Active Directory - szybki start - uprawnienia i grupy
Wstęp
Nasza organizacja uprawnień jest bardzo skuteczna, jawna i bardzo dobra natomiast chciałbym Wam przedstawić podejście bardzo ułatwiające zarządzanie uprawnieniami.
Trochę teorii i organizacja uprawnień
Do tego tematu można podejść na naprawdę wiele sposobów i metod. Podejście najprostsze wymagające najwięcej pracy ale również i dające największą kontrolę już znacie z poprzedniego odcinka. Teraz Wam przedstawię scenariusz kiedy takie podejście jest naprawdę wkurzające. Ok, szef sobie wymyślił (jak to szef), że zatrudni 3 nowe księgowe. Dlaczego? A kto to wie! Ale zatrudni. Na dodatek poinformował nas, że kolega jnowak przechodzi z Administracji do Marketingu a do Marketingu oczywiście zatrudniona będzie nowa osoba. O kurczę, zgodnie z tym co ustawialiśmy do tej pory (mieliśmy polecenie dać uprawnienia na drukarkę każdemu użytkownikowi w księgowości a nie konkretnym osobom) będziemy mieli trochę pracy w tych uprawnieniach. Z zakładaniem użytkowników zejdzie nam z godzinę i jest trochę ryzyko, że się pomylimy.
Ok w takim razie jak to zorganizować, żeby przy takich akcjach nie wyklikiwać tego wszystkiego jak w poprzedniej części? Odpowiedź: grupy!
Ok ale jak to zrobić? Możemy zamiast osób którym dajemy konkretne uprawnienia dodać grupy.
Na początek pierwsze podejście:
Tworzenie grup
Robimy w każdym OU grupę użytkowników o nazwie grupa_ksiegowosc, grupa_IT itd.
No to jedziemy...
Mamy jeszcze tutaj jakieś opcje dziwne... Narazie się nie przejmujemy tylko robimy domyślnie grupy w każdym OU jak leci. Dodajemy do każdej z grup użytkowników z danego UO. Czyli do grupy grupa_Administracja wszystkich użytkowników z OU Administracja itd...
I tak ze wszystkimi...
Ok zrobione! W sumie zajęło mi to tylko chwilę. Teraz podsumujmy co mamy poudostępnianie i dla kogo...
- drukarka dla administracji
- udział folder_ksiegowosc dla księgowości i odczyt dla administracji
W sumie nie jest źle. Teraz można wywalić pojedyńcze uprawnienia nadane na tych udziałach i zrobić takie same ale na konkretne grupy tak? Oczywiście, że tak! Więc robimy...
Poprawianie uprawnień drukarki
Wjeżdżamy do ustawień uprawnień drukarki i w pierwszej kolejności dodajemy grupę grupa_administracja z możliwością wydruku (allow print). Następnie usuwamy użytkowników z listy uprawnień (są w grupie więc dostaną uprawnienia do drukowana z grupy) i zatwierdzamy.
O kurde! Nie tej grupie dałem uprawnienia co trzeba (ma to wpływ już na 4 osoby - dwie z administracji i dwie z księgowości), przestrzegam przed klikaniem dla zabawy. Proszę wyrobić sobie taki nawyk działań kiedy to podczas zmian przynależności do grup albo ustawiania uprawnień wszystkie działania podejmujemy świadomie, spokojnie zwracając uwagę na szczegóły. Gdybyśmy mieli w grupie 100 osób zadziałalibyśmy na te 100 osób. Za każdym razem wszystkie ustawienia wykonujemy spokojnie i bez nerwów. Oczywiście szybko poprawiłem i już jest wszystko na miejscu.
Widzicie? Dobrze, że zwróciłem na to uwagę! Kolejna sprawa to prawidłowa przynależność do grup. Ustawiliśmy uprawnienie do drukowania grupie grupa_Administracja więc uprawnienia do drukowania dostaną tylko członkowie tej grupy. Ważne więc jest to, żeby odpowiednie osoby były w odpowiednich grupach.
Ok przejdźmy do udziału folder_ksiegowosc
Aktualnie mamy osoby pojedyńczo dodane. Chcemy dać uprawnienia grupie grupa_ksiegowosc do zapisu i odczytu (czyli "Modify") a grupie grupa_Administracja tylko odczyt. Ustawiamy więc...
Jak widać od razu usunąłem osoby które tutaj były (są w grupach więc tutaj nie muszą).
Zatwierdzamy i mamy to z głowy.
Co to nam daje?
W sumie narobiliśmy się bo pododawaliśmy grupy, pozmienialiśmy uprawnienia na grupach oraz dodaliśmy użytkowników do grup. Co to nam wszystko dało? Po pierwsze sami się zastanówcie co będziecie musieli zrobić jeżeli przyjdzie Wam nowy pracownik do pracy? Oczywiście dodajemy mu konto w odpowiednim OU. Oczywiście również musimy dodać go do grupy ze swojego OU. Co dalej? Nic! Będzie się mógł zalogować do komputera, również dostanie odpowiednie uprawnienia (uprawnienia są na grupę więc z konkretnej grupy konkretne uprawnienia).
No to fajnie mamy o wiele łatwiej. Super.
Jeszcze wtrącę pewien częsty scenariusz. Zakładamy, że jedna koleżanka z księgowości idzie na długi urlop i ktoś ma ją zastąpić. Kurczę co wtedy? Musimy dorabiać ustawienia na inną grupę itd? No nie bo zadziała to też na innych w tej grupie. To co zrobić? Może przenieść pracownika do innego OU i pozamieniać mu grupy? No też nie bo dotychczasowe obowiązki też musi wykonywać a straci uprawnienia do zasobów ze swojej grupy. No to co mamy zrobić? Dodajemy jedynie użytkownika który ma zastępować księgową do grupy grupa_ksiegowosc_i_finanse pomimo, że jest w innym OU dostanie poprawne uprawnienia takie jak gdyby była w OU Księgowość, a dlaczego tak? Dlaczego, że uprawnienia ustawiamy na grupy a nie na OU. Aaaaa no tak. Pamiętajmy jeszcze o usunięciu pracownika z grupy jak już skończy zastępstwo - wtedy straci uprawnienia z grupy z której daną osobę usuniemy. No to fajny mechanizm sobie zrobiliśmy. Możemy bardzo szybko tym zarządzać.
Trochę o szybkości zarządzania i tokenach
Ok to, że szybko możemy przekładać użytkowników z OU do OU i zmieniać im przynależność do grup to jest fakt. Natomiast kiedy te zmiany wchodzą w życie? Od razu! No to fajnie ale chyba nie bardzo skoro nie da się dalej drukować mimo, że użytkownik jest w odpowiedniej grupie przed sekundą go dodaliśmy. Wynika to z tego, że uprawnienia na grupy działają od razu natomiast sprawdzanie przynależności użytkowników do grup są sprawdzane tylko przy logowaniu użytkownika do komputera. Przy logowaniu sprawdzane są przynależności i jeszcze szereg innych rzeczy a następnie wydawane są tzw. tokeny. Tokeny żyją tyle ile użytkownik jest zalogowany. A tylko na podstawie tokenów są weryfikowane konkretne uprawnienia. Wynika z tego tyle, że użytkownik musi się przelogować jeżeli chce mieć aktualne uprawnienia. Niestety takie działanie tego całego mechanizmu jest spowodowane tym, że często mamy serwer w jednej lokalizacji a druga lokalizacja korzysta tylko z połączeń VPN i taka weryfikacja na żywo zabiłaby nam łącza. Jest to dobrze pomyślane ale trzeba o tym pamiętać - uprawnienia nadawane z grup wymagają ponownego zalogowania się użytkownika.
Kolejny scenariusz który napewno się nam trafi
No dobra widać, że nie odpuszczam. Kolejny wymysł szefa: Przychodzi szef i mówi:
"Słuchajcie chłopaki zróbcie mi tak, żeby Pani Diana Ryt miała dostęp do folderu księgowości bo ona będzie robiła nam prezentację z naszych osiągnięć finansowych a Pani Krysia Złotówka będzie przygotowywać raporty a poza tym Pani Diana ma pojęcie o księgowości i czasem będzie zastępować koleżanki jak będą na urlopach. Zróbcie tak żeby miała dostęp ale żeby nie miała możliwości nic usunąć ani zmienić".
Ok zrobimy. Kurde ale jak? Możemy Dianę wrzucić do grupa_Księgowość ale narobimy sobie problemów bo będzie miała dostęp też do zapisu i do drukarki a ma mieć tylko uprawnienia do odczytu i o drukarce mowy nie było. Ok to co robimy?
Możliwości jest dużo ja przedstawię sposób który mi się bardzo podoba i mi się sprawdza - nie twierdzę, że jest najlepszy ale ja z niego często korzystam z powodzeniem.
Zanim zaczniemy coś działać wyjaśnię o co mi chodzi. Napiszę jak to ma działać:
Zróbmy sobie nową grupę o nazwie grupa_FS_folder_ksiegowosc_R oraz grupa_FS_folder_ksiegowosc_RW. Nazwy pochodzą od R-Read, RW-Read/Write, a FS to FileShare czyli udział, są dowolne ale od razu widać o co chodzi po samej nazwie.
Ustawmy uprawnienia odczyt zapis dla grupy z końcówką RW oraz tylko odczyt na grupę z końcówką R. Uprawnienia oczywiście nadajemy na udział folder_ksiegowosc.
Teraz pomyślcie, jak wrzucimy do grupy z końcówką R, koleżankę Dianę to będzie zadanie rozwiązane. No dobra ale czy potrzebujemy tworzyć grupę jak przecież można dodać Dianę jawnie do uprawnień na udział dać jej odczyt i będzie po problemie. Może i można i napewno zadziała ale będziemy mieli potem kolejne problemy z zarządzaniem tymi uprawnieniami. Ok zróbmy jak mówię myślę, że nabierze to sensu jak zrobimy i każdy zrozumie.
