Szablon dla tlumaczy



Pobieranie 166,87 Kb.
Strona1/5
Data20.02.2019
Rozmiar166,87 Kb.
  1   2   3   4   5

Rozdział 18

Zaawansowane zagadnienia implementacji Active Directory


Ten rozdział zawiera wprowadzenie do pewnych bardziej zaawansowanych zagadnień implementacji, zazwyczaj napotykanych w fazie „dowodu poprawności koncepcji” Active Directory — i z pewnością napotykanych w fazie wdrożenia pilotowego.

Zagadnienia te obejmują:



  • Tworzenie lokacji i struktury replikacji.

  • Korzystanie z pełnego potencjału OU w celu delegowania administracji i wdrażania zasad (zamiast zwykłego narzucania struktury hierarchicznej dla obiektów katalogowych).

  • Rozumienie decyzji wymaganych na poziomie domeny i lasu, w tym dotyczących planowania ról FSMO.

  • Tworzenie kopii zapasowej (oraz ewentualnie odtwarzanie z niej) Active Directory.

  • Korzystanie z narzędzi Support Tools w celu lepszego zrozumienia struktur i funkcjonowania Active Directory oraz dostępnych opcji rozwiązywania problemów.

Jak powyższa lista sugeruje, na zawartość tego rozdziału składają się różnorodne tematy, z których niekoniecznie wszystkie będą natychmiast przydatne. Lecz zalecam przejrzeć ten rozdział, ponieważ zawiera on trochę wskazówek i chwytów, które mogą okazać się bardzo cenne gdy napotkamy opisane tu sytuacje.

Opcje zaawansowane


Przed wejściem w naprawdę zaawansowane zagadnienia implementacji Active Directory warto poświęcić chwilę czasu by docenić niektóre mniej rzucające się w oczy funkcje narzędzi konsoli MMC, pozwalające na optymalizację zarządzania zawartością bazy danych Active Directory. Jedna z tych opcji — okno Opcje filtru — pozwala na ograniczanie typów obiektów zwracanych do przystawki, umożliwiając przez to bardziej wydajne zarządzanie Active Directory. Można na przykład wybrać przeglądanie tylko użytkowników lub grup, lub też tworzyć bardziej złożone filtry. Dodatkowo okno dialogowe Opcje filtru pozwala ograniczyć liczbę obiektów wyświetlanych w panelu wyników.

Poniższe kroki opisują sposób wykorzystania okna dialogowego Opcje filtru do skonfigurowania tego limitu (patrz rysunek 18.1):



  1. Wywołaj okno Opcje filtru za pomocą przycisku Ustaw opcje filtrowania z paska narzędzi, albo z menu Widok | Opcje filtru.

  2. Wybierz stosowne warunki filtrowania (np. Pokaż tylko następujące typy obiektów) za pomocą jednego z przycisków opcji.

  3. Wybierz typy obiektów do wyświetlenia (jak np. Użytkownicy i Grupy), zaznaczając odpowiednie pola wyboru.

Rysunek 18.1

Decyzje, jakie warunki muszą zostać spełnione aby obiekt pojawił się w panelu wyników. Za pomocą funkcji Opcje filtru można te warunki dostosować dowolnie

Uwaga

Przy zarządzaniu bardzo dużą domeną należy pamiętać, iż narzędzie Użytkownicy i komputery usługi Active Directory pokazuje najwyżej 10 000 obiektów w każdym kontenerze. Lecz można zwiększyć tę liczbę za pomocą okna dialogowego Opcje filtru.



Poza tym domyślnie większość narzędzi administracyjnych ukrywa część informacji przed administratorem. Jest to zaprojektowane bardzo rozsądnie, ponieważ ukryte informacje obejmują pozycje do których dostęp jest zazwyczaj niepotrzebny.

Na przykład, wybór Opcji zaawansowanych z menu podręcznego narzędzia MMC Użytkownicy i komputery usługi Active Directory (patrz rysunek 18.2) spowoduje odkrycie garści uprzednio niewidocznych kontenerów. Jednym z bardzo interesujących nowych folderów jest System, zawierający informacje na wiele tematów, w tym kontener File Replication Service, pozwalający sprawdzić postępy replikacji FRS woluminu SYSVOL. Jeśli zaś w serwerze działa DDNS zintegrowany z Active Directory, dostępny jest kontener MicrosoftDNS, pozwalający na przeglądanie (i zarządzanie) wszystkich rekordów zasobów DNS składowanych w domenie.

