Presentazione tecnica

Presentazione tecnica

Incontro iniziale Ripresa concetti di networking. 1 Ora Conoscenza con i partecipati, presentazioni, introduzione. Introduzione generale sui principali apparati presenti in una LAN. Verifica delle conoscenze acquisite e risoluzione di eventuali piccoli dubbi Introduzione sulle diverse tipologie di Hardware per infrastrutture 1 Ora Server (RACK TOWER BLADE) Storage (SAN NAS DAS) Networking (SWITCH L2/L3 ROUTER FW AP) Ups e protezione della apparecchiature (Ups Climatizzazione ecc ) Utilizzo di software packet tracer per creare un diagramma di rete 1 Ora Installazione del software packet tracer Produzione di un piccolo diagramma di rete Concetti di base di VLAN, Link Aggregation, Spanning Tree 1 Ora Concetti di VLAN e loro importanza all interno delle aziende Concetti di Link Aggregation (LACP Etherchannel) e loro importanza all interno delle aziende Concetti di Spanning Tree e loro importanza all interno delle aziende Concetti sulle macchine virtuali (virtualizzazione Client e server) 4 Ore Informazioni su principali tecnologie di virtualizzazione Virtualizzazione lato Client (software) Virtualizzazione lato Server (hypervisor) Installazione macchina virtuale Windows 7 2 Ore Installazione macchina virtuale Windows Server 2008 R2 2 Ore

Caratteristiche e funzioni di un sistema Server 3 Ore Caratteristiche del sistema operativo Windows Server 2008 R2 Versioni e licenze Windows Server 2008 R2 Introduzione a Ruoli e Funzionalità di Windows Server 2008 R2 Best Practise e Guide per una buona esecuzione dei lavori Naming convention e indirizzamento Interfaccia di gestione (Server Manager) - ACCENNI 2 Ore Diagnostica su Windows Server (event viewer) Introduzione a performance monitor Configurazione di un task schedulato Gestione basilare del firewall di windows Servizi di Windows Utenti e gruppi locali Backup di windows server Disk Management, dischi base e dinamici, MBR e GPT Creazione utenti locali, condivisioni di rete, permessi sui file 3 Ore Gestione degli utenti locali di Windows Creazione di una condivisione (visibile e amministrativa) Gestione dei permessi sul filesystem Gestione dei permessi di Share Quote disco

Shadow copy, Print Server, NFS in ambiente windows 4 Ore Funzionalità e Vantaggi delle Shadow Copy Installazione di un Print Server Configurazione NFS su Windows server Active Directory, Messa a dominio di un client, Gruppi, ecc 10 Ore Creazione un dominio Active Directory Messa a dominio di un client Configurazioni di dominio (domain controller multipli) e accenni su child domain, trust. Concetto di group policy Concetti e Configurazione DNS (Windows) 2 Ore Installazione e configurazione del servizio DNS Concetti e Configurazione DHCP (Windows) 2 Ore Installazione e configurazione del servizio DHCP Test finale di corso, correzioni e approfondimenti 4 Ore Domande Risposte Approfondimenti Ripasso Finale 2 Ore

Adottare procedure per ottimizzare la configurazione dell architettura di rete Riconosce e applicare procedure e programmi di installazione degli apparati di rete (sistemi operativi, router, switch, modem, ecc ) Individuare criteri di autenticazione per le differenti tipologie di utenti e gruppi di utenti Identificare e risolvere problematiche di interoperabilità tra diversi sistemi e architetture di rete Configurazione, installazione e aggiornamento componenti hardware e software della rete Creazione profili per utenti o gruppi Rilevazione incompatibilità tra sistemi configurati / installati

Modulo 1 Ottimizzare la configurazione dell architettura di rete Agg. Firmware Installazione degli apparati di rete, software Configurazione delle risorse (utenti file Stamp. ecc ) Modulo 3 Controllo, Monitoraggio, Analisi delle problematiche, Risoluzione, Prevenzione

Lo spanning tree è un algoritmo utilizzato per realizzare reti complesse (a Livello fisico) con percorsi ridondanti utilizzando tecnologie di Livello datalink (il livello 2 del modello OSI) come IEEE 802.2 o IEEE 802.11. Spanning tree viene eseguito dai bridge, e mantiene inattive alcune interfacce in modo da garantire che la rete rimanga connessa ma priva di loop. Link aggregation, o IEEE 802.3ad, termine di computer networking che descrive l'utilizzo di multipli cavi Ethernet in parallelo per incrementare la velocità del link oltre i limiti del singolo cavo, e per incrementare la ridondanza per una più alta disponibilità. È possibile riferirsi a questa tecnica anche con "Ethernet trunk", "NIC teaming", "port channel", "port teaming", "port trunking" Il termine VLAN (Virtual LAN) Indica un insieme di tecnologie che permettono di segmentare il dominio di broadcast, che si crea in una rete locale (tipicamente IEEE 802.3) basata su switch, in più reti locali non comunicanti tra loro. Le applicazioni di questa tecnologia sono tipicamente legate ad esigenze di separare il traffico di gruppi di lavoro o dipartimenti di una azienda, per applicare diverse politiche di sicurezza informatica.

