Zabezpečený vzdálený přístup v malých a středních firmách

V čem vám může tento průvodce pomoct? Průvodce vysvětluje, jak můžou uživatelé z různých míst snadno a bezpečně přistupovat k firemním datům a jak můžou používat nejrůznější zařízení připojená k internetu.

Tento průvodce uvádí doporučené a otestované řešení návrhu a implementace, které vám pomůže se zajištěním zabezpečeného vzdáleného přístupu pro vaše síťové uživatele tím, že centralizujete datové úložiště, nakonfigurujete síť pro vzdálený přístup a omezíte oprávnění pro přístup k datům.

Co najdete v tomhle průvodci:

• Scénář, formulace problému a cíle

• Jaký je doporučený návrh tohoto řešení?

• Proč takový návrh doporučujeme?

• Jaké jsou hlavní kroky při implementaci tohoto řešení?

Na následujícím diagramu je znázorněný problém a scénář, který tento průvodce řeší.

 Problémy spojené se vzdáleným přístupem k datům

Scénář, formulace problému a cíle

Tato část popisuje scénář, problém a cíle ukázkové společnosti.

Scénář

Malá nebo středně velká organizace se 100 uživateli a 200 zařízeními hledá způsob, jak zajistit uživatelům bezpečný přístup k firemním datům, když jsou mimo kancelář a používají různá zařízení připojená k internetu. Uživatelé nemají jednotný přístup k firemním prostředkům na pracovišti i mimo něj. Jakmile síťový uživatel opustí kancelář, nemá přístup k souborům. To má za následek, že síťoví uživatelé ukládají firemní data do svých mobilních zařízení nebo je odesílají e-mailem. K odesílání dat e-mailem používají počítač v práci, a když pracují vzdáleně na svém přenosném počítači, odesílají data e-mailem zpátky do kanceláře. Uživatelé někdy potřebují i po pracovní době pracovat se soubory nebo přistupovat k datům z nejrůznějších zařízení, jako jsou tablety, dotyková zařízení nebo přenosné počítače. Mimo pracoviště ale nemůžou používat obchodní aplikace.

Stanovení problému

Organizace potřebuje vyřešit tyto problémy:

• Uživatelé mimo kancelářskou síť nemají bezpečný přístup k firemním datům a obchodním aplikacím.

• Uživatelé nemají na mobilních zařízeních bezpečný přístup k síťovým prostředkům.

• Uživatelé ukládají firemní data do různých zařízení (třeba do počítačů v práci nebo do přenosných počítačů při vzdáleném připojení). Tím vznikají různé verze souborů, které se těžko sledují a hledají.

• Když uživatelé nemůžou pracovat, protože na svých osobních zařízeních připojených k síti nemají nainstalované obchodní aplikace, vznikají tím finanční ztráty.

Cíle organizace

Organizace hledá řešení, které jí umožní:

• Zajistit uživatelům, kteří jsou mimo kancelářskou síť, bezpečný přístup k firemním datům a prostředkům

• Zajistit, aby uživatelé měli přístup k síťovým prostředkům ze svých mobilních zařízení

• Vyloučit konflikty způsobené různými verzemi souborů, které uživatelé vytvářejí, když mimo pracovní síť pracují s lokálními kopiemi 

• Zabránit finančním ztrátám, které jsou způsobené tím, že uživatelé mimo kancelář nemají přístup k obchodním aplikacím

Jaký je doporučený návrh tohoto řešení?

Následující diagram znázorňuje ukládání, ochranu a vzdálený přístup k podnikovým datům na serveru se systémem Windows Server 2012 R2 Essentials nebo v edicích Standard a Datacenter systému Windows Server 2012 R2 s nainstalovanou rolí Windows Server Essentials Experience (ve zbývající části dokumentu se používá označení Windows Server Essentials Experience).

