Small Business Server 2008是目前國內許多小型企業,選擇用來作為企業e化的基礎平台,但相較於前一版本的設計,卻存在某些不同的控管技巧,所以本文中將會與各位讀者共同分享一些常見的管理技巧與問題排除的方法。
如果要在Microsoft提供給企業的眾多解決方案中選出哪一個解決方案最經濟實惠,那筆者可以很肯定地指出那一定是Small Business Server。因為它是一項集結Microsoft在企業e化上幾個最重要與最熱門的解決方案套餐。不過,既然是稱之為「Small Business」,那麼便表示它無論是在標準版還是Premium版本,都僅適用在有用戶端電腦連接數量限制(75人)的中小企業的網路環境中,否則必須選擇其他類別的解決方案,例如適用500個用戶端以內的Windows Essential Business Server 2008,或是自行採購單一產品解決方案來進行部署。
話雖如此,但最新的Small Business Server 2008的整體設計並不單只是將Windows Server 2008、Exchange Server 2007、Windows Server Update Services(WSUS)3.0和SQL Server 2008整併在一個套餐之中,最重要的是,還提供了更易於管理的操作介面來減輕維護人員的負擔,畢竟小型企業通常沒有專職的IT人員,而且他們往往都是身兼多職的員工。
既然Small Business Server 2008提供了更易於管理的操作介面,理所當然地更應該懂得去善用它。只是相較於前一版本的Small Business Server 2003 R2,新版本在設計上有大幅度的改變,為了讓剛剛接觸不久或仍在評估階段的管理人員學習到更好與正確的管理方法,所以筆者特地整理出以下幾個相當實用的管理技巧介紹給大家。
TOP1 SBS 2008網域使用者群組管理技巧
Q 我目前已經在公司的Small Business Server 2008網域中新增了所有員工的使用者帳戶,緊接著準備開始建立群組,並且依據不同的使用者類型賦予不同群組成員的權限,請問我應該採用什麼樣的管理方法,才能夠迅速完成這項工作呢?
A 在Small Business Server 2008中想要快速為使用者的帳號配置群組的權限,最理想的方式還是透過專屬的SBS管理主控台。如下表所示,在系統預設的狀態下已經內建各種不同權限用途的群組,讓系統管裡員進行成員的配置,除此之外,也可以在此編輯群組屬性、移除或新增群組。
接下來,試著實際建立一個安全性群組。先在如右圖所示的「工作」頁面內點選「加入新的群組」連結。
執行之後將會開啟如下圖所示的「加入新的群組」頁面,在此必須先輸入一個新的群組名稱,然後在群組類型區域中點選「安全性群組」,並且勾選「啟用這個安全性群組以接收電子郵件」選項,最後按下〔下一步〕按鈕繼續。
|
▲設定群組名稱與類型。 |
接著進入「建立群組電子郵件地址」頁面中,如下圖所示除了設定E-mail的位址之外(預設以群組名稱為主),也可以決定是否讓此群組可以接收外部的E-mail,以及是否要讓此群組所接收的E-mail自動封存到SharePoint網站的預設文件庫中,設定好了之後按下〔下一步〕按鈕。
|
▲建立群組電子郵件地址。 |
接著到選取群組成員的頁面中,如下圖所示可以將現有的員工帳戶批次選取並新增到該群組中,完成選取之後按下〔新增群組〕。
|
▲選取群組成員。 |
最後會看到剛剛新增的群組物件摘要資訊,確認無誤之後按下〔完成〕即可。右上圖所示便是前面剛完成新增的安全性群組,後續也可以進行其群組成員的修改。
|
▲檢視新增的群組。 |
Top2 指派現有的電腦給新使用者帳戶
Q 我們公司某些用戶端電腦是多人共用一台,現在針對剛新進來的員工,希望可以在新增他們的Small Business Server 2008網域帳戶的同時,指派現有的網域用戶端電腦給他們,請問有什麼方法可以快速完成這項管理操作呢?
