Unterlagen

Selfadmin-Dienste

Einführung in Selfadmin-Dienste - Windows XP/Vista/Server 2003

Charakteristik und Ziele

Charakteristik
  • lokale administrative Verantwortung
  • Aufgabenteilung: lokale Administration <--> zentrale Administration
  • Kenntnis der zentralen Administration notwendig
Ziele
  • Realisierung eigener spezifischer Anforderungen
  • schnellere Reaktion
  • Nutzung vorhandener (zentraler) Konfigurationen
  • Nutzung einer zentralisierten Konfigurationstechnologie

Administration und Betrieb

  • Administration - umfasst system- und softwareseitige Maßnahmen zur Realisierung eines korrekten Betriebs
    • Installation und Konfiguration
    • Sicherheit (Viren, Zugang, Patches, Manipulation)
    • Aktualisierung
    • Software, Lizenzen
    • Nutzung
  • Betrieb, Betreiber - Verantwortung für gesamten Komplex
    • Nutzung
    • physischer Zugang
    • physische Veränderungen (Aufstellung, Peripherie)
    • Administration
Varianten
  1. Eigenadministration
    • Verantwortung des Betreibers für vollständige Administration (s.o.)
    • Zeit
    • Knowhow
    • aktuelle Anforderungen
    • ...
  2. Komplette Administration durch Dienstleister
    (Form von outsourcing -> Zentralisierung)
    • Knowhow, Erfahrungen
    • Automatismen
    • Skalierbarkeit
    • Probleme
      • Sonderwünsche
      • kurzfristige Modifikationen ( <Tag)
      • Hardware-Änderungen

URZ als Dienstleister

  • Installation Betriebssystem
  • Campusnetz-Integration
    • Netz
    • Loginkennzeichen
    • Speicherdienste (Netzfilesystem AFS: Home-Verzeichnis, Projektverzeichnisse, ...)
      implizite Datensicherung
    • remote Zugriff (secure shell)
    • Zeitsynchronisation
    • Benutzungskonfiguration
    • Nutzerprofil
    • Drucker/Druckdienste
  • System- und Anwendungssoftware
    (notwendige, freie und angeforderte kommerzielle)
    • Installation/Konfiguration
    • Aktualisierung, neue Software-Version
    • Lizenzen (Zuordnung, Überwachung)
  • Wartung und Pflege des Systems - Sicherheit
    • Patches (zeitnahes Einspielen)
    • Service Packs
    • Software-Updates
    • Aktualsisierung Antivirensoftware
    • Windows-firewall-Konfiguration
  • Überwachung System
    • Fehlfunktionieren
    • Speicherplatzprobleme (Platte)
    • CPU, Nachrichten (eventlogs)
    • Basis-Prozesse (AFS, cfengine)

Automatismen für Wartung und Konfiguration

basieren auf
  • AFS = Netzwerkfilesystem
  • repository = Verzeichnisstruktur, in der Dateien, Ordner, ... abgelegt sind (die hier Bedeutung für reale PCs haben)
  • Dienste = Programme/Services, die ständig laufen oder regelmäßig gestartet werden:

cfengine (siehe Dienst "cfengine")

  • "configuration engine"
  • an Basis-Software cygwin gebunden (UNIX-Umgebung)
    gleiche Technologie (Struktur, Skripte - wie in Linux, Windows Server 2003)
  • Aktualisieren/Überschreiben der Verzeichnis-/Dateistruktur in Laufwerk c: entsprechend Vorgabe (im repository)
    importieren von registry-Modifikationen
  • lokale Änderungen (auf PC) solcher relevanten Verzeichniss/Dateien werden überschrieben
  • cfengine wird aktiv
    • zu festgelegten Zeitpunkten (siehe cron)
    • beim Booten des PC
  • => Beispiel repl, etc

WPM (siehe Dienst "auto_wpm")

