Windows Server 2003 Active Directory Group Policy Remote Installation Services Fülöp Miklós Microsoft Magyarország
A központi címtár Együttműködés Integráció Kiszolgálók Ügyfelek Szolgáltatás Nyomtató Megosztás Házirend Ügyfelek Beállítások Hálózatok Házirend Felhasználók Fiók info Jogosultság Házirend Más címtárak Yellow pages Elektronikus kereskedelem Portálok Központi MGMT Felhasználók Erőforrások Biztonság Delegáció Házirend Hálózati eszközök Konfiguráció Cisco CNS/AD QoS Biztonság Active Directory Hálózati kiszolgálók Áttérés Szinkronizáció Single Sign-On Alkalmazások Szerver konfiguráció Single Sign-On Alkalmazás specifikus információk Tűzfal szolgáltatás Konfiguráció VPN beállítások E-Mail kiszolgálók Postafiók info Levelezési lista Együttműködés Integráció
A címtárak alapfogalmai Objektum Szervezeti egység Tartományok és altartományok Erdő Séma Globális katalógus Névhasználati környezet Partíció
Objektum A címtár elemi egysége Tulajdonságok Metódusok Előre definiált objektumok User User Group (nem azonos a szervezeti egységgel) Computer, Domain Controller Printer, File share
Szervezeti egység (OU) Az adatok struktúrált tárolását segíti Objektumokat vagy más tárolókat tartalmaz Segíti az elosztott adminisztrációt 12-es mélységben ágyazható egymásba, de 3 fölé ne menjünk
Tartomány Az AD egy partíciója A partíción belüli adatokért a tartomány verzérlői (DC) felelősek A tartomány tartalmazza az OU-k fastruktúráját Az AD önálló adminisztratív egysége Az OU-k tulajdonságai csak a tartományokon belül öröklődnek
Az Active Directory kettős fastruktúrája Több tartomány: Elosztott felügyelet Egy tartomány: Központi felügyelet A tartományok fát alkotnak. A központi adminisztrációt segíti. Legalább egy tartományvezérlő tartományonként.
IntelliMirror ™ Windows 2000 szerver Kövessenek: Windows 2000 Pro Windows 2000 Pro Windows 2000 szerver Kövessenek: a dokumentumaim az alkalmazásaim a beállításaim Windows 2000 Pro
Csoportházirend (Group Policy) Mi az a csoportházirend (Group Policy)? A Windows operációs rendszer és alkalmazások központi beállításai, amelyek automatikusan érvényre jut(hat)nak a tartomány minden felhasználója / számítógépe esetén Mindenkire érvényesül a csoportházirend? Igen, amennyiben az adott felhasználó / számítógép a csoportházirend hatóköre alá esik ld. később: „A csoportházirend kiértékelése” Mikor érvényesül a csoportházirend? A számítógép indulásakor / a felhasználó bejelentkezésekor Munkaállomásokon 90, tartományvezérlőkön 5 percenként folyamatosan Kézzel kezdeményezve (gpupdate)
Csoportházirend (Group Policy) Ki / Mi érvényesíti a csoportházirend beállításait? A Windows 2000 / XP / 2003 operációs rendszer beépített csoportházirend-kezelő komponense Szükség van-e a csoportházirend érvényesítéséhez a felhasználó jogosultságaira? Nem, a beállításokat az operációs rendszer végzi el, a helyi számítógép teljes hozzáférésével Maradandóak-e a csoportházirend módosításai? Nem, a csoportházirend beállításai minden alkalommal újra kiértékelésre kerülnek A változtatások nem módosítják pl. a regisztrációs adatbázis tartalmát (nincs „tetoválás”) (pl. „A” felhasználó: szabad, „B” felhasználó: nem szabad)
Milyen beállításokat tartalmaz egy csoportházirend-objektum? Számítógép-beállítások Felhasználói beállítások
Szoftverbeállítások Központi szoftvertelepítés (MSI csomagok) Számítógéphez rendelve automatikusan Felhasználóhoz rendelve automatikusan, vagy a felhasználó számára „meghirdetve” (Programok hozzáadása / eltávolítása varázsló) A telepítéshez nincs szükség a felhasználó jogosultságaira a telepítést a Windows Installer szolgáltatás végzi akár a felhasználó beavatkozása nélkül is
