Politechnika Białostocka



Podobne dokumenty
Politechnika Białostocka

Z pojedynczym obiekcie zasady grupy znajdziemy dwa główne typy ustawień:

Politechnika Białostocka

Windows Server 2012 Active Directory

Instalacja Active Directory w Windows Server 2003

Praca w sieci z serwerem

Korzystanie z edytora zasad grupy do zarządzania zasadami komputera lokalnego w systemie Windows XP

Group Policy Objects (GPO) Część 1/2 - krótkie wprowadzenie. Paweł Damian, MCSE (pawel@sz-ek.pl)

Instalacja Webroot SecureAnywhere przy użyciu GPO w Active Directory

Laboratorium A: Zarządzanie ustawieniami zabezpieczeń/klucz do odpowiedzi

Instalacja i konfiguracja serwera IIS z FTP

Wykonać Ćwiczenie: Active Directory, konfiguracja Podstawowa

1. Przygotowanie konfiguracji wstępnej Windows Serwer 2008 R2

Tomasz Greszata - Koszalin

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Windows Server Active Directory

Kadry Optivum, Płace Optivum. Jak przenieść dane na nowy komputer?

Płace Optivum. 1. Zainstalować serwer SQL (Microsoft SQL Server 2008 R2) oraz program Płace Optivum.

Windows Server 2008 Standard Str. 1 Ćwiczenia. Opr. JK. I. Instalowanie serwera FTP w Windows Server 2008 (zrzuty ekranowe z maszyny wirtualnej)

Kadry Optivum, Płace Optivum. Jak przenieść dane na nowy komputer?

Jak używać funkcji prostego udostępniania plików do udostępniania plików w systemie Windows XP

Tomasz Greszata - Koszalin

Tomasz Greszata - Koszalin

Zanim zaczniesz. Warto ustawić kartę sieciową naszego serwera.

MONITOROWANIE WINDOWS Z NETCRUNCHEM 7 P A G E 1

Windows W celu dostępu do i konfiguracji firewall idź do Panelu sterowania -> System i zabezpieczenia -> Zapora systemu Windows.

1. Zakres modernizacji Active Directory

Budowa i administracja systemów operacyjnych Laboratorium 14 Usługi katalogowe w systemie Windows

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat protokołu http.

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server

Instalacja i konfiguracja serwera WSUS. Ćwiczenie 1 Instalacja serwera WSUS. Mariusz Witczak Bartosz Matusiak

Systemy operacyjne. Zasady lokalne i konfiguracja środowiska Windows 2000

Instrukcja instalacji Control Expert 3.0

Skonfigurowanie usług katalogowych Active Directory (AD)

Usługi katalogowe. II. Organizacja usług katalogowych w systemach Windows Server

Administrowanie systemami sieciowymi Laboratorium 3

Kancelaria Prawna.WEB - POMOC

Tworzenie oraz zarządzanie użytkownikami w AD -Win Serwer 2008

Rozwiązanie Zadania egzaminacyjnego egzamin praktyczny z kwalifikacji e13 styczeń 2015

Pracownia internetowa w szkole ZASTOSOWANIA

oprogramowania F-Secure

Rozdział 5. Administracja kontami użytkowników

Zasady grupy (GPO) Windows Server 2008 R2. Przykładowa grupy.

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Budowa i administracja systemów operacyjnych Laboratorium 15 Administrowanie kontami użytkowników

8. Sieci lokalne. Konfiguracja połączenia lokalnego

Tomasz Greszata - Koszalin

Rozdział 8. Sieci lokalne

Ustawienia personalne

Użycie pakietów instalacyjnych.msi w oprogramowaniu WYWIAD Plus

Serwer druku w Windows Server

pasja-informatyki.pl

Synchronizator plików (SSC) - dokumentacja

Pracownia internetowa w szkole podstawowej (edycja jesień 2005)

Compas 2026 Personel Instrukcja obsługi do wersji 1.05

Konta uŝytkowników. Konta uŝytkowników dzielą się na trzy grupy: lokalne konta uŝytkowników, domenowe konta uŝytkowników, konta wbudowane

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Laboratorium Systemów Operacyjnych

Pakiet informacyjny dla nowych użytkowników usługi Multimedia Internet świadczonej przez Multimedia Polska S.A. z siedzibą w Gdyni

Laboratorium A: Korzystanie z raportów zasad grupy/klucz do odpowiedzi

4. Podstawowa konfiguracja

Instalacja i konfiguracja Symfonia.Common.Server oraz Symfonia.Common.Forte

Konfiguracja serwera DNS w systemie Windows Server 2008 /2008 R2

Tomasz Greszata - Koszalin

Nieskonfigurowana, pusta konsola MMC

Systemy operacyjne i sieci komputerowe Szymon Wilk Konsola MMC 1

Instrukcja instalacji Asystenta Hotline

Zadanie 2. Tworzenie i zarządzanie niestandardową konsolą MMC

William R. Stanek. Vademecum Administratora 2012 R2. Windows Server. Podstawy i konfiguracja. Przekład: Leszek Biolik

Instalacja i podstawowa konfiguracja aplikacji ImageManager

Instrukcja konfiguracji funkcji skanowania

Xopero Backup Build your private cloud backup environment. Rozpoczęcie pracy

Ustalanie dostępu do plików - Windows XP Home/Professional

Sposoby zdalnego sterowania pulpitem

Spis treści

Instalacja systemu zarządzania treścią (CMS): Joomla

Konfiguracja połączenia internetowego serwera w pracowni Microsoft

onfiguracja serwera DNS w systemie Windows Server 2008 /2008 R2

Krótka instrukcja instalacji

Konfiguracja oprogramowania w systemach MS Windows dla kont z ograniczonymi uprawnieniami

