2 Arbetsgrupp eller Windows NTdomän: vilken passar bäst?

2 Arbetsgrupp eller Windows NTdomän: vilken passar bäst? Innan jag kan besvara frågan om vilket som är bäst av arbetsgrupp och Windows NT-domän (det rätta svaret är för övrigt: det beror på) behöver vi ta en titt på grunderna i nätverkshantering bland medlemmarna i Microsofts Windows-familj. Både datorarbetsgrupp och Windows NT-domän är logiska begrepp Först måste vi göra klart att begreppen datorarbetsgrupp/arbetsgrupp och Windows NT-domän inte har någon given koppling till hur datorer är anslutna till ett fysiskt nätverk. En enskild datorarbetsgrupp kan omfatta datorer i samma rum lika väl som datorer i olika världsdelar. Dessutom kan datorer i samma rum lätt delas in i flera datorarbetsgrupper. Det samma gäller för Windows NT-domäner. Ett vanligt fall där en datorarbetsgrupp eller Windows NT-domän består av datorer i olika världsdelar är när någon inom din organisation tar med sin dator på en längre resa och använder modem eller slikt för att koppla upp sin dator till hemmanätverket. Den datorn kommer då, som vanligt, att ingå i hemmanätverket (som består av datorarbetsgrupp eller Windows NT-domän, en eller flera). Serverlistehållning//Computer Browser gör arbetsgrupper och domäner synliga Det nätverksprogram i Windows-datorer som håller reda på datorarbetsgrupper och Windows NT-domäner kallar jag serverlistehållare (eng. Computer Browser). Dess arbete är mycket tydligt i Windows 95/98 och Windows NT 4.0 det är det program som står för innehållet i Nätverket//Network Neighbourhood. 47

2 Arbetsgrupp eller Windows NT-domän: vilken passar bäst? Innehållet i Nätverket//Network Neighbourhood tillhandahålls av tjänsten Computer Browser (bilden ovan från en dator med Internet Explorer 4.01 installerad). Tyvärr syns inte namnet på den egna arbetsgruppen när man öppnar Nätverket//Network Neighbourhood (jämför med Anslut nätverksenhet//connect/map Network Drive nedan). Äldre Windows-versioner visar samma information när vi ansluter nätverksenheter. Dialogruta som visas när man ansluter nätverksenhet (bilden är från Windows NT 4.0). Microsoft-nätverk är antingen datorarbetsgrupp eller Windows NT-domän En Windows NT-dator måste ingå i datorarbetsgrupp eller en Windows NT-domän (LAN Manager-domän). Andra Windowsdatorer, Windows för Workgroups, Windows 95/98, kan endast 48

Både datorarbetsgrupp och Windows NT-domän är logiska begrepp vara medlemmar i datorarbetsgrupper, de räknas aldrig som medlemmar av en Windows NT-domän. I strikt mening kan endast Windows NT-datorer vara medlemmar i en Windows NT-domän. Detta hindrar inte att personer med domänkonton använder dessa från andra Windows än Windows NT. Anges inte datorarbetsgruppsnamn för Windows-datorn ingår den i den förvalda arbetsgruppen Arbetsgrupp//Workgroup. Därför skall du aldrig använda namnet Arbetsgrupp//Workgroup på en riktig datorarbetsgrupp i er organisation, använd det i stället som ett felsökningshjälpmedel. Om det dyker upp datorarbetsgrupper med namnet Arbetsgrupp//Workgroup i ditt nätverk är det att betrakta som felinstallation (om ni inte valt just namnet Arbetsgrupp//Workgroup). Namngivning av datorarbetsgrupp/windows NT-domän Man kan fritt välja namn på en datorarbetsgrupp/windows NT-domän, men det är mycket tillrådligt att planera dessa namn i förväg. Beroende på om två arbetsgrupper får samma namn, två domäner får samma namn eller en arbetsgrupp får samma namn som en domän uppträder olika fenomen. Namn på datorarbetsgrupper måste inte vara unika Om din organisation har flera hopkopplade nätverk bör det inte finnas datorarbetsgrupper med samma namn som någon annan arbetsgrupp. Det gör visserligen ingen skada om två arbetsgrupper får samma namn, men förvirring kan uppstå för användarna om de plötsligt ser datorer från andra sidan jordklotet (eller grannkommunen) listas som medlemmar i den egna arbetsgruppen. Det finns nämligen inget sätt att avgöra att två arbetsgrupper med samma namn är tänkta att vara olika arbetsgrupper de uppfattas som samma arbetsgrupp. (Det är inte möjligt i ett nätverk att ha två arbetsgrupper med samma namn.) Namn på Windows NT-domäner måste vara unika Det är inte möjligt att upprätta en ny Windows NT-domän med samma namn som en befintlig åtminstone inte om den första domänens primära domänkontrollant, PDC, är inkopplad på nätverket när man försöker. Om vi råkar installera en ny Windows NT-domän en dag när nätlänkarna inte fungerar och därtill använda ett namn på en ny Windows NT-domän som redan är upptaget av en befintlig 49

