Hálózati Operációs Rendszerek Az Active Directory felépítése és szolgáltatásai Előadó: Bilicki Vilmos bilickiv@inf.u-szeged.hu www.inf.u-szeged.hu/~bilickiv
Az előző előadás tartalma(1) ADAM ADAM vs. Active Directory ADAM architektúra ADAM fizikai architektúra ADAM logikai architektúra PKI és társai Kivonat Szimmetrikus titkosítás Aszimmetrikus titkosítás Digitális aláírás Digitális tanúsítvány Tanúsítvány hatóság
Az előző előadás tartalma(2) Azonositási protokollok: TLS NTLM Kerberos V5
Tartalom Active Directory Felépítés Globális katalógus Felhasználók, csoportok Csoportházirend Felépítése Felhasználó menedzsment Szoftver menedzsment
Forrás Active Directory: MOC 2154A Csoport házirend: http://www.microsoft.com/windowsserver2003/techinfo/overview/gpintro.mspx Globális Katalógus http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/techref/en-us/Default.asp?url=/Resources/Documentation/windowsserv/2003/all/techref/en-us/w2k3tr_gcatg_how.asp
Az AD felépítése Az Active Directory az LDAP tartományokat a következő egységekre képezi le Tartomány Fa Erdő Az elosztott tárolásnál nehézkes a keresés, ezért alkalmazza a Globális Katalógust A replikáció alapegysége a partíció Séma (minden szerveren közös) Konfiguráció (minden szerveren közös) Alkalmazás (Az azonos tartományba lévő szerevreken azonos)
Fa Szülő Tartomány contoso.msft Gyermek Tartomány Folyamatos névtér sales.contoso.msft Szülő Gyermek Új Tartomány Fa Gyökér Tartomány contoso.msft
Erdő Erdő Fa Az erdő egy vagy több fa nwtraders.msft marketing. sales. contoso.msft Az erdő minden tartománya közös Konfigurációval, Sémával, és Globális Katalógussal rendelkezik Az erdő egy vagy több fa Az erdőhöz nem tartozik egy folyamatos névtér Erdő Fa
Erdő gyökér tartomány Az erdőben elsőként létrehozott tartomány Erdő contoso.msft Erdő Erdő Gyökér Tartomány nwtraders.msft Fa Fa Gyökér Tartomány Globális Katalógus Konfiguráció és Séma Válalati Rendszergazdák Séma Rendszergazdák marketing.nwtraders.msft sales.contoso.msft
Több tartomány jellemzői Csökkenti a replikációs forgalmat Elkülönített biztonsági hatókörök A régi WinNT felépítés támogatása Elkülönülő rendszergazdai hatókörök
A Globális Katalógus Nehéz, hosszadalmas az általános keresés egy elosztott adatbázisban (pl.: minden nyomtatóra kíváncsi vagyok) Egy olyan adatbázis amely az összes objektumot tartalmazza a leggyakrabban használt attribútumokkal 3268-as port, LDAP hozzáférés (389-es a normál LDAP) Írható/olvasható saját partíció Csak olvasható másolat partíciók (az erdő összes partíciója) PAS (Partial Attribute Set) - isMemberOfPartialAttributeSet Funkciói: Felhasználói belépés Univerzális csoport kezelés (member) Keresések DNS bejegyzés Replikáció
Csoportok használata Egyszerűsítik a jogok kiosztását A csoportok tartalmazhatják egymást Egy felhasználó több csoport tagja is lehet Group Egyszerűsítik a jogok kiosztását
Tartomány Helyi csoportok Tartomány Helyi csoport szabályok Tagság Mixed mode: Felhasználói fiókok és globális csoportok bármely tartományból Native mode: Felhasználói fiókok, globális csoportok, univerzális bármely tartományból. Tartományi helyi csoportok az adott tartományból Tagja lehet Mixed mode: Nem lehet tagja semminek Native mode: Tartományi helyi csoport az adott tartományban Hatókör Csak saját tartományán belül Engedélyek Arra a tartományra melyen belül létezik Add Global Group Domain DLG Domain Local Group
Globális Csoportok használata Globális Csoport Szabályok Tagság Mixed mode: Az azonos tartományban lévő felhasználók Native mode: Az azonos tartományban lévő felhasználók és csoportok Tagja lehet Mixed mode: Tartományi Helyi csoport Native mode: Univerzális és Tartományi Helyi bármely tartományban, globális csoportok a helyi tartományban Hatókör Saját és minden megbízott tartományban Engedélyek Az erdő minden tartományában Add Global Group
