji, že služba DNS je ve Windows svázána
se službou Active Directory. Proto některé vlastnosti DNS upravíte až po
nainstalování služby Active Directory. Nebo můžete postupovat tak, že
začnete instalací služby Active Directory a v průběhu instalace vás
instalátor požádá, abyste nainstalovali a nastavili službu DNS. Ať zvolíte
jednu nebo druhou možnost, předem si projděte následující řádky, abyste
věděli, co vás čeká.
Spuštění konzoly pro správu DNS se provádí v nabídce Start / Nástroje pro
správu / DNS
Obr. 10. 3: Spuštění DNS
Vytvořte názvovou zónu podle obrázku 10.4 a pokračujte postupně podle
průvodce. Protože vytváříte první zónu, která bude spravována na vašem
serveru, vyberte Primární zóna. Sekundární zónu vyberete v případě, že
konfigurujete záložní DNS (sekundární DNS server), který bude obsahovat
kopii primární zóny. Sekundární DNS pak bude sloužit k odlehčení zatížení
primárního serveru DNS nebo v případě výpadku primárního serveru DNS.
Obr. 10. 4: Vytvoření zóny vyhledávání
Zóna je vlastně část hierarchického stromu, o který se DNS server stará.
Obsahuje záznamy důležité pro překlad hostitelského názvu na IP adresu.
zóna dopředného vyhledávání: slouží k překladu hostitelského názvu
(jména) na IP adresu.
zóna zpětného vyhledávání (tzv. reverzní zóna): slouží k překladu IP
adresy na hostitelský název (jméno).
115
Obr. 10. 5: Typ zóny
Nyní se budete rozhodovat podle toho, jestli už máte, nebo nemáte
nainstalovanou doménu Active Directory.
V případě, že již máte nainstalovanou službu Active Directory, zaškrtněte
spodní políčko. Zajistíte tak svázání služby DNS a Active Directory. Zvýší
se tak bezpečnost, protože DNS bude poskytovat informace jen o počítačích
povolených v doméně. Zadáte název zóny a budete pokračovat výběrem
typu aktualizace DNS (obr. 10.8).
Zadejte název zóny. Protože se jedná o lokální zónu nedostupnou z internetu
volte název s příponou local.
Obr. 10. 6: Název zóny
V případě, že ještě nemáte nainstalovanou službu Active Directory,
nebudete mít na obr. 10.5 dostupné spodní zaškrtávací políčko. Zónu proto
uložíte do souboru (ten musí mít příponu dns). Protože konfigurujete novou
službu, vyberte z dalšího okna možnost Vytvořit nový soubor s následujícím
názvem skola.local.dns.
116
10. DNS
Obr. 10. 7: Uložení zóny do souboru
V dalším okně zvolte způsob dynamické aktualizace DNS. Máte-li už
nainstalovanou Active Directory vyberte první možnost. V opačném případě
zvolte druhou možnost (ač je nezabezpečená), ale v okamžiku, kdy
nainstalujete řadič domény s Active Directory, změňte tuto možnost na
první volbu.
Obr. 10. 8: Aktualizace záznamů v DNS
Dynamická aktualizace znamená, že klienti si budou registrovat svůj
hostitelský název a přidělenou IP adresu u DNS serveru sami. Počítač PC36
řekne DNS serveru, že má IP 192.168.15.124 a DNS server si to poznačí do
své databáze. Když se někdo zeptá na IP počítače PC36, vrátí mu DNS IP
192.168.15.124.
Zabezpečená dynamická aktualizace znamená, že DNS server nepřijme
registraci od kohokoli, kdo o to požádá, ale ověří si jeho identitu na řadiči
s Active Directory (více o Active Directory se dozvíte v další jedenácté
kapitole).
Výsledek vašeho dosavadního snažení vypadá takto:
Obr. 10. 9: Vytvořená zóna dopředného vyhledávání
117
Po nainstalování zón dopředného (případně zpětného) vyhledávání upravte
důležité vlastnosti DNS serveru. Klikněte na název serveru a z kontextové
nabídky vyberte Vlastnosti:
rozhraní: určuje rozhraní (IP adresu síťových karet), na kterých bude server
naslouchat DNS dotazům.
Obr. 10. 10: Rozhraní pro naslouchání
servery pro předávání (tzv. forwarders): určíte další servery, kterým bude
server předávat dotazy, na které nezná odpověď. Servery budou použity
v pořadí v jakém jsou uvedeny v seznamu.
Dotazy, na které sám
nezná odpověď se
pokusí předat jinému
DNS serveru
Obr. 10. 11: Servery pro předávání
Princip předávání:
1. server DNS se pokusí přeložit dotaz pomocí svých primárních
a sekundárních zón a informací ve své paměti
2. nemá-li sám na otázku odpověď, předá dotaz serveru, který má
v seznamu pro předávání na prvním místě. Nedostane-li odpověď, tak
dotaz předá dalšímu serveru v pořadí
3. nezíská-li žádnou odpověď, obrátí se na servery, které má uvedeny
v seznamu odkazů na kořenové servery. A postupuje se podle principu
popsaného v kapitole 10.1.
118
10. DNS
Obr. 10. 12: Seznam kořenových serverů
Dokončili jste první část konfigurace DNS. Nyní musíte nastavit protokol
TCP/IP a zóny DNS na počítačích v síti. Protože jste zapnuli dynamickou
aktualizaci, budou si počítače informace do zóny přidávat samy.
Služby a programy spuštěné na serveru mohou potřebovat přeložit
hostitelské názvy na IPadresy, musí se zeptat DNS serveru → v tomto
případě musí vědět, že se mají ptát toho samého počítače, na kterém běží.
Upravte proto nastavení TCP/IP serveru tak, aby adresa upřednostňovaného
serveru DNS byla stejná jako IP adresa serveru.
Obr. 10. 13: Nastavení TCP/IP serveru
Změňte název počítače na SERVER1.skola.local. Pozor název musí být
v síti jedinečný. A protože jste nastavili dynamickou aktualizaci, změny se
projeví v DNS automaticky.
119
Obr. 10. 14: Změna názvu počítače
Po restartování počítače spusťte konzolu DNS a podívejte se, že v DNS
přibyl záznam.
Obr. 10. 15: Záznamy v zóně dopředného vyhledávání
Při provozu služby DNS budou postupně přibývat další záznamy jak vidíte
na obrázku 10.16
Obr. 10.11: Výpis záznamů v zóně dopředného vyhledávání
Když se do záznamů DNS podíváte, všimněte si zkratek v závorkách. Jde o
určení typu daného záznamu.
SOA: označuje začátek zóny a obsahuje údaje o zóně. V každé zóně, je
vždy jeden takovýto záznam. Obsahuje mimo jiné také informaci
o primárním DNS serveru pro danou zónu.
NS:
identifikuje servery, které jsou pro danou zónu autoritativní
(primární i sekundární DNS servery).
120
10. DNS
A:
adresní záznamy, které slouží k překladu hostitelských názvů na IP
adresu.
PTR: ukazatele; slouží k reverznímu překladu (překladu IP na
hostitelský název).