2 Arbetsgrupp eller Windows NT-domän: vilken passar bäst? Windows NT-domän kommer de båda domänerna att kämpa om namnet. I detta läge måste vi installera om den ena Windows NT-domänen, vilket är en smal sak så länge den endast består av en primär domänkontrollant. Har vi otur hinner vi installera ett antal reservdomänkontrollanter också vilka även de måste installeras om. Har du tur behöver du inte installera om datorerna eftersom det går att byta namn på befintliga Windows NT-domäner (beskrivs senare i detta kapitel). Datorarbetsgrupper kan ha samma namn som en Windows NT-domän En datorarbetsgrupp kan ha samma namn som en befintlig Windows NT-domän (det kan ibland vara fördelaktigt). Om man låter alla datorer med WfWG och Windows 95/98 ingå i en datorarbetsgrupp med samma namn som en Windows NT-domän inträffar det trevliga att alla datorer i nätverket visas som tillhörande samma gruppering (namnet på datorarbetsgruppen och Windows NT-domänen). För nätverket är det ingen skillnad mellan Windows NT-domäner och datorarbetsgrupper det har endast begrepp om grupperingar, inte Windows NT-domäner eller datorarbetsgrupper. Namnen får vara upp till femton tecken långa Datorarbetsgruppers och Windows NT-domäners namn används av NetBIOS och är därmed underkastade samma begränsning som andra NetBIOS-namn (datornamn, m.fl.). NetBIOS-namns största längd är sexton tecken, men det sista tecknet använder Microsoft för att koda vilken typ av namn det handlar om så det återstår femton teckenplatser. Om vi endast använder engelska bokstäver till första tecknet i namnet; engelska bokstäver, siffror och bindestreck till de följande fjorton tecknen finns det sammanlagt 26 37 14 (2,3 10 23 ) olika namn på datorarbetsgrupper (alla blir ju inte så roliga ). Nätverk växer och kopplas samman: gör en plan för namngivning av arbetsgrupper och domäner Det enda konstanta i den här världen är förändring så du kan tryggt räkna med att ert nätverk inte kommer att se ut som ni planterat om ett par år. Det bästa sättet att möta förändringar i nätverket är att namnge datorarbetsgrupper och Windows NT-domäner på ett konsekvent och ändå lätthanterligt sätt. 50

Windows-familjens medlemmar har inbyggt nätverksstöd Ett företag jag arbetat på namngav sina Windows NT-domäner efter de världsdelar och länder i vilka de befann sig. Den Windows NT-domän som innehöll mitt användarkonto hette NorthernEurope, min Windows NT-dator hade sitt hem i domänen Swe-Stockholm. Denna namngivning är naturligtvis inte så lyckad om man antar att det egna nätverket kommer att kopplas ihop med ett annat som vi ännu inte vet någonting om. Ett bättre sätt kan vara att namnge datorarbetsgrupper och Windows NT-domäner med ett förkortning av det egna namnet som första tecken, Simp- för företaget Simplex System, NLL- för Norrbottens Läns Landsting, o.s.v. Tycker man att det blir för fult och ohanterligt med dessa namn kan man ändå begränsa sig till namn som börjar på samma bokstav som det egna företaget/den egna organisationen. Med denna metod skulle domäner hos AB Volvo kunna ges namnen Valaskjalf, Valhall, Vigridsvang med flera som börjar på v. I kapitel 20 finner du förslag på metoder för namngivning (bilaga A innehåller asanamn för datorer, datorarbetsgrupper och Windows NT-domäner). Det finns inget sätt att begränsa antalet arbetsgrupper eller domäner i ett nätverk ingen överhöghet Det är fullt möjligt (om än inte önskvärt) att låta varje enskild Windows-dator i ett nätverk utgöra sin alldeles egna arbetsgrupp man kan också låta varje dator med Windows NT Server vara sin egen domän. Det finns inget sätt i ett datornätverk att begränsa antalet arbetsgrupper eller Windows NT-domäner. Den övre gränsen för datorarbetsgrupper är lika med antalet Windows-datorer i nätverket. För Windows NT-domäner är den övre gränsen lika med antalet datorer med Windows NT Server (en sådan dator kan installeras som primär domänkontrollant i sin egen domän). Windows-familjens medlemmar har inbyggt nätverksstöd Inbyggt nätverksstöd är en av de saker som utmärker de flesta medlemmarna i Windows-familjen. Sedan några år är det inte möjligt att köpa nya Windows-varianter utan inbyggt nätverksstöd. Listan över Windows-produkter med inbyggt nätverksstöd som används i företag och organisationer under 1998 ser ut 51

