1 / 51

Active directory – GPO,OU

Active directory – GPO,OU. Obsah prednášky. Inštalácia AD Pridanie počítača do domény Organizačné jednotky Skupinové politiky – GPO, grou policy objects. Inštalácia AD. Nutnosť byť lokálny admin Nutnosť mať nainštalovaný, alebo v priebehu Ad sa môže nainštalovať aj DNS server.

helki
Download Presentation

Active directory – GPO,OU

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Active directory – GPO,OU

  2. Obsah prednášky Inštalácia AD Pridanie počítača do domény Organizačné jednotky Skupinové politiky – GPO, grou policy objects

  3. Inštalácia AD Nutnosť byť lokálny admin Nutnosť mať nainštalovaný, alebo v priebehu Ad sa môže nainštalovať aj DNS server.

  4. Nová doména alebo podporný server, pre exist. doménu?

  5. Vytvorenie forest, tree, alebo domain? Ak sa rozhodnem pre 2, 3, tak musím zadať názov existujúcej domény a taktiež heso Enterprise Admina

  6. Názov domény Nie nutne príponu DNS, ktorá je bežná. Zabezpečím bezpečnosť z venku

  7. Umiestnenie DB Vhodné umiestiť inam ako Systémový disk (Windows)

  8. Sysvol Replikačný adresár AD Ukladajú sa v ňom GPO Je zdieľaný

  9. Ak ne je dostupné DNS nutná inštalácia

  10. Kompatibilita

  11. Restoremodepasswd Ak nabootojem do AD safe modu (F8 pri štarte), tak nie je možné sa prihlásiť do AD pretože je vypnuté Lokálny užívatelia ale neexistujú Nutnosť zadať toto heslo pri vstupe do AD safe modu

  12. Summary, Instalace, restart

  13. Priradenie Počítača do domény Stanica musí mať dostupný DNS server, na kt. je odkaz na AD Na stanici musím byť prihlásený ako lokálny admin Nastavenie My computer, vlastnosti, zmeniť nastavenia Priradiť stanicu do domény, nutnosť poznať meno. Po pridaní nutnosť zadať heslo už existujúceho užívatela v AD, nemusí byť admin. Ak standard user, tak môže priradiť 10 staníc do domény, admin neobmedzene. Po pridaní nutný restart

  14. Zadanie názvu domény

  15. Prihlásenie • Stanica alebo server v AD • Možnosť sa prihlásiť aj lokálne aj do AD • VISTA1\homer, alebo do AD FOURTHCOFFEE\Homer • Server, ktorý je DC – iba prihlásenie do domény • Lokálny admin sa pri inštalácii stane doménovým adminom • Standard user sa nemôže default na Server na ktorom je Dc prihlásiť

  16. Organizačné jednotky OU Základná jednotka pre správu objektov. Vytvára hierarchickú štruktúru Jeden objekt môže byť iba v jednej OU Na OU nastavujem politiky – nastavenia, obmedzenia,... Na OU nastavujem delegovanie

  17. Správa OU Active Directory users and Computer

  18. Default Default nastavenie len „domain controllers“ je OU Ostatné sú – containers Na containers nenastavujem GPO a nemôžem delegovať V containers nemôžem vytvárať vnorené OU

  19. Vytvorenie OU

  20. Default containers • Ak použijem uvedené príkazy, tak užívateľ aj computer sú vytvorené v default containeroch. • Niekedy je snaha presmerovať • Redirusr OU=Test, DC=fourthcofee,DC=com • Redircmp OU=Test, DC=fourthcofee,DC=com

  21. OU ciele • Logické uspôsobenie objektov • Možnosti vyhľadávania • Skrývanie objektov • Správa • Skupinové politiky • Delegace – určenie zodpovednosti. • !Nenastavujem ACL – access control list, teda oprávnenia a práva prístupu napr na tiskárnu. Na to používam skupiny, nie OU!!!

