Windows Server

Fildeling og skrivere

Vi skal nå se hvordan vi gjør filer og skrivere tilgjengelig via nettverket for andre maskiner og brukere. Vi gjør dette ved å dele ut (share) kataloger og skrivere. Vi vil også se hvordan vi kobler en PC til serveren slik at vi kan bruke ressursene der.

Fil & Printserverroller

Vi vil først legge til fil- og printserverrollene. Vi gjør dette ved å gå til Server Manager og velge Add Roles fra Manage-menyen.

Under valget File and Storage services har vi allerede det vi trenger, men vi må ta med Print and Document Services.

Vi får så opp et bilde med Things to Note. Her får vi beskjed en del ting vi må passe på. Dette går i hovedsak ut på at brukerne må være lokal administrator for å installere drivere av Type 3. Denne typen drivere må også legges ut i 32 bit varianter hvis vi har slike klienter.

Vi får så spørsmål om hvilke services vi ønsker for Print and document. Til vårt bruk holder det med Print server.

Velg så Next og deretter Install.

Vi kan nå klikke på de to nye rollene i Server Manager for å få oversikt over dem, tilsvarende det vi gjorde for AD-rollen.

Dele filer

Vi skal sette opp shares (delinger) for tre områder på serveren vår:

Felles: Dette området skal alle brukere kunne se og kopiere filer fra (lesetilgang). I noen kataloger kan det være aktuelt at noen brukere har skrivetilgang.

Apps: Her skal vi legge ut programvare (applikasjoner), enten ferdiginstallert eller som installasjonsfiler. Alle brukere skal ha lesetilgang, og enkelte brukere skal også kunne legge ut filer her (dvs. skrivetilgang).

Home: Her skal hver bruker ha tilgang til sin private katalog. Det er kun den enkelte bruker (og administrator) som skal ha tilgang til katalogen. Et slikt område kalles gjerne Home Folder, eller hjemmeområde. Vi gir brukerne full tilgang til hjemmeområdet slik at de eventuelt selv kan gi andre brukere tilgang til sitt område.

For å dele en katalog gjøres dette direkte fra Windows Explorer (Utforsker):

Vi lager først en katalog C:\felles.
Nå kan vi høyreklikke på felles og velge Share With → Spesific People.
Nå kan vi velge hvem som skal ha tilgang til området.
Vi ønsker å gi alle elever lesetilgang og lærere skrivetilgang, så vi gir derfor gruppene elever og lærere en slik tilgang.

Administrator får automatisk skrivetilgang med mindre vi fjerner denne. Legg merke til at vi gir tilgang til grupper (ikke OU-er). Dette gjør det enklere å administrere tilgangen. Bare unntaksvis gir vi tilgang til enkeltbrukere.

Dette sharet vil nå ha adressen \\server1\felles eller \\server1.hiof.no\felles.

Vi kan teste sharet ved å skrive inn adressen i Windows Explorer.

Vi kan også skrive inn adressen til kun serveren \\server1 og få listet opp alle share som er tilgjengelig.

Nå kan vi lage et share for Home på tilsvarende måte. Vi gir nå Domain users (dvs. alle brukere unntatt guest) lesetilgang til dette området. Hver enkelt bruker skal ha skrivetilgang til sin private katalog (hjemmeområde) som ligger som underkataloger til Home. Hvis vi oppretter nye brukere (eller endrer på eksisterende) og skriver inn adressen til hjemmeområdet (Home Folder), vil rettighetene til det private området automatisk bli satt riktig for den aktuelle brukeren.

Vi kan sjekke at rettighetene til en bruker er riktig, ved å høyreklikke på katalogen til en bruker og velge Properties → Security. Vi kan nå se hvilke brukere og grupper som har rettigheter til katalogen, og hva slags rettigheter de har. For å få litt bedre oversikt kan vi velge Advanced, og vi får en oversikt.

Vi ser her at noen rettigheter er arvet fra (Inherited from) katalogen over (Home), mens andre er satt direkte (None) på brukerens katalog, i dette tilfellet NilsN.

Vi ser at Nils Nilsen og Administrator har skrivetilgang, mens Domain Users har lesetilgang. Tilgangen for Domain Users er i dette tilfellet feil, vi ønsker ikke at alle brukere skal kunne lese innholdet i andres hjemmeområder.