2 Arbetsgrupp eller Windows NT-domän: vilken passar bäst? så här: q Windows för Workgroups 3.11 q Windows 95 q Windows 98 q Windows NT Workstation 3.51 q Windows NT Workstation 4.0 q Windows NT Server 3.51 q Windows NT Server 4.0 Alla medlemmar i Windows-familjen kan vara både klient och server i nätverket Det nätverksstöd som Microsoft försett Windows-familjen med är sådant att samtliga produkter kan vara både klient och server i nätverket (om vi med server menar en dator på vilken vi gör resurser tillgängliga för andra via nätverket, ex. mappar och skrivare). Alla som använder en Windows-dator i ett nätverk är medveten om att den är nätverksklient, det är den delen de använder för att nå resurser på andra datorer. Serverdelen är oftast inte alls utnyttjad och kan med fördel slås av på datorer som använder Windows för Workgroups (och kanske även Windows 95/98) när de används i Windows NT-domäner. Klient kärt barn med många namn Klientdelen av nätverket på en Windows-dator har många namn, främst av historiska skäl. Var beredd på att den kommer att kallas vilket som helst av dessa namn: q Omdirigerare//redirector Namnet används för att visa på att klientdelens huvuduppgift är att omdirigera anrop från den egna datorn till en annan dator som finns i nätverket. Tänk på att man ofta knyter en lokal diskbokstav till en nätverksenhet så förstår hur benämningen uppstått den dirigerar om anrop från den lokala enheten till en server på nätverket. q Arbetsstation//workstation 52

Windows-familjens medlemmar har inbyggt nätverksstöd På Windows NT-datorer har Microsoft infört beteckningen arbetsstation//workstation som namn på klientdelen av nätverket. Detta kan bli en smula förvirrande eftersom både Windows NT Workstation och Windows NT Server innehåller nätverksklienter. Tydligast syns denna beteckning när man betraktar tjänster//services i Windows NT. Serverdelens uppgift Serverdelens uppgift på Windows-datorer är att göra det möjligt att dela en dators resurser med andra datorer i nätverket. Vem som bereds tillträde till en resurs kan avgöras på två sätt: resursen får ett eget lösenord eller genom att datorn kan avgöra vilket konto som försöker komma åt resursen. Share Level lösenordsstyrd resursåtkomst Det äldre (och dåliga) sättet att styra åtkomst till resurser var genom att koppla ett lösenord till resursen. När en klient försökte använda resursen uppmanade servern klienten att ange lösenord (användaren matar in lösenordet i en dialogruta). En stor begränsning med Share Level är att det endast finns ett sätt att komma åt resursen, samma för alla, det finns ingen möjlighet att ge olika användare olika tillgång till resursen. Windows för Workgroups kan endast använda detta sätt att dela resurser. Windows 95/98 kan använda både detta sätt och User level som strax följer. Det engelska namnet på denna metod är Share Level, på svenska säger man ofta lösenordsstyrd resursåtkomst. User Level användarkontostyrd resursåtkomst Det rätta sättet att styra åtkomst till en resurs är att göra det för olika användare (egentligen användargrupp), d.v.s. det är namnet på användarkontot som används för att styra vem som får och inte får komma åt resurser och på vilket sätt. Med User Level undanröjs begränsningen i Share Level det är mycket enkelt att ge olika användare (olika grupper av användare) olika tillgång till samma resurs. Windows 95/98 kan använda denna metod (och även den äldre), men endast en i taget de går inte att blanda på samma dator. Windows NT Workstation och Windows NT Server kan endast hantera styrning av resurser per användare. 53

2 Arbetsgrupp eller Windows NT-domän: vilken passar bäst? Eftersom det är användarkonton/gruppkonton som brukas i denna metod kallas den på engelska User Level, på svenska ofta användarkontostyrd resursåtkomst. Klienter är SMB-klienter, servrar är SMB-servrar Nätverk bygger på att klient och server och server kan prata samma språk för att logga in, hämta filer från en server, skicka utskrifter, m.m. I Microsofts nätverksvärld heter det gemensamma språket Server Message Block, SMB. I teknisk mening är alltså de ovan uppräknade medlemmarna i Windows NT-familjen både SMB-klienter och SMB-servrar. Microsoft har vidareutvecklat SMB till Common Internet File System, CIFS. De första spåren av CIFS syns redan i Service Pack 3 för Windows NT 4.0. (Läs mer om SMB i kapitel 30.) Windows-familjens medlemmar kan vara klienter/servrar även för andra Förutom att medlemmarna i Windows-familjen kan vara SMBklienter och SMB-servrar har de inbyggd möjlighet att vara klienter i NetWare-nätverk (NetWare Core Protocol, NCP heter språket i den världen). Windows NT Server kan dessutom vara server åt Macintosh-datorer (som talar AppleTalk Filing Protocol, AFP). Endast klienter gör inget nätverk Ett datornätverk i vilket det inte finns någon dator som är server är inte mycket att ha (man kan dela skrivare). Utan minst en server finns det nästan inget behov att alls ha ett nätverk. Betänk då att jag även räknar det fall att du sitter hemma och surfar på webben din dator är då klient till webb-servrar. Användarkonton och grupper är viktiga för Windows NT En Windows NT-dator innehåller alltid en kontodatabas, antingen sin egen eller domänens kontodatabas. Alla kontodatabaser innehåller användarkonton och grupper. Verktyget för att hantera konton och grupper heter Kontohanteraren//User Manager på Windows NT Workstation, Kontohanteraren för domäner//user Manager for Domains på Windows NT Server. Vid installation av Windows NT upprättas alltid ett administra- 54