Szoftverbeállítások Ha a szoftvert felhasználóhoz rendeljük, és meghirdetjük, a felhasználó a szoftver telepítését önmaga kezdeményezheti a szoftver ikonjai a telepítés előtt megjelennek a Start menüben az ikonra kattintva megkezdődik az automatikus telepítés a kezelt fájlok kiterjesztése a telepítés előtt hozzárendelődik a szoftverhez egy fájlt (pl. .doc) megnyitva automatikusan feltelepül a hozzárendelt szoftver (pl. Microsoft Word)
Parancsfájlok Automatikusan futtatott parancsfájlok a számítógép... indulásakor leállítása előtt a felhasználó bejelentkezésekor kijelentkezése után
Biztonsági beállítások (számítógép) Fiókházirend Jelszóházirend hossz, lejárati idő, bonyolultság... Fiókzárolási házirend időtartam, küszöb, ... Helyi házirend Naplózás beállításai Felhasználói jogok kiosztása pl. helyi bejelentkezés, rendszeridő megváltoztatása, stb. Biztonsági beállítások pl. felhasználóazonosítási eljárások, eszközök elérése, stb.
Biztonsági beállítások (számítógép) Eseménynaplók beállításai Eseménynaplók mérete Eseménynaplók megőrzési módja Korlátozott csoportok Megadott helyi / tartományi csoportok tagságának kikényszerítése 90 / 5 percenként kiértékelődik Rendszerszolgáltatások Futó / futtatható rendszerszolgáltatások Rendszerszolgáltatások indítási állapota Rendszerszolgáltatások felhasználói fiókjai
Biztonsági beállítások (számítógép) Rendszerleíró adatbázis (registry) Bármely registry kulcs elérési jogosultságainak távoli, tömeges beállítása Fájlrendszer Bármely fájl / mappa elérési jogosultságainak távoli, tömeges beállítása Változók használhatók! pl. %SYSTEMROOT% Vezeték nélküli hálózat házirendjei
Biztonsági beállítások (számítógép) Nyilvános kulcsú infrastruktúra (PKI) irányelvei a titkosított fájlrendszer (EFS) helyreállítási ügynök tanúsítványa automatikus tanúsítványkérelem megbízható legfelső szintű hitelesítésszolgáltatók közzététele vállalati szintű megbízhatósági listák közzététele IP-biztonsági (IPSec) házirendek
Szoftverkorlátozó házirendek (Windows XP-től): a számítógépen / felhasználó által futtatható szoftverek / elérhető registry kulcsok köre korlátozható Két fő működési mód: mindent szabad, kivéve... mindent tilos, kivéve... Kivétel definiálható: Fájlnév / elérési út alapján A fájl ujjlenyomata (hash) alapján = a fájl átnevezése nem segít! A fájl digitális tanúsítványa alapján Internetes zóna alapján
Mappák átirányítása A felhasználók főbb mappáinak automatikus átirányítása központi helyre: Application Data az alkalmazások által használt fontos terület a felhasználói profilban Asztal vállalati szabványos asztal, szabványos tartalommal Start menü szabványos start menü Dokumentumok központi adattárolás = sokkal jobb adatmentés!
Az alkalmazások beállításai Windows komponensek és alkalmazások beállításai A csoportházirend-objektumok bővíthetők pl. Office beállítások Office telepítés után saját igények szerint pl. saját registry-beállítás, saját szoftver paraméterei, stb. Néhány alapértelmezett beállítás: Internet Explorer Internet vezérlőpult, proxy beállítások, kedvencek listája, felhasználói felület, címsor, stb. testreszabása Internetes zónák, biztonsági beállítások
Az alkalmazások beállításai Windows-összetevők: NetMeeting, Internet Explorer, Súgó és támogatás Windows Intéző Microsoft Management Console Feladatütemező Terminálszolgáltatások Windows Installer Windows Update ... részletes beállításai
Az alkalmazások beállításai Start menü és tálca Asztal Vezérlőpult Megosztott mappák Hálózat Hálózati kapcsolatok, DNS ügyfél, QoS, SNMP beállítások Kapcsolat nélküli fájlok Windows Tűzfal (Windows XP SP2) Rendszer Felhasználói profilok Parancsfájlok futtatási módja Energiagazdálkodás ...