Návrh řešení zabezpečeného přístupu k datům pro uživatele mimo síť

Windows Server 2012 R2 Essentials (určený až pro 25 uživatelů a 50 zařízení) a edice Standard a Datacenter systému Windows Server 2012 R2 s nainstalovanou rolí Windows Server Essentials Experience (určené až pro 100 uživatelů a 200 zařízení) představují řešení pro malé a střední firmy, které uživatelům zajistí snadný a bezpečný přístup k firemním datům z různých zařízení připojených k internetu.

Tato tabulka uvádí technologie zahrnuté do systémů Windows Server 2012 R2 Essentials a Windows Server Essentials Experience, které jsou součástí návrhu řešení. V tabulce je popsaný i důvod vybraného návrhu.

Proč takový návrh doporučujeme?

Tato část vysvětluje podrobnosti týkající se návrhu a rozhodnutí, která vedla ke konečnému návrhu řešení. Najdete tu taky doporučenou konfiguraci a využití každé funkce použité v řešení.

Řídicí panel Windows Serveru Essentials

Řídicí panel Windows Serveru Essentials v systémech Windows Server 2012 R2 Essentials a Windows Server Essentials Experience nabízí rychlý přístup ke klíčovým informacím o serveru a funkcím pro správu, abyste při správě Windows Serveru nemuseli používat několik nativních nástrojů. Na řídicím panelu třeba můžete vytvářet a spravovat uživatelské účty nebo spravovat data ve složkách na serveru.

Doporučení: Řídicí panel Windows Serveru Essentials můžete použít pro většině úloh spojených se správou sítě. Na řídicím panelu můžete spouštět úlohy a průvodce, které optimalizují konfiguraci serverových funkcí. Na řídicím panelu taky můžete jednotlivým uživatelům konfigurovat oprávnění pro vzdálený přístup k síťovým prostředkům (třeba ke sdíleným složkám, klientským počítačům a síti VPN).

Prostory úložiště

Pokud chcete vysoce dostupné a odolné úložiště firemních dat, použijte integrovaný ovladač diskového pole RAID, který je ve většině serverového hardwaru. Tato možnost ukládání vám zajistí potřebnou dostupnost a odolnost úložiště, ale může být poměrně složitá a nákladná.

Můžete taky použít funkci Prostory úložiště a místo ukládání podnikových dat na standardní pevné disky můžete vytvořit hospodárné, odolné a dynamicky rozšiřitelné datové svazky. Prostory úložiště obsahují virtuální pevné disky (VHD), které se zobrazují na řídicím panelu na kartě Pevné disky.

Soubory v Prostorech úložiště můžete ukládat na dvě nebo víc jednotek, aby byly zabezpečené proti selhání jednotky. Prostory úložiště vám umožní virtualizovat úložiště serveru, když seskupíte standardní pevné disky do fondů úložiště a z dostupné kapacity fondů pak vytvoříte virtuální pevné disky (říká se jim prostory úložiště). Uživatelé nemusejí ukládat data do svých počítačů, ale můžou použít Prostory úložiště a ukládat firemní data na jednom centrálním místě.

Doporučení: V malých firmách s míň než 10 uživateli použijte aspoň tři jednotky SAS nebo SATA: jednu k zálohování operačního systému a další dvě jako prostory úložiště. K vytvoření prostoru úložiště doporučujeme použít aspoň dvě jednotky a zajistit jejich odolnost zrcadlením.

V malých firmách s víc než 10 uživateli nebo ve středně velkých firmách do 100 uživatelů použijte ke konfiguraci prostor úložiště aspoň tři jednotky SAS: jednu k zálohování operačního systému a další dvě jako prostory úložiště. Taky doporučujeme, abyste si pořídili serverovou skříň, do které můžete přidávat další jednotky při rozšiřování.

Serverové složky

Do složek na serveru můžete ukládat soubory, které se jinak nacházejí na klientech. Použijte centrální umístění, aby uživatelé nemuseli ukládat soubory do svých počítačů.