Na klientském počítači v síti byste teď měli nastavit adresu DNS serveru,
kterého se bude počítač ptát na překlad adres.
Obr. 10.17: přiřazení DNS
serveru klientovi
Při konfiguraci klientského počítače byste měli postupovat obdobně. Ale už
vás vidím jak obíháte např. 200 počítačů ve firmě, zapínáte je, přihlašujete se
jako administrátoři a ručně nastavujete adresu upřednostňovaného DNS
serveru. Proto se v následující kapitole seznámíte s instalací a konfigurací
služby DHCP, která vám toto obíhání ušetří.
Vyhledáte-li na Internetu klíčové slovo DNS, pak získáte nepřeberné
množství odkazů.
Pokud opravdu chcete pochopit princip fungování sítí, musíte sáhnout po
další literatuře. Vřele vám doporučuji knihu Počítačové sítě bez předchozích
znalostí (Wendell Ondom). Nebojte, je česky ☺.
Shrnutí
Služba DNS, která provádí překlad slovních názvů hostitelů na IP adresy, patří
k jedné z nejdůležitějších služeb jak v LAN tak na Internetu. Překlad slovních
názvů na IP se označuje jako dopředné vyhledávání. Překlad v opačném směru
se nazývá zpětné vyhledávání.
Systém názvů má hierarchickou stromovou strukturu, kdy na vrcholu je tzv.
root doména, z které vycházejí podřízené domény dalších řádů. Část
hierarchického stromu, o který se autoritativní DNS server stará, se nazývá
zóna.
Domény můžete rozlišit podle toho, zda jsou nebo nejsou dostupné z Internetu.
Chcete-li si vytvořit veřejnou doménu, musíte si za určitý poplatek doménu
121
zaregistrovat a její název musí být v rámci nadřazené domény jedinečný.
Domény, které jsou použité jen v lokálních sítích a nejsou viditelné z Internetu,
registraci nepodléhají.
Pokud DNS server obdrží žádost klienta na překlad názvu, zapátrá nejdříve ve
své paměti, zda zná odpověď. V opačném případě se začne dotazovat na
servery, které jsou uvedeny v seznamu pro předávání. Pokud ani tak informaci
nezíská, začne se dotazovat serverů uvedených v seznamu kořenových serverů
a postupně se propracovává až na konec hierarchického stromu.
Instalace DNS v prostředí Windows je velmi jednoduchá. Nezapomeňte ale, že
v konfiguraci
TCP/IP
samotného
DNS
serveru,
bude
adresa
upřednostňovaného DNS ta, kterou má server rám přidělenou. Serveru tím
říkáte, že pokud bude mít dotaz na překlad, má se nejdříve zeptat sám sebe.
Kontrolní otázky
1) Jaký je důvod existence DNS ?
2) Vyjmenujte principy překladu adres
3) Popište způsob, jakým Váš počítač získá IP adresu počítače umístěného na
adrese csk.end.profit.cz
4) Co musíte udělat, pokud si chcete zaregistrovat internetovou doménu ?
5) Jaký je rozdíl mezi zónou dopředného a zpětného vyhledávání ?
6) Co to jsou kořenové servery ?
7) K jakému účelu slouží servery pro předávání ?
8) Jak nastavíte protokol TCP/IP serveru se službou DNS a klientského
počítače ?
pojmy k zapamatování
hierarchická struktura doménových názvů
autoritativní servery
kořenové servery
servery pro předávání
primární a sekundární zóna
zóna dopředného vyhledávání
zóna zpětného vyhledávání
upřednostňovaný server DNS
náhradní server DNS
122
11. Řadič domény
11. Řadič domény
objasnit účel domény
vysvětlit rozdíl mezi významem pojmu doména ve Windows a na
Internetu
nainstalovat a nakonfigurovat Active Directory
vytvořit uživatele a skupiny v doméně a zvolit vhodnou strategii pro
použití skupin.
Z kapitoly o vytvoření malé sítě víte, že doporučená velikost sítě peer-topeer je 10 počítačů. To proto, kdybyste museli jako správci nastavovat
uživatelské účty a oprávnění na více počítačích, museli byste nastavovat
každý počítač zvlášť. A to je pro větší počet počítačů nezvládnutelné.
Z tohoto důvodu se vytváří doména, ve které jsou všechna tato nastavení
spravována centrálně – na serveru. Ostatní počítače v síti se na nastavení
uživatelských hesel, oprávnění apod. ptají tohoto serveru.
Doména: množina prostředků v síti (počítače, tiskárny, uživatelé, uživatelské
skupiny…) se společnými pravidly a bezpečnostní politikou. Uživatel, který
má vytvořen v doméně účet, se může přihlásit a pracovat na libovolném
počítači v doméně. Administrátor tak může spravovat všechny účty v doméně
centrálně (v případě sítě peer-to-peer musel mít uživatel účet na každém
počítači). Ostatní počítače jsou k řadiči domény ve vztahu klient/server:
Ptají se, jestli se může
uživatel přihlásit do
sítě a jaká má práva
řadič domény
Ověří uživatelské jméno
a heslo a sdělí, jaká má
uživatel oprávnění.
ostatní počítače a servery
Nepleťte si pojem doména na Internetu a ve Windows. Na Internetu je to
skupina názvů, kdežto ve Windows jde o skupinu prostředků se
společnou a jednotnou správou.
Active Directory: adresářová (databázová) služba obsahující údaje o všech
prostředcích sítě ⇒ jádro domény. Active Directory je vlastně databáze, ve
které jsou uloženy informace o uživatelích, jejich heslech, oprávněních
a ostatních prostředcích sítě.
Řadič domény (Domain Controller): počítač, na kterém běží Active
Directory.
primární: spravuje databázi Active Directory
sekundární: obsahuje kopii primární databáze Active Directory
Řadič domény spravuje databázi se všemi účty. Dojde-li k výpadku řadiče
domény, nebudou se uživatelé moci přihlásit do sítě a ani na lokální počítače
(pokud nemají na lokálním počítači účet – a to povětšinou nemají). Je proto
vhodné, aby v síti byl sekundární řadič domény, který bude mít kopii databáze
Active Directory (nespravuje jinou databázi, ale pouze kopii).
123
Zde vás musím upozornit, že jsem si pro vás dovolil zjednodušení. Active Directory je ve
skutečnosti distribuovaná databáze (znamená to, že může být umístěna na více různých
místech). Jedna databáze Active Directory může být tvořena několik doménami, které mají
rozdílnou strukturu a pravidla. Domény lze seskupovat do tzv. doménového stromu nebo tzv.
lesa Active Directory.
Active Directory bývá tvořena těmito základními objekty:
•
•
•
•
•
Uživatel: informace o přihlašovacím jménu, heslu a dalších údajích (např.
adresy, telefony, e-maily apod.)
