Адміністрування ПС і комплексів / Опорні конспекти / Модуль 1 / 1.6-к Введення клієнтів у домен Windows Server
.pdf
Тема 1.6 Введення клієнтів у домен Windows Server.
Мета: ознайомити із введенням клієнтських комп’ютерів у домен та наданням доступу до віддалених робочих столів і додатків.
Перелік питань для вивчення.
1.Введення в домен клієнта Windows XP.
2.Введення в домен клієнта Windows 7.
3.Загальний доступ до мережевих ресурсів сервера.
4.Профілі користувачів.
5.Локальні профілі користувачів.
6.Переміщувані профілі користувачів.
7.Обов'язкові профілі користувачів.
8.Віддалені Робочі столи та додатки.
9.Віддалене керування Робочим столом.
10.Установка служби віддалених Робочих столів.
11.Налаштування служби віддалених Робочих столів.
12.Розгортання віддалених додатків.
1.Введення в домен клієнта Windows XP.
Операційна система Windows XP на сьогодні ще достатньо поширена.
Основна причина цього - недостатня потужність комп'ютерів, яка не дозволяє викорис-
товувати на них новіші системи, наприклад Windows 7 або Windows 8.
Інша причина - несумісність старого обладнання з новими операційними системами.
Для підключення комп'ютера до домену необхідно спочатку виконати налаштування його
мережевої карти: вказати IP-адресу та маску підмережі, IP-адресу шлюзу та DNSсервера.
Для цього на Панелі керування відкриваємо групу «Мережеві підключення». Вибираємо необхідне підключення, а з контекстного меню - пункт «Властивості»
(рис. 1.6.1).
Рис. 1.6.1 Властивості мережевого підключення.
Виділяємо пункт «Протокол Інтернету (TCP/IP)» і натискаємо кнопку «Властивості». Відкриється вікно, в якому необхідно задати необхідні мережеві параметри (рис. 1.6.2).
Рис. 1.6.2 Вікно властивостей протоколу TCP/IP.
Далі за допомогою значка «Система» на Панелі керування відкриваємо вікно «Властивості системи». Це вікно також можна відкрити з контекстного меню значка «Мій ком- п'ютер», вибравши пункт «Властивості». В даному вікні переходимо на вкладку «Ім'я
комп'ютера» та натискаємо кнопку «Змінити». У вікні, що відкрилося, вказуємо ім'я доме-
ну та комп’ютера (рис. 1.6.3).
Рис. 1.6.3 Вибір домену та надання імені комп’ютеру.
Ім'я комп'ютера вибирається так, щоб можна було легко визначити його місцезнаходження. Наприклад, comp-1-27 можна розшифрувати як «Комп'ютер на першому поверсі в кімнаті № 27».
Після натиснення кнопки «OK» система дасть запит щодо ім’я та паролю адміністратора домену. Якщо введені дані будуть вірними, після декількох секунд ми опинимося в до-
мені, про що свідчитиме поява відповідного повідомлення.
Для повноцінної роботи з ресурсами домену потрібно перезавантажити комп'ютер і пройти авторизацію.
2. Введення в домен клієнта Windows 7.
Для виконання мережевих налаштувань системи Windows 7 необхідно на Панелі ке-
рування або на Панелі задач відкрити Центр керування мережами та загальним доступом.
Далі наПанелі керування або за допомогою значка «Мій комп'ютер» необхідно відкрити вікно «Властивості системи», вибрати «Додаткові параметри системи», відкрити вкладку «Ім'я комп'ютера» та натиснути кнопку «Ідентифікція» (рис. 1.6.4).
Рис. 1.6.4 Ідентифікація комп’ютера в мережі.
Потім, виконуючи вказівки Майстра, необхідно ввести комп'ютер у домен, а після перезавантаження та авторизації почати користуватися ресурсами домену.
3. Загальний доступ до мережевих ресурсів сервера.
Однією з функцій, яку необхідно виконувати системному адміністратору, є організація доступу до мережевих ресурсів сервера: загальних папок, принтерів та інших пристроїв.
Використовуючи можливості Active Directory, дуже легко визначити права окремого
користувача, групи або підрозділу навіть при великій кількості об'єктів.
Переглянути список доступних загальних ресурсів сервера можна в консолі «Ке-
рування комп'ютером» (рис. 1.6.5), запустивши її з меню «Адміністрування».
Рис. 1.6.5 Список загальних ресурсів комп'ютера.
Спочатку в папці «Служебные программы - Общие папки - Общие ресурсы»
будуть показані ресурси локальної системи. Для підключення до віддаленої системи потрібно в пункті «Керування комп'ютером (локальним)» виконати команду контекстного меню «Підключитися до іншого комп'ютера».
Для надання загального доступу до ресурсів сервера необхідно виконати
наступні дії:
в контекстному меню файлового менеджера вибрати пункт «Властивості»;
перейти на вкладку «Доступ» (рис. 1.6.6);
Рис. 1.6.6 Відкриття загального доступу до мережевої папки.
натиснути кнопку «Загальний доступ» або «Розширене налаштування»;
встановити перемикач в положення «Відкрити загальний доступ для цієї папки»;
перейти на вкладку «Безпека» або натиснути кнопку «Розширене налаштування»;
надати необхідні права доступу для даного загального ресурсу.
4. Профілі користувачів.
Після входу в домен користувач бачить свій робочий стіл та інші об’єкти робочого середовища з відповідними налаштуваннями. За налаштування параметрів робочого середови-
ща відповідає так званий профіль користувача.
Профіль користувача зберігається в системному реєстрі та спеціальних папках операційної системи. Він містить величезну кількість налаштувань і даних користувачів.
Основне призначення профілю користувача - розмежування налаштувань і даних для різних користувачів.
5. Локальні профілі користувачів.
Локальні профілі користувачів – це профілі, які зберігаються на тому комп'ютері,
з яким безпосередньо працює користувач.
В системах Windows XP та Windows Server 2003 локальні профілі користувачів зберігаються в наступній папці:
c:\Documents and Settings
В системах Windows 7 та Windows Server 2008 R2 вони знаходяться за наступним шляхом:
c:\users
Якщо користувач входить в систему вперше, вона створює для нього профіль шляхом ко-
піювання профілю «Користувач за замовчуванням (Default User)». Ім'я нового профілю формується на основі імені користувача.
Всі зміни робочого та програмного середовища користувача зберігаються в локальному профілі користувача. Для кожного користувача існують окремі профілі, тому всі параметри індивідуальні.
Робоче середовище користувача розширюється за рахунок профілю «Всі користувачі (All Users)». Цей профіль вносить додаткові налаштування в робоче середовище користувача.
За замовчуванням тільки члени групи Адміністратори можуть вносити зміни в профіль
Всі користувачі (All Users).
Локальний профіль користувача є локальним в повному розумінні. Якщо користувач вперше входить в іншу систему, налаштування його робочого середовища не переміщуються,
асистема створює для користувача новий локальний профіль.
6.Переміщувані профілі користувачів.
Якщо користувач працює на декількох комп'ютерах, для нього можна створити пере-
міщуваний профіль.
Використання переміщуваного профілю користувача дає відчутні переваги:
дані користувача та налаштування його робочого середовища зберігаються на сервері. Якщо клієнтський комп’ютер вийде з ладу, користувач не втратить свої дані та зможе продовжити роботу на іншому комп’ютері в звичному робочому середовищі;
профіль переміщується разом з користувачем. Користувач може працювати в одному й тому ж робочому середовищі на будь-якому комп’ютері.
Для використання переміщуваного профілю необхідно на сервері створити папку
з повним загальним доступом, наприклад:
\\server\profiles
У вікні властивостей облікового запису користувача необхідно вказати шлях до цього
переміщуваного профілю в такому форматі:
\\server\profiles\%Username%
Замість змінної % Username% система автоматично підставить ім'я входу користувача.
Якщо користувач домену з переміщуваним профілем вперше входить у систему на будь-якому комп’ютері, на цьому комп’ютері система створює локальний профіль даного користувача, а на сервері автоматично створюється пуста папка за наступним шляхом:
\\server\profiles\ім’я користувача
При виході користувача із системи його локальний профіль копіюється на сервер в
папку переміщуваного профілю:
\\server\profiles\ім’я користувача
Під час наступного входу користувача в систему на будь-якому комп’ютері його перемі-
щуваний профіль копіюється з сервера на даний комп’ютер.
Якщо користувач входить або виходить із системи, з якою працював раніше, то із сервера або на сервер копіюются тільки змінені файли. Це суттєво зменшує навантаження на мережу.
Необхідно зазначити, що створений операційною системою переміщуваний профіль
доступний тільки тому користувачу, для якого він був створений.
Для відкриття папки з переміщуваним профілем системний адміністратор повинен оголосити себе власником папки та налаштувати відповідні права доступу.
Це незручно, адже вказані дії потрібно повторювати для кожного створеного переміщу-
ваного профілю.
Для полегшення доступу до переміщуваних профілів адміністратор може скориста-
тися груповою політикою.
Для цього на клієнтському комп'ютері необхідно виконати наступні дії:
за допомогою команди gpedit.msc запустити «Редактор локальної групової політики»;
відкрити розділи «Конфігурація комп’ютера» - «Адміністративні шаблони» – «Система» – «Профілі користувачів»;
ввімкнути параметр «Додає групу безпеки ”Адміністратори” до переміщуваних профілів користувача».
Це дозволить системним адміністраторам безперешкодно відкривати папки з переміщу-
ваними профілями.
Для полегшення роботи з користувачами системний адміністратор може використати так званий попередньо налаштований профіль користувача.
Для цього на сервері або на локальному комп’ютері потрібно створити та налаштувати
профіль еталонного користувача, а потім цей профіль скопіювати на сервер в папку переміщуваного профілю.
Копіювання профілю необхідно проводити засобами операційної системи, для цього не можна використовувати провідник Windows або файлові менеджери.
Призначення попередньо налаштованого профіля користувача наступне - при
входженні в систему користувачі отримують готові налаштування свого робочого се-
редовища.
Необхідно пам’ятати про деякі проблеми та обмеження щодо використання пере-
міщуваних профілів:
копії переміщуваних профілів займають місце на дисках клієнтських комп'ютерів;
під час копіювання профілів створюється додаткове навантаження на мережу;
використання переміщуваних профілів вимагає приблизно однакової апаратної та про-
грамної конфігурації клієнтських комп’ютерів.
7. Обов'язкові профілі користувачів.
Обов'язковий профіль не дозволяє користувачам змінювати своє робоче середовище.
Точніше, під час роботи користувач може внести зміни, але при виході із системи вони не зберігаються.
Обов'язкові профілі зручні в тих ситуаціях, коли потрібно, щоб зміни, які вніс один користувач, не вплинули на середовище інших користувачів.
Щоб профіль користувача став обов'язковим, необхідно просто перейменувати файл профілю Ntuser.dat на Ntuser.man
Це прихований файл, тому для його відображення в файловому менеджері необхідно ввімкнути режим перегляду прихованих файлів і папок.
Після перейменування даного файлу переміщуваний або локальний профіль стане обов'язковим.
8.Віддалені Робочі столи та додатки.
Вбагатьох випадках користувачам необхідно організувати роботу з програмами на від-
даленій системі або підключитися через Інтернет до ресурсів внутрішньої мережі.
Операційна система Windows Server 2008 R2 надає таку можливість.
Інструменти віддаленого керування потрібні й системному адміністратору.
Не покидаючи робочого місця, він може на віддаленій системі запустити програму, змінити
налаштування, діагностувати та виправити проблему, створити документ, опрацювати дані.
Одним із стандартних інструментів віддаленого керування Windows є RDP (Remote
Desktop Protocol – протокол віддаленого Робочого столу).
Користувач, який підключається до віддаленого комп'ютера по RDP, отримує практично
ті ж самі можливості, що й під час роботи в локальній системі: доступ до встановлених програм,
дисків, принтерів, звукових та інших пристроїв.
Він керує Робочим столом віддаленої системи, а фізично знаходиться далеко від нього.
Всі налаштування проводяться в звичайному візуальному режимі.
Найголовніше те, що в цьому випадку потужність клієнтського комп'ютера ролі не грає, адже всі дії проводяться на віддаленій системі, а комп'ютер користувача просто виводить результат на екран.
Підключення по RDP підтримують більшість операційних систем Windows та Unix.
В серверних і клієнтських системах Windows підтримуються два режими віддаленого доступу:
віддалене керування Робочим столом - ним користуються адміністратори для відда-
леного керування серверами та комп'ютерами з метою усунення неполадок або налаштування;
служби віддалених Робочих столів (Remote Desktop Services, RDS) - даний
режим призначений для підключення користувачів до віддаленого Робочого столу або до додатків (програм).
Необхідно зазначити, що в попередніх версіях Windows служба віддалених Робочих столів називалася сервером терміналів.
9.Віддалене керування Робочим столом.
Врежимі віддаленого керування Робочим столом Windows Server 2008 R2
підтримує тільки два одночасних RDP-підключення, до того ж не обривається локальне.
Така робота не потребує додаткового ліцензування.
Щоб дозволити віддалене керування Робочим столом, необхідно у вікні Диспет-
чера сервера перейти до посилання «Налаштувати віддалений робочий стіл» або відкрити Панель керування, вибрати «Система та безпека» - «Система» та клацнути кнопкою миші по посиланню «Налаштування віддаленого доступу».
В результаті з'явиться вікно «Властивості системи», відкрите на вкладці «Відда-
лений доступ» (рис. 1.6.7).
Рис. 1.6.7 Дозволяємо підключення до віддаленого Робочого столу в Windows Server 2008 R2
В області «Віддалений робочий стіл» потрібно встановити перемикач в одне з
двох положень:
дозволяти підключення від комп'ютерів з будь-якою версією віддалено-
го робочого столу (небезпечніше). Це дозволить підключатися з клієнтських ком- п'ютерів, які працюють під керуванням старих операційних систем Windows або систем Unix, які не підтримують нову версію протоколу RDP;
дозволяти підключатися тільки з комп'ютерів, на яких працює віддалений робочий стіл з перевіркою достовірності на рівні мережі. Цей пункт
вибирають, якщо в мережі є тільки системи Windows 7 або Windows Server 2008 R2.
Натиснувши кнопку «Вибрати користувачів», потрібно вказати облікові записи,
яким дозволено підключатися віддалено.
Адміністратор, як правило, вже має віддалений доступ.
Крім того, необхідно надати дозвіл користувачам віддаленого робочого столу на вхід в систему через службу віддалених робочих столів.
Для цього на сервері необхідно запустити Редактор локальної групової політи-
ки, виконавши команду gpedit.msc та відкрити наступні пункти:
Конфігурація комп'ютера;
Конфігурація Windows;
Параметри безпеки;
Локальні політики;
Призначення прав користувача;
Дозволити вхід в систему через службу віддалених робочих столів.
В останньому пункті необхідно додати групу «Користувачі віддаленого робочого столу» або окремих користувачів, яким потрібен віддалений доступ.
Для підключення до віддаленої системи сервера в головному меню клієнта необ-
хідно вибрати наступні пункти:
«Всі програми» - «Стандартні» - «Підключення до віддаленого робочого столу».
У вікні, яке відкриється (рис. 1.6.8), потрібно ввести ім'я або IP-адресу віддаленої системи та в декількох вкладках налаштувати параметри підключення:
розмір екрану;
глибина кольорів;
локальні ресурси, які будуть підключені під час сеансу;
інші параметри.
Щоб не вводити параметри сеансу кожного разу, їх можна зберегти, натиснувши відповідну кнопку (рис. 1.6.8).
Рис. 1.6.8 Програма підключення до віддаленого Робочого столу
В процесі підключення необхідно вказати пароль облікового запису, який використовується для входу у віддалену систему та прийняти сертифікат сервера.
Після цього ми отримаємо доступ до віддаленого Робочого столу.
10. Установка служби віддалених Робочих столів.
Режим служби віддалених Робочих столів вимагає додаткового ліцензування.
Він призначений для віддаленої роботи користувачів із додатками, тобто, встановленими програмами на сервері.
Для використання цього режиму необхідно за допомогою Диспетчера сервера встано-
вити роль «Служби віддалених Робочих столів».
При встановленні даної ролі потрібно вибрати необхідні служби залежно від призначення
сервера. |
віддалених робочих столів» |
Як мінімум, слід вибрати служби «Вузол сеансів |
|
і «Ліцензування віддалених робочих столів». |
|
Сервер, на якому працює служба віддалених Робочих столів, обов’язково повинен |
|
входити в домен. |
рекомендується встановлювати |
З точки зору безпеки та навантаження дану роль не |
|
на контроллері домену. |
Робочих столів» необхідно до- |
Під час встановлення ролі «Служби віддалених |
|
тримуватися вказівок майстра.
Необхідно зазначити, що на сервер спочатку рекомендується встановлювати програми, з
якими будуть віддалено працювати користувачі, а потім роль «Служби віддалених Ро-
бочих столів», це зніме питання сумісності.
Крім того, слід визначити режим ліцензування.
Підтримується два типи ліцензій:
«На користувача»;
«На пристрій».
Упершому випадку до служби віддалених Робочих столів можна підключатися з необмеженого числа комп’ютерів, ліцензії видаються на кількість користувачів.
Удругому випадку ліцензії видаються на кількість комп’ютерів.
Щоб сервер підтримував обидва варіанти, слід вибрати тип ліцензії «На користу-
вача».
Якщо ліцензій поки що немає, можна вибрати пункт «Налаштувати пізніше», а потім
повернутися до ліцензій після установки ролі.
Необхідно зазначити, що служби віддалених Робочих столів можуть працювати 120 днів в тестовому режимі, після чого їх необхідно ліцензувати.
Після вибору типу ліцензії необхідно вказати, яким групам користувачів буде
наданий доступ до служби віддалених Робочих столів.
Для віддалених підключень краще створити окрему групу, в яку потрібно додати всіх користувачів служби віддалених Робочих столів, це спростить адміністрування.
Після закінчення установки ролі «Служби віддалених Робочих столів» потрібне
перезавантаження сервера, після якого з'явиться вікно з підсумковою інформацією про установку
та виявлені при цьому помилки.
11. Налаштування служби віддалених Робочих столів.
Налаштування служби віддалених Робочих столів проводиться в однойменному вузлі у Диспетчері сервера.
Це можна також зробити за допомогою Головного меню:
«Пуск» – «Адміністрування» - «Служби віддалених робочих столів»
або в командному рядку виконати наступну команду: tsconfig.msc
Починати потрібно зі служби ліцензування.
Якщо сервер ліцензій не був налаштований при установці, його потрібно активізу-
вати. Відкриваємо «Диспетчер ліцензування віддалених робочих столів», вибира-
ємо в списку назву свого сервера, а потім в контекстному меню - пункт «Активувати сер-
вер». Запуститься майстер активації сервера, в якому потрібно вибрати метод з'єднання з сервером Microsoft, ввести дані про свою компанію, вказати програму ліцензування, ввести номер угоди, версію RDS, тип ліцензії та кількість клієнтів.