SOISK - SYSTEMY OPERACYJNE I SIECI KOMPUTEROWE
Tomasz Puchała

zajecia spec

ADMINISTROWANIE SIECIOWYMI SYSTEMAMI OPERACYJNYMI

Zajęcia specjalistyczne



Zabezpieczenia danych przy użyciu EFS.


RODZINY WINDOWS NT


Microsoft Windows to rodzina kilku systemów operacyjnych wyprodukowanych przez firmę Microsoft. Systemy rodziny Windows działają na serwerach, urządzeniach zagnieżdżonych oraz, co jest typowo spotykane, na komputerach osobistych. Prezentację pierwszego graficznego środowiska pracy z rodziny Windows Microsoft przeprowadził w listopadzie 1985. Wówczas była to graficzna nakładka na system operacyjny MS-DOS, powstała w odpowiedzi na rosnącą popularność graficznych interfejsów użytkownika takich, jakie prezentowały na przykład komputery Macintosh. Nakładka, a później system operacyjny Windows po pewnym czasie zdominowała światowy rynek komputerów osobistych. Podczas konferencji IDC Directions w roku 2004, wiceprezes firmy IDC, Avneesh Saxena oszacował, że Windows pokrywa około 90% rynku klienckich systemów operacyjnych.

Początkowo Systemy Windows NT (skrót od New Technology) były biurowymi odpowiednikami serii Windows 9x. Wykorzystywały system plików NTFS (szybszy i bezpieczniejszy niż FAT z Windows 9x). Charakteryzowały się ogromną stabilnością, bezpiecznym działaniem, wysokim poziomem zabezpieczeń - czyli tym wszystkim czego potrzebują duże przedsiębiorstwa. Rozrywka została ograniczona do minimum (Windows NT 4.0 nie wykorzystywały np. popularnych formatów multimediów, DVD). W nowszych wersjach Windows zastosowano jednak inne rozwiązanie. Firma Microsoft połączyła najlepsze cechy obydwu rodzin "Okienek". Dobrym posunięciem było również odejście od DOS-a, jako podstawy systemu operacyjnego. Tak powstały Windows 2000 oraz Windows XP. Wyróżniają się zarówno stabilnością, bezpieczeństwem, jak i funkcjonalnością oraz szeroką gammą zastosowań.

Wersje systemów z rodziny NT

  • Microsoft Windows NT 3.1
  • Microsoft Windows NT 3.5
  • Microsoft Windows NT 3.51
  • Microsoft Windows NT 4.0
  • Microsoft Windows NT 5.0 (Microsoft Windows 2000)
  • Microsoft Windows NT 5.1 (Microsoft Windows XP)
  • Microsoft Windows NT 5.2 (Microsoft Windows 2003 Server i Microsoft Windows XP Professional x64 Edition)
  • Microsoft Windows NT 6.0 (Microsoft Windows Vista)

    CHARAKTERYSTYKA WINDOWS NT


    Windows 2000

    Windows 2000 to 32-bitowy, wielozadaniowy z wywłaszczaniem, wielowątkowy system operacyjny z serii NT. Posiada możliwość pracy z systemem plików NTFS i FAT32, lepsze zabezpieczenia logowania, prawa dostępu do plików i ich szyfrowanie i kompresowanie (tylko NTFS), przydział pamięci dyskowej dla użytkowników, obsługi większości urządzeń cyfrowych. Windows 2000 jest pierwszym systemem z serii NT obsługujący technologię USB i IrDA. Na komputerach pracujących pod kontrolą tego systemu możliwe jest uruchamianie aplikacji napisanych dla DOS i Windows 3.x. Windows 2000 jest ostatnim pozbawionym konieczności aktywacji wydaniem systemu Windows z linii NT.

    Wymagania sprzętowe

    Wg producenta:

     
  • procesor: Pentium 133 MHz
  • pamięć: 64 MB RAM
  • HDD: ok 500 MB

    Zalecane:
  • procesor: Pentium II 400 MHz
  • pamięć: 128 MB RAM
  • HDD: 4 GB
  • inne: CD-ROM

    Wymagania sprzętowe Windows 2000 Server i Advanced Server

     
  • procesor: Pentium 133 MHz
  • pamięć: 128 MB RAM
  • HDD: 2 GB

    Zalecane:
  • procesor: Pentium II 400 MHz
  • pamięć: 256 MB RAM
  • HDD: 4 GB
  • inne: CD-ROM, karta sieciowa

    Microsoft Windows XP

    Microsoft Windows XP, (nazwa robocza Whistler) to wersja systemu operacyjnego Windows z rodziny Microsoft Windows NT (oparty na jądrze NT) firmy Microsoft, wydana oficjalnie 25 października 2001. Nazwa XP pochodzi od angielskiego słowa eXPerience, czyli doświadczenie, doznanie.

    Cechy systemu

    Windows XP jest udaną próbą stworzenia jednolitej linii systemów Windows. Wcześniej Microsoft rozwijał dwie linie produktów: jedną dla użytkowników domowych, a drugą do zastosowań zaawansowanych (linia NT). Pociągnęło to za sobą brak kompatybilności z wieloma aplikacjami DOS-owymi.

    System opiera się na kodzie NT z dodanym nowym GUI Luna zawierającym wiele nowości i usprawnień. Ponadto, zawiera zintegrowaną zaporę sieciową. Zapora sieciowa obecna w Windows XP jest prostym filtrem pakietów, który jest domyślnie aktywny po zainstalowaniu systemu z dodatkiem Service Pack 2 (bez tego dodatku zapora jest aktywowana dopiero po skonfigurowaniu sieci). Świadczy to o tym, że firma Microsoft przywiązuje coraz więcej znaczenia do bezpieczeństwa swoich produktów.

    System wyposażono w przeglądarkę Internet Explorer 6 i odtwarzacz multimedialny Windows Media Player 8. Dodano także funkcję pulpitu zdalnego, dzięki któremu możliwa jest wygodna, zdalna pomoc innemu użytkownikowi. Dodanie tych aplikacji do systemu pociągnęło za sobą dalsze oskarżenie w kierunku firmy Microsoft o praktyki monopolistyczne.

    Kontrowersje i sprzeciwy obrońców prywatności budziło także zintegrowanie z systemem usługi .NET Passport.

    Po raz pierwszy w historii systemów Microsoft Windows została wprowadzona do systemu aktywacja mająca zapobiegać piractwu. Jeżeli użytkownik nie aktywuje produktu w 30-dniowym okresie, przy każdym następnym zalogowaniu jedyną dopuszczalną operacją, na jaką system pozwoli będzie aktywacja produktu. Po dokonaniu aktywacji przywrócona zostanie pełna funkcjonalność systemu Windows XP. Zabezpieczenie to zostało jednak szybko złamane przez piratów. Windows XP obsługuje systemy plików NTFS, FAT, FAT32.

    Wymagania sprzętowe wg producenta

    Minimalne
  • Procesor Pentium/AMD 166 MHz lub szybszy
  • 64 MB Pamięci RAM
  • 1,5 GB wolnego miejsca na dysku
  • Super VGA (800x600)
  • Napęd CD-ROM (tylko dla wersji pudełkowej)
  • Klawiatura

    Zalecane
  • Procesor Pentium/AMD 300 MHz lub szybszy
  • 256 MB Pamięci RAM lub więcej
  • 2 GB wolnego miejsca lub więcej na dysku
  • Adapter wideo i monitor o wyższej rozdzielczości
  • Napęd CD-ROM lub DVD-ROM lub blu-ray disc
  • Klawiatura oraz urządzenie wskazujące (np. mysz)

    Microsoft Windows XP Professional

    Microsoft Windows XP Professional x64 Edition na rynku pojawił się 25 kwietnia 2005, jako system operacyjny firmy Microsoft stanowiący wariację na temat typowych systemów Microsoft Windows XP dla komputerów domowych opartych na procesorach x86.
    System operacyjny Microsoft Windows Professional x64 Edition bazuje na kodzie Microsoft Windows Server 2003 Service Pack 1 (build 5.2.3790.1930) - najnowszej dostępnej w trakcie prac edycji systemu Windows. Jednak w nazwie systemu pojawia się odniesienie do rodziny systemów Windows XP. System został napisany, by obsługiwać rozszerzoną 64-bitową przestrzeń adresową procesora, dostępną w architekturze AMD64. Intel swoją wersję rozwiązań 64-bitowych ochrzcił mianem EMT64.
    Najważniejszą zaleta zmiany systemu operacyjnego na 64-bitowy jest znaczny wzrost ilości możliwej do alokacji pamięci systemowej komputera (RAM). 32-bitowe wersje systemu Windows XP ograniczały tę wielkość do 4 GB, dzieloną po równo pomiędzy jądro (kernel) i aplikacje. Wersja 64-bitowa jest w stanie obsłużyć o wiele więcej pamięci; mimo, że teoretycznie komputer 64-bitowy może zaadresować około 16 eksabajtów (16 miliardów gigabajtów) pamięci, Windows XP Professional x64 Edition obsługuje w chwili obecnej pamięć o wielkości do 128 gigabajtów (237 bajtów) pamięci fizycznej i 16 terabajtów (244 bajtów) pamięci wirtualnej. Microsoft twierdzi, że limit ten będzie podnoszony w miarę zwiększania się możliwości komputerów. W praktyce jednak żadna płyta główna kompatybilna z 64-bitowymi procesorami nie jest w stanie zbliżyć się do obsługiwanych maksymalnych wartości i najczęściej oferuje możliwość współpracy z modułami pamięci o pojemności do 8 GB.
    "Windows x64 Edition" jest aktualnym wcieleniem 64-bitowych systemów operacyjnych Microsoftu.

    Microsoft Windows Vista

    Microsoft Windows Vista (Windows NT 6.0) to najnowsza edycja systemu Windows firmy Microsoft (do 22 lipca 2005 znany był jedynie pod nazwą kodową Longhorn). Następca systemu Windows XP. Hasło reklamowe systemu to Clear Confident Connected, czyli Przejrzysty Pewny Połączony.

    Interfejs

    Windows Vista zawiera 3 rodzaje interfejsu: Windows Aero, Windows Basic i interfejs klasyczny. Windows Basic (utrzymany w stylu tego znanego z Windows XP) jest uproszczoną wersją Windows Aero, zaprojektowaną dla komputerów, które nie spełniają wymagań sprzętowych Aero Glass (istnieje możliwość wyłączenia Windows Aero - system uruchomi wtedy Windows Basic). Na najsłabszych komputerach zostanie użyty klasyczny szary interfejs, znany z Windows 95 i 98.

