Zarządzanie użytkownikami i komputerami w firmie - dlaczego warto znać Active Directory

Konrad SagałaExchange MVPArchitekt Systemów IT w APN Promise S.A.

Kariera w IT

Kariera w IT - kompetencje

IT – Nauka całe życie

Obszary Wyboru Zarządzanie systemami

Wsparcie użytkowników

Programowanie

Testowanie

Bazy Danych

Projektowanie stron webowych

…

Zarządzanie komputerami i użytkownikami w firmie – usługi katalogowe

Identyfikacja zasobów

Spójny sposób zarządzania: Nazwami

Lokalizacjami

Prawami dostępu

Bezpieczeństwem

Usługami

Zarządzanie komputerami i użytkownikami w firmie - narzędzia Usługi katalogowe

Active Directory

OpenLDAP

eDirectory

Lotus Domino

Oracle Internet Directory

Wprowadzenie do Active Directory Domain Services

Omówienie podstaw AD DS

Kontrolery domeny w Windows Server

Omówienie podstaw AD DS

Podstawy AD DS

Czym są domeny AD DS?

Czym są jednostki organizacyjne (OU)?

Czym jest las AD DS?

Czym jest schemat AD DS?

Podstawy AD DS

Komponenty fizyczne Komponenty logiczne

• Data store

• Domain controllers

• Global catalog server

• RODC

• Partitions

• Schema

• Domains

• Domain trees

• Forests

• Sites

• OUs

AD DS składa się z komponentów logicznych i fizycznych

Czym są domeny AD DS?• AD DS wymaga co najmniej jednego kontrolera domeny

• Wszystkie kontrolery domeny przechowują kopię bazy danych domeny, która jest na bieżąco synchronizowana

• Domena jest kontekstem, w ramach którego są tworzone komputery, grupy i użytkownicy

• Domena ogranicza zasięg replikacji

• Zalecane narzędzie do tworzenia i konfiguracji obiektów to Administrative Center

• Dowolny kontroler domeny uwierzytelnia logowanie do domeny

Czym są OUs?

Organizational Units• Kontenery do grupowania

obiektów w ramach domeny• OU tworzymy do:

• Delegacji uprawnień administracyjnych

• Aplikowania zasad grupowych (Group Policy)

Czym jest las AD DS?

adatum.com

Tree Root Domain

Forest Root Domain

atl.adatum.com

fabrikam.com

Czym jest schemat AD DS?Schemat Active Directory definiuje atrybuty i klasy używane do opisu obiektów:

• Attributes• objectSID• sAMAccountName• location• manager• department

• Classes• User• Group• Computer• Site

Kontrolery domeny w Windows Server 2012Czym jest Kontroler Domeny?

Czym jest Global Catalog?

Proces logowania do AD DS

Demonstracja: Rekordy SRV w DNS

Czym są FSMO?

Czym jest kontroler domeny?

Kontrolery domeny

• Serwery utrzymujące kopie bazy Active Directory (NTDS.DIT) i SYSVOL

• Usługa uwierzytelniania Kerberos oraz usługa KDC

• Dobre praktyki:• Dostępność: Co najmniej dwa kontrolery

domenowych w domenie• Bezpieczeństwo: RODC i BitLocker

Czym jest Global Catalog?

Domain BDomain B

Domain ADomain A

ConfigurationConfiguration

SchemaSchema

Domain ADomain A

ConfigurationConfiguration

SchemaSchema

Domain BDomain B

ConfigurationConfiguration

SchemaSchema

Domain BDomain B

ConfigurationConfiguration

SchemaSchema

Global catalog:Przechowuje częściowe zestawy atrybutów dla innych domen w lesie. Pozwala wyszukiwać obiekty w całym lesie

Global catalog server

Proces logowania do AD DS

DC1

SVR1WKS1

Proces logowania:

1.Konto użytkownika jest uwierzytelnianiane na DC1

2.DC1 zwraca TGT do klienta

3.Klient używa TGT żeby uzyskać dostęp do WKS1

4.DC1 zezwala na dostęp do WKS1

5.Klient używa TGT żeby uzyskać dostęp do SVR1

6.DC1 zezwala na dostęp do SVR1

Czym są FSMO?

W topologii multimaster, niektóre operacje muszą być wykonywane w jednym miejscu, serwery takie opisywane są w dokumentacji kilkoma nazwami:

• Operations master (lub operations master roles)• Single master roles• FSMOs

Role• Forest:

• Domain naming master

• Schema master

• Domain:• RID master• Infrastructure master

• PDC Emulator master

Instalacja kontrolera domeny

Instalacja poprzez Server Managera

Instalacja na Server Core Windows Server 2012

Uaktulanienie kontrolera ze starszej wersji systemu

Instalacja kontrolera domeny z użyciem opcji Install from Media

Klonowanie wirtualnych kontrolerów domeny

Instalacja poprzez Server Managera

Instalacja kontrolera na Server Core

Używamy poleceniadcpromo /unattend:”D:\answerfile.txt”. Poniżej przykładowy plik:

[DCINSTALL]UserName=<Konto administracyjne w domenie, gdzie dodajemy kontroler>UserDomain=<Nazwa domeny> Password=<Hasło domenowe dla konta, którego używamy do promocji kontrolera> SiteName=<Nazwa site’u AD DS, do którego dodajemy kontroler> Site musi być utworzony wcześniej w przystawce Dssites.msc.ReplicaOrNewDomain=replica ReplicaDomainDNSName=<Pełna nazwa (FQDN) domeny, do której dodajemy dodatkowy kontroler>DatabasePath="<Ścieżka do katalogu na lokalnym dysku>" LogPath="<Ścieżka do katalogu na lokalnym dysku>" SYSVOLPath="<Ścieżka do katalogu na lokalnym dysku>" InstallDNS=yes ConfirmGC=yes SafeModeAdminPassword=<Hasło adminsitracyjne dla trybu offline> RebootOnCompletion=yes

Instalacja z użyciem opcji Install from Media

Dziękuję za uwagę