Rendszerfelugyelet Rendszergazdaknak PDF

Gl Tams Szab Levente Szernyi Lszl
Rendszerfelgyelet
rendszergazdknak
Gl Tams
Szab Levente
Szernyi Lszl
Rendszerfelgyelet
rendszergazdknak
2007
Rendszerfelgyelet rendszergazdknak
Gl Tams Szab Levente Szernyi Lszl
A Microsoft, Active Directory, IntelliMirror, MS-DOS, Windows, .NET, Windows
Server 2003, Windows Vista, Windows XP, Windows 2000, Windows 2000 Server,
Windows NT, Windows NT Server, Windows 98, Windows ME, Office 2003,
Office 2007 nevek a Microsoft Corporation (Redmond, USA) bejegyzett vdjegyei.
Minden egyb, a knyvben elfordul mrka- s termknv a megfelel jogtulajdonos vdjegye.
Gl Tams Szab Levente Szernyi Lszl, 2007.
ISBN 978-963-9131-98-9
A szveg helyessgt s az elvlasztsokat a MorphoLogic Helyesek nev programjval ellenriztk.
Minden jog fenntartva. Jelen knyvet, illetve annak rszeit a kiad engedlye nlkl tilos reproduklni, adatrgzt rendszerben trolni, brmilyen
formban vagy eszkzzel elektronikus ton vagy ms mdon kzlni.
SZAK Kiad Kft. Az 1795-ben alaptott Magyar Knyvkiadk s

Knyvterjesztk Egyeslsnek a tagja 2060 Bicske, Difa u. 3.
Tel.: 36-22-350-209 Fax: 36-22-565-311 www.szak.hu e-mail:
info@szak.hu Kiadvezet: Kis dm, e-mail: adam.kis@szak.hu
Fszerkeszt: Kis Balzs MCSE, MCT, e-mail: balazs.kis@szak.hu
Tartalomjegyzk
Elsz
xi
A kapcsold tananyag
xii
Ha mr tszr kiolvastuk a knyvet...
xiii
Gyakorls nlkl nem megy!
xiii
Ksznetnyilvnts
xiv
I. rsz: Az gyfl
1. Alapismeretek
gyfloldal bevezets
Mikor s mirt nincs szksg kiszolglra?
A Windows Vista teleptse
A Vista vltozatai
Hardverigny
Teleptsi mdszerek s elkszletek
Fikok, fjlok s belltsok tvitele
A telepts folyamata
A Vista aktivlsa
Komponensek hozzadsa, illetve elvtele
Az alkalmazs kompatibilits eszkzei
A rendszerismeret alapjai
A Rendszer panel rszletei
Fik specifikus mappk s megosztsok
A felgyeleti konzol: az MMC-program
A Computer Management konzol ttekintse
A felgyeleti eszkzk (Administrative Tools)
gyflgp belptetse tartomnyba
Hlzat a Windows Vistban
A hlzati s megosztsi kzpont
A hlzati profilok
A TCP/IP-protokoll
j protokollok s szolgltatsok a Vistban
3
4
5
6
7
8
9
11
13
15
20
22
22
24
29
29
30
34
36
36
40
42
46
Tartalomjegyzk
2. Diagnosztika s felgyelet
ltalnos felgyeleti ttekints
Performance Information and Tools
Diagnosztikai segdprogramok
Halad felgyeleti eszkzk
Az Esemnynapl (Event Viewer)
A Feladattemez
A megbzhatsg s a teljestmny figyelse:
Reliability and Performance Monitor
Rendszerszint diagnosztikai eszkzk
A tvoli asztal
A tvsegtsg
A Windows-tvfelgyelet (WinRM) s a tvoli hj (WinRS)
A helyi hzirend
Szerkezeti, mkdsbeli vltozsok
Felhasznlkra s csoportokra rvnyesthet hzirendek
Gyakorlati pldk
3. Az gyfelek biztonsga
55
55
58
61
61
68
72
75
81
83
85
87
89
91
92
97
Biztonsg: ltalnos bevezet
97
Az erforrs-kezels alapjai
98
A hitelests
A jogosultsgok
A fjlrendszer-jogosultsgok
A hlzati megosztsok jogosultsgai
A megosztott nyomtatk jogosultsgai
A felhasznli engedlyek
99
113
116
122
126
126
Windows XP Service Pack 2 biztonsgi vltozsok
129
jdonsgok a Vista biztonsgi rendszerben
131
Vdekezs a mlyben
A szolgltatsok megerstse: Service hardening
Vltozsok a felhasznl fikok s csoportok kezelsben
A felhasznli fikok felgyelete (UAC)
Mandatory Integrity Control (MIC)
A biztonsgi rendszer sszetevi
A Security Center
Az Internet Explorer 7 biztonsgi jtsai
A Windows Defender
vi
55
131
138
140
142
151
153
154
155
161
Tartalomjegyzk
A titkostott fjlrendszer: az EFS

BitLocker: a lemezek titkostsa
A halad tzfal s az IPSec-kapcsolatok
Ments s visszallts
163
166
168
174
A biztonsgi msolatok trolsa

A System Restore-szolgltats
A Previous Versions-szolgltats
Fjlok s mappk mentse
Complete PC Backup
175
176
178
179
180
II. rsz: A kiszolgl
183
4. Kiszolgl a hlzatban
Windows Server 2003 R2
185
Kiszolgl alkalmazsa: elnyk, alapismeretek

A kiszolgl feladatai
Elkszletek s telepts
A Windows Server 2003 klnfle vltozatai
A telepts elkszletei
Az opercis rendszer teleptse
A kiszolglk alapszolgltatsai
Fjlkiszolgl szolgltatsok
A fjlkiszolgl jdonsgai: az FSRM
Nyomtatsi szolgltatsok (PMC)
Hlzati szolgltatsok
Egy kis ismtls: az IP-cm s tpusai
Egy kis ismtls: az IP-bellts mdszerei
A DHCP-kiszolgl
Az LMHOSTS-fjl s a WINS-kiszolgl
Az RRAS-infrastruktra
Terminlszolgltatsok s Tvoli asztal
Egyb kiszolglkomponensek
Levelezsi szolgltatsok (SMTP- s POP3-kiszolgl)
Tanstvnyszolgltats (Certification Authority)
Internet Information Services 6.0
Windows SharePoint Services
Adatfolyam-kiszolgl (Streaming Media Server)
Windows Server Update Services (WSUS)
186
188
191
191
193
199
201
201
217
226
228
228
231
233
240
242
252
257
258
259
260
261
262
263
vii
Tartalomjegyzk
5. Tartomnyi krnyezet
Mire j a cmtr?
Az Active Directory-cmtrszolgltats alapjai
Az Active Directory alkotelemei
Cmtrpartcik
Az egyedi fkiszolgl-mveletek (FSMO)
A sma
A globlis katalgus szerepkr
A mkdsi (funkcionalitsi) szintek
Fizikai trols
Kezels s eszkzk
A DNS-szolgltats
A nvfelolds menete
A DNS-gyorsttr (DNS Resolver Cache)
A DNS-zna
A nvkiszolglk tpusai
Milyen rekordokat tartalmaz egy zna?
Az SRV-rekordok formtuma
A DNS-kiszolgl belltsnak lpsei
Az Active Directory teleptse
A telepts felttelei
Mi trtnik a telepts kzben?
Hibalehetsgek
Tipikus cmtrobjektumok
A szervezeti egysg
A fikok tpusai
Megosztott mappk s nyomtatk
A cmtr mentse s visszalltsa
A System State ments
A cmtr visszalltsa
A csoporthzirend
A helyi hzirend s a csoporthzirend
Mire hasznljuk?
Hogyan mkdik a csoporthzirend?
A Group Policy Management Console
A replikci s a telephelyek
A replikci
A replikcis topolgia
A telephelyek
Telephelyek tervezse
viii
275
276
279
280
282
283
285
286
287
289
290
294
295
297
298
300
301
303
304
309
309
310
312
312
313
314
317
319
319
320
322
323
324
326
330
331
332
333
335
337
Tartalomjegyzk
6. Hibakeress s elhrts
339
Hogyan lehet szlelni a hibkat?
340
Hibakeress s javts mlyebben
341
A rendszerindts folyamata s az indtmen elemei

Helyrelltsi konzol
A kk hall
342
348
354
Grafikus ellenrz-javt eszkzk
356
Feladatkezel (Task Manager)

Computer Management MMC
Hlzati gondok megoldsa
357
360
367
Adataink biztonsga
372
Az NTBackup
A visszallts
375
380
Kls eszkzk
Sysinternals segdprogramok
Fggelk: Munka a virtulis gpekkel
382
382
391
Alapozs a virtualizci megismershez
392
A Virtual PC 2007 s a virtulis gp teleptse
392
A virtulis gpek elindtsa
393
A virtulis gpek belltsai
394
Belps s az els tennival
395
Javaslat a demkrnyezet belltsra
396
A gpek lelltsa
397
Trgymutat
399
A szerzkrl
415
ix
Elsz
Rendhagy s sok szempontbl hinyptl knyvet tart a kezben az Olvas.
Mr a cm is sokat elrul: ez a knyv kifejezetten rendszergazdknak kszlt,
s minden tmt a rendszergazda szemvel fejtnk ki benne. Tartalmt tekintve kezd s halad rendszergazdknak is btran ajnlhat megtallhat benne a Windows-alap rendszerek ismerethez s felgyelethez elengedhetetlenl szksges alapozs, de kzben folyamatosan megragadjuk az alkalmat arra, hogy benzznk a motorhztet al.
Mindebbl az is kvetkezik, hogy tlagos felhasznlkat rdekl funkcikrl gyakorlatilag nem esik sz ebben a knyvben arrl ezernyit lehet mr
fellelni a knyvesboltok polcain. Mi most kifejezetten arra fkuszlunk, hogy
a vilgszerte millik ltal hasznlt Windows opercis rendszerek mkdst
s felptst mlysgben ismertessk, s megmutassuk, hogyan lehet segtsgkkel akr kis-, akr nagyobb vllalatnl egy informatikai rendszert megtervezni, megpteni s felgyelni.
A knyv felptse kveti a vllalatok informatikai evolcijt is az els
rszben kifejezetten az gyfloldallal foglalkozunk csak: megmutatjuk, hogy a
kizrlag gyfl opercis rendszerekbl ll, nhny gpes hlzat mkdtetshez milyen kpessgek megismersre lesz szksgnk, hogyan lehet ezt
a krnyezetet hatkonyan zemeltetni s felgyelni. Kln kiemelt figyelmet
szentelnk a biztonsgnak, aminek kapcsn jelents vltozsok trtntek a
Windows Vista megjelensvel.
A msodik rszben egy kiszolglval bvtjk elkpzelt vllalatunk informatikai rendszert, s megnzzk, milyen elnyk jrnak ezzel mind a vllalat, mind a rendszergazda szmra s egyltaln mikor rdemes kiszolglt
alkalmazni. Ha mr van kiszolglnk, a kvetkez fejldsi lehetsg a cmtr bezemelse, majd a csoporthzirend alkalmazsa ezzel is egy kln fejezetnk foglalkozik. Mindezek utn mivel elbb-utbb gyis minden elromlik s tnkremegy utols fejezetnkben rszletesen foglalkozunk a hibakeresssel s elhrtssal is.
Elsz
A kapcsold tananyag
Knyvnk mindssze egyetlen (de jelents) alkoteleme egy lnyegesen nagyobb tananyagnak, amelynek kidolgozsval az elsdleges clunk az, hogy a
lehet legknnyebb tegyk minden rendszergazda szmra a szakma alapos
elsajttst, s egyben rszletesen megismerhessk a legjabb eszkzket is
a Windows Vistt s a Windows Server 2003 R2-t.
A tananyag kr Informatika Tisztn nvvel egy eladssorozatot is szerveztnk, ennek 2007 szn lezajlott 12 eladsval kzel 5000 informatikusnak mutattuk meg a rendszerfelgyelet legfontosabb s legrdekesebb jdonsgait. Az esemnysorozat sikerre val tekintettel 2008-ban vrhat annak
folytatsa is j tananyagokkal, eladsokkal, helysznekkel bvtve. A jelenleg elrhet s a jvben jelentkez tananyagok, esemnyinformcik a
www.microsoft.hu/it oldalon tallhatak.
Ellenttben az informatikai szakknyvek tbbsgvel, ebbl a knyvbl
gyakorlatilag teljesen hinyoznak a kattintgats, mindent lpsenknt bemutat lersok, helyettk sokkal ltvnyosabb s hasznlhatbb formban, rvid
videkat (mi csak screencastoknak hvjuk ket) ksztettnk el ezek mind
megtallhatak knyvnk DVD-mellkletn. Ezeken a videkon keresztl rszletesen, lben mutatjuk be a rendszerek kpessgeinek gyakorlati hasznlatt. Hatalmas mennyisg anyagrl van itt sz: messze tbb kpessget mutatunk meg bennk, mint amennyit az egy napos eladsokon lehetsgnk volt.
A knyv szvege s a videk egymsra plnek, s jl kiegsztik egymst.
Ezzel a megoldssal a knyvben sokkal tbbet tudunk foglalkozni a rendszerek mlysgeivel, httervel, hogy tnyleg alapos tuds birtokba lehessen
kerlni ltala. Ms rszrl a videk segtsgvel hihetetlenl gyorsan s knyelmesen lehet haladni a rendszer megismersben, akr a knyv hasznlata nlkl is majd a szmunkra rdekesebb funkciknak brmikor rszletesebben utnaolvashatunk.
Ahhoz azonban, hogy gyakorlati tapasztalatra is szert tegynk, ez mg
mindig kevs. ppen ezrt a DVD-mellkletre felkerlt a Windows Vista s a
Windows Server 2003 R2 virtulis krnyezetben hasznlhat vltozata, gy
brmikor lehetsg van a knyvben s a videkban tallhat kpessgek kiprblsra mghozz a virtualizcinak ksznheten mindezt a nlkl is
megtehetjk, hogy emiatt egy kln szmtgpet kellene tesztclokra kineveznnk. A virtulis gpek hasznlatrl knyvnk vgn, egy kln lers
formjban tallhat tovbbi informci.
xii
A tananyag kidolgozottsga rvn arra is tkletesen alkalmas, hogy az

tanfolyamok, fiskolai s egyetemi kurzusok alapjt kpezze. Azon oktatsi
intzmnyek s oktatk rszre, akik szeretnk ezt a tananyagot tantani, a
Microsoft Magyarorszg tovbbi segtsget is tud nyjtani rdemes teht
megkeresni bennnket ezzel kapcsolatban.

Akik mg mlyebben szeretnnek megismerkedni a Microsoft szoftverek kpessgeivel, azoknak a hivatalos Microsoft Oktatkzpontok tanfolyamait
ajnljuk, amelyek tantermi krnyezetben, laborgyakorlattal egybektve segtik az egyes technolgik alapos megismerst. Aki pedig gy gondolja, hogy
mr tnyleg gyakorlott egy adott szoftver hasznlatban, prbra teheti magt hivatalos Microsoft vizsgkon is. Ezek sikeres teljestsvel vilgszerte elismert oklevelet s minstst (Microsoft Certified Proessional, MCP) szerezhet, ami jelentsen megknnyti az elhelyezkedst a szakmban. A legnagyobb vllalatok s Microsoft-partnercgek sokkal szvesebben bznak feladatot olyan szakemberre, aki mr rendelkezik hivatalos Microsoft-vizsgkkal,
ezzel is bizonytva az adott terlet mlyrehat ismerett.
Ha a knyv olvassa vagy munkja sorn brmilyen szakmai krdse merlne fel, forduljon btran hozznk, szvesen segtnk a TechNet Frumon
(www.microsoft.hu/technetforum) a Microsoft szakemberei, a Microsoft ltal
kitntetett szakemberek (Most Valuable Professional, MVP), s a Frum felhasznli segtenek egymsnak szakmai krdsek megvlaszolsban.
Gyakorls nlkl nem megy!

Bzunk abban, hogy ezzel a knyvvel s a teljes tananyaggal jelents segtsget tudunk nyjtani a rendszergazda szakma irnt rdekldk s a szakmval mr rgebb ta foglalkoz szakembereknek is, hogy hatkonyan bvthessk ismereteiket. Tz-tizent vvel ezeltt a szakma megismerse csak hoszsz, nll munkval, s rengeteg hiba elkvetsvel volt lehetsges ma viszont mr minden informci s eszkz rendelkezsre ll ahhoz, hogy ezt a
tanulsi folyamatot lnyegesen lervidtsk erre szolgl ez a knyv is. De
ne felejtsk el, hogy gyakorlsra gy is szksg van idt s energit kell
sznnunk arra, hogy lesben is tudjuk hasznlni ismereteinket.
xiii
Elsz
Ksznetnyilvnts
Ezton szeretnk ksznetet mondani mindazoknak, akik lehetv tettk,
hogy ez a knyv s a kapcsold tananyag j minsgben elkszljn, s minl
tbb mindenkihez eljuthasson. Az albbi lista jl tkrzi, hogy a j munkhoz
a sok idn s az alapossgon kvl hatkony csapatmunkra is szksg van.
Termszetesen, mint ahogy minden szoftver garantltan hibs, ez a lista is
bizonyosan hinyos.
Ksznjk a segtsget:
Gl Tamsnak (Microsoft, MVP) a tananyag koncepcijrt, elksztsrt, a szmtalan eladsrt, a screencastokrt, a knyv lektorlsrt s a Windows Vista fejezetek vglegestsrt. Sem a knyvben,
sem a tananyagban nincs olyan pont, amin ne lenne felfedezhet a hatsod s szakmai maximalizmusod.
Szab Leventnek (MVP) s Szernyi Lszlnak a knyv megrsrt s

a rengeteg szakmai segtsgrt.
Pazr Andrsnak (MVP) a Windows Vista screencastok elksztsben

nyjtott segtsgrt.
Az Informatika Tisztn esemnyek eladinak: Baki Gbornak, Farkas

Blintnak (Microsoft), Fti Marcellnek (MVP), Horvth Zoltnnak,
Nmeth Zsoltnak, Olh Istvnnak, Orszg Tamsnak, Rczi Gbornak
(MVP), Szallabek Zoltnnak, Szentgyrgyi Tibornak, Somogyi Csabnak (Microsoft) s Sos Tibornak. A remek eladsok mellett rengeteg
hasznos visszajelzst kaptunk tletek a tananyag elksztshez s tkletestshez.
Az IQSOFT-John Bryce, a NetAcademia s a SZMALK hivatalos Microsoft oktatkzpontoknak, amirt rszt vettek a tananyag s a kapcsold tanfolyamok megvalstsban.
A SZAK Kiadnak, azon bell is elssorban Kis dmnak, amirt ez a

knyv kitn minsgben megjelenhetett, s ott lehet minden knyvesboltban.
Valamint minden kzremkd kollgnak a Microsoft Magyarorszgnl, kln kiemelve:
xiv
Keszei Balzsnak az Informatika Tisztn programsorozat koncepcijnak kidolgozsval s megvalstsval kapcsolatos hatalmas kzs munkrt.
Ksznetnyilvnts
Deme Csabnak, Takcs Pternek s Vityi Pternek a tmogatsrt.
Schlgl Tmenak s Biber Attilnak amirt lttatok fantzit az

tleteinkben, s segtettetek megvalstani ket.
Szcei Olivrnek s a webes teamnek az Informatika Tisztn weboldalnak elksztsrt.
Safranka Mtysnak a Windows Vistval kapcsolatos szakmai

segtsgrt.
Budai Pter (i-pbudai@microsoft.com)
Programmenedzser IT szakmai programok
Microsoft Magyarorszg
Budapest, 2007. december 2.
xv
I. RSZ
Az gyfl
Knyvnk els az gyfloldallal foglalkoz rsze hrom jl elklnthet
fejezetbl ll.
Alapismeretek
3. oldal
Az els fejezet az j opercis rendszer bevezetsi, teleptsi tudnivalirl, s az ltalnos rendszerttekintsrl szl. A fejezet rszeknt rszletesen beszmolunk a Windows Vista rklt illetve teljesen j hlzati kpessgeirl.
Diagnosztika s felgyelet
55. oldal
A msodik fejezet kzponti tmja a rendszergazdk egyik legfontosabb mkdsi terlete, a rendszerfelgyelet. Ennek megfelelen ebben a rszben szmos, az zemeltetshez nlklzhetetlen, integrlt
felgyeleti eszkz kpessgeit ismertetjk, a fejezet zrsaknt pedig a
Helyi hzirendrl nyjtunk egy alapos ttekintst.
Az gyfelek biztonsga
97. oldal
Az els rsz legvaskosabb fejezete az informatikai biztonsggal foglalkozik. Rszletesen s mlyrehatan ismertetjk a Windows gyfl opercis rendszerekben alkalmazott biztonsgi technolgikat s megoldsokat az alapoktl kezdve. Termszetesen a fejezet dnt hnyadban a Vista jelents mennyisg j biztonsgi szolgltatsairl, illetve
komponenseirl lesz sz.
ELS FEJEZET
Alapismeretek
A fejezet tartalma:
gyfloldal bevezets ........................................................................................ 3
A Windows Vista teleptse .................................................................................. 5
A rendszerismeret alapjai................................................................................... 22
Hlzat a Windows Vistban ............................................................................. 36
gyfloldal bevezets
A Windows Vista a Microsoft gyfloldali opercisrendszer csaldjnak hatodik tagja. Technikailag tekinthetjk teht csak egy kvetkez rendes csaldtagnak a sorozatban. Nmi httrinformci s gyakorlati tapasztalat birtokban azonban kiderl, hogy valjban jelents a klnbsg az e sorozatba
tartoz korbbi opercis rendszerek s a Vista kztt. Kztudoms pldul
az a tny, hogy a Windows Vista nemcsak a legfrissebb, hanem a leghosszabb
ideig fejlesztett opercis rendszer is a Microsoft jelenlegi palettjn. A Windows XP 2001. oktberi debtlsa s a Vista 2006. novemberi, (illetve 2007.
janur 31., a brki ltal megvsrolhat pldnyokat tekintve) megjelense
kztt tbb mint t v telt el, ami az gyfl opercis rendszereknl hagyomnyosan nagyjbl kt ciklust jelent vagy egy nagyon alaposat.
Az 1.1. brn a fels sor a klasszikus Windows-gyfelek, mg az als az NT-alapokra ptett
opercis rendszerek listja. A kt sorozat 2001-ben, a Windows XP-ben egyeslt, gy a Vistban sincs mr jelen ez a fajta megklnbztets.
A msik f rv egy kiss behatroltabb, de kimagaslan fontos terletre mutat,

mgpedig az informatikai biztonsg s a megbzhatsg terletre. A Microsoft
ltal 2002-ban meghirdetett s az sszes azta kszlt termk tervezsnl s
kivitelezsnl hasznlt Trustworthy Computing (megbzhat szmtstechnika) elv mentn rkez vltozsok a Windows XP msodik szervizcsomagjban rvnyesltek elszr, de teljes mrtk, az alapoktl kezdd s valban
mlyrehat alkalmazsra a Windows Vistban kerlt sor.
Alapismeretek
1.1. bra: A Windows csald tagjai
E kt kiragadott rv mellett a gyakorlati hasznlat kzben tapasztalhatjuk

azt is, hogy a Vista szmtalan helyen hoz jtst a korbbi verzikhoz kpest
a hlzat, illetve a hardver kezelsben, a rendszer zemeltetsben, karbantartsban s felgyeletben, s sok kisebb s nagyobb, j vagy teljesen megjult eszkzzel igyekszik megknnyteni az zemeltet informatikusok munkjt is. ppen ezrt, ebben a kifejezetten rendszergazdknak sznt knyvben, az gyfloldali opercis rendszert rint fejezetekben elssorban a Windows Vista komponensein s szolgltatsain keresztl mutatjuk be az opercis rendszer s rszegysgeinek mkdst, a segtsgvel kivitelezhet mveleteket s megoldhat feladatokat.
Mindezt eleinte kisebb hats forgatknyvek alapjn tesszk meg, a klaszszikus kiszolglkkal, tartomnnyal s kzponti felgyelettel felvrtezett krnyezet helyett, nll mkdst vagy kisebb hlzatos rendszert felttelezve.
Mikor s mirt nincs szksg kiszolglra?

Ha kevs vagy esetleg egyetlen szmtgppel dolgozunk, akkor nem felttlenl van szksg kiszolgl szmtgpre, az gyflgpek bven elegend szolgltatst nyjtanak a kisebb, trstrs (peer-to-peer) hlzatok mkdtetshez s felgyelethez. Az ilyen mret hlzatok esetn viszonylag ritkn van
igny az erforrsok megosztsra vagy az erforrsokat a bezemelsk
utn csak minimlisan hasznljk megosztva, mivel a gpek tbbnyire helyi
szolgltatsokat vesznek ignybe.
4
Termszetesen ilyen krnyezetben is lehetsgnk van arra, hogy fjlokat

vagy nyomtatkat elrhetv tegynk a tbbi gp szmra, illetve ekkor is
megoldhat a munkallomsok felgyelete s a megfelel jogosultsgok kiosztsa a felhasznlk szmra s azok karbantartsa. A modern asztali Windows opercis rendszerek a biztonsg, a felgyelet s rendelkezsre lls
szempontjbl felkszltek, gy az egyszerbb adminisztratv feladatokat a
helyi, beptett eszkzkkel is kifogstalanul elvgezhetjk.
Az albbi esetekben teht nincs szksg kiszolglra:
kevs szm gppel dolgozunk;
nincs hlzati kapcsolat a gpek kztt;
nagyon kevs erforrs-megosztst hasznlunk (vagy egyltaln nem

hasznlunk);
nincs szksg a gpek s felhasznlk kzponti felgyeletre.
A kvetkez fejezetekben a Windows Vista gyfl opercis rendszer nll

zemeltetst, konfigurlst s felgyelett trgyaljuk nmikpp sszehasonltva az elz vltozattal, a Windows XP-vel valamint ttekintjk azokat
a beptett szolgltatsokat, melyek bizonyos esetekben lnyegben szksgtelenn tehetik a kiszolgl beszerzst. Kezdjk teht az gyfl opercis
rendszer bevezetsnek s teleptsnek rszleteivel!

A Windows XP, mely a Vista kzvetlen eldjnek tekinthet az gyfloldali
opercis rendszerek kztt, sszesen kt f vltozatban jelent meg: az otthoni felhasznlknak sznt Home, illetve az sszetettebb vllalati hlzatos
krnyezetekben is alkalmazhat Professional vltozatban. Ezen kvl termszetesen tbb specilis vltozat is elrhet volt, mint pldul a tblaszmtgpek specilis hardverelemeit (pl. az rintkijelzjt) kihasznl Tablet
PC Edition, az otthoni multimdira kihegyezett Media Center Edition,
vagy csak a fejld orszgokban kaphat, gyengbb teljestmny szmtgpek szmra lebuttott Starter vltozat. A 64-bites processzorok megjelenst kveten 2005-tl a Windows XP 64-bites vltozata is elrhetv vlt,
mely a 64-bites hardverek csekly tmogatottsga miatt azonban nem igazn
terjedt el szles krben.
Alapismeretek
A Vista vltozatai
A Microsoft, annak rdekben, hogy a lehet legnagyobb felhasznli kr
szmra elrhetv tegye a Vistt, sszesen hat vltozatban ksztette el az
j opercis rendszert, melyek sora az alapfunkcionalits, otthoni felhasznlsra alkalmas kiadstl egszen a professzionlis, nagyvllalati krnyezetekhez megfelel rendszerekig terjed. A Windows Vista vltozatai a kvetkezkpp alakulnak:
Starter Gyengbb hardverkrnyezetekhez optimalizlt, kis teljestmnyigny vltozat, a fejld (zsiai, dl-amerikai, illetve afrikai) orszgok szmra mshol nem is vsrolhat meg.
Home Basic Otthoni hasznlatra, csak az alapvet szolgltatsokat

tartalmazza, minimlis hlzati, illetve vllalati tmogatssal. Az j
grafikus fellet szolgltatsai kzl csak az alapkpessgeket tartalmazza, ellenben egyarnt elrhet ebben a vltozatban is az Internet
Explorer 7, a Windows Media Player 11, a Windows Movie Maker, s a
megjult Windows Mail.
Home Premium A Vista otthoni, de emelt szint krnyezetben javasolt vltozata, a teljes Aero grafikus felhasznli fellet mellett a
tblaszmtgpek komponenseit, illetve tbb multimdis szolgltatst is tartalmaz, melyeknek ksznheten pldul teljes rtk hzi
Media Center PC varzsolhat a szmtgpbl.
Business Kis- s kzpvllalatok szmra optimalizlt kiads, kpes

tartomnyi krnyezetben mkdni, felgyelhet pl. RDP-vel, tartalmazza az EFS titkostst, hasznlja az rnykmsolatok technolgit,
s kpes az j, lemezkp-alap mentsre, azonban nem tallhatk meg
benne pldul az extra multimdis szolgltatsok.
Enterprise A nagyvllalatok sszes ignyt kielgt Enterprise

csak mennyisgi licenc keretein bell hozzfrhet, a Business kiadson tl tmogatja a tbbnyelv felhasznli fellet kezelst, illetve a
BitLocker technolgit, mellyel a teljes merevlemezt titkosthatjuk
pldul zleti adatokat trol notebookok esetn. Ezzel a vltozattal az
emltett mennyisgi licensz birtokban 4 tovbbi virtulis gpet (pl. a
VPC 2007-tel) futtathatunk, szintn Windows Vistval teleptve.
Ultimate Az Ultimate az sszes vltozat minden kpessgt s extrjt

tartalmazza, azoknak ajnljk, akik nem kvnnak kompromisszumot
ktni az egyes funkcik elrhetsgt illeten. Ezen fell e vltozat tulajdonosai folyamatosan szmthatnak (a Microsoft Update szolgltats
hasznlatval) teljes rtk, j alkalmazsok s sszetevk letltsre is.
A Windows XP esetben fknt a hlzati kpessgek illetve azok hinya

klnbztette meg a Home s a Professional vltozatokat. A Home nem tmogatta a Tvoli asztal (Remote Desktop) kapcsolat lehetsget, nem lehetett titkostani a fjlrendszert, nem tartalmazta az Internet Information Services (IIS)
web- s ftp-kiszolglt, valamint s ez volt gyakorlatilag a legnagyobb htrnya az zemeltets szempontjbl nem lehetett tartomnyba sem lptetni.
A Vista Home kiadsai az XP-hez hasonl mdon klnbznek az zleti s
az Ultimate vltozatoktl, a Tablet PC, illetve Media Center vonal azonban szszeolvadt a hagyomnyos kiadsokkal, gy ezek a funkcik a Home Premium,
illetve Ultimate vltozatokban az alapcsomag rszeknt megtallhatk.
A fenti hat varicin kvl az Eurpai Bizottsg trsztellenes rendelkezseinek rtelmben a Microsoft kteles volt kiadni gynevezett N vltozatokat is, melyek az alapcsomagban nem tartalmazzk pl. a Windows Media
Player multimdis lejtszalkalmazst.
A Windows Vista teleptcsomagja a kpfjl-alap teleptnek ksznheten mindegyik vltozatot tartalmazza, a telepts sorn a megadott termkkulcs hatrozza meg, hogy melyik kiads telepl, illetve kulcs megadsa nlkl
brmelyik vltozatot futtathatjuk egy 30 napos prbaidszak alatt. A Starter
kivtelvel minden vltozat elrhet 32-, illetve 64-bites kiadsban is.
Tovbbi rszletes, magyar nyelv informcik az sszetevkrl s vltozatok kztti klnbsgekrl:
http://www.microsoft.com/hun/windows/products/windowsvista/editions/n/choose.mspx
vagy
http://tinyurl.com/2gtalb.
Hardverigny
Mg a Windows XP mr egy 300 MHz-es Pentium kategrij processzorral,
illetve 64-128 MB memrival is beri (a rendszer hasznlhat sebessggel
trtn futtatshoz persze ennl azrt ersebb hardver szksges), a Vista
mr alapesetben is tbb erforrst kvetel. A Windows Vista hardverignye:
Minimum
Ajnlott
Premium Ready
CPU
800 MHz
1 GHz
1 GHz
RAM
512 MB
512 MB
1 GB
GPU
SVGA
DirectX
Aero kpes
Video RAM
HDD szabad hely
128 MB
15 GB
15 GB
15 GB
Alapismeretek
A Windows Vista teleptshez teht legalbb 800 MHz rajel processzorral,

512 MB memrival (ez vals korltozs, a telept lell, ha kevesebb van) s
ha az j vizulis effekteket is ltni akarjuk DirectX 9-et hardveresen tmogat, Pixel Shader 2.0-kpes grafikus krtyval kell rendelkeznnk. Ezek
termszetesen csak a ktelez minimlis felttelek, a rendszer hasznlhat
sebessggel trtn futtatshoz, illetve a szolgltatsok maradktalan kihasznlshoz ennl ersebb hardverre van szksg.
A Microsoft a szmtgpek Vista alatt nyjtott teljestmnynek knynyebb meghatrozsnak rdekben klnbz jelzsekkel ltta el a PCkonfigurcikat. Jelenleg ktfajta jells ltezik, azaz a Vista Capable, illetve
a Premium Ready:
A Vista Capable matricval elltott szmtgpek kpesek a rendszert

alapvet funkcionalitssal futtatni, de az egyes extrk kihasznlshoz
mr elfordulhat, hogy nem elegend az erforrsuk.
A Premium Ready jelzs konfigurcik az sszes Vista-funkcit tmogatjk, vagyis ilyen gp vsrlsakor biztosak lehetnk benne, hogy
egyetlen extrrl sem kell lemondanunk, a PC maradktalanul kpes
kiszolglni a Vista ignyeit.
Teleptsi mdszerek s elkszletek

A Vista ltalnos teleptse tbbfle adathordoz, illetve mdszer segtsgvel
trtnhet:
DVD lemezrl tipikusan ilyen hordozval vsrolhatjuk meg.
CD lemezekrl extra esetben (pl. MSDN vagy a TechNet elfizets rszeknt), az .iso fjlokat letltve s CD lemezre kirva.
USB-eszkzkrl ehhez preparlni kell az adott eszkzt, s a szmtgp BIOS-val szemben is vannak klnbz elvrsok.
Frissts korbbi Windows opercis rendszerrl.
Migrci rgebbi Windows opercis rendszerekrl, akr ms clgpre is.
A specilis, elssorban vllalati krnyezetben hasznlt automatizlt, illetve tmeges teleptses mdszerekrl az albbi cmen olvashatunk tbbet: http://technet.microsoft.com/enus/desktopdeployment/default.aspx vagy http://tinyurl.com/3255p6
Ha a Windows Vistt korbbi rendszerrl frisstjk, ajnlatos ignybe venni a

Windows Vista Upgrade Advisor segdprogramot, mely a hardver- s szoftverkrnyezet elemzsvel ajnlsokat ad a frissts menett s az esetlegesen
szksges hardverbvtseket vagy szoftverfrisstseket illeten, valamint
egy apr ismertets is helyet kapott benne a Vista klnbz vltozatainak
klnbsgeirl.
A Windows Vista Upgrade Advisor a kvetkez webcmrl tlthet le: http://www.microsoft.com/hun/windows/products/windowsvista/buyorupgrade/upgradeadvisor.mspx vagy http://
tinyurl.com/yqxd4d.
A Windows Vista Upgrade Advisor

Ebben a screencastban bemutatjuk a Windows Vista Upgrade Advisor mkdst s lehetsgeit.
Fjlnv: I-1-1aWindows-Vista-Upgrade-Advisor.avi
A Windows Vista korbbi verzikrl trtn frisstsnek lehetsgeit az albbi

tblzaton lthatjuk (az X a lehetsget jelenti).
Home
Basic
Home
Premium
XP Professional
XP Home
XP Media Center
Business
Ultimate
XP Tablet PC
X
X
XP Professional x64
Windows 2000
Professional
Fikok, fjlok s belltsok tvitele

Akr frisstsrl, akr migrcirl van sz, tbb lehetsgnk is van az elz
opercis rendszer alatt mkd felhasznli fikjaink, rendszer-, illetve
programbelltsaink, munkakrnyezetnk s adataink tvitelre a Windows
Vista al. Ezek a megoldsok termszetesen hasznlhatak abban az esetben is, ha mr Vistrl kltznk egy msik, Vistra s szksg van a korbbi krnyezet vltozatlan hasznlatra. Az els eszkz, amelyet bemutatunk,
Alapismeretek
az a Vistban alaprtelmezs szerint teleptett, azaz brki szmra elrhet

Windows Easy Transfer (Windows ttelept). Tipikusan a PC s PC kztti
tvitelt tmogatja, ajnlottan a munkacsoportban lv otthoni szmtgpek
kztt. Tovbbi fontos jellemzje, hogy extrm esetben szimpla felhasznlknt (azaz a rendszergazda nlkl) is hasznlhat, az tvitelt a felhasznl
ltal kezdemnyezve.
1.2. bra: A Windows Easy Transfer sok esetben megfelel eszkz lehet az adatok tvitelre
Elsdleges clterlete a Windows XP, azonban kpes a Windows 2000 Professional-rl is adatokat thzni, viszont ebben az esetben a klnbz program s rendszer belltsok tvitelrl le kell mondanunk. A pontos hasznlathoz fontos tudni azt is, hogy az alkalmazsok belltsa csak akkor trtnhet meg az j gpen, ha mr felteleptettk ezeket, teht az eszkz az
adott komponens teleptst nem, de a belltst kpes elvgezni.
A hasznlata nem tlsgosan bonyolult, ennek ellenre jl varilhat lehetsgekkel rendelkezik. A rgi gpen (pl. egy XP-n) is teleptennk kell, de
ha elrik egymst hlzatban a gpek, akkor mg a Vistn a varzsl egyik
lpsben magt a teleptt is bemsolhatjuk egy megosztsba, teht nem
szksges a DVD a hasznlathoz (persze CD-re, pendrive-ra is kirja, ha
kell). Az j gpen a varzsl utols lpsben mg egy kulcsot is kapunk,
amely a jelsz feladatt tlti be. Ha a Vistn vgeztnk, akkor az XP-n elin10
dtva a teleptt, szintn vlaszthatunk, hogy az tvitel a hlzaton direktben

vagy msolssal, vagy hlzat nlkl, a CD/DVD/Pendrive tribl vlasztva,
vagy ppen egy specilis USB-kbellel vgezzk el a mveletet.
Egy msik kifejezetten haladknak ajnlott eszkz vagy inkbb eszkzcsomag az USMT (azaz a User State Migration Tool), amely a parancssorbl
mkdik, szkriptelhet, s tvolrl is elindthat, teht megfelel a nagyobb, cges krnyezet elvrsainak. Kt f, s ezeken kvl mg j pr, a belltst, finomhangolst igazn rugalmasan lehetv tev rszekre oszthat.
Az USMT hasznlatnak egyik legnagyobb elnye az automatizmus,
amely egyarnt szrevehet a helyi s tartomnyi fikok s profiljaik, a teljes
krnyezet (belertve az alkalmazsok belltsait is) begyjtsekor, illetve a
kiszrsakor is, mivel mindkt szakaszt elvgezhetjk a csoporthzirend
segtsgvel egyszerre akr tetszleges szm gpen is, anlkl, hogy oda kellene fradnunk a gpekhez.
Az USMT 3.0.1-es, jelenleg aktulis vltozata errl a cmrl tlthet le: http://www.microsoft.com/downloads/details.aspx?FamilyID=799AB28C-691B-4B36-B7AD-6C604BE4C595&displaylang=en vagy http://tinyurl.com/23tuh8.
Tovbbi rszletes informcit pedig ezen a cmen tallhatunk (magyarul): http://www.microsoft.com/hun/dl.aspx?id=7424c2fa-0970-45a9-9275-363269023edc vagy http://tinyurl.com/youlgt.
A telepts folyamata
A Windows Vista teljesen megjult teleptsi mechanizmussal rkezik, mely
szmos elnnyel rendelkezik a korbbiakhoz kpest:
Hasznlhat a dinamikus telepts, azaz pl. a DVD-rl indtott frisst

telepts esetn a telept kpes az internetrl szervizcsomagokat, meghajtfrisstseket s alkalmazsfrisstseket is letlteni, gy praktikusan biztonsgosabb s stabilabb tenni az j opercis rendszer mkdst mr a telepts kzben is.
A teleptcsomag teljesen nyelvfggetlen, ami azt jelenti, hogy a frisstsek s bvtmnyek teleptshez tbb nem kell, hogy egy adott
nyelvi vltozattal rendelkezznk, valamint szabadon hozzadhatk, elvehetk a klnbz nyelvi csomagok (akr a telepts utn is pl. a
Windows Update segtsgvel).
Szmos j tmeges teleptsi eszkz (WinPe, WSIM, BDD 2007, WDS)

ll rendelkezsre, melyekkel a kisebb-nagyobb hlzatokban egyarnt
egyszeren s gyorsan telepthetnk az egyes kpllomnyokbl a h11
Alapismeretek
lzaton keresztl. A teleptkszlet komponensekre van bontva, gy a

rendszergazdk rendkvl rszletesen szabhatjk testre a telepteni kvnt sszetevket. Az eszkzmeghajtk s a termkfrisstsek klnbz Microsoft-eszkzkkel integrlhatk a teleptkszletbe.
Ezekrl a bvtett lehetsgekrl a http://technet.microsoft.com/en-us/desktopdeployment/

default.aspx vagy http://tinyurl.com/3255p6 cmen tallunk tovbbi informcit.
1.3. bra: Ntt a telepts kzben hasznlhat a lemezeket, partcikat rint opcik szma
A Vista teleptse alapjaiban elr az XP-tl. Maga a teleptprogram egy specilis grafikus fellettel rendelkez elteleptsi krnyezetben fut, ahol a telepts lehetsge mellett szmos helyrelltsi s diagnosztikai eszkz pldul
integrlt memriateszt is rendelkezsnkre ll.
A teleptsi forrsok kre is ntt, mostantl akr USB-eszkzrl is telepthetjk a rendszert. A telepts elkezdshez szksges alapvet eszkzmeghajtk (pl. SATA/RAID-vezrlk) betltse is lehetsgess vlt optikai lemezrl vagy szintn ms USB-eszkzkrl (knyelmesen, a telepts egy adott
pontjn a httrtrol tallzsval), azaz az F6 billenty + a ktelez floppylemez pros immr a mlt a Vista esetn.
12
A telepts minimlis emberi beavatkozst ignyel, mindssze a regionlis

belltsokat, a clpartcit s a termkkulcsot kell megadnunk, a telept az
els krben minden msrl gondoskodik. Az jraindts utn mg szksg
lesz nmi interaktivitsra, azaz a szoksos adatok (felhasznlnv, jelsz, gp
neve, idzna s pontos id) megadsra s belltsra, de gyakorlatilag ezzel minden teend vgre rtnk, egy rvid (s automatikus) teljestmnyvizsglat utn kszen is vagyunk, nincs szksg teht a hlzati belltsokra, a munkacsoport/tartomny krds eldntsre, illetve pl. az azonnali regisztrlsra s aktivlsra.
A teleptkszlet szinte teljesen szmtgp tpus fggetlen (termszetesen a
32- s 64-bites platformokhoz kln telept jr), gy a klnbz hardverabsztrakcis rteggel (HAL Hardware Abstraction Layer) rendelkez konfigurcikra
is telepthetnk ugyanabbl a kpfjlbl. A Windows Vista viszont mr csak a fejlett ACPI-szabvny energiagazdlkodst tmogat PC-kre telepthet.
Frissts Windows Vistra, 1-2. rsz
Ezekben a screencastokban egy Windows XP > Vindows Vista frissts lpeseit kvetjk le, az
XP-rl indulva, majd az jraindts utn egszen a telepts vgig.
Fjlnv: I-1-1bFrissites-Windows-Vistara-I.avi; I-1-1bFrissites-Windows-Vistara-II.avi
Halad belltsok a Windows Vista tiszta teleptsekor

Ebben a rvid bemutatban a telepts azon halad rszeire trnk ki, amelyek csak egy j telepts esetn rhetek el.
Fjlnv: I-1-1cWindows-Vista-halado-telepites.avi
A Vista aktivlsa
Akr tiszta teleptst, akr rgebbi rendszerrl trtn frisstst vgznk, a teleptprogram bekri az adott Vista pldnyhoz tartoz product key-t (termkazonost kulcsot), telepts utn pedig aktivlnunk kell az opercis rendszert.
A korbbi verzikkal ellenttben a teleptskor nem ktelez termkkulcsot megadni (ha nem
adunk meg kulcsot, akkor brmelyik Vista kiads teleptst krhetjk), az rvnyes kulcs bevitelre (s a termk aktivlsra) harminc nap haladkot kaphatunk.
Az aktivlsi folyamat sorn a termkazonost kulcs s egy kdolt szm

alapjn ltrejn az gynevezett teleptsi azonost, amely egyedi mdon azonostja a szmtgpet alkot hardverelemeket. A szmtgp aktivlsakor
interneten vagy telefonon meg kell adnunk a Microsoftnak a teleptsi azono-
13
Alapismeretek
stt, ahol ezt ellenrizve megerstik, hogy a telepts jogszer volt. Ha valaki az aktivls befejezse utn megprblja az opercis rendszert ugyanazzal a termkkulccsal egy msik szmtgpre telepteni, a Microsoft adatbzisban trolt azonost jelzi, hogy ez a termkazonost kulcs mr hozz van
rendelve egy adott hardvercsoporthoz (szmtgphez), s az aktivls sikertelen lesz. A teleptsi azonost csak a termk aktivlsa cljbl szksges.
Ha a szmtgpnek van internetkapcsolata, az aktivlst mindenkppen
ennek felhasznlsval clszer elvgezni. A varzsl lehetv teszi a telefonos aktivlst is, de ebben az esetben az 50 szmjegybl ll teleptsi azonostt a telefon gombjainak segtsgvel kell megadnunk, s a vlaszul kapott
42 jegy aktivl kd begpelse is fraszt lehet.
Ms a helyzet azonban, ha olyan szmtgprl van sz, amelyet a Vista
elteleptett vltozatval egytt OEM (Original Equipment Manufacturer)
gyrttl vsroltunk. Tovbb bonyoltja a helyzetet, hogy a legnagyobb OEM
gyrtkra a tbbiektl klnbz szablyok vonatkoznak:
14
A legnagyobb multinacionlis szmtgpgyrtkat a Microsoft felhatalmazta arra, hogy a System Locked Preinstallation- (SLP a m. gyri
eltelepts) technolgia segtsgvel teleptsk, s aktivlt llapotban
szlltsk az opercis rendszert. A merevlemezre elteleptett (vagy a
helyrellt DVD-k segtsgvel felmsolt) Vista a BIOS-t tartalmaz
memriamodulban trolt egyedi informci alapjn ellenrzi a szmtgp tpust, gy nincs szksg kln aktivlsra. Ha ilyen szmtgpet vsrolunk, a gp dobozra r van ugyan ragasztva az eredetisget
igazol matrica a Vista termkkulcsval, de az opercis rendszer nem
ezzel a kulccsal van teleptve s aktivlva, mivel a gyrt egyetlen
kulcs segtsgvel teleptheti s aktivlhatja a gpekhez szlltott szszes Vista pldnyt. Ha a gphez tartoz helyrellt DVD segtsgvel
teleptjk jra a gpet, akkor nincs szksg aktivlsra (st mg termkkulcsot sem kell megadnunk!), egszen addig, amg a gpben az
eredeti alaplap (illetve BIOS) van.
A kisebb szmtgpgyrtk szintn adhatnak elteleptett opercis

rendszert gpeikhez, de ez egy msik OEM vltozat, gy ebben az esetben szksg van az aktivlsra. A gyrtkra vonatkoz szablyok szerint a felhasznlknak a gp els bekapcsolsakor meg kell adniuk a
gpre ragasztott matricn szerepl termkkulcsot s el kell fogadniuk a
licencszerzdst, majd a szoksos harminc napon bell aktivlniuk kell
a Vista pldnyt. jrateleptskor termszetesen jra be kell gpelni a
termkkulcsot s el kell vgezni az aktivlst is.
Komponensek hozzadsa, illetve elvtele

Ha egyszer mr l a rendszernk, ismerkedjnk meg a vlaszthat sszetevkkel akr azrt, hogy bvtsk a rendszer kpessgeit, akr azrt, hogy
nmikpp lecsupasztsuk a szmunkra szksgtelen komponensektl. A Windows Vistban az eddigi Add/Remove Programs (Programok hozzadsa/eltvoltsa) lehetsg is megvltozott, a nevben is s az sszetevk mennyisgt
tekintve is. Mostantl Turn Windows Features on or off (Windows-szolgltatsok be- s kikapcsolsa) nven talljuk meg a vezrlpulton, a Programs
and Features (Programok s szolgltatsok) csoportban.
1.4. bra: A komponensek hozzadsa/elvtele itt trtnik
Az XP komponenseit ismerk szmra lesz j nhny meglepets, nzzk

most t teht a feltelepthet / eltvolthat sszetevket.
ActiveX Installer Service (ActiveX-telept szolgltats) Ezzel a

komponenssel lehetsget adunk a standard felhasznlknak arra,
hogy ActiveX vezrlket teleptsenek. A legtbb esetben erre a nyilvnval biztonsgi kockzat miatt nincs szksg, vllalati krnyezetben
viszont elfordulhat, azonban ekkor a Csoporthzirend segtsgvel
behatrolhatjuk a hozzadand ActiveX vezrlk forrst.
Games (Jtkok) Kilenc klnbz jtkot tallunk ebben a kategriban, s alapesetben mindegyik teleptve van.
15
Alapismeretek
Indexing Service (Indexel szolgltats) A visszafel kompatibilits

miatt van lehetsgnk a rgi fjlindexel szolgltats teleptsre is, de
ennek hinyossgai miatt valban csak indokolt esetben tegyk meg.
1.5. bra: Az IIS modularitsa a szolgltatsok teleptsekor is jl lthat
16
Internet Information Services Az gyflbe ptett web- s alkalmazskiszolgl j, 7.0-s vltozatt is hasznlhatjuk. Alapesetben
sem a klnbz (ugyanis a 6.0-s IIS-hez tartozak is rendelkezsre
llnak) felgyeleti eszkzk, sem a web-, vagy az FTP-szerver nincs teleptve. Fontos tudni, hogy az gyflgpen fut IIS elssorban a tesztelk, programozk szmra fontos s praktikus, ms esetekben az IIS
szolgltatsai clszeren a kiszolglkon hasznljuk. Ha viszont meg-
vizsgljuk az ebben a csoportban hozzadhat elemeket, ltni fogjuk az

IIS7 egyik legfontosabb tulajdonsgt, az egszen elkpeszt szint
modularitst, amely a kvetkez kpen is jl lthat.
Microsoft .NET Framework 3.0 A Microsoft .NET Framework 3.0

hasznlatval fejlesztett alkalmazsok apropjn lehet szksgnk r.
A Vistnak rsze a 2.0-s verzi is, amennyiben viszont ennl korbbi
vltozatra van szksg, akkor ezeket kln teleptennk kell. Az egyik
alkomponens egybknt mr rsze alaprtelmezs szerint is a rendszernek, ez az XPS Viewer, azaz az j, a kpernyn s a nyomtatsban
is ugyanazt a klcsnt nyjt dokumentum formtum olvasprogramja.
Microsoft Message Queue (MSMQ) Server [Microsoft zenetvrlista- (MSMQ-) kiszolgl] A gpnkbl MSMQ-kiszolglt faraghatunk e komponens teleptsvel, amely az alkalmazsok kztti garantlt
zenetkldst valstja meg, azaz a fogad alkalmazs inaktv llapota
esetn eltrolja a kldemnyt, s kzbesti annak elindulsakor. Csak specilis esetekben szksges.
Print Services (Nyomtatszolgltatsok) Specilis (http-, Vax s Unix)

nyomtatkhoz, nyomtatsi sorokhoz trtn csatlakozskor szksges.
A hagyomnyos nyomtatkezelshez s megosztshoz nem szksges.
Remote Differential Compression (Tvoli klnbzeti tmrts)

Gpek kztti fjltvitelkor a svszlessg optimalizlsa s ezzel az
tvitel sebessgnek nvelse miatt rdemes hasznlni ezt az j, a
Windows Server 2003 R2-ben bemutatott specilis tmrtsi algoritmust. Mkdsnek lnyege az, hogy egy a tloldalon mr ltez fjl
mdostsa s jbli tvitele esetn csak az adott fjlban trtnt vltozsok replikldnak, ami akr drasztikus mret tviteli sebessg nvekedssel is jrhat.
Removable Storage Management (Cserlhet trol kezelse) Az

eltvolthat, mentshez kapcsold cserlhet mdik (pl. szalagos
egysg) s a hozzjuk tartoz katalgusok kezelje. Ha nincs ilyen eszkznk, akkor nem szksges.
RIP Listener (RIP-figyel) Ez a komponens a RIPv1 (Routing Information Protocol 1) tvonalvlasztsi protokollt hasznl routerektl rkez tvonal frisstseket figyeli.
Services for NFS (NFS szolgltatsok) A Network File System, azaz

a UNIX/Linux opercis rendszerekben hasznlt fjlrendszer hlzati
elrse, illetve a sajt megosztsaink publiklsa ezen opercis rendszert hasznl gpek fell, illetve fel.
17
Alapismeretek
18
Simple TCPIP services (i.e. echo, daytime etc.) (Egyszer TCP/IPszolgltatsok) A korbbi opercis rendszerekbl ismers komponens,
nhny alap TCP/IP- szolgltatst (echo, daytime, quote, chargen, discard) hasznlhatunk, ha teleptjk.
SNMP feature (SNMP-funkci) Teleptse utn a gpnk tartalmaz

majd egy SNMP-gynkt, amely a klnbz hlzati szolgltatsok
gyfele lehet, azaz lthatv vlik a hlzatfeldertsre ezt a protokollt
hasznl kiszolgl szoftverek, illetve hardver eszkzk szmra. Ennek megfelelen csak indokolt esetben teleptsk.
Subsystem for UNIX-based Applications (Alrendszer a UNIX-alap

szolgltatsok szmra) UNIX alap alkalmazsok s szkriptek futtatshoz lehet szksges ez az sszetev. Korbban csak kln letltssel volt elrhet.
Tablet PC Optional Components (Tblaszmtgp vlaszthat szszetevi) Mivel praktikus okokbl nincs kln opercis rendszer vltozat a tblaszmtgpekre (a Windows XP-nl mg volt), ezrt a kifejezetten az ilyen tpus hardveren hasznlhat funkcik e vlaszthat
komponensen keresztl rhetek el. Alapesetben ezek a szolgltatsok
teleptve vannak, de szksg esetn egyszeren eltvolthatak.
Telnet Client (Telnetgyfl) Szintn biztonsgi okokbl az eddig integrlt, parancssori telnetgyfl immr nem rhet el az alaprtelmezett
telepts rszeknt, a hasznlathoz kln krnnk kell a teleptst.
Telnet Server (Telnetkiszolgl) Ha valamilyen klnleges okbl a

gpnkbl telnetkiszolglt szeretnnk faragni, akkor ezt a szolgltatst
szintn kln kell telepteni. A telnetkiszolgl mkdshez a telepts
utn a Windows tzfalban a megfelel portot (TCP 21) ki kell nyitnunk.
Ltjogosultsgt ma mr nehz elkpzelni, s ennek megfelelen nem is
ajnlott ennek a szolgltatsnak a hasznlata, de ha mgis szksges, itt
tudjuk engedlyezni.
TFTP Client (TFTP-gyfl) A TFTP az FTP-hez hasonl protokoll,

de lnyegesen egyszerbb mdon mkdik, pl. a TCP helyett a kevsb
ignyes, s kevsb ellenrztt UDP protokollal. A Vista TFTP-gyfl
parancssorbl hasznlhat, s ltalban a hlzati eszkzeink konfigurcijnak, illetve a firmware-eknek a mentsre hasznljuk.
1.6. bra: A telnetgyfelet teleptennk kell, ha szksgnk van r
Windows DFS Replication Service (Windows DFS-replikcis szolgltats) Olyan fjlreplikcis szolgltatsrl van sz, amely tmogatja a
szmtgpek kztti gyors s praktikus fjlszinkronizcit. Tbb j,
innovatv megolds mellett a korbban emltett Remote Differential
Compression komponenst is tartalmazza.
Windows Fax and Scan (Windows faxol s kpolvas) Egy elzetesen teleptett modemen keresztl vagy egy hlzati faxszerverhez csatlakozva engedlyezi a faxolst kzvetlenl az opercis rendszerbl.
Emellett a lapolvask hasznlatt is egyszerbb teszi, azaz a teleptse utn ltrehoz egy kzponti helyet, ahol lehetv vlik a beolvasott
anyagok trolsa, s rtelemszeren egyttmkdik pl. a Photo
Gallery alkalmazssal is pldul a kpolvasst tekintve.
19
Alapismeretek
Windows Meeting Space (Windows Trgyal) Ha teleptjk ezt a

komponenst, megbeszlsek sszehvsra s lebonyoltsra, ezen bell
dokumentumok s pl. az Asztalunk megosztsra s kzs hasznlatra
lesz lehetsgnk. A helyes mkdshez szksges a fjlreplikcis
komponens, a People Near Me (Asztaltrsasg, huhh :D) alkalmazs, illetve a vonatkoz tzfalszablyok legyrtsa is.
Windows Process Activation Service (Windows folyamataktivlsi

szolgltats) Ez az elssorban a programozk szmra rdekes komponens felel azoknak a munkafolyamatoknak a teljes letciklusrt,
amelyek a .NET 3.0 rszeknt elrhet WCF-et (Windows Communication Foundation) hasznl alkalmazsokat futtatnak.
Vgl, de nem utolssorban meg kell emltennk a Windows Ultimate Extras

(Windows Ultimate extrk) sszetevt, amely egy teljesen j szolgltats formjban lehetv teszi (de csak kizrlag az Ultimate vltozat tulajdonosainak), hogy a Microsoft Update segtsgvel teljes rtk alkalmazsokat tltsenek le, tbbfle kategriban, a rendszerszoftverektl kezdve egszen a szrakoztat alkalmazsokig.
Komponensek ttekintse, hozzadsa, elvtele
Ebben a screencastban a Visthoz adhat/elvehet komponenseket tekintjk t.
Fjlnv: I-1-1dKomponensek.avi
Az alkalmazs kompatibilits eszkzei

Az alkalmazsaink tkletes, minden ignyt kielgt futtatsa az sszes ltez
opercis rendszeren nehz, ha nem inkbb kivitelezhetetlen feladat. Egy j opercis rendszer sokszor felldozza az j szolgltatsok, technolgik alkalmazsnak oltrn a visszafel kompatibilitst, amely egy rgi, akr tizenves alkalmazs apropjn teljesen rthet kvetkezmny. Egszen nagy bizonyossggal
llthat, hogy a Windows Vista alatt a Windows XP-vel mkd alkalmazsok is
mkdnek, illetve az is, hogy a Vista az sszes eddigi opercis rendszernl jobban kompatibilis a rgi alkalmazsokkal, viszont nhnnyal esetleg mgis gond
lehet. Ezen a problmn a Vista ktfle eszkzzel prbl segteni.
A kompatibilitsban sokat segt a Vista fjl- s registryvirtualizcis megoldsa, amelyrl a 3.

fejezetben olvashatunk tovbbi rszleteket.
20
Az egyik az n. Programkompatibilitsi segd (Program Compatibility Assistant, PCA), azaz a Vista automatikus szolgltatsa, amely akkor fut, ha egy
rgebbi, kompatibilitsi problmkkal rendelkez programot szlel. Miutn
viszont egy rgebbi programot mr futtatott a Vista alatt, a segdeszkz rtestst kld, ha problma merl fel, s felajnlja, hogy a program kvetkez
futtatsakor kijavtja azt. Ha a kompatibilitsi problma slyos, a Programkompatibilitsi segd figyelmeztetst kldhet, vagy akr le is llthatja a
programot. A Programkompatibilits segd egybknt (pl. vllalati krnyezetben) a csoporthzirend segtsgvel ki/be kapcsolhat.
A msik megolds, a Programkompatibilits varzsl (Program Compatibility Wizard), amely manulisan indthat s belltsaiban mr ismers lehet a Windows XP-t hasznlok szmra, viszont nmikpp kiegszlt j opcikkal is. Ez az eszkz szintn hasznlhat az esetleges problms alkalmazsok
megkeressre, majd program kompatibilitsi belltsok mdostsra.
1.7. bra: A kompatibilitsi varzsl keres s tall
21
Alapismeretek
A rendszerismere alapjai
A rendszergazdk s a halad ismeretekkel rendelkez felhasznlk szmra
egy j opercis rendszerben sosem a klcsn az igazn a fontos, hanem sokkal
inkbb a belbecs. A kulcskrdsek elssorban a kezelsre, a felgyeletre, az
esetleges problmk forrsnak megtekintsre s megoldsra vonatkoznak.
A Windows Vistban szmtalan szolgltats s technolgia adott az zemeltetk feladatainak knnyebb ttele, illetve praktikus kiszolglsa terletn,
amelyek kzl persze nhny mr ismers lesz a Windows XP-bl. De bizton llthatjuk, hogy rengeteg j vagy teljesen jrart eszkz s szolgltats hasznlatt is el kell sajttanunk, ha a feladataink kz fog tartozni a Vista opercis
rendszerrel mkd szmtgpek felgyelete. Els lpsben kezdjk a sort a
tbbnyire mr ismers alapvet felgyeleti eszkzkkel s ismeretekkel, amelyeket a msodik fejezetben ki fogunk egszteni a halad megoldsokkal is.
A Rendszer panel rszletei

Szmtgpnk legfontosabb alapadatait a korbbi Windows verzikhoz hasonlan a Control Panel (Vezrlpult) System (Rendszer) ablaknak megnyitsval jelenthetjk meg. A rendszerre vonatkoz alapvet informcik (pldul a processzor tpusa, memria mennyisge stb.) mellett itt tallhatjuk
meg pldul a Windows Experience Index (Windows lmnyindex) rtkt is.
Az index annak jelzsre szolgl, hogy az adott szmtgpen a Vista mely
szolgltatsai lesznek hasznlhatk. Az index szmtst, vagyis az egyes
hardverkomponensekkel (processzor, memria, grafikus krtya, merevlemez)
kapcsolatos teljestmnymrst a telept program automatikusan elvgzi a
telepts vgn, de kzzel mi magunk is brmikor j rtkelst krhetnk.
Minden egyes hardverelemhez kln teljestmnyrtk tartozik (ezeket meg
is jelenthetjk a hivatkozsra val kattintssal), az sszestett index azonban nem ezek tlaga, hanem az egyes rtkek kzl a legkisebb. Ha a szmtgpben kicserljk valamelyik hardverelemet, akkor jra kell futtatnunk az
index szmtst, hogy a frisstett rtket jelenthessk meg.
A kvetkez szakaszban a szmtgp nevt, s a munkacsoporttal, illetve
tartomnnyal kapcsolatos adatokat tallhatjuk meg, s ezeket a megfelel jogosultsg birtokban meg is vltoztathatjuk (lsd ksbb).
Az ablak als rszn lthatak a Vista aktivlsi llapotra vonatkoz
adatok. Ha a telepts kzben engedlyeztk ezt a lehetsget, s megadtuk a
szksges termkkulcsot, akkor az internetes aktivls teljesen automatikusan is vgbemehet, de az itt tallhat hivatkozs segtsgvel magunk is
brmikor kezdemnyezhetjk azt.
22 A
A korbbi Windows verzikkal ellenttben a Vista lehetsget nyjt a

product key (termkkulcs) megvltoztatsra is, de ebben az esetben a mdosts utn termszetesen jra kell aktivlnunk a Vista pldnyt.
1.8. bra: A Vista rendszer alapadatai
Az ablak bal oldaln nhny fontos rendszerbellts mdostsra szolgl

hivatkozst is megtallhatunk. Itt rhetek el azok a belltlapok is, amelyek a Windows korbbi verziiban a Control Panel (Vezrlpult)/ System
(Rendszer) ablakban jelentek meg.
Device Manager (Eszkzkezel) segtsgvel mdosthatjuk a klnfle hardvereszkzk belltsait s frissthetjk a hozzjuk tartoz
illesztprogramokat. (A Device Managert elrhetjk a devmgmt.msc
parancs begpelsvel is.)
Remote settings (Tvoli belltsok) itt mdosthatjuk a Tvoli asztal (Remote Desktop) belltsait, vagyis engedlyezhetjk, illetve tilthatjuk a terminlszolgltatsokhoz val kapcsoldst, s itt adhatjuk
meg a tvoli segtsgnyjtsra vonatkoz belltsokat is.
23
Alapismeretek
System protection (Rendszervdelem) Innen rhetjk el a visszalltsi pontok (Restore points) automatikus ltrehozsra vonatkoz belltsokat (a visszalltsi pontok kezelsvel kapcsolatos tudnivalk a
Ments s visszallts szakaszban rszletesen foglalkozunk).
Advanced system settings (Specilis rendszerbelltsok) Itt rhetjk el a Vista rendszerteljestmnnyel kapcsolatos specilis belltsait,
amelyek segtsgvel engedlyezhetjk, illetve tilthatjuk bizonyos kpi
elemek s specilis effektusok (ttnsek, ttetszsg stb.) hasznlatt. Ugyanitt talljuk meg a felhasznlk profiljaival s a rendszerindtssal kapcsolatos belltsokat, s a virtulis memria belltsi lehetsgeit is.
Alap rendszerfelgyeleti eszkzk (System and Maintenance, System Properties)

Ebben az eladsban a legfbb rendszertulajdonsgok rszletes ttekintse trtnik meg.
Fjlnv: I-1-2aSystem.avi
Fik specifikus mappk s megosztsok

A felhasznlk munkakrnyezett meghatroz fjlok s belltsok a felhasznli profilban troldnak. Alaprtelmezs szerint itt tallhatjuk meg a felhasznlk dokumentumait s egyb adatfjljait, a felhasznlhoz tartoz, fjlknt trolt
registrybelltsokat, s az alkalmazsok klnfle konfigurcis fjljait is.
Alaprtelmezs szerint minden, a szmtgpre bejelentkez felhasznlnak helyben trolt profilja van, amely az els bejelentkezskor jn ltre. A helyi felhasznli profilok trolhelye a %Systemdrive%\Users mappa.
A szzalkkal jellt krnyezeti vltozkat a (Sajtgp \ Tulajdonsgok \ Specilis \ Krnyezeti

vltozk) panelen talljuk meg, de a set paranccsal is lekrdezhetjk az rtkeiket.
Ezen bell az egyes felhasznlk adatai a felhasznlnv alapjn elnevezett

mappkban tallhatk meg (pldul C:\Users\GipszJ). A felhasznli profilon bell szmos mappt tallhatunk, amit az az 1.9. brn is lthat. Ugyanitt tallhatjuk meg az Ntuser.dat nev (rejtett) fjlt is, amely a registrynek a
felhasznlra vonatkoz rszt, vagyis a CurrentUser gat trolja. A profilmappban tallhatunk mg szmos rejtett hivatkozst (pldul a NetHood,
PrintHood, SendTo stb.), amelyek a rgebbi, a Windows XP-profilmappa
szerkezethez ksztett alkalmazsok mkdst biztostjk. A rendszerpartcin egybknt megtallhatjuk a korbban a profilok trolsra hasznlt
24
Documents and Settings mappt is, de j ha tudjuk, hogy ez csak egy szimbolikus hivatkozs (n. junction point, azaz az NTFS specilis megoldsa a hivatkozsra) a Users mappra, azaz tartalma nincs is.
1.9. bra: A dir /asd paranccsal szpen ltszanak az NTFS hivatkozsok
Sokkal bartsgosabban fest a profilmappa, ha kikapcsoljuk (illetve nem kapcsoljuk be) a rejtett elemek megjelentst. Ebben az esetben a mappban tizenegy almappa jelenik meg, amelyek mindegyike a klnfle tpushoz tartoz felhasznli adatok trolsra szolgl.
1.10. bra: A felhasznli profil mappi
25
Alapismeretek
A mappk nmelyikvel mr a Windows XP-ben is tallkozhattunk [Documents (Dokumentumok), Favorites (Kedvencek), Music (Zene), Pictures (Kpek),
Videos (Videk)], csak a nevk vltozott kiss, s az elrendezsk vlt logikusabb (a kpek, zenk stb. mr nem a Documents mappn bell vannak).
A tbbi mappa teljesen j, a felhasznlk ezekben trolhatjk pldul az internetrl letlttt fjljaikat, nvjegyeiket vagy keresseiket.
Az ablak bal oldaln a Links (Kedvenc hivatkozsok) mappa tartalma jelenik meg, ide rdemes felvenni a gyakran hasznlt helyek hivatkozsait, gy
azok mindig kznl vannak, vagyis nagyon gyorsan s knnyen elrhetk.
A szoksos mappk mellett a felhasznli profil szmos rejtett elemet is
tartalmaz: tallhatunk itt nhny registryfjlt az AppData mappt, s a Windows XP-vel val kompatibilits miatt tbb rejtett hivatkozst is.
Kzs profilok
A felhasznlk nll profilmappi mellett kt kzs profilt is tallhatunk a
Users mappban:
26
Public (nyilvnos) profil az itt tallhat Desktop (Asztal) s Start

Menu mappk tartalma valamennyi felhasznl profiljban megjelenik,
gy alakul ki az egyes felhasznlk Asztala s Start menje. A Public tbbi
mappjnak [Documents (Dokumentumok), Pictures (Kpek), Music (Zene)
stb.] tartalmt valamennyi felhasznl elrheti, vagyis ezek a megosztott
dokumentumok s egyb fjlok trolsra hasznlhatk.
Default (alaprtelmezett) profil amikor egy adott felhasznl els

alkalommal jelentkezik be egy szmtgpre, ltrejn a felhasznlhoz
tartoz profilmappa, amelybe a Windows tmsolja a Default profil
tartalmt (ha nem hasznlunk kzpontilag trolt (roaming) profilt).
A Default profil teht a felhasznli profilok sablonjul szolgl, az itt
elvgzett vltoztatsok valamennyi ksbb ltrejv felhasznli profilban rvnyeslni fognak. Jl hasznlhat pldul az a mdszer, hogy
egy megfelelen testreszabott felhasznli profilt egyszeren bemsolunk a Default mappba (a felhasznli profilok msolsra a rendszer
tulajdonsgpaneljnek Advanced system settings (Specilis rendszerbelltsok) lapjn van lehetsg), ezutn valamennyi j profil ennek
megfelelen fog elkszlni.
A szemlyes mappk thelyezse

Br a szemlyes mappk struktrja sokkal ttekinthetbb s logikusabb
vlt a Windows XP-vel sszehasonltva, mgis sok esetben szksg lehet
egyes mappk, vagy akr a teljes struktra thelyezsre. Ha pldul a rendszerkteten nincs elegend hely a felhasznl filmgyjtemnye szmra, akkor clszer lehet msik ktetre thelyezni a Videos (Videk) mappt.
A trhellyel kapcsolatos problmkon kvl szmos ms rv is szl a rendszer- s a felhasznli adatok kln ktetre helyezse mellett:
Az opercis rendszer s a szemlyes adatfjlok sztvlasztsa sokkal

egyszerbb teszi a rendszer helyrelltst klnfle problmk (fjlsrls, vrustmads stb.) estn.
1.11. bra: A mappk tulajdonsglapjn megnzhetjk s mdosthatjuk a felhasznli

mappk valdi helyt
A szemlyes adatok kln ktetre helyezse jelentsen megknnyti s

hatkonyabb teszi a klnfle disk image- (lemezkp-) alap mentsi
szoftverek (pldul a Vista beptett Complete PC Backup programja,
27
Alapismeretek
lsd ksbb) hasznlatt. Ebben az esetben a rendszerrl ksztett

image lnyegesen kisebb lehet, a visszallts pedig egyltaln nem
rinti a felhasznlk fjljait.
Jval egyszerbben elvgezhet ebben az esetben az opercis rendszer

jrateleptse, j verzira trtn frisstse, vagy akr teljes cserje is
(msik opercis rendszerre).
A szemlyes mappk thelyezse nagyon egyszer: az thelyezend mappa tulajdonsgpaneljnek Location (Hely) lapjn kell mdostanunk az tvonalat. A Dokumentumok mappt pldul gy helyezhetjk t, hogy a C:\Users\GipszJ\
Documents tvonalban a C helyre egyszeren berjuk a megfelel meghajt betjelt. Ezutn a Vista rkrdez az j mappa ltrehozsra, (ha mg nem ltezett), majd arra is, hogy a fjlokat is t szeretnnk-e helyezni a rgi helyrl az jra. Nehz olyasmit elkpzelni, ami a kt prhuzamos mappa indokul szolglhatna, gy termszetesen mindig helyezzk t a tartalmat is.
Ha egyszerre tbb (esetleg valamennyi) adatmappt t szeretnnk helyezni, akkor clszerbb ms mdszert vlasztani. Hozzuk ltre a felhasznli
mappkat trol j mappt (pldul D:\Users\GipszJ), majd jelljk ki az
thelyezend mappkat s az egr jobb gombjval hzzuk (ne msoljunk, hanem inkbb mozgassunk) t ket az j helyre. A mvelet kzben a Vista mdostani fogja a megfelel hivatkozsokat is.
A mappk thelyezse utn clszer mg egy mveletet elvgezni: nem rt,
ha mdostjuk a Vista keresmotorjnak indexelsre vonatkoz belltsait,
vagyis az j helyet is hozzadjuk az indexelend mappk listjhoz. A lista
alaprtelmezs szerint tartalmazza az eredeti profilmappt, de az thelyezskor ez nem vltozik meg automatikusan. (Az indexelsre vonatkoz belltsokat tbbek kztt a Control Panel (Vezrlpult) Performance Information and
Tools (Teljestmnyadatok s -eszkzk) programjnak felletrl rhetjk el.)
Kzel sem ennyire egyszer s problmamentes a teljes Users mappa msik ktetre helyezse
(ebben az esetben teht mr az j profilok is itt keletkeznnek). Erre a feladatra nem kapunk
beptett eszkzt, s mivel a Users mappa hivatkozsai szmtalan helyen szerepelnek a registryben, a kzi thelyezs is meglehetsen remnytelen feladatnak tnik. A hivatalos eljrs
csak a telepts kzben mkdik: a felgyelet nlkli unattended telepts vlaszfjljban tetszs szerint bellthat a Users mappa helye. Sajnos azonban mg ebben az esetben is szmolhatunk nhny mellkhatssal (pldul nem minden frissts hajland teleplni ilyen rendszerre),
ebben az esetben ltre kell hoznunk a rendszerkteten egy C:\Users nev szimbolikus hivatkozst
(az mklink nev parancssori eszkz segtsgvel), ami a Users mappa j helyre mutat.
28
A felgyeleti konzol: az MMC-program

Az MMC, vagyis a Microsoft Management Console egy sszetett felgyeleti eszkz, mellyel a
Windows opercis rendszer szinte sszes fontos komponenst s szolgltatst konfigurlhatjuk. Az MMC-konzol egy egysges felletet
nyjt az felgyeleti eszkzk szmra, melyeket modulok kpben tlthetnk be ebbe a
konzolba, majd a tetszs szerint sszelltott
MMC-konzolt el is menthetjk .msc formtumba (ekkor bekerl az Administrative Tools
(Felgyeleti eszkzk) programcsoportba). Az
MMC-konzol mindegyik Windows-vltozatban
elrhet (rjuk be a Start/Run mezbe: mmc), segtsgvel a helyi szmtgpen kvl brmely a hlzatra kttt Windows opercis rendszer felgyelete
lehetv vlik termszetesen a korrekt hlzati kapcsolat, illetve a megfelel
jogosultsgok fggvnyben.
A Windows Vista az MMC 3.0-s verzijt tartalmazza, amely jdonsgai
kz tartozik pldul a jobb oldali Action pane (Mveletek munkaablak),
amelyben helyzetrzkeny mdon a f keret tartalmtl fggen mindig az
aktulis parancsok s mveletek rhetek el. Az MMC 3.0 a modulok egymsba gyazhatsga s megjelentse, valamint a konzol hibakezelse kapcsn is mutat jdonsgokat.
A felgyeleti konzol Microsoft Management Console (MMC)
Ebben az eladsban a (majdnem) minden felgyeleti eszkz alapjnak szmt MMC-konzol
ttekintst lthatjuk.
Fjlnv: I-1-2bMMC.avi

Az egyik leggyakrabban hasznlt MMC-konzol az Computer Management
(Szmtgp-kezels) nvre hallgat, ez gyakorlatilag a rendszergazdk f
eszkze az opercis rendszer konfigurlsnl s hibaelhrtsnl. A Computer Management gyrilag sszevlogatott modulokbl ll MMC-konzol, a
legfontosabb eszkzket tartalmazza:
29
Alapismeretek
System Tools (Rendszereszkzk) itt tallhatk a Feladattemez, az

Event Viewer (Esemnynapl), a hlzat fel megosztott erforrsok, a
Local User and Groups (Helyi felhasznlk s csoportok), a rendszerstabilitsi s teljestmnymr modul, valamint a hardverek felgyelett ellt Device Manager (Eszkzkezel).
A Storage (Trols) rszben a lemezkezel bvtmny kapott helyet,

melyen keresztl a rendszerhez csatlakoztatott valamennyi helyi meghajtt konfigurlhatjuk (particionls, formzs, lemezellenrzs,
meghajt betjel vltoztats stb).
Services and Applications (Szolgltatsok s alkalmazsok)

A harmadik szekciban alapesetben (a szolgltatsok nvekedstl
fggen bvlhet, tipikusan a szervereken lesz ez gy) a Windows-szolgltatsokat felgyel modul, illetve a WMI Control (Windows komponensszolgltatsok felgyelete) tallhat meg.
A Computer Management MMC eszkzeit a ksbbi fejezetekben rszletesen

s kln-kln is ismertetjk.
Ebben a mini eladsban a taln a legtbbet hasznlt rendszergazda eszkz a Computer Management MMC bemutatsa lthat.
Fjlnv: I-1-2cComputer-Management-MMC.avi
A felgyeleti eszkzk (Administrative Tools)

A Computer Management (Szmtgp-kezels) MMC-t az Administrative
Tools (Felgyeleti eszkzk) programcsoportbl rhetjk el, ahol egybknt a
fenti konzolon kvl a szmtgp karbantartshoz szksges sszes egyb
eszkzt is megtallhatjuk. Ezek az eszkzk tipikusan a helyi gpre rvnyes
konfigurcik megvltoztatshoz hasznlatosak, de legtbb modulbl lehetsgnk van a hlzat egy msik gpnek kezelsre is.
A felgyeleti eszkzk (Administrative Tools) ttekintse s a System Configuration Utility
Ebben a screencastban a felgyeleti eszkzk gyjthelynek, az Administrative Tools programcsoportnak az eszkzeit, valamint a kiss megvltozott System Configuration segdprogramot mutatjuk be.
Fjlnv: I-1-2dAdministrative-Tools.avi
30
1.12. bra: Az Adminstrative Tools csoport
Vegyk sorra az Administrative Tools csoportban tallhat eszkzket:
Data Sources (ODBC) Ez az alkalmazs a klnbz adatbzisok

kzti kapcsolatok belltst teszi lehetv.
Event Viewer (Esemnynapl) Az esemnynaplban az opercis

rendszer mkdsvel kapcsolatos minden esemnyt felgyelhetnk,
elklntve lthatjuk az alkalmazsok s a rendszer ltal kldtt informcikat, figyelmeztetseket s hibazeneteket. A Windows Vistban az egyes rendszerkomponensek kln esemnynaplba jegyzik tevkenysgket, gy mg strukturltabb s ttekinthetbb vlik a
napl. Az egyes komponensnaplk igen rszletesen beszmolnak a
rendszer mkdsrl, mg a Windows teljestmnyt rossz irnyban
befolysol tnyezkrl is kaphatunk jelentseket. A kvetkez fejezetben rszletesen kibontjuk az Esemnynapl jellemzit s lehetsgeit.
iSCSI Initiator Ez a modul a hlzaton vagy akr az interneten keresztl elrhet tvoli szmtgpek httrtrolinak (vagy nll httrtrolk) csatlakozst s felgyelett teszi lehetv.
Local Security Policy (Helyi biztonsgi hzirend) A helyi szmtgp

rszletes biztonsgi belltsait tekinthetjk meg s szerkeszthetjk
ezen a konzolon keresztl. A biztonsgi hzirendek segtsgvel a rendszergazda konfigurlhatja az opercis rendszer vdelmi szolgltatsait,
valamint jogosultsgokat oszthat ki egyes felhasznlcsoportoknak.
A msodik fejezet vgn rszletesen trgyaljuk a Helyi hzirendet.
31
Alapismeretek
Memory Diagnostics Tools (Memriadiagnosztikai eszkz) Mivel a

Windows stabil mkdsnek alapfelttele, hogy a memriamodulok
kifogstalanul mkdjenek, a Vistban mr beptett memriatesztel
alkalmazssal ellenrizhetjk a RAM modulok mkdst. Hromfle
teszt vlaszthat, az egyszer gyors vizsglattl kezdve egszen a legbonyolultabb rsi s olvassi mveleteket szimull prbig. A memriateszt elvgzshez a szmtgp jraindtsa szksges, maga a
vizsglat karakteres felhasznli felleten, mg a Windows betltdse
eltt lezajlik. Az ellenrzs brmikor megszakthat s a rendszer betltdik. Miutn bejelentkeztnk a Windowsba, automatikusan jelentst kapunk a legutbbi teszt eredmnyrl.
A Memory Diagnostics Tool

Ebben a mini demban az j memria tesztel alkalmazs lehetsgeit mutatjuk be.
Fjlnv: I-1-2eMemoriavizsgalat.avi
32
Print Management (Nyomtatkezels) A Print Management konzolban az sszes helyileg teleptett nyomtatt, a hozzjuk tartoz eszkzilleszt-programokat, a nyomtatportok llapott, valamint a rendelkezsre ll nyomtatsi sablonokat (pl. paprfajtk) kezelhetjk.
Reliability and Performance Monitor (Megbzhatsg- s teljestmnyfigyel) A Windows XP-ben is megtallhat teljestmnydiagnosztikai alkalmazs meglehetsen kibvtett vltozatt talljuk ebben
a konzolban. Szinte minden rendszerkomponens teljestmnyt klnkln figyelemmel ksrhetjk, naplzhatjuk, st akr idztett mrst
is vgezhetnk. A mrs befejeztvel lehetsgnk van egy elre definilt temezett feladat elindtsra. A konzol msik feladata a rendszer stabilitsnak nyomon kvetse, melyet az eszkz egy grafikonon
vizulisan is brzol. A rendszerstabilitsi napl elemzsvel a rendszergazda visszamenleg rteslhet olyan esemnyekrl, melyek egyegy alkalmazs vagy akr a teljes rendszer lellst, hibs mkdst
okoztk. A napl segtsgvel nem csak a hibkat, hanem az olyan
esemnyeket is figyelemmel ksrhetjk, mint az alkalmazsok, eszkzmeghajtk teleptse/trlse. A kvetkez fejezetben rszletesen sz
esik majd errl a komponensrl.
Services (Szolgltatsok) Szolgltatsnak nevezzk azokat a rendszerfolyamatokat, melyek a httrben futva az opercis rendszer indtstl a lelltsig olyan alapvet funkcikat ltnak el, mint pldul
a hlzati, a biztonsgi, vagy a multimdis alrendszer mkdtetse.
Ez a konzol a szolgltatsok felgyelett ltja el, azaz itt llthatjuk be,
hogy az egyes integrlt rendszer-, illetve az utlag akr kls szoftverek ltal teleptett szimpla szolgltatsok hogyan induljanak, milyen szolgltatsfikkal mkdjenek, mi trtnjen velk, ha valamilyen hiba kvetkeztben lellnak, illetve megnzhetjk az adott szolgltats fggsgi viszonyait is. A harmadik fejezetben visszatrnk a
rendszerszolgltatsokra, elssorban a biztonsgra fkuszlva.
System Configuration (Rendszerkonfigurci) E rendszerbellt alkalmazs segtsgvel a Windows indulsnak krlmnyeit vltoztathatjuk meg. Hibakeress alkalmval lehetsgnk van diagnosztikai indtsi mdot vlasztani, ahol csak a Windows mkdshez legszksgesebb sszetevk tltdnek be, konfigurlhatjuk a rendszerbetlt specilis belltsait, valamint egyetlen helyrl indthatunk olyan tovbbi felgyeleti eszkzket, mint az esemnynapl, a rendszervisszallts, a
feladatkezel, vagy a Belltsszerkeszt (Registry Editor).
Task Scheduler (Feladattemez) A Vista feladattemezje teljesen

megjult, szmtalan j felttel alapjn indthatunk automatikusan klnbz folyamatokat a rendszerben. A feladattemez megnyitsakor
egy kzponti nzetben lthatjuk az utbbi 24 rban lefutott s a jelenleg is aktv feladatok sttuszt. Az egyes feladatok temezsi lehetsgei szmos j lehetsggel bvltek, valamint a vgrehajthat feladatok kz a programfuttats mell bekerlt a kpernyn megjelentend zenet, illetve e-mail kldse is. Az idztett feladatokat hlzati
krnyezethez s a tpellts aktulis llapothoz is kthetjk. Az j
feladattemez szorosan egyttmkdik az esemnynaplval, gy az ltalunk belltott egyes rendszeresemnyekhez szabadon trsthatunk
programfuttatst, vagy zenetkldst is. A kvetkez fejezetben rszletesen sz esik majd errl a komponensrl is.
Windows Firewall with Advanced Security (Fokozott biztonsg

Windows tzfal) A Windows XP-bl ismers egyszer tzfalbelltsok a Vistban is elrhetk, de az j opercis rendszer az alapmveleteken kvl rendkvl rszletes belltsi lehetsgeket is knl egy kln MMC-konzolon keresztl. A Windows Firewall modul megnyitsakor rgtn lthatv vlik az j tzfal egyik legfbb jdonsga, a profilkezels. A szolgltats hlzati krnyezettl fggen hrom profilnak megfelelen tud mkdni: otthoni, cges krnyezet, illetve nyilvnos hlzat. Az egyes profilokhoz kln szablyrendszert hozhatunk
ltre, valamint a Vistban mr a kimen forgalom szrst is bellthatjuk, m ez a funkci alaprtelmezsknt nincs bekapcsolva. A tzfal-konfigurcis konzolban teljesen szemlyre szabhatjuk az egyes
szablyokat, szinte minden paramtert megvltoztathatunk: megad33
Alapismeretek
hatjuk, hogy a szably melyik profilban ljen, milyen programra vonatkozzon, az alkalmazs milyen protokollokon s portokon keresztl,
mely IP-cmrl mely IP-cm fel kommuniklhat. Az j tzfal konzolban kapcsolatbiztonsgi szablyokat is felllthatunk kt gp hlzatban trtn sszekttetshez, melyekhez ignybe vehetjk az integrlt
IPSec (hlzati forgalom titkost) szolgltatsait. A harmadik fejezet
vgn rszletesen sz esik majd errl a komponensrl is.
gyflgp belptetse tartomnyba

Egy hlzat szmtgpei munkacsoport vagy Active Directory tartomny tagjai is lehetnek. Az alaprtelmezett munkacsoport tagsg (egy gp esetn is) a
szmtgpek laza csoportjt jelenti, egy adott munkacsoporthoz val tartozs tulajdonkppen semmi komoly kvetkezmnnyel nem jr sem a szmtgp, sem a
hlzat szmra. A munkacsoportok a kvetkez tulajdonsgokkal rendelkeznek:
Az sszes szmtgp egyenrang, valamennyi, a hlzati mkdssel kapcsolatos szolgltatst brmelyik erre alkalmas szmtgp biztosthatja.
Minden szmtgp nll felhasznli adatbzissal, gy nll, a tbbi

gptl fggetlen felhasznli fikokkal rendelkezik.
A szmtgpek s a felhasznli fikok valamennyi belltst (a jogosultsgok kiosztst is) kln-kln kell megadnunk minden egyes
szmtgp s felhasznli fik esetben.
A munkacsoport valamennyi szmtgpnek egyetlen alhlzathoz (subnet) kell tartoznia.
Az Active Directory-tartomny a szmtgpeknek (s felhasznli fikoknak)

a rendszergazda ltal definilt csoportja, amelynek segtsgvel lehetv vlik valamennyi hlzati s helyi erforrs kzponti felgyelete. (Az Active
Directory-tartomnyok ltrehozsval s felgyeletvel az tdik fejezetben
rszletesen fogunk foglalkozni.) A tartomnyok a kvetkez legfontosabb tulajdonsgokkal rendelkeznek:
34
A tartomnyhoz tartoz szmtgpek nem egyenrangak, bizonyos

szolgltatsokat csak az erre kijellt kiszolglk (a tartomnyvezrlk)
lthatnak el, a tbbi szmtgp (kiszolglk s gyflgpek egyarnt)
ezek szolgltatsait veszik ignybe a felhasznlk hitelestsvel, a
rendszer klnfle belltsainak letltsvel s mg szmos ms feladattal kapcsolatban.
A tartomnyhoz tartoz szmtgpeken (a tartomnyvezrlket kivve) van ugyan helyi felhasznli adatbzis is, de a gpekre a tartomnyban kzpontilag ltrehozott felhasznli fikok hasznlatval is
be lehet jelentkezni (helyi fik nlkl), s a helyi felhasznli jogosultsgok kiosztsakor is hasznlhatk a tartomnyi csoportok s felhasznli fikok (clszeren a helyi csoportok tagjai kz val felvtellel).
A tartomnyhoz tartoz szmtgpek s felhasznli fikok belltsait a rendszergazda kzpontilag szablyozhatja.
A szmtgpek klnbz helyi hlzatokhoz is tartozhatnak.
1.13. bra: Csatlakozunk a ceg.local nev tartomnyhoz
Hogy a szmtgpet tartomnyba lptethessk, be kell lltanunk a TCP/IPparamtereket (klns tekintettel a DNS-kiszolglra), szksgnk van egy
helyi rendszergazda fik jelszavra s a csatlakozs sorn meg kell adnunk egy
olyan tartomnyi felhasznl (rendszergazda) nevt s jelszavt is, akinek az
Active Directory cmtrban joga van a megfelel szmtgpfik ltrehozshoz.
35
Alapismeretek

A hlzati s megosztsi kzpont
A Windows Vista teljesen megjult hlzatkezelsnek els lthat nyomait
akkor fedezhetjk fel, ha megnyitjuk a Network and Sharing Center (Hlzati s megosztsi kzpont) nev, specilis ablakot. Ez egy olyan kzpontostott
hely, ahol a hlzatok kezelsvel kapcsolatos valamennyi informci, illetve
belltsi lehetsg megtallhat. Tbbfle mdon is elindthatjuk:
A Start men Keress mezjbe rjuk be: network, majd kattintsunk a

fels listban megjelen ikonjra.
Control Panel > Network and Internet.
A Windows Explorerbl a jobboldalon a Hlzat nev mappra kattintva megjelenik a mensorban.
A Tlca jobb szln a jobb gombbal a hlzat ikonra kattintva megjelenik a menben.
1.14. bra: Hlzati s megosztsi kzpontban szinte mindent megtallunk,

aminek kze van a hlzathoz
36
A kezdlapon rgtn lthatjuk a jelenlegi kapcsolat sematikus brzolst,

leolvashatjuk a hlzaton szerepl eszkzk nevt, illetve a Windows itt grafikus formban is jelzi, ha valamelyik kapcsolatban hiba lpett fel. Az adott
hlzat teljes trkpt a View Full Map (Teljes trkp) hivatkozsra kattintva
tekinthetjk meg (lsd ksbb).
A hlzatot jelkpez bra alatt tallhatk az aktulis hlzati kapcsolat
adatai, a hlzat neve, az elrs tpusa (helyi vagy internetes kapcsolat), valamint a kapcsoldshoz hasznlt hlzati interfsz neve. Az egyes kapcsolatok esetben a jobb oldali Customize (Testreszabs) hivatkozsra kattintva
szabhatjuk testre a kapcsolatok nevt, ikonjt, valamint itt rendelhetnk
hozzjuk hlzati profilt is. A View status (llapot) hivatkozs alatt tallhatjuk a kapcsolat klasszikus konfigurcis lapjt s innen olvashatjuk le gpnk aktulis IP-cmt, az tjr s DNS-kiszolglk cmt.
A hlzati kapcsolatok alatt egy tteles felsorols formjban lthatjuk a
helyi szmtgp hlzati szolgltatsaira vonatkoz legfontosabb belltsait
(Sharing and Discovery Megoszts s felderts):
Network Discovery (Hlzat feldertse) Lehetv teszi, hogy a Vista automatikusan rzkelje a hlzatra kttt szmtgpek jelenltt,
s az azokon megosztott erforrsokat, ezzel felgyorstva az azokhoz
trtn kapcsoldst. Egyttal a mi gpnk lthatsgt is engedlyezhetjk vagy tilthatjuk itt.
File sharing (Fjlmegoszts) A fjl- s nyomtatmegosztst kapcsolja

be, illetve ki. A Windows Intzben csak akkor tudunk fjlokat vagy
mappkat megosztani, ha ez a szolgltats engedlyezve van. A mappkat, illetve a nyomtatkat csak olyan szemlyek rhetik el a hlzatrl,
akiknek ltezik rvnyes felhasznlnevk s jelszavuk a helyi gpen.
Public folder sharing (A Nyilvnos mappa megosztsa) A Public

(All Users) mappa megosztsa a hlzat fel, tbbfle jogosultsggal.
Ebbe a mappba ltalban olyan dokumentumokat szoks elhelyezni,
melyeket a szmtgp sszes felhasznlja s a hlzaton kapcsoldk
szmra is elrhetv kvnunk tenni.
Printer sharing (Nyomtat megosztsa) A helyi nyomtatk hlzaton keresztl trtn megosztsval a tvoli szmtgpekrl is lehetv vlik a nyomtats a sajt nyomtatnkra. A teleptett nyomtatk
megosztst s a felhasznlk jogosultsgait nyomtatnknt be kell lltani, ez a kapcsol csak a nyomtatsi szolgltats globlis megosztst szablyozza.
37
Alapismeretek
Password protected sharing (Megoszts jelszavas vdelemmel) Ha

jelszavas elrhetsget kvnunk biztostani a hlzat tbbi felhasznljnak, engedlyezzk ezt a lehetsget. Ha a Password protected
sharing szolgltats ki van kapcsolva, a publikus mappk jelsz megadsa nlkl is elrhetk. Ez a lehetsg egy tartomnyi fikkal rendelkez gp esetn nem lthat.
Media Sharing (Mdiafjlok megosztsa) A mdiatartalom megosztsa teljesen j funkci a Vistban. A rendszer kpes a Windows Media
Player lejtszsi listjt a hlzat tbbi szmtgpe illetve olyan
specilisan mdialejtszsra (is) alkalmas eszkzk fel, mint az Xbox
360 jtkkonzol, vagy klnbz Media Center extenderek (bvtmnyek) megosztani, gy a zenei s videfjlokat nem kell minden szmtgpen trolni. A lejtszsi lista teljes egszben, vagy rszlegesen
is megoszthat. A mdiamegoszts rszletes konfigurcijt a Windows
Media Player belltsai kztt tallhatjuk.
A megosztott erforrsokat s feldertsi belltsokat megjelent tblzat

alatt kt tovbbi hivatkozst tallhatunk, melyek az ltalunk megosztott
mappkat, illetve a szmtgpnk sszes megosztott mappjt mutatja meg.
A Network and Sharing Centerben a hlzatokhoz trtn kapcsoldst s
a mr meglv hlzati kapcsolatok, illetve hlzati krtyk konfigurcijt
is elvgezhetjk. Ha a bal oldali kkeszld svban a Set up a connection or
network (Kapcsolat vagy hlzat belltsa) parancsra kattintunk, a hlzati
kapcsolds varzslban talljuk magunkat, ahol a kapcsolat tpustl fggen
tbb irnyba is elindulhatunk.
38
Ltrehozhatunk egyszer internetes kapcsolatot, melyhez hasznlhatunk telefonos, szlessv kbeles, illetve vezetk nlkli elrst is.
Bellthatunk vezetk nlkli hozzfrsi pontot vagy egy tvlasztt.
Kapcsoldhatunk publikus vagy vdett vezetk nlkli hlzatokhoz.
Ideiglenes, gynevezett ad hoc vezetknlkli hlzatot hozhatunk ltre

msik szmtgppel, telefonnal, vagy egyb pl. WiFi-kpes eszkzzel.
Bellthatunk virtulis magnhlzatot (VPN), mellyel munkahelynk

helyi hlzathoz csatlakozhatunk biztonsgos krlmnyek kztt
az interneten keresztl.
1.15. bra: Az sszes hlzati kapcsolattpus elkszthet az j varzslval
Az elkszlt hlzati kapcsolatokat a Connect to a network (Csatlakozs a hlzathoz) hivatkozsra kattintva lthatjuk majd, ahonnan szintn egy apr,
de hasznos jdonsg miatt csoportostva az sszes ltez kapcsolat elrhet.
A kapcsolatok a Windows Vista jratervezett, informatv varzslinak ksznheten knnyen bellthatk, de ha mgis elakadunk, rgtn megoldsi
javaslatokat is kapunk a rendszertl. A kapcsolds esetleges sikertelensge
esetn az automatikus hlzat-diagnosztika is elrhet, mely a leggyakoribb
konfigurcis hibkat nllan kpes kijavtani. A Manage network connections (Hlzati kapcsolatok kezelse), illetve Manage wireless networks (Vezetk
nlkli kapcsolatok kezelse) hivatkozsok mgtt a Windows hlzati interfszeit, illetve a belltott vezetk nlkli hlzatok tulajdonsgait konfigurlhatjuk. A Diagnose and repair (Diagnosztizls s javts) paranccsal pedig a korbban emltett automata hlzati diagnosztika eszkzt indthatjuk el.
A hlzati s megosztsi kzpont (Network and Sharing Center)
Ebben a screencastban a Network and Sharing Center sszes lehetsges belltst s szolgltatst megtekinthetjk.
Fjlnv: I-1-3aNetwork-and-Sharing-Center.avi
39
Alapismeretek
A hlzati profilok
A Windows Vista a megnvelt biztonsg, illetve a knnyebb felgyelet rdekben gynevezett hlzati profilokat klnbztet meg, attl fggen, hogy a
szmtgp milyen krnyezetben mkdik. Hrom gyrilag definilt hlzati
profil ltezik: tartomnyi, privt, illetve publikus.
A hlzati profilok tulajdonkppen olyan belltscsomagok, melyek tartalmazzk a kapcsolathoz hasznlt interfsz tpust, az alaprtelmezett tjr MAC-cmt, s egyb kapcsolatspecifikus adatokat, valamint tartomnyi
hlzat esetn a hitelest kiszolgl adatait. A profil a hlzathoz trtn els kapcsoldskor jn ltre.
1.16. bra: Bizonyos esetekben mi magunk is vlaszthatunk vagy vltoztathatunk hlzati

profilt (tartomnyi tagsg esetn nem)
Az egyes hlzattpusok jelentsei az albbiak:
40
Domain (tartomnyi profil) Ha a szmtgp tagja egy Windows-tartomnynak, a hlzati kapcsolat profilja automatikusan domain lesz,
fggetlenl attl, hogy a gp ppen csatlakoztatva van-e, vagy sem.
Private (Privt) A szemlyes profil olyan tipikusan otthoni munkacsoportos hlzatot jell, melyben lazbb biztonsgi szablyok rvnyesek.
Public (Nyilvnos) Minden olyan hlzat, mely nem tartomnyi s nem

is szemlyes. Publikus hlzati profilt clszer hasznlni a repltereken,
internetkvzkban s egyb nyilvnos helyeken elrhet tbbnyire vezetk nlkli hlzatokhoz kapcsoldskor, ilyenkor ugyanis a legszigorbb biztonsgi szint lp letbe. Egy j kapcsolat is mindig ezzel a legszigorbb profillal indul el, s csak az automatikusan szlelt eltr krnyezet
felismersekor mdosul.
1.17. bra: Hrom hlzati profil ll rendelkezsre
Az aktulis profil ahogy a klnbz hlzatok kztt mozgunk termszetesen vltozhat. Ezeket a vltozsokat a Vistban a Network Location Awareness (NLA hlzati szint hitelests) szolgltats detektlja, majd ennek
megfelelen gondoskodik a profilvltsrl s az j biztonsgi szablyok alkalmazsrl.
41
Alapismeretek
A hlzati profil vltsa rendkvl rvid id, elvileg mintegy 0,2 msodperc alatt vgbemegy,
gy a kt profil kzt lebeg gpet r tmadsok gyakorlatilag kikszblhetk.
Amikor hlzatiprofil-vlts trtnik a Windows automatikusan alkalmaz

minden olyan belltst a hlzati interfszre s a rendszer egszre (megosztsok, feldertsi belltsok, tzfalkonfigurci stb.), melyek az adott krnyezetnek megfelel helyes mkdshez szksgesek. A Network Location Awareness szolgltats publikus programozsi interfszt (API) is nyjt, gy a hlzati
profilokkal a kls fejlesztk ltal rt programok is egytt tudnak mkdni. Az
NLA-t tovbb vezrelhetjk a csoporthzirenden keresztl is, gy a rendszergazda definilhatja pldul a tzfal mkdst az egyes hlzati profilokban.
Az albbi tblzat a Windows-tzfal, a hlzati megosztsok s a hlzatfelderts alaprtelmezett belltsait mutatja az egyes hlzati profilok esetn:
Tartomny
Privt
Nyilvnos
Windows tzfal
Bekapcsolva
Bekapcsolva
Bekapcsolva
Hlzatfelderts
Csoporthzirend
alapjn
Bekapcsolva
Letiltva
Fjl- s nyomtatmegoszts
Csoporthzirend
alapjn
Letiltva
Letiltva
A TCP/IP-protokoll
A TCP/IP (Transmission Control Protocol/Internet Protocol) protokollkszletre pl szinte minden hlzattal kapcsolatos mvelet, nem csak a Windows,
de egyb opercis rendszerek s hlzati eszkzk esetn is. Mivel az internet szabvnyos protokolljrl van sz, napjainkban a TCP/IP a legelterjedtebb hlzati protokoll, ennek megfelelen nem is javallott mst hasznlni,
hacsak erre nincs kifejezetten szksg valamilyen specilis alkalmazs vagy
szolgltats zemeltetse miatt.
A TCP/IP hlzati alrendszer szerves rsze a Windows opercis rendszernek, teleptskor automatikusan felkerl s nem is tvolthat el, mindssze a mkdse tilthat le. A Windows TCP/IP-konfigurcijnak megvltoztatsakor nem kell jraindtani a rendszert, mindssze a hlzati kapcsolat szakad meg egy pillanatra, majd az sszekttets automatikusan jra ltrejn, immr az j belltsokkal.
42
Egy egyszer esetben, hardveres szempontbl gyakorlatilag elg csak kt gpet sszekapcsolnunk, s mris hlzatrl beszlhetnk, de a fizikai (vagy
vezetk nlkli) sszekttetsen kvl mi szksges mg egy mkd Windows-hlzat bezemelshez?
IP-cm Az IP (Internet Protocol) cm egyedi, 4 bjt hosszsg, ngyszer hrom szmjegyre tagolt azonost, mellyel minden aktv hlzati
interfszt s TCP/IP-protokollt hasznl szmtgp rendelkezik. Az
opercis rendszer az IP-cmek alapjn azonostja be az egyes szmtgpeket, gy a tvoli erforrsok elrse mindig IP-cm alapjn trtnik
a httrben mg akkor is, ha a felsznen gpnv szerint hivatkozunk azokra.
Az IP-cm privt vagy publikus tpus lehet, a kett kztti klnbsg jelents, mivel a privt IP-cmekkel belltott gpek gyakorlatilag zr lehetsggel rendelkeznek az internetre kapcsolva, mivel semmilyen
tvlaszt nem engedi ki a privt IP-tartomnybl rkez hlzati csomagokat. Ez adja egyben a biztonsgossgukat is, ezrt egy akrmilyen
bels hlzatban csak a privt cmtartomnyokbl vlasztunk vagy kapunk IP-cmet, s a tzfalunk s/vagy az tvlasztnk rendelkezik olyan,
msodik hlzati interfsszel, amely elrheti az internetet s amelynek
ennek megfelelen publikus IP-cme van, s amely egyttal az n. hlzati cmfordtst (Network Address Translation, NAT) is elvgzi majd.
Az IP-cmeket a hlzatban megadhatjuk kzzel (statikus IP) vagy
az erre a clra szolgl automatikus cmkiosztst (Dynamic Host Configuration Protocol, DHCP) vgz kiszolgltl kapjuk. Ha egyik lehetsggel sem lnk, a Windows automatikusan kioszt magnak egy privt IP-cmet, amely mindig a 169.254.0.1 169.254.255.254 tartomnybl rkezik. Az ilyen cmzsi mdszert APIPA-nk (Automatic Private
IP Adressing) nevezzk.
Alhlzati maszk Az alhlzati maszk szintn 4 bjt hosszsg s

szintn ngyszer hrom szmbl ll, feladata pedig a gpre vonatkoz
cmtartomny kijellse. Cmtartomnyok hasznlatra tbb alhlzati
szegmens kiptsekor lehet szksg, illetve amikor a hlzatba kttt
gpeket logikailag el kvnjuk szeparlni egymstl. A maszknak alhlzatonknt egysgesnek kell lennie, s a Windows az IP-cmbl automatikusan generlja szmunkra, gy ltalban nem szksges kzzel
megadni, de lehetsges korriglni.
43
Alapismeretek
1.18. bra: Az IP-cm megadsa
Gyakorlatilag e kt adat segtsgvel egyszer vagy ideiglenes krnyezetben mr

mkdhet is a hlzatunk, de kicsit alaposabban (a TCP/IPv4 panelen tovbbhaladva) a kvetkez paramterek s lehetsgek belltsa is megtrtnhet.
44
Alaprtelmezett tvlaszt Az itt megjellt IP cmmel rendelkez

eszkz lesz az, amely a gpnk ms a helyi hlzattl eltr hlzatba trtn kapcsoldsban segt. Ez a ms hlzat lehet pldul
az Internet (ilyenkor tipikusan a tzfalunk bels IP cme kerl ide), de
lehet egy msik (akr bels) hlzat fel vezet tvlaszt cme is.
DNS Az imnt emltettk, hogy a tvoli erforrsokra nv szerint is

hivatkozhatunk, vagyis a szmtgp n. hostneve alapjn. Az opercis rendszer hostneve brmikor megvltoztathat, ltalban csak a
knnyebb beazonosts a clja. A hostnv s az IP-cm sszeprostst
a DNS, vagyis a Domain Name System szolgltats vgzi, mely egy-egy
gynevezett DNS-znban gyjti a nv-cm prokat. Kiszolglt is tartalmaz krnyezetben ltalban (tartomny esetben pedig ktelezen)
van helyi DNS-kiszolgl is, teht ebbe a mezbe e helyi DNS-kiszolgl(k) IP-cmei kerlnek be. Ha kiszolgl nincs, viszont van internetkapcsolat, akkor kt eset lehetsges, vagy a tzfalunk vgzi a DNS
szolgltatst az internet fel, vagy a szolgltatnk DNS-kiszolglinak
publikus IP-cmeit kell hasznlnunk.
Ez volt a TCP/IP-panel General (ltalnos) rsze. Az Advanced (Specilis)

gombra kattintva elszr az alapbellts rszleteit lthatjuk jfent, azzal a
klnbsggel, hogy itt a tbbszrs belltsokra (tbb IP-cm, tbb tjr) is
lehetsgnk lesz.
A kvetkez fl a rszletes DNS-belltsokra mutat, ahol a tovbbi DNSkiszolglk (ha esetleg kettnl tbb van), a DNS-uttagok hozzfzsnek
sorrendje, illetve az elsdleges DNS-zna neve (amely a tartomnyi belptets
s hasznlat sorn lehet hasznos) llthat be, valamint a szintn helyi DNSkiszolgl hasznlata esetn lnyeges automatikus DNS-regisztrci lehetsge rhet el.
Az utols fl a rgi tpus nvfeloldsi mdszer belltsaira vonatkozik.
A WINS (Windows Internet Name Service neve ellenre semmi kze az internethez) feladata hasonlatos a DNS-hez, s nagyjbl csak a rgebbi opercis rendszerekkel s alkalmazsokkal fenntartand kompatibilits miatt
hasznljuk a mai napig. A WINS-kiszolgl a szmtgpek szintn kihalflben lv gynevezett NetBIOS (Network Basic Input/Output System) neveinek grdlkeny feloldsrt felel. Ezen a panelen a NetBIOS nvfeloldsban szintn komoly szerepet jtszhat specilis fjl, az lmhosts tartalmt importlhatjuk, illetve a NetBIOS TCP/IP feletti mkdst engedlyezhetjk.
Az elsre a Vistban ritkn (tovbbi rszletek az LLMNR protokollnl ebben
a fejezetben), a msodikra a helyi hlzatokon szinte mindig szksg van.
A NetBIOS nv az a gpet jell egyedi s rvid nv, amelyet pl. a teleptskor is megadunk
gpnv gyannt, Fontos tudni, hogy a hostnv s a NetBIOS-nv nem ugyanaz. A hostnv, vagy
msknt DNS-nv ltalban a szmtgp NetBIOS-nevbl s az elsdleges tartomnyi uttagbl ll, vagyis pldul: szamitogepem.tartomany.hu. A DNS- vagy hostnvre gyakran FQDN
(Fully Qualified Domain Name) teljes domainnvknt is hivatkozunk.
A Windows TCP/IP-konfigurlst rtelemszeren elvgezhetjk a grafikus

felletrl, de a paramtereket lekrdezhetjk s megvltoztathatjuk a parancssorbl is. A Windows 2000/XP/2003/Vista rendszereknl ezt az ipconfig
paranccsal tehetjk. Paramterek nlkl csak az alaprtelmezett hlzati
kapcsolat legfontosabb adatait lthatjuk, ha az sszes interfsz minden belltsra vagyunk kvncsiak, hasznljuk ipconfig /all formban az utastst.
A TCP/IP-rl, az IP-cmzsrl, a publikus s privt cmekrl s a cmkioszts rszleteirl tovbbi, mlyebb rszletek olvashatak a 4. fejezetben.
45
Alapismeretek
A TCP/IP-belltsok
Ez a screencast a TCP/IP alap s halad sznt belltsrl szl, pontrl pontra megmagyarzva a paramterek s opcik jelentst.
Fjlnv: I-1-3bTCPIP.avi
j protokollok s szolgltatsok a Vistban

