Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék Active Directory Micskei Zoltán Intelligens rendszerfelügyelet

2 Az előző részek  Modellezés  Központosított felhasználókezelés, címtárak o LDAP o Active Directory

Active Directory Kibocsátó: (nem szabvány, LDAP-on alapuló egyedi megoldás) Megalkotók: Microsoft Verziók: Windows 2000-ben jelent meg, aktuális: Windows Server 2008 R2 Cél: Központi címtár az infrastruktúrában

4 Active Directory  Microsoft címtár implementációja  Infrastruktúra alapja o hitelesítés, menedzsment o sok szervertermék és alkalmazás igényli  Tárolt elemek o felhasználók, csoportok o gépek, nyomtatók o megosztott könyvtárak o…o…

5 AD címtár szerkezete  Fa szerkezet, LDAP címtár (csak el van fedve:)  Hierarchia eleme: szervezeti egység (organizational unit)  Struktúra kialakításának alapja:  Delegálás  Házirendek

DEMO 6 o fa szerkezet, tárolók és elemek o felhasználó létrehozása nevek, jelszó opciók o felhasználó tulajdonságai adatok, címek, profil, dial-in o csoport jogosultságosztás (RBAC) levélküldés AD Users and Computers

7 AD szerkezet parent thefamily.local ou maffia.local Domain tree root Forest root and tree root child west.thefamily.local child east.thefamily.local Tartomány Fa Erdő Tartomány Fa Erdő

8 AD működése  Tartományvezérlő (Domain Controller, DC)  Címtár adatbázis o C:\WINDOWS\NTDS\ntds.dit o SYSVOL megosztás: házirend, logon script  DNS o AD tartomány ↔ publikus DNS név thefamily.local ↔ thefamily.it o Szerverek megtalálása: SRV rekordok

DEMO 9  Forward Lookup Zones o A rekordok o SRV rekordok  Reverse Lookup Zones  Forwarders AD integrált DNS

10 AD belső felépítése  Partíciók o Tartomány o Konfiguráció szerverek, telephelyek o Séma osztályok, attribútumok o Egyéb alkalmazás  Elem megnevezése o CN: common name o DC: domain component

DEMO 11  Elem: belső attribútum nevek  Configuration  Séma, pl. User, People, Computer Sysinternals AD Explorer

12 További AD szolgáltatások  Active Directory Domain Services o Címtár, erről volt szó eddig  Active Directory Rights Management Services o DRM megoldás  Active Directory Federation Services o Címtárak összekapcsolása más felhasználókezelővel  Active Directory Certificate Services o Tanúsítványok kiállítása, központi kezelése  Active Directory Lightweight Directory Services o Saját alkalmazásunk adatainak tárolása a címtárban

13 Tartalom  Az Active Directory felépítése  Központosított felügyelet és jogosultságkezelés  AD elérése programozottan  Kitekintés

14 Központosított jogosultság kezelés  Egy gépen beállítottam a böngészőt, vírusirtót… o Mi lesz a többi 10-zel??  Megoldás: o Kézzel végigmegyek mindegyiken: 1000 gép esetén? o Script: aktuális állapot, frissítés? o Központi tárolás, érvényesítés, lekérdezés

15 Csoportházirend (Group Policy)  Windowsos gépek adminisztrálásához alap  ~3200 beállítás o start menü elemei, IE honlap…  Kötelezően érvényre jutó beállítások  Helyi rendszergazda nem tudja felülbírálni

16 Csoportházirend fajtái  Számítógép szintű o SW telepítés, tűzfal, Windows Update…  Felhasználó szintű o mappa átirányítás, képernyő beállítás, nyomtatók  Beépített: szoftver telepítés, biztonsági beállítás…  Felügyeleti sablon (admx fájl): kiegészítések  Policy vs. Preferences (Server 2008 óta)

17 Csoportházirend kiértékelés  Házirend: örökölhető, felül definálható  Tipikus értékek: Igen / Nem / Nem definiált  Helyi szintű házirend  Telephely szintű  Tartomány szintű  OU szintű (legalsóbb szintű felé)

DEMO 18  Group Policy Management Console o szerkesztés o eredő házirend  Group Policy Settings Reference XLS Csoportházirend

DEMO 19  Group Policy Management Console o Keresés (Angol billentyűzetkiosztás legyen!)  Beállítások: o Számítógép szintű: tűzfal bekapcsolása (helyi gépről nem kapcsolható ki) o Felhasználó: profil méret korlátozás  Frissítés: o gpupdate /force Csoportházirend

20 Saját GP készítése  Csoportházirend: XML leíró (ADMX fájl)  Saját alkalmazásunkhoz is készíthető ilyen o Nagyvállalati környezetben erősen ajánlott  Pl. Lenovo System Update Administrator ToolsLenovo System Update Administrator Tools

21 Tartalom  Az Active Directory felépítése  Központosított felügyelet és jogosultságkezelés  AD elérése programozottan  Kitekintés

