Creativity | Reliability | Innovations

Zarządzanie usługą Active Directory: domena, tworzenie jednostek organizacyjnych, kont użytkowników domenowych i grup

W poprzednim materiale dotyczącym Windows Server 2012 omówiliśmy etap tworzenia maszyny wirtualnej, jej instalacji i wstępnej konfiguracji. Nadszedł czas, aby poruszyć temat podstaw zarządzania usługą Active Directory. Tym razem skupimy się na takich czynnościach jak tworzenie domeny, podpinaniu klientów pod domenę oraz tworzeniu podstawowej struktury organizacji: jednostek organizacyjnych, kont domenowych i grup.

Na początek mały wstęp teoretyczny. Ideą usługi Active Directory jest stworzenie jednolitej struktury organizacyjnej przedsiębiorstwa z uwzględnieniem wszystkich najważniejszych działów, takich jak np. Dział Finansowy, IT, Logistyka, Księgowość etc. Mamy wtedy bezpośredni wpływ na to, jakie uprawnienia ma dany użytkownik należący do danego działu i do jakich zasobów firmy ma dostęp. Dzięki wykorzystaniu polis grupowych i domenowych możemy ograniczać dostęp do niektórych komponentów systemowych, takich jak Panel Sterowania czy wiersz poleceń. Niekiedy ogranicza się również możliwość wykorzystania nośników USB w zależności od bieżącej polityki bezpieczeństwa firmy. Wszystko to nie byłoby możliwe bez wykorzystania usługi Active Directory, która udostępnia nam szereg narzędzi umożliwiających sprawne zarządzanie przedsiębiorstwem oraz bezpieczeństwem danych. Usprawnia ona również codzienną pracę personelu.

 

1.1 Przygotowanie serwera –  konfiguracja interfejsu sieciowego

Podstawową czynnością jaką musimy wykonać przed instalacją usługi Active Directory, jest konfiguracja statycznego adresu IP serwera mającego pełnić funkcję Kontrolera Domeny. Podyktowane jest to dwoma czynnikami: jeżeli serwer będzie miał adres przydzielany losowo z puli adresów DHCP, każdy klient będący członkiem takiej domeny nie będzie mógł ustalić bramy domyślnej (którą jest Kontroler) wymaganej do komunikacji ze światem zewnętrznym, ponadto usługi serwerowe również wymagają statycznego adresu IP do poprawnego funkcjonowania. Aby skonfigurować adres IP serwera, klikamy prawym przyciskiem myszy na ikonę połączenia sieciowego w pasku zadań, a następnie wybieramy Otwórz Centrum sieci i udostępniania. Po otwarciu okna wybieramy opcję Zmień ustawienia karty sieciowej, prawym przyciskiem myszy klikamy na interfejs sieciowy Ethernet i wybieramy Właściwości. Na koniec wchodzimy w Protokół internetowy w wersji 4 (TCP/IP). Ustawiamy adres statyczny, adres bramy domyślnej i serwera DNS jako 192.168.1.1, maskę podsieci zostawiamy bez zmian. Kolejnym krokiem jest dodanie drugiego adresu IP – 192.168.1.2. W tym celu klikamy w Zaawansowane i w sekcji Adresy IP klikamy przycisk Dodaj, a następnie wprowadzamy adres IP 192.168.1.1 z maską 255.255.255.0. Na koniec przechodzimy do zakładki DNS i wybieramy opcję Dodaj te sufiksy DNS, następnie Dodaj i wprowadzamy dwie nazwy: ug.pl i univ.gda.pl. Zatwierdzamy przyciskiem OK.

 

1.2 Przygotowanie serwera – instalacja usługi Active Directory

Po skonfigurowaniu interfejsu sieciowego naszego serwera możemy już zainstalować samą usługę Active Directory, o ile nie mamy jej jeszcze zainstalowanej. W tym celu z poziomu Menedżera Serwera wybieramy w prawym górnym rogu zakładkę Zarządzaj, a następnie Dodaj role i funkcje. Klikamy Dalej aż do momentu, gdy naszym oczom nie ukaże się zakładka Role serwera – z listy dostępnych ról wybieramy Usługi domenowe Active Directory (lub Active Directory DS, w zależności od wersji językowej) – po wybraniu pojawi się okienko z zestawieniem elementów wchodzących w skład danej usługi – klikamy wtedy Dodaj funkcje.. Zakładkę Funkcje pomijamy i przechodzimy bezpośrednio do ekranu instalacji. W tym momencie warto jest zaznaczyć opcję Automatycznie uruchom ponownie serwer docelowy, jeśli będzie to potrzebne – dzięki temu nie będziemy musieli potem robić ręcznie. Po przeczytaniu podsumowania klikamy Zainstaluj.

 

2. Delegacja serwera do roli Kontrolera Domeny

Po zakończeniu instalacji usługi i ponownym uruchomieniu (jeśli było wymagane), możemy przystąpić do utworzenia domeny. W Menedżerze serwera zauważymy żółty wykrzyknik przy ikonie powiadomień w prawym górnym roku – po jego kliknięciu pojawi nam się monit o konfigurację po wdrożeniu – na niebiesko podświetlona będzie wtedy opcja Deleguj serwer do roli Kontrolera Domeny – w moim wypadku jest to co prawda Podnieś poziom tego serwera do poziomu Kontrolera Domeny, jednak wynika to z tego, iż na potrzeby tego materiału musiałem odpiąć obecnie skonfigurowaną u siebie domenę. W obydwu przypadkach schemat postępowania jest ten sam. Po kliknięciu niebieskiego linku naszym oczom ukaże się Kreator konfiguracji usług domenowych Active Directory. W pierwszym oknie wybieramy opcję Dodaj nowy las, a następnie wprowadzamy nazwę domeny – w tym wypadku jest to ug.pl. Po kliknięciu przycisku Dalej  po odczekaniu chwili na przetworzenie przez serwer danych, ustawiamy hasło trybu przywracania usług katalogowych (DSRM) – służy ono do przywracania dostępu do zasobów domenowych na wypadek awarii, utraty dostępu do konta administratorskiego etc. W następnej kolejności ustawiamy nazwę NetBIOS domeny, za pomocą której będziemy mieli możliwość zalogowania się na kliencie do domeny (chodzi oczywiście o notację UG\nazwa_użytkownika w ekranie logowania). Po chwili wyświetli nam się ekran podsumowania i, jeżeli nie wystąpiły po drodze jakieś błędy, możemy wybrać opcję Zainstaluj. W tym momencie mamy już zainstalowaną nową domenę. Po restarcie maszyny logujemy się już w ramach domeny (Lokalne konto Administratora zostaje bowiem oddelegowane jako domenowe konto administratorskie).

 

3. Podpięcie klienta do domeny ug.pl

Po skonfigurowaniu Kontrolera Domeny możemy zająć się już wirtualną maszyną klienta. W pierwszej kolejności również musimy ustawić mu adres statyczny, najlepiej 192.168.1.10, bramę domyślną i serwer DNS jako 192.168.1.1 – robimy to w dokładnie ten sam sposób co na serwerze, z tym że nie dodajemy już sufiksów DNS. Po wykonaniu tej czynności wchodzimy w Panel sterowania > System i zabezpieczenia > System i w sekcji Nazwa komputera, domena i ustawienia grupy roboczej klikamy Zmień ustawienia. W głównym oknie klikamy Zmień, w Członkostwie wybieramy domenę i wprowadzamy jej nazwę. Pojawi się monit o podanie danych logowania – wprowadzamy login i hasło Administratora SERWERA w celu autentykacji – w tym momencie jeśli wszystko poszło dobrze, pojawi nam się komunikat Witamy w domenie ug.pl.

 

4. Dodawanie jednostek organizacyjnych

Jednostki organizacyjne są nadrzędnymi obiektami w zhierarchizowanej strukturze domeny. Wewnątrz nich możemy tworzyć kolejne podległe jednostki organizacyjne, konta użytkowników, komputerów oraz grupy użytkowników. Całość podlega oczywiście regułom polis grupowych i domenowych, w związku z czym mamy bezpośredni wpływ na to, jakie uprawnienia ma dana jednostka organizacyjna lub grupa użytkowników i możemy je dowolnie modyfikować.

Aby dodać pierwszą jednostkę organizacyjną o nazwie Polska, w Menedżerze serwera klikamy w prawym górnym rogu Narzędzia > Użytkownicy i komputery usługi Active Directory – pojawi nam się wtedy panel zarządzania przestrzenią organizacyjną domeny. Klikamy prawym przyciskiem na nazwie naszej domeny i wybieramy Nowy > Jednostka Organizacyjna, następnie wprowadzamy nazwę naszej jednostki. Po zatwierdzeniu powtarzamy tą samą czynność dla Gdańska i Gdyni, klikając tym razem prawym przyciskiem myszy wcześniej utworzoną jednostkę organizacyjną Polska.

 

5. Dodawanie i modyfikacja kont użytkowników domenowych

W celu dodania nowego konta użytkownika klikamy prawym przyciskiem myszy na interesującą nas jednostkę organizacyjną (w tym wypadku Gdańsk), a następnie wybieramy Nowy > Użytkownik. Wprowadzamy dane użytkownika zgodnie ze skryptem. Aby zmodyfikować dane adresowe użytkownika, po dodaniu jego konta klikamy je prawym przyciskiem myszy i wybieramy Właściwości. Aby deaktywować konto użytkownika lub zresetować jego hasło, z menu rozwijanego wybieramy odpowiednio opcję Wyłącz konto lub Resetuj hasło.

 

6. Grupy użytkowników i przypisanie konta użytkownika do grupy

Grupy użytkowników pełnią, podobnie jak jednostki organizacyjne, funkcję kontrolną. Dodając kilku użytkowników do jednej grupy możemy modyfikować uprawnienia całej grupy, a nie tylko pojedynczego użytkownika – w ten sposób nie dość, że przyspiesza to cały proces, to również eliminuje ryzyko popełnienia błędu przy ustawianiu uprawnień i dostępu do zasobów.

Aby utworzyć nową grupę użytkowników, klikamy wybraną jednostkę organizacyjną prawym przyciskiem myszy, a następnie wybieramy Nowy > Grupa. W oknie tworzenia grupy wprowadzamy jej nazwę i ustawiamy jej zakres na Globalny. Do nowo utworzonej grupy możemy od razu dodać użytkownika. Możemy to zrobić na dwa sposoby – pierwszą metodą jest dodanie użytkownika do grupy z poziomu właściwości jego konta w zakładce Członek grupy, w której wprowadzamy nazwę grupy docelowej – nie musi to być nawet pełna nazwa, wystarczy że wprowadzimy kilka pierwszych znaków jej nazwy i klikniemy Sprawdź nazwy – jeżeli dana grupa istnieje, to automatycznie zostanie ona dodana – zatwierdzamy przyciskiem OK. Drugą metodą jest dodanie użytkownika z poziomu właściwości grupy w zakładce Członkowie – postępowanie jest tu analogiczne z tym, że wyszukujemy nazwę użytkownika, a nie grupy. Niezależnie od tego, na jaką metodę się zdecydujemy, efekt końcowy będzie dokładnie ten sam.

 

7. Podsumowanie

W tym materiale przedstawiłem podstawowe czynności administracyjne związane z konfiguracją usługi Active Directory. W związku z tym, że kolejne czynności opisane w skrypcie są analogiczne do tych omówionych, w ramach ćwiczenia spróbujcie sami pododawać resztę użytkowników zgodnie z formułą. W razie pytań standardowo zachęcam do skorzystania z sekcji komentarzy lub pisania bezpośrednio na FB. Do następnego.

0 0 votes
Article Rating

Projekty aplikacji

Java JSQL App: jsarnowski96/JSQLApp (github.com)Aplikacja okienkowa wykorzystująca framework JavaFX, pozwalająca na połączenie z silnikami bazodanowymi MS SQL i MySQL i wykonywanie podstawowych […]

Subscribe
Powiadom o

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

0 komentarzy
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x