Главная Страница |  Каталог / Изменения / НовыеКомментарии |
Вход:     Пароль:   

  Избранное:   Каталог | Изменения | НовыеКомментарии | Пользователи | Регистрация  
::

: Справка/УправлениеДоменомNT ...

Региональная сеть | РОО | Учреждения образования | МетодКабинет | МетодКопилка | Проекты | Обсуждения | Хозгруппа | Дистанционное обучение | Справка


Краткое руководство администратора школьного сервера

Оглавление документа


Документ находится в процессе написания. Комментарии приветствуются

Введение

Школьный сервер предназначен для использования в локальной сети учреждения образования в качестве контроллера домена Windows NT, файлового сервера, локального веб-сервера, шлюза в региональную сеть и т.п.. Операционная система сервера – ALT Linux 5.0 Школьный Сервер. Выбор ОС обусловлен требованиями надежности, скорости работы, безопасности и лицензионной чистоты.
Технические характеристики сервера
Сервер изготовлен на базе компонентов повышенной надежности и производительности и содержит: 4-х ядерный процессор Intel, 4 ГБ оперативной памяти, 2 жестких диска Hitachi повышенной надежности и производительности («nearline») емкостью по 1 ТБ.
Сервер имеет два сетевых интерфейса с максимальной скоростью 1 Гб/с, один из которых служит для подключения к локальной сети школы, другой — для подключения SHDSL-модема для выделенных линий или интерфейса антенны Canopy (но не модема для подключения к VPN !).
Базовое программное обес­печение (ПО) сервера включает:
1. ПО первичного контроллера домена компью­теров, работающих под управлением ОС Windows (домена WindowsNT), для централизованного управления регистрацией пользователей в сети, хранения их документов и служебной информации, управления правами пользователей на файлы и каталоги; файловый сервер;
2. Веб-сервер, позволяющий создать локальный веб-сервер школы, веб-сайты пользователей, в том числе на языке PHP, и кроме того поддерживающий уже настроенные и готовые к работе сайты:
mediawiki — систему коллективной работы на информацией (см. например http://ru.wikipedia.org)
moodle – средство создания обучающих курсов, тестов и т. д. (см. например http://dl.schoolnet.by)
3. Сервер баз данных MySQL;
4. Система управления сервером через веб-интерфейс – «Альтератор»;
5. FTP-сервер – дополнительное средство доступа поль­зователей к своему домашнему каталогу;
6. SSH-сервер, предоставляющий поль­зователям доступ к командной оболочке (shell) ОС Линукс
7. Сервер электронной почты.

Организация домена Windows NT

Основные понятия и определения

Домен

Домен Windows NT (далее – домен) — группа компью­теров, работающих под управлением общего управляющего центра — контроллера домена. В нашем случае домен будет называться abc.schoolnet, где abc — сокращенное обозначение школы.
Контроллер домена — компью­тер (сервер), управляющий доменом. В нашем домене контроллер имеет имя pdc-srv
Бюджет (account) или учетная запись пользователя — инфор­мация о пользователе, необходимая для его идентификации при открытии пользователем сеанса работы. Включает логин (login или имя пользователя), пароль, а, также информацию о том, в какое время и на каких компьютерах домена ему разрешено открывать сеанс. Хранится на контроллере домена.
Профиль (профайл, prifile) пользователя – папка, хранящая инфор­мацию пользователя: настройки «рабочего стола», меню, служебную ин­формацию и настройки программ, и т.п.. В нашей сети профили хранятся на сервере — контроллере домена. При открытии сеанса работы профиль загружается с сервера на компьютер пользователя, обычно в папку «c:\Documents and Settings», по окончании – сохраняется на сервере (перемещаемые профили). Это дает пользователям возможность работать на любом компьютере домена с одними и теми же настройками «рабочего стола» и программ, но порождает и некоторые проблемы. (См. Управление профайлами пользователей)