IPv6
A Windows Vista teljesen jrart hlzati verme a jelenleg elterjedt IPv4-en
kvl mr natvan tmogatja a TCP/IP kvetkez, 6-os verzijt (IPv6) is.
A 128-bites (16-bjtos) cmekkel operl IPv6 protokoll bevezetsre fknt
azrt volt szksg, mert a vilgszerte mkd gpek szmnak ugrsszer
nvekedse miatt, napjainkban egsz egyszeren elkezdtnk kifogyni a kioszthat IP-cmekbl. Emellett az IPv6 lehetsget adott a TCP/IP-protokollal
kapcsolatos nhny technolgiai alapelv jragondolsra is.
Az IPv6 teht jval tgabb cmtartomnyok ltrehozst teszi lehetv,
valamint a jelenlegi megoldsoknl knnyebben konfigurlhat, gyorsabb s
biztonsgosabb adattvitelt tesz lehetv.
sszehasonltskppen, egy 128-bites cmterlet a fldfelszn minden ngyzetmtern 655 570 793
348 866 943 898 599 (6,5 x 1023) cm ltrehozst teszi lehetv. Az IPv6 cmzsrl informcikat a
kvetkez helyen tallhatunk (magyarul): http://www.microsoft.com/technet/prodtechnol/windowsserver2003/hu/library/ServerHelp/22c4b4c0-0276-4190-b5a0-b3f3d83ad048.mspx?mfr=true
vagy http://tinyurl.com/34f47o.
A Windows Vistban a korbbi kt egymstl teljesen fggetlen protokollvermet (tcpip.sys s tcpip6.sys), egy gynevezett Dual IP architektra vltja,
gy a rendszer az IPv4 s IPv6-os hlzatokat kln-kln, de mgis egyszerre tudja kezelni. Ennek ksznheten a Windows egy idben ktfajta IPcmmel is rendelkezhet, egy 4-es, illetve egy 6-os verzijval. A Vista Dual IP
architektrja egy hlzati vermen bell kezel mindent, gy tovbbra is egy
szlltsi rtegre (TCP, UDP) s egy adatkapcsolati rtegre van szksg.
46
1.19. bra: Az IPv6 minden szinten rendelkezsre ll
A Vista IPv6 kezelse teljes IPSec-tmogatst is nyjt, gy az j formtum

cmekkel is hasznlhatjuk a nylt szabvnyokbl ll kriptogrfiai keretrendszert. (Az IPSeckel ksbb a tzfal kapcsn bvebben is foglalkozunk.)
Az IPv6 mindezeken kvl elrhet PPP (Point-to-Point Protocol) kapcsolatok esetn is (kivve PPTP VPN hasznlatakor), mely kt lloms kzti
kzvetlen kapcsolatoknl fknt telefonvonalon trtn betrcszs vagy
kzvetlen kbeles sszekttets esetn hasznlatos. Az IPv6 termszetesen
tmogatja a korbban mr emltett automatikus cmkiosztst is, mind dediklt DHCP-kiszolglval, mind anlkl.
A Vista alaprtelmezsknt mind az IPv4, mind az IPv6 protokollt telepti,
valamint mindkett belltsai elrhetk a grafikus felletrl is. Ha esetleg
szkriptekkel automatizlt konfigurcira van szksgnk, termszetesen a
parancssoron keresztl is megvltoztathatjuk a protokollok sszes paramtert erre kivlan alkalmas a kibvtett funkcionaltssal rendelkez netsh
parancs. (Az IPv6-os konfigurcis lehetsgek bvebb ismertetshez adjuk
hasznljuk a netsh interface ipv6 /? parancsot.)
47
Alapismeretek
A Peer-to-Peer Networking platform

A Windows Vista hlzatkezelsben tbb jdonsgot is felfedezhetnk a kiszolgl nlkli, trstrs (peer-to-peer) alapon fellltott munkacsoportok
mkdtetse sorn is. A Vista, a korbbi verzikhoz kpest sokkal nllbban
s grdlkenyebben kpes ezekben a hlzatokban zemelni, mivel tbb
olyan j szolgltats is rendelkezsre ll, melyekkel bizonyos szintig kivlthatk a szerverek. A kiszolgl nlkli hlzatkezels tmogatshoz a Microsoft egy kln platformot hozott ltre, mely Windows Peer-to-Peer Networking nvre hallgat, s melyhez kapcsold protokollok elz verziival mr a
Windows XP-ben is tallkozhattunk. Ez a szolgltatsegyttes megknnyti a
trstrs hlzatba kttt szmtgpek egyttmkdst, s az egyes gyfeleken mkd szolgltatsok ignybevtelt.
Link-Local Multicast Name Resolution

Az LLMNR-protokoll legfontosabb tulajdonsga az, hogy DNS / WINS-kiszolgl nlkl kpes a helyi hlzaton rszt vev gyflszmtgpek host- s
NetBIOS neveit feloldani, lssuk hogyan.
Ha teht a gpnk nem egy nagyobb, kiszolglkkal elltott hlzat tagja,
akkor is szmtalan esetben szksgnk lesz a hlzati nevek s cmek kidertsre. A Windows 2000 ta a DNS-tpus nvfelolds a Windows-gyfelek
alapmdszere, viszont DNS-kiszolgl hjn egy megoldsunk marad, a hosts
fjl. Ez a fjl a %windir%\sysrem32\drivers\etc\mappban tallhat, s a
hostnevek IP-cmhez trstst vgzi ha manulisan feltltjk. A gond ezzel
a megoldssal csak az, hogy a fjl statikus, ezrt csak a sohasem vltoz nev/IP-cm gpeket tartalmaz hlzatoknl alkalmazhat, radsul knyelmetlen minden gpen kln belltani a host-tblt. rdekessgkppen megemlthet, hogy valamikor rges-rgen, mg az internet hskorban, jval a
DNS-znk s szerverek eltt is ezt a megoldst hasznltk a nvfeloldsra,
azaz kzzel korrigltk a bejegyzseket, majd ftp-vel tltttk le az rvnyes
hosts fjlokat. Persze nem sokig lhetett ez a mdszer, a dinamikusan mkd DNS-kiszolglk s -znk tz- s szzezrei sokkal megbzhatbb s pontosabb mdszert jelentenek.
Persze ne feledkezznk el a rgi (Windows 9x, Me, NT) gpekrl sem, hiszen ezeknl a gpek neveinek s IP-cmeinek kidertse mg a NetBIOS-nvfeloldsi mdszerrel trtnt. Annl kevsb szabad errl megfeledkezni, mivel
a modern, DNS-sel trtn nvfelolds hinyban a Vista is a tartalkszolgltatshoz nyl, azaz szintn a NetBIOS-alap nvfeloldssal fog prblkozni.
A NetBIOS-tpus nvfelolds esetn az IPv4-gyfelek a NetBIOS TCP/IP
felett (NetBT) protokollon keresztl, NetBIOS Name Query Request zenetek
kldsvel oldhatjk fel az azonos alhlzaton tallhat szomszdos szmtgpek neveit. A clgp a nvkeressre vlaszknt NetBIOS Name Query Res48
ponse zenetet kld vissza a krdez flnek, s a nv IP-cmm fordtsa vgbemegy. A NetBT azonban csak IPv4 esetn mkdik, a 6-os verzij TCP/IPprotokoll nem tmogatja a NetBIOS nevek hasznlatt, valamint e megolds
komoly htrnya az is, hogy szrt (broadcast) zenetekkel mkdik, azaz
rengeteg felesleges csomaggal terheli a hlzatot. Ez utbbit cskkenti az n
WINS-kiszolgl, illetve kiszolglk hinyban az n. lmhosts fjl, ami a
hosts fjlhoz hasonl elven mkdik, st ugyanabban a mappban is tallhat
minden Windows opercis rendszer esetn.
Szpen lthat teht, hogy a korrekt nvfelolds biztostsa, azaz a gpek
egyms kztti alapszint elrse komoly gond lehet erre szakosodott kiszolglk nlkl, egy kicsi, vagy ideiglenesen sszelltott hlzatban. Ezt a problmakrt orvosoland megszletett a Link-Local Multicast Name Resolution
protokoll, mely nllan, NetBT, s akr DNS-kiszolgl nlkl is kpes a helyi
hlzat gpeinek nvfeloldsra. Az LLMNR zenetek a DNS-hez hasonl
struktrt alkalmaznak, azzal a klnbsggel, hogy a nvfeloldst kr csomagok egysgesen az 5355-s UDP-portra tovbbtdnak, s a vlaszok is szintn
errl a portrl indulnak. Az LLMNR nvfeloldsi gyorsttr, mely minden Vista-rendszer szmtgpen megtallhat, a DNS-gyorsttrtl elklntve kerl rgztsre, gy a klnbz hlzatok kzti vltsnl ez nem okozhat zavart,
valamint az zemben lv DNS-kiszolgl esetleges kiessekor az LLMNR
zkkenmentesen tveszi a DNS szerept s a szmtgpek a tovbbiakban
peer-to-peer alapon prblkoznak a nvfeloldssal.
Peer Name Resolution Protocol

A Peer Name Resolution Protocol (PNRP) elnevezs technolgia eredetileg a
Windows XP-hez kszlt, ksbb a Microsoft ezt tovbbfejlesztve beptette a
Windows Vista-ba, gy az j rendszer mr alaprtelmezsknt tartalmazza
ezt a szolgltatst. A PNRP lehetv teszi a kliensszmtgpek automatikus
nv szerinti egymshoz kapcsolst, mindezt nvkiszolgl hinyban is.
A PNRP sok klnbsget mutat a hagyomnyos DNS-szerver mkdshez
kpest. A PNRP hasznlathoz nem szksges DNS-szerver, nagymrtkben
sklzhat (akr tbb milli nevet is kezel), valamint meglehetsen hibatr
s megbzhat szolgltats. A DNS-tl eltren a PNRP nem hasznl nvgyorsttrat, gy a nvlista mindig azonnal frissl, teht nincsenek vakvgnyra futott krsek, ami fknt a mobilfelhasznlkkal trtn kapcsolattartsban jelent nagy elnyt. A PNRP nemcsak hostnevet, hanem IP-cmet s
portszmot is kzvett, gy segtsgvel nemcsak maguk a szmtgpek, hanem az azokon fut egyes szolgltatsok is kzvetlenl elrhetek. A PNRP
titkostott eljrst alkalmaz a nevek terjesztsre, gy az adatok vdve vannak a hlzati forgalmat lehallgatkkal szemben.
49
Alapismeretek
A PNRP-t hasznl szmtgpek

kzl elszr mindig az egymshoz
legkzelebb es kliensek veszik fel a
kapcsolatot, majd fokozatosan kialakul egy olyan kapcsolatlnc, melyet
az albbi bra is mutat.
A Peer Name Resolution Protocol
egyik tipikus felhasznlsi terlete a
Microsoft online trgyalsokat s
eladsokat lehetv tv Windows
Meeting Space (Windows Trgyal)
szolgltatsa.
A Windows XP alapcsomagja a
PNRP 1.0-s verzijt tartalmazza, de frisstsknt a 2.0 is telepthet r, gy
biztosthat a kt Windows-platform zkkenmentes egyttmkdse.
A PNRP 2.0 frissts Windows XP-hez a kvetkez cmrl tlthet le: http://www.microsoft.com/downloads/details.aspx?FamilyID=55219164-ec71-4a32-a648-4ed2582ebc7cA.
PNM People Near Me

A helyi hlzaton vgzett egyttmunklkods tovbbi elsegtse rdekben a
Microsoft programozi egy j, publikus, teht a kls fejlesztk szmra is
szabadon felhasznlhat API-kra pl alkalmazskapcsolati rendszert ptettek be a rendszerbe. A People Near Me (Asztaltrsasg) szolgltatshoz
egy keretprogram rhet el a Windows Vista opercis rendszerben, melybe a
npszer Windows Live Messenger-hez hasonlan nv s jelsz megadsval
kell bejelentkeznnk. Miutn aktivltuk a szolgltatst, meghvkat kldhetnk, illetve fogadhatunk, melyek elfogadsval klnbz a PNM technolgit hasznost erforrsokat vehetnk ignybe a tvoli szmtgpeken.
A Microsoft maga is ksztett egy ilyen alkalmazst, mely Windows Meeting Space (Windows Trsalg) nvre hallgat s amellyel a Windows Vistn
fut brmely alkalmazst, vagy akr a teljes Asztalt megoszthatjuk akr
csak megtekintsre, akr kzs hasznlatra is partnereinkkel. A People
Near Me tmogatja a biztonsgos kapcsolatfelvtelt is, a tanstvnnyal elltott meghvk biztostjk, hogy a kapcsoldsi krelmet megbzhat forrsbl
kapjuk. A meghvkat e-mailen vagy akr a Meeting Space ltal generlt specilis konfigurcis fjlban is tovbbthatjuk.
50
1.20. bra: A People Near Me szolgltats hasznunkra vlhat csoportmunka esetn
A hlzati trkp
A Windows Vista egyik jdonsgaknt a hlzati trkp egy sematikus brn
grafikusan is brzolja a szmtgp-hlzat elemeit. A trkpen lthat eszkzk ikonjra mutatva tovbbi informcik jelennek meg az adott objektumrl, rkattintva pedig azok alaprtelmezett mveleteit rhetjk el (szmtgp esetn a megosztott erforrsok tallzsa, tvlasztknl pl. a konfigurcis lap megjelentse). Mindez egy teljesen j specilis protokoll, az LLTD
(Link-Layer Topology Discovery) segtsgvel teljeslhet. Az LLTD egy, az
adatkapcsolati rtegen mkd hlzatfeldertsi technolgia, mely a hlzaton sztkldtt krdsekre rkezett vlaszok alapjn kpes feltrkpezni a
hlzat jellegt, az arra csatlakoztatott eszkzket s szmtgpeket. Emellett a QoS (Quality-of-Service) szolgltatsban is segthet, mivel kpes kezelni
a hlzati svszlessggel, illetve az gyflgpek egszsgi llapotval kapcsolatos krseket.
51
Alapismeretek
1.21. bra: A hlzati trkp tbb mint egy sznes-szagos lehetsg
Szerencsre az LLTD-frissts (LLDT Responder) Windows XP-hez is elrhet, gy a korbbi opercis rendszert hasznl szmtgpek is ltszani fognak
a trkpen (klnben csak az egyb eszkzk listban jelennnek meg, a
trkp aljn egy vzszintes sorban). A Universal Plug&Play (UPnP) protokollt
alkalmaz eszkzk pedig mindenfle szksges konfigurls nlkl szintn
lthatak a trkpen.
Az LLTD Responder Windows XP-hez a kvetkez cmrl tlthet le: http://www.microsoft.com/

downloads/details.aspx?FamilyID=4f01a31d-ee46-481e-ba11-37f485fa34ea vagy http://tinyurl.
com/26u6zr.
Az LLTD biztonsgi okokbl alaprtelmezsknt csak munkacsoportos hlzatban rhet el, tartomnyi krnyezetben nem. Ha mgis szksgnk lenne
a trkpre, a csoporthzirenden keresztl engedlyezhetjk annak mkdst
(Computer Configuration/Administrative Templates/Network/ Link-Layer
Topology Discovery). Kt lehetsgnk is lesz, egyrszt megengedhetjk, hogy
a gpek lssk a tbbi eszkzt, azaz kpesek legyenek hlzati trkpet generlni (Turn on Mapper I/O (LLTDIO) driver), msrszt azt is megengedhetjk/tilthatjuk, hogy az adott gpet lssk-e ms gpekrl, azaz szerepeljnk-e
ms gpeken ksztett hlzati trkpeken (Turn on Responder (RSPNDR)
driver). Radsul mindkt esetben finomthatjuk is a belltst, mivel hlzati profil alapjn is szelektlhatjuk az LLTD hatkrt.
52
1.22. bra: Tartomnyban is hasznlhatjuk az LLTD-t, de eltte engedlyezzk

a csoporthzirendben
53
MSODIK FEJEZET
A fejezet tartalma:
ltalnos felgyeleti ttekints ................................................................................ 55
Halad felgyeleti eszkzk ...................................................................................... 61
A helyi hzirend.......................................................................................................... 87

A rendszergazda feladata, hogy a teljes informatikai infrastruktrt folyamatosan ellenrzse alatt tartsa, az hatatlanul elfordul hibkat s problmkat minl hamarabb elhrtsa, hogy a munka zavartalanul folyhasson. Egyes
statisztikk szerint a rendszergazdk havonta tlagosan 36 rt tltenek el
csak a hibakeresssel, illetve a rendszer llapotnak ellenrzsvel. A Windows Vista szmos rszben, vagy akr teljes mrtkben automatizlt, halad
tuds diagnosztikai s felgyeleti eszkzzel rendelkezik, melyekkel jcskn
cskkenthetjk az zemeltetsre sznt idt, ennek megfelelen tbbet foglalkozhatunk a produktv munkval.
Performance Information and Tools

A Control Panel (Vezrlpult) ikonjai kztt tallhatjuk meg a Performance
Information and Tools (Teljestmnyadatok s -eszkzk) nev programot,
amelynek felletn ttekintst kaphatunk az adott szmtgp legfontosabb
teljestmnyadatairl (ezek alapjn hatrozza meg a teleptprogram a korbban mr emltett Windows lmnyindexet), a bal oldalon tallhat hivatkozsok segtsgvel pedig szmos olyan eszkzt indthatunk el, amelyek segtsget nyjtanak a gp teljestmnyvel kapcsolatos klnfle paramterek
belltsban.
2.1. bra: A Performance Information and Tools fellete
2.2. bra: Automatikusan indul programok a Windows Defenderben
56
Manage startup programs (A rendszerindtskor indul programok

kezelse) a hivatkozs segtsgvel a Windows Defender Software
Explorer (Szoftvertallz) lapjt nyithatjuk meg, ahol ttekintst kaphatunk a rendszerben automatikusan elindul, az ppen fut s a hlzathoz csatlakoz folyamatokrl (program neve, szlltja, indts tpusa, digitlis alrs stb.).
Adjust visual effects (Megjelentsi hatsok belltsa) a hivatkozs

segtsgvel a rendszer teljestmnyt ersen befolysol vizulis hatsok (ttnsek, tltszsg, simts stb.) belltlapjt nyithatjuk meg.
Adjust indexing options (Indexelsi belltsok mdostsa) itt llthatjuk be a Vista keres szolgltatshoz tartoz indexels klnfle
paramtereit, pldul kivlaszthatjuk az indexelsbe bevont mappkat
stb. Ezzel kapcsolatban meg kell emltennk, hogy a Vista keressi alrendszere teljesen talakult, azaz miutn a Windows Desktop Search
egy fejlett vltozata beplt az opercis rendszerbe alapos keressi filozfiavlts trtnt: nemcsak minden fjl indexelhet s kereshet, de
minden lista is, pl. Start men, az Explorer nzetek s a Vezrlpult is.
2.3. bra: Az Advanced Tools szakaszbl szmos hasznos eszkzt indthatunk el
57
Adjust power settings (Energiaelltsi belltsok mdostsa) a

szmtgp energiatakarkossgi funkciival kapcsolatos belltsokat
rhetjk el a hivatkozs segtsgvel.
Open Disk Cleanup (A lemezkarbantart megnyitsa) a flslegesen

foglalt lemezterlet (Lomtr tartalma, ideiglenes fjlok stb.) automatikus keresst s felszabadtst elvgz varzslt indthatjuk el a hivatkozs segtsgvel.
Advanced tools (Specilis eszkzk) a lap hivatkozsainak segtsgvel egy helyrl indthatunk el szmos hasznos eszkzt, amelyek tovbbi segtsget adhatnak a szmtgp teljestmnyvel kapcsolatos
finomhangolshoz.
Diagnosztikai segdprogramok
A System Information eszkz (Rendszerinformci, msinfo32.exe) a szmtgp hardverkonfigurcijrl, a szmtgp egysgeirl s szoftvereirl, pldul az illesztprogramokrl jelent meg informcikat. Az eszkz a megjelentett adatokat a Windows Management Instrumentation- (WMI-) technolgia segtsgvel gyjti ssze. Az eszkz bal oldali tbljban a kategrik (s
azokon bell az egyes eszkzk) felsorolsa, jobb oldali tblban pedig a kivlasztott eszkz adatainak rszletezse jelenik meg.
2.4. bra: A System Information felletn csak a konfigurcis adatok megjelentsre van
lehetsg, a belltsokat itt nem mdosthatjuk
58
A System Information eszkz ltal megjelentett adathalmaz bvthet, vagyis a szmtgpre teleptett programoktl fggen az itt szereplkn kvl tovbbi kategrikat is tallhatunk a listban. Alaprtelmezs szerint a kvetkez kategrik jelennek meg:
System Summary (sszefoglal a rendszerrl) ebben a szakaszban a

szmtgpre s az opercis rendszerre vonatkoz ltalnos informcikat tallhatunk, pldul a szmtgp nevt s gyrtjt, a memria
mennyisgt, a BIOS tpust stb.
Hardware Resources (Hardvererforrsok) ebben a szakaszban a

megosztott rendszererforrsokra vonatkoz adatokat tallhatunk, itt
jelennek meg pldul az egyes eszkzkhz tartoz I/O-portok s megszaktsok, DMA-csatornk stb.
Components (sszetevk) ebben a szakaszban a szmtgp klnfle komponenseire (pldul lemezmeghajtk, hangeszkzk, modemek
stb.) vonatkoz adatok jelennek meg.
Sofware Environment (Szoftverkrnyezet) ebben a szakaszban az

illesztprogramokrl, hlzati kapcsolatokrl s egyb programokhoz
kapcsold rszletekrl kaphatunk informcit.
Applications (Alkalmazsok) opcionlisan itt jelennek meg az egyes

alkalmazsokhoz tartoz tovbbi adatok, pldul az Office-programra
vonatkozan igen rszletes adatokat tallhatunk ebben a szakaszban.
Amennyiben egy konkrt adatot szeretnnk megkeresni, hasznlhatjuk az ablak als rszn tallhat Find what (Keresend szveg) mezt.
A System Configuration alkalmazs (Rendszerkonfigurci, msconfig.exe)
olyan specilis eszkz, amely a Windows-rendszer indtst megakadlyoz
problmk azonostst segti. Az eszkz segtsgvel bellthatjuk, hogy a
rendszer indtsa bizonyos szolgltatsok s automatikusan indul programok nlkl trtnjen.
A kvetkezkben rviden ttekintjk a System Configuration alkalmazs
egyes lapjait s a lehetsges belltsokat.
General (ltalnos) ezen a lapon a szmtgp indtsi mdjt (a kvetkez rendszerindtsra vonatkozan) vlaszthatjuk ki. A szoksos
indts mellett lehetsg van a hibakeressi zemmdban s a rendszergazda ltal kivlasztott szolgltatsokkal s illesztprogramokkal
trtn indtsra is.
59
2.5. bra: A System Configuration felletn a rendszer indtsnak klnfle

paramtereit llthatjuk be
60
Boot (Rendszerindts) itt az opercis rendszer indtsra s klnfle

specilis hibakeressi belltsokra vonatkoz lehetsgeket tallunk. A
kivlaszthat opcik nagyjbl megegyeznek az F8 billenty lenyomsval
(rendszerindts kzben) elrhet Advanced Boot Options (Specilis rendszerindtsi belltsok) men lehetsgeivel. (Az egyes menpontok hasznlatval a hatodik fejezetben rszletesen is foglakozni fogunk.)
Services (Szolgltatsok) a listban a rendszerindts sorn betlttt valamennyi szolgltatst megtallhatjuk, azok jelenlegi llapotval egytt [Running (Fut) vagy Stopped (Lelltva)]. Lehetsgnk van
az egyes szolgltatsok engedlyezsre, illetve tiltsra is (a kvetkez rendszerindtsra vonatkozan).
Startup (Indts) a listban a rendszerindts rszeknt automatikusan elindul alkalmazsokat tallhatjuk meg. Ha egy alkalmazst a
kvetkez indtskor nem szeretnnk elindtani, egyszeren trlhetjk a mellette lv jellngyzetet.
Tools (Eszkzk) ttekint listt jelent meg a futtathat diagnosztikai, s egyb specilis eszkzkrl (Computer Management (Szmtgp-kezels), TaskManager (Feladatkezel), EventViewer (Esemnynapl), regedit stb.).

Felgyeleti alapeszkzk s segdprogramok
Ebben a screencastban megismerkedhetnk tbbek kztt a Task Manager s a a Resource Monitor jdonsgaival, valamint ttekintjk a Performance Information and Tools programcsoport
elemeit.
Fjlnv: I-2-1Felugyeleti-alapeszkozok.avi

Az Esemnynapl (Event Viewer)
Az esemnynapl a Windows-rendszerek s rendszergazdik legfbb s egyben legnpszerbb hibakeres eszkze. A Felgyeleti eszkzk (Administrative
Tools) kzl elrhet esemnynapl egyetlen kzponti helyre gyjti ssze az
opercis rendszer komponensei (s sok esetben a kls alkalmazsok) mkdse kzben bekvetkezett fontosabb esemnyek listjt. A Vista megjult
esemnynaplja teljesen j felhasznli felletet kapott, ezrt nemcsak a mkdsben, s a kezelsben, hanem a megjelensben, s az ttekintsi lehetsgekben is tbb logikus s praktikus jdonsgot tapasztalhatunk.
Az esemnynapl mint lnyegben minden felgyeleti eszkz a Windows-ban egy MMC 3.0-bvtmnyknt tltdik be. A nyitkperny hrom
f terletbl tevdik ssze. A bal oldalon lthatjuk az elre definilt naplnzeteket, majd a klnbz naplfjlokat tbb csoportban, illetve legalul a specilis naplfeliratkozsok troljt. A kzps szekciban az indts utni
gyors ttekints rdekben a kzelmltban bekvetkezett legfontosabb esemnyek listja tallhat, valamint a legutoljra megtekintett naplk s egy
sszests a naplk llapotrl. A jobb oldalon amint az az j MMC-ben ltalnoss vlt egy feladat-, illetve utastslistt rnk el, mely a kzps
keret kivlasztott elemeihez igazodva dinamikusan vltozik. Vegyk szre
azt, hogy ha egy bejegyzsen llunk ppen a kurzorral, akkor a feladatlista
lthatan kt kln rszbl ll: a fels rszben az adott naplfjllal, az als
rszben pedig a konkrt bejegyzssel kapcsolatos mveleteket rhetjk el.
A korbbi esemnynaplkban rettenetes mennyisg informcit halmozott fel az opercis rendszer, alapesetben gyfloldalon mindsszesen
csak hrom kategriban. Ez ahhoz vezetett, hogy rendkvl nehz volt megtallni a szksges informcit, hiszen keress nlkl csak az mlesztett formban lthattuk a bejegyzseket. A Vistban az egyik legfontosabb vltozs
a naplfjlok terletn a strukturltsg kialaktsa, azaz, hogy minl kevesebb erfesztssel, minl hamarabb megleljk a megfelel bejegyzst, komponensekknt s szolgltatsonknt csoportostva.
61
2.6. bra: Az Esemnynapl az elindts utn mris informatv
A naplfjlok kt f csoportban tallhatak, a szoksos Windows-naplk

(Windows Logs) az Alkalmazsnapln (Application Log), a Biztonsgi napln
(Security Log) s Rendszernapln (System Log) kvl kiegszltek egy teleptsi naplval, illetve a kls gpekrl rkez naplk troljval (Forwarded
Events). A nagy vltozs viszont nem itt van, hanem kiss lentebb tekintve:
bekerlt egy j rsz is a fa-knyvtrszerkezetbe Applications and Service
Logs (Alkalmazs s szolgltatsnaplk) nven. Itt lnyegben az sszes Windows-szolgltatst s rendszersszetevt megtallhatjuk (a Microsoft mappban pl. kzel tvenet), de bvthetsge folytn akr kls alkalmazsok is
bepthetik ide sajt esemnynapl-troljukat.
Esemnynapl ttekints s a naplfjlok
Ez a kt mini elads segtsget nyjt az Esemnynapl teljesen j felptsnek elsajttsban.
Fjlnv: I-2-2aEsemenynaplo-attekintes.avi, I-2-2bEsemenynaplo-naplofajlok.avi
A strukturlt elrendezsen kvl, tbb j elemet s szolgltatst is lthatunk

ebben a faszerkezetben. Vegyk sorra ezeket!
62
2.7. bra: Az egyni nzeteknl brmely naplkategribl vlaszthatunk forrst
Custom Views (Egyni nzet) Az j esemnynaplban lehetsgnk

van sajt, testreszabott naplnzeteket ltrehozni s elmenteni, amelyek
tartalma termszetesen frissl is majd automatikusan, egy-egy j bejegyzs apropjn. Ha csak egy-egy adott sorszmmal rendelkez esemnyre, vagy csak egy esemnytpusra vagyunk kvncsiak, itt egy
rendkvl rszletes szrvel (amelyet egybknt mg szmos tovbbi helyen is hasznlhatunk majd) meghatrozhatjuk a vizsglt halmazt.
Megadhatunk akr tbbszrs feltteleket is, valamint szintn jdonsgkppen tbbfle napltpusbl is vlogathatunk egyszerre esemnyeket (Cross-log queries). Az ltalunk lementett egyni nzetek ments
utn bekerlnek ebbe a mappba, s termszetesen utlag is szerkeszthetek, msolhatak, vagy akr exportlhatak is egy msik gpre.
63
Esemnynapl egyni nzetek
Ez a screencast az esemnyek testreszabott szrst megvalst megoldsrl szl, rintve az
n. Cross-Log Queries megoldst, azaz a keresztbehivatkozst a szrfeltteleknl.
Fjlnv: I-2-2cCustom-Views.avi
2.8. bra: A naplklds jogosultsgi belltsai s optimalizlsa
64
Forwarded Events (Tovbbtott esemnyek) A Vista esemnynaplja nemcsak a helyi gprl, de a hlzat segtsgvel elrhet tovbbi
szmtgpek napljbl is kpes informcikat lekrdezni. Ehhez a
Subscriptions (Csatlakozs ms szmtgphez) bejegyzs alatt fel kell
iratkoznunk a tvoli gp esemnynapljnak figyelsre. A clirnyos
informcigyjts rdekben termszetesen itt is megadhatunk szrsi
feltteleket, pldul napltpust, esemnytpust, idpontot, az esemny
forrsul szolgl rendszerkomponenst, esemnyazonostt, rtkhatrokat s klnbz kulcsszavakat. A tvoli gpek naplbejegyzsei
alaprtelmezsknt a Forwarded Events gyjtmappba kerlnek,
gpnv szerint rendszerezve, m a clmappt a feliratkozskor szabadon megadhatjuk. A gpek kzti kommunikci folyhat standard
HTTP, de akr titkostott HTTPS-protokollon is, de megadhatunk
egyni TCP-portot is. A svszlessggel trtn takarkoskods rdekben lehetsgnk van optimalizlni az adattovbbtst, vagy akr
prioritst is adni a kapcsolatnak.

Esemnynapl esemnyek kldse s sszegyjtse
Ebben az eladsban tbb klnbz gp fogja bekldeni a Vistt futtat gyjt szmtgpre
az elzetesen kivlasztott Esemnynapl rszleteket.
Fjlnv: I-2-2dEvent-Forwarding.avi
Az Event Subscription technikai felttele, hogy minden naplkld gpen elrhet s bellthat legyen a WinRM-szolgltats (a WS-Management rszeknt), illetve a fogad gpen szksg lesz a WS-Eventing protokollra is.
WS-management A Microsoft s szmos ms IT-nagyvllalat (pl.

IBM, Sun, Intel, AMD, Dell stb.) ltal kzsen kifejlesztett, SOAPszabvnyra pl rendszerfelgyeleti technolgia, mely lehetv teszi a
felgyelt eszkzk (legyenek azok szoftverek, vagy hardverek) egysges
protokollon keresztl egyarnt elrhetk s kezelhetk legyenek. A Microsoft sajt rendszereiben a .Net Web Service gondoskodik a WS-Management elltsrl.
WS-Eventing Szintn webszolgltats-alap protokoll, mely az esemnyek szlltsrt felel. A Windows Vista szintn alaprtelmezsknt tartalmazza, a Communication Foundation gy a Microsoft
.NET-keretrendszer rszeknt azonban Windows XP-hez is elrhet.
Mivel az adatgyjts az imnt emltett

webprotokollokon keresztl zajlik, az
egsz mvelet teljesen tzfalbartnak
nevezhet, azaz egyszer webszolgltatsknt kezelhetjk, valamint zkkenmentesen egyttmkdik a mr meglv webes szolgltatsokkal, pldul az
IIS-sel. Br a WinRM nem fgg az IIStl, ha mindkt szolgltats aktv, kzs
portokon (80, 443) kommuniklnak a hlzaton. A WinRM lefoglalja a /wsman
URL-eltagot, gy az IIS-t zemeltet
rendszergazdknak figyelnik kell r, hogy a szmtgprl publiklt egyb
webes erforrsok (weblapok) ne hasznljk ezt az eltagot.
65
A WinRM konfigurlshoz hasznljuk winrm quickconfig parancsot, amely elindtja s automatikus indtsra teszi a WinRM-szolgltatst, ltrehozza a tzfal kivtelszablyt, valamint egy
listenert, amelyen figyeli a berkez krsket. A Vistn mindezt a rendszergazdai parancssorbl (jobb gomb a parancssor ikonon s Run as administrator) indthatjuk el. A WinRM-rl
tovbbi rszleteket tallunk e fejezet utols eltti szakaszban.
Analytic and Debug Logs (Elemzsi s hibakeressi napl) A halad hibakeresst szolgl, rszletes nyomkvetsre hasznlhat naplk
alaprtelmezsknt nem ltszanak az Esemnynaplban, azaz igny
szerint neknk kell engedlyeznnk. Ezt megtehetjk a View (Nzet)
men Show Analytic and Debug logs (elemzsi s hibakeressi naplk
megjelentse) parancsval. Ha bekapcsoljuk ezt a nzetet, szmos j
napltpus tnik fel a Microsoft fknyvtron bell, melyek pldul
programfejlesztskor s Windows-szolgltatsok hibakeressnl nyjthatnak segtsget. Tudnunk kell azt is, hogy ezzel a paranccsal mg
nem indul el ezen specilis naplk feltltse, ehhez egyesvel kell az
eddig rejtett naplfjlokon engedlyezni a mkdsket. Lthat teht,
hogy a hasznlatuk csak tbb lpcsben rhet el, s ez nem vletlen:
ez a fajta intenzvebb naplzs jelents mennyisg erforrst is elvonhat a rendszer tbbi rsztl.
Az esemnynapl legnagyobb szerkezeti jtsa, hogy immr a nylt szabvnyokra tmaszkod XML-formtumra tmaszkodik a bejegyzsek megjelentsnl s exportlsnl is. A strukturlt XML-fjlok akr sajt fejleszts
alkalmazsbl is lekrdezhetek, gy szorosabb egyttmkds s kompatibilits rhet el.
Bizonyos esetekben szksges lehet a naplfjlok archivlsa is, erre az esemnynapl tbb lehetsget is knl. Egyrszt lehetsges a naplk automatikus
mentse, gy a korbbi bejegyzsek nem rdnak fell, valamint akr exportlhatjuk is az aktulis naplt klnbz formtumokba. Az exportlt llomny
minden adatot tartalmaz az esemnnyel kapcsolatban, a fbb paramtereken tl
a bejegyzs szveges lersval egyetemben minden bekerl a fjlba. A naplk
mentshez az az j, XML-alap .evtx formtum fjlokon kvl tovbbra is
hasznlhatjuk a szveges .txt s pontosvesszvel tagolt .csv llomnyokat is. Az
esemnynaplk archivlsi s mentsi belltsait az egyes naplk jobbkattintssal elrhet helyi menjben tallhatjuk. J tudni, hogy egy rgi, elz opercis
rendszerekbl szrmaz, mentett esemnynapl fjlt (.evt) is megnyithatunk a
Vistban, majd akr el is menthetjk, illetve konvertlhatjuk.
66
2.9. bra: Egy naplbejegyzs XML-nzetben
Tovbbi jdonsg, hogy ha ppen

megnyitottunk egy naplt, j bejegyzs ltrejttekor a grafikus felleten, a fejlcben rtestst kapunk a lista bvlsrl. Ha ekkor frisstjk a nzetet, mris
lthatv vlnak az j esemnyek. Ha pedig nem tallunk egy bejegyzst a
hossz listban, a Vista esemnynaplja vgre a keresst is tmogatja, melyet a jobboldali feladatsvbl indthatunk.
Az esemnynaplt nemcsak a grafikus felletrl, hanem parancssori eszkzzel is kezelhetjk. A wevtutil.exe parancs szmtalan paramterrel rendelkezik, melyekkel tbb felttel szerint krdezhetjk le az esemnynaplk bejegyzseit, akr egyszer szveges, akr XML-formtumban. A wevtutil.exe-t
akr kls alkalmazsbl is meghvhatjuk, gy lehetsg addik automatizlt
adatgyjtsre, vagy temezett feladatknt, felgyelet nlkl is futtathatjuk
azt. A felgyelet nlkli esemnykvetshez egybknt nagy segtsget nyjt
az esemnynapl s a feladattemez szoros integrcija is, melyet a kvetkez szakaszban ismertetnk.
67
2.10. bra: Ha szksges, parancssorbl is elrhetjk az esemnyeket
A Feladattemez
Az esemnynaplhoz hasonlan a Felgyeleti eszkzk (Administrative Tools)
kztt tallhatjuk a rendszergazdk msodik legfontosabb szerszmt, a Feladattemezt (Task Scheduler). Br mr a korbbi Windowsok is lehetv
tettk idztett feladatok futtatst, a Vista feladattemezje mellett akr el
is bjhatnnak, az j opercis rendszerben ugyanis egy rendkvl kifinomult
eszkzt kapunk kzhez. Tbb j idztsi opci, komplex felttelrendszerek
llnak rendelkezsnkre, valamint szkriptekkel teljes egszben automatizlhat a modul.
A feladattemez megjelense nagyban hasonlt az esemnynaplra, jobb
oldalt a feladatkategrikat lthatjuk fastruktrban melyek szintn kln-kln tartalmazzk a Windows beptett rendszerfeladatait kzpen az
gynevezett Task dashboardon (Lerssv) a soron kvetkez s a legutbb lefutott folyamatok sorakoznak, mg jobbra a mr szoksos feladatsv hzdik.
A bal oldali knyvtrszerkezetben az n. Task Library (Feladattemez
knyvtr) ponton bell a Microsoft\Windows mappkban gyrilag elre definilt folyamatokat tallhatunk, melyek az opercis rendszer klnbz nkarbantart s automatikus diagnosztikai eszkzeit mkdtetik (pldul
temezett tredezettsgmentests vagy rendszer-visszalltsi pontok ksztse). Ezek a bejegyzsek alaprtelmezsknt nem ltszanak, a View (Nzet)
men Show Hidden Tasks (Rejtett feladatok megjelentse) parancsval jelenthetjk meg ket. Lehetsg szerint ne lltsuk el, vagy tiltsuk le ezeket a
feladatokat, de vizsgljuk meg btran a szerkezetket, hiszen egyfajta pldatrknt is szolglhatnak.
68
2.11. bra: A Feladattemez nyitkpernyje
A testreszabott, ltalunk ksztett idztett feladatok ltrehozsa sorn szmtalan j lehetsg s paramter ll rendelkezsnkre. A megjult varzslnak kt vltozata is van, egy egyszerbb Create Basic Task (Alapfeladat ltrehozsa) nev, mely nhny alapvet paramter megadsval felgyorstja s
megknnyti az temezs elksztst, valamint az egyszeren csak Create
New Task (Feladat ltrehozsa) nvre keresztelt, ahol egszen elkpeszt
rszletessggel adhatunk meg minden szksges opcit, illetve felttelt.
Az j feladattemezben az esemnynapl bejegyzseihez is trsthatunk
gyorsan s egyszeren feladatot, amely gyakorlatilag egy Basic-tpus feladat
lesz. Ha pldul rteslni szeretnnk egy bizonyos esemny bekvetkeztrl,
nem szksges folyamatosan a naplkat bjnunk, egyszeren bellthatunk
egy zenet-megjelentst (vagy e-mail kldst) az esemnynapl mkdshez ktve. Ezt az egyszersg jegyben akr az esemnynaplban is megtehetjk, ehhez csupn a kijellt naplbejegyzsre kell kattintanunk a jobb
gombbal, majd kivlasztanunk az Attach Task To This Event (Feladat csatolsa az esemnyhez) parancsot. Ilyenkor eleve rgzl az adott esemny azonostja, kategrija s forrsa, gy aztn ms dolgunk nem is lesz a varzslban csak eldnteni, hogy valamely program indtst krjk, vagy egy zenetablak megjelentst a kpernyn, vagy a megfelel SMTP-konfigurci
birtokban az emltett e-mail klds is knnyedn kivitelezhet.
69
2.12. bra: Egy, az Esemnynapl bejegyzsn alapul Basic Task zent neknk
Az esemnynaplbl definilt idztsek a feladattemez Event Viewer

Tasks (Feladattemez knyvtr) mappjba kerlnek.
Ha a szimpla nev (de mgis sokkal sszetettebb) Create New Task (Feladat
ltrehozsa) varzslt indtjuk el, akkor rgtn, mr a General (ltalnos) fln
szembetnhet nhny fontos jdonsg, pl. a User Account Control (Felhasznli fikok felgyelete) kikerlst ebben az esetben indokoltan lehetv tev jogosultsgi szint meghatrozs [Run with highest privileges (Futtats legmagasabb szint jogokkal)] vagy pl. az adott feladat teljes elrejtse, amelyet immr
bonyolult, kzvetlen API-programozs helyett egy jellngyzettel tehetnk
meg. Lthat az is, hogy az egyes feladatok, mivel Vista-specifikus tulajdonsgokat is hordozhatnak, csak sajt krnyezetben szerkeszthetk, de ha kompatibilitsi mdban troljuk le azokat, menedzselhetv vlnak Windows 2000/XP,
illetve Windows Server 2003 rendszerekrl is.
Az esemnyeken kvl tovbbi indtsi felttelekkel gazdagodott a feladattemez, amelyeket a Triggers (Indts) fln vehetnk hasznlatba.
Ilyen jdonsg pldul a munkalloms zrolsa/feloldsa, vagy a felhasznli munkamenethez trtn csatlakozs legyen az helyi bejelentkezs vagy
Tvoli asztal (Remote Desktop) hasznlatval ltrejv kapcsolat.
70
2.13. bra: Tbb j triggert is hasznlhatunk
A feltteleknl (Conditions) bellthatjuk a feladatok indtsra vonatkoz a

gp resjrattal kapcsolatos paramtereit. Ezen kvl a mr meglv energiagazdlkodsi szempontok kz bekerlt a hlzati konfigurci vizsglata
is, gy meghatrozhatjuk, hogy egy adott feladat csak bizonyos hlzatra trtn csatlakozs esetn fusson le.
A feltteleknl (Conditions) a mr meglv energiagazdlkodsi szempontok kz bekerlt a
hlzati konfigurci vizsglata is, gy meghatrozhatjuk, hogy egy adott feladat csak bizonyos
hlzatra trtn csatlakozs esetn fusson le. Tovbbi vltozs, hogy az resjrati id fogalmt a Vista kicsit mskpp rtelmezi, mint a korbbi rendszerek. Mg a rgebbi Windowsokban az resjrat azt jelentette, hogy a felhasznl egy megadott ideig nem kommuniklt a
rendszerrel nem hasznlta a billentyzetet, sem az egeret addig a Vistban egsz ms a
helyzet. A feladattemez akkor nyilvntja resjratnak a rendszer mkdst, ha a kpernykml fut, vagy az elmlt 15 perc 80%-ban nem volt lemez-, illetve processzorhasznlat.
Ezt az llapotot a Windows minden 15. percben ellenrzi, teht, ha egy 30 perces resjratot
felttelez temezs 10 percnyi resjrat utn aktivldik, a feladat 5 percen bell elindul,
hacsak az elmlt 25 percben nem volt aktv a rendszer.
71
2.14. bra: A hlzati opcik teljesen jak
A feladatoknak megadhatunk hatridket is, melyek utn elvlnek s gy

mr nem futhatnak le, valamint klnbz ismtlsi s kivteles lelltsi lehetsg is rendelkezsnkre ll a Setting (Belltsok) fln.
A Feladattemez
Ebben a screencastban megnzzk a teljesen megjult Feladattemez egyszer s sszetett
idztett feladatvgrehajtsi kpessgeit, valamint teszteljk a Feladattemez s az Esemnynapl kzs lehetsgeit.
Fjlnv: I-2-2eFeladatutemezo.avi
A megbzhatsg s a teljestmny figyelse:

Reliability and Performance Monitor
A Reliability Monitor (Megbzhatsg- s teljestmnyfigyel) a rendszergazdk
egyik legnpszerbb eszkze lehet, hiszen hasznlatval nem szksges az
esemnynaplt vgigbngsznik, vagy klnbz naplfjlokban kutatniuk
egyetlen lapon lthatjk a rendszer EKG-jt. A szolgltats kvet minden a
rendszerrel kapcsolatos esemnyt, a programteleptsektl kezdve az alkalmazshibkon t, a rendszerlellsig, majd egy sszestett grafikonon br-
72
zolja a mlt trtnseit t klnbz sorban, a hiba vagy jelensg besorolstl fggen. A grafikon 24 rnknt frissl s egy-egy ellenrzpontnl rvid sszefoglalst olvashatunk az aznapi bejegyzsekrl. A rendszerstabilitst
egy 10-es skla szerint osztlyozza a szolgltats, melynek minden napi aktulis rtke megtekinthet visszamenleg is.
2.15. bra: Akr hnapokra visszamenleg is kiderlhetnek a turpissgok
Az sszetett eszkz msik modulja, a korbbl mr valsznleg ismers, de

most j elemekkel s klcsnnel megjelen, a teljestmnymrst szolgl Performance Monitor (Teljestmnyfigyel). Az eszkz nyitlapjn egy ttekint
brt lthatunk, a ngy legfontosabb erforrs a processzor, a merevlemez,
a hlzat s a memria pillanatnyi kihasznltsgrl. Ha a rszletekre vagyunk kvncsiak, egyszeren kattintsunk a megfelel grafikonra s albb
egy tblzatban lthatjuk az alkalmazsok s szolgltatsok erforrs-hasznlatt, mindezt vals idben.
A Performance Monitor (Teljestmnyfigyel) akr felgyelet nlkli adatgyjtsre is alkalmazhat, ha azokat a ksbbiekben szeretnnk analizlni. A bal oldali svban elhelyezked Data Collector Sets (Adatgyjt-csoportostk) mappban nhny gyrilag belltott adatgyjt belltst tallhatunk, de akr
sajt magunk is szabadon sszellthatunk egyni adatgyjtst a szmtalan
processzorra, a memrira, a diszkekre vonatkoz paramter alapjn.
73
2.16. bra: Alaposabb s pontosabb ttekintst kapunk a Vista Resource Monitorbl
A Performance Monitorban ltrehozott kollektorok a feladattemez szolgltatssal egyttmkdve futnak majd s gy kollektorokhoz riasztsokat is
trsthatunk, pldul, ha egy megfigyelt teljestmnyszmll egy megadott
hatrrtk fl (vagy al) kerl, elre meghatrozott mveletet hajthatunk
vgre. A kollektorok egymsba is gyazhatk, gy az imnt emltett mvelet
akr egy msik mrs indtsa is lehet. A mrsi eredmnyeket vals idben klnbz paramterek szerint elhelyezett s elnevezett fjlba menthetjk, megadhatjuk a mintavtelezsek gyakorisgt, valamint az sszegyjttt
adatok maximlis szmt is. Az elkszlt fjlokon kvl termszetesen a Performance Monitorban kzvetlenl is kvethetjk a mrsi eredmnyeket, a
generlt jelentsek pedig a Reports (Jelentsek) nev mappba kerlnek.
Reliability s Performance Monitor
Ez a kt screencast a Reliability s Performance Monitor ttekintsrl, valamint ennek az szszetett MMC-nek az els, teljesen j komponensrl szl.
Fjlnv: I-2-2fRPM01.avi, I-2-2fRPM02.avi
74
Rendszerszint diagnosztikai eszkzk

Az esemnynapl ugyan remek eszkz, mgsem kpes minden szinten a rendszerrel kapcsolatos hiba feldertsre, klnsen nem pl. a hardvereszkzket
illeten. A Windows Vista tbb olyan diagnosztikai szolgltatst is nyjt, melyek hasznlata mr rgta a rendszergazdk vgyai kz tartoztak, s amelyeket eddig tbbnyire csak kls eszkzkkel tudtak helyettesteni.
Diagnostic Policy Service

A Windows Vistban egy kln keretrendszer, az gynevezett Windows Diagnostic Infrastructure (WDI) gondoskodik a klnfle rendszerkarbantart s
hibaelhrt komponensek egyttmkdsrl. Ezek az eszkzk kz tartozik
a memria- s lemezellenrz, a hlzati diagnosztika s az alkalmazsok stabilitst s kompatibilitst felgyel szolgltats, valamint a rendszerindts
sebessgt automatikusan finomhangol szolgltats is. A WDI-keretrendszer
rszeknt mkdik a Diagnostic Policy Service (a m. diagnosztikai hzirendszolgltats) (DPS), mely az egyes diagnosztikai modulok mkdst koordinlja a hibafeldertsi s elhrtsi folyamatok sorn. A DPS szoksos Windowsszolgltatsknt megtallhat a Services (Szolgltatsok) felgyeleti konzolban. A DPS lehetsgeinek tovbbi testreszabsa a Helyi vagy a csoporthzirenden keresztl trtnhet (Computer Configuration/ Administrative Templates/System /Troubleshooting and Diagnostics), kismilli paramterrel.
2.17. bra: A DPS hzirend opcii
75
Memria- s lemezellenrzs
A fjlrendszer ellenrzshez hasznlatos CheckDisk (chkdsk.exe) mr rgta
rsze a rendszernek, a Vista ebbl a segdeszkzbl is egy j verzit kapott,
mely valamelyest rszletesebb informcikkal ltja el az adminisztrtorokat.
A chkdsk futtathat offline s online mdban is, mg elbbi esetben egy msik
szmtgp rendszerlemezt vizsgljuk, utbbiban a rendszer sajt maga
alatt prbl rendet tenni az esetlegesen megsrlt fjlrendszerben. Ha a
chkdsk-t csak vizsglati mdban, paramter nlkl futtatjuk, nem szksges
jraindtani a rendszert, ekkor azonban nem kpes javtsokat vgezni a lemezen. Ha a segdprogramot a /F (fix) kapcsolval indtjuk a Windows kvetkez jraindtsa kzben zajlik le a vizsglat s a feltrt hibk, (indexadatbzis- s tartalomjegyzk-srlsek) javtsa.
Rendszerindtsi hibk
Arra az esetre, ha a Windows valamilyen oknl fogva nem indulna, a telept lemez tartalmaz egy Startup Repair Tool (Indtsi javtsi eszkzk) nev bvtmnyt, mely kpes a leggyakoribb konfigurcis hibk, illetve srlt rendszerbetlt fjlok javtsra. Az eszkzt a Windows telept menjbl rhetjk el.
2.18. bra: A Startup Repair eszkz
76
Szintn ugyanerrl a helyrl indthatjuk a Windows Memory Diagnostics

Tool-t, mely az operatv tr, vagyis a memriamodulok psgt hivatott tesztelni. A korbban ismertetett memriadiagnosztika a felgyeleti eszkzkben
is megtallhat, a teszt futtatshoz azonban mindenkppen jra kell indtani a szmtgpet.
2.19. bra: A memriavizsglatot csak jraindts utn rhetjk el
Cskkentett md
A korbbi rendszerekhez hasonlan a Windows Vista is indthat gynevezett
Safe Mode-ban, azaz cskkentett mdban, ahol csak a futshoz legszksgesebb rendszersszetevk s eszkzmeghajtk tltdnek be. Cskkentett mdban elvgezhetjk az esetleges hibs illesztprogramok eltvoltst, vagy a
rendszer helyrelltst a System Restore alkalmazssal. Ha hlzati funkcikra is szksgnk van, rendelkezsre ll a hlzatos cskkentett md [Safe
Mode with networking (Cskkentett md hlzattal)], illetve vgs esetben
ha pldul a Windows Explorer srlt meg a parancssoros zemmd (Safe
Mode with Command Prompt (Cskkentett md parancssorral), ekkor nem jelenik meg az ablakkezel, csupn egy parancsrtelmezt kapunk. A cskkentett md belltsait a Windows indtsa eltt kzvetlenl lettt F8 billentyvel rhetjk el a rendszerindt menbl.
77
2.20. bra: Az indtmen lehetsgei
A cskkentett mdrl, illetve a rendszer indtmen rszleteirl a 6. fejezetben tallhatunk

tovbbi informcikat.
Hlzati diagnosztika
Az els fejezetben a Network and Sharing Center (Hlzati s megosztsi kzpont) ismertetsnl mr nhny sz erejig kitrtnk a Vista integrlt hlzati diagnosztikai eszkzre. A szolgltats a httrben fut s ha valamilyen
problmt szlel a hlzati konfigurciban, vagy az adattvitelben, automatikusan megvizsglja az sszekttetst s a rendelkezsre ll lehetsgek szerint megoldsi javaslatokat ad. A hlzati diagnosztika eszkz kpes az olyan
leggyakoribb konfigurcis hibkat nllan megoldani, mint pldul rossz tjr-cm megadsa, IP-cm tkzs, st akr a biztonsgi hzirend korltozsaira is felhvja figyelmnket, ha ppen az akadlyozn a hlzat mkdst.
78
2.21. bra: A hlzati diagnosztika akciban
Hibajelentsek
Mg Windows XP alatt, ha egy program vagy szolgltats hibba tkztt s
lellt (lefagyott) akkor nem sok visszajelzst kaptunk a rendszertl, arrl pedig kifejezetten keveset, hogy mgis mi okozhatta a problmt. A Windows
Vistban viszont egy tovbbfejlesztett hibajelent mechanizmus kerlt beptsre. Az j Error Reporting (Problmajelentsek) szolgltats nemcsak rszletes jelentst kld a Microsoftnak az esemnyrl, hanem a korbbinl jval
intelligensebb mdon, helyben rtelmezi a hibt, majd megoldsi javaslatokat
79
is nyjt a rendszergazdknak, melyekkel gyorsabban akr egy kattintssal

elhrthatjk a problmt. A Microsoftnl folyamatosan dolgoznak a leggyakrabban berkezett hibk kijavtsn, ezrt fontos, hogy minl tbb hibajelentst kldjnk, hiszen ez nagyban segti a programozk munkjt. Ha egy
problmra id kzben sikerlt megoldst tallni, a hibajelent szolgltats
ezt kzli velnk, s tbaigazt a teendkkel kapcsolatban pldul hivatkozst jelent meg a program frisstett verzijnak letltshez vagy akr egy
eszkzmeghajt frisstett vltozatra is felhvhatja a figyelmet.
2.22. bra: A hibajelents/problma megolds szolgltats lnyegesen intelligensebb lett
A hibajelent szolgltats mkdse tbbflekppen konfigurlhat. Ha egyegy programunk bizalmas informcikkal dolgozik, felvehetjk azt egy kivtellistra, gy a Windows az ezzel a programmal kapcsolatos hibkrl csak
alapvet informcikat kld el a Microsofthoz, vagy termszetesen akr teljesen ki is kapcsolhat a hibajelents.
80
A tvoli asztal
Hlzatunk szmtgpeit nemcsak eljk lelve helyben, hanem tvolrl is
elrhetjk akr az interneten keresztl is. A tvoli gp teljes Asztalt magunk el varzsolhatjuk, illetve az egrrel s a billentyzettel is teljeskren
vezrelhetjk. Ehhez a Remote Desktop Connection (Tvoli asztal) alkalmazsra van szksg, amely gyfelt egyszeren elindthatunk s sajt gpnkn pldul a Start / Run / mstsc.exe paranccsal.
A tvvezrelni kvnt gphez trtn kapcsoldshoz a tvoli gpen a
Terminal Services (Terminlszolgltatsok) szolgltats elindtsa, valamint
a 3389-es TCP port megnyitsa szksges, illetve engedlyezni is kell magt
az RDP-t a rendszertulajdonsgok kztt (Control Panel\System and Maintenance\System\Remote settings), s megadni azokat a felhasznlkat, akik
szmra engedlyezett a tvoli hasznlat.
Ezutn a tvoli gp IP cmt/nevt kell megadnunk, illetve esetlegesen az
egyb paramtereket belltunk a megjelentsre, a helyi erforrsok felcsatolsra (pl. hang, mappk, nyomtatk stb.), az automatikusan elindul alkalmazsokra vagy ppen a sebessg optimalizlsra vonatkozan. Ha mindent
belltottunk, clszer az adott konfigurcit .rdp formtumban elmenteni,
majd jhet a kapcsolds.
2.23. bra: Az j tvoli asztal gyfl
81
Licenszelsi okokbl mivel a Windows gyfl opercis rendszerek egy idben egy felhasznl interaktv bejelentkezst teszik lehetv ha egy tvoli
asztal kapcsolattal rcsatlakozunk egy gyflszmtgpre, a helyileg bejelentkezett felhasznl asztala zroldik (egy szerver opercis rendszer, pl. a
a Windows Server 2003 esetn viszont 2 paralell +1 konzol tpus RDP kapcsolatunk is lehet egyszerre).
A Windows Vista a Remote Desktop Protocol 6.0-s verzijt tartalmazza,
amelynek jdonsgai a korbbi verzikhoz kpest a kvetkezek:
82
Network Level Authentication

(NLA, a m. hlzati szint ellenrzse) mg a kapcsolat
teljes felplse eltt hitelestennk kell magunkat. Ez
nagyban megnveli a kapcsolat biztonsgt, mivel mr a
bejelentkez kpernyig is
csak az a felhasznl jut el,
aki kpes lesz bejelentkezni az
adott gpre. Az NLA segt tovbb a szolgltatsmegtagadsos (DoS)
tmadsok kivdsben is, de alapesetben is kevesebb erforrst ignyel
a kiszolgltl.
A hitelestst elvgezhetjk akr SmartCarddal (intelligens krtya) is,

mivel ez az eszkz is felcsatolhatv, azaz a tvoli szmtgp szmra
is lthatv vlt.
USB-csatlakozs, Plug&Play szabvnyt tmogat eszkzk felcsatlakoztatsa, azaz, hogy a tvoli gpen is elrhetv vljanak mindezt
akr mr kapcsolat kzben is.
A kiszolgln (ez ebben az esetben a tvoli gp) lehetsgnk van az

RDP 6.0-nl korbbi gyfelek kizrsra.
Kisebb erforrsigny az j gyfl csak a kperny aktulis vltozsait tovbbtja, gy cskkenti a szmtgp s a hlzat terhelst.
A Terminal Services Gateway (vagy RDP over HTTPS) tmogatsa biztonsgos, HTTPS-kapcsolaton s tzfalakon keresztli kapcsolds lehetsge. Azaz a mi oldalunkon (ha mondjuk egy szllodban ldglnk a
laptopunkkal) egszen a hlzatunk tzfalig (amelyen tipikusan fut majd
a TS Gateway kiszolgl) nincs szksg az RDP-protokollra, a kapcsolat a
mindenhol megengedett HTTPS-porton pl fel s bonyoldik.

Persze, azt azrt tudni kell, hogy a TS Gateway szerepkrt csak a Windows Server 2008 bevezetse
utn hasznlhatjuk majd, mindenesetre a Vista RDP kliense mr most is fel van ksztve arra, hogy
gyfele legyen ennek a szolgltatsnak. Az RDP 6.0 frisstsknt mr Windows XP, illetve Windows
Server 2003 rendszerekre is elrhet, errl a cmrl: http://support.microsoft.com/kb/925876,
vagy akr a Windows / Microsoft Update szolgltatson keresztl is.
A tvsegtsg
Ha a felhasznlknak problmjuk akad a szmtgp kezelsvel, esetleg
programhibba tkznek s a rendszergazda nincs a helysznen, a tvoli segtsgnyjts remek megoldst knl. A tvsegtsg szintn az imnt trgyalt
RDP-t hasznlja, a kapcsolat jellege szinte teljesen meg is egyezik, azzal a
klnbsggel, hogy ekkor a tvoli gp eltt l felhasznl s a hlzatrl felcsatlakozott segtsgnyjt is ltja a kpernyn zajl esemnyeket. A segtsg
a rendszergazda ltal nyjthat, de a felhasznl sajt maga is krheti, a
meghvott fl viszont mindkt esetben csak akkor csatlakozhat fel a rendszerre, ha azt a helyi, a gp eltt l felhasznl jvhagyja.
A meghvs tbbfle ton trtnhet, egyrszt a Windows Remote Assistance
(Tvsegtsg) segdprogram ltal generlt e-mailben vagy fjlban mely a
kapcsoldshoz szksges elrsi tvonalat, paramtereket tartalmazza, vagy
a Windows Live Messenger azonnali zenetkld szolgltatson keresztl, illetve akr a Windows Sgjbl is.
A helyi felhasznl teljes mrtkben kontrolllhatja a kapcsolatot, bellthatja, hogy a meghv mennyi ideig legyen rvnyes,
az asztal kpe milyen rszletessggel kerljn tvitelre (ez kis
svszlessg esetn lehet szksges), valamint brmikor megszakthatja a kapcsolatot az Esc
billenty letsvel.
A Windows Vista j Remote
Assistance (Tvsegtsg) szolgltatsa tbb biztonsgi jdonsgot is
tartalmaz:
83
Az NLA-hitelests alapjn bellthat, hogy csak Windows Vista vagy

jabb opercis rendszerrl rkez kapcsoldst fogadhatunk el.
Pause (Sznet) opci, arra az esetre, ha szemlyes adatokat kell megjelenteni a kpernyn. Ekkor a tvoli segtsgnyjt nem ltja az asztalt,
de a kapcsolat l.
2.24. bra: A tvsegtsg opcik
84
A User Account Control (felhasznli fik felgyelete) hitelestsi ablakok

blokkolhatk a tvoli segtsgnyjt ell, gy azokat csak a helyi felhasznl ltja majd s tudja kezelni.
A kapcsolat rszletesebb naplzsa mind a segtsgnyjt, mind az

gyfl gpn, ami az utlagos nyomkvets miatt lehet fontos.
A Remote Assistance (Tvsegtsg) szolgltats belltsait a rendszertulajdonsgok (System Properties) vezrlpultelem bal oldali svjban tallhat
Remote Settings (Tvoli belltsok) hivatkozsra kattintva rhetjk el.
A tvsegtsg (Remote Assistance), s a tvoli asztal (Remote Deskop)
Ez a kt elads a hasonl elven mkd, de teljesen klnbz clokbl hasznlt tvfelgyeleti eszkzk belltsairl s mkdsrl szl.
Fjlnv: I-2-2gRA-RD.avi
A Windows-tvfelgyelet (WinRM) s
a tvoli hj (WinRS)
Az esemnynapl kapcsn pr sz erejig mr kitrtnk a webalap rendszerfelgyeleti szolgltatsra, a WS-Managementre. A Windows Remote Management (WinRM) a WS-Management szabvny Microsoft ltal megvalstott implementcija, mely tvoli szmtgpek felgyelett s menedzselst
szolglja webprotokollokon keresztli kommunikcija rvn mindezt tzfalbart mdon teszi lehetv.
A Windows Remote Management (Tvsegtsg) komponens rsze a Windows
Hardware Management szolgltatsnak, mellyel teljeskren irnythatjuk
helybl vagy tvolbl a szmtgpeket. A szolgltats implementlja a WSManagement-protokollt, hardveres diagnosztikt s ellenrzst tesz lehetv,
emellett a kiszolgl szoftveres tvvezrlsre is alkalmas a parancssorbl.
A csatlakozs tzfalbart mdon, biztonsgos krlmnyek kztt trtnhet meg, HTTP, illetve HTTPS-protokollokon s tbbfle hitelestsi mdszert
(Basic, Digest, Kerberos) is alkalmazhatunk.
A Windows Vista tartalmazza a WinRM szolgltatst, de annak hasznlathoz elszr lesteni kell. A tvoli parancssoros elrshez szksges automatikus
bellts a kvetkez paranccsal trtnik: winrm quickconfig. Ezzel elindtjuk s
automatikus indtsra lltjuk a WinRM-szolgltatst, belltunk egy gynevezett HTTP listener-t a WS-Management-protokoll zeneteinek fogadsra.
A WinRM alaprtelmezs szerint a Kerberos hitelestst hasznlja a 80-as
HTTP-porton, errl s tbb egyb, a szolgltatst rint paramterrl
meggyzdhetnk a winrm get winrm/config/service paranccsal.
85
2.25. bra: A WinRM-szolgltats llapotnak lekrdezse
Ha sikeresen belltottuk a WinRM szolgltatst a tvoli gpen, akkor lehetsgnk lesz a WinRS-sel (Windows Remote Shell) kapcsoldni ehhez a gphez. gy brmilyen parancssori vagy szkriptmveletet elvgezhetnk a (figyeljk meg a kvetkez brt), mindssze annak host nevt, IP-cmt, vagy
WinRM-aliast kell ismernnk. A WinRS (Windows Remote Shell) hasznlatrl bvebb informcit a parancs sgjban olvashatunk. (winrs -?)
2.26. bra: A WinRS-sel kpesek lesznk a tvoli gpen parancsokat futtatni
Br a WS-Management eredetileg csak a Vista s a Windows Server 2003 R2 opercis rendszerek beptett kpessge, nemrgen elrhetv vlt egy frissts (azaz az 1.1-es verzi) Windows XP SP2-hz s az R2 bvts nlkli Windows Server 2003-hoz is (http://www.microsoft.com/downloads/details.aspx?familyid=845289ca-16cc-4c73-8934-dd46b5ed1d33&displaylang=en), mely a korbbi opercis rendszerekkel is elrhetv teszi a tvoli kezelst. Ezt a
frisstst egybknt clszer a Windows Server 2003 R2-es gpekre is feltenni.
86
A helyi hzirend
Tvoli parancssoros felgyelet WinRM/WinRS segtsgvel
Ebben az eladsban tbb klnbz opercis rendszert felhasznlva behangoljuk a
WinRM mkdst, s a WinRS segtsgvel ki is prbljuk a parancssoros tvvezrlst.
Fjlnv: I-2-2hWinRM-WinRS.avi
A helyi hzirend
Windows opercis rendszerek esetn a hzirend kiemelkeden fontos technolginak szmt, az zemeltetk s a cgek/szervezetek szmra is ltfontossg az ltala nyjtott biztonsg s stabilits. A hzirend gyakorlatilag olyan
szablygyjtemny, amelyet a felhasznlk s a szmtgpek belltsra,
felgyeletre hasznlunk. Egy korrekt mdon felgyelt rendszerben a hzirendek hatsainak nincs prja, ugyanis akr egyetlen helyrl, a legelemibb
rszleteket tekintve is befolysolhatjuk az egsz infrastruktrnk mkdst.
A segtsgvel tbbek kztt kzpontilag konfigurlhatjuk a jelsz- s kizrsi
hzirendet, az NTFS-mappk jogosultsgait, az audit s esemnynapl belltsokat, a logon/loggoff/startup/shutdown szkripteket, a mappa tirnytst, s pldul a kihasznlhatjuk a szoftvertelepts vagy a kzponti nyomtattelepts elnyeit s ez csak egy nagyon szk felsorols. Vllalati krnyezetben, a Windows Server 2003 + Windows XP SP2 esetn az elrhet belltsok szma kb. 1800, mg a Vista gyflgpek esetn ez az rtk 2400 krli
(sszehasonltsul a Windows NT 4.0-ban mindsszesen 76 ilyen opci volt).
A statisztikk szerint a tartomnnyal rendelkez vllalati rendszerek esetn a csoporthzirend
hasznlata kb. 90%-os, kis- s kzpvllalati krnyezetben pedig 60%-nl is nagyobb mrtk.
Br a hzirendeket tipikusan nagy- s kzepes vllalati krnyezetben alkalmazzuk, egszen kis szervezetek, specilis feladat szmtgpek (pl. internet
kvz, kzs hasznlat oktatsi gpek stb.), vagy akr szl gpek esetn is
jl hasznlhat a klnfle biztonsgi szablyok s megszortsok bevezetsre s fenntartsra (pl. az Eszkzkezel (Device Manager) vagy a Feladatkezel (Task Manager) tiltsra, vagy a letlttt futtathat llomnyok elindtsra, az Internet Explorer vagy ppen a tiltott alkalmazsok futtatsra).
A hzirendekbl kt f tpust klnbztetnk meg, az egyik a csak az adott
szmtgpre s az adott szmtgp felhasznlira (helyi hzirend), mg a msik egy szervezeti egysg, tartomny, telephely hatrain bell, akr az sszes
gpre s felhasznlra vonatkozhat, fggetlenl attl, hogy ki lp be az adott
gpen, illetve attl is, hogy a felhasznl mely gpen lp be pl. a tartomnyba.
87
Mi a kvetkezkben tbbnyire a helyi hzirenddel foglalkozunk, a csoporthzirendrl viszont az

5. fejezetben olvashatunk tovbbi rszleteket.
2.27. bra: A helyi hzirend elemei a hzirend-szerkesztben (GPOE)
Br a Windows NT-k vilgban is volt lehetsgnk egyszer hzirendek ltrehozsra (System Policy), igazbl a Windows 2000 ta hasznlhatjuk a helyi hzirendeket a mai mdszerrel (br a Vistval szmos vltozs rkezett erre a terletre is, lsd ksbb). A helyi hzirend kezelshez az n. Group Policy Object
Editort (Csoporthzirendobjektum-szerkeszt) alkalmazzuk, amelyet klnfle
mdon is el tudunk indtani. Egyrszt a gpedit.msc paranccsal pl. a Start menbl, vagy egy res MMC-konzol elindtsval s a Group Policy Object Editor bvtmny kivlasztsval. Ezek mellett az Administrative Tools (Felgyeleti eszkzk) programcsoportban is tallhatunk egy idevg elemet, az n. Local Security
Policyt (Helyi biztonsgi hzirend) (secpol.msc), amely egy szkebb halmaza az
sszes hzirend opcinak, s amely mint ahogyan a nevbl is kiderl , elssorban a biztonsgi belltsokra koncentrl.
A hzirendek mkdse a Windows regisztrcis adatbzisn alapul, az elzetes belltsaink alapjn ennek tetovlst vgzi el az adott felhasznl
vagy szmtgp belpsekor az opercis rendszer. A hzirend-belltsok egyegy gynevezett csoporthzirend-objektumban (Group Policy Objects GPO) ta-
88
A helyi hzirend
llhatak, amelyek egy-egy egyedi azonostval rendelkeznek (Globally Unique

Identifier GUID). Akr a helyi akr a csoporthzirendrl van sz, a korrekt
mkdshez szksgesek az n. hzirend sablonok is (.adm kiterjesztssel a
%windir%\inf mappban talljuk meg ezeket kivve a Vistt, lsd ksbb),
amelyek alapesetben az opercis rendszer teleptsvel kerlnek fel a gpekre,
de frisslhetnek is pl. egy szervizcsomag teleptsekor, vagy akr manulisan
is bvthetjk a sajt sablonjainkkal a lehetsgeket.
Az ltalnos bemutats utn, most rkeztnk el ahhoz a ponthoz, hogy a Windows Vista helyihzirend-megoldsval kapcsolatos vltozsokrl ejtsnk szt.
Szerkezeti, mkdsbeli vltozsok

Az elmlt ht vben (a Windows 2000 kiadsa ta) a hzirendek mkdsben s szerkezeti felptsben nem sok vltozs trtnt. A Vistban viszont
(termszetesen a Windows Server 2008-hoz hangolva) szmos, az alapokat is
rint eltrssel is szmolhatunk. Az els, s taln az egyik legfontosabb vltozs az nll Group Policy (Csoporthzirend) rendszerszolgltats megjelense, amely a korbbi, a winlogon processztl fgg mkdst vltja fel. A sztvlaszts miatt hzirendek rvnyeslse gyorsabb s kisebb terhelssel trtnik, jraindts nlkl bvthet a rendelkezsre ll opcikszlet, s pl. egy
hibs mkds apropjn a szolgltats (esetleges automatikus) jraindtsa
meg is oldhatja a problmkat.
A korbbi opercis rendszereknl a winlogon processz egy menetben s gyakorlatilag automatikusan csak a belpskor tlttte be a gp indulsakor a GINA-t (Graphical Identification
and Authentication az interaktv belps s a biztonsgos hitelests szolgltatsa a Windows opercis rendszereknl, msgina.dll) egyb esetleges belpsi, illetve hitelestsszolgltatkat, illetve a hzirend rszeit is.
Egy msik rendszerszolgltats a Network Location Awareness (NLA) 2.0-s

vltozatnak bevezetse is szmos helyen tesz j szolglatot a hzirendek feldolgozsnl. Az NLA mkdse miatt az opercis rendszer rzkenny vlt
a hlzati krlmnyek vltozsaira, azaz pl. ha egy hzirend feldolgozs az
adott hlzati kapcsolat bizonytalansga miatt megszakad, akkor, ha jra detektlja a kapcsolatot, a feldolgozs kpes automatikusan folytatdni, nem
kell kivrni a szoksos 90 perce rvnyeslse intervallumot, vagy a manulis knyszertst (a gpupdate paranccsal). Az NLA miatt nincs szksg a korbban a kapcsolat detektlsra hasznlt ICMP-protokollra sem, amely a
tzfalak alkalmazsa szemszgbl nzve is szerencss jdonsg, de az NLA
rendelkezik mg olyan lehetsgekkel is, mint automatikus svszlessg de89
tektls, illetve (mivel nemcsak a belpsnl mkdik, hanem menet kzben

is), pl. a VPN-gyfelek kapcsoldskor megkaphatjk a rjuk vonatkoz hzirendobjektumokat, amely a kvetkez forgatknyv szerint mehet vgbe:
1.
A VPN-gyfl csatlakozsnl a Group Policy gyfl detektlja a tartomnyvezrl elrhetsgt
2.
Ha a hzirend frissts ciklusa lejrt, vagy sikertelen volt, a GP-gyfl

httrbeli frisstst kr a VPN-en keresztl [a User/Computer (Felhasznl/Szmtgp) gra egyarnt]
3.
gy nincs szksg jraindtsra vagy kijelentkezsre
Ltezik egy msik, a hzirendekkel kapcsolatos terlet, amelynl mg rgebbi

alapokon ll a rendszer, s ez pedig a hzirend sablonok vilga, ahol gyakorlatilag a Windows NT4 ta megllt az id, ugyanazt az .adm kiterjeszts, rugalmatlan felpts, kevsb praktikust megoldst alkalmazza az opercis rendszer. Ennek a Vistval vge, mert ugyan a feldolgozs tovbbra is
a registryn keresztl zajlik, a sablonok XML-alapv lettek (.admx) s egyttal a tartalmuk a szoksos 4 alapfjl helyett, tbb mint 130 klnbz fjlban
tallhatak meg. Az j formtum lehetv teszi a nyelvfggetlen mkdst is,
ugyanis a semleges, neutrlis rszeket szeragaszthatjuk a nyelvspecifikus
rszekkel (attl fggen, pl. hogy milyen az opercis rendszer nyelve, s milyen egyb nyelvi csomag van teleptve a gpnkn), azaz a hzirend elemek
feliratainak s magyarzatainak fordtsaival.
Az sszes j sablont megtalljuk az j helyn a %windir%\PolicyDefinitions mappban, a nyelvfgg rszeket pedig ugyanit egy <orszgkd> mappban, .adml formtumban.
A szerkezeti, mkdsbeli vltozsok krben, meg kell emltennk mg azt a

pozitv fejlemnyt is, hogy a hzirendek naplzsval s hibakeressvel kapcsolatos rettenetes erfesztseknek is vge szakadhat. Ez azrt lehetsges, mert a
valsznleg sokak szmra ismers Userenv.log fle kvethetetlen naplzs
helyett az j esemnynaplban kln naplkategriba kerlt a hzirendekkel
kapcsolatos esemnyek egy rsze. Azrt csak egy rsze, mert a Rendszernaplban
(System log) is megmaradnak a hzirendekkel kapcsolatos, inkbb az zemeltetkre vonatkoz esemnyek bejegyzsei, viszont a konkrt mkdssel kapcsolatos esemnyek lersa, rthet s rtelmezhet formban (felhasznlnv, GPOlista, dtum, feldolgozsi id stb. felsorolssal) az j kategriban tallhat meg.
A helyi hzirendek
A Windows Vistban sokat vltozott helyi hzirend ltalnos bemutatsa.
Fjlnv: I-2-3aHelyi-hazirendek.avi
90
A helyi hzirend
Felhasznlkra s csoportokra
rvnyesthet hzirendek
Azok, akik mr hasznltk valaha egy-egy gp helyi hzirendjt a klnbz
korltozsok bevezetsre, nagyon jl tudjk, hogy akr a gprl, akr a felhasznlkrl volt sz, csak egyfajta hzirend objektumot volt lehetsges ltrehozni. gy aztn a ltrehoz (ltalban admin jogosultsg) felhasznl
ugyangy a hzirend rvnye al esett, ami ha pl. korltoztuk a rendszereszkzkhz trtn hozzfrst, alaposan visszathetett. Termszetesen gy
nem volt lehetsgnk arra sem, hogy a rendszer tovbbi felhasznlit klnfle mdon korltozzuk, st az elbb emltett ltrehoz admin felhasznl
mentessgt is csak spci s rugalmatlan trkkkkel lehetett megoldani.
A Windows Vistban ez a helyzet is megvltozott, a rendszer sszes felhasznljhoz akr kln-kln is tudunk sajt hzirendet rendelni, gy az
egyes fikok ms s ms belltsokkal mkdhetnek , illetve kt csoportot
is (Administrators s Non-Administrators) is megklnbztethetnk a hzirend-belltsokkal. A felhasznlk VAGY az Admin VAGY a nem-Admin hzirendet kapjk, mindkettt viszont rtelemszeren nem lehetsges rvnyesteni ugyanazon felhasznli fikon.
Ennek megfelelen a hzirendobjektumok feldolgozsi sorrendje is mdosult. Elsknt a felhasznl csoportjra vonatkoz belltsok jutnak rvnyre,
majd kvetkeznek a felhasznlszint belltsok. Ezek utn (mellett) a szmtgpre vonatkoz hzirend is rvnyesl (amelybl rtelemszeren tovbbra is
csak egyetlen egy lehet), vgl ha rendelkeznk kiszolglrl mkdtetett
tartomnyi hzirenddel akkor ez az objektum kerl feldolgozsra. A ksbb
alkalmazott hzirendek mindig magasabb rendek az elzeknl, gy egy helyi
hzirend sohasem rhat fell egy a tartomnybl, a tartomnyvezrlkrl rkez belltst, st, egy tartomnyban a Vista-gyfelek esetn a helyi hzirend rvenyeslse akr teljes egszben le is tilthat (Exclude processing of
all local GPOs) a Csoporthzirenddel.
Felhasznlszint csoporthzirend-objektum ltrehozshoz egy res
MMC-konzolt kell nyitnunk az mmc.exe paranccsal, majd a File (Fjl) men
Add/Remove Snap-in (Bepl modul hozzadsa/eltvoltsa) menpontjra kattintva nyissuk meg a rendszeren elrhet MMC bepl modulok listjt. Vlasszuk a Group Policy Object Editor (Csoporthzirendobjektum-szerkeszt) modult, majd az Add -> (Hozzads) gomb megnyomsa utn tallzzuk be a kvnt felhasznli fikot. Az gy belltott konzolnzetet el is menthetjk egy .msc fjlba (pl. a felhasznl nevvel), gy a ksbbiekben mr nem
kell ezt a mveletsort elvgeznnk.
91
2.28. bra: Innen indulhat a felhasznlkra /csoportokra rvnyes hzirend ksztse
Gyakorlati pldk
A helyi hzirendben is sok-sok opci ll rendelkezsnkre a szmtgp s a
felhasznli profilok mkdsnek testreszabshoz, persze tisztban kell lennnk azzal a tnnyel, hogy az elrhet opcik szma nagysgrenddel alacsonyabb a helyi hzirendek esetben mint a tartomnyi krnyezetben. Ennek az
lltsnak viszont nmikpp ellentmond a Windows Vista, amelyben a helyi
gp hatkrben alkalmazhat lehetsgek szma is drasztikusan megntt.
92
A helyi hzirend
2.29. bra: Helyi hzirend
Az albbi listban nhny tovbbi j, vagy megjult hzirend opcit emelnk

ki, a teljessg ignye nlkl, elszr a hzirendbl mdosthat biztonsgi
belltsokra:
Windows Defender
A szolgltats engedlyezse/tiltsa
A szignatrk letltsnek konfigurlsa
Internet Explorer biztonsgi znk konfigurcija
Windows Firewall with Advanced Security
A tzfal s az IPSec kapcsolatok belltsainak teljes lefedettsge
Eszkzteleptsek ellenrzse
Engedlyezs/tilts klnbz feltteleknek megfelelen
Eszkz azonost alapjn (csak bizonyos tpusok hasznlhatk)
User Account Control mkdsnek belltsai
Jogosultsgi szint emelsnek mdjai
Secure Desktop hasznlata
Fjlrendszer- s registry-virtualizci engedlyezse/tiltsa
Kvetkezzen csak a felsorols szintjn - nhny tovbbi plda az j vagy a

megvltozott hzirend opcikra.
93
Energiaellts
Az sszes ltez energiaelltsi bellts helyet kapott a Vista hzirendekben,
s persze van lehetsg egyni smk ltrehozsra is. Ez nem kevs anyagi
megtakartst jelenthet a cgek, szervezetek szmra. rdekessg a megoldsban, hogy a be nem lpett felhasznlk szmra is van szably.
2.30. bra: Csoporthzirend
Trol eszkzk tiltsa
2.31. bra: Csoporthzirend-szerkeszt eltvolthat trolk
94
A helyi hzirend
A hzirenden keresztl tilthatv vlik az USB-meghajtk, a CD-RW, DVDRW s egyb eltvolthat mdia hasznlata. rsi s olvassi hozzfrstpusok kzl vlaszthatunk s szmtgpre, illetve felhasznlra is korltozhatunk.
Nyomtatkkal kapcsolatos lehetsgek
Szintn teljesen j opci az adott nyomtat hzirendbl trtn automatikus
teleptse, illetve eltvoltsa gpeknek, illetve felhasznlknak. Arra is van
lehetsgnk, hogy a megbzhat felhasznlk szmra delegljuk a nyomtatk teleptst, illetve engedlyezznk vagy tiltsuk a megbzhat / nem megbzhat illesztprogram rendszerbe illesztst.
2.32. bra: Csoporthzirend-szerkeszt nyomtatk

Gyakorlati pldk a helyi hzirendekre, eltr felhasznli hzirendek
Ebben az eladsban az j hzirend opcik kzl szemezgetnk, valamint megnzzk, hogyan
lehet egy munkacsoportba tartoz gpen felhasznlnknt eltr hzirendet kszteni.
Fjlnv: I-2-3bHelyi-hazirend-peldak.avi
95
HARMADIK FEJEZET
A fejezet tartalma:
Biztonsg: ltalnos bevezet ............................................................................ 97
Az erforrs-kezels alapjai ............................................................................... 98
Windows XP Service Pack 2 biztonsgi vltozsok ........................................ 129
jdonsgok a Vista biztonsgi rendszerben .................................................. 131
A biztonsgi rendszer sszetevi...................................................................... 153
Ments s visszallts ..................................................................................... 174
Biztonsg: ltalnos bevezet

Ellenttben a rgmlttal, ma mr sem az nll szmtgpek, sem a szmtgp-hlzatok nem tekinthetk zrt rendszernek. A jelenben az informatikai eszkzk millii llnak egymssal klcsns kapcsolatban (pl. az internet
segtsgvel), illetve a szervezetek hlzathoz nem egyszer kls szereplk
(pl. szlltk, partnerek, gyfelek) is hozzfrnek. Ennek kvetkeztben jogosulatlan szemlyek is hozzfrhetnek az e-mailben, kereskedelmi tranzakcikban s a szimpla fjlokban rgztett informcikhoz. Mivel az informatika fejldse s ezzel egytt az llandan bvl alkalmazsa tovbbra is robbansszer, a szmtgpekre, troleszkzkre rengeteg adat s informci kerl,
amelyek jelents rsze rzkeny s fontos.
Ismerve az emberi termszetet, azaz pldul a knyelem s a biztonsg
egyttes teljeslsnek eslyeit, figyelembe vve a fenyegetsek fajtinak fejldst, valamint a szmtgpek kztti kapcsolatok bvlst, a biztonsgi viszszalsek szma sohasem fog nullra cskkenni. Nagymrtkben tomptani
tudjuk azonban az illetktelen felhasznls s szmtgpes bnzk krtkony
hatst, ha megfelel szakrtelemmel rendelkeznk, alkalmazzuk a biztonsgi
alapelveket, s hasznljuk az elrhet, integrlt biztonsgi megoldsokat.
Ezek alapjn teht leszgezhetjk: brmilyen szmtgpes munkakrnyezetben az egyik legfontosabb alapelv az adatok biztonsgos trolsa, az erforrsok felgyelt publiklsa valamint az ezekhez trtn hozzfrs korltozsa,
illetve felgyelete. Az informatikai infrastruktra biztonsgoss ttele kt

alapvet clt kell, hogy kitzzn maga el: amennyire csak lehet, cskkenteni a
kls s bels incidensek szmt, valamint nvelni az esetlegesen mgis elfordul hibk szlelsi arnyt. Ha ezt a kt terletet megfelelen ellenrzsnk
alatt tudjuk tartani, ltalban biztonsgos krnyezetrl beszlhetnk.
Mivel a teljes infrastruktra is tbb szintbl ll, a biztonsgi megoldsok
is tbb rtegre bonthatk, gy a fizikai biztonsgtl (a helyisg rzse) egszen
az adatok kpernyn trtn megjelentsig szmos kaput pthetnk fel.
3.1. bra: Egy plda a biztonsgi szintek ltalnos kialaktsra
Szndkaink szerint ebben a fejezetben, (illetve a knyv ms pontjain is) az

els hrom szinttel foglalkozunk rszletesen, azaz az adataink, az alkalmazsaink, illetve magnak az opercis rendszernek a vdelmre vonatkoz elveket s konkrt megoldsokat ismertetjk.
A felhasznlk (s a szmtgpek) hozzfrst az adatokhoz s egyltaln a
rendszer egszhez gynevezett hitelestsi (autentikcis) folyamatokkal biztostjuk. Akr szl gprl van sz, akr hlzatrl, minden felhasznlnak clszeren olyan egyedi azonostja van, melynek segtsgvel egyrtelmen azonosthatv is vlik. A hitelestst mely sorn megbizonyosodunk majd a bejelentkez fl identitsrl az autorizci, vagyis az engedlyek megadsa
kvetheti, amely alapja egy elzetes s eltrolt engedly meghatrozsa.
98
ltalnosan elmondhat, hogy a clunk mindig az elgsges, de mgis a

lehet legkevesebb jogosultsg kiosztsa. Ennek az elvnek a betartsa a napi
gyakorlatban kpes igazn kamatozni, hiszen, ha a felhasznlk a feladataik
elvgzshez szksges sszes jogosultsggal rendelkeznek, akkor az informatikai rendszer nem gtolja, hanem elsegti a magas szint munkavgzst.
Radsul ha csak a minimlisan elgsges jogosultsggal rendelkeznek, akkor zemeltetknt vagy a szervezet szempontjbl nzve kevsb kell szmolnunk a vtlen vagy szndkos biztonsgi problmkkal.
Hitelests
Engedlyezs
3.2. bra: A hitelestsi s engedlyezsi folyamat ltalban egymst kveti
A hitelests
A hitelests folyamata felttelezi a hitelest jelenltt is, amely a szmtgpes krnyezettl fggen tbbfle lehet, mi most hrom alappldt emelnnk ki:
1. Hitelests helyben, azaz interaktv belpssel az adott szmtgpen. Ekkor a felhasznlnak rendelkeznie kell az adott gpen rvnyes belpsi lehetsggel, azaz, a gp sajt felhasznli adatbzisban valamilyen mdon szerepelnie kell a fikjnak. Ekkor teht az
adott gp a hitelest, s csak felhasznli fikokat tud hitelesteni.
2. Hlzati hitelests. Elssorban munkacsoportos krnyezetben hasznlatos, amikor egy msik a hlzaton jelen lev szmtgpre jelentkeznk be (ezt mindig megelzi a helyi gpre trtn belps). Ennek
oka lehet egy megosztott mappa, vagy egy nyomtat elrse. Sok esetben a msik gpre nem ugyanazzal a felhasznlnvvel s jelszval lpnk be, mint helyben, hiszen ilyenkor a msik gp felhasznli adatbzisa a dominns, teht eltrek lehetnek a hitelest adatok. Ekkor
teht a msik gpet tekinthetjk a hitelestnek, amely szintn csak
felhasznli fikokat tud hitelesteni.
99
3. Tartomnyi hitelests. A legkomplexebb megolds, amely egyben a

legtbbet is nyjtja. Mivel ltezik a tartomny, dolgozik a cmtrszolgltats, a felhasznlk fikjainak s hitelest adatainak trolsa a
cmtr adatbzisban trtnik, az engedlyekkel s ms informcikkal
egytt. Alapesetben akrmelyik tartomnyi tagsggal rendelkez szmtgpen bejelentkezhetnk a tartomnyba is (ez is az ajnlott, st,
sok esetben a helyi belps ilyenkor nem is lehetsges, nincs is szksg
r), hiszen a tartomnyvezrlket ezekrl elrjk, amelyek a rajtuk tallhat cmtr adatbzis segtsgvel, kzpontilag kpesek hitelesteni
bennnket. De nemcsak az interaktv belps ltezik, tartomnyban
lehetsg van a szmtgpfikok ltrehozsra s trolsra, a tartomnytag gpek rendelkeznek jelszval is, gy ezek is belpnek, azaz
kpesek hitelesteni is magukat. Tartomny esetn teht a felhasznlk s a gpek esetn is a cmtrszolgltats, illetve ennek konkrt
kpviselje, a tartomnyvezrl a hitelest elem.
Akr egy helyi gprl, akr egy hlzatrl van sz, a hitelests folyamata sorn a felhasznl jelszavnak biztonsgos trolsa minden esetben alapveten
szksges (erre ksbb mg visszatrnk). Az utbbi esetben viszont szmolnunk kell mg azzal is, hogy adott hlzati forgalomban a legtbb esetben a
hitelest adatok szllts kzben vdtelenek, azaz megfelel szoftveres, vagy
hardvereszkzzel msok szmra is hozzfrhetek, ezrt mindenkppen gy
kell kinznik, hogy egyltaln ne jusson elbbre velk az, aki ellopja az
adott forgalom rszleteit. De e felttelek teljeslse eltt mg egy fontos lpcsfok van: rendelkeznnk kell a hitelest adatokkal.
A hitelests fszerepli
A rejtlyes cm mgtt nmikpp puritn tartalom ll, azaz ebben a fejezetben a Windows Vista felhasznli fikjairl s csoportjairl lesz sz.
Ha nem tartomnyrl beszlnk, hanem nll vagy munkacsoportos krnyezetrl, akkor a felhasznli fik (user account) az adott gp kizrlag
csak helyben hasznlhat felhasznljt szemlyesti meg. A fik objektum
trolja a felhasznl alapadatait (nevt, csoporttagsgt, ikonjt stb.), s a
legfbb feladat az, hogy a rendszer erforrsaihoz hozzfrsi jogosultsgokat
definiljunk szmra, illetve hogy a felhasznlk tevkenysge (pl. belps,
fjlhozzfrs stb.) nevestve jelenjen meg a naplfjlokban. Emellett termszetesen az eltr munkakrnyezet, illetve az egyedi belltsok elrse is clunk lehet, a klnbz felhasznli fikok ltrehozsa apropjn.
100
A helyi szmtgp viszonylatban a fikok, a jelszavaikkal, a csoportokkal s az egyb, pl. biztonsgi jellemzkkel egytt egy specilis, n. helyi biztonsgi adatbzisban troldnak (Security Account Manager) s amely gyakorlatilag a rendszerler adatbzis egyik gban tallhat meg, de ami egyttal a Windows\System32\Config\SAM fjl tartalma is.
Mg mieltt nekiesnnk a regedit.exe-nek, illetve az emltett fjlnak, tudnunk kell, hogy kicsit
nehezen vizsglhatjuk meg ezeket mg teljes kr rendszergazda jogosultsggal is, hiszen a
registry ezen ghoz (HKLM\SAM) csak a SYSTEM felhasznlnak van jogosultsga, akinek viszont nincs interaktv belpsi lehetsge a gpen. A SAM fjl pedig az opercis rendszer mkdse alatt szmunkra nem nyithat meg.
A felhasznli fikokat mindig felhasznlnvvel s, (nem ktelezen, de

mgis ajnlottan), jelszval klnbztetjk meg egymstl, de tovbbi tulajdonsgai is lehetnek igaz egy helyi fik esetn viszonylag kevs opcival
rendelkeznk ezen a terleten (lsd ugyanebben az alfejezetben, ksbb).
Fontos jellemzje viszont az adott fiknak a tpusa, amelybl a Windows Vistban kt f, s egy, csak nagyon extrm esetben hasznltat ismernk:
1. Administrator (Rendszergazda) fiktpus: Az Administrators (Rendszergazdk) csoport tagjai, magas jogosultsggal hasznlhatjk a gpet.
Alaprtelmezs szerint a telepts sorn megadott fik is ebbe a csoportba kerl, s csak e csoport tagjaknt hozhatunk ltre, vltoztathatunk s trlhetnk tovbbi felhasznli fikokat. A teljessg ignye
nlkl, nzzk meg, hogy melyek a legfontosabb tovbbi mveletek,
amelyre csak egy admin fik birtokban lesznk kpesek:
brmely felhasznl jelszavnak megvltoztatsa;
alkalmazsokat telepteni s eltvoltani;
a hardver eszkzk eszkzmeghajtit telepteni vagy eltvoltani;
mappkat megosztani;
engedlyeket s jogosultsgokat belltani ms felhasznlknak

(vagy nmaguknak);
a ktetek sszes llomnyt elrni, ms felhasznlk fjljait is

belertve;
fjlok s mappk tulajdonjogt tvenni;
a Program Files s a Windows mappkba rni;
lementett rendszerfjlokat visszalltani;

101
a rendszeridt s a naptrt belltani;
a Windows Tzfalat konfigurlni;
belltani a biztonsgi frisstseket, illetve manulisan biztonsgi frisstseket telepteni.
2. Standard (ltalnos jog) fiktpus: A Users (Felhasznlk) csoport

tagjai a korbbi opercis rendszereknl csak egy alapszint jogosultsgcsokorral voltak knytelenek berni. A Windows Vista esetben jelents halads trtnt: itt mr egy standard felhasznl gyakorlatilag mindenre kpes, ami a szmtgp napi hasznlathoz szksges de ha
mlyebb, a rendszer biztonsgt, mkdst alapjaiban megvltoztat
mveletet szeretnnk elvgezni, akkor rendszergazda segtsgre (vagy
jogosultsgra) lesz szksgnk (rszletesebben ezzel a krdskrrel a
felhasznli fikok felgyelete (User Account Control, UAC) alfejezetben
lesz sz). Lssunk nhny konkrt lehetsget fkpp a viszonyts
kedvrt amelyekre a Vistn egy standard felhasznl kpes:
sajt jelsz megvltoztatsa;
a teleptett programok hasznlata;
hardvereszkzk eszkzmeghajtinak teleptse, (ha kln kapunk r engedlyt);
a jogosultsgok megtekintse;
fjlok ltrehozsa, vltoztatsa s trlse a sajt Dokumentumok mappban, illetve a sajt, megosztott mappkban;
a szemlyesen lementett fjlok visszalltsa;
a rendszerid s naptr megtekintse, az idzna megvltoztatsa;
az energiaelltsi opcik belltsa;
belps cskkentett mdban.
3. Guest (Vendg) fiktpus: A Guests (Vendgek) csoportba tartoz fikok megszemlyesti nagyon minimlis jogosultsgokkal rendelkeznek, mlyen a standard felhasznlk jogosultsgi szintje alatt. Ideiglenes jelleggel s/vagy nagyon korltozott hozzfrs cljbl hasznljuk.
J plda erre, hogy az azonos nev Guest (Vendg) fik tulajdonosa
mg a sajt jelszavt sem hozhatja ltre, a Users (Felhasznlk) csoportnak sem tagja, s alapesetben ez a fik le is van tiltva.
102
A felhasznli fikok kezelse tbbfle helyen is trtnhet a Vistban. Az ltalnos opcikat a Control Panel (Vezrlpult) / User Accounts (Felhasznli
fikok) alatt talljuk. nll vagy munkacsoportos krnyezetben itt hozhatunk ltre j fikokat, trlhetjk, tnevezhetjk ezeket, megvltoztathatjuk
a tpusukat s a jelszavakat, vagy akr megfelel jogosultsggal ms helyi
felhasznlk belltsait is korriglhatjuk. Kapunk lehetsget a profilunk, a
hlzati jelszavaink (lsd egy ksbbi alfejezetben) vagy a fjlok titkostshoz szksges tanstvnyok kezelsre is. Ha viszont a gpnk nem nll,
hanem tagja egy tartomnynak, akkor itt jval kevesebb lehetsget tallunk
a helyi felhasznli fikok kezelsre.
3.3. bra: Munkacsoportos krnyezetben gy (is) lthatjuk a fikokat
A halad s egyben a klasszikus belltsokat innen munkacsoportos krnyezetben nem rjk el, ellenben a megfelel MMC-konzol segtsgvel mr
igen, mghozz az els fejezetben mr ismertetett Computer Management
MMC rszeknt (Local Users and Groups Helyi felhasznlk s csoportok).
Ezen a felleten mr tbb lehetsgnk is lesz, pldul a Users (Felhasznlk) szakaszon bell, az alaprtelmezs szerint egyformn letiltott Administrator (Rendszergazda) es Guest (Vendg) fikok mellett meg fogjuk tallni a
teleptskor ltalunk ltrehozott fikunkat is. E fik tulajdonsglapja krlbell ugyangy nz ki, mint a kvetkez kpen.
103
A Vista klnbz vltozatai alig trnek el a felhasznli fikok s a csoportok kezelst illeten, klnbsg maximum az esetleges tartomnyi tagsg miatt a felsznen, azaz a grafikus felleten addhat. Mivel csak a Business, az Enterprise, illetve az Ultimate vltozatot lptethetjk be tartomnyba, ezrt a szvegben emltett klnbsg is csak ezeknl a vltozatoknl fellelhet. J tudni viszont, hogy a Vista Home Basic, illetve a Home Premium vltozata alatt a
Local Users and Groups MMC konzol nem elrhet.
3.4. bra: Egy felhasznli fik tulajdonsgai
Itt a nv s a lers mellett a fik jelszavra vonatkoz belltsokat is lthatunk, ezek a kvetkezek:
104
User must change password at next logon (A kvetkez bejelentkezskor

meg kell vltoztatni a jelszt) A soron kvetkez (vagy akr a legels)
belpskor a felhasznlnak meg kell vltoztatnia a jelszavt. Ennek
rtelme akkor van, ha rendszergazdaknt nem akarunk jelszt meghatrozni a felhasznlnak, vagy akkor, ha kifejezetten knyszerteni
szeretnnk arra, hogy megvltoztassa.
User cannot change password (A jelszt nem lehet megvltoztatni) Ha

nem akarjuk, a felhasznl nem vltoztathatja meg a sajt jelszavt.
Ritkn, esetleg a kzsen hasznlt fikok esetn van rtelme ennek a
belltsnak.
Password neves expires (A jelsz sohasem jr le) A Vista alapbellts

szerint 42 naponknt automatikusan kri a felhasznltl a jelsz
megvltoztatst. Ha itt kikapcsoljuk, akkor menteslhetnk ettl.
A maradk kt lehetsg kzl az els a fik letiltsra (Account disabled)

vonatkozik, ami gyakorlatilag teljesen felfggeszti, de nem tvoltja el a rendszerbl az adott fikot. A msodik pedig a fik (tbbnyire ideiglenes, pl. tbb
helytelen jelsz megads miatt automatikus) kizrsra vagy a mr megtrtnt kizrs feloldsra vonatkozik.
E panel kt tovbbi fle is fontos tulajdonsgokat hordoz:
A Member Of segtsgvel llthatjuk be az adott fik csoporttagsgt

(ha van hozz jogosultsgunk).
A Profile fln a felhasznl komplett profiljnak lelhelye szerepel

(ha eltr az alaprtelmezett, tbbnyire a \Users\felhasznl_neve mapptl), illetve a logon szkriptjnek (belpsi parancsfjl) neve, amely a
felhasznl belpsekor lefut ltalban ktegelt (pl. .bat) llomny
megnevezse.
Home folder (Kezdmappa): a felhasznl alapknyvtrnak helye, ez

ltalban a parancssori ablak (cmd.exe) kezdknyvtra is.
nll gp vagy munkacsoport esetn az utbbi opcikat (a jelszra vonatkozakat is belertve) tipikusan egyltaln nem hasznljuk, ezek elssorban tartomnyi krnyezetben alkalmazott belltsok. Igaz, ebben az esetben viszont nem a helyi gpeken, hanem kzpontostva, a
cmtrban trolt felhasznli fik belltsainak szablyozzuk ezeket a lehetsgeket.
Ennek az alfejezetnek a msik f tmja a mr knyszersgbl tbbszr is

emltett felhasznli csoportok. Az elz rsz alapjn mr tisztban vagyunk
azzal, hogy egy helyi gp esetn milyen f tpusok llnak rendelkezsre ezekbl (Administrators, Users, Guests), illetve azt is lthattuk, hogy egy-egy felhasznl esetn hol llthatjuk a csoporttagsgot. Tekintsk t most a csoportokkal kapcsolatos tovbbi rszleteket!
Az sszes opercis rendszerben gy a Windows Vistban is a csoportok
ltrehozsnak clja elssorban a felhasznlk fikjainak sszegyjtse, kzs
kezelse. Ha ltrehozunk egy csoportot s hozzrendelnk felhasznlkat, akkor pl. a jogosultsgokat, vagy az engedlyeket egy lpsben, minimlis energival kpesek lesznk belltani az adott felhasznli kr szmra. Ezen kvl az
objektumokhoz csatolt jogosultsgi listk is kisebb mretek lesznek, teht
gyorsabban dolgozza fel, rtkeli ki ezeket az opercis rendszer.
105
A Windows opercis rendszerek tartalmaznak egy sereg beptett, a telepts utn mr elrhet csoportot, ezek fajtit a kvetkez felsorolsban mutatjuk be (a Vista-specifikus csoportokrl, illetve az elssorban biztonsgi
okokbl trtnt felhasznli s csoportvltozsokrl egy ksbbi alfejezetben
nyjtunk majd egy rszletes ttekintst).
Administrators (Rendszergazdk): A rendszergazdk csoportja, elvileg majdnem az sszes mvelet s feladatkr birtokosa az opercis
rendszerben.
Backup Operators (Biztonsgimsolat-felelsk): E csoport tagjai biztonsgi mentseket s visszalltsokat vgezhetnek el, azaz ebbl a
clbl a ktetetek sszes objektumhoz hozzfrnek.
Guests (Vendgek): minimlis jogkrrel rendelkez, specilis csoport,

egyetlen tagja alaprtelmezs szerint a mr emltett Guest fik.
Network Configuration Operators (Hlzat-belltsi felelsk): A hlzati szolgltatsok kzl bizonyos egybknt rendszergazdai mveletek (TCP/IP -konfigurls, hlzati kapcsolatok engedlyezse, DNS-cache
rtse, RAS-kapcsolatok legyrtsa, trlse stb.) elltsra is kpesek
lesznek e csoport tagjai.
Remote Desktop Users (Asztal tvoli felhasznli): Az els fejezetben

emltett Remote Desktop (Tvoli asztal) szolgltats felhasznli, akik
jogosultak elrni az adott gpet a Remote Desktop gyflprogrammal.
Replicator (Replikl): Fjlok, mappk tartomnyon belli replikcijt

teszi lehetv a csoport tagjai szmra.
Users (Felhasznlk): A mr tbbszr emltett csoport tagjai az tlagos, standard tpus felhasznli fikok. Minden j fik alaprtelmezett tartzkodsi helye is ez a csoport.
Ha alaposan megvizsgljuk az opercis rendszert pldakppen az adhat jogosultsgok s engedlyek kapcsn, akkor tovbbi, sok esetben nagyon ritkn
hasznlt, specilis csoportokra is rbukkanhatunk.
Ezek a csoportok nem lthatak a Local Users and Groups (Helyi felhasznlk s csoportok) MMC-ben, s a tagsgi viszonyaikat sem llthatjuk be a
felhasznli felletrl (az opercis rendszer vgzi ezt el helyettnk), viszont
szksg esetn adhatunk ki szmukra fjlokra s mappkra jogosultsgokat,
illetve kaphatnak egyb engedlyeket is. Ezeket a jogosultsg- vagy engedlyhozzrendelseket viszont ltalban nem neknk kell manulisan megtennnk, a gyri alapbelltsok tartalmazzk e csoportok hozzrendelst a
szksges erforrsokhoz, objektumokhoz, illetve folyamatokhoz. Tekintsk
meg e csoportok listjt is, egy-egy rvid jellemzssel ksrve a felsorolst:
106
Everyone (Mindenki): Ennek a csoportnak az sszes felhasznli fik

s egyb, specilis felhasznl tagja (az Anonymous Logon csoport tagjai kivtelvel). Tisztban kell lennnk azzal a tnnyel, hogy ha ennek
a csoportnak adunk pl. egy mappn jogosultsgot, akkor az az sszes
helyi, vagy tvoli hozzfrs esetn rvnyes lesz. pp ezrt e csoport
hasznlata (mg ha igen knyelmes is), nem ajnlott. Mg akkor sem,
ha a Windows XP-ben e csoport szmra ltalnosan megkapott Read
(Olvass) jogosultsg a Vistban mr nem biztostott.
3.5. bra: A specilis, csak a jogosultsg kiosztskor hasznlatos csoportok
Authenticated Users (Hitelestett felhasznlk): az Everyone, illetve

a Users csoportokhoz kpest egy zrtabb csoport, amely egyrszt az
Everyone-nal szemben nem tartalmazza a Guest (Vendg) felhasznlt,
az Usersszel szemben pedig csak a valban hitelestett felhasznlkat
tartalmazza. Minden felhasznl tagja lehet, aki helyben jelentkezett
be, a hlzatbl vagy telefonos kapcsolaton keresztl hasznlja a sz107
mtgpet. ratlan szably, hogy manulis jogosultsgkiosztsnl, ha

minden interaktv felhasznlnak akarunk jogot adni, egy erforrshoz, akkor azt mindig ezen a csoporton keresztl tesszk meg.
Anonymous Logon (Nvtelen bejelentkezs): E csoport tagjai szerny lehetsgekkel vannak felvrtezve, mivel olyan felhasznlkrl van sz,
akik nem azonostottk magukat nvvel s jelszval. Ilyen felhasznl
viszonylag kevs van, ide tartozik pl. az n. null sessionn keresztli elrs (pl. a gpek kommunikcija esetn az IPC$ megoszts hasznlata,
lsd ksbb). Helyi alkalmazsa alaprtelmezs szerint viszont tiltott.
Batch (Kteg): Azon felhasznlk, akik a nlkl indthatnak el parancsfjlokat, hogy interaktvan bejelentkeznnek (pl. egy program futtatsnak idztse).
Creator Owner (Ltrehoz tulajdonos), Creator Group (Ltrehoz csoport): Az erforrsok alaprtelmezett jogosultsgi listjban rendszeresen tallkozhatunk e fikkal, illetve csoporttal, amelyek az adott objektum tulajdonost jellik, azaz azt a felhasznlt, aki ltrehozta az erforrst. A Creator Group hasznlata a Windows opercis rendszerekben
nem jellemz, elssorban a POSIX kompatibilits miatt szksgesek.
Dialup (Telefonos): Azokat a felhasznlkat jelli meg az opercis

rendszer ebbe a csoportba tartoz tagnak, akik aktulisan a telefonos
hlzaton keresztl csatlakoznak a szmtgphez.
Interactive (Interaktv): Azon felhasznlk a tagjai ennek a csoportnak, akik kpesek manulisan (a felhasznlnv/jelsz prossal) belpni az opercis rendszerbe, belertve a Remote Desktop (Tvoli asztal)
szolgltatst hasznlkat is.
Network (Hlzat): A hlzaton keresztl kapcsold felhasznlk,

akik tipikusan a helyi gp egy megosztott erforrshoz kapcsoldnak.
A felhasznlk s a csoportok kezelse a parancssorbl is megoldhat. A net user s a net

localgroup parancsoknak szmtalan, jl hasznlhat paramtere van.
A hitelests protokolljai
A hitelestst tbbfle protokoll segtsgvel bonyolthatjuk le, ezek klnbsge elssorban a hitelests sorn hasznlt jelszavak trolsi mdszerben, kisebb szm esetben a tovbbtsuk mdszerben jelentkezik. Az elgg elterjedt hiedelemmel ellenttben a Windows opercis rendszerek nem troljk el
a jelszavakat, pontosabban nem a jelszavakat troljk el, hanem az ezekbl
108
specilis trdelalgoritmusokkal kpzett kivonatokat, ms nven hash-eket.