11. Autoryzacja użytkowników

10.2. Udostępnianie zasobów

Wprowadzenie do Active Directory. Udostępnianie katalogów

Praca w sieci równorzędnej

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

Instalacja PPPoE w systemie Windows XP za pomocą kreatora nowego połączenia sieciowego

UNIFON podręcznik użytkownika

Ćwiczenie 2. Instalacja i konfiguracja serwera Windows Serwer 2008 cz. 1

Ćwiczenie Zmiana sposobu uruchamiania usług

OBSŁUGA I KONFIGURACJA SIECI W WINDOWS

Ćw. I. Środowisko sieciowe, połączenie internetowe, opcje internetowe

Instrukcje dotyczące systemu Windows w przypadku drukarki podłączonej lokalnie

Instalacja protokołu PPPoE

POLITECHNIKA POZNAŃSKA

podstawowa obsługa panelu administracyjnego

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Instrukcja instalacji

Procedura wygenerowania paczki instalacyjnej oprogramowania F-Secure

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Instalacja systemów operacyjnych i tworzenie domeny

Transkrypt:

Politechnika Białostocka Wydział Elektryczny Katedra Telekomunikacji i Aparatury Elektronicznej Instrukcja do zajęć laboratoryjnych Temat ćwiczenia: Zintegrowane zarządzanie systemem sieciowym z wykorzystaniem usług katalogowych Active Directory Numer ćwiczenia: 6 Laboratorium z przedmiotu: Zarządzanie sieciami i usługami telekomunikacyjnymi 2 Kod przedmiotu: TS2B201 112 Wstęp W przypadku dużych środowisk sieciowych stosowane są zintegrowane systemy zarządzania pozwalające na scentralizowane administrowanie systemem złożonym z wielu serwerów, stacji roboczych i innych urządzeń sieciowych. Pozwalają one na wykonywanie wielu zadań administracyjnych takich jak instalowanie oprogramowania, poprawek, dodawanie użytkowników, przypisywanie uprawnień użytkownikom, monitorowanie systemu bez konieczności bezpośredniego fizycznego dostępu do zarządzanych stacji. W systemach rodziny MS Windows dostępny jest system usług katalogowych o nazwie Active Directory (AD) zapewniający rozbudowaną funkcjonalność centralnego zarządzania systemem stacji roboczych i serwerów. System AD stanowi przedmiot niniejszego ćwiczenia, które zostało podzielone na dwie części: Podstawy usług katalogowych Active Directory w systemie Windows; Administrowanie uprawnieniami użytkowników w systemie Windows z wykorzystaniem zasad grup (GPO) w usłudze Active Directory Część 1 - Podstawy usług katalogowych Active Directory w systemie Windows 1. Wprowadzenie do usługi Active Directory. Usługa Active Directory jest całkowicie zintegrowana z systemem operacyjnym Windows 2000/2003/2008 Server i oferuje hierarchiczny widok, rozszerzalność, skalowalność oraz rozproszone zabezpieczenia. Usługa umożliwia administratorom, programistom i końcowym użytkownikom uzyskanie dostępu do usługi katalogowej bezproblemowo zintegrowanej ze środowiskiem Internetu i intranetu. Umożliwia ona administratorom i końcowym użytkownikom korzystanie z usługi katalogowej jako źródła informacji, jak również jako usługi administracyjnej. Usługa Active Directory integruje pochodzącą z Internetu koncepcję przestrzeni nazw z usługą katalogową systemu operacyjnego. Obszar nazw jest strukturalnym zbiorem informacji, w którym nazwy mogą być używane do symbolicznej reprezentacji różnego typu informacji, tak jak nazwa hosta reprezentuje adres IP i w którym ustalone są wyraźne zasady określania, w jaki sposób nazwy mogą być tworzone i używane. Integracja koncepcji nazw z usługą katalogową pozwala na ujednolicenie i zarządzanie wieloma obszarami nazw, które istnieją w heterogenicznych środowiskach sprzętowo-programowych w sieciach korporacyjnych. Usługa Active Directory wykorzystuje protokół LDAP (Lightweight Directory Access Protocol) i może działać bez ograniczeń systemowych, integrując wiele obszarów nazw. Może zarządzać katalogami aplikacji, jak również innymi katalogami, opartymi na sieciowych systemach operacyjnych, dostarczając katalog ogólnego użytku mogący zmniejszyć obciążenie administracyjne oraz koszty związane z utrzymywaniem wielu obszarów nazw. Usługa Active Directory nie jest katalogiem protokołu X.500. Zamiast niego korzysta z LDAP jako protokołu dostępowego i wspiera model informacji protokołu Białystok 2010-2 -

