Cviceni 1

1 INSTALACE A KONFIGURACE WINDOWS SERVER 2016
Zadání úkolů v tomto cvičení je:
Vytvořte ve VirtualBox virtuální server OS1AVM01 s alokovanými 2 GB operační paměti a s diskem 20 GB, který má dynamicky alokovanou velikost.
2. U vytvořeného VM vytvořte vnitřní síť (Internal Network) s názvem OS1ANET bez připojení do Internetu a připojte instalační ISO soubor s Windows Server 2016.
3. Vytvořený VM spusťte a nainstalujte operační systém s grafickým rozhraním (jako heslo účtu Administrator zvolte FimUHK2017).
4. Po nainstalování se přihlaste do OS a prozkoumejte grafické rozhraní Windows Server a především konzoli Server Manager.
5. Změňte název počítače na OS1AVM01 (zatím nerestartujte).
6. Zakažte vzdálený management pomocí PowerShell a povolte Remote Desktop Protocol.
7. Nastavte statickou IP adresu na 10.0.0.1 a maskou 255.255.255.0. Zakažte IPv6.
8. Prozkoumejte možnosti vytvoření týmu síťových karet.
9. VOLITELNĚ: Přidejte druhý síťový adaptér a vytvořte tým síťových karet, který se bude v síti tvářit jako adaptér s IP 10.0.0.1.
10. Nastavte korektní čas a časovou zónu.
11. Vytvořte lokální účet AppAdmin s heslem FimUHK2017. Uživatel AppAdmin nebude mít administrátorské oprávnění, ale bude mít možnost se přihlásit k počítači pomocí RDP.
12. Systém restartujte a po naběhnutí systému zjistěte v systémovém logu, kdy byl počítač restartovaný a jakým uživatelem.

ŘEŠENÍ
Vytvoření virtuálního serveru:
 Spuštění VirtualBoxu
 Otevření procesu tvorby VM přes Nový v nástrojové liště
 Název: OS1AVM01, Typ: Microsoft Windows, Verze: Other Windows (64-bit)
 Velikost paměti nastavit na 2048MB
 Pevný disk – Zvolit „Vytvořit nyní virtuální pevný disk“
 Typ souboru s pevným diskem: VDI
 Úložiště na fyzickém disku: Dynamicky alokované
 Velikost nastavit na 20GB a změnit umístění disku VDI do složky C:\Temp\!!!
Nastavení vnitřní sítě:
 Virtuální PC ještě nespouštíme
 V nástrojové liště: Nastavení
 Záložka Síť
 Kontrola, že Karta 2,3 a 4 není povolena
 U Karty 1 změnit Připojena k: na Vnitřní síť
 Změnit název sítě na OS1ANET
Instalace Windows Server:
 Spuštění virtuálního PC
 Výběr bootovacího disku: Zvolte iso ze složky C:\VirtualBox
 Po naběhnutí instalátoru ponechte jazyk na English
 Time and currenty format: Czech
 Keyboard or input method: Dle libosti 
 Install now
 Zvolte možnost instalace: Windows Server 2016 Standart Evaluation (Desktop Experience)!!!
 I accept the license terms
 Custom: Install Windows only (advanced)
 Vytvořte diskové oddíly
 Nastavte heslo na FimUHK2017
Přihlášení a UI:
Protože kombinace kláves Ctrl+Alt+Delete je zachycena hostovaným systémem, je třeba pro přihlášení do virtuálního PC použít zkatku pravý Ctrl+Delete. Prozkoumejte možnosti, jaké Server Manager nabízí.
Změna názvu počítače:
 V Server Manageru se přepněte do záložky: Local Server
 V dialogu zvolte Change
 Computer name: OS1AVM01
 Potvrďte změny a zvolte Restart Later
PowerShell a RDP:
 Otevřete Start a zadejte: „powershell“
 Pravým tlačítkem jej spusťte jako správce
 Zadejte příkaz: Configure-SMRemoting.exe -disable
 Zadejte příkaz:
New-ItemProperty -Path ‘HKLM:\System\CurrentControlSet\Control\Terminal Server’-name “fDenyTSConnections” -Value 0 -PropertyType dword
 Zadejte příkaz: Enable-NetFirewallRule -DisplayGroup “Remote Desktop”
Přidělení statické IP:
 Server Manager – Záložka Local Server
 Zvolit Ethernet
 Pravým tlačítkem zvolit Properties u síťového adaptéru
 Properties u Internet Protocol Version 4 (TCP/IPv4)
 IP Address – 10.0.0.1, Subnet mask: 255.0.0.0. Potvrdit.
 Zakázat Internet Protocol Version 6 (TCP/IPv4)
 Zavřít dialog
Nastavení času:
 Pravým tlačítkem na ukazatel času ve stavové liště
 Zvolit Adjust date/time
 Zkontrolujte nastavení časové zóny
 Pokud je systémový čas špatně – Set time automatically off, Change
Lokální účet:
Vytvořte lokální účet AppAdmin s heslem FimUHK2017. Uživatel AppAdmin nebude mít administrátorské oprávnění, ale bude mít možnost se přihlásit k počítači pomocí RDP
 Pravé tlačítko na Start a otevřít Computer Management
 Záložka Local Users and Groups >> Users
 Pravým tlačítkem New User
 Odznačit User must change password at next logon

