Wdra anie sytemu Microsoft Windows 2003 Server i Active Directory w du ej firmie o zasiêgu miêdzynarodowym



Podobne dokumenty
Microsoft Management Console

Czy przedsiêbiorstwo, którym zarz¹dzasz, intensywnie siê rozwija, ma wiele oddzia³ów lub kolejne lokalizacje w planach?

Wprowadzenie do Active Directory. Udostępnianie katalogów

Praca w sieci z serwerem

Sieć komputerowa grupa komputerów lub innych urządzeo połączonych ze sobą w celu wymiany danych lub współdzielenia różnych zasobów, na przykład:

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Active Directory

Zbuduj prywatnπ chmurê backupu w? rmie. Xopero Backup. Centralnie zarzπdzane rozwiπzanie do backupu serwerów i stacji roboczych

pasja-informatyki.pl

William R. Stanek. Vademecum Administratora 2012 R2. Windows Server. Podstawy i konfiguracja. Przekład: Leszek Biolik

Ethernet VPN tp. Twój œwiat. Ca³y œwiat.

Elementy i funkcjonalno

T: Wbudowane i predefiniowane domenowe grupy lokalne i globalne.

Tomasz Greszata - Koszalin

ARKUSZ EGZAMINACYJNY ETAP PRAKTYCZNY EGZAMINU POTWIERDZAJ CEGO KWALIFIKACJE ZAWODOWE CZERWIEC 201

Z pojedynczym obiekcie zasady grupy znajdziemy dwa główne typy ustawień:

PAŃSTWOWA WYŻSZA SZKOŁA ZAWODOWA

Sieci komputerowe. Definicja. Elementy

Windows Server Active Directory

ARKUSZ EGZAMINACYJNY ETAP PRAKTYCZNY EGZAMINU POTWIERDZAJ CEGO KWALIFIKACJE ZAWODOWE CZERWIEC 2012

SPIS TRESCI SERWERY WSTEP CENNIK KONTAKT. Kamelot radzi: ...

ARKUSZ EGZAMINACYJNY ETAP PRAKTYCZNY EGZAMINU POTWIERDZAJ CEGO KWALIFIKACJE ZAWODOWE CZERWIEC 201

Pracownia internetowa w każdej szkole. Opiekun pracowni internetowej SBS 2003 PING

1. Zakres modernizacji Active Directory

Wprowadzenie do sieciowych systemów operacyjnych. Moduł 1

W dobie postępującej digitalizacji zasobów oraz zwiększającej się liczby dostawców i wydawców

Rozwiązywanie nazw w sieci. Identyfikowanie komputerów w sieci

Stan prac w zakresie wdrożenia systemów operacyjnych: NCTS2, AIS/INTRASTAT, AES, AIS/ICS i AIS/IMPORT. Departament Ceł, Ministerstwo Finansów

Automatyzacja procesu publikowania w bibliotece cyfrowej

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server

Sieci komputerowe cel

Charakterystyka systemów plików

Szczegółowy Opis Przedmiotu Zamówienia

SpedCust 5 instrukcja instalacji

Instalowanie i konfigurowanie Windows Server 2012 R2

ARKUSZ EGZAMINACYJNY ETAP PRAKTYCZNY EGZAMINU POTWIERDZAJ CEGO KWALIFIKACJE ZAWODOWE CZERWIEC 2012

ARIES-IT Profesjonalne Usługi Informatyczne dla Firm i Instytucji, Outsourcing IT

Instrukcja instalacji oprogramowania TSG wer. 5.0 z dost pem do danych poprzez sie Internet.

S I M P L E. E R P ZARZ DZANIE MA J TKIEM.

ARKUSZ EGZAMINACYJNY ETAP PRAKTYCZNY EGZAMINU POTWIERDZAJ CEGO KWALIFIKACJE ZAWODOWE CZERWIEC 201

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Szkolenie autoryzowane. MS Projektowanie i wdrażanie infrastruktury serwerowej

Zajęcia specjalizacyjne Administrowanie sieciowymi systemami operacyjnymi (360 godz.)