Alla måste logga in till Windows NT törskonto, med namnet Administratör//Administrator. Detta konto används sedan för att upprättas nya användarkonton. Det finns en enda typ av konto i Windows NT, om det är administratörskonto eller användarkonton beror endast på vilka grupper de är med i. Alla måste logga in till Windows NT Oavsett om en Windows NT-dator är i en arbetsgrupp eller i en Windows NT-domän måste man först logga in till datorn innan den kan användas. Detta skiljer Windows NT från Windows för Workgroups och Windows 95/98 vilka kan användas utan inloggning. I Windows 95/98 kommer man inte ut på nätverket om man inte loggar in, WfWG kan ställas in på samma sätt med AdminCfg (mer om WfWG och Windows 95/98 finner du i kapitel 29). Inloggning i datorarbetsgrupp och Windows NT-domän har stora likheter Oavsett om Windows NT-datorn man använder för att logga in finns i en datorarbetsgrupp eller i en Windows NT-domän inleds inloggningen alltid på samma sätt. För att inleda inloggning trycker användaren på de tre tangenterna Ctrl+Alt+Del (Ctrl+Alt Gr+Del brukar också fungera, då räcker det med en hand). I Windows NT-sammanhang kallas detta Secure Attention Sequence, SAS. Tanken med att använda just Ctrl+Alt+Del är att ingen skall kunna skriva ett program som ser ut som Windows NT och snappa upp användarens lösenord. Det är inte ovanligt, på andra operativsystem, att en datorbuse skriver ett program som ser ut som operativsystemets inloggningsfönster. När användaren loggar in kommer hennes lösenord att skrivas till en fil (eller lagras på annat sätt), därefter anropar datorbusens program operativsystemet och loggar in användaren. Om datorbusens program är skickligt skrivet kan det gå lång tid innan det upptäcks. Som en del av inloggningen kontrollerar Windows NT att de kontonamnet finns i kontodatabasen och att lösenordet stämmer. Var det lokal inloggning sker denna kontroll mot den lokala kontodatabasen. Vid domäninloggning sker kontrollen mot domänens kontodatabas (någon av domänkontrollanterna utför 55

2 Arbetsgrupp eller Windows NT-domän: vilken passar bäst? den delen). När användarens inloggning godkänts upprättar Windows NT ett nyckelkort (Access Token) som gäller under hela inloggningen. På nyckelkortet finns uppgift om kontots ID-nummer och grupptillhörighet, bl.a. Nyckelkortet är närmast att jämföra med ett tillfälligt besökskort, eftersom det tillverkas vid inloggning och slängs bort vid utloggning. Nätverksinloggning ger upphov till flera nyckelkort När en användare försöker komma åt en resurs på en Windows NT-server upprättas alltid en process på servern. Denna process är användarens ombud och utför allt arbete med samma möjligheter som användaren själv. Processen på servern får ett eget nyckelkort, med användarens uppgifter. Om inget ändrats i användarens gruppmedlemskap sedan hon loggade in lokalt är det ingen skillnad mellan det första nyckelkortet och det som upprättas på servern. Serverprocessens nyckelkort upprättas genom att servern mottar en förfrågan om nätverksinloggning från klienten. Servern medger inloggning och upprättar ett nyckelkort om något att dessa villkor är uppfyllda: q Det finns ett lokalt konto med samma kontonamn och lösenord q Servern finns i en domän och användaren är inloggad till domänen med sitt domänkonto Serverprocessen är i Windows NT:s mening en tråd, du märker den som en ny tråd i processen System på servern. Inloggning i datorarbetsgrupp Inloggning i datorarbetsgrupp sker alltid mot den lokala kontodatabasen, det finns ingen central server och ingen central kontroll av konton. Inloggning i Windows NT-domän Den stora skillnaden för användaren mellan datorarbetsgrupp och Windows NT-domän är att de tilldelas domänkonton. Domänkontona används vid varje inloggning och när användaren försöker komma åt resurser på fristående Windows NT Server (och Windows NT Workstation). 56