La virtualizzazione consente ad un server fisico di ospitare più macchine virtuali, condividendo le risorse del singolo server attraverso differenti ambienti. I server virtuali e i desktop virtuali consentono di ospitare differenti sistemi operativi e applicazioni, annullando tutti i problemi delle infrastrutture fisiche e superando i limiti geografici. Inoltre il miglior utilizzo delle risorse hardware porta ad importanti risparmi di costi sia di capitale che di energia consumata. Aumentano anche la disponibilità delle risorse, migliora e si semplifica la gestione dei desktop, aumenta il livello di sicurezza dell infrastruttura. In una infrastruttura virtuale è anche possibile migliorare i processi legati al disaster recovery.

Consolidamento server e ottimizzazione infrastrutturale: con la virtualizzazione è possibile aumentare in maniera significativa l'utilizzo delle risorse unendo in pool le risorse infrastrutturali comuni e abbandonando il modello preesistente di corrispondenza univoca tra applicazioni e server ("una sola applicazione in un server"). Riduzione dei costi dell'infrastruttura fisica: con la virtualizzazion è possibile ridurre il numero di server e la quantità di hardware IT correlato nel data center. Ciò riduce le esigenze di spazio, alimentazione e raffreddamento e provoca un evidente risparmio sui costi IT. Incremento della reattività e flessibilità operativa: la virtualizzazione fornisce una nuova modalità di gestione dell'infrastruttura IT e consente agli amministratori di dedicare meno tempo ad attività ripetitive, quali il provisioning, la configurazione, il monitoraggio e la manutenzione. Maggiori disponibilità applicativa e business continuity: eliminazione dei tempi pianificati di inattività e veloce ripristino da interruzioni non pianificate con la possibilità di eseguire backup sicuri e di migrare interi ambienti virtuali senza interruzioni operative. Gestibilità e sicurezza desktop migliorate: implementazione, gestione e monitoraggio di ambienti desktop sicuri a cui è possibile accedere in locale o in remoto, con o senza connessione di rete, in quasi tutti i desktop, laptop o tablet PC standard.

Si definisce macchina virtuale un contenitore software totalmente isolato che può eseguire i propri sistemi operativi e applicazioni come fosse un computer fisico. Una macchina virtuale si comporta esattamente come un computer fisico ed è dotata di propri CPU, RAM, disco rigido e NIC (Network Interface Card) virtuali basati, ad esempio, su software. Un sistema operativo non è in grado di distinguere una macchina virtuale da una macchina fisica, né possono farlo le applicazioni o altri computer in rete. La stessa macchina virtuale si comporta come se fosse un vero e proprio computer, sebbene sia costituita interamente di software e non contenga in alcun modo componenti hardware. Le macchine virtuali pertanto assicurano un discreto numero di vantaggi rispetto all'hardware fisico.