Пользователи и группы

Пользователи домена объединены в группы, предназначенные, в основном, для управления их правами. Каждый пользователь может входить в одну или более группу. При установке программного обеспечения контроллера домена автоматически создаются следующие основные «встроенные» группы:
Domain Admins (Администраторы домена) — пользователи, наделенные максимумом прав (управление доменом, создание и удаление пользователей и групп, присоединение компью­теров к домену, полный доступ к файлам и т. д.); одновременно являются администраторами на всех компью­терах домена;
Domain Users (пользователи домена) — все пользователи домена;
Domain Computers — компью­теры домена.
Для работы сервера в качестве контроллера домена в школьной сети были дополнительно созданы следующие группы:
students — учащиеся;
teachers — учителя; в эту группу следует включить всех поль­зователей, которые не являются учащимися;
zavuchi — школьная администрация; должна составлять подгруппу из teachers.
Для управления доменом была создана учетная запись пользователя administrator включенного в группу Domain Admins — основного администратора домена.
Для работы учащихся создана особая учетная запить — s — потребовавшая особых настроек. Как показала многолетняя практика эксплуатации сетей в школе, учащиеся не должны иметь прав записи в сетевые (т. е. расположенные на других компьютерах) папки, на которые имеют права чтения! Иными словами, учащиеся (группа students) в любую сетевую папку должны иметь права или только чтения и просмотра списка файлов, (но не записи!), либо только записи и просмотра списка файлов, но не чтения, т. е. открытия файлов!.

Ресурсы сервера

При установке сервера-контроллера домена (PDC-SRV) автоматически были созданы ресурсы (сетевые папки), которые можно увидеть через «Сетевое окружение», как ресурсы компьютера pdc-srv:
домашний каталог пользователя — имя этой папки совпадает с именем пользователя, при открытии сеанса отображается на диск H:
netlogon — невидимая папка, доступная по чтению всем пользо­вателям, служит для хранения программ и командных файлов (тип .bat или .cmd), исполняемых при открытии сеанса пользователя, может быть открыта, если в адресную строку «проводника» ввести \\pdc-srv\netlogon;
profiles — невидимая папка, в которой хранятся профили пользователей, для других целей не предназначена.
Для работы сервера в качестве контроллера домена школьной сети на основе опыта, апробированного при информатизации Гимназии №1, были созданы следующие сетевые папки, имеющие особые настройки; изменять любые права доступа в эти папки для пользователей не следует:
lesson (К уроку) — для материалов, используемых учащимися на уроке в компьютерном классе; учащиеся (s, группа students) имеют здесь только права чтения, учителя (группа teachers) — права чтения и записи; является домашним каталогом поль­зователя s;
swap (Папка для обмена) — доступна только учителям и предназначена для обмена файлами между учителями (т.е. пользователями из группы teachers) – любой учитель может создать в ней свою папку, в которую будет помещать файлы для коллег, причем только хозяин (создатель) папки может удалять или изменять эти файлы, остальные – только читать;
incoming (Входящие) — предназначена для того, чтобы учащиеся (пользователь s, группа students) могли передавать учителям созданные ими файлы, они имеют здесь права записи, но не чтения, т. е. скопированный сюда файл открыть не смогут; NB Файл в эту папку нельзя сохранить из программы! Можно только скопировать или перенести из другой папки!
admdocs (Документы администрации) – доступ в эту папку имеют только члены группы zavuchi.
Следующая группа сетевых папок предназначена для хранения общедоступной информации. Системный администратор может распоряжаться ими по своему усмотрению. Единственный совет: предоставлять права записи для students следует с крайней осмотрительностью.
media (Аудио-видео) — папка для больших файлов: учебное видео, фонограммы, фото, проч..
public (Общие файлы) — еще одна папка для чего-нибудь не столь объёмного.
Создавать, изменять или удалять ресурсы на сервере может только суперпользователь Линукс (root) путем изменения конфигурационных файлов.

Компьютеры – члены домена

Любой компьютер под управлением ОС семейства WindowsNT 1 (или Линукс)2 может быть членом домена и, Как и в одноранговой сети («Рабочая группа»), выполнять роль как клиента (пользовательского рабочего места), так и сервера. Кроме обязательного и единственного первичного (главного) контроллера домена в домене домене могут присутствовать резервные контроллеры домена, серверы и клиентские компьютеры. Для управления компьютерами домена удобно использовать утилиту SRVMGR.EXE, ссылка на которую имеется на «рабочем столе» администратора домена (или на сервере в папке \\pdc-srv\netlogon\SrvTools\). Она позволяет просматривать список сетевых ресурсов любого компьютера под ОС Windows, пользователей, открывших файлы в этих папках, отключать пользователей от ресурсов, удалённо открывать и закрывать доступ к сетевым ресурсам.

Управление доменом Windows NT

Включение компьютеров в домен

Для того, чтобы пользователи Windows могли работать с ресурсами домена, компьютер, на котором они открывают сеанс, должен быть включен в домен. Прежде чем ввести компьютер в домен, нужно убедиться, что его IP-адрес входит в сеть (подсеть) контроллера домена.
Для ввода компью­тера под управлением WindowsXP в домен нужно выполнить следующие шаги:
1. открыть на этом компьютере сеанс локального администратора, т. е. администратора этого компьютера,
2. открыть окно свойств объекта «Мой компьютер» (например через контекстное меню правой кнопкой мышки, далее пункт «Свойства»),
3. далее открыть закладку «Имя компьютера», нажать кнопку «Идентификация», при этом откроется окно «Мастера сетевой идентификации», нажать «Далее>»
4. в окне «Мастера...» последовательно выбираем «Компьютер входит в корпоративную сеть ...», «Моя организация использует сеть с доменами», нажимая кнопку «Далее>» до появления окна «Сведения об учетной записи пользователя и домене», еще раз нажать «Далее>» (пароль вводить не обязательно),
5. далее в окне «Домен компьютера» вводим имя домена (имя компьютера изменять не следует!) и нажимаем кнопку «Далее>»,
6. в появившемся окне вводим «имя пользователя» – administrator (т. е. администратор домена!), его пароль и имя домена, нажимаем последовательно «ОК» и «Далее>»; через некоторое время должно появиться окно «Добро пожаловать в домен...»,
7. на последнем шаге отказываемся от добавления пользователя, завершаем работу «мастера» и перезагружаем компьютер.
Чтобы ввести компью­тер в домен под другим именем, предварительно выполняем шаги 1 и 2, далее нажимаем кнопку «Изменить...», вводим новое имя компьютера, нажимаем «ОК». После перезагрузки выполняем процедуру, описанную выше с первого шага.
Очень важно! После ввода компьютера в домен необходимо отключить использование автономных файлов! Это делается следующим образом: открыть любое окно «Проводника» (Мой компьютер, Мои документы, etc), открыть через меню «Сервис» диалог «Свойства папки...». Перейти на закладку «Автономные файлы» и снять отметку «Использовать автономные файлы», предварительно удалив их.

Управление пользователями и группами

Создание пользователей

Поскольку пользователи WindowsNT-домена являются пользователями ОС Линукс, установленной на контроллере домена, то первым делом можно создать поль­зователя Линукс, после чего добавить соответствующие настройки, необходимые для его работы как пользователя школьного домена. Однако, проще воспользоваться утилитой USRMGR.EXE, ссылка на которую имеется на «рабочем столе» администратора домена (или на сервере в папке \\pdc-srv\netlogon\SrvTools\). Для этого нужно, чтобы в домен был введен хотя бы один компьютер, на котором администратор домена может открыть сеанс работы. При первом запуске USRMGR.EXE, возможно, потребуется выбрать домен. Для этого нужно открыть меню «User» и далее команду «Select domain...». В открывшемся окне выбрать из списка свой домен и нажать «ОК». Далее в меню «User» выбираем команду «New user...» (Новый пользователь), в открывшемся окне обязательно заполняем следующие поля: строчными латинскими буквами и цифрами вводим имя пользователя (Username), полное имя (Full name — можно по-русски) и дважды вводим пароль. Снимаем опцию «User Must Change Password at Next Logon» – «Пользователь должен сменить пароль про следующем входе». Можно, также, установить опцию «Password Never Expires» – «Пароль никогда не устареет». Здесь же можно включить нового пользователя в нужные ему группы, нажав кнопку «Groups». Например, все учителя должны входить в группу «teachers», завучи — в группы «teachers» и «zavuchi», а учащиеся — в «students». После нажатия на кнопку «Add» в окне New User, новый пользователь и его домашний каталог на сервере будет созданы.
Пользователя можно также создать и через веб-интерфейс управления сервером с любого компью­тера сети в любом веб-браузере. Для этого в строку адреса браузера вводим https://IP-address:8080, где IP-address — адрес сервера. Его можно увидеть на экране монитора, подключенного к серверу. Он выводится крупными синими символами поверх основного текста. Далее в форму регистрации вводим имя пользователя — administrator, пароль пользователя administrator и нажимаем «Войти». Далее на главной странице в левом столбце а группе «Пользователи» выбираем ссылку Пользователи, в строке ввода «Новая учётная запись:» вводим имя нового пользователя строчными латинскими буквами и цифрами и нажимаем «Создать». После создания пользователя нужно задать его пароль и сохранить изменения.

Настройка перемещаемого профайла пользователя

Примечание: перемещаемые профили — вещь удобная, но требующая от администратора домена повышенного внимания, поэтому от них пришлось отказаиться.

Для создания и настройки профайла (profile) пользователя нужно открыть сеанс работы этого пользо­вателя на любом компьютере, включенном в домен. Для этого в окне «Вход в Windows» вводим его логин и пароль, а в строке «Вход в:» выбираем имя домена. Для правильной работы пользователя в домене настройки «рабочего стола», меню и программ не имеют значения, важна лишь настройка папки «Мои документы». В связи с тем, что пользователь может работать на любом компьютере домена, его профайл при открытии сеанса копируется на этот компьютер, а после завершения — обратно на сервер. Это занимает время, и, кроме того, место на системном виске Windows. Папка «Мои документы» по умолчанию является частью профайла. Как показала практика многолетней эксплуатации домена в Гимназии №1, учительские папки «Мои документы» имеют тенденцию к неограниченному росту. Это очень быстро приводит к исчерпанию свободного места на системном диске компьютера, на котором работают несколько таких пользователей, и далее без очистки диска становится не возможно открыть ни один сеанс. Для устранения подобных случаев папка «Мои документы» должна быть вынесена из профайла в более подходящее место, а именно в папку Documents домашнего каталога пользователя Линукс, который отображается на диск H: при открытии сеанса. Чтобы переместить «Мои документы» в нужное место можно воспользоваться окном свойств папки «Мои документы» или внести исправления прямо в реестр. Для этого в адресную строку «проводника» ввести \\pdc-srv\netlogon\ дважды щелкнуть мышкой по файлу My_Docs.reg и согласиться на все изменения. После завершения работы пользователя его профайл будет скопирован на сервер – контроллер домена в каталог profiles. Перемещение пользовательских документов полезно и потому, что сервер периодически создает резервные копии системы, в том числе и домашних каталогов поль­зователей Линукс. Это позволит восстановить их в случае аварии сервера.

Настройка прав пользователей

Утилита USRMGR.EXE предоставляет администратору домена простые и удобный средства изменять многие настройки пользователей: добавлять пользователей в группы и исключать из них, назначать время, когда пользователь может открывать сеанс, компьютеры, на которых он может работать и т.д..
Включить (или исключить) пользователей в группы (из групп) можно двумя способами: если нужно включит ил исключить в одну группу несколько поль­зователей, то дважды щелкните мышкой по имени группы в окне USRMGR.EXE. В открывшемся окне слева будут отображены пользователи члены группы (Members), справа — не входящие в группу (Not members). Кнопки «<-Add» (Добавить) и «Remove->» (Удалить) позволяют соответственно добавлять или удалять выбранных пользователей в группу. Второй способ включить (или исключить) пользователя в (или из) групп — через окно свойств пользователя, которое открывается по двойному щелчку мышки по имени пользователя.



1 Семейство NT началось с Windows NT и включает Windows NT -2000 -XP -Vista -7. У Windows7 имеются проблемы при работе с текущей версией контроллера домена на базе ОС Линукс и пакета Samba версии 3.
2 Должен быть установлен пакет samba.


 
Файлов нет. [Показать файлы/форму]
Комментариев нет. [Показать комментарии/форму]
Rating All.BY