A在Small Business Server 2008伺服器上,可以透過它專屬的SBS管理主控台中的「使用者與群組」頁面來完成這項管理需求。首先,如下圖所示點選位在頁面右方「使用者工作」清單中的「加入新的使用者帳戶」連結。
然後在如下圖所示的「加入新的使用者帳戶並指派使用者角色」頁面中,分別輸入新使用者的名字、姓氏、使用者名稱、電子郵件地址,並在下方選單中選擇要賦予的使用者角色,一般員工通常會選擇【標準使用者】。設定完畢按下〔下一步〕按鈕繼續。
|
▲加入新的使用者帳戶。 |
接著,在「建立管理網路用的密碼」頁面中連續輸入兩次相同的帳戶密碼,並記得讓密碼符合長度與複雜度的要求。然後按下〔新增使用者帳戶〕按鈕完成設定。
接下來在「使用者帳戶xxx已順利加入網路」頁面中,如右上圖所示點選「加入用於xxx的新電腦」。
|
▲指派現有的電腦給使用者。 |
緊接著會開啟如下圖所示的「指派電腦給xxx」頁面,先選取所要配置的現有電腦,並且從下拉選單中設定適當的「存取層級」,以及決定是否要勾選「可遠端存取此電腦」,以便後續系統管理員可以從遠端電腦使用「遠端桌面」功能進行連線。按下〔確定〕按鈕後即可完成設定。
|
▲選取現有網域中的電腦。 |
新增SBS 2008網域使用者之後,相關的使用者將會收到一封由系統自動發送的E-mail通知,內容中主要是說明使用者可以開始享用的網路資源與服務有哪些。
Top3 在SBS 2008中快速配置網路共用資料夾
Q我想要在公司的Small Business Server 2008伺服器上建立各部門專屬的共用資料夾,除了需要配置他們各自不同的存取權限之外,還得限制他們的磁碟使用者空間以及設定可存放的檔案類型等,請問有什麼操作方法可以快速完成這項設定需求。
A就一般的Windows Server 2008操作而言,這部分的管理需求必須到不同的介面中進行設定。但是,在SBS 2008中只要預先在SBS 2008的本機磁碟路徑內建立好你準備要設定的各部門資料夾,即可在SBS管理主控台中快速完成這項設定。
開啟SBS 2008的管理主控台後,切換到「共用資料夾與網站」頁面中。在這個頁面中可以看到系統預設建立的三個共用資料夾,可以依需要變更這三個共用資料夾的設定。若想要新增共用資料夾,則如下圖所示點選「工作」窗格中的「加入新的共用資料夾」連結。
接著,在這個頁面中選取本機任一磁碟中預先建立好的資料夾,然後按下〔下一步〕按鈕。來到「NTFS權限」頁面後,如下圖所示可以決定是否變更目前的NTFS權限設定,這部分的設定攸關於當使用者從SBS 2008本機登入,或遠端桌面連線登入時的存取權限,如果需要立即進行變更,則點取「是,變更NTFS權限」項目,然後按下〔編輯權限〕進行修改。如果只是要設定透過網路連線存取時的共用權限,請直接按下〔下一步〕按鈕繼續。
|
▲設定共用資料夾NTFS權限。 |
隨後來到如下圖所示的「共用通訊協定」頁面,先確認已勾選「SMB」項目,然後輸入要在內部網路中讓其他使用者看到的共用名稱。設定之後按下〔下一步〕按鈕。
|
▲設定共用名稱。 |
接下來是「SMB權限」頁面,如下頁圖示可以開始決定此資料夾的共用權限,若想要快速設定,直接選取以下其中任何一個範例權限配置,例如讓系統管理員擁有此共用資料夾「完整控制」的存取權限,而其他所有使用者與群組只有「讀取」權限。如果想要自訂細部的權限配置,則在選取「使用者和群組具有自訂共用權限」項目後按下〔權限〕按鈕繼續。
|
▲設定共用權限。 |