  • "windows paket manager"
  • Installation von Software
  • Aktualisierung von Software (neue Software-Versionen)
  • Welche Software zu installieren/aktualisieren ist, wird durch Angabe des Software-Paketnamens in wpm-conf-Datei festgelegt (wpm*.conf).
  • Voraussetzung: Existenz eines Software-Installationspakets
    • im wpm-Format, enthält:
      • msi-file (Microsoft-Installer), registry-Einträge
      • registry-Einträge
      • Startmenü-Einträge (siehe startmenu)
      • evtl. Desktop-Konfiguration
  • Dienst "auto_wpm_first"
    • einmaliges Starten nach Windows-Installation
    • Ergänzen/Aktualisieren Software
    • erst danach ist eine Installation vollständig und nutzbar
  • => Beispiel Paket
    => Beispiel Protokoll

cron (siehe Dienst "cron")

  • ständig aktiver Prozess, der entsprechend Konfiguration Dienste/Aufgaben aktiviert
  • Festlegung: Minute - Stunde - Datum/Tag
  • crontab im repository definiert
  • => Beispiel crontab

ToSCA

  • Toolbox for System Configuration and Administration (ToSCA)
  • zentrale Verzeichnisstruktur/repository für cfengine und ...
    • u:\tu-chemnitz.de\ToSCA\ in Windows
      /afs/tu-chemnitz.de/ToSCA/ in Linux
    • spezifische Zugriffsrechte-Struktur (Lese- vs. Schreibrechte)
  • ToSCA-Struktur ( ...\ToSCA\... )
    • ROOTS\ - PC-hostname und relevante Verzeichnisstruktur in Laufwerk c:
      außerdem Verzeichnisstruktur für PC-Gruppen (-> Funktionsklassen)
      (Architektur und Plattform - WXP_5.1_X86, WVI_6.0_X86, W2003_5.2_X86, VISTA, NT, LINUX, ...)
    • LOGS\ - logfiles, Protokolle von Automatismen, ...
    • SW\ - Software-Pakete
    • SCRIPTS\ - Skripte für Automatismen
    • CFENGINE\ - Konfigurationsdaten für cfengine
    • ...
  • => Beispiel Verzeichnis ToSCA
    => Beispiel etc

WUSCH (siehe Dienst "Automatische Updates")

  • Windows-Update-Service an der TU Chemnitz
  • WUSCH-Server im URZ (Alternative zum Hersteller)
  • eigene Freigabe/Nichtfreigabe sowie eigener Zeitpunkt
  • keine Service Packs für Windows
  • Konfiguration am PC, mittels registry-Daten:
    • automatisches downloaden freigegebener Patches und automatische Installation
    • Patches, die ein reboot erfordern, werden zu festgelegter Uhrzeit installiert (möglichst nachts)
  • Spezifika siehe "Sicherheitskurs"

Installation/Reinstallation

  • weitestgehend automatisiert
  • image-basierend - image enthält Windows, Basiskonfiguration und Basis- sowie freie Software
  • image liegt im Netz (auf einem spezifischen Server)
  • am PC/Klient wird nach "Installation gefragt" (DHCP -> PXE/LAN-Boot)
  • Wenn Installation am Server für diesen PC konfiguriert/aktiviert, dann wird image als Laufwerk c: auf Platte geschrieben
  • Dauer: image-Laden ca. 30 Minuten, Konfiguration mittels cfengine, Nachinstallation Software (siehe auto_wpm_first) ab 30 Minuten zusätzlich (bis ... )

Monitoring

Überwachung, logfiles, eventlog
  • BB (siehe Dienst "Big Brother ...")
  • ...\ToSCA\LOGS * eventlog_System.log
    • eventlog_Application.log
    • eventlog_Security.log
    • eventlog_*.log.1.gz (rotating)
    • cron_daily.sh.log
    • auto_wpm.sh.log
    • ...

