13 Inbyggda verktyg för nätadministration

13 Inbyggda verktyg för nätadministration Verktygen för administration av Windows NT Server kan användas från ett hotell på Fidji Som du märkt är jag mycket angelägen om att framhålla att (de flesta) administrationsverktygen för Windows NT Server är byggda för att kunna användas över nätverket, utan att du behöver slå dig ned vid den dator som skall hanteras. De fungerar på nästan samma sätt när man fjärransluter/ringer till sitt Windows NT-nätverk. Det går alltså (nästan) lika bra att sköta sin domän från ett hotell på Fidji om man har en dator med (helst) Windows NT Server och modem. Inbyggda verktyg i Windows NT Server 4.0 Detta är en lista över de verktyg för administration som ingår i Windows NT Server 4.0 (de flesta verktygen finns även i Windows NT Server 3.51). Kolumnen Nätverk svarar på frågan om verktyget kan köras på en annan dator än den man önskar administrera/hantera. Verktyg Ikon Nätverk Administrationsguider//Administrative alla Wizards Administratör för nätverksklienter/- /Network Client Administrator Aktivitetsfönstret//Task Manager Nej (inte delar) Ja Nej 451

13 Inbyggda verktyg för nätadministration Verktyg Ikon Nätverk Anteckningar//Notepad Ja At (tjänsten//service Schedule) Ja Backup//Backup Nej CACLs.Exe Nej DHCP-hanteraren//DHCP Manager Diagnostik//Windows NT Diagnostics Diskhanteraren//Disk Administrator DNS-hanteraren//DNS Manager File Server for Macintosh, MacFile (som tillägg i Filhanteraren och Serverhanteraren) Filhanteraren//File Manager Flyttningsverktyg för NetWare/- /Migration Tool for NetWare Gateway Service for NetWare Internet Service Manager Ja Ja Nej Ja Ja Ja Ja Nej Ja Key Manager (del av IIS) Nej Kommandofiler//Batch Files Ja Kontohanteraren för domäner/- /User Manager for Domains Kontohanteraren//User Manager (finns endast på Windows NT Workstation) Kontrollpanelen//Control Panel (mappen) Ja Nej Nej 452

Inbyggda verktyg i Windows NT Server 4.0 Verktyg Ikon Nätverk Licenshanteraren//License Manager Loggboken//Event Viewer Ja Ja Microsoft Management Console, MMC Beror på del- (i Windows NT 4.0 Option Pack) verktyget Net.Exe (kommandoradsverktyg) Ja (inte alla kommandon) Nätverksövervakaren//Network Monitor Ja Online-handböcker//Books Online Nej Print Server for Macintosh Ja Registereditorn//Registry Editor (RegEdit) Registereditorn//Registry Editor (RegEdt32) Remote Access-hanteraren/- /Remote Access Admin Remoteboot-hanteraren/- /Remote Boot Manager Reparationsdiskettverktyget/- /Repair Disk Utility Resursövervakaren//Performance Monitor Routing and RAS Admin Serverhanteraren//Server Manager Skrivare//Printers (mappen) Nej Ja Ja Ja Nej Ja Ja Ja Ja 453

13 Inbyggda verktyg för nätadministration Systemprincipshanteraren/- Ja /System Policy Editor Verktyg Ikon Nätverk Windows NT-utforskaren/- /Windows NT Explorer Ja WINS-hanteraren//WINS Manager Ja XCopy.Exe Ja Det är inte många verktyg som kräver att du finns vid den Windows NT Server-dator du vill administrera. Av de viktigaste skulle man önska sig att både Backup//Backup, Diskhanteraren/ /Disk Administrator och Kontrollpanelen//Control Panel kunde användas över nätverket. Du kanske förvånas över att se Anteckningar//Notepad i listan? Eftersom jag använder kommandofiler ganska mycket blir det en del arbete i Anteckningar//Notepad (ett litet problem är att svenska tecken i Notepad inte ser likadana ut när jag sedan kör kommandofilen det är så nt man får ta ). Windows NT-utforskaren//Windows NT Explorer tvekade jag att ta med i listan över administrationsverktyg eftersom Microsoft tagit bort möjligheten att dela ut resurser på andra datorer med hjälp av Windows NT-utforskaren//Windows NT Explorer, kanske var det någon nostalgiker som tyckte att vi skulle fortsätta använda Filhanteraren//File Manager? Flera av de grafiska verktygen kan hantera kommandoradsargument Flera av de grafiska verktygen (bland dem ) kan hantera kommandoradsargument. Både Kontohanteraren för domäner//user Manager for Domains och Serverhanteraren//Server Manager tillåter att du skriver namnet på en domän eller en dator (med två omvända snedstreck framför). Detta kan du med fördel använda om ansvarar för flera Windows NT-domäner. Upprätta en ikon för varje domän och ta med domänens namn i namnet för ikonen. Ändra i Egenskaper//Properties för ikonen, fliken Genväg//Shortcut, textrutan Namn//Target (ex:%systemroot%\system32\usrmgr.exe MidGard). 454

En liten varning för några verktyg En liten varning för några verktyg Lejonparten (och då menar jag ett stort lejon) av verktygen kan startas av användare, men de tillåter inte användaren att göra något intressant (för användare) med dem. Med andra ord: de flesta administratörsverktyg skyddar användarna mot sig själva. Självklart kan inte administratörsverktygen skydda användarna om inte administratörerna gör det du måste alltså se till använda lokal behörighet och andra skyddsmedel så att användarna inte kan ställa till det, för sig själva eller andra. Administratörsverktygen kan inte heller skydda användarna om inte Microsoft gjort det. Av någon, för mig, outgrundlig anledning har vanliga användare en dold användarrättighet som ger dem möjlighet att upprätta lokala grupper på alla Windows NT-datorer, även den primära domänkontrollanten. Alla konton som är med i den lokala gruppen Användare//Users, direkt eller indirekt. Denna dolda användarrättighet kan användaren utnyttja lokalt med Kontohanteraren//User Manager och över nätverket med både Kontohanteraren för domäner//user Manager for Domains och kommandotolksprogrammet Net.Exe. (Under sommaren 1998 släppte Microsoft ett verktyg, Create Alias, med vars hjälp du kan styra vem som får upprätta lokala grupper. Läs mer om det i kapitel 16.) Filhanteraren//File Manager tillåter användare ändra lokal behörighet på servrar Filhanteraren//File Manager i Windows NT 3.51 och tidigare finns mycket lättillgängligt i Programhanteraren//Program Manager. I Windows 95 och Windows NT 4.0 finns Filhanteraren//File Manager kvar, men den syns inte i några menyer (vilket leder en del att tro att den inte finns). Menyvalet Behörighet//Permissions i menyn Säkerhet//Security gör att Filhanteraren//File Manager visar samma dialogruta för lokal behörighet som Den här datorn/ /My Computer i Windows NT 4.0. Dialogrutan är även åtkomlig genom att klicka på verktygsknappen i Filhanteraren//File Manager. När Filhanteraren//File Manager används mot en NTFS-volym över nätverket kan menyvalet och verktygsknappen användas för att ändra lokal behörighet på servern. Detta kan naturligtvis endast ske om resursen är utdelad med delningsbehörigheten Fullständig behörighet//full Control till Domänanvändare//Domain Users 455

