Slow7 - Server 2003/2008

Windows Server 2012. Poradnik administratora. We dwoje raźniej.

2017-05-10T07:40:32+00:00

W każdej szanującej się sieci komputerowej musimy zadbać o tak zwaną redundancję usług i urządzeń. Awarie sprzętu i oprogramowania mogą przydarzyć się każdemu ale już przestój i niemożność realizowania usług jest stanem bardzo niepożądanym ponieważ gdy sytuacja taka zaistnieje, wiąże się ona najczęściej ze stratami finansowymi. Tak więc aby zapewnić ciągłość pracy naszej sieci nie możemy dopuścić do scenariusza w którym jej praca uzależniona jest od działania jednego urządzenia. Jeden kontroler domeny może więc stać się źródłem potencjalnych problemów. Gdy host sprawujący kontrolę nad naszą domeną działa wszystko jest w porządku lecz w przypadku jego niedostępności nasza sieć "leży". Aby do takiej sytuacji nie dopuścić należałoby zdublować pełnione przez niego funkcje tak by w przypadku ewentualnych problemów inny host mógł przejąć jego zadania. A więc zapraszam do lektury wpisu traktującego o redundancji usług Active Directory.

W naszej topologii sieciowej istnieją dwa serwery 2012 R2 o nazwach WinServ2012A oraz WinServ2012B. Serwer WinServ2012A pracuje jako kontroler domeny - w scenariusz przyjęto domenę: firma.local Nie pokazuję krok po kroku jak zainstalować odpowiednie role tak by serwer mógł obsługiwać domenę gdyż zagadnienie było już omawiane i odpowiednie wpisy dotyczące tej tematyki znajdziesz pod adresami: Windows Server 2012. Poradnik administratora. Wstęp oraz Active Directory - Instalacja Na potrzeby tego wpisu przyjmujemy, że domena działa. Dodatkowo na każdym z serwerów został zainstalowany serwer DNS oraz DHCP.

Naszym pierwszym zadaniem będzie zainstalowanie na drugim z serwerów odpowiednich ról i funkcji i dodanie go do już istniejącej domeny firma.local tak by mógł on pełnić rolę dodatkowego kontrolera domeny.

Na komputerze WinServ2012B po instalacji usługi Active Directory Domain Services (rolę instalujemy tak samo jak w przypadku pierwszego kontrolera) przechodzimy do konfiguracji roli w tym celu po kliknięciu na ikonę Informacji wybieramy: Podnieś poziom tego serwera do poziomu kontrolera domeny.

Po wyborze opcji zostanie uruchomiony Kreator konfiguracji usług domenowych Active Directory Ponieważ mamy już utworzony las i działającą w tym lesie jedną domenę a dodawany serwer ma pełnić rolę kontrolera w tej domenie na pytanie kreatora o wybór operacji wdrażania zaznaczamy opcję: Dodaj kontroler domeny do istniejącej domeny (punkt 1).

Kolejnym krokiem jest wybór domeny. Operację możemy zrealizować poprzez wpisanie nazwy domeny bądź poprzez kliknięcie na przycisk: Wybierz Decydujemy się na drugie rozwiązanie (punkt 2) i tu natrafiamy na pierwszą trudność - Napotkano błąd podczas nawiązywania kontaktu z domeną firma.local. Serwer nie działa (punkt 3).

Powodem problemu jest brak definicji adresu IP serwera DNS (usługę serwera DNS pełni pierwszy kontroler domeny). Konfigurację sieciową należy poprawić i w polu: Preferowany serwer DNS wpisać adres IP komputera WinServ2012A czyli 10.0.0.10

Po zatwierdzeniu poprawionej konfiguracji karty sieciowej ponowne wybranie przycisku: Wybierz kończy się poprawnym nawiązaniem połączenia z domeną firma.local

Ostatnią czynnością jaka musimy wykonać na tym ekranie jest podanie danych uwierzytelniających konta, które ma prawo wykonania operacji podłączenia komputera do domeny - podajemy konto administratora domeny. Aby wprowadzić niezbędne informacje wybieramy przycisk: Zmień i w nowo otwartym oknie wpisujemy login i hasło administratora. Całość zatwierdzamy przyciskiem OK i klikamy Dalej.

Po wykonaniu poprawnie wszystkich czynności kolejnym ekranem są opcje kontrolera domeny. Aby drugi serwer mógł realizować poprawnie swoje zadania zaznaczamy opcję: Wykaz globalny. Usługa serwera DNS została zaznaczona automatycznie gdyż jej instalacja nastąpiła wraz z instalacją usługi Active Directory Domain Services.

Wykaz globalny to baza danych w której zapisane są dane wszystkich obiektów w lesie usług domenowych opartych o Active Directory.

Podczas przeprowadzenia instalacji roli AD DS wykaz globalny dla nowego lasu jest tworzony automatycznie na pierwszym kontrolerze domeny w lesie. Obsługę wykazu globalnego możemy dodawać/usuwać na innych kontrolerach domeny.

Serwer wykazu globalnego wykonuje następujące działania (źródło: https://technet.microsoft.com/pl-pl/library/cc730749(v=ws.11).aspx):

Znajdowanie obiektów - wykaz globalny umożliwia przeszukiwanie informacji zapisanych w katalogu we wszystkich domenach w lesie, niezależnie do tego, gdzie dane te są przechowywane. Wyszukiwanie odbywa się np. gdy użytkownik wyszukuje osoby lub drukarki.