Univerzális Csoportok Add from Multiple Domains Global Group Universal Group Univerzális Csoport Szabályok Tagság Mixed mode: Nem használható Native mode: Felhasználói fiókok, globális és univerzális csoportok az egész erdőből Tagja lehet Mixed mode: Nem használható Native mode: Tartományi helyi és Univerzális csoportnak minden tartományban Hatókör Mindenhonnan Engedélyek Mindenhova
Beágyazási stratégia Adjuk hozzá a felhasználókat a glob. Csop.-hoz Globális Csoport Felh. Ágyazzuk egymásba a glob. Csop.-kat Globális Csoport Adjuk hozzá minden tart. Glob. Csop.-ját az Univ. Csop.-hoz Globális Csoport Univerzális Csoport Adjuk hozzá az univ. Csop.-ot A Helyi. Bizt. Csop.-hoz minden tartományban Univerzális Csoport Tart. Helyi Csop. DLG Állítsuk be a jogosultságokat minden tartományban a Helyi csoportokra Jogok Tart. Helyi Csop DLG
Felhasználói bejelentkezés A Globális Katalógus szolgáltatja: Univerzális csoport tagság információ Tartomány információ, egyedi név használat esetén (bilickiv@inf.u-szeged.hu) Felh. Bej. Domain Global Catalog Server
Csoportházirend Bevezető A Csoportházirend struktúrája Csoportházirend objektumok Csoportházirend és az Active Directory Öröklődés
A Windows folyamatosan ellenőrzi A rendszergazda egyszer beállítja Bevezető Site Domain OU A Windows folyamatosan ellenőrzi Users Computers A rendszergazda egyszer beállítja Group Policy A csoportházirend segítségével: Központosított és elosztott menedzselés Felhasználói környezetek beállítása Vállalati szabályok érvényesítése
Csoportházirend beállítások Lehetséges beállítások Adminisztratív minta Registry alapú csoportházirend beállítás Biztonság Helyi, tartomány, hálózati beállítások Szoftver telepítés Központi szoftver menedzselés Szkriptek Indítás, leállítás, belépés, kilépés Távoli Telepítés Szolgáltatás RIS beállítások Internet Explorer karbantartás IE testreszabás Mappa átirányítás Felhasználói mappák szerveren tárolása
Csoportházirend objektumok Tartalmazza a beállításokat Két helyen van tárolva A tartományvezérlő megosztott Sysvol mappájában van A kilensek innen töltik le a beállításokat Az Active Directory-ban tárolódik Verzió információt biztosít a tartomány vezérlőknek Group Policy Template (GPT) Group Policy Container (GPC)
Felhasználók és gépek menedzselése Számítógépek beállításai: Operációs rendszer beállítások, asztal viselkedés, biztonsági beállítások, indulási/leállási szkriptek, alkalmazás tulajdonságok Akkor érvényesíti amikor a rendszer indul Felhasználók beállításai: Operációs rendszer beállítások, asztal viselkedés, biztonsági beállítások, bejelentkezési/kijelentkezési szkriptek, alkalmazás tulajdonságok mappa átirányítások. A felhasználó bejelentkezésekor érvényesítődnek Számítógép Felhasználó
AD Tárolók A GPO beállítások érvényesíthetőek: Hely Tartomány OU OU GPO Hely GPO Tartomány GPO A GPO beállítások érvényesíthetőek: Helyek Tartományok Szervezeti egységek szintjén Egy GPO több helyen is alkalmazható Egy tárolón több GPO is alkalmazható
Öröklődés Az öröklődés sorba megy végbe a tartományok, … között Hely Tartomány OU Az öröklődés sorba megy végbe a tartományok, … között Számítógépek Felhasználók Könyvelés Tartomány Domain GPO A gyermek tárolók öröklik az ősöktől a GPO beállításokat
A beállítások feldolgozása A számítógép indul A felhasználó belép A gép beállításai érvénybe lépnek Az indulási programok lefutnak Felh. beállítások érvényesítődnek Belépési programok lefutnak The GetGPOList függvény lefut mindkét alkalommal: Több külön DDL segít a feldolgozásban (Userenv.dll, Dskvota.dll, Fdelpoy.dll, …)
A feldolgozás szabályozása Szinkron és aszinkron feldolgozás Az alapértelmezett a szinkron feldolgozás Aszinkron feldolgozásnál az egyes programok nem várják meg egymás lefutását Csoportházirend frissítése: A kliensek 90 percenként A tartományvezérlők 5 percenként Változatlan házirendek feldolgozása Be tudjuk állítani, hogy akkor is feldolgozza, ha az előző feldolgozás óta nem változott