Skupina: obsahuje uživatele nebo jiné skupiny
Počítač: obsahuje informace o počítači v síti
Sdílená složka: slouží ke zveřejnění sdílené složky konkrétního počítače;
uživatel tak nemusí znát konkrétní umístění sdílené složky v síti
Tiskárna: zveřejňují se informace o tiskárně, která je v síti použitelná
Objekty lze seskupovat do kontejnerů (předdefinované kontejnery: Builtin,
Computers, Domain Controllers, ForeignSecurityPrincipals, Users). Nižším
stupněm kontejneru jsou organizační jednotky, pomocí kterých si můžete
zpřehlednit správu.
Předdefinované kontejnery
Objekty
Organizační jednotky
Obr. 11.1: Objekty v Active Directory
Informace, které může systém evidovat o jednotlivých objektech uložených
v Active Directory, vidíte na obrázku 11.2.
Obr. 11.2: Vlastnosti objektů v Active Directory
124
11. Řadič domény
Pozor!
Počítač s Active Directory patří k nejdůležitějším počítačům v síti a tomu musí
odpovídat také jeho ochrana. Ta se mimo jiné realizuje na úrovni fyzického
přístupu k počítači. Měl by být umístěn v místnosti, do které nemají běžní
pracovníci přístup.
Ve Windows jsou doména a služba DNS spjaty. DNS sdělí klientovi, který
počítač plní roli řadiče domény a na který počítač se má tedy obrátit v případě,
že chce ověřit přihlašujícího se klienta. A naopak jestliže server DNS má
povolenou zabezpečenou dynamickou aktualizaci, ověřuje si na řadiči domény,
zda může zapsat informace o názvu a IP adrese počítače do své databáze
Aby to bylo zajímavější, tak musíte ještě zahrnout službu DHCP. Po zapnutí si klientský
počítač „uvědomí“, že musí získat IP adresu a další nastavení TCP/IP ze sítě ( k těm dalším
nastavením patří i adresa DNS serveru). DNS serveru se klientský počítač zeptá na adresu
řadiče domény a řadiče domény se pak ptá, zda může do sítě přihlásit uživatele XY a jaká má
uživatel mít oprávnění.
Název domény
Při volbě názvu domény záleží na tom, zda v doméně budete používat počítače
s Windows 2000 a novějšími nebo máte i počítače se staršími systémy.
Pro Windows 2000 a novější, které používají DNS je název ve tvaru
název.přípona (např. skola.local)
Pro starší verze Windows ve tvaru : název (např. skola)
Aby to nebylo jednoduché, záleží také na tom, zda jde o název domény, který
chcete využívat na Internetu. Chcete-li název používat na Internetu, platí
pravidlo, že název na Internetu ještě nesmí existovat a váš zvolený název
musíte zaregistrovat (např. obaka-orlova.cz). Nechcete-li název domény
používat na Internetu, pak název může být i takový, který již existuje,
a přípona, kterou na Internetu nelze použít (např. obaka-orlova.local).
Pro zajištění přehlednosti a oddělení správy vnitřní a internetové domény je
výhodnější pro vnitřní doménu použít příponu, která není na internetu
dostupná.
11.1 Instalace domény Active Directory
Instalace se spouští příkazem dcpromo zapsaným do příkazového řádku.
Protože vytváříte novou doménu, vyberte první možnost (jako na obrázku 11.3)
Obr. 11.3: Vytvoření řadiče nové domény
125
Provázanost
řadiče domény
a DNS
Obr. 11.4: Vytvoření nové domény
Zadejte název domény bez háčků a čárek. Pro systémy používající DNS
(tj. Windows 2000 a novější) včetně přípony a pro rozhraní NetBIOS pouze
název bez přípony (název budou používat starší systémy).
Obr. 11.5: Název domény pro Windows 2000 a novější
Obr. 11.6: Název domény pro Windows 98 a Windows NT
126
11. Řadič domény
Vyberte, kde bude uchována databáze Active Directory, protokoly a umístění
složky SYSVOL. Pozor, složku SYSVOL nemůžete později přesunout.
Obr. 11.7: Umístění Active Directory
Obr. 11.8: Název zóny vyhledávání
Nemáte-li nainstalovanou službu DNS, spustí se průvodce instalací DNS.
V opačném případě, pokud existuje zóna vyhledávání se stejným názvem jako
doména, uvidíte okno (obr.11.9) a pokračujte dále. V dalším okně vyberte
nastavení podle toho, jaké systémy v síti již používáte (obr. 11.10).
Zadejte heslo pro obnovení adresářových služeb (obr.11.11): slouží pro
případ obnovení domény Active Directory ze zálohy (dojde-li k nějakému
kolapsu). Heslem je databáze chráněna před zneužitím. Jedná se o jedno
z nejdůležitějších hesel, proto byste jej neměli zapomenout (a to reálně hrozí,
protože doménu neobnovujete tak často). Proto pro obnovení adresářových
služeb platí pravidla o uchování administrátorských hesel.
Heslo pro obnovení domény by nemělo být stejné jako heslo administrátora
domény. Heslo administrátora se má pravidelně měnit, kdežto heslo pro
obnovu je stále stejné.
127
Obr. 11.9 Kontrola existence služby DNS
Obr. 11.10 Oprávnění
Obr. 11.11: Heslo pro obnovení adresářových služeb
Nakonec v Souhrnu zkontrolujte správnost nastavených údajů a instalaci
dokončete.
128
11. Řadič domény
Právě jste nainstalovali jednu z nejdůležitějších služeb sítě, která bude
ověřovat přihlašování všech uživatelů k síti, měli byste provést kontrolu
správnosti instalace.
Kontrola správnosti instalace Active Directory
přihlaste se k serveru, který plní roli řadiče domény jako administrátor
zkontrolujte jestli existují složky:
C:\Windows\NTDS se soubory NTDS.DIT a EDB.LOG
C:\Windows\SYSVOL
v nabídce Start by měly přibýt některé nástroje:
Domény a vztahy důvěry služby Active
Directory
Sítě a služby Active Directory
Uživatele a počítače služby Active Directory
Zásady zabezpečení domény
Zásady zabezpečení řadiče domény
Obr. 11. 12: Nástroje
pro správu domény
v Prohlížeči událostí zkontrolujte událost 13516 (Služba replikace souborů)
a ověřte, že řadič pracuje správně.
v konzoli DNS zkontrolujte vytvoření poddomén
Obr. 11.13: Kontrola DNS po nainstalování Active Directory
zkontrolujte zapnutí sdílení složky SYSVOL
Obr. 11.14: Kontrola sdílení na složku SYSVOL
129
Opakování není nikdy dost, proto vás znovu upozorňuji na propojení DNS
a Active Directory. Jestli si vzpomenete, tak jste zapnuli dynamickou
konfiguraci, která ovšem není zabezpečená. Proto musíte nyní upravit
konfiguraci DNS.
Úpravy konfigurace DNS
Spusťte konzolu DNS, otevřete vlastnosti Zóny dopředného vyhledávání a na
kartě Obecné nastavte pouze zabezpečené aktualizace.
Obr. 11.15: Vlastnosti zóny dopředného vyhledávání
Přidání počítače do domény
Aby počítače mohly v doméně fungovat, musí být do domény přidány (tj.
ověřeny). Např. Koupili jste nový počítač a potřebujete tento nový počítač
přidat do domény. Přihlaste se na počítači jako administrátor a v Tento počítač
z kontextového menu vyberte vlastnosti.