Cviceni 2

2 SPRÁVA WINDOWS (WINDOWS SERVER 2016 A WINDOWS 10)
Zadání úkolů v tomto cvičení je:
1. Zkontrolujte Server Manager a Dashboard a prozkoumejte všechny chybové hlášky, na které jste upozorňováni.
2. Prozkoumejte správce zařízení a všechny ovladače, jestli jsou nainstalované.
3. VOLITELNÉ: Pro ovladač zařízení Microsoft XPS Document Writer doinstaluje jiný ovladač (ovladač vyberete manuálně, například Generic software device). Po nainstalování proveďte rollback na předchozí verzi ovladače.
4. Zjistěte aktuálně běžící procesy všech uživatelů.
5. Zjistěte, jaké programy jsou spouštěny při spuštění OS a další možnosti programu msconfig.exe.
6. Prozkoumejte předdefinované uživatelské skupiny a účty, dále prozkoumejte, jaké možnosti jsou nabízeny pro správu účtů a co s účty lze dělat.
7. Zjistěte, jaké nástroje a možnosti nabízí Windows Server, resp. Windows klient, pro zálohování operačního systému a souborů.
8. Prozkoumejte, jaké jsou možnosti pro Windows Update. Jak je možné updatovat OS bez připojení k Internetu v lokální síti?
9. Prozkoumejte prostředí PowerShell a nástroj PoweShell ISE.
10. Pomocí PowerShellu zjistěte, všechny běžící procesy v systému.

ŘEŠENÍ
Ovladače zařízení
 Pravé tlačítko Start >> Device Manager
 Zkontroluji zařízení s ikonou otazníku nebo vykřičníku, případně sekci Other devices
Procesy uživatelů
 Ctrl+Alt+Del >> Task Manager
 Pokud je výstup nekompletní >> Show More detail
 Záložka Users, případně Processes
Msconfig
 Start >> Začnu psát „mscon…“
 Spustím aplikaci System Configuration
 Záložka Services a Startup
Uživatelské skupiny a účty
 Start >> Computer Management
 Záložka System Tools >> Local Users and Group
Možnosti zálohování
 V Server Manageru vyberu v horní liště Tools
 Windows Server Back
Windows Update
 Start >> Settings
 Nabídka Update a Security
 Sekce Windows Update
 https://technet.microsoft.com/en-us/windows-server-docs/management/windows-server-update-services/deploy/deploy-windows-server-update-services

Cviceni 3

1 INSTALACE DNS A DHCP
Zadání úkolů v tomto cvičení je:
1. Vytvořte ve VirtualBox další virtuální server OS1AVM02 s alokovanými 1 GB operační paměti
a s diskem 20 GB, který má pevně alokovanou velikost.
2. Tento VM připojte do vnitřní sítě OS1aNET a připojte instalační ISO soubor s Windows Server
2016 a následně nainstalujte OS.
Nainstalujte na lokálním serveru OS1AVM01 role DNS a DHCP včetně potřebných nástrojů.
3. Proveďte konfiguraci DHCP serveru, tedy vytvořte bezpečnostní skupinu, vytvořte rozsah
adres pro přidělování. Rozsah adres bude mít následující parametry:
• Název: ClientScope
• Rozsah: 10.0.0.20 - 10.0.0.99
• Maska: 255.255.255.0
• Délka zápůjčky: 1 den
• Defaultní brána: IP adresa serveru OS1AVM01
4. Prozkoumejte správce DHCP serveru a přidejte jako alternativní DNS server IP adresu veřejně
dostupného serveru Google (8.8.8.8).
5. Zjistěte na serveru OS1AVM02, jestli server dostal IP adresu a proveďte rezervaci této adresy
pro tento konkrétní počítač.
6. Připojte server OS1AVM02 do správy ze serveru OS1AVM01.
Přidejte DNS záznam s názvem Intranet, který bude odkazovat na IP adresu 10.0.0.18. Ze serveru
OS1AVM02 zkontrolujte, jestli DNS server následně správně překládá tento host