13 Inbyggda verktyg för nätadministration (eller annan lämplig grupp) och de lokala behörigheterna medger att användare ändrar behörighet (ex. samma som delningsbehörigheten). Det intressanta som händer är att användaren (med stor sannolikhet, jag menar mycket stor) kommer att ändra behörighetslistan så att den antingen blir mycket omfattande eller att den helt omöjliggör användning. Filhanteraren//File Manager startas genom att dubbelklicka på filen WinFile.Exe (eller på annat sätt). Kontohanteraren för domäner//user Manager for Domains tillåter användare upprätta lokala grupper på domänkontrollanterna Kontohanteraren för domäner//user Manager for Domains tillåter användare upprätta lokala grupper på alla Windows NT-datorer i vilket deras konto är med i den lokala gruppen Användare//Users. Kontohanteraren för domäner//user Manager for Domains kommer man över genom att kopiera den från en cd med Windows NT Server eller genom att hämta samtliga verktyg från Microsofts ftp-server (ftp://ftp.microsoft.com/bussys/clients/srvtools). Net.Exe låter tillåter användare upprätta lokala grupper på domänkontrollanterna Liksom Kontohanteraren för domäner//user Manager for Domains tillåter Net.Exe användare att upprätta lokala grupper på alla Windows NT-datorer där deras konto är med i gruppen Användare//Users. Net.Exe kan vara litet besvärligare att hantera eftersom den följer med alla Windows NT-datorer (Workstation & Server). Verktyget Create Alias (CreatAls.Exe) tar bort användares möjlighet att upprätta lokala grupper på Windows NT-datorer Det finns ett sent tillägg till Microsoft Windows NT 4.0 Resource Kit med vars hjälp en administratör kan styra vilka som ges möjlighet att upprätta lokala grupper på Windows NT-datorer. Det är ett alldeles utmärkt verktyg som varmt anbefalles. (Läs om dess användning i kapitel 16.) 456

Underutnyttjade verktyg Underutnyttjade verktyg I min erfarenhet finns det en del verktyg som visserligen används ofta, men vars fulla kraft inte alltid utnyttjas. Ofta beror det på att Microsoft inte dokumenterat, på ett bra sätt, alla de användningsområden som verktyget har. Mitt favoritexempel är Kontohanteraren för domäner//user Manager for Domains som mycket enkelt kan hantera samtliga kontodatabaser på alla Windows NT-datorer i hela domänen (både Windows NT Server och Windows NT Workstation). Detta står mycket väl förklarat i snabbhjälpen, men när tryckte du senast på F1 i Kontohanteraren för domäner//user Manager for Domains? Administratör för nätverksklienter//network Client Administrator Detta verktyg används för fyra olika uppgifter, varav två är viktigare än de övriga. q Förbereda installation av administrationsverktyg q Tillverka installationsdisketter för olika nätprodukter för klientdatorer, ex. Network Client for MS-DOS, RAS for MS-DOS och TCP/IP-32 för Windows for Workgroups q Tillverka startdisketter för MS-DOS med nätverksstöd för klienter q Studera inställningar på fjärrstartklienter (Remote Boot, RIPL) De administrationsverktyg som avses är just verktygen för att hantera Windows NT Server från en dator med ett annat operativsystem än Windows NT Server. Jag vill gärna föreslå att du provar att installera dessa verktyg på Windows 95/98 och/eller Windows NT Workstation 4.0 för att se om de duger för dina behov. Startdisketter med nätverksstöd för klienter är små trevliga disketter vilka du använder för att starta en dator (som helt kan sakna operativsystem på disk) med nätverk, logga in till din domän och sedan påbörja installation av operativsystem på datorn. Ett tydligt användningsområde för slika startdisketter är tillsammans med de nya datorer ni köper in. I de fall ni inte låter er leverantör installera programvara är det behändigt att ha en startdiskett för att ansluta till en server och sedan installera operativsystem och övriga program. Installerar du Windows NT 457

13 Inbyggda verktyg för nätadministration på många maskiner vill jag dessutom föreslå att du börjar använda Setup Manager från Windows NT Resource Kit. Diagnostik//Windows NT Diagnostics Diagnostik//Windows NT Diagnostics är främst ett verktyg för att underlätta felsökning, men även för att dokumentera en Windows NT-dator med avseende på installerad utrustning, tjänster, med mera. Jag minns fortfarande min förvåning när jag första gången på allvar undersökte vilken information man får från Diagnostik/ /Windows NT Diagnostics den är mycket omfattande. Diagnostik//Windows NT Diagnostics är ett säkert verktyg, vi behöver inte vara rädda att släppa in användare i det. Detta gör det tryggt att använda verktyget om vi försöker hjälpa användare över telefonen. Den mesta information som Diagnostik//Windows NT Diagnostics visar kommer från Registret//Registry det finns alltså inget omedelbart behov att låta användare och andra mindre vana leta sig fram i Registret//Registry med någon av registereditorerna. Kommandofiler//Batch Files I det tysta har kommandospråket i Windows NT utökats alltmer genom åren. I dag kan du göra mycket mer i Windows NT än någonsin i MS-DOS. Skulle du behöva utföra ett visst kommando ett givet antal gånger kan FOR hjälpa till med det, kommandot: for /L %i in (1, 1, 15) do @echo Hej världen! Ger att texten Hej världen! skrivs på femton rader på skärmen. Fler exempel (något användbarare) finner du i kapitel 17. Kontohanteraren för domäner//user Manager for Domains Kontohanteraren för domäner//user Manager for Domains är ett av de mest använda verktygen i Windows NT-domäner. Med dess hjälp upprättar du domänkonton och globala grupper (lokala grupper likaså); hanterar de grundläggande kontoprinciperna, granskning och domänkopplingar. q Kontohanteraren kan användas för att studera kontodatabasen på vilken Windows NT-dator som helst (ange \\datornamn) 458