X.500, bez wymagania, aby systemy obsługiwały pełny protokół X.500. Rezultatem tego jest wysoki poziom współdziałania wspierający rzeczywiste sieci heterogeniczne. Usługa Active Directory udostępnia jeden punkt administracyjny dla wszystkich ogłaszanych zasobów, takich jak pliki, urządzenia peryferyjne, połączenia hostów, bazy danych, dostęp do sieci Web, użytkownicy, usługi i inne obiekty. Korzysta ona z internetowej usługi DNS (Domain Name System) jako usługi lokalizatora oraz organizuje obiekty w domenach w hierarchię jednostek organizacyjnych (Organizational Unit - OU) i umożliwia wielu domenom łączenie się w strukturę drzewa. Administracja jest jeszcze bardziej uproszczona, ponieważ nie występują znane z Windows NT4.0 problemy podstawowy/zapasowy kontroler domeny. Zamiast tego usługa Active Directory wykorzystuje tylko kontrolery domeny. Wszystkie kontrolery domeny są równoprawne. Administrator może wprowadzić zmiany w dowolnym kontrolerze domeny, a uaktualnienia zostaną replikowane na wszystkie inne kontrolery domeny. Usługa Active Directory, jak wszystkie usługi katalogowe jest zasadniczo obszarem nazw. Obszar nazw jest każdą ograniczoną przestrzenią, w której istnieje możliwość przetworzenia nazwy. Przetwarzanie nazw jest procesem tłumaczenia nazw na obiekty lub informację, którą nazwa reprezentuje. Obszar nazw usługi Active Directory opiera się na schemacie nazewniczym DNS, co umożliwia współdziałanie z technologiami internetowymi. Stosując wspólny obszar nazw można ujednolicić i zarządzać wieloma środowiskami sprzętowo-programowymi w sieci. Istnieją dwa typy obszarów nazw: ciągły i nieciągły różniące się sposobem powiązania obiektów nadrzędnego i podrzędnego (np. pliku i katalogu). Działanie usługi Active Directory wymaga istnienia w domenie, co najmniej jednego (głównego) kontrolera domeny. Konwersje komputera z systemem Windows 2000/2003 z dowolnej wersji serwerowej wymaga uruchomienia odpowiedniego kreatora. Można to uczynić: 1. Z menu Start wybieramy pozycje Uruchom i w okienku wpisujemy dcpromo.exe 2. Z menu Start wybieramy Narzędzia administracyjne -> Zarządzanie tym serwerem, następnie Dodaj lub usuń rolę (rysunek 1), zaznaczamy Kontroler domeny (Active Directory) (rysunek 2) i klikamy przycisk Dalej. Uruchomienie instalatora może również odbyć się z wykorzystaniem Kreatora konfigurowania serwera uruchamianego z menu Start i zakładki Narzędzia administracyjne. Najłatwiejszym sposobem uruchomienia programu instalatora kontrolera domeny jest wpisanie w okienku Uruchom menu Start polecenia: dcpromo. W pierwszym oknie instalatora klikamy przycisk Dalej. W kolejnym oknie zostawiamy wybraną opcje Kontroler domeny dla nowej domeny (rysunek 3). Klikamy przycisk Dalej. Rys. 1. Widok okna Zarządzanie tym serwerem. Rys. 2. Uruchomienie instalatora dla kontrolera domeny Windows i usługi Active Directory. - 3 - - 4 -

Komputery naszej domeny, w której działa usługa katalogowa powinny być widoczne w sieci globalnej. Stad konieczność nadania jej nazwy (rysunek 5). W okienku dialogowym wpisujemy pełną nazwę domeny (np. lab-ad.netlab.pb) i klikamy przycisk Dalej. Rys. 3. Na wybranym komputerze instalujemy kontroler nowej domeny. W kolejnym oknie dialogowym (rysunek 4) wybieramy tworzenie domeny w nowym lesie domen. Na opcje Tworzenie nowego potomka domeny w istniejącym drzewie domen decydujemy się wtedy, gdy w istniejącym już drzewie domen chcemy utworzyć nowa domenę. W naszym przypadku chodzi nam o utworzenie całkowicie nowego, oddzielnego drzewa w nowym, nie istniejącym jeszcze lesie domen. Klikamy przycisk Dalej. Rys. 5. Propozycja nazwy domeny. Domena powinna zostać wcześniej zarejestrowana. Powinna zostać również wpisana na najbliższym, uznanym serwerze DNS. W przypadku domeny omawianej w opracowaniu jej pełna nazwa to: lab-ad.netlab.pb i została ona zarejestrowana w domenie: netlab.pb. Ponieważ usługi katalogowe Windows wykorzystują protokół NetBIOS konieczne jest również podanie nazwy domeny dla potrzeb tego protokołu. Instalator podpowiada nazwę, będącą pierwsza częścią nazwy DNS (rysunek 6). Zatwierdzamy nazwę klikając przycisk Dalej. Rys. 4. Tworzymy nowe drzewo domen. - 5 - Rys. 6. Nazwa domeny dla protokołu NetBIOS. - 6 -