Lassú kapcsolatok Csoportházirend érzékeli a lassú kapcsolatokat Lassú kapcsolatokra be tudjuk állítani az egyes szabályok feldolgozását Pl.: programok telepítése
Ütközések feldolgozása Minden házirend érvényesítődik amíg nincs ütközés Az utolsó szabály lesz érvényes A gyermek tárolóra érvényesített házirend a nyerő Ha ugyanazon a szinten vannak akkor a kisebb sorszámú az érvényes A számítógép beállítás erősebb mint a felhasználói prioritás
Az öröklődés blokkolása Letiltja az öröklődést minden szülőtől Nem válogathatjuk ki a blokkolandó szabályokat Nem erőseb mint a Felülírás tiltása szabály GPOs Könyvelés Termelés Tartomány Nem érvényesül a GPO
Felülírás tiltása Felülírás tiltása: Felülírja az öröklődés tiltását Az Active Directory tétején célszerű létrehozni Vállalati szabályokat tesz lehetővé Felülírás tiltása Tartomány Termelés Könyvelés Konfliktus Érvényesül
Felhasználói környezet testreszabása Kinek mihez van joga Környezet Új felhasználó/szamítógép beállításai Manage User Environments Administrative Templates Settings Script Settings Redirecting User Folders Security My Documents HKEY_LOCAL_MACHINE HKEY_CURRENT_USER Registry Központosított felh. Környezet menedzselés Szabványos konfigurációk kényszerítése Felhasználók jogköreinek beállítása Adatok központi tárolása A környezet testreszabása Biztonság beállítása
Adminisztratív sablonok A Registry beállításokat adhatjuk velük HKEY_LOCAL_MACHINE számítógép HKEY_CURRENT_USER felhasználó Ha a GPO-t eltávolítjuk, a régi registry bejegyzések visszaállítódnak
Sablonok feldolgozása Registry.pol fájlok tartalmazzák az új értékeket A klines módosítja a megfelelő registry alfát (HKLM and HKCU) Registry .pol HKCU HKLM 3 GPO List 1 A gép elindul a felhasználó belép, az LDAP-ban lekéri a szükséges házirend azonosítókat A kliens a SYSVOL megosztáshoz csatlakozik és letölti a Registry.pol fájlokat Sysvol Registry .pol GPT 2 Bejelentkezési ablak megjelenik 4
Sablonok Beállítás típusa Hatása Elérhető Windows Komponens A Windows komponensekhez való hozzáférés joga (pl.: MMC) Rendszer Kilépés, belépés, csoport házirend, kvóták Hálózat Hálózat tulajdonságai, betárcsázás Nyomtatók Nyomtatók publikálása, … Start Menü és Tálca A Start menü testreszabhatósága, tartalma Asztal Ikonok, … Vezérlő Pult Beállítási jogok
Személyes mappák átirányítása Mappa átirányítás Előnyei: Az adat mindég hozzáférhető a bejelentkezési helytől függetlenül Központi adattárolás A fájlok nem mentődnek a kliensen Személyes mappák átirányítása A dokumentumok a szerveren vannak tárolva, ezt a felhasználó nem látja My Documents
Átirányítható mappák Mappa Tartalma Miért érdemes My Documents Személyes adatok Start Menu A Start menü tartalma Desktop Az asztalon lévő fájlok Application Data Alkalmazás fájlok Bárhonnan elérheti a fájlait A Start menü követi a felhasználót Az asztal követi a felhasználót Az alkalmazások beállításai követik a felhasználót
Bevezetés a szoftver telepítés rejtelmeibe Eltávolítás A Szoftver eltávlítódik Karbantartás A Szoftver karabtartása és újratelepítése Telepítés A Szoftver telepítődik Előkészület A Szoftver telepítő fájlok beszerzése
Windows Installer Windows Installer Szolgáltatás Windows Installer Csomag Egy kliens oldali program mely teljesen automatizálja a telepítést és konfigurálást Használható a már telepített alkalmazás módosítására és javítására is. Minden információt tartalmaz a Windows Installer számára az alkalmazás telepítéséhez, eltávolításához Egy .msi fájlt és más szükséges fájlokat tartalmaz Összesített információt tartalmaz az alkamazásról és a programról is Tartalmaz egy hivatkozást az alkalmazás telepítési helyére A Windows Installer használatának előnyei Rugalmas alkalmazások Tiszta eltávolítás
