Active Directory - szybki start - struktura i użytkownicy
Wstęp
Słowem wstępu zrobię skrót tego, co mamy. Posiadamy więc podsieć z dostępem do internetu, serwer DNS oraz DHCP. Obie te usługi uruchomione na kontrolerze domeny, który jest pierwszym kontrolerem domeny organizacja.pl. Mamy zoptymalizowany serwer DNS oraz poprawnie skonfigurowany zakres DHCP rozdający adresy IP naszym komputerom w sieci.
Nadszedł czas na założenie kont użytkowników oraz wstępne ustalenie struktury naszej domeny.
Mam niecny plan, żeby na tym etapie zrobić to prawie dobrze a potem przebudować całość, żeby pokazać jak można zrobić też prawie dobrze. Chodzi o to, aby pokazać różne podejścia do budowania struktury zależnie od potrzeb. W mojej ocenie nie ma idealnej struktury i zawsze będą jakieś za i przeciw.
Ok, a więc od czego zaczynamy? Aby coś zbudować musimy znać chociaż jakiś zarys jakie mamy klocki, z których będziemy budować całość. Żeby było prościej zacznę od tych, które są na samej górze struktury.
Las domen - jest to worek, w którym mamy domeny.
Drzewo domen - to układ 2 lub więcej domen związanych ze sobą
Domena - jest to podstawowa struktura, wewnątrz której są inne elementy
OU (Organizational Unit) - jednostka organizacyjna - to rodzaj konteneru (folderu), wewnątrz którego możemy przechowywać inne elementy.
Konto użytkownika - element opisujący użytkownika zawierający atrybuty typu login, hasło itd..
Konto komputera - analogicznie do konta użytkownika, zawiera nazwę komputera, wersja OS itp. Proszę zapamiętać, że komputer też jest użytkownikiem.
Ok w takim razie zerknijmy co tam mamy teraz od Microsoft-u na starcie po naszych instalacjach. Aby to zrobić uruchamiamy konsolę "Active Directory Users and Computers" dostępną w menu "Tools" w "Server Manager".
Po ikonach można poznać co jest co.
organizacja.pl to nic innego niż nasza domena którą utworzyliśmy.
Buildin i podobne to kontenery - coś ala OU ale w uproszczonej postaci - ma po prostu o wiele mniejszą funkcjonalność
Domain Controllers to jest OU. Z tego typu obiektów będziemy korzystać często przy budowaniu struktury.
Po ikonach można poznać co jest co.
organizacja.pl to nic innego niż nasza domena którą utworzyliśmy.
Buildin i podobne to kontenery - coś ala OU ale w uproszczonej postaci - ma po prostu o wiele mniejszą funkcjonalność
Domain Controllers to jest OU. Z tego typu obiektów będziemy korzystać często przy budowaniu struktury.
Założenia do struktury
Aby zbudować naszą strukturę musimy przyjąć jakieś założenia. Naszym celem jest możliwość logowania się użytkowników do komputerów, każdy swoim niezależnym loginem i hasłem. Zależy nam też na tym, żeby struktura była prosta i w miarę przejrzysta - narazie nie ustalamy konkretnie jaka. Kolejnym założeniem jest nasza firma i jej działy. Załóżmy, że mamy takie działy jak:
- Administracja
- Projektanci
- IT
- Kadry
- Marketing
- Księgowość i finanse
Dla uproszenia przyjmijmy, że w każdym dziale pracuje po 2 osoby:
Administracja
- Jan Kowalski
- Jan Nowak
- Łukasz Nowakowski
- Mateusz Sobczuk
- Adam Kowal
- Łukasz Ostapiuk
- Adam Gałązka
- Katarzyna Liść
- Diana Ryt
- Waldemar Korzeń
- Krystyna Złotówka
- Małgorzata Adamczuk
Proszę się nie pastwić nad sensem takiej firmy to tylko przykład.
Trochę teorii
Nasi użytkownicy będą logowali się do komputerów swoimi loginami i hasłami, więc warto się na nich trochę skupić. Na początku tworzenia struktury musimy ustalić jak będziemy tworzyć loginy.
Najpopularniejszym schematem jest pierwsza litera imienia i nazwisko, wszystko łącznie bez polskich znaków, i do tego małymi literami. czyli np. lostapiuk, jnowak, msobczuk itd. Taki schemat na początek przyjmijmy.
A co z hasłami?
Schematu haseł nie musimy przyjmować ale trochę informacji będzie nam potrzebne.