Instrukcja Obsługi STRONA PODMIOTOWA BIP

Zespól Szkół Ponadgimnazjalnych Nr 17 im. Jana Nowaka - Jeziorańskiego Al. Politechniki 37 Windows Serwer 2003 Instalacja

Regulamin Krêgów Harcerstwa Starszego ZHR

INSTRUKCJA OBSŁUGI URZĄDZENIA: HC8201

DOTACJE NA INNOWACJE. Zapytanie ofertowe

revati.pl Drukarnia internetowa Szybki kontakt z klientem Obs³uga zapytañ ofertowych rozwi¹zania dla poligrafii Na 100% procent wiêcej klientów

Przewodnik AirPrint. Ten dokument obowiązuje dla modeli atramentowych. Wersja A POL

HAŚKO I SOLIŃSKA SPÓŁKA PARTNERSKA ADWOKATÓW ul. Nowa 2a lok. 15, Wrocław tel. (71) fax (71) kancelaria@mhbs.

Politechnika Warszawska Wydział Matematyki i Nauk Informacyjnych ul. Koszykowa 75, Warszawa

ARKUSZ EGZAMINACYJNY ETAP PRAKTYCZNY EGZAMINU POTWIERDZAJ CEGO KWALIFIKACJE ZAWODOWE CZERWIEC 2012

Udostępnianie usług Office 365

SPECYFIKACJA ISTOTNYCH WARUNKÓW ZAMÓWIENIA

p³yta komputera przemys³owego wykorzystywana w systemie W

INSTRUKCJA TESTOWANIA USŁUG NA PLATFORMIE ELA-ENT

Ostatnia cena sprzeda y klienta 1.0 dodatek do Symfonia Faktura dla 1 firmy

Praca na wielu bazach danych część 2. (Wersja 8.1)

Active Directory - Instalacja

Konfiguracja programu Outlook 2007 do pracy z nowym serwerem poczty (Exchange)

ABONENCKA CENTRALA TELEFONICZNA SIGMA. Instalacja sterownika USB

Us uga jedna za wszystkie

Zintegrowane Systemy Zarządzania Biblioteką SOWA1 i SOWA2 SKONTRUM

elektroniczna Platforma Usług Administracji Publicznej

Polityka prywatności strony internetowej wcrims.pl

DOTACJE NA INNOWACJE ZAPYTANIE OFERTOWE

Opis obsługi systemu Ognivo2 w aplikacji Komornik SQL-VAT

O autorze 11 O recenzentach 13 Przedmowa 15

OPIS PRZEDMIOTU ZAMÓWIENIA DO ZAPYTANIA KE1/POIG 8.2/13

Szkolenie autoryzowane. MS Instalacja i konfiguracja Windows Server Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Windows Serwer - Podstawowe pojęcia

Warunki Oferty PrOmOcyjnej usługi z ulgą

Usuni cie has a admina 1.0 dodatek do Symfonia Ma a Ksi gowo dla 1 firmy

Realizacja projektów 8.3 PO IG na przykładzie Gminy Borzęcin Rafał Bakalarz

1. Wprowadzenie... 13

Projekt: Microsoft i CISCO dla Zachodniopomorskich MŚP

1. Wywo anie okna logowania skrótem klawiszowym

emszmal 3: Automatyczne księgowanie przelewów w sklepie internetowym Magento (plugin dostępny w wersji ecommerce)

Windows Server 2012 Active Directory

Tworzenie wielopoziomowych konfiguracji sieci stanowisk asix z separacją segmentów sieci - funkcja POMOST. Pomoc techniczna

Szablon importu z Subiekt 1.0 dodatek do Symfonia Ma a Ksi gowo dla 1 firmy

HiTiN Sp. z o. o. Przekaźnik kontroli temperatury RTT 4/2 DTR Katowice, ul. Szopienicka 62 C tel/fax.: + 48 (32)

ARKUSZ EGZAMINACYJNY ETAP PRAKTYCZNY EGZAMINU POTWIERDZAJ CEGO KWALIFIKACJE ZAWODOWE CZERWIEC 2013

Uwierzytelnianie użytkowników sieci bezprzewodowej z wykorzystaniem serwera Radius (Windows 2008)

Instrukcja obsługi platformy zakupowej e-osaa (klient podstawowy)

PODNOSZENIE EFEKTYWNOŒCI PRZEDSIÊBIORSTWA - PROJEKTOWANIE PROCESÓW

e-izba IZBA GOSPODARKI ELEKTRONICZNEJ

Zadanie 3. Tworzenie i odnajdowanie obiektów w Active Directory

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap Urzędzie Gminy w Ułężu

INFORMATOR TECHNICZNY WONDERWARE

systemy informatyczne SIMPLE.ERP Bud etowanie dla Jednostek Administracji Publicznej