Vi kan endre dette på følgende måte:

Høyreklikk på katalogen Home og velg Properties → Security → Advanced.
Velg så Change Permissions.
Marker Everyone og velg Edit.
Vi kan nå sette at rettighetene for Domain Users skal gjelde for This folder only.

Dette betyr at alle kan lese katalogen Home, men de får ikke tilgang til underkataloger bortsett sin egen.

Som vi ser, er det mange muligheter for å sette rettigheter for å styre tilgang til kataloger. Hvis man ikke passer på, er det lett å gå surr i rettighetene. Vi bør derfor passe på at vi har en god struktur på gruppene våre, katalogene og hvilke rettigheter vi setter.

Hvis vi er i tvil om hvilke rettigheter som gjelder for en bruker på en bestemt katalog, kan vi sjekke tilgangen på denne måten:

Høyreklikk på katalogen og velg Properties → Security → Advanced.
Velg så Effective Permission og velg ut en bruker eller gruppe ved å trykke på Select a user.
Vi vil så få en oversikt.

Oversikt over rettigheter

Som vi ser, er det litt variasjon i detaljnivået på rettigheter avhengig av hvor vi ser på dem: Når vi lager et share med "share with"-funksjonen, kan vi kun velge Read eller Write. I de aller fleste tilfeller er disse to valgene tilstrekkelig.

Går vi på Properties → Security, ser vi følgende rettigheter:

Full control: Full skrivetilgang, og brukerne kan gi rettigheter til andre
Modify: Skrivetilgang
Read & execute: Lesetilgang og kjøre programmer
List folder contents: Kun se oversikt over filer i foldere
Read: Lese filer, ikke kjøre program
Write: Skrive filer
Spesial Permissions: Disse kan bare settes under Advanced

Velger vi Modify, vil alle andre rettigheter bortsett fra Full control bli valgt og brukeren får skrivetilgang.

Velger vi Read & execute, vil List folder content og Read også bli valgt, og brukeren får lesetilgang.

Ser vi under Advanced, vil vi se at rettighetene er enda finere inndelt. Det er sjelden vi har bruk for disse ved normal fildeling, så vi vil ikke gå inn på disse.

Øvelse 1

Opprett sharet Apps med lesetilgang til alle brukere og skrivetilgang til administratorer.

Øvelse 2

For å få litt trening med å sette rettigheter kan vi gjøre følgende: Vi ønsker at en gruppe elever som jobber på prosjekt, skal få skrivetilgang til en bestemt katalog på fellesområdet:

Lag en underkatalog til felleskatalogen som heter Prosjekt.
Lag en gruppe som heter Prosjekt, og legg til de aktuelle elevene som medlemmer.
Høyreklikk på katalogen Prosjekt og velg Properties → Security → Edit.
Vi kan nå Velge Add og legge til gruppen Prosjekt.
Gi så gruppen Prosjekt rettigheten Modify.

Nå vil gruppen Prosjekt ha skrivetilgang, mens elever og lærere vil ha de samme rettighetene som i felleskatalogen (fordi de arves). Ved å legge de aktuelle elevene inn i denne gruppen vil de få skrivetilgang.

Det kan jo være aktuelt å fjerne noen rettigheter, f.eks. at alle elever skal ha lesetilgang. Dette kan gjøres på to måter: Skru av arving av rettigheter eller krysse av for Deny på de rettighetene vi vil fjerne.

For å stoppe arving til underkatalogen Prosjekt må vi velge Advanced under Security og Disable inheritance. Vi får da spørsmål om Convert eller Remove. Velger vi Convert, vil rettighetene fra nivået over kopieres og settes direkte på prosjektfolderen, slik at vi fritt kan redigere dem. Velger vi Remove, fjernes alle rettigheter, og vi kan legge til nye rettigheter.

En enklere metode kan være å krysse av for Deny på de rettighetene vi ikke ønsker skal arves. Ulempen med dette kan være at rettighetene blir litt uoversiktlige.