Underutnyttjade verktyg q Den kan markera flera grupper av användare, en efter en q Variabeln %UserName% kan användas för att ändra inställningar för många användare samtidigt q Man kan göra mallanvändare med färdiga gruppmedlemskap Kontohanteraren för domäner//user Manager for Domains använder IPC$ Närhelst Kontohanteraren för domäner//user Manager for Domains används mot en annan Windows NT-dators kontodatabas använder den named pipes för detta. De två named pipes som används är \PIPE\lsarpc och \PIPE\samr. Beteckningen lsarpc kan uttydas Local Security Authority Remote Procedure Call och samr Security Accounts Manager Remote. Local Security Authority, LSA, är den del av Windows NT som ansvarar för allt säkerhetsarbete. Den samarbetar intimt med Security Reference Monitor, SRM och Security Accounts Manager, SAM. Nätverksövervakaren//Network Monitor Nätverksövervakaren//Network Monitor tillsammans med Resursövervakaren//Performance Monitor är förmodligen de två verktyg som skrämmer oss mest. Jag vill dock slå ett slag för dem båda (även om jag tycker att Nätverksövervakaren//Network Monitor är lättast att använda av dem.) Nätverksövervakaren//Network Monitor är en så kallad nätverkssniffer d.v.s. den avlyssnar nätverkstrafik. Den spelar in nätverkstrafiken och låter dig studera varje paket efter avslutad inspelning. Nätverksövervakaren är till mycket större hjälp än man tror man lär sig vartefter. Naturligtvis måste du veta en del för att kunna använda den, men Microsoft har byggt in så pass mycket kunnande i Nätverksövervakaren att det är lätt att sätta igång. Utan att kunna någonting kan du använda Nätverksövervakaren//Network Monitor för att avgöra hur stor del av er nätverkstrafik som utgörs av direktanrop//unicast, gruppanrop//multicast och massanrop//broadcast. Du kan dessutom lätt se om det är någon dator/något nätverkskort som har en ovanligt stor andel massanrop (ett inte alltför ovanligt fel). Nätverksövervakaren//Network Monitor har en storasyster som ingår i Microsoft Systems Management Server, SMS. Skillnaden 459

13 Inbyggda verktyg för nätadministration mellan dem är att lillasyster (som följer med i Windows NT Server) endast kan spela in trafik mellan den egna datorn och andra datorer/nätverkskort, den stora kan spela in all nätverkstrafik. Lillasyster kan dock visa andelen direktanrop, gruppanrop och massanrop för hela nätverket. En farlig användning av Nätverksövervakaren//Network Monitor är att lyssna efter lösenord på nätet. Jag kan se framför mig SQL Server på en fristående server där en användare med ett konto i Privilegierade användare//power Users startar Nätverksövervakaren//Network Monitor och ställer in den att spela in trafik tills dess att användaren sa (viktigaste kontot i SQL Server) loggar in över nätverket. När rätt nätverkspaket anländer bryter Nätverksövervakaren//Network Monitor inspelningen och man kan studera kontots lösenord i klartext. (Detta fungerar endast om SQL Server är inställd att hantera kontot på standardsättet.) En liten tröst finner du i det faktum att Nätverksövervakaren/ /Network Monitor tillkännager sin närvaro genom att registrera sitt NetBIOS-namn med en särskild märkning som endast Nätverksövervakaren//Network Monitor använder. Detta gör att du med Nätverksövervakaren//Network Monitor själv kan leta reda på andra som använder Nätverksövervakaren//Network Monitor i nätverket. Dessutom, på den Windows NT-dator som Nätverksövervakaren//Network Monitor startas skriver den information om detta till loggen Program//Application så att du kan läsa den med Loggboken//Event Viewer. Sök efter meddelanden där Network Monitor Driver anges som källa. Meddelandet lyder: The Network Monitor Driver was started in Promiscuous Mode by user user name. (Promiscuous Mode innebär just att nätverkskortet skickar vidare alla nätverkspaket uppåt på den egna datorn, vilket krävs för att kunna avlyssna och spela in dem.) Vill du förhindra användning av program som avlyssnar nätverkstrafik kan du be försäljare av nätverkskort förse dig med kort som inte låter sig ställas in i denna promiscuous mode. Registereditorn//Registry Editor När Windows 95 kom var det nog många Windows NT-användare med mig som blev avundsjuka på RegEdit.Exe i Windows 95. Registereditorn i Windows NT 3.51, RegEdt32.Exe hade nämligen inte möjlighet att söka på parametervärden och deras innehåll (data). Något förvånad blev jag därför när Windows NT 460

Underutnyttjade verktyg 4.0 kom med två registereditorer. Windows NT 4.0 innehåller både RegEdit.Exe (en klon av RegEdit.Exe i Windows 95) och den gamla (utan förändring) RegEdt32.Exe. Intressant nog behöver du båda två. RegEdit.Exe (den nyare), är suverän när du söker efter något i Registret/ /Registry, men den kan inte göra nya värden av alla de datatyper som RegEdt32.Exe kan och RegEdit.Exe förstår inte heller vad behörigheter och granskning är (vilket RegEdt32.Exe gör). Både RegEdit.Exe och RegEdt32.Exe kan användas i skrivskyddat läge, vilket är en stor fördel när man rotar runt i Registret. Genom att välja skrivskyddat läge vet du att det inte går att göra några ändringar alls. RegEdit.Exe har en fördel eftersom du med växeln /v (view) redan på kommandoraden kan ange skrivskyddat läge. Lägg gärna upp RegEdit.Exe i menyn med växeln /v så att programmet alltid startar i skrivskyddat läge. De gånger du verkligen behöver ändra i Registret använder du i stället Start.Kör//Start.Run för att starta någon av RegEdit.Exe eller RegEdt32.Exe. Skrivskyddat läge i RegEdt32.Exe kan väljas först sedan du startat programmet. Valet Skrivskydd//Read Only Mode i menyn Alternativ//Options ger skrivskyddat läge. Ett konto som inte är med i Administratörer//Administrators gör att RegEdt32 alltid startar i skrivskyddat läge. Märk att det är skillnad på RegEdit och RegEdt32 vad gäller möjlighet att ansluta till Registret//Registry på andra Windows NT-datorer över nätverket. RegEdit verkar visserligen kunna ansluta till Registret//Registry på andra datorer, men den visar alltid ett felmeddelande: När RegEdit används över nätverket visas alltid detta felmeddelande. 461

