18.10.2001

Wiederholung:

Auf einem Server wird ein lokaler Drucker installiert. Für die Clients im Netzwerk ist dieser ein Netzwerkdrucker. Verbindet sich ein Client mit einem Server, kann man einen Netzwerkdrucker installieren. Die Treiber werden vom Server geladen und auf dem Client fest installiert. Ich kann in den Freigabeeinstellungen des Druckers auch Treiber für andere Betriebssysteme einbinden. Der Ordner auf dem Server ist: winnt\system32\spool\drivers. Die entsprechende Freigabe lautet print$. Für Clients auf Win3.x, DOS, OS/2 muss der Treiber lokal installiert werden. Ist ein Client mit Linux oder anderen Unix-Derivaten bestückt, muss auf dem Server der Druckdienst für Unix installiert werden. MacOS-Clients erfordern die Druckdienste für Mac (nur W2k-Server). Für Netware-Clients gibt es ein extra Produkt FPNW (File- and Printservice for Netware)

ausgewählte Eigenschaften eines Druckers:

- Layout

- Geräteeinstellungen

- Freigabe (und Freigabename)

die Checkbox "im Verzeichnis anzeigen" ist ohne Domäne nicht sichtbar. Zusätzliche Treiber: s.o.

- Anschlüsse

Möglich sind: LPT, COM und File. Zusätzlich kann man einen TCP/IP-Standartport hinzufügen (Sinnvoll für Hardwareprintserver). Weitere Features sind der Druckerpool und die bidirektionale Unterstützung. Beim Druckerpool muss man nur einen Treiber installieren. Der Pool weist Druckaufträgen aus der Warteschlange den bereitstehenden Drucker des Pool zu. Sinnvollerweise sollte man die Drucker des Pools zusammenstellen.

- Erweitert

Prioritäten zuweisen: Man braucht für die Anzahl der versch. Prioritäten dieselbe Anzahl an Druckertreibern für ein und denselben Drucker. Dann kann man die Prioritäten einzeln zuweisen und versch. Freigabenamen vergeben. Die Warteschlange des Druckers wird dann nach Prioritäten sortiert. Die zeitliche Verfügbarkeit bedarf keiner weiteren Erklärung...

- Sicherheitseinstellungen

Standard:
Administrator Drucken, Dokumente verwalten (alle Dokumente aller User), Drucker verwalten (Löschen, Erstellen, etc.)
Hauptbenutzer dieselben Rechte wie Administratoren
ERSTELLER / Besitzer Dokumente verwalten (nur eigene Dokumente)
Jeder Drucken

Da es zu Konflikten mit den Prioritäten kommt (die Sekretärin kann eine höhere Priorität, weil sich "Jeder" mit dem Drucker des Chefs verbinden kann), muss man "Jeder" in dem Fall entfernen und den Gruppen "Chef" und "Sekretärin" nur das Drucken-Recht geben; der Ansatz existiert, Drucker unter print$ freizugeben; oder in den Gruppenrichtlinien die Fenster zu "blinden"

Eigenschaften eines Druckservers im Druckerordner \ Datei \ Servereigenschaften

- Formulare

- Anschlüsse

- Treiberverwaltung (Übersicht, Management)

- erweiterte Optionen:

    - Spoolordner

    - Pfadangabe (winnt\system32\spool\printers)

    - Protokollierung

Bei Fehlern beim Druck kann man:

- den Dienst Druckerwarteschlange (Spooler) anhalten, Fehlerverursachenden Auftrag entfernen und Dienst neu starten

Internet Drucken

Dafür muss PWS (Personal WebServer) installiert sein. Damit PWS läuft, braucht man den IIS... auf dem Client muss der IE grösser als 4.0 installiert sein. Das Protokoll ist TCP/IP

URL http://rechnername/printers/freigabename/.printer

Druckerverwaltung: http://rechnername/printers

Sicherheit (lokal)

Start\Programme\Verwaltung\lokale Sicherheitsrichtlinie

                                             \Sicherheit - Sicherheitsvorlagen

                                                             - Sicherheitskonfig. + Analyse

lokale Sicherheitsrichtlinie:

- Kontorichtlinien (Kennwortrichtlinien + Kontosperrungsrichtlinien)

- lokale Richtlinien (Überwachung, Benutzerrechte + Privilegien, Sicherheitsoptionen)

- Richtlinien für öffentliche Schlüssel

- IP - Sicherheitsrichtlinien (IPSec --> verschlüsselte Kommunikation)

    vordefiniert sind: -Client (initiiert unverschlüsselte Kommunikation, aber kann mit IPSec antworten)

                              -Server (initiiert IPSec, kann aber auch unverschlüsselt antworten)

                              -sicherer Server (Kommunikation nur mit IPSec)

Bsp.:

Wir stellen die Verbindung auf "Server", daraufhin sind NetBIOS-Namen deaktiviert. ein Ping ist noch machbar, aber ping rechnername ist nicht möglich, ebenso ist die Netzwerkumgebung leer.

Im folgenden die Erweiterung zur Kommunikation. Die Eigenschaften für den Server anzeigen lassen.

Unter Regeln den gesamten IP-Verkehr bearbeiten klicken.

In der IP-Filterliste den gesamten IP-Verkehr einen Schlüssel hinzufügen. Der Schlüssel muss auf allen Rechnern gleich sein. Fertig. So kann man aber nur mit verschlüsselten PC's kommunizieren.

In der Kommandozeile erhält man auf den Befehl ipsecmon folgendes Fenster:

In den lokalen Sicherheitsrichtlinien findet sich folgende Features:

SnapIn Sicherheitsvorlagen: winnt\security\templates

Dort befinden sich inf-Dateien:

Prof. Server Server, Domänencontroller
basicwk basicsv basicdc
securews securews securedc
hisecws hisecws hisecdc

nach unten hin findet sich eine höhere Sicherheit, aber auch eine geringere Kompatibilität für Anwendungen älterer Betriebssysteme. Es sind vordefinierte Sicherheitseinstellungen. In unserer vordefinierten MMC "Sicherheit" finden sie sich wieder:

Die Vorlagen können bearbeitet und dazu eigene erstellt werden...

Sicherheitskonfiguration und -analyse

Aufgabe: -eine Datenbank erstellen und danach eine Vorlage hinzufügen... (Vorlagen sind in der Datenbank additiv, ausser bei Konflikten, da gilt der letzte Eintrag. Um sowas zu verhindern, gibt es eine Checkbox "Datenbank leeren" zum Aufräumen)

Analyse --> Vergleich der effektiven Computereinstellung mit der Datenbankvorgabe

Konfiguration des Rechners mit der Datenbankvorlage (Das Ganze möglichst nicht in einer Domäne anwenden!)

Man erstellt eine neue Datenbank (test.sdb), öffnet daraufhin eine inf-Datei (securews.inf), nochmals rechte Maustaste und analysieren. Das dauert ein bisschen. Danach erhält man folgendes Fenster:

Die grünen Häkchen symbolisieren: "alles ok", die roten Kreuze zeigen, was an dem PC nicht mit der Datenbank übereinstimmt. Habe ich vorher eine eigene Vorlage erstellt, kann ich so vergleichen, was sich nach einiger Zeit geändert hat an diesem PC...

(Man kann das System konfigurieren, analysieren, importieren, exportieren)

Besser ist der Befehl secedit (zeitgesteuert über Taskplanung z.B.)