ŘEŠENÍ:
1. Vytvořte ve VirtualBox další virtuální server OS1AVM02 s alokovanými 1 GB operační paměti
a s diskem 20 GB, který má pevně alokovanou velikost.
Pozn.: Protože Temp bude plný images z jiných cvičení, vytvořte si v ní složku se svým
username a vdi soubor nakopírujte dvakrát. Jednou pod názvem os1avm01.vdi a pak
os1avm02.vdi. Tak můžete mít dva virtuální PC současně.
2. Tento VM připojte do vnitřní sítě OS1aNET a připojte instalační ISO soubor s Windows Server
2016 a následně nainstalujte OS.
• Kroky 1 a 2 viz předchozí cvičení…
(Zkopírovat obrazy disků pro Virtualbox do C:\temp
Otevřete VirtualBox a Vytvořte nový virtuální počítač. Jako Typ zvolte Windows 10
64bit.
V nastavení síť zvolte Vnitřní síť, název sítě nastavte jako OS1aNET)
• Zkontrolujte, popřípadě nastavte statickou IP adresu (10.0.0.1) a masku
(255.255.255.0)
• zakažte IPv6 na virtuálním serveru OS1AVM01 (viz cv 1.)
Nainstalujte na lokálním serveru OS1AVM01 role DNS a DHCP včetně potřebných nástrojů.
3. Proveďte konfiguraci DHCP serveru, tedy vytvořte bezpečnostní skupinu, vytvořte rozsah
adres pro přidělování. Rozsah adres bude mít následující parametry:
• Název: ClientScope
• Rozsah: 10.0.0.20 - 10.0.0.99
• Maska: 255.255.255.0
• Délka zápůjčky: 1 den
• Defaultní brána: IP adresa serveru OS1AVM01
• Nejprve zkontrolujte, popřípadě znovu nastavte statickou IP adresu (10.0.0.1)
s maskou podsítě (255.255.255.0) a zakažte IPv6 na virtuálním serveru OS1AVM01
(viz cv 1.)
• Přidáme Role DHCP a DNS.
o V Server Manager zvolte Add Roles and Features a přidáme Role DNS a DHCP
včetně nezbytných funkcí.
o Volbou Install přidáme vybrané funkce.
o Vyčkáme na přidání funkcí a po jejím dokončení uzavřeme průvodce
přidáním funkcí.
o V notifikacích se objeví nová hláška o nutnosti další konfiguraci DHCP.
o Zvollte Complete DHCP Configuration a Volbou Commit dokončíme
konfiguraci a uzavřeme průvodce volbou Close.
o Pro aplikaci všech změn je nutné virtuální server restartovat.
• Konfigurace DHCP
o V Server Manageru pod volbou Tools zvolíme DHCP.
o Vybereme náš servera pravým tlačítkem na IPv4 přidáme nový rozsah (New
Scope…)
o Nastavíme název a adresní rozsahy podle zadání ClientScope
o Položku Exclusions and Delay lze prozatím přeskočit
o Configure DHCP Options ponechte vybranou položku „Yes I want to
Configure these options now“
o Jako Router (Default Gateway) zvolíme 10.0.0.255 (případně můžeme
ponechat prázdnou)
o Doman Name and DNS zvolíme název nadřazené domény např. jako
os1a.edu zároveň by se zde měl nacházet i primární DNS (10.0.0.1)
případně můžeme nastavit i sekundární DNS Server. (validace DNS serveru
neprojde z důvodu nedostupnosti serveru i tak jej ale lze přidat J)
o Další položky lze přeskočit a dokončit průvodce volbou Activate Scope.
4. Prozkoumejte správce DHCP serveru a přidejte jako alternativní DNS server IP adresu veřejně
dostupného serveru Google (8.8.8.8).
• Alternativní Google DNS již byl přidán v průběhu konfigurace DNS. Seznam DNS
můžeme kdykoliv upravit v ServerManageru pod Volbou Tools DHCP à Server
Options à Configure Options, Položka DNS Servers.
5. Zjistěte na serveru OS1AVM02, jestli server dostal IP adresu a proveďte rezervaci této adresy
pro tento konkrétní počítač.
• Spustíme příkazový řádek a příkazem ipconfig (resp. ipconfig –All) přidělení IP adresy
z rozsahu 10.0.0.20 – 99.
• Pokud ještě nedošlo k obnovení DHCP záznamů, lze jej vynutit příkazem
ipconfig /renew
• Pokud byla IP adresa přidělena, můžeme přistoupit k rezervaci IP adresy.
• Na serveru OS1aVM01 provedeme rezervaci IP adresy v Server Manageru volbou
Toolsà DHCP
i. Vybereme server, IPv4 a vyhledáme námi vytvořený rozsah ClientScope
ii. V položce přidělování IP adres (Address Leases)
iii. Vybereme klienta a pravým tlačítkem zvolíme Add to Reservation.
Přidejte DNS záznam s názvem Intranet, který bude odkazovat na IP adresu 10.0.0.18. Ze serveru
OS1AVM02 zkontrolujte, jestli DNS server následně správně překládá tento host

Cviceni 4

4 INSTALACE ACTIVE DIRECTORY DOMAIN SERVICES
Zadání úkolů v tomto cvičení je:
1. Na server OS1AVM01 doinstalujte roli Active Directory Domain Services včetně všech potřebných komponent.
2. Vytvořte doménu OS1A.local a ze serveru OS1AVM01 tak udělejte doménový řadič.
3. Zjistěte, co se stalo s lokálním účtem (nejspíše Administrator), pod kterým jste vytvářeli doménu. Pokuste se nyní vytvořit nějaký lokální účet.
4. Prozkoumejte konzoli Active Directory Users and Computers a zjistěte, jaké jsou defaultní skupiny v AD a co znamenají a k čemu slouží.
5. Přidejte počítač OS1AVM02 do domény.

