1. Scentralizowana baza użytkowników,
2. Scentralizowany sposób instalacji oprogramowania.
3. Scentralizowanie polityką bezpieczeństwa.
Rozróżniamy dwa typy domen:
1. NT4 - stary typ
2. Active Directory - zastąpił NT4.
Domena tworzy drzewo a drzewo las:
firma.pl (korzeń) -> ksiegowosc.firma.pl
-> zastepcy.firma.pl
-> administracja.firma.pl
W przypadku małej firmy wystarczy jedna domena.
Instalacja kontrolera domeny.
W Server Manager klikamy na Add roles and features
Wybieramy podstawowy kontroler domeny
Wybieramy serwer lokalny, na którym ma być zainstalowany DC
Wybieramy usługę domenową Active Directory Domain Services
Pojawi się okienko, gdzie zatwierdzamy dodanie wymaganych funkcji
Klikamy NEXT z ustawieniami jak niżej
Zatwierdzamy konieczność instalacji serwera DNS
Rozpoczynamy instalację przyciskiem INSTALL
Po zakończonej instalacji należy zrestartować serwer.
Konfiguracja kontrolera domeny.
W Server Manager w menu po lewej klikamy na AD DS (A) a następnie w prawym rogu na przycisk More... (B)
Następnie klikamy na napis Promote this server to a domain Controler.
Serwer który tworzymy będzie głównym kontrolerem i jedynym dlatego wybieramy opcję 3. Wprowadzamy też nazwę domeny i klikamy NEXT
Wprowadzamy hasło przywracania usługi katalogowej (w tym 8 znaków znak specjalny itp)
Następnie klikamy NEXT wg rysunków poniżej
Jeśli wszystko przebiegnie prawidłowo powinien się pojawić komunikat jak w poniższym rysunku. Wówczas klikamy INSTALL.
Po zakończonej instalacji restartujemy serwer.
Tworzenie jednostek organizacyjnych, grup użytkowników, użytkowników i komputerów.
Założenie: nasza firma posiada jedną domenę firma.lab, w ramach tej firmy utworzymy dwie jednostki organizacyjne tj. administracja oraz klasy. Następnie utworzymy grupy (które należeć będą do grupy Users) odzwierciedlające biura jakie znajdują się w tych jednostkach i tak dla :
1. j.o. administracja => grupa sekretariat, kancelaria, ksiegowosc, zastepcy, finanse, kadry
2. j.o. klasy => 207a, 204a, 202a, 201a
Następnie w ramach poszczególnych jednostek stworzymy użytkowników i tak dla :
1. j.o. administracja => ku123 (grupa sekretariat), ku124 (grupa kancelaria) itd
2. j.o. klasy => u207a (grupa 207a), u204a (grupa 204a)
Wybrać w Server Manager - AD DS. Następnie prawym klawiszem myszy wybieramy Active Directory Users and Computers. W tym miejscu strukturę organizacyjną naszej firmy wg powyższych założeń.
Klikamy na nazwie domeny firma.lab i tworzymy nową jednostkę organizacyjną: Administracja
Następnie w Administracji tworzymy jednostki organizacyjne group (działy), users, komputery:
W dalszej kolejności nadajemy grupie finanse prawa zwykłego użytkownika. Klikamy na nazwie grupy finanse prawym klawiszem myszy i wybieramy Properties:
Zakładka Member Of, Add...
Advanced...
.... wybieramy grupę Users
Zatwierdzamy wszystkie okna OK.
Tworzenie użytkownika.
Na wybranej jednostce Administracja->Users klikamy prawym przyciskiem myszy i wybieramy New->User
Wypełniamy wszystkie pola:
ustalamy hasło (ze znakiem specjalnym)
Następnie utworzonego użytkownika przydzielamy do wcześniej utworzonej grupy np. finanse:
Klikamy prawym klawiszem myszy na użytkownika ku123 i wybieramy Properties->Member Of->Add...->dodajemy grupę finanse i ustawiamy Set Primary Group, po czym usuwamy domyślną grupę Users.
Tworzenie kont komputerów.
Wewnątrz jednostki Administracja utworzymy nową jednostkę o nazwie Komputery, w której będą przechowywane konta komputerów. Komputery możemy tworzyć ręcznie:
wprowadzamy unikatową nazwę komputera
we właściwościach nowo utworzonego komputera widzimy iż został komputer przypisany automatycznie do grupy Domain Computers
Lub logujemy się z komputera klienckiego (poraz pierwszy) do domeny a następnie z sekcji Computers przeciągamy daną nazwę komputera do określonej jednostki komputery:
Jeśli komputer ulegnie awarii i będzie trzeba go wymienić na nowy to wówczas należy kliknąć na komputerze prawym przyciskiem i wybrać opcję Reset Account. W menu można też wybrać Disable Account.