Ustawiamy uprawnienia na grupy po raz drugi
Po pierwsze musimy zrobić grupę. No ok ale gdzie? Zróbmy sobie nowe OU na takie grupy. Nazwijmy je ORGANIZACJA-GRUPY. Dla porządku zróbmy sobie OU FileShare w środku. Poniżej zrzut jak to może wyglądać.
Ok zrobione. Co teraz? Ustawiamy uprawnienia na udziale.
Ok ustawione. Teraz nasuwa się pytanie. Skoro mamy ustawione uprawnienia na nowe grupy to czy stare powinny tutaj być? No jeżeli usuniemy grupę grupa_Administracja to nie będą mieli dostępu a mieli mieć. Jak zrobić żeby grupa_Administracja miała dostęp do tego udziału a żeby nam tutaj niczego nie zaśmiecała? Narazie wywalmy grupy grupa_Administracja i grupa_ksiegowosc_i_finanse| stąd. Mamy takie coś:
Ok w takim razie po zatwierdzeniu nie będzie można do tego folderu wejść tak? Tak ale narazie użytkownicy się nie przelogowują więc mogą korzystać z udziału. Teraz ustawiamy kto co może.
Wymagania mamy takie:
na udziale mamy mieć uprawnienia dla grupa_ksiegowosc_i_finanse do zapisu i odczytu oraz dla grupa_administracja tylko odczyt. Co więc robimy?
Do grupy grupa_FS_folder_ksiegowosc_R dodajemy jako członka grupa_Administracja, a do grupa_FS_folder_ksiegowosc_RW, dodajemy grupa_ksiegowosc_i_finanse. Mam nadzieję, że to zrozumiałe.
Ok a co z naszą Panią Dianą? Po prostu dodajemy ją do grupy grupa_FS_folder_ksiegowosc_R spełniając tym samym zachciankę szefa.
Sens uprawnień i grup
Możecie zapytać po co sobie tak życie komplikować skoro można tych użytkowników dodać po prostu do uprawnień na folder i będzie prosto fajnie i przyjemnie. Jeżeli macie użytkowników w takiej ilości jak tutaj to wszystko się zgadza, ale jeżeli tych użytkowników będzie cała masa to możecie mi uwierzyć, że dopisywanie ich do folderu nie będzie najlepszym pomysłem.
Chodzi o to, żeby wszelkie zadania administracyjne wykonywać w oparciu o przynależność do grup. Jeżeli będziecie mieli dobrze poustawiane uprawnienia na grupę to wystarczy użytkownika lub całą grupę użytkowników dodać do grupy na którą są już raz dobrze ustawione uprawnienia. Dzięki temu szybko i skutecznie będziecie zarządzać uprawnieniami.
Uprawnienia na grupę do drukarki
Idąc za ciosem proponuję od razu zrobić sobie uprawnienia na drukarkę które będą nadane na grupę.
Aby zachować porządek zróbmy nowe OU oraz grupę w środku.
Ok dodajemy sobie teraz tą grupę jako obiekt mogący drukować na drukarce w administracji oraz usuwamy osoby jawnie dodane.
Widać, że została nam grupa_Administracja, oczywiście usuwamy ją. Natomiast musimy dodać grupa_Administracja do grupy grupa_PS_drukarka_ksiegowosc. Tak oczywiście robimy.
Ok czyli wszystko mamy ma miejscu. Teraz jeżeli zechcemy dodać komuś uprawnienia do drukarki (niezależnie od tego komu - czy pojedyńczej osobie czy całej grupie) to dodajemy ją jako członek do grupa_PS_drukarka_administracja. Super!
Podsumowanie
Ok trochę, się narobiliśmy dzisiaj ;)
Mamy teraz zarządzanie całością uprawnień w oparciu na przynależności do grup! Super! No to fajnie bo nasz kolega który z nami pracuje niekoniecznie musi się znać na zawiłościach ustawień uprawnień. A jak my będziemy sobie leżeć na jakiejś plaży na urlopie to nie będzie do nas dzwonił jak to zrobić. Po prostu wrzuci użytkownika do grupy lub grupę do grupy i już.
Czy to oznacza, że powinniśmy zrobić tyle grup ile mamy udziałów sieciowych i drukarek? No zależy w mojej ocenie warto bo mamy łatwiejsze zarządzanie. Jak raz zainstalujemy drukarkę i udostępnimy ją na serwerze, do tego zrobimy uprawnienia na nową grupę dla tej drukarki to będzie łatwiej można zarządzać uprawnieniami. Kolejną sprawą jest to, że użytkownik u tak musi sobie sam kliknąć żeby mu się drukarka zainstalowała. Wiemy też zapewne, że możemy mapować dyski do udziałów i pewnie tak robimy. Tylko po co tak robić ręcznie? Jak to zautomatyzować pokażę w następnej części... Zapraszam.
Ten komentarz został usunięty przez autora.
OdpowiedzUsuń