Soubory, které jsou uložené ve složkách na serveru, se snadno zálohují a jsou snadno přístupné. Jsou na místě, ke kterému má přístup každý klient. A jsou v bezpečí, protože při přístupu k nim musíte zadat síťové přihlašovací údaje.

Doporučení: Vytvořte na jednotce úložiště serverové složky. Pro každé oddělení nebo projekt založte samostatnou složku. Třeba pro účetní oddělení můžete vytvořit složku „Účetnictví“. Když serverovou složku vytvoříte na jednotce v prostoru úložiště, zvýšíte dostupnost dat (díky zrcadlení).

U serverových složek doporučujeme nastavit kvóty. Když se složka blíží svojí kapacitě, budete na to upozornění. Jakmile se zobrazí upozornění, uvolněte místo v úložišti, tím že ze serverové složky odstraníte soubory, nebo přidejte víc místa a zvyšte kvótu.

Správa uživatelů a skupin

Uživatelské účty a skupinové uživatelské účty umožňují nastavit oprávnění pro přístup uživatelů k firemním datům. Tím chráníte firemní data proti neúmyslnému přístupu. Když na řídicím panelu Windows Serveru Essentials na kartě Uživatelé vytvoříte všem síťovým uživatelům uživatelské účty, můžete snadno spravovat přístup k síťovým prostředkům.

Můžete taky vytvářet skupinové účty a přidávat do nich uživatelské účty jako členy. Všichni členové skupinového účtu mají stejnou úroveň přístupu k prostředkům na serveru. Členství ve skupinách usnadňuje správu prostředků, protože na jedné stránce nastavíte oprávnění celé skupině uživatelů. To je mnohem rychlejší, než kdybyste museli otevírat stránku vlastností každého uživatele a přiřazovat mu odpovídající oprávnění ke složce.

Doporučení: Vytvořte takové uživatelské účty, které zahrnují členy různých skupin uživatelů. Jako vodítko použijte oddělení společnosti nebo různé projekty, na kterých lidi ve společnosti pracují. Když vytváříte skupiny uživatelů, můžete jim přiřadit sadu oprávnění, která platí pro všechny členy. Představte si, že máte skupinu uživatelů, kteří pracují v účetním oddělení A. Můžete jim vytvořit skupinový účet „Skupina uživatelů z oddělení A“ a pak do skupiny přidat příslušné uživatelské účty. Potom můžete skupině uživatelů z oddělení A přiřadit oprávnění pro přístup k serverové složce „Účetnictví“.

Podle používané metody vzdáleného přístupu (vzdálený webový přístup nebo síť VPN) můžete u každého uživatelského účtu v síti nakonfigurovat oprávnění ke vzdálenému přístupu. Můžete taky nakonfigurovat přístup k síťovým prostředkům (třeba k serverovým složkám a klientům). Můžete vytvořit třeba dvě skupiny uživatelů: „Uživatelé VPN“ a „Uživatelé RWA“, nakonfigurovat jim oprávnění pro vzdálený přístup a pak do nich přidat ty uživatelské účty, které mají mít tato oprávnění ke vzdálenému přístupu.

Správa zařízení

Jestli chcete, aby uživatelé měli na počítačích připojených k síti přístup ke složkám na serveru, musíte jejich počítače připojit k serveru. Připojte počítače k serveru a získejte tyto výhody:

• Síťoví uživatelé budou mít bezpečný přístup k datům uloženým na serveru. Připojovat se budou přes své uživatelské účty.

• Na řídicím panelu můžete spravovat klienty.

• Klienty v síti můžete chránit nastavením zásad skupiny.

• Data klientů můžete pravidelně zálohovat.

• Můžete monitorovat stav klientů.

Doporučení: Místo použití nástroje Uživatelé a počítače služby Active Directory připojte všechny počítače (místní nebo vzdálené), které chcete spravovat, k serveru, abyste je mohli spravovat na kartě Zařízení řídicího panelu Windows Serveru Essentials.