Obr. 11.16: Přidání počítače do domény
ve Windows XP
130
Obr. 11.17: Přidání počítače do domény
veWindows 2000
11. Řadič domény
Pro přidání počítače do domény bude po vás systém vyžadovat uživatele, který
je oprávněn pracovat s řadičem domény (jde o účet administrátora serveru,na
který jste nainstalovali doménu) a heslo. Po úspěšném přidání se objeví zpráva
Vítejte v doméně skola.local, pak restartujte počítač.
Ověření, že počítač byl do domény přidán, provedete na řadiči domény
(serveru) pomocí služby Uživatele a počítače služby Active Directory, kde
v sekci Computers přibyl účet počítače. Zde pak můžete provést další
nastavení.
Obr. 11.18: Účet počítače na řadiči domény
Odebrání počítače z domény provádíte podobně, jen místo členství v doméně zvolíte členství
v pracovní skupině. Pozor, k přidání počítače do domény potřebujete účet doménového
administrátora, kdežto pro odebrání vám postačí účet administrátora lokálního počítače.
Přidáním počítače do domény jste zajistili, že nemusíte definovat uživatele
a jeho oprávnění na každém počítači zvlášť, ale nastavení a správu uživatelů
budete provádět centrálně. Počítač si pak údaje nutné pro ověření uživatele
a jeho oprávnění vyžádá z řadiče domény.
11.2. Uživatelé a skupiny v doméně
Konfigurace uživatelů a skupin, přidělování oprávnění se provádí podobně jak
jste zvyklí (kapitola 4.). V doméně k tomu použijete nástroj Uživatelé
a počítače služby Active Directory.
Rozdíly mezi místním (lokálním) a doménovým účtem:
místní:
každý počítač má svou databázi uživatelů
umožňují přístup k prostředkům pouze na tomto počítači
k počítači se může uživatel přihlásit pouze, pokud má na počítači účet
doménový:
účet je uložen v databázi na centrálním počítači (řadiči domény)
uživatel má v doméně jeden účet, který mu umožňuje přihlásit se na
libovolném počítači, který je členem domény (pokud administrátor
uživateli nezakázal k některým prostředkům sítě přístup).
1) Existují-li na serveru, který se stane primárním řadičem domény, místní účty uživatelů
a skupin, jsou tyto účty automaticky převedeny na doménové. V případě sekundárního
řadiče jsou tyto účty odstraněny.
2) Po vytvoření domény nelze už na řadičích domény vytvářet místní účty.
3) Běžný doménový uživatel se může přihlásit na klientských počítačích v doméně. Řadič
domény mu ovšem nedovolí přihlásit se na serveru, na kterém běží řadič domény. Co by
tam tak běžný uživatel dělal ☺.
131
Obr. 11.19: Účty doménových uživatelů
Obr. 11.20: Vytvoření uživatelského účtu
Po vytvoření je uživatel automaticky zařazen do předdefinované skupiny
Domain Users. Pro snadnější práci s uživateli a přidělování oprávnění byste
samozřejmě měli využívat uživatelských skupin. Skupinu vytvoříte pomocí
nástroje Uživatelé a počítače služby Active Directory (obr. 11.19). obdobným
způsobem jako uživatele.
Obr. 11.21: Vytvoření nové skupiny
132
11. Řadič domény
V doméně existují 2 typy skupin:
se zabezpečením:
skupině se přidělují práva oprávnění
distribuční:
slouží k rozesílání e-mailových zpráv
nelze jim přidělovat práva a oprávnění
Výběr rozsahu skupiny ovlivňuje řada faktorů jako např. velikost a složitost
domény, hierarchická struktura domén, operační systémy nainstalované na
počítačích nebo organizační a bezpečnostní požadavky firmy. Podle těchto
faktorů se vybírá, jak rozsah skupiny, tak strategie zanořování jednotlivých
skupin do sebe.
Abyste v tom neměli zmatek, máte níže pouze informativní a zjednodušený
popis skupin a na ukázku dvě strategie použití skupin.
Rozsah skupin:
globální skupina:
může obsahovat pouze účty uživatelů, skupin nebo počítačů pouze
z té domény v níž je skupina vytvořena
většinou se nevyužívají pro přidělování oprávnění, ale pro
seskupování uživatelů s podobnými zájmy v síti (tisk na stejné
tiskárně, přístup do stejných složek)
Globální skupině lze oprávnění přidělit, ale nedoporučuje se to. Přidělení oprávnění
globální skupině je použitelné v případě malých organizací a za předpokladu, že
v Active Directory nebude více než jedna doména.
místní doménová skupina:
může obsahovat globální a univerzální skupiny, uživatelské účty
a skupiny z vlastní i jiné domény
slouží k přidělení oprávnění v rámci vlastní domény
univerzální skupina:
slouží k přidělování oprávnění v prostředí s více doménami
Vzájemné vztahy mezi skupinami ovlivňuje také tzv. úroveň funkčnosti
domény, která určuje :
které operační systémy je možné mít nainstalovány na řadičích domény
skupiny, které jsou k dispozici
členství skupiny v jiných skupinách
Úroveň funkčnosti domény zjistíte (změníte), když v nástroji Uživatelé
a počítače služby Active Directory kliknete na název domény a z kontextového
menu vyberete Zvýšit úroveň funkčnosti domény. Pozor, změny jsou nevratné.
Pro lepší orientaci v členství skupin v jiných skupinách, používám v tabulce
pouze zkratky rozsahu skupin. G = globální skupina, D = místní doménová
skupina, U = univerzální skupina. Zkratky A = uživatelské účty (Accounts),
P = oprávnění (Permissions) .
Pro lepší orientaci ve skupinách se doporučuje doplnit název skupiny ještě o písmeno
označující rozsah skupiny např. G Studenti (globální skupina studenti).
133
Úroveň
funkčnosti
Windows 2000
mixed
Windows 2000
native
Windows Server
2003
Možné OS
na řadiči
Windows NT 4.0 Server
Windows 2000
Windows Server 2003
Windows 2000
Windows Server
2003
Windows
Server 2003
Rozsahy
skupin, které
jsou k
dispozici
G
D
U
G
D
Členství
skupin
v jiných
skupinách
G→D
G→U
G→G*
D→D*
U→D
U→U
G→D
* obě skupiny musí být ze stejné domény
Zápis G → D znamená, že globální skupina může být členem doménové skupiny apod.
Vzhledem k možnostem, které pro práci se skupinami jsou, existuje řada
doporučených strategií pro používání skupin. Zde jsou dvě základní:
1.strategie: přidělení oprávnění globální skupině ( A → G ← P)
Vytvoříte globální skupiny, do kterých seskupíte uživatelské účty. Globálním
skupinám pak nastavíte oprávnění k danému prostředku (např. složce). Je
vhodná pro použití s málém prostředků a v prostředí pouze jedné domény.
uživatelské
účty
globální
skupina
oprávnění
k prostředku
Obr. 11.22: Nastavení oprávnění
pro globální skupiny
Nevýhody použití této strategie:
musíte nastavit přístupová oprávnění pro každou skupinu zvlášť (a to
v případě velkého počtu skupin může být náročné).
protože globální skupiny mohou obsahovat pouze účty a skupiny ze stejné
domény, může v případě přidání další domény nastat problém.
