Unterlagen

Selfadmin-Dienste

Einführung in Selfadmin-Dienste - Windows XP/Vista/Server 2003

Charakteristik und Ziele

Charakteristik
  • lokale administrative Verantwortung
  • Aufgabenteilung: lokale Administration <--> zentrale Administration
  • Kenntnis der zentralen Administration notwendig
Ziele
  • Realisierung eigener spezifischer Anforderungen
  • schnellere Reaktion
  • Nutzung vorhandener (zentraler) Konfigurationen
  • Nutzung einer zentralisierten Konfigurationstechnologie

Administration und Betrieb

  • Administration - umfasst system- und softwareseitige Maßnahmen zur Realisierung eines korrekten Betriebs
    • Installation und Konfiguration
    • Sicherheit (Viren, Zugang, Patches, Manipulation)
    • Aktualisierung
    • Software, Lizenzen
    • Nutzung
  • Betrieb, Betreiber - Verantwortung für gesamten Komplex
    • Nutzung
    • physischer Zugang
    • physische Veränderungen (Aufstellung, Peripherie)
    • Administration
Varianten
  1. Eigenadministration
    • Verantwortung des Betreibers für vollständige Administration (s.o.)
    • Zeit
    • Knowhow
    • aktuelle Anforderungen
    • ...
  2. Komplette Administration durch Dienstleister
    (Form von outsourcing -> Zentralisierung)
    • Knowhow, Erfahrungen
    • Automatismen
    • Skalierbarkeit
    • Probleme
      • Sonderwünsche
      • kurzfristige Modifikationen ( <Tag)
      • Hardware-Änderungen

URZ als Dienstleister

  • Installation Betriebssystem
  • Campusnetz-Integration
    • Netz
    • Loginkennzeichen
    • Speicherdienste (Netzfilesystem AFS: Home-Verzeichnis, Projektverzeichnisse, ...)
      implizite Datensicherung
    • remote Zugriff (secure shell)
    • Zeitsynchronisation
    • Benutzungskonfiguration
    • Nutzerprofil
    • Drucker/Druckdienste
  • System- und Anwendungssoftware
    (notwendige, freie und angeforderte kommerzielle)
    • Installation/Konfiguration
    • Aktualisierung, neue Software-Version
    • Lizenzen (Zuordnung, Überwachung)
  • Wartung und Pflege des Systems - Sicherheit
    • Patches (zeitnahes Einspielen)
    • Service Packs
    • Software-Updates
    • Aktualsisierung Antivirensoftware
    • Windows-firewall-Konfiguration
  • Überwachung System
    • Fehlfunktionieren
    • Speicherplatzprobleme (Platte)
    • CPU, Nachrichten (eventlogs)
    • Basis-Prozesse (AFS, cfengine)

Automatismen für Wartung und Konfiguration

basieren auf
  • AFS = Netzwerkfilesystem
  • repository = Verzeichnisstruktur, in der Dateien, Ordner, ... abgelegt sind (die hier Bedeutung für reale PCs haben)
  • Dienste = Programme/Services, die ständig laufen oder regelmäßig gestartet werden:

cfengine (siehe Dienst "cfengine")

  • "configuration engine"
  • an Basis-Software cygwin gebunden (UNIX-Umgebung)
    gleiche Technologie (Struktur, Skripte - wie in Linux, Windows Server 2003)
  • Aktualisieren/Überschreiben der Verzeichnis-/Dateistruktur in Laufwerk c: entsprechend Vorgabe (im repository)
    importieren von registry-Modifikationen
  • lokale Änderungen (auf PC) solcher relevanten Verzeichniss/Dateien werden überschrieben
  • cfengine wird aktiv
    • zu festgelegten Zeitpunkten (siehe cron)
    • beim Booten des PC
  • => Beispiel repl, etc

WPM (siehe Dienst "auto_wpm")

  • "windows paket manager"
  • Installation von Software
  • Aktualisierung von Software (neue Software-Versionen)
  • Welche Software zu installieren/aktualisieren ist, wird durch Angabe des Software-Paketnamens in wpm-conf-Datei festgelegt (wpm*.conf).
  • Voraussetzung: Existenz eines Software-Installationspakets
    • im wpm-Format, enthält:
      • msi-file (Microsoft-Installer), registry-Einträge
      • registry-Einträge
      • Startmenü-Einträge (siehe startmenu)
      • evtl. Desktop-Konfiguration
  • Dienst "auto_wpm_first"
    • einmaliges Starten nach Windows-Installation
    • Ergänzen/Aktualisieren Software
    • erst danach ist eine Installation vollständig und nutzbar
  • => Beispiel Paket
    => Beispiel Protokoll

cron (siehe Dienst "cron")