13 Inbyggda verktyg för nätadministration Kapitel 9 beskriver RegEdit.Exe och RegEdt32.Exe i samband med Registret//Registry. Reparationsdiskettverktyget//Repair Disk Utility Jag tror (hoppas) att Reparationsdiskettverktyget//Repair Disk Utility inte är underutnyttjat jag tror att du använder det när så behövs. Däremot har Microsoft varit dåliga på att berätta att det finns en kommandoradsväxel till verktyget som gör att hela kontodatabasen och inte endast de inbyggda kontona och grupperna sparas. Växeln /s till RDisk.Exe gör att hela innehållet i SAM och Security sparas i reparationsmappen och på Reparationsdisketten//Emergency Repair Disk (ERD). Anledningen till att Microsoft inte varit tydliga med denna information är att kontodatabasen kan vara så stor att all reparationsinformation inte ryms på en diskett (RDisk kan inte hantera fler än en diskett). Jag har provat med några tusental konton och något tusental grupper vilka rymdes på en diskett. Prova detta på er egen kontodatabas innan du förlitar dig på metoden. Ett litet problem som jag stött på i samband med den utökade reparationsinformationen var att den inte gick att använda. Jag provade reparationsförfarandet på vanligt sätt, men endast de inbyggda kontona och grupperna återställdes fast jag använt RDisk med växeln /s. Det går dock bra att packa upp (med Expand.Exe) de packade filerna SAM och Security på reparationsdisketten och kopiera dem på plats om du har en annan installation av Windows NT på samma dator eftersom du inte kan göra den från den Windows NT som filerna tillhör (du använder ju inte FastFAT så du kan inte starta med en DOS-diskett och kopiera filerna på plats). Ett annat sätt att säkerhetskopiera kontodatabasen (och hela Registret//Registry) är med hjälp av verktygen RegBack och RegRest från Resource Kit. Resursövervakaren//Performance Monitor Den främsta användningen av Resursövervakaren//Performance Monitor kommer kanske att visa sig inte vara att förbättra prestanda på Windows NT-datorer utan som ett hjälpmedel för planering och budgetering. Jag förespråkar användning av Resursövervakaren//Performance Monitor som ett hjälpmedel för planering av typen: om 462

Underutnyttjade verktyg antalet användare på den här servern fortsätter öka i samma takt måste vi utöka eller byta ut den inom 3-6 månader. I stort kan jag säga att Resursövervakaren//Performance Monitor inte är så knölig som den verkar och att Windows NT i huvudsak är självoptimerande (säger Microsoft). Serverhanteraren//Server Manager Serverhanteraren//Server Manager är nog det administrationsverktyg som har flest användningsområden, det används för att: q Studera anslutna användare till en server q Koppla ned anslutna användares session från en server q Koppla ned användare anslutna till vissa resurser q Hantera mappduplicering q Dela ut och sluta dela ut resurser samt hantera delningsbehörighet till dessa resurser q Starta/pausera/stoppa tjänster på en Windows NT-dator samt ange användarkonto för tjänster q Hantera hårdvaruprofiler//hardware profiles q Skicka meddelande till användare anslutna till en viss server (ex. innan du avslutar en server) q Synkronisera kontodatabasen på en enskild reservdomänkontrollant med PDC:n q Synkronisera kontodatabaserna på alla reservdomänkontrollanter med PDC:n q Låta en av reservdomänkontrollanterna ta över rollen som domänens primära domänkontrollant, PDC Samtliga saker i listan går utmärkt att göra över nätverket. Som du ser i listan finns det några funktioner som är tillgängliga endast i Windows NT-domäner, men det minskar inte användbarheten av verktyget. När du använder Serverhanteraren//Server Manager för att skicka meddelande till anslutna användare kommer avsändaren att anges till den dator du just nu använder Serverhanteraren//Server Manager på. Om det inte är samma dator som du hanterar finns det utrymme för en liten förvirring. 463

13 Inbyggda verktyg för nätadministration Systemprincipshanteraren//System Policy Editor q Systemprinciper blir viktigare i Windows NT redan i Windows NT 5.0 En mycket trevlig del i Windows NT 5.0 är Security Configuration Editor. Med den kan du centralisera systemprinciperna för domänens Windows NT-datorer. Du upprättar alltså systemprinciper centralt och bestämmer sedan vilka datorer de skall gälla för. Förutom det som ingår redan i dagens systemprinciper kommer även kontoprinciper ingå i. Enligt flera bedömare kommer vi att se Security Configuration Editor för Windows NT 4.0 i Service Pack 4 (vilket Microsoft lovat släppa senast 60 dagar efter beta 2 av Windows NT 5.0, alltså runt mitten av oktober 1998). Vilka möjligheter vi får i Windows NT 4.0 med Security Configuration Editor är inte klart, men det är ett verktyg du bör titta närmare på. Kommandoradsverktyget Net.Exe I detta grafiska tidevarv kanske du förvånas av att jag utnämner kommandoradsverktyget Net.Exe till ett som skulle kunna användas mera? Min förhoppning är att du skall lockas att ta en titt på Net.Exe efter att jag berättat något om vad du kan göra med det. Dessutom: med Windows Scripting Host kommer du att kunna göra skript för det mesta inte olika de kommandofiler du kan göra redan i dag. Kommandoradsverktyget Net.Exe kan: q Visa vilken roll i domänen en Windows NT-dator har (ren server, reservdomänkontrollant, primär domänkontrollant) q Ändra de grundläggande kontoprinciperna q Synkronisera domänens kontodatabas q Dela ut en lokal resurs för nätverksåtkomst (dock ej hantera delningsbehörighet) q Lägga till/ta bort en dator från domänen q Upprätta nytt domänkonto q Upprätta ny global grupp q Upprätta ny lokal grupp 464