    Windows Aero zawiera trójwymiarowe efekty takie jak: przełączanie się między aplikacjami - Windows Flip 3D, następca klasycznego przełączania Alt+Tab oraz animacja minimalizacji i maksymalizacji otwartych okien podobna do tej znanej z Mac OS X. Aero Glass dodatkowo sprawia wrażenie gładkości i przezroczystości interfejsu.

    Na starszych komputerach, posiadających słabsze karty graficzne i procesory, tych efektów nie ma i system wygląda porównywalnie do poprzednich wersji. Aby w pełni wykorzystać efekty 3D nowego systemu, karta graficzna będzie musiała posiadać technologię Windows Display Driver Model (WDDM).

    Nowością jest także Windows Sidebar. Można do niego "podpiąć" różne mini-aplikacje (zwane widżetami), takie jak odtwarzacz multimedialny, zegar, czytnik RSS czy kalendarz (oczywiście, będzie można go wyłączyć). Rozwiązanie to jest odpowiedzią na Dashboard zawarty w Mac OS X oraz SuperKaramba w KDE (środowisku graficznym dostępnym dla systemów uniksowych takich jak GNU/Linux czy systemy z rodziny BSD).

    Wymagania sprzętowe

    Konfiguracja minimalna (wg producenta), przy której niektóre funkcje systemu Windows Vista są niedostępne:
  • Procesor 32- lub 64-bitowy o częstotliwości 800 MHz
  • 512 MB pamięci operacyjnej
  • Karta graficzna SVGA (o rozdzielczości 800×600)
  • Dysk twardy o pojemności 20 GB i 15 GB wolnego miejsca
  • Napęd CD-ROM

    Konfiguracja zalecana (umożliwiająca korzystanie ze wszystkich funkcji systemu, wg producenta)
  • Procesor 32- lub 64-bitowy o częstotliwości 1 GHz
  • 1 GB pamięci operacyjnej
  • Karta graficzna spełniająca wymagania Windows Aero (m.in. Pixel Shader 2.0) i posiadająca 128 MB pamięci
  • Dysk twardy o pojemności 40 GB i mający 15 GB wolnego miejsca podczas instalacji, po zainstalowaniu system zajmuje 8 GB
  • Napęd DVD-ROM
  • Dostęp do sieci Internet

    Niektóre funkcje niedostępne w podstawowej edycji systemu, takie jak obsługa tunera telewizyjnego, wymagają dodatkowego sprzętu

    GRUPY ROBOCZE I DOMENY SYSTEMU WINDOWS

    Grupa robocza

    Grupa robocza to mała grupa komputerów, które pracują w sieci nie zapewniającej centralnej administracji zasobami. Każdy komputer w grupie roboczej posiada własną przechowywaną lokalnie bazę kont SAM (Security Account Manager) i dlatego użytkownik musi mieć stworzone konto na każdym komputerze, do którego chce się zalogować. Podczas pracy w grupie roboczej nie obowiązuje zasada pojedynczego konta i pojedynczego logowania. Grupa robocza jest preferowana wyłącznie w małych sieciach biurowych oraz domowych, ponieważ w miarę zwiększania ilości komputerów pracujących w sieci, znacznie komplikuje się zarządzanie nią.

    Domena

    Domena, podobnie jak grupa robocza, jest logiczną grupą komputerów, jednak w domenie występuje pojedyncza baza kont przechowująca wszystkie domenowe konta użytkowników, grup oraz komputerów. Wspomniana baza jest przechowywana na serwerach pełniących funkcję tzw. Kontrolerów domeny (DC - Domain Controller) usługi Active Directory. W jej skład może wchodzić od kilku do kilku tysięcy komputerów. Podczas pracy w domenie użytkownik potrzebuje wyłącznie jednego konta, aby logować się do dowolnych zasobów. To udogodnienie nazywamy pojedynczym logowaniem (ang. Single logon process).

    DNS (ang. Domain Name System, system nazw domenowych) to system serwerów oraz protokół komunikacyjny zapewniający zamianę adresów znanych użytkownikom Internetu na adresy zrozumiałe dla urządzeń tworzących sieć komputerową. Dzięki wykorzystaniu DNS nazwa mnemoniczna, np. pl.wikipedia.org, może zostać zamieniona na odpowiadający jej adres IP, czyli 145.97.39.155.

    Logowanie się do domeny

    Aby zalogować się do domeny należy przejść do klasycznego panelu logowania opuszczając standardowy z obrazkami i nazwą użytkownika wciskając dwukrotnie kombinację [Ctrl+Alt+Del]. Okienko, jakie się pojawi będzie posiadało 3 pola: Nazwa użytkownika, Hasło oraz Zaloguj do. Podajemy nazwę użytkownika i hasło takie, jakie posiadamy w koncie domeny oraz wybieramy odpowiednią nazwę komputera, z jakim chcemy się połączyć.

    Instalacja systemu Windows - czynności wstępne, instalacja z płyty CD.

    INSTALACJA SYSTEMU

    1. Czy się odpali ? Wymagania sprzętowe Windows 2000 dla wersji serwerowych:

    Procesor Pentium, min. 133 MHz lub więcej
    Pamięć RAM min. 256 MB Ram a max. 8 GB (128 MB min. obsługiwane)
    Dysk Twardy min. pojemność 2 GB

    2. O czym trzeba pamiętać, czyli przygotowania do instalacji.

    Przed instalacją musimy zdecydować, jak chcemy partycjonować nasz dysk. Musimy wybrać czy chcemy Basic storage - partycje dzielimy na podstawowe i rozszerzone czy może Dynamic storage - "dysk przekonwertowany" z Basic zawiera proste, połączone, mirrorowane lub RAID-5 volumeny. Kolejnym krokiem jest wybór systemu plików: FAT lub NTFS. Z wiadomych względów zalecany NTFS. Ważny jest również wybór licencji CAL: Per Seat lub Per Server. Przed instalacją należy ustalić czy komputer będzie łączył się z siecią poprzez grupę roboczą (workgroup) czy też domenę (domain). W drugim wypadku trzeba mieć przygotowane adresy DNS.

    3. Zaczynamy !

    Po restarcie komputera następuje bootowanie systemu z dysku CD-ROM. Przez chwilę są ładowane sterowniki wymagane do poprawnej pracy instalatora oraz uruchomienia systemu. Jeżeli mamy dysk oparty na kontrolerze SCSI lub RAID należy nacisnąć F6 w celu wczytania odpowiedniego sterownika.

    Po krótkiej chwili przywita nas instalator systemu Win 2000 Server. Aby kontynuować klikamy "Enter".

    Teraz pojawiło się okno wyboru : czy instalujemy system czy chcemy naprawić istniejącą instalację. W tym wypadku klikamy "Enter"

    Setup wykrył, że nasz twardy dysk jest czysty, pyta się o potwierdzenie instalacji. Zdarza się, że na dysku może być system niekompatybilny z Win2k, tzn. system może go nie wykryć i ostrzega o całkowitej utracie danych. Kontynuujemy klikając "C"

    Teraz licencja. "F8" i jedziemy dalej :-)

    Dysk jest czysty. Należy utworzyć partycję. By ją utworzyć na wolnej przestrzeni klikamy "C"

    Podajemy rozmiar nowej partycji i klikamy "Enter"

    Miejsce pod partycję przygotowane. Teraz "C" i partycja zostanie utworzona.

    Oczywiście teraz czas na formatowanie partycji. Zalecam wybrać system plików NTFS i "Enter"

    Formatowanie partycji trwa. Czekajmy cierpliwie.

    Następnie pliki są kopiowane do folderów instalacyjnych

    Ta część instalacji się zakończyła. Należy ponownie uruchomić komputer. Czekamy 10 sekund lub wciskamy "Enter"

    Teraz następuje uruchomienie systemu i ....

    ... pojawia się dobrze znany czarodziej z którym nie powinniśmy mieć kłopotów.

    Kolejną rzeczą jest wykrywanie urządzeń. System Windows 2000 radzi z tym sobie doskonale.

    Czas na polonizację :-)

    Formalności dalszy ciąg. Podajemy nazwę i organizację.

    Teraz to co wszyscy lubią najbardziej. Numer seryjny.

    Wybór licencji. Tutaj wybieramy Per Server. Podajemy liczbę użytkowników, która będzie przyłączona do komputera. Każdy klient musi mieć CAL - Client Access License. Wkrótce artykuł na temat licencjonowania Windows.

    Nazwa komputera i hasło dla administratora.

    Wybór komponentów do instalacji. Ja wybieram standard ale warto się temu troszkę bliżej przyjrzeć.

    Czas na czas :-)

    Teraz szybciutko instalują się komponenty sieciowe.

    Zabieramy się za konfigurację sieci. Mamy do wyboru ustawienia typowe i Custom - ręczny wybór. Zobaczmy co tam jest.

    Protokoły, protokoły ....

    W każdym przypadku możemy sobie ręcznie ustawić żądany adres IP czy DNS

    Teraz ważny moment, dokonujemy wyboru: czy nasz komputer będzie pracował w grupie roboczej (Workgroup) - wtedy wystarczy tylko wpisać poniżej nazwę tej grupy, lub określić komputer w domenie i podać jej nazwę.

    Jeżeli wybraliśmy opcję pracy w określonej domenie, przyłączamy do niej komputer. Podajemy swoje parametry i ustawiamy nasz serwer do pracy w niej.

    Końcowym krokiem jest instalowanie komponentów - składników systemu Windows 2000, kończenie ustawień oraz usuwanie plików tymczasowych.

    Instalator zakończył pracę. Wyjmujemy dysk CD ze stacji i klikamy "Finish".

    Teraz wystarczy nam tylko uruchomić ponownie komputer i możemy cieszyć się takim to widokiem. W porównaniu do wersji Windows 2000 Professional od razu rzuca nam się w oczy większa ilość narzędzi administracyjnych.

    I tak dobrnęliśmy szczęśliwie do końca. Jak widać proces instalacji Windows 2000 Server nie jest dużo trudniejszy od wersji Professional.


    Korzystanie z konsoli zarządzania Microsoft i harmonogram zadań

    Aby uruchomić konsolę zarządzania zasadami grupy, kliknij kolejno przycisk Start, polecenie Panel sterowania, polecenie Narzędzia administracyjne i polecenie Group Policy Management (Zarządzanie zasadami grupy).

