YOUR LOGO

Active directory – GPO,OU

YOUR LOGO

Obsah prednášky

Inštalácia AD

Pridanie počítača do domény

Organizačné jednotky

Skupinové politiky – GPO, grou policy objects

YOUR LOGO

Inštalácia AD

Nutnosť byť lokálny admin

Nutnosť mať nainštalovaný, alebo v priebehu Ad sa môže nainštalovať aj DNS server.

YOUR LOGO

Nová doména alebo podporný server, pre exist. doménu?

YOUR LOGO

Vytvorenie forest, tree, alebo domain?

Ak sa rozhodnem pre 2, 3, tak musím zadať názov existujúcej domény a taktiež heso Enterprise Admina

YOUR LOGO

Názov domény

Nie nutne príponu DNS, ktorá je bežná.

Zabezpečím bezpečnosť z venku

YOUR LOGO

Umiestnenie DB

Vhodné umiestiť inam ako Systémový disk (Windows)

YOUR LOGO

Sysvol

Replikačný adresár AD

Ukladajú sa v ňom GPO

Je zdieľaný

YOUR LOGO

Ak ne je dostupné DNS nutná inštalácia

YOUR LOGO

Kompatibilita

YOUR LOGO

Restore mode passwd

Ak nabootojem do AD safe modu (F8 pri štarte), tak nie je možné sa prihlásiť do AD pretože je vypnuté

Lokálny užívatelia ale neexistujú

Nutnosť zadať toto heslo pri vstupe do AD safe modu

YOUR LOGO

Summary, Instalace, restart

YOUR LOGO

Priradenie Počítača do domény

Stanica musí mať dostupný DNS server, na kt. je odkaz na AD

Na stanici musím byť prihlásený ako lokálny admin

Nastavenie My computer, vlastnosti, zmeniť nastavenia

Priradiť stanicu do domény, nutnosť poznať meno.

Po pridaní nutnosť zadať heslo už existujúceho užívatela v AD, nemusí byť admin. Ak standard user, tak môže priradiť 10 staníc do domény, admin neobmedzene.

Po pridaní nutný restart

YOUR LOGO

YOUR LOGO

Zadanie názvu domény

YOUR LOGO

Prihlásenie

Stanica alebo server v AD- Možnosť sa prihlásiť aj lokálne aj do AD

- VISTA1\homer, alebo do AD FOURTHCOFFEE\Homer

Server, ktorý je DC – iba prihlásenie do domény- Lokálny admin sa pri inštalácii stane doménovým adminom

- Standard user sa nemôže default na Server na ktorom je Dc prihlásiť

YOUR LOGO

Organizačné jednotky OU

Základná jednotka pre správu objektov.

Vytvára hierarchickú štruktúru

Jeden objekt môže byť iba v jednej OU

Na OU nastavujem politiky – nastavenia, obmedzenia,...

Na OU nastavujem delegovanie

YOUR LOGO

Správa OU

Active Directory users and Computer

YOUR LOGO

Default

Default nastavenie len „domain controllers“ je OU

Ostatné sú – containers

Na containers nenastavujem GPO a nemôžem delegovať

V containers nemôžem vytvárať vnorené OU

YOUR LOGO

Vytvorenie OU

YOUR LOGO

Default containers

Ak použijem uvedené príkazy, tak užívateľ aj computer sú vytvorené v default containeroch.

Niekedy je snaha presmerovať - Redirusr OU=Test, DC=fourthcofee,DC=com

- Redircmp OU=Test, DC=fourthcofee,DC=com

YOUR LOGO

OU ciele

Logické uspôsobenie objektov- Možnosti vyhľadávania

- Skrývanie objektov

Správa

Skupinové politiky

Delegace – určenie zodpovednosti.

!Nenastavujem ACL – access control list, teda oprávnenia a práva prístupu napr na tiskárnu. Na to používam skupiny, nie OU!!!

YOUR LOGO

Presun delete,...

Objekty medzi OU možné prenášať – drag and drop

Ak zmažem OU tak po upozornení zmažem aj objekty

YOUR LOGO

DSADD

Možnosť priadania z konzoli

Dsadd ou ou=test,dc=fourthcoffee,dc=com

Alebo remove

Dsrm ou=test,dc=fourthcoffee,dc=com

Dsmove...- presun aj zmena mena

Všetky presuny iba v rámci domény!