Rysunek 18.2

Ustawienia domyślne dla większości przystawek ukrywają część informacji, dopóki nie wybierzemy Opcji zaawansowanych. Tutaj widzimy narzędzie Użytkownicy i komputery Active Directory z załączoną opcją Zaawansowane

Proszę też zwrócić uwagę na kontener LostAndFound pokazujący obiekty, które nie zostały zawarte w katalogu, ponieważ procedura replikacji nie była w stanie ustalić gdzie je umieścić (może to się zdarzyć na przykład jeśli utworzymy obiekt w jednym DC podczas usuwania kontenera tego obiektu w innym DC). Warto sprawdzić ten kontener od czasu do czasu, aby wyszukać brakujące obiekty katalogu — i zdecydować, czy je przenieść, czy też usunąć.

Tworzenie OU dla zasad i delegowania administracji


Oprócz tworzenia logicznej struktury ułatwiającej nawigację po strukturze organizacyjnej firmy, OU można wykorzystać do innych celów:

Rozdział 10. opisuje podstawową funkcjonalność jednostek organizacyjnych (w tym zagadnienia projektowe) dość wyczerpująco, wobec czego bieżący podrozdział przedstawi tylko kilka przykładów olbrzymich możliwości wykorzystania OU do delegowania administracji i stosowania Zasad grup.

Delegowanie administracji


Tylko Administratorzy mają domyślnie prawo przyłączać komputery do domeny, ponieważ komputery są wystawcami zabezpieczeń — tak, jak użytkownicy. Jednakże w wielu przypadkach możemy chcieć pozwolić określonym (lub wszystkim) użytkownikom uwierzytelnionym przyłączać komputery do domeny bez potrzeby uprzedniego konfigurowania czegokolwiek przez administratora.

Uwaga


Przed zabraniem się do delegowania prawa przyłączania komputerów do domeny proszę przemyśleć wpływ tego kroku na zabezpieczenia, ponieważ komputerom można przydzielać uprawnienia i prawa do zasobów.

Poniższe kroki należy podjąć, aby umożliwić wybranym użytkownikom lub grupom przyłączanie komputerów do domeny:



  1. W narzędziu Użytkownicy i komputery usługi Active Directory uruchom Kreatora delegowania kontroli, klikając prawym przyciskiem kontener i wybierając Deleguj kontrolę (patrz rysunek 18.3).

  2. Pomiń ekran powitalny klikając Dalej.

  3. Wybierz wystawców zabezpieczeń — typowo grupy — do których uprawnienia mają zostać oddelegowane. Rysunek 18.1 przedstawia proces wybierania grupy Użytkownicy w celu udostępnienia jej wszystkim członkom możliwości przyłączenia komputerów do domeny. Kliknij Dalej.

  4. W oknie Typ obiektu Active Directory można wybrać albo ustawienia domyślne („Ten folder, obiekty istniejące w tym folderze oraz tworzenie nowych obiektów w tym folderze”), albo przełączyć się na opcję „Tylko nastepujące obiekty w tym folderze” i wybrać Computer obiektów (patrz rysunek 18.5). Tutaj wybrałem ustawienia domyślne, dające kontrolę nad samym kontenerem Komputery. Na przyszłość proszę zwrócić na rozliczne i bardzo subtelne możliwości, udostępniane w tym oknie. Kliknij Dalej.

  5. W oknie Uprawnienia należy zaznaczyć Tworzenia/usuwania określonych obiektów podrzędnych oraz opcje Utwórz Computer obiektów i Usuń Computer obiektów (patrz rysunek 18.6). Kliknij Dalej.

  6. Kliknij Zakończ, aby zaakceptować dokonany wybór (patrz rysunek 18.7).

Rysunek 18.3

Inicjacja Kreatora delegowania kontroli

Rysunek 18.4

Tu można wybrać użytkowników i (lub) grupy

Rysunek 18.5

Akceptacja domyślnych ustawień dla obiektów katalogowych objętych delegowaniem kontroli

Rysunek 18.6

Wybór praw dostępu delegowanych dla obieków katalogowych – konkretnie, prawa tworzenia i usuwania obiektów komputerów

Rysunek 18.7

Na koniec wybory zostają podsumowane i można je zaimplementować klikając Zakończ.