    Aby utworzyć lub usunąć obiekt zasad grupy

    Otwórz przystawkę Group Policy Management (Zarządzanie zasadami grupy).

    Tworzenie

    W drzewie konsoli kliknij prawym przyciskiem myszy folder Group Policy Objects (Obiekty zasad grupy) znajdujący się w lesie i domenie, w której chcesz utworzyć obiekt zasad grupy.
    Gdzie? nazwa_lasu/Domains/nazwa_domeny/Group Policy Objects
    Kliknij przycisk New (Nowy).
    W oknie dialogowym New GPO (Nowy obiekt zasad grupy) wpisz nazwę nowego obiektu zasad grupy, a następnie kliknij przycisk OK.

    Tworzenie i łączenie

    W drzewie konsoli kliknij prawym przyciskiem myszy domenę nazwa_domeny w lesie, w którym chcesz utworzyć i połączyć obiekt zasad grupy.
    Gdzie? nazwa_lasu/Domains/nazwa_domeny
    Kliknij przycisk Create and Link a GPO Here (Utwórz i połącz obiekt zasad grupy tutaj).
    W oknie dialogowym New GPO (Nowy obiekt zasad grupy) wpisz nazwę nowego obiektu zasad grupy, a następnie kliknij przycisk OK.

    Usuwanie

    W drzewie konsoli kliknij dwukrotnie folder Group Policy Objects (Obiekty zasad grupy) znajdujący się w lesie i domenie zawierającej obiekt zasad grupy, który chcesz usunąć. Gdzie? nazwa_lasu/Domains/nazwa_domeny/Group Policy Objects
    Kliknij prawym przyciskiem myszy żądany obiekt zasad grupy i wybierz polecenie Delete (Usuń).
    Po wyświetleniu monitu o potwierdzenie usunięcia kliknij przycisk OK.

    Uwagi

    Aby utworzyć obiekt zasad grupy, należy mieć odpowiednie przywileje. Domyślnie uprawnienia do tworzenia obiektów zasad grupy mają wyłącznie administratorzy domen, administratorzy przedsiębiorstwa oraz członkowie grupy Twórcy-właściciele zasad grupy. Aby oddelegować uprawnienia do tworzenia obiektów zasad grupy dodatkowym grupom i użytkownikom, należy przejść do folderu Group Policy Objects (Obiekty zasad grupy) znajdującego się w żądanej domenie i kliknąć kartę Delegowanie.
    Aby usunąć obiekt zasad grupy, należy mieć wobec niego uprawnienia Edit Settings (Edycja ustawień), Delete (Usuwanie) i Modify Security (Modyfikacja zabezpieczeń).
    Jeśli obiekty zasad grupy są tworzone przy użyciu tej metody, nie są do nich tworzone żadne łącza. Użytkownik może jednak samodzielnie dodać łącza w obrębie tego samego lasu. W tym celu należy kliknąć prawym przyciskiem myszy żądaną domenę, lokację lub jednostkę organizacyjną, a następnie wybrać polecenie Link Existing GPO (Połącz istniejący obiekt zasad grupy). Można również utworzyć i połączyć obiekt zasad grupy, klikając prawym przyciskiem myszy żądaną domenę lub jednostkę organizacyjną, a następnie klikając polecenie Create and Link a GPO Here (Utwórz i połącz obiekt zasad grupy tutaj).
    Podczas usuwania obiektu zasad grupy przystawka Zarządzanie zasadami grupy próbuje usunąć wszystkie łącza do tego obiektu istniejące w jego domenie. Aby jednak łącze zostało usunięte, użytkownik musi mieć uprawnienia do łączenia obiektów zasad grupy z daną jednostką organizacyjną lub domeną. Przy braku takich uprawnień obiekt zasad grupy zostanie usunięty, ale łącze pozostanie. Łącza prowadzące z innych domen i lokacji nie są usuwane. Łącze do usuniętego obiektu zasad grupy jest wyświetlane w przystawce Zarządzanie zasadami grupy wraz z komunikatem Not Found (Nie znaleziono). Aby usunąć łącza oznaczone jako Not Found (Nie znaleziono), należy mieć odpowiednie uprawnienia wobec lokacji, domeny lub jednostki organizacyjnej zawierającej to łącze lub też poprosić osobę posiadającą odpowiednie uprawnienia do usuwania łącza.
    W usłudze Active Directory obiekty zasad grupy są rozróżniane na podstawie identyfikatorów GUID. Teoretycznie istnieje więc możliwość, że pod tą samą przyjazną nazwą będzie występowało kilka obiektów zasad grupy. Przystawka Zarządzanie zasadami grupy zapobiega tworzeniu więcej niż jednego obiektu zasad grupy o danej nazwie, ale infrastruktura zasad grupy nie wymusza zachowania unikatowości tych nazw. Dlatego też przyjazne nazwy mogą się powielać w przypadkach, gdy do tworzenia obiektów zasad grupy są używane starsze narzędzia, replikacja przebiega powoli lub jeśli operacje na obiektach są wykonywane za pomocą skryptów.
    Nie można usunąć domyślnych zasad kontrolerów domeny ani domyślnych zasad domeny.
    Przed usunięciem obiektu zasad grupy można sprawdzić, czy nie istnieją łącza między domenami. W tym celu należy przejść do karty Scope (Zakres) obiektu zasad grupy, który ma zostać usunięty, a następnie w polu Display links in this location (Wyświetl łącza w tej lokalizacji) zaznaczyć opcję Entire Forest (Cały las). Następnie można zaznaczyć wszystkie łącza, kliknąć zaznaczenie prawym przyciskiem myszy i wybrać polecenie Delete link (Usuń łącze). Wykonanie tej procedury pozwoli uzyskać pewność, że przed usunięciem obiektu zasad grupy zostały usunięte łącza istniejące między domenami.

    Nowe sposoby wykonywania znanych zadań


    W poniższej tabeli wymieniono typowe zadania związane z administrowaniem dyskami i woluminami. W tej wersji systemu Windows interfejs użytkownika używany do wykonywania tych zadań jest inny niż w systemie Windows NT wersja 4.0.

    Przy użyciu interfejsu systemu Windows

    1. Otwórz program Zarządzanie komputerem (lokalne).
    2. W drzewie konsoli kliknij węzeł Zarządzanie komputerem (lokalne), kliknij polecenie Magazyn, a następnie kliknij pozycję Zarządzanie dyskami.
    3. Kliknij prawym przyciskiem myszy wolumin, który chcesz sformatować (lub sformatować ponownie), a następnie kliknij polecenie Formatuj.
    4. Zaznacz żądane opcje, a następnie kliknij przycisk OK.

    Aby wykonać tę procedurę na komputerze lokalnym, użytkownik musi być członkiem grupy Operatorzy kopii zapasowych lub Administratorzy na komputerze lokalnym albo mieć delegowane odpowiednie uprawnienia. Aby wykonać tę procedurę zdalnie, użytkownik musi być członkiem grupy Operatorzy kopii zapasowych lub grupy Administratorzy na komputerze zdalnym. Jeśli komputer jest przyłączony do domeny, procedurę tę być może będą mogli wykonać członkowie grupy Administratorzy domeny. Ze względów bezpieczeństwa zalecane jest wykonanie tej procedury przy użyciu funkcji Uruchom jako. Aby uzyskać więcej informacji, zobacz Domyślne grupy lokalne, Grupy domyślne i Korzystanie z funkcji Uruchom jako.

    Aby otworzyć przystawkę Zarządzanie komputerem, kliknij przycisk Start, kliknij polecenie Panel sterowania, kliknij dwukrotnie ikonę Narzędzia administracyjne, a następnie kliknij dwukrotnie ikonę Zarządzanie komputerem.

    Nie można formatować woluminu systemowego ani rozruchowego.

    Przed włączeniem funkcji kopiowania w tle dla woluminiu zaleca się wybranie klastra o rozmiarze 16 KB lub większego. W przeciwnym razie liczba zmian spowodowanych przez defragmentację woluminu może spowodować usunięcie poprzednich wersji plików.

    Kompresja plików jest obsługiwana tylko na woluminach NTFS o rozmiarze klastra nieprzekraczającym 4 KB.

    Po zaznaczeniu pola wyboru Wykonaj szybkie formatowanie pliki są usuwane z dysku, ale dysk nie jest skanowany w poszukiwaniu uszkodzonych sektorów. Opcji tej można używać, jeżeli dysk był już wcześniej formatowany i istnieje pewność, że nie jest uszkodzony.

    W przypadku woluminów dynamicznych w przystawce Zarządzanie dyskami dostępny jest tylko system plików NTFS. Woluminy dynamiczne można jednak sformatować w systemie FAT lub FAT32 przy użyciu polecenia format.

    Wprowadzenie do zarządzania dyskami. Typowe zadania zarządzania dyskami.


    Uwaga

    W przypadku tego składnika nie ma istotnych różnic w interfejsie użytkownika między systemem Windows 2000 czy Windows XP a systemami operacyjnymi z rodziny Windows Server 2003.

    Przy użyciu interfejsu systemu Windows


    Otwórz program Zarządzanie komputerem (lokalne).
    W drzewie konsoli kliknij węzeł Zarządzanie komputerem (lokalne), kliknij polecenie Magazyn, a następnie kliknij pozycję Zarządzanie dyskami.
    Kliknij prawym przyciskiem myszy wolumin, który chcesz sformatować (lub sformatować ponownie), a następnie kliknij polecenie Formatuj.
    Zaznacz żądane opcje, a następnie kliknij przycisk OK.

    Aby wykonać tę procedurę na komputerze lokalnym, użytkownik musi być członkiem grupy Operatorzy kopii zapasowych lub Administratorzy na komputerze lokalnym albo mieć delegowane odpowiednie uprawnienia. Aby wykonać tę procedurę zdalnie, użytkownik musi być członkiem grupy Operatorzy kopii zapasowych lub grupy Administratorzy na komputerze zdalnym. Jeśli komputer jest przyłączony do domeny, procedurę tę być może będą mogli wykonać członkowie grupy Administratorzy domeny. Ze względów bezpieczeństwa zalecane jest wykonanie tej procedury przy użyciu funkcji Uruchom jako. Aby uzyskać więcej informacji, zobacz Domyślne grupy lokalne, Grupy domyślne i Korzystanie z funkcji Uruchom jako.

    Aby otworzyć przystawkę Zarządzanie komputerem, kliknij przycisk Start, kliknij polecenie Panel sterowania, kliknij dwukrotnie ikonę Narzędzia administracyjne, a następnie kliknij dwukrotnie ikonę Zarządzanie komputerem.

