Active Directory - szybki start - pierwsze problemy
Wstęp
Jak to w życiu bywa nie wszystko jest idealne a niektórzy mówią, że nie ma rzeczy idealnych i w przypadku AD też tak jest. W domyślnych ustawieniach AD istnieje kilka mechanizmów które zabezpieczają konta AD przed osobami które chcą dostać się nie do swoich kont itd. Jak to mówią czym więcej zabezpieczeń tym bardziej upierdliwa praca i to prawda. Te zabezpieczenia napewno w pierwszych dniach pracy się ujawnią jako zgłoszenia użytkowników, że czegoś nie mogą. Opiszę tutaj te najczęściej występujące w codziennej pracy.
Konta administracyjne
W pierwszej chwili napewno ktoś Wam zgłosi, że nie może czegoś zainstalować. Np. przeglądarki albo innego oprogramowania. zamiast się coś instalować mamy taki komunikat jak poniżej.
Widać, że jest kłopot z instalacją Firefox-a. Dlaczego? A no właśnie dlatego, że konto użytkownika służy do używania komputera i pracy a nie do czynności administracyjnych. Ok czyli użytkownik nie zainstaluje żadnego oprogramowania? Tak zgadza się! Czy to oznacza , że teraz mamy masę pracy, wszystko musimy zrobić sami? A da się to jakoś ominąć? Tak i tak :) No to teraz się zacznie. Po pierwsze jak coś zainstalujemy lub odinstalujemy lub ustawimy to mamy pewność, że użytkownik tego nie zmieni. Więc mamy problemy typu, że ktoś sobie zainstalował 10 toolbarów itd z głowy od razu. Ale czy musimy to wykonywać sami i w zasadzie jak? Odpowiedź jest taka: w tej chwili wszystko musimy wykonywać sami tzn instalacje oprogramowania aktualizacje itd. A jak to zrobić? Za pomocą konta administratora domenowego. Jak się na niego zalogować w takim okienku jak wyżej? Odsyłam do opisu w poprzedniej części. A tymczasem wpisujemy ogranizacja\Administrator oraz hasło do konta administratora. Jak widać po wpisaniu tych danych instalacja poszła dalej i mamy Firefox-a zainstalowanego. Ok ale czy teraz drugiemu koledze z działu IT mamy dać hasło do konta Administrator a sami za każdym razem je wpisywać? Nie!
Konta administratorów domenowych
Zasada zawsze dla wszystkich brzmi: nie dajemy haseł nikomu i do niczego. Dajemy tylko loginy do nowych kont oraz hasła jednorazowe. Odsyłam do poprzednich części. Ok to w takim razie jak nasz kolega z IT ma nam pomóc i w zasadzie nawet sami na siebie zalogowani na swoim komputerze nic nie możemy zrobić. Metod jest dużo ale skorzystajmy na początek z tych najprostszych. Żeby było łatwiej logujemy się na serwer jako administrator i otwieramy konsolę "Active Directory Users and Computers" od razu przechodzimy do konteneru "Users".
Mam tutaj jakiś bałagan. Ale bez obaw ten bałagan nie powinien się znacznie powiększyć a poznanie elementów w tym kontenerze ułatwi nam znacznie wszelkie prace. Więc zaczynamy. Po pierwsze widać, że w kontenerze mamy tylko dwóch użytkowników (Administrator oraz Guest) z czego po ikonce widać, że Guest jest wyłączony. Pozostałe elementy są to grupy.
Microsoft zrobił tutaj kawał dobrej roboty i poustawiał nam szereg uprawnień przy czym poustawiał je na grupy. My jako administratorzy możemy dołączyć użytkowników do tych grup. Odziedziczą oni wtedy uprawnienia po grupie do której należą. Zaraz wyjaśnimy na przykładzie. Zakładamy, że mamy kolegę w IT który odpowiada za sieć komputerową. Możemy zatem dodać go do grupy "DHCP Administrators", od tej pory będzie mógł zarządzać usługą DHCP na wszystkich serwerach jednocześnie dalej nie będzie mógł niczego instalować. Prawda, że fajne? Ok ale my akurat mamy kolegę który musi nas zastępować praktycznie we wszystkim (bo jest nas tylko dwóch w OU IT) to zróbmy tak, że ja (lostapiuk) i ten kolega (akowal), będziemy mogli wszystko dla naszej wygody i bezproblemowej pracy. Grupą która pozwala na wszystko jest grupa "Domain Admins". Ok to fajnie jak teraz dodać nas do tej grupy? Klikamy dwa razy na "Domain Admins" i mamy takie oto okienko jak poniżej.
