Was ist Windows NT

Windows NT 4.0
Server
Administratorkurs
© 4/99
Dipl.-Ing. Andreas Ißleiber
GöNETZ Netzwerke
37124 Rosdorf
Tel.: 05502/944523
Fax: 05502/944524
EMail: [email protected]
Windows NT 4.0 Server Administratorkurs
Inhaltsverzeichnis
INHALTSVERZEICHNIS ............................................................................................................................. 2
WAS IST WINDOWS NT ? ............................................................................................................................ 6
VERSIONEN VON WINDOWS NT...................................................................................................................... 6
UNTERSCHIEDE ZWISCHEN NT WORKSTATION UND SERVER ......................................................................... 7
PLATTFORMEN FÜR WINDOWS NT ................................................................................................................. 7
WELCHE CLIENTS (BETRIEBSSYSTEME) WERDEN UNTERSTÜTZT .................................................................... 7
DAS DATEISYSTEM NTFS ......................................................................................................................... 7
VORTEILE VON NTFS ..................................................................................................................................... 8
SPEICHERN VON DATEN IN NTFS ................................................................................................................... 8
Transaktions-Logs ..................................................................................................................................... 8
Hot-Fixing ................................................................................................................................................. 8
INSTALLATION VON NT ............................................................................................................................ 9
VORBEREITENDEN MAßNAHMEN UND ÜBERLEGUNGEN ................................................................................. 9
Für welchen Einsatzzweck soll der neue NT-Server installiert werden ? .................................................. 9
Treiber für die eingesetzten Komponenten ................................................................................................ 9
Sind die Treiber für die Komponenten verfügbar ? ................................................................................... 9
Parameter der Komponenten ..................................................................................................................... 9
Netzwerkumgebung .................................................................................................................................. 10
Welches Domänenkonzept wird angestrebt (Domäne oder Arbeitsgruppe) ............................................ 10
PARTITIONIERUNG DER FESTPLATTE(N) ....................................................................................................... 10
Partitionierung bei vorhandenem Windows 95/98 .................................................................................. 10
Partitionierung bei vorhandenem MS-DOS ............................................................................................. 10
INSTALLATION .............................................................................................................................................. 12
Verzeichnis einer Windows NT 4.0 Server CD und deren Bedeutung. .................................................... 12
Varianten der Installation ........................................................................................................................ 12
Starten der Installation ............................................................................................................................ 13
AUFRUFPARAMETER VON WINNT.EXE........................................................................................................... 14
Beispielinstallation .................................................................................................................................. 15
UNATTENDED SETUP BEI WINDOWS NT ............................................................................................ 18
DER SETUPMANAGER SETUPMGR.EXE .................................................................................................... 18
Allgemeines Setup .................................................................................................................................... 18
Computer-Funktionen .............................................................................................................................. 19
Verzeichnis installieren............................................................................................................................ 19
Einstellungen anzeigen ............................................................................................................................ 19
Zeitzone .................................................................................................................................................... 20
Lizensierungsmodus ................................................................................................................................. 20
Allgemein ................................................................................................................................................. 20
NETZWERK SETUP ........................................................................................................................................ 21
Netzwerkkarten ........................................................................................................................................ 21
Protokolle ................................................................................................................................................ 21
Dienste ..................................................................................................................................................... 22
Internet..................................................................................................................................................... 22
ERWEITERTES SETUP .................................................................................................................................... 23
Allgemein ................................................................................................................................................. 23
Dateisystem .............................................................................................................................................. 23
Die o.g. Rubriken können dazu genutzt werden, um andere Antwortdateien des Typ´s „UDF
(Uniqueness Database Files)“ einzubinden. ........................................................................................... 23
Referenz UNATTEND.TXT-Datei ............................................................................................................ 25
UDF (Uniqueness Database Files) .......................................................................................................... 28
DER STARTVORGANG VON WINDOWS NT .................................................................................................... 29
Der Boot-Vorgang ................................................................................................................................... 29
Die BOOT.INI .......................................................................................................................................... 30
ANMELDEVORGANG BEI NT .................................................................................................................. 36
ANMELDEVORGANG UND ACCESS-TOKEN.................................................................................................... 36
2
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT 4.0 Server Administratorkurs
Schritte einer Anmeldung......................................................................................................................... 36
INFORMATIONEN ÜBER SPEZIELLE BENUTZERRECHTE ÜBER DIE DIESER BENUTZER
VERFÜGT. BENUTZERRECHTE SIND Z.B. ÄNDERN DER SYSTEMZEIT, DEBUGGEN VON
PROGRAMMEN. .......................................................................................................................................... 36
DAS SICHERHEITSMODELL BEI NT ..................................................................................................... 37
ACL ............................................................................................................................................................. 37
ZUGRIFFSKONTROLLE ................................................................................................................................... 37
DIE MODELLBAUSTEINE ............................................................................................................................... 37
Logon-Prozeß .......................................................................................................................................... 37
Security Reference Monitor ..................................................................................................................... 37
Ereignisprotokoll ..................................................................................................................................... 37
SICHERHEIT .................................................................................................................................................. 37
SID-Security-ID ....................................................................................................................................... 37
Discretionary ACL ................................................................................................................................... 38
System ACL .............................................................................................................................................. 38
Security Account Manager ....................................................................................................................... 38
Benutzer Account Datenbank ................................................................................................................... 38
Security Policy Datenbank ....................................................................................................................... 38
RECHTE UNTER NTFS .............................................................................................................................. 39
FREIGABEN (SHARES) ................................................................................................................................... 39
FESTPLATTENMANAGER........................................................................................................................ 40
PARTITIONSTYPEN ........................................................................................................................................ 40
Primäre Partitionen ................................................................................................................................. 40
Datenträgersatz (Stripe Set) .................................................................................................................... 40
SPIEGELSÄTZE UND RAID (REDUNDANT ARRAY OF INDEPENDENT DISCS) ................................................. 40
Wenn eine Festplatte im Spiegelsatz ausfällt ........................................................................................... 41
STRIPSETS MIT PARITÄT ............................................................................................................................... 41
DER FESTPLATTENMANAGER ....................................................................................................................... 42
Stripe Set erstellen ................................................................................................................................... 42
Spiegelsatz einrichten .............................................................................................................................. 42
EIGENSCHAFTEN EINER PARTITION ............................................................................................................... 43
Allgemein ................................................................................................................................................. 43
Extras ....................................................................................................................................................... 43
Freigabe................................................................................................................................................... 44
Sicherheit ................................................................................................................................................. 44
BROWSERDIENSTE IM WINDOWS NETZWERK ............................................................................... 45
ELECTION-PROZESS ...................................................................................................................................... 46
ISDOMAINMASTER ................................................................................................................................... 46
NETZWERK-CLIENT-INSTALLATIONDISKETTEN ERSTELLEN.................................................. 48
DER NETZWERK-CLIENT-MANAGER (NCADMIN.EXE) ............................................................................. 48
Verzeichnis der Client-Diskette ............................................................................................................... 50
Config.sys der Client Diskette.................................................................................................................. 51
Autoexec.bat der Client Diskette .............................................................................................................. 51
INSTALLATIONSDISKETTENSATZ ERSTELLEN ................................................................................................ 52
NT BOOT-DISKETTE ..................................................................................................................................... 53
Warum eine Boot-Diskette? ..................................................................................................................... 53
Erstellen einer Boot-Diskette ................................................................................................................... 53
DIE REGISTRY ............................................................................................................................................ 54
STRUKTUR DER REGISTRY ............................................................................................................................ 55
Die Registry aus Sicht des Registryeditors .............................................................................................. 55
Körbe (Hives) ........................................................................................................................................... 55
Zuordung der Dateien und deren Funktion innerhalb der Registry ........................................................ 56
Zugriffsschlüssel (Handle Keys) .............................................................................................................. 56
Andreas Ißleiber, GöNETZ Netzwerke
3
Windows NT 4.0 Server Administratorkurs
HKEY_LOCAL_MACHINE ..................................................................................................................... 57
HKEY_CLASSES_ROOT (Dateinamenendungen)................................................................................... 57
HKEY_CURRENT_CONFIG (aktuellen Hardwareeinstellungen) .......................................................... 57
HKEY_USERS (Standardbenutzereinstellungen) .................................................................................... 57
HKEY_CURRENT_USER (angemeldeter Benutzer) ............................................................................... 57
Schlüssel und Unterschlüssel ................................................................................................................... 57
ÄNDERN IN DEN REGISTRYEINTRÄGEN ......................................................................................................... 58
Regedit.exe ............................................................................................................................................... 58
WINDOWS NT DOMÄNEN ........................................................................................................................ 62
WAS SIND DOMÄNEN ? ................................................................................................................................. 62
AUFBAU EINER DOMAIN ............................................................................................................................... 62
EINRICHTUNG VON DOMÄNEN, PDC, BDC UND STANDALONE-SERVER ................................ 62
DOMÄNEN-CONTROLLER ............................................................................................................................. 62
Primärer Domänen-Controller (PDC) .................................................................................................... 62
Backup Domänen –Controller (BDC) ..................................................................................................... 63
Aufgaben des Domänen-Controller ......................................................................................................... 63
VERTRAUENSSTELLUNGEN ZWISCHEN DOMÄNEN ...................................................................... 64
DOMÄNENMODELLE ..................................................................................................................................... 64
Single Domain Modell ............................................................................................................................. 64
Vertraute Domain (trust relationship) ..................................................................................................... 64
Complete Trust......................................................................................................................................... 65
Master Domain ........................................................................................................................................ 65
Multiple Master Domain .......................................................................................................................... 66
BENUTZER UND GRUPPEN ..................................................................................................................... 67
BENUTZERKONTEN ....................................................................................................................................... 67
PAßWÖRTER .................................................................................................................................................. 67
EINRICHTEN VON BENUTZERN ...................................................................................................................... 67
DER BENUTZERMANAGER ............................................................................................................................ 68
BENUTZERRICHTLINIEN ................................................................................................................................ 69
Benutzer einrichten .................................................................................................................................. 70
GRUPPEN ...................................................................................................................................................... 73
Lokale Gruppen ....................................................................................................................................... 73
Globale Gruppen ..................................................................................................................................... 73
Einrichten von Gruppen........................................................................................................................... 74
Richtlinien für Benutzerrechte ................................................................................................................. 75
ÜBERWACHUNGSRICHTLINIEN ...................................................................................................................... 76
Folgende Ereignisse können überwacht werden: .................................................................................... 76
VERTRAUTE DOMÄNEN EINRICHTEN ............................................................................................................ 77
BENUTZER-PROFILE ................................................................................................................................ 79
STANDARDPROFIL ........................................................................................................................................ 79
VERÄNDERLICHES PROFIL ............................................................................................................................ 79
VERBINDLICHES PROFIL (MANDATORY PROFILE) ........................................................................................ 80
LOKALE UND SERVERBASIERTE PROFILE ...................................................................................................... 80
Lokale Profile: ......................................................................................................................................... 80
Serverbasiertes Profil (Roaming Profiles) ............................................................................................... 80
STANDARDPROFILE ALS SERVERBASIERTE VORGABE ................................................................................... 81
ALL USERS VORGABE .................................................................................................................................. 82
GLEICHE BENUTZERNAMEN ......................................................................................................................... 82
RICHTLINIEN (POLICY) ........................................................................................................................... 83
SYSTEMRICHTLINIEN .................................................................................................................................... 83
NTCONFIG.POL ..................................................................................................................................... 83
EINSTELLUNGEN VON RICHTLINIEN .............................................................................................................. 84
Einstellungen zum Standardbenutzer ....................................................................................................... 84
Einstellungen zum Standardcomputer ..................................................................................................... 84
4
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT 4.0 Server Administratorkurs
Es können auch Richtlinien von anderen Domänenmitgliedern (Computern) definiert werden. Über
„Datei-> Verbinden“ kann ein Computer ausgewählt werden. ................................................................ 84
Vorsicht bei der Verwendung von Policyeinstellungen ............................................................................ 85
Liste der Computerrichtlinien .................................................................................................................. 86
Liste der Benutzer/Gruppenrichtlinien .................................................................................................... 87
DER SERVERMANAGER ........................................................................................................................... 88
COMPUTER ................................................................................................................................................... 88
DOMÄNENAUSWAHL..................................................................................................................................... 88
RECHNER ZUR DOMÄNE HINZUFÜGEN .......................................................................................................... 88
EIGENSCHAFTEN EINES COMPUTERS............................................................................................................. 89
HERAUFSTUFEN ZUM PDC............................................................................................................................ 90
SYNCHRONISIEREN DER GANZEN DOMÄNE ................................................................................................... 90
VERZEICHNISREPLIKATION ........................................................................................................................... 90
Prinzip der Verzeichnisreplikation: ......................................................................................................... 90
EINRICHTUNG DER VERZEICHNISREPLIKATION ............................................................................................. 91
Einstellungen auf dem Exportserver ........................................................................................................ 91
Einstellungen auf dem Importserver ........................................................................................................ 92
Verzeichnisreplikation verwalten ............................................................................................................. 92
SCHEDULER ................................................................................................................................................ 93
HINZUFÜGEN VON NEUEN AUFTRÄGEN ........................................................................................................ 93
WINDOWS 2000 (AUSBLICK) ................................................................................................................... 95
WAS TUN IM NOTFALL... ......................................................................................................................... 96
1.) SICHERN DER REGISTRY .......................................................................................................................... 96
2.) PFLEGE DER NOTFALLDISKETTE .............................................................................................................. 96
3.) WEITERE HARDWAREPROFILE ERSTELLEN .............................................................................................. 96
4.) WINDOWS NT REPAIR VERWENDEN ........................................................................................................ 96
5.) BOOTFÄHIGE DISKETTE ERSTELLEN ........................................................................................................ 96
BLUE SCREEN DURCH TREIBERFEHLER ......................................................................................................... 97
HARDWARE-ERKENNUNG ............................................................................................................................. 97
EINIGE TIPS BEI WINDOWS NT ............................................................................................................. 98
WENN PNP-KARTEN NICHT ERKANNT WERDEN ............................................................................................ 98
CHKDSK BEIM STARTEN ............................................................................................................................. 98
AUTOLOGIN BEIM STARTEN .......................................................................................................................... 98
AUTOSTART VON PROGRAMMEN .................................................................................................................. 99
EINMALIGER AUFRUF VON PROGRAMMEN BEIM NEUSTART ......................................................................... 99
NT DEFAULT INSTALLATIONSPFAD ÄNDERN: ............................................................................................. 100
AUTORUN BEI CD EINLEGENDEAKTIVIEREN ............................................................................................... 100
ANMELDEBILDSCHIRM OHNE EINTRAG ....................................................................................................... 100
HERUNTERFAHREN IM ANMELDE-SCREEN (NUR NT SERVER) ................................................................... 100
DISKETTENLAUFWERK DEAKTIVIEREN ....................................................................................................... 100
WEITERE HINWEISE, QUELLEN UND LINKS .................................................................................. 100
Andreas Ißleiber, GöNETZ Netzwerke
5
Windows NT 4.0 Server Administratorkurs
Was ist Windows NT ?

Windows NT (Windows New Technology) ist ein 32-Bit Betriebssystem welches...



Multiprocessing
Multithreadingfähigkeit
Multiuserfähigkeit (NT-Terminalserver)
beherrscht.

Windows NT setzt nicht auf DOS auf

Es ist ein eigenständiges Betriebsystem

Programme werden unter Windows NT in getrennt voneinander geschützten
Speicherbereichen ausgeführt.
Dadurch bleiben, selbst bei Programmabstürzen, in der Regel, andere Programme in anderen
Speicherbereichen unberührt.

Windows NT bietet einige Sicherheitsmechanismen. Eine Anmeldung mit „Username“ und
„Paßwort“ ist dabei Voraussetzung.

Jeder Benutzer besitzt seine eigene Arbeitsumgebung, die er verändern kann und ihm bei
jeder neuen Anmeldung wieder zur Verfügung steht. Diese benutzerspezifischen Einstellungen
können (sollten) auf zentralen Servern abgelegt werden.

Windows NT ist von mehrere Benutzern gleichzeitig als File- oder Printserver nutzbar.

Windows NT ist als Workstation oder als Windows NT Server, mit weiteren Diensten wie...
-
Web-Server
FTP-Server
Mail-Server (Exchange.. u.v.a.)
News-Server
...einsetzbar.

Windows NT Workstation ist im Peer-to-Peer-Netzwerke zu betreiben (Workgroup).

Dienste, die den Zugriff von Fremd-Systemen erlauben, können integriert werden (MacintoshServices, NetWare Services)
Windows NT existiert in Deutschland seit 1993.
Versionen von Windows NT
Version
Windows NT 3.1
Windows NT 3.5
Windows NT 3.51
Datum
1993
1994
1995
Windows NT 4.0
1996
Windows 2000
vermutlich Anfang 2000
6
Eigenschaften
Gleiche Oberfläche wie Windows 3.1
Verbesserung der Performance, Fehlerkorrekturen
Verbesserungen des Dateisystem s NTFS, Windows
95 Programme sind nun ausführbar
Gleiche Oberfläche wie Windows 95, neue schnellere
Grafikarchitektur, Fehlerkorrekturen,
Performancesteigerung
Objektorientierte Struktur (Directory Service, verteiltes
Systeme), Disk Quotierung möglich
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT 4.0 Server Administratorkurs
Unterschiede zwischen NT Workstation und Server








unbegrenzt viele Client-Verbindungen
zentrale Benutzer- und Client-Administration (Domänen-Modell)
Unterstützung von max. 32 Prozessoren (4 in der regulär gelieferten Version)
Optimiert auf Netzwerk-, Datei und Druck-Performance
Fehlertoleranz durch Mirroring, Duplexing, RAID 5 (kann durch Nachinstallation auch auf
WS realisiert werden)
Verzeichnisreplikation
Services für Macintosh
BackOffice-Unterstützung
Plattformen für Windows NT
Windows NT ist für verschiedene Plattformen erhältlich. Obwohl das Betriebssystem auf allen
Plattformen die gleiche Bezeichnung trägt, sind jedoch die Prozessoren nicht kompatibel
zueinander. Ein Windows NT-Programm für einen Pentium-Prozessor ist auf einer Alpha
Workstation unter Windows NT nicht ausführbar. Für Programmentwickler ist es jedoch eine
Erleichterung, da durch einheitliche Schnittstellen ein Programm sehr schnell auf andere
Prozessorsysteme übertragen (kompiliert) werden kann. Die Windows NT Unterstützung für den
ALPHA Prozessor wurde in 8/99 von Compaq nur noch für die Version (Servicepack 6)
gewährleistet. Neuere Versionen (Windows 2000) werden auf ALPHA-Prozessoren dann nicht
mehr unterstützt.
Welche Clients (Betriebssysteme) werden unterstützt








MS-DOS MS (Netzwerk Client 3.0 )
Windows für Workgroups
Windows 95
Windows NT Workstation (alle Versionen)
OS/2
UNIX (drucken über LPR/LPD, FTP)
Apple Macintosh Services
Novell Netware 3.x/4.x Netware Gateway Services
Das Dateisystem NTFS
Das Windows NT Dateisystem NTFS besitzt Eigenschaften, die über das DOS/FAT Dateisystem
hinausgehen.







Namenslänge bis 255 Zeichen
Namen werden in UNICODE gespeichert
keine Limitierung der maximalen Pfadlänge
max. Partitionsgröße 2*10e64
max. Dateigröße 2*10e64
B-Baum (Extents, s.u.)
Attribute: alles wird als Attribut einer Datei angesehen, auch die Daten selbst (Streams)
Andreas Ißleiber, GöNETZ Netzwerke
7
Windows NT 4.0 Server Administratorkurs
Vorteile von NTFS




lokale Sicherheit mit feinen Abstufungsmöglichkeiten
Komprimierung: mit convert.exe
lange Dateinamen (unter NT auch mit FAT!)
kleine Fragmentierung (mit der Zeit ergibt sich doch eine Fragmentierung, es dauert aber
deutlich länger als unter dem FAT Dateisystem)
Speichern von Daten in NTFS
Herz des NTFS-Dateisystems ist der Master-File-Table, kurz MFT.
Der MFT existiert im Original und als Kopie, falls ein Schaden auftritt. Der Boot-Sektor existiert
ebenfalls als Kopie in der logischen Mitte der Festplatte. Kleine Dateien (kleiner 1500 bytes)
werden direkt im MFT gespeichert. Dies erlaubt einen schnellen Zugriff. Wird die Datei größer, so
werden „Extents“ angelegt, in denen der Inhalt gespeichert wird. Im zugehörigen MFT-Eintrag steht
dann der Ort, an dem die Extents zu finden sind. Ähnlich geschieht dies mit den Directories.
Kleine Directories werden im MFT für den schnellen Zugriff gespeichert, große DirectoryInformationen werden als B-Baum strukturiert in Extents ausgelagert. NTFS beherrscht auch
Features, von denen Windows NT selbst keinen Gebrauch macht:
So sind wie in UNIX symbolische Links möglich (ein Verweis auf eine an einem anderen Ort
gespeicherte Datei). Diese sind vergleichbar mit den Links, wie sie sich im Explorer von einer Datei
existieren können. Aus Kompatibilitätsgründen verwendet Windows NT jedoch die .lnk-Dateien, wie
Windows 98 -statt symbolischer Links. Auch mit den Resource-Forks des Macintosh kommt NTFS
zurecht: sie werden in einem Stream gespeichert.
Transaktions-Logs
Das Dateisystem bleibt zu keinem Zeitpunkt inkonsistent. Die Änderung einer Datei wird entweder
vollständig oder garnichtnicht durchgeführt. Damit angefangene Operationen nicht verlorengehen,
werden diese in einem Transaktions-Log gespeichert.
Hot-Fixing
Windows NT unterstützt Hot-Fixing, die Verschiebung von Daten von einem als defekt erkannten
Festplattensektor auf einen intakten freien Sektor. Dabei wird der Sektor, in dem die Daten nicht
geschrieben werden konnte, als „defekt „ markiert.
8
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT 4.0 Server Administratorkurs
Installation von NT
Vorbereitenden Maßnahmen und Überlegungen
Bevor die Installation eines NT-Servers gestartet wird, müssen einige Vorbereitungen getroffen
werden.
Prinzipiell kann Windows NT auch auf Rechnern installiert werden, auf diesen bereits ein anderes
Betriebsystem wie Windows 95/98 oder LINUX läuft. Bei Windows 95/98 werden diese
Betreibsysteme (bis auf LINUX) in das Bootmenü von Windows NT automatisch eingetragen. Bei
LINUX kann dieses nachträglich von Hand geschehen.
Für welchen Einsatzzweck soll der neue NT-Server installiert werden ?
-
Primärer Domain Controller
Sicherungs Domain Controller
Einzelner Server
RAS-Server, oder Router
Fileserver
Printserver
Server mit Sonderdiensten wie (Webserver, FTP, News, Mailserver, Exchange, SQL-Server
usw..)
Terminalserver (Win NT Terminalserver, bzw. Windows 2000)
Backupserver (zur Datensicherung)
Update eines vorhandenen NT-Server mit der Übernahme der Einstellungen
Update eines vorhandenen NT-Server ohne Übernahme der Einstellungen
Treiber für die eingesetzten Komponenten
Anschließend müssen alle Treiber für die im Server eingesetzten Komponenten vorhanden sein.
Windows NT 4.0 erkennt zwar diverse Treiber für viele Komponenten, jedoch längst nicht alle.
Insbesondere neuere Komponenten (Grafikkarte, Controller usw..) müssen mit Treibern des
entsprechenden Anbieters installiert werden.
Sind die Treiber für die Komponenten verfügbar ?








Festplatten-Controller
Grafikkarte und Monitor
Netzwerkkarte
Modem bzw. ISDN-Karte
CD-ROM-Laufwerk, wenn es über einen eigenen Controller verfügt oder an einem BUS
angeschlossen ist
Maus und Tastatur, wenn diese von den Standardkomponenten abweichen
Drucker, wenn seine Installation direkt vorgenommen werden soll
Sonderkarten (Videokarten, RAID-Controller, Soundkarten)
Während der Installation von NT hat man die Möglichkeit, die Treiber für einige Komponenten über
die Treiberdiskette des Herstellers hinzuzufügen. Insbesondere Bei Netzwerkkarten und
Festplatten-Controllerkarten wird dieses erforderlich sein.
Parameter der Komponenten
Sind alle Parameter der eingesetzten Komponenten bekannt ?





Interrupt (IRQ)
DMA Kanäle
Basisadresse
Schnittstellentypen, Geschwindigkeiten
PnP Komponenten
Andreas Ißleiber, GöNETZ Netzwerke
9
Windows NT 4.0 Server Administratorkurs
Beim Einsatz von Plug&Play-Karten sollte man diesen Mechanismus im BIOS des Rechners
abschalten und durch feste Einstellungen von IRQ und DMA ersetzen. Windows NT kann
allerdings auch im Einzelfall mit PnP-Karten umgehen. Dazu kann der Treiber „ISA-Plug-and-PlayTreiber“ auf der Windows NT CD im Verzeichnis „\ISAPNP“ installieren werden (Windows Explorer
-> ISAPNP -> „installieren“ auswählen). Dennoch ist eine vollständige Unterstützung von PnPKarten bei Windows NT nicht gegeben.
Werden einige Komponenten unter Windows NT auf Dauer nicht benutzt, so können die
Ressourcen (IRQ,DMA, Speicherbereich) im BIOS des Rechners für diese Komponenten
freigegeben werden. Dieses ist dann entscheident, wenn viele Karten im Rechner installiert sind
und dafür nicht ausreichend IRQ´s zur Verfügung stehen.
Dabei ist folgendes zu klären:
wird die erste oder zweite Serielle Schnittstelle benötigt ? (IRQ 4,3)
Wird (z.B. bei reiner SCSI Umgebung) etwaige IDE-Schnittstellen benötigt ? (IRQ 14,15)
Wird IRDA oder PS/2 Maus benötigt (IRQ 12)
Wird LPT1 oder (wenn vorhanden) LPT2 benötigt ? (IRQ 7,5)
Netzwerkumgebung
Dabei muß geklärt sein, in welcher Netzwerkumgebung der (die) Server betrieben werden sollen.
Auch die eingesetzten Protokolle spielen eine wesentliche Rolle.
Soll der Server unter ..