    Nie można formatować woluminu systemowego ani rozruchowego.

    Przed włączeniem funkcji kopiowania w tle dla woluminiu zaleca się wybranie klastra o rozmiarze 16 KB lub większego. W przeciwnym razie liczba zmian spowodowanych przez defragmentację woluminu może spowodować usunięcie poprzednich wersji plików.

    Kompresja plików jest obsługiwana tylko na woluminach NTFS o rozmiarze klastra nieprzekraczającym 4 KB.

    Po zaznaczeniu pola wyboru Wykonaj szybkie formatowanie pliki są usuwane z dysku, ale dysk nie jest skanowany w poszukiwaniu uszkodzonych sektorów. Opcji tej można używać, jeżeli dysk był już wcześniej formatowany i istnieje pewność, że nie jest uszkodzony.

    W przypadku woluminów dynamicznych w przystawce Zarządzanie dyskami dostępny jest tylko system plików NTFS. Woluminy dynamiczne można jednak sformatować w systemie FAT lub FAT32 przy użyciu polecenia format.

    Przy użyciu wiersza polecenia


    Otwórz wiersz polecenia.
    Wpisz:

    formatwolumin[/fs:system_plików] [/v:etykieta] [/q] [/a:rozmiar_jednostki] [/c]

    wolumin Określa punkt instalacji, nazwę woluminu lub literę dysku przeznaczonego do sformatowania. Jeśli nie określono żadnej z poniższych opcji wiersza polecenia, polecenie format używa typu woluminu do określenia domyślnego formatu dla dysku.

    /fs: system_plików Określa system plików, który ma zostać użyty: FAT, FAT32 lub NTFS. W przypadku dyskietek można zastosować tylko system plików FAT.

    /v: etykieta Określa etykietę woluminu. Jeśli pominięto opcję wiersza polecenia /v lub użyto opcji bez określenia etykiety woluminu, polecenie format wyświetli monit o etykietę woluminu po ukończeniu formatowania. Należy użyć składni /v:, aby zapobiec monitowaniu o etykietę woluminu. Jeżeli przy użyciu polecenia format jest formatowany więcej niż jeden dysk, każdemu z tych dysków zostanie nadana ta sama etykieta woluminu.

    /q Wykonuje szybkie formatowanie. Z wcześniej sformatowanego woluminu usuwana jest tablica plików i katalog główny, ale sektory nie są skanowane w poszukiwaniu uszkodzonych obszarów. Opcji wiersza polecenia /q należy używać tylko do formatowania woluminów, które były już formatowane i nie zawierają uszkodzonych obszarów.

    /a: rozmiar_jednostki Określa rozmiar klastra, znany również jako rozmiar jednostki alokacji, przeznaczony do użycia na woluminach FAT, FAT32 lub NTFS. Można używać jednej z poniższych wartości parametru rozmiar_jednostki. Jeżeli nie określono parametru rozmiar_jednostki, to zostanie on wybrany na podstawie rozmiaru woluminu.
    512 Tworzy klaster o rozmiarze 512 bajtów.
    1024 Tworzy klaster o rozmiarze 1024 bajtów.
    2048 Tworzy klaster o rozmiarze 2048 bajtów.
    4096 Tworzy klaster o rozmiarze 4096 bajtów.
    8192 Tworzy klaster o rozmiarze 8192 bajtów.
    16K Tworzy klaster o rozmiarze 16 kilobajtów.
    32K Tworzy klaster o rozmiarze 32 kilobajtów.
    64K Tworzy klaster o rozmiarze 64 kilobajtów.

    /c Dotyczy tylko systemu plików NTFS. Po użyciu tej opcji pliki tworzone na nowym woluminie będą domyślnie kompresowane.

    Dodawanie dysku

    Dodany do komputera dysk trzeba zainicjować przed przystąpieniem do tworzenia woluminów lub partycji. Kiedy przystawka Zarządzanie dyskami jest uruchamiana po raz pierwszy po instalacji nowego dysku, pojawia się kreator, który wyświetla listę nowych dysków wykrytych przez system operacyjny. Po zakończeniu pracy kreatora system operacyjny inicjuje dyski przez zapisanie podpisu dysku, znacznika zakończenia sektora (nazywanego również słowem podpisu) oraz głównego rekordu rozruchowego albo tabeli partycji GUID (GPT). Jeśli praca kreatora zostanie anulowana przed zapisaniem podpisu dysku, dysk nadal będzie w stanie Nie zainicjowany.

    Istneje możliwość użycia magazynu podstawowego lub magazynu dynamicznego. Jeśli na dysku trzeba utworzyć partycje i dyski logiczne, a także używać dysku w innych systemach operacyjnych, należy skorzystać z magazynu podstawowego. Później można przekonwertować magazyn podstawowy na dynamiczny, korzystający z woluminów dynamicznych. Komputery z systemami MS-DOS, Windows 95, Windows 98, Windows Millennium Edition, Windows NT 4.0 i Windows XP Home Edition, które są skonfigurowane do uruchamiania również z systemami operacyjnymi Windows XP Professional lub Windows Server 2003, nie mogą uzyskać dostępu do woluminów dynamicznych.

    Istnieje pięć typów woluminów dynamicznych: proste, łączone, rozłożone, dublowane i RAID-5. Woluminy proste, łączone lub rozłożone można tworzyć na komputerach z systemami Windows 2000 Professional, Windows XP Professional i Windows XP 64-bit Edition (Itanium). Na komputerach z zainstalowanymi systemami operacyjnymi Windows 2000 Server oraz Windows Server 2003 można tworzyć woluminy dynamiczne wszystkich pięciu typów. Komputer z systemem Windows XP Professional można jednak użyć do zdalnego utworzenia woluminów dublowanych i RAID-5 na komputerach z tymi systemami operacyjnymi.

    Aby uzyskać informacje o stylach partycji lub typach woluminów, których można używać na komputerach z systemem operacyjnym Windows XP lub Windows Server 2003, zobacz Style partycji.

    Aby utworzyć wolumin łączony

    Przy użyciu interfejsu systemu Windows

    Otwórz program Zarządzanie komputerem (lokalne).
    W drzewie konsoli kliknij węzeł Zarządzanie komputerem (lokalne), kliknij polecenie Magazyn, a następnie kliknij pozycję Zarządzanie dyskami.
    Kliknij prawym przyciskiem myszy nieprzydzielone miejsce na jednym z dysków dynamicznych, na którym chcesz utworzyć wolumin łączony, a następnie kliknij polecenie Nowy wolumin.
    W Kreatorze nowych woluminów kliknij przycisk Dalej, kliknij opcję Łączony, a następnie postępuj zgodnie z instrukcjami wyświetlanymi na ekranie.

    Uwagi

    Aby wykonać tę procedurę na komputerze lokalnym, użytkownik musi być członkiem grupy Operatorzy kopii zapasowych lub Administratorzy na komputerze lokalnym albo mieć delegowane odpowiednie uprawnienia. Aby wykonać tę procedurę zdalnie, użytkownik musi być członkiem grupy Operatorzy kopii zapasowych lub grupy Administratorzy na komputerze zdalnym. Jeśli komputer jest przyłączony do domeny, procedurę tę być może będą mogli wykonać członkowie grupy Administratorzy domeny. Ze względów bezpieczeństwa zalecane jest wykonanie tej procedury przy użyciu funkcji Uruchom jako. Aby uzyskać więcej informacji, zobacz Domyślne grupy lokalne, Grupy domyślne i Korzystanie z funkcji Uruchom jako.

    Aby otworzyć przystawkę Zarządzanie komputerem, kliknij przycisk Start, kliknij polecenie Panel sterowania, kliknij dwukrotnie ikonę Narzędzia administracyjne, a następnie kliknij dwukrotnie ikonę Zarządzanie komputerem.
    Woluminy łączone można tworzyć tylko na dyskach dynamicznych.
    Do utworzenia woluminu łączonego potrzeba przynajmniej dwóch dysków dynamicznych.
    Wolumin łączony można rozszerzyć maksymalnie na 32 dyski dynamiczne.
    Woluminów łączonych nie można dublować.
    Woluminy łączone nie są odporne na uszkodzenia.

    Przy użyciu wiersza polecenia

    Otwórz okno wiersza polecenia. Wpisz:
    diskpart

    W wierszu polecenia programu DISKPART wpisz:
    list disk

    Zanotuj numer dysku, na którym chcesz utworzyć wolumin prosty.
    W wierszu polecenia programu DISKPART wpisz:
    create volume simple [size=n] [disk=n]
    W wierszu polecenia programu DISKPART wpisz:
    list volume
    Zanotuj numer woluminu prostego, który chcesz rozszerzyć na inny dysk.
    W wierszu polecenia programu DISKPART wpisz:
    select volumen
    Zostanie wybrany wolumin prosty n, który chcesz rozszerzyć na inny dysk.
    W wierszu polecenia programu DISKPART wpisz:
    list disk
    Zanotuj numer dysku, na który chcesz rozszerzyć wolumin prosty.
    W wierszu polecenia programu DISKPART wpisz:
    extend [size=n] [disk=n]
    Zaznaczony wolumin zostanie rozszerzony na dysk n. Parametr size=n określa rozmiar rozszerzenia w megabajtach (MB).

