«Παραμετροποίηση υπηρεσίας καταλόγου Active Directory σε Windows 2003»

σελ

ίδα 1

ΕΚΠΑΕΚΠΑ

«Παραμετροποίηση υπηρεσίας καταλόγου Active Directory σε

Windows 2003»

Τηλέμαχος Ράπτης ([email protected])

Εθνικό και Καποδιστριακό Πανεπιστήμιο Αθηνών

7 – 9 Οκτωβρίου 2008Αθήνα

σελ

ίδα 3

ΕΚΠΑΕΚΠΑ

Active Directory σχ. εργαστ.

Δόμηση του Active Directory σε οργανωτικές μονάδες (OU’s)

μπορεί να δημιουργηθεί με τη χρήση της εντολής dsadd ou (από command prompt)

ή

με τη χρήση γραφικού εργαλείου από τα Administrative Tools

σελ

ίδα 4

ΕΚΠΑΕΚΠΑ

Δημιουργία ιεραρχίας (OU’s)

dsadd ou "ou=School, dc=school, dc=edu" -desc "Οι οντότητες της Σχολικής/Διοικητικής Μονάδας«

dsadd ou "ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Οι οντότητες του 1ου Σχολικού Εργαστηρίου Πληροφορικής και Εφαρμογών Η/Υ«

dsadd ou "ou=Computers, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Το σύνολο των υπολογιστών του 1ου ΣΕΠΕΗΥ«

dsadd ou "ou=Servers, ou=Computers, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Οι εξυπηρετητέσ του ΣΕΠΕΗΥ πλέον του Domain Controller«

dsadd ou "ou=Workstations, ou=Computers, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Οι σταθμοί εργασίας του 1ου ΣΕΠΕΗΥ"

dsadd ou "ou=Accounts, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Το σύνολο των χρηστών του 1ου ΣΕΠΕΗΥ"

dsadd ou "ou=Administrative Accounts, ou=Accounts, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Οι διαχειριστικοί λογαριασμοί του 1ου ΣΕΠΕΗΥ"

dsadd ou "ou=Shared Accounts, ou=Accounts, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Οι διαμοιραζόμενοι λογαριασμοί του 1ου ΣΕΠΕΗΥ«

dsadd ou "ou=Classes, ou=Shared Accounts, ou=Accounts, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Διαμοιραζόμενοι λογαριασμοί τάξεων του 1ου ΣΕΠΕΗΥ"

dsadd ou "ou=Lessons, ou=Shared Accounts, ou=Accounts, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Διαμοιραζόμενοι λογαριασμοί μαθημάτων του 1ου ΣΕΠΕΗΥ"

σελ

ίδα 5

ΕΚΠΑΕΚΠΑ

Δημιουργία ιεραρχίας (OU’s)

dsadd ou "ou=Users, ou=Shared Accounts, ou=Accounts, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Διαμοιραζόμενοι λογαριασμοί μαθητών του 1ου ΣΕΠΕΗΥ (π.χ. user1, user2, κλπ)"

dsadd ou "ou=Specific Users, ou=Accounts, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Προσωπικοί λογαριασμοί χρηστών του 1ου ΣΕΠΕΗΥ"

dsadd ou "ou=Students, ou=Specific Users, ou=Accounts, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Προσωπικοί λογαριασμοί μαθητών του 1ου ΣΕΠΕΗΥ"

dsadd ou "ou=1st Class, ou=Students, ou=Specific Users, ou=Accounts, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Προσωπικοί λογαριασμοί μαθητών 1ησ τάξης του 1ου ΣΕΠΕΗΥ"

dsadd ou "ou=2nd Class, ou=Students, ou=Specific Users, ou=Accounts, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Προσωπικοί λογαριασμοί μαθητών 2ησ τάξης του 1ου ΣΕΠΕΗΥ"

dsadd ou "ou=3rd Class, ou=Students, ou=Specific Users, ou=Accounts, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Προσωπικοί λογαριασμοί μαθητών 3ησ τάξης του 1ου ΣΕΠΕΗΥ"

dsadd ou "ou=Teachers, ou=Specific Users, ou=Accounts, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Προσωπικοί λογαριασμοί καθηγητών του 1ου ΣΕΠΕΗΥ"

dsadd ou "ou=Template Accounts, ou=Accounts, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Προσωπικοί λογαριασμοί μαθητών 1ησ τάξης του 1ου ΣΕΠΕΗΥ"

σελ

ίδα 6

ΕΚΠΑΕΚΠΑ

group policies

Tα group policies επηρεάζουν σε μεγάλο βαθμό το περιβάλλον εργασίας του χρήστη

Οι πολιτικές ομάδας είναι δυνατό να δημιουργηθούν από backup με το Group Policy Management Console (GPMC) που παρέχεται δωρεάν από τη Microsoft.

