Előadást letölteni
1
Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék Active Directory Micskei Zoltán http://home.mit.bme.hu/~micskeiz/ Intelligens rendszerfelügyelet
2
2 Az előző részek Modellezés Központosított felhasználókezelés, címtárak o LDAP o Active Directory
3
Active Directory Kibocsátó: (nem szabvány, LDAP-on alapuló egyedi megoldás) Megalkotók: Microsoft Verziók: Windows 2000-ben jelent meg, aktuális: Windows Server 2008 R2 Cél: Központi címtár az infrastruktúrában
4
4 Active Directory Microsoft címtár implementációja Infrastruktúra alapja o hitelesítés, menedzsment o sok szervertermék és alkalmazás igényli Tárolt elemek o felhasználók, csoportok o gépek, nyomtatók o megosztott könyvtárak o…o…
5
5 AD címtár szerkezete Fa szerkezet, LDAP címtár (csak el van fedve:) Hierarchia eleme: szervezeti egység (organizational unit) Struktúra kialakításának alapja: Delegálás Házirendek
6
DEMO 6 o fa szerkezet, tárolók és elemek o felhasználó létrehozása nevek, jelszó opciók o felhasználó tulajdonságai adatok, címek, profil, dial-in o csoport jogosultságosztás (RBAC) levélküldés AD Users and Computers
7
7 AD szerkezet parent thefamily.local ou maffia.local Domain tree root Forest root and tree root child west.thefamily.local child east.thefamily.local Tartomány Fa Erdő Tartomány Fa Erdő
8
8 AD működése Tartományvezérlő (Domain Controller, DC) Címtár adatbázis o C:\WINDOWS\NTDS\ntds.dit o SYSVOL megosztás: házirend, logon script DNS o AD tartomány ↔ publikus DNS név thefamily.local ↔ thefamily.it o Szerverek megtalálása: SRV rekordok
9
DEMO 9 Forward Lookup Zones o A rekordok o SRV rekordok Reverse Lookup Zones Forwarders AD integrált DNS
10
10 AD belső felépítése Partíciók o Tartomány o Konfiguráció szerverek, telephelyek o Séma osztályok, attribútumok o Egyéb alkalmazás Elem megnevezése o CN: common name o DC: domain component
11
DEMO 11 Elem: belső attribútum nevek Configuration Séma, pl. User, People, Computer Sysinternals AD Explorer
12
12 További AD szolgáltatások Active Directory Domain Services o Címtár, erről volt szó eddig Active Directory Rights Management Services o DRM megoldás Active Directory Federation Services o Címtárak összekapcsolása más felhasználókezelővel Active Directory Certificate Services o Tanúsítványok kiállítása, központi kezelése Active Directory Lightweight Directory Services o Saját alkalmazásunk adatainak tárolása a címtárban
13
13 Tartalom Az Active Directory felépítése Központosított felügyelet és jogosultságkezelés AD elérése programozottan Kitekintés
14
14 Központosított jogosultság kezelés Egy gépen beállítottam a böngészőt, vírusirtót… o Mi lesz a többi 10-zel?? Megoldás: o Kézzel végigmegyek mindegyiken: 1000 gép esetén? o Script: aktuális állapot, frissítés? o Központi tárolás, érvényesítés, lekérdezés
15
15 Csoportházirend (Group Policy) Windowsos gépek adminisztrálásához alap ~3200 beállítás o start menü elemei, IE honlap… Kötelezően érvényre jutó beállítások Helyi rendszergazda nem tudja felülbírálni
16
16 Csoportházirend fajtái Számítógép szintű o SW telepítés, tűzfal, Windows Update… Felhasználó szintű o mappa átirányítás, képernyő beállítás, nyomtatók Beépített: szoftver telepítés, biztonsági beállítás… Felügyeleti sablon (admx fájl): kiegészítések Policy vs. Preferences (Server 2008 óta)
17
17 Csoportházirend kiértékelés Házirend: örökölhető, felül definálható Tipikus értékek: Igen / Nem / Nem definiált Helyi szintű házirend Telephely szintű Tartomány szintű OU szintű (legalsóbb szintű felé)