Egy ilyen kivonat mindig teljesen egyedi, gy hasznlhat a jelsz helyett, viszont magbl a kivonatbl semmilyen krlmnyek kztt nem lehetsges
visszalltani az adott jelszt.
Egy adott hash birtokban egyetlen mdszernk a jelsz kitallsra a prblgats s sszehasonlts, azaz sok-sok jelsz kivonatnak elksztse, majd az ezek sszehasonltsa a feltrend jelsz kivonatval. Ezt a szaknyelvben brute force mdszernek hvjuk.
A jelszavak trolsi mdszere teht kulcsfontossg a hitelests szempontjbl. A rgebbi hitelestsi megoldsok mellzsnek oka pontosan az, ami ltalban a legfbb kritrium is ezekkel a mdszerekkel szemben: mennyi ideig
kpesek ellenllni a feltrs ksrletnek. Mivel a feltrshez szksges szoftverek kdjban matematikai mveletek dominlnak, ahogy n az ezekhez
szksges hardverelemek (CPU, RAM stb.) teljestmnye, gy cskkenhet a
trsre fordtott id. Mikor tekinthetnk egy mdszert tnyleg biztonsgosnak? Erre kivtelesen van ltalnos rvny szably: ha a vdett adatok
megszerzshez szksges id (nagysgrendekkel) tbb, mint amennyi ideig
biztonsgban szeretnnk tudni az adott adatokat.
A kvetkez lista elemei kzl nhny mr nincs, vagy alig van hasznlatban, de esetleg a kompatibilits miatt szksgesek lehetnek.
LAN Manager (LANMAN) Elgg egyszer jelsztrolssal (LM

hash) operl hitelestsi mdszer, a rgebbi Windows 3.1x/95/98/Me,
illetve MS-DOS opercis rendszerekben volt hasznlatos. A jelszavak
kivonatnak elksztse sorn olyan knyszer hinyossgokkal rendelkezik, amelyek miatt ma mr egyszeren s gyorsan lehetsges a
megfelel teljestmny hardverrel feltrni. A plda kedvrt nzzk
meg, hogyan kszl el egy LM hash:
1. A jelsz nagybetstse (teht teljesen mindegy, hogy felvltva
hasznlunk-e kis- s nagybetket!)
2. A jelsz kiegsztse szkzkkel, 14 bjt hosszsgra (teht, ha
egy 9-karakteres jelszavunk van, akkor gyakorlatilag egy 7 s
egy 2 karakterbl ll rszt kell feltrni, mivel az utols 5 karakter tuti, hogy szkz lesz!)
3. A 14-bjtos jelszbl (14 8 = 112 = 2 56 bit) 2 db DES kulcs
kszl.
109
4. A kt 56-bites DES kulccsal titkostunk egy mindig lland (!)

sztringet (KGS!@#$%).
5. Az eredmny 2 8 bjt, sszesen teht egy 16-bjtos hash.
Lthat, hogy tbb furcsa anomlia is jellemz erre trolsi mdszerre,
amelyek nagyban segtenek a brute force alkalmazsoknak, hogy pillanatok alatt elrjk a cljukat, ezrt aztn a LANMAN hitelests ma
mr tnyleg teljesen elavultnak szmt s veszlyes a hasznlata.
NTLMv1 (NT LAN Manager v1) Krds-vlasz (Challenge/Response) elven mkd autentikcis protokoll. Az NTLM hasznlatakor a
hitelestst kr gyfl egy vletlenszeren generlt 8-bjtos kihvst
(challenge) kap a kiszolgltl, melyet aztn a felhasznl jelszavval
titkost s visszakld, nmikpp feltuprozva, sszesen 2 24 bjtban.
Az NTLMv1 protokollt tipikusan a Windows NT 4 SP4 eltti rendszerekben alkalmaztk, s ma mr szintn nem nyjt elgsges vdelmet,
hiszen amellett, hogy egyrszt az MD4 (Message Digest 4) algoritmust
hasznlja az NT hash elksztshez (ami anno elg ers titkostsnak
szmtott), az imnti ismers, az LM hash is ugyangy rsze lesz a vlasznak, s gy nem jutunk sokra vele.
NTLMv2 Az els verzi kriptogrfiailag megerstett vltozata, a

Windows NT 4 SP4 javtcsomag ta hasznlhatjuk, a ksbbi rendszerek termszetesen mr alaprtelmezsben tartalmazzk. Ha nem ll
rendelkezsre a Kerberos protokoll (pl. webes hitelestsnl vagy tartomnyon kvl, vagy ha IP-cm alapjn kell hitelesteni), akkor tkletesen megfelelnek tekinthet, hiszen erssgt tekintve gyakorlatilag az
NTLMv2 szmt az sszes mdszer kzl a legjobbnak: 128-bites kulcsteret hasznl, kln-kln kulcsokkal az zenet hitelessg s integrits
biztostsra, s az MD4 helyett a HMAC-MD5 kivonatokkal operl.
Egyes hash-algoritmusok lehetv teszik, hogy paramterezzk ket, azaz a kimenetket kicsit
megvltoztathatjuk, amelyet szsnak (salted) is hvnak. Ez a mdszer lehetv teszi, hogy a
hash mindig egy kicsit msmilyen legyen, ezzel is neheztve az ellops lehetsgt. A korbban
emltett 8-bjtos kihvs pontosan errl szl, de ez csak a kezdet. Ma az egyik legjobb sszr a HMAC algoritmus (Hash Message Authentication Code), melyet gy terveztek, hogy a
meglv s bevlt algoritmusokkal vltoztats nlkl egyttmkdjn. gy jhet ltre a HMACMD5, amely nevbl kitallhat, hogy a HMAC egy komoly preparlst vgez az adatokon, s
ennek az eredmnyt juttatja el az eredeti MD5 algoritmushoz.
110
Mindkt NTLM-hitelestsi protokoll kzs htrnya viszont a relatve

nagyobb hlzati forgalom generlsa, amely pldul a kivonatok minden egyes alkalommal trtn elkldsben nyilvnul meg, s ez egyben emiatt nagyobb sebezhetsget is jelent.
Kerberos V5 A Microsoft a Kerberost (pontosabban ennek V5-s

verzijt) vlasztotta a cmtrszolgltats alaprtelmezett hitelestsi
protokolljv a Windows 2000 Serverben, s ez azta sem vltozott.
A Kerberos fbb elnyei kz tartozik a platformfggetlensg (mivel
egy RFC-ben rgztett tpus hitelestsi mdszerrel llunk szemben),
a minimlis hlzati plusz forgalom, valamint a biztonsgi hzirendbl
trtn konfigurlhatsg.
A Kerberos V5 nlklzhetetlen szolgltatsa a kulcsszolgltat kzpont (Key Distribution Center KDC), mely Active Directory cmtrszolgltats rszeknt minden tartomnyvezrln fut. A KDC felel a
jegyek kldsekor hasznlt titkostkulcsok generlsrt s folyamatos zemeltetsrt. A KDC az sszes tovbbi a tartomnyvezrlkn
fut biztonsgi szolgltatssal integrlva van, illetve az AD adatbzist, (illetve a globlis kalatgust is) hasznlja sajt adatbzisaknt.
A Kerberos V5 hitelestsi folyamata egyszerstve a kvetkezkppen mkdik (termszetesen az egsz hitelestsi folyamat lthatatlan
a felhasznl szmra):
1. Az gyflgpen belpni szndkoz felhasznl jelsz s/vagy intelligens krtya hasznlatval hitelesti magt a szintn a tartomnyvezrlkn fut sszetev, a hitelestsszolgltat (Authentication Service AS) fel.
2. Az AS leellenrzi a felhasznlt az AD segtsgvel, majd felveszi a kapcsolatot a KDC-vel az j kulcs legyrtsa rdekben.
3. A KDC egy egyedi (session) kulcsot biztost az gyflnek. Az AS
ezt egy specilis jeggyel (Ticket Granting Ticket TGT) egytt
kldi el a felhasznlnak. A TGT azrt is fontos (az gyfl el is
trolja), mert a tovbbi jegyeket is ezzel lehet majd krni, immr
anlkl, hogy a jelszra/felhasznlnvre szksg lenne. Ez a
kedvezmny persze nem tart rkk, alapbellts szerint mindsszesen csak 10 rig.
4. Az gyfl a nla lv TGT felhasznlsval jegyet kr s kap a
harmadik fontos kiszolgloldali komponenstl, a Ticket Granting Service-tl (TGS).
111
5. Vgl az gyfl ezt a jegyet mutatja be a krt hlzati szolgltatsnak (azaz az NTLM-mel ellenttben nem utazik minden alkalommal a jelsz kivonat a hlzaton!), pl. jelen esetben a tartomnyi belpst kontrolll tartomnyvezrlnek, s kap engedlyt a tartomnyi belpsre. Ha ezek utn az adott 10 rn bell valamilyen ms szolgltats esetn jra igazolnia kell magt,
akkor a letrolt TGT-vel megint kr egy szolgltatsjegyet, s
aztn csendben ezt bemutatja a kr fel.
A Kerberos V5-szolgltats minden tartomnyvezrln, a Kerberos-gyfl pedig minden munkallomson alaprtelmezsknt teleptve van, s aktv. Minden tartomnyvezrl kulcsszolgltatknt mkdik, az gyfelek hitelestskor DNS-lekrdezssel keresik meg a legkzelebbi
tartomnyvezrlt. A bejelentkezs sorn ez a megtallt tartomnyvezrl szolgl kulcsszolgltatknt a felhasznl szmra. Ha az elsdleges kulcsszolgltat elrhetetlenn vlik, a
rendszer j kulcsszolgltatt keres a hitelests vgrehajtshoz. Ha egyetlen kulcsszolgltat
sem elrhet, a belps meghisul.
3.6. bra: A multifaktoros hitelests elnyei knnyen belthatk
A felhasznlk hitelestse egy- vagy tbbfaktoros mdszerrel is trtnhet.

Tbbfaktoros hitelestsnek nevezzk azt az azonostsi metdust, ahol nem
csak egy nv/jelsz prossal, hanem egyb rendelkezsre ll eszkzkkel, pldul intelligens krtyval, vagy egyb hitelest hardverkulccsal (pl. SecurIDeszkzk), egyarnt azonostjuk magunkat.
112
A multifaktoros hitelests lnyegesen biztonsgosabb belpst tesz lehetv, hiszen a felhasznlt nemcsak jelszava, vagy kdja azonostja mely
esetleg kitallhat, vagy ms egyszer mdon megszerezhet hanem a fizikailag birtokolt eszkz is. Ilyenkor teht nemcsak tudunk valamit (a jelszt), hanem a van valamink elv is rvnyesl.
Az intelligens krtya (SmartCard) hasznlata esetn a felhasznlnak a
krtya PIN-kdjt kell csak ismernie, s a bejelentkezskor szksges a krtya is. A PIN-kd lehet egyszer is (pl. 4 karakter), de ez nem gond, mivel
nem megy t a hlzaton, hanem a Crypto API-n egyenesen thaladva a krtyhoz tartoz Crypto Service Provider segtsgvel lejut az eszkzbe. Ez az
tvonal elgg biztonsgos, gyakorlatilag lehallgathatatlannak tekinthet.
Radsul a krtyk ltalban rendelkeznek nmegsemmist szolgltatssal, vagyis X darab
sikertelen bejelentkezs utn hasznlhatatlann vlnak, illetve le is jrhatnak, azaz Y idej
inaktivits utn szintn nem hasznlhatak.
A Windows vilgban a kiszolgl s gyfl oldali opercis rendszerek s alkalmazsok (Active Directory cmtr, ISA Server, Vista stb.) tbbflekppen tmogatjk a multifaktoros hitelestsi tpusokat is, van, amelyiket teljesen integrltan (pl. az intelligens krtyk), s van, amelyeket csak kzvett, tovbbt kzegknt, egy-egy kls, kln telepthet alkalmazs fel (pl. RSA SecurID).
A jogosultsgok
A jogosultsgok definiljk a hozzfrs tpust egy erforrshoz, vagy mskpp fogalmazva, a sikeres hitelests utn a jogosultsgok alapjn hatrozhatjuk meg, hogy pldul a felhasznl vagy a szmtgp az adott objektumokkal milyen mveleteket vgezhet. Teht az engedlyezs (autorizci) folyamatnak az alapjt jelentik. A jogosultsgokat mindig az objektumokon
rvnyestjk, melyek listjt az albbi felsorolsban foglaltuk ssze (a kvetkez alfejezetekben pedig rszletezzk is ezeket):
NTFS-lemezeken trolt fjlok s mappk;
mappamegosztsok a hlzat felhasznli szmra (a helyi felhasznlknak is lehetsges, csak kevs rtelme van);
megosztott nyomtatk helyi s hlzati felhasznlk szmra.
113
Jogosultsgokat a lista elemein kvl bellthatunk ms rendszerobjektumok esetn is, pl. a

rendszerfolyamatok (processzek), rendszerszolgltatsok (szervizek), a registrykulcsok s bejegyzsek, vagy akr tartomny esetn a cmtrszolgltats objektumain is.
Az azonosts (pl. a rendszerbe val belps) utn a felhasznl egy testre szabott n. access tokent kap, ami tartalmazza jogosultsgait, csoporttagsgt stb.
A klnbz szolgltatst nyjt eszkzk ksbb ezt az access tokent ellenrzik, majd ennek tartalma alapjn dntik el, hogy a felhasznl hozzfrhet-e
egy erforrshoz (megosztott fjlhoz, szmtgphez stb.), vagy sem. Az egy-egy
objektumhoz rendelt hozzfrseket gynevezett hozzfrsi listkban (Access
Control List ACL) rgztik. Az opercis rendszer az ACL-ek alapjn engedlyezi vagy tagadja meg a hozzfrst az objektumokhoz, az ACL-ek pedig gynevezett Security Identifierek (SID) segtsgvel azonostjk a felhasznlt
vagy a szmtgpet. Az egyedi SID-eket a hitelest informcikat trol kiszolgl generlja, azaz pldul a helyi gp, vagy ppen a tartomnyvezrl.
A Security Identifierek felptse a kvetkezkpp alakul: (pldul: S-1-512-7623811015-3361044348-030300820-1013, rszeit egy tblzatban foglaljuk ssze).
S
A karakterlnc biztonsgi azonost voltt jelli
Fellvizsglati szint, az rtke lland
Az azonost hozzfrsi rtke
12-7623811015-3361044348030300820
A tartomnyi vagy helyi szmtgp-azonost
1013
A relatv ID (RID), minden nem beptett (teht

ltrehozott) felhasznl vagy csoport RID-je
1000-nl nagyobb lesz.
Ahogyan mr emltettk, a Windowsban tbb elre definilt felhasznli-, szolgltatsfik, illetve felhasznli csoport is ltezik, ezek SID-jei minden esetben
llandak, gy a gyakorlottabb rendszergazdk akr a nv lthatsga nlkl is
azonosthatjk ezeket (pldul esemnynaplkban, hibakeres szoftverekben).
A legfontosabb kzismert (ms nven: well-known) SID-ek a kvetkezk:
S-1-5-18
LocalSystem szolgltatsfik
S-1-5-19
LocalService szolgltatsfik
S-1-5-20
NetworkService szolgltatsfik
114
S-1-5-21<tartomny hash-e> -500
Administrator (Rendszergazda) felhasznl
Guest (Vendg) felhasznl
Domain Admins (Tartomnygazdk) csoport
Domain Guests (Tartomnyi vendgek) csoport
A beptett (built-in) felhasznlk s csoportok SID-jnek teljes listjt a Microsoft KB243330

szm tudsbziscikke sorolja fel. (http://support.microsoft.com/kb/243330)
A SID-ek lekrdezsre hasznlhatjuk az integrlt whoami parancsot, tbbfle paramterrel is, pl. a whoami/user az aktulis felhasznl SID-jt mutatja
meg. Az objektumok ACL-jeit s minden egyb jogosultsggal kapcsolatos informcijt az n. Security Descriptor trolja. Egy objektum Security Descriptorja a kvetkez elemeket foglalja magba:
tulajdonos SID-je;
csoport SID-je (az objektum elsdleges csoporttagsgt adja meg, a

Windows ltalban nem hasznlja);
hozzfrsi listk:
DACL (Discretionary Access Control List): a felhasznlk s csoportok konkrt jogosultsgi szintjeit hatrozza meg, azaz, hogy
ki, mit tehet meg pl. az adott fjllal.
SACL (System Access Control List): a hozzfrsek naplzsi

mdjt hatrozza meg, azaz, hogy kinek milyen sikeres vagy ppen sikertelen, az objektumon vgzett mvelett kell naplzni.
bejegyzsek (Access Control Entry, ACE): egy-egy konkrt jogosultsgi

bejegyzs az adott hozzfrsi listban (pldul: Everyone Read).
115
A fjlrendszer-jogosultsgok
A Windows opercis rendszerek tipikus fjlrendszere, az NTFS esetn a jogosultsgokat tbb klnbz szempont szerint csoportosthatjuk, ezek egyike
a mvelet tpusa, melyekre a kvetkez pldk hozhatak fel:
Engedlyezett: az adott felhasznl/gp szmra az objektumhoz az

adott mvelet engedlyezett.
Megtagadott: A tilts mindig magasabb rend, mint az engedlyezs,

ezrt, ha mindkt opci be van jellve, a tilts rvnyesl.
Nincs megadva: a jogosultsg alaprtelmezsknt nincs definilva,

hatsa egyenrtk a tiltssal.
rkltt: az objektum a szlobjektum (egy vagy tbb szinttel feljebb

lv gyjtobjektum) jogosultsgaival rendelkezik. Az rkltt jogosultsgi belltsokat ltalban kiszrktett vagy teli jelldobozok mutatjk. Az rkldsi gat megszakthatjuk, azaz egy alsbb objektumnl
egyni hozzfrst konfigurlhatunk, ekkor az alsbb objektumnl exkluzv mdon adhatunk hozz, vagy vehetnk el jogosultsgot.
3.7. bra: Az alaprtelmezett jogosultsg rklds megszntethet
A fjlrendszer-jogosultsgokat elssorban a grafikus felhasznli felletrl

kezeljk amennyiben megvan a kell hozzfrsnk az objektumhoz. A vltoztatshoz egyszeren kattintsunk jobb gombbal az elemre, majd vlasszuk
a Properties (Tulajdonsgok) parancsot s vltsunk a Security (Biztonsg)
flre. Itt az egyes hozzrendelt felhasznlkat s azok alapvet rvnyes jo116
gosultsgait tekinthetjk s vltoztathatjuk meg, de ttekinthetbb s kezelhetbb listt kapunk az sszes biztonsgi belltssal egytt, ha az Advanced
(Specilis) gombra kattintunk. Nzznk egy konkrt pldt, azaz egy mappa
jogosultsgi listjt
3.8. bra: Plda a jogosultsgi listkra
1. A TORONY\gtamas felhasznlnak teljes jogosultsga (Full control)

van a mappn, s nem rklte (not inherited) hanem manulisan kapta. Ez a mappa egy tartomnyba lptetett gpen tallhat, ennek ellenre a helyi gp (TORONY) egy csoportjnak vagy felhasznljnak is
adhatunk jogosultsgot
2. A testadmin felhasznl tartomnyi felhasznl, de ettl fggetlenl
is kaphat jogokat a helyi gpen, de neki csak olvassi joga van, rs
nincs, valamint az is lthat, hogy az jogosultsga sem rkld.
3. TORONY\Administrators csoportnak szintn teljes jogosultsga van
az adott mappn. Az rdekes ebben az, hogy ebbe a csoportba beletartozik a testadmin felhasznl is, ergo az elz sor teljesen felesleges.
Emellett az is ltszik, hogy ez a csoport a D: meghajt gykertl kapja
rkls tjn ezt a jogosultsgot, automatikusan.
117
4. A SYSTEM nev fik magt az opercis rendszert, pontosabban a

rendszerszolgltatsokat testesti meg, ennek megfelelen minden jogosultsga megvan, ami csak ltezik (Full Control).
5. Az Authenticated Users (Hitelestett felhasznlk): Ez a csoport az
adott mappn mdostsi joggal rendelkezik, teht egy fokkal magasabbal, mint a szimpla Users csoport.
6. A TORONY\Users csoport tagjainak olvassi joga van. Nem ltszik a
kpen, de ebbe a csoportba beletartozik a gtamas es a gjakab nev felhasznl is. Mgis klnbzek lesznek a jogaik, mert a msodik sorban kln, engedkenyebb szablyzst kapott a gtamas, mg a gjakab
nem, teht r a csoportnak adott egyszer olvassi jog vonatkozik csak.
7. A HOMENET\Guest csoport tagjainak nem rkld, viszont mindent
tilt jogosultsga van. Ez akkor is gy lenne, ha egy msik sorban kapott
volna brmilyen engedlyt is ez a csoport, hiszen a tilts mindent visz.
Egy fontos dolgot amelyrl mr volt sz korbban immr konkrtan is
megfigyelhetnk: a jogosultsgokat ltalban a csoportoknak osztjuk, jelen
pldban csak a jobb magyarzhatsg kedvrt vettem fel a listba a testadmin s a gtamas felhasznlkat, egybknt alaprtelmezs szerint is csak
csupa csoportot lthatnnk. Ennek az elvnek alapos oka van, ti. lnyegesen
knnyebb utlag bevenni egy felhasznlt egy csoportba, mint 10, 20 stb. helyen egyesvel berakni a szksges jogosultsgi listkba.
Egy msik megfontoland, s szintn ratlan szably az, hogy az tlthatsg s az egyszerbb kezels miatt nem fjloknak, hanem a fjlokat trol mappknak osztunk engedlyeket. Az rkldst
viszont a legritkbb esetben kapcsoljuk ki, inkbb tervezzk meg alaposan a hatst. Szintn csak
indokolt esetben hasznlatos az explicit tilt (Deny) jogosultsg, ltalban bven elegend, ha az
adott csoport/felhasznl implicit tiltst kap, azaz nem szerepel a jogosultsgi listban.
Ha viszont nem ragadunk le a Permissions (Engedlyek) els jogosultsgi ablaknl, akkor tbb rdekes s fontos lehetsgre is rbukkanhatunk ezen az
ablakon bell, nzzk meg ezek rszleteit is:
Permissions fl / Edit (Szerkeszts) A jogosultsgok rszletes belltsra, valamint pldul az rklds megvltoztatsra is lehetsgnk nylik. Kt opcink van itt:
118
Include inheritable permissions from this objects parent

(Szlobjektum rklhet engedlyeinek hozzvtele) A jelenlegi, rklt jogosultsgok teljesen eltvolthatak, vagy lemsolhatak s szerkeszthetek szabadon.
Replace all existing inheritable permission on all descendants with inheritable permissions from this object (A meglv rklhet engedlyek lecserlse az ezen objektumtl rklhet engedlyekre az sszes gyerekobjektumon) azaz az adott szinten lv jogosultsgok lefel (almappkba s fjlokra) trtn
erszakos kiknyszertse.
Ha errl a pontrl visszalpnk egyet, akkor elnaviglhatunk az Auditing (Naplzs) flre is, ahol az adott mappa vagy fjl hozzfrsnek
naplzst llthatjuk be. Nhny tudnival ehhez a lehetsghez:
Alaprtelmezsben csak a rendszergazda-csoport tagjaknt tehetjk meg az auditls belltst.
A lista kialaktsa ugyangy mkdik, mint a jogosultsgoknl.
Az rklds elvgsa s kiknyszertse is ugyanazt a mdszert

kveti.
Az eredmnyt az esemnynaplban talljuk, konkrtan a Security (Biztonsg) naplban.
A fjlrendszer hozzfrseinek naplzshoz nem elg itt belltani a paramtereket, globlisan is engedlyezni kell ezt a lehetsget. Ezt a helyi vagy a csoporthzirendben tehetjk meg, a
Audit Policy (Naplrend) opcik kztt az Audit object access
(Objektum-hozzfrs naplzsa) belltsval.
Lpjnk tovbb, s tekintsk meg az Owner (Tulajdonos) fl tartalmt.
Itt megvizsglhatjuk, illetve megfelel jogosultsggal mdosthatjuk az adott objektum tulajdonosi viszonyait, lvn minden
egyes erforrsnak (a hlzati megosztsok kivtelvel) ltezik
tulajdonosa is. Ha pldul a felhasznl ltrehoz egy mappt,
akkor automatikusan vlik a tulajdonoss.
rdekes jellemz, hogy annak ellenre, hogy a tulajdonosi viszonnyal nem felttlenl jr egytt a legmagasabb jogosultsg,
(ha van egyltaln brmilyen is), viszont a jogokat gond nlkl
kioszthatja msoknak.
Rendszerfelgyeleti szempontbl lnyeges dolog, hogy a tulajdonos sz nlkli jogosultsgosztogatsi lehetsgt fkezve, a rendszergazdacsoport tagjai rendelkeznek a Take Ownership (Sajt tulajdonba vtel) jogosultsggal. Ez akkor is gy van, ha a tulajdonos letilt bennnket. Ez azrt fontos, mert nha mikor mint zemeltetk nem szerepelnk a jogosultsgi listban s nem vagyunk tulajdonosok sem ezzel a joggal felvrtezve, a sajt tulajdonbavtel
lesz a mentsvrunk a fjl biztonsgi belltsainak megvltoztatsra.
119
A kvetkez fl, az Effective Permission (Hatlyos engedlyek) egy kifejezetten hasznos eszkz, amellyel egy a rendszerben lv tetszleges
felhasznl vagy csoport konkrt s aktulis jogosultsgait kilistzhatjuk, az adott mappra vonatkozan. Ezzel pillanatok alatt kiderlhet,
hogy az esetlegesen jl sszekuszlt csoport-, illetve egynileg kapott
jogosultsgok halmaznak mi a vgeredmnye.
A fjlrendszer hozzfrs szablyzsa

Minden objektum egyedi, r jellemz
hozzfrsi listval rendelkezik, amelyek belltsi rszleteit s lehetsgeit
mr bemutattuk. A konkrt jogosultsgok ismertetse viszont mg htravan.
Ebben az alfejezetben a mappk, s a
fjlok jogosultsgairl lesz sz, de a hlzati s a nyomtatsi jogosultsgokra
is kitrnk a kvetkez rszekben.
A fjlrendszerhez, (csak az NTFSrl beszlnk), kapcsold jogosultsgoknl viszont szt kell vlasztanunk
a fjlokra s a mappkra vonatkoz
lehetsgeket. Ezen a terleten a mappkra vonatkoz opcik szlesebb krek, ennek oka elssorban az, hogy azok tovbbi mappkat, illetve fjlokat is
tartalmazhatnak, azaz sszetettebb felptsek. Ha j alaposan megnzzk a
3.8. brt (117. oldal), akkor azt vehetjk szre, hogy az sszes kiosztott jogosultsg az adott mappra, az almappira s a bennk lv fjlokra rvnyes
ez rszben kiderl az Apply to oszlopbl. De nem felttlenl kell, hogy ez gy
legyen, tetszs szerint szrhetjk a jogosultsgokat e szerint a hrmas tagozds szerint, brmelyik szinten a mappk kztt.
A mappkon llthat alap jogosultsgok a kvetkezek:
120
Write (rs): Fjlok, almappk ltrehozsa, mdostsa, attribtumaik

megvltoztatsa, rs meglv fjlokba.
Read (Olvass): A mappa tartalmnak listzsa, fjlok, mappk s

attribtumok olvassa.
List Folder Contents (Mappa tartalmnak listzsa): A Read jog,

plusz a knyvtr bejrsa, valamint az ACL-listk elolvassa.
Read and Execute (Olvass s vgrehajts): Az elz kt jog egyttese,

plusz a fjlok futtatsa
Modify (Mdosts): A Write + a Read and Execute egyttese
Full Control (Teljes hozzfrs): Minden ltez jogosultsg
Azt is tisztn kell ltnunk, hogy ezek gyakorlatilag jogosultsgcsoportok,

amelyeknek tovbbi konkrt elemeik is vannak, azaz ennl sokkal finomabban is szablyozhatunk, ha a kvetkez kpen lthat, rszletes mappa jogosultsgokat hasznljuk.
A fjlokkal kapcsolatban ugyanezeket az alapjogosultsgokat kapjuk,
azonban a jogosultsguk egyszerbb, hiszen pldul egy Delete Subfolders
and Files (Almappk s fjlok trlse) rszletes jogosultsgbl csak az egyik
rsz lehet rvnyes esetkben.
3.9. bra: A mappk rszletes jogosultsgai, illetve a hatkr lehetsgei
Fjlrendszer jogosultsgok kezelse a parancssorbl

A jogosultsgok parancssorbl is kezelhetk, gy igny szerint szkriptelhet s
automatizlhat is a folyamat. A Windows korbbi verziiban hasznlatos
cacls (Change Access Control Lists) parancsot a Vistban a tovbbfejlesztett,
tbb lehetsget nyjt icacls vltja fel. Az elrhet paramterek ismertetshez hasznljuk az icacls /? utastst.
121
3.10. bra: A jogosultsg kioszt parancssori eszkz szintn univerzlis

Jogosultsgkezels alapok
Ebben a screencastban az opercis rendszer partci, fjl- s mappa szint hozzfrseinek
szablyzsrl lesz sz, rszletes pldkon keresztl.
Fjlnv: I-3-1aJogosultsagkezeles.avi
A hlzati megosztsok jogosultsgai

Ha egynl tbb szmtgpet hasznlunk egy szervezetben, mr felmerlhet
az igny bizonyos erforrsok, pldul a fjlok s a mappk kzs hasznlatra. A Windowsban lehetsg van ezeknek az erforrsoknak a megosztsra,
gy megfelel jogosultsgok birtokban tvolrl is egyszeren elrhetjk
ket. A megosztott objektumokat ltalban egy helyen, az els fejezetben bemutatott Computer Management MMC konzolbl kezelhetjk, itt pldul felvehetnk, trlhetnk megosztsokat, illetve mdosthatjuk a meglvk biztonsgi belltsait, de gyakorlatilag minden mappa tulajdonsgai kztt is
megtalljuk ezt a lehetsget [Share (Megoszts)].
A Windows Vistban tovbbi ktfle mdon, varzslkkal is megoszthatunk mappkat: adott egy egyszerstett megolds, illetve a klasszikus vltozat is a rendelkezsnkre ll. Az, hogy melyiket kapjuk, azon mlik, hogy a
vezrlpulton a Folder Options (Mappa belltsai) alatt, a View (Nzet) fln
bekapcsolva hagytuk-e az alaprtelmezett Sharing Wizardot (Megoszts varzsl). Ha igen, akkor az egyszerstett vltozattal is dolgozhatunk, ha nem
akkor csak s kizrlag a klasszikussal.
A mappamegoszts engedlyezse esetn a szmtgpnk egybl fjlkiszolglv vltozik (azrt nem gy, mint egy valdi hlzati kiszolgl opercis rendszer, rszletekrt lsd a 4. fejezetet) mg a megosztshoz kapcsold msik gpbl gyfl lesz. Fontos krlmny, hogy a mappamegosztsokat
122
nem az egyes felhasznlk vgzik (viszont csak az emelt szint jogosultsggal

rendelkez felhasznlk indthatjk a megoszts folyamatt), hanem az opercis rendszer. Ez azrt fontos, mert ennek megfelelen a hlzati megoszts
elrshez elg a szmtgp bekapcsolt llapota, nem szksges egy-egy felhasznl interaktv belpse. Ebbl az is kvetkezik, hogy a konfigurlt megosztsok a rendszer jraindtsa utn is megmaradnak s a kvetkez alkalommal is elrhetek lesznek.
A megosztsok belltshoz s mkdshez a File and Printer Sharing (Fjl- s nyomtatmegoszts) szolgltatsnak engedlyezve kell lennie az adott hlzati profilban. Ezt a Network
and Sharing Centerben (Hlzati s megosztsi kzpont) tudjuk ellenrizni.
ltalban szksges s elvrt lps a megosztsokhoz jogosultsgokat is kiosztani. Ez esetben mindenkppen hitelestenie is kell magt az gyflgp
felhasznljnak. A mappamegosztsoknl alapveten csak hrom jogosultsgi szint ltezik, amelyek az engedlyek szintje szempontjbl gyakorlatilag
teljesen megegyeznek az NTFS ugyanilyen nev jogosultsgaival:
Read (csak olvass),
Modify (mdosts),
Full Control (teljes hozzfrs).
Fontos tudni azt is, hogy a helyi fjlrendszeren (NTFS) rvnyes s a hlzati
megosztsnl megadott jogosultsgok kzl prhuzamossg esetn mindig a szigorbb, (ms szval a klnbz jogosultsgok metszete), lesz az rvnyes, teht ha az egyik ponton csak olvasst, a msikon pedig rst is engedlyeznk az objektumhoz, akkor csak olvassra frhetnk majd hozz.
Szemlltessk ezt egy plda segtsgvel: a gtamas felhasznl tagja a
Users, illetve a HaladoUsers csoportnak is. A D:\Temp mapphoz emiatt aztn tbbfle NTFS-jogosultsga is van, illetve mivel ez egy megosztott mappa
is egyben, s ms gprl is el kell rnie, megosztsi joggal is rendelkezik a
csoporttagsga rvn.
Felhasznl/
csoport
NTFS jogok
Megoszts jogok
gtamas
Full Control
Read
Users
Modify
HaladoUsers
Modify
Read
sszegzs
Full Control
Read
rvnyes jog
Read
123
A megosztsokat a grafikus felhasznli felleten kvl parancssorbl is kezelhetjk a net parancs use paramterrel trtn hasznlatval. Az aktulis
hlzati megosztsok listjhoz csak egyszeren, egyb kapcsolk nlkl adjuk ki a net use utastst.
3.11. bra: Jogosultsgok a Windows Vista egy megosztott mappjn
Specilis megosztsok
A Windows opercis rendszerekben hagyomnyosan s alaprtelmezs szerint lteznek specilis megosztsok is, elssorban a rendszergazdk munkjnak knnytse, illetve a szmtgpek s alkalmazsok egyszerbb kommunikcija okbl. Ezeket Default Administrative Shares-nek (alaprtelmezett felgyeleti megosztsoknak) hvjuk, s a mr tbbszr emltett Computer
Management MMC-ben tekinthetjk meg ezek listjt, de a net share parancs
is kpes ugyanerre.
124
3.12. bra: Jogosultsgok a Windows Vista egy megosztott mappjn
Ezen megosztsok kzs jellemzje, hogy a nevk a $ karakterrel kezddik,

amely gyakorlatilag annyit jelent, hogy a gpnk hlzatbl trtn tallzsnl nem fognak ltszani, csak direktben, kzvetlenl a teljes megosztsi nv
(\\gp\megosztas$) formjban lehet ezekre hivatkozni. Viszont mi magunk
is hozhatunk ltre a $ jellel rejtett megosztsokat. Az is lthat az brbl,
hogy mindegyik partci rendelkezik alaprtelmezs szerint, (anlkl, hogy
megosztannk), egy-egy ilyen megosztssal. Ezen kvl a kvetkez specilis
mappk rejtett megosztsok is egyben:
ADMIN$: Az adott opercis rendszer rendszerknyvtra, ltalban a

C:\Windows mappa.
IPC$: Hlzatban, a gpek kztti kommunikcit szolgl megoszts

(Inter-Process Communication).
Print$: nyomtat esetn, a nyomtatmeghajt program lelhelye lesz ez

a megoszts, ltalban a C:\Windows\system32\spool\drivers mappa.
Erforrs-megoszts
Ebben a screencastban a Windows Vistval kivitelezhet erforrs-megosztsrl, azaz a fjl- s
nyomtatkiszolglknti mkds lehetsgeit mutatjuk be.
Fjlnv: I-3-1bEroforras-megosztas.avi
125
A megosztott nyomtatk jogosultsgai

A Vistban termszetesen van lehetsgnk a gphez illesztett nyomtatk megosztsra, tipikusan egy msik felhasznl ltal, a hlzatbl trtn hasznlatra. Ebben az esetben viszont szksges lesz jogosultsgokat meghatrozni az
adott nyomtat lehetsgeivel kapcsolatban. A fjlrendszer- vagy a megosztsjogosultsgokkal sszehasonltva a nyomtatsi jogosultsgok lnyegesen szkebb
krek, gyakorlatilag az sszeset tartalmazza a kvetkez tblzat.
Jogosultsg
Rszletek
Print (Nyomtats)
dokumentumok nyomtatsa;
sajt dokumentumok nyomtatsi jellemzinek bellts;
sajt dokumentumok nyomtatsnak meglltsa,
jraindtsa s trlse.
Manage Printers
(Nyomtatkezels)
a nyomtat megosztsa;
a nyomtat tulajdonsgainak megvltoztatsa;
a nyomtat eltvoltsa;
a nyomtatsi jogosultsgok megvltoztatsa;
a nyomtat lelltsa s jraindtsa.
Manage Documents
(Dokumentumok
kezelse)
az sszes a nyomtatsi sorban lv dokumentum nyomtatsnak meglltsa, jraindtsa,

mozgatsa s trlse.
Ha megosztunk egy nyomtatt, akkor a jogosultsgi listjba alaprtelmezs

szerint bekerl az Everyone csoport, a szimpla nyomtats joggal, tovbb a
jogosultsgi listban szerepel mg az Administrators csoport is, az sszes elrhet nyomtatsi jogosultsggal.
A felhasznli engedlyek
Ha szeretnnk tisztban lenni az erforrs-kezels tmakrrel, akkor vilgosan kell ltnunk, hogy a hitelestst kvet engedlyezs folyamata (autorizci) nemcsak a sokkal inkbb a szemnk eltt lv fjl-, megoszts-, vagy pl. a
nyomtatsi jogosultsgokra vonatkozhat, hanem az egsz szmtgpet rint
engedlyekre is. A klnbsg ppen a hatkr, azaz az engedlyek trgya k-
126
ztt van, mert amg a jogosultsgok ltalban egy-egy objektumot rintenek,

az engedlyek az opercis rendszer mkdsvel kapcsolatosak, radsul
tbbnyire elgg komoly hatst kifejtve.
Ezen engedlyek meghatrozsa, illetve vltoztatsa ltalunk is befolysolhat, mg ha ezt ltalban tnyleg csak indokolt esetben szksges elvgezni. Ahhoz, hogy megtekinthessk a gpre vonatkoz engedly listt, indtsuk el a Local Security Policy (Helyi biztonsgi hzirend) MMC-konzolt.
Ezt az MMC-t csak a Business, Enterprise, vagy az Ultimate vltozatoknl rjk el, viszont
ezeknl kpesek vagyunk elindtani egyszeren is: gpeljk be Start/Run mezbe vagy a parancssorba a secpol.msc parancsot.
Ezutn navigljunk el a Security Settings\Local Policies\User Rights Assignment (Biztonsgi belltsok\Helyi hzirend\Felhasznli jogok kiosztsa)
pontra, ahol az sszes opcit egy tetszets, csoportostott listban, az MMCkonzol jobboldali keretben lthatjuk.
3.13. bra: Az engedlyeket a hzirenden keresztl szablyozhatjuk
127
Rgtn lthat, hogy j pr opci esetn mr az alapbellts, azaz a megfelel

felhasznli fikok, illetve a csoportok hozzrendelse megtrtnt, ami azrt
logikus, mert pl. az Allow Log On Locally (Helyi bejelentkezs engedlyezse)
engedly nlkl senki sem hasznlhatn az opercis rendszert. Ha alaposan
megnzzk a lista elemeit, akkor azt is szrevehetjk, hogy nhny esetben
az engedlyek eleve tilts formjban is szerepelnek, egy kzs Deny (magyarul viszont tbb, klnfle nyelvtani mdszerrel megoldott) eltaggal:
Deny Access This Computer From The Network (A szmtgp hlzati

elrsnek megtagadsa)
Deny Allow Log On Through Terminal Services (Terminlszolgltatsok hasznlatval trtn bejelentkezs tiltsa)
Deny Log On As A Batch Job (Ktegelt munka bejelentkezsnek megtagadsa)
Deny Log On As A Service (Szolgltatsknti bejelentkezs megtagadsa)
Deny Allow Log On Locally (Helyi bejelentkezs megtagadsa)
Ezeknek az opciknak mindig van teht engedlyez vltozata is, azaz ktfajta mdon is tudjuk finomhangolni a hozzjuk tartoz lehetsget. Alaprtelmezs szerint pl. a helyi belps engedlyezve van a helyi Guest fiknak, illetve az Administrators, Backup Operators, s Users csoportoknak. Ha valamely felhasznltl szeretnnk elvenni a helyi belps jogt annak ellenre,
hogy pl. a Users csoport tagjaknt ez jr neki , akkor a tilt opci al felvehetjk, konkrtan nevestve a fikjt. Mivel az tilts ersebb lehetsg, a
felhasznl nem fog tudni belpni az opercis rendszerbe.
Ezen engedlyek kiosztsa teht a gyri belltson alapul, de akr mi magunk is vltoztathatunk ezen a helyzeten, illetve a rendszer nmikpp egy automatizmussal is sznesti lehetsgeket. Egy plda: ha hlzati megosztsokat engedlyezzk a Network and Sharing Centerben (Hlzati s megosztsi kzpont),
s egyttal a jelszval vdett hozzfrst kikapcsoljuk (lehetleg ne tegynk ilyet,
ez csak egy plda), akkor a Guest fik kikerl a korbban emltett Deny Allow
Log On Locally (Helyi bejelentkezs megtagadsa) engedly opcibl.
Az engedlyek listja terjedelmes (kb. 45 db), rtelmk s felhasznlsi
terleteik gyakran mly ismereteket ignyelnek magrl az opercis rendszerrl. Ennek a knyvnek nem szndka az engedlyek egyenknti alapos
bemutatsa, annyit viszont mindenkppen clszer megjegyezni, hogy ha
brmelyik opcit megnyitjuk, akkor az Explain (Magyarzat) fln egy-egy
frappns rtelmezst kaphatunk az adott engedly jelentsrl, illetve az
esetleges verzi fggsgekrl is.
128
Windows XP Service Pack 2 biztonsgi vltozsok
A magyarzatoknak a legtbb esetben rsze a biztonsgi felhvs is, amely

szerint vatosan bnjunk a gyri belltsok konfigurlsval vagy az esetleges trlsekkel, hiszen slyos, esetleg visszallthatatlan srlseket is okozhatunk a nem tgondolt vltoztatsokkal.
Windows XP Service Pack 2

biztonsgi vltozsok
A knyelem + biztonsg mindig = 1 ttel miatt kompromisszumok nlkli
biztonsgrl sohasem beszlhetnk. A Windows asztali opercis rendszerek
esetn korbban fknt a kompatibilits s az egyszer, knyelmes hasznlat okn nmikpp httrbe szorult a biztonsgossg. Hozztartozik a viszszatekintshez persze az a tny is, hogy nem is kellett olyan mrtk veszlyeztetettsggel szmolnunk, mint napjainkban, amikor pldul az internet
rvn, a rendszereinket szinte minden oldalrl folyamatos tmadsok rik.
A Windows XP 2001-es kiadst kveten viszont egyre tbb problmt okozott a srlkenysgek, illetve a rendszerek elleni incidensek szmnak nvekedse, egyre szksgszerbbnek ltszott az alapos s mlyre hatol korrekci. A Microsoft ekkor megtette az els szksges lpseket annak rdekben, hogy a szmtgpes munkakrnyezet ebben az j, veszlyesebb vilgban
is biztonsgos s stabil legyen, akr az gyfl oldali, akr a kiszolgl oldali
opercis rendszerekre gondolunk. Mi most az gyfloldalra fkuszlva, az
XP SP2 vltozsairl szeretnnk ebben a rszben nmi zeltt adni.
A redmondi szoftverfejlesztk j stratgija, az gynevezett Trustworthy
Computing (megbzhat szmtstechnika) jegyben vgl 2004 augusztusban megjelent a Windows XP msodik javtcsomagja, a Service Pack 2, mely
szinte kizrlag a biztonsgrl szlt s tbb olyan jtst is bevezetett, melynek ksznheten szinte jjszletett a rendszer. A megjult Windows tzfal
pldul alaprtelmezsknt bekapcsolsra kerlt, az Internet Explorer pedig
mely mindig is kzponti tma volt, ha Windows-biztonsgrl esett sz az
elugr ablakok blokkolsval s a klnbz letlthet bepl modulok tovbbfejlesztett kezelsvel jeleskedett. A rendszerben az egyre gyakoribb vl puffer-tlcsordtsos tmadsok elleni vdelemknt bevezetsre kerlt a
Data Execution Prevention (DEP/NX), mely az operatv tr vdelmt hivatott
szolglni oly mdon, hogy az adatok szmra fenntartott memriacmeken
tiltja a kdvgrehajtst. Tovbbi jdonsg volt mg a DCOM-rendszerkomponensek s az azokat koordinl RPC-szolgltats (tvoli mvelet vgrehajts)
biztonsgi szintjeinek emelse.
129
3.14. bra: Security Center
A felhasznli felleten nem sok minden vltozott, az egyetlen szembe tn

jdonsg a Security Center (Biztonsgi kzpont) megjelense volt, mely a
Windows beptett s a kls fejlesztk ltal teleptett biztonsgi szolgltatsok (tzfal, antivrus, automatikus frisstsek) llapott felgyeli.
Knyvnkben a Windows XP SP2-ben megjelent Security Center bemutatsa a Vista Security

Centerrel egytt trtnik meg, a kvetkez alfejezetben.
130
jdonsgok a Vista biztonsgi

rendszerben
A Microsoft a Windows Vista ksztsnek idejre mr teljesen j alapokra
fektette szoftverfejlesztsi stratgijt, azaz a biztonsg nagyon elkel helyen bekerlt az elsdleges szempontok kz. Ennek megfelelen az j opercis rendszer soha nem ltott technolgiaarzenlt vonultat fel, melyek
mind-mind a rendszer s az adatok vdelmt szolgljk. A kvetkezkben a
Windows Vista biztonsgi szolgltatsait ismertetjk, az alapoktl egszen a
felhasznlk szmra is tapasztalhat megoldsokig.
Vdekezs a mlyben
Ebben a rszben a Windows Vista olyan felszn alatti, gyakran ltalunk nem
is befolysolhat, bellthat komponenseinek s szolgltatsainak az ttekintst ksreljk meg, amelyek majdnem 100%-osan jdonsgnak szmtanak. gy gondoljuk, hogy fggetlenl attl, hogy a napi szint zemeltetsben nem tallkozunk konkrtan ezekkel a megoldsokkal hanem ltalban
csak maximum az elnyeiket lvezzk , tjkozottnak kell lennnk a biztonsgos mkds megteremtsnek minden rszletvel. Ennek megfelelen a jelen fejezetbe a programkd, a kernel, a rendszerfjlok, s a memria vdelmvel, srthetetlensgvel s mkdsi specialitsaival kapcsolatos tudnivalkat szerkesztettk ssze.
A programkd integritsnak vdelme

A Windows rendszerfjlok vdelme az illetktelen mdostsok s cserk ellen
alapvet fontossg a rendszer stabilitsa s megbzhatsga szempontjbl.
A rendszerkomponensek vdelmre mr a korbbi verzikban is volt eszkz
(System File Checker, SFC), a Windows Vista azonban mr a rendszerbetlt
s a kernel szintjn tartalmaz egy szolgltatst, mely a kritikus rendszerfjlok kd-alrst ellenrzi.
A 64-bites opercis rendszerek tmogatsa apropjn j hardverek, j
eszkzmeghajtk, s j alkalmazsok jelennek meg, ezrt a Microsoft szmos
j a kompatibilits megrzse miatt eddig megvalsthatatlan megoldst
pt be 64-bites termkeibe, melyek gy vgre tiszta lappal, az alapoktl
kezdve biztonsgosknt plhetnek meg.
131
A Windows Vista 64-bites tmogatsa az x64-es rendszerek esetben rtend, Itaniumra kszlt
vltozatot a Microsoft nem adott ki. A 64-bites opercis rendszerekrl rszletesebb informcit
a kvetkez TechNet Magazin cikkbl rhetnk el: http://download.microsoft.com/download/
a/1/a/a1ac3b96-011e-4cca-9dba-78973187567d/26-29.pdf vagy http://tinyurl.com/2q22jz
A 32-bites vilggal egyelre termszetesen fenn kell tartani a kompatibilitst,

a kd integrits vdelem gy a 32- s a 64-bites platformokon nmikpp eltren mkdik.
132
x64
Minden kernelmdban fut kdot digitlis alrssal kell elltni.

Ez biztostja, hogy a fjl bizonythatan a sajt kiadjtl szrmazzon. Ha a komponens nincs alrva, a Windows megtagadja
az llomny futtatst.
A kls kdoknak illesztprogramok, segdalkalmazsok stb.

WHQL-kompatibilitsi s minsgi, illetve Microsoft Certificate
Authority tanstvnnyal kell rendelkeznik. Ez all semmilyen
program nem lehet kivtel.
x86
A kompatibilits fenntartsa rdekben a 64-bites platformhoz

kpest tbb kompromisszumra is knyszerlt a Microsoft. A digitlis alrst csak illesztprogramok esetn ellenrzi a rendszer,
de ha a kd nem rendelkezik ilyennel, a Windows akkor is engedlyezheti a teleptst, ami hzirend, vagy belltsfgg opci is
lehet, teht egy vllalati hlzatban megkvetelhetjk a csoporthzirenden keresztl a ktelez alrst. A Microsoft ltal
szlltott, beptett eszkzmeghajtk termszetesen mind rendelkeznek alrssal.
Az alkalmazsszinten fut programoknl nem kvetelmny sem

a digitlis alrs, sem a WHQL-tanstvny, ez azonban szintn
a biztonsgi hzirendbl szablyozhat, teht a rendszergazda
opcionlisan engedlyezheti a vdelmet.
3.15. bra: Figyelemfelhvs eszkzmeghajt teleptskor
A Vista rendszervdelem
A Vista Windows Resource Protection (WRP) megoldst sokszor a korbbi
Windows File Protection (WFP) megoldssal azonostjk. A WFP a Windows
2000-rel s egy hasonl megolds, a System File Protection (SFP) pedig a
Windows Millennium Editionel lett bevezetve. Mindkett hasonlt a WRP-re
de szignifikns eltrsek vannak a megvalstsban.
A WFP csak fjlokat figyel, mg a WRP a kritikus fjlokat, mappkat s a
regisztrcis adatbzis bejegyzseit is vdi. A WFP/SFP csak a vdett rendszerfjlokat rint mdostsokat figyeli. Amennyiben ezek a vltozsok nem
hitelestettek, a WFP/SFP visszacserli a mdosult llomnyokat egy korbbi
megbzhat mentsbl. A leggyakoribb figyelmeztets, amit a WFP korbban
adott, egy felhasznli figyelmeztets, vagy egy esemnynapl-bejegyzs volt.
A WRP tovbb ersti a rendszererforrsok vdelmt, kiterjesztve a vdelmet
a regisztrcis adatbzisra s rendszermappkra is. A Vista esetben a Rendszergazdk (Administrators) csoport tagjai sem mdosthatjk a rendszererforrsokat. Alaprtelmezs szerint csak a Windows Trusted Installer security
principal jogosult mdostsokra a Windows Module Installer szolgltatson keresztl. Ezt hasznlja a Windows Installer, a hotfix.exe, s az update.exe is.
A rendszergazdknak azonban jogukban ll mdostani s tulajdonba
venni a vdett rendszererforrsokat is, s teljes jogot adniuk maguknak, gy
mdostani vagy trlni is rendszer szmra kritikus llomnyokat. A WFPvel ellenttben a WRP viszont nem lltja helyre automatikusan a vdett llomnyokat megbzhat mentsbl, csak jraindts sorn lltja vissza a
rendszer indulshoz szksges llapotot.
133
Ahhoz, hogy a WRP visszalltsa az sszes vdett erforrst (ami hasznos lehet egy hibakeress
sorn) futtassuk a kvetkez parancsot: sfc /scan now. A vdett fjlok eredeti llapotnak
visszalltshoz szksges lehet a Vista teleptmdia is.
Kernel-patch Protection (PatchGuard)

A kernel, vagyis a rendszermag a legalacsonyabb szint komponense az opercis rendszernek. A rendszerindtsi folyamat sorn elsknt tltdik be,
majd olyan feladatokat lt el, mint a programok indtsa, memria-, s a fjlrendszer kezelse. A kernel teszi lehetv, hogy az egyes alkalmazsok beszlgethessenek a hardvereszkzkkel, gy a mag sebessge s megbzhatsga alapvet fontossg a rendszer egszre nzve.
A kernel kls eszkzkkel trtn mdostsval szksgszeren megbomlik
a mag integritsa, ami kihatssal lehet a Windows stabilitsra, de akr biztonsgra is. A klnbz vdelmi programok (antivrusok, antispyware alkalmazsok) gyrti a mltban gyakran alkalmaztk ezt az eljrst, hogy elejt vegyk
egy-egy fertzsnek azltal, hogy kzvetlenl kernelszinten akadlyoztk meg
egyes rtalmas programoknak, hogy bizonyos rendszerfggvnyeket hvjanak
meg. Sajnos azonban nemcsak az antivrus cgek alkalmaztk a kernelmdostst, hanem a klnbz vrusokat kszt programozk is, hiszen ilyen mdon
akr a fjlkezelk ell is elrejtzni kpes, gynevezett rootkiteket is bejuttathattak a rendszerbe, amelyek aztn szabadon garzdlkodhattak, anlkl, hogy
brmely vdelmi program tudomst szerzett volna jelenltkrl.
A kernelmdosts elleni vdelem nem jkelet, elszr a Windows XP s a
Windows Server 2003 64-bites vltozataiban tallkozhattunk vele az x64-es
AMD64 s Intel EM64T processzorok bevezetsnek ideje krl. A 64-bites Windows Vistban azonban megkerlhetetlen lett a technolgia amint a Windows
jogosulatlan kernelmdostst rzkel, automatikusan lelltja a rendszert.
Azrt, hogy a biztonsgtechnikai cgek klnbz vdelmi programjai a tovbbiakban is egyttmkdhessenek a rendszerrel, a Microsoft olyan tovbbi
technolgikat bocst a cgek rendelkezsre, melyekkel a kernel mdostsa
nlkl is megfelel kiegszt vdelemmel lthatjk el a felhasznlkat:
134
Windows Filtering Platform (Windows szrplatform) olyan hlzati mveletek engedlyezse, mint a csomagelemzs, pldul harmadik fltl szrmaz tzfal mkdsnek tmogatshoz.
File System Mini Filter programok hozzfrsnek biztostsa a

fjlrendszer-mveletek figyelshez.
Registry Notification Hooking a Windows XP-ben bemutatott, de a

Vistban tovbbfejlesztett eljrs, mely lehetv teszi a programoknak,
hogy vals idben kvessk a rendszerler-adatbzis mdosulsait.
Address Space Layout Randomization (ASLR)

Az Address Space Layout Randomization hasznos rendszerszint jts a Windows Vistban. A technolgia lnyegben egy memriavdelmi megolds, mely
azltal, hogy vletlenszeren megkeveri a memriacmeket, nagyban megnehezti a kros programok mkdst.
Az eljrs lnyege, hogy a Windows egy-egy program vagy folyamat kulcsterleteit (fut kd, knyvtrak, heap, vermek stb.) minden alkalommal vletlenszeren meghatrozott memriacmekre tlti be, ellenttben a rgebbi, ASLR
nlkli eljrssal, amikor a rendszerfggvnyek minden esetben ugyanarra a
memriacmre kerltek, teht kzismertt vlt a tartzkodsi helyk. Ha egy vrus kros kdot szndkozik injektlni a memriba, elszr megprbl meghvni
egy rendszerfggvnyt, majd vr ennek a fggvnynek a visszatrsi rtkre.
Mivel az ASLR vletlenszeren (s kln-kln) mozgatja a fggvnyeket a memriban egszen pontosan 256 klnbz helyre tltheti be ket minden egyes
alkalommal , a vrusnak 1/256-od eslye van, hogy ppen eltallja azt a memriacmet, ahol a kiszemelt rtk tartzkodni fog. Ez a technika megnehezti egy
lehetsges kls tmad dolgt, mert egyrszt nem jsolhat meg elre a konkrt
memriacm, msrszt a kiszmtsa (helyesebben prblgatsa) sem tlsgosan
kifizetd mdszer. Az ASLR hatkre a kvetkezkre terjed ki:
visszatrsi verem;
heap- (vagy halom-) memria;
az opercis rendszer rszeknt telepl sszes binris llomny.
Az ASLR viszonylag ksn, a Beta 2-es verziban kerlt be elszr a rendszerbe, de hatkony
vdelemnek bizonyult, gy vgl szerves rszv vlt a Windows memriakezelsnek. Nem lehet kikapcsolni, de engedlyezni sem kell a httrben szrevtlenl teszi a dolgt.
Az albbi bra nhny rendszerkomponens

memriban trtn elhelyezkedst mutatja kt indtsi folyamat utn.
Data Execution Prevention (DEP/NX)

A helytelen memriahasznlat azt jelenti,
hogy valamilyen program egy nem futtathat kdot tartalmaz memriaterletet ervel kdfuttatsra akar hasznlni. Tipikusan ilyenek azok a rosszindulat programok, amelyek egy esetleges puffer-tlcsordulsos srlkenysget kihasznlva trolnak le futtathat gpi utastsok sorozataknt rtelmezhet adatokat (=program) verem-, adat-, heap- stb. terletknt kijellt
memriba, majd az gy betlttt kdnak adjk t a vezrlst.
135
A DEP gy vdekezik az effajta tmadsok ellen, hogy az adatszegmensek

szmra fenntartott memriacmeket nem futtathat-knt jelli meg, gy
ezekrl a terletekrl nem indthat kd. A DEP mkdshez vagy opercisrendszer- vagy processzorszint tmogats szksges, gy beszlhetnk hardveres, illetve szoftveres DEP-rl is.
Hardveres DEP A legtbb ma kaphat processzor (az sszes 64bites CPU, valamint egyes 32-bites Intel s AMD processzorok is) mr
rendelkezik ezzel a kpessggel. Az erre alkalmas processzorok a memria kezelsekor belsleg hasznlt lapoztbla-bejegyzsek utols bitjt NX (No eXecute) mutatknt rtelmezik: 0 esetn a hivatkozott terleten lehetsges, 1 rtknl tilos a kd futtatsa. (Megjegyzend,
hogy az NX az eredeti AMD-s elnevezs, az Intel terminolgijban XD
bitrl eXecute Disable beszlnk.)
Szoftveres DEP A DEP NX vagy XD bittl fggetlen, szoftveres

megvalstsa kicsit bonyolultabb, de nem lehetetlen. Az eljrs neve
Safe Structured Exception Handling (SafeSEH), vagyis biztonsgos
struktrj kivtelkezels mr mutatja, hogy a memriavdelem ez
esetben a Windows kivtelkezel mechanizmusn keresztl valsul
meg. A SafeSEH kvetelmnyeinek eleget tev programoknak futtatskor regisztrlniuk kell sajt kivtelkezel eljrsukat. Rgebbi, a
DEP-et nem tmogat alkalmazsok hasznlatakor a rendszer a kivtelnek megfelel funkci hvsa eltt megvizsglja: maga a kivtelkezel kd futtathat memriaterleten van-e.
Akr hardveres, akr szoftveres DEP-rl van sz, a rendszer nem javtja ki pldul a puffer-tlcsordulsos srlkenysgeket, s nem akadlyozza meg memriaterletek fellrst. Amikor azonban a vezrls adatterletre kerlne,
akkor vagy hardveres kivtel generldik, vagy a kivtelgenerlst az opercis
rendszer szoftveres ton vgzi el, mely sorn az rt kdok leflelhetk.
A DEP belltsait Windows XP, illetve Windows Server 2003 esetben a
rendszerbetlts indtsrt felels boot.ini konfigurcis fjlban hatrozhatjuk meg, mely a rendszerpartci gykrknyvtrban foglal helyet. Az opercis rendszer bejegyzsnek vgn tallhat /noexecute kapcsolnak ngy llsa van: AlwaysOn, AlwaysOff, OptIn s OptOut.
136
AlwaysOn A DEP engedlyezve van, kivtel nlkl minden futtathat

llomnyra.
AlwaysOff A DEP le van tiltva.
OptIn A DEP csak a Windows sajt futtathat llomnyaira vonatkozik. Ez az alaprtelmezett bellts.
OptOut A DEP minden futtathat llomnyt felgyelete alatt tart, de

a rendszergazdk a Control Panel/System/Performance lapjn kivteleket kpezhetnek a memriavdelmi eljrs hatkre all.
A felsorolt kapcsolk mindegyike rvnyesl hardveres s szoftveres DEP-nl

egyarnt. A rendszer a boot.ini-be rt explicit /noexecute= OptIn kapcsolval
telepl, illetve amennyiben a boot.ini-bl valamilyen okbl eltvoltjk a
/noexecute kapcsolt, akkor a Windows gy viselkedik, mint ha a /noexecute=OptIn lenne rvnyben.
3.16. bra: Akciban a DEP, a lista szerepli pedig a kivtelek a hatsa all
137
Mivel a Windows Vista mr nem hasznlja a boot.ini llomnyt, (sem az

NTLDR rendszerbetltt), az j Boot Configuration Data (BCD) szerkesztsvel konfigurlhatjuk a DEP-et. Ehhez hasznljuk a beptett bcdedit parancsot, mely paramterek nlkl tjkoztatst ad a DEP pillanatnyi llapotrl.
A DEP bcdedit-tel trtn belltshoz a kvetkez parancsokat hasznlhatjuk (a paramterek jelentse megegyezik a korbbiakkal):
bcdedit /set nx OptIn
bcdedit /set nx OpOut
bcdedit /set nx AlwaysOn
bcdedit /set nx AlwaysOff
A szolgltatsok megerstse: Service hardening

A Windows szolgltatsok kedvelt tmadsi clpontjai a klnbz vrusoknak
s egyb krtev programoknak, mert ezek a folyamatok tbbnyire rendszerjogosultsgi szinten futnak, teht lnyegben brmihez korltozs nlkl hozzfrhetnek. A Vista ezen a tren is jt, a szolgltatsok zme immr nem a
LocalSystem fik nevben fut, gy nincs is teljhatalma a rendszer fltt.
Nhny sz a szolgltatsfikokrl
A szolgltatsfikok elre definilt hozzfrsi lehetsgek a Windows beptett szolgltatsainak futtatshoz. A Windows Vista hrom ilyen fikkal
rendelkezik (miknt a korbbi opercis rendszerek is).
A legersebb n. LocalSystem fik nem rendelkezik jelszval, mgis teljes hozzfrse van a rendszer egszhez, magban foglalja a beptett
Administrators (Rendszergazdk) csoport jogosultsgi krt is, hlzati krnyezetben pedig ez a szolgltats testesti meg magt a szmtgpet, teht
a hlzati hitelests is ezen a fikon keresztl trtnhet.
A szolgltatsok korbban szinte kivtel nlkl a LocalSystem fik hasznlatval futottak, gy sokszor szksgtelen jogosultsgokat kaptak, ami az elbb
lertakat figyelembe vve komoly biztonsgi agglyokat vethet fel. A Windows
Vistban az XP-hez kpest a szolgltatsok tredke fut helyi rendszerfikkal,
a tbbsgk tkerlt a cskkentett jogosultsgokkal rendelkez LocalService,
illetve NetworkService fikokba.
Viszont a szolgltats mkdshez nha azrt elengedhetetlenl szksges, hogy rendszerjogosultsgokat lvezzen, ezrt a Microsoft programozi
egy trkkt vetettek be: ezeket a szolgltatsokat egyszeren kettvgtk,
s a kdnak csak a privilegizlt mveleteket vgz rsze fut a LocalSystem fik
138
all, a tbbi tovbbra is a LocalService hatkrben marad. A biztonsg tovbbi fokozsa rdekben a megosztott szolgltatsok kt rsze kztti kapcsolathoz hitelests szksges.
Emellett a szolgltatsok a felhasznlkhoz hasonlan sajt egyedi biztonsgi azonostt kaptak, melyek az albbi formtumban troldnak:
S-1-80-<a szerviz logikai nevnek SHA-1 hash-e>.
Szintn a felhasznlkhoz hasonlan az egyes szolgltatsoknak is csak adott
mveletekhez van jogosultsguk. Ezeket a privilgiumokat a Registry trolja,
a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services kulcs
alatt, a RequiredPrivileges rtkben. A szolgltatsfikokhoz termszetesen
ACL is tartozik, gy minden egyes szolgltatsnak gondosan kijellt munkaterlete van, melyen kvl nem tevkenykedhet, gy mg ha egy esetleges vrustmads sorn a krtev kd t is venn az irnytst a szolgltats fltt,
akkor sem okozhat helyrehozhatatlan krt. A szolgltatsok szmra biztostott privilgiumok megfelelen kordban tartjk a folyamatokat, korltozzk
a fjlrendszer s a registry hasznlatt, valamint a Windows tzfal ltal a
hlzati kommunikcit is.
Hogy egy gyors pldval demonstrljuk az j szolgltatskorltozs jelentsgt, tekintsnk kicsit vissza az idben, 2003 augusztusra, amikor a
Blaster/Sasser fregvrus globlis problmkat okozott a Windows vehemens
tmadsval. A Blaster a rendszer egyik alapvet szolgltatst, a Remote
Procedure Call (RPC tvoli eljrshvs) kertette hatalmba, s a Windows
folytonos jraindtsval okozott fejfjst a felhasznlknak. A freg ma mr
szinte semmilyen krt nem tudna okozni, mert a Windows Vistban az RPCszolgltats is tesett a fenti vltozsokon gy:
nem cserlhet le rendszerfjlokat,
nem mdosthatja a registryt,
nem befolysolhat ms szolgltatsokat, s nem mdosthatja azok belltsait (pldul antivrus szoftverekt).
A szolgltatsok biztonsgi konfigurlsa a Windows teleptse sorn automatikusan megtrtnik, azonban csak a rendszer sajt beptett sszetevire
rvnyes, a kls s utlag teleptett szolgltatsokra nem.
Service Hardening
A rendszerszolgltatsok megerstse fontos pont a Vista biztonsgossgval kapcsolatban.
Ebben a mini eladsban ezzel kapcsolatban mutatunk be rszleteket.
Fjlnv: I-3-3aService-Hardening.avi
139
Vltozsok a felhasznl fikok s

csoportok kezelsben
Ezen a terleten az egyik legfontosabb vltozs a beptett Administrator
(Rendszergazda) azaz a helyben egyetlen 500-as RID-del (a SID utols blokkja,
3-4 szmjegy, norml felhasznlk/csoportok esetn 1000-sel kezddik) rendelkez fik letiltsa. Erre azrt volt szksg, mert a gondatlanabb felhasznlk s rendszergazdk a Windows teleptsnl ltalban nagyon gyenge jelszval (pl. 123456, password) lttk el ezt a fikot, vagy egyszeren nem is
adtak meg jelszt. A tilts viszont passzol a Vista biztonsgi modellhez, mert
pldul egyrszt az UAC (lsd kvetkez alfejezet) hatsa nem terjed ki erre
a fikra, msrszt a htkznapi munkra ne hasznljuk ezt a fikot, mert
nem erre val, ahogyan ms rendszerekben sem.
Viszont nha mgiscsak szksgnk lehet erre a fikra is, de ha le van
tiltva, akkor hogyan rjk el? Mindig le van tiltva? Nem, specilis krlmnyek kztt, hrom esetben biztosan megkapjuk majd automatikusan az
Administrator fikot:
1. Cskkentett md.
2. Startup Repair md (a Vista DVD-rl indtva a rendszert).
3. Frisst telepts utn (pl. XP > Vista).
Viszont mindegyik esetben csak s kizrlag akkor l automatikusan ez a
fik, ha nincs egy msik, a helyi Administrators csoportba tartoz fik is a
rendszerben, akr tartomnyban van a gp fikja, akr nem.
Ide tartozik mg az az jdonsg is, hogy amennyiben egy j fikot hozunk ltre a rendszerben,
az alaprtelmezsknt korltozott felhasznli jogosultsgokat kap.
A felhasznli fikokat rint vltozsok kzl meg kell emltennk a korbbi

a Windows XP-ben okban alaprtelmezs szerint jelenlv Support s a Help
fikok megszntetse.
A csoportokrl szlva, a legnagyobb vltozs a Power Users (Kiemelt felhasznlk) csoport hatkre gyakorlatilag megsznt. Mivel a nevvel ellenttben megtveszten sok jogosultsggal rendelkeztek ennek a csoportnak a
tagjai, gy a rendszergazdk elszeretettel osztogattak effle jogkrket a felhasznlknak sok esetben teljesen feleslegesen. Kt mkd jogosultsgi
szint maradt teht: Standard felhasznlk (Users csoport), s a Rendszergazdk (Administrators) csoport.
140
Ezen kvl, a vltoz ignyeknek megfelelen j csoportjaink is vannak,

lssunk nhny pldt:
Cryptographic Operators: a PKI-val, IPSec-kel kapcsolatos feladatok

jogosultsgainak birtokosai.
Distributed COM users: jogosultsg az elosztott COM-objektumok elrshez, kezelshez.
Event Log Readers: A csoport tagjai megnzhetik az Esemnynapl bejegyzseit.
IIS_IUSRS: lecserli a korbbi IUSR_<gpnv> fikot, azaz az anonim,

webkiszolglhoz intzett krsek fikjval egyenrtk, annak ellenre, hogy egy csoportrl van sz.
Performance log / Performance monitor users: a nevbl addan a Performance Monitor hasznlathoz kaphatnak (nem teljes kr) jogosultsgot az e csoportba bekerl felhasznlk.
Trolt hlzati nevek s jelszavak
3.17. bra: A jelszkezel eszkz lnyegesen komfortosabb lett
141
A Windows Vista kpes a hlzatban, valamint a weboldalakon hasznlt jelszavaink trolsra. Ezt mr a Windows XP-vel is megvalsthattuk, de sokkal kevsb komfortosan. A Vistval knnyedn elkszthetjk a felhasznlk szmra pldul az intranetes szolgltatsok hasznlathoz szksges
belpsi hitelest adatokat, s elmenthetjk ezeket.
Szksg szerint az esetleg tvesen bevitt hitelestsi informcikat is trlhetjk, illetve teljes jdonsgknt a jelszavainkat el is menthetjk .crd kiterjesztssel. A jelszavak trolsnak s belltsainak elrshez navigljunk el
a Control Panel / User Accounts / Manage your network passwords pontra.
A felhasznli fikok felgyelete (UAC)

Egyrtelmen belthat, hogy nemcsak a korbban emltett rendszerszolgltatsok, hanem a rendszer interaktv felhasznli, azaz mi magunk is rendszeresen szksgtelenl magas jogosultsggal dolgoztunk a korbbi gyfl
opercis rendszereken. Ezrt Vista esetn a Microsoft drasztikus vltoztatsokra sznta el magt ezen a terleten is. Az j mkdsi elv tmren: mindenki standard felhasznl jogosultsg, senki sem rendszergazda,
mg akkor sem, ha annak ltszik! Ez az llts elsre bizonyra kiss
meghkkentnek tnik, de a gyakorlatban mkdik, nzzk teht lpsrl lpsre a kivlt okokat s a vltozsokat.
1. A rgebbi rendszerekben a ltrehozott felhasznli fikok alaprtelmezsknt rendszergazdai jogosultsgot kaptak, kezdve a teleptskor ltrehozott sajt felhasznli fikkal. gy a tapasztalatlan felhasznlk
kezben mr a kezdetektl knnyen (n)veszlyes fegyverr vlhatott
az opercis rendszer.
2. A Windows korbbi verziival szerzett tapasztalatok azt mutatjk,
hogy a legtbb olyan felhasznl, aki egyedl felgyeli szmtgpt,
mindenkppen rendszergazda-jogosultsg fikkal hasznlja azt, s
nem sokat trdik a biztonsgi figyelmeztetsekkel. Az idelis llapot
termszetesen az lenne, ha mindenki korltozott felhasznlknt lpne
be a Windowsba, majd rendszerbellts mdostsakor, vagy program
teleptsekor tjelentkezne a rendszergazda fikba, vagy a Run as
(Futtats mint...) opcit hasznln. Az igazsg azonban az, hogy jval
knyelmesebb eleve rendszergazdaknt mkdtetni a rendszert, mert
gy szinte sosem fogunk ellenllsba tkzni.
142
3. Egy szigor vllalati hlzatban is elfordulhat az, hogy egy gyflgpen jogosultsgkezelsi szempontbl rosszul megrt, de ktelezen
hasznlt alkalmazs miatt muszj a felhasznlkat szksgtelenl
magas szint jogosultsggal elltni, amely ltalban gy zajlik, hogy a
rendszergazda a helyi Administrators (Rendszergazdk) vagy a korbban emltett, szintn tlsgosan ers Kiemelt felhasznlk (Power
Users) csoportba beemeli a felhasznlt.
Ezen helyzetek kivlt oka egyrszt a tudatlansg, viszont msrszt a knyelem, amely ugyan szintn fontos szempont, de tudnunk kell azt is, hogy a
rendszergazda-jogosultsg teljes hozzfrst ad az opercis rendszerhez s a
szmtgp minden komponenshez, lehetv tve olyan mdostsokat, amelyek a rendszert mkdskptelenn tehetik, vagy krt tehetnek ms felhasznlk adataiban. St, az vatlan hasznlattal a kvlrl rkez krtevk,
vrusok, frgek, spyware-ek sem tkznek tl sok akadlyba hiszen, amint
bejutnak a gpre, rgtn rendszergazda-jogosultsgot szerezhetnek. Valamint, zemeltetknt azt a tnyt is clszer ismernnk, hogy a rendszereket
rint biztonsgi incidensek kzel 70%-a a bels hlzat felhasznlitl szrmazik. Ezek ismeretben bizonyra el fogunk gondolkozni azon, hogy megri-e
az emelt szint jogosultsgi vakmer hasznlata.
A Vistban viszont nem kell sokat ezen gondolkoznunk, alaprtelmezs
szerint ksz helyzet el vagyunk lltva, amely taln kevsb knyelmes, viszont annl hasznosabb. A ksz helyzet szlltja az n. User Account Control
(UAC, Felhasznli fikok felgyelete), amely egy sszetett megolds, ez a kvetkez alfejezetek kzl tbb is ennek a technolginak a rszletezsvel foglalkozik majd.
Ha pldul a mindennapos hasznlat kzben adunk hozz felhasznlkat,
akkor azok immr csak a standard felhasznli jogokkal brnak majd. Ha a
teleptskor elsknt ltrejv fikot nzzk, az termszetesen tovbbra is
rendszergazda-jogosultsg lesz, de neki is mind minden a helyi rendszergazdacsoportba tartoz fiknak cskkentett, standard felhasznl szint
krnyezetet tlt be a Windows, a rendszermdostshoz szksges jogokat kln kell krnie.
Egy sz mint szz, alapesetben a jogosultsgok tlz kiosztsa miatt kevesebbet kell aggdnunk, de mi a helyzet akkor, ha mgis szksg van rendszergazdaknt mkdtetni a gpet. Mert ugyan az is fontos s kiss taln fordtott eljel (de nem veszlyes) vltozs, hogy szmos olyan funkci vagy bellts kerlt be a standard felhasznlk jogosultsgi krbe, amelyekre korbban nem volt lehetsg, (ezt ksbb bvebben is kifejtjk), de azrt mg
mindig maradt rengeteg, amelyhez ennl tbb jogosultsg szksges.
143
Ha olyan mveletre kerl sor, amikor valban hozz kell nylni bizonyos
rendszerbelltsokhoz, vagy olyan vdett mappkba kell programot telepteni,
mint a \Windows vagy a \Program Files, a Vista interaktivitsra kszteti a
felhasznlt, azaz egy gynevezett elevl promptot, jogosultsg-jvhagy
krdst kld a felhasznlnak. Azaz a standard felhasznlnak kln engedlyeznie kell, mikor a rendszergazda jogaival lni szeretne. Ez lehetsget biztost a felhasznlnak, hogy eldntse, egy alkalmazs lhet-e ezekkel a jogokkal.
Ez egyben azt is jelenti, hogy a felhasznl minden esetben informcit kap arrl, milyen alkalmazsok indulnak el, amelyek rendszergazdai joggal futnak.
A technikai magyarzat lnyege, hogy amikor egy felhasznl bejelentkezik,
az UAC kt biztonsgi tokent hoz ltre. Egy norml felhasznli tokent s egy
olyan tokent, amely tartalmazza a rendszergazda jogokat. Az elindtott folyamat akkor nem kapja meg az utbbi jogokat, ha a felhasznl a folyamat indulsakor nem engedlyezi az UAC felletn keresztl. A ltrejtt norml felhasznli tokenben az albbi klnbsgeket fedezhetjk fel szemben a rendszergazdai tokennel (az ismeretlen fogalmakra ksbb visszatrnk):
Kilenc rendszergazda-szint jog nincs benne.
A felhasznl integritsi szintje Medium, s nem High.
Alkalmazdik r egy alapesetben mindent tilt SID.
Megjelenhet szmra az UAC engedlyez ablak (consent.exe).
Fjl- s regisztrcis adatbzis virtualizci alkalmazdhat r.
Az UAC klnfle helyzeteknek megfelelen tbbfajta engedlyez ablakot jelenthet meg. Ha az alkalmazs, vagy annak kiadja a biztonsgi hzirend
szerint blokkolva van, egy piros fejlccel rendelkez figyelmeztet ablak jelenik meg, a program futtatsa pedig nem lehetsges. Kkes-zldes szn ablakot lthatunk, ha a jogosultsgi szint emelst a Windows egyik beptett
komponense kri. Kls programok esetn szrke sznkd UAC-promptot
kapunk, ha az llomny rendelkezik digitlis alrssal, gy az valsznleg
megbzhat forrsbl szrmazik, figyelemfelkeltbb, srga sznt pedig, ha
nem tallhat alrs ez esetben csak akkor futtassuk az alkalmazst, ha
ismerjk szrmazsi helyt s teljesen megbzunk abban.
A User Account Control rszletes belltsa a helyi biztonsgi hzirendbl
trtnhet. A finombelltsok kztt megadhatjuk pldul, hogy a figyelmeztet krds rendszergazda-jogosultsg felhasznl esetn csak egy igen/nem
vlasztsi lehetsgbl, vagy akr teljesen egy figyelmezets nlkl trtnjen,
vagy pldul azt is, hogy egy standard felhasznl esetn egyltaln ne legyen lehetsg a nv/jelsz pros megadsra, hanem csak az elutastsra.
144
Trtnetesen mg azt is bellthatjuk, hogy az UAC a krdablak megjelentsekor tkapcsoljon-e az gynevezett Secure Desktop mdba. A hzirendbl
(s a Control Panel / User Accounts pont all) akr ki is kapcsolhatjuk az
UAC-t, de ez termszetesen nem ajnlott.
3.18. bra: A klnbz UAC-prbeszdablakok a kd ellenrzsnek folyamata szerint
A Secure Desktop a felhasznl munkafolyamatban, de elszeparlt asztalknt jn ltre, radsul csak a rendszer ltal rhat, gy a biztonsgi asztalt
semmilyen kls, a felhasznl asztaln fut folyamattal nem lehet befolysolni. Ez szinte tkletesen megbzhatv teszi a Secure Desktopon megjelentett ablakokat, vagyis biztosak lehetnk benne, hogy maga a rendszer s
nem pedig egy vrus kldte a megtveszt zenetet.
145
3.19. bra: A Secure Desktop llapot
Az albbiakban azon esemnyek (nem teljes) listjt lthatjuk, amikor az

UAC szolgltats kzbelp:
146
Alkalmazsok teleptse s eltvoltsa.
Eszkzmeghajt programok teleptse s eltvoltsa.
ActiveX-vezrlk teleptse.
Windows-frisstsek teleptse.
A Windows Update belltsainak mdostsa.
A Windows tzfal belltsainak mdostsa.
A Felhasznli fikok felgyelete (UAC) belltsainak mdostsa.
Felhasznli fikok ltrehozsa s trlse.
Felhasznli fikok tpusnak megvltoztatsa.
A szli felgyelet konfigurlsa.
A feladattemez megnyitsa.
Rendszerfjlok biztonsgi mentsbl trtn visszalltsa.
Ms felhasznl mappjnak megnyitsa vagy megvltoztatsa.
A korltozott jogkrben dolgoz felhasznlk alaprtelmezsknt az UAC felgyelete alatt dolgoznak, mely esetkben a fenti felsorolsban szerepl mveleteknl nem egy egyszer engedlyez ablakot jelent meg, hanem egy rendszergazda jogosultsg felhasznl hitelest adatait kri be (de ahogyan
korbban emltettk ez a mkds a biztonsgi hzirendbl megvltoztathat). Anlkl, hogy az UAC-cal tallkoznnak, a standard jog felhasznlk
az albbi mveleteket vgezhetik el (szintn nem teljes a lista):
Vezetk nlkli hlzat konfigurlsa.
Energiaelltsi opcik vltoztatsa.
VPN-kapcsolatok konfigurlsa.
Nyomtat s egyb eszkzk hozzadsa (hzirendbl szablyozva).
Windows Update hasznlata.
Windows Defender hasznlata.
Lemezdefragmentls, Disk Cleanup futtatsa.
Idznavlts.
Esemnynapl megtekintse (kivve persze a Security naplt).
Ha egy program futsa kzben szksgtelenl generl szintemelst kr prbeszdablakot, a

Microsoft alkalmazshibaknt tekint az esetre, teht (ha pl. az Error Reporting-szolgltats
rvn berkezik), gy kezeli a helyzetet, mintha a program hibsan mkdne. Ezzel magas
prioritst kapnak az effle problmk, teht a fejlesztk is hamarabb reaglhatnak r, ezrt
egyre biztosabbak lehetnk abban, hogy valban csak akkor jelenik meg az UAC-prompt, amikor tnyleg szksg van r feleslegesen nem bukkan fel.
A Vista tovbbi praktikus megoldsokkal is segti az UAC-prompt esetlegesen

indokolatlanul zavar s lland megjelenst:
Lehetv teszi a rendszergazdknak, hogy meghatrozzk, a nem

rendszergazda-jog felhasznlk milyen meghajtprogramokat, eszkzket, ActiveX-vezrlket telepthetnek. gy, adott esetben, a nem
rendszergazdai jog felhasznlk is telepthetnek nyomtatkat, VPNszoftvereket stb.
147
Alap hlzati konfigurcik elvgzshez a felhasznlt elegend hozzadni a Network Configurations Operators csoporthoz. Ennek a csoportnak joga van az IP-cmek megvltoztatshoz, DNS-cache rtshez
stb., vagyis a nlkl vgezhetk el ezek a feladatok, hogy a felhasznl
az Administrators (Rendszergazda) csoporttagsgra lenne szksgk.
Az UAC-fjlrendszer s regisztrcis adatbzis virtualizcija s a beptett alkalmazs kompatibilitsi smk segtsgvel sok rendszergazdai jogokat ignyl alkalmazs futtatst teszi lehetv, szmos
problmn segt (a rszleteket lsd a kvetkez alfejezetben).
Az UAC tervezsekor fellltott programozsi irnyelvek kimondjk, hogy a felhasznlnak mindig elre tudnia kell rla, ha a mvelet jogosultsgi szintemelst
kvetel. Ezt a gombokon s hivatkozsok mellett elhelyezett kis pajzsok ( ) jelzik, egyrtelmv tve, mely mveletekhez szksges emelt szint hozzfrs.
A fikvltozsok s a User Account Control (UAC)
Ebben az eladsban a Vista felhasznli fikjaival s csoportjaival, illetve a taln legfontosabb a biztonsgot rint vltozssal, az UAC-lal kapcsolatos rszleteket trjuk fel.
Fjlnv: I-3-3bFiokok-es-UAC.avi
Fjl- s registryvirtualizci
A User Account Control egy msik fontos feladata a szoftverkrnyezet virtualizlsa azon alkalmazsok szmra, melyek nem lettek felksztve a tbbfelhasznls rendszerekre, vagy nem kezelik jl a jogosultsgokat. Egyelre
meglehetsen sok olyan program ltezik, amely vagy nem veszi figyelembe,
hogy tbbfelhasznls krnyezetben mkdik, vagy egyszeren nem is hajland futni, csak s kizrlag rendszergazdai jogosultsgokkal. Az UAC ezrt
detektlja az alkalmazs fjlrendszerbe s a registrybe val rsi krseit, s
ennek megfelelen minden felhasznli fikban egyni virtulis krnyezetet (gynevezett homokozt) hoz ltre a programnak.
A rendszergazda-jogosultsgot megkvetel programok gy tulajdonkppen azt hiszik, hogy tudnak rni a pl. a\Windows, vagy a \Program Files
mappkba, esetleg a rendszerler adatbzis kritikus rszeibe is, m valjban egy, a szmukra ltrehozott virtulis valsgban mkdnek immron
gond nlkl. A virtualizlt mappkat a vdett rendszerknyvtrak tallzsakor megjelen Compatibility Files gombra kattintva nyithatjuk meg, ezek fizikai helye a felhasznl profilknyvtrban tallhat az albbi tvonalon:
\Users\<felhasznlnv>\AppData\Local\VirtualStore.
A regisztrcis adatbzist rint rsi mveletek pedig a HKCU\Software\Classes\VirtualStore kulcs al kerlnek.
148
Mint az tvonalakbl is lthat, mind a kt hely a felhasznl profilja

alatt helyezkedik el, gy a felhasznlnak van r rsi joga. Ha felhasznlnknti szably nem definilja mskpp, az olvass elsknt a globlis helyrl
trtnik. A fjlrendszer virtualizcija egy filter driver (luafv.sys) segtsgvel
valsul meg, a regisztrcis adatbzis pedig beptetten.
A fjl- s regisztrcis adatbzis virtualizci meggtolja az rsokat a
nem adminisztrtori jog (nem elevlt) folyamatok szmra, de csak az albbi
helyekre:
\Program Files s az almappi.
\Program Files (x86) 64-bites rendszereken.
\Windows s almappi, belertve a System32-t is.
\Users\%AllUsersProfile% \ProgramData
HKLM\Software
Az albbi objektumok azonban soha sem kerlnek virtualizlsra:
Vista alkalmazsok.
Futtathat llomnyok, mint az .EXE, .BAT, .VBS s .SCR. A tovbbi

fjlrendszeri kivtelek a HKLM\System\CurrentControlSet\Services\
Luafv\Parameters\ExcludedExtensionsAdd kulcsban adhatak meg.
64-bites alkalmazsok s folyamatok.
Azok az alkalmazsok, amelyeknl gyrilag definilva van, hogy nem

virtualizltan futtatandk (mint az sszes Vista-komponens).
Folyamatok s alkalmazsok, amelyek rendszergazdai jogokkal futnak.
Kernelmd alkalmazsok.
Mveletek, amelyek nem interaktv bejelentkezsbl szrmaznak (pl.:

fjlmegosztson keresztli elrs).
Alkalmazsok amelyek a regisztrcis adatbzisban a Dont_Virtualize

jelzssel vannak megjellve.
Az utols ponthoz tartoz plusz informci: a reg.exe segtsgvel lthatjuk a hrom j

registry flag-et a HKLM\Software kulcs alatt, ezek a kvetkezek: DONT_VIRTUALIZE,
DONT_SILENT_FAIL, RECURSE_FLAG
149
Az egyes alkalmazsok virtualizcijt a Task Managerbl (Feladatkezel)

akr sajt magunk is engedlyezhetjk (vagy tilthatjuk le). Ezt a mveletet
ajnlott csak szksg esetn elvgezni, kivltkpp a Windows beptett
folyamatainl, mert a tves konfigurci akr a rendszer instabil mkdshez is vezethet.
3.20. bra: A feladatkezelben a kznsges processzeket egyszeren virtualizlhatjuk

Fjl- s registryvirtualizci
Ebben a screencastban tbb pldt is hozunk az UAC mellktermkeknt megjelent fjl- s
registryvirtualizcira, elszr egy dediklt alkalmazs majd a cmd.exe segtsgvel.
Fjlnv: I-3-3cFajl-es-registry-virtualizacio.avi
150
Mandatory Integrity Control (MIC)

A kvetkezkben bemutatott kerl vdelmi eljrs mg egy, az 1970-es vekben szletett elgondolson alapszik, megvalstsra azonban csak napjainkban kerlt sor. Mg a fjlrendszer-jogosultsgok knnyen kezelhet s hatkony
vdelmet nyjtanak az illetktelen hozzfrsektl, a technolgia rendelkezik
nmi korltoltsggal. Hiba vdjk msoktl a fjlokat, ha magt a tulajdonost
is viszonylag knnyen rvehetjk, hogy lefuttasson egy-egy parancsot termszetesen adminisztrtori jogokkal. A MIC alapelgondolsa a kvetkez: a cskkentett megbzhatsgi szinten dolgoz alanyok nem mdosthatnak magasabb
szinten lv objektumokat, a magasabb szinten ltez objektumok pedig nem
knyszerthetk, hogy megbzzanak alacsonyabb szintrl rkez utastsokban
vagy adatokban. A kulcssz itt a megbzhatsg, a MIC pedig ezt az informciramlsi szablyt valstja meg a Windows Vistban.
Amikor bejelentkeznk, a Windows egy adott integritsi azonostt rendel a
felhasznlnkhoz. Ez az azonost tartalmazza mindazt az informcit, amibl
a rendszer megllaptja, hogy mely terletekhez van hozzfrsnk, s melyekhez nincs. Nem csak a felhasznlk, de a vdeni kvnt rendszerobjektumok, gy mint fjlok, mappk, adatcsatornk, folyamatok (processzek), folyamatszlak (threadek), az ablakkezel, registrykulcsok, szolgltatsok, nyomtatk, megosztsok, temezett feladatok stb. is kapnak egy-egy sajt szintazonostt. Ezek az azonostk a System Access Control Listben (SACL) troldnak.
Amikor a felhasznl egy mveletet vgez, a Windows mg azeltt, hogy a
fjlrendszer-jogosultsgokat vizsgln, sszehasonltja a felhasznl integritsszintjt a mveletben rszt vev objektumokval. Ha a felhasznl szintje a
dominns vagyis az objektumval megegyez vagy magasabb a Windows
engedlyezi a feladat vgrehajtst feltve, hogy fjlrendszerszinten is megvan hozz a kell engedlye. Ha a felhasznl alacsonyabb szintrl prbl manipullni egy objektumot, a Windows nem engedlyezi a hozzfrst, fggetlenl attl, hogy maghoz a fjlhoz, registrykulcshoz, vagy egyb komponenshez
klnben meglenne a hozzfrse. Lthatjuk teht, hogy az integritsszintek
minden esetben a fjlrendszer-jogosultsgok, vagyis az ACL fltt llnak.
A Windows Vistban ngy integritsszintet definiltak a fejlesztk: Low
(alacsony), Medium (kzepes), High (magas) s a System (rendszer). Az egyszer felhasznlk kzepes, a (valdi) rendszergazda jogosultsgak pedig
magas szinten tevkenykednek. A felhasznl ltal indtott folyamatok vagy
az ltala ltrehozott objektumok rklik a felhasznl integritsszintjt, a
rendszerszolgltatsok a rendszer szintre kapnak belpt. Ha valamilyen
okbl kifolylag egy objektum nem kap integritsszint-jellst, az opercis
rendszer automatikusan kzepes szintre sorolja be, ezzel megakadlyozva,
hogy az alacsony szinten fut folyamatok hozzfrhessenek a nem jellt ob151
jektumokhoz. Az opercis rendszer fjljai alaprtelmezsknt nem jelltek,

gy kzepes szinten tartzkodnak, valamint termszetesen alkalmazdnak rjuk a megfelel fjlrendszer-jogosultsgi belltsok (ACL) is. Az egyes objektumok integritsi szintjei a SACL-ekben troldnak s az ellenrzsk minden esetben a DACL ellenrzsek eltt trtnik.
Szint
SID
Hex rtk
Hasznlati pldk
Low
S-1-16-4096
1000
Vdett md Internet
Explorer
Medium
S-1-16-8192
2000
Hitelestett felhasznlk/
Nem elevlt
High
S-1-16-12288
3000
Rendszergazdk/
Elevlt jogok
System
S-1-16-16384
4000
Helyi rendszer
Hogy mirt szksges ez a bvszkeds a jogosultsgi szintekkel? Kpzeljk

el a kvetkez helyzetet: kapunk egy e-mailt egy csatolt fjllal. Amikor lementjk a fjlt, az rgtn alacsony integritsszintre kerl, mivel az internetrl (azaz egy nem megbzhat helyrl) rkezett. Ezrt aztn brmi legyen is a
fjl tartalma, amikor lefuttatjuk, semmi klns nem trtnhet, mivel a fentiek alapjn egy alacsony szinten fut folyamat nem frhet hozz a felhasznl magas, vagy nem jellt, gy kzepes szinten lv adataihoz.
Az Internet Explorer
vdett mdja a megbzhatsgi szintek kr plt,
s mivel a bngsz
alaprtelmezsknt alacsony (Low IL) integritsszinten fut biztosak
lehetnk benne, hogy az
Internet Exploreren keresztl hozzjrulsunk nlkl nem teleplhet tbb a rendszerre semmilyen
rt kd. Ezen tlmenen, mivel a Windows munkaasztal kzepes szintre van
besorolva, a bngszben esetlegesen lefut ActiveX-vezrl sem kldhet tbb
olyan megtveszt zeneteket az asztalra, miszerint vrustmads ldozatai
lettnk, s azonnali hatllyal tltsnk le egy bizonyos programot ami valjban maga a vrus.
152
Az NTFS fjlrendszer-jogosultsgokhoz hasonlan bizonyos korltok kztt az integritsszinteket is az icacls paranccsal kezelhetjk. Kt korltozs ltezik: az objektumokat nem helyezhetjk t a System, illetve az Untrusted szintekre. Az integritsszintek vltoztatshoz hasznljuk a /setintegritylevel kapcsolt, azonban bnjunk vatosan ezzel az eszkzzel s csak szksg
esetn mdostsuk ezt az objektumtulajdonsgot!
3.21. bra: Sikeres integritsi szint bellts parancssorbl

A kvetkez alfejezetben a Vista olyan a biztonsghoz kapcsold komponenseinek lehetsgeit s alkalmazsi terleteit foglaljuk ssze, amelyekkel
mr srbben tallkozunk a felsznen is. Termszetesen itt elssorban az
zemeltetk jelentik a hatkrt, akiknek akr a napi feladatai kz is tartozhat a Security Center jelzseinek rtelmezse, az Internet Explorer 7-es vltozatnak precz belltsa s j lehetsgeinek ismerete. De a Windows Defender, az EFS, a BitLocker vagy akr a Vista j tzfalnak mlyrehat megismerst sem rdemes kihagyni fkpp, ha a feladataink kz tartozik az
gyflszmtgpek biztonsgos mkdtetse.
153
A Security Center
A Windows Vistba beptett Security Center (Biztonsgi kzpont) sokban
hasonlt a korbbi verzihoz, azonban el is tr attl. A tzfal, az Automatikus
frisstsek gyfl s a vrusirt llapotnak lland vizsglata megmaradt,
viszont bekerlt a monitorozand komponensek kz az immr integrlt
Windows Defender (lsd ksbb) a frisstsi opcival egytt.
Az UAC mkdse szintn nyomon kvethet a Security Centerben, valamint egy teljesen j szakasszal is bvltek a lehetsgeink, azaz az Internet
Explorer legfontosabb biztonsgi belltsait is ellenrzi a rendszer, s jelzst
is kapunk, ha ezek llapotban negatv vltozs kvetkezik be (a megfigyelt
paramterekrl tovbbi rszleteket olvashatunk kicsit ksbb, a Biztonsgi
belltsok automatikus felgyelete szakaszban).
3.22. bra: A Windows Vista Security Center tartalma bvlt

A Windows XP s a Windows Vista Biztonsgi kzpontja (Security Center)
Ennek az eladsnak a tmja a kt opercis rendszer Biztonsgi kzpontjnak bemutatsa.
Fjlnv: I-3-4aSecurity-Centers.avi
154
Az Internet Explorer 7 biztonsgi jtsai

A korbbi gyfl opercis rendszerekben, s klnsen a Windows XP Service Pack 2-ben mr jelents vltozsok voltak tapasztalhatak a Microsoft
bngszprogramjval kapcsolatban elssorban a biztonsgossgot tekintve.
Lehetv vlt pl. a felugr ablakok blokkolsa, valamint mdosult (lnyegesen szigorbb lett) az ActiveX vezrlk kezelse is, s megjelent a figyelemfelkelt biztonsgi sv is.
A Windows Vistba mr a bngsz kvetkez, 7.0-s verzija kerlt, mely
j pr rgta vrt funkcit hozott. Elszr is lehetv vlt a fles/lapos navigls, valamint egyb olyan biztonsgi megoldsok is bepltek, mint pldul
az opt-in (engedlyezend) ActiveX-kezels, a tovbbfejlesztett bvtmnykezel, az adathalszat (phishing) elleni vdelem, valamint a vdett md bngszs (Protected Mode). A tanstvnykezels s a halad belltsok terletn is tapasztalhatunk pozitv vltozsokat.
Ugyan a Windows XP-re s a Windows Server 2003-ra is letlthet az Internet Explorer 7-es vltozata, de ezek mgsem egyeznek meg mindenben a Vistba integrlt vltozattal. A klnbsgek az
eltr biztonsgi httrbl addnak: a Vistnl hasznlt IE7 olyan lehetsgeket is kpes alkalmazni, amelyek az UAC jelenltnek a kvetkezmnyei, pl. az n. vdett md (lsd ksbb).
Phishing filter
3.23. bra: Az IE7 els indtsakor rgtn bekapcsolhatjuk az adathalszat-szrt
155
Napjaink egyik legelterjedtebb online bnzsi formja, az gynevezett adathalszat, a phishing. Ennek az a lnyege, hogy pldul olyan pnzgyi szolgltatsnak lczott webhelyre csaljk a felhasznlt, mely klsre szinte pontosan
megegyezik egy-egy bank vagy pnzintzet honlapjval. Itt aztn a felhasznltl
olyan szemlyes adatokat krnek be, melyek felhasznlsval hozzfrhetnek
bankszmljhoz s egyb szemlyes rtkeihez. A phishing elleni vdelem kzponti szerepet kapott az Internet Explorer 7-ben, a bngsz els indtsakor
mris lehetsgnk van a szr bekapcsolsra s a belltsok testreszabsra.
Az IE7 phishing filtere rendszeresen frissl online adatbzison s egy intelligens
szrn alapul, mely tipikus jellemzk utn kutatva megvizsglja a weblap eredetisgt s megbzhatsgt. Ha e vizsglat sorn nem tallja megfelelnek az
adott oldalt, akkor ezt szembetnen jelzi a felhasznlnak.
Vdett md
Az elz rszben ismertetett User Account Control nemcsak a figyelmeztet
ablakok kldsvel prblja kordban tartani a felhasznlkat, de neki ksznhetjk, hogy az Internet Explorer 7 kpes gynevezett vdett mdban
(Protected mode) futni de csak a Vistn, az XP-re teleptett IE7 nem ismeri
ezt a fajta mkdst.
Ha a vdett md engedlyezve van, az IE7 nagyon alacsony integritsi szinten
(Low IL) dolgozik, amely szmos biztonsgi korltot jelent a mkdsben. Ezek
kzl az egyik az, hogy a rendszer biztonsgi alapbelltsainak megvltoztatsa
vagy egy emelt szint jogosultsg nlkl egy website nem kpes semmilyen mdon egy alkalmazst telepteni a bngszn keresztl. Ez azrt van, mert az alacsony integritsi szintnek ksznheten a bngsz a fjlrendszerbe, illetve a
registrybe nem rhat automatikusan. Mivel a klnbz integritsi szinten lv
processzek kztti kommunikci szintn ersen limitlva van, a knyszeren
hasonlan alacsony szinten mkd ActiveX-vezrlk s az extra eszkztrak
sem kpesek hozzfrni semmilyen fontos rendszerelemhez.
Ezen kvl a Vista egy specilis virtulis mappt is elkszt az IE7 szmra, az olyan fjlok trolshoz, amelyeket a bngsz menetkzben egybknt a szmra tiltott helyekre mentene el. Ez a mappa szoksos gyorsttron bell helyezkedik el (Temporary Internet Files\Low), s ide s csak ide
kpes egy alacsony integritsi szinttel rendelkez folyamat rni. Gyakorlatilag ez a korbban ismertetett fjl- s registryvirtualizci elve alapjn mkdik, csendben a httrben, sikeresen megtvesztve bvtmnyeket, vagy a
brmit, amely az IE7 alatt tevkenykedik.
A teljessg kedvrt emltsk meg, hogy a rendszerler adatbzist rint
rsi prblkozsok ugyanezzel a mdszerrel, ugyangy vgzik, egy szintn
elklntett terleten (HKCU\Software\Microsoft\Internet Explorer\InternetRegistry\REGISTRY\USER\{a_user_SIDje}\Software).
156
3.24. bra: A bvtmnyek homokozja a registry elklntett rszben
De mi trtnik, ha az IE7 mgis ki akarja olvasni ezt az elklntett, virtualizlt tartalmat, azaz pl. egy rendszergazda szeretne egy ActiveX-vezrlt telepteni? Egy n. broker processz beavatkozik, azaz megerstst kr a folytats eltt, s jn az ismers UAC-prompt s a felhasznli interaktivits.
A sznfalak mgtt a Vista tovbbi mappkat is ltrehoz a vdett md
mkds kiszolglsa cljbl, azaz a bngsz rendszeres hasznlatval a
kvetkez, szintn csak alacsony integritsi szinten lv mappkat tlthetjk
meg fjlokkal, a szoksos bngsz mappk helyett:
Temp: %LocalAppData%\Temp\Low
Cookies: %AppData%\Microsoft\Windows\Cookies\Low
History: %LocalAppData%\Microsoft\Windows\History\Low
A vdett md alaprtelmezs szerint be van kapcsolva az Internet, Helyi intranet (Local intranet) s Tiltott helyek (Restricted sites) znkban (a Megbzhat helyek (Trusted sites) znban teht nem), a bekapcsolt llapotot pedig
egy, az llapotsorban lthat ikon jelzi.
A vdett md alaprtelmezsknt aktv, kikapcsolsa hacsak nem abszolt megbzhat helyen, pldul cges intraneten bngsznk nem ajnlott, mr csak azrt sem, mert ekkor az
IE automatikusan a kzepes integritsi szintre kapaszkodik fel.
157
Tanstvny-ellenrzs
Az rvnytelen tanstvnnyal rendelkez oldalak megltogatsakor eddig is
kaptunk figyelmeztetst, most azonban olyan hangslyos lett a biztonsgi riaszts, hogy az a kezd felhasznlk figyelmt sem kerlheti el. A megbzhat, ers titkostst hasznl oldalak cme mellett egy lakat ikon jelzi a biztonsgos kapcsolatot, a veszlyesnek minstett oldalak cmsora pedig pirosra
vltozik. Az rvnytelen, vagy lejrt rvnyessgi idvel rendelkez tanstvnyt hasznl weblapok tovbbra is megtekinthetk, eltte azonban a felhasznlnak nyugtznia kell, hogy megrtette a kockzati tnyezket s sajt
felelssgre lp be az oldalra.
3.25. bra: A figyelmeztets nyilvnval: ez a tanstvny nem megfelel
158
Biztonsgi belltsok automatikus felgyelete

Az Internet Explorer 7
kpes detektlni, ha az
adott znnak megfelel
biztonsgi belltsok eltrnek az alaprtelmezett szinttl s veszlyesek lehetnek a bngszsre nzve. A biztonsgi svra
kattintva lehetsgnk van a problms belltsok automatikus korriglst
krni, vagy a konfigurcis panelt megnyitva kzzel mdostani azokat.
3.26. bra: A zna biztonsgi opcik kztt kiemelve ltjuk az igazn fontosakat
159
Ha a manulis mdszer mellett dntnk, segtsgnkre lehet, hogy az Internet Explorer piros sznnel megjelli szmunkra a veszlyesnek tlt belltsokat. A znabelltsok kztt olyan jdonsgokat tallunk, mint a felbukkan szkriptelt ablakok tiltsa, a sttuszsor weboldal ltali frisstsnek letiltsa, valamint immr minden egyes ablaknak ktelez jelleggel ltszik a
cm- (URL) s llapotsora. Ezekre a korltozsokra szintn az egyre terjed
adathalsz-tmadsok kivdse miatt van szksg.
Halad lehetsgek s belltsok egyszer problmamegolds

Ha tallzzuk a Start ment, az Accessories \ System Tools (Kellkek/Rendszereszkzk) programcsoportban rtallhatunk egy specilis IE-vltozatra, amelyet Internet Explorer (No Add-ons) nvvel lttak el. Ezzel az ikonnal egy teljesen csupasz, bvtmnyek s extra eszkztrak nlkli bngszt indthatunk el, azaz az esetleg, mr j alaposan beplt rosszindulat vagy hibs
mkds bvtmnyek hasznlata kikerlhet. Ezt a problmamegoldshoz
nagyon hasznos zemmdot egybknt elrhetjk a parancssorbl is, a kvetkez paranccsal: iexplore -extoff.
A biztonsg fokozja az a specilis, az Internet Options\General (Internetbelltsok/ltalnos) flrl elrhet panel is, amelyben egy menetben trlhetjk az IE gyorsttrt, a komplett elzmnylistt, a stiket, a klnbz
rlapokba bert s eltrolt adatokat, valamint az internetezs sorn itt-ott
megadott jelszavakat.
3.27. bra: rzkeny adatok egyszer trlse
160
Vgl, de nem utolssorban emltsnk meg mg kt szintn halad opcit,

amelyek az Internet Options\ Advanced (Internetbelltsok/Specilis) fln
tallhatak, a panel aljn a kiemelt opcik kztt Az egyikkel (Restore advanced settings Specilis belltsok visszalltsa) knnyedn visszallthat
az sszes halad bellts, amely szp szmban, ugyanezen a panelen tallhatak. A msikkal viszont az egsz Internet Explorert totlis alaphelyzetbe
hozhatjuk (Reset Internet Explorer Settings Alaphelyzet), amely bizonyos
esetekben igencsak hasznos s gyors megoldsnak bizonyulhat.
3.28. bra: Az IE7 biztonsgi opciinak alaphelyzetbe lltsa egyszer

Az Internet Explorer 7.0 biztonsggal kapcsolatos jdonsgai
Ebben az eladsban online pldkkal mutatjuk be az itt felsorolt jdonsgokat s vltozsokat az Internet Explorer 7-tel kapcsolatban.
Fjlnv: I-3-4bIE7-biztonsag.avi
A Windows Defender
A Microsoft eredetileg a Windows XP-hez kezdte fejleszteni Microsoft AntiSpyware nven kmprogram s trjai-figyel alkalmazst, melynek vgleges verzija a Windows Defender nevet kapta, s vgl a Windows Vistba is
be lett ptve.
A szolgltatsknt fut Defender alaprtelmezsknt engedlyezve van, s
az automatikus, temezett gyorskeress is be van kapcsolva. Az alkalmazs
krtev-adatbzisa az internetrl a Windows Update szolgltats segtsgvel folyamatosan frissl, de a defincis fjlok igny szerint akr manulisan
is letlthetk s telepthetk.
A Windows Defender XP-re telepthet vltozata a kvetkez webcmrl tlthet le: http://
www.microsoft.com/windowsdefender.
A legfrissebb szignatra fjlok pedig a kvetkez Microsoft tudsbziscikken keresztl rhetk
el: http://support.microsoft.com/?kbid=923159)
161
A Windows Defender az id nagy rszben a httrben, a felhasznl megzavarsa nlkl fut, jelenltre csak akkor figyelhetnk fel, ha valamilyen beavatkozs szksges ekkor a tlca rtestsi terletrl egy buborkzenetet jelent meg, melyben ismerteti a teendket.
3.29. bra: Nemcsak vd a kmprogramok ellen, hanem a rendszerindtst is

befolysolhatja a Windows Defender
Az ismert krtevk leflelsn kvl a Defender valban tfog vdelmet

nyjt a Windows rendszer egsznek, gy kpes a kvetkez esemnyeket is
detektlni:
162
automatikusan indul programok listjnak mdosulsa;
rendszerkonfigurci vltozsa;
Internet Explorer bvtmnyek teleptse;
Internet Explorer biztonsgi belltsok mdosulsa;
szolgltatsok s eszkzmeghajtk teleptse, valamint azok konfigurcijnak vltozsa;
alkalmazs-regisztrci (Registry mdosulsa);
Windows-bvtmnyek teleptse.
A Windows Defender rsze a Software Explorer, mellyel megtekinthetjk a

rendszerrel automatikusan indul s az ppen fut alkalmazsok biztonsgi
besorolst, valamint letilthatjuk a nem kvnt startup-programokat. Ha hozz
akarunk jrulni a Windows Defender fejlesztshez, sajt vizsglat kzben szletett eredmnyeinket is kzz tehetjk, ha csatlakozunk a Microsoft SpyNet
programhoz. A belps ktszint, Basic, illetve Advanced tagsgot is bellthatunk. Mg a Basic esetn a Defender csak alapvet informcikat kld a Microsoftnak a gpnkn esetlegesen szlelt spyware-ekrl, az Advanced tagsgot
vlasztva minden belltsunkrl rtesthetjk a fejlesztket, pldul a mg be
nem sorolt, de ltalunk biztonsgosnak tlt alkalmazsok lenyomatait is feltlti a program ezzel segtve az adatbzis tkletestst.
A titkostott fjlrendszer: az EFS

A Windows 2000 ta elrhet titkostott fjlrendszer (EFS = Encrypting File
System) az NTFS-fjlrendszer egyik alapszolgltatsa. Segtsgvel transzparens mdon titkosthatjuk fjljainkat, gy azokat a tulajdonos felhasznl a
sajt profiljba bejelentkezve a szoksos mdon elrheti, de a httrtrol
tartalma ms szmtgpbe helyezve vagy ms szmtgprl hlzaton keresztl tallzva nem hozzfrhet.
Az EFS-titkosts rvnyestshez egy-egy mappra vagy fjlra mindssze
meg kell nyitnunk az objektum tulajdonsglapjt, majd az Advanced gombra
kattintva bejellnnk az Encrypt contents to secure data ngyzetet. A titkostott
llomnyok szne a Windows Explorerben alaprtelmezsknt zldre vltozik.
Az egyes fjlokon, vagy teljes mappkon tl a Windows Vista mr a lapozfjl titkostst is lehetv teszi. Erre azrt lehet szksg, mert a lapozfjlban mg a rendszer lelltsa utn is maradhatnak bizalmas adatok, melyek kls eszkzkkel kinyerhetk.
Az EFS-sel titkostott adatok visszafejtsre jelenleg nincs lehetsg, hacsak nem rendelkeznk a titkostshoz hasznlt tanstvnnyal. Ezt a tanstvnyt a titkostst vgz felhasznl profiljba bejelentkezve a tanstvnytrbl brmikor kiexportlhatjuk, EFS hasznlata esetn pedig ersen
ajnlott biztonsgi msolatot is tartani belle arra az esetre, ha az opercis
rendszer nem indthat.
163
3.30. bra: A titkosts bekapcsolsa
3.31. bra: Az EFS hzirend-belltsok mennyisge alaposan megntt
164
Az EFS-tanstvnyt a Certificate Managerbl exportlhatjuk ki, melyet a

certmgr.msc paranccsal indthatunk. A Personal (Szemlyes) tanstvnyok kztt jelljk ki azt, amelynek hasznlati cl mezjben (Intended Purposes) az
Encrypting File System bejegyzst talljuk, majd kattintsunk jobb gombbal a
tanstvnyra, s az All Tasks/Export (sszes feladat/Exportls) paranccsal
mentsk le a fjlt. Ahhoz, hogy egy msik szmtgpen, vagy ugyanazon, de
esetlegesen jrateleptett rendszer esetben hozzfrjnk titkostott adatainkhoz, az imnt kimentett tanstvnyfjl importlsra van szksg (melyet
szintn a Certificate Managerrel vgezhetnk el).
3.32. bra: Az EFS-tanstvny exportlsa
A csoporthzirendbl igen rszletesen konfigurlhatjuk az EFS mkdst.