    list disk Wyświetla listę dysków i informacje dotyczące dysków, takie jak rozmiar, ilość dostępnego wolnego miejsca, typ dysku podstawowego lub dynamicznego i styl partycji z głównym rekordem rozruchowym (MBR) lub tabelą partycji GUID (GPT). Fokus jest skierowany na dysk oznaczony gwiazdką (*).
    create volume simple Tworzy wolumin prosty. Fokus jest automatycznie kierowany na właśnie utworzony wolumin.
    size=n Rozmiar woluminu w megabajtach (MB). Jeżeli rozmiar nie zostanie podany, nowy wolumin obejmie pozostałe wolne miejsce na dysku.
    disk=n Dysk dynamiczny, na którym zostanie utworzony wolumin. Jeżeli nie zostanie podany dysk, zostanie użyty dysk bieżący.
    list volume Wyświetla listę woluminów podstawowych i dynamicznych na wszystkich dyskach.
    select volume Wybiera określony wolumin i daje mu fokus. Parametr n jest numerem woluminu. Jeżeli nie określono żadnego woluminu, wykonanie polecenia select powoduje wyświetlenie informacji o woluminie, który właśnie ma fokus. Wolumin można określić za pomocą numeru, litery dysku lub ścieżki do punktu instalacji. Wybranie woluminu na dysku podstawowym spowoduje również przeniesienie fokusu na odpowiadającą mu partycję.
    extend Rozszerza wolumin mający fokus na następny ciągły, nieprzydzielony obszar. W przypadku woluminów podstawowych nieprzydzielony obszar musi znajdować się na tym samym dysku za partycją mającą fokus (to znaczy jego przesunięcie wyrażone liczbą sektorów musi być większe). Dynamiczny wolumin prosty lub łączony można rozszerzyć na puste miejsce na dowolnym dysku dynamicznym. Za pomocą tego polecenia można rozszerzyć istniejący wolumin na nowo utworzony obszar.
    Jeżeli partycję uprzednio sformatowano w systemie plików NTFS, system plików jest automatycznie rozszerzany tak, aby zajmował całą powiększoną partycję. Żadne dane nie zostaną utracone. Jeśli partycja była wcześniej sformatowana w systemie plików innym niż NTFS, polecenie nie zostanie wykonane, a na partycji nie zostaną dokonane żadne zmiany. Nie można rozszerzyć bieżących partycji systemowych lub rozruchowych.
    disk=n Dysk dynamiczny, na który ma być rozszerzony wolumin. Na dysku jest przydzielana ilość miejsca równa wartości parametru size=n. Jeśli żaden dysk nie zostanie określony, wolumin zostanie rozszerzony na dysku bieżącym.
    size=n Wyrażona w megabajtach (MB) ilość miejsca, jaka ma być dodana do bieżącej partycji. W razie nieokreślenia rozmiaru, dysk zostanie rozszerzony, tak aby zajął cały następny ciągły obszar nieprzydzielonego miejsca.

    Tworzenie kont użytkowników i grup

    Konta użytkowników służą do uwierzytelniania, autoryzowania i odmawiania dostępu do zasobów oraz do przeprowadzania inspekcji aktywności poszczególnych użytkowników w sieci. Konto grupy stanowi kolekcję kont użytkowników, za pomocą której można przypisywać zbiory praw i uprawnień do wielu użytkowników jednocześnie. Grupa może też często zawierać kontakty, komputery i inne grupy. Za pomocą kont grup i użytkowników można w usłudze Active Directory zarządzać użytkownikami domeny. Tworząc konta grup i użytkowników na komputerze lokalnym, można zarządzać użytkownikami tego komputera. Do najczęściej wykonywanych zadań należą tworzenie kont użytkowników w usłudze Active Directory, tworzenie kont grup w usłudze Active Directory, tworzenie kont użytkowników na komputerze lokalnym i tworzenie grup na komputerze lokalnym. Konta użytkowników i grup w usłudze Zarządzanie usługą Active Directory z wiersza polecenia lub na Zarządzanie grupami lokalnymi z wiersza polecenia można tworzyć za pomocą wiersza polecenia. Aby uzyskać więcej informacji na temat innych zadań związanych z zarządzaniem kontami użytkowników i grup w usłudze Active Directory, zobacz Zarządzanie użytkownikami, grupami i komputerami. Aby uzyskać więcej informacji na temat innych zadań związanych z zarządzaniem kontami użytkowników i grup na komputerze lokalnym, zobacz Użytkownicy i grupy lokalne - wykonywanie określonych zadań.

    Aby utworzyć konto użytkownika w usłudze Active Directory

     
  • Otwórz przystawkę Użytkownicy i komputery usługi Active Directory.
  • W drzewie konsoli kliknij prawym przyciskiem myszy folder, do którego chcesz dodać konto użytkownika.
    Gdzie?
    Użytkownicy i komputery usługi Active Directory/węzeł domeny/folder
  • Wskaż polecenie Nowy, a następnie kliknij polecenie Użytkownik.
  • W polu Imię wpisz imię użytkownika.
  • W polu Inicjały wpisz inicjały użytkownika.
  • W polu Nazwisko wpisz nazwisko użytkownika.
  • Zmodyfikuj pole Imię i nazwisko, aby dodać inicjały lub odwrócić kolejność imienia i nazwiska.
  • W polu Nazwa logowania użytkownika wpisz nazwę logowania użytkownika, kliknij sufiks UPN na liście rozwijanej, a następnie kliknij przycisk Dalej.
    Jeśli na komputerach z systemem Windows 95, Windows 98 lub Windows NT użytkownik będzie korzystać z innej nazwy logowania, należy zmienić nazwę logowania użytkownika w polu Nazwa logowania użytkownika (systemy starsze niż Windows 2000).
  • W polu Hasło i Potwierdź hasło wpisz hasło użytkownika, a następnie wybierz odpowiednie opcje hasła. Uwagi Aby wykonać tę procedurę, użytkownik musi być członkiem grupy Operatorzy kont, Administratorzy domeny lub Administratorzy przedsiębiorstwa w usłudze Active Directory albo mieć delegowane odpowiednie uprawnienia. Ze względów bezpieczeństwa zalecane jest wykonanie tej procedury przy użyciu funkcji Uruchom jako. Aby uzyskać więcej informacji, zobacz Domyślne grupy lokalne, Grupy domyślne i Korzystanie z funkcji Uruchom jako.

    Aby otworzyć przystawkę Użytkownicy i komputery usługi Active Directory, kliknij przycisk Start, kliknij polecenie Panel sterowania, kliknij dwukrotnie ikonę Narzędzia administracyjne, a następnie kliknij dwukrotnie ikonę Użytkownicy i komputery usługi Active Directory.
    Aby dodać użytkownika, można także kliknąć przycisk

    Utwórz nowego użytkownika w bieżącym kontenerze na pasku narzędzi.

     
  • Użytkownika można też dodać, kopiując dowolne utworzone wcześniej konto użytkownika.
  • Nowe konto użytkownika, mające taką samą nazwę jak uprzednio usunięte, nie przyjmuje automatycznie uprawnień i członkostwa grup wcześniej usuniętego konta, bo każde konto ma unikatowy identyfikator zabezpieczeń. Aby zduplikować usunięte konto użytkownika, wszystkie uprawnienia i członkostwa trzeba odtworzyć ręcznie.
  • Jeśli konto użytkownika jest tworzone za pomocą kreatora nowych użytkowników z okienka szczegółów, można szybko edytować właściwości użytkownika, zamykając kreatora, klikając nowe konto, a następnie naciskając klawisz ENTER. Aby otworzyć kreatora nowych użytkowników z okienka szczegółów, kliknij prawym przyciskiem myszy okienko szczegółów, wskaż polecenie Nowy, a następnie kliknij opcję Użytkownik.
  • Można utworzyć obiekt użytkownika InetOrgPerson w celu zapewnienia współdziałania z innymi usługami katalogowymi. Aby utworzyć nowy obiekt inetOrgPerson, w kroku trzecim zamiast polecenia Użytkownik kliknij polecenie InetOrgPerson.
  • Podczas tworzenia nowego użytkownika atrybut "pełna nazwa" jest domyślnie tworzony w formacie Imię Nazwisko. Atrybut "pełna nazwa" decyduje także o formacie wyświetlanej nazwy widocznym na globalnej liście adresów. Format wyświetlanej nazwy można zmienić za pomocą przystawki Edycja ADSI. Zmiana tego formatu pociąga za sobą również zmianę formatu pełnej nazwy. Aby uzyskać więcej informacji, zobacz artykuł Q250455, "How to Change Display Names of Active Directory Users", w bazie wiedzy Microsoft Knowledge Base.

    Aby utworzyć konto grupy w usłudze Active Directory

     
  • Otwórz przystawkę Użytkownicy i komputery usługi Active Directory.
  • W drzewie konsoli kliknij prawym przyciskiem myszy folder, do którego chcesz dodać nową grupę.
    Gdzie?
    Użytkownicy i komputery usługi Active Directory/węzeł domeny/folder

     
  • Wskaż polecenie Nowy, a następnie kliknij polecenie Grupa.
  • Wpisz nazwę nowej grupy. Domyślnie wpisywana nazwa jest również wprowadzana jako nazwa nowej grupy w systemach Windows starszych niż Windows 2000.
     
  • W obszarze Zakres grupy kliknij jedną z wyświetlonych opcji.
  • W obszarze Typ grupy kliknij jedną z wyświetlonych opcji.
    Uwagi
    Aby wykonać tę procedurę, użytkownik musi być członkiem grupy Operatorzy kont, Administratorzy domeny lub Administratorzy przedsiębiorstwa w usłudze Active Directory albo mieć delegowane odpowiednie uprawnienia. Ze względów bezpieczeństwa zalecane jest wykonanie tej procedury przy użyciu funkcji Uruchom jako. Aby uzyskać więcej informacji, zobacz Domyślne grupy lokalne, Grupy domyślne i Korzystanie z funkcji Uruchom jako.

     
  • Aby otworzyć przystawkę Użytkownicy i komputery usługi Active Directory, kliknij przycisk Start, kliknij polecenie Panel sterowania, kliknij dwukrotnie ikonę Narzędzia administracyjne, a następnie kliknij dwukrotnie ikonę Użytkownicy i komputery usługi Active Directory.
  • Aby dodać grupę, można także kliknąć folder, który ma zostać dodany do grupy, a następnie kliknąć przycisk

    Utwórz nową grupę w bieżącym kontenerze na pasku narzędzi.

     
  • Jeżeli dla domeny, w której grupa jest tworzona, ustawiono w systemie Windows 2000 mieszany poziom funkcjonalności, można wybrać tylko grupy bezpieczeństwa z zakresami Domena lokalna lub Globalny. Aby uzyskać więcej informacji, zobacz Zakres grupy.
  • Jeśli konto grupy jest tworzone za pomocą kreatora nowych grup z okienka szczegółów, można szybko edytować właściwości konta grupy, zamykając kreator, klikając nowe konto, a następnie naciskając klawisz ENTER. Aby otworzyć kreatora nowych grup z okienka szczegółów, kliknij prawym przyciskiem myszy okienko szczegółów, kliknij polecenie Nowy, a następnie kliknij opcję Grupa.