Az Active Directory felépítése Logikai: fizikai hálózattól független látásmód Tartományok Szervezeti egységek Fizikai: a logikaitól független, hálózat-alapú Active Directory telephely: egy nagysebességű, megbízható hálózati kapcsolattal összekötött Active Directory összetevők összessége kiszolgálók ügyfelek Egy telephelyen több tartomány is tartózkodhat
A csoportházirend kiértékelése Csoportházirendet találunk / hozhatunk létre: a helyi számítógépen a számítógépre, illetve a rá mindenkor bejelentkezett felhasználókra érvényes beállítások az Active Directory különböző szintjein: szervezeti egységeken pl. Default Domain Controllers Policy tartományokban pl. Default Domain Policy Active Directory fizikai telephelyekhez kötve (akár több tartomány között is)
A csoportházirend kiértékelése A csoportházirend-objektumok az Active Directory-n belül öröklődnek msdemos.hu (tartomány) Teszt felhasználók (szervezeti egység, OU) Pénzügy (OU) Forint (OU) Az öröklődés blokkolható
A csoportházirend kiértékelése Egy szinten belül a csoportházirendek kiértékelési sorrendje meghatározható A beállítások kiegészítik egymást Konfliktus esetén a későbbi beállítás „győz” A házirend... beállításai kötelezővé tehetők letiltható
A csoportházirend kiértékelési sorrendje Helyi házirend Active Directory telephely házirendjei Tartomány házirendjei Szervezeti egységek házirendjei
A csoportházirend kiértékelése Kire érvényes a csoportházirend? Arra a felhasználóra / számítógépre, a.) aki az adott szervezeti egységben / tartományban / Active Directory telephelyen található b.) és akinek Olvasási és Alkalmazási joga van az adott csoportházirend-objektumon alapértelmezés: minden tartományi felhasználó és számítógép c.) és akire érvényes az esetleg megadott WMI szabály WMI szabály: a számítógép hardverparaméterei, pl. memória > 256MB
GPO WMI szűrő példák Számítógép típusára Operációs rendszerre Root\CimV2; Select * from Win32_ComputerSystem where manufacturer = "Toshiba" and Model = "Tecra 8000" OR Model = "Tecra 8100" Operációs rendszerre Root\CimV2; Select * from Win32_OperatingSystem where Caption = "Microsoft Windows 2000 Advanced Server" OR Caption = "Microsoft Windows 2000 Server" Erőforrás paramétereire Root\CimV2; Select * from Win32_LogicalDisk where FreeSpace > 629145600 AND Description <> "Network Connection" Hardverkonfigurációra Root\cimv2; Associators of {win32_IRQResource.IRQNumber=11} where resultclass = Win32_NetworkAdapter
Csoportházirend-kezelő eszközök Csoportházirend-objektum szerkesztő MMC modul Kiszolgálón és munkaállomáson egyaránt Resultant Set of Policy Eredő házirend Csoportházirend menedzsment konzol Group Policy Management Console (GPMC) Eredő csoportházirend-beállítások kiértékelése Beállítások forrásának keresése Riportok Kiértékelési tesztek (mi lenne, ha?)