Można jeszcze lepiej oddelegować przykładową administrację przyłączania komputerów. Ponieważ tak wiele osób dyskutowało nad najłatwiejszym sposobem zezwolenia innym na przyłączenie komputerów do domeny, Microsoft tuż przed wydaniem Windows 2000 wprowadził obejmujące tę potrzebę Zasady grup. Wobec tego, chcąc zezwolić innym użytkownikom na przyłączanie komputerów do domeny, zamiast postępowania opisanego dla scenariusza delegowania dostępu, możemy postąpić zgodnie z poniższym opisem:

Windows 2000 Server nadaje użytkownikom zdolność do dodawania własnych komputerów do domeny przez modyfikację obiektu GPO dla OU Kontrolery domeny w następujący sposób:



  1. W narzędziu MMC Użytkownicy i komputery usługi Active Directory kliknij prawym przyciskiem OU Domain Controllers, wybierz Właściwości, zakładkę Zasady grupy, zaznacz obiekt Default Domain Controllers Policy i kliknij Edytuj.

  2. Przejdź do: Konfiguracja komputera | Ustawienia systemu Windows | Ustawienia zabezpieczeń | Przydział praw użytkownika, a następnie kliknij Edytuj.

  3. Tutaj można w oknie dialogowym dodawać wedle upodobania użytkowników domeny i grupy, aby dać im prawo tworzenia nowych stacji roboczych w domenie.

Opcje filtrowania w oknie uprawnień

Proszę uważnie zapoznać się z różnicami pomiędzy trzema opcjami dostępnymi w oknie Uprawnienia Kreatora delegowania kontroli administracyjnej przy wybieraniu praw dostępu:



  • Ogólne — udostępnia ogólne opcje uprawnień używanych dla obiektów katalogowych (tzn. Pełna kontrola, Tworzenie wszystkich obiektów podrzędnych i Zapis wszystkich właściwości)

  • Zależne od właściwości — udostępnia wszystkie opcje uprawnień, które można przydzielić do atrybutów obiektów katalogowych objętych zakresem delegowania administracji.

  • Tworzenia/usuwania określonych obiektów podrzędnych — udostępnia opcje uprawnień do tworzenia lub usuwania wszystkich obiektów potomnych, objętych zakresem delegowania administracji.

Zasady grup


Zasady grup pozwalają administratorowi zarządzać komputerami i użytkownikami w sieci przez stosowanie ustawień konfiguracji w poniższych dziedzinach:

  • Szablony administracyjne — pozwalają na konfigurację zasad opartych na Rejestrze, wpływających na ustawienia aplikacji, wygląd pulpitu i zachowanie usług systemowych.

  • Zabezpieczenia — decydują, jakie reguły zabezpieczeń obowiązują w lokalnym komputerze, w domenie i w sieci.

  • Instalacja oprogramowania — pozwalają na zarządzanie instalacją, aktualizacjami i usuwaniem oprogramowania z jednego miejsca.

  • Skrypty — wybierają skrypty przeznaczone do wykonania przy uruchomieniu i wyłączeniu komputera, oraz przy logowaniu i wylogowaniu użytkownika.

  • Przekierowanie folderów — przekierowują wybrane foldery użytkownika do lokalizacji sieciowej.

Przystawka MMC Zasady grup i jej rozszerzenia służą do definiowania wymagań Zasad grup — nazwanych Obiektami zasad grup (GPO – Group Policy Object), przeznaczonych do egzekwowania dla użytkowników i komputerów.

W pierwszym przykładowym scenariuszu założymy, iż chcemy usunąć opcję Uruchom z menu Start i przekierować pulpit do foldera publicznego w lokalnym udziale sieciowym dla wszystkich użytkowników, należących do OU Sales. Aby to osiągnąć, należy:



  1. W narzędziu MMC Użytkownicy i komputery usługi Active Directory kliknąć prawym przyciskiem OU Sales, wybrać Właściwości i zakładkę Zasady grupy (patrz rysunek 18.8) z okna Właściwości: Sales.

  2. Kliknąć Nowa w oknie właściwości OU Sales (patrz rysunek 18.9) i nazwać nowy GPO (w naszym przykładzie jest to sales1).

  3. Kliknąć łącze do GPO sales1 w oknie Właściwości i wybrać Edytuj. Przystawka MMC Zasady grup zostanie otwarta w nowym oknie.