Underutnyttjade verktyg q Ändra gruppmedlemskap i globala och lokala grupper q Starta/pausera/stoppa tjänster//services q Avsluta användares session med lokal server q Stänga öppna filer (över nätverket) på lokal server q med mera, med mera Det mesta du kan göra i Kontohanteraren för domäner//user Manager for Domains och i Serverhanteraren//Server Manager kan du också göra med Net.Exe. I kapitel 17 finner du en genomgång av möjligheterna med Net.Exe, med exempel. Net.Exe, Excel & CACLs.Exe q Mycket administration kan skötas från kommandoraden med programmet Net.Exe q Net User ceciliac /add q Excel är bra att använda för att göra kommandofiler när många användarkonton skall upprättas q CACLs.Exe används för att ändra behörighetslistor//access Control List för lokal behörighet (NTFS) kan ändra i befintlig behörighetslista Windows Scripting Host, WSH q Stöd för VBScript och JavaScript q Kan användas för alla göromål q Finns i Windows NT 4.0 Option Pack (1) Läs mer om hur Windows Scripting Host, WSH kan användas i kapitel 17. Microsoft Management Console q Microsoft verkar vilja göra MMC tillgänglig även för Windows NT 4.0 q Windows NT 4.0 Option Pack innehåller MMC q Active Directory Services Interface, ADSI, finns tillgängligt 465

13 Inbyggda verktyg för nätadministration (beta) för Windows NT 4.0 Administrationsverktyg för Windows NT Server skrivna för andra operativsystem Windows NT Server-verktyg för Windows 95 q Kontohanteraren för domäner//user Manager for Domains q Loggboken//Event Viewer q Serverhanteraren//Server Manager q Ett kontrollpanelsverktyg för att hantera Microsoft File And Print Services For NetWare q Tillägg till Windows 95-utforskaren//Explorer för att hantera lokal behörighet och skrivare via nätverket Windows NT Server-verktyg för Windows NT Workstation q DHCP-hanteraren//DHCP Manager q Kontohanteraren för domäner//user Manager for Domains q Remote Access-hanteraren//Remote Access Manager q Remoteboot-hanteraren//Remote Boot Manager q Serverhanteraren//Server Manager q Services for Macintosh innehåller ett tillägg till Filhanteraren/ /File Manager q Systemprincipshanteraren//System Policy Editor q WINS-hanteraren//WINS Manager Windows NT Server 3.51-verktyg för Windows för Workgroups 3.11 Windows NT Server 3.51 innehåller administrativa verktyg avsedda för Windows NT Workstation 3.51 och för Windows för Workgroups 3.11. Verktygen avsedda för Windows NT Workstation 3.51 är ungefär samma som motsvarande verktyg för Windows NT Workstation 4.0 ovan. Listan nedan avser endast WfWG 3.11: 466

Använda Administratör för nätverksklienter/- /Network Client Administrator q Kontohanteraren för domäner//user Manager for Domains q Loggboken//Event Viewer q Serverhanteraren//Server Manager q Skrivarhanteraren//Print Manager Använda Administratör för nätverksklienter/- /Network Client Administrator Administratör för nätverksklienter//network Client Administrator behöver tillgång till mappen \Clients på cd:n som följer med Windows NT Server. Det kan den få genom att du helt enkelt lägger den cd:n i cd-läsaren på servern eller genom att du kopierar filerna till en lokal hårddisk (vilket Administratör för nätverksklienter//network Client Administrator kan göra åt dig). Administratör för nätverksklienter//network Client Administrator installeras automatiskt, du bör finna det i menyn Administrationsverktyg//Administrative Tools. Förbereda för installation av administrationsverktyg för Windows NT Server i utförande för andra operativsystem Jag visar nedan hur du förbereder installation av administrativa verktyg för Windows NT Server avsedda för Windows 95/98 eller Windows NT Workstation. (Tillverkning av startdisketter med nätverksfunktion påbörjar du på samma sätt det är det första valet du ser i bilden nedan.) 1. Starta Administratör för nätverksklienter//network Client Administrator. Du kommer strax att se följande bild: Administratör för nätverksklienter//network Client Administrator. 467

13 Inbyggda verktyg för nätadministration 2. Välj Kopiera klientbaserade verktyg för nätverksadministration//copy Client-based Network Administration Tools och tryck på Fortsätt//Continue. Nu visas en dialogruta: Dialogrutan för att välja olika sätt att göra administrationsverktygen tillgängliga. 3. Välj Dela filer//share Files. Ange sökvägen (om Windows NT Server inte lyckades hitta filerna själv) till administrationsverktygen och tryck på OK. Mappen som innehåller filerna kommer nu att göras tillgänglig över nätverket. Resursnamnet framgår av dialogrutan ovan. 4. Nu är du färdig och kan sedan, från en nätverksansluten klient, ansluta till resursen SetupAdm och installera administrationsverktygen på en klient med Windows 95/98 eller Windows NT Workstation. Tillverka nätstartdisketter Innan du kan göra nätstartdisketter måste du själv göra en startdiskett för önskat operativsystem det kan inte Administratör för nätverksklienter//network Client Administrator göra. 1. Formatera en diskett med MS-DOS (eller Windows 95/98) så att den blir startbar. Stoppa denna diskett i diskettfacket på servern. 2. Starta Administratör för nätverksklienter//network Client 468

Använda Administratör för nätverksklienter/- /Network Client Administrator Administrator. Du ser strax följande bild: Det något ovanliga användarsnittet i Administratör för nätverksklienter//network Client Administrator. 3. Välj Skapa installationsdiskett för nätverk//make Network Installation Startup Disk och tryck på Fortsätt//Continue. Nu visas en dialogruta: Dialogrutan för att välja olika sätt att göra filerna tillgängliga. 4. Välj Dela filer//share Files. Ange sökvägen (om Windows NT Server inte lyckades hitta filerna själv) till filerna och tryck OK. Mappen som innehåller filerna kommer nu att göras tillgänglig över nätverket. Resursnamnet framgår av dialogrutan ovan. 5. Nästa dialogruta låter dig välja vilken typ av startdiskett du vill göra: för MS-DOS eller för Windows 95/98 och dessutom 469

13 Inbyggda verktyg för nätadministration för vilket nätverkskort. Dialogruta för att välja typ av startdiskett och nätverkskort. 6. I den sista dialogrutan väljer du datornamn, användarnamn, domännamn och vilket nätverksprotokoll du vill ha på disketten (du kan endast välja mellan dem som är installerade på servern). Den sista dialogrutan ger val av dator-, användar- och domännamn samt nätverksprotokoll. Använda At (Schedule) för att starta kommandofiler, program och 470