ŘEŠENÍ
1. Na server OS1AVM01 doinstalujte roli Active Directory Domain Services včetně všech potřebných komponent.
 Nejprve přidáme novou roli Active Directory Domain Services. V Server Manageru.
 Po dokončení instalace je nutné server ještě nakonfigurovat. To provedeme pod ikonou natifikací volbou Promote this server to a domain controller.
Pozn. : Logická struktura Active Directory (organizace zdrojů) je tvořena pomocí lesa, stromů, domén a Organizačních jednotek (OU). Na vrcholu struktury je les – Forest. Ten může obsahovat jeden nebo více stromů – Trees. Strom je tvořen jednou či více doménami – domains. Uvnitř domén již máme jednotlivé organizační jednotky – OU (Organizational Unit). Uvnitř OU se nachází jednotlivé objekty (počítače, uživatelé, tiskárny apod.). Logické seskupování zdrojů slouží k tomu, abychom tyto objekty mohli nalézt podle názvu, místo znalosti jejich fyzického umístění.
2. Vytvořte doménu OS1A.local a ze serveru OS1AVM01 tak udělejte doménový řadič.
 V položce Deployment Configuration přidaáme nový les (add a new Forest) s názvem s názvem OS1a.local.
 V další fázi zvolíme heslo zabezpečení domény např. FimUHK2017 (Toto heslo si zapamatujte, nebo poznamenejte. Bude následně vyžadováno při správě počítačů v doméně)
 Další volby můžeme přeskočit volbou Next.
 Vyčkáme na ověření všech vstupů a zahájíme instalaci. Po dokončení instalace dojde k automatickému restartování serveru.
3. Zjistěte, co se stalo s lokálním účtem (nejspíše Administrator), pod kterým jste vytvářeli doménu. Pokuste se nyní vytvořit nějaký lokální účet.
 Už při přihlášení si můžete povšimnout, že uživatelské jméno (OS1A\Administrator) je součástí domény. To lze ověřit například ve Vlastnostech systému.
 Dále není možná správa lokálních účtů a skupin. (viz 1. Cvičení)
4. Prozkoumejte konzoli Active Directory Users and Computers a zjistěte, jaké jsou defaultní skupiny v AD a co znamenají a k čemu slouží.
 V Server manageru si pod volbou Tools otevřete položku Active Directory Users and Computers a vyhledejte nově vytvořenou doménu os1a.edu.
 Prozkoumejte zejména položku Users. Prozkoumejte rozdíly mezi uživatelem a skupinou a jejich vlastnosti.
5. Přidejte počítač OS1AVM02 do domény.
 Ve vlastnostech systému vyhledejte položku Change settings. Na Kartě Computer name zvolte Change a Member of Domain. Jako název domény zadejte os1a.edu. Pro dokončení se přihlaste pod účtem správce:
Už. Jméno: Administrator
Heslo: FimUHK2017

Cviceni 5

5 KONFIGURACE A PRÁCE V ACTIVE DIRECTORY DOMAIN SERVICES
Zadání úkolů v tomto cvičení je:
1. Vytvořte v Active Directory následující strukturu:
 OS1a.local
 OS1a Servers
 OS1a Computers
 OS1a Users
 Marketing
 Sales
 Management
 OS1a Admins
2. Přesuňte počítač OS1AVM02 do organizační jednotky OS1a Computers.
3. Vytvořte uživatele v následujících organizačních jednotkách:
 Karel Novák login: user001 Marketing
 Jan Novotný login: user002 Sales
 Michal Černý login: user003 Management
 „Vaše jméno“ login: admin OS1a Admins
4. Zakažte uživatele Karel Novák.
5. Pokuste se vícenásobně přihlásit s účtem Jan Novotný, aby se tento účet zablokoval.
6. Odemkněte účet Jan Novotný, změňte uživateli heslo, nastavte vynucenou změnu hesla při dalším přihlášení.
7. Nastavte uživateli Michal Černý, že se může přihlásit jen v určitý čas.
8. Delegujte na Vašeho uživatele právo spravovat organizační jednotku OS1a Users.
9. Vytvořte uživatele Marek Beneš, který bude členem skupiny Marketing a zároveň členem skupiny Sales. Jak byste toho docílili v malém prostředí a jek byste toho docílili v obrovském prostředí?

Řešení
1. Vytvořte v Active Directory následující strukturu:
 OS1a.local
 OS1a Servers
 OS1a Computers
 OS1a Users
 Marketing
 Sales
 Management
 OS1a Admins
V položce Tools Activee Directory Users and Computers vytvořte nové organizační jednotky dle zadání.
Poklepáním pravým tlačítkem myši na doménu os1a.local a výběrem New  Organization Unit (OU). Poté již stačí vyplnit název OU a potvrdit OK.
Nová OU se vytvoří jako podstrom domény OS1a.local
Pro vytvoření OU Marketing Sales a Management je nutné nejprve založit OU OS1a Users a v něm následně vytvářet nové OU.
2. Přesuňte počítač OS1AVM02 do organizační jednotky OS1a Computers.
V Balíčku Computers vyhledejte počítač podle názvu OS1aVMO2 a přesuňte ho do OU OS1a Computers.
3. Vytvořte uživatele v následujících organizačních jednotkách:
 Karel Novák login: user001 Marketing
 Jan Novotný login: user002 Sales
 Michal Černý login: user003 Management
 „Vaše jméno“ login: admin OS1a Admins
Nového uživatele vytvoříme buď poklepáním na ikonu , případně přes pravé tlačítko myši New  User.
Hesla si napište, nebo zapamatujte, budete jej později potřebovat . (Lze rovněž aplikovat shodné heslo např. „FimUHK207“ na všechny účty)
Pozn: Zkuste s rovněž vytvořit uživatele pomocí PowerShell Skriptu příkazy
new-ADUser
-Name “Elizabeth Andersen”
-SamAccountName “eander”
-GivenName “Elizabeth”
-SurName “Andersen”
–path ‘OU=Research,DC=adatum,dc=local’
-Enabled $true
-AccountPassword “Pa$$w0rd”
-ChangePasswordAtLogon $true
4. Zakažte uživatele Karel Novák.
Vybereme Uživatele Karel Novák a přes pravé tlačítko myši Deaktivujeme vybraného uživatele. Stejnou volbu lze rovněž provést i ve vlastnostech uživatele na Kartě Accounts v panelu Account options.
5. Pokuste se vícenásobně přihlásit s účtem Jan Novotný, aby se tento účet zablokoval.
6. Odemkněte účet Jan Novotný, změňte uživateli heslo, nastavte vynucenou změnu hesla při dalším přihlášení.
Ve vlastnostech uživatele Vyhledejte na Kratě Accounts položku Account is disabled. Odškrtnutím opět aktivujete zadaný účet.
7. Nastavte uživateli Michal Černý, že se může přihlásit jen v určitý čas.
Na stejné kartě pod položkou Logon Hours označte zvolené časové úseky a volbou Logon Permitted, resp. Logon Denied povolíme, nebo zakážeme uživateli přihlášení ve vybraný čas.
8. Delegujte na Vašeho uživatele právo spravovat organizační jednotku OS1a Users.
Ve vlastnostech dané OU přejdeme na kratu Managed by. Volbou change přejdeme k výběru uživatele, nebo skupiny.
Do pole Enter the Object name to select napíšeme admin a volbou chack names vyhledáme konkrétního uživatele.
Případně můžete vyzkoušet i volbu advanced mode.
9. Vytvořte uživatele Marek Beneš, který bude členem skupiny Marketing a zároveň členem skupiny Sales. Jak byste toho docílili v malém prostředí a jek byste toho docílili v obrovském prostředí?
Přidal bych do do obou grup a šmytec.

Cviceni 6

1) GLOBÁLNÍ A LOKÁLNÍ POLITIKY VE WINDOWS
Zadání úkolů v tomto cvičení je:
1. Otevřete správu zásad skupin a zjistěte, jaké výchozí objekty zásad skupin existují.
2. Zjistěte, jaké jsou rozdíle mezi lokálními a globálními zásadami skupin.
3. Zjistěte, jaké jsou nadřazené.
4. Pro skupinu Marketing definujte pravidlo, které zakáže uživatelům této skupiny přístup k
ovládacím panelům.
5. Vyzkoušejte se přihlásit pod účtem ze skupiny Marketing a zjistěte, jestli toto pravidlo reálně
funguje, pokud ne, tak zjistěte, proč a opravte to.
6. Zjistěte, kdy se která pravidla aplikují a jak lze aplikaci globálních pravidel vynutit.
7. V objektu group policy Marketing nadefinujte tyto pravidla pro uživatele:
• Nastavte obrázek plochy na vámi preferovaný (např. Jellyfish)
• Zakažte upravování obrázku plochy
• Odeberte možnost zobrazení síťových připojení v nabídce Start
• Odeberte správce úloh
8. V objektu group policy Marketing definujte tyto nastavení pro počítače:
• Nastavte automatické spuštění programu notepad po přihlášení k počítači
• Nastavte systémový čas počítače, aby využíval NTP server tik.cesnet.cz
9. Zjistěte, kdy se která pravidla aplikují a jak lze aplikaci globálních pravidel vynutit a nastavte
vynucení pravidla Povolit ovládací panely
10. Zablokujte dědičnost na OU Marketing.

Řešení:
• Otevřete správu zásad skupin a zjistěte, jaké výchozí objekty zásad skupin existují.
• Zkontrolujte si, zda máte přidanou/resp. přidejte roli Group Policy Management.
• Otevřete si Local Security Policy v nabídce Tools. A prozkoumejte položky Account
Policies a Local Policies.
Zjistěte politiky pro zadávání hesla, jaké jsou požadavky na minimální délku hesla,
dobu platnosti hesel apod.
• Zkuste vypnout zadávání kombinace CTRL + ALT + Del před přihlášenímuživatele do
systému. Aktivováním položky Interactive Logon: Do not require CTRL + ALT + Del
v Local Policies à Security Options.
Pozn.: Některé položky mohou být nedostupné (nelze je změnit) z důvodu použití
Administrátorského účtu.
• Zjistěte, jaké jsou rozdíle mezi lokálními a globálními zásadami skupin.
Každý počítač již od Windows 2000 má lokální politiky (Local Group Policy), které ovlivňují
lokální počítač a přihlášené uživatele na něj. Pokud není počítač připojen do domény, tak
právě tyto lokální politiky jsou použity jako jediné. Pokud například vytvořím uživatele na
počítači a nastavím mu nějaké omezené oprávnění, chování právě tohoto uživatele vymezuje
lokální politika. Tyto lokální politiky jsou uloženy ve skrytém adresáři
%systemroot%\system32\GroupPolicy.
Zdroj: STANEK, William R. Group Policy: zásady skupiny ve Windows: kapesní rádce
administrátora. Vyd. 1. Brno: Computer Press, 2010, 351 s. ISBN 978-80-251-2920-3.
• Zjistěte, jaké jsou nadřazené.
• Nejprve jsou aplikovány lokální politiky., Přes ně nejsou následně aplikovány další
politiky a to v následujícím pořadí:
1. Místní objekty LGPO (Local Group Policy Object)
2. Objekty GPO pro lokalitu
3. Objekty GPO pro doménu
4. Objekty GPO pro organizační jednotku
5. Opbjkty GPO pro podřízenou organizační jednotku
• Pro skupinu Marketing definujte pravidlo, které zakáže uživatelům této skupiny přístup k
ovládacím panelům.
• Otevřete si Group Policy Management, a v doméně os1a.edu (os1a.local) vyhledejte
Organizační jednotku Management.
• V ní následně vytvořte novou GPO přes pravé tlačítko myši à Create a GPO in this
domain, and link it here… Název zadejte dle libosti (např. Management GPO).
• Povolte položku Prohibit access to Control Panel and PC settings v User
Configuration.
User Configuration à Administrative Templates à Control Panel à Prohibit access
to Control Panel and PC settings.
• Vyzkoušejte se přihlásit pod účtem ze skupiny Marketing a zjistěte, jestli toto pravidlo reálně
funguje, pokud ne, tak zjistěte, proč a opravte to.
• Přihlaste s jako user001, který je členem skupiny Marketing (viz předchozí cvičení).
• Zkontrolujte a vynuťte použití pravidla volbou Enforced.
• Zjistěte, kdy se která pravidla aplikují a jak lze aplikaci globálních pravidel vynutit.
• V objektu group policy Marketing nadefinujte tyto pravidla pro uživatele:
• Nastavte obrázek plochy na vámi preferovaný (např. Jellyfish):
Volbou User Configuration à Administrative Temaplates à Desktop à Desktop à
Desktop Walpaper.
(Adresář s obrázky se nachází v C:\Windows\Web\Wallpaper)
• Odeberte možnost zobrazení síťových připojení v nabídce Start
Network à Prohibit TCP/IP advanced configuration
• Odeberte správce úloh
System Ctrl + Alt + Del Options à Remove Task Manager
• V objektu group policy Marketing definujte tyto nastavení pro počítače:
• Nastavte automatické spuštění programu notepad po přihlášení k počítači
Vyhledejte položku Run these programs at user logon v
Computer Configuration à Policies à Administrative Templates à System à
Logon a přidejte do seznamu spouštěných programů notepad.exe.
• Nastavte systémový čas počítače, aby využíval NTP server tik.cesnet.cz
Vyhledejte Configure Windows NTP Client a nastavte zadané NTP.
Systemà Windows Time Service à Time Providers
• Zjistěte, kdy se která pravidla aplikují a jak lze aplikaci globálních pravidel vynutit. A nastavte
vynucení pravidla Povolit ovládací panely
Vynucení pravidla provedete zaškrtnutím Enforced u daného GPO.
• Zablokujte dědičnost na OU Marketing.
Označte OU Marketing a volbou Block Inheritance zablokujete dědičnost této OU.

Cviceni 7

7) WINDOWS SERVER 2016 JAKO SOUBOROVÝ SERVER
Zadání úkolů v tomto cvičení je:
1. Vytvořte složku C:/shared a tuto složku nasdílejte.
2. Nastavte práva tak, aby měl uživatel user001 právo editovat soubory, uživatel 002 právo číst
soubory a uživatel user003 neměl do složky přístup.
3. Vytvořte složku C:/shared/admins, do které budou mít oprávnění pouze uživatelé
Administrators v AD (pozor, nikoliv lokální Administrators).
4. Zakažte dědění oprávnění pro tuto složku.
5. Zjistěte, jaký je rozdíl mezi právy ke sdílení a NTFS právy.
6. Zjistěte efektivní práva na složce shared a porovnejte se zadáním oprávnění na začátku cvičení.
7. Vytvořte složku C:/hidden_share, která bude nasdílená ale nebude vidět mezi ostatními
nasdílenými složkami na serveru.
8. Vytvořte složku C:/shared_limited do které budou mít oprávnění zapisovat všichni uživatelé ale
maximálně 100 MB na uživatele, tedy omezte uživatele diskovou kvótou.
9. Otestujte vložení velkého souboru do složky v předcházejícím úkolu.

Řešení
1. Vytvořte složku C:/shared a tuto složku nasdílejte.
Na OS1a_VM01 vytvořte v kořenovém adresáři C:/ novou složku Shared a nasdílejte ji ve
vlastnostech složky.
• Ve vlastnostech složky přejděte na kartu Share (sdílení) a kliknutím na share otevřete
nové okno Sdílení.
• Přidejte další uživatele (viz následující bod) a kliknutím na Share zahájíte sdílení.
2. Nastavte práva tak, aby měl uživatel user001 právo editovat soubory, uživatel 002 právo číst
soubory a uživatel user003 neměl do složky přístup.
• Po přidání uživatele můžete nastavit možnosti přístupu každého uživatele zvlášť,
případně nastavit detailní sdílení pro každého uživatele zvlášť na kartě Security ve
vlastnostech daného adresáře.
3. Vytvořte složku C:/shared/admins, do které budou mít oprávnění pouze uživatelé
Administrators v AD (pozor, nikoliv lokální Administrators).
• Viz bod 1
4. Zakažte dědění oprávnění pro tuto složku.
• Ve vlastnostech Složky přejděte na kartu Security a volbou Advanced otevřete okno
Rozšířeného nastavení zabezpečení pro sdílení.
• Ve výhozím nastavení je děděním oprávnění vypnuté. Přesvědčit se o pom můžete tak,
že ve spodní části okne je volaba „Enable Inhheritance“ (Povolit dědění).
(Můžete si vyzkoušet aktivovat dědění oprávnění. V takovém přibydou do seznamu
oprávnění i uživatelé, kteří mají přístup k nadřazeným složkám.
Dědění opět zakážeme volbou „Disable Inheritance“. Systém se následně zeptá, co se
má stát se zděděnými položkami. My provedeme jejich odstranění volbou „Remove all
inherited permissions from this object“
5. Zjistěte, jaký je rozdíl mezi právy ke sdílení a NTFS právy.
6. Vytvořte složku C:/hidden_share, která bude nasdílená ale nebude vidět mezi ostatními
nasdílenými složkami na serveru.
Pozn. : Jako alternativa ke Správě sdílení nabízí sdílení souborů pod windows Windows rovněž
tzv. skryté sdílení. Jedná se o možnost, kdy není sdílený adresář viditelný v seznamu sdílených
položek (a to ani vlastníkovy této položce) ale zároveň je volně přístupný pokud známe jeho
jméno. Hidden Share můžeme vytvořit pridáním znaku „$“ na konec názvu položky. Pro přístup
k takové položce stačí do pole adresa napsat \\computerName\hiddenShareName$, kde
computerName značí identifikátor stanice v síti (nejčastěji IP adresu, nebo název stanice) a
hiddenShareName název skryté sdílené složky včetně znaku „$“.
I když poskytují Hidden Share falešný pocit bezpečí, jsou poměrně známou metodou a mohou
být odhaleny celou řadou nejrůznějších utilit dostupných na internetu. Žádném případě se
nedoporučuje jejich použití jako ochrana citlivých údajů. Za tímto účelem jsou ve Windows
dostupné Password Protected Shareing, tedy sdílení chráněné heslem.
• Vytvoříme tedy novou složku s názvem hidden_share a nasdílíme ji stejným způsobem
jako v prvním bodě.
• Ve vlastnostech složky přejdeme na kartu Sharing a vybereme volbu Advanced Sharing.
• Nyní potřebujeme změnit název hidden_share na hidden_share$ proto nejprve přidáme
nový název sdílené složky volbou Add a pojmenujeme jej jako hidden_share$, následně
odstraníme původní hidden_share volbou Remove.
• Potvrdíme a zkontrolujeme přístup k položce.
7. Vytvořte složku C:/shared_limited do které budou mít oprávnění zapisovat všichni uživatelé ale
maximálně 100 MB na uživatele, tedy omezte uživatele diskovou kvótou.
Pozn.: Diskové kvóty nejsou jen jednoduchým omezením diskového prostoru. Po správné konfiguraci jsou
uživatelé omezování ve svém užívání hned několika způsoby
Hard limit – Pevná mez. Uživateli se nikdy nepodaří na disk uložit více, než je uvedeno v parametru.
Soft limit - "Nezávazná mez" - uživatel může uložit na disk i více, ale při překročení této meze dostane od
systému varování.
Inodes, Blocks – Kvóty lze nastavit jak na celkový objem dat na disku, tak na počet souborů.
Grace period – Uživatel může dočasně uložit na disk více, než je uvedeno v parametru "soft limit" na
dobu zadanou parametrem "grace period". Po uplynutí této doby se uživateli nepodaří na disk uložit více,
i když ještě nepřekročil mez zadanou parametrem "hard limit".
Limity lze pochopitelně nastavovat pro každého uživatele nebo skupinu uživatelů zvlášť. Omezit lze jak
celkovou velikost souborů, tak i jejich počet.
• Pro přidání diskových kvót je nezbytné přidat novou Roli File Server Resource Manager.
• Po dokončení instalace přejdeme v Server manager v levé nabídce na volbu File and
Storage Services.
• Přejdeme na volbu Shares a vybereme sdílenou složku shared_limited.
• Novou kvôtu vytvoříme kliknutím pravým tlačítkem na tuto sdílenou složku pod volbou
Configure Quota.
8. Otestujte vložení velkého souboru do složky v předcházejícím úkolu.
• Pro ověření stačí zkopírovat do složky shared_limited libovolný soubor, nebo složku větší
než 100 MB (např. C\Windows\Fonts).