TCP/IP
NetBEUI (Netbios over TCP/IP)
IPX/SPX (NWLINK)
..betrieben werden. Auch die Einrichtung unter mehreren Protokollen gleichzeitig ist möglich. Z.B.
bei der Integration in eine Novell NetWare Umgebung (IPX/SPX).
Welches Domänenkonzept wird angestrebt (Domäne oder Arbeitsgruppe)




Primary Domain Controller (PDC)
Backup Domain Controller (BDC)
Standalone Server
Workgroup
Partitionierung der Festplatte(n)
Partitionierung bei vorhandenem Windows 95/98
Bei einer Installation von Windows NT unter DOS aus Windows 95/98 heraus, muß zunächst die
betreffende Festplatte mit...
Lock <Laufwerk:>
...freigegeben werden. Erst danach kann unter Windows 95/98-DOS auf die Festplatte direkt
zugegriffen, und die unter NT erforderlichen Programmteile (NTLDR usw.) geschrieben werden.
Partitionierung bei vorhandenem MS-DOS
Wenn Windows NT logische Laufwerke in erweiterten Partitionen abgelegt und mit NTFS formatiert
hat, können sie nicht mit dem FDISK von MS-DOS beseitigt werden.
Das FDISK von MS-DOS sieht zwar die erweiterte Partition, nicht jedoch die logischen NTFSLaufwerke. Beim Versuch, die erweiterte Partition zu löschen, gibt es an, daß sich dort logische
Laufwerke befinden, die zuerst gelöscht werden müssen. Beim Versuch, die logischen Laufwerke
zu entfernen, gibt FDISK aber an, keine logischen Laufwerke zu sehen! So dreht man sich im
Kreis, ein Problem, das mit FDISK von MS-DOS nicht lösbar ist.
10
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT 4.0 Server Administratorkurs
Um die Partition zu entfernen, gibt es Tools (teilweise Freeware), die auch diese Partitionen
beseitigen können.
Unter DOS empfiehlt es sich, lediglich die erste Systempartition (primäre Partition) zu erstellen.
Unter dieser Partition (mind. 200-300 Mbyte) kann Windows NT installiert werden. Weitere
Partitionen können anschließend ,unter lauffähigem Windows NT, mit dem „Festplattenmanager“
erstellt werden.
Aus Performancegründen und aus Gründen der Trennung zwischen Programen, Daten und
Betriebssystem, empfiehlt sich eine kleine Partition (1-2 Gbyte) einzurichten, unter dieser lediglich
das Windows NT System installiert wird. So ist im Fehlerfall eine einfachere Neuinitialisierung des
Systems, unabhängig von den übrigen Daten möglich.
Ggf. ist auch an die Installation eines Windows NT Notsystems zu denken. Bei Ausfall der
Hauptsystems, kann mit dem Notsystem wenigstens wieder unter NTFS auf Teile des
Hauptsystems zugegriffen, und etwaige Reparaturmaßnahmen gestartet werden.
Bei der Formatierung sämtlicher Partitionen kann zwischen den beiden Formaten...
DOS/FAT
und
NTFS (NT-FileSystem)
...ausgewählt werden.
Im Vergleich zu FAT bietet NTFS die Möglichkeit, Rechte an Benutzer und Gruppen zu vergeben.
Das ist eine Grundvoraussetzung für den Einsatz eines NT-Systems als Server mit mehreren
Benutzern.
In jedem Fall ist NTFS dem FAT-Format vorzuziehen. Jedoch bei der Erstinstallation nicht
zwingend erforderlich. Dort kann zunächst DOS/FAT eingerichtet werden. Im Fehlerfall kann dann
immer noch mit einer DOS-Bootdiskette ggf. auf wesentlich Daten des NT-Systems zurückgegriffen
werden. Ist die Installation abgeschlossen und läuft das System stabil, kann eine Konvertierung
des FAT-System´s mit
CONVERT Laufwerk: /FS:NTFS [/V]
Laufwerk
/FS:NTFS
/V
Gibt das Laufwerk an, das in NTFS konvertiert werden soll.
Das aktuelle Laufwerk kann nicht konvertiert werden.
Der Datenträger wird in NTFS konvertiert.
Ausführliches Anzeigeformat während CONVERT ausgeführt wird.
umgewandelt werden. Dabei gehen kleine Daten verloren. Dieses Programm kann in einem DOSFenster unter NT gestartet werden.
 Eine
einmal in NTFS umgewandelte Partition, kann nicht mehr in ein FAT-System
zurückverwandelt werden.
 Bei
der Partitionierung ist darauf zu achten, daß die Systempartition (mit ntldr) innerhalb der
ersten..
7,8 Gbyte
..des Laufwerkes eingerichtet werden muß. Weitere Partitionen (etwa für Daten) können über
diese 7.8 Gbyte Grenze hinaus gehen.
Dies hat mit dem Bios-Interrupt 13h zu tun den „ntldr“ benutzt, bis er die nativen IDE oder SCSIFunktionen ansprechen kann. Interrupt 13h repräsentiert einen 24 Bit Parameter für die Angabe
der Zylinder/Köpfe/Sektoren eines Laufwerkes. Wenn z.B. durch Fragmentierung eines Laufwerkes
die Systemdateien hinter die 7,8 GB-Grenze geschrieben werden, ist ein Bootvorgang nicht mehr
möglich.
Andreas Ißleiber, GöNETZ Netzwerke
11
Windows NT 4.0 Server Administratorkurs
Installation
Nachfolgend wird die Installation eines Windows NT 4.0 Server dargestellt
Verzeichnis einer Windows NT 4.0 Server CD und deren Bedeutung.
I386:
Dort befinden sich die Dateien des gesamten Betriebsystems, sowie die
Programme für den
Start der Installation (WINNT.EXE, WINNT32.EXE)
Drvlib:
Dort sind Treiber zu finden, die nicht im Rahmen der Standardinstallation von
Windows NT eingebunden werden können (zusätzliche Treiber)
Hier finded man Programme, die für eine weitere Administration von Windows
benutzt werden können, sowie Debug-Hilfen, Hilfe und Dokumentation
Support:
Ppc:
Alpha:
Mips:
Langpack:
Windows NT Version für den PowerPC-Prozessor
Windows NT Version für Alpha Prozessoren
Windows NT Version für den MIPS-Prozessoren
länderspezifischen Dateien
„Autorun.inf“ dient zum automatischen Start der Installation von CD.
Die folgend aufgeführten einzelnen Schritte können, abhängig davon, ob Windows NT Workstation
oder Server eingerichtet wurde, unterschiedlich sein bzw. werden teilweise nicht angezeigt.
Varianten der Installation
Es gibt 4 Varianten, Windows NT zu installieren.
1.)
2.)
3.)
4.)
Installation von einer CD (bootfähige CD, oder Bootdisketten)
Installation von den drei bootfähigen Installationsdisketten von NT
Installation über das Netzwerk
Installation von der lokalen Festplatte, wobei mind. das /I386 – Verzeichnis der Windows NT
CD kopiert wurde
5.) Update einer alten Version von Windows NT
12
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT 4.0 Server Administratorkurs
Starten der Installation

Bei der Installation (Upgrade) von Windows 95/98 nach Windows NT, werden bereits
installierte Programme nicht automatisch übernommen.
Unabhängig von der Art der Installation (Punkt 1..5) wird in jedem Fall das Installationsprogramm..
WINNT.EXE (unter DOS, Windows 95 DOS)
..oder..
WINNT32.EXE (unter Windows NT, Windows 95/98)
..gestartet.
1.) Installation von einer bootfähigen CD
Dabei muß der Rechner (BIOS) in der Lage sein, von einem CD-ROM Laufwerk zu booten. SCSICD-ROM Laufwerke sind dabei häufig eine Voraussetzung. Aber auch DIE Laufwerke und Rechner
mit moderneren BIOS können von CD booten.
Die Installation wird dabei automatisch im Rahmen eines Bootvorgangs gestartet.
2.) Installation von den drei bootfähigen NT Installationsdisketten
Kann nicht von der CD gebotet werden, so ist ein Installationsvorgang mit den drei
Installationsdisketten von Windows NT erforderlich. Die erste Diskette ist bootfähig. Die weiteren
Dateien für die Installation können dann von der CD gelesen werden, wenn ein geeigneter CDROM Treiber während des Diskettenbootvorgangs gefunden wurde. Bei IDE (EIDE) sowie BIOSunterstützten SCSI-Controllern funktioniert dieses Verfahren in der Regel problemlos.
Bootdisketten können auch selbst erzeugt werden. Durch Aufruf von..
WINNT.EXE /O
..können die drei Setupdisketten für eine Installation von NT von Hand erstellt werden.
3.) Installation über das Netzwerk
Bei der Installation über ein Netzwerk (unter DOS gestartet), kann Windows NT seine Quelldateien
von einem existierenden Server (NT-Server, Workstation, Novell NetWare Server) beziehen. Im
Folgenden wird die Installation über ein Netzwerklaufwerk beschrieben, das mit einem NT-Server
(Workstation) verbunden ist.
Zunächst benötigt man eine bootfähige Client-Installationsdiskette, die den unter DOS lauffähigen
Client (LANMAN) und die entsprechenden Netzkartentreiber enthält.
Die Installation dieser Diskette ist im Kapitel...
Netzwerk-Client-Installationdisketten erstellen
...näher beschrieben.
Andreas Ißleiber, GöNETZ Netzwerke
13
Windows NT 4.0 Server Administratorkurs
4.) Installation von der lokalen Festplatte
Für die Installation von der lokalen Festplatte, muß diese bootfähig sein (DOS) und mind. 150-300
Mbyte freien Platz haben. Das gesamte „\I386“-Verzeichnis der Installations-CD muß dabei auf die
lokale Festplatte kopiert werden. Aus diesem Verzeichnis kann die Installation durch Aufruf von
„WINNT.EXE“ gestartet werden.
 Wichtig
ist die Einbindung des Software-Festplatten-Cache durch „Smartdrv.exe“ unter DOS
bzw. Windows 95/98(DOS). Smartdrv.exe beschleunigt den Kopiervorgang während der
Installation unter DOS ganz erheblich.
5.) Update einer alten Version von Windows NT
Bei dem Update einer bestehenden Windows NT Installation muß das Programm WINNT32.EXE
(GUI-Version von WINNT.EXE) gestartet werden.
Einstellungen und bereits installierte Programme können dabei u.U. übernommen werden.
Aufrufparameter von winnt.exe
Durch die Angabe von Parametern können Sie die Installation beeinflussen.
/S:
/T:
Quellpfad Gibt den Ort der WINDOWS-Quelldateien an.
Temp. Laufwerk Bestimmt das Laufwerk, auf dem die TEMP-Dateien gespeichert werden
sollen
/I:
Datei Gibt die INF-Datei an, die bei der Installation verwendet werden soll. Standard-Angabe
ist DOSNET.INF. (ohne Pfad, da sich NT nach der Angabe unter /S richtet)
/O
Nur Setup-Disketten erstellen
/OX Setup-Disketten für CD-ROM erstellen und Disketten-Installation durchführen
/X
Keine Setup-Disketten erstellen
/F
Keine Überprüfung der Dateien beim Kopieren (nur bei WINNT.EXE)
/C
Keine Überprüfung des Speicherplatzes (nur bei WINNT.EXE)
/B
Installation ohne Disketten, alle Daten werden auf die Festplatte kopiert.
/U
Unbeaufsichtigte Installation durch Angabe einer Skriptdatei. (nur bei WINNT.EXE)
(unattendet.ini) (unbeaufsichtigtes Setup)
/UDF Definiert eine Zeichenfolge, die verwendet wird, um bestimmte Abschnitte der Skriptdatei für
die unbeaufsichtigte Installation durch die, mit dieser Zeichenfolge gekennzeichneten
Abschnitte in der UDF-Datei zu ersetzen
/W
Installation unter Win3.x bzw. Win95
/R
Optionales Verzeichnis erstellen (nur bei WINNT.EXE)
/RX
Optionales Verzeichnis kopieren (nur bei WINNT.EXE)
14
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT 4.0 Server Administratorkurs
Beispielinstallation
Schritte einer Installation:
Als Beispiel wird eine ca. 300 Mbyte große DOS/FAT primäre Partition (Laufwerk C:)
angenommen. Das „I386“-Verzeichnis wurde bereits auf die Platte kopiert.
Installationsaufruf:
C:\I386\WINNT /x /b (keine Setupdisketten erstellen, Installation ohne Disketten)
1.) Zunächst wird ein temporäres (verstecktes) Verzeichnis „$WIN_NT$.~LS „ angelegt, in dieses
die Windows NT Dateien aus „C:\I386“ kopiert werden.
Bei dem Parameter „/B“ wird nun auch noch die Boot-Disketten auf die Festplatte in das
Verzeichnis "$WIN_NT$.~BT" kopiert.
Wenn neuere Hardware im Rechner eingebunden werden muß, so können die erforderlichen
Treiber, die nicht im Standard Windowsverzeichnis (I386) gefunden werden können, von
Diskette während des Installationsvorgangs eingebunden werden. (z.B. Adaptec 2940U2W)
Andere Variante zur Integration neuer Hardwaretreiber:
Dabei sollte man die Installation mit "WINNT /B" starten. Danach startet Windows den
Rechner neu. Im nun folgenden Bootmenü wählt man MS-DOS aus, um nun die Treiber
auf die lokale Festplatte zu kopieren. Ist kein lauffähiges DOS vorhanden, so kann man
auch von einer DOS-Bootdiskette starten. Nun kopiert man die neuen Treiber in beide
Verzeichnisse ("$WIN_NT$.~LS" und "$WIN_NT$.~BT") und starten den Rechner neu.
Während des weiteren Installationsverlaufs stehen dann die Treiber für die neue
Hardware zur Verfügung.
2.) Nach dem Kopiervorgang der Dateien wird der Rechner neu gestartet
3.) Nun haben Sie die Auswahl zwischen Neu-Installation oder Reparatur einer bestehende
Installation, wenn diese gefunden werden kann.
3.) NT zeigt nun alle gefundenen Massenspeichergeräte an.
Hier wird aufgelistet, was NT in ihrem Computer für Controller gefunden hat. Wenn der
Adapter nicht gefunden wurde, haben sie hier noch die Möglichkeit selber Treiber für SCSIController oder Ähnliches hinzuzufügen. Dabei ist die Treiberdiskette des Herstellers
erforderlich.
4.) Nun folgen die ersten Hardwareeinstellungen. Dabei wird nun angezeigt was WINNT gefunden
hat und anschließend installieren will. Diese Parameter können verändert werden.
Angezeigt wird:
 Computer
 Anzeige
 Tastatur
 Sprache
 Maus
5.) Auswahl der Festplatte bzw. Partition. Nun kann die Platte bzw. Partition ausgewählt werden,
in diese das Windows NT-System installiert werden soll.
Mit "C" kann eine neue Partition erstellt werden.
Mit "D" kann eine vorhandene Partitionen gelöscht werden.
6.) Nun muß das Dateisystem ausgewählt werden. Es kann zwischen NTFS und DOS/FAT
gewählt werden. Wenn die Partition schon formatiert war, kann diese ohne Datenverlust von
FAT nach NTFS umgewandelt werden. Eine Umwandlung von FAT nach NTFS kann auch
nach erfolgter Installation durch „convert.exe“ erreicht werden.
Andreas Ißleiber, GöNETZ Netzwerke
15
Windows NT 4.0 Server Administratorkurs
7.) Nun kann das Verzeichnis angegeben werden , in welches Windows NT installiert werden soll.
8.) Überprüfen des Datenträgers
9.) Kopieren der Systemdateien
10.) Neustart des Rechners
11.) Nun folgt die weitere Installation im grafischen Modus von Windows NT
12.) Wahl des neuen Windows-NT-Programverzeichnisses (nur bei einer Neuinstallation
erforderlich)
13.) Angabe des Benutzernamens und der Unternehmensbezeichnung.
14.) Registrierungsnummer eingeben.
15.) Eingabe des Computernamens. Das ist der NetBIOS-Name, unter diesem der Rechner
anschließend im Netzwerk zu finden ist.
16.) Wahl der Server-Rolle (PDC,BDC oder Server)
17.) Wahl des Lizenzmodus (erst ab NT 3.51 Server)
18.) Eingabe des Administratorkennwortes. Der Benutzer „Administrator“ wird dabei automatisch
angelegt. Diese Kennwort darf nicht vergessen werden.
19.) Erstellen der Notfalldiskette, auf dieser alle Konfigurationen enthalten sind, die vorgenommen
wurden.
20.) Wahl der einzurichtenden Komponenten (Netzwerk, Drucker, Anwendungen)
21.) Angabe, ob der Rechner direkt am Netzwerk angeschlossen, oder über RAS verbunden ist.
22.) Wahl der Netzwerkkarte
Mit "START search" können nach einer Netzwerkkarte automatisch gesucht werden, oder
diese mit "Aus Liste auswählen" selber eine aus der Liste von Netzwerkkarten ausgewählt
werden.
23.) Wahl der Netzwerkprotokolle
Hier können die Protokolle auswählt werden, die Installiert werden sollen. Zur Auswahl stehen:
TCP/IP,
IPX/SPX(NWLINK) und NetBEUI
24.) Dienste des Servers
Hier können die Dienste des Servers ausgewählt werden. Die wesentlichen Dienste für den
Betrieb als DC oder Server sind bereits ausgewählt.
25.) Nun werden die Bindungen der Netzwerkkarte(n) angezeigt. Die Kombination zwischen
Netzkarte - > Dienst -> Protokoll kann hier eingesehen werden.
26.) Bei einem PDC wird nun der Name der Domäne abgefragt. Dieser Name kann auch später
noch verändert werden. Bei einem BDC muß der Name der bereits existierenden Domain
angegeben werden.
27.) Nun wird das Netzwerk gestartet und ggf. Verbindung zu anderen Mitgliedern einer Domäne
aufgebaut.
28.) Wahl der Zeitzone, sowie automatische Umstellung der Sommer/Winterzeit.
16
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT 4.0 Server Administratorkurs
29.) Einstellungen zur Grafikkarte. Hier können zunächst nur Auflösung und Farben in einem
bescheidenen Bereich definiert werden. Erst anschließend (nach erfolgter Installation) können,
durch einen neuen Grafikkartentreiber, auch andere Modi ausgewählt werden.
30.) Nun wird die Notfalldiskette erstellt, so diese in Punkt 19.) gewünscht wurde.
31.) Kopieren weiterer Dateien
32.) Abschluß der Konfiguration, Löschen der temporären Dateien und Verzeichnisse und
anschließender Neustart des Rechners.
Andreas Ißleiber, GöNETZ Netzwerke
17
Windows NT 4.0 Server Administratorkurs
Unattended Setup bei Windows NT
Mit Windows NT 4.0 existiert die Möglichkeit durch einen sogenannte „Unattended Installation“
einen Windows NT Server oder Workstation vollautomatisch, d.h. ohne notwendigen Eingriff des
Admins zu installieren. Für Standardkomponenten wie z.B. Adaptec Controller oder
Netzwerkkarten ist dies ein einfaches Werkzeug um notwendige, aber zeitaufwendige Arbeiten zu
reduzieren. Leider werden aber nicht alle Komponenten, die es unter NT gibt, bei dieser Art der
Installation automatisch unterstützt, jedoch ist eine Möglichkeit vorgesehen, wie man Treiber von
Dritthersteller einbinden kann.
Die zentrale Datei für die unbeaufsichtigte Installation bei NT heißt in unserem Beispiel:
UNATTENDED.TXT
Auf der NT Server CD ist im Verzeichnis „\support\deptools\i386“ ein Programm setupmgr.exe zur
Erstellung einer unattended.txt Datei enthalten.
Mit der „UNATTENDED.TXT“ zur unbeaufsichtigten Installation werden alle Angaben, die man
sonst bei einer Installation manuell eintragen muß, automatisch beantwortet, man spricht dabei von
einer Antwortdatei. Auf der NT-Server-CD befindet sich im Verzeichnis \Support\Deptools\i386 das
Tool „Setupmgr.exe“. Mit diesem Programm ist es möglich eine Textdatei zu erstellen, die
entsprechende Parameter (Antworten) eingetragen hat. Dennoch müssen einige Einträge noch von
Hand nachgeführt werden.
Der Setupmanager SETUPMGR.EXE
Der Setupmanager gliedert sich in drei Bereiche:



Allgemeines Setup
Netzwerk Setup
Erweitertes Setup
Allgemeines Setup
Benutzerinformationen
Benutzername
Organisation
Computer-Name
Seriennummer
18
: ( z.B. aisslei )
: (Goenetz )
: (goenetz-ws1 )
: (123-4567890 (Bindestrich ist
erforderlich)
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT 4.0 Server Administratorkurs
Computer-Funktionen
Einstellung ob WS oder Domaincontroller (PDC,BDC)
oder Server
Komputerkonto-erstellen
Nur bei Server, BDC, WS
Computer-Konto:"Administrator"
Kennwort: Administrator-Kennwort
Diese Kennwort wird später im Klartext
in der „unattended.txt „ zu lesen sein !
Verzeichnis installieren
Hier kann das Standardverzeichnis „WINNT“ ausgewählt
werden, oder alternativ ein anderes angegeben werden,
bzw. zur Eingabe eines Verzeichnisses während der
Installation aufgefordert werden.
Einstellungen
anzeigen
Hier können
Einstellungen
zur
Grafikkarten
vordefiniert
werden.
Andreas Ißleiber, GöNETZ Netzwerke
19
Windows NT 4.0 Server Administratorkurs
Zeitzone
Die Zeitzone wird über ein Pull-Down-Menü gewählt. In
unserem Fall: "(GMT+01:00)Berlin, Stockholm ... "
Einstellungen anzeigen
Lizensierungsmodus
Gilt nur bei Server-Installation.
Hier kann zwischen "Pro Server"
oder "Pro Arbeitsplatz" ausgewählt werden, bzw. die
Anzahl der gleichen Verbindungen definiert werden.
Allgemein
Hier sind keine Einträge vorzunehmen, da wir eine
Neuinstallation durchführen und Hardware nicht explizit
bestätigen wollen. Ansonsten können hier
Aktualisierungsoptionen gewählt werden, ( hierbei
würden dann bestehende Hardware-Konfigurationen,
z.B. Netzwerkkarte übernommen).
Darüber hinaus kann auch ein Programm ausgewählt
werden, welches bei der Installation mit Setup
aufgerufen wird.
20
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT 4.0 Server Administratorkurs
Netzwerk Setup
Allgemein
Wir wählen "Unbeaufsichtigte Installation" und "Zu
installierende Netzwerkkarte angeben".
Hierbei kann die Netzwerkkarte auch während der
Installation angegeben werden. Dann muß die Karte
unter „Netzwerkkarten“ ausgewählt werden.
Netzwerkkarten
Wenn unter „Allgemein“ der Punkt „Zu installierende
Netzkarte angeben“ oder „Zu erkennende Karte
angeben“ ausgewählt wurde, muß hier der Typ der Karte
definiert werden. Bei „erster erkannter Netzkarte..“ unter
„Allgemein“ ist dieser Bereich nicht zugänglich.
Hierbei wird der Netzwerkkartenabschnitt definiert,
sowie im Pull-Down-Menü die entsprechende Karte
ausgewählt. Unter „Parameter“ können IRQ,
Transceiver, IO-Bereich usw. angegeben werden.
Parameter sind bei modernen Karten in der Regel nicht
anzugeben, wie bei den meisten selbstkonfigurierenden
Karten.
Protokolle
Hier können die Protokolle ausgewählt werden.



TCP/IP
NetBEUI
IPX/SPX
Stehen zur Auswahl. Es können natürlich auch mehrere
Protokolle gleichzeitig definiert werden.
Je nach Protokoll, sind weitere Einstellungen
(Parameter) erforderlich. (z.B. TCP/IP)
Andreas Ißleiber, GöNETZ Netzwerke
21
Windows NT 4.0 Server Administratorkurs
Hier können die protokollabhängigen Parameter definiert
werden.
IP-Adresse










IP
Subnet
Gateway
DNS1
DNS2
DNS3
Primärer WINS-Server
Sekundärer WINS-Server
DNS-Name
Knotenname
: 192.168.10.1
: 255.255.0.0
: 0.0.0.0
: 192.168.10.100
: 192.168.10.101
:
: 192.168.10.2
: 192.168.10.3
: goenetz.de
: goenetz_1
Dienste
Hier können noch einige Dienste ausgewählt werden



RAS
Client für NetWare
SNMP-Dienst
Internet
Hier kann angegeben werden, ob nun auch der IIS
„Internet Information Server“ von Microsoft mit installiert
werden soll. Dabei können auch gleich die Dienste
definiert werden (FTP, Gopher, Web)
(Wir installieren den IIS in unserem Beispiel nicht)
22
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT 4.0 Server Administratorkurs
Die „MODEM“-Sektion ist nur dann auszuwählen, wenn vorher unter „Dienste“ der „RAS“-Dienst
ausgewählt wurde. Unter „Modem“ kann hier ein Modem incl. Port definiert werden.
Erweitertes Setup
Allgemein
Installation eines HAL und Angabe eines
Tastaturlayouts sind nicht erforderlich. Hier kann ein
„alternativer“ Hardware Abstraction Layer angegeben
werden.
Ein Neustart kann erzwungen werden nach:
Dem Textmodus, sowie dem GUI-Modus
Auch der „Willkommen“-Bildschirm sowie die Frage
nach dem Kennwort des Administrator kann
„übersprungen“ werden. Das ist für eine „automatische“
Installation durchaus sinnvoll.
Dateisystem
Hier kann das Detaisystem ausgewählt werden (NTFS,
FAT)
Die folgenden Rubriken sind in der Regel nicht einzustellen.