Na pierwszej zakładce mamy nazwę opis itp właściwości grupy. Przechodzimy na zakładkę "Members".
Widzimy, że nasze konto Administrator jest w tej grupie, co jak je usuniemy? Prawdopodobnie będziemy mieli nieźle przechlapane więc nie radzę tego robić. Ok w takim razie dodajmy lostapiuk i akowal do tej grupy. Klikamy "Add"...
Wpisujemy login i ok, dodajemy akowal tak samo. Efekt poniżej.
Jak widać od razu wiadomo gdzie w strukturze znajdują się użytkownicy. Mamy jeszcze zakładkę "Member of" która służy do zarządzania do jakich grup należy ta grupa. Tak jest możemy umieszczać grupy w grupach. Narazie się tym nie zajmujemy. Sprawdzamy czy zadziałało. Na moim komputerze uruchamiam instalację Firefox i klapa nie działa! Dlaczego? Może po chwili zadziała... Nie nie zadziała szkoda czasu! Nie czekamy. Więc o co chodzi?
Proces logowania
Przynależność danego użytkownika do grup oraz sprawdzanie uprawnień nadawanych z grup odbywa się przy logowaniu użytkownika do komputera. To bardzo ważna informacja! Warto zapamiętać. Ok co więc zrobić? Oczywiście wylogować się i zalogować i już instalacja będzie możliwa. Teraz nasuwa się pytanie czy na komputerze u pracowników, jeżeli wyskoczy okienko z prośbą o login i hasło to czy podając swoje dane uda się zainstalować jakieś oprogramowanie? Odpowiedź: tak!
Hm to czy to oznacza, że można spokojnie schować hasło do Administratora w sejfie i nawet z niego nie korzystać? Tak dokładnie!
Administratorzy lokalni
Są to konta użytkowników dodane do grupy Administratorzy ale konkretnym komputerze a nie na serwerze. Ok to co to oznacza? Oznacza to że takie konto będzie miało prawa administratora tylko na tym komputerze. Na tym etapie się nie będziemy tym zajmować. Za to zrobimy sobie za jakiś czas ustawienia które będą nam zmieniać tych użytkowników automatycznie na każdym komputerze. Ale to w odpowiednim czasie. Teraz posługujmy się kontami domenowymi.
Jednak wspominam o tym tutaj, bo jeden ze sprytnych kolegów pracowników powiedział, że zainstalował sobie program do torrentów. Ale przecież jak to możliwe skoro nie ma uprawnień administracyjnych? Idziemy zobaczyć, skoro się pochwalił to pewnie nie kłamie. Przychodzimy patrzymy no i jest torrent jak nic. Trzeba koledze dać na połówkę, żeby zdradził tajemnicę.
Co to za tajemnica?
Tajemnica zapomnianych administratorów
Tak właśnie! Więc jak to? Są jeszcze jacyś administratorzy? Są i to nawet nie mało. Conamniej dwa razy więcej niż komputerów! Ale zaraz! Jak to możliwe? Już tłumaczę.
Jak sięgniemy pamięcią do czasów kiedy instalowaliśmy system operacyjny. Podczas instalacji kreator zapytał nas jaka ma być nazwa użytkownika oraz ewentualne hasło itd. Pamiętacie? Zwykle podaję "User" po prostu albo imię właściciela komputera. No to jak to on też jest administratorem? No tak bo gdyby nie był to byśmy w ogóle nie mieli możliwości instalacji niczego na komputerze nawet nie dodanym do domeny. A no tak! Sprawdźmy więc jak to jest...
Klikamy start -> wpisujemy mmc.exe. Z menu dodajemy przystawkę i wybieramy użytkownicy i grupy lokalne -> komputer lokalny. Zaglądamy do grupy Administratorzy.
O kurcze a tu jeszcze jest Administrator! To pewnie ten domenowy. Uff! UWAGA! To nie jest domenowy Administrator! A jaki? Jest to Administrator lokalny! Do którego domyślnie jest puste hasło! Dodatkowo mamy tego naszego usera. Co robimy? Usera wywalamy z grupy Administratorzy, dodatkowo w ogóle możemy go usunąć w zakładce "Użytkownicy" jeżeli nie jest nam potrzebny. Mamy jeszcze tutaj w grupie Administratorzy na komputerze ORGANIZACJA\Domain Admins - oczywiście jest to nasza grupa z domeny w której są nasi użytkownicy administratorzy. Sprytne!
