Windows NT 管理入門
京都大学総合情報メディアセンター
丸山 伸
Windows の種類について
種類
Win98, Win95
WinNT
Win2000
Win TSE
サーバーかクライアントか
ServerかWorkstationか
Windowsの基礎
ファイル・レジストリ・インストール
ドメイン・セキュリティー・etc…..
ファイルについて
複数のファイルシステム
管理アカウントの扱いの違い
Unix管理者にとっては戸惑う原因に….
ファイルとアクセス権
ファイルには RWXDPO の各アクセス権がある
ユーザーやグループ毎にアクセス権を設定可能
所有者を奪うことはできても、変更することは標
準ツールでは出来ない
Administratorにアクセス権を与えないと明示さ
れたファイルは、管理者もそれを見られない
ファイルサーバーをNFS越しにすると面倒を避け
られる?
ファイルシステム
NTFS
FAT32
NTから利用できる。
SP3以前とSP4 以降ではバージョンが違う
http://www.sysinternals.com/ntfs98.htm
9Xから利用できる
NTから利用するには
http://www.sysinternals.com/fat32.htm が必要
FAT16
9X, NTの双方から利用できる
DriveImageを使うときに必要となる
日本語ファイル名
UNIXと共用する場合、どのように変換する
か
ファイルシステム上での文字コードは?
「表」 などの2バイト目が0x5c問題
administrator権限
UNIXにおけるものとの違い
UNIXにおいては何でも出来るアカウント
NTFSにおいては所有者の設定が優先される
(例外: Backupグループ)
信頼関係にあるほかのドメインの
administratorの扱い
Administrators グループについて
ファイル所有者の特権
ファイルの所有者には自動的に ReadControl
と WriteDAC が与えられる
Full Control を与えることになる
管理者の目が届かなくなる
Samba と Sharity
Samba
UnixのディレクトリをNtからmountできるように
shareを提供する
http://www.samba.gr.jp
http://www.samba.org/
Sharity
UnixからNTサーバーのshareをmountする
http://www.obdev.at/Products/Sharity.html
ハードディスク
最近はRAIDも安価になってきた。
バックアップが難しい
Arena?
ファイルに関する提案
ファイルシステムはNTFSを選択
Ver4とVer5との違いに注意 (SP4以降)
管理者が面倒をさけるためにはFull
Control 権限を与えない方がよい
UNIXとの共存をするために NFSやSamba
を利用するという選択肢も有力
サーバーとして使うのならRAIDにしたい
レジストリとは?
レジストリとは何か
Windowsにおいて、ファイルと同じくさまざまな
データを記録する
ファイルと同じくTree構造をしている
HK_LocalMachineとHkey_Usersの大きく2つの
幹がある
ユーザーの環境設定などはHkey_Current_User
で行われることが多い
レジストリのアクセス権もファイルのアクセス権よ
りも制御レベルが細かい
レジストリについて
HKEY_LOCAL_MACHINE
計算機毎の設定が入っている
拡張子とアプリケーションの関連付け
HKLMと略される
HKEY_USERS
各ユーザーごとの設定
レジストリはこの2つを頂点とする tree構造
になっている
レジストリについて
HKEY_CURRENT_USER
現在ログオンしているユーザーの情報
HKEY_USERS\${Current User のSID}
HKCUと略される
HKEY_CURRENT_CONFIG
現在のコントロールパネルの設定が入っている
3世代の履歴が保持される
HKLM\SYSTEM\CurrentControlSet\HardwareProfile
s\Current
レジストリについて
HKEY_CLASSES_ROOT
拡張子とソフトウェアの関連付け
HKLM\SOFTWARE\Classes
NT4においてはHKLMの下にある
レジストリの実体はいくつかの
ファイル
各ユーザープロファイルの ntuser.dat
Systemroot\Profiles\Username の下のものがハイブ
にロードされる
Default User のntuser.dat
各クライアントの
Systemroot\Profiles\DefaultUser\ntuser.dat が利用
される
Systemroot\System32\Config の下のファイル
(Sam, Security, Software, System, Default)
ポリシーエディター
Poledit.exe
ユーザーがログオンした際に設定するべき
レジストリ情報を管理する
Ntconfig.pol というファイルをNtserver上
に置く
(BDCなどを含め) 認証サーバーが複数あ
る場合には、それぞれの上に置く
通常はdupliacteサービスを使う
レジストリに関する提案
レジストリサイズ(の最大値)は大きく
(64MB程度に?)