Lehetsgnk van az EFS teljes tiltsra, de bellthatjuk a felhasznlk Dokumentumok mappinak, vagy akr az imnt emltett lapozfjl automatikus
titkostst, valamint megkvetelhetjk USB SmartCard hasznlatt is.
A Windows Defender s a titkostott fjlrendszer (Encrypted File System EFS)
Ebben a demban egytt mutatjuk be a Windows Defender kmprogram keres alkalmazs rszleteit, illetve a fjlok/mappk titkostsrt felels EFS-szolgltats megvltozott lehetsgeit.
Fjlnv: I-3-4cDefender-EFS.avi
165
BitLocker: a lemezek titkostsa

A felmrsek szerint a legtbb knyes vllalati s szemlyes informci elveszett vagy ellopott szmtgpekrl, fknt notebookokrl jut illetktelen kezekbe. ppen ezrt egyre inkbb elvrs, hogy adataink mg a szmtgp
kikapcsolt llapotban is vdve legyenek. A Windows Vista ezt is lehetv teszi a BitLocker meghajttitkosts segtsgvel. A BitLocker egy vadonatj
technolgia, mely a merevlemez tartalmt mg a gp sztszerelse s a lemezhez val kzvetlen hozzfrs esetn is olvashatatlan adathalmazz vltoztatja. Termszetesen mivel az opercis rendszer ilyenkor nem fut ehhez kls segtsgre van szksge, nevesl a TPM, azaz Trusted Platform
Module chipre, vagy egy USB-kulcsra.
A BitLocker kt f funkcival vdi adatainkat: a lemez tartalmnak teljes
titkostsval (128- vagy 256-bites AES algoritmussal) s a bootfolyamat eltt
a kritikus rendszerfjlok integritsnak ellenrzsvel. Az opercis rendszer
mg akkor sem indthat el, ha illetktelenek valamilyen kls eszkzzel
esetleg mdostjk a betltst vgz komponenseket, gy prblvn kiiktatni a
titkostst. A BitLocker a Vista eredeti kiadsban a teljes fjlrendszert belertve a lapoz- s hiberncis fjlt is titkostja, de csak a rendszermeghajtra alkalmazhat. Ez az llapot vrhatan a Windows Vista els javtcsomagjban vltozni fog, s az emltett korlt vgleg megsznik, azaz a
BitLocker titkosts valamennyi lemezre s partcira kiterjeszthetv vlik.
A BitLocker mkdshez az albbi felttelek szksgesek:
A BitLocker hasznlathoz specilis mdon kell particionlni a merevlemezt: a rendszerkteten kvl szksg van egy legalbb 1,5 GB mret, aktv, NTFS fjlrendszert hasznl partcira is, melyen a rendszerindt fjlok kapnak helyet ez a ktet nem kerl titkostsra.
A szmtgp BIOS-nak tmogatnia kell az USB-szabvny eszkzkrl val olvasst s rst mg az opercis rendszer betltdse eltti
fzisban.
Legalbb TPM 1.2-es verzij integrlt titkost chip az alaplapon,

vagy egy USB-kulcs.
Trusted Computing Group (TCG)-szabvnyt tmogat BIOS (TPM

hasznlata esetn).
A BitLocker hromfle mdon alkalmazhat, a kvetkezkben nvekv biztonsgi sorrendben bemutatjuk a titkostsi eljrs lehetsges konfigurciit.
166
Transzparens md (TPM chip hasznlata) A felhasznlnak

semmilyen plusz teendje nincs, ha a rendszerindt fjlok rintetlensgrl a TPM modul megbizonyosodott, elindul az opercis rendszer
s a felhasznl a szoksos mdon bejelentkezhet.
USB-kulcs hasznlata A felhasznlnak mg a szmtgp indtsa

eltt csatlakoztatnia kell a titkostkulcsot tartalmaz USB-eszkzt a
szmtgphez. Ebben az esetben szksges, hogy a szmtgp mg az
opercis rendszer betltse eltt kpes legyen kezelni az USB-eszkzket.
TPM chip s felhasznlszint hitelests egyttes hasznlata

A legbiztonsgosabb konfigurci, ha a TPM modulon kvl a felhasznl birtokban lv PIN-kd is szksges az indtshoz. A BitLocker
multifaktoros hitelestshez a Windows Vista ktfle mdszert tmogat: a boot-folyamat eltt a PIN-kd bekrse a felhasznltl, vagy a
kiegszt azonost USB-kulcsrl trtn beolvassa.
Mivel a BitLocker technolgia elssorban a vllalati felhasznlkat clozza, a meghajttitkostst csak a Windows Vista Enterprise s Ultimate vltozatai tmogatjk. Ha rendelkezsre ll a
megfelel konfigurci, a szolgltatst a Control Panel/Security/BitLocker Drive Encryption
menpont alatt kapcsolhatjuk be.
3.33. bra: A BitLockert csak a rendszerpartcin hasznlhatjuk (egyelre)
167
A halad tzfal s az IPSec-kapcsolatok

A szmtgpes tzfalak feladata a hlzati interfszeken keresztl foly forgalom szrse s szksg szerint tiltsa. Ezeket a feladatokat klnfle
szablyok szerint vgzik, melyek vagy alaprtelmezsknt kerlnek belltsra, vagy a felhasznl ksbb hatrozza meg azokat. A Windows gyfl opercis rendszerek az XP ta beptett tzfallal rendelkeznek, mely igazn az
XP Service Pack 2-ben vlt nagykorv. A Windows Vista viszont egy teljesen j tzfalat tartalmaz, melynek kt arcval is tallkozhatunk: az egyszer,
XP-bl mr ismers fellettel s egy rendkvl rszletes belltsi lehetsgeket nyjt, sajt MMC-konzollal.
A tzfal egyszer fellete a vezrlpultbl egyetlen kattintssal elrhet,
mindssze a Security kategria alatt az Allow a program through Windows
Firewall hivatkozst kell vlasztanunk. Mint lthatjuk, a kezelfellet semmit sem vltozott az XPSP2 ta, a lap els fln ki-, illetve bekapcsolhatjuk a
szolgltatst (alaprtelmezsknt be van kapcsolva), valamint egy gombnyomssal letilthatjuk a msodik fln bellthat kivtelszablyokat. Erre akkor lehet szksg, ha valamilyen nem megbzhatnak minstett hlzatra,
pldul egy nyilvnos WiFi-hlzatra csatlakozunk.
A msodik fln kivteleket kpezhetnk sajt alkalmazsaink szmra,
melyeknek a tzfalon keresztl, sajt porton t kell kommuniklniuk a klvilggal. Itt mr tallhatunk nhny gyrilag konfigurlt kivtelt olyan Windows-rendszerszolgltatsok szmra, mint pldul a hlzati felderts, fjls nyomtatmegoszts, vagy a tvsegtsg. Amikor egy program gynevezett
listening portot nyit magnak, vagyis bejv adatokat kvn fogadni, a Windows tzfal egy krdst intz a felhasznl fel, ahol eldnthetjk, hogy engedlyezzk-e a kivtelszably ltrehozst. A krdssel minden program
esetben s minden hlzati profilban csak az els alkalommal tallkozunk, a
szably bekonfigurlsa utn a tzfal nem krdez tbbet.
Kivtelszablyt kzzel is megadhatunk, ekkor lehetsgnk van portszm
(s hlzati protokoll), illetve alkalmazs szerint ltrehozni a bejegyzst. A belltott kivtelhez ezek utn mr csak hatkrt kell trstanunk ez jelentheti
csak az alhlzaton, vagy akr minden irnybl, gy az internet fell trtn
kapcsolat-fogadst, de megadhatunk egyni cmtartomnyt is.
Ha ennl rszletesebb belltsokra van szksgnk, a Windows Firewall
with Advanced Security (Fokozott biztonsg Windows tzfal) konzolhoz kell
fordulnunk, melyet a felgyeleti eszkzk kztt tallhatunk. A kezdlapon
egy gyors ttekintst kapunk a tzfal llapotrl, hlzati profilonknt olvashatjuk le a szolgltats jellemzit: fut-e a tzfal, illetve mely szablyrendszerek szerint vannak tiltva, illetve engedlyezve a kapcsolatok. Alaprtelmezsknt a tzfal minden profilban aktv, illetve minden olyan bejv kapcsolat, mely nem ktdik szablyhoz, tilts alatt ll.
168
3.34. bra: Az j tzfal hagyomnyosan ismers arca
Mivel a Windows Vista alkalmas klnfle hlzati szolgltatsok nyjtsra

is (pldul web- s FTP-helyek publiklsra), illetve egy krtev program is
mkdtetheti pl. SMTP-kiszolglknt az opercis rendszernket, alapveten szksges a tzfal rszrl a forgalom ktirny szrse. Az j tzfal ennek megfelelen immr kt irnyban vd, igaz a kifel irnyul kapcsolatok
szrse alaprtelmezsknt ki van kapcsolva, mert a tapasztalatlan otthoni
felhasznlk szmra ez ltalban szksgtelen s problmkat okozhat
azonban brmikor bekapcsolhatjuk.
A bal oldali sv legfels bejegyzsre (Windows Firewall with Advanced Security Fokozott biztonsg Windows tzfal) jobbkattintva s a tulajdonsglapot
megnyitva elrhetjk a tzfal ltalnos belltsait, itt konfigurlhatjuk be a flapon is lthat paramtereket, valamint a blokkolt kapcsolatok esetn felbukkan rtestseket. Tbb flet is lthatunk, mivel a hrom hlzati profilnak
megfelelen kln-kln hatrozhatjuk meg a tzfal mkdst, egy kln lapon
pedig az integrlt IPSec-szolgltats alaprtelmezett belltsait tallhatjuk.
169
3.35. bra: s a teljesen j MMC konzol, a halad opcikkal
A konzol fastruktrjban tallhatk a szablyrendszerek troli, illetve az

egyb kapcsolatbiztonsgi belltsok, valamint a tzfal felgyeleti eszkzei.
Az Inbound Rules (Bejv szablyok) bejegyzsre kattintva eltnnek a befel
irnyul kapcsolatokra rvnyes szablyok. Szmos elre definilt bejegyzssel tallkozhatunk itt, ezek kzl csak nhny aktv, ezeket a sor eltti zld
ikon jelzi. Egy-egy szablyt ketts kattintssal szerkeszthetnk, de a gyri
belltsokat rdemes rintetlenl hagyni. Sajt szablyt is ltrehozhatunk,
erre az Action (Mvelet) men alatti New Rule... (j szably) varzslt
hasznlhatjuk, mely vgigvezet egy szably belltsnak lpsein.
Mint a tzfal egyszerstett vezrlpultjn, itt is lehetsg van program s
port szerint is fellltani a szablyt. Pluszknt azonban elre definilt szolgltatsokat (tvoli asztal, fjl- s nyomtatmegoszts, hlzati felderts stb.) is
bekonfigurlhatunk ezekhez elre s eltr krlmnyekre legyrtott szablyok lteznek s teljesen egyni szably ltrehozst is krhetjk, ahol minden paramtert kzzel kell megadnunk.
170
A szably hatkrt egyes programokra korltozhatjuk, de egy listbl kivlaszthatunk Windows-szolgltatsokat is. Ha protokoll s port
szerint szrnk, megadhatjuk a protokoll tpust, (illetve szmt), a kapcsolathoz hasznlt helyi s tvoli portok szmt. Ugyangy a helyi, illetve
tvoli IP-cmeket, st akr a hlzati
interfszt is megszabhatjuk, melyek a
kapcsolatban rszt vehetnek, majd
azt kell meghatroznunk, hogy a szably engedlyezze vagy blokkolja az
imnt belltott paramterek szerinti
kapcsolatokat. Ebben a lpsben bellthatjuk, hogy a kapcsolat csak akkor
legyen engedlyezett, ha az titkostott, teht biztonsgos.
Kvetkez lpsknt azokat a hlzati profilokat kell kivlasztanunk, melyekben a tzfalszably l, vgl egy nevet s egy rvid lerst (opcionlis)
kell csatolnunk a szablyhoz. Ugyanezzel a varzslval dolgozunk, amikor
kimen forgalom szablyozst lltjuk be az Outbound Rules (Kimen szablyok) szekciban.
A Windows tzfal mivel MMC konzolbl vezrelhet tvoli szmtgprl felcsatlakozva is
kezelhet, valamint a netsh parancssori eszkzzel is lekrdezhetjk s megvltoztathatjuk a
belltsokat. A tzfal halad belltsainak parancssorbl trtn kezelshez hasznljuk a
netsh advfirewall utastscsoportot.
A mr emltett IPSec olyan nylt szabvnyokbl ll keretrendszer, amely

kriptogrfiai biztonsgi szolgltatsok segtsgvel teszi lehetv a titkostott
kommunikcit az IP-protokollt hasznl hlzatokon. Az IPSec-protokoll kt
legfontosabb clja, hogy megvdje az IP-csomagok tartalmt, s hogy vdelmet nyjtson hlzati tmadsokkal szemben a megbzhat kommunikci
kiknyszertsvel. Az IPSec a titkostson alapul vdelmi szolgltatsok, a
biztonsgi protokollok s a dinamikus kulcskezels alkalmazsval mindkt
clnak megfelel. E biztos httr szolgltatja azt a hatkonysgot s rugalmassgot, amely a szl s site-to-site VPN-hlzatok szmtgpei, tartomnyok, s pl. webhelyek kztti biztonsgos kommunikcit lehetv teszi. St,
az IPSec a megadott forgalomtpusok fogadsnak vagy tovbbtsnak blokkolsra is hasznlhat.
171
3.36. bra: A szablyok akr a hlzati interfsz tpustl is fgghetnek
Az IPSec-protokoll biztonsgi szolgltatsainak belltshoz eddig kizrlag a

klnbz hzirendek voltak hasznlatosak. Az IPSec-hzirendek igny szerint
alakthatk, gy egy adott szmtgpre, alkalmazsra, tartomnyra vagy az
akr az egsz vllalatra szabhatk.
A Windows Vistban az IPSec is j ruhba bjt, ezen tl Connection Security
Rules (Kapcsolatbiztonsgi szablyok) nven, a halad tzfal MMC-be integrlva
is tallkozhatunk vele (a csoporthzirendbl tovbbra is definilhatk IPSec hzirendek). De nem csak a ruha j, most mr valban egyszerv vlt a hasznlat
is, azaz nem szksges elmerlnnk a kriptogrfia mlysgeibe, ahhoz, hogy bekapcsoljuk kt tetszleges vgpont kzt az IPSec-et. A halad belltsok nagyon
szpen el vannak rejtve, az alapbelltsokkal viszont eleve biztonsgosan, pr
kattintssal kszthetnk azonnal mkd hlzati forgalomtitkostst.
Kapcsolatbiztonsgi szablyokat a hagyomnyos tzfalszablyokhoz hasonlan varzsl segtsgvel llthatunk el, a lehetsgek trhza bsges,
vlaszthatunk izolcit, kiszolgl-kiszolgl kapcsolat belltst, hitelests-mentestst llthatunk be, valamint biztonsgos tjrt (tunnel) hozhatunk ltre. Rendelkezsnkre llnak j algoritmusok is, a titkostshoz AES128/192/256, a kulcscserhez ECDH-P 256/384 titkostst is hasznlhatunk.
172
3.37. bra: Az IPSec titkostsi belltsai
Az IPSec parancssorbl is kezelhet, ehhez a mr ismert netsh eszkzt alkalmazhatjuk. A netsh IPSec kontextusba val belpshez hasznljuk a netsh -c
ipsec parancsot.
A tzfal MMC-konzol Monitoring (Figyels) trolban megtekinthetjk az
aktulisan aktv s mkd szablyokat, tzfal- s kapcsolatbiztonsg szerint
kln csoportostva. A Security Associations (Biztonsgi trstsok) bejegyzs
alatt az aktv kapcsolatbiztonsgi (IPSec) belltsok kerlnek listzsra.
A kt (valjban csak egy) Windows Vista tzfal
Ebben az eladsban sor kerl a Windows Vistban integrlt tzfal mindkt arcnak bemutatsra, a halad lehetsgeket rszletesen kielemezve.
Fjlnv: I-3-4dWindows-Firewall.avi
173
Ments s visszallts
A korbbi Windows-verzikkal ellenttben a Vista mentsvel s visszalltsval kapcsolatos feladatokat mr nem az NTBackup-program, hanem a hangzatos nev Backup and Restore Center (A biztonsgi ments s visszallts
kzpontja), illetve az innen elindthat Backup Status and Configuration (Biztonsgi ments llapota s konfigurcija, sdclt.exe) felletrl vgezhetjk el.
Az NTBackup-program hasznlatval, a kiszolglk mentsnek s visszalltsnak krdseivel

a hatodik fejezetben rszletesen fogunk foglalkozni, most csak a Vista specilis lehetsgeivel
ismerkednk meg.
Itt adhatjuk meg az egyes fjlok s mappk, automatikus mentsvel, illetve

a teljes szmtgp disk image (lemezkp) alap mentsvel kapcsolatos belltsokat, s innen kezdemnyezhetjk az adatok visszalltst is.
3.38. bra: Backup and Restore Center
174
Ments s visszallts
A Vista ngy klnbz lehetsget nyjt a biztonsgi mentsek ksztsre,

ezek mindegyike ms mdon, s msfle adatok mentsre hasznlhat elnysen. A kvetkezkben ttekintjk az egyes mentsi tpusokat, s megvizsgljuk
azt is, hogy melyik tpus milyen adatok mentsre hasznlhat legjobban.
Restore points (Visszalltsi pontok) a rendszerfjlok s a rendszerkonfigurci mentsre hasznlhat, segtsgvel az opercis
rendszer egy korbbi llapotra trhetnk vissza (a felhasznlk adataira a visszallts nem vonatkozik).
Previous Versions (Elz verzik) a szolgltats elssorban a felhasznlk fjljainak mentsre s visszalltsra hasznlhat, a mentsek
automatikusan trtnnek, a visszalltsi mveleteket pedig maguk a felhasznlk kezdemnyezhetik. (A szolgltats az rnykmsolatokon alapul, amelynek rszletes ismertetse a negyedik fejezetben tallhat.)
Create backup copies of yout files and folders (Fjlok s mappk

biztonsgi mentse) elssorban a felhasznlk fjljainak mentsre
hasznlhat automatikus (idztett), illetve kzi indtssal.
Complete PC backup (A teljes szmtgp mentse) a teljes szmtgp lemezkp alap mentse, ami tartalmazza valamennyi ktet valamennyi adatt, vagyis az sszes rendszerfjlt s -belltst, illetve a
felhasznlk fjljait is.
A biztonsgi msolatok trolsa

A biztonsgi mentsek tpusainak megfelelen alapveten kt klnbz mdszer ll rendelkezsre a mentskor keletkez llomnyok trolsra. A System
Restore (Rendszer-visszallts) s az rnykmsolatok szolgltatshoz kapcsold adatok minden esetben a szolgltats ltal vdett ktet rejtett rszre
kerlnek, vagyis pldul a merevlemez meghibsodsa esetn vrhatan nem
lesznek elrhetk.
Ezzel ellenttben a fjlokrl ksztett mentsek, illetve a teljes szmtgp
lemezkp alap mentst trol fjlok csak nll troleszkzre helyezhetk.
A biztonsgi mentsek a kvetkez adathordozkon trolhatk:
Merevlemezek (bels vagy kls).
rhat DVD- s CD-lemezek. (A program szksg esetn krni fogja tovbbi res lemezek behelyezst is.)
Hlzati megoszts (csak fjlokrl ksztett ments esetn).

175
A System Restore-szolgltats
A System Restore (Rendszer-visszallts) szolgltats segtsgvel restore
pointokat (visszalltsi pontok) hozhatunk ltre, amelyek lehetv teszik a
rendszer helyrelltst sikertelen frisstsek, szoftver- vagy hardvertelepts, illetve ms vltoztatsok utn. A kvetkezkben ttekintjk a visszalltsi pontokkal kapcsolatos tudnivalkat s belltsi lehetsgeket.
A visszalltsi pont tulajdonkppen a szmtgp egy adott ktetnek (pontosabban a kteten lv rendszer- s programfjloknak, illetve a regisztrcis
adatbzisnak) lemezre mentett pillanatfelvtele, amelynek segtsgvel visszallthat a pillanatfelvtel idpontjnak rendszerkonfigurcija. A System
Restore-szolgltats alaprtelmezs szerint napi temezssel automatikusan
kszti el a helyrelltsi pontokat. A System Restore az adatok mentst ktetenknt vgzi, vagyis a szolgltats az egyes ktetekre engedlyezhet, illetve tilthat. Alaprtelmezs szerint a Vista maximlisan az adott ktet terletnek 15%-t hasznlja a visszalltsi pontok trolsra (a minimlisan
szksges terlet 300 MB), s a szolgltats a rendszert tartalmaz ktet esetben engedlyezve van.
A System Restore-szolgltats ltal mentett adatok az adott ktet System Volume Information
nev mappjban troldnak. Minden egyes visszalltsi pont kln almappba kerl, amelynek neve tartalmaz egy 32 karakter hossz egyedi azonostt (GUID). NTFS-kteteken a mappa
nem rhet el a felhasznlk szmra (mg a rendszergazdknak sem); alaprtelmezs szerint
egyedl a System fik kap jogot a mappa elrsre. Ha szeretnnk tudni, hogy mennyi helyet
foglalnak a System Restore ltal mentett adatok, egy rendszergazda jogosultsggal fut parancssorban adjuk ki a kvetkez parancsot: vssadmin list shadowstorage.
Fontos megjegyezni, hogy a System Restore a szemlyes adatokat (pldul a

felhasznli profil tartalmt) nem menti, gy ezeket az esetleges visszallts
sem fogja rinteni, viszont mivel az rnykmsolatok (lsd ksbb) ksztst
is a System Restore engedlyezsvel kapcsolhatjuk be, mgis rdemes lehet
a szolgltatst a felhasznli adatokat tartalmaz ktetekre is engedlyezni.
A napi temezs mellett termszetesen kzzel is kszthetnk visszalltsi pontokat (az brn lv Create (Ltrehozs) gomb megnyomsval), illetve a Vista bizonyos esemnyek bekvetkeztekor automatikusan is kszt tovbbi visszalltsi pontokat. A visszalltsi pont ksztst kivlt esemnyek a kvetkezk (cskkentett md rendszerindts esetn nem kszlnek
visszalltsi pontok):
176
Ments s visszallts
Program teleptse megfelel teleptprogram esetn a teleptst megelzen visszalltsi pont kszl. A visszalltsi pont segtsgvel problma esetn helyrellthatjuk a szmtgp teleptst megelz llapott.
3.39. bra: Alaprtelmezs szerint a System Restore csak a rendszert tartalmaz ktet
vltozsait figyeli
Frisstsek teleptse az automatikus frisstsek teleptse eltt is

kszl visszalltsi pont.
Visszalltsi mvelet visszalltsi pont kszl minden visszalltsi pontra trtn visszatrs eltt is, gy knnyen visszavonhatjuk az
elhibzott mveletek hatst.
Alrs nlkli eszkzmeghajt teleptse visszalltsi pont kszl az alratlan, illetve nem minstett eszkzmeghajtk teleptse
eltt. (A minstett meghajtk korbbi llapotnak visszalltsa a
Device Manager (Eszkzkezel) Driver Rollback (Az eszkzmeghajt
visszalltsa) mveletvel lehetsges.)
Mentsbl val visszallts visszalltsi pont kszl, ha a Vista

beptett mentszoftvernek segtsgvel fjlokat lltunk vissza.
177
Problmt okozhat, ha a Windows Vista-rendszer mellett Windows XP is teleptve van a szmtgpen. Ebben az esetben a Windows XP indtsakor a Vista ltal mentett valamennyi visszalltsi
pont (az rnykmsolatokkal egytt) megsemmisl. A jelensgnek oka az, hogy mivel a Windows
XP nem ismeri a Vista ltal ltrehozott visszalltsi pontok formtumt, azt felttelezi, hogy
azok srltek, gy egyszeren trli ket, majd ltrehozza a sajt visszalltsi pontjait.
A Previous Versions-szolgltats
A Previous Versions (Elz verzik) szolgltats a srlt, illetve vletlenl
mdostott vagy trlt fjlok egyszer, a felhasznlk ltal kezelhet visszalltsi lehetsgt biztostja. Egy fjl vagy mappa elz verzija szrmazhat a
Vista beptett mentszoftvervel ltrehozott mentsi fjlbl, vagy rnykmsolatbl, amelyek a visszalltsi pontok rszeknt alaprtelmezs szerint
naponta egyszer kerlnek mentsre (csak vltozs esetn).
Az rnykmsolat-szolgltats a Windows Server 2003 esetben is ltezik, errl rszletes lers

tallhat a negyedik fejezetben. A Windows Server 2003 esetn azonban az elz verzik csak
az rnykmsolattal vdett ktet megosztott mappinak elrsekor llnak rendelkezsre. A Vista
jdonsga, hogy az rnykmsolatok, s gy a fjlok s mappk elz verzii helyi ktetek esetben is elrhetk s hasznlhatk.
3.40. bra: Az rnykmsolat szolgltats helyi meghajtkra is hasznlhat a Vistban

178
Ments s visszallts
Az rnykmsolatokat a rendszer a visszalltsi pont rszeknt, az ott megadott paramtereknek megfelelen menti. Ha a System Restore szolgltats
engedlyezve van (a szolgltats alaprtelmezs szerint csak a rendszert tartalmaz ktetet vdi), akkor a ktet megvltozott fjljairl naponta egy rnykmsolat kszl (termszetesen a nem mdostott fjlokrl nem). Ha tbb
ktetet is szeretnnk vdeni az rnykmsolatok segtsgvel, azokon is engedlyeznnk kell a System Restore-szolgltatst.
Az rnykmsolatok hasznlatval kapcsolatban mindenkppen figyelembe kell vennnk az albbi szempontokat:
Az rnykmsolatok lettartama korltozott. Alaprtelmezs szerint a

ktet 15%-a ll rendelkezsre, erre a clra, ha ezt elrjk, a tovbbi rnykmsolatok elkezdik fellrni a legrgebben kszlt pldnyokat.
rnykmsolat csak a fjlok, illetve mappk megvltoztatsakor kszlnek. Ha egy adott fjl mr hossz id ta vltozatlan, akkor elkpzelhet, hogy egyltaln nem lesznek rnykmsolatai (br ebben az
esetben nincs is szksg rjuk).
Amint mr emltettk, ha a szmtgpen ms opercis rendszert

(Windows XP-t) indtunk el, akkor valamennyi rnykmsolat s a
visszalltsi pontok is trldni fognak.
A rendelkezsre ll elz verzik megtekintshez kattintsunk a fjlra, illetve mappra az egr jobb gombjval, s vlasszuk a Restore Previous Versions
(Korbbi verzik visszalltsa) menpontot.
Az elz verzik (Previous Versions) hasznlata
Ebben a demban bemutatjuk a Vistba immr alaprtelmezsben integrlt Previous Versions
szolgltats igencsak kellemes elnyeit.
Fjlnv: I-3-5aPrevious-Versions.avi
Fjlok s mappk mentse

A fjlalap ments segtsggvel a felhasznlk szemlyes fjljainak mentst vgezhetjk el, ez a mdszer programok, illetve belltsok mentsre
nem hasznlhat. A mentsi fjlbl nll fjlokat s mappkat is visszallthatunk, de pldul a merevlemez meghibsodsa esetn elszr fel kell teleptennk az opercis rendszert s valamennyi programot. A ments a belltott temezs szerint trtnik, de az idztsen kvl csak a mentsi helyet s
a mentend fjlok tpust hatrozhatjuk meg.
179
3.41. bra: A Vista beptett mentszoftvere automatikusan menti a felhasznlk fjljait
Complete PC Backup
A teljes szmtgp mentse azt jelenti, hogy a szmtgp kijellt kteteirl
(a rendszerktetrl mindenkppen) lemezkp (disk image) alap msolatot
ksztnk. A lemezkp tartalmazza az adott ktet valamennyi adatt, a rendszerfjlokat s belltsokat, valamint a felhasznlk fjljait is. A mentsi fjl
(vagyis a lemezkp) mrete nagyjbl meg fog egyezni az sszes elmentett
adat eredeti mretvel.
A lemezkpek formtuma a Virtual PC (s a Virtual Server) ltal is hasznlt .vhd (virtual hard disk) formtum, vagyis azok akr egy virtulis gp al
is becsatolhatk.
Mieltt a mentst elvgeznnk, clszer megkeresni s kijavtani a ktet
esetleges hibit (chkdsk), s tredezettsgmentesteni a ktetet. Ha a mentst
msodik merevlemezre szeretnnk elvgezni, NTFS fjlrendszerrel kell megformznunk azt (tmrtett ktetre nem helyezhetjk a mentsi fjlt).
180
Ments s visszallts
3.42. bra: A rendszerktet lemezkp alap mentse msodik merevlemezre
A teljes szmtgp mentse csak teljes ktetekre vonatkozhat, egyedi fjlok

vagy mappk kivlasztsra nincs lehetsg, gy aztn a ments elvgzse is
meglehetsen egyszer: csak a clhelyet kell megadnunk s ki kell vlasztanunk a mentend kteteket.
A szmtgp visszalltst elvgezhetjk a Backup and Restore Center
felletrl, de nem indul rendszer esetn ez az t termszetesen nem jrhat. Ebben az esetben a visszalltshoz a Vista teleptlemezrl kell elindtanunk a szmtgpet, de a szoksos telepts helyett vlasszuk a Repair
Your Computer (Szmtgp javtsa) hivatkozst, majd a Windows Complete
PC Restore (Windows Complete PC Visszallts) opcit.
Ments s visszallts
Ez a rszletes elads a Vista fjlokat s mappkat rint menteszkzvel, illetve a specilis
komplett lemezktet ments szolgltatssal foglalkozik.
Fjlnv: I-3-5bMentes-visszallitas.avi
181
II. RSZ
A kiszolgl
A msodik rszben a jelenleg aktulis hlzati kiszolgl opercis rendszer, a
Windows Server 2003 R2 kpessgeit ismertetjk, szintn hrom fejezetben.
Kiszolgl a hlzatban
185. oldal
A knyv negyedik fejezete egy ltalnos bevezetsnek tekinthet a

Windows kiszolglk alkalmazshoz. A telepts tmakrtl az alap
fjl- s nyomtatszolgltatsokon keresztl egszen a hlzati szolgltatsokig jutunk el. A fejezet utols harmadban kapott helyet a Windows Software Update Services (WSUS) rszletes ismertetse is.
Tartomnyi krnyezet
275. oldal
Az tdik fejezetben megprbltunk egy ltalnos, de azrt alapos s

mly ttekintst nyjtani a Windows hlzatok legfontosabb alkotelemrl, a cmtrszolgltatsrl. Rszletesen taglaljuk a cmtr szerkezett, objektumait, mentst, s az olyan kapcsold szolgltatsokat, mint pldul a DNS nvfelolds. Ezek mellett a Csoporthzirendrl s a telephelyekrl is szt ejtnk.
Hibakeress s -elhrts
339. oldal
A knyv befejez fejezete igazi unikumnak szmt. A hibakeress kapcsn ismertetjk a Windows opercis rendszerek alapszint mkdst, a rendszerindtstl kezdve, a Recovery Console-on keresztl egszen a kk hallig. A fejezet tovbbi rszeiben pedig a Windows hlzatokban elfordul problmk megoldshoz hasznlhat, beptett illetve kls eszkzkrl esik sz.
NEGYEDIK FEJEZET
Kiszolgl a hlzatban
A fejezet tartalma:
Kiszolgl alkalmazsa: elnyk, alapismeretek ............................................ 186
Elkszletek s telepts ................................................................................ 191
A kiszolglk alapszolgltatsai ...................................................................... 201
Hlzati szolgltatsok .................................................................................... 228
Egyb kiszolglkomponensek ......................................................................... 257
A Windows Server 2003 hasznlatval szmos j, jl hasznlhat szolgltats,
s termszetesen szmos megoldand feladat jelenik meg a hlzat s a rendszergazda letben. Br az gyflgpek felgyelete kzben megszerzett ismeretek jelents rsze a kiszolglk zemeltetshez is jl felhasznlhat, rengeteg
j kihvssal is szembe kell nznnk: a kiszolgl szmtgp mind a hardver,
mind pedig az opercis rendszer szintjn jelents jdonsgokat nyjt.
A kvetkezkben megismerkednk a kiszolglk teleptsnek, valamint
az alapszolgltatsok belltsnak s felgyeletnek legfontosabb elemeivel.
Az albbi tmakrket fogjuk megtrgyalni:
Kiszolgl alkalmazsa: elnyk, alapismeretek ttekintjk,

hogy milyen elnykkel jr, s milyen esetekben szksges a kiszolgl
szmtgpek alkalmazsa.
Elkszletek s telepts sorra vesszk azokat a szempontokat,

amelyeket figyelembe kell vennnk a kiszolgl opercis rendszer teleptse eltt, majd ttekintjk a telepts menett s a ksz opercis
rendszerben elvgzend ellenrz mveleteket.
A kiszolglk alapfunkcii megismerkednk a Windows kiszolglk alapszolgltatsaival, a fjlok trolsnak s megosztsnak klnfle mdszereivel. Bemutatjuk a Windows Server 2003 R2 verzijban megjelen, a fjl- s nyomtatmegosztssal kapcsolatos legfontosabb jdonsgokat.
Kiszolgl a hlzatban Windows Server 2003 R2
Hlzati szolgltatsok a kiszolglk valamennyi szolgltatsa a

hlzaton keresztl rhet el, gy szmos funkci kapcsoldik a megfelel hlzati mkds, s az gyfelek hlzati hozzfrsnek biztostshoz. Ebben a rszben ttekintjk az IP-cmek kiosztsnak mdszereit, a WINS-nvszolgltatssal kapcsolatos legfontosabb tudnivalkat, s a hlzathoz, illetve az egyes szmtgpekhez val tvoli
hozzfrs lehetsgeit. Ide tartozik termszetesen a hlzatok nvfeloldst biztost, s az Active Directory cmtr mkdshez felttlenl
szksges DNS-szolgltats is, de ezzel a kvetkez fejezetben fogunk
rszletesen foglalkozni.
Egyb kiszolgloldali sszetevk ebben a rszben rviden ismertetnk nhny tovbbi szolgltatst, majd megismerkednk a Windows
alkalmazskiszolgl platformjval s kt erre pl alkalmazssal is.
Kiszolgl alkalmazsa: elnyk,

alapismeretek
Mieltt nekifognnk a kiszolglk teleptsvel s zemeltetsvel kapcsolatos
tudnivalk trgyalsnak, mindenkppen tisztznunk kell egy fontos krdst,
amely joggal merlhet fel egy kisebb, mondjuk ngy-t szmtgpbl ll hlzat esetben: kell neknk egyltaln kiszolgl? Hiszen a szmtgpekbl kialaktott egyenrang hlzat (ltszlag) mindent tud, amire egy kiszolglt
hasznlnnk: ltrehozhatunk megosztott mappkat s kzsen hasznlt nyomtatkat, definilhatunk felhasznli fikokat, hozzfrsi jogosultsgokat stb.
Mindennk megvan, minek ide mg egy szmtgp, amely nagy, drga, hangos, sokat kell vele foglalkozni s mg egy Word se futhat rajta?
A kiszolgl szmtgp azonban mg egy egszen kis hlzat esetben is
igen fontos s hasznos lehet. Az gyfl-kiszolgl hlzat rengeteg elnys tulajdonsggal rendelkezik, szmos olyan szolgltatst vehetnk ignybe, amelyek egyenrang hlzat esetben nem elrhetk, illetve az ott meglv szolgltatsok is jelentsen eltr formban, sokkal hatkonyabban hasznlhatk
s felgyelhetk. A kiszolglk a kvetkez elnyket biztostjk az egyenrang szmtgpekbl ll hlzatokkal szemben:
186
lland, folyamatos zem, folyamatos erforrs-megoszts egy

kiszolgl szmtgpet mr a hardver szintjn arra terveztek, hogy
kpes legyen a folyamatos, megszakts nlkli zemre, hnapokon,
vagy akr veken keresztl. A megbzhatbb, sok esetben redundns
hardverelemekbl felptett gpek sokkal ritkbban hibsodnak meg,

illetve meghibsods esetn is nagyon rvid id alatt, st esetenknt folyamatos zem kzben is elvgezhet a hiba elhrtsa. A kiszolglk
teht kpesek arra, hogy erforrsaikat folyamatosan, megszakts
nlkl gyfeleik rendelkezsre bocsssk.
Nagyobb teljestmny Termszetesen a kiszolgl ltalban jval

nagyobb teljestmnyre kpes, mint egy tlagos asztali gp, radsul az
erforrsok hasznlata a hlzatbl rkez krsek minl hatkonyabb
kiszolglsra van optimalizlva. Pldul fjlmegoszts esetn egy kiszolgl szmtgp jval hatkonyabban kpes feladatnak elltsra
sok berkez krs esetben is.
Jogosultsgok kzponti kezelse ha az erforrsok megosztst a

kiszolgl vgzi, akkor a hozzfrsi jogosultsgokat is a kiszolgl kezeli, gy azok belltst s felgyelett csak egy helyen kell elvgeznnk. Tovbbi lehetsget nyjt ezzel kapcsolatban, ha a kiszolgl
bezemelsvel kapcsolatban a cmtrat, vagyis az Active Directoryt is
teleptjk. A cmtr kpes arra, hogy a hlzat objektumait egysges,
jl kezelhet formban tegye elrhetv a felhasznlk s a rendszergazdk szmra, gy a jogosultsgok kzponti kezelse a hlzat valamennyi elemre vonatkozan megvalsthat. Az Active Directory
cmtrszolgltats felptsvel, teleptsvel s hasznlatval a kvetkez fejezetben rszletesen is foglalkozni fogunk.
Kzponti felgyelet kiszolgl (vagy kiszolglk) hasznlatval megvalsthat a teljes hlzat kzponti felgyelete (leginkbb akkor, ha az
Active Directory szolgltatsait is ignybe vesszk). A kzponti felgyelet alapjt kpez csoporthzirend segtsgvel a kiszolglk s gyflgpek belltsait nem egyesvel, hanem a kiszolgln ltrehozott bellts-gyjtemnyek hasznlatval, kzpontilag adhatjuk meg. Ez a megkzelts lehetv teszi azt, hogy valamennyi szmtgp s felhasznl
biztosan megkapja a neki jr belltsokat vagyis az gyflgpek teljesen egysgesen, pontosan a rendszergazda ltal meghatrozott mdon
mkdhetnek , s jelentsen megknnyti a sok szmtgpet, illetve
felhasznlt rint vltoztatsok kezelst is. A kzponti felgyelet rszeknt olyan clszoftvereket is hasznlhatunk (pldul System Center
Esentials 2007 (SCE), System Center Operations Manager 2007
(SCOM), Windows Server Update Services (WSUS), amelyek lehetv
teszik, hogy gyakorlatilag minden, a hlzatot, illetve a szmtgpeket
rint felgyeleti mveletet kzpontilag vgezhessnk el, s a rendszer
mkdst befolysol valamennyi jelents esemnyrl mr a bekvetkezsvel egy idben (st sok esetben elre is) rtesljnk.
187
Alkalmazsplatform a Microsoft kiszolgl opercis rendszerei

stabil, megbzhat alkalmazsplatformot nyjtanak klnfle kiszolgl termkek szmra (legyen sz akr a Microsoft, akr kls gyrtk,
akr a vllalat sajt fejlesztinek termkeirl). Az infrastruktrban
rejl lehetsgek kihasznlsval az egszen bonyolult, sszetett alkalmazsok is viszonylag gyorsan s knnyen elkszthetk.
A kiszolgl feladatai
Hogy valban szksg van-e kiszolgl beszerzsre s zembe lltsra, az
attl is fgg, hogy milyen szolgltatsokat ignyel a hlzat s a felhasznlk.
Ezek kzl bizonyos feladatokat az gyflgpek maguk is ellthatnak, de a
fent felsorolt elnyk miatt, nagyobb ignybevtel, vagy kritikus fontossg
funkci esetn mr mindenkppen rdemes megfontolni a kiszolgl alkalmazst. A kvetkezkben ttekintjk a tipikus kiszolgli feladatokat, s szt
ejtnk arrl is, hogy milyen esetben lehet ezek egy rszt gyflgpre bzni.
188
Fjl-, s nyomtatmegoszts a fjlok s nyomtatk megosztsa a kiszolgl szmtgpek klasszikus funkcija. Ez a funkci ltszlag azonos mdon megvalsthat gyflgpeken is, azonban intenzvebb, biztonsgos s folyamatos hasznlatra ez a megolds mr nem alkalmas,
radsul szmos kiegszt funkci csak kiszolgl opercis rendszer
esetn rhet el. Nagyjbl azt mondhatjuk, hogy az gyflgpek ltal
biztostott fjl- s nyomtatmegoszts az egyetlen szobnyi cgmretig
hasznlhat, mr csak azrt is, mert az gyfelek megosztsaihoz egy
idben maximum tz felhasznl csatlakozhat. A kiszolglk fjl- s
nyomtatmegosztsai elvileg korltlan szm felhasznl kiszolglsra
kpesek, intenzv hasznlat esetn is biztosthatjk a megfelel teljestmnyt, a folyamatos hozzfrst s az adatbiztonsgot, a kiegszt szolgltatsok (rnykmsolatok, elosztott fjlrendszer, mappa alap kvtzs, fjlszrs stb.) pedig sok felhasznl esetn is biztostjk a hatkony
zemeltets feltteleit.
Hlzati szolgltatsok a hlzati szolgltatsok egy rsze (pldul

az internetkapcsolat megosztsa) elrhet gyflgpek esetben is, de
erre is vonatkoznak a hlzat mretvel s a szmtgpek szmval
kapcsolatos korbban mr emltett korltozsok, a vllalati hlzatok
szmra legfontosabb szolgltatsok (DHCP, DNS, tvoli elrs, tvlaszts) pedig csak kiszolgl opercis rendszereken rhetk el.
Biztonsgi ments a biztonsgi mentst s helyrelltst vgz

NTBackup.exe alkalmazs termszetesen elrhet az gyflrendszereken is, de ebben az esetben csak az gyfl sajt merevlemezn trolt
adatok mentst vgezhetjk el segtsgvel. A kzponti (kiszolgln
trtn) adattrols (pldul a felhasznlk dokumentumtrol mappinak tirnytsval) nagymrtkben megknnyti a biztonsgi mentssel s visszalltssal kapcsolatos feladatok hatkony s biztonsgos
elvgzst, az elosztott fjlrendszer s a replikci hasznlatval pedig
tovbb fokozhatjuk a trolt adatok biztonsgt.
Levelezs s csoportmunka ha a vllalat sajt kezbe kvnja

venni a levelezs s csoportmunka kezelst (vagyis nem elgszik meg
az internetszolgltat ltal nyjtott lehetsgekkel, vagy a klnfle
ingyenes megoldsokkal), akkor Windows-platformon mindenkppen
szksg van a kiszolgl opercis rendszer beptett POP3 s SMTPszolgltatsra (vagy a kiszolglra telepthet Exchange Serverre), illetve a Windows SharePoint Services-szolgltatsra.
Web- s ftp-szolgltatsok a web- s ftp-szolgltatsokat, illetve a

webkiszolgln alapul hlzati alkalmazsok httert az IIS (Internet
Information Services) biztostja. Az IIS gyflrendszereken is elrhet,
de ebben az esetben tbb szempontbl is korltozott lehetsgekkel
rendelkezik. Nyilvnosan elrhet web-, vagy ftp-hely zemeltetsre
pldul az gyfl-IIS semmikppen nem alkalmas, mr csak azrt sem,
mert egy idben legfeljebb tz felhasznl csatlakozhat hozz. Egszen
ms a helyzet azonban a kiszolgln fut IIS esetn, ez a vltozat mr
tkletesen megfelel nagy terhelssel mkd, nyilvnos web- vagy
ftp-szolgltats biztonsgos zemeltetsre is.
Egy vagy tbb kiszolgl kell?

A vllalatunk szmra szksges kiszolglk szmnak meghatrozsakor
alapveten hrom szempontot kell figyelembe vennnk:
Teljestmny teljestmny szempontjbl a Windows-rendszerek

igen jl mretezhetk, a Windows Server 2003 R2 Enterprise Edition
64-bites vltozata pldul 8 processzor, 2 TB memria s a jvbeli lmok szintjn mozg trolkapacits kezelsre kpes. Termszetesen
az opercis rendszer mellett figyelembe kell vennnk az elrhet
hardverkonfigurcik teljestmnyt (s rt) is, mindenesetre ez a
szempont mg meglehetsen nagy teljestmnyigny esetn sem indokolja felttlenl tbb kiszolgl hasznlatt. Mindenkppen tbb kiszolglra van szksg azonban akkor, ha valamilyen hlzati szolgl189
tats teljestmnyt terhelselosztst vgz frt (Network Load Balancing, NLBS) hasznlatval szeretnnk megnvelni. A hlzati terhelselosztst vgz frtk legfeljebb 32 darab Windows-kiszolgl egyestsvel biztostjk a TCP- s UDP-alap szolgltatsok s alkalmazsok mretezhetsgt. A hlzati terhelseloszts segtsgvel pldul
a web- s ftp-kiszolglk, a tvoli elrst biztost VPN-kiszolglk, s
a terminlszolgltatsok teljestmnyt nvelhetjk.
190
Ignyelt szolgltatsok egyltaln nem mindegy, hogy a rendelkezsre ll teljestmnyt milyen szolgltatsok megvalstsra fordtjuk,
bizonyos esetekben a klnfle funkcikat nem ajnlott (esetleg nem is
lehetsges) egyetlen kiszolgln elhelyezni. A vllalat SBS-kiszolglja
(Small Business Server) nem lehet pldul terminlkiszolgl; ha erre a
szolgltatsra is szksgnk van, mindenkppen egy msodik kiszolglt kell zembe lltanunk. Br elvileg lehetsges, de biztonsgi jelleg
problmkat okozhat az, ha a tzfalszoftver (ISA Server) a bels hlzat
ltal ignyelt szolgltatsokkal (tartomnyvezrl, bels DNS-kiszolgl,
Exchange stb.) egy szmtgpen osztozik, mivel ebben az esetben knyszeren nvelnnk kell a tzfalat futtat szmtgp tmadhat fellett (br ez a kifel nz interfszre termszetesen nem vonatkozik). Megfelel hardver esetn azonban ezek a problmk a klnbz virtualizcis technolgik (pldul az ingyenesen hasznlhat Virtual Server
2005) segtsgvel is kezelhetek.
zembiztonsg (redundancia) a legtbb esetben ez a szempont

indtja el a kisvllalatokat a tbb kiszolgl fel vezet ton. Br a kiszolglk a legtbb esetben mr a hardver szintjn is rendelkeznek bizonyos redundancival (tpegysg, RAID lemezvezrlk stb.), a teljes
hlzat zemkpessge olyan fokon fgg a kiszolglk ltal biztostott
szolgltatsoktl (pldul az Active Directorytl), hogy nem rdemes
kockztatni, ha kritikus fontossg a hlzat folyamatos mkdse (s
hol nem az?), akkor pldul tartomnyvezrlbl minimlisan kettre
van szksg. A kiszolglfrtk alkalmazsa szintn az zembiztonsg
fokozst szolglja, amihez termszetesen ugyancsak tbb kiszolglra
van szksg (maximlisan nyolc csompontot hasznlhatunk).
A Microsoft Cluster Service (MSCS) segtsgvel feladattvteli frtket (Fail-Over Cluster) valsthatunk meg, azaz, ha a frt valamelyik
csompontja kiesik, az azon fut szolgltatsokat egy msik csompont
veszi t. Kiszolglfrt esetn a kzs szolgltatsok adatai egyetlen
pldnyban, megosztott elrs lemezeken troldnak.
A kvetkezkben megismerkednk a Windows-kiszolglk klnfle vltozataival, ttekintjk, hogy milyen szempontokat kell figyelembe vennnk a kiszolgl teleptse eltt, s mely krdsekre kell vlaszt tallnunk, mieltt a
teleptlemezt a meghajtba helyezzk. Tulajdonkppen ez a telepts nehezebb rsze; a ksbbi esetleges problmk nagy rsze a tervezsre, (illetve
annak hinyra) vezethet vissza. Megfelel elkszts utn a teleptprogram futtatsa tulajdonkppen mr semmifle problmt nem okozhat.
A Windows Server 2003 klnfle vltozatai

A tervezs egyik fontos lpse az opercis rendszer vllalatunk szmra
megfelel vltozatnak kivlasztsa. A vllalatok eltr ignyeinek figyelembe vtelvel a Windows Server 2003 szmos klnfle vltozatban is elrhet,
amelyek rszben az elrhet szolgltatsok krben, rszben pedig a sklzhatsgban klnbznek egymstl. A kvetkezkben ttekintjk az egyes
vltozatok legfontosabb tulajdonsgait:
Windows Server 2003 Datacenter Edition R2 Ez a vltozat biztostja a legmagasabb szint mretezhetsget s rendelkezsre llst,
kritikus zleti megoldsokhoz, nagy mennyisg real-time tranzakcihoz, szerverkonszolidcihoz hasznlhat. A Datacenter Edition 32bites s 64-bites vltozatban is ltezik. A 32-bites vltozatban minimum 8, maximum 32 processzor s 128 GB RAM hasznlhat, a 64bites vltozat pedig maximlisan 2 TB memria s 64 processzor kezelsre kpes. A Datacenter Edition persze nem kaphat akrmelyik
boltban (st nmagban sehol sem), a Microsoft ezt a vltozatot csak
specilis, tbbnyire igen nagy teljestmny, testreszabott hardverkonfigurci rszeknt rtkesti.
Windows Server 2003 Enterprise Edition R2 Kzepes s nagyvllalati krnyezetben kpes a hlzati infrastruktrhoz tartoz valamennyi fontos szolgltats biztostsra, kivlan hasznlhat vllalati alkalmazsok, s elektronikus kereskedelmi rendszerek httereknt. A 32-bites vltozat 64 GB, a 64-bites pedig 2 TB RAM kezelsre
kpes, s mindkt vltozat 18 processzoron hasznlhat.
191
Windows Server 2003 Standard Edition R2 Kisvllalati s telephelyi krnyezetben kpes az alapvet hlzati s alkalmazsszolgltatsok biztostsra. A Standard vltozat maximum 4 processzor hasznlatt tmogatja, s 4 GB a hasznlhat RAM fels hatra.
Windows Server Web Edition Dediklt webkiszolgl, feladata weboldalak, webalkalmazsok s webszolgltatsok htternek biztostsa.
A kiszolgl kifejezetten webes alkalmazsokhoz van optimalizlva, tartalmazza az ehhez szksges alapvet felgyeleti s biztonsgi funkcikat.
Egy- s ktprocesszoros gpekre telepthet, s 2 GB RAM kezelsre kpes (egyb korltozsokkal is tallkozhatunk hasznlatakor).
Windows Small Business Server 2003 (SBS) Standard Edition R2

Komplett kiszolglcsomag kisvllalatok rszre. A csomag az nll
komponensekhez kpest jelentsen kedvezbb ron kaphat, de hasznlata bizonyos korltozsokkal jr. Az SBS szolgltatsait legfeljebb
75 felhasznl veheti ignybe, s a licencfelttelek szerint a csomagot
alkot valamennyi kiszolgl-alkalmazsnak egyetlen gpen kell futnia. Tovbbi korltozs, hogy az SBS-tartomny nem integrlhat ms
tartomnyokkal (viszont az SBS-tartomnyban tbb kiszolgl, st tartomnyvezrl is hasznlhat). A standard vltozat a kvetkez komponenseket tartalmazza:
192
Microsoft Windows Server 2003.
Microsoft Exchange Server 2003 SP2, Standard Edition csoportmunka, internetes levelezs.
Microsoft Office Outlook 2003 levelezprogram az SBS-gyflgpekre.
Health Monitor 2.1 a kiszolgl s az alkalmazsok teljestmnynek, paramtereinek ellenrzse, naplzsa.
Remote Web Workplace (Tvoli webes munkahely) a legfontosabb szolgltatsok interneten keresztl trtn elrse.
Windows Server Update Services (WSUS) a frisstcsomagok

kzponti letltse s elosztsa.
Windows Small Business Server 2003 Premium Edition A Premium Edition minden korltozsa megegyezik a Standard vltozatval, de dobozban a fentieken kvl a kvetkez komponenseket is
megtallhatjuk:
Microsoft Internet Security and Acceleration Server 2004 tzfal s proxykiszolgl
Microsoft SQL Server 2005, Workgroup Edition adatbzis kiszolgl
Valamennyi vltozatbl mr csak az R2 kiads kaphat, ez a megelzhz

kpest 21 j komponenst tartalmaz, amelyek kzl a legfontosabbakkal a tovbbiakban meg is fogunk ismerkedni.
~ 4 v
~ 2 v
Windows
Server
2003
Windows
Server
2003
R2
Windows
Server
2008
Windows
Server
2008 R2
Vienna
Vienna
Server
4.1. bra: A Windows Server fejlesztsi ciklusa
A fenti brn lthat a Microsoft kiszolgl opercis rendszereinek tervezett

fejlesztsi ciklusa. A nagyjbl ngyvente megjelen j fvonalbeli verzik
kztt flton szerepel egy-egy kztes vltozat, amelyben alapvet technolgiai vltozs nlkl jelenik meg j nhny j szolgltats. Ennek a vonalnak
az els kpviselje a Windows Server 2003 R2, ami az SP1-re alapul, s teleptsekor szabadon vlogathatunk a megjelent j komponensek kzl.
A telepts elkszletei
A kiszolgl teleptsnek megkezdse eltt (klnsen, ha egy kisvllalat els
kiszolgljrl van sz) rengeteg krlmnyt kell figyelembe vennnk, hogy j
dntseket hozhassunk, s a bezemelt szmtgp bevlthassa a hozz fztt
remnyeket. Nagyon fontos, hogy minden lnyeges krlmnyt tisztzzunk elre,
vagyis mg a telepts megkezdse eltt. Alapos tervezssel egy rugalmas s tlthat, knnyen kezelhet s a cg ksbbi, akr nem tervezett ignyeinek is
megfelel rendszert hozhatunk ltre. A kvetkezkben felsoroljuk azokat az alapvet szempontokat, amelyek az elkszts sorn figyelmet rdemelnek.
193
Hardverigny (eredetileg ajnlott)

Az albbi tblzatban a Windows Server 2003 elmleti jelleg hardverignyt
lthatjuk, a vals ignyek meghatrozsa azonban nem minden esetben egyszer feladat. A szksges hardver ersen fgg a krlmnyektl, minl tbb
szolgltatst futtatunk, minl tbb felhasznlt kell kiszolglnunk, annl izmosabb hardverre lesz szksg.
Komponens
Minimlis kvetelmny
Processzor
P-III 550 MHz
RAM
256 MB
Merevlemez
2,9 GB szabad terlet a rendszerpartcin
Optikai meghajt
CD-ROM vagy DVD-ROM meghajt
Kperny
VGA, vagy a konzoltirnytst tmogat hardver
Egyebek
Hlzati csatol
ltalnossgban a kvetkez szempontok megfontolst javasoljuk:
194
Tbb processzor a processzorok szmnak nvelsvel ltalban jelents teljestmnynvekeds rhet el, mivel ebben az esetben az erre
felksztett programok tbb processzor egyidej hasznlatval prhuzamosthatjk mkdsket, illetve az egyes alkalmazsok is tbb processzoridt kaphatnak.
RAM Gyakran a fizikai memria bvtse a legfbb teljestmnyjavt tnyez.
Hardver RAID Tbb gyors lemezmeghajt kln lemezvezrlkkel

val hasznlata jelents mrtkben gyorsthatja az I/O-feldolgozst s
lervidtheti az rsi/olvassi idt. A klnfle RAID-megoldsok hasznlata a sebessgen kvl az adatbiztonsgot s megbzhatsgot is jelentsen nvelheti.
Tbb lapozfjl Ha a lapozfjlt tbb fizikai lemezre osztjuk szt,

valamelyest gyorsulhat a virtulis memrihoz val hozzfrs.
Elzetes hibafelderts
A minimlis hardverkvetelmnyek betartsn kvl nmi figyelmet kell fordtanunk hardvereszkzeink, illetve alkalmazsaink kompatibilitsra is. A hardvereszkzk elzetes vizsglatra a Hardware Compatibility List (Windowshardverkompatibilitsi lista) weboldalt (http://www.microsoft.com/hcl), illetve a
teleptlemezen tallhat hcl.txt fjlt is hasznlhatjuk. Termszetesen, mg a
kompatibilis eszkzk esetben is gondoskodnunk kell a legfrissebb meghajtprogramok beszerzsrl, illetve esetleg a szmtgp BIOS-nak frisstsrl is.
Ha a szmtgpen mr van valamifle Windows opercis rendszer, akkor alkalmazsaink s a meghajtprogramok kompatibilits-vizsglatt a teleptprogram nyitkpernyjrl indthat kompatibilits-vizsgl program
segtsgvel is elvgezhetjk. A program segtsgvel automatikus vizsglatot
indthatunk, amelynek eredmnyeknt listt kapunk a problms alkalmazsokrl, illetve meghajtprogramokrl.
4.2. bra: A negyedik menponttal indthat a telepts eltti kompatibilits-vizsglat
A programot elindthatjuk a teleptprogram futtatsa nlkl is, ha a teleptlemez \i386 mappjban kiadjuk a winnt32 /checkupgradeonly parancsot.
Aktv internetkapcsolat esetn a telepts, vagy a kompatibilits-vizsglat
kzben is frissthetjk a rendszerben tallhat meghajtprogramokat, st a teleptprogram ltal hasznlt rendszerllomnyokat is.
195
Az opercis rendszer nyelvi verzija

Br ltszlag jelentktelen, de a ksbbiekre val tekintettel mgis megfontolsra rdemes a kiszolgl opercis rendszer nyelvi verzijnak kivlasztsa. A magyar nyelv rendszer taln knyelmesebbnek tnhet, klnsen a
kezd rendszergazdk szmra, de ha brmilyen hibazenetre kell rkeresnnk az interneten, akkor az angol vltozat begpelsvel valsznleg nagysgrendekkel tbb relevns tallatot kapunk. Persze bven elg egyetlen j
tallat is, de sajnos magyarul az esetek jelents rszben ennyire sem szmthatunk. Tovbbi elnye az angol verzi hasznlatnak, hogy ebben az
esetben hetekkel, esetleg hnapokkal korbban jutunk hozz a klnfle javtcsomagokhoz s szoftverfrisstsekhez.
Milyen krnyezetbe kerl az j kiszolgl?

Figyelembe kell vennnk, hogy pontosan milyen a krnyezet, amivel mr
rendelkeznk, milyen krlmnyekhez kell alkalmazkodnunk, esetleg mi az,
amit ppen a kiszolgl teleptsvel szeretnnk megvltoztatni. Ugyancsak
tekintettel kell lennnk a hlzatunkban hasznlt tbbi kiszolgl komponensre, s a klnfle specilis alkalmazsokra. Knnyen megtrtnhet, hogy
a jelenleg hasznlt verzit nem tmogatja az j opercis rendszer, de ha mr
elrhet a frisstett vltozat, akkor ersen ajnlott ezt mg a telepts eltt
tisztzni, s megtenni a szksges intzkedseket. Ugyanez vonatkozhat klnfle egzotikus hardvereszkzkre; elkpzelhet az is, hogy a rgta meglv eszkz mr egyltaln nem hasznlhat.
Fontos krds a kiszolgl belltsainak megadsakor, hogy milyen gyflrendszerek fogjk ignybe venni annak szolgltatsait. Ha rgebbi gyflrendszerek hasznlatra knyszerlnk, a velk val egyttmkds befolysolhatja a hasznlhat biztonsgi paramterek krt, illetve tmogatsuk
specilis szolgltatsok hasznlatt is szksgess teheti (pldul WINS).
Termszetesen figyelembe kell vennnk a kiszolglhoz s az gyflrendszerekhez kapcsold licenceket, be kell szereznnk a szksges pldnyokat.
Ha mr meglv szmtgpen frisstjk az opercis rendszert (akr Windows NT 4.0 Server rendszerrl is frissthetnk), fel kell kszlnnk arra az
eshetsgre is, hogy valami miatt nem sikerl az j kiszolgl teleptse (hardver inkompatibilits, esetleg egy kritikus fontossg szoftver, amely az j rendszeren nem mkdik megfelelen), s ezrt vissza kell lltanunk a korbbi kiszolglt. Hogy ezt megtehessk, a frissts eltt mindenkppen ksztsnk az
NTBACKUP-program segtsgvel rendszerllapot- (System State) mentst
(knyesebb esetben teljes mentsre is szksg lehet) a rgi rendszerrl.
Ha korbban is volt mr kiszolglnk, jra kell gondolnunk a kiszolglszerepek elosztst, s fontos lehet a kiszolglk frisstsnek sorrendje is.
196
Lemezparticionls s fjlrendszer
Mg a telepts megkezdse eltt tervezzk meg a ltrehozand partcik mrett s a hasznland fjlrendszert. Kiszolglnk teljestmnyt jelentsen
megnvelheti, ha az opercis rendszert s az adatokat kln lemezmeghajtn (vagy legalbb kln partcin) troljuk. Tbb lemezegysg hasznlatval
az idignyes rsi/olvassi mveletek prhuzamosan hajthatak vgre. Szintn teljestmnynvel hats, s az adatok elvesztsnek eslyt is cskkenti, ha a tbb lemezt tartalmaz kiszolglk esetben hibatr kteteket hozunk ltre (tkrztt s RAID-5 ktetek) dinamikus lemezekkel. Szoftveres
RAID-5 ktetek ltrehozhatk az opercis rendszer Lemezkezels eszkzvel, de vlaszthatunk hardveres megoldst is.
A rendszert tartalmaz partci mrete termszetesen ersen fgg a hasznland szolgltatsok mennyisgtl, de ezen nem nagyon rdemes takarkoskodni. 10 GB-nl kisebb rendszerpartcit csak komoly knyszert eszkzk hatsnak engedve hozzunk ltre, de a 15-20 GB sem tlzs, ha azt szeretnnk, hogy ne kelljen zavarba jnnnk egy-egy kiegszt komponens,
vagy javtcsomag teleptsekor, elfrjen a lapozfjl stb. Szintn clszer
elre tgondolni azt, hogy fogunk-e hasznlni olyan komponenst, amelyhez
nll partcira van szksg. Ilyen lehet pldul (nagyon sok vrhat objektum esetn) a cmtr, vagy pldul a WSUS-kiszolgl.
A rendszer szmra kivlasztott partci formzst mindenkppen NTFS
fjlrendszer hasznlatval vgezzk el, st ersen ajnlott az sszes tbbi
partcit is ilyen mdon formzni. Az NTFS fjlrendszer hasznlata szmos
elnnyel jr, ezek kzl csak a legfontosabbakat soroljuk fel:
Az NTFS maximlis partci- vagy ktetmrete jval nagyobb a FAT

rendszernl, radsul a ktet- vagy a partcimretek nvekedsvel az
NTFS fjlrendszer teljestmnye nem cskken, ellenttben a FAT-tal.
Az NTFS ltal biztostott jogosultsgi rendszer a megosztsok hasznlatakor is elnys, mivel segtsgvel nemcsak mappk, hanem egyedi fjlok szintjn is szablyozhat a hozzfrs.
A fjltitkosts szolgltats nagymrtkben nvelheti az adatok biztonsgt.
NTFS fjlrendszer esetn mkdik a lemezmveletek helyrelltsi naplzsa, amelynek segtsgvel a fjlrendszer kpes az adatok ramsznet,
vagy ms rendszerproblmk utni helyrelltsra, gy nem kell ers izgalmi llapotban jraindtanunk a kiszolglt egy vratlan lells utn.
Az alkalmazsok ltal ltrehozott nagyon nagymret, de tmenetileg

csak kevs adatot trol fjlok esetben az NTFS fjlrendszer csak a fjl
azon rsze szmra foglal le lemezterletet, ahov mr adatok rdtak.
197
Hlzati paramterek
Gondolkodjuk el elre (s lehetleg rjuk is fel az eredmnyt) a klnfle hlzati paramtereken. Mi legyen pldul a szmtgp, vagy a tartomny neve?
Mivel a TCP/IP-protokollkszlet ktelez elem a Windows Server 2003 esetn
is, nem rt, ha elre tisztzzuk, hogy mely hlzati interfsz milyen mdszerrel fog IP-cmet kapni. Ha statikus belltst hasznlunk (ez a klnbz kiszolgl komponensek miatt sok esetben ktelez), akkor mi legyen az IP-cm,
az alaprtelmezett tjr (ha szksges egyltaln), mi a DNS- vagy WINS
kiszolgl(k) cme a vlasztott nvfelolds tpustl fggen stb. Felttlenl
clszer elre tisztzni a fentieket, mivel gpnk mr a telepts kzben (de
legksbb az els bejelentkezskor) hasznlni fogja ezeket az adatokat, gy
sok mlhat a megadott rtkeken.
Tartomny vagy munkacsoport?

A kiszolgl teleptsnek elkszletei kzben joggal merl fel a krds,
hogy rdemes-e belevgni az Active Directoryra pl tartomnyi rendszer
kiptsbe, vagy jobban jrunk az egyszerbben bezemelhet munkacsoportos krnyezet hasznlatval. A vlasz tulajdonkppen nagyon egyszer, a bonyolultabb tartomnyi rendszer kiptsbe fektetett munka, s az elrhet
haszon sszehasonltsbl knnyen levezethet.
Taln meglep lesz az llts, de a hatrvonal valahol t(!) gyflszmtgp krnykn van. Ennl kevesebb gp esetn, br kiszolglra mr szksg
lehet, de az Active Directory-rendszer bezemelsvel s felgyeletvel (s
mg inkbb a megtanulsval) kapcsolatos tennivalk elvgzse helyett valsznleg jobban jrunk a munkacsoportos krnyezet kialaktsval. Nagyjbl tz szmtgpig a befektets s a haszon tbb-kevsb megegyezik, vagyis a bevezetskor elvgzett munkt mr kompenzljk a ksbbi elnyk. Tz
gp fltt egyrtelmen az Active Directory javra billen a mrleg, munkacsoportos krnyezetben a j sznvonal zemeltets mr arnytalanul tbb
munkval jr, st nhny jabb gyflgppel ksbb egyszeren lehetetlenn
vlik. Bizonyos esetekben a gpek szmtl fggetlenl sincs mrlegelsi lehetsgnk: ha pldul Exchange Serverre van szksg, akkor mindenkppen tartomnyi krnyezetet kell kialaktanunk.
Az Active Directory-rendszer kialaktsval s zemeltetsvel a kvetkez fejezetben fogunk rszletesen foglalkozni.
198
Az opercis rendszer teleptse

A teleptprogram elindtsra kt lehetsgnk van: bootolhatunk kzvetlenl a teleptlemezrl, illetve mr teleptett Windows rendszer esetn futtathatjuk a Setup.exe programot a CD gykrmappjbl. Ha a CD-lemezrl indtjuk a szmtgpet, s valamifle specilis troleszkzt hasznlnnk (ismeretlen SCSI vagy RAID lemezvezrl stb.), a gp elindulsa nmi izgalommal jrhat, mivel sszesen kett msodpercnk van arra, hogy F6-ot
nyomjunk, s hajlkonylemezrl beadjuk a megfelel eszkzmeghajt fjlt.
Ha ezen tljutottunk, a teleptprogram futsa kzben mr nincs sok teendnk, sorban meg kell adnunk a korbban sszegyjttt adatokat, s ki kell
vrnunk az a nagyjbl 30-40 percet, amg a folyamat lezajlik. Ebben a szakaszban mr igen kicsi r az esly, hogy brmilyen izgalmas esemny trtnjen, de ha esetleg megll a teleptprogram, akkor sem kell ktsgbe esni. Ha
biztosan nem csak a trelmetlensg miatt estnk tvedsbe, akkor nyugodtan
indtsuk jra a gpet, a telept onnan fogja folytatni, ahol abbahagyta.
Nagyobb a baj, ha ez azt jelenti, hogy ugyanott jra meg is ll (esetleg
kk hallt hal), ekkor biztosan valami komolyabb (vrhatan hardverrel
kapcsolatos) problmba sikerlt belefutnunk. rjuk fel pontosan a hibazenetet, s nzznk utna a jelensgnek a Microsoft Knowledge Base-ben (Tudsbzis) a http://support.microsoft.com cmen.
Ha a telept lefutott
A telept sikeres lefutsa esetn azonban mg nem vagyunk kszen: ellenriznnk kell a hardver s szoftvereszkzk megfelel mkdst. Teszteljnk mindent! Kezdjk a Device Managerrel (Eszkzkezel), bizonyosodjunk meg rla,
hogy a Windows valban helyesen felismerte s teleptette a szmtgpben lv
hardvereszkzk meghajtprogramjait, klns tekintettel a hlzati csatolkra.
Nzzk t az Event Viewer (Esemnynapl) klnfle bejegyzseit! Ha
mr ebben a szakaszban sorozatos hibkat tallunk, akkor annak mindenkppen utna kell nzni.
Ha frisstett kiszolglrl van sz, akkor prbljuk meg elindtani valamennyi rklt alkalmazst, amit az j gpen is hasznlni szeretnnk!
Vizsgljuk meg rszletesen a hlzati kapcsolatot! Elrhet minden, aminek elrhetnek kell lenni? Van nvfelolds (ha kellene lennie)? Az gyfelekrl elrhet a kiszolgl? A hlzaton kvlrl elrhet minden, aminek elrhetnek kell lennie? Esetleg olyasmi is elrhet, ami inkbb nem kne?
Ha minden rendben van, akkor a kiszolgl teleptsnek els rszvel kszen vagyunk. Azrt csak az els rsszel, mert amit kaptunk, az mg csak egy
res vz, a tovbbiakban ki kell vlasztanunk, s fel kell teleptennk azokat
a szolgltatsokat, amelyekre a vllalatnak s a felhasznlknak (s persze a
rendszergazdnak) szksge van.
199
A 4.3. brn lthat lista azokat a szolgltatsokat tartalmazza, amelyekre

a Windows Server 2003 R2 vltozata kls erk bevonsa nlkl kpes. A kvetkezkben minden Yes megjells (vagyis valamennyi) szolgltatssal
meg fogunk ismerkedni, br nhny esetben (IIS, Sharepoint stb.) csak a legfontosabb funkcik lersra szortkozunk. Az egyes szolgltatsok teleptst
innen, vagyis a Configure Your Server Wizard (Kiszolgl konfigurlsa varzsl) felletrl, illetve az Add or Remove Programs (Programok teleptse/trlse) modulbl is elvgezhetjk.
4.3. bra: A Windows 2003 R2 szolgltatsai
A Windows Server 2003 klnfle szolgltatsainak felgyeletre szinte minden

esetben az gyfl opercis rendszernl mr megismert Microsoft Management
Console (MMC) technolgin alapul felgyeleti konzolok szolglnak. Valamenynyi konzol esetben lehetsg van tvoli kiszolglk elrsre is, vagyis akr
egyetlen konzol segtsgvel felgyelhetjk a vllalat sszes kiszolgljt.
A kiszolglhoz tartoz felgyeleti konzolokat telepthetjk brmelyik
gyflgpre is, gy a rendszergazda sajt gprl is megadhatja a kiszolglk
belltsait. A konzolok teleptshez az gyflgpen el kell indtanunk a
Windows Server teleptlemezn, az i386 mappban tallhat adminpak.msi
nev fjlt. A telepts utn az j konzolokat a Start men Administrative
Tools (Felgyeleti eszkzk) csoportjban fogjuk megtallni.
200
Ebben a szakaszban megismerkednk a kiszolgl szmtgpek klasszikus
funkciival: a fjlok s nyomtatk megosztsval. Elsknt ttekintjk a lemezkezelshez kapcsold fogalmakat, megismerkednk az alap- s dinamikus lemezekkel, a tkrztt, cskozott, s RAID-5 ktetekkel, a GUID partcis
tblval, az NTFS-tmrtssel s a hagyomnyos lemezkvtkkal.
Ezutn kvetkeznek a fjlok trolshoz, kezelshez kapcsold kiegszt
szolgltatsok: a Removeable Storage (Cserlhet trol), a Remote Storage
(Tvtrol) s a Storage Area Network (Trolhlzatok).
Szt ejtnk a fjlok megosztshoz kapcsold alapszolgltatsokrl, a
Shadow Copies-rl (rnykmsolat) s a Distributed File System-rl (Elosztott fjlrendszer). Vgl kvetkezhetnek az R2 verziban megjelen jdonsgok: a File Server Resource Manager, FSRM (Fjlkiszolgli erforrs-kezel),
s a Print Management Console, PMC (Nyomtatskezel).
Fjlkiszolgl szolgltatsok
Mieltt hozzltnnk a fjlkiszolglk alapszolgltatsaink ismertetshez,
felttlenl tisztznunk kell, hogy az gyflgpeken elrhet megosztott mappk szolgltatsai kzel sem azonosak a kiszolgl ltal megvalsthat fjlmegosztssal. A fjlkiszolgl egyrszt a szolgltatsok s felgyeleti lehetsgek szintjn is jelents tbblettel rendelkezik, msrszt a kiszolgl szmtgp jellemzen nagy CPU-teljestmnnyel, sok memrival, lemezterlettel
s hlzati svszlessggel rendelkezik, vagyis kpes sok egyidej krs kiszolglst is megfelel sebessggel elvgezni.
A fjlkiszolglk alapszolgltatsai
Ebben a screencastban ttekintjk a fjlkiszolglk kezelshez kapcsold legfontosabb eszkzk hasznlatt.
Fjlnv: II-1-1afajlszerver-alapok.avi
Ahogyan mr korbban emltettk, a kiszolglk esetben termszetesen nem

rvnyes az gyfl opercis rendszerek fjlmegosztssal kapcsolatos korltozsa (maximlisan tz egyidej kapcsolat), a kapcsolatok szmt csak az gyfllicencek szma s a kiszolgl szmtgp teljestmnye korltozza.
201
Basic Disks (Alaplemezek)

A Windows terminolgia szerinti alaplemez a hagyomnyos particionlst s
formzst lehetv tev lemezmeghajt-smt jelenti. Az alaplemezeken elsdleges s kiterjesztett partcikat, illetve a kiterjesztett partcin bell logikai meghajtkat hozhatunk ltre. A partcikat s logikai meghajtkat ktetnek (volume), illetve alapktetnek (basic volume) nevezzk.
A lemezmeghajtn ltrehozhat partcik szma a lemez partcitpustl
fgg. A hagyomnyos, vagyis f rendszertlt rekordot (Master Boot Record,
MBR) hasznl lemezeken a partcis tbla maximlisan ngy bejegyzst tartalmazhat, vagyis legfeljebb ngy elsdleges partcit, vagy hrom elsdleges
s egy kiterjesztett partcit lehet rajtuk ltrehozni. A logikai meghajtk nyilvntartsa mr nem a partcis tblban tallhat, gy ezek szma nem korltozott. A 64-bites rendszereken elrhet GUID partcis tbla esetn a fenti
korltozsok nem rvnyesek (lsd ksbb).
NTFS fjlrendszer hasznlata esetn az elsdleges partcik s logikai
meghajtk terlete ltrehozsuk utn is megnvelhet, vagyis a partci kibvthet az adott lemezen rendelkezsre ll szabad terlettel.
A Windows Server 2003 termkcsaldba tartoz rendszerek nem tmogatjk a Windows NT 4.0 klnfle tbblemezes ktettpusait (tkrztt ktetek,
klnfle cskkszletek) ilyen struktrk csak dinamikus lemezek hasznlatval hozhatk ltre.
Dinamikus lemezek (Dynamic Disks)

A dinamikus lemezek hasznlatval szmos olyan szolgltatst vehetnk
ignybe, amelyek az alaplemezek esetben nem rhetk el, a dinamikus lemezeken pldul tbb lemezre kiterjed (tnyl vagy cskozott) kteteket, illetve hibatr (tkrztt s RAID-5) kteteket is ltrehozhatunk. A dinamikus lemezeken elmletben lemezcsoportonknt akr 2000 dinamikus ktet is
ltrehozhat, br az ajnlott maximlis ktetszm 32.
A dinamikus lemezeken ltrehozhat ktetek t tpusba sorolhatk:
202
Egyszer ktet (Simple volume) az egyszer ktetek egyetlen dinamikus lemezen helyezkednek el. llhatnak a lemez egy meghatrozott terletbl, illetve a lemez tbb klnll terlett is sszekapcsolhatjuk egyetlen dinamikus ktett. Ha a ktet nem rendszer- vagy
rendszerindt ktet, akkor az egyszer ktet a lemezen bell tetszs
szerint bvthet. Lehetsg van msik lemezre kiterjed bvtsre is,
m ebben az esetben a bvtssel egytt az egyszer ktet tnyl ktett alakul. Az egyszer ktetek nem hibatrk.
tnyl ktet (Spanned volume) az tnyl ktetek kett, vagy tbb

fizikai lemezre (dinamikus lemez) terjednek ki. Az tnyl ktetek mrete tetszs szerint bvthet brmelyik fizikai lemezen lv res terlet terhre. Az tnyl ktetek nem hibatrk s nem is tkrzhetk.
Cskozott ktet (Striped volume) a cskozott ktetek az adatokat kt

vagy tbb fizikai lemezen (tbb fizikai lemez hasznlatval nvekszik a
teljestmny) lv cskokban troljk. A tbb lemezvezrl s merevlemez miatt az olvassi s rsi mveletek ebben az esetben rendkvl jl
prhuzamosthatk, gy a Windows opercis rendszerekben hasznlhat ktetek kzl ez nyjtja a legnagyobb teljestmnyt, br hibatrst nem biztost. Ha egy cskozott ktet valamelyik lemeze meghibsodik, akkor az egsz ktet adatai elvesznek. A cskozott ktetek nem
tkrzhetk s nem is bvthetk.
4.4. bra: Klnfle dinamikus ktetek a Disk Management (Lemezkezels) konzolban
Tkrztt ktet (Mirrored volume) a tkrztt ktetek kt fizikai

lemezt hasznlnak, ilyen ktet esetn valamennyi adatunk egyszeren
kt pldnyban troldik. Ha az egyik tkrt tartalmaz fizikai lemez
meghibsodik, s a rajta lv adatok elrhetetlenn vlnak, a msik
lemezen tallhat tkrkp hasznlatval a rendszer tovbbra is mkdkpes marad. A tkrztt ktetek bvtse nem lehetsges.
RAID-5 ktet (Redundant Array of Inexpensive Disks, olcs merevlemezek redundns tmbje) RAID-5 ktet esetn a trolt hasznos adat s a
helyrelltshoz szksges paritsadatok hrom, vagy tbb fizikai lemezen elosztva troldnak. Ha valamelyik fizikai lemez meghibsodik, a
203
rajta trolt adatok a msik kt lemez adatai s a paritsadatok alapjn,

egy j merevlemezen helyrellthatk. A RAID-5 ktetek nem tkrzhetk s nem bvthetk. A RAID-5 ktetek adatolvassi mveletek esetben jelentsen gyorsabbak pldul a tkrztt kteteknl, de rs kzben
a paritsadatok szmtsa lasstja a mveleteket. Az egyik lemez meghibsodsa esetn azonban az olvassi teljestmny is jelentsen cskkenhet, hiszen ekkor az adatok egy rszt a paritsadatok segtsgvel
az olvassi mvelet kzben kell generlni. A Windows Server 2003 termkcsald ltal knlt szoftveres RAID-megolds esetben a paritsadatok ltrehozsa s a srlt adatok helyrelltsa szoftveresen trtnik,
vagyis a mvelet a szmtgp processzort terheli.
Hardveres RAID-megoldsok
Hardveres RAID esetn a redundns adatok ltrehozst s a srlt adatok javtst egy nll, intelligens lemezvezrl vgzi. A hardveres megoldsok legfbb elnye, hogy teljes mrtkben mentestik az opercis rendszert a lemezkezels feladataitl, st az opercis rendszer egyltaln nem is tud a vals, fizikai lemezkonfigurcirl, a Lemezkezelben ltalban csak egy kznsges
alaplemezt tallunk. Az opercis rendszer szintjn megjelen fizikai lemez tulajdonkppen mr csak a RAID-vezrl ltal ltrehozott logikai lemez, a valsgos fizikai elrendezst a vezrlkrtya eltakarja az opercis rendszer ell.
Ebben az esetben a Lemezkezelben egyltaln nem clszer mg dinamikus
lemezek ltrehozsa sem, a lemezekkel kapcsolatos valamennyi belltst a vezrlkrtya szoftveres belltfelletn kell megadnunk. Hardveres RAIDmegoldsok olyan rendszerekben is hasznlhatk, amelyek szoftveresen nem
tmogatjk ezek hasznlatt (pldul Windows XP).
A hardveres RAID-eszkzk ltalban sajt BIOS-vezrlprogrammal, s
nll konfigurcis programmal rendelkeznek. A logikai lemezek ltrehozst s a klnfle belltsok megadst (cskozs, tkrzs, RAID-5 stb.)
ezekkel a programokkal vgezhetjk el.
A hardveres RAID-megolds tovbbi nagy elnye, hogy a tmb valamelyik
merevlemeznek meghibsodsa esetn a csere akr a szmtgp lelltsa
nlkl is elvgezhet (Hot Swap), gy a klnfle karbantartsi mveletek
nem okoznak kiesst.
Ha a Windowst RAID-vezrlvel felszerelt szmtgpre teleptjk, specilis
eszkzmeghajt-illesztprogramra lehet szksg ahhoz, hogy az opercis rendszer elrje a szmtgpben lv lemezeket. A meghajtprogramot a Windows
teleptsnek elejn, az F6 billenty megnyomsa utn telepthetjk, mghozz
kizrlag hajlkonylemezrl. Bizonyos RAID-vezrlk illesztprogramjt a
Windows beptetten tartalmazza, ha ilyet hasznlunk, akkor a fenti problma
nem jelentkezik.
204
GPT-lemezek
A GPT (GUID Partition Table, globlisan egyedi azonostk partcis tblja) az
EFI (Extensible Firmware Interface, bvthet bels vezrlprogram-fellet)
csatol ltal az Itanium-alap szmtgpeken hasznlt lemezparticionlsi
sma. A GPT szmos elnys tulajdonsggal rendelkezik az MBR-en alapul
particionlssal szemben, az ilyen lemezeken pldul lemezenknt akr 128
partcit is ltrehozhatunk, s ezek mindegyike akr 18 exabjt (azaz 18 milli
GB) mret is lehet. A jobb hibatrs rdekben a partcis tbla kt pldnyban troldik, de az MBR-particionls lemezektl eltren nem particionlatlan vagy rejtett szektorokban, hanem magukban a partcikban.
A GPT-lemezek a Windows valamennyi 64-bites vltozatban hasznlhatk. A GPT-lemezek a Lemezkezels programban is az MBR-lemezektl jl
megklnbztethet mdon, GPT-lemezekknt jelennek meg.
NTFS-tmrts (NTFS Compression)

Az NTFS-tmrts a szoksos tmrtsi eljrsokkal (zip, rar stb.) szemben
teljesen transzparens megoldst biztost, a tmrtett fjlok s mappk kezelse semmiben nem klnbzik a szoksostl. Az NTFS-tmrts segtsgvel
fjlokat, mappkat, s teljes NTFS-meghajtk is tmrthetk, az ilyen elemeket a knnyebb azonosts miatt a tbbitl klnbz sznnel is megjelenthetjk. Az NTFS-tmrts termszetesen kiss cskkenti a fjlmveletek sebessgt, mivel a fjlok megnyitsakor azokat ki kell tmrteni, bezrskor pedig
automatikusan jra tmrtett llapotba kerlnek.
Az NTFS-eljrssal tmrtett fjlok s mappk csak addig maradnak tmrtettek, amg azokat NTFS-meghajtn troljuk.
A Cserlhet trol (Removeable Storage)

Cserlhet trol eszkz egy Microsoft Management Console (MMC) bepl modulknt megvalstott kezelfelletbl, egy API-val rendelkez Windowsszolgltatsbl s egy adatbzisbl ll. A Cserlhet trol az adathordozkkal
kapcsolatos szolgltatsokat nyjt az adatkezel programok szmra, s megknnyti a klnfle adathordozk (szalagok s optikai lemezek) rendszerezst,
valamint az ezeket tartalmaz hardveres trak (pldul CD-trak, szalagos
meghajtk) kezelst. A Cserlhet trol segtsgvel cmkket rendelhetnk az
adathordozkhoz, katalogizlhatjuk ket, s nyomon kvethetjk hasznlatukat.
A Cserlhet trol modul egyttmkdik az adatkezel programokkal,
pldul az NTBackup-programmal. Az adatkezel programok vgzik a klnbz adathordozkon tnylegesen trolt adatok kezelst, a Cserlhet trol
pedig lehetv teszi, hogy ugyanazokat a trol-erforrsokat tbb program
megosztva hasznlja.
205
A Cserlhet trol a felgyelete alatt ll sszes adathordozt adathordozkszletekbe rendezi. A Cserlhet trol MMC segtsgvel az adathordozk
thelyezhetk egyik adathordoz-kszletbl a msikba, gy biztosthatjuk, hogy
az egyes alkalmazsok ltal ignyelt adattrol-kapacits rendelkezsre lljon.
A Tvtrol (Remote Storage)

A Tvtrol a kiszolgl szmtgp lemezterletnek jobb kihasznlst teszi lehetv klnfle cserlhet adathordozk felhasznlsval. A Tvtrol
szolgltats a felgyeletre bzott NTFS-kteteken tallhat ritkn hasznlt
fjlokat automatikusan cserlhet adathordozra msolja, s szksg esetn
el is keresi onnan.
A tvtrol szolgltats teht kt adattrolsi szintet hasznl. A fels
szint, a helyi trol, a tvtrol szolgltatst futtat szmtgpen tallhat
NTFS-ktetek kzl tartalmazza azokat, amelyekre engedlyeztk a szolgltatst. Az als szint, a tvtrol, a kiszolglhoz csatlakoztatott automatizlt
adathordoztron, szalagos meghajtn vagy lemezmeghajtn tallhat.
4.5. bra: A Tvtrol felgyeleti konzolja. Kln kell telepteni!
Amikor egy adott kteten engedlyezzk a tvtrol hasznlatt, meg kell

adnunk, hogy a ktet terletnek hny szzalkt szeretnnk szabadon tartani, s azt is, hogy a szolgltats hny napnl rgebben hasznlt fjlokat
kezdjen el a megadott kls troleszkzre msolni (megadhatunk egy als
mretkorltot is, mivel a nagyon kis fjlokkal nem rdemes foglalkozni, tbb
velk a baj, mint amennyit az elrhet helymegtakarts r). Amg a kteten
van elegend szabad hely, addig a rgen hasznlt (s mr lemsolt) fjlok
megmaradnak az eredeti helykn is, vagyis ha mgis szksg lenne rjuk,
akkor gyorsan elrhetk. Ha viszont a szabad terlet a megadott rtk al
cskken, akkor a szolgltats elkezdi trlni a ktetrl azokat a fjlokat, amelyeket mr tmsolt a kls troleszkzre. A helyileg trolt adatokat teht a
szolgltats csak akkor trli, ha valban szksg van az ltaluk elfoglalt terletre, viszont a mappalistkban ltszlag megmaradnak a trlt fjlok is.
206
A tvtrol ltal kezelt fjlok minden esetben a szoksos mdon kereshetk,

s nyithatk meg. Ha a fjl mr nincs a merevlemezen, a tvtrol szolgltats
automatikusan elkeresi azt a kls trolbl s visszarja az eredeti helyre.
Alaprtelmezs szerint a tvtrol szolgltats nem telepl az opercis
rendszerrel egytt, de kivlaszthat a teleptend komponensek kztt, illetve
a Control Panel (Vezrlpult) Add or Remove Programs (Programok teleptse
s trlse) elemnek segtsgvel brmikor telepthet.
Trolhlzatok tmogatsa
A trolhlzatok (Storage Area Network, SAN), a tnyleges trolsi kapacitst biztost lemezmeghajt-alrendszerekbl, a kztk lv specilis hlzatbl, s a szmtgpek kapcsoldst lehetv tev elemekbl llnak. A merevlemezeket tartalmaz alrendszerek kztt igen gyors hlzati kapcsolat
van, a kiszolglk szmra pedig elmletben a teljes trolkapacits egyetlen
darabban elrhet. Jl megtervezett hlzat esetn a sebessg s a j kapacits-kihasznls mellett elny lehet a megnvekedett biztonsg is, mivel a trolhlzat egyes elemei akr fldrajzilag is elklnthetek egymstl, gy
megfelel redundancia esetn elre nem lthat katasztrfa bekvetkeztekor
is garantlhatja az adatok biztonsgt.
A kiszolglk s a troleszkzk kztti kapcsolat ltalban az SCSI vagy a
Fibre Channel (szlcsatorna) interfszeken alapul, de mindkettnek ltezik
TCP/IP-felletet hasznl vltozata is. Az iSCSI csatolfellet segtsgvel az
SCSI-parancsok TCP/IP-hlzaton vihetk t, gy lehetv vlik a nagy kiterjeds SAN-hlzatok ltrehozsa. A trolhlzat kiptse ltalban viszonylag nagy kltsggel jr, de a hagyomnyos megoldsokhoz kpest rugalmasabban hasznlhat, nagyobb kihasznltsggal zemelhet s jobban bvthet.
A SAN sajt lemezvezrlvel rendelkezik, ami eltakarja a lemezek fizikai
paramtereit, gy azok a kiszolglk szmra logikai egysgekknt (Logical
Unit Number, LUN) rhetk el. A logikai egysgek tulajdonkppen a trolsi
alrendszerek egyes rszeire mutat hivatkozsok. Egy logikai egysg llhat
egy teljes lemezbl, egy lemezrszbl, egy teljes lemeztmbbl vagy a lemeztmb egy rszbl. A Trolhlzati trkezel (Storage Manager for SANs) a
trolhlzat szlcsatorns s iSCSI rendszer lemezmeghajt-alrendszereihez tartoz logikai egysgek ltrehozsra s kezelsre szolgl.
Lemezkvtk (Disk Quota)

A lemezkvtk segtsgvel nyomon kvethetjk s korltozhatjuk a felhasznlk ltal elfoglalt lemezterletet. A kvtkat ktetenknt (csak NTFS fjlrendszer esetn) engedlyezhetjk az adott ktet tulajdonsglapjn.
207
A kvetkez lers a hagyomnyos, R2 eltti kvtarendszerre vonatkozik. Az R2-ben megjelent mappa alap kvtzs (amelyet ksbb szintn bemutatunk) lnyegesen jobban s rugalmasabban hasznlhat. Az R2-ben megmaradt azonban a rgi kvtarendszer is.
Miutn egy kteten engedlyezzk a kvtahasznlatot, a rendszer folyamatosan nyomon kveti az elfoglalt terlet nagysgt, s a belltott hatrrtkek
elrsekor naplzza az esemnyt, illetve a belltsoktl fggen az adott felhasznl szmra megakadlyozza a tovbbi helyfoglalst.
4.6. bra: A kvtahasznlat engedlyezse s belltsai
A lemezkvtk engedlyezsekor kt rtket adhatunk meg: a lemezhasznlat

fels korltjt, s a kvthoz tartoz figyelmeztetsi szintet. Ha pldul a felhasznl korltjt 1 GB-ra, a figyelmeztetsi szintet pedig 950 MB-ra lltjuk,
akkor a korlt elrse eltt figyelmeztet zenet kerl az Esemnynaplba, br
sajnos, maga a felhasznl errl nem kap semmifle tjkoztatst. Az adott ktet tulajdonsglapjnak megjelentsekor viszont a felhasznlk a kvtnak
megfelelen mdostott rtkeket lthatjk a Kapacits, Foglalt terlet s Szabad terlet mezkben, vagyis az 1 GB kvtval korltozott felhasznl a ktet
teljes mrett 1 GB-nak ltja, annak valdi mrettl fggetlenl. A 4.6. brn
208
lthat belltlapon megadott rtkek minden felhasznlra egysgesen vonatkoznak, de a Quota Entries (Kvtabejegyzsek) gomb megnyomsval megjelenthet listban mr egyedileg mdosthatjuk a felhasznlkra vonatkoz hatrrtkeket, s ellenrizhetjk az aktulis terletfoglalst.
Megadhatjuk azt is, hogy a felhasznlk tllphessk a belltott kvtt.
Ennek akkor van rtelme, ha nem akarjuk ugyan korltozni a lemezhasznlatot, de szeretnnk folyamatosan figyelemmel ksrni az egyes felhasznlk
ltal elfoglalt terletet.
4.7. bra: Minden fjl a tulajdonos kvtjt terheli, de a rendszergazdnak tbbnyire nincs
flnivalja
Fontos hangslyozni, hogy a korltozs az egy adott felhasznl ltal a kvtval vdett kteten trolt fjlok sszestett mretre vonatkozik, fggetlenl
attl, hogy a fjlok melyik mappban vannak. A fjl annak a felhasznlnak
a kvtjt terheli, aki a fjl tulajdonosa, vagyis aki ltrehozta azt a kteten
(pldul tmozgatta oda egy msik ktetrl). Egy fjl tulajdonost a fjlhoz
tartoz tulajdonsglap Biztonsg (Security) lapjn, a Specilis (Advanced)
gomb megnyomsval jelenthetjk meg.
Az NTFS-tmrts hasznlatval a felhasznlk nem kerlhetik el kvtjuk tllpst, mivel a tmrtett fjlokat a rendszer a tmrtetlen mretk
alapjn szmtja be az sszestsbe.
209
rnykmsolatok (Shadow Copies)

Az rnykmsolatokkal kapcsolatos belltsi lehetsgek
Ebben a screencastban engedlyezzk s belltjuk az rnykmsolatok szolgltatst a kiszolgln, illetve bemutatjuk az gyfloldali nzetet is, vagyis visszalltunk segtsgvel nhny
trlt fjlt.
Fjlnv: II-1-1barnyekmasolatok.avi
A megosztott mappk rnykmsolatai a megosztott erforrsokon (pldul

fjlkiszolgln) trolt fjlok esetben a felhasznlk ltal kezelhet, egyszer
visszalltsi lehetsget biztostanak. A szolgltats segtsgvel a megosztott
fjlok mltbeli llapotait jelenthetjk meg, illetve llthatjuk vissza. A korbbi
vltozatok elrsnek lehetsge a kvetkez esetekben lehet hasznos:
Vletlenl trlt fjlok visszalltsa A trlt fjlok korbbi vltozatai megnyithatk s jra elmenthetk.
Vletlenl fellrt fjl helyrelltsa A vletlenl fellrt fjlok

korbbi vltozatai az rnykmsolatok kztt mg megtallhatk.
Fjlok klnbz vltozatainak sszehasonltsa A tlszerkesztett fjlok korbbi vltozatai kzl a felhasznlk kivlaszthatjk azt
az llapotot, amikor a fjl mg megfelel volt.
Miutn engedlyezzk egy kteten az rnykmsolatok ksztst, meg kell

adnunk, hogy a rendszer mekkora terleten trolhatja a fjlok korbbi vltozatait. Ha ezutn trljk, vagy mdostjuk, s elmentjk a ktet valamelyik
fjljt, a trls, illetve ments tnyleges elvgzse eltt a rgebbi vltozat az
rnykmsolatok szmra lefoglalt terletre kerl.
Az rnykmsolatok belltsai kztt meg kell adnunk egy temezst
(alaprtelmezs szerint reggel 7 s dli 12 ra), de ez nem a tnyleges msolst jelenti, hanem csak azt, hogy a megadott idpontoknl rgebbi fjlok s
mappk minslnek korbbi vltozatnak. Vagyis pldul reggel 7 s 12 kztt
akrhnyszor is mentnk el jra egy fjlt, nem kszl minden esetben jabb
rnykmsolat. Az alaprtelmezett idzts teht azt hatrozza meg, hogy
naponta legfeljebb kt elz vltozatunk keletkezhet (persze ennyi is csak
akkor, ha a fjl valban mdosult a megadott idpontok kztt). Minden
egyes rnykmsolat kszlet a betemezett idpontok kztt megvltozott fjlok elz vltozatt tartalmazza. A szolgltats maximlisan 64 darab ilyen
kszlet trolsra kpes, ha tllpjk ezt a szmot, akkor a legrgebbi msolatok trldnek.
210
Ha gyakrabban van szksgnk az rnykmsolatok elksztsre, akkor

bellthatunk pldul rnknti idztst is, de ebben az esetben sokkal hamarabb el fogjuk rni a maximlis 64 fjlmsolatot, vagyis a rgebbi vltozatok rvidebb id utn kezdenek trldni.
4.8. bra: Az rnykmsolatok engedlyezse s tiltsa
Eszkzmeghajtk frisstsekor az rnykmsolatok szolgltats menti a

meghajt elz llapott, ez teszi lehetv, hogy az eszkzmeghajtk kezelsnl vissza tudjunk trni egy korbbi vltozatra (Driver Rollback). Biztonsgi mentsek ksztsekor az rnykmsolatok segtsgvel menthetjk el a
megnyitott fjlokat legalbbis azok korbbi verzijt.
Az rnykmsolat szolgltats kiszolgl oldali belltsait a lemezmeghajt Tulajdonsgok (Properties) paneljnek rnykmsolatok (Shadow
Copies) lapja segtsgvel adhatjuk meg, illetve ugyanez a belltlap elrhet
a Szmtgp-kezels (Computer management) konzolbl is.
Az rnykmsolat ksztse csak teljes ktetekre engedlyezhet s tilthat, azaz nem lehet csak a ktet bizonyos megosztott mappinak s fjljainak
msolst belltani. Ennek megfelelen a belltlapon elsknt ki kell vlasztanunk azt a ktetet, amelyre a tovbbi mveletek vonatkozni fognak.
211
A kivlasztott ktetre engedlyezhetjk, illetve tilthatjuk az rnykmsolatok ltrehozst, a Kszts most (Create Now) gombra kattintva pedig nem
ksztnk msolatokat, csak azt lltjuk be, hogy mostantl a vltozsokrl
(ha vannak vltozsok) jra kszljn egy rnykmsolat-pldny. Lehetsg
van a mr meglv msolatok trlsre is.
A Belltsok (Settings) gombra kattintva megadhatjuk a kivlasztott ktetre
vonatkoz mretkorltozsokat, s tllthatjuk az alaprtelmezett temezst.
4.9. bra: A C:\ ktet rnykmsolatnak belltsai
Komolyabb hasznlat esetn mindenkppen rdemes trolterletknt olyan

nll ktetet (mg jobb, ha az kln fizikai meghajtn is van) megadni,
amelyrl nem kszl rnykmsolat, gy jelentsen nagyobb teljestmny rhet el. Ezt a belltst azonban csak addig tehetjk meg, amg nincsenek engedlyezve a ktet rnykmsolatai, a korbban ltrehozott rnykmsolatok
thelyezsre nincsen lehetsg.
Ha meglv fjl rgebbi vltozatt lltjuk vissza, annak hozzfrsi engedlyei nem vltoznak, meg fognak egyezni az eredeti fjllal. Ha trlt fjlt lltunk vissza, az arra vonatkoz engedlyek a mappa alaprtelmezett engedlyei lesznek.
Termszetesen az rnykmsolatok szolgltats hasznlata nem helyettestheti, de jl kiegsztheti a rendszeres biztonsgi mentseket.
212
Rgebbi gyflrendszerek esetn az rnykmsolat szolgltats hasznlathoz szksg van a megfelel gyflszoftver teleptsre is, de a Windows XP
s Windows Vista rendszerekben a szoftver gyrilag benne van. Ha mgis
szksg lenne az gyflprogramra, a teleptt a kiszolgl %SYSTEMROOT%
\system32\clients\twclient mappjban tallhatjuk meg.
Az rnykmsolatok gyfloldali nzett a megosztott mapphoz tartoz
Tulajdonsgok (Properties) panel Elz verzik (Previous Versions) lapjn rhetik el a felhasznlk.
4.10. bra: Az rnykmsolatok gyfloldali nzete
Itt a megjelen dtum s id alapjn kivlaszthat a mappa elrhet rnykmsolatai kzl a megfelel, amellyel a kvetkez mveletek vgezhetk el:
View (Megtekints) a msolat egy kln ablakban nylik meg, gy megtekinthet annak tartalma, s sszehasonlthat a jelenlegi llapottal.
Copy (Msols) a msolat kimenthet a kivlasztott mappba, gy

megmarad a jelenlegi vltozat is.
Restore (Visszallts) a gomb megnyomsa utn a kivlasztott msolat fellrja a mappa jelenlegi vltozatt.
213
Az elosztott fjlrendszer (Distributed File System, DFS)

A DFS tulajdonkppen egy virtulis knyvtrfa, amely a klnbz fjlkiszolglkon tallhat megosztsokat egyetlen nvtrbe rendezi, vagyis a felhasznlk egyetlen pontbl kiindulva, sszefgg fjlrendszerknt rhetik el a
DFS-be felvett valamennyi megosztott mappt. A DFS alkalmazsval a kiszolglkon trolt fjlok gy jelenthetk meg a felhasznlknak, mintha
azok a hlzat egyazon helyn lennnek, a fjlok elrshez teht nincsen
szksg azok valdi helynek ismeretre.
Tovbbi igen elnys tulajdonsg, hogy egy megosztott mappa fizikai helynek mdostsakor a felhasznli lmny rintetlen marad, vagyis a felhasznlk ugyangy rhetik el a mappt, mint azeltt, hiszen annak elrsi
tja a DFS-nvtren bell nem vltozik. A rendszergazda ltal meghatrozott
logikai neveket a DFS-szolgltats fordtja el a fizikai megosztsok neveire, a
virtulis nvtr stabil s lland.
Az elosztott fjlrendszer szolgltats jelents vltozson ment keresztl az R2
verziban, tbbek kztt megjult a felgyeleti fellet is. Az j konzolt az
Administrative Tools (Felgyeleti eszkzk) csoportban talljuk DFS Management (Elosztott fjlrendszer kezelse) nven. A konzol segtsgvel hozhatjuk ltre
a DFS-nvtereket, amelyek a virtulis s fizikai mappk sszerendelst tartalmazzk. A nvterek hierarchijt mappk ltrehozsval alakthatjuk ki. Minden DFS-mapphoz valdi, fizikai mappapldnyok tartoznak (egy virtulis
DFS-mapphoz tbb, akr klnbz kiszolgln elhelyezked fizikai mappt is
hozzrendelhetnk), az gyfelek a DFS-mappkbl ll nvtrben tallzva, a
httrben, titokban megkapjk a szksges tirnytst a megfelel fizikai mappa elrshez. Az gyfelek szmra prioritsokat is meghatrozhatunk, vagyis
megadhatjuk, hogy egy adott virtulis mappt melyik fizikai mappapldny szolgljon ki elssorban. Ha az elnyben rszestett kiszolgl ppen nem rhet el,
akkor az gyfl termszetesen a tbbi mappapldnyt is hasznlhatja, de a hiba
elhrtsa utn jra vissza fog tallni a neki kiosztott kiszolglhoz. A fizikai
mappk tartalmnak szinkronizlsrl a DFS replikcis szolgltatsa gondoskodik (lsd ksbb).
Minden DFS-mapphoz teht a hlzat klnbz helyein lv fizikai
mappk tartozhatnak, vagyis a gyakran hasznlt, nagy adatforgalmat bonyolt mappkat prhuzamosan tbb kiszolgl is kezelheti, gy a terhels elosztsval nagyobb teljestmnyt rhetnk el.
Az elosztott fjlrendszer a fizikai mappkhoz tartoz szabvnyos NTFS- s
fjlmegosztsi engedlyeket hasznlja, gy a mr meglv biztonsgi csoportok s felhasznli fikok segtsgvel a szoksos mdon szablyozhatjuk a
hozzfrsi jogokat.
214
4.11. bra: Tartomnyi nvtr a DFS-konzolban
Az elosztott fjlrendszer alapveten kt zemmdban mkdhet:
Klnll nvtr (Stand-Alone Namespace) ebben az esetben a

DFS-nvtr szerkezetre vonatkoz minden adatot maga a kiszolgl
trol. Klnll nvtr esetn az egyes DFS-mappk hivatkozsai a kiszolgl nevvel kezddnek, vagyis az elosztott fjlrendszer pldul a
kvetkez mdon rhet el: \\SERVER\DFS. Klnll nvtr esetn
maga a nvtr nem hibatr, gy a nvteret trol kiszolgl nem rhet el, akkor a teljes DFS-fa hozzfrhetetlenn vlik.
Tartomnyi nvtr (Domain-based Namespace) ebben az esetben

az elosztott fjlrendszer topolgiai adatait az Active Directory trolja,
vagyis azok minden tartomnyvezrln megtallhatk. A DFS nvtr
elrse nem egy konkrt szmtgpre, hanem a tartomny nevre val
hivatkozssal lehetsges, vagyis a kvetkez mdon: \\ceg.local\DFS.
Mivel az adatok tbb tartomnyvezrln is megtallhatk, ez a megolds a nvtr szintjn is hibatrst biztost.
Az elosztott fjlrendszer hasznlata a kvetkez esetekben jelenthet j megoldst:
Ha vrhatan j fjlkiszolglk teleptsre, vagy a meglvk cserjre

lesz szksg.
Ha a felhasznlk sok megosztott mapphoz szeretnnek hozzfrni.
215
Ha a nagy forgalm megosztott mappk miatt terhelsmegosztsra

van szksg.
Ha folyamatos (hibatr) hozzfrst kell biztostanunk a megosztott

mappkhoz.
Ha a tvoli telephelyek s a kzpontban lv kiszolglk kztt biztonsgos s nagyon kis svszlessget ignyl fjlreplikcira van szksg.
Az elosztott fjlrendszer replikcija

Az elosztott fjlrendszer replikcija (Distributed File System Replication,
DFS-R) gondoskodik arrl, hogy a fizikai mappk tartalma a tbb helyen trtn mdosts ellenre is megfelel mdon szinkronban maradjon. A DFS-R
multimaster (tbb fkiszolgls) replikcis modellt hasznl, vagyis valamennyi mappapldny mdosthat, az adatok tvitelhez pedig rendkvl alacsony svszlessg is elegend lehet. Az adatok tvitele az ltalunk megadott
idkznknt trtnik meg, nem a fjlok megvltozsa vltja ki azt. A replikci temezsekor minimlisan 15 perc, maximlisan pedig 7 nap frisstsi
idkzt adhatunk meg, s meghatrozhatjuk a szolgltats ltal ignybe vehet svszlessget is (minimum 16 kbit/sec). A replikciban rszvev mappkat nem kell felttlenl megosztani, vagyis nem kell felttlenl rszt vennik a DFS-szolgltatsban sem (hiszen a DFS-nvtrbe csak megosztott
mappkat csatolhatunk be). A DFS-R-szolgltats teht kivlan felhasznlhat (DFS nlkl is) tetszleges mappk svszlessg-takarkos replikcijra,
pldul egy tvoli telephely fjlkiszolglja s a kzpontban lv, biztonsgi
mentseket vgz kiszolgl kztt. A globlis replikcis belltsokat az
Active Directory trolja.
Az adatok tvitelhez a DFS-R a Remote Differential Compression (tvoli
klnbsgi tmrts, RDC) technolgit hasznlja. Az RDC minden fjlt vltoz nagysg (a tartalomtl fggen) rszekre, gynevezett chunkokra darabol, majd minden egyes darabkhoz MD4 hasht, vagyis gyakorlatilag egy
egyedi ujjlenyomatot kszt. Ha a fjl egy adott rsze megvltozik, akkor termszetesen megvltozik az adott tredkhez tartoz ujjlenyomat is, az RDC
pedig ez alapjn azonostja a fjlokon belli vltozsokat. A replikci sorn a
tredkekhez tartoz ujjlenyomatok sszehasonltsval az RDC meghatrozza, hogy melyik darabok klnbznek egy adott fjlon bell, s a hlzaton
csak a megvltozott (a teljes fjlhoz kpest ltalban minimlis mret) tredkeket mozgatja, a megvltozott fjl pedig a helyben mr meglv vltozatlan, s a hlzaton rkez frisstett darabokbl ll ssze.
216
Ez teht azt jelenti, hogy a replikci nem a teljes fjlok, hanem a viszonylag kismret chunkok szintjn trtnik, vagyis az RDC tulajdonkppen nem a
fjlokat, hanem csak a vltozst repliklja. St az RDC mg arra is kpes, hogy
ha tbb fjlon bell vannak azonos tredkek (pldul egy kiss mdostott s
ms nven elmentett fjl esetn), akkor a vltozatlan tredkeket a teljesen j
fjlok ltrehozshoz is felhasznlja. A nagy fjlok mdostsai (pldul egy
Outlook postafikfjl (pst) esetn) ltalban csak nhny tredket rintenek,
vagyis ilyen mdon igen jelents svszlessg megtakarts rhet el.
A Microsoft mrsei szerint pldul egy 3,5 MB-os PowerPoint-bemutat
egyik cmsornak megvltoztatsa utni replikci a teljes fjl msolsval jr 3,5 MB forgalom helyett mindssze 16 kB hlzati forgalmat eredmnyezett.
A DFS-R tartomnyvezrlk esetn nem vltja ki a fjlreplikcis szolgltatst
(File Replication Service, FRS), hanem vele prhuzamosan mkdik.
A fjlkiszolgl jdonsgai: az FSRM

A fjlok kzponti trolsa alapvet igny minden szmtgpes rendszerrel
szemben. Az adatok mennyisgnek (s fontossgnak) nvekedsvel a
rendszergazdknak egyre sszetettebb trolsi struktrt kell ttekintenik,
radsul a viszonylag drga, s tbbnyire szks kzponti trolsi kapacitssal val hatkony gazdlkodshoz folyamatosan figyelemmel kell(ene) ksrnik a felhasznlk ltal trolt fjlok mennyisgt, st lehetleg azt is, hogy
minden llomny esetben indokolt-e a kzponti trols.
A Windows Server 2003 R2 vltozatban megtallhat File Server Resource Manager (Fjlkiszolgli erforrs-kezel) olyan eszkzkszletet ad a
rendszergazdk kezbe, amelynek segtsgvel a kzpontilag trolt adatok
mennyisgt s tpust is szoros ellenrzs alatt tarthatjk. Az j szolgltatsok hrom tmhoz kapcsoldnak:
Quota Management (Kvtakezels) a korbbi kvtarendszert kiegszt, szemlletben teljesen j kvtarendszer.
File Screening Management (Fjlszrskezels) az egyes mappkban trolhat fjltpusokat (a fjlok neve, illetve kiterjesztse alapjn)
korltoz szablyokat adhatunk meg.
Storage Reports Management (Trolsi jelentsek kezelse) rszletes jelentseket kaphatunk az llomnyokrl, a lemezhasznlatrl, a
foglaltsgrl stb.
217

A fjlkiszolgli erforrs-kezel hasznlata
Ebben a screencastben kiprbljuk a fjlkiszolgli erforrs-kezel segtsgvel bellthat j
szolgltatsokat: ltalunk ksztett sablonok alapjn belltjuk a felhasznlk mappira vonatkoz kvtt, korltozzuk a trolhat fjlok krt s rszletes jelentseket ksztnk a fjlkiszolgl llapotrl.
Fjlnv: II-1-1cFSRM.avi
Kvtakezels
A Windows Server 2003 R2 verzijnak egyik jdonsga a mappa alap kvtzs lehetsge. Az j kvtarendszerrel az egyes mappk mrett korltozhatjuk a benne lv fjlok tulajdonostl fggetlenl.
4.12. bra: A lemezhasznlat korltozsa az egyes mappk ltal elfoglalhat terletre

vonatkozik
A trterlet limitlsa teht ebben az esetben nem ktetenknt s felhasznlnknt, hanem az egyes mappk szintjn trtnik. Minden mapphoz hozzrendelhetnk egy limitet, ami a mappba helyezhet fjlok (s almappk)
sszestett mretnek fels korltja lesz.
A hatrrtkeknek kt tpust adhatjuk meg: a szigor (Hard) kvta tnyleges korltozst jelent, mg az enyhe (Soft) hatrrtk az elfoglalhat terlet
tnyleges limitlsa nlkl aktivlja a hatrrtkhez rendelt esemnyeket,
vagyis a terlethasznlat megfigyelsre alkalmas.
A kvtarendszer szorosan egyttmkdik az NTFS fjlrendszerrel, gy
termszetesen csak NTFS-kteteken hasznlhat.
218
4.13. bra: A kvta tulajdonsgainak belltsa (clszer a sablonos megoldst vlasztani)
Hard kvta esetn a hatrrtk elrsekor az I/O-mveletek szintjn akadlyozza meg a tovbbi helyfoglalst, vagyis a kvta tllpse a legkisebb mrtkben sem lehetsges. A kvta nem a fjlok logikai mrett, hanem minden
esetben az adott mappn belli tnyleges lemezfoglalst veszi alapul, vagyis
a klnfle specilis llomnyok (tmrtett fjlok, hard linkek, felcsatolt
mappk) beszmtsa is ennek alapjn trtnik.
Minden egyes hatrrtk esetn, a hatrrtk szzalkaknt adhatjuk
meg azokat a foglaltsgi szinteket, amelyek elrsekor a bellthat tevkenysgek valamelyikt el szeretnnk vgezni. Az esemnyekhez kapcsolhat
tevkenysgek a kvetkezk lehetnek:
E-mail kldse a rendszergazdnak, illetve az esemnyt kivlt felhasznlknak. A felhasznlk esetben a rendszergazda adhatja meg
az elkldend levl szvegt is.
Esemnynapl bejegyzs ksztse.

