A tartomány azért jó, mert ott pl. helyben módosítos a group policy-t, ezért nem kell gépenként ugrálgatnod; ha fel kell rakni egy progit minden gépre, akkor a szerveren megcsinálod a parancsfájlt és az le fog futni a gépeken; simán tilthatsz olyan felhasználókat, akik már nem férhetnek hozzá gépekhez (pl. tanár/diák elmegy a suliból); szerveren helyben módosíthatod a felhasználó jelszavát; ha exchange szerver is van, akkor helyben létrehozod a hozzáférést; a felhasználói profil lehet csak a szerveren tárolva; a domain szintû usernek tetszés szerint állítgathatod, hogy x gépen y mappához milyen engedélyekhez férjen hozzá (domain nélkül ez nem megy nevesítve); szerveren elég tárolni telepítõ fájlokat egy tetszõleges megosztáson; nem kell érdekeljen, hogy a helyi rendszergazda jelszót feltörik, mert akár letilthatod az x gépen vagy beállíthatsz neki nagyon hosszú jelszót, mert úgy is csak domain admin-al fogsz belépni egy-egy gépre; a domain user - nem egy-egy gépet, amire beállítástól függõen sokan beléphetnek - külön jogokat kaphat a szerver mappákhoz (pl. domainnev\jozsikis csak olvasson PELDA mappát, írhasson KOZOS mappát). Szóval sok igen sok egyszerûsítési elõnye van . Sok egyéni dolgot tudsz a központi AD/GPO-n keresztül beállítani, pl.: böngészõ alap oldala, beállításai (esetleg fülek, beállítások tiltása); media player, outlook beállítások; bizonyos szofter programok letiltása; név szerver beállítás; stb. Szerintem tökre nem kell agyonbonyolítani, nektek elég egy szimpla szerver vas ~ egy szimpla, jó teljesítményû számítógép: 1,5GHz-nél ajánlott nagyobb proci, memória legyen sok (2GB legalább ajánlott), a videokártyája lehet tök béna, a hálókártyája legyen gigabites (nem árt 2 db). Ami még jó lenne: RAID támogatás, hogy tükrözhesd 2 ugyanolyan vinyó között az adatokat (ha egyik lehal, akkor ne haljon le az egész birodalmad ). Vagy ha nagyon spórolsz - gondolom.. -, akkor legyen kettõ vasad, az egyik ilyen jobb teljesítményû - lásd itt fent -, a másik gyengébb, de legyen több nagy kapacitású vinyója, mert erre csinálsz ütemezett biztonsági mentéseket naponta, estkénként (sima windows backup is elég, csak az nem fog sok helyet spórolni, szóval zip-elés nem árt). A szerver lehet ugyanúgy kikábelezve egy sok portos switchbõl, mint a többi gép, routernek kéne osztania a netet. AD-ben létre kell hozni a felhasználót - meg domain admint, ha nem volt eddig (meglepne) -, utána a gépeket beléptetni a domainbe, ha eddig nem voltak: - állítsd be a hálózatot, hogy lássák egymás;
- start -> futtatás -> sysdm.cpl -> Számítógépnév | Módosítás, itt a gépnév maradhat, beírod a domain nevet és OK (domain admin tudja beléptetni, nem helyi rendszergazda); - indítsd újra a gépet;
- elõször jelentkezz be domain adminnal (vagy lokális adminnal, csak úgy is kell majd domain admin hozzáférés); - _szerintem_ hozz létre egy helyi vagy ad-s felhasználói csoportot - késõbb, ha játszani szeretnél a témával, jól jöhet. Esetleg kiemelt felhasználó (alias power user). - add hozzá a domain usert
- vedd le a normális user írási engedélyeket a C:-rõl (rendszergazdák/rendszer teljesei maradjanak!)