W kolejnym oknie kreatora decydujemy o położeniu na dysku serwera pliku bazy danych usługi Active Directory i pliku diagnostyki (dziennika - log). Dla poprawnego działania aplikacji systemowych oraz w celu uniknięcia późniejszych problemów z konfiguracja komponentów usługi katalogowej zaleca się pozostanie przy proponowanych ustawieniach (rysunek 7). Niektórzy zalecają rozdzielenie pliku bazy danych i pliku dziennika na dwa fizyczne dyski. Rozwiązanie to stosujemy w dużych domenach dla zwiększenia wydajności bazy danych usługi. Jakiekolwiek braki w konfiguracji DNS objawia się w kolejnym oknie. Jeśli nie mamy połączenia ze światem zewnętrznym lub nasza domena nie została zarejestrowana lub nie mamy poprawnie skonfigurowanej usługi DNS pojawi się okno ostrzeżenia w którym wybieramy opcję zainstalowania serwera DNS na tym komputerze (rysunek 9). Klikamy przycisk Dalej. Rys. 7. Katalogi plików bazy danych i diagnostyki (dziennika) usługi Active Directory. Kolejne okno umożliwia specyfikacje katalogu występującego na kontrolerze domeny, współdzielonego przez wszystkie komputery w domenie (katalogu systemowego domyślna lokalizacja %systemroot%\sysvol). Katalog jest wykorzystywany głównie do komunikacji, dla utrzymania spójności danych w bazie Active Directory. Zawiera skrypty i niektóre obiekty zasad grup dla domeny. Jest udostępniony i musi znajdować się na wolumenie partycji sformatowanej w systemie plików NTFS 5.0. Również i tutaj pozostajemy przy proponowanej nazwie i klikamy przycisk Dalej (rysunek 8). Rys. 9. Automatyczna instalacja i konfiguracja DNS. Kolejne okno instalatora umożliwia zdecydowanie o sposobie dostępu do zasobów usługi Active Direktory serwera z komputerów domeny. Jest on wymagany przez niektóre aplikacje. Jeśli w domenie mają pracować komputery z systemem starszym od Windows 2000 wybieramy opcję pierwszą. Jeśli nasza domena składa się z komputerów pracujących tylko pod kontrola systemu Windows 2000 lub nowszych wybieramy opcję drugą (rysunek 10). Rys. 8. Specyfikacja folderu systemowego dla potrzeb usługi Active Directory. Rys. 10. Określenie sposobu dostępu do zasobów usługi Active Directory. - 7 - - 8 -

W kolejnym oknie podajemy oraz weryfikujemy hasło, które może zostać wykorzystane w przypadku odtwarzania zawartości bazy danych usługi AD, np. po awarii systemu (rysunek 11). Pola te można pozostawić puste. Rys. 11. Hasło administratora domeny. Na zakończenie pojawia się okno podsumowania wybranych ustawień. Naciskamy przycisk Dalej uruchamiając proces instalacji usługi. Na zakończenie pojawia się okno podsumowania wykonanej instalacji. Po kliknięciu przycisku Zakończ restartujemy komputer. Serwer kontrolera domeny jest gotowy do pracy. Czynności do wykonania: 0. Uruchom system Windows 2003 Server na maszynie wirtualnej skonfigurowanej na jednym z komputerów znajdujących się na stanowisku laboratoryjnym. Zaloguj się do tego serwera jako użytkownik Administrator. 1. Dla aktywnego interfejsu sieciowego skonfiguruj ustawienia protokołu TCP/IP na adres z sieci 192.168.1.0/24. Nadaj własną nazwę hosta (np. dc, grupy roboczej oraz prefix DNS netlab.pb. Sprawdź czy serwer ten komunikuje się sieciowo z innym komputerem na stanowisku laboratoryjnym. W razie potrzeby dokonaj odpowiednich ustawień sieciowych. 2. Dokonaj konwersji skonfigurowanego w poprzednim kroku komputera do kontrolera domeny z usługą Active Direktory (wykonując opisane powyżej kroki). Po ponownym uruchomieniu serwera jego identyfikacja sieciowa powinna wyglądać jak na rysunku 12 (z dokładnością do nazwy komputera i domeny). Rys. 12. Identyfikacja sieciowa serwera domeny. Zmiana nazwy kontrolera domeny (przeniesienie go do innej domeny), jeśli ten został zbudowany z wykorzystaniem systemu Windows2000, jest w ogóle niemożliwa. W przypadku kontrolera z systemu Windows 2003 nazwę kontrolera można zmienić, ale z zachowaniem wskazówek opisanych w oknie przedstawionym na rysunku 13. Rys. 13. Warunki zmiany nazwy kontrolera domeny. Podłączanie komputera klienckiego do domeny. Dowolny komputer podłączamy do domeny zmieniając jego identyfikację w środowisku sieciowym. W tym celu klikamy prawym przyciskiem myszy na ikonkę Mój komputer i z menu wybieramy pozycje Właściwości. Z okienka Właściwości wybieramy zakładkę Nazwa komputera i klikamy przycisk Zmień (rysunek 14). - 9 - - 10 -

Jeśli domena została znaleziona, to pojawi się okienko dialogowe, w którym podajemy nazwę użytkownika (Administrator) i hasło umożliwiające dostęp do zasobów usługi Active Directory. Jest to samo hasło, które zostało podane jako hasło Administratora podczas serwera AD. Klikamy przycisk OK. Rys. 14. Identyfikacja sieciowa komputera. Pojawi się kolejne okienko, w którym nasz komputer będzie widziany jako członek grupy roboczej (rysunek 15). Zaznaczamy opcję Domena w ramce Członkostwo i w okienku dialogowym wpisujemy nazwę domeny (np. lab-ad.netlab.pb). Rys. 16. Nazwa użytkownika i hasło umożliwiające podłączenie do domeny. Po poprawnym podłączeniu do domeny pojawi się okno z komunikatem powitania (Rys. 17). Rys. 17. Poprawne podłączenie komputera do domeny. Komputer należy przeładować. W tym momencie zmienia się sposób logowania do systemu (następuje rozróżnienie użytkowników lokalnych i domenowych) oraz pojawia się dostęp do zasobów domeny. Czynności do wykonania: 3. Na komputerze klienckim zmień identyfikacje sieciową, tak aby podłączyć go do domeny o nazwie wykorzystanej podczas konfiguracji serwera. Ustaw statyczny adres IP oraz jako serwer DNS podaj adres serwera DNS obsługującego tę domenę (u nas będzie to ten sam serwer co kontroler domeny). Następnie ustaw wybraną nazwę (np. stacja) oraz członkostwo w domenie lab-ad.netlab.pb. Na kontrolerze domeny może być konieczne wyłączenie zapory sieciowej lub skonfigurowanie jej w sposób pozwalający na korzystanie z DNS i innych wymaganych zasobów. Rys. 15. Zmiana identyfikacji komputera w celu podłączenia go do domeny lab-ad.netlab.pb. - 11 - - 12 -