Alla måste logga in till Windows NT En stor skillnad för en Windows NT-dator när den blir domänmedlem är att tjänsten Net Logon kommer att starta automatiskt. Net Logon ansvarar för att upprätta en lista över domäner (egen domän och domäner till vilka den egna har koppling) före inloggning kan ske. När den som loggar in anger ett domänkonto är det Net Logon som gör ett gruppanrop till domänkontrollanterna för att be dem hantera användarens domäninloggning (jag tror att det blir den domänkontrollant som har minst att göra och alltså svarar först som tar hand inloggningen). Det finns alltså inget sätt att på förhand veta vilken av den primära domänkontrollanten och reservdomänkontrollanterna det blir som hanterar en viss domäninloggning. Vid inloggning på de datorer som är domänkontrollanter (med användande av deras tangentbord) kommer kontrollen av kontonamn och lösenord alltid ske mot den kopia av domänens kontodatabas som alltid finns på domänkontrollanterna. Någon gång kommer du att råka ut för att en reservdomänkontrollant inte hunnit bli uppdaterad och alltså inte har uppgifter om ett nytillkommet användarkonto. De Windows NT-datorer som är domänmedlemmar men inte är domänkontrollanter har en egen lokal kontodatabas och man kan alltid på dem välja att logga in med ett konto som finns i den lokala kontodatabasen eller ett domänkonto. De måste alltid kontakta en domänkontrollant som hanterar domäninloggningar. Nätverksinloggning i Windows NT-domän Låt oss anta att användaren har loggat in till domänen med sitt domänkonto. Nätverksinloggning sker närhelst användaren sedan försöker komma åt resurser på en server. Om servern är domänkontrollant har den en egen kopia av domänens kontodatabas och kan upprätta ett nyckelkort till användarens serverprocess. Skulle servern vara en icke-domänkontrollant kan den inte hantera domänkonton och kontaktar därför själv en domänkontrollant för att kunna upprätta ett nyckelkort för användarens serverprocess. Nätverksinloggning till icke-domänkontrollant sker utan att användaren märker vad som pågår. I ett litet belastat nätverk sker det hela så snabbt att det inte märks att servern kontaktar en domänkontrollant. Nästa kapitel går igenom inloggning något ytterligare. 57

2 Arbetsgrupp eller Windows NT-domän: vilken passar bäst? Windows NT kan ställas in för automatisk inloggning Windows NT använder alltid ett kontonamn och lösenord vid inloggning, men det går att ställa in Windows NT att automatiskt tillhandahålla både kontonamn och lösenord. Uppgifterna skrivs in i Registret//Registry. Tyvärr skrivs lösenordet i klartext så det är inte en metod att rekommendera för allmänt bruk. Jag använder den ofta på bärbara datorer med lösenordsskydd i BIOS. Läs i kapitel 9 hur du går tillväga. Avgöra vem som är inloggad I Windows NT 3.51 är det lätt att avgöra vem som är inloggad: det står i titelraden på Programhanteraren//Program Manager. Använder du Internet Explorer 4.0 är det återigen lätt: det står i Start-menyn (Logga ut användarnamn). Windows NT 4.0 utan Internet Explorer gör det hela litet intressantare, men dessa metoder kan du använda för att avgöra kontonamn för den inloggade användaren: q Diagnostik//Windows NT Diagnostics, fliken Nätverk/ /Network q Tryck Ctrl+Alt+Del q Kommandot Net Config Workstation/Wksta/Rdr i en kommandotolk Ett inloggningsfel som administratörer råkar ut för Windows NT har en liten egenhet: den tillåter endast en användare i taget att ansluta från en klient. Jag har ibland behov att vara inloggad med ett konto och ansluta med ett annat konto till en server. Ofta använder jag då kommandotolken och skriver ungefär: net use \\server /user:domän\kontonamn * (Asterisken, *, gör att Windows NT frågar efter lösenordet). Har jag då redan anslutit till servern får jag se detta felmeddelande: Systemfel 1219 har inträffat. Angivna referenser orsakar konflikt med en befintlig referensuppsättning. System error 1219 has occurred. The credentials supplied conflict with an existing set of credential. 58