W hasłach rozróżniamy różne typy znaków:
- małe litery
- duże litery
- cyfry
- znaki specjalne - również interpunkcyjne
Domyślna polityka haseł ustawiona przez Microsoft w naszej domenie mówi, że hasło powinno zawierać znaki z conajmniej 3 grup znaków wymienionych powyżej oraz składać się z minimum 8 znaków. Muszę jeszcze wspomnieć o mechaniźmie który pilnuje aby nasze hasła były zmieniane.
Aby taki mechanizm działał, każdy użytkownik przy zmianie hasła ma zapisywaną datę zmiany hasła. Nasz kontroler domeny pilnuje aby hasło nie było zbyt stare i wymusza zmiany hasła jeżeli czas ustawiony w polityce haseł już minął. Jest to bardzo sprytny mechanizm który zwiększa bezpieczeństwo naszych kont pracowników ale paranoiczne ustawienia wbrew pozorom drastycznie zmniejszą bezpieczeństwo bo użytkownicy zaczną zapisywać sobie hasła, naklejać na monitorach itd. Musimy znaleźć złoty środek ale narazie zostawmy ustawienia takie jakie zostawił nam Microsoft.
Tworzenie struktury OU
Tworzenie struktury zaczniemy od utworzenia jednostek organizacyjnych. Podejść do tego tematu jest wiele. Najlepszym podejściem jest tworzenie jednostek organizacyjnych rozumiejąc je jako foldery a obiekty w środku jako pliki (lub foldery bo możemy utworzyć OU w OU). Jak w ogóle zacząć ten temat? Najlepiej zacznijmy od tego, że na każde OU (w dużym uproszczeniu oczywiście), będziemy robić ustawienia takie jak np. różne tapety dla użytkowników. Możemy zależnie od tego w którym OU jest użytkownik aplikować różne ustawienia. Takie podejście daje nam wiele do myślenia jednak zróbmy OU zgodne z działami. Więc do roboty!
Klikamy prawym klawiszem na organizacja.pl New -> Ogranization Unit
Kreator pyta nas o nazwę OU, Wpisujemy "Administracja". Dodatkowo możemy włączyć zabezpieczenie przez przypadkowym usunięciem. Zostawiamy domyślnie. Jak widać samo tworzenie OU to bajka i można bardzo prosto utworzyć całą strukturę. Tak więc robimy. Oczekiwany efekt po założeniu wszystkich OU dla działów powinien wyglądać tak:
Mamy utworzoną pierwszą strukturę. Narazie, żadnych ustawień nie będziemy tutaj robić.
Tworzenie użytkowników
Pamiętajmy, że naszym celem jest możliwość zalogowania się użytkowników do komputerów w firmie. Każdy użytkownik (jego login, hasło oraz inne właściwości) są przechowywane w domenie w naszej strukturze. To oznacza, że hasła i loginy nie są przetrzymywane na komputerach w ogóle. Mogą być co najwyżej cache-owane. No to zakładamy pierwszego użytkownika! Zaznaczamy OU Administracja i pod prawym klawiszem myszy wybieramy New -> User
Wprowadzamy dane zgodnie z wcześniejszymi założeniami i klikamy next...
Powyżej mamy widok kolejnego kroku w którym mamy pytania o ustawienia hasła dla tego użytkownika. Ustalamy hasło na P@ssw0rd
Mamy również kilka opcji. Pierwsza oznacza, że użytkownik przy pierwszym logowaniu (hasłem które mu przekażemy) będzie musiał ustawić nowe swoje hasło i już nie będzie mógł się logować tym przekazanym przez nas. Prawda, że wygodne?
Druga opcja pozwala nam na zabronienie użytkownikowi zmiany hasła - stosujemy tylko w przypadkach kiedy naprawdę musimy.
Trzecia opcja pozwala nam na wyłączenie mechanizmu sprawdzania czy hasło nie jest za stare - czyli hasło takiemu użytkownikowi nie wygaśnie.
Ostatnia opcja powoduje, że utworzony użytkownik będzie wyłączony. Zostawiamy domyślnie i przechodzimy dalej. Na koniec zatwierdzamy i już mamy utworzonego użytkownika. Zostawiam Was z koniecznością dodania użytkowników w odpowiednich działach zgodnie z wcześniejszymi założeniami.
Podsumowanie
Uzyskaliśmy naszą pierwszą strukturę organizacji oraz założyliśmy konta użytkownikom w naszej firmie. Po stronie serwera mamy przygotowane wszystko co potrzebne do logowania się użytkowników. Pora na przygotowania do działania komputerów. Zapraszam do kolejnej części.
Biuro rachunkowe http://www.erachuba.pl/. Krótko mówiąc – polecam!
OdpowiedzUsuń