Grundkurs NT-Netzwerk - in der BHAK/BHAS Wien 11
Transcrição
Grundkurs NT-Netzwerk - in der BHAK/BHAS Wien 11
Grundkurs NT-Netzwerk Lehrerfortbildung im Rahmen der Zukunftsoffensive Junge Generation Version 2.0 Vorwort Im Rahmen der „Zukunftsoffensive junge Generation“ der Landesregierung findet eine breit angelegte Fortbildung für Lehrerinnen und Lehrer aller Schularten zum Einsatz von Multimedia und Internet im Unterricht statt. Viele dieser Aktivitäten setzen die Vernetzung der Computer an einer Schule voraus, um beispielsweise das Internet mit mehreren Teilnehmern gleichzeitig zu nutzen. Für diese „vernetzte Schule“ müssen die sächlichen und personellen Voraussetzungen geschaffen werden. Ein Bestandteil der Fortbildungen ist deshalb der Themenbereich Netzwerke. Er gliedert sich in einen 5-tägigen Grundkurs zum Thema „Lokales Netz“, einen 3-tägigen Aufbaukurs zum Thema „Anschluss des lokalen Netzes an das Internet und seine Dienste“ und begleitende regionale Fortbildungsmaßnahmen und Betreuungen. Die Kurse finden getrennt nach den an den Schulen gängigen Netzwerkbetriebssystemen IntranetWare von Novell, Windows NT von Microsoft und Linux statt. Die vorliegenden Kursunterlagen zum Grundkurs „Lokales Netz“ richten sich an Systembetreuerinnen und Systembetreuer aller Schularten. Die Zielsetzung des Kurses orientiert sich an deren vordringlichen Aufgaben: 1. Kenntnis der Begriffswelt eines „lokalen Netzes“. 2. Kenntnis der grundsätzlichen Funktions- und Arbeitsweise der gewählten Betriebssysteme. 3. Kennen der pädagogischen Anforderungen und Realisierungsmöglichkeiten eines Schulnetzes. 4. Beratung der Schulleitung bei der Investition in die Informations- und Kommunikationssysteme. 5. Kompetenter Gesprächspartner für den sächlichen Schulträger und die Händler. 6. Beratung des Kollegiums bei der Auswahl von Software bezüglich ihrer Funktionsweise im Netz. Es wird nicht erwartet, dass eine Lehrerin oder ein Lehrer nach einem 5-tägigen Grundkurs in der Lage ist, ein Netz selbstständig zu verwalten. Die praktischen Übungen im Kurs dienen deshalb im Sinne eines handlungsorientierten Schulungskonzeptes dem besseren Begreifen und nicht der Qualifizierung zu einem Netzwerkspezialisten. Die in den Schulen im Netz einzusetzende Software wirft oftmals bei der Installation und beim Betrieb Probleme auf. Deshalb ist das Wissen um die schulspezifische Installation von Software durch Fortbildungen zu fördern, um einen gewissen Standard zu schaffen. Wir wünschen allen Teilnehmerinnen und Teilnehmern einen guten Schulungsverlauf. Suzan Bacher Leiterin des Referats Lehrerfortbildung Ministerium für Kultus, Jugend und Sport Baden-Württemberg Inhaltsverzeichnis 1 Erste Schritte im Netz ....................................................................................... 1 1.1 Windows NT als Netzwerk-Betriebssystem ...................................................... 1 1.2 Die Aufgaben eines Netzes ................................................................................. 3 1.3 Domänen ............................................................................................................... 4 1.4 Arbeiten in einem Netzwerk ................................................................................ 6 1.5 Datenaustausch .................................................................................................. 10 2 Objekte im Netz .................................................................................................. 13 2.1 Benutzer .............................................................................................................. 13 2.2 Berechtigungen .................................................................................................. 15 2.3 Gruppen ............................................................................................................... 18 2.4 Netzlaufwerke, Berechtigungen und Freigaben ............................................. 20 2.5 Herstellung des Urzustandes unseres Netzes ............................................... 26 3 Benutzerverwaltung ........................................................................................ 28 3.1 Grundbegriffe ...................................................................................................... 28 3.2 Benutzermodelle ................................................................................................ 32 3.3 Das Modell 1 mit einfacher Benutzerverwaltung ........................................... 34 3.4 Benutzerprofile ................................................................................................... 49 3.5 Serverbasierte Verknüpfungen auf dem Desktop .......................................... 52 4 Netzinstallation von Anwendungsprogrammen ............................. 55 4.1 Vorbemerkungen ................................................................................................ 55 4.2 Installation von MS Works 3.0 .......................................................................... 57 4.3 Installation von MS Office 97 ............................................................................ 61 4.4 Anpassung der einzelnen Office-Komponenten ............................................ 66 4.5 Änderungen an der Registrierungsdatei ......................................................... 69 4.6 Weitere Installationsmöglichkeiten .................................................................. 71 5 CD-ROMs im Netz ............................................................................................. 73 5.1 Problematik ......................................................................................................... 73 5.2 Lokale oder zentrale CD-Lösung im NT-Schulnetz? ..................................... 76 5.3 Hardware-Lösungen für CDs ............................................................................ 76 5.4 Installationen von CDs im NT-Netz .................................................................. 79 5.5 Installation von „Encarta 98D“ ......................................................................... 82 5.6 Weitergehende Informationen und Datenblätter ............................................ 86 6 Drucken im Netz ................................................................................................ 95 6.1 Grundlagen und Fachbegriffe .......................................................................... 95 6.2 TCP/IP unter Windows NT ................................................................................. 97 6.3 Drucken im Netz mit externen Printservern unter TCP/IP ........................... 102 7 Systemrichtlinien für NT-Arbeitsstationen ...................................... 118 7.1 Systemrichtlinien einrichten ........................................................................... 118 7.2 Systemrichtlinien bearbeiten .......................................................................... 120 7.3 Systemrichtlinien einsetzen ............................................................................ 131 7.4 Verzeichnis- und Dateiberechtigungen bei NT-Arbeitsstationen ............... 133 7.5 Benutzerrechte an den lokalen Arbeitsstationen ......................................... 139 8 MasterEye32 ......................................................................................................... 141 8.1 Der Zweck von MasterEye ............................................................................... 141 8.2 Voraussetzungen der Installation .................................................................. 142 8.3 Installation von MasterEye .............................................................................. 142 8.4 Aufruf von MasterEye ...................................................................................... 143 8.5 Funktionen von MasterEye ............................................................................. 143 8.6 Informationen zu MasterEye im Internet ....................................................... 145 8.7 Bewertung ......................................................................................................... 145 8.8 Bezugsquellen .................................................................................................. 145 8.9 Preisbeispiel ..................................................................................................... 145 9 Datensicherung mit NT-Backup ............................................................. 148 9.1 Vorüberlegungen zur Datensicherung in der Schule .................................. 148 9.2 Backup-Konzepte ............................................................................................. 149 9.3 Datensicherung mit NT-Backup ..................................................................... 154 9.4 Wiederherstellen von Daten ............................................................................ 164 9.5 Klonen von Festplatten ................................................................................... 165 9.6 Notfallvorsorge ................................................................................................. 166 10 Systemüberwachung .................................................................................... 167 10.1 Wann ist eine Überwachung des Systems notwendig? ........................... 167 10.2 Probleme direkt nach der Installation ......................................................... 167 10.3 Performanceprobleme bei laufenden Systemen ....................................... 167 10.4 Möglichkeiten der Systemüberwachung .................................................... 168 10.5 Weitere Tools ................................................................................................. 179 10.6 Glossar ............................................................................................................ 181 10.7 Literaturliste ................................................................................................... 182 11 Windows 95 in NT-Netzen .......................................................................... 183 11.1 Installation von Windows 95 ........................................................................ 183 11.2 Der Ladevorgang ........................................................................................... 185 11.3 Windows 95 im Netzwerk .............................................................................. 188 11.4 Benutzerprofile in Windows 95 .................................................................... 197 11.5 Sytemrichtlinien ............................................................................................. 198 Anhang 1 ..................................................................................................................... 205 1 Benutzerverwaltung ......................................................................................... 205 2 Verbindliche Gruppenprofile .......................................................................... 217 3 Die Registrierungsdatenbank ......................................................................... 220 Anhang 2 1 ..................................................................................................................... 223 Die Standardberechtigungen von Windows NT ........................................... 223 Anhang 3 ..................................................................................................................... 229 1 Die Verfasser ..................................................................................................... 229 2 Die Clipart-Grafiken .......................................................................................... 229 3 Das Layout ........................................................................................................ 229 1 · Erste Schritte im Netz 1 1 Erste Schritte im Netz 1.1 Windows NT als Netzwerk-Betriebssystem Ein lokales Netzwerk besteht aus einer Anzahl von Computern, die durch ein Kabelsystem miteinander verbunden sind. Ein bestimmter Computer in einem lokalen Netz hat eine besondere Bedeutung, der Server. Er bedient die anderen Computer mit Daten und Programmen und stellt Dienste wie z. B. das Drucken über das Netz zur Verfügung. Die anderen Computer heißen Arbeitsstationen, Workstations oder Clients; an ihnen wird die eigentliche Arbeit verrichtet, d. h. in einer Schule werden diese Geräte von den Lehrern und Schülern genutzt, während der Server meistens in einem verschlossenen Raum steht und nur den Netzwerk-Verwaltern zugänglich ist. In größeren Netzwerken kann es übrigens auch mehrere Server geben. Jeder Computer braucht ein Betriebssystem, d. h. eine Sammlung von Programmen zur Steuerung des Computers. MS-DOS, das bekannteste Betriebssystem für PCs ist veraltet und verliert zunehmend an Bedeutung. Wo es noch im Einsatz ist, wird es meistens durch Windows ergänzt und erhält dadurch eine graphische Benutzeroberfläche. Ein neueres und besseres Betriebssystem ist Windows 95, das inzwischen einen Nachfolger in Form von Windows 98 besitzt. Das derzeit leistungsfähigste PC-Betriebssystem ist Windows NT (New Technology) in der Version 4.0. Seine Benutzeroberfläche ist die 1 · Erste Schritte im Netz 2 gleiche wie die von Windows 95; es handelt sich aber um ein ganz anderes Programm, wesentlich leistungsfähiger als Windows 95. Windows NT gibt es in zwei Varianten, nämlich als Windows NT Server und als Windows NT Workstation, die sich in ihrem Funktionsumfang unterscheiden: NT Workstation ist für Einzelplatz-Rechner und für Arbeitsstationen in einem Netzwerk vorgesehen, NT Server dagegen ausschließlich für Server. Die Oberfläche ist bei beiden Varianten gleich. Für Interessierte einige Einzelheiten Windows NT ist ein reines 32-Bit-Betriebssystem und ermöglicht echtes (preemptives) Multitasking, d. h. die (scheinbar) gleichzeitige Ausführung mehrerer Programme. Ein abgestürztes Programm beeinflusst die anderen Programme nicht, der Computer bleibt betriebsfähig. • Windows NT fasst alle Konfigurationsdaten zentral in einer Registrierungs-Datenbank (Registry) zusammen; dadurch entfallen Konfigurationsdateien wie AUTOEXEC.BAT, CONFIG.SYS sowie die INI-Dateien, letztere allerdings nur bei 32-Bit-Anwendungen. • Windows NT bietet eine Benutzerverwaltung, d. h. auf einem Computer können mehrere Benutzer angelegt werden, die sich mittels Benutzernamen und Kennwort anmelden. • Windows NT ermöglicht es, verschiedenen Benutzern unterschiedliche Zugriffsberechtigungen auf Verzeichnisse und Dateien zu geben; die Betriebssystem-Verzeichnisse und -Dateien können gegen Veränderung und Löschen geschützt werden. Diese Fähigkeit macht NT Workstation zum idealen Betriebssystem für Arbeitsplätze in Schulen, wo die Benutzer sich in rascher Folge ablösen - und manchmal der Versuchung nicht widerstehen können, Einstellungen zu verändern oder wichtige Dateien zu löschen. Unter NT Workstation lässt sich das wirksam verhindern. • Ein Computer mit NT Workstation als Betriebssystem kann man sehr leicht in ein Netzwerk einbinden, denn NT Workstation enthält alle dafür benötigten Dateien. Wird ein Computer als Einzelplatzrechner benutzt, werden die Netzwerk-Dateien bei der Installation einfach weggelassen. NT Server entspricht weitgehend NT Workstation, enthält aber noch weitere Funktionen zur Netzwerk-Verwaltung wie die Benutzer-, Datei- und Drucker-Verwaltung im Netz. Im Gegensatz zu einem Server unter Novell Netware, einem anderen weitverbreiteten Betriebssystem für Netzwerk-Server, dient ein Computer unter NT Server nicht ausschließlich als Server, sondern er kann auch als Arbeitsplatz genutzt werden. In größeren Netzen ist 1 · Erste Schritte im Netz 3 dies nicht sinnvoll, weil dadurch die Netzleistung sinkt, aber Verwaltungsarbeiten können direkt am Server durchgeführt werden: Anlegen, Ändern oder Löschen von Benutzern, Software-Installation, Datensicherung usw. In einem Netzwerk müssen NT Server und NT Workstation nicht zusammen eingesetzt werden; es können auch Arbeitsstationen unter NT Workstation mit einem Server unter Novell Netware zusammenarbeiten oder ein Server unter NT Server mit Arbeitsstationen unter DOS mit Windows oder unter Windows 95. Die Kombination von NT Server und NT Workstation ist aber vorzuziehen, da die beiden NT-Varianten optimal aufeinander abgestimmt sind. Im folgenden wird daher nur auf reine NT-Netze, also auf Netze mit NT Server und NT Workstation als Betriebssystem eingegangen. 1.2 Die Aufgaben eines Netzes Der Sinn eines lokalen Netzwerks besteht zum Einen darin, Daten und Programme zentral auf dem Server zu speichern, zum Anderen in der Bereitstellung von Diensten, z. B. das Drucken über das Netz. In Betrieben ist die Bedeutung der zentralen Datenspeicherung wohl unmittelbar einsichtig: Viele Mitarbeiter brauchen die gleichen Kundenadressen. Würde aber auf jedem Computer eine eigene Datei mit den Kundenadressen gepflegt, gäbe es bald große Unstimmigkeiten zwischen den Dateien. Wenn dann eine Lieferung an die falsche Adresse geht, die Rechnung oder gar die Mahnung aber an die richtige, ist der Ärger vorauszusehen. Auch in Schulen bietet ein lokales Netzwerk viele Vorteile: Schüler und Lehrer können abwechselnd an verschiedenen Geräten, sogar in verschiedenen Räumen arbeiten und finden an jedem Arbeitsplatz ihre Daten und Programme wieder, ohne diese mittels Disketten hin- und her transportieren zu müssen. Das Drucken über das Netz reduziert die Zahl der Drucker und den Aufwand für ihre Wartung. Über einen CD-ROM-Server im Netz können mehrere CDs einer größeren Anzahl von Benutzern bereitgestellt werden. Ein weiterer wichtiger Grund für die Einrichtung lokaler Netzwerke an Schulen ist das Inter- net. Dieses weltumspannende Netz ist seinem Namen und seiner Entstehungsgeschichte nach ein Zusammenschluss von lokalen Netzwerken, ursprünglich von Hochschul-Netzwerken. Eine größere Anzahl von Einzelplatz-Computern kann man mit vertretbarem Aufwand nicht an das Internet anschließen. Verfügt die Schule dagegen über ein lokales Netzwerk, so kann dieses als Ganzes mit dem Internet verbunden werden; es wird nur eine Anschlussleitung benötigt. 1 · Erste Schritte im Netz 4 Die Akademien für Lehrerfortbildung verfügen über lokale Netzwerke, denen natürlich auch die Rechner in allen Kursräumen angehören. Solch große Netze sind aber zum Erlernen der Netzwerk-Administration ungeeignet; außerdem erlauben die Netzwerk-Verwalter der Akademien aus naheliegenden Gründen nicht jedem Kursteilnehmer den Zugang zum Server. Deswegen sind für die NT-Kurse in unseren Kursräumen sechs Teilnetze eingerichtet worden, von denen jedes einen Server und zwei Arbeitsstationen umfasst. Diese Netze sind zwar über das Kabelsystem untereinander verbunden (auch mit den Computern in den anderen Kursräumen), die Kursteilnehmer sehen aber ihr Teilnetz als eigenständiges Netz und haben zunächst keine Möglichkeit, auf Rechner außerhalb ihres Teilnetzes zuzugreifen. 1.3 Domänen Eine Zusammenfassung von Rechnern in einem Netz oder in einem selbständigen Teilnetz wird unter Windows NT eine Domäne genannt (dies hat nichts mit dem DomainBegriff im Internet zu tun). Die Domänen haben Namen, welche bei der Installation von Windows NT festgelegt werden; unsere sechs Teilnetze heißen DOM1, DOM2, DOM3, DOM4, DOM5 und DOM6. Jede Domäne besteht wiederum aus drei Computern: einem Server und zwei Workstations. Jeder Rechner in einer NT-Domäne hat einen eindeutigen Namen, der ebenfalls bei der Installation von Windows NT festgelegt wird. Der Server in der Domäne DOM1 hat den Namen S1, der in DOM2 heißt S2 usw. Die Arbeitsstationen in der Domäne DOM1 heißen WS1A und WS1B, die in DOM2 dagegen WS2A und WS2B usw. S1 WS1B 1 · Erste Schritte im Netz 5 Jede Domäne muss mindestens einen Server haben, welcher die Benutzerdaten verwaltet. Dieser Computer fungiert als primärer Domänenkontroller. In kleineren Netzen wird er auch als Dateiserver dienen, d. h. auf ihm werden die Benutzerdaten, vielleicht auch die Anwendungsprogramme gespeichert. In größeren Netzen können dafür weitere Geräte unter NT Server eingesetzt werden, die dann aber keine primären Domänenkontroller sind. In unserem Kurs wird von einem Netz mit einem einzigen Server ausgegangen, der dann sowohl primärer Domänenkontroller als auch Dateiserver ist, aber kurz als Server bezeichnet wird. In einem Netzwerk, erst recht in einem Schulnetzwerk, arbeiten viele unterschiedliche Benutzer. Es versteht sich daher von selbst, dass nicht jeder Benutzer Zugriff auf alle Daten und Programme haben darf. Um die Zugriffsmöglichkeiten zu regeln, muss sich jeder Benutzer im Netz mit einem Namen anmelden. Der Benutzername kann der wirkliche Name sein wie z. B. Gabriele_Müller, eine Abkürzung wie z. B. Gabi oder ein symbolischer Name wie z. B. K5S7 (siebter Schüler der Klasse 5). Wir werden zunächst jedoch nur mit ganz wenigen Benutzern arbeiten, nämlich mit Lehrer1, Lehrer2, Schüler1 und Schüler2. Diese vier Benutzer gibt es in jedem der sechs Teilnetze im Kursraum. Da die Teilnetze aber voneinander unabhängig sind, ist der Benutzer Lehrer1 in der Domäne DOM1 nicht identisch mit dem Benutzer Lehrer1 in der Domäne DOM2. Diese beiden Benutzer können also gleichzeitig in ihren Netzen arbeiten, ohne sich gegenseitig zu stören. Der Benutzername dient dazu, die Benutzer auseinanderzuhalten, ihnen also verschiedene Zugriffsrechte auf Daten und Programme zu geben. Bei den Daten versteht sich dies von selbst: Lehrer1 möchte nicht, dass seine Dateien von Lehrer2 gelöscht werden können und umgekehrt. Dies wird dadurch erreicht, dass jeder Benutzer einen eigenen Ordner erhält, in den er seine Daten speichern kann. Dieser Ordner wird auch als Arbeitsordner (engl.: Home Directory) bezeichnet. Der Benutzer Lehrer1 kann in seinem Arbeitsordner Dateien erstellen, verändern und löschen, aber nicht im Arbeitsordner von Lehrer2 und umgekehrt. Diese Zugriffsberechtigungen könnten aber leicht dadurch unterlaufen werden, dass Lehrer2 sich als Lehrer1 anmeldet. Dies wird durch die Verwendung von geheimen Kennwörtern verhindert. Meistens gibt der Netzwerkverwalter für die erstmalige Anmeldung im Netz Kennwörter vor, welche die Benutzer dann selbst ändern können oder sogar müssen. 1 · Erste Schritte im Netz 6 In unserem Kurs ist für alle Benutzer, d. h. für Lehrer1, Lehrer2, Schüler1 und Schüler2 das Kennwort ntkurs vorgegeben, welches auch nicht geändert werden soll. Zusammenfassung • Auf jedem Computer einer NT-Domäne wird bei der Installation automatisch ein Benutzer namens Administrator angelegt; er hat auf seinem Gerät uneingeschränkte Zugriffsrechte. Für den Administrator des Servers gilt dies sogar auf allen Geräten der Domäne; er wird deshalb auch Domänen-Administrator genannt. Fällt das Netzwerk einmal aus, kann es folglich auf den Arbeitsstationen keinen Domänen-Administrator mehr geben (da dann keine Domäne mehr existiert). Für diesen Fall hat jede Arbeitsstation zusätzlich zum Domänen-Administrator auch einen eigenen Administrator für die lokale Anmeldung (wobei die Arbeitsstation dann quasi als Standalone-PC arbeitet). Während der Domänen-Administrator auf jeder Arbeitsstation der Domäne das gleiche Kennwort besitzt, kann der lokale Administrator jeder einzelnen Arbeitsstation ein eigenes Kennwort besitzen. • Der Netzwerkverwalter wird normalerweise immer als Domänen-Administrator handeln; die Administratoren der einzelnen Arbeitsstationen werden nur im Störungsfall benötigt. Es versteht sich wohl von selbst, dass die Kennwörter der Administratoren, vor allem dasjenige des Domänen-Administrators streng geheim bleiben müssen. • In unserem Kurs wird von der eben verkündeten Regel eine Ausnahme gemacht: Die Domänen-Administratoren aller sechs Domänen im Kursraum haben das Kennwort DA. Die lokalen Administratoren von WS1A, WS1B, WS2A, WS2B etc. haben alle das gleiche Kennwort LA. Zunächst werden wir allerdings „nur“ als normale Benutzer handeln; die Administratoren treten erst später in Erscheinung. 1.4 Arbeiten in einem Netzwerk 1.4.1 Das Anmelden im Netz Zum Anmelden an einem Rechner muss die Tastenkombination <STRG + ALT + ENTF> gedrückt werden; dann erscheint das Anmeldefenster. 1 · Erste Schritte im Netz 7 In der Zeile BENUTZERNAME muss der Name, also z. B. Lehrer1 oder Lehrer2 angegeben werden. Dabei wird nicht zwischen Groß- und Kleinschreibung unterschieden; lehrer1, Lehrer1 und LEHRER1 sind gleichwertig. Mit der Tabulatortaste oder mit der Maus gelangt man in die Zeile KENNWORT. Beim Kennwort muss man im Gegensatz zum Benutzernamen auf Groß- und Kleinschreibung achten. ntkurs, NTKurs und NTKURS sind unterschiedliche Kennwörter. In unserem Kurs ist nur die erste Schreibweise richtig. Das Anmeldefenster hat noch eine dritte Zeile mit der Bezeichnung Domäne. Darin steht standardmäßig der Name der Domäne, also DOM1 oder DOM2 usw. Wenn Sie auf den Pfeil am Ende des Eingabefeldes drücken, erscheint ein Menü mit einer zweiten Option, nämlich dem Namen der Arbeitsstation. Hiermit kann die lokale Anmeldung erreicht werden. Achtung: für die lokale Anmeldung existiert unter Umständen ein eigenes Kennwort! Für andere Benutzer als den Administrator ist die lokale Anmeldung nicht vorgesehen. Es passiert aber manchmal beim Anmelden, dass ein Benutzer versehentlich statt der Domäne die Arbeitsstation auswählt und dann eine Fehlermeldung erhält. Dies ist kein Anlass zur Besorgnis; es muss einfach der Name der Arbeitsstation durch den Domänen-Namen ersetzt werden. 1.4.2 Das Abmelden Nach Beendigung der Arbeit am Computer muss man sich abmelden; dies erfolgt über START – BEENDEN – ANWENDUNGEN SCHLIEßEN UND UNTER NEUEM NAMEN ANMELDEN. Jeder Benutzer sollte sich nach getaner Arbeit, wenn er den PC nicht ausschaltet, abmelden, da sonst nachfolgende Personen Zugriff auf seine Daten haben. 1.4.3 Das Ausschalten des NT-Rechners Wenn der Computer anschließend ausgeschaltet werden soll, muss man sich über START – BEENDEN – COMPUTER HERUNTERFAHREN abmelden; nach kurzer Zeit erscheint dann die Meldung, dass der Computer ausgeschaltet werden kann. 1 · Erste Schritte im Netz 8 Keinesfalls darf ein Computer unter Windows NT ohne vorheriges Herunterfahren ausgeschaltet werden! Es besteht die Gefahr, dass er anschließend nicht mehr startet oder zumindest keinen Zugang zur Domäne mehr hat. 1.4.4 Der Arbeitsplatz eines Benutzers Hat man sich beispielsweise als Lehrer1 an einer Arbeitsstation angemeldet und den Explorer gestartet, stellt sich der Arbeitsplatz folgendermaßen dar: Der Arbeitsplatz von Lehrer1 Außer den Standardlaufwerken A:, C: und D: gibt es weitere Laufwerksbuchstaben, nämlich H: mit der Bezeichnung F_Lehrer1 auf ‘S1‘, L: mit der Bezeichnung F_Lehrer auf ‘S1‘ und S: mit der Bezeichnung F_Schüler auf ‘S1‘. • H: ist die Laufwerksbezeichnung für den Arbeitsordner von Lehrer1, den nur Lehrer1 benutzen kann. Dieser Ordner befindet sich auf dem Server (in unserem Beispiel ‚S1‘). • L: ist ein Netzlaufwerk, das allen Lehrern gemeinsam für den Datenaustausch zur Verfügung steht, L: kann also von allen Lehrern genutzt werden. • Über S: können die Lehrer den Schülern Dateien zur Verfügung stellen, die Schüler können über dieses Laufwerk auch untereinander Dateien austauschen; S: steht also allen Lehrern und allen Schülern offen. Meldet man sich an dieser Arbeitsstation nun nacheinander als Lehrer2, Schüler1 und Schüler2 in der Domäne DOM1 an, sehen alle Benutzer die gleichen Laufwerke wie 1 · Erste Schritte im Netz 9 Lehrer1, bei L: und S: sogar mit den gleichen Bezeichnungen. Bei H: findet Lehrer2 aber die Bezeichnung F_Lehrer2 auf ‘S1‘; entsprechendes gilt für Schüler1 und Schüler2. Trotz des gleichen Laufwerksbuchstabens handelt es sich um verschiedene Ordner, die Benutzer kommen sich also auf H: nicht in die Quere. In der Domäne DOM2 heißt der Server natürlich S2, in der Domäne DOM3 heißt er S3, usw. Nach der üblichen Zählung wäre H: die sechste, L: die zehnte und S: sogar die 17. Festplatte oder zumindest Festplatten-Partition auf diesem Rechner. Aber unsere Rechner haben natürlich nicht so viele Platten oder Partitionen. Diese Laufwerksbezeichnungen beziehen sich vielmehr auf Ordner auf dem Festplattensystem des Servers, welche zur Nutzung über das Netz freigegeben worden sind. Darauf weisen auch die angedeuteten Netzkabel unter den Laufwerkssymbolen und der Vorsatz F_ in der Bezeichnung hin. Wenn im folgenden von Ordnern oder Verzeichnissen die Rede ist, welche auf dem Festplattensystem des Servers liegen, aber von den Arbeitsstationen aus genutzt werden, wird der Begriff Freigabe gebraucht – außer im Zusammenhang mit den Arbeitsordnern, welche auch weiterhin so heißen sollen. Die genaue Bedeutung von Freigaben wird später ersichtlich. 1. Melden Sie sich an der einen Arbeitsstation als Lehrer1 und an der zweiten Arbeitsstation als Lehrer2 an. Verändern Sie dabei die Schreibweisen der Benutzernamen (z. B. lehrer1, LEHRER1, lEhReR1), während Sie stets das richtige Kennwort ntkurs eingeben. Õ Beobachten Sie, dass die Anmeldung jedesmal gelingt! 2. Verändern Sie nun das Kennwort ntkurs (z. B. Ntkurs, NTKURS, Ntkurs). Õ Beobachten Sie, dass die Anmeldung nur mit korrektem Kennwort gelingt! 3. Unter START – BEENDEN finden Sie drei Optionen. Probieren Sie alle drei Möglichkeiten aus. Õ Damit bei einer Abmeldung eines Benutzers und darauffolgender Neuanmeldung eines anderen Benutzers der Computer nicht jedesmal heruntergefahren und ausgeschaltet werden muss, werden wir zukünftig die Option START – BEENDEN – ANWENDUNGEN SCHLIEßEN UND UNTER NEUEM NAMEN ANMELDEN verwenden. 1 · Erste Schritte im Netz 10 4. Starten Sie als Lehrer1 bzw. Lehrer2 über START – PROGRAMME – ZUBEHÖR – EDITOR den mit NT gelieferten Editor, ein sehr einfaches Textprogramm. Schreiben Sie einen kurzen Text und speichern Sie diesen unter dem Namen TEST.TXT in Ihrem Arbeitsverzeichnis, also in H: ab. Mit Absicht sollen Lehrer1 und Lehrer2 den gleichen Dateinamen verwenden. Melden Sie sich an Ihrer Arbeitsstation ab und an der anderen unter dem gleichen Namen wieder an. Starten Sie den Editor und öffnen Sie die Datei TEST.TXT in H:. Õ Es ist der Text, den Sie auf der anderen Arbeitsstation geschrieben haben. 5. Melden Sie sich als Lehrer1 an einer Arbeitsstation Ihrer Domäne an und öffnen Sie mit dem Editor die Datei TEST.TXT in H:. Drucken Sie diese Datei dann aus. Õ Wundern Sie sich nicht, dass alle Kursteilnehmer den gleichen Drucker benutzen. Er wurde so eingerichtet, dass er in allen Domänen zur Verfügung steht, jede Domäne aber glaubt, es sei ihr eigener Drucker. Zusammenfassung • Jeder Benutzer muss sich mit einem bekannten Namen und einem geheimen Kennwort bei der Domäne anmelden. • Der Zugriff auf Freigaben im Netz erfolgt über Laufwerksbuchstaben (meistens aus der Mitte oder der hinteren Hälfte des Alphabets), denen aber keine physikalischen Laufwerke entsprechen; sie werden daher logische Laufwerke oder Netzlaufwerke genannt. • Jeder Benutzer hat ein Arbeitsverzeichnis, das ausschließlich von ihm genutzt wird. Alle anderen Benutzer (außer den Netzwerk-Verwaltern) können darauf nicht zugreifen, sie können es nicht einmal sehen. • Die Freigaben, insbesondere die Arbeitsverzeichnisse stehen den Benutzern an allen Arbeitsstationen unter den gleichen Laufwerksbuchstaben zur Verfügung. • Alle Benutzer können gemeinsam Netzwerk-Drucker benutzen. 1.5 Datenaustausch Ein Netzwerk dient aber nicht nur dazu, die Daten der einzelnen Benutzer aufzubewahren und sie ihren Besitzern auf Verlangen wieder zur Verfügung zu stellen; es bietet noch viele weitere Möglichkeiten. Nehmen Sie (Lehrer2) an, Ihr Kollege (Lehrer1) habe umfangreiche Unterrichtsmaterialien erstellt mit vielen schönen Grafiken (die natürlich auch viel Speicher- 1 · Erste Schritte im Netz 11 platz benötigen). Der Kollege ist bereit, Ihnen diese Materialien zu überlassen. Ohne Netz erfolgt dieser Austausch mittels Disketten – falls die Dateien darauf passen. Im Netz ist das viel einfacher, wie das folgende Beispiel zeigt: Ein Beispiel aus der Praxis Lehrer1 hat seine Daten in seinem Arbeitsordner H: gespeichert. Anschließend startet Lehrer1 den Explorer und kopiert diese Dateien nach L:, was einen für alle Lehrer freigegebenen Ordner auf dem Server darstellt (F_Lehrer auf ’S1‘). Kurze Zeit später kann Lehrer2 an seiner Arbeitsstation mit dem Explorer diese Dateien von L: in sein Laufwerk H: kopieren, wo er sie dann weiterverarbeiten kann. Möchte Lehrer2 jetzt diese Dateien dem Benutzer Schüler1 zugänglich machen, kann er die Dateien von H: nach S: kopieren. Schüler1 kopiert sie wiederum von S: nach H: und kann sie dort nutzen. Anderseits kann Lehrer1 seine Daten auch direkt in das Verzeichnis von Schüler1 kopieren, wenn er dazu die Rechte hat. 1. Melden Sie sich als Lehrer1 an der einen Arbeitsstation an. An der anderen Arbeitsstation kann sich parallel dazu Lehrer2 anmelden. Lehrer1 erstellt mit dem Editor oder einem anderen Programm aus der Gruppe Zubehör eine Datei und stellt diese wie im obigen Beispiel beschrieben Lehrer2 zur Verfügung. Während dieser die Datei in sein Arbeitsverzeichnis kopiert, meldet sich Lehrer1 ab und Schüler1 kann sich an dieser Arbeitsstation anmelden. Dann stellt Lehrer2 die Datei, welche er von Lehrer1 bekommen hat, seinerseits dem Benutzer Schüler1 zur Verfügung. 2. Starten Sie auf beiden Stationen Ihrer Domäne über START – PROGRAMME – ZUBEHÖR – TELEFON ein einfaches Programm zum Nachrichtenaustausch; es gehört wie der Editor zum Lieferumfang von Windows NT. Klicken Sie an einer der beiden Stationen auf das Wählscheiben-Symbol und wählen Sie dann aus der Liste die andere Arbeitsstation (also WSxA ober WSxB) aus. Daraufhin wird auf der anderen Station das Symbol Hörer abheben aktiviert. Darauf muss Ihr Partner jetzt klicken, dann können Sie miteinander „telefonieren“, allerdings nur schriftlich. Das obere Fenster ist das „Mikrofon“, das untere der „Lautsprecher“. 1 · Erste Schritte im Netz 12 Natürlich ist dieser Nachrichtenaustausch nicht sehr komfortabel; das liegt aber nur an der Einfachheit des Telefonprogramms. Mit entsprechender Software lassen sich wesentlich leistungsfähigere Informationssysteme realisieren. Zusammenfassung • Zum Datenaustausch zwischen verschiedenen Benutzern dienen Freigaben (Ordner, die zur Benutzung im Netz freigegeben sind, wobei Berechtigungen auf diese Freigaben die Zugriffsmöglichkeiten regeln), welche nur einem Benutzer, mehreren Benutzern oder sogar allen Benutzern im Netz zugänglich gemacht werden. Diese Freigaben werden von den Arbeitsstationen über Laufwerksbuchstaben angesprochen. • In einem Netzwerk können nicht nur Dateien zwischen Computern hin- und her transportiert werden, sondern auch Nachrichten. Anmerkung: Eine weitere Möglichkeit der Netzwerk-Nutzung, über deren pädagogischen Wert es allerdings sehr unterschiedliche Ansichten gibt, sind NetzwerkSpiele. Auf den ersten Blick scheint ein Netzwerk-Spiel sich kaum von einem Spiel an einem Einzelplatzrechner zu unterscheiden. Bei einem einfachen Spiel ist jedoch der Computer der Spielpartner, bei einem Netzwerk-Spiel sind es dagegen die Spieler an anderen Geräten. 2 · Objekte im Netz 2 13 Objekte im Netz 2.1 Benutzer Der Benutzer Lehrer1 weiß, dass seine Daten in H: gespeichert werden; er weiß auch, dass er den Datenaustausch mit den anderen Lehrern über L: und mit den Schülern über S:\ durchführen muss. Vielleicht weiß er auch noch, dass sich hinter diesen Laufwerks-Buchstaben logische Laufwerke verbergen, keine physikalischen. Für seine Arbeit ist das aber nicht wichtig – solange er seine Daten in H: wiederfindet. Wenn das einmal nicht der Fall ist, fragt er den Netzwerk-Verwalter, wo sie denn geblieben sind. Und der muss natürlich den physikalischen Speicherungsort kennen. Wenn sich Lehrer1 mit Kollegen von anderen Schulen unterhält, erfährt er dabei vielleicht, dass die Netzlaufwerke dort ganz andere Buchstaben und sogar ganz andere Funktionen haben. Dann wird sich Lehrer1 irgendwann einmal fragen, warum die Verhältnisse an seiner Schule so und nicht anders sind. Nach der Standardinstallation von Windows NT auf dem Server und auf den Arbeitsstationen gibt es keine Benutzer wie Lehrer1, Lehrer2 usw.; es gibt auch keine Netzlaufwerke wie H:, L: und S:. Lediglich das Symbol der Netzwerkumgebung auf dem Desktop weist darauf hin, dass es sich um einen Rechner in einem Netzwerk handelt: Das Symbol Netzwerkumgebung auf dem Desktop Die Einrichtung der Benutzer, die Anlage von Arbeitsordnern, die Bereitstellung von Netzlaufwerken (wie z. B. H:, L: und S:) sowie die Einrichtung von Netzdruckern, die Installation der Anwendungssoftware, kurz: alle Maßnahmen, die darüber entscheiden, dass „die Verhältnisse so und nicht anders sind“, gehören zum Aufgabenbereich des Netzwerk-Verwalters. Er muss diese Aufgaben entweder selbst durchführen oder zumindest ihre Durchführung veranlassen; er braucht also umfangreiche Kenntnisse über Windows NT. Deshalb sollen jetzt die wichtigsten Aspekte dieses Betriebssystems besprochen werden. 2 · Objekte im Netz 14 Wie schon erwähnt wird auf dem Server bei der Installation von NT automatisch ein Benutzer namens Administrator angelegt, der auf dem Server und auf jeder Arbeitsstation uneingeschränkte Rechte hat. Der Netzwerk-Verwalter kann sich also am Server und an jeder Arbeitsstation mit dem Benutzernamen Administrator und dem Kennwort des ServerAdministrators (hier: DA) anmelden und alle Maßnahmen durchführen. Unter START – PROGRAMME – VERWALTUNG (ALLGEMEIN) findet er die dazu nötigen Werkzeuge. Die bisherigen Benutzer wie Lehrer1 sind Domänen-Benutzer, d. h. sie können sich an jeder Arbeitsstation der Domäne anmelden. Die Anlage und Verwaltung der Domänen-Benutzer erfolgt auf dem Server über START – PROGRAMME – VERWALTUNG (ALLGEMEIN) - BENUTZER-MANAGER FÜR DOMÄNEN: Der Benutzer-Manager für Domänen Einen Benutzer-Manager findet man auch auf jeder NT-Workstation. Dort könnte der Domänen-Administrator und auch der lokale Administrator lokale Benutzer anlegen, die dann nur an dieser Arbeitsstation arbeiten können; davon sollte aber kein Gebrauch gemacht werden. Mit einem Doppelklick auf einen Benutzer (z. B. Lehrer1) erhält man ein Fenster mit den Eigenschaften dieses Benutzers: 2 · Objekte im Netz 15 Die Benutzereigenschaften von Lehrer1 Mit dem Benutzer-Manager für Domänen werden wir noch ausreichend arbeiten. Vorläufig mag der Hinweis genügen, dass der Domänen-Administrator hier die Einstellungen für die Domänen-Benutzer vornimmt. 2.2 Berechtigungen Die Daten aller Benutzer werden auf dem Server in bestimmten Verzeichnissen gespeichert. Jeder Benutzer erhält dort ein Verzeichnis für seinen alleinigen Gebrauch, sein Arbeitsverzeichnis (engl.: Home Directory). Die Verzeichnisstruktur von D:\users auf dem Server Wie die Grafik zeigt, sind diese Verzeichnisse auf unseren Servern in D:\users angelegt (wobei D: eine Festplattenpartition des Servers ist). 2 · Objekte im Netz 2.2.1 16 Die Arbeitsverzeichnisse der Benutzer Beispielhaft soll nun das Arbeitsverzeichnis von Lehrer1 näher betrachtet werden (Klick mit der rechten Maustaste - Eigenschaften). Die Registerkarte Allgemein enthält einige Informationen über dieses Verzeichnis: Die Registerkarte Allgemein Die zweite Registerkarte Freigabe wird erst später näher betrachtet. Zunächst ist sie für uns belanglos. Über die Registerkarte Sicherheit kann der Domänen-Administrator die Verzeichnisberech- tigungen ändern und einsehen (Lehrer1 kann sie auch sehen, aber nicht ändern): Die Verzeichnisberechtigungen von D:\users\Lehrer1 2 · Objekte im Netz 17 Somit bestehen für das Verzeichnis D:\users\Lehrer1 folgende Berechtigungen: • Administratoren haben Vollzugriff • Lehrer1 darf in seinem Verzeichnis Dateien öffnen (R = Read), neue Dateien erstellen oder bestehende Dateien verändern (W = Write), Programme ausführen (X = Execute) und Dateien löschen (D = Delete). Die Kombination von R, W, X und D wird unter der Kurzbezeichnung Ändern zusammengefasst. Der Eintrag (RWXD) erscheint zweimal; der erste gilt für das Verzeichnis, der zweite für die Dateien in dem Verzeichnis! Würde man z. B. im ersten Eintrag das Recht D entfernen, könnte der Benutzer zwar Unterverzeichnisse anlegen (W im ersten Eintrag) und Dateien in dem Verzeichnis anlegen oder löschen (W oder D im zweiten Eintrag), aber weder das Verzeichnis selbst noch Unterverzeichnisse löschen (fehlendes D im ersten Eintrag). Die Berechtigungen von D:\users\Lehrer2, D:\users\Schüler1 und D:\users\Schüler2 entsprechen denen von D:\users\Lehrer1, nur treten in diesen Verzeichnissen die Benutzer Lehrer2, Schüler1 und Schüler2 an die Stelle des Benutzers Lehrer1. Windows NT (sowohl die Server- als auch die Workstation-Version) ermöglichen die Wahl zwischen zwei Dateisystemen: NTFS (NT File System) und FAT (File Allocation Table). Letzteres wurde schon von MS-DOS verwendet. Nur auf Festplatten, die mit NTFS formatiert wurden steht die Registerkarte Sicherheit zur Verfügung, die die Vergabe von Verzeichnis- und Datei-Berechtigungen ermöglicht. Man sollte sich deshalb grundsätzlich für NTFS entscheiden, da es noch weitere Vorteile gegenüber FAT bietet. Bei der Installation wird gefragt, welches Dateisystem benutzt werden soll. 2.2.2 Datenaustausch zwischen Benutzern Da die Verzeichnisberechtigungen unterbinden, dass ein anderer Benutzer Zugriff auf ein fremdes Arbeitsverzeichnis hat, werden für den Datenaustausch zwischen den Benutzern Unterverzeichnisse benötigt, auf welche alle Beteiligte zugreifen können. Auf unseren Servern gibt es zwei solcher Verzeichnisse, nämlich D:\users\Lehrer für den Datenaustausch zwischen den Lehrern und D:\users\Schüler, über welches die Lehrer mit den Schülern und die Schüler untereinander Daten austauschen können. 