接著會開啟如下圖所示的共用資料夾安全性設定頁面,先按下〔新增〕按鈕來選取所要賦予權限的使用者或群組,加入之後便可以針對這些使用者或群組項目個別設定,賦予所需要的權限項目,例如可以讓業務部的群組擁有「讀取」與「變更」權限,而Administrators群組則有完全控制的權限,至於其他使用者與群組賦予允許「讀取」或拒絕「讀取」的權限。
|
▲自訂共用權限配置。 |
緊接著進入「配額原則」頁面,如下圖所示可以勾選「套用配額」設定,然後決定配額設定僅套用在指定的資料夾路徑,或者要讓現有與新子資料夾都自動套用剛剛所選取的配額額範本。
|
▲設定共用資料夾配額原則。 |
請注意!如果在系統預設的配額範本清單中沒有真正需要的配額原則,就必須額外透過系統管理工具中的「檔案伺服器資源管理員」來新增。
進入「檔案檢測原則」頁面,如下圖所示同樣可以選擇是否勾選「套用檔案檢測」設定來限制這個共用資料夾內不能夠存放的檔案類型,並在下拉選單中選取所要套用的檢測範本。至於檢測範本的自訂與新增,同樣必須透過「檔案伺服器資源管理員」介面才能夠進行編輯。設定好了之後按下〔下一步〕繼續。
|
▲設定共用資料檔案檢測原則。 |
來到「DFS命名空間發佈」頁面,這裡可以設定與分散式檔案系統(DFS)功能的整合,不過這項功能有一個使用限制,也就是至少要有兩部Window Server的檔案伺服器,才能夠真正運用這一項功能所帶來的效益。換句話說,必須在SBS 2008的內部網域中先建置好第二部Windows Server 2008檔案伺服器,並且預先完成DFS組態的相關配置。如果沒有,請按下〔下一步〕按鈕繼續。最後便可以在「檢視設定與建立共用」頁面中看到前面所有設定的組態資訊,如果沒有問題按下〔建立〕即可。
TOP4 在第二部SBS 2008主機上安裝終端機服務
Q我想將Windows Server 2008內建的終端機服務建置在Small Business Server 2008網域中,以便於透過它所提供的RemoteApp服務來集中管理公司的一些應用程式的存取,請問怎樣才能建置好終端機服務的伺服器呢?
A步驟很簡單,只要已經將這部新的Windows Server 2008伺服器,加入Small Business Server 2008網域中,那麼便可以透過「伺服器管理員」工具進行安裝設定。接下來就先來看看終端機服務角色在第二部Small Business Server 2008 Premium版本主機上的安裝設定說明。
首先,依序點選桌面的【開始】→【系統管理工具】→【伺服器管理員】來點選新增角色。按下〔下一步〕按鈕之後進入「伺服器角色」頁面。在此勾選終端機服務項目,然後按下〔下一步〕按鈕繼續。
在「終端機服務」頁面中,可以看到針對終端機服務功能用途的簡介,其中需要注意的是,若僅有遠端系統連線管理需求的用途,就不需要安裝此終端機服務角色,因為只要啟用遠端桌面連線功能即可(預設未啟用)。接著,在「選取角色服務」頁面中針對終端機服務角色的細部元件,依照實際的需求進行勾選安裝,如下圖所示在這個範例中只要勾選「終端機伺服器」、「TS授權」和「TS Web存取」三個元件。設定好了之後按下〔下一步〕。
|
▲安裝終端機服務角色元件。 |
如果你打算將終端機伺服器角色安裝在一部網域控制站主機上(DC)(例如SBS 2008的第一台主機),那麼在點選安裝項目時將會出現警告訊息,因為網域控制站是帳戶資料庫管理的集中地,所以不建議在此角色上安裝任何其他伺服器角色。