Øvelse 3

Nå som vi har fått opprettet Home-sharet med korrekte rettigheter, kan vi endre på de brukerne vi har laget (fra Active Directory Users and Computers) slik at de får hvert sitt hjemmeområde.

Marker alle de aktuelle brukerne ved hjelp av Shift eller Ctrl tastene. Velg Folder og kryss av for Profile.
Velg Connect N: to og skriv inn. \\server1.mittdomene.no\Home\%username% på Profile → Home folder.

Kontroller at katalogene har blitt opprettet under Home-katalogen.

Nettverkskrivere

Hvis vi skal gjøre skrivere tilgjengelig i nettverket vårt, kan vi lage skriverkøer på serveren vår som sørger for at flere brukere kan dele en skriver. Skriverkøen vil også sørge for at utskriftene blir sendt til skriveren når den er klar, slik at brukernes PC-er blir avlastet for denne jobben.

Det finnes flere ulike måter å koble en skriver til nettverket vårt på.

Skriver med innebygd nettverkskort

Den enkleste og raskeste løsningen er å bruke en skriver med innebygd nettverkskort. Mange skrivere har i dag enten innebygd nettverkskort eller ledig kortplass, slik at vi kan kjøpe og installere et nettkort selv.

Alle datamaskiner i et nettverk kan skrive ut direkte på en skriver som er knyttet til nettet, men det er enklere å la utskriftsjobbene gå via en Windows- server. Da slipper vi å installere den nødvendige programvaren for å kommunisere med skriverne hos alle klientene, og vi får alle de andre fordelene som følger med det å la serveren ta seg av utskriftsjobbene.

Skriver koblet til en server

De fleste typer skrivere kan kobles direkte til serveren ved hjelp av USB-tilkobling. Skriveren kan deretter gjøres tilgjengelig for andre PC-er over nettet (sharing). Dette er en rimelig måte å koble en skriver til nettet på, men den må da plasseres i nærheten av serveren.

Skriver koblet til en arbeidsstasjon

I et nettverk med Windows-klienter kan en skriver som er koblet til en arbeidsstasjon, gjøres tilgjengelig for andre brukere av nettet. Ulempen med denne løsningen er at maskinen som skriveren er koblet til, må være slått på for at skriveren skal kunne brukes. Hvis skriveren blir brukt mye av andre, vil dessuten belastningen på datamaskinen bli forholdsvis stor.

En Windows-klient fungerer stort sett like greit som en Windows-server når det gjelder utskriftstjenester, men det ligger en begrensning i at det maksimalt kan være ti nettverksforbindelser mot én arbeidsstasjon samtidig.

Skriverserver

Vi kan koble en skriverserver direkte til nettet. En slik skriverserver er en frittstående boks som har en nettverkstilkobling og én eller flere USB-porter. Dette betyr at vi kan ta en vanlig skriver med USB-tilkobling og koble til hvor som helst i nettverket. Hvis vi ønsker det, kan vi også få skriverservere for trådløst nettverk.

Deling av skrivere

Hvis man skal dele en USB-skriver, vil installasjonen normalt gå automatisk når man kobler den til serveren første gang. Da kan man gå til Properties → Sharing og lage en skriverdeling der. (Se lenger ned i eksemplet.) I vårt eksempel skal se på hvordan vi kan sette opp og dele en laserskriver som er koblet direkte på nettverket.

Først må vi sørge for at skriveren settes opp med en gyldig IP-adresse. Dette vil variere med produsent og type skriver, men har skriveren et display, kan dette gjerne gjøres direkte på skriveren. Vi kan alternativt la skriveren bruke DHCP, men vi må da sette en fast adresse i DHCP-serveren. I vårt eksempel setter vi IP-adressen på skriveren til 192.168.1.5.

Vi kan sette opp skriveren fra Devices and Printers fra startmenyen. Dette fungerer på samme måte som i Windows 7 og 8.

I vårt eksempel vil vi heller sette opp skriveren i Server Manager:

Start opp Print management, enten i eget vindu eller fra Server Manager.
Finn fram til Print Servers og Server1.
Høyreklikk på Printers og velg Add Printer.

Skriveren vår er koblet direkte på nettet, så vi skal legge til en TCP/IP-skriver. Det finnes også en søkefunksjon, men den kan bare brukes på skrivere som er koblet på samme nett som serveren.