I en arbetsgrupp är ingen dator förmer än någon annan I en arbetsgrupp är ingen dator förmer än någon annan Arbetsgrupp (ibland datorarbetsgrupp) är det enklaste sättet att göra resurser på en dator tillgängliga för andra datorer i nätverket (en server tillhandahåller resurser till många klienter). Serverdelen på den resursbärande datorn får till uppdrag att dela ut resursen för åtkomst via nätverket. Det absolut utmärkande för en datorarbetsgrupp är att ingen dator är förmer än någon annan (på engelska kallas de ofta peer-to-peer networking, ung. jämlikt nätverk). All hantering mellan klient- och server-dator avhandlas endast mellan dessa två datorer. Det finns ingen annan dator någonstans i nätverket som håller reda på vem som loggar in på en viss dator eller försöker komma åt resurser på en annan dator. Vilka Windows-varianter kan ingå i datorarbetsgrupper? Samtliga medlemmar av Windows-familjen kan ingå i datorarbetsgrupper: q Windows för Workgroups 3.11 q Windows 95 q Windows 98 q Windows NT Workstation 3.51 q Windows NT Workstation 4.0 q Windows NT Server 3.51 q Windows NT Server 4.0 Resursåtkomst i en datorarbetsgrupp Att komma åt resurser på en annan dator när båda är med i en datorarbetsgrupp (eller olika datorarbetsgrupper) är både enkelt och krångligt, beroende på vilket operativsystem som används. Windows för Workgroups på servern När Windows för Workgroups används både på klienten och servern sker all resursåtkomst endast med lösenordet för resursen. (Läs mer i kapitel 29 om resursdelning i Windows för Workgroups.) 59

2 Arbetsgrupp eller Windows NT-domän: vilken passar bäst? Windows 95/98 på servern När Windows 95/98 används i en datorarbetsgrupp både på klient och server blir det på samma sätt som för Windows för Workgroups, d.v.s. resursåtkomst styrs av lösenord. Vi kan dock använda olika lösenord för olika typer av åtkomst (ett lösenord för att kunna läsa filer i en mapp, ett annat för att även kunna ändra i dem och ta bort filer). (Läs mer i kapitel 29 om resursdelning i Windows 95/98.) Windows NT Workstation eller Windows NT Server på servern I en datorarbetsgrupp är det ingen skillnad mellan Windows NT Workstation och Windows NT Server vad gäller hantering av användarkonton, grupper och åtkomstmöjligheter. Med Windows NT Workstation eller Windows NT Server på serverdatorn blir det genast mer att tänka på. Båda dessa operativsystem använder alltid användarkonton/grupper för åtkomst till resurser. Vid resursdelning på en Windows NT Workstation eller Windows NT Server i en datorarbetsgrupp ställs vi inför tre möjligheter: q Upprätta konton för alla användare som behöver komma åt resurserna q Dela ut resurser till gruppen Gäster//Guests och aktivera kontot Gäst//Guest med tomt lösenord q Dela ut resurser till gruppen Gäster//Guests och åsätta kontot Gäst//Guest ett lösenord som man endast ger dem som behöver komma åt resursen. Egna konton för alla användare på servern Anledningen till att man behöver upprätta konton för alla dem som behöver komma åt resurser på Windows NT Workstation eller Windows NT Server är att Windows NT inte tillåter någon annan hantering. Det stora problemet med att ge användarna konton på Windows NT-datorn är dessa kontons lösenord, problemet blir faktiskt minst om användarna själva har Windows för Workgroups. Skulle användarna ha egna Windows NT Workstation-datorer så använder de alltid ett konto för att logga in lokalt på den datorn. 60

I en arbetsgrupp är ingen dator förmer än någon annan Får de ett konto till på servern med samma kontonamn och lösenord blir det mycket viktigt att dessa kontons lösenord alltid följs åt när det ena ändras måste det andra också ändras. Aktivera kontot Gäst//Guest med tomt lösenord Ett mycket enkelt sätt att öppna en Windows NT-dator är att aktivera det inbyggda kontot Gäst//Guest. Resurser kan sedan delas ut till gruppen Gäster//Guests. Problemet med denna lösning är att det inte går att styra åtkomst alla som försöker komma åt resursen kommer av servern att uppfattas som medlem av gruppen Gäster//Guests och genom att kontot Gäst//Guest är aktivt bereds de tillträde. Att kontot Gäst//Guest beter sig på detta sätt tycker jag är mycket betränkligt, det är inte heller något som Microsoft är duktiga på att tala om. Om ditt nätverk inte har koppling till något annat nätverk (inte ens via modem till Internet) har denna lösning fördelen av att vara av typen: sätt upp och glöm (enkel att göra, ingen administration). För att inte helt ge avkall på säkerhet bör du inte dela ut fler resurser än absolut nödvändigt slå gärna av den automatiska utdelningen av c:-disken, Windows NT:s systemmapp, o.s.v. (läs mer om detta i kapitel 9 om Registret//Registry). Sätta lösenord på kontot Gäst//Guest En liten förändring mot metoden ovan, en förändring som medger en något bättre säkerhet är att förse kontot Gäst//Guest med lösenord innan det aktiveras. Detta blir faktiskt ett sätt att härma lösenordsskydd//share level. Om vi inte har ett konto på Windows NT-datorn kommer vi att uppmanas av servern att logga in vid åtkomstförsök. Servern kommer att uppdra åt vår egen dator att visa en dialogruta för den som använder datorn med detta utseende: Dialogrutan som dyker upp på klienten när kontot Gäst//Guest på servern är aktivt och har ett lösenord. 61