Använda Diagnostik//Windows NT Diagnostics verktyg Tjänsten//service Schedule gör att Windows NT kan starta kommandofiler, program och verktyg vid olika tidpunkter. Mig veterligt finns ingen över gräns för hur många olika poster som kan hanteras av Schedule (du kan alltså låta den starta många olika program vid många olika tidpunkter). At heter verktyget som används för att hantera listan över programposter. Du måste först starta en kommandotolk för att kunna använda At (WinAT i Resource Kit är ett grafiskt verktyg för att hantera körlistan). Skriv At /? så visar den snabbhjälpen (du finner mer hjälp i Windows NT:s inbyggda hjälpfiler). Som du redan vet använder Schedule specialkontot System/ /System om du inte byter till något annat konto. När du anger vilket program At skall starta bör du ange hela sökvägen till programmet. Vid start av programmet kommer %SystemRoot%\System32 att vara aktuell mapp. Du bör inte göra några antaganden om innehållet i miljövariabler. Det enklaste sättet att felsöka ett schemalagt kommando är att använda växeln /interactive till At. Den gör att ditt program startas i interaktivt läge. Programmet Soon.Exe från Resource Kit är också ett gott verktyg: det gör att ett program startar efter fem sekunder med samma inställningar som om programmet startats med At. Vill du starta kommandotolken med At skriver du: at hh.nn /interactive cmd.exe /k Där hh.nn är klockan om två minuter. Det At-kommando vi använder för att starta säkerhetskopiering (sker vardagar, med början 11.59) ser ut så här: at 11:59 /every:m,t,w,th,f "D:\Kommandofiler\Backup.Bat" Vi låter också varje server säkerhetskopiera Registret//Registry till disk: at 11:40 /every:m,t,w,th,f "D:\Kommandofiler\SaveReg.Bat" Använda Diagnostik//Windows NT Diagnostics Jag tycker om programmet Diagnostik//Windows NT Diagnostics av flera anledningar: dels det användas av administratörer för att samla in mycken information om en Windows NT-dator och dels är det ett helt säkert verktyg som administratörer kan släppa lös användare på. Det senare fallet gör att felsökning och 471

13 Inbyggda verktyg för nätadministration felavhjälpning över telefon kan underlättas (administratören styr användaren genom Diagnostik//Windows NT Diagnostics och kan på så sätt få tillbaka detaljerad information). Startfönstret i Diagnostik//Windows NT Diagnostics. Diagnostik//Windows NT Diagnostics är indelad i nio flikar: Fliknamn Version//Version Innehåll Aktuellt operativsystem, versionsnummer, implementationsnummer, Service Pack-nummer, registrerad ägare och processortyp Fliknamn System//System Innehåll BIOS-version, processorversion Fliknamn Bildskärm//Display Innehåll Bildskärmskort, mängd minne Fliknamn Diskenheter//Drives Innehåll Alla diskenheter med deras typbeteckning, inklusive diskett- och nätverksenheter Fliknamn Minne//Memory Innehåll Fysiskt såväl som virtuellt minne. Var skyfflingsfilerna finns, totalt minne, tillgängligt minne Fliknamn Tjänster//Services (samt Enheter//Devices) Innehåll Alla tjänster och enheter som finns i CurrentControlSet listas med en notering om de är aktiva eller stoppade 472

Använda Kontohanteraren för domäner//user Manager for Domains Fliknamn Resurser//Resources Innehåll IRQ, I/O-portar, DMA-kanaler och minne som används av inbyggd och ansluten utrustning Fliknamn Miljö//Environment Innehåll Miljövariabler för systemet och användaren Fliknamn Nätverk//Network Innehåll Vilka användare som är anslutna till datorn, nätverksprotokoll, annan nätverksinformation, paketstatistik Du finner exempel på användning av Diagnostik//Windows NT Diagnostics i kapitel 9 och kapitel 18. Använda Kontohanteraren för domäner//user Manager for Domains Studera kontodatabasen på vilken Windows NT-dator som helst Kontohanteraren för domäner//user Manager for Domains kan hantera kontodatabasen på vilken Windows NT-dator som helst från vilken annan Windows NT-dator som helst, förutsatt att det konto man loggat in med är medlem av gruppen Domänadministratörer//Domain Admins (vilken är med i varje Windows NT-dators lokala grupp Administratörer//Administrators). Vi ansluter Kontohanteraren för domäner//user Manager for Domains till en icke-domänkontrollant genom menyvalet Användare.Välj domän//user.select Domain och skriver sedan datornamnet, med två omvända snedstreck före, i textrutan Domän//Domain. 1. Starta Kontohanteraren för domäner//user Manager for Domains och välj Välj domän//select Domain i menyn Användare//User. 2. Skriv in namnet på Windows NT-datorn med kontodatabasen glöm inte de två omvända snedstrecken först Dialogrutan för att välja domän betyder egentligen Val av kontodatabas, 473

13 Inbyggda verktyg för nätadministration vilken finns på någon Windows NT-dator. Skulle du skriva namnet på en domänkontrollant kopplas Kontohanteraren för domäner//user Manager for Domains till den primära domänkontrollanten (du får besked om att så kommer att ske). 3. Kontrollera att datorns namn verkligen finns i titelraden för Kontohanteraren för domäner//user Manager for Domains. När Kontohanteraren för domäner//user Manager for Domains används för att studera kontodatabasen på en icke-domänkontrollant visar den alltid datornamnet med två omvända snedstreck. Du kan nu hantera kontodatabasen som om du sutte vid den datorn: upprätta lokala grupper, användarkonton, m.m. Markera flera grupper av användare, en efter en En honnör till den som tänkt ut denna finess: man kan markera användare i flera olika grupper efter varandra så att samtliga gruppers användarkonton markeras. Detta kan spara mycket tid när stora förändringar skall göras i kontodatabasen. Nedan visar jag hur du gör för att markera alla användare i två globala grupper (AvdEkonomi och AvdLogistik) vilka finns i en domän med namn Gnipa. När alla användarkonton är markerade skall vi ändra deras inloggningstid till att omfatta kontorstid (ungefärlig kontorstid). 1. Starta Kontohanteraren för domäner//user Manager for Domains och välj Välj användare//select Users i menyn Användare//User. Följande dialogruta syns strax: Dialogruta för att markera användarkonton i olika grupper (både globala och kontrollantlokala grupper). 474