Zdalne odnawianie certyfikatów do SWI

TECHNIK INFORMATYK - STYCZE 2010 Przyk adowe rozwi zanie (Zadanie nr 1)

Regulamin organizacji przetwarzania i ochrony danych osobowych w Powiatowym Centrum Kształcenia Zawodowego im. Komisji Edukacji Narodowej w Jaworze

Instalacja Active Directory w Windows Server 2003

Foldery z dokumentami 1.0 dodatek do Symfonia Faktura dla 1 firmy

Pracownia internetowa w ka dej szkole (edycja 2004/2005)

Projektowanie i implementacja infrastruktury serwerów

ARKUSZ EGZAMINACYJNY ETAP PRAKTYCZNY EGZAMINU POTWIERDZAJ CEGO KWALIFIKACJE ZAWODOWE CZERWIEC 2011

Transkrypt:

AUTOMATYKA 2009 Tom 13 Zeszyt 3 Zdzis³awa Rowiñska* Wdra anie sytemu Microsoft Windows 2003 Server i Active Directory w du ej firmie o zasiêgu miêdzynarodowym 1. Wprowadzenie Artyku³ przedstawia proces wdra ania i konfiguracji (AD Active Directory) w systemie Microsoft Windows 2003 Serwer na przyk³adzie jednej z du ych firm konsultingowych. Opisane zosta³y mechanizmy konfiguracji obiektów w konsolach administracyjnych us³ugi AD oraz procesy tworzenia kont u ytkowników, komputerów i grup przy jednoczesnym zachowaniu standaryzacji nazw, która zosta³a wprowadzona w regionie CEE firmy. Omawiana firma jest najwiêksz¹ na œwiecie organizacj¹ œwiadcz¹c¹ profesjonalne us³ugi doradcze. Zatrudnia ona 130 000 pracowników w 148 krajach, w Polsce posiada placówki w Warszawie, Krakowie, Gdañsku, Wroc³awiu, Poznaniu i Katowicach. Zespó³ ten liczy ponad 880 specjalistów. Obecna struktura sieciowa firmy w Europie oparta jest na kilku sieciowych systemach operacyjnych, zaistnia³a zatem potrzeba wprowadzenia jednolitej, hierarchicznie u³o onej struktury sieciowej jak¹ zapewnia system Microsoft Windows 2003 Server i AD. Omawiana firma posiada kilkadziesi¹t placówek na terenie regionu CEE. Ka da z nich dysponuje w³asn¹, niezale n¹ struktur¹. Powoduje to odseparowanie i izolacjê logiczn¹ sieci. Biura u ywaj¹ ró nych systemów sieciowych jak Novell 4.x, Novell 5.x., Windows NT, Windows 2000 i Windows 2003, dlatego oprócz fizycznego powi¹zania, na poziomie sieciowym nie s¹ stworzone adne logiczne struktury wewnêtrzne pomiêdzy regionami. Najwa niejsze problemy wystêpuj¹ce w istniej¹cej strukturze regionów wchodz¹cych w sk³ad firmy to: brak centralnego systemu zarz¹dzania sieci¹, tak e jako problem implementacji firmowych zasad bezpieczeñstwa; brak skutecznej metody przypisania i zarz¹dzania bezpieczeñstwem wszystkich u ytkowników, stacji roboczych, serwerów i obiektów aplikacji; * Katedra Informatyki Stosowanej, Politechnika ódzka 1445