Compatibilità Analogamente a un computer fisico, una macchina virtuale ospita un proprio sistema operativo guest e proprie applicazioni e dispone di tutti i componenti di un computer fisico (scheda madre, scheda VGA, controller di schede di rete). Ne consegue che le macchine virtuali sono completamente compatibili con tutti i sistemi operativi, le applicazioni e i driver di dispositivi x86 standard e consentono pertanto di eseguire qualunque software eseguibile su un computer x86 fisico. Isolamento Sebbene possano condividere le risorse fisiche di un singolo computer, le macchine virtuali sono reciprocamente isolate come se fossero macchine fisiche distinte. Se, ad esempio, quattro macchine virtuali risiedono in un singolo server fisico e una di esse si arresta, le altre tre rimangono disponibili. L'isolamento costituisce un motivo importante per spiegare perché le applicazioni eseguite in un ambiente virtuale risultano di gran lunga superiori in termini di disponibilità e sicurezza delle applicazioni eseguite in un sistema tradizionale. Incapsulamento Una macchina virtuale è in pratica un contenitore software che raggruppa o "incapsula" un insieme completo di risorse hardware virtuali, con sistema operativo e applicazioni, in un pacchetto software. Grazie all'encapsulation le macchine virtuali possono essere trasferite e gestite con straordinaria facilità. È, ad esempio, possibile spostare e copiare una macchina virtuale da una posizione ad un'altra come qualsiasi file software, oppure salvarla in un comune dispositivo storage di dati: da una scheda di memoria flash USB a una SAN (Storage Area Network) aziendale. Indipendenza dall'hardware Le macchine virtuali sono completamente indipendenti dall'hardware fisico sottostante. È possibile, ad esempio, configurare una macchina virtuale con componenti virtuali, quali CPU, scheda di rete, controller SCSI, completamente diversi dai componenti fisici dell'hardware sottostante. Macchine virtuali residenti nello stesso server fisico possono anche eseguire tipi diversi di sistema operativo (Windows, Linux, ecc). Combinata con le proprietà di encapsulation e compatibilità, l'indipendenza dall'hardware consente di spostare liberamente le macchine virtuali da un tipo di computer x86 ad un altro senza apportare alcuna modifica a driver dei dispositivi, sistema operativo o applicazioni. L'indipendenza dall'hardware consente inoltre di eseguire combinazioni eterogenee di sistemi operativi e applicazioni in un singolo computer fisico.

http://technet.microsoft.com/itit/virtualization/default http://www.vmware.com/it/produ cts/vsphere/ http://www.citrix.com/english/ps 2/products/product.asp?contentI D=683148 http://www.xen.org/

Server Enviroment Storage Rack Networking Cooling & UPS External Connection (internet & VPN) Control & Surveillance Backup VM & Phisical User services Application Firewalling Ecc

Il nuovo Windows Server 2008 R2 offre una piattaforma server produttiva e conveniente con avanzate funzionalità per la virtualizzazione ed il risparmio energetico e un esperienza utente senza pari. Assicura ai professionisti IT un maggiore controllo dell infrastruttura dei server e di rete e offre una piattaforma di livello enterprise per la gestione efficiente dei carichi di lavoro aziendali, garantendo procedure ottimizzate e un elevata disponibilità, una maggiore produttività degli utenti che operano in succursali o postazioni mobile, migliori funzionalità di virtualizzazione e gestione dei consumi energetici.

Funzionalità Standard Enterprise Datacenter Web Itanium Foundation X64 socket 4 8 64 4 1 IA64 socket 64 X64 RAM 32 GB 2 TB 2 TB 32 GB 8 GB IA64 RAM 2 TB Aggiunta di memoria a caldo Cambio di memoria a caldo Aggiunta di processore a caldo Cambio di processore a caldo Failover Cluster (numero di nodi) 16 16 8 Sincronizzazione della memoria con tolleranza d errore Cross-File Replication (DFS-R) Network Access Connections (RRAS) 250 Illimitate Illimitate 50 Network Access Connections (IAS) 50 Illimitate Illimitate 10 Remote Desktop Services Gateway 250 Illimitati Illimitati 50 Diritti per l utilizzo dell immagine virtuale Host + 1 VM Host + 4VM Illimitati Guest Illimitati Connessioni remote di amministrazione desktop 2 2 2 2 2 2

Nuove/migliorate funzionalità Standard Enterprise Datacenter Web Itanium Foundation Requisiti di licenza Hyper-V Inclusa nella licenza server. Non è richiesta nessuna licenza aggiuntiva. Internet Information Services 7.5 Network Access Protection AD Rights Management Services Remote Desktop Services Server Manager Windows Deployment Services Server Core Windows PowerShell BranchCache DirectAccess Inclusa nella licenza server. Non è richiesta nessuna licenza aggiuntiva. Inclusa nella licenza server. Non è richiesta nessuna licenza aggiuntiva. Inclusa nella licenza server, ma sono sono richieste RDS CAL aggiuntive. Inclusa nella licenza server, ma sono sono richieste RDS CAL aggiuntive Inclusa nella licenza server. Non è richiesta nessuna licenza aggiuntiva. Inclusa nella licenza server. Non è richiesta nessuna licenza aggiuntiva.. Inclusa nella licenza server. Non è richiesta nessuna licenza aggiuntiva. Inclusa nella licenza server. Non è richiesta nessuna licenza aggiuntiva. Inclusa nella licenza server. Non è richiesta nessuna licenza aggiuntiva. Inclusa nella licenza server. Non è richiesta nessuna licenza aggiuntiva.