Nastavení zásad skupiny ve Windows Serveru Essentials

V systémech Windows Server 2012 R2 Essentials a Windows Server Essentials Experience můžete použít průvodce implementací zásad skupiny a centralizovat data zapnutím přesměrování složky. Průvodce vám taky pomůže se zabezpečením sítě. Postará se o to, aby Windows Update, Windows Defender a Windows Firewall zůstaly zapnuté pro všechny klientské počítače v síti. Nemusíte spoléhat na koncové uživatele, aby si nastavení na svých počítačích sami zapnuli.

Doporučení: Ve Windows Serveru Essentials doporučujeme nevypínat nastavení zásad skupiny.

Přístup odkudkoli

Když nakonfigurujete funkci Přístup odkudkoli (vzdálený webový přístup a síť VPN), umožníte síťovým uživatelům, aby měli přístup k prostředkům serveru z jakéhokoli místa připojeného k internetu. Přístup funguje kdykoli a skoro ze všech zařízení.

Doporučení: Spusťte průvodce nastavením funkce Přístup odkudkoli a nastavte vzdálený webový přístup a virtuální privátní síť. Opravte problémy, které průvodce nakonec nahlásí.

Vzdálený webový přístup

Vzdálený webový přístup umožňuje rychlou práci v prohlížeči. Můžete využít dotykové ovládání a získat přístup k aplikacím a datům prakticky všude, kde máte připojení k internetu, a se skoro každým zařízením.

Doporučení: Oprávnění ke vzdálenému přístupu uživatelů a skupin uživatelů nakonfigurujte tak, aby vzdálení uživatelé měli bezpečný přístup k datům, i když nejsou na pracovišti.

Virtuální privátní síť

Uživatelé, kteří pracují z domova nebo jsou na služební cestě, můžou připojením k virtuální privátní síti (VPN) získat přístup k serveru v soukromé síti s využitím infrastruktury veřejné sítě, jako je internet.

Doporučení: Oprávnění uživatelů a skupin uživatelů pro síť VPN nakonfigurujte tak, aby se vzdálení uživatelé mohli k serveru připojit zabezpečeným VPN připojením.

Aplikace My Server 2012 R2

Aplikace My Server umožňuje připojit se k prostředkům serveru a provádět na serveru Windows Server Essentials lehčí úlohy správy. Připojit se můžete se zařízením s operačním systémem Windows 8.1, Windows 8 nebo Windows RT. V aplikaci My Server můžete spravovat uživatele, zařízení a upozornění a pracovat se sdílenými soubory na serveru. Když jste offline, můžete dál pracovat se soubory nedávno otevřenými v aplikaci My Server. Změny, které uděláte offline, se při dalším připojení automaticky synchronizují se serverem.

Doporučení: Aplikaci My Server můžete nainstalovat na každé zařízení s operačním systémem Windows 8.1, Windows 8 nebo Windows RT. Aplikace zajistí přístup k dokumentům na serveru.

Jaké jsou hlavní kroky při implementaci tohoto řešení?

Řešení můžete implementovat podle kroků uvedených v této části. Než přejdete k dalšímu kroku, nejdřív ověřte správné provedení předchozího kroku.

1. Zapněte funkci Přístup odkudkoli.

   Přístup odkudkoli umožňuje spravovat funkce vzdáleného webového přístupu i sítě VPN. Pokud chcete zapnout vzdálený webový přístup a síť VPN, spusťte na kartě Přístup odkudkoli na stránce řídicího panelu Nastavení průvodce nastavením funkce Přístup odkudkoli. Pokud chcete zapnout vzdálený webový přístup, postupujte podle pokynů v části Správa vzdáleného webového přístupu. Síť VPN zapnete podle pokynů v tématu Správa sítě VPN ve Windows Serveru Essentials [blue].

2. Nastavte název domény.

   Když chcete nastavit název domény, spusťte průvodce nastavením názvu domény a postupujte podle pokynů v části Správa vzdáleného webového přístupu. Jestli název domény nemáte, můžete v průvodci zadarmo získat přizpůsobený název domény od Microsoftu (ve tvaru nazev_hostitele.remotewebaccess.com).

