Active Directory - szybki start - komputery w AD
Wstęp
Nadszedł czas na oddanie użytkownikom władzy nas swoimi komputerami. Niech pracują. Aby to jednak było możliwe, użytkownicy muszą mieć możliwość zalogowania się na swoje komputery. Jak jednak udostępnić taką możliwość? Przecież komputery nie wiedzą jakie hasła są poprawne a jakie nie. Nie mają również informacji jakie konta istnieją a jakie nie i czy ktoś może się zalogować na komputer czy nie. Aby te wszystkie problemy rozwiązać należy założyć konta komputerów. Za pomocą tych kont komputery będą się komunikować z naszym serwerem i pobierać sobie informacje o użytkownikach a także ich uwierzytelniać lub autentykować. No i teraz trochę teorii.
Autentykacja, uwierzytelnianie a autoryzacja
No więc zacznę delikatnie.
Uwierzytelnianie oznacza weryfikację czy podmiot który się nam przedstawia jest faktycznie tym podmiotem. Czyli można taki podmiot zweryfikować na przykład za pomocą hasła albo certyfikatu, pinu lub innej zupełnie dowolnej metody. Chodzi tylko o to, że uwierzytelnianie to sprawdzenie czy dana osoba to faktycznie ta osoba (lub czy urządzenie to faktycznie to urządzenie).
Autoryzacja oznacza sprawdzenie czy dany użytkownik (lub urządzenie), mają uprawnienia do wykonania jakiejś czynności.
Przykład 1
Czyli możemy powiedzieć, że podczas logowania do komputera następuje uwierzytelnienie za pomocą loginu i hasła a następnie weryfikowana jest autoryzacja czyli sprawdzenie czy użytkownik ma prawo zalogować się do tego komputera.
Przykład 2
Kolejnym przykładem może być trochę z innej bajki taki scenariusz. Idziemy do sklepu, kupujemy jakieś produkty. Zakładamy, że chcemy zapłacić kartą. Przy płatności na czytniku musimy wpisać PIN (uwierzytelnianie czy to napewno my), następnie w magiczny sposób czytnik sprawdza czy mamy środki na koncie żeby zapłacić (autoryzacja). Jeżeli tak to płatność dochodzi do skutku. Ok mam nadzieję, że wszystko jasne w tym temacie.
Pozostało nam jeszcze takie słowo jak autentykacja. Microsoft twierdzi, że takie pojęcie nie istnieje (nawet Word nam krzyczy, że błędny wyraz). W zasadzie jest to authentication - angielski wyraz po polsku powiedziany. Oznacza to samo co uwierzytelnianie. Więc jeżeli chcemy być poprawni to mówmy uwierzytelnianie a nie autentykacja. Jednak tak wiele osób posługuje się wyrazem autentykacja, że chyba z czasem się przyjmie. Chyba, że Ci poprawni będą się trzymać uparcie przy poprawności. Jako, że w "profesionalnym" środowisku słowo 'antentykacja" jest źle widziane to tak po koleżeńsku ostrzegam przed jego nadużywaniem.
Ok zaczynamy część praktyczną!
Dołączanie komputerów do domeny
Aby nasi użytkownicy mogli skorzystać z dobrodziejstw naszej nowej instalacji domeny organizacja.pl, musimy dodać konta dla komputerów. Aby to poprawnie zrobić trzeba przyjąć jakieś nazewnictwo komputerów. Tutaj schematów jest dużo. Można skorzystać z numerów inwentarzowych, lokalizacji, sposobu wykorzystania komputera, działu itp. Dla uproszczenia u mnie komputery będą się naszywać PC01, PC02 itd...
No teraz praktyka - możemy dodać komputer na co najmniej dwa sposoby. Sposobem pierwszym jest dodawanie komputerów taką metodą jaką dodawaliśmy użytkowników. Ale skąd niby komputer ma wiedzieć, że ktoś coś tam wyklikał sobie w jakiejś konsolce i on ma to brać pod uwagę? Są szczególne przypadki, gdzie taka metoda jest przydatna ale my zajmiemy się bardziej praktyczną metodą nr 2.
Metoda 2. Dodajemy komputer z komputera ;)
Zaczynając zaznaczę, że dla mojej wygody dodaję komputer który jest świeżo zainstalowany. Pracujemy na systemie Windows 7 Professional (wersje Home nie dają się spiąć z domeną). Wyłączyłem też automatycznie aktualizacje, żebym nie musiał czekać aż komputer się zaktualizuje. Mechanizm automatycznych aktualizacji przejmiemy też pod nasze władanie w późniejszym czasie i wtedy wrócimy do tego tematu.
Także mam czysty system Windows 7 Pro - nic poza sterownikami nie zainstalowane. Więc działamy...Start -> prawy klik na Komputer -> właściwości. Po lewej wybieramy "Zaawansowane ustawienia systemu".
A więc tak jak wyżej podajemy nazwę komputera (u mnie PC01 ale schemat nazewnictwa jest dowolny - ważne żeby był). Przełączyłem "Członkostwo" na "Domena" i wpisałem nazwę naszej domeny. Proszę zwrócić uwagę na poprzednie części tej serii gdzie wspominałem o najczęstszych problemach z DNS. Na komputerze musimy mieć ustawiony adres serwera DNS na nasz kontroler domeny - za pośrednictwem DHCP lub ręcznie. Odsyłam do poprzednich części. Jeżeli mamy serwer DNS wskazany na nasz kontroler domeny to klikamy OK.
W okienku pytają nas o zmianę nazwy komputera/domeny. O co tu chodzi?
Chodzi o to, że nie każdy może ot tak sobie dołączyć do naszej domeny... A kto może? Wszyscy który są autoryzowani do tego... A kto jest? Napewno Administrator ale z ten z domeny... Więc podajemy jego poświadczenia (login i hasło). Po zatwierdzeniu jeżeli wszystko będzie dobrze zobaczymy komunikat jak poniżej.
No to teraz widzimy powitanie jakieś (nie jest może jakieś przemiłe ale informuje, że akcja przebiegła poprawnie). Klikamy OK i w następnym oknie mamy komunikat z prośbą o restart. Po restarcie mamy takie oto cuda.
Pierwsze logowanie
O co tutaj chodzi i dlaczego tak? Przecież logowanie było automatyczne...
No więc teraz komputer w naszej domenie służy nam i tak naprawdę nie wie kto na nim będzie pracował (bo niby skąd?) więc na początek idziemy za komunikatem na ekranie i wciskamy trzech króli.
Kurde a to co? Jeszcze jakieś komedie... No dobra co to za PC01 i co to za "User"? A kurde.... A co to jest to "Przełącz użytkownika"? No to jedziemy z teorią...
Użytkownicy a użytkownicy lokalni
Jeżeli mamy taką sytuację na ekranie tak jak widać wyżej to musimy załatwić jeden temat... Gdzie są konta użytkowników. Po pierwsze konta użytkowników są na każdym z komputerów. Takie konta zawsze są tworzone np. konto Administrator, w moim przypadku także User (użytkownik utworzony podczas instalacji) itd. Mamy jeszcze konta w naszej domenie, które utworzyliśmy. Tutaj od razu zwrócę uwagę na pewien zgrzt. Napisałem wcześniej, że mamy takiego użytkownika w domenie jak Administrator a teraz jeszcze, że mamy takie konto jak Administrator na komputerze lokalnym. Skąd komputer ma wiedzieć na jakie ja konto chcę się zalogować? A co gdybyśmy mieli kilka domen? To co wtedy?
Mamy kilka możliwości wskazania do jakiego użytkownika chcemy się zalogować. Po pierwsze samym loginem. Domyślnym zachowaniem komputera jest takie, że komputer sprawdzi czy lokalnie ma takiego użytkownika, jeżeli nie to przyjmie, że użytkownik jest w domenie w której jest komputer na którym się logujemy. Więc próba logowania na administratora domenowego nie powiedzie się, bo komputer znajdzie takiego użytkownika lokalnie i dalej nie będzie szukał.
Czy jest metoda na wskazanie domeny z której chcemy się logować? Tak!
Sposoby zapisu domeny i użytkownika:
domena\użytkownik np.
organizacja.pl\administrator
organizacja.pl\lostapiuk
kolejny sposób to wykorzystanie nazwy netbios domeny:
domena_netbios\użytkownik np.
organizacja\Administrator
organizacja\lostapiuk
w nowych systemach tj. od Visty w górę mamy możliwość zapisu użytkownika i domeny w postaci ala mail:
użytkownik@domena np.
lostapiuk@organizacja.pl
Administrator@organizacja.pl
można użyć też nazw netbios w tej formie.
Jak widać można zrobić schemat nazewnictwa kont podobny do takich jakie przyjęliśmy dla adresów e-mail użytkowników i jeżeli jest nawet taka sama domena dla kont e-mail to można powiedzieć użytkownikom, żeby logowali się do komputera swoimi kontami e-mail i zadziała. Bardzo fajna koncepcja - jedno konto dla jednego użytkownika do wszystkich aplikacji, systemów itd.
Pierwsze logowanie do komputera
Dobra już mamy jasność co do kont i zapisów. Więc logujemy się na komputer jako lostapiuk.
Klikamy przełącz użytkownika (inny użytkownik) i wprowadzamy dane:
użytkownik: lostapiuk
hasło: P@ssw0rd
Jak widać komputer już się połapał, że chcemy logować się do ORGANIZACJA, ale tylko dlatego, że nie ma takiego użytkownika lokalnie. Enterujemy...
mamy komunikat o zmianie hasła to zmieniamy...
Jak już zmienimy hasło to po chwili (pierwszym razem dłuższej - kopiowanie profilu) pojawi nam się pulpit. Nasi użytkownicy już mogą pracować. Dobrze by było wpiąć do domeny również PC02 i jeżeli mamy to pozostałe komputery i niech ludzie pracują :)
Podsumowanie
W końcu mamy działające środowisko w którym mogą pracować ludzie. W następnej części przedstawię najczęstsze zgłoszenia użytkowników i sposoby na radzenie sobie z nimi... Zaczynamy życie Administratora domeny. Zapraszam.
Ładnie to wygląda.
OdpowiedzUsuńNaprawa laptopów Asus to specjalistyczna usługa oferowana przez Lapart, która obejmuje diagnostykę i naprawę laptopów marki Asus. Firma zajmuje się wymianą uszkodzonych podzespołów, naprawą układów chłodzenia, reinstalacją systemów operacyjnych oraz rozwiązywaniem problemów programowych. Profesjonalna obsługa i szybki czas realizacji napraw gwarantują zadowolenie klientów.
OdpowiedzUsuń