YOUR LOGO

Možnosť použiť vbscript – nie nutné sakúšku

'Set domain naming context as testing.com

Set DNC = GetObject("LDAP://dc=testing,dc=com")

'Create OU

Set NewOU = DNC.Create("organizationalUnit","OU=Praha")

'Configure the OU properties

NewOU.ou = „Praha"

NewOU.SetInfo

MsgBox "The Praha OU has been created“

YOUR LOGO

Štruktúra OU

Veľmi podstatný faktor, nutnosť stanoviť a zdokumentovať

Na štruktúru vplýva: lokalizácia, delegácia, rôznorodosť HW a počítačov, veľkosť organizácie a dostupnosť.

Často volíme na rovnakom leveli pobočky (lokalizácia), funkcie (sales, marketing), HW (servers, WS)

YOUR LOGO

Napr. lokalizácia

YOUR LOGO

Napr. Funkcie – business units

YOUR LOGO

Napr. HW, Users

YOUR LOGO

Delegovanie

Určenie užívateľa alebo skupiny, ktorá bude mať oprávnenia nad určitou OU a jej pod OU.

Delegovanei je dedičné na podradené OU

YOUR LOGO

Určenie komu delegujeme oprávnenia

YOUR LOGO

Určenie aké oprávnenia delegujeme

YOUR LOGO

Custom, môže špecifikovať typ objektov a atribúty

YOUR LOGO

General alebo propery specific

YOUR LOGO

Security tab

Výsledok delegácie je nastavenie v časti security

YOUR LOGO

YOUR LOGO

Upozornenie

Nikdy nedelegujte užívateľovi oprávnenie nad jeho vlastnou skupinou, tak že by skupina bola v OU nad ktorou ma užívateľ veľké právo.

Užívateľ by mohol pridať niekoho iného do danej skupiny!!!

YOUR LOGO

Group policy Objects

Odporúčané nainštalovanie Grou policy management konzole.

Nastavenie GPO na konkrétnom OU, nie skupine!

YOUR LOGO

GPO

GPO – objekt skupinovej politiky

Možnosť nalinkovať jeden objekt na viac OU

Delete – mažem GPO, alebo iba link?

YOUR LOGO

GPO

Viac ako 300 možných nastavení a obmedzení na počítače a užívateľov

Možnosť zakázať zmenu plochy, Contrl panels, zakázať CMD a podobne.

YOUR LOGO

GPO editor

Computer a User Configuration

Obecne rôzne nastavenia, v prípade rovnakých je CC silnejšie.

Computer Config – sa uplatňuje iba na PC v danej OU

User Config - sa uplatňuje iba na užívateľov v danej OU a skupiny

YOUR LOGO

YOUR LOGO

Nastavenie politiky

GPO má všetky nastavenia „Not configured“

Toto nastavenie sa neuplatní a ponechá default, alebo uplatnenie inej politike.

Politiky sa uplatňujú postupne, posledná uplatnená „prebije“ predchádzajúce – ak je nastavená (nie not configured)

YOUR LOGO

Postupnosť uplatnenia

Local – počítač, aj keď nie je v AD, má svoju politiku

Site – viac ako doména

Domain – doménová politika, existuje „default domain policy“

OU – politika na OU, a postupne hierarchicky na ďalších OU.

YOUR LOGO

Link GPO

Možnosť nalinkovať Drag-and drop GPO na OU

YOUR LOGO

Delete Linku

YOUR LOGO

Delete GPO – zmaže aj všetky linky

YOUR LOGO

Link Disable

Ak odškrtneme Link enable, tak potom link zostane ale sa neuplatní.

Vhodné pre testovanie

YOUR LOGO

Blokovanie dedičnosti

Na OU je možnosť zvoliť blokovanie dedičnosti.

Blokuje distribúciu uplatnenie VŠETKÝCH GPO z nadradených OU na seba.

Pozor aj Default Domain Policy sa neuplatní

Značné zníženie bezpečnosti.

YOUR LOGO

Enforced

Na konkrétnom Linku, konkrétnej OU je možné zvoliť Enforced (v staršej konzole – No Override)

Zabezpečí, že daná politika sa bude dediť aj na priek Block inheritance.

Dôležité u bezpečnostných politík

YOUR LOGO

Uplatnenie politiky

Rôzne, závislé od politík- Často stačí na stanici príkaz: gpupdate /force

- U politík, ako inštalácia SW nutný Logou, Login

- U plitík, inštalácia SW na PC, nutný reštart PC.