3. Vytvořte na serveru prostor úložiště. 

   Při vytváření prostoru úložiště postupujte podle pokynů uvedených v části Vytvoření prostoru úložiště v tématu Správa serverového úložiště ve Windows Serveru Essentials.

   K vytvoření nového, dvoucestného, zrcadleného prostoru úložiště můžete taky použít rutinu New-WssStorageSpace ve Windows PowerShellu.

   Jakmile prostor úložiště vytvoříte, ověřte, že je uvedený na kartě Pevné disky řídicího panelu.

4. Na serveru můžete vytvořit složky pro různá oddělení nebo pro různé typy dat podle toho, co potřebujete.

   Pokyny k vytváření složek na serveru najdete v tématu Přidání nebo přesunutí složky na serveru.

   Poznámka

   Jestli vaše organizace používá sdílené složky, pak do složek na serveru, vytvořených v tomto kroku, přesuňte i data uložená v různých zařízeních.

   Když v průvodci přidáním složky vytváříte novou složku na serveru, uložte na stránce Zadejte název a popis složky v poli Umístění složku do výchozího umístění, to znamená do prostoru úložiště vytvořeného v prvním kroku, abyste zajistili vysokou dostupnost dat. Zkontrolujte, že všechny vytvořené serverové složky jsou uvedené na kartě Úložiště řídicího panelu.

   K přidání složky na server taky můžete použít rutinu Add-WssFolder ve Windows PowerShellu. Další informace najdete v části Add-WssFolder.

5. Vytvořte uživatelské účty a skupiny uživatelů.

   Všem uživatelům v síti vytvořte uživatelské účty a pak vytvořte skupiny uživatelů, které vycházejí z oddělení nebo projektů organizace. Při vytváření skupin uživatelů se taky můžete řídit způsobem vzdáleného přístupu. Vytvořte třeba skupinu uživatelů, kteří k datům přistupují přes síť VPN, a skupinu uživatelů, kteří používají vzdálený webový přístup.

   Potom do skupin uživatelů přidejte uživatelské účty. Při zařazování se orientujte podle oddělení, projektů nebo způsobu vzdáleného přístupu uživatele. Podrobný postup vytváření uživatelských účtů najdete v tématu Přidání uživatelského účtu. Další informace o skupinách uživatelů najdete v tématu Správa uživatelských účtů ve Windows Serveru Essentials [H2].

   Na kartách Uživatelé a Skupiny uživatelů řídicího panelu zkontrolujte, že jsou tu uvedené všechny uživatelské účty a skupiny uživatelů.

6. Přidělte uživatelům přístupová oprávnění ke složkám na serveru.

   Přidělte oprávnění uživatelským účtům, aby uživatelé měli přístup ke složkám na serveru. Pokyny najdete v části Správa přístupu ke složkám na serveru.

   Až nastavíte přístupová oprávnění uživatelů, můžete se na řídicím panelu podívat na vlastnosti libovolného uživatelského účtu. Jeho oprávnění k síťovým prostředkům tady můžete ověřit, prohlížet nebo měnit. Další informace najdete v tématu Správa uživatelských účtů ve Windows Serveru Essentials [H2].

7. Připojte k serveru všechny síťové klienty.

   Všichni klienti musejí být připojení k serveru se systémem Windows Server 2012 R2 Essentials nebo Windows Server Essentials Experience. Než klienta připojíte k serveru s Windows Serverem Essentials, podívejte se na:

   • Podporované operační systémy klientských počítačů

   • Předpoklady připojení počítače k serveru

   Na všech síťových počítačích, místních i vzdálených, spusťte průvodce připojením počítače k serveru. Podrobné pokyny týkající se připojení klientů k serveru, na kterém běží Windows Server Essentials Experience, najdete v tématu Připojení počítačů k serveru.