To GPMC μπορεί να εγκατασταθεί στον server του εργαστηρίου και παρέχει χρήσιμες λειτουργικότητες όπως:

η εισαγωγή/εξαγωγή (import/export) αντικειμένων πολιτικών ομάδας,

η λήψη αντιγράφων ασφαλείας αντικειμένων πολιτικών ομάδας και

η δημιουργία αναφορών

σελ

ίδα 7

ΕΚΠΑΕΚΠΑ

SEPEHY-Workstation policy

σελ

ίδα 8

ΕΚΠΑΕΚΠΑ


σελ

ίδα 9

ΕΚΠΑΕΚΠΑ


σελ

ίδα 1

0

ΕΚΠΑΕΚΠΑ


σελ

ίδα 1

1

ΕΚΠΑΕΚΠΑ

SEPEHY-Shared accounts policy

σελ

ίδα 1

2

ΕΚΠΑΕΚΠΑ


σελ

ίδα 1

3

ΕΚΠΑΕΚΠΑ


σελ

ίδα 1

4

ΕΚΠΑΕΚΠΑ


σελ

ίδα 1

5

ΕΚΠΑΕΚΠΑ


σελ

ίδα 1

6

ΕΚΠΑΕΚΠΑ


σελ

ίδα 1

7

ΕΚΠΑΕΚΠΑ


σελ

ίδα 1

8

ΕΚΠΑΕΚΠΑ


σελ

ίδα 1

9

ΕΚΠΑΕΚΠΑ


σελ

ίδα 2

0

ΕΚΠΑΕΚΠΑ

Group Policy Management Console

Παράδειγμα:

1. Από το domain school.edu και τα Group Policy Objects επιλέγουμε με δεξί κουμπί του ποντικιού Manage Backups.

2. Επιλέγουμε τη θέση στην οποία βρίσκονται τα GPO Backups,

3. επιλέγουμε το επιθυμητό GPO και 4. κάνουμε Restore. 5. Στη συνέχεια από το OU στο οποίο θέλουμε να

ενεργοποιήσουμε κάποιο GPO δημιουργούμε ένα Link προς το συγκεκριμένο GPO.

σελ

ίδα 2

1

ΕΚΠΑΕΚΠΑ

«Τα έγγραφα μου» και η «Επιφάνεια Εργασίας»

Ρύθμιση πολιτικών για «Τα έγγραφα μου» και την «Επιφάνεια Εργασίας»

Στον Server δημιουργούμε το φάκελο “users” στην κατάτμηση με το όνομα DATA που βρίσκεται στον πρώτο σκληρό δίσκο.

Το φάκελο αυτό τον κάνουμε share ορίζοντας στην επιλογή Permissions «Everyone» Full Control.

Με τον ίδιο τρόπο που έγινε ο φάκελος Users δημιουργούμε και διαμοιράζουμε το φάκελο “Profiles” στην ίδια πάντα κατάτμηση.

σελ

ίδα 2

2

ΕΚΠΑΕΚΠΑ


σελ

ίδα 2

3

ΕΚΠΑΕΚΠΑ


Στη συνέχεια μέσα από την κονσόλα διαχείρισης “Active Directory Users and Computers” επιλέγουμε το OU Accounts και

με δεξί click και “Properties” πηγαίνουμε στο φύλλο Group Policy.

σελ

ίδα 2

4

ΕΚΠΑΕΚΠΑ


Δημιουργούμε μία νέα πολιτική επιλέγοντας New και την ονομάζουμε «Accounts Group Policy Object».

Στην συνέχεια επιλέγουμε Edit οπότε και εμφανίζεται ένα νέο παράθυρο όπου μας δίνει τη δυνατότητα να κάνουμε τις επιθυμητές ρυθμίσεις.

σελ

ίδα 2

5

ΕΚΠΑΕΚΠΑ


Πηγαίνουμε στο “User Configuration” “Windows Settings” “Folders Redirections” και κάνουμε δεξί click και Properties στο “My Documents”.