2 · Objekte im Netz 18 Deshalb hat der Domänen-Administrator für das Verzeichnis D:\users\Lehrer allen Lehrern die Berechtigung Ändern gegeben. Für das Verzeichnis D:\users\Schüler haben alle Lehrer und alle Schüler die Berechtigung Ändern . An einer großen Schule wäre es sehr umständlich, dies für jeden Lehrer und Schüler einzeln zu tun. Außerdem genügt die einfache Verzeichnisstruktur, welche hier benutzt wird, keineswegs den Anforderungen größerer Schulen; dort müssen die Schüler und vielleicht auch die Lehrer nach Schularten, Klassenstufen oder anderen Kriterien weiter unterteilt werden, wodurch die Verzeichnis- und Berechtigungsstruktur wesentlich komplizierter wird. 2.3 Gruppen Anstatt die Vergabe der Berechtigungen einzeln durchzuführen, werden alle Lehrer in einer Gruppe zusammengefasst, ebenso die Schüler. Auch die Gruppenverwaltung erfolgt mit dem Benutzermanager des Servers. Der Benutzer-Manager für Domänen Im unteren Fenster werden die Gruppen aufgeführt, wobei zwei Arten von Gruppen zu unterscheiden sind: globale Gruppen und lokale Gruppen. Unterscheidbar sind beide Gruppen durch das Symbol vor der Bezeichnung. Die globalen Gruppen haben als Symbol einen Globus und die lokalen Gruppen einen Monitor. Zur deutlicheren Unterscheidung beginnen hier die Bezeichnungen der globalen Gruppen mit G_ und die lokalen Gruppen mit L_. Dies ist zwar willkürlich so gewählt, hat sich aber in der Praxis bewährt. 2 · Objekte im Netz 2.3.1 19 Der Unterschied zwischen globalen und lokalen Gruppen Domänen-Benutzer werden in globalen Gruppen zusammengefasst. Die globalen Gruppen werden Mitglieder in lokalen Gruppen. Den lokalen Gruppen werden Berechtigungen für Verzeichnisse auf dem Computer vergeben, auf dem die lokale Gruppe angelegt worden ist. Die Lehrer sollen an jeder Station in der Domäne arbeiten können, müssen also jeder Station bekannt sein; dies wird über die globale Gruppe G_Lehrer erreicht. Die Mitglieder der globalen Gruppe G_Lehrer Die lokale Gruppe L_Lehrer enthält nur die globale Gruppe G_Lehrer als Mitglied: Die lokale Gruppe L_Lehrer Nun können wir bei den Verzeichnisberechtigungen die lokale Gruppe L_Lehrer einsetzen. Schauen wir uns die Verzeichnisberechtigung von D:\users\Schüler an (Rechte Maustaste auf das Verzeichnis – Eigenschaften – Sicherheit), sehen wir eine einfache Möglichkeit Verzeichnisberechtigungen zu vergeben. 2 · Objekte im Netz 20 Die Verzeichnisberechtigungen von D:\users\Schüler Die lokalen Gruppen L_Lehrer bzw. L_Schüler haben die Berechtigung Ändern. Mitglieder dieser Gruppen sind G_Lehrer bzw. G_Schüler, in denen wiederum alle Lehrer bzw. alle Schüler als Mitglieder enthalten sind. Somit kann jeder Lehrer und jeder Schüler auf dieses Verzeichnis zugreifen. Da auf D:\users\Lehrer nur die Lehrer zugreifen sollen, fehlt dort die Gruppe L_Schüler. 2.4 Netzlaufwerke, Berechtigungen und Freigaben Durch die Vergabe von Berechtigungen auf dem Server an einzelne Domänen-Benutzer oder an lokale Gruppen ist noch nicht geklärt, warum Lehrer1 von jeder Arbeitsstation aus auf D:\users\Lehrer1 (zur Erinnerung: D: ist eine Partition auf dem Festplattensystem des Servers, nicht einer Arbeitsstation) unter der Laufwerksbezeichnung H: zugreifen kann. In den Domänen DOM1, … , DOM6 geschieht die Zuweisung der Laufwerksbuchstaben H:, L: und S: automatisch über so genannte Anmeldeskripte. Das sind Batch-Dateien, ähnlich wie die Datei AUTOEXEC.BAT unter DOS, in der Befehle stehen können, die dann beim Rechnerstart automatisch ausgeführt werden, damit sie der Benutzer nicht bei jedem Neustart einzeln eingeben muss. Unsere Anmeldeskripte werden bei der Anmeldung eines Benutzers automatisch abgearbeitet und enthalten spezielle Netzwerk-Befehle. Es wäre an dieser Stelle etwas verfrüht, jetzt schon auf das Erstellen solcher Anmeldeskripte einzugehen. Deswegen soll zunächst die manuelle Zuweisung eines Laufwerksbuchstabens an einem Beispiel gezeigt werden: 2 · Objekte im Netz 21 Ein Beispiel aus der Praxis Lehrer1 führt mit einer Klasse ein Projekt durch. Damit zwei Schüler dieser Klasse Daten gemeinsam bearbeiten können, benötigen diese ein Verzeichnis auf dem Server, auf das nur diese beiden Schüler und der Lehrer zugreifen können (also: Schüler1, Schüler2 und Lehrer1). Andere Schüler und Lehrer sollen darauf keinen Zugriff haben. Lehrer1 bittet deshalb den Netzwerk-Verwalter auf dem Server ein Verzeichnis namens Projekt anzulegen, in welchem Lehrer1 und die beiden Schüler Dateien für das Projekt anlegen können; Lehrer1, Schüler1 und Schüler2 müssen also in diesem Verzeichnis die Berechtigung Ändern haben. Sonst dürfen nur noch die Administratoren auf dieses Verzeichnis zugreifen. 2.4.1 Das Erstellen von Netzlaufwerken Mit dem Explorer legt der Netzwerk-Verwalter dieses Verzeichnis auf dem Server unter D:\users\Projekt an und vergibt folgende Berechtigungen (Im Explorer mit der rechten Maustaste auf das Verzeichnis – Option Freigabe – Registerkarte Sicherheit): Die Verzeichnisberechtigungen des Projektverzeichnisses D:\users\Projekt Anmerkung: Man könnte hier natürlich Schüler1 und Schüler2 durch die Gruppe L_Schüler ersetzen, welche ja diese beiden Benutzer über die Gruppe G_Schüler zusammenfasst. In Wirklichkeit gibt es aber natürlich mehr Schüler; nicht alle werden an dem Projekt beteiligt sein. Nachdem diese Schritte vom Administrator erledigt sind, kann jedoch dieses neue Verzeichnis im Netz noch nicht genutzt werden. Dazu fehlt ein zweiter Schritt: Die Freigabe. 2 · Objekte im Netz 2.4.2 22 Die Freigabe von Ressourcen Bevor in einer NT-Domäne ein Verzeichnis, ein Drucker oder – kurz gesagt – irgendeine andere Ressource im Netz von einem anderen Computer aus genutzt werden kann, muss sie durch einen Administrator unter einem eindeutigen Namen freigegeben werden. Bei Verzeichnissen dient dazu die schon erwähnte Registerkarte Freigabe (zur Erinnerung: Rechter Mausklick auf Projekt – Einstellungen - Registerkarte Freigabe): Die Registerkarte Freigabe des Verzeichnisses D:\users\Projekt Standardmäßig schlägt NT vor, den letzten Teil des Pfadnamens als Freigabenamen zu verwenden; hier also Projekt. Eigentlich spricht nichts dagegen, diesen Vorschlag zu übernehmen. Bei den Arbeitsverzeichnissen von Lehrer1, Lehrer2, Schüler1 und Schüler2 ist die Situation dagegen schwieriger, denn jede dieser Bezeichnungen käme dann gleich in dreifacher Bedeutung im Netz vor: einmal als Benutzernamen, dann als Namen der Arbeitsverzeichnisse und schließlich als Freigabenamen. Es dient der Übersichtlichkeit, wenn die Arbeitsverzeichnisse den gleichen Namen wie ihre Besitzer haben! Um aber eine dreifache Bedeutung zu vermeiden, haben hier die Freigaben den Vorsatz F_ erhalten. Zwar gibt es keinen Benutzer Projekt, der Einheitlichkeit wegen soll aber die Freigabe hier auch F_Projekt heißen. Die anschließende Warnung hinsichtlich Arbeitsstationen unter MS-DOS – F_Projekt hat mehr als acht Zeichen – kann übergangen werden, da solche Arbeitsstationen hier nicht existieren. 2 · Objekte im Netz 23 Die Schaltfläche Berechtigungen unter der Registerkarte Freigabe interessiert uns nicht, weil die Zugriffsberechtigungen schon auf Verzeichnisebene vergeben worden sind! Falls Sie die Schaltfläche Berechtigungen auf der Registerkarte Freigabe doch anklicken, sehen Sie die sehr großzügige Berechtigung Jeder: Vollzugriff. Sie ist aber in unserem Fall bedeutungslos, weil sie durch die restriktiveren Zugriffsrechte auf Verzeichnisebene außer Kraft gesetzt wird. Nur wenn auf der Festplatte das FAT-Dateisystem benutzt wird, haben Freigabe-Berechtigungen (die dann natürlich nicht so großzügig sein dürfen) einen Sinn, weil es ja keine Verzeichnis- und Dateiberechtigungen gibt. Die Freigaben dienen dazu, Konflikte mit den Bezeichnungen physikalisch vorhandener Laufwerksbezeichnungen zu vermeiden. Anmerkung: Wenn Lehrer1 von der Station WS1A aus auf sein Arbeitsverzeichnis (das auf dem Server als D:\users\Lehrer1 abgelegt ist) unter der Laufwerksbezeichnung D: zugreifen will, darf D: nur einmal verwendet werden, sonst gibt es ein großes Durcheinander. Dies wird durch die Verwendung des Freigabenamens vermieden, in welchem die Laufwerksbezeichnung auf dem Server gar nicht vorkommt. 2.4.3 Die Zuweisung eines Laufwerksbuchstabens Nun könnte das Verzeichnis D:\users\Projekt auf dem Server von den Arbeitsstationen aus genutzt werden. Um dies jedoch komfortabler zu gestalten, wird diesem Verzeichnis ein Laufwerksbuchstabe zugewiesen. Dies erfolgt jetzt an den Arbeitsstationen mit dem Explorer. Über Extras – Netzlaufwerk verbinden erhält man eine Liste der auf dieser Arbeitsstation verfügbaren Laufwerksbuchstaben und darunter eine Liste der Computer in der Domäne DOM1. Da sich die Freigabe auf dem Server S1 befindet, muss auf S1 doppelgeklickt werden. Man erhält dann eine Liste mit allen Freigaben auf S1, darunter auch die Freigabe F_Projekt. Ihr soll der Laufwerksbuchstabe P: zugewiesen werden. Wichtig ist hier noch die Option Verbindung beim Start wiederherstellen anzukreuzen, damit bei der nächsten Anmeldung des Benutzers diese Zuweisung automatisch erfolgt. 2 · Objekte im Netz 24 Die Freigabe F_Projekt auf Server S1 Der Explorer der Arbeitsstation zeigt jetzt das neue logische Laufwerk P: an: Die Laufwerksbuchstaben einer Arbeitsstation Die Zuweisung eines Laufwerk-Buchstabens zu einer Serverfreigabe erfolgt an der Arbeitsstation, nicht am Server! Die Option Verbindung beim Start wiederherstellen gilt daher auch nur an dieser Arbeitsstation, nicht an den anderen. Wenn Lehrer1 sich an einer anderen Arbeitsstation anmeldet, steht ihm P: nicht zur Verfügung; er muss die Zuweisung erneut vornehmen. Wenn ein Netz viele Arbeitsstationen enthält und die Benutzer häufig an verschiedenen Geräten arbeiten, sollte die Zuweisung über ein Anmeldeskript erfolgen. 2 · Objekte im Netz 25 Anmerkung: In der vorstehenden Grafik zeigt sich im Feld Pfad erstmals die UNCSchreibweise \\Computername\Freigabename. UNC bedeutet Universal Naming Convention; diese Konvention ist aber nicht universal, sondern Microsoft-spezifisch. 1. Melden Sie sich als Administrator am Server Ihrer Domäne an und erstellen Sie dort das Verzeichnis D:\users\Projekt. 2. Geben Sie das Verzeichnis unter dem Namen F_Projekt frei, indem Sie auf das eben angelegte Verzeichnis mit der rechten Maustaste klicken, aus dem erscheinenden Kontextmenü die Option Freigabe wählen und die Registerkarte Freigabe anwählen. Õ Drücken Sie anschließend die Taste Übernehmen, damit die Freigabe erfolgt, ohne dass das Fenster geschlossen werden muss. 3. Vergeben Sie für dieses Verzeichnis die Berechtigung Ändern an Lehrer1, Schüler1 und Schüler2, indem Sie die Registerkarte Sicherheit anwählen und die Taste Berechtigungen anklicken. 4. Melden Sie sich an einer Station Ihrer Domäne als Lehrer1 an und weisen Sie der Freigabe F_Projekt den Laufwerksbuchstaben P: zu, indem Sie mit der rechten Maustaste auf die Netzwerkumgebung auf dem Desktop klicken und die Option Netzlaufwerk verbinden wählen. Nehmen Sie die Option Verbindung beim Start wiederherstellen wahr. 5. Melden Sie sich an der Arbeitsstation ab und an der gleichen Arbeitsstation unter dem gleichen Namen wieder an. Kontrollieren Sie, ob Ihnen P: zur Verfügung steht. 6. Melden Sie sich an der zweiten Arbeitsstation Ihrer Domäne an und suchen Sie nach P:. 7. Weisen Sie als Lehrer1 auch auf der zweiten Station Ihrer Domäne der Freigabe F_Projekt den Laufwerksbuchstaben P: zu. 8. Melden Sie sich an einer Station Ihrer Domäne als Lehrer2 an und suchen Sie nach dem Netzlaufwerk P:. 2 · Objekte im Netz 26 Zusammenfassung • Verzeichnisse zum Speichern von Daten werden auf dem Server angelegt. • Die Zugriffsrechte auf diese Verzeichnisse müssen vergeben werden. • Wenn mehreren Benutzern die gleichen Berechtigungen gegeben werden sollen, werden diese Benutzer in globalen Gruppen zusammengefasst. Die globale Gruppe wird Mitglied einer lokalen Gruppe auf dem Server; dieser lokalen Gruppe werden die Zugriffsrechte auf Verzeichnisse und Dateien gegeben. • Verzeichnisse auf dem Server müssen freigegeben werden, bevor sie von den Arbeitsstationen aus genutzt werden können. • Auf den Arbeitsstationen muss den Freigaben ein Laufwerksbuchstabe zugewiesen werden. Diese Zuweisung muss für jeden Benutzer an jeder Arbeitsstation einzeln durchgeführt werden (bei einer großen Benutzerzahl ist das kaum möglich; mittels Anmeldeskripten oder Benutzerprofilen lässt sich dieses Problem aber lösen). 2.5 Herstellung des Urzustandes unseres Netzes Mit diesen grundlegenden Übungen ist der erste Teil der Fortbildung beendet. Im zweiten Teil wollen wir ein Netzwerk, bestehend aus einem Server und zwei Arbeitsstationen, für den schulischen Betrieb einrichten. Damit wir nun nicht den Server und die Arbeitsstationen neu installieren müssen, löschen wir nur die Strukturen, die wir vorgefunden und leicht verändert haben. Unsere Benutzer Lehrer1, Lehrer2, Schüler1 und Schüler2 brauchen wir jetzt nicht mehr. Doch STOPP!!! Würden wir nun beginnen, alle angelegten Objekte unstrukturiert zu löschen, könnten sich Probleme im weiteren Betrieb einstellen. Gehen Sie deshalb bitte folgendermaßen vor: 1. Entfernen Sie als erstes die Laufwerksverbindungen auf beiden Arbeitsstationen für alle Benutzer. Õ Melden Sie sich dazu an beiden Arbeitsstationen nacheinander als Lehrer1, Lehrer2, Schüler1 und Schüler2 an und trennen Sie die Laufwerksverbindungen durch Klicken mit der rechten Maustaste auf die Netzwerkumgebung auf dem Desktop und wählen Sie die Option Netzlaufwerk trennen. 2 · Objekte im Netz 27 2. Entfernen Sie danach die benutzerbezogenen Freigaben auf dem Server. Õ Öffnen Sie dazu den Explorer und klicken Sie auf ein freigegebenes Verzeichnis mit der rechten Maustaste. Wählen Sie die Option Freigabe und setzen den Schalter auf Nicht freigeben. Wiederholen Sie dies für alle freigegebenen Verzeichnisse auf dem Server. 3. Löschen Sie nun mit dem Explorer die benutzerbezogenen Ordner auf dem Server. 4. Nun können die Benutzer Lehrer1, Lehrer2, Schüler1 und Schüler2 gelöscht werden. Õ Verwenden Sie dazu den Benutzer-Manager für Domänen auf dem Server unter START – PROGRAMME – VERWALTUNG (ALLGEMEIN) – BENUTZER-MANAGER FÜR DOMÄNEN. 5. Auch die Gruppen G_Lehrer, G_Schüler, L_Lehrer und L_Schüler können mit dem Benutzer-Manager gelöscht werden. 6. Melden Sie sich abschließend als Administrator an den Arbeitsstationen an (Zur Erinnerung: wenn Sie sich als Domänen-Administrator an einer Arbeitsstation anmelden, haben Sie das gleiche Kennwort wie am Server). Löschen Sie nun noch mit dem Explorer die Profilverzeichnisse im Pfad C:\Winnt\Profiles\Lehrer1, ...\Lehrer2, ...\Schüler1 und ...\Schüler2. Diese Profilverzeichnisse sollten auch auf dem Server gelöscht werden! 3 · Benutzerverwaltung 3 28 Benutzerverwaltung 3.1 Grundbegriffe 3.1.1 Freigaben Freigaben sind Ressourcen, die von den Arbeitsstationen aus auf dem Server genutzt werden können. Nur freigegebene Ressourcen stehen im Netz zur Verfügung und sind in der Netzwerkumgebung von Arbeitsstationen zu sehen. Somit können nicht freigegebene Verzeichnisse von einer Arbeitsstation aus weder gesehen werden, noch kann auf sie zugegriffen werden. Zur Kennzeichnung einer Freigabe wird im Verzeichnispfad des NT-Explorers eine ausgestreckte Hand auf das Ordnersymbol gelegt. Das Symbol für freigegebene Ressourcen Anmerkung: Als Netzwerk-Ressourcen bezeichnet man generell alle Objekte, die im Netz zur Verfügung gestellt werden. Dies können Dateien, Verzeichnisse, Laufwerke, Drucker, etc. sein. 3.1.2 Berechtigungen Unter Berechtigungen versteht man die Zugriffsrechte eines Benutzers von einer Arbeitsstation aus auf Netzwerkressourcen die der Server verwaltet. Berechtigungen werden mit dem NT-Explorer vergeben. Deutlich zu unterscheiden sind Freigabeberechtigungen und Verzeichnisberechtigungen. Ebenso können Berechtigungen auf Dateien vergeben werden. Windows NT vergibt immer eine so genannte Standardfreigabe! Diese Freigabe enthält die größtmögliche Berechtigung Jeder Benutzer hat Vollzugriff. (Siehe Grafik unten: Basisverzeichnis p01 ist nach dem Erstellen dieses Verzeichnisses unter dem Freigabenamen F_p01 für die Gruppe Jeder mit Vollzugriff freigegeben). 3 · Benutzerverwaltung 3.1.3 29 Freigabeberechtigungen Freigabeberechtigungen werden verwendet, um den Zugriff auf eine freigegebene Ressource, zum Beispiel ein Verzeichnis auf dem Server, über das Netzwerk auf bestimmte Benutzer zu beschränken. Folgende Freigabeberechtigungen können vergeben werden: Die Auswahl der Freigabeberechtigungen Diese Berechtigungen lassen wir jedoch außer Acht, da wir mit Verzeichnisberechti- gungen unter NTFS arbeiten. In einem FAT-System können die Freigabeberechtigungen jedoch von Relevanz sein. 3.1.4 Verzeichnisberechtigungen Windows NT speichert für jedes Verzeichnis und jede Datei eine Liste mit Zugriffsrechten für Benutzer und Gruppen. Unter Verzeichnisberechtigungen versteht man Zugriffsrechte auf Verzeichnisse und Dateien, die ein Benutzer hat. Die Auswahl der Verzeichnisberechtigungen 3 · Benutzerverwaltung 30 Wie die vorstehende Grafik zeigt, sind die Verzeichnisberechtigungen wesentlich differenzierter wählbar als die Freigabeberechtigungen. Als Standardoptionen kennt Windows NT folgende Verzeichnisberechtigungen: • Kein Zugriff (Keine) (Keine) • Anzeigen (RX) (Nicht angegeben) • Lesen (RX) (RX) • Hinzufügen (WX) (Nicht angegeben) • Hinzufügen und Lesen (RWX) (RX) • Ändern (RWXD) (RWXD) • Vollzugriff (Alle) (Alle) Damit wir wissen, was diese Bezeichnungen genauer bedeuten, werden hinter den Ver- zeichnisberechtigungen durch Abkürzungen die Rechte genauer definiert: Hierbei steht R für Read, W für Write, X für eXecute und D für Delete. Die erste Klammer entschlüsselt die Berechtigungen für das Verzeichnis und die zweite Klammer für die Dateien in diesem Verzeichnis. Wenn der Dateizugriff mit Nicht angegeben festgelegt ist, kann die Gruppe oder der Benutzer mit den Dateien in dem Verzeichnis nicht arbeiten, wenn keine anderen Zugriffsberechtigungen erteilt wurden, z. B. Berechtigungen zum Zugriff auf einzelne Dateien. Wie in der obigen Grafik zu sehen, können in Abweichung von den oben aufgezeigten Standardberechtigungen über die Optionen Beschränkter Verzeichniszugriff und Be- schränkter Dateizugriff sehr komplexe Strukturen von Zugriffsrechten auf Verzeichnisse und Dateien vergeben werden. Nutzt man diese Möglichkeiten in komplexer Form, dann werden Zugriffsrechte sehr schnell unübersichtlich und sind kaum mehr nachvollziehbar! Zusammenfassung • Um eine Ressource im Netz zur Verfügung zu stellen, muss diese freigegeben werden. • Nach der Freigabe besteht die Berechtigung für Jeder (Vollzugriff) (Vollzugriff), das heißt jeder Benutzer im Netz kann auf diese Ressource uneingeschränkt zugreifen (Jeder kann sie auch löschen!) • Deutlich zu unterscheiden ist zwischen zwei unterschiedlichen Arten von Berechtigungen: den Freigabe- und den Verzeichnisberechtigungen. 3 · Benutzerverwaltung • Auf einem NTFS-System vergeben wir nur Verzeichnisberechtigungen. • Die Freigabeberechtigungen verändern wir nicht! Die Standardfreigabe von Windows 31 NT Jeder (Vollzugriff) (Vollzugriff) muss nicht geändert werden. • Freigaben werden mit dem NT-Explorer gemacht und auch definiert (rechte Maustaste auf das freizugebende Verzeichnis – Option Freigabe). • Die Freigabeberechtigungen liegen auf der Registerkarte Freigabe und die Verzeich- nisberechtigungen auf der Registerkarte Sicherheit. 3.1.5 Benutzerrechte Unter Benutzerrechte versteht man die Rechte, die ein Benutzer auf einem Rechner hat. Es handelt sich hierbei also nicht um Rechte an Dateien, Verzeichnissen etc., sondern um Rechte im Netz. Benutzerrechte werden mit dem Benutzermanager für Domänen (START – PROGRAMME - VERWALTUNG (ALLGEMEIN) – BENUTZER-MANAGER FÜR DOMÄNEN – RICHTLINIEN) an einzelne Benutzer und Benutzer-Gruppen vergeben. Die folgende Liste zeigt die Benutzerrechte, die mit den Richtlinien für Benutzerrechte verwaltet werden können: • Ändern der Systemzeit • Laden und Entfernen von Gerätetreibern • Lokale Anmeldung • Sichern von Dateien und Verzeichnissen • System herunterfahren • Übernehmen des Besitzes an Dateien und Objekten • Wiederherstellen von Dateien und Verzeichnissen • Zugriff auf diesen Computer vom Netz • Herunterfahren von einem Remote-System aus • Verwalten von Überwachungs- und Sicherheitsprotokoll • Hinzufügen von Arbeitsstationen zur Domäne 3 · Benutzerverwaltung 32 Die folgende Grafik zeigt beispielsweise, welche Benutzer-Gruppen das Recht haben, das System herunterzufahren. Gruppen, die das Recht haben, das System herunterzufahren (Standardvorgabe) 3.2 Benutzermodelle Eine grundlegende Entscheidung bei der Planung eines Unterrichtsnetzes ist die Art der Benutzerverwaltung. Wie wir in den Kapiteln 1 und 2 gesehen haben, hängen von der Art der Anmeldung eines Benutzers unter Umständen sehr viele Dinge ab. In unserem Beispiel hatte jeder Lehrer und jeder Schüler einen persönlichen Account und sein persönliches Arbeitsverzeichnis, auf das nur er selbst und der Administrator zugreifen konnte. Diese Struktur bedeutet im realen Betrieb recht viel Verwaltungsaufwand! Anzuraten ist folglich immer das einfachste Modell, mit dem ein sinnvoller Netzwerkbetrieb aufrecht erhalten werden kann. Pauschalisierte Vorschläge für die Einrichtung eines Unterrichtsnetzes scheitern an der Unterschiedlichkeit der Schulen. Deshalb muss die Entscheidung für eine Benutzerstruktur im Einzelfall entschieden werden. Grundsätzlich lassen sich drei Modelle unterscheiden: 3.2.1 Modell 1: Einfache Benutzerverwaltung • Lehrer haben persönlichen Account mit Kennwortschutz (z. B. mit schulinternem Lehrerkürzel oder mit dem vollständigen Namen) • Lehrer haben eigenes Arbeitsverzeichnis, auf das nur sie (und eventuell der Administrator) Zugriff haben 3 · Benutzerverwaltung 33 • Schüler haben arbeitsplatzbezogenen Account ohne Kennwort (z. B. P01 ... P16 für die Arbeitsplätze im Computerraum) • Alle Schüler, die die selbe Arbeitsstation benutzen, haben das gleiche Arbeitsverzeichnis, können dort jedoch eigene Verzeichnisse erstellen und in diesen weiterarbeiten 3.2.2 Modell 2: Einfache Benutzerverwaltung mit Klassenzuweisung • Lehrer haben persönlichen Account mit Kennwortschutz • Lehrer haben eigenes Arbeitsverzeichnis, auf das nur sie (und eventuell der Administrator) Zugriff haben • Lehrer gibt Klasse frei bevor sich ein Schüler arbeitsplatzbezogen anmelden kann • Schüler haben arbeitsplatzbezogenen Account ohne Kennwort, der in Zusammenhang mit der Klassenbezeichnung eines Schülers ein persönliches Arbeitsverzeichnis ergibt (Hierzu sind Programmierkenntnisse notwendig!) 3.2.3 Modell 3a: Benutzerbezogene Accounts • Lehrer haben persönlichen Account mit Kennwortschutz • Lehrer haben eigenes Arbeitsverzeichnis, auf das nur sie (und eventuell der Administrator) Zugriff haben • Schüler haben persönlichen Account mit Kennwortschutz (z. B. Mayer_Udo) • Schüler haben eigenes Arbeitsverzeichnis, auf das nur sie (und eventuell der Lehrer und der Administrator) Zugriff haben 3.2.4 Modell 3b (Variante von Modell 3a) • Lehrer haben persönlichen Account mit Kennwortschutz • Lehrer haben eigenes Unterverzeichnis, auf das nur sie (und eventuell der Administrator) Zugriff haben • Schüler haben keinen persönlichen, sondern einen abstrahierten Account mit Kennwort (z. B. eine durchlaufende Nummer wie 0001 ... 9999 oder eine Bezeichnung aus KLASSENNAME_SCHÜLERNUMMER wie K3_01 ... K3_32) • Schüler haben eigenes Arbeitsverzeichnis, auf das nur sie (und eventuell der Lehrer und der Administrator) Zugriff haben Wie schon einleitend gesagt, sollte für den schulischen Betrieb stets das einfachste Modell mit dem ein sinnvoller Netzwerkbetrieb möglich ist, ausgewählt werden. 3 · Benutzerverwaltung 34 In diesem Grundkurs setzen wir das Modell 1 mit der einfachen Benutzerverwaltung aus mehreren Gründen um. Zunächst lässt der zeitliche Rahmen der Fortbildung kaum ein komplizierteres Modell zu und des Weiteren bewährt sich dieses Modell – auch aufgrund seines relativ geringen Verwaltungsaufwands – an zahlreichen Schulen. 3.3 Das Modell 1 mit einfacher Benutzerverwaltung Zum besseren Verständnis wird dieses Modell im Folgenden genauer beschrieben: 3.3.1 Benutzertyp Lehrer • Das persönliche Benutzerkonto (Account) ermöglicht, dass er - sich geräte- und raumunabhängig im Netz anmelden kann - ein permanentes Arbeitsverzeichnis (Home-Directory) besitzt - sein Zugang kennwortgeschützt ist • Der Zugriff auf Schülerdaten ist möglich - über den Explorer - damit er Dateien verteilen und holen kann (Stundensicherung) • Kontrolle der Druckaufträge ist möglich - über den Druckmanager • Zugriff auf Netzressourcen wie - Programme - Drucker - Internetdienste - CD-Rom-Server 3.3.2 Benutzertyp Schüler (Plaetze) • Kein persönliches Benutzerkonto (Account) bedeutet, dass er - sich nur platz- und raumabhängig im Netz anmelden kann - ein eigenes Arbeitsverzeichnis nur für die Dauer der Netzanmeldung besitzt - keinen Zugriff auf Arbeitsverzeichnisse anderer Plaetze hat - vom Lehrer kontrolliert werden kann - seine Daten am Stundenende sichern sollte 3 · Benutzerverwaltung 35 • Zugriff auf Netzressourcen wie - Programme - Drucker - Internetdienste - CD-Rom-Server 3.3.3 Bedeutung für den Netzwerk-Verwalter • Relativ einfache Installation • Relativ einfache Verwaltung, da - vergleichsweise wenige Benutzer im Netz existieren (pro Arbeitsplatz wird nur ein Benutzer angelegt; hinzu kommen die Lehrer) - einfache Verzeichnisstruktur (ergibt sich aus der geringen Benutzerzahl) - wenige Arbeitsverzeichnisse (ergibt sich ebenfalls aus der geringen Benutzerzahl) - keine Verwaltung von Schülerkennwörtern - Installation ist unabhängig vom Schuljahr • Relativ einfache Erweiterbarkeit des Netzes, wenn - zusätzliche Rechner oder Räume ins Netz integriert werden sollen - neue Technologien angeboten werden sollen (z. B. Internetdienste oder Multimedia) 3.3.4 Die Verzeichnisstruktur Es werden folgende Verzeichnisse auf dem Server benötigt: Verzeichnis Verwendungszweck D:\users Hier werden alle gruppen- und benutzerbezogenen Verzeichnisse erstellt. D:\users\Lehrer Hier werden alle Basisverzeichnisse der Informatik-Lehrer erstellt (Arbeitsverzeichnisse der Lehrer). D:\users\Plaetze Hier werden alle Basisverzeichnisse der Arbeitsstationen erstellt (Arbeitsverzeichnisse der Schüler). D:\users\Tausch Dient dem Datenaustausch der Schüler untereinander und dem Datenaustausch zwischen Lehrer und Schülern. C:\Prog Hier werden alle Anwendungsprogramme für die Benutzer installiert (siehe dazu Thema Netzinstallation von Anwendungsprogrammen). 3 · Benutzerverwaltung 36 Zusammenfassung Somit wird auf dem Server • jedem Lehrer ein persönliches Arbeitsverzeichnis zur Verfügung gestellt. Das bedeutet, dass kein anderer Lehrer auf dieses Verzeichnis zugreifen kann. Die Namen der Arbeitsverzeichnisse entsprechen den Lehrernamen bzw. -kürzeln. • jeder Arbeitsstation ein Verzeichnis zur Verfügung gestellt. Das bedeutet, dass alle Schüler bzw. alle Benutzer, die an derselben Arbeitsstation arbeiten, auch das selbe Arbeitsverzeichnis benutzen. Es gibt also keine individuelle Datenverwaltung. Die Namen der Verzeichnisse entsprechen den Namen der Arbeitsstationen bzw. der PCs. • jedem Lehrer und jeder Arbeitsstation ein gemeinsames Tauschverzeichnis zur Verfügung gestellt. Das bedeutet, dass alle Schüler und alle Lehrer bzw. alle Benutzer auf dieses Verzeichnis zugreifen und Daten austauschen können. Alle haben auch das Recht zu ändern und zu löschen. Damit zeigt sich die Verzeichnisstruktur im Explorer des Servers folgendermaßen: 1. Melden Sie sich als Administrator am Server an und starten Sie den NT-Explorer. 2. Erstellen Sie die Verzeichnisstruktur nach den beiden obigen Grafiken und vorstehender Tabelle. 3.3.5 Die Benutzerstruktur Unsere Benutzer, die nachher im Netz arbeiten sollen setzen sich neben aus den Administratoren aus zwei Benutzer-Gruppen zusammen: Lehrer und Schüler. 3 · Benutzerverwaltung 37 Da die Schüler sich arbeitsplatzbezogen anmelden, sind deren Arbeitsverzeichnisse schon mit D:\users\Plaetze\p01 ... \p10 vorhanden. Auch ein Verzeichnis zur Aufnahme der Lehrer ist bereits angelegt. Lediglich die Lehrer benötigen noch ihre persönlichen Arbeitsverzeichnisse. Somit ergibt sich folgende Verzeichnisstruktur auf dem Server: Benutzertyp Benutzerkonto Nötige Verzeichnisse auf dem Server Lehrer Schüler (Plaetze) Fre D:\users\Lehrer\Fre Hol D:\users\Lehrer\Hol ..xy.. D:\users\Lehrer\..xy.. p01 D:\users\Plaetze\p01 p02 D:\users\Plaetze\p02 : p10 Alle Lehrer und alle Schüler : D:\users\Plaetze\p10 D:\users\Tausch C:\Prog (Plaetze) Erstellen Sie auf dem Server mit dem NT-Explorer eine Verzeichnisstruktur für die Arbeitsverzeichnisse der Lehrer. Verwenden Sie dabei entweder Ihre eigenen Namen oder Ihre schulinternen Kürzel. Achten Sie aber darauf, dass Sie einheitlich bei allen Lehrern arbeiten: entweder verwenden Sie nur das Lehrerkürzel oder stets den ganzen Namen. Der Verzeichnisname wird später auch der Anmelde-Name dieses Lehrers! 3 · Benutzerverwaltung 3.3.6 38 Anlegen der Benutzer 3.3.6.1 Erstellen der Benutzerkonten für Lehrer Bislang kennt unser Netz nur den Administrator und einen Gast als Benutzer. Damit weitere Benutzer im Netz arbeiten können, müssen diese in den Benutzer-Manager am Server eingetragen werden. Auch die NT-Arbeitsstationen haben einen Benutzer-Manager, der allerdings von uns nicht benutzt wird! Wir tragen die Benutzer nicht für einzelne Arbeitsstationen ein, sondern für die gesamte Domäne! Folglich ist dies nur am Server zu erledigen. Um neue Benutzer anzulegen benötigen wir den Benutzer-Manager für Domänen am Server (START – PROGRAMME – VERWALTUNG (ALLGEMEIN) – BENUTZER-MANAGER FÜR DOMÄNEN). 1. Öffnen Sie dazu den Benutzermanager am Server und wählen Sie die Option BENUTZER – NEUER BENUTZER. Neuen Benutzer anlegen 2. Es erscheint das folgende Menü, in das Sie bitte den ersten Lehrer eintragen. Beachten Sie dabei, dass Sie als Benutzername nun den gleichen Namen eintragen wie das schon angelegte Arbeitsverzeichnis! Benutzername muss eingegeben werden Vollständiger Name ist optional Beschreibung des Benutzers ist optional Benutzer bekommt ein Kennwort Optionen für Kennwort werden gebraucht ! 3 · Benutzerverwaltung 39 3. Bestätigen Sie die Aufnahme des ersten Lehrers mit der Taste Hinzufügen. 4. Geben Sie jetzt nach der gleichen Methode mindestens zwei weitere Lehrer ein. 3.3.6.2 Erstellen der Benutzerkonten für Schüler Da die Schülerkonten mit den Arbeitsplätzen identisch sind, erklärt sich an dieser Stelle die Einfachheit unseres Modells: Alle Schüler werden auf unsere zehn Arbeitsstationen verteilt. Folglich benötigen wir keinen Account pro Schüler, sondern pro Arbeitsstation. Õ Ein Schüler, der an Arbeitsstation p01 sitzt, meldet sich mit dem Benutzernamen p01 an. Der Schüler an p02 meldet sich mit p02 an etc. Legen Sie die zehn Arbeitsstationen p01 bis p10 als Benutzer an. Verfahren Sie dabei wie bei den Lehrern. Beachten Sie jedoch eine Änderung: Die Schüler bekommen kein Kennwort! Da sich bei unserem Modell mehrere Schüler eine Arbeitsstation teilen, müsste das Kennwort öffentlich bekannt gemacht werden und dann wäre es sinnlos! Damit sich nicht ein Schüler ein Kennwort vergibt, muss die Option Benutzer kann Kennwort nicht ändern angekreuzt sein! Benutzername muss eingegeben werden Vollständiger Name ist optional Beschreibung des Benutzers ist optional Benutzer bekommt kein Kennwort Optionen für Kennwort werden gebraucht ! Erstellen Sie weitere Benutzerkonten, indem Sie einen Schüler komplett mit allen Eigenschaften anlegen, danach auf die Taste Hinzufügen und Schließen klicken und nun im Benutzer-Manager diesen Schüler markieren und anschließend die F8-Taste drücken. Nun muss nur noch der Benutzername und die Beschreibung geändert werden. 3 · Benutzerverwaltung 3.3.7 40 Die Gruppenstruktur Wie in den Kapiteln 1 und 2 schon aufgezeigt, unterscheidet Windows NT zwischen zwei Arten von Gruppen: den globalen und den lokalen Gruppen. Für unser Modell brauchen wir folgende Gruppendefinitionen: Alle Benutzer Werden Mitglied in globalen Gruppen Alle Lehrer Werden Mitglied in G_Lehrer Alle Schüler Werden Mitglied in G_Schueler Globale Gruppen Werden Mitglied in lokalen Gruppen G_Lehrer Werden Mitglied in L_Lehrer G_Schueler Werden Mitglied in L_Schueler Lokale Gruppen Werden Berechtigungen erteilt L_Lehrer Werden Verzeichnisberechtigungen erteilt L_Schueler Werden Verzeichnisberechtigungen erteilt Lokale Gruppen Benutzernamen Kennwort Basisverzeichnisse L_Lehrer Fre Mit Kennwort D:\users\Lehrer\Fre Hol D:\users\Lehrer\Hol : : ..xy.. L_Schueler P01 D:\users\Lehrer\..xy.. Ohne Kennwort D:\users\Plaetze\p01 P02 D:\users\Plaetze\p02 : : P10 D:\users\Plaetze\p10 3 · Benutzerverwaltung 41 3.3.7.1 Das Erstellen von Benutzergruppen Gruppen werden, wie auch unsere Benutzer, mit dem Benutzer-Manager für Domänen am Server erstellt (START – PROGRAMME – VERWALTUNG (ALLGEMEIN) – BENUTZERMANAGER FÜR DOMÄNEN). Neue globale Gruppe anlegen 1. Starten Sie den Benutzer-Manager für Domänen am Server. 2. Legen Sie zunächst die globale Gruppe G_Lehrer an. 3. Fügen Sie dieser neuen globalen Gruppe alle Lehrer hinzu (in unserem Beispiel die Lehrer Fre und Hol). 4. Legen Sie dann die lokale Gruppe L_Lehrer an. 5. Fügen Sie dieser lokalen Gruppe die Gruppe G_Lehrer hinzu. 3 · Benutzerverwaltung 42 6. Legen Sie nun die globale Gruppe G_Schueler an. Beachten Sie dabei, dass G_Schueler ohne Umlaut geschrieben wird! 3.3.7.2 Kontrolle der Gruppenmitgliedschaften der Benutzer Wenn sich bei den nun erteilten Gruppenzuweisungen ein Fehler eingestellt hat, hat dies später meist ärgerliche Konsequenzen. Deshalb soll nun die Gruppenzuweisung nochmals kontrolliert werden. 1. Kontrollieren Sie, ob alle Lehrer Mitglied in der Gruppe G_Lehrer sind. Õ Dies erreichen Sie durch erneutes Aufrufen des Benutzer-Managers auf dem Server. Klicken Sie im unteren Teil des Fensters auf G_Lehrer doppelt. Nun sehen Sie die Mitglieder von G_Lehrer. 2. Schließen Sie dieses Fenster durch die Taste Abbrechen. 3. Doppelklicken Sie auf einen Lehrer (beispielsweise Lehrer Fre), damit sich das Eigenschaftsfenster von Lehrer Fre öffnet. 4. Klicken Sie nun auf die Taste Gruppen. Es öffnet sich ein weiteres Fenster, in dem die Mitgliedschaften von Lehrer Fre abgelesen werden können. 3 · Benutzerverwaltung 43 Õ Wir sehen, dass Lehrer Fre bereits in zwei Gruppen Mitglied ist: er ist zunächst Domänen-Benutzer und in der globalen Gruppe G_Lehrer. In diesen Gruppen ist Lehrer Fre Mitglied In diesen Gruppen ist Lehrer Fre nicht Mitglied 5. Kontrollieren Sie nun auch die lokale Gruppe L_Lehrer, die Gruppen G_Schueler und L_Schueler sowie die Benutzer p01 ... p10. Achten Sie hierbei stets auf die richtige Gruppenzugehörigkeit der Benutzer! Alle Benutzer p01 bis p10 müssen Mitglied in der Gruppe G_Schueler sein. Der Administrator darf nicht Mitglied in globalen Gruppen sein, weil er sonst durch die später zu treffenden Systemrichtlinien in seinen Rechten eingeschränkt würde! Zusammenfassung • Jeder Benutzer wird unter Windows NT mit bestimmten Berechtigungen ausgestattet (z. B. Zugriffsberechtigungen auf bestimmte Verzeichnisse des Servers). Wenn mehrere Benutzer die gleichen Berechtigungen erhalten sollen, dann ist es sinnvoll eine Benutzergruppe zu erstellen und dieser Benutzergruppe Berechtigungen zu erteilen. Aus 3 · Benutzerverwaltung 44 diesem Grunde haben wir die globalen Benutzergruppen G_Lehrer, G_Schueler und die lokalen Gruppen L_Lehrer und L_Schueler angelegt. • Durch die Mitgliedschaft in der globalen Gruppe G_Lehrer kann diese Gruppe auch in anderen Domänen Berechtigungen erhalten. In unserem Modell ist ein Domänenwechsel nicht vorgesehen, da wir nur mit einer Domäne arbeiten. • Dennoch sollte man grundsätzlich so vorgehen: - Globale Gruppen dienen dazu, Benutzer zusammenzufassen. - Lokale Gruppen der Domäne können (auch mehrere) globale Gruppen aufnehmen und werden dazu benutzt, Berechtigungen in der Domäne zu vergeben. • Unsere globale Gruppe G_Lehrer soll nur dazu dienen, in verschiedenen lokalen Gruppen aufgenommen werden zu können (bei uns in die lokale Gruppe L_Lehrer). Berechtigungen werden unserer globalen Gruppe G_Lehrer nicht erteilt. Berechtigungen bekommt nur die lokale Gruppe L_Lehrer. 3.3.8 Verzeichnisfreigaben und Verzeichnisberechtigungen Damit ein Benutzer von einer Arbeitsstation aus auf ein Verzeichnis auf dem Server zugreifen kann, muss dieses Verzeichnis freigegeben sein. Eine Verzeichnisfreigabe kann mit dem NT-Explorer gemacht werden. Klicken Sie mit der rechten Maustaste das freizugebende Verzeichnis an Als Freigabename schlägt NT stets den letzten Teil des Pfades vor. In unserem Fall ist dies p04. Als Freigabename wird p04 vorgeschlagen. 3 · Benutzerverwaltung 45 Es ist zu empfehlen, durch Voranstellen von F_ zu den vorgeschlagenen Freigabenamen eine Freigabe eindeutig zu kennzeichnen. Somit sehen wir immer sofort, dass es sich hierbei um eine Freigabe handelt. Ein freigegebenes Verzeichnis unter Windows NT wird standardmäßig für die Benutzergruppe Jeder freigegeben. Damit kann nun jeder Benutzer auf dieses Verzeichnis zugreifen. Die Freigabeberechtigung bleibt auf der Standardfreigabe Vollzugriff für JEDER Ein Benutzer z. B. p01 kann mit der NT-Explorer-Option Netzwerkumgebung alle freigegebenen Verzeichnisse finden (z. B. auch das von p02) und hat auch Zugriff auf dort abgelegte Daten. Das soll so jedoch nicht sein. Deshalb ist es wichtig, dass Verzeichnisberechtigungen auf die entsprechenden Benutzer und auf den Administrator (der ja grundsätzlich überall zugreifen können soll) beschränkt werden. Bei unserem Modell soll auch noch der Lehrer den Zugriff auf alle Schülerarbeitsverzeichnisse erhalten. Diese Einschränkungen nehmen wir bei den Verzeichnisberechtigungen (Registerkarte Sicherheit) vor. Die Freigabeberechtigung für Jeder (Registerkarte Freigabe) bleibt unverändert. Hier die Gruppe JEDER entfernen und die verzeichnisberechtigten Benutzer und Gruppen hinzufügen 3 · Benutzerverwaltung 46 1. Melden Sie sich am Server als Administrator an und starten Sie den NT-Explorer. 2. Erstellen Sie alle notwendigen Freigaben für die erstellte Verzeichnisstruktur. Õ Klicken Sie dazu mit der rechten Maustaste auf das entsprechende Verzeichnis, wählen die Option Freigabe und geben die folgenden Verzeichnisse zur Nutzung im Netz frei: - D:\users\Lehrer - D:\users\Plaetze - D:\users\Tausch - D:\users\Lehrer\Fre - D:\users\Lehrer\Hol - D:\users\Plaetze\p01 ... D:\users\Plaetze\p10 - C:\Prog 3. Melden Sie sich nun an einer Arbeitsstation als Lehrer bzw. Schüler an und testen Sie deren Zugriffsmöglichkeiten auf die Verzeichnisstruktur. Õ Es gibt zwei Möglichkeiten die Freigaben zu finden: - Durch Doppelklick auf das Symbol Netzwerkumgebung auf dem Desktop und anschließender Auswahl des Servers - Durch die Option Netzwerkumgebung im NT-Explorer. Auch hier muss der Server angeklickt werden. 4. Melden Sie sich nun wieder als Administrator am Server an und versehen sie alle freigegebenen Verzeichnisse mit den folgenden Verzeichnisberechtigungen (siehe auch Grafik oben): Die Lehrer erhalten - Die Berechtigung Ändern auf das eigene Arbeitsverzeichnis (D:\users\Lehrer\..xy..) - Die Berechtigung Ändern auf die Arbeitsverzeichnisse aller Schüler (D:\users\Plaetze) - Die Berechtigung Ändern auf das Austauschverzeichnis (D:\users\Tausch) - Die Berechtigung Lesen auf das Verzeichnis (C:\prog) Die Schülerarbeitsplätze erhalten - Die Berechtigung Ändern auf das eigene Arbeitsverzeichnis (D:\users\Plaetze\p01 ... D:\users\Plaetze\p10) - Die Berechtigung Ändern auf das Austauschverzeichnis (D:\users\Tausch) - Die Berechtigung Lesen auf das Verzeichnis (C:\prog) 3 · Benutzerverwaltung 47 5. Melden Sie sich nun wieder an einer Arbeitsstation als Lehrer bzw. Schüler an und testen Sie die eben vergebenen Zugriffsmöglichkeiten von Lehrern und Schülern auf die Verzeichnisstruktur. 3.3.9 Freigaben mit Laufwerksverbindungen Nun sollen noch einige dieser Freigaben mit Laufwerksbuchstaben verbunden werden. Daraus resultiert, dass sich ein Benutzer keine Gedanken mehr über den Speicherort seiner Dateien machen muss, solange er diese in seinem Arbeitsverzeichnis H: findet. Außerdem erreichen wir dadurch – nach weiteren Einstellungen – dass jeder Benutzer sein Arbeitsverzeichnis automatisch als Speicherort der Office-Anwendungen zur Verfügung gestellt bekommt. Bei unserer Installation bietet sich an, folgende Freigaben mit Laufwerksbuchstaben zu verbinden: H: Das freigegebene Arbeitsverzeichnis (D:\users\Plaetze\..xy..) K: Das freigegebene Verzeichnis für Programminstallationen (C:\Prog) L: Das freigegebene Verzeichnis mit allen Schülerarbeitsplätzen (D:\users\Plaetze) N: Das freigegebene NETLOGON-Verzeichnis (C:\Winnt\system32\repl\import\scripts) R: Das freigegebene CD-ROM-Laufwerk des Servers T: Das freigegebene Austauschverzeichnis (D:\users\Tausch) Danach würde der Arbeitsplatz folgendermaßen aussehen: Freigegebene Server-Ressourcen. Ihnen wurden in einem Anmeldeskript (Batchdatei Schueler.bat) Laufwerksbuchstaben zugewiesen Diese Verbindungen können auf mehrere Arten hergestellt werden: eine Möglichkeit ist durch manuelle Verbindung (siehe hierzu Kapitel 1 und 2), eine weitere Möglichkeit ist durch Batch-Dateien, so genannte Anmeldeskripte. 