Använda Kontohanteraren för domäner//user Manager for Domains 2. Markera det första gruppnamnet, AvdEkonomi, tryck sedan på Markera//Select. Du kan nu se att användarkonton markeras i huvudfönstret (inte alltid det syns bakom dialogrutan eller helt enkelt för att användarlistan i Kontohanteraren för domäner//user Manager for Domains inte kan visa alla användare i samma bild): Det synliga resultatet av att markera alla användarkonton i den globala gruppen AvdEkonomi. 3. Fortsätt med nästa gruppnamn, AvdLogistik, tryck sedan på Markera//Select. Du kan nu se att även denna grupps användarkonton markeras: Det synliga resultatet av att markera alla användarkonton i två 475

13 Inbyggda verktyg för nätadministration globala grupper. Tråkigt nog bjuder inte Microsoft på information om hur många konton som markerats (det borde varit ganska lätt att göra ). 4. Välj Egenskaper//Properties i menyn Användare//Users (eller tryck på Enter direkt). I dialogrutan som nu uppenbarar sig kan du se en lista (Användare//Users) med alla markerade konton. Dialogrutan Användaregenskaper//User Properties med alla kontonamnen. 5. Tryck nu på knappen Tider//Hours och ändra den tillåtna inloggningstiden. Variabeln %UserName% kan användas för att ändra inställningar för många användare samtidigt I Kontohanteraren för domäner//user Manager for Domains kan du använda en inbyggd miljövariabel, %UserName%. Den är främst användbar när du markerat flera konton och vill ändra, ex., varje kontos hemmamapp från en server till en annan. I exemplet nedan kommer jag att visa hur du ändrar hemmamappar för ett antal användare till servern \\guldtopp. Hemmamapparna blir undermappar till mappen \\guldtopp\hemmamappar. Vi använder samma metod som här ovan för att markera alla användarkonton i två globala grupper (AvdMarknad och AvdSalj). 1. Starta Kontohanteraren för domäner//user Manager for 476

Använda Kontohanteraren för domäner//user Manager for Domains Domains och välj Välj användare//select Users i menyn Användare//User. 2. Markera det första gruppnamnet, AvdMarknad, tryck sedan på Markera//Select. Du kan nu se att användarkonton markeras i huvudfönstret: Det synliga resultatet av att markera alla användarkonton i den globala gruppen AvdMarknad. 3. Fortsätt med nästa gruppnamn, AvdSalj, tryck sedan på Markera//Select. 4. Välj Egenskaper//Properties i menyn Användare//Users (eller tryck på Enter direkt). Tryck sedan på Profil//Profile och skriv \\guldtopp\hemmamappar\%username% på raden efter till//to. 477

13 Inbyggda verktyg för nätadministration Dialogrutan Användaregenskaper//User Properties med alla kontonamnen. 5. Tryck till slut på OK så många gånger som krävs och du kommer att märka att samtliga mappar upprättas med rätt namn (samma som kontonamnet). Mapparna delas inte ut, men om de upprättas på en NTFS-volym får de lokal behörighet så att användarkontot tilldelas Fullständig behörighet//full Control till mappen (inga andra grupper eller konton finns i behörighetslistan). Andra domäner För att kunna använda Kontohanteraren för domäner//user Manager for Domains med andra domäners kontodatabaser kan du göra på flera sätt. Ett är att koppla domäner till varandra och sedan låta Domänadministratörer//Domain Admins i den ena domänen bli medlem av Administratörer//Administrators på den primära domänkontrollanten i den andra domänen. Ett annat sätt är att upprätta en session till den primära domänkontrollanten med hjälp av ett administratörskonto i den domänen (med tillhörande lösenord). För att göra detta startar du en Kommandotolk//Command Prompt och skriver: net use \\pdc /user:annan-domän\adminkonto * Nu kan Kontohanteraren för domäner//user Manager for Domains användas med kontodatabasen på den primära domänkontrollanten i den domänen. Måhända måste du skriva domänens 478

Använda Loggboken//Event Viewer namn för hand när du byter domän (Välj domän//select Domain i menyn Användare//User). För att ansluta till icke-domänkontrollanter i andra domäner/ arbetsgrupper gör du på samma sätt som ovan, men anger ett lokalt administratörskonto på den datorn. Använda Loggboken//Event Viewer Loggboken//Event Viewer är ett mycket viktigt verktyg det används för att studera händelsejournalerna i Windows NT. De är tre till antalet: q System//System q Säkerhet//Security q Program//Application Det finns likheter och olikheter mellan de tre. Journalerna System//System och Säkerhet//Security är till för operativsystemet Windows NT och dess olika delar, Program//Application används av tilläggsprogram. Innehållet i och omfattningen av poster i journalerna System//System och Program//Application bestäms av de som skrivit Windows NT och programmen innehållet i Säkerhet//Security styrs av administratörer. System//System Händelser som har med operativsystemet självt och dessa olika delar att göra skrivs till journalen System//System Säkerhet//Security Händelsejournalen Säkerhet//Security skiljer sig från de andra genom att du som administratör i stor omfattning styr vilken och hur mycket information som skrivs till den. Det är i denna journal alla poster från granskning//auditing hamnar. Läs om granskning//auditing i kapitel 15. Program//Application I händelsejournalen Program//Application finner vi poster från program som inte är en del av operativsystemet Windows NT, ex. databashanterare, elpostservrar och andra programsystem. Lustigt nog skriver Windows NT-programmet AutoChk information till 479

13 Inbyggda verktyg för nätadministration denna journal och inte till System//System. Händelsejournalerna ägs av tjänsten EventLog Tjänsten EventLog är den del som ser till att det skrivs i händelsejournalerna. När någon del av Windows NT eller något program behöver journalföra någon händelse är det EventLog som utför själva skrivandet. Med andra ord: tjänsten EventLog måste vara startad för att händelsejournalerna skall uppdateras. EventLog uppfattas som speciell av Windows NT: du kan inte stoppa den med hjälp av Kontrollpanelen.Tjänster//Control Panel.Services och inte heller i kommandotolken med kommandot net stop EventLog. Den kan inte heller inaktiveras i en hårdvaruprofil. När du vill använda granskning//auditing måste du göra det med eftertanke. Det är fullt möjligt att göra så att ett Windows NT-system enbart sysslar med att journalföra händelser i systemet och inte hinner utföra något nyttigt arbete. Använda Nätverksövervakaren//Network Monitor Nätverksövervakaren//Network Monitor ser mycket imponerande ut när den startas: Det något avskräckande huvudfönstret i Nätverksövervakaren//Network Monitor. 480