1446 Zdzis³awa Rowiñska brak mo liwoœci globalnych zmian konfiguracji serwerów, stacji roboczych i aplikacji; do³¹czanie nowych zasobów nie mo e byæ dokonane z centralnego punku zarz¹dzania tylko poprzez operacje lokalne; zró nicowane schematy nazw utrudniaj¹ wykonywanie obowi¹zków pracownikom podró uj¹cym miêdzy biurami; wprowadzenie nowych terytoriów do CEE jest operacj¹ kosztown¹ pod wzglêdem konfiguracji i utrzymania sieci; uwierzytelnianie brak centralnego punktu logowania; zasoby sieciowe s¹ przypisane jedynie do regionów w których siê znajduj¹, stwarza to problem wymiany danych i zarz¹dzania projektami pomiêdzy placówkami; brak mo liwoœci kontrolowania dostêpu do us³ug sieciowych na terytoriach CEE z centralnego punku zarz¹dzania; koniecznoœæ duplikowania kont i uprawnieñ dla u ytkowników podró uj¹cych miêdzy biurami; dystrybucja i zarz¹dzanie oprogramowaniem brak standardowej metody dystrybucji oprogramowania i poprawnoœci licencyjnej; brak centralnej metody dystrybucji poprawek systemowych i bezpieczeñstwa, baz antywirusowych, upgrade aplikacji; brak mo liwoœæ kontrolowania instalacji nielegalnego oprogramowania na stacjach roboczych z ogólnodostêpnego Internetu; nadmiar pracy administracyjnej IT, koniecznoœæ ponownej konfiguracji dla u ytkowników przemieszczaj¹cych siê miêdzy regionami, utrudniona zdalna kontrola; system operacyjny stacji roboczych problem z integracj¹ z Novell Netware, koniecznoœæ utrzymania oddzielnych kont do stacji roboczych; w przypadku awarii systemu sieciowego w danym regionie, aby przenieœæ wszystkich u ytkowników do nowej lokacji istnieje koniecznoœæ stworzenia ca³ej struktury od nowa; brak kontroli bie ¹cych sesji; ograniczony dostêp do aplikacji u ywanych w innym regionie CEE, ograniczony dostêp do danych poza biurem; koniecznoœæ poznania przez u ytkownika dok³adnej lokalizacji poszukiwanych zasobów. Powy sze problemy mo na rozwi¹zaæ poprzez wprowadzenie AD wraz z systemem Microsoft Windows 2003 Server. Stworzenie ujednoliconej infrastruktury sieciowej w firmie umo liwi dostêp do zasobów poszczególnych regionów poprzez zcentralizowane zarz¹dzanie. Zast¹pienie obecnego systemu sieciowego produktem Windows 2003 Server umo liwi maksymalne wykorzystanie mo liwoœci systemów operacyjnych na stacjach roboczych, natomiast wdro enie Microsoft Systems Management Server pozwoli zarówno dystrybuowaæ oprogramowanie,

Wdra anie sytemu Microsoft Windows 2003 Server i Active Directory w du ej firmie... 1447 zarz¹dzaæ sprzêtem u ywanym przez u ytkowników, jak i kontrolowaæ oprogramowanie zainstalowane na stacjach roboczych we wszystkich oddzia³ach firmy. Wprowadzenie nowego regionu stanie siê ³atwiejsze na platformie Windows wraz z gotowymi ustawieniami systemów finansowych zarz¹dzania dokumentami. Najwa niejszym jednak aspektem biznesowym jest wzrost efektywnoœci pracowników poprzez mo liwoœæ wspó³dzielenia doœwiadczeñ, dokumentów i wiedzy miêdzy poszczególnymi regionami. 2. Struktura logiczna Active Directory 2.1. Struktura lasu i poziomy funkcjonalnoœci domeny Domena jest g³ówn¹ jednostk¹ administracyjn¹ us³ugi katalogowej Windows Server 2003 i istnieje œcis³a zale noœæ pomiêdzy jej istnieniem a AD. W us³udze AD przedsiêbiorstwo mo e posiadaæ wiele domen. Tworz¹ one wtedy strukturê nazywan¹ drzewami przy jednoczesnym zachowaniu struktury hierarchicznej nazw DNS. W sytuacji, gdy domeny AD nie tworz¹ jednej domeny, oznacza to, e tworz¹ tzw. las zawiera on wszystkie drzewa us³ugi. Domena nie mo e istnieæ samodzielnie, musi znajdowaæ siê w jakimœ drzewie, a tym samym lesie. Poziomy funkcjonalnoœci domeny okreœlaj¹, jakie funkcje systemowe i sieciowe mog¹ byæ wykorzystane. Wystêpuj¹ cztery poziomy funkcjonalnoœci: mieszany Windows 2000, macierzysty Windows 2000, tymczasowy Windows Server 2003 i Windows Server 2003. Œrodowisko, w jakim system na byæ zainstalowany decyduje o funkcjonalnoœci, jako domyœlny przypisywany jest poziom mieszany. Opcja, w której najbardziej wykorzystane s¹ mo liwoœci systemu, jest Windows Server 2003. Dostêpne s¹ wtedy wszystkie funkcje na poziomie domeny lub lasu. Pozosta³e spotykaj¹ siê z ograniczeniami wynikaj¹cymi z ró nic technologicznych pomiêdzy wersjami systemu operacyjnego. Przyk³adem mo e byæ mo liwoœæ tworzenia grup uniwersalnych, która jest ca³kowicie wy³¹czone w systemie mieszanym 2000, a dozwolona w macierzystym 2000 i 2003 zarówno dla grup zabezpieczeñ, jak i grup dystrybucyjnych. Podobna sytuacja wystêpuje przy konwersji grup z dystrybucyjnej na zabezpieczeñ, tak e w opcji mieszanej 2000 jest ona niewykonalna. Active Directory jest obiektow¹ baz¹ danych, w której informacje u³o one s¹ w sposób hierarchiczny. Obiektami s¹ tutaj u ytkownicy, aplikacje czy te zasoby sieciowe. Podstawow¹ jednostk¹ jest liœæ, znajduj¹cy siê w jednostce organizacyjnej, czyli Organizational Unit. Obiekty te organizowane s¹ w domeny. Te natomiast zorganizowane hierarchicznie tworz¹ struktury drzewa. Drzewo powinno posiadaæ przynajmniej jedn¹ domenê zwan¹ korzeniem drzewa. Pozosta³e domeny umieszczane s¹ poni ej w strukturze katalogowej. Domeny w us³udze katalogowej korzystaj¹ z tej samej przestrzeni nazw DNS. Posiadaj¹ ten sam korzeñ, a kolejne nazwy powstaj¹ poprzez dodanie nazwy do domeny wy szego poziomu.