Skriv så inn IP-adressen vi satte på skriveren, og gå videre. Programmet vil nå sjekke at den klarer å kommunisere med skriveren, og prøve å finne ut hvilken driver den skal bruke.

Vi kan så velge navn på skriveren og om vi ønsker å dele den.

Hvis den ikke finner driver automatisk, kan vi velge en manuelt. Trykk eventuelt på Windows Update for å få fram flere drivere. Hvis vi har drivere på CD eller som vi har lastet ned fra produsenten av skriveren, kan vi trykke på Have disk.

Hvis vi ikke finner en driver, kan vi prøve å velge en skrivermodell med lignende modellbetegnelse.

Skriveren er nå klar til bruk.

Skriverinstillinger

Det kan være aktuelt å gjøre noen flere innstillinger på skriveren. Dette gjøres ved å høyreklikke på skriveren og velge Properties.

Under Sharing kan vi krysse av for List in the directory, dvs. AD. Dette kan være aktuelt når brukeren skal finne fram til skrivere på nettet, spesielt i større nett.

Under Advanced kan vi gjøre en del innstillinger på hvordan printjobbene blir behandlet i køen. Vi kan også gå inn Printing Defaults og sette forskjellige ting som utskriftskvalitet og tosidig utskrift. Valgene her vil variere etter skrivertype.

En spesiell mulighet er å sette opp et tidsrom for når skriveren vil fungere. Setter vi opp dette, vil brukerne kunne sende utskrifter til køen hele døgnet, men utskriftene vil ikke bli sendt videre til skriveren før tiden er innenfor tidsrommet vi har satt. Dette kan f.eks. brukes til å sette i gang store utskriftsjobber om natten.

Under Security kan vi kontrollere tilgangen til skrivere. I utgangspunktet vil alle ha rettigheter til å bruke skriveren, mens Administrator kan styre den. Hvis vi har plassert noen brukere i gruppene Print eller Server Operators, vil også disse kunne administrere skriveren. Hvis vi ønsker det, kan vi la enkelte grupper eller brukere kontrollere utskriftsjobber ved å gi dem Manage documents- rettigheter. De vil da kunne ta pause eller slette utskrifter fra køen og lignende.

Under Ports kan det være aktuelt å legge til eller endre porter for en skriver. Hvis vi for eksempel må endre IP-adressen på en skriver, må vi oppdatere porten her.

Vi kan velge å sette opp printer pooling. Det vil si at vi har to eller flere skrivere som betjener samme utskriftskø. Dette kan være aktuelt hvis vi har stor belastning på en skriver, eller hvis vi vil sikre oss mot at utskriftene stopper på grunn av papirkrasj eller lignende. Hvis vi velger pooling, må vi legge til en port med riktig IP-adresse for hver av skriverne.

Tips!

I noen tilfeller kan det være aktuelt å lage flere printkøer til samme skriver. Dette kan f.eks. brukes hvis vi ønsker å lage en kø som bare sender ut skriverjobber på natten. Det kan også være aktuelt å lage køer med forskjellige skriverinnstillinger, for eksempel en med fargeutskrift og en med svart-hvitt. Noen skrivere kan brukes med forskjellige typer drivere, f.eks. PCL5, PCL6 og Postscript, og vi kan da lage en kø for drivertype.

For å lage en ekstra kø på en eksisterende skriver gjøres dette på samme måte som i eksemplet over, men når vi skal velge port, velger vi Add a new printer using an existing port. Deretter går vi videre og gir skriveren og sharet et annet navn.

Arbeidsstasjoner

Nå har vi kommet så langt at vi kan koble til en annen PC (en klient) og teste ut brukernavn, filområder og skrivere vi har laget.

Når vi skal bruke en klient i et Windows-domene, vil vi som oftest melde denne inn i domenet. Dette gir oss fordeler som disse:

Alle brukere i domenet kan logge inn på hvilken som helst PC i nettverket vårt med brukernavnet vi har laget. De trenger ikke noe lokalt brukernavn på klienten.
Tilgang til filområder og skrivere kan settes opp automatisk ved hjelp av logon skript og policy.
Administrator kan gjøre endringer på klientene ved å lage policy på serveren.