   Po připojení klienta k serveru ověřte, že je název počítače uvedený na kartě Zařízení řídicího panelu. Na řídicím panelu jsou úlohy správy, se kterými můžete spravovat všechny počítače připojené k serveru. Další informace najdete v tématu Správa zařízení na řídicím panelu.

8. Nakonfigurujte oprávnění ke vzdálenému přístupu pro uživatelské účty a síťová zařízení.

   Uživatelským účtům a síťovým zařízením, která uživatelé používají ke vzdálenému připojení, přiřaďte oprávnění ke vzdálenému přístupu. Může se jednat o připojení k síti VPN nebo o relaci vzdálené plochy, která využívá vzdálený webový přístup. Podrobné pokyny najdete v následujících částech tématu Správa uživatelských účtů ve Windows Serveru Essentials [H2]:

   • Nastavte uživatelským účtům oprávnění pro přístup ke vzdálené ploše.

   • Povolte uživatelům navázání relace vzdálené plochy se svým počítačem.

   • Změňte uživatelskému účtu oprávnění ke vzdálenému přístupu.

   • Změňte uživatelskému účtu oprávnění pro přístup k virtuální síti.

9. Implementujte nastavení zásad skupiny.

   Když chcete ve Windows Serveru Essentials implementovat nastavení zásad skupiny, zapněte nastavení přesměrování složky, Windows Defender, Windows Firewall a Windows Update. Postup najdete v tématu Konfigurace nastavení zásad skupiny kvůli přesměrování složky a zabezpečení.

   Jakmile implementujete nastavení zásad skupiny, ověřte, že se úloha konfigurace nastavení zásad skupiny zobrazuje na kartě Zařízení.

10. Nainstalujte aplikaci My Server 2012 R2.

    Nainstalujte do svého Windows Phone nebo do zařízení se systémem Windows 8.1 nebo Windows 8 aplikaci My Server 2012 R2. Aplikaci My Server 2012 R2 můžete do zařízení s Windows nainstalovat z Windows Storu. Informace o používání této aplikace najdete v tématu Použití aplikace My Server pro připojení k Windows Serveru Essentials [SBS8].

    Aplikaci My Server 2012 R2 můžete do Windows Phone nainstalovat ze stránek Windows Phone Store. Ověřte, že je v zařízení nainstalovaná aplikace My Server. Informace o telefonní aplikaci My Server 2012 R2 najdete v blogovém příspěvku Aplikace My Server 2012 R2 Windows a Windows Phone.

    Jestli chcete pro přístup k Windows Serveru Essentials používat aplikaci My Server 2012 R2 pro Windows Phone a zařízení s Windows 8.1 nebo Windows 8, musíte si napřed do svého zařízení nainstalovat certifikát serveru. S tímto certifikátem připojíte v místní síti zařízení k serveru se systémem Windows Server Essentials. Podrobný postup instalace certifikátu serveru najdete v části Jak se připojit ke svému serveru z místní sítě v tématu Použití aplikace My Server pro připojení k Windows Serveru Essentials [SBS8].

Dokončením předchozích kroků splníte následující cíle organizace uvedené v tomto dokumentu:

• Síťoví uživatelé můžou mimo kancelář používat vzdálený webový přístup nebo síť VPN, které jim umožní bezpečný přístup k datům a prostředkům společnosti.

• Uživatelé můžou přistupovat k síťovým prostředkům z různých mobilních zařízení. Umožňuje jim to vzdálený webový přístup, síť VPN nebo aplikace My Server 2012 R2.

• Uživatelé můžou pracovat venku, mimo síť, ale už k tomu nepotřebují místní kopie souborů. Tím se vyloučí konflikty způsobené různými verzemi souborů.

• Aby se zabránilo obchodním ztrátám, mají síťoví uživatelé přístup k obchodním aplikacím i mimo pracovní dobu. K vytvoření relace vzdálené plochy s místním klientem můžou použít síť VPN nebo vzdálený webový přístup.

Viz taky