1448 Zdzis³awa Rowiñska W omawianej firmie przyjêto nastêpuj¹ce oznaczenia: (Cee Central and Eastern Europe); (Ema Europe) and middle Asia; (AD Active Directory). Pe³na nazwa: Cee.ema.ad.pwcinternal.com. Active Directory oparto na pojedynczej strukturze domeny. Poniewa nie jest wymagana niezale noœæ b¹dÿ te izolacja zasobów w poszczególnych regionach CEE najlepszym rozwi¹zaniem jest pojedynczy las, pojedynczej domeny. Wszystkie stacje robocze wyposa ono w system operacyjny Microsoft Windows XP z dodatkiem SP2. Pozwala to osi¹gn¹æ poziom funkcjonalnoœci Windows Serwer 2003, sprzyja ³atwoœci w zarz¹dzaniu i rozwi¹zywaniu problemów, a tak e utrzymaniu modelu struktury katalogowej. 2.2. Nazewnictwo Active Directory W tworzeniu struktury katalogowej AD istotnym zagadnieniem jest opracowanie unikalnych schematów nazewnictwa poszczególnych obiektów. U ytkownicy, grupy, jednostki, zasoby sieciowe powinny posiadaæ nazwê, która bêdzie okreœla³a ich przynale noœæ do danego regionu, dzia³u czy te funkcji pe³nionej w firmie b¹dÿ systemie. Wszystkie skróty odnosz¹ siê do anglojêzycznych nazw, odpowiednio do funkcji serwera w systemie. U yty zosta³ nastêpuj¹cy wzorzec: NazwaKraju(2)-NazwaMiasta(3)TypSerwera(3)Numer(3) NazwaKraju sk³ada siê z pierwszych dwóch znaków identyfikuj¹cych dane pañstwo. Zosta³a oparta na standardzie ISO 3166-1. NazwaMiasta identyfikator oparty o IATA CityCodes miêdzynarodowy standard oznaczania lotnisk. TypSerwera oznaczenie serwera udostêpniaj¹cego dan¹ us³ugê. Przyk³adowe oznaczenie serwera (MOM Micorsof Oparation Manager), znajduj¹cego siê w Warszawie, oznaczonego numerem 001: PL-WAWMOM001. Oznaczenia stacji roboczych tworzone s¹ poprzez sumê identyfikatora pañstwa i okreœlonego numeru porz¹dkowego np.: PL-006430, CZ-100422. 2.3. Obiekty Active Directory Przy tworzeniu obiektów AD obowi¹zuj¹ te same zasady nazewnictwa. Lokacje (sites) opieraj¹ na istniej¹cej strukturze sieciowej firmy. U yto formatu sk³adaj¹cego siê z oznaczenia pañstwa i pe³nej nazwy miasta. Zosta³y one stworzone jedynie dla miast posiadaj¹cych przynajmniej jeden kontroler domeny. NazwaKraju(2)-NazwaMiasta Przyk³adowe lokacje: PL-Warsaw, RU-Moscow Na istniej¹cej topologii sieci zosta³o oparte tak e nazewnictwo ³¹cza miêdzy lokacjami (sites-links). Opiera siê ono na schemacie: [NazwaKraju(2)-NazwaMiasta]- -[NazwaKraju(2)-NazwaMiasta] np.: [PL-Warsaw]- - [CZ-Prague] oznacza ³¹cze pomiêdzy Warszaw¹ a Prag¹.

Wdra anie sytemu Microsoft Windows 2003 Server i Active Directory w du ej firmie... 1449 3. Jednostki organizacyjne 3.1. Podzia³ terytorialny i dzia³owy Us³uga AD zosta³a stworzona, aby przechowywaæ miliony obiektów takich jak: u ytkownicy i grupy, komputery, foldery, drukarki, zasoby sieciowe czy te zasady grup (GPO Group Policy Object). Aby zarz¹dzanie tak wielk¹ iloœci¹ danych sta³o siê prostsze opracowana zosta³a struktura, która organizuje je w odpowiednie grupy (OU Organizational Unit). Organizational Unit jest kontenerem umo liwiaj¹cym grupowanie obiektów w AD w zale noœci od ich przynale noœci administracyjnej lub konfiguracyjnej. OU tworzymy w konsoli administracyjnej Active Directory Users and Computers, wybieraj¹c opcjê Organizational Unit (rys. 1). Rys. 1. Tworzenie jednostki organizacyjnej Najczêstszym sposobem organizacji danych w AD jest odwzorowanie struktury administracyjnej firmy w strukturê katalogow¹. W takim uk³adzie dzia³y odpowiadaj¹ poszczególnym jednostkom administracyjnym, a konta komputerów, u ytkowników i grup znajduj¹ siê w odpowiadaj¹cym im kontenerach. W omawianej firmie poszczególne regiony CEE zosta³y umieszczone w strukturze AD jako kontenery zawieraj¹ce grupy, u ytkowników i komputery nale ¹ce do danego kraju. Jednostka OU zosta³a stworzona jedynie dla regionów posiadaj¹cych kontroler domeny.

1450 Zdzis³awa Rowiñska Tak e struktura dzia³owa firmy zosta³a odpowiednio oznakowana (rys. 2) i odwzorowana w strukturze katalogowej (rys. 3). Rys. 2. Odwzorowanie nazw dzia³ów na jednostki OU Rys. 3. Uk³ad jednostek organizacyjnych 3.2. Specjalne jednostki organizacyjne Istniej¹ pewne wbudowane jednostki organizacyjne, do których nale ¹ takie kontenery jak: Builtin zawieraj¹cy konta wbudowane systemu m.in. Account Operators, Backup Operators czy te Administrators. Domyœlnie znajduj¹ siê tu tak e jednostki Domain Control-

Wdra anie sytemu Microsoft Windows 2003 Server i Active Directory w du ej firmie... 1451 lers, mieszcz¹ca kontrolery domeny, Computers i Users zawieraj¹ca odpowiednio u ytkowników i komputery. Dodatkowo tworzone s¹ specjalne jednostki organizacyjne, których celem jest dok³adniejsze i bardziej przejrzyste zarz¹dzanie zasobami AD. Przyk³adem takiej jednostki mo e byæ kontener Transfer. Jest on stworzony specjalnie, aby umo liwiæ przenoszenie obiektów AD, u ytkowników i komputery pomiêdzy poszczególnymi jednostkami terytorialnymi. Administratorzy poszczególnych terytoriów posiadaj¹ dostêp tylko do jednostek swojego regionu, aby zapewniæ mo liwoœæ transferu stworzono jednostkê Transfer, do której dostêp maj¹ wszyscy administratorzy. Kolejnym przyk³adem jednostki specjalnej jest stworzenie jednostki zawieraj¹cej obiekty, u ytkowników i grupy, posiadaj¹ce wy sze uprawnienia administracyjne w AD. Jednostka ServiceAdm zawiera grupy administracyjne, konta administracyjne i konta poszczególnych us³ug. Kontenery AD posiadaj¹ tak e inne funkcje administracyjne. Poprzez OU mo e byæ delegowany dostêp do poszczególnych zasobów, co w przypadku rozleg³ej sieci zmniejsza nak³ad pracy administracyjnej poprzez roz³o enie obowi¹zków na poszczególnych administratorów. Delegowaæ mo na dostêp do ka dej jednostki w AD. Wykonuje siê to poprzez wybranie z w³aœciwoœci kontenera opcji Delegate (rys. 4). Przyk³adem takiego zarz¹dzania mo e byæ nadanie odpowiedniemu konsultantowi uprawnienia pozwalaj¹cego na zmianê has³a u ytkownika w danej jednostce. Rys. 4. Delegowanie kontroli 4. U ytkownicy i grupy U ytkownicy i grupy w AD zorganizowani s¹ w poszczególne kontenery odpowiadaj¹ce ich przynale noœci do funkcji systemu b¹dÿ te dzia³ów firmy. Podczas logowania nastêpuje uwierzytelnienie na podstawie nazwy u ytkownika, has³a i unikalnego identyfikatora SID. System na postawie tych danych tworzy tzw. eton, który od tego momentu reprezentuje u ytkownika w systemie. Na podstawie etonu sprawdzana jest przynale noœæ do gru-

1452 Zdzis³awa Rowiñska py i odpowiedni dostêp do zasobów na podstawie (ACL Access Control List). U ytkownicy tworzeni s¹ w konsoli administracyjnej Active Direcotry Users and Computers. Po okreœleniu tzw. loginu danego u ytkownika i podaniu jego danych osobowych, okreœlane s¹ podstawowe informacje dotycz¹ce konta. W firmie konta u ytkowników oparto na unikalnym identyfikatorze (GUID Globally Unique Identifier), który identyfikuje obiekty w systemie. Loginy sk³adaj¹ siê z kombinacji liter imienia i nazwiska u ytkownika, zakoñczone numerem seryjnym, w przypadku identycznych danych osobowych, numer ten decyduje o unikatowoœci loginu. Grupy mo na okreœliæ jako kontenery zawieraj¹ce obiekty u ytkowników, a tak e inne grupy. Poprzez grupy nadawany jest dostêp do poszczególnych zasobów sieciowych czy te obiektów AD. Operowanie grupami podczas okreœlania ACL, zgodnie z zaleceniami firmy Microsoft powinno operowaæ na grupach zabezpieczeñ tzw. Security Groups. System Microsoft Windows 2003 Serwer zosta³ wyposa ony w dwa rodzaje grup: dystrybucyjne i zabezpieczeñ. Grupy dystrybucyjne u ywane s¹ przede wszystkim do tworzenia grup korespondencyjnych, natomiast grupy zabezpieczeñ mog¹ s³u yæ do przypisywania okreœlonych dostêpów do zasobów, a tak e mog¹ pe³niæ funkcje grup dystrybucyjnych. W odró nieniu od poprzednich wersji systemów serwerowych firmy Microsoft, w wersji 2003 Serwer mo liwe jest dokonanie konwersji grup dystrybucyjnych na grupy zabezpieczeñ. W systemie Microsoft Windows 2003 Serwer istniej¹ wbudowane konta u ytkowników i grup Znajduj¹ siê one w jednostkach organizacyjnych Builtin i Users Grupy zawarte w jednostce Builtin zawieraj¹ grupy zabezpieczeñ o zakresie domenowym lokalnym. Znajduj¹ siê tam m.in. Account Operators operatorzy kont, cz³onkowie tej grupy mog¹ zarz¹dzaæ u ytkownikami domeny i kontami grupy; Administrators administratorzy, posiadaj¹ ca³kowite i nieograniczone uprawnienia do ka dego obiektu systemu; Print Operators operatorzy wydruku, cz³onkowie administruj¹ serwerami wydruku domeny; Remote Desktop Users u ytkownicy pulpitu zdalnego, cz³onkowie tej grupy posiadaj¹ mo liwoœæ zdalnego logowania siê do systemu. W jednostce Users znajduj¹ siê takie obiekty jak: Konto administratora; DNS Admins administratorzy us³ugi rozwi¹zywania nazw; DHCP Administrators administratorzy us³ugi dynamicznego przydzielania adresów; Domain Controllers kontrolery domeny; Domain Users wszyscy u ytkownicy domeny; Domain Computers wszystkie komputery domeny. Dodawanie u ytkowników do grup odbywa siê poprzez wybranie w³aœciwoœci grupy i okreœlenie na zak³adce Members cz³onków grupy (rys. 5).