Använda Nätverksövervakaren//Network Monitor Men, låt dig inte förledas att tro att den skulle vara svår att använda det är den inte! Visserligen håller jag inte med den amerikanske skribenten Jim Seymour som utnämner Nätverksövervakaren//Network Monitor till ett verktyg som gör nätverket och dess trafik glasklar, men det är ett mycket lättanvänt verktyg för den som har det minsta hum om nätverk. Anledningen till att det är så lätt att använda är att Microsoft utrustat Nätverksövervakaren//Network Monitor med oerhört mycket kunnande om nätverkstrafik på alla nivåer. Tänk på en förkortning som hör nätverk till och du kan vara säker på att Nätverksövervakaren/ /Network Monitor känner igen sådan trafik. Installera Nätverksövervakaren//Network Monitor Installera Nätverksövervakaren//Network Monitor på vanligt sätt: var noga med att välja Network Monitor Tools and Agent. Nätverksövervakaren//Network Monitor installeras på vanligt sätt, men det finns en luring vid installationen: det går att installera både något som heter Network Monitor Agent och något som heter Network Monitor Tools and Agent. Du vill ha den senare, Network Monitor Tools and Agent (just i detta sammanhang kallar alltså Microsoft Nätverksövervakaren//Network Monitor för Network Monitor Tools, förmodligen i ett försök att vara tydliga ). Efter installationen ser du en ikon för Nätverksövervakaren//Network Monitor i menyn/programgruppen Administrationsverktyg//Administrative Tools. Nätverksövervakaren//Network Monitor är en bandspelare med mixerbord Funktionen i Nätverksövervakaren//Network Monitor kan liknas vid en bandspelare: den spelar in nätverkstrafik och låter dig sedan studera inspelningen. Innan du börjar spela in kan du välja vilka protokoll (TCP, UDP, IP, m.fl.) som skall spelas in. Efter 481

13 Inbyggda verktyg för nätadministration inspelningen kan du detaljstudera trafiken och du kan välja bort alla utom ett enstaka protokoll (mixerbordet). När dina behov ökar kan du låta Nätverksövervakaren//Network Monitor spela in trafik tills dess att ett nätverkspaket med ett viss innehåll sänds, varvid den stannar och låter dig studera detta paket. Du kan också ändra i paket och skicka ut dem igen på nätverket. Nätverksövervakaren//Network Monitor registrerar NetBIOSnamn Med tillgång till Nätverksövervakaren//Network Monitor på varje Windows NT Server-dator är det lätt hänt att nätverkstrafik blir avlyssnad även när man inte avsett detta (och av personer som inte har nätverksavlyssning i sin arbetsbeskrivning). Det kan därför vara intressant att veta att Nätverksövervakaren//Network Monitor registrerar sig med ett särskilt NetBIOS-namn. Detta gör det möjligt att alla startade Nätverksövervakaren//Network Monitor på alla datorer. Menyvalet Identifiera användare av Nätverksövervakaren//Identify Network Monitor users i menyn Verktyg//Tools gör det ännu lättare att se om någon avlyssning just nu sker. (Notera att det finns många andra nätverksövervakare som inte är så här administratörsvänliga, flera kan hämtas på Internet.) Börja använda Nätverksövervakaren//Network Monitor Det enklaste sättet att börja använda Nätverksövervakaren//Network Monitor är i ett litet isolerat nätverk. Dessutom är det bäst att börja med just den version som följer med i Windows NT Server 4.0 den kan lagom mycket. Låt oss använda Nätverksövervakaren//Network Monitor för ett väl avgränsat uppdrag: spela in nätverkstrafiken mellan två datorer där användaren på den ena ping:ar den andra. TCP/IPverktyget ping kan användas för att undersöka om man har grundläggande nätverkskontakt mellan två datorer. Gör så här: 1. Starta Nätverksövervakaren//Network Monitor. 2. Klicka på verktygsknappen för att starta inspelningen. 3. Starta en kommandotolk och skriv ping datornamn eller 482

Använda Nätverksövervakaren//Network Monitor IP-adress 4. Vänta in alla fyra svar från den ping:ade datorn. Under det att Nätverksövervakaren//Network Monitor spelar in trafik visas statistik och vilka nätverkskort (eg. nätverksadresser) som deltagit i trafiken. De nätverksadresser den känner igen visas med sitt datornamn. 483

13 Inbyggda verktyg för nätadministration 484

Använda Nätverksövervakaren//Network Monitor 485

13 Inbyggda verktyg för nätadministration 486

Använda Resursövervakaren//Performance Monitor 487

13 Inbyggda verktyg för nätadministration 488

Använda Resursövervakaren//Performance Monitor 489

13 Inbyggda verktyg för nätadministration 490

Använda Resursövervakaren//Performance Monitor 491

13 Inbyggda verktyg för nätadministration 492

Undersöka och förbättra prestanda 493

13 Inbyggda verktyg för nätadministration 494

Använda Serverhanteraren//Server Manager 495

13 Inbyggda verktyg för nätadministration 496

Använda Serverhanteraren//Server Manager 497

13 Inbyggda verktyg för nätadministration 498

Använda Serverhanteraren//Server Manager 499

13 Inbyggda verktyg för nätadministration 500

Använda Microsoft Management Console, MMC 501

13 Inbyggda verktyg för nätadministration 502

Hantera skrivare 503

13 Inbyggda verktyg för nätadministration 504

Hantera skrivare 505

13 Inbyggda verktyg för nätadministration 506

Blandad konfekt 507

13 Inbyggda verktyg för nätadministration 508

Hjälpfrågor 509

13 Inbyggda verktyg för nätadministration 510

Förslag till svar på frågor 511

13 Inbyggda verktyg för nätadministration 512

Förslag till svar på frågor 513

13 Inbyggda verktyg för nätadministration 514

Förslag till svar på frågor 515

13 Inbyggda verktyg för nätadministration 516