  • ständig aktiver Prozess, der entsprechend Konfiguration Dienste/Aufgaben aktiviert
  • Festlegung: Minute - Stunde - Datum/Tag
  • crontab im repository definiert
  • => Beispiel crontab

ToSCA

  • Toolbox for System Configuration and Administration (ToSCA)
  • zentrale Verzeichnisstruktur/repository für cfengine und ...
    • u:\tu-chemnitz.de\ToSCA\ in Windows
      /afs/tu-chemnitz.de/ToSCA/ in Linux
    • spezifische Zugriffsrechte-Struktur (Lese- vs. Schreibrechte)
  • ToSCA-Struktur ( ...\ToSCA\... )
    • ROOTS\ - PC-hostname und relevante Verzeichnisstruktur in Laufwerk c:
      außerdem Verzeichnisstruktur für PC-Gruppen (-> Funktionsklassen)
      (Architektur und Plattform - WXP_5.1_X86, WVI_6.0_X86, W2003_5.2_X86, VISTA, NT, LINUX, ...)
    • LOGS\ - logfiles, Protokolle von Automatismen, ...
    • SW\ - Software-Pakete
    • SCRIPTS\ - Skripte für Automatismen
    • CFENGINE\ - Konfigurationsdaten für cfengine
    • ...
  • => Beispiel Verzeichnis ToSCA
    => Beispiel etc

WUSCH (siehe Dienst "Automatische Updates")

  • Windows-Update-Service an der TU Chemnitz
  • WUSCH-Server im URZ (Alternative zum Hersteller)
  • eigene Freigabe/Nichtfreigabe sowie eigener Zeitpunkt
  • keine Service Packs für Windows
  • Konfiguration am PC, mittels registry-Daten:
    • automatisches downloaden freigegebener Patches und automatische Installation
    • Patches, die ein reboot erfordern, werden zu festgelegter Uhrzeit installiert (möglichst nachts)
  • Spezifika siehe "Sicherheitskurs"

Installation/Reinstallation

  • weitestgehend automatisiert
  • image-basierend - image enthält Windows, Basiskonfiguration und Basis- sowie freie Software
  • image liegt im Netz (auf einem spezifischen Server)
  • am PC/Klient wird nach "Installation gefragt" (DHCP -> PXE/LAN-Boot)
  • Wenn Installation am Server für diesen PC konfiguriert/aktiviert, dann wird image als Laufwerk c: auf Platte geschrieben
  • Dauer: image-Laden ca. 30 Minuten, Konfiguration mittels cfengine, Nachinstallation Software (siehe auto_wpm_first) ab 30 Minuten zusätzlich (bis ... )

Monitoring

Überwachung, logfiles, eventlog
  • BB (siehe Dienst "Big Brother ...")
  • ...\ToSCA\LOGS * eventlog_System.log
    • eventlog_Application.log
    • eventlog_Security.log
    • eventlog_*.log.1.gz (rotating)
    • cron_daily.sh.log
    • auto_wpm.sh.log
    • ...

Zuständigkeit des SelfAdmin

  • erhält administrator-Rechte (zusätzlicher lokaler account "root")
  • erhält Schreib- bzw. Leserechte in
    • ...\ToSCA\ROOTS\ plattform \ _hostname_\
    • ...\ToSCA\LOGS\ plattform \ _hostname_\
    • für plattform : WVI_6.0_X86 oder WXP_5.1_X86 oder ...
  • somit Verantwortung für Veränderungen auf dem PC !!!
  • zuständig für
    • Installation von zusätzlicher Software
    • Installation von Druckern
    • Integration von Hardware
    • Fehlersituationen - Ursachensuche, Behebung
    • Wiederherstellung der Installation - Entscheidung
    • Kommunikationspartner für PC-Nutzer
  • Kommunikation zum PC mit Dienstleister (URZ) nur über SelfAdmin

Praxis der Selfadmin-Dienste - WXPSelfADM, WVISelfADM, VPSH (Windows Server 2008)