134
11. Řadič domény
2.strategie: přidělení oprávnění místní doménové skupině ( A → G → D ← P)
Při použití této strategie nepřidělujete oprávnění přímo globální skupině, kterou
použijete pouze pro seskupení uživatelů (se stejnými zájmy). Oprávnění
přidělíte místní doménové skupině. Do místní doménové skupiny vložíte
globální skupiny.
uživatelské
účty
místní
doménová
skupina
globální
skupina
oprávnění
k prostředku
Při této strategii chápejte doménové skupiny jako „operace“, které lze
s prostředkem (např. složkou) provádět a mají řečeno, kdo je může provádět.
Název skupiny se doporučuje sestavit z určení rozsahu skupiny, názvu složky a
účelu (nebo maximálního oprávnění). např. D Porady Cist.
Příklad:
Na základě druhé strategie ( A → G → D ← P) přidělte ke složce Porady potřebná
oprávnění skupinám učitelé, mistři, vedení. Učitelé a mistři si mohou číst dokumenty
z porad a členové vedení mohou tyto dokumenty vkládat a měnit.
1. Vytvořte 2 místní doménové skupiny D Porady Cist a D Porady Menit
2. Na kartě Zabezpečení složky Porady odeberte skupinu Users, protože nechcete,
aby si mohli všichni uživatelé složku prohlížet. Systém vám to nebude chtít dovolit odstraňte dědění oprávnění ( při odstraňování vyberte kopírovat – viz. kapitola 5)
a skupinu Users odeberte.
3. Přidejte skupiny D Porady Cist a D Porady Menit a nastavte oprávnění a změny
potvrďte
4. Do skupiny D Porady Cist vložte jako členy globální skupiny G Ucitele
a G Mistri. Do skupiny D Porady Menit vložte G Vedeni (nejsou-li vytvořeny,
vytvořte je a přiřaďte jim členy).
Pozn. Je na vás, jestli budete postupovat v pořadí 1., 2., 3., 4. nebo zvolíte 1., 4., 2., 3.
135
Po nějaké době si vedení vzpomnělo, že by si zápisy ve složce Porady měli mít
možnost prohlédnout také pracovníci ekonomického úseku ( G Ekonomove).
Při takovémto požadavku je už pro vás řešení jednoduché – vložíte globální skupinu
G Ekonomove do skupiny D Porady Cist – a máte hotovo.
Chcete-li mít přehled, kdo má ke složkám přístup, stačí se vám v nástroji
Uživatelé a počítače služby Active Directory podívat na členy doménových
skupin, které mají v názvu D Porady. Podle Cist, Menit v názvu hned víte, co
mohou členové skupiny se složkou provádět. Pro snazší orientaci můžete
využít vámi vytvořených kontejnerů (organizačních jednotek)
Výhody použití této strategie:
výhoda spočívá v tom, že si jednou promyslíte a připravíte, co lze se
složkou provádět (vytvoříte místní doménové skupiny a nastavíte
oprávnění). Pak už jen podle potřeby určujete, kdo může dané operace
provádět (přiřazujete nebo odebíráte členy místních doménových skupin).
V případě rozšíření o další doménu, nemusíte přepracovávat oprávnění, ale
pouze přidělíte, kteří uživatelé a skupiny z jiných domén vaší Active
Directory mohou se složkou manipulovat.
Nevýhoda:
potřebujete si na tento způsob uvažování a práce „zvyknout“
Pozor
Až budete uživatelům sítě nastavovat oprávnění pro přístup ke složkám na
serveru, nezapomeňte, že kromě oprávnění k NTFS musíte ještě zapnout
sdílení a nastavit oprávnění ke sdílení.
K zamyšlení
Můžete namítnout, že strategii A → G → D ← P byste mohli upravit a používat
A → G → G ← P, tj. vnořovat globální skupiny do sebe a na poslední nastavit
oprávnění.
To ano, ale
nedodrželi byste pravidlo, že globální skupiny slouží pro seskupování uživatelů se
stejnými zájmy
za chvíli byste ztratili přehled nad strukturou složek a přidělených oprávnění
protože globální skupiny mohou obsahovat pouze účty a skupiny ze stejné
domény, v případě rozšíření sítě o další doménu byste nemohli přidat skupinu
z jiné domény k již vytvořené skupině s nastaveným oprávněním → prostě zmatek
.
136
11. Řadič domény
Shrnutí
V této kapitole jste se seznámili s doménovým prostředím ve Windows, které
slouží k jednotné správě prostředků sítě. Údaje o všech objektech v doméně
(uživatelé, skupiny, počítače, tiskárny, složky …) jsou uloženy v databázi
Active Directory, která je uložena na serveru (případně serverech), který se
označuje jako řadič domény.
Před instalací domény je nutné vhodně zvolit název domény. Doména je
svázána se službou DNS, která je buď před instalací domény již nainstalována,
nebo se její instalace provede v průběhu instalace domény. Při instalaci
domény zadáváte heslo pro obnovení adresářových služeb. Toto heslo byste
měli dobře uschovat, protože v případě bez něj neobnovíte data domény ze
zálohy.
Po instalaci musíte do domény přidat počítače, vytvořit uživatelské skupiny,
účty uživatelů, vytvořit strukturu složek, nastavit přístupová oprávnění
a zapnout sdílení složek.
Všechny údaje o uživatelích a skupinách jsou umístěny na řadiči domény.
Uživatelé tak mohou pro přístup ke všem počítačům v síti používat jeden účet
a jejich správa je pro administrátora pohodlnější. Nefunkčnost řadiče domény
ale znamená obrovský problém v síti. Podle toho by měla vypadat ochrana
a zálohování řadiče domény.
Skupiny uživatelů se liší podle typu (se zabezpečením, distribuční) a rozsahu
(globální, místní doménové, univerzální). Pro práci se skupinami v doméně
existují doporučené strategie a při jejich výběru je vhodné zvážit případné
rozrůstání domény.
Kontrolní otázky
1) Charakterizujte rozdíl mezi doménovým prostředím a prostředím sítě peerto-peer z hlediska přihlašování uživatele.
2) Jak se nazývá počítač, který spravuje doménu ?
3) Vyjmenujte základní objekt v doméně.
4) K čemu slouží heslo pro obnovení adresářových služeb a jak byste s ním
měli zacházet ?
5) Jak přidáte počítač v síti do domény ?
6) Vysvětlete rozdíly mezi místním (lokálním) a doménovým účtem.
7) Které typy a rozsahy skupin existují v doméně ?
8) Co ovlivňuje výběr úrovně funkčnosti domény ?