219
Megadott program, illetve szkript futtatsa. Ilyen mdon rhetjk el

pldul azt, hogy a hatrrtk elrsekor a kvta megemelkedjen; a
dirquota.exe parancssori segdprogramot kell elindtanunk a megfelel
paramterezssel.
Trolsi jelents (Storage Report) generlsa (lsd ksbb).
Valamennyi belltst sablonknt is elmenthetjk, hogy ksbb, illetve msik

mappa esetn mr csak egyetlen mozdulat legyen a megfelel belltscsoport
alkalmazsa. Termszetesen kapunk elre elksztett mintkat is, ezeket kiss mdostva (esetleg ezutn j nvvel elmentve) knnyen elllthatjuk az
ignyeinknek megfelel sablont, ami jelentsen megknnyti s meggyorstja
a belltsok megadst. Lehetsg van a sablonok exportlsra s msik
gpen val importlsra is.
4.14. bra: A kvtkat eredeti sablonjuk mdostsval is megvltoztathatjuk
A sablonos mdszer hasznlata azrt is ajnlott, mert a sablon mdostsakor lehetsgnk van arra, hogy ezt a mdostst utlag rvnyestsk a sablon alapjn ltrehozott kvtkra is. Mdosthatjuk csak azokat a kvtkat,
amelyek teljesen megfelelnek az eredeti sablonnak (vagyis amelyikben nincsenek egyedi mdostsok), de hozzigazthatjuk az sszes kvtt sablonjnak vltozsaihoz. Ha gy dntnk, akkor a sablonban megadott belltsokkal fellrhatunk minden egyedileg megadott kvtatulajdonsgot (nem csak
azokat, amelyeket a sablonban mdostottunk).
A mappk korltjt rugalmas (vagyis hatrrtk elrshez rendelt parancs ltal ideiglenesen megnvelt) korltknt is megadhatjuk, gy az rintett
felhasznlk e-mailben rtestst kaphatnak a tllpsrl, s azonnal nekilthatnak a szksgtelen fjlok trlsnek.
220
4.15. bra: A hatrrtk elrsekor lefut parancs akr a kvtt is megnvelheti,

vagyis adhat mg egy kis haladkot
Bellthatjuk azt is, hogy a rendszer ne korltozza ugyan egy mappa mrett,
de kldjn rtestst egy megadott e-mail cmre, ha a mret elr egy meghatrozott rtket. Nem clszer pldul a klnfle szolgltatsokhoz tartoz
ideiglenes mappk mrett korltozni (mert esetleg egy csendes htvgn
emiatt lellhat az adott szolgltats), de fontos lehet, hogy a rendszergazda
azonnal tudomst szerezzen rla, ha a mappa mrete a szoksos s elfogadhat rtk fl emelkedik.
Az j kvtarendszer termszetesen nemcsak a rgi helyett, hanem mellette is hasznlhat, akr ugyanarra a trterletre is rvnyeslhet mindkt
korltozsi szemllet.
221
Fjlok szrse (File Screening)

A fjlszrs segtsgvel ktet, illetve mappaszinten korltozhatjuk a trolhat
fjlok tpust, vagyis meghatrozhatjuk, hogy egy mappban a megadott tpus
(pldul vgrehajthat fjlok, vagy mozgkpek) fjlokat ne trolhassk a felhasznlk. A tiltott fjltpusokat az adott mappban sem ltrehozni, sem odamsolni (vagy mozgatni) nem lehet. A tiltlista ellenrzse a fjlmveleteket
megelzen trtnik, vagyis azok a fjlok, amelyek mr a tilts bevezetsekor is
a mappban voltak, termszetesen tovbbra is ott maradhatnak.
A fjlok tpusnak meghatrozsa a fjl kiterjesztse, (illetve a fjlnvben
tetszleges helyen megtallhat minta) alapjn trtnik, teht az tnevezett,
vagy pldul zippelt llomnyok msolst a szr nem akadlyozza meg.
4.16. bra: A mappban tilos brmifle vgrehajthat fjl trolsa
A tiltst fjlcsoportok alapjn adhatjuk meg, a vgrehajthat fjl kategriba

pldul szmos kiterjeszts tartozik (exe, com, bat, cmd, vbs stb.), de valamennyi fjlcsoport szerkeszthet is, vagyis magunk hatrozhatjuk meg, hogy
egy fjltpushoz milyen konkrt fjlnvmintk tartozzanak. Termszetesen, a
meglvkn kvl j tpusokat is definilhatunk, gy tetszleges kiterjesztseket vlogathatunk ssze. Lehetsgnk van helyettest karakterek hasznlatra is, vagyis pldul akr azt is bellthatjuk, hogy egy mappban ne
lehessen olyan fjlokat trolni, amelyek nevnek msodik betje a (?a*).
Persze egy ilyen korltozs gyakorlati haszna legalbbis megkrdjelezhet.
A korltozsok a kvtkhoz hasonlan ebben az esetben is kt klnbz
mdon adhatk meg:
222
Az aktv szrs (Active Screening) valdi korltozst jelent, a tiltott

fjlok ebben az esetben nem kerlhetnek a ktetre, illetve mappba.
A passzv szrs (Passive Screening) a fjlok megfigyelsre szolgl,

vagyis nem tiltja a fjlok ltrehozst, de a megfigyelt fjlok megjelense kivltja a rendszergazda ltal meghatrozott tevkenysgek vgrehajtst.
Termszetesen a kvtkhoz hasonlan a belltscsoportokat itt is sablonok

segtsgvel adhatjuk meg, s a klnfle rtestsek (Esemnynapl, e-mail,
trolsi jelentsek) s tevkenysgek (szkript vagy program futtatsa) is
megegyeznek a kvtkkal kapcsolatban mr megismert lehetsgekkel.
Egyetlen lnyeges klnbsg van: a fjlszrssel kapcsolatos esemnyeket a
rendszer alaprtelmezs szerint nem trolja, vagyis ezek nem fognak szerepelni a megfelel trolsi jelentsben sem. Az esemnyek trolst az FSRM
belltlapjn (jobb egrgomb -> Configure Options) kell engedlyeznnk.
4.17. bra: A fjlszrssel kapcsolatos esemnyek trolst kln kell engedlyezni
Az FSRM felletn szmos alaprtelmezett fjlszrsablont tallhatunk,

amelyek segtsgvel megtilthatjuk a hang- s mozgkpfjlok, vgrehajthat
fjlok, kpfjlok stb. trolst.
A fjlszrs termszetesen szintn csak NTFS-kteteken hasznlhat, mivel a korltozsok megvalstsa csak a fjlrendszerrel szoros egyttmkdsben lehetsges. A korltozsok (akrcsak a hozzfrs-vezrlsi listk)
kzvetlenl a fjlrendszerben troldnak.
A mappkra (vagy a ktetre) belltott korltozsok alaprtelmezs szerint tovbbrkldnek a hierarchia mentn. Ha ezt mdostani szeretnnk,
akkor konkrtan meg kell adnunk azokat a fjltpusokat, amelyek trolst a
szlmappra rvnyes korltozs ellenre is engedlyezni szeretnnk az
adott almappban. Az engedlyezs a tiltshoz hasonl mdszerrel trtnik, a
szlmappn megadott tilt (Block) tpus szably mellett az almappra engedlyez (Allow) tpus szablyt kell ltrehoznunk.
223
A fjlszrs segtsgvel a rendszergazda biztosthatja pldul, hogy a felhasznlk a kiszolgln trolt, s rendszeresen szalagra mentett szemlyes mappikat ne hasznlhassk klnfle mozifilmek s mp3 fjlok trolsra, gy megakadlyozhatja a trterlet s a mentsi kapacits szksgtelen ignybevtelt.
Megadhatunk olyan szrsi belltsokat is, hogy a rendszer ne tiltsa le
pldul a vgrehajthat fjlok megosztott mappkba msolst, de az ilyen
esemnyekrl a rendszergazda kapjon e-mail rtestst a msolst vgz felhasznl s a megfigyelt fjl adataival.
4.18. bra: Alaprtelmezett fjlcsoportok. Minden fjlcsoporthoz a fjlnvben szerepl

tetszleges mintkat adhatunk meg
Trolsi jelentsek
A trolsi jelentsek segtsgvel rszletesen figyelemmel ksrhetjk a fjlkiszolgl merevlemezein trolt adatokat. A legtbb jelents paramterezhet (a
paramterek termszetesen tpusonknt klnbzk), gy egyedileg hatrozhatjuk meg, hogy pontosan mit tartalmazzon az adott jelents. Bellthatjuk pldul, hogy mely ktetekrl vagy mappkrl kszljn a jelents, illetve megadhatunk klnfle feltteleket a jelentsbe kerl bejegyzsekre vonatkozan.
A jelentsek temezetten, illetve igny szerint azonnal is elllthatk a
megadott belltsok alapjn. Fggetlenl az elllts mdjtl, a rendszer a
megadott formtumban (HTML, XML, CSV, vagy egyszer szveg) mentst is
kszt az egyes jelentsekrl. A mentett jelentseket alaprtelmezs szerint a
%SYSTEMDRIVE%\StorageReports\ mappa almappiban tallhatjuk meg,
de a trolmappa az FSRM belltlapjn megvltoztathat. A fjlok nevbl
megllapthat a jelents tpusa s a kszts pontos dtuma is.
224
Nyolc klnfle jelentst kszthetnk az albbiak szerint:
Nagymret fjlok (Large Files) a jelents segtsgvel azonosthatjuk azokat a fjlokat, amelyek nagyobbak a paramterknt megadott mretnl.
Fjlok tulajdonos szerint (Files by Owner) a jelentsben az egyes

fjlokat tulajdonosuk alapjn csoportostva tekinthetjk meg. Paramterknt megadhatjuk, hogy melyik felhasznlk fjljaira vagyunk kvncsiak, s a jelentsbe kerl llomnyokat is szrhetjk a nevkben szerepl minta alapjn.
Fjlok fjlcsoport szerint (Files by File Group) a jelents a paramterknt megadott fjlcsoportokhoz tartoz fjlokat tartalmazza. A kivlaszthat fjlcsoportok megegyeznek a fjlszrs szakaszban megadott
csoportokkal.
Fjlszr naplzs (File Screening Audit) a jelents a fjlszrsi

szablyok megsrtsvel ksrletez felhasznlkat, illetve alkalmazsokat sorolja fel a paramterknt megadhat idtartamra visszamenleg.
4.19. bra: A fjlszrhz kapcsold esemnyekrl szl jelents
225
Dupliklt fjlok (Duplicate Files) a jelents mappban vagy kteten

tbb pldnyban megtallhat (vagyis azonos nev, mret s mdostsi idpont) fjlokat sorolja fel.
Legrgebben hasznlt fjlok (Least Recently Accessed Files) a jelents a paramterknt megadott idtartamnl rgebben hasznlt fjlokat sorolja fel.
Legutbb hasznlt fjlok (Most Recently Accessed Files) az elz jelents ellentte, vagyis azok a fjlok szerepelnek benne, amiket a megadott idpont ta valaki megnyitott.
Kvtahasznlat (Quota Usage) a jelents azokat a kvtkat tartalmazza, amelyek kihasznltsga magasabb a megadott szzalknl. A jelents
csak a Fjlkiszolgli erforrs-kezel ktetei s mappi szmra ltrehozott kvtkat tartalmazza, a hagyomnyos NTFS-kvtkat nem.
Nyomtatsi szolgltatsok (PMC)

A Print Management Console (Nyomtatskezel) a hlzati nyomtatk kzponti kezelst s felgyelett teszi lehetv. A PMC hasznlata megoldst jelenthet a hlzati nyomtatk kezelsvel kapcsolatos problminkra; elrhetjk vele, hogy a szmtgpek kztt vndorl felhasznlkat kvessk a
szmukra kiosztott nyomtatk, illetve azt is, hogy egy adott gpen minden bejelentkez felhasznl elrhessen bizonyos nyomtatkat. A konzol segtsgvel rszletes informcikat kaphatunk a hlzaton elrhet valamennyi megosztott nyomtat s a nyomtatkiszolglk llapotrl, az egyedileg meghatrozhat szrk pedig lehetv teszik a hibt jelz nyomtatk egyszer azonostst. A beptett webkiszolglval rendelkez nyomtatk esetn a konzolablakon bell is knnyen elrhetjk a nyomtat sajt felgyeleti weblapjt,
ahol tovbbi informcikat kaphatunk pldul a rendelkezsre ll festk
vagy papr mennyisgrl s lehetsgnk van klnfle felgyeleti mveletek tvolrl trtn vgrehajtsra.
Br a konzol csak a Windows Server 2003 R2 vltozatn futtathat, de kpes a rgebbi rendszerek (Windows 2000 Server, Windows Server 2003) nyomtatinak kezelsre is. A konzolhoz hozz kell adnunk a kezelend nyomtatkiszolglkat, amelyek ezutn a Print Servers (Nyomtatkiszolglk) csompont
alatt fognak megjelenni, ahol hozzfrnk a rajtuk elrhet nyomtatk s meghajtprogramok klnfle tulajdonsgaihoz.
226
A Nyomtatskezel konzol hasznlata
Ebben a screencastban a Windows Server 2003 R2 nyomtatkkal kapcsolatos j s szleskren
hasznlhat komponenst, a Nyomtatskezel konzolt prbljuk ki.
Fjlnv: II-1-1dPMC.avi
A PMC egyttmkdik az Active Directory csoporthzirend szolgltatsval,

gy lehetsget nyjt arra, hogy a hlzaton elrhet megosztott nyomtatkat
automatikusan teleptsk az gyflgpekre. A teleptst szmtgpre (ekkor
az adott szmtgpen bejelentkez valamennyi felhasznl elrheti az adott
nyomtatt) s felhasznli fikra is krhetjk (ekkor a nyomtat kveti az
adott felhasznlt, brmelyik gpen is jelentkezik be).
4.20. bra: Nyomtat kzzttele az gyflgpek szmra
Minden nyomtathoz megadhatjuk azt a csoporthzirend objektumot, amely

az adott nyomtatt szlltja majd az gyfelek szmra. A telepts a csoporthzirendnl megszokott mdon, vagyis az adott szmtgp, vagy felhasznl
szervezeti egysghez, illetve biztonsgi csoporthoz val tartozsa, vagy WMIszr alapjn is vezrelhet. (Az Active Directoryval s a csoporthzirenddel
a kvetkez, a Tartomnyi krnyezet cm fejezet foglalkozik rszletesen.)
Windows Vista eltti gyflgpek esetn szksg van mg rendszerindtskor a pushprinterconnections.exe nev program futtatsra, ami olvassa
a vonatkoz csoporthzirend objektumot, majd telepti, illetve szksg esetn
el is tvoltja a nyomtatkat.
227
A program futtatst a szmtgphez, illetve felhasznlhoz tartoz bejelentkezsi parancsfjlbl kezdemnyezhetjk, clszer ezt is megadni a
nyomtatbelltst tartalmaz csoporthzirend objektumban. Windows Vista
gyflgp esetn a program futtatsra mr nincsen szksg (termszetesen
a leend ksbbi rendszerek esetn sem fog kelleni).
Hlzati szolgltatsok
A kvetkezkben a Windows Server 2003 klnfle hlzati szolgltatsaival
fogunk megismerkedni. Egy rvid ismtls utn ttekintjk a hlzathoz
csatlakoz szmtgpek TCP-IP konfigurcijnak kzponti megadsra alkalmas DHCP-szolgltatst, majd rviden ismertetjk a korbbi Windows
rendszerekben hasznlt nvfeloldsi mdszert, a WINS-szolgltatst.
Ezutn kvetkezik a Windows-hlzatok tvoli elrst, s klnfle tvlasztsi szolgltatsokat biztost RRAS-szolgltats, vgl pedig a Windows
felhasznli felletnek tovbbtsra kpes Terminlszolgltatsok (Terminal Services) ismertetse.
Egy kis ismtls: az IP-cm s tpusai

Az IP-cm az IP-hlzat csompontjait azonost 32-bites szm (IPv4 estn).
A hlzat minden csompontjnak egyedi cmmel kell rendelkeznie, amely a
hlzat azonostjbl s az lloms azonostjbl ll, s amelynek az adott
hlzaton bell egyedinek kell lennie. A cm a bjtok decimlis rtkt tartalmazza pontokkal elvlasztva (pldul 192.168.16.2). Az IP-cmek teht az
internetre, (illetve brmilyen IP-hlzatra) kapcsold eszkzk hlzati csatolfelleteinek egyedi azonosti.
Az IP-cmek osztlyokba sorolsa annak alapjn trtnik, hogy a cm
mekkora rsze azonostja a hlzatot, s mekkora rsz marad a hlzaton bell az lloms azonostsra. Ennek alapjn megklnbztethetnk A, B s C
osztly cmeket (a D s E osztlyokkal most nem foglalkozunk).
228
A-osztly cmek az A-osztly cmek hasznlatra csak rendkvl

nagyszm llomst tartalmaz hlzatok esetn lehet szksg, mivel
ebben az esetben mindssze 7-bit szolgl a hlzat azonostsra, a maradk 24 pedig az egyes llomsokat klnbzteti meg. (A hinyz egy
bit a cm tpusnak jelzsre szolgl.) Ez azt jelenti, hogy sszesen 128
2 = 126 ilyen hlzat lehet az egsz vilgon. Viszont minden egyes hl-
Hlzati szolgltatsok
zat 224 2, vagyis tbb mint 16 milli llomst tartalmazhat. (Azrt kell
mindkt szmbl kettt levonnunk, mert a csupa nullbl ll azonost
az adott hlzatot, illetve llomst jelenti, a csupa egyesbl ll cm pedig a szrt (broadcast) zenetek szmra van fenntartva.)
B-osztly cmek a B-osztly esetben 14-bit azonostja a hlzatot

(kt bit a cmtpust), a maradk 16-bit pedig a hlzaton bell magt
az llomst. Ez a cmosztly teht mg mindig meglehetsen nagy (legalbbis a magyarorszgi mreteket tekintve) hlzatokban is hasznlhat, mivel a hlzaton bell kioszthat cmek szma tbb mint 65 ezer.
A hlzatot azonost 14-bit nagyjbl 16 ezer ilyen hlzat megklnbztetsre elegend.
C-osztly cmek a C-osztly cmek kisebb hlzatokban val

hasznlatra alkalmasak, a hlzaton bell 254 llomst (8-bit) klnbztethetnk meg C-osztly cmek hasznlatval. Viszont meglehetsen sok (tbb mint 2 milli) ilyen hlzat lehet, mivel 21-bit alkotja a
hlzat azonostjt.
Az IP-cmen bell a hlzati azonost s az llomsazonost az alhlzati

maszk (subnet mask) alapjn vlaszthat szt. Az alhlzati maszkok 32-bites
szmok, amelyekben az egyms utni egy rtk bitek jelzik a hlzatazonostt, az egyms utni nulls bitek pedig llomsazonost rszt.
Publikus cmek
A publikus cmmel rendelkez hlzati csompontok kzvetlenl bekapcsoldhatnak az internet vrkeringsbe, semmifle kzvettre nincsen szksgk. Az interneten csak olyan adatcsomagok kzlekedhetnek, amelyek feladja
s cmzettje is publikus cmmel rendelkezik, mivel a forgalomirnyt eszkzk (routerek) csak az ilyen csomagokat tovbbtjk. Ebbl mindjrt kvetkezik is a publikus cmekkel kapcsolatos egyik problma: minden publikus cmnek a teljes internetre nzve egyedinek kell lennie, vagyis a publikus cmek
ersen szks erforrsnak tekinthetk.
Publikus IP-cmet teht akkor hasznlunk, ha:
kzvetlen, akadlytalan internetelrsre van szksg,
bven van sajt, publikus IP-cmnk.
A publikus IP-cmekkel kapcsolatos htrnyok egyenes kvetkezmnyei az

elnyknek:
229
Mivel egyedinek kell lennie, nincs elg belle.
Nincs elg belle, teht drga.
Kevsb biztonsgos, mivel az, hogy kzvetlen internetelrsre ad lehetsget, egyben azt is jelenti, hogy fordtva, az internetrl is kzvetlenl elrhet a publikus cmmel rendelkez szmtgp. Ez a fellls
pedig csak olyan gpek esetben engedhet meg, amelyek erre teljes
mrtkben fel vannak ksztve, klnben igen gyorsan meg fogjuk tapasztalni az internetes vilg sszetettsgt.
Privt cmek
A cmtr egy rsze olyan llomsok szmra van fenntartva, amelyek nem
csatlakoznak kzvetlenl az internetre, vagyis ezeket a cmeket brmely vllalat vagy szervezet szabadon felhasznlhatja a bels hlzatn tallhat llomsok azonostsra. Hrom cmtartomny tartozik ebbe a kategriba:
10.0.0.0 vagyis egy A-osztly hlzat valamennyi cme.
A 172.16.0.0-tl a 172.31.0.0-ig terjed cmtartomny, vagyis 16 egyms utni B-osztly hlzat valamennyi cme.
A 192.168.0.0-tl a 192.168.255.0-ig terjed cmtartomny, vagyis 256

egyms utni C-osztly hlzat.
Mivel a fenti cmeket brki hasznlhatja, azok termszetesen nem egyediek,

gy nem hasznlhatk az internet kzvetlen elrsre. Azok az llomsok,
amelyek csak privt cmmel rendelkeznek, az internetet csak kzvett (hlzati cmfordt) segtsgvel rhetik el.
Privt cmeket teht akkor hasznlunk, ha:
nem kell, vagy nem lehetsges kzvetlenl elrni az internetet,
nincs elg publikus IP-cmnk.
A privt cmek hasznlata szmos elnnyel jr, pldul ebben az esetben nincs
szksg semmifle regisztrcira, gyakorlatilag brmennyi IP-cmet kioszthatunk sajt beltsunk szerint. Termszetesen a privt cmek hasznlata kltsggel sem jr, radsul biztonsgosabb is a publikus cmeknl, mivel az ilyen
cmet hasznl llomsok nem rhetek el az internet fell kzvetlenl.
Ha a privt cmeket hasznl hlzatbl mgis ki szeretnnk ltni az internetre, szksgnk van egy olyan eszkzre, ami a privt cmeket az interneten is tovbbthat publikus cmekk alaktja. Vllalatok esetben a szolgltat ltalban biztost nhny publikus IP-cmet, a bels, privt cmek kiosz230
Hlzati szolgltatsok
tst s a cmfordtst pedig a vllalaton bell kell megoldani. Ez a legegyszerbb esetben azt jelenti, hogy szksg van egy kiszolgl szmtgpre,
amely minimlisan kt hlzati csatolval rendelkezik (idelis esetben ez egy
tzfal, amin egyetlen ms kiszolglszolgltats sem fut). Az egyik csatol
megkaphatja a szolgltattl brelt publikus cmet, a msik pedig a bels hlzatnak megfelel, privt cmmel fog rendelkezni. Az internetre kzvetlenl
teht csak ez az egy gp csatlakozik, a tbbiek pedig az szolgltatsait vehetik ignybe brmifle internetes adatforgalomhoz.
Egy kis ismtls: az IP-bellts mdszerei

A kvetkezkben ttekintjk azokat a mdszereket, amelyekkel a TCP/IP-t
hasznl llomsok hozzjuthatnak a mkdskhz szksges paramterekhez. Hogy melyik megolds a leginkbb kedvez, az ersen fgg a krlmnyektl, de termszetesen nem kell felttlenl csak egyetlen mdszert vlasztanunk, az is lehetsges, hogy bizonyos eszkzk statikus belltsokat
hasznlnak, a tbbi pedig pldul DHCP-kiszolgltl kapja az IP-cmt s
tbbi TCP/IP-paramtert is.
APIPA (Automatic Privat IP Addressing)

Ha egy szmtgpen nincs statikusan belltott IP-cm, s DHCP segtsgvel
sem sikerl cmet kapnia, akkor az APIPA (Automatic Private IP Addressing,
automatikus magnhlzati IP-cmkioszts) szolgltatst fogja hasznlni az
automatikus konfigurcihoz. A gp a 169.254.0.1-tl 169.254.255.254-ig terjed tartomnybl fog cmet kapni a 255.255.0.0 alhlzati maszkkal. Az
alaprtelmezett tjrt, a DNS-kiszolglt s a WINS-kiszolglt az APIPA
nem lltja be, mivel az gy kiosztott cmek csak egyetlen hlzati szegmensben mkdhetnek, s a gpeknek internetkapcsolata sem lehet (arrl nem is
beszlve, hogy elg nehezen tallhatn ki mondjuk a DNS-kiszolgl IPcmt). Az APIPA-cmhozzrendelst teht akkor hasznlhatjuk, ha:
nincs DHCP-kiszolgl,
a hlzat egyetlen szegmensbl ll,
nincs szksg a cmek feletti kontrollra,
nincs szksg kzponti belltsra.
231
Statikus cm, kzi bellts

Ha a TCP/IP-protokoll tulajdonsgait a hlzati kapcsolat tulajdonsglapjn
kzzel lltjuk be, meg kell adnunk az IP-cmet, az alhlzati maszkot, az alaprtelmezett tjrt (default gateway), a DNS-kiszolglt s esetleg a WINSkiszolglt. A kzi belltsra a kvetkez esetekben lehet szksg:
nincs DHCP-kiszolgl, s egynl tbb alhlzatunk van (egy alhlzat

esetn hasznlhat az APIPA),
kevs szmtgp, illetve hlzatra csatlakoz eszkz van,
teljes kontrollra van szksg a cmek felett.
DHCP dinamikus
A DHCP (Dynamic Host Configuration Protocol) protokoll alkalmazsval a
szmtgp bekapcsolsakor a TCP/IP-protokoll belltsa dinamikusan s
automatikusan trtnik. A DHCP-kiszolgl megfelel belltsa esetn a
szmtgpek (s egyb eszkzk) hozzjuthatnak IP-cmkhz, az alhlzati
maszkhoz, s az alaprtelmezett tjrval, DNS-kiszolglval s WINS-kiszolglval kapcsolatos belltsi informcikhoz.
Kzepes s nagyobb hlzatok esetn a szmtgpek tbbsge szmra a
dinamikus DHCP cmhozzrendels lehet a legjobb megolds. A Windows
opercis rendszerrel mkd szmtgpek alaprtelmezs szerint DHCPgyfelek, vagyis az gyflgpeken semmifle belltsra nincs szksg. Ezt a
megoldst clszer hasznlni, ha:
van DHCP-kiszolgl,
kzponti bellts szksges, s szeretnnk lehetsget biztostani a

kzpontilag vezrelt vltoztatsokra.
DHCP fenntartott
A fenntartott cmeket s egyb paramtereket a DHCP-kiszolgl osztja ki, de
olyan mdon, hogy az adott lloms minden esetben egy meghatrozott IPcmet kapjon. Akkor hasznljuk ezt a mdszert, ha:
232
van DHCP-kiszolgl,
egy adott gpen valamilyen ok miatt mindig ugyanarra a cmre van

szksg,
de mgis szeretnnk, ha a DHCP-kiszolgltl kapna cmet, pldul

azrt, hogy a tbbi paramtert ne kelljen kzzel belltanunk.
Hlzati szolgltatsok
A DHCP-kiszolgl
A DHCP egy TCP/IP szolgltatprotokoll, amely az llomsok szmra kioszthat IP-cmek brleti konstrukciban trtn hozzrendelst teszi lehetv, s ms paramtereket is eloszt az ezt ignyl hlzati gyfelek szmra.
A DHCP biztonsgos, zembiztos s egyszer TCP/IP hlzati konfigurcit
tesz lehetv, segtsgvel elkerlhetjk a cmtkzseket, s jelentsen egyszersthetjk az IP-cmek kiosztsval kapcsolatos adminisztrcit. A DHCP
gyfl/kiszolgl modellt hasznl, amelyben a DHCP-kiszolgl vgzi a hlzatban hasznlt IP-cmek nyilvntartst s kiosztst, a DHCP-protokollt
tmogat gyfelek pedig hlzati bejelentkezsk rszeknt meghatrozott
idtartamra IP-cmet brelhetnek, s egyedi TCP/IP konfigurcit kaphatnak
a DHCP-kiszolgltl.
A DHCP-kiszolgl belltsai
Ebben a screencastban a Windows Server 2003 DHCP-szolgltatsnak teleptsvel s rszletes belltsaival ismerkedhetnk meg.
Fjlnv: II-1-2aDHCP-kiszolgalo.avi
rdekes krds, hogy vajon hogyan mkdhet egy olyan TCP/IP-alap szolgltats, amelynek az a kiindul llapota, hogy az egyik rsztvev llomsnak egyltaln nincsen rvnyes IP-cme, s a tbbi paramter sincs belltva. A DHCPgyflnek radsul nyilvnvalan semmifle elkpzelse nem lehet arrl, hogy
kitl is kellene cmet krnie, nem tudhatja pldul a DHCP-kiszolgl IP-cmt.
Nos, a DHCP szrt zenetekkel (broadcast) mkdik, mivel az gyfl egyetlen
dolgot tud biztosan, mgpedig azt, hogy a 255.255.255.255 broadcast cmre kldtt csomagot mindenki (gy, ha van ilyen egyltaln, akkor a DHCP-kiszolgl
is) meg fogja kapni. Miutn bekapcsolunk egy DHCP-cmkrsre belltott gpet,
az els hlzati mvelet egy ilyen csomag kikldse lesz. A cmkrs teljes folyamata ngy lpsbl ll, vagyis ngy hlzati csomagra van szksg:
DHCP Discover (felderts) ezt a csomagot az gyfl kldi ki

(broadcast), vagyis tulajdonkppen belekiabl az ismeretlenbe: Hah, valaki! Cmet krek! Ha esetleg senki nem vlaszol, akkor jhet APIPA.
DHCP Offer (ajnlat) ezt a csomagot a DHCP Discover zenetre vlaszul a kiszolgl kldi vissza, mg mindig broadcast cmzssel, vagyis
az gyflnek az zenetekben szerepl azonostszmok segtsgvel el
kell dntenie, hogy a vlasz valban az krsre rkezett-e. A csomag
tartalmazza a felajnlott IP-cmet s a hozz tartoz egyb paramtereket, vagyis szabad fordtsban ezt jelenti: Ez j lesz?
233
DHCP Request (krs) ezutn az gyfl mg mindig broadcast zenetet kld, ami azt jelenti: Rendben, jhet. Taln flslegesnek tnhet
ez a plusz kr a folyamatban, hiszen az gyfl akr mindenfle visszabeszls nlkl bellthatn a kapott paramtereket. A pontos egyeztetsre tulajdonkppen csak akkor van szksg, ha tbb DHCP-kiszolgl
is zemel a hlzatban.
DHCP Ack (visszaigazols) az utols zenet a visszaigazols, az gyfl az ebben szerepl IP-cmet s opcikat fogja belltani. Szintn ebben az zenetben szerepel, hogy mikor fog lejrni a cmbrlet, vagyis az
zenet tartalma ennyi: OK, nyolc napig a tid ez a cm.
Mivel a szrt zenetek csak az adott alhlzaton belli szmtgpeket rik

el, alapllapotban a DHCP-szolgltats csak egyetlen fizikai alhlzaton
hasznlhat. Ha tbb alhlzatra szeretnnk egyetlen kiszolgl segtsgvel
cmeket osztani, akkor az alhlzatokat sszekt tvlasztkon DHCP-tovbbt gynkket (DHCP Relay Agent) kell teleptennk. Az gynk fogja a
hozz rkez broadcast DHCP-zeneteket a tbbi alhlzatra tovbbtani.
A DHCP-szolgltats segtsgvel az IP-cmen kvl mg szmos ms paramtert is bellthatunk, ezek szintn a DHCP Ack zenetben szerepelnek.
A kvetkezkben a leggyakrabban hasznlt paramtereket soroljuk fel:
234
tvlaszt (Router) a paramter segtsgvel az gyfeleken belltand alaprtelmezett tjrt (default gateway) hatrozhatjuk meg. Az
alaprtelmezett tjr egy olyan cm, amelyre az gyfl azokat a csomagokat kldi el, amelyeket maga nem tud kzvetlenl kzbesteni
(vagyis nincsenek a sajt alhlzatban). Az ilyen csomagok tovbbtsa az alaprtelmezett tjrknt megadott lloms feladata.
DNS-kiszolglk (DNS Servers) az gyfeleken belltand DNS-kiszolglkat adhatjuk itt meg.
DNS-tartomnynv (DNS Domain Name) a DHCP-gyfelek nvfeloldsi folyamata sorn hasznlhat DNS-tartomnynv.
WINS-csomponttpus (WINS/NBT Node Type) a NetBIOS-nvfelolds mdja (4 varici van).
WINS-kiszolglk (WINS/NBNS Servers) a DHCP-gyfelek ltal

hasznlhat WINS-kiszolglk IP-cmei.
A DHCP-kiszolgl az gyfeleinek brbe adhat cmeket egy ltalunk

elre belltott cmtartomnybl, az gynevezett hatkrbl (scope) veszi. A hatkr teht a DHCP-szolgltatst hasznl alhlzat szmtgpeihez tartoz IP-cmek csoportja. A DHCP-szolgltats belltsa
Hlzati szolgltatsok
sorn minden egyes fizikai alhlzat szmra ltre kell hoznunk egy
hatkrt, ennek klnfle tulajdonsgait belltva hatrozhatjuk meg
az adott hatkrbl IP-cmet brl gyfeleknek tnylegesen elkldend
paramtereket. A hatkrk ltrehozsakor a kvetkez tulajdonsgokat kell belltanunk:
Address Pool (cmkszlet) a cmkszlet hatrozza meg a

DHCP-szolgltats cmbrleti szolgltatshoz hasznlhat, s
az abbl kizrt IP-cmek tartomnyt.
4.21. bra: A DHCP konzol a hatkr bellthat tulajdonsgaival
A hatkrn bell azokbl az IP-cmekbl kell kizrsi tartomnyt ltrehoznunk, amelyeket a DHCP-kiszolglnak nem
szabad felajnlania az gyfelek rszre. A kizrt IP-cmek termszetesen hasznlhatk a hlzaton, de ezeket kzzel kell belltanunk azokon az llomsokon, amelyek nem veszik ignybe a
DHCP-szolgltatst. Statikus IP-cmet kell hasznlnunk pldul
magn a DHCP-kiszolgln, a DNS-kiszolgln, a tartomnyvezrlkn, a hlzati nyomtatkon stb. Ezeket a cmeket felttlenl zrjuk ki a DHCP-kiszolgl ltal kioszthat cmek kzl.
Subnet Mask (alhlzati maszk) az IP-cmek alhlzatt hatrozza meg.
Lease Duration (brleti idtartam) az az idintervallum

(alaprtelmezs szerint nyolc nap), ameddig a dinamikus cmeket brl DHCP-gyfelek a kiosztott cmeket megjts nlkl
hasznlhatjk.
235
4.22. bra: A hatkr cmkszletnek meghatrozsa
DHCP Options (DHCP-opcik) a DHCP-gyfeleknek elkldtt valamennyi TCP/IP-paramter.
Reservations (fenntartsok) a fenntartsok biztostjk, hogy

egy-egy adott DHCP-gyfl mindig ugyanazt az IP-cmet kapja
meg. Fenntartott cm hasznlatra olyan gpeken van szksg,
amelyeknek fix IP-cmmel kell mkdnik, de mgsem szeretnnk statikus belltst hasznlni, hogy a tbbi paramtert kzpontilag llthassuk be. A fenntartott IP-cm belltshoz az
gyflgpen semmi teendnk nincs, viszont a DHCP-kiszolgln
meg kell adnunk a fenntartott cmet ignyl lloms fizikai cmt (MAC-address).
Hogy megtudhassuk egy csatol MAC-cmt, szerencsre nem kell felttlenl odamennnk a krdses szmtgphez. Ha megpingeljk az adott gpet, akkor annak MAC-cme bekerl az ARPprotokoll (Address Resolution Protocol) helyi gyorsttrba (s kerek kt percig ott is marad),
gy kirathat az arp a parancs segtsgvel. Sajnos, azonban ez a mdszer csak az els routerig
mkdik, mivel az tvlasztk csereberlik az Ethernet keretekben tallhat MAC-cmeket.
236
Hlzati szolgltatsok
Ha j fenntartott cmet szeretnnk definilni a kiszolgln, akkor ellenriznnk kell, hogy az adott cmre van-e mr rvnyes
brlet, ugyanis a fenntarts ltrehozsa nmagban nem szabadtja fel a mr kiadott IP-cmet. Ha a cm mr hasznlatban van,
akkor vagy ki kell vrnunk a brleti id lejrtt, vagy az gyflgpen ki kell adnunk az ipconfig /release parancsot. Hiba hozzuk ltre a fenntartst, az adott gyfl csak akkor kapja azt meg
tnylegesen, ha maga kri, a DHCP-kiszolgl nem fogja kezdemnyezni semmifle cm kiadst. j cm krshez az gyflgpen az ipconfig /renew parancsot kell kiadnunk.
A fenti listban mr tallkozhattunk a DHCP-kiszolgl ltal elkldtt paramtereket meghatroz DHCP-opcik megadsval, azonban ezeket nem
csak a hatkrben, hanem sszesen ngy klnbz szinten is megadhatjuk:
Server Options (Kiszolgl belltsai) az itt megadott belltsok a

DHCP-kiszolgln definilt valamennyi hatkrre vonatkoznak, vagyis
minden gyfl meg fogja kapni azokat.
Scope Options (Hatkr belltsai) az itt megadott belltsok egy

adott hatkrn belli cmbrletet megszerz valamennyi gyflre vonatkoznak.
4.23. bra: A hatkrhz tartoz szmtgpekre kldend paramterek belltsa
237
Class Options (Osztly belltsai) ezek a belltsok csak azokra az

gyfelekre vonatkoznak, amelyeket egy cm megszerzsekor a kiszolgl egy adott felhasznli vagy forgalmazi osztly tagjaknt azonostott. A DHCP-osztlyokkal kapcsolatos tudnivalkrl ksbb mg rszletesen szt ejtnk.
Reservation Options (Fenntartott cm belltsai) az itt megadott

belltsok csak arra az egyetlen gyflgpre vonatkoznak, amely az
adott fenntartott cmet kapja.
A klnbz szinteken megadott belltsok rkldnek is az als szintek fel, de

tkzs esetn mindig a ksbb megadott paramter gyz a fenti sorrend szerint.
A DHCP-szolgltats belltst teht a kvetkez mdon kell megtennnk. A DHCP-konzolban ltrehozunk egy j hatkrt s belltjuk a:
kioszthat s a kizrt cmeket,
a cmek rvnyessgnek intervallumt,
a fenntartott cmeket,
az gyfeleknek kldend valamennyi opcit.
Ezutn mg aktivlnunk kell a hatkrt s (majdnem) kszen is vagyunk.

Amennyiben Active Directory krnyezetben hasznljuk a DHCP-kiszolglt,
egy engedlyeztetst (Authorize) is el kell vgeznnk, ugyanis a DHCP-kiszolglrl az Active Directory cmtr is tudni szeretne. Az engedlyezst csak a
cmtrban definilt Enterprise Admins (Vllalati rendszergazdk) csoport tagjai vgezhetik el a klnfle kalz DHCP-szolgltatsok zavar hatsa elleni
vdekezsl. Alaprtelmezs szerint a csoportnak egyetlen tagja van, mgpedig
az eredeti, beptett Administrator (Rendszergazda) felhasznli fik.
A DHCP-kiszolgl szmra nhny tovbbi fontos paramtert is meg kell
adnunk (ezek a belltsok minden hatkrre vonatkoznak). Ha a kiszolgl
tbb hlzati csatolval is rendelkezik, akkor kivlaszthatjuk, hogy melyik
csatoln keresztl vlaszoljon a DHCP-gyfelek krseire, s a kiszolgl tulajdonsglapjn megadhatjuk a DHCP- s DNS-szolgltats egyttmkdst
befolysol paramtereket is. A rgebbi gyflrendszerek (Windows 2000
eltt) nem kpesek a dinamikus DNS-bejegyzsek ltrehozsra, de megfelel
bellts esetn a cmeket kiad DHCP-kiszolgl megteheti ezt helyettk.
Alaprtelmezs szerint a DHCP-kiszolgl csak akkor prblkozik a kiadott
cmek bejegyzsvel, ha az gyfl ezt kifejezetten kri, a rgi gyflrendszerek viszont nem tudnak errl a lehetsgrl, gy ha szksges, be kell lltanunk, hogy az bejegyzseiket a kiszolgl krs nlkl is elksztse.
238
Hlzati szolgltatsok
A DHCP-kiszolgl szolgltatsait ignybe venni kvn szmtgpeken

semmifle belltsra nincsen szksg, mivel a Windows opercis rendszerek alaprtelmezs szerint DHCP-gyflknt kezdik plyafutsukat.
A belltsosztlyok
A belltsosztlyok tovbbi lehetsget knlnak, arra, hogy egy hatkr
gyfeleit csoportokba rendezzk, s az egyes csoportok szmra klnbz
bellts-kszleteket hatrozzunk meg.
A belltsosztlyok a kvetkez kt tpusba sorolhatk:
Felhasznli osztlyok (User Classes) a felhasznli osztlyokat

teljesen egynileg definilhatjuk, de ehhez az gyflgpeken egyesvel
meg kell hatroznunk, hogy a gp melyik felhasznli osztly tagja legyen. A felhasznli osztlyokkal teht a hasonl DHCP-belltsokat
ignyl gyfelekhez rendelhetjk hozz a megfelel belltsokat.
Szllti osztlyok (Vendor Classes) A szllti osztlyok segtsgvel azonos szllti tpussal (opercis rendszerrel) rendelkez gyfelekhez rendelhetk specilis belltsok.
A felhasznli osztlyokat a DHCP-kiszolgln kell ltrehoznunk, s minden

osztlyhoz meg kell adnunk egy osztlyazonostt, ami alapjn a kiszolgl
majd megismeri az adott osztlyhoz tartoz gyfeleket. Termszetesen minden gyflnek is ismernie kell sajt osztlynak (csoportjnak) azonostjt,
ezt az ipconfig /setclassid parancs hasznlatval llthatjuk be az egyes hlzati csatolkra vonatkozan. Az azonost segtsgvel teht az egy hatkrn
belli, hasonl konfigurcit ignyl gyfelek csoportostst vgezhetjk el.
A felhasznli osztlyok hasznlatra akkor lehet szksg, ha az gyflgpek meghatrozott csoportjai a szoksostl bizonyos mrtkig eltr belltsokat (pldul rvidebb cmbrleti idt, vagy msik DNS-kiszolglt) ignyelnek.
Miutn az gyflgpeken megtettk a szksges belltst (vagyis meghatroztuk, hogy az adott gyflgp melyik DHCP-osztlyhoz tartozik), a DHCPkiszolglhoz val csatlakozs utn a hatkrk szmra megadott belltsokon kvl az osztly szintjn definilt paramterek is eljutnak hozzjuk.
A szllti osztlyok szerint azok a DHCP-gyfelek kaphatjk meg paramtereiket, amelyek a cmbrlet megszerzsekor a DHCP-kiszolglnak kldtt zenetben a szllttpusuk szerint azonostjk magukat. A Windows Server 2003
DHCP-kiszolgljn pldul rendelkezsre ll a Microsoft Options, vagy a Microsoft Windows 2000 Options szllti osztly. Ennek segtsgvel a Microsoft
opercis rendszerek, illetve ezen bell a Windows 2000 rendszerek a tbbi szmtgphez kpest eltr belltsokat kaphatnak a DHCP-kiszolgltl.
239
W2K-gyfl
W2K-gyfl
gyfl2
gyfl2
A konfig (szllti)
B konfig (felhasznli)
DHCP-kiszolgl
DHCP-kiszolgl
C konfig (felhasznli)
gyfl3
gyfl3
4.24. bra: Az gyfelek osztlyuknak megfelel belltsokat kaphatnak
Az LMHOSTS-fjl s a WINS-kiszolgl
A Windows opercis rendszerek korbbi verzii (Windows 2000 eltt) a NetBIOS-neveket hasznljk a hlzaton elrhet szmtgpek s egyb megosztott erforrsok azonostsra. Ezekben a rendszerekben a NetBIOS-nevek
hasznlata a hlzati szolgltatsok elrsnek alapfelttele.
A WINS-kiszolgl teleptse s belltsa
Ebben a screencastban a NetBIOS-nvfelolds biztostsra kpes WINS-kiszolgl teleptsvel
s belltsaival ismerkednk meg.
Fjlnv: II-1-2bWINS-kiszolgalo.avi
A NetBIOS-nvtr egyetlen szintbl ll, ami azt jelenti, hogy a nvtrben tallhat valamennyi nvnek egyedinek kell lennie, a NetBIOS-nevek pedig maximlisan 16 karakter hosszak lehetnek. A NetBIOS munkamenetek minden
esetben kt nvvel azonostott erforrs kztt jnnek ltre, de kt erforrs
kztt egy idben csak egyetlen NetBIOS-munkamenet lehet. A tovbbi fjl-,
vagy nyomtatmegosztsi kapcsolatok ugyanazon a munkameneten osztoznak.
A NetBIOS-neveket hasznl erforrsok azonostsa szrt (broadcast)
zenetek hasznlatval lehetsges, gy meglehetsen nagy hlzati forgalommal jr. A hlzati forgalom cskkentshez valamilyen mdon trolnunk
kell a nevek s cmek sszerendelst, s ezt az adatbzist elrhetv kell
tennnk a hlzaton. A NetBIOS-nevek s IP-cmek sszerendelsnek nyilvntartsra a Windows-rendszerekben kt mdszer ll rendelkezsre:
240
LMHOSTS-fjl hasznlata
WINS-kiszolgl (Windows Internet Name Service) hasznlata
Hlzati szolgltatsok
Az LMHOSTS a %SYSTEMROOT%\System32\Drivers\Etc mappban tallhat, illetve nem tallhat, mivel a mintaknt kapott fjl neve lmhosts.sam. A fjlt
a megfelel mdostsok utn a megfelel tnevezssel kell lestennk. A fjlban megadhatunk egy msik (tetszleges nev) kzpontilag trolt lmhosts fjlt
is, gy megvalsthat a teljes hlzat szmra egyetlen, kzpontilag karbantartott lmhosts fjl hasznlata is. Az lmhosts-fjl azonban mg ebben az esetben is kzi feltltst ignyel, vagyis csak egszen kis hlzatokban ajnlhat.
Teljesen alkalmatlan pldul a DHCP-szolgltatssal val egyttmkdsre,
minden szmtgpen statikus IP-belltsokat kell hasznlnunk.
A WINS-kiszolgl a hlzaton hasznlt szmtgpekhez s csoportokhoz
tartoz NetBIOS-nevek s IP-cmek sszerendelseinek regisztrlshoz s lekrdezshez biztost dinamikusan felpthet, elosztott adatbzist. A WINSkiszolgl teljesen automatikusan pti fel a nvszolgltats biztost adatbzist, s lehetsg van a kiszolglk kztti replikcira is, gy gyakorlatilag
brmilyen mret rendszerben hasznlhat. A kzponti adatbzis jelentsen
cskkenti a NetBIOS-nevek hasznlatval egytt jr szrt zenetek szmt,
s a dinamikusan frissl adatbzis miatt nem ignyel statikus IP-cmeket.
A WINS-kiszolgl teht kezeli a WINS-gyfelek nvregisztrcis krelmeit, regisztrlja neveiket s IP-cmeiket, s vlaszol az gyfelek ltal benyjtott NetBIOS-nvkrdsekre, vagyis visszakldi a lekrdezett nvhez
tartoz IP-cmet, amennyiben az szerepel az adatbzisban.
4.25. bra: A WINS-szolgltats adatbzisa
A WINS-kiszolgl felgyeletvel a legtbb esetben nincsen sok gond, a telepts utn a szolgltats gyakorlatilag teljesen automatikusan mkdik. Tiszta
Windows Server 2003 tartomnyokban tulajdonkppen nincsen r szksg, mivel itt a nvfelolds alaprtelmezs szerint a DNS-szolgltatson alapul, de
tartalk mdszerknt azrt alkalmanknt j szolglatot tehet, s bizonyos specilis alkalmazsok is megkvetelhetik a NetBIOS-nvfelolds hasznlatt.
241
Az RRAS-infrastruktra
A Routing and Remote Access Server (RRAS, tvlaszts s tvelrs) kpes
biztostani azt, hogy kls eszkzkrl (internet, msik hlzat, mobil eszkzk stb.) csatlakozhassunk a vllalat hlzathoz. A kapcsolds analg telefonvonal, ISDN, ADSL, vagy az interneten keresztl megvalstott VPN-kapcsolat segtsgvel is lehetsges. A tvoli felhasznlk ppen gy dolgozhatnak, mintha szmtgpk fizikailag csatlakozna a hlzatra. A tvelrs
kapcsolatok szmra engedlyezett minden olyan szolgltats, amely a LANkapcsolattal rendelkez felhasznlk szmra szoksosan elrhet (pldul
fjl- s nyomtatmegoszts, levelezs stb.), s az erforrsok kezelsre a helyi hlzatokban megszokott eszkzk hasznlhatk.
Az RRAS tovbbi fontos szolgltatsa, hogy szoftveres tvlasztknt, illetve tjr-kiszolglknt kpes mkdni, gy lehetsget nyjt a kls s
bels hlzatok rugalmas sszekapcsolsra. Az internet hasznlatval megvalstott kapcsolatok biztonsgt a PPTP, L2TP s IPSec protokollok tmogatsa biztostja. A kvetkezkben megismerkednk a RRAS klnfle kpessgeivel s az alkalmazott protokollok mkdsvel.
tvlaszts s tvelrs (RRAS) s a virtulis magnhlzatok
Ebben a screencastban felteleptjk s belltjuk a Windows Server 2003 RRAS-komponenst,
majd VPN-kiszolglt ptnk s aztn az gyflrl ki is prbljuk.
Fjlnv: II-1-2cRRAS-infrastruktura.avi
Az RRAS kpessgei
Az RRAS a kvetkez szolgltatsokat nyjthatja a hlzat szmra:
242
Tvoli elrs (Remote access) Az RRAS hasznlatval a felhasznlk tvolrl kapcsoldhatnak a vllalati hlzathoz betrcszs kapcsolaton (dial-up connection), illetve VPN (virtulis magnhlzat) hasznlatval az interneten keresztl.
Hlzati cmfordts (Network address translation, NAT) vagyis az

RRAS a privt IP-cmmel rendelkez gpek szmra biztosthatja az
internet elrst, s ezzel kapcsolatban alapfok tzfal szerepkr betltsre is kpes. A Network Address Translation (hlzati cmfordts)
lehetv teszi, hogy a bels hlzatra kttt, privt IP-cmmel rendelkez gpek tetszleges protokollokon keresztl elrjk az internetet.
A hlzati cmfordtst vgz szmtgpben kt hlzati csatolra van
szksg, az egyiknek a bels hlzat fel nz privt cmmel, a msik-
Hlzati szolgltatsok
nak pedig az internethez val kzvetlen kapcsoldst biztost publikus

cmmel kell rendelkeznie. A bels hlzaton lv gpek internetes adatforgalomra vonatkoz krseit a hlzati cmfordtst vgz kiszolgl
fogadja, s a berkez csomagokat az internetre tovbbts eltt gy
mdostja, hogy azok feladjaknt a sajt publikus IP-cmt tnteti fel.
gy a csomagok mr akadlytalanul eljuthatnak cmzettjkhz. A vlaszzenetek (mivel a csomagok feladja a kiszolgl volt) szintn hozz rkeznek be, ezekben most a cmzett mezt kell mdostania a megfelel privt cmre, hogy az eredeti felad megkaphassa azt. A NATszolgltatst hasznl gyflgpek semmit nem tudnak a csereberrl,
vagyis az gyfeleken semmifle belltsra nincs szksg.
DHCPkiszolgl
Network Access
Server azaz pl. az
RRAS
Wireless
Network
Tartomnyvezrl
VPN
gyfl
IAS Server
(RADIUS)
Dial-up
gyfl
Fikiroda
szoftveres
VPN
Fikiroda
hardveres
VPN
4.26. bra: Az RRAS segtsgvel megvalsthat kapcsolatok
Telephelyek kztti kapcsolatok (Site-to-Site connections) az

RRAS hlzatok kztt kapcsolatok megvalstsra is kpes, trcszs s VPN (lland, illetve igny szerint trcsz [Dial on Demand,
DoD)] kapcsolds felhasznlsval.
LAN-tvlaszt (LAN router) tbb Ethernet csatol esetn a bels

hlzat szegmensei kztti tvlaszt funkci megvalstsa is lehetsges az RRAS hasznlatval.
243
4.27. bra: Az RRAS szmos kpessggel rendelkezik
Termszetesen a fenti listbl nem csak egy ttelt vlaszthatunk, az RRAS

brmifle kombinciban kpes biztostani az emltett szolgltatsokat. Az
RRAS hasznlatval elrhet teljestmny (vagyis a megfelel vlaszidvel
kiszolglhat kapcsolatok maximlis szma) szmos tnyeztl fgg, de megfelel hardver s konfigurci hasznlatval az RRAS kpes lehet a kzepes
kategrij hardveres megoldsok helyettestsre.
Az RRAS-szolgltats alaprtelmezs szerint az opercis rendszer teleptsvel egytt felkerl a szmtgpre, de ekkor mg teljesen kikapcsolt llapotban van. Hasznlat eltt, az engedlyezssel egytt nhny belltst is
meg kell adnunk, pldul ki kell vlasztanunk, hogy a RRAS mely funkciit
szeretnnk hasznlni.
Tvelrsi hzirendek
Hiba lestettk azonban a kiszolglt, a tvoli gyfelek kapcsoldsa mg mindig nem lehetsges, mivel a tvelrsi hzirendek (Remote Connection Policies)
alaprtelmezs szerint semmifle kapcsolatot nem engednek meg. A kapcsolatok
engedlyezsvel egytt azonban clszer mindjrt ttekinteni a lehetsges belltsokat, s az ppen elgsges szintre korltozni a kapcsolds lehetsgt.
Clszer pldul megadni azt a tartomnyi, vagy helyi csoportot, amelynek engedlyezni szeretnnk a tvoli hozzfrst.
244
Hlzati szolgltatsok
Szmos ms korltozs megadsra is mdunk van, szablyozhatjuk az

resjrati kapcsolatok bontst, megadhatjuk azt az idszakot, amikor a kiszolgl hajland kapcsolatok fogadsra stb. Ugyancsak a hzirendekben
kell belltanunk a csomagszrst, valamint a hitelestsre s a titkostsra
vonatkoz paramtereket.
4.28. bra: A tvelrsi hzirend belltsa
Ha tbb tvelrs-kiszolglt zemeltetnk, akkor clszer lehet a kzs hzirendek hasznlata. A Windows Internetes hitelestsi szolgltatsa (Internet
Authentication Service, IAS) RADIUS-kiszolglknt hasznlhat, gy kzpontostott kapcsolat-hitelestst s -engedlyezst tesz lehetv a telefonos s VPN
tvelrs, az tvlasztk kztti kapcsolatok, valamint a vezetknlkli hlzatok hozzfrsi pontjai (WLAN Acces Points) szmra. A RADIUS a Remote
Authentication Dial-In User Service protokoll rvidtse.
Ha a tvelrs-kiszolglt RADIUS-hitelests hasznlatra lltjuk be, akkor a rajta trolt tvelrsi hzirendek helyett a rendszer az IAS-kiszolgln
tallhat hzirendeket fogja hasznlni.
245
4.29. bra: A tvoli hozzfrs tulajdonsgainak egy rsze a felhasznl oldalrl

szablyozhat
RRAS-belltsok a cmtrban
A tvoli elrssel kapcsolatos paramterek egy rszt a hozzfrsi hzirend
mellett, a felhasznlk oldalrl a cmtrban (Active Directory) is meghatrozhatjuk. A tartomnyi felhasznlk tulajdonsglapjnak Dial-in (Behvs)
fln meghatrozhatjuk, hogy az adott felhasznlnak legyen-e lehetsge a
tvoli kapcsoldsra, illetve megadhatjuk azt is, hogy a jogosultsg szablyozst a tvelrsi hzirendre bzzuk. Ugyanitt llthatjuk be az adott felhasznlhoz hozzrendelend statikus IP-cmet, s a csatlakoz szmtgp
tvlasztsi tbljt (routing table) is kiegszthetjk az itt megadott bejegyzsekkel. Engedlyezhetjk a betrcszs kapcsolaton keresztl rkez felhasznlk visszahvst (ekkor a cg fizeti a telefonszmlt), illetve megadhatjuk azt a telefonszmot, amelyrl az adott felhasznl szmra engedlyezzk a csatlakozst.
246
Hlzati szolgltatsok
Connection Manager (Csatlakozskezel)

A Csatlakozskezel sokoldalan paramterezhet trcsz s kapcsolatfelvteli szoftver, amelynek segtsgvel az gyfelek telefonos vagy VPN-kapcsolat
kiptsvel csatlakozhatnak az RRAS-kiszolglhoz. A Csatlakozskezel
felgyeleti csomag (Connection Manager Administration Kit, CMAK) segtsgvel a rendszergazdk olyan, a Csatlakozskezel programra pl csomagokat hozhatnak ltre, amelyek tartalmazzk azokat az egyedi paramtereket, amelyekre a hlzathoz val csatlakozshoz szksg van.
4.30. bra: Az elre gyrtott trcsz csak a felhasznlnvre s a jelszra kvncsi

(esetleg mg arra se)
A csomag rszeknt rengeteg informci automatikusan eljuthat az gyflhez, st olyan belltsokat is megtehetnk, amelyekre a kzi kapcsoldsnl egyltaln nincs lehetsg.
Egyedi feliratokat krhetnk a csatlakozskor megjelen ablakba, sgfjlt
s klnfle telefonszmokat kldhetnk az gyfeleknek, megadhatjuk a kapcsoldskor belltand TCP/IP paramtereket, elrhatunk biztonsgi belltsokat, a kapcsolds klnbz fzisaiban szkripteket indthatunk stb.
247
A varzsl segtsgvel ltrehozott, testre szabott teleptcsomagot (ez tulajdonkppen egy exe fjl) az gyfeleknek eljuttatva (pldul egy webes letlts formjban), a felhasznlknak nem kell megadniuk a csatlakozshoz
szksges klnfle paramtereket, mivel ezeket a csomag mr tartalmazza,
s elvgzi az gyflgp szksges belltsait.
Alaprtelmezs szerint a csomagkszt varzsl nincs felteleptve, de ezt
knnyen ptolhatjuk az Add or Remove Programs (Programok hozzadsa
vagy trlse) eszkz segtsgvel. A telept a Windows komponensek kztt
lv Management and Monitoring Tools (Kezelsi s figyelsi eszkzk) csoportbl indthat.
Telefonos kapcsolds
A telefonos kapcsolds azt jelenti, hogy a tvoli gyfl valamifle kapcsolt vonalon megvalsul telekommunikcis szolgltats (pldul analg telefonvonal,
ISDN-vonal, vagy X.25 rendszer) segtsgvel korltozott ideig fennll kapcsolatot ltest a tvelrs-kiszolgln lv valamelyik fizikai porttal. Tipikus plda
ilyen kapcsolatra, az analg telefonvonalra modemmel kapcsold gyfl, aki a
tvelrs-kiszolgl egyik fizikai portjhoz tartoz telefonszmot hv.
Az analg telefonvonalon vagy ISDN-kapcsolaton keresztl megvalsul
hlzati kapcsolat az gyfl s a kiszolgl kztti kzvetlen fizikai kapcsolatot jelenti, gy nincs felttlenl szksg az tvitt adatok titkostsra.
VPN-kapcsolatok
A virtulis magnhlzat (Virtual Private Network, VPN) a helyi hlzat
olyan kiterjesztse, amely megosztott vagy nyilvnos hlzatokon (pldul az
interneten) keresztli titkostott kapcsolatokat tartalmaz. VPN-kapcsolat
hasznlatval gy kldhetnk adatokat kt szmtgp kztt megosztott
vagy nyilvnos hlzaton keresztl, mintha a kt gp kzvetlen kapcsolatban
lenne egymssal. A VPN-kapcsolatot kipt szmtgp, gyakorlatilag a bels
hlzat rsze lesz (a hlzaton belli privt IP-cmet kap akkor is, ha az interneten keresztl csatlakozik), s hozzfrhet minden olyan szolgltatshoz
(pldul fjlmegosztsok, DNS-kiszolgl, cmtr stb.), amelyek a vllalat
tbbi szmtgpe szmra elrhetek.
A kzvetlen kapcsolat emullsa rdekben az tvitt adatokhoz hozzfzdik egy fejlc (ezt a mveletet nevezzk begyazsnak), amely a vgpont megosztott vagy nyilvnos hlzaton keresztl trtn elrshez szksges tvonalra (ezt nevezzk VPN-alagtnak) vonatkoz informcikat tartalmazza.
A VPN-kapcsolatokon tvitt adatok biztonsgi szempontok miatt minden esetben titkostva vannak, gy a titkost kulcsok nlkl az esetlegesen elfogott
csomagok megfejthetetlenek.
248
Hlzati szolgltatsok
A mobil, illetve az otthon dolgoz felhasznlk VPN-kapcsolatok segtsgvel nyilvnos hlzatokon keresztl tudnak tvelrs kapcsolatot ltesteni
vllalatuk tvelrsi-kiszolgljval. A felhasznl szempontjbl a VPN-kapcsolat kzvetlen kapcsolatknt jelenik meg a szmtgpe (a VPN-gyfl) s a
VPN-kiszolgl virtulis portjai (s gy a bels hlzat) kztt. VPN-kapcsolatok hasznlata esetn az egyidej hozzfrsek szmt csak a kiszolgl erforrsai korltozzk (meg persze a vllalat internetkapcsolatnak svszlessge).
A megosztott vagy nyilvnos hlzat pontos infrastruktrja lnyegtelen,
mert az adatok logikailag egy lland sszekttets kapcsolaton keresztl
kzlekednek.
VPNkiszolgl
VPN-alagt
Bjtat protokollok
s adatok
PPP-kapcsolat
VPN-gyfl
Tartomnyvezrl
Hitelests
DHCPkiszolgl
Az tviv
hlzat
IP s DNS-kiszolgl
hozzrendels
4.31. bra: VPN-infrastruktra
A VPN-kapcsolatok segtsgvel a szervezetek fldrajzilag klnll irodkkal,

vagy ms szervezetekkel is ltesthetnek kapcsolatot nyilvnos hlzaton keresztl gy, hogy a kommunikci biztonsgos maradjon. Az interneten keresztli VPN-kapcsolat logikailag gy mkdik, mintha lland sszekttets
WAN-kapcsolat (pldul brelt vonal) lenne. Ha pldul mindkt telephely lland kapcsolattal csatlakozik az internethez, a kapcsoldst kezdemnyez
gyfl telephelynek VPN-kiszolglja automatikusan felpti a virtulis kapcsolatot s elrhetv teszi a msik telephely hlzatt, mghozz olyan mdon,
hogy az gyflgpek (s a felhasznlk) ebbl semmit nem vesznek szre. Ebben az esetben a VPN-kiszolglk egyben tvlasztknt is mkdnek, vagyis
biztostjk a mgttk lv teljes hlzat elrst a msik fl szmra. Termszetesen nem szksges, hogy mindkt oldalon RRAS legyen a VPN-kiszolgl,
hasznlhatak a hardveres megoldsok (pldul egy ADSL router) is.
249
A fizikai kapcsolatot jelent telefonos hlzattal szemben, a virtulis magnhlzat mindig logikai, kzvetett kapcsolat a virtulis magnhlzati gyfl s a kiszolgl virtulis portja kztt, gy VPN-kapcsolatok esetn a biztonsgos tvitelhez az adatok titkostsra van szksg.
VPN-protokollok
A PPP (Point-to-Point Protocol) olyan szabvnyos protokollkszlet, amely lehetv teszi a tvelrst biztost klnfle szoftverek egyttmkdst. A PPP
hasznlatra kpes szoftverek kpesek minden olyan hlzathoz csatlakozni,
amely szabvnyos PPP-kiszolgln keresztl rhet el.
A PPP tbb LAN-protokoll becsomagolsra is kpes, gy hlzati protokollknt a TCP/IP s az IPX is hasznlhat. Vlaszthatunk tbb klnfle hitelestsi mdszer kzl, adataink pedig tmrtett s titkostott formban is
tvihetk. A PPP az alapja az RRAS ltal a biztonsgos VPN-kapcsolatok ltrehozshoz hasznlt PPTP s L2TP protokolloknak.
250
PPTP (Point-to-Point Tunneling Protocol, pontpont alagtprotokoll) a PPTP a PPP (Point-to-Point Protocol) kiterjesztseknt meghatrozhat alagtprotokoll. A PPTP-protokoll hasznlatt a Windows
9x-tl kezdve valamennyi Windows opercis rendszer tmogatja (br a
rgebbi rendszerek esetn kln kell letlteni s telepteni). A PPTPprotokoll begyazza (vagyis hozzfzi a sajt fejlct) s titkostja az
tviend PPP-keretet az MPPE (Microsoft Point-to-Point Encryption,
128-bites RC4) titkosts hasznlatval az MS-CHAP, az MS-CHAP v2
vagy az EAP-TLS hitelestsi eljrsbl generlt titkost kulcsok segtsgvel. Az EAP-TLS hitelestsi eljrs a SmartCard-alap hitelestst is lehetv teszi. A PPTP-protokoll egyszeren NAT-olhat (ez
akkor lehet fontos, ha pldul az RRAS mgl szeretnnk kifel VPNkapcsolatot ltrehozni), bezemelse egyszer, hasznlata pedig megfelel biztonsgot nyjt.
L2TP (Layer Two Tunneling Protocol, msodik rtegbeli alagtprotokoll) az L2TP szintn a PPP-keretek begyazsra kpes, de ebben
az esetben a titkostsi szolgltatsok a hlzati adatok biztonsgos tvitelre szolgl IPSec-protokollon alapulnak. Az L2TP s az IPSec kombincija L2TP/IPSec-protokollknt ismert. A VPN-gyflnek s a kiszolglnak is tmogatnia kell az L2TP s az IPSec-protokollt, vagyis az
L2TP hasznlata Windows 2000 s 2003 Server kiszolglk s Windows
2000/XP/Vista gyfelek szmra lehetsges. Az IPSec tanstvny alap
hitelestst hasznl, gy az L2TP alkalmazshoz teljes PKI-infrastruktrra, vagyis tanstvnykiad szolgltatsra (esetleg a jval kevsb
Hlzati szolgltatsok
biztonsgos elre megosztott kulcson (pre-shared key) alapul hitelestsre) van szksg, ezrt bezemelse lnyegesen bonyolultabb, viszont a
tanstvny alap hitelests hasznlatval fokozottan biztonsgos. Tovbbi nehzsget jelenthet az, hogy a IPSec nem NAT-olhat (mivel a
NAT-kiszolgl mdostja a csomagok fejlceit, amit az IPSec integritsvdelme nem enged meg), csak a NAT-Traversal technolgia hasznlatval. A NAT-T mkdse azon alapul, hogy a VPN-forgalom UDP-csomagok kpben utazik, ezek fejlceit a NAT-kiszolgl mr minden tovbbi nlkl mdosthatja.
VPN-karantn
A VPN-kapcsolatok hasznlatnak szmos elnye mellett van egy slyos htrnya is. A felhasznlk szmra nagyon j, hogy brhonnan, egyszeren s
biztonsgosan elrik a vllalat hlzatt, a rendszergazda szmra viszont a
brhonnan kifejezs komoly fejtrst okozhat. A brhonnan ugyanis jelentheti
pldul kedves kollgnk otthoni szmtgpt is, amin a gyerekek sokat szoktak ugyan internetezni, de frisstve esetleg a mlt vezredben volt utoljra. Hogyan engedhetnk be a hlzatba egy olyan gpet, amin esetleg nincs tzfal,
nincs rendszeresen frisstett vruskeres, nincsenek javtcsomagok s csoporthzirend, viszont ezekbl kvetkezen nyilvn van rajta sok egyb rdekessg?
A VPN-karantn arra j, hogy elvrsainkat konkrt formban kzljk a
csatlakozni kvn szmtgpekkel, ha pedig nem teljestik a feltteleket,
akkor rvid ton megszakthatjuk velk a kapcsolatot. Csatlakozs utn
minden szmtgp a karantnban kezdi plyafutst, vagyis egy ersen korltoz hzirend (IP-szrk s munkamenet idztk) belltsai rvnyeslnek r. Pldul csak annyit rhet el a hlzatbl, ami a klnfle frisstsek
s egyb, a megfelel llapot elrshez szksges elemek letltshez szksges. Ekzben lefut rajta egy teljesen egyedileg sszellthat ellenrz
szkript, ami megvizsglja tetszleges programok, registry-kulcsok, fjlok
megltt, megfelel eredmny esetn feloldja a karantn korltozsait s a
szoksos tvelrsi hzirendet rvnyesti kapcsolatra. A VPN-karantn ltrehozshoz szksges eszkzk a Windows Server 2003 Resource Kit Tools
csomagban (http://tinyurl.com/6p6cy) tallhatk.
A csomagbl ngy fjlra lesz szksgnk: Rqs.exe (Remote Quarantine Server), Rqc.exe (Remote
Quarantine Client), Rqs_setup.bat (a Remote Access Quarantine Agent szolgltats teleptje (a
kiszolgln) s RqsMsg.dll (Remote Access Quarantine Agent Message). A csomag teleptse utn
clszer frissteni az RQS.exe-t a http://tinyurl.com/dc2u7 cmrl letlthet pldnnyal.
251
Terminlszolgltatsok s Tvoli asztal

A Windows Server 2003 Terminal Services (Terminlszolgltatsok) segtsgvel elrhetv tehetjk a Windows-alap alkalmazsokat, vagy a Windows Asztalt magt szinte brmilyen szmtgprl, mg azokrl is, amelyek nem Windows opercis rendszert futtatnak. A Terminlszolgltatsok csak a program
felhasznli fellett tovbbtja az gyflhez, az pedig a billentyzet- s az
egrmozgats jeleit kldi vissza a kiszolglra, maguk az alkalmazsok a kiszolgln futnak. A kiszolgl opercis rendszere a felhasznl szmra lthatatlanul, s egymstl fggetlenl kezeli az gyflmunkameneteket. A csatlakozshoz szksges gyflszoftver szmos hardvereszkzn futhat, belertve a
szmtgpeket s a Windows alap terminlokat. Egy kiegszt szoftver segtsgvel ms eszkzk, pldul Macintosh szmtgpek vagy UNIX alap
munkallomsok is csatlakozhatnak a terminlkiszolglhoz.
Tvoli asztal kapcsolatok s a Remote Desktops konzol
Ebben a screencastban engedlyezzk a kiszolglhoz val tvoli kapcsoldst s megismerkednk az elre belltott kapcsolatok kezelst megknnyt Remote Destops konzollal.
Fjlnv: II-1-2dRDP.avi
Terminlkiszolgl hasznlatval, a nagy adatmennyisggel dolgoz alkalmazsokat is futtathatjuk korltozott svszlessget biztost krnyezetben (telefonvonal vagy megosztott WAN-kapcsolat), mivel gy az adatok helyett csak
azok kpernyn megjelen kpt kell tvinnnk a hlzaton. A Terminlszolgltatsok (Terminal Services) hasznlata nem ignyel tl nagy svszlessget
(akr egy betrcszs kapcsolaton keresztl is hasznlhat), mivel a kpernykpek helyett a kpek ltrehozshoz hasznlt ablakrajzol parancsokat (GDI,
Graphical Device Interface) viszi t a Remote Desktop Protocol (RDP).
A terminlszolgltatsok kt klnbz zemmdban futtathat, br a klnbsg csak a licencfelttelekben van, az alkalmazott technolgia mindkt
esetben azonos:
252
Tvoli asztal (Remote Desktop) a tvoli asztal a terminlszolgltatsok tvfelgyeleti zemmdja, leginkbb arra szolgl, hogy a rendszergazdnak ne kelljen a hideg s huzatos szerverszobban ldglnie akkor sem, ha egszen komoly mttet kell elvgezni a kiszolgln. A szolgltats hasznlathoz nincs szksg teleptsre, egyszeren a Rendszer
(System) tulajdonsgpanel Tvoli hasznlat (Remote) lapjn engedlyezhetjk a tvoli asztalhoz val kapcsoldst. Ebben az esetben a Windows
Server 2003 kt prhuzamos tvoli munkamenet fogadsra hajland, illetve csatlakozhatunk a konzol munkamenethez is (akr a gp eltt lve,
Hlzati szolgltatsok
akr tvolrl). A konzol munkamenethez azonban egy idben csak egyetlen felhasznl csatlakozhat, ha ezt egy tvoli munkamenet foglalja el,
akkor loklisan mr nem lehet a gpre bejelentkezni. Ez a szolgltats
gyflrendszerek esetben is hasznlhat (Windows XP s Vista), de ott
mindssze egyetlen kapcsolatra van lehetsg (a helyi munkamenettel
egytt), vagyis sajnos nem tudunk a felhasznl megzavarsa nlkl, vele prhuzamosan bejelentkezni az gyflgpekre.
Terminlkiszolgl (Terminal Server) a terminlkiszolgl zemmd csak kiszolgl opercis rendszereken hasznlhat, de ebben az
esetben a kapcsolatok szmt csak a megvsrolt gyfllicencek szma, s a szmtgp erforrsai korltozzk. A licenc kiszolgl bezemelsre s az gyfllicencek megvsrlsra 120 nap trelmi idt
kapunk. A Terminlszolgltatsok aktivlshoz a Terminal Server
komponenst kell felteleptennk a Programok teleptse s trlse (Add
or Remove Programs) varzsl segtsgvel.
4.32. bra: Az RDC 6.0 telepthet a Windows Server 2003-ra, s Windows XP-re is
A Terminlszolgltatsokhoz a Remote Desktop Users (Tvoli asztal felhasznli) biztonsgi csoport tagjai csatlakozhatnak, illetve tartomnyvezrl esetn figyelembe kell vennnk azt is, hogy alaprtelmezs szerint sem a Users,
sem pedig a Remote Desktop Users (Asztal tvoli felhasznli) csoport tagjai253
nak nincs helyi bejelentkezsi joga a kiszolglra, gy nem hasznlhatjk a

terminlkiszolglt sem. Tovbbi problmkat okozhat az a tny, hogy res
jelszval egyltaln nem lehet bejelentkezni terminl munkamenetbe, mg
akkor sem, ha a konzolon ez lehetsges.
A Terminlszolgltatsok gyflprogramjnak (Remote Desktop Connection,
RDC) 6.0-s, legjabb verzija szmos jdonsgot tartalmaz a korbbi kiadsokhoz kpest. Az RDC-program segtsgvel csatlakozhatunk a Windowskiszolglkon fut terminlszolgltatsokhoz, s az gyflgpek tvoli asztalhoz is. Windows XP s Windows Server 2003 esetn az gyflprogram 5.2-es
verzijval tallkozhatunk, de ezekre a rendszerekre is letlthet (az automatikus frissts segtsgvel is) a Vistban megjelent 6.0 vltozat is. A program az
mstsc.exe parancs bersval, illetve a Start menbl indthat.
Az gyflprogram s a kiszolgl kztt alaprtelmezs szerint 128-bites
ktirny RC4 titkosts vdi az adatokat, de ha nem tiltjuk le, lehetsges a
rgebbi, alacsonyabb titkostsi szintet biztost gyfelek csatlakozsa is.
A tvoli kapcsolatok klnfle opcii az Options (Belltsok) gomb segtsgvel rhetk el. A megnyl tulajdonsglapon megadhatjuk a bejelentkezssel, a megjelentssel, a helyi erforrsokkal s a munkamenet ltrehozskor automatikusan elindul programokkal kapcsolatos adatokat. Az RDC segtsgvel a felhasznlk s rendszergazdk elmenthetik s betlthetik a
kapcsolatok belltsait tartalmaz, rdp kiterjeszts fjlokat.
Az RDC-program segtsgvel szmos adattpus tirnytst megvalsthatjuk. Biztonsgi okokbl minden tirnyts az gyflen s a kiszolgln is
letilthat. Figyelmeztet zenet jelenik meg a fjlrendszerre, valamely portra,
vagy smart card-ra vonatkoz tirnytsi krelemkor; a felhasznl megszakthatja a kapcsolatot, vagy letilthatja az tirnytst.
A kvetkez tirnytsokat llthatjuk be:
254
Fjlrendszer Az gyfl meghajti (a hlzati meghajtk is) elrhetk a kiszolgli munkamenetbl. Az engedly egyszerre az sszes meghajtra vonatkozik, radsul alaprtelmezs szerint a kiszolgli munkamenetben Everyone > Full Control jogosultsggal jelennek meg az
gyflgp meghajti, gy az tirnyts hasznlathoz nmi vatossg
szksges.
Vglap Lehetsg van (csak RDP 6.0 esetn) a vglap megosztsnak engedlyezsre s tiltsra, vagyis ilyen mdon nagyon egyszeren
cserlhetnk szvegeket s kpeket a helyi gp s tvoli munkamenet
kztt. Fjlok tvitele viszont nem lehetsges a vglap hasznlatval.
Hlzati szolgltatsok
Portok Az gyfl soros portjai elrhetv tehetk a kiszolgli munkamenetbl, gy a kiszolgln fut szoftverek hozzfrhetnek az gyfl
bizonyos hardvereszkzeihez.
Nyomtatk Az gyfl valamennyi teleptett nyomtatja (a hlzati

nyomtatk is) elrhet a kiszolgli munkamenetbl (a Windows 2000
Terminlszolgltatsok csak a helyi nyomtatk tirnytst tette lehetv). Az tirnytott nyomtatk knnyen rtelmezhet nevet kapnak.
Hangok A hibazenetekhez kapcsold hangjelzsek, vagy pldul az j

elektronikus levl rkezst jelz hangok tirnythatk az gyfelekre.
Smart Card bejelentkezs A Windows-rendszer bejelentkezsi

adatait tartalmaz smart card hasznlhat a Windows Server 2003 tvoli munkamenetbe trtn bejelentkezshez is. A funkci hasznlathoz olyan gyfl rendszer szksges, amely nllan is kpes a smart
card kezelsre (Windows 2000, XP, Vista).
Windows billentykombincik Az gyfl a Windows billentykombincikat (Alt-Tab, Ctrl-Esc stb.) alaprtelmezs szerint tovbbtja a tvoli munkamenetnek. A Ctrl-Alt-Del billentykombincit azonban biztonsgi okokbl mindig az gyfl dolgozza fel, a kiszolgln a
Ctrl-Alt-End megnyomsval rhetjk el ugyanazt a hatst. Az tirnyts mkdik Windows 2000 terminlkiszolgl esetn is, de csak
NT-alap gyfl opercis rendszerrel (Windows 9x-el nem).
Idzna Az RDC-gyfl kpes az idznra vonatkoz adatok automatikus tadsra, illetve a felhasznlk manulisan is bellthatjk a
megfelel idznt. gy a klnbz idznban lv felhasznlk
egyetlen kiszolglt hasznlhatnak.
Nagyszm kapcsolat knyelmes kezelst biztostja a Remote Desktops

MMC-konzol, amelyet az Administrative Tools (Felgyeleti eszkzk) programcsoportbl indthatunk el. A konzolfhoz hozzadhatjuk a szksges kapcsolatokat, bellthatjuk azok tulajdonsgait, megadhatjuk a szksges felhasznlneveket s jelszavakat. A csatlakoztatott kiszolglk kpernykpe a
konzolon bell jelenik meg. A konzol a korbban mr emltett Administrative
Tools csomag (adminpak.msi) teleptse utn gyflgpeken is hasznlhat.
255
RDP over SSL

A Windows Server 2003 SP1 verzijban jelent meg az a lehetsg, hogy SSL
(Secure Socket Layer) protokollt hasznlhatunk az RDP-kapcsolds hitelestshez s az tvitt adatok titkostshoz. Az SSL-kapcsolat kiptshez azonban szksg van egy digitlis szmtgp-tanstvnyra, amit termszetesen
beszerezhetnk valamelyik elismert hitelests-szolgltattl vagy a vllalat
sajt PKI-infrastruktrjtl, de a SelfSSL.exe program hasznlatval nalrt
tanstvnyt is kszthetnk. (A SelfSSL.exe a http://tinyurl.com/27n8qs cmrl letlthet Internet Information Services (IIS) 6.0 Resource Kit Tools csomagban tallhat). Az elksztett (vagy megvsrolt) tanstvnyt (Certificate)
kivlasztva mr elrhet az SSL-bellts.
4.33. bra: Ha megadjuk a szksges tanstvnyt, akkor SSL hasznlatval is

kapcsoldhatunk a terminlkiszolglhoz
gyfloldalon az SSL-kapcsolat hasznlathoz Windows 2000, XP, illetve

Windows Server 2003 opercis rendszerre, s legalbb 5.2-es verzij RDPgyflre van szksg. Termszetesen az is szksges, hogy a kiszolgl tanstvnynak kibocstja, (illetve a kibocst root CA-ja) szerepeljen az gyfl
ltal hitelesnek tekintett tanstvny-szolgltatk kztt.
256
Tvoli asztal webkapcsolat (Remote Desktop Web Connection)

Az Internet Information Server (IIS) webkiszolgl komponensnek rszeknt
telepthet egy webes (ActiveX) terminlgyfl (nem felttlenl a terminlkiszolglra), amelynek segtsgvel olyan rendszerekrl is elrhetek a vllalat terminlkiszolgli, amelyekre nincs RDP-gyfl teleptve (nincsen pldul
Windows 2000 rendszeren sem). A webes gyfl persze nem igazi webes alkalmazs, a webes (http, vagy https) csatlakozs csak az ActiveX alap program
letltshez szksges, ami ezutn mr a szoksos (3389) RDP-porton kapcsoldik a kiszolglhoz, de nem tmogatja az RDP over SSL hasznlatt. Telepts utn az ActiveX-gyfl a http://server/tsweb cmen rhet el.
http://server/tsweb
bngsz
ActiveX control letltse

HTTP (80 / TCP)
HTTPS (443 / TCP)
TS
over RDP (3389 / TCP)
IIS +
RDWC
Terminal
Server
4.34. bra: Webes letlts formjban is rendelkezsre ll egy terminlgyfl
A kvetkezkben a Windows Server 2003 tovbbi kiszolgl-komponensnek
(SMTP s POP3 kiszolgl, Tanstvnyszolgltatsok, Internet Information
Services, Windows SharePoint Services s Streaming Media Server) egszen
rvid, csak a legfontosabb funkcik felsorolsra szortkoz lersa kvetkezik.
Utols tmnk, a Windows Server Update Services (WSUS) esetben azonban
mr a rszletekbe is belemegynk, mert br a szoftver nem rsze az alapteleptsnek, de a kis s kzepes vllalatok esetben egy patch management rendszer
kzpontjaknt nagyon jl hasznlhat, s teljesen komplex megoldst nyjt.
257
Levelezsi szolgltatsok (SMTP- s POP3-kiszolgl)

A Windows Server 2003 nllan (Exchange Server nlkl) is kpes levelezsi
szolgltatsok biztostsra, a szoksos SMTP-protokoll (Simple Mail Transfer
Protocol) biztostja a levlklds, a POP3-protokoll (Post Office Protocol) pedig
a postafikok elrsnek, s az zenetek letltsnek lehetsgt. A POP3-szolgltats gyakorlatilag minden levelezprogrambl elrhet (Outlook, Outlook
Express stb.), gy a felhasznlk brmilyen gyflrendszer hasznlata esetn is
hozzfrhetnek leveleikhez.
A levelezsi szolgltats kt nll kiszolgl komponensbl ll, gy belltsaikat is kt klnbz helyen kell megadnunk (az SMTP-kiszolgl nllan is
telepthet). A komponenseket a Configure Your Server Wizard (Kiszolgl konfigurlsa varzsl) felletrl (Mail Server), illetve az Add or Remove Programs
(Programok teleptse vagy eltvoltsa) hasznlatval is telepthetjk.
258
SMTP-kiszolgl a leveleket a feladtl a cmzett postaldjig az

SMTP-kiszolglk tovbbtjk. A felhasznl levelezprogramja az elkldend zenetet tadja a SMTP-kiszolglnak, az pedig a cm alapjn (esetleg tbb msik kiszolgl kzremkdsvel) eljuttatja azt a
cmzett kiszolgljig. A cmzett kiszolglja fogadja a berkez leveleket, s tovbbtja azokat a megfelel felhasznl postaldjba. A Windows SMTP-kiszolglja az IIS (Internet Information Services) rsze,
gy belltsi lehetsgeit az IIS felgyeleti konzoljn tallhatjuk meg
(Administrative Tools -> IIS Manager). A virtulis SMTP kiszolglk
(tbb virtulis kiszolglt is ltrehozhatunk, s mindegyik kiszolgl
tbb e-mail tartomny kezelsre kpes) tulajdonsglapjn adhatjuk
meg a naplzsra, a hozzfrsi jogokra, az zenetek tovbbtsra stb.
vonatkoz klnfle belltsokat.
POP3-kiszolgl a levelezprogramok a POP3-szolgltats segtsgvel tlthetik le a felhasznlk postaldiban lv leveleket az gyflgpekre. A levelezprogram elkldi a felhasznl hitelest adatait a
POP3-kiszolglnak, az pedig tadja a megfelel postaldban lv zeneteket. A POP3 szolgltats kpes az Active Directory-integrlt hitelests hasznlatra, vagyis a tartomnyi felhasznlk (miutn ltrehoztuk a felhasznlhoz tartoz postafikot), a megszokott felhasznlnevk
s jelszavuk hasznlatval rhetik el zeneteiket. A sikeres letlts utn
az zenetek trldnek a kiszolgl ltal trolt postaldbl (hacsak az
gyflprogram nem rendelkezik mskpp). A POP3-kiszolgl felgyeleti
fellete az Administrative Tools -> POP3 Service menpont segtsgvel
rhet el. Itt adhatjuk meg a kiszolgl ltal kezelt e-mail tartomnyok
nevt, s itt hozhatjuk ltre az egyes felhasznlk postaldit. A POP3-
szolgltats teleptsvel az SMTP-szolgltats is automatikusan telepl, hogy a levlklds is lehetv vljon a POP3-gyfelek szmra, a
POP3 Manager felletn megadott e-mail tartomnyok pedig automatikusan bekerlnek az SMTP-szolgltatsba is.
Tanstvnyszolgltats (Certification Authority)

A tanstvny a hitelests szolgltat szervezet ltal elektronikusan alrt
dokumentum, mely tartalmazza a tanstvny tulajdonosnak azonostsra
szolgl adatokat (pl. nv) s a tulajdonos nyilvnos kulcst. A szolgltat a
tanstvny segtsgvel igazolja, hogy a tanstvny tulajdonosa ltezik, s
valban az, akinek lltja magt.
A Windows tanstvnyszolgltatsainak segtsgvel a vllalaton bell
hozhatunk ltre olyan hitelests szolgltatt, (illetve hitelests szolgltatkbl ll hierarchit), amely fogadja a felhasznlktl, illetve szmtgpektl rkez tanstvnykrelmeket, ellenrzi a krelemben lv informcikat s az ignyl azonostjt, kiadja a megfelel tanstvnyokat, s elrhetv teszi a visszavont tanstvnyok listjt (Certificate Revocation List,
CRL). A Tanstvnyszolgltats kpes a nyilvnos kulcs technolgit alkalmaz biztonsgi rendszerekben hasznlt tanstvnyok killtsnak s
kezelsnek teljes kr megvalstsra, gy alapja lehet a vllalat nyilvnos
kulcs infrastruktrjnak (Public Key Infrastructure, PKI).
4.35. bra: A CA ltal kiadott felhasznli s szmtgp tanstvny
A vllalati hitelests szolgltat ltal kiadott tanstvnyok segtsgvel ltrehozhatak digitlis alrsok, lehetv vlik a webes adatforgalom biztonsgoss ttele a Secure Socket Layer (SSL), vagy a Transport Layer Security
(TLS) hasznlatval, az Active Directory alap tartomnyba val bejelentkezshez pedig Smart Card is hasznlhat.
259
A tanstvnyszolgltats teleptst az Add or Remove Programs eszkz segtsgvel vgezhetjk el, felgyelethez pedig az Administrative Tools -> Certification Authority menpont segtsgvel elindthat MMC-konzol hasznlhat.
A felhasznlk tanstvnyaikat egy webes felleten, vagy a Tanstvnyok (Certificates) nev MMC-modul segtsgvel ignyelhetik a CA-tl, illetve lehetsg van arra is, hogy a klnfle alkalmazsok szrevtlenl ignyeljenek tanstvnyt a felhasznl szmra.
Internet Information Services 6.0

Az Internet Information Services (IIS) 6.0 szolgltats a Microsoft Windows
Server 2003 integrlt, megbzhat, biztonsgos s jl kezelhet alkalmazskiszolgl komponense. Az IIS kpes weboldalak, FTP-helyek trolsra s kezelsre, hrek s levelek kldsre a Network News Transfer Protocol (NNTP)
s a Simple Mail Transfer Protocol (SMTP) protokollok felhasznlsval.
Az Internet Information Services kezelse
Ebben a screncastban megismerkednk az IIS klnfle komponenseihez kapcsold belltsi
lehetsgekkel.
Fjlnv: II-1-3aIIS.avi
Az IIS teht a kvetkez alapkomponensekbl ll:
260
Web- s alkalmazskiszolgl a HTML alap tartalmak szolgltatshoz. A webkiszolgl lehetv teszi tbb egymstl teljesen fggetlen webhely zemeltetst. A hozz tartoz felgyeleti konzol segtsgvel bellthatjuk a biztonsgi paramtereket, illetve monitorozhatjuk, felgyelhetjk az egyes webhelyeket. Szmos ms kiszolgl komponens is ignybe veszi a webkiszolgl szolgltatsait, erre pl pldul a Windows SharePoint Services s a WSUS is.
FTP-kiszolgl (File Transfer Protocol) a fjl le- s feltltshez.

A komponens segtsgvel a kiszolgl meghatrozott mappit tehetjk
elrhetv az FTP-alap fel s letltsek szmra. Az FTP-kiszolgl
kpes tbb (ltszlag) nll FTP-hely kezelsre (klnbz hlzati
csatolkon, illetve portokon keresztl), s minden helyhez tetszleges
szm virtulis knyvtrat csatolhatunk. Ez azt jelenti, hogy az FTPgyfl (pldul Internet Explorer) segtsgvel csatlakoz felhasznlk
egy virtulis knyvtrft ltnak, amelynek elemei a szmtgp tetszlegesen megadott fizikai mappira nznek. Az FTP-kiszolglhoz a szmtgpen, (illetve az Active Directoryban) megadott felhasznlk csat-
lakozhatnak, viszont mivel az FTP-gyfelek igen kevss biztonsgos

kdolssal (ASCII) kldik t jelszavainkat a hlzaton, indokolt lehet
nmi vatossg. Bellthatjuk pldul, hogy csak hitelests nlkli
(Anonymous) felhasznlk jelentkezhessenek be, gy nem utaznak a hlzaton knnyen elolvashat jelszavak, viszont nincs md az FTPgyfelek megklnbztetsre. Korltozhatjuk a hozzfrst az gyfelek IP-cme alapjn, s lehetsg van a kzztett fjlok hozzfrsi jogosultsgok belltsra is. Az FTP-knyvtrakhoz val hozzfrsi jogok bizonyos mrtkig az FTP-kiszolgl szintjn is szablyozhatk
(olvass, rs), de termszetesen a fjlrendszerben megadott NTFS-jogok is rvnyeslnek.
NNTP-kiszolgl (Network News Transfer Protocol) a hrcsoportok ltrehozst s elrst teszi lehetv.
SMTP-kiszolgl (Simple Mail Transfer Protocol) az elektronikus levelek kldsre, illetve tovbbtsra hasznlhat.
A Biztonsgi megfontolsok miatt az IIS alaprtelmezs szerint nincsen teleptve

a Windows Server 2003 kiszolglkon. A teleptst az Add or Remove Programs
Windows (Programok teleptse vagy trlse) Components szakaszban indthatjuk el (gyeljnk a szksges komponensek kivlogatsra, mivel az IIS rengeteg
nllan telepthet rszbl ll). Az IIS 6.0 a telepts utn zrolt zemmdban
fut, ami azt jelenti, hogy csak a statikus weboldalak kiszolglsa engedlyezett.
Az IIS-re pl egyb szolgltatsok (ASP, ASP.NET, CGI parancsfjlkezels,
WebDAV stb.) tiltott llapotban vannak, nem hasznlhatk. Ezeket a szolgltatsokat, ha szksg van rjuk az IIS Manager (IIS-kezel) Web Sevice Extensions
(Webszolgltats-bvtmnyek) lapjn egyenknt engedlyezhetjk.
Windows SharePoint Services

A Windows SharePoint Services (a SharePoint Portal Server kistestvre)
olyan kzponti csoportmunka alkalmazs, amely lehetv teszi a klnfle informcik, dokumentumok, feladatok s esemnyek megosztst.
A Windows SharePoint Services 2.0 a Windows kiszolgl opercis rendszerek R2 verziiban
mr beptett komponens, s szabadon letlthet (http://tinyurl.com/2mtgdc) a legjabb
(3.0) verzi is, amelynek teleptshez minimlisan Windows Server 2003 SP1 szksges.
261
A SharePoint webhelyeken a felhasznlk ltrehozhatnak dokumentumtrakat, webnaplkat, vitafrumokat, kzztehetnek naptrakat s feladatlistkat. A SharePoint helyek webkijelzkbl s ms ASP.NET alap komponensekbl plnek fel, a kijelzk elhelyezsvel s tulajdonsgaik belltsval a
rendszergazdk s felhasznlk teljes alkalmazsokat kszthetnek el egy-egy
oldalon. A Windows SharePoint Services szmos elre gyrtott webkijelzt is
tartalmaz, a jvben pedig jabbak is fognak kszlni.
A Windows Share Point Services teleptse s belltsai
Ebben a screencastben felteleptjk, belltjuk s kiprbljuk a Windows Share Point Services
csoportmunka alkalmazst.
Fjlnv: II-1-3bWSS.avi
A SharePoint felleten ltrehozhat dokumentumtrak hasznlatval a felhasznlk egy kzponti helyen hozhatnak ltre, oszthatnak meg s tekinthetnek t dokumentumokat. A dokumentumtrak tbb fjltpust, illetve alknyvtrakat is tartalmazhatnak. Ha a felhasznl megnyit egy dokumentumtrat, a benne lv fjlok webes hivatkozsknt jelennek meg, s az ilyen
mdon trolt informcik kzvetlenl elrhetk a klnfle Office-alkalmazsokbl. A hivatkozsra kattintva az adott dokumentum az Internet Explorer
ablakban, vagy a SharePoint Services szolgltatssal kompatibilis alkalmazs ablakban, (pldul Word 2003, 2007) nylik meg.
Az Outlook segtsgvel megtekinthetk a SharePoint helyeken trolt
naptrak s partnerlistk, illetve lehetsget nyjt dokumentumszerkesztsre s rtekezletszervezsre szolgl helyek ltrehozsra.
Adatfolyam-kiszolgl (Streaming Media Server)

A Streaming Media Server segtsgvel hangbl s mozgkpbl ll tartalmakat sugrozhatunk az gyfelek szmra a vllalati intraneten, vagy az
interneten keresztl. Az gyfelek lehetnek olyan szmtgpek (vagy mobil
eszkzk), amelyeken a felhasznlk egy lejtszprogram (pldul a Media
Player) segtsgvel veszik az adst, illetve ms mdiakiszolglk, amelyek
troljk s tovbbosztjk a kapott tartalmat.
A kiszolgli szerepkr a Configure Your Server Wizard (Kiszolgl konfigurlsa varzsl) segtsgvel telepthet, a tovbbi belltsokat pedig az
Administrative Tools -> Windows Media Services MMC-konzol segtsgvel
adhatjuk meg.
262
Windows Server Update Services (WSUS)

A kiszolglk s gyflgpek javtcsomagjainak teleptse mg egy kisebb
hlzat esetben is szinte remnytelenl nagy terhet r a rendszergazdra,
ha nem hasznl valamilyen egysges, automatizlt, s kzpontilag felgyelhet megoldst a feladat elvgzsre. A javtcsomagok nagy szma miatt a
kell idben trtn telepts ilyen rendszer nlkl gyakorlatilag megoldhatatlan, ezrt gyakran csak tbb hnapos ksssel kerlnek fel a kritikus fontossg javtsok a szmtgpekre.
A Windows Server Update Services teleptse s hasznlata
Ezekben a screencastokban felteleptjk a Windows Software Update Services 3.0 alkalmazst,
s elvgezzk a kezdeti belltsokkal kapcsolatos teendket. Ezen kvl megmutatjuk a WSUS
importlsi lehetsgeit a Microsoft Update katalgusbl, valamint rdekessgkppen a
tbb WSUS szerveres krnyezet rszleteibl is felvillantunk nhny lehetsget.
Fjlnv: II-1-3cWSUS.avi, II-1-3cWSUS2.avi, II-1-3cWSUS3.avi
Kisebb hlzatok (nagyjbl 1000 szmtgpig, m a tmogats fels hatra elvileg 20.000 szmtgp) esetn a WSUS (Windows Server Update Services) lehet a tkletes vlaszts, mivel nll, komplex s ingyenes megoldst
jelent. Termszetesen ms eszkzk is kpesek a feladat elltsra (pldul a
Microsoft System Center Configuration Manager, vagy System Center Edition
termke), de ezek nagy, illetve kzpvllalati felhasznlsra tervezett szoftverek, kis hlzatok esetn hasznlatuk tlsgosan kltsges lenne. Egybknt
mindkt emltett rendszerfelgyeleti szoftvercsomag tartalmazza a WSUS-t, s
ezt hasznlja a javtcsomagok kezelshez.
Az nll WSUS-csomag a Microsoft webhelyrl szabadon letlthet, s ingyenesen hasznlhat (http://go.microsoft.com/fwlink/?linkid=89379). A kzelmltban jelent meg a WSUS 3.0 vgleges vltozata, amely eldjvel ellenttben mr nem webes, hanem MMC-alap felgyeleti eszkz segtsgvel
konfigurlhat, hasznlata pedig tbb szempontbl is knyelmesebb s hatkonyabb vlt.
Termszetesen akr azt is megtehetnnk, hogy az egyes szmtgpekre
(Windows 2000 SP2, XP, Vista) teleptett AU (Automatic Updates, Automatikus frisstsek) gyflszoftver segtsgvel minden gp kzvetlenl a Microsoft Update (MU) kiszolglkrl tltgeti le kln-kln a frisstseket, de ez
a megolds csak az otthoni felhasznlk ignyeinek felel meg.
Ilyen mdon ugyanis, ha hlzatunk pldul tven gpbl ll, a szksgesnl tvenszer nagyobb adatmennyisget kell letltennk, ami jelentsen
megterheli a vllalat internetkapcsolatt (s esetleg a bankszmljt is).
263
Tovbbi problmt jelent az is, hogy nincs md a javtsok esetleges mellkhatsainak elzetes feldertsre, s a problma megoldsra, mivel a javtcsomagok ellenrzs nlkl kerlnek fel a vllalat valamennyi szmtgpre.
A WSUS-kiszolgl tulajdonkppen a MU-kiszolglk, s a gpeinken fut
AU-gyfl kz kerl; egyetlen pldnyban letlti, s trolja az gyflgpek
sszes szksges javtcsomagjt, amelyeket gy az AU-gyfelek mr nem az
internetrl, hanem tle kapnak meg s teleptenek (de csak akkor, ha a rendszergazda erre engedlyt ad).
A teljes rendszer teht hrom komponensbl ll (br ebbl csak kett tartozik a mi fennhatsgunk al):
A Microsoft Update kiszolglk biztostjk a szksges javtcsomagokat.
A hlzatunkban Windows 2000/2003 kiszolglra teleptett WSUSkiszolgl ezekrl tlti le a csomagokat, majd trolja ket.
Az gyflgpeken (vagy kiszolglkon) fut AU-gyfelek az engedlyezett javtsokat letltik a WSUS-kiszolglrl, s teleptik azokat.
A WSUS zemeltetse viszonylag egyszer, szolgltatsai pedig a legjabb

verziban mr szinte minden ignyt kielgtenek. A teljes patch management
infrastruktrt felpthetjk egyetlen kiszolgl hasznlatval, de lehetsg
van a vllalaton belli WSUS-hierarchia kialaktsra is. Br a WSUS 3.0
mr nem webes felgyeleti felgyeletet hasznl, a szolgltats tovbbra is az
IIS 6.0 hasznlatra pl. Webes alkalmazs tlti le a frisstseket, tartja
karban az SQL adatbzist, s az gyfelek is egy webszolgltats segtsgvel
rik el a szmukra kiosztott frisstcsomagokat.
A WSUS teleptse
Hogy a WSUS-t telepthessk, kiszolglnknak a kvetkez feltteleket kell
teljestenie:
264
Windows Server 2003 Service Pack 1
Microsoft .NET Framework 2.0
Internet Information Services (IIS) 6.0
Microsoft Report Viewer 2005 Redistributable ez az egy komponens

az, amit vrhatan kln kell majd letlteni s telepteni.
Microsoft Management Console 3.0
Opcionlisan SQL Server 2005 SP1
1 GB szabad lemezterlet a rendszert tartalmaz kteten.
Minimlisan 20 GB szabad trolkapacits a javtcsomagok trolshoz. A szksges lemezterlet ersen fgg az gyflgpek nyelvi verziinak szmtl, mivel minden nyelvhez kln csomagokat kell letlteni s
trolni. A minimlisan ajnlott 20 GB, angol s magyar nyelv Windows
2000, XP s Vista gyfelekkel nagyjbl elegend lehet.
2 GB szabad terlet a rendszer adatbzisnak trolshoz. Az adatbzis lehet az SQL Server 2005 SP1 brmelyik kiadsa, illetve maga a telept is tartalmazza a WMSDE adatbzis-kezelt.
A telepts nem mondhat tlsgosan bonyolultnak, csak nhny krdsre

kell vlaszolnunk. Elsknt azt kell eldntennk, hogy a teljes kiszolglt,
vagy csak a felgyeleti konzolt szeretnnk telepteni. Ezutn kvetkezik a licencszerzds elfogadsa, majd meg kell adnunk a letlttt javtcsomagok s
a rendszerhez tartoz adatbzis trolsra szolgl mappkat (mindkett
csak NTFS-kteten lehet). A javtcsomagokat trol mappt clszer lehet
kln, nll partcira helyezni, de mindenesetre lehetleg ne tegyk a
rendszert tartalmaz ktetre. Ez utn azt kell kivlasztanunk, hogy a WSUS
felgyeleti konzol (s maguk a frisstscsomagok is) az IIS alaprtelmezett
webhelyn, vagy kln a WSUS-szolgltats szmra ltrehozott webhelyen
legyenek elrhetk.
4.36. bra: A WSUS 3.0 MMC-alap felgyeleti konzolja
265
Kln ltrehozott webhely esetn az gyflszoftver HTTP-protokollon, a 8530-as

porton ri el WSUS-kiszolglnkat, gy az gyfelek belltsakor majd a http://
SERVER:8530 URL-t kell megadnunk.
A telepts vgn azonban a telepts mg nem r vget, mivel automatikusan elindul a WSUS Server Configuration Wizard (WSUS-kiszolgl konfigurlsa varzsl), amelynek segtsgvel elvgezhetjk a kiszolgl belltsnak lpseit. Nem kell azonban felttlenl a varzslt hasznlnunk, minden belltsi lehetsg elrhet a WSUS 3.0 felgyeleti konzoljrl is, amelyet a Start men Administrative Tools (Felgyeleti eszkzk) programcsoportjbl indthatunk el (ugyanitt jra elindthatjuk a varzslt is).
A konzol termszetesen nemcsak a WSUS-kiszolgln hasznlhat, hanem
brmelyik gyflgpre is telepthetjk, s lehetsgnk van a felgyeleti jogok
deleglsra is. Az Active Directory-cmtrban, vagy a helyi csoportok kztt a
teleptskor ltrejn a WSUS Administrators (WSUS-rendszergazdk), s a
WSUS Reporters (WSUS-jelentsksztk) biztonsgi csoport, ezek tagjai teljes
jogosultsgot, illetve a jelentsek elksztsnek lehetsgt kapjk.
A WSUS-kiszolgl belltsai
Amint a 4.37. bra mutatja, a WSUS-kiszolgl a belltott temezsnek
megfelelen letlti s eltrolja azoknak a termkeknek a frisstseit, amelyeket a rendszergazda kivlasztott.
Bellthat automatikus engedlyezs is, ami a megadott felttelek teljeslse esetn a megadott csoportok szmra tovbbi beavatkozs nlkl engedlyezi a terjesztst, de ezt a lehetsget csak a ktelez vatossg figyelembevtelvel rdemes hasznlni. A tesztgpeinkre pldul minden tovbbi
nlkl automatikusan rszabadthatjuk valamennyi javtcsomagot (ppen
ezrt vannak), a tbbi gp esetben pedig az eredmny ismeretben mr kzzel vgezhetjk el a jvhagys belltst. Bellthat az is, hogy a kevsb
kritikus komponensek (pldul az Office) valamennyi javtsa automatikusan
telepljn minden gpre. A kvetkezkben ttekintjk a WSUS-kiszolgl
legfontosabb belltsi lehetsgeit, s megismerkednk az egyes paramterek jelentsvel:
266
Update Source and Proxy Server (Frissts forrsa s proxykiszolgl) itt kell kivlasztanunk azt a kiszolglt, amelyrl a WSUS le
fogja tlteni a frisstseket. Kisvllalati krnyezetben ltalban nincs
szksg tbb WSUS hasznlatra, de lehetsgnk van a csomagok
forrsaknt msik kiszolglt is megadni, gy tbb WSUS-pldny
hasznlata esetn is csak egyszer kell kzvetlenl a Microsofttl letlteni frisstseket. Ha proxykiszolgln (pldul ISA Server) rjk el az
internetet, akkor ugyanitt kell megadnunk a kiszolgl nevt, portsz-
mt, s a kapcsoldshoz szksges felhasznli adatokat (termszetesen csak akkor, ha a proxy hitelestst is ignyel), hogy a WSUS elrhesse a Microsoft Update kiszolglkat.
Kiszolgloldal
1. WSUS - idztett letlts
2. Teszt?
Igen
A
frisstsek
tesztelse
Nem
3. A csomagok engedlyezse
4.37. bra: A letlttt csomagokra a rendszergazdnak is r kell blintania
Products and Classifications (Termkek s besorolsok) itt adhatjuk meg azokat a termkeket, amelyeket A WSUS segtsgvel szeretnnk frissteni, illetve itt kell kivlasztanunk a letltend csomagok tpust (biztonsgi frissts, javtcsomag stb.). A WSUS gyakorlatilag
minden Microsoft termk frisstseinek kezelsre kpes, csak a legfontosabbak: a Windows 2000, XP, Vista valamennyi vltozata, a Windows
Server 2003 klnfle kiadsai, Office, Exchange Server, SQL Server,
ISA Server, Windows Defender stb.
Update File and Languages (Frisstsfjlok s nyelvek) ebben a

szakaszban a frisstcsomagok letltsnek mdjt meghatroz paramtereket adhatunk meg, illetve bellthatjuk azt is, hogy a csomagok
maradjanak a Windows Update kiszolglkon, br ennek szokvnyos
esetben nyilvnvalan nincs tl sok rtelme. Nagyon fontos pont a letltend nyelvi verzik kivlasztsa, mivel egyltaln nem valszn,
267
hogy az alaprtelmezett viselkeds megfelel lenne. Ez ugyanis valamennyi nyelv (kztk pldul az arab, knai s japn) csomagjainak letltst jelenti.
268
Synchronization Schedule (Szinkronizls temezse) A WSUSkiszolgl s a Microsoft Update-szolgltats szinkronizlsa, vagyis a

javtcsomagok letltse trtnhet automatikusan (temezetten), illetve kzi indtssal is. Itt vlaszthatunk a kt zemmd kztt, illetve
temezett szinkronizci esetn megadhatjuk a kvnt idpontokat is.
Automatic Approvals (Automatikus jvhagysok) a letlttt frisstsek teleptsnek engedlyezse automatikusan is elvgezhet. A mdszer (a 3.0-s vltozatban) ersen hasonlt pldul az Outlook levlkezel szablyaihoz: a frissts besorolsa (biztonsgi frissts, javtcsomag stb.), illetve a frisstend termk (Office, Windows Vista stb.) alapjn kivlogatott csomagokat a kivlasztott csoportok szmra automatikusan engedlyezhetjk. A WSUS s az AU-gyfelek sajt frisstsei
alaprtelmezs szerint automatikusan teleptsre kerlnek.
Computers (Szmtgpek) egy nagyon fontos belltst tallhatunk

itt: ki kell vlasztanunk azt a mdszert, amely szerint a WSUS csoportostani fogja a frisstend szmtgpeket. A csoportostsnak kt szempontbl is nagy jelentsge van, egyrszt sok gyflgp esetn jelentsen
javtja az ttekinthetsget (lehetsg van egymsba gyazott csoportok
ltrehozsra is, gy kvethetjk pldul a vllalat szervezeti egysgeinek hierarchijt), msrszt pedig az automatikus engedlyezst az gy
kialaktott csoportok szerint hatrozhatjuk meg. A csoportosts kt
alapveten eltr mdszerrel trtnhet. A csoporttagsgot bellthatjuk
kzvetlenl a WSUS-konzolon (ebben az esetben teht a kiszolgl hatrozza meg a csoporttagsgot), illetve a csoporthoz tartozsukat meghatrozhatjk maguk az gyfelek is. A msodik esetben a kvnt csoportnak
a registryben, az AU-gyfl belltsai kztt kell szerepelnie, ezt a megfelel csoporthzirend bellts hasznlatval, vagy esetleg kzvetlen
registry mdostssal rhetjk el. Brmelyik mdszert is vlasztjuk, a
csoportstruktrt mindenkppen a WSUS-konzolon kell ltrehoznunk.
A kiszolgloldali csoportosts elssorban munkacsoportos krnyezetben (vagyis viszonylag kevs gyflgp esetn) ajnlhat, sok szmtgp, illetve a csoportosts gyakori vltoztatsa esetn mindenkppen a
csoporthzirend hasznlata a megfelel a csoporthoz tartozs, s a tbbi
gyflparamter belltsra is.
Server Cleanup Wizard (Kiszolgl karbantartsa varzsl) a varzsl segtsgvel eltvolthatjuk a kiszolglrl a zavar elemeket: a
klnfle okok miatt lejrt szavatossg, mr nem hasznlt frisstseket, illetve a csatlakozsra kptelen (pldul mr rgen leselejtezett)
szmtgpeket.
4.38. bra: A Server Cleanup Wizard segt a takartsban
Reporting Rollup (Jelentsek sszestse) itt azt hatrozhatjuk meg,

hogy tbb, hierarchikusan elrendezett WSUS-kiszolgl kztt milyen
mdon trtnjen a jelentsek ksztshez szksges adatok ramlsa.
E-mail Notifications (rtests e-mailben) itt llthatjuk be a klnfle esemnyekhez (pldul j frisstsek letltse) kapcsold e-mail
rtestsekre vonatkoz paramtereket.
Personalization (Szemlyre szabs) Az adatok megjelentsre vonatkoz klnfle paramtereket adhatunk meg itt.
269
Ezzel vgre is rtnk a kiszolgl legfontosabb belltsainak, a szinkronizci (vagyis a javtcsomagok letltse) utn mr csak a tesztels s a frisstcsomagok jvhagysa van htra.
Frisstsek jvhagysa
A Software Update Services szolgltatst futtat kiszolgl szinkronizlsa
alkalmval letlttt frisstsek nem vlnak automatikusan hozzfrhetv
azoknak a szmtgpeknek, amelyek a kiszolgln lv frisstsek fogadsra vannak belltva. Erre csak akkor kerl sor, ha a rendszergazda jvhagyja a frisstseket. gy a rendszergazdnak mdja nylik r, hogy a csomagok
teleptse eltt elvgezze a szksges teszteket.
gyfloldal
1. AU-gyfl figyeli a
WSUS-t: frissts
rkezett!
2. Admin lpett be?
Igen
Nem
Az admin kapja
az zenetet, s
ideiglenesen
negliglhatja a
teleptst
3. Idztett letlts letbe lp > telepts.