Componente Processore Requisiti Minimi: 1,4 GHz (processore x64) Per Windows Server 2008 R2 for Itanium-Based Systems è richiesto Intel Itanium 2 processor Minimi: 512 MB di RAM Memoria Consigliati: 2 GB di RAM o superiore Massimi: 32 GB (Standard, Web Server, Foundation) o 2 TB (Enterprise, Datacenter e sistemi Itanium) Spazio disco disponibile Unità Schermo Minimi: 32 GB I computer con più di 16 GB di RAM richiedono uno spazio disco maggiore per ibernazione, file di paging e dump Unità DVD-ROM Schermo super VGA (800 600) o con risoluzione maggiore Altro Lettore DVD, Tastiera e mouse Microsoft o altro dispositivo di puntamento compatibile, accesso a Internet

From Windows Server 2003 (SP2, R2) Datacenter Enterprise Standard Upgrade to Windows Server 2008 R2 Datacenter Enterprise, Datacenter Standard, Enterprise From Windows Server 2008 (RTM-SP1, SP2) Datacenter Datacenter Core Enterprise Enterprise Core Foundation (SP2 only) Standard Standard Core Web Web Core Upgrade to Windows Server 2008 R2 Datacenter Datacenter Core Enterprise, Datacenter Enterprise Core, Datacenter Core Standard Standard, Enterprise Standard Core, Enterprise Core Standard, Web Standard Core, Web Core

Windows 95, Windows 98, Windows Millennium Edition, Windows XP, Windows Vista, Windows Vista Starter, or Windows 7 Windows NT Server 4.0, Windows 2000 Server, Windows Server 2003 RTM, Windows Server 2003 with SP1, Windows Server 2003 Web, Windows Server 2008 R2 M3, or Windows Server 2008 R2 Beta Windows Server 2003 for Itanium-based Systems, Windows Server 2003 x64, Windows Server 2008 for Itanium-based Systems, Windows Server 2008 R2 for Itanium-based Systems Cross-architecture in-place upgrades (for example, x86 to x64) are not supported. Cross-language in-place upgrades (for example, en-us to de-de) are not supported. Cross-edition upgrades (for example, the Windows Server 2008 Foundation SKU to the Windows Server 2008 Datacenter SKU) are not supported. Cross-build type in-place upgrades (for example, fre to chk) are not supported.

Pulizia Standardizzazione Guida per l installazione (compilabile => scheda installazione) Documentazione Verifica finale post installazione Aggiornamento Firmware Installazione OS Aggiornamento Driver Aggiornamento Windows Update Software di uso comune e utility Antivirus Personalizzazione del sistema, come indicato dalle direttive aziendali

http://h18013.www1.hp.com/products/servers/ management/smartstart/index.html http://h20000.www2.hp.com/bizsupport/techsu pport/softwareindex.jsp?lang=it&cc=it&prodnam eid=4091432&prodtypeid=15351&prodseriesid =4091412&swEnvOID=4064&taskId=135&swLan g=13#29214 http://support.euro.dell.com/support/index.asp x?c=it&cs=itbsdt1&l=it&s=bsd http://www.cisco.com/cisco/software/navigator. html?mdfid=282414132&i=rp http://h18000.www1.hp.com/products/quickspe cs/division/division.html#intro

Shift+F10 may be pressed to gain access to the command-prompt

Per operare su sistemi operativi frutto di copie cloni (fisici o virtualizzati) è necessario prevedere di eseguire un sysprep in modo da resettare il SID del sistema (identificatore univoco). c:\windows\system32\sysprep\sysprep.exe /quiet /generalize /oobe /shutdown

http://www.techotopia.com/index.php/configuring_volume_ Shadow_Copy_on_Windows_Server_2008

C:\Windows\system32>fsutil quota query e: FileSystemControlFlags = 0x00000002 Quotas are tracked and enforced on this volume Logging for quota events is not enabled The quota values are up to date Default Quota Threshold = 0x0000000000000400 Default Quota Limit = 0x000000000000c800 SID Name = BUILTIN\Administrators (Alias) Change time = Friday, August 08, 2008 14:21:13 PM Quota Used = 72704 Quota Threshold = 18446744073709551615 Quota Limit = 18446744073709551615 SID Name = NT AUTHORITY\SYSTEM (WellKnownGroup) Change time = Friday, August 08, 2008 14:35:02 PM Quota Used = 20976640 Quota Threshold = 18446744073709551615 Quota Limit = 18446744073709551615 SID Name = WINSERVER-2\Bill (User) Change time = Friday, August 08, 2008 20:02:47 PM Quota Used = 3072 Quota Threshold = 1024 Quota Limit = 102400