Poledit をうまく利用する
比較的頻繁に修復ディスクのupdateを行
う
インストール方法
それぞれのインストールは簡単だけ
ど、順序とパッチ当てが……
パッチあて
Service Pack の場所
http://www.microsoft.com/japan/products/
ntupdate/fixlist_tmp/prod_home.asp?prod
=2&name=Windows%20NT4.0
Service Pack の順序関係
インストールの順序
Windows NT Server 4.0インストールガイド
http://www.microsoft.com/japan/technet/
availability/wp/NT4Inst/default.asp
NT4 Server
SP4以降
IE5.0, IE4SP2 のいずれか
Option Pack
再度 SP4 以降
修復ディスク
再インストールを行うときに必須
これがないと、ファイルをバックアップして
いても無意味
修復インストールの方法
旧サーバーにおいて
修復ディスクを作成する
ファイルのバックアップを作成する
新サーバーにおいて
インストールを行う。
修復ディスクからレジストリを復元
Ieのパッチ
Ie の各種パッチ
http://www.microsoft.com/windows/ie_intl/ja/secu
rity/default.htm
Java VM関連
2000 シリーズのビルド (ie4)
http://www.microsoft.com/java/vm/dl_vmsp2.htm
3100 シリーズのビルド (ie5)
http://www.microsoft.com/java/vm/dl_vm32.htm
3200 シリーズのビルド (ie5.01)
http://www.microsoft.com/java/vm/dl_vm40.htm
Office製品のパッチ
Office製品のupdate情報
http://officeupdate.microsoft.com/japan/
ドメインとは何か
ドメインとワークグループ
認証を端末毎に行うのがワークグループ。ネット
ワーク上の端末をグループ分けしている
ユーザーを信用するかどうかを判断する単位の
こと。各端末は、ドメインに信用されたユーザー
であれば、それを信じることになる
ドメイン同士が信頼関係を結んでいれば、各端
末が他のドメインのユーザーを信じるようにする
ことも出来る
ユーザーだけではなく各端末もドメインかワーク
グループに所属する
移動プロファイルと固定プロファ
イル
ユーザーごとの設定を認めるか、全ユー
ザーが共通の設定を利用するか
固定プロファイルは管理が楽
個人設定はファイルに置くことになる
プロファイル
ユーザーがログインした際に初期値として
利用される個人データのことをプロファイ
ルという
ログイン時にサーバー上のものとローカル
にあるものを比較し必要に応じて転送する
ログオフ時にサーバー上に書き戻される
ユーザープロファイル
プロファイルについての詳細
http://www.microsoft.com/NTServer/mana
gement/deployment/planguide/prof_policie
s.asp
不要な移動プロファイルは消去する
認証について
PDCとBDC
ユーザー情報を管理する中心となるのが
PDC
BDCはPDCが管理するデータベースの複
製を持つ。(定期的に複製する)
パスワードの変更などはすべてPDCで処
理される
認証だけならBDCで出来る。
ユーザーアカウント
各ユーザーのアカウントのこと
ユーザーごとに固有のSIDと呼ばれる識別
しが割り当てられる
コンピュータアカウント
ユーザーだけでなく、各端末もドメインに登
録される。その際に各端末が固有のSIDを
割り当てられる
→ディスクの複製をするだけでは動かない
ドメインへの参加の際に割り当てられる
サーバーマネージャーで管理
セキュリティー
セキュリティー情報の収集
マイクロソフトセキュリティー情報
http://www.asia.microsoft.com/japan/se
curity/
ファイルやフォルダのアクセス権
SystemrootやSystem32のアクセス権
これを閉めると動かないソフトが増える
(Netscape, ini ファイル…..)
レジストリのアクセス権
アプリケーションの関連付けを変更されな
いようにする
HKEY_CLASSES_ROOTのinteractive
HKLM\Software\Microsoft\Windows\Curr
entVersion\Run など
アクセス権の操作
DumpACLが便利
DumpACL, DumpReg, DumpEvt
http://www.systemtools.com/free.htm
ネットワークのアクセス権
NetBIOS over TCP は Port 135-139
IISなどが不要なら止める
Windowsで利用しているport 一覧
http://www.microsoft.com/JAPAN/support/
kb/articles/J045/2/07.htm?LN=JA&SD=SO
&FR=0
ウィルススキャンソフト
ウィルス情報の更新を集中的に行えるか
定義ファイルの配布を特定のホストのみから行
えるか
ウィルスに感染したファイルを見つけたときの対
処方法はどのようなものがあるか
リモートドライブ、フロッピードライブに対してウィ
ルスチェックが可能か
サーバー・クライアントの双方でチェックをしてし
まった場合にも正しく動作するか
セキュリティーに関する提案
最新の情報を収集して、対処する
高いセキュリティーと利用者の利便は両立
しない
ウィルスチェックのパターンデータは最新
にする
ユーザー教育も忘れないこと
名前解決について
大規模な環境では管理が大変だけ
ど……
名前解決
名前解決とは、コンピュータにつけられた
名前とその実体とを対応付ける作業のこと
通常、名前とIPとの対応付けをする
DNSによる名前解決とWINSによる名前解
決とがある。
DNS
UNIXと同じ
名前とIPアドレスの相互対応を取るために
利用される
NT Serverに標準でついてくるものは大量
のアクセスがあると落ちる
UNIX1台あればクライアント1000台くらい
はさばけるので、NT以外で用意するのが
正解と思う
WINSサービス
NetBIOSの世界での名前とIPアドレスとの
対応付けをする
PDCやBDCなどの枠組みとは独立にWINS
サーバー群を構築できる
サーバー同士が情報の複製・共有を行う
名前解決についての提案
小規模な環境ならWINSすら不要
同一セグメントなら自動的に見つけてくれ
る
極論をいえばWINSなしでもDNSさえあれ
ば良い
DNSがbindの時には8.1.2以上を使う
プリンタの選定と設定
いかにして管理コストを抑えるか?
いかにして管理をするか?
プリンタに要求されるもの
安定した稼動
給紙の頻度
トナーは高い
耐久性
物理的な操作は故障の元
低いランニングコスト
現地に行く必要が生じると負荷が大きい
多いものでは年25万ページ
印刷枚数などの管理
どのように接続するか
サーバーに直接接続する
パラレル接続
USB接続
サーバー上にqueueが置かれる
サーバーは常時起動している必要がある
サーバー上で印刷枚数カウントが出来ること
が多い
どのように接続するか
ネットワークによる接続
TCP/IP接続(lpr接続)
クライアント上にqueueが置かれる
枚数のカウントは難しい
バックアップ
大量インストール
SID
NewSID
http://www.sysinternals.com/newsid.htm
Drive Image & Norton Ghost
ディスクの中身を1つのファイルにまとめる
ファイルをネットワークから取得できる
CD-ROMを利用することもできる
DOSでブートしたフロッピを利用
トーエイ社製 “DiskKeeper”
IDE のケーブルに挟み込む形で、ディスク
への書き込みを監視
書き込み要求は別のパーティションに
再起動することでディスクの中身は初期状
態に戻る
和歌山大学で運用中
NT Perlの効果的な利用法
リモートメンテナンス
ログインしているユーザーを知る
Sambaのnmblookup を利用する
ユーザーにメッセージを送る
C:\WinNT\WinNT256.bmpを書き換える
Net send を利用して Popup を出す
Sambaのsmbclientを利用してPopupを出す
Rshd
特定のIPからしかリクエストを受け付けな
いようにソースを改変
ちょっとした作業をする際に非常に便利
レジストリの書き換え
サービスの起動や停止
他ドメインのユーザーのパスワード変更
レジストリの遠隔操作
Perl で Use TieRegistry
Rshを併用するのも可
Resedit,resedt32 でもできる
サービスの遠隔操作
サービスの起動や停止も遠隔でできる。
Rshを使う
Sclistを使う
Perlで Win32::Service を使う
レジストリを直接変更してリブート
ディスク容量の制限・調査
ディスク容量の制限
いろいろなところに影響が出る
ログオフができなくなる
Quota設定ツール
Quota Manager
Quota Advisor
どの情報に目を光らせるべきか
小島 肇さんによるセキュリティーメモ
Security Advisor
http://www.st.ryukoku.ac.jp/~kjm/security/memo/
http://www.microsoft.com/security/default.asp
CERT, JPCERT
http://www.cert.org/ , http://www.jpcert.or.jp/
知っておいたほうがいいサイト
KB (Knowledge Base)
FAT32 for WinNT4.0 など便利なツール
http://www.winternals.com/products/
JWNTUG
http://www.microsoft.com/japan/support/tdoc/newest.htm
http://search.support.microsoft.com/kb/c.asp?lng=jpn&sa=per
http://www.jwntug.or.jp/index-j.html
Technet
http://www.microsoft.com/japan/technet/default.asp
りそき
Windows NT 4.0 Server リソースキット
リソースキットアップデート改定新版
ftp://ftp.microsoft.com/reskit/nt4/x86/
© Copyright 2024 ExpyDoc