Zapewnienie uwierzytelniania nazwy głównej użytkownika - serwer wykazu globalnego odpowiedzialny jest za rozpoznanie nazwy logującego się użytkownika i jego uwierzytelnienie w domenie. Uwierzytelniający kontroler domeny jeśli nie posiada informacji na temat konta użytkownika przeszukuje wykaz globalny celem jego odnalezienia. Na przykład jeśli konto użytkownika znajduje się w domenie marketing.firma.pl i użytkownik zaloguje się za pomocą nazwy UPN [email protected]">[email protected] z komputera znajdującego się w domenie sprzedaż.firma.pl kontroler domeny w domenie sprzedaż.firma.pl nie będzie mógł odnaleźć konta użytkownika i będzie musiał skontaktować się z serwerem wykazu globalnego w celu ukończenia procesu logowania.

Sprawdzanie poprawności odwołania do obiektów w lesie - kontrolery domeny używają wykazu globalnego do sprawdzania poprawności odwołań do obiektów w innych domenach w lesie. Gdy kontroler domeny przechowuje obiekt katalogu z atrybutem zawierającym odwołanie do obiektu w innej domenie, kontroler domeny sprawdza poprawność odwołania, kontaktując się z serwerem wykazu globalnego.

Dostarczanie informacji o członkostwie w grupie uniwersalnej w środowisku wielodomenowym - kontroler domeny zawsze może odnaleźć informację o kontach, które znajdują się w grupie lokalnej domeny i w grupie globalnej dowolnego użytkownika w jego domenie, a informacja o przynależności do tych grup nie jest replikowane do wykazu globalnego. W lesie zawierającym jedną domenę, kontroler domeny może także określić członkostwo w grupie uniwersalnej. Jednak członkowie grup uniwersalnych mogą znajdować się w rożnych domenach. Dlatego też lista członków tej grupy jest replikowana do wykazu globalnego. Gdy użytkownik w lesie zawierającym wiele domen loguje się do domeny, w której są dozwolone grupy uniwersalne, kontroler domeny musi skontaktować się z serwerem wykazu globalnego, aby pobrać listę jej członków.

Kontroler domeny tylko do odczytu (ang. Read Only Domain Controler) jest specjalnym typem kontrolera domeny używanym w lokalizacjach, w których nie można zagwarantować fizycznego bezpieczeństwa serwera. Zadaniem RODC jest pełnienie roli kontrolera domeny ale w przeciwieństwie do kontrolera standardowego hostuje on kopię bazy danych Active Directory w wersji tylko do odczytu. Ograniczenie te powoduje, że kontrolery tego typu nie mogą bezpośrednio wdrażać zmian do bazy danych Active Directory, lecz zamiast tego przekazują aktualizacje do kontrolera. Uaktualnienie kontrolera odbywa się poprzez pobranie bazy danych Active Directory ze standardowych kontrolerów domeny. Podsumowując kontroler tego typu stosujemy w lokalizacjach wymagających szybkich i niezawodnych usług uwierzytelniania, w których nie można jednak zapewnić pełnego bezpieczeństwa fizycznego.

Nazwę lokacji pozostawiamy bez zmian.

Definiujemy hasło trybu przywracania usług katalogowych (DSRM).

Wybieramy Dalej.

Na ekranie opcji DNS wybieramy Dalej (błędem delegowania się nie przejmujemy).

W oknie Opcje dodatkowe określamy skąd ma odbywać się replikacja - wybieramy serwer WinServ2012A

Kontroler domeny można również zainstalować za pomocą kopii zapasowej nośnika przy użyciu opcji instalacji z nośnika (IFM). Nośnik używany w ramach opcji IFM jest tworzony za pomocą narzędzia Kopia zapasowa systemu Windows Server.

Na ekranie Ścieżki domyślne zaproponowane przez kreatora lokalizacje zapisu plików bazy danych usługi AD DS, plików dziennika oraz folderu Sysvol pozostawiamy bez zmian (oczywiście jeśli mamy taką potrzebę lokalizację plików możemy określić sami).

Przedostatnim ekranem jest przegląd zdefiniowanych opcji.

Jeśli wszystkie ustawienia spełniają nasze oczekiwania wybieramy przycisk Zainstaluj.

Uzbrajamy się w cierpliwość - trwa konfiguracja ustawień dodatkowego kontrolera domeny.

Wszystko przebiegło bez problemów. Dodatkowy kontroler został dodany do domeny firma.local Weryfikację dodania kontrolera możemy przeprowadzić w oknie Użytkownicy i komputery usługi Active Directory klikając na gałąź Domain Controllers. Jak widać po poniższym zrzucie w kontenerze znajdują się dwa komputery Winserv2012A oraz Winserv2012B.

Nasza domena posiada dwa kontrolery domeny wydaje się, że wszystko działa prawidłowo lecz żeby mieć 100% pewność wypadałoby by przeprowadzić małe testy i tak też zrobimy lecz zanim do nich przejdziemy zatrzymajmy się na chwilę i skonfigurujmy możliwość kontrolowania jednego serwera z poziomu drugiego.

Pierwszą metodę jaką wykorzystamy jest łączność pomiędzy serwerami z wykorzystaniem sesji PowerShell. Jak taką sesję zestawić w tym wpisie również nie pokażę gdyż pełen opis konfiguracji został zamieszczony tutaj: Jest we mnie MOC. Konfiguracja interfejsów sieciowych oraz dostępu zdalnego z wykorzystaniem PowerShella.

Postępując zgodnie ze wskazówkami umieszczonymi w artykule do którego link podałem powyżej na pewno uda Ci się taką sesję poprawnie skonfigurować.

Konfiguracja połączenia przebiegła bez problemów a jej efekt przedstawiam poniżej.

Z serwera Winserv2012A zostaje nawiązane połączenie z hostem Winserv2012B - na obu hostach zostało wydane polecenie: ipconfig jak można zauważyć efekt wydania polecenia przed i po ustanowieniu połączenia jest różny.