  22. Presun delete,... Objekty medzi OU možné prenášať – drag and drop Ak zmažem OU tak po upozornení zmažem aj objekty

  23. DSADD Možnosť priadania z konzoli Dsadd ou ou=test,dc=fourthcoffee,dc=com Alebo remove Dsrm ou=test,dc=fourthcoffee,dc=com Dsmove...- presun aj zmena mena Všetky presuny iba v rámci domény!

  24. Možnosť použiť vbscript – nie nutné sakúšku 'Set domain naming context as testing.com Set DNC = GetObject("LDAP://dc=testing,dc=com") 'Create OU Set NewOU = DNC.Create("organizationalUnit","OU=Praha") 'Configure the OU properties NewOU.ou = „Praha" NewOU.SetInfo MsgBox "The Praha OU has been created“

  25. Štruktúra OU Veľmi podstatný faktor, nutnosť stanoviť a zdokumentovať Na štruktúru vplýva: lokalizácia, delegácia, rôznorodosť HW a počítačov, veľkosť organizácie a dostupnosť. Často volíme na rovnakom leveli pobočky (lokalizácia), funkcie (sales, marketing), HW (servers, WS)

  26. Napr. lokalizácia

  27. Napr. Funkcie – businessunits

  28. Napr. HW, Users

  29. Delegovanie Určenie užívateľa alebo skupiny, ktorá bude mať oprávnenia nad určitou OU a jej pod OU. Delegovanei je dedičné na podradené OU

  30. Určenie komu delegujeme oprávnenia

  31. Určenie aké oprávnenia delegujeme

  32. Custom, môže špecifikovať typ objektov a atribúty

  33. General alebo properyspecific

  34. Securitytab Výsledok delegácie je nastavenie v časti security

  35. Upozornenie Nikdy nedelegujte užívateľovi oprávnenie nad jeho vlastnou skupinou, tak že by skupina bola v OU nad ktorou ma užívateľ veľké právo. Užívateľ by mohol pridať niekoho iného do danej skupiny!!!

  36. GrouppolicyObjects Odporúčané nainštalovanie Grou policy management konzole. Nastavenie GPO na konkrétnom OU, nie skupine!

  37. GPO GPO – objekt skupinovej politiky Možnosť nalinkovať jeden objekt na viac OU Delete – mažem GPO, alebo iba link?

  38. GPO Viac ako 300 možných nastavení a obmedzení na počítače a užívateľov Možnosť zakázať zmenu plochy, Contrl panels, zakázať CMD a podobne.

  39. GPO editor Computer a User Configuration Obecne rôzne nastavenia, v prípade rovnakých je CC silnejšie. Computer Config – sa uplatňuje iba na PC v danej OU User Config - sa uplatňuje iba na užívateľov v danej OU a skupiny

  40. Nastavenie politiky GPO má všetky nastavenia „Not configured“ Toto nastavenie sa neuplatní a ponechá default, alebo uplatnenie inej politike. Politiky sa uplatňujú postupne, posledná uplatnená „prebije“ predchádzajúce – ak je nastavená (nie not configured)

  41. Postupnosť uplatnenia Local – počítač, aj keď nie je v AD, má svoju politiku Site – viac ako doména Domain – doménová politika, existuje „default domain policy“ OU – politika na OU, a postupne hierarchicky na ďalších OU.

  42. Link GPO Možnosť nalinkovať Drag-and drop GPO na OU

  43. Delete Linku

  44. Delete GPO – zmaže aj všetky linky

  45. LinkDisable Ak odškrtneme Link enable, tak potom link zostane ale sa neuplatní. Vhodné pre testovanie

  46. Blokovanie dedičnosti Na OU je možnosť zvoliť blokovanie dedičnosti. Blokuje distribúciu uplatnenie VŠETKÝCH GPO z nadradených OU na seba. Pozor aj Default Domain Policy sa neuplatní Značné zníženie bezpečnosti.

  47. Enforced Na konkrétnom Linku, konkrétnej OU je možné zvoliť Enforced (v staršej konzole – No Override) Zabezpečí, že daná politika sa bude dediť aj na priek Block inheritance. Dôležité u bezpečnostných politík

More Related