3 · Benutzerverwaltung 48 Diese Batch-Dateien müssen im freigegebenen Verzeichnis NETLOGON (was physikalisch den Speicherort C:\Winnt\system32\repl\import\scripts bedeutet) stehen, damit sie beim Anmelden eines Benutzers gefunden und ausgeführt werden. Da Lehrer und Schüler unterschiedliche Laufwerksverbindungen zur Verfügung gestellt bekommen sollen, benötigen wir ein Anmeldeskript für Lehrer und eines für Schüler. Der Administrator erhält kein Anmeldeskript, da er beispielsweise auch kein Arbeitsverzeichnis besitzt. Er hat sowieso Zugriff auf alle Dateien und nicht nur auf Freigaben. Unser Anmeldeskript für die Lehrer nennen wir der Übersichtlichkeit wegen LEHRER.BAT und enthält folgende net use ... Befehle: Net use * /d /y Net use H: \\s1\F_%username% Net use K: \\s1\F_Prog Net use L: \\s1\F_Plaetze Net use N: \\s1\netlogon Net use R: \\s1\F_CDServer Net use T: \\s1\F_Tausch Unser Anmeldeskript für Schüler nennen wir analog dazu SCHUELER.BAT und enthält folgende net use ... Befehle: Net use * /d /y Net use H: \\s1\F_%username% Net use K: \\s1\F_Prog Net use N: \\s1\netlogon Net use R: \\s1\F_CDServer Net use T: \\s1\F_Tausch 1. Melden Sie sich als Administrator am Server an. 2. Erstellen Sie mit dem Editor die ASCII-Dateien LEHRER.BAT und SCHUELER.BAT mit den oben aufgeführten net use ... Befehlen. 3. Speichern Sie beide Dateien in NETLOGON (C:\Winnt\system32\repl\import\- scripts) ab. 3 · Benutzerverwaltung 49 Damit diese beiden Batch-Dateien beim Anmelden eines Benutzers im Netz auch ausgeführt werden, müssen sie bei den jeweiligen Benutzern im Benutzer-Manager für Domänen auf dem Server eingetragen werden. 4. Starten Sie den Benutzermanager für Domänen auf dem Server 5. Klicken Sie auf einen Benutzer doppelt, so dass sich das Fenster mit den Benutzereigenschaften öffnet. 6. Klicken Sie auf die Taste Profil und tragen den Namen der Batch-Datei unter Anmeldeskriptname ein. 7. Testen Sie nun die Anmeldeskripte bei Lehrern und Schülern durch einzelnes Anmelden. In der Netzwerkumgebung sollten nach dem Anmelden am Netz alle oben aufgezeigten logischen Laufwerksbuchstaben zur Verfügung stehen. 3.4 Benutzerprofile 3.4.1 Lokale Benutzerprofile Wenn ein Benutzer sich zum erstenmal im Netz anmeldet, dann wird für ihn ein so genanntes Benutzerprofil erstellt und lokal auf der Arbeitsstation abgelegt. Dieses Profil beinhaltet alle Einstellungen, die der Benutzer auf dieser Arbeitsstation vorgenommen hat wie z. B. die Art des Bildschirmschoners, die Einstellungen der Desktopfarben, die Desktopverknüpfungen sowie die Einträge im Menü START – PROGRAMME und Einiges mehr. Es wird zusammengestellt aus den beiden Verzeichnissen C:\Winnt\Profiles\Default User und C:\Winnt\Profiles\All Users Das Profil wird nach dem ersten Anmelden unter dem Benutzernamen abgelegt in C:\Winnt\Profiles\..xy.. 3 · Benutzerverwaltung 50 Im Menü START – PROGRAMME kann dies abgelesen werden: Der obere Teil des Menüs wird aus dem Verzeichnis C:\Winnt\Profiles\Default User eingelesen. Der untere Teil des Menüs wird immer lokal aus dem Verzeichnis C:\Winnt\Profiles\All Users gelesen. In C:\Winnt\Profiles\p01 wird beim ersten Systemstart der Arbeitsstation ein eigenes Profil für Benutzer p01 lokal abgelegt. 3 · Benutzerverwaltung 3.4.2 51 Serverbasierte Benutzerprofile Dieses lokal abgelegte Benutzerprofil kann nun auf den Server kopiert werden, damit es vor dem Zugriff des Benutzers geschützt werden kann, und damit es beim Neustart unverändert zur Verfügung steht, auch wenn der Benutzer während einer Sitzung Änderungen an seinem Profil vornimmt. Diese Änderungen werden dann nur lokal abgespeichert und beim erneuten Anmelden wieder mit dem serverbasierten Profil überschrieben. 1. Legen Sie auf dem Server ein Verzeichnis D:\Serverprofile an 2. Geben Sie dieses Verzeichnis unter dem Freigabenamen F_Serverprofile frei und lassen Sie die Standards der Verzeichnisberechtigungen unverändert. 3. Definieren Sie bei jedem Benutzer den Pfad für das Benutzerprofil auf \\S1\F_Serverprofile. Õ Starten Sie hierzu den Benutzer-Manager für Domänen und markieren Sie bei gedrückter STRG-Taste alle Lehrer und alle Schüler (nicht den Administrator!) Klicken Sie dann im Menü auf Benutzer – Eigenschaften und wählen dann die Taste Profil. Tragen Sie unter Pfad für Benutzerprofil den UNC-Pfad \\S1\F_Serverprofile\%username% ein. Die Variable %username% steht für den jeweiligen Benutzer und wird durch Klicken auf die OK-Taste automatisch eingelesen. Zur Kontrolle rufen Sie einfach einen Benutzer erneut auf. Meldet sich der Benutzer an der Arbeitsstation ab, dann wird das lokal gespeicherte Profil auf den Server kopiert. Die folgende Grafik zeigt das Profil von Benutzer p01 auf dem Server in D:\Serverprofile. 3 · Benutzerverwaltung 52 Wenn die Datei NTUSER.DAT in NTUSER.MAN umbenannt wird, dann kann der Benutzer keinerlei Veränderungen an der Systemkonfiguration in sein Benutzerprofil zurückschreiben. 3.5 Serverbasierte Verknüpfungen auf dem Desktop Um einige Freigaben direkt auf dem Desktop der Arbeitsstationen zur Verfügung zu haben, können diese als Verknüpfung dort abgelegt werden. Der Desktop sieht dann beispielsweise folgendermaßen aus: 1. Drücken Sie die rechte Maustaste auf dem Desktop. Wählen Sie den Menüpunkt NEU - VERKNÜPFUNG. 3 · Benutzerverwaltung 53 2. Tragen Sie einen im Anmeldeskript vergebenen Laufwerksbuchstaben in die Befehlszeile ein. 3. Am Bildschirm erscheint der Name der Verknüpfung. Bestätigen Sie diesen mit der Taste Fertigstellen. 4. Wählen Sie für die auf dem Desktop angelegte Verknüpfung ein neues Symbol. Õ Markieren Sie dazu das Verknüpfungssymbol und betätigen Sie die rechte Maustaste. Wählen Sie den Menüpunkt EIGENSCHAFTEN – VERKNÜPFUNG und anschließend die Taste Anderes Symbol. 3 · Benutzerverwaltung 54 5. Prüfen Sie die Funktion der Desktop-Verknüpfungen, indem Sie die Verknüpfungen mit der Maus doppelt anklicken. 6. Starten Sie jeden Benutzer einmal und erstellen Sie für alle Laufwerksverbindungen, die im Anmeldeskript erstellt wurden eine serverbasierte Verknüpfung auf dem Desktop. 4 · Netzinstallation von Anwendungsprogrammen 4 55 Netzinstallation von Anwendungsprogrammen 4.1 Vorbemerkungen 4.1.1 Voraussetzungen 1. Windows NT Server und Windows NT Workstation sind bereits ordnungsgemäß und funktionsfähig installiert. 2. Auf dem Server existiert ein Ordner mit dem Namen C:\PROG, in den die Programme von der Installations-CD kopiert werden können. Dieser Ordner muss freigegeben sein. (Der Freigabename in unserem Beispiel ist F_PROG) 3. Auf den Arbeitsstationen ist eine Laufwerksverbindung zu diesem Installationsordner hergestellt und unter dem Netzlaufwerksbuchstaben K: verbunden. Bislang haben wir die Laufwerksbuchstaben nur durch das Anmeldeskript verbunden. Da die nun folgenden Programminstallationen jedoch nur der Administrator machen sollte und dieser kein Anmeldeskript besitzt, muss dieses Netzlaufwerk erst verbunden werden! Verfahren Sie dazu wie folgend beschrieben: 1. Melden Sie sich als Administrator an einer Arbeitsstation an. 2. Klicken Sie mit der rechten Maustaste auf die Netzwerkumgebung auf dem Desktop und wählen Sie die Option Netzlaufwerk verbinden. 4 · Netzinstallation von Anwendungsprogrammen 56 3. Geben Sie im erscheinenden Fenster folgende Angaben ein: Laufwerk: K: Pfad: \\S1\F_Prog Lassen Sie das Feld Verbinden als: leer, kreuzen Sie aber bitte das Feld Verbin- dung beim Start wiederherstellen an, damit beim nächsten Anmelden des Administrators an dieser Arbeitsstation die Laufwerksverbindung wieder besteht. 4.1.2 Vorgehensweise bei der Installation von Anwendungsprogrammen 1. Zunächst erfolgt die sogenannte Administratorinstallation. Dazu wird die zu installierende CD in das CD-Laufwerk der Arbeitsstation eingelegt, an der gerade der Laufwerksbuchstabe K: mit F_Prog auf dem Server verbunden wurde. Danach wird das SetupProgramm auf der CD mit dem Parameter /A gestartet. Dies kann nicht mit dem NT-Explorer geschehen, da bei einem Doppelklick auf SETUP.EXE die Eingabe des Parameters nicht möglich ist. Verwenden Sie deshalb zum Starten des Setup-Programms den Befehl START – AUSFÜHREN. Anmerkung: Bei der Administratorinstallation werden alle Dateien auf der CD entpackt und auf den Server in C:\Prog kopiert. Dieser Kopiervorgang ist nur ein einziges Mal im gesamten Netz notwendig! 2. Danach kann das Setup-Programm an jeder einzelnen Arbeitsstation gestartet werden (Clientinstallation). Dabei werden nur wenige, an der Arbeitsstation lokal benötigte Dateien auf die einzelnen Arbeitsstationen kopiert, und die notwendigen lokalen Registrierungseinträge vorgenommen. Ablauf der Installationsschritte 4 · Netzinstallation von Anwendungsprogrammen 57 Zunächst soll „zur Übung“ MS Works 3.0 und anschließend MS Office 97 serverbasiert installiert werden. 4.2 Installation von MS Works 3.0 4.2.1 Administratorinstallation von MS Works 3.0 1. Melden Sie sich als Administrator an einer Arbeitsstation an. 2. Legen Sie die erste Diskette in das Diskettenlaufwerk an dieser Arbeitsstation. 3. Starten Sie das Setup-Programm von der Diskette (START – AUSFÜHREN) mit dem Befehl A:\SETUP /A. 4. Als Zielverzeichnis wählen Sie das Programmverzeichnis K: und überschreiben Sie den von MS Works vorgeschlagenen Pfad durch WORKS30 5. MS Works legt sehr viele, gemeinsam genutzte Dateien in einem separaten Verzeichnis ab. Bestätigen sie den Vorschlag von MS Works für das Verzeichnis. 4 · Netzinstallation von Anwendungsprogrammen 58 6. Danach erscheint die Nachfrage, ob das Verzeichnis erstellt werden soll. Bestätigen Sie dieses Fenster. 7. Bestätigen Sie auch den nächsten Dialog: \ \ S1 \ F_ PROG 8. Nun erscheint die Auswahlmöglichkeit die bestimmt, wo der größte Anteil der Daten abgelegt werden soll. Bestätigen Sie den Vorschlag von Works, die Dateien auf dem Server zu speichern, mit OK. 9. Danach beginnt das Kopieren der einzelnen Dateien von den Disketten. Sie werden aufgefordert, nacheinander die Disketten einzulegen. Damit ist die Administratorinstallation abgeschlossen! 4 · Netzinstallation von Anwendungsprogrammen 4.2.2 59 Clientinstallation von MS Works 3.0 1. Melden Sie sich als Administrator an der Arbeitsstation an, an der der Laufwerksbuchstabe K: mit der Freigabe F_Prog auf dem Server verbunden ist 2. Starten Sie das Setup-Programm auf dem Server. 3. Bestätigen Sie die Frage nach dem Zielverzeichnis mit OK. 4. Nach den üblichen Dialogen und Hinweisen kommt der nachstehende, entscheidende Dialog. Wählen Sie hier die Schaltfläche Arbeitsstation-Installation. Anmerkung: Die anderen Schaltflächen führen zu einer Installation von MS Works auf der lokalen Festplatte 4 · Netzinstallation von Anwendungsprogrammen 60 Hiermit ist die Installation von MS Works 3.0 auf der ersten Arbeitsstation abgeschlossen. Die Clientinstallation muss an jeder Arbeitsstation wiederholt werden! Anmerkung: Beachten Sie, dass wir bei der Administratorinstallation als Zielpfad K:\Works30 eingegeben haben, auf den Arbeitsstationen jedoch die Programmversion nicht in den Verzeichnispfad aufgenommen haben (C:\MSWorks). Dies hat folgenden Vorteil: Neuere Programmversionen werden ebenso durch die Administratorinstallation auf K:\ kopiert. Eine neuere Version von MS Works würde wieder in den selben Pfad kopiert und dabei die Version 3.0 überschreiben. Sollten sich später Probleme mit der Folgeversion herausstellen (wie manchmal bei MS Works 4.5) müsste die Administratorinstallation von MS Works 3.0 wiederholt werden. Dieser Aufwand lässt sich durch die Aufnahme der Programmversion in die Pfadangabe einsparen. Bei der Clientinstallation sieht dies anders aus: Den Benutzern wird vom Administrator sicherlich stets die neueste Programmversion auf den Arbeitsstationen zur Verfügung gestellt, weshalb der lokale Pfad ohne Versionsnummer eingegeben wird. Sollte es einen schulinternen Grund geben, dass mehrere Programmversionen des selben Programms an den Arbeitsstationen zur Verfügung stehen müssen, bedeutet dies natürlich eine Ausnahme zum eben beschriebenen Verfahren. 4 · Netzinstallation von Anwendungsprogrammen 61 4.3 Installation von MS Office 97 4.3.1 Administratorinstallation von MS Office 97 1. Melden Sie sich an der Arbeitsstation, an der der Laufwerksbuchstabe K: mit der Freigabe F_Prog des Servers verbunden wurde, als Administrator an. 2. Legen Sie die CD von MS Office 97 in das CD-Laufwerk der Arbeitsstation, und starten Sie das Setup-Programm von der CD über START - AUSFÜHREN. 3. Geben Sie den Befehl E:\SETUP /A ein. Anmerkung: E:\ ist hier der Laufwerksbuchstabe des lokalen CD-Laufwerks unserer Arbeitsstation. 4. Wählen Sie den Programmordner K: als Zielordner für die Netzinstallation aus. Nehmen Sie auch hier wieder die Programmversion in die Pfadangabe auf. K:\Office97 Beachten Sie, dass der Pfadname nicht länger als acht Zeichen sein darf. Dies mag unter MS Office 97 etwas verwundern, liegt jedoch an der 16-Bit-Installationsroutine. 4 · Netzinstallation von Anwendungsprogrammen 62 5. Bestätigen Sie zur Erzeugung des Ordners den folgenden Dialog. ‘‘K:\Office97‘‘ Um diese Einschränkung der acht Zeichen zu umgehen, kann der Installationsordner am Server mit dem NT-Explorer erstellt werden und anschließend als Ziel der Administratorinstallation auf der Arbeitsstation gesucht werden. 6. Bestätigen Sie dann den vorgeschlagenen Ordner für die gemeinsamen Applikationen. Anmerkung: Der Installationspfad der MS Office-Applikationen ist der gleiche wie bei MS Works! Da die Applikationen 16-Bit-Anwendungen sind, funktionieren sie auch weiterhin unter MS Works 3.0. 7. Im Folgenden werden die Pfade der gemeinsamen Dateien angezeigt. Diese vorgeschlagenen Pfade sind in der Regel zu bestätigen (der Name des Servers in unserem Beispiel ist \\S1). 4 · Netzinstallation von Anwendungsprogrammen 63 \\S1\F_Prog 8. Nun muss schließlich entschieden werden, ob sich die meisten gemeinsamen Dateien auf dem Server oder auf der lokalen Festplatte jeder einzelnen Arbeitsstation befinden sollen. Anmerkung: Zwar werden auch bei einer serverbasierten Installation zahlreiche Dateien lokal gespeichert, jedoch verläuft der Kopiervorgang auf jeder Arbeitsstation etwas schneller ab. Für die spätere Benutzung einer serverbasierten Lösung ergibt sich der Vorteil, dass die meisten Dateien auf dem Server vor unberechtigten Zugriffen gesichert werden können. 9. Abschließend werden alle benötigten Dateien vom CD-Laufwerk der Arbeitsstation auf den Server kopiert. Auf die lokale Festplatte werden an dieser Stelle noch keine Dateien kopiert. 4 · Netzinstallation von Anwendungsprogrammen 4.3.2 64 Clientinstallation von MS Office 97 1. Melden Sie sich als Administrator an der Arbeitsstation an, an der der Laufwerksbuchstabe K: mit der Freigabe F_Prog auf dem Server verbunden ist. 2. Öffnen Sie hier mit dem Explorer den Programmordner K: auf dem Server (Dort liegen die zuvor kopierten und extrahierten Dateien). 3. Starten Sie in diesem Ordner das Programm SETUP.EXE. Daraufhin wird die Setup-Routine gestartet, die die Installation der Programme vom Server auf die Arbeitsstationen vornimmt. 4. Bestätigen Sie den vom Setup-Programm vorgeschlagenen Ordner für die Installation auf der lokalen Festplatte. 4 · Netzinstallation von Anwendungsprogrammen 65 C:\Programme\Microsoft Office 5. Wählen Sie im nachfolgenden Dialog den Schalter Vom Netzwerk starten. C:\Programme\Microsoft Office Anmerkung: Die beiden anderen Schalter würden eine lokale Installation - nur auf dieser Arbeitsstation - bewirken. Verfahren Sie bei der Pfadangabe wie bei der Clientinstallation von MS Works beschrieben. Sollten Sie den Pfad ändern, müssen Sie diese Änderung bei jeder Nachinstallation oder Änderung der bestehenden Installation angeben. 6. Nach dem Kopieren von ca. 15 MByte ist die lokale Installation auf der ersten Arbeitsstation abgeschlossen. Auf diese lokale Installation kann nicht verzichtet werden und muss nun an jeder Arbeitsstation wiederholt werden! 4 · Netzinstallation von Anwendungsprogrammen 66 4.4 Anpassung der einzelnen Office-Komponenten Mit den nächsten Schritten soll erreicht werden, dass jeder Benutzer bei den Befehlen „Datei, Öffnen“ oder „Datei, Speichern“ seinen „persönlichen“ Ordner H:\ auf dem Server als Standardordner angeboten bekommt. 4.4.1 Anpassungen für MS Word 97 4.4.1.1 Einrichten der Arbeitsstations-Verzeichnisse für die Benutzer Bei unserer Installation existiert „nur“ für jede Arbeitsstation ein Arbeitsstationsordner unter dem Pfad D:\users\Plaetze auf der Festplatte des Servers. Vor Durchführung der nächsten Schritte muss nun kontrolliert werden, ob folgende Voraussetzungen auf dem Server erfüllt sind. Sollte dies nicht der Fall sein, müssen diese nachgeholt werden. 1. Der Ordner D:\users\ muss auf dem Server eingerichtet sein. 2. Dieser Ordner muss unter dem Namen F_USERS freigegeben sein. 3. Im Ordner D:\users\ existieren zwei weitere Ordner mit den Namen Plaetze und Lehrer. 4. Im Ordner D:\users\Plaetze existiert für jede Arbeitsstation ein weiterer Ordner (p01 ... p10). 5. Im Ordner Lehrer besteht für jeden Lehrer ein weiterer Ordner mit dessen Namenskürzel. Anmerkung: Dass diese persönlichen Arbeitsordner an den Arbeitsstationen mit dem Laufwerkbuchstaben H:\ verbunden werden, wird durch das Anmeldeskript bestimmt. Nach der Freigabe und der Verbindung des Netzlaufwerks erscheint dieses Laufwerk im NT-Explorer der Arbeitsstation als eigenes Laufwerk mit der Bezeichnung F_USERS auf S1 (H:), wobei S1 hier der Servername ist. 4.4.1.2 Einrichten der Home-Verzeichnisse für MS Word 97 1. Melden Sie sich an einer Arbeitsstation als ein Benutzer (Lehrer oder Schüler) an. 2. Starten Sie nun MS Word 97 an dieser Arbeitsstation. 4 · Netzinstallation von Anwendungsprogrammen 67 3. Öffnen Sie zur Festlegung der Dateiablage das Menü „Extras, Optionen, Dateiablage“. Die voreingestellten Ordner für die Dateiablage werden wie in der folgenden Grafik ersichtlich angezeigt. 4. Nach Klicken der Taste Bearbeiten kann das Laufwerk H:\ eingegeben werden. Anmerkung: Diese Eingabe des Laufwerks H:\ wird von MS Word 97 in den UNC-Pfad umgesetzt. Deshalb erscheint beim erneuten Öffnen des Dateiablagefensters nicht der eben eingegebene Pfad H:\ sondern \\S1\F_USERS\. 4 · Netzinstallation von Anwendungsprogrammen 68 Wenn diese Umsetzung nicht gewünscht wird, müssen die in Kapitel 4.5 beschriebenen Änderungen in der Registrierung vorgenommen werden. Diese Änderung ist jedoch nur nötig, wenn mit mehreren Benutzerprofilen gearbeitet wird. 4.4.2 Anpassungen für MS Excel 97 Hier ist die Anpassung ähnlich wie bei MS Word 97. 1. Starten Sie MS Excel 97 ebenfalls als ein Benutzer (Lehrer oder Schüler). 2. Geben Sie im Dialog „Extras, Optionen, Allgemein“ als Standardarbeitsordner das Laufwerk H:\ ein. Anmerkung: Obwohl MS Excel 97 die Eingabe von H:\ nicht in den UNC-Pfad umsetzt, müssen trotzdem auch für MS Excel 97 in der Registrierungsdatei Änderungen durchgeführt werden (s. hierzu Kapitel 4.5). 4.4.3 Anpassungen für MS Access 97 Gleiches gilt für MS Access 97. Hier muss das Standarddatenbankverzeichnis auf H:\ gesetzt werden. 4 · Netzinstallation von Anwendungsprogrammen 4.4.4 69 Anpassungen für MS PowerPoint 97 Bei MS PowerPoint 97 befindet sich die Einstellung des Home-Laufwerks unter „Extras, Optionen, Weitere“. 4.5 Änderungen an der Registrierungsdatei Um die folgenden Änderungen an der Registrierung durchführen zu können, muss jede Anwendung nach der Installation einmal gestartet worden sein! Öffnen Sie danach die Registrierungsdatei, indem Sie an der Arbeitsstation unter START – AUSFÜHREN den Befehl REGEDIT eingeben. 4.5.1 Änderungen für MS Word 97 Im Pfad \\HKEY_CURRENT_USER\Software\Microsoft\Office\8.0\Word\Options muss der Schlüssel DOC-PATH auf den Wert H:\ gesetzt werden. 1. Klicken Sie sich dazu – vergleichbar wie beim NT-Explorer - durch die Baumstruktur der Registrierung, bis Sie die angegebene Stelle erreicht haben. 2. Doppelklicken Sie nun auf die Angabe DOC-PATH. Geben Sie im hierauf erscheinenden Fenster den Wert H:\ ein. 4 · Netzinstallation von Anwendungsprogrammen 70 2. Des Weiteren muss im Pfad \\HKEY_USERS\S-1-5-21-...\Software\Microsoft\ Office\8.0\Word\Options der Schlüssel DOC-PATH auf den Wert H:\ gesetzt werden. 4.5.2 Änderungen für MS Excel 97 Für MS Excel 97 müssen die folgenden Werte geändert werden: 1. Bei \\HKEY_CURRENT_USER\Software\Microsoft\Office\8.0\Excel\Microsoft\ Excel muss der Schlüssel DEFAULT-PATH auf den Wert H:\ gesetzt werden. 2. Bei \\HKEY_USERS\S-1-5-21-...\Software\Microsoft\Office\8.0\Excel\Microsoft\ Excel muss der Schlüssel DEFAULT-PATH auf den Wert H:\ gesetzt werden. 4.5.3 Änderungen für MS Access 97 Bei \\HKEY_USERS\S-1-5-21-...\Software\Microsoft\Office\8.0\Access\Settings muss der Schlüssel DEFAULT-DATABASE auf den Wert H:\ gesetzt werden. 4 · Netzinstallation von Anwendungsprogrammen 4.5.4 71 Änderungen für MS PowerPoint 97 Für das Programm MS PowerPoint 97 gibt es in der Registrierung keine Schlüssel, die geändert werden müssen. Weitere Informationen und Erklärungen zu den vorzunehmenden Änderungen in der Registrierungsdatei finden sich im Internet auf der Microsoft-Homepage unter microsoft.com/office/ork/appc/appc.htm#ORKappcC3 (Stand: Juli 1998). Seit einigen Monaten wird von Microsoft ein Office-Tool für die deutsche Version von MS Office 97 angekündigt mit dem diese Registrierungseinstellung mit ein paar Mausklicks erledigt werden können. Die englischsprachige Version ist bereits seit mehreren Wochen verfügbar (Stand: Mai 1999). 4.6 Weitere Installationsmöglichkeiten Die Beispiele von MS Works 3.0 und MS Office 97 beziehen sich auf Installationsvorgänge, die vom Hersteller Microsoft als Netzwerk-Setup so vorgesehen und auch zum Teil in den Handbüchern so beschrieben werden. Man befindet sich jedoch häufig in der Situation, dass ein Netzwerk-Setup vom Hersteller gar nicht vorgesehen ist bzw. nicht beschrieben wird. In diesem Fall könnten Sie folgendermaßen vorgehen. 1. Installieren Sie das Programm wie sonst an einer Arbeitsstation, wobei Sie lediglich anstatt der lokalen Platte C:\ ein Verzeichnis innerhalb des freigegebenen Programmverzeichnisses (K:\) auf dem Server wählen. Anmerkung: Der Installationsvorgang erfolgt immer von einer Arbeitsstation! 2. Testen Sie nun die Lauffähigkeit der Installation an der Arbeitsstation. Anmerkung: Wenn das Programm an der ersten Arbeitsstation funktioniert, dann versuchen Sie das Programm von einer zweiten Arbeitsstation aus zu starten, indem sie eine Verknüpfung zum Programm auf dem Server herstellen. 4 · Netzinstallation von Anwendungsprogrammen 72 3. Testen Sie alle Funktionen, die das Programm bietet. Wenn Sie Glück haben, dann funktioniert die Installation schon. Dies ist dann der Fall, wenn sie ein Programm einsetzen, das alle Dateien im eigenen Programmverzeichnis ablegt und keine umfangreichen Änderungen an der Registrierung vornimmt. Vielleicht erhalten sie auch Fehlermeldungen, dass bestimmte DLL-Dateien zur Programmausführung benötigt werden, dann könnten Sie diese DLL-Dateien in das Programmverzeichnis der lokalen Windows-Installation kopieren. Sollte das nicht klappen, könnten Sie das Programm separat von einer zweiten Arbeitsstation wieder in das gleiche Programmverzeichnis wie zuvor auf dem Server zu installieren. Ansonsten kann vielleicht die nachfolgend beschriebene Vorgehensweise weiterhelfen. 4.6.1 Vorgehensweise, wenn kein explizites Netzwerk-Setup vorgesehen ist Ist ein Netzwerksetup vom Hersteller vorgesehen? JA: - Befolgen Sie die Anweisungen des Herstellers NEIN: - Versuchen Sie eine Netzinstallation wie bei einer lokalen Installation. Anstatt Laufwerk C: wählen Sie Laufwerk K: Können Sie das Programm nun vom Client starten? NEIN: - Das Programm ist nicht netzlauffähig! - Lokal installieren! JA: - Erstellen Sie von einem anderen Client eine Verknüpfung zum Server. Starten Sie das Programm. Können Sie das Programm auch vom zweiten Client aus starten? JA: - Starten Sie das Programm von weiteren Clients aus! NEIN: - Versuchen Sie notwendige DLL's, Ini- und Registrierungseinträge von Hand zu kopieren oder nachzutragen! Können Sie nun das Programm vom zweiten Client aus starten? JA: - Wiederholen Sie die notwendigen Kopiervorgänge und Registrierungsänderungen! NEIN: - Nehmen Sie eine zweite Komplettinstallation von einem weiteren Client aus vor! Können Sie jetzt das Programm vom zweiten Client aus starten? JA: - Nehmen Sie von allen Clients aus komplette Installationen vor. NEIN: - Das Programm ist nicht netzlauffähig! - Lokal installieren! 5 · CD-ROMs im Netz 5 Seite 73 CD-ROMs im Netz Vorbemerkung In Zukunft werden Sie als Netzwerkberater Ihrer Schule von Ihren Kolleginnen und Kollegen mit der Aufforderung konfrontiert: „Installiere mir doch bitte mal schnell das Programm ..., die Software ..., die CD ...“. Genau wie jede andere Software lassen sich erst recht CDs im Unterrichtsnetz nicht gerade spontan installieren, ohne genaue Kenntnis des Installationsablaufes und des späteren Verhaltens im Schulbetrieb. Die Software insbesondere auf Multimedia-CDs wird in aller Regel für den „Nachmittagsmarkt“, also für den PC zu Hause produziert und nicht für den Einsatz in Unterrichtsnetzen unter den restriktiven Bedingungen auf Netzcomputern. Eine gründliche Analyse der Installation und nachfolgende Prüfung des „Laufverhaltens“ ist bei allen CDs deshalb angesagt. Im Folgenden soll auf die technischen Möglichkeiten eingegangen werden, wie mehrere Arbeitsplätze im Netz gemeinsam auf eine CD zugreifen können. Dabei wird vorrangig eine Lösung mit bekannten Hard- und Softwareressourcen beschrieben, ergänzend wird auf eine Lösung mit einem dedizierten CD-Server hingewiesen. Zur besseren Einschätzung der Netzwerkfähigkeit einiger Programme sind Datenblätter über alle verwendeten CDs im Anhang aufgeführt (ohne pädagogische Wertung). 5.1 Problematik Zunächst ist natürlich zu prüfen, ob die CD-Software unter Windows NT lauffähig ist. Grundsätzlich scheiden alle CDs aus, deren Software direkt auf Hardwarekomponenten zugreifen (zum Beispiel: viele Spiele, die versuchen u.a. die Einstellungen der Soundkarte oder der Graphikkarte zu manipulieren). NT unterbindet diese direkten Hardwarezugriffe! Ein ausdrückliches Zertifikat „Unter NT lauffähig“ gibt es zur Zeit noch nicht. Allerdings sollten unter Windows 95 lauffähige CDs in der Regel auch mit Windows NT als Betriebssystem zurechtkommen. 5 · CD-ROMs im Netz Seite 74 Die CD-Setup-Programme laufen meist für jede CD individuell ab. Anders als bei neuer 32Bit-Software sind gemeinsame Standards in ihrer Gestaltung derzeit kaum erkennbar. Noch weniger denken die CD-Programmierer und Produzenten an einen möglichen Netzwerkeinsatz ihrer Produkte. CDs mit dem Zertifikat „netzwerkfähig“ sind derzeit nicht auf dem Markt zu finden. Neuerdings vermehrt angebotene „Netzwerk-Versionen“ verbessern nur den lizenzrechtlichen Rahmen für Schulen. Eine Lauffähigkeit in Netzen, insbesondere bei Fernzugriff auf die Datenträger ist damit noch lange nicht sichergestellt. Schwierigkeiten treten immer dann auf, wenn Programm- und Anwenderdaten, z. B. Dialogdaten, Notiztexte, Vokabeldateien, u.a. auf einen lokalen Datenträger geschrieben werden sollen und das CD-Setup dem Netzwerk-Verwalter keine Möglichkeit bietet, ein Laufwerk und Verzeichnis nach eigenen Vorstellungen frei zu benennen. Die Prüfung jeder einzelnen CD auf ihre Netztauglichkeit, d.h. die „freie Definition“ von Programm- und Daten-Verzeichnissen, bleibt also bis auf Weiteres die Aufgabe der Netzbetreuer vor Ort. Sind Benutzer-Daten nicht in benutzerspezifische Ordner umzuleiten, ist eine sinnvolle pädagogische Anwendung im Unterricht fragwürdig. Es ist dann je nach Bedeutung der Anwenderdaten von Fall zu Fall zu entscheiden, ob die CD mit einem gemeinsamen Daten-Verzeichnis im Unterricht sinnvoll verwendbar ist oder nicht. Bei Vokabel-Trainingsprogrammen mit individuell zusammengestellten Lektionen hat die Problematik ein anderes Gewicht wie bei einem lexikographischen Werk. Ein weiteres Problem stellen bei Multimedia-CDs die erforderlichen Abspielprogramme für Bild-, Sound- und Videodaten dar (sogenannte „Codec“-Programme). Es handelt sich hierbei um Software, welche die Datenflut der Bild- und Tonwelt für PCs beim Erstellen platzsparend komprimiert und zur Wiedergabe lädt, dekomprimiert und abspielt. Rapide technische Weiterentwicklungen verhindern Standards von Dauer, gerade im audiovisuellen Bereich. Diese Codec-Programme gibt es in mannigfachen Variationen von verschiedenen Herstellern, oft in vielen Versionen. Praktisch jede CD bringt die Codecs mit, mit denen ihre Daten erstellt wurden. Die CD-Setups überprüfen bei einer Installation die Standard-Codec-Programme des Betriebssystems und aktualisieren sie gegebenenfalls. Öfters erscheint bei Installationen der Hinweis auf dem Bildschirm, dass jetzt Dateien bestehender Versionen überschrieben werden, mitunter mit der sinnigen Warnung, dass für die Lauffähigkeit anderer Programme nicht garantiert werden könne. Auf diesem Wege können sich nur schwer kontrollierbare Fehler in das System einschleichen. Diese CodecProgramme werden immer auf der NT-Arbeitsstation installiert, gleichgültig, ob die CD später im lokalen CD-Laufwerk oder in einem fernen Netzlaufwerk eingesetzt wird. 5 · CD-ROMs im Netz Seite 75 Entscheidend für den Netzberater wie für jeden Anwender ist am Ende, dass die Daten mit einer vernünftigen Geschwindigkeit über das Netzwerk übertragen werden, sonst bleibt nur die Einzelinstallation in lokalen Laufwerken übrig. Allgemeingültige Aussagen sind auch hier nicht möglich, da CDs gemäß ihrem Inhalt und der Kompressions- und Abspielverfahren mitunter recht verschiedene Anforderungen an die Hardware stellen. Einfache CD-Datensammlungen, wie Cliparts, Sounddateien, Videoclips werden über Standardwerkzeuge des Betriebssystems oder der Standardsoftware aus dem Mediabereich (Clipart-Browser, Medienwiedergabe-Software, ...) dem Anwender zur Verfügung gestellt. Diese Werkzeuge stehen standardmäßig auf jeder Arbeitsstation zur Verfügung. Die Datenfülle auf Multimedia-CDs wird vom Hersteller meist über eine produktspezifische Menüführung bzw. über Navigationsprogramme präsentiert. Diese Programme sind über Setup- oder Install-Programme auf den Arbeitsstationen zu installieren. In wenigen Fällen werden auch Webbrowser eingesetzt. Sie müssen gegebenenfalls installiert werden, falls das CD-Setup diese Aufgabe nicht selbst übernimmt. In einzelnen Fällen sind die Navigationsprogramme offensichtlich so programmiert, dass die CD immer im lokalen Laufwerk erwartet wird, sie sind für den Einsatz im Netz nicht geeignet („Sophies Welt“, „Die Vögel“). CDs mit Audio-Daten (Musik-CDs) benötigen ein Verbindungskabel zwischen CD-Laufwerk und Soundkarte. Diese CDs sind im Fernzugriff über das Netz natürlich nicht verwendbar. Die Entscheidung für oder gegen eine Zentrallösung kann auch vom pädagogisch begründeten Wunsch einer Schule nach einer bestimmten CD getragen werden, die unbedingt eingesetzt werden soll, aber nicht netzwerkfähig zu installieren ist. Für eine zentrale Lösung spricht jedoch immer die erheblich geringere Zahl von CDs und ihre einfachere Verwaltung. Der Installationsaufwand für den Netzwerkverwalter in NT-Netzen bleibt wohl gleich, da beide Installationsarten an abgesicherten NT-Arbeitsstationen so oder so den Gang zu jeder einzelnen Arbeitsstation erfordern. 5 · CD-ROMs im Netz Seite 76 5.2 Lokale oder zentrale CD-Lösung im NT-Schulnetz? Für die Planung der technischen Realisierung, wie künftig CD-ROMs in der Schule sinnvoll einzusetzen sind – über lokale CD-Laufwerke oder zentrale CD-Server. Hier einige Gesichtspunkte: 5.2.1 Arbeiten mit lokalen CD-ROMs • Viele CDs erforderlich (Problem: Verwaltung der CD-Sammlung) • Preisgestaltung der Lizenzen (Schullizenz für eine CD) • Kein situativer Zugriff im Unterricht • Kein selbständiger Zugriff durch die Schüler • Problemlose Installation der CD • Zugriff auf lokale CD immer gewährleistet 5.2.2 Arbeiten mit einem CD-ROM-Server unter NT • Alle CDs jederzeit, überall, für Jeden verfügbar • Die CDs sind sicher und dauerhaft aufbewahrt • Keine Beschädigung an lokalen Laufwerken • Preisvorteil bei Schullizenzen • Nicht alle CDs geeignet, manchmal gar nicht lauffähig 5.3 Hardware-Lösungen für CDs Zentrale CD-Lösungen lassen sich heute auf mehrere Wege realisieren. Angefangen mit Arbeitsstationen, die über ein lokales CD-Laufwerk verfügen, über mehrere CD-Laufwerke in einer Arbeitsstation (eventuell der Lehrer-PC), bis zum NT-Server mit 7 oder gar 14 Laufwerken, bis hin zum eigenständigen CD-Server. 5.3.1 NT-Arbeitsstation oder NT-Server mit CD-Laufwerken Im Prinzip könnte jede beliebige NT-Arbeitsstation, die mit einem lokalen CD-Laufwerk ausgestattet ist, CDs für andere Arbeitsstationen im Netz zur Verfügung stellen. Jedoch ist die Zahl der Zugriffe auf eine NT Workstation von Microsoft systembedingt auf maximal 10 5 · CD-ROMs im Netz Seite 77 Benutzer begrenzt. Außerdem müssten alle CD-Nutzer als Mitglieder in einer lokalen Gruppe an dieser CD-Station eingetragen und gepflegt werden. Die Integration von CD-Laufwerken in einen NT-Server, den primären Domänen-Controller, vereinfacht die Verwaltung erheblich, da die CD-Laufwerke nur als Netzressourcen freigegeben werden müssen (s. hierzu Kapitel 5.4). Erfordern die wachsende Anzahl gleichzeitig zu nutzender CDs und die wachsende Anzahl der Zugriffe weitere CD-Laufwerke, wird es irgendwann überlegenswert, den primären NTServer (PDC) von ständigen Lesezugriffen seitens der Benutzer zu entlasten und ein gesondertes Gerät als eigenständigen CD-Server unter dem Betriebssystem NT 4.0 Server zu betreiben. Wie stark die Ressourcen des NT-Servers von CD-Zugriffen belastet werden und wann eine Trennung zwischen PDC und CD-Server notwendig wird, ist in Einzelfällen von den Inhalten der CD abhängig. Wie der primäre Domänen-Controller sollte dieser weitere Server in jedem Fall mit einem SCSI-Adapter ausgestattet sein (die Steckplätze für PCI-Adapter auf der Hauptplatine eines PCs sind begrenzt). Die SCSI-Adapter erfordern dann aber auch SCSI-CD-Laufwerke. Über den SCSI-Bus ist eine einfache Erweiterung bis auf 7 CD-Laufwerke je Schnittstelle möglich, auch CD-Wechsler können eingebaut werden. Das Gerät ist als weiterer Server in die Domäne integriert. 5.3.2 CD-ROM-Tower In einem CD-ROM-Tower sind mehrere CD-Laufwerke in einem Gehäuse zusammengefasst. Eine oder mehrere SCSI-Schnittstellen verbinden sie in einem Rechner, der mit einer entsprechenden Anzahl von SCSI-Adaptern ausgerüstet sein muss. Bis zu 28 CDLaufwerke können so in einem Dual-Channel-SCSI-Controller in einem Rechner betrieben werden. Statt CD-Laufwerke können wahlweise auch CD-Wechsler in den Tower integriert werden. 5.3.3 CD-ROM-Serversoftware Zusätzliche CD-Server-Verwaltungssoftware, z. B. CD-Vision von Ornetix (für NetWare), Jukebox Manager von PoINT, SmartCD von Smart Storage (beide für NT) oder Jukeman von iXos (für NT und Unix), u.a. ..., übernimmt die Aufgabe, die SCSI-Laufwerke oder die CDs nach außen zu präsentieren und die Anfragen der Anwender an den CD-ROM-Server zu regeln. Üblicherweise werden alle verfügbaren Laufwerke, alternativ alle eingelegten CDs, in einem Ordner zusammengefasst, in einer Verzeichnisstruktur abgebildet. Die Soft- 5 · CD-ROMs im Netz Seite 78 ware erlaubt außerdem die Konfiguration und Verwaltung der CD-ROM-Laufwerke durch den Administrator. Um Probleme bei konkurrierenden Zugriffen auf Laufwerke zu vermeiden sowie die Zugriffsgeschwindigkeit zu erhöhen, richtet die Software zum Teil einen speziell optimierten Cache im RAM-Speicher oder auf der Festplatte des Verwaltungsrechners ein. Diese Software verursacht natürlich auch zusätzliche Kosten und zusätzlichen Aufwand. Sie ist von den Herstellern eigentlich für größere Lösungen (Jukeboxes) gedacht. Bei einem „Eigenbau“-CD-Tower ist es in jedem Fall günstiger, Windows NT Server als Betriebssystem für die Servicestation einzusetzen, da der Netzbetreuer ohnehin mit seiner Bedienung vertraut ist und die spezielle CD-ROM-Software nur einen Aufsatz auf das Betriebssystem NT darstellt und außerdem zusätzlich Kosten verursacht. 5.3.4 Dedizierte CD-ROM-Server Technisch stellt ein CD-ROM-Server nichts anderes dar als einen weiteren File-Server, der mit spezieller CD-ROM-Server-Software betrieben wird. CD-ROM-Server bieten heute ein Höchstmaß an Betriebssicherheit und Datenschutz, sie können an beliebiger Stelle im Netzwerk platziert werden. Dedizierte CD-ROM-Server stellen selbständige Netzwerkgeräte dar, an die über eine SCSI-Schnittstelle bis zu 14 Laufwerken angeschlossen sein können. Eigene Netzadapter verbinden sie mit dem Netz. Eine Datenübertragungsrate von 100 MBps im Netz ist dringend angeraten. Ein besonderer Rechner zur Ansteuerung oder Administration ist nicht notwendig. Das Funktionsprinzip ist denkbar einfach. Auf einem speziellen Chip arbeitet eine Software, die das Gerät nach außen wie eine NT-, NetWare- oder Unix-Maschine darstellt. Von den Clients aus kann dieses ganz normal angesprochen werden, beispielsweise über die Netzwerkumgebung von NT mit dem Explorer, einem Dateimanager oder auch mit einem Webbrowser. Alle Server stellen die einzelnen CD-Laufwerke sowohl individuell als auch gesammelt unter einer virtuellen Ressource als Unterverzeichnisse zur Verfügung. Anwender können so direkt auf eine einzelne CD zugreifen. Für den Administrator gestaltet sich die Installation eines CD-ROM-Servers recht problemlos. Nach der Standard-Installation sind die Geräte üblicherweise schon für den Einsatz unter NetBEUI und IPX vorbereitet. Mit TCP/IP als Netzprotokoll muss dem Gerät lediglich seine IP-Adresse zugeteilt werden. 5 · CD-ROMs im Netz Seite 79 Die Geschwindigkeit des Zugriffs wird nicht vom CD-ROM-Server bestimmt, sondern durch die Bandbreite des Netzwerkes und die Performance der eingebauten CDLaufwerke. Bei einem „geswitchten" 100-MBit-Ethernet ist praktisch kein Unterschied zwischen einem lokalen CD-Laufwerk und einem Laufwerk im CD-ROM-Server festzustellen. In diesem Fall gibt die Geschwindigkeit der eingebauten Laufwerke die Grenze vor. Bei einem 10-Mbit-Ethernet-Netz ist auch bei gewöhnlichen 16- und 20fach-Laufwerken die Performance naturgemäß begrenzt. 5.3.5 CD-Wechsler In einem CD-Wechsler sind natürlich nicht alle CDs gleichzeitig ansprechbar. Die normalen Wechsler haben nur ein Laufwerk, wobei für CDs sind eine entsprechende Anzahl von Schächten vorgesehen, aus denen die CDs auf Anforderung geladen werden. Zwar wird unter den modernen Betriebssystemen (WIN 95, NT) der Name der jeweiligen CD angezeigt, auch wenn sie nicht im Laufwerk liegt, soll aber darauf zugegriffen werden, und sei es nur, um das Inhaltsverzeichnis einzulesen, muss der Wechsler sie zuerst in das Laufwerk einlegen. Interne Caches und Wechselzeiten von einigen Sekunden machen diesen Vorgang zwar halbwegs erträglich – zusätzliche Wartezeiten bleiben trotzdem nicht aus. Aus diesem Grund eignen sich diese Geräte nur eingeschränkt für den gemeinsamen Zugriff über ein Netzwerk. Denn es ist nie auszuschließen, dass zwei Anwender im Netz gleichzeitig auf unterschiedliche CDs zugreifen wollen. Der Wechsler ist dann nur noch mit dem Einlegen verschiedener CDs beschäftigt und Daten kommen gar nicht oder nur nach unzumutbaren Wartezeiten bei den Clients an. 5.4 Installationen von CDs im NT-Netz Der Installation von CDs im Netz müssen zunächst intensive Erkundungen der CDs an Einzelplätzen und an Netzrechnern voraus gehen. Anmerkung: Die Ergebnisse aus einer ganzen Anzahl von Tests werden in Kapitel 5.6 in Datenblättern zusammengefasst. Aus diesen Daten lassen sich einige wesentliche Eignungsmerkmale von netztauglichen CDs ableiten. Als Beispiel einer solchen netzwerkfähigen CD stellen wir in Kapitel 5.5 die Installation der Multimedia-CD „Encarta 98D“ vor. 5 · CD-ROMs im Netz 5.4.1 Seite 80 Merkmale netztauglicher CDs Damit eine sinnvolle Arbeit mit CDs im Netz möglich ist, müssen einige Anforderungen erfüllt sein. Eine grundlegende Voraussetzung ist zunächst einmal, dass die CD-Software unter Windows NT läuft. Dies sollte zuvor durch eine Installation über ein lokales CD-Laufwerk geprüft werden. Eine CD ist „netzwerkfähig“, wenn alle nachfolgenden Fragen mit „Ja“ beantwortet werden können: • Wenn das Setup-Programm ein Programm- und/oder Datenverzeichnis auf der lokalen Festplatte erstellt, - lässt das Setup die freie Auswahl des Installationsverzeichnisses auf der lokalen Festplatte zu? - erlaubt das Setup die freie Auswahl eines benutzerspezifischen Datenverzeichnisses für Dialogdaten des Anwenders? • Findet das Navigationsprogramm alle CD-Daten auch dann, wenn sie in einem fernen CD-Laufwerk liegen? • Sind Ton- und Bilddaten bei CDs im fernen CD-Laufwerk ausreichend synchron? • Die CD enthält keine Audio-Daten! 