Zuständigkeit des SelfAdmin

  • erhält administrator-Rechte (zusätzlicher lokaler account "root")
  • erhält Schreib- bzw. Leserechte in
    • ...\ToSCA\ROOTS\ plattform \ _hostname_\
    • ...\ToSCA\LOGS\ plattform \ _hostname_\
    • für plattform : WVI_6.0_X86 oder WXP_5.1_X86 oder ...
  • somit Verantwortung für Veränderungen auf dem PC !!!
  • zuständig für
    • Installation von zusätzlicher Software
    • Installation von Druckern
    • Integration von Hardware
    • Fehlersituationen - Ursachensuche, Behebung
    • Wiederherstellung der Installation - Entscheidung
    • Kommunikationspartner für PC-Nutzer
  • Kommunikation zum PC mit Dienstleister (URZ) nur über SelfAdmin

Praxis der Selfadmin-Dienste - WXPSelfADM, WVISelfADM, VPSH (Windows Server 2008)

Integration eines PC in den Dienst

  • lokales Kennzeichen root = Mitglied administrator-Gruppe
  • WXP-Spezifik:
    • generisches Passwort -> Mail
  • Vista-Spezifik:
    • Elevating (bei Bedarf) (Anforderung der Rechte-Erhöhung)
    • generisches Passwort -> Mail
    • Anmeldung: hostname \root (z.B. pcname\root )
      (sonst in Domäne TU-CHEMNITZ.DE)
    • Passwortänderung empfohlen
      1. Anmelden
      2. Kommandofenster öffnen
        in Start-Zeile eingeben: cmd
        oder Tastenkombination MS+r
      3. im Kommandofenster eingeben: compmgmt.msc
      4. "Fortsetzen" (elevating, s.o.)
      5. Lokale Benutzer und Gruppen
      6. Benutzer
      7. mit rechter Maustaste auf root "Kennwort festlegen"
      8. ... mind. 8 Zeichen, incl. Sonderzeichen ...
      • Ursache für diesen Ablauf: lokales Kennzeichen root, aber PC in Domäne - Domänen-Festlegungen
  • Profil: login_admin.cmd bzw. ad_login_admin.cmd (nichts ändern, dort root integriert)
    steht in c:\Windows\system32\repl\import\scripts\

Installation von Software

  • automatisch mit Dienst auto_wpm
    • konfiguriert in c:\Windows\local\etc\wpm_accept.conf - nicht ändern!
      (wpm_accept.conf ist Obermenge von wpm_accept.local.conf, wpm_accept.spec.conf und wpm_accept.global.conf)
    • automatisch gestartet mit cron.daily (s.u. Wartungsmechanismen)
    • Voraussetzung: Installationspaket existiert
    • Protokollierung in c:\Windows\local\var\log\
    • c:\Windows\local\var\wpm\ enthält Flag zur aktuellen Softwareversion
    • integriert ist die Startmenü-Aktualisierung
  • Interaktive Installation (durch Selfadmin)
    • keine mit auto_wpm installierte Software modifizieren/installieren!
    • Ziel: nach c:\Programme (sinnvoll)
    • Achtung: spezielles Startmenü-Verzeichnis verwenden, sonst mittels aut. Startmenü-Konfiguration überschrieben
      • eigene Software in Bezug auf Startmenü unbedingt im Verzeichnis Eigene_Software lokalisieren (auch kopieren der Einträge möglich)
      • c:\Dokumente und Einstellungen\All Users\Startmenu\Programme\Eigene_Software\
        Achtung: Startmenu\ - ...u
      • falls kein Zugriff in Vista, dann c:\ProgramData\Startmenu\...

Lokale accounts

  • keine eigenen lokalen Kennzeichen einrichten!
    • keine Integration in lokale Technologie/Installation
    • kein Profil
    • keine AFS-Laufwerke
  • lokales Kennzeichen work
    • für lokale Erfordernisse
      Alternative: Gast-Logins: http://archiv.tu-chemnitz.de/pub/2005/0093/data/gast/
    • vorinstalliert, integriert
    • Profil: login_admin.cmd (nichts ändern, dort work integriert)
    • Status "deaktiviert"
    • keine Sonderrechte, kein AFS-Token (Authentifizierung)
    • Verwaltung durch SelfAdmin (Aktivierung, Deaktivierung, Passwort setzen)