18
DEMO 18 Group Policy Management Console o szerkesztés o eredő házirend Group Policy Settings Reference XLS Csoportházirend
19
DEMO 19 Group Policy Management Console o Keresés (Angol billentyűzetkiosztás legyen!) Beállítások: o Számítógép szintű: tűzfal bekapcsolása (helyi gépről nem kapcsolható ki) o Felhasználó: profil méret korlátozás Frissítés: o gpupdate /force Csoportházirend
20
20 Saját GP készítése Csoportházirend: XML leíró (ADMX fájl) Saját alkalmazásunkhoz is készíthető ilyen o Nagyvállalati környezetben erősen ajánlott Pl. Lenovo System Update Administrator ToolsLenovo System Update Administrator Tools
21
21 Tartalom Az Active Directory felépítése Központosított felügyelet és jogosultságkezelés AD elérése programozottan Kitekintés
22
22 AD elérése programozottan ds* parancsok (pl. dsadd, dsquery) o Egyszerű műveletek Tetszőleges LDAP kliens o Pl. Java-s kliensek is .NET interfészek o System.DirectoryServices névtér osztályai System.DirectoryServices PowerShell o AD Service Interface (ADSI) o Active Directory module (Windows Server 2008 R2) Active Directory module
23
DEMO 23 ds* parancsok o dsadd o dsget o dsmod o dsmove o dsquery o dsrm pl. dsquery user Parancssori kezelés
24
24 PowerShell + ADSI LDAP objektum lekérése: PS C:\> $root = [ADSI]"" # binds to default domain PS C:\> $root distinguishedName : {DC=thefamily,DC=local} Path : LDAP://dc=thefamily,dc=local … Objektum módosítása: $don = [ADSI]"LDAP://CN=Vito Mascarpone,OU=Executive, OU=Staff,DC=thefamily,DC=local" $don.Description = "the Don of the family" $don.SetInfo() Bevezető: Working with Active DirectoryWorking with Active Directory
![24 PowerShell + ADSI LDAP objektum lekérése: PS C:\> $root = [ADSI] # binds to default domain PS C:\> $root distinguishedName : {DC=thefamily,DC=local} Path : LDAP://dc=thefamily,dc=local … Objektum módosítása: $don = [ADSI] LDAP://CN=Vito Mascarpone,OU=Executive, OU=Staff,DC=thefamily,DC=local $don.Description = the Don of the family $don.SetInfo() Bevezető: Working with Active DirectoryWorking with Active Directory](http://images.slideplayer.hu/8/2089319/slides/slide_24.jpg "24 PowerShell + ADSI LDAP objektum lekérése: PS C:\> $root = [ADSI] # binds to default domain PS C:\> $root distinguishedName : {DC=thefamily,DC=local} Path : LDAP://dc=thefamily,dc=local … Objektum módosítása: $don = [ADSI] LDAP://CN=Vito Mascarpone,OU=Executive, OU=Staff,DC=thefamily,DC=local $don.Description = the Don of the family $don.SetInfo() Bevezető: Working with Active DirectoryWorking with Active Directory")
25
25 Keresés LDAP címtárban SearchRoot: honnan PageSize: hány elemet Scope: -Base: csak az az egy elem -OneLevel: gyerek közt -Subtree: teljes részfa
26
26 Keresés LDAP címtárban SearchRoot: honnan PageSize: hány elemet Scope: mik között -Base: csak az az egy elem -OneLevel: gyerek közt -Subtree: teljes részfa
27
27 Keresés LDAP címtárban SearchRoot: honnan PageSize: hány elemet Scope: mik között -Base: csak az az egy elem -OneLevel: gyerek közt -Subtree: teljes részfa
28
28 Keresés LDAP címtárban SearchRoot: honnan PageSize: hány elemet Scope: mik között -Base: csak az az egy elem -OneLevel: gyerek közt -Subtree: teljes részfa
29
29 Keresés LDAP címtárban SearchRoot: honnan PageSize: hány elemet Scope: mik között -Base: csak az az egy elem -OneLevel: gyerek közt -Subtree: teljes részfa Filter: mit keresünk
30