Szoftver Telepítése Szoftver Telepítés Szoftver Elosztó Központ létrehozása Szoftver Kiosztása Szoftver Publikálása Csoportházirend használata Szoftver telepítésre Az alapértelmezett beállítások
Szoftver Telepítése TaskFeladatoks Windows Installer csomag beszerzése A csomag elhelyezése az elosztó ponton GPO létrehozása vagy módosítása GPO alkalmazása
Szoftver elosztó központ létrehozása Lépések: Olvasási Jogok Megosztott mappa létrehozása Megfelelő almappák létrehozása A Windows Installer csomag és fájlok bemásolása a megfelelő mappába A felhasználóknak olvasási jogot kell adnunk a mappára Amikor a Szoftver Elosztó Központot létrehozzuk: Az alkalmazás nevével hozzunk létre egy mappát Használjunk rejtett megosztást Használjunk DFS-t
A Felhasználói Konfigurációban Szoftver Kiosztása A Felhasználói Konfigurációban Az alkalmazás telepítődik amikor a felhasználó futtatni szeretné Start Szoftver Elosztó Központ Számítógép Konfigurációban Az alkalmazás telepítődik amikor a gép újraindul
Programok Hozzáadása/Eltáv. Szoftver Publikálása Programok Hozzáadása/Eltáv. Az alkalmazás telepítődik amikor a felhasználó a Vezérlő pultban a program Hozz./Eltáv. segítségével telepíti. ? Szoftver Elosztó Központ Dokumentum Aktiváció Az alkalmazás akkor telepítődik amikor a felhasználó az adott típusú dokumentumra kattint.
A Csoportházirend Használata alkalmazás telepítésére Szoftver Telepítése A megfelelő Géphez, vagy Felhasználóhoz kötődő GPO létrehozása/módosítása A telepítendő csomag kiválasztása A telepítési mód kiválasztása A szoftver tulajdonságainak konfigurálása Telepítés Típus Telepítés Opció
A Szoftver Telepítés alapértelmezett beállítások Software installation Properties General File Extensions Categories Default package location: Browse... New packages Installation user interface options When adding new packages to user settings: Display the Deploy Software dialog box Publish Assign Advanced published or assigned Basic Maximum OK Cancel Apply Uninstall the applications when they fall out of the scope of management.
Szoftver változatok használata North America GPO Angol szótár Paris Francia Szótár Bonn Német Egy példány a szerveren
Szoftver Kategóriák létrehozása Add/Remove Programs Add Programs from CD-ROM or Floppy To add a new program from a floppy disk or CD-ROM drive, click CD or Floppy. Add Programs from the Internet To add new features, programs, and system updates from Microsoft Windows Update, click Internet. Add Programs from your Corporate Network: Category: Microsoft Office 2000 Premium Edition Click here for more information. To add this program to your computer, click Add. CD or Floppy Internet Close All Accounting Software Desktop Publishing Expense Reports Internet Utilities Word Processing Change or Remove Programs Add New Configure Windows Grafika PhotoDraw Microsoft Office Access Excel PowerPoint Word Kommunikáció Outlook Példa:
Fájl kiterjesztések kapcsolása alkamazásokhoz GPO segítségével határozzuk meg az alkalmazást A prioritás megváltozása csak a megfelelő felhasználókat érinti Kereskedelem GPO Word 97 Filename.doc Kereskedelem Könyvelés Könyvelés GPO Word 2000
A Telepített Szoftver frissítése Az 1.0-ás verzió fut A 2.0-ás települ Kötelező Telepítés Választható Frissítés A felhasználók csak a 2.0-ást használhatják A felhasználók dönthetnek a használt verzióról
Szoftver Újratelepítése A javító csomag a szerveren A csomag újratelepítve A felhasználó belép és aktiválja a szoftvert
A telepített szoftver eltávolítása Kötelező Eltávolítás A szoftver automatikusan és választási lehetőség nélkül eltávlítódik Választható Eltávolítás A szoftver nem távolítódik el de, nem lehet frissíteni
Tartalom Active Directory Felépítés Globális katalógus Felhasználók, csoportok Csoportházirend Felépítése Felhasználó menedzsment Szoftver menedzsment
A következő előadás tartalma Windows Biztonsági arch., Linux Biztonsági arch., Active Directory bizt. arch.