Hardware - Integration/Aktualisierung

  • neu hinzugefügte Hardware muss mittels Treiber in das System integriert werden
  • nicht korrekt bzw. unvollständig installierte Hardware muss mit aktuellem Treiber konfiguriert werden
  • mittels Gerätemanager: Start -> Systemsteuerung -> Verwaltung -> Computerverwaltung
    dort Gerätemanager
  • nicht oder nicht korrekt installierte Geräte sind mit ? gekennzeichnet
  • neuen Treiber installieren: Gerät markieren und Aktion: Treiber aktualisieren
    • nein, diesmal nicht" -> =weiter Quelle auswählen, sollte ein Datenträger (CD) sein
    • alternativ: "... Verbindung mit Windows Update ..." Ja, nur dieses eine Mal (Empfehlung!)
    • ...

Drucker, Standarddrucker

  • automatische Installation von Druckern
    • Voraussetzung: Druckerinstallationspaket
    • konfiguriert in
      • c:\Windows\local\etc\printcap für lpp-Technologie
      • c:\Windows\local\etc\druckerliste für ipp-/CUPS-Technologie

  • Standarddrucker
    • erster Drucker in printcap bzw. druckerliste
    • definiert in c:\Windows\local\etc\printcap_default - Änderung nur im repository (s.u.)
  • eigene Drucker möglich - empfohlen
    Achtung: Standarddrucker explizit festlegen in printcap_default
  • keine Nutzung von öffentlichen Druckern möglich
    Alternative: über SAMBA (Laufwerk verbinden), siehe http://www.tu-chemnitz.de/urz/netz/pc/win_95.html

Protokolle, logging-Daten, Monitoring

  • im repository (AFS) u:\tu-chemnitz.de\ToSCA\LOGS\ plattform \ hostname
    • plattform = WXP_5.1_X86 oder WVI_6.0_X86 oder ...
  • von Wartungs-Skripten
    • auto_wpm.sh.log - Softwareinstallation
      wpm_qa_sort.LOG - wpm-Softwareliste
    • print_install.sh.log bzw. print_ipp_install.sh.log - Druckerinstallation
    • cleanup_startmenue.sh.log - Startmenükonfiguration
    • registry_import.sh.log - regsitry-Modifikation
    • cron_hourly.sh.log - stündlich initiierte Wartungs-Skripte (s. crontab)
    • cron_daily.sh.log - täglich initiierte Wartungs-Skripte
    • post_install_root.sh.log - Integration in den Dienst
    • eventlog_Application.log
    • eventlog_Security.log
    • eventlog_System.log
    • ...
    • (Suffixe 1.gz, 2.gz, ... - rotating, am Monatsanfang)
  • Monitoring/Überwachung

Wartungsmechanismen - Starten, Startzeiten, Skripte

  • cron
    • "Der cron-Daemon ist eine Jobsteuerung von ... Unix-artigen Betriebssystemen ..., die wiederkehrende Aufgaben (cronjobs) zu einer bestimmten Zeit ausführen kann." (wikipedia)
    • c:\Programme\cygwin\etc\crontab
    • Beispiel 
# run-parts 
53 7,18 * * * SYSTEM run-parts /etc/cron.cfengine 
53 * * * * SYSTEM run-parts /etc/cron.hourly 
53 2 * * * SYSTEM run-parts /etc/cron.daily 
53 6 * * 0 SYSTEM run-parts /etc/cron.weekly 
53 5 1 * * SYSTEM run-parts /etc/cron.monthly
    • Syntax: minuten stunde tag monat wochentag ... ... aufgabenverzeichnis
      (wochentag = 0 -> Sonntag; = 6 -> Samstag)
    • 53 2 * * * SYSTEM run-parts /etc/cron.daily
      bedeutet: 2:53 Uhr alle im Verzeichnis c:\Programme\cygwin\etc\cron.daily\ enthaltenen Dateien (= Aufgaben) ausführen
    • Inhalt von c:\Programme\cygwin\etc\cron.daily\ 
auto_wpm 
cfengine.daily 
tmpwatch
    • Inhalt von cfengine.daily: 
cmd /c bash -c "... //afs/tu-chemnitz.de/ToSCA/SCRIPTS/ALL_SCRIPTS/cron_daily.sh"
    • keine lokalen Änderungen, sondern im repository (s.u.)
    • c:\Programme\cygwin\etc\cron.d\ enthält direkt auszuführende Aufgaben
    • Beispiel: c:\Programme\cygwin\etc\cron.d\reboot 
15 6 12 1 4 System shutdown -r -f -d p:04:01
  • Dienste
    • Aktivierung:
      services.msc
      oder Start -> Systemsteuerung -> Verwaltung -> Dienste
      oder sc start ... bzw. sc stop ...
    • Dienstnamen:
      auto_wpm
      cfengine
      ...
  • Skripte
    • lokalisiert und gestartet in nicht zugreifbaren Bereichen
    • Desktopbereinigung -> cleanup_desktop.sh -> cleanup_desktop.sh.log
      für Arbeitsplatz-PCs i.allg. nicht aktiviert
    • Startmenü-Konfiguration -> cleanup_startmenue.sh -> cleanup_startmenue.sh.log
    • Alternative: Skript nach c:\Programme\cygwin\etc\cron.d\
    • Beispiel tmpwatchspec
  • registry
    • c:\Windows\local\registry\
    • Dateien im reg-Format, die von registry_import.sh aktiviert werden
    • Beispiel ie7_sec.reg 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap] 
"AutoDetect"=dword:00000000 
"IntranetName"=dword:00000001 
"ProxyByPass"=dword:00000001 
"UNCAsIntranet"=dword:00000001 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\afs] 
"file"=dword:00000001 

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap] 
"AutoDetect"=dword:00000000 
"IntranetName"=dword:00000001 
"ProxyByPass"=dword:00000001 
"UNCAsIntranet"=dword:00000001 

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\afs] 
"file"=dword:00000001
    • regedit -> Lokalisierung registry-Eintrag -> export im NT-Format (les-/bearbeitbar)

Protokollierung eigener Aktivitäten

  • u:\tu-chemnitz.de\ToSCA\ROOTS\WXP_5.1_X86\ hostname \windows\local\etc\README.selfadm
    u:\tu-chemnitz.de\ToSCA\ROOTS\WVI_5.1_X86\ hostname \windows\local\etc\README.selfadm
    ...
  • verbaler Inhalt, für Wiederholungen, etc.

Installation

  • image-Technologie, image liegt im Netz
  • LAN-/PXE-Boot
    • im BIOS eingestellt (vor dem Platten-Boot)
    • im DHCP konfiguriert
  • Abfrage des Installationsservers (dort image lokalisiert), ob Installation aktiviert
    Aktivierung künftig durch Selfadmin in BB (zzt. nur single-Boot-Systeme)
    • nein -> normales Booten von Platte (entsprechend Reihenfolge im BIOS)
    • ja -> Live-System (Linux) laden -> Plattenkonfiguration -> image schreiben -> reboot (mehrmals) -> ... -> Nachinstallation Software (auto_wpm_first)
  • Achtung: normale Anmeldung (mit AFS) erst nach Ende der Nachinstallation
    entsprechende Nachricht/Fenster beachten

ToSCA - Datenbasis für Dienst - Rechte

  • Basisinformationen
    • je host/PC: IP-Name (= hostname), Raum, Hauptnutzer, Struktureinheit -> Funktionsklasse
    • zusätzlich den/die Selfadmin/s
    • Hauptnutzer für Kommunikation - in wxpadm-Mailingliste integriert
    • Selfadmin - in wxpselfadmin-Mailingliste integriert, Rechte-Vergabe
    • Aktualität notwendig
  • Funktionsklassen
    • Hierarchie
      • hostname
      • Funktionsklasse, FU_... - entsprechend Struktur, Zusammenfassung von hostname's
      • compound-Funktionsklassen, CFU_... - Zusammenfassung von Funktionsklassen