9) Vysvětlete strategii A → G → D ← P
137
••
•
•
•
•
•
•
•
řadič domény (domain controller)
Active Directory
primární a sekundární řadič
domény
doména
objekty domény
doménový účet uživatele
lokální účet uživatele
heslo pro obnovení adresářových
služeb
•
•
•
•
•
•
•
138
globální skupina
místní doménová skupina
univerzální skupina
skupina se zabezpečením
distribuční skupina
strategie A → G ← P
strategie A → G → D ← P
12. DHCP
12. DHCP
zdůvodnit použití služby DHCP
vysvětlit rozdíl mezi statickým a dynamickým přidělováním IP adresy
nainstalovat službu DHCP na server
nastavit klienta pro získání IP adresy z DHCP
vysvětlit, jak jednotlivé operační systémy reagují při výpadku DHCP
Z kapitoly 4.Vytvoření malé sítě už víte, že aby počítače spolu mohly
komunikovat, musí mít správně nastavenou alespoň IP adresu a masku
podsítě. Protože jste si takovou konfiguraci odzkoušeli, už víte, co je nutné
udělat. Taková konfigurace se označuje jako statická, protože se povětšinou
nemění.
V této kapitole se naučíte, jak spravovat nastavení protokolu TCP/IP
centrálně z jednoho místa tak, aby si provedené změny počítače zjistily
automaticky samy.
Protokol TCP /IP můžete nastavit několika způsoby:
staticky („ručně na klientském počítači“) ve vlastnostech protokolu
TCP/IP. Nastavení pak zůstává stejné do dalšího zásahu administrátora.
Tento způsob se ve větších sítích používá pouze pro nastavení důležitých
zařízení jako např. serverů, switchů nebo tiskáren.
dynamicky (automaticky): nastavení protokolu TCP/IP je provedeno
vzdáleně ze serveru a mění se podle potřeby sítě. Počítač získá potřebné
informace o IP adrese, masce podsítě atd. ze serveru, který mu tato
nastavení na určitou dobu zapůjčí.
Příklad – statické adresování
Máte síť s 50 počítači, z nichž každý má nastaven protokol TCP/IP staticky
(ručně).
IP adresa: 192.168.10.x ( kde x je z intervalu 11 až 254)
maska podsítě: 255.255.255.0
výchozí brána: 192.168.10.1
Vy jako administrátor se rozhodnete (samozřejmě po zralé úvaze ☺ ) změnit
adresu výchozí brány. Co musíte udělat?
Musíte se přihlásit na klientském počítači jako administrátor, změnit adresu
výchozí brány. Pak odzkoušet, zda připojení funguje, a odhlásit se. To vše
zopakujete na 50 počítačích.
Pozn. výchozí brána: je adresa zařízení (routeru), které slouží k propojení
sítě s jinou sítí. Např. propojuje vaší síť s Internetem.
139
Přiklad – dynamické adresování
Máte síť s 50 počítači, z nichž každý má nastaven protokol TCP/IP tak, aby
získal nastavení automaticky z DHCP serveru (tj. dynamicky). Co musíte
udělat, rozhodnete-li se změnit IP adresu výchozí brány?
Jako administrátor se přihlásíte k serveru, na kterém běží služba DHCP,
změníte nastavení služby DHCP – změníte IP adresu výchozí brány.
Klientské počítače při přihlášení do sítě požádají o IP adresu, masku a adresu
výchozí brány. A automaticky dostanou novou změněnou adresu.
Představte si, že byste toto měli 200 počítačů v síti. Vše staticky nastavíte
a pak zjistíte, že někde máte chybu… To není dobrá představa, že?! ☺
Služba DHCP umožňuje počítačům automaticky požadovat a přijímat
nastavení konfigurace TCP/IP. Zejména DHCP přiděluje:
IP adresu
masku
adresu DNS serveru
adresu výchozí brány
atd.
V textu pro zjednodušení používám, že klientovi se přiděluje IP adresa.
Mějte na paměti, že se přidělují také ostatní parametry TCP/IP nutné pro
správné fungování sítě.
DHCP je služba, která běží na serveru, který se pak označuje jako DHCP
server. Server DHCP poskytuje služby nejen klientům Windows ale také
počítačům s jinými operačními systémy ⇒ lze použít pro celou síť.
DHCP server se stará o obor adres. Obor adres je interval adres, které má
DHCP server k dispozici a zapůjčuje je klientům. Doba zápůjčky určuje,
jakou dobu může klient IP adresu používat a kdy ji musí vrátit serveru. Server
pak může uvolněnou adresu přidělit libovolnému počítači.
Příklad
Zjistěte, zda používáte konfiguraci protokolu TCP/IP z DHCP serveru.
Pokud ano, zjistěte, na jak dlouho má váš počítač zapůjčenu IP adresu.
Tyto informace zjistíte pomocí příkazu ipconfig /all
Obr. 12.1: Použití příkazu ipconfig /all
V síti můžete potřebovat, aby některé počítače získávaly z DHCP serveru stále
stejnou IP adresu. Toto se označuje jako rezervace. K rezervování IP adresy
počítače se používá fyzická adresa síťové karty (MAC adresa), která jedinečně
určuje síťovou kartu a tím celý počítač.
140
12. DHCP
Mohlo by se vám zdát, že je zbytečné adresy rezervovat. Přece je můžete
nastavit na počítači staticky. To je pravda, ale:
rezervace na DHCP umožňuje pracovat s adresami centrálně
server DHCP nedovolí přidělit tutéž adresu více počítačům
rychleji dohledáte případné chyby a překlepy
Server DHCP nemůže být klientem jiného DHCP serveru ⇒ server, na kterém
běží služba DHCP, musí mít nastavenu IP adresu a masku sítě staticky. Adresy
ostatních zařízení (např. tiskáren) může přidělovat DHCP, ale musí se
rezervovat (pomocí MAC). Umožní se tak centrální správa IP adres.
Jeden server může spravovat více oborů adres. Stejně tak může být v síti více
DHCP serverů. V obou případech platí zásada, že obory, které server nebo
servery spravují, se nesmí překrývat. Mohlo by tak dojít k situaci, že je v síti
přidělena stejná IP adresa více počítačům – došlo by ke kolizi a nekomunikoval
by ani jeden z takto „obsloužených“ počítačů.
Proces přidělení IP adresy DHCP serverem
1. Klient ze svého nastavení zjistí, že musí získat konfiguraci TCP/IP
z DHCP serveru. Vyšle do sítě všesměrové vysílání (tzv.broadcast)
s žádostí o přidělení IP adresy.
2. Server vybere některou z volných IP adres (případně podle MAC adresy
žadatele rezervovanou adresu) a nabídne ji klientovi.
3. Klient příjme nabídnutou IP adresu a sdělí to serveru.
4. Server si poznamená, že adresa je obsazená, a zašle klientovi informaci o
tom, že má adresu přidělenou a může ji používat.
V případě problémů nebo nedohody se proces přidělování opakuje.
Uvedený postup je zjednodušený, ale pro lepší zapamatování jej ještě
zjednoduším:
klient: „Halo, je tady někdo, kdo by mi dal IP adresu?“
server: „Ano, nabízím ti tuto IP. Vyhovuje?“
klient: „Ano, beru.“
server: „Tak je tvoje a můžeš ji začít používat“
Někdy už klient IP adresu má a nechce ji měnit, ale přesto potřebuje získat automaticky adresu
DNS a bány ⇒ může požádat DHCP server jen o některé informace.