Integration eines PC in den Dienst

  • lokales Kennzeichen root = Mitglied administrator-Gruppe
  • WXP-Spezifik:
    • generisches Passwort -> Mail
  • Vista-Spezifik:
    • Elevating (bei Bedarf) (Anforderung der Rechte-Erhöhung)
    • generisches Passwort -> Mail
    • Anmeldung: hostname \root (z.B. pcname\root )
      (sonst in Domäne TU-CHEMNITZ.DE)
    • Passwortänderung empfohlen
      1. Anmelden
      2. Kommandofenster öffnen
        in Start-Zeile eingeben: cmd
        oder Tastenkombination MS+r
      3. im Kommandofenster eingeben: compmgmt.msc
      4. "Fortsetzen" (elevating, s.o.)
      5. Lokale Benutzer und Gruppen
      6. Benutzer
      7. mit rechter Maustaste auf root "Kennwort festlegen"
      8. ... mind. 8 Zeichen, incl. Sonderzeichen ...
      • Ursache für diesen Ablauf: lokales Kennzeichen root, aber PC in Domäne - Domänen-Festlegungen
  • Profil: login_admin.cmd bzw. ad_login_admin.cmd (nichts ändern, dort root integriert)
    steht in c:\Windows\system32\repl\import\scripts\

Installation von Software

  • automatisch mit Dienst auto_wpm
    • konfiguriert in c:\Windows\local\etc\wpm_accept.conf - nicht ändern!
      (wpm_accept.conf ist Obermenge von wpm_accept.local.conf, wpm_accept.spec.conf und wpm_accept.global.conf)
    • automatisch gestartet mit cron.daily (s.u. Wartungsmechanismen)
    • Voraussetzung: Installationspaket existiert
    • Protokollierung in c:\Windows\local\var\log\
    • c:\Windows\local\var\wpm\ enthält Flag zur aktuellen Softwareversion
    • integriert ist die Startmenü-Aktualisierung
  • Interaktive Installation (durch Selfadmin)
    • keine mit auto_wpm installierte Software modifizieren/installieren!
    • Ziel: nach c:\Programme (sinnvoll)
    • Achtung: spezielles Startmenü-Verzeichnis verwenden, sonst mittels aut. Startmenü-Konfiguration überschrieben
      • eigene Software in Bezug auf Startmenü unbedingt im Verzeichnis Eigene_Software lokalisieren (auch kopieren der Einträge möglich)
      • c:\Dokumente und Einstellungen\All Users\Startmenu\Programme\Eigene_Software\
        Achtung: Startmenu\ - ...u
      • falls kein Zugriff in Vista, dann c:\ProgramData\Startmenu\...

Lokale accounts

  • keine eigenen lokalen Kennzeichen einrichten!
    • keine Integration in lokale Technologie/Installation
    • kein Profil
    • keine AFS-Laufwerke
  • lokales Kennzeichen work
    • für lokale Erfordernisse
      Alternative: Gast-Logins: http://archiv.tu-chemnitz.de/pub/2005/0093/data/gast/
    • vorinstalliert, integriert
    • Profil: login_admin.cmd (nichts ändern, dort work integriert)
    • Status "deaktiviert"
    • keine Sonderrechte, kein AFS-Token (Authentifizierung)
    • Verwaltung durch SelfAdmin (Aktivierung, Deaktivierung, Passwort setzen)

Hardware - Integration/Aktualisierung

  • neu hinzugefügte Hardware muss mittels Treiber in das System integriert werden
  • nicht korrekt bzw. unvollständig installierte Hardware muss mit aktuellem Treiber konfiguriert werden
  • mittels Gerätemanager: Start -> Systemsteuerung -> Verwaltung -> Computerverwaltung
    dort Gerätemanager
  • nicht oder nicht korrekt installierte Geräte sind mit ? gekennzeichnet
  • neuen Treiber installieren: Gerät markieren und Aktion: Treiber aktualisieren
    • nein, diesmal nicht" -> =weiter Quelle auswählen, sollte ein Datenträger (CD) sein
    • alternativ: "... Verbindung mit Windows Update ..." Ja, nur dieses eine Mal (Empfehlung!)
    • ...

Drucker, Standarddrucker

  • automatische Installation von Druckern
    • Voraussetzung: Druckerinstallationspaket
    • konfiguriert in
      • c:\Windows\local\etc\printcap für lpp-Technologie
      • c:\Windows\local\etc\druckerliste für ipp-/CUPS-Technologie

  • Standarddrucker
    • erster Drucker in printcap bzw. druckerliste
    • definiert in c:\Windows\local\etc\printcap_default - Änderung nur im repository (s.u.)
  • eigene Drucker möglich - empfohlen
    Achtung: Standarddrucker explizit festlegen in printcap_default
  • keine Nutzung von öffentlichen Druckern möglich
    Alternative: über SAMBA (Laufwerk verbinden), siehe http://www.tu-chemnitz.de/urz/netz/pc/win_95.html

Protokolle, logging-Daten, Monitoring

  • im repository (AFS) u:\tu-chemnitz.de\ToSCA\LOGS\ plattform \ hostname
    • plattform = WXP_5.1_X86 oder WVI_6.0_X86 oder ...
  • von Wartungs-Skripten
    • auto_wpm.sh.log - Softwareinstallation
      wpm_qa_sort.LOG - wpm-Softwareliste
    • print_install.sh.log bzw. print_ipp_install.sh.log - Druckerinstallation
    • cleanup_startmenue.sh.log - Startmenükonfiguration
    • registry_import.sh.log - regsitry-Modifikation
    • cron_hourly.sh.log - stündlich initiierte Wartungs-Skripte (s. crontab)
    • cron_daily.sh.log - täglich initiierte Wartungs-Skripte
    • post_install_root.sh.log - Integration in den Dienst
    • eventlog_Application.log
    • eventlog_Security.log
    • eventlog_System.log
    • ...
    • (Suffixe 1.gz, 2.gz, ... - rotating, am Monatsanfang)
  • Monitoring/Überwachung

Wartungsmechanismen - Starten, Startzeiten, Skripte

  • cron
    • "Der cron-Daemon ist eine Jobsteuerung von ... Unix-artigen Betriebssystemen ..., die wiederkehrende Aufgaben (cronjobs) zu einer bestimmten Zeit ausführen kann." (wikipedia)
    • c:\Programme\cygwin\etc\crontab
    • Beispiel 
# run-parts 
53 7,18 * * * SYSTEM run-parts /etc/cron.cfengine 
53 * * * * SYSTEM run-parts /etc/cron.hourly 
53 2 * * * SYSTEM run-parts /etc/cron.daily 
53 6 * * 0 SYSTEM run-parts /etc/cron.weekly 
53 5 1 * * SYSTEM run-parts /etc/cron.monthly
    • Syntax: minuten stunde tag monat wochentag ... ... aufgabenverzeichnis
      (wochentag = 0 -> Sonntag; = 6 -> Samstag)
    • 53 2 * * * SYSTEM run-parts /etc/cron.daily
      bedeutet: 2:53 Uhr alle im Verzeichnis c:\Programme\cygwin\etc\cron.daily\ enthaltenen Dateien (= Aufgaben) ausführen
    • Inhalt von c:\Programme\cygwin\etc\cron.daily\ 
auto_wpm 
cfengine.daily 
tmpwatch
    • Inhalt von cfengine.daily: 
cmd /c bash -c "... //afs/tu-chemnitz.de/ToSCA/SCRIPTS/ALL_SCRIPTS/cron_daily.sh"
    • keine lokalen Änderungen, sondern im repository (s.u.)
    • c:\Programme\cygwin\etc\cron.d\ enthält direkt auszuführende Aufgaben
    • Beispiel: c:\Programme\cygwin\etc\cron.d\reboot 
15 6 12 1 4 System shutdown -r -f -d p:04:01
  • Dienste
    • Aktivierung:
      services.msc
      oder Start -> Systemsteuerung -> Verwaltung -> Dienste
      oder sc start ... bzw. sc stop ...
    • Dienstnamen:
      auto_wpm
      cfengine
      ...
  • Skripte
    • lokalisiert und gestartet in nicht zugreifbaren Bereichen
    • Desktopbereinigung -> cleanup_desktop.sh -> cleanup_desktop.sh.log
      für Arbeitsplatz-PCs i.allg. nicht aktiviert
    • Startmenü-Konfiguration -> cleanup_startmenue.sh -> cleanup_startmenue.sh.log
    • Alternative: Skript nach c:\Programme\cygwin\etc\cron.d\
    • Beispiel tmpwatchspec
  • registry
    • c:\Windows\local\registry\
    • Dateien im reg-Format, die von registry_import.sh aktiviert werden
    • Beispiel ie7_sec.reg 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap] 
"AutoDetect"=dword:00000000 
"IntranetName"=dword:00000001 
"ProxyByPass"=dword:00000001 
"UNCAsIntranet"=dword:00000001 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\afs] 
"file"=dword:00000001 

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap] 
"AutoDetect"=dword:00000000 
"IntranetName"=dword:00000001 
"ProxyByPass"=dword:00000001 
"UNCAsIntranet"=dword:00000001 

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\afs] 
"file"=dword:00000001
    • regedit -> Lokalisierung registry-Eintrag -> export im NT-Format (les-/bearbeitbar)

Protokollierung eigener Aktivitäten

  • u:\tu-chemnitz.de\ToSCA\ROOTS\WXP_5.1_X86\ hostname \windows\local\etc\README.selfadm
    u:\tu-chemnitz.de\ToSCA\ROOTS\WVI_5.1_X86\ hostname \windows\local\etc\README.selfadm
    ...
  • verbaler Inhalt, für Wiederholungen, etc.