Cviceni 8

8) WINDOWS SERVER 2016 JAKO WEBOVÝ A TISKOVÝ SERVER
Zadání úkolů v tomto cvičení je:
1. Na server OS1AVM01 doinstalujte roli webového a tiskového serveru.
2. Po nainstalování zkontrolujte, jestli je webový server funkční.
3. Vytvořte jednoduchou HTML stránku a nějakým textem.
4. Zajistěte, aby tato webové stránka se zobrazila po zadání adresy „http://intranet.local“ do
webového prohlížeče.
5. Vytvořte tiskový server, který bude zahrnovat tiskárnu „Office Printer“.
6. Zakažte, aby na tiskárně mohl tisknout pouze uživatel user001 a user002, nikoliv user003
nebo kdokoliv jiný.
7. Přihlašte se jako uživatel user001 a vyzkoušejte připojení tiskárny a tisk.
8. Přihlašte se jako uživatel user003 a vyzkoušejte připojení tiskárny a tisk.
9. Přihlašte se jako administrátor a zkontrolujte tiskový server. Smažte fronty na tiskovém
serveru.

Řešení
1. Na server OS1AVM01 doinstalujte roli webového a tiskového serveru.
• V server Roles and Features přidáme role Print and Document Services
a Web Server (IIS), zde překontrolujeme přidání funkce Static Content
u Print Serveru postačí služba Print Server, případně můžete zvolit ještě LPD Service
(Line Printer Daemon), což je služba pro sdílený tisk na systémech založených na
platformě Unix.
• Po dokončení instalace nezapomeňte restartovat server.
2. Po nainstalování zkontrolujte, jestli je webový server funkční.
• Otevřete internetový prohlížeč a do pole pro URL adresu zadejte localhost
• Pokud je Webový server aktivní, zobrazí výchozí stránka:
3. Vytvořte jednoduchou HTML stránku a nějakým textem.
• Veškré HTML soubory jsou umístěny ve složce C:\inetpub\wwwroot
• Zde vytvořte nový html soubor (pozor na příponu) s názvem index.html,
Rovněž můžete zkopírovat původní soubor iisstart.html, přejmenovat jej dle zadání
a v poznámkovém bloku upravit do podoby jednoduché HTML stránky.
• Prohlédněte si rovněž složku logs,
4. Zajistěte, aby tato webové stránka se zobrazila po zadání adresy
„http://web.intranet.local“ do webového prohlížeče.
Je nutné přidat nový DNS záznam, který bude překládat zadanou URL na IP.
• V DNS Manager (Server Manager à Tools à DNS) vytvoříme ve Forward Lookup
Zones novou zónu s názvem intranet.local.
• V něm vytvoříme nový záznam New Host (A or AAAA)…
• Jako název zadejte: web
• A jako IP adresu vložte IP webového serveru (10.0.0.1)
• Potvrďte volbou Add Host a ověřte DNS záznam v prohlížeči.
5. Vytvořte tiskový server, který bude zahrnovat tiskárnu „Office Printer“.
• Otevřeme Print Management buď ve Start à Windows Administrative tools, nebo
v Server Manager v nabídce Tools.
• Otevřeme Tiskový server a přejdeme do nabídky Printers. Zde vytvoříme novou
tiskárnu volbou Add Printer. Zde vytvoříme libovolnou novou tiskárnu.
6. Zakažte, aby na tiskárně mohl tisknout pouze uživatel user001 a user002, nikoliv user003
nebo kdokoliv jiný.
• V Print Manager vyberte tiskový server a přejděte na vlastnosti.
• Dále přejděte na kartu security a dstraňte, nebo nastavte skupinu Everyone tak, aby
nemohl používat tiskový server.
• Na kartě advanced Přidejte všechny tři uživatele a nastavte jim patřičná oprávnění, tj.
uživatelům user001 a user002 nastavte oprávnění Print a View server, zatímco
uživateli user003 nastavíme vše na Deny.
7. Přihlašte se jako uživatel user001 a vyzkoušejte připojení tiskárny a tisk.
8. Přihlašte se jako uživatel user003 a vyzkoušejte připojení tiskárny a tisk.
9. Přihlašte se jako administrátor a zkontrolujte tiskový server. Smažte fronty na tiskovém
serveru.
• Přihlaste se zpět pod účtem Administrator a zkontrolujte aktuální tiskovou frontu.
V Print management vyhledejte vybranou tiskárnu a volbou Open Printer Queue
otevřete tiskovou frontu.
• Tiskovou úlohu zrušíte kliknutím pravým tlačítkem na tiskovou úlohu volbou cancel.