Adresování při výpadku DHCP serveru
Nedostanou-li klienti odpověď ze serveru DHCP, chovají se následovně:
počítače s Windows 9x a NT : klient zůstane bez IP adresy, tj. má 0.0.0.0
počítače s Windows 2000 ( Windows 98 SE, ME): klient si přidělí adresu
náhodně sám a pomocí všesměrového volání zjistí, zda je tato adresa volná
a zda ji může používat. Je-li obsazena zkusí si přidělit jinou.
počítače s Windows XP a Windows server 2003: obsahují možnost
Alternativní konfigurace, která se použije v případě, že nefunguje
automatická konfigurace z DHCP. Pokud není alternativní konfigurace
nastavena, postupuje se stejně jakou u Windows 2000.
141
Při plánování DHCP zvážit:
Počet klientů, které bude podporovat (teoreticky až 1000 oborů s celkovým
počtem 10 000 klientů), ale u středních a velkých sítí 2 DHCP servery pro
případ výpadku. Každý server musí poskytovat jiný obor adres
počet podsítí (jaká bude maska podsítě). Nezapomeňte, že počítače, které
jsou v jiných podsítích, se nevidí. To platí i pro servery.
výkon serverů → DHCP klade velké nároky na disk
DHCP server nemusí být ve stejné síti (může být v jiné podsíti), ale je
nutné nastavit přeposílání klientských požadavků. Přeposílání DHCP
(relay) pak musí být zapnuto a nastaveno na routeru.
Instalace a konfigurace DHCP serveru
Nezapomeňte, že než začnete konfigurovat tak důležité služby jako jsou
DHCP nebo DNS, měli byste mít vše promyšleno a naplánováno.
Před instalací a nastavováním byste měli mít připraveny mimo jiné tyto
informace:
počet DHCP serverů
rozsah oboru
IP adresy staticky adresovaných serverů a zařízení v síti (DNS serveru,
routeru apod.)
připravené MAC adresy počítačů které budou mít rezervovanou IP
adresu
Instalace služby DHCP
V Ovládacích panelech spusťte Přidat nebo odebrat programy a pak vyberte
Přidat nebo odebrat součásti systému. Označte Síťové služby a klikněte na
tl. Podrobnosti. Poté zaškrtněte Služba DHCP klikněte na OK a pak na Další.
Obr. 12.2: Přidání součástí systému
142
12. DHCP
Obr. 12.3: Přidání síťových služeb
Protože nastavení DHCP se nejlépe ukazuje na konkrétním příkladu,
rozšířím proto příklad z předchozích kapitol. Takže níže vidíte specifikace
vytvářené sítě.
Příklad – specifikace sítě
V síti je 150 počítačů. Z toho dva servery (192.168.15.2, 192.168.15.3 )
a počítač, který plní roli routeru (192.168.15.1). Počítače ředitele
a sekretářky mají mít stále stejnou IP adresu.
Spuštění konzoly DHCP
Konzola pro správu služby DHCP se spouští z nabídky Start / Nástroje pro
správu.
Vytvoření oboru adres
Vytvořte nový obor adres, který bude váš DHCP server spravovat. Spustí se
průvodce, který vás provede konfigurací DHCP serveru.
Obr. 12.3: Vytvoření oboru adres
143
Zadejte název oboru a rozsah adres oboru a masku podsítě. V našem případě
bude DHCP přidělovat IP adresy od 192.168.15.11 do 192.168.15.254.
Obr. 12.5: Pojmenování oboru
Obr. 12.4: Nastavení rozsahu oboru
Pozor!
Pro některá zařízení (servery, routery apod.) je vhodnější používat statické
adresování. A ač jsou v současné chvíli v naší síti pouze jeden router a dva
servery (s adresami 192.168.15.1, 192.168.15.2, 192.168.15.3) , vždy raději
mějte rezervu pro přidání nových serverů do sítě. Díky tomuto systému
v adresách budete vědět, že důležitá zařízení máte v rozmezí adres 1 – 10.
První a poslední adresy ( 192.168.15.0 a 192.168.15. 255) nemůžete použít pro
žádné zařízení v síti. Tyto adresy jsou vyhrazeny pro adresu sítě a všesměrové
vysílání (broadcast).
Do okna pro vyloučení adresy byste určili adresy, které se mají z intervalu
zadaného v předchozím okně, vyjmout. Například vyloučením adres
192.168.15.30 až 35 byste rozdělili obor poskytovaných adres na interval
<11,29> a <36,254>. V našem případě ponechte okno prázdné.
144
12. DHCP
Nastavte dobu, po kterou budou mít počítače IP adresu přidělenou. Můžete
ponechat standardní hodnotu. Záleží na tom, kolik máte IP adres k dispozici
a zda se počítače často střídají (např. notebooky). Nastavíte-li dobu příliš
krátkou, zbytečně zvýšíte provoz na síti a tím i zatížení sítě, ale server zase
rychleji získá zpět nepoužívané IP adresy.
V dalším okně ponechte volbu Ano, chci tyto možnosti měnit a pokračujte
dále. Nastavte adresu brány (routeru), na kterou budou klientské počítače
zasílat data pro jiné sítě (např. Internet) . V našem případě je to počítač s IP
adresou 192.168.15.1.
Zadejte adresu DNS serveru, na který se mohou klientské počítače obracet pro
získání překladu názvu počítače a IP adresy.
Pozor!
DNS je svázána se službou Active Directory, která ověřuje přihlášení
uživatele do sítě. Klient proto musí vědět, který počítač plní roli řadiče
domény. Kdo je řadičem domény (jakou má IP adresu řadič domény)
klientovi sdělí DNS server. Aby se mohl klient zeptat DNS serveru, musí se
nejdříve dozvědět, kdo je DNS serverem (jakou IP adresu má DNS server)
a to mu sdělí DHCP server.
Službu DNS jste nakonfigurovali v kapitole deset a ve vašem případě to je
stejný server, na který právě instalujete DHCP, tj. s adresou 192.168.15.2
Obr. 12.5: Nastavení výchozí brány
Teď vás upozorním na jeden „chyták“, který vám ušetří trošku času a
hledání. Všimněte si, že u některých položek máte tlačítko Přidat. To
znamená, že danou funkci (v tomto případě DNS serveru) může plnit více
zařízení. Ale aby byla daná adresa použita, musíte kliknout na tlačítko
Přidat. Nestačí pouze zapsat adresu a hned kliknout na tlačítko Další.
145
Obr. 12.6: Určení DNS serveru
Následující okno vyplníte pouze používáte-li systémy starší než Windows 2000
a máte-li na serveru nainstalovanou službu WINS. V našem případě
pokračujete dále. V okně Aktivovat obor vyberte Ne a dokončete vytváření
oboru.
Nový obor byste sice mohli aktivovat, ale je bezpečnější vše zkontrolovat
a pak obor aktivovat. Předejdete tak problémům hlavně v případě, že
provádíte změny v již „chodící“ síti.