Installation

  • image-Technologie, image liegt im Netz
  • LAN-/PXE-Boot
    • im BIOS eingestellt (vor dem Platten-Boot)
    • im DHCP konfiguriert
  • Abfrage des Installationsservers (dort image lokalisiert), ob Installation aktiviert
    Aktivierung künftig durch Selfadmin in BB (zzt. nur single-Boot-Systeme)
    • nein -> normales Booten von Platte (entsprechend Reihenfolge im BIOS)
    • ja -> Live-System (Linux) laden -> Plattenkonfiguration -> image schreiben -> reboot (mehrmals) -> ... -> Nachinstallation Software (auto_wpm_first)
  • Achtung: normale Anmeldung (mit AFS) erst nach Ende der Nachinstallation
    entsprechende Nachricht/Fenster beachten

ToSCA - Datenbasis für Dienst - Rechte

  • Basisinformationen
    • je host/PC: IP-Name (= hostname), Raum, Hauptnutzer, Struktureinheit -> Funktionsklasse
    • zusätzlich den/die Selfadmin/s
    • Hauptnutzer für Kommunikation - in wxpadm-Mailingliste integriert
    • Selfadmin - in wxpselfadmin-Mailingliste integriert, Rechte-Vergabe
    • Aktualität notwendig
  • Funktionsklassen
    • Hierarchie
      • hostname
      • Funktionsklasse, FU_... - entsprechend Struktur, Zusammenfassung von hostname's
      • compound-Funktionsklassen, CFU_... - Zusammenfassung von Funktionsklassen

  • repository-Struktur
    • u:\tu-chemnitz.de\ToSCA\
    • z.Bsp. in u:\tu-chemnitz.de\ToSCA\ROOTS\WXP_5.1_X86\ : 
 |-- CFU_ALL_WS
 |-- CFU_DESKTOP
 |-- CFU_POOL
 |-- CFU_POOL_PHIL
 |-- CFU_POOL_STD
 |-- FU_CH_OCH_WS
 |-- FU_ET_LE_WS
 |-- FU_IF_TI_WS
 |-- FU_MB_AMKT_WS
 |-- FU_MB_SM_WS
 |-- FU_PHIL_AAAL_WS
 |-- ...
 |-- ROOT4ANY
 |-- aachen
 |-- agogo
 |-- alberich
 |-- alfred1
 |-- alma
 |-- alphorn
 |-- america
 |-- ...
    • z.Bsp. in u:\tu-chemnitz.de\ToSCA\ROOTS\WXP_5.1_X86\FU_...\ : 
CFU_DESKTOP/
|-- Programme
|   |-- Ansys Inc
|   `-- Windows NT
|       `-- zubeh
|           `-- wordpad.exe
`-- windows
    |-- local
    |   |-- etc
    |   |   `-- wpm_accept.global.conf
    |   `-- registry
    |       |-- AFSShutdown.reg
...
    • z.Bsp. in u:\tu-chemnitz.de\ToSCA\ROOTS\WXP_5.1_X86\ hostname \
      : 
_hostname_
|-- Programme
|   `-- cygwin
|       `-- etc
|           |-- crontab
`-- windows
    `-- local
        |-- etc
        |   |-- README.selfadm
        |   |-- ToSCA_PARTITIONS
        |   |-- applnk
        |   |-- druckerliste
        |   |-- printcap
        |   `-- wpm_accept.local.conf
        `-- registry
  • Rechte
    • je Verzeichnishierarchie spezifische AFS-Rechte
    • fs listacl u:\tu-chemnitz.de\ToSCA\ROOTS\WXP_5.1_X86\ hostname \
      to:wxp_5.1_x86_ hostname rlidwk
      • Selfadmin ist Mitglied dieser AFS-Gruppe -> Lese- und Schreibrechte
      • hier Modifikationen möglich
    • fs listacl u:\tu-chemnitz.de\ToSCA\LOGS\WXP_5.1_X86\ hostname \
      to:wxp_5.1_x86_ hostname rlk
      • -> Leserechte
      • hier Lesen möglich
    • Rechte analog für Plattform WVI: ...\WVI_6.0_X86\... bzw. to:wvi_6.0_x86_...

Beschreibungen, etc.

TUCaktuell