Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék Active Directory Micskei Zoltán Intelligens rendszerfelügyelet (VIMIA370)
2 Az előző részek Modellezés Szkriptelés Központosított felhasználókezelés, címtárak o LDAP o Active Directory
3 Active Directory (AD) Microsoft címtár implementációja Infrastruktúra alapja o hitelesítés, menedzsment o sok szervertermék és alkalmazás igényli Tárolt elemek o felhasználók, csoportok o gépek, nyomtatók o megosztott könyvtárak o…o…
4 AD címtár szerkezete Fa szerkezet, LDAP címtár (csak el van fedve:) Hierarchia eleme: szervezeti egység (organizational unit) Struktúra kialakításának alapja: Delegálás Házirendek
DEMO 5 o fa szerkezet, tárolók és elemek o felhasználó létrehozása nevek, jelszó opciók o felhasználó tulajdonságai adatok, címek, profil, dial-in o csoport jogosultságosztás (RBAC) levélküldés AD Users and Computers
6 AD tartományok parent thefamily.local ou maffia.local Domain tree root Forest root tree root child north.thefamily.local child south.thefamily.local Tartomány Fa Erdő Tartomány Fa Erdő
7 AD működése Tartományvezérlő (Domain Controller, DC) Címtár adatbázis o C:\WINDOWS\NTDS\ntds.dit o SYSVOL megosztás: házirend, logon script DNS o AD tartomány ↔ publikus DNS név thefamily.local ↔ thefamily.it o Szerverek megtalálása: SRV rekordok
DEMO 8 Forward Lookup Zones o A rekordok o SRV rekordok Reverse Lookup Zones Forwarders AD integrált DNS
9 AD belső felépítése Partíciók o Tartomány o Konfiguráció szerverek, telephelyek o Séma osztályok, attribútumok o Egyéb alkalmazás Gyakori attribútumok o CN: common name o DC: domain component
DEMO 10 Bejegyzések: belső attribútum nevek Configuration Séma: pl. User, People, Computer Sysinternals AD Explorer
11 További AD szolgáltatások Active Directory Domain Services o Címtár, erről volt szó eddig Active Directory Rights Management Services o DRM megoldás Active Directory Federation Services o Címtárak összekapcsolása más felhasználókezelővel Active Directory Certificate Services o Tanúsítványok kiállítása, központi kezelése Active Directory Lightweight Directory Services o Saját alkalmazásunk adatainak tárolása a címtárban
12 Tartalom Az Active Directory felépítése Központosított felügyelet és jogosultságkezelés AD elérése programozottan Kitekintés
13 Központosított jogosultságkezelés Egy gépen beállítottam a böngészőt, vírusirtót… o Mi lesz a többi 10-zel?? Megoldás: o Kézzel végigmegyek mindegyiken: 1000 gép esetén? o Szkript: aktuális állapot, frissítés? o Központi tárolás, érvényesítés, lekérdezés
14 Csoportházirend (Group Policy) Windowsos gépek adminisztrálásához alap ~3500 beállítás o start menü elemei, IE honlap… Kötelezően érvényre jutó beállítások Helyi rendszergazda nem tudja felülbírálni
15 Csoportházirend fajtái Számítógép szintű o SW telepítés, tűzfal, Windows Update… Felhasználó szintű o mappa átirányítás, képernyő beállítás, nyomtatók Beépített: szoftver telepítés, biztonsági beállítás… Felügyeleti sablon (admx fájl): kiegészítések Policy vs. Preferences (Server 2008 óta)
16 Csoportházirend kiértékelés Házirend: örökölhető, felül definálható Tipikus értékek: Igen / Nem / Nem definiált Helyi szintű házirend Telephely szintű Tartomány szintű OU szintű (legalsóbb szintű felé)
DEMO 17 Group Policy Management Console o szerkesztés o eredő házirend Group Policy Settings Reference XLS Csoportházirend
DEMO 18 Group Policy Management Console o Keresés (Angol billentyűzetkiosztás legyen!) Beállítások: o Számítógép szintű: tűzfal bekapcsolása (helyi gépről nem kapcsolható ki) o Felhasználó: profil méretének korlátozása Frissítés: o gpupdate /force Csoportházirend