而在勾選「TS Web存取」元件的同時,還會出現自動加裝IIS相關元件的頁面,這是因為想要讓使用者享有透過Web網站存取終端機服務的功能,理所當然地必須安裝相關必要的IIS網站元件,所以務必按下〔新增所需的角色服務〕按鈕。
隨後進入「應用程式相容性」頁面說明,其內容主要是告知一些打算放在終端機服務主機上供使用者存取的應用程式,如果在安裝終端機服務之前已經安裝過,那麼後續可能會造成這些應用程式無法被終端機服務的用戶端正常連線存取。因應的方法是在終端機服務主機角色安裝完成之後,重新經由點選「控制台」中的「在終端機伺服器安裝應用程式」項目,以標準安裝程序來安裝這些應用程式。隨後按下〔下一步〕按鈕繼續。
|
▲設定接受連線驗證的方法。 |
接著如上圖所示進入「驗證方法」頁面中,可以選擇的項目有「需要網路層級驗證」與「不需要網路層級驗證」。簡單地說,前者直接相容於Windows Vista、Windows Server 2008的遠端桌面版本(6.0)的連線程式,它提供了預先完成身分驗證的程序,因此做法上較為安全。
至於後者,則相容於舊版Windows 2000、Windows XP、Windows Server 2003的遠端桌面連線程式,不管最後選那一個,都可以自行透過Microsoft的網站下載更新此程式(KB925876)。設定好了之後按下〔下一步〕按鈕。
然後來到「授權模式」頁面,如果目前仍在試用版階段可以選擇「稍後再設定」,若已經購買相關的終端機服的用戶端連線授權(CAL),則可以在此依照所購買的授權類型,直接選取「每一裝置」或「每個使用者」的授權模式進行設定,本例選擇「稍後再設定」,然後按下〔下一步〕繼續。
切換至「使用者群組」頁面後,按下〔新增〕按鈕來加入允許進行終端機連線登入的群組,這些群組都會被加入到系統預設的「Remote Desktop Users」群組中。
在預設的狀態下,只有本機的「Administrators」群組會被加入,後續若有需要,也可以在「Active Directory使用者與電腦」頁面中自行管理「Remote Desktop Users」群組中的成員。設定完畢按下〔下一步〕。
|
▲設定TS授權的探索領域。 |
隨後進入「TS授權設定」頁面,必須設定終端機服務授權主機的探索領域,如上圖所示一般選取「這個網域」即可,除非要將終端機服務授權主機安裝在相同樹系但不同網域時,才需要選取「樹系」這個選項。
接著按下〔下一步〕按鈕繼續。切換到「角色服務」頁面後,系統會自動幫忙勾選好所有需要的IIS網站元件項目,除非有其他額外應用程式的特殊需要,否則只要按下〔下一步〕按鈕繼續即可。
完成所有角色安裝前的設定之後,最後在「確認」頁面中再一次確認前面所有勾選的設定內容,如果一切都沒有問題就按下〔安裝〕按鈕。安裝的過程中,可能會看到需要重新開機的警告訊息,請按下〔關閉〕按鈕繼續。當整個終端機服務角色的所有元件安裝成功之後,按下〔關閉〕按鈕。
由於之前在「授權模式」頁面中選擇了「稍後再設定」,所以往後在伺服器登入時,可能都會經常看到如下圖所示的警示訊息,這是因為在尚未購買合法的終端機用戶端連線授權之前,將只會有120天的試用期限。
|
▲終端機服務授權模式警示。 |
Top5 平日如何維護好網域內所有電腦的更新管理
聽說在Small Business Server 2008中已經內建WSUS 3.0,我想知道該如何以最簡單的方式來做好平日對於網域內所有電腦的更新管理工作?