Po przeładowaniu komputerów klienckich możemy sprawdzić ich obecność w domenie. W tym celu na serwerze domeny uruchamiamy z menu Start -> Programy -> Narzędzia Administracyjne ->Użytkownicy i komputery Active Directory. Rozwijając gałąź Komputery (Computers) w lewym fragmencie okna, po prawej stronie powinny pojawić się charakterystyki wszystkich komputerów członkowskich w domenie (rysunek 18). Rys. 18. Komputer(y) w domenie lab-ad.netlab.pb. Dodawanie użytkownika domenowego. Użytkownika domenowego dodajemy na serwerze domeny po podłączeniu się do systemu jako Administrator. Z menu Start wybieramy pozycje Programy -> Narzędzia administracyjne -> Użytkownicy i komputery Active Directory. W lewej części okna aplikacji (rysunek 19) klikamy dwukrotnie lewym przyciskiem myszy na ikonkę naszej domeny. W rozwinięciu pokażą się wszystkie składniki usługi Active Directory. Klikamy lewym przyciskiem myszy na składnik Użytkownicy (Users). W oknie po prawej stronie pojawi się lista użytkowników domenowych. Aby dodać użytkownika klikamy prawym przyciskiem myszy na wolnym polu prawej części okna aplikacji i z menu skrótu wybieramy pozycje Nowy, a następnie Użytkownik (rysunek 19). W pierwszym oknie opisu użytkownika (rysunek 20) podajemy jego rzeczywiste imię i nazwisko. Założenie użytkownika bez podania imienia i nazwiska jest możliwe, lecz absolutnie nie zalecane. Proponujemy również nazwę w systemie (User logon name). Przykładowy użytkownik będzie mógł się podłączać z każdego komputera postawionego w domenie zast2. Po wypełnieniu wszystkich okienek dialogowych klikamy przycisk Dalej (Next...). Rys. 19. Dodanie użytkownika domenowego. Rys. 20. Podstawowe dane użytkownika. - 13 - - 14 -

W kolejnym okienku dialogowym ustalamy pierwsze hasło użytkownika. Nie jest dopuszczalne podanie hasła pustego. Mamy wówczas konto, na które każdy może się zalogować. Hasło powinno składać się z liter dużych i małych (rozróżnialne) i cyfr. Długość 6-8 znaków. Zalecane jest zaznaczenie konieczności zmiany hasła przy kolejnym logowaniu się, jak na rysunku 21 (w celach testowych można pominąć te ograniczenia). Klikamy przycisk Dalej. Od tej pory użytkownik o nazwie w systemie rambo może podłączać się korzystając z dowolnego komputera zainstalowanego w domenie lab-ad.netlab.pb. Użytkownik ten pojawił się również w okienku aplikacji zarządzania użytkownikami domeny. Jego właściwości są dostępne po dwukrotnym kliknięciu na linie opisu dotyczącą tego użytkownika oknie aplikacji zarządzania użytkownikami domeny. Przykład dostępnych opcji pokazano na rysunku 23. Rys. 21. Ustalenie hasła użytkownika i podstawowych opcji konta i hasła. Ostatnie okienko zawiera podsumowanie (rysunek 22). Klikamy przycisk Zakończ. Rys. 23. Właściwości użytkownika w domenie. Czynności do wykonania: 4. Na komputerze będącym serwerem domeny załóż konta dla dwóch rożnych użytkowników. Sprawdź poprawność operacji logowania próbując podłączyć się z dowolnego komputera jako jeden z nowo założonych użytkowników. Jednym z aspektów bezpieczeństwa systemu są założenia dotyczące haseł użytkowników. Aplikację Polityk bezpieczeństwa domeny (Domain Security Policy) uruchamiamy z menu Start -> Programy - >Narzędzia Administracyjne -> Zasady zabezpieczeń domeny (rysunek 24). Rys. 22. Podsumowanie informacji o nowym użytkowniku w domenie lab-ad.netlab.pb. - 15 - - 16 -