  4. W przystawce MMC Zasady grup kliknąć podwójnie (rozwinąć) Konfigurację użytkownika, rozwinąć Szablony administracyjne, rozwinąć Menu Start i pasek zadań; następnie w panelu zakresu kliknąć dwukrotnie Usuń menu Uruchom z menu Start (patrz rysunek 18.10), wybrać Włączone i kliknąć przycisk OK. Przy okazji można rozejrzeć się w innych rozlicznych opcjach, udostępnionych przez MMC Zasady grup.

  5. Nadal w MMC Zasady grup należy rozwinąć Konfiguracja użytkownika, rozwinąć Ustawienia systemu Windows, rozwinąć Przekierowanie folderu, kliknąć prawym przyciskiem Pulpit (patrz rysunek 18.11) i wybrać Właściwości z menu podręcznego.

  6. W oknie dialogowym Właściwości pulpitu należy wybrać zakładkę Miejsce docelowe i w rozwijanym polu Ustawienia podać Podstawowe – Przekierowuj wszystkie foldery do tej samej lokalizacji, wpisać \\Aston-data.astonitgroup.com\public w polu Lokalizacja folderu docelowego (patrz rysunek 18.12) i kliknąć OK.

  7. Zamknąć okno Zasady grup — nowy GPO powinien być gotowy do użytku.

Rysunek 18.8

Dostęp do GPO. Okno Właściwości: Sales pokazuje obecne GPO zdefiniowane dla lokacji, domeny lub OU (zależnie od kontekstu) i pozwala dołączyć nowy GPO do kontenera.

Rysunek 18.9

Tworzenie nowego GPO

Rysunek 18.10

Usuwanie menu Uruchom z menu Start

Rysunek 18.11

Ustawienie przekierowania pulpitu

Rysunek 18.12

Przekierowanie Pulpitu do foldera publicznego w serwerze Aston-data

Wskazówka

Możliwości Zasad grup są praktycznie nieograniczone. Lecz proszę ograniczać się w ilości przydzielanych Zasad grup, które dany użytkownik lub komputer musi przetworzyć, ponieważ przeciętny czas przetwarzania GPO wynosi około dwóch sekund — i znacznie dłużej, jeśli GPO służy do dystrybucji oprogramowania i (lub) uruchamiania skryptów.

Ponadto GPO nie można bezpośrednio przydzielać do wystawców zabezpieczeń (grup, użytkowników lub komputerów). GPO są zamiast tego przydzielane do lokacji, domen i OU, zaś następnie wystawcy zabezpieczeń mogą służyć do filtrowania, których obiektów dotyczą GPO. Jak wiemy z uprawnień, odmowa dostępu ma zawsze wyższy priorytet niż zezwolenie.

Proszę mieć świadomość, iż GPO są domyślnie odświeżane u klientów co półtorej godziny (w serwerach co pięć minut), oraz że stosują się tylko do komputerów Windows 2000 i ich użytkowników.

W Windows 2000 Server wszystkie zasady zabezpieczeń są konfigurowane i zarządzanie za pomocą infrastruktury Zasad grup. Aby skonfigurować zasady zabezpieczeń stosujące się do całej domeny (np. minimalną dopuszczalną długość hasła) wystarczy:


  1. W narzędziu MMC Użytkownicy i komputery usługi Active Directory kliknąć prawym przyciskiem domenę (w naszym przypadku astonigroup.com), wybrać Właściwości i kliknąć zakładkę Zasady grupy, wybrać Default Domain Policy i kliknąć przycisk Edytuj (patrz rysunek 18.13).

  2. W przystawce MMC Zasady grup rozwinąć Konfiguracja komputera, rozwinąć Ustawienia systemu Windows, Ustawienia zabezpieczeń, Zasady konta i kliknąć Zasady haseł (patrz rysunek 18.14).

  3. Kliknąć dwukrotnie Minimalna długość hasła w panelu zakresu (prawym), zastosować pożądane zmiany (patrz rysunek 18.15) i zamknąć przystawkę MMC Zasady grup. Po paru chwilach nowa zasada dotycząca haseł w całej domenie powinna zostać zaimplementowana dla wszystkich użytkowników zmieniających swoje hasła.

Rysunek 18.13

Uruchomienie przystawki MMC Zasady grupy z załadowanym GPO Default Domain Policy

Rysunek 18.14

Położenie zasady Minimalna długość hasła

Rysunek 18.15

Trzeba wprowadzić zasadę minimalnej długości hasła




  1   2   3   4   5


©operacji.org 2017
wyślij wiadomość

    Strona główna