30 PowerShell + ADSI Keresés: o System.DirectoryServices.DirectorySearcher Leírás: o Searching Active Directory with Windows PowerShell Searching Active Directory with Windows PowerShell Kereső kifejezés: o Példa: (&(cn=i*)(objectClass=group)) o Segítség: Sysinternals AD Explorer Search / Search Container -> GUI a kifejezés megírásához
31
DEMO 31 Keresés az AD-ben (ADSI) $strFilter = "(&(cn=i*)(objectClass=group))" $objDomain = [ADSI]"LDAP://DC=thefamily,DC=local" # create searcher, set search properties $objSearcher = New-Object System.DirectoryServices.DirectorySearcher $objSearcher.SearchRoot = $objDomain $objSearcher.PageSize = 1000 $objSearcher.Filter = $strFilter $objSearcher.SearchScope = "Subtree" # property name should be lower case! $colProplist = "name", "distinguishedname" $colPropList | % {$objSearcher.PropertiesToLoad.Add($_) > $null} # search for matching entries in the LDAP $colResults = $objSearcher.FindAll() # write out results $colResults | % {echo "Name: $($_.Properties.name), DN: $($_.Properties.distinguishedname)" }
![DEMO 31 Keresés az AD-ben (ADSI) $strFilter = (&(cn=i*)(objectClass=group)) $objDomain = [ADSI] LDAP://DC=thefamily,DC=local # create searcher, set search properties $objSearcher = New-Object System.DirectoryServices.DirectorySearcher $objSearcher.SearchRoot = $objDomain $objSearcher.PageSize = 1000 $objSearcher.Filter = $strFilter $objSearcher.SearchScope = Subtree # property name should be lower case.](http://images.slideplayer.hu/8/2089319/slides/slide_31.jpg "$colProplist = name , distinguishedname $colPropList | % {$objSearcher.PropertiesToLoad.Add($_) > $null} # search for matching entries in the LDAP $colResults = $objSearcher.FindAll() # write out results $colResults | % {echo Name: $($_.Properties.name), DN: $($_.Properties.distinguishedname) }.")
32
32 AD module for PowerShell Az előző megoldás nem túl „powershelles” Windows Server 2008 R2-ban megjelent: o AD module for Windows PowerShell Natív PowerShell cmdletek AD-hez (76 db), pl.: o Get-ADUser, Get-ADGroup o New-ADUser, NewADOrganizationalUnit o Set-ADAccountPassword, Set-ADObject o Search-ADAccount AD Provider o AD: meghajtón keresztül elérhető a címtár
33
DEMO 33 AD Provider használata: cd AD: cd "DC=irfhf,DC=local" Keresés: Get-ADGroup -Filter 'CN -like "e*"' -SearchScope Subtree -SearchBase "OU=People,DC=irfhf,DC=local" | % {echo "Name: $($_.name), DN: $($_.DistinguishedName)"} Lásd még: o Get-Help about_ActiveDirectory* AD module for PowerShell
34
34 Tartalom Az Active Directory felépítése Központosított felügyelet és jogosultságkezelés AD elérése programozottan Kitekintés
35
35 Kitekintés Készen vagyunk? OpenLDAP Active Directory
36
36 Identity management Több, különböző felhasználói siló jött létre Megoldások o Címtárak szinkronizációja o Metacímtár o Identity mgmt rendszer o…o… További feladatok: o Munkafolyamatok: új alkalmazott, elbocsátás… o Jelentések készítése, elemzések
37
37 Összefoglalás Active Directory o Windows alapú IT rendszer lelke o Kötelező ismerni vállalati környezetben Csoportházirend o Központi felügyelet és jogosultság kezelés Sokféle API az AD kezelésére Felhasználókezelés: o Címtár: OK o Identity management: még csak most kezdődne…
38
38 További információ Gál Tamás, Szabó Levente, Szerényi László: Rendszerfelügyelet rendszergazdáknak, Szak Kiadó, 2007. Rendszerfelügyelet rendszergazdáknak Microsoft Technet: Active Directory ServicesActive Directory Services o Planning, Deployment, Operations, Troubleshoot