    Aby utworzyć konto użytkownika na komputerze lokalnym

     
  • Otwórz program Zarządzanie komputerem.
  • W drzewie konsoli kliknij węzeł Użytkownicy.
    Gdzie?
    Zarządzanie komputerem/Narzędzia systemowe/Użytkownicy i grupy lokalne/Użytkownicy

     
  • W menu Akcja kliknij polecenie Nowy użytkownik.
  • W wyświetlonym oknie dialogowym wpisz odpowiednie informacje.
  • Zaznacz lub wyczyść następujące pola wyboru:
    Użytkownik musi zmienić hasło przy następnym logowaniu
    Użytkownik nie może zmienić hasła
    Hasło nigdy nie wygasa
    Konto jest wyłączone

     
  • Kliknij przycisk Utwórz, a następnie kliknij przycisk Zamknij.
    Uwagi
  • Aby wykonać tę procedurę, użytkownik musi być członkiem grupy Administratorzy na komputerze lokalnym lub mieć delegowane odpowiednie uprawnienia. Jeśli komputer jest przyłączony do domeny, procedurę tę być może będą mogli wykonać członkowie grupy Administratorzy domeny. Ze względów bezpieczeństwa zalecane jest wykonanie tej procedury przy użyciu funkcji Uruchom jako. Aby uzyskać więcej informacji, zobacz Domyślne grupy lokalne, Grupy domyślne i Korzystanie z funkcji Uruchom jako.
  • Aby otworzyć przystawkę Zarządzanie komputerem, kliknij przycisk Start, kliknij polecenie Panel sterowania, kliknij dwukrotnie ikonę Narzędzia administracyjne, a następnie kliknij dwukrotnie ikonę Zarządzanie komputerem.
  • Nazwa użytkownika nie może być identyczna z inną nazwą użytkownika ani grupy na administrowanym komputerze. Nazwa może zawierać maksymalnie 20 znaków (małych i wielkich liter) z wyjątkiem następujących symboli: " / [ ] : ; | = , + * ? < > Nazwa użytkownika nie może składać się z samych kropek (.) lub spacji.
  • W polu Hasło i Potwierdź hasło można wpisać hasło składające się z maksymalnie 127 znaków. Jeśli jednak sieć składa się z komputerów z zainstalowanym systemem Windows 95 lub Windows 98, należy korzystać z haseł o maksymalnej długości 14 znaków. Jeśli hasło jest dłuższe, zalogowanie się do sieci z tych komputerów może być niemożliwe.
  • Nie należy dodawać nowego użytkownika lokalnego do lokalnej grupy Administratorzy, chyba że użytkownik będzie wykonywał tylko zadania administracyjne. Aby uzyskać więcej informacji, zobacz Dlaczego nie należy uruchamiać komputera jako administrator.

    Aby utworzyć grupę na komputerze lokalnym

     
  • Otwórz program Zarządzanie komputerem.
  • W drzewie konsoli kliknij węzeł Grupy.
    Gdzie?

    Zarządzanie komputerem/Narzędzia systemowe/Użytkownicy i grupy lokalne/Grupy
     
  • W menu Akcja kliknij polecenie Nowa grupa.
  • W polu Nazwa grupy wpisz nazwę nowej grupy.
  • W polu Opis wpisz opis nowej grupy.
  • Aby dodać jednego lub więcej użytkowników do nowej grupy, kliknij przycisk Dodaj.
  • W oknie dialogowym Wybieranie użytkowników, komputerów lub grup wykonaj następujące czynności:

    Aby dodać konto użytkownika lub grupy do danej grupy, w obszarze Wprowadź nazwy obiektów do wybrania wpisz nazwę konta użytkownika lub konta grupy, które chcesz dodać do grupy, a następnie kliknij przycisk OK.

    Aby dodać konto komputera do tej grupy, kliknij opcję Typy obiektów, zaznacz pole wyboru Komputery, a następnie kliknij przycisk OK. W obszarze Wprowadź nazwy obiektów do wybrania wpisz nazwę konta komputera, które chcesz dodać, a następnie kliknij przycisk OK.
     
  • W oknie dialogowym Nowa grupa kliknij przycisk Utwórz, a następnie kliknij przycisk Zamknij.
    Uwagi

    Aby wykonać tę procedurę, użytkownik musi być członkiem grupy Administratorzy na komputerze lokalnym lub mieć delegowane odpowiednie uprawnienia. Jeśli komputer jest przyłączony do domeny, procedurę tę być może będą mogli wykonać członkowie grupy Administratorzy domeny. Ze względów bezpieczeństwa zalecane jest wykonanie tej procedury przy użyciu funkcji Uruchom jako. Aby uzyskać więcej informacji, zobacz Domyślne grupy lokalne, Grupy domyślne i Korzystanie z funkcji Uruchom jako.

    Aby otworzyć przystawkę Zarządzanie komputerem, kliknij przycisk Start, kliknij polecenie Panel sterowania, kliknij dwukrotnie ikonę Narzędzia administracyjne, a następnie kliknij dwukrotnie ikonę Zarządzanie komputerem.

    Nazwa grupy lokalnej nie może być taka sama jak jakakolwiek inna nazwa grupy lub użytkownika na administrowanym komputerze lokalnym. Może zawierać maksymalnie 256 znaków (małych i wielkich liter) z wyjątkiem następujących symboli: " / [ ] : ; | = , + * ? < >
    Nazwa grupy nie może składać się z samych kropek (.) lub spacji.

    Istota uprawnień NTFS 
     

    Uprawnienia NTFS określają, którzy użytkownicy i grupy mogą uzyskiwać, dostęp do plików i folderów oraz co mogą robić z ich zawartością. Uprawnienia te istnieją tylko na woluminach NTFS nie mają zastosowania, na woluminach FAT i FAT32. Odnoszą one skutek bez względu na sposób dostępu użytkownika do pliku lub folderu — lokalny czy przez sieć. Uprawnienia do folderów różnią się od uprawnień do plików. 
     

    Uprawnienia NTFS do folderów

    Uprawnienia NTFS do folderów kontrolują dostęp użytkowników do folderów oraz zawarty w nich plików i podfolderów.

    Standardowe uprawnienia NTFS do folderów oraz zapewniane przez nie typy dostępu opisuje tabela 1. 
     

    Tabela 1 Uprawnienia NTFS do folderów

    Uprawnienie Możliwości
    Odczyt (Read) Widok plików i podfolderów w folderze oraz przeglądanie własności, uprawnień i atrybutów folderu (Tylko do odczytu [Read-only], Ukryty [Hidden], Archiwalny [Archive], Systemowy [System]).
    Zapis (Write) Tworzenie nowych plików i podfolderów w folderze, zmiana atrybutów folderu oraz przeglądanie własności i uprawnień do folderu.
    Wyświetlanie zawartości

    folderu

    (List Folder Contents)

    Widok nazw plików i podfolderów w folderze.
    Odczyt i wykonywanie (Read & Execute) Przechodzenie przez foldery prowadzące do osiągnięcia innych plików i folderów, nawet przy braku uprawnień do folderów, przez które się przechodzi. Wykonywanie działań, na które zezwalają uprawnienia odczytu i wyświetlania zawartości folderu.
    Modyfikacja (Modify) Usuwanie folderu plus wykonywanie działa, na które zezwalają uprawnienia zapisu oraz odczytu i wykonywania.
    Pełna kontrola (Full Control) Zmiana uprawnień, przejmowanie na własność oraz usuwanie podfolderów i plików plus wykonywanie działań, na które zezwalają pozostałe uprawnienia NTFS do folderów.
     

    Kontu użytkownika lub grupie można odmawiać uprawnień. Aby odmówić dostępu do folderu, należy odmówić uprawnienia pełnej kontroli. 
     

    Uprawnienia NTFS do plików

    Uprawnienia NTFS do plików kontrolują dostęp użytkowników do plików. Standardowe uprawnienia NTFS do plików oraz zapewniane przez nie typy dostępu opisuje tabela 2. 
     
     

    Tabela 2 Uprawnienia NTFS do plików

    Uprawnienie Możliwości
    Odczyt (Read) Odczyt pliku oraz przeglądanie jego własności uprawnień i atrybutów.
    Zapis (Write) Zastępowanie („nadpisywanie") pliku, zmiana jego atrybutów oraz przeglądanie własności i uprawnień do niego.
    Odczyt i wykonywanie (Read & Execute) Uruchamianie aplikacji plus wykonywanie działań, na które zezwala uprawnienie odczytu.
    Modyfikacja (Modify) Modyfikacja i usuwanie pliku plus wykonywanie działań, na które zezwalają uprawnienia zapisu oraz odczytu i wykonywania.
    Pełna kontrola (Full Control) Zmiana uprawnień i przejmowanie na własność plus wykonywanie działań, na które zezwalają pozostałe uprawnienia NTFS do plików.
     

    Stosowanie uprawnień NTFS 
     

    Uprawnienia NTFS mogą przypisywać użytkownikom i grupom administratorzy, właściciele plików i folderów oraz użytkownicy posiadający do nich uprawnienia pełnej kontroli. 
     
     

    Lista kontroli dostępu

    Wraz z każdym plikiem i folderem na woluminie NTFS przechowywana jest lista kontroli dostępu (ACL, Access Control List). Zawiera ona wszystkie konta użytkowników i grupy, którym przyznano lub odebrano dostęp do pliku lub folderu oraz typ tego dostępu. Jeśli użytkownik ma uzyskać dostęp do zasobu, lista ACL tego zasobu musi zawierać pozycję kontroli dostępu (ACE, Access Control Entry) dla tego konta użytkownika lub grupy, do której ono należy. Pozycja ta musi zezwalać na żądany typ dostępu (np. odczyt). Jeśli na liście ACL nie ma żadnej pozycji ACE, użytkownik nie będzie mógł uzyskać dostępu do zasobu. 
     

    Przypisywanie wielu uprawnień NTFS

    Kontu użytkownika i każdej grupie, do której ono należy, można przypisywać wiele uprawnień. Wcześniej trzeba znać reguły i priorytety dotyczące przypisywania i łączenia oraz dziedziczenia uprawnień NTFS. 
     

    Sumowanie uprawnień

    Uprawnienia wynikowe użytkownika do zasobu są sumą uprawnień NTFS przypisanych temu kontu i wszystkim grupom, do których ono należy. Przykładowo, jeśli użytkownik ma do folderu uprawnienie odczytu, a jest członkiem grupy, która ma do tego folderu uprawnienie zapisu, ma on do tego folderu jednocześnie uprawnienie odczytu i zapisu. 
     