4. Szksges az
jraindts?
Nem
Igen
jraindts
5. Az AU-gyfl
vrja a kvetkez
ellenrzst.
4.39. bra: A WSUS gyfloldali komponense a Windows-rendszerek beptett

Automatic Updates szolgltatsa
270
A WSUS-gyfelek belltsai
A letlttt frisstcsomagok ngy klnfle llapotban lehetnek, ezek kzl
vlaszthatunk a jvhagys sorn:
Approved for Install (Teleptsre jvhagyva) a frissts letltdik s

telepl az gyflgpekre.
Approved for Remove (Eltvoltsra jvhagyva) az adott csomag trldik az gyflgpekrl (csak akkor vlaszthat, ha a frissts tmogatja).
Not Approved (Jv nem hagyott) minden frissts ebben az llapotban rkezik.
Declined (Elutastva) az adott frisstsre nincs szksgnk.
A frisstsek jvhagyst elvgezhetjk kzzel (egyenknt vagy csoportosan), illetve a korbbiak szerint bellthat a letlttt frisstsek automatikus jvhagysa is. A jvhagyssal egytt szksg esetn megadhatunk egy hatridt is,
ameddig az adott frisstsnek mindenkppen teleplnie kell az gyflgpeken.
A kiszolgl belltsai s a csomagok jvhagysa utn mr csak az gyfeleknek kell megmondanunk, hogy j WSUS-kiszolgl kerlt a hlzatba, legyenek szvesek ezentl ezt hasznlni a Microsoft Update-kiszolglk helyett.
Az AU-gyfelet a Windows 2000 SP2-tl kezdve brmelyik opercis rendszer futtathatja (termszetesen a kiszolglk is). A Windows 2000 SP2, s a
Windows XP RTM (vagyis javtcsomag nlkli) vltozata azonban nem tartalmazza az gyflszoftvert, ezekre kzzel (vagy csoporthzirenddel) kell teleptennk a Microsofttl letlthet csomagot.
Az gyflszoftver felhasznli felletn (Vezrlpult Automatikus frisstsek) csak egyetlen belltsi lehetsget kapunk, minden mst csak a megfelel csoporthzirend-opcik segtsgvel (vagy esetleg kzvetlen registry mdostssal) adhatunk meg. A WSUS 3.0 esetn sszesen 15 csoporthzirend-opci
segtsgvel hatrozhatjuk meg az gyfelek viselkedst, a kvetkezkben ezek
kzl tekintjk t a legfontosabbakat:
Configure Automatic Updates (Az automatikus frissts konfigurlsa) az opci azt hatrozza meg, hogy az AU-gyfelek hogyan kapjk
meg s teleptsk a frisstseket. Ez az opci rhet el a felhasznli felleten keresztl is, de ott ms bellts nlkl termszetesen csak a
Microsoft Update kiszolglkrl val letltsekre vonatkozik. Ngy lehetsg kzl vlaszthatunk:
271
Notify for download and notify for install (rtestsen a frisstsek letltse eltt, s rtestsen jra a telepts megkezdse eltt) ebben az esetben a letlts, s a telepts is kzzel indtand az gyflgpen.
Auto download and notify for install (Tltse le a frisstseket

automatikusan, s rtestsen, amikor kszen llnak a teleptsre)
ha ezt vlasztjuk, akkor mr csak a teleptshez kell az engedlyezs.
4.40. bra: Az AU-gyfeleket vezrl csoporthzirend-opcik
272
Auto download and scheduled for install (Tltse le a frisstseket automatikusan, s az albb megadott temezs szerint teleptse ket) a letlts s a telepts is automatikusan trtnik,
az idztst a panel aljn llthatjuk be. Ha ebben az idpontban
a gp ppen kikapcsolt llapotban van, akkor a frissts letltse
s teleptse a kvetkez bejelentkezs utn fog megtrtnni.
Allow local admin to choose setting (A helyi rendszergazda

adja meg a belltst) A helyi rendszergazda jogosultsggal
rendelkez felhasznlk maguk vlaszthatnak a fenti lehetsgek kzl.
Specify intranet Microsoft update service location (Adja meg az

intraneten tallhat Microsoft frisstsi szolgltats helyt) A WSUSkiszolgl, s a statisztikkat trol kiszolgl teljes nevt kell itt
megadnunk. A statisztikkat egy webkiszolgl trolja, amelyre az automatikus frisstst vgz gyflprogram elkldi az adatokat a letlttt
frisstsekrl, s azok teleptsrl. A statisztikk elkldsre a program a HTTP-protokollt hasznlja, az adatok a webkiszolgl IIS naplfjljban jelennek meg.
Enable client-side targeting (gyfloldali clcsoport-meghatrozs

engedlyezse) Ha az opcit engedlyezzk, meg kell adnunk azt a
clcsoportot, amelyhez az gyflgp tartozni fog.
Automatic Updates detection frequency (Automatikus frisstsek keressi gyakorisga) Az AU-gyfl az itt megadott idkznknt keres j
frisstseket a WSUS-kiszolgln. Az alaprtelmezs 22 ra, ami nagyon j
vlaszts, mivel gy azokra a szmtgpekre is sor kerl elbb-utbb,
amelyek csak egy meghatrozott napszakban vannak bekapcsolva.
Allow Automatic Updates immediate installation (Automatikus

frisstsek azonnali teleptsnek engedlyezse) Az opci engedlyezsvel azt rhetjk el, hogy az jraindtst nem ignyl, illetve a felhasznlt semmilyen ms formban nem zavar frisstsek teleptse
azonnal a letlts utn megkezddjn.
No auto-restart for scheduled Automatic Updates installations

(Automatikus jraindts tiltsa temezett automatikus frisstsek teleptsekor) Ha bekapcsoljuk az opcit, a program a frisstsek teleptse utn nem indtja jra a gpet, hanem rtesti a felhasznlt az jraindts szksgessgrl. Ellenkez esetben sem indul jra sz nlkl
az gyflgp: a felhasznl zenetet kap, hogy az jraindts t perc
mlva fog megtrtnni.
Delay Restart for scheduled installations (jraindts ksleltetse

temezett teleptseknl) Az opci segtsgvel azt a vrakozsi idt
adhatjuk meg, ami az els temezett jraindtsi ksrlet eltt fog eltelni (alaprtelmezs szerint 5 perc).
Re-prompt for restart with scheduled installations (jbli rkrdezs az jraindtsra temezett teleptseknl) Ha a felhasznl nem
indtotta jra a gpet az els figyelmeztets utn, a tovbbi figyelmeztetsek kztt az itt belltott vrakozsi id lesz rvnyes (alaprtelmezs szerint 5 perc).
273
Reschedule Automatic Updates scheduled installations (Automatikus frisstsek temezett frisstseinek ttemezse) Az opci rtke 160-ig (percben) llthat, a szmtgp bekapcsolsa utn ennyivel fog megkezddni a hinyz javtcsomagok letltse s teleptse.
Allow non-administrators to receive update notifications (Ne

csak a rendszergazdk kapjanak frisstsi rtestst) Ha az opcit engedlyezzk, valamennyi bejelentkezett felhasznl megkapja a frisstsek letltsrl s teleptsrl szl rtestseket.
A WSUS-belltsok terjesztsre hrom klnbz megolds kzl vlaszthatunk (a csoporthzirend hasznlatnak rszleteirl a kvetkez fejezetben
lesz sz):
A leend WSUS-gyfelek szmtgpfikjainak kln szervezeti egysgeket (Organizational Unit, OU) ksztnk, s kln GPO-kkal csak
ezekhez rendeljk hozz a WSUS belltsait.
Nem ksztnk kln OU-t, hanem az WSUS GPO-kat a meglev szervezeti egysgek kzl rendeljk hozz a megfelelkhz.
Ha azt szeretnnk, hogy a tartomny sszes szmtgpe rszesljn a

WSUS ldsaibl, mdosthatjuk akr a Default Domain Policyt is.
Jelentsek
A WSUS-kiszolgl jelentseinek segtsgvel mindenre kiterjed informcit
kaphatunk a rendszer mkdsrl, lekrdezhetjk az egyes gyflgpek
vagy frisstsek llapott, a szinkronizcival kapcsolatos esemnyeket, illetve sszefoglal jelentst krhetnk a kiszolgl valamennyi belltsrl is.
Nagyon ltvnyos s rszletes jelentst kszthetnk az elzetesen megadhat szmos belltsi, szrsi paramternek megfelelen, az eredmnyt pedig
akr Excel-, vagy pdf-formtumban is elmenthetjk, illetve termszetesen a
kzvetlen nyomtatsra is lehetsg van.
274
TDIK FEJEZET
Tartomnyi krnyezet
A fejezet tartalma:
Mire j a cmtr? ............................................................................................... 276
Az Active Directory-cmtrszolgltats alapjai .............................................. 279
A DNS-szolgltats ........................................................................................... 294
Az Active Directory teleptse .......................................................................... 309
Tipikus cmtrobjektumok ............................................................................... 312
A cmtr mentse s visszalltsa .................................................................. 319
A csoporthzirend ............................................................................................. 322
A replikci s a telephelyek ............................................................................ 331
A tartomny koncepci s az ehhez kapcsold Active Directory cmtrszolgltats a legtbb szervezet esetn az informatikai rendszer legfontosabb alkoteleme. A cmtr trolja a hlzat valamennyi objektumnak s szmos
erforrsnak adatait, s ezeket egysges, jl kezelhet formban elrhetv
teszi a felhasznlk s a rendszergazdk szmra, gy biztostja a hlzat
hasznlathoz s felgyelethez szksges infrastruktrt.
Ebben a fejezetben teht az Active Directory, s a hozz kapcsold szolgltatsok, felgyeleti eszkzk hasznlatval kapcsolatos tudnivalkrl lesz
sz. A kvetkez tmakrkkel fogunk foglalkozni:
Mire j a cmtr? ttekintjk milyen szolgltatsokat nyjt a cmtr, s milyen gyakorlati haszonnal jr bevezetse a felhasznlk s a
rendszergazdk szmra.
Az Active Directory cmtrszolgltats alapjai Megismerkednk

a cmtr felptsvel, alkotrszeivel s az zemeltetshez, felgyelethez szksges legfontosabb eszkzkkel.
A DNS-szolgltats ttekintjk az Active Directory mkdshez

nlklzhetetlen DNS-szolgltatssal kapcsolatos alapismereteket.
Tartomnyi krnyezet
Az Active Directory teleptse Az alapismeretek utn teleptjk a

cmtrszolgltatst, sorra vesszk a teleptprogram ltal elvgzett
mveleteket s a hibalehetsgeket.
Tipikus cmtrobjektumok A felteleptett cmtrszolgltatst meg

kell tltennk tartalommal, vagyis ltre kell hoznunk a hlzatunk
elemeit reprezentl objektumokat. Ebben a rszben a leggyakrabban
elfordul objektumtpusokkal kapcsolatos tudnivalkat tekintjk t.
A cmtr mentse s visszalltsa Mire idig jutunk, mr meglehetsen sok munknk fekszik a cmtrstruktra kialaktsban, gy
gondoskodnunk kell a rendszeres mentsrl.
A csoporthzirend A csoporthzirend az Active Directory kiegszt

(de rendkvl fontos) komponense. Segtsgvel megvalsthat az gyflgpek, kiszolglk s felhasznlk tmeges felgyelete, vagyis az
egyetlen helyen meghatrozott belltsok valamennyi kivlasztott
szmtgpen, illetve felhasznln rvnyeslni fognak. Ebben a rszben bemutatjuk a csoporthzirend mkdsre s kezelsre vonatkoz
alapvet tudnivalkat.
A replikci s a telephelyek Ebben a rszben megismerkednk

az Active Directory tartomnyvezrli kztt vgbemen adatbzis
szinkronizci, vagyis a replikci mkdsvel, s megtrgyaljuk a telephely struktra kialaktsval kapcsolatos ismereteket.
Mire j a cmtr?
Ha definilni szeretnnk a cmtr fogalmt, akkor egyszeren mondhatjuk
gy: a cmtr egy olyan adatbzis, ami kpes a hlzat valamennyi erforrsnak azonostsra, s hierarchikus rendszerben val trolsra. Kiegszthetjk a defincit mg azzal is, hogy az azonosts s trols mellett a hlzat fizikai felptst s protokolljait tlthatv teszi, gy a hlzat erre feljogostott felhasznli elrhetik a hlzat erforrsait anlkl, hogy tudnk,
hol tallhatak azok valjban, vagy hogyan kapcsoldnak egymshoz fizikailag. Ez a meghatrozs persze nemcsak a Windows Server 2003 cmtrszolgltatsra az Active Directoryra, hanem brmilyen ms cmtrra is igaz.
Ez eddig rendben is van, de vajon mgis mire j a cmtr a gyakorlatban,
mennyiben teszi knnyebb a felhasznlk s az zemeltetk lett? Mit fog
ltni (s hasznlni) a cmtrbl a gpe eltt l felhasznl, s mit a rendszergazda, akinek a bevezetstl kezdve ezzel az jabb technolgival is nap
mint nap birkznia kell?
276
Mire j a cmtr?
Nos, a felhasznl azt fogja tapasztalni, hogy a korbbinl sokkal ritkbban ltja a rendszergazdt, a gpe magtl tud mindent, a munkakrnyezete szpen szrevtlenl, de folyamatosan alkalmazkodik az ignyeihez. Ha j
programot kell hasznlnia, akkor az feltelepl a gpre, az Asztaln pedig
megjelennek az j parancsikonok. Ha j gpet kap, vagy tmenetileg t kell
lnie egy kollga gphez, akkor nemcsak hogy minden tovbbi nlkl be tud
jelentkezni a megszokott felhasznlnevvel s jelszavval, de a dokumentumai, parancsikonjai, levelei s nyomtati is mind a helykn lesznek.
A felhasznlk teht szabadon (de ellenrztten) vndorolhatnak a gpek
kztt, a megszokott krnyezetk rnykknt kveti ket. A rendszergazda viszont majdnem mindent elintzhet a sajt szobjban, a sajt gpe eltt lve.
Kis tlzssal azt mondhatjuk, hogy egy jl felptett tartomnyi hlzatban a
rendszergazda csak akkor ltja a felhasznlk gpeit, ha csavarhzt is kell
magval vinnie, minden ms problma megoldhat tvolrl is. St, tvolrl s
csoportosan, vagyis a klnbz belltsokat nem kell egyesvel megadni a
gpeken, minden mvelet a gpek elre definilt csoportjaira vonatkozhat. gy
lehetsgess vlik az, hogy a biztonsgi belltsok s a jogosultsgok kiosztsa
mindentt egyformn s kvetkezetesen rvnyesljn, vagyis felhasznlk jogosultsgai (sajt szmtgpkn s a hlzaton is) pontosan megfeleljenek
annak az elvnek, hogy mindenki csak annyi jogosultsggal rendelkezzen, amennyire felttlenl szksge van egy adott feladat elltshoz.
A cmtr teht megadja a rendszergazda szmra azt a lehetsget, hogy a
kzpontilag elrhat belltsok s korltozsok rvn garantlhassa a rendszer s az egyes gpek folyamatos mkdkpessgt s biztonsgt. Ez persze a felhasznlk szmra bizonyos korltozsokkal jr, de egy nagyobb hlzat folyamatos mkdkpessgnek fenntartsa rdekben erre mindenkppen szksg van.
Mr tz szmtgp esetben is meglehetsen lehangol feladat, ha minden
egyes gpen ltre kell hoznunk egy j felhasznli fikot. Ha az j felhasznlnak mg jogokat is kell adnunk a fjlrendszerben, akkor mr itt is van a
dlutn t ra. Msnap pedig elgondolkodunk rajta, hogy taln mgis j lenne, ha mindenki a user felhasznlnvvel jelentkezne be valamennyi gpre, a
jelszt pedig esetleg kitehetnnk a falijsgra
Active Directory krnyezetben nincsen szksg arra, hogy az j felhasznli fikot vagy csoportot minden egyes gpen kln ltrehozzuk, a cmtr ltal
trolt egyetlen felhasznli fik tulajdonosa valamennyi (a tartomnyhoz tartoz) szmtgpen bejelentkezhet, a csoportok pedig jogosultsgokat kaphatnak a hlzati s a helyi erforrsok elrshez is, s vltozs esetn is csak
ezt az egy objektumot kell mdostanunk rtelemszeren egyetlen helyen.
Msrszt, amibl vrhatan sok van egy hlzatban (szmtgpek, nyomtatk, felhasznli profilok stb.), azt a csoporthzirend segtsgvel egyszerre
rhetjk el, tulajdonsgaik, belltsaik egyetlen mozdulattal mdosthatk.
277
Tartomnyi krnyezet
Az Active Directory teht az albbi szolgltatsokat nyjtja hlzatunk

mindennapi zemeltetshez:
Biztostja a szervezet mkdshez szksges objektumok s a hlzat

publiklt erforrsainak (felhasznli fikok, csoportok, erforrs-objektumok, jogosultsgok, fjlok s megosztsok, perifrik, gp kapcsolatok, adatbzisok, szolgltatsok stb.) egy helyen trtn nyilvntartsi lehetsgt.
Az Active Directory a hlzat objektumait egysges s jl kereshet

formtumban trolja, gy azok knnyen elrhetek mind a felhasznlk, mind pedig a rendszergazdk szmra.
Lehetv teszi a fent emltett hlzati erforrsok kezelst, ltrehozst, trlst, tulajdonsgaik belltst.
Lehetv teszi a centralizlt, vagy ppen a decentralizlt felgyeletet

s az engedlyek deleglst.
Cskkenti, optimalizlja a hlzati forgalmat, s szmos klnbz erforrshoz (megosztott mappk, nyomtatk, levelezs stb.) egyetlen felhasznlnv, jelsz megadsval biztost hozzfrst (Single Sign On, SSO).
A felgyeleti rendszer alapjt kpez, rendkvl sszetett lehetsgekkel rendelkez csoporthzirend megolds megknnyti a legbonyolultabb hlzat felgyelett is.
Az Active Directory-cmtrnak igen fontos szerepe van ms technolgik

hasznlatval kapcsolatban is, tbbek kztt nincs nlkle Exchange,
s jelents szerepet kap pldul az RRAS, az ISA Server, a Certificate
Services s mg sok ms kiszolgl komponens letben is.
Az Active Directory alapjul egy JET (Joint Engine Technology) adatbzismotort felhasznl ESE (Extensible Storage Engine) adatbzis szmos j tulajdonsggal s kpessggel kiegsztett vltozata szolgl. Az adatbzisban egyszeren megtallhatk elrhetk s elolvashatk a trolt adatok, s az Active
Directory hierarchia s hozzfrsi modellje segtsgvel igen rszletesen szablyozhat az egyes elemekhez, vagyis a hlzat erforrsaihoz val hozzfrs.
Termszetesen a hlzat elemei alatt itt nemcsak a tartomnyvezrlkn, vagy
kiszolgl szmtgpeken, hanem magukon az gyflgpeken elrhet erforrsokat is rtjk, a hozzfrsi jogok szablyozsa ezekre is kiterjedhet.
Az Active Directory szorosan integrldik a Windows-rendszerek biztonsgi modelljbe, a felhasznlazonostssal s hozzfrs-vezrlssel kapcsolatos feladatok legnagyobb rszt tveszi az gyflgpektl. Ugyancsak az
Active Directory vgzi a felhasznlk azonostst szmos kiszolgl-alkal278
mazs esetben is, pldul az SQL Server, az Exchange s az IIS is az Active

Directory segtsgvel tartja nyilvn a felhasznlkat, azok tulajdonsgait s
jogosultsgait.
Az Active Directory beptett biztonsgi szolgltatsa kt alapvet rszbl
ll: elvgzi a bejelentkezsi azonostst (ezzel sszefggsben trolja s vdi
az azonostkat), illetve szablyozza az egyes objektumokhoz val hozzfrst. Az zemeltetk egyetlen bejelentkezssel kezelhetik a cmtr adatait a
teljes hlzaton, a megfelelen hitelestett felhasznlk pedig a hlzat brmelyik pontjbl hozzfrhetnek az engedlyezett erforrsokhoz.
Az Active Directory-cmtrszolgltats
alapjai
Termszetesen ahhoz, hogy kiaknzhassuk az Active Directoryban rejl lehetsgeket, elszr be is kell fektetnnk (nemcsak anyagi rtelemben), vagyis
meg kell szereznnk a hatkony hasznlathoz s zemeltetshez nlklzhetetlen tudst. Minl mlyebben ismeri a rendszergazda az ltala zemeltetett
rendszert, annl kevesebbet kell dolgoznia, az ismtld rutinfeladatok automatizlsa a megfelel technolgia s a megfelel ismeretek birtokban
nem jelenthet problmt. A kvetkezkben az Active Directory zemeltetshez szksges alapismereteket fogjuk ttekinteni, megismerkednk a cmtr
alkotrszeivel, s a felgyelethez szksges legfontosabb eszkzkkel.
Az Active Directory a korbban ltez meglehetsen egyedi megoldssal ellenttben, teljes mrtkben a bevlt ipargi szabvnyokon alapul. (A Windows
NT cmtr jelleg adatai a registryben troldtak.) Az Active Directory alapjul az X.500 szabvny szolgl, hozzfrsi protokollja pedig a szles krben
hasznlt LDAPv3 (Lightweight Directory Access Protocol). Az Active Directory
felptse rendkvli rugalmassgot s sklzhatsgot tesz lehetv; kpes alkalmazkodni az t szmtgpet hasznl kisvllalatok, s a tbb kontinensen
elhelyezked, kiszolglk szzait vagy ezreit tartalmaz hlzatok ignyeihez
is. Az AD ltal trolhat objektumokat s azok tulajdonsgait a hierarchikus s
kiterjeszthet, mdosthat nvtr, a sma hatrozza meg, gy knnyedn kpes
a specilis ignyek kiszolglsra is. Az Active Directory-adatbzis tbb, egymssal automatikusan szinkronizld pldnyt a tartomnyvezrlk (Domain Controller, DC) troljk. Az elosztott trols ellenre az objektumok mdostsainak nyilvntartsn alapul multimaster (tbb fkiszolgls) replikci
miatt minden adatbzispldny teljesen egyenrtk, a szksges mdostsok brmelyik tartomnyvezrln elvgezhetk.
279
Tartomnyi krnyezet
Az Active Directory alkotelemei

Az Active Directory nvtr az albbi elemekbl pl fel:
Erd (Forest) A legmagasabb szint Active Directory trol neve erd. Az erd kzs smt s globlis katalgust hasznl, egy vagy tbb
tartomnyt foglal magba. Az erd els tartomnyt az erd gykrtartomnynak hvjk.
5.1. bra: Az Active Directory hierarchikus felptse
280
Fa (Tree) Ha az erd tbb tartomnya sszefgg DNS-tartomnyneveket hasznl, vagyis egyms gyermek, illetve szltartomnyai,
akkor a struktrt tartomnyfnak nevezzk.
Tartomny (Domain) A tartomny az Active Directory alapvet szervezeti s biztonsgi egysge. A tartomny olyan gyfelek, kiszolglk s
egyb hlzati erforrsok gyjtemnye, amelyek kzs cmtradatbzist
alkotnak, s egyben a replikci alapegysgt kpezik. Egy adott tartomny minden tartomnyvezrlje fogad mdostsokat, s azokat a tar-
tomny tbbi tartomnyvezrljre repliklja. Az Active Directory-cmtrban minden tartomnyt egy-egy DNS-tartomnynv azonost, s minden tartomny legalbb egy tartomnyvezrlt tesz szksgess.
Szervezeti egysg (Organizational Unit, OU) A szervezeti egysgek

az Active Directory-objektumtroli, amelyekbe felhasznlk, csoportok,
szmtgp-objektumok, illetve ms szervezeti egysgek helyezhetk. A
szervezeti egysgek rendkvl fontos szerepet jtszanak a csoporthzirend rvnyestsvel s a felgyeleti jogok deleglsval kapcsolatban
is. A szervezeti egysgek hasznlatval a tartomnyon belli hierarchia
pontosan megfelelhet az adott szervezet hierarchikus felptsnek.
Br az tlagos magyarorszgi vllalatok mretei miatt csak viszonylag ritkn

lehet szksg egynl tbb tartomnybl ll hlzat ltrehozsra, a fenti fogalmak ismerett mgsem kerlhetjk el, mivel egyetlen tartomnyunk is
minden esetben a tartomnyfa rsze, az egyetlen fa pedig biztosan egy erdhz tartozik. Ebbl kvetkezik, hogy br mindennapi feladataink sorn tbbnyire csak szervezeti egysgekkel s az egyetlen tartomnnyal tallkozunk,
pldul az Active Directory-szolgltats teleptsekor mindenkppen vlaszolnunk kell az erdre s a tartomnyfra vonatkoz krdsekre is.
A multimaster (tbb fkiszolgls) replikci

Az Active Directory a multimaster replikcis modellt alkalmazza a cmtradatok tartomnyvezrlk kztti szinkronizcijhoz. Ez azt jelenti, hogy a
tartomnyvezrlk mindegyike tartalmazza a teljes cmtradatbzist, s az
mindegyik tartomnyvezrln mdosthat is. Hogy a cmtrpldnyok (replikk) mindegyike folyamatosan a helyes adatokat tartalmazhassa, szksg
van a tartomnyvezrlk kztti folyamatos, s lehetleg minl kevesebb erforrst felhasznl szinkronizcira. Ezt a folyamatot nevezzk replikcinak.
Ha a replikci megfelelen mkdik, akkor a cmtrpldnyok a tbb ponton
val mdosts ellenre is folyamatosan megtartjk a tbbi pldnnyal megegyez, konzisztens llapotukat.
A tbb ponton val mdosts ltalban nem okoz problmt, mert a mdostsok tbbnyire fggetlenek egymstl, gy a replikci sorn knnyen sszefslhetek az adatbzisok. De mi trtnik, ha kt klnbz helyen egyszerre
mdostunk egy objektumot, pldul egy felhasznli fikot? Nos, ebben az esetben sem trtnik semmi klns, mivel a replikci alapegysge nem a teljes objektum, hanem az objektumok egyes tulajdonsgai, vagyis az adatbzis egyestse nem az objektumok, hanem azok tulajdonsgainak szintjn trtnik. Ritkbban ugyan, de az is elfordulhat, hogy a mdostsok nem egyesthetk konfliktus
nlkl, tkzs esetn a replikci a ksbbi mdostst tekinti rvnyesnek.
281
Tartomnyi krnyezet
A multimaster replikci gynevezett laza konzisztencit tart fenn a cmtron bell, ami azt jelenti, hogy az egyes pldnyok brmikor tartalmazhatnak ugyan ideiglenes, a teljesen konzisztens llapotnak nem megfelel adatot, de a konfliktusok a replikci sorn elbb-utbb valamilyen mdon biztosan felolddnak.
Cmtrpartcik
A partci az Active Directory egy sszefgg rszfja, amely egy egysgknt replikldik az erd ms, ugyanennek a rszfnak egy-egy replikjt magukban foglal tartomnyvezrli szmra. Az Active Directoryban minden tartomnyvezrl egyenknt legalbb a kvetkez hrom cmtrpartcival rendelkezik:
Smaadatok
(minden objektum s
tulajdonsg formlis
lersa)
A cmtr topolgija
(tartomny, fa, erd,
DC / GC-lista)
Felhasznl / gp
fikok, csoportok,
e-mail cmek adatai
Alkalmazsadatok
(opcionlis)
Minden DC s GC
Sma
Konfigurcis
adatok
Tartomnyadatok
Alkalmazsadatok
Minden DC az erdben
Minden DC a
tartomnyban
Adott DC-k az
erdben
5.2. bra: Az Active Directory-cmtradatbzis ngy klnll partcira oszlik
282
Sma partci (Schema Partition) A sma partci az osztly- s attribtum-defincikat, vagyis az objektumok s tulajdonsgok formlis
lerst trolja. A partci minden tartomnyvezrln s minden globlis katalgusban megtallhat. Az Active Directory sma az egsz erdre vonatkozan megegyezik.
Konfigurcis partci (Configuration Partition) Ez a partci a

cmtr topolgijra vonatkoz adatokat trolja. Megtallhatk benne
a tartomnyokra, a fkra s az erdre vonatkoz informcik, valamint
itt troldik a replikcis topolgia, s az ehhez kapcsold metaadatok
is. A konfigurcis adatok az egsz erdre vonatkoznak, s megtallhatk az erd valamennyi tartomnyvezrljn.
Tartomny partci (Domain Partition) itt tallhatjuk meg a felhasznlkra, szmtgpekre, csoportokra s egyb tartomny szint
objektumokra vonatkoz adatokat. A partci az adott tartomny minden tartomnyvezrljn megtallhat.
Alkalmazs partci (Application Partition) a Windows Server 2003

rendszert futtat tartomnyvezrlk a fentieken kvl egy vagy tbb
alkalmazs-cmtri partcit is trolhatnak.
Az egyedi fkiszolgl-mveletek (FSMO)

A Windows Server 2003 tartomnyvezrli funkciinak legnagyobb rszt elosztottan valstottk meg, ezek a funkcik az sszes tartomnyvezrln elrhetk s hasznlhatk. t funkci azonban tovbbra is csak a tartomny,
illetve a teljes erd egyetlen kiszolgljhoz kapcsolhat, mivel ezek elosztott
megvalstsa nem lehetsges. Az egyes szerepkrket nll kiszolglkon is
elhelyezhetjk, de akr egyetlen tartomnyvezrl is megvalsthatja valamennyit. Az t gynevezett egyedi fkiszolgl-mvelet (Flexibile Single Master Operations, FSMO) a kvetkez:
RID-fkiszolgl (RID Master) Tartomnyszint mveleti fkiszolgl szerepkr, vagyis minden tartomnyban legfeljebb egy lehet belle. A
szerepkrrel felvrtezett tartomnyvezrl kpes arra, hogy a sajt, vagy
valamelyik msik tartomnyvezrl krsre egy ltrehozand j objektum (felhasznli fik, csoport stb.) szmra kiadja a relatv azonost
(Relative Identifier, RID) rszt a leend objektum biztonsgi azonostjhoz (Security Identifier, SID). A RID Mastertl a tbbi tartomnyvezrl
200-as csomagokban (RID Pool) kap relatv azonostt, amivel azutn
nllan gazdlkodik. A rendszer ppen gy mkdik, mint a vonalkdok, hlzati krtyacmek (MAC-address), vagy egyb egyedi sorszmozs termkek kiadsa: az tkzsek elkerlse rdekben a sorszmokat egy kzpont bocstja ki. A relatv azonost rsz teljesen egyrtelmen azonostja az objektumot a tartomnyon bell. Ha nem rhet el a
RID-fkiszolgl, csak addig lehet a tartomnyban j objektumokat ltrehozni, amg a korbban kiosztott RID Poolok el nem fogynak.
PDC-emultor (PDC Emulator) Tartomnyszint mveleti fkiszolgl szerepkr, minden tartomnyban csak egy lehet belle. Feladata,
hogy a Windows 2000 eltti gyfelek szmra elsdleges Windows NT
tartomnyvezrlknt (Primary Domain Controller, PDC) mkdjn.
Ennek megfelelen feldolgozza az gyfelek bejelentkezseit, jelszvltozsait, s repliklja a vltozsokat a tbbi tartomnyvezrl fel.
283
Tartomnyi krnyezet
Feladatai kz tartozik mg a tartomny sszes tartomnyvezrlje ltal mutatott id automatikus szinkronizlsa a Windows Time szolgltats segtsgvel.
Erdszint szerep
Tartomnyszint szerep
Schema Master
Domain Naming
Master
PDC emulator
PDC
Emulator
RID master
RID
Master
Infrastructure
master
Infrastructure
Master
Az els tartomnyvezrl az erd els

tartomnyban
Tartomny-szerep
RID Master
PDC Emulator
Infrastructure
Master
5.3. bra: Az erd els tartomnyvezrlje kapja az erd szint, az egyes tartomnyok els
tartomnyvezrli pedig a tartomnyszint szerepeket
284
Infrastruktra-fkiszolgl (Infrastructure Master) Szintn tartomnyszint mveleti fkiszolgl szerepkr, amelybl szintn egy lehet a tartomnyon bell, de csak akkor van r szksg, ha a hlzat
tbb tartomnybl ll. Feladata a sajt tartomnynak objektumai s a
tbbi tartomnyban tallhat objektumok kztti hivatkozsok frisstse. Amennyiben nem rhet el, a tartomnyon bell nem vesznk
szre vltozst, azonban a tbbi tartomnnyal val kapcsolattarts sorn frisstsi problmk keletkeznek.
Tartomnynv-nyilvntartsi fkiszolgl (Domain Naming Master) Erdszint mveleti-fkiszolgl szerepkr, amelybl az erdben
kizrlag egy lehet. A specilis szereppel br tartomnyvezrl szablyozza az erdben a tartomnyok hozzadst s trlst. A tartomnyfkkal kapcsolatos vltoztatsok nem hajtdnak vgre, ha a szerepet
megvalst tartomnyvezrl nem rhet el.
Sma-fkiszolgl (Schema Master) Erdszint mveleti-fkiszolgl szerepkr, kzpontostva vgzi el a sma sszes frisstst s mdostst. Amennyiben az erd smjt frissteni kvnjuk, hozzfrsi
joggal kell rendelkeznnk a sma-fkiszolglhoz. Az elz szerephez
hasonlan sma-fkiszolglbl is csak egy lehet az erdben, s szintn
nem vesszk szre a hinyt, egszen addig, amg nem kerl sor a sma frisstsre, vagy bvtsre.
Az erd els tartomnyvezrljnek (ez egyben az elsknt ltrehozott tartomny els tartomnyvezrlje is) teleptsekor valamennyi erd s tartomny
szint szerepkr erre a kiszolglra kerl, de ksbb ha mr tbb tartomnyvezrlnk is van , az egyes szerepeket tetszs szerint brhov thelyezhetjk. Ha egy adott szerepkrt megvalst tartomnyvezrlt lefokozunk, illetve eltvoltunk a tartomnybl, akkor az adott szerepkr thelyezsrl (lehetleg mg akkor, amikor a rgi kiszolgl is elrhet) mindenkppen gondoskodnunk kell. A tartomnyszint szerepkrk (RID Master,
PDC Emulator, Infrastructure Master) thelyezsre az Active Directory
Users and Computers (Active Directory felhasznlk s szmtgpek) konzol
hasznlhat, a Domain Naming Master szerepkrt az Active Directory
Domains and Trusts (Active Directory tartomnyok s bizalmi kapcsolatok),
a Schema Master szerepet pedig az Active Directory Schema (Active Directory
Sma) MMC-modul hasznlatval adhatjuk t msik tartomnyvezrlnek.
A sma
A sma az Active Directory-adatbzis szerkezete, vagyis a cmtrban trolhat
objektumok definciinak sszessge. A sma minden egyes objektumosztly
szmra meghatrozza a ktelez s lehetsges attribtumok krt, valamint a
szlknt megadhat objektumosztlyokat. Az alapsma (vagy alaprtelmezett
sma) rengeteg objektumosztlyt s attribtumot tartalmaz, gy a legtbb esetben nincs szksg ennek mdostsra. Szmtalan klnbz adatot tartalmazhat pldul minden egyes felhasznl objektum, a mkdssel kapcsolatos belltsok mellett (pl. login szkript, csoporttagsg, dial-up engedlyek stb.) informlis
adatok tucatjait is trolhatjuk (cm, telefonszm, iroda, orszg, cg adatai stb.).
Ha azonban olyan adatokat is trolni szeretnnk a cmtrban, ami nem fr
bele az alapsmba, akkor lehetsg van a meglv osztlyok s attribtumok
mdostsra, illetve jak hozzadsra is. Alaposan meg kell azonban fontolnunk minden mdostst, mert a megvltozott sma kslekeds nlkl
replikldik az erd valamennyi tartomnyvezrljre, vagyis a mvelet minden esetben a teljes hlzatot rinti. Radsul a mdostsok visszavonsra
285
Tartomnyi krnyezet
egyltaln nincs lehetsg, a smbl semmi nem trlhet (csak a deaktivls lehetsges), hiszen a sma alapjn ltrehozott objektumokban l hivatkozsok lehetnek a trlni kvnt elemekre.
Objektumosztlyok
User
Computer
Tulajdonsgok
accountExpires
department
distinguishedName
directReports
dNSHostName
Printer
operatingSystem
5.4. bra: A ltrehozhat objektumokat, s azok szerkezett a sma definilja
Jelents smabvtst hajt vgre pldul az Exchange Server teleptje, mivel

az Exchange a felhasznlk nyilvntartsval s azonostsval kapcsolatos
feladatait teljes egszben az Active Directoryra bzza.
Minden ltrehozott cmtrobjektum a smban trolt objektumosztly egy
pldnya. Az objektumosztlyok tartalmazzk a hozzjuk tartoz attribtumok listjt, ami meghatrozza az objektumokban trolhat adatokat. Az
osztlyok s attribtumok egymstl fggetlenek, ezrt egy attribtum tbb
osztlyhoz is trsthat.
A globlis katalgus szerepkr

A globlis katalgus (Global Catalog, GC) olyan tartomnyvezrli szerep,
amelynek hordozja a cmtr sszes objektumnak alapadataival, elrhetsgeiknek informcijval rendelkezik a teljes erdre vonatkozan, vagyis minden
objektumrl tud valamit. A sajt tartomnybl teljes, a tovbbi, szorosan
kapcsold tartomnyokbl rszleges objektummsolatokat tartalmaz, gy a
globlis katalgus segtsgvel kereshetek a cmtradatok fggetlenl attl,
hogy valjban a cmtr melyik tartomnya tartalmazza azokat. Alaprtelmezs szerint az erd els tartomnyvezrlje tartalmazza a globlis katalgust,
de ms tartomnyvezrlket is kijellhetnk erre a clra (tbb tartomnyvezrl esetn clszer, ha legalbb kt globlis katalgus is van a hlzatban), illetve mshov helyezhetjk az automatikusan ltrehozott globlis katalgust is.
286
Globlis katalgus
5.5. bra: A globlis katalgus az erd sszes tartomnynak valamennyi objektumrl
tud valamit
A globlis katalgusban lv rszleges msolatok azokat az attribtumokat tartalmazzk, amelyek gyakran elfordulnak a felhasznli keressekben. A globlis katalgusba bekerl attribtumok krt a sma hatrozza meg, a kivlasztottak meg vannak jellve az objektumosztlyban. A globlis katalgusban trtn objektumtrols segtsgvel a felhasznlk gyorsan s hatkonyan tudnak keresni a cmtrban anlkl, hogy a tartomnyvezrlk kztti
kommunikci terheln a hlzatot.
Az egyedi fkiszolgl-mveletek s a globlis katalgus szerepkr
Ebben a screencastban megismerkednk az egyedi-fkiszolgl szerepkrk s a globlis katalgus szerepkr msik kiszolglra val thelyezsnek mdszervel, s kiprblunk kt parancssori eszkzt, amelyek a tartomnyvezrlk mkdsnek ellenrzsre hasznlhatk.
Fjlnv: II-2-1a-FSMO.avi
A mkdsi (funkcionalitsi) szintek

A tartomnyok s erdk Windows Server 2003 Active Directoryban bevezetett
mkdsi szintjeinek segtsgvel engedlyezhetk bizonyos tartomnyi s
erdszint Active Directory szolgltatsok. A hlzati krnyezettl fggen
msfle belltsok llnak rendelkezsre a tartomnyok s az erdk klnbz mkdsi szintjein. A mkdsi szint egyrszt meghatrozza a tartomnyban, illetve erdben elrhet szolgltatsok krt, msrszt a mkdsi szint
emelsvel rgebbi tartomnyvezrlk mr nem adhatk a tartomnyhoz.
287
Tartomnyi krnyezet
A tartomnyok mkdsi szintjei a teljes tartomnyban, s csakis az adott

tartomnyban elrhet szolgltatsokat befolysoljk. A tartomnyokhoz ngy
mkdsi szint ll rendelkezsre: Windows 2000 vegyes, Windows 2000 natv,
Windows Server 2003 tmeneti s Windows Server 2003. A teleptskor ltrejv tartomny alaprtelmezett mkdsi szintje Windows 2000 natv.
Az albbi tblzat a tartomnyi mkdsi szinteket s az azokhoz hasznlhat tartomnyvezrlket sorolja fel.
Tartomny mkdsi szintje
Tmogatott tartomnyvezrlk
Windows 2000 vegyes
Windows NT 4.0
Windows 2000
Windows Server 2003 termkcsald
Windows 2000 natv
Windows 2000
Windows Server 2003 tmeneti
Windows NT 4.0
Windows Server 2003
Windows Server 2003 csald
A mkdsi szint ellptetst kveten a korbbi opercis rendszereket futtat tartomnyvezrlket nem lehet a tartomnyba belptetni. Ha pldul a tartomny mkdsi szintjt ellptetjk a Windows Server 2003 szintre, Windows 2000 Servert futtat kiszolglkat tartomnyvezrlknt mr nem lehet
hozzadni a tartomnyhoz. Termszetesen tovbbra is belptethet a tartomnyba a Windows 2000 Server, brmifle funkcit ellthat, csak tartomnyvezrl nem lehet tbb.
Az erdk mkdsi szintjnek belltsval az erd sszes tartomnyn
engedlyezhetk szolgltatsok. Az erdkhz hrom mkdsi szint ll rendelkezsre: Windows 2000, tmeneti Windows Server 2003 s Windows Server 2003. Alaprtelmezs szerint az erdk Windows 2000 szinten mkdnek,
s ezt Windows Server 2003 szintre lehet ellptetni.
Az albbi tblzat az erdk egyes mkdsi szintjeit s az azokhoz hasznlhat tartomnyvezrlket sorolja fel.
Erd mkdsi szintje
Windows 2000
Windows NT 4.0
Windows 2000
288
Erd mkdsi szintje
Windows Server 2003 tmeneti
Windows NT 4.0
Windows Server 2003
Windows Server 2003 csald
Az erd mkdsi szintjnek ellptetst kveten, a korbbi opercis rendszereket futtat szmtgpeket tartomnyvezrlknt nem lehet az erdbe
belptetni. Ha pldul az erd mkdsi szintjt ellptetjk a Windows Server 2003 szintre, Windows 2000 Server rendszert futtat tartomnyvezrlket mr nem lehet hozzadni az erdhz.
A mkdsi szint emelse tbb elnnyel is jr, pldul gy tehetjk lehetv bizonyos erd- vagy tartomnyszint j szolgltatsok, megoldsok hasznlatt (univerzlis csoportok stb.), s az R2 bizonyos szolgltatsai is csak
magasabb mkdsi szinteken hasznlhatk.
Mentett lekrdezsek s a tartomny, illetve erd mkdsi szintjnek emelse
Ebben a videban megmutatjuk az Active Directory-objektumok kztti keresst s csoportostst lehetv tev Mentett lekrdezseket (Saved Queries), illetve megemeljk tartomnyunk,
illetve erdnk mkdsi szintjt.
Fjlnv: II-2-1b-Saved-Queries.avi
Fizikai trols
Br szerencsre nehezen kpzelhet el olyan helyzet, amikor az Active Directoryt trol fjlokkal kzvetlen kapcsolatba kell kerlnnk, nem rthat, ha
mgis megismerkednk az egyes fjlok funkciival s az ltaluk trolt adatok
jellegvel.
Valamennyi fjl a %systemroot%\NTDS-mappban tallhat.
Ntds.dit a legfontosabb fjl az ntds.dit, ami magt az Active Directory-adatbzist trolja. A dit kiterjeszts a directory information tree
kifejezsre utal.
Edb.log a fjlban a tranzakcinapl tallhat, amelynek tartalma

azonnal kveti a cmtr minden vltozst. A vltozsok aztn ksbb, a
megfelel pillanatban tkerlnek vgleges helykre, az ntds.dit-be. A fjl
maximlis mrete 10 MB.
289
Tartomnyi krnyezet
Edbxxxxx.log ezek a fjlok akkor jnnek ltre, ha az Edb.log tllpi

az emltett 10 MB-os mrethatrt. Ebben az esetben az aktv tranzakcinapl ebbe a fjlba kltzik. A 10 MB mretkorlt termszetesen
ezekre az llomnyokra is rvnyes.
Edb.chk a fjl a cmtrba mg be nem kerlt adatok helyzetnek

jelzje.
Res1.log s Res2.log ezek a fjlok semmifle hasznos adatot nem

tartalmaznak, egyszeren ktszer 10 MB helyet foglalnak a ksbb
esetleg ltrejv tranzakcinapl-llomnyok szmra.
Temp.edb a fjl, amint a nevbl is ltszik, ideiglenes adatokat trol

a tranzakcikrl. tmenetileg ide kerlnek az ntds.dit tmrtse kzben eltroland adatok is.
A SYSVOL-mappa
A cmtrszolgltats fontos eleme a valamennyi tartomnyvezrln megtallhat SYSVOL nev megosztott mappa. A mappa tartalmazza azokat az
elemeket (fjlokat), amelyek az Active Directory-szolgltatsokhoz kapcsoldnak ugyan, de mgsem trolhatk a cmtradatbzisban. Itt tallhatjuk
meg azokat a fjlokat, amelyeket az gyflrendszerek indts, illetve bejelentkezs kzben letltenek a tartomnyvezrlrl, itt troldnak pldul a
csoporthzirend fjlok s sablonok (Policies mappa), valamint a bejelentkezsi szkriptek (a scripts mappban, ami a NETLOGON megosztson keresztl
rhet el az gyfelek szmra) stb. A megosztott mappa ltrehozst s az
engedlyek belltst az Active Directory teleptprogramja automatikusan
elvgzi. A SYSVOL-mappa tartalmt a File Replication Service (FRS) komponens rendszeresen szinkronizlja a tartomnyvezrlk kztt, gy brmelyik
tartomnyvezrln is vgezzk el a szksges mdostsokat, a megfelel fjlok rvid idn bell a tbbi pldnyban is megjelennek.
Kezels s eszkzk
A kvetkezkben megismerkednk az Active Directory felgyeleti eszkzeivel, sorra vesszk azokat a grafikus fellettel rendelkez s parancssori eszkzket, amelyekkel elrhetjk a cmtrban trolt objektumokat, illetve megadhatjuk az Active Directory mkdsvel kapcsolatos egyb paramtereket.
A grafikus fellettel felszerelt eszkzk mindegyike MMC-konzol, s
(majdnem) valamennyit a Start men Administrative Tools (Felgyeleti eszkzk) mappjbl indthatjuk el:
290
5.6. bra: Az Active Directory Users and Computers konzol
A leggyakrabban hasznlt konzol Active Directory Users and Computers (Active Directory felhasznlk s szmtgpek) nvre hallgat.
Segtsgvel kezelhetjk a cmtr objektumait, felhasznli s szmtgpfikokat, csoportokat, szervezeti egysgeket, megosztott mappkat s
nyomtatkat hozhatunk ltre, illetve bellthatjuk ezek tulajdonsgait.
Ugyancsak ezt a konzolt hasznlhatjuk a tartomny szint egyedi fkiszolgli-mveleteket (FSMO) vgz szmtgpek megadsra (RID
Master, PDC Emulator, Infrastructure Master), a felgyeleti jogok deleglsra s a tartomny mkdsi szintjnek megvltoztatsra is. A
felgyeleti jogok deleglsa azt jelenti, hogy tetszleges felhasznlnak,
vagy biztonsgi csoportnak jogosultsgot adhatunk brmely Active
Directory-troln (jellemzen szervezeti egysgen) bell meghatrozott
felgyeleti jogok gyakorlsra. A felgyeleti jog jelentheti pldul a felhasznli fikok ltrehozsnak, szmtgpfik hozzadsnak, vagy a
csoporttagsg mdostsnak lehetsgt, a jogosultsgi kr igen rszletesen meghatrozhat. Ilyen mdon, a szervezeten bell kis rendszergazdkat hozhatunk ltre, akik rendelkeznek a rendszergazda bizonyos
jogosultsgaival, de ez csak szigoran meghatrozott mveletekre, s az
objektumok pontosan meghatrozott krre vonatkozik.
291
Tartomnyi krnyezet
Az Active Directory Sites and Services (Active Directory helyek s

szolgltatsok) a telephelyek kialaktsra s a tartomnyvezrlk kztti replikci belltsra szolgl (lsd ksbb). Ugyancsak ezzel az
eszkzzel jellhetjk ki azokat a tartomnyvezrlket, amelyek a globlis katalgus szerepkrt fogjk tartalmazni.
Az Active Directory Domains and Trusts (Active Directory-tartomnyok s bizalmi kapcsolatok) konzol, amint a nevbl sejthet, a tartomnyok kztti bizalmi kapcsolatok (trust relationship) kezelsre
szolgl. A bizalmi kapcsolat a tartomnyok kztti olyan kapcsolat,
amely lehetv teszi, hogy valamely tartomny felhasznlit egy msik
tartomny vezrlje hitelestse. A Windows 2000 s a Windows Server
2003 erd tartomnyai kztti bizalmi kapcsolatok mindig tranzitvak
s ktirnyak, gy a bizalmi kapcsolatokban mindkt tartomny megbzhatnak minsl. Ezzel a konzollal lehet tovbb a tartomnynvnyilvntartsi fkiszolgl (Domain Naming Master) szerepet megvalst kiszolglt kijellni.
Az Active Directory Schema (Active Directory Sma) bepl-modul

a sma kezelsre szolgl, s ennek segtsgvel mozgathatjuk msik
tartomnyvezrlre a Schema Master szerepet is. A szerep j szmtgpre val thelyezsre pldul az eredeti Schema Master meghibsodskor, vagy cserjekor lehet szksg. A konzol indtsa azonban nem
olyan egyszer, mint a korbbi eszkzk, mivel a modul nincs regisztrlva, gy ksz parancsikont sem kapunk hozz. A regisztrlshoz a
kvetkez parancsot kell kiadnunk:
C:\>regsvr32 schmmgmt.dll
Ezutn nyissunk egy res MMC-konzolt s a File (Fjl) menben vlasszuk az Add/Remove Snap-in (Bepl modul hozzadsa/eltvoltsa), pontot, majd kattintsunk az Add (Hozzads) gombra. A listban
jelljk ki az Active Directory Schema sort, majd nyomjunk nhny
OK-t. A konzolt tetszs szerinti nven elmenthetjk, s termszetesen
parancsikont is kszthetnk hozz.
A fenti konzolokon kvl az Active Directory-objektumainak kezelshez szmos parancssori segdprogram is hasznlhat, a kvetkezkben ezeket fogjuk
ttekinteni.
292
DSadd felhasznlt, csoportot, szmtgpet, kapcsolattartt s szervezeti egysget adhatunk segtsgvel az Active Directoryhoz.
5.7. bra: Az Active Directory Sma konzol
DSmod a megadott tpus cmtrobjektum mdostsra hasznlhat. Az objektum tpusa a kvetkez lehet: felhasznl, csoport, szmtgp, kiszolgl, kapcsolattart s szervezeti egysg.
DSquery a megadott keressi felttelek alapjn kereshetjk s lekrdezhetjk a cmtrobjektumokat. ltalnos zemmdban brmilyen
tpus objektum, specilis zemmdban pedig a kivlasztott objektumtpusok lekrdezsre hasznlhat.
DSmove a parancs segtsgvel objektumokat nevezhetnk t, illetve thelyezhetjk ket az adott tartomnyvezrl msik helyre.
DSrm a megadott tpus objektumot tvolt el az Active Directorybl.
DSget az Active Directory megadott objektumtpusainak kivlasztott

attribtumait jelenti meg.
CSVDE a program nevbl (Comma Separated Values Directory Export, vesszvel elvlasztott cmtrexport) is kitallhat, hogy az a kzismert csv, vagyis vesszvel elvlasztott rtkekbl ll fjlformtummal dolgozik. A cmtr adatait ilyen fjlokban exportlhatjuk, illetve
megfelel tartalm csv fjl esetn importlhatjuk is azt a cmtrba. A csv
formtum kivlan hasznlhat, ha az adatokon valamifle utfeldol-
293
Tartomnyi krnyezet
gozst, mdostst szeretnnk vgezni, a fjl akr Excel segtsgvel is

megnyithat s mdosthat.
LDIFDE a program segtsgvel j cmtrobjektumokat hozhatunk

ltre, illetve mdosthatjuk, trlhetjk a meglvket. Az LDIFDE segtsgvel bvthet a sma, az Active Directory-felhasznl- s csoportadatai exportlhatk ms alkalmazsokba vagy szolgltatsokba,
illetve az Active Directory feltlthet ms cmtrszolgltats adataival.
Az LDIFDE specilis szvegfjlformtummal dolgozik, amelyben az
adatok mellett utastsok is szerepelhetnek. Az LDIF-formtum az
LDAP-cmtrak kztti replikci szabvnya, gy segtsgvel brmilyen mvelet elvgezhet.
Ntdsutil a program az Active Directory-adatbzisnak karbantartsra

s alkalmazspartcik ltrehozsra hasznlhat. A program segtsgvel
van lehetsg a hlzatrl nem megfelelen eltvoltott (meghibsodott,
ablakon kidobott stb.) tartomnyvezrlkn maradt egyedi fkiszolglmveletek erszakos tadsra. Az ntdsutil tbbszint parancsrendszerrel rendelkezik. Minden szinten hasznlhat a help parancs, amely az aktulisan kiadhat utastsokrl ad tjkoztatst. Ugyancsak az ntdsutilprogramot hasznlhatjuk a cmtradatok autoritatv (mrvad) visszalltshoz s a cmtr-visszalltsi jelsz belltshoz. A cmtradatok viszszalltsval s a DSRM-zemmddal A cmtr mentse s visszalltsa szakaszban rszletesen is foglalkozunk.
A DNS-szolgltats
Ha Active Directoryt szeretnnk, akkor a DNS-szolgltats hasznlata nem
opcionlis, a gpek kztti egyszer nvfelolds, s az Active Directory mkdshez nlklzhetetlen szolgltatsok azonostsa is a DNS-adatokon alapul. A Windows tartomny nevnek radsul minden esetben meg kell
egyeznie a hozz tartoz DNS-tartomny nevvel, vagyis a kt klnll nvtr szoros szimbizisban ltezik.
Fontos tisztznunk, hogy az azonos nv ellenre a DNS-tartomnyok s az
Active Directory-tartomnyok szerepe alapveten eltr egymstl. Br a kt
nvtr azonos tartomnystruktrt hasznl, a trolt adatok, s gy a kezelt
objektumok is klnbzek: a DNS-znkat s erforrsrekordokat, mg az
Active Directory-tartomnyokat s a tartomnyhoz tartoz objektumokat trol. A DNS-erforrsrekordokat ad vlaszul a tartomny- s szmtgpnevekre vonatkoz krsekre, amelyek a DNS-kiszolglkhoz rkeznek, mg az
294
A DNS-szolgltats
Active Directory a tartomnyvezrlkhz intzett LDAP-krsek hatsra elvgzi a krt mveletet az adatbzisban trolt objektumokon.
Ez teht azt jelenti, hogy egy szmtgpet reprezentl Active Directoryobjektum, s az adott szmtgphez tartoz DNS-erforrsrekord kt teljesen klnbz nvtrben tallhat.
Br a DNS-kiszolgl teleptse s belltsa az Active Directory teleptsvel egytt, automatikusan megtrtnik, s a szksges erforrsrekordok
bejegyzse is automatikus lehet, alapvet fontossga miatt nem kerlhetjk
el a kzelebbi ismeretsget, mivel jl belltott DNS-kiszolgl nlkl az
Active Directory alapfunkcii is mkdskptelenek.
A DNS (Domain Name System) az IETF (Internet Engineering Task
Force) nvszolgltatsi szabvnyn alapul szolgltats, az interneten hasznlt nvazonosts alapja. A DNS olyan nemzetkzi, tbbszint elosztott
rendszer, amelynek segtsgvel a hlzati szmtgpek a tartomny-, illetve
hostnevek bejegyzst s feloldst valstjk meg. A DNS-adatbzis a szmtgpnevekrl (s ms szolgltatsokrl) s az egyes nevekhez, illetve szolgltatsokhoz tartoz IP-cmekrl trol informcit. Ezeket a neveket hasznljuk pldul az internethez csatlakoz szmtgpek erforrsainak keresshez s hasznlathoz is. A 13 darab gynevezett root DNS-kiszolglt az
InterNIC nev (termszetesen amerikai szkhely) szervezet tartja fenn. Mivel ersen elosztott rendszerrl van sz, az IP-cmek s hostnevek sszerendelst trol adatbzis sok ezer nll DNS-kiszolgln tallhat. A DNS hrom f alkotrszbl ll:
A tartomnynvtr s a kapcsold erforrsrekordok elosztott adatbzist alkotnak.
A DNS-nvkiszolglk troljk a tartomny nvtert s az erforrsrekordokat, tovbb vlaszolnak a DNS-gyfelek krdseire.
A DNS-gyfelek rszt kpez DNS-lekrdezk (resolver) felveszik a

kapcsolatot a nvkiszolglkkal, s nvlekrdezseket kldenek, hogy
hozzjussanak az erforrsrekordokhoz, vagyis az IP-cmekhez.
A nvfelolds menete
A kvetkezkben vgigkvetjk a nvlekrdezs menett, megvizsgljuk,
hogy a lekrdezst kezdemnyez alkalmazs honnan, s milyen mdon juthat hozz a krt adatokhoz. Minden alkalmazs a DNS-gyfl rszt kpez
resolver szolgltatshoz fordul, ha egy megadott nvhez tartoz IP-cmre
(vagy fordtva) van szksge.
295
Tartomnyi krnyezet
A resolver elszr is a loklisan trolt DNS-gyorsttrban (lsd ksbb) prblja megkeresni a krt rekordot, ha ez sikeres, akkor a krs egyltaln nem
hagyja el a szmtgpet. Ha a keresett adat nem tallhat a gyorsttrban, akkor a resolver a TCP-IP-paramterek kztt megadott DNS-kiszolglhoz fordul,
neki teszi fel a krdst. Ha a kiszolgl az ltala trolt adatbzis-tredk alapjn
kpes a vlaszra, akkor visszakldi a krdses rekordot.
Ha a rekord itt sem tallhat, akkor a krs tovbb utazik flfel a hierarchiban, a DNS-kiszolgl a tovbbtknt megadott kiszolglnak (vagy jobb
hjn kzvetlenl a rootkiszolglknak) kldi el azt. Innen a lekrdezs megindul jra lefel a hierarchiban, egszen addig, amg meg nem tallja azt a
kiszolglt, ami az elosztott adatbzisnak ppen azt a szeletkjt trolja,
amelynek alapjn a krs megvlaszolhat. Nincs azonban mindig szksg a
teljes kr vgigjrsra, mivel minden egyes DNS-kiszolgl is gyorsttrazza a lekrdezseket, gy a gyakrabban elfordul cmekrt nem kell tovbb
krdezskdnie, a krs sok esetben a gyorsttrbl is kiszolglhat.
Hogy a lekrdezs tja jobban kvethet legyen, nzznk vgig egy konkrt esetet:
Egy szmtgpen fut bngszprogram a www.microsoft.com cmen tallhat weboldalt szeretn betlteni, ehhez termszetesen szksge van a nvhez
tartoz IP-cmre. Felttelezzk (br vals esetben valsznleg nem gy lenne),
hogy a cmhez tartoz erforrs-rekord nem szerepel egyetlen gyorsttrban
sem. A DNS-krst a gp sajt DNS-kiszolglja csak akkor tudja megvlaszolni, ha a microsoft.com tartomny sajt kiszolgljrl van sz, a tartomnyban lv www nev gp erforrsrekordja csak itt tallhat meg.
ltalban ez nyilvn nem gy van, vagyis a krs (hacsak a DNS-kiszolgln nincs tovbbt megadva, ahov a lekrdezseket el kell kldeni) a root
kiszolglkhoz kerl. k tudjk azt, hogy kik a com tartomny DNS-kiszolgli, teht a krst ezekhez fogjk elkldeni. A com tartomny kiszolgli
ismerik a microsoft.com DNS-kiszolgljt, ott pedig mr valban megtallhat a www nev gp erforrsrekordja, ez fog visszajutni a lekrdezst elindt resolverhez.
A DNS-nvfelolds nemcsak az interneten, hanem a modern, Active
Directory alap Windows tartomnyokban is alapvet szolgltats, amelynek
esetleges hibja drmai hatssal van a teljes bels hlzat letre. A Windows
hlzatokban is a DNS hasznlatval trtnik a gpek kztti kommunikcihoz szksges nvfelolds, a kiszolgli szerepek s szolgltatsok (tartomnyvezrl, globlis katalgus stb.) megkeresse. Jl mkd DNS-re van szksg,
hogy j gpeket lptethessnk be a tartomnyba, rszben a DNS-adatokon alapul a tartomnyadatok replikcija, s mg sok, sok ms nlklzhetetlen szolgltats is. A rgi NetBIOS alap nvfelolds csak vsztartalkknt jhet
szba, a DNS-kiszolgl hibja esetn nyerhetnk vele nmi idt.
296
A DNS-szolgltats
A DNS-gyorsttr (DNS Resolver Cache)

A Windows DNS-gyfelei tmogatjk a DNS-adatok gyorsttrazst, gy
cskkentve a DNS-lekrdezsek ltal generlt hlzati forgalmat, s gyorstva a gyakrabban hasznlt nevek feloldst. A DNS Resolver Cache Service
tmogatja a negatv gyorsttrazst is, ami a kvetkezk szerint mkdik:
Ha egy nvlekrdezs negatv eredmnyt ad (vagyis egyetlen DNS-kiszolgl
sem volt kpes a krt cm biztostsra), az adott nvre vonatkoz tovbbi krsek mr kzvetlenl a gyorsttrbl kapnak negatv visszajelzst (alaprtelmezs szerint 5 percig).
Mg egy funkcija van a negatv gyorsttrazsnak: ha a lekrdezett
DNS-kiszolglk kzl egyik sem rhet el, alaprtelmezs szerint 30 msodpercig minden tovbbi lekrdezs a timeout peridus kivrsa nlkl azonnal
negatv vlaszt kap a gyorsttrbl. Ez a szolgltats klnsen a szmtgp indulsakor takarthat meg jelents idt: ha a DNS-kiszolgl nem vlaszol, nem kell az indul, DNS-lekrdezst vgrehajt szolgltatsok mindegyiknek kivrni a timeout peridusok lejrtt. Az gyfloldali gyorsttr
tartalmt az albbi parancs segtsgvel tekinthetjk meg:
C:\>ipconfig /displaydns
Windows IP Configuration
1.0.0.127.in-addr.arpa
---------------------------------------Record Name . . . . . : 1.0.0.127.in-addr.arpa.
Record Type . . . . . : 12
Time To Live . . . . : 604667
...
Bizonyos esetekben a gyorsttr problmkat is okozhat, mivel a DNSkiszolgln vgzett mdostsok csak ksve rkeznek meg az gyfelekre.
Ilyenkor mindig arra kell gondolnunk, hogy a gyorsttr mg a mdosts
eltti adatokat tartalmazza. Az gyfloldali gyorsttrat az albbi parancs
segtsgvel trlhetjk:
C:\>ipconfig /flushdns
Windows IP Configuration
Successfully flushed the DNS Resolver Cache.
Magn a DNS-kiszolgln is van gyorsttr, ami esetleg szintn okozhat hasonl problmkat. A gyorsttrat a DNS-kiszolglhoz tartoz MMC konzolrl (Action -> Clear Cache), illetve az albbi parancs segtsgvel trlhetjk:
297
Tartomnyi krnyezet
C:\>dnscmd server.ceg.local /clearcache
server.ceg.local completed successfully.
Command completed successfully.
Ez a parancs nemcsak a kiszolgln, hanem brmelyik gyflgpen is lefuttathat.
A dnscmd program a Windows Support Tools rsze, gy azt kln kell telepteni (\support\
tools\suptools.msi a telept CD-n).
A DNS-zna
Znnak nevezzk a DNS-adatbzisokban a DNS-fa egy sszefgg rszt,
amelyet a DNS-kiszolgl nll egysgknt kezel. Minden zna tartalmazza a
hozz tartoz nevekhez kapcsold valamennyi erforrsrekordot. Zna pldul
a ceg.hu, a ceg.local, a ceg.priv stb. A zna belltsainak (pldul a nevnek)
megadsakor nagyon fontos, hogy tekintettel legynk a publikus s a tartomnyon belli DNS-szolgltats szigor elklntsre. Semmikppen nem clszer pldul a bels DNS-tartomny neveknt a vllalat regisztrlt, internetes
tartomnynevt hasznlni, sokkal jobb vlaszts a ceg.local tpus nv.
A DNS-kiszolglk minden znt nll fjlban trolnak (ha nem Active
Directory integrlt znrl van sz, lsd ksbb), gy a zna a replikci,
vagyis a DNS-adatok szinkronizlsnak alapegysge is. Az adatok visszakeressnek irnya alapjn kt znafajtt klnbztetnk meg:
Forward Lookup Zone (Cmkeressi zna) a cmkeressi znkban a

DNS-kiszolgl a krsben szerepl IP-cm alapjn hostnevet tud visszaadni, vagyis a zna az egyes hostnevekhez tartoz IP-cmeket trolja.
Reverse Lookup Zone (Nvkeressi zna) a nvkeressi znkban

fordtott irny keressre van lehetsg, vagyis a DNS-kiszolgl a lekrdezett IP-cmhez tartoz hostnevet tudja visszaadni.
A znk tpusai
A Windows kiszolglk DNS-kiszolgli hrom klnbz znatpust kpesek
trolni.
298
Standard Primary (szabvnyos elsdleges) a zna eredeti, mdosthat pldnyt trolja, ez fog a msodlagos znkba replikldni. A znban trtn brmifle vltoztats csak az elsdleges znban trtnhet.
Az elsdleges zna trolsra minden esetben egy egyszer szveges l-
A DNS-szolgltats
lomny, a znafjl szolgl. A znafjlok kiterjesztse dns, s a DNSkiszolglt futtat szmtgp %windir%\System32\Dns mappjban
tallhatjuk meg ket. A fjlok neve megegyezik a zna teljes nevvel.
Standard Secondary (szabvnyos msodlagos) a msodlagos zna

adatai csak olvashatk, az minden esetben az elsdleges zna egy msolatt trolja. A msodlagos znk hasznlata sok DNS-krs esetn
jelentsen lervidtheti a vlaszidt, az elsdleges znt trol szmtgp meghibsodsa estn pedig azonnal kszen ll tartalkknt
szolglhat. A Windows Server 2003 DNS-kiszolgljn azt tapasztalhatjuk, hogy a msodlagos zna is rhat, de ez csak azrt tnik gy,
mert az ilyen krseket a kiszolgl automatikusan tirnytja az elsdleges znt trol szmtgphez.
Stub Zone (helyettes zna) a helyettes zna csak bizonyos rekordokat

tartalmaz, amelyek alapjn az adott zna mrvad DNS-kiszolgli
azonosthatk.
A zna trolsa
A znaadatokat trolhatjuk a szoksos mdon fjlokban, illetve lehetsgnk
van Active Directory integrated (Active Directory-integrlt) trolsi tpus
hasznlatra is. Ez a trolsi md a Microsoft sajt megoldsa, ebben az
esetben a zna adatai (vagyis az elsdleges s a helyettest znk rekordjai)
kzvetlenl az Active Directory-adatbzisban troldnak a tbbi objektummal
egytt. Ebbl persze egyenesen kvetkezik, hogy ilyen znt csak tartomnyvezrln hozhatunk ltre. Az integrlt zna hasznlata mg egy fontos kvetkezmnnyel jr: ebben az esetben az Active Directory replikcija egyben a
DNS-adatok replikcijt is jelenti. A cmtrban csak elsdleges znk trolhatk, de ha minden znt az Active Directoryban trolunk, akkor a
multimaster replikci miatt egyltaln nincs szksg msodlagos znk
hasznlatra. Ha DNS-kiszolglnkat elssorban az Active Directory nvszolgltatsnak biztostsra sznjuk, akkor mindenkppen clszer ezt a
trolsi mdot vlasztani a kvetkez elnyk miatt:
Cmtrba integrlt znatrols esetn a DNS-zna mindegyik pldnya rhat, a szinkronizls a multimaster replikcis modell alapjn
trtnik.
Klnsen fontos, hogy ebben az esetben a zna mindegyik kiszolglja

kpes a DNS-gyfelektl rkez znafrisstsi krelmek fogadsra,
amg van hozzfrhet s elrhet tartomnyvezrl.
299
Tartomnyi krnyezet
Cmtrba integrlt znk hasznlatakor hozzfrs-vezrlsi lista kapcsolhat valamennyi erforrsrekordhoz, gy differencilt hozzfrst
adhatunk akr minden egyes rekordhoz.
Integrlt trols esetn egysgesen kezelhet s felgyelhet az Active

Directory s DNS-znk replikcija.
Az Active Directory replikcija az objektumok tulajdonsgainak szintjn trtnik, gy a rendszer a lehet legkisebb adatmennyisget mozgatja a znaadatok szinkronizcijhoz is.
A hagyomnyos mdon, vagyis szvegfjlban trolt znk esetben mindenkppen elnys az nll, jl tlthat trols (ez pldul a zna mentst is
egyszerbb s gyorsabb teszi), viszont a znk kztti szinkronizci belltsa, illetve az elsdleges s msodlagos znkat trol kiszolglk kivlasztsa tbb odafigyelst s manulis munkt ignyel.
A nvkiszolglk tpusai
A nvkiszolglk csoportostsa az ltaluk trolt (vagy nem trolt) zna tpusa alapjn trtnik, megklnbztetnk elsdleges, msodlagos, illetve gyorstraz kiszolglkat:
300
Primary DNS Server (elsdleges DNS-kiszolgl) az elsdleges kiszolgl felels a zna karbantartsrt, a zna tulajdonosa, a bejegyzett rekordokhoz teljes jogosultsga van.
Secondary DNS Server (msodlagos DNS-kiszolgl) a msodlagos

nvkiszolgl legfontosabb feladata az, hogy a nvszolgltats az elsdleges kiszolgl kiesse esetn is hozzfrhet legyen, az gyfelek tovbbra is lekrdezhessk a tartomny szmtgpeihez tartoz IP-cmeket. A msodlagos kiszolgl a zna msolatt tartalmazza, s a
SOA-rekordban meghatrozott idkznknt (ha az elsdleges zna
megvltozott) znatvitelt kezdemnyez, vagyis tveszi az elsdleges
zna tartalmt (pontosabban csak a vltozsokat).
Cache-only DNS Server (gyorstraz DNS-kiszolgl) a gyorstraz DNS kiszolgl nem trol znaadatokat, ltnek egyetlen rtelme a
kiszolgl-oldali gyorsttr fenntartsa.
A DNS-szolgltats
Ez a fajta csoportosts csak a fjlban trolt znk (gy pldul az interneten hasznlt publikus
nvkiszolglk) esetn rvnyes. Active Directory-integrlt znatrols esetn valamennyi kiszolgl adatbzisa mdosthat, a znafrissts pedig a cmtr replikcijval egytt automatikusan megtrtnik.
Milyen rekordokat tartalmaz egy zna?

A DNS-znk adatai rekordokban, vagyis strukturlt adatkupacokban troldnak, a lekrdezsekre adott vlasz minden esetben egy teljes rekord. A klnbz tpus rekordok klnfle adatmezket tartalmaznak, s gy klnfle adatok trolsra alkalmasak. A Windows kiszolglkon trolt DNS-zna
szmos klnbz tpus rekord befogadsra s visszaadsra kpes, a kvetkezkben ezeket fogjuk ttekinteni.
5.8. bra: A DNS-tartomny SOA-rekordja
SOA-rekord (Start of Authority) A SOA-rekord minden szabvnyos

zna esetn a zna els rekordja. Felels a zna inicializsrt s a
tbbi kiszolgl szmra jelzi a zna hitelessgt. A SOA-rekord hatrozza meg a znatvitel idztst, a msodlagos kiszolglk pedig az
itt trolt (s a zna minden mdostsakor nvekv) sorszm alapjn
301
Tartomnyi krnyezet
dnthetik el, hogy szksges-e a zna letltse. Ugyancsak a SOA-rekordban trolt rtk szabja meg, hogy az gyfelek mennyi ideig trolhatjk sajt gyorsttraikban a letlttt rekordokat.
A-rekord: az A-rekordok egy szmtgp nevnek s IP-cmnek sszerendelst hatrozzk meg, a lekrdezsek tbbsgre a megfelel Arekord a vlasz.
NS-rekord: az NS-rekordok a zna tovbbi mrvad nvkiszolglinak

kijellsre szolglnak. A DNS-kiszolgl alaprtelmezs szerint csak a
zna NS erforrsrekordjaiban szerepl kiszolglkra engedlyezi a
znaletltst.
CNAME-rekord: Egy msodnevet, vagyis aliast rendel a megadott A-rekordhoz, (illetve esetleg msik CNAME-rekordhoz). ltalban CNAME
hasznlatval szletnek a klvilgnak szl www, ftp, mail, proxy stb.
gpnevek, gy a valdi gpnv (ami az A-rekordban szerepel) kvetheti a
szervezeten bell kialaktott elnevezsi szoksokat, illetve a terhels megosztsa miatt tbb gp is elrhetv tehet egyetlen nv hasznlatval.
MX-rekord: Az MX-erforrsrekordot az elektronikus levelezsre szolgl alkalmazsok hasznljk az zenetek cmzsben szerepl tartomny levelez kiszolgljnak azonostsra. A rekord annak a szmtgpnek (vagy szmtgpeknek) a nevt tartalmazza, amely az adott
tartomnyba rkez levelek fogadsrt felels. A szmtgp nevn
kvl a rekord tartalmaz egy szmot is, ami az adott kiszolgl prioritst jelzi (az alacsonyabb rtk magasabb prioritst jelent).
PTR-rekord: a PTR (pointer, mutat) erforrsrekordok a nvkeressi

mveletek tmogatsra szolglnak, egy IP-cm s egy hostnv sszerendelst hatrozzk meg.
WINS-rekord: A WINS-erforrsrekordban egy WINS-kiszolglt adhatunk meg, ide tovbbtdnak majd a DNS-adatok alapjn meg nem
vlaszolhat IP-cm lekrdezsek.
WINS-R-rekord: ugyancsak egy WINS-kiszolgl cmt adhatjuk meg

ebben a rekordban, ide a sikertelen fordtott lekrdezsek (ilyenkor nv
alapjn keresnk IP-cmet) fognak tovbbtdni.
SRV-rekord: az SRV-rekordok az Active Directoryhoz kapcsold

szolgltatsok megtallst teszik lehetv.
Az utols hrom rekordtpus csak az Active Directory-tartomny bels DNS-kiszolgliban fordul el, a publikus nvkiszolglk ezeket nem tartalmazzk.
302
A DNS-szolgltats
Az SRV-rekordok formtuma
Az SRV-rekordok teht az Active Directory-szolgltatsok elrshez szksgesek. Hasznlatukkal lehetv vlik az, hogy tbb, hasonl TCP/IP-alap
szolgltatst nyjt kiszolglt egyetlen DNS-lekrdezsi mvelettel keressnk meg. A DNS-lekrdezs ebben az esetben nem egy konkrt kiszolglra,
hanem magra a szolgltatsra vonatkozik, a lekrdez pedig az SRV-rekordok ltal trolt kiszolgllistbl fogja megkapni azt, amelyik a belltott prioritsok alapjn jr neki. Ilyen mdon trtnik pldul az LDAP-protokoll segtsgvel a 389-es TCP-porton keresztl elrhet Active Directory-szolgltats megkeresse is. Az gyflgpek ebben az esetben nem egy konkrt szmtgp IP-cmt krdezik le a nvkiszolgltl, k csak annyit tudnak, hogy az
adott tartomny egyik (brmelyik) tartomnyvezrljvel kvnjk felvenni a
kapcsolatot, vagyis egy szolgltats (amit ltalban tbb konkrt szmtgp
is kpes nyjtani) IP-cmt fogjk megkapni.
Az SRV-erforrsrekordok egyes mezinek rendeltetse a kvetkez:
Szolgltats A keresett szolgltats szimbolikus neve. A szolgltats neve lehet pldul _ldap vagy _kerberos.
Protokoll Az tviteli protokoll tpust jelzi. Ez ltalban TCP vagy

UDP, br elmletben ms protokollok is hasznlhatk.
Nv A DNS-tartomnynv, amelyhez az erforrsrekord tartozik.
5.9. bra: Az LDAP-szolgltats elrst biztost egyik SRV-rekord
303
Tartomnyi krnyezet
Priorits Meghatrozza a cl mezben szerepl kiszolgl prioritst. Az SRV-erforrsrekordokat lekrdez DNS-gyfelek a legalacsonyabb sorszm (vagyis legmagasabb priorits) elrhet kiszolglval
prbljk meg felvenni a kapcsolatot.
Slyozs A priorits mellett a slyozs is terhelselosztsra hasznlhat. Azonos priorits kiszolglk esetn ez az rtk hatrozza
meg a lekrdezs eredmnyt.
Port A cllloms kiszolglportjnak szma, amelyen az adott szolgltats elrhet.
Cl A krt szolgltats nyjtsra kpes kiszolgl DNS-tartomnynevt tartalmazza. Az itt szerepl nvhez tartoznia kell egy megfelel
llomscm (A) erforrsrekordnak, amely alapjn a krdses IP-cm
meghatrozhat.
Az albbi sorokban egy plda SRV-rekord lthat, fell az egyes mezk neve,
alul pedig egy lehetsges rtke:
Service_.Protocol.Name Ttl Class SRV Priority Weight Port Target
_ldap._tcp.ceg.local 600 IN SRV 0 100 389 server.ceg.local
A DNS-kiszolgl belltsnak lpsei

A DNS-kiszolgl teleptse az els tartomnyvezrl teleptse kzben automatikusan megtrtnik, a ltrejv zna neve pedig megegyezik az Active
Directory-tartomny nevvel. Minden tartomnyban rdemes legalbb kt
DNS-kiszolglt ltrehozni, clszeren ezek a tartomnyvezrlk lehetnek.
A DNS-szolgltatst nyjt gpek kivlasztsnl azonban mindenkppen figyelembe kell vennnk, hogy Active Directory-integrlt zna kizrlag tartomnyvezrln hozhat ltre.
A DNS-kiszolgl belltsi lehetsgei
Ebben a screencastban ttekintjk az Active Directory alapjul szolgl DNS-kiszolgl belltsi lehetsgeit s rszletesen megismerjk az egyes opcik jelentst.
Fjlnv: II-2-2-DNS.avi
A telepts utn azonban nhny fontos belltst ellenriznnk, illetve mdostanunk kell, hogy a nvszolgltats mkdse minden szempontbl megfelel lehessen. A belltsok kt nagy csoportba tartoznak; elsknt a zna,
majd a teljes kiszolgl opciit fogjuk ttekinteni.
304
A DNS-szolgltats
A DNS-kiszolgl felgyeletre a DNS nev MMC beplmodul szolgl, amit

legknnyebben a Start men Administrative Tools (Felgyeleti eszkzk) mappjbl indthatunk el. A zna opciinak megjelentshez a bal oldali fban nyissuk ki a kiszolglnk neve alatt tallhat Forward Lookup Zones (Cmkeressi
znk) csompontot, kattintsunk jobb gombbal a tartomnyunk nevnek megfelel sorra, majd vlasszuk a Properties (Tulajdonsgok) parancsot!
Amint az albbi kpen is lthat, az Active Directory teleptse kzben automatikusan ltrehozott zna alaprtelmezs szerint Active Directory-integrlt,
vagyis az erforrsrekordok a cmtr objektumainak kpben troldnak. Az
alaprtelmezett llapot szerint engedlyezett a znaadatok dinamikus frisstse (Dynamic updates) is, vagyis az gyflgpek maguk kezdemnyezhetik A s
PTR rekordjaik bejegyzst, illetve mdostst.
5.10. bra: Az AD teleptse kzben ltrehozott DNS-zna tulajdonsgai
A Name Servers (Nvkiszolglk) lap a msodlagos DNS-kiszolglk

felvtelre szolgl, az itt megadott szmtgpek szmra NS-rekord
kszl a znban.
A Zone Transfers (Znatvitel) lapon engedlyezhetjk a zna ms

kiszolglkra trtn tmsolst. Ha minden kiszolgln Active Directory-integrlt znt hasznlunk, akkor egyltaln nincs szksg znatvitel belltsra, mivel ebben az esetben a cmtr replikcija a
znaadatok tvitelt is magban foglalja.
305
Tartomnyi krnyezet
A zna belltsai utn kvetkezzenek a kiszolgl opcii, ezek az adott kiszolgln ltrehozott valamennyi znra vonatkoznak majd. Keressk meg a
fban a kiszolglnk nevt, kattintsunk r a jobb gombbal, s vlasszuk a
Properties (Tulajdonsgok) parancsot!
Ha tbb hlzati csatol is van a gpben, akkor nagyon fontos, hogy a megfelel csatolra korltozzuk a DNS-szolgltatst. Nyilvnvalan teljesen felesleges (st kros), ha pldul a tartomnyon belli neveket kezel kiszolgl a
kls (az internet-szolgltat fel nz) csatolra rkez krsekre is vlaszol.
Az Interfaces (Kapcsolatok) lapon vlaszthatjuk ki a kiszolgl IP-cmei kzl
azokat, amelyeken keresztl vlaszolni kvnunk a berkez DNS-krsekre.
5.11. bra: A DNS-kiszolglnak nem kell felttlenl minden csatoln keresztl vlaszolnia
(br, ha csak egy van, akkor mgis)
A Forwarders (Tovbbtk) lapon azokat a DNS-kiszolglkat adhatjuk meg,

ahov tovbbhalad egy helyben nem feloldhat (pl. internetre irnyul) lekrdezs. Ha nem adunk meg egyetlen tovbbtt sem, az azt jelenti, hogy
DNS-kiszolglnk minden, a hlzaton kvlre irnyul lekrdezst vgs
sorban a gykrmutatk (vagyis a root DNS-kiszolglk) hasznlatval fog
feloldani. Ennek eredmnyeknt nagy mennyisg bels, esetleg kritikus fontossg DNS-informcit kldhetnk ki az internetre. A biztonsgi s adatvdelmi problma mellett ez a mdszer jelents kls forgalommal is jr, terhelve a vllalat internetkapcsolatt.
306
A DNS-szolgltats
Ha tovbbtt jellnk ki (jellemzen az internetszolgltatnk DNS-kiszolgljt), akkor t tesszk felelss a kls forgalom kezelsrt. A tovbbt
radsul vrhatan rengeteg kls DNS-informcit gyjt ssze a gyorsttrban, gy a kls DNS-lekrdezsek j rszt az itt trolt adatok hasznlatval
is fel tudja majd oldani.
A tovbbt hasznlatra belltott DNS-kiszolgl az albbiak szerint
prblja megvlaszolni a hozz rkez lekrdezseket:
A DNS-kiszolgl a berkez lekrdezseket elszr a gyorsttrbl,

majd a rajta trolt elsdleges s msodlagos znk rekordjai kztti
keresssel prblja feloldani.
Ha az elz keressek sikertelenek voltak, akkor a lekrdezs a tovbbtknt megadott DNS-kiszolglhoz kerl.
A DNS-kiszolgl meghatrozott ideig vr a tovbbt vlaszra, majd

megprbl kapcsolatba lpni a gykrmutatiban megadott DNS-kiszolglkkal.
Utols lpsknt, ha szksges, ltre kell hoznunk a megfelel nvkeressi

znkat a nvlekrdezsi mveletek tmogatsra. Az alapbelltsok helyes
megadsa utn a DNS-kiszolglval nem lesz tl sok gondunk; az erforrsrekordok (A, PTR, SRV stb.) bejegyzse, trlse, tnevezse teljesen automatikus. Alaprtelmezs szerint a statikus TCP/IP-paramterekkel rendelkez
hlzati csatolk megprbljk dinamikusan regisztrlni lloms (A) s mutat (PTR) tpus erforrsrekordjaikat. A regisztrlt nv a szmtgpnv, s
a szmtgp elsdleges DNS-uttagjnak sszefzsbl alakul ki. Az elsdleges DNS-uttag alaprtelmezs szerint megegyezik a tartomny nevvel.
A dinamikus cmbejegyzs (DDNS) kivlthat a kvetkez parancs hasznlatval:
C:\> ipconfig /registerdns
Rgebbi gyfelek hasznlata (Windows 9x, Windows NT) esetn a dinamikus

bejegyzs csak a DHCP-szolgltats kzremkdsvel lehetsges. A DHCP a
kiosztott cmeket (megfelel bellts esetn) megprblja a DNS-kiszolgln
is regisztrlni.
Egy jl mkd tartomnyvezrl DNS-znafjlja az albbi brhoz hasonlan nz ki:
307
Tartomnyi krnyezet
5.12. bra: A jl mkd DNS-zna
Kt cmkeressi znnk van, az _msdcs.ceg.local (Microsoft Domain Controllers) tovbb bonthat dc, domains, gc s pdc bejegyzsekre. A gc a globlis katalgust jelenti, a pdc bejegyzs pedig a PDC-emultorra utal. A ceg.local
alatt az albbi altartomnyokat kell tallnunk:
_sites itt a tartomnyvezrlket telephelyek szerinti bontsban talljuk, ez alapjn talljk meg a munkallomsok a hozzjuk legkzelebb
es kiszolglkat
_tcp s _udp az egyes szolgltatsok felbontsa TCP-csatorna-elrsi

szempontbl
Amennyiben ezek a bejegyzsek hinyoznak, az Active Directory mg alapfunkciit sem fogja tudni elltni. Ha nincs meg minden, vagy res a zna, a
kvetkezt tehetjk: Ha engedlyeztk a DNS-adatok dinamikus frisstst,
akkor a tartomnyi SRV-rekordok regisztrcijrt a NetLogon-szolgltats
felels, amely a bejegyzseket indulskor hozza ltre. Adjuk ki teht a kvetkez parancsokat:
C:\>net start netlogon
C:\>net stop netlogon
308

A Windows-kiszolglk letben az Active Directory is csak olyan, mint brmelyik msik szolgltats; tetszs szerint telepthet, illetve eltvolthat a
kiszolglrl. Ennek ellenre a telepts, illetve eltvolts egyltaln nem
tekinthet mindennapos rutinmveletnek, ezrt csak komoly odafigyelssel
s megfelel elkszletek utn clszer elvgezni. A kvetkezkben ttekintjk a telepts elfeltteleit, a teleptprogram ltal elvgzett mveleteket s
azokat a hibalehetsgeket, amelyek a telepts kzben felmerlhetnek.
Az Active Directory teleptse a kiszolglra
Ebben a screencastban felteleptjk kiszolglnkra lpsrl lpsre az Active Directory-szolgltatst, s megismerkednk a teleptprogram ltal bekrt klnfle paramterek jelentsvel.
Fjlnv: II-2-3-AD-Telepites.avi
A telepts felttelei
Az Active Directory hasznlathoz Windows Server 2003 opercis rendszer
szksges, gyflrendszerekre a cmtr nem telepthet. A teleptprogram
futsa kzben meg kell adnunk a cmtr adatfjljainak leend helyt (alaprtelmezs szerint %WINDIR%\NTDS). A megadott mappnak mindenkppen
NTFS fjlrendszer kteten kell lennie, a minimlis helyigny pedig nagyjbl 250 MB. Nagyobb ignybevtel esetn indokolt lehet az nll, csak erre a
clra hasznlt cmtrpartci ltrehozsa. Mit neveznk nagy ignybevtelnek? Egy tlagos magyar vllalatnl elfordul terhelst semmikppen sem.
A gyakorlatban tbb ezer, de mg inkbb nhny tzezer troland objektum
esetn lehet szksg erre a megoldsra.
A cmtr teleptshez rendszergazda jogosultsg szksges egyrszt az
adott szmtgpen, msrszt, ha mr ltez tartomnyhoz csatlakozunk, akkor a tartomnyban is.
Alapfelttel a tkletesen belltott TCP/IP, elssorban a DNS-kiszolgl
miatt. Az Active Directory alapszksglete a jl mkd nvszolgltats, ha a
telept nem tall a hlzaton hasznlhat DNS-szolgltatst, akkor a telepts kzben maga hoz ltre egyet.
309
Tartomnyi krnyezet
Mi trtnik a telepts kzben?

Az Active Directory teleptst a Start men Administrative Tools (Felgyeleti
eszkzk) csoportjban tallhat Configure Your Server Wizard (Kiszolgl
konfigurlsa varzsl) segtsgvel vgezhetjk el; a Domain Controller (Tartomnyvezrl) szerepkrt kell kivlasztanunk. Egybknt a teleptprogram
neve DCPromo.exe, akr a Run (Futtats) menbl, akr parancssorbl kzvetlenl is elindthatjuk.
A DCPromo elszr is bekri az j tartomnyvezrlre vonatkoz adatokat:
5.13. bra: A DCPromo els krdse
j tartomnyt hozunk ltre, vagy meglv tartomnyhoz csatlakozunk?

Ha meglv tartomnyhoz csatlakozunk, akkor meg kell adnunk a tartomny nevt, s a megfelel hitelestsi adatokat. j tartomny esetn pedig jn a kvetkez krds:
A tartomny egy j erdben lesz, egy mr ltez tartomnyfra szeretnnk felfzni, esetleg j tartomnyft hoznnk ltre szmra egy ltez erdben?
Ttelezzk fel, hogy mg nincs Active Directory a hlzatban. Ebben az esetben

nyilvnvalan j tartomnyt hozunk ltre, de egyben termszetesen j ft s j
erdt is, vagyis egyszeren elfogadhatjuk az alaprtelmezett opcikat.
310

A tartomnyvezrlkn (a tartomny tbbi szmtgpvel ellenttben) nincs helyi felhasznli adatbzis. A tartomnyvezrlv trtn ellptets kzben (j tartomny esetn) a
DCPromo a ltez helyi felhasznli fikokat tmsolja az Active Directoryba, a helyi Administrator (Rendszergazda) felhasznl pldul tartomnyi rendszergazdv alakul. Amennyiben
azonban nem j tartomnyt hozunk ltre, hanem egy mr ltez tartomnyhoz csatlakozunk, a
gpen trolt helyi felhasznli fikok nem kerlnek be az Active Directory-adatbzisban, hanem egyszeren eltnnek. A DCPromo futtatsa utn teht mindkt esetben csak a tartomnyi
felhasznlnevek s jelszavak hasznlatval fogunk tudni bejelentkezni.
Ezutn mr csak az j tartomny leend DNS s NetBIOS nevt, valamint az

adatbzisfjlok s a SYSVOL megoszts helyt kell megadnunk, s kezddhet
is a telepts. Futsa kzben a teleptprogram az albbi mveleteket vgzi el:
Amennyiben a telept nem tall elrhet s hasznlhat DNS-szolgltatst, s nem utastjuk kifejezetten az ellenkezjre, akkor a telepts
rszeknt megtrtnik a DNS-kiszolgl teleptse s belltsa is.
Ltrehozza a cmtrpartcikat, magt az Active Directory-adatbzist

s a naplllomnyokat.
Ha egy j erd els tartomnyvezrljt teleptjk, akkor ltrehozza az

gynevezett forest root domain-t, teht az erd els (gykr) tartomnyt.
Ltrehozza s megosztja a SYSVOL-mappt (az gyflgpek innen tltik majd le a hzirendeket, szkripteket stb.).
Belltja az adott tartomnyvezrl telephely tagsgt.
Belltja a cmtrszolgltats s a repliklt mappk jogosultsgait.
Bekri s eltrolja a cmtr-visszalltsi jelszt. A Directory Services

Restore Mode jelszavra akkor lehet szksgnk, ha a gpen valamilyen ok miatt (valamelyik cskkentett mdban (Safe Mode), illetve a
cmtrszolgltatsok helyrelltsi zemmdjban (Directory Services
Restore Mode, DSRM) trtn rendszerindts, a Recovery Console
(helyrelltsi konzol) hasznlata, esetleg valamifle rendszerhiba)
nem ll rendelkezsre az Active Directory, gy az abban trolt felhasznli fikok hasznlatval nem tudunk bejelentkezni. Ekkor kell ezt a
jelszt megadnunk, amelynek azonostsa a System Account Manager
(rendszer fikkezel, SAM) adatai alapjn trtnik.
311
Tartomnyi krnyezet
Hibalehetsgek
Az Active Directory teleptse a korbban felsorolt felttelek teljeslse esetn
rutinmvelet, a legritkbb esetben fordul el olyan hiba, ami megakadlyozn
a telepts sikeres befejezst. Az albbi tblzatban mgis felsorolunk nhnyat a leggyakrabban elfordul hibajelensgek s a lehetsges okok kzl.
A jelensg
A lehetsges okok
A hozzfrs megtagadva zenet,

amikor ltrehoznnk, vagy hozzadnnk egy tartomnyvezrlt
Nem vagyunk tagjai a helyi Administrators csoportnak.
Hiba a DNS vagy a NetBIOStartomnynv megadsakor
Ltezik s elrhet ugyanilyen DNS

vagy NetBIOS nev tartomny
A mr meglv tartomnnyal nincs

kapcsolat
Hlzati (pl. TCP/IP) vagy DNS-hiba.
A lemez megtelt zenet
Az adott partcin nincs meg a minimum lemezhely
Nem vagyunk tagjai Domain Admins

vagy az Enterprise Admins csoportoknak.
Tzfal problma
Az Active Directory objektumai kt csoportba sorolhatk; a kontner tpus
objektumok ms kontnereket, s levl tpus objektumokat tartalmazhatnak. Kontner tpus objektumok teht azok, amelyek ms objektumokat tartalmazhatnak, ilyen pldul maga a tartomny, a szervezeti egysgek stb. A levl tpus objektumok a hlzat klnfle funkcival rendelkez elemeit reprezentljk, ilyenek pldul a felhasznli- s szmtgpfikok, vagy a
nyomtatk. A kvetkezkben ttekintjk azokat a cmtrobjektumokat, amelyeket a telepts utn ltre kell hoznunk, hogy az Active Directory szolgltatsait a felhasznlk s a rendszergazdk is hatkonyan vehessk ignybe.
312
Szervezeti egysgek, felhasznlk s szmtgpfikok kezelse
Ebben a screencastban az Active Directory felgyeletnek leggyakrabban hasznlt eszkzt, az
Active Directory Users and Computers konzolt ismerhetjk meg. Bemutatjuk a napi zemeltetsi gyakorlat ltalnos feladatait: szervezeti egysgeket s felhasznli fikokat hozunk ltre
s belltjuk a felhasznli fikok legfontosabb jellemzit.
Fjlnv: II-2-4a-ADUC.avi
A szervezeti egysg
A szervezeti egysgek az Active Directory-szolgltats troli, a tartomnyok
alapegysgei. A szervezeti egysgek tagjai felhasznli- s szmtgpfikok
csoportok, s ms szervezeti egysgek lehetnek. Idegen tartomnyba tartoz
objektumokat azonban nem tehetnk a szervezeti egysgekbe. A szervezeti
egysgek hasznlatnak egyik legfontosabb elnye, hogy azok a tartomnyhoz hasonl tulajdonsgokkal rendelkeznek, gy alkalmazsuk cskkenti a
szksges tartomnyok szmt. A szervezeti egysg az Active Directory legkisebb objektuma, amelyhez csoporthzirend objektumokat rendelhetnk, illetve amelyhez felgyeleti jogokat deleglhatunk. Az Active Directory-objektumokhoz tartoz jogosultsgok s a csoporthzirend is a szervezeti egysg
hierarchin keresztl rkldnek.
A szervezeti egysgek a tartomnyon bell szabadon thelyezhetk, mozgathatk. A szervezeti egysg-hierarchia megtervezse rendkvl fontos, mivel a jl kialaktott hierarchia alapvet felttele a csoporthzirend hatkony
mkdsnek. A kvetkezkben ttekintjk azokat a szempontokat, amelyeket figyelembe kell vennnk a szervezeti egysgek kialaktsakor.
A szervezeti egysgek felptsnek tervezse

A szervezeti egysg-hierarchia kialaktsnak alapvet szempontja az, hogy a
ltrehozott szerkezet minl jobban tkrzze a szervezet valdi felptst, de
nem felttlenl a szervezeti hierarchia, hanem inkbb a rendszerfelgyelet
szempontjbl. Azok a felhasznlk, illetve szmtgpek tartozzanak egy
szervezeti egysghez, akikhez vrhatan azonos csoporthzirend belltsokat szeretnnk majd rendelni, illetve azonos szemlyek fogjk majd a deleglt
felgyeleti jogokat gyakorolni felettk. Termszetesen a szervezeti egysgek
egymsba gyazsa bonyoltja a helyzetet, de a legfontosabb krds mgis ez
legyen: melyek azok a felhasznlk s szmtgpek, amelyek tbb-kevsbe
azonos belltsokat ignyelnek majd. Az albbi tblzat a szoksos stratgikat tartalmazza:
313
Tartomnyi krnyezet
Modellek
Az OU tervezs szempontjai
Fldrajzi
A struktra kialaktsa a klnbz helyek, helysznek alapjn trtnik.
Szervezeti
A struktra a cg szervezeti felptst tkrzi.
Feladatkr szerinti
A hierarchia kialaktsa a cg klnbz osztlyai,

csoportjai alapjn trtnik.
Vegyes
A hierarchia legfels szintjnek kialaktsa a helysznek alapjn, az alacsonyabb szintek felosztsa

viszont pldul a cg szervezeti felptse alapjn
trtnhet.
A fikok tpusai
A felhasznli fik
A felhasznli fik (user account) az Active Directory alap rendszer felhasznljt reprezentlja. Az objektum trolja a felhasznl adatait (nevt, e-mail cmt,
telefonszmt stb.) s lehetv teszi, hogy a rendszer klnfle elemeihez hozzfrsi jogosultsgokat definiljunk az objektum ltal reprezentlt felhasznl
szmra. A kzponti trols s hitelests miatt a felhasznlk a hlzat tetszleges pontjn azonosthatjk magukat s hozzfrhetnek a szmukra engedlyezett erforrsokhoz. Az Active Directory beptetten tartalmaz nhny felhasznli fikot (pldul az Administrator (Rendszergazda) felhasznlt).
Felhasznlk ltrehozsa sablon alapjn
Ebben a screencastban bemutatunk egy egyszer mdszert, amelynek segtsgvel tbb felhasznli fik ltrehozst elre belltott sablon alapjn vgezhetjk el.
Fjlnv: II-2-4b-User-Template.avi
A felhasznli fikok ltrehozsra s tulajdonsgaik belltsra az Active

Directory Users and Computers (Active Directory felhasznlk s szmtgpek) konzol szolgl. j felhasznl ltrehozsakor csak nhny alapvet tulajdonsgot kell megadnunk (pldul a bejelentkezsi nevet s a jelszt), a
tbbi belltsi lehetsget a felhasznl tulajdonsglapjn tallhatjuk meg.
Itt az informlis adatokon (telefonszmok, cmek stb.) tl bellthatjuk a jelsz
kezelsvel kapcsolatos klnfle opcikat, meghatrozhatjuk a felhasznli fik
lejratt (a megadott idpont utn a felhasznl mr nem fog tudni bejelentkezni),
azokat a szmtgpeket, amelyeken az adott felhasznl bejelentkezhet stb.
314
5.14. bra: A felhasznli fik alapadatai
Ugyanitt adhatjuk meg azokat a csoportokat, amelyeknek tagja a felhasznl, ez

a jogosultsgok kiosztsnak legegyszerbb (s legclszerbb) mdja.
A szmtgpfik
A szmtgpfik (computer account) az Active Directory-tartomny erforrsainak hasznlatra jogosult szmtgpet reprezentl. Az objektum a szmtgp
szmos tulajdonsgt tartalmazza (DNS-nv, opercis rendszer stb.) s lehetv
teszi, hogy a szmtgpen megadott felhasznli adatokat a cmtr hitelestse.
A szmtgpfikok nem jnnek ltre automatikusan (kivve a tartomnyvezrlkt), az objektumok ltrehozshoz az egyes gyflgpeket be kell lptetnnk a tartomnyba. (Termszetesen ltrehozhatjuk az objektumot az gyflgptl fggetlenl is, de ez nem elegend ahhoz, hogy a szmtgp valban
a tartomny tagjv vljon.) A tartomnyba val belpshez az gyflgpen
rendszergazdaknt kell bejelentkeznnk, s a folyamat sorn meg kell adnunk egy olyan tartomnyi felhasznl hitelest adatait is, akinek joga van
szmtgpfikokat ltrehozni az adott kontnerben.
315
Tartomnyi krnyezet
gyflgp belptetse a tartomnyba
Ebben a screencastban egy gyflgpet lptetnk be az Active Directory-tartomnyba, majd
megvizsgljuk a belps kzben a cmtrban ltrejtt j szmtgpfikot.
Fjlnv: II-2-4c-Join-Domain.avi
A tartomnyba val belptets kt fontos vltozssal jr az gyflgpre val bejelentkezssel kapcsolatban. Egyrszt a belps utn a helyi felhasznlk mellett valamennyi engedlyezett tartomnyi (vagyis az Active Directoryban trolt) felhasznl is be fog tudni jelentkezni a gpre. Ez azrt lehetsges, mert
gp helyi Users (Felhasznlk) csoportjnak tagja lesz a tartomny egyik alaprtelmezett csoportja, a Domain Users (Tartomnyfelhasznlk) csoport, vagyis
a tartomnyi felhasznlk a helyi Users csoporton keresztl kapnak jogot a gp
helyi erforrsainak elrsre. A msik lnyeges vltozs pedig az, hogy a helyi
Administrators (Rendszergazdk) csoportba bekerl a tartomnyi Domain
Admins (Tartomnygazdk) csoport, vagyis a tartomny rendszergazda jog
felhasznli rendszergazdaknt jelentkezhetnek be a tartomnyhoz tartoz valamennyi szmtgpen.
A csoportfikok
A csoportfikok (group account) az adminisztrci egyszerstst szolgljk, mivel a csoportokba helyezett felhasznl- s szmtgpfikok a csoporttagsgon keresztl kaphatnak hozzfrsi jogokat (biztonsgi csoport esetn),
vagyis, ha egy objektum hozzfrs-vezrlsi listjban csoportfik tallhat,
akkor a jogosultsg a csoport minden tagjra vonatkozik.
A terjesztsi csoport (distribution group) csak emailek terjesztsre hasznlt, biztonsgi szolgltatsokkal nem rendelkez csoport. A terjesztsi csoportok nem
szerepelhetnek a klnfle erforrsok s objektumok
hozzfrs-vezrlsi listiban, (Access Control List, ACL),
vagyis a terjesztsi csoportnak nem adhat semmifle jogosultsg. A terjesztsi csoportok az elektronikus levelezalkalmazsokkal hasznlhatk elektronikus levelek felhasznlcsoportoknak
val elkldsre. Ha egy csoportnak nem akarunk jogosultsgokat adni, hozzunk
ltre terjesztsi csoportot biztonsgi csoport helyett.
A biztonsgi csoportok (security group) kifejezetten a jogosultsgok kiosztsnak megknnytsre szolglnak, gy hozzadhatk az objektumok hozzfrsvezrlsi listihoz, s egymsba is gyazhatk. A biztonsgi csoport elektronikus levelezsi egysgknt is hasznlhat. A csoportnak kldtt elektronikus levelet a
csoport sszes tagja megkapja.
316
A biztonsgi csoport kategrin bell is tbb klnbz csoportot klnbztethetnk meg. A klnbsgttel alapja egyrszt az, hogy kik lehetnek a csoport tagjai, msrszt pedig az, hogy milyen objektumokhoz adhatunk engedlyt
az adott csoport szmra, vagyis a csoport mely objektumok hozzfrs-vezrlsi listiban szerepelhet. A fenti kt szempont szerint a biztonsgi csoportoknak ngy tpusrl beszlhetnk:
Helyi csoport (Machine Local Group) Olyan biztonsgi csoport, amely

csak annak a szmtgpnek az erforrsaihoz kaphat jogokat s engedlyeket, amelyen a csoportot ltrehoztk. A helyi csoportok tartalmazhatjk
brmely megbzhat hely, pldul a tartomny, vagy ms megbzotti kapcsolatban ll tartomnyok s erdk felhasznli fikjait s csoportjait.
Fontos szably, hogy helyi erforrshoz csak helyi csoportnak adjunk kzvetlenl jogosultsgot, vagyis pldul egy gyflgp NTFS-jogainak kiosztsakor egyetlen hozzfrs-vezrlsi listba se kerljn felhasznli fik,
illetve tartomnyi csoport (az egyes felhasznlk profiljt trol mappkon
kvl). A tartomny szintjn definilt csoportok mindig a helyi csoport tagjai kz val felvtellel szerezzenek jogot az erforrsok hasznlatra.
Tartomnyon belli csoport (Domain Local Group) A tartomnyon

belli csoportok tagjai a Windows Server 2003, Windows 2000 s Windows NT alap tartomnyok csoportjai s fikjai lehetnek. A tartomnyon belli csoportoknak csak a tartomnyon bell adhat engedly.
Globlis csoport (Global Group) Olyan biztonsgi vagy terjesztsi csoport, amelynek tagjai sajt tartomnyban tallhat felhasznlk, csoportok s szmtgpek. A globlis biztonsgi csoport az erd brmely tartomnynak erforrsaira kaphat jogosultsgokat s engedlyeket.
Univerzlis csoport (Universal Group) Az univerzlis hatkr csoport

tagjai a tartomnyfa vagy az erd brmely tartomnyban lv csoportok
s fikok lehetnek. Univerzlis hatkr csoportnak a tartomnyfa vagy
az erd brmely tartomnyban adhat engedly. Az univerzlis csoport
csak legalbb Windows 2000 natv mdban mkd tartomnyban
hasznlhat. Az ilyen csoportok tagjai a globlis katalgusban troldnak.
A tartomny s az erd mkdsi (funkcionalitsi) szintje hatrozza meg,

hogy milyen csoportok ltrehozsra van lehetsgnk.
Megosztott mappk s nyomtatk

A hlzatban tallhat megosztott mappkat s nyomtatkat kzztehetjk
(Windows 2000 eltti rendszerekt is) az Active Directory-cmtrban, gy azok
egyszeren elrhetk, megtallhatk lesznek a felhasznlk szmra. A mappkhoz s nyomtatkhoz tartoz cmtrobjektum trolja azt, hogy az adott er317
Tartomnyi krnyezet
forrs pontosan hol tallhat, milyen mdon rhet el, s milyen tulajdonsgokkal rendelkezik. A felhasznlk knnyen megkereshetik pldul azokat a
nyomtatkat, amelyek sznes, ktoldalas, A3 mret nyomtatsra kpesek.
5.15. bra: Lesz vajon ilyen nyomtat?
Az ilyen mdon megvalsthat kzponti nyilvntarts segtsgvel minden

egy helyen rhet el, a felhasznlknak nem kell tudnia, hogy az adott erforrs melyik kiszolgln, milyen megosztsi nven rhet el. Radsul gy megszabadulhatunk az zenetszrson (broadcast) alapul, s gy nagyobb hlzatokban rendkvl erforrs-pazarl szmtgp-tallz (Computer Browser)
szolgltatstl is.
A tallz szolgltatssal ellenttben, a cmtrban val kzzttel a msik
IP-alhlzatban lv erforrsok elrsre is hasznlhat, st az erforrst tartalmaz szmtgpnek nem is kell felttlenl az Active Directory-tartomny
tagjnak lennie. A megosztott mappkhoz s nyomtatkhoz tartoz cmtrobjektumok ltrehozshoz az Active Directory Users and Computers konzolt
hasznlhatjuk, illetve nyomtat esetn a megosztshoz tartoz tulajdonsglapon is bellthat a List in the Directory (Listzs a cmtrban) opci. Az utbbi
mdszer esetn azonban az Active Directory Users and Computers felletn
nem jelenik meg a ltrehozott objektum (de a keresseknl igen).
Miutn felvettk a megosztott erforrst, ennek elrhetsgre, vagy akr
megltre vonatkoz ellenrzs nem trtnik, a cmtrobjektum s az erforrs kztt nincsen kapcsolat. A rendszergazdnak kell teht gondoskodnia rla, hogy az eltvoltott, vagy hosszabb ideig nem elrhet erforrsok kikerljenek a cmtrbl.
318

Az Active Directory felgyelete nem lehet teljes, ha nem gondoskodunk a cmtr
rendszeres biztonsgi mentsrl. A cmtr s a hozz kapcsold adatok mentst az NTBACKUP segtsgvel rdemes elvgezni pldul szalagos meghajtra,
de legrosszabb esetben is egy nll, a rendszertl fggetlen merevlemezre.
Az Active Directory mentse s visszalltsa
Ebben a screencastban biztonsgi mentst ksztnk az Active Directory adatbzisrl, majd a
kiszolglt DSRM-zemmdban elindtva visszalltjuk az elmentett adatokat.
Fjlnv: II-2-5-AD-Backup-Restore.avi
A System State ments

System State adatok
Active Directory
SYSVOL-mappa
Regisztrcis adatbzis
Rendszerindt fjlok
COM+ osztlyok
regisztrcis adatbzisa
A tanstvnytr adatbzisa
5.16. bra: A System State ments tartalma
Az Active Directory mentse a System State (Rendszerllapot) ments rsze, az

NTBACKUP felletn ezt kell kivlasztanunk. A rendszerllapot adatok biztonsgi mentsekor s visszalltsakor a rendszer a szmtgphez kapcsold
sszes rendszerllapot-adat biztonsgi mentst vagy visszalltst vgrehajtja, az egyes sszetevk nll mentse vagy visszalltsa nem lehetsges.
Az brrl leolvashat, mi tartozik a Rendszerllapot mentshez: az
Active Directory-adatbzis, a SYSVOL-megoszts tartalma (hzirend fjlok,
logon szkriptek stb.), a regisztrcis adatbzis, a rendszerindt fjlok, a
COM+ osztlyok regisztrcis adatbzisa, s a tanstvnytr.
319
Tartomnyi krnyezet
A System State ments nllan s egy ltalnos ments rszeknt is elvgezhet. A ments a tartomnyvezrl online llapotban trtnik, sem lelltsra, sem jraindtsra nincs szksg.
A cmtr visszalltsa
Kzel sem ilyen egyszer azonban a cmtr visszalltsa, els alkalommal legjobb ezt egy tesztrendszeren kiprblni, hogy les helyzetben kevsb remegjen
a rendszergazda keze.
A szmtgp indtsa kzben a megfelel pillanatban (a grafikus kperny eltt) meg kell nyomnunk az F8 billentyt, ennek hatsra az albbi kpen lthat menhz jutunk:
A cmtr visszalltst a Windows egyik specilis biztonsgi zemmdjban a

Directory Services Restore Mode-ban (Cmtrszolgltatsok visszalltsi
zemmdja) vgezhetjk el. Az F8 pontos idztse utn a kvetkez rzs pont
a bejelentkezs: nincs Active Directory, gy nem hasznlhatk a megszokott
felhasznlnevek s jelszavak. Egyetlen mdon juthatunk be: a cmtrvisszalltsi zemmd jelszavt valamikor rgen, a cmtr teleptse kzben
kellett megadnunk, a jelszhoz tartoz felhasznlnv pedig az eredeti, beptett Administrator (Rendszergazda). Ha sikerlt bejutnunk, akkor kvetkezhet
az NTBACKUP indtsa, s a System State visszatltse a mentsi fjlbl.
Mivel az Active Directory esetn egy elosztottan trolt adatbzist kell viszszalltanunk, a cmtr visszalltsa hrom klnfle mdszerrel trtnhet,
bizonyos esetekben igen fontos lehet, hogy a megfelelt vlasszuk:
320
Normal (norml) Norml visszallts sorn az adatok (pldul az

Active Directory-objektumok) megtartjk eredeti frisstsi sorszmukat. Az Active Directory repliklrendszere a sorszm alapjn rzkeli
s tovbbtja az Active Directory vltozsait a tartomnyvezrlk kztt. gy a norml mdon visszalltott adatok rgi adatknt jelennek
meg az Active Directoryban, vagyis ezeket az adatokat a rendszer mr
biztosan nem tovbbtja a tbbi tartomnyvezrlre. A visszalltott objektumokat teht a replikci szinte azonnal fellrja a tbbi tartomnyvezrlrl rkez pldnyokkal. Ha a visszalltott adatokat szeretnnk elterjeszteni a tartomnyban, akkor autoritatv (mrvad)
visszalltst kell hasznlnunk.
Norml
Autoritatv
Elsdleges
Tartomnyvezrl
Mentett System State adatok

5.17. bra: A rendszerllapot adatok hrom klnbz mdon is visszakerlhetnek
a tartomnyvezrlre
Authoritative (mrvad) Az Active Directory adatainak mrvad viszszalltshoz a rendszerllapot-adatok visszalltsa s a kiszolgl jraindtsa utn (de mg az els replikci eltt) futtatnunk kell az
ntdsutil.exe segdprogramot. Az ntdsutil segtsgvel az Active Directoryobjektumokat mrvad visszalltshoz jellhetjk meg. Ez azt jelenti,
hogy az ntdsutil gy frissti az objektumok sorszmt, hogy azok biztosan nagyobbak legyenek brmelyik msik replikn trolt sorszmnl,
gy a visszalltott adatok fogjk fellrni a tbbi tartomnyvezrln trolt objektumokat. Mrvad visszalltsra pldul akkor lehet szksg,
321
Tartomnyi krnyezet
ha vletlenl trltnk, vagy mdostottunk egy Active Directory-objektumot (pldul az sszes felhasznl- s szmtgpfikot tartalmaz
szervezeti egysget), s a vltozs mr replikldott a tbbi tartomnyvezrlre is. Ha ilyen esetben norml mdon lltjuk helyre az objektumot, akkor a replikci a helytelen llapotot tekinti jabbnak, vagyis
ismt ez fog replikldni a visszalltott kiszolglra is.
Primary (elsdleges) elsdleges visszalltsi mdszert akkor kell hasznlnunk, ha nincs egyetlen mkdkpes tartomnyvezrlnk sem, vagyis
a visszalltani kvnt kiszolgl a repliklt adatkszlet egyetlen pldnyt fogja tartalmazni. ltalban teht csak akkor van szksg elsdleges
visszalltsra, ha a tartomny minden tartomnyvezrlje hasznlhatatlan, s a teljes tartomnyt a biztonsgi msolatbl kell visszalltani. Elsdleges visszallts vgrehajtshoz az NTBACKUP felletn (visszallts kzben az Advanced szakaszban) be kell jellnnk a Repliklt adatkszletek visszalltsa esetn a visszalltott adatok megjellse az sszes
msolat elsdleges adatkszleteknt opcit.
5.18. bra: Az elsdleges visszallts kiss elrejtett, de nagyon hossz nev opcija
A csoporthzirend
A csoporthzirend technolgia segtsgvel a tartomny szmtgpeinek klnfle opercis rendszer-, alkalmazs-, s felhasznlszint belltsait a rendszergazda nem egyenknt, hanem meghatrozott csoportok szmra egyttesen
adhatja meg. A csoporthzirend alkalmas a rendszergazda ltal elrt, a szmtgpekre s a felhasznlkra vonatkoz belltsok kiknyszertsre is, az gy
szablyozott opcikat a felhasznlk akkor sem mdosthatjk vglegesen, ha
egybknt a jogosultsgaik ezt megengednk.
322
A csoporthzirend
A ltrehozott hzirendeket (vagyis belltscsoportokat) gynevezett Group

Policy Objectek (csoporthzirend objektum, GPO) troljk, ezeket az objektumokat lehet a kivlasztott Active Directory-trolkkal (telephely, tartomny,
szervezeti egysg) sszekapcsolni.
A csoporthzirend objektumokban trolt belltsok az gyflgpeken registryrtkek formjban jelennek meg, az opercis rendszer s az alkalmazsok pedig ezeket a registryrtkeket hasznljk fel mkdsi paramterknt. Windows Server 2003 SP2 s Windows XP SP2 esetn a bellthat paramterek szma 1800 krl van, Vista gyfl hasznlata esetn pedig mg
tbb, nagyjbl 2400 opci ll rendelkezsre.
A csoporthzirend kezelsnek eszkzei
Ebben a screencastban megismerkednk a csoporthzirend kezelsnek szoksos eszkzeivel,
s kiprbljuk azok legfontosabb lehetsgeit.
Fjlnv: II-2-6a-Group-Policy-Management.avi
A helyi hzirend s a csoporthzirend

A helyi hzirend mkdsi elve megegyezik a csoporthzirendvel, de az itt
megadott belltsok csak egyetlen gpre vonatkoznak, radsul lnyegesen
kevesebb opcibl vlaszthatunk. A helyi hzirendet a gpedit.msc konzollal
mdosthatjuk, ennek segtsgvel megadhatak a szmtgpre s a felhasznlkra vonatkoz klnfle belltsok.
Ha a belltsokat a gpedit.msc konzol segtsgvel mdostjuk, akkor
gyakorlatilag kzvetlenl runk a registrybe, gy a belltsok azonnal letbe
lpnek, de elfordulhat, hogy nem lesznek hossz letek. Tartomnyi tagsg
esetn a belltsok ugyanis csak addig maradnak tnylegesen rvnyben,
amg a csoporthzirend biztonsgi opciinak kvetkez frisstse meg nem
rkezik a gpre, ekkor ugyanis a csoporthzirend belltsai fellrjk azokat
a helyi belltsokat, amelyekkel tkzsbe kerlnek.
A csoporthzirend esetben a belltsok az Active Directory trolihoz (telephely, tartomny, szervezeti egysg) kapcsolhatk s az adott trolban lv
sszes szmtgp-, illetve felhasznl objektumra rvnyesek lesznek. A helyi
hzirendben is szerepl belltsok mellett a csoporthzirend szmos ms opcit is knl, amelyek segtsgvel a kiszolgl ltal biztostott klnfle szolgltatsokkal kapcsolatos belltsokat hatrozhatjuk meg.
323
Tartomnyi krnyezet
Mire hasznljuk?
A csoporthzirend igen szles krben hasznlhat, alig van olyan fontos belltsi lehetsg, ami nem rhet el ilyen mdon. A kvetkezkben ttekintjk
azokat a tipikus feladatokat, amelyekre a csoporthzirend alkalmas:
324
Szoftvertelepts A csoporthzirend segtsgvel Windows Installer

(msi) csomagokat terthetnk a hlzaton automatikusan. A teleptend alkalmazsok a szmtgpekhez s a felhasznlkhoz is csatolhatk, teleptsk a szmtgp indulskor, illetve a felhasznl bejelentkezse utn trtnik meg. Lehetsg van az alkalmazsok automatikus
frisstsre s javtsra is.
Mappk tirnytsa A felhasznlkhoz tartoz Dokumentumok

mappt a loklisan trolt profilbl tirnythatjuk egy hlzati megosztott mappba. A kzpontilag trolt dokumentumok megknnytik a
felhasznlk adatainak biztonsgi mentst, s lehetv teszik, hogy a
felhasznlk klnbz gpeken bejelentkezve is elrjk a Dokumentumok mappa tartalmt. A felhasznlk szmtgpn a Dokumentumok mappa gyorsttrba helyezett pldnya tallhat, gy a fjlok akkor is elrhetk, ha a gp ppen nincs kapcsolatban a hlzattal. Minden esetben, amikor a felhasznl be-, vagy kijelentkezik, a rendszer
szinkronizlja a Dokumentumok mappa gyflszmtgpen lv pldnyt a kiszolgln lv pldnnyal.
Szkriptek Minden szmtgphez s felhasznlhoz kt-kt szkriptet

rendelhetnk. Az egyik szkript a gp indtsakor, illetve felhasznl bejelentkezsekor, a msik lelltskor, illetve kijelentkezskor fog lefutni.
A szkriptek lehetnek hagyomnyos parancsfjlok (cmd.exe), vagy VBScript s PowerShell nyelv szkriptfjlok is, br a PowerShell szkriptek
kzvetlen indtsa nem lehetsges. A szkriptek a tartomnyvezrlk
SYSVOL megosztsra kerlnek, innen tltik le ket az gyflgpek.
Biztonsgi belltsok a csoporthzirend megszmllhatatlanul

sok biztonsgi belltst knl, ezek kzl csak a legfontosabbakat emltjk: A jelszhzirend segtsgvel meghatrozhatjuk a hasznlhat
jelszavak minimlis hosszt, bonyolultsgt, a jelsz minimlis s maximlis lettartamt stb. A fikzrolsi hzirend meghatrozza a hibs
bejelentkezsek maximlis szmt, s a tllps esetn alkalmazand
szankcit. Bellthatjuk a naplzsra s a felhasznli jogokra vonatkoz opcikat, s az esemnynapl takartsi paramtereit is. A biztonsgi belltsok hangolst radsul sablonok segtsgvel is elvgezhetjk. A szmtgpek funkcija szerint elksztett sablonokat a %sys-
A csoporthzirend
temroot%\security\templates mappban tallhatjuk meg. Indokolt

azonban az vatossg, mivel egy meggondolatlan mozdulattal olyan
biztonsgoss tehetnk mondjuk egy tvoli telephelyen lv tartomnyvezrlt, hogy a hzirend letltdse utn tbb mi magunk sem
rjk el azt a hlzatbl, s gy nem is tudjuk visszabillenteni tlzottan
biztonsgos llapotbl.
5.19. bra: Knny eltvedni a belltsi lehetsgek tengerben
Az Internet Explorer karbantartsa megadhatjuk az internetkapcsolatra (pldul proxy hasznlat), a bngsz biztonsgi belltsaira s felhasznlk krnyezetre vonatkoz belltsokat, pldul
tetszleges elemeket adhatunk hozz a Kedvencek (Favorites) listhoz.
Felgyeleti sablonok a csoporthzirend rendszer kls bvtmnyei

jelennek meg ebben a szakaszban, gy itt tallhatjuk meg az opercis
rendszer szmtalan elemre (Start men s tlca, Asztal, Vezrlpult,
Mdialejtsz, lemezkvtk stb.), a hlzatra (DNS-belltsok, tzfal
stb.), vagy pldul a nyomtatkra vonatkoz belltsi lehetsgeket.
325
Tartomnyi krnyezet
A kvetkezkben felsorolunk nhny konkrt pldt a csoporthzirend felhasznlsra:
Eltntethetjk az Asztalrl s a Start menbl azokat az ikonokat,

amelyeket az adott felhasznl szmra flslegesnek tlnk (Sajtgp, Hlzati helyek, Futtats stb.).
Megtilthatjuk a Control Panelhez (Vezrlpult), illetve annak egyes

elmeihez val hozzfrst.
Letilthatjuk a parancssor, illetve a parancssori vgrehajts (cmd fjlok)

hasznlatt.
Megtilthatjuk a registry kzvetlen szerkesztst (regedit).
Eltvolthatjuk a megadott menpontokat s paneleket az Internet

Explorer felletrl.
Megadhatjuk az Internet Explorer proxybelltsait s tetszleges elemeket adhatunk a Kedvencek listhoz.
Bellthatjuk az egyes rendszerszolgltatsok indtsi mdjt, vagyis

engedlyezhetjk s tilthatjuk futsukat.
Megadhatjuk a vezetknlkli hlzatok belltsait.
A felhasznl bejelentkezshez dvzl, illetve figyelmeztet zenetet

kapcsolhatunk.
Megtilthatjuk bizonyos alkalmazsok futtatst.
Csoporthzirend objektumok ltrehozsa s belltsi lehetsgek

Ebben az eladsban csoporthzirend objektumokat hozunk ltre s ttekintnk nhny, ezekben az hzirendekben megadhat belltsi lehetsget.
Fjlnv: II-2-6b-GPO.avi
Hogyan mkdik a csoporthzirend?