Resultant Set of Policy (RSoP) Az eredő GPO beállítások lekérdezése A beállítások mellett azok forrása is látszik WMI-alapú Logging üzemmód Az aktuális számítógépen, a bejelentkezett felhasználóra érvényes beállítások összegyűjtése Planning üzemmód Adott számítógépen, adott felhasználóra érvényes beállítások kiszámítása "Mi lenne, ha?" – esetek (pl. csoporttagság módosítása, stb.) Az ADUC-ból vagy külön MMC konzolként indítható HTML kimenet a Help and Support Center-en keresztül
Távtelepítési szolgáltatás Remote Installation Services: Operációs rendszer távoli, automatikus telepítése Teljesen „üres” számítógépre is A felhasználó beavatkozása nélkül Távtelepítési szolgáltatások csoportházirend-beállításai A felhasználó távtelepítési jogosultságai Hozzáférés a távtelepítés beállításaihoz
Távtelepítési szolgáltatás Hálózatról indítható telepítés szkriptelt telepítés (RISetup) image alapú telepítés (RIPrep) PXE szabványt támogató hálókártya esetén automatikusan elindul a telepítés PXE-t nem támogató kártyákhoz boot floppy támogatás a termék CD-n
Remote Installation Services (RIS) Automatikus teljes (RISetup) és image (RIPrep) telepítés: Windows 2000 Professional, Server, Advanced Server Windows XP Professional Windows Server 2003, Web Edition, Standard Edition Windows Server 2003, Enterprise Edition, Datacenter Edition Csak RISetup: 64 bites Windows Server 2003 Enterprise Edition és Datacenter Edition
A távtelepítés működése Ügyfélgép DHCP kiszolgáló 1 Az ügyfélgép IP címet kér A DHCP kiszolgáló kiosztja az IP címet 1 2 2 3 Az ügyfél a RIS kiszolgálóhoz fordul 3 6 A RIS kiszolgáló a címtárban megnézi, elő van-e készítve az ügyfél (pre-stage) 4 A RIS vagy válaszol, vagy egy másik RIS kiszolgáló felé küldi a kérést 5 5 4 A RIS elküldi a startrom.com-ot az ügyfélnek, elindul az OSChoice menü 6 RIS kiszolgáló Active Directory DC
Szükséges alapszolgáltatások DHCP Domain Name Service IP cím kiadása a RIS kliens számára Segít az Active Directory keresésében Active Directory Információk a RIS kiszolgálóról és a leendö kliensröl The Remote Installation Services rely on several other Windows Whistler Server technologies in order to work. Specifically: The DHCP service is used to assign an IP address to a remote boot-enabled client computer and to identify which Remote Installation Servers are available on the network. The Domain Name Service is used to locate the directory service that will be used to authorize client computers. The Active Directory is used to restrict or control which RIS servers will respond to specific clients that request an operating system. Finally, the Remote Installation Services are used manage and optimize the storage of operating system images and to process requests from client computers.
Használt technológiák Pre-boot Execution Environment (PXE) Hálózati csatolóba épített protokoll Nem kompatibilis kártyák esetén floppy Boot Information Negotiation Layer (BINL) Alapszintű kapcsolat a kliens és az Active Directory között Single Instance Store (SIS) NTFS komponens: helytakarékos tárolás az azonos fájlok kiszűrésével Trivial File Transfer Protocol (TFTP) Alapvető telepítőkomponensek letöltése
Mi a Pre-staging? Biztonsági szempontból előre meghatározhatjuk, mely kliensek települhetnek „Kézi” terheléselosztás a RIS szerverek között PXE GUID és RIS szerver összerendelése az Active Directory-ban
Pre-staging Pre-staged Computer1 Computer2 Computer3 Image Computer3 Pre-staging client computers allows you to restrict which computers can be installed over the network. This is primarily done for security reasons but another benefit of pre-staging client computers is that you can provide some basic load balancing capabilities by directing specific computers to receive their images from pre-determined RIS servers. Computer3 Computer4
Image-típusok CD-alapú image-k Teljes, automatikus telepítés Válaszscriptek generálhatók Heterogén hardverkörnyezetben is működik Remote Installation Preparation (RIPrep) Telepített, konfigurált operációs rendszer + alkalmazásokról készült fájlszintű image Accounting vs. Marketing vs. IIS server
© 2003 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.