WSUS 3.0是SBS 2008安全性管理中的其中一項,當開啟Small Business Server 2008獨有的管理主控台時,在安全性的選項頁面中可以發現,其區分為兩個子活頁標籤,分別是〔安全性〕與〔更新〕。在〔安全性〕活頁標籤內可以看到各種必要的安全元件目前的運作狀態,包括檔案系統病毒防護、間諜軟體以及其他惡意程式碼防護、用戶端電腦防火牆、電子郵件垃圾郵件防護、伺服器防火牆。
若切換到〔更新〕活頁標籤內,可以如右上圖所示看到目前等待核准的更新程式清單、更新發生錯誤清單、選用的更新清單。在「工作」窗格中則可以直接執行部署更新、拒絕更新、檢視更新部署報告、變更軟體更新設定、立刻同步處理,以及查看這些更新程式的適用目標、用途說明等等資訊。
至於更進階的設定與管理部分,則可以透過系統管理工具開啟「Windows Server Update Services 3.0 SP1」介面來使用。
|
▲基本更新狀態檢視與管理。 |
接下來點選「立刻同步處理」連結,將會出現「軟體更新」對話框,按下〔確定〕之後就會開始進行與Microsoft更新網站的同步下載,必須注意的是,在同步處理的階段中無法修改WSUS選項設定。
如果有等待核准的更新程式項目,這時候若點選「部署更新」連結,將會出現「正在部署更新」對話框,按下〔確定〕之後就會立刻執行。在執行部署更新時,可能有一些更新程式的安裝需要點選是否接受軟體授權合約,才可以進行大量部署作業,例如作業系統的Service Pack更新等等。
TOP6 如何重新配置WSUS 3.0的更新管理組態設定
Q我想針對Small Business Server 2008內建安裝好的WSUS 3.0更新設定,進行諸如產品更新項目的異動、更新程式語言的異動等等,請問要如何快速完成這些組態設定的變更呢?
A首先從系統管理工具開啟「Windows Server Update Services 3.0 SP1」介面,開啟之後,先展開點選至「選項」頁面內,查看所有可以進行的相關組態設定,這些包括「更新來源和Proxy伺服器」、「產品和分類」、「更新檔案和語言」、「同步處理排程」、「自動核准」、「電腦」、「伺服器精靈」、「報告彙總」、「電子郵件」等設定。
看完以上可進行的項目設定之後,不需要急著去完成個別的項目設定,因為可以先直接點選「Windows Server Update Services組態精靈」項目來快速完成設定。
|
▲選擇上游伺服器。 |
接著來到如上圖所示的「選擇上游伺服器」頁面,在此可以決定要進行同步的資料來源是Microsoft Update主機,還是企業中現有的WSUS 3.0主機。如果選擇後者,便需要設定連線的伺服器名稱與通訊埠,進階部分則可以設定是否採用SSL的安全加密連線方式,以及決定是否勾選「這是上游伺服器的複本」設定,然而一旦勾選這個項目設定,那麼往後這台WSUS主機中的更新核准設定、組態設定、電腦和群組設定,都必須由上游的伺服器來控管。
然後進入「指定Proxy伺服器」頁面,如果公司對外Internet的連線必須得透過內部的Proxy Server,這裡便需要設定Proxy伺服器名稱或IP位址以及連接埠(以ISA Server為例預設是8080),至於在帳號密碼,則根據Proxy所開放連線的帳戶來設定即可。設定好了之後按下〔下一步〕按鈕。
來到「從Microsoft Update下載更新資訊」頁面,按下〔開始連線〕立即下載可用的更新類型清單、可以更新的產品清單、可用的語言清單。
當下載完相關更新清單資訊之後,接著會來到如下圖所示的「選擇產品」頁面中,這裡必須仔細選取目前在企業內中所使用的Microsoft產品項目,例如作業系統、伺服器系統、應用程式等等。所勾選的項目越少,所需的硬碟空間與同步下載的時間就會越少。決定之後按下〔下一步〕繼續。
|
▲選擇產品。 |
緊接著在如下圖所示的「選擇分類」頁面中,針對上述所選取的產品,勾選所要進行更新類別,例如Service Pack、安全性更新、更新彙總套件、定義更新和重大更新,以上這些選項建議全部勾選。勾選好了之後按下〔下一步〕按鈕。
|
▲選擇分類。 |
隨即切換到如下圖所示的「設定同步處理排程」頁面,在此決定採用「手動同步處理」或「自動同步處理」,來與Microsoft進行同步的更新下載。如果選擇自動同步處理,還必須再設定同步更新的時間點、每一天同步處理的次數。設定之後,同樣按下〔下一步〕按鈕繼續。
|
▲設定同步處理排程。 |
進入「完成」頁面之後,決定是否要勾選「開始初始同步處理」設定,按下〔下一步〕按鈕即可完成設定。在最後的頁面中將會出現之後可能需要繼續進行設定的提示頁面,然而這些動作並非每一項都必須處理,只要根據需求進行調整即可。