A csoporthzirend bezemelshez teht elszr is ltre kell hoznunk a telephely,
a tartomny, vagy a szervezeti egysg szintjn a megfelel csoporthzirend objektumokat (GPO), amelyben megadjuk azokat a belltsokat, amelyeket az adott
objektum fog szlltani az gyflgpekre. Minden GPO kt elklntett szakaszbl ll, az egyikben megadott belltsok a szmtgpekre (brmelyik felhasznl is jelentkezik be), a msikban megadottak pedig a felhasznlkra (brmelyik
gpen is jelentkeznek be) fognak vonatkozni. A csoporthzirend objektumokban
326
A csoporthzirend
megjelen belltsi lehetsgeket a csoporthzirend sablonok (group policy

templates), vagyis .adm kiterjeszts fjlok hatrozzk meg, ezekbl a Microsoft
idrl idre frisstett verzikat ad ki az j komponensek tmogatsra, de egyedi
clra akr mi magunk is kszthetnk ilyen sablonfjlt.
A belltsok megadsa utn az adott trolban lv felhasznl objektumokra a felhasznl szakaszban megadott, a szmtgp objektumokra pedig
a szmtgp szakaszban szerepl belltsok fognak rvnyeslni. Termszetesen egy GPO-t tbb trolhoz is hozzrendelhetnk, s egy felhasznlra, illetve szmtgpre is rvnyeslhet tbb csoporthzirend objektum.
A csoporthzirend objektumok ltrehozsakor kt, egymsnak bizonyos
mrtkben ellentmond szempontot kell figyelembe vennnk, vagyis meg kell
tallnunk a helyes egyenslyt:
Lehetleg minl kevesebb csoporthzirend objektumot hozzunk ltre.

Termszetes, hogy kevesebb objektummal kevesebb baj van, a belltsok jobban ttekinthetek stb.
Msrszt hozzunk ltre lehetleg kln csoporthzirend objektumot

minden sszetartoz belltscsoport szmra, mert gy finomabban
tudjuk adagolni, kiosztani a GPO-kat a szmtgp-, illetve felhasznlcsoportoknak.
Az rklds
A magasabb szint (szl) kontnerekhez rendelt GPO-k belltsai alaprtelmezs szerint rkldnek a gyermektrolkra s kombinldnak (sszeaddnak) az ide csatolt GPO-k belltsaival. Ha tbb GPO eltr rtkkel
tartalmazza ugyanazt a belltst, akkor azok fellrjk egyms hatst az
rklsi lnc mentn.
Minden kontneren lehetsgnk van azonban a fentrl rkez rklds
megszaktsra, ha bekapcsoljuk a Block Inheritance (rklds megszaktsa) opcit. Ez a lehetsg nagyon jl hasznlhat, ha pldul olyan GPO-t kell
bezemelnnk, ami egyetlen OU kivtelvel a teljes tartomnyra vonatkozik.
Ekkor hozzkthetjk a GPO-t a tartomnyhoz, a kivteles OU-n pedig egyszeren megszakthatjuk az rkldst.
Problmt okozhat azonban, hogy ebben az esetben a tartomny szintjn
megadott egyetlen GPO sem r le az adott szervezeti egysghez. Ennek megoldsra szolgl egy msik rkldssel kapcsolatos belltsi lehetsg. Minden GPO-n bellthat az Enforce (kiknyszerts) tulajdonsg. Az ilyen GPO-k
egyszeren nem veszik figyelembe, hogy az alacsonyabb szint trol meg
akarja szaktani az rkldst, s ettl fggetlenl is rvnyre jutnak.
327
Tartomnyi krnyezet
A csoporthzirend objektumok prioritsa

Nagyon fontos, hogy figyelembe vegyk az egyes GPO-k kirtkelsnek sorrendjt, ami egyben azok prioritst is jelenti, mivel tkzs esetn a ksbb
rkez belltsok fellrjk a korbbiakat. A sorrend teht:
Helyi hzirend
A telephely szintjn megadott hzirend objektumok (a rendszergazda

ltal megadott sorrendben). A feldolgozs a legnagyobb sorszm (Link
order) GPO-val kezddik, vagyis mindig az egyes sorszm GPO a legersebb, ennek prioritsa a legmagasabb.
A tartomny szintjn megadott hzirend objektumok (a rendszergazda

ltal megadott sorrendben).
A szervezeti egysg szintjn megadott hzirend objektumok a nagyobb

(szl) szervezeti egysgtl kezdve a kisebb (gyermek) szervezeti egysgekig sorban, az egyes OU-k esetben pedig a rendszergazda ltal
megadott sorrendben.
Ez teht azt jelenti, hogy tkzs esetn az utols (teht a legkisebb, a felhasznlt vagy szmtgpet kzvetlenl tartalmaz szervezeti egysg legkisebb sorszm hzirendje) gyz, vagyis ennek prioritsa a legnagyobb. Termszetesen, ha nincs tkzs a belltsok kztt, akkor a sorrendnek nincs
jelentsge, vagyis minden megadott bellts rvnyeslni fog az adott felhasznlra, illetve szmtgpre.
A csoporthzirend hatsnak szrse

Minden GPO-hoz tartozik hozzfrs-vezrlsi lista, aminek segtsgvel egyrszt megvhatjuk az objektumot az illetktelen mdostsoktl, msrszt
biztonsgi csoportok szerint szrhetjk is az objektum hatst. Ha nem szeretnnk, hogy a GPO hatsa egy adott biztonsgi csoportra rvnyesljn,
egyszeren elvehetjk az adott csoport Read/Apply (olvass/alkalmazs) jogt. Fordtott esetben, ha csak meghatrozott csoportnak (csoportoknak)
adunk Read/Apply jogot, akkor a hzirend hatsa a kivlasztott csoportok
tagsgn kvl senki msra nem fog rvnyeslni. Termszetesen a szrs
nemcsak felhasznlkra, hanem szmtgpekre is rvnyesthet, mivel a
biztonsgi csoportoknak a szmtgp objektumok is tagjai lehetnek.
A fentieken kvl a csoporthzirend hatkrt WMI-szrk segtsgvel is
mdosthatjuk. Ebben az esetben a megadott WMI-szr az adott szmtgp valamely tulajdonsgt (pldul a memria mennyisge, a processzor architektrja, valamely program, vagy javtcsomag meglte stb.) krdezi le, s a csoporthzirend objektum rvnyestse a lekrdezs eredmnytl fggen megy vgbe.
328
A csoporthzirend
A csoporthzirend vgrehajtsnak sorrendje
Az opercis rendszer indulsa kzben elsknt a szmtgpre vonatkoz csoporthzirend objektumok tltdnek le s rtkeldnek ki. Ekkor
trtnhet meg pldul a szmtgphez rendelt szoftverek teleptse is.
Ezutn kvetkezik a szmtgp szmra megadott startup (indtsi)

szkript futsa (mindkt emltett folyamat befejezdik mg a bejelentkezsi ablak megjelense eltt).
Kvetkezik a felhasznl bejelentkezse, termszetesen eddig a pontig

semmifle felhasznli bellts, szkript stb. rvnyestsre nincs lehetsg.
A bejelentkezs utn rvnyre jutnak a csoporthzirend felhasznli

belltsai, pldul a felhasznlhoz rendelt szoftverek teleptse.
Ezutn fut le az a logon (bejelentkezsi) szkript, amelyet a csoporthzirend segtsgvel rendeltnk a felhasznlhoz.
Vgl lefut a felhasznli fikhoz kzvetlenl hozzrendelt logon szkript.
Alaprtelmezett csoporthzirend objektumok

Az Active Directory teleptsekor alaprtelmezs szerint ltrejn kt csoporthzirend-objektum.
A Default Domain Policy (Alaprtelmezett tartomnyi hzirend) a

teljes tartomnyhoz tartozik, s az rklds rvn a tartomnyba tartoz valamennyi felhasznlra s szmtgpre (gy a tartomnyvezrlkre is) rvnyes.
A Default Domain Controllers Policy (Alaprtelmezett tartomnyvezrli hzirend) a tartomnyvezrlket tartalmaz Domain Controllers
(Tartomnyvezrlk) szervezeti egysghez tartozik, ezrt csak a tartomnyvezrlkre hat.
A csoporthzirend frisstse
A csoporthzirend objektumokon vgrehajtott vltozsok nem rvnyeslnek
azonnal a szmtgpeken, illetve felhasznlkon. Az automatikus frissts az
gyflgpek esetben 90, a tartomnyvezrlknl pedig 5 percenknt trtnik.
A trelmetlenebbek azonban kzzel is kiknyszerthetik a frisstst a
gpupdate (esetleg a mindent frisst gpupdate/force) hasznlatval.
329
Tartomnyi krnyezet
Ilyenkor sem futnak le azonban a gpindtshoz, lelltshoz, illetve ki-,

bejelentkezshez kttt esemnyek (szkriptek), ezek futtatshoz jra kell
indtanunk a szmtgpet, illetve jra be kell jelentkeznnk.
A gpupdate parancs csak a Windows XP opercis rendszerben jelent meg, korbban (Windows
2000) a secedit parancs megfelel paramterezsvel rhettk el ugyanezt a hatst.
A Group Policy Management Console

A Group Policy Management Console (Csoporthzirend-felgyeleti konzol,
GPMC) a csoporthzirend objektumok kezelsnek j eszkze. Az MMCbvtmny jelenlegi legjabb (SP1) verzija ingyenesen letlthet a Microsoft
webhelyrl (http://go.microsoft.com/fwlink/?linkid=21813). A konzol felletn mindent megtallhatunk, ami a hzirendek kezelsvel kapcsolatban elkpzelhet, fellete nagyon jl elrendezett, segtsgvel knnyen megrthet
s felgyelhet a csoporthzirend mkdsnek minden aspektusa. Hasznlata mindenkppen javasolt mg a rgebbi rendszerek felhasznlinak is, mivel
a konzol Windows 2000 s Windows 2003 tartomnyban is mkdik, br csak
Windows Server 2003 rendszerre telepthet. A Windows Vista opercis
rendszerben a konzol beptetten megtallhat.
5.20. bra: A Group Policy Management konzol
330
A GPMC segtsgvel az albbi feladatokat vgezhetjk el:
Ltrehozhatunk j hzirend objektumokat, s az egyes objektumokra

meghvhat csoporthzirend-objektum szerkeszt (ez nem a GPMC,
hanem az opercis rendszer rsze) segtsgvel megadhatjuk az abban
szerepl belltsokat.
A ltrehozott hzirend objektumokat hozzkthetjk (link) a megfelel

Active Directory kontnerekhez.
Knnyen ttekinthet listban megjelenthetjk az egyes csoporthzirend objektumokban lv belltsokat, nem kell azokat a szerkeszt
alkalmazs felletn megkeresni.
Deleglhatjuk az egyes GPO-k felgyeleti jogait felhasznlk, illetve

biztonsgi csoportok szmra.
Menthetjk s helyrellthatjuk a csoporthzirend objektumokat (akr

valamennyit egy lpsben).
Ellenrizhetjk az rkldst, bellthatjuk a blokkolst s kiknyszertst, illetve bellthatjuk az egy kontnerre hat csoporthzirend objektumok kztti prioritsi sorrendet.
A Group Policy Results eszkz segtsgvel lekrdezhetjk az egyes

felhasznlkra, illetve szmtgpekre aktulisan hat csoporthzirend
objektumokat, s sszegezve megtekinthetjk az azokban szerepl belltsokat.
Jelentseket kszthetnk HTML-formtumban
Az Active Directory-hlzat nvekedsnek egy pontjn elkerlhetetlenn vlik, hogy szembenzznk a telephelyek kialaktsnak problmival. Termszetes igny, hogy a kzponttl tvol dolgozk is rszesljenek a kzpontilag
(vagy ppen elosztottan) felgyelt cmtr, a csoporthzirend, vagy pldul az
Exchange ldsaibl. Korltozott svszlessg esetn mindenkppen a helysznen zemel tartomnyvezrl a j megolds, ekkor viszont a loklis hlzaton zemeltetett cmtr esetben nem jelentkez problmk fognak felmerlni. Hogyan s milyen gyakorisggal trtnik a tartomnyvezrlk kztti
replikci? Milyen svszlessg szksges ehhez, s persze hogyan lehetne
cskkenteni a szksgleteket? A telephelyen lv szmtgpeknek nyilvn a
331
Tartomnyi krnyezet
helyben lv tartomnyvezrl hasznlatval kellene bejelentkeznik, onnan

kellene letltenik a csoporthzirend objektumokat, logon szkripteket stb. De
honnan fogjk tudni az gyflgpek, hogy melyik a sajt, kzelben lv tartomnyvezrljk, amikor a DNS-tl csak egy szinte vletlenszeren kivlasztott IP-cmet kapnak?
A kvetkezkben ezekre a krdsekre keresnk vlaszt, megismerkednk
a replikci finomhangolsnak mdszereivel, s az egszsges telephelystruktra kialaktshoz szksges ismeretekkel.
A replikci
A replikci segtsgvel kpes az Active Directory-cmtrszolgltats a klnbz tartomnyvezrlkn trolt cmtr-adatbzisok folyamatos szinkronban tartsra. A tartomny sszes tartomnyvezrljn mdosthatak a cmtr adatai, ezrt az sszes tartomnyvezrl automatikusan rszt is vesz a
replikciban, teht a cmtradatok brmilyen mdostst a rendszer a tartomny sszes tartomnyvezrljre repliklja. Az Active Directory tbb fkiszolgls (multimaster) replikcis modellt hasznl, amely lehetv teszi,
hogy a cmtr mdostst brmelyik tartomnyvezrln elvgezhessk, majd
a vltozsok az sszes tartomnyvezrl cmtrpldnyba bekerljenek.
Ahogyan mr korbban emltettk, az adatokat az egyes tartomnyvezrlkn a cmtradatbzis tartalmazza, amely logikailag cmtrpartcikra tagoldik. Mindegyik partci klnbz tpus adatokat trol, ezek lehetnek a
tartomny objektumai, a sma, klnfle konfigurcis adatok, vagy alkalmazsadatok. Az adott erdn bell valamennyi tartomnyvezrln megtallhat a sma- s konfigurcis partci msolata, az egyes tartomnyok vezrlin pedig a tartomnyobjektumokat tartalmaz replika. Amint az 5.21. brn
lthat, a klnbz cmtrpartcik esetn klnbz replikcis topolgia
alakul ki, mivel a tartomnyadatok replikcija csak az egyes tartomnyokon
bell, mg a sma s konfigurcis partci az erd valamennyi tartomnyvezrlje kztt replikldik.
A multimaster replikci segtsgvel valamennyi tartomnyvezrl szinte
folyamatosan frissti az ltala trolt pldnyt a tbbi pldny vltozsainak
megfelelen. A replikci termszetesen teljesen automatikusan trtnik, a
rendszer minden objektum esetben az utolsknt trtnt vltoztatsokat rvnyesti a msolatokban. Szintn automatikusan megtrtnik a replikci
konfigurcija, vagyis a tartomnyvezrlk feltrkpezse s a kapcsolatok
kialaktsa is, kln minden egyes cmtrpartcira vonatkozan.
332
A1
A2
B2
A3
A4
B3
B1
DC-k tbb tartomnybl
A tartomny topolgia
B tartomny topolgia
Sma s Konfigurci topolgia
5.21. bra: Replikcis topolgia tbb tartomny esetn
A replikci csak akkor jelent tnyleges adattvitelt, ha van mit szinkronizlni, vagyis vltozsok trtntek az adatbzisban. Ilyen vltozs pldul:
ha bvtjk a cmtr-adatbzist (pl. egy felhasznl ltrehozsa),
ha megvltoztatunk egy objektumot (pl. jelszvltoztats),
ha megvltoztatjuk egy kontner (szervezeti egysg) nevt,
ha trlnk egy objektumot.
A vltozsok kvetse, s az adatok tvitele az objektumok tulajdonsgainak

szintjn trtnik, vagyis pldul, ha megvltozik egy felhasznl telefonszm
mezje, akkor nem az egsz objektum, hanem nllan csak a megvltozott
tulajdonsg (a telefonszm) replikldik a tbbi tartomnyvezrlre.
A replikcis topolgia
Az sszes tartomnyvezrln megtallhat konzisztencia-ellenrz (Knowledge
Consistency Checker, KCC) az Active Directory Sites and Services (Active
Directory helyek s szolgltatsok) bepl modulban megadott hlzati adatokra alapozva automatikusan ltrehozza a leghatkonyabb replikcis topolgit.
333
Tartomnyi krnyezet
Brmikor bekerl teht egy j tartomnyvezrl, a KCC a mdosts figyelembevtelvel jraszmtja a korbban kialaktott topolgit (15 perc az idztse).
A konzisztencia-ellenrz minden cmtrpartcihoz (sma, konfigurci, tartomny, alkalmazs) kln replikcis topolgit hoz ltre.
A konzisztencia-ellenrz minden tartomnyvezrln ktirny, gyrs
replikcis topolgit alakt ki, vagyis megprbl legalbb kt kapcsolatot
ltrehozni minden tartomnyvezrl esetben (a jobb hibatrst rdekben),
a jelentsebb kss elkerlse miatt pedig arra trekszik, hogy kt tartomnyvezrl kztt legfeljebb hrom lpst alaktson ki. A topolgia kzvetlen kapcsolatokat is tartalmazhat, ha a hrom lpsnl hosszabb replikcis
t elkerlsnek rdekben ez szksges.
A1
KC
KC
A2
KC
A3
A4
A8
Replikcis topolgia felptse
A7
A5
KC
A6
KC
KC
KC
5.22. bra: A KC j tartomnyvezrlt illeszt be a replikcis topolgiba
Replikci telephelyen bell

Egy telephelyen bell lland s nagy sebessg hlzati kapcsolat van a tartomnyvezrlk kztt, gy itt a KCC a minl gyorsabb szinkronizcit lehetv tev topolgia kialaktsra trekszik. A cmtrfrisstsek automatikusan mennek
vgbe, ha a Change Notification Mechanism (vltozsrtests) segtsgvel rtests rkezik egy vltozsrl. A telephelyek kztti replikcival ellenttben a helyi cmtrfrisstsek tvitele tmrtetlen formban trtnik.
Replikci a telephelyek kztt

A telephelyek kztti replikci megvalstsa jelentsen eltr a helyi
replikcitl, mivel a telephelyek kztti svszlessg ltalban korltozott,
334
st esetleg nincs is lland kapcsolat. A telephelyek kztti replikci a svszlessg minl hatkonyabb kihasznlst prblja elrni; a cmtrfrisstsek automatikusan mennek vgbe egy bellthat temezs alapjn (alaprtelmezs szerint hromrnknt). A telephelyek kztti replikcival kapcsolatos adatforgalom alaprtelmezs szerint tmrtett, a svszlessg jobb kihasznlsnak rdekben.
A telephelyek
Az Active Directoryban a telephely (site) olyan szmtgpek csoportjt jelenti, amelyek kztt nagy sebessg, megbzhat hlzati kapcsolat (jellemzen
LAN) van. A telephelyhez tartoz szmtgpek ltalban egy pletben tallhatk, vagy kzs helyi hlzathoz csatlakoznak. Egy telephelyen bell
termszetesen tbb IP-alhlzat is lehet.
Az Active Directory telephely koncepcijnak alapveten kt clja van:
Egyrszt nvelhetjk vele a

replikci hatkonysgt. A
gyors kapcsolattal rendelkez
szmtgpek csoportjaknt
definilt telephelyeken bell
gyakoribb a replikci, gy a
telephelyen belli tartomnyvezrlk kapjk meg leggyorsabban a frisstseket. A telephelyek kztti lassbb
kapcsolaton keresztl ritkbban trtnik meg a cmtradatok szinkronizlsa.
A
1
IP
IP Subnet
Subnet
Replikci
Replikci
IP
IP Subnet
Subnet
B
1
IP
IP Subnet
Subnet
Replikci
Replikci
IP
IP Subnet
Subnet
B
2
A
2
Replikci
Replikci
Msrszt meghatrozhatjuk, hogy a telephelyen lv szmtgpeket a

telephelyen lv tartomnyvezrl jelentkeztesse be, innen tltsk le a
csoporthzirend objektumaikat, bejelentkezsi szkriptjeiket stb.
A fenti kt pont alapjn mindjrt le is vonhatunk kt fontos kvetkeztetst a

telephelyek kialaktsra vonatkozan:
Nem rdemes (hacsak nincs valami klnleges indok) helyben lv tartomnyvezrl nlkli telephelyet definilni, mivel ebben az esetben a
fenti kt elnys tulajdonsg egyike sem jelentkezhet.
335
Tartomnyi krnyezet
Nem rdemes telephelyeket definilnunk olyan helysznek esetben,

amelyek kztt gyors (10Mb/sec, vagy mg gyorsabb) hlzati kapcsolat
van. A gyors kapcsolattal rendelkez IP-alhlzatok telephelly alaktsa nem nveli, hanem inkbb cskkenti a teljestmnyt.
A telephelyek s a tartomnyok kztti legfontosabb klnbsg az, hogy a telephelyek a hlzat fizikai felptst, a tartomnyok pedig a szervezet logikai szerkezett kvetik. A telephelyek s tartomnyok kztt brmifle tfeds lehetsges, egy telephely tartalmazhat tbb tartomnyt, s egy tartomny is kiterjedhet
tbb telephelyre. A lnyeg minden esetben a replikcihoz, valamint az gyfelek s a tartomnyvezrlk kztti adatforgalomhoz szksges svszlessg
optimlis felttelekkel trtn biztostsa.
Telephely B
WAN Link
Telephely A
Tartomnyvezrlk
5.23. bra: A telephelyek kztti kapcsolat ltalban lassbb s kevsb megbzhat
Szmtgpek hozzrendelse a telephelyekhez

Az gyflgpek telephelyekhez rendelse IP-cmk s alhlzati maszkjuk
alapjn trtnik. Minden gyflgp az adott telephely IP-alhlzathoz kiszolglknt megadott tartomnyvezrlt fogja elnyben rszesteni a bejelentkezs sorn. A telephelyekhez tartoz alhlzatok s kiszolglk meghatrozst az Active Directory Sites and Services (Active Directory helyek s
szolgltatsok) MMC-modulban tudjuk elvgezni. A mvelet ngy lpsbl ll:
336
Elsknt ltre kell hoznunk az j telephelyet a Sites trolban.
Az j telephely alatt ltrejv Servers trolhoz hozz kell adnunk a telephely kiszolglst vgz tartomnyvezrlt (vagy tartomnyvezrlket).
A Subnets trolban ltre kell hoznunk a telephely IP-alhlzatainak

megfelel bejegyzseket.
Vgl a ltrehozott IP-alhlzatok tulajdonsglapjain ki kell vlasztanunk azt a telephelyet, amelyhez az adott alhlzat tartozik.
Az itt megadott instrukcikat a DNS-kiszolgl fogja kzlni az gyfelekkel,

akik gy sajt IP-cmk s alhlzati maszkjuk alapjn eldnthetik, hogy melyik telephelyhez tartoznak, a telephely alapjn pedig kivlaszthatjk, hogy
melyik tartomnyvezrlhz kell csatlakozniuk.
Telephelyek tervezse
A telephely-struktra megtervezse nem minden esetben egyszer feladat, az
pletek egymstl val fizikai tvolsgn kvl sok esetben ms szempontokat is figyelembe kell vennnk. A legfontosabb krds, amit el kell dntennk, hogy biztosan rdemes-e telephelyet fabriklni az adott helysznbl,
vagy nyugodtan hasznlhatjk a kzpontban lv kiszolglkat, esetleg mindenkppen az Active Directoryn kvl kell maradniuk. ltalnosan hasznlhat receptet adni valsznleg lehetetlen, de azrt megprbljuk felvonultatni a legfontosabb szempontokat:
5.24. bra: Minden telephelyhez kiszolgl(ka)t s alhlzato(ka)t rendelhetnk
Milyen kvetkezmnyei vannak az j telephely fldrajzi elhelyezkedsnek?
337
Tartomnyi krnyezet
Hny szmtgp mkdik a telephelyen? kt szmtgpnek valsznleg nem rdemes kln tartomnyvezrlt kivinni a telephelyre, tartomnyvezrl nlkl pedig rtelmetlen a telephelly alakts, egyszerbb a kzpontban lv kiszolglkat hasznlni.
Van-e esetleg mr kiszolgl, vagy tartomnyvezrl? komoly rv lehet a telephelly alakts mellett, ha van mr a helysznen kiszolgl.
Ha erre szksg volt, (s nincs nagyon gyors hlzati kapcsolat), akkor
valsznleg rdemes a kiszolglbl tartomnyvezrlt, a helysznbl
pedig telephelyet gyrtani.
Milyen IP-alhlzatokbl ll az j telephely?
Milyen tpus s sebessg WAN-kapcsolat jellemzi az j telephelyet,

milyen kltsgekkel jr a hlzati kapcsolat?
Vgezetl mg nhny tipp a korrekt s praktikusan mkd telephelyi krnyezethez:
338
Egy egszsges telephelyen clszeren van tartomnyvezrl.
Egy az adott helysznen hasznlt clalkalmazs is ignyelheti a telephelyet.
Ha a fentiek kzl egyik sem teljesl, akkor valsznleg nem rdemes

telephelly alaktani az adott helysznt.
Mindig specifikljuk az sszes telephely, sszes IP-alhlzatt, mivel

az gyflgpek ez alapjn talljk meg a hozzjuk kzel lv tartomnyvezrlt.
HATODIK FEJEZET
Hibakeress s elhrts
A fejezet tartalma:
Hogyan lehet szlelni a hibkat? .................................................................... 340
Hibakeress s javts mlyebben .................................................................. 341
Grafikus ellenrz-javt eszkzk ................................................................. 356
Adataink biztonsga ........................................................................................ 372
Kls eszkzk .................................................................................................. 382
Ami elromolhat, az el is romlik, egyltaln nem mindegy azonban, hogy a hibaelhrts kt percig, vagy kt hnapig tart sajnos, akr azonos hiba esetn is elfordulhat mindkt vglet, a dolog egyszeren azon mlik, hogy ki az,
aki a hibaelhrtssal prblkozik, s milyen eszkzk llnak rendelkezsre a
problma megkeresshez s elhrtshoz. Br a hibaelhrts termszetnl fogva nem sablonmvelet, vagyis nem lehet minden helyzetben hasznlhat receptet adni, ebben a fejezetben megprblkozunk az alapelvek, s felhasznlsra rdemes alapeszkzk bemutatsval.
A hibk elhrtshoz ltalban a programok felhasznli fellete mg kell merszkednnk,
gy mindenkppen indokolt az vatossg; nem szmthatunk a megszokott bolondbiztos viselkedsre, vagyis egy meggondolatlan mozdulattal az eredetinl akr sokkal nagyobb bajt is
okozhatunk. Egy fontos szablyt teht mindig clszer betartani: Ha nem tudod, hogy mit csinlsz, s pontosan mit akarsz vele elrni, akkor inkbb ne csinld!
A fejezetben a kvetkez tmkkal fogunk megismerkedni:
Hibakeress s javts mlyebben elsknt azokkal a hibkkal foglakozunk, amelyek megakadlyozzk az opercis rendszer szoksos mdon val indtst, illetve a rendszer lellsval jrnak, vagyis kezelskhz specilis, ltalban grafikus fellet nlkli eszkzkre van szksg.
A rendszerindts folyamata s az indtmen elemei ebben

a rszben rszletesen megismerkednk a Windows-rendszerek indtsi folyamatnak lpseivel, s a hibakeressre szolgl zemmdokat lehetv tev indtmenvel.
Hibakeress s elhrts
A helyrelltsi konzol (Recovery Console) ttekintjk a Windows teleptlemezrl indthat Recovery Console lehetsgeit.
Az eszkz segtsgvel hozzfrhetnk a ms mdon mr nem indthat opercis rendszer fjljaihoz s ms belltsaihoz.
A kk hall megismerkednk a Windows-rendszerek lellst ksr

hrhedt kk kperny kivlt okaival, s a megjelen adatok jelentsvel.
Grafikus ellenrz- javt eszkzk a sikeres rendszerindts

utn rendelkezsnkre ll a Windows valamennyi beptett hibakeres-, javt s ellenrz eszkze. Ebben a rszben ezek kzl fogunk a
legfontosabbakkal megismerkedni.
Adataink biztonsga Ha mr minden ms mdszer csdt mondott,

akkor a biztonsgi mentsbl val visszalltshoz kell folyamodnunk.
Ebben a rszben a mentsi rendszer megtervezsrl s hasznlatrl
lesz sz.
Kls eszkzk a Windows beptett eszkzein kvl szmos kls

programot is ignybe vehetnk a hibakeresshez. Ebben a rszben a
Sysinternals cg ltal ksztett eszkzk kzl ismerkednk meg a legfontosabbakkal.
Br tmnk alapveten a Windows Server 2003 R2, a fejezetben lertak gyakorlatilag teljes mrtkben rvnyesek a rgebbi kiszolglrendszerekre
(Windows 2000 Server) s az gyflrendszerekre is (Windows 2000 s XP).
A Windows Vista esetn termszetesen vannak bizonyos (esetenknt jelents)
klnbsgek s jdonsgok is, de ezek legnagyobb rszrl a knyv els rszben mr szt ejtettnk.
Hogyan lehet szlelni a hibkat?

A hibk kezelsvel kapcsolatban rendkvl fontos krds, hogy milyen mdon
szerznk tudomst arrl, hogy valamifle hiba trtnt a rendszer, vagy egy szmtgp mkdsben. Termszetesen, ha elg sokig vrunk, akkor egszen
nyilvnval jelek is vrhatk (pldul sr fekete fst a szerverszobban), de
sokkal jobban jrunk, ha elbe megynk az ilyen helyzeteknek s rendszeresen
ellenrizzk pldul az esemnynaplt s az egyes komponensek nll naplfjljait is. A legjobb persze az (s a klnfle rendszerfelgyeleti szoftverek, pldul
a System Center Essentials, vagy a System Center Operations Manager hasznlatval ez meg is valsthat), ha kiszolglink s az gyflgpek is nllan jelzik, ha valamifle problma miatt beavatkozst ignyelnek.
340
A legnehezebben felderthet hibk azok, melyek nem jrnak konkrt, jl

beazonosthat jelensggel (pldul hibazenet), nincs nyomuk az esemnynaplban, csak bizonyos homlyos, nehezen, vagy egyltaln nem reproduklhat tnetek utalnak arra, hogy valami nincs teljesen rendben a kiszolglval. A kvetkez jelensgekre rdemes figyelmet fordtani:
A kiszolgl a szoksosnl lassabban mkdik, esetleg nha minden

klnsebb lthat ok nlkl jraindul.
Az gyfelek a szoksosnl lassabban rik el a kiszolglt, esetleg bizonyos mveletek (pldul nvfelolds) elvgzsre sokat kell vrakozni.
Klnfle hlzati szolgltatsok elrse bizonytalan, nha gond nlkl

mkdik, mskor egyltaln nem rhet el.
Rejtlyesnek tn hardverproblmk jelentkeznek (melegeds, hangok

stb.)
Ha a megfigyelt jelensgek alapjn mr biztosak vagyunk benne, hogy valami

problma lehet a kiszolglval, akkor az albbi eszkzket vethetjk be a
konkrt hibajelensg azonostshoz:
Task Manager (Feladatkezel) a fut (vagy nem fut) folyamatok azonostsra s az erforrsok foglaltsgnak ellenrzsre
Services (Szolgltatsok) MMC a rendszerszolgltatsok llapotnak

ellenrzshez
Event Viewer (Esemnynapl)
Alkalmazs- s rendszernaplfjlok (AD, IIS, ISA, SQL stb.)
System Information eszkz (Msinfo32)
Kls (pl. Sysinternals) eszkzk

Ebben a rszben olyan hibkkal foglalkozunk, amelyek megakadlyozzk az
opercis rendszer megszokott mdon val indtst. Az ilyen hibk kezelse
azrt nehezebb a szoksosnl, mert nem hasznlhatjuk a jl ismert s rendszeresen alkalmazott eszkzket, minden mveletet egy kevsb komfortos s
ltalban kevsb ismert krnyezetben kell elvgeznnk.
341
Hibakeress s elhrts
A rendszerindts folyamata s
az indtmen elemei
A kvetkezkben megismerkednk a Windows-rendszerek indtsi folyamatval, hogy a folyamat kzben keletkez hibk hatkonyabban felderthetk
s elhrthatk legyenek. Hogy megtallhassuk a hibk valdi okait, ismernnk kell az adott folyamat vgrehajtsnak rszleteit, mivel egy tetszleges
rendszer vagy program hibjnak elhrtshoz pontosan kell tudnunk, mi
trtnik akkor, ha a rendszer vagy program hibtlanul mkdik.
Hogyan indul az opercis rendszer?

A szmtgp bekapcsolsa utn az alaplapon lv flash memriban trolt
program betltdik a memriba, s nekikezd a POST (Power-on Self Test)
nev mvelet vgrehajtsnak. A POST ltal elvgzett konkrt mveletek
teljes mrtkben az adott hardver gyrtjnak hatskrbe tartoznak, de a
legtbb esetben ilyenkor trtnik meg a klnfle feszltsgszintek ellenrzse, a RAM, a grafikus krtya, a klnfle bvtkrtyk s a legfontosabb perifrik mkdkpessgnek vizsglata. A BIOS Setup program segtsgvel
ltalban bizonyos mrtkig befolysolhatjuk a POST futst, krhetnk tovbbi teszteket (pldul a memrira vonatkozan), s szablyozhatjuk a
kpernyn megjelen zenetek mennyisgt.
Szintn a BIOS Setupban hatrozhatjuk meg, hogy mi trtnjen a POST
utn, vagyis milyen sorrendben prblkozzon a szmtgp a klnfle eszkzkrl (merevlemez, CD-ROM, hajlkonylemez, hlzat stb.) trtn rendszerindtssal. Ha a szmtgp a merevlemezrl indul, akkor a sikeres POST
utn a BIOS ellenrzi a f rendszertlt rekordot (Master Boot Record, MBR).
Az MBR minden particionlt merevlemezen megtallhat (a particionlskor kerl r), mgpedig a lemez legels fizikai szektorban (vagyis a teljes mrete 512 bjt). Az MBR tartalmaz
nmi vgrehajthat kdot (Master Boot Code), az adott lemez egyedi azonostjt (Disk Signature) s a ngyszer 16 bjt mret partcis tblt. Az MBR vgn tallhat partcis tbla teht ngy bejegyzst tartalmazhat. Az egyes bejegyzsekben szerepel az adott partci els s
utols szektornak azonostja, a partci szektorainak szma, s a fjlrendszerre utal rtk.
Ha a bejegyzs utols kt bjtjnak rtke 0x8001, akkor aktv partcirl van sz. Az MBR
utols kt bjtja egy specilis rtk (0x55AA), amely a szektor vgt jelzi, s amelynek hinya
komoly problmkat okozhat.
Ha az MBR utols kt bjtja nem 55AA, akkor a BIOS azt felttelezi, hogy az
MBR srlt, vagy a lemez egyltaln nincsen particionlva. Ekkor ltalban
(br a pontos szveg BIOS-fgg) az Operating system not found zenet jelenik meg, a szmtgp pedig termszetesen nem folytatja az indtst. Ha a
342
BIOS megfelelnek tli az MBR-t, akkor betlti s elindtja a benne tallhat

programot. Az MBR programja vgigolvassa a partcis tblt, s kivlasztja
belle az aktvknt megjellt partcit. Ha ez valami miatt nem sikerl (pldul egyltaln nincs aktv partci) akkor az Operating System not found,
vagy az Invalid partition table zenet jelenik meg. Ha sikerlt megtallni az
aktv partcit, akkor az MBR-kd betlti az adott partci boot-szektort a
memriba s ellenrzi azt.
A bootszektor az egyes partcik els szektora, amely az adott partcira teleptett opercis
rendszer indtst lehetv tev programkdot, s a partcira vonatkoz klnfle informcikat tartalmazza. A bootszektor a partci formzsakor jn ltre, tartalma pedig a fjlrendszer
tpustl fgg. Az MBR-hez hasonlan a bootszektor vgt is az 0x55AA rtk jelzi.
Ha a bootszektort nem sikerl betlteni (pldul, mert a partci nincs formzva), akkor az Error loading operating system zenet jelenik meg s a betlts
lell. Amennyiben a bootszektor vgn nincs ott a mgikus 55AA rtk, a
Missing operating system zenet jelenik meg, s a betlts termszetesen ebben
az esetben sem folytatdik. Ha minden rendben van, akkor az MBR-kdtl a
vezrls a boot szektor kdjhoz kerl, s folytatdik a rendszerindts.
A bootszektor programjnak feladata az, hogy megkeresse s elindtsa a Windows betlt
programjt az NTLDR-t, amelynek az indt partci gykerben kell lennie. Ha ez valamilyen
ok miatt nem sikerl, akkor ezen a ponton kaphatjuk a Missing NTLDR hibazenetet (NTFS fjlrendszer esetn). Ha sikerlt elindtani az NTLDR-t, akkor az els lpsknt 32-bites vdett
mdba kapcsolja a processzort s engedlyezi a memrialapozst, gy ezutn mr rendelkezsre ll a teljes 4 GB-os cmezhet tartomny (32-bites processzor esetn).
Az NTLDR ezutn a kvetkez mveleteket vgzi el [az NTLDR tartalmazza

az NTFS (s FAT, illetve FAT32) fjl-rendszerrel formzott partcik olvasshoz s rshoz szksges programkdot]:
Megvizsglja a gykrmappban tallhat hiberfil.sys llomnyt, s ha

tall benne alv llapotban lv opercis rendszert, akkor visszatlti
azt a memriba, a vgrehajts pedig folytatdik a hibernlskor megjegyzett ponton.
Ha nincsen alv opercis rendszer, akkor az NTLDR beolvassa a gykrmappban lv boot.ini nev fjl tartalmt. A boot.ini ARC-tvonalak (Advanced RISC Computing) formjban tartalmazza a szmtgpen tallhat indthat opercis rendszerek helyt. Az NTLDR a
boot.ini alapjn kszti el azt a kis ment, amibl kivlaszthatjuk az elindtand opercis rendszert.
343
Hibakeress s elhrts
A men csak akkor jelenik meg, ha egynl tbb bejegyzs van a boot.ini-ben. Egy bejegyzs
esetn az NTLDR azt felttelezi (milyen intelligens, nem?), hogy azt az egyet szeretnnk elindtani. Ha egyltaln nincsen boot.ini, akkor az NTLDR azt felttelezi, hogy az opercis rendszer az adott partci alaprtelmezett mappjba (c:\windows) van teleptve. Ha ez a mappa
nincs a helyn, akkor a kvetkez zenet jelenik meg: Windows could not start because the
following file is missing or corrupt: \winnt root\system32\ntoskrnl.exe.
Miutn valamilyen mdon sikerlt tisztzni, hogy melyik opercis

rendszert is kell elindtani (kivlasztottuk a menbl, vagy sikerlt az
alaprtelmezs alapjn megtallni), az NTLDR elindtja az ntdetect.com
programot (az ntdetect.com szintn a gykrmappban tallhat). Az
ntdetect listt kszt a szmtgp hardverkomponenseirl (busztpusok
s eszkzk, lemezmeghajtk, grafikus krtya, billentyzet, soros s
prhuzamos portok, egr stb.) s az eredmnyt tadja az NTLDR-nek.
Ezen a ponton, vagyis az indtand rendszer kivlasztsa (automatikusan, vagy a menbl)

utn az NTLDR trli a kpernyt, s megjelent egy karakteres folyamatjelzt. Sajnos (vagy
szerencsre) ez tbbnyire szinte lthatatlan a gyors betltds miatt. A klnfle indtsi opcik (cskkentett md, DSRM stb.) elrsre szolgl indtmen megjelentshez viszont
pontosan akkor kell megnyomnunk az F8 billentyt, amikor ez a folyamatjelz lthat, (illetve
nem lthat).
344
Ezutn az NTLDR sorban elkezdi betlteni a memriba rendszer klnbz rszeit (de csak betlti, mg nem inicializlja, illetve nem indtja el ket). Elsknt betltdik az ntoskernel.exe s a hal.dll (mindkt
fjlnak a %systemroot%\System32 mappban kell lennie), majd a
registry HKLM\SYSTEM ga (a %systemroot%\System32\Config\
System fjlbl, s az ebben trolt adatok alapjn valamennyi szksges
eszkzvezrl. Az eszkzvezrlket tartalmaz fjlok a %systemroot%\
System32\Drivers mappban tallhatk. Az NTLDR a registryben trolt adatok alapjn hatrozza meg, hogy a betltds tovbbi rszt
meghatroz gynevezett Control Setek kzl melyiket kell felhasznlnia. Ezen a ponton trtnik a Last Known Good Configuration (legutols helyes konfigurci) betltse (lsd ksbb), ebben az esetben egy
korbban elmentett, a legutols mdostsokat mg nem tartalmaz
Control Setet fog felhasznlni az NTLDR.
Utols tevkenysgeknt az NTLDR elindtja a mr korbban betlttt

ntoskernel.exe programot, a betltds tovbbi rszt mr az ntoskernel.exe vezrli.
Az ntoskernel indulsakor a kperny grafikus zemmdban vlt, s a

sznes Windows log alatt megjelenik a dsz folyamatjelz, ami nem
jelzi ugyan semmifle folyamat elrehaladst, de legalbb kellemes,
megnyugtat ltvnyt nyjt. Kzben azrt fontosabb dolgok is trtnek, az ntoskernel memriastruktrkat hoz ltre, inicializlja a megszaktskezelket, elindtja a folyamatkezelt s ltrehozza a System
folyamatot. Ezutn kerl sor az NTLDR ltal betlttt eszkzkezelk
inicializlsra. Kvetkez lpsknt az ntoskernel elindtja a Session
Managert (smss.exe), majd a winlogon.exe indtsakor megjelenik a
Windows bejelentkez ablaka.
Az indtmen
A Windows indtmenje lehetv teszi azt, hogy az opercis rendszert klnfle specilis zemmdokban indtsuk el. A specilis zemmdokra ltalban hibakeress, illetve elhrts cljbl van szksg. Az indtment az
NTLDR futsa kzben lenyomott F8 billenty segtsgvel rhetjk el. A kvetkezkben ttekintjk az egyes menpontok szerept, s felsorolunk nhny tipikus problmt, amelyek az indtmen hasznlatval oldhatk meg.
Az indtmen hasznlata
Ebben a screencastban az opercis rendszer indtmenjnek klnfle lehetsgeivel ismerkedhetnk meg.
Fjlnv: II-3-1a-Boot-Menu.avi
Cskkentett mdok
Ha a szmtgp a szoksos mdon nem indthat, illetve a szoksos indtskor olyasmi is elindul, amire egyltaln nincsen szksg (pldul klnfle
kedves spyware programok, vagy egyb frgek), akkor rdemes megprblkozni valamelyik cskkentett mdban trtn rendszerindtssal. Termszetesen brmelyik cskkentett mdot is vlasztjuk, valamelyik helyi felhasznli fik hasznlatval be kell jelentkeznnk a rendszerbe.
Safe Mode (Cskkentett md) Cskkentett mdban a Windows az

alaprtelmezett belltsokat hasznlja (hlzati szolgltatsok betltsre nem kerl sor). Ebben az esetben az opercis rendszer csak a
mkdshez nlklzhetetlen eszkzmeghajtkat (VGA monitorvezrl, a troleszkzk (IDE, SCSI, CD-ROM stb.) kezelprogramjai, egr
s billentyzet) s a legszksgesebb szolgltatsokat (Logical Disk
Manager, Plug and Play, RPC stb.) indtja el. Nincsen hlzat, nem
hasznlhatak a klnfle extra eszkzk (USB-memrik, hangkrtya
345
Hibakeress s elhrts
stb.), s nem indulnak el a szoksos rendszerindtskor automatikusan

indul programok sem. Ha a szmtgpet ilyen mdon sikerl elindtani, akkor megkereshetjk s letilthatjuk, illetve eltvolthatjuk a
problmt okoz eszkzillesztt, szolgltatst, vagy programot.
Safe Mode with Networking (Cskkentett md hlzattal) Ez az indtsi md megegyezik a cskkentett mddal, de betltdnek a hlzati
alapszolgltatsok is (DHCP- s DNS-gyfl, Server, Workstation stb.)
vagyis elrhetjk s felhasznlhatjuk a hlzati erforrsokat is. Ebben az
esetben hasznlhatunk tartomnyi felhasznlnevet is a bejelentkezshez.
Safe Mode with Command Prompt (Cskkentett md parancssorral)

ebben az esetben nem indul el a Windows grafikus felhasznli fellett biztost Windows Explorer (explorer.exe), hanem helyette csak
egy parancssort (cmd.exe) kapunk. Akkor lehet szksg erre az indtsi
mdra, ha a szmtgp norml md indtst lehetetlenn tev problmt maga a Windows Explorer okozza (pldul hinyzik, vagy srlt
az explorer.exe fjl).
A cskkentett mdokban elindul eszkzillesztket s szolgltatsokat a

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot registrykulcs alatt
tallhat rtkek hatrozzk meg, a Minimal szakasz mindhrom esetben, a
Network szakasz pedig a Cskkentett md hlzattal menpont vlasztsa
esetn tltdik be.
Az indtmen tovbbi lehetsgei

A men tovbbi elemei bizonyos specilis problmk esetn hasznlhat hibakeressi, illetve helyrelltsi lehetsgeket knlnak:
346
Enable Boot Logging (Rendszertlts naplzsnak engedlyezse)

ha ezt a menpontot vlasztjuk, akkor indtskor naplfjl kszl a betlttt (s a valami miatt be nem tlttt) eszkzillesztkrl s szolgltatsokrl. A fjl ntbtlog.txt nven a %systemroot% mappban tallhat.
A rendszer indtsa ebben az esetben norml mdban trtnik, de
alaprtelmezs szerint valamennyi cskkentett md hasznlata esetn
is kszl naplfjl. A napl segtsgnkre lehet a rendszerindtsi hibk pontos oknak meghatrozsban.
Enable VGA Mode (VGA md engedlyezse) A szmtgp ebben az

esetben a grafikus krtya teleptett illesztprogramjnak betltsvel,
de a lehet legkisebb kpernyfelbontssal (640480) indul. (A cskkentett mdokban a rendszer a grafikus krtya illesztprogramja helyet a Windows beptett VGA-eszkzillesztjt hasznlja.)
Last Known Good Configuration (Legutols helyes konfigurci)

A rendszer minden indtskor mentst kszt a registrynek a betltdsi folyamatot meghatroz rszrl (Control Set). A menpont kivlasztsakor a rendszer indtsa a Windows legutbbi indtsakor elmentett registryadatok alapjn trtnik, vagyis az utols bejelentkezs
ta mdostott illesztprogram- s rendszerbelltsok el fognak veszni.
A Control Set j kszletknt val megjellse, a bejelentkezskor trtnik, vagyis ekkor az aktulis s a legutols helyes Control Set megegyezik. A munkamenet sorn elvgzett vltoztatsok csak az aktulis
registryadatokat rintik, a bejelentkezskor ltrehozott pldny megmarad eredeti llapotban, erre trhetnk ksbb vissza (a cskkentett
mdban val bejelentkezs nem szinkronizlja a Control Seteket, vagyis ekkor megmarad a korbbi konfigurci is). A menpontot teht
kzvetlenl a hibt okoz vltoztats utn rdemes hasznlni (a kvetkez bejelentkezs eltt), segtsgvel rszlegesen visszallthatjuk a
registryt (az eszkzmeghajtk s szolgltatsok belltsait), de srlt
vagy hinyz fjlok ptlsra nem hasznlhat.
Directory Services Restore Mode (Cmtrszolgltatsok visszalltsa) Az elmentett Active Directory adatbzis mentsbl val helyrelltsakor van szksg a DSRM zemmdban trtn rendszerindts
hasznlatra (csak tartomnyvezrlkn). A DSRM-zemmd rszletei
az elz, Tartomnyi krnyezet cm fejezetben tallhatk.
Debugging mode (Hibakeressi md) A rendszer indtskor a soros

(COM2), illetve firewire portra kld klnfle hibakeressi adatokat.
Disable automatic restart on system failure (Automatikus jraindts letiltsa rendszerhiba esetn) Alaprtelmezs szerint rendszerlells (kk hall) utn a szmtgp automatikusan jraindul, gy nem
tudjuk megnzni s felrni a kpernyn lthat hibazenetet, ami pedig
igen fontos lenne a hiba oknak megllaptshoz. Termszetesen az
alaprtelmezett viselkeds a mkd rendszer grafikus felletn megvltoztathat, de ha a lells a Windows indtsa kzben trtnik, akkor
ez a lehetsg mr nem rhet el. A menpont hasznlatval nem indul
rendszer esetben is megvltoztathatjuk ezt a fontos belltst.
Pldk az indtmen lehetsgeinek hasznlatra

A kvetkezkben felsorolunk nhny, az indtmen felhasznlsval knynyen megoldhat tipikus problmt:
347
Hibakeress s elhrts
Teleptettnk egy olyan programot a szmtgpre, ami hozott magval

egy j rendszerszolgltatst vagy eszkzmeghajtt, s belltotta ennek
automatikus indtst is. jraindtsakor azonban az indul szolgltats
hibja miatt nem indul el a szmtgp (kk hall). Ebben az esetben
cskkentett mdban valsznleg problma nlkl elindthat a rendszer, s letilthatjuk az jonnan teleptett szolgltats vagy eszkzmeghajt automatikus indulst, illetve eltvolthatjuk a programot.
Teleptettk gpnkre az internetrl letlttt rendszerkarbantart s

kvfz csodaprogram legfrissebb, 2.43.5f verzijt. Mgsem tetszik
azonban a programba integrlt e-mailkldsi funkci, ami folyamatosan
klnfle reklmokkal bombzza ismerseinket, ezrt megprblunk
megszabadulni tle. Szomoran tapasztaljuk, hogy a Feladatkezelvel
sajnos nem lehet lelltani a folyamatot. Sebaj, trljk le magt a programfjlt! Amg azonban a folyamat fut, sajnos a fjlt sem lehet letrlni.
Kvetkez lpsknt megprblhatjuk megkeresni s trlni a registry
megfelel bugyrban (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run) a program automatikus indtst vgz bejegyzst.
jraindts utn azonban a csodaprogram.exe jra ott figyel a fut folyamatok kztt, st visszarta magt a registrybe is. Ekkor kvetkezik a
cskkentett mdban trtn indts, ami mr valdi megoldst jelenthet.
Cskkentett mdban nem indulnak el az egybknt automatikusan indul (csoda)programok, gy mr trlhetek a flsleges fjlok, s vglegesen trlhet a registrybejegyzs is.
Az egyik szmtgphez j monitort csatlakoztatunk. A gp ltszlag

elindul, de aztn mr csak nem ltszlag mkdik, mivel a bejelentkez ablak helyn csak egy fekete kperny fogad minket. Ebben az esetben az a helyzet, hogy az j monitor nem kpes a rgi monitor szmra
belltott 1746x1398 kppontos felbonts (esetleg a 168 Hz kpfrisstsi
frekvencia) megjelentsre. Cskkentett, vagy VGA-mdban trtn
indts esetn a grafikus fellet olyan felbontssal indul, amelyet minden monitor biztosan meg tud jelenteni, gy mr be tudunk jelentkezni, s tetszs szerint tllthatjuk a kperny paramtereit.
Helyrelltsi konzol
A Helyrelltsi konzol (Recovery Console) hasznlatra akkor van szksg,
ha semmilyen ms mdon nem tudjuk elindtani a gpre teleptett opercis
rendszert (cskkentett mdban sem). A Helyrelltsi konzol teljesen nllan
indthat, hasznlathoz nincsen felttlenl szksg a merevlemezen trolt
informcikra.
348
A Helyrelltsi konzolnak nincsen grafikus fellete, ez tulajdonkppen egy

korltozott parancskszlettel rendelkez nll mini opercis rendszer,
amelynek hasznlatval hozzfrhetnk a merevlemezeken trolt adatokhoz,
ptolhatunk, kicserlhetnk, vagy lementhetnk fjlokat (NTFS fjlrendszer
esetn is). Lehetsgnk van diagnosztikai eszkzk futtatsra (pldul
chkdsk a fjlrendszer ellenrzshez s javtshoz), s bizonyos mrtkig hozzfrhetnk a registryhez is: engedlyezhetjk, illetve letilthatjuk az egyes
eszkzmeghajtk s rendszerszolgltatsok indtst. Tovbbi fontos lehetsg
a f rendszertlt rekord (MBR) s a bootszektor javtsa (jrarsa) is.
A Helyrelltsi konzolt telepthetjk a gp merevlemezre (de a teleptett
vltozat a rendszerindts korai fzisnak hibja esetn nem rhet el), illetve
elindthatjuk kzvetlenl az opercis rendszer teleptlemezrl is. A konzol
lefel kompatibilis, vagyis pldul a Windows Server 2003 teleptlemeze
hasznlhat a Windows 2000, XP stb. rendszerek javtshoz is.
A Recovery Console teleptse a merevlemezre
Ebben a screencastban felteleptjk a kiszolgl merevlemezre a Recovery Console-t.
Fjlnv: Fjlnv: II-3-1b-RC-telepites.avi
A konzol indtsa
A Helyrelltsi konzol indtshoz a szmtgpet a Windows telept CD-rl
kell elindtanunk (mintha csak az opercis rendszert teleptennk). A merevlemezek elrshez esetleg szksges SCSI- vagy RAID-vezrlket az F6 billenty
megnyomsa utn floppyrl adagolhatjuk be (ppen gy, mint telepts kzben).
Lehetsg van arra is, hogy a Helyrelltsi konzolt a merevlemezre teleptsk. Ebben az esetben a
konzol indtshoz mr nincs szksg a telept CD-re, mivel a telepts sorn a futtatshoz szksges minden fjl a rendszerktet gykerben ltrejv cmdcons nev rejtett mappba kerl, a rendszerindtskor megjelen menbe pedig (boot.ini) bekerl a Windows Server 2003 Recovery Console
sor. A teleptshez azonban szksg van a Windows CD-re, a kvetkez parancsot kell kiadnunk:
x:\i386\winnt32/cmdcons, ahol x a teleptlemezt tartalmaz CD-meghajt betjele.
6.1. bra: Telepts helyett vlasszuk a Recovery Console indtst
349
Hibakeress s elhrts
Az eszkzmeghajtk betltse utn a telepts helyett vlasszuk a rendszer

javtst, majd a teleptett opercis rendszerek listja alapjn (a szm bersval) ki kell vlasztanunk azt a Windows pldnyt, amelyikbe be szeretnnk jelentkezni, s meg kell adnunk a helyi Administrator (Rendszergazda)
fikhoz tartoz jelszt (ha a fik nevt megvltoztattuk, akkor sincs szksg
felhasznlnvre, mivel azt a biztonsgi azonost (SID) helyettesti).
6.2. bra: A Recovery Console egyetlen lehetsg esetn is krdez
Tartomnyvezrl esetn a DSRM-md jelszavt kell begpelnnk, amelyet a

tartomnyvezrlv val ellptetskor lltottunk be. (Ez a jelsz utlag az
ntdsutil program hasznlatval mdosthat, de termszetesen csak a mkd rendszerben, a helyrelltsi konzolban nem.) A jelsz megadsval hromszor prblkozhatunk, ha a harmadik tipp is helytelen, a szmtgpet
mr csak jraindtani lehet. Ha a helyrelltsi konzol nem tallt a lemezen
teleptett Windows-rendszert, akkor termszetesen nincs hova bejelentkezni,
s a parancssor minden tovbbi nlkl megjelenik.
Ha sikerlt megadnunk a megfelel jelszt, akkor a kivlasztott pldny
%systemroot% mappjban (pldul c:\windows) talljuk magunkat, s kezddhet a kzdelem.
A Helyrelltsi konzol parancsai

A Recovery Console indtsa s hasznlata
Ebben a screencastban elindtjuk, illetve megmutatjuk a Recovery Console szmos lehetsgei
kzl a legrdekesebbeket, illetve a leghasznosabbakat.
Fjlnv: Fjlnv: II-3-1c-RC-hasznalat.avi
A kvetkezkben ttekintjk a helyrelltsi konzol legfontosabb, leggyakrabban hasznlt parancsait, s a parancsok hasznlatval kapcsolatos tudnivalkat.
A konzol indtsa utn kilistzhatjuk a hasznlhat parancsokat a help parancs hasznlatval, illetve egyes parancsokhoz is krhetnk segtsget, ha begpeljk a help <parancsnv> utastst.
350
Chkdsk a parancs segtsgvel lemezellenrzst vgezhetnk, s krhetjk a tallt hibk automatikus javtst. Ha az ellenrzend lemez
nincsen inkonzisztensknt megjellve, akkor a chkdsk csak a /p kapcsol
hasznlata esetn vgzi el annak ellenrzst. Ha megadjuk a /r kapcsolt is, akkor a chkdsk megksrli a hibs szektorokban tallhat adatok
helyrelltst. A chkdsk mkdshez szksg van az autocheck.exe
programra, ha nem sikerl automatikusan megtallnia (a merevlemezen
vagy a telept CD-n), akkor a chkdsk rkrdez annak helyre.
Fixmbr a parancs jrarja a f rendszertlt rekord (MBR) els 446

bjtjt, vagyis az MBR-ben tallhat programkdot, de (ltalban)
rintetlenl hagyja a partcis tblt.
Ms a helyzet azonban hibs partcis tbla (pldul kt aktvknt megjellt partci) vagy az
MBR-t lezr 0x55AA rtk hinya esetn. Ekkor a fixmbr teljesen, s visszavonhatatlanul letrli a partcis tblnkat. Nem szabad teht a fixmbr parancsot hasznlni, ha az Operating
system not found vagy az Invalid partition table hibazenetet ltjuk (legalbbis, ha mg szksgnk van a lemez partcis tbljra). Ilyen esetben sajnos az automatizlt megoldsokban
mr nem bzhatunk, vagyis csak a nehz t jrhat: a merevlemezt tszereljk egy mkd
gpbe, s a Resource Kit-ben tallhat DskProbe.exe nev program segtsgvel manulisan kijavtjuk a partcis tbla hibjt (csak ers idegzeteknek!). Ugyancsak flsleges a fixmbr-rel
prblkozni, ha egyltaln nincs aktvknt megjellt partcink, mivel ekkor a partcis tbla
megmarad ugyan, de aktv partci tovbbra sem lesz benne.
Fixboot a rendszerpartcira j bootszektort r. Ez a mvelet nem

jr klnsebb kockzattal, rontani biztosan nem ront a helyzetnkn.
Diskpart egyszer, karakteres fellet partcionlprogram, megegyezik azzal (csak a sznsszellts ms egy kicsit), amivel a Windows-telepts elejn tallkozhatunk. Elsdleges s kiterjesztett partcik, illetve logikai ktetek ltrehozst s trlst vgezhetjk el segtsgvel, illetve meg is formzhatjuk a ltrehozott meghajtkat.
Map a parancs megjelenti a meghajt betjelek s a fizikai eszkznevek sszerendelseit. Erre az informcira pldul a fixboot s a
fixmbr futtatsakor lehet szksg, mivel ekkor a fizikai eszkzneveket
(pldul \Device\HardDisk0\Partition1) kell megadnunk paramterknt. Az arc paramter hasznlatval a parancs ARC (Advanced RISC
Computing) formtumban rja ki az eszkzneveket (pldul multi(0)disk(0)rdisk(0)partition(1)), ezeket az rtkeket a boot.ini szerkesztsekor hasznlhatjuk fel.
351
Hibakeress s elhrts
352
Set a parancs segtsgvel megjelenthetjk s bellthatjuk a konzol

krnyezeti vltozit. Mindssze ngy krnyezeti vltoznk van (rtkk
true vagy false lehet), amelyekkel tilthat, illetve engedlyezhet klnfle mveletek vgrehajtsa. Alaprtelmezs szerint mind a ngy vltoz
rtke false, vagyis a hozzjuk tartoz mveletek tiltottak. St alaprtelmezs szerint csak akkor llthatjuk t a vltozk rtkt, ha ezt a
szmtgp helyi hzirendjben (vagy a csoporthzirendben) mr korbban engedlyeztk (lsd ksbb). A ngy vltoz a kvetkez:
AllowAllPaths a vltoz segtsgvel engedlyezhetjk a merevlemezeken tallhat valamennyi ktet s mappa elrst. (Alaprtelmezs szerint csak a Windows-mappa s a gykr rhet el.)
AllowRemovableMedia engedlyezhetjk az adatok cserlhet meghajtra val kimsolst. (Alaprtelmezs szerint csak
befel msolhatunk.)
AllowWildCards engedlyezhetjk a helyettest karakterek

hasznlatt a fjl s mappakezel parancsokban (pldul copy *.*).
NoCopyPrompt true rtk esetn a konzol nem kr megerstst a meglv fjlok fellrsa eltt.
Batch a parancs paramtereknt tetszleges nev, a Helyrelltsi

konzol utastsait tartalmaz szvegfjl nevt adhatjuk meg. A fjlban
szerepl utastsokat a konzol gy hajtja vgre, mintha egyesvel gpeltk volna be azokat. Msodik paramterknt megadhatjuk a parancsok kimenett fogad fjl nevt is, de ha nem adunk meg nevet, akkor
a kimenet a szoksos mdon a konzolra kerl.
Bootcfg a parancs segtsgvel mdosthatjuk a boot.ini tartalmt,

megkereshetjk pldul a lemezre teleptett Windows-pldnyokat s
hozzadhatjuk a megfelel bejegyzseket a boot.ini-hez.
Listsvc a parancs megjelenti a szmtgpen elrhet valamennyi

eszkzilleszt s szolgltats listjt.
Enable a parancsot a paramterknt megadott eszkzilleszt vagy

szolgltats engedlyezsre hasznlhatjuk. Msodik paramterknt
megadhat az engedlyezet szolgltats indtsi tpusa is. Az indtsi
tpus a kvetkez rtkek valamelyike lehet:
SERVICE_BOOT_START
SERVICE_SYSTEM_START
SERVICE_AUTO_START
SERVICE_DEMAND_START
Disable a parancs letiltja a paramterknt megadott szolgltats,

vagy eszkzilleszt indtst.
Logon a parancs segtsgvel tjelentkezhetnk a lemezre teleptett

msik opercis rendszerbe.
Hasznlhatk a fjl s mappamveletekkel kapcsolatos szoksos parancssori utastsok (cd, dir, copy, delete, md, rd, rename, type). Ha a Windows
teleptlemezrl msolunk fjlokat a merevlemezre, akkor nincs szksg
kln kitmrtsre (expand), a copy parancs ezt elintzi helyettnk.
Exit kilps a konzolbl s a szmtgp jraindtsa.
Biztonsgi belltsok
A Helyrelltsi konzol kt biztonsgi belltst mg a szmtgp mkdkpes llapotban a helyi-, illetve a csoporthzirendben kell megadnunk. Tartomnyhoz nem tartoz szmtgpek esetn csak a helyi hzirend ll rendelkezsre. A kt belltst ebben az esetben a gpedit.msc (vagy a secpol.msc)
konzolban adhatjuk meg (Security Settings -> Security Options). Termszetesen a fenti mdszer tartomnyi szmtgpek esetn is mkdik, de ekkor a
csoporthzirend esetleges belltsai fellrhatjk a helyi hzirendet. Tartomnyi szmtgpek esetn clszer a fenti belltsokat kzpontilag, a csoporthzirendben szablyozni.
6.3. bra: Recovery Console opcik a csoporthzirendben
353
Hibakeress s elhrts
A kt opci jelentse a kvetkez:
Allow floppy copy and access to all drives and folders (Hajlkonylemez msolsa s hozzfrs minden meghajthoz s mapphoz)
ha engedlyezzk ezt az rtket, akkor a korbban emltett set parancs
hasznlatval tllthatjuk a konzol ngy krnyezeti vltozjt.
Allow automatic administrative logon (Automatikus rendszergazdai bejelentkezs) ha engedlyezzk az rtket, akkor a konzol indtsakor nem kell megadnunk a rendszergazda jelszavt, a bejelentkezs
automatikusan megtrtnik.
A kk hall
Ha a Windows indtsa vagy futsa sorn kezelhetetlen hibba tkzik, az
adatok megvsnak rdekben lell, s megjelenti a hrhedt kk kpernyt
(a jelensg neve Blue Screen of Death, vagyis a hall kk kpernyje). A kk
hall teht egy megoldhatatlan szitucinak a lehetsgekhez kpest korrekt
lezrst jelenti.
A kk kpernys rendszerlellsokat az esetek nagyon jelents rszben
nem maga az opercis rendszer, hanem valamelyik kernel mdban fut eszkzmeghajt, illetve a hardver hibja okozza. A hiba oktl fggetlenl az informcis kperny megjelentst, s a rendszer lelltst a KeBugCheckEx
nev rendszerfggvny hajtja vgre.
6.4. bra: Ha valaki mg nem ltott volna ilyet
354
A kk kperny a kvetkez esetekben jelenhet meg:
Egy eszkzmeghajt, vagy kernel mdban fut opercis rendszer fggvny kezelhetetlen kivtelt generl (pldul rni prbl a memria
rsvdett terletre)
Egy eszkzmeghajt vagy opercis rendszer fggvny kifejezetten

meghvja a KeBugCheckEx fggvnyt, mert olyan krlmnyeket szlelt, amelyek lehetetlenn teszik a rendszer tovbbi mkdst.
Hardver hiba, vagyis nem maszkolhat megszakts (Non maskable Interrupt, NMI) esetn.
Termszetesen az is megoldhat lenne, hogy az opercis rendszer egyszeren

nem vesz tudomst a fenti jelensgekrl, s fut tovbb, mintha mi sem trtnt
volna, de ebben az esetben ksbb valsznleg mg rosszabb krlmnyek
kztt knyszerlne lellni a rendszer. A kk hall teht nem felttlen
knyszer, hanem a ksbbi slyosabb problmk megelzsre szolgl vintzkeds, ha nem lenne, ki kellene tallni .
6.5. bra: Bellthatjuk, hogy mi trtnjen rendszerhiba esetn
355
Hibakeress s elhrts
A megjelen informcik igen fontosak lehetnek a hiba oknak megtallshoz,

szerepel kztk egy hibakd, s annak emberi nyelv megfelelje is (pldul
IRQ_NOT_LESS_OR_EQUAL). Br szznl is tbb klnbz hibakd ltezik, a
legtbb kzlk csak nagyon ritkn fordul el. Ha nem vagyunk biztosak a hiba
okban s a lehetsges megoldsban, akkor a hibakd alapjn tovbbi informcikat tallhatunk a Microsoft Tudsbzisban (http://support. microsoft.com).
Ha a kpernyre kirt informcik alapjn nem sikerl azonostani a hibt, akkor hasznos lehet a rendszerlells kzben fjlba mentett memriatartalom (crash dump) tanulmnyozsa. Erre a clra szmos klnfle tbbkevsb automatizlt analizl eszkz ltezik.
A rendszerhibk kezelsnek belltsai
Ebben a screencastban ttekintjk a Startup and Recovery lap belltsi lehetsgeit.
Fjlnv: II-3-1d-Startup-and-Recovery.avi
A rendszerhibk kezelsnek klnfle paramtereit a Control Panel ->

System -> Advanced -> Startup and Recovery lapon (6.6.5. bra) adhatjuk
meg. Taln a legfontosabb bellts az automatikus jraindts engedlyezse, illetve tiltsa. Alaprtelmezs szerint a szmtgp jraindul a lellsok
utn, ami nagyon jl jhet pldul egy csendes htvgn, mivel ha a kiszolgl egyltaln kpes az jraindulsra, akkor a rendszergazda j esetben htfn
csak az esemnynaplbl rtesl a trtntekrl. Ha azonban szeretnnk ltni
a hibazenetet, akkor felttlenl ki kell kapcsolnunk az automatikus jraindtst. Ha ezt elmulasztjuk, akkor ahogyan mr korbban emltettk , az
indtmen hasznlatval utlag is megvltoztathat ezt a bellts (Disable
automatic restart on system failure).
A kk hall mestersgesen is elidzhet tbb mdon is. Lellthatunk pldul olyan szolgltatsokat, amelyek nlkl a rendszer mkdskptelen, illetve hasznlhat a hivatalos, valsznleg tesztels cljra szolgl mdszer is. Ltre kell hoznunk a CrashOnCtrlScroll DWord
rtket (1) a HKLM\System\CurrentControlSet\i8042prt\Parameters kulcs alatt. jraindts
utn a jobb oldali Ctrl nyomva tartsa mellett ssk le ktszer a Scroll Lock billentyt

Ha sikerlt elindtanunk az opercis rendszert (akr cskkentett mdban
is), akkor a klnfle hibk feldertshez s elhrtshoz szmos beptett,
grafikus fellettel rendelkez eszkz ll rendelkezsnkre, a kvetkezkben
ezek kzl ismerkednk meg a legfontosabbakkal.
356

A grafikus fellettel rendelkez ellenrz- javt eszkzk hasznlata
Ebben a screencastban kiprbljuk a Windows rendszerek beptett ellenrz s hibajavt
eszkzei kzl a legsrbben hasznltakat.
Fjlnv: II-3-2a-GUI-eszkozok.avi
Feladatkezel (Task Manager)

A Windows-rendszerek taln legtbbet hasznlt ellenrz eszkze a Feladatkezel (Taskmgr.exe). Segtsgvel gyors, de viszonylag tfog pillanatkpet
kaphatunk a rendszerben fut alkalmazsokrl s folyamatokrl, ellenrizhetjk a szmtgp legfontosabb terhelsi adatait s megjelenthetjk a bejelentkezett felhasznlkat. Ismerkedjnk meg a Feladatkezel egyes lapjairl
leolvashat adatokkal, illetve az ott elvgezhet mveletekkel:
Applications (Alkalmazsok) a lap elnevezse taln kiss flrevezet lehet, mivel a lapon nem a rendszerben fut alkalmazsokat, hanem
az adott felhasznl munkaasztaln lv, lthat llapot ablakok
cmsorait tallhatjuk meg. Egy alkalmazshoz tbb megnyitott ablak is
tartozhat (tipikusan ilyen pldul a Windows Explorer), illetve szmos
olyan alkalmazs is futhat a gpnkn, amelyikhez egyltaln nem
tartozik lthat ablak ezek nem fognak megjelenni az Alkalmazsok
lapon sem. Szintn nem egszen egyrtelmek az egyes ablakok llapotaknt megjelentett rtkek. Ha az ablak llapota Fut (Running), az
azt jelenti, hogy az ablak zenetkezel ciklusa (ez fogadja a lettt billentyket, egrmveleteket, ms folyamatoktl rkez zeneteket stb.)
kslekeds nlkl vlaszol a krsekre, vagyis az ablak mgtt tallhat alkalmazs zenetre (bevitelre) vr, teht nem csinl semmit. Ha az
ablak llapota Not responding (Nem vlaszol), az jelentheti persze azt
is, hogy az ablak mgtt ll alkalmazs lellt (lefagyott), de az is lehetsges, hogy csak egyb srgs elfoglaltsgai miatt ppen nem jut
ideje az zenetkezel ciklusra. Az egyes alkalmazsokhoz (pldul a
jobb gombos helyi menbl) a szoksos ablakkezel parancsok kiadsra van lehetsg [Bring to Front (Eltrbe hozs), Minimize (Kis mret),
Maximize (Teljes mret) stb.]. Az End Task (Feladat befejezse) menpont szintn nem az alkalmazsra, hanem az ablakra vonatkozik, a krst els krben az zenetkezel ciklusnak kell(ene) fogadnia (ha ez
nem sikerl, akkor komolyabb eszkzkkel is prblkozik a Feladatkezel). Nagyon fontos a Go To Process (Ugrs folyamatra) menpont, ezzel a Feladatkezel kvetkez lapjra kerlnk, s kijellhetjk azt a
rendszerfolyamatot, amelyikhez az adott ablak tartozik.
357
Hibakeress s elhrts
Processes (Folyamatok) ezen a lapon mr a szmtgpen fut sszes

folyamat lthat, megtallhatjuk kztk az elz oldalon felsorolt alkalmazsokhoz, a tbbi alkalmazshoz s az sszes rendszerszolgltatshoz
tartoz folyamatot is. Alaprtelmezs szerint itt lthatjuk a folyamathoz
tartoz vgrehajthat llomny nevt, a futtat felhasznlt, valamint itt
kvethetjk nyomon a pillanatnyi memria- s processzorid felhasznlst. Itt kereshetjk meg pldul azt a rendszerfolyamatot, amelyik valami
miatt tl sok erforrst hasznl, s lelasstja a rendszert. Szmos ms
adatot is megjelenthetnk, ha a View (Nzet) men Select Columns (Oszlopok kivlasztsa) pontjra kattintunk. Fontos informci lehet pldul a
folyamat azonostja (Process Identifier, PID), ezt a hibakeress sorn,
tbb helyen is felhasznlhatjuk majd. A jobb gombos helyi menben bellthatjuk az egyes folyamatok prioritst (de csak vatosan, mert ha egy
processzt nagyon kiemelnk pl. a Realtime lehetsget vlasztva, akkor
minden ms folyamat iszonyan lelassulhat), s itt kzvetlenl is lellthatjuk a nem vlaszol alkalmazsokhoz tartoz folyamatokat.
Performance (Teljestmny) a Teljestmny lapon a szmtgp teljestmnyvel, vagyis a processzor(ok) s a memria kihasznltsgval
kapcsolatos informcik jelennek meg. A memria kihasznltsgval
kapcsolatos adatok kztt is tallhatunk nhny flrerthet nev mezt, gy tekintsk t egyenknt az adatok tartalmt.
6.6. bra: Az opercis rendszer legfontosabb teljestmnyadatai a Feladatkezelben
358
A CPU Usage (CPU-hasznlat) mezvel semmi problma nincs,

szzalkos rtk formjban megjelenti a processzor pillanatnyi
terheltsgt.
A PF Usage (Lapozfjl) rtk (s a hozz tartoz grafikon) viszont nem a lapozfjl hasznlatt mutatja, hanem a rendszer
ltal lefoglalt sszes memriaterlet (a fizikai memriban s a
lapozfjlban egyttesen) nagysgt.
A Totals (sszests) szakaszban a rendszerben fut folyamatok,

programszlak s a lerk (a programok ltal hasznlt erforrsok,
pldul fjlok, registrykulcsok stb.) szmt tallhatjuk.
A Commit Charge (Lefoglalt memria) szakasz hrom rtknek

jelentse a kvetkez: a Total (sszes) rtk a rendszer ltal a fizikai memriban s a lapozfjlban lefoglalt sszes memrit jelenti (megegyezik az PF Usage kijelzn lthat rtkkel). A Limit
(Korlt) a fizikai memria s valamennyi lapozfjl sszestett
mrete, maximlisan ennyi memrit foglalhatnak a folyamatok.
A Peak (Cscsrtk) a szmtgp bekapcsolsa ta lefoglalt legtbb memrit jelenti.
A Physical Memory (Fizikai memria) szakaszban a szmtgpben lv fizikai memria (RAM) mrett lthatjuk. Az Available
(Rendelkezsre ll) rtk a szabad memria mennyisgt jelenti,
a System Cache (Rendszergyorsttr) mezrl pedig a megnyitott fjlok lekpezshez ignybe vett fizikai memria mennyisgt olvashatjuk le.
A Kernel Memory (Kernelmemria) szakaszban az opercis

rendszer magja s az eszkzillesztk ltal hasznlt memrira
vonatkoz adatokat tallhatjuk meg. A Paged (Lapozhat) rtk
a kernel ltal hasznlt memria kilapozhat rszt jelenti, a
Nonpaged (Nem lapozhat) mez pedig az a rsz, amelynek mindenkppen a fizikai memriban kell maradnia.
Networking (Hlzat) ezen a lapon a szmtgp engedlyezett hlzati csatolira vonatkoz adatokat tekinthetnk meg. A grafikonok a
pillanatnyi terhels alakulst mutatjk, alul pedig az alaprtelmezett
kszleten kvl mg szmos tovbbi adatot is megjelenthetnk (View
men Select Columns pontja).
Users (Felhasznlk) a lapon lthatk a szmtgpre bejelentkezett

felhasznlk, az egyes munkamenetek llapota s neve. A bejelentkezet felhasznlknak kldhetnk zenetet, s szksg esetn meg is
szakthatjuk a kivlasztott munkamenetet.
359
Hibakeress s elhrts
Computer Management MMC

Az els fejezetben mr megismerkedtnk a Vista legfontosabb MMC-alap
felgyeleti eszkzeivel, s az ezzel kapcsolatos jdonsgokkal, most csak
azokra az elemekre fogunk koncentrlni, amelyek a Windows kiszolglkon is
megtallhatk, s a hibakeressben is jl felhasznlhatk.
A rendszerszolgltatsok
A rendszerszolgltats olyan program, vagy folyamat, amely a rendszer egy
meghatrozott, ms programok tmogatsra szolgl funkcijt valstja
meg, ltalban alacsony, hardver kzeli szinten. Minden szolgltats egy
meghatrozott felhasznli fik hasznlatval bejelentkezve ri el az opercis
rendszer erforrsait s objektumait. Windows Server 2003 esetn a szolgltatsok nagy tbbsge alaprtelmezs szerint a Helyi rendszer (Local System)
fik hasznlatval jelentkezik be, ami gyakorlatilag korltlan hozzfrst biztost a teljes rendszerhez.
A SYSTEM fik sok esetben mg az Administrators csoport tagjainl is kiterjedtebb jogokkal

rendelkezik, a rendszerler adatbzis nhny terlethez pldul csak a SYSTEM fiknak van
jogosultsga, az administrator mg csak be sem nzhet oda. Br a SYSTEM fikkal termszetesen nem lehet kzvetlenl bejelentkezni, egy egyszer trkk segtsgvel mgis elindthatunk
a SYSTEM nevben fut programokat; ha egy tetszleges programot a SYSTEM fikkal bejelentkez Feladattemez szolgltats indt el, az termszetesen szintn a SYSTEM fik nevben
fog futni. Ha teht pldul kiadjuk a kvetkez parancsot: C:\>at 21:00:00 /interactive cmd,
akkor (majd este kilenckor) kapunk egy SYSTEM jogokkal fut parancssort, ahonnan mr brmilyen ms programot is ugyanilyen jogosultsgi szinttel indthatunk el.
Ha a SYSTEM fikkal bejelentkez szolgltats tartomnyvezrln fut, akkor

nemcsak maghoz a szmtgphez, hanem a teljes tartomnyhoz is korltlan
hozzfrssel rendelkezik.
Ms, korltozott jogosultsgi szinttel is megelged szolgltatsok a Network Service (Hlzati szolgltats), vagy a Local Service (Helyi szolgltats)
fik hasznlatval jelentkezhetnek be, amelyek jelentsen kevesebb jogosultsggal (s veszllyel) jrnak. Az elbbi esetben (Network Service) a szolgltats
csak a hlzaton, mg a Local Service hasznlata esetn csak a helyi gpen kap
jogosultsgokat. A szolgltatsok hozzfrsi szintjnek korltozsa a rendszer
vdelmt szolglja az adott szolgltats hibs mkdse, vagy egy ellene irnyul kls tmads esetn. Ahogyan mr korbban is emltettk, a Vista opercis rendszerben drasztikusan cskkent a SYSTEM fik nevben fut szolgltatsok szma, ppen a biztonsggal kapcsolatos megfontolsok kvetkeztben.
360
A szolgltatsok hrom klnbz indtsi tpusba tartozhatnak. Az automatikus indtsak a rendszer indtsval egytt elindulnak s tbbsgk folyamatosan aktv marad a teljes rendszer, vagy az adott szolgltats lelltsig.
A kzi indts szolgltatsokat szksg esetn a felhasznl, illetve klnfle
programok vagy ms szolgltatsok indthatjk el, a tiltott szolgltatsok pedig
sem automatikusan, sem manulisan nem indthatk el.
A Services (Szolgltatsok) MMC-modul segtsgvel (meglepets!) a rendszerben fut szolgltatsok llapotrl kaphatunk informcit, illetve bellthatjuk a futtatsukkal kapcsolatos klnfle paramtereket. Amint a 6.7. brn lthat, a listban megtallhatjuk a szolgltatsok nevt, rvid lerst,
aktulis llapott, indtsi tpust s azt a felhasznlnevet, amelynek hasznlatval a szolgltats bejelentkezik a rendszerbe.
A szolgltatsokkal kapcsolatos hibk gyors felmrse jl felhasznlhat, ha
a sorokat az indtsi tpus szerinti sorrendbe rendezzk. Ekkor az automatikus
tpus kerl a lista elejre, gy knnyen szrevehetjk, ha egy ilyen szolgltats
valami miatt nem indult el. (Nhny automatikusan indul szolgltatsnak
nem kell folyamatosan futnia, de ezekbl meglehetsen kevs van.)
6.7. bra: A Szolgltatsok kezelsre szolgl MMC-modul
A tovbbi adatokat megjelent, illetve bizonyos paramterek belltst is lehetv tv prbeszdablak megjelentshez dupln kell kattintanunk az
adott szolgltatst reprezentl sorra. A prbeszdablak lapjain megadhatjuk a
361
Hibakeress s elhrts
szolgltats indtsi tpust, s a futtat felhasznli fikot (le is llthatjuk, illetve elindthatjuk a szolgltatst). A Recovery (Helyrellts) lapon megadhatjuk, hogy mi trtnjen, ha a szolgltats lell az els, msodik, illetve harmadik
alkalommal. jraindthat az adott szolgltats, maga a szmtgp, illetve lefuttathatunk egy tetszleges programot is. Ezek a lehetsgek szmos esetben
nagyon hasznosak lehetnek, hiszen egy szolgltats lellsa komoly problmt
okozhat, de ezt a szolgltats, vagy a szmtgp jraindtsa a legtbb esetben
megoldja (hacsak nincs nagyobb baj), az elindtott program pedig rtestheti
pldul a rendszergazdt, vagy a felhasznlkat.
A hibakeress szempontjbl taln a Dependencies (Fggsgek) lap tartalma lehet a legfontosabb. Innen azt olvashatjuk le, hogy az adott szolgltats mely ms szolgltatsoktl fgg (vagyis minek kell futnia, hogy elindulhasson), s mely szolgltatsok fggenek tle (vagyis mi minden fog lellni az
adott szolgltatssal egytt).
Az Eszkzkezel
Az Eszkzkezel (Device Manager) a szmtgpre teleptett hardvereszkzk
grafikus nzett biztostja; segtsgvel frissthetjk a hardvereszkzk
illesztprogramjait, mdosthatjuk a hardverelemekkel kapcsolatos klnfle
belltsokat, s felderthetjk, illetve elhrthatjuk a hibkat.
6.8. bra: Az Eszkzkezel a rejtett (nem Plug and Play) eszkzk megjelentsre s
eltvoltsra is kpes
362
Az Eszkzkezel segtsgvel gyors, ttekint kpet kaphatunk a szmtgp

hardvereszkzeirl, ellenrizhetjk azok megfelel mkdst, illetve mdosthatjuk a hardverelemek erforrsokkal (megszakts, I/O tartomny stb.)
kapcsolatos belltsait.
Ugyancsak az Eszkzkezel ad lehetsget a hardvereszkzk illesztprogramjainak frisstsre, illetve a korbban mr megtrgyalt rnykmsolat
szolgltats segtsgvel rosszul sikerlt frissts esetn vissza is trhetnk
az elz verzira (Driver Rollback).
Fontos lehetsg, hogy az eszkzkezel a nem Plug and Play hardvereszkzk megjelentsre (s eltvoltsra) is lehetsget ad. Az ilyen eszkzk esetben ugyanis nemcsak a telepts, hanem az eltvolts sem mindig automatikus, ha az eltvoltst vgz program nem fut le tkletesen, akkor az illesztprogram a hardvereszkz fizikai eltvoltsa utn is aktv maradhat, foglalhatja a rendszer erforrsait, s esetleg ms problmkat is okozhat. A rejtett eszkzk megjelentshez kapcsoljuk be a View Show hidden devices (Nzet
Rejtett eszkzk megjelentse) opcit.
Az Esemnynapl
Az Esemnynapl szolgltats ltal ksztett naplk segtsgvel nyomon kvethetjk a szmtgp egyes komponenseinek mkdst, s gyorsan rteslhetnk a klnfle problmkrl. Termszetesen lehetsgnk van az
esemnyek klnfle tulajdonsgai (tpus, forrs, dtum stb.) szerinti szrsre
s keressre is. A Windows Server 2003 csaldba tartoz opercis rendszerek alaprtelmezs szerint hromfle naplban rgztik az esemnyeket:
6.9. bra: A tartomnyvezrlk naplrendje
363
Hibakeress s elhrts
Az alkalmazsnapl (Application log) a klnfle alkalmazsok ltal

naplzott esemnyeket tartalmazza. Ide jegyzi be a futsa kzben trtnt esemnyeket valamennyi Microsoft program, de szmos ms forrsbl szrmaz alkalmazs zeneteit is megtallhatjuk itt. Az alkalmazsnaplba kerl zenetek tartalma s mennyisge teljes mrtkben az egyes alkalmazsok fejlesztinek hatskrbe tartozik, brmelyik program felkszthet az Esemnynapl hasznlatra.
A biztonsgi napl (Security log) az rvnyes s rvnytelen bejelentkezsi ksrleteket, valamint a klnfle erforrsok (pldul fjlok) ltrehozst, megnyitst vagy trlst tartalmazza. A biztonsgi
naplba kerl esemnyek krt a csoporthzirend, (illetve a helyi hzirend) belltsai hatrozzk meg.
A rendszernapl (System log) a Windows rendszersszetevi ltal

naplzott esemnyeket tartalmazza. Ide kerlnek a klnfle illesztprogramokkal s ms rendszersszetevkkel kapcsolatos esemnyek,
pldul a sikertelen betlts, lells stb.
A tartomnyvezrlkn a fentieken kvl mg legalbb kt msik naplt is tallhatunk:
A cmtr-szolgltatsi napl (Directory Service log) az Active Directory-szolgltats ltal naplzott esemnyeket tartalmazza, ide kerlnek pldul a cmtradatbzis replikcijval kapcsolatos klnfle bejegyzsek.
A Fjlreplikcis szolgltats naplja (File Replication Service log)

a Fjlreplikcis szolgltatsa ltal naplzott esemnyeket tartalmazza. A rendszer ebben a naplban rgzti pldul a tartomnyvezrlk
SYSVOL-mappinak szinkronizlsakor bekvetkez hibkat.
Ha a tartomnyvezrl egyben DNS-kiszolgl is, akkor egy tovbbi

naplt is tallhatunk rajta. A DNS-kiszolglnapl (DNS Server log)
a DNS-szolgltats ltal naplzott esemnyeket tartalmazza.
Az egyes naplk mretre, illetve a maximlis mret elrsekor bekvetkez

esemnyekre vonatkoz belltsokat az egyes naplk tulajdonsglapjn, illetve a csoporthzirend segtsgvel hatrozhatjuk meg. Valamennyi napl
esetben lehetsg van a bejegyzsek fjlba mentsre, az gy elkszlt fjlt
pedig akr egy msik szmtgpen is importlhatjuk.
A naplkba kerl bejegyzsek a kvetkez t tpus valamelyikbe tartoznak:
364
Hiba (Error) Jelents, mr bekvetkezett problma, pldul egy szolgltats sikertelen indtsi ksrlete, vagy lellsa, egy alkalmazs lefagysa stb.
Figyelmezets (Warning) Nem felttlenl jelents, de a jvben

knnyen slyosabb problmba torkoll esemny. Figyelmeztets kerl
pldul a naplba, ha a rendszerkteten (vagy mshol) lecskken a
szabad lemezterlet, ha nem trdnk a figyelmeztetssel, az a legtbb
hibnl is slyosabb kvetkezmnyekkel jrhat. Nem rdemes teht
csak a hibkra szrve olvasgatni a naplkat, mert gy nem kerlnek a
szemnk el azok a bejegyzsek, amelyek elre jelezhetnk a ksbbi
komolyabb problmkat.
Informci (Information) Egy alkalmazs, illesztprogram vagy

szolgltats sikeres mkdst ler esemny. Amikor pldul betltdik egy hlzati csatol illesztprogramja a naplba Informci tpus
bejegyzs kerl.
Sikeres esemnyek naplzsa (Success Audit) Ilyen tpus bejegyzsekkel a biztonsgi naplban tallkozhatunk. Sikeres esemnynek minsl pldul, ha egy felhasznlnak sikerl bejelentkeznie a rendszerbe.
Sikertelen esemnyek naplzsa (Failure Audit) Szintn csak a

biztonsgi naplba kerlhetnek ezek az esemnyek, ilyen bejegyzs kszl pldul egy hlzati meghajthoz val sikertelen hozzfrsi ksrlet esetn.
Az Esemnynaplba kerl hibk (s sok esetben a figyelmeztetsek is) mindenkppen trdst rdemelnek, br gyakran elfordul az is, hogy semmi klns teendnk nincs, mert pldul egyszeren a szmtgp jraindtsa
megoldja a problmt. Ebben az esetben sem rt azonban, ha a naplbejegyzsben tallhat esemnyazonost alapjn rkeresnk a hibazenetre a Microsoft Tudsbzisban (http://support.microsoft.com), ahol gyakorlatilag minden elkpzelhet bejegyzssel kapcsolatban rszletes, megbzhat forrsbl
szrmaz informcit kapunk (a legtbb esetben persze angolul, br van nhny magyartott cikk is). Megtudhatjuk, hogy mi okozhatja a jelensget, s
mi lehet a megolds (pldul javtcsomag letltse s teleptse, belltsok
mdostsa stb.). Szintn jl hasznlhat forrs lehet a http://eventid.net
webhely, ahov akr mi magunk is feltlthetjk egy adott problmval kapcsolatos krdsnket, illetve vlaszolhatunk msok krdseire is. Termszetesen sok esetben jl hasznlhatk az ltalnos keresk is.
365
Hibakeress s elhrts
Dr. Watson
Dr. Watson egy hibakeres/nyomkvet alkalmazs, ami sszegyjti a klnfle programhibkkal kapcsolatos tnyeket, hogy aztn ezek alapjn Sherlock
Holmes (a rendszergazda) rendkvl les elmjvel levonhassa a megfelel
kvetkeztetseket.
6.10. bra: Dr. Watson megkapja az instrukcikat
Programhiba, illetve kezeletlen kivtel esetn Dr. Watson automatikusan akciba lendl, hozzkapcsoldik a hibs alkalmazshoz vagy szolgltatshoz,
megvizsglja a hibt s a DRWTSN32.LOG nev szveges naplfjlba rja a
vizsglat eredmnyt (s bejegyzst kszt az Esemnynaplba is). Dr. Watson segtsgvel ltrehozhatunk a memria tartalmt trol binris fjlt is,
amely aztn specilis hibakeres alkalmazs segtsgvel elemezhet.
Dr. Watson belltsainak (pldul a naplfjl s a memriakp trolmappja) megadshoz a drwtsn32.exe programot kell elindtanunk.
366
Hlzati gondok megoldsa

A kvetkezkben a hlzati hibk feldertsre szolgl legfontosabb eszkzkkel fogunk megismerkedni. Szmos kisebb-nagyobb program hasznlhat
erre a clra, elszr nhny egyszer parancssori eszkzzel, majd egy komolyabb, egszen mly vizsglatot s elemzst is lehetv tev alkalmazssal
foglalkozunk.
A hlzat diagnosztikai eszkzei
Ebben a mini bemutatban megmutatjuk a hlzati hibk feldertshez hasznlhat eszkzket.
Fjlnv: II-3-2b-Halozat-eszkozok.avi
Az ipconfig parancs segtsgvel megjelenthetjk a hlzati csatolkhoz tartoz

TCP/IP-paramtereket, frissthetjk a csatolk a DHCP-belltsait s bejegyeztethetjk a paramtereket a DNS-kiszolgl adatbzisba. Ha paramter nlkl
adjuk ki az ipconfig parancsot, akkor megjelenthetjk az sszes adapter IPv6vagy IPv4-cmt, alhlzati maszkjt s alaprtelmezett tjrjt. Ha a parancsot
az /all kapcsolval indtjuk el, akkor igen rszletes adatokat kapunk valamennyi
csatolrl, gy knnyen ttekinthetjk a belltsokat, s gyorsan megtallhatjuk
az esetleg elgpelt, vagy ms ok miatt hibs rtkeket.
A NetStat paranccsal protokollstatisztikt s az aktv TCP/IP-kapcsolatokat jelenthetjk meg. A -r kapcsol hasznlatval kilistzhatjuk a szmtgp tvlasztsi tblzatt, a -e kapcsolval pedig a kldtt s fogadott
Ethernet keretekre vonatkoz statisztikai adatokat jelenthetjk meg. A -s
kapcsol segtsgvel protokollonknti bontsban kapunk statisztikt a szmtgp TCP/IP-forgalmrl.
A netstat a parancs segtsgvel az aktv kapcsolatokat listzhatjuk ki,
megjelenik hasznlt protokoll, a nyitott port szma, s a kapcsolat llapota.
Fontos informcit kaphatunk a netstat ao parancs hasznlatval, mivel ekkor az elz lista kiegszl az egyes kapcsolatokat nyitva tart folyamat azonostjval (PID) is. A PID-et felhasznlva a Feladatkezel segtsgvel gyorsan beazonosthat az adott kapcsolatot nyitva tart rendszerfolyamat.
Az Nbtstat parancs hasznos eszkz a NetBIOS-alap nv-hozzrendelsi
problmk hibakeressben. Az nbtstat paranccsal megjelenthetjk az aktv
NetBIOS-munkamenetek listjt, azok llapott, s a munkamenetekre vonatkoz statisztikai adatokat, illetve kilistzhatjuk vagy megjthatjuk a
gyorsttrakban s a WINS-kiszolgln regisztrlt nvhozzrendelseket.
Az Arp parancs segtsgvel a cmfeloldsi protokoll (Address Resolution
Protocol, ARP) ltal a hlzati forgalom cskkentshez hasznlt cmfordtsi
tblzat, vagyis az ARP-gyorsttr tartalmt jelenthetjk meg. Az ARP vgzi a
367
Hibakeress s elhrts
kimen Ethernet-keretekbe kerl MAC-cmek meghatrozst az IP-cmek

alapjn. Az ARP-gyorsttr tartalmt az arp a paranccsal jelenthetjk meg, az
arp s hasznlatval pedig j statikus bejegyzseket adhatunk a tblzathoz.
6.11. bra: A tartomnyvezrl igen sok ponton kapcsoldik a hlzathoz
A NetDiag-program a kiszolgl opercis rendszerek teleptlemezn, a

Support Tools csomagban tallhat, a csomag teleptsvel kerl fel a gpre
(\support\tools\suptools.msi). A parancs segtsgvel a klnfle hlzati
komponensek rszletes vizsglatt vgezhetjk el. A program megvizsglja
valamennyi fontos hlzati elem mkdst (TCP/IP-paramterek, NetBIOS,
tartomnyvezrlk, klnfle szolgltatsok elrhetsge stb.).
A Tracert nev nyomkvet segdprogram a hlzati csomagok tvonalnak meghatrozsra hasznlhat, segtsgvel listt kszthetnk azokrl
az tvlasztkrl, amelyeken egy megadott cl fel tart csomagok thaladnak. A tracert a kvetkezk szerint mkdik: A program ICMP Echo zeneteket kld a cl IP-cm fel, amelyeknek TTL (Time to Live) rtke folyamatosan nvekszik. A TTL rtk 1-gyel indul, vagyis az els kikldtt csomag csak
az els tvlasztig jut el, itt a TTL nullra cskken. Az tvlaszt ilyenkor
nem kldi tovbb a csomagot, hanem ICMP Time Exceeded TTL Exceeded
in Transit hibazenetben rtesti a kldt az esemnyrl. A Tracert-program
feljegyzi a hibazenetet, (amely termszetesen tartalmazza a felad, vagyis
368
az els tvlaszt cmt is) s j csomagot kld a clcm fel, egyel nagyobb
TTL-rtkkel. Ez a csomag a msodik tvlasztn fog hibazenetet generlni,
gy a tracert mr ennek a cmt is feljegyezheti. Mire a csomag eljut a cmzetthez, a tracert az sszes tvlaszt cmt ismerni fogja, amelyeken a csomag thaladt. Ezutn a tracert listt kszt a hibazenetekbl kinyert tvlaszt-cmekbl, s a cmhez DNS-lekrdezs segtsgvel meghatrozott nevekbl. Ha hasznljuk a -d opcit, a program nem hajt vgre DNS-lekrdezst, ilyenkor csak az tvlasztk IP-cmei jelennek meg. A tracert parancs
felhasznlhat annak a meghatrozsra, hogy egy adott csomag tovbbtsa
a hlzat mely pontjn lett lelltva.
A ping parancssori segdprogram a megadott cllloms mkdkpessgnek ellenrzsre szolgl. A ping ICMP Echo zeneteket kld a megadott
IP-cm fel, majd vrakozni kezd a cmzettl rkez ICMP Echo Reply zenetekre. A program kirja a berkezett vlaszzenetek szmt, valamint a krs
elkldse s a vlasz megrkezse kztt eltelt idt.
A pathping nev parancssori eszkz a ping s a tracert funkcionalitsnak kombincijt nyjtja, s nhny tovbbi szolgltatssal is rendelkezik.
Az tvonal feltrkpezse mellett a pathping minden egyes tvlasztt tbbszr is pingel, s megjelenti a ksleltetssel s elveszett csomagokkal kapcsolatos informcikat. Ilyen mdon felmrhetjk az tvonalon elhelyezked
rossz tviv kpessg vonalakat s tvlasztkat.
Az nslookup program a DNS-infrastruktra hibakeresshez hasznlhat
adatok megjelentsre alkalmas. Segtsgvel lekrdezhetjk a megadott DNSkiszolgl adatbzisban trolt rtkeket (szmtgpnv megadsval IP-cmet
s fordtva). A parancs els paramtereknt a lekrdezend nevet, vagy IP-cmet
kell megadnunk, msodik paramterknt pedig megadhatjuk annak a DNSkiszolglnak a nevt (vagy IP-cmt), amelynek a lekrdezst el kell kldeni.
Ha nem adunk meg msodik paramtert, akkor a szmtgpen belltott alaprtelmezett DNS-kiszolgl fog vlaszolni. Az nslookup nagyon jl hasznlhat a
nvfeloldssal kapcsolatos egyszerbb hibk gyors feldertsre, ha ilyen problmra gyanakszunk rdemes mindig ezzel kezdeni a hibakeresst.
6.12. bra: A kiszolgl sajt magtl krdezi meg az IP-cmt
369
Hibakeress s elhrts
Network Monitor
Az eddigiekkel szemben a Network Monitor mr egyltaln nem nevezhet
egyszer eszkznek, de szakrt kzben gyakorlatilag brmire kpes; segtsgvel a hlzati mkds legmlyebb rtegeibe is betekintst nyerhetnk.
A program segtsgvel rgzthetjk s megvizsglhatjuk a gpnkhz rkez
vagy kimen valamennyi hlzati csomagot, ezeket a Network Monitor a hlzati architektra NDIS rtegnek megcsapolsval gyjti ssze szmunkra.
Mivel az NDIS meghajt a hierarchia legalacsonyabb szoftveres rtege (alatta
mr csak a hlzati adapter hardvere tallhat), a Network Monitor segtsgvel minden olyan csomagot lthatunk, amit a hlzati adapter tovbbkld
az opercis rendszer fel.
Az zenetszrsos hlzat mkdsi elve szerint (a switchekkel sszekapcsolt hlzattal most nem foglalkozunk), minden egyes csomagot a hlzatra
kapcsolt valamennyi gp megkap. Ezutn a hlzati adapter hardveresen szszehasonltja az Ethernet csomagban lv cl MAC-cmet a sajtjval, s csak
a neki sznt csomagokat kldi tovbb a feljebb lv szoftveres rtegek fel.
A Network Monitor driver ezt a hardveres szrst kapcsolja ki (promiszkusz
md), gy megjelentheti a hlzaton elrhet valamennyi csomag tartalmt.
A promiszkusz md korbban csak a SMS rszeknt beszerezhet Network Monitor Gold verziban volt hasznlhat (a kiszolgl opercis rendszerek rszeknt kapott alapvltozatban
nem), de a legjabb, 3.1-es verziban mr nincs ilyen megklnbztets, a p-mdnak elnevezett zemmd egyszeren ki- s bekapcsolhat a grafikus felleten.
Egyetlen esetben nem jelenik meg a hlzati csomag a Network Monitorban;

ha az Ethernet keret CRC-je hibs, a hlzati adapter semmikppen nem
kldi tovbb a csomagot. A Network Monitor hasznlatval sszegyjthetjk
azokat az informcikat, amelyek segtsgnkre lehetnek a hlzat hibtlan
mkdsnek fenntartsban, s az esetleges hibk gyors kikszblsben.
A Network Monitor programot bellthatjuk gy, hogy csak azokat az adatokat jelentse meg, amelyekre az adott helyzetben ppen szksgnk van.
Szrk segtsgvel szablyozhatjuk a csomagok megjelentst s elrejtst,
pldul a csomag tpusa (protokoll), vagy forrs-, illetve clcme alapjn. Bellthatjuk azt is, hogy a Network Monitor bizonyos felttel, vagy felttelek teljeslse esetn automatikusan elindtsa, vagy lelltsa a csomagok gyjtst.
Termszetesen lehetsgnk van a megjelents paramtereinek belltsra
is, pldul a klnbz csomagtpusokat klnbz sznnel jelenthetjk meg.
A Network Monitor segtsgvel az sszegyjttt adatokat fjlba is menthetjk ksbbi vizsglat s elemzs cljbl.
370
6.13. bra: A ping program hlzati forgalma a Network Monitorban
A Network Monitor rgebbi verziit a Windows kiszolgl opercis rendszerek beptetten tartalmazzk (az Add or Remove Programs (Programok teleptse s trlse) segtsgvel telepthet), a legjabb, 3.1-es verzi pedig szabadon letlthet a Microsoft webhelyrl. Az j verzi szmos j funkcival rendelkezik, kpes pldul a vezetk nlkli hlzatok forgalmnak megfigyelsre, a Vista RAS-kapcsolatainak (belertve a VPN-kapcsolatokat is) ellenrzsre. Az j Network Monitor a szoksos mdon a Microsoft Update, (illetve
a vllalat sajt WSUS-kiszolglja) segtsgvel frissthet.
Ethereal
Az Ethereal egy msik hlzatmonitoroz program, amelynek funkcii nagyjbl megegyeznek a Network Monitor lehetsgeivel, de szmos belltsa valamivel egyszerbben adhat meg, ezrt kezdsnek taln jobban ajnlhat. Az
Ethereal szmos platformra (Windows, MAC, klnfle Linux s UNIX verzik)
ingyenesen letlthet a http://www.ethereal.com/download.html cmrl.
371
Hibakeress s elhrts
6.14. bra: Broadcast ARP-lekrdezs megjelentse az Ethereal programban
Adataink biztonsga
A biztonsgi ments s visszallts belltsai s idztse
Ebben a screencastban az NTBackup program a fszerep, megmutatjuk a klnfle belltsi
lehetsgeit, biztonsgi mentst ksztnk nhny fjlrl, majd visszalltjuk azokat.
Fjlnv: II-3-3a-NTBackup.avi
A biztonsgi ments a hibaelhrts utols vdelmi vonala, segtsgvel mg

a legslyosabb esetekben is elkerlhet rtkes adataink teljes elvesztse.
Termszetesen csak akkor szabad ehhez az eszkzhz nylnunk (persze nem
a mentsrl, hanem a helyrelltsrl van sz), ha ms mdszertl mr nem
remlhetnk eredmnyt, hiszen a biztonsgi mentsbl val helyrellts
szksgszeren adatvesztssel jr; a mentsek temezse hatrozza meg az
elveszthet adatok maximlis mennyisgt.
372
Adataink biztonsga
Meg kell jegyeznnk, hogy a redundns lemez-alrendszerek (hardveres RAID) semmikppen
nem helyettesthetik a rendszeres biztonsgi mentseket, hiszen nem nyjtanak vdelmet az
adatok szndkos vagy vletlen (pldul figyelmetlensg, vagy szoftverhiba miatt) trlse ellen, illetve a hardverrel kapcsolatos katasztrfa (tbb lemez egyidej meghibsodsa, tzeset
stb.) esetn is elveszthetjk adatainkat. A redundns alrendszerek alapveten nem az adatbiztonsgot (rszben persze azt is), hanem a rendelkezsre llst nvelik.
Nagyon fontos, hogy kt fogalmat pontosan megklnbztessnk egymstl:
Biztonsgi ments adatok msolsa egy alternatv mdira, az adatveszts elkerlse (cskkentse) miatt. A mentett llomnyok hossz tv
megrzse ltalban nem szksges.
Archivls az adatok thelyezse olyan mdira, mely biztostja a

hossz tv megrzst (ezt ltalban klnfle elrsok szablyozzk)
s tbbnyire keressi lehetsget is nyjt.
A mentsi rendszer megtervezsvel kapcsolatban szmos olyan szempontot

kell figyelembe vennnk, amelyek teljes mrtkben a helyi, egyedi adottsgoktl fggenek, gy sajnos nem ltezik ltalnosan hasznlhat recept. A kvetkezkben azokat a krdseket tekintjk t, amelyekre vlaszt kell tallnunk a tervezs sorn:
Mit mentsnk? (s mit ne?) Mentsnk rendszeresen minden olyan

adatot, amelynek elvesztse problmt okoz, s ms mdon val helyrelltsa nem lehetsges, illetve tbb munkval jr, mint a mentsi fjl
visszatltse. Semmikppen nem rdemes azonban lementeni teht azokat az adatokat, amelyek helyrelltsra biztosan nem lesz szksg, illetve azokat sem, amelyek ms mdon is knnyen helyrellthatak. Flsleges adatra j plda a TEMP knyvtr s teljes tartalma, a felhasznlk profiljba az Internet Explorer ltal lementet weblaptredkek stb.
Knnyen helyrellthat adatnak minslhet pldul az Office programcsomag, s ms alkalmazsok. Br az NTBackup kpes a megnyitott fjlok mentsre is, mgsem rdemes a rendszerhez tartoz nyitott fjlokkal prblkozni. Teljesen flsleges pldul bevenni a mentsbe a Windows lapozfjljt (pagefile.sys), vagy az Active Directory-adatbzisfjljait
(ntds.dit) stb. (az Active Directory mentse a System State ments rsze,
a fjlok kzvetlen mentsre nincs szksg).
Milyen srn mentsnk? Amint mr emltettk, a mentsek srsgt az elveszthet adatok maximlis mennyisgnek kell meghatroznia. Minl kevesebb (rvidebb id alatt keletkez) adat elvesztst
kpes klnsebb problma nlkl elviselni a vllalat, annl gyakrab373
Hibakeress s elhrts
ban kell mentseket vgeznnk. Termszetesen a mentsek gyakorisgnak meghatrozsakor figyelembe kell vennnk a trolt (s mentend) adatok kztti klnbsgeket is: a gyakran vltoz, rtkes llomnyokat srbben, a ritkbban mdostott adatokat pedig ritkbban kell
menteni (esetleg elegend az egyszeri archivls is).
374
Mire mentsnk? Nagyon fontos krds a biztonsgi mentseket trol eszkzk s a mdia (merevlemez, szalag, optikai lemezek stb.) kivlasztsa is. A kiszolglban lv msodik merevlemeztl, a klnfle szalagos meghajtkon keresztl az nll, automatizlt trolegysgekig
szmtalan megolds kzl vlaszthatunk, az optimlis megolds megtallshoz figyelembe kell vennnk a szksges kapacitst, a sebessget,
a megbzhatsgot, tartssgot, s a fajlagos kltsget is. A mentseket
tartalmaz mdia trolsra lehetsg szerint vlasszunk olyan megoldst, ami komolyabb katasztrfa esetn is megfelel biztonsgot
nyjt: szksges lehet a kiszolgltl fizikailag is elklntett (akr klnll telephelyen lv) trol hely, tzbiztos kazetta stb.
Mikor mentsnk? Az adatok mentst clszer olyan idpontra idzteni, amikor vrhatan nincsen sok megnyitott fjl (br ezek korbbi
verziit az rnykmsolat technolgia segtsgvel az NTBackup kpes
lementeni), s a ments ltal lefoglalt erforrsok hinya nem zavarja
a felhasznlkat. Szoksos irodai krnyezetben ez azt jelenti, hogy a
mentseket az jszakai rkra s a htvgre kell idztennk. Ebbl
kvetkezen a mentsek elvgzsre korltozott idintervallum ll
rendelkezsre, ezt figyelembe kell vennnk a mentend adatok krnek
(mennyisgnek) meghatrozsakor, s ennek megfelelen kell kivlasztanunk a ments tpust (a ments klnfle tpusairl ksbb mg
szt ejtnk) s a felhasznland eszkzket is.
Mennyi ideig fog tartani a visszallts? Termszetesen mr a

mentsek megtervezsekor figyelembe kell vennnk a visszalltssal
kapcsolatos szempontokat. Hogy maximlisan mennyi idt vehet
ignybe a visszallts, azt alapveten a vllalat mkdse hatrozza
meg, az elvrt szintidnek megfelelen kell megvalstanunk s belltanunk a mentsi rendszert.
Ki fogja elvgezni a mentst? A fjlok mentst azok tulajdonosai

s a legalbb olvassi joggal rendelkez felhasznlk vgezhetik el, ennek megfelelen kell belltanunk az idztett mentsekhez tartoz felhasznli fikot. Az Administrators, Backup operators s Server operators csoportok tagjai mg olyan fjlok mentsre is kpesek, amelyekhez egybknt semmifle jogosultsggal nem rendelkeznek.
Adataink biztonsga
Az NTBackup
A biztonsgi mentsek elvgzsre a Windows-rendszerek beptett NTBackup
programjt hasznlhatjuk. Termszetesen a megfelel pnzsszeg ellenben vlaszthatunk ms megoldst is szmos kifinomultabb, tbb lehetsggel rendelkez rendszer van a piacon , de kisvllalati krnyezetben az NTBackup
gyakorlatilag mindent tud, amire szksgnk lehet.
6.15. bra: Az NTBackup grafikus fellete
Az NTBackup segtsgvel a kvetkez feladatokat vgezhetjk el:
Kivlasztott fjlok s mappk mentse s visszatltse.
Megnyitott fjlok mentse az rnykmsolat technika segtsgvel. Az

rnykmsolatokrl (Shadow Copies) s a kapcsold belltsi lehetsgekrl a negyedik, Kiszolgl a hlzatban cm fejezetben rszletes lers tallhat.
Msolat ksztse a szmtgp rendszerllapotrl (System State

ments).
375
Hibakeress s elhrts
Az NTBackup program a csak a helyi rendszerllapot adatok mentsre kpes, tvoli szmtgpek rendszerllapotnak mentsre nincs lehetsg.
Automatikus rendszer-helyrelltshoz (Automated System Recovery,

ASR) szksges fjlok s konfigurcis belltsok mentse s helyrelltsa.
A tvtrolkon s felcsatolt hlzati meghajtkon tallhat adatok

mentse.
Naplfjl ksztse a biztonsgi ments folyamatrl.
Msolat ksztse a rendszerpartcirl, a rendszerindt partcirl s

rendszerindtshoz szksges fjlokrl.
A biztonsgi msolatok automatikus elksztsnek idztse.
A mentshez felhasznlt mdia alapszint kezelse (pldul formzs).