5.4.2 Installation über einen NT-Server Die CD liegt im Laufwerk des NT-Servers. Auf abgesicherten NT-Arbeitsstationen muss die Installation vom Administrator oder einem mit gleichwertigen Berechtigungen ausgestatteten Benutzer auf jeder lokalen Festplatte durchgeführt werden, da alle untersuchten CDs Daten und Programme in eigens angelegte Ordner oder in die Systemverzeichnisse der lokalen Windows NT-Arbeitsstationen speichern. Die Bereitstellung von CDs im Netz läuft immer in typischen Arbeitsschritten am CD-Server und den Arbeitsstationen ab: • Am CD-Server sind folgende Tätigkeiten auszuführen: - Freigabe des CD-Laufwerks bzw. der CD für den gemeinsamen Zugriff. • An allen Arbeitsstationen sind nacheinander auszuführen: - Verbinden der CD-Freigabe mit einem Laufwerksbuchstaben. - Start des Setup-Programms auf jedem Arbeitsplatz. Diese Arbeitsschritte werden später anhand der Multimedia-CD „Encarta 98D“ genauer beschrieben. 5 · CD-ROMs im Netz 5.4.3 Seite 81 Zugriff auf installierte CDs durch Lehrer und Schüler Es empfiehlt sich bei den Lehrern und Schülern, den Programmaufruf fest in das Menü START – PROGRAMME aufzunehmen oder fest auf den Desktop zu legen. Wenn die CD permanent zur Verfügung stehen soll, müssen folgende Voraussetzungen erfüllt sein: • Die installierte CD muss ständig im freigegebenen CD-Laufwerk des Servers liegen. • Die Freigabe des CD-Laufwerkes sollte durch Anmeldeskripte für alle potentiellen Benutzer mit einem Laufwerksbuchstaben verbunden sein. 5.4.3.1 Die Erweiterung der Start-Menüs • Der Administrator kopiert aus seinem Start-Menü den Programmaufruf in die gewünschten gruppen- oder benutzerdefinierten Start-Menüs (z. B. indem der Ordner Micro- soft Nachschlagewerke für das Start-Menü der Lehrer nach N:\L_Startmenü\ Programme und für das Start-Menü der Schüler nach N:\S_Startmenü\Programme kopiert wird). 5.4.3.2 Verknüpfungen auf dem Desktop • Erstellen Sie sich als Administrator eine Desktop-Verknüpfung (z. B. indem Sie die Ver- knüpfung mit Encarta 98 auf dem Desktop ablegen und diese in den freigegebenen Ordner N:\Desktop\Lehrer abspeichern). Anmerkung: Siehe hierzu Kapitel 3 Benutzerverwaltung Zusammenfassung Vor der Beschaffung von CDs, insbesondere von Multimedia-CDs, sollten Sie unbedingt die Netzwerkfähigkeit der CD-Software prüfen. Auf Nachfrage stellen Verlage CDs nach eigener Erfahrung zu Testzwecken kostenlos zur Verfügung, sofern es sich um hochwertige Software handelt. Außerdem halten die landesweiten Bildstellen viele CDs vorrätig. Sie können zur Prüfung an Kollegen ausgeliehen werden. Die Lauffähigkeit der CD-Software unter NT-Workstation in lokalen CD-Laufwerken sollte sichergestellt und der Datenzugriff auf ein fernes Netz-CD-Laufwerk gewährleistet sein. 5 · CD-ROMs im Netz Seite 82 • Kennzeichen netzwerkfähiger CDs - „Freie“ Installierbarkeit der Software durch wahlfreie Festlegung eines Programmlaufwerks und eines Laufwerks für Benutzerdaten - Serverbasierte Softwareinstallation (wäre für eine Netzinstallation ideal) - Nur eine saubere Eintragung der 32-Bit-Software in die Registrierung von NT garantiert einen Datenzugriff auf ferne CD-Laufwerke. • Hardwareausstattung - Recht einfach ist eine Lösung mit mehreren CD-Laufwerken im PDC - Sind mehrere CDs im Einsatz, kann eine Einheit bestehend aus einem CD-Tower und einem PC mit NT-Server als Betriebssystem den PDC von häufigen CD-Zugriffen entlasten oder - schließlich ist als kostspieligste, aber auch pflegeleichteste Lösung ein eigenständiger, fertig konfektionierter CD-ROM-Server im NT-Netz einsetzbar In Anbetracht der Schwierigkeiten, die inbesondere Multimedia-CDs im NT-Netz machen, ist ein vorsichtiger Auf- und Ausbau eines CD-Servers empfehlenswert! 5.5 Installation von „Encarta 98D“ 1. Melden Sie sich als Domänen-Administrator am Server an und starten Sie den NT-Explorer 2. Markieren Sie das CD-Laufwerk (hier: encarta98 (E:)) 3. Öffnen Sie mit der rechten Maustaste das Kontextmenü und wählen Sie die Option Freigabe 4. Aktivieren Sie im geöffneten Dialogfeld Eigenschaften von encarta98 (E:) im Registerblatt Freigabe den Optionsschalter Freigeben als:. 5. Tragen Sie nun im Textfeld Freigabename den gewählten Freigabenamen ein, z.B. F_cdserver. 5 · CD-ROMs im Netz Seite 83 6. Tragen Sie im Textfeld Kommentar einen kurzen erläuternden Text ein, z.B. „Freigegebenes CD-ROM-Laufwerk“. Dieser Kommentar erscheint beim Zugriff von einer anderen NT-Workstation in dessen Explorer (rechtes Fenster unter Inhalt von Netzwerkumgebung). 7. Die OK-Taste aktiviert die Freigabe und schließt das Fenster. Damit steht das freigegebene CD-Laufwerk allen Arbeitsstationen im Netz zur Verfügung. Anmerkung: Mit diesem Verfahren lässt sich jede beliebige Software von einer CD-ROM (auch NT, MS Office, ...) über das Netz auf jeder Arbeitsstation installieren. 8. Melden Sie sich nun als Administrator an einer Arbeitsstation an und starten Sie auch hier den NT-Explorer. 5 · CD-ROMs im Netz Seite 84 9. Suchen Sie in unter dem Eintrag Netzwerkumgebung den Server (hier: S1) und markieren Sie F_cdserver. 10. Öffnen Sie das Kontextmenü mit der rechten Maustaste. 11. Wählen Sie jetzt den Befehl Netzlaufwerk verbinden (ein alternativer Weg führt über den Explorer-Menübefehl Extras, Netzlaufwerk verbinden). 12. Legen Sie einen freien Laufwerksbuchstaben fest (z. B.: R:). 13. Verbinden Sie das Laufwerk R: mit der Freigabe des CD-Laufwerks auf dem Server (hier: \\S1\F_cdserver). Das Textfeld Verbinden als: bleibt leer. Soll die Verbindung automatisch bei der nächsten Anmeldung wiederhergestellt werden, ist der Schalter Verbindung beim Start wiederherstellen zu aktivieren. 14. Nach dem Bestätigen mit OK erscheint die verbundene Freigabe im linken Fenster des NT-Explorers unter Alle Ordner, Arbeitsplatz hier nach dem Netzlaufwerksymbol als F_cdserver auf ‘S1’ (R:) 15. Nach Markieren des verbundenen Netzlaufwerkes R: steht im rechten Explorerfenster das Setup-Programm von Encarta98D zur Verfügung. 5 · CD-ROMs im Netz Seite 85 16. Starten Sie die Datei SETUP.EXE durch einen Doppelklick. 17. Das Setup-Programm schlägt die Installation im Ordner C:\Programme\Microsoft Nachschlagwerke unter einem neuen Ordner Encarta Enzyklopädie vor. Dieser Vorschlag sollte übernommen werden (Er könnte jedoch auch eigenen Vorstellungen angepasst werden). Während des nun startenden Setup-Laufs werden über 12 MB Daten auf die lokale Festplatte geschrieben. Neben der Software für die Benutzeroberfläche des Programms werden diverse Programmbibliotheken, neue NT-Systemdateien und das Video-Abspielprogramm „Macromedia Shockwave“ lokal installiert. 5 · CD-ROMs im Netz Seite 86 Abschließend wurde das START-Menü von Windows NT unter der Programmgruppe Microsoft Nachschlagewerke um den Aufruf von Encarta 98 Enzyklopädie erweitert. Bleibt die Freigabe der CD auf dem CD-Server bestehen, kann ab jetzt von dieser Arbeitsstation „Encarta 98“ aufgerufen werden, jedoch nur, wenn die Encarta-CD im CD-Laufwerk des Servers eingelegt ist. Starten Sie niemals das Setup-Programm einer CD direkt über die Freigabe F_cdserver. Das Setup-Programm startet zwar wie üblich, jedoch nach Beendigung des Setups finden die Navigationsprogramme die CD nicht mehr. 5.6 Weitergehende Informationen und Datenblätter 5.6.1 Internet-Adressen für CD-Server-Hardware- und -Software 5.6.1.1 Hersteller • Axis: www.axisinc.com • Ornetix: www.cd-server.com • Microtest: www.microtest.com • Tekram: www.tekram.de 5.6.1.2 Distributoren • Incom: www.incom-gmbh.de • Data Sharing Optical Media: www.DataSharing.de • TopMedia: www.topmedia.de 5.6.1.3 Software • PoINT Jukebox Manager: www.pointsoft.de • Jukeman von iXos: www.ixos.de • SmartCD von Smart Storage: www.smartstorage.com 5 · CD-ROMs im Netz 5.6.2 Seite 87 CD-Datenblätter 5.6.2.1 „BASF, der virtuelle Blick ins Werk“ Hardware 100% IBM komp. PC, mind. 486DX2/66, 4MB (8MB empf.) 100% Soundblaster kompatible Soundkarte angeschlossene Lautsprecher SVGA-Grafikkarte CD-ROM Laufwerk, mind. Doublespeed Maus und deutsche Tastatur Betriebssystem Win3.x (16 Bit), Win95, Win NT (32 Bit) Bildschirmeinstellungen Mind. 640 x 480 Bildpunkte in 256 Farben unter Windows, 65.000 Farben empfohlen Installation Legt im Ordner „C:\Programme“ einen neuen Ordner „BASF inside“ an Festplatte mit mind. 15 MB freiem Speicherplatz Deinstallation UNINST in der Programmgruppe „BASF inside“ vorhanden Zusatzprogramme Videotreiber „Microsoft Video for Windows“ Version 6.1 Netzbetrieb Synchronisation des Sounds mit den Videos nicht gegeben (Ton hängt nach) Bildqualität nicht besonders gut 5 · CD-ROMs im Netz Seite 88 5.6.2.2 „Bertelsmann - neue deutsche Rechtschreibung“ Hardware 486/66CPU, 8 MB RAM, VGA, 2xfach CD (ISO 9660) Betriebssystem DOS 6.xx, Win 3.1, Win 95 Bildschirmeinstellungen --- Installation Es gibt zwei Möglichkeiten, die CD „Bertelsmann neue deutsche Rechtschreibung“ auf dem Rechner zu installieren: 1. Eine langsamere Variante, die auf der Festplatte nur das Programm ablegt, die Wörterbuchdaten bleiben auf der CD. Diese Variante empfiehlt sich bei wenig freiem Plattenspeicher (benötigt werden lokal nur 3,5 MB) bzw. bei nur gelegentlicher Benutzung des Wörterbuchs. 2. Eine schnellere Variante, bei der das Wörterbuch komplett auf der lokalen Festplatte der Arbeitsstation installiert wird. Die CD-ROM wird nach der Installation nicht mehr benötigt. Diese Variante empfiehlt sich, wenn mindestens 14 MB Plattenspeicher zur freien Verfügung stehen bzw. wenn das Wörterbuch häufig benutzt wird. Datenverzeichnis Speichert im lokalen Laufwerk C:\PROG\BC31\USER Notizen des Anwenders (Dateien mit der Erweiterung *.NTF, z.B. REC001bt.NTF) Deinstallation Keine Hersteller-Vorschrift Zusatzprogramme --- Probleme Schreibt INI-Dateien in das Verzeichnis C:\PROG – diese werden unter NT nicht ausgewertet Netzbetrieb Problemlos, sofern Benutzer auf Notizen verzichten 5 · CD-ROMs im Netz Seite 89 5.6.2.3 „Die Vögel Europas“ ≥ 486er CPU, 8 MB RAM, 4-fach CD-Rom, WINDOWS- Hardware kompatible Soundkarte, 16-Bit-Farbmonitor Betriebssystem Windows 3.x, Windows 95, Windows 95 plus Bildschirmeinstellungen „Kleine Schriftarten“, Bildschirmauflösung 800x600 Pixel oder höher, mindestens 256 Farben Start des Setups mit: Datei ausführen, E:\Setup.exe Installation Zwei optionale Installationsarten werden angeboten: 1. Direkt von der CD (langsam) 2. Installation auf der Festplatte (ca. 22 MB) Befehlszeile Arbeitsverzeichnis Datenverzeichnis <LW>:\Birds20\Toolbook\tb50run.exe <LW>:\Birds20\Toolbook\ Legt ein Verzeichnis <LW>:\Birds20\Notes an, das Notizen des Benutzers aufnehmen kann. Deinstallation Keine eigene Deinstallationsroutine WIN3x: Programme und Programmgruppe löschen WIN95: Programme löschen und den Eintrag aus der Startmenü-Gruppe löschen Zusatzprogramme Benötigt zum Abspielen von Videosequenzen „Quicktime for Windows“. Version: 2.03. Achtung: die Version auf der CD ist nicht kompatibel mit der bei Windows 95 (bzw. Windows 95 Plus) mitgelieferten Quicktime-Version. Beide lassen sich aber offensichtlich parallel installieren, ohne dass sie sich gegenseitig stören. Probleme Benutzerverzeichnis <LW>:\Birds20\Notes kann nicht frei installiert werden (vom Setup bestimmt) Netzbetrieb Nicht netzwerkfähig, kein Zugriff auf ferne CD-ROMLaufwerke möglich 5 · CD-ROMs im Netz Seite 90 5.6.2.4 „Encarta 98D“ Hardware 486/50-Prozessor, 8 MB RAM, Soundkarte Betriebssystem Läuft nur unter WIN95/NT Bildschirmeinstellungen Keine Angaben Installation Das Setup-Programm installiert Systemdateien, die auch von anderen Applikationen benutzt werden. Es ist daher empfehlenswert, alle anderen Applikationen vor der Installation der Enzyklopädie zu schließen. Setup starten a. Schalten Sie Ihren Computer und das CD-Laufwerk ein. b. Legen Sie die CD von Encarta 98 Enzyklopädie in das CDLaufwerk ein. c. Folgen Sie den Anweisungen auf dem Bildschirm. Datenverzeichnis legt eine Datei für benutzerdefinierte Filterkriterien *.eli bei der Stichwortsuche im Programm-Verzeichnis an Deinstallation Schließen Sie alle anderen Applikationen. Klicken Sie auf die Schaltfläche „Start“ und dann auf Ausführen. Geben Sie im Dialogfeld Ausführen die Laufwerkbezeichnung für das CD-Laufwerk und \SETUP ein, zum Beispiel: D:\SETUP. Klicken Sie auf OK. Wählen Sie dann die Schaltfläche Deinstallieren. Zusatzprogramme Macromedia Shockwave Netzbetrieb Bis zu 10 Benutzer (getestet) keine Probleme 5 · CD-ROMs im Netz Seite 91 5.6.2.5 „Microsoft Anwender Training – Word 97“ Hardware Ab 386 CPU, CD-ROM-Laufwerk, VGA-Karte, Windows kompatible Soundkarte Betriebssystem Win3.x (16 Bit), Win95, Win NT (32 Bit) Bildschirmeinstellungen --- Installation --- Deinstallation Deinstallationsroutine ist als optionaler Schalter im SETUPFenster wählbar Zusatzprogramme Fordert MS Internet Explorer als Standard-Webbrowser Benutzerspezische Daten werden nicht angelegt Netzbetrieb Keine Probleme Besonderheiten Setup dient nur zur Überprüfung der Softwareinstallation (Netzbrowser, Indeo-Hilfsprogramm – INTEL Video Treiber Software). Keine Einträge im Desktop (Programm-Ordner) und Registry. Probleme Installierte mehrfach nicht alle erforderlichen FONTS (Grund: Lesefehler?), wie z.B. „Redmond-Symbole“ und „SchaltbildSymbole, die unter den NT-Fonts standardmäßig nicht enthalten sind. Symptome: Fehlender Bildhintergrund, fehlende Schaltbild-Symbole im HTML-Text. Abhilfe: Nachinstallation von der CD Anmerkung Aus der gleichen Reihe gibt es CDs für Excel 97, Access 97 und Powerpoint 97, die sich beim Installieren wie Word 97 verhalten. Auf eine Beschreibung dieser CDs wird daher verzichtet. 5 · CD-ROMs im Netz Seite 92 5.6.2.6 „Steamcracker und Ammoniak-Synthese“ (BASF „Multimedia im Unterricht“) Hardware Prozessor: 486/66 MHz RAM: ab 8 MB Graphikkarte: S-VGA Soundkarte: Soundblasterkompatibel 16-bit CD-Laufwerk: ab Doublespeed Geschwindigkeit Betriebssystem Windows 3.xx, Windows 95, Windows NT Grafik 256 Farben, 640x480 Pixel, Bildschirmeinstellungen Das Programm ist auf folgende Hardware/Software optimiert: MATROX MYSTIQUE mit RAINBOW RUNNER MPEGMODUL MICROSOFT ACTIVE MOVIE MPEG-SOFTWARE TREIBER COMPCore SoftPEG MPEG-SOFTWARE Die Verwendung anderer MPEG1-Decoderkarten kann dazu führen, dass die Videos schlecht oder gar nicht laufen. Die MPEG Wiedergabe ist unter 256 Farben nicht möglich! Videoeinbindung Die CD-ROM Applikation beinhaltet Videos, die im QuickTime- und MPEG1-Format vorhanden sind. MPEG1 Die MPEG1-Videos können nur abgespielt werden, wenn ein entsprechender MPEG1-Decoderkarte im Rechner eingebaut ist oder unter Windows 95/NT ein Software MPEGTreiber/ActiveX-Treiber installiert ist. Der Einsatz eines Software MPEG-Treibers ist nur bei Pentium-Rechnern ab 166 MHz Taktfrequenz oder Pentium-Rechnern mit MMX Technologie sowie einer entsprechenden videofähigen Graphikkarte empfehlenswert. Es wird der Einsatz des vom Graphikhersteller mitgelieferten Software MPEG-Treibers empfohlen. Installation <CD-LW>\SETUP; Anweisungen folgen Es wird eine Programmgruppe und ein Icon erzeugt. Videos in Quicktime- und MPEG1-Format Deinstallation Keine Vorschrift vom Hersteller Zusatzprogramme Erforderlich Quicktime 2.11 (wird vom Setup installiert) 5 · CD-ROMs im Netz Seite 93 Netzbetrieb Keine Probleme Besonderheiten Über ein Referentensystem können eigene Dia-Shows zusammengestellt werden. Bei einer versuchsweisen Zusammenstellung von Dias ließ sich die Show leider nicht speichern (Ursache nicht bekannt) 5.6.2.7 „Sophies Welt“ Hardware Ab P60 CPU, 12 MB RAM, Dpublespeed-CD-Laufwerk, VGAKarte, Windows kompatible Soundkarte Betriebssystem Win3.x (16 Bit), Win95, Win NT (32 Bit) Bildschirmeinstellungen 640x480, 65000 Farben Installation Setup über Datei, ausführen, E:\Setup.exe starten Danach besteht die Auswahl zwischen zwei Installationsarten: 1. Keine Daten auf der lokalen Festplatte 2. Alle Daten auf der lokalen Festplatte (22 MB) Speichert eigene Daten (*.usr) und Anwendernamen für Dialog im Programmverzeichnis Deinstallation Vorhanden, automatisch oder benutzerdefiniert Zusatzprogramme --- Probleme Keine freie Wahl des Installationsverzeichnisses VORSICHT! Deinstallationsprogramm löscht auch Systemdateien, die von anderen Programmen benötigt werden Netzbetrieb Läuft nicht von fernem CD-Laufwerk 5 · CD-ROMs im Netz Seite 94 5.6.2.8 „Win Vokabel 3.0“ Hardware Ab 386 CPU, CD-Laufwerk, VGA-Karte, Windows kompatible Soundkarte, Kopfhörer mit Mikrophon Betriebssystem Win3.x (16 Bit), Win95, Win NT 3.51 (32 Bit) Bildschirmeinstellungen --- Installation Programmpfad ist frei konfigurierbar Datenverzeichnis Legt Lernprotokolldateien (*.prt) und Redewendungsdateien in das Verzeichnis für Vokabeldateien DEU_ENG ab. In den Lernprotokolldateien werden die Lernergebnisse abgespeichert. Sie sollten möglichst im gleichen Verzeichnis stehen wie die zugehörigen Vokabeldateien. Deinstallation Keine Vorschrift vom Hersteller Zusatzprogramme Keine Netzbetrieb Keine Probleme bei Installation und Betrieb Probleme Anderes Verzeichnis für Benutzerdaten ist nicht einstellbar. 6 · Drucken im Netz 6 Seite 95 Drucken im Netz 6.1 Grundlagen und Fachbegriffe TCP/IP (Transmission Control Protocol / Internet Protocol) ist eine Protokollfamilie, die durch ihre Verwendung im Internet inzwischen als Standardprotokoll in Computernetzwerken gilt. Damit besteht auch die Möglichkeit, plattformübergreifend, z. B. mit UNIXRechnern Daten auszutauschen. Ein Protokoll ist eine Reihe von Regeln, die einen möglichst fehlerfreien Datenaustausch zwischen Rechnern erlaubt. Im Zusammenhang mit TCP/IP spielen insbesondere folgende Begriffe eine Rolle: 6.1.1 IP-Adresse Die IP-Adresse identifiziert jede einzelne Maschine und unterscheidet sie von allen anderen im Netzwerk. Jede IP-Adresse umfasst 32 Bit, die in 4 Oktetts (8 Bit) unterteilt sind, und dezimal, also als Werte zwischen 0 und 255 geschrieben werden (Beispiel: 192.168.1.1). Damit eine IP-Adresse im Falle einer geplanten Anbindung an das Internet weltweit eindeutig ist, muss sie an einer zentralen Stelle beantragt werden und darf nicht beliebig verwendet werden. Eine IP-Adresse besteht aus zwei Teilen, der Netzwerkadresse und der Hostadresse (ein Host ist eine bestimmte Maschine im jeweiligen Netz). Je nach Größe des Netzwerks wird die IP-Adresse einer von 3 Klassen zugeordnet: • Klasse A: 1.a.b.c bis 126.a.b.c • Klasse B: 128.0.b.c bis 191.255.b.c • Klasse C: 192.0.0.c bis 223.255.255.c Da die Bits der Hostadressen (also a.b.c bzw. b.c bzw. c) nie alle nur mit 0 oder nur mit 1 belegt sein dürfen, kann jedes der 126 A-Netze maximal 16.777.216 Hosts, jedes der 16.384 B-Netze maximal 65.534 und jedes der 2.097.151 C-Netze maximal 254 Hosts besitzen. 6 · Drucken im Netz Seite 96 Um Adresskonflikte zwischen einem internen Netzwerk und dem Internet zu vermeiden, wurden sogenannte private Adressbereiche eingeführt. Davon gibt es insgesamt 5. Der am häufigsten benutzte private Adressbereich ist 192.168.0.c bis 192.168.255.c. Damit sind bis zu 256 interne Netzwerkstränge mit maximal je 254 Hosts adressierbar. Adressen aus einem der privaten Bereiche werden im Internet nicht weitergeleitet und können somit nie zu Konflikten führen. Die Verbindung der Rechner im internen Netzwerk zum Internet muss dann aber über einen speziellen Kommunikationsserver laufen, der von Außen über eine reguläre InternetAdresse angesprochen wird. 6.1.2 Subnet Mask In jedem Netzwerk unter TCP/IP muss eine Subnetz-Maske existieren, anhand derer der Netzwerkanteil und der Hostanteil einer IP-Adresse ermittelt wird. Deshalb besteht auch die Subnetz-Maske aus 32 Bits. Die Bits für die Netzwerk-ID sind mit dem Wert 1 belegt und die für die Host-Adresse mit dem Wert 0. Die standardmäßige Subnetz-Maske ist daher für ein Netz der • Klasse A: 255.0.0.0 • Klasse B: 255.255.0.0 • Klasse C: 255.255.255.0 Wenn ein Netzwerk aus irgendwelchen Gründen in mehrere Teilstränge (Segmente) aufgeteilt werden muss, aber nur eine Netzwerkadresse zur Verfügung steht, besteht die Möglichkeit, Sub-Netzwerke zu definieren. Zu diesem Zweck werden dem Host-Adressanteil von vorne her einige Bits entzogen und dem Netzwerkanteil hinzugefügt. In der Subnetz-Maske werden dann die entsprechenden Bits auf 1 gesetzt. Werden zum Beispiel in einem Klasse-C-Netz die ersten 3 Bits des vierten Oktetts zur Netzwerk-ID hinzugefügt, so entsteht die Subnetz-Maske 11111111.11111111.11111111.11100000 = 255.255.255.224 Damit können 23 = 8 Subnetze gebildet werden. Benutzt man aber z.B. den privaten Adressraum 192.168.0.c bis 192.168.255.c so sind schon von vornherein 256 Subnetze vorhanden, was selbst in riesigen Schulen ausreichen dürfte. Die Subnetz-Maske wird dann wie oben angegeben standardmäßig auf 255.255.255.0 gesetzt. 6.1.3 Standard-Gateway Standard-Gateway bezeichnet die IP-Adresse der Netzwerkkarte eines anderen Segments über das die Daten weitergeleitet werden sollen. Die Angabe des Standard-Gateway ist 6 · Drucken im Netz Seite 97 also nur nötig, wenn im Server mehrere Netzwerkkarten vorhanden sind, die verschiedene Segmente bedienen und die Rechner im einen Segment mit denen in einem anderen Verbindung aufnehmen sollen. Sind z. B. drei Karten mit den IP-Adressen 192.168.1.1, 192.168.2.1 und 192.168.3.1 im Server vorhanden, so muss für Karte 3 als Gateway die IP-Adresse von Karte 2 also 192.168.2.1 und für Karte 2 als Gateway die IP-Adresse von Karte 1 also 192.168.1.1 angegeben werden. Bei Karte 1 hingegen darf kein Gateway angegeben werden! 6.2 TCP/IP unter Windows NT 6.2.1 TCP/IP auf dem Server installieren Das Protokoll TCP/IP ist in vielen Fällen bereits auf dem Server installiert, da während des Setups vorgeschlagen wird, TCP/IP zu installieren. Falls es nicht installiert ist, oder Einstellungen verändert werden müssen, so wird hier die Vorgehensweise beschrieben. Dabei wird davon ausgegangen, dass die Netzwerkkarte und die zugehörigen Treiber bereits installiert sind und ordnungsgemäß funktionieren. 1. Melden Sie sich als Administrator am Server an 2. Wählen Sie im Kontextmenü der Netzwerkumgebung Eigenschaften aus. 3. Wählen Sie die Registerkarte Protokolle und betätigen Sie anschließend die Schaltfläche Hinzufügen. 4. Wählen Sie nun im Dialogfenster Auswahl, Netzwerkprotokoll den Eintrag TCP/IP-Protokoll und bestätigen Sie mit OK. 5. Geben Sie im Dialogfenster Windows NT-Setup den Pfad zu den Originaldateien (z. B. auf der CD im Verzeichnis \i386) an. Jetzt werden die Dateien für TCP/IP auf die Festplatte des Servers kopiert. 6. Im Dialog TCP/IP-Setup werden Sie gefragt, ob Sie DHCP verwenden wollen, d. h. dass Ihr Server die IP-Adresse von einem sogenannten DHCP-Server automatisch zugewiesen bekommt. Da Ihr Server aber in der Regel selbst als DHCP-Server fungieren soll (siehe unten) muss er eine feste IP-Adresse bekommen. Daher ist auf dem Server die Frage mit NEIN zu beantworten. 6 · Drucken im Netz Seite 98 Anschließend erscheint das Dialogfenster Eigenschaften von Microsoft TCP/IP, wo Sie nach IP-Adresse, Subnet-Mask und Standard-Gateway gefragt werden: Wenn Sie nur eine Netzwerkkarte im Server haben gilt als Vorschlag: IP-Adresse: 192.168.1.1 Subnetz-Maske: 255.255.255.0 Standard-Gateway: . . . Anmerkung: Die ID des Netzwerkstrangs stammt aus dem privaten Bereich und ist 192.168.1 und die Host-Adresse des Servers in diesem Strang ist 1. Entsprechend den obigen Ausführungen ist die Standard-Subnetz-Maske 255.255.255.0. Bei Gateway wird hier nichts eingetragen. 7. Andere Einstellungen brauchen hier nicht gemacht zu werden. Sie können also direkt danach auf OK klicken. 8. Nun muss ein Neustart des Servers ausgeführt werden. 6 · Drucken im Netz 6.2.2 Seite 99 DHCP auf dem Server einrichten Am NT-Server sind im Schulbetrieb oft zahlreiche Arbeitsstationen angeschlossen. Da können schnell 50 oder gar 100 Geräte zusammen kommen. Streng genommen müsste man nun jedem dieser PCs eine feste eigene IP-Adresse geben. Klar, dass dies den Verwaltungsaufwand für die Systembetreuerin oder den Systembetreuer ziemlich groß werden lässt. Windows NT Server bietet eine elegante Methode an, dieses Problem in den Griff zu bekommen: DHCP (Dynamic Host Configuration Protocol). Innerhalb eines vorzugebenden Adressbereichs werden die IP-Adressen dynamisch vergeben. Nach einem vorgegebenen Zeitraum verfallen diese „Leihgaben“ und die IP-Adressen können vom Server neu vergeben werden. Wird also ein Gerät ausgetauscht oder kommen neue Geräte hinzu, so braucht man sich keine Gedanken über deren IP-Adressen machen, wenn die vorgegebene Zahl der gleichzeitig in Betrieb befindlichen Stationen nicht überschritten wird. Um DHCP auf einer Arbeitsstation zu verwenden, muss dort im Dialogfenster Eigen- schaften von Microsoft TCP/IP das Kontrollfeld IP-Adresse von einem DHCP-Server beziehen aktiviert. Die Einrichtung des DHCP-Dienstes auf dem NT-Server läuft in folgenden Schritten ab: 1. Melden Sie sich als Administrator am Server an 2. Wählen Sie im Kontextmenü der Netzwerkumgebung Eigenschaften aus. 3. Betätigen Sie auf der Registerkarte Dienste die Schaltfläche Hinzufügen. 4. Klicken Sie im Dialogfenster Auswahl: Netzwerkdienst auf den Eintrag Microsoft DHCP-Server und bestätigen Sie mit OK. 5. Geben Sie im Dialogfenster WINDOWS NT-Setup den Pfad zu den Originaldateien (z. B. auf der CD im Verzeichnis \i386) an. Jetzt werden die Dateien für DHCP auf die Festplatte des Servers kopiert. 6. Abschließend werden Sie darauf hingewiesen, dass Sie auf dem Server eine feste IP-Adresse verwenden müssen. Danach müssen Sie das Netzwerk-Fenster Schließen. 7. Nun werden Sie zum Neustart des Servers aufgefordert. 6 · Drucken im Netz Seite 100 Wie nach jeder Installation eines neuen Dienstes, sollten Sie jetzt die Installation des aktuellen Servicepacks erneut durchführen. Jetzt muss der DHCP-Dienst am Server noch konfiguriert werden: 1. Starten Sie den DHCP-Manager über START – PROGRAMME – VERWALTUNG (ALLGEMEIN) – DHCP-MANAGER. 2. Doppelklicken Sie im DHCP-Manager im Fenster DHCP-Server auf Lokaler Computer und wählen Sie im Menü Bereich den Punkt Erstellen aus. 3. Im Fenster Bereich erstellen - (Lokal) müssen nun die Grenzen des IP-Bereichs, ausgeschlossene Bereiche und die Subnetz-Maske eingegeben werden: In unserem Beispiel wurde der Bereich 192.168.1.21 bis 192.168.1.199 gewählt. Dies hat folgenden Grund: Server, Drucker und weitere spezielle Geräte, die über TCP/IP im Netzwerk kommunizieren, sollten feste IP-Adressen aufweisen. Denkbar ist also, dass im vorliegenden Beispiel zusätzlich zum File-Server, der unter 192.168.1.1 eingetragen ist, noch weitere Server (z. B. Kommunikationsserver) laufen. Diesen kann man dann Hostadresssen zwischen 2 und 20 zuweisen. Spezielle Peripheriegeräte wie Drucker etc. können feste Hostadressen zwischen 200 und 254 bekommen. Der DHCP-Server kann also Hostadressen zwischen 21 und 199 frei vergeben. Die Subnetz-Maske wird wie schon begründet auf 255.255.255.0 gesetzt. Sie wird übrigens bei der Vergabe der IP-Adresse an eine Arbeitsstation ebenfalls an diese weitergeleitet. 6 · Drucken im Netz Seite 101 Anmerkung: Ausschlussbereiche brauchen nur angegeben werden, falls im definierten Bereich schon feste IP-Adressen an Geräte vergeben sind, die man nicht mehr umkonfigurieren möchte. Die Dauer der Lease sollte in Hinblick auf einen eventuell einzurichtenden WINS-Dienst auf 7 Tage hochgesetzt werden. 4. Danach können Sie dieses Fenster mit OK verlassen und es erscheint folgende Meldung: 5. Aktivieren Sie den neuen Bereich mit Ja. 6. Schließen Sie nun den DHCP-Manager. Nun ist auch die Konfiguration abgeschlossen und der NT-Server kann über seinen DHCP-Server-Dienst IP-Adressen dynamisch vergeben. 6.2.3 TCP/IP auf den Arbeitsstationen einrichten Auch auf den Arbeitsstationen ist das Protokoll TCP/IP in vielen Fällen bereits installiert. Für alle Fälle soll hier die Vorgehensweise beschrieben werden. Auch jetzt wird davon ausgegangen, dass die Netzwerkkarte und die zugehörigen Treiber bereits installiert sind und ordnungsgemäß funktionieren. 1. Melden Sie sich als Administrator an der Arbeitsstation an. 2. Wählen Sie im Kontextmenü der Netzwerkumgebung Eigenschaften aus. 3. Betätigen Sie auf der Registerkarte Protokolle die Schaltfläche Hinzufügen. 4. Klicken Sie im Dialogfenster Auswahl: Netzwerkprotokoll auf den Eintrag TCP/IP- Protokoll und bestätigen Sie mit OK. 5. Geben Sie im Dialogfenster WINDOWS NT-Setup den Pfad zu den Originaldateien (z. B. auf der CD im Verzeichnis \i386) an. Jetzt werden die Dateien für TCP/IP auf die Festplatte der Arbeitsstation kopiert. 6 · Drucken im Netz Seite 102 6. Im Dialog TCP/IP-SETUP werden Sie gefragt, ob Sie DHCP verwenden wollen, d. h. dass Ihr Server die IP-Adresse von einem sogenannten DHCP-Server automatisch zugewiesen bekommt. Da wir auf dem Server inzwischen DHCP eingerichtet haben, wird diese Frage mit Ja beantwortet. 7. Im Dialogfenster Eigenschaften von Microsoft TCP/IP muss jetzt das Kontrollfeld IP-Adresse von einem DHCP-Server beziehen aktiviert sein. 8. Andere Einstellungen brauchen hier nicht gemacht zu werden. Sie können also direkt danach auf OK klicken. 9. Nun muss noch ein Neustart der Arbeitsstation ausgeführt werden. Anmerkung: Auch unter Windows 95 und unter Windows for Workgroups 3.11 gibt es die Möglichkeit TCP/IP und DHCP zu benutzen. Bei Windows 95 ähnelt die Einrichtung sehr stark der von Windows NT. Unter WfW 3.11 wird ein spezieller TCP/IP 32-Bit-Client benötigt, der auf der NT 4.0 Server CD im Verzeichnis \Clients zu finden ist. 6.3 Drucken im Netz mit externen Printservern unter TCP/IP Im Folgenden wird die Installation zweier recht weit verbreiteter Printserver in einem Netzwerk beschrieben. Es sind dies der • HP-JetDirect und der • Intel NetportExpress PRO/100. Anmerkung: In den folgenden Installationsbeschreibungen sind an beiden Printservern je ein Laserdrucker vom Typ HP LaserJet 5 angeschlossen. 6 · Drucken im Netz 6.3.1 Seite 103 HP-JetDirect 6.3.1.1 Einrichtung auf dem Server (als Administrator) 1. Kontrollieren Sie, ob das TCP/IP-Protokoll auf dem Server eingerichtet ist. 2. Stellen Sie am Drucker eine feste TCP/IP-Adresse (z. B. 192.168.1.201) ein. Anmerkung: Beim HP LaserJet 5 geschieht dies über das Menü „HP Mea-Menü“ an der Druckerkonsole. Bei anderen Druckern ist das Handbuch zu Hilfe zu nehmen. 3. Auf dem Server wird der Microsoft TCP/IP-Druckdienst installiert, indem Sie mit der rechten Maustaste auf die Netzwerkumgebung auf dem Desktop klicken und die Option Eigenschaften auswählen. 4. Wählen Sie dann die Registerkarte Dienste und betätigen Sie anschließend die Taste Hinzufügen. 5. Im erscheinenden Fenster wählen Sie den Microsoft TCP/IP-Druckdienst und folgen den Aufforderungen. 6. Zum Abschluss muss der Server neu gestartet werden. 6 · Drucken im Netz Seite 104 Installieren Sie nun den Druckeranschluss, indem Sie folgendermaßen vorgehen: 1. Klicken Sie unter START – EINSTELLUNGEN - DRUCKER auf das Symbol Neuer Drucker doppelt. 2. Wählen Sie die Option Drucker am Arbeitsplatz und drücken Sie auf Hinzufügen. 3. Unter Verfügbare Druckeranschlüsse wählen Sie LPR-Port aus und danach die Schaltfläche Neuer Anschluss. 4. Tragen Sie bei Name oder Adresse des Hosts, der LPD bereitstellt die IP-Adresse des Printservers ein (hier: 192.168.1.201). Bei Name des Druckers auf dem Computer tragen Sie normalerweise einen Druckername ein (z. B. HP5_1) Bei HP-Printservern muss an dieser Stelle raw eingegeben werden. Dies ist von HP so vorgeschrieben! 5. Bestätigen Sie dieses Fenster mit OK, danach können Sie Schließen wählen. 6. Wählen Sie die Taste Weiter, um den Druckerhersteller und Druckermodell auszuwählen (z. B. HP LaserJet 5N). 6 · Drucken im Netz Seite 105 7. Geben Sie einen Druckernamen ein (beliebiger Name mit max. 31 Zeichen, sollte den Raum beinhalten, hier: PRN001 für Printer in Raum 001). 8. Geben Sie diesen Drucker im Netz frei und definieren Sie den Freigabename (z. B. F_PRN001). Anmerkung: Sie sollten einen anderen Namen wählen als den Druckernamen, da sonst Verwechslungsgefahr besteht! 9. Geben Sie nun an, wenn dieser Drucker auch mit anderen Betriebssystemen (auf den Arbeitsstationen) genutzt werden soll. NT-Arbeitsstationen sind Standard, eventuell muss hier Windows 95 hinzugewählt werden. 10. Nach Klicken auf die Taste Weiter können Sie entscheiden, ob eine Testseite gedruckt werden soll. Die Testseite sollte an dieser Stelle ausgedruckt werden! Dadurch wird nicht nur getestet, ob der Drucker funktionsfähig installiert wurde, sondern diese Testseite enthält auch eine Liste mit den installierten Treibern und sollte zur Dokumentation des Netzwerkes aufbewahrt werden. 11. Klicken Sie auf Fertigstellen. Nun müssen verschiedene CDs eingelegt werden (z. B. NT-Server und Windows 95, eventuell auch Disketten vom Druckerhersteller). 12. Abschließend können ggf. die Freigabeberechtigungen für den freigegebenen Printer verändert werden (s. hierzu das Kapitel Druckerberechtigungen weiter hinten). 6.3.1.2 Einrichtung des Druckers auf einer NT-Arbeitsstation (als Benutzer) 1. Das Protokoll TCP/IP muss auf der Arbeitsstation eingerichtet sein. 2. Unter START – EINSTELLUNGEN – DRUCKER auf das Symbol Neuer Drucker doppelt klicken. 3. Wählen Sie nun die Option Druck-Server im Netzwerk. 4. Wählen Sie den Druckernamen aus der Liste aus, indem Sie sich durch die Baumstruktur klicken (im Bsp. \\S1\F_PRN001) 6 · Drucken im Netz Seite 106 5. Nun müssen Sie nur noch mit der OK-Taste bestätigen und damit ist der Standarddrucker eingerichtet. 6.3.1.3 Einrichtung des Druckers auf einer Windows 95-Arbeitsstation (als Benutzer) Der Client für Microsoft-Netzwerke muss bereits installiert sein! Sollte dies noch nicht der Fall sein, gehen Sie bitte folgendermaßen vor: 1. Klicken Sie auf START – EINSTELLUNGEN – SYSTEMSTEUERUNG – NETZWERK und wählen Sie dann die Option Client für Microsoft Netzwerke. 2. Wählen Sie hier folgende Einstellungen: Eigenschaften: An Windows NT-Domäne anmelden, Domäne angeben (z. B. DOM1). Netzwerkanmeldeoption: Anmelden und Verbindungen beim Start wiederherstellen. Identifikation: Computername muss im gesamten Netz eindeutig sein (z. B. WS1A), als Arbeitsgruppe muss die NT- Domäne angegeben werden (z. B. DOM1). Zugriffssteuerung auf Benutzerebene: Benutzer- und Gruppenliste beziehen von Domänenname angeben (z. B. DOM1). 6 · Drucken im Netz Seite 107 Danach wird an den Windows 95-Arbeitsstationen ebenso verfahren wie bei einer NTArbeitsstation: 1. Das Protokoll TCP/IP muss auf der Arbeitsstation eingerichtet sein. 2. Unter START – EINSTELLUNGEN – DRUCKER auf das Symbol Neuer Drucker doppelt klicken. 3. Auf die Taste Weiter klicken, damit der Netzwerkdrucker gewählt werden kann. 4. Netzwerkpfad oder Warteschlangenname: Mit Durchsuchen erscheint die Browserliste. Hier erscheint der freigegebene Drucker unter seinem Freigabenamen, (z. B. F_PRN001). 5. Dieser Name wird nach dem Tastendruck auf OK in den Assistenten für die Druckerinstallation übernommen. 6 · Drucken im Netz Seite 108 6. Vergeben Sie einen Druckernamen (hier: PRN95_1). 7. Markieren Sie Ja, wenn dieser Drucker unter Windows zum Standarddrucker werden soll. 8. Drucken Sie auch hier wieder eine Testseite aus. Anmerkung: Eventuell muss zunächst der Druckertreiber lokal installiert werden. Das heißt, dieser Drucker wird zunächst als lokaler Drucker installiert (ggf. Treiber von Disketten). So ist gewährleistet, dass bei der Netzwerkinstallation die Treiber zur Verfügung stehen. Im vorliegenden Fall waren die Treiber für den HP LaserJet 5N nicht auf der Windows 95 CD, sondern auf der Diskette 6 von HP. 6.3.2 Intel NetportExpress PRO/100 6.3.2.1 Installation des Netports 1. Der Netport muss zunächst über das Protokoll NetBEUI oder IPX angesprochen werden, um ihm eine IP-Adresse geben zu können. Dazu wird die mitgelieferte Management-Software installiert, was auch auf einer Workstation erfolgen kann. 2. Wird die Management-Software nun gestartet, erscheint der Netport in der Liste: 6 · Drucken im Netz Seite 109 3. Nun kann der Netport konfiguriert werden, indem man Configure Print Services wählt. 4. Will man unter TCP/IP drucken, muss die Option UNIX & SNMP gewählt werden. 5. Nach der Wahl Configure kann man die IP-Adresse eingeben. 6. Danach wird mit Save gespeichert. 6.3.2.2 Einrichtung auf dem Server (als Administrator) Führen Sie hierzu die Schritte 1 bis 6, wie sie bereits in Kapitel 6.3.1.1 beschrieben wurden, durch. Installieren Sie nun den Druckeranschluss, indem Sie folgendermaßen vorgehen: 1. Klicken Sie unter START – EINSTELLUNGEN - DRUCKER auf das Symbol Neuer Drucker doppelt. 2. Wählen Sie die Option Drucker am Arbeitsplatz und drücken Sie auf Hinzufügen. 3. Unter Verfügbare Druckeranschlüsse wählen Sie LPR-Port aus und danach die Schaltfläche Neuer Anschluss. 4. Tragen Sie bei Name oder Adresse des Hosts, der LPD bereitstellt die IP-Adresse des Printservers ein (hier: 192.168.1.202). 6 · Drucken im Netz Seite 110 Bei Name des Druckers auf dem Computer tragen Sie LPT1_PASSTHRU oder LPT1_TEXT ein (dies ist von Intel so vorgeschrieben!). 5. Bestätigen Sie dieses Fenster mit OK, danach können Sie Schließen wählen. 6. Wählen Sie die Taste Weiter, um den Druckerhersteller und das Druckermodell auszuwählen (z. B. HP LaserJet 5N). 7. Geben Sie einen Druckernamen ein (beliebiger Name mit max. 31 Zeichen, sollte den Raum beinhalten, hier: PRN002 für Printer in Raum 002). 8. Geben Sie diesen Drucker im Netz frei und definieren Sie den Freigabename (z. B. F_PRN002). Anmerkung: Sie sollten einen anderen Namen wählen als den Druckernamen, da sonst Verwechslungsgefahr besteht! 9. Geben Sie nun an, wenn dieser Drucker auch mit anderen Betriebssystemen (auf den Arbeitsstationen) genutzt werden soll. NT-Arbeitsstationen auf Intel-Basis sind Standard, eventuell muss hier Windows 95 hinzugewählt werden. 10. Nach Klicken auf die Taste Weiter können Sie entscheiden, ob eine Testseite gedruckt werden soll. 6 · Drucken im Netz Seite 111 Die Testseite sollte an dieser Stelle ausgedruckt werden! Dadurch wird nicht nur getestet, ob der Drucker funktionsfähig installiert wurde, sondern diese Testseite enthält auch eine Liste mit den installierten Treibern und sollte zur Dokumentation des Netzwerkes aufbewahrt werden. 11. Klicken Sie auf Fertigstellen. Nun müssen verschiedene CDs eingelegt werden (z. B. NT-Server und Windows 95, eventuell auch Disketten vom Druckerhersteller). 12. Abschließend können ggf. die Freigabeberechtigungen für den freigegebenen Printer verändert werden (s. hierzu das Kapitel Druckerberechtigungen weiter hinten). 6.3.2.2 Einrichtung des Druckers auf einer NT-Arbeitsstation (als Benutzer) Führen Sie hierzu die Schritte 1 bis 5, wie sie bereits in Kapitel 6.3.1.2 beschrieben wurden, durch. Natürlich muss der entsprechende Drucker aus der Browser-Liste gewählt werden! In unserem Beispiel ist dies ein Drucker in Raum 002. 6.3.2.3 Einrichtung des Druckers auf einer Windows 95-Arbeitsstation (als Benutzer) Führen Sie hierzu die Schritte 1 bis 8, wie sie bereits in Kapitel 6.3.1.3 beschrieben wurden, durch. Natürlich muss auch hier der entsprechende Drucker aus der Browser-Liste gewählt werden! 6 · Drucken im Netz 6.3.3 Seite 112 Druckerberechtigungen Bislang sind alle Drucker im Netz freigegeben, damit sie von den Arbeitsstationen genutzt werden können. Da durch die Freigabe der Drucker alle Arbeitsstationen alle Drucker sehen, kann derzeit auch auf Druckern außerhalb des Raumes in dem die Arbeitsstation steht, ausgedruckt werden. Dies ist in einer Schule nicht wünschenswert, da andere Klassen, wenn sie ebenfalls ausdrucken wollen, dadurch gestört oder behindert werden. Wenn der ferne Drucker ausgeschaltet ist, werden die Aufträge in der Druckerwarteschlange aufgestaut und beim Einschalten ausgedruckt. Zukünftig soll nur der Drucker zur Verfügung stehen, der im gleichen Raum wie die druckende Arbeitsstation steht. 6.3.3.1 Vorbereitungen, um eine raumbezogene Druckernutzung einzurichten Um dies zu erreichen, müssen zwei weitere Gruppen im Benutzer-Manager für Domänen am Server angelegt werden. Legen Sie folgende neue Gruppen an: 1. Die globale Gruppe G_Raum001 (Geräte/Schüler im Raum 001) mit den Mitgliedern P01, P02 ... P10. 2. Die lokale Gruppe L_Raum001, die die globale Gruppe G_Raum001 und die globale Gruppe G_Lehrer enthält (jeder Lehrer soll in jedem Raum drucken können). 6.3.3.2 Anpassung der Druckerberechtigungen Standardmäßig werden von Windows NT für einen Drucker nach dessen Installation folgende Berechtigungen vergeben: 6 · Drucken im Netz Seite 113 Die Berechtigung Drucken erlaubt: • Verbindung zu einem Drucker herstellen • Drucken von Dokumenten auf diesem Drucker • Anhalten, Fortsetzen, Neustarten und Abbrechen benutzereigener Dokumente Die Berechtigung Dokumente verwalten erlaubt ausschließlich (nicht wie in vielen Publikationen irrtümlich dargestellt zusätzlich!!!): • Steuerung der Einstellungen für Druckaufträge sämtlicher Dokumente • Anhalten, Wiederaufnehmen, Neustarten und Löschen sämtlicher Dokumente Die Berechtigung Vollzugriff erlaubt noch zusätzlich zu den Berechtigungen Drucken und Dokumente verwalten: • Freigeben eines Druckers • Ändern der Druckereigenschaften • Löschen von Druckern • Ändern der Druckerberechtigungen Damit wir erreichen, dass auf einem Drucker nur Benutzer drucken, die im zugehörigen Raum arbeiten (hier: im Raum 001), haben wir die Gruppen gebildet, die diese Raumzugehörigkeit abbilden. Für die Gruppen L_Raum001 und L_Lehrer werden separate Berechtigungen erteilt. Dafür kann die Gruppe Jeder aus den Druckerberechtigungen entfernt werden. Die Druckerberechtigungen sollten nun also folgendermaßen aussehen: 6 · Drucken im Netz Seite 114 Anmerkung: Die globale Gruppe G_Lehrer muss Mitglied der lokalen Raumgruppe L_Raum001 sein, sonst haben die Lehrer kein Recht zu drucken, können noch nicht einmal eine Verbindung zu einem Drucker herstellen! Lehrer können jetzt also als Mitglied der lokalen Raumgruppe L_Raum001 drucken, andererseits können Sie als Mitglied der lokalen Lehrergruppe L_Lehrer Dokumente auch anderer Benutzer (hier der Schüler) an diesem Drucker verwalten. 