We właściwościach danego użytkownika np. ku123 w zakładce Account -> Log On To.. można ustalić harmonogram logowania:
Przed utworzeniem zasobu profile musimy uaktualnić GPO dla jednostki organizacyjnej tak aby do profilu miał dostęp właściciel i administrator
Edytor zarządzania zasadami grupy->Konfiguracja komputera->System->Profile użytkowników->Dodaj grupę zabezpieczeń administratorzy do profilów użytkowników
W zakładce Profile określamy ścieżkę dla profilu:
Jednocześnie :
1. tworzymy na dysku serwera katalog c:\profile
2. klikamy na właściwości katalogu i wybieramy Sharing->Advance Sharing
Zaznaczamy opcję udostępniania i klikamy na Permission
Wyszukujemy użytkownika Everyone i zaznaczamy wszystkie opcje dostępu
W zakładce Sessions ustalamy czas trwania sesji, tak aby użytkownicy, którzy zapomną się wylogować byli po upływie określonego czasu wylogowani automatycznie.
Ograniczenia polityki bezpieczeństwa dla organizacji Administracja:
Wybieramy z Server Manager -> AD DS -> Tools -> Group Policy Management
W otwartym okienku Group Policy Managament klikamy i rozwijamy naszą domenę wraz z jednostką organizacyjną Administracja, na którą klikamy prawym przyciskiem i wybieramy Create a GPO in this domain...
Polityce nadajemy nową nazwę np.: Ograniczenia dla administracji
Następnie na utworzonej polityce klikamy prawym klawiszem myszy i zaznaczamy Enforced (wymuszenie tej polityki o najwyższym priorytecie), a następnie wybieramy z menu Edit
rozpoczynamy edycję polityki bezpieczeństwa dla administracji tj:
Przygotowujemy ekran logowania komputerów.
Założenie:
- wymuszenie ctrl+alt+del
- brak wyświetlenia ostatniego zalogowanego użytkownika
- wyświetlenie tytułu i treści informującej o pracy w domenie
- wyświetlanie powiadomienia o zmianie hasła na 3 dni przed
edytujemy GPO ograniczenie_komputery i ustawiamy nw. parametry
parametry z założenia powyżej:
interactive logon: Do not display last user name: Enabled
interactive logon: Do not require CTRL+ALT+DEL: Disabled
interactive logon: Message text for users attempting to log on: Zapraszamy do ....
interactive logon: Message title for users attempting to log on: Tytuł...
interactive logon: Prompt user to chenge password before expiration: 3 days
lub możemy ustawić politykę zabezpieczenia konta i haseł
Po zmianach na serwerze na komputerze klienckim :
- z linii komend CMD wydajemy polecenie aktualizacji polityk GPO
gpupdate /force- restartujemy komputer klienta
lub samo zrestartowanie komputera klienckiego powinno uaktualnić politykę grupy
=========================================================
Profil mobilny i obowiązkowy
=========================================================
Na dysku serwera tworzymy katalog profili np c:\profilki
Udostępniamy utworzony katalog dla użytkowników domeny (Domain Users) oraz dla Administratora.
Odhaczamy (jeśli istnieje) opcję dziedziczenia (Replace all child object permission...)
Sprawdzamy katalog właściwości katalogu użytkownika domeny czy dostęp ma tylko użytkownik profilu i czy dostęp ma administrator:
Edytujemy politykę GPO Ograniczenie_komputery ustawiamy możliwość dostępu do katalogu z profilami użytkowników dla administratora oraz ustalamy ścieżkę dostępu do profili dla wszystkich użytkowników domeny znajdujących się w organizacji komputery
Computer Configuration->Administrative templates: ...->System->User Profiles
-> Add Administrators security group to roaming user profiles...: Enabled
->Set roaming profile path for all users...
Po zakończonych ustawieniach GPO jak zwykle restartujemy polityki GPO
gpupdate /forceProfil obowiązkowy
wchodzimy do katalogu profilu użytkownika i zmieniamy rozszerzenie pliku z ntuser.DAT na ntuser.MAN
Aby były widoczne wszystkie pliki w eksploatorze Windows Serwer należy :
Brak komentarzy:
Prześlij komentarz