Az NTBackup gyakorlatilag brmilyen mdira kpes mentst kszteni.
Online adatbzist hasznl Microsoft termkek adatainak mentse.
Az NTBackup nemcsak a grafikus fellet, hanem parancssori paramterek segtsgvel is teljeskren vezrelhet, gy lehetsg van a parancsfjlbl, vagy klnfle szkriptnyelvekbl val
hasznlatra is.
System State ments

A tartomnyvezrlkn elvgezhet rendszerllapot mentsrl az elz, Tartomnyi krnyezet cm fejezetben mr volt sz, most csak rviden ttekintjk, hogy a szmtgp funkcijtl fggen milyen adatok kerlnek bele
ebbe a krbe:
376
Regisztrcis adatbzis minden esetben
Indtfjlok, rendszerfjlok minden esetben
A WFP rvnyessge alatt lv rendszerfjlok minden esetben
Tanstvnytr ha a szmtgp Tanstvnytr kiszolgl
Cmtr-adatbzis (Active Directory) ha a szmtgp tartomnyvezrl
SYSVOL-mappa ha a szmtgp tartomnyvezrl
Klaszter szolgltatsra vonatkoz adatok ha a szmtgp egy klaszter rsze
IIS metadirectory ha teleptve van
Adataink biztonsga
A ments tpusa
Az NTBackup tbb klnbz tpus ments elvgzsre kpes, a kvetkezkben ezekkel fogunk megismerkedni. A klnbz tpus mentsek kzben
az NTBackup a mentend fjlok kt tulajdonsgt veszi figyelembe. Az egyik
termszetesen az utols mdosts dtuma, a msik pedig egy specilis fjl,
illetve mappatulajdonsg, az archivland attribtum. Az attribtumot minden olyan mvelet kteles bekapcsolni, ami a fjl tartalmnak mdostsval
jr (ebbl tudja majd az NTBackup, hogy a fjl megvltozott, teht menteni
kell). A sikeres ments utn ltalban (a ments tpustl fggen) az
NTBackup trli az attribtumot. A fjlok s mappk tulajdonsglapjn az archivland attribtum az Advanced (Specilis) szakaszban File is ready for
archiving (A fjl archivlsra ksz) nven szerepel.
Az NTBackup program segtsgvel a kvetkez mentsi tpusokat hasznlhatjuk:
Copy backup (Msolat) A msols lementi az sszes kijellt fjlt, de

nem jelli meg a fjlokon a biztonsgi ments elvgzst (vagyis nem
trli az archivland attribtumot). A msols akkor lehet hasznos, ha
pldul az temezett norml s nvekmnyes biztonsgi mentsek kztt egy extra msolatot is szeretnnk kszteni adatainkrl, mivel a
msols semmikppen nem befolysolja a szoksos mentseket.
Daily Backup (Napi ments) a kijellt fjlok kzl csak azokrl kszt mentst, melyek a ments futtatsnak napjn mdosultak. A biztonsgi mentst az NTBackup nem jelli a fjlokon (ms szval nem
trli az archivland attribtumot).
Differential Backup (Klnbsgi ments) a klnbsgi ments a

legutols norml vagy nvekmnyes ments ta ltrehozott vagy mdostott fjlokrl kszt biztonsgi msolatot. A klnbsgi ments nem
trli az archivland attribtumot. A norml s klnbsgi biztonsgi
ments kombincijnak (pldul hetente norml, naponta pedig klnbsgi ments) hasznlatakor a visszalltshoz a legutols norml
s a legutols klnbsgi msolatra lesz szksg.
Incremental Backup (Nvekmnyes ments) A nvekmnyes ments a legutols norml vagy nvekmnyes biztonsgi ments ta ltrehozott vagy mdostott fjlokrl kszt msolatot. A ments vgrehajtst a rendszer megjelli a fjlokon, vagyis ebben az esetben trldni fog
az archivland attribtum. A norml s a nvekmnyes biztonsgi
ments kombincijnak hasznlatakor a visszalltshoz a legutols
norml s az azta ltrehozott valamennyi nvekmnyes biztonsgimsolat-kszletre szksg lesz.
377
Hibakeress s elhrts
Normal Backup (Norml ments) A norml biztonsgi ments az

sszes kijellt fjlt lementi, s trli rajtuk az archivland attribtumot. Norml biztonsgi msolat esetn valamennyi fjlt egyetlen biztonsgimsolat-kszlet hasznlatval visszallthatjuk. A legels biztonsgimsolat-kszlet ltrehozsakor ltalban norml biztonsgi msolatot kell ksztennk.
Adataink biztonsgi mentshez a norml s a nvekmnyes ments kombincijnak hasznlatval van szksg a legkisebb trolkapacitsra, s a nvekmnyes mentsek vgrehajtshoz viszonylag kevs id is elegend lehet.
A fjlok visszalltsa azonban ezzel a mdszerrel idignyes s bonyolult lehet, mivel tbb biztonsgimsolat-kszletet kell hasznlnunk, amelyek akr
tbb lemezen vagy szalagon is lehetnek. Ha pldul htvgn vgezzk el a
norml mentst (ekkor viszonylag sok id llhat rendelkezsre), jszaknknt
pedig a nvekmnyes mentseket, akkor egy pnteki visszallts esetn
szksgnk lesz az elz htvgn kszlt norml mentsre s minden azta
kszlt nvekmnyes mentsre is.
Ha a norml s a klnbsgi biztonsgi ments kombincijt hasznljuk,
akkor a klnbsgi mentsek tbb idt vehetnek ignybe (klnsen gyakran
mdosul adatok esetn), de egyszerbb lesz az adatok visszalltsa, mivel
csak az utols norml, s az utols klnbsgi kszletre lesz szksgnk.
Automatikus rendszer-helyrellts
Az Automatikus rendszer-helyrellts (Automated System Recovery, ASR) segtsgvel egy hajlkonylemezbl s egy mentsi fjlbl ll kszletet lehet ltrehozni, amelynek segtsgvel visszallthat a srlt rendszer mentskori llapota. Termszetesen mieltt ezt a mdszert hasznlnnk rdemes megprblkozni ms lehetsgekkel is (cskkentett md, Last Known Good Configuration, Helyrelltsi konzol stb.).
Az automatikus rendszer-helyrellts kt rszbl ll: elsknt a mkd
rendszeren az NTBackup program Automatikus rendszer-helyrellt varzsljnak (Automated System Recovery Wizard) segtsgvel ltre kell hoznunk
a megfelel helyrellt kszletet. A kszlet egyik eleme egy mentsi fjl, ami
tartalmazza a rendszerllapot adatokat, a rendszerszolgltatsokat s az
opercis rendszerhez tartoz valamennyi ktet adatait. A varzsl a mentsi
fjl mell egy hajlkonylemezt is kszt, amelyen megtallhatjuk a biztonsgi
msolatra s a lemezbelltsokra (alap- s dinamikus ktetek), valamint a
visszallts menetre vonatkoz informcikat.
378
Adataink biztonsga
6.16. bra: ASR-kszlet ltrehozsa az NTBackup hasznlatval. Szksg lesz egy

floppylemezre is (s nem rt egy floppymeghajt sem)
Idztett ments
Az NTBackup segtsgvel sszelltott mentsi feladatokat vgrehajthatjuk
kzvetlenl a felletrl trtn indtssal, illetve (a mentsi belltsok fjlba
rsa utn) a bellthat idztsnek megfelel idpontokban automatikusan.
A mentsek temezshez az sszelltott belltsokat fjlba kell mentennk, s meg kell adnunk egy felhasznlnevet (s jelszt), akinek nevben
az temezetten indul feladatok futni fognak.
A kvetkez idztsek belltsra van lehetsgnk:
Egyszer (Once) A feladat egyetlen egyszer, a megadott idpontban

fog lefutni.
Napi (Daily) A feladat naponta egyszer, a megadott idpontban fog

lefutni.
Heti (Weekly) a feladat hetenknt ismtldve a megadott napok

megadott idpontjban fog lefutni.
Havi (Monthly) a feladat havonta egyszer, a megadott idpontban fog

lefutni.
Rendszerindtskor (At System Startup) A kvetkez rendszerindts alkalmval.
379
Hibakeress s elhrts
Belpskor (At Logon) A kvetkez belps alkalmval (a mentst

idzt felhasznl belpsrl van sz).
resjrati idben (When idle) A feladat akkor fog elindulni, amikor

a rendszer a megadott id ta nyugalmi llapotban van.
Az temezett feladatok (gy a belltott biztonsgi mentsek) vgrehajtsrt

a Windows-rendszerek beptett Feladattemez szolgltatsa (Task Scheduler) a felels. A Control Panel Scheduled Tasks elemnek hasznlatval ellenrizhetjk mentsi feladataink vgrehajtsnak eredmnyt, s szksg
esetn itt is mdosthatjuk a belltsokat (idzts, futtat felhasznl stb.).
6.17. bra: A mentsi feladatok futsnak eredmnyt a Feladattemezben nzhetjk meg
A visszallts
A visszallts az a lps, amit soha senki nem szokott elre kiprblni, les
helyzetben meg gysem sikerl. Nagyon fontos, hogy a mentsi feladatok belltsa utn teszteljk a visszalltst is. A kvetkezkben vgigkvetjk a
mentsbl val helyrellts lpseit. Ttelezzk fel, hogy az egyik tartomnyvezrlnk rendszerlemeze meghibsodott, a gp nem indthat, s semmi esly nincs r, hogy ms mdon zemkpess tehetjk. A gpben lv msodik merevlemezen (vagy szalagon, ez tulajdonkppen lnyegtelen) van egy
elz nap ksztett norml ments (d:\mentes\backup.bkf) ezt szeretnnk
visszalltani. Mi a teend?
A mentsi fjl beolvasshoz s a visszalltshoz szksgnk van az
NTBackup-programra, mgpedig ppen azon a gpen, amelyre a rendszerllapot adatokat vissza szeretnnk lltani. A hibs merevlemez cserje utn
teht teleptennk kell a gpre egy Windows Server 2003 rendszert, hogy
legnagyobb rszt azonnal fellrhassuk a korbbi mentsnkkel. A kvetkez lpseket kell teht elvgeznnk:
380
Adataink biztonsga
Teleptnk egy res Windows Server 2003-at a teleptlemezrl.
Az j rendszerben elindtjuk az NTBackup-programot, s a mentsi

fjlbl visszatltjk a rendszerllapot adatokat.
Vgl jrateleptjk a szksges alkalmazsokat, s megint az NTBackup

segtsgvel visszamsoljuk a mentett adatokat is.
A visszallts (csak a megfelel jogosultsg birtokban vgezhet el) rtelemszeren fellrja mentsben szerepl fjlokat s mappkat, illetve a rendszerllapot adatokat is. A mentett fjlok s mappk nem csak az eredeti helykre, hanem brhov visszallthatk, de a rendszerllapot adatok csak az
NTBackup programot futtat szmtgp aktulis belltsainak helyre kerlhetnek, vagyis mindenkppen fellrjk azokat
Visszallts ASR-kszlet alapjn

Az Automatikus rendszer-helyrelltsi kszletek segtsgvel trtn helyrellts a Windows teleptprogramjnak futtatsa kzben rhet el (CD-rl
val rendszerindtskor). A teleptsi folyamat elejn az F2 billenty lenyomsval indthatjuk el a helyrelltsi folyamatot.
6.18. bra: Az automatikus rendszer helyrelltst a teleptlemezrl bootolva indthatjuk el
Az ASR a kszlet rszeknt ltrehozott hajlkonylemez alapjn helyrelltja a

szmtgp indulshoz szksges lemezek sszes ktett s partcijt, s a
Windows nhny msik ltfontossg sszetevjt, majd a mentsi fjl alapjn visszalltja a korbban elmentett fjlokat s adatokat. Az ASR visszallts teht a kvetkez mveleteket vgzi el:
Beolvassa a lemezkonfigurcit
Visszalltja a bootlemez szignatrkat, a kteteket s a partcikat
Telepti a Windows lementett verzijt
Az NTBackup segtsgvel visszalltja a rendszerllapotot s a mentett fjlokat
381
Hibakeress s elhrts
Kls eszkzk
A Windows opercis rendszerek beptett hibakeres eszkzein kvl szmos
kls program is rendelkezsnkre ll erre a clra. A kvetkezkben a Sysinternals ltal jegyzett eszkzk kzl tekintnk t nhnyat, amelyek igen jl
hasznlhatk szinte brmilyen hibakeressi feladat sorn, illetve nmelyikkel
az opercis rendszer mkdsnek olyan mlysgeibe lthatunk bele, ami
semmifle ms eszkzzel nem lehetsges. Az eszkzket vilgszerte rengetegen
hasznljk, gy azok megbzhatsghoz s hasznossghoz nem frhet ktsg.
Sysinternals segdprogramok
A Sysinternals ltal ksztett eszkzk tulajdonkppen az opercis rendszer
beptett eszkzeinek tbb-kevsb (ltalban inkbb tbb) felokostott vltozatai, amelyeknek funkcii s kezelse kifejezetten a rendszergazdk szemlletmdjt tkrzi. A Sysinternals cg szmtalan ilyen eszkzt ksztett,
ezen fell pedig tbb igen rdekes s fontos knyv (Inside Windows-sorozat),
elads s oktatanyag fzdik nevkhz. A vllalatot 2006-ban a Microsoft
megvsrolta (a cg alapti azta a Microsoft alkalmazsban llnak), de az
eszkzk tovbbra is rendszeresen frisslnek (st jak is kszlnek), s a
http://www.microsoft.com/technet/sysinternals/default.mspx cmrl valamenynyi ingyenesen, brki szmra letlthet.
Valamennyi eszkz futtatshoz rendszergazda-jogosultsg szksges
(Vista alatt Run as Administrator), viszont teleptsre egyltaln nincs szksg, a letlttt exe fjl minden tovbbi nlkl futtathat. A legfontosabb eszkzk egyetlen csomagban is letlthetk a http://tinyurl.com/ybce37 cmrl
(Sysinternals Suite).
A Sysinternals eszkzk
Ebben a screencastban kiprbljuk a legfontosabb s a legrdekesebb Sysinternals eszkzket.
Fjlnv: II-3-2b-Sysinternals.avi
FileMon (File Monitor)

A FileMon segtsgvel megfigyelhetjk s naplzhatjuk valamennyi a fjlrendszerrel kapcsolatos mveletet (fjlok megnyitsa, olvass, rs stb.). A vals idben listzott adatok kztt megtallhatjuk valamennyi fjlmvelet
pontos idpontjt s tpust, a mveletet kezdemnyez folyamat s az rintett fjl nevt, valamint a mvelet eredmnyt is.
382
Kls eszkzk
6.19. bra: Valamennyi fjlmveletet megfigyelhetjk a FileMon segtsgvel
A FileMon kivlan felhasznlhat a rendszer mkdsnek megfigyelsre

(elgg megdbbent mennyisg fjlmvelet trtnik egy rintetlen, semmi
klnset nem csinl rendszerben is, nem beszlve mondjuk egy Word, vagy
Outlook indtsrl), de taln a legfontosabb felhasznlsi terlete a fjlrendszerbeli jogosultsghinyok kimrse.
Ha egy rosszul megrt felhasznli alkalmazs nem hajland felhasznli
jogosultsgokkal elindulni, akkor a FileMon segtsgvel knnyen megtallhatjuk a sikertelen mveletben szerepl fjlt vagy mappt, s gy csak arra az egy
elemre kell megadnunk a program futshoz szksges jogosultsgot. A listba
kerl adatokat szrhetjk pldul a mveletet kezdemnyez folyamat neve
szerint, s lehetsg van rszletes keressre s fjlba mentsre is.
RegMon (Registry Monitor)

A Regmon a registry-mveletek megfigyelsre hasznlhat, mkdse s fellete is ersen hasonlt a FileMon-ra. Hasonl a felhasznlsi terlet is;
megtudhatjuk, hogy a hibt generl alkalmazs pontosan milyen registryrtk olvassa vagy rsa kzben adta meg magt (pldul egy hinyz kulcs,
vagy jogosultsghiny miatt), s gy knnyen megoldhatjuk a problmt.
383
Hibakeress s elhrts
A FileMon s a RegMon helyt a Process Monitor vette t, ami viszont csak Windows 2000 SP4,
Windows XP SP2, Windows Server 2003 SP1, s Windows Vista rendszereken futtathat. A rgebbi rendszerek tmogatsa miatt azonban megmaradt az nll FileMon s RegMon is (ezek
mg a Windows 9x rendszereken is elindulnak).
Process Monitor
6.20. bra: A Process Monitor a fjlrendszer s registry mellett a folyamatok s

programszlak monitorozsra is kpes
A Process Monitor egy sszetett rendszermonitoroz eszkz, amely kpes a

fjl- s registrymveletek, valamint a folyamatok s szlak vals idej megfigyelsre (kln-kln s prhuzamosan is). Az eszkz egyben valstja meg a
FileMon s a RegMon kpessgeit, s szmos j lehetsget is nyjt.
DiskMon (Disk Monitor)

A DiskMon a lemezmveletek kzvetlen megfigyelsre ad lehetsget. Segtsgvel nyomon kvethetjk, s fjlba menthetjk a lemezmveletekre vonatkoz klnbz adatokat (idpont, idtartam, mvelet fajtja, rintett
szektor sorszma stb.). A DiskMon elhelyezhet a tlcn is, ekkor zld sznnel
jelzi az olvassi, pirossal pedig az rsi mveleteket.
384
Kls eszkzk
Process Explorer
6.21. bra: Process Explorer, a szuperokos Task Manager
A Process Explorer kpes a szmtgpen fut folyamatok szinte minden tulajdonsgnak megjelentsre. Funkciinak egy rsze megtallhat a Feladatkezelben is, de segtsgvel rengeteg olyan informcihoz is hozzjuthatunk, amelyek megjelentsre a Feladatkezel nem kpes.
A folyamatok a szl-gyermek kapcsolatoknak megfelel fastruktrban
jelennek meg, s valamennyi folyamathoz megjelenthetjk a hasznlt rendszererforrsok s a nyitva tartott dll-ek listjt is. A Process Explorer igen
kifinomult keressi lehetsgekkel rendelkezik, gy pillanatok alatt megtallhatjuk pldul azt a rendszerfolyamatot, amelyik egy adott erforrst vagy
dll-t megnyitva tart.
AutoRuns
Az AutoRuns segdprogram megkeresi s megjelenti a rendszerindtskor
automatikusan indul valamennyi programot, szolgltatst stb., vagyis mindent, amit az opercis rendszer automatikusan elindt. A listba kerlnek az
indtpultban s a klnfle registrykulcsokban (Run, RunOnce stb.) szerepl
bejegyzsek, az Explorer shellbvtmnyek, a betltd eszkztrak s mg
sok minden ms is.
385
Hibakeress s elhrts
A programhoz tartozik egy parancssori fellettel rendelkez eszkz is

(AutoRunsc.exe), amellyel lehetsgnk van a kimenet csv fjlba val elmentsre is.
6.22. bra: Minden (de tnyleg), ami elindul rendszernkben
AD Explorer
Az AD Explorer kpes a cmtradatbzis nyers formjnak megjelentsre,
segtsgvel elrhetjk valamennyi cmtrpartcit s megjelenthetjk, illetve szerkeszthetjk az egyes objektumokhoz tartoz tulajdonsgrtkeket. Az
ADExplorer nagyon kifinomult keressi lehetsgekkel rendelkezik, s lehetsgnk van a keressek elmentsre s ksbbi jrafelhasznlsra is.
Teljesen egyedlll lehetsg az, hogy offline megjelentsre s sszehasonltsra alkalmas pillanatkpeket kszthetnk az Active Directory adatbzisrl. A mentett adatbzis brmikor jra felcsatolhat, vagyis az l adatbzissal megegyez mdon jelenthet meg. A klnbz idpontokban kszlt pillanatkpek sszehasonltsval azonosthatjuk a megvltozott objektumokat, tulajdonsgokat s jogosultgi listkat.
386
Kls eszkzk
6.23. bra: Active Directory-objektumok tulajdonsgai az AD Explorerben
AD Restore
Az ADRestore a trlt cmtrobjektumok megkeressre s visszalltsra
kpes. A program hasznlata nagyon egyszer, a cmtr online llapotban
indthatjuk el s paramterknt (nem ktelez) csak a trlt objektumok kztt vlogat szrt kell megadnunk.
PsTools csomag a csomagon bell

A PSTools apr parancssori programokbl ll gyjtemny. A programok segtsgvel egyszer mveleteket vgezhetnk el, viszont rdekes lehetsg,
hogy valamennyi parancs tvoli gpre is hasznlhat.
A PSTools a kvetkez elemekbl ll:
PsExec segtsgvel megadott nev folyamatot indthatjuk el (tvoli

gpen is).
PsFile a parancs a megnyitott fjlok listjt jelenti meg.
PsGetSid a szmtgp, illetve felhasznl biztonsgi azonostjt

(Security Identifier, SID) rja ki.
PsInfo a program listzza az alapvet rendszerinformcikat.
PsKill a parancs segtsgvel lehetsgnk van a szmtgpen (tvoli gpeken is) fut folyamatok knyrtelen lezrsra.
387
Hibakeress s elhrts
PsList a fut folyamatok listjt s az egyes folyamatok legfontosabb

adatait jelenti meg.
PsLoggedOn a parancs a szmtgpre bejelentkezett felhasznlkat listzza (a helyi bejelentkezseket s a megosztott erforrsokra
vonatkoz kapcsolatokat is).
PsLogList a parancs az Esemnynapl bejegyzseit listzza.
PsPasswd a parancs segtsgvel megvltoztathatjuk a felhasznli

fikokhoz tartoz jelszavakat.
PsService a parancs segtsgvel kilistzhatjuk a szolgltatsokat,

s elvgezhetjk a kezelskkel kapcsolatos legfontosabb mveleteket.
PsShutdown a parancs hasznlatval lellthatjuk, illetve jraindthatjuk a szmtgpet (tvolrl is).
PsSuspend a parancs segtsgvel felfggeszthetjk, illetve jraindthatjuk a megadott szolgltatst.
TCPView
A TCPView segtsgvel a TCP s UDP vgpontok listjt jelenthetjk meg.
A program felletrl leolvashat az adott kapcsolathoz tartoz folyamat neve,
a helyi s a tvoli port szma, s a kapcsolds llapota is. A program parancssori vltozatban is hasznlhat, ennek neve tcpvcon.exe.
NewSID
6.24. bra: A NewSID segtsgvel grafikus felleten vltoztathatjuk meg

a biztonsgi azonostt
388
Kls eszkzk
A NewSID-program segtsgvel a szmtgp egyedi biztonsgi azonostjt

(Security Identifier, SID) vltoztathatjuk meg. A SID megvltoztatsra a lemezkp alap klnozs segtsgvel teleptett szmtgpek esetn van szksg, mivel a hlzati mkds sorn klnfle problmkat okozhat az egyforma biztonsgi azonostk hasznlata.
BGInfo
Br nem kapcsoldik szorosan a hibakeresshez, mindenkppen figyelmet rdemel ez az egyszer, de nagyon tletes program. A BGInfo segtsgvel egyszeren az Asztal httrkpt llthatjuk be, de olyan mdon, hogy a kpen
megjelenjenek a szmtgp klnfle adatai (neve, IP-cme, opercis rendszere stb.). Ha a programot az Indtpultbl, vagy logon szkriptbl minden bejelentkezskor lefuttatjuk, akkor a httrkp mindig az ppen aktulis adatokat fogja tartalmazni. A program az automatikus indts esetn sem marad
a memriban, csak elkszti az aktulis httrkpet, s mr vget is r,
vagyis biztosan nem foglalja a rendszer erforrsait, s nem okoz semmifle
problmt a rendszer mkdsben.
389
FGGELK
Munka a virtulis gpekkel

A fejezet tartalma:
Alapozs a virtualizci megismershez ....................................................... 392
A Virtual PC 2007 s a virtulis gp teleptse .............................................. 392
A virtulis gpek elindtsa ............................................................................. 393
A virtulis gpek belltsai ............................................................................ 394
Belps s az els tennival ............................................................................. 395
Javaslat a demkrnyezet belltsra ........................................................... 396
A gpek lelltsa.............................................................................................. 397
E knyv olvasiban bizonyosan felmerl majd a fejezetek s a DVD-n tallhat
kisebb-nagyobb demk s eladsok (screencastok) megtekintse utn a klnbz technolgik, eszkzk s szolgltatsok kiprblsnak ignye. Mivel mi
azaz a knyv szerzi s a Microsoft Informatika Tisztn csapata valban
meg vagyunk errl gyzdve ennek szksgessgrl, szeretnnk ebben a tapasztalatszerzsben a lehet legtbbet segteni a kedves Olvasnak.
Vlemnynk szerint a legegyszerbb mdszer a gyakorlati ismeretszerzsre a virtulis gpek hasznlata, hiszen ekkor a megfelel hardver birtokban knyelmesen s biztonsgosan, akr a sajt otthoni gpnkn is kpesek lesznk letesztelni, hogy mit tud a Vista, hogyan ptnk tartomnyt,
hogyan mkdik a WSUS, s mg sorolhatnnk a jobbnl jobb pldkat.
Ezrt aztn a knyvet ksr DVD-n elhelyeztnk kt, mg teljesen rintetlen, tmrtett virtulis gpet, magt a virtualizl alkalmazst, s a grdlkeny tesztelshez szksges tovbbi komponenseket.
Ezzel az tmutatval pedig a virtulis gpek terleten teljesen jratlan
Olvasnak szeretnnk egyfajta tmaszt adni, illetve javaslatokat tesznk a
demkrnyezet konkrt kialaktsra is.
Alapozs a virtualizci megismershez

Egy-egy virtulis szmtgp ltalban kt llomnybl ll: az egyik egy .vhd
fjl (ami gyakorlatilag a virtulis gp merevlemeze), a msik pedig egy .vmc
fjl, amely pedig a virtulis gp belltsait tartalmazza. A Microsoft a Run
IT on a Virtual Hard Disk jelszval fenntart egy n. VHD-knyvtrat, ahonnan brki (regisztrci utn) letltheti az elreteleptett, konzerv virtulis
gpeket. Ezek kzl kettt helyeztnk el teht a DVD-n, egy angol nyelv
Vista Enterprise, illetve egy szintn angol nyelv Windows Server 2003
Enterprise R2 vltozatot.
A virtulis krnyezet hasznlathoz teht egyrszt a specilis llomnyokat kell merevlemezre msolni, valamint fel kell telepteni egy olyan virtualizcit megvalst szoftvert, amely kpes lesz dolgozni ezekkel a fjlokkal.
Ezek a szoftverek jelenleg a kvetkezk: Microsoft Virtual PC 2007, Microsoft
Virtual Server 2005 R2 SP1 s a System Center Virtual Machine Manager.
Otthoni krnyezetben, vagy egy szimpla munkallomson elssorban az
els szoftvert ajnljuk s ebben az ismertetben is csak ezzel foglalkozunk
rszletesen (az egybknt is ingyenesen letlthet Virtual PC 2007 teleptje
DVD-n, a Telepitocsomagok\VPC2007 nev mappban tallhat). A haladknak, az sszetettebb krnyezetre vgyknak illetve a sok gpet futtatknak
viszont valsznleg a Virtual Server fog jobban bevlni. Termszetesen, a
friss s igazn professzionlis, elssorban a nagyvllalati krnyezetet megclz eszkz, a System Center Virtual Machine Manager alatt is mkdnek
ezek a virtulis gpek, de ez mr tnyleg gyval a verbre mdszer lenne a
mi esetnkben.
Az emltett halad virtualizcis eszkzkrl tovbbi informcit tallhatunk a http://

www.microsoft.com/virtualization weboldalon (a VPC 2007-et is innen tlthetjk le), a konzerv virtulis gpek pedig (sok ms termk .vhd-ja mellett) letlthetek http://www.microsoft.com/vhd oldalrl.
A Virtual PC 2007 s a virtulis gp

teleptse
1. Indtsuk el a Virtual PC 2007 teleptjt (setup.exe) a DVD-rl! A telepts
teljesen rtelemszer.
392
2. Futtassuk a DVD Gepek\VistaEnt mappjban lv Vista.part01.exe llomnyt! Vlasszunk ki egy clmappt a merevlemeznkn, majd tmrtsk ki a virtulis gp httrtrt (.vhd) s konfigurcis llomnyt (.vmc)
s az egyb informcis fjlokat.
3. Tegyk meg ugyanezt a Windows Server 2003 R2 esetn is (Gepek\
W2K3R2 mappa > WIN2K3R2EE.part1.exe).
Legynk trelmesek, a kicsomagols eltart egy ideig. A kt virtulis gp httrtr ignye viszonylag nagy, sszesen kb. 7,3 GB.
Fontos tudnival az is, hogy mindkt gp az els indts utn maximum 30 napig mkdik csak.
Teht brmikor indthatjuk a DVD-rl (pontosabban 2008. jnius 30-ig), de ha mr megy, maximum 30 napig hasznlhat. Annak, hogy jra kicsomagoljuk s elindtsunk egy 30 napos peridust, semmi akadlya nincs.
393
A virtulis krnyezet elindtshoz elegend a virtulis gp teleptsekor

megadott clknyvtrban dupln kattintani (futtatni) az ott tallhat .vmc
fjlra, de az els indts eltt, a belltsok miatt alternatv megoldsknt
hasznlhatjuk a felteleptett Virtual PC 2007 konzoljt is, amelyet a Start
menben, a Microsoft Virtual PC ikonjra kattintva tudunk indtani.
Ha ezt az utat vlasztjuk, akkor a megjelent ablakban a New gombra
kattintva, majd az Add existing virtual machine opcit vlasztva meg kell adnunk azt a knyvtrat, ahov a virtulis krnyezetet teleptettk, illetve
konkrtan az adott .vmc elrhetsgt. Ezt kveten a Virtual PC konzoljbl
a megjelent virtulis gpen dupln kattintva, vagy a kivlasztsa utn a
Start gombra kattintva indthatjuk el. De mg ne tegyk, ismerkedjnk meg
elszr a gpek finomhangolsi lehetsgeivel.
A virtulis gpek belltsai

Az albbiakat a Virtual PC 2007 konzoljban lehet belltani gpenknt kln-kln, a Settings gombra kattintva. Ezek a belltsok termszetesen bekerlnek a .vmc llomnyokba is, azaz automatikusan mentsre kerlnek. Az
itt felsorolt paramterek egy rsze mr be is van lltva, gy ezekhez csak akkor szksges nylni, ha vltoztatni szeretnnk rajtuk.
A Vista virtulis gp szmra alapesetben 768 MB RAM van lefoglalva.
Ezt az rtket nem clszer kisebbre lltani (512 MB al pedig semmikppen
sem), nagyobbra viszont a lehetsgeink szerint igen. A Windows Server
2003 R2 alaprtelmezett memriafoglalsa 512 MB. Ezzel bven be is ri, st,
akr a felre is levehetjk, persze mikor mr tartomnyvezrlknt hasznljuk rdemes lesz ezt az rtket jra kicsit megnvelni.
A virtulis gpek hlzatikrtya-belltsa alapesetben Not Connected, ezt
clszer rgtn Local Only-ra tlltani mindkt gpnl. Az ilyen belltssal
rendelkez virtulis gpek csak egymst rzkelik fizikailag a hlzaton, a klvilgot egyltaln nem, st az n. hostgpet, (amelyen a Virtual PC alkalmazs
fut, azaz amely a virtulis gpeknek otthont ad) sem fogjk hlzati szempontbl
elrni. Ez a bellts ahhoz szksges, hogy a Windows Server 2003 R2 s a Vista
virtulis gpek lssk egymst egytt egy bels hlzatott alkotnak majd ,
de ne rintkezzenek sem az internettel, sem a hostgppel. Ha erre az rintkezsre mgis szksg lesz (pl. WSUS-frisstsek letltse, RRAS stb.), akkor vegynk
fel egy msodik hlzati krtyt az adott virtulis gp lelltott llapotban, s
lltsuk be az igazi hlkrtynkat ehhez az interfszhez.
Ha a processzorunk megfelel, akkor minden virtulis gpnl rdemes belltani a hardveres tmogatst, a Hardware-assisted Virtualization pontban.
394
rdekes s fontos opci a hostgp mappinak hasznlata is. A belltsok

kztt, a Shared Folders pontban van arra lehetsgnk, hogy egy betvel jellt meghajtknt felvegyk a futtat gp egy adott mappjt. Ha pl. majd
brmilyen kls szoftvert kell telepteni, akkor ezen a felcsatolt mappn (azaz a hostgpen) keresztl ezt egyszeren meg tudjuk majd tenni.
Esetleg fontos lehet tudni azt is, hogy az sszes virtulis gpre vonatkoz
kzs bellts a VPC konzol File/Options menpontja all rhet el.
Ha viszont az eddig felsorolt fontos s az esetleges tovbbi, egyni paramterek belltsn tlvagyunk, akkor mr elindthatjuk a virtulis gpeket.
Elkpzelhet, hogy a gpek indtsa utn kapunk egy zenetet, amelyben arra figyelmeztet
bennnket a VPC 2007, hogy a gpek .vhd fjlai Virtual Server al passzolnak inkbb. Nyugtzzuk, a mkdsben nem okoz problmt.
A Windows Server 2003 R2 virtulis gp indtsa utn elszr az n. mini

setup, azaz az eltelepts utols fzisa fut le, amely egy automatikus jraindtsba torkollik. Vrjuk ki trelemmel.
A Vistnl egy kicsit mskpp trtnik az indts. Itt is megjelenik a telepts utols fzisa, amelyben viszont neknk kell megadni elszr a regionlis
paramtereket, aztn az hajtott sajt felhasznlnevet, jelszt, s ikont. Ezutn jhet a httrkp, majd a hlzat belltsa (a Work profilt vlasszuk, ez
fog passzolni a feladatainkhoz). Mr csak az id s dtum belltsa marad,
illetve egy automatikus teljestmny vizsglat kivrsa.

Miutn (egy j ablakban) elindult virtulis opercis rendszernk, hamarosan elrkeznk a bejelentkezsi kpernyhz.
A bejelentkezsi kperny megjelense utn kattintsunk bele a virtulis
gp ablakba, hogy aktv legyen, majd a belpshez nyomjuk meg az alaprtelmezett host key-t, ami ALT Gr + Delete.
Abban az esetben van ez gy, ha ezt korbban nem vltoztattuk meg. Megvltoztatni a Virtual
PC 2007 konzoljn lehet a File > Options > Keyboard menpontra naviglva.
395
A Windows Server 2003 R2 gyri felhasznlja az Administrator fik, melynek jelszava: Evaluation1. Termszetesen az els belps utn btran ltrehozhatunk sajt fikot, sajt jelszval, vagy megvltoztathatjuk az Administrator fikt is.
A Vista gp esetn az ltalunk megadott helyi felhasznli fikot hasznljuk.
Virtulis gpek esetn a belps utni els teend a Virtual Machine
Additions telepts szokott lenni (a gp ablaknak Action menjbl). Ezzel a
bvtmnnyel ltalban plusz teljestmnyhez s knyelmi szolgltatsokhoz
jutunk. Viszont erre most nem lesz szksg, mindkt virtulis gp esetn ez a
komponens elteleptsre kerlt.
A virtulis gpet teljes kpernyn is hasznlhatjuk, ehhez a host key + Enter gombok egyttes
lenyomsa szksges. Az ablakos megjelentshez ugyanezzel a billentykombincival lehet
visszavltani.
Javaslat a demkrnyezet belltsra

Vista virtulis gp (az gyfl):
NetBIOS nv: pl. Vista, Gep1, PC1 stb.
Fix IP clszer: 172.16.0.2, Network mask: 255.255.0.0, Default

Gateway: 172.16.0.1, DNS: 172.16.0.1 (mindezt azrt fontos ennyire
rszletesen, mert ksbb belptetjk a tartomnyba)
Amikor a Network and Sharing Center-t vizsgljuk, vagy amikor a kiszolglbl majd DHCP-kiszolglt faragunk, rdemes lesz egy msik
(szintn Local Only) hlzati krtyt felvenni a jl lthat eredmny
kedvrt.
W2K3 virtulis gp (a kiszolgl):
396
NetBIOS nv: W2K3, Server stb.
Fix IP szksges: 172.16.0.1, Network mask: 255.255.0.0, Default Gateway: nincs, DNS: 172.16.0.1
A gpek lelltsa
Ksbbi feladatkrei (a screencastokban mindent bemutatunk):
FSMO DC, tartomny nv nev: pl. ceg.local
AD integralt DNS (pl. ceg.local)
DFS, FSRM, PMC
DHCP
WINS
RRAS, VPN
WSUS 3.0, IIS, WSS
Amikor a Windows Server 2003 R2 alatt egy integrlt Windows-komponenst

szeretnnk feltelepteni az Add/Remove Programs ablakbl, akkor hivatkozzunk a virtulis gp C:\WindowsInstallationFiles\i386 mappjra, ugyanis
ezt szerencsre integrlta a Microsoft, az eredeti .vhd fjlba.
A gpek lelltsa
A virtulis gpek lelltst a szoksos mdon is vgezhetjk, ilyenkor az
opercis rendszer kikapcsol, de eltte lemezre ment minden mdostst,
majd vgl teljesen lell.
Alternatv megoldsknt megprblhatjuk bezrni a virtulis gp ablakt
is. Ekkor vlaszthatunk, hogy az elbb lert, hagyomnyos lelltst szeretnnk krni, vagy egyszeren megljk a gpet, mintha kihznnk az elektromos hlzatbl, vagy fizikailag kikapcsolnnk. Ez csakgy, mint valdi gpek esetben csak vgszksgben javasolhat, mivel adatvesztst okoz.
Az elbbi listban a harmadik opci a Save state, amely lementi a virtulis
gp teljes memrijt, majd kikapcsolja azt. Ez nagyban hasonlt a hibernlshoz, azonban ezt nem a virtulis opercis rendszer, hanem a Virtual PC
2007 vgzi el a futtatott virtulis gpen. Az ilyen mdon lelltott gpeket ksbb elindtva pontosan ugyanabban az llapotban kapjuk vissza, mint ahogy
lelltottuk, mg akkor is, ha a Virtual PC 2007-et futtat (host-) szmtgpet jraindtjuk a lellts utn.
397
Trgymutat
A,
A biztonsgi ments s visszallts kzpontja, 174
A hozzfrs megtagadva, 312
A jelszt nem lehet megvltoztatni, 104
A kvetkez bejelentkezskor meg kell
vltoztatni a jelszt, 104
A Windows Vista teleptse, 3, 5, 8
access token, 114
Accessories, 160
account, 100, 314-316
ACL, 114, 115, 120, 139, 151, 152, 316
ACPI, 13
Action, 29, 170, 297, 396
Active Directory, 34, 35, 111, 113, 186,
187, 190, 198, 215, 216, 227, 238,
246, 258, 259, 260, 266, 275-282,
285-305, 308-321, 323, 329, 331-337,
347, 364, 373, 376, 386, 387
Active Directory felhasznlk s szmtgpek, 285, 291, 314
Active Directory Domains and Trusts,
285, 292
Active Directory Schema, 285, 292
Active Directory Sites and Services, 292,
333, 336
Active Directory Users and Computers,
285, 291, 313, 314, 318
Active Directory-szolgltats, 281, 290,
303, 309, 313, 364
adatveszts, 372, 373, 397
Add/Remove Programs, 15, 397
Add/Remove Snap-in, 91, 292
Address, 135, 235, 236, 367
Address Pool, 235
Adjust power settings, 58
Adjust visual effects, 57
ADMIN$, 125
Administrative Templates, 52, 75
Administrative Tools, 29, 30, 31, 61, 68,
88, 200, 214, 255, 258, 260, 262, 266,
290, 305, 310
Administrator, 101, 103, 115, 140, 238,
311, 314, 320, 350, 382, 396
Administrators, 91, 101, 105, 106, 117,

126, 128, 133, 138, 140, 143, 148, 266,
312, 316, 360, 374
adminpak.msi, 200, 255
ADSL, 242, 249
Advanced, 24, 26, 45, 57, 58, 60, 117, 161,
163, 209, 322, 343, 351, 356, 377
Advanced system settings, 24, 26
aktv partci, 342, 343, 351
aktivls, 13, 14, 22
alagtprotokoll, 250
alaprtelmezs, 10, 17, 28, 85, 103, 106,
108, 118, 124, 125, 126, 140, 143, 157,
176, 178, 179, 210, 223, 224, 232, 235,
239, 241, 244, 253, 254, 255, 261, 268,
273, 297, 302, 305, 307, 309, 327, 329,
335, 344, 346, 352, 360, 363
Alaprtelmezett, 44, 224, 329
alaprtelmezett tjr, 40, 198, 231, 232,
234, 367
alaprtelmezett felgyeleti megoszts,
124
Alapfeladat, 69
Alapfeladat ltrehozsa, 69
alaplap, 14, 166, 342
alaplemez, 202, 204
alhlzat, 232, 234, 235, 335, 337
alhlzati maszk, 43, 229, 231, 232, 235,
336, 337, 367
alkalmazs, 17, 20, 31-34, 42, 59, 113,
143, 144, 148, 150, 161, 163, 165,
168, 189, 257, 261, 262, 264, 283,
295, 322, 328, 331, 334, 357, 364,
365, 366, 383, 394
alkalmazskiszolgl, 16, 186, 260
Alkalmazsok, 59, 146, 149, 357
All Users, 37
lloms, 47, 228, 232, 234, 236, 307
Allow, 128, 168, 223, 272-274, 354
almappa, 25, 119, 120, 176, 218, 223, 224
Almappk s fjlok trlse, 121
ltalnos, 45, 55, 59, 70, 102, 160, 293
ltalnos jog, 102
alv llapot, 343
Anonymous Logon, 107, 108
API, 42, 50, 70, 113, 205
Trgymutat
APIPA, 43, 231-233
AppData, 26, 148, 157
Application, 62, 283, 364
Application log, 62, 364
Applications, 18, 59, 62, 357
archivls, 66, 374, 377
rnykmsolat, 6, 175-179, 188-213, 363,
374, 375
ASR, 376, 378, 379, 381
Asztal, 26, 106, 253, 325, 389
Asztal tvoli felhasznli, 106, 253
Asztaltrsasg, 20, 50
thelyezs, 27, 28, 212, 285, 292, 373
tjr, 37, 45, 78, 234, 242
tnyl ktet, 202, 203
attribtum, 120, 282, 286, 293, 377, 378
tvitel, 9-11, 17, 83, 216, 254
Audit object access, 119
Audit Policy, 119
Authenticated Users, 107, 118
Automated System Recovery, 376, 378
Automated System Recovery Wizard, 378
Automatic Private IP Addressing, 231
automatikus frissts, 130, 177, 254, 271,
273, 324, 329
automatikus
magnhlzati
IPcmkioszts, 231
automatikus rendszer-helyrellts, 376,
378, 381
Automatikus rendszer-helyrellt varzsl, 378
B
backup, 175, 377, 380
Backup and Restore Center, 174, 181
Backup Operators, 106, 128
Backup Status and Configuration, 174
bjt, 43, 109, 110, 228, 342, 351
Batch, 108, 128, 352
BCD, 138
bcdedit, 138
bellts, 85, 94, 126, 136, 143, 153, 161,
187, 231, 232, 238, 239, 256, 268,
271, 307, 328, 329, 356, 394, 395
Belltsok, 72, 212, 254
Belltsszerkeszt, 33
bepl modul, 91, 129, 205, 333
Bepl modul hozzadsa/eltvoltsa,
91, 292
bejelentkezs, 70, 112, 113, 128, 255,
272, 290, 320, 329, 336, 347, 354
bejelentkezsi kperny, 395
400
bejelentkezsi parancsfjl, 228

bejelentkezik, 144, 361
bejelentkez kperny, 82
bejv kapcsolat, 168
Bejv szablyok, 170
Bekapcsolva, 42
brelt vonal, 249
betjelek, 351
billenty, 12, 60, 83, 204, 345, 349, 381
billentyzet, 252, 344, 345
BIOS, 8, 14, 59, 166, 195, 204, 342
BitLocker Drive Encryption, 167
BitLocker meghajttitkosts, 166
Biztonsg, 97, 116, 119, 209
biztonsgi azonost, 114, 139, 283, 350,
387, 388, 389
biztonsgi belltsok, 88, 93, 159, 162,
247, 277, 324
biztonsgi csoport, 214, 227, 253, 266,
291, 316, 317, 328, 331
biztonsgi frissts, 102, 267, 268
biztonsgi funkci, 192
Biztonsgi kzpont, 130, 154
biztonsgi ments, 106, 147, 175, 189,
212, 216, 319, 324, 340, 372-378, 380
Biztonsgi ments llapota, 174
Biztonsgi ments llapota s konfigurcija, 174
biztonsgi napl, 364, 365
Biztonsgimsolat-felelsk, 106
biztonsgos kapcsolat, 50, 158
Boot Configuration Data, 138
boot.ini, 136, 137, 138, 343, 344, 349,
351, 352
bngszs, 155, 159
bngsz, 152, 155, 156, 157, 325
broadcast, 49, 229, 233, 234, 240, 318,
372
Business, 6, 9, 104, 127, 190, 192
C
CA, 256, 259, 260
Certificate Manager, 165
Certificate Revocation List, 259
Certificate Services, 278
Certificates, 260
Certification Authority, 259, 260
Change, 121, 334
chkdsk, 76, 180, 349, 351
cmbrlet, 234, 239
Cmkeressi znk, 305
Trgymutat
cmtr, 100, 113, 186, 187, 197, 238, 248,
275-279, 282, 286, 289-294, 301, 305,
309, 311, 315, 319, 320, 331-333,
364, 387
cmtradatbzis, 280-282, 332, 364, 386
cmtrszolgltats, 100, 111, 114, 187,
275, 279, 290, 294, 311, 332, 347
Cmtrszolgltatsok visszalltsa, 347
cmtartomny, 43, 46, 168, 230, 234
cmtartomnyok, 43, 46
client, 18, 251, 273
cmd, 105, 150, 222, 324, 326, 346, 360
CNAME, 302
COM, 141, 319
Command, 77, 298, 346
Complete PC Backup, 27, 175, 180
Computer, 29, 30, 52, 60, 75, 90, 103, 122,
124, 128, 181, 211, 318, 360
Computer Configuration, 52, 75
Computer Management, 29, 30, 60, 103,
122, 124, 360
Computers, 268, 285, 291, 313, 318
Configure, 200, 223, 258, 262, 271, 310
Configure Your Server, 200, 258, 262, 310
Connect, 39
Connect to, 39
Connect to a network, 39
Connection Manager Administration Kit,
247
Connection Security Rules, 172
Control Panel, 22, 23, 28, 36, 55, 81, 103,
137, 142, 145, 167, 207, 326, 356, 380
CPU Usage, 359
Create, 69, 70, 175, 176, 212
Create Basic Task, 69
Creator Group, 108
Creator Owner, 108
CRL, 259
Custom, 63, 64
Customize, 37
Cs
Csatlakozs, 39, 64, 251
csatol, 194, 205, 231, 236, 243, 306, 365
Cserlhet trol kezelse, 17
cskozott ktet, 202, 203
csoport hatkre, 140
csoporthzirend, 11, 21, 87, 88, 91, 187,
227, 228, 251, 268, 271-278, 281,
290, 313, 322-331, 335, 353, 364
csoporthzirend-objektum, 88, 91, 329,
331
Csoporthzirendobjektum-szerkeszt, 88,
91
csoporttagsg, 100, 105, 123, 268, 285,
291
Cskkentett md, 77, 140, 345, 346, 348
Cskkentett md hlzattal, 77, 346
Cskkentett md parancssorral, 77, 346
D
Datacenter Edition, 191
DC, 254, 279, 282, 333, 397
Default Domain Controllers Policy, 329
Default Domain Policy, 274, 329
default.asp, 8, 12
default.aspx, 8, 12
Delete, 121, 395
Delete Subfolders and Files, 121
Deny, 118, 128
Dependencies, 362
Desktop, 26, 57, 93, 106, 145, 146, 253
Device Manager, 23, 30, 87, 177, 199, 362
devmgmt.msc, 23
DFS, 19, 214-217, 397
DHCP, 43, 47, 188, 228, 231-239, 241,
307, 346, 367, 396, 397
DHCP Relay Agent, 234
DHCP-kiszolgl, 47, 231-239, 396
DHCP-szolgltats, 228, 233-235, 238,
241, 307
DHCP-gyfl, 233, 234, 236, 239
Diagnose and repair, 39
Diagnostics, 32, 75, 77
Diagnosztika, 12, 39, 55, 349
Diagnosztizls s javts, 39
Dialup, 108
digitlis alrs, 57, 132, 144, 259
Dinamikus, 202
dinamikus frissts, 305, 308
dinamikus ktetek, 203, 378
dinamikus lemezek, 197, 201, 202, 204
dir, 25, 353
directory, 289
Directory Services Restore Mode, 311,
320, 347
DirectX 9, 8
Disk Cleanup, 58, 147
Disk Management, 203
Distributed File System, 201, 214, 216
DMA, 59
DMA-csatornk, 59
401
Trgymutat
DNS, 35, 37, 44, 45, 48, 49, 106, 112, 148,
186, 188, 190, 198, 231, 232, 234, 235,
238, 239, 241, 248, 275, 280, 281, 294309, 311, 312, 315, 325, 332, 337, 346,
364, 367, 369, 396, 397
DNS Domain Name, 234
DNS-gyorsttr, 49, 296, 297
DNS-kiszolgl, 35, 37, 44, 45, 48, 49,
190, 231, 232, 234, 235, 239, 248,
294-307, 309, 311, 337, 364, 367, 369
DNS-nv, 45, 295, 296, 315
DNS-tartomnynv, 234, 280, 281, 303,
304
DNS-szolgltats, 186, 238, 241, 275, 294,
298, 304, 306, 309, 311, 364
Documents, 26, 28
Dokumentumok, 25, 26, 28, 102, 126,
165, 324
Dokumentumok kezelse, 126
domain, 40, 311
Domain Admins, 115, 312, 316
Domain Controllers, 308, 329
Domain Guests, 115
Domain Naming Master, 284, 285, 292
Domain Users, 316
Driver, 177, 211, 363
DVD, 8, 10, 11, 14, 95, 140, 175, 194,
391-393, 397
Dynamic, 43, 202, 232, 305
Dynamic Host Configuration Protocol,
43, 232
Dynamic updates, 305
E,
EAP, 250
Edit, 118
EFI, 205
EFS, 6, 153, 163, 164, 165
egr, 28, 179, 344, 345
egyszer ktet, 202
egyszer tzfal, 33
elrsi t, 83, 214
Elosztott fjlrendszer, 201, 214
elre megosztott kulcs, 251
elugr ablak, 129
Elz verzik, 175, 178, 213
Elsdleges, 10, 322, 351
elsdleges csoport, 115
elsdleges DNS-kiszolgl, 300
elsdleges partci, 202
elsdleges zna, 298-300
402
e-mail, 33, 50, 69, 83, 97, 152, 220, 221,

223, 224, 258, 269, 314, 316, 348
Enable, 273, 346, 352
Enable Boot Logging, 346
Encrypt contents to secure data, 163
Encrypting File System, 163, 165
End Task, 357
energiaellts, 58, 94, 102, 147
Energiaelltsi belltsok mdostsa,
58
engedly, 98, 106, 127, 128, 254, 317
Engedlyek, 118
Engedlyezs, 93
Enterprise, 6, 104, 127, 167, 189, 191, 238,
312, 392
Enterprise Admins, 238, 312
Enterprise Edition, 189, 191
erd, 280, 282-289, 292, 311, 317, 332
eredeti frissts, 321
erforrs, 5, 34, 73, 97, 98, 125, 126, 186,
201, 217, 218, 226, 240, 278, 296, 318
erforrs-megoszts, 5, 125, 186
erforrsrekord, 294-307
rtestsi terlet, 162
rvnytelen bejelentkezsi ksrlet, 364
ESE, 278
Esemnynapl, 30, 31, 60-65, 70, 72, 141,
147, 199, 219, 223, 341, 363, 364,
388
Eszkzkezel, 23, 30, 87, 177, 199, 362,
363
Eszkzk, 60
Ethernet, 236, 243, 367, 368, 370
Event Log, 141
Event Viewer, 30, 31, 61, 70, 199, 341
Everyone, 107, 115, 126, 254
Exchange Server, 189, 198, 258, 267, 286
Experience, 22
Express, 258
Extensible Firmware Interface, 205
Extensible Storage Engine, 278
F
fjl, 17, 20, 37, 45, 48, 49, 57, 101, 115,
119, 122, 125, 126, 132, 149, 150, 152,
156, 168, 170, 178-180, 185, 188, 197,
207, 209, 210, 212, 216, 217, 222-224,
240, 241, 242, 248, 260, 289, 290, 293,
343, 346, 349, 352, 353, 373, 374, 377,
378, 380-384, 392
fjl- s nyomtatkiszolgl, 125
fjlkiszolgl, 201, 217, 218, 224
Trgymutat
fjlmegoszts, 37, 149, 187
fjlok ltrehozsa, 102
fjlrendszer, 18, 76, 116, 119, 120, 126,
134, 139, 148-153, 163, 165, 188, 189,
197, 202, 207, 214-216, 343, 349, 384
fjlreplikcis szolgltats, 19, 217, 364
fjltitkosts, 197
FAT, 197, 343
FAT32, 343
Favorites, 26, 325
Feladat befejezse, 357
Feladatkezel, 60, 72, 87, 150, 341, 357,
367, 385
Feladattemez, 30, 33, 68, 69, 70, 360,
380
felbonts, 308, 348
felhasznl, 10, 26, 27, 35, 71, 82, 83, 87,
88, 91, 100-120, 123, 126, 128, 140149, 151, 152, 162, 163, 167, 168, 187,
188, 189, 192, 208, 209, 224, 226, 227,
246, 249, 252-258, 260, 262, 273-278,
281, 285, 293, 294, 311-316, 322-329,
333, 357, 361, 380, 387
felhasznlhoz tartoz, 24, 26, 228, 258
felhasznli fellet, 6, 32, 61, 106, 130,
228, 252, 271, 339
felhasznli fik, 9, 34, 35, 85, 91, 99, 100107, 128, 140, 142, 148, 186, 214, 227,
238, 277, 278, 281, 283, 291, 311, 313317, 329, 360, 362, 374, 388
Felhasznli fikok, 70, 103, 143, 146
Felhasznli fikok felgyelete, 70, 143,
146
Felhasznli jogok kiosztsa, 127
felhasznli jogosultsg, 35, 140, 383
felhasznli mappk, 27, 28
felhasznli profil, 24, 26, 92, 176, 277
Felhasznlk, 102, 103, 106, 314, 316,
359
felhasznlnv, 13, 24, 90, 108, 148, 278,
320
felgyelet, 5, 28, 40, 55, 67, 73, 87, 146,
187
Felgyeleti eszkzk, 29, 30, 61, 68, 88,
200, 214, 255, 266, 290, 305, 310
felgyeleti konzol, 29, 75, 200, 206, 258,
260, 265, 266, 330
Felgyeleti sablonok, 325
Figyelmeztets, 365
File Replication Service, 217, 290, 364
FileMon, 382, 383, 384
fik, 34, 35, 100-106, 118, 128, 138, 140,
176, 277, 317, 345, 350, 360, 396
Fikok, 9
Firewall, 33, 93, 168, 169
fizikai eszkz, 351
fizikai lemez, 194, 203, 204
Fokozott biztonsg Windows tzfal, 33,
168, 169
Folder Options, 122
folyamat, 13, 99, 111, 121, 123, 134, 135,
144, 152, 156, 167, 199, 315, 329, 342,
345, 348, 358, 360, 367, 382, 383, 388
Fontos, 16, 45, 101, 122, 123, 176, 196,
209, 294, 317, 358, 363, 367, 393
forest, 280, 311
formtum, 17, 29, 90, 180, 224, 274, 293,
294, 303, 331, 351
formzs, 30, 376
Forward, 298, 305
Forward Lookup Zones, 305
Forwarded Events, 62, 64
fkiszolgl, 283, 284, 285, 287, 292, 294
FQDN, 45
frissts, 9, 13, 28, 50, 52, 86, 90, 196,
268, 271, 272, 363
Frisstsek teleptse, 177
FRS, 217, 290
ftp, 7, 48, 189, 190, 302
FTP, 16, 19, 169, 260
ftp-hely, 189
Full Control, 117, 118, 121, 123, 254
Fully Qualified Domain Name, 45
Futtats mint, 142
Fggsgek, 128, 362
frt, 190
G
Games, 15
GC, 286
General, 45, 59, 70, 160
globlis katalgus, 280, 282, 286, 287, 292,
296, 308, 317
globlisan egyedi azonost, 205
Globally Unique Identifier, 89
Go, 357
gomb, 66, 91, 176, 209, 213, 254
gpedit.msc, 88, 323, 353
GPMC, 330, 331
GPO, 88, 90, 274, 323, 326, 327, 328, 331
GPT, 205
gpupdate, 89, 329, 330
grafikus felhasznli fellet, 6, 116, 124,
346
grafikus krtya, 22, 342, 344, 346
403
Trgymutat
Group Policy, 88, 89, 90, 91, 323, 327,
330, 331
Group Policy Management Console, 330
Group Policy Object, 88, 91, 323
Group Policy Object Editor, 88, 91
Group Policy Result, 331
Groups, 30
Guest, 102, 103, 106, 107, 115, 118, 128
Guests, 105, 106
GUID, 89, 176, 201, 202, 205
Gy
gyakorlat, 313
gyorsttr, 49, 156, 160, 236, 296, 297,
300, 324, 367
gykr, 117, 311, 343, 352
H
hajlkonylemez, 199, 204, 342, 381
hlzat, 4, 11, 30-41, 43, 44, 48, 51, 64, 73,
78, 82, 113, 143, 147, 185-190, 207,
214, 228-231, 242, 243, 248, 249, 263,
275-279, 281, 284, 296, 312, 314, 331,
336, 342, 345, 367, 369, 370, 395
Hlzat feldertse, 37
Hlzat-belltsi felelsk, 106
hlzati cmfordts, 43, 242. 243
hlzati erforrs, 278, 280, 346
Hlzati s megosztsi kzpont, 36, 78,
123, 128
hlzati forgalom, 34, 100, 111, 172, 240,
367
hlzati kapcsolat, 5, 29, 37-42, 45, 59,
89, 106, 199, 207, 232, 248, 334-338
Hlzati kapcsolatok, 39
hlzati megoszts, 42, 119, 122, 123,
124, 128
hlzati nyomtat, 226, 235, 255
hlzati szint hitelests, 41
Hlzati szolgltats, 185, 186, 188, 228,
360
hlzaton keresztl, 37, 108, 163, 186,
248, 249
hangkrtya, 345
Hangok, 255
hardver, 4, 7, 9, 18, 101, 185, 186, 190,
194, 196, 199, 244, 342, 354, 360, 391
Hardvererforrsok, 59
hardvertelepts, 176
Hardware, 13, 59, 85, 195, 394
Hardware Resources, 59
404
Hatlyos engedlyek, 120

Hatkr belltsai, 237
hzirend, 75, 78, 87-93, 95, 127, 132, 144,
164, 245, 246, 251, 319, 324, 328,
329, 331
Help, 140
Hely, 28
helyettes zna, 299
helyettest karakter, 222, 352
Helyi bejelentkezs, 128
Helyi bejelentkezs engedlyezse, 128
Helyi bejelentkezs megtagadsa, 128
helyi biztonsgi adatbzis, 101
Helyi biztonsgi hzirend, 31, 88, 127
helyi fjlrendszer, 123
helyi felhasznl, 24, 35, 83, 85, 103, 113,
311, 316, 345, 396
Helyi felhasznlk s csoportok, 30, 103,
106
helyi hlzat, 35, 38, 44, 45, 48, 49, 50,
242, 248, 335
helyi hzirend, 55, 87, 88, 90, 91, 92, 95,
323, 352, 353, 364
Helyi intranet, 157
helyi men, 66, 357, 358
helyi nyomtat, 37, 255
helyi rendszer, 35, 138, 143, 272, 376
helyi szmtgp, 29, 31, 37, 101, 114
Helyi szolgltats, 360
Helyrellts, 362
helyrelltsi konzol, 311, 340, 350, 352,
353, 378
helyrelltsi pont, 176
hiba, 33, 37, 73, 75, 187, 214, 312, 339,
340, 347, 354-356
hibaelhrts, 29, 339, 372
hibakeress, 134, 345, 358, 362
Hibakeressi md, 347
hibs illesztprogram, 77
History, 157
hitelests, 84, 89, 99, 100, 108-113, 138,
139, 167, 172, 251, 256, 258, 259,
261, 314
hitelestsi adatok, 310
hitelestsszolgltat, 89, 111
Hitelestett felhasznlk, 107, 118, 152
hivatkozs, 22, 25, 37, 57, 58
HKEY_LOCAL_MACHINE, 139
Home, 5, 6, 7, 9, 104, 105
Home Basic, 6, 9, 104
Home Premium, 6, 7, 9, 104
hosts, 48, 49
Hozzads, 91, 292
Trgymutat
hozzfrs, 95, 97, 102, 107, 113, 120,
123, 148, 166, 186, 194, 197, 223,
246, 278, 300, 316, 317, 328, 354
hozzfrsi engedly, 212
hozzfrsi jog, 100, 186, 187, 214, 258,
261, 278, 285, 314, 316
hozzfrsi jogok, 214, 258, 261, 278, 316
hozzfrsi szint, 360
HTML, 224, 260, 331
http, 7, 8, 9, 11, 12, 17, 46, 50, 52, 83, 86,
115, 132, 161, 195, 199, 251, 256,
257, 261, 263, 266, 330, 356, 365,
371, 382, 392
https, 65, 82, 85, 257
I,
I/O, 52, 59, 194, 219, 363
IAS, 243, 245
ideiglenes fjl, 58
ideiglenes fjlok, 58
idzna, 13, 102, 255
IETF, 295
IIS, 7, 16, 65, 141, 189, 200, 256-258, 260,
261, 264, 265, 273, 279, 341, 376, 397
IIS Manager, 258, 261
ikon, 157, 158, 170
illesztprogram, 23, 58, 59, 77, 95, 132,
204, 347, 363, 365
Inbound Rules, 170
index, 22
indexels, 28, 57
Indexelsi belltsok, 57
Indexel szolgltats, 16
Indexing Service, 16
Indtsi javts, 76
indtmen, 78, 339, 342, 344-347, 356
Informci, 365
Infrastructure Master, 284, 285, 291
Install, 271
intelligens krtya, 82, 111, 113
Interactive, 108
internet, 42, 44, 48, 87, 97, 129, 168, 229,
230, 242, 306
Internet Authentication Service, 245
Internet Engineering Task Force, 295
Internet Explorer, 6, 87, 93, 129, 152162, 260, 262, 325, 326, 373
Internet Explorer 7, 6, 153, 155, 156, 159,
161
Internet Information Services, 7, 16, 189,
256, 257, 258, 260, 264
Internet Options, 160, 161
Internet Protocol, 42, 43

Internetbelltsok, 160, 161
internetezs, 160
internetkapcsolat, 44, 188, 195
internetkapcsolat megosztsa, 188
internetszolgltat, 189, 307
intranet, 142, 157, 262, 273
IP, 34, 37, 42-49, 78, 81, 86, 110, 148,
171, 186, 198, 207, 228-237, 240-248,
251, 261, 295-304, 306, 318, 332,
335-338, 367, 368, 369, 389, 396
IPC, 108, 125
IPC$, 108, 125
IP-cm, 34, 37, 43-49, 78, 86, 110, 148,
171, 186, 198, 228-237, 240, 241,
242, 248, 261, 295, 296, 298, 300306, 332, 336-369, 389
ipconfig, 45, 237, 239, 297, 307, 367
ipconfig /all, 45
ipconfig /registerdns, 307
IPSec, 34, 47, 93, 141, 168-173, 242, 250
IPSec protokoll, 242
IPSec-protokoll, 171, 172, 250
IPv6, 46, 47, 367
IRQ, 356
ISA, 113, 190, 266, 267, 278, 341
ISA Server, 113, 190, 266, 267, 278
iSCSI Initiator, 31
ISDN, 242, 248
Itanium, 132, 205
J
Jtkok, 15
jelsz, 10, 13, 38, 50, 87, 102, 105, 108,
109, 111, 112, 144, 278, 294, 314,
324, 350
jelszval vd, 128
jogok, 123, 152, 261, 266, 281, 291
K
Kapcsolat vagy hlzat belltsa, 38
Kapcsolatbiztonsgi szablyok, 34, 172
Kapcsolatok, 306
karakterlnc, 114
karantn, 251
kbit/s, 216
KCC, 333, 334
KDC, 111
Kedvenc hivatkozsok, 26
Kedvencek, 26, 325, 326
405
Trgymutat
kk hall, 199, 340, 347, 348, 354, 355,
356
Kellkek, 160
kmprogram, 161, 162, 165
Kpek, 26
kpernykml, 71
keress, 61
keretrendszer, 65, 75, 171
kernel, 131, 134, 354, 355, 359
ketts kattints, 170
Key Distribution Center, 111
Keyboard, 395
Kezdmappa, 105
Kiemelt felhasznlk, 140, 143
Kimen szablyok, 171
Kis mret, 357
Kisebb, 82, 263
kiszolgl, 4, 5, 18, 40, 44-49, 82, 85, 113,
114, 122, 129, 172, 185-193, 196-201,
206, 211-216, 231, 233-239, 241, 243,
245, 248-258, 260, 261, 262, 264,
266, 268-274, 278, 285, 293, 295-302,
304, 306, 321, 322, 323, 337, 338,
341, 349, 356, 368-371, 376, 396
kiterjeszts, 90, 142, 222, 289
kiterjesztett partci, 202, 351
kivlasztsa, 191, 196, 267, 300, 344,
358, 374, 394
Knowledge Consistency Checker, 333
kommunikci, 65, 156, 171, 249, 287
konfigurci, 69, 71, 150, 167, 244, 334,
344, 347
konfigurcis partci, 282, 332
konfigurls, 52, 106
Korbbi verzik, 179
Korltozott, 331
knyvtr, 68, 70, 120, 373
Krnyezeti vltozk, 24
Kteg, 105, 108
ktet, 166, 175-180, 197, 202-208, 210212, 222, 352, 378
kzpontilag felgyel, 263
kulcs, 7, 13, 14, 109, 111, 139, 148, 149,
166, 167, 356, 383
kvta, 218-220
Kvtabejegyzsek, 209
L
L2TP, 242, 250
lapozs, 343
lapozfjl, 163, 165, 194, 197, 359
406
Last Known Good Configuration, 344, 347,

378
Layout, 135
LDAP, 294, 303
lellts, 397
lemezellenrzs, 30, 76, 351
lemezkezels, 197, 204, 205
lemezkvtk, 201, 207, 208, 325
lemezmeghajt, 194, 202, 207, 211
letlttt fjl, 26
Ltrehozs, 176
Ltrehoz csoport, 108
Ltrehoz tulajdonos, 108
levelezs, 189, 192, 242, 278
levelezprogram, 192, 258
Library, 68
licencfelttelek, 192, 252
Lightweight Directory Access Protocol,
279
Links, 26
Linux, 17, 371
List Folder Contents, 120
Local, 30, 31, 48, 49, 88, 103, 104, 106,
127, 148, 157, 317, 360, 394, 396
Local intranet, 157
Local Policies, 127
Local Security Policy, 31, 88, 127
Local Service, 360
Local System, 360
Local Users and Groups, 103, 104, 106
LocalSystem, 114, 138
Location, 28, 41, 42, 89
Log On, 128
Log On As, 128
logikai lemez, 204
Lomtr, 58
M
magyar, 7, 46, 128, 196, 265, 309
MAK, 247
Manage Documents, 126
Manage Printers, 126
Manage startup programs, 57
Manage wireless networks, 39
Manage your network passwords, 142
Manufacturer, 14
mappa, 24, 26, 28, 37, 87, 117-122, 125,
156, 176, 178, 188, 208, 212-214,
218, 220, 221, 224, 290, 324, 344,
352, 376, 393
Mappa belltsai, 122
Mappa tartalmnak listzsa, 120
Trgymutat
Mappk, 324
msodik rtegbeli alagtprotokoll, 250
msodlagos zna, 299
Msols, 213
Master Boot Record, 202, 342
Maximize, 357
MBR, 202, 205, 342, 343, 349, 351
Media Sharing, 38
Mdiafjlok megosztsa, 38
Meeting Space, 20, 50
Megbzhat, 157
Megbzhat helyek, 157
megbzhatsg, 3, 32, 72, 131, 134, 151,
156, 194, 374
Megbzhatsg- s teljestmnyfigyel,
32, 72
meghajt, 28, 30, 117, 194, 211, 349, 351,
370
meghibsods, 175, 179, 187, 204, 299,
373
Megjelentsi hatsok belltsa, 57
Megnyitott fjlok, 211, 359, 375, 387
megoszts, 108, 123, 125, 126, 175, 311,
319
Megoszts, 37, 38, 122, 123
Megoszts s felderts, 37
Megoszts varzsl, 122
megosztott erforrs, 30, 37, 38, 51, 108,
210, 240, 318, 388
megosztott erforrsok, 30, 37, 38, 51,
210, 240, 388
megosztott mappa, 99, 123, 214, 290
Megosztott mappk, 317
megszakts, 59, 186, 355, 363
Member Of, 105
memria, 22, 32, 59, 73, 75, 131, 134-136,
189, 191, 194, 328, 355, 358, 359, 366
Memria, 76
memriaterlet, 135, 136, 359
Memory, 32, 359
Ments, 24, 97, 174, 181
mennyisgi licenc, 6
merevlemez, 6, 22, 73, 166, 175, 179, 203,
342, 374, 380, 392, 393
mez, 359
Microsoft .NET Framework, 17, 264
Microsoft .NET Framework 3.0, 17
Microsoft Exchange Server, 192
Microsoft
Internet
Security
and
Acceleration Server, 193
Microsoft Management Console, 29, 200,
205, 264
Microsoft Message Queue (MSMQ)

Server, 17
Microsoft SQL Server, 193
Microsoft Tudsbzis, 161, 356, 365
Microsoft zenetvrlista- (MSMQ-) kiszolgl, 17
Microsoft Virtual PC 2007, 392
Microsoft Windows, 192, 239, 260
Minden fjl, 209, 224
Mindenki, 107
Minimize, 357
mmc, 29, 91
MMC, 29, 30, 33, 61, 74, 88, 91, 103, 104,
106, 122, 124, 127, 168, 170-173,
200, 205, 206, 255, 260, 262, 263,
265, 285, 290, 292, 297, 305, 330,
336, 341, 360, 361
mmc.exe, 91
MMC-program, 29
Mdosts, 121
Monitor, 61, 72, 73, 74, 141, 192, 370,
371, 382, 383, 384
Movie Maker, 6
MSDN, 8
MS-DOS, 109
msinfo32, 58, 341
munkaasztal, 152
munkacsoport, 13, 34, 105, 198
munkakrnyezet, 9, 24, 100, 129, 277
munkamenet, 240, 251, 252, 254, 347
Music, 26
mutat, 207, 302, 307
Mvelet, 170
Mveletek, 29, 149
mveleti fkiszolgl, 283, 284, 285
MX, 302
N
Naplrend, 119, 363
naplzs, 66, 90, 115, 225
Naplzs, 119
NAT, 43, 242, 250, 251
NAT-T, 251
Nem vlaszol, 357
net, 108, 124, 308, 365
net use, 108, 124
net user, 108
NetBIOS-nv, 45, 48, 234, 240, 241
NETLOGON, 290, 308
netstat, 367
407
Trgymutat
Network, 18, 36, 37, 38, 39, 41, 42, 43,
45, 52, 78, 82, 89, 106, 108, 123, 128,
148, 190, 242, 260, 261, 346, 360,
370, 371, 396
Network Address Translation, 43, 242
Network and Internet, 36
Network and Sharing Center, 36, 38, 39,
78, 123, 128, 396
Network Configuration Operators, 106
network connection, 39
Network Discovery, 37
Network File System, 18
Network Load Balancing, 190
Network Service, 360
Networking, 48, 359
nvfelolds, 48, 49, 198, 199, 241, 294,
295, 296, 341
nvkiszolgl, 49, 295, 300, 305
Nvtelen bejelentkezs, 108
nvtr, 214, 215, 279, 280, 294
New Task, 69, 70
Nzet, 66, 68, 122, 358, 363
NFS, 18
NS, 302, 305
nslookup, 369
ntbtlog.txt, 346
NTDS, 289, 309
ntds.dit, 289, 290, 373
ntdsutil, 294, 321, 350
NTFS, 25, 87, 113, 116, 120, 123, 153, 163,
166, 176, 180, 197, 201, 202, 205-207,
209, 214, 218, 223, 226, 261, 265, 309,
317, 343, 349
NTFS-fjlrendszer, 163
null session, 108
Ny
nyilvnos kulcs, 259
nyomtats, 37, 126
Nyomtats, 126
nyomtatsi sor, 17, 126
nyomtat, 95, 99, 125, 126, 226, 227, 318
nyomtat megosztsa, 126
Nyomtatk, 255
nyomtatk megosztsa, 37, 126, 188, 201
Nyomtatkezels, 32, 126
O,
Objektum-hozzfrs naplzsa, 119
OEM, 14
Olvass s vgrehajts, 120
408
opercis rendszer, 3-11, 13, 14, 18-22, 2733, 42-45, 49, 50, 52, 57, 59, 60, 61,
66, 68, 82, 84, 86-90, 98, 101, 102,
105, 106, 108, 109, 113, 114, 116, 118,
122, 124, 125, 127-132, 134-138, 142,
143, 151, 154, 155, 163, 166-169, 175,
179, 185, 188, 189, 191, 193, 195-201,
203, 204, 207, 232, 239, 240, 244, 250,
252-256, 261, 271, 288, 289, 309, 315,
322, 323, 325, 329-331, 339-350, 353360, 363, 368, 370, 371, 378, 382, 385,
389, 395, 397
Options, 60, 223, 236, 237, 238, 239, 254,
395
Organizational Unit, 274, 281
orszg, 5, 6, 285
osztly, 229, 238, 239, 282
OU, 274, 281, 314, 327, 328
Outbound Rules, 171
,
rkls, 117
rklds, 116, 118, 119, 327, 329
sszegzs, 123
sszetev, 18, 111
P
parancs, 23, 47, 67, 86, 124, 220, 221, 236,
239, 254, 293, 294, 297, 298, 307, 330,
350-354, 367, 368, 369, 387, 388
parancsfjl, 105, 108, 228, 324, 376
prbeszdablak, 361
prhuzamos port, 344
partci, 122, 125, 197, 202, 282, 283, 332,
342, 343, 344, 351
Password, 38, 104, 105, 142
PDC, 283, 285, 291, 308
PDC-emultor, 283, 308
People Near Me, 20, 50, 51
Performance, 28, 55, 56, 61, 73, 74, 137,
141, 358
Performance Information and Tools, 28,
55, 56, 61
perifrik, 278, 342
permission, 119
Permissions, 118
Personalization, 269
Photo Gallery, 19
Pictures, 26
pillanatfelvtel, 176
ping, 369, 371
Trgymutat
PKI, 141, 250, 256, 259
Play, 52, 82
Plug and Play, 345, 362, 363
Point-to-Point Protocol, 47, 250
Point-to-Point Tunneling Protocol, 250
POP3, 189, 257, 258
POP3-szolgltats, 258
port, 81, 170, 171, 367, 388
Post Office Protocol, 258
Power Users, 140, 143
PPP, 47, 250
PPTP, 47, 242, 250
Previous Versions, 175, 178, 179, 213
Primary, 283, 298, 300, 322
Print, 17, 32, 125, 126, 201, 226
Printer, 37, 123
problmamegolds, 160
Processes, 358
processzor, 22, 73, 136, 189, 191, 192,
194, 328, 343, 358, 359
profil, 26, 40, 41, 42, 52
Profile, 105
program, 10, 21, 22, 57, 69, 79, 108, 125,
132-135, 142, 144, 147, 148, 163, 168175, 195, 196, 205, 220, 223, 227, 228,
252-257, 273, 293, 294, 298, 328, 342,
348, 350, 351, 360-364, 367, 368-371,
376-378, 382, 383, 387-389
Program Compatibility Wizard, 21
Program Files, 101, 144, 148, 149
programfuttats, 33
Programok, 15, 200, 207, 248, 253, 258,
261, 371
Programok s szolgltatsok, 15
programok teleptse, 146
Programok teleptse/trlse, 200
Programs, 15, 200, 207, 248, 253, 258,
260, 261, 371
Programs and Features, 15
Properties, 116, 211, 213, 305, 306
protokoll, 19, 42, 46, 48, 49, 51, 65, 85,
108, 110, 111, 168, 171, 232, 236,
245, 250, 258, 303, 367, 370
protokollok, 46, 47, 48, 171, 242, 250,
260, 303
PTR, 302, 305, 307
Public, 26, 37, 41, 259
Public Key Infrastructure, 259
Q
Quota, 207, 209, 217, 226
Quota Entries, 209
R
RA, 85
RADIUS-hitelests, 245
RADIUS-kiszolgl, 245
RAID, 12, 190, 194, 197, 199, 201-204,
349, 373
RAID-5 ktet, 197, 201, 203
RAM, 7, 32, 109, 191, 192, 194, 342, 359,
394
RDP, 6, 81, 82, 83, 252, 254, 256, 257
RDP-protokoll, 82
Recovery, 311, 340, 348, 349, 350, 353,
356, 362
regedit, 60, 326
Registry, 33, 134, 139, 163, 383
regsvr32, 292
rejtett megoszts, 125
relatv azonost, 283
Relative Identifier, 283
Reliability and Performance Monitor, 32,
72
Remote, 7, 17, 19, 23, 70, 81-86, 106, 108,
139, 192, 201, 206, 216, 242, 244, 245,
251-255, 257
Remote Assistance, 83, 85
Remote Authentication Dial-In User
Service, 245
Remote Desktop, 7, 23, 70, 81, 82, 106,
108, 252, 253, 254, 255, 257
Remote Desktop Connection, 81, 254
Remote Desktop Protocol, 82, 252
Remote Desktop Users, 106, 253
Remote Desktop Web Connection, 257
Remote Procedure Call, 139
Remote settings, 23, 81
Removable Storage Management, 17
Remove, 200, 207, 248, 253, 258, 260, 261,
271, 371
rendelkezsre lls, 5, 191, 373
Rendszer, 22, 23, 175, 176, 252
rendszer lelltsa, 163, 354
rendszerllapot, 196, 319, 321, 376, 378,
380, 381
Rendszereszkzk, 30
rendszerfelgyeleti eszkzk, 24
rendszerfolyamat, 32, 114, 357, 367
rendszergazda, 10, 30- 35, 42, 55, 59, 83,
101, 102, 119, 132, 142-144, 147, 148,
151, 157, 176, 185, 187, 200, 214, 219,
221, 223, 224, 251, 264, 266, 270, 272,
276, 277, 279, 291, 309, 316, 320, 322,
328, 354, 356, 366, 382
409
Trgymutat
Rendszergazda, 101, 103, 115, 140, 148,
238, 311, 314, 320, 350
Rendszergazdk, 101, 106, 133, 138, 140,
143, 152, 316
rendszerid, 102
rendszerindts folyamata, 339, 342
Rendszerinformci, 58
rendszerktet, 181, 349
rendszerlells, 72, 347, 356
rendszerler adatbzis, 101, 148, 156, 360
rendszermag, 134
rendszernapl, 62, 90, 341, 364
rendszerpartci, 136, 197
rendszerszint, 135
rendszerszolgltats, 89, 360
Rendszertlts naplzsnak engedlyezse, 346
Rendszervdelem, 24
Rendszer-visszallts, 175, 176
Repair, 181
Replicator, 106
replikci, 189, 216, 217, 275, 276, 279,
280-282, 292, 294, 298, 299, 321,
331-335
replikcis topolgia, 282, 332, 333
Replikl, 106
Resolution, 48, 49, 50, 236, 367
Restart, 273
Restricted, 157
Restricted sites, 157
RFC, 111
RID, 114, 140, 283, 285, 291
RID Master, 283, 285, 291
RID-fkiszolgl, 283
RIP, 17
root CA, 256
rosszindulat program, 135
router, 243, 249
Router, 234
Routing and Remote Access, 242
Routing Information Protocol, 17
RPC, 129, 139, 345
RRAS, 228, 242, 243, 244, 246, 247, 249,
250, 278, 394, 397
Run as administrator, 66, 382
S
S-1-5-18, 114
S-1-5-19, 114
S-1-5-20, 114
Safe Mode, 77, 311, 345, 346
Safe Mode with Command Prompt, 77,
346
410
Safe Mode with Networking, 346

Sajt tulajdonba vtel, 119
Sajtgp, 24, 326
SAM, 101, 311
SAN, 207
sv, 155, 169, 335
svszlessg, 17, 51, 65, 83, 89, 216, 217,
331, 334, 336
Scheduled Tasks, 380
Schema, 282, 285, 292
Schema Master, 285, 292
schmmgmt.dll, 292
Scroll Lock, 356
Search, 57
secedit, 330
Security, 62, 101, 114-116, 119, 127, 130,
147, 153, 154, 167, 168, 173, 209, 283,
353, 364, 387, 389
Security Center, 130, 153, 154
Security Identifier, 114, 283, 387, 389
Security Log, 62
Security Options, 353
Security Settings, 127, 353
segdprogram, 83, 292, 368, 369, 385
segdprogramok, 58, 61, 382
segtsgnyjts, 23, 83
sma, 205, 279, 282, 285-287, 292, 294,
332, 334
Sma, 282, 285, 292, 293
server, 257, 298, 304
Server, 17, 18, 70, 82, 83, 86, 87, 134, 136,
155, 178, 180, 185, 187, 189-196, 198,
200-204, 217, 218, 226-228, 233, 237,
239, 241, 242, 250-258, 260-269, 276,
279, 283, 287, 288, 289, 292, 299, 300,
309, 317, 323, 330, 340, 346, 349, 360,
363, 364, 374, 380, 381, 384, 392-397
Service, 15, 19, 20, 51, 62, 65, 75, 97, 111,
113, 128, 129, 138, 139, 155, 168,
190, 258, 264, 297, 304, 360, 364
Services, 17, 18, 30, 32, 60, 75, 139, 149,
187, 189, 192, 257, 260, 261, 262,
263, 311, 341, 361
Services and Applications, 30
session, 111
Set up a connection or network, 38
Settings, 25, 85, 161, 212, 394
Setup, 199, 342
setup.exe, 199, 392
Shadow Copies, 201, 210, 211, 375
Shared Folders, 395
Shares, 124
Sharing, 37, 39, 122, 123
Trgymutat
Sharing and Discovery, 37
Sharing Wizard, 122
SID, 114, 115, 140, 144, 152, 283, 350,
387, 389
Simple Mail Transfer Protocol, 258, 260,
261
Simple volume, 202
site, 171, 335
sklzhat, 49, 191, 279
SMTP, 69, 169, 189, 257-261
SOA, 300, 301
SOAP, 65
Software, 57, 148, 149, 156, 163, 263, 270
SOFTWARE, 348
Software Update Service, 263, 270
Spanned volume, 203
Specilis, 17, 24, 26, 45, 58, 60, 117, 124,
161, 209, 377
Specilis belltsok, 161
specilis csoportok, 106
Specilis megoszts, 124
Specilis rendszerbelltsok, 24, 26
SRV, 302, 303, 304, 307, 308
SSL, 256, 257, 259
Standard, 102, 140, 192, 298, 299
Standard Edition, 192
Start men, 26, 36, 57, 88, 160, 200, 254,
266, 290, 305, 310, 325, 326, 394
Starter, 5, 6, 7
Startup, 60, 76, 140, 356, 379
Startup Repair, 76, 140
statikus IP-cm, 241, 246
Storage, 30, 201, 205, 206, 207, 217, 220
Storage Area Network, 201, 207
subnet, 34, 229
subnet mask, 229
Summary, 59
Support Tools, 298, 368
System, 14, 22, 23, 24, 30, 33, 44, 45, 58,
59, 60, 62, 75, 77, 81, 85, 88, 90, 115,
131, 133, 134, 137, 149-153, 160,
165, 175-179, 187, 196, 252, 263,
295, 311, 319, 320, 340-345, 356,
359, 364, 373, 375, 376, 379, 392
SYSTEM, 101, 118, 139, 344, 346, 352, 360
System and Maintenance, 24, 81
System Information, 58, 59, 341
System log, 90, 364
System Policy, 88
System Properties, 24, 85
System Restore, 77, 175, 176, 177, 179
System Tools, 30, 160
SYSVOL, 290, 311, 319, 324, 364, 376
Sz
szabad terlet, 194, 202, 206, 265
Szmtgp, 29, 30, 60, 90, 181, 211
Szmtgp javtsa, 181
szmtgp lelltsa, 204
szmtgpfik, 35, 291, 315
szmtgp-hlzat, 51, 97
Szmtgp-kezels, 29, 30, 60, 211
szegmens, 43, 136, 231
szektor, 342, 343, 384
szlessv, 38
szemlyes adatok, 27, 84, 156, 176
Szerkeszts, 118
szerver, 16, 49, 82
szervezeti egysg, 87, 227, 268, 274, 281,
291-293, 312, 313, 322, 323, 326-329,
333
szervizcsomag, 89
Szinkronizls, 214, 268, 270, 284, 335,
364
szoftver, 176, 196, 213, 247, 252, 257
Szolgltatsok, 30, 32, 60, 75, 341, 361
szrt zenet, 233, 234, 241
szvegfjl, 300, 352
T
Take Ownership, 119
Tlca, 36
tmads, 360
tanstvny, 132, 158, 165, 250, 256, 259
Tanstvnyszolgltatsok, 257
Trols, 30
trol, 6, 28, 114, 118, 175, 197, 201, 205,
206, 215, 265, 273, 280, 289, 295, 299,
300, 317, 327, 366, 374
tartomnyfa, 280, 281, 317
Tartomnyfelhasznlk, 316
Tartomnygazdk, 115, 316
Tartomnyi szmtgpek, 353
Tartomnyi tag, 323
Tartomnyi vendgek, 115
tartomnynv, 234, 292, 312
Tartomnyon belli csoport, 317
tartomnyvezrl, 90, 100, 112, 114, 190,
192, 253, 282-286, 288, 293, 296, 299,
304, 307, 311, 320, 331-335, 338, 364,
368, 376
Task Manager, 61, 87, 150, 341, 357, 385
Task Scheduler, 33, 68, 380
Tasks, 68, 70, 165
tvfelgyelet, 85, 252
411
Trgymutat
tvoli asztal, 81, 82, 85, 170, 252, 254
Tvoli belltsok, 23, 85
tvoli eljrshvs, 139
tvoli szmtgp, 31, 37, 50, 82, 85, 171,
376
Tvsegtsg, 83, 85
TCP/IP, 18, 35, 42-46, 48, 106, 198, 207,
231, 232, 233, 236, 247, 250, 303,
307, 309, 312, 367, 368
TCP/IP-paramter, 35, 231, 236, 307,
367, 368
TCP/IP-protokoll, 42, 43, 46, 49, 198, 232
TCP/IPv4, 44
TCP-port, 65, 303
telefonos kapcsolat, 107
telefonvonal, 242, 248, 252
telephely, 87, 216, 249, 276, 311, 323,
326, 328, 335-338
telepts, 7, 11-14, 18, 22, 28, 101, 106,
140, 181, 185, 191, 193-198, 200, 227,
241, 261, 263, 265, 266, 272, 304, 309,
310, 311, 312, 349, 350, 351, 363, 392,
395, 396
telepts felttelei, 309
teleptsi folyamat, 381
teleptlemez, 181, 191, 195, 200, 340, 381
teleptprogram, 12, 13, 55, 177, 191,
195, 199, 276, 309, 310, 311
teljes hlzat, 187, 190, 241, 249, 279, 285
Teljes hozzfrs, 121
Teljes mret, 357
Teljes trkp, 37
teljestmny, 72, 187, 189, 203, 204, 212,
244, 395
Teljestmny, 189, 358
Teljestmnyadatok s -eszkzk, 28, 55
Telnet Client, 18
tma, 129
Temp, 123, 157, 290
Temporary Internet Files, 156
terjesztsi csoport, 316, 317
termkazonost, 13, 14
termkkulcs, 7, 23
terminl, 252, 254, 256
Terminal Server, 253
Terminal Services, 81, 82, 128, 228, 252
Terminal Services Gateway, 82
terminlkiszolgl, 190, 253, 255, 257
Terminlszolgltatsok, 81, 128, 228, 252,
253, 254, 255
terminlgyfl, 257
terlet, 90, 176, 203, 208, 218, 383
tervezs, 191, 314, 373
412
Testreszabs, 37
TGT, 111, 112
Ticket Granting Ticket, 111
Tiltott helyek, 157
Time, 297, 368
titkost, 110
titkosts, 163, 164, 166, 250, 254
TLS, 250, 259
Tools, 30, 31, 32, 57, 60, 248, 251, 255, 256
Tovbb, 14
Tovbbtott esemnyek, 64
tbbfelhasznls rendszer, 148
tmrts, 17, 205, 209, 216
tredezettsgmentests, 68
Transmission Control Protocol/Internet
Protocol, 42
Transport Layer Security, 259
tree, 289
trust, 292
TTL, 368
tulajdonos, 115, 119, 163, 209, 225, 259
tulajdonsglap, 27, 103, 169, 207, 209,
314, 364
Tulajdonsgok, 24, 116, 211, 213, 305, 306
tkrztt ktet, 202, 203, 204
tzfal, 33, 42, 47, 66, 93, 130, 134, 154,
168-173, 193, 231, 242, 251, 325
U,
UAC, 102, 140, 142-148, 150, 154, 155, 157
j felhasznl, 314
jraindts, 273, 348, 356
Ultimate, 6, 7, 9, 20, 104, 127, 167
univerzlis csoport, 289, 317
UNIX, 17, 18, 252, 371
update, 133, 273, 274
Upgrade, 9
URL, 66, 160, 266
USB, 8, 11, 12, 82, 95, 165, 166, 167, 345
USB-eszkz, 8, 12, 167
User Account Control, 70, 85, 93, 102,
143, 144, 148, 156
User Accounts, 103, 142, 145
User Rights Assignment, 127
User State Migration, 11
Users, 24, 25, 26, 28, 102, 103, 105, 106,
107, 118, 123, 128, 140, 148, 149,
253, 316, 318, 359
tvlaszts, 188, 228, 246, 367
tvlaszts s tvelrs, 242
tvlasztsi tblzat, 367
tvlaszt, 43, 44, 243, 368
Trgymutat
gyfl, 3, 5, 19, 81, 82, 85, 90, 110-113,

122, 129, 142, 154, 155, 168, 186,
189, 200, 201, 214, 233, 234, 237,
238, 248-250, 254-257, 260, 264, 268,
273, 295, 323, 346, 396
gyfl-kiszolgl, 186
gyflprogram, 254, 258, 273
zenet, 33, 69, 110, 208, 234, 254, 312,
342, 343, 344
zenetablak, 69
Warning, 365
web, 7, 16, 169, 189, 190
Web Edition, 192
webhely, 260, 266, 365
webkiszolgl, 192, 257, 260, 273
weblap, 156
WHQL, 132
windir, 48, 89, 90, 299
Windows 2000, 9, 10, 45, 48, 70, 88, 89,
111, 133, 163, 226, 238, 239, 240,
250, 255, 256, 257, 263, 264, 265,
267, 271, 283, 288, 289, 292, 317,
330, 340, 349, 384
Windows 2000 eltti rendszer, 317
Windows 2000 Server, 111, 226, 288,
289, 340
Windows 3.1, 109
Windows billenty, 255
Windows Complete PC Restore, 181
Windows Defender, 56, 57, 93, 147, 153,
154, 161-163, 165, 267
Windows Easy Transfer, 10
Windows lmnyindex, 22, 55
Windows Explorer, 36, 77, 163, 346, 357
Windows Fax and Scan, 19
Windows faxol s kpolvas, 19
Windows Features, 15
Windows Firewall, 33, 93, 168, 169
Windows
Firewall
with
Advanced
Security, 33, 93, 168, 169
Windows Installer, 133, 324
Windows Internet Name Service, 45, 240
Windows Intz, 37
Windows Live Messenger, 50, 83
Windows Logs, 62
Windows Mail, 6
Windows Management Instrumentation,
58
Windows Me, 6, 7, 20, 38, 50, 77, 262
Windows Media Player, 6, 7, 38
Windows Media Services, 262
Windows Meeting, 20, 50
Windows Meeting Space, 20, 50
Windows NT, 87, 88, 90, 110, 196, 202,
279, 283, 288, 289, 307, 317
Windows NT 4.0, 87, 196, 202, 288, 289
Windows NT tartomny, 283
Windows Remote Assistance, 83
Windows Server 2008, 83, 89
Windows Trgyal, 20, 50
Windows Time, 284
V
vglap, 254
vllalati hlzat, 5, 132, 143, 188, 242
Vllalati rendszergazdk, 238
varzsl, 10, 14, 21, 172, 200, 248, 253,
258, 262, 266, 269, 310, 378
VBScript, 324
vgrehajthat, 33, 222, 223, 224, 342, 358
vgrehajthat fjl, 222, 223, 224
Vendg, 102, 103, 107, 115
Vendgek, 102, 106
vezrls, 136, 343
Vezrlpult, 22, 23, 28, 55, 57, 103, 207,
271, 325, 326
vezrlpultelem, 85
vezetk nlkli hlzat, 38, 39, 371
vezetk nlkli hozzfrsi pont, 38
Videos, 26, 27
Views, 63, 64
Virtual Private Network, 248
virtulis gp, 6, 180, 391-397
virtulis magnhlzat, 38, 242, 248, 250
virtulis memria, 24
virtulis port, 249, 250
virtulis szmtgp, 392
vrus, 134, 135, 145, 152, 251
visszallts, 24, 28, 97, 174-177, 181,
321, 322, 372, 374, 378, 380, 381
Visszallts, 181, 213, 381
visszalltsi pont, 24, 68, 176, 177, 178,
179
volume, 202, 203
VPN, 38, 47, 90, 147, 171, 190, 242, 243,
245, 247-251, 371, 397
VPN-kapcsolat, 147, 242, 247, 248, 249,
250, 251, 371
413
Trgymutat
Windows tzfal, 18, 42, 129, 139, 146,
168, 171
Windows tzfal belltsai, 146
Windows Ultimate Extras, 20
Windows Update, 11, 146, 147, 161, 267
Windows Vista, 3-9, 11, 13, 20, 29, 36,
39, 40, 46, 48-51, 55, 65, 75, 77, 82,
83-85, 89, 92, 100, 102, 124, 125,
131, 132, 138, 142, 154, 163, 166,
167, 168, 169, 173, 178, 213, 227,
228, 268, 330, 340, 384
Windows Vista Upgrade Advisor, 9
Windows XP, 3, 5, 7, 10, 13, 18, 20-24,
26, 27, 32, 33, 48-52, 65, 79, 83, 86,
87, 97, 107, 129, 130, 134, 136, 140,
142, 154, 155, 161, 178, 179, 204,
213, 253, 254, 271, 323, 330, 384
Windows-frisstsek teleptse, 146
Windows-naplk, 62
Windows\System32\Config, 101
Windows-tzfal, 42
Windows-szolgltats, 15, 30, 62, 66, 75,
171, 205
Windows-szolgltatsok, 15, 30, 66, 171
Windows-szolgltatsok be- s kikapcsolsa, 15
WINS, 45, 48, 49, 186, 196, 198, 228, 231,
232, 234, 240, 241, 302, 367, 397
WINS/NBNS Servers, 234
WINS/NBT Node Type, 234
WINS-kiszolgl, 45, 48, 49, 231, 232,
234, 240, 241, 302, 367
WMI, 30, 58, 227, 328
WMI Control, 30
Workgroup, 193
X
x64, 9, 132, 134
XML, 66, 67, 90, 224
XPS, 17
XPSP2, 168
Z
Zene, 26
zna, 45, 159, 298-302, 304-306, 308
znatvitel, 300, 301, 305
414
A szerzkrl
Gl Tams
1996 ta zemeltet Windows szervereket, vllalkozsa tbb
cg informatikai rendszernek gazdja, illetve konzultnsa.
Rendszergazda, informatikai vezet, trner, illetve 2007 janurja ta, a Microsoft Magyarorszg llomnyban, a TechNet program szakmai tancsadjaknt is tevkenykedik. Ebben a minsgben a hazai Microsoft konferencik, esemnyek, webcastok rendszeres eladja, offline s online szakmai anyagok szerzje.
Szakvizsgit tekintve MCSA/MCSE/MCTS, Security s Messaging pluszkpestsekkel is rendelkezik, illetve okleveles Microsoft trner (MCT). 2004. janur
ta Magyarorszgon az els krben s immr negyedszer jravlasztva MVP
(Most Valuable Professional), azaz a Microsoft Corporation szakmai djazottja.
Kedvenc szakterletei kz tartozik az ISA Server, a WSUS, a Vista s a
Windows Server 2008, valamint a bta szoftverek.
Ns, angol-trtnelem szakos pedaggus felesgvel valamint t gyermekvel Ceglden l.
Szab Levente
Szakmai gyakorlatt az IBM Magyarorszgnl szerezte,
majd 2000-tl egy pnzgyi rszvnytrsasg rendszergazdja s informatikai vezetje, valamint elltja a holdinghoz
tartoz tbb cg informatikai teendit is.
A 2004 vgn indult Windows Portal (http://winportal.net)
internetes szakmai lap alaptja s fszerkesztje, melynek
kapcsn, az online kzssgrt vgzett munkjrt a Microsoft 2007 prilistl
MVP (Most Valuable Professional) cmmel jutalmazta.
Szakterlete az asztali PC-ken s mobileszkzkben hasznlt Windows
opercis rendszerek behat tanulmnyozsa, valamint a legjabb bta szoftverek tesztelse. Kedvencei kz tartozik a Vista s a rendszer biztonsgi
megoldsaival kapcsolatos tmk.
A szerzkrl
Szernyi Lszl
1995 ta foglalkozik Windows kiszolglk s gyflgpek
zemeltetsvel. Jelenleg az Orszgos Meteorolgiai Szolglatnl dolgozik, mint Windows rendszerekrt felels rendszergazda. Szmtalan fordts fzdik a nevhez [szakcikkek, tanulmnyok, a Neumann Jnos: Szmtgp s az agy
cm knyve (NetAcademia, 2006) stb.], s rendszeresen
publikl klnfle tmj szakmai rsokat, elssorban a
rendszerfelgyelet automatizlsnak lehetsgeivel kapcsolatban. Trsszerzje
a Small Business Server 2003 cm nagy siker szakknyvnek.
Kedvenc szakterletei kz tartoznak a klnfle rendszerfelgyeleti feladatok automatizlsval kapcsolatos eszkzk (VBScript, PowerShell, .NET
Framework, WMI, ADSI, stb.).
Ns, felesgvel s tzves lnyval Budapesten l.
Felels kiad: a SZAK Kiad Kft. gyvezetje

Felels szerkeszt: Kis dm
Trdel: Mamira Gyrgy
Bortterv: Flrin Gbor (Typozis Kft.)
Terjedelem 27 (B5) v.
Kszlt az OOK Press Nyomdban (Veszprm)
Felels vezet: Szathmry Attila
416

Rendszerfelugyelet Rendszergazdaknak PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Rendszerfelugyelet Rendszergazdaknak PDF

Uploaded by

Copyright:

Available Formats

Gl Tams Szab Levente Szernyi Lszl

Gl Tams Szab Levente Szernyi Lszl, 2007.

A szveg helyessgt s az elvlasztsokat a MorphoLogic Helyesek nev programjval ellenriztk.

SZAK Kiad Kft. Az 1795-ben alaptott Magyar Knyvkiadk s

Ha mr tszr kiolvastuk a knyvet...

Gyakorls nlkl nem megy!

Biztonsg: ltalnos bevezet

Windows XP Service Pack 2 biztonsgi vltozsok

jdonsgok a Vista biztonsgi rendszerben

A titkostott fjlrendszer: az EFS

A biztonsgi msolatok trolsa

II. rsz: A kiszolgl

Kiszolgl alkalmazsa: elnyk, alapismeretek

Hogyan lehet szlelni a hibkat?

Hibakeress s javts mlyebben

A rendszerindts folyamata s az indtmen elemei

Grafikus ellenrz-javt eszkzk

Feladatkezel (Task Manager)

Fggelk: Munka a virtulis gpekkel

Alapozs a virtualizci megismershez

A Virtual PC 2007 s a virtulis gp teleptse

A virtulis gpek elindtsa

A virtulis gpek belltsai

Belps s az els tennival

Javaslat a demkrnyezet belltsra

Ha mr tszr kiolvastuk a knyvet...

A tananyag kidolgozottsga rvn arra is tkletesen alkalmas, hogy az

Ha mr tszr kiolvastuk a knyvet...

Gyakorls nlkl nem megy!

Szab Leventnek (MVP) s Szernyi Lszlnak a knyv megrsrt s

Pazr Andrsnak (MVP) a Windows Vista screencastok elksztsben

Az Informatika Tisztn esemnyek eladinak: Baki Gbornak, Farkas

A SZAK Kiadnak, azon bell is elssorban Kis dmnak, amirt ez a

Valamint minden kzremkd kollgnak a Microsoft Magyarorszgnl, kln kiemelve:

Deme Csabnak, Takcs Pternek s Vityi Pternek a tmogatsrt.

Schlgl Tmenak s Biber Attilnak amirt lttatok fantzit az

Szcei Olivrnek s a webes teamnek az Informatika Tisztn weboldalnak elksztsrt.

Safranka Mtysnak a Windows Vistval kapcsolatos szakmai

A msik f rv egy kiss behatroltabb, de kimagaslan fontos terletre mutat,

1.1. bra: A Windows csald tagjai

E kt kiragadott rv mellett a gyakorlati hasznlat kzben tapasztalhatjuk

Mikor s mirt nincs szksg kiszolglra?

A Windows Vista teleptse

Termszetesen ilyen krnyezetben is lehetsgnk van arra, hogy fjlokat

kevs szm gppel dolgozunk;

nincs hlzati kapcsolat a gpek kztt;

nagyon kevs erforrs-megosztst hasznlunk (vagy egyltaln nem

nincs szksg a gpek s felhasznlk kzponti felgyeletre.

A kvetkez fejezetekben a Windows Vista gyfl opercis rendszer nll

A Windows Vista teleptse

Home Basic Otthoni hasznlatra, csak az alapvet szolgltatsokat

Business Kis- s kzpvllalatok szmra optimalizlt kiads, kpes

Enterprise A nagyvllalatok sszes ignyt kielgt Enterprise

Ultimate Az Ultimate az sszes vltozat minden kpessgt s extrjt

A Windows Vista teleptse

A Windows XP esetben fknt a hlzati kpessgek illetve azok hinya

A Windows Vista teleptshez teht legalbb 800 MHz rajel processzorral,

A Vista Capable matricval elltott szmtgpek kpesek a rendszert

Teleptsi mdszerek s elkszletek

DVD lemezrl tipikusan ilyen hordozval vsrolhatjuk meg.

Frissts korbbi Windows opercis rendszerrl.

Migrci rgebbi Windows opercis rendszerekrl, akr ms clgpre is.

A Windows Vista teleptse