Crittografia unità BitLocker di Windows (BitLocker) è una funzionalità di protezione dei sistemi operativi Windows Vista e Windows Server 2008 che offre protezione al sistema operativo del computer e ai dati archiviati sui volumi del sistema operativo. In Windows Server 2008 è possibile estendere la protezione di BitLocker anche ai volumi utilizzati per l'archiviazione dei dati http://technet.microsoft.com/itit/library/cc725719(ws.10).aspx

http://technet.microsoft.com/itit/library/dd894353.aspx

Home Basic Home Premium Professional Enterprise / Ultimate Aero No Sì Sì Sì AppLocker No No No Sì Bitlocker No No No Sì Direct Access No No No Sì Domain Join No No Sì Sì Encrypting File System (EFS) HomeGroup Sharing No No Sì Sì Solo prendere parte Sì Sì Sì IIS Web Server No Sì Sì Sì Multilingual User Interface No No No Sì RAM Massima (32-bit) 4GB 4GB 4GB 4GB RAM Massima (64-bit) 8GB 16GB 192GB 192GB http://www.wintricks.it/win7/comparativa-versioni-win7.html

In una rete di computer si hanno due fondamentali possibilità di operare: In gruppo di lavoro Ogni computer ha la stessa importanza e gli utenti eseguono un logon locale potendo condividere risorse e file. In dominio di rete In questa configurazione c è almeno una computer denominato server che svolge funzioni speciali

A service that helps track and locate objects on a network Active Directory Management Workstations Services Files Users

Boundary of Authentication Boundary of Policies CONTOSO.COM Boundary of Replication

CONTOSO.COM US.CONTOSO.COM Shared Schema Configuration OHIO.US.CONTOSO.COM Global Catalog

CONTOSO.COM UK.CONTOSO.COM US.CONTOSO.COM

CONTOSO.COM FABRIKAM.COM US.CONTOSO.COM UK.FABRIKAM.COM Schema Configuration Global Catalog

OU Admin Organized For: Administration Same Requirements Delegation Group Policy Configuration Security OU Security CONTOSO.COM OU Policy

Sales London Desktops Department Marketing Printers New Department York Hardware Devices

PDC DC BDC BDC DC DC Windows NT 4.0 Windows Server 2003

Site A Sites Used To: Locate Services Optimize Replication Define Policies WAN Link Site B

US.CONTOSO.COM Site A CONTOSO.COM Site B

Spans all domains Contains object attributes Used for searches Exists on domain controllers

Domain Naming System locates network services and resources. DNS Request Process Requested Service Site Information DNS Server IP Addresses SVR Records Cache DC

Directory Partitions Forest Domain Schema Configuration contoso.msft Active Directory Database Contains definitions and rules for creating and manipulating all objects and attributes Contains information about Active Directory structure Holds information about all domain-specific objects created in Active Directory

Performs operation exclusively Within designated scope Defaults to first domain controller

Forest Roles Schema Master Domain Roles PDC Emulator RID Master Domain Master Infrastructure

Windows 2000/2003 Single-Master Model To prevent conflicting updates in Windows 2000/2003, the Active Directory performs updates to certain objects in a single-master fashion. In a single-master model, only one DC in the entire directory is allowed to process updates. This is similar to the role given to a primary domain controller (PDC) in earlier versions of Windows (such as Microsoft Windows NT 4.0), in which the PDC is responsible for processing all updates in a given domain. In a forest, there are five FSMO roles that are assigned to one or more domain controllers. The five FSMO roles are: Schema Master: The schema master domain controller controls all updates and modifications to the schema. Once the Schema update is complete, it is replicated from the schema master to all other DCs in the directory. To update the schema of a forest, you must have access to the schema master. There can be only one schema master in the whole forest. Domain naming master: The domain naming master domain controller controls the addition or removal of domains in the forest. This DC is the only one that can add or remove a domain from the directory. It can also add or remove cross references to domains in external directories. There can be only one domain naming master in the whole forest.

Infrastructure Master: When an object in one domain is referenced by another object in another domain, it represents the reference by the GUID, the SID (for references to security principals), and the DN of the object being referenced. The infrastructure FSMO role holder is the DC responsible for updating an object's SID and distinguished name in a cross-domain object reference. At any one time, there can be only one domain controller acting as the infrastructure master in each domain. Note: The Infrastructure Master (IM) role should be held by a domain controller that is not a Global Catalog server (GC). If the Infrastructure Master runs on a Global Catalog server it will stop updating object information because it does not contain any references to objects that it does not hold. This is because a Global Catalog server holds a partial replica of every object in the forest. As a result, cross-domain object references in that domain will not be updated and a warning to that effect will be logged on that DC's event log. If all the domain controllers in a domain also host the global catalog, all the domain controllers have the current data, and it is not important which domain controller holds the infrastructure master role. Relative ID (RID) Master: The RID master is responsible for processing RID pool requests from all domain controllers in a particular domain. When a DC creates a security principal object such as a user or group, it attaches a unique Security ID (SID) to the object. This SID consists of a domain SID (the same for all SIDs created in a domain), and a relative ID (RID) that is unique for each security principal SID created in a domain. Each DC in a domain is allocated a pool of RIDs that it is allowed to assign to the security principals it creates. When a DC's allocated RID pool falls below a threshold, that DC issues a request for additional RIDs to the domain's RID master. The domain RID master responds to the request by retrieving RIDs from the domain's unallocated RID pool and assigns them to the pool of the requesting DC. At any one time, there can be only one domain controller acting as the RID master in the domain.

PDC Emulator: The PDC emulator is necessary to synchronize time in an enterprise. Windows 2000/2003 includes the W32Time (Windows Time) time service that is required by the Kerberos authentication protocol. All Windows 2000/2003- based computers within an enterprise use a common time. The purpose of the time service is to ensure that the Windows Time service uses a hierarchical relationship that controls authority and does not permit loops to ensure appropriate common time usage. The PDC emulator of a domain is authoritative for the domain. The PDC emulator at the root of the forest becomes authoritative for the enterprise, and should be configured to gather the time from an external source. All PDC FSMO role holders follow the hierarchy of domains in the selection of their in-bound time partner. In a Windows 2000/2003 domain, the PDC emulator role holder retains the following functions: Password changes performed by other DCs in the domain are replicated preferentially to the PDC emulator. Authentication failures that occur at a given DC in a domain because of an incorrect password are forwarded to the PDC emulator before a bad password failure message is reported to the user. Account lockout is processed on the PDC emulator. Editing or creation of Group Policy Objects (GPO) is always done from the GPO copy found in the PDC Emulator's SYSVOL share, unless configured not to do so by the administrator. The PDC emulator performs all of the functionality that a Microsoft Windows NT 4.0 Server-based PDC or earlier PDC performs for Windows NT 4.0-based or earlier clients. This part of the PDC emulator role becomes unnecessary when all workstations, member servers, and domain controllers that are running Windows NT 4.0 or earlier are all upgraded to Windows 2000/2003. The PDC emulator still performs the other functions as described in a Windows 2000/2003 environment. At any one time, there can be only one domain controller acting as the PDC emulator master in each domain in the forest. http://www.petri.co.il/understanding_fsmo_roles_in_ad.htm

Tramite AD il DC attribuisce l accesso al dominio di rete identificando univocamente ogni utente tramite un username ed una password Gli utenti possono condividere in maggiore sicurezza applicazioni e risorse, sempre però sotto controllo del server che costituisce l elemento centrale del dominio

Ogni utente possiede diritti (user rights) e permessi (permission). Sono diritti le autorizzazioni concesse all utente nel dominio (es. autorizzazione a spegnere il server, a cambiare l ora di sistema, ecc.). Sono permessi i tipi d accesso alle risorse condivise della rete (es. possibilità di leggere una cartella, di stampare su una stampante, ecc.).

Esistono utenti predefiniti (built-in) e creati dall amministratore (user-defined) Utenti predefiniti sono Administrator, Guest (l ospite con limitato accesso), ecc. Gli altri utenti della rete saranno creati da Administrator o dalle persone da lui delegate a questo compito È conveniente adottare un metodo standard per definire i nomi degli utenti.

Per facilitare la gestione, sarà conveniente creare gli utenti all interno della UO di competenza. Ad esempio, se gli studenti possano accedere a più aule di laboratorio, definirli nella UO di livello superiore. Se invece accedono sempre alla stessa aula, definirli nella UO che rappresenta l aula.

Anziché agire su diritti e permessi dei singoli utenti, è conveniente raccoglierli in gruppi omogenei, in modo da semplificarne la gestione da parte dell amministratore. I diritti ed i permessi assegnati ad un gruppo sono automaticamente propagati a tutti gli user account inclusi nel gruppo stesso. Come per gli user account, esistono gruppi built-in e user-defined.