Anzeige (unten)
Anzeige (oben)
Boot-Dateien
Zeigegerät
Tastatur
Die o.g. Rubriken können dazu genutzt werden, um andere Antwortdateien des Typ´s „UDF
(Uniqueness Database Files)“ einzubinden.
Mit „Speichern“ im Hauptbildschirm von „Setupmgr.exe“ kann nun die Antwortdatei mit den soeben
gemachten Einstellungen gesichert werden.
Andreas Ißleiber, GöNETZ Netzwerke
23
Windows NT 4.0 Server Administratorkurs
Die „UNATTEND.TXT“, mit den obigen Parametern
[Unattended]
OemPreinstall = yes
NoWaitAfterTextMode = 1
NoWaitAfterGUIMode = 1
FileSystem = LeaveAlone
ExtendOEMPartition = 0
ConfirmHardware = no
NtUpgrade = no
Win31Upgrade = no
TargetPath = *
OverwriteOemFilesOnUpgrade = no
[UserData]
FullName = "aisslei"
OrgName = "Goenetz"
ComputerName = GOENETZ-WS1
ProductId = "123-4567890"
[GuiUnattended]
OemSkipWelcome = 1
OEMBlankAdminPassword = 1
TimeZone = "(GMT+01:00) Berlin, Stockholm, Rom, Bern, Brüssel, Wien"
AdvServerType = LANMANNT
[LicenseFilePrintData]
AutoMode = PerServer
AutoUsers = 20
[Display]
ConfigureAtLogon = 0
BitsPerPel = 8
XResolution = 640
YResolution = 480
VRefresh = 60
AutoConfirm = 1
[Network]
InstallAdapters = 3com-III
InstallProtocols = ProtocolsSection
InstallServices = ServicesSection
DoNotInstallInternetServer = Yes
InstallDC = goenetz
[3com-III]
ELNK3ISA509 = ELNK3ISA509ParamSection
[ELNK3ISA509ParamSection]
InterruptNumber = 10
IOBaseAddress = 300
[ProtocolsSection]
TC = TCParamSection
[TCParamSection]
DHCP = no
IPAddress = 192.168.10.1
Subnet = 255.255.0.0
Gateway = 0.0.0.0
DNSServer = 192.168.10.100, 192.168.10.101
WINSPrimary = 192.168.10.2
WINSSecondary = 192.168.10.3
DNSName = goenetz.de
ScopeID = goenetz_1
[ServicesSection]
Kommentare können in der Antwortdatei eingegeben werden. Diese sind mit einem „;“
voranzustellen.
24
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT 4.0 Server Administratorkurs
Im die Lizensbestimmungen während der Installation von Windows NT zuzustimmen, muß
folgende Zeile unter der Rubrik „[Unattended]“ eingegeben werden. Erst dadurch wird die
Lizensbestimmung automatisch bestätigt.
OEMSkipEula = Yes
 Wenn
diese Datei später im Setup-Manager geladen und verändert werden soll, so
verschwindet dieser Eintrag wieder. Ein erneuter Eintrag ist daher unbedingt erforderlich.
Die nun erzeugte Antwortdatei „UNATTEND.TXT“ sollte in einer Testinstallation geprüft werden, ob
auch alle Konfigurationspunkte erfolgreich durchgeführt werden.
Um die „unbeaufsichtigte“ Installation von Windows NT zu starten, muß WINNT.EXE mit den
folgenden Parametern gestartet werden:
WINNT /B /S:[Installationspfad] /t:e: /u UNATTEND.TXT
 Sollte
eine NTFS-Partition existieren, kann diese beim Start von Windows NT-Setup nicht
erkannt werden. Sie muß auf FAT formatiert werden.
Referenz UNATTEND.TXT-Datei
In dieser Referenz sind alle möglichen Parameter aufgelistet.
; Die folgenden Zeichenfolgen sind für "AdvServerType"
; AdvServerType = LANMANNT
; AdvServerType = LANSECNT
; AdvServerType = SERVERNT
;[Unattended]
;Method = Express|Benutzerdefiniert
;NtUpgrade = Ja|Nein
;Win31Upgade = Ja|Nein
;TargetPath = *|<Pfadname>|Manuell
;OverwriteOemFilesOnUpgrade = Ja|Nein
;ConfirmHardware = Ja|Nein
;OEMPreinstall = Ja|Nein
;NoWaitAfterTextMode = (0 = Beenden, 1 = Neustart)
;NoWaitAfterGuiMode = (0 = Beenden, 1 = Neustart)
;FileSystem = KonvertierenNTFS|LeaveAlone
;ExtendOemPartition = (0 = Nein, 1 = Ja)
\** ;
\** ; OemSkipEula is undocumented at this
\** ; time and is only available to Premier accounts.
\** ;
\** ;OemSkipEula = YES|No
; Server-Typ-Definition
; LANMANNT=PDC
; LANSECNT=BDC
; SERVERNT=Eigenständig
;[UserData]============================================
; Beschreibungen aus dem Abschnitt COMPUTER der Datei TXTSETUP.SIF
;
; ComputerType = "AST Manhattan SMP","RETAIL"
; ComputerType = "Compaq SystemPro Multiprocessor or 100%
; Compatible","RETAIL"
; ComputerType = "Corollary C-bus Architecture","RETAIL"
; ComputerType = "Corollary C-bus Micro Channel Architecture","RETAIL"
; ComputerType = "IBM PS/2 or other Micro Channel-based PC","RETAIL"
; ComputerType = "MPS Uniprocessor PC","RETAIL"
; ComputerType = "MPS Multiprocessor PC","RETAIL"
; ComputerType = "MPS Multiprocessor Micro Channel PC","RETAIL"
; ComputerType = "NCR System 3000 Model 3360/3450/3550","RETAIL"
; ComputerType = "Olivetti LSX5030/40","RETAIL"
; ComputerType = "Standard PC","RETAIL"
; ComputerType = "Standard PC with C-Step i486","RETAIL"
; ComputerType = "Wyse Series 7000i Model 740MP/760MP","RETAIL"
;KeyBoardLayout = <Layout-Beschreibung>
; Example;
; KeyBoardLayout = "US-International"
;[GuiUnattended]========================================
;[GuiUnattended]
;OemSkipWelcome = (0 = Nein, 1 = Ja)
;OemBlankadminPassword = (0 = Nein, 1 = Ja)
;TimeZone = <Zeitzone>
;[UserData]
;FullName = <Benutzername>
;OrgName = <Firmenname>
;ComputerName = <Computername>
;ProductID = <Produktnummer> (CD-Schlüssel)
;
; Handelt es sich um eine Produktnummer für eine OEM-Version von NT,
; lautet der Algorithmus für die PID xxxyy-OEM-0000016-zzzzz
;
; x = Tagesdatum des Julianischen Kalenders
; y = Aktuelles Jahr (die letzten beiden Ziffern)
; z = eine beliebige Zahlenkombination
;
;
;[LicenseFilePrintData]=================================
;[LicenseFilePrintData]
; AutoMode = PerServer oder PerSeat
; AutoUser = xxxx oder PerServer
;[NetWork]==============================================
;[NetWork]
;Attend = Ja|Nein
; Dieser Wert sollte bei einer vollständig unbeaufsichtigten Installation
; nicht gesetzt werden.
;
;JoinWorkGroup = <Arbeitsgruppenname>
;JoinDomain = <Domänenname>
;CreateComputerAccount = <Benutzername, Kennwort>
;InstallDC = <Domänenname>
;InstallAdapters = <Abschnitt für Netzwerkkarteninstallation>
;
Andreas Ißleiber, GöNETZ Netzwerke
25
Windows NT 4.0 Server Administratorkurs
; Verwenden Sie diese Option nicht, wenn keine automatische Erkennung
erfolgt
;
;DetectAdapters = <Abschnitt für Netzwerkkartenerkennung>|""
;
;InstallProtocols = <Abschnitt für Protokolliste(n)>
;InstallServices = <Abschnitt für Dienstliste>
;InstallInternetServer <Internet Information Server-Parameter>
;DoNotInstallInternetServer = Ja |Nein
;[detect adapters section]
;
;Verwendung nur bei automatischer Erkennung
;der Netzwerkkarte während des Setups.
;
;DetectCount = <Anzahl der Erkennungsversuche (maximal 4)>
;LimitTo = <Netcard inf-Option>
;Example;
; LimitTo = DECETHERWORKSTURBO
;[Abschnitt Adapter installierenInstall]
; Examples;
; DECETHERWORKSTURBO = DECETHERWORKSTURBOParams
; EE16 = EE16Params
;[DECETHERWORKSTURBOParams]
;InterruptNumber = 5
;IOBaseAddress = 768 ;Achtung!! Alle Zahlen in diesen Abschnitten
;MemoryMappedBaseAddress = 851968 ;werden von Hex zu Dezimal
konvertiert.
;!AutoNetInterfaceType = 1 ;(768 = 300h). Sie können diese Werte der
;!AutoNetBusNumber = 0 ;Registrierung eines Computers entnehmen,
; ;bei dem die Netzwerkkarte bereits
; ;installiert ist.
;[EE16Params]
;!AutoNetInterfaceType = 1
;Transceiver = 3
;!AutoNetBusNumber = 0
;IoChannelReady = 2
;IoBaseAddress = 784
;InterruptNumber = 10
; TC = TCPIPParams
; NBF = NetBeuiParams
; NWLNKIPX = NWLINKIPXParams
; DLC = DLCParams
; RASPPTP = RASPPTPParams
; STREAMS = STREAMSParams
; ATALK = ATALKParams
;[InstallNetMon]
;[InstallSimpleTCP]
;[InstallTCPPrint]
;[InstallSAP]
;[Modem]================================================
26
; [Port Section-Name]
; PortName = COM1|COM2|COM3-COM25
; DeviceType = Modem (derzeit nur ein Wert verfügbar)
; DeviceName = "Hayes V-Series Ultra Smartmodem 9600"
; PortUsage = DialOut|DialIn|DialInOut
;[<Internet Information Server-Parameter>]
;
; (0 = nicht installieren, 1 = installieren)
; InstallINETSTP = 0|1
; InstallFTP = 0|1
; InstallWWW = 0|1
; InstallGopher = 0|1
; InstallADMIN = 0|1
; InstallMosaic = 0|1
; InstallGateway = 0|1
; InstallDNS = 0|1
; InstallHELP = 0|1
; InstallSMALLPROX = 0|1
; InstallCLIENTADMIN = 0|1
; WWWRoot = <WWW-Stammverzeichnis, i.e. C:\INETSRV\WWW>
; FTPRoot = <FTP-Stammverzeichnis, i.e. C:\ftp>
; GopherRoot = <Gopher-Stammverzeichnis i.e C:\INETSRV\GOPHER>
; InstallDir = <Internet-Dienste-Installationsverzeichnis>
; EmailName = <E-Mail-Name, z.B. [email protected]>
; UseGateway = 1
; GatewayList = \\gateway1 \\gateway2 \\gateway3
; DisableSvcLoc = 1
; GuestAccountName <Name>
; GuestAccountPassword <Kennwortzeichenfolge>
;[Abschnitt für Protokolliste(n)]
; OEM-Dateiliste für Protokolle
;
; TCPIP - OEMNXPTC.INF
; NETBEUI - OEMNXPNB.INF
; IPX - OEMNSVNW.INF
; DLC - OEMNXPDL.INF
; Point to Point Protocol - OEMNXPPP.INF
; STREAMS - OEMNXPST.INF
; Apple Talk - OEMNXPSM.INF
;
;[Modem]
;InstallModem = <Modemparameter-Abschnitt>
; Example;
; InstallModem = MyModem
;
;[ModemParameterSection]
;<Com Port Number> = <Modembeschreibung>
; Example;
; Com2 = "Hayes V-Series Ultra Smartmodem 9600"
;
;
;[InstallRemoteAccess]
;
; PortSections = <Port Section-Name>
; DialoutProtocols = TCPIP|IPX|NetBEUI|Alle
; DialInProtocols = TCPIP|IPX|NetBEUI|Alle
; NetBEUIClientAccess = Netzwerk|DieserComputer
; TCPIPClientAccess = Netzwerk|DieserComputer
; IPXClientAccess = Netzwerk|DieserComputer
; UseDHCP = Ja|Nein
; StaticAddressBegin = <IP-Adresse> (wird nur verwendet wenn UseDHCP =
Nein)
; StaticAddressEnd = <IP-Adresse> (wird nur verwendet wenn UseDHCP =
Nein)
; ExcludeAddress = <IP-Adresse1 - IP-Adresse2>
; Dieser Schlüssel dient dem Ausschluß einer Reihe von IP-Adressen,
; wenn eine Reihe von IP-Adressen manuell zugewiesen wird. Dazu
; müssen "StaticAddressBegin" und "StaticAddressEnd" bereits angegeben sein.
;
; ClientCanRequestIPAddress = Ja|Nein
; AutomaticNetworkNumbers = Ja|Nein
; NetworkNumberFrom <IPX -Netzwerknummer>
; AssignSameNetworkNumber = Ja|Nein
; ClientsCanRequestIpxNodeNumber = Ja|Nein
;[DisplayDrivers]=======================================
; [DisplayDrivers]
; <Bildschirmtreiberbeschreibung> = Retail|Oem
;[Display]==============================================
;[Display]
;
; Bei einer vollständigen Automatisierung darf "ConfigureAtLogon"
; nicht verwendet werden.
;
; ConfigureAtLogon = (0 = beim Setup, 1 = bei der ersten Anmeldung)
;
;BitsPerPel = <Gültige Bits pro Pixel>
;XResolution = <Gültige x-Auflösung>
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT 4.0 Server Administratorkurs
;YResolution = <Gültige y-Auflösung>
;VRefresh = <Gültige Aktualisierungsrate>
;Flags = <Gültige Flags>
;AutoConfirm = (0 = angegebene Einstellungen nicht verwenden,
; 1 = vorgegebene Einstellungen verwenden
;InstallDriver (0 = Nein, 1 = Ja)
;InfFile = <INF-Dateiname 1>,<INF-Dateiname 2>,.......
;InfOption = <INF-Option 1>,<INF-Option 2>,.........
; Example:
; InstallDriver = 1
; InfFile = S3.inf, Matrox.inf
; InfOption = s3 765, Millenium 3D
;[KeyBoardDrivers]======================================
;[KeyBoardDrivers]
;"XT, AT, or Enhanced Keyboard (83-104 keys)" = "RETAIL"
; Beschreibungen aus dem Abschnitt KEYBOARD der Datei TXTSETUP.SIF
; "XT, AT, or Enhanced Keyboard (83-104 keys)" = "RETAIL"
;[PointingDeviceDrivers]================================
;[PointingDeviceDrivers]
; Beschreibungen aus dem Abschnitt MOUSE der Datei TXTSETUP.SIF
; "Microsoft Mouse Port Mouse (includes BallPoint)" = "RETAIL"
; "Logitech Mouse Port Mouse" = "RETAIL"
; "Microsoft InPort Bus Mouse" = "RETAIL"
; "Microsoft Serial Mouse" = "RETAIL"
; "Microsoft BallPoint Serial Mouse" = "RETAIL"
; "Logitech Serial Mouse" = "RETAIL"
; "Microsoft (Green Buttons) or Logitech Bus Mouse" = "RETAIL"
; "No Mouse or Other Pointing Device" = "RETAIL"
; "Microsoft Mouse Port Mouse (includes BallPoint)" = "RETAIL"
;[MassStorageDrivers]===================================
;[MassStorageDrivers]
; Beschreibungen aus dem Abschnitt SCSI der Datei TXTSETUP.SIF
; "Adaptec AHA-151X/AHA-152X or AIC-6260/AIC-6360 SCSI Host Adapter"
=
; "RETAIL"
; "Adaptec AHA-154X/AHA-164X SCSI Host Adapter" = "RETAIL"
; "Adaptec AHA-174X EISA SCSI Host Adapter" = "RETAIL"
; "Adaptec AHA-274X/AHA-284X/AIC-777X SCSI Host Adapter" = "RETAIL"
; "Adaptec AHA-294X/AHA-394X or AIC-78XX PCI SCSI Controller" = "RETAIL"
; "Adaptec AHA-2920 or Future Domain 16XX/PCI/SCSI2Go SCSI Host
Adapter" =
; "RETAIL"
; "AMD PCI SCSI Controller/Ethernet Adapter" = "RETAIL"
; "AMIscsi SCSI Host Adapter" = "RETAIL"
; "BusLogic SCSI Host Adapter" = "RETAIL"
; "BusLogic FlashPoint" = "RETAIL"
; "Compaq 32-Bit Fast-Wide SCSI-2/E" = "RETAIL"
; "Compaq Drive Array" = "RETAIL"
; "Dell Drive Array" = "RETAIL"
; "DPT SCSI Host Adapter" = "RETAIL"
; "Future Domain TMC-7000EX EISA SCSI Host Adapter" = "RETAIL"
; "Future Domain 8XX SCSI Host Adapter" = "RETAIL"
; "IBM MCA SCSI Host Adapter" = "RETAIL"
; "IDE CD-ROM (ATAPI 1.2)/Dual-channel PCI IDE Controller" = "RETAIL"
; "Mitsumi CD-ROM Controller" = "RETAIL"
; "Mylex DAC960/Digital SWXCR-Ex Raid Controller" = "RETAIL"
; "NCR 53C9X SCSI Host Adapter" = "RETAIL"
; "NCR C700 SCSI Host Adapter" = "RETAIL"
; "NCR 53C710 SCSI Host Adapter" = "RETAIL"
; "Symbios Logic C810 PCI SCSI Host Adapter" = "RETAIL"
; "Olivetti ESC-1/ESC-2 SCSI Host Adapter" = "RETAIL"
; "QLogic PCI SCSI Host Adapter" = "RETAIL"
; "MKEPanasonic CD-ROM Controller" = "RETAIL"
; "Sony Proprietary CD-ROM Controller" = "RETAIL"
; "UltraStor 14F/14FB/34F/34FA/34FB SCSI Host Adapter" = "RETAIL"
; "UltraStor 24F/24FA SCSI Host Adapter" = "RETAIL"
;[DetectedMassStorage]==================================
;[DetectedMassStorage]
;[OEMAds]===============================================
;[OEMAds]
;Banner = <Zeichenfolge> (muß in Anführungszeichen stehen und die
;Zeichenfolge 'Windows NT' enthalten)
; Beispiel;
; Banner = "Mein eigenes Windows NT-Setup"
;Logo = <Dateiname>
;Background = <Dateiname>
;[OEMBootFiles]=========================================
;[OEMBootFiles]
Andreas Ißleiber, GöNETZ Netzwerke
27
Windows NT 4.0 Server Administratorkurs
UDF (Uniqueness Database Files)
Mit Hilfe einer Antwortdatei (unattend.txt) können Vorgaben während des Installationsprozesses
definiert werden. Bei dieser Installationsmethode gibt es keine Möglichkeit, dynamische
Konfigurationsdaten zu verwenden. Zu diesem Zweck können Antwortdateien sog. UDF
(Uniqueness Database Files) eingesetzt werden.
Die UDF-Dateien besitzen die gleiche Struktur, wie die oben beschriebene UNATTEND.TXT-Datei.
Die Funktion der UDF besteht darin, spezifische Abschnitte der Antwortdatei für das GUI-Setup
zusammenzuführen oder zu ersetzen.
Das Verfahren, der Einbindung von UDF-Dateien, besitzt eine größere Flexibilität gegenüber einer
reinen UNATTEND.TXT. Hierbei können auch Treiberinstallationen vorgenommen werden, die
nicht im Standardumfang von Windows NT enthalten sind.
Die UDF ist eine ASCII-Textdatei, die mit Hilfe eines Texteditors erstellt werden kann. Die Datei
wird mit den anderen Windows NT-Dateien auf dem Installationsserver dort gespeichert, wo in der
Regel auch die UNATTEND.TXT gesichert wurde.
Die UDF ist in zwei Abschnitte unterteilt:
UniqueIDs: Identifiziert die Unique ID und die Abschnitte der Antwortdatei, die
zusammengeführt oder ersetzt werden.
UniqueID-Parameter: Sind die tatsächlichen Daten, die in der Antwortdatei zusammengeführt
oder ersetzt werden.
Beispiel für die Struktur einer UDF-Datei
[UniqueIDs]
Andreas = Userdata,GuiUnattended,Network
Werner = Userdata,GuiUnattended,Network
[Andreas:UserData]
FullName = "Andreas Issleiber"
ComputerName = "PC_1"
OrgName = "Goenetz"
[Andreas:GuiUnattended]
TimeZone = " (GMT+01:00) Berlin, Stockholm, Rom, Bern, Brüssel, Wien"
OemSkipWelcome = 1
[Andreas:Network]
JoinDomain = "goenetz_2"
[Werner:UserData]
FullName = "Werner Testuser"
ComputerName = "PC_2"
[Werner:GuiUnattended]
TimeZone = "(GMT-06:00) Central Time (US & Canada)"
[Werner:Network]
JoinDomain = "goenetz"
InstallAdapters = 3com-III
Aufruf der UNATTEND-Installation mit UDF-Datei
winnt /b /u:UNATTEND.TXT. /s:x:\i386 /t:c: /udf:andreas,x:\udf.txt
dabei ist..
X:
ist das Quelllaufwerk der NT-Dateien
-
C:
Das Ziellaufwerk der NT-Installation
-
/udf:andreas:
-
,x:\udf.txt:
gibt den Abschnitt an, dessen Einträge, die Vorgaben in die
UNATTEND.TXT quasi überschreiben sollen.
gibt die eigentliche oben beschriebene UDF-Textdatei an.
28
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT – Server Administratorkurs
Der Startvorgang von Windows NT
Der Boot-Vorgang
POST
MBR starten
NTLDR starten
BOOT.INI
NTDETECT.COM
starten
Betriebsystemkern
(Winnt\system32\)
NTOSKRNL.EXE
&
HAL.DLL
Kernel initialisieren
GINA
anmelden
(ctrl+alt+del)
Die folgende 9 Schritte werden vom Einschalten des Rechners bis zur Anmeldung eines Benutzers
durchlaufen.
(1)
(2)
(3)
(4)
(5)
(6)
(7)
(8)
(9)
Selbsttest der Hardware POST (engl. Power On Self Test)
Startprozeß initialisieren
Bootprogramm laden
Auswahl des Betriebssystem
Überprüfen der Hardware
Auswahl der Konfiguration
Kernel laden
Kernel initialisieren
Einloggen
Die folgende Tabelle zeigt, welche Dateien für den Startvorgang benötigt werden und wo diese zu
finden sind.
Datei
NTLDR
BOOT.INI
Bootsect.dos
NTDETECT.COM
Ntbootdd.sys (SCSI
only)
NTOSKRNL.EXE
HALL.DLL
Registry
Verzeichnis
Hauptverzeichnis des Bootlaufwerkes
Hauptverzeichnis des Bootlaufwerkes
Hauptverzeichnis des Bootlaufwerkes
Hauptverzeichnis des Bootlaufwerkes
Hauptverzeichnis des Bootlaufwerkes
Winnt\system32 (%systemroot%\System32)
Winnt\system32 (%systemroot%\System32)
%systemroot%\System32\Config
Andreas Ißleiber, GöNETZ Netzwerke [email protected]
29
Windows NT 4.0 Server Administratorkurs
Die Dateien auf der Bootplatte sind mit den Attributen (S)ystem (R)eadOnly sowie (H)idden
versehen. Um Manipulation (z.B. an BOOT.INI) vorzunehmen, müssen diese Attribute
entsprechend zurückgesetzt werden, sodaß ein Zugriff auf diese Dateien möglich ist.
Die BOOT.INI
BOOT.INI ist eine Testdatei, in diese die Parameter für den Startvorgang von Windows NT und
anderer Betriebsysteme enthalten sind. BOOT.INI befindet sich im Hauptverzeichnis des
Bootlaufwerkes des Systems.
Boot.ini enthält zwei Abschnitte. Der Abschnitt „Boot-Loader“ besitzt den Parameter 'timeout=', der
eine festgesetzte Zeit darauf wartet, daß das per 'default=' ausgewählte Betriebsystem automatisch
startet. Die Zeit läßt sich zwischen ...
-1:
0:
xxx:
für sofort
für keinen automatischen Start
und bis zu einer Zeit von '999' Sekunden
...einstellen.
Die Struktur der Einträge in der BOOT.INI stammte aus der Zeit des plattformunabhängigen ARC1-Standards für Risc-Prozessoren.
Je nachdem, ob NT schon beim Booten auf eigene Treiber für den Hostadapter zugreifen soll oder
sich des PC-BIOS bedient, fallen die Ortsangaben für Boot-Partitionen unterschiedlich aus:
scsi(w)disk(x)rdisk(y)partition(z)\WINNT=....
oder
multi(w)disk(x)rdisk(y)partition(z)\WINNT=....
(eigener Treiber für Hostadapter)
(BIOS)
Benutzt NT die erste Variante (scsi), so muß die zum jeweiligen Hostadapter passende
Treiberdatei neben boot.ini, ntloader, etc. als ntbootdd.sys auf der primären Partition liegen. Das
System betreibt den Hostadapter während des Bootens dazu in einer Art Polling-Modus. Bei einem
Wechsel des Adapters ist unbedingt darauf zu achten, daß die ntbootdd.sys den jeweiligen
aktualisierten Treiber enthält. Nach der Installation von Windows NT ist dieses, sofern nicht das
BIOS (multi) zum Einsatz kommt, natürlich der Fall.
Änderungen an den Partitionen können von Hand in der BOOT.INI entsprechend nachgeführt
werden.
Beschreibung der Einträge in der BOOT.INI
Von rechts nach links gelesen enthalten die Ortsangaben zunächst den ..
-
Namen des Verzeichnisses, in dem NT liegt.
Darauf folgt die Nummer der Partition auf dem jeweiligen Laufwerk. Die Partitionen werden
von eins an gezählt. Primäre Partitionen werden zuerst durchnummeriert, dann logische
Laufwerke in einer erweiterten Partition. Die erweiterte Partion selbst zählt dabei nicht.
Links neben der Partitionsnummer folgt die ..
-
SCSI-logical-Unit-Nummer (rdisk(y)), die in der Regel „null“ ist.
Bei einer über das BIOS bootbaren NT-Installation (multi) verweist dieser Wert dagegen auf
das Laufwerk (0-3). Disk(x) enthält bei einem SCSI-Gerät die ID, bei BIOS-gesteuerten
Geräten (auch SCSI) ist dieser Wert stets null. Alle Angaben werden im Gegensatz zur
Partitionsnummer (Basis: Eins) von Null an gezählt. Die ganz rechte Zahl gibt bei Einsatz
mehrerer SCSI-Adapter den Adapter an. Einen Spezialfall stellen Adapter mit mehreren
Kanälen dar: jeder von null ausgehend durchnummerierte Kanal wird mit 32 multipliziert und
erst dann die SCSI-ID addiert.
multi(0)disk(0)rdisk(0)partition(2)\WINNT="Windows NT Server, Version 4.0"
Nr. des SCSI Adapter
SCSI ID
30
Nr. d. Partition (1..n)
LUN (SCSI) i.d.R. = 0
Verzeichnis von NT
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT – Server Administratorkurs
Beispiel BOOT.INI für Windows NT und Win95 auf einem System
[boot loader]
timeout=10
;default=multi(0)disk(0)rdisk(0)partition(2)\WINNT
default=C:\
[Operating Systems]
multi(0)disk(0)rdisk(0)partition(2)\WINNT="Windows NT Server, Version 4.0"
multi(0)disk(0)rdisk(0)partition(2)\WINNT="Windows NT Server, Version 4.0 [VGA-Modus]"
/basevideo /sos
C:\="Microsoft Windows 95"
1.) Hardwareselbsttest
nach dem Einschalten des Rechners (oder durch einen Reset) führt dieser einen Selbsttest (engl.
Power On Self Test, POST ) der Hardware durch. Dabei wird Folgendes geprüft:
-
Testen des vorhandenen RAM-Speichers.
Kontrolle, ob die Hardware - Komponenten (z.B. Tastatur) bereit sind.
Nach dem Selbsttest führt jede Adapterkarte (wie z.B. die Grafikkarte, Festplattencontroller)
ihrerseits einen Selbsttest durch. Die Hersteller des BIOS und der Adapterkarten bestimmen, ob
und welche Informationen dabei auf dem Bildschirm angezeigt werden.
2.) Startprozeß initialisieren
Der „Master Boot Record" (MBR)“ (erster Sektor der Festplatte) wird geladen, sowie die
Partitionstabelle.
Wird der Computer von einer Start- Diskette gestartet, enthält ihr erster Sektor den Boot-Sektor.
Danach übergibt es die Programmausführung dem Programmcode des MBR. Das Programm im
MBR durchsucht als erstes das System nach der primären Festplattenpartiton. Hat es diese
gefunden lädt es den Sektor 0 in den Speicher und führt den dort enthaltenden Programmcode
aus. Dieser kann ein Programm, ein Diagnose- Programm oder ein Programm zum laden des
Betriebssystem enthalten. Enthält die erste Festplatte keine primäre Partition zeigt der MasterBoot-Record eine Fehlermeldung an:
-
Invalid partition table (ungültige Partitionstabelle)
Error loading operating system (Fehler beim Laden des Betriebssystems)
Missing operating system (Betriebssystem fehlt)
Befindet sich im Diskettenlaufwerk A eine Diskette, lädt das BIOS den ersten Sektor in den
Arbeitsspeicher. Ist die Diskette boot-fähig, dann ist ihr erster Sektor der Partition Boot Sektor. Ist
die Diskette nicht boot-fähig, erscheint eine Fehlermeldung wie folgende:
Non-System disk or disk error
Replace and press any key when ready
(keine Systemdiskette oder Diskettenfehler, Diskette austauschen und dann Taste drücken)
3.) Bootprogramm (NTLDR) laden
Das Bootprogramm ermöglicht es, über ein Bootmenü, daß gewünschte Betriebssystem zu wählen
und lädt dann die notwendigen Dateien von der Festplatte.
NTLDR kontrolliert die Auswahl des Betriebssystems und führt eine Hardwareerkennung vor dem
Starten des Kernels von NT durch. Das Programm NTLDR muß sich dabei im Hauptverzeichnis
der Boot-Festplatte befinden. Dieses Programm wird bereits im 32-Bit-Protected-Mode ausgeführt.
Andreas Ißleiber, GöNETZ Netzwerke [email protected]
31
Windows NT 4.0 Server Administratorkurs
Wenn NTLDR zu arbeiten beginnt, löscht es den Bildschirm und zeigt die bekannte Meldung..
OS Loader Vx.x
... an.
4.) Betriebssystem auswählen
Anschließend zeigt NTLDR ein Menü zur Auswahl des Betriebssystems entsprechend den
Einstellungen in der BOOT.INI - Datei an. Der Bildschirm sieht dann etwa wie folgt aus:
OS Loader Vx.x
Please select the operating system to start:
Windows NT Server Version 4.0
Windows NT Server Version 4.0 (VGA mode)
Use - and - to move the highlight to your choice.
Press Enter to choose.
Seconds until highlighted choice will be started automatically: 29
Nach Ablauf des Zählers lädt NTLDR automatisch den obersten Eintrag (default Eintrag). Das
Windows Setup-Programm stellt diesen auf die zuletzt installierte NT Version ein. Dieser Wert kann
entweder in der Datei BOOT.INI oder mit einer installierten NT Version in der Systemsteuerung
geändert werden.
5.) Überprüfen der Hardware
Anschließend wird ..
NTDETECT.COM
..geladen.
Dieses ist für die Erkennung der Hardware zuständig. Es sammelt eine Liste von gegenwärtig
installierten Hardware Komponenten und gibt diese Information dann an NTLDR zurück. Nachdem
ein Betriebssystem bzw. eine Betriebssystemkonfiguration auf dem Boot Bildschirm ausgewählt
wurde (oder einfach die Zeit abgelaufen ist), beginnt das Programm NTDETECT.COM mit der
Arbeit. Dabei wird folgendes auf dem Bildschirm ausgegeben:
NTDETECT Vx.x Checking Hardware . . .
NTDETECT.COM kontrolliert dabei die folgenden Hardware Komponenten:
-
Computer ID
Bus/Adapter Typ
Grafikkarte
Tastatur
Serielle Schnittstelle
Parallele Schnittstelle
Diskettenlaufwerke
Mausanschluss
Dabei werden Informationen aus dem Registry-Baum HKEY_LOKAL_MACHINE\SYSTEM
gelesen.
32
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT – Server Administratorkurs
6.) Auswahl der Konfiguration
Wurde im Bootmenü „Windows NT“ ausgewählt, so kann durch Drücken der Spacetaste, die letzte
funktionstüchtige Konfiguration von Windows NT gestartet werden.
OS Loader Vx.x
Press spacebar now to invoke Hardware Profile/Last Known Good menu.
Das Bootprogramm wartet einige Sekunden darauf, daß Sie die Leertaste drücken. Wird die
Leertaste nicht gedrückt, und existiert lediglich ein Hardwareprofil, so lädt das Bootprogramm
Windows NT durch Verwenden der letzten Konfiguration.
Bei mehreren Hardwareprofilen kann das gewünschte Profil ausgewählt werden.
Hardware Profile/Configuration Recovery Menu
This menu allows you to select a hardware profile
to be used when Windows NT is started.
If your system is not starting correctly, then you may switch to a previous
system configuration, which may overcome startup problems.
IMPORTANT: System configuration changes made since the last successful startup
will be discarded.
Original Configuration
some other hardware profile
Use the up and down arrow keys to move the highlight
to the selection you want. Then press ENTER.
To switch to the Last Known Good Configuration, press ‘L’.
To Exit this menu and restart your computer. press F3.
Seconds until highlighted choice will be started automatically: 5
Nach ein paar Sekunden wird die markierte Auswahlmöglichkeit automatisch gestartet.
Das erste Hardwareprofile ist dabei hervorgehoben.
Hardwareprofile können bei Windows NT unter ...
"Einstellungen" -> "Systemsteuerung" -> "System" -> "Hardwareprofile"
...eingerichtet (bzw. kopiert) werden.
Sie können auch zwischen einer als gut bekannten Konfiguration und die zu letzt gewählte
Konfiguration wählen. Windows NT verwendet automatisch die letzte Konfiguration, wenn Sie die
letzte bekannte gute Konfiguration nicht wählen. Wenn Sie die alte Konfiguration verwenden,
verwendet das Bootprogramm die Konfiguration von Windows, die NT beim letzten Herunterfahren
sicherte.
Andreas Ißleiber, GöNETZ Netzwerke [email protected]
33
Windows NT 4.0 Server Administratorkurs
7.) Kernel laden
Wenn Sie die Eingabetaste auf den Hardwareprofil/Konfigurationsholung Menü drücken, oder das
Bootprogramm die Auswahl für Sie automatisch macht, beginnt der Computer den Kernel zu laden.
Sie sehen mehrere Punkte, da das Bootprogramm, welches Windows lädt, den NT Kernel
(NTOSKRNL.EXE) und die „Hardwareabstraktionsschicht" (besser engl. Hardware Abstraction
Layer ) HAL.DLL lädt.
NT besitzt die HAL, um auf verscheidenden Hardwareplattformen laufen zu können (x86, AlphaSystemen usw.).
Die HAL trennt die Hardware vom Kernel ab.
Laden des Registry-Baumes HKEY_LOKAL_MACHINE\SYSTEM
Auf dem blauen Bildschirm beim Booten erscheinen unter der Angabe "Microsoft (R) Windows NT
(TM) Version 4.0 (Build xxxx)...
Bei der Initialisierung der Low-Level Treiber einige Punkte. Im folgenden ist die Bedeutung diese
Punkte aufgeführt:
ein . startet und initialisiert andere Treiber
ein . startet Programme wie chkdsk
ein . startet und initialisiert Dienste
ein . erstellt das Pagefile
ein . startet NT Subsystem
8.) Kernel initialisieren
Der Kernel wird initialisiert, sobald der blaue (Text-)Bildschrim zu erkennen ist.
Microsoft (R) Windows NT (TM) Version 4.0 (Build 1345)
1 System Processor (64 MB Memory)
Dies bedeutet, daß NTOSKRNL.EXE erfolgreich initialisiert wurde.
Während dieser Initialisierungsphase des Kernels wird:






Initialisiert die niedrigen Gerätetreiber (low level driver), die in die vorherige Phase geladen
wurden.
Laden und initialisieren der anderen Gerätetreiber.
Startet Programme, wie Chkdsk.
Laden und initialisiert die Services (Dienste) unter Windows NT
Erstellen der Auslagerungsdatei (Pagefile).
Starten der Subsysteme, die Windows NT benötigt.
Initialisierung des Kernels und der benötigten Einheitentreiber, Dateisysteme, Dienstprogramme
aus...
HKEY_LOKAL_MACHINE\SYSTEM\CurrentControlSet\Select
und Speicherung in der Registrierung unter..
HKEY_LOKAL_MACHINE\HARDWARE
Laden des Session Managers SMSS.EXE, der für die Ausführung vieler paralleler Prozesse
zuständig ist:
CurrentControlSet\Control\Session Manager\BootExecute
Der Session Manager (SMSS.EXE) entnimmt der Registry die Programme welche beim
Systemstart auszuführen sind.
Weiterhin, wird Autochk.exe zur Kontrolle der Partitionen geladen. um dann anschließend den
VMM (Virtual Memory Manger), zu starten. Weiterhin die Subsysteme und die Dienste, die im
Dienstmanager definiert wurden.
34
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT – Server Administratorkurs
9.) Einloggen
Wenn die Kernelinitialisierung beendet ist, erscheint ein Dialog zur Anmeldung, mit dem Infotext
„Drücken Sie Strg + Alt + Entf um sich anzumelden“
Zu dieser Zeit initialisiert Windows NT immer noch die Netzwerktreiber, obwohl man sich bereits
am System anmelden kann.
Wenn Ihnen NT das Fenster Anmeldung beginnen mit dem Text "Drücken Sie Strg + Alt + Entf um
sich anzumelden zeigt", hat der Computer das Betriebssystem Windows NT bereits geladen und
den Großteil der Initialisierung beendet. Diese ist abgeschlossen, wenn sich der Anwender
erfolgreich anmelden kann.
Für die Anmeldung und Verschlüsselung der Paßworte ist die Komponente
„GINA“ Graphical Identification and Authentication“
unter Windows zuständig.
Andreas Ißleiber, GöNETZ Netzwerke [email protected]
35
Windows NT 4.0 Server Administratorkurs
Anmeldevorgang bei NT
Anmeldevorgang und Access-Token
Im Folgenden wird eine Anmeldung an einem Windows NT-System genauer betrachtet.
Schritte einer Anmeldung
1. Der Benutzer meldet sich am Anmeldebildschirm an. Hierzu gibt er seinen Benutzernamen und
sein Kennwort ein. Der Logon-Prozeß (Anmeldeprozeß) wird gestartet.
2. Der Anmeldeprozeß gibt die Benutzerkennung und das Paßwort an das Sicherheitssubsystem
weiter.
3. Das Sicherheitssubsystem ruft ein Authentication Package auf. Die Packages ermöglichen
verschiedene Authentifizierungsmöglichkeiten. Hier könnte ein Dritthersteller ein eigenes
Authentifizierungsverfahren einführen. Standardmäßig wird das eingebaute Package
verwendet, das die Anfrage an den Security Account Manager weitergibt. Ein Beispiel für eine
Variante eines Drittanbieters stellt z.B. der NetWare Client 32 dar, der einen Zugriff auf
NetWare Server (NDS) ermöglicht.
4. Der Security Account Manager (SAM) verwaltet eine Datenbank mit Benutzerkennungen, die
Security Account Manager SAM-Database.
Dabei geschieht folgendes:
-
Es wird die Security-ID (SID) des Benutzers und die SIDs aller Gruppen, denen er angehört
zurückgegeben.
Es wird eine Logon Session angelegt und zurückgegeben.
Es wird ein Access Token erstellt. Dieses enthält die (Sicherheits-) Informationen über den
Benutzter.
Die Windows NT-Oberfläche mit dem Explorer wird unter dem Kontext des authentifizierten
Benutzers gestartet.
Das Access-Token
Das Access-Token wird bei jedem Zugriff auf Objekte intern benötigt. Ohne Access-Token kann
nicht auf Objekte zugegriffen werden. Es ist eine Art "Ausweis" des Benutzers.
Das Access-Token enthält folgende Informationen:
Benutzer
Security-ID (SID) des Benutzers
Gruppen
Security-IDs (SID) der Gruppen, in denen der Benutzer Mitglied ist
Spezielle Rechte
Informationen über spezielle Benutzerrechte über die dieser Benutzer verfügt. Benutzerrechte
sind z.B. Ändern der Systemzeit, Debuggen von Programmen.
36
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT – Server Administratorkurs
Das Sicherheitsmodell bei NT
ACL
Das Windows NT-Sicherheitsmodell basiert auf sog. Access Control Lists (ACL), die eine
detailiertere Rechtevergabe als z.B. Standard-Unix-Systeme gestatten. Novell NetWare besitzt
darüber hinaus eine noch detailiertere Vergabe der Rechte insbesondere ab Version 4 mit dem
NDS (NetWare Directory Services).
Zugriffskontrolle
Greift ein Benutzer auf ein Objekt (z.B. Datei, Drucker) zu, so werden die Benutzer-Security-ID
(SID) mit der Access Control List (ACL) verglichen. Ist der Benutzer dort aufgeführt, dann kann er
entsprechend den dort für ihn aufgeführten Rechten auf das Objekt zugreifen.
Die Überprüfung der Rechte nimmt der Security Reference Monitor (SRM) vor. Der Security
Reference Monitor befindet sich im Kernel des Windows NT Systems und ist somit vor
Manipulationen geschützt.
Die Modellbausteine
Logon-Prozeß
Dieser Prozeß sorgt für den Anmeldevorgang über die Local Security Authority. Dem Benutzer
begegnet sie durch den Anmeldebildschrim.
Security Reference Monitor
Der Security Reference Monitor vergleicht bei einem Zugriff auf ein Objekt (z.B. Datei, Drucker) die
Berechtigungen des zugreifenden Benutzers mit den Berechtigungen an dem Objekt. Je nach
Ergebnis dieser Überprüfung wird der Objekt-Zugriff gestattet oder abgelehnt.
Ereignisprotokoll
Hier werden zu überwachende Ereignisse (Dateizugriffe, Ändern der Systemzeit, etc)
protokolliert, sofern die Protokollierung für diese Objekte aktiviert ist.
Sicherheit
SID-Security-ID
Benutzer werden in Windows NT durch eine weltweit eindeutigen Identifikator identifiziert: durch
den Security IDentifier, kurz SID. Aus diesem Grund können Sie nach einer Löschung eines
Benutzers und Erstellung eines neuen Benutzers mit selben Namen und selben Kennwort mit
diesem Benutzer nicht auf die Daten des ursprünglichen Benutzers zugreifen.
Dies gilt im übrigen auch analog für eine Windows NT-Installation. Ein einmal gelöschter Server ist
endgültig gelöscht, auch wenn ein neuer Server mit gleichem Namen Iinstalliert wird - er ist nicht
identisch mit seinem Vorgänger. SID´s existieren bei Benutzern wie auch bei Workstation und
Server. Wird z.B. ein Server oder Workstation mithilfe von Plattenkopierprogramme dupliziert, so
ist in jedem Fall auch die SID zu verändern, da sonst ungeklärte Sichertsprobleme innerhalb der
Domäne auftreten können. Zu diesem Zweck existieren einige SID-Editoren.
Was auf den ersten Blick wie eine Einschränkung aussieht, ist Teil des hohen Sicherheitsstandards
von Windows NT.
Beispiel für ein SID:
S-1-5-21-16544678987-100736198874-156678239800-400
Jedem Objekt (z.B. einer Datei) ist eine Liste zugeodnet. Diese Liste enthält Einträge mit konkreten
Benutzern oder Gruppen und deren Rechte an diesem Objekt.
Auf diese Weise kann auch einzelnen Benutzern definierter Zugriff auf Objekte eingeräumt werden.
Einem Datei-Objekt werden zwei ACLs zugeordnet: die Discretionary ACL und die System ACL.
Andreas Ißleiber, GöNETZ Netzwerke [email protected]
37
Windows NT 4.0 Server Administratorkurs
Discretionary ACL
Hier werden die Berechtigungen von Benutzern eingetragen.
System ACL
Hier werden Informationen für das Betriebssystem abgelegt. Es können z.B. Informationen über die
vom Administrator gewünschte Protokollierung des Objektes sein. Dabei können alle
Schreibzugriffe eines Benutzers auf eine Datei protokolliert werden.
Security Account Manager
Der SAM verwaltet die Benutzerkennungen (Accounts). Diese existiert auf jeden Workstation und
Server
Benutzer Account Datenbank
Dantenbank mit den Benutzerkennungen
Security Policy Datenbank
Hier werden die Richtlinien für die Systemsicherheit gespeichert (z.B. welche Ereignisse
protokolliert werden)
38
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT – Server Administratorkurs
Rechte unter NTFS
Für jede Ressource (Datei, Verzeichnis, Geräte etc.) können Zugriffsberechtigungen vergeben
werden. Eine ausreichende Sicherheit für die Dateien kann jedoch nur dann erreicht werden, wenn
die entsprechende Partition unter NTFS eingerichtet wurde. Zugriffsrechte können sowohl vom
Administrator wie auch vom Eigentümer einer Ressource vergeben werden.
Es können die folgenden Zugriffsrechten vergeben werden:
Zugriffsart
Beschreibung
Kein Zugriff
Auf das Verzeichnis, die Unterverzeichnisse und Dateien kann nicht zugegriffen
werden
Anzeigen (nur NTFS) Die Unterverzeichnisse und Dateien des Verzeichnisses werden angezeigt, ein
Zugriff auf die Daten ist jedoch nicht möglich
Lesen
 Dateien und Verzeichnisse werden angezeigt
 Der Wechsel in ein Unterverzeichnis ist möglich
 Der Inhalt von Dateien und deren Dateiattribute können angezeigt
werden
 Anwendungsprogramme können ausgeführt werden
Hinzufügen (nur NTFS)
 Unterverzeichnisse und Dateien können erstellt werden
 Ein Zugriff auf bereits vorhandene Daten ist nicht möglich
Hinzufügen und Lesen Eine Kombination der Zugriffsberechtigungen von Lesen und Hinzufügen
(nur NTFS)
Ändern
 Alle Berechtigungen der Zugriffsart Lesen und
 Unterverzeichnisse und Dateien können eingerichtet bzw. erstellt werden
 Der Inhalt der Dateien kann geändert werden
 Die Attribute der Verzeichnisse und Dateien können geändert werden
 Verzeichnisse und Dateien können gelöscht werden
Vollzugriff
 Alle Berechtigungen der Zugriffsart Ändern und
 Zugriffsberechtigungen dürfen geändert werden (nur unter NTFS)
 Besitzübernahme (nur unter NTFS)
Beschränkter Zugriff
Individuelle Rechtevergabe durch den Eigentümer (in der Regel der Ersteller der
(nur NTFS)
Datei oder des Verzeichnisses)
Die Tabelle zeigt die Abhängigkeiten zwischen den Rechten (Lesen, Ändern, Vollzugriff) und den
daraus resultierenden Zugriffsarten auf Ressourcen.
Zugriff
Anzeigen von Dateien und Verzeichnissen
Wechsel in Unterverzeichnisse
Anzeigen von Dateiinhalten und -attributen
Ausführen von Anwendungsprogrammen
Einrichten von Unterverzeichnissen und Hinzufügen von
Dateien
Ändern von Dateiinhalten
Ändern von Verzeichnis- und Dateiattributen
Löschen von Unterverzeichnissen und Dateien
Ändern von Zugriffsberechtigungen (nur unter NTFS)
Besitzübernahme (nur unter NTFS)
Lesen




-
Eingestelltes Recht
Ändern
Vollzugriff













-





Freigaben (Shares)
Rechte können nicht nur auf Datei/Verzeichnis vergeben werden, sondern auch auf
Freigabeebene. D.h. dort werden die Rechte vergeben, mit denen ein Benutzer auf die Freigabe
(nicht auf die Dateien oder Verzeichnisse) zugreifen kann. Freigaben können mit dem Windows
Explorer erfolgen, oder mit dem Befehl im DOS-Fenster „net share ...“.
Andreas Ißleiber, GöNETZ Netzwerke [email protected]
39
Windows NT 4.0 Server Administratorkurs
Festplattenmanager
Partitionstypen
Windows NT unterstützt viele Arten von Partitionen. Dazu zählen Primäre- und erweiterte
Partitionen, Stripesets mit und ohne Partität, Datenträgersätze, Spiegelsätze. Partitionen werden
auf einem nicht für normale Daten verwendeten Speicherplatz der Festplatte angelegt. eine
Festplatte kann maximal 4 Partitionen besitzen. Alle Arten kann man im Festplattenmanager
festlegen, bzw. erweitern.
Primäre Partitionen
Es können max. 4 primäre Partitionen oder drei primäre Partitionen und eine erweiterte Partition
pro Platte angelegt werden. Das Betriebssystem kann nur eine primäre Partition verwenden um
das System zu starten. Hierzu muß die Partition als „Aktiv“ gekennzeichnet werden. Primäre
Partitionen müssen einen Laufwerksbuchstaben besitzen. Windows NT muß der primären Partition
zwingend ein Laufwerksbuchstaben geben. Dieser kann unter dem Festplattenmanager auch nicht
ohne weiteres entzogen werden.
 Einfachere
Betriebssystem (DOS 5.0) können nur eine primäre Partition auf einer Festplatte
erkennen.
Erweiterte Partitionen können in mehere logische Laufwerke (D:;E:;G:) unterteilt werden. Eine
erweiterte Partition kann nur einmal auf einem physikalischen Laufwerk angelegt werden.
In der Regel genügt es, wenn lediglich eine Primäre und eine erweiterte Partition angelegt wird. Auf
der primären Partition befindet sich die System- und BootPartition, sowie das Betriebssystem, die
kann in mehrere logische Laufwerke unterteilt werden um ggf. Daten von Programmen zu trennen.
 Die
Windows NT-SystemPartition muß sich auf der primären Partition befinden, die
BootPartitionen kann auch auf einem Logischen Laufwerk abgelegt werden.
Datenträgersatz (Stripe Set)
(RAID 0)
Ein Datenträgersatz ist ein Zusammenschluß von max. 32 ungenutzen Festplattenbereichen zu
einer Partition. Dabei können die Bereiche auch auf verschieden Festplatten und Festplattentypen
(SCSI,EIDE) liegen.
Sollte eine Festplatte im Betrieb ausfallen, sind die Daten der Partitionen nicht mehr erreichbar.
Eine Windows NT Boot oder SystemPartition kann sich nicht auf einem Datenträgersatz befinden.
Datenträgersätze können ohne Verlust der Daten erweitert werden wenn diese unter NTFS
formatiert wurden.
Spiegelsätze und RAID (Redundant Array of Independent Discs)
(RAID 1)
Ein Spiegelsatz ist die Softwareimplementierung der Fehlertoleranz nach RAID 1. Sie ist nur unter
NT Server verfügbar. Hier wird eine Partition auf eine andere Festplatte gespiegelt, d.h. die Inhalte
der Partitionen sind stets identisch. Somit ist sichergestellt, daß bei einer fehlerhaften Festplatte
immer noch die gespiegelte Partition die korrekten Daten enthält. Eine Spiegelung von System
oder BootPartition ist möglich.
Eine Spiegelung einer Systempartition schützt jedoch nicht vor der Installation defekter Treiber, die
u.U. ein Windows NT System nicht mehr booten lassen. Sämtliche Änderungen auf der
Quellpartition werden sofort auf die gespiegelte Partition übertragen.
40
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT – Server Administratorkurs
Wenn eine Festplatte im Spiegelsatz ausfällt
Im Festplattenmanager aus dem Menü Fehlertoleranz den Befehl Spiegelung beenden auswählen.
Dann die betroffene Partition löschen. Die defekte Festplatte wechseln und den Spiegelsatz neu
einrichten.
Die Laufwerkbuchstaben sind dabei zu beachten. Sind zwei Partitionen zu einem Spiegelsatz
zusammengeführt, so bekommen beide Partition den gleichen Laufwerksbuchstaben. Wird die
Spiegelung später getrennt, so wird einer der Spiegelplatten ein neuer (freier) Laufwerkbuchstabe
zugeordnet. U.U. können sich andere Laufwerkbuchstaben dann verschieben.
StripSets mit Parität
(RAID 5)
Strip Sets mit Parität entsprechen einer Softwareimplementierung der Fehlertoleranz nach RAID 5.
Sie ist nur unter NT Server verfügbar. Hier werden min. 3 Festplatten benötigt. Maximal ist RAID5
mit 32 Festplatten möglich.
Die Daten werden auf mehrere Festplatten verteilt und es wird eine Paritätsinformation auf einer
dritten Platte erzeugt. Bei Ausfall einer Festplatte kann aus den Daten der verbliebenen Festplatten
mittels der Paritätsinformation der Inhalt der defekten Festplatte(n) wieder hergestellt werden. Es
stehen dabei 65 % der Nettospeicherkapazität zur Verfügung.
Sollte einmal eine Partition ausfallen, so kann nach Wechsel der Festplatte oder umleiten auf eine
andere Partition das Stripe Set wieder hergestellt werden ohne das man auf ein Backup
zurückgreifen muß. Die Daten sind dann also immer auf dem Stand kurz vor dem Ausfall und nicht
auf dem der letzten Sicherung.
Ein Stripe Set mit Parität ist auf einer System oder BootPartition nicht möglich. Hierbei muß die
entsprechende Festplatte(n) gespiegelt werden.
Stripe Sets mit Parität haben den Vorteil, daß die Daten bei Ausfall einer Platte noch zur Verfügung
stehen. Fällt eine Platte aus, so wird diese, als Mitglied eines Stripesets, als „defekt“ markiert.
Im Vergleich zum Stripe Set ohne Parität, erfordert die Berechnung der Paritätsinformation bei
(RAID 5) mehr Prozessorleistung.
 Bei
StripeSets mit Partität und bei den Speiegelsätzen ist es sinnvoll, den Anmeldedienst zu
starten und den Server-Manager so zu konfigurieren, daß zumindest der Administrator eine
Warnmeldung bekommt, wenn auf einer Partition ein Fehler auftritt.
Andreas Ißleiber, GöNETZ Netzwerke [email protected]
41
Windows NT 4.0 Server Administratorkurs
Der Festplattenmanager
Mit dem Festplattenmanager könne folgende Dinge erreicht werden:
Erstellen und Löschen von Partitionen auf Festplatten und logischen Laufwerken mit einer
erweiterten Partition







Formatieren und (Um)Benennen von Datenträgern
Lesen von Statusinformationen über Festplatten, wie z. B. die Partitionsgrößen und den
Umfang des freien Speicherplatzes, der zum Erstellen weiterer Partitionen verfügbar ist
Lesen von Statusinformationen über Windows NT-Datenträger, wie z. B. Laufwerkbuchstaben,
Datenträgerbezeichnungen, Dateisystemtypen und Größen.
Zuweisen und Ändern von Laufwerkbuchstaben für Festplatten sowie für CD-ROM-Laufwerke.
Erstellen und Löschen von Datenträgersätzen.
Erweitern von Datenträgern und Datenträgersätzen.
Erstellen und Löschen von Stripe Sets.
Die Festplatten eines Computers können während des Setups von Windows NT partitioniert
werden. Nach der Installation von Windows NT verwenden Sie den Festplatten-Manager, um die
Festplattenkonfiguration zu ändern und neue Festplatten einzurichten. Änderungen bezüglich der
Größe der Partition können am laufenden System auf der Systemplatte selbst nicht vorgenommen
werden.
Stripe Set erstellen

Wählen Sie zwei oder mehrere Bereiche mit freiem Speicherplatz auf bis zu 32 Festplatten
aus. Dazu klicken Sie zuerst auf den ersten Bereich auf der ersten Festplatte, halten die
STRG-TASTE gedrückt und klicken auf die anderen Bereiche auf den anderen Festplatten.

Klicken Sie im Menü Partition auf Stripe Set erstellen

Der Festplatten-Manager zeigt dann die minimale und maximale Größe des Stripe Sets an.

Geben Sie die Größe des zu erstellenden Stripe Sets ein, und klicken Sie dann auf OK.
Spiegelsatz einrichten
Wählen Sie die Partition aus, die gespiegelt werden soll.


42
Halten Sie die STRG-TASTE gedrückt, und klicken Sie auf einen freien Bereich mit mindestens
gleicher Größe auf einer anderen Festplatte.
Klicken Sie im Menü Fehlertoleranz auf Spiegelung einrichten.
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT – Server Administratorkurs

Der Festplatten-Manager erstellt für die Spiegelung eine Partition gleicher Größe.

Für beide Partitionen wird der gleiche Laufwerkbuchstabe verwendet. Jede bestehende
Partition (einschließlich der System- und Boot-Partition) kann auf einer anderen, gleich großen
oder größeren Partition mit dem gleichen oder einem anderen Controller gespiegelt werden.

Die von Ihnen durchgeführten Änderungen werden erst gespeichert, wenn Sie auf Änderungen
jetzt durchführen klicken oder den Festplatten-Manager beenden.
Eigenschaften einer Partition
Allgemein
Hier kann die Größe der Partition, der freie
und benutzte Bereich angezeigt werden.
Darüber hinaus kann eine Komprimierung für
das Laufwerk eingerichtet werden. Dieses
geht jedoch ausschließlich bei NTFSformatierten Partitionen.
Extras
Hier kann eine Überprüfung der Partition auf
etwaige defekte Sektoren erfolgen. Das
funktioniert jedoch nur dann, wenn das
System momentan nicht auf die Partition
zugreift. Ansonsten wird diese Fehlerprüfung
bei dem nächsten Systemstart erfolgen
Während der Startvorgangs von NT (blauer
Bildschrim)).
Andreas Ißleiber, GöNETZ Netzwerke [email protected]
43
Windows NT 4.0 Server Administratorkurs
Freigabe
Hier können Freigaben des Laufwerks
definiert und deren Rechte vergeben werden.
Auch die Anzahl der Zugriffe auf diese
Freigabe kann eingeschränkt werden.
Sicherheit
Hier können Berechtigungen für
Verzeichnisse und darunterliegende
Verzeichnisse vergeben werden.
Hier können Zugriffe auf Dateien
und Verzeichnisse überwacht
werden.
Hier kann der Besitzt für das
Laufwerk übernommen werden
44
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT – Server Administratorkurs
Browserdienste im Windows Netzwerk
Innerhalb von Microsoftnetzen, die durch Windws 95/98/NT/WfW Rechnern aufgebaut sein
können, existieren sog. Browsinglisten, die den Namen (NetBIOS-Name) eines Rechners im
Netzwerk verfügbar machen. Wird z.B. eine Ressource eines NT-Rechners genutzt (eine
Netzwerklaufwerksverbindung), so kann diese z.B. in UNC-Notation angegeben werden. Dabei
wird stets der NetBIOS-Name des betreffenden Rechners anzugeben sein, dessen Ressource man
nutzen möchte.
Beispiel:
\\WINNT-Server1\D$
Um jedoch eine Verbindung zu dem Rechner (in diesem Fall WINNT-Server1) aufbauen zu
können, muß der Rechner im Netzwerk bekannt sein. Dafür sorgen die Browsinglisten.
Dieser Mechanismus existiert seit der Einführung von „Windows for Workgroups“.
Alle Windows-Rechner machen sich über den implementierten Browsing-Dienst im Netzwerk
bekannt. Prinzipiell sind es alle Windows NT Server und Workstation bei denen der Serverdienst
gestartet ist, sowie Windows 95/98 und WFW, wenn bei den letzen drei Betriebssystemen der
Punkt „Datei- und Druckfreigabe“ aktiviert wurde.
Im Vergleich zu alten LanManager-Systemen arbeitet der Browserdienst bei Windows-Systemen
nach einem verändertem Verfahren. Dabei hält nicht mehr jeder Rechner eines Netzwerkes (also
z.B. auch Clients im Peer-to-Peer-Netz) seine eigene Liste der Rechner, die Ressourcen
freigegeben haben, sondern nach einem speziellen Verfahren wird ein sog. Browser-Server
innerhalb eines Netzwerkes (oder eine Telnetzes) ausgewählt, der diese Liste der verfügbaren
Rechner halten muß.
Dieser Browserdienst ist für alle unter Windows-Systemen einzustellenden Netzwerkprotokollen
aktiv. Jedes Netzwerkprotokoll besitzt so gesehen seinen eigenen Broswerdienst incl. eigener
Liste. Die Listen enthalten dabei lediglich die Einträge der Server, die über ein gemeinsames
Protokoll erreichbar sind (TCP/IP bzw. NetBEUI).
Es gibt drei verschiedene Browser-Server:
1. Domain-Master-Browser
Dieser Browsertyp wird ausschließlich durch einen PDC repräsentiert. Er sammelt in
gewissen Abständen die Listen der einzelnen Master-Browser und stellt wiederum die
vollständige Liste allen Master-Browsern zur Verfügung.
2. Master-Browser
Sammelt alle Server innerhalb einer Domain oder Arbeitsgruppe. Die in der Domain
beteiligten Server melden sich in regelmäßigen Abständen über Broadcasts (HostAnnouncment-Pakete) im Netzwerk beim Master-Browser, der wiederum seine Liste
entsprechend vervollständigt. Zunächst werden diese Informationen in Minutenabständen
und später in Abständen von bis zu 12 Minuten wiederholt.
3. Backup-Browser
Diese Browsertyp erhält in gewissen Abständen die Liste der Server vom Master-Browser
einer Domain oder Arbeitsgruppe. Eine solche Synchronisation der Listen zwischen
Master- und Backup-Browser geschieht in Abständen von 15 Minuten. Innerhalb eines
Subnetzes können mehrere Backup-Browser vorhanden sein. Dieses richtet sich nach der
Anzahl der Clients in einem Netzwerk. Dabei soll ein Backup-Browser immer 32 Clients im
Netzwerk mit der Browsingliste bedienen.
Anzahl der Clients
1
2 - 31
32 - 63
Anzahl der Backup-Browser
0
1
2
Andreas Ißleiber, GöNETZ Netzwerke [email protected]
45
Windows NT 4.0 Server Administratorkurs
64 - 95
3
Clients im Netzwerk nutzen die Browserliste des vorher ausgewählten Master-Browsers, wenn
diese z.B. gestartet werden. Dabei fordert der Client zunächst die Liste der Server im Netzwerk
vom Masterbrowser an. Damit in größeren Netzwerken der Browsingmechanismus korrekt
funktioniert, muß in jedem Subnetz einer Domäne (oder Arbeitsgruppe) mind. ein Master-Browser
vorhanden sein. Werden in dem Netzwerk mehrere Protokolle genutzt (TCP/IP NetBEUI, IPX/SPX)
so können auch mehrere Masterbrowser, abhängig vom Protokolltyp, vorhanden sein.
Die automatische Wahl des Masterbrowsers einer Domain oder Arbeitsgruppe
Election-Prozess
Durch einen sog. Election-Prozess wird die Wahl eines Masterbrowsers gestartet.
Dabei kann man das Verfahren bei Windows NT lediglich über Einträge in der Registry steuern.
Unter:
\HKEY_LOCAL_MACHINE\System\CurrentCOntrolSet\Services\Browser\Parameter
steht der Eintrag:
MaintainServerList.
Dieser Wert kann „Yes“, „No“ oder „Auto“ sein.
Steht dort „Auto“, so wird beim Starten des Rechners der Browserdienst mitgestartet und steht als
potentieller Browser-Server zur Verfügung. Erst der Election-Prozess wird dann ergeben, welche
Browser-Rolle der betreffende Server dann spielen wird.
Windows NT Server (nicht DomainController) sowie NT-Workstation haben hier „Auto“ eingetragen.
Ist dort „Yes“ eingetragen, so versucht der Server eine Verbindung zum Master-Browser
herzustellen. Ist ein Master-Browser noch nicht vorhanden oder nicht erreichbar, so wird ein
„Election-Prozess“ erzwungen, der die Neuwahl eines Masterbrowsers sowie Backup-Browser
ermöglicht. Ein Windows NT Server als Domaincontroller (PDC,BDC) steht dabei standardmäßig
auf „YES“.
Ist „No“ in der Registry eingetragen, so wird der Rechner nicht als Browser-Server aktiv.
Ein weiterer Registry-Eintrag, der die Priorität des Browserserver darstellt ist:
IsDomainMaster
Steht dort der Wert „Yes“ oder „True“ so wird dieser Rechner bevorzugt als Masterbrowser
angesehen. Dieser Eintrag wird bei einem Election-Prozess berücksichtigt. Der PDC einer Domäne
hat automatisch der Wert „True“ eingetragen und ist damit potentiell der Masterbrowser. Diese
registryeinstellungen sind für alle installierten Protokolle vorhanden (NetBEUI, TCP/IP, IPX/SPX).
Wann wird der Election-Prozess gestartet:
Wenn ein Client keinen Master-Browser oder Backup-Browser im Netzwerk findet.
Wenn ein Server gestartet wird und dieser selbst potentieller MasterBrowser sein könnte und
dieser keinen Master-Browser findet.
Wenn ein „gewählter“ Master-Browser heruntergefahren wird.
Der Electionprozess wird mittels Broadcast im Netzwerk ausgelöst. Am Ende eines
Electionprozesses ist ein Masterbrowser ausgewählt.
Der Erfolg, bei einem Election-Prozess als Master-Browser gewählt zu werden ist abhängig vom
verwendeten Betriebssystem.
46
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT – Server Administratorkurs
Betriebssystem
Windows NT PDC
Windows NT BDC
Windows NT Server
Windows NT Workstation
Windows 95/98
Windows for Workgroups
Priorität, Masterbrowser zu werden
1
2
3
4
5
6
Wenn die Betriebsysteme von ihrer Stellung her gleichberechtigt instralliert sind, so erfolgt die
Wahl in Abhängigkeit von der Betriebssystemversion. In diesem Fall würde ein Windows NT Server
4.0 die Wahl zu Ungunsten eines Windows NT Server 3.51 gewinnen.
Ist dadurch immer noch keine Wahl möglich, so kommt als weiteres Wahlkriterium die
SystemUpTime (also die Zeit, wie lange der Server aktiv ist) zum tragen.
Der Erfolg des Browsingmechanismus ist stark abhängig von den verwendeten Protokollen bei
Windows NT. Wird TCP/IP verwendet (im Vgl. zu NetBEUI ein routingfähiges Protokoll) und sind
mehrere Bereiche eine größeren Netzes über Router verbunden, so werden die für das Browsing
erforderlichen Broadcasts nicht vom Router übertragen. Innerhalb eines Subnetzes, hinter einem
Router gelegen, funktioniert das Browsing auch via Broadcasts.
In der Regel wird innerhalb eines Subnetzte (hinter einem Routerport) durch den Election-Prozeß
ein Master- sowie Backup-Browser automatisch gewählt.
Hierbei wird die Funktion des Domain-Master-Browser interessant. Dieser sammelt die
Informationen der am Netzwerk integrierten Rechner über die (IP) Domänen hinweg und ist damit
als Masterbrowser auch über Router erreichbar.
!
Ein Domain-Master-Browser wird dabei immer durch einen PDC dargestellt.
Folgendes Verfahren zeigt das Prinzip des Domain-Master-Browsers:

Ein spezielles Domain-Announcment-Paket wird von dem Masterbrowser eines
Subnetzes an den PDC, der dann auch Domain-Master-Browser ist, geschickt.

Dabei wird der Domain-Master-Browser aufgefordert, eine Browserliste der kompletten
Domäne an den Masterbrowser eines Subnetze zurückzuschicken.

Zuerst wird aber der Domain-Master-Browser den Master-Browser des Subnetzes
auffordern, seine eigene Browserliste an ihn zu schicken.

Danach wird der Domain-Masterbrowser seine eigene Liste mit den neuen Daten
ergänzen und anschließend die vollständige Liste an der Master-Browser eines
Subnetzes zurückschicken.

Alle 15 Minuten werden nach diesem Verfahren die Browsinglisten erneut ergänzt.
Wichtig bei diesem Mechanismus ist entweder ein WINS-Server oder zumindest die Eintragung der
NT-Server (PDC usw.) in der Datei LMHOSTS. Dadurch ist es dem Masterbrowser eines
Subnetzes möglich, durch die WINS-Auflösung (bzw. LMHOSTS), direkt ein Domain-MasterBrowser via NetBIOS-Namen anzusprechen. Es sind dabei also keine Broadcasts-Anfragen mehr
erforderlich, die ein IP-Router ja nicht übertragen würde.
!
Wird NetBEUI als einziges Netzwerkprotokoll eingesetzt, so würde eine Kommunikation
über Router ohnehin schon aufgrund der fehlenden Routingfähigkeiten des Protokolls
scheitern. Hierbei bliebe es bei den (lokalen) Masterbrowsern.
Andreas Ißleiber, GöNETZ Netzwerke [email protected]
47
Windows NT 4.0 Server Administratorkurs
Netzwerk-Client-Installationdisketten erstellen
Der Netzwerk-Client-Manager (NCADMIN.EXE)
Der Netzwerk-Client-Manager dient dazu, um eine unter DOS bootfahige Diskette so
vorzubereiten, daß eine Installation von Windwos NT (WS oder Server) über das Netzwerk mit
dieser Diskette möglich ist.
Dabei wird der LANMAN(ager) (MS-DOS Client) auf diese Diskette kopiert.
1.) NCADMIN.EXE starten
2.) Den Menüpunkt „Startdiskette für Installation über das Netzwerk erstellen“ auswählen.
Nun hat man die Möglichkeit, die Freigabe für die Clientdateien auszuwählen. Diese kann man
auch von der CD-ROM (Original Windows NT Server CD-ROM) freigeben. Ggf. muß das CD-ROMLaufwerk unter „Pfad“ eingegeben werden. Es wird anschließend eine Freigabe der Verzeichnis
„CD-ROM\Clients“ unter dem Namen „\Client“ eingerichtet.
48
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT – Server Administratorkurs
3.) Diskettenformat und Betriebsystem auswählen
Alternativ zu „MS-DOS“ kann auch ein Windows 95 Clientinstallationsdiskette erstellt werden.
Anschließend muß die Netzwerkkarte ausgewählt werden, die im Client installiert ist. Wird die
Netzwerkkarte nicht aufgelistet, dann müssen die Originaltreiber-Disketten der Netzwerkkarte
benutzt werden, um den „LANMAN“ Treiber für DOS in dieses Verzeichnis einzufügen.
4.) Nun kann der Netbios-Name (Computer-Name) des Clients, sowie der Username und die
Domäne angegeben werden.
Als Netzwerkprotokolle stehen ..



TCP/IP
NetBEUI
IPX/SPX (NWLINK)
..zur Verfügung.
Andreas Ißleiber, GöNETZ Netzwerke [email protected]
49
Windows NT 4.0 Server Administratorkurs
5.) Jetzt muß eine DOS-bootfähige Diskette eingelegt werden. Diese sollte vorher unter DOS
mit format /s formatiert werden.
Die Cleintinstallation ist nun abgeschlossen.
Verzeichnis der Client-Diskette
50
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT – Server Administratorkurs
Config.sys der Client Diskette
files=30
device=a:\net\ifshlp.sys
lastdrive=z
Autoexec.bat der Client Diskette
path=a:\net
a:\net\net initialize
a:\net\netbind.com
a:\net\umb.com
a:\net\tcptsr.exe
a:\net\tinyrfc.exe
a:\net\nmtsr.exe
a:\net\emsbfr.exe
a:\net\net start
net use z: \\GN-WEB\client
echo Setup wird durchgeführt...
z:\msclient\netsetup\setup.exe /$
Andreas Ißleiber, GöNETZ Netzwerke [email protected]
51
Windows NT 4.0 Server Administratorkurs
Installationsdiskettensatz erstellen
Damit können die Installationsdisketten für den Netzwerkclient des entsprechenden
Betriebsystems (Win 3.XX (DOS) und WIndows 95) erstellt werden.
1.) NCADMIN ausfrufen, „Installationsdiskettensatz erstellen“ auswählen
2.) Freigabe der Dateien auswählen
4.) Betriebssystem für den Client auswählen
Der Installationsdiskettensatz wird nun erstellt. Dieser enthält, im Vergleich zur vorigen ClientStartdiskette, alle verfügbaren Netzkartentreiber und benötigt deshalb mehr als eine Diskette.
52
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT – Server Administratorkurs
NT Boot-Diskette
Es ist nicht möglich eine vollständige NT-Boot-Diskette derart zu erstellen, daß Windows ohne
zusätzliche Platten von Diskette gestartet werden kann. Um NT von Diskette zu starten, braucht
man trotzdem ein installiertes Windows-NT auf Festplatte.
Warum eine Boot-Diskette?
Es kann vorkommen, das einige wichtige Boot-Dateien auf der Festplatte defekt sind, oder sich
etwas an den Partitionen geändert hat (Viren, anderen Betriebsystem). Ist die Windows NT Platte
unter NTFS formatiert, so ist es überdies sehr schwierig, an die Dateien des Betriebsystem
heranzukommen oder ggf. die BOOT.INI anzupassen.
Die Boot-Diskette ist nur versionsabhängig und kann deshalb auf jedem Rechner verwendet
werden. Man muß u.U. lediglich die BOOT.INI an das lokale System anpassen, wenn NT auf einer
anderen Partition installiert wurde, als die Einträge der BOOT.INI auf der Diskette.
Darüber hinaus ist es ratsam, zusätzlich eine Notfalldiskette anzulegen, da bei beschädigter
Registry nur mit dieser Diskette die Sicherheits-IDs wiederhergestellt werden kann.
Erstellen einer Boot-Diskette
Vorgehensweise:
Die Diskette muß zunächst unter NT formatiert werden. Eine DOS-Diskette kann NICHT! dazu
genutzt werden, da diese die MSDOS.SYS und IO.SYS enthält, die nach dem Masterbootrecord
der Diskette gestartet werden. Ein unter Windows NT formatierte Diskette sucht nach dem für NT
erforderlichen „NTLDR“ (NT-Loader).
Die folgenden Dateien müssen nun auf die soeben formatierte Diskette kopiert werden. Es handelt
sich um versteckte Systemdateien auf der Bootpartition von NT. Die Attribute „Hidden, Read-only“
müssen entsprechend vorher auf der Festplatte bei diesen Dateien entfernt werden.





NTLDR
NTDETECT.COM
BOOT.INI
Bootsect.dos
NTBOOTDD.SYS (diese Datei ist nicht immer vorhanden und wird nur bei SCSI-Systemen)
Machnmal ist auch „SUHDLOG.DAT“ dort zu finden. Diese Datei enthält eine Sicherheitskopie des
Bootsectors (bei Win 95 und 98 !) und der alten Systemdateien. Diese dient zur Deinstallation von
Windows 95, kann aber, wenn Windows nicht deinstalliert werden soll, gelöscht werden.
Mit dieser Diskette kann nun ein beliebiges Windows NT System auf Festplatte, auch von einer
Diskette gestartet werden. (Anpassen der BOOT.INI nicht vergessen!)
Andreas Ißleiber, GöNETZ Netzwerke [email protected]
53
Windows NT 4.0 Server Administratorkurs
Die Registry
Bei der Registry handelt es sich um eine Sammlung von Dateien, mit denen Windows NT u. a. die
Hardware- und Softwareeinstellungen und die Benutzerumgebungen und –einstellungen verwaltet.
Früher wurden Anwendungen über *.INI-Dateien (z.B. auch WIN.INI oder SYSTEM.INI) in das
System integriert. Diese Aufgabe hat im Wesentlichen die Registry übernommen, obwohl auch
unter NT 4.0 *.INI-Dateien aus Kompatibilitätsgründen existieren.
Registry-Größe
Die Registry ist standardmäßig mit ca. 13 Mbyte vorgegeben, kann jedoch schnell über diese Wert
hinausgehen, sodaß dann ein größerer Bereich für die Registry eingestellt werden muß.
Unter..
-> Systemsteuerung -> System -> Leistungsmerkmale -> virtueller Arbeitsspeicher -> Ändern
..kann die Maximale Größe der Registry eingestellt werden.
Insbesondere Benutzereinträge verbrauchen den größten Anteil der Registry. Das ist zu
berücksichtigen, wenn man z.B. die Notfalldisketten erstellen will. Obwohl die Registry dabei
komprimiert wird, ist es in jedem Fall schwierig, eine z.B. 50 Mbyte große Registry auf die
Notfalldiskette(n) zu kopieren.
Lösung:-> Mehrdomänenmodell. Damit weitere Domänen, lediglich zur Benutzerverwaltung, die
Datenmenge unter sich aufteilen können.
Was wird in der Registry eingetragen
-
Hardwaretreiber, benutzeranhängige Daten.
Diese Einträge enthalten unter anderem Informationen über
das Benutzerumfeld und die ihm erlaubten Operationen und Veränderungen. Dazu gehören auch
die Anwendungen, die dem Benutzer zur Verfügung stehen und die er eventuell starten oder nicht
starten darf.
Anwendungen, z.B. die Information darüber, wo bestimmte DLL-Dateien einer Anwendung zu
finden sind, bzw. zu welcher Anwendung die DLL´s gehören.
54
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT – Server Administratorkurs
Struktur der Registry
Es existieren fünf Ebenen von Organisationselementen, aus denen die Registry aufgebaut ist.





Körbe (Hives)
Zugriffsschlüssel
Schlüssel
Unterschlüssel
Werte
Die Registry aus Sicht des Registryeditors
Körbe (Hives)
Diese stellen die oberste Ebene der Registry dar. Die dazugehörigen Dateien stehen unter ..
\WINNT\SYSTEM32\CONFIG
Benutzereingriffe auf diese Dateien können nicht direkt vorgenommen werden (unter NTFS).
Es sind die Dateien:







DEFAULT
SAM
SECURITY
SOFTWARE
SYSTEM
USERDIFF
USERDIFR
Die *.LOG-Dateien entsprechen dem Systemlog von Windows NT, welches mit der
Ereignisanzeige von Windows NT angesehen werden kann.





DEFAULT.LOG
SAM.LOG
SECURITY.LOG
SOFTWARE.LOG
SYSTEM.LOG
Andreas Ißleiber, GöNETZ Netzwerke [email protected]
55
Windows NT 4.0 Server Administratorkurs
Die *.SAV-Dateien entsprechen der Registry, welche bei Bootvorgang durch die „Spacestate“ und
„L“ für „last known good“, benutzt wird. Damit wird die letze bekannte „gute“ Konfiguration von
Windows NT gestartet.



DEFAULT.SAV
SOFTWARE.SAV
SYSTEM.SAV
Zuordung der Dateien und deren Funktion innerhalb der Registry
HARDWARE
Temporärer Schlüssel, der sich bei jedem Computerstart aus Informationen neu zusammen- setzt.
Enthält Informationen, die eine Anwendung abfragen kann, um dem Typ und Status von Geräten
festzustellen, die an den lokalen Computer angeschlossen sind. Dieser Schlüssel entspricht keiner
Datei auf der Festplatte, da alle Parameterwerte temporär sind, d.h nicht gespeichert werden,
sondern bei jedem Start neu aufgenommen werden.
SAM
Securtiy Account Manager enthält die Benutzer- und Gruppenkontoinformationen für lokale
Computer unter Windows NT Workstation. Anwendungen, die auf diesen Schlüssel zugreifen,
müssen die geeigneten APIs verwenden. Der Schlüssel SAM entspricht den Dateien SAM und
SAM.LOG im Verzeichnis winnt\system32\CONFIG. Es handelt sich um einen Zeiger auf die
gleichen Daten, auf die unter HKEY_LOCAL_MACHINE\Security\SAM zugegriffen werden kann.
SECURITY
Enthält alle Sicherheitsinformationen für den lokalen Computer. Keiner der Schlüssel von Security
kann von einer Anwendung geändert werden. Anwendungen, die Sicherheitsinformationen
abfragen, sollten die Sicherheits-APIs verwenden. Dieser Schlüssel entspricht den Dateien
SERURITY und SECURITY.LOG im Verzeichnis winnt\system32\config.
SOFTWARE
Informationen über die Software auf dem lokalen Computer, die unabhängig von den
benutzerbezogenen Konfigurationsinformationen ist. Dazu gehören beispielsweise Hersteller,
sowie Versionsnummer der Software. Dieser Schlüssel enthält ferner Dateiverknüpfungen und OleInformationen. SYSTEM Informationen über Geräte und Dienste auf dem System. Werden
Gerätetreiber oder Dienste installiert oder konfiguriert, werden Informationen unter diesem
Schlüssel hinzugefügt, oder geändert. Entspricht den Dateien SYSTEM und SYSTEM.ALT im
Verzeichnis winnt\system32\config
Zugriffsschlüssel (Handle Keys)
Der Zugriff auf die Inhalte der Registry wird den Benutzern nicht über die Hives gegebene, sondern
als thematisch gegliederte Teilschlüssel für den Zugriff bereitgestellt.
Folgende Zugriffsschlüssel existieren in der Registry:





HKEY_LOCAL_MACHINE
HKEY_CLASSES_ROOT
HKEY_CURRENT_CONFIG
HKEY_USERS
HKEY_CURRENT_USER
Diese Schlüssel sind mit den Registryedito(ren) an oberster Stelle aufgeführt.
Die Zugriffsschlüssel ..
HKEY_CLASSES_ROOT und HKEY
CURRENT_CONFIG
..gehören im Rahmen der Hierarchie zu den Teilbäume aus HKEY_LOCAL_MACHINE.
Einige Schlüssel sind mehrfach zu finden.
56
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT – Server Administratorkurs
Die Schlüssel...
HKEY_CLASSES_ROOT entsprechen HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES
und
HKEY_CURRENT_CONFIG dem Teilschlüssel HKEY_LOCAL_MACHINE\SYSTEM.
HKEY_CURRENT_USER ist ein Unterbaum aus HKEY-USERS.
HKEY_LOCAL_MACHINE
Bei diesem Schlüssel handelt es sich um die Einstellungen der Hardware, der Software und von
Windows NT selbst. Weiterhin finden sich hier auch die Sicherheitsdaten, die Benutzerrechte und
die Freigabeinformationen für Ressourcen:





HARDWARE
SAM
SECURITY
SOFTWARE
SYSTEM
HKEY_CLASSES_ROOT (Dateinamenendungen)
Dieses Schlüsselsystem enthält die Informationen, die zum erfolgreichen Start von Anwendungen
benötigt werden. Dazu gehören die Verbindungen zwischen Dateinamenendungen und den sie
bearbeitenden Programmen, die Treibernamen, Zeichenketten und ihre Abkürzungen, die KlassenIDs, DDE-und OLE-Verwaltung und die Zuweisung von Symbolen zu Dokumenten und
Anwendungen.
HKEY_CURRENT_CONFIG (aktuellen Hardwareeinstellungen)
Die aktuellen Hardwareeinstellungen finden sich in diesem Schlüsselbereich. Wenn das System
nur ein Hardware-Profil hat, steht hier auch nur ein Eintrag, ansonsten findet man hier andere
Hardware-Profile, die über die Systemsteuerung ange-legt worden sind. Schlüssel sind
SOFTWARE und SYSTEM.
HKEY_USERS (Standardbenutzereinstellungen)
In diesem Schlüsselbereich sind Informationen über die Standardbenutzereinstellungen und den
gerade angemeldeten Benutzer zu finden. Letzterer wird mit seine SID identifiziert. Andere
Benutzereinstellungen sind normalerweise nicht zugreifbar. Sie können zwar bis auf die Ebene der
SIDs sichtbar gemacht werden, ein weiterer Zugriff ist allerdings auch dann nicht möglich.
HKEY_CURRENT_USER (angemeldeter Benutzer)
Dieser Schlüsselbaum enthält die Informationen, die zum gerade angemeldeten Benutzer gehören:
 APPEVENTS
 CONSOLE
 CONTROL PANEL
 ENVIRONMENT
 KEYBOARD LAYOUT
 PRINTERS
 SOFTWARE
 UNICODE PROGRAM GROUPS
 WINDOWS 3.1 MIGRATION STATUS
Schlüssel und Unterschlüssel
Zur Gliederung der Registry sind Schlüssel sowie Unterschlüssel eingeführt.
Unterhalb der Schlüssel können Einträge mit Werten eingetragen werden. Diese wird im Regelfall
durch NT selbst, bzw. durch Anwendungspriogramme (insbesondere bei deren Installation)
gemacht.
Andreas Ißleiber, GöNETZ Netzwerke [email protected]
57
Windows NT 4.0 Server Administratorkurs
Dazu stehen folgende Wertetypen zur Verfügung:
Zeichenkettenwerte (Stringwerte)
REG_SZ
: Zeichenkette (einzeln)
REG_MULTI_SZ
: Mehrteilige Zeichenkette
REG_EXPAND_SZ
: Erweiterbare Zeichenkette
Numerische Werte:
REG_DWORD
REG_BINARY
: Double Word
: Binärwert
Ändern in den Registryeinträgen
Dazu existieren unter WIndows NT zwei unterschiedliche Programme.
1.) REGEDT32.EXE
2.) REGEDIT.EXE
Regedit.exe
Mit beiden Registryeditoren können Änderungen an der Registry vorgenommen werden. Dennoch
sollte dieses nur von erfahrenen Benuztern durchgeführt werden, da eine Manipulation der
Registry im schlimmsten Fall das Betriebsystem „Windows NT“ unbrauchbar machen kann.
Merkmale von REGEDIT.EXE:
-
Es können ganze Teilbäume als Textdatei abgespeichert werden (name.rag).
Wird unter dem Explorer eine solche *.reg-Datei angeklickt, so werden die Inhalte darin
automatisch durch den Registryeditor in der Registry eingetragen.
Beispiel eines Registry-Key´s in einer Datei
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IE4\SETUP]
"OldIEVersion"="4.72.2106.7"
"PreviousIESysFile"="0.0.0.0"
"UpgradeFromIESysFile"="4.72.2106.7"
"SourcePath"="C:\\msdownld.tmp\\AS01960D.tmp\\"
"DestPath"="E:\\Programme\\Plus!\\Microsoft Internet\\IE4.DLL"
"Path"="E:\\Programme\\Plus!\\Microsoft Internet"
"Apps.hlpDate"="1997.11.30"
"BindImageLogFile"="Bind List Log.txt"
"RunOnceExLogFile"="RunOnceEx Log.txt"
"NoRebootLogFile"="Soft Boot Log.txt"
"PreDefaultBrowser"="Internet Explorer"
58
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT – Server Administratorkurs
Durch den Registryeditor kann auch die Registry einen anderen im Netzwerk befindlichen
Windows-NT Rechners verändert werden.
Registrierung -> „Mit Netzwerkregistrierung verbinden“
Es kann nach Inhalten in Schlüsseln und Werten gleichzeitig gesucht werden. Die Suche kann
über den gesamten Registrybaum ausgeführt werden. Bei REGEDT32 kann NUR! Nach
Schlüsseln und nicht nach Werten gesucht werden.
Andreas Ißleiber, GöNETZ Netzwerke [email protected]
59
Windows NT 4.0 Server Administratorkurs
Merkmale von REGEDT32.EXE:
Bis auf die im Vgl. zu Regedit.exe eingeschränkten Suchfunktion, sind die Merkmal mit
Regedit.exe vergleichbar.
Zusätzliche Funktionen bei REGEDT32.EXE:
Rechte für Schlüssel
Jeder Registryeintrag (nur! Schlüssel keine Werte) können bestimmte Rechte für Benutzer und
Gruppen zugewiesen werden. Damit kann der Kreis der Benutzer, die Werte ändern wollen,
eingeschränkt werden.
Dabei können Benutzer und Gruppen ausgewählt werden, sowie die Möglichkeit, den gesamten
darunter befindliche Teilschlüssel mit den eingestellten Rechten zu überschreiben. Das sollte
jedoch (wenn überhaupt) mit sehr viel Vorsicht gemacht werden.
Besitzt eines Schlüssels
Auch der Besitzt eines Schlüssels kann übernommen werden.
Das ist jedoch zunächst dem Administrator vorbehalten.
60
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT – Server Administratorkurs
Überwachung der Ereignisse eines Schlüssels
Überwacht Ereignisse in der Registrierung.
Diese Option kann nur von Benutzern
mit Administratorprivilegien verwendet
werden.
Dabei kann der Benutzer (oder
Gruppen), dessen Zugriff auf die
Schlüssel überwacht werden soll,
ausgewählt werden, sowie die
Ereignisse, die überwacht werden
sollen. Dabei muß auch die
Überwachung mit dem
Benutzermanager für Domänen aktiviert
sein. Die Überwachungsergebnisse
findet man unter der Ereignisanzeige
(Security, Sicherheit).
Andreas Ißleiber, GöNETZ Netzwerke [email protected]
61
Windows NT 4.0 Server Administratorkurs
Windows NT Domänen
Was sind Domänen ?
Windows NT-Netzwerke sind in Verwaltungseinheiten organsiert. Diese nennt man Domänen oder
englisch Domains. Jede Domain hält ihre eigene Datenbank mit eingetragenen Benutzern. Meldet
sich ein Benutzer an einem Rechner, der Teilnehmer dieser Domain ist an, so wird er über diese
Benutzerdantenbank authentifiziert. Das Eintragen von Benutzern auf jeder Workstation innerhalb
der Domain ist somit nicht nötig. Es genügt ein einmaliges Eintragen für die gesamte Domain. Ein
weiterer Vorteil, ist die Möglichkeit, die Arbeitsumgebung des Benutzers lokal auf einem DomainController zu halten. In diesem Fall bekommt der Benutzer immer die gleiche Umgebung,
unabhängig davon, an welcher NT Workstation der Benutzer sich anmeldet. Freigegebene
Ressourcen und Dienste sind lediglich innerhalb einer Domäne erreichbar.
Aufbau einer Domain
Eine Windows NT Domain kann z.B. aus ...




einem Windows NT Server als Primary Domain Controller (PDC)
ggf. einem, oder mehreren Backup Domain Controllern (BDC) bzw. NT -Server
einer beliebigen Anzahl von Windows NT Workstations
ggf. Windows 95/98, DOS Rechnern
.. bestehen
Einrichtung von Domänen, PDC, BDC und Standalone-Server
Eine Windows NT Domäne wird durch die Installation eines Windows NT Server aufgebaut. Bei
der Installation eines Windows NT Server muß gewählt werden zwischen der Installation als:
 Primärer Domänen-Controller PDC
 Backup-Domänen-Controller BDC oder
 alleinstehender Server
Domänen-Controller
Ein Rechner kann als Domänen-Controller (DC) eingesetzt werden. Wird er nachträglich in eine
existierende Domäne eingefügt und soll er einen vorhandenen Controller ablösen, muß dieses
über den Zwischenschritt seiner Einführung als Backup-Domain-Controller erfolgen. Anschließend
kann die Bedeutung der Controller verändert werden. Ein BDC kann zu einem PDC (und
umgekehrt) „verändert“ werden.
Primärer Domänen-Controller (PDC)
Ein Primärer Domänen-Controller definiert eine Domäne. Wird ein PDC angelegt, wird damit auch
eine neue Domäne im Netzwerk erzeugt.
Zwar kann der Domänenname geändert werden, ein PDC kann jedoch nicht einer anderen
Domäne zugewiesen werden, auch nicht als Backup-Controller. Dies erfordert in jedem Fall eine
komplette Neuinstallation.
Auf dem PDC ist die zentrale Benutzerdatenbank der Domäne abgelegt. Windows-NT-Systeme
können die Domäne nur nach vorheriger Eintragung im Servermanager nutzen. Dabei wird ein sog.
„Computerkonto“ innerhalb einer Domäne auf dem PDC erreicht.
62
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT – Server Administratorkurs
Backup Domänen –Controller (BDC)
Ein Backup-Controller unterstützt den PDC bei der Benutzerverwaltung. Weitere Unterstützung wie
z. B. Serverspiegelung ist dabei nicht möglich. Dazu existieren allerdings Software, die zusätzlich
erworben werden muß. Um ein System als Backup-Controller einzuführen, muß er beim DomänenController „bekanntgemacht“ werden. Dieses kann im Servermanager des PDC erfolgen oder bei
der Installation eines neuen NT-Server als BDC. Im letzteren Fall muß man dazu die nötigen
Privilegien haben (Domainadministratoren). Nachdem ein System zum BDC gemacht wurde, kann
es als Dienstserver zusätzliche Aufgaben übernehmen. Außerdem kann es zum PrimärenDomänen Controller hochgestuft werden.
 Eseineistandere
allerdings nicht möglich, einen Controller-Server aus einer Domäne zu entfernen und in
Domäne einzugliedern. Dies erfordert in jedem Fall eine vollständige
Neuinstallation des Systems.
Aufgaben des Domänen-Controller
Das Konzept der Domaincontroller konkurriert mit dem Konzept der Arbeitsgruppen in einem
„Peer-toPeer-Netzwerk“. Domäne und Arbeitsgruppen können parallel zueinander unter dem
gleichen Namen eingesetzt werden.
Der Primary Domain Controller (PDC) hält die Datenbank der gesamten Domain. In dieser
Datenbank sind alle Rechner der betreffenden Domain und die Benutzer abgelegt. Der PDC
authentifiziert die Benutzer, welche sich an der Domain anmelden.
 Es existiert ausschließlich ein PDC in jeder Domain.
Ein Backup Domain Controller (BDC) hält eine Kopie der Domain-Datenbank des PDC. Er
übernimmt in regelmäßigen Zeitabständen Änderungen der Datenbank des PDC. Fällt der Primary
Domain Controller aus, übernimmt der BDC vollständig seine Funktionalität. Er stellt eine
redundante Datenbank dar, die bei Ausfall des PDC aktiv wird.
 Eswerden.
kann eine beliebige Anzahl von Backup Domain Controllern in einer Domain eingesetzt
In jedem Fall ist es sinnvoll, mindestens einen BDC einzurichten, falls eine
Abschaltung des PDC während des Betriebes notwendig sein sollte, oder ein stabiler Betrieb
der Domäne sichergestellt werden soll, wenn ein DC ausfällt.
Werden mehrere Windows NT Server in einer Domain eingesetzt (z.B. File-Server, Druck-Server,
Web-Server) ist es durchaus sinnvoll alle nicht-PDCs zu einem Backup-Domain-Controller zu
machen.
Da der Primary Domain Controller die Benutzer authentifiziert, sollte ein z.B. als File-Server
eingesetzter Windows NT Server zum PDC erhoben werden.
An den Windows NT Workstations kann bei der Anmeldung gewählt werden, ob man sich lokal an
der Workstation anmelden will oder an einer Domäne. Wählt ein Benutzer die lokale Workstation
zur Anmeldung, muß er in die lokale Benutzerdatenbank der Workstation eingetragen sein. Bei
Zugriffen auf Ressourcen der Domain ist ggf. eine weitere Benutzername/Paßworteingabe
erforderlich. Diese Benutzername/Paßwortkombination muß dann jedoch in der Domain (auf dem
PDC und ggf. BDC´s) eingetragen sein. Wählt der Benutzer die Anmeldung an der Workstation
über die Domain, so hat er automatisch auf alle Ressourcen der Domain Zugriff, entsprechend
seiner Berechtigungen.
Besitzt ein Benutzer „Administrator-Rechte“ in der Domäne und meldet er sich über die Domäne an
einer Workstation an, so bekommt der Benutzer auch Administrator-Rechte auf der Workstation.
Andreas Ißleiber, GöNETZ Netzwerke [email protected]
63
Windows NT 4.0 Server Administratorkurs
Vertrauensstellungen zwischen Domänen
Eine Windows NT Domäne kann anderen Domänen vertrauen, indem eine Vertrauensstellung
(trust) einrichtet wird. Die Domäne wird dann „vertrauende Domäne“ genannt, der Partner, dem
diese Domäne vertraut hingegen „vertraute Domäne“. Domäne A vertraut Domäne B. Mitglieder
(User) der Domäne B können Resourcen der Domäne A benutzen.
Bei einer Vertrauensstellung sind die Benutzerkennungen der vertrauten Domäne in der
vertrauenden Domäne gültig. Alle Benutzer werden so behandelt, als ob sie ein Mitglied der
vertrauenden Domäne sind.
Vertrauensstellungen können auch wechselseitig existieren. Domäne B kann auch Domäne A
vertrauen. Jede Domäne besitzt eine eigene Benutzerverwaltung, die Benutzerkennungen sind
dann jedoch in beiden Domänen gültig (complete trust).
Domänenmodelle
Single Domain Modell
PDC
Domäne „A“
Hier existiert lediglich
eine Domäne mit einem
PDC
Workstation
Domäne „A“
Domain
„A“
BDC
Domäne „A“
Vertraute Domain (trust relationship)
Benutzer der Domäne B (vertraute Domäne) können Ressourcen der Domäne A (vertrauende
Domäne) nutzen.
Domäne A vertraut Domäne B.
PDC
Domäne „A“
Workstation
Domäne „A“
64
Domain
„A“
BDC
Domäne „A“
Domain
„B“
PDC
Domäne „B“
Andreas Ißleiber, GöNETZ Netzwerke
BDC
Domäne „B“
Workstation
Domäne „B“
Windows NT – Server Administratorkurs
Complete Trust
Hierbei vertraut Domäne A der Domäne B und umgekehrt. Benutzer beiden Domänen können
Ressourcen der jeweils anderen Domäne nutzen.
PDC
Domäne „A“
Workstation
Domäne „A“
Domain
„B“
BDC
Domäne „B“
Domain
„A“
BDC
Domäne „A“
Workstation
Domäne „B“
PDC
Domäne „B“
Master Domain
Bei diesem Modell dient
eine Master-Domäne mit
ihrem PDC, als zentrale
Domain, die alle
Benutzerkonten
verwaltet.
PDC
Master-Domain
Workstation
Master-Domain
BDC
Master-Domain
MasterDomain
Domäne A,B, und C haben
jeweils eigene PDC, welche
jedoch der „Master-Domain“
vertrauen. Benutzer der
Masterdomain können
Ressourcen der Domänen
A,B, und C nutzen.
PDC
Domäne „A“
Workstation
Domäne „A“
Domain
„A“
BDC
Domäne „A“
BDC
Domäne „C
Domain
„C“
PDC
Domäne „C“
Domain
„B“
PDC
Domäne „B“
Workstation
Domäne „C“
BDC
Domäne „B“
Workstation
Domäne „B“
Bei diesem Modell ist eine Verteilung der Ressourcen auf verschiedene Domänen möglich. Eine
zentrale Administration aller Benutzer erfolgt lediglich in der Masterdomain. Ressourcen der
Domänen A,B,C können lokal verwaltet werden. Bei diesem Modell sind Administratoren
(Domänen Admins) der Master-Domäne auch gleichzeitig Administratoren der einzelnen Domänen.
In umgekehrter Richtung ist es allerdings nicht möglich, das ein Domain-Admin einer lokalen
Domain administrativ in der Master-Domain tätig wird. Ist dieses gewünscht, so können auch
Vertrauensstellungen in anderer Richtung zwischen Master-Domain und lokaler Domain
eingerichtet werden.
Andreas Ißleiber, GöNETZ Netzwerke [email protected]
65
Windows NT 4.0 Server Administratorkurs
Multiple Master Domain
Die beiden Master-Domain haben
eine „complete trust“ Beziehung
untereinander, weshalb eingetragene
User beider Masterdomains
gleichermaßen die Ressourcen der
„vertrauenden“ Domains nutzen
können.
MasterDomain 2
Bei diesem Modell existieren
mehrere Master-Domains,
denen vertraut wird.
MasterDomain 1
Diese Modell erlaubt eine
Aufteilung der Benutzer in
zwei Master-Domains.
Domain
„C“
Domain
„A“
Domain
„B“
Benutzer der Masterdomains 1 und 2 können dabei auf Ressourcen der einzelnen Domänen A,B
und C zugreifen.
66
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT – Server Administratorkurs
Benutzer und Gruppen
Benutzerkonten
Eine Anmeldung an einer NT Workstation (auch ohne Netzzugriff) oder einer Domäne ist nur dann
möglich, wenn für den betreffenden Benutzer ein Benutzerkonto eingerichtet wurde. Dieses
Benutzerkonto enthält u.a.






den Benutzernamen, unter dem sich der Anwender anmelden kann
- kann bis zu 20 Zeichen lang sein
- aus Groß- und Kleinbuchstaben bestehen
- einige Sonderzeichen (z. B. " = + ?) können nicht verwendet werden
das für die Anmeldung benötigte Kennwort (Paßwort)
die Gruppen (lokal oder global), denen das Benutzerkonto angehört;
die Gruppenmitgliedschaft bewirkt, daß der Benutzer die gleichen Rechte erhält wie die
aufgeführte Gruppe
die für den Benutzer geltenden Rechte und Berechtigungen (z. B. auf welche Ressourcen
er zugreifen darf)
Restriktionen für die Paßwortverwaltung
Paßwörter
Beim Einloggen ist neben der Benutzerkennung auch ein Paßwort einzugeben. In den Richtlinien
für das Benutzerkonto des Anwenders können
 Anforderungen an die Mindestlänge dieses Paßwortes gestellt werden,
 die Begrenzung der Gültigkeitsdauer (maximal und minimal) und
 das Anlegen einer Paßworthistorie erfolgen,
 ein Änderungszwang bei der ersten Anmeldung,
 eine Beschränkung von Fehlversuchen und
 die Dauer einer Sperrung festgelegt werden.
Ein Paßwort sollte zum einen aus Groß- und Kleinbuchstaben und darüber hinaus aus Ziffern und
Sonder- oder Satzzeichen bestehen.
Ab der Version NT 4.0 und dem Service Pack 2 kann die Verwendung von Trivialpaßworten (mit
Hilfe der "Passfilt.dll") verhindert werden.
Einrichten von Benutzern
Bereits nach der Installation eines neuen Servers (oder Workstation) sind bereits zwei Benutzer
vordefiniert.


Administrator
Gast
Wobei bei Servern im Vergleich zur Workstation der Benutzer „Gast“ aus Sicherheitsgründen
deaktiviert ist.
Für die Einrichtung von Benutzern gibt es ein zentrales Programm, den Benutzermanager.
Andreas Ißleiber, GöNETZ Netzwerke [email protected]
67
Windows NT 4.0 Server Administratorkurs
Der Benutzermanager
Diese existiert in zwei unterschiedlichen Varianten:
1.) Benutzer Manager, der für die Einrichtung von Benutzern (lokal) auf Servern und Workstation
unter NT dient.
2.) Benutzer Manager für Domänen. Dabei werden die Benutzer domäneweit gültig, eingetragen
Der Benutzermanager für Domänen ist nicht Bestandteil einer NT-Workstation, kann jedoch
nachgerüstet werden, damit auch administrative Aufgaben von einer NT-Workstation erledigt
werden können.
Benutzermanager
Feld für Benutzer
Feld für Gruppen
Der Benutzermanager und weitere
Administrationsprogramme können auch von
Windows 95/98 Rechnern zur Administration
einer Domäne benutzt werden. Die
Instalation dieser Programm erfolgt mit dem
Programm „NCADMIN.EXE“. Diese kopiert
anschließend in ein bestimmtes Verzeichnis
die Programmteile und gibt diese als „Share“
frei.
 Alle
Funktionen des Benutzermanagers können nicht nur in der eigenen Domäne ausgeführt
werden. Auch andere Domänen können damit verwaltet werden, wenn ausreichend
Benutzerrechte dafür vorhanden sind.
68
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT – Server Administratorkurs
Benutzerrichtlinien
Allgemeine Benutzerrichtlinien können
unter ..
Richtlinien-> Konten eingestellt werden.
Diese gelten zunächst für alle
eingetragenen Benutzer.
Die max. Laufzeit, der Gültigkeit des
Passwortes kann definiert werden, bzw
ob überhaupt eine Laufzeit existiert.
Hier wird die minimale Dauer der
Gültigkeit eines Kennwortes vergeben.
Innerhalb diese Zeit kann der Benutzer
sein Kennwort nur einmal ändern
Gibt die Anzahl der Kennwörter zurück,
bis ein „altes“ Kennwort wieder
verwendet werden kann
Mimimale Kennwortlänge in Zeichen
Hier wird definiert, ob und wie lange ein Konto gesperrt wird, wenn bei der Anmeldung mehrfach
falsche Kennwörter eingegeben werden
Zeitspanne, innerhalb diese die falschen Kennwörter gezählt werden
Gibt die Anzahl der falschen Kennwörter an, ab diese eine Sperrung des Kontos aktiviert wird.
Andreas Ißleiber, GöNETZ Netzwerke [email protected]
69
Windows NT 4.0 Server Administratorkurs
Benutzer einrichten
Unter „Benutzer“ -> neuer Benutzer, können neue Benutzer eingerichtet werden.
Wird der Vorgang auf einem PDC oder BDC durchgeführt, so ist es gleichzeitig ein
Domänenbenutzer.
Hierbei kann erzwungen werden, daß der
Benutzer, wenn er sich das erste mal an der
Domäne anmeldet, sein Kennwort ändern,
bzw. einstellen muß
Hier kann verhindert werden, daß der
Benutzer sein Kennwort verändert
Hier wird das Konto deaktiviert. Diese
„Button“ ist auch aktivbiert, wenn ein Konto
aufgrund von mehrfachen falschen
Passworteingaben gesperrt wurde. Der
Administrator kann diese Sperre wieder
aufheben
Rechte zur Einwahl
über RAS
Ablaufdatum der Account,
lokales oder globales Konto
Profile, Script und
Basisverzeichnis
Gruppenzuordnung
Beschränkung der
Anmeldezeiten
Beschränkung der
Workstation für die
Anmeldung
Gruppenzuordnung
Hier kann der Benutzer bestimmten Gruppen
als Mitglied eingetragen werden.
Ein Benutzer bekommt Administratorrechte,
wenn er als Mitglied in der Gruppe
„Administratoren“ eingetragen ist. DomainAdmins haben Administratorrechte über die
gesamte Domäne und stehen damit „höher“
als „normale“ Administratoren.
Anmeldezeiten
Hier können Zeiten definiert werden, zu denen
der Benutzer sich nicht anmelden darf.
70
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT – Server Administratorkurs
Profile und Anmeldescript
Gibt den Pfad an, unter diesem die
Benutzerprofil abgelegt sind. Diese
müssen in „UNC“ Notation definiert
werden.
Ist ein Anmeldescript für den Benutzer
vorhanden, so kann diese hier eingestellt
werden.
Hier kann ein Basisverzeichnis definiert
werden und der Laufwerksbuchstabe der
auf diese Verzeichnis zeigt.
Hier wird der Pfad der lokalen Workstation definiert, welches als Basisverzeichnis dienen soll
Die Variable %USERNAME% wird automatisch ersetzt durch den entsprechenden
Benutzernamen. Dieses Verfahren ist wesentlich flexibler, als die explizite Angabe der
Benutzernamen, insbesondere wenn dieser Benutzer kopiert wird und dadurch quasi als
Schablone dient.
Existiert noch kein Benutzerprofil, so wird diese automatisch bei der ersten Anmeldung des
Benutzers erstellt. In diesem Fall wird ein „veränderliches Profil“ erstellt (NTUSER.DAT).
Das oben angegebene Verzeichnis, muß auf dem Server (oder PDC) freigegeben werden. Wird ein
Verzeichnis für die Profile freigegeben, so müssen mind. die folgende Rechte definiert werden:
Freigaberechte:
Benutzerrechte im NTFS-Verzeichnis:
Ändern für Domänenbenutzer
Hinzufügen, Lesen für Domänenbenutzer
Basisverzeichnis
Ist ein Basisverzeichnis angegeben, so bildet dieses sein Standardverzeichnis für die Dialogfelder
..
Datei öffnen
Speichern
Diese kann auch ein „lokaler Pfad“ sein, dann existiert das Basisverzeichnis auf der lokalen
Workstation unter dieser sich der Benutzer angemeldet hat.
Ein Basisverzeichnis wird normalerweise automatisch vom Usermanager für Domänen erstellt,
wenn ein Pfad definiert wurde. Wird kein Basisverzeichnis eingestellt, so wird das standardmäßige
Basisverzeichnis ..
\USERS\DEFAULT
...auf dem lokalen Laufwerk des Benutzers verwendet.
 Man
hat auch die Möglichkeit ein Basisverzeichnis für ALLE! Oder eine Gruppe von Benutzern
zu definieren. Diese kann dann gemeinsam von mehreren Benutzern genutzt werden.
Existiert ein angegebenes Basisverzeichnis bei der Einrichtung des Benutzers noch nicht. So wird
diese automatisch von Windows NT angelegt. Entscheidend hierbei ist, daß das darüberliegende
Verzeichnis (welches im Benutzermanager angegeben wurde Bsp: „\\gn2\users\“) existiert.
Andreas Ißleiber, GöNETZ Netzwerke [email protected]
71
Windows NT 4.0 Server Administratorkurs
Anmeldescript
Per „default“ sieht NT das Verzeichnis ..
\WINNT\SYSTEM32\REPL\IMPORT\SCRIPTS
.. für die Anmeldescripts der Benutzer vor. Diese wird auch exportiert als „NETLOGON“. Befindet
sich das Anmeldescript eines Benutzers in einem Unterverzeichnis von „\SCRIPTS“, so muß
dieses entsprechend angegeben werden. (Relativer Pfad zu
„\WINNT\SYSTEM32\REPL\IMPORT\SCRIPTS“).
Als Anmeldescript können *.BAT Dateien oder *.CMD Dateien sowie *.EXE (*.COM) Dateien
aufgerufen werden.
Anmelden an
Hier können die Workstations einer Domäne
angegeben werden, unter dieser sich ein
Benutzer an der Domäne anmelden kann.
Ablauf der Account
Hier wird das Ablaufdatum der Account
angegeben
Hier kann eingestellt werden, ob es ein lokalesoder globales Konto ist. In der Regel benutzt
man globale Konten
RAS-Rechte
Hier kann dem Benutzer das Recht eingeräumt
werden, sich über den RAS-Dienst (Remote
Acces Service) anzumelden (Modem oder
ISDN)
Hierbei hat der Benutzer das Recht, eine
Rückrufnummer beliebig bei der Einwahl zu
übergeben.
Eine etwaige Rückrufnummer kann hier bereits
eingegeben werden
72
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT – Server Administratorkurs
Gruppen
Bereits bei der Installation eines NT-Servers (Workstation) sind eine Reihe von Gruppen
vordefiniert.
Workstation
Administratoren
Sicherungs-Operatoren
Replikations-Operatoren
Hauptbenutzer
Benutzer
Gäste
Server (global)
Domänen-Admins
Domänen-Benutzer
Domänen-Gäste
Server (lokal)
Administratoren
Server-Operatoren
Konten-Operatoren
Sicherungs-Operatoren
Replikations-Operatoren
Druck-Operatoren
Benutzer
Gäste
Lokale Gruppen
Auf einer Workstation repräsentieren Lokale Gruppen ein PC-System. Sie gelten ausschließlich auf
dieser Workstation. Andere Systeme mit den gleichen Lokalen Gruppen haben darauf keinen
Einfluß.
Beim Benutzermanager für Workstations werden nur die Lokalen Gruppen gezeigt.
Lokale Gruppen einer Domäne erweitern ihren Geltungsbereich auf die gesamte Domäne. Diese
können jedoch nicht auf andere Domänen erweitert werden.
Eine lokale Gruppe kann auf jedem Rechner definiert werden und enthält Benutzerkonten aus der
eigenen Domäne, sowie aus allen angeschlossenen, vertrauten Domänen.
 Globale
Gruppen und Domänenbenutzer können in einer lokalen Gruppen als Mitglied
eingetragen sein.
 Andere lokale Gruppen können nicht bei einer weiteren lokalen Gruppe eingetragen sein
Globale Gruppen
Eine globale Gruppe kann nur auf Domänencontrollern definiert werden und beinhaltet die
Benutzerkonten aus dieser Domäne. Die Zugriffsrechte wirken sich in der aktuellen Domäne und
allen vertrauten Domänen aus.
Globale Gruppen dienen dazu, Rechte für Benutzergruppen zu vergeben, die sich auf die gesamte
Domäne und auf „vertraute“ Domänen auswirkt.
Die globale Gruppe „Domain-Admins“ ist als Mitglied in der lokalen Gruppe „Administratoren“
eingetragen.
 Ineingetragen
einer globalen Gruppe können Benutzer eingetragen sein, die in der betreffenden Domäne
sind.
Da in einer Globalen Gruppe nur die Benutzer der aktuellen Domäne Mitglied sein können, werden
auch nur diese im Dialog angezeigt. Weder ist es möglich, andere Globale oder Lokale Gruppen
einzufügen, noch kann man Benutzerinformationen anderer Domänen heranziehen.
Andreas Ißleiber, GöNETZ Netzwerke [email protected]
73
Windows NT 4.0 Server Administratorkurs
Einrichten von Gruppen
Globale Gruppen
Unter „Benutzer“ -> „neue globale Gruppe“ können diese Gruppen angelegt werden.
Dabei können auch gleichzeitig die
Mitglieder dieser Gruppe eingetragen
werden.
Lokale Gruppen
Unter „Benutzer“ -> „neue lokale Gruppe“ können diese Gruppen angelegt werden.
Im Vergleich zur „globalen Gruppe“ können
hier auch Gruppen und Benutzer anderer
Domänen als Mitglied eingetragen werden.
Globale Gruppen können Mitglied einer
lokalen Gruppe sein.
Hier können die Mitglieder der lokalen Gruppen
ausgewählt werden. Es sind Mitglieder der
Domäne und auch Mitglieder aller vertrauten
Domänen auswählbar.
Die Gruppen „lokale Gruppe“ sowie „globale Gruppe“ können auch kopiert werden. Das ist dann
interessant, wenn die bereits eingetragenen Mitglieder der betreffenden Gruppe auch Mitglied der
neu zu erstellenden Gruppe sein sollen.
74
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT – Server Administratorkurs
Richtlinien für Benutzerrechte
Hier lassen sich die allgemeinen Kontoinformationen einstellen, die Systembenutzerrechte
vergeben und die Überwachung aktivieren.
Dabei wird festgelegt, welche Rechte Gruppen und Benutzerkonten gewährt werden.
Rechte beziehen sich auf das gesamte System und unterscheiden sich von Berechtigungen, die
sich auf spezifische Objekte beziehen.
Folgende (wesentliche) Rechte können hier Benutzern oder Gruppen erteilt werden.
Recht
Zugriff auf diesen Computer vom Netz
Beschreibung
Dieses Recht ist entscheiden, für den Zugriff auf die
Ressourcen des Rechners über das Netzwerk
Hinzufügen von Arbeitsstationen zur
Ermöglicht dem Benutzer, der Domäne Arbeitsstationen
Domäne
hinzuzufügen. Durch das Hinzufügen einer Arbeitsstation zu
einer Domäne kann die Arbeitsstation die Benutzerkonten
und globalen Gruppen der Domäne erkennen.
Sichern von Dateien und Verzeichnissen Ermöglicht einem Benutzer, Dateien und Verzeichnisse des
Computers zu sichern. Durch dieses Recht werden Dateiund Verzeichnisberechtigungen aufgehoben. Dadurch kann
der Benutzer (oder Gruppe) ein Backup durchführen.
Ändern der Systemzeit
Der benutzer kann die Uhrzeit/Datum des betreffenden
Rechners ändern
Herunterfahren von einem RemoteNoch nicht implementiert
System heraus
Laden und Entfernen von Gerätetreibern Der Benutzer darf Gerätetreiber hinzufügen und entfernen
Lokale Anmeldung
Der Benutzer darf sich lokal an diesem Rechner anmelden
Verwalten von Überwachungs- und
Ermöglicht einem Benutzer, das Überwachen von Dateien,
Sicherheitsprotokoll
Verzeichnissen und anderen Objekten zu verwalten. Ein
Benutzer, dem dieses Recht erteilt wurde, kann in der
Registerkarte Sicherheit des Dialogfelds Eigenschaften
Überwachungsoptionen für die ausgewählten Objekte,
Benutzer und Gruppen sowie Zugriffsarten festlegen.
Dieses Recht ermächtigt einen Benutzer nicht, mit dem
Befehl Überwachen im Menü Richtlinien des BenutzerManagers festzulegen, welche Sicherheitsereignisse
überwacht werden sollen. Diese Maßnahme ist den
Administratoren vorbehalten.
Wiederherstellen von Dateien und
Ermöglicht dem Benutzer, Dateien und Verzeichnisse auf
Verzeichnissen
dem Computer wiederherzustellen. Durch dieses Recht
werden Datei- und Verzeichnisberechtigungen aufgehoben.
System herunterfahren
Der Benutzer hat das Recht, den Rechner (Server)
herunterzufahren
Wechselprüfung umgehen
Ermöglicht einem Benutzer, Verzeichnisse zu wechseln und
sich die Verzeichnisstrukturen des Computers anzusehen,
auch wenn der Benutzer keine Berechtigungen für die
jeweiligen Verzeichnisse besitzt. Dieses Recht wird
angezeigt, wenn im Dialogfeld Richtlinien für
Benutzerrechte das Kontrollkästchen Weitere
Benutzerrechte anzeigen aktiviert ist.
Anmelden als Dienst
Ermöglicht einem Prozeß, sich am System als Dienst
anzumelden. Dieses Recht wird angezeigt, wenn im
Dialogfeld Richtlinien für Benutzerrechte das
Kontrollkästchen Weitere Benutzerrechte anzeigen aktiviert
ist.
Übernehmen des Besitzes an Dateien
Der Benutzer darf den Besitzt eines Objektes übernehmen
und Objekten
(Datei, Verzeichnis...)
Es existieren noch weitere Rechte, die den Richtlinien zu entnehmen sind.
Andreas Ißleiber, GöNETZ Netzwerke [email protected]
75
Windows NT 4.0 Server Administratorkurs
Einstellungen zu den Richtlinien
Einige Rechte werden erst angezeigt,
wenn „weitere Benutzerrechte
anzeigen“ gewählt wurde.
Mit „hinzufügen“ können ..
 Benutzer
 Benutzer vertrauter Domänen
 Lokale Gruppen
 Globale Gruppen
 Globale Gruppen vertrauter
 Domänen
... hinzugefügt werden.
Überwachungsrichtlinien
Durch die Überwachungsrichtlinien wird festgelegt, welche Arten von Sicherheitsereignissen
protokolliert werden.
 Beim
Verwalten von Domänen beeinflussen die Überwachungsrichtlinien das
Sicherheitsprotokoll des Domänen-Controllers und aller Server in der Domäne, da für diese
dieselben Überwachungsrichtlinien gelten.
Folgende Ereignisse können überwacht werden:
Ereignis
An- und Abmelden
Datei- und Objektzugriffe
Verwendung von Benutzerrechten
Benutzer- und Gruppenverwaltung
Sicherheitsrichtlinienänderung
Neustarten, Herunterfahren und
System
Prozeßverfolgung
76
Beschreibung
Wenn ein Benutzer sich an- oder abmeldet
Ein Benutzer hat auf ein Verzeichnis oder eine Datei zugegriffen,
für das bzw. die eine Überwachung festgelegt wurde; oder er hat
einen Druckauftrag an einen Drucker gesendet, für den eine
Überwachung festgelegt wurde.
Ein Benutzer hat von einem Benutzerrecht Gebrauch gemacht
(mit Ausnahme der Rechte, die sich auf das An- und Abmelden
beziehen)
Ein Benutzerkonto oder eine Gruppe wurde angelegt, geändert
oder gelöscht. Ein Benutzerkonto wurde umbenannt, deaktiviert
bzw. aktiviert, oder ein Kennwort wurde festgelegt bzw. geändert
Es wurde eine Änderung der Richtlinien für Benutzerrechte, der
Überwachungsrichtlinien oder der Vertrauensstellungen
durchgeführt.
Ein Benutzer hat den Computer neu gestartet oder
heruntergefahren, oder es ist ein Ereignis eingetreten, das
Auswirkungen auf die Systemsicherheit bzw. das
Sicherheitsprotokoll hat.
Diese Ereignisse liefern detaillierte Informationen zum Verfolgen
von Vorgängen wie Programmaktivierung, einige Arten der
Duplizierung von Zugriffsnummern, indirekte Objektzugriffe und
Prozeßende.
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT – Server Administratorkurs
Die Ergebnisse der Überwachung sind im
Ereignisprotokoll, welches mit der
„Ereignisanzeige“ unter dem Folder
„Verwaltung“ zu, finden ist.
Vertraute Domänen einrichten
Hiermit können Domänen eingetragen werden, die der eigenen Domäne vertrauen, oder Domänen,
die bei anderen Domänen als vertraute Domäne eingetragen wird.
Zum Einrichten einer Vertrauensstellung sind zwei Schritte in zwei verschiedenen Domänen
erforderlich:
Zunächst muß eine Domäne (die sogenannte
vertraute Domäne) einer zweiten Domäne erlauben,
ihr zu vertrauen, indem diese der Liste der
vertrauenden Domänen hinzugefügt wird.

Anschließend muß in der vertrauenden Domäne
der Liste der vertrauten Domänen die erste
Domäne hinzugefügt werden.

Das Einrichten einer gegenseitigen
Vertrauensstellung (bei der jede Domäne der
anderen vertraut) erfordert, daß beide Schritte in
beiden Domänen durchgeführt werden.
Das Beenden einer Vertrauensstellung erfordert ebenfalls, daß zwei Schritte in zwei verschiedenen
Domänen durchgeführt werden:

Die vertraute Domäne muß der zweiten Domäne die Berechtigung entziehen, ihr zu vertrauen,
indem die zweite Domäne aus der Liste der vertrauenden Domänen entfernt wird.

In der vertrauenden Domäne muß angegeben werden, daß sie der ersten Domäne nicht mehr
vertraut, indem die erste Domäne aus der Liste der vertrauten Domänen entfernt wird.
Andreas Ißleiber, GöNETZ Netzwerke [email protected]
77
Windows NT 4.0 Server Administratorkurs
 Vertrauensstellungen
können nur zwischen Windows NT Server-Domänen eingerichtet
werden
.
Beispiel:
Domäne „GOENETZ_2“ vertraut den Benutzern der Domäne „GOENETZ“. GOENETZ und deren
Mitglieder können auf die Ressourcen von GOENETZ_2 zugreifen.
Auf dem DC von GOENETZ wird folgendes eingetragen:
Unter „Berechtigt, dieser Domäne zu
vertrauen“ werden Domänen eingetragen,
die den Benutzern der eigenen Domäne
vertrauen, sodaß die Benutzer der eigenen
Domäne die Ressourcen der eingetragenen
Domäne nutzen können. Dabei muß ein
Kennwort definiert werden.
Auf dem DC von GOENETZ_2 wird dann folgendes eingetragen:
Unter „Vertraute Domänen“ werden die
fremden Domänen eingetragen, die Zugriff
auf die Ressourcen der eigenen Domäne
haben sollen.
78
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT – Server Administratorkurs
Benutzer-Profile
Für jeden Benutzer eines Windows NT Systems gibt es ein Benutzerprofile, das Informationen über
die Arbeitsumgebung enthält. In diesem Profil sind Einstellungen der Arbeitsoberfläche sowie auch
...




permanente Netzwerkverbindungen
Einstellungen der Netzwerkdrucker
Konfiguration des Startmenüs
Alle benutzerdefinierten Einstellungen in der Systemsteuerung (Konfiguration der
Arbeitsoberfläche, Konsole, Akustische Signale etc)
.. enthalten.
Ein „Profil“ wird bei der Anmeldung eines Benutzers geladen. Bis auf den Benutzer (GAST)
existieren für jeden Benutzer ein entsprechendes Profil. Profile liegen auch lokale auf der NT
Workstation. In der Regel werden diese unter dem Verzeichnis..
%SYSTEMROOT%\Profiles\%USERNAME%
..abgelegt.
Profile können auf einem Domain-Crontroller abgelegt werden, wenn sich der Benutzer an der
Domäne anmeldet und dieses bei der Einrichtung des Benutzerkontos in der Domäne
entsprechend vorgesehen wurde.
Standardprofil
Unter jeder NT Workstation existiert auch ein Standardprofil. Diese wird gelader, wenn sich ein
„neuer“ Benutzer das erstemal an einem Rechner anmeldet und diesem Benutzer kein anderes
Profil zugewiesen wurde.
Das Standardprofil ist unter ..
%SYSTEMROOT%\Profiles\Default User
.. abgelegt.
Hat sich der Benutzer angemeldet, so wird das Standardprofil als „inividuelles“ (eigenes)
Benutzerprofil unter dem Verzeichnis..
%SYSTEMROOT%\Profiles\%USERNAME%
.. abgelegt bzw. kopiert. Bei späteren Anmeldungen wird auf diese „kopierte“ Profil zurückgegriffen.
Das Standardprofil wird dann nicht für diesen Benutzer berücksichtigt.
Veränderliches Profil
Das veränderliche Profil eines Benutzers besitzt den Dateinamen..
NTUSER.DAT
Dieses Profil kann vom betreffenden Benutzer verändert werden. Einstellungen, die der Benutzer
während seiner Windows NT Sitzung vorgenommen hat, werden bei dem Abmeldevorgang an der
Workstation, in die Datei NTUSER.DAT zurückgeschrieben.
Die Datei „NTUSER.DAT.LOG“, welche sich im gleichen Verzeichnis des Profiles befindet, hält die
Önderung an den Registryeinträgen während einer Benutzersitzung. Nach dem Abmelden, werden
diese Änderungen in die „NTUSER.DAT“ übernommen.
Andreas Ißleiber, GöNETZ Netzwerke [email protected]
79
Windows NT 4.0 Server Administratorkurs
Verbindliches Profil (Mandatory Profile)
Der zweite Profil-Typ ist das „verbindliche Profil“. Dabei werden Änderungen des Benutzers
NICHT! In das Profil des Benutzers zurückgeschrieben. Es trägt den Namen..
NTUSER.MAN
Allein durch die Dateierweiterung wird bestimmt, ob ein Profil „verbindlich ist“ (NTUSER.MAN) oder
ein veränderliches Profil darstellt (NTUSER.DAT).
Während einer Windows NT–Sitzung des Benutzers, kann diese zwar Änderungen an seinem
Desktop vornehmen, diese gehen jedoch vollständig verloren, wenn sich der Benutzer erneut an
der Workstation anmeldet. Dabei wird das „festgeschriebene“ verbindliche Profil geladen.
Ein verbindliches Profil kann mehreren Benutzern zugewiesen werden.
Lokale und serverbasierte Profile
Es gibt zwei unterschiedliche Varianten, Benutzerprofile zu sichern.
Lokale Profile:
Befinden sich lediglich auf der Workstation des Benutzers. Einstellungen, die der Benutzer
vorgenommen hat und die in sein lokales (veränderliches) Profil gesichert wurden, können nicht
von einer anderen Workstation genutzt werden. Meldet sich der Benutzer an eine anderen
Workstation an, so bekommt er zwar sein eigenes lokales Profil, diese ist aber Rechner-bezogen.
Serverbasiertes Profil (Roaming Profiles)
Bei einem serverbasiertem Profil, liegen die Profildateien auf einem Server innerhalb der Domäne,
an dieser sich der Benutzer anmeldet. Diese garantiert dem Benutzer eine nahezu gleiche
Umgebung auf wer Workstation, unabhängig davon, an welcher Workstation er sich anmeldet. Ist
es darüber hinaus ein veränderliches Profil, so wird dieses, mit allen Änderungen, die der Benutzer
während einer Workstation-Sitzung gemacht hat, von der Workstation auf den Domaincontroller
kopiert.
 Wenn
sich ein Benutzer von einer Arbeitsstation an den Windows NT Server (Domäne)
anmeldet, auf dem sein Benutzerprofile gespeichert ist, so wird dieses auf die lokale
Arbeitsstation kopiert. Nach dem Abmelden des Benutzers wird es auf den Server
zurückgeschrieben.
Profile auf der Workstation bleiben allerdings erhalten. Melden sich sehr viele unterschiedliche
Benutzer an einer Workstation an, so werden auch sehr viele lokale Profile auf der Workstation
abgelegt. Diese ist nicht immer sinnvoll und erschwert die Administration.
80
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT – Server Administratorkurs
 Um
zu verhindern, daß lokale Profile auf der Workstation abgelegt werden und dort stehen
bleiben, gibt es einen Registryeintrag, der diese verhindert.
Unter dem Key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
..muß der Wert..
DeleteRoamingCache=1 ( REG_DWORD)
.. auf der Wert =1 gesetzt werden.
Ist „DeleteRoamingCache“ auf „1“ gesetzt , so wird das lokale Profil eines Benutzers nach seiner
Abmeldung an auf der Workstation gelöscht, sobald dieses (wenn es ein veränderliches Profil war)
auf den Server kopiert wurde, von diesem der Benutzer sein Profil bezogen hatte. Es existiert nur
noch dieses Profil auf dem Server.
Werden dem Benutzer durch den Administrator ein serverbasiertes Profil zugewiesen, so muß
darauf geachtet werden, daß der betreffende Benutzer auf dieses Verzeichnis (und die Datei
NTUSER.DAT) das Recht besitzt, in diesem Verzeichnis, Dateien zu speichern. Das ist bei einem
veränderlichen Profil ganz wesentlich. In der Regel sind diese Rechte korrekt eingestellt. Wird
allerindgs ein anderen Profilverzeichnis, als das unter „%SYSTEMROOT%\Profiles“ bei dem
Benutzer eingestellt, so müssen die Rechte entsprechend vergeben werden.
Folgende Rechte sollten eingestellt sein:
Freigaberechte des Profilverzeichnisses:
Domain-Benutzer : „Ändern“
Rechte auf NTFS-Ebene:
Domain-Benutzer : „Hinzufügen und Lesen“
Standardprofile als serverbasierte Vorgabe
Bei jeder Workstation gibt es unter ..
%SYSTEMROOT%\Profiles\Default User
.. ein Standardprofil, welches benutzt wird, wenn dem Benutzer kein Profil zugeordnet ist.
Solch ein Standardprofil kann auch auf einem Server erstellt (eingestellt) werden. Dabei ist
folgende Reihenfolge bei der Profilzuordnung während einer Anmeldung an einer Domäne zu
beachten:
1. Wenn sich ein Benutzer an der Domäne anmeldet und sein Profil kein Mandatory Profile
ist, wird im Profileverzeichnis gesucht, ob ein entsprechender Eintrag vorhanden ist.
2. Wenn kein serverbasierte Profil vorhanden ist, wird auf der lokalen Workstation im
Verzeichnis %SYSTEMROOT%/Profiles/%USERNAME% nach dem Profile mit dem
Namen des Benutzers gesucht.
3. Ist dieses Verzeichnis auch nicht vorhanden, so wird im NETLOGON Verzeichnis des
Domain Controllers nach dem Verzeichnis Default User gesucht. Ist dieses vorhanden, so
wird das darin enthaltene Profile geladen.
Andreas Ißleiber, GöNETZ Netzwerke [email protected]
81
Windows NT 4.0 Server Administratorkurs
All Users Vorgabe
Das Verzeichnis ”All Users” unterhalb der Profilverzeichnisse (%SYSTEMROOT\Profiles\All Users)
beinhaltet allgemein zugängliche Programmgruppen. Das Startmenü der Workstation setzt sich
beim Anmelden aus den Einstellungen des Benutzerprofiles und den Einträgen aus dem
Verzeichnis ”All Users” zusammen. Standardmäßig ist hier auch die Programmgruppe ”Verwaltung
(Allgemein)” aufgelistet, obwohl die darin enthaltenen Programme nur vom Systemadministrator
eingesetzt werden können. Es ist also sinnvoll, bei der Erstkonfiguration des Systems dieses
Verzeichnis in das Startmenü des Administrators zu verschieben.
Gleiche Benutzernamen
Wenn sich ein Benutzer mit dem gleichen Benutzernamen, aber unterschiedlichem Account (z.B.
ein lokaler Benutzer und ein Domain Benutzer) am System anmeldet, so bekommt das Profile des
ersten Logins den Benutzernamen zugewiesen, wohingegen das Profile des zweiten Logins ein
Verzeichnis mit dem Benutzernamen und angehängtem ”000” zugewiesen bekommt.
82
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT – Server Administratorkurs
Richtlinien (Policy)
Systemrichtlinien
Systemrichtlinien bieten dem Administrator die Möglichkeit, Einschränkungen auf Domänen-,
Computer- , Gruppen und Benutzerebene zu definieren. Dazu existiert ein Programm, mit diesem
solche Richtlinien festgelegt werden können. Es ist der ..
Policyeditor (Systemrichtlinieneditor) (Poledit.exe)
Es können, unterschiedlich sich auswirkende, Richtlinien definiert werden:




Richtlinien, die sich auf alle Benutzer auswirken (Standardbenutzer)
Richtlinien, die für alle Computer der Domäne gelten (Standardcomputer)
Richtlinien, die für einzelne Benutzer oder „globale“ Gruppen
Richtlinien, die für einen einzelnen Computer der Domäne gelten
Mit Systemrichtlinien kann eingestellt werden, ob ein Benutzer die Systemsteuerung (oder Teile
daraus) öffnen kann oder den Hintergrundbildschirm verändern darf usw.
Der Systemrichtlinieneditor wird nur mit der NT-Server Version mitgeliefert. Er befindet sich im
Ordner "Verwaltung (allgemein)".
 Sollten
Systemrichtlinen für einen WIN95/98 Rechner festgelegt werden, so muß man dieses
mit dem Systemrichtlinieneditor des entsprechenden Betriebsystems erledigen (also von
WIN95/98).
Einstellungen mit dem Richtlinieneditor werden in der Registry eingetragen. Es stellt somit ein
Programm dar, welches zwischen Benutzer und Registry, die Änderungen vornimmt. Es ist
allerdings nur ein Teil der Einstellungen, die in der Registry möglich sind, durch den
Richtlinieneditor erreichbar.
NTCONFIG.POL
Ist die Standarddatei für die Systemrichtlinien und befindet sich in der Regel unter der
„NETLOGON“-Freigabe aller Domänencontroller einer Domäne
("%Systemroot%\System32\Repl\Import\Scripts). (Mit Hilfe der Replikation).
Durch diese Datei werden Richtlinien domänenweit gültig. Sollen Richtlinien nur auf einem lokalen
Rechner (Workstation) gelten, so kann die NTCONFIG.POL in der Profilverzeichnis des „Default
User“ kopiert werden. (%SYSTEMROOT%\Profiles\Default User)
Meldet sich ein Benutzer an der Domäne an, und wurden Systemrichtlinien definiert, so werden die
Einstellungen in der NTCONFIG.POL auf das lokale System kopiert, bzw. Eintragungen,
entsprechend der Einstellungen mit dem Policyeditor, in der lokalen Registry vorgenommen.
Sind benutzerbezogene Einstellungen durch die Richtliniendatei vorgenommen worden, so
überschreiben diese die Einstellungen, die durch ein Benutzerprofil (NTUSER.DAT) existierten.
D.h. die Policy-Einstellungen haben höhere Priorität als das Benutzerprofil.
Der computerbezogene Bereich der Richtliniendatei überschreibt die Systemeinstellungen der
Workstation (WINNT\System32\config\system). Windows 95/98 greift per „default“ nur auf die
Richtliniendatei auf dem PDC zu. Der so entstehenden, zum Teil erheblichen, Netzwerklast (bei
sehr großen Netzen) kann durch einen „Lastausgleich“ mit dem Richtlinieneditor unter
„Netzwerk/Update/Remote-Update“ begegnet werden.
Andreas Ißleiber, GöNETZ Netzwerke [email protected]
83
Windows NT 4.0 Server Administratorkurs
Einstellungen von Richtlinien
Der Policyeditor.
Mit „Datei->Neue Richtlinie“ können neue
Richtlinien erzeugt werden
Richtlinien für
Standardcomputer sowie
Standardbenutzer stellen Vorgaben dar, wenn
diese nicht explizit existieren.
Einstellungen zum Standardbenutzer
Einstellungen zum Standardbenutzer, wirken sich
auf alle Benutzer aus, den keine
benutzerbezogenen (eigenen)
Richtlinieneinstellungen zugewiesen wurde
Hier können eine Vielzahl von Einstellungen, die
das Benutzerprofil ergänzen können,
vorgenommen werden.
Einstellungen zum Standardcomputer
Einstellungen zum Standardcomputer, wirken sich
auf alle an der Domäne beteiligten Computer aus.
Diese Einstellungen überschreiben die lokalen
Einstellungen in der Registry.
Es können auch Richtlinien von anderen Domänenmitgliedern (Computern) definiert werden. Über
„Datei-> Verbinden“ kann ein Computer ausgewählt werden.
84
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT – Server Administratorkurs
Vorsicht bei der Verwendung von Policyeinstellungen
 InStandardcomputer
keinen Fall sollten ausschließlich nur Richtlinien für Standardbenutzer und
eingestellt werden, da diese sich sofort auf alle Computer und Benutzer
(auch Administratoren) auswirkt. Einschränkungen könnten dann lediglich durch Löschen der
Policydatei und der NTUSER.* rückgängig gemacht werden.
Es ist in jedem Fall sinnvoll, neben dem Standardcomputer auch spezielle getrennte Einträge der
Computer einzutragen, von denen aus die Administratoren tätig sind.
Zusätzlich sollten auch Administratoren explizit mit dem Policyeditor behandelt und definiert
werden. Diese Einstellungen sollten sich von der globalen Einstellungen (Standard...)
unterscheiden, sodaß ein Administrator immer noch Gelegenheit hat, bei falsch eingestellten
Richtlinien, administrativ einzugreifen.
 Die
„Administrator-Computer“ sowie die „Administratoren“ sollten keine Einschränkungen durch
Richtlinien haben.
 Richtlinien
für Benutzer sollten über Gruppen definiert werden. Einstellungen, die einzelne
Benutzer betreffen, können die Administration der Domäne erheblich erschweren.
 Viele
Einstellungen, die an Richtlinien vorgenommen werden, wirken sich erst bei einer
erneuten Anmeldung der Benutzer auf das lokale System aus.
 Da
sich Benutzer auch an BDC´s anmelden können, ist es entscheident, daß auch die
Richtliniendatei NTCONFIG.POL auf die BDC´s einer Domäne repliziert werden (kopiert
werden).
 Werden
Richtlinien für Windows 95/98 Clients eingestellt, so muß! dieses mit dem
Richtlinieneditor von Windows 95/98 geschehen. Die Einträge in der Regitstry, die durch die
Richliniendatei vorgenommen werden, unterscheiden sich von Windows NT zum Teil erheblich.
Die so erzeugte Datei muß den Namen „Config.pol“ bekommen. Da Windows 95/98
automatisch nach dieser Datei sucht und die Einstellungen dann übernimmt.
Andreas Ißleiber, GöNETZ Netzwerke [email protected]
85
Windows NT 4.0 Server Administratorkurs
Liste der Computerrichtlinien
Computerrichtlinien
Netzwerk
System
Windows NT-Netzwerk
Windows NT-Drucker
Windows NT-Remotezugriff
Windows NT-Shell
Windows NT-System
Benutzerprofile
FTP-System
86
Aktionen
Bei den Optionen zur Remote-Aktualisierung kann
zwischen zwei Modi gewählt werden: einen
automatischen Standardpfad (der durch NTconfig.pol
auf den Domänencontroller aktualisiert wird) oder
einem manuell eingegebenen Pfad zur Aktualisierung
der Systemrichtlinie von einem Computer aus, der kein
Domänencontroller ist.
Darüber hinaus stehen Optionen zur Aktivierung der
Anzeige von Fehlermeldungen zur Verfügung, wenn
die Richtliniendatei nicht gefunden werden kann, sowie
zur Aktivierung eines Lastenausgleichs für WIN95Computer
Konfigurieren des Eintrags Simlpe Network
Management Protocol (SNMP) und Festlegen des
Eintrags Ausführen, der zur Angabe des Inhalts der
beim Starten ausgeführten Programme verwendet wird
Möglichkeit zum Erstellen von verborgenen Freigaben
für jeden Laufwerksbuchstaben.
Deaktivieren des Browse-Thread zur Änderung der
Priorität der Druckauftragszuordnung oder zur
Einstellung des Druckerspoolers, sodaß er alle 10
Sekunden einen Signalton abgibt, wenn für den
Druckauftrag auf einem Remote-Druck-Server ein
Fehlzustand vorliegt.
Verwenden eines RAS-Servers, Einstellen einer
maximalen Anzahl erfolgloser Einwahlversuche und
eines maximalen Zeitlimits für die
Echtheitsbestätigung. Es steht zudem eine Option für
das Zeitintervall für eine automatische Trennung vom
Server zur Verfügung
Erstellen benutzerdefinierter Ordner für die
gemeinsame Nutzung
Änderung der Anmeldeoptionen: Ändern der
Anmeldenachricht, Ändern des StandardBenutzernamens und -kennwortes, Herunterfahren
vom Anmeldebildschirms aus und deaktivieren der
Namensanzeige des letzten Benutzers.
Ändern der Optionen unter Dateisystem, zur
Aktivierung oder Deaktivierung von 8.3-Dateinamen,
zur Verwendung erweiteter Zeichen für 8.3Dateinamen, und zur Aktualisierung des Zeitattributes
des letzten Zugriffs auf eine Datei
Definieren einer langsamen Verbindung zu einem
Anmeldeserver und automatisches Erkennen einer
langsamen Verbindung bei einem ersten
Anmeldeversuch. Diese Einstellungen in Verbindung
mit der Registerkarte Benutzerprofile des Programms
System in der Systemsteuerung verwendet werden,
um die Leistung bei Anmeldung durch eine langsame
Verbindung zu Optimieren.
Konfigurieren des FTP-Server-Dienstes
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT – Server Administratorkurs
Liste der Benutzer/Gruppenrichtlinien
Benutzerrichtlinien
Systemsteuerung
Desktop
Shell
System
Windows NT-Shell
Windows NT-System
Aktionen
Einschränken der Benutzeraktivität im Programm Anzeige in der
Sytemsteuerung oder Verweigern des Zugriffs auf dieses Programm
Angabe des Hintergrundbildes und Farbschemas für den Dektop.
Anpassen der Desktop Ordner und der auf dem Desktop angezeigten
Objekte, sowie Einschränken der Verwendung der Befehle Ausführen,
Suchen und Beenden. Sie können benutzerdefinierte Ordner erstellen,
indem sie Pfade zu Programmelementen , Desktop-Symbolen, Start und
Netzwerkumgebungselementen sowie zu Objekten des Menüs Start
eingeben, die sie aus anderen Benutzerprofilen laden möchten. Sie
können Pfade zu benutzerdefinierten Desktop Symbolen oder
Anwendungen, die im Startordner angezeigt werden sollten , eingeben.
Es ist möglich, das gesamte Menü „Start“ zu ersetzen.
Deaktivieren des WINNT (regedit32.exe) und des WINDOWS95Registrierundeditors (regedit.exe). Außerdem kann man eine Liste von
Windows-Anwendungen eingeben auf die der Benutzer Zugriff haben
soll. Auf Anwendungen, die nicht in dieser Liste aufgeführt sind, kann der
Benutzer nicht zugreifen.
Anpassen der Desktops durch Angabe eines Pfades zu einen
benutzerdefinierten Ordner mit weiteren Programmen, DesktopSysmbolen, einem Startordner einer Netzwerkumgebung und einem
Menü Start sowie das Ausblenden der Unterordner des Menüs Start.
Weiterhin Entfernen allgemeiner Programmgruppen aus dem Menü
Start.
Aufnehmen der, in der Datei Autoexec.bat deklarierten,
Umgebungsvariablen des Benutzers
Die Einstellungen für Benutzer und Gruppen sind bei dem Richtlinieneditor identisch.
Andreas Ißleiber, GöNETZ Netzwerke [email protected]
87
Windows NT 4.0 Server Administratorkurs
Der Servermanager
Unter Windows NT Server existiert einen eigenen Servermanager. Einen Teil der Funktionen findet
man auch im Servermanager für Workstations. Allerdings kann man mit dem Servermanager für
Domänen naturgemäß mehr machen, vor allem wird es möglich, mit ihm anderes System in der
Domäne über das Netzwerk zu verwalten.
Der Servermanager wird aus dem Ordner Verwaltung (Allgemein) gestartet. Wenngleich der
Servermanager für Domänen zum Server mitgeliefert wird, ist dieser Start auch von einer
Workstation aus auf einer Freigabe des Servers möglich.
Folgende Menüpunkte sind im Servermanager erreichbar:

Computer: Hier werden die Domänen ausgewählt, Systeme hinzugefügt oder entfernt und
Informationsdialoge zu ausgewählten Systemen angestoßen.

Ansicht: Die Auswahl der dargestellten Systeme. Man kann sich z. B. darauf beschränken nur
die Server in einer

Optionen: Allgemeine Einstellungen.
Computer
Im Programmfenster wird eine Liste der
zu einer Domäne gehörenden Systeme
dargestellt. Je nach der ausgewählten
Darstellungsform sieht man Server,
Workstations oder beides. Ein Primary
Domain Controller wird durch einen
grauen Würfel dargestellt, der Backup
Domain Controller durch einen Würfel mit
einem Bildschirm.
Workstations werden durch ein kleines
Computersymbol angezeigt. Da neben
dem Symbol der Typ des Systems steht, kann man unterscheiden, ob es sich um eine WindowsNT-Workstation oder um ein anderes Windows-System handelt.
Wenn ein System in der Domäne aktiv ist, erscheint sein Symbol in einer kräftigen farbigen
Darstellung. Wenn das System inaktiv ist, wird es mit grauen Linien dargestellt.
Domänenauswahl
Der erste Schritt zur Domänenverwaltung ist die Auswahl der zu bearbeitenden Domäne. Sie
erfolgt mit dem Menüpunkt Computer/Domäne auswählen. Im Computerbrowser erscheinen alle
Domänen, zu denen eine Verbindung besteht. Verwalten kann man allerdings nur die Domänen, zu
denen ein Vertrauensverhältnis besteht.
Rechner zur Domäne hinzufügen
Mit dem Dialog, den der Menüpunkt
Computer/Zur Domäne hinzufügen aufruft,
kann angegeben werden, ob es sich bei
dem neuen System um eine Windows-NTWorkstation oder um einen BackupController handelt. Dabei wird ein
Computerkonto innerhalb der betreffenden
Domäne erstellt.
88
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT – Server Administratorkurs
Eigenschaften eines Computers
Hier werden die Freigaben des betreffenden
Rechners angezeigt. Neue Freigaben können
hinzugefügt- oder entfernt werden.
Hier sind die
angemeldeten
Benutzer zu sehen.
Auch die
verwendeten
Ressourcen der
Benutzer werden
angegeben.
Benutzer können
auch getrennt
werden.
Die geöffneten Dateien der Benutzer auf dem
Server, und deren Status (Lesen, schreiben usw.)
kann hier angezeigt werden.
Über „Computer“ „Nachrichten senden“ können
Nachrichten als PoPup-Meldung an den angewählten
Computer geschickt werden.
Hier können Computer oder Benutzer angegeben
werden, bei denen Im fehlerfall Warnungen
ausgegeben werden (als PoPup).
Über „Computer“ -> „Dienste“, können die Dienste des
ausgewählten Computer gestartet oder beendet werden.
Auch die Einstellungen zu den Diensten können
verändert werden. (Startart, Hardwareprofil usw.).
Andreas Ißleiber, GöNETZ Netzwerke [email protected]
89
Windows NT 4.0 Server Administratorkurs
Heraufstufen zum PDC
Wird als Computer ein BDC ausgewählt, so kann diese zu einem PDC „heraufgestuft“ werden.
Umgekehrt kann mit dem Servermanager ein PDC zu einem BDC „degradiert“ werden.
Synchronisieren der ganzen Domäne
Normalerweise werden Änderungen der Userdatenbank und Freigabe von Ressourcen sowie
Einstellungen zu den Rechten mit den BDC´s der gesamten Domäne synchronisiert. Diese kann
man mit dem Menüpunkt „Synchronisieren der ganzen Domäne“ erzwingen. Dabei werden alle
BDC´s mit dem PDC synchronisiert.
Verzeichnisreplikation
Die Verzeichnisreplikation ist ein Dienst, der eine aktualisierte Kopie eines (oder mehrerer)
Verzeichnisse und Dateien auf mehrere NT-Rechner erlaubt.
Dabei kann auch auf Windows NT Workstation repliziert (kopiert) werden. Wenn eine ganze
Benutzergruppe mit den gleichen Dateien arbeiten, kann eine Entlastung des Netzwerkes und der
Server durch eine Verzeichnisreplikation auf mehrere Server erreicht werden.
Prinzip der Verzeichnisreplikation:
Von einem Server wird ein (oder mehrere) Verzeichnisse exportiert, welche dann von einer
definierten Anzahl Servern importiert werden. Eine Replizierung erfolgt ausschließlich in eine
Richtung, vom exportierenden Server zum Importserver.
Prinzipiell können alle Verzeichnisse repliziert werden, dessen Dateien geöffnet werden können. In
der Regel wird diese Verfahren für die Verzeichnisse „%SYSTEMROOT%\System32\repl\export“
angewendet, um Scripte und auch Richtliniendateien sowie Profile auf andere, in der Domäne
eingetragene, BDC´s zu replizieren.
90
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT – Server Administratorkurs
Einrichtung der Verzeichnisreplikation
Der Verzeichbnisreplikationsdienst muß als Dienst gestartet sein.
Unter der Sytstemsteuerung -> Dienste ist der Dienst
zu finden. Standardmäßig wird der Dienst nicht
automatisch gestartet, was hier entsprechend
nachgestellt werden muß.
Es bietet sich an, einen speziellen Benutzer für die
Verzeichnisreplikation einzurichten. Natürlich kann es
auch ein Administrator sein, jedoch aus
Sicherheitsgründen sollte ein spezieller Benutzer
diesen Dienst (automatisiert) übernehmen. Dieser
Benutzer sollte dann in den Gruppen „ReplikationsOprator“ und „Sicherungs-Operatoren“ als Mitglied
eingetragen sein.
Dadurch bekommt er die erforderlichen Rechte für die
Replikation. Durch die Eintragung in der beiden
globalen Gruppen, wird der Benutzer auch in die
gleichnamigen lokalen Gruppen der Server oder Workstations aufgenommen und besitzt dann die
nötigen Rechte.
Als Exportserver kann ausschließlich ein Windows NT Server fungieren.
Einstellungen auf dem Exportserver
Unter „Exportverzeichnisse“,
können die Verzeichnisse definiert
werden, die Repliziert werden
sollen.
Alle Verzeichnisse unter der
Angabe „von Pfad“ werden
exportiert.
„Nicht importieren“ verhindert ein
Import anderer exportierter
Verzeichnisse.
Unter „Zu Liste“ sind die Server einegtragen, zu denen exportiert wird. Sind dort keine Server
eingetragen, sow wird innerhalb der eigenen Domäne zu allen Import-fähigen Servern exportiert.
Andreas Ißleiber, GöNETZ Netzwerke [email protected]
91
Windows NT 4.0 Server Administratorkurs
Einstellungen auf dem Importserver
Hier können die Server angegeben
werden, dessen Exportverzeichnis
lokal importiert werden soll.
Ist dort kein Server angegeben, so
wird von allen Server der Domäne,
die Exportieren, die Verzeichnisse
importiert.
Es lassen sich auch exportierte
Verzeichnisse von anderen
„vertrauten“ Domänen importieren.
Hierbei muß die entsprechende
Domäne und der Server ausgewählt
werden.
Verzeichnisreplikation verwalten
Diese Einstellungen können für den exportierenden- und den importierenden Server vorgenommen
werden.
Es können Sperren eingerichtet werden. Die Zahl
gibt die Anzahl der diesem
Unterverzeichnis zugewiesenen Sperren an.
Eine Sperre verhindert den
Export von Unterverzeichnissen. Für ein Unterverzeichnis können mehrere
Sperren wirksam sein.
Der Export wird nur
durchgeführt, falls diese
Spalte den Wert 0 enthält.
Warten bis stabilisiert
Ist dieses Kontrollkästchen aktiviert, dürfen alle Dateien und Unterverzeichnisse im gewählten
Unterverzeichnis mindestens zwei Minuten lang nicht geändert werden, bevor sie repliziert werden
können. Dieses Verfahren trägt dazu bei, Teilreplikationen zu verhindern. Ist dieses
Kontrollkästchen nicht aktiviert, können Dateien sofort repliziert werden, nachdem sie geändert
wurden.
Durch „rekursiv“ wird eingestellt, das darunterliegenden Verzeichnisse rekursiv exportiert werden.
92
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT – Server Administratorkurs
Scheduler
Der Scheduler von Windows NT dient dazu, zeitgesteuert, bestimmte Programm und Scripte
auszuführen. (vgl. CRON unter UNIX)
So lassen sich zum Beispiel nachts temporäre Verzeichnisse automatisch mittels eines Skripts
löschen.
Voraussetzung ist, daß der Zeitplandienst in der Systemsteuerung->Dienste automatisch bei
Rechnerstart gestartet wird. Sie können dies einrichten, indem Sie den Dienst Schedule
(Zeitplandienst) auswählöen, Startart wählen und dort als Startart "Automatisch" wählen.
Hinzufügen von neuen Aufträgen
Das Hinzufügen von neuen Aufträgen und die Verwaltung bestehender Aufträge geschieht an
der Kommandozeile mittels des Befehls
at
Hierbei handelt es sich um ein Programm, welches in einer DOS-Box gestartet werden kann.
Kommandozeile:
at [\\Computername] Zeit [/interactive] [/every:Datum[,...] | /next:Datum[,...]] Befehl
Wobei mit..
\\Computername
.. ein Computername angegeben werden, auf dem dieser Auftrag installiert
werden soll. Es kann ein beliebiger Windows NT Rechner (Server, WS) im Netzwerk sein.
Voraussetzung sind die entsprechenden Rechte auf diesen Rechner.
Zeit
Die Uhrzeit der Auführung im Format hh:mm
/interactive
gestattet dem Skript oder Programm mit dem während der Ausführungszeit angemeldeten
Benutzer zu interagieren. Dabei kann das mittles „at“ aufgerufene Programm mit dem GUI
interagieren.
/every:
ermöglicht die Angabe eines Tages innerhalb des Monats (1..31). Wenn z.B. jeden (1.) eines
Monats ein Dinest gestartet werden soll.
Auch die Angabe eines Wochentages ist möglich (Mo, Di, Mi, Do, Fr, Sa, So), der
Auftrag wird dann immer an diesem Wochentag ausgeführt.
/next:
wie every, jedoch wird der Auftrag nur einmal ausgeführt. every und next schließen sich
gegenseitig aus.
Andreas Ißleiber, GöNETZ Netzwerke [email protected]
93
Windows NT 4.0 Server Administratorkurs
Befehl
Angabe des Programms, welches automatisch gestartet werden soll. Z.B. „E:\BACKUP.BAT“
Wird at ohne Parameter angegeben, so werden die bestehenden Aufträge aufgelistet.
Jeder Eintrag besitzt eine ID. Mittels dieser ID kann der Auftrag auch gelöscht werden
at [\\Computername] [[id des Auftrages] [/delete] [/yes]]
/yes : erzwingt eine Löschung ohne jede Nachfrage.
 Bei
der Benutzung des Schedulers ist häufig die Angabe des kompletten Pfades zu einem
Programm, da nicht unbedingt eine vollständige „PATH“ Umgebung zur Verfügung steht. Der
Scheduler kann jedoch auch den CMD.EXE (Commandointerpreter) von NT aufrufen, der
wiederum eine BATCH-Datei startet.
 Ein
Weiter entscheidener Punkt, sind die Rechte, mit denen das aufgerufene Programm
agieren kann. Per „default“ ist es das „systemkonto“, und die damit verbundenen Rechte auf
andere Objekte. Sollen administrative Dinge mittels „at“ automatisiert werden bei diesen
Administratorrechte erforderlich sind, so muß auch der „Scheduler Dienst“ mit einem Benutzer
der „Administrator-Rechte“ besitzt, gestartet werden.
Das kann über..
Systemsteuerung -> Dienste -> Schedule
... geschehen.
94
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT – Server Administratorkurs
Windows 2000 (Ausblick)
Das kommende Windows 2000 enthält zwei wesentliche Neuerungen, die die Sicherheit eines NTRechners verbessern. Zum einen kann der Administrator den Festplattenplatz, der einem
einzelnen Benutzer zur Verfügung stehen soll, beschränken, beispielsweise auf maximal 100
Megabyte. Will der Anwender mehr Speicher nutzen, erhält er eine Fehlermeldung.
Es ist nun zum ersten mal ein „Quota“-System integriert. Dieses erlaubt es, auf Benutzerebene
festzulegen, wieviel Plattenplatz einem Benutzer zur Verfügung steht.
Zum anderen unterstützt Win 2000 die Verschlüsselung von Dateien auf Systemebene. Die
entsprechenden Mechanismen werden fester Bestandteil des NTFS-Dateisystems (NTFS5) sein
und so einen höheren Schutz der Daten gewährleisten. Das heißt, daß jeder Nutzer des Systems
seine Dateien vor anderer Mitbenutzer besser schützen kann.
Eine wesentliche Änderung ist die alternative zum Domänenkonzept, „Active Directory“ (ein
Verzeichnisdienst).
Andreas Ißleiber, GöNETZ Netzwerke [email protected]
95
Windows NT 4.0 Server Administratorkurs
Was tun im Notfall...
1.) Sichern der Registry
Das Sichern der Registry ist für die Wiederherstellung eines lauffähigen Systems von elementarer
Bedeutung.
Im Umfang von Windows NT enthalten ist das Programm RDISK.EXE. Es befindet sich im
Verzeichnis
%SYSTEMROOT%\system32. Das Programm dient dazu, eine Rettungsdiskette anzulegen und
gleichzeitig die Registry-Informationen in ein eigenes Verzeichnis auf dem System zu sichern.
Denn da die Registry sehr groß werden kann, ist es nicht möglich, daß alles auf der Diskette
gespeichert werden. Deshalb legt das Programm den Großteil in das Verzeichnis ...
%SYSTEMROOT%\ Repair
..ab. Die dort eingetragenen Registryeinträge sind komprimiert und konnen mittles „EXPAND.EXE“
dekomprimiert werden.
RDISK.EXE aktualisiert nicht automatisch die Dateien SAM und SECURITY! Damit auch das
geschieht, muß das Programm mit dem undokumentierten Parameter /S aufgerufen werden.
RDISK.EXE /S
2.) Pflege der Notfalldiskette
Es sollte eine regelmäßige Pflege der Notfalldiskette mit rdisk.exe /s geführt werden.
Die Registry wird dadurch sowohl im Verzeichnis %systemroot%\repair als auch
auf Diskette gespeichert.
3.) Weitere Hardwareprofile erstellen
Erstellen eine weiteren Hardwareprofils, damit „defekte“ Hardwaretreiber, die einen „blue screen“
erzeuegen, umgangen werden können.
4.) Windows NT Repair verwenden
Nutzung im Ernstfall durch Reparatur-Modus des Winnt-Setups
5.) Bootfähige Diskette erstellen
Erstellen einer Bootfähigen Diskette, damit NT auch bei defekten Bootsektor der Platte gestartet
werden kann.
96
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT – Server Administratorkurs
Blue Screen durch Treiberfehler
Wenn ein KernelMode-Prozeß oder ein Treiber versucht in eine falsche Adresse, auf die er keinen
Zugriff hat, zu schreiben, tritt die Fehlermeldung IRQL_not_less_or_equal (IRQL = Interrupt
Request Level) auf. Tritt dies im Benutzer-Modus auf, kommt es zu einer Zugriffsverletzung. Im
Kernel-Modus dagegen wird eine STOP 0x0000000A Meldung erzeugt. Um nun herauszufinden,
welcher Prozeß oder welcher Treiber versucht auf die verbotene Speicheradresse zuzugreifen,
müssen die Parameter genauer unter die Lupe genommen werden, die in der STOP Information
erscheinen.
Hier ein Beispiel:
STOP 0x0000000A (0xWWWWWWWW, 0xXXXXXXXX, 0xYYYYYYYY, 0xZZZZZZZZ)
IRQL_not_less_or_equal
** Address 0xZZZZZZZZ has base at [address] - [driver]
Folgende Bedeutung haben die vier Parameter in Klammern:
0xWWWWWWWW
0xXXXXXXXX
0xYYYYYYYY
0xZZZZZZZZ
Adresse, auf die falsch verwiesen wird
IRQL, der erforderlich war, um auf den Speicherbereich zuzugreifen
Zugriffstyp, 0=lesen, 1=schreiben
Adresse der Instruktion, die versucht auf die Speicheradresse
0xWWWWWWWW zuzugreifen
Falls der Parameter 0xZZZZZZZZ in den Adressbreich eines Gerätetreibers des Systems fällt, gibt
das den Rückschluß auf den gerade gelaufenen Gerätetreiber - zum Zeitpunkt des
Speicherzugriffs. In der dritten Zeile der STOP Information ist dieser Treiber in der Regel zu
finden:
** Address 0xZZZZZZZZ has base at [address] - [driver]
Hardware-Erkennung
Die Hardware-Erkennung läuft zum Beginn des Bootprozesses genauso wie zu Beginn der
Installation ab. Sie liefert Windows NT wichtige Erkenntnisse über die benutzte Hardware.
Beim Start von Windows NT (auch bei der Installation) führt NT das Programm NTDETCT. COM
aus. Dieses Programm versucht, die installierte Hardware zu erkennen. Es kann passieren, daß
das System im Zuge dieser automatischen Erkennung abstürzt. Leider werden kaum Informationen
über die Ursache des Absturzes geliefert.
Auf der Installations-CD existiert für diese Fälle eine spezielle Debug-Version, die alle
Informationen auf dem Monitor ausgibt.
Um sie zu nutzen, ist folgendermaßen vorzugehen:

Zuerst wird die Originalversion aus dem Installationsverzeichnis entfernt, ebenso die
Installationsdisketten.

An ihre Stelle wird die Datei NTDETECT.CHK aus dem Verzeichnis SUPPORT der
Installations-CD-ROM kopiert.

Die NTDETECT.CHK wird in NTDETECT.COM umbenannt. Bei einem erneuten Start von
NTDETCT.COM wird die erkannte

Hardware ausgegeben, wodurch eine Analyse von Absturzursachen in diesem Stadium
ermöglicht wird.
Andreas Ißleiber, GöNETZ Netzwerke [email protected]
97
Windows NT 4.0 Server Administratorkurs
Einige Tips bei Windows NT
Wenn PnP-Karten nicht erkannt werden
ISA-Plug-and-Play-Treiber auf Windows NT CD installieren. Im Verzeichnis „\ISAPNP“.
CHKDSK beim Starten
Mit einem Eintrag in der Registry kann eingestellt werden, daß beim Start des Rechners CHKDSK
/F
ausgeführt wird.
Registrierungseditor starten.
Unter
HKEY_LOCAL_MACHINE\ CurrentControlSet\ Control\ Session Manager
Den Eintrag "BootExecute" und ändern Sie die Einstellung..
BootExecute
REG_MULTI_SZ Autocheck Autochk*
in
BootExecute
REG_MULTI_SZ Autocheck Autochk /P *
Nun wird beim Neustart CHKDSK /F erfolgen.
Autologin beim Starten
Unter
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon
kann man mit dem Eintrag..
AutoAdminLogon:
REG_SZ = 1
...ein automatisches Einlogen bewirken, man muß nur...
DefaultUserName:
REG_SZ <Benutzername>
DefaultPassword:
REG_SZ <Paßwort>
..und soll die Anmeldung über einen anderen Rechner erfolgen...
DefaultDomainName:
REG_SZ <DomainName>
...eintragen.
 Esmußerscheint keine Anmeldebox mehr. Will man sich unter einen anderen Namen anmelden,
98
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT – Server Administratorkurs
man beim Startvorgang die SHIFT-Taste gedrückt halten. Dann wird man wieder nach Namen
und Paßwort gefragt.
Wird in der Registry kein Paßwort eingetragen, funktioniert AutoLogin nur einmal und NT
stellt danach "AutoAdminLogon" wieder auf "0". Angabe des Paßwortes ist also unbedingt
erforderlich.
 Bedenken Sie, daß dadurch das Paßwort für jeden sichtbar in der Registry steht !!!
Autostart von Programmen
Dort können auch installierte Programme wieder entfernt werden, so diese nicht in autostart-Folder
eingetragen waren.
Durch einen Eintrag in der Registry kann man Programme automatisch von WinNT starten
lassen.Diese
Möglichkeit bietet zwar auch die WIN.INI, über die Registry ist es aber schneller.
Unter ...
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Klicken Sie mit der rechten Maustaste auf das rechte Fenster, wählen -> "Neu" -> "Zeichenfolge"
und
geben einen beliebigen Namen ein (z.B. den Programmnamen). Doppelklicken Sie nun auf diesen
Eintrag
und weisen ihm als Wert den vollständigen Pfad der gewünschten Anwendung zu.
Das Programm wird nun nach jedem Neustart des Rechners automatisch ausgeführt sobald sich
ein
User auf dem Rechner eingelogt hat.
In folgende Key´s können Programme eingetragen werden, die automatisch gestartet werden:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Werte:"load"
oder "run"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
Einmaliger Aufruf von Programmen beim Neustart
Mit einem Registry-Eintrag kann man ein Programm nach dem Neustart eines Rechners einmal
ausführen lassen, danach wird der Eintrag automatisch von Windows NT aus der Registry entfernt.
Das ist z.B. für Programmierer von Nutzen, die beim Ausführen eines Programms (Installation)
sicher
gehen wollen, daß kein anderes Programm gestartet ist.
Unter...
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ RunOnce
Klicken Sie mit der rechten Maustaste auf das rechte Fenster und wählen -> "Neu" ->
"Zeichenfolge".
Andreas Ißleiber, GöNETZ Netzwerke [email protected]
99
Windows NT 4.0 Server Administratorkurs
und geben einen beliebigen Namen ein (z.B. den Programmnamen). Doppelklicken Sie nun auf
diesen
Eintrag und weisen ihm als Wert den vollständigen Pfad des gewünschten Programms zu.
NT default Installationspfad ändern:
Unter ...
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SetupSourcePath
...kann auf das entsprechende Verzeichnis zeigen.
Autorun bei CD einlegendeaktivieren
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Cdrom auf 0
Anmeldebildschirm ohne Eintrag
Dieser Eintrag bewirkt, daß in der Anmeldemaske (nach STRG+ALT+ENTF) der zuletzt
angemeldete
Benutzer nicht dargestellt wird. Dies ist bei NT-Rechnern, die von verschiedenen Usern genutzt
werden
manchmal sehr sinnvoll.
Unter...
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ WindowsNT\ CurrentVersion\ Winlogon
DontDisplayLastUserName
REG_SZ 1
Mögliche Werte:
1=keine Anzeige
0=eine Anzeige
(default)
Herunterfahren im Anmelde-Screen (Nur NT Server)
Unter...
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ WindowsNT\ CurrentVersion\ Winlogon\
den Wert "ShutdownWithoutLogon" auf 1 setzen.
Diskettenlaufwerk deaktivieren
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Flopyy
Eintrag Start auf den Wert 4 einstellen. Dabei muß die Bootreihenfolge im BIOS natürlich nicht auf
„A:“ stehen, sondern auf z.B. C:
Weitere Hinweise, Quellen und Links
http://www.sysinternals.com/
http://www.winfaq.de
100
Andreas Ißleiber, GöNETZ Netzwerke
Windows NT – Server Administratorkurs
Andreas Ißleiber, GöNETZ Netzwerke [email protected]
101