Active directory Active Directory (AD) jest technologią firmy Microsoft, dostępną w systemach Windows Server. Pozwala ona na zarządzanie tożsamościami, relacjami w sieci firmowej, przez co umożliwia kontrolę nad całą siecią i wdrożona w prawidłowy sposób poprawia bezpieczeństwo. Usługa Active Directory ma możliwość zarządzania kontami, konfigurowania ustawień systemowych użytkownika, praw dostępu, konfiguracji uprawnień aplikacji, a także w prosty sposób zarządza nimi. Technologia składa się z wielu komponentów. Są to: Active Directory Domain Services (AD DS), Active Directory Rights Management Services (AD RMS), Active Directory Federation Services (AD FS), Active Directory Certificate Services (AD CS), Active Directory Lightweight Directory Services (AD LDS). Active Directory Domain Services jest centralną bazą, która jest bezpieczna, łatwo skalowalna i prosta w zarządzaniu. Dzięki niej można zarządzać użytkownikami, ich prawami dostępu do zasobów, komputerami oraz innymi poleceniami. Baza ta jest repozytorium informacji o użytkownikach, obiektach w sieci. Pozwala stworzyć strukturę w oparciu o las, domenę, lokalizację, drzewa, OU. Kontroler domeny pełniący rolę Globalnego Katalogu może odnajdywać dowolny obiekt w obrębie lasu. OU jest to jednostka organizacyjna (Organization Unit), dzięki której można grupować obiekty np.: użytkowników, komputery, drukarki. Struktura Active Directory jest przedstawiona na rysunku poniżej.+ SCHEMA: - zawiera definicję wszystkich obietków w lesie, - jedna schema dla lasu - 2 typy obiektów: klasa obiektów i atrybuty obiektów - można rozszerzać i zmianiać Zalety AD: Skalowalność Integracja z DNS Centralne zarządzanie Delegowana administracja Active Directory Federation Services umożliwia stosowanie tożsamości i praw dostępu na wielu platformach, zarówno w środowiskach opartych o technologie Windows, jak i nie-windowsowych, a także w celach dostarczania dostępu zaufanym partnerom spoza naszej sieci. Active Directory Certificate Services może służyć jako centrum certyfikacyjne, dzięki któremu firmy będą mogły wystawiać cyfrowo podpisane certyfikaty, będące częścią infrastruktury PKI, która łączy osoby, urządzenia lub usługi z ich prywatnymi kluczami. Certyfikaty mogą być wykorzystywane do uwierzytelniania użytkowników i urządzeń, autoryzacji w oparciu o karty inteligentne, autoryzacji stron WWW, a także aplikacji np.: bezpieczne sieci bezprzewodowe, VPN, EFS, podpis elektroniczny i inne. AD CS wewnątrz sieci może być zintegrowany z AD DS i automatycznie wystawiać certyfikaty dla użytkowników i urządzeń. Active Directory Lightweight Directory Services jest substytutem AD DS opartym o ten sam kod źródłowy, znany również jako Active Directory Application Services (ADAM). Rola ta umożliwia dostarczenie usług katalogowych dla aplikacji, które tego potrzebują. AD LDS przetrzymuje i replikuje dane związane tylko z aplikacjami. Jest ono wykorzystywane do aplikacji, które potrzebują usług katalogowych, ale nie muszą tych danych rozpowszechniać do kontrolerów domeny.
Komendy CMD Power Shell Zmiana hasła administratora: Net user Administrator P@ssw0rd Wyświetlenie informacji o interfejsach sieciowych: Netsh interface ipv4 show interfaces Ustawianie IP na interfejse ipv4: Netsh interface ipv4 set address name= ID (id to numer spisany z kolumny Idx z polecenia wyżej) Source=static address=192.168.1.2 maks=255.255.255.0 gateway=192.168.1.1 Wyświetlenie nazwy komputera: Hostname Zmiana nazwy serwer: Netdom renamecomputer nazwa_komputera /NewName:nazwa_komputera Dodanie komputera do domeny Netdom join nazwa_komputera /domanin:nwtraders.msft /userd:administrator /password:p@ssw0rd Dodanie użytkownika domenowego do grupy lokalnej administratorów net localgroup Administrators /add nwtraders/testuser Aktywacja serwera Slmgr.vbs ato Konfiguracja zapory dla zdalnej administracji Netsh advfirewall set rule group= Remote Administration new enable=yes Tworzenie jednostki logistycznej za pomocą cmd: Dsadd ou ou=ounazwakomputera,ou= IT Test jdc=nwtradersjdc=msft Modyfikacja jednostki logistycznej za pomocą cmd: Dsmod ou ou=ounazwakomputera, ou=it Test.dc=nwtraders,dc=msft desc Nowy oddział testy Usunięcie jednostki logistycznej za pomocą cmd: Dsrm ou=financejou=ounazwakomputerajou= It Test, dc=nwtraders, dc=msft - tworzenie użytkownika przy pomocy cmd dsadd user "cr^userpierwszetrzyliterytwojegonazwiska, ou=it testjdc=nwtradersjdc=msft^ -samid UserPierwszeTrzyLiteryTwojegoNazwiska -pwd P@ssw0rd dsadd Computer "cn=nazwakomputera 002,ou=Nazwakomputera, ou=locations,dc=nwtraders,dc=msft" - modyfikacja użytkownika za pomocą cmd: dsmod user cn=jannazwakomputera,ou=nazwakomputera, ou=locations, dc=nwtraders, dc=msft " -fn Jan -ln Nazwakomputera -display "Jan Nazwakomputera -upn NazwakomputeraJan@nwtraders.msft -pwd P@ssw0rd123 -desc Konto do testu polecenia Dsmod" -Office Data Center" -tel 213-0101 -email JanNazwakomputera@nwtraders.msft -title "Konto testowe" -dept Data Center" -company NWTraders -hometel 213-0101 - modyfikacja konta komputera za pomocą cmd: dsmod Computer "cn=nazwakomputera-001,ou=nazwakomputera, ou=locationsjdc=nwtraders.,dc=msft" -loc Nazwakomputera - tworzenie grup przy pomocy cmd: dsadd group "cn=g Nazwakomputera HR Personnel, ou=nazwakomputera, ou=locations, dc=nwtraders, dc=msft" - samid "G Nazwakomputera HR Personnel" -secgrp yes -scope g Gpupdate odświeżenie polityk obiektów, parametry: logoff wyłączenie po odświeżeniu boot restart po odświeżeniu /target:user -> dla określonego użytkownika /target:computer -> dla określonego komputera /force -> wymuszenie odświeżenia
Partycjonowanie Windows Server Disk Management jest narzędziem systemowym do zarządzania dyskami twardymi i woluminami lub partycjami, które się na nich znajdują. Przy jego pomocy możemy inicjować dyski, tworzyć woluminy i formatować je w systemie plików FAT,FAT32 lub NTFS. Narzędzie to pozwala wykonywać większość zadań związanych z dyskami bez potrzeby restartu systemu. Umożliwia również zarządzanie dyskami komputerów zdalnych. Dysk przed używaniem musi zostać zainicjowany. Przy inicjowaniu mamy możliwość wybrania jednego z 2 typów partycji: 1) MBR master boot rekord pierwszy sektor dysku (512bajtów) jest zarezerwowany na przechowywanie tablicy partycji i program rozruchowy, pozostała część jest podzielona na partycję, a informację o nich są przechowywane w tablicy partycji. MBR wspiera dwa typy partycji dla dysków podstawowych: podstawową i rozszerzoną. Partycja podstawowa musi mieć przypisaną literę lub punkt jej montowania. Nie można jej dzielić na dyski logiczne. Partycja rozszerzona może być dzielona na jeden lub więcej dysków logicznych, każdy z nich może być sformatowany i mieć przypisaną literę dysku lub punkt montowania. Można dzielić na dyski logiczne. Dyski podstawowe w MBR mogą mieć do czterech partycji podstawowych lub trzy podstawowe o jedną rozszerzoną. 2)GUID partitio table GPT używa EFI (extensible firmware interface). Na początku GPT nadal znajduje się MBR jest on wykorzystany tylko aby dysk był rozpoznany przez urządzenia niewspierające GPT). Za nim znajduje się nagłówek GPT, który: - definiuje bloki na dysku dostępne dla partycji oraz przechowuje informację o liczbie i rozmiarach partycji - przechowuje informację na temat swojej własnej lokalizacji na dysku oraz wskaźnik na zapasowy nagłówek GPT znajdujący się na końcowych sektorach dysku (jest on wykorzystywany w przypadku uszkodzenia podstawowego nagłówku GPT). Przestrzeń między nagłówkiem podstawowym, a zapasowym wykorzystywana jest na partycję podstawowe. Partycja również zawiera swój nagłówek zawierający informację o typie partycji, początkowym oraz kończowym bloku partycji dysku oraz unikalny GUID partycji. Partycje wymagane przez GPT: ESP EFI System Partition partycja ta musi znajdować się na pierwszym dysku w systemie i jest wymagana do uruchomienia systemu operacyjnego. W przypadku wersji x64 tworzony jest ESP oraz MSR (Microsoft Reserved Partition). GPT jest zalecane dla komputerów oparte o procesory Itanium oraz x64 oraz dyski twarde >2TB. Systemy plików partycji: - NTFS preferowany system plików, umożliwia automatycze odzyskiwanie sprawności plików po niektórych błędach dyskowych, umożliwia obsługę większych dysków. Posiada rozszerzone zabezpieczenie danych z możliwością nadawania uprawnień oraz szyfrowania - FAT32 oraz FAT były używane w wcześniejszych systemach operacyjnych. Posiada ograniczenia wielkości partycji do 2GB i maksymalnej wielkości plików do 4GB. - exfat nie posiada już limitu wielkości partycji oraz wielkości plików, obsługuje rozmiar jednostki alokacji do 32mb. Współpracuje z każdym dostępnym systemem operacyjnych (Windows, Mac, Linux). Pliki nie mają zabezpieczeń, jedynie możliwość ustawienia tylko do odczytu oraz tylko do zapisu. Stosowany do wymiennych nośników danych: kart pamięci, dysków przenośnych. - ReFS następna NTFS, umożliwia szyfrowanie za pomocą BitLockera lecz brak kompresji i szyfrowania. Istnieją funkcje automatycznego korygowania błędów, ekstremalną skalowalnośći działanie w trybie always online. Do zarządzania hierarchią katalogów wykorzystana jest baza danych.
Dyski proste umożliwia tworzenie partycji (woluminum) tylko w obszarze jednego dysku fizycznego. Dyski dynamiczne mają większą funkcjonalność niż dyski podstawowe ponieważ: - umożliwiają tworzenie woluminów składających się z przestrzeni należących do kilku dysków fizycznych i pozwalają tworzyć dyski odporne na awarię (RAID-0 oraz RAID-5). Woluminy na dyskach dynamicznych nazywa się woluminami dynamicznymi. Bez względu na typ partycji możemy utworzyć do 2000 dynamicznych woluminów (zalecana <32). Wolumin prosty jest zbudowany z przestrzeni znajdującej się na jednym dysku dynamicznym. Przestrzeń ta może być ciągła bądź podzielona na różne obszary. Można zmieniać wielkość woluminu proste poprzez rozszerzenie o przestrzeń, która nie jest zainicjowana. Jeżeli wolumin prosty jest rozszerzony na inne dyski dynamiczne to staje się woluminem łączonym. Wolumin łączony powstaje poprzez połączenie co najmniej 2 obszarów na co najmniej 2 dyskach dynamicznych. Ważne jest, że wolumin ten nie może być woluminem systemowych ani rozruchowym. Wolumin rozłożony jest to wolumin gdzie dane są przechowywane na 2 lub większej ilości dysków dynamicznych, a dane są zapisywane w postaci bloków na wszystkich dyskach woluminu jednocześnie. Cechuje się dużą wydajnością jednak nie jest odporne na awarię w przypadku uszkodzenia jednego dysku dane mogą nie zostać odtworzone. Wolumin dublowany RAID 1 jest woluminem odpornym na uszkodzenia. Dane z jednego dysku są kopiowane i zapisywane na 2 dysku. W przypadku awarii jednego dysku wszystkie dane są przechowywane na dysku 2. Wolumin ten nie może być rozszerzony a wielkość na obydwu dyskach musi być taka sama. RAID5 jest także woluminem odpornym na uszkodzenia. Zapis danych odbywa się na minimum 3 dyskach fizycznych. Oprócz danych prawidłowych są zapisywane dane nadmiarowe służące do rekonstrukcji danych w razie awarii. W przypadku awarii jednego dysku dane zostaną odtworzone za pomocą danych na 2 dysku oraz danych nadmiarowych. RAID5 nie może być rozszerzony ani dublowanych. Porady praktycznie: MBR obsługuje woluminy o rozmiarze do 4 TB, a GPT do 18 Exabajtów Pamiętaj, że GPT nie wspiera dysków wymiennych takich jak USB, Firewire oraz dysków podłączonych jako magazyn dla klastra. Chcąc skonfigurować dysk zainstalowany pamiętaj, że ścieżka punktu montowania może wskazywać tylko na pusty folder na dysku podstawowym lub dynamicznym z formatem plików NTFS. Aby zmodyfikować ścieżkę folderu, w którym jest zamontowany dysk, musisz usunąć i stworzyć ją na nowo. Nie można edytować jej bezpośrednio. Usuwanie i reorganizacja partycji lub woluminów często wiąże się z niszczeniem istniejących danych. Nie zapomnij o zrobieniu wcześniej ich kopii zapasowej. Wiele z funkcji serwera jest możliwych do wykorzystanie tylko wtedy, gdy używanym systemem plików jest NTFS, np. nadawanie uprawnień do plików i folderów, szyfrowanie. Stosując dyski zainstalowane możemy używać więcej niż 26 dysków na komputerze lokalnym (omijamy ograniczenie związane oznaczeniami literowymi) Korzystając z dysków odpornych na awarie (RAID-1, RAID-5), wskazane jest, by używać dyski pochodzące od tego samego producenta, tego samego modelu i o takiej samej pojemności. Warto także posiadać takie same kontrolery i dyski w zapasie, by w razie awarii szybko je wymienić minimalizując w ten sam sposób ewentualny czas przestoju. Należy korzystać z podglądu zdarzeń w dzienniku systemowym w celu wykrycia ewentualnych problemów z woluminem RAID-5, a także określenia ich przyczyn (uszkodzenie dysku, awaria kontrolera). Przed konwersją dysku podstawowego na dynamiczny, przeanalizuj, czy będziesz korzystał z funkcjonalności dostępnych w dyskach dynamicznych. Jeśli nie chcesz używać woluminów łączonych, rozłożonych, dublowanych lub RAID-5 pozostaw dysk, jako dysk podstawowy
Kiedy zmniejszasz wolumin, niektóre nieprzenaszalne pliki (np. plik wymiany, miejsce składowania shadow copy) nie mogą być automatycznie realokowane i w związku z tym nie możesz zmniejszyć zajmowanej przez wolumin przestrzeni poniżej punktu zajmowanego przez taki plik. Jeśli chcesz zmniejszyć partycję bardziej, przenieś plik wymiany na inny dysk, skasuj pliki shadow copies i zmniejsz wolumin. Na koniec przenieś plik wymiany z powrotem. Jeśli liczba uszkodzonych sektorów (ang. bad sectors) wykryta przez dynamiczną funkcję ich remapowania jest zbyt duża, nie będziesz mógł zmniejszyć wielkości woluminu. W takim wypadku przenieś dane i wymień dysk. Do przenoszenia danych między dyskami nie używaj narzędzi kopiujących na poziomie bloków. Kopiują one także tablicę uszkodzonych sektorów i nowy dysk będzie miał je zaznaczone, jako uszkodzone mimo że tak nie jest. Dyski dynamiczne nie wspierają komputerów przenośnych, dysków wymiennych, dołączanych poprzez interfejs Universal Serial Bus (USB) lub IEEE 1394 (zwanych także FireWire), a także dysków podłączonych przez współdzieloną magistralę SCSI. Nie można konwertować woluminu dynamicznego na partycję. Trzeba najpierw przenieść wszystkie dane, usunąć wszystkie istniejące na dysku woluminy dynamiczne i potem konwertować dysk na dysk podstawowy. Jeśli przekonwertujesz na dysk dynamiczny dysk zawierający partycje startową i systemową, możesz zdublować ją na inny dysk dynamiczny. Dzięki temu, w wypadku uszkodzenia woluminu startowego z systemem możesz uruchomić komputer z dysku posiadającego lustrzaną kopię. GPO Group Policy Object kontrolowanie czynności jakie użytkownik może wykonywać po zalogowaniu do sieci oraz zarządzanie środowiskiem pracy użytkownika. Dzięki GPO możemy zarządzać: - rejestracji - ustawieniami zabezpieczeń - dystrybucją oprogramowania - dystrybucją skryptów oraz zasad haseł - przekierowaniem folderów Domyślne ustawienia: Default Domain Policy (domyśla zasada domeny), Default Domain Controller Policy (domyślna zasada kontrolera domeny) CMD przy GPO: Gpupdate odświeżenie polityk obiektów, parametry: logoff wyłączenie po odświeżeniu boot restart po odświeżeniu /target:user -> dla określonego użytkownika /target:computer -> dla określonego komputera /force -> wymuszenie odświeżenia Składnik logiczny - przechowywany jest w bazie danych usługi AD i nazywany jest kontenerem zasad grupy (Group Policy Contener) GPO Składnik fizyczny - przechowywany na dysku w folderze SYSVOL (Szablon zasad grupy) Możliwość ustawienia zasad dla komputera lokalngo oraz domenowo (dla użytkownika, komputera, grupy. Jednostki organizacyjnej itp.). Dodatkowe funkcje GPO: - import export - kopiowanie i wklejanie - tworzenie kopii - przeszukiwanie - Group Policy Modeling - Group Policy Results używane do sprawdzania czy polityki które chcieliśmy ustawić działają prawidłowo, modeling pokauje jak są ustawione, results pokazuje jak działają.