Zarządzanie użytkownikami i komputerami w firmie - dlaczego warto znać Active Directory
-
Upload
konrad-sagala -
Category
Technology
-
view
383 -
download
2
description
Transcript of Zarządzanie użytkownikami i komputerami w firmie - dlaczego warto znać Active Directory
Zarządzanie użytkownikami i komputerami w firmie - dlaczego warto znać Active Directory
Konrad SagałaExchange MVPArchitekt Systemów IT w APN Promise S.A.
Kariera w IT
Kariera w IT - kompetencje
IT – Nauka całe życie
Obszary Wyboru Zarządzanie systemami
Wsparcie użytkowników
Programowanie
Testowanie
Bazy Danych
Projektowanie stron webowych
…
Zarządzanie komputerami i użytkownikami w firmie – usługi katalogowe
Identyfikacja zasobów
Spójny sposób zarządzania: Nazwami
Lokalizacjami
Prawami dostępu
Bezpieczeństwem
Usługami
Zarządzanie komputerami i użytkownikami w firmie - narzędzia Usługi katalogowe
Active Directory
OpenLDAP
eDirectory
Lotus Domino
Oracle Internet Directory
Wprowadzenie do Active Directory Domain Services
Omówienie podstaw AD DS
Kontrolery domeny w Windows Server
Omówienie podstaw AD DS
Podstawy AD DS
Czym są domeny AD DS?
Czym są jednostki organizacyjne (OU)?
Czym jest las AD DS?
Czym jest schemat AD DS?
Podstawy AD DS
Komponenty fizyczne Komponenty logiczne
• Data store
• Domain controllers
• Global catalog server
• RODC
• Partitions
• Schema
• Domains
• Domain trees
• Forests
• Sites
• OUs
AD DS składa się z komponentów logicznych i fizycznych
Czym są domeny AD DS?• AD DS wymaga co najmniej jednego kontrolera domeny
• Wszystkie kontrolery domeny przechowują kopię bazy danych domeny, która jest na bieżąco synchronizowana
• Domena jest kontekstem, w ramach którego są tworzone komputery, grupy i użytkownicy
• Domena ogranicza zasięg replikacji
• Zalecane narzędzie do tworzenia i konfiguracji obiektów to Administrative Center
• Dowolny kontroler domeny uwierzytelnia logowanie do domeny
Czym są OUs?
Organizational Units• Kontenery do grupowania
obiektów w ramach domeny• OU tworzymy do:
• Delegacji uprawnień administracyjnych
• Aplikowania zasad grupowych (Group Policy)
Czym jest las AD DS?
adatum.com
Tree Root Domain
Forest Root Domain
atl.adatum.com
fabrikam.com
Czym jest schemat AD DS?Schemat Active Directory definiuje atrybuty i klasy używane do opisu obiektów:
• Attributes• objectSID• sAMAccountName• location• manager• department
• Classes• User• Group• Computer• Site
Kontrolery domeny w Windows Server 2012Czym jest Kontroler Domeny?
Czym jest Global Catalog?
Proces logowania do AD DS
Demonstracja: Rekordy SRV w DNS
Czym są FSMO?
Czym jest kontroler domeny?
Kontrolery domeny
• Serwery utrzymujące kopie bazy Active Directory (NTDS.DIT) i SYSVOL
• Usługa uwierzytelniania Kerberos oraz usługa KDC
• Dobre praktyki:• Dostępność: Co najmniej dwa kontrolery
domenowych w domenie• Bezpieczeństwo: RODC i BitLocker
Czym jest Global Catalog?
Domain BDomain B
Domain ADomain A
ConfigurationConfiguration
SchemaSchema
Domain ADomain A
ConfigurationConfiguration
SchemaSchema
Domain BDomain B
ConfigurationConfiguration
SchemaSchema
Domain BDomain B
ConfigurationConfiguration
SchemaSchema
Global catalog:Przechowuje częściowe zestawy atrybutów dla innych domen w lesie. Pozwala wyszukiwać obiekty w całym lesie
Global catalog server
Proces logowania do AD DS
DC1
SVR1WKS1
Proces logowania:
1.Konto użytkownika jest uwierzytelnianiane na DC1
2.DC1 zwraca TGT do klienta
3.Klient używa TGT żeby uzyskać dostęp do WKS1
4.DC1 zezwala na dostęp do WKS1
5.Klient używa TGT żeby uzyskać dostęp do SVR1
6.DC1 zezwala na dostęp do SVR1
Czym są FSMO?
W topologii multimaster, niektóre operacje muszą być wykonywane w jednym miejscu, serwery takie opisywane są w dokumentacji kilkoma nazwami:
• Operations master (lub operations master roles)• Single master roles• FSMOs
Role• Forest:
• Domain naming master
• Schema master
• Domain:• RID master• Infrastructure master
• PDC Emulator master
Instalacja kontrolera domeny
Instalacja poprzez Server Managera
Instalacja na Server Core Windows Server 2012
Uaktulanienie kontrolera ze starszej wersji systemu
Instalacja kontrolera domeny z użyciem opcji Install from Media
Klonowanie wirtualnych kontrolerów domeny
Instalacja poprzez Server Managera
Instalacja kontrolera na Server Core
Używamy poleceniadcpromo /unattend:”D:\answerfile.txt”. Poniżej przykładowy plik:
[DCINSTALL]UserName=<Konto administracyjne w domenie, gdzie dodajemy kontroler>UserDomain=<Nazwa domeny> Password=<Hasło domenowe dla konta, którego używamy do promocji kontrolera> SiteName=<Nazwa site’u AD DS, do którego dodajemy kontroler> Site musi być utworzony wcześniej w przystawce Dssites.msc.ReplicaOrNewDomain=replica ReplicaDomainDNSName=<Pełna nazwa (FQDN) domeny, do której dodajemy dodatkowy kontroler>DatabasePath="<Ścieżka do katalogu na lokalnym dysku>" LogPath="<Ścieżka do katalogu na lokalnym dysku>" SYSVOLPath="<Ścieżka do katalogu na lokalnym dysku>" InstallDNS=yes ConfirmGC=yes SafeModeAdminPassword=<Hasło adminsitracyjne dla trybu offline> RebootOnCompletion=yes
Instalacja z użyciem opcji Install from Media
Dziękuję za uwagę