Det er også mulig å koble en PC til filområder og skrivere uten at den er medlem av domenet, men disse tilkoblingene må settes opp manuelt. En slik tilkobling kan f.eks. være aktuelt for enkelte brukere med bærbar PC.

Melde PC inn i domene

Det er ikke alle versjoner av Windows som lar seg melde inn i et domene. Dette gjelder alle Home versjoner av Windows. I vårt eksempel vil vi bruke Windows 10 Pro, men også eldre Windows-versjoner kan brukes på en tilsvarende måte så lenge det ikke er Home utgaver.

Fordi domenenavnet vårt mittdomene.no, er et uoffisielt navn som kun eksisterer i vårt nettverk, må vi sørge for at klienten vår klarer å finne dette navnet. Dette gjøres ved å la klientene bruke vår egen DNS Server. DNS Serveren blir automatisk installert på serveren vår når vi lager Windows-domenet.

Det er tre måter vi kan endre DNS Server for klienter på:

Sette opp vår egen DNS Server på Windows serveren vår.
Endre DHCP-innstillingene på ruteren vår slik at den deler ut adressen til serveren vår (192.168.1.10).
Endre direkte på klienten, dette gjøres slik:

System og delingssenter: endre innstillinger på nettverkskort
Velg så egenskaper på lokal tilkobling (denne kan også ha andre navn) og Internet Protocol versjon 4.
Sett så foretrukket DNS-server til 192.168.1.10.

Uansett hvilken metode vi bruker for å endre DNS, kan vi sjekke den på klienten med følgende metode:

Åpne et kommandovindu ved å gå til startmenyen og skriv inn cmd.
Skriv så kommandoen ipconfig /all og sjekk verdien for DNS.

Vi kan nå melde klienten inn i domenet ved å bruke kontrollpanelet System (dette ligger under System og sikkerhet):

Velg så Endre innstillinger.
Velg så Nettverks-ID for å melde maskinen inn i domenet vårt.
Velg Denne maskinen er del av et firmanettverk og deretter Firmaet bruker et nettverk med domene.

Vi må oppgi et brukernavn som har rettigheter til å melde maskiner inn i domenet. Foreløpig kan vi bruke brukeren Administrator i domenet vårt (ikke Administrator lokalt på klienten).

Vi får beskjed om at det ikke er noen konto for maskinen. Vi kan opprette en slik konto ved å skrive inn navnet klient1 og gå videre i veiviseren. Det lokale navnet på klienten vil da samtidig bli endret.

Det kan være at man må skrive inn administratorpassord for domene på nytt. Vi kan nå starte klienten på nytt og prøve å logge inn i domenet vårt for første gang. Legg merke til at det nå står Logg på: MITTDOMENE.

Vi kan f.eks. logge inn som en elev.

Hvis vi har satt opp korrekt Home folder på brukeren \\server1.mittdomene.no\home\%username%, vil vi nå få opp brukerens private hjemmeområde som disken N: hvis vi ser på Min Datamaskin.

Vi har ikke laget noen automatiske koblinger til de andre filområdene ennå, men vi kan finne dem ved å skrive inn adressen \\server1.mittdomene.no i Windows Utforsker.

Hvis vi ønsker, kan vi koble Apps og Felles til hver sin diskbokstav ved å høyreklikke på dem og velge Koble til nettverksstasjon.

Vi ser også at skriveren vi installerte, kommer fram i utforskeren. Hvis vi klikker på denne, kan vi få installert denne på klienten.

Koble frittstående PC til serveren

Hvis vi ønsker å koble en PC til serveren vår uten å melde den inn i domenet, kan dette gjøres slik:

Koble maskinen til nettet vårt.
Sjekk at DNS-innstillingene er riktig på samme måte som beskrevet over.
Skriv inn \\server1.mittdomene.no i Windows Utforsker.
Vi vil nå få spørsmål om brukernavn og passord.
Skriv inn brukernavn på formen mittdomene\brukernavn, f.eks. mittdomene\nilsn og riktig passord.
Vi kan nå filområder og skrivere på serveren som beskrevet over bortsett fra at hjemmeområdet ikke blir koblet opp automatisk.