I tą samą czynność powtarzamy lecz tym razem połączenie zostaje ustanowione z serwera Winserv2012B

Łączność pomiędzy komputerami z wykorzystaniem powłoki PowerShell działa.

Sprawdźmy zatem czy uda Nam się kontrolować komputer Winserv2012A z poziomu przystawek MMC (konsola oczywiście zostanie uruchomiona na serwerze Winserv2012B). Ponieważ na obu serwerach została zainstalowana rola DHCP zatem wykorzystajmy konsolę MMC wraz z odpowiednią przystawką aby sprawdzić czy kontrola systemu z wykorzystaniem tej metody zadziała.

Poniżej została wywołana konsola MMC - w polu Uruchom (Windows+R) wpisujemy: mmc - do której zostały dodane przystawki DHCP (po jednej dla każdego serwera). Operację udało wykonać się bez żadnych komplikacji - możliwość prowadzenia konfiguracji przy pomocy MMC jest zapewniona.

Przywołany przeze mnie artykuł zawiera również opis konfiguracji sesji z wykorzystaniem Pulpitu zdalnego i taką konfigurację również przeprowadziłem. Poniżej przykład w którym host Winserv2012A nawiązuje połączenie z serwerem Winserv2012b (kreator połączenia sesji Remote Desktop wywołasz za pomocą skrótu: mstsc).

Uzyskaliśmy możliwość kontrolowania jednego serwera z poziomu drugiego możemy zatem przejść do testów zachowania się kontrolerów w tak zbudowanej sieci.

Rozpoczniemy od konfiguracji konta dla użytkownika Jan Kowalski, operację tą wykonamy na serwerze Winserv2012A. Konto dzięki użyciu narzędzia Użytkownicy i komputery Active Directory zostaje utworzone. Dodatkowo nowe powstałe konto zostaje umieszczone w jednostce organizacyjnej: marketing

Ponieważ oba kontrolery domeny przechowują kopię wykazu globalnego i pomiędzy serwerami zachodzi replikacja utworzenie konta na jednym z nich spowoduje przekazanie tej informacji do drugiego. Konto użytkownika zostało utworzone na Winserv2012A tak więc odzwierciedlenie przeprowadzonej operacji powinno pozostawić ślad na serwerze Winserv2012B. Sprawdzenie dostępnych kont i jednostek organizacyjnych na tym serwerze uwidacznia wprowadzone zmiany, które zostały wykonane na Winserv2012A. Oczywiście proces replikacji jest obustronny tak więc wprowadzone zmiany na Winserv2012B będzie można zweryfikować na Winserv2012A. Aby fakt ten potwierdzić zostaje utworzone konto: Tadeusz Nowak

I jak można było przewidzieć wprowadzone zmiany zostaną uwidocznione na hoście Winserv2012A.

Konta użytkowników zostały utworzone. Czas sprawdzić domenę w działaniu i wykonać próbę logowania. Lecz zanim tę operację wykonamy musimy mieć z czego się zalogować tak więc naszym kolejnym krokiem będzie dodanie komputera do domeny.

Nazwa dodawanego hosta to: XXX zaś jego adres IP wynosi: 172.16.0.10. Adres ten wraz z innymi adresami został przyznany przez serwer Winserv2012A gdyż obecnie to ten komputer pełni rolę serwera DHCP (na serwerze Winserv2012B rola DHCP została skonfigurowana lecz serwer nie został skonfigurowany). O czym należy pamiętać? - Nie zapominamy o konfiguracji przekazywania pakietów DHCP na routerze. Serwery i dodawany host leżą w innej przestrzeni adresowej i aby przypisanie adresów doszło do skutków musi być pomiędzy sieciami zapewniony routing oraz włączone przekazywanie pakietów DHCP w kierunku od klienta do serwera i z powrotem. Jak router skonfigurować by zapewniał Nam przekazanie danych protokołu DHCP opisałem w artykule: Co w sieci siedzi. Protokół DHCP (dotyczy routerów CISCO). Oczywiście sytuację uprościmy jeśli serwery i klienci będą należeć do wspólnej podsieci (niestety z różnych względów nie zawsze jest to możliwe).

Komputer XXX (system Windows 7)został przyłączony do domeny (opis całej operacji zawarty został w wpisie: Windows Server 2012. Poradnik administratora. Wstęp).

Komputer XXX stał się częścią domeny firma.local Fakt ten zweryfikujemy na dowolnym z kontrolerów domeny - po lewej serwer WinServ2012A zaś po prawej host WinServ2012B.

Jak można zauważyć poniżej proces logowania z wykorzystaniem konta domenowego (konto: jankow) zakończył się pełnym sukcesem.

Przechodzimy zatem do ostatniej fazy testów i sprawdźmy zachowanie się kontrolerów w przypadku awarii jednego z nich. W tym celu zostały utworzone dwa nowe konta: Beata Tryla (beatry) oraz Piotr Mazur (piomaz). Przy wykorzystaniu tych kont wykonamy proces logowania z hosta XXX przy wyłączonym serwerze WinServ2012A (serwer WinServ2012B włączony) a następnie w sytuacji odwrotnej. To co należy zaznaczyć - oba komputery zostały skonfigurowane jako serwery DHCP (tryb failover - opis konfiguracji w dalszej części wpisu).

Rozpoczynamy od wyłączenia serwera WinServ2012A, za obsługę klientów domeny odpowiada host WinServ2012B. Wykonujemy próbę logowania z wykorzystaniem konta: beatry Jak widać poniżej test ten kończy się sukcesem.

Sytuacja odwrotna - host WinServ2012A zostaje włączony (teraz on odpowiada za uwierzytelnienie użytkowników) zaś serwer WinServ2012B zostaje od sieci odcięty. Test ponownie wykonujemy na komputerze XXX przy użyciu konta: piomaz I jak można było przewidzieć test ten również kończy się powodzeniem.

Dzięki podłączeniu drugiego kontrolera domeny zapewniliśmy redundancję prowadzonych usług. W przypadku awarii jednego z serwerów jego obowiązki przejmuje drugi - zostaje zapewniona ciągłość usług.

Obydwa serwery są kontrolerami, które przechowują global catalog. Gdybyśmy z jakiś powodów chcieli wyłączyć na danym serwerze tą funkcję musimy do tego celu posłużyć się przystawką Lokacje i usługi Active Directory (ang. Active Directory Sites And Services).

Spróbujmy zatem przeprowadzić operację wyłączenia wykazu globalnego. Czynność wykonamy na serwerze WinServ2012B.

W tym celu otwieramy okno Lokacje i usługi Active Directory i rozwijamy następujące gałęzie: Sites/<nazwa_lokacji>/Servers/<nazwa_serwera>/ po czym PPM klikamy na NTDS Settings i z menu wybieramy Właściwości. W nowo otwartym oknie na zakładce Ogólne odhaczamy opcję Wykaz globalny.

Sprawdzenie wyłączenia wykazu globalnego możemy np. sprawdzić na drugim serwerze. Sprawdzenia dokonujemy po otwarciu przystawki Użytkownicy i komputery usługi Active Directory i po przejściu do gałęzi Domain Controllers. Jak widać poniżej na komputerze WinServ2012B funkcja wykazu globalnego została wyłączona (typ kontrolera jest ustalony na DC w przypadku korzystania z global catalog typ kontrolera jest ustalany na GC).

Włączenie/wyłączenie obsługi wykazu globalnego możemy również wykonać przy użyciu polecenia konsoli PowerShell. Aby wyłączyć global catalog na serwerze WinServ2012A należy wydać polecenie: Set-ADObject "CN=NTDS Settings,CN=Winserv2012a,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=firma,DC=local" -Replace @{options='0'}

Włączenie odbywa się poprzez zamienienie w poleceniu 0 na 1.

Przystawkę Lokacje i usługi Active Directory możemy również wykorzystać do wykonania operacji replikacji informacji zawartych w bazie Active Directory. Replikacja jest wykonywana pomiędzy kontrolerami domeny a jej uaktywnienie odbywa się poprzez kliknięcie PPM na obiekt połączenia i wybraniu z menu kontekstowego kierunku replikacji. Na rysunku poniżej pokazano możliwość wyzwolenia replikacji z serwera WinServ2012B w kierunku hosta WinServ2012A i na odwrót.

Partnerów replikacji poznamy po wyświetleniu zakładki Połączenia dostępnej po wybraniu Właściwości obiektu NTDS Settings.

Do zarządzania i monitorowania stanu replikacji prócz trybu GUI możemy użyć narzędzia wiersza poleceń: repadmin.

Podsumowanie replikacji domeny przejrzymy wydając polecenie: repadmin z opcją replsummary.

Wydanie polecenia pozwoli Nam ustalić, kiedy nastąpiła replikacja i czy zakończyła się ona sukcesem. Komenda poinformuje Nas również o interwale pomiędzy kolejnymi replikacjami.

Narzędzie repadmin z ustawioną flagą showrepl ukaże informacje dotyczące ruchu replikacji. Uzyskane dane pozwolą sprawdzić Nam listę obiektów, które replikacji podlegały wraz z czasem wystąpienia zdarzenia.

Z narzędziem repadmin zostały skojarzone następujące funkcje:

/queue - lista obiektów jaka musi zostać przetworzona w celu osiągnięcia zbieżności z partnerami replikacji,

/prp - informacja o zreplikowanych hasłach użytkowników,

/replicate - wymuszenie replikacji określonej partycji Active Directory,

/replsingleobj - wymuszenie replikacji dla pojedynczego obiektu.

Następujące polecenie synchronizuje określony DC ze wszystkimi partnerami replikacji: repadmin /syncall /adep

Celem wprowadzenia dodatkowego kontrolera jest zapewnienie redundancji tak by została zachowana ciągłość dostarczanych usług - w przypadku awarii jednego drugi przejmuje jego zadania. Mając do dyspozycji dwa kontrolery domeny możemy pokusić się o zdublowanie funkcji serwera DHCP.

DHCP jest krytyczną usługą sieciową gdyż niedziałający serwer nie przyzna adresów IP klientom a klienci ci bez konfiguracji sieciowej nie uzyskają dostępu do sieci. W wcześniejszych wersjach systemu Windows Server dublowanie roli serwera DHCP było utrudnione i kłopotliwe w realizacji. Dostrzeżono tę lukę i wraz z wydaniem wersji Windows Server 2012 wprowadzono obsługę awaryjnej pracy serwera DHCP. Usługę tą można skonfigurować dwojako tak by funkcja serwera DHCP mogła być prowadzona nieprzerwanie.

W przypadku korzystania z wersji systemu Windows Server nie obsługujących trybu failover należy skonfigurować usługę DHCP z podziałem zakresu. Usługa DHCP z podziałem zakresu do działania używa dwóch niezależnych serwerów DHCP, które są współodpowiedzialne za zakres. Zazwyczaj 70% adresów w zasięgu jest przydzielonych do serwera podstawowego, a pozostałe 30% — do serwera zapasowego. Jeśli klient nie może uzyskać dostępu do serwera podstawowego, może uzyskać konfigurację protokołu IP z serwera pomocniczego.

Aby móc skonfigurować klaster DHCP i tym samym zapewnić ciągłość pracy serwera niezbędne jest posiadanie dwóch działających serwerów DHCP (działamy w oparciu o AD tak więc oba serwery w domenie muszą zostać autoryzowane) oraz zdefiniowanego zakresu (jeden wystarczy) możliwych do przyznania adresów IP.

Praca serwera DHCP może opierać się na:

Load Sharing (tryb współdzielenia obciążenia): pracy dwóch lub więcej serwerów DHCP w trybie równoważenia obciążenia (jest to domyślny tryb działania). Dwa serwery jednocześnie udostępniają adresy IP i opcje klientom w danej podsieci. Żądania klientów podlegają równoważeniu obciążenia i są współdzielone między dwoma serwerami. Tryb współdzielenia obciążenia najlepiej nadaje się na potrzeby wdrożeń, w których oba serwery w relacji trybu failover znajdują się w tej samej lokacji fizycznej. Oba serwery odpowiadają na żądania klientów DHCP na podstawie współczynnika dystrybucji obciążenia skonfigurowanego przez administratora
Hot Standby (tryb rezerwy dynamicznej): dzierżawie adresów IP z skonfigurowanego zakresu, jeśli główny serwer DHCP znajdzie się w trybie offline - drugi serwer DHCP uaktywnia się w momencie w którym wykryje awarie serwera głównego. Podczas normalnej pracy podstawowy serwer DHCP jest odpowiedzialny za przypisanie konfiguracji sieci zaś pomocniczy serwer DHCP uaktywnia się w momencie braku kontaktu z serwerem podstawowym. Serwer DHCP dla danej podsieci może jednocześnie pełnić rolę serwera podstawowego zaś dla innego zakresu być serwerem pomocniczym. Konfiguracja tego trybu pracy serwerów DHCP polega na zdefiniowaniu procentu puli adresów IP (domyślnie 5%), która jest przekazywana serwerowi pomocniczemu. Dodatkowo określany jest interwał czasu tzw. MCTL po minięciu, którego serwer ten przejmuje kontrolę całego zakresu IP.

Konfigurację serwera przeprowadzimy na hoście WinServ2012A zaś trybem pracy serwera DHCP będzie Load Sharing (omówimy konfigurację obu trybów). Wymagania odnośnie konfigurowanej funkcji dostępne są pod tym linkiem: https://technet.microsoft.com/en-us/library/dn338982(v=ws.11).aspx

Rozpoczynamy od uruchomienia przystawki MMC odpowiedzialnej za konfigurację serwera DHCP. Po jej uruchomieniu wybieramy dany serwer i po kliknięciu na nim PPM odszukujemy opcję: Konfiguruj tryb failover…

W pierwszym oknie kreatora Konfigurowanie trybu failover (ang. DHCP Failover) wybieramy zakres (bądź zakresy), które będą obsługiwane przez klaster serwerów DHCP. Następnie wybieramy Dalej.

W Naszym scenariuszu serwery DHCP są odpowiedzialne za przydzielanie adresów IP sieci 172.16.0.0/24 więc taki zakres adresów zostaje wybrany.

W oknie Określanie serwera partnerskiego do użycia dla trybu failover (ang. Specify the partner server to use for failover), w polu Serwer partnera (ang. Partner Server) wpisujemy nazwę drugiego serwera DHCP (lub jego adres IP), bądź korzystamy z przycisku Dodaj serwer. Następnie wybieramy Dalej.

Został wybrany host WinServ2012B.

Kolejne okno i zawarte w Nim opcje zależne będą od wybranego trybu pracy serwera DHCP. W przypadku wybrania trybu Równoważenia obciążenia dostępne ustawienia oraz ich przeznaczenie prezentuje się następująco:

W oknie Tworzenie nowej relacji trybu failover (ang. Create a new failover relationship), w polu Nazwa relacji (ang. Relationship Name) widoczna jest nazwa tworzonego powiązania, domyślnie nazwa ta jest tworzona poprzez połączenie nazw FQDN serwerów (powiązanie można nazwać dowolnie). Pole Maksymalny czas przedłużenia klienta (ang. Maximum Client Lead Time) pozwala określić Nam czas po którym serwer zapasowy przejmie w całości kontrolę nad danym zakresem/zakresami (domyślna wartość wynosi: 1 godzina). Pole Tryb (ang. Mode) pozwala na wybór trybu pracy serwera.

Pole Rola serwera partnerskiego (ang. Role of Partner Server) pozwala określić, który z serwerów ma być aktywny a który pasywny. Domyślna opcja Wstrzymane (ang. Standby) spowoduje skonfigurowanie serwera WinServ2012B do pracy w trybie pasywnym. Pole Adresy zastrzeżone dla serwera rezerwowego (ang. Addresses reserved for standby server) określa procentową rezerwację adresów IP dla serwera pasywnego na czas określony w polu Maksymalny czas przedłużenia klienta (wartość domyślna to 5%). Pole Interwał przełączania stanu (ang. State Switchover Interval) określa czas po którym partner zostanie uznany za niedziałający. Po zaznaczeniu pola Włącz uwierzytelnienie komunikatów (ang. Enable Message Authentication), serwery DHCP będą autoryzować swoją komunikację wspólnym hasłem określonym w polu Wspólny klucz tajny (ang. Shared Secret). Całość ustawień zatwierdzamy przyciskiem Dalej.

W przypadku wybrania trybu Rezerwa dynamiczna:

Opcje: nazwa relacji, maksymalny czas przedłużenia klienta, interwał przełączania stanu oraz włącz uwierzytelnienie komunikatów występują również i ich przeznaczenie jest takie same jak w przypadku wybrania trybu równoważenie obciążenia.

Nowymi opcjami są te zgrupowane w sekcji Wartość procentowa równoważenia obciążenia. W polach Serwer lokalny (ang. Local Server) oraz Serwer partnera (ang. Partner Server) definiujemy procentowy udział związany z obsługą dostępnych adresów IP. Domyślne ustawienie 50% na 50% oznacza równe obciążenie maszyn.

Na potrzeby ćwiczenia został wybrany tryb równoważenia obciążenia z ustawieniami domyślnymi.

Po wybraniu Dalej w kolejnym oknie widoczne jest podsumowanie naszej konfiguracji. Celem zatwierdzenia ustawień wybieramy Zakończ.

Kliknięcie przycisku Zakończ kończy pracę kreatora, następuje proces konfigurowania trybu failover. Wszystkie ustawienia zostały wprowadzone z powodzeniem.

Stan mechanizmu DHCP failover skontrolujemy klikając PPM na gałąź IPv4 (dostępne po rozwinięciu wszystkich opcji serwera DHCP) a następnie Właściwości. Wszystkie informacje oraz opcje zostały zgrupowane na zakładce Tryb failover. Zmianę ustawień trybu pracy serwerów DHCP dokonamy po wybraniu przycisku Edytuj. Poniżej przedstawiłem zrzuty ekranów opcji dostępnych na serwerze WinServ2012A.

I te same opcje na serwerze WinServ2012B. Po analizie zrzutów można dojść do wniosku, że cała konfiguracja została przeprowadzona prawidłowo.

Ponieważ od tej pory serwery pracują w trybie kooperacji muszą być one w stanie przekazywać między sobą informacje. Jednym z przekazywanych ustawień są dane dotyczące zastrzeżeń adresów IP (powiązanie adresu MAC z adresem IP - tak by host o danym adresie fizycznym zawsze otrzymał ten sam adres IP). Sprawdźmy zatem czy definicja takiego zastrzeżenia na jednym z serwerów zostanie przekazana drugiemu.

Na hoście WinServ2012B zostaje utworzone zastrzeżenie łączące adres MAC komputera z adresem IP. Od tej pory hostowi XXX zostanie zawsze przypisany adres IP 172.16.0.10.

Aby wymusić replikację należy wybrać opcję: Replikuj zakresy trybu failover (opcja dostępna po kliknięciu PPM na nazwę serwera DHCP). Wybranie opcji musimy zatwierdzić kliknięciem na przycisk OK.

Zatwierdzenie akcji spowoduje wymuszenie replikacji danych pomiędzy serwerami DHCP.

Sprawdźmy zatem czy utworzone zastrzeżenie na serwerze WinServ2012B będzie dostępne na WinServ2012A. Jak widać poniżej informacja o zastrzeżeniu została przekazana poprawnie na serwer partnerski.

Poniżej jeszcze jeden przykład, który obrazuje, że pomimo utraty kontaktu z serwerem partnerskim (został wyłączony host WinServ2012B) pula adresów IP w zdefiniowanym zakresie jest nadal dostępna dla zgłaszających się klientów.

Opisany mechanizm failover serwera DHCP pozwala administratorom na taką konfigurację serwerów DHCP, aby udostępniały one konfigurację adresów IP na potrzeby podłączających się klientów. Funkcja failover gwarantuje ciągłość usługi DHCP. Dzięki replikacji informacji o dzierżawach adresów IP pomiędzy serwerami DHCP mamy pewność działania usługi w przypadku awarii jednego z serwerów DHCP i jego niedostępności - obsługę klientów przejmie serwer partnerski.

Możesz zapytać Czytelniku - Czy to koniec możliwości kooperacji dwóch serwerów ze sobą? Otóż nie. Większa liczba serwerów otwiera przed Nami nowe możliwości tak więc świadomie ominąłem tematy związane z DNS czy rozproszonym systemem plików DFS by do nich powrócić w odrębnych wpisach.

BIBLIOGRAFIA:

Krok po kroku: konfigurowanie protokołu DHCP na potrzeby trybu failover

Wysoka dostępność uslug DHCP - DHCP Failover | TechNet (Polska)

Rozwiązywanie problemów z replikacją usług domenowych Active Directory

Zaawansowane zarządzanie replikacją i topologią usługi Active Directory przy użyciu środowiska Windows PowerShell (poziom 200)

Enabling and Disabling the Global Catalog

Opis wykazu globalnego

Dodawanie lub usuwanie wykazu globalnego

Windows Server 2012 - Ochrona dostępu do sieci z wykorzystaniem 802.1X

2016-12-18T21:37:29+00:00

Wykorzystanie i zaimplementowanie protokołu 802.1x w zarządzanej sieci komputerowej zabezpieczy Nas przed nieautoryzowanym dostępem do sieci już na poziomie warstwy drugiej (dostęp do sieci). Tak więc głównymm zadaniem protokołu jest uwierzytelnianie klientów tak by mogli oni swobodnie korzystać z zasobów sieci. Administrator otrzymuje narzędzie dzięki, któremu znacząco może podnieść bezpieczeństwo sieci komputerowej poprzez wykorzystanie protokołów gwarantujących bezpieczną komunikację a co również nie jest bez znaczenia, procesem tym sterujemy wykorzystując scentralizowane środowisko.

Protokół 802.1x znalazł zastosowanie przedewszystkim w rozwiązaniach:

łączność VPN,
w połączeniach opartych na protokole PPP,
sieciach bezprzewodowych,
lokalnych sieciach przewodowych (Ethernet).

W przypadku sieci której działanie opiera się o protokół 802.1x mamy do czynienia z następującym nazewnictwem:

suplikant (ang. supplicant) to urządzenie, które próbuje uzyskać dostęp do sieci,

urządzenie pośredniczące tzw. autentykator (ang. authenticator) - urządzeniem pełniącym tą rolę jest najczęściej przełącznik (w sieciach przewodowych) bądź punk dostępowy (sieci WLAN). Autentykator jest równocześnie klientem serwera RADIUS.

serwer uwierzytelniający - serwer (najczęściej jest to serwer RADIUS) udzielający dostępu suplikantowi.

Jak widac po powyższym schemacie protokół 802.1x jest używany pomiędzy hostem, który chce uzyskać dostęp do sieci a urządzeniem pośredniczącym (autentikator, przełącznik sieciowy). Ruch sieciowy pochodzący od hosta próbującego uzyskać dostęp do chronionej sieci w momencie podłączenia jest blokowany, oczywiście blokada nie dotyczy wymiany tych pakietów, które są niezbędne celem przerowadzenia procesu uwierzytelnienia.

Przełącznik sieciowy po wykryciu hosta próbującego uzyskać dostęp do chronionej sieci wysyła w jego kierunku żądanie identyfikacji, żądanie te następnie jest przesyłane w kierunku serwera uwierzytelniającego. Serwer po otrzymaniu i analizie żądania podejmuje decyzje o udzieleniu bądź odmowie dostępu do sieci.

Docelową warstwą w której działa protokół 802.1x jest warstwa druga modelu ISO/OSI (łącza danych), zablokowanie dostępu do sieci na tym poziomie uniemożliwia np. przeprowadzanie ataków, które opierają się na wykorzystaniu protokołów pracujących w tej warstwie oraz wyższych.

Wielkim atutem stosowania protokołu 802.1x jest możliwość zastosowania wraz z nim wielu protokołów uwierzytelnienia wpierających różne metody uwierzytelnienia.

Obecnie najczęściej wykorzystywany jest EAP (ang. Extensible Authentication Protocol), który w środowisku Ethernet LAN określany jest jako EAPOL. Więcej o protokole EAP znajdziesz w dokumencie RFC 3748 Dokument ten opisując protokół nie narzuca użycie określonej metody uwierzytelnienia lecz jak już zostało wspomniane możliwe jest realizowanie tego procesu z wykorzystaniem wielu sposobów.

Najczęściej spotykane metody to:

EAP-MD5 (ang. Message-Digest 5) - metoda ta została wprowadzona jako pierwsza w systemie Windows 2000. Proces uwierzytelniania przeprowadzany jest w oparciu o login i hasło (login jest przesyłany w formie niezaszyfrowanego tekstu zaś hasło jest skrótem wygenerowanym z wykorzystaniem funkcji MD5). Ta metoda uwierzytelnienia jest nie polecana gdyż podatna jest między innymi na ataki typu man in the middle.

EAP-TLS (ang. Transport Level Security) - metoda ta koncentruje się na wykorzystaniu infrastruktury klucza publicznego (ang. PKI, Public Key Infrastructure) wraz z wykorzystaniem certyfikatów co oznacza, że od użytkownika nie jest wymagane hasło.

EAP-TTLS (ang. Tunneled TLS) - działanie tej metody oparte jest o wykorzystanie EAP-TLS. Metoda ta eliminuje po stronie użytkownika posiadanie certyfikatu co oznacza, że klient uwierzytelnienie wykonuje metodą tradycyjną przy użyciu loginu i swojego hasła.

EAP-PEAP (ang. Protected EAP) - alternatywna metoda uwierzytelnienia w stosunku do EAP-TTLS, szeroko stosowana w środowiskach opartych o produkty Microsoftu. W ramach tej metody wyróżnić możemy dwa sposoby jej realizowania: EAP-MSCHAPv2 (standard zdefiniowany przez Microsotf) oraz EAP-GTC (standard zdefiniowany przez CISCO). Metoda jest wspierana przez cała rodzinę produktów firmy Microsoft oraz MAC OS 10.3 lub wyżej.

W wpisie tym będziemy bazować na topologii sieciowej przedstawionej poniżej.

Klient (suplikant) podłączony jest z przełącznikiem (autentykator, klient serwera RADIUS) za pomocą portu f0/23, zaś przełącznik komunikację z serwerem RADIUS prowadzi za pomocą portu f0/24. Adres IP klienta to: 10.0.0.10 zaś adres IP serwera RADIUS został ustalony na 10.0.0.1. Host jak i serwer należą do domyślnie skonfigurowanej sieci VLAN1. Adres IP przełącznika to 10.0.0.254.

Rozpoczynamy od instalacji niezbędnych usług. Bazą jest serwer z zainstalowaną usługą Active Drirectory. W scenariuszu została użyta domena: firma.local zaś serwer pełniący rolę kontrolera domeny to host z zainstalowanym systemem Windows Serwer 2012 o nazwie WinServ01

Aby zainstalować nowe role w oknie Menedżer serwera wybieramy opcje Zarządzaj a następnie Dodaj role i funkcje bądź korzystamy z przycisku dostępnego w oknie menedżera: Dodaj role i funkcje.

Po zdecydowaniu się na jedną z proponowanych opcji naszym oczom ukarze się Kreator dodawania ról i funkcji. Kreator ten przeprowadzi Nas przez cały proces dodawania nowych ról.

Wyświetlone okno i zawarty w nim opis jest ekranem informacyjnym, wybieramy przycisk Dalej.

Kolejny krok to wybór typu instalacji - zaznaczamy Instalacja oparta na rolach lub oparta na funkcjach a następnie klikamy Dalej.

Po zdefiniowaniu typu instalacji przechodzimy do określenia serwera na którym instalacja nowych ról ma być przeprowadzona. Ponieważ celem nie jest dysk VHD tak więc z dostępnych opcji wybieramy: Wybierz serwer z puli serwerów a następnie wskazujemy jego nazwę.

Aby móc skonfigurować uwierzytelnienie oparte na protokole 802.1x musimy do już istniejących ról zainstalować dwie następne - Usługi certyfikatów Active Directory (ang. Active Directory Certificate Services)oraz Usługi zasad sieciowych i dostępu sieciowego (ang. Network Policy and Access Services)

Z listy dostępnych ról wybieramy te wspomniane powyżej. Zaznaczenie roli Usługi certyfikatów Active Directory spowoduje wyświetlenie monitu o dodaniu funkcji powiązanych z rolą. Aby przejść do następnego kroku wybieramy Dalej.

Te same działanie musimy wykonać po zaznaczeniu roli: Usługi zasad sieciowych i dostępu sieciowego.

Kolejny ekran: Wybieranie funkcji pozwala nam na zdefiniowanie funkcji dodatkowych (nie powiązanych z wybranymi rolami), które dodatkowo mogą być dodane do systemu. Klikamy Dalej.

Kolejnym oknem jest ekran informacyjny dotyczący roli Usługi certyfikatów Active Directory. Po zapoznaniu się z podstawowymi informacjami dotyczącymi instalowanej roli wybieramy Dalej.

W kolejnym już oknie określamy usługi jakie mają działać w ramach instalowanej roli. Z dostępnych opcji wybieramy Urząd certyfikacji.

Po określeniu usług roli usługi AD CS czas by zapoznać się z ogólnymi informacjami dotyczącymi roli Usługi zasad sieciowych i dostępu sieciowego. Aby przejść do kolejnego ekranu klikamy na przycisk Dalej.

Tak jak w przypadku roli Usługi certyfikatów Active Directory tak i w tym przypadku musimy zdefiniować usługi, które będą działały w ramach instalowanej roli - wybieramy Serwer zasad sieciowych (ang. Network Policy Server)

Ostatnim oknem jest ekran podsumowujący zdefiniowane ustawienia. Aby rozpocząć instalację ról wybieramy Zainstaluj.

Po zatwierdzeniu wszystkich ustawień następuje instalacja ról.

Po poprawnej instalacji należy dodatkowo skonfigurować rolę Usługi certyfikatów AD. Aby przejść zdefiniować ustawienia roli klikamy na ikonę zdarzeń i w wyświetlonym oknie wybieramy Konfiguruj usługi certyfikatów AD …

Po kliknięciu na opcję zostanie uruchomiony kreator Konfiguracji usługi AD CS. Na pierwszym ekranie określamy poświadczenia użytkownika mającego prawo wykonać tę czynność czyli definiujemy konto administratora.

W kroku kolejnym określamy usługi, które będą podlegać konfiguracji. Dostępna jest tylko jedna usługa (Urząd certyfikacji) gdyż podczas procesu instalacji roli, tylko ta usługa została wybrana.

Na kolejnym ekranie należy określić typ urzędu certyfikacji. Ponieważ będziemy korzystać z usług domenowych AD zaznaczamy Urząd certyfikacji przedsiębiorstwa. Klikamy Dalej.

Nasz urząd certyfikacji jest pierwszą tego typu usługą w naszej sieci tak więc z dostępnych opcji wybieramy Główny urząd certyfikacji.

Po definicji opcji związanych z urzędem certyfikacji przechodzimy do wygenerowania klucza prywatnego, który będzie nam niezbędny do wystawiania certyfikatów dla klientów. Zaznaczamy Utwórz nowy klucz prywatny i przechodzimy Dalej.

Kolejne już okno to opcje związane z bezpieczeństwem klucza prywatnego. Określamy:

1 - dostawcę usług kryptograficznych - RSA#Microsoft Software Key Storage Provider,

2 - długość klucza - im dłuższy klucz tym bezpiecznej - optymalna wartość 2048,

3 - algorytm wyznaczania skrótu - możesz wybrać SHA256,

4 - zaznacz opcję: Zezwalaj na działania administratora podczas uzyskiwaniu dostępu do klucza prywatnego przez urząd certyfikacji.

Zaproponowana przez kreator nazwa urzędu certyfikacji może być oczywiście zmieniona jeśli zaś nie ma takiej potrzeby pozostawiamy nazwy domyślne.

Również okres ważności generowanych certyfikatów możemy pozostawić bez zmian.

Na następnym ekranie określamy lokalizację w której będą gromadzone informacje o wystawionych, odwołanych oraz wygasłych certyfikatach. Jeśli nie ma takiej potrzeby nie zmieniamy zaproponowanych wartości.

Ostatni ekran jest podsumowaniem. Jeśli zdefiniowane przez nas opcje są zgodne z naszymi oczekiwaniami wybieramy Konfiguruj.

Następuje stosowanie wybranych opcji, jeśli wszystko przebiegnie bez problemów zostaniemy o tym powiadomieni stosownym komunikatem. Jak widać poniżej konfiguracja usługi AD CS przebiegła prawidłowo.

Niezbędne usługi zostały zainstalowane przechodzimy do ich konfiguracji.

Ponieważ nasz serwer działa w oparciu o usługę Active Directory rozpoczniemy od utworzenia jednostki organizacyjnej (OU) gromadzącej wszystkich użytkowników.

Tworzenie jednostek organizacyjnych, grup oraz użytkowników było już opisywane ale by nie szukać opisu po wcześniejszych wpisach i by zachować ciągłość przeprowadzanej konfiguracji etap ten zilustrujemy odpowiednimi zrzutami.

Tworzymy jednostkę organizacyjną (za pomocą narzędzia Użytkownicