Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Windows Server 2003 Active Directory Group Policy Remote Installation Services Fülöp Miklós Microsoft Magyarország.

Hasonló előadás


Az előadások a következő témára: "Windows Server 2003 Active Directory Group Policy Remote Installation Services Fülöp Miklós Microsoft Magyarország."— Előadás másolata:

1 Windows Server 2003 Active Directory Group Policy Remote Installation Services Fülöp Miklós Microsoft Magyarország

2 Kiszolgálók Szolgáltatás Szolgáltatás Nyomtató Nyomtató Megosztás Megosztás Házirend Házirend Ügyfelek Beállítások Beállítások Hálózatok Hálózatok Házirend Házirend Felhasználók Fiók info Fiók info Jogosultság Jogosultság Házirend Házirend Együttműködés Hálózati kiszolgálók Áttérés Áttérés Szinkronizáció Szinkronizáció Single Sign-On Single Sign-On kiszolgálók Postafiók info Postafiók info Levelezési lista Levelezési lista Más címtárak Yellow pages Yellow pages Elektronikus kereskedelem Elektronikus kereskedelem Portálok PortálokIntegráció Alkalmazások Szerver konfiguráció Szerver konfiguráció Single Sign-On Single Sign-On Alkalmazás specifikus információk Alkalmazás specifikus információk Hálózati eszközök Konfiguráció Konfiguráció Cisco CNS/AD Cisco CNS/AD QoS QoS Biztonság Biztonság Tűzfal szolgáltatás Konfiguráció Konfiguráció VPN beállítások VPN beállítások ActiveDirectory Központi MGMT Felhasználók Felhasználók Erőforrások Erőforrások Biztonság Biztonság Delegáció Delegáció Házirend Házirend A központi címtár

3 A címtárak alapfogalmai Objektum Szervezeti egység Tartományok és altartományok Erdő Séma Globális katalógus Névhasználati környezet Partíció

4 Objektum A címtár elemi egysége Tulajdonságok Metódusok Előre definiált objektumok User User Group (nem azonos a szervezeti egységgel) Computer, Domain Controller Printer, File share

5 Szervezeti egység (OU) Az adatok struktúrált tárolását segíti Objektumokat vagy más tárolókat tartalmaz Segíti az elosztott adminisztrációt 12-es mélységben ágyazható egymásba, de 3 fölé ne menjünk

6 Tartomány Az AD egy partíciója A partíción belüli adatokért a tartomány verzérlői (DC) felelősek A tartomány tartalmazza az OU-k fastruktúráját Az AD önálló adminisztratív egysége Az OU-k tulajdonságai csak a tartományokon belül öröklődnek

7 Az Active Directory kettős fastruktúrája Több tartomány: Elosztott felügyelet Egy tartomány: Központi felügyelet

8 IntelliMirror ™ Windows 2000 szerver Windows 2000 Pro Kövessenek: a dokumentumaim az alkalmazásaim a beállításaim

9

10 Csoportházirend (Group Policy) Mi az a csoportházirend (Group Policy)? A Windows operációs rendszer és alkalmazások központi beállításai, amelyek automatikusan érvényre jut(hat)nak a tartomány minden felhasználója / számítógépe esetén Mindenkire érvényesül a csoportházirend? Igen, amennyiben az adott felhasználó / számítógép a csoportházirend hatóköre alá esik  ld. később: „A csoportházirend kiértékelése” Mikor érvényesül a csoportházirend? A számítógép indulásakor / a felhasználó bejelentkezésekor Munkaállomásokon 90, tartományvezérlőkön 5 percenként folyamatosan Kézzel kezdeményezve (gpupdate)

11 Csoportházirend (Group Policy) Ki / Mi érvényesíti a csoportházirend beállításait? A Windows 2000 / XP / 2003 operációs rendszer beépített csoportházirend-kezelő komponense Szükség van-e a csoportházirend érvényesítéséhez a felhasználó jogosultságaira? Nem, a beállításokat az operációs rendszer végzi el, a helyi számítógép teljes hozzáférésével Maradandóak-e a csoportházirend módosításai? Nem, a csoportházirend beállításai minden alkalommal újra kiértékelésre kerülnek A változtatások nem módosítják pl. a regisztrációs adatbázis tartalmát (nincs „tetoválás”) (pl. „A” felhasználó: szabad, „B” felhasználó: nem szabad)

12 Milyen beállításokat tartalmaz egy csoportházirend-objektum? Számítógép-beállítások Felhasználói beállítások

13 Szoftverbeállítások Központi szoftvertelepítés (MSI csomagok) Számítógéphez rendelve automatikusan Felhasználóhoz rendelve  automatikusan, vagy  a felhasználó számára „meghirdetve” (Programok hozzáadása / eltávolítása varázsló) A telepítéshez nincs szükség a felhasználó jogosultságaira a telepítést a Windows Installer szolgáltatás végzi akár a felhasználó beavatkozása nélkül is

14 Szoftverbeállítások Ha a szoftvert felhasználóhoz rendeljük, és meghirdetjük, a felhasználó a szoftver telepítését önmaga kezdeményezheti a szoftver ikonjai a telepítés előtt megjelennek a Start menüben  az ikonra kattintva megkezdődik az automatikus telepítés a kezelt fájlok kiterjesztése a telepítés előtt hozzárendelődik a szoftverhez  egy fájlt (pl..doc) megnyitva automatikusan feltelepül a hozzárendelt szoftver (pl. Microsoft Word)

15 Parancsfájlok Automatikusan futtatott parancsfájlok a számítógép...  indulásakor  leállítása előtt a felhasználó  bejelentkezésekor  kijelentkezése után

16 Biztonsági beállítások (számítógép) Fiókházirend Jelszóházirend  hossz, lejárati idő, bonyolultság... Fiókzárolási házirend  időtartam, küszöb,... Helyi házirend Naplózás beállításai Felhasználói jogok kiosztása  pl. helyi bejelentkezés, rendszeridő megváltoztatása, stb. Biztonsági beállítások  pl. felhasználóazonosítási eljárások, eszközök elérése, stb.

17 Biztonsági beállítások (számítógép) Eseménynaplók beállításai Eseménynaplók mérete Eseménynaplók megőrzési módja Korlátozott csoportok Megadott helyi / tartományi csoportok tagságának kikényszerítése 90 / 5 percenként kiértékelődik Rendszerszolgáltatások Futó / futtatható rendszerszolgáltatások Rendszerszolgáltatások indítási állapota Rendszerszolgáltatások felhasználói fiókjai

18 Biztonsági beállítások (számítógép) Rendszerleíró adatbázis (registry) Bármely registry kulcs elérési jogosultságainak távoli, tömeges beállítása Fájlrendszer Bármely fájl / mappa elérési jogosultságainak távoli, tömeges beállítása Változók használhatók!  pl. %SYSTEMROOT% Vezeték nélküli hálózat házirendjei

19 Biztonsági beállítások (számítógép) Nyilvános kulcsú infrastruktúra (PKI) irányelvei a titkosított fájlrendszer (EFS) helyreállítási ügynök tanúsítványa automatikus tanúsítványkérelem megbízható legfelső szintű hitelesítésszolgáltatók közzététele vállalati szintű megbízhatósági listák közzététele IP-biztonsági (IPSec) házirendek

20 Szoftverkorlátozó házirendek (Windows XP-től): a számítógépen / felhasználó által futtatható szoftverek / elérhető registry kulcsok köre korlátozható Két fő működési mód: mindent szabad, kivéve... mindent tilos, kivéve... Kivétel definiálható: Fájlnév / elérési út alapján A fájl ujjlenyomata (hash) alapján  = a fájl átnevezése nem segít! A fájl digitális tanúsítványa alapján Internetes zóna alapján

21 Mappák átirányítása A felhasználók főbb mappáinak automatikus átirányítása központi helyre: Application Data  az alkalmazások által használt fontos terület a felhasználói profilban Asztal  vállalati szabványos asztal, szabványos tartalommal Start menü  szabványos start menü Dokumentumok  központi adattárolás = sokkal jobb adatmentés!

22 Az alkalmazások beállításai Windows komponensek és alkalmazások beállításai A csoportházirend-objektumok bővíthetők pl. Office beállítások Office telepítés után saját igények szerint  pl. saját registry-beállítás, saját szoftver paraméterei, stb. Néhány alapértelmezett beállítás: Internet Explorer  Internet vezérlőpult, proxy beállítások, kedvencek listája, felhasználói felület, címsor, stb. testreszabása  Internetes zónák, biztonsági beállítások

23 Az alkalmazások beállításai Windows-összetevők: NetMeeting, Internet Explorer, Súgó és támogatás Windows Intéző Microsoft Management Console Feladatütemező Terminálszolgáltatások Windows Installer Windows Update... részletes beállításai

24 Az alkalmazások beállításai Start menü és tálca Asztal Vezérlőpult Megosztott mappák Hálózat Hálózati kapcsolatok, DNS ügyfél, QoS, SNMP beállítások Kapcsolat nélküli fájlok Windows Tűzfal (Windows XP SP2) Rendszer Felhasználói profilok Parancsfájlok futtatási módja Energiagazdálkodás...

25 Az Active Directory felépítése Logikai: fizikai hálózattól független látásmód Tartományok  Szervezeti egységek  Szervezeti egységek Fizikai: a logikaitól független, hálózat-alapú Active Directory telephely: egy nagysebességű, megbízható hálózati kapcsolattal összekötött Active Directory összetevők összessége  kiszolgálók  ügyfelek Egy telephelyen több tartomány is tartózkodhat

26 A csoportházirend kiértékelése Csoportházirendet találunk / hozhatunk létre: a helyi számítógépen  a számítógépre, illetve a rá mindenkor bejelentkezett felhasználókra érvényes beállítások az Active Directory különböző szintjein:  szervezeti egységeken  pl. Default Domain Controllers Policy  tartományokban  pl. Default Domain Policy  Active Directory fizikai telephelyekhez kötve  (akár több tartomány között is)

27 A csoportházirend kiértékelése A csoportházirend-objektumok az Active Directory-n belül öröklődnek msdemos.hu (tartomány)  Teszt felhasználók (szervezeti egység, OU)  Pénzügy (OU)  Forint (OU) Az öröklődés blokkolható

28 A csoportházirend kiértékelése Egy szinten belül a csoportházirendek kiértékelési sorrendje meghatározható A beállítások kiegészítik egymást Konfliktus esetén a későbbi beállítás „győz” A házirend... beállításai kötelezővé tehetők letiltható

29 Helyi házirend Active Directory telephely házirendjei Tartomány házirendjei Szervezeti egységek házirendjei A csoportházirend kiértékelési sorrendje

30 A csoportházirend kiértékelése Kire érvényes a csoportházirend? Arra a felhasználóra / számítógépre, a.) aki az adott szervezeti egységben / tartományban / Active Directory telephelyen található b.) és akinek Olvasási és Alkalmazási joga van az adott csoportházirend-objektumon  alapértelmezés: minden tartományi felhasználó és számítógép c.) és akire érvényes az esetleg megadott WMI szabály  WMI szabály: a számítógép hardverparaméterei, pl. memória > 256MB

31 GPO WMI szűrő példák Számítógép típusára Root\CimV2; Select * from Win32_ComputerSystem where manufacturer = "Toshiba" and Model = "Tecra 8000" OR Model = "Tecra 8100" Operációs rendszerre Root\CimV2; Select * from Win32_OperatingSystem where Caption = "Microsoft Windows 2000 Advanced Server" OR Caption = "Microsoft Windows 2000 Server" Erőforrás paramétereire Root\CimV2; Select * from Win32_LogicalDisk where FreeSpace > AND Description <> "Network Connection" Hardverkonfigurációra Root\cimv2; Associators of {win32_IRQResource.IRQNumber=11} where resultclass = Win32_NetworkAdapter

32 Csoportházirend-kezelő eszközök Csoportházirend-objektum szerkesztő MMC modul Kiszolgálón és munkaállomáson egyaránt Resultant Set of Policy Eredő házirend Csoportházirend menedzsment konzol Group Policy Management Console (GPMC) Eredő csoportházirend-beállítások kiértékelése Beállítások forrásának keresése Riportok Kiértékelési tesztek (mi lenne, ha?)

33 Resultant Set of Policy (RSoP) Az eredő GPO beállítások lekérdezése A beállítások mellett azok forrása is látszik WMI-alapú Logging üzemmód Az aktuális számítógépen, a bejelentkezett felhasználóra érvényes beállítások összegyűjtése Planning üzemmód Adott számítógépen, adott felhasználóra érvényes beállítások kiszámítása "Mi lenne, ha?" – esetek (pl. csoporttagság módosítása, stb.) Az ADUC-ból vagy külön MMC konzolként indítható HTML kimenet a Help and Support Center-en keresztül

34

35 Távtelepítési szolgáltatás Remote Installation Services: Operációs rendszer távoli, automatikus telepítése Teljesen „üres” számítógépre is A felhasználó beavatkozása nélkül Távtelepítési szolgáltatások csoportházirend-beállításai A felhasználó távtelepítési jogosultságai Hozzáférés a távtelepítés beállításaihoz

36 Hálózatról indítható telepítés szkriptelt telepítés (RISetup) image alapú telepítés (RIPrep) PXE szabványt támogató hálókártya esetén automatikusan elindul a telepítés PXE-t nem támogató kártyákhoz boot floppy támogatás a termék CD-n Távtelepítési szolgáltatás

37 Remote Installation Services (RIS) Automatikus teljes (RISetup) és image (RIPrep) telepítés: Windows 2000 Professional, Server, Advanced Server Windows XP Professional Windows Server 2003, Web Edition, Standard Edition Windows Server 2003, Enterprise Edition, Datacenter Edition Csak RISetup: 64 bites Windows Server 2003 Enterprise Edition és Datacenter Edition

38 A távtelepítés működése Az ügyfélgép IP címet kér 1 A DHCP kiszolgáló kiosztja az IP címet Az ügyfél a RIS kiszolgálóhoz fordul A RIS kiszolgáló a címtárban megnézi, elő van-e készítve az ügyfél (pre-stage) A RIS vagy válaszol, vagy egy másik RIS kiszolgáló felé küldi a kérést 5 A RIS elküldi a startrom.com-ot az ügyfélnek, elindul az OSChoice menü 6 DHCP kiszolgáló RIS kiszolgáló Active Directory DC Ügyfélgép

39 DHCPDHCP Domain Name Service IP cím kiadása a RIS kliens számára Segít az Active Directory keresésében Active Directory Információk a RIS kiszolgálóról és a leendö kliensröl Szükséges alapszolgáltatások

40 Használt technológiák Pre-boot Execution Environment (PXE) Hálózati csatolóba épített protokoll Nem kompatibilis kártyák esetén floppy Boot Information Negotiation Layer (BINL) Alapszintű kapcsolat a kliens és az Active Directory között Single Instance Store (SIS) NTFS komponens: helytakarékos tárolás az azonos fájlok kiszűrésével Trivial File Transfer Protocol (TFTP) Alapvető telepítőkomponensek letöltése

41 Mi a Pre-staging? Biztonsági szempontból előre meghatározhatjuk, mely kliensek települhetnek „Kézi” terheléselosztás a RIS szerverek között PXE GUID és RIS szerver összerendelése az Active Directory-ban

42 Pre-staged Computer1 Computer2 Computer3 Computer4 Computer3 Image Pre-staging

43 Image-típusok CD-alapú image-k Teljes, automatikus telepítés Válaszscriptek generálhatók Heterogén hardverkörnyezetben is működik Remote Installation Preparation (RIPrep) Telepített, konfigurált operációs rendszer + alkalmazásokról készült fájlszintű image Accounting vs. Marketing vs. IIS server

44 © 2003 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.


Letölteni ppt "Windows Server 2003 Active Directory Group Policy Remote Installation Services Fülöp Miklós Microsoft Magyarország."

Hasonló előadás


Google Hirdetések