19 Saját GP készítése Csoportházirend: XML leíró (ADMX fájl) Saját alkalmazásunkhoz is készíthető ilyen o Nagyvállalati környezetben erősen ajánlott Pl. Lenovo System Update Administrator ToolsLenovo System Update Administrator Tools
20 Tartalom Az Active Directory felépítése Központosított felügyelet és jogosultságkezelés AD elérése programozottan Kitekintés
21 AD elérése programozottan ds* parancsok (pl. dsadd, dsquery ) o Egyszerű műveletek Tetszőleges LDAP kliens o Pl. Java-s kliensek is .NET kódból o System.DirectoryServices névtér osztályai PowerShell o AD Service Interface (ADSI) o Active Directory module (Windows Server 2008 R2)
22 ActiveDirectory module for PowerShell Windows Server 2008 R2-ban megjelent: o ActiveDirectory modul PowerShellhez Natív PowerShell cmdletek AD-hez (147 db) AD Provider o AD: meghajtón keresztül elérhető a címtár
23 ActiveDirectory modul architektúrája
24 ActiveDirectory cmdletek
25 Keresés LDAP címtárban SearchRoot: honnan PageSize: hány elemet Scope: mik között -Base: csak az az egy elem -OneLevel: gyerek közt -Subtree: teljes részfa
26 Keresés LDAP címtárban SearchRoot: honnan PageSize: hány elemet Scope: mik között -Base: csak az az egy elem -OneLevel: gyerek közt -Subtree: teljes részfa
27 Keresés LDAP címtárban SearchRoot: honnan PageSize: hány elemet Scope: mik között -Base: csak az az egy elem -OneLevel: gyerek közt -Subtree: teljes részfa
28 Keresés LDAP címtárban SearchRoot: honnan PageSize: hány elemet Scope: mik között -Base: csak az az egy elem -OneLevel: gyerek közt -Subtree: teljes részfa
29 Keresés LDAP címtárban SearchRoot: honnan PageSize: hány elemet Scope: mik között -Base: csak az az egy elem -OneLevel: gyerek közt -Subtree: teljes részfa Filter: mit keresünk
DEMO 30 AD Provider használata: cd AD: cd "DC=irfhf,DC=local" Keresés: Get-ADGroup -Filter 'CN -like "e*"' -SearchScope Subtree -SearchBase "OU=People,DC=irfhf,DC=local" | % {echo "Name: $($_.name), DN: $($_.DistinguishedName)"} Lásd még: o Get-Help about_ActiveDirectory* AD module for PowerShell
31 Tartalom Az Active Directory felépítése Központosított felügyelet és jogosultságkezelés AD elérése programozottan Kitekintés
32 Kitekintés Készen vagyunk? OpenLDAP Active Directory
33 Identity management Több, különböző felhasználói siló jött létre Megoldások o Címtárak szinkronizációja o Metacímtár o Identity mgmt rendszer o…o… További feladatok: o Munkafolyamatok: új alkalmazott, elbocsátás… o Jelentések készítése, elemzések
34 Összefoglalás Active Directory o Windows alapú IT rendszer lelke o Kötelező ismerni vállalati környezetben Csoportházirend o Központi felügyelet és jogosultság kezelés Sokféle API az AD kezelésére Felhasználókezelés: o Címtár: OK o Identity management: még csak most kezdődne…
35 További információ Active Directory: Gál Tamás, Szabó Levente, Szerényi László: Rendszerfelügyelet rendszergazdáknak, Szak Kiadó, Rendszerfelügyelet rendszergazdáknak Gál Tamás: Windows Server 2008 R2 – A kihívás állandó, JOS, (WS 2008 R2 újdonságok)Windows Server 2008 R2 – A kihívás állandó Microsoft Technet: Active Directory ServicesActive Directory Services o Planning, Deployment, Operations, Troubleshoot ActiveDirectory PowerShell modul: Active Directory PowerShell blog Active Directory PowerShell Soós Tibor: Microsoft PowerShell 2.0 rendszergazdáknak – elmélet és gyakorlat, 2010.Microsoft PowerShell 2.0 rendszergazdáknak – elmélet és gyakorlat