Tak jak pisałem Microsoft to dobrze wymyślił. Ta grupa Domain Admins dodała się tutaj automatycznie podczas dodawania komputera do domeny. Bardzo nam to ułatwia pracę.
Tak jak by się zastanowić to po dodaniu kolejnego komputera do domeny od razu mamy uprawnienia administracyjne nadane dla użytkowników u grupie Domain Admins. Fajne bo w jednym miejscu możemy decydować kto co może. Ok to myślę, że możemy uznać temat administratorów lokalnych z głowy.
Podpowiedź dla kolegów z ServiceDesk lub kogoś kto przygotowuje komputery dla użytkowników. Warto dopisać sobie w instrukcji instalacji komputera pozycje po dodaniu do domeny:
-usuwamy użytkownika lokalnego utworzonego podczas instalacji systemu
Ok z instalacjami się uporaliśmy ale mamy kolejne problemy na wstępnie.
Problemy z logowaniem się użytkowników do komputerów
Gdyby to był koniec to problemów to byłoby super. Wyobraźmy sobie taki scenariusz. Dzwoni koleżanka Krystyna Złotówka, że chyba nie będzie wypłaty bo przelewu nie może zrobić. Ale jak to i dlaczego tak już biegnę! Ok na miejscu okazuje się, że zapomniała hasła i jest kłopot. O kurczę co teraz? Wracamy przed swój komputer logujemy się na serwer i patrzymy co tam możemy zrobić. Konto jest w konsolce "Active Directory Users and Computers" już nam dobrze znanej. Wyszukujemy Panią Krysię kochaną w przed dzień wypłaty i klikamy na jej konto prawym klawiszem myszy.
Uff możemy chyba zmienić hasło. Tak robimy oczywiście...
No to fajnie mamy nawet możliwość wybrania opcji, pozwalającej Pani Krysi od razu ustawić swoje hasło - opcja domyślnie zaznaczona. Wpisujemy nowe hasło dwa razy i OK. Idziemy lub dzwonimy do Pani Krysi i już może się zalogować. Super!
Nasuwa się pytanie czy nie można było zobaczyć jakie Pani Krysia miała hasło i jej po prostu podać? Byłoby łatwiej i szybciej a przy tym nie musiałaby ustawiać nowego hasła. Okazuje się, jednak, że nie bo tak naprawdę hasła nie są przechowywane w domenie ani nigdzie tak właściwie, są przechowywane jedynie wyniki obliczeń które da się przeprowadzić tylko w jedną stronę (z wyniku tych obliczeń nie da się wyprowadzić hasła) te obliczenia są nazywane funkcjami skrótu. Ale jak to możliwe przecież zawsze z każdego równania da się wyliczyć w drugą stronę równanie. Równanie może i tak ale nie zestaw działań. Zakładamy, że hasłem są 3 liczby. Jawnie napiszę 3 7 6 w tej kolejności. A funkcją skrótu jest suma tych liczb czyli 16. I tą 16 pamięta kontroler domeny. Znając tą 16-tkę nie jesteśmy w stanie powiedzieć jakie jest hasło, jakie są te trzy liczby i czy w ogóle są to trzy liczby. Rozumiecie? Oczywiście w domenie są przetrzymywane hasła w o wiele bardziej skomplikowany sposób i jak narazie bezpieczny.
Podsumowanie
Ok! Wszystko działa dobrze, obsługujemy problemy użytkowników. Nasi użytkownicy nic nie mogą sami popsuć na komputerach a do tego nasz kolega jest w stanie wykonywać zadania administracyjne nawet jak po weselu nie mamy na to siły. Jest całkiem nieźle, mamy centralne zarządzanie. Fajnie by było mieć jakiś dostęp zdalny do tego serwera z domu lub z innego miejsca. Wtedy mielibyśmy ułatwione zadanie jeśli chodzi o zarządzanie w zasadzie wszystkim zdalnie. Najlepiej do tego służy VPN oczywiście ale to nie jest zakres na tą serię więc tylko nadmieniam.
Brak komentarzy:
Prześlij komentarz