I gruppi user-defined possono essere di 3 tipi: Gruppo Locale al dominio (DLG: Domain Local Group); sono utilizzati per facilitare l accesso alle risorse condivise, come cartelle o stampanti Gruppo Globale (GG: Global Group); servono a raggruppare gruppi di utenti o di computer all interno di un dominio Gruppo Universale (UG: Universal Group); possono raggruppare utenti o computer appartenenti a domini differenti

Se la scuola avrà un solo dominio, è inutile usare gruppi universali; potremo quindi creare: Un GG per ogni classe con tutti gli user account degli studenti di quella classe. Un GG che raccolga tutti i gruppi delle classi. Un GG che raccolga tutti gli account dei docenti. Un GG per tutti gli utenti degli uffici.

Potremo creare vari DLG, per le varie risorse condivise, nei quali inserire come membri singoli utenti o GG. In questo modo è possibile gestire con semplicità e sicurezza i permessi da assegnare alle singole risorse.

NTFS è un file system nativo di Windows NT, di Windows 2000 e di Windows XP. Oltre a miglioramenti nella gestione dei files rispetto i sistemi FAT, nelle partizioni NTFS è possibile specificare permessi per cartelle e singoli files ad utenti o gruppi di utenti. In questo modo è possibile una maggior protezione del sistema.

I permessi NTFS sono concedibili sia a singoli utenti che a gruppi. La strategia migliore di concessione di permessi NTFS è definita: A G DL P

Questa strategia di concessione di permessi NTFS prevede: L aggiunta di un Account utente ad un Gruppo Globale. L inserimento di questo il un Gruppo Locale al Dominio. La definizione dei Permessi a quest ultimo.

NTFS consente di associare ad ogni file o cartella una Access Control List (ACL) contenente gli utenti ed i gruppi che possono accedere alla risorsa ed i loro permessi. L ACL di ciascuna risorsa deve contenere almeno una Access Control Entry (ACE) per un utente o per un suo gruppo di appartenenza, per concedere ad esso l accesso.

UTENTE_1 e GRUPPO_1 sono nella ACL della risorsa e, quindi la possono utilizzare, con diversi permessi. UTENTE_2 non è nella ACL e, quindi, non può accedere alla risorsa.

I permessi di NTFS di cartella (folder) consentono l accesso e le operazioni alle cartelle, alle sottocartelle ed ai files in esse contenuti. Controllo completo (Full Control) Modifica Lettura ed Esecuzione Visualizza contenuto cartella Scrittura Lettura

Nell esempio il gruppo Administrators possiede tutte le autorizzazioni sulla cartella Inetpub

I permessi di NTFS di file consentono l accesso e le operazioni ai singoli file. Quando i permessi di files si scontrano con quelli di cartella, prevalgono i primi. Controllo completo (Full Control) Modifica Lettura ed Esecuzione Scrittura Lettura

Per poter assegnare permessi NTFS ad un file o ad una cartella bisogna appartenere al gruppo "Administrators", ovvero possedere su quel file o su quella cartella il permesso di Controllo completo o esserne il "Proprietario" ("Owner").

Permission Full Control Modify List Folder Contents Read and Execute Write Read Description Permission to read, write, change and delete files and sub-folders. Permission to read and write to files in the folder, and to delete current folder. Permission to obtain listing of files and folders and to execute files. Permission to list files and folders and to execute files. Permission to create new files and folders within selected folder. Permission to list files and folders. Permission Full Control Modify Read and Execute Write Read Description Permission to read, write, change and delete the file. Permission to read and write to and delete the file. Permission to view file contents and execute file. Permission to write to the file. Permission to view the files contents.

Traverse folder / execute file List folder / read data Read attributes Read extended attributes Create files / write data Create folders / append data Write attributes Write extended attributes Delete subfolders and files Delete Read permissions Change permissions Allows access to folder regardless of whether access is provided to data in folder. Allows execution of a file. Traverse folder option provides permission to view file and folder names. Read data allows contents of files to be viewed. Allows read-only access to the basic attributes of a file or folder. Allows read-only access to extended attributes of a file. Create files option allows the creation or placement (via move or copy) of files in a folder. Write data allows data in a file to be overwritten (does not permit appending of data). Create folders option allows creation of subfolders in current folder. Append data allows data to be appended to an existing file (file may not be overwritten) Allows the basic attributes of a file or folder to be changed. Allows extended attributes of of a file to be changed. Provides permission to delete any files or subfolders contained in a folder. Allows a file or folder to be deleted. When deleting a folder, the user or group must have permission to delete any sub-folders or files contained therein. Provides read access to both basic and special permissions of files and folders. Allows basic and special permissions of a file or folder to be changed. Take ownership Allows user to take ownership of a file or folder.

I permessi NTFS sono cumulativi; ciò significa che se un utente ha permessi personali ed altri sono assegnati ad uno o più gruppi di appartenenza, il permesso che ne consegue è la somma di tutti quelli personali e di gruppo. Le autorizzazioni negate prevalgono su quelle concesse I permessi specifici del file hanno sempre la precedenza sui permessi di gruppo e su quelli ereditati

Copiando o spostando file o cartelle tra volumi NTFS, si hanno diversi risultati Copia su stessa partizione NTFS Copia su altra partizione NTFS Copia su partizione non-ntfs Spostamento su stessa partizione Spostamento su altra partizione NTFS Spostamento su partizione non- NTFS La copia eredita i permessi della cartella di destinazione La copia eredita i permessi della cartella di destinazione I permessi sono persi Si mantengono i permessi di origine Si ereditano i permessi della cartella di destinazione I permessi sono persi

Condividere solo le risorse strettamente necessarie. Indicare nomi di condivisione chiari ed univoci. Non condividere interi dischi, ma solo cartelle. Eliminare subito le autorizzazioni ad Everyone, sostituendole con altre di gruppo od utente. Concedere autorizzazioni limitate agli utenti generici, in particolare agli studenti.

All installazione di Windows 2000/2003 e successivi, sono predisposte alcune condivisioni speciali che hanno lo scopo di favorire l amministrazione del sistema. Queste condivisioni sono nascoste, accessibili dal sistema e non sono modificabili, ma solo cancellabili.

http://technet.microsoft.com/en -us/library/cc958929.aspx

Gestire la stampa Visualizzare Coda Gestire le opzioni di Sharing Gestire le impostazioni di Default Abilitazione in Active Directory Deploy via Group Policy Gestione Driver delle stampanti Migrazione stampanti

Gestione condivisioni DFS Gestioni Repliche DFS

http://windowsitpro.com/article/articleid/95 047/how-do-i-enable-the-full-networkmap-in-windows-vista-when-the-machineis-part-of-a-domain.html Per abilitare il network mapping a livello di dominio è necessario agire tramite una specifica group policy http://technet.microsoft.com/itit/library/cc772308(ws.10).aspx

Avendo a disposizione AD si possono installare i componenti aggiuntivi per UNIX

Creare un gruppo root (global security) e inserire nel tab UNIX il GID = 0 (o differente se specificato dal file di unix group ) All utente Administrator aggiungere nel tab UNIX UID=0, Shell=/bin/bash, home=/root, Primary group=root. Creare un gruppo root (global security) e inserire nel tab UNIX il GID = 0 (o differente se specificato dal file di unix passwd )

group passwd

Installare i servizi di condivisione di UNIX (NFS)

Impostare i permessi necessari sulla file system specificando l utente mappato in AD.

1 Attivare il Mapping con AD 2 3 4

3 1 2 4

sudo apt-get update sudo apt-get install nfs-common mkdir /nfs sudo mount -o soft 192.168.159.10:/NFS /nfs

http://technet.microsoft.com/enus/library/dd764497(ws.10).aspx http://technet.microsoft.com/enus/library/cc753495.aspx

http://www.trainsignaltraining.com/windows- server-2008-ftp-user-authentication/2008-04- 30/

E necessario ricordare che qualunque servizio sia erogato per più di una persona (posta, file, stampanti, web, ecc ) normalmente è gestito da un server, sia esso Unix, Linux, Microsoft, ecc.. Windows Server 2008 R2 è il mattone di partenza, sopra ci si può costruire quasi di tutto, perciò è necessario rimanere documentati per sapere cosa è possibile fare e come farlo. Servizi server base che non siamo riusciti a vedere: Servizi di rete (NAP, VPN, ecc ) Remote desktop services Application server Fax Server Servizi Web Storage Services Smtp (invio Posta) Ecc Nota: Tutti i servizi visti e non esistono integrati all interno del sistema operativo, ma anche prodotti da Software House differenti. E necessario conoscerli tutti? No, ma sapere cosa significano determinati acronimi e a cosa servono determinate funzioni, aiuta a districarsi anche su prodotti sconosciuti. In bocca al lupo a tutti e benvenuti nel vasto mondo dell IT