2 Arbetsgrupp eller Windows NT-domän: vilken passar bäst? Dialogrutan visas om vi försöker komma åt servern via Nätverket//Network Neighbourhood. Eftersom vi avser att använda oss av gästkontot fyller vi inte något kontonamn (du kan fylla i ditt eget kontonamn om du vill) utan endast lösenordet för kontot Gäst//Guest på servern: Lösenordet för kontot Gäst//Guest på servern skrivs in vid Lösenord/ /Password. Servern är säker i samma omfattning som lösenordet för kontot Gäst//Gäst på servern kan hållas hemligt för dem som inte skall ha tillgång till det. Om ni väljer denna lösning föreslår jag att ni skaffar er en rutin för lösenordsbyte på servern det är lätt hänt att lösenordet aldrig blir ändrat och att därför alltför många personer har tillgång till det. Ni måste omsorgsfullt prova att det fungerar med de program ni avser använda på servern. Det kan vara så att programmet inte kan logga in utan att uppge ett användarkonto (ISQL/w för Microsoft SQL Server fungerar på detta sätt). Ni väljer då mellan att alltid använda kontonamnet Gäst//Guest vilket får till följd att ni inte vem som använder ert programsystem (ex. Microsoft SQL Server) och någon annan metod att logga in med rätt användarnamn. Ett sätt runt denna svårighet skulle kunna vara att uppmana användarna att ansluta en nätverksenhet på servern först vilket framkallar dialogrutan ovan. Oavsett vilken metod ni väljer är det viktigt att lösningen blir bekväm för användarna och underhållbar för administratörerna. Administrera en arbetsgrupp En datorarbetsgrupp kräver inte någon central administration vilket kan göra den lämplig i en liten organisation där man varken vill eller har råd att avdela personal för att ta hand om nätverket. Du har säkert hört argumentet att datorarbetsgrupp är bra eftersom det inte kräver någon administration och förhoppningsvis har du 62

I en arbetsgrupp är ingen dator förmer än någon annan också hört det motsatta argumentet (datorarbetsgrupp är dåligt eftersom administrationen är så jobbig). Hur mycket administration som en datorarbetsgrupp medför beror väldigt mycket på vilket operativsystem man väljer för klienterna samt hur mycket utbildning man är villig att satsa på de anställda (användarna). Det bästa man kan göra med administration av datorarbetsgrupp är knyta kontakt med en återförsäljare som gör allt : levererar datorer, installerar program och planlägger framtida administration för att göra den så enkel som möjligt. Bästa operativsystemet i en arbetsgrupp Här kan jag inte med gott samvete säga att jag är opartisk eftersom det bästa operativsystemet i en datorarbetsgrupp är Windows NT. Windows NT Workstation medför följande fördelar i en datorarbetsgrupp: q Windows NT Workstation innehåller filsystemet NTFS vilket ger oss möjlighet att ange sådan lokal behörighet att det blir svårt att förstöra av misstag användarna kan skyddas mot sig själva. q Windows NT Workstation innehåller användarrättigheter vilket gör att vi, i viss mån, kan styra vad användaren får göra på sin egen dator. q Windows NT Workstation, liksom Windows 95/98, kan använda systemprinciper//system policies för att ytterligare skräddarsy användarens möjligheter på den egna datorn. Endast med Windows NT finns det verklig möjlighet att skydda användarna från egna och andras misstag. Bli med i en arbetsgrupp Datorarbetsgrupper har ingenting med säkerhet att göra, de är endast ett sätt att gruppera datorer i ett nätverk. Att bli med i en arbetsgrupp är därför mycket enkelt: man uppger helt enkelt för sin dator vilken arbetsgrupp den skall vara medlem av. Hur man går tillväga för att göra sin dator till medlem av en arbetsgrupp skiljer sig något mellan de olika versionerna av Windows. I Windows 95/98 och Windows NT 4.0 gör man det 63

2 Arbetsgrupp eller Windows NT-domän: vilken passar bäst? genom att välja Egenskaper//Properties för Nätverket//Network Neighbourhood och på fliken Identifiering//Identification trycka på knappen Ändra//Change vid arbetsgruppens/domänens namn. Byta arbetsgrupp Lika enkelt som det är att göra sin egen dator till medlem av en befintlig arbetsgrupp är det att byta arbetsgrupp eller göra en ny arbetsgrupp med den egna datorn som enda medlem. Windows NT-domäner innehåller datorer som har ansvar för hela domänen Den största tekniska skillnaden mellan en datorarbetsgrupp och en Windows NT-domän är att det finns datorer i Windows NT-domänen som avdelats för att lagra information som gäller hela domänen. I en datorarbetsgrupp är alla datorer jämbördiga det finns ingen dator som har information för någon annan dator. (I nästa kapitel kan du läsa mer om de olika roller en Windows NT Server-dator kan ha i ett nätverk.) Windows NT-domäner är mer sammansatta än datorarbetsgrupper En Windows NT-domän är inte lika entydig som en datorarbetsgrupp: olika datorer har olika roller, datorerna själva är med eller inte med i domänen. I en Windows NT-domän görs alla Windows NT-datorer till medlemmar av domänen (datorerna får egna domänkonton, kallade datorkonton). Även Windows 95-datorer kan göras till medlemmar av domänen (det är inget krav, de blir inte fullvärdiga medlemmar), men WfWG-datorer kan inte bli medlemmar i domänen. Domänkontrollanter//Domain Controllers De för domänen viktigaste datorerna är samtliga installerade med Windows NT Server. Dessutom, vid installationen, har man angivit att de skall vara just domänkontrollanter. Primär domänkontrollant/- 64