Wdra anie sytemu Microsoft Windows 2003 Server i Active Directory w du ej firmie... 1453 Rys. 5. Okreœlanie cz³onkostwa grup Nazwy grup powinny jednoznacznie okreœlaæ funkcjê, jak¹ grupa bêdzie sprawowaæ w systemie. Schemat opracowany w firmie przedstawia siê w nastêpuj¹co: GL-KodKraju()KodMiasta(3)-OznaczenieGrupy()-Dzia³()-Opis() Przyk³adowy opis grupy: GL-PLWAW-GRP-GTS -HelpDesk Grupa globalna HelpDesk znajduj¹ca siê w Polsce, w Warszawie, zawieraj¹ca pracowników help-desk, dzia³u Global Technology Solutions. Kolejnym przyk³adem mo e byæ grupa: DL-PLWAW-APP-FIN-Sun Grupa lokalna domenowa, znajduj¹ca siê w Polsce, w Warszawie, zawieraj¹ca aplikacje dzia³u finansowego. Aby umo liwiæ odpowiednie rozpoznawanie grup dodatkowo u yto nastêpuj¹cych oznaczeñ: Application APP u ywane jest, gdy g³ównym celem istnienia grupy jest zapewnienie dostêpu do aplikacji; Directory Dir w przypadku, kiedy grupa ma decydowaæ o dostêpie do poszczególnych zasobów plików/katalogów; Bussines Unit GRP u ywane, kiedy grupa definiuje cz³onkowstwo poszczególnych dzia³ów. Mo e, ale nie musi decydowaæ o dostêpie do zasobów sieciowych i systemowych uprawnieniach; Printer Prt u ywane w przypadku, kiedy cz³onkowstwo decyduje o dostêpie do drukarek; Script Scr cz³onkowstwo decyduje o odpowiednich ustawieniach login skryptu; Group Policy Filtering GPO stosowana w przypadku, gdy grupa kontroluje filtracjê zasad polityki grup.

1454 Zdzis³awa Rowiñska 5. Podsumowanie Wprowadzaj¹c Active Directory wraz z systemem Microsoft Windows 2003 Serwer w firmie zrealizowano wszystkie za³o enia tego projektu. Stworzono centralny punkt zarz¹dzania sieci¹ firmow¹, umo liwiaj¹c odgórne okreœlenie zasad bezpieczeñstwa stacji roboczych i serwerów poprzez odpowiednie polityki GPO. Otrzymano mo liwoœæ dokonywania globalnych zmian w konfiguracji ka dego komputera pod³¹czonego do domeny CEE, ujednolicono tak e nazewnictwo obiektów systemu. Poprzez zastosowanie Active Directory Microsoft Windows 2003 Serwer zlikwidowano koniecznoœæ duplikacji kont systemowych i uzyskano maksymalne korzyœci z wykorzystania systemu operacyjnego Microsoft Windows XP. Dodatkowo usprawniono dostêp do us³ug i zasobów sieciowych. Zintegrowanie Active Directory z systemem DNS umo liwi³o szybkie przeszukiwanie nazw obiektów i prawid³owe odnajdywanie kontrolerów domeny, przy zachowaniu okreœlonej hierarchii. Zastosowanie oprogramowania Systems Management Serwer wspó³dzia³aj¹cego z domen¹ Windows 2003 znacznie poprawi³o system dystrybucji oprogramowania w postaci pakietów MSI. Najbardziej istotnym przejawem zmiany sieciowego systemu operacyjnego jest jednak zadowolenie pracowników z obecnego trybu pracy. U³atwienie dostêpu do zasobów sieciowych, jednolitoœæ hase³, uproszczone procedury zdalnego dostêpu do sieci firmowej czy prostota obs³ugi stanowi¹ aspekty, które w zauwa alny sposób wp³yn¹ na usprawnienie pracy, a tym samym zwiêkszenie zysków przedsiêbiorstwa. Literatura [1] Dan Holme, Orin T., Zarz¹dzanie i obs³uga œrodowiska Microsoft Windows 2003 Serwer. APN Promise Sp. z o.o. Warszawa 2004. [2] Macikn J.C., McLean J., Wdra anie, zarz¹dzanie i obs³uga infrastruktury sieciowej Microsot Windows 2003 Serwer. APN Promise Sp. z o.o. Warszawa 2004. [3] Materia³y kursowe. Wdra anie, zarz¹dzanie i obs³uga infrastruktury sieciowej Microsot Windows 2003 Serwer: us³ugi sieciowe. Microsotf Corporation, 2005. [4] Materia³y kursowe: Planowanie, zarz¹dzanie i obs³uga struktury Active Directory w systemie Microsoft Windows 2003 Serwer. Microsotf Corporation, 2005. [5] Richards J., Allen R., Lowe-Norris A., TechTasks Code Center, Active Directory. O Reilly Media- Publication, 2006.

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres