Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék Active Directory Micskei Zoltán

Hasonló előadás


Az előadások a következő témára: "Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék Active Directory Micskei Zoltán"— Előadás másolata:

1 Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék Active Directory Micskei Zoltán http://mit.bme.hu/~micskeiz/ Intelligens rendszerfelügyelet

2 2 Az előző részek  Modellezés  Központosított felhasználókezelés, címtárak o LDAP o Active Directory

3 3 Active Directory  Microsoft címtár implementációja  Infrastruktúra alapja o hitelesítés, menedzsment o sok szervertermék és alkalmazás igényli  Tárolt elemek o felhasználók, csoportok o gépek, nyomtatók o megosztott könyvtárak o…o…

4 4 AD címtár szerkezete  Fa szerkezet, LDAP címtár (csak el van fedve:)  Hierarchia eleme: szervezeti egység (organizational unit)  Struktúra kialakításának alapja:  Delegálás  Házirendek

5 DEMO 5 o fa szerkezet, tárolók és elemek o felhasználó létrehozása nevek, jelszó opciók o felhasználó tulajdonságai adatok, címek, profil, dial-in o csoport jogosultságosztás (RBAC) levélküldés AD Users and Computers

6 6 AD szerkezet parent thefamily.local ou maffia.local Domain tree root Forest root and tree root child north.thefamily.local child south.thefamily.local Tartomány Fa Erdő Tartomány Fa Erdő

7 7 AD működése  Tartományvezérlő (Domain Controller, DC)  Címtár adatbázis o C:\WINDOWS\NTDS\ntds.dit o SYSVOL megosztás: házirend, logon script  DNS o AD tartomány ↔ publikus DNS név thefamily.local ↔ thefamily.it o Szerverek megtalálása: SRV rekordok

8 DEMO 8  Forward Lookup Zones o A rekordok o SRV rekordok  Reverse Lookup Zones  Forwarders AD integrált DNS

9 9 AD belső felépítése  Partíciók o Tartomány o Konfiguráció szerverek, telephelyek o Séma osztályok, attribútumok o Egyéb alkalmazás  Elem megnevezése o CN: common name o DC: domain component

10 DEMO 10  Elem: belső attribútum nevek  Configuration  Séma: pl. User, People, Computer Sysinternals AD Explorer

11 11 További AD szolgáltatások  Active Directory Domain Services o Címtár, erről volt szó eddig  Active Directory Rights Management Services o DRM megoldás  Active Directory Federation Services o Címtárak összekapcsolása más felhasználókezelővel  Active Directory Certificate Services o Tanúsítványok kiállítása, központi kezelése  Active Directory Lightweight Directory Services o Saját alkalmazásunk adatainak tárolása a címtárban

12 12 Tartalom  Az Active Directory felépítése  Központosított felügyelet és jogosultságkezelés  AD elérése programozottan  Kitekintés

13 13 Központosított jogosultságkezelés  Egy gépen beállítottam a böngészőt, vírusirtót… o Mi lesz a többi 10-zel??  Megoldás: o Kézzel végigmegyek mindegyiken: 1000 gép esetén? o Szkript: aktuális állapot, frissítés? o Központi tárolás, érvényesítés, lekérdezés

14 14 Csoportházirend (Group Policy)  Windowsos gépek adminisztrálásához alap  ~3200 beállítás o start menü elemei, IE honlap…  Kötelezően érvényre jutó beállítások  Helyi rendszergazda nem tudja felülbírálni

15 15 Csoportházirend fajtái  Számítógép szintű o SW telepítés, tűzfal, Windows Update…  Felhasználó szintű o mappa átirányítás, képernyő beállítás, nyomtatók  Beépített: szoftver telepítés, biztonsági beállítás…  Felügyeleti sablon (admx fájl): kiegészítések  Policy vs. Preferences (Server 2008 óta)

16 16 Csoportházirend kiértékelés  Házirend: örökölhető, felül definálható  Tipikus értékek: Igen / Nem / Nem definiált  Helyi szintű házirend  Telephely szintű  Tartomány szintű  OU szintű (legalsóbb szintű felé)

17 DEMO 17  Group Policy Management Console o szerkesztés o eredő házirend  Group Policy Settings Reference XLS Csoportházirend

18 DEMO 18  Group Policy Management Console o Keresés (Angol billentyűzetkiosztás legyen!)  Beállítások: o Számítógép szintű: tűzfal bekapcsolása (helyi gépről nem kapcsolható ki) o Felhasználó: profil méretének korlátozása  Frissítés: o gpupdate /force Csoportházirend

19 19 Saját GP készítése  Csoportházirend: XML leíró (ADMX fájl)  Saját alkalmazásunkhoz is készíthető ilyen o Nagyvállalati környezetben erősen ajánlott  Pl. Lenovo System Update Administrator ToolsLenovo System Update Administrator Tools

20 20 Tartalom  Az Active Directory felépítése  Központosított felügyelet és jogosultságkezelés  AD elérése programozottan  Kitekintés

21 21 AD elérése programozottan  ds* parancsok (pl. dsadd, dsquery ) o Egyszerű műveletek  Tetszőleges LDAP kliens o Pl. Java-s kliensek is .NET kódból o System.DirectoryServices névtér osztályai  PowerShell o AD Service Interface (ADSI) o Active Directory module (Windows Server 2008 R2)

22 22 Keresés LDAP címtárban SearchRoot: honnan PageSize: hány elemet Scope: -Base: csak az az egy elem -OneLevel: gyerek közt -Subtree: teljes részfa

23 23 Keresés LDAP címtárban SearchRoot: honnan PageSize: hány elemet Scope: mik között -Base: csak az az egy elem -OneLevel: gyerek közt -Subtree: teljes részfa

24 24 Keresés LDAP címtárban SearchRoot: honnan PageSize: hány elemet Scope: mik között -Base: csak az az egy elem -OneLevel: gyerek közt -Subtree: teljes részfa

25 25 Keresés LDAP címtárban SearchRoot: honnan PageSize: hány elemet Scope: mik között -Base: csak az az egy elem -OneLevel: gyerek közt -Subtree: teljes részfa

26 26 Keresés LDAP címtárban SearchRoot: honnan PageSize: hány elemet Scope: mik között -Base: csak az az egy elem -OneLevel: gyerek közt -Subtree: teljes részfa Filter: mit keresünk

27 27 ActiveDirectory module for PowerShell  Windows Server 2008 R2-ban megjelent: o ActiveDirectory modul PowerShellhez o (Elérhető régebbi verziókhoz is részben)  Natív PowerShell cmdletek AD-hez (76 db)  AD Provider o AD: meghajtón keresztül elérhető a címtár

28 28 ActiveDirectory modul architektúrája

29 29 ActiveDirectory cmdletek

30 DEMO 30  AD Provider használata: cd AD: cd "DC=irfhf,DC=local"  Keresés: Get-ADGroup -Filter 'CN -like "e*"' -SearchScope Subtree -SearchBase "OU=People,DC=irfhf,DC=local" | % {echo "Name: $($_.name), DN: $($_.DistinguishedName)"}  Lásd még: o Get-Help about_ActiveDirectory* AD module for PowerShell

31 31 Tartalom  Az Active Directory felépítése  Központosított felügyelet és jogosultságkezelés  AD elérése programozottan  Kitekintés

32 32 Kitekintés  Készen vagyunk? OpenLDAP Active Directory

33 33 Identity management  Több, különböző felhasználói siló jött létre  Megoldások o Címtárak szinkronizációja o Metacímtár o Identity mgmt rendszer o…o…  További feladatok: o Munkafolyamatok: új alkalmazott, elbocsátás… o Jelentések készítése, elemzések

34 34 Összefoglalás  Active Directory o Windows alapú IT rendszer lelke o Kötelező ismerni vállalati környezetben  Csoportházirend o Központi felügyelet és jogosultság kezelés  Sokféle API az AD kezelésére  Felhasználókezelés: o Címtár: OK o Identity management: még csak most kezdődne…

35 35 További információ Active Directory:  Gál Tamás, Szabó Levente, Szerényi László: Rendszerfelügyelet rendszergazdáknak, Szak Kiadó, 2007. Rendszerfelügyelet rendszergazdáknak  Gál Tamás: Windows Server 2008 R2 – A kihívás állandó, JOS, 2011. (WS2008R2 újdonságok)Windows Server 2008 R2 – A kihívás állandó  Microsoft Technet: Active Directory ServicesActive Directory Services o Planning, Deployment, Operations, Troubleshoot ActiveDirectory PowerShell modul:  Active Directory PowerShell blog Active Directory PowerShell  Soós Tibor: Microsoft PowerShell 2.0 rendszergazdáknak – elmélet és gyakorlat, 2010.Microsoft PowerShell 2.0 rendszergazdáknak – elmélet és gyakorlat

36 36 PowerShell + ADSI  LDAP objektum lekérése: PS C:\> $root = [ADSI]"" # binds to default domain PS C:\> $root distinguishedName : {DC=thefamily,DC=local} Path : LDAP://dc=thefamily,dc=local …  Objektum módosítása: $don = [ADSI]"LDAP://CN=Vito Mascarpone,OU=Executive, OU=Staff,DC=thefamily,DC=local" $don.Description = "the Don of the family" $don.SetInfo()  Bevezető: Working with Active DirectoryWorking with Active Directory

37 37 PowerShell + ADSI  Keresés: o System.DirectoryServices.DirectorySearcher  Leírás: o Searching Active Directory with Windows PowerShell Searching Active Directory with Windows PowerShell  Kereső kifejezés: o Példa: (&(cn=i*)(objectClass=group)) o Segítség: Sysinternals AD Explorer Search / Search Container -> GUI a kifejezés megírásához

38 DEMO 38 Keresés az AD-ben (ADSI) $strFilter = "(&(cn=i*)(objectClass=group))" $objDomain = [ADSI]"LDAP://DC=thefamily,DC=local" # create searcher, set search properties $objSearcher = New-Object System.DirectoryServices.DirectorySearcher $objSearcher.SearchRoot = $objDomain $objSearcher.PageSize = 1000 $objSearcher.Filter = $strFilter $objSearcher.SearchScope = "Subtree" # property name should be lower case! $colProplist = "name", "distinguishedname" $colPropList | % {$objSearcher.PropertiesToLoad.Add($_) > $null} # search for matching entries in the LDAP $colResults = $objSearcher.FindAll() # write out results $colResults | % {echo "Name: $($_.Properties.name), DN: $($_.Properties.distinguishedname)" }


Letölteni ppt "Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék Active Directory Micskei Zoltán"

Hasonló előadás


Google Hirdetések