Κάνουμε τις επιλογές όπως φαίνονται στην ακόλουθη εικόνα βάζοντας προφανώς την IP διεύθυνση του εξυπηρετητή του εργαστηρίου που είναι της μορφή 10.Χ.Υ.Ζ

Στο ίδιο Policy με παρόμοιο τρόπο κάνουμε redirect την επιφάνεια εργασίας (Desktop) κάθε χρήστη στο path \\<Server-IP>\Users (δεξί click στο φάκελο “Desktop” ακριβώς «πάνω» από τον “My Documents”)

σελ

ίδα 2

6

ΕΚΠΑΕΚΠΑ


σελ

ίδα 2

7

ΕΚΠΑΕΚΠΑ


Πατάμε ΟΚ, και κλείνουμε όλα τα παράθυρα.

Οι ρυθμίσεις θα εμφανιστούν στους χρήστες την επόμενη φορά που κάνουν Logon.

σελ

ίδα 2

8

ΕΚΠΑΕΚΠΑ

Λογαριασμοί Διαχείρισης

Λογαριασμοί Διαχείρισης Σχολικού Εργαστηρίου

yper (υπεύθυνος του εργαστηρίου): πλήρη διαχειριστικά δικαιώματα

bdmn (έκτακτη περίπτωση): πλήρη διαχειριστικά δικαιώματα

tstech (Τεχνικούς Υπεύθυνους ΚΕΠΛΗΝΕΤ): Λογαριασμός διαχείρισης του domain

tsremote (μηχανικούς και τεχνικούς της Τεχνικής Στήριξης): πλήρη διαχειριστικά δικαιώματα και επιτρέπει τον χειρισμό οποιουδήποτε ζητήματος κυρίως με χρήση απομακρυσμένης διαχείρισης

σελ

ίδα 2

9

ΕΚΠΑΕΚΠΑ

Λογαριασμοί Διαχείρισης

Θα πρέπει να μην υπάρχει λογαριασμός διαχειριστή με όνομα ‘administrator’ στο domain.

Δεν υπάρχει κανένας τοπικός λογαριασμός με διαχειριστικά δικαιώματα σε κάποιον από τους σταθμούς εργασίας του εργαστηρίου

Computer Configuration \ Windows Settings \ Security Settings \Local Policies \ Security Options \ Accounts: Administrator account status: disabled

Κατά την καθημερινή χρήση του εργαστηρίου για εκπαιδευτικούς σκοπούς δεν θα πρέπει να γίνεται χρήση κανενός λογαριασμού με διαχειριστικά δικαιώματα.

σελ

ίδα 3

0

ΕΚΠΑΕΚΠΑ

Ορισμός Template User

Η δηµιουργία νέου χρήστη µπορεί να γίνει µε την αντιγραφή ενός πρότυπου «χρήστη» (User Template).

Αρχικά θα πρέπει να δηµιουργηθεί αυτός ο πρότυπος «χρήστης». Με βάση την αναγραφόµενη δοµή του Active Directory αυτός χρήστης θα πρέπει να είναι στο OU Template Accounts.

Επιλέγουµε µέσα από Administrative Tools την κονσόλα Active Directory Users and Computers.

σελ

ίδα 3

1

ΕΚΠΑΕΚΠΑ

Δημιουργία OU «Template Accounts»

δεξί click πάνω στο OU Template Accounts και επιλέγουμε New User και συμπληρώνουμε τα στοιχεία.

σελ

ίδα 3

2

ΕΚΠΑΕΚΠΑ

Δημιουργία «Template Account»

Επιλέγουμε Next όπου ορίζουμε τον κωδικό (Password) του χρήστη.

Στα Windows 2003 Domains ο κωδικός θα πρέπει να πληρεί µερικές προϋποθέσεις όπως να είναι τουλάχιστο 8 χαρακτήρες, να περιέχει τουλάχιστο ένα γράµµα, ένα νούµερο και ένα σύµβολο.

σελ

ίδα 3

3

ΕΚΠΑΕΚΠΑ


Αφού δηµιουργήσουµε τον χρήστη κάνουµε διπλό click πάνω του και εµφανίζεται η καρτέλα µε τα στοιχεία του, τα δικαιώµατα και διάφορες άλλες ρυθµίσεις.

Επιλέγουµε το φύλλο Profiles και συµπληρώνουµε τα στοιχεία ως εξής:

σελ

ίδα 3

4

ΕΚΠΑΕΚΠΑ


σελ

ίδα 3

5

ΕΚΠΑΕΚΠΑ


Στο profile path στην θέση της IP διεύθυνσης του παραδείγµατος (10.10.10.10) βάζουµε αυτή του εξυπηρετητή του εργαστηρίου που είναι της αντίστοιχης µορφής (10.Χ.Υ.Ζ). Τώρα ο χρήστης «πρότυπο» είναι έτοιµος.

Θα µπορούσαµε να του δώσουµε και άλλες ιδιότητες π.χ. να ανήκει σε κάποιο Group κ.α. Έτσι θα τον εξειδικεύαµε για συγκεκριµένους λογαριασµούς. Δηλαδή θα µπορούσαµε να δηµιουργήσουµε ένα Template User για την κατηγορία Student-2nd Class o οποίος θα ανήκει και στα Group “Students” και “2nd Class Students”

Στη συνέχεια κάνουµε δεξί click στο Template λογαριασµό και επιλέγουµε Copy. Αυτόµατα ξεκινά η διαδικασία παρόµοια µε αυτή της δηµιουργίας χρήστη. Τώρα όµως βάζουµε τα στοιχεία του χρήστη που θέλουµε να δηµιουργήσουµε και τον λογαριασµό τον ενεργοποιούµε.

σελ

ίδα 3

6

ΕΚΠΑΕΚΠΑ


Αφού δημιουργηθεί ο χρήστης µε δεξί click πάνω του και επιλογή Move τον μεταφέρουµε στο OU που επιθυμούμε.

Δεν θα πρέπει να υπάρχουν άλλοι λογαριασμοί εκτός των Template µέσα στο OU Template Accounts.

σελ

ίδα 3

7

ΕΚΠΑΕΚΠΑ

Οδηγίες Δημιουργίας user profiles

Η διαδικασία δομείται σε τέσσερα στάδια

Δημιουργία συγκεκριμένου shared folder στον SCHOOL

Δημιουργία προφίλ χρήστη σε έναν client

Δημιουργία profile shared folder στον SCHOOL

Διασύνδεση λογαριασμών χρηστών με το profile

σελ

ίδα 3

8

ΕΚΠΑΕΚΠΑ

Δημιουργία shared folder στον server

Κάνουμε log on στον SCHOOL ως administrator του domain

Επιλέγουμε Start Programs Accessories Windows Explorer

Κάνουμε expand το My Computer και επιλέγουμε το Local Disk (C:)

Στο δεξί παράθυρο κάνουμε δεξί κλικ και επιλέγουμε New Folder

Πληκτρολογούμε dokimi

Κάνουμε δεξί κλικ στο folder dokimi και επιλέγουμε sharing

Στο παράθυρο dokimi Properties επιλέγουμε share this folder και στην συνέχεια κάνουμε κλικ στο Caching

Στο παράθυρο Caching Settings αποεπιλέγουμε το Allow caching of files in this shared folder και κάνουμε κλικ στο OK

Στο παράθυρο dokimi Properties κάνουμε κλικ στο OK

Κλείνουμε τον Windows Explorer

σελ

ίδα 3

9

ΕΚΠΑΕΚΠΑ

Δημιουργία προφίλ χρήστη σε έναν client (1/3)

Κάνουμε log on σε έναν client του site SCHOOL ως τοπικός administrator

Επιλέγουμε Έναρξη Ο Υπολογιστής μου και κάνουμε δεξί κλικ

Επιλέγουμε Διαχείριση

Στο παράθυρο με τίτλο Διαχείριση Υπολογιστή κάνουμε expand στο Τοπικοί λογαριασμοί Users και Groups και επιλέγουμε Users

Κάνουμε δεξί κλικ και επιλέγουμε Νέος χρήστης

Στο παράθυρο με τίτλο Νέος χρήστης πληκτρολογούμε το Όνομα χρήστη (test) και τον κωδικό πρόσβασης (test) και αποεπιλέγουμε το Ο χρήστης πρέπει να αλλάξει...

Επιλέγουμε την δεύτερη και Τρίτη επιλογή και πατάμε Δημιουργία και κλείσιμο

Επιλέγουμε από το Windows Explorer όλα τα περιεχόμενα του default user και τα διαγράφουμε

Αντιγράφουμε (αν έχουμε κρατήσει backup) ένα υποθηκευμένο profile (που δημιουργήθηκε παλαιότερα), τα περιεχόμενα του profile στο default user.