    Omijanie uprawnień do folderów za pomocą uprawnień do plików

    Uprawnienia NTFS do plików mają pierwszeństwo przed uprawnieniami NTFS do folderów. Użytkownik posiadający uprawnienia do pliku będzie miał do niego dostęp nawet wtedy, gdy nie będzie miał uprawnień do zawierającego go folderu. W takim przypadku będzie mógł otwierać plik z poziomu odpowiadającej mu aplikacji, korzystając z pełnej ścieżki UNC (Universal Naming Convention) lub lokalnej, mimo niewidoczności dla niego folderu zawierającego ten plik. Innymi słowy, jeśli nie ma się uprawnień do folderu zawierającego plik, do którego chce się uzyskać dostęp, trzeba znać pełną ścieżkę do tego pliku. Nie mając uprawnień do folderu nie można go zobaczyć, przeglądanie w poszukiwaniu zawartego w nim pliku jest więc niemożliwe.

    Dziedziczenie uprawnień NTFS

    Uprawnienia przypisywane do folderu nadrzędnego (rodzicielskiego) są domyślnie dziedziczone i rozprzestrzeniane na podfoldery i pliki zawarte w tym folderze. 
     

    Istota dziedziczenia uprawnień

    Uprawnienia przypisywane do folderu nadrzędnego stosują się także do zawartych w nim podfolderów i plików. Dotyczy to również wszelkich nowych podfolderów i plików, tworzonych później w tym folderze. 
     

    Zapobieganie dziedziczeniu uprawnień

    Uprawnienia przypisywane do folderu nadrzędnego nie muszą być dziedziczone przez zawarte w nim podfoldery i pliki.

    Folder, dla którego zapobiega się dziedziczeniu uprawnień, staje się nowym folderem nadrzędnym, a przypisywane do niego uprawnienia będą dziedziczone przez zawarte w nim podfoldery i pliki. 
     

    Przypisywanie uprawnień NTFS 
     

    Przypisując uprawnienia NTFS warto kierować się pewnymi zasadami. Uprawnienia te powinny być zgodne z potrzebami użytkowników i grup. Dotyczy to także umożliwiania lub zapobiegania dziedziczeniu uprawnień do folderów nadrzędnych przez zawarte w nich podfoldery i pliki. 
     

    Planowanie uprawnień NTFS

    Przeznaczając nieco czasu na planowanie uprawnień NTFS i podporządkowując się kilku zasadom ułatwia się zarządzanie tymi uprawnieniami. Przypisując uprawnienia warto kierować się następującymi zasadami:

    ■ W celu uproszczenia administracji należy grupować pliki w folderach aplikacji, danych i macierzystych. Centralizować foldery macierzyste i publiczne na woluminie oddzielnym od aplikacji i systemu operacyjnego. Postępowanie takie ma następujące zalety:

    • Uprawnienia przypisuje się tylko folderom, a nie poszczególnym plikom.
    • Tworzenie kopii zapasowych jest prostsze — nie trzeba archiwizować plików aplikacji, a wszystkie foldery macierzyste i publiczne znajdują się w jednym miejscu.
     
    • Należy przyznawać użytkownikom tylko taki poziom dostępu, który jest konieczny. Jeśli użytkownik ma tylko odczytywać plik, należy przyznawać mu tylko uprawnienie odczytu. Dzięki temu zmniejsza się prawdopodobieństwo przypadkowej modyfikacji lub usuwania ważnych dokumentów i plików aplikacji przez użytkowników.
    • Należy tworzyć grupy zgodnie z typem dostępu do zasobów, wymaganym przez ich członków, a następnie przypisywać tym grupom uprawnienia. Pojedynczym kontom użytkowników należy przypisywać uprawnienia tylko w ostateczności.
    • Do folderów danych i folderów aplikacji należy przypisywać uprawnienie odczytu i wykonywania grupom użytkowników i administratorów. Dzięki temu pliki aplikacji nie będą przypadkowo usuwane ani niszczone przez użytkowników i wirusy.
    • Do folderów publicznych należy przypisywać uprawnienia odczytu i wykonywania oraz zapisu grupie użytkowników, natomiast uprawnienie pełnej kontroli grupie TWÓRCA WŁAŚCICIEL (CREATOR OWNER). Użytkownik tworzący plik jest domyślnie jego właścicielem. Po utworzeniu pliku może on przyznawać innym użytkownikom uprawnienie do przejęcia tego pliku na własność. Osoba przejmująca plik na własność staje się jego nowym właścicielem. Przypisanie uprawnień w powyższy sposób spowoduje, że użytkownicy będą mogli odczytywać i zmieniać dokumenty tworzone przez kogokolwiek, a dodatkowo usuwać pliki i podfoldery tworzone przez nich samych.
    • Należy odmawiać uprawnień tylko wtedy, gdy koniecznie trzeba odbierać konkretny typ dostępu konkretnemu kontu użytkownika lub grupie.
    • Należy zachęcać użytkowników do przypisywania uprawnień do tworzonych przez nich folderów i plików oraz nauczyć ich, jak to się robi.
     

    Ustawianie uprawnień NTFS

    Podczas formatowania woluminu w systemie plików NTFS, uprawnienie pełnej kontroli do niego jest domyślnie przypisywane grupie Wszystkich. Ustawienie takie powinno się zmieniać, przypisując uprawnienia odpowiednio kontrolujące dostęp użytkowników do zasobów. 
     

    Przypisywanie i modyfikacja uprawnień

    Uprawnienia mogą przypisywać kontom użytkowników i grupom administratorzy, właściciele plików i folderów (TWÓRCA WŁAŚCICIEL) oraz użytkownicy posiadający do nich uprawnienie pełnej kontroli.

    Przypisywanie i modyfikację uprawnień NTFS do folderu lub pliku wykonuje się na Karcie Zabezpieczeń okna dialogowego jego właściwości. Odpowiednie opcje, opisuje tabela 3. 
     

    Tabela 3 Opcje karty zabezpieczeń

    Opcja Opis
    Nazwa (Name) Należy zaznaczyć konto użytkownika lub grupę, dla którego(-j) chce się zmienić uprawnienia lub które(-ą) chce się usunąć.
    Uprawnienia (Permissions) Aby przyznać uprawnienie, należy zaznaczyć pole wyboru Zezwalaj (Allow).

    Aby odebrać uprawnienie, należy zaznaczyć pole wyboru Odmawiaj (Deny).

    Dodaj (Add) Otwiera okno dialogowe Wybieranie: Użytkownicy, Komputery lub Grupy (Select Users, Computers, or Groups), w którym wybiera się konta użytkowników i grupy dodawane do listy nazw.
    Usuń (Remove) Usuwa zaznaczone konto użytkownika lub grupę z listy oraz skojarzone z nim(-ą) uprawnienia.
    Zaawansowane (Advanced) Otwiera okno dialogowe Ustawienia kontroli dostępu (Access Control Settings) dla danego folderu lub pliku, pozwalające na manipulację innymi uprawnieniami.
     

    Zapobieganie dziedziczeniu uprawnień

    Podfoldery i pliki domyślnie dziedziczą uprawnienia przypisywane do ich folderu nadrzędnego. Wskazuje na to zaznaczone pole wyboru Zezwalaj na propagowanie uprawnień dziedzicznych obiektu nadrzędnego do tego obiektu (Allow inheritable permissions from parent to propagate to this object) na karcie zabezpieczeń okna dialogowego właściwości. Wyczyszczenie tego pola wyboru zapobiega dziedziczeniu uprawnień obiektu nadrzędnego. Po jego wyczyszczeniu wyświetlane jest żądanie wyboru jednej z opcji opisanych w tabeli 4. 
     

    Tabela 4 Opcje zapobiegania dziedziczeniu uprawnień

    Opcja Opis
    Kopiuj (Copy) Kopiuje uprawnienia z folderu nadrzędnego do obiektu bieżącego, po czym uniemożliwia dziedziczenie przezeń kolejnych uprawnień folderu nadrzędnego.
    Usuń (Remove) Usuwa uprawnienia odziedziczone od folderu nadrzędnego, pozostawiając tylko uprawnienia jawnie przypisane do danego folderu lub pliku.
    Anuluj (Cancel) Anuluje wyświetlanie okna komunikatu, przywracając zaznaczenie

    omawianego pola wyboru.

    Administrowanie udostępnionymi folderami
     

    Pojęcie udostępnionych folderów

    Udostępnione foldery zapewniają użytkownikom sieci dostęp do zasobów plikowych. Po udostępnieniu folderu użytkownicy mogą podłączać się do niego przez sieć, uzyskując dostęp do zawartych w nim plików. Dostęp ten wymaga jednak posiadania odpowiednich uprawnień do udostępnionych folderów.
     

    Uprawnienia do udostępnionych folderów

    Udostępniony folder może zawierać dane, aplikacje, bądź dane osobiste użytkownika (folder macierzysty). Każdy typ zawartości wymaga innych uprawnień do udostępnionych folderów.

    Uprawnienia do udostępnionych folderów mają następujące cechy charakterystyczne:

    • Dotyczą folderów, nie pojedynczych plików. Ponieważ można je stosować tylko do całych udostępnionych folderów, a nie do poszczególnych zawartych w nich podfolderów i plików, zabezpieczają mniej dokładnie od uprawnień NTFS
    • Nie ograniczają dostępu użytkowników do folderów uzyskiwanego lokalnie, przy komputerze ich przechowywania. Stosują się tylko do użytkowników podłączających się do folderów przez sieć.
    • Są jedynym sposobem zabezpieczania zasobów sieciowych na woluminach FAT, gdyż na woluminach tych nie istnieją uprawnienia NTFS.
    • Podczas udostępniania folderu, grupie Wszyscy jest domyślnie przypisywane uprawnienie pełnej kontroli do tego udostępnionego folderu.

    Opis uprawnień do udostępnionych folderów zawiera tabela 5, przedstawiająca je w kolejności od najbardziej do najmniej ograniczającego.
     

    Tabela 5 Uprawnienia do udostępnionych folderów

    Uprawnienie Możliwości
    Odczyt (Read) Wyświetlanie nazw podfolderów i plików, danych i atrybutów plików, uruchamianie programów oraz przechodzenie do podfolderów wewnątrz udostępnionego folderu
    Zmiana (Change) Tworzenie podfolderów, dodawanie plików, zmiana danych w plikach, dołączanie danych do plików, zmiana atrybutów plików, usuwanie podfolderów i plików plus wykonywanie działań dozwolonych przez uprawnienie odczytu.
    Pełna kontrola

    (Full control)

    Zmiana uprawnień do plików, przejmowanie plików na własność plus wykonywanie wszystkich zadań dozwolonych przez uprawnienie zmiany.

    Uprawnienia do udostępnionych folderów można przyznawać (zezwalać na nie) i odbierać (odmawiać ich). Na ogół lepiej jest uprawnienia przyznawać niż odbierać, a także przypisywać je grupom zamiast pojedynczym użytkownikom. Uprawnień odmawia się tylko wtedy, gdy trzeba ominąć ich przyznanie w inny sposób. W większości przypadków dotyczy to konkretnego użytkownika należącego do grupy, której uprawnienie przyznano. Po odmówieniu użytkownikowi uprawnienia do udostępnionego folderu, użytkownik nie będzie miał tego uprawnienia. Na przykład, aby odmówić użytkownikowi wszelkiego dostępu do udostępnionego folderu, należy odmówić mu uprawnienia pełnej kontroli do niego.
     

    Stosowanie uprawnień do udostępnionych folderów

    Przypisywanie uprawnień do udostępnionych folderów kontom użytkowników i grupom wpływa na ich dostęp do tych folderów. Odmowa uprawnienia ma pierwszeństwo przed zezwoleniem na nie. Poniższa lista opisuje wpływ stosowania uprawnień do udostępnionych folderów:

    • Łączenie wielu uprawnień. Użytkownik może być członkiem wielu grup posiadających różne uprawnienia dające różne poziomy dostępu do udostępnionych folderów. Uprawnienia wynikowe użytkownika są sumą wszystkich jego uprawnień jednostkowych i jako członka grup. Na przykład, gdy użytkownik ma uprawnienie odczytu, a należy do grupy posiadającej uprawnienie zmiany, jego uprawnieniem wynikowym jest zmiana, gdyż obejmuje ona odczyt.
    • Odmowa uprawnień omija inne uprawnienia. Odmowa uprawnień ma pierwszeństwo przed wszelkimi uprawnieniami, przyznanymi w inny sposób kontom użytkowników i grupom. Po odmówieniu użytkownikowi uprawnienia do udostępnionego folderu nie będzie on tego uprawnienia posiadał, nawet w sytuacji przyznania go grupie, której jest członkiem.
    • Na woluminach NTFS wymagane są uprawnienia NTFS. Uprawnienia do udostępnionych folderów wystarczają do uzyskiwania dostępu do folderów i plików na woluminach FAT, jednak nie na woluminach NTFS. Na woluminach FAT użytkownicy mają dostęp do tych udostępnionych folderów (wraz z zawartością), do których mają uprawnienia (do udostępnionych folderów). Na woluminach NTFS dodatkowo muszą mieć odpowiednie uprawnienia NTFS do każdego pliku i folderu, do którego chcą uzyskać dostęp,
    • Skopiowane lub przeniesione udostępnione foldery tracą właściwość udostępnienia. Kopiując udostępniony folder zachowuje się udostępnienie folderu wyjściowego, jednak kopia nie jest udostępniona. Po przeniesieniu udostępnionego folderu nie jest on udostępniony.

    Zasady stosowania uprawnień do udostępnionych folderów

    Poniższa lista zawiera kilka ogólnych zasad zarządzania udostępnionymi folderami i przypisywania uprawnień do nich:

    • Określanie grup wymagających dostępu do każdego zasobu i poziomu tego dostępu. Tworzenie dokumentacji grup i ich uprawnień do każdego zasobu
    • Przypisywanie uprawnień grupom, a nie użytkownikom, upraszczające administracji dostępem.
    • Przypisywanie do zasobów uprawnień najbardziej ograniczających, nadal jednak
      pozwalających użytkownikom na wykonywanie koniecznych zadań. Przykładowo, jeśli użytkownik musi tylko odczytywać informacje z folderu, a nigdy nie będzie w nim tworzył ani usuwał z niego plików, wystarczy przypisać mu uprawnienie odczytu.
    • Łączenie zasobów tak, aby foldery o tych samych wymogach zabezpieczeń znajdowały się w jednym folderze. Przykładowo, jeśli użytkownik musi mieć uprawnienie odczytu do folderów kilku aplikacji, warto umieścić je w jednym folderze, a następnie udostępnić go zamiast udostępniania folderów poszczególnych aplikacji.
    • Korzystanie z intuicyjnych nazw udziałów, pozwalających użytkownikom na łatwe rozpoznawanie i umiejscawianie zasobów. Na przykład dla folderu aplikacji może to być nazwa Aplik. Poza tym nazwy udziałów powinny być odczytywalne przez wszystkie klienckie systemy operacyjne.

    Udostępnianie folderów

    Dzięki udostępnianiu folderów można współdzielić zawarte w nich zasoby. Aby udostępnić folder, w zależności od roli przechowującego go komputera trzeba należeć do jednej z kilku grup. Udostępniając folder można ograniczać liczbę użytkowników jednocześnie podłączających się do niego, a przez przypisywanie uprawnień wybranym użytkownikom i grupom także kontrolować do niego dostęp. Po udostępnieniu folderu będą się do niego podłączać użytkownicy, pod warunkiem posiadania odpowiednich uprawnień. Jeśli po udostępnieniu folderu (tj. utworzeniu udziału) trzeba ten udział zmodyfikować, można wówczas zatrzymywać udostępnianie, zmieniać nazwę udziału oraz zmieniać uprawnienia użytkowników i grup do niego.
     

    Wymogi udostępniania folderów

    W systemie foldery mogą udostępniać członkowie wbudowanych grup administratorów i użytkowników zaawansowanych. W zależności od tego, czy w grę wchodzi grupa robocza czy domena, oraz typu systemu operacyjnego, foldery udostępniać mogą różne grupy:

    • Członkowie grup (domenowych) administratorów i operatorów serwerów mogą udostępniać foldery na dowolnym komputerze wchodzącym w skład domeny systemu. Użytkownicy zaawansowani są grupą lokalną, której członkowie mogą udostępniać foldery tylko na serwerze autonomicznym systemu Windows 2000 Server lub komputerze z systemem Windows 2000 Professional, na którym ta grupa się znajduje.
    • Członkowie grup administratorów i użytkowników zaawansowanych mogą udostępniać foldery na wchodzącym w skład grupy roboczej serwerze autonomicznym systemu Windows 2000 Server lub komputerze z systemem Windows 2000 Professional, na którym te grupy się znajdują.
    •  

    Uwaga: Jeśli folder przeznaczony do udostępnienia znajduje się na woluminie NTFS możliwość udostępnienia tego folderu przez użytkownika wymaga posiadania przez niego przynajmniej uprawnienia odczytu do tego folderu.
     

    Udostępnione foldery administracyjne

    System Windows automatycznie udostępnia pewne foldery dla celów administracyjnych. Nazwy tych udziałów zakończone są znakiem dolara ($), ukrywającym je przed użytkownikami przeglądającymi komputer. Te ukryte udziały administracyjne to katalog główny każdego woluminu, folder główny systemu oraz folder sterowników drukarek.
     

    Opis tych udziałów zawiera tabela 6:
     

    Tabela 6 Udostępnione foldery administracyjne systemu Windows

    Udział Przeznaczenie
    C$, D$, E$ itd. Katalog główny każdego woluminu na dysku twardym Jego nazwa udziału jest równa literze dysku zakończonej znakiem dolara ($). Podłączenie do takiego udziału daje dostęp do całego woluminu. Udziały te służą do zdalnego podłączania się do komputera pod kątem wykonywania zadań administracyjnych. Grupa administratorów ma do tych udziałów uprawnienie pełnej kontroli. W ten sam sposób udostępniane są również napędy CD-ROM.
    Admin$ Folder główny systemu (domyślnie C:Winnt). Dostęp do niego mają tylko członkowie grupy administratorów posiadający uprawnienie pełnej kontroli. Pozwala on na administrację systemem Windows bez znajomości folderu jego instalacji.
    Print$ Folder %SystemRoot%System32SpoolDrivers, udostępniony podczas udostępniania pierwszej drukarki. Daje on klientom dostęp do sterowników drukarek. Uprawnienie pełnej kontroli mają do niego tylko grupy administratorów i użytkowniku zaawansowanych, natomiast grupa wszystkich ma do niego uprawnienie odczytu.

    Nie są to jedyne możliwe udziały ukryte. Dodając na końcu nazwy udział znak dolara można tworzyć własne udziały tego typu. Dostęp do nich będą mieli jedynie użytkownicy znający ich nazwy oraz posiadający do nich właściwe uprawnienia.
     

    Udostępnianie folderu

    Udostępniając folder można nadać mu nazwę udziału, podać komentarz opisujący folder i jego zawartość, ograniczyć liczbę użytkowników jednocześnie uzyskujących no niego dostęp, przypisać doń uprawnienia, a także udostępnić go wielokrotnie.
     

    Udostępnianie folderu przebiega następująco:

    1. Należy zalogować się na konto użytkownika należące do grupy, która może udostępniać foldery.
    2. Należy kliknąć prawym przyciskiem myszy folderu przeznaczonego do udostępnienia, a następnie wybrać polecenie Właściwości (Propeties).
    3. Należy skonfigurować opcje karty Udostępnianie(Sharing) okna dialogowego właściwości.

    Tabela 7 Opcje karty udostępniania

    Opcja Opis
    Nazwa udziału

    (Share name)

    Nazwa, za pomocą której użytkownicy zdalni podłączają się do udostępnionego folderu. Jest to element wymagany.

    Komentarz (Comment) Nieobowiązkowy opis udziału. Wyświetlany jest obok nazwy udziału podczas przeglądania serwera pod kątem udostępnionych folderów przez użytkowników komputerów klienckich. Komentarz ten może służyć do identyfikacji zawartości udostępnionego folderu.
    Limit użytkowników (User limit) Liczba użytkowników, którzy mogą równocześnie podłączać się do udostępnionego folderu. Opcja Dopuszczalne maksimum (Maximum allowed) oznacza w systemie Windows 2000 Professional 10 podłączeń, natomiast w systemie Windows 2000 Server liczbę podłączeń teoretycznie nieograniczoną, jednak praktycznie ograniczoną przez liczbę kupionych licencji dostępu klienta CAL (Client Access License).
    Uprawnienia (Permissions) Uprawnienia do udostępnionego folderu, stosujące się tylko w sytuacji dostępu do niego przez sieć. Uprawnieniem domyślnym do każdego nowo udostępnianego folderu jest pełna kontrola, przypisana grupie wszystkich.
    Buforowanie (Caching) Ustawienia konfiguracyjne dostępu do tego folderu w trybie bez podłączenia.