- add hozzá a csoportot, ne legyen teljes hozzáférés és írás; - recycler és dokumentumok mappájára írási jog a csoportnak (ha egyénenként szeretnéd, akkor egyénenként hozz létre külön almappát;
- elsõ user bejelentkezéshez még adhatsz helyi rendszergazda jogot a felhasználónak, úgy egyszerûbb telepítgetni (mondjuk inkább domain adminnal tedd, hátha elfelejted, hogy jogot osztottál ki...): ha nem tud írni az asztalra, stb., akkor nem adtál neki jogot a dokumentumok mappájához;
- _szerintem_ szerveren hozz létre egy megosztott mappát, legyen benne egy közös (mindenki írhat) és esetleg egyénenként 1-1 mappa; - mappeld fel egy betûre (mondjuk M: után valamelyik) a megosztást, pl. net use t: \\szervernev\megosztas /persistent:yes (de érdemes ideírnod a user/jelszó párost, hogy ne kérdezze mindig), intézõbõl talán egyszerûbb (Eszközök | Hálózati meghajtó csatlakoztatása...): NE az adminnal csinálj mappelést, mert ha ügyes gyerekek, akkor használhatják a hozzáférésedet.
Kivéve ha! Ha a switch része az eszköznek, önállóan is kezeli a csomagokat, akkor a csomagban lévő MAC-cím alapján eljuthat a bejövő csomag a címzett géphez! (Ennek elkerülése érdekében a komolyabb routerek nincsenek összeintegrálva a switch-el.)
A gépeken futó tűzfalak azt is tudják, hogy melyik program küldi vagy fogadja éppen a csomagot. Ezzel részletesebben lehet konfigurálni a rendszert, hiszen itt megmondhatjuk, hogy egyes szoftverek nem kommunikálhatnak a 80-as porton, míg mások igen. Például az IE nem mehet ki rajta, a FireFox meg igen.
Összefoglalva: a router tűzfala a hálózatot védi, az egész rendszerre kiterjedő beállításokkal, míg a gépeken futó tűzfalak a konkrét végpont biztonságát szolgálják, speciálisan arra a gépre hangolt beállításokkal.
Nagyobb hálózatokban nem érdemes kikapcsolni a router tűzfalát, inkább jól be kell állítani, ezzel is energiát takarítva, mivel a gépeket nem kell egyesével konfigurálni.
Otthon azonban ez az áldozat még vállalható, de wireless rendszereknél ügyelni kell a kommunikáció megfelelő mértékű titkosítására.
A Windows tűzfalról meg annyit, hogy ésszel használva a gépet ez is megvéd egy csomó dologtól. Azonban tudni kell, hogy a Windows XP-ben csak egy irányú (Vista/7-ben kétirányú), azaz a kéretlen látogatókat tartja kint. Viszont ha valami már bent van a gépünkön, és kéréseket intéz kifelé, akkor a válaszok akadálytalanul bejutnak a gépünkre anélkül, hogy bármilyen figyelmeztetést kapnánk.
A kivételek pedig csak arra jók, hogy a fenti szabályok alól bizonyos portokat kivonjunk, tehát kérés nélkül is be lehessen jönni a gépünkre.
Még egyszer röviden: a router tűzfala kevés gép esetén nem feltétlenül szükséges, de nem haszontalan, viszont nagyobb rendszerekben megfelelően beállítva nagy mértékben növeli a biztonságot és csökkenti a rendszer karbantartására fordított időt.
- start -> futtatás -> sysdm.cpl -> Számítógépnév | Módosítás, itt a gépnév maradhat, beírod a domain nevet és OK (domain admin tudja beléptetni, nem helyi rendszergazda); - indítsd újra a gépet;
- elõször jelentkezz be domain adminnal (vagy lokális adminnal, csak úgy is kell majd domain admin hozzáférés); - _szerintem_ hozz létre egy helyi vagy ad-s felhasználói csoportot - késõbb, ha játszani szeretnél a témával, jól jöhet. Esetleg kiemelt felhasználó (alias power user). - add hozzá a domain usert
- vedd le a normális user írási engedélyeket a C:-rõl (rendszergazdák/rendszer teljesei maradjanak!)
- add hozzá a csoportot, ne legyen teljes hozzáférés és írás; - recycler és dokumentumok mappájára írási jog a csoportnak (ha egyénenként szeretnéd, akkor egyénenként hozz létre külön almappát;
- elsõ user bejelentkezéshez még adhatsz helyi rendszergazda jogot a felhasználónak, úgy egyszerûbb telepítgetni (mondjuk inkább domain adminnal tedd, hátha elfelejted, hogy jogot osztottál ki...): ha nem tud írni az asztalra, stb., akkor nem adtál neki jogot a dokumentumok mappájához;
- _szerintem_ szerveren hozz létre egy megosztott mappát, legyen benne egy közös (mindenki írhat) és esetleg egyénenként 1-1 mappa; - mappeld fel egy betûre (mondjuk M: után valamelyik) a megosztást, pl. net use t: \\szervernev\megosztas /persistent:yes (de érdemes ideírnod a user/jelszó párost, hogy ne kérdezze mindig), intézõbõl talán egyszerûbb (Eszközök | Hálózati meghajtó csatlakoztatása...): NE az adminnal csinálj mappelést, mert ha ügyes gyerekek, akkor használhatják a hozzáférésedet.
Fontos a router és a tűzfal használataA router tűzfala nem tudja, hogy milyen program szeretne kimenni a netre, csak azt, hogy melyik port melyik portot szólítja meg. Ha ez nem ütközik semmilyen szabályba, akkor a tűzfal elengedi, itt mindegy a kommunikáció iránya. Ha kívülről jön a kérés, de szabály nem tiltja a csomag továbbítását, akkor azt továbbengedi. Ehhez még hozzá jön, hogy ha nincs portforward vagy virtual server a portra beállítva, akkor a router nem továbbítja a belső hálóra a csomagot.
Kivéve ha! Ha a switch része az eszköznek, önállóan is kezeli a csomagokat, akkor a csomagban lévő MAC-cím alapján eljuthat a bejövő csomag a címzett géphez! (Ennek elkerülése érdekében a komolyabb routerek nincsenek összeintegrálva a switch-el.)
A gépeken futó tűzfalak azt is tudják, hogy melyik program küldi vagy fogadja éppen a csomagot. Ezzel részletesebben lehet konfigurálni a rendszert, hiszen itt megmondhatjuk, hogy egyes szoftverek nem kommunikálhatnak a 80-as porton, míg mások igen. Például az IE nem mehet ki rajta, a FireFox meg igen.
Összefoglalva: a router tűzfala a hálózatot védi, az egész rendszerre kiterjedő beállításokkal, míg a gépeken futó tűzfalak a konkrét végpont biztonságát szolgálják, speciálisan arra a gépre hangolt beállításokkal.
Nagyobb hálózatokban nem érdemes kikapcsolni a router tűzfalát, inkább jól be kell állítani, ezzel is energiát takarítva, mivel a gépeket nem kell egyesével konfigurálni.
Otthon azonban ez az áldozat még vállalható, de wireless rendszereknél ügyelni kell a kommunikáció megfelelő mértékű titkosítására.
A Windows tűzfalról meg annyit, hogy ésszel használva a gépet ez is megvéd egy csomó dologtól. Azonban tudni kell, hogy a Windows XP-ben csak egy irányú (Vista/7-ben kétirányú), azaz a kéretlen látogatókat tartja kint. Viszont ha valami már bent van a gépünkön, és kéréseket intéz kifelé, akkor a válaszok akadálytalanul bejutnak a gépünkre anélkül, hogy bármilyen figyelmeztetést kapnánk.
A kivételek pedig csak arra jók, hogy a fenti szabályok alól bizonyos portokat kivonjunk, tehát kérés nélkül is be lehessen jönni a gépünkre.
Még egyszer röviden: a router tűzfala kevés gép esetén nem feltétlenül szükséges, de nem haszontalan, viszont nagyobb rendszerekben megfelelően beállítva nagy mértékben növeli a biztonságot és csökkenti a rendszer karbantartására fordított időt.
Nincsenek megjegyzések:
Megjegyzés küldése