Διαγράφουμε όλα τα περιεχόμενα (που μας επιτρέπει το σύστημα να διαγράψουμε) από το All Users (εκτός από το Acrobat Assistant στο path Start Menu\Προγράμματα\Εκκίνηση )

σελ

ίδα 4

0

ΕΚΠΑΕΚΠΑ


Επιλέγουμε Έναρξη Αποσύνδεση

Στο μήνυμα με τίτλο Αποσύνδεση των Windows πατάμε Αποσύνδεση

Κάνουμε Logon τοπικά με τον χρήστη που δημιουργήσαμε

Κάνουμε Logoff και κάνουμε Logon ως τοπικός administrator

Επιλέγουμε Έναρξη Ο Υπολογιστής μου και κάνουμε δεξί κλικ και επιλέγουμε Ιδιότητες

Στο παράθυρο με τίτλο Ιδιότητες συστήματος επιλέγουμε το tab page Για προχωρημένους και πατάμε Ρυθμίσεις στο Προφίλ χρηστών

Στο παράθυρο με τίτλο Προφίλ χρηστών επιλέγουμε τον τοπικό test χρήστη και πατάμε Αντιγραφή σε

Στο παράθυρο με τίτλο Αντιγραφή σε πατάμε Αναζήτηση

Στο παράθυρο με τίτλο Αναζήτηση φακέλου επιλέγουμε Θέσεις Δικτύου Συνολικό Δίκτυο Δίκτυο των Microsoft Windows SCHOOL

Στο παράθυρο με τίτλο Σύνδεση με το school.edu πληκτρολογούμε στο πεδίο Όνομα χρήστη το SCHOOL\administrator και στο πεδίο Κωδικός πρόσβασης τον κωδικό πατάμε OK

σελ

ίδα 4

1

ΕΚΠΑΕΚΠΑ


Επιλέγουμε testing και πατάμε OK

Στο παράθυρο με τίτλο Αντιγραφή σε πληκτρολογούμε \\SCHOOL\dokimi\test

Στο παράθυρο με τίτλο Αντιγραφή σε πατάμε Αλλαγή

Στο παράθυρο με τίτλο Επιλογή “Χρήστης” ή “Ομάδα” πατάμε Τύποι αντικειμένων

Στο παράθυρο με τίτλο Εισαγωγή κωδικού πρόσβασης δικτύου πληκτρολογούμε στο πεδίο Όνομα χρήστη τον Κωδικός πρόσβασης και πατάμε OK

Στο παράθυρο με τίτλο Τύποι αντικειμένων επιλέγουμε το Ομάδες και πατάμε OK

Στο παράθυρο με τίτλο Επιλογή “Χρήστης” ή “Ομάδα” πληκτρολογούμε Domain Users και πατάμε Έλεγχος ονομάτων και πατάμε OK

Στο παράθυρο με τίτλο Αντιγραφή σε πατάμε OK

Στο παράθυρο με τίτλο Επιβεβαίωση αντιγραφής πατάμε Ναι

Στο παράθυρο με τίτλο Προφίλ χρηστών πατάμε OK

Στο παράθυρο με τίτλο Ιδιότητες συστήματος πατάμε OK

Επιλέγουμε Έναρξη Αποσύνδεση

Στο μήνυμα με τίτλο Αποσύνδεση των Windows πατάμε Αποσύνδεση

σελ

ίδα 4

2

ΕΚΠΑΕΚΠΑ

Δημιουργία profile shared folder στον OSK

Κάνουμε log on στον OSK ως administrator του domain

Επιλέγουμε Start Programs Accessories Windows Explorer

Κάνουμε expand το My Computer και στην συνέχεια το Local Disk (C:)

Στην συνέχεια επιλέγουμε το folder dokimi και στην συνέχεια το folder test

Κάνουμε copy το folder test στο root.

Κάνουμε δεξί κλικ στο folder dokimi και επιλέγουμε Delete

Κάνουμε δεξί κλικ στο folder test, επιλέγουμε Rename και μετονομάζουμε το αρχείο σε profile

σελ

ίδα 4

3

ΕΚΠΑΕΚΠΑ

Διασύνδεση user accounts με το profile

Κάνουμε δεξί κλικ στους χρήστες που επιθυμούμε να συνδέσουμε με το προφίλ που δημιουργήσαμε και

στο Profile tab page στο profile path πληκτρολογούμε %logonserver%\profile

σελ

ίδα 4

4

ΕΚΠΑΕΚΠΑ