You are on page 1of 105

Inhalt

Windows ................................ ................................ ................................ ................................ 2 Verwaltungswerkzeuge (Kleckner) ................................ ................................ ..................... 2 Benutzerverwaltung (Winkler) ................................ ................................ ........................... 8 Dateisystemrechte (Purgaj)................................ ................................ ............................... 11 Drucken (Flock) ................................ ................................ ................................ ............... 14 Gruppenrichtlinien (Dajakaj) ................................ ................................ ............................ 16 ADS Struktur fr mehrere Standorte aufbauen Purgaj ................................ ................... 20 ADS Replikation - Kleckner ................................ ................................ ............................. 22 DNS - Fraissler ................................ ................................ ................................ ................. 27 DHCP Zimmermann................................ ................................ ................................ ....... 28 RRAS Falzberger X ................................ ................................ ................................ ........ 29 RRAS Dajakaj ................................ ................................ ................................ ................ 30 Netzwerkrichtlinien-Server - Nahrgang ................................ ................................ ............ 32 Interne Struktur der Standorte in der ADS Winkler ................................ ......................... 38 WSUS, Windows Firewall - Flock ................................ ................................ .................... 43 Novell ................................ ................................ ................................ ................................ .. 44 Verwaltungswerkzeuge (Frailer 18.5.11) ................................ ................................ ........ 44 Allgemeines zum eDirectory (Kleckner 30.5.11) relationale Datenbank, Objektorientiert . 48 Benutzerverwaltung (Flock 23.5.11) ................................ ................................ ................. 49 Dateisystemrechte (Nahrgang 18.5.11) ................................ ................................ ............. 53 Drucken (Falzberger 23.5.11) ................................ ................................ ........................... 58 Zenworks-Richtlinien (Dajakaj 30.5.11) ................................ ................................ ........... 60 Linux ................................ ................................ ................................ ................................ ... 65 Verwaltungswerkzeuge (Zimmermann 6.6.11) ................................ ................................ . 65 Benutzerverwaltung (Winkler 25.5.11) ................................ ................................ ............. 66 Dateisystemrechte (Purgaj 25.5.11) ................................ ................................ .................. 69 Serverdienste (Mail, Web, FTP,...) (Purgaj 25.5.11) ................................ ......................... 70 Drucken (Falzberger 23.5.11) ................................ ................................ ........................... 72 MySQL ................................ ................................ ................................ ................................ 76 Verwaltungswerkzeuge Nahrgang ................................ ................................ .................. 76 Grundstze des Datenbankentwurfs Fraissler ................................ ................................ 79 SQL Zimmermann ................................ ................................ ................................ ......... 86 Programmatischer Zugriff auf MySQL-Datenbanken - Falzberger X ............................... 87 Novell-Spezial................................ ................................ ................................ ...................... 94 Fernverwaltung (Kleckner) X ................................ ................................ ........................... 94 1

iPrint (Winkler) ................................ ................................ ................................ ................ 94 Ifolder (Purgaj) ................................ ................................ ................................ ................. 97 Verwaltungsobjekte (Frailer) ................................ ................................ ........................ 102 Benutzer (Flock)X ................................ ................................ ................................ ...... 105 Attributobjekt (Dajki) X ................................ ................................ ............................. 105

Windows
Verwaltungswerkzeuge (Kleckner)
Verwaltungswerkzeuge Klecks Wichtigste Administrative Verwaltungsaufgaben bei einem Windows Rechners
y

Computerverwaltung

Gib einen Kurzberblick auf die wichtigsten Verwaltungsaufgaben! Benutzerverwaltung Hardwareressourcenverwaltung Speicherverwaltung Netzwerkverwaltung Leistungsberwachung Festplattenverwaltung Partition braucht unter Windows Laufwerksbuchstaben, allerdings kann man es einhngen in einen leeren Ordner. Laufwerksbuchstabe kann gendert werden. Kontingent: Speichervolumen pro User kann pro Partition beschrnkt werden. Wie viele Partitionen kann man erstellen? Primre, Erweiterte Partitionen gibt es Raid System dient zur Ausfallssicherheit, Raid 1 heit spiegeln.

Netzwerkverwaltung Durch Netzwerk und Freigabe Center kann man es ndern

Datentrgerverwaltung Beim Erstellen von Laufwerken werden eigentlich neue Partitionen erstellt. Die Begriffe Laufwerk und Partition werden oft vermischt. Eine Partition ist ein festgelegter Bereich einer Festplatte. Dieser Bereich kann die gesamte Festplatte oder auch nur einen Teil der Festplatte umfassen. Die Partition verfgt weder ber einen Laufwerksbuchstaben, noch knnen ohne weitere Schritte Daten auf der Partition gespeichert werden. Ein Laufwerk ist eine Partition, die formatiert wurde und der ein Laufwerkbuchstabe zugewiesen wurde. Laufwerke werden unter Windows ganz normal mit einem Laufwerksbuchstaben angezeigt, und knnen zum Speichern von Daten verwendet werden. Um ein neues Laufwerk zu erstellen, muss man also auch eine neue Partition erstellen. Man kann nur bis zu vier Partitionen und somit auch nur bis zu vier Laufwerke erstellen. Wenn man mehr als vier Laufwerke bentigen, dann wird eine erweiterte Partition erstellet. Grundstzlich ist eine Partition also lediglich ein nicht zugreifbarer, abgeteilter Bereich der Festplatte. Ein Laufwerk hingegen ist eine Partition, die auch formatiert ist und der ein Laufwerksbuchstabe zugewiesen wurde. Erreichbar ist dieser Register unter dem Kontextmen des Arbeitsplatzes Verwalten und dann die Datentrgerverwaltung anwhlen.

was ist nap Im unteren Bereich des Fensters sieht man alle physisch im Computer vorhandenen Datentrger (Festplatten, CD-Laufwerke, DVD-Laufwerke etc.). Der blaue Bereich eines Datentrgers ist bereits einem Laufwerk (Partition) zugeordnet. Der schwarze Bereich eines Datentrgers ist noch nicht zugeordnet und kann fr das Erweitern einer bestehenden Partition genutzt werden. Beim Anlegen einer neuen Partition gibt es nicht mehr die Unterscheidung zwischen primrer Partition und erweiterter Partition wie unter Windows XP (und 2000). Es gibt nur die Option Neues einfaches Volume. Die ersten drei Partitionen werden als primre Partionen angelegt. Beim Anlegen der vierten Partition wird automatisch eine erweitere Partition mit einem logischen Laufwerk angelegt. Die weiteren Partitionen/Volumes sind dann auch logische Laufwerke. 3

Seit Windows Vista besteht auch die Mglichkeit Volumes zu verkleiner bzw. zu vergrern. Dies geschieht mit einem einfachen Rechtsklick auf das gewhlte Volume.

Hardwareverwaltung Um die installierte Hardware betrachten zu knnen weist sich der Gerte Manager als durchaus ntzlich. Hier lassen sich alle Hardwarekomponenten auswhlen, ihre Eigenschaften knnen beobachtet werden, Treiberaktualisierungen knnen vorgenommen werden und vieles mehr. Den Gerte Manager erreicht man, indem man diesen Befehl ausfhrt: devmgmt.msc

Netzwerkverwaltung Um sich ein berblick ber seine Schnittstellen zu beschaffen oder ob man IP-Adressen manuell oder automatisch Vergeben mchte muss man unter Windows zu Start-

>Systemste er

>Netz erkver i

e wechsel

Hier l sse sich durch Rechstklick>Ei e sch te viele Ei stellungen einstellen zB IP Adressen einge en, Gateways ndern oder WINS einstellen. Benutzerverwaltung Um die Benutzer verwalten zu knnen muss man als erstes unter Systemsteuerung und dann Benutzerverwaltung wechseln. Dort lassen sich diverse Einstellungen durch hren wie das ndern von Passwrtern, Persnliches Bild einfgen, Anmeldeinformationen einstell n oder e den Kontotypen ndern.

Leistungs- und Systemberwachung

Das System zu berprfen kann man mithilfe des Befehles perfmon. Es ffnet sich die Leistungs- und Systemberwachung, die die CPU, Datentrger, Netzwerk und Speicher beobachtet. Dies dient zur genauen Erkenntnis, wie der PC arbeitet. Falls hufiger Fehlermeldungen, Abbrche, Abstrze oder andere Probleme vorkommen, dann besteht die Mglichkeit diese mit der Zuverlssigkeitsberwachung genauer anzusehen. Dort sieht man alle Vorkommnisse und Ereignisse am Windows Rechner. 6

Dienste Falls man neue Dienste starten mchte oder andere beenden oder neu starten sollte man unter Windows zu dem Dienstmanager wechseln der unter dem Befehl services.msc. Hier sieht man alle Dienste die zuzeit am Windows Rechner verfgbar sind.

Benutzerverwaltung (Winkler)

Benutzerverwaltung Winkler
man unterscheidet zwischen lokalen und Benutzer in der ADS.

lokale Benutzer: gibt es ein Tool,

Benutzer in der ADS: normale Profile: serverbasierende Profile: Egal auf was fr einen Computer man sich anmeldet die Einstellungen sind immer die gleichen. Kann gro werden ber 100 MB Da eigene Dateien dazugehren und der Desktop auch - Mitarbeitet speichern gerne auf den Desktop. Beim abmelden werden die Dateien wieder auf den Server zurckgespeichert! Netzlaufwerk wre besser. Das was am Desktop ist kann man den Pfad auch auf ein Homeverzeichnis weiterleiten. Verbindliche Benutzerprofile: bekommt man die Daten ber den Server kann es im Zuge der Sitzung ndern und nach abmelden wird es wieder auf normalen Zustand zurckgebracht.

Was wird auf Basis der Benutzer gesetzt? -Festplatten zugriff -Systemrechte (sind ber Gruppenrichtlinien gesteuert) -Freigaben

Was ist wenn man User anlegt versehentlich lscht sind Rechte weg? - ja da es sich auf die Security ID bezieht Beim Domnencontroller (RID-Master) knnen SID's bereitgestellt werden. Ausfall von Betriebsmasterkonfigurationen knnen diese Einstellungen lahm legen.

Profile Serverbasierende Profile Home

Benutzerverwaltung Lokale Benutzer und Gruppen Das Tool Lokale Benutzer und Gruppen befindet sich in der Computerverwaltung. Es handelt sich um eine Sammlung von Verwaltungsprogrammen, mit deren Hilfe ein einzelner lokaler Computer oder ein Remotecomputer verwaltet werden kann. Man kann das Tool Lokale Benutzer und Gruppen verwenden, um lokal auf dem Computer gespeicherte Benutzerkonten und Gruppen zu sichern und zu verwalten. Einem lokalen Benutzer- oder Gruppenkonto knnen Berechtigungen und Rechte fr einen bestimmten Computer zugewiesen werden, die ausschlielich fr diesen Computer gelten. Mithilfe des Tools Lokale Benutzer und Gruppen kann man durch Zuweisen von Rechten und Berechtigungen die Ausfhrung bestimmter Aktionen durch Benutzer und Gruppen einschrnken. Ein Recht autorisiert einen Benutzer zum Ausfhren bestimmter Aktionen auf einem Computer, wie das Sichern von Dateien und Ordnern oder das Herunterfahren eines Computers. Bei einer Berechtigung handelt es sich um eine einem Objekt zugewiesene Regel, ber die festgelegt wird, welche Benutzer auf welche Weise ber Zugriff auf das entsprechende Objekt verfgen. Man kann das Tool Lokale Benutzer und Gruppen nicht zum Anzeigen lokaler Benutzer- und Gruppenkonten verwenden, wenn ein Mitgliedsserver heraufgestuft wurde, um als Domnencontroller zu fungieren. Man Lokale Benutzer und Gruppen jedoch auf einem Domnencontroller verwenden, um im Netzwerk Aktionen auf Remotecomputern (bei denen es sich nicht um Domnencontroller handelt) auszufhren. Mithilfe von Active DirectoryBenutzer und -Computer kann man Benutzer und Gruppen in Active Directory verwalten. Benutzer- und Computerkonten (ADS) Benutzerkonten und Computerkonten in Active Directory entsprechen einer physikalischen Einheit, z. B. einem Computer oder einer Person. Benutzerkonten knnen in bestimmten Anwendungen auch als dedizierte Dienstkonten verwendet werden. Benutzer- und Computerkonten (ebenso wie Gruppen) werden auch als Sicherheitsprinzipale bezeichnet. Sicherheitsprinzipale sind Verzeichnisobjekte, denen automatisch Sicherheitskennungen (Security IDs, SIDs) zugewiesen werden und die den Zugriff auf Domnenressourcen ermglichen. Benutzer- und Computerkonten werden fr die folgenden Aufgaben eingesetzt: y Authentifizierung eines Benutzers oder Computers. Mithilfe eines Benutzerkontos meldet sich der Benutzer an Computern und Domnen mit einer Identitt an, die von der Domne authentifiziert werden kann. Jeder Benutzer, der sich an einem Netzwerk anmeldet, sollte ber ein eigenes Benutzerkonto und Kennwort verfgen. Zur Optimierung der Sicherheit sollte man vermeiden, dass mehrere Benutzer dasselbe Benutzerkonto verwenden. y Zugriffskontrolle auf Domnenressourcen. Nach der Authentifizierung des Benutzers wird dem Benutzer der Zugriff auf Domnenressourcen anhand der expliziten Berechtigungen, die diesem Benutzer in der Ressource zugewiesen sind, entweder gewhrt oder verweigert. y Verwaltung anderer Sicherheitsprinzipale. Active Directory erstellt in der lokalen Domne je ein fremdes SicherheitsprinzipalObjekt fr die einzelnen Sicherheitsprinzipale in einer vertrauenswrdigen externen Domne. y berwachungsaufgaben unter Verwendung von Benutzer- oder Computerkonten. Mithilfe der berwachung behalten Sie den berblick ber die Kontensicherheit. 9

Benutzerkonten Der Container Benutzer in Active Directory-Benutzer und -Computer enthlt die folgenden drei vordefinierten Benutzerkonten: Administrator, Gast und Hilfeassistent. Diese vordefinierten Benutzerkonten werden automatisch beim Erstellen der Domne angelegt. Jedes vordefinierte Konto verfgt ber eine bestimmte Kombination von Rechten und Berechtigungen. Das Administratorkonto bietet die umfangreichsten Rechte und Berechtigungen ber die Domne, whrend das Gastkonto nur eingeschrnkte Rechte und Berechtigungen gewhrt. Solange die Rechte und Berechtigungen eines vordefinierten Kontos vom Netzwerkadministrator nicht gendert oder deaktiviert werden, kann sich ein Benutzer mit bswilligen Absichten (oder ein Dienst) unrechtmig als Administrator oder Gast an einer Domne anmelden. Zum Schutz dieser Konten empfiehlt es sich, diese umzubenennen oder zu deaktivieren. Weil ein umbenanntes Benutzerkonto die zugehrige Sicherheitskennung (Security ID, SID) beibehlt, behlt es auch alle anderen zugehrigen Eigenschaften, wie z. B. die Beschreibung, das Kennwort, Gruppenmitgliedschaften, das Benutzerprofil, Kontoinformationen sowie alle zugewiesenen Berechtigungen und Benutzerrechte. Um Sicherheit in Form der Benutzerauthentifizierung und -autorisierung zu implementieren, sollte man fr jeden Benutzer, der sich am Netzwerk anmeldet, in "Active Directory-Benutzer und -Computer" ein eigenes Benutzerkonto erstellen. Jedes Benutzerkonto (einschlielich des Administrator- und Gastkontos) kann einer Gruppe hinzugefgt werden, in der die kontospezifischen Rechte und Berechtigungen verwaltet werden knnen. Durch die auf das Netzwerk abgestimmten Konten und Gruppen wird sichergestellt, dass die Benutzer bei der Netzwerkanmeldung identifiziert werden und nur auf die vorgesehenen Ressourcen zugreifen knnen. Durch das Erzwingen der Verwendung sicherer Kennwrter und das Implementieren einer Kontosperrungsrichtlinie schtzen Sie Ihre Domne vor Angreifern. Sichere Kennwrter reduzieren das Risiko, dass Kennwrter durch intelligentes Erraten oder Wrterbuchangriffe preisgegeben werden. Eine Kontosperrungsrichtlinie reduziert die Gefahr, dass ein Angreifer mittels wiederholter Anmeldeversuche die Sicherheit der Domne gefhrdet. Denn eine Kontosperrungsrichtlinie bestimmt, wie viele fehlgeschlagene Anmeldeversuche fr ein Benutzerkonto zulssig sind, bevor es deaktiviert wird. Kontooptionen Jedes Active Directory-Benutzerkonto verfgt ber eine Reihe von Kontooptionen, die bestimmen, wie ein Benutzer im Netzwerk authentifiziert wird, der sich mit diesem Benutzerkonto anmeldet. Benutzer muss Kennwort bei der nchsten Anmeldung ndern oder Benutzer kann Kennwort nicht ndern Servergespeicherte Benutzerprofile Servergespeicherte Benutzerprofile dienen eigentlich dazu, Benutzer zu untersttzen, die sich an mehreren Computern anmelden. Deshalb werden sie auch als wandernde Benutzerprofile bzw. Roaming User Profiles (RUPs) bezeichnet. Eine Ausnahme bilden auch Benutzer, die sich regelmig an verschiedenen Standorten anmelden, denn in den Pfad des servergespeicherten Benutzerprofils geht der Servername ein, und der Anmeldevorgang wrde sich fr diese Benutzer hinziehen, wenn das Profil ber eine WAN-Leitung geladen werden msste. Wenn sich ein Benutzer an einem Computer anmeldet, werden seine persnlichen Einstellungen fr das Betriebssystem, aber auch die Office-Einstellungen und die persnlichen Einstellungen fr andere Anwendungen gespeichert. Meldet sich der Benutzer an einem anderen Computer an, so findet er dort nicht die Einstellungen des ersten Computers 10

wieder, sondern die Standardeinstellungen. Aber auch die Favoriten, die im Internet Explorer angelegt werden, sowie die in Word erstellten Dokumentvorlagen und die selbst angelegten und gepflegten Wrterbcher sind auf dem anderen Computer nicht verfgbar. Alle diese wichtigen Einstellungen und die Favoriten sowie die mit viel Mhe erstellten Dokumentvorlagen und Wrterbcher gehen aber auch verloren, wenn der Computer des Anwenders neu installiert werden muss, weil z.B. die Festplatte den Geist aufgegeben hat und diese Daten vorher nicht gesichert wurden. Durch servergespeicherte Benutzerprofile werden nun Kopien der clientgespeicherten Benutzerprofile auf dem Server gehalten und bei jeder An- und Abmeldung mit diesen lokalen Profilen synchronisiert. Meldet sich ein Benutzer, fr den ein servergespeichertes Benutzerprofil erstellt wurde, zum ersten Mal an einem anderen Computer an, so wird das servergespeicherte Profil nach C:\Dokumente und Einstellungen herunterkopiert und der Benutzer findet seine Einstellungen, Favoriten und Dokumentvorlagen sowie die persnlichen Wrterbcher vor. Wenn der Computer des Benutzers ausgetauscht oder ein neues Standardabbild eingespielt wird, gehen diese wichtigen Dinge nicht verloren. Servergespeicherte Profile einrichten Um servergespeicherte Profile fr die Anwender einzurichten, legt man auf dem Server ein Verzeichnis z.B. mit dem Namen Profiles an und gibt es unter derselben Bezeichnung frei. Man muss die Freigabeberechtigung fr die Gruppe Jeder auf ndern erweitern. Wenn aus Sicherheitsgrnden nicht gewnscht ist, dass die Gruppe Jeder auf einem Serververzeichnis Rechte besitzt, kann man Jeder auch durch die Sicherheitsgruppe Domnen-Benutzer ersetzen und dieser Gruppe dann das Freigaberecht ndern gewhren. Bei jeder Kennung, fr die ein servergespeichertes Profil angelegt werden soll, tippt man in der Registerkarte Profil des Benutzers nun hinter Profilpfad Folgendes ein: \\s1\profiles\%username% Wenn man auf bernehmen klickt, wird die Variable %username% durch die Kennung des Benutzers ersetzt. Das Verzeichnis wird aber erst erzeugt, wenn sich der Benutzer zum ersten Mal anmeldet. Sobald sich alle Benutzer, fr die auf diese Weise ein servergespeichertes Profil definiert wurden, einmal an- und abgemeldet haben, finden Sie fr diese Benutzer in der Freigabe \\S1\Profiles Unterverzeichnisse. Jeder Benutzer, der nach Netzfreigaben suchen darf, kann diese Unterverzeichnisse zwar sehen, jedoch nur sein eigenes Verzeichnis ffnen.

Dateisystemrechte (Purgaj) Dateisystemrechte NTFS-Berechtigung Berechtigungen werden im Dateisystem selbst gespeichert. Derartige Eintrge nennt man ACE (Access Control Entry), die sich daraus ergebende Liste heit ACL (Access Control List). Bei der Erstellung eines Ordners oder einer Datei wird der Benutzer, der das Objekt anlegt, als Besitzer des Objekts eingetragen. Der Besitz eines Objekts ist ein wichtiges Attribut, das ein Benutzer auf eine Ressource haben kann. Der Besitzer einer Ressource entscheidet nmlich, wer mit welcher Berechtigung auf sie zugreifen kann. Aus einer Vielzahl von Einzelberechtigungen 11

wurden Standardberechtigungen definiert, die der Administrator oder Besitzer eines Objekts vergeben kann. " Lesen: Lesen einer Datei sowie Anzeige der Dateiattribute, der Berechtigungen und des Besitzers. " Schreiben: Mit dieser Berechtigung kann die Datei berschrieben werden. Daneben werden auch Besitz und Berechtigungen angezeigt. " Lesen, Ausfhren: Diese Berechtigung ist notwendig, um Programme ausfhren, also starten zu knnen. " ndern: Neben dem Lesen, Schreiben, Ausfhren umfasst diese Berechtigung noch das ndern und Lschen von Objekten wie z. B. einer Datei oder eines Ordners. " Vollzugriff: Diese Berechtigung ist die hchstmgliche, sie enthlt alle anderen Berechtigungen und erlaubt die bernahme des Besitzes an einem Objekt. Wenn man die Berechtigungen einsehen oder ndern mchte, muss man das gewnschte Objekt im Dateisystem auswhlen und durch einen Rechtsklick das Kontextmen aufrufen. In dem sich ffnenden Men whlt man die Funktion EIGENSCHAFTEN aus. In dem sich ffnenden Fenster wechselt man in das Register SICHERHEIT, in dem man die Berechtigungen des Objekts einsehen bzw. ndern kann. Windows Server 2008 arbeitet mit vererbbaren Berechtigungen, d. h. ein Objekt erbt die Berechtigungen des darber liegenden Ordners. Ein neu erstellter Ordner erbt die Berechtigungen des bergeordneten Ordners. Um die Berechtigung der Gruppe "Benutzer" zu ndern, muss zuerst die Vererbung ausgeschaltet werden. Mit einem Klick auf die Schaltflche ERWEITERT ' Berechtigungen ' BEARBEITEN gelangt man in die erweiterten Sicherheitseinstellungen des Ordners. Im unteren Abschnitt des Fensters muss die Kontrollbox VERERBBARE BERECHTIGUNGEN DES BERGEORDNETEN OBJEKTEs EINSCHLIESSEN, abgehakt werden. Wenn man einen detaillierten berblick wnscht, welche Berechtigungen im Einzelnen durch das Setzen der Kontrollbox einer Standardberechtigung wirklich vergeben werden, muss man lediglich den Benutzer oder die Gruppe anklicken und anschlieend die Schaltflche BEARBEITEN whlen. Die effektive Berechtigung eines Benutzers setzt sich aus den einzelnen Berechtigungen zusammen, die er durch die Mitgliedschaft in unterschiedlichen Gruppen erhalten hat. Alle Berechtigungen addieren sich, wobei das Verweigern der Berechtigung eine hhere Prioritt hat als das Zulassen. 12

Unter Windows Server 2008 hat man die Mglichkeit, die effektiven Berechtigungen eines Benutzers oder einer Gruppe sofort zu ermitteln. Im Register EFFEKTIVE BERECHTIGUNGEN des Fensters "Erweiterte Sicherheitseinstellungen fr " kann man sofort die effektiven Berechtigungen ermitteln. Nachdem man auf das Register geklickt hat, muss man ber die Schaltflche AUSWHLEN den Benutzer oder die Gruppe eingeben, fr die man die effektiven Berechtigungen ermitteln mchte.

13

!  5  % !        &      ! 5     #   % A ! 5       6  6 


e c e s ec e Se ve c e c e ss e Se ve je e C e c c es s ec s esc c

!  5  %   7 5 %


e e Z c s e ee c e e e e e e c e e c es

!   #  &" 4    !  &" 4       &" 4 " 4      %  3 ) 21 ) ) ) (0 ) (   %    !  '      &  %   # ! $  &
e

Wie sorgt m n d f r d ss der Chef ls erstes Drucken d rf

 !  9$    &      ##      !   5 8   7 6    "    # 5 %      " 7 6  # !   #  " 5      # "! $ 5  % ( ( ( ( (
e c es e e c e s c e -s 2 e e e e e e e e -Be e F e e e - s e e e e Be e ee e e e e e e C e e e e e S e e e se e e c e c

 # "!         


n Floc

Drucken unter Windows Server 2008

A       & !   %      @   !   # 


c s

Druc

(Fl c )

Druc

J V e se - C e

K nn m n ber http drucken?

W s ist in lo l r und in N t

e e

e e e c se v e sc c sv e e e e c

c e ve

e Se ve

rkdrucker?

14

esc

c e c e s ve

Ein erster Blick auf die Druckverwaltung zeigt folgende Bereiche Unter dem Knoten Druckserver findet man die Druckserver, mit dem man das Werkzeug verbunden hat. Unterhalb eines Druckservers finden sich die einzelnen Konfigurationspunkte, also Treiber, Formulare, Anschlsse und Drucker. Das sind alles Aspekte, die man bereits aus der Druckerkonfiguration der frheren Windows Server-Versionen kennt. Drucker Installation Im Kontextmen den Menpunkt Drucker hinzufgen auswhlen. Die erste Frage des Installationsassistenten ist, wie der neue Drucker gefunden werden kann bzw. angeschlossen ist. Wenn man einen TCP/IP-Drucker installieren mchte, muss man im nchsten Dialog die IPAdresse eintragen. Auf Wunsch kann man dort die Checkbox Zu verwendenden Druckertreiber automatisch ermitteln aktiviert lassen. Der Assistent wird dann ber das Netzwerk den Typ des Druckers ermitteln und den passenden Treiber vorschlagen. Hier sieht man, was passiert, wenn es im Lieferumfang von Windows Server 2008 keinen passenden Treiber fr den gefundenen Drucker gibt: Die oberste Option (Druckertreiber verwenden, den der Assistent ausgewhlt hat) steht nicht zur Verfgung. Man kann nun einen bereits auf dem Server installierten Treiber auswhlen oder die Option Einen neuen Treiber installieren whlen. Wenn man die Option Einen neuen Treiber installieren gewhlt hat, gelangt man zu dem altbekannten Dialog zur Auswahl von Hersteller und Druckertyp. Hier findet man dann auch die Schaltflche Datentrger zum Einspielen eines Treibers, den man aus dem Internet oder ber CD beziehen kann. Der letzte Schritt ist dann die Auswahl des Druckernamens und der Freigabe. Zustzliche Treiber installieren Wenn ein Client sich mit einem Drucker verbindet, bentigt er einen Treiber. In WindowsNetzwerken ist das prinzipiell sehr einfach, weil der Client den bentigten Treiber selbst installieren kann - vorausgesetzt, der Druckserver hlt den Treiber fr den Client bereit. Wenn die Clients nicht gerade auf dem Stand Windows NT4, Windows 95 oder dergleichen sind, wird das sogar auf Anhieb funktionieren. Damit die Clients, die eine andere Prozessorfamilie als der Server verwenden, automatisch die bentigten Treiber erhalten knnen, mssen diese auf dem Server installiert werden. Dies geschieht ber den Menpunkt Treiber hinzufgen. Der Assistent wird zunchst abfragen, fr welche Prozessorfamilien ein Treiber installiert werden soll. Anschlsse konfigurieren In der Druckverwaltung kann man die Anschlsse eines Druckers bearbeiten. Die ist vor allem dann hilfreich, wenn man sehr viele TCP/IP-Drucker an einem Druckserver betreibt. Druckserver konfigurieren Zunchst wre der Eigenschaftendialog zu nennen. In diesem findet man auch die Konfigurationsmglichkeiten fr Formulare, Anschlsse und Treiber. Interessant ist die Registerkarte Erweitert, auf der beispielsweise der Spoolordner definiert werden kann. In 15

diesem werden alle Druckjobs vor dem Senden zum Drucker zw ischengespeichert. Bei stark benutzten Druckservern bietet es sich an, diesen Ordner von der Systemplatte auf eine zustzliche Festplatte zu verschieben. Import und Export der Konfiguration Arbeiten mit Filtern Auch zur berwachung von Druckern bietet die Druckverwaltung einige Funktionen. Der Grundgedanke dabei ist, dass man sich zunchst ber verschiedene gefilterte Ansichten einen schnellen berblick verschaffen kann. So kann man beispielsweise auf einen Blick erkennen, wenn Drucker den Status Drucker nicht bereit haben.

Wi
Was si y y y y

w
Ri

Eine Richtliniendatei enthlt die Informationen fr den Client mit Einschrnkungen fr den Benutzer. Mit den Richtlinien knnen man die Clients zentral und einheitlich konfigurieren und haben die Mglichkeit, diese Einstellungen leicht zu verndern. Mit einer Richtliniendatei werden Werte in der Registry gesetzt und verndert. Bei jeder Anmeldung an das Netzwerk werden diese Einstellungen der Richtliniendatei mit der aktuellen Computer/Anwendereinstellung verglichen und bei Unterschieden angepasst. 16

ED

CB

Grupp

ric linien (Dajakaj)

li i

li i ?

y y

Die Richtlinien werden aus den Informationen einer Richtlinienvorlage (ADM -Datei) erstellt. Diese Richtlinienvorlage ist bei den System-/Gruppenrichtlinien weitgehend identisch.

Gruppenrichtlinien knnen an drei Orten angelegt werden: y y y Domne Organisationseinheit Standort

Die Gltigkeitsbereiche der Gruppenrichtlinie sind einfach zu verstehen: y Eine lokale Gruppenrichtlinie gilt verstndlicherweise nur auf dem lokalen Computer. Windows Vista/7 und Windows Server 2008/R2 verfgen ber drei lokale GPOs, die eine zustzliche Einschrnkung des Gltigkeitsbereichs ermglichen. Eine Standortrichtlinie gilt fr alle Computer an einem Standort und alle Benutzer, die sich dort anmelden. Eine Domnenrichtlinie wird auf alle in der Domne befindlichen Benutzer und Computer angewendet. Eine Gruppenrichtlinie, die in einer Organisationeinheit definiert ist, gilt fr alle dort angesiedelten Objekte, einschlie lich denen, die in Unter-OUs angelegt sind (und auch fr die in der OU in der OU in der OU ).1:

y y y

St ndort GR

bgearbeitet 2: Domne GR abgearbeitet 3: uere OU abgearbeitet 4:als let tes die innere OU
Si
Die

i und Vorrang

c s e e indlic e G enric linie V rrang. Diese Regel hat eine Ausnahme Gruppenrichtlinien die sich ganz oben be inden wirken auf alle anderen auch. s

Die Betriebssysteme ab Windows Vista und Windows Server 2008 kennen vier lokale Gruppenrichtlinienobjekte (GPOs), mit denen 17

`Y

Lokale G

QP S

VVUT P

W QFP S R H Q P I H GF

erstaunlicherweise Einstellungen des lokalen Computers konfiguriert werden knnen: y y y das lokale Richtlinienobjekt (Local Policy Object) ein GPO fr Administratoren und eines fr Nicht-Administratoren ein benutzerspezifisches lokales GPO

Softwareverteilung mit Gruppenri

tlinien

Mithilfe der Gruppenrichtlinien ist eine Softwareverteilung mglich. Eine wesentliche Einschrnkung ist, dass nur MSI-Pakete verteilt werden knnen; in anderen Formaten vorliegende Software muss umgepackt werden

Verarbeitung von Gruppenri y y

tlinien knnen durch folgendes beeinflusst werden:

Zugriffsberechtigungen bzw. Filter der GPOs Einstellung "Kein Vorrang" Dadurch werden Einstellungen von untergeordneten Containern berschrieben. Es gelten die Einstellungen der zuerst verarbeiteten Richtlinie (diese Option sollten Sie, wenn mglich, nicht benutzen, da es schnell unbersichtlich werden kann). Richtlinienvererbung deaktiviert: Dadurch wird die Vererbung unterbrochen und die Einstellungen der oberen Ebene werden nicht bernommen (Achtung: Kann durch das Setzen von "Kein Vorrang" bergangen werden). Mehrere GPOs werden in der zugeordneten Reihenfolge bearbeitet.

Synchronisieren
Standardmig werden die Gruppenrichtlinien synchron verarbeitet. asynchrone Verarbeitung (ber die MMC "Computerkonfiguration"-> "Administrative Vorlagen" -> "System" -> "Gruppenrichtlinien") ist nicht zu empfehlen, da die Oberflche geladen wird bevor feststeht, welche Berechtigungen der Anwender hat! Synchrone Verarbeitung Erfolgt folgendermaen: Die Computerbezogenen Richtlinien werden beim Start des Rechners verarbeitet. Die Richtlinien werden vollstndig eingelesen, bevor der Anmeldedialog angezeigt wird. Nach der Anmeldung werden die benutzerbezogenen Richtlinien eingelesen und verarbeitet. Die Oberflche wird erst nach dem vollstndigen Abarbeiten der Richtlinien angezeigt. Updates der Richtlinien

Das Intervall fr die Synchronisierung liegt standardmig bei 90 Minuten zuzglich einer zuflligen Zeit von 0 - 30 Minuten.

GPO
Einstellungen in einer Gruppenrichtlinie wir in einer GPO (Group Policy Object) gespeichert.

18

wird ein GPO in einer ADS einem Container zugewiesen wird nur ein Link auf das GPO im Container gespeichert GPOs knnen somit an mehreren Stellen gleichzeitig und sogar ber Domnengrenzen hinweg genutzt werden.

Default Domain Policy - gilt fr alle Benutzer und Computer in der Domne! Einstellungen werden auf untere Objekte weitervererbt. Lokale Gruppenrichtlinien (GR=Gruppenrichtlinie/n) -Clients (ab Windows 2000) die im Netzwerk ohne Active Directory betrieben werden, arbeiten standardmig auch mit GR! Problem: Knnen somit nur lokal konfiguriert werden. -lokale GR werden berschrieben sobald Anmeldung an einer Domne erfolgt. Dort werden dann die gesetzten Richtlinien berschrieben! -knnen nicht ber Gruppen zugeordnet werden, gelten fr alle Benutzer des lokalen System die Leserecht auf diese Richtlinie haben
Gruppenrichtlinien werden im Verzeichnis "%SYSTEMROOT%\Syste 32\GroupPoli y" abgelegt! Setzen von Dateizugriffberechtigungen knnen Accounts von der Benutzung dieser Richtlinien ausgeschlossen werden

ber "Verwaltung" -> "Lokale Sicherheitsrichtlinie" knnen lokale GR bearbeitet werden. aber nur die Sicherheitsrichtlinien. Um alle Einstellungen bearbeiten zu wollen, geht man folgender maen vor:
y y y

Die MMC starten Datei -> "Snap-In hinzufgen/entfernen" auswhlen und im Register "Eigenstndig" > "Hinzufgen" auswhlen Das Snap-In "Gruppenrichtlinie" auswhlen -> "Hinzufgen"
y "Lokaler Computer" -> "Fertigstellen"

19

Befehle: gpupdate /force - Richtlinien werden sofort synchronisiert Lokal: gpedit => dort werden lokale Gruppenrichtlinien konfiguriert.

ADS Struktur fr mehrere Standorte aufbauen


ADS-Struktur

Purgaj

Betriebsmaster
Ein Betriebsmaster ist ein DC, der eine Einzelmaster-Betriebsfunktion ausfhrt. Solche Vorgnge drfen nicht auf mehreren DCs gleichzeitig auftreten. Der erste in der Gesamtstruktur erstellte DC bernimmt alle Einzelmaster-Funktionen der Gesamtstruktur und der Stammdomne. Der erste in einer untergeordneten Domne erstellte DC bernimmt die domnenbezogenen Einzelmaster-Funktionen. Alle Rollen knnen auf andere DCs bertragen werden.

Schemamaster
Einer in der Gesamtstruktur. Steuert alle Aktualisierungen und nderungen am Schema. Bei Ausfall knnen Administratoren keine nderungen am Schema durchfhren, die Benutzer werden nicht beeintrchtigt. bertragung in AD-Schema, nur wenn der alte Schema-Master endgltig ausgefallen ist.

Domain Naming Master


Einer in der Gesamtstruktur. Steuert das Hinzufgen und Entfernen von Domnen. Bei Ausfall knnen Administratoren keine Domnen in der Gesamtstruktur erstellen oder entfernen, die Benutzer werden nicht beeintrchtigt. bertragung in AD-Domnen und Vertrauensstellungen, nur wenn der alte Domain Naming Master endgltig ausgefallen ist.

20

RID-Master
Einer pro Domne. Weist DCs der jeweiligen Domne RID-Sequenzen zu. Eine RID-Sequenz ist Teil der SID von Benutzer-, Gruppen- und Computer-Objekten. Die SID (Security Identifier) setzt sich aus der Domnen-SID zusammen, die fr alle Objekte in der Domne gleich ist, und der RID, die innerhalb der Domne eindeutig ist. Bei Ausfall knnen Administratoren keine neuen Objekte erzeugen, wenn der DC alle vorhandenen RIDs aufgebraucht hat. Benutzer werden nicht beeintrchtigt. bertragung in AD-Benutzer und Computer, nur wenn der alte RID-Master endgltig ausgefallen ist.

PDC-Emulator
Einer pro Domne. Arbeitet als Primrer Domnen-Controller in Domnen mit Computern ohne W2k-Client-Software oder mit DCs unter Windows NT 4.0. In einer W2k-Domne im einheitlichen Modus ist dies der bevorzugte Empfnger von Replikationen von auf anderen DCs ausgefhrten Ke nnwortnderungen. Bei einer fehlgeschlagenen Anmeldung aufgrund eines falschen Kennworts wird zunchst der PDC Emulator befragt, bevor die Anmeldung abgewiesen wird. bertragung in AD-Benutzer und Computer, kann unmittelbar nach Ausfall erfolgen und zurck bertragen werden, wenn der alte PDC-Emulator wieder online ist.

Infrastruktur-Master
Einer pro Domne. Aktualisiert die Verweise von Gruppen zu Benutzern bei der nderung von Gruppenmitgliedschaften und Objektnamen und verteilt die Aktualisierungen ber die Replikation. Sollte auf einem Server liegen, der nicht den globalen Katalog enthlt, da sonst Inkonsistenzen (Widersprche) bei domnenbergreifenden Verweisen nicht identifiziert werden knnen. Sollte aber eine gute Verbindung zu einem globalen Katalog haben, mglichst im gleichen Standort, Ein Ausfall macht sich fr Administratoren bemerkbar, die umfangreichere nderungen in den Gruppenmitgliedschaften durchgefhrt haben, die Aktualisierungen werden verzgert. Benutzer werden nicht beeintrchtigt.

Read Only Domain Controller


Ein zentrales Feature fr Active Directory Domain Services in Windows Server 2008 sind Domnen Controller, auf die man nur lesend zugreifen kann (Read-only Domain Controller RODC). Da ein RODC fast keine Passwrter enthlt, bietet RODC auch einen Schutz vor dem Diebstahl der Serverhardware in Umgebungen, wo der DC physikalisch nur schlecht gesichert werden kann (z.B. Handelsfilialen). Zum RODC werden nur die Passwrter repliziert von den Benutzern, die sich an dem Standort einmal angemeldet haben. Diese Konten knnen zentral ermittelt werden unf ggf. einfach gesperrt werden. Auerdem kann man definieren, was zu einem RODC repliziert wird. Kernfunktionalitt: Der RODC stellt einen vollwertigen Domain Controller dar. Allerdings kann von dem Controllertyp nur gelesen werden. Schreibende Zugriffe auf die Active Directory DS-Datenbank werden unterbunden. In der ADS-Datenbank werden keine sicherheitskritischen Daten und Attribute hinterlegt. (z. B. Kontokennwrter). Der Domain Controller kann nur unidirektional repliziert werden. Um Daten zu ndern, muss also der Domain Controller verndert werden, von welchem aus der RODC repliziert wird. Fr die Administration des RODC knnen eigene Rollen vergeben werden, somit ist die administrative Wartung delegierbar. Zustzlich verfgt der RODC ber einen schreibgeschtzten DNS.

Aufbau einer ADS Domnen Domnencontroller Clients 21

ADS Replikation - Kleckner Sofortige ADS Replikation erzwingen


Um nderungen im Active Directory gleich zu sehen und anzuwenden stehen verschiedene Werkzeuge zur Verfgung. Die schnellste Mglichkeit, eine sofortige Synchronisation aller AD-Standorte zu erzwingen ist, das Konsolenprogramm repadmin aus den Support-Tools. repadmin /syncall /force Man kann auch manuell zum Server gehen in Active Directory Standorte und Dienste
y y y

Server auswhlen NTDS Settings Replikationsverbindungen werden angezeigt rechte Maustaste

jetzt replizieren

Infrastrukturmaster bertragen
Um den Infrastrukturmaster auf einen anderen DC zu bertragen muss man die entsprechenden Rechte besitzen: Dmnenadministrator oder Organisationsadministrator! Im Snap in Active Directory-Benutzer und -Computer muss man mit dem Men der rechten Maustaste die Option Verbindung mit Domnencontroller herstellen whlen und den Namen des Domnencontrollers angeben der die Funktion des Infrastrukrurmasters bernehmen soll. In der Konsolenstruktur whlt man danach Alle Tasks, und klickt auf Betriebsmaster, im Registerreiter Infrastruktur kann man dann ber die Option ndern den Vorgang aktivieren. Alternativ kann auch ntdsutil verwendet werden.

22

PDC-Emulatorfunktion bertragen
Um die PDC-Emulationsfunktion zu bertragen ffnet man das Snap in Active Directory-Benutzer und -Computer. In der Konsolenstruktur mit der rechten Maustaste auf Active Directory-Benutzer und -Computer, klicken und die Option Verbindung mit Domnencontroller herstellen whlen. Unter der Option Geben Sie den Namen eines weiteren Domnencontrollers ein wird der Zielcomputer angegeben der die Funktion erhalten soll. In der Konsolenstruktur kann man nun mit der Option Alle Tasks unter Betriebsmaster auf dem Registerreiter PDC den DC mit der PDC Emulation ndern. Man muss mindestens Domnenadmin oder Organisationsadministrator sein, um diese nderungen durchfhren zu knnen. Alternativ kann man das Ganze auch ber die CMD mit dem Tool ntdsutil realisieren: 1. Komandozeile ffnen 2. ntdsutil 3. roles 4.connection 5.connect to server>>Server<< 6. quit

Replikation des globalen Katalogs


Die Replikation des globalen Katalogs stellt sicher, dass die

23

Benutzer in der kompletten Gesamtstruktur schnellen Zugriff auf Informationen zu jedem Objekt in der Gesamtstruktur haben. Die Standardattribute des globalen Katalogs stellen eine Grundlage der am hufigsten gesuchten Attribute dar. Diese Attribute werden im Rahmen der regulren Active Directory-Replikation auf den globalen Katalog repliziert.

Konfiguration vom ausgewhlten DC replizieren: DC1 holt Info. von DC2 Konfiguration auf ausgewhlten DC replizieren: DC1 spielt die Info. auf DC2

ADS Replikationen (standortbergreifend)


Active Directory behandelt die Replikation zwischen Standorten anders als die Replikation innerhalb von Standorten, da die Bandbreite zwischen Standorten in der Regel eingeschrnkt ist. Die KCC von Active Directory erstellt die standortbergreifende Replikationstopologie mithilfe eines mglichst kostengnstigen Strukturalgorithmusentwurfs. Die standortbergreifende Replikation ist fr eine optimale Nutzung der Bandbreite ausgelegt, und die Verzeichnisaktualisierungen zwischen den Standorten werden automatisch anhand eines konfigurierbaren Zeitplans ausgefhrt. Verzeichnisaktualisierungen, die zwischen den Standorten repliziert werden, werden komprimiert, um Bandbreite zu sparen. Active Directory erstellt automatisch die effizienteste standortbergreifende Replikationstopologie anhand der Informationen, die zu der Standortverbindungen eingeben werden. Im Verzeichnis werden diese Informationen als Standortverknpfungsobjekte gespeichert.

Einstellungen in Active Directory-Standorte und -Dienste


Als erstes werden die neuen Standorte eingebunden:

24

Als nchstes brauchen die Standorte Subnetze damit sie auch als Standorte definiert werden knnen. Unter WServ 2008 ist diese mit <IP-Adresse/Prfixlnge> einzugeben:

Die ausschlaggebende Konfiguration ist hierbei die Orte im Register Inter-Site (standortbergreifend) einzustellen. Man whlt einen Namen aus und die zwei Standorte die miteinander replizieren sollen:

Nachdem dies geschehen ist kann man alles feiner Einstellen, indem man in die Einstellungen von der Standortverknpfung geht.

25

ADS Replikation Klecks


Prolog: Wir haben eine Firma emuliert - Diese beinhaltet 3 Standorte. An jedem Standort befindet sich 1 Domain Controller. Man mchte das sich diese Standorte untereinander Replizieren. Repad in /syn all / for e ==> da it kann man alle Standorte miteinander replizieren
y

Was versteht man unter der ADS Replikation? 2 Arten von Replikation standort intern: standort extern: Intersite Transports? Ist die Replikation - Vorteil von Email, Empfnger braucht nicht Online sein, Mail wird auf SMTP Server gespeichert. Davon braucht man mindestens 2 Standorte dann setzt man die Kosten - vorgezogen wird derjenige mit den niedrigsten Kosten. Was ermglich sie Konkret? Alle W2003Server. die sollen nun die AD-Einstellungen von den anderen Standorten jeweils bernehmen, wenn auf einem was gendert wurde. Inwieweit unterscheiden sich die Replikationen auf den selben Standorten? Replikation unter unterschiedlichen Standorten? Wie oft wird Standort Intern repliziert? Sofort KCC Knowledge Consistent Checker Schaut wie die Bandbreite von den Verbindungen an - um anhand dessen den krzesten Weg zu finden. Was heit das konkret fr unser Projekt? Alle dass was in der ADS sich befindet wird repliziert. Im DNS Server stehen die Eintragungen drinnen. Wichtigste Einstellung die man vom DHCP bekommt - Den richtigen Name Server bekommt man eingetragen. All das was im Sysvol sich befindet wird repliziert! Also keine servergespeicherten Profile! Gewisse Dinge kann man nur ausgehend vom Betriesbmaster aus replizieren Schema - nderungen knnen nur am Schemamaster erfolgen sonst kommt es zu konsistenzen. Ein Kennwort das gendert wird von einem Benutzer wird zuerst auf den PDC Emulator bertragen.

y y y

26

Replikation des globalen Katalog beinhaltet Teilatributte von Objekteigenschaften. Sachen die Domnenbergreifend wichtig sind. Wie Z.B. Telefonnummer etc.

DNS - Fraissler
Es geht grundstzlich um einen Dienst der Hostnamen auflst. Wi htig: Client wrde ohne DNS nicht die Domne herausfinden knnen. Wann besteht die Notwendigkeit das der Name Service funktioniert? Wenn sich der Client in die Domne einfgen mchte. Durch den Name Service findet er die Domne ganz gezielt wenn:

Forward Look Up Zone: Es wird so aufgelst das ein Name gefragt wird und IP geschickt wird Reverse: Umgekehrt Zonen in Forward und Reverse einteilen - und diese in primre und sekundre einteilen! Primr: Dateien werden lokal abgerufen - kann man komplett verwalten, Eigenschaften etc sekundren: Daten die gefragt werden, werden vom Primren geholt, muss auf den primren veweisen. - ist nichts anderes als ein BackUp einer primren Zone - dafr ist alles Read Only Domain Controller anzukreuzen. Bei Sekundren Zone muss man den NameServer des primren eintragen. Replikation kann auch eingestellt werden. Aktualisierungsintervall fr den sekundren kann eingestellt werden. Bei primren muss man die Zonenbertragung durch ein Hckchen zulassen. Beim Projekt sind alle primr, wenn einer etwas ndert, wird es bei jedem gendert. Einfachste Variante in einem unsicheren Standort ist, DNS einrichten und alles vom primren replizieren lassen. In den meisten Fllen braucht man kein Reverse, bei manchen Programmen, Dateien ist es allerdings notwendig, dass der Name durch die IP herausgefunden werden muss. Reverse werden so viele eingerichtet wie man Sub-Netze hat. Name wird immer in gespiegelter weise angezeigt. Mail Server werden nicht ber den Rechnernamen angegeben, mail ist ein A eintrag mit einer Rechneradresse. Mailserver bekommt immer einen MX Eintrag. MX Einri hten: A Eintrag einrichten - darin wird mail und IP eingerichtet - muss angegeben werden!! Danach einen MX Eintrag einrichten - wo man diese Daten dann eingeben muss. Eintr ge A Eintrag, Point Eintrag, PTR Eintrag, NS Eintrag, SRV Eintrag (Fr Client wichtig , LDAP = Anmeldedienst, Kerberos = Wie er es dann untersuchen kann) Wie findet der Client den Domnenserver? In jeder Forward Look gibt es einen Verweis ganz nach oben, dieser wird automatisch erstellt im Zuge der Einrichtung. z.B. Leoben wei wo er ist durch die Standort Eintrge!

y y

Der richtige DNS Server eingetragen ist. Der der den Domnenname gehostet hat.

27

Wenn SRV nicht drinnen ist - den Anmeldedienst neu starten! Bei Cerberus muss eine einheitliche Zeit eingerichtet sein sonst streikt das ganze System.

DHCP Zimmermann
Der DHCP Server ist dafr da Clients automatisch IP Adressen zuzuweisen, wenn diese auf Automatisch Beziehen eingestellt sind. Er kann nicht nur IP-Adressen vergeben sondern auch viele andere Dinge wie Standartgateway, DNS-Server, WINS-Server oder verschiedene Konfigurationen. Das zuweisen der IP Adresse folgt in 4 Schritten (DORA) 1.) DHCP Discover Der Client schickt eine DHCP Discover via Broadcast ans lokale Netz um die DHCP Server zu finden. Dieser Broadcast geht nur bis zum nchsten Router, auer es ist ein DHCP-Relay Agent eingerichtet 2.) DHCP Offer Der DHCP Server schickt via Unicast* eine gltige IP Adresse und parameter zur konfiguration an den Client. Sollte der DHCP Server eine Reservierung fr die MACAdresse haben so wird ihm diese gesendet. 3.) DHCP Request Der Client akzeptiert die IP-Adresse vom DHCP-Server oder verlangt sonst die IPAdresse die er vorher hatte. 4.) DHCP Acknoledge Wenn die IP-Adresse die der Client haben mchte noch verfgbar ist, sendet der DHCP-Server eine Besttigung an den Client danach kann der Client die IP-Adresse verwenden. *Anmerkung: Pichler meint es ist alles ein Broadcast, in Wirklichkeit ist aber nur der DHCP Discover ein Broadcast. Leases: Die Leas Dauer gibt an wie lange der DHCP Server die IP-Adresse des Clients reserviert. Standartmig ist es 6h fr Wireless und 8 Tage fr Kabel. Wenn die Hlfte der Leasdauer vorbei ist versucht der DHCP Client die Leas zu erneuern, wenn der DHCP Server online ist startet die Leas von neuem, ist der Server aber nicht erreichbar versucht der Client es nach der Hlfte der Verbliebenen Leasdauer noch einmal. Sollte der Server noch immer nicht online sein nachdem 87,5% der Leasdauer verstrichen sind, versucht der Client einen neuen DHCP Server zu finden. DHCP Bereiche: Um IP-Adressen vergeben zu knnen mssen am DHCP Server Bereiche eingetragen werden, diese entsprechen dem Subnet. Von diesen Bereichen werden die IP-Adressen vergeben, in den Bereichen kann man noch Ausnahmen oder Reservierungen hinzufgen. DHCP Optionen: Die DHCP Optionen sind Einstellungen die dem Client mitgeteilt werden einige der hufigsten sind folgende: 003 Router, 006, DNS-Server Die Optionen knnen fr den ganzen Server, fr den Bereich, oder mithilfe von Reservierungen fr einzelne Computer eingestellt werden. Bei den DHCP Optionen kann man noch auswhlen fr wen dies gilt, so gibt es Standard Optionen oder zum Beispiel Optionen fr Clients die durch die NAP Prfung gefallen sind. 28

RRAS Falzberger X

29

RRAS Dajakaj
Routing and Remote Access Service, RRAS / Standort zu Standort VPN Verbindung
Was ist das? Es ist die Erweiterung eines privaten Netzwerke, dass Verbindung ber gemeinsame Netzwerke oder ein ffentliches Netzwerk wie das Internet umfasst. Es ermglicht Daten zwischen zwei Computern ber ein gemeinsames oder ffentliches Netzwerk zu senden als wren diese beiden Computer ber eine private Point-to-point Verbindung miteinander verbunden. Wie kommt man dazu? Mittels Server Manager - Rollen Hinzufgen - Serverrollen - Netzwerkrichtlinien- und Zugriffsdienste installieren, diese enthlt unter anderen Routing und RAS. Standort zu Standort VPN Verbindung in unserem Netzwerkprojekt In unserem Netzwerkprojekt gab es 3 Standorte wovon eines die Zentrale war. Die VPN Verbindung wurde jeweils von den Nebenstandorten zum zentralen Standort gelegt. Der Gedanke dabei war eben, dass die Nebenstandorte sich mit der Zentrale leichter austauschen knnen. Um das realisieren zu knnen wurde jeweils eine statische Route auf den Standorten erstellt

Danach wurden auf den Standorten jeweils eine "Whlen nach Bedarf" - VPN Verbindung erstellt

Was haben wir bea htet um

30

eine "Whlen na h Bedarf" Verbindung zwis hen den Standorten zu erstellen? Beim Assistenten fr eine Schnittstelle fr Whlen nach Bedarf eine VPN Verbindung ausgewhlt. Danach gibt es die Mglichkeit zwischen 2 Protokollen: Point-to-Point-Tunneling - Der Netzwerkverkehr verschiedenster Protokolle zu verschlsseln dann mit einem IP-Header zu kapseln und so ber ein IP-Netzwerk zu bertragen. Layer-2-Tunneling-Protokoll (L2TP) - ermglicht Verschlsselung und Versendung verschiedenster Netzwerkprotokolle. oder eben automatisch auswhlen lassen, danach die richtige Zieladresse eingeben. Hat man mehrere VPN Verbindungen zum Computer kann man die Metrik auch einstellen, je niedriger der Wert desto hher die Prioritt Tunneling-Protokolle und die grundlegenden VPN-Anforderungen Da sie auf dem PPP-Protokoll basieren, verfgen PPTP und L2TP ber einige der ntzlichen Features von PPP: Benutzerauthentifizierung: PPTP und L2TP bernimmt die Benutzerauthentifizierungs-Schemata von PPP - und zwar auch die spter in diesem Whitepaper besprochenen EAP-Verfahren. Mit dem EAP-Protokoll (Extensible Authentication Protocol) untersttzen PPTP- und L2TP-Verbindungen eine groe Zahl von Authentifizierungsverfahren (unter anderem Einmal-Passwrter und Smartcards). Dynamis heAdresszuweisung: PPTP- und L2TP-Verbindungen untersttzten die dynamische Zuweisung von Clientadressen basierend auf dem NCP-Aushandlungsmechanismus (Network Control Protocol). IP verwendet zum Beispiel das Internet Protocol Control Protocol (IPCP) zu Aushandlung einer IP-Adresse. Datenkomprimierung: PPTP und L2TP untersttzen PPP-basierte Kompression. Die Microsoft-Implementierungen von PPTP und L2TP verwenden die Microsoft Point-to-Point-Compression (MPPC). Datenvers hlsselung: PPTP und L2TP untersttzten PPP-basierte Mechanismen zur Datenverschlsselung. Die Microsoft-Implementierung von PPTP untersttzt die Verwendung von Microsoft Point-to-Point Encryption (MPPE), die auf dem RSA/RC4-Algorithmus basiert. Die Microsoft-Implementierung von L2TP verwendet IPSec-Verschlsselung, um den Datenstrom zwischen VPN-Client und VPN-Server zu schtzen.

i i

31

Schlsselverwaltung: MPPE fr PPTP-Verbindungen ist von dem Initialschlssel, der whrend der Benutzerauthentifizierung erzeugt wird, abhngig. Dieser wird regelmig erneuert. IPSec fr L2TP/IPSec-Verbindungen handelt whrend des IKE-Austausches explizit einen allgemeinen Schlssel aus. Auch dieser wird regelmig erneuert. WIndows Server 2003 untersttzt die folgenden PPP-Authentifizierungsprotokolle: PAP, CHAP, MS-CHAP, MS-CHAP v2

Netzwerkrichtlinien-Server - Nahrgang

Netzwerkrichtlinienserver Was ist ein Netzwerkrichtlinienserver?


Mit einem Netzwerkrichtlinienserver (NPS, Network Policy Server) kann man einfach Richtlinien fr Clients erstellen. Im Folgenden werden Richtlinien fr die Dienste NAP mit DHCP und VPN behandelt.

Was ist NAP?


NAP (Network Access Protection) ist ein neues Feature von Windows Server 2k8, mit dessen Richtlinien man verhindern kann, dass Clients, die gegen bestimmte Richtlinien verstoen, sich mit dem Server verbinden knnen.

Wie funktioniert NAP?


Wenn ein Client sich zum Server verbinden mchte (egal in welcher Art und Weie), muss er sich zuerst einer Gesundheitsprfung unterziehen. Das heit, der NAP-Agent , der auf dem Client installiert ist, berprft mit Hilfe von System Help Agents (SHA), ob der Client die Richtlinien des Servers erfllt. Erfllt er diese jedoch nicht, kann er beispielsweie auf einen Wartungsserver Zugriff bekommen, der den Client dabei hilft, die bentigten fehlenden Daten, die er nicht besitzt (z.B. Firewall, Virenscanner) zu bekommen. Diese SHAs knnen brigens auch selbst programmiert werden, falls es den gewnschten noch nicht gibt.

Netzwerkrichtlinienserver konfigurieren
y

Verbindungsanforderungsrichtlinien
y y y

Hier legt man fest, wann und wie sich ein Client zum Server verbinden darf. Zeit/Wochentag VPN/DHCP

Netzwerkrichtlinien:
y

Mit den Netzwerkrichtlinien wird letztendlich festgelegt, welche Bedingungen zu einer Genehmigung oder einer Verweigerung des Zugriffs fhren. 32

y y y y y

Betriebssystem Zeit/Wochentag Client/Server

Integrittsrichtlinien: Mit den Integrittsrichtlinien werden letztendlich die Bedingungen formuliert, die von einer Netzwerkrichtlinie ausgewertet werden. Hier wird insbesondere formuliert, welche Systemintegrittsprfungen (SHV, System Health Validator) durchgefhrt werden sollen. Systemintegrittsprfungen: Hinter diesem Stichwort verbergen sich die SHVs, die System Health Validators. Standardmig wird eine Systemintegrittsprfung mitgeliefert, die solche Aspekte wie Virenpattern, Firewallstatus und dergleichen mehr auswertet. Wartungsservergruppen: In Wartungsservergruppen werden diejenigen Server definiert, auf die ein Client Zugriff hat, wenn er als nicht zu den Richtlinien kompatibel erkannt wurde. Von diesen Servern kann sich der Client die bentigten Updates, Virenpattern etc. herunterladen.

DHCP Assistenten
RADIUS-Clients: Hier wird der DHCP-Server eingetragen DHCP-Bereiche: Hier trgt man die gewnschten Bereiche ein, fr die die Richtlinien gelten sollen. Wird keiner eingetragen, gelten die Richtlinien fr alle Bereiche. Computergruppen: Hier werden Benutzer und Computergruppen hinzugefgt, fr die man die Richtlinien erlauben oder verweigern mchte.

Nach Abschluss der Assistenten erden Netz erkrichtlinien erstellt: Interessanter sind da schon die nderungen an den Netzwerkrichtlinien.
y

kompatible DHCP-Clients
y y

Kompatible Clients mssen die Integrittsrichtlinie NAP DHCP Kompatibel erfllen, die ebenfalls vom Assistenten angelegt worden ist. Kompatiblen Clients wird Vollstndiger Netzwerkzugriff gewhrt. Nicht kompatible Clients erfllen die vom Assistenten angelegte Integrittsrichtlinie NAP DHCP Nicht Kompatibel. Nicht kompatiblen und nicht NAP-fhigen Clients wird Eingeschrnkter Zugriff gewhrt. Clients, die nicht NAP-fhig sind, erfllen die Bedingung Computer ist nicht NAPfhig, was sozusagen eine eingebaute Bedingung ist.

nicht kompatible DHCP-Clients


y y

nicht NAP-fhige DHCP-Clients


y

33

Konfiguration des DHCP-Servers


y y y

DHCP-Dienst aufmachen IPv4 Eigenschaften, Bereich auswhlen Unter Bereichsoptionen Standardmige Netzwerkzugriffsschutzrichtlinie

VPN
Um VPN mit NAP zu verwenden, muss bei den VPN-Nutzern unter Eigenschaften Einwhlen Zugriff ber NAPNetzwerkrichtlinien steuern aktiviert sein.

VPN Einwahlbeschrnkungen
Man kann eine RAS-Richtlinie erstellen, die fr bestimmte Benutzergruppen wirkt (z.B. VPN-User). In diesen kann man gewisse Einwahleinschrnkungen vornehmen, wie etwa, dass man nur an bestimmten Tagen und Uhrzeiten sich einwhlen kann. Es gibt drei Netzwerkzugriffsberechtigungen, die man im Benutzerprofil von VPN-Usern findet:

y y y

Zugriff gestatten Zugriff verweigern Zugriff ber NPS-Netzwerkrichtlinien steuern; NPS ist der Network Policy Server, Sie haben ihn weiter vorn bereits kennengelernt.

Anleitung einer VPN-Richtlinie manuell erstellen


Nachdem man den Netzwerkrichtlinienserver installiert hat, ffnet man ihn, klickt auf Richtlinien und whlt mit der rechten Maustaste bei Verbindungsanforderungen den Menpunkt Neu aus. Zunchst wird man aufgefordert der Richtlinie einen passenden Namen zu geben und den Typ des Netzwerkzugriffes auszuwhlen. In diesem

34

Szenario whle ich natrlich Remotezugriffserver (VPN) aus. Im nchsten Fenster knnen wir Bedingungen einstellen, wann die Richtlinie in Kraft gesetzt wird. Hierzu klicken wir auf Hinzufgen . Wir whlen eine Tag- und Uhrzeiteinschrnkung aus, und stellen diese wie gewnscht ein:

Das nchste Fenster knnen wir berspringen, da der VPN-Dienst auf unserem Server luft, und die Authentifizierung auch auf demselben Server geschieht. Im nchsten Punkt kann man verschiedene Authentifizierungstypen auswhlen. Eine interessante Einstellung ist hier, dass man nur mit einer Smartcardauthentifizierung. Hierzu klickt man auf Hinzufgen und whlt die gewnschte Option aus. Das nchste Fenster kann man wieder berspringen. Zum Schluss wird noch eine Zusammenfassung der erstellten Richtlinie erstellt. Im Netzwerkrichtlinienserver sieht man nun unter Netzwerkrichtlinien zwei Richtlinien. Eine fr das Verweigern, und eine fr das Zulassen gewisser Verbindungen. Durch doppelklicken

35

whlen wir zunchst die Richtlinie mit dem Zugriffstyp Zugriff gewhren .

Hier sieht man zunchst eine klare bersicht ber die Richtlinie. Die Richtlinie muss logischer Weie aktiviert sein, und die Zugriffsberechtigung auf Zugriff gewhren eingestellt. Der Typ des Netzwerkzgriffsservers muss hier noch auf VPN umgestellt werden. In der Registerkarte Bedingungen fgen wir die Optionen Benutzergruppe und Datum- und Uhrzeit hinzu und stellen die gewnschten Optionen ein.

Unter den Einschrnkungen geben wir wieder die Smartcard als Authentifizierungsmethode an. Damit beenden wir diese Richtlinie und widmen uns der nchsten. In der nchsten Richtlinie muss wie gewohnt die Richtlinie aktiviert, und der Typ des

Netzwerkzugriffs auf VPN gestellt sein. Fr diese Richtlinie muss allerdings die Zugriffsberechtigung auf Zugriff verweigern gestellt sein. Wir stellen als Bedingung ein, dass ein Server sich nicht mit VPN verbinden darf. Hierzu whlt man unter Bedingungen den Punkt Betriebssystem aus, geht auf hinzufgen und whlt den Punkt Server aus .

36

Mehr wollen wir hier nicht einstellen, also klicken wir auf OK um die Richtlinie zu speichern. Bei der Integrittsrichtlinie whlt man eine SHV aus und, wann der Client berprft werden soll.

Die SHV lasst sich unter Systemintegrattsprfungen einstellen. Hierzu macht man einen Doppelklick drauf. Klickt man auf konfigurieren sieht man zwei Registerkarten. Windows Vista und Windows XP.

Der Unterschied besteht lediglich darin, dass Windows Vista einen Spywareschutz mit dabei hat, Windows XP hat diesen nicht. Fr Windows 7 und den zuknftigen Windows OS wird auch die Registerkarte von Vista verwendet. Hier kann man also einstellen, welche Sicherheitsmanahmen die Clients erfllen sollen, damit sie sich in das Netzwerk verbinden kann. Ganz wichtig ist, dass man nach der Konfiguration sicherstellt, dass die gewnschten VPN-Benutzer auch die richtigen Einwahloptionen besitzen. Standardmig sollte zwar die Option Zugriff ber NPS-Netzwerkrichtlinien steuern ausgewhlt sein, aber unter Windows Betriebssystemen wei man ja nie.

37

Interne Struktur der Standorte in der ADS Winkler


Struktur in einer ADS abbilden Winkler
y

Werkzeuge: OU's Benutzergruppen OU's: Fr jede Abteillung nimmt man eine OU, bei unter Abteilungen nimmt man weiter OU's.

Fr was kann man OU's nutzen? Um Gruppenrichtlinen zu vergeben Verwaltungsaufgaben deligieren: Das bestimmter User fr smtliche Objekte in der OU verantwortlich sind. Wie macht man das? Standardmig macht es der Administrator Welche Arten von Gruppen gibt es? universale globale Verteiler Benutzer

Interne Struktur der Standorte in der ADS abbilden (OUs, GPOs, Verwaltungsaufgaben delegieren) Abbildung des Unternehmens Im Active Directory bildet man die Struktur des Unternehmens bzw. der Organisation ab, beispielsweise so, wie in diesem Organigramm:

38

Man muss sich natrlich nicht an solch eine Struktur halten, jedoch soll ein Verzeichnisdienst mehr als nur die Datenbank fr Benutzernamen und Passwrter sein. Wenn ein Benutzer wissen mchte, wer alles in einer gewissen Abteilung arbeitet, so kann er das im Active Diretory nachschauen. In der Praxis ist das fr einen normalen Benutzer allerdings nicht so leicht durchschaubar. Das Abbilden von Standorten ist nicht zwingend notwendig, dafr gibt es verschiedene Konfigurationsmglichkeiten unter Sites/Standorte. Fr das Abbilden von Standorten gibt es drei Grnde: y Fr einen Benutzer ist es eine wichtige Orientierungshilfe y Es knnen Administrationsaufgaben fr einzelne OUs vergeben werden y Fr Standorte knnen unterschiedliche Gruppenrichtlinien verwendet werden. Um Standorte in eine logische Struktur einzubinden gibt es natrlich viele Mglichkeiten: y Eine Unternehmensstruktur mit Standorten als erstes Gliederungsmerkmal: y Alternative Struktur, die Fachbereiche als primres Gliederungsmerkmal verwendet: Im ersten Beispiel ist der Standort der erste Gliederungspunkt, im zweiten Beispiel ist der Standort erst zum Schluss. Es sind alle Formen mglich, es kommt auf die Anforderungen an. bersichtlichkeit und Ver altbarkeit Fragestellung: Soll man die Unternehmensstruktur lieber mit Domnen oder OUs abbilden? Erstes Beispiel: 39

Abteilungen/Bereiche, die als Domne implementiert werden, sind mit einem Dreieck gekennzeichnet, Organisationseinheiten ohne Dreieck werden als OU eingerichtet Vorteile: y Zwischen Domnen ist der Replikationsverkehr viel geringer als innerhalb von Domnen. Das knnte ein Vorteil in diesem Beispiel sein, da es von vier Standorten ausgeht. y Man kann den Standort eines Servers an seinem Namen erkennen Nachteile: y Der administrative Aufwand wird erhht, da jede Domne einzeln administriert werden muss. Gruppenrichtlinien knne nicht zwischen Domnen vererbt werden. y Mindestens ein Domnencontroller pro Domne ist notwendig, aus Redundanzgrnden eigentlich sogar zwei pro Domne. Die Vorgehensweie, wie im ersten Beispiel, macht nur dann Sinn wenn ein Unternehmen 100.000 PC-Arbeitspltze hat, bei weniger Arbeitspltzen wre es nicht sehr sinnvoll. Zweites Beispiel: realistisches Szenario, hier gibt es ganz oben eine Root-Domne, darunter Domnen fr jeden Standort und weitere Strukturierungen erfolgen mittels OUs. Voraussetzungen fr die sinnvolle Nutzung dieses Beispiels: y Die einzelnen Standorte werden weitgehend autark administriert y Der Replikationsverkehr zwischen den Standorten soll auf ein Minimum begrenzt bleiben. Drittes Beispiel: Fr die gesamte Organisation wird eine einzige Domne eingerichtet. Da an jeden Standort mindestens ein Domnencontroller vorhanden sein muss, werden hier nicht weniger Server als im zweiten Bespiel bentigt. Der Administratoraufwand ist in diesem Beispiel jedoch am geringsten, da die Gruppenrichtlinien Vererbungen nutzen knnen. Standorte Die physikalische Struktur ist recht schnell erklrt. Es gibt den Begriff des Standorts fertig. In der englischsprachigen Literatur spricht man brigens von sites. 40

Ein Standort wird durch ein oder mehrere IP-Subnetze definiert. Standorte und Domnen Der Zusammenhang zwischen Standorten und Domnen: Im ersten Beispiel sind Standort- und Domnengrenzen identisch. Im zweiten Beispiel befinden sich mehrere Domnen an einem Standort. Wenn zwischen den Standorten eine sehr schnelle WAN-Verbindung vorliegt, knnte man nur einen Standort definieren und htte somit einen geringeren Administatoraufwand. Im dritten Beispiel erstreckt sich eine Domne ber mehrere Standorte. Das macht vor allem in mittelgroen Organisationen Sinn.

Standorte konfigurieren Das Active Directory muss in der Lage sein,problemlos und zuverlssig den Standort eines Mitgliedsservers oder eines Clients ermitteln zu knnen. Die einfachste Mglichkeit ist die Auswertung der IP-Adresse des jeweiligen Gerts. Darum mssen bei der Abbildung zuerst die IP-Subnetzte erfasst werden. Die Konfigurationsarbeiten werden im Werkzeug Active Directory-Standorte und Dienste vorgenommen. Erfassung der IP-Subnetze:

Hinter der eigentlichen IP-Adresse wird die Lnge der Subnetzmaske in Bits angegeben. Zwei Beispiele: 41

y y

Die Subnetzmaske eines Class-C-Netzes, also 255.255.255.0, ist 24 Bit lang. Die Subnetzmaske eines Class-B-Netzes, also 255.255.0.0, ist 16 Bit lang.

Im nchsten Schritt werden die Standorte (Sites) angelegt. Fr die Beziehung zwischen IPSubnetz und Active Directory-Standort gilt: y Ein Standort kann mehrere Subnetze umfassen. y Ein Subnetz kann immer nur an einem Standort sein. Standorte werden insbesondere fr die Optimierung der Replikationsvorgnge oder fr die Zuweisung von standortbezogenen Gruppenrichtlinien eingerichtet. Mit Hilfe von Sites knnen Clients den nchstgelegenen Domnencontroller identifizieren. Alle in einem Standort befindlichen Domnencontroller knnen ber eine schnelle Verbindung kommunizieren. Jeder Domnencontroller muss mit jedem anderen kommunizieren knnen. Anlegen eines neuen Standorts:

Sofern keine weiteren Standortverknpfungsobjekte definiert sind, kann auch nur der Name des Standorts eingetragen werden. Ohne weitere Konfiguration ist der Standort noch unverbunden. Im Eigenschaftendialog eines angelegten Subnetzes, kann es einem Standort zugeordnet werden:

Wenn man aber alle Subnetzte die zu einem Standort gehren anzeigen will, geht das im Eigenschaftendialog des Standorts: In einem gerade installierten Active Directory existiert immer ein Standort namens Standardname-desersten-Standorts. Dieser Standort kann problemlos umbenannt werden. Ein Domnencontroller 42

der im falschen Standort angezeigt wird, kann sehr einfach verschoben werden. In Active Directory-Standorte und Dienste gibt es die Funktion Verschieben, mit der der Domnencontroller in jeden Standort verschoben werden kann.

WSUS, Windows Firewall - Flock

WSUS und Fire all Flock


Windows Server Update Service Fr as braucht man den WSUS Server 2 Funktionen: Einerseits kann man die Updates Zentral vom Server runterladen Andererseits dass man den Clients diese Updates Zentral zur Verfgung stellt Installation von WSUS Man braucht mindestens 6 GB fr den WSUS Server Die neueste Form vom WSUS ist ein Verwaltungssnapin ab der Version 3 Bei unseren Projekt findet der WSUS Server auf der Zentrale statt Man kann Updates testen, auf bestimmte Abteilungen gespielt. Die und die Updates werden dann freigegeben. Wie kooperieren die WSUS zwischen den Standorten? Wie bringt man die Clients dazu dass sie sich die Updates irklich holen Beim Client gpedit und dann unter Computerkonfiguration etc Administrative Vorlagen bis zu Automatische Updates. Hckchen der ersten Kofingurationsoption auf aktiviert setzen. Oder eine neue Gruppenrichtlinien erstellen - wre einfacher! Wie realisiert man WSUS mittels Gruppenrichtlinien?

43

Novell
Verwaltungswerkzeuge (Frailer 18.5.11)
Net erkadministrator lteste Tools, keine Unterkategorien - arbeitet mit einer 1-Fenster Technik - unbersichtlich ConsoleOne lsst sich lokal installieren - Client oder am Server, ist praktisch, Groupwise und ZenWorks7 kann man nur mit ConsoleOne verwenden. Frei downloadbar man kann Applikationsobjekte von dritten damit verwalten. Zusatzmodule werden mit der installation von GroupWise in die ConsoleOne eingefgt Verwaltbare Objekte werden angezeigt - bei ? fehlt ein SnapIn IMonitor webbasierend, mit jeden beliebigen Browser benutzbar - erreichbar unter http://serveradress8008/nds erreichbar bzw bei https -.-8009/nds Gesundheitszustand vom Server - Grn, Orange, Rot je nachdem inwiefern die Prozesse nicht funktionieren, leuchtet es dementsprechend. Teile der gesamten NDS sind auch auf den anderen Servern abgelegt DS-Repair: Alle Objekte haben einen Zeitstempel und es ist eine objektorientierte Datenbank, Probleme wren Inkonsistenten, Zeitsteuerungsprobleme / ist ein Kommandozeilentool und ist eingebaut in den Imonitor Imanager Haupttool - kann damit alles bis auf GroupWise damit konfigurieren https://serveradress/nps/iManager.html DHCP, IPrint, Edirectory Objekte verwalten, RBS (rollenbasierte Services - jeder Benutzer braucht gewissen Rollen um gewisse Dinge ausfhren kann wie z.B. in gewissen Containern 44

Benutzer anlegen) Ein RBS Benutzer hat eine eingeschrnkte Sicht Remote Manager ist ebenfalls Browsergesteuert damit kann man Volumes mounten, Speicher vom Server verwalten, Zugriff folgt ber https://IPAdress:8009 - ber die Welcome Page kommt man zu all diesen Tools Wan setzt man Remote oder IManager an? Remote Manager bei Hardware; IManager bei eDirectory Dateien

Verwaltungswerkzeuge Man braucht nur issen, dass es das Programm gibt und, dass es veraltet und unbersichtlich ist. y NetWare Administrator Das alte Verwaltungstool fr nur Netware Server
o eDirectory Dateien erstellen o Kann mit neueren Objekten

nicht umgehen
o Bewegen und umbenennen

von Objekten
o Verwendet die alte Art des q

based printing
o Nwadmn32.exe => Befindet

sich in Sys:\Public\Win32
o Hat eine Ein-Fenstertechnik.

Alle Objekte sind darin angeordnet und man verliert die bersicht

ConsoleOne lsst sich lokal installieren. Ist aber auch schon nichtmehr ganz neu. Man braucht es fr zenworks 45

o Man kann sie auch direkt am Server aufrufen oder am Client. o blich ist sie Lokal oder ber einen entsprechenden Link vom Server. o Es ist Java basierend. o Man kann damit das eDirectory und auch Zenworks administrieren. o Sie kann mehrere Objekte verwalten o Freidownloadbar o Theoretisch braucht sie keinen Novellclient, also fr Drittanbieter programme

braucbar
o Zenworks 10 und 11 sind allerdings nur mehr webbasierend o GroupWise kann mit ConsoleOne ganz verwaltet werden. o Zusatzmodule (Snap-In)

Novell iMonitor Um Einstellwerte und Gegebenheiten zu beobachten. Es lsst das ganze Webbasierend anzeigen.
o Es lsst die Diagnose und

Einstellwerte webbasierend zu.


o Theoretisch mit jedem beliebigen

Browser benutzbar
o Man kann einen

Gesundheitszustand des Servers anschauen: Grn = alles passt; gelb = kritisch aber nicht gefhrlich; rot = Behebung ist erforderlich;
o Schema-Browser => Aus was bestehen welche Dateien? o Partition list =>hier wird die Partition list des Baumes angezeigt, nicht von

einer Festplatte
o DS Repair => Alle Objekte haben einen Zeitstempel, dieser wird verwendet um

zu aktualisieren oder um zu berprfen ob manche Manipulationen mglich sind.


o http://server_address:8008/nds

46

o Statt 8008 ist auch 8009 (https) mglich y

iManager Das Haupttool Netware oder Linux OS Server sind hier verwaltbar. https://server_address/nps/iManager.html
o Er ist Browsergesteuert. o Einige Verwaltungsmglichkeiten:

Die rollenbasierten Services (RBS) weisen innerhalb von eDirectory die Rechte zu, die zur Durchfhrung von Aufgaben erforderlich sind. Um bestimmte Vorgnge durchzufhren, mssen Sie im eDirectory-Baum ber bestimmte Rechte verfgen. Wenn Sie einem Benutzer eine Rolle zuweisen, weist RBS die Rechte zu, die zur Durchfhrung der Aufgaben dieser Rolle erforderlich sind.

Remote Manager Der Remote Manager ist ebenfalls Browsergesteuert.


y y y y y

Man kann die Gesundheit des Servers berprfen. Man kann Volumes anzeigen und mounten. Server Konsolen Befehle ausfhren Man kann Rechte vergeben Den Speicher vom Server verwalten

     

DNS DHCP iPrint eDirectory Rollen basierte Services (RBS) NSS storage

47

y y

Zugriff mit: http://IP_Adress:8008 https://IP_Adress:2200

Allgemeines zum eDirectory (Kleckner 30.5.11) relationale Datenbank, Objektorientiert


Allgemeines zu eDirectory Kleckna Was ist das? Eine relationale objektorientierte hierarchische Datenbank Was macht der Baum? Er fragt zunchst wo der Benutzer also der Admin ist und wo der Fileserverkontext ist. In dieser Organisation gibt er all seine Objekte rein. Es gibt Dienste die mit dem eDirectory automatisch mitinstalliert werden, iFolder.
Man spricht von eDirectory der NDS version 8 Netware 5, Windows NT/2000, Linux/Unix, Solaris Untersttzt: LDAP, DNS, XML und ADS Setzt sich aus Directory Service Agent und dem Directory Clients zusammen DSA Enthlt Verzeichnis LDAP oder NDAP Damit kann man auf den Verzeichnisdienst zugreifen Directory Clients

48

Ermglicht Novell-Produkten Zugriff auf das eDirectory In 3 Ebenen aufgebaut Physical plane Physikalisch aufgebautes Verzeichnisdienst Logical plane was der Admin bei der Verwaltung sieht Schema plane Beschreibt die Objekte (Benutzer, Gruppen, Drucker, Datenbanken, Anwendungen, Router und Fileserver) Der "Baum" weist eine hierarchische Struktur auf und beinhaltet tree objects und container objects Der Tree zeigt den logischen Aufbau der Datenbank Existiert nur einmal im Server Beinhaltet weitere Container Container Objekte beinhalten Leaf oder andere Container Sie dienen zur organisation des Directorys Folgende Objekte knnen Vorkommen: Country Domain Licence Container Organization OU Security Container

Benutzerverwaltung (Flock 23.5.11)


yunter ConsoleOne: Erster Schritt: Die Konsole One ffnen, und den markierten Button drcken. Dann den Namen eingeben: Wenn man will kann man auch noch eine Schablone oder ein Basisverzeichnis hinzufgen.

Dann das PW whlen: In diesem Falle borg16 . Nach dem Erstellen findet man den User hier auf: Dann auf den User rechtsklick Eigenschaften: Hier findet man die Reiter Allgemein, Zenworks, Fernverwaltung, Beschrnkung, Mitgliedschaften, Sicherheit, Anmeldeskript, NDS -Rechte etc...... Im Reiter Allgemein kann man alle Daten des Users eintragen (z.B. Titel, Telefonnummer, Adresse)

49

Beschrnkunge:n yMan kann einstellen dass ein Kennwort erforderlich ist. yMindestlnge kann definiert werden. yPeriodische Passwortnderung (Alle 14 Tage muss das PW gendert werden) yEindeutige Passwrter: Man hat 8 Verschiedene Passwrter. Mann kann einstellen in welchen Intervallen man das Passwort braucht. yKulanzanmeldungen: Man kann sich mit abgelaufenen Kennwort anmelden aber er zhlt runter, das heit man kann sich damit 6(nderbar)mal anmelden yKonto deaktivieren yKonto hat Ablaufdatum: Man kann ein Datum eingeben yParallele Verbindungen beschrnken: Wie oft kann man sich gleichzeitig anmelden. yZeitbeschrnkungen: Wann man sich anmelden kann yAdressbeschrnkungen yUnbefugte Benutzer: Nur ber Container einstellen Protokollmig yKontostand: unblich man kann unbegrenzten Kredit einstellen Mitgliedschaften: Man kann hier ber hinzufgen eine Gruppe hinzufgen Dann wre eine Gruppenmitgliedschaft gegeben Man sollte nicht in zu vielen Gruppen drin sein damit nicht zu lange Suchzeiten entstehen Sicherheitsquivalenten Man kann hier einen Benutzer hinzufgen solange dieser User existiert kann man alles machen was der auch kann Wenn man deren Eigenschaften verndert werden die eigenen auch verndert wenn man ihn lscht wird man allerdings selbst auch gelscht

Sicherheit entspricht mir: Hier kann man dann die gewnschten Objekte auswhlen. Anmeldeskript: yProfilobjekt: Gruppenloginskript Wenn ein Benutzer an so einem Profil einteilig ist steht das auf derselben Seite Man wrde hier eins auswhlen knnen und knnte ein persnliches Anmeldeskript machen knnen. NDS-Rechte: yWer mit welchen Rechten an den Objekt teilnimmt ( Wer darf mit dem Objekt was machen) yFilter fr vererbte Rechte yEffektive Rechte Was darf er nun wirklich bzw. was hat er nun wirklich Sonstiges: yIm e-Directory gibt es unterschiedliche Objektklassen und eine Objektklasse setzt sich aus mehreren Teilbereichen zusammen.

50

Man kann damit sehr leicht seine Objektklassen erweitern Dort macht man normalerweise nichts.
Rechte auf Dateien und Ordner: yNDS Rechte yDateisystemrechte yWird beides unterschieden yMan kann hier gewisse Ttigkeiten voraus programmieren. (z.B. Schablone)

Mit der Console One kann man auch eine neue Benutzerschablone. Die Benutzerschablone bietet den Vorteil dass man schnell viele hnliche Benutzer zu erstellen. Zum erstellen eines neuen Objekt hier klicken: Dann Dann Template fr eine Schablone auswhlen: Dann den Namen der Schablone angeben. Weiters kann man auswhlen ob man eine Schablone oder einen Benutzer verwenden will. Und zum Abschluss kann man noch die Zustzlichen Eigenschaften definieren . Rechtsklick auf die flock-schablone Im Reiter Allgemein kann man das Basisverzeichnis auswhlen. In unserem Fall NW65ROS04_DATA2.borg . Hier kann man die Passwortbeschrnkungen einstellen: Bei diesem Reiter ist einzustellen was der User darf bzw. was er nicht darf (Rechte) Hier stellt man ein wo und wie viel der User speichern darf (In meinem Fall ROS02-DTAT2): Hier kann man einen neuen Benutzer einer Schablone machen. Der neue Benutzer erhlt auch ein Home Directory. (Es werden alle Eigenschaften der Schablone bernommen) Es ist auch mglich die Eigenschaften mehrerer User gleichzeitig zu bearbeiten. yZum Lschen des Users markieren und entfernen drcken yNach dem Erstellen findet man den User hier auf.

iMangaer
Um zu Beginn berhaupt in den iManager zu gelangen, muss man mit Hilfe eines Web-Browsers die gewnschte URL eingeben und sich anschlieend mit seinem Benutzernamen und Passwort anmelden. Danach whlt man auf der linken Seite den Reiter Benutzer aus.

51

In meinem Szenario erstelle ich einen Benutzer. Fr diesen Versuch whle ich den Benutzernamen flock3 und den Kontextder aufscheint. Nach dem erfolgreichen Erstellen erscheint dieses Fenster. Will man dem Benutzer weitere Informationen anhngen, so muss man auf bearbeiten klicken. Nun ffnet sich ein Fenster mit diversen Reitern. Beim ersten Reiter kann man beispielsweise festlegen welche Telefonnummer und Email-Adresse der User hat. Auerdem kann man angeben, wie man an den blauen Links erkennen kann, welcher Gruppe der User angehrt und welches Anmeldeskript fr ihn verwendet wird. Diese Punkte knnten evtl. in einer groen Firma von Vorteil sein. Hilfreich kann auch sein, das Volumesverzeichnis fr den User anzugeben. Wenn man den Reiter NMAS-Anmeldemethode auswhlt, kann man das eDirectory-Passwort festlegen, oder das Passwort deaktivieren. Im Reiter RPM kann ein gewnschter Drucker konfiguriert beziehungsweise bearbeitet werden. Im Reiter Zertifikate ist es mglich ein Zertifikat zu erstellen, zu importieren bzw. zu exportieren. Im Reiter Beschrnkungen kann man die ganzen Beschrnkungen festlegen.Sprich Passwortnderung, wie lange ein Passwort sein muss, wann das Passwort erneuert werden muss, etc.. blicherweise hakt man Passwort anfordern an. Im selben Reiter kann man auch noch einstellen wie viele Parallel Verbindungen mglich sind. Also wie oft man sich gleichzeitig auf ein Benutzerkonto anmelden kann. In meinem Fall habe ich die maximalen Verbindungen auf 1 gesetzt. Evtl. handelt es sich in einer Firma um einen Ferialpraktikanten, weshalb der Punkt Ablaufdatum des Kontos hilfreich ist. Ich erstelle testmig nun eine Schablone. Einfach auf eDirectory und dann Objekt erstellen drcken. Dann Template fr Vorlage auswhlen und Ok drcken. Nun den entsprechenden Namen und den Kontext eingeben. Bei erfolgreicher Erstellung erscheint dieses Fenster.

Um die Schablone zu bearbeiten Bearbeiten auswhlen. Es erscheint folgendes Fenster. (Man sieht gleich bei einer Schablone kann man viel weniger einstellen als bei einem User.) Den entsprechenden Reiter auswhlen und das Volumeverzeichnis wieder auswhlen. Zum Abschlieen auf bernehmen drcken. Danach den Reiter Beschrnkungen auswhlen und die Passwort Beschrnkungen konfigurieren.In

52

diesem Falle wieder die Mindestlnge auf 5 stellen.

Nur zur Information auf Sicherheit klicken. Nun erstellen wir einen neuen User mit Hilfe der Schablone. Wieder alles ausfllen. Bei Aus Schablone oder Benutzerobjekt kopieren die Flock2 Schablone auswhlen. Besttigung wird angezeigt. Und dieses Objekt kann man wiederum auch bearbeiten.

Dateisystemrechte (Nahrgang 18.5.11)

Dateisystemrechte und Attribute Kai


Welche Rechte gibt es berhaupt y S - Supervisor / hat alle Rechte, kann S vergeben y read y write y create y erase y filescan - Verz.Dat. sehen y modify - Attribute ndern/umbennen y access Control - kann alle Rechte vergeben auer S Wo finden sie An endung beziehen sich nur auf ein NSS Volume eines Servers! Aufgaben: y Ausfhren von Dateien - R F y Aus Verz. kopieren - R F y In Verz. kopieren - WCF bezieht sich auf ein NSS Volume eines Servers y Wiederherstellung gelschter Dateien - C fr das Verz, R F fr die Datei Welche Begriffe gibt es? Trustee Kai Fragen! Vererbung: y Rechte die im Dateibaum oben sind, werden an die davon ausgehenden unteren Dateien weitervererbt y Addieren Wie wirkt es zusammen? Attribute Es gibt Attribute die auf Dateien wirken und Attribute die auf Ordner wirken und diese werden unterschieden! Unterscheidung zu Ordner gibt es hnliche aber nicht die gleichen Diese gelten mehr auf ein Recht damit nichts unabsichtlich gelscht wird. 53

Dateisystemrechte
Um Dateisystemrechte einzustellen, benutzen Sie eines der Admin Tools Netware Administrator oder Console One. S- Supervisor R- Read W- Write C- Create E- Erase F- Filescan M- Modify A- Access Control alles Dateiinhalt einsehen Dateiinhalt ndern Verz./Dat. erstellen Verz./Dat. lschen Verz./Dat. sehen Attribute ndern/umbenennen Rechte ndern / IRF ndern

Fr bestimmte Aufgaben erforderliche Rechte: Ausfhren einer Programmdatei RF aus Verz. kopieren in Verz. kopieren RF WCF

Wiederherstellen gelschter Dateien C fr das Verz. und RF fr die Datei

Regeln fr die Dateisystemrechte


o o o

Rechte addieren sich! Oben im Dateibaum vergebene Rechte vererben sich automatisch an die darunterliegenden Verzeichnisse/Dateien. Vererbung kann durch den IRF blockiert werden, Ausnahme "S"-Recht und durch "Neue Rechtevergabe"!

Datei-/Verzeichnisattribute Um die Sicherheit des Systems zu garantieren, werden fr Dateien und Verzeichnisse Attribute gesetzt. Nutzen Sie bitte hierfr die Programme Netware Administrator, Console One, Filer oder Flag.

DC= Der Ordner wird nicht komprimiert. => Allerdings heit es das ein Zugriff auf den Ordner Platz braucht weil mans dekomprimieren muss. Aber es kann sein dass dadurch Datenverlust passiert weil man sie ausgepackt nur zwischenspeichert. 54

Migrate= auslagern. => Auf ein anderes Medium auslagern. Vorteil =Platz. Nachteil = Zeit. Immediate Compress => Beim nchsten komprimierungslauf komprimieren. Bsp. Groer Ordner den man nicht so schnell ieder brauchen ird. Also soll der komprimiert erden. Immediate Purge => gelschte Dateien sind nicht iederherstellbar System =>Der Ordner bz . die Datei ird zu einer Systemdatei(kann nicht gesehen und verndert erden) Rename Inhibit => Umbenennen verhindern Read Only => lschen und verndern ist nicht erlaubt Copy Inhibit => Jeder der R und F hat kann eine Datei von dort wegkopieren. Funktioniert nur bei Mac, weils mehr unterscheidungen gibt als bei windows. Sublocation => Teilblockzuordnung => Dateien werden in Blcken abgelegt Shareable => Jeder kann auf das Dokument zugreifen, gleichzeitig und jeder kann es dann auch abspeichern. Bei Dokumenten ist das ein Problem eil der, der zuletzt abgespeichert hat, dann die gltige Version abspeichert. Bei Programmen ist es nutzvoller. Transactional => Verhindert dass etwas abgeschickt wird, aber nicht ankommt. Es sichert dass die Transaktionen ausgefhrt werden, auch wenn der Computer dabei abstrzt.

   

Welche Dateisystemrechte gibt es Welche rechte fr elche aufgaben Attribute fr Dateien Attribute fr Ordner

Bezeichnung S R W C E F M Supervisor Read Write Create Erase Filescan Modify

Recht alles Dateiinhalt ansehen Dateiinhalt ndern Verz./Dat. erstellen Verz./Dat. lschen Verz./Dat. sehen Attribute
55

ndern/umbennen A Access Control Rechte ndern

Aufgabe Ausfhren von Dateien Aus Verz. kopieren In Verz. kopieren

Recht RF RF WCF

Wiederherstellen C fr das gelschter Verz., R F Dateien fr die Datei

56

57

Drucken (Falzberger 23.5.11)


NDPS Novell Verteilte Druck-Services (NDPS) wurde entwickelt, um die Komplexitt bei der Verwaltung von Druckern in allen Arten von Netzwerkumgebungen zu bewltigen - angefangen von kleinen Arbeitsgruppen bis hin zu unternehmensweiten Systemen. NDPS ermglicht es Administrator Drucker zu erstellen, zu konfigurieren und zu verwalten, ohne dass man selbst an die Serverkonsole gehen muss. Man kann auch Drucker zur automatischen Installation auf die Benutzer -Arbeitsstationen bestimmen, ohne dass der Benutzer eingreifen muss. NDPS ersetzt die vorhandene warteschlangenbasierte Technologie. Es mssen weder Druckerwarteschlangen, Druckerobjekte oder Druckerserver einrichten noch muss man diese miteinander verbinden. Stattdessen konzentrieren sich smtliche Verwaltungsaufgab en auf den Drucker selbst, welcher als NDS-Objekt konfiguriert wird und auf den durch NetWare Administrator zugegriffen wird. Mit NDPS werden die Funktionen von Druckern, Druckwarteschlangen und Druckservern in einer einzigen Einheit, dem Druckeragenten, k ombiniert. Druckwarteschlangen mssen nicht erstellt werden. Benutzer knnen Auftrge direkt an Drucker senden. " Merkmale von NDPS

58

o NDPS-fhige Drucker werden vom Netzwerk automatisch erkannt. o Drucker werden zentral verwaltet (z.B. Papierstau, Tonermeldung per E-Mail). o Druckertreiber liegen in einer Datenbank auf dem Server. o Auch "Nicht-NDPS-fhige" Drucker werden untersttzt (Gateway). o Die Druckerbenutzung kann auf bestimmte Netzbenutzer eingeschrnkt werden. IPRINT Novell iPrint ist ein Dienst von Novell, der es Benutzern einer Open Enterprise Server-Infrastruktur ermglicht von berall aus ber das Internet auf jedem Drucker zu drucken. IPrint Konfigurieren : " IManager starten " Um die Ansicht bersichtlicher zu machen die Funktion Drucken auswhlen sodass nurmehr Informationen rund ums drucken angezeigt werden " Unter dem Menpunkt IPRINT knnen jetzt zahlreiche Funktionen ausgefhrt werden " Broker ist eine Software, die auf dem Server luft (BROKER.NLM) Der Broker bietet drei Netzwerkuntersttzungs-Services, die bisher nicht in NetWare verfgbar waren: den Service-Registrierungs-Service (SRS), den Ereignisbenachrichtigungs-Service (ENS) und den RessourcenManagement-Service (RMS). Whrend diese Services fr den Endbenutzer unsichtbar sind, sollte der Netzwerkverwalter die Funktionen dieser Services kennen. NDPS verwendet diese Services folgendermaen: " Service-Registrierungs-Service Mit Hilfe der Service-Registrierung knnen Drucker mit ffentlichem Zugriff sich selbst bekanntgeben, damit sie von Administratoren und Benutzern gefunden werden knnen. Dieser Service verwaltet Informationen ber Gertetyp, Gertenamen, Gerteadresse und gertespezifische Informationen, wie z. B. Hersteller und Modellnummer. Siehe Service-Registrierungs-Service. " Ereignisbenachrichtigungs-Service. Dieser Service lt Drucker benutzerdefinierte Benachrichtigungen ber Druckerereignisse und Druckauftragsstatus an Anwender und Operatoren senden. Der Benachrichtigungs-Service untersttzt eine Reihe von Sendemethoden einschlielich NetWare Popup, Protokolldatei, Email (GroupWise) und programmatisch. Siehe Ereignisbenachrichtigungs -Services. " Ressourcen-Management-Service Mit diesem Service werden Ressourcen an einem zentralen Speicherort installiert und dann auf Clients, Drucker oder sonstige Netzwerkkomponenten, die diese bentigen, heruntergeladen. Der Ressourcen-Management-Service untersttzt das Hinzufgen, Auflisten und Ersetzen von Ressourcen, einschlielich

59

Druckertreibern, Druckerdefinitionsdateien (PDF), Bannern und Fonts. Siehe Ressourcen-Management-Service.

Zenworks-Richtlinien (Dajakaj 30.5.11)


axd-datei (welche dateien kommen vor? *.fil), aot-datei Er schreibt alle Dateien lokal bei der ersten installation, in einen Ort im Novell Verzeichnis. Mit einem vernderten Namen 1,2,3.fil. Wenn alle da sind, dann geht er registry nochmal durch und schaut nach was dazugekommen ist. Die differenzmenge schreibt er auch auf. Dadurch wei er, was die Applikation dann wirklich alles zu leisten hat. System kann nun merken ah da fehlt was, soll ichs drber kopieren? 3. Nur bei windows Computern. Reperaturmechanismen(!); roll out(!)(zb win updates); zenworks kann auch, wenn die gerte es untersttzen gerte aufzuwecken.
Novell ZENworks ist eine Softwaresuite, die von Novell entwickelt wird, um den gesamten Lebenszyklus von Servern, Desktop-PCs (sowohl Windows- als auch Linux), Laptops und Handhelds zu verwalten. ZENworks untersttzt unterschiedliche Server-Plattformen und Filesysteme um es dem Anwender zu ermglichen, die Umgebung zu verwenden, die am besten zur bestehenden passt. Die meisten konkurrierenden Produkte decken nicht die Breite der unterschiedlichen Clientsysteme voll ab und zwingen somit den Kunden zu einer Single-Server-Plattform und/oder Filesystem.

Desktop Management
erlaubt Administratoren, Software zu installieren, konfigurieren, von einem Festplattenimage

60

herber zuspielen, inventarisieren und Ferndiagnose von Windows -basierten Workstations und Laptops von einer zentralen Position zu betreiben, mit Hilfe von Policy-betriebener Automation.
y y

Softwarepakete, die ber Desktop Management installiert werden, knnen selbstheilende Funktionen haben und knnen sich selbst bei Bedarf installieren. Desktop Management untersttzt auch MSI Pakete und Group Policies, entgegen der allgemein verbreiteten Unwahrheit, dass Systemadministratoren Microsoft Active Directory brauchen und einen Windows Server, um die Technologien voll auszureizen. Das Application Explorer utility (nalview.exe) stellt einen Novell Application Launcher (NAL) Sicht zu Verfgung um Anwendungen in die Microsoft Windows Desktop Anzeige zu verknpfen. Desktop Management Software kann sowohl innerhalb wie auerhalb von Firewalls arbeiten.

ber Application Launcher


Mankann es verwenden,um Richtlinien aufeinerWorkstationszu verteilen. DiesetglichenDrillDownserfolgen ber die Verwaltung vonAnwendungen mitdemZENworksApplicationLauncher. Diese KomponentevonZENworksermglicht einem, dieMhe von Installation, KonfigurationundUmpackungvon Anwendungenundlieferteine automatische Installation ohne manuelle Mhe

Wozu?
Nutzer in Netwerken erwarten immer mehr Anwendungen und Updates dieser. Eine Installation ber zum Beispiel eine CD-ROM ist keine logische Lsung in greren ITStrukturen. Die strategische Antwort darauf ist, die automatische Lieferung, Reperatur und Verwaltung dieser Anwendungen. Ebenso die Erhaltung und Verbesserung der Stabilitt des Systems sowie die Notwendigkeit die Workstations auf ein Minimum zu besuchen. Anwendungen die mittels Application Launcer installiert werden sind von Fehlern nicht ausgeschlossen. Man knnte immer Fehler einbauen, was bedeuten kann dass die Anwendung konsequent ber alle Arbeitsstationen falsch, bzw bei korrektem Installieren richtig installiert wird. Bei fehelerhafte Installation kann man einfach eine globale Korrektur errichten um auf smtlichen Workstations das Problem zu beheben.

ber ZENworks Application Launcher


einedermchtigsten Funktionen vonZENworks. Es erlaubteinem, einestrategischeLieferung vonAnwendungen in einereinheitlichenArt und Weise. Fr Windows braucht man die Version ZenWorks 10, 11 damit es luft.

Funktionen von Application Launcher


Application Launcher hat drei Hauptkomponenten 1. Snapshot-Tool: hilft einem zu verstehen, was whrend der Installation geschieht 61

erstellt AXD Dateien (Text File) und fil Dateien (Konfigurationsdateien) das Tool speichert all diese Dateien in ein bestimmtes Verzeichnis, bennent die Dateien allerdings anders (1.fil, 2.fil usw) Vor der Installation erfolgt ein Screening - dann wird die Installation durchgefhrt danach screent er ein zweites Mal - Danach fragt er wo er die Application abspeichern soll. 2. Application-Object: ist in der NDS und hlt alle Details ber die Anwendungen Kann es verwenden fr Roll Outs: zb Windows Updates verteilen dabei kann man auch die Uhrzeit und Datum festlegen wann die Verteilung im Netzwerk erfolgen soll. 3. Workstation-Agent: luft auf dem Client-PC und zeigt das Application-Object fr den User Man kann auswhlen ob der Client das Object im Application Explorer sieht, oder nur am Desktop, ob er es ausfhren darf.

Application-Object
werden auf dem Client-Desktop angezeigt als wren sie normale Tastenkombinationen angezeigt. Das Objekt hlt alle Information zum Ausfhren der Anwendung bereit. Das ApplicationObject wird nicht durch ein Setup-Programm installiert bzw durch das kopieren an die richtige Position. Die Installation erfolgt mittels Registrierungsschlssel und INI-Dateien die Konfigurationen beinhalten. Mittels Snapshot-Tool werden diese Konfigurationen erfasst und dieses Programm erstellt dann eine Datei mit der Liste der nderungen. Mit diesen Einstellungen erfasst man dann das Application-Object. Auerdem erhalten die ApplicationObjects enthalten Informationen zur Installation sowie die Durchfhrungsinformationen. Entweder man stellt die Dateien ber alle Server zur Verfgung oder von einem bestimmten. Der Basis Standort wird Source path genannt

Snapshot-Tool
Es erfasst welche Dateien sich auf dem Dateisystem gendert haben und diese Vernderungen werden in der Registration erfasst. Das Snapshot-Tool macht sich ein Bild vor und nach einer Anwendungsinstallation und vergleicht diese um Unterschiede zu finden. Diese Unterschiede werden dann in einer Datei gespeichert, um ein Application-Object zu erstellen. 3 Mglichkeiten zum Ausfhren vom Snapshot-Tool
y y y

Standard Custom: Mehr Flexibilitt bei der Ausbung einer Momentaufnahme. Die Optionen knnen gespeichert und somit wiederverwendet werden, mittels der "Express" Option Express: Ldt die Standardeinstellungen, die zuvor gespeichert wurden aus einer benutzerdefinierten Session

Die Bereiche in denen es gilt Vernderungen zu suchen sind INI-Dateien, Textdateien und die Registrierung. Dies sind die Standardoptionen, spezifisch kann man auch bestimmte Bereiche weglassen (SWAP-Dateien). Man kann benutzerspezifische Daten in einem bestimmten Verzeichnis im Benutzer-Home-Datei Raum speichern. Dies kann dann zu einem "RaumNutzflche-Snapshot" werden. Hauptproblem dabei ist, zu verstehen wie die Komponenten "Copy Always" und "Create Always" verwendet werden. Wenn man die Dateien oder Registrierungsschlssel berschreiben mchte, whlt man "Copy Always" und "Create Always" 62

Dateien
Wenn man den Quellpfad direkt untersucht, wird man eine Reihe von Dateien mit folgenden Erweiterungen sehen
y y y y

fil: sind Duplikate der Dateien die auf der Arbeitsstation whrend der Installation der Anwendung kopiert werden, sind unbenannt txt: Eine Liste aller Dateien, die auf der Arbeiststation installiert wurden und was ihre entsprechenden fil Namen sind aot: Vorlagendatei fr Application-Object enthlt Liste aller nderungen und kann verwendet werden um ein Application-Object zu erstellen axt: Die Text Version der AOT Datei

Client-Agent
Der Application-Launcher hat zwei Client-Optionen 1. Apllication Launcher Window Ist ein Programm-Manager Fenster, die Aplication-Objects direkt oder im Ordner zeigen 2. Application Explorer

63

Erstellen eines neuen Application-Object Hier kann festgelegt werden welche Dateien zur Anwendung mit installiert werden

Bei der Erstellung knnen Regeln zur Steuerung der Verfgbarkeit dieser Anwendung erstellt werden

Hier sieht man das installierte Application-Object

Erstellen eines SnapShots

Danach wird die Applikation auf der Station abgesucht

64

Linux
Verwaltungswerkzeuge (Zimmermann 6.6.11)
Yast grafisch aufrufbar, in Gruppen eingeteilt y Software Man kann in die Paetdatenbank gehen und neue Pakete registrieren, installieren, man kann ber CD oder Netzwerk installieren, es gibt viele repositories (Quellen zum Downloaden). Man kann hier nach gewissen Objekten suchen. y Runleveleditor Was gestartet wird und welche Dienste wann y Netzwerkkarten Neue hinzufgen, bearbeiten, IP-Adressen bearbeiten, Firewall aktiv, inaktiv. y Hardware Grafikkarten, Monitor y Partitionieren Hier kann man grafisch Partitionen verwalten. Partitionen lschen, erstellen, zusammenfgen Konsole y Man kann die meisten sachen auch hier machen y Ifconfig netzwerk konfigurieren, kontrollieren bsp eth5, sieht man nur eth 5 y Wenn man interface angibt und ip adresse hinzufgt, kann man auch konfigurieren. y Fdisk partitionen anzeigen lassen und verndern y Mount und umount damit kann man die dateisysteme endmountn. Netzwerklaufwerke. Mount zeigt an, was gemountet ist (fsdap, die in etc liegt) Man kann auch hinzufgen (mount parameter c, welches device, wohin) In der kommandozeile kann man auch yast einstellen, einfach yast eingeben in der zeile und dann kann man mit text den verndern. Mit yast 2 kommt er nochmal grafisch. Es gibt beliebig viele verwaltungswerkzeuge Der Yast stpselt alle zusammen zu einer oberflche.

65

Benutzerverwaltung (Winkler 25.5.11)


bash-shell; standardbenutzer ab 1000; system die darunter, root = 0; Benutzername und Pass ort Ein Benutzerkonto besteht aus einer Benutzername/Passwort-Kombination. Erwartungsgem melden Sie sich auch bei Linux durch die Angabe Ihres Benutzernamens und des zugehrigen Passwortes an. Mehr muss der Anwender im Allgemeinen nicht wissen. Aus Systemsicht sind jedoch noch einige weitere Attribute eines Benutzerkontos interessant. Benutzer-ID (UID) und Gruppen-ID (GID) Whrend Sie blicherweise einfach einen Benutzernamen angeben, um sich auf einen bestimmten Benutzer zu beziehen, verwendet Linux intern lediglich eine Identifikationsnummer, die sogenannte Benutzer-ID. Nach der Anmeldung - die Shell Erfolgt die Anmeldung nicht ber einen Display-Manager, so wird fr gewhnliche Benutzer eine Shell gestartet. Um welche Shell es sich handelt, wird dabei fr jeden Benutzer einzeln festgelegt. Man kann fr einzelne Benutzer auch festlegen, dass sie keine Shell erhalten - z.B. wenn man sie temporr vom System aussperren mchte oder wenn fr einzelne Benutzer generell keine Shell-Umgebung ermglicht werden soll. Das Heimatverzeichnis Die Login-Shell startet im sogenannten Heimatverzeichnis des Benutzers. Dieses und alle seine Unterverzeichnisse gehren dem Benutzer. Im Wesentlichen bietet das Heimatverzeichnis seinem Besitzer Platz fr die Ablage von Dateien, welche meist oder ausschlielich von ihm verwendet werden. Neben den Arbeitsdateien und -verzeichnissen selbst liegen im Heimatverzeichnis noch eine Reihe Dateien, welche applikationsspezifische Einstellungen des Benutzers enthalten. Benutzertypen root Der Benutzer root ist mit allen Rechten ausgestattet, die ihm die Administration des Systems erlauben. Diesem auch als Superuser bezeichneten Benutzer ist immer die UID 0 zugeordnet. Systembenutzer Je nach System kann eine Vielzahl von Prozessen und Diensten erwnscht sein, die bereits beim Hochfahren des Systems verfgbar sein sollen. Nicht jeder dieser Prozesse bentigt jedoch die volle Rechteausstattung des Superusers. Ein Systembenutzerkonto ist in diesem Sinne ein Benutzerkonto, das jedoch ausschlielich zur Ausfhrung von Programmen unter einer speziellen Benutzerkennung verwendet wird. Kein menschlicher Benutzer meldet sich normalerweise unter einem solchen Konto an. (UID 1-999) Standardbenutzer Dies ist das normale Benutzerkonto, unter welchem jeder blicherweise arbeiten sollte. (UID ab 1000) Benutzerklassen: user, group und others Aus der Sicht des Systems existieren drei Benutzerklassen, wenn entschieden werden soll, ob die Berechtigung fr einen Dateizugriff existiert oder nicht. Soll beispielsweise eine Datei gelscht werden, so muss das System ermitteln, ob der Benutzer, welcher die Datei lschen mchte, das erforderliche Recht besitzt. Drei Benutzerklassen werden unterschieden: user, group und others. Jede dieser Benutzerklassen ist wiederum in ein Lese-, Schreib- und Ausfhrrecht unterteilt: user-read Leserecht fr Dateieigentmer user-write Schreibrecht fr Dateieigentmer user-execute Ausfhrrecht fr Dateieigentmer group-read Leserecht fr Gruppe des Dateieigentmers 66

group-write group-execute other-read other-write

Schreibrecht fr Gruppe des Dateieigentmers Ausfhrrecht fr Gruppe des Dateieigentmers Leserecht fr alle anderen Benutzer Schreibrecht fr alle anderen Benutzer

other-execute Ausfhrrecht fr alle anderen Benutzer Berechtigungsklassen: Lesen, Schreiben und Ausfhren Da unter Unix letztlich alle Ein- und Ausgabeoperationen mit denselben Systemrufen vorgenommen werden, hat sich der Ausspruch "Alles ist eine Datei!" etabliert. Beispielsweise sind auch Verzeichnisse letztlich - wie alle anderen Eintrge im Dateisystem - ein besonderer Typ Datei. Fr jeden dieser Dateitypen haben die unterschiedlichen Rechte (Lesen, Schreiben und Ausfhren) eine unterschiedliche Bedeutung. Lesen Leserecht fr Dateien Fr Datendateien aller Art, wie z.B. Textdateien, Bilder usw., leuchtet das Leserecht unmittelbar ein: Die Datei kann zur Ansicht geffnet und ihr Inhalt angezeigt oder abgespielt werden. Fr Programmdateien ist das Leserecht weniger intuitiv verstndlich. Manchen mag es berraschen, dass fr die Ausfhrung eines Programms nicht das Leserecht gesetzt sein muss. Leserecht fr Verzeichnisse Da Verzeichnisse keine Daten im eigentlichen Sinne enthalten, sondern lediglich Information ber Dateien und Unterverzeichnisse, hat das Leserecht hier freilich eine andere Bedeutung. Das klassische Kommando zum Auslesen von Verzeichnisinformation ist ls. Schreiben Schreibrecht fr Dateien Das Schreibrecht fr regulre Dateien ist ebenso intuitiv verstndlich wie das Leserecht. Ist dieses Recht gesetzt, darf die Datei berschrieben oder weiterer Inhalt an sie angehngt werden. Schreibrecht fr Verzeichnisse Erwartungsgem bezieht sich das Schreibrecht fr Verzeichnisse auf das Anlegen und Lschen von Dateien in Verzeichnissen. Ohne Schreibrecht ist weder das eine noch das andere mglich. Ausfhren Ausfhrrecht fr Dateien Programme und Skripte sind es, die ausgefhrt werden knnen. Programme liegen in Binrformaten vor - unter Linux hat sich das Executable and Linking Format (ELF) durchgesetzt, aber auch andere Formate werden untersttzt. Bei Programmen, d.h. Dateien in einem ausfhrbaren Binrformat, liegt die Sache einfach. Ist das Ausfhrrecht gesetzt, darf das Programm aufgerufen und ausgefhrt werden. Ausfhrrecht fr Verzeichnisse Das Ausfhrrecht fr Verzeichnisse bezeichnet das elementare Recht, dieses Verzeichnis zu betreten. Das "Betreten" eines Verzeichnisses ist jedoch allgemeiner zu verstehen als das bloe Wechseln des current working directory. Es ist vielmehr die grundlegende Voraussetzung fr alle weiteren Operationen auf dem Verzeichnis und seinen Inhalten. Lesen von Dateien, Anlegen und Lschen von Dateien und auch Ausfhren von Dateien in einem Verzeichnis erfordern ein Ausfhrrecht auf diesem Verzeichnis. Dies gilt brigens auch fr alle Unterverzeichnisse und deren Inhalte. Das Benutzerkonzept von Linux Unter Linux werden alle Benutzer, die zur Arbeit am System berechtigt sein sollen, zu Benutzergruppen zusammengefasst. Alle Ressourcen knnen nun fr bestimmte Gruppen oder Benutzer freigegeben werden. 67

User-ID (uid) effektive User-ID (euid) Group-ID (gid) effektive Group-ID (egid)

Dies ist die ID, mit der sich ein Benutzer am System anmeldet. Dies ist die ID, mit der ein Benutzer auf eine Ressource zuzugreifen versucht. Dies ist die ID, mit der sich eine Gruppe am System anmeldet. Dies ist die ID, mit der eine Gruppe auf eine Ressource zuzugreifen versucht.

Fr die Zugriffskontrolle berprft das System bei jedem Zugriff auf eine Ressource, unter welcher effektiven uid und guid der Zugriff erfolgt. Durch diese Unterscheidung von ID und effektiver ID ist es z. B. mglich, dass ein Benutzer zwar unter seiner eigenen uid arbeitet, zugleich aber (temporr) auf Dateien zugreift, die anderen Gruppen gehren. Wichtige Befehle y ls -al - Anzeigen von Datei- und Verzeichniseigenschaften y chmod - ndern der Dateizugriffsrechte y chown - ndern des Eigentmers und der Gruppenzugehrigkeit von Dateien und Verzeichnisse y chgrp - ndern der Gruppenzugehrigkeit von Dateien oder Verzeichnissen y id - Ermitteln der effektiven UIDs und GIDs y groups - die Gruppenzugehrigkeit ermitteln y who - Angemeldete Benutzer ermitteln y lsof Dateien die im Moment geffnet sind und wer sie geffnet hat y ps aux - laufenden Prozesse sowie zustzliche Informationen ber Eigentmer, Ressourcenverbrauch usw. y Benutzerverwaltung: o useradd Neuen Benutzer anlegen o usermod Existierenden Benutzer ndern o groupadd Gruppe anlegen o groupmod Existierende Gruppe ndern Multiuser-Betrieb Zu den wichtigsten Eigenschaften von Linux zhlt sicher die Fhigkeit zu echtem Multitasking und zum Multiuser-Betrieb. "Multitasking" bedeutet dabei, dass mehrere Prozesse parallel ablaufen, und sich dabei die vorhandenen Ressourcen teilen. "Multiuser" bedeutet, dass mehrere Benutzer gleichzeitig am System arbeiten und damit die MultitaskingFhigkeiten des Systems nutzen knnen. Hierbei trennt das Betriebssystem die einzelnen Benutzer, die von diesen Benutzern gestarteten Prozesse/Tasks sowie die von ihnen angelegten Dateien und Verzeichnisse voneinander und kontrolliert restriktiv den Zugriff darauf. Fr Privatanwender scheint ein Multiuser-System zunchst wenig vorteilhaft zu sein. In erster Linie denkt man bei solchen Systemen sicher an Server, auf die ber Shell-Accounts, FTP, Internet usw. viele Kunden gleichzeitig zugreifen knnen. Trotzdem bringt dieses Konzept auch fr "normale" Anwender entscheidende Vorteile: Ein Multiuser-System ist eine gute Basis fr diszipliniertes Arbeiten. Man kann z. B. sehr genau beobachten, unter welchem Account man welche Aufgaben erledigt. Es bietet eine wesentlich hhere Sicherheit als ein "Single-User-System", da die Zugriffsrechte auf Daten, Prozesse etc. je nach Benutzer und Nutzergruppe kontrolliert und eingeschrnkt werden knnen. Dadurch ist es z. B. mglich, dass ein Virus nur Zugriff auf die Daten desjenigen Benutzers erhlt, ber den er in das System gelangt ist. 68

Dateisystemrechte (Purgaj 25.5.11)


Rechte Rechte auf Dateien Die Wirkung der Rechte ist bei Dateien und Verzeichnissen unterschiedlich. Bei Dateien arbeiten Sie wie folgt: r (read = lesen) Der Benutzer kann den Inhalt der Datei einsehen, d. h. unter anderem, er kann sie am Bildschirm anzeigen lassen, sie drucken oder kopieren. w (write = schreiben) Der Benutzer kann die Datei verndert unter dem bisherigen Namen speichern. x (execute = ausfhren) Die Datei kann als Programm gestartet werden. Dies setzt natrlich voraus, da die Datei ein Programm ist. chown Mit dem Befehl chown ist es mglich der Datei einen neuen Besitzer und eine neue Gruppe zu geben. chown [OPTIONEN] [BENUTZER][:GRUPPE] DATEILISTE Allerdings ist es nur dem Superuser gestattet, den Eigentmer einer Datei zu ndern. Die nderung der Gruppe ist fr den Besitzer und fr den Superuser erlaubt. Der Besitzer darf allerdings seiner Datei nur eine Gruppe zuordnen, in der er selber Mitglied ist. Optionen -c Informationen ber alle genderten Dateien werden angezeigt -v Informationen ber alle Aktionen werden ausgegeben -f Fehlermeldungen werden nicht ausgegeben nderungen werden rekursiv den Verzeichnisbaum herunter durchgefhrt -R Beispiel: chown -R tapico:users /home/herbert ndert den Besitzer auf tapico und die Gruppe auf users fr das Verzeichnis /home/Herbert und seinem Inhalt. chgrp ndert fr eine Datei die zugehrige Gruppe. chgrp [OPTIONEN] GRUPPE DATEILISTE Die nderung der Gruppe ist fr den Besitzer und fr den Superuser erlaubt. Der Besitzer darf allerdings seiner Datei nur eine Gruppe zuordnen, in der er selber Mitglied ist. Optionen -c Informationen ber alle genderten Dateien werden angezeigt -v Informationen ber alle Aktionen werden ausgegeben -f Fehlermeldungen werden nicht ausgegeben nderungen werden rekursiv den Verzeichnisbaum herunter durchgefhrt -R Beispiel chgrp users pampelmuse ndert die Gruppe der Datei pampelmuse auf users.

69

chmod Der Befehl chmod erlaubt das ndern der Rechte fr eine Datei. chmod [OPTIONEN] RECHTE DATEILISTE Ziffer Bedeutung 4 r-Recht 2 w-Recht 1 x-Recht 0 kein Recht Optionen -c Informationen ber alle genderten Dateien werden angezeigt -v Informationen ber alle Aktionen werden ausgegeben -f Fehlermeldungen werden nicht ausgegeben nderungen werden rekursiv den Verzeichnisbaum herunter durchgefhrt -R Beispiele: chmod u+x memo*.txt fgt fr den Besitzer das x-Recht hinzu. chmod 755 makeitso setzt die Rechte auf rwxr-xr-x. chmod a-rwx,u=rwx meinsein entzieht allen alle Rechte und gibt dem Besitzer alle Rechte. Alle Informationen ber das Benutzerkonto werden in der Datei /etc/passwd gespeichert

Serverdienste (Mail, Web, FTP,...) (Purgaj 25.5.11)


rcapache2; option routers => Gateway; MTA E-Mails werden zunchst vom eigentlichen Mailprogramm (z.B.: kmail oder Mozilla) an den Mail Transport Agent (MTA) weitergegeben. Als MTA dient auf den meisten Systemen sendmail. Als Alternativen gibt es unter anderem noch qmail und exim. Der MTA bernimmt mehrere Aufgaben auf einmal: Zwischenspeichern der E-Mail bis zur nchsten Online-Verbindung Ermitteln bzw. berprfen des Empfngers Evtl. ndern der Absenderadresse auf die Mailadresse beim Provider (Maskierung) bertragung der Mail zum Empfnger (bzw. zum nchsten Mailserver) Postfix Was ist Postfix? Postfix ist ein MTA (Mail Transfer Agent), der den bekannten sendmail Email-Server "ersetzt". Postfix ist schnell, leicht zu konfigurieren und sicher, whrend es kompatibel mit sendmail ist. Daher sieht er zwar von auen so aus wie sendmail, ist aber im Innern ganz etwas anderes. /etc/postfix/main.cf sendmail Suse-Benutzer mssen noch in der Datei /etc/sysconfig/mail die Variablen 'MAIL_CREATE_CONFIG' auf 'no' und 'SMTPD_LISTEN_REMOTE' auf 'yes' (frher in der Datei /etc/rc.config die Variable 'SENDMAILTYPE' auf 'no') setzen. Ansonsten berschreibt Yast2 u.a. die eigene sendmail.cf (MAIL_CREATE_CONFIG) und sendmail 70

wrde so gestartet, dass nur lokale Mails (vom Linux-Rechner) angenommen werden (SMTPD_LISTEN_REMOTE). Die Datei 'sendmail.cf' Konfiguriert wird sendmail in der Datei /etc/sendmail.cf. Allerdings ist diese Datei die vermutlich komplizierteste Konfigurationsdatei die es unter Linux gibt Apache Um mit Linux einen Webserver - entweder im lokalen Netz (Intranet) oder im Internet zu betreiben, brauchen wir einen HTTP-Daemon. Der bekannteste und professionellste Server ist heute der Apache-Webserver, der brigens eigentlich auch nur httpd heisst. Er sollte als stand-alone-Dienst gestartet werden. Um nun einen Webserver einzurichten gengt es im einfachsten Fall, den Daemon httpd zu starten und die Webseiten, die er anbieten soll, in das Verzeichnis zu legen, in dem der Server sein document-root hat. Das Starten luft zumeist wieder ber ein Startscript ab, z.B. /etc/init.d/apache. NFS NFS (Network File System) ist die im UNIX-Bereich bliche Art, Verzeichnisse zu ex- bzw. zu importieren und dadurch auf mehreren Rechnern zu benutzen. Es wird dabei transparent auf die freigegebenen Verzeichnisse zugegriffen. So kann also am Server das komplette /home oder /usr-Verzeichnis exportiert werden, welches dann vom Client bernommen wird - die Benutzer merken davon nichts. Das Angenehme ist, dass man bestimmte Verzeichnisse nur fr bestimmte Rechner oder Domnen freigeben kann. Wer einen festplattenlosen ThinClient aufziehen will, kann auch das gesamte DateiSystem des Servers per NFS importieren. Um Datenverzeichnisse von anderen Rechnern einzubinden, kann auch der AutoMounter verwendet werden - dadurch reduziert sich bei sehr vielen Clients die Zahl der Mounts auf die wirklich gebrauchten. NFS ist ein relativ unsicheres Protokoll und kann deshalb nur in geschtzten Umgebungen (lokales Netz ohne feindliche Rechner) eingesetzt werden. NFS vertraut auf TCP/IP bzw. DNS und darauf, dass die Clientrechner zuverlssige Authentifizierung ihrer Benutzer machen und lsst sich dementsprechend ber diese Mechanismen angreifen - zudem ist NFS unverschlsselt. Die Benutzerkennungen auf Server und Client mssen fr die korrekte Funktion bereinstimmen. DHCP Ein DHCP-Server ist dafr zustndig, IP-Adressen aus einem Pool an Clients zu vergeben. /etc/dhcpd.conf Bsp.: option domain-name "example.com"; option domain-name-servers 192.168.2.1; option nis-domain "example.com"; default-lease-time 60; max-lease-time 120; use-host-decl-names on; subnet 192.168.2.0 netmask 255.255.255.0 { option routers 192.168.2.1; option subnet-mask 255.255.255.0; range dynamic-bootp 192.168.2.128 192.168.2.254; } subnet 192.168.11.0 netmask 255.255.255.0 { option routers 192.168.11.1; 71

option subnet-mask 255.255.255.0; range dynamic-bootp 192.168.11.128 192.168.11.254; } host rechnerX { hardware ethernet 01:02:03:45:67:89; } host rechnerY { hardware ethernet 01:02:03:45:78:9A; } DNS Ein Nameserver dient der Namensauflsung eines Hostnamens zu einer IP-Adresse (und umgekehrt) und zur Bekanntgabe von bestimmten Servern, die bestimmte Funktionen fr eine Domain erfllen (z.B. Mailserver). Es gibt z ei Arten von Nameservern: y Rekursive Nameserver fragen andere (autoritative oder auch rekursive) Nameserver ab, meist haben sie auch eine Cache-Funktion, sie besitzen keine eigenen Zoneninformationen. y Autoritative Nameserver verwalten die Zonen von bestimmten Domnen oder Subnetzen, d.h. sind diese "zustndig". Ein (autoritativer) Nameserver kann fr jede Zone entweder als Master (primary) oder als Slave (secondary) betrieben werden. In ersterem Falle stellt er die letzte Instanz fr Abfragen dar, in zweiterem Falle holt er sich regelmig die Daten vom Masterserver und dient als Backup, falls der Master ausfllt oder nicht erreichbar ist.

Drucken (Falzberger 23.5.11)

Drucker Felix PLC5 PCL6 sind gngige Varianten Ghostscript Ein Dienst der die Sprachen auf Standardsprachen bersetzt Der Registrierungsservice wird festgelegt dass sich ein Drucker meldet und falls er wichtig ist sich registriert. Allgemein:

Unter Linux werden Drucker ber sog. ,, Drucker arteschlangen `` angesprochen. Die zu druckenden Daten werden dabei in einer Druckerwarteschlange zwischengespeichert und durch den sog. ,,Druckerspooler `` nacheinander zum Drucker geschickt. Meist liegen diese Daten nicht in einer Form vor, die direkt an den Drucker geschickt werden knnte. Eine Grafik beispielsweise muss normalerweise in ein Format umgewandelt werden, das der Drucker direkt ausgeben kann. Die Umwandlung in die sog. ,, Druckersprache `` erfolgt durch den Druckerfilter , der vom Druckerspooler zwischengeschaltet wird, um Daten ggf. so umzuwandeln, dass sie der Drucker direkt ausgeben kann. o Druckersprachen
72

PostScript - ist die Standardsprache unter Unix/Linux in der Druckausgaben erstellt werden, die dann auf PostScript-Druckern direkt ausgegeben werden knnen. Wenn kein PostScript-Drucker angeschlossen ist, verwendet der Druckerfilter das Programm Ghostscript, um die Daten in eine dieser anderen Standarddruckersprachen umzuwandeln (PCL3, PCL4, PCL5e, PCL6, ESC/P, ESC/P2, ESC/P-Raster). Dabei wird ein mglichst gut zu dem jeweiligen Druckermodell passender Treiber verwendet, um modellspezifische Besonderheiten (z. B. Farbeinstellungen) bercksichtigen zu knnen.  Ghostscript Man kann damit z.B. das von Linux-Programmen generierte Postscript in von einem Nicht-Postscript-Drucker verstandenes PCL umwandeln lassen.
Ablauf eines Druckauftrages unter Linux 1. Der Anwender oder ein Anwendungsprogramm erzeugt einen neuen Druckauftrag. 2. Die zu druckenden Daten werden in der Druckerwarteschlange zwischengespeichert, von wo sie der Druckerspooler an den Druckerfilter weiterleitet. 3. Der Druckerfilter macht nun normalerweise folgendes: a. Der Typ der zu druckenden Daten wird bestimmt. b. Wenn die zu druckenden Daten nicht PostScript sind, werden sie zuerst in die Standardsprache PostScript umgewandelt. Insbesondere ASCII-Text wird normalerweise mit dem Programm a2ps in PostScript umgewandelt. c. Die PostScript-Daten werden ggf. in eine andere Druckersprache umgewandelt. i. Wenn ein PostScript-Drucker angeschlossen ist, werden die PostScriptDaten direkt an den Drucker geschickt. ii. Wenn kein PostScript-Drucker angeschlossen ist, wird das Programm Ghostscript mit einem zur Druckersprache des jeweiligen Druckermodells passenden Ghostscript-Treiber verwendet, um die druckerspezifischen Daten zu erzeugen, die dann an den Drucker geschickt werden. 4. Nachdem der Druckauftrag komplett an den Drucker geschickt wurde, lscht der Druckerspooler den Druckauftrag aus der Druckerwarteschlange. Drucker Installation Yast - Hardware Drucker Falls man unter Linux einen Drucker im laufenden Betrieb anschliet, erscheint sofort eine Meldung, dass neue Hardware erkannt wurde. Nach dem Besttigen dieser Meldung landenman in der YastDruckerkonfiguration. Falls die automatische HardwareErkennung nicht funktioniert, kommt man unter Yast-Hardware73

Drucker, zum Konfigurationsmen. Danach versucht Yast, den Drucker zu erkennen und meldet sich bei Erfolg mit dem Modell. Netz erkdrucker installieren Wenn es um einen Drucker geht der direkt ans Netzwerk angeschlossen ist ffnet man im Yast Hardware Drucker und kommt dadurch in die Druckerkonfiguration. Darin Klickt man auf Hinzufgen und whlt Netzwerkdrucker. Alternativ kann auch ein anderer Servertyp ausgewhlt werden, etwa einen Drucker, der an einen Windows-Rechner angeschlossen ist (ber SMB-Netzwerkserver drucken). Falls ber einen an einen anderen Linux-PC angeschlossenen Drucker verwenden wollen, whlt man die Option "Drucken per CUPS". Nach einem Klick auf Weiter mssen Hostname und IP-Adresse des Druckers eingegeben werden. Drucken mit CUPS

Bei CUPS handelt es sich um ein Drucksystem das mittlerweile zu den StandardDruck-Systemen gehrt. Dabei verwendet CUPS grundstzlich Netzwerkverbindungen, um Druckauftrge anzunehmen und zu verschicken. Folglich macht CUPS auch keinen Unterschied zwischen einem Rechner im Netzwerk und dem Rechner, an dem man gerade sitzt. Um CUPS zu konfigurieren, startet man einen Browser und gibst als Adresse http://localhost:631 ein. Dadurch kommt man auf die Startseite der CUPSKonfiguration wo man nun die entsprechenden Einstellungen treffen muss. Bevor man allerdings loslegen kann, muss zuerst auf der Shell ein Kennwort eingeben werden. Dazu gibt man als Benutzer root den Befehl y lppasswd -g sys -a root ein. Anschlieend muss ein Kennwort mit mindestens sechs Zeichen, davon mindestens eine Ziffer eingeben werden. y rccups restart Danach kann man auf die Administrationsoberflche zugreifen. Um beispielsweise den Standard-Papierschacht bei einem Laserdrucker umzustellen, klicken Sie auf Drucker verwalten und danach beim gewnschten Drucker auf Drucker konfigurieren. Im Kennwortfenster tragen Sie den Benutzernamen root und das zuvor eingegebene Kennwort ein. Danach sehen Sie unter Allgemein den Eintrag Medien-Quelle (sofern der Drucker mehrere Papierschchte hat). Dort whlen Sie den Schacht aus, klicken auf Weiter und auf Unverschlsselt senden.

74

 Drucken auf der Kommandozeile


o der lpr-Befehl Der Allgemeine Druckbefehl zum drucken aus der Konsole: o lpr -P <druckername> -o <optionen><dokument.ps> <optionen>:
y Rand setzen: -o page-left=NN (wobei left auch durch right, top, bottom ersetzt werden kann, "NN" steht fr Punkte (1 Punkt = 0.35cm)) y Bei Textdokumenten berlange Zeilen umbrechen: -o wrap=true y eigene Fcherwahl: -o InputSlot=Lower (ist leider etwas komplizierter, da jedes Druckermodel seine eigenen Bezeichungen fr verschiedene Fcher besitzt). KPRINTER Druckwerkzeug mit grafischer Oberflche y <kprinter>

75

MySQL
Verwaltungswerkzeuge Nahrgang
MySQL Query Bro ser

Unter File Open Script knnen Datenbanken importiert werden. MySQL Administrator

76

Um alle Funktionen nutzen zu knnen, muss er als Administrator ausgefhrt werden.

Unter Server Information sieht man alles Wichtige ber den Server. Bei den Startup Variables kann noch der Port gendert werden. Unter User Administration knnen Benutzer ver altet erden. Global Privilegs sind Rechte, die der User immer hat. Schema Privilegs sind Rechte, die der User fr eine bestimmte Datenbank hat. Schema Object Privilegs sind Rechte, die der User fr bestimmte Tabellen und/oder Spalten hat. Zum Schluss kann man noch einstellen, wie viele Anfragen und Verbindungen ein User in einer Stunde eingehen darf. Backup/Wiederherstellen

77

Unter Backup ein neues Projekt erstellen. Zunchst muss man einen Namen zuweisen, dann stellt man ein welche Datenbanken und Tabellen betroffen sein sollen. Unter Advanced Options stellt man dann ein, welche Art der Sicherung man verwenden will (Pichler hat das beim Referat nicht gefragt), standardmig ist die InnoDB Online Backup eingestellt. Hier kann man auch einstellen, ob die Datenbanken, falls vorhanden, berschrieben werden sollen (beim Wiederherstellen) usw. Unter Schedule kann man einen Zeitplan einstellen. Um das Ganze wiederherzustellen whlt man die *.sql Datei unter Restore aus. Create Database if not exist sollte man anhaken wenn man das will. Unter Restore Content kann man die Datei zunchst ansehen wenn man will. Auf Start Restore drcken. Unter Catalogs knnen Tabellen und Spalten angelegt und verwaltet werden (Name, Datatype (Integer, CHAR, usw.), Auto inc. Usw.) Hat er nicht gefragt, und interessiert auch keinen so genau.

78

Grundstze des Datenbankentwurfs Fraissler

79

80

n : m Beziehungen typische Beispiele fr n:m Beziehungen: Bestellungen Buchungen Verleihvorgnge Anmeldungen/Teilnahmen (an Events)

ER Umsetzung dieser Beispiele: Kunde (Gast) bestellt Artikel (Mittagessen) Kandidat meldet sich an zur Prfung Kandidat nimmt teil an Prfung Kunde bucht Reise, Hotel Kunde leiht sich DVD, Motorad, Auto

Entitten Beziehungen :n:m-Beziehungen sind (wie die Entitten) durch Eigenschaften charakterisiert (z.B. Bestelldatum, Teilnahmedatum, Teilnahmegebhr, Buchungsdatum, Verleihdatum, ). Somit ergibt sich fr n:m Beziehungen die Notwendigkeit, diese Beziehungen selbst als (wie wir schon wissen) Beziehungstabellen zu realisieren. Die Beziehungstabelle enthlt dann die Primrschlssel-Felder der verbundenen Tabellen als Fremdschlssel-Felder.

Aus der Erfahrung: Es besteht meist die Notwendigkeit, die Beziehungstabelle selbst, weiter in zwei Tabellen aufzuspalten:
y y

Kopftabelle Positionen-Tabelle

(1) (n)

Die eigentliche n:m-Beziehungstabelle ist dann die Positionen-Tabelle

81

Beispiele: 1) Bestellungen: KundebestelltArtikel bestellt Bestellungs-Kopf + Bestell-Positionen Somit ergibt sich fr den gesamten Bestellvorgang folgende Tabellenstruktur: Kunde1 nBestellung1 nBestell-Positionenn 1Artikel
konkrete Umsetzung in Tabellen: t_bestellung (id_bestellung, id_kunde, bestelldatum, ) t_bestellpositionen (id, id_bestellung, id_artikel, anzahl)

2) Buchungen: KundebuchtLeistungen (Flug, Hotel, Leihauto, Tagesauflge, ) bucht Buchungs-Kopf + Buchungs-Positionen Somit ergibt sich fr den gesamten Buchungsvorgang folgende Tabellenstruktur: Kunde1 nBuchung1 nBuchungs-Positionenn 1Leistung

3) Anmeldungen / Teilnahmen: Teilnehmer nimmt teil / meldet sich an Event (Veranstaltung, Prfung, ) nimmt teil / meldet sich an Anmelde/Teilnahme-Kopf + Anmelde/Teilnahme-Positionen Teilnehmer1 nAnmeldung/Teilnahme1 nAnmelde/Teilnahme-Positionenn 1Event konkretes Beispiel: Athlet1 nSport-Veranstaltung1 nNennungenn 1Bewerb

82

ER ModellSti
Die Grundlage fr relationale Datenbanken wird damit erstellt. Das Relation-Modell bedeutet das Eintrge nicht doppelt vorhanden sind. y Kunde wird einmal erfasst in einer Tabelle um nachher leichter den Namen zu ndern um Redundanz zu vermeiden. y Skizziere Ansatzweise das ER Modell einer Videothek! 1 Bestellung n n Artikel m Kunde n n n 1 1 1 Bestellposition Arbeiter

Info: Bestellung und Videos kann man nicht direkt zusammen tun Bei N ZU M kommt eine Vermittler Tabelle (z.B. Bestellpositionen) dazu. Eine Bestellung hat viele Positionen. Den Artikel gibt es einmal in vielfacher Ausfhrung aber in der Tabelle gibt es ihn einmal! 1 zu 1 = Wenn man eine Tabelle Mitarbeiter hat 1 Tabelle Public und eine Geheim um vertrauliche Dateien nicht offen zu legen.

Referenzielle Integritt Wenn Abhngigkeiten zwischen Tabellen entstehen dass bei lschen einer Tabelle das Programm das lschen verweigert. Z.B. bei Kunden und Bestellungen kann Kunden Tabelle nicht gelscht werden. Dabei kann man Normalisierungsregeln von 1-6 erstellen. Wieso baut man eine Datenbank nicht irgendwie auf? Das Daten doppelt drinnen sind, Redundanz und dass man irgendwann mal die Datenbank nicht mehr erweitern kann weil alles so verflechtet ist. - Normalformen sollten erfllt sein dann gibt es solche Probleme nicht.

Grundstze des Datenbankentwurfs


y

Mit dem Entity-Relationship-Modell kann die grundlegende Tabellen- und Beziehungsstruktur einer Datenbank strukturiertentworfen und visualisiert werden. das Relationen-Modell ist die tabellarische Darstellung des ER-Modells und die theoretische Grundlage fr das relationale Datenbankmodell. Das fertige Relationen-Modell musseinem Normalisierungsprozess unterworfen werden, um Redundanzen und Dateninkonsistenzen zu vermeiden.Schlielich mssen 83

die Integrittsregeln berprft werden, ebenfalls um Dateninkonsistenzen zu vermeiden.

Das ER-Modell aufstellen


Begriffsdefinitionen: yEigenschaften (Attribute) sind die verschiedenen Felder einer Entitt bzw. spter eines Datensatzes in Access. Der Wertebereich einer Eigenschaft heit Domne. Eigenschaften werden graphisch durch Rechtecke mit abgerundeten Ecken dargestellt, die mit der zugehrigenEntitt oder Beziehung verbunden sind. Beispiel: Vorname, Nachname, Personal-Nr eines Mitarbeiters. yEine Entitt kann ein Objekt, eine Person, ein Begriff oder ein Ereignis sein. Entitten unterscheiden sich durch ihre jeweiligen Eigenschaften. Spter entspricht eine Entitt einem Datensatz in Access.Beispiel: Abteilung Forschung, Mitarbeiter Schmitz, Projekt 1009 yEntittsmengen sind Sammlungen von Entitten mit gleichen Eigenschaften. Eine Entittsmenge entspricht spter einer Tabelle in Access. Beispiel: Alle Abteilungen, AlleMitarbeiter yBeziehungen sind Verknpfungen von Entitten. Eine Beziehung ist von einem Beziehungstyp und kann Eigenschaften haben. Mehrere Beziehungen werden durch die Eigenschaften unterschieden. Graphisch werden Beziehungen durch Rauten dargestellt, die mit den zugehrigen Entitten verbunden werden. Beispiel: Mitarbeiter Schmitz arbeitet an Projekt 1009. y Der Beziehungstyp beschreibt die numerische Zusammenhnge zwischen den einzelnen Elementen einer Beziehung: 0 Keine Zuordnung 1 genau eine Zuordnung n, m viele Zuordnungen Der Beziehungstyp wird in der graphischen Darstellung an den Verbindungslinien der Beziehung notiert. Beispiel: 1 Abteilung besteht aus n Mitarbeiter, n Mitarbeiter arbeiten an m Projekten yBeziehungsmengen sind Sammlungen von Beziehungen gleicher Art zur Verknpfung von Entittsmengen. yEin Primrschlssel ermglicht die eindeutige Identifizierung einer Entitt. Er setzt sich aus einer oder mehreren Eigenschaften zusammen. In der graphischen Darstellung werden Primrschlssel durch Unterstreichung der jeweiligen Eigenschaften angezeigt. Damit sind alle Elemente der folgenden graphischen Darstellung definiert:

84

ER-Modell
Die ER-Modellierung verluft etwa so:

1. Zu Beginn des Datenbankentwurfs mssen die Entitten und Entittsmengen bestimmt werden. 2. Die Beziehungen zwischen den Elementen mssen bestimmt und ihr Typ muss festgelegt werden. 3. Die Eigenschaften zu jedem Element mssen festgelegt werden. Dazu die zugehrigen Domnen. 4. Fr jede Entittsmenge muss ein Primrschlssel festgelegt werden. Vom ER-Modell zur relationalen Tabellenstruktur dargestellt werden relationale Tabellenstrukturen wie folgt: TABELLENNAME (Primrschlssel, Attribut2, Attribut3, ...) In einer zustzlichen Liste werden die zugehrigen Domnen notiert. Beziehungen werden durch identische (und eindeutige) Datenfelddefinitionen in den zugehrigen Tabellen bercksichtigt. Transformationsschritte vom fertigen ER-Modell in eine relationale Tabellenstruktur: 1. Aus jeder Entittsmenge kann eine Tabelle mit Name der Entittsmenge abgeleitet werden. 2. Jede 1:n-Beziehung schlgt sich nieder als identische Datenfelddefinition in den zugehrigen Tabellen. 3. Jede n:m-Beziehung ergibt eine zustzliche Tabelle, die aus den Primrschlsseln der zugehrigen Tabellen im ER-Modell und ggf. weiterer Attribute besteht. Ihr Name muss sinnvoll neu gewhlt werden.

Integrittsregeln
Integritt auf Datenfeldebene Durch die Wahl von passenden Datenfeldtypen und durch die Angabe von Gltigkeitsregeln im Tabellenentwurf

85

von Access sowie durch Nachschlagelisten (z.B. knnen die mglichen Werte mit Kombinationsfeldern in Formularen eingegeben werden) kann die Beschrnkung auf Werte der zugehrigen Domne erfolgen. Integritt auf Datensatzebene Durch Normalisierungsprozee ist die Datenintegritt auf Datensatze bene weitgehend sichergestellt. Integritt auf Beziehungsebene e ine relationale Beziehung besteht automatisch, wenn die Tabellen nach den Grundstzen der relationalen Datenbank erstellt wurden. Das Einfgen oder Lschen von Datenstzen kann zu unerwnschten Ergebnissen fhren, vor allem zu Datenstzen, zu denen die Entsprechenden in einer verknpften Tabelle fehlen. Wird im Beisp iel Projekt 2 gelscht, verbleiben dennoch Eintrge in der Tabelle Projektauswertung zum gelschten Projekt. Eine Problemlsung wird durch referentielle Integritt erreicht. Wenn fr eine relationale Beziehung referentielle Integritt eingerichtet wird, so berprft das Datenbankprogramm vor dem Einfgen bzw. ndern von Datenstzen, ob in den zugehrigen relationalen Beziehungen passende Daten vorhanden sind. Das Aktivieren der referentiellen Int egritt alleine bewirkt schon, dass Datenstze nicht versehentlich gendert oder gelscht werden, wenn die Integritt dadurch verletzt wrde. Es erfolgen dann Meldungen, und die durchgefhrte nderung oder Lschung lsst sich nur dann ausfhren, wenn zuvor alle verknpften Daten ebenfalls gendert bzw. gelscht wurden.

SQL Zimmermann
SELECT t1.name, t2.salary FROM employee AS t1, info AS t2 WHERE t1.name = t2.name ORDER BY DESC/ASC

SELECT: Whlt die Spalte name von der Tabelle t1 und die Spalte salary von der Tabelle t1 FROM: Definiert welche Tabellen verwendet werden sollen, in diesem Fall employee AS: gibt der Tabelle einen Alias, in diesem Fall t1 WHERE: gibt Bedingungen zum Filtern an, man kann vergleiche machen oder nach Buchstaben oder Zahlen Filtern, hier wo alle Felder der Spalte Name in der Tabelle t1 der Spalte Name in der Tabelle t2 entspricht. ORDER BY: hiermit kann man die Sortierreinfolge ndern, ASC ist absteigend , DESC ist aufsteigend.
SELECT * FROM t1 LEFT JOIN (t2, t3, t4) ON (t2.a=t1.a AND t3.b=t1.b AND t4.c=t1.c)

LEFT JOIN: Fgt mehrere Tabellen zusammen, wobei Links die Muttertabelle steht, wenn kein Datensatz in der Tochtertabelle fr die Muttertabelle gefunden wird wird dieser mit den brigen Feldern 0 erstellt ON: Gibt die Bedingungen des Joins an 86

INNER JOIN

INNER JOIN: Wenn keine Datenstze forhanden sind werden auch keine erstellt.
DELETE FROM somelog WHERE user = 'jcole'

Lscht den entsprechenden Datensatz


INSERT INTO tbl_name (col1,col2) VALUES(15,16)

Schreibt einen Wert in einen Datensatz

Programmatischer Zugriff auf MySQL-Datenbanken - Falzberger X


HTTP-Request-Methoden[Bearbeiten] GET ist die gebruchlichste Methode. Mit ihr wird eine Ressource (z. B. eine Datei) unter Angabe eines URI vom Server angefordert. Als Argumente in dem URI knnen also auch Inhalte zum Server bertragen werden. Die Lnge des URIs ist je nach eingesetztem Server begrenzt und sollte aus Grnden der Abwrtskompatibilitt nicht lnger als 255 Bytes sein. (siehe unten) POST schickt unbegrenzte, je nach physikalischer Ausstattung des eingesetzten Servers, Mengen an Daten zur weiteren Verarbeitung zum Server, diese werden als Inhalt der Nachricht bertragen und knnen beispielsweise aus Name-Wert-Paaren bestehen, die aus einem HTML-Formular stammen. Es knnen so neue Ressourcen auf dem Server entstehen oder bestehende modifiziert werden. POST-Daten werden im Allgemeinen nicht von Caches zwischengespeichert. Zustzlich knnen bei dieser Art der bermittlung auch Daten wie in der GET-Methode an den URI gehngt werden. (siehe unten) HEAD weist den Server an, die gleichen HTTP-Header wie bei GET, nicht jedoch den eigentlichen Dokumentinhalt (Body) zu senden. So kann zum Beispiel schnell die Gltigkeit einer Datei im Browsercache geprft werden. PUT dient dazu eine Ressource (z. B. eine Datei) unter Angabe des Ziel-URIs auf einen Webserver hochzuladen. DELETE lscht die angegebene Ressource auf dem Server. Heute ist das, ebenso wie PUT, kaum implementiert bzw. in der Standardkonfiguration von Webservern abgeschaltet, beides erlangt jedoch mit RESTful Web Services und der HTTP-Erweiterung WebDAV neue Bedeutung. TRACE liefert die Anfrage so zurck, wie der Server sie empfangen hat. So kann berprft werden, ob und wie die Anfrage auf dem Weg zum Server verndert worden ist sinnvoll fr das Debugging von Verbindungen. OPTIONS liefert eine Liste der vom Server untersttzen Methoden und Features. CONNECT wird von Proxyservern implementiert, die in der Lage sind, SSL-Tunnel zur Verfgung zu stellen. 87

RESTful Web Services verwenden die unterschiedlichen Request-Methoden zur Realisierung von Web-Services. Insbesondere werden dafr die HTTP-Request-Methoden GET, POST, PUT und DELETE verwendet. WebDAV fgt folgende Methoden zu HTTP hinzu: PROPFIND, PROPPATCH, MKCOL, COPY, MOVE, LOCK, UNLOCK Argumentbertragung[Bearbeiten] Hufig will der Nutzer einer Website spezielle Informationen senden. Dazu stellt HTTP prinzipiell zwei Mglichkeiten zur Verfgung: 1. HTTP-GET: Die Daten sind Teil der URL und bleiben deshalb beim Speichern oder der Weitergabe des Links erhalten. 2. HTTP-POST: bertragung der Daten mit einer speziell dazu vorgesehenen Anfrageart im HTTP-Body, so dass sie in der URL nicht sichtbar sind. Die zu bertragenden Daten mssen ggf. URL-kodiert werden, d. h. reservierte Zeichen mssen mit %<Hex-Wert> und Leerzeichen mit + dargestellt werden. HTTP GET[Bearbeiten] Hier werden die Parameter-Wertepaare durch das Zeichen ? in der URL eingeleitet. Oft wird diese Vorgehensweise gewhlt, um eine Liste von Parametern zu bertragen, die die Gegenstelle bei der Bearbeitung einer Anfrage bercksichtigen soll. Hufig besteht diese Liste aus mit dem Zeichen & getrennten Wertepaaren, die je aus einem Parameternamen, dem Zeichen = und dem Wert des Parameters bestehen. Seltener wird das Zeichen ; zur Trennung von Eintrgen der Liste benutzt.[3] Ein Beispiel: Auf der Startseite von Wikipedia wird in das Eingabefeld der Suche Katzen eingegeben und auf die Schaltflche Artikel geklickt. Der Browser sendet folgende oder hnliche Anfrage an den Server:
GET /wiki/Spezial:Search?search=Katzen&go=Artikel HTTP/1.1 Host: de.wikipedia.org

Dem Wikipedia-Server werden zwei Wertepaare bergeben: Argument Wert search Katzen go Artikel Diese Wertepaare werden in der Form
Argument1=Wert1&Argument2=Wert2

mit vorangestelltem ? an die geforderte Seite angehngt.

88

Dadurch wei der Server, dass der Nutzer den Artikel Katzen betrachten will. Der Server verarbeitet die Anfrage, sendet aber keine Datei, sondern leitet den Browser mit einem Location-Header zur richtigen Seite weiter, etwa mit:
HTTP/1.0 302 Moved Temporarily Date: Fri, 13 Jan 2006 15:12:44 GMT Location: http://de.wikipedia.org/wiki/Katzen

Der Browser befolgt diese Anweisung und sendet aufgrund der neuen Informationen eine neue Anfrage, etwa:
GET /wiki/Katzen HTTP/1.1 Host: de.wikipedia.org

Und der Server antwortet und gibt den Artikel Katzen aus, etwa:
HTTP/1.0 200 OK Date: Fri, 13 Jan 2006 15:12:48 GMT Last-Modified: Tue, 10 Jan 2006 11:18:20 GMT Content-Language: de Content-Type: text/html; charset=utf -8 Die Katzen (Felidae) sind eine Familie aus der Ordnung der Raubtiere (Carnivora) innerhalb der berfamilie der Katzenartigen (Feloidea).

Der Datenteil ist meist lnger, hier soll nur das Protokoll betrachtet werden. HTTP POST[Bearbeiten] Da sich die Daten nicht in der URL befinden, knnen per POST groe Datenmengen, z. B. Bilder, bertragen werden. Im folgenden Beispiel wird wieder der Artikel Katzen angefordert, doch diesmal verwendet der Browser aufgrund eines modifizierten HTML-Codes (method="POST" ) eine POSTAnfrage. Die Variablen stehen dabei nicht in der URL, sondern gesondert im Body-Teil, etwa:
POST /wiki/Spezial:Search HTTP/1.1 Host: de.wikipedia.org Content-Type: application/x -www-form-urlencoded Content-Length: 24 search=Katzen&go=Artikel

Auch das versteht der Server und antwortet wieder mit beispielsweise folgendem Text:
HTTP/1.0 302 Moved Temporarily Date: Fri, 13 Jan 2006 15:32:43 GMT Location: http://de.wikipedia.org/wiki/Katzen

HTTP-Statuscodes[Bearbeiten] 89

Hauptartikel: HTTP-Statuscode Jede HTTP-Anfrage wird vom Server mit einem HTTP-Statuscode beantwortet. Er gibt zum Beispiel Informationen darber, ob die Anfrage erfolgreich bearbeitet wurde, oder teilt dem Client, also etwa dem Browser, im Fehlerfall mit, wo (z. B. Umleitung) bzw. wie (z. B. mit Authentifizierung) er die gewnschten Informationen (wenn mglich) erhalten kann. 1xx Informationen Die Bearbeitung der Anfrage dauert trotz der Rckmeldung noch an. Eine solche Zwischenantwort ist manchmal notwendig, da viele Clients nach einer bestimmten Zeitspanne (Timeout) automatisch annehmen, dass ein Fehler bei der bertragung oder Verarbeitung der Anfrage aufgetreten ist, und mit einer Fehlermeldung abbrechen. 2xx Erfolgreiche Operation Die Anfrage wurde bearbeitet und die Antwort wird an den Anfragesteller zurckgesendet. 3xx Umleitung Um eine erfolgreiche Bearbeitung der Anfrage sicherzustellen, sind weitere Schritte seitens des Clients erforderlich. Das ist zum Beispiel der Fall, wenn eine Webseite vom Betreiber umgestaltet wurde, so dass sich eine gewnschte Datei nun an einem anderen Platz befindet. Mit der Antwort des Servers erfhrt der Client im Location-Header, wo sich die Datei jetzt befindet. 4xx Client-Fehler Bei der Bearbeitung der Anfrage ist ein Fehler aufgetreten, der im Verantwortungsbereich des Clients liegt. Ein 404 tritt beispielsweise ein, wenn ein Dokument angefragt wurde, das auf dem Server nicht existiert. Ein 403 weist den Client darauf hin, dass es ihm nicht erlaubt ist, das jeweilige Dokument abzurufen. Es kann sich zum Beispiel um ein vertrauliches oder nur per HTTPS zugngliches Dokument handeln. 5xx Server-Fehler Es ist ein Fehler aufgetreten, dessen Ursache beim Server liegt. Zum Beispiel bedeutet 501, dass der Server nicht ber die erforderlichen Funktionen (d. h. zum Beispiel Programme oder andere Dateien) verfgt, um die Anfrage zu bearbeiten. Zustzlich zum Statuscode enthlt der Header der Server-Antwort eine Beschreibung des Fehlers in englischsprachigem Klartext. Zum Beispiel ist ein Fehler 404 an folgendem Header zu erkennen:
HTTP/1.1 404 Not Found

HTTP-Authentifizierung[Bearbeiten] Hauptartikel: HTTP-Authentifizierung Stellt der Webserver fest, dass fr eine angeforderte Datei Benutzername oder Passwort ntig sind, meldet er das dem Browser mit dem Statuscode 401 Unauthorized und dem Header WWW-Authenticate. Dieser prft, ob die Angaben vorliegen, oder prsentiert dem Anwender einen Dialog, in dem Name und Passwort einzutragen sind, und bertrgt diese an den Server. Stimmen die Daten, wird die entsprechende Seite an den Browser gesendet. Es wird nach RFC 2617 unterschieden in: Basic Authentication 90

Die Basic Authentication ist die hufigste Art der HTTP-Authentifizierung. Der Webserver fordert eine Authentifizierung an, der Browser sucht daraufhin nach Benutzername/Passwort fr diese Datei und fragt gegebenenfalls den Benutzer. Anschlieend sendet er die Authentifizierung mit dem Authorization-Header in der Form Benutzername:Passwort Base64-codiert an den Server. Digest Access Authentication Bei der Digest Access Authentication sendet der Server zustzlich mit dem WWWAuthenticate-Header eine eigens erzeugte zufllige Zeichenfolge (nonce). Der Browser berechnet den Hashcode der gesamten Daten (Benutzername, Passwort, erhaltener Zeichenfolge, HTTP-Methode und angeforderter URI) und sendet sie im Authorization-Header zusammen mit dem Benutzernamen und der zuflligen Zeichenfolge zurck an den Server, der diese mit der selbst berechneten Prfsumme vergleicht. Ein Abhren der Kommunikation ntzt hier einem Angreifer nichts, da sich durch die Verschlsselung mit dem Hashcode die Daten nicht rekonstruieren lassen und fr jede Anforderung anders lauten. Mgliche Aus ahlfelder[Bearbeiten]
y y y y y y y y y

einzeiliges Texteingabefeld Passwortfeld mehrzeiliges Texteingabefeld Auswahllisten (Dropdown-Liste) Radiobuttons (Auswahl einer Option aus mehreren) Checkboxen (Kstchen zum Abhaken) Felder zum Hochladen von Dateien versteckte Formularfelder (z.B. fr Session-IDs) Klick-Buttons

Jedes Formular enthlt einen Button zum Absenden und einige auch einen Button zum Zurcksetzen der Angaben.

Ver endung[Bearbeiten] Neben Suchmaschinen und Webmailern gibt es noch die Onlineshops, die Formulare fr die Korrektur der Adress- und Kontodaten anbieten. Auch werden Webformulare fr Bestellung von Newslettern, fr die Personalisierung oder das Hochladen von Dateien eingesetzt. Formulare werden eingesetzt, um Kommunikation ohne eine Angabe einer E-Mail-Adresse durchzufhren. Dabei kann Spam zum Beispiel durch CAPTCHAs ausgeschlossen werden.

91

Beispiel[Bearbeiten]

Beispielausgabe eines einfachen Webformulars. Der folgende HTML-Quelltext bindet eine Wikipedia-Suche in die entsprechende Stelle der Webseite ein.
<formaction="http://de.wikipedia.org/wiki/Spezial:Suche" > <fieldset> <legend>Suchen</legend> <inputtype="text"name="search"value=""/> <inputtype="submit"name="go"value="Artikel"/> <inputtype="submit"name="fulltext"value="Volltext"/> </fieldset> <form>

Weiteres: <?php //Zum Datenbankserver verbinden $dbc_id = mysql_connect('193.171.4.200', 'kurs','borg16'); if ($dbc_id == false) die ("Verbindung zum Datenbankserver fehlgeschlagen");

//Datenbank ausw&auml;hlen if (mysql_select_db ('db_eg_sportborg', $dbc_id) == FALSE) die ("Verbindung mit der Datenbank ist fehlgeschlagen"); else echo "OK"; //Benutzername und Kennword &uuml;berpr&uuml;fen

$username = $_POST['username']; $pwd = $_POST['pwd']; 92

//Ueberpruefen ob der User in der DB ist $stmt= "SELECT account_lid, e.`account_pwd` FROM egw_accounts e Where account_lid = '".$username."'"; if (!$result=mysql_query($stmt)) die ('Falscher benutzername'); else echo "OK2"; ?>

93

Novell-Spezial
Fernverwaltung (Kleckner) X

iPrint (Winkler)
Novell iPrint ist ein Dienst, mit dem es mglich ist ber das Internet auf jedem Drucker zu drucken. Die verfgbaren Drucker werden im Webbrowser angezeigt. Wenn ein Drucker ausgewhlt wird, werden die zugehrigen Treibern und der iPrint Client automatisch heruntergeladen und installiert. Obwohl iPrint an NDPS gebunden ist, ist kein Novell Client notwendig, sondern lediglich ein iPrint Client. iPrint basiert auf dem IPP (Internet Printing Protocol). Vorteile von IPP: y Es benutzt das IP-Protokoll y Es untersttzt ein breites Netz an Anbietern y Es funktioniert lokal, aber auch ber das Internet y Es untersttzt gesicherte Verbindungen (SSL, TLS) y Es funktioniert auf den meisten gngigen Plattformen (Windows, Novell, Macintosh, Linux, UNIX etc.) Vorteile von iPrint: y Drucker-Treiber Download und Installation y Webbrowser basierendes Druck-Interface y Vernderbare Benutzeroberflche 94

y y

Sicherer Datentransfer eDirectory Einbindung fr sicheres Drucken

iPrint besteht aus verschiedenen Komponenten.

Auf dem Host-Computer (Server): y IPP Server: Das Netzwerk-Frontend von iPrint. Leitet die Druckauftrge von Clients an den Print Manager weiter. y Print Manager: Verwaltet die Printer Agents. Verteilt die Druckauftrge vom IPP Server auf die Printer Agents. Er regelt auch die Zugriffsberechtigungen. y Printer Agent: Jeder Drucker bentigt einen Printer Agent, der die Druckauftrge verwaltet. Er kommuniziert mit dem Drucker ber das iPrint Gateway. y iPrint Gateway: Das Gateway ist das Backend, das die verarbeiteten Druckauftrge an die Drucker weiterleitet. y Driver Store: Stellt dem Client bei der Installation eines Druckers die Treiber zur Verfgung Auf dem Client-Computer: y Der iPrint Client sorgt fr die Kommunikation zwischen lokalem Betriebssystem und dem Server. Automatische Druckerinstallation (mit NPDS Manager) RPM-Konfiguration 3 Kstchen: Workstation nicht updaten, falls ein Treiber nicht funktioniert so kann man es aushacken Verschiedene Drucker die alte und neue Revisionen haben Eine Meldung soll erscheinen, wenn eine Aktualisierung stattgefunden hat. Bei mehreren Druckern kann man einen als Default auswhlen Printers to remove Drucker knnen entfernt werden, ohne dass man sich direkt beim Drucker befindet. Printer Security Low: Nur client applications werdengefragt Medium: ber NDPS-Manager (Installationsstandard) High: Alles was im NDPS Manager eingetragen wird und druckmig gestattet ist 95

Weg: iPrint Manage printer Access control Security Order of print jobs Die Reihenfolge der Druckauftrge kann bestimmt werden Weg: Printer control Job Promote (Einstellungen knnen vor- oder zurckgesetzt werden) Print Service Manager Man kann theoretisch an einem beliebigen Ort, sofern der Drucker ber eine InternetVerbindung verfgt, drucken. Darum braucht der Drucker eine URL. Vorgang: NDPSM NDPS_Manager_Object_Name /dnsname=NDPS_Manager_DNS_Name IPP (Internet Printer Protocol) muss vorhanden sein, damit ein Drucker ber jede Website verfgbar ist.IPP muss im iManagerbzw. im Druckerkonfiguriert werden. Man kann eine Art Lageplan von Druckern in einem Gebude erstellen und die Drucker per Klick ansprechen. iPrint Map Designer Bildformate JPEG,GIF,BMP knnen verwendet werde. Mit einem map tool knnen Zuordnungen oder Gestaltungen durchgefhrt werden (Zugriff auf eine Website mit Port 631). Es werden die verfgbaren Drucker auf einer Seite angezeigt

96

Ifolder (Purgaj)
iFolder Novell iFolder ist ein Produkt der Firma Novell. Mit den zu iFolder gehrenden Programmen ist es auf einfache Weise mglich, Dateien auf mehreren Computern synchron zu halten. Ist ein iFolder-System aufgesetzt, ermglicht es den Nutzern das Arbeiten mit gemeinsam genutzten Verzeichnissen: Markiert ein Nutzer auf seinem Computer ein Verzeichnis als ein iFolder-Verzeichnis, wird dies dem zentralen Server mitgeteilt, der daraufhin eine eigene Kopie erstellt. Sobald der Nutzer nun in diesem iFolder-Verzeichnis etwas ndert, werden diese nderungen mit der Kopie auf dem Server synchronisiert. Der Nutzer kann zustzlich andere Nutzer einladen, ebenfalls auf das Verzeichnis zuzugreifen. Auf deren Computern wird dann ebenfalls eine Kopie des Verzeichnisses abgelegt, das alle nderungen mit dem Server abgleicht. Somit hat jeder Nutzer, welcher Zugriffsrechte fr das Verzeichnis hat, die gleichen Dokumente und den gleichen Versionsstand wie die anderen Nutzer. Darber hinaus ist auch der Zugriff ber eine Web-Schnittstelle mglich, um auch dann Zugriff zu gewhren, wenn der Nutzer sich an einem Computer ohne einen iFolder-Client befindet.Bei Netware 6.5 ist der iFolder-Server 2 dabei, dieser kann einen Ordner mit einem anderen Ordner im Netz abgleichen. Fr iFolder kann IIS verwendet werden, doch die bessere Lsung ist Apache iFolder 3 gibt es zurzeit fr Linux. Dort steht shared iFolder zur Verfgung man hat die Mglichkeit einen Folder gemeinsam zu nutzen. Nicht auf Netware-Servern mglich Installation von iFolder unter SLES YaST > Software Repositories http server name : download.opensuse.org server directory : /repositories/Mono:/UIA:/iFolder/MonoSLE_11/ 2) YaST > Sofware Management und folgende Pakete installieren apache2, ifolder-server, ifolder-server-plugins 3) SSL fr Apache aktivieren Im Terminal: su - # switch to root a2enmod ssl # SSL-Modul fr Apache 2 aktivieren cp /etc/apache2/vhosts.d/vhosts.ssl.template vhosts-ssl.conf # Kopieren der Template-Datei um SSL-Konfiguration zu benutzen Jetzt muss man das kopierte Template bearbeiten: Mit einem Editor seiner Wahl ffnet man die vhost-ssl.conf und sucht die Zeile mit 'SSLCertificateFile...' und ndert sie zu --> SSLCertificateFile /etc/ssl/servercerts/servercert.pem Dasselbe macht man mit der Zeile: 'SSLCertificateKeyFile' -->SSLCertificateKeyFile /etc/ssl/servercerts/serverkey.pem (Beide pem-Dateien wurden bei der Sles-Installation erstellt. Wenn diese Dateien fehlen, muss man sie manuell erstellen.) Apache stoppen - service apache2 stop Im Terminal noch - Simias config 97

- iFolder admin config - iFolder web config eingeben und den Schritten folgen Alle .conf-Dateien in den Ordner /etc/apache2 kopieren Apache-Dienst wieder starten: service apache2 start iFolder wird ber die iFolder Managment Console konfiguriert https://server_adresse/iFolderServer/Admin

Global Settings>General Information

Was darf der User, was darf er nicht Policies

98

Probleme kann es geben, wenn man mit mehreren iFolder-Usern angemeldet ist und gleichzeitig mehrere Threads zum Apache hat. Es sind 312 Threads erlaubt Die Threads werden in der http.conf konfiguriert User: Informationen des Users:

Zugriff auf iFolder fr Benutzer aktivieren 1. Man meldet sich beim Abschnitt "User Management" an 2. Man sucht mit der "erweiterten Suche" nach allen Benutzern auf dem Server, die soeben iFolder installiert hatten. 3. Man aktiviert das Kontrollkstchen neben allen Benutzern, die ein iFolder-Konto erhalten sollen und klickt dann auf "Enable", neben "Checked Users as iFolder Users". Falls alle Benutzer ein iFolder-Konto erhalten sollen, klickt man lediglich auf die Schaltflche "Enable" neben "All Listed Users as iFolder Users". 99

NetStorage NetStorage erlaubt einen leichten Zugriff auf Dateien am Server ber einen Web-Browser. Um NetStorage zu konfigurieren, macht man folgende Schritte: 1. iManager ffnen 2. Virtual Office Managment --> Services Administration -->NetStorage. Dann kommt folgendes Fenster:

3. "Enable" ankreuzen 4. Darunter whlt man den Server aus, auf dem NetStorage installiert ist. a. NetStorage ist am aktuellen Server installiert b. Man gibt die IP-Adresse oder den DNS-Namen des Servers ein c. spezifische URL eingeben fr NetStorage 100

Zugriff auf NetStorage-Verzeichnisse Im Browser eingeben: https://DNS_oder_IP_Adresse:443/NetStorage/ Nun hat man Zugriff auf die freigegeben Verzeichnisse:

Im Browser-Fenster erscheinen die Ordner und Dateien des Homeverzeichnisses. Als Dateioperationen sind Lschen, Umbenennen, Heraufladen und Herunterladen mglich. Neue Ordnerknnen ebenfalls erstellt werden

101

Verwaltungsobjekte (Frailer)
Objektklassen: Container(kann andere beinhalten) == Organisationen, Organisatorische Einheit. und Blattobjekte(keine weitere in sich). == Kann nichts beinhalten Tree Root (Man kann nicht alle Eigenschaften verndern => Nicht container). Tree Container (gibt es nur einmal auf dem Server wo die erste installation stattgefunden hat). == Muss Organisation beinhalten und knnte Country und alias Objekte(Kann auf Tree und O zeigen) beinhalten. !! Wenn man nach Root fragt ist Tree Root gemeint !! Man kann mit DS Merch den Treenamen ndern

Trusty => Zugriffsberechtigter Treeobjekt Berechtigungen gelten nur fr angemeldete Benutzer. Container: y Domain(OO) => Fr bessere Organisation; Container Objekt y License Container => Container Object y Organisation => In einem Baum muss mindestens eine davon existieren y Organisational Unit => y Sec Container => Beinhaltet verschlsselte Objekte y Role Based Service (Container) RBS => Man kann hier rollen definieren. Man sieht Menpunkte und kann diese durchfhren und andere nicht weil er sie nicht sieht. Z.B. Druckeradministratoren drfen Objekte anlegen und verwalten. Das Objekt wirkt Gruppen-Artik aber ist ein Container. Blattobjekte: y Aliasobjekt => Alias kann auf einen Container zeigen oder was auch immer y Applikation Objekt => kann Applikationen (Ausfhrbare Anwendungen die ein Ereignis auslsen) y Directory Map => Wenn man z.B. ein Programm verschiebt also sind alle Pfade falsch. Ein Map Objekt kann alle diese Pfade verwalten. y Gruppe => Sie besitzt Eigenschaften wie Mitgliederliste diese Mehrwertig ist (beinhaltet z.B. Namen) y LDAP Group/Server => werden automatisch erstellt y License Certificate => Beinhaltet Lizenzen y NDPS Broker/Manager/Printer => Neues Konzept des Druckens; Broker stellt Druckertreiber zur Verfgung; Manager auch und kontrolliert Broker; Printer ist ein gesteuerter Drucker y Printer => Er geht nach dem alten Warteschlangen verfahren. y Print-Server => wurde durch den Broker ersetzt. 102

y y

y y y y y y y

Netware Server => Der Server taucht auch im Baum auf. Der Server und seine Volumes tauchen im Baum auf. Er beinhaltet Volumes und ist trotzdem Blattobjekt. Organisational Role => Gruppenartiges Blattobjekt. Man verwendet es um administrative Ttigkeiten im Baum zu verwalten whrend die Gruppe fr Dateien zu administrieren. Die Mitglieder hier heien Trger Profile => Ist ein Objekt dass fr die Anmeldung eines Users zur Verfgung stehen kann. Es beinhaltet ein Login-Skript (z.B. Autostart) Es kann hier fr eine Gruppe kein Login-Skript geben weil sich keine Gruppen anmelden knnen. Sie gilt nur fr mehrere gleichzeitig. Unknown => Nur wenn das System nicht wei wie das System ein Objekt zuordnen soll. User => Der der sich anmeldet Volume => Man sieht darin die Struktur ist aber ein Blattobjekt. Workstation Objekt => Ist ein Computer Apple filing Protocoll Print Queue => Nicht NDPS Template => Vorlage, Das Objekt wird definiert. Benutzervorgaben. Es steht nicht der Name Kennwort weiter aber es steht dass er eins haben muss.

Fluss der Berechtigungen Identifizieren Es wir ber Vererbung weitergegeben. y Kontext Das festlegen des Containers in dem das Objekt sich befindet. Bei Anmeldung ist es das Benutzerobjekt. Wenn man den Benutzernamen eingibt gibt man den Namen eines zugeordneten Benutzerobjekts ein. Dann ist die Frage in welchem Kontext (wo es liegt) es sich befindet. Der Kontext ist sehr sehr wichtig. Man muss ihn kennen. Auer beim Bindery Objekt. Alle Objekte hier da muss man keinen Kontext angeben. Wo befindet sich das Blattobjekt? Kontext zeigt dorthin. Bei der ADS ist es nicht mglich 2 gleichnamige Benutzer zu haben. Bei der Netware gibt es das schon sofern sie nicht im selben Container sitzen. LDAP Anmeldung(Kontextlose Anmeldung) gibt es hier nicht. Also ist bei LDAP das nicht mglich.
y

Naming Convention Man muss angeben wie man das findet. Jedes Objekt bekommt 1 oder 2 Buchstaben zugeordnet je nach Art. Man kann ohne Typangabe arbeiten wenn man kein Country Objekt hat. Als Kennzeichen fr einen vollstndigen Namen wird ein fhrender Punkt verwendet. Novell erlaubt deshalb keine Punkte im Name. 103

Im Dos bewegt man sich von Wurzel zu Blatt. Im eDirectory von Blatt zu Wurzel. Der Punkt vorne ist das Kennzeichen dass es bis zur Wurzel geht. Bzw. bis zum Country. Ein Name ohne Punkt ist ein relativer Name. Relativ heit immer auf den aktuellen Kontext bezogen. Wenn man in O borg ist und man sieht den Container Roschger dann kann man ihn ohne Punkt angeben. Das ein relativer Name. Der Kontext wird durch die Anmeldung festgelegt. Und der Kontext wird erstellt durch klicken auf den Container in ConsoleOne. eGuy ist hier die Suchfunktion.
y y y y

C= Countryname O= Organisation C= blattObjekt OU= Organisationseinheit

104

Benutzer (Flock)X

Attributobjekt (Dajki) X

105