22 AD elérése programozottan  ds* parancsok (pl. dsadd, dsquery) o Egyszerű műveletek  Tetszőleges LDAP kliens o Pl. Java-s kliensek is .NET interfészek o System.DirectoryServices névtér osztályai System.DirectoryServices  PowerShell o AD Service Interface (ADSI) o Active Directory module (Windows Server 2008 R2) Active Directory module

DEMO 23  ds* parancsok o dsadd o dsget o dsmod o dsmove o dsquery o dsrm  pl. dsquery user Parancssori kezelés

24 PowerShell + ADSI  LDAP objektum lekérése: PS C:\> $root = [ADSI]"" # binds to default domain PS C:\> $root distinguishedName : {DC=thefamily,DC=local} Path : LDAP://dc=thefamily,dc=local …  Objektum módosítása: $don = [ADSI]"LDAP://CN=Vito Mascarpone,OU=Executive, OU=Staff,DC=thefamily,DC=local" $don.Description = "the Don of the family" $don.SetInfo()  Bevezető: Working with Active DirectoryWorking with Active Directory

25 Keresés LDAP címtárban SearchRoot: honnan PageSize: hány elemet Scope: -Base: csak az az egy elem -OneLevel: gyerek közt -Subtree: teljes részfa

26 Keresés LDAP címtárban SearchRoot: honnan PageSize: hány elemet Scope: mik között -Base: csak az az egy elem -OneLevel: gyerek közt -Subtree: teljes részfa

27 Keresés LDAP címtárban SearchRoot: honnan PageSize: hány elemet Scope: mik között -Base: csak az az egy elem -OneLevel: gyerek közt -Subtree: teljes részfa

28 Keresés LDAP címtárban SearchRoot: honnan PageSize: hány elemet Scope: mik között -Base: csak az az egy elem -OneLevel: gyerek közt -Subtree: teljes részfa

29 Keresés LDAP címtárban SearchRoot: honnan PageSize: hány elemet Scope: mik között -Base: csak az az egy elem -OneLevel: gyerek közt -Subtree: teljes részfa Filter: mit keresünk

30 PowerShell + ADSI  Keresés: o System.DirectoryServices.DirectorySearcher  Leírás: o Searching Active Directory with Windows PowerShell Searching Active Directory with Windows PowerShell  Kereső kifejezés: o Példa: (&(cn=i*)(objectClass=group)) o Segítség: Sysinternals AD Explorer Search / Search Container -> GUI a kifejezés megírásához

DEMO 31 Keresés az AD-ben (ADSI) $strFilter = "(&(cn=i*)(objectClass=group))" $objDomain = [ADSI]"LDAP://DC=thefamily,DC=local" # create searcher, set search properties $objSearcher = New-Object System.DirectoryServices.DirectorySearcher $objSearcher.SearchRoot = $objDomain $objSearcher.PageSize = 1000 $objSearcher.Filter = $strFilter $objSearcher.SearchScope = "Subtree" # property name should be lower case! $colProplist = "name", "distinguishedname" $colPropList | % {$objSearcher.PropertiesToLoad.Add($_) > $null} # search for matching entries in the LDAP $colResults = $objSearcher.FindAll() # write out results $colResults | % {echo "Name: $($_.Properties.name), DN: $($_.Properties.distinguishedname)" }

32 AD module for PowerShell  Az előző megoldás nem túl „powershelles”  Windows Server 2008 R2-ban megjelent: o AD module for Windows PowerShell  Natív PowerShell cmdletek AD-hez (76 db), pl.: o Get-ADUser, Get-ADGroup o New-ADUser, NewADOrganizationalUnit o Set-ADAccountPassword, Set-ADObject o Search-ADAccount  AD Provider o AD: meghajtón keresztül elérhető a címtár

DEMO 33  AD Provider használata: cd AD: cd "DC=irfhf,DC=local"  Keresés: Get-ADGroup -Filter 'CN -like "e*"' -SearchScope Subtree -SearchBase "OU=People,DC=irfhf,DC=local" | % {echo "Name: $($_.name), DN: $($_.DistinguishedName)"}  Lásd még: o Get-Help about_ActiveDirectory* AD module for PowerShell

34 Tartalom  Az Active Directory felépítése  Központosított felügyelet és jogosultságkezelés  AD elérése programozottan  Kitekintés

35 Kitekintés  Készen vagyunk? OpenLDAP Active Directory

36 Identity management  Több, különböző felhasználói siló jött létre  Megoldások o Címtárak szinkronizációja o Metacímtár o Identity mgmt rendszer o…o…  További feladatok: o Munkafolyamatok: új alkalmazott, elbocsátás… o Jelentések készítése, elemzések

37 Összefoglalás  Active Directory o Windows alapú IT rendszer lelke o Kötelező ismerni vállalati környezetben  Csoportházirend o Központi felügyelet és jogosultság kezelés  Sokféle API az AD kezelésére  Felhasználókezelés: o Címtár: OK o Identity management: még csak most kezdődne…

38 További információ  Gál Tamás, Szabó Levente, Szerényi László: Rendszerfelügyelet rendszergazdáknak, Szak Kiadó, Rendszerfelügyelet rendszergazdáknak  Microsoft Technet: Active Directory ServicesActive Directory Services o Planning, Deployment, Operations, Troubleshoot