6.3.4 Druckaufträge erstellen und verwalten Jeder Benutzer mit Druckberechtigung kann aus seinen Anwendungen heraus drucken. Wenn ein Benutzer Druckberechtigungen auf mehr als einem Drucker hat, ist einer dieser Drucker Standarddrucker. Gegebenenfalls muss der Benutzer beim Ausdruck aus einer Anwendung heraus, einen anderen Drucker wählen. Hat der Benutzer Zugriff auf das Menü START – EINSTELLUNGEN – DRUCKER kann er eigene und bei entsprechenden Berechtigungen auch fremde Druckaufträge verwalten. Im vorliegenden Beispiel kann der Benutzer P02 den Druckauftrag des Administrators nicht beeinflussen, er kann aber z. B. seine eigenen Druckaufträge anhalten und fortsetzen bzw. auch ganz abbrechen. Mit Abbrechen wird der Druckauftrag aus der Warteschlange gelöscht! 6 · Drucken im Netz Seite 115 Hat der Administrator des Druckers beim Druckserver die Option Benachrichtigen, wenn Remote-Aufträge gedruckt wurden aktiviert, erhält der Benutzer eine entsprechende Nachricht, wenn sein Druckauftrag gedruckt wurde. Das verhindert, dass ungeduldige Schüler ihr Dokument mehrfach drucken. Ein Lehrer kann im vorliegenden Beispiel auch die Druckaufträge der anderen Raumbenutzer abbrechen, da er die Berechtigung Dokumente verwalten hat. Damit kann er eventuell aus Vorstunden noch vorhandene Druckaufträge leicht löschen. Er braucht dazu nur den Druckerordner zu öffnen und sieht in der Detaildarstellung, ob Druckaufträge vorhanden sind. Ggf. muss er nun diesen Drucker anwählen, die Dokumente markieren und den Menüpunkt Dokument, Abbrechen wählen. 6.3.5 Freigegebene Drucker mit dem Arbeitsplatz verbinden In unserem Modell gibt es pro Arbeitsstation nur einen arbeitsplatzbezogenen Benutzer. Für ihn kann ein Drucker leicht unter Windows NT eingerichtet werden. Geht man wie in den Kapiteln 6.3.1.2 bzw. 6.3.2.2 beschrieben vor, muss man, wenn man mehrere Räume hat, für jeden Lehrer jeden Raumdrucker einrichten. Will man erreichen, dass ein Benutzer, der sich an verschiedenen Arbeitsstationen in unterschiedlichen Räumen anmeldet, sofort mit dem Drucker verbunden wird, der für die aktuelle Arbeitsstation „zuständig“ ist, kann man über einen Befehl auf der Kommandozeilenebene die lokale Druckerschnittstelle (z. B. LPT1) dieser Arbeitsstation mit einem freigegebenen Drucker verbinden. 6 · Drucken im Netz Seite 116 Die lokale Druckerschnittstelle (z. B. LPT1) muss für den Druckertyp eingerichtet werden, über den später die Umleitung der Druckaufträge erfolgen soll. In unserem Beispiel für einen Drucker des Typs HP LaserJet 5. 6.3.5.1 Drucker lokal als Administrator einrichten 1. Unter START – EINSTELLUNGEN – DRUCKER das Symbol Neuer Drucker doppelt klicken. 2. Die Option Drucker am Arbeitsplatz wählen. 3. Unter Verfügbare Anschlüsse z. B. LPT1 wählen. 4. Druckertyp auswählen (z. B. HP LaserJet 5). 5. Die Fragen nach Druckername (hier beliebig!) und Standarddrucker beantworten: 6. Drucker Nicht freigeben! 7. In diesem Fall braucht keine Testseite gedruckt werden! 8. Fertigstellen. 6 · Drucken im Netz Seite 117 6.3.5.2 Druckerschnittstelle mit Netzwerkdrucker verbinden Auf Kommandozeilenebene (MS-DOS Eingabeaufforderung) wird folgender Befehl eingegeben: Beim Drucken aus einer Anwendung wird zwar jetzt der eingerichtete lokale Drucker angezeigt (im Bsp. PRN001L), der Ausdruck wird aber durch die erfolgte Verbindung mit dem freigegebenen Netzwerkdrucker auf diesen umgeleitet. Der Ausdruck erfolgt also tatsächlich über die Druckerfreigabe F_PRN001. Die Druckaufträge werden ganz kurz unter dem lokalen Drucker angezeigt, mit der Weitergabe an den Netzwerkdrucker verschwinden sie aus der Anzeige. Am Netzwerkdrucker erscheinen sie als Remote-Druckaufträge. Diese Lösung hat einen entscheidenden Nachteil: Nur wer den Netzwerkdrucker eingerichtet hat, kann ihn verwalten! Will man sich also die Einrichtung aller Netzwerkdrucker bei den Lehrern auf diese Art und Weise ersparen, kann man die Druckaufträge aller Benutzer im Raum nicht mehr verwalten! Eine Umleitung kann mit dem Komando net use lpt1: /D wieder aufgehoben werden (/D steht hier für Delete). Der Befehl für die Umleitung kann auch in ein Anmeldeskript aufgenommen werden. 7 · Systemrichtlinien für NT-Arbeitsstationen und deren Benutzer 7 Seite 118 Systemrichtlinien für NT-Arbeitsstationen und deren Benutzer 7.1 Systemrichtlinien einrichten Den Systemrichtlinieneditor finden Sie im Menü START – VERWALTUNG (ALLGEMEIN) – SYSTEMRICHTLINIENEDITOR des PDC. Aufgerufen wird dadurch die Anwendung POLEDIT.EXE. Achten Sie hier auf das aktuelle Service-Pack! Nach dem Aufruf erscheint nur ein leeres Fenster. Man muss nun über das Menü Datei, Neue Richtlinie eine neue Richtlinie einrichten. Es erscheint die folgende Abbildung: Diese neue Richtlinie ist unbedingt in der Freigabe NETLOGON unter dem Dateinamen NTCONFIG.POL auf dem PDC zu speichern, damit sie bei Anmeldevorgängen benutzt werden kann. Standardmäßig gilt für die Freigabe NETLOGON die Freigabeberechtigung Lesen für die Gruppe Jeder. Sie müssen daher eventuell beim Speichern von NTCONFIG.POL den Pfad C:\winnt\system32\repl\import\scripts\ angeben! Nun lassen sich sowohl computerspezifische als auch benutzer- und gruppenspezifische Einstellungen vornehmen. Lassen Sie die Einträge von Standard-Computer und Standardbenutzer zunächst unverändert! Würden Sie hier etwas ändern, würde es für alle Computer und alle Benutzer der gesamten Domäne gelten, selbst für den PDC und für den Administrator! Das kann leicht dazu führen, dass das Netz nicht mehr verwaltbar ist. 7 · Systemrichtlinien für NT-Arbeitsstationen und deren Benutzer Seite 119 Erstellen Sie also auf jeden Fall, bevor sie irgend eine Änderung an den Einstellungen der Systemrichtlinien vornehmen, eine spezifische Richtlinie für den Computernamen ihres PDC (hier: S1) und ggf. weiterer Server. Sie können dann eventuell später für alle anderen Computer die Einstellungen für den Standard-Computer verändern. Falls Sie das tun, empfehlen wir, zunächst auch noch eine Kopie vom noch nicht bearbeiteten StandardComputer zu erstellen, so dass Sie ggf. nochmals auf die Originaleinstellungen zurückgreifen können! Dazu wählen Sie Bearbeiten, Computer hinzufügen und geben einen beliebigen Namen (in unserem Bsp.: Standard_Original) ein: Tatsächlich vorhandene Computer wie den PDC S1 können Sie über die Schaltfläche Durchsuchen aus einer Browserliste auswählen und so in das Namensfeld eintragen lassen. Ebenso sollten Sie auf jeden Fall eine spezifische Richtlinie für die globale Gruppe der Domänen-Administratoren erstellen. Sie können diese spezifische Richtlinien erzeugen, indem Sie im Menü Bearbeiten, Gruppe hinzufügen wählen. Beim Hinzufügen können Sie auch hier über die Schaltfläche Durchsuchen die Namen aller verfügbaren globalen Gruppen der Domäne einsehen. 7 · Systemrichtlinien für NT-Arbeitsstationen und deren Benutzer Seite 120 Die Gruppennamen können bei Ihnen natürlich anders lauten. Achten Sie darauf, dass der Administrator nicht aus Versehen Mitglied von Lehrer- oder Schülergruppen ist, die Sie mit Richtlinien versehen möchten. Sie können nun für jeden gewünschten Computer, für jede gewünschte Gruppe oder jeden gewünschten Benutzer eine spezifische Richtlinie erstellen. Diese tritt dann anstatt der Standard-Richtlinien (Standardbenutzer bzw. Standard-Computer) bei der Anmeldung in Kraft. 7.2 Systemrichtlinien bearbeiten Durch einen Doppelklick auf eine Gruppe, einen Benutzer oder einen Computer öffnen Sie die spezifische Richtlinie zur Bearbeitung. 7.2.1 Richtlinien für Benutzer und Gruppen am Beispiel der Gruppe G_Lehrer Richtlinien für Benutzer und Gruppen sind gleich aufgebaut. Es empfiehlt sich, wie bei der Vergabe von Berechtigungen, Einstellungen für Gruppen vorzunehmen. Nachfolgend werden die Einstellungen für die globale Gruppe G_Lehrer vorgestellt und ihre Auswirkungen beschrieben. 7 · Systemrichtlinien für NT-Arbeitsstationen und deren Benutzer Seite 121 Durch einen Doppelklick auf das jeweilige Buchsymbol oder einen Klick auf das + - Zeichen kann man die Optionen einblenden. Die Optionen werden eingeschaltet (Häkchen), abgeschaltet (weißes Kästchen) oder die bisherigen Registrierungseinstellungen bleiben unverändert (graues Kästchen). Einstellungen, die Sie hier vornehmen, wirken sich also bei der Anmeldung auf den Registry-Teilbaum HKEY_CURRENT_USER aus. Die meisten Optionen sind selbsterklärend. Auch zum Systemrichtlinieneditor gibt es ein eigenes Hilfeprogramm. Ebenso existiert inzwischen umfangreiche Literatur. Da zahlreiche Optionen für unser Unterrichtsnetz eine untergeordnete Bedeutung besitzen, werden im Folgenden die wichtigsten Optionen, die für uns von Relevanz sind, genauer erläutert: • Systemsteuerung - Wählt man diese erste Option Anzei- ge in der Option Systemsteuerung, kann man im unteren Teil des Fensters nochmals genauer differen- zieren. Die erste Option schließt im Grunde alle anderen ein. Der Benutzer kann also die Bildschirmanzeige nicht mehr selbst aufrufen und ggf. verändern. Normalerweise ist das jedem Benutzer durch Aufruf der Eigenschaften der Anzeige durch Klick mit der rechten Maustaste irgendwo auf dem Desktop möglich! • Desktop - Im Bereich Desktop bleiben die Standards zum Hintergrundbildschirm und zum Farbschema (also so, wie vorher auf diesem Computer eingerichtet!). Haben Sie also schon bevor Sie Systemrichtlinien einsetzen einen anderen Hintergrund gewählt, bleibt dieser erhalten. 7 · Systemrichtlinien für NT-Arbeitsstationen und deren Benutzer Seite 122 • Shell, Zugriffsbeschränkungen - Ohne den Befehl Ausführen können keine Programme über die Eingabe eines Programmnamens gestartet werden. - Werden die Ordner unter ’Einstellungen' im Menü 'Start' entfernt, kann der Benutzer keine Drucker einrichten und einsehen und auch die Systemsteuerung nicht aufrufen. Für Lehrer benötigt man jedoch Einsicht in die Drucker, deshalb darf hier diese Einstellung nicht aktiviert werden (bei Schülern nach Einrichtung eines Druckers schon). - Auch die Task-Leiste ist bei entsprechender Wahl nicht mehr erreichbar, also können die Eigenschaften der Task-Leiste (START – EINSTELLUNGEN – TASK-LEISTE und STARTMENÜ) auch nicht mehr verstellt werden. - Eminent wichtig kann es sein, den Befehl ’Suchen’ zu entfernen, weil damit das Suchen nach Dateien/Ordnern (auf lokalen Laufwerken oder freigegebenen Laufwerken), aber auch nach anderen Computern unterbunden wird. - Das Ausblenden der Laufwerke im Fenster ’Arbeitsplatz’ gilt auch für das Laufwerk A:. Sie werden dann bei den Standarddialogen der Menüs Datei, Öffnen und Datei, Speichern nicht gezeigt! Natürlich kann das Laufwerk A: trotzdem einem Dateinamen beim Öffnen oder Speichern vorangestellt werden. Eventuell kann dem Benutzer auch eine Verknüpfung zum Laufwerk A: auf den Desktop gelegt werden oder das Kontextmenü Senden an... der rechten Maustaste kann auf das Diskettenlaufwerk verweisen (so haben wir es eingerichtet). - Das Ausblenden der Netzwerkumgebung verhindert das Anzeigen dieses Symbols auf dem Desktop. Allerdings gibt es unerwünschte Nebeneffekte. So wurden bei unseren Tests bei Aktivierung dieses Kontrollkästchen die Symbole servergespeicherter eigener Benutzervorlagen in MS Word 97 nicht mehr angezeigt. Das hat uns veranlasst, diese Option zu deaktivieren. Das Symbol Netzwerkumgebung wird dann zwar gezeigt, bleibt aber leer, wenn man die beiden folgenden Optionen Kein Symbol ’Gesamtes Netzwerk’ und Keine Arbeitsgruppencomputer in... wählt. - Mit Alle Desktop-Elemente ausblenden bekommt man einen leeren Bildschirm. Man muss dann selbst für alle Desktop-Elemente sorgen. 7 · Systemrichtlinien für NT-Arbeitsstationen und deren Benutzer - Seite 123 Der Befehl Beenden ist zwingend notwendig, um das System geordnet herunterzufahren, also nicht deaktivieren! - Die Option ’Keine Einstellungen beim Beenden speichern’ wirkt sich nur auf Desktopeinstellungen aus, die der Benutzer vorgenommen hat. Anmerkung: Dies kann man auch anders regeln: Es ist etwa möglich, benutzerspezifische Desktopeinstellungen der Lehrer (und auch der Schüler) in einem speziellen Ordner zu speichern. Wenn auf diese Ordner nur Leseberechtigung vergeben werden wie z. B. auf die Freigabe NETLOGON, können die Benutzer keine Desktopänderungen speichern. • System, Zugriffsbeschränkungen - Dass Lehrer und Schüler die Programme REGEDIT.EXE bzw. REGEDT32.EXE nicht benutzen sollen, ist selbstverständlich. - Die Option Nur zugelassene Anwendungen für Windows ausführen mag bei Benutzern gewählt werden, die nur ein oder zwei Programme benötigen. Dann können in einem speziellen Fenster diese Anwendungen genannt werden (Namen der .EXE bzw. .COM-Dateien). Bei unseren komplexen Anwendungen erwies sich das als nicht praktikabel, weil bei vielen Anwendungen gar nicht klar ist, welche ausführbaren Dateien denn nun eigentlich zu Grunde liegen. • Windows NT-Shell, Benutzerdefinierte Oberfläche - Statt des NT-Explorers könnte eine eigene benutzerdefinierte Shell Anwendung finden. • Windows NT-Shell, Benutzerdefinierte Ordner - Auf dem PDC kann ein Startmenü mit allen Ordnern und Verknüpfungen vom Administrator erstellt werden. Es ersetzt dann vollkommen das Startmenü, das normalerweise über das lokale Profil bzw. über das Profil All Users bestimmt wird. 7 · Systemrichtlinien für NT-Arbeitsstationen und deren Benutzer Seite 124 Dieses benutzerdefinierte Startmenü kann z. B. in der Standardfreigabe NETLOGON abgelegt werden, weil dort die Gruppe Jeder automatisch Leserechte hat. Lehrer und Schüler erhalten dann über ihre Anmeldeskripte eine Verbindung zu dieser Freigabe über einen Laufwerksbuchstaben (im Bsp.: N:). Entsprechend heißt jetzt der anzugebende Pfad für den benutzerdefinierten Ordner Programme N:\L_Startmenü\Programme (hier wird leider kein UNC-Pfad akzeptiert). Am einfachsten wird ein benutzerdefiniertes Startmenü erstellt, indem man ein Startmenü aus einem bestehenden lokalen Profil abändert und in den gewünschten Pfad kopiert. Das könnte z. B. das Startmenü eines Lehrers sein, das in der Freigabe F_Serverprofile abgelegt ist. Beachten Sie dabei, dass Sie durch Ihr Startmenü beispielsweise auch selbst bestimmen, ob die DOS-Eingabeaufforderung wählbar ist oder nicht. Die folgende Abbildung zeigt beispielhaft die Struktur eines benutzerdefinierten Startmenüs in der Freigabe NETLOGON. Nach dem Anmelden eines Mitglieds der globalen Gruppe G_Lehrer zeigen sich die Auswirkungen dieser Richtlinie im Startmenü: Sie können für jeden Benutzer (oder für eine ganze Gruppe, für die Sie eine Richtlinie erstellen) auch einen bestimmten Desktop vorgeben, der bei jedem Anmelden erscheint. Sie müssen dazu als Administrator die gewünschten Desktop-Verknüpfungen erstellen und diese ebenfalls in einem freigegebenen Ordner speichern. Auch hier empfiehlt sich als Speicherort die Standardfreigabe NETLOGON. 7 · Systemrichtlinien für NT-Arbeitsstationen und deren Benutzer - Der benutzerdefinierte Seite 125 Desktop verweist dann zum Beispiel auf N:\Desktop\Lehrer\%USERNAME%, ist also hier benutzerspezifisch. Die folgende Abbildung zeigt den entsprechenden Ordner in der Freigabe NETLOGON für den Benutzer Gun. Die Verknüpfungen zeigen auf das Diskettenlaufwerk A:\, den persönlichen Arbeitsordner der Benutzers Gun (H:\), auf das Tauschverzeichnis (T:\), das CD-Laufwerk im Server (R:\) und auf das lokale CD-Laufwerk. Die Verknüpfung Alle Drucker öffnet den Druckerordner für den Benutzer. Alle diese Verknüpfungssymbole erhält der Benutzer Gun nach seiner Anmeldung zusätzlich zu den Standardsymbolen Arbeitsplatz, Netzwerkumgebung, Papierkorb und Internet-Explorer auf seinen Bildschirm. Anmerkung: Vergleichen Sie für die Laufwerksverknüpfungen auch das Anmeldeskript in Kapitel 3. In diesem Kapitel wurde auch beschrieben, wie solche Verknüpfungen erstellt werden. Auch hier bietet es sich an, diese Desktop-Verknüpfungen aus einem bestehenden Benutzerprofil eines Lehrers in die Freigabe F_Serverprofile zu kopieren. Sie finden die Verknüpfungen dort im Ordner Desktop. Wollte man für alle Lehrer die gleichen Desktopeinstellungen, würde man nur auf N:\Desktop\Lehrer verweisen. 7 · Systemrichtlinien für NT-Arbeitsstationen und deren Benutzer - Seite 126 Verwendet man benutzerdefinierte Ordner für Programme bzw. Desktopsymbole müssen untergeordnete Ordner im Menü 'Start' ausgeblendet werden. Also jetzt unbedingt das 3. Kontrollkästchen ankreuzen! Die übrigen Pfadangaben ergeben sich aus den vorangegangen Einstellungen: - Der benutzerdefinierte Autostart verweist im Beispiel auf N:\L_Start- menü\Programme\Autostart. - Das benutzerdefinierte Menü 'Start' verweist im Beispiel auf N:\ L_Startmenü. Anmerkung: Man kann also ein gesamtes benutzerdefiniertes Startmenü erstellen oder nur den Ordner Programme selbst gestalten usw. Wir haben das gesamte Startmenü für die Lehrer benutzerdefiniert gestaltet, an einer Stelle (hier in NETLOGON) gespeichert und bei den Systemrichtlinien die Pfade dazu angegeben. Alle Einstellungen lassen sich bei den Schülern vergleichbar durchführen: Benutzerdefinierter Pfad bei Gruppe G_Lehrer Pfad bei Gruppe G_Schueler - Programme N:\L_Startmenü\Programme N:\S_Startmenü\Programme - Desktop N:\Desktop\Lehrer\%Username% N:\Desktop\Schueler\%Username% - Autostart N:\L_Startmenü\Programme\Autostart N:\S_Startmenü\Programme\Autostart - Start N:\L_Startmenü N:\S_Startmenü Ordner 7 · Systemrichtlinien für NT-Arbeitsstationen und deren Benutzer Seite 127 Hat man nicht für jeden Schüler, sondern für die gesamte globale Gruppe G_Schueler einen gemeinsamen Desktop vorgesehen, gibt man natürlich nur N:\DESKTOP/ Schueler als Pfad ein!) • Windows NT-Shell, Zugriffsbeschränkungen - Bei den Zugriffsbeschränkungen der NT-Shell muss das erste Kontrollkästchen ausgeschaltet werden. Aktiviert man es, laufen die Internet- Explorer 3, 4 oder 5 nicht mehr, weil standardmäßig, nach der Installation von NT, der Internet-Explorer 2 die "erlaubte" Shell-Erweiterung ist! - Die Aktivierung des 2. Punktes entfernt das Menü Datei aus dem Explorer. Übrigens ist dieses Menü auch über die rechte Maustaste (Kontextmenü) erreichbar! - Wichtig dagegen ist der 3. Punkt. Er vermeidet es, dass allgemeine Programmgruppen aus dem All Users-Profil zur Bildung dieses speziellen Benutzerprofils herangezogen werden. So vermeidet man die Aufnahme der Programmgruppen Ver- waltung (Allgemein) und Autostart (Allgemein) ins Lehrer- bzw. Schüler-Startmenü einer NT-Arbeitsstation. - Der 4. Punkt untersagt es, das Kontextmenü aufzurufen. Also können auch von hier aus keine Änderungen mehr an den Eigenschaften der TaskLeiste vorgenommen werden. Damit fehlen dann aber auch die anderen Möglichkeiten des Kontextmenüs. Für den Task-Manager bietet sich aber später noch eine spezielle Möglichkeit! - Das Standard-Kontextmenü des Explorers sollte in den Systemrichtlinien nicht entfernt werden, weil sonst die Funktionalität der rechten Maustaste in den ExplorerFenstern vollständig verlorengeht. Auch die Arbeitsplatz-Ansicht wird vom NT-Explorer gesteuert! 7 · Systemrichtlinien für NT-Arbeitsstationen und deren Benutzer Seite 128 Man könnte dann nicht mehr dokumentenorientiert arbeiten, also etwa keine neuen Dateien oder Ordner mehr mit Hilfe der rechten Maustaste anlegen. Ein Kontextmenü wie es nachfolgend gezeigt wird, wäre somit nicht mehr möglich! - Für den Schulbetrieb wichtig ist die Option ’Netzlaufwerke verbinden’ und ’Netzlaufwerke trennen’ entfernen. Wird Sie aktiviert, werden weder in der Arbeitsplatz-, noch in der Explorer-Ansicht diese Möglichkeiten angezeigt, was wesentlich dazu beitragen kann, dem „Suchtrieb“ der Schüler und Lehrer Einhalt zu gebieten. Anmerkung: Natürlich brauchen Netzwerkbenutzer Netzlaufwerke. Jedoch sollten die Benutzer diese Laufwerke nicht selbst verbinden bzw. trennen können. Deshalb werden alle Netzlaufwerke über ein Anmeldeskript dauerhaft zur Verfügung gestellt! (Vergleiche hierzu Kapitel 3) - Das automatische Verfolgen von Dateiverknüpfungen verfolgt nicht den UNCPfad in Anwendungen, sondern verarbeitet ausschließlich die eingegebenen Pfade (z. B. H:\ anstatt \\S1\F_Fre). • Windows NT-System - Bei den Richtlinien für das Windows NT-System sind nur zwei Ein- 7 · Systemrichtlinien für NT-Arbeitsstationen und deren Benutzer Seite 129 stellungen wichtig. Der 2. Punkt sorgt dafür, dass zuerst ein Anmeldeskript ausgeführt wird, bevor die Shell gestartet wird. Anmerkung: Diese 2. Option ist auch bei computerspezifischen Richtlinien wählbar. Eine dort gemachte Einstellung hat Vorrang vor den benutzer- bzw. gruppenspezifischen Einstellungen. Wird bei computerspezifischen Richtlinien auch diese Einstellung gewählt, erscheint sie später bei den benutzerspezifischen Systemrichtlinien als Voreinstellung, also als graues Kästchen! Vor der Shell wird aber noch ein bereits vorhandenes Benutzerprofil ausgewertet! Wir löschen daher im Anmeldeskript die alten, weil diese sonst immer wieder gemäß einem früheren Profil für diesen Benutzer hergestellt würden! - Der 3. Punkt verhindert das Aufrufen des Task-Managers über die Tastenkombination STRG+ALT+ENTF. Ist der Task-Manager verfügbar, kann der Benutzer eine nicht mehr reagierende Anwendung beenden, ohne dass er sich abmelden bzw. das System heruntergefahren muss. Das ist ein Hauptvorteil von Windows NT. Dass über STRG+ALT+ENTF jetzt auch noch andere Optionen erscheinen, stört wenig. Herunterfahren und Abmelden kann man auch so immer, das Sperren der Arbeitsstation kann der Benutzer selbst wieder aufheben (der Administrator auch!) und ob man Schülern das Ändern des Kennworts erlaubt oder nicht, kann der Administrator beim Anlegen des Kontos bestimmen. Gegen den Task-Manager spricht, dass von dort aus normalerweise auch ein neuer Task gestartet werden kann und das heißt, der Benutzer hat über diesen „Umweg“ die Funktionalität des Befehls Ausführen aus dem Startmenü wieder. Hat man aber den Befehl Ausführen unter den Zugriffsbeschränkungen der Shell entfernt, ist auch hier die Möglichkeit, einen neuen Task zu starten, deaktiviert. Wir empfehlen also, den Task-Manager hier beizubehalten! 7.2.2 Richtlinien für Computer Damit kommen wir zu den computerspezifischen Einstellungen, die wir für den Standard-Computer, also für jede NT-Arbeitsstation vorgenommen haben. Anmerkung: Würde man nicht den Standard-Computer verwenden, müsste man für jeden PC in der Domäne eine spezifische Richtlinie erstellen, was mit einem erheb- 7 · Systemrichtlinien für NT-Arbeitsstationen und deren Benutzer Seite 130 lichen Aufwand verbunden wäre (Allerdings kann man spezifische Einstellungen auch kopieren!). Die jetzt vorzunehmenden Einstellungen würden auch für den PDC und weitere Server gelten, es sei denn, man hat diese, wie zu Anfang des Kapitels beschrieben und gefordert, mit spezifischen Richtlinien versehen! Anmerkung: Viele der möglichen Einstellungen haben für uns im Schulbetrieb kaum eine Bedeutung. Aufgeführt sind daher im Folgenden nur die Optionen mit schulischer Relevanz. • Windows NT-System, Anmeldung - Interessant ist die Möglichkeit, eine Anmeldenachricht einzugeben. Diese wird dann vor dem Anmeldebildschirm gezeigt! - Die 2. Option ist Standard bei NTArbeitsstationen, nicht jedoch beim Server, d. h. beim Server muss man erst einmal angemeldet sein, bevor man ihn wieder herunterfahren kann. - Die 3. Option zu wählen, ist bei häufigem Benutzerwechsel an einem Gerät sinnvoll, weil standardmäßig immer der Benutzername des zuletzt angemeldeten Benutzers im Anmeldefenster gezeigt wird. Wählt man diese Option nicht, lässt man sich also stets den letzten Benutzer anzeigen, fördert das eventuell auch ein wenig das Verantwortungsbewusstsein. Jeder sieht, wer vor ihm am Gerät war. Das gilt auch für Lehrer. Man weiß also jetzt, wer evtl. seine Druckerwarteschlangen nicht gelöscht hat, usw. - Die Einstellung Führt Anmeldeskripten gleichzeitig aus wurde weiter oben bei den gruppenspezifischen Richtlinien schon beschrieben. • Windows NT-System, Dateisystem - Die Wahl unter Dateisystem hängt davon ab, ob man noch die 8.3-Dateinamen auf dem PC für DOS-Anwendungen benötigt. Wenn nicht, sollte man die Option wählen, weil dadurch Rechnerzeit und Speicherplatz gespart wird. Benötigt man 8.3-Dateinamen noch, kann man angeben, ob auch andere als die Zeichen aus den Anfangszeiten dieses Betriebsystems in diesen Namen erlaubt sein sollen. 7 · Systemrichtlinien für NT-Arbeitsstationen und deren Benutzer Seite 131 • Windows NT-System, Benutzerprofile - Die hier gewählte Option sorgt dafür, dass ein lokal gespeichertes Profil (das bei jeder interaktiven, also lokalen Anmeldung angelegt wird, auch wenn das Profil wie bei uns vom Netzwerk geladen wird), nach dem Abmelden wieder gelöscht wird. Durch diese Option erreichen wir, dass kein Lehrer und kein Schüler auf einer NT-Arbeitsstation sein Profil hinterlässt, was viel zur Übersichtlichkeit und Einheitlichkeit der Arbeitsstationen beiträgt. - Interessant sind vielleicht noch die beiden folgenden Einstellungen für den Systemadministrator: Die erste ermöglicht die Fernverwaltung von Computern, an denen ein Benutzer unter NT interaktiv angemeldet ist, vom PDC aus (Remote-Verwaltung). Der Administrator kann sich dadurch mit den freigegebenen Laufwerken auf allen Arbeitsstationen verbinden. Er kann dorthin Dateien kopieren, dort Dateien löschen, Berechtigungen vergeben bzw. ändern, usw. Diese versteckten Freigaben erhalten immer ein Dollarzeichen als Anhang und werden in den Browser-Listen nicht gezeigt. Man muss diese Freigabenamen daher beim Verbinden immer von Hand eingeben. Umgekehrt, hat man Laufwerke auf dem Server so freigegeben (dies muss natürlich in der entsprechenden Computerrichtlinie für den Server erfolgen), kann auch von Arbeitsstationen aus zu allen Server-Laufwerken verbunden werden. Anmerkung: Diese versteckten Laufwerksfreigaben auf Arbeitsstationen und Server sind NT-Standard, werden also bei jedem Hochfahren automatisch eingerichtet. Die Optionen in den Systemrichtlinien machen es also nur möglich, darauf zu verzichten! Allerdings sind sie nur den Administratoren zugänglich. 7.3 Systemrichtlinien einsetzen Hat man Systemrichtlinien gesetzt und die dabei erzeugte Datei NTCONFIG.POL in der Freigabe NETLOGON gespeichert, wird nun bei jeder Anmeldung an die Domäne diese Datei gelesen. Wurde nun für einen Benutzer, eine Gruppe oder einen Computer eine spezifi- 7 · Systemrichtlinien für NT-Arbeitsstationen und deren Benutzer Seite 132 sche Richtlinie erstellt, dann treten diese Einstellungen statt der Standardeinstellungen von Windows NT in Kraft. Die Einstellungen in den Richtlinien überschreiben dabei die entsprechenden Werte, die in der Datei NTUSER.DAT des Benutzerprofils des Benutzers stehen, der sich gerade interaktiv, also lokal, anmeldet. Die neuen Werte werden nun in den benutzerbezogenen Teilbaum HKEY_CURRENT_USER bzw. in den rechnerbezogenen Teilbaum HKEY_LOCAL_MACHINE der Registry eingefügt. Damit ist die Arbeitsumgebung des Benutzers festgelegt. Die Systemrichtlinien wirken also wie eine Art Filter, durch den man Beschränkungen für einen Benutzer zentral festlegen kann. Sie sind damit für den betroffenen Rechner bzw. Benutzer in der Domäne bindend. Anmerkung: Haben Sie bereits verpflichtende servergespeicherte Profile, müssen Sie natürlich vor dem Einsatz von Systemrichtlinien die Datei NTUSER.MAN wieder in NTUSER.DAT umbenennen. Wir empfehlen, vor dem Einsatz von Systemrichtlinien ein schon bestehendes servergespeichertes Profil ganz zu löschen. Dann wird der „neue Benutzer“ erstmals interaktiv angemeldet. Sein Profil wird nun, durch die Systemrichtlinien beeinflusst, lokal gebildet. Beim Abmelden wird es in den angegebenen Serverpfad zurückgespeichert und lokal eventuell gleich wieder gelöscht. Benutzer, gruppen- bzw. computerspezifische Richtlinien sind als Einheit aufzufassen. Ein Test „zwischendurch“ führt also oft nicht zu dem gewünschten Ergebnis. Ein Beispiel soll das verdeutlichen: Hat man im Anmeldeskript eine Netzlaufwerkverbindung zum Laufwerk N:\, muss erst in den Richtlinien der Gruppe bzw. für den Standard-Computer dafür gesorgt werden, dass Anmeldeskripte gleichzeitig ausgeführt werden. Ein Test, bevor dieses Kreuzchen gesetzt wird, muss also misslingen. Falls es für einen Benutzer sowohl eine Benutzer- als eine Gruppenrichtlinie gibt, hat die Benutzerrichtlinie Vorrang. Gehört ein Benutzer mehreren Gruppen an, für die es jeweils eigene Richtlinien gibt, kann mit dem Systemrichtlinieneditor eine Gruppenpriorität festgelegt werden (Menüpunkt Optionen). 7 · Systemrichtlinien für NT-Arbeitsstationen und deren Benutzer Seite 133 7.4 Verzeichnis- und Dateiberechtigungen bei NT-Arbeitsstationen 7.4.1 Totaler Schutz der lokalen Arbeitsstation Untersucht man die Verzeichnisberechtigungen bei einer neuinstallierten NT-Arbeitsstation, so liegen standardmäßig schon Verzeichnisberechtigungen vor (siehe Spalte 3 und 4 in der folgenden Tabelle). Um nun die lokale Arbeitsstation gegen unberechtigten Zugriff (die Schüler und Lehrer sollen keine Veränderungen an der lokalen Festplatte vornehmen können) zu schützen, könnten folgende Veränderungen eingestellt werden (siehe hierzu die Einstellungen in Spalte 5 und 6 der folgenden Tabelle). Ferner sollte zusätzlich sollte die Gruppe Jeder durch Benutzer ersetzt werden! Anmerkung: In Spalte 5 und 6 der folgenden Tabelle sind nur die Änderungen eingetragen! Hier werden nur die Verzeichnisse genannt, die zu ändern sind. Eine vollständige Tabelle über alle Verzeichnisse finden Sie im Anhang. Im Verzeichnis C:\Programme und allen Unterverzeichnissen sind die Berechtigungen mit dem NT-Explorer folgendermaßen zu setzen: - Administratoren: Vollzugriff - Benutzer: Lesen 7 · Systemrichtlinien für NT-Arbeitsstationen und deren Benutzer Seite 134 Die folgenden Veränderungen gelten nur für eine neuinstallierte NT-Arbeitsstation! Nachfolgend installierte Anwendungsprogramme erfordern eventuell andere Berechtigungen an den aufgeführten Verzeichnissen. Standardberechtigung Veränderung Verzeichnis Gruppe Berechtigung Berechtigung Berechtigung Berechtigung für für für für Verzeichnisse Dateien Verzeichnisse Dateien C:\ ErstellerBesitzer Vollzugriff Vollzugriff -entfernen- -entfernen- Benutzer Ändern Ändern Lesen Lesen Standardberechtigung Veränderung Verzeichnis Gruppe Berechtigung Berechtigung Berechtigung Berechtigung für für für für Verzeichnisse Dateien Verzeichnisse Dateien C:\Programme Benutzer Vollzugriff Vollzugriff Lesen Lesen C:\Programme\Plus! Benutzer Vollzugriff Vollzugriff Lesen Lesen C:\Programme\Plus!\Microsoft\ Internet Benutzer Vollzugriff Vollzugriff Lesen Lesen C:\Programme\Plus!\Microsoft\ Internet\Cache Benutzer Vollzugriff Vollzugriff Lesen Lesen C:\Programme\Plus!\Microsoft\ Internet\Dokumente Benutzer Vollzugriff Vollzugriff Lesen Lesen C:\Programme\Plus!\Microsoft\ Internet\Verlauf Benutzer Vollzugriff Vollzugriff Lesen Lesen C:\Programme\Plus!\ Windows NT Benutzer Vollzugriff Vollzugriff Lesen Lesen C:\Programme\Plus!\ Windows NT\Messaging Benutzer Vollzugriff Vollzugriff Lesen Lesen C:\Programme\Plus!\ Windows NT\Zubehör Benutzer Vollzugriff Vollzugriff Lesen Lesen C:\Programme\Plus!\Windows NT\Zubehör\ImageVue Benutzer Vollzugriff Vollzugriff Lesen Lesen Standardberechtigung Veränderung Verzeichnis Gruppe Berechtigung Berechtigung Berechtigung Berechtigung für für für für Verzeichnisse Dateien Verzeichnisse Dateien C:\Temp ErstellerBesitzer Vollzugriff Vollzugriff -entfernen- -entfernen- Benutzer Ändern Ändern RWX RWXD 7 · Systemrichtlinien für NT-Arbeitsstationen und deren Benutzer Seite 135 Standardberechtigung Veränderung Verzeichnis Gruppe Berechtigung Berechtigung Berechtigung Berechtigung für für für für Verzeichnisse Dateien Verzeichnisse Dateien C:\WINNT Benutzer Vollzugriff Vollzugriff Lesen Administrator: Vollzugriff Lesen Administrator: Vollzugriff C:\WINNT\CONFIG Benutzer Ändern Ändern Lesen Lesen C:\WINNT\CURSORS Benutzer Ändern Ändern Lesen Lesen C:\WINNT\Fonts Benutzer Ändern Ändern Lesen Lesen C:\WINNT\Help Benutzer Ändern Ändern Lesen Lesen C:\WINNT\inf Benutzer Ändern Ändern Lesen Lesen C:\WINNT\Media Benutzer Ändern Ändern Lesen Lesen C:\WINNT\ShellNew Benutzer Vollzugriff Vollzugriff Lesen Lesen C:\WINNT\System Benutzer Ändern Ändern Lesen Lesen C:\WINNT\system32 Benutzer Ändern Ändern Lesen Lesen C:\WINNT\system32\os2 Benutzer Ändern Ändern Lesen Lesen C:\WINNT\system32\os2\dll Benutzer Ändern Ändern Lesen Lesen C:\WINNT\system32\viewers Benutzer Ändern Ändern Lesen Lesen C:\WINNT\system32\wins Benutzer Vollzugriff Vollzugriff Lesen Lesen Wenn die Veränderungen in Spalte 5 und 6 so vorgenommen werden, wobei die übrigen Einstellungen für die Administratoren und das System wie in Spalte 3 und 4 beibehalten werden, kann man sich noch als normaler Benutzer an der Arbeitsstation anmelden und einige Programme ausführen. Auf der lokalen Festplatte kann dabei nur noch in folgende Verzeichnisse geschrieben werden: • C:\Recycler Gelöschte Dateien können in den Papierkorb verschoben werden • C:\Temp Das temporäre Verzeichnis für Zwischenspeicherungen • C:\WINNT\Profiles Das Benutzerprofil kann vom Betriebssystem angelegt werden Bei einem derart abgesicherten System kann der Administrator nun zwar das MS Office 97-Paket installieren, der Benutzer kann MS Office 97 aber nicht in allen Funktionen ausführen, da das Office-Programm während seiner Benutzung in diverse Verzeichnisse schreiben können muss. Dies gilt natürlich für die meisten anderen Programme genauso. Der Internet Explorer ist z. B. ein Programm, das intensive Schreibzugriffe auf der lokalen Platte durchführt. Um dieses Problem zu lösen gibt es nun mehrere Möglichkeiten mit unterschiedlichen Vorund Nachteilen, die nachfolgend dargestellt werden: 7 · Systemrichtlinien für NT-Arbeitsstationen und deren Benutzer 7.4.2 Seite 136 Teilweiser Schutz der lokalen Workstation 7.4.2.1 Möglichkeit 1 Sie verzichten auf den Schutz der lokalen Festplatte und setzen ein Festplattenkopierpro- gramm (z. B. DriveImage von PowerQuest) ein, mit dem sie im Fehlerfall die komplette Platte wieder herstellen. Vorteil: Alle installierten Programme lassen sich reibungslos ausführen, da keine Einschränkungen auf der lokalen Festplatte vom Administrator vorgenommen wurden. Nachteil: Im Fehlerfall ist über ein Festplattenkopierprogramm die gesamte Festplatte zu rekonstruieren. Namen und eventuelle TCP/IP-Adressen sind danach wieder anzupassen. Dadurch ist ein erhöhter Zeitaufwand nötig. 7.4.2.2 Möglichkeit 2 Sie machen die lokale Festplatte wie in Kapitel 7.4.1 beschrieben „dicht“, installieren als Administrator ein Programm, testen dieses, indem Sie sich als „normaler Benutzer“ anmelden, in all seinen Funktionen und öffnen Stück für Stück die Verzeichnisse und Dateien, falls das Programm darauf schreibend zugreifen muss. Vorteil: Sie haben ein sicheres System, das nur „langsam“, den Erfordernissen entsprechend, geöffnet wird. Nachteil: Sie werden diese Arbeit kaum auf einmal hundertprozentig bewältigen können. Es wird im laufenden Betrieb immer wieder vorkommen, dass einige Programmfunktionen nicht ausführbar sind und sie an allen Clients deshalb nacharbeiten müssen. 7.4.2.3 Möglichkeit 3 Sie nehmen zunächst keine Veränderungen an den Verzeichnis- und Dateiberechtigungen vor und arbeiten mit den installierten Programmen. Nach und nach schränken sie die Datei- und Verzeichnisberechtigungen ein, um festzustellen, ob sich die Programme auch weiterhin noch reibungslos ausführen lassen. Vorteil: Sie haben sofort ein lauffähiges System, es kommt zu keinen Einschränkungen hinsichtlich der Ausführung der Programme. Nachteil: Die Clientinstallation ist unsicher, die Benutzer können in Verzeichnisse schreiben und dabei Dateien überschreiben, so dass Veränderungen vorgenommen werden können, die die Lauffähigkeit der Arbeitsstation beeinträchtigen. 7 · Systemrichtlinien für NT-Arbeitsstationen und deren Benutzer Seite 137 7.4.2.4 Hinweise zum Suchen von veränderten Dateien und Verzeichnissen Anmerkung 1: Vielleicht können sie nach ausgiebigem Testen alle Verzeichnisse und Dateien mit Hilfe des NT-Explorers nach dem Datum sortieren lassen und dabei erkennen, welche Dateien verändert worden sind. Sie erfassen mit diesem Hinweis allerdings keine Schreibzugriffe auf temporäre Dateien. Anmerkung 2: Eine weitere Art die veränderten Dateien zu erkennen haben sie, wenn sie die gesamte lokale Platte mit dem Befehl XCOPY C:\*.* /S/E/M D:\ auf eine zweite Festplatte (D:\) kopieren. Mit dem zusätzlichen Parameter /M wird das Archivbit gelöscht. Wenn sie nun wieder mit allen Programmen arbeiten und dann den Befehl ohne den Parameter /M ausführen und dazu ein anderes Zielverzeichnis wählen, erhalten sie eine Kopie aller Dateien, die in der Zwischenzeit von den Programmen verändert wurden. Nun können sie durch das Studium des zweiten Ziellaufwerks erkennen, an welchen Verzeichnissen und Dateien Veränderungen vorgenommen wurden. 7.4.3 Was ist nun zu tun? Wahrscheinlich kommen Sie um die Anschaffung und Benutzung eines Festplattenkopier- programms nicht herum. Schon bei der Erstinstallation ist ein solches Tool von großem Vorteil. Wenn Sie sich damit eingearbeitet haben, könnten sie gleich nach der oben genannten Möglichkeit 1 verfahren und keinen expliziten Schutz auf den Arbeitsstationen vorsehen. Oder aber Sie machen Folgendes: 1. Auf allen Arbeitsstationen werden die benötigten Programme installiert. 2. Eine einzige Arbeitsstation wird nach der Möglichkeit 2 total geschützt. 3. Alle anderen Arbeitsstationen werden nach der Möglichkeit 3 „geschützt“. Der laufende Betrieb sieht nun so aus: Sie verfügen über eine Arbeitsstation, die absolut „dicht“ ist und nur langsam geöffnet wird. An den anderen Stationen können sie experimentieren und immer dichter machen. Sie nehmen die Clients dabei in die „Zange“ und können trotzdem einen regulären Unterricht erteilen. Sollte einmal eine Arbeitsstation unbrauchbar werden, benützen sie ihr Festplattenkopierprogramm, um diese wieder in den Urzustand zu versetzen. Im Laufe der Zeit, werden sich 7 · Systemrichtlinien für NT-Arbeitsstationen und deren Benutzer Seite 138 die beiden „Systeme“ immer mehr nähern, bis sie sich sicher sind, dass nun alles in Ordnung ist (aber wahrscheinlich kommt spätestens zu diesem Zeitpunkt eine neue, umfangreichere Programmversion eines Anwendungsprogrammes auf den Markt). 7.4.4 Beispiele für notwendige Schreibzugriffe für alle Benutzer In der folgenden Tabelle sind einige Verzeichnisse und Dateien aufgeführt, für die Schreibzugriffe von jedermann zugelassen sein müssen. Verzeichnisse bzw. Dateien mit Schreibzugriffen durch Benutzer Begründung für den Schreibzugriff C:\WINNT\Help Das Hilfesystem muss temporäre Dateien in diesem Verzeichnis einrichten C:\WINNT\Artgalry.cag Beim Importieren von Cliparts werden hier Veränderungen vorgenommen C:\WINNT\Artgalry.ini Einstellungen für Cliparts C:\WINNT\Benutzer.dic Persönliches Wörterbuch, könnte auch an anderer Stelle abgelegt werden C:\WINNT\MSOClip.232 Werden erst während des Programmlaufs erzeugt, d. h. das Verzeichnis \WINNT muss für Schreibzugriffe geöffnet bleiben C:\WINNT\MSOPrefs.232 C:\WINNT\SYSTEM32\Ffastlog.txt C:\WINNT\SYSTEM32\RefEdit.twd C:\WINNT\SYSTEM32\MSForms.twd C:\Programme\Microsoft\OFFICE\ Office Auch in diese beiden Verzeichnisse will MS Office 97 schreiben C:\Programme\Microsoft\OFFICE\ Vorlagen Nach unserer Erfahrung lässt sich Windows NT im Zusammenhang mit einer MS Office 97- und Internet Explorer-Installation nicht komplett absichern, so dass die Gefahr besteht, dass Systemdateien überschrieben werden können, sei es durch Absicht oder Unwissenheit. Um dies dennoch zu verhindern wäre es erforderlich vom Programmhersteller eine exakte Liste zu erhalten, die beschreibt, welche Schreibzugriffe an welcher Stelle im System stattfinden. Noch besser wäre es, wenn sich MS Office 97 völlig separat in eigene Verzeichnisse auf der Platte installieren ließe. 7 · Systemrichtlinien für NT-Arbeitsstationen und deren Benutzer Seite 139 7.5 Benutzerrechte an den lokalen Arbeitsstationen Zusätzlich zum Schutz der Verzeichnisse und Dateien müssen sie noch die Rechte der Benutzer an den lokalen Arbeitsstationen verändern. Benutzen sie hierzu den Benutzer Manager der lokalen Arbeitsstation. 1. Wählen Sie im Menü Konten, Benutzerrechte. 2. Schauen sie sich das Recht Lokale Anmeldung an! Entfernen sie das Recht der lokalen Anmeldung für Benutzer, Gäste und Jeder. Anmerkung: Damit verhindern sie, dass sich ein „normaler Benutzer“ lokal an der Arbeitsstation anmeldet. 3. Das Recht System herunterfahren bleibt wie voreingestellt, damit Jeder den Computer herunterfahren kann. 7 · Systemrichtlinien für NT-Arbeitsstationen und deren Benutzer 4. Seite 140 Da Sie ein serverbasiertes Netzwerk erstellen und kein Peer-to-Peer-Netz, müssen maximal die Administratoren und Hauptbenutzer auf einen Client über das Netz zugreifen können. Entfernen sie hier also die Gruppe Jeder. 8 · MasterEye 8 Seite 141 MasterEye32 (LQ3URJUDPP]XU hEHUZDFKXQJYRQ 1HW]ZHUNUHFKQHUQ 8.1 Der Zweck von MasterEye MasterEye ist ein pädagogisches Tool zur Kontrolle von Schüleraktivitäten und für Demonstrationen des Lehrers innerhalb eines Unterrichtsraumes. 8 · MasterEye Seite 142 8.2 Voraussetzungen der Installation Systemanforderungen: Microsoft Windows 95/98 oder Windows NT 4.0 Intel 80486DX, 66 MHz oder höher, 16 MB RAM Alle Grafikmodi bis 1600x1200 Ab ISDN mit 64 Kbit/s einsetzbar Protokoll: TCP/IP-Protokoll erforderlich Ab der Version 2.0 wird DHCP unterstützt. Die TCP/IP-Adressen müssen innerhalb eines Netzsegments liegen. Die Verbindung zwischen den Rechnern muss funktionieren. (Zur Überprüfung können ipconfig und ping verwendet werden.) Das Programm ist mit einem Dongle geschützt, der auf dem Rechner angebracht werden muss, auf dem das Mastermodul installiert wird. 8.3 Installation von MasterEye 8.3.1 Vorbereitung Einrichten eines Netzinstallationsverzeichnisses (z. B. \\S1\C$\MasterEyeNet) Freigabe: MasterEyeNet (Vollzugriff) 8.3.2 Mastermodul (Lehrerrechner) Das Mastermodul kann auf einer beliebigen Station im Netzsegment installiert werden. Voraussetzung: Anmeldung als Administrator Mastermodul installieren: Aufruf von SETUP.EXE Auswahl Mastermodul oder Client möglich (hier: Mastermodul wählen). 8.3.3 Anwendermodul (Schülerrechner) Die Installation auf den überwachten Rechnern muss als Administrator durchgeführt werden. Anwendermodul installieren: Aufruf von RMTSETUP.EXE (= Remote-Setup) 8 · MasterEye Seite 143 8.4 Aufruf von MasterEye Auf dem Mastercomputer kann MasterEye mit Hilfe eines Icons auf dem Desktop gestartet werden. Auf den Schülerrechnern wird MasterEye nach dem Einloggen automatisch gestartet. Die Überwachung durch MasterEye ist an einem Symbol (Auge) in der Task-Leiste erkennbar. 8.5 Funktionen von MasterEye 8.5.1 Demomodus Der Masterbildschirm (Lehrer) erscheint auf dem Anwenderbildschirm (Schüler). 8.5.2 Supervisionsmodus Gleichzeitige Überwachung der ausgewählten Anwenderbildschirme auf dem Masterbildschirm. 8 · MasterEye 8.5.3 Seite 144 Remote Control Ein einzelner Anwenderbildschirm wird auf den Masterbildschirm projiziert und kann dann von dort kontrolliert werden. Der „Master“ kann auf dem kontrollierten Rechner Programme öffnen und schließen und sogar den Rechner herunterfahren. 8.5.4 Marker-Modus Der Marker-Modus erlaubt die Verwendung verschiedener Marker („Textmarker“, Spots, Pfeile ...) auf dem Bildschirm zur Unterstützung eines Vortrages. Wichtig für das Funktionieren des Marker-Modus‘ ist die Definition einer Tastenkombination, mit der er aus jedem Programm heraus aufgerufen werden kann (z. B. ALT+M). 8.5.5 Bildschirm und Tastatur sperren Dieser Menüpunkt erlaubt die Dunkelschaltung des Anwenderbildschirmes und die Verriegelung der Tastatur. Mit dieser Funktion kann die Aufmerksamkeit des Schülers auf die Ausführungen des Vortragenden konzentriert werden. 8 · MasterEye 8.5.6 Seite 145 Tastatur sperren Mit dieser Einstellung kann ausschließlich die Tastatur der ausgewählten Anwender gesperrt werden. 8.6 Informationen zu MasterEye im Internet Eine zeitlich befristete Demo-Version, die zudem auf drei Computer beschränkt ist, kann unter der folgenden Internet-Adresse bezogen werden: http://www.mastereye.ch Auf dieser Seite finden sich auch FAQs zu MasterEye. 8.7 Bewertung Das Programm hinterlässt einen ausgereiften Eindruck, stellt aber hohe Anforderungen an das Netz (läuft im 100 MBit-Netz deutlich besser als im 10 MBit-Netz). 8.8 Bezugsquellen In Deutschland wird Master-Eye vertrieben von: • co.Tec GmbH Traberhofstr. 12 D-83026 Rosenheim Tel.: (0 80 31) 26 35-0 • Dr. Weis & Partner GmbH Breite Str. 11 D-08258 Markneukirchen 8.9 Preisbeispiel MasterEye32 2.0 SL (Schulversion ) DM 798,00 (incl. Mwst.) Klassenraumlizenz: 1 Master, 25 Benutzer, nur für öffentl. oder gemeinnützige Schulen) 8 · MasterEye Seite 146 Anlage: README.TXT Diese Datei mit Hinweisen des Herstellers finden Sie nach der Installation im MasterEye-Verzeichnis. Wichtige Hinweise bei zu langsamer Leistung: Wenn Sie Auflösungen höher als 1024x768 fahren oder die Farbeneinstellung höher als 256 Farben ist, müssen Sie unter den Eigenschaften von MasterEye die Datenkompression auf niedrig setzen. Dies setzt aber einen entsprechend leistungstarken Prozessor (z.B. Pentium 133 oder höher) voraus. Wichtiger Hinweis bei Problemen während eines laufenden Modus‘: Bitte beachten Sie, dass die Geräte, welche Sie im Schulungsraum einsetzen, die APM (Advanced Power Management) Funktionen ausgeschaltet haben. Dies kann besonders unter Windows NT 4.0 zu Problemen führen, da wir in MasterEye die DirektX API verwenden. Es macht wenig Sinn, die komplexen Bildschirmschoner von Microsoft, welche OpenGL verwenden, zu aktivieren. Diese verbrauchen zum Teil bis zu 90% der CPU-Leistung! MasterEye läuft aber auch mit diesen Bildschirmschonern - jedoch entsprechend langsamer... Tips zur Leistungsverbesserung: 1. Grundsätzliches Verständnis: MasterEye verwendet für Demo, Remotecontrol und Remotecontrol mit Weiterleitung die folgende Technik: A) Der vorhergehende Screenshot wird mit dem aktuellen verglichen. Die Unterschiede werden je nach Einstellung komprimiert und anschließend dem Anwender (Demomodus), dem Master (Remotecontrol) oder dem Master und Anwender (Remotecontrol mit Weiterleitung) übermittelt. B) Ein Screenshot kann für den ganzen Schirm oder auch einen Teil des Schirms von oben nach unten erfolgen (Der Schirm wird hierzu in horizontale Streifen aufgeteilt). Je weniger Streifen, desto ruckfreier aber auch langsamer wird der Schirm aufgebaut. C) Jedesmal, wenn ein Screenshot erfolgt und übermittelt ist, übergibt MasterEye die Kontrolle dem System und erlaubt so den anderen Applikationen ruckfrei zu laufen. D) In der Registry finden Sie verschiedene Einstellungen, welche dieses Verhalten beeinflussen. Diese Eintragungen finden Sie mit dem Registry Editor (REGEDIT.EXE) unter dem Konfigurationsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Lynx\MasterEye\x.x\Configuration. Untenstehend sind einige dieser Schlüssel erklärt: CaptureDivider (Number): definiert die Anzahl der Teile (Streifen), in welche der Schirm aufgeteilt wird, bevor ein Screenshot gemacht wird (Achtung: dieser Wert ist nur unter NT aktiv!). SenderSleep (Number): definiert die Zeit in Millisekunden, während derer MasterEye inaktiv ist, bis zur nächsten Übermittlung eines Screenshots. E) Um eine optimale Leistung zu errreichen, muss der SenderSleep-Wert im Verhältnis zum CaptureDivider-Wert korrekt eingestellt werden. Wenn also der CaptureDivider erhöht wird (also pro Shot nur noch Teile des Schirms aufgenommen werden), muss der SenderSleep Wert entsprechend niedriger sein (also der Wert, der die Pause zwischen dem nächsten Shot festlegt). 2. Leistungsoptimierung Die folgenden Einstellungen beziehen sich auf den Demomodus sowie auf die Remotecontrol-Funktion. I) Wenn Sie hochauflösende Grafikmodi fahren und zusätzlich Highcolor eingestellt haben, wird die Cursorbewegung unter Umständen ruckartig. Versuchen Sie in diesem Fall den Wert des CaptureDivider zu erhöhen. Diese Verzögerungen werden vorwiegend durch die hohe Datenmenge und die dadurch bedingte Rechnerbelastung verursacht. II) Wenn während der Demo gewisse Applikationen zu langsam werden, erhöhen Sie den SenderSleep-Wert. III) Sollte die Demo selbst zu langsam werden, reduzieren Sie den SenderSleep Wert. Hinweis: Der SenderSleep-Wert kann dynamisch während der laufenden Demo geändert werden. Um den veränderten CaptureDivider Wert wirksam werden zu lassen, muss der laufende Mode gestoppt und neu angewählt werden (Achtung dieser Wert ist nur unter NT aktiv!). 8 · MasterEye Seite 147 Wenn Sie eine Applikation verwenden, die komplexe und andauernde Bildschirmausgaben ergibt, ist es möglich, dass die Demo nicht mehr in der gleichen Frequenz Screenshots erzeugen kann. Einige solcher Applikationen sind z.B. Multimediaplayer oder PinBall von Microsoft. Es empfiehlt sich hier, mit schneller Hardware dies auszugleichen. 3. Untenstehend noch einige weitere Registry-Schlüssel unter Configuration: PingTimeout : (Kann auf dem Mastergerät unter den Eigenschaften (entweder im Desktopicon oder unter Einstellungen) eingestellt werden.) Dieser Wert ist die Zeit in Millisekunden für den Anwender und den Master während der auf eine Antwort gewartet wird. Normalerweise muss dieser Wert nicht verändert werden. Wenn jedoch mit Modem oder ISDN gearbeitet wird, kann ein Erhöhen dieses Wertes durchaus Sinn ergeben. ReceiveBufferSize: Definiert die Grösse des Buffers, der verwendet wird, um Daten übers Netz zu erhalten. Sie können diesen Wert erhöhen, wenn Sie langsame Grafikkarten oder langsame Netzwerkadapter einsetzen. 4. "Missing ICMP.DLL" Meldung Dies bedeutet, dass während der Initialisierungsphase des TCP/IP Winsock API kein TCP/IP gefunden wurde. Kontrollieren Sie in der Netzwerkeinstellung, dass das TCP/IP Protokoll installiert wurde. Benutzen Sie unsere Dokumentation für eine Beispielinstallation. Sie müssen jetzt MasterEye nochmals deinstallieren und anschliessend TCP/IP installieren. Danach MasterEye nochmals installieren. Wir haben auch festgestellt, dass trotz korrekt angezeigtem TCP/IP Protokoll die Treiber im WINDOWS/SYSTEM oder unter NT im WINNT/SYSTEM32 Verzeichnis fehlen. Gehen Sie dann wie vorher aufgeführt vor. 9 · Datensicherung 9 Seite 148 Datensicherung mit NT-Backup 9.1 Vorüberlegungen zur Datensicherung in der Schule Elektronisch gespeicherte Daten stellen heute in Handel und Industrie ein beträchtliches Kapital dar: Das wirtschaftliche Überleben eines Unternehmens kann von der Sicherheit der gespeicherten Daten abhängen. Die Verantwortung des Systemadministrators, regelmäßig Datensicherungen zu erstellen und sicher zu verwahren, ist entsprechend hoch. Im schulischen Bereich hat die Sicherheit der Daten nicht diesen entscheidenden Stellenwert, dennoch ist sie unverzichtbar: • Schüler arbeiten z.B. mit viel Engagement und Zeitaufwand an längerfristigen Aufgaben wie dem Anfertigen einer Schülerzeitung oder der Dokumentation eines Schulfestes. • Lehrer führen z. B. die Installation von umfangreichen Softwarepaketen und die Einrichtung von Benutzerstrukturen oft mit erheblichem Zeitaufwand durch. Diese Arbeit von Schülern und Lehrern darf nicht durch den Ausfall von Hardware oder der Nachlässigkeit von Systembetreuern gefährdet werden. Õ Auch in der Schule muss mit professionellen Backup-Konzepten gearbeitet werden, damit bei vertretbarem Zeitaufwand Daten gesichert und wiederhergestellt werden können. Leider sind folgende Missverständnisse gerade im schulischen Bereich häufig anzutreffen und müssen zunächst ausgeräumt werden: 1. „Wir setzen auf redundante Festplattenbestückung (z. B. Plattenspiegelung), daher ist die Datensicherung auf Bändern unwichtig“. Jedoch: Eine redundante Festplattenbestückung ist zwar eine geeignete Maßnahme, um dem Systemausfall durch Festplattenfehler zu begegnen. Sie ersetzt aber nicht ein regelmäßiges Backup, denn RAID-Systeme (Redundant Array of Independent Disks) bieten keinen Schutz vor versehentlichem Löschen oder fehlgeschlagenen Programminstallationen. Außerdem sind bei einem Totalausfall des Servers durch Brand- oder Wasserschäden die Daten nicht außerhalb der Gefahrenzone gelagert. 9 · Datensicherung Seite 149 2. „Wir führen regelmäßig Datensicherungen auf Bändern durch, allein dadurch sind wir schon gegen einen Daten-Crash gewappnet.“ Jedoch: Die Wiederherstellung von Daten, die auf Bändern gesichert sind, setzt voraus, dass Windows NT und das Bandsicherungs-Programm gestartet werden können. Bei schwerwiegenden Hard- und Softwareproblemen ist aber genau das nicht mehr möglich! Bei Softwareproblemen ist ein möglicher Ausweg aus diesem Dilemma, dass schon bei der Einrichtung des Servers zusätzlich zur „NT-Arbeitsversion“ noch eine zweite „Notversion“ von Windows NT, nur mit den notwendigsten Programmen, eingerichtet wird. Lässt sich die „Arbeitsversion“ nicht mehr booten, so kann dieses mit Hilfe der „Notversion“ geschehen und das Bandsicherungs-Programm kann gestartet werden. Die Backup-Erstellung ist eine wesentliche Aufgabe des Systembetreuers und erfordert eine angemessene Planung sowie eine regelmäßige Ausführung! 9.2 Backup-Konzepte 9.2.1 Wahl des Backup-Mediums Wichtig bei der Wahl eines Backup-Mediums ist, dass man auf Standards setzt, die auch in einigen Jahren noch von Soft- und Hardwareherstellern unterstützt werden. Außerdem sollten Erfahrungswerte mit dem Medium über einen längeren Zeitraum vorliegen. In dieser Hinsicht ist man mit einem SCSI-DAT-Streamer und der bei Windows NT mitgelieferten Backup-Software (NTBACKUP.EXE) wohl auf der sicheren Seite. 9 · Datensicherung Seite 150 Der Markt bietet zur Zeit Sicherungsmedien in großer Vielfalt an. Nachfolgend eine Auswahl verbreiteter Backup-Medien: Medium Speicherkapazität Eignung (schulischer Bereich) Wechselplatten > 1 GByte Schnell aber teuer DAT-Bänder 2 GByte bis 4 Gbyte Sehr günstiges Verhältnis von Daten- (DDS1 und DDS2) bzw. 4 GByte bis 8 Gbyte menge und Preis eines Tapes mit 90m oder 120m Länge bei Datenkomprimierung DLT-Bänder bis zu 40 GByte Schnell und zuverlässig aber teuer CD-Laufwerke Bis zu 650 MByte Haltbarkeit wahrscheinlich nur wenige (CD-R und CD-RW) Magneto-optische-Laufwerke Jahre Bis zu 900 MByte (MOD) 9.2.2 Sehr sicher (nach Abkühlen nicht mehr durch Magnetfelder zerstörbar) Zeitbedarf für ein Backup Zunächst muss geklärt werden, welche Daten auf dem Server (bzw. den Servern) sowie auf den Clients zu sichern sind. Ist diese Frage geklärt und die zu sichernde Datenmenge ermittelt, so kann der Zeitbedarf mit Hilfe der Schreibrate des Streamers nach folgender Formel berechnet werden. Backupzeit = Datenmenge Schreibrate Beispiel 1 Ein DAT-Streamer sichert 10 MByte pro Minute (= 600 MByte/h). Die zu sichernde Datenmenge beträgt 4,1 GByte. Backupzeit = 4,1 GByte ≈ 7 h 0,6 GByte / h Der Zeitbedarf beträgt ca. 7 Stunden. Dieses „Zeitfenster“ wird in Schulen normalerweise zur Verfügung stehen (z. B. zwischen 23:00 Uhr und 6:00 Uhr). Die Sicherung erfolgt am besten in der Nacht („offline“), um das Problem der offenen Dateien, die vom Programm Bandsicherung nicht gesichert werden, zu umgehen. 9 · Datensicherung Seite 151 Beispiel 2 Ein DLT-Streamer sichert 4 GByte pro Stunde. 10 GByte Daten sind zu sichern. Backupzeit = 10 GByte ≈ 2,5 h 4 GByte / h Der Zeitbedarf beträgt 2,5 Stunden. 9.2.3 Datensicherungsarten mit NT-Backup Die drei wichtigsten Arten der Datensicherung sind: Voll-Backup Differentielles Backup Inkrementelles Backup Bezeichnung Normal Differenz Hinzufügen Funktion Alle Daten werden auf Gespeichert werden die Gespeichert werden die dem Backup-Medium ge- Files, die seit der letzten Files, die seit dem letzten sichert (unabhängig vom Vollsicherung erstellt oder Backup erstellt oder ge- Archivbit). verändert wurden. ändert wurden (Zuwachssicherung). Vorgehens- Nach der Durchführung Nach der Durchführung Das Archivbit der ge- weise der Sicherung wird das der Sicherung bleibt das sicherten Daten wird zu- Archivbit zurückgesetzt Archivbit gesetzt. Die Da- rückgesetzt. (Die Daten werden da- ten werden bei der nächs- durch als gesichert ge- ten Sicherung wieder ge- kennzeichnet). speichert. Wieder- Die letzte Vollsicherung Die letzte Vollsicherung Die letzte Vollsicherung herstellung wird benötigt. und das letzte differentiel- und alle Zuwachssiche- le Backup werden benö- rungen werden benötigt. tigt. Neben diesen drei Sicherungsarten kennt das Programm Bandsicherung noch zwei weitere Sicherungsarten: Kopieren Alle ausgewählten Dateien werden kopiert. Die Dateien werden aber im Gegensatz zur Vollsicherung nicht als gesichert gekennzeichnet; d. h. das Archivbit wird nicht zurückgesetzt. Diese Sicherungsart bietet sich an, wenn zusätzlich zum regulären Sicherungszyklus eine zusätzliche Kopie hergestellt werden soll (z. B. ein monatliches Archivband). 9 · Datensicherung Täglich Seite 152 Von den ausgewählten Dateien werden nur die Dateien gesichert, die am selben Tag verändert wurden. Das Archivbit bleibt unverändert. Diese Sicherungsart ist dann praktisch, wenn die am selben Tag bearbeiteten Daten, z. B. für die Weiterbearbeitung daheim, auf Band überspielt werden sollen. 9.2.4 Beispiele zur regelmäßigen Datensicherung 9.2.4.1 Mischen von Vollsicherung und differentieller Datensicherung Fr. Mo. Di. Mi. Do. Fr. ... Vollsiche- Differenz Differenz Differenz Differenz Vollsiche- ... rung rung Vorteile des Verfahrens • Nur an Freitagen fällt ein großes zu sicherndes Datenvolumen an. • Bei der Wiederherstellung werden nur 2 Bänder benötigt. Nachteile • Das Sicherungsvolumen nimmt am Ende der Woche zu. • Dateien, die nur einmal geändert wurden, werden trotzdem mehrmals kopiert. 9.2.4.2 Mischen von Vollsicherung und inkrementeller Datensicherung Fr. Mo. Di. Mi. Do. Fr. ... Vollsiche- Zuwachs Zuwachs Zuwachs Zuwachs Vollsiche- ... rung rung Vorteile des Verfahrens • Nur an Freitagen fällt ein großes zu sicherndes Datenvolumen an. • Das Sicherungsvolumen bleibt an den restlichen Wochentagen klein. Nachteil • Bei der Wiederherstellung müssen mehrere Bänder (maximal 5) verwendet werden, was nur mit einem deutlich größeren Arbeits- und Zeitaufwand gegenüber dem differentiellen Backup möglich ist. 9 · Datensicherung Seite 153 9.2.4.3 Das Backup-Verfahren: Großväter - Väter - Söhne Das folgende Sicherungsverfahren ist häufig im professionellen Bereich anzutreffen und hat den Vorteil, dass mit einer überschaubaren Anzahl von Bändern (19 Bänder) genau definierte Wiederherstellungszustände erreicht werden können. 1. Am Abend der Wochentage Mo, Di, Mi und Do wird jeweils ein differentielles Backup durchgeführt. Die Beschriftung der Bänder lautet: Montag, Dienstag, Mittwoch, Donnerstag. Diese Bänder sind die 4 „Söhne“. 2. Am 1., 2. und 3. Freitag eines Monats wird jeweils ein Vollbackup durchgeführt. Beschriftung: 1. Woche, 2. Woche, 3. Woche. Diese Bänder sind die 3 „Väter“. 3. Immer am letzten Freitag eines Monats wird ein Vollbackup durchgeführt. Beschriftung: Januar, Februar, ..., Dezember. Diese Bänder sind die 12 „Großväter“. Mit insgesamt 19 Bändern lässt sich über den Zeitraum eines Jahres folgende Wiederherstellungsgenauigkeit erreichen: • Aktuelle Woche: Tagesgenau • Letzter Monat: Stand der jeweiligen Freitage • Letztes Jahr: Stand des letzten Freitags im Monat 9.2.5 Haltbarkeit und Lagerung der Bänder DAT-Bänder Haltbarkeit Lagerung der Bänder 25 bis 100 Durchläufe · Aufrecht stehend · In der Originalverpackung · Dunkler Aufbewahrungsort · Zimmertemperatur · Nicht in der Nähe von DLT-Bänder 10.000 und mehr Durchläufe starken Magnetfeldern · Räumlich vom Server getrennt (z. B. Bänder, die vor einem Monat und mehr hergestellt wurden) 9 · Datensicherung Seite 154 9.3 Datensicherung mit NT-Backup 9.3.1 Überblick Bei dem Programm Bandsicherung (NTBACKUP.EXE), das bei Windows NT mitgeliefert wird, handelt es sich um ein einfaches Backup-Programm, das aus dem Hause Seagate stammt und im Wesentlichen folgende Möglichkeiten bietet: • Herstellen von Sicherungskopien auf Bändern • Wiederherstellen gesicherter Daten (= Zurückkopieren vom Band auf die Festplatte) • Vergleich von Originaldaten und gesicherten Daten NT-Backup unterstützt nicht: • Backup auf Disketten (im Gegensatz zum Backup-Programm von Windows 95!) • Softwarekompression • Dateidatenbanken für Sicherungsbänder • Unbeaufsichtigte Datensicherung (Eine unbeaufsichtigte Datensicherung ist jedoch in Verbindung mit dem Zeitplandienst Schedule und dem at-Befehl möglich.) 9.3.2 Manuelle Datensicherung 9.3.2.1 Start des Programms Das Programm finden Sie unter START – PROGRAMME – VERWALTUNG (ALLGEMEIN) – BANDSICHERUNG. 9 · Datensicherung Seite 155 Einige vom Programm unterstützte Medien müssen vor ihrer Verwendung formatiert und gelegentlich gespannt werden! Benutzen Sie hierzu den Menüpunkt Funktionen, Band formatieren bzw. Funktionen, Band spannen. Anmerkung: Bei 4-mm und 8-mm Bändern steht der Befehl Band spannen nicht zur Verfügung, weil diese Bänder nicht gespannt werden müssen. 9.3.2.2 Auswahl der zu sichernden Daten 1. Klicken Sie doppelt auf Laufwerke. Dadurch werden nun alle zur Verfügung stehenden Laufwerke (auch fest verbundene Netzlaufwerke) angezeigt. 2. Nun können die zu sichernden Laufwerke oder einzelne Verzeichnisse bzw. Dateien durch Anklicken ausgewählt werden. Anmerkung: Einzelne Dateien oder Verzeichnisse können durch Anklicken des kleinen Quadrates vor dem Datei- oder Verzeichnissymbol ausgewählt werden. Ähnlich wie beim NT-Explorer können auch mehrere Dateien und Verzeichnisse markiert werden: Zusätzlich zum Klicken mit der Maus wird die Umschalt-Taste oder die STRG-Taste betätigt: - Unter Verwendung der Umschalt-Taste können mehrere zusammenhängende Verzeichnisse oder Dateien markiert werden. - Wird die STRG-Taste verwendet, so ist das Markieren von mehreren nicht zusammenhängenden Dateien oder Verzeichnissen möglich. Die markierten Dateien und Verzeichnisse können nun durch den Menüpunkt Auswahl, Auswählen als zu sichernde Daten fixiert werden. 9 · Datensicherung Das kann auch durch Klicken auf das Symbol Seite 156 in der Symbolleiste geschehen. Nun sind die Daten zur Sicherung ausgewählt und als solche gekennzeichnet. Wird nun auf die Schaltfläche geklickt, so öffnet sich ein Dia- logfenster mit den Sicherungsoptionen. Der obere Bereich des Dialogfensters enthält Informationen über das Band, das Sie geladen haben. • Falls das Band formatiert wurde, erscheint hier bei Aktuelles Band die Bezeichnung, die bei der Formatierung verwendet wurde. Diese Bezeichnung kann durch eine Eingabe im Feld Bandname ersetzt werden. • Das Erstellungsdatum gibt an, wann die letzte Sicherung auf diesem Band durchgeführt wurde. Als Besitzer wird der Windows NT-Benutzer genannt, der die letzte Sicherung durchgeführt hat. • Im Feld Bandname können Sie einen Namen für das neue Band eingeben (maximal 32 Zeichen). Wird keine Bezeichnung für das Band angegeben, so wird „Band erstellt am ...“ als Default-Bezeichnung verwendet. • Klicken Sie im Feld Vorgang auf Hinzufügen, um den neuen Sicherungssatz hinter dem letzten Sicherungssatz anzufügen. Oder klicken Sie auf Ersetzen, um alle Informationen auf dem Band zu überschreiben. • Wenn Sie überprüfen möchten, ob die Bandsicherung ordnungsgemäß durchgeführt wurde, aktivieren Sie das Kontrollkästchen Nach Sicherung überprüfen. • Wenn Sie eine Kopie der lokalen Windows NT-Registrierungsdateien zum Sicherungssatz hinzufügen möchten, aktivieren Sie das Kontrollkästchen Lokale Registrierung si- chern. 9 · Datensicherung Seite 157 Anmerkung: Mit der Bandsicherung können keine Registrierungen von Remote-Computern gesichert werden. • Um das Band durch Einschränken des Zugriffs zu sichern, aktivieren Sie das Kontrollkästchen Zugriff auf Besitzer oder Administrator beschränken. • Wenn das Laufwerk die Daten auf dem Band komprimiert speichern soll, aktivieren Sie das Kontrollkästchen Hardware-Komprimierung. Werden Daten von unterschiedlichen Laufwerken gesichert, so legt das Programm Band- sicherung für jedes unterschiedliche Laufwerk einen eigenen Sicherungssatz an. In diesem Fall erscheint rechts neben dem Eingabefeld Beschreibung eine Bildlaufleiste, die es ermöglicht, zwischen den einzelnen Sicherungssätzen zu wechseln. Für jeden Sicherungssatz kann eine nähere Beschreibung und die gewünschte Sicherungsart angegeben werden. • Bei Sicherungsart kann zwischen Normal, Kopieren, Hinzufügen, Differenz und Täglich gewählt werden (siehe Kapitel 9.2.3). • Der letzte Abschnitt des Dialogfensters befasst sich mit Protokollinformationen. Im Feld Protokolldatei können Sie den Namen der Textdatei für das Aufzeichnen der abgeschlossenen Vorgänge eingeben. Rechts daneben befindet sich die Schaltfläche Suchen, die Sie verwenden können, wenn Sie eine schon vorhandene Protokolldatei überschreiben wollen. • Als Protokolloptionen stehen zur Verfügung: Alle Angaben, Nur Zusammenfassung und Nicht protokollieren. Normalerweise wird man hier Nur Zusammenfassung wählen, dann werden nur wesentliche Informationen protokolliert, wie Laden eines Bandes, Starten der Sicherung und Probleme beim Öffnen einer Datei. 9 · Datensicherung Seite 158 • Mit einem Klick auf OK beenden Sie das Dialogfenster Sicherungsinformation und starten den Sicherungsvorgang. • Ein Meldungsfenster zeigt Ihnen während der Sicherung Informationen über den Stand der Sicherung an und erstellt zum Schluss eine Zusammenfassung. 9.3.3 Periodische Datensicherung 9.3.3.1 Der Befehl at Mit dem at-Befehl können Befehle und Programme zu einem vorbestimmten Termin gestartet werden. Er eignet sich, neben anderen Aufgaben, hervorragend dazu, die vom Programm Bandsi- cherung zunächst nicht unterstützte, unbeaufsichtigte Datensicherung doch zu realisieren. Der Zeitplandienst Schedule muss schon aktiviert sein, bevor Sie den Befehl at verwenden können (siehe Kapitel 9.3.3.3, Abschnitt a). Bei at handelt es sich um ein Konsolenprogramm, d. h. es muss von der DOS-Ein- gabeaufforderung aus gestartet werden. 9 · Datensicherung Seite 159 a) Einrichten von automatisch ablaufenden Vorgängen: AT [\\Computer-Name] Zeit [/INTERACTIVE] [/EVERY:Datum[,...]] | /NEXT:Datum[,...] "Befehl" \\Computer-Name Gibt einen Remote-Computer an. Ohne diesen Parameter werden die Befehle auf dem lokalen Computer ausgeführt. Zeit Gibt die Zeit an, zu der ein Befehl ausgeführt werden soll. /INTERACTIVE Ermöglicht dem Auftrag Eingaben vom Benutzer anzunehmen, der angemeldet ist, wenn der Auftrag ausgeführt wird. /EVERY:Datum[,...] Führt den Befehl zu jedem der angegebenen Tage der Woche oder des Monats aus. Ohne Angabe eines Datums wird der aktuelle Tag des Monats angenommen. /NEXT:Datum[,...] Führt den Befehl am nächsten angegebenen Tag aus (z.B. nächsten Montag). Ohne Angabe eines Datums wird der aktuelle Tag des Monats angenommen. "Befehl" Ist der auszuführende Windows NT-Befehl oder ein Stapelprogramm. (Achten Sie auf die korrekte Pfadangabe!) Beispiel 1 at 23:00 /every:Mo,Di,Mi,Do c:\winnt\system32\ntbackup.exe backup c:\ d:\ An den angegebenen vier Wochentagen wird immer um 23:00 Uhr das Programm NTBACKUP.EXE gestartet. Die Aktion ist Backup und gesichert werden die Laufwerke C: und D: Beispiel 2 at 22:00 /every:Fr c:\backup\voll.bat An jedem Freitag um 22:00 Uhr wird das Batch-Programm VOLL.BAT aufgerufen, das im Verzeichnis C:\Backup liegt (und eine Vollsicherung durchführt). b) Anzeigen der Aufträge Um die Liste der schon vorhandenen Aufträge anzuzeigen, geben Sie einfach in der DOS- Eingabeaufforderung at ein. 9 · Datensicherung Seite 160 c) Löschen von Aufträgen AT [\\Computer-Name] [ [ID] [/DELETE] | /DELETE [/YES]] \\Computer-Name Gibt einen Remote-Computer an. Ohne diesen Parameter werden die Befehle auf dem lokalen Computer ausgeführt ID Eine Identifikationsnummer, die dem geplanten Befehl zugeteilt wird. /DELETE Löscht geplante Befehle. Ohne ID werden alle geplanten Befehle auf dem Computer gelöscht. /YES In Verbindung mit /delete werden die geplanten Befehle ohne weitere Bestätigung gelöscht. 9.3.3.2 Die Optionen von NT-Backup Das Programm Bandsicherung kann nicht nur mit START – PROGRAMME – VERWAL- TUNG (ALLGEMEIN) - BANDSICHERUNG aufgerufen werden, sondern auch mit Hilfe von Batch-Dateien. Mit solchen Batch-Dateien können jedoch nur Verzeichnisse gesichert werden, keine einzelnen Dateien. Außerdem können keine Wildcards (* und ?) verwendet werden. ntbackup Aktion Pfad [/a][/v][/r][/d"Text"][/b][/hc:{on | off}][/t{Option}] [/l"Dateiname"][/e][/tape:{n}] Aktion Gibt die Aktion an: backup. (Die zweite Möglichkeit eject ist in unserem Zusammenhang ohne Bedeutung). Pfad Gibt den oder die Pfade der zu sichernden Verzeichnisse an. /a Fügt die Sicherungssätze hinter dem letzten Sicherungssatz auf dem Band an. Ohne Angabe von /a überschreibt das Programm frühere Daten. /v Überprüft die Aktion. /r Beschränkt den Zugriff. /d"Text" Gibt eine Beschreibung des Inhalts der Sicherung an. /b Gibt an, dass die lokale Registrierung gesichert werden soll. /hc:on oder /hc:off Aktiviert oder deaktiviert die Hardware-Komprimierung. /t {Option} Gibt die Sicherungsart an. Mögliche Angaben für Option sind: normal (Normal), copy (Kopieren), incremental (Hinzufügen), differential (Differenz), daily (Täglich). Õ siehe hierzu Kapitel 9.2.3 9 · Datensicherung Seite 161 /l "Dateiname" Gibt den Dateinamen für das Sicherungsprotokoll an. /e Gibt an, dass nur Ausnahmen ins Sicherungsprotokoll aufgenommen werden sollen. /tape:{n} Gibt an, auf welchem Bandlaufwerk die Dateien gesichert werden sollen. n steht dabei für eine Zahl zwischen 0 und 9, die der in der Registrierung aufgeführten Bandlaufwerknummer entspricht. NT-Backup kann auch zum Löschen von Bändern und zur Problembehebung bei fehlenden Bändern eines Sicherungssatzes verwendet werden: ntbackup [/nopoll] [/missingtape] /nopoll Gibt an, dass das Band gelöscht werden soll. Verwenden Sie den Parameter /nopoll nicht zusammen mit anderen Parametern. /missingtape Gibt an, dass ein Band des Sicherungssatzes fehlt, wenn der Satz mehrere Bänder umfasst. Jedes Band wird dann als einzelne Einheit und nicht als Teil des Satzes betrachtet. 9.3.3.3 Die periodische Datensicherung einrichten a) Einrichten des Zeitplandienstes Schedule Damit Schedule beim Booten von Windows NT immer automatisch gestartet wird: START – EINSTELLUNGEN – SYSTEMSTEUERUNG – DIENSTE – SCHEDULE – STARTART - AUTOMATISCH b) Erstellen von Batch-Programmen Mit Hilfe von zwei Batch-Dateien soll nun folgende Backup-Lösung verwirklicht werden: • Das Batch-Programm VOLL.BAT soll eine Vollsicherung der Laufwerke C: und D: durchführen und dabei den Inhalt des Bandes überschreiben. • Eine Protokolldatei soll unter C:\backup\protokolle\voll.log abgespeichert werden und nur die Ausnahmen enthalten. • Ein zweites Batch-Programm INC.BAT soll ein inkrementelles Backup der Laufwerke C: und D: durchführen und dabei die schon auf dem Band vorhandenen Daten nicht überschreiben. Eine ausführliche Protokolldatei soll unter C:\backup\protokolle\inc.log abgespeichert werden. 9 · Datensicherung Seite 162 rem voll.bat c:\winnt\system32\ntbackup.exe backup c:\ d:\ /v /t normal /l c:\backup\protokolle\voll.log /e Anmerkung: Der ganze Befehl ist in zwei Zeilen einzugeben ohne ENTER-Taste vor C:\backup\protokolle\...! c:\winnt\system32 NTBACKUP.EXE befindet sich im Verzeichnis Backup Die auszuführende Aktion ist Backup. c:\ Laufwerk C: und D: werden gesichert. d:\ C:\winnt\system32 /v Nach der Sicherung wird eine Überprüfung durchgeführt. /t normal Vollsicherung = alle Daten sichern, Archivbit zurücksetzen. /l c:\backup\proto Sicherungsprotokoll an C:\backup\protokolle\voll.log anhängen. kolle\voll.log rem inc.bat c:\winnt\system32\ntbackup.exe backup c:\ d:\ /a /v /t incremental /l c:\backup\protokolle\inc.log Anmerkung: Der ganze Befehl ist in zwei Zeilen einzugeben ohne ENTER-Taste vor C:\backup\protokolle\...! c:\winnt\system32 NTBACKUP.EXE befindet sich im Verzeichnis Backup Die auszuführende Aktion ist Backup. c:\ Laufwerk C: und D: werden gesichert. d:\ C:\winnt\system32. /a Sicherungssatz an den Inhalt des Bandes anhängen. /v Nach der Sicherung wird eine Überprüfung durchgeführt. /t incremental Zuwachssicherung = nur veränderte Daten sichern, Archivbit zurücksetzen. /l c:\backup\proto Sicherungsprotokoll an C:\backup\protokolle\inc.log anhängen. kolle\inc.log Natürlich können in einer Batch-Datei auch mehrere verschiedene Sicherungsanweisungen gegeben werden! 9 · Datensicherung Seite 163 c) Automatisieren der Ausführung der Batch-Programme Sind die Batch-Dateien erstellt, so muss man noch mit Hilfe des at-Befehls die Ausführung automatisieren. Beispiel 1 Das Batch-Programm VOLL.BAT soll am Freitagabend um 22:00 Uhr gestartet werden: rem Voll_Backup_ein.bat at 22:00 /every:Fr c:\backup\voll.bat Beispiel 2 INC.BAT soll an den Wochentagen Mo, Di, Mi, Do, um 23:00 Uhr gestartet werden. Der eingestellte Sicherungsstatus soll in die Datei BACKUP.STA geschrieben werden. rem Zuwachs_Backup_ein.bat at 23:00 /every:Mo,Di,Mi,Do c:\backup\inc.bat at>c:\backup.sta Beispiel 3 Werden nun noch Verknüpfungen mit VOLL_BACKUP_EIN.BAT und ZUWACHS_BACKUP_ EIN.BAT auf den Desktop gelegt, so kann man die gewünschte Sicherungsart per Mausklick aktivieren. Eine Verknüpfung mit BACKUP_AUS.BAT ermöglicht das Zurücksetzen aller Backup-Einstellungen. rem Backup_aus.bat at /delete /yes at>c:\backup.sta Eine Verknüpfung der Extension .STA mit dem Programm Wordpad erlaubt dann auch die Information über die aktuellen Backup-Einstellungen mit Hilfe eines weiteren Mausklicks. 9 · Datensicherung Seite 164 9.4 Wiederherstellen von Daten Um gesicherte Daten wieder herzustellen, gehen Sie folgendermaßen vor: 1. Starten Sie die Bandsicherung mit START – PROGRAMME – VERWALTUNG (ALLGEMEIN) - BANDSICHERUNG: 2. Klicken Sie auf Bänder, damit die Satzliste vom Band geladen wird, was einige Sekunden in Anspruch nehmen kann. 3. Wählen Sie die Daten, die wiederhergestellt werden sollen, mit Hilfe der Maus, der Umschalt-Taste und der STRG-Taste aus. 4. Durch einen Klick auf die Schaltfläche starten Sie die Rück- sicherung der selektierten Daten an den ursprünglichen Speicherort. Wenn eine Datei auf der Festplatte neueren Datums als die Datei auf dem Band ist, wird diese nicht wiederhergestellt, es sei denn, Sie bestätigen, dass die neuere Datei durch die ältere ersetzt werden soll. Wenn eine Datei auf der Festplatte durch eine vom Band ersetzt wird, ist der bisherige Stand der Datei verloren! Denken Sie auch daran, dass beim NTFS-Filesystem keine Funktion zum Wiederherstellen von gelöschten Dateien existiert. 9 · Datensicherung Seite 165 5. Die Sicherung kann auch an einen anderen Speicherort zurückgespeichert werden: Dazu wird unter Ersatzpfad der gewünschte Pfad für die Wiederherstellung gewählt. 6. Wenn Sie das Kontrollfeld Dateiberechtigungen wiederherstellen aktivieren, werden die ursprünglichen Dateiberechtigungen wieder hergestellt; andernfalls werden die Berechtigungen des Verzeichnisses übernommen, in dem die Dateien wiederhergestellt werden. 9.5 Klonen von Festplatten Trotz der in Windows NT vorhandenen Möglichkeiten, die Arbeitsstationen vor unberechtigten Veränderungen zu schützen, kann es notwendig werden, „zerschossene“ Installationen möglichst schnell zu ersetzen. Hier bietet sich folgende Lösung an: • Die Festplatten der Arbeitsstationen werden alle in Wechselrahmen eingebaut. • Mit geeigneter Software (z. B. DriveCopy von PowerQuest) wird ein identisches Abbild einer Festplatte erstellt. („Notfall-Platte“). • Für das Problem der Security ID (SID) bieten Mark Russinovich und Bryce Cogswell im Internet unter http://www.ntinternals.com/ntsid.htm als Freeware einen SID-Wechsler an. 9 · Datensicherung Seite 166 9.6 Notfallvorsorge Um für einen „GAU“ gerüstet zu sein, sollten Sie neben einem regelmäßigen Backup und der Installation einer Notversion von Windows NT weitere Vorkehrungen treffen: 1. Erstellen Sie eine Windows NT-Startdisk mit folgenden Dateien aus dem Root-Verzeichnis: NTLDR, NTDETECT.COM, BOOT.INI. Anmerkung: Falls auch andere Betriebssysteme gebootet werden müssen, sollte auch die Datei BOOTSELECT.DOS kopiert werden. 2. Erstellen Sie zur Sicherheit einen weiteren Satz der drei Setup-Boot-Disketten mit START – AUSFÜHREN – E:\WINNT32 /OX Anmerkung: E: ist hier die Laufwerksbezeichnung für das CD-Laufwerk. 3. Erstellen Sie eine Repair-Disk mit START – AUSFÜHREN – RDISK.EXE. Diese enthält dann wichtige Teile der Registry und sollte regelmäßig aktualisiert werden. Im Notfall können Sie den Computer mit der Startdiskette booten oder ihm mit den SetupDisks unter Auswahl der Option Repair wieder „auf die Beine helfen“. Ist der Boot-Sektor oder das Boot-Menü beschädigt, so können die Optionen Überprüfen des Boot-Sektors und Untersuchen der Startumgebung weiterhelfen. 4. Klicken Sie mit der rechten Maustaste auf das Symbol Arbeitsplatz und wählen Sie Eigenschaften, Starten/Herunterfahren (Debug-Info sollte markiert sein). Tritt ein „Blue Screen of Death“ auf, werden die Fehlerinformationen an der hier angegeben Stelle gespeichert und können mit Dumpexam in ein lesbares Format umgewandelt werden. Dumpexam finden Sie auf der Windows NT-CD unter \Support\Debug\I386. 5. Bei Problemen mit der Hardware (Interrupts, DMAs, ...) kann Windows NT-Diagnose weiterhelfen (START – PROGRAMME – VERWALTUNG (ALLGEMEIN) – WINDOWS NT-DIAGNOSE). Jedoch hilft dies nicht, wenn Windows NT ein Gerät nicht erkennt. Hier ist das Tool NT Hardware-Query besser geeignet. Erzeugen Sie eine Diskette mit NT Hardware-Query. Formatieren Sie zunächst eine Diskette und starten Sie MAKEDISK.BAT, diese Batch-Datei finden Sie im Verzeichnis \Support\Hqtool auf der Windows NT-CD. 6. Richten Sie auf Ihrer Festplatte eine kleine FAT-Partition (ca. 200 bis 300 MByte) als Emergency-Partition mit Hilfsprogrammen ein. (Mit dem Utility NTFSDOS kann man unter DOS auf NTFS-Partitionen lesend zugreifen). 10 · Systemüberwachung Seite 167 10 Systemüberwachung 10.1 Wann ist eine Überwachung des Systems notwendig? Die Systemüberwachung wird dann notwendig, wenn entweder mit der Installation des Systems etwas nicht stimmt oder im laufenden Betrieb Schwierigkeiten mit der Performance des Systems auftauchen und nicht sofort erkennbar ist, woher diese Schwierigkeiten kommen. 10.2 Probleme direkt nach der Installation Sollten direkt nach der Installation Probleme auftreten, kann nach einem Check der Hardware durch Inaugenscheinnahme, die Systemüberwachung eventuell bei der Fehlersuche helfen. Können die Probleme jedoch nicht eindeutig definiert werden, sollte grundsätzlich eine Neuinstallation erfolgen. 10.3 Performanceprobleme bei laufenden Systemen Fragestellungen zu Performanceproblemen können einfach, aber auch sehr komplex sein: 10.3.1 Einfache Fragestellungen • Warum läuft ein Computer langsam? • Warum wird eine Anwendung ineffizient ausgeführt? • Wie muss die Kapazität des Systems ausgebaut werden? 10.3.2 Komplexere Fragestellungen • Was muss man tun, wenn es in einem System mehrere Leistungsengpässe gibt? • Wieso treten manche Probleme unregelmäßig auf? 10 · Systemüberwachung Seite 168 • Wie lässt sich herausfinden, ob sich ein Problem auf mehrere Ursachen zurückführen lässt? Bei NT-Arbeitsstationen sind die wahrscheinlichsten Gründe für schlechte Antwortzeiten Speicher und Prozessorprobleme, beim Server sind es eher Probleme mit den Festplatten und dem Netzwerk. • Sind die Probleme mit einer Komponente das Ergebnis von Problemen mit einer anderen Komponente? Eine hohe Prozessorbelastung kann daran liegen, dass der Speicherplatz zu knapp bemessen ist und der Prozessor deshalb ständig mit dem Ein- und Auslagern von Daten und Codeseiten beschäftigt ist. Auch die bunten Bildschirmschoner (besonders die OpenGL-Anwendungen) sind oft an Performanceproblemen schuld, da diese oft fast 100% der Systemleistung benötigen. Ein Engpass durch die Festplatte kann ein Problem mit dem Prozessor vortäuschen. Speichermangel wiederum kann nach einem Problem mit der Festplatte aussehen. 10.4 Möglichkeiten der Systemüberwachung 10.4.1 Die Ereignisanzeige START – PROGRAMME – VERWALTUNG (ALLGEMEIN) - EREIGNISANZEIGE Die Ereignisanzeige wird hauptsächlich bei der Systemkonfiguration eingesetzt und gibt oft wertvolle Hinweise, wenn ein Systemdienst nicht funktioniert. 10.4.1.1 Die Ereignisanzeige im Systemprotokoll-Modus 10 · Systemüberwachung Seite 169 Wichtig ist die linke Symbol-Spalte vor dem Datum: • Das rote Stop-Zeichen signalisiert, dass ein Fehler bei dem entsprechenden Dienst aufgetreten ist. Ein Doppelklick auf das entsprechende Zeichen bringt ein Detailfenster auf den Bildschirm mit dem weitere Informationen zu dem entsprechenden Ereignis abgerufen werden können, die sehr hilfreich sein können. • Das blaue Informationszeichen signalisiert, dass Informationen zu dem Dienst vorliegen, dessen grundlegende Funktionalität aber nicht betroffen ist. • Das gelbe Ausrufezeichen macht auf eine dringende Information aufmerksam, die auf Fehler im System hindeutet und manchmal wertvolle logische Hilfen bietet, wenn es darum geht, einen Fehler in einen bestimmten Teilsystem aufzuspüren. 10.4.1.2 Die Ereignisanzeige im Anwendungsprotokoll-Modus Die Ereignisanzeige funktioniert im Anwendungsprotokoll-Modus genauso wie im Systemprotokoll-Modus, nur dass sich wichtige Ereignisse jetzt auf gestartete Anwendungen beziehen. Der Anwendungsprotokoll-Modus wird eher selten gebraucht. 10.4.1.3 Die Ereignisanzeige im Sicherheitsprotokoll-Modus Dieser Modus wird vor allem eingesetzt, wenn bestimmte Ereignisse im System gezielt überwacht werden sollen. Wenn z. B. ein bestimmter Benutzer und seine Aktivitäten verfolgt werden sollen, oder die Aktivitäten eines bestimmten Dienstes ausführlich mitprotokolliert werden sollen. Der Sicherheitsprotokoll-Modus ist standardmäßig ausgeschaltet und wird erst aktiviert, wenn im Benutzermanager die Überwachungsrichtlinien festgelegt sind. Der Sicherheitsprotokoll-Modus kennt zwei weitere Signalzeichen, das Vorhängeschloss und den Schlüssel. Das Vorhängeschloss signalisiert einen Überwachungserfolg, der Schlüssel einen Überwachungsfehlschlag. 10 · Systemüberwachung Seite 170 10.4.2 Der Task-Manager Der Task-Manager ermöglicht die Überwachung aktiver Anwendungen und Prozesse auf einem Computer sowie deren Start und Beendigung. Der Task-Manager empfiehlt sich für die kurzfristige Systemüberwachung. Zum Starten des Task-Managers klickt man mit der rechten Maustaste auf die Taskleiste und im dann erscheinenden Popup-Menü auf Task-Manager. Oder man drückt die Tastenkombination STRG+ALT+ENTF und wählt im dann erscheinenden Fenster die Taste Task-Manager. Der Task-Manager kann in drei Ansichtsarten benutzt werden. 10.4.2.1 Der Task-Manager in der Anwendungsansicht In der Anwendungsansicht gibt der Task-Manager Auskunft über die gerade laufenden Applikationen und ihren Ausführungszustand, also, ob eine Anwendung läuft, gestoppt ist oder auf eine Anforderung nicht reagiert. Außerdem kann hier ein Task, der hängt, beendet werden. 10 · Systemüberwachung Seite 171 10.4.2.2 Der Task-Manager in der Prozessansicht In der Prozessansicht werden alle laufenden Systemprozesse einschließlich der offenen Anwendungen angezeigt. Außerdem gibt die Systemansicht Auskunft über viele Systemparameter, die am einfachsten hier erfahrbar sind, z. B. die Prozess-ID oder die CPU-Belastung pro einzelnen Prozess. In der Prozessansicht ist es auch möglich die Priorität eines Tasks herauf- oder herabzustufen. Dazu klickt man mit der rechten Maustaste auf den entsprechenden Prozess, wählt dann den Menüpunkt Priorität und anschließend die gewünschte Prozesspriorität. Im Allgemeinen reichen aber die von NT vergebenen Prozessprioritäten völlig aus. Man sollte hier wirklich nur eingreifen, wenn man genau weiß, was man tut. Die wichtigsten Systemprozesse und deren Funktionen: Prozess Funktion System Idle Process Leerlaufprozesse. System Wickelt Schreibvorgänge im Speicher ab. Smss.exe Ist das Session Manager Subsystem von NT. csrss.exe Client Server Runtime System behandelt Systemfehler. winlogon.exe Verwaltet die An- und Abmeldung der Benutzer. services.exe Startet alle Dienste. lsass.exe Local Security Administration Subsystem – regelt bestimmte Verwaltungsfunktionen der Systemsicherheit auf dem lokalen Computer. spoolss.exe Spooler Subsystem – schickt Druckdaten von der Festplatte an den Drucker. nddeagnt.exe Network DDE Agent – wickelt Anforderungen für DDE Dienste ab. RpcSs Remote Procedure Call Subsystem. taskmgr.exe Ausführbare Programmdatei des Task-Managers selbst. 10 · Systemüberwachung Seite 172 10.4.2.3 Der Task-Manager in der Systemleistungsansicht Die Systemleistungsansicht hat den Vorteil, dass sie wesentliche Systemleistungsdaten in grafischer Form und in Augenblickswerten anzeigt. Mit diesem Tool kann man feststellen, wie stark der Prozessor und der Speicher des Systems ausgelastet sind. Mit dem Menüpunkt Ansicht, Kernelzeit zeigen kann der Grafik auch die Zeit des Prozessors als Anzeige hinzugefügt werden, die im innersten Systemkern verbracht wird. Ein Doppelklick auf die Grafik schaltet zwischen der reinen Grafikansicht und der Ansicht mit weiteren statistischen Daten hin und her. 10.4.3 Der Systemmonitor Der Systemmonitor ist ein grafisches Werkzeug zur Sichtbarmachung der Messungen, die ständig von den laufenden Prozessen unter Windows NT vorgenommen werden. Der Systemmonitor wird über START – PROGRAMME – VERWALTUNG (ALLGEMEIN) – SYSTEMMONITOR gestartet Die einstellbaren Optionen sind: • Aktuelle Aktivitäten: Sie zeigen je nach eingestelltem Objekt die gerade ablaufenden Objektaktivitäten an. • Gespeicherte Aktivitäten: Der Systemmonitor speichert die aktuellen Aktivitäten in Protokolldateien. Verschiedene Protokollarten haben unterschiedliche Extensionen: 10 · Systemüberwachung Seite 173 • Chart-Dateien (.pmc) Halten Grafikdaten fest. • Log-Dateien (.pml) In Log-Dateien können Daten von unterschiedlichen Systemen zusammengefasst werden. Log-Dateien werden bevorzugt eingesetzt, wenn Daten über einen längeren Zeitraum betrachtet werden sollen. • Report-Dateien (.pmr) Halten Dateneinstellungen für Reports fest. • Alert-Dateien (.pma) Halten die Einstellungen für die Warnmeldungen fest. • Workspace-Dateien (.pmw) Workspace-Dateien umfassen die Chart-, Log- und Report-Dateien der aktuellen Einstellung. 10.4.3.1 Einsatz des Systemmonitors Folgende Objekte kommen bei der Messung der Prozessorleistung vorrangig zum Einsatz: • Prozessor: %Prozessorzeit Misst, wie beschäftigt der Prozessor ist. Normalwerte liegen zwischen 0 und 80 %, Spitzenwerte bis zu 100 % sind normal. Erst eine andauernde Belastung über 80 % deutet auf den Prozessor als Engpass hin. • Prozessor: Interrupts/s Misst die Rate der Dienstanforderungen durch Peripheriegeräte. Normalwerte liegen zwischen 100 und 1000. Spitzenwerte bis 2000 sind akzeptabel. Andauernde Spitzenwerte über 1000 deuten darauf hin, dass eine Hardwarekomponente fehlerhaft arbeitet (falsche Interrupts). • System: Prozessor-Warteschlangenlänge Misst die Anzahl der Threads, die auf die Zuwendung des Prozessors warten. Normalwerte liegen zwischen 0 und 2. Spitzenwerte über 2 sind akzeptabel. Andauernde Spitzenwerte über 2 deuten auf einen Prozessorengpass hin. 10 · Systemüberwachung Seite 174 Beispiele Die folgenden Diagramme wurden mit Hilfe des Programmes CPUSTRES.EXE angefertigt. Das folgende Diagramm zeigt einen Prozessor, der nahe an der Auslastungsgrenze ist: Das folgende Diagramm zeigt einen Prozessor, der mehrere konkurrierende Prozesse bedienen muss, an seiner Auslastungsgrenze arbeitet und bei dem infolgedessen die Warteschlange ständig anwächst und dann wieder abgebaut wird. Als Maßnahmen bei schechter Prozessorperformance muss nicht zwangsläufig der Prozessor ausgetauscht werden. Manchmal wird ein Prozessorengpass durch andere Komponenten ausgelöst. Es lohnt auf jeden Fall vorher zu prüfen, ob - genügend externer Prozessor-Cache vorhanden ist, - das externe und interne Caching im Bios aktiviert ist, - eine Anwendung für den Speicherengpass verantwortlich ist, - die Auslagerungsdatei zu klein ist, oder ob - unnötige Protokolle oder Treiber installiert sind, die in den Auslagerungs- und Nichtauslagerungsseiten Platz beanspruchen. 10 · Systemüberwachung Seite 175 Um die Festplattenperformance messen zu können, muss ihre Messerfassung erst eingerichtet werden. Dies geschieht mit Hilfe des Programmes DISKPERF.EXE das im Verzeichnis \Winnt\System32 installiert ist und in der DOS-Eingabeaufforderung aufgerufen werden muss. Voraussetzung für die Nutzung dieses Programmes ist die Anmeldung als Administrator. Der Aufruf dieses Programms erfolgt für „normale Computer“ mit dem Parameter –y: diskperf –y Wenn ein exzeptionelles System vorliegt (liegt vor, wenn der fehlertolerante Festplattentreiber FtDisk gestartet ist), dann erfolgt der Aufruf mit dem Parameter –ye: diskperf –ye Danach ist ein Neustart des Systems notwendig, um die Zähler zu aktivieren. Mit folgendem Aufruf wird die Festplattenüberwachung wieder ausgeschaltet: diskperf -n Windows unterscheidet grundsätzlich zwei Arten von Festplatten-Performance: • Die logische Festplatten-Performance Das LogicalDisk-Objekt misst die Performance von Netzwerkverbindungen, die als Laufwerk abgebildet sind, aber auch die Performance von Volumes und Datenträgersätzen, die über physikalische Festplatten hinweg angelegt sind. • Die physikalische Festplatten-Performance Das PhysicalDisk-Objekt misst nur echte Übertragungen von oder zur tatsächlichen Festplatte. Verwendung der beiden Objekte: Das LogicalDisk-Objekt sollte immer zuerst verwendet werden, um Engpässe aufzudecken. Das PhysicalDisk-Objekt kommt erst dann zum Einsatz, wenn man den Ursachen des Engpasses nachspürt. • Speicher: Seiten/s Misst die Auslagerung derjenigen Seiten in den Speicher, die auf die Festplatte geschrieben werden. 10 · Systemüberwachung Seite 176 • %Zeit Misst, wieviel Prozessorzeit bei der Bedienung von Festplattenanforderungen verbraucht wird und ist damit ein Indikator dafür, ob die Festplatte während bestimmter Aktivitäten (z. B. Kopiervorgänge) zum Engpass wird. • Bytes/s Zeigt, wie schnell die Festplatten Daten übertragen. • Aktuelle Warteschlange Misst das Ausmaß der Daten, die auf die Übertragung zur Festplatte warten. Eine lange Festplatten-Warteschlange ist ein Indikator dafür, dass viele andere Prozesse durch die Festplattengeschwindigkeit verzögert werden. Anmerkung: Da sich Festplattenanforderungen nur sehr schwer simulieren lassen, wird hier auf eine Beispielgrafik verzichtet. Das Windows NT Resource Kit enthält allerdings ein sehr komplexes Tool, mit dem sich auch Festplatten testen lassen (Disk Probe) auf das hiermit hingewiesen sei. Bei schlechter Festplatten-Performance sollte zunächst der Arbeitsspeicher (RAM) ausgebaut werden, da viel RAM hilft Festplattenauslagerungen zu vermeiden. Eventuell muss jedoch mit einer schnelleren Festplatte oder einem schnelleren Festplatten-Controller nachgebessert werden. Eventuell lassen sich Performance-Steigerungen auch durch Verwenden von Datenträgersätzen über mehrere Festplatten hinweg feststellen. Die sicherlich kostspieligste Art ist das Verwenden eines RAID-Systems. Controller-Technologie Max. Transferrate in MB/s Max. Anzahl der Geräte IDE-Festplatten 8 2 DIE 5 2 SCSI 5 7 SCSI-2 Fast 10 7 SCSI-2 Wide 20 7 SCSI-2 F/W 40 7 Ultra SCSI 80 15 10 · Systemüberwachung Seite 177 Folgende Objekte kommen bei der Messung der Performance von Anwendungen vorrangig zum Einsatz: • Prozessor: %Prozessorzeit • Prozess: %Prozessorzeit • System: Prozessor-Warteschlangenlänge Folgende Grafik wurde mit Hilfe des Programmes CPUSTRES.EXE, das eine Anwendung simuliert, angefertigt. Von CPUSTRES.EXE wurden vier Instanzen geladen. Diese vier Instanzen, lasten den Prozessor zu nahezu 100% aus. Im Performance-Monitor wurde die Einstellung Histogramm gewählt, um die Auslastung der Prozesse zu verdeutlichen. Von links nach rechts zeigen die Grafikbalken diejenigen Datenquellen, die im Systemmonitordatenquellenfeld von oben nach unten angeordnet sind. Ganz links ist die Prozessorzeit in Prozent zu sehen. Rechts daneben folgt die Prozessor-Warteschlangenlänge und die vier Prozesse rechts stellen die einzelnen Instanzen von CPUSTRES.EXE dar. Der dritte Balken von links zeigt die erste Instanz von CPUSTRES.EXE. Man sieht, dass dieser Anwendung nahezu 100% der Prozessorzeit zugeteilt sind. Die anderen Instanzen von CPUSTRES.EXE müssen um die verbleibende Prozessorzeit konkurrieren. In diesem Zusammenhang wird der zweite Balken von links wichtig, weil er zeigt, dass die Anzahl derjenigen Threads, die um Prozessorzeit in der Prozessor-Warteschlange konkurrieren, bei über 5 liegt. Wenn man sich in Erinnerung ruft, dass der Wert der Prozessor-Warteschlangenlänge für einen ordentlichen Betrieb des Systems 2 nicht überschreiten sollte, dann wird deutlich, dass die Anzahl der laufenden Tasks, das System bereits überfordert, d. h. andere Prozesse müssen sehr lange warten, bis sich das System ihnen zuwendet, wenn überhaupt. Im vorliegenden Fall bekommen die drei anderen Instanzen von CPUSTRES.EXE nur ca. 2% der Prozessorzeit zur Verfügung gestellt. Man kann also sagen, dass in diesem Fall eine Instanz einer Applikation das Gesamtsystem empfindlich belastet, indem sie den Prozessor für sich beansprucht. 10 · Systemüberwachung Seite 178 Zum Testen, ob man die verursachende Anwendung gefunden hat, sollte man nicht mehr mit der Anwendung arbeiten. Eventuell lässt sich die Anwendung auf einen anderen Computer verschieben oder durch eine aktuellere Version ersetzen. Als vorübergehende Lösung kann man auch die Basispriorität der Anwendung herabsetzen. Erst als letzte Möglichkeit sollte man an eine Prozessoraufrüstung denken. Unter Windows NT lässt sich die Performance von Anwendungen (Prozessen) generell oder individuell regulieren. Hier soll zunächst nur die generelle Regulierung behandelt werden. Je nachdem, welche Aktionen ein Anwender ausführt, kann Windows NT die Priorität eines Prozesses automatisch verändern, d. h. wenn eine Anwendung den Fokus erhält, dann erhöht NT deren Prioritätsstufe und gewährleistet damit eine schnelle Reaktion auf die Anforderungen. Im Allgemeinen reichen die von Windows NT vorgegebenen Einstellungen, die man unter START – EINSTELLUNGEN – SYSTEMSTEUERUNG – SYSTEM – LEISTUNGSMERKMALE findet. Bei der Standardkonfiguration von Windows NT gilt folgendes: Für einen NT-Server werden die Anwendungsprioritäten völlig weg genommen zugunsten der Serverdienste, während auf der Arbeitsstation die Anwendungen die volle Priorität bekommen. 10.4.4 Allgemeine Empfehlungen zur Nutzung des Systemmonitors Obwohl der Systemmonitor es erlaubt, einzelne Computer zu analysieren, ist sein Einsatz erst sinnvoll, wenn mehrere Computer im Netz untersucht werden sollen, insbesondere, wenn es darum geht, einen Computer als Flaschenhals im Netz auszumachen. Dazu sind längere Protokollaufzeichnungen (meist über mehrere Tage mit größeren Messabständen) anzufertigen und auszuwerten, was zu einem aufwendigen Analyseverfahren führt. 10 · Systemüberwachung Seite 179 10.5 Weitere Tools Die nachfolgend genannten Tools sind auf der Windows-NT Ressource-Kit-CD zu finden. 10.5.1 Das Clearmem-Tool (CLEARMEM.EXE) Ein Dienstprogramm der Gruppe Performance Tools Fundort: \Perftool\Meastool Zweck: Clearmem bestimmt den Umfang des physischen Speichers, füllt ihn auf und verweist anschließend darauf. Außerdem wird der Cache geleert. Durch diese Aktionen reduziert sich der Speicher, der anderen Prozessen zur Verfügung steht. Bevorzugter Einsatzbereich: Ermitteln des Mindestwertes der Arbeitsseiten eines Prozesses. Adressat: Programmierer, die ihren Programmcode optimieren wollen. 10.5.2 Das CPU-Stress-Tool (CPUSTRES.EXE) Ein Diensprogramm der Gruppe Performance Tools Fundort: \Perftool\Meastool Zweck: CPU-Stress erlaubt die Simulation von Prozessorengpässen. Bevorzugter Einsatzbereich: Messen der Reaktion der Systemkonfiguration auf hohe Prozessorauslastung. Adressat: Administratoren 10.5.3 Der Page Fault Monitor (PFMON.EXE) Ein Dienstprogramm der Gruppe Performance Tools Fundort: \Perftool\Meastool Zweck: Das Tool erstellt eine ständig aktualisierte Liste mit den System- und Softseitenfehlern, die von jedem Funktionsaufruf in einem aktiven Prozess erzeugt werden. Bevorzugter Einsatzbereich: Überprüfung ineffizient mit dem Speicher arbeitende Anwendungen. Adressat: Programmierer, die ihren Programmcode optimieren wollen, aber auch Administratoren, die ineffizient mit dem Speicher arbeitende Anwendungen aufspüren wollen. 10 · Systemüberwachung Seite 180 10.5.4 Das Process Explode Tool (PVIEW.EXE) Process Explode stellt eine Obermenge der Funktionen von Pviewer dar. 10.5.5 Der Process Viewer (PVIEWER.EXE) Ein Dienstprogramm der Gruppe Performance Tools Fundort: \Perftool\Meastool Zweck: Pviewer ermöglicht die Überwachung der Prozess- und Thread-Priorität eines Prozesses sowie die Änderung seiner Prioritätsklasse. 10.5.6 Das Response Probe Tool (PROBE.EXE) Da Response Probe ein sehr komplexes Tool zum Testen der Festplattenperformance darstellt, wird hier nur darauf verwiesen. Für dieses Tool sollte man sich Zeit zur Einarbeitung nehmen! 10.5.7 Das Total Processor Usage Tool Ein Dienstprogramm, das eine erweiterungsfähige Systemmonitordatenquelle installiert. Fundort: \Perftool\TotlProc Zweck: Das Tool erlaubt bei durch Interrupts gestarteten Anwendungen, die Prozessorzeit genauer zu messen. Besonderheiten: Solange TotlProc ausgeführt wird zeigen die entsprechenden Datenquellen des Systemmonitors und des Task Managers immer Prozessorzeitwerte an, die bei 100% liegen. 10.5.8 Der Working Set Tuner Fundort: Gehört zum Lieferumfang des Win32-Software-Development-Kit. Zweck: Der Working Set Tuner analysiert die Struktur der Funktionsaufrufe im Anwendungscode und empfiehlt eine Codeanordnung, die so wenig physischen Speicher wie möglich beansprucht. Adressat: Programmierer, die ihren Code optimieren wollen. 10 · Systemüberwachung Seite 181 10.6 Glossar Cache (Cache) Ein spezieller Speicher, in dem der Inhalt von häufig verwendeten Stellen im Arbeitsspeicher und die Adressen der entsprechenden Datenobjekte zwischengespeichert werden, um bei Bedarf schneller angefordert werden zu können. Flaschenhals (bottleneck) Ein Flaschenhals beschreibt einen Zustand, in dem die für eine Komponente geltenden Einschränkungen einen schnelleren Betrieb des gesamten Systems verhindern. Kontextänderung Eine Kontextänderung liegt vor, wenn der Mikro-Kernel den Prozessor von einem Thread zum nächsten schaltet. Logischer Datenträger (LogicalDisk) Das logische Datenträgerobjekt misst die Performance von Netzwerkverbindungen, die als Laufwerk abgebildet sind. Es misst außerdem die Performance von Volumes und Datenträgersätzen, die über physikalische Festplatten hinweg angelegt sind. Objekt Ein Objekt ist ein eingebauter Standardmechanismus zur Identifizierung und Nutzung einer Systemressource, z. B. Anwendungen, Speicher, physisch vorhandene Geräte. Physikalischer Datenträger (PhysicalDisk) Das physikalische Datenträgerobjekt misst nur echte Übertragungen von und oder zur tatsächlichen Festplatte (oder einen RAID-Satz beim Einsatz von RAID-Controllern). Prozess (Process) Ein Windows NT-Prozess wird angelegt, wenn ein Programm gestartet wird, dies kann eine Anwendung, ein Dienst oder ein Subsystem sein. Jeder Prozess besteht zumindest aus einem Thread. 10 · Systemüberwachung Seite 182 Speicher (Memory) Unter Speicher versteht man einen Bereich eines Computers, in dem temporär Anwendungen und Daten abgelegt werden. Thread (Thread) Threads sind Objekte innerhalb eines Prozesses, die Programmbefehle ausführen. Threads erlauben es einem Prozess verschiedene Teile seines Programmes auf unterschiedlichen Prozessoren auszuführen. 10.7 Literaturliste Strebe, Matthew et al.: MCSE NT 4 Workstation Study Guide. Deutsche Ausgabe. 1. Auflage 1997 Anderson, Janet et al.: Microsoft Windows NT Workstation. Version 4. 1. Auflage 1996 11 · Windows 95 in NT-Netzen Seite 183 11 Windows 95 in NT-Netzen Da sich zahlreiche Schulen aus unterschiedlichen Gründen nicht für Windows NT, sondern für Windows 95 als Clients entscheiden, werden in diesem Kapitel einige grundlegende Anmerkungen zur Installation und Organisation von Windows 95-Rechnern in Netzwerken mit einem NT-Server gemacht. 11.1 Installation von Windows 95 11.1.1 Der Setup-Vorgang Windows 95 weist beim Setup folgende Merkmale auf: • Der Installationsprozess basiert komplett auf Windows, auch wenn noch keine frühere Version von Windows installiert war. • Die Geräteunterstützung ist gut. Windows erkennt viele Hardwareteile automatisch. • Das Smart Recovery stellt eine Wiederherstellungsfunktion bereit. Die Installationsarten von Windows 95: • Installation unter MS-DOS oder Windows 3.x • Erneuerung der bisherigen Version von Windows • Standard-, minimale oder benutzerdefinierte Installation ist möglich • Die Standardinstallation von Windows 95 überschreibt eine bestehende MS-DOS- und Windows-Version. Wenn Windows 3.x oder Windows für Workgroups bereits installiert ist, bedeutet dies das Überschreiben und damit Löschen der alten Windows-Version. • Das Setup übernimmt die Einstellungen von SYSTEM.INI, WIN.INI und PROTOCOL.INI. • Die Einstellungen aller Anwendungen werden übernommen und entsprechend konvertiert. • Alle Gruppen des Programm-Managers werden in Programmordner des Startmenüs konvertiert und entsprechend dargestellt. 11 · Windows 95 in NT-Netzen Seite 184 • Es kann kein DUAL-Boot mit der vorigen MS-DOS-Version eingerichtet werden, wenn Windows 95 ebenfalls in dem Verzeichnis C:\Windows installiert wird. • Alle Windows-Anwendungen müssen neu installiert werden, wenn Windows 95 in ein weiteres Verzeichnis installiert wird. • Eine DUAL-Boot-Installation wird ermöglicht, so dass die vorherige DOS-Version und eventuell Windows-Version weiterhin verfügbar bleiben. Allerdings werden viele DOSProgramme gelöscht, so dass empfohlen wird, das alte DOS in ein Verzeichnis komplett zu sichern. Ebenso sollten in diesem Verzeichnis die Konfigurationsdateien (CONFIG.SYS und AUTOEXEC.BAT) gesichert werden. Anmerkung: Die Einrichtung eines DUAL-Boot ist nur mit der ersten Version von Windows 95 möglich! Bei der Installation von Windows 95 A, B oder C werden alte Windows-Versionen überschrieben. Sollen diese dennoch erhalten bleiben, muss vor der Installation die Datei WIN.COM der alten Version in einen beliebigen Namen umbenannt werden, was nach der Installation natürlich wieder rückgängig gemacht werden muss. Der Setup-Ablauf: Auf vorhandene WindowsVersion prüfen Minimaler Systemtest Speicher, Festpl. XMS-Manager und Cache Manager Windows Start Hardware-Erkennung Benutzereingaben Kopieren der Dateien Modifizieren des Bootsektors Windows 95 Logon Verknüpfungen des Menüs Start Einstellen der Zeitzone Drucker - Setup Windows 95 Tour OEM Setup Programme Neustart 11 · Windows 95 in NT-Netzen Seite 185 Das Setup-Programm von Windows 95 kennt verschiedene Schalter, die zum Einsatz kommen können. Einen Überblick über diese Schalter erhält man durch die Eingabe von SETUP /?. Besonders wichtige Setup-Optionen: • /I schaltet die Hardwareerkennung ab • /ID analysiert nicht den verfügbaren Speicherplatz • /D führt nicht mit der vorhandenen Windows-Version aus 11.2 Der Ladevorgang 11.2.1 Optionen Registry Ý SYSTEM.INI Ý KRNL386 Ý GDI.EXE Ý USER.EXE Ý Misc. Ý WIN.INI Ý Desktop Ý Log on Ý Autostart 11 · Windows 95 in NT-Netzen Seite 186 Wenn die Taste F8 gedrückt wird, während die Anzeige Windows 95 wird gestartet... auf dem Bildschirm erscheint, zeigt Windows 95 folgende Menüpunkte: Standard Normaler Systemstart. Protokolliert Normaler Systemstart. Während des Startvorganges wird Bootlog.txt neu (BOOTLOG.TXT) erstellt. Die Datei protokolliert alle Startvorgänge und kann entsprechend zur Fehlersuche eingesetzt werden. Abgesichert Minimale Startoption ohne Netzwerk. Abgesichert mit Wie vor, jedoch mit Unterstützung des Netzwerkes. Netzwerk Einzelbestätigung Bei jedem zu ladenden Treiber wird gefragt, ob dieser geladen werden soll. Nur Eingabe- Führt zum Windows 95 DOS-Prompt. Diese Umgebung ist für Programme aufforderung bestimmt, die nicht unter Windows 95 laufen. Abgesichert, nur Wie oben, jedoch werden CONFIG.SYS und AUTOEXEC.BAT nicht abgearbeitet. Eingabeaufforderung Vorherige DOS-Version Startet die ursprünglich installierte DOS-Version, sofern eine solche bei der Installation von Windows 95 erhalten geblieben ist. Anmerkung: Mit Drücken der Taste F5 startet Windows 95 direkt im abgesicherten Modus, einer Minimalkonfiguration. Dieser Modus ist eigentlich ein „ReparaturModus“, bei dem nur die notwendigsten Treiber geladen werden. Dies wird am Bildschirm an allen 4 Ecken angezeigt. Durch Drücken der Taste F4 wird direkt die vorhergehende DOS-Version (falls vorhanden) geladen. 11.2.2 Die System- und Kommandodateien in Windows 95 und DOS Nach der Installation von Windows 95 stellt dieses Betriebssystem die Möglichkeit dar entweder das vorige DOS oder Windows 95 zu starten. Dabei erweisen sich einige Kenntnisse zu den Startdateien beider Betriebssystemversionen als sehr nützlich. DOS und Windows 95 kennen beide Start- und Systemdateien mit dem gleichen Namen, also z. B: COMMAND.COM, AUTOEXEC.BAT etc. Wird eines der beiden Betriebssysteme gestartet, so stehen die Start- und Systemdateien der anderen Betriebssystemversion noch als Sicherungskopie im Hauptverzeichnis C:\ zur Verfügung. Die folgende Tabelle mag Aufschluss über diesen Sachverhalt geben: 11 · Windows 95 in NT-Netzen Beim Starten von Windows 95 Seite 187 Õ Sicherung der MS-DOS Dateien Windows 95 Startdateien: 1. COMMAND.COM 1. COMMAND.DOS 2. AUTOEXEC.BAT 2. AUTOEXEC.DOS 3. CONFIG.SYS 3. CONFIG.DOS 4. IO.SYS (versteckt) 4. IO.DOS (versteckt) 5. MSDOS.SYS (versteckt) 5. MSDOS.DOS (versteckt) 6. BOOTSECT.DOS Beim Starten von MS-DOS Õ Sicherung der WINDOWS 95 Dateien: DOS Start Dateien: 1. COMMAND.COM 1. COMMAND.W40 2. AUTOEXEC.BAT 2. AUTOEXEC.W40 3. CONFIG.SYS 3. CONFIG.W40 4. IO.SYS (H) 4. (keine Entsprechung) 5. MSDOS.SYS (H) 5. MSDOS.W40 (H) Die Systemdatei MSDOS.SYS hat in beiden Betriebssystemen eine völlig andere Bedeutung! In Windows 95 enthält sie bestimmte Systemeinstellungen - sie stellt quasi eine INI-Datei dar, die mit dem Editor veränderbar ist. Folgenden Einträge ermöglichen verschiedene Einstellungen beim Start im Bereich [Options]: • BOOTMULTI=1 (ermöglicht das DUAL-BOOTEN z. B. mit der Taste F4) • BOOTMENUE=1 (zeigt immer das BOOT-Menü an auch ohne F8) • BOOTDELAY = 6 (legt die Wartezeit auf 6 Sekunden fest; Standard = 2) Diese Einträge können in der entsprechenden Datei (entweder in der MSDOS.W40 falls DOS läuft oder in der MSDOS.SYS falls Windows 95 läuft) nachträglich mit einem Texteditor eingefügt werden. 11 · Windows 95 in NT-Netzen Seite 188 11.3 Windows 95 im Netzwerk Einstellungen für das Netzwerk sind bereits bei der Installation von Windows 95 möglich. Wird ein Netzwerk erst später eingerichtet, muss es danach über START – EINSTELLUNGEN – SYSTEMSTEUERUNG – NETZWERK konfiguriert werden. Es sind die folgenden Einstellungen vorzunehmen (immer auch abhängig von der konkreten Hardwareausstattung): Das folgende Fenster Netzwerk erscheint und weist die Registerkarte Konfiguration auf. Im Fenster sind die installierten Netzwerkkomponenten zu erkennen. In unserem Beispiel sind noch keine installiert. Die drei Schaltflächen Hinzufügen, Entfernen und Eigenschaften erlauben die entsprechenden Maßnahmen für Netzwerkkomponenten. Die Primäre Netzwerkanmeldung soll die Windows-Anmeldung sein und bleibt unverändert. Die Schaltfläche Datei- und Druckerfreigabe ist deaktiviert, weil noch keine Komponenten installiert sind. Die Beschreibung ist aus diesem Grund leer. Nach Drücken der Schaltfläche Hinzufügen müssen nun als erstes die Netzwerkkomponenten über die entsprechende Option im erscheinenden Fenster hinzugefügt werden. 11 · Windows 95 in NT-Netzen Seite 189 Wird diese Schaltfläche gedrückt, erscheint eine weitere Auswahl. Hier können verschiedene Clients, Netzwerkkarten, Protokolle und Dienste hinzugefügt werden. Wie das folgende Bild zeigt, wird als erstes ein Client hinzugefügt. Weil es sich hier um ein Microsoft-Netzwerk handelt, wird auch der entsprechende Client für Microsoft-Netzwerke ausgewählt. Dabei ist genau so zu verfahren, wie es die Grafik zeigt. Nach dem Drücken auf OK wird dieser Client eingerichtet. Je nach verwendeter Windows 95-Version werden nun verschiedene Netzwerkkarten, Protokolle und Dienste automatisch eingerichtet. Die nicht benötigten Komponenten sind über die entsprechende Schaltfläche zu entfernen. Dabei wird man nun aufgefordert die Windows 95-CD einzulegen, damit Windows 95 die verschiedenen eingestellten Treiber nachladen und installieren kann. Danach ist meist ein Neustart des Systems notwendig. Am Ende dieser Vorgehensweise sollte sich in etwa die folgende Grafik zeigen. Dies ist natürlich abhängig von der verwendeten Hardware. 11 · Windows 95 in NT-Netzen Seite 190 In unserem Beispiel sind der Client für Microsoft-Netzwerke, eine NE2000-kompatible Netzwerkkarte und das Microsoft Protokoll NetBEUI eingestellt. Diese Komponenten werden über eine Markierung und der anschließenden Wahl der Schaltfläche Eigen- schaften konfiguriert. Als erstes wird die Konfiguration des Clients eingerichtet: Die folgende Grafik zeigt die korrekte Einstellung, um sich an der Windows NT-Domäne anzumelden. Diese heißt in diesem Beispiel DOM1. DOM1 Auch die Netzwerkanmeldeoption ist wie dargestellt einzutragen! 11 · Windows 95 in NT-Netzen Seite 191 Möglicherweise wird man dann gefragt, ob der Domänenname auch übernommen werden soll. Dies ist dann der Fall, wenn die Netzwerkanbindung noch nicht ganz richtig funktioniert. Die gestellte Frage ist zu bejahen und im nächsten Fenster ist die Windows An- meldung an der Domäne (nicht Arbeitsgruppe!) auszuwählen. Nach dem Verlassen dieses Fensters müssen als nächstes die Eigenschaften der Netzwerkkarte kontrolliert werden. Die Eigenschaften der Netzwerkkarte erreicht man über das Markieren der Netzwerkkarte und dem Drücken der Schaltfläche Eigenschaften. Hier finden sich drei Registerkarten. Auf der ersten Registerkarte werden die Treiber für diese Netzwerkkarte wie nachfolgend gezeigt eingestellt: Auf der Registerkarte Bindungen erkennt man, dass auf dieser Netzwerkkarte das Protokoll NetBEUI gefahren wird. Auch diese Einstellung muss beibehalten werden. 11 · Windows 95 in NT-Netzen Seite 192 Die nächste Registerkarte Ressourcen zeigt, abhängig von der verwendeten Netzwerkkarte (hier: NE2000), die eingestellten Ressourcen. Oftmals sind diese Ressourcen inzwischen mit entsprechender Software, die den Netzwerkkarten beiliegt, vorab einzustellen. Auf die richtige Einstellung der Ressourcen ist streng zu achten, weil sonst das gesamte Netzwerk nicht funktionieren kann! In unserem Beispiel ist der IRQ 11 und der E/A Adressbereich auf 300-31f eingestellt. Will man hier etwas abändern, ist im Listenfeld die Aktuelle Konfiguration in die Basiskonfiguration 0 zu ändern. Danach sind die Felder IRQ und E/A erreichbar und können überschrieben werden. Findet sich vor den Angaben zum Interrupt oder E/A Bereich ein „* “, so ist ein Konflikt mit einem anderen Bauteil des Rechners vorhanden. Es ist dann davon auszugehen, dass keines der beiden Hardwareteile korrekt funktioniert. Es wird nochmals ausdrücklich betont, dass diese Einstellungen zur richtigen Funktion des Rechners in einem Netzwerk absolut wichtig sind! Ein falscher Eintrag bewirkt, dass eine Anmeldung im Netzwerk nicht mehr möglich ist! Auf die Einstellungen der Eigenschaften des NetBEUI-Protokolls braucht nicht eingegangen werden. An diesen Einstellungen sind keine Änderungen vorzunehmen. Allerdings wird später noch beschrieben, wie das TCP/IP-Protokoll eingerichtet wird. Die Einrichtung des TCP/IP-Protokolls sollte erst dann erfolgen, wenn man sicher ist, dass das Netz korrekt mit dem einfachen Protokoll NetBEUI funktioniert. 11 · Windows 95 in NT-Netzen Seite 193 Im Fenster Netzwerk sind nun noch Einstellungen auf den Registern Identifikation und Zugriffssteuerung vorzunehmen. Bei der Identifikation ist ein eindeutiger Computername für diesen Client einzugeben. Er sollte platzabhängig gewählt werden, um damit die weitere Administration zu vereinfachen. 135_WS1 DOM1 In unserem Beispiel heißt der Computer 135_WS1. Die 135 ist hierbei die Zimmernummer und WS1 steht für Worksstation Nummer 1. Schließlich muss als Arbeitsgruppe noch der Name der Domäne (hier: DOM1) eingetragen werden. Eine Beschreibung ist optional. Nach korrekter Eingabe kann auf die Registerkarte Zugriffssteuerung gewechselt werden. Dort finden sich die wichtigen Einstellungen, um den Zugang im Netzwerk zu regeln. DOM1 11 · Windows 95 in NT-Netzen Seite 194 In einem Netzwerk mit einem NT-Server ist hier unbedingt die Zugriffssteuerung auf Benutzerebene einzutragen, weil sonst die eingetragenen Benutzer und Gruppen auf dem Server nicht berücksichtigt werden. Nur wenn kein NT-Server zur Verfügung steht und ein Peer-to-Peer-Netz aufgebaut wurde, ist die erste Option anzukreuzen. Dies sind vorläufig alle Angaben, die in der Netzwerksteuerung einzugeben sind. Der Windows 95-Arbeitsplatz muss jetzt auf den Server in der Domäne DOM1 zugreifen können. Wenn dies sichergestellt ist, kann mit der Installation des TCP/IP-Protokolls fortgefahren werden. Die Installation dieses Protokolls ist dann nötig, wenn Internet an jedem Arbeitsplatz verfügbar sein soll. Also wird es in der Regel installiert. Auf das NetBEUI-Protokoll könnte man dann zwar verzichten, jedoch wird es belassen, um auf einfachem Weg (möglicherweise über DOS) eine Anbindung an den Server zu erhalten. Über START – EINSTELLUNGEN – SYSTEMSTEUERUNG – NETZWERK und der Taste Hinzufügen erhält man die Typen der möglichen Netzwerkkomponenten. Dort ist ein Protokoll, wie in der folgenden Grafik gezeigt, hinzuzufügen. Dazu wird der Eintrag Protokoll markiert und die entsprechend beschriftete Schaltfläche gedrückt. Es erscheint ein weiteres Fenster, in dem der Hersteller (hier: Microsoft) und das Protokoll (hier: TCP/IP) ausgewählt werden muss. 11 · Windows 95 in NT-Netzen Seite 195 Das Drücken der Taste OK beendet die Auswahl. Im dann erscheinenden Fenster steht in der Liste das Protokoll TCP/IP neben den anderen Einstellungen. Dieses Protokoll muss noch konfiguriert werden. Deshalb wird es markiert und die Taste Eigenschaften gedrückt. Danach finden sich sieben Register. Das erste Register IP-Adresse regelt, ob eine feste Adresse vergeben wird, oder ob im Netzwerk ein DHCP-Server die Adresse automatisch zuteilt. Wird kein DHCP-Server verwendet, muss eine IP-Adresse und die Subnet-Mask bei jedem Rechner eingegeben werden. Anmerkung: Bei der Planung dieser Adressen sind die entsprechenden Hinweise aus Kapitel 6 zu beachten. Eine weitere wichtige Registerkarte ist die WINS-Konfiguration. Sie enthält die Angaben, ob die IP-Adressen zu Microsoft Computernamen aufgelöst oder zugeordnet werden sollen. Ist ein DHCP-Server vorhanden, übernimmt dieser Server die Auflösung. Befindet sich kein DHCP-Server im Netz sondern „nur“ ein WINS-Server, so kann die IP-Adresse dieses Servers als erster WINS-Server hier eingetragen werden. Die Namensauflösung erfolgt dann über diesen Server im Netz. 11 · Windows 95 in NT-Netzen Seite 196 Auf der Registerkarte Erweitert ist dann zum Schluss noch das Standardprotokoll zu definieren. Bisher war es das NetBEUI-Protokoll. Durch das Ankreuzen der entsprechenden Schaltfläche wird als Standardprotokoll TCP/IP gewählt. Es steht nun nichts mehr im Wege, die Netzwerkanbindung mit dem Protokoll zu testen. Um sicherzugehen, dass auch das TCP/IP-Protokoll verwendet wird, sollte kurzzeitig das NetBEUI-Protokoll entfernt werden und der PC neu gestartet werden. Zum Testen des Protokolls liefert Windows 95 ein wertvolles Tool mit. Dieses Tool heißt WINIPCFG und befindet sich im Windows 95-Systemverzeichnis. Nach dem Starten dieses Tools (z. B. mit dem Explorer) werden sämtliche Einstellungen bezogen auf TCP/IP offenbart. 11 · Windows 95 in NT-Netzen Seite 197 Im ersten Feld ist der Host-Name zu erkennen. Das ist der vergebene Computer-Name für den PC auf dem das Tool läuft. Als Weiteres erkennt man den Netzwerkkartentyp und dessen eindeutige feste Ethernet-Adresse. Die zugewiesene IP-Adresse und die SubnetMask stehen in weiteren Feldern. Falls ein DHCP-Server und ein WINS-Server eingerichtet ist, werden die entsprechenden Angaben in weiteren Feldern gezeigt. In unserem Beispiel gibt es einen DHCP-Server mit der IP-Adresse 192.168.0.10. 11.4 Benutzerprofile in Windows 95 Windows NT kann dafür sorgen, dass jeder Benutzer in einem Netzwerk an jedem beliebigen Arbeitsplatz die gleiche individuelle Benutzeroberfläche vorfindet. Windows NT verwaltet benutzerspezifische Einstellungen, Programminstallationen und die Oberfläche prinzipiell immer über sogenannte Profile. Diese automatisch angelegten und verwalteten Benutzerprofile kann man in einem Netzwerk auch auf dem Server ablegen. Sie stehen dann an jedem Arbeitsplatz zur Verfügung. Dazu muss beim Anlegen des Benutzers ein Pfad zu dessen speziellen Benutzerprofil angelegt werden: Jede Gruppe von Benutzern im Netzwerk erhält ein Verzeichnis, in dem die Einstellungen zum Desktop und Windows 95 gespeichert werden. Diese Verzeichnisse müssen entsprechend freigegeben werden. 11 · Windows 95 in NT-Netzen Seite 198 Im Benutzermanager für Domänen auf dem Server weisen Sie den Gruppenmitgliedern den entsprechenden Pfad zu. Um nun die Einstellungen vorzunehmen, die für die einzelnen Gruppen gelten, gibt es grundsätzlich zwei verschiedene Bearbeitungsmöglichkeiten, die aus Gründen der Übersichtlichkeit nicht gemischt werden sollten. 1. Sie legen über den Systemrichtlinieneditor eine Datei CONFIG.POL an. 2. Sie bearbeiten die Registrierungsdateien von Windows 95 direkt mit dem Systemrichtlinieneditor. Nachfolgend wird die zweite Möglichkeit beschrieben, weil sie in der Literatur weniger häufig vorkommt und eventuell etwas leichter zu handhaben ist. 11.5 Sytemrichtlinien Vorbereitende Maßnahmen Legen Sie auf dem NT-Server die Verzeichnisse für die Benutzerprofile der einzelnen Gruppen an und geben Sie diese frei. Erstellen Sie ein weiteres Programmverzeichnis, in dem sie alle relevanten Programme zur Bearbeitung der Windows 95-Einstellungen, vor allem aber den Systemrichtlinieneditor und den Windows 95-Explorer ablegen. Geben Sie dieses Verzeichnis nur für die Administratoren frei. Den Systemrichtlinieneditor müssen Sie über START – EINSTELLUNGEN – SYSTEM – SOFTWARE – SETUP von der Windows 95-CD installieren. 11 · Windows 95 in NT-Netzen Seite 199 Weisen Sie einem beliebigen Mitglied der Schülergruppe nun Administratorenrechte zu und melden Sie sich als dieser Schüler an der Windows NT-Domäne an. Erstellen Sie die Verknüpfungen zu den Programmen im Managementverzeichnis (siehe oben und nachstehend). Testen Sie die Verknüpfungen: Starten Sie nun den Systemrichtlinieneditor und öffnen Sie die Registrierung. 11 · Windows 95 in NT-Netzen Seite 200 Die folgende Grafik sollte dann erscheinen: Wählen Sie als erstes die Bearbeitung der Eigenschaften des lokalen Computers, indem Sie auf das Symbol Lokaler Computer einen Doppelklick ausführen. Es erscheint nun eine Liste von Einstellungsmöglichkeiten, die in der Folge insoweit erwähnt werden, als sie für das Arbeiten im NT-Netzwerk von Bedeutung sind. 11 · Windows 95 in NT-Netzen Seite 201 Anmerkung: Durch Ankreuzen des Punktes Netzwerkbestätigung für Windows-Zugriff for- dern zwingen Sie den Windows 95-Benutzer sich am NT-Netzwerk anzumelden. Kann er das nicht, erhält er keine Möglichkeit mit dem Windows 95Rechner zu arbeiten. Selbst über die Escape-Taste wird kein Zugriff gewährt. Speichern Sie Ihre Arbeit und testen Sie die Einstellungen. Diese Einstellungen werden auf der lokalen Platte in der Datei SYSTEM.DAT festgehalten, da es sich um Einschränkungen handelt, die den lokalen Computer betreffen. Wiederholen Sie diese Schritte an jedem einzelnen Windows 95- Rechner (außer Sie vervielfältigen die Arbeitsstationen mit entsprechenden Mitteln wie z. B. DriveImage). Nachdem die Einstellungen für den lokalen Computer Ihren Vorstellungen entsprechen, können Sie daran gehen die Einschränkungen für den lokalen Benutzer vorzunehmen. Bedenken Sie, dass Sie als Schüler mit Administratorrechten angemeldet sind. Die folgenden Grafiken zeigen, wie Sie den Zugriff auf die Systemsteuerung einschränken: Wählen Sie diese Möglichkeiten wie angegeben, dann kann der Windows 95-Rechner nicht als weiterer Server im Netzwerk erscheinen. Wichtig sind die benutzerdefinierten Ordner, da dadurch die Startmöglichkeiten der verschiedenen Programme zentral am NT-Server, im Benutzerprofil der einzelnen Gruppe, gesteuert werden kann. 11 · Windows 95 in NT-Netzen Seite 202 11 · Windows 95 in NT-Netzen Seite 203 Befehl „Ausführen“ Benutzer kann nur noch die Programme starten, die der Administrator im entfernen Benutzerprofil vorgibt. Ordner unter Benutzer kann keine Einstellungen verändern, er kann vor allem die Einstellungen im Menü Systemsteuerung nicht mehr aufrufen. Start entfernen Task-Leiste unter Benutzer kann die Task-Leiste nicht mehr bearbeiten. Einstellungen im Menü Start entfernen. Befehl Suchen Auch über den Befehl Suchen lässt sich kein Programm mehr ausführen. entfernen Alle Desktop-Elemente Der Benutzer kann nur noch die Programme starten, die durch die nicht ausblenden veränderbare Task-Leiste angezeigt werden. Speichern Sie Ihre Arbeit mit dem Befehl Datei Speichern und testen Sie wieder alle Einschränkungen. Sie müssen sich dazu am Windows 95-Rechner ab- und wieder anmelden, damit die Veränderungen wirksam werden. 11 · Windows 95 in NT-Netzen Seite 204 Wenn alles nach Ihren Vorstellungen eingestellt ist, sind abschließend noch zwei Schritte am NT-Server zu vollziehen, um den Windows 95-Rechner „dicht“ zu machen. 1. Entziehen Sie dem Schülerkonto, das Sie zuvor benutzt haben, die Administratorrechte an der Windows NT-Domäne. Dadurch kann der Schüler den Systemrichtlinieneditor nicht mehr aufrufen. 2. Im Verzeichnis für das Benutzerprofil der Schülergruppe benennen Sie die Datei USER.DAT nach USER.MAN um. Dadurch wird erreicht, dass die Einstellungen in der Re- gistrierung auf dem lokalen Rechner durch die Einstellungen in der USER.MAN überschrieben werden. Wenn Sie sich nun am Windows 95-Rechner wieder als Schüler anmelden, sind Ihre Einschränkungen wirksam. Sollten Sie später wiederum Veränderungen vornehmen wollen, müssen Sie die beiden letzten Schritte rückgängig machen, also Administratorrechte einem Schüler zuordnen und die Datei USER.MAN löschen. Dann an einem Schülerplatz als Schüler anmelden, Veränderungen durchführen, Administratorrechte entziehen und die neu geänderte Datei USER.DAT nach USER.MAN umbenennen. Die Änderungen, die Sie an einem Schülerarbeitsplatz für den lokalen Benutzer vollziehen, gelten danach mit diesem System für alle Schüler im Netzwerk. Anhang 1 Seite 205 Anhang 1 Im Dezember 1998 haben sich die Mitglieder des NT-Fortbildungsteams getroffen und über ihre Erfahrungen in den Grundkursen gesprochen, die seit dem Frühjahr 1998 gehalten worden sind. Dabei wurde der Wunsch laut, Kapitel 2 (Objekte im Netz) und Kapitel 3 (Benutzerverwaltung) zu ergänzen und zwar im Hinblick auf ein spezielles Problem von Unterrichtsnetzwerken, nämlich die große Benutzerzahl. Dieses Ergänzungskapitel soll diesem Wunsch entsprechen und den Kursteilnehmern einige Hilfen bei der Bewältigung dieses Mengenproblems geben. 1 Benutzerverwaltung (Ergänzungen zu den Kapiteln 2 und 3) 1.1 Benutzerstrukturen In einer NT-Domäne kann nur arbeiten, wer sich als Domänenbenutzer angemeldet hat; jeder Benutzer braucht also einen Benutzernamen (oft wird er auch ein Kennwort benutzen wollen oder sogar müssen, dies wird aber von NT nicht zwingend verlangt). Natürlich weiß NT nicht, wer sich hinter einem Benutzernamen wie Lehrer1 oder p01 verbirgt; daran würde auch ein Benutzername wie Hugo.Müller, Hugo-Müller, Hugo_Müller nichts ändern, denn NT kennt Hugo Müller nicht als Person, sondern nur als Eintrag in seiner Benutzerdatenbank. Für den Netzwerkverwalter ist Hugo_Müller aussagekräftiger als Lehrer1 – allerdings nur so lange, wie er den Kollegen Hugo Müller auch persönlich kennt. An kleinen Schulen wird das meistens der Fall sein, an großen Schulen nicht immer. Wenn Hugo Müller allerdings kein Lehrer, sondern ein Schüler ist, wird es selbst an Schulen mit nur einigen hundert Schülern schwierig, den Überblick zu behalten. NT bietet für solche Fälle die Möglichkeit, im Benutzermanager eine Beschreibung des Benutzers anzugeben: Anhang 1 Seite 206 Man könnte Hugo Müller auch den Benutzernamen Schüler248 geben und im Benutzermanager seinen vollständigen Namen, eben Hugo Müller eintragen oder man könnte ihn gleich 7a_Hugo_Müller nennen. Welchen Weg man auch wählt, der Aufwand ist erheblich: Mit dem Benutzermanager auf dem primären Domänenckontroller muss jedes Schüler-Benutzerkonto angelegt werden und es müssen alle Einstellungen (z. B. Gruppenzugehörigkeiten) festgelegt werden. Mit dem Explorer muss für jeden Schüler ein Arbeitsverzeichnis erstellt werden, es müssen die Berechtigungen für dieses Verzeichnis festgelegt werden und es muss das Verzeichnis zur Nutzung über das Netz freigegeben werden. Zudem ist diese Arbeit mit der Erstanlage der Benutzer keineswegs erledigt, denn jedes Jahr gehen Schüler ab, kommen neue Schüler hinzu – und mit einiger Wahrscheinlichkeit ist Hugo_Müller im nächsten Schuljahr in der Klasse 8a. Vom Verständnis her ist das personenbezogene Benutzermodell wohl das Einfachste, jeder Lehrer und jeder Schüler ist ein eigenständiger Benutzer. Deshalb wurde auch in den Kapiteln 1 und 2 mit diesem Modell begonnen. In der Realität sind die Verhältnisse aber wie eben gezeigt nicht so einfach, zumindest hinsichtlich der Schüler; bei den Lehrern ist der Aufwand wegen ihrer geringeren Zahl und größeren Beständigkeit nicht so bedeutend. Daher wurde in Kapitel 3 ein anderes Modell vorgestellt, nämlich das mit personenbezogen Benutzerkonten für die Lehrer und platzbezogenen für die Schüler: Alle Schüler am Arbeitsplatz p01 teilen sich das Benutzerkonto p01 usw. Selbst bei 100 Arbeitsplätzen müssen nur 100 Schülerkonten angelegt werden, die sich zudem beim Schuljahreswechsel nicht ändern. Dafür hat diese Lösung zwei gravierende Mängel: Zum Einen können die Benutzer eines Arbeitsplatzes sich gegenseitig stören, z. B. ihre Dateien löschen oder überschreiben; dies muss nicht immer aus Bosheit geschehen, sondern auch aus Versehen oder weil zwei Benutzer den gleichen Dateinamen verwenden. Zum anderen findet ein Schüler, der heute am Arbeitsplatz p01 eine Datei im Arbeitsverzeichnis von p01 abspeichert, sich aber morgen aus irgendwelchen Gründen am Arbeitsplatz p02 anmeldet, diese Datei nicht wieder; sie befindet sich ja im Verzeichnis von p01, nicht in dem von p02. Es gibt auch Mischformen zwischen den beiden bisher vorgestellten Modellen, etwa in der Form, dass jeder Lehrer ein eigenes Benutzerkonto hat, die Schüler dagegen einen arbeitsplatzbezogenen Benutzernamen verwenden, also z. B. p01, p02, … . Zu Beginn einer Unterrichtsstunde lässt der Lehrer ein Programm ablaufen, welches die platzbezogenen Benutzer einer bestimmten Klasse zuweist. Anhang 1 Seite 207 Konkret: Dieses Programm teilt dem Netz mit, dass die Benutzer p01, p02, …, welche sich jetzt gleich anmelden werden, zur Klasse 7a gehören und dass die Arbeitsverzeichnisse von p01, p02, … die Verzeichnisse D:\users\Klasse7a\p01, D:\users\Klasse7a\p02, … sein sollen. Bei Schülern der Klasse 8a sind es entsprechend die Verzeichnisse D:\users\Klasse8a\p01, D:\users\Klasse8a\p02, … . Dieses Modell vereint Vorteile der beiden anderen, indem es einerseits die Zahl der Schülerkonten auf die Zahl der Arbeitsplätze reduziert, andererseits jedem Schüler sein eigenes Arbeitsverzeichnis garantiert. Dafür erfordert es einigen Programmieraufwand und Einschränkungen in der Wahl des Arbeitsplatzes: ein Schüler, der einmal p01 ist, muss immer p01 sein; außerdem können Schüler nicht ohne vorbereitende Maßnahmen eines Lehrers im Netz arbeiten. Über die Frage nach dem besten System hat es schon heftige Diskussionen gegeben – auch innerhalb unseres NT-Teams. Aber es gibt natürlich kein „bestes“ System. Die Wahl für ein bestimmtes Benutzermodell hängt wesentlich von den Verhältnissen an der jeweiligen Schule ab: An Berufsschulen ist die Verweildauer der Schüler geringer als an Realschulen oder Gymnasien; bis ein Fünftklässler in die Klasse 13 kommt, wird das Netz an einem Gymnasium viele Änderungen erfahren haben. Der Klassenwechsel wegen Nichtversetzung oder aus Rücksicht auf die Sprachenfolge spielt an Berufsschulen eine geringere Rolle als an allgemeinbildenden Schulen, dafür ist die Schülerzahl an Berufsschulen oft sehr groß und es werden dort komplexe Programme eingesetzt (z. B. CAD). Soll ein Fünftklässler an einem Gymnasium die gleichen Programme nutzen können wie ein Abiturient (z. B. Maple, Derive)? Mit anderen Worten: Sollen alle Schüler gleich behandelt werden oder sollen sie nach Schularten, Zweigen, Klassenstufen unterteilt werden? Kann der Netzwerkverwalter programmieren? Gibt es innerhalb des Kollegiums Vorlieben für eine bestimmte Lösung, hat ein Lehrer spezielle Erfahrungen? Kann das Netz völlig neu konzipiert werden oder müssen Vorgaben aus älteren Netzen übernommen werden? Nicht zuletzt spielen auch die persönlichen Vorlieben und Neigungen des Netzwerkverwalters oder des Netzwerkteams eine große Rolle – zu Recht: So wie ein gutes Orchester die Leistung seines Dirigenten, ein gelungenes Gebäude die Handschrift seines Architekten, eine gut geführte Schule den Einfluss ihres Schulleiters verrät, so darf und soll ein gutes Netzwerk die Vorstellungen seines Verwalters, seines Verwalterteams widerspiegeln. Anhang 1 Seite 208 1.2 Hilfsmittel zur Benutzerverwaltung Wenn ein personenbezogenes Benutzerkonzept verwirklicht werden soll, wenn also viele Benutzer anzulegen sind, muss dies nicht über den Benutzermanager und den Explorer geschehen. In START – PROGRAMME findet man die Eingabeaufforderung; sie ist auch über START – AUSFÜHREN – CMD (= C:\winnt\System32\cmd.exe) verfügbar. Das schwarze Fenster der Eingabeaufforderung wird auch als DOS-Fenster bezeichnet, hat aber mit DOS nichts zu tun; wie alle anderen NT-Bestandteile ist auch cmd.exe ein 32-Bit-Programm. Allerdings kann man in diesem Fenster viele der von DOS her bekannten Befehle verwenden, z. B. dir, del, copy, xcopy, diskcopy, md, rd usw. Dazu kommen noch die Netz-Befehle, die alle mit net beginnen, z. B. net user, net share, net use, net group. Diese net-Befehle werden in der Literatur meistens sehr spärlich behandelt. Wenn sie überhaupt erwähnt werden, dann nur in Form einer Auflistung der Befehle und einer kargen Syntax-Erklärung, wie man sie auch direkt am Bildschirm erhalten kann: net /help liefert alle net-Befehle, mit net user /help erhält man die Syntaxbeschreibung für den net user-Befehl. Entsprechendes gilt für die anderen net-Befehle. Mit diesen net-Befehlen (und einigen anderen) lassen sich die Benutzer anlegen, können diese Gruppen zugewiesen werden, können Arbeitsverzeichnisse für sie erstellt werden und können ihnen Berechtigungen erteilt werden. Das folgende Beispiel soll dies zeigen: Ein Beispiel In der Domäne DOM1 mit dem primären Domänen-Kontroller S1 soll ein DomänenBenutzer Hugo mit dem Kennwort xyz angelegt werden. Ihm soll das Anmeldeskript \\S1\NETLOGON\hugo.bat und für das servergespeicherte \\S1\NETLOGON\Hugo zugewiesen werden; auf Profil der Pfad dem Server S1 soll für ihn das Verzeichnis D:\users\Hugo als Arbeitsverzeichnis angelegt und unter dem Namen F_Hugo freigegeben werden; der Benutzer Hugo soll für dieses Verzeichnis die Berechtigung Ändern erhalten und er soll es nach der Anmeldung an einer Arbeitsstation unter dem Laufwerksbuchstaben H: nutzen können. Außerdem soll Hugo der globalen Gruppe G_Schüler angehören. Dies wird durch folgende Befehle im Eingabefenster von S1 erreicht: Anhang 1 Seite 209 net user hugo xyz /add /scriptpath:hugo.bat /profilepath:\\S1\netlogon\hugo Damit wird der Benutzer Hugo mit dem Kennwort xyz der Benutzerdatenbank hinzugefügt. Der Skriptpfad ist relativ zu \\S1\NETLOGON und umfasst auch den Dateinamen, hier HUGO.BAT. Der Profilpfad muss dagegen vollständig angegeben werden, z. B. \\S1\NETLOGON\hugo; er beschreibt ein Verzeichnis, nicht eine Datei. net group g_schueler hugo /add Hugo wird der globalen Gruppe G_Schueler hinzugefügt, die schon existieren muss. md D:\users\Hugo Das Verzeichnis D:\users\hugo wird angelegt. net share F_Hugo=D:\users\Hugo Das Verzeichnis D:\users\Hugo wird unter dem Namen F_Hugo zur Nutzung über das Netz freigegeben. cacls C:\users\Hugo /G Administratoren:F Hugo:C Mit dem Programm cacls.exe ( = Change Access Control Lists) werden Berechtigungen auf Verzeichnisebene vergeben (F = Full, C = Change). Im Anmeldeskript HUGO.BAT muss folgende Anweisung stehen: net use H: \\S1\Hugo Natürlich ist es keineswegs verlockender, diese Befehle viele hundert mal zu tippen, anstatt die entsprechenden Schritte mit dem Benutzermanager bzw. dem Explorer durchzuführen. Aber man kann sie in eine Batch-Datei schreiben und sie darüber ausführen lassen. Batch-Dateien sind ASCII-Dateien und können mit gängigen Anwendungsprogrammen oder mit selbstgeschriebenen Programmen leicht angelegt und bearbeitet werden. Die einfachste, aber auch mühseligste Art, solche Batch-Dateien zu erstellen besteht darin, mit einem Editor einmal die obigen Befehle zu schreiben, dann zu kopieren und den Namen Hugo manuell (oder über Ersetzen) durch Emil, Susi, Anton, Richard, … zu ersetzen. Sehr viel besser ist derjenige Netzwerkverwalter gestellt, dem vom Schulsekretariat ASCIIDateien mit den Benutzernamen zur Verfügung gestellt werden; er kann sich auf das Anhang 1 Seite 210 Einfügen der net-user-Komponenten beschränken. Die Ideallösung ist gegeben, wenn der Netzwerkverwalter programmieren und über eine ASCII-Datei mit den Benutzernamen verfügen kann. Ein Beispiel für Visual Basic Die ASCII-Datei SCHUELER.DAT habe folgenden Inhalt: Müller, Hugo Weber, Gustav Walter, Gabi Huber, Susanne Becker, Klaus Das folgende Programm erstellt daraus eine Batch-Datei, welche die Benutzer HMüller, GWeber, GWalter, SHuber, KBecker anlegt: Public Sub Main() Dim Dateinummer1 As Integer, Dateinummer2 As Integer Dim Dateiname1 As String, Dateiname2 As String Dim Einlesen As String, Ausgabe As String Dim Komma As Integer Dateiname1 = "C:\Netzverwaltung\Schueler.dat" Dateiname2 = "C:\Netzverwaltung\Schuelerneu.bat" Dateinummer1 = FreeFile Open Dateiname1 For Input As Dateinummer1 Dateinummer2 = FreeFile Open Dateiname2 For Output As Dateinummer2 Do While Not EOF(Dateinummer1) Line Input #Dateinummer1, Einlesen Komma = InStr(Einlesen, ",") Ausgabe = "net user " & Mid(Einlesen, Komma + 2, 1) & _ Left(Einlesen, Komma - 1) & " /add" Print #Dateinummer2, Ausgabe Loop Close End Sub Das Programm trifft keine Vorsorge für den Fall, dass es den Schülernamen Hugo Müller zweimal gibt. Überhaupt ist die in Betrieben weit verbreitete Namenskonvention Erster Buchstabe des Vornamens + Nachname in Schulen problematisch, denn die Benutzernamen in der Benutzerdatenbank und die Arbeitsverzeichnisse im NT- Anhang 1 Seite 211 Explorer erscheinen dann nach dem Vornamen sortiert, also für die Schüler einer Klasse über die ganze Tabelle verstreut, was den Überblick sehr erschwert. Dieses Problem lässt sich lösen, wenn man auf die Bindung der Benutzernamen an die „natürlichen“ Namen verzichtet und den Schülern symbolische, ausschließlich klassenorientierte Namen gibt, z. B. 7a-01, 7a-02, 7a-03, … . Dann besteht aber weiterhin die Notwendigkeit, die Namen jährlich anzupassen. Gibt man auch den Klassen symbolische Namen, z. B. K01, K02, ergeben sich z. B. die Schülernamen K0101, K0102, K0103, … , K0201, K0202, K0203, … , wobei natürlich der Netzwerkverwalter festlegen muss, welche Klasse die Bezeichnung K01 usw. erhält; innerhalb der Klassen werden die Schüler zweckmäßigerweise in alphabetischer Ordnung durchnummeriert. Dann lassen sich die oben erwähnten Batch-Dateien sehr einfach mit zwei ineinander verschachtelten Schleifen erzeugen, die äußere für die Klassennummer, die innere für die Schülernummer. Bei diesem System kann eine Klasse ihre Bezeichnung über die ganze Verweildauer an der Schule behalten; wenn die Klasse ausscheidet, können die Klassenbezeichnung und damit die Benutzerkonten an eine neue Klasse vergeben werden. Hier muss aber noch einmal auf den Einfluss der Schulart hingewiesen werden: An Berufsschulen mit einer Verweildauer von etwa drei Jahren kann dieses System sicher leichter durchgehalten werden als an Gymnasien mit einer Verweildauer von neun Jahren. Der Technischen Referenz zu Windows NT Server (ISBN 3-86063-214-8) liegt die Resource-Kit-CD bei, eine Sammlung von nützlichen Zusatzprogrammen zu Windows NT (mittlerweile gibt es unter der Bezeichnung Die technische Referenz, Zusatzband 2 (ISBN 3-86063-255-8) eine aktualisierte Version. Dieser „Zusatzband“ besteht nur aus der CD. Eines dieser Zusatzprogramme ist ADDUSERS.EXE, mit dem man auch ohne Programmierkenntnisse größere Benutzermengen anlegen und verwalten kann. Dazu muss eine Datei mit den Schülerdaten vorhanden sein, z. B. SCHUELER.DAT. Die Struktur dieser Datei: [User] <User Name>,<Full Name>,<Password>,<Comment>,<Home Drive>,<Home Path>,<Profile>,<Script> [Global] <Global Group Name>,<Comment>,<UserName>, ... [Local] <Local Group Name>,<Comment>,<UserName>, ... Anhang 1 Seite 212 Ein weiteres Beispiel Mit der folgenden Datei werden die Benutzer Hugo (Voller Name: Hugo Müller, Beschreibung: Klasse 7a) und Gabi (Voller Name: Gabi Schmidt, Beschreibung: Klasse 8b) angelegt: [User] Hugo,Hugo Müller,xyz, Klasse 7a,,,\\S1\NETLOGON\Hugo,schueler.bat Gabi,Gabi Schmidt,xyz, Klasse 8b,,, \\S1\NETLOGON\Gabi,schueler.bat [Global] G_Schueler,Globale Gruppe der Schueler,Hugo,Gabi [Local] L_Schueler,Lokale Gruppe der Schueler,DOM1\G_Schueler Mit addusers \\s1 /c Schueler.dat werden die beiden Benutzer Hugo und Gabi als Domänen-Benutzer sowie die globale Gruppe G_Schueler (Beschreibung: Globale Gruppe der Schüler) angelegt; Hugo und Gabi werden Mitglieder dieser Gruppe. Schließlich wird noch auf dem Server S1 die lokale Gruppe L_Schueler erzeugt (Beschreibung: Lokale Gruppe der Schüler), in welche die globale Gruppe G_Schueler der Domäne DOM1 aufgenommen wird. Die addusers-Syntax: ADDUSERS [/?] [\\computername [[/c | /d | /e] filename]] [/s:?] /? Display this help screen. /c Create accounts specified in the file. /d Write current accounts to the specified file. /e Erase user accounts specified in the file. /s:? Sets the seperator character for the input/output file. Replace the ? with the character to be used for seperating fields. (eg /s:~) Note: The seperator character is a comma ’,’ by default. Noch ein weiteres Beispiel Mit der folgenden Datei werden die im Kapitel 3 erwähnten Benutzer p01, p02, … sowie die entsprechenden Gruppen angelegt [User] p01,,xyz,,,,\\S1\NETLOGON\p01, schueler.bat p02,,xyz,,,,\\S1\NETLOGON\p02, schueler.bat [Global] Anhang 1 Seite 213 G_Platz,,p01,p02, [Local] L_Platz,,DOM1\G_Platz Leere Einträge müssen durch mehrfache Kommas berücksichtigt werden. Die letzte Zeile muss mit der ENTER-Taste abgeschlossen werden, ansonsten wird sie nicht ausgewertet und es fehlt eine lokale Gruppe. Zum Schluss ein Beispiel, wie die Benutzerstruktur von Kapitel 2 mit einer Batchdatei angelegt werden kann: rem ************************************************************ rem * Batchfile zu Modell 1 rem * M1.bat D.Schroff * 29.11.98 rem * * * rem * Bevor Sie dieses Batch-File aufrufen, sollten Sie * rem * mp.bat und Schueler.bat anpassen * rem * (Hinweise zur Anpassung finden Sie in rem * mp.bat) * * **************************************************************** rem rem rem === Anlegen von G_Lehrer und L_Lehrer ====================== rem net group G_Lehrer /comment:"Globale Gruppe Lehrer" /add /domain net localgroup L_Lehrer /add /domain rem rem rem ==== Aufnehmen von G_Lehrer in L_Lehrer rem net localgroup L_Lehrer G_Lehrer /add rem rem rem rem ==== Anlegen von G_Schueler und L_Lehrer =================== rem net group G_Schueler /comment:"Globale Gruppe Schueler" /add /domain net localgroup L_Schueler /add /domain rem rem rem ==== Aufnehmen von G_Schueler in L_Schueler ================ net localgroup L_Schueler G_Schueler /add rem rem Anhang 1 rem === Verzeichnis d:\users erstellen und als F_Users freigeben md d:\Users net share F_Users=d:\users rem rem rem ==== Verzeichnisberechtigungen fuer d:\users setzen ======== rem rem ---- Standard-Eintrag Jeder entfernen----------------------rem cacls d:\users /e /r Jeder rem rem ---- Vollzugriff fuer Administratoren ---------------------rem cacls d:\users /g Administratoren:F /e rem rem rem ==== Tauschverzeichnis erstellen und als F_Tausch freigeben rem md d:\users\Tausch net share F_Tausch=d:\users\Tausch rem rem rem ==== Verzeichnisberechtigungen fuer Tauschverzeichnis setzen rem rem ---- Standard-Eintrag Jeder entfernen----------------------cacls d:\users\Tausch /e /r Jeder rem rem ----- Berechtigungen fuer Schueler und Lehrer: aendern ----cacls d:\users\Tausch /g L_Schueler:c /e cacls d:\users\Tausch /g L_Lehrer:c /e rem rem ---- Vollzugriff fuer Administratoren ---------------------rem cacls d:\users\Tausch /g Administratoren:F /e rem rem ====Verzeichnis Plaetze erstellen und als F_Plaetze freigeben md d:\users\Plaetze net share F_Plaetze=d:\Users\Plaetze rem rem rem == Verzeichnisberechtigungen fuer Verzeichnis Plaetze setzen rem rem ---- Standard-Eintrag Jeder entfernen----------------------cacls d:\users\Plaetze /e /r Jeder rem Seite 214 Anhang 1 Seite 215 rem ----- Berechtigungen fuer Lehrer: aendern -----------------cacls d:\users\Plaetze /g L_Lehrer:c /e rem rem ---- Vollzugriff fuer Administratoren ---------------------rem cacls d:\users\Plaetze /g Administratoren:F /e rem rem ===== Verzeichnis d:\users\Lehrer erstellen ================ md d:\users\Lehrer rem rem rem ===== Verzeichnis c:\Prog erstellen und freigeben ========== md c:\Prog net share F_Prog=c:\Prog cacls c:\Prog /e /r Jeder cacls c:\Prog /g Administratoren:F /e cacls c:\Prog /g Jeder:c /e rem rem rem ==== Kopieren der Anmeldeskripte =========================== rem rem (Pfadangabe a:\Modell1\scripts eventuell anpassen) rem xcopy a:\Modell1\scripts\schueler.bat %systemroot%\system32\repl\import\scripts xcopy a:\Modell1\scripts\lehrer.bat %systemroot%\system32\repl\import\scripts rem rem rem == Erzeugen der Benutzer p01 bis p12 durch Aufruf von mp.bat rem for %%i in (01;02;03;04;05;06;07;08;09;10;11;12) do call mp %%i Die Datei Mp.bat: rem *********************************************************** rem * rem * rem * rem * rem * rem *********************************************************** Batchfile zur Erstellung von Benutzern nach Modell 1 * Mp.bat D. Schroff 30.10.98 rem rem Aufrufen des Batchfiles mit : mp <Ziffernfolge> rem rem rem * * Dieses Batchfile wird von M1.bat mehrmals aufgerufen rem rem * In diesem Batchfile wird %1 durch die eingegebene * Anhang 1 rem Seite 216 <Ziffernfolge> ersetzt. rem rem Beispiel rem In der Eingabeaufforderung eingeben: mp 03 rem (Mit Leerzeichen zwischen mp und 03) rem Es wird dann ein Benutzer p03 angelegt, der sich rem nur an der Workstation PC_03 anmelden kann. rem Das Anmeldeskript Schueler.bat wird dem Benutzer p03 zugeordnet. rem Das Homeverzeichnis rem das als F_p03 freigegeben wird. rem Berechtigungen fuer p03: Aendern/Aendern rem Berechtigungen fuer Administratoren: Voll/Voll rem Berechtigungen fuer L_Lehrer: Aendern/Aendern \users\Plaetze\p03 wird angelegt, rem rem Achtung: rem rem rem rem rem 1) Die vorhandenen Workstations haben hier die Bezeichnungen PC_01, PC_02, usw. siehe /workstations:PC_%1 Bitte die Bezeichnungen entsprechend anpassen. 2) Vor dem ersten Aufruf des Batchfiles muss die globale rem Gruppe G_Schueler und die lokale Gruppe L_Lehrer schon auf rem dem NT-Server angelegt sein (wird von m1.bat erledigt.) rem 3) Das Anmeldeskript "Schueler.bat" sollte im NETLOGON rem vorhanden sein. rem In "Schueler.bat" sollte <Testserver> durch die rem Bezeichnung fuer den vorhandenen Server ersetzt werden. rem rem rem ====== User anlegen ======================================== net user p%1 /add /scriptpath:schueler.bat /domain /workstations:PC_%1 /fullname:"Platz"%1 /expires:never /passwordreq:no rem rem ======= User in G_Schueler aufnehmen ======================= net group G_Schueler p%1 /add /domain rem rem ======== Homeverzeichnis anlegen =========================== md d:\users\Plaetze\p%1 rem rem ======== Berechtigungen fuer Homeverzeichnis setzen ======== cacls d:\users\Plaetze\p%1 /e /r Jeder cacls d:\users\Plaetze\p%1 /g p%1:c /e cacls d:\users\Plaetze\p%1 /g Administratoren:F /e cacls d:\users\Plaetze\p%1 /g L_Lehrer:c /e rem rem ======== Verzeichnis freigeben ============================= Anhang 1 Seite 217 net share F_p%1=d:\users\Plaetze\p%1 Der Inhalt von Schueler.bat: net use * /d /y net use H: \\testserver\F_%username% net use K: \\testserver\F_Prog net use N: \\testserver\NETLOGON net use R: \\testserver\F_CDServer net use T: \\testserver\F_Tausch 2 Verbindliche Gruppenprofile Unter Windows NT ist ein Benutzerprofil die Gesamtheit aller Einstellungen, die ein einzelner Benutzer für sich vornimmt. Dazu gehören die Bildschirmeinstellungen (Farbe, Schrift), Verknüpfungen auf dem Desktop, Einstellungen in den Anwendungsprogrammen (z. B. über Extras – Optionen in den Office-Programmen), Netzlaufwerke, Netzdrucker usw. Verschiedene Benutzer der gleichen Arbeitsstation können verschiedene Profile haben, jeder Benutzer kann sich also seinen Arbeitsplatz so einrichten, wie er will, ohne dass die anderen Benutzer des gleichen Gerätes seine Einstellungen übernehmen müssen – sehr angenehm für Schulrechner, an denen die Benutzer sich in kurzen Abständen abwechseln. Aber die Verwendung von Profilen hat auch einige Tücken. Ein Beispiel Der Domänen-Administrator hat soeben den Domänen-Benutzer Hugo neu angelegt; in der Zeile Pfad für Benutzerprofil sei nichts eingetragen. Wenn Hugo sich dann das erste Mal an einer Arbeitsstation unter NT Workstation anmeldet, wird auf dieser Maschine das Verzeichnis C:\winnt\Profiles\hugo angelegt. Darin werden verschiedene Ordner erstellt, vor allem für den Desktop und das Startmenü; außerdem wird der Inhalt von C:\winnt\Profiles\Default User nach C:\winnt\Profiles\hugo kopiert. In der Registrierungsdatenbank wird aus Standardvorgaben in HKEY_USERS\ .Default der Teilbaum HKEY_CURRENT_USER gebildet und gleichzeitig noch in der Datei C:\winnt\Profiles\hugo\ntuser.dat Einstellungen vornimmt, gespeichert. werden sie Hugo Wenn nur in Änderungen an C:\winnt\Profiles\hugo, den in C:\winnt\Profiles\hugo\ntuser.dat und in HKEY_CURRENT_USER gespeichert, die Standardeinstellungen in C:\winnt\Profiles\Default User und in HKEY_USERS\ .Default bleiben unverändert (die „fest eingebauten“ Komponenten von Desktop und Arbeitsplatz Anhang 1 Seite 218 können über HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desk top\NameSpace bzw. ...\MyComputer\NameSpace und über die entsprechenden Einträge in HKEY_CLASSES_ROOT\CLSID manipuliert werden). Wenn Hugo sich nach seiner ersten Sitzung an der Maschine abmeldet, bleibt das Verzeichnis C:\winnt\Profiles\hugo mit der Datei NTUSER.DAT auf der Maschine erhalten, an der Hugo gerade gearbeitet hat. Solche lokalen Profile sind sehr effizient in Netzen, in denen jeder Benutzer einen festen Arbeitsplatz hat, also ständig am gleichen Computer arbeitet und dieser Computer ausschließlich von ihm benutzt wird. Das (einzige) Profil liegt auf der lokalen Festplatte und kann von dort sehr schnell geladen werden. In Unterrichtsnetzen wechseln die Benutzer aber häufig den Computer. Wenn Hugo sich in der nächsten Stunde an einem neuen Gerät anmeldet, wird er mit Verärgerung feststellen, dass seine Einstellungen, die er an dem alten Rechner vorgenommen hat, verloren sind und er sie nochmals vornehmen muss. Sein Ärger ist berechtigt, seine Begründung aber nicht: Die Einstellungen vom anderen Rechner sind nicht verlorengegangen, sie sind dort noch vorhanden, aber auf dem Rechner, vor dem er jetzt sitzt, hat es sie niemals gegeben; er muss sie für diesen Rechner erst vornehmen! In einem Netz mit 100 Geräten und 1.000 Benutzern könnten sich daher im Laufe der Zeit bis zu 100.000 lokale Profile auf den lokalen Festplatten ansammeln – ein Alptraum für jeden Netzwerkverwalter, auch wenn diese Obergrenze in der Praxis bei weitem nicht erreicht werden dürfte. Lokal gespeicherte Profile sind in Unterrichtsnetzen also wenig brauchbar. Im Benutzermanager der Domäne kann man für jeden Benutzer einen Pfad für sein Benutzerprofil eintragen. Dadurch wird das Benutzerprofil von Hugo automatisch auf dem Server abgespeichert und bei jeder Anmeldung auf das Gerät übertragen, an dem Hugo sich gerade anmeldet. Servergespeicherte Profile sind also für Unterrichtsnetze äußerst vorteilhaft, lösen aber in der beschriebenen Form noch nicht alle Probleme. Denn die Erstellung eines guten Profils ist nicht ganz einfach; es kann nicht davon ausgegangen werden, dass jeder Schüler dazu in der Lage ist. Davon abgesehen wären die Profile sehr unterschiedlich. Für den Unterricht ist es aber vorteilhaft, wenn zu Beginn einer Stunde alle Schüler von den gleichen Voraussetzungen ausgehen, wenn sie also alle das gleiche Profil haben. Also sollte der Administrator die Profile einheitlich anlegen, zumindest einheitlich für alle Schüler einer Berufsgruppe oder einer Schulart, was aber selbst an kleineren Schulen kaum möglich ist. Anhang 1 Seite 219 Glücklicherweise bietet Windows NT auch dafür eine Lösung; ein vorhandenes Profil lässt sich nämlich auch globalen Gruppen zuweisen. Dazu muss ein Benutzer mit AdministratorRechten (er sollte aber nicht der standardmäßige Administrator sein; im folgenden Beispiel heißt er pmschüler) ein Profil erstellen, d. h. alle Einstellungen in NT und in den benutzten Anwendungen an einer Arbeitsstation vornehmen (nicht am Server, dort arbeiten die Schüler nie). Dann ruft er START – EINSTELLUNGEN – SYSTEMSTEUERUNG – SYSTEM auf: Über die Taste Kopieren erhält man ein Fenster, in das der Name des Profilverzeichnisses eingetragen wird, hier \\S1\NETLOGON\Schüler (oder eine andere Freigabe auf dem Server S1). Dieser Pfad muss mit dem Eintrag in der Zeile Pfad für Benutzerprofil im Benutzermanager übereinstimmen: Anhang 1 Seite 220 Derzeit darf das Profil aber nur von pmschüler benutzt werden; über Ändern wird diese Berechtigung an die Gruppe G_Schueler übertragen: Danach steht allen Mitgliedern der Gruppe G_Schueler dieses Profil zur Verfügung. Wenn alle Mitglieder einer Benutzergruppe das gleiche Profil verwenden, darf kein Gruppenmitglied es dauerhaft verändern, sonst entstünde bald ein großes Chaos. Dies kann der Netzwerkverwalter verhindern, indem er in \\S1\NETLOGON\Schüler die Datei NTUSER.DAT in NTUSER.MAN (= mandatory) umbenennt. Dann können die Schüler zwar Einstellungen verändern, soweit sie dazu berechtigt sind, diese Änderungen werden aber beim Abmelden verworfen. 3 Die Registrierungsdatenbank Einige Bemerkungen über die Registrierungsdatenbank („Registry“): Sie ist eine Datenbank, in welcher alle maschinen- und benutzerbezogenen Einstellungen gespeichert werden, die maschinenbezogenen in HKEY_LOCAL_MACHINE, die benutzerbezogenen in HKEY_CURRENT_USER (H = Handle, nicht Hot). Die Registry ersetzt die Dateien AUTOEXEC.BAT und CONFIG.SYS sowie die INI-Dateien, letztere aber nur bei den (meisten) 32-Bit-Anwendungen; die 16-Bit-Anwendungen (und einige 32-Bit-Anwendungen) verwenden weiterhin die INI-Dateien. Alle Einstellungen, die über den Benutzermanager, die Systemsteuerung, die Systemrichtlinien und über die anderen Verwaltungswerkzeuge von NT getroffen werden, werden hier eingetragen. Anhang 1 Seite 221 Die Registry gilt als geheimnisvoll und gefährlich. Ersteres hängt von der Intensität der Beschäftigung mit ihr ab, letzteres ist zutreffend, sollte aber nicht übertrieben werden. Es ist richtig, dass falsche Einstellungen in der Registry den Rechner unbrauchbar machen, was aber nichts grundsätzlich Neues ist; auch ein DOS-Rechner konnte über falsche Einträge in der CONFIG.SYS am Booten gehindert werden. Dort war es allerdings möglich, den Computer über eine DOS-Startdiskette zu booten und den Eintrag in der CONFIG.SYS zu ändern; bei NT ist das nicht möglich. Bei Änderungen ist also Behutsamkeit angebracht, eine optimale Netzwerkkonfiguration ist aber ohne direkte Eingriffe mittels der Registrierungseditoren regedit und regedt32 kaum möglich; auf Einzelheiten kann im Rahmen des Grundkurses jedoch nicht eingegangen werden. Die Registrierungsdatenbank hat auch keine „übernatürlichen“ Kräfte, wie am folgenden Beispiel gezeigt werden soll: Im Laufe dieses Kurses haben Sie erfahren (Kapitel „Systemrichtlinien“), wie der Netzwerkverwalter den normalen Benutzern den Einsatz der Registrierungseditoren verwehren kann. Dies geschieht über den Eintrag HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\Di sableRegistryTools mit dem Wert 1 ( = ja). Dies ist ein Eintrag in einer Datenbank und er bewirkt von sich aus das, was alle Einträge in allen Datenbanken der Welt von sich aus bewirken, nämlich gar nichts. Erst wenn dieser Eintrag abgefragt und ausgewertet wird, hat er eine Wirkung. Die mit NT ausgelieferten Registrierungseditoren regedit und reg- edt32 sind von ihren Programmieren dazu „erzogen“ worden, vor ihrem Start diesen Eintrag abzufragen und gegebenenfalls den Dienst zu verweigern. Es wird aber niemand daran gehindert, sich einen eigenen Registrierungseditor zu schreiben, wenn er das will (und kann). Wenn dem selbstgeschriebenen Editor die Existenz des genannten RegistryEintrags verschwiegen wird, beachtet er ihn auch nicht; jeder Benutzer könnte dann die Registrierung verändern – sofern er dazu die Berechtigung hat. Denn NT unterscheidet sich von Windows 95/98 auch in der Hinsicht, dass es Berechtigungen für die Einträge in der Registry gibt. Das ist übrigens der Grund, warum unter NT ein Profil auf die oben beschriebene, etwas umständliche Weise kopiert werden muss. Die Profil-Verzeichnisse und die Datei NTUSER.DAT könnte man natürlich mit dem NT-Explorer kopieren; bei den Profilverzeichnissen (z. B. bei den Unterverzeichnissen von \\S1\NETLOGON\\Hugo) treten auch keine Probleme auf, wohl aber bei NTUSER.DAT. Diese Datei wird bei der Anmeldung von Hugo an irgendeiner Arbeitsstation in die Registrierungsdatenbank dieser Station (nach HKEY_CURRENT_USER) kopiert. Dort gibt es Berechtigungen, die sich in dem obigen Beispiel natürlich zunächst auf pmschüler beziehen und auf die globale Gruppe G_Schueler umgeschrieben werden müssen. Dies ist nur über START – EINSTELLUNGEN – SYTEMSTEUERUNG – SYSTEM – BENUTZERPROFILE möglich. Anhang 1 NT stellt Seite 222 wie erwähnt zwei Registrierungseditoren zur Verfügung, nämlich C:\winnt\regedit.exe und C:\winnt\System32\regedt32.exe. Der erste ist von Windows 95 übernommen und hat eine angenehme Oberfläche, kennt aber nicht die Berechtigungen in der NT-Registrierung. Der zweite Editor ist für die frühen Versionen von NT entworfen worden und hat eine sparsame Oberfläche, kann dafür aber die Berechtigungen anzeigen und ändern. Dieses Ergänzungskapitel stammt von: Detlev Meyer, Heilbronn. Die Batch-Dateien zum Benutzermodell stammen von: Dieter Schroff, Bad Schönborn. Anhang 2 223 Anhang 2 1 Die Standardberechtigungen von Windows NT Die folgende Tabelle zeigt die Veränderungen der Verzeichnis- und Dateiberechtigungen gegenüber den Standardberechtigungen, die von Windows NT bei der Installation vergeben werden, um die lokale Festplatte der Arbeitsstation vor Löschversuchen der Benutzer zu schützen. Standardberechtigung Veränderung Verzeichnis Gruppe Berechtigung Berechtigung Berechtigung Berechtigung für für für für Verzeichnisse Dateien Verzeichnisse Dateien C:\ ErstellerBesitzer Vollzugriff Vollzugriff -entfernen-t -entfernen- Benutzer Ändern Ändern Lesen Lesen SYSTEM Vollzugriff Vollzugriff Administratoren Vollzugriff Vollzugriff Standardberechtigung Veränderung Verzeichnis Gruppe Berechtigung Berechtigung Berechtigung Berechtigung für für für für Verzeichnisse Dateien Verzeichnisse Dateien C:\Programme Benutzer Vollzugriff Vollzugriff Lesen Lesen C:\Programme\Plus! Benutzer Vollzugriff Vollzugriff Lesen Lesen C:\Programme\Plus!\Microsoft\ Internet Benutzer Vollzugriff Vollzugriff Lesen Lesen C:\Programme\Plus!\Microsoft\ Internet\Cache Benutzer Vollzugriff Vollzugriff Lesen Lesen C:\Programme\Plus!\Microsoft\ Internet\Dokumente Benutzer Vollzugriff Vollzugriff Lesen Lesen C:\Programme\Plus!\Microsoft\ Internet\Verlauf Benutzer Vollzugriff Vollzugriff Lesen Lesen C:\Programme\Plus!\ Windows NT Benutzer Vollzugriff Vollzugriff Lesen Lesen C:\Programme\Plus!\ Windows NT\Messaging Benutzer Vollzugriff Vollzugriff Lesen Lesen C:\Programme\Plus!\ Windows NT\Zubehör Benutzer Vollzugriff Vollzugriff Lesen Lesen C:\Programme\Plus!\Windows NT\Zubehör\ImageVue Benutzer Vollzugriff Vollzugriff Lesen Lesen Anhang 2 224 Standardberechtigung Verzeichnis Gruppe C:\RECYCLER ErstellerBesitzer Vollzugriff Vollzugriff Benutzer Ändern Ändern SYSTEM Vollzugriff Vollzugriff Administratoren Vollzugriff Vollzugriff Veränderung Berechtigung Berechtigung Berechtigung Berechtigung für für für für Verzeichnisse Dateien Verzeichnisse Dateien Standardberechtigung Veränderung Verzeichnis Gruppe Berechtigung Berechtigung Berechtigung Berechtigung für für für für Verzeichnisse Dateien Verzeichnisse Dateien C:\TEMP ErstellerBesitzer Vollzugriff Vollzugriff -entfernen- -entfernen- Benutzer Ändern Ändern RWX RWXD SYSTEM Vollzugriff Vollzugriff Administratoren Vollzugriff Vollzugriff Standardberechtigung Verzeichnis Gruppe C:\WINNT Benutzer Vollzugriff Vollzugriff C:\WINNT\CONFIG ErstellerBesitzer Vollzugriff Vollzugriff Benutzer Ändern Ändern SYSTEM Vollzugriff Vollzugriff Administratoren Vollzugriff Vollzugriff ErstellerBesitzer Vollzugriff Vollzugriff Benutzer Ändern Ändern SYSTEM Vollzugriff Vollzugriff Administratoren Vollzugriff Vollzugriff ErstellerBesitzer Vollzugriff Vollzugriff Benutzer Ändern Ändern SYSTEM Vollzugriff Vollzugriff Administratoren Vollzugriff Vollzugriff C:\WINNT\CURSORS C:\WINNT\Fonts Veränderung Berechtigung Berechtigung Berechtigung für für für Verzeichnisse Dateien Verzeichnisse Berechtigung für Dateien Lesen Admin: Vollzugriff Lesen Admin: Vollzugriff Lesen Lesen Lesen Lesen Lesen Lesen Anhang 2 225 Standardberechtigung Verzeichnis Gruppe C:\WINNT\Help ErstellerBesitzer Vollzugriff Vollzugriff Benutzer Ändern Ändern SYSTEM Vollzugriff Vollzugriff Administratoren Vollzugriff Vollzugriff ErstellerBesitzer Vollzugriff Vollzugriff Benutzer Ändern Ändern SYSTEM Vollzugriff Vollzugriff Administratoren Vollzugriff Vollzugriff ErstellerBesitzer Vollzugriff Vollzugriff Benutzer Ändern Ändern SYSTEM Vollzugriff Vollzugriff Administratoren Vollzugriff Vollzugriff C:\WINNT\Profiles Benutzer Vollzugriff Vollzugriff C:\WINNT\repair ErstellerBesitzer Vollzugriff Vollzugriff Benutzer Lesen Lesen SYSTEM Vollzugriff Vollzugriff Administratoren Vollzugriff Vollzugriff Hauptbenutzer Ändern Ändern C:\WINNT\ShellNew Benutzer Vollzugriff Vollzugriff C:\WINNT\System ErstellerBesitzer Vollzugriff Vollzugriff Benutzer Ändern Ändern SYSTEM Vollzugriff Vollzugriff Administratoren Vollzugriff Vollzugriff ErstellerBesitzer Vollzugriff Vollzugriff Benutzer Ändern Ändern SYSTEM Vollzugriff Vollzugriff Administratoren Vollzugriff Vollzugriff ErstellerBesitzer Vollzugriff Vollzugriff Benutzer Anzeigen Nicht angegeben SYSTEM Vollzugriff Vollzugriff Administratoren Vollzugriff Vollzugriff C:\WINNT\inf C:\WINNT\Media C:\WINNT\system32 C:\WINNT\system32\config Veränderung Berechtigung Berechtigung Berechtigung für für für Verzeichnisse Dateien Verzeichnisse Berechtigung für Dateien Lesen Lesen Lesen Lesen Lesen Lesen Lesen Lesen Lesen Lesen Lesen Lesen Anhang 2 226 Standardberechtigung Verzeichnis Gruppe C:\WINNT\system32\dhcp ErstellerBesitzer Vollzugriff Vollzugriff Benutzer Lesen Lesen SYSTEM Vollzugriff Vollzugriff Administratoren Vollzugriff Vollzugriff ErstellerBesitzer Vollzugriff Vollzugriff Benutzer Lesen Lesen SYSTEM Vollzugriff Vollzugriff Administratoren Vollzugriff Vollzugriff ErstellerBesitzer Vollzugriff Vollzugriff Benutzer Lesen Lesen SYSTEM Vollzugriff Vollzugriff Administratoren Vollzugriff Vollzugriff ErstellerBesitzer Vollzugriff Vollzugriff Benutzer Ändern Ändern SYSTEM Vollzugriff Vollzugriff Administratoren Vollzugriff Vollzugriff ErstellerBesitzer Vollzugriff Vollzugriff Benutzer Ändern Ändern SYSTEM Vollzugriff Vollzugriff Administratoren Vollzugriff Vollzugriff ErstellerBesitzer Vollzugriff Vollzugriff Benutzer Lesen Lesen SYSTEM Vollzugriff Vollzugriff Administratoren Vollzugriff Vollzugriff Hauptbenutzer Ändern Ändern ErstellerBesitzer Vollzugriff Vollzugriff Benutzer Lesen Lesen SYSTEM Vollzugriff Vollzugriff Administratoren Vollzugriff Vollzugriff C:\WINNT\system32\drivers C:\WINNT\system32\etc C:\WINNT\system32\os2 C:\WINNT\system32\os2\dll C:\WINNT\system32\ras C:\WINNT\system32\Repl Veränderung Berechtigung Berechtigung Berechtigung für für für Verzeichnisse Dateien Verzeichnisse Berechtigung für Dateien Lesen Lesen Lesen Lesen Anhang 2 227 Standardberechtigung Verzeichnis Gruppe C:\WINNT\system32\Repl\ Export ErstellerBesitzer Vollzugriff Vollzugriff Benutzer Lesen Lesen SYSTEM Vollzugriff Vollzugriff Administratoren Vollzugriff Vollzugriff ReplikationsOperator Ändern Ändern ErstellerBesitzer Vollzugriff Vollzugriff Benutzer Lesen Lesen SYSTEM Vollzugriff Vollzugriff Administratoren Vollzugriff Vollzugriff ReplikationsOperator Ändern Ändern ErstellerBesitzer Vollzugriff Vollzugriff Benutzer Lesen Lesen SYSTEM Vollzugriff Vollzugriff Administratoren Vollzugriff Vollzugriff ReplikationsOperator Ändern Ändern ErstellerBesitzer Vollzugriff Vollzugriff Benutzer Lesen Lesen SYSTEM Vollzugriff Vollzugriff Administratoren Vollzugriff Vollzugriff ReplikationsOperator Ändern Ändern ErstellerBesitzer Vollzugriff Vollzugriff Benutzer Lesen Lesen SYSTEM Vollzugriff Vollzugriff Administratoren Vollzugriff Vollzugriff Hauptbenutzer Ändern Ändern ErstellerBesitzer Vollzugriff Vollzugriff Benutzer Lesen Lesen SYSTEM Vollzugriff Vollzugriff Administratoren Vollzugriff Vollzugriff Hauptbenutzer Ändern Ändern C:\WINNT\system32\Repl\ Export\Scripts C:\WINNT\system32\Repl\ Import C:\WINNT\system32\Repl\ Import\Scripts C:\WINNT\system32\spool C:\WINNT\system32\spool\ drivers Veränderung Berechtigung Berechtigung Berechtigung für für für Verzeichnisse Dateien Verzeichnisse Berechtigung für Dateien Anhang 2 228 Standardberechtigung Verzeichnis Gruppe C:\WINNT\system32\spool\ drivers\w32x86 ErstellerBesitzer Vollzugriff Vollzugriff Benutzer Lesen Lesen SYSTEM Vollzugriff Vollzugriff Administratoren Vollzugriff Vollzugriff Hauptbenutzer Ändern Ändern ErstellerBesitzer Vollzugriff Vollzugriff Benutzer Lesen Lesen SYSTEM Vollzugriff Vollzugriff Administratoren Vollzugriff Vollzugriff Hauptbenutzer Ändern Ändern ErstellerBesitzer Vollzugriff Vollzugriff Benutzer Lesen Lesen SYSTEM Vollzugriff Vollzugriff Administratoren Vollzugriff Vollzugriff Hauptbenutzer Ändern Ändern ErstellerBesitzer Vollzugriff Vollzugriff Benutzer Lesen Lesen SYSTEM Vollzugriff Vollzugriff Administratoren Vollzugriff Vollzugriff Hauptbenutzer Ändern Ändern ErstellerBesitzer Vollzugriff Vollzugriff Benutzer Lesen Lesen SYSTEM Vollzugriff Vollzugriff Administratoren Vollzugriff Vollzugriff Hauptbenutzer Ändern Ändern ErstellerBesitzer Vollzugriff Vollzugriff Benutzer Ändern Ändern SYSTEM Vollzugriff Vollzugriff Administratoren Vollzugriff Vollzugriff Benutzer Vollzugriff Vollzugriff C:\WINNT\system32\spool\ drivers\w32x86\2 C:\WINNT\system32\spool\ printers C:\WINNT\system32\spool\ prtprocs C:\WINNT\system32\spool\ prtprocs\w32x86 C:\WINNT\system32\viewers C:\WINNT\system32\wins Veränderung Berechtigung Berechtigung Berechtigung für für für Verzeichnisse Dateien Verzeichnisse Berechtigung für Dateien Lesen Lesen Lesen Lesen Anhang 3 Anhang 3 1 Die Verfasser Dieses Skript wurde erstellt von: Rudolf Arnold, Ulm Nicolas Batsch, Mannheim Arnold Fiedler, Wiesloch Karlheinz Frey, Friesenheim Gerhard Georgens, Bretten Martin Glomb, Stuttgart Karl Gunzenhauser, Göppingen Detlev Holznagel, Emmendingen Hans-Jürgen Kessler, Karlsruhe Franz Mattes, Kehl Lothar Meroth, March-Buchheim Detlev Meyer, Heilbronn Claus Schäfer, Winnenden Tiberius Schmaus, Horgenzell Dieter Schroff, Bad Schönborn 2 Die Clipart-Grafiken entstammen der Clipart-CD der CorelDraw Version 7.0 D. Sie bleiben trotz Veränderung Eigentum der Corel Corporation. 3 Das Layout Die vorliegende Version 2.0 wurde im Mai 1999 vollständig redigiert. Die Gesamtüberarbeitung und die Gestaltung des Layouts erfolgte durch: Martin Glomb M.A., Stuttgart 229