Rezervace adres
Z kontextového menu vyberte Nová rezervace a vyplňte název, IP adresu
a MAC adresu. MAC adresa musí být zapsána přesně, protože jinak rezervace
pro daný počítač nebude fungovat.
Obr. 12. 7: Vytvoření rezervace
146
12. DHCP
Obr. 12. 8: Přiřazení IP k MAC adrese
Jen pro vysvětlení: BOOTP je starší protokol, který umožňuje zavádění operačního systému ze
sítě.
Ověření serveru DHCP v doméně
Z důvodu bezpečnosti je nutné ověřit server DHCP v doméně. Mohlo by se
totiž stát, že se najde „výtečník“, který si nainstaluje a nakonfiguruje DHCP
server. Samozřejmě podle svých představ. A tomu je nutné zabránit.
V konzole DHCP klikněte na název serveru a z kontextového menu vyberte
Ověřit. Pokud se vám zdá, že se nic neděje, přečtěte si pokyny v pravé části
okna.
Kontrola konfigurace a aktivace oboru
Nyní zkontrolujte, zda jste vše nastavili správně, zejména:
adresu DNS serveru (najdete v možnostech oboru)
adresu výchozí brány
obor adres (zda nekoliduje s jinými adresami v síti)
rezervované adresy
Obr. 12. 9: Aktivace oboru adres
Konfigurace klientského počítače
Aby počítač získával nastavení z DHCP serveru, musíte nastavit protokol
TCP/IP klientského počítače. Nezapomeňte, že dynamicky získává i IP adresu
DNS serveru.
147
Obr. 12. 10: Nastavení TCP/IP
klintského počítače
Pokud vám konfigurace DHCP zabrala více času (a to tím více, pokud jste
rezervovali počítačům IP adresy), budete určitě chtít mít svou práci
zálohovanou. Klikněte v konzole DHCP na název serveru a z kontextového
menu vyberte možnost Zálohování. Nezapomeňte si pak vytvořenou zálohu
uložit na bezpečné místo ☺.
Cvičení 12.1
Rozhodněte o správností tvrzení (Ano/Ne)
1) IP adresy přidělované počítačům lze vybírat v celém rozsahu. Tj. například
u adres třídy C v rozsahu od 0 do 255.
2) adresa výchozí brány = adresa routeru sítě
3) V síti nemohou být dva DHCP servery
Vyberte správnou možnost
4) Rezervace slouží k přiřazení IP adresy k:
a. MAC adrese
b. adrese síťové karty
c. doménovému jménu počítače
d. hostitelskému jménu počítače
5) V síti budete mít 3 servery a 1 router, jejichž protokol TCP/IP je
konfigurován
ručně
(192.168.1.1,
192.168.1.2,
192.168.1.3,
192.168.1.4). Jaký zvolíte rozsah oboru pro ostatní počítače v síti?
a. 192.168.1.0 - 192.168.1.255
b. 192.168.1.10 - 192.168.1.254
c. 192.168.1.1 - 192.168.1.254
6) Pomocí kterého příkazu zjistíte, zda počítač používá dynamickou
konfiguraci DHCP?
a. ipconfig /renew
c. ipconfig
e. netstat /release
b. ipconfig /all
d. netstat /all
f. netstat /renew
148
12. DHCP
Shrnutí:
Za statické nastavení protokolu TCP/IP se považuje jeho ruční nastavení na
každém klientském počítači. Jako dynamické nastavení se označuje
automatická konfigurace klientského počítače na základě informací
poskytnutých DHCP serverem.
Počítače mohou mít IP adresu zapůjčenu pouze na určitou dobu, po kterou ji
používají. Poté ji může DHCP server přidělit jinému počítači. V případě, že se
struktura sítě nemění může se správce rozhodnout, aby DHCP server počítači
přiděloval stále stejnou IP adresu. Počítač má IP adresu rezervovánu na základě
fyzické adresy síťové karty (MAC adresy).
Samotná instalace a konfigurace DHCP serveru nesmí být prováděna zbrkle
a údaje vkládány bez předchozí přípravy a promyšlení. Zadělali byste si na
zbytečné problémy. Vše by mělo vycházet z vaší úvahy o struktuře sítě
a službách, které bude poskytovat.
Kontrolní otázky
1)
2)
3)
4)
Popište proces přidělování IP adresy.
K čemu slouží rezervace IP adresy?
Může být v síti více DHCP serverů?
Co se stane, když bude v síti více DHCP serverů a budou nakonfigurovány
stejně ?
5) Jaký je postup, pokud počítač požaduje IP adresu z DHCP, ale nedostane
odpověď?
6) Jakými 2 způsoby můžete zjistit, zda počítač používá statickou nebo
dynamickou konfiguraci TCP/IP
MAC adresa
IP adresa
obor adres
rezervování IP adresy
doba zapůjčky
alternativní konfigurace
Řešení
Cvičení 12.1
1)
2)
3)
4)
5)
6)
Ne
Ano
Ne
a.
b.
b.
149
150
Závěr
Tak, a jste u konce. Došli-li jste až k tomuto závěru, znamená to, že jste se
prokousali spoustou textu, schémat a obrázků. Odzkoušeli jste si příklady
ovládání počítače a určitě jste narazili na problémy, které jsem, přes
veškerou snahu, nepředpokládal. To vše je bez možnosti okamžité
komunikace s učitelem velmi obtížné a hodno obdivu.
V opoře jsme pouze nahlédli do problematiky. Ti z vás, kteří se ji budou
chtít věnovat podrobněji, mohou použít nepřeberné množství informací
v různých knihách, časopisech a na Internetu
Doufám, že vám tento učební text ukázal, po jakých cestách se
v informatice můžete, budete-li mít zájem, dále vydat. Přejí Vám hodně
úspěchů v dalším studiu.
Autor
151
152
Seznam použité literatury
HORÁK, J., KERŠLÁGER, M., Počítačové sítě pro začínajícího
administrátora, 2.vyd.. Praha: Computer Press, 2003. ISBN 80-7226-876-7
STANEK W. R., Microsoft Windows XP Professional Kapesní rádce
administrátora, 2.vyd.. Praha: Computer Press, 2003. ISBN 80-7226-601-2
ŠETKA P., Mistrovství v Microsoft Windows server 2003, 1.vyd.. Brno:
Computer Press, 2003. ISBN 80-251-0036-7
BOTT E., SIECHERT C., Mistrovství v zabezpečení Microsoft Windows 2000
a XP, 1.vyd.. Brno: Computer Press, 2004. ISBN 80-722-6878-3
ODOM W., Počítačové sítě bez předchozích znalostí, 1.vyd.. Brno: Computer
Press, 2005. ISBN 80-251-0538-5
Microsoft Windows 2000 MCSA/MCSE Training Kit Administrace sítí, 1.vyd..
Brno: Computer Press, 2003. ISBN 80-7226-773-6
153
154
Vysvětlení grafických symbolů
Průvodce studiem
Příklad
Shrnutí
Kontrolní otázky, K zamyšlení
Upozornění
Cvičení, úkol
Poznámka
Pro zájemce
Řešení
Cíl
155