«Παραμετροποίηση υπηρεσίας καταλόγου Active Directory σε Windows 2003»

2. «Παραμετροποίηση υπηρεσίας καταλόγου Active Directory σεWindows 2003» Τηλέμαχος Ράπτης (traptis@sch.gr) Εθνικό και Καποδιστριακό Πανεπιστήμιο Αθηνών 7 – 9 Οκτωβρίου 2008 Αθήνα

3. Active Directory σχ. εργαστ. Δόμηση του Active Directory σε οργανωτικές μονάδες (OU’s) μπορεί να δημιουργηθεί με τη χρήση της εντολής dsadd ou (από command prompt) ή με τη χρήση γραφικού εργαλείου από τα Administrative Tools

4. Δημιουργία ιεραρχίας (OU’s) • dsadd ou "ou=School, dc=school, dc=edu" -desc "Οι οντότητες τηςΣχολικής/Διοικητικής Μονάδας« • dsadd ou "ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Οι οντότητες του 1ου Σχολικού Εργαστηρίου Πληροφορικής και Εφαρμογών Η/Υ« • dsadd ou "ou=Computers, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Το σύνολο των υπολογιστών του 1ου ΣΕΠΕΗΥ« • dsadd ou "ou=Servers, ou=Computers, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Οι εξυπηρετητέσ του ΣΕΠΕΗΥ πλέον του Domain Controller« • dsadd ou "ou=Workstations, ou=Computers, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Οι σταθμοί εργασίας του 1ου ΣΕΠΕΗΥ" • dsadd ou "ou=Accounts, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Το σύνολο των χρηστών του 1ου ΣΕΠΕΗΥ" • dsadd ou "ou=Administrative Accounts, ou=Accounts, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Οι διαχειριστικοί λογαριασμοί του 1ου ΣΕΠΕΗΥ" • dsadd ou "ou=Shared Accounts, ou=Accounts, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Οι διαμοιραζόμενοι λογαριασμοί του 1ου ΣΕΠΕΗΥ« • dsadd ou "ou=Classes, ou=Shared Accounts, ou=Accounts, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Διαμοιραζόμενοι λογαριασμοί τάξεων του 1ου ΣΕΠΕΗΥ" • dsadd ou "ou=Lessons, ou=Shared Accounts, ou=Accounts, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Διαμοιραζόμενοι λογαριασμοί μαθημάτων του 1ου ΣΕΠΕΗΥ"

5. Δημιουργία ιεραρχίας (OU’s) • dsadd ou "ou=Users, ou=Shared Accounts, ou=Accounts, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Διαμοιραζόμενοι λογαριασμοί μαθητών του 1ου ΣΕΠΕΗΥ (π.χ. user1, user2, κλπ)" • dsadd ou "ou=Specific Users, ou=Accounts, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Προσωπικοί λογαριασμοί χρηστών του 1ου ΣΕΠΕΗΥ" • dsadd ou "ou=Students, ou=Specific Users, ou=Accounts, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Προσωπικοί λογαριασμοί μαθητών του 1ου ΣΕΠΕΗΥ" • dsadd ou "ou=1st Class, ou=Students, ou=Specific Users, ou=Accounts, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Προσωπικοί λογαριασμοί μαθητών 1ησ τάξης του 1ου ΣΕΠΕΗΥ" • dsadd ou "ou=2nd Class, ou=Students, ou=Specific Users, ou=Accounts, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Προσωπικοί λογαριασμοί μαθητών 2ησ τάξης του 1ου ΣΕΠΕΗΥ" • dsadd ou "ou=3rd Class, ou=Students, ou=Specific Users, ou=Accounts, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Προσωπικοί λογαριασμοί μαθητών 3ησ τάξης του 1ου ΣΕΠΕΗΥ" • dsadd ou "ou=Teachers, ou=Specific Users, ou=Accounts, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Προσωπικοί λογαριασμοί καθηγητών του 1ου ΣΕΠΕΗΥ" • dsadd ou "ou=Template Accounts, ou=Accounts, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Προσωπικοί λογαριασμοί μαθητών 1ησ τάξης του 1ου ΣΕΠΕΗΥ"

6. group policies • Tα group policies επηρεάζουν σε μεγάλο βαθμό το περιβάλλον εργασίας του χρήστη • Οι πολιτικές ομάδας είναι δυνατό να δημιουργηθούν από backup με το Group Policy Management Console (GPMC) που παρέχεται δωρεάν από τη Microsoft. • To GPMCμπορεί να εγκατασταθεί στον server του εργαστηρίου και παρέχει χρήσιμες λειτουργικότητες όπως: • η εισαγωγή/εξαγωγή (import/export) αντικειμένων πολιτικών ομάδας, • η λήψη αντιγράφων ασφαλείας αντικειμένων πολιτικών ομάδας και • η δημιουργία αναφορών

7. SEPEHY-Workstation policy

8. SEPEHY-Workstation policy

9. SEPEHY-Workstation policy

10. SEPEHY-Workstation policy

11. SEPEHY-Shared accounts policy

12. SEPEHY-Shared accounts policy

13. SEPEHY-Shared accounts policy

14. SEPEHY-Shared accounts policy

15. SEPEHY-Shared accounts policy

16. SEPEHY-Shared accounts policy

17. SEPEHY-Shared accounts policy

18. SEPEHY-Shared accounts policy

19. SEPEHY-Shared accounts policy

20. Group Policy Management Console • Παράδειγμα: • Από το domain school.edu και τα Group Policy Objects επιλέγουμε με δεξί κουμπί του ποντικιού Manage Backups. • Επιλέγουμε τη θέση στην οποία βρίσκονται τα GPO Backups, • επιλέγουμε το επιθυμητό GPO και • κάνουμε Restore. • Στη συνέχεια από το OU στο οποίο θέλουμε να ενεργοποιήσουμε κάποιο GPO δημιουργούμε ένα Link προς το συγκεκριμένο GPO.

21. «Τα έγγραφα μου» και η «Επιφάνεια Εργασίας» • Ρύθμιση πολιτικών για «Τα έγγραφα μου» και την«Επιφάνεια Εργασίας» • Στον Server δημιουργούμε το φάκελο “users” στην κατάτμηση με το όνομα DATA που βρίσκεται στον πρώτο σκληρό δίσκο. • Το φάκελο αυτό τον κάνουμε share ορίζοντας στην επιλογή Permissions «Everyone» Full Control. • Με τον ίδιο τρόπο που έγινε ο φάκελος Users δημιουργούμε και διαμοιράζουμε το φάκελο “Profiles”στην ίδια πάντα κατάτμηση.

22. «Τα έγγραφα μου» και η «Επιφάνεια Εργασίας»

23. «Τα έγγραφα μου» και η «Επιφάνεια Εργασίας» • Στη συνέχεια μέσα από την κονσόλα διαχείρισης “Active Directory Users and Computers” επιλέγουμε το OU Accounts και • με δεξί click και “Properties” πηγαίνουμε στο φύλλο Group Policy.

24. «Τα έγγραφα μου» και η «Επιφάνεια Εργασίας» • Δημιουργούμε μία νέα πολιτική επιλέγοντας New και την ονομάζουμε «Accounts Group Policy Object». • Στην συνέχεια επιλέγουμε Edit οπότε και εμφανίζεται ένα νέο παράθυρο όπου μας δίνει τη δυνατότητα να κάνουμε τις επιθυμητές ρυθμίσεις.

25. «Τα έγγραφα μου» και η «Επιφάνεια Εργασίας» • Πηγαίνουμε στο “User Configuration” “Windows Settings” “Folders Redirections” και κάνουμε δεξί click και Properties στο “My Documents”. • Κάνουμε τις επιλογές όπως φαίνονται στην ακόλουθη εικόνα βάζοντας προφανώς την IP διεύθυνση του εξυπηρετητή του εργαστηρίου που είναι της μορφή 10.Χ.Υ.Ζ • Στο ίδιο Policy με παρόμοιο τρόπο κάνουμε redirect την επιφάνεια εργασίας(Desktop) κάθε χρήστη στο path \\<Server-IP>\Users (δεξί click στο φάκελο “Desktop” ακριβώς «πάνω» από τον “My Documents”)

26. «Τα έγγραφα μου» και η «Επιφάνεια Εργασίας»

27. «Τα έγγραφα μου» και η «Επιφάνεια Εργασίας» • Πατάμε ΟΚ, και κλείνουμε όλα τα παράθυρα. • Οι ρυθμίσεις θα εμφανιστούν στους χρήστες την επόμενη φορά που κάνουν Logon.

28. Λογαριασμοί Διαχείρισης • Λογαριασμοί Διαχείρισης Σχολικού Εργαστηρίου • yper (υπεύθυνος του εργαστηρίου):πλήρη διαχειριστικά δικαιώματα • bdmn (έκτακτη περίπτωση):πλήρη διαχειριστικά δικαιώματα • tstech (Τεχνικούς Υπεύθυνους ΚΕΠΛΗΝΕΤ):Λογαριασμός διαχείρισης του domain • tsremote(μηχανικούς και τεχνικούς της Τεχνικής Στήριξης): πλήρη διαχειριστικά δικαιώματα και επιτρέπει τον χειρισμό οποιουδήποτε ζητήματος κυρίως με χρήση απομακρυσμένης διαχείρισης

29. Λογαριασμοί Διαχείρισης • Θα πρέπει να μην υπάρχει λογαριασμός διαχειριστή με όνομα ‘administrator’ στο domain. • Δεν υπάρχει κανένας τοπικός λογαριασμός με διαχειριστικά δικαιώματα σε κάποιον από τους σταθμούς εργασίας του εργαστηρίου • Computer Configuration \ Windows Settings \ Security Settings \Local Policies \ Security Options \ Accounts: Administrator account status: disabled • Κατά την καθημερινή χρήση του εργαστηρίου για εκπαιδευτικούς σκοπούς δεν θα πρέπει να γίνεται χρήση κανενός λογαριασμού με διαχειριστικά δικαιώματα.

30. Ορισμός Template User • Η δηµιουργία νέου χρήστη µπορεί να γίνει µε την αντιγραφή ενός πρότυπου «χρήστη» (User Template). • Αρχικά θα πρέπει να δηµιουργηθεί αυτός ο πρότυπος «χρήστης». Με βάση την αναγραφόµενη δοµή του Active Directory αυτός χρήστης θα πρέπει να είναι στο OU Template Accounts. • Επιλέγουµε µέσα από Administrative Tools την κονσόλα Active Directory Users and Computers.

31. Δημιουργία OU «Template Accounts» δεξί click πάνω στο OU Template Accounts και επιλέγουμε New User και συμπληρώνουμε τα στοιχεία.

32. Δημιουργία «Template Account» • Επιλέγουμε Next όπου ορίζουμε τον κωδικό (Password) του χρήστη. • Στα Windows 2003 Domains ο κωδικός θα πρέπει να πληρεί µερικές προϋποθέσεις όπως να είναι τουλάχιστο 8 χαρακτήρες, να περιέχει τουλάχιστο ένα γράµµα, ένα νούµερο και ένα σύµβολο.

33. Δημιουργία «Template Account» • Αφού δηµιουργήσουµε τον χρήστη κάνουµε διπλό click πάνω του και εµφανίζεται η καρτέλα µε τα στοιχεία του, τα δικαιώµατα και διάφορες άλλες ρυθµίσεις. • Επιλέγουµε το φύλλο Profiles και συµπληρώνουµε τα στοιχεία ως εξής:

34. Δημιουργία «Template Account»

35. Δημιουργία «Template Account» • Στο profile path στην θέση της IP διεύθυνσης του παραδείγµατος (10.10.10.10) βάζουµε αυτή του εξυπηρετητή του εργαστηρίου που είναι της αντίστοιχης µορφής (10.Χ.Υ.Ζ). Τώρα ο χρήστης «πρότυπο» είναι έτοιµος. • Θα µπορούσαµε να του δώσουµε και άλλες ιδιότητες π.χ. να ανήκει σε κάποιο Group κ.α. Έτσι θα τον εξειδικεύαµε για συγκεκριµένους λογαριασµούς. Δηλαδή θα µπορούσαµε να δηµιουργήσουµε ένα Template User για την κατηγορία Student-2nd Class o οποίος θα ανήκει και στα Group “Students” και “2nd Class Students” • Στη συνέχεια κάνουµε δεξί click στο Template λογαριασµό και επιλέγουµε Copy. Αυτόµατα ξεκινά η διαδικασία παρόµοια µε αυτή της δηµιουργίας χρήστη. Τώρα όµως βάζουµε τα στοιχεία του χρήστη που θέλουµε να δηµιουργήσουµε και τον λογαριασµό τον ενεργοποιούµε.

36. Δημιουργία «Template Account» • Αφού δημιουργηθεί ο χρήστης µε δεξί click πάνω του και επιλογή Move τον μεταφέρουµε στο OU που επιθυμούμε. • Δεν θα πρέπει να υπάρχουν άλλοι λογαριασμοί εκτός των Template µέσα στο OU Template Accounts.

37. Οδηγίες Δημιουργίας user profiles • Η διαδικασία δομείται σε τέσσερα στάδια • Δημιουργίασυγκεκριμένου shared folder στον SCHOOL • Δημιουργία προφίλ χρήστη σε έναν client • Δημιουργία profile shared folder στον SCHOOL • Διασύνδεση λογαριασμών χρηστών με το profile

38. Δημιουργία shared folder στον server • Κάνουμεlog onστον SCHOOL ως administrator του domain • ΕπιλέγουμεStart  Programs  Accessories  Windows Explorer • Κάνουμε expand το My Computer και επιλέγουμε το Local Disk (C:) • Στο δεξί παράθυρο κάνουμε δεξί κλικ και επιλέγουμε New Folder • Πληκτρολογούμε dokimi • Κάνουμε δεξί κλικ στο folder dokimi και επιλέγουμε sharing • Στο παράθυρο dokimi Properties επιλέγουμε share this folder και στην συνέχεια κάνουμε κλικ στο Caching • ΣτοπαράθυροCaching SettingsαποεπιλέγουμετοAllow caching offiles in this shared folderκαικάνουμεκλικστοOK • Στο παράθυρο dokimi Properties κάνουμε κλικ στο OK • Κλείνουμε τον Windows Explorer

39. Δημιουργία προφίλ χρήστη σε έναν client (1/3) • Κάνουμε log onσε έναν clientτου siteSCHOOL ως τοπικός administrator • Επιλέγουμε Έναρξη  Ο Υπολογιστής μου και κάνουμε δεξί κλικ • Επιλέγουμε Διαχείριση • Στο παράθυρο με τίτλο Διαχείριση Υπολογιστή κάνουμε expand στο Τοπικοί λογαριασμοί Users και Groups και επιλέγουμε Users • Κάνουμε δεξί κλικ και επιλέγουμε Νέος χρήστης • Στο παράθυρο με τίτλο Νέος χρήστης πληκτρολογούμε το Όνομα χρήστη (test) και τον κωδικό πρόσβασης (test) και αποεπιλέγουμε το Ο χρήστης πρέπει να αλλάξει... • Επιλέγουμε την δεύτερη και Τρίτη επιλογή και πατάμε Δημιουργία και κλείσιμο • Επιλέγουμε από το Windows Explorer όλα τα περιεχόμενα του default user και τα διαγράφουμε • Αντιγράφουμε (αν έχουμε κρατήσει backup) ένα υποθηκευμένο profile (που δημιουργήθηκε παλαιότερα), τα περιεχόμενα του profile στο default user. • Διαγράφουμε όλα τα περιεχόμενα (που μας επιτρέπει το σύστημα να διαγράψουμε) από το All Users (εκτός από το Acrobat Assistant στο path Start Menu\Προγράμματα\Εκκίνηση )

40. Δημιουργία προφίλ χρήστη σε έναν client (2/3) • Επιλέγουμε Έναρξη  Αποσύνδεση • Στο μήνυμα με τίτλο Αποσύνδεση των Windows πατάμε Αποσύνδεση • Κάνουμε Logon τοπικά με τον χρήστη που δημιουργήσαμε • Κάνουμε Logoff και κάνουμε Logon ως τοπικός administrator • Επιλέγουμε Έναρξη  Ο Υπολογιστής μου και κάνουμε δεξί κλικ και επιλέγουμε Ιδιότητες • Στο παράθυρο με τίτλο Ιδιότητες συστήματος επιλέγουμε το tab page Για προχωρημένους και πατάμε Ρυθμίσεις στο Προφίλ χρηστών • Στο παράθυρο με τίτλο Προφίλ χρηστών επιλέγουμε τον τοπικό test χρήστη και πατάμε Αντιγραφή σε • Στο παράθυρο με τίτλο Αντιγραφή σε πατάμε Αναζήτηση • Στο παράθυρο με τίτλο Αναζήτηση φακέλου επιλέγουμε Θέσεις Δικτύου  Συνολικό Δίκτυο  Δίκτυο των Microsoft Windows SCHOOL • Στο παράθυρο με τίτλο Σύνδεση με το school.edu πληκτρολογούμε στο πεδίο Όνομα χρήστη το SCHOOL\administrator και στο πεδίο Κωδικός πρόσβασης τον κωδικό πατάμε OK

41. Δημιουργία προφίλ χρήστη σε έναν client (3/3) • Επιλέγουμε testing και πατάμε OK • Στο παράθυρο με τίτλο Αντιγραφή σε πληκτρολογούμε \\SCHOOL\dokimi\test • Στο παράθυρο με τίτλο Αντιγραφή σε πατάμε Αλλαγή • Στο παράθυρο με τίτλο Επιλογή “Χρήστης” ή “Ομάδα” πατάμε Τύποι αντικειμένων • Στο παράθυρο με τίτλο Εισαγωγή κωδικού πρόσβασης δικτύου πληκτρολογούμε στο πεδίο Όνομα χρήστη τον Κωδικός πρόσβασης και πατάμε OK • Στο παράθυρο με τίτλο Τύποι αντικειμένων επιλέγουμε το Ομάδες και πατάμε OK • Στο παράθυρο με τίτλο Επιλογή “Χρήστης” ή “Ομάδα” πληκτρολογούμε Domain Users και πατάμε Έλεγχος ονομάτων και πατάμε OK • Στο παράθυρο με τίτλο Αντιγραφή σε πατάμε OK • Στο παράθυρο με τίτλο Επιβεβαίωση αντιγραφής πατάμε Ναι • Στο παράθυρο με τίτλο Προφίλ χρηστών πατάμε OK • Στο παράθυρο με τίτλο Ιδιότητες συστήματος πατάμε OK • Επιλέγουμε Έναρξη  Αποσύνδεση • Στο μήνυμα με τίτλο Αποσύνδεση των Windows πατάμε Αποσύνδεση

42. Δημιουργία profile shared folder στον OSK • Κάνουμεlog onστον OSK ως administrator του domain • ΕπιλέγουμεStart  Programs  Accessories  Windows Explorer • Κάνουμε expand το My Computer και στην συνέχεια το Local Disk (C:) • Στην συνέχεια επιλέγουμε το folder dokimi και στην συνέχεια το folder test • Κάνουμε copy το folder test στο root. • Κάνουμε δεξί κλικ στο folder dokimi και επιλέγουμε Delete • Κάνουμε δεξί κλικ στο folder test, επιλέγουμε Rename και μετονομάζουμε το αρχείο σε profile

43. Διασύνδεση user accounts με το profile • Κάνουμε δεξί κλικ στους χρήστες που επιθυμούμε να συνδέσουμε με το προφίλ που δημιουργήσαμε και • στο Profile tab page στο profile path πληκτρολογούμε %logonserver%\profile