Część 2 Administrowanie uprawnieniami użytkowników z wykorzystaniem zasad grup (GPO) w usłudze AD Rys. 24. Założenia polityki bezpieczeństwa w domenie w odniesieniu do haseł użytkowników. Czynności do wykonania: 5. Sprawdź skuteczność założeń polityki bezpieczeństwa domeny w odniesieniu do haseł użytkowników zmieniając wartości kluczy w prawym oknie aplikacji. Zwróć uwagę na zależności miedzy kluczami. 2.1. Wprowadzenie do koncepcji zasad grup W usłudze Active Directory zasady grup GPO (Group Policy Objects) pozwalają na automatycznego zarządzanie i konfigurowania dużej liczby komputerów klienckich czy serwerów. Pozwalają one na zdefiniowanie różnych grupowych ustawień i opcji dla wielu użytkowników i komputerów pracujących pod kontrolą systemu Windows Server. Zasady grup są zbiorami ustawień kontrolującymi zachowanie zarówno stacji klienckich jak i serwerów pod bardzo wieloma aspektami. Umożliwiają głęboką ingerencję w zachowanie systemów Windows. Pozwalają między innymi na kontrolę pulpitów użytkowników pod wieloma aspektami. Dostępnych opcji są setki, a niektóre z nich to na przykład blokowanie dostępu do panelu sterowania, ograniczenie funkcji menu start, ukrycie ikony Mój komputer, zablokowanie uruchamiania określonego programu itd. Za pomocą GPO możemy ponadto kontrolować zachowanie komputerów klienckich czy serwerów. Mamy do dyspozycji szereg ustawień, których przykładem mogą być: konfiguracja uprawnień do folderów; konfiguracja rejestru; instalacja i zarządzanie aplikacjami; definiowanie skryptów; przekierowanie folderów; konfiguracja IE. Konkretne ustawienia w ramach zasady grup tworzą tzw. obiekt zasad grup (Group Policy Object GPO). Każdy taki obiekt składa się z dwóch części : - ustawień użytkownika ustawienia w tej części dotyczą kont osób logujących się w sieci; - ustawień komputera pozwalają wymuszać określone parametry w odniesieniu do konkretnych maszyn. Rys. 2.1. Widok zasady GPO w edytorze zasad grup - 17 - - 18 -

Dzięki temu możliwe jest na przykład określenie, że użytkownik Student, niezależnie od komputera na którym się loguje, ma mieć zablokowaną możliwość zmiany hasła. Z drugiej natomiast strony możemy chcieć, aby każdy, kto zaloguje się na jednym konkretnym komputerze, nie mógł uruchomić Windows Installer a wtedy opcję tą konfigurujemy w węźle ustawień komputera. Obiekty GPO mogą być przypisywane w Active Directory w kilku miejscach: - lokalnie; - na poziomie lokacji; - domeny; - jednostki organizacyjnej. Lokalne GPO przechowywane jest, jak nazwa wskazuje, na każdym pojedynczym komputerze osobna. Dotyczy więc ono ustawień tylko tej jednej maszyny. Ten typ GPO jest używany najczęściej w środowisku sieciowym, w którym nie istnieje Active Directory. GPO lokalne umożliwia kontrolę zachowania systemu, ale wymaga ręcznej konfiguracji na każdym komputerze z osobna. Ten rodzaj GPO jest więc mało efektywny w większych sieciach, w których to stosuje się nielokalne obiekty zasad grup. To właśnie takie GPO są wykorzystywane przez Active Directory. Ponieważ zasady PGO mogą być przypisywane na różnych poziomach, istotne jest określenie kolejności ich stosowania. Najczęściej obiekty GPO są aplikowane w następującej kolejności : - GPO lokalny; - GPO lokacji; - GPO domeny; - GPO jednostek organizacyjnych. Jest to ustawienie domyślne, jednak istnieje także możliwość wpływania na kolejność stosowania zasad GPO. Zgodnie z powyższą kolejnością, ustawienia zawarte w lokalnym GPO mogą być zastąpione przez GPO lokacji, te z kolei przez GPO domeny itd. (rysunek 2.2). Rys. 2.2. Kolejność stosowania zasad GPO [4] Ustawienia zawarte w obiektach GPO są domyślnie dziedziczone. Oznacza to, iż skonfigurowanie jakiejś opcji w GPO przypisanym na poziomie domeny włączy ją we wszystkich jednostkach organizacyjnych tej domeny. Dzieje się tak oczywiście tylko wtedy, gdy któraś z polis (zasad) aplikowanych później nie zmienia tego ustawienia na inne. Załóżmy, że skonfigurowaliśmy w polisie domenowej opcję A jako włączoną. Jeżeli w polisie jednostki organizacyjnej opcja ta będzie miała stan włączony lub nieskonfigurowany, w efekcie końcowym pozostanie włączona. Jeżeli natomiast opcja ta będzie wyłączona na poziomie OU, w efekcie końcowym także pozostanie wyłączona. Powyżej opisany mechanizm możemy modyfikować na dwa sposoby : blokując dziedziczenie i konfigurując brak zastępowania. Włączenie pierwszej opcji powoduje zignorowanie ustawień w polisach przypisanych do wszystkich kontenerów nadrzędnych. Wyjątkiem są tylko GPO z atrybutem nie zastępuj. W tym przypadku blokada dziedziczenia nie działa. Widać więc, że opcja No override (nie zastępuj) ma niejako większy priorytet. Należałoby jeszcze wspomnieć o mechanizmie pętli zwrotnej. Jest to specjalny tryb przetwarzania polisy polegający na tym, że ustawienia są stosowane niezależnie od tego, czy dany obiekt leży w jednostce organizacyjnej do której polisa jest przypisana czy nie. Jest to użyteczne w sytuacji, gdy przykładowo mamy jednostkę Biuro z kontami użytkowników oraz jednostkę Servers z serwerami, do której to podłączona została polisa. Serwery te są krytyczne, więc chcemy, niezależnie od tego kto się na nie loguje, wymusić pewne ustawienia. W tym przypadku skonfigurowanie takiej polisy w trybie pętli zwrotnej spowoduje, ze każdy użytkownik, niezależnie gdzie znajduje się jego konto w Active Directory, po zalogowaniu na serwer z jednostki Servers będzie miał zaaplikowane ustawienia takiej polisy. Działanie mechanizmów dziedziczenia oraz jego blokowania zostało pokazane w jednej z prezentacji wideo dołączonych do publikacji. 2.2. Narzędzia do konfiguracji GPO Do zarządzania zasadami (tzw. polisami) GPO system Windows udostępnia kilka narzędzi. 1) Edytor obiektów zasad grup. Stanowi on podstawowe narzędzie konfigurowania zasad GPO. Jest to przystawka do konsoli mmc, która udostępnia interfejs pozwalający na edycję konkretnych GPO. Wszystkie opcje możliwe do skonfigurowania w polisie są pogrupowane w odpowiedni sposób. Najbardziej ogólnym podziałem jest wyodrębnienie części konfiguracji użytkownika i komputera. Następnie w ramach każdej z tych gałęzi widoczne są dalsze kontenery. Poprzez wybór pozycji edytorze mamy możliwość zmiany ustawień poszczególnych opcji w danym GPO. Do edytora możemy dostać się na kilka sposobów : dodając odpowiednią przystawkę w konsoli mmc, otwierając go z poziomu Użytkownicy i komputery usługi Active Directory lub korzystając z przystawki GPMC (o której trochę więcej poniżej). Edytor GPO pozwala ponadto na aplikowanie ustawień szablonów zabezpieczeń oraz szablonów administracyjnych. Szczególnie ta druga opcja, umożliwiająca dodawanie własnych opcji do edytora GPO tworzy z GPO bardzo potężne narzędzie kontroli systemów Windows. - 19 - - 20 -