  • repository-Struktur
    • u:\tu-chemnitz.de\ToSCA\
    • z.Bsp. in u:\tu-chemnitz.de\ToSCA\ROOTS\WXP_5.1_X86\ : 
 |-- CFU_ALL_WS
 |-- CFU_DESKTOP
 |-- CFU_POOL
 |-- CFU_POOL_PHIL
 |-- CFU_POOL_STD
 |-- FU_CH_OCH_WS
 |-- FU_ET_LE_WS
 |-- FU_IF_TI_WS
 |-- FU_MB_AMKT_WS
 |-- FU_MB_SM_WS
 |-- FU_PHIL_AAAL_WS
 |-- ...
 |-- ROOT4ANY
 |-- aachen
 |-- agogo
 |-- alberich
 |-- alfred1
 |-- alma
 |-- alphorn
 |-- america
 |-- ...
    • z.Bsp. in u:\tu-chemnitz.de\ToSCA\ROOTS\WXP_5.1_X86\FU_...\ : 
CFU_DESKTOP/
|-- Programme
|   |-- Ansys Inc
|   `-- Windows NT
|       `-- zubeh
|           `-- wordpad.exe
`-- windows
    |-- local
    |   |-- etc
    |   |   `-- wpm_accept.global.conf
    |   `-- registry
    |       |-- AFSShutdown.reg
...
    • z.Bsp. in u:\tu-chemnitz.de\ToSCA\ROOTS\WXP_5.1_X86\ hostname \
      : 
_hostname_
|-- Programme
|   `-- cygwin
|       `-- etc
|           |-- crontab
`-- windows
    `-- local
        |-- etc
        |   |-- README.selfadm
        |   |-- ToSCA_PARTITIONS
        |   |-- applnk
        |   |-- druckerliste
        |   |-- printcap
        |   `-- wpm_accept.local.conf
        `-- registry
  • Rechte
    • je Verzeichnishierarchie spezifische AFS-Rechte
    • fs listacl u:\tu-chemnitz.de\ToSCA\ROOTS\WXP_5.1_X86\ hostname \
      to:wxp_5.1_x86_ hostname rlidwk
      • Selfadmin ist Mitglied dieser AFS-Gruppe -> Lese- und Schreibrechte
      • hier Modifikationen möglich
    • fs listacl u:\tu-chemnitz.de\ToSCA\LOGS\WXP_5.1_X86\ hostname \
      to:wxp_5.1_x86_ hostname rlk
      • -> Leserechte
      • hier Lesen möglich
    • Rechte analog für Plattform WVI: ...\WVI_6.0_X86\... bzw. to:wvi_6.0_x86_...

Beschreibungen, etc.

TUCaktuell

  • Logo

    #wirsinddivers

    TU Chemnitz lädt am 20. Mai 2025 alle Interessierten aus der Universität und der Stadt Chemnitz zum 3. Diversity Day ein …

  • Mehrere junge Menschen stehen um einen Tisch herum, auf dem Miniroboter fahren.

    RoboDay 2025: Robotik-Talente zeigen ihr Können

    Am 17. Mai 2025 wird der regionale Vorausscheid zur „World Robot Olympiad“ und der Wettbewerb „RoboSAX“ vereint mit einem Begleitprogramm für Kinder und Jugendliche, die spielerisch den Umgang mit Robotertechnologie, KI und autonomem Fahren erleben und die TU Chemnitz kennenlernen können …

  • Ein Mann mit Helm steht vor einem Förderturm im Sonnenuntergang.

    „Rummelplatz“ – eine ganz besondere Zeitreise

    TU Chemnitz ist Kooperationspartnerin der Konferenz zur Uraufführung der Oper „Rummelplatz“ ­– Für den Science Slam „Von Atommacht bis Zonen-Pop“ können bis zum 6. Juni 2025 Kurzbewerbungen eingereicht werden …

  • Ein Mann und eine Frau stehen neben einer technischen Anlage.

    Vom Reststoff zur Ressource

    Projekt „Reformed Wool“ bringt textile Abfälle zurück in den Kreislauf – EXIST-Förderung für Gründungsteam an der TU Chemnitz …