Windows NT-domäner innehåller datorer som har ansvar för hela domänen /Primary Domain Controller, PDC När man valt namn på sin Windows NT-domän (en gång för alla det innebär mycket arbete att byta namn på domänen, se nedan) installerar man den första datorn med Windows NT Server och låter den bli primär domänkontrollant//primary Domain Controller. Jag brukar säga att det är den primära domänkontrollanten som är domänen, faktum är att det är den enda dator som måste finnas i domänen. Den primära domänkontrollanten är den enskilt viktigaste datorn i en Windows NT-domän, när den inte är tillgänglig kan inga lösenord ändras, inga nya konton upprättas, inga förändringar i gruppmedlemskap göras och ingen förändring i de grundläggande inställningarna för användarkonton och inloggning göras. Eftersom rollen som primär domänkontrollant är så viktig har Microsoft gjort det enkelt att tilldela andra datorer denna roll, nämligen någon av de datorer som är reservdomänkontrollant i Windows NT-domänen. Uppgiften att vara primär domänkontrollant kan efter installation fritt tilldelas vilken som helst av de datorer som är domänkontrollanter: nuvarande primär domänkontrollant och de datorer som är reservdomänkontrollanter. Reservdomänkontrollant/- /Backup Domain Controller, BDC När domänen är upprättad, alltså när vi installerat en Windows NT Server-dator och angivit att den skall vara primär domänkont rollant kan vi installera flera Windows NT Server-datorer vilka antingen kan vara reservdomänkontrollanter eller fristående servrar. Ni bör ha minst en reservdomänkontrollant i er Windows NT-domän då kan ni låta två datorer byta av varandra i rollen som primär domänkontrollant. Det går alltid att låta en reservdomänkontrollant bli primär domänkontrollant, oavsett om den tidigare PDC:n är igång eller inte. Domänkontrollanterna arbetar med att synkronisera kontodatabasen På den primära domänkontrollanten och på alla reservdomänkontrollanter arbetar tjänsten Net Logon med att se till att domänens 65

2 Arbetsgrupp eller Windows NT-domän: vilken passar bäst? kontodatabas är synkroniserad. Detta arbete styrs med flera inställningar i Registret//Registry. De förvalda inställningarna är att Net Logon på den primära domänkontrollanten var femte minut undersöker om det skett några ändringar i kontodatabasen. Om det skett ändringar skickas ett meddelande till alla reservdomänkontrollanter, först som grupp och sedan till var och en av dem. När reservdomänkontrollanterna får meddelandet från PDC:n kopplar de sig till denna och begär en lista över ändringarna. (Läs mer i kapitel 10 om hur du kan styra dessa inställningar.) Det finns några typer av ändringar i domänens kontodatabas som gör att Net Logon genast skickar meddelande till reservdomänkontrollanterna för att de skall koppla till PDC:n och begära en lista över ändringar. Dessa typer är de som är viktiga för domänens funktion och omfattar: q Nya datorkonton (en ny Windows NT-dator har gjorts till domänmedlem) q Ändring av lösenord för datorkonton (sker en gång i veckan) q Ändring av kontoprinciper q Ny domänkoppling eller borttagande av befintlig (förtroende/ /trust) Jag känner inte till något sätt att ändra denna lista, vilket är synd för jag skulle vilja att det skickades ett meddelande så fort en användare byter lösenord. Administratörer använder Serverhanteraren//Server Manager eller Net Accounts /sync Administratörer kan begära att den primära domänkontrollanten skickar meddelande till alla reservdomänkontrollanter om att begära en lista över ändringar med Serverhanteraren//Server Manager och kommandot Net Accounts /sync. I Serverhanteraren/ /Server Manager görs detta genom att markera den primära domänkontrollanten och sedan välja Synkronisera hel domän/ /Synchronize entire domain i menyn Dator//Computer. Serverhanteraren//Server Manager kan dessutom användas för att låta en enskild reservdomänkontrollant koppla sig till den primära domänkontrollanten och begära en lista över ändringar. I detta fall markeras en reservdomänkontrollant i 66