2) RSOP (Resultant Set of Policy, Wynikowy zestaw zasad) jest także przystawką konsoli mmc. Służy ona do diagnozowania problemów z GPO. RSOP może pracować w jednym z dwóch trybów: - logowania służącym do rozwiązywania problemów z już istniejącymi polisami; - planowania służącym do planowania i przewidywania zachowań GPO przed wdrożeniem w środowisku produkcyjnym. W sytuacji gdy jakieś ustawienia nie są aplikowane, lub są stosowane niezgodnie z naszymi oczekiwaniami, przystawka RSOP jest idealnym narzędziem do sprawdzenia które polisy są obowiązujące, które zostały odrzucone, jakie są efektywne ustawienia obowiązujące danego użytkownika czy komputer itd. (rysunek 2.3). Rys. 2.4. Widok ekranu konsoli GPMC. Rys. 2.3. Tryby pracy narzędzia RSOP. 3) Narzędzia wiersza poleceń : gpresult, gpupdate. Pierwsze z nich pełni funkcję podobną do RSOP pozwala z wiersza poleceń wyświetlić obowiązujące w danej chwili polisy. Gpupdate natomiast umożliwia natychmiastowe odświeżenie ustawień. Jest to przydatne w szczególności wówczas, gdy testujemy pewne ustawienia i nie chcemy czekać przez kilkadziesiąt minut aż komputer sam odświeży listy GPO. Korzystając z polecenia gpupdate możemy natychmiast wymusić aktualizację wszystkich ustawień GPO. 4) Przystawka GPMC (Group Policy Management Konsole) to chyba najbardziej kompleksowe narzędzie do kontroli działania GPO. Z poziomu tej przystawki możliwe jest zarówno uruchamianie edytora GPO w celu zmiany ustawień, jak i podłączanie polis do określonych miejsc (domena, jednostki organizacyjne), możliwość wyłączenia części danej polisy (np. obowiązywać mają tylko ustawienia użytkownika), zablokowanie dziedziczenia, czy nawet wygenerowanie danych RSOP. Jest to narzędzie integrujące poprzednio omawiane konsole w jedno spójne centrum zarządzania GPO. Konsola ta (rysunek 2.4) nie jest instalowana domyślnie, ale można ją bezpłatnie pobrać ze stron firmy Microsoft. 2.3. Ograniczanie zakresu obowiązywania GPO Obiekty GPO nie są przypisywane do użytkowników czy grup, a do lokacji, domen czy jednostek organizacyjnych. Pozornie może wydawać się, że GPO są przypisywane do grup. Jednak w rzeczywistości obiekty GPO mogą być jedynie filtrowane w oparciu o członkowstwo w grupach, ale do grup jako takich przypisywane być nie mogą. Aby dana polisa mogła zostać zastosowana, użytkownik lub komputer musi posiadać prawo odczytu oraz zastosowania danej polisy. Cofając więc te prawa możemy łatwo wykluczyć pewną grupę spod obowiązywania danego GPO. Drugim sposobem ograniczania zasięgu GPO jest filtrowanie za pomocą skryptów WMI (Windows Management Instrumentation). Przykładowo możliwe jest skonfigurowanie polisy, która będzie skojarzona ze skryptem WMI wybierającym tylko komputery z wyłączonym firewallem. W polisie takiej możemy następnie skonfigurować dosyć restrykcyjne ustawienia działania systemu (ze względu na wyłączony firewall). 2.4. Instalowanie oprogramowania za pomocą GPO Mechanizm GPO pozwala na instalację oprogramowania. Ta funkcjonalność ograniczona jest niestety tylko do programów dostarczonych w postaci paczek.msi lub plików.zap, ale istnieją darmowe narzędzia pozwalające takie właśnie pliki tworzyć z dowolnych innych rodzajów instalatorów. Zanim przystąpimy do wdrożenia instalacji musimy zastanowić się, w jaki sposób oprogramowanie to ma być rozdystrybuowane. Po pierwsze, czy dany program ma być instalowany na określonych komputerach (niezależnie od tego, kto na nich pracuje), czy tylko podczas logowania określonej grupy użytkowników. Odpowiedź na to pytanie determinuje, czy opcje instalacji konfigurować powinniśmy w części ustawień komputera czy użytkownika. Kolejną kwestią nad którą musimy się zastanowić, to czy oprogramowanie ma być instalowane podczas logowania obowiązkowo, czy też użytkownik będzie miał możliwość instalacji na żądanie. GPO pozwala bowiem programy publikować (publish) lub przypisywać (assign) rysunek 2.5. - 21 - - 22 -

3.5. Przykład definiowania i wdrażania zasady GPO Jako przykład przedstawione będzie utworzenie zasady GPO blokującej dostęp do Menedżera zadań dla użytkowników znajdujących się w jednostce organizacyjnej Biuro. W tym celu w przystawce Użytkownicy i komputery usługi Active Directory wybieramy naszą domenę, tworzymy w niej nową jednostkę organizacyjną Biuro następnie jej Właściwości i zakładkę Zasady grupy (rysunek 2.7). Rys. 2.5. Ustawienia instalacji oprogramowania poprzez GPO. W pierwszym przypadku efekt działania GPO będzie taki, że użytkownikowi po uruchomieniu z panelu sterowania opcji Dodaj, usuń programy pojawi się do wyboru opcja instalacji opublikowanej aplikacji (rysunek 2.6). Rys. 2.7. Zakładka Zasady grupy we właściwościach jednostki organizacyjnej Biuro. Następnie tworzymy nową zasadę No_task_man i przechodzimy do jej edycji (rysunek 2.8). Rys. 2.6. Instalacja oprogramowania opublikowanego przez GPO. Natomiast w momencie użycia opcji przypisz dany program zostanie automatycznie zainstalowany podczas logowania użytkownika bez jego interwencji. Pozostało nam już tylko zdecydowanie, czy chcemy aby w momencie wyłączenia danego GPO oprogramowanie zostało odinstalowane czy nie. Zazwyczaj zaleca się włączanie takiej konfiguracji, ponieważ jeżeli nie wymusimy odinstalowania, tracimy możliwość późniejszego automatycznego usunięcia danego programu. Zmusza nas to do ręcznej rekonfiguracji stacji klienckich których dotyczyło GPO. Rys. 2.8. Edycja zasady No_task_man. - 23 - - 24 -

W grupie Konfiguracja użytkownika wybieramy Szablony administracyjne -> System -> Opcje klawiszy Ctrl+Alt+Del i włączamy ustawienie Usuń Menedżera zadań (rysunek 2.9). 2.6. Plan wykonania ćwiczenia 1. Utworzyć przedstawioną w punkcie 2.5 zasadę blokującą dostęp do Menedżera zadań i sprawdzić jej działanie. 2. Zdefiniować zasadę grupy ustawiającą dla użytkowników z jednostki organizacyjnej Biuro określoną tapetę na pulpicie. 3. Zdefiniować zasadę grupy blokującą dla użytkowników z jednostki organizacyjnej Biuro dostęp do ustawień ekranu. 4. Utworzyć zasadę grupy ustawiającą dla użytkowników z jednostki organizacyjnej Biuro określoną stronę startową w przeglądarce Internet Explorer. Użytkownicy nie powinni mieć możliwości zmiany tak wdrożonego ustawienia strony głównej. 5. Skonfigurować zasadę grupy automatycznie instalującą dla użytkowników z jednostki organizacyjnej Biuro oprogramowanie edytora XML (plik XmlNotepad.msi). Sprawozdanie W sprawozdaniu należy przedstawić wykonaną konfigurację oraz zamieścić opis przeprowadzonych prób mających na celu potwierdzenie zgodności działania utworzonego systemu z wstępnymi założeniami. Wymagania BHP Rys. 2.9. Umiejscowienie ustawienia Usuń Menedżera zadań w zasadzie No_task_man. Aby sprawdzić działanie utworzonej zasady, należy w jednostce organizacyjnej Biuro utworzyć nowego użytkownika lub przenieść tam istniejącego użytkownika domenowego. Po zalogowaniu się na konto tego użytkownika opcja menedżer zadań powinna być nieaktywna (rysunek 2.10). Zgodnie z podanymi na pierwszych zajęciach i potwierdzonymi przez studentów zasadami obowiązującymi w pomieszczeniu, w którym odbywają się ćwiczenia. Stosowny regulamin BHP jest też wywieszony w pomieszczeniu laboratorium. Literatura 1. S. Reimer, M. Mulcare: Active Directory dla Microsoft Windows Server 2003. Przewodnik techniczny. APN Promise, Warszawa, 2005. 2. S. Gotojuch, E. Nowacka: Microsoft Windows Server 2003: projektowanie i organizacja Active Directory oraz usług zabezpieczeń. APN Promise, 2005. 3. J. Spealman, K. Hudson, M. Kraft, A. Steven: Planowanie, wdrażanie i obsługa infrastruktury Active Direktory Windows Server 2003. Training Kit 70-294. Wydanie II. APN Promise, Warszawa, 2007. 4. Dokumentacja techniczna Microsoft do systemu Windows Server 2003 (dostępna w laboratorium na CD-ROM oraz w witrynie http://www.microsoft.com/poland/windowsserver2003) Rys. 2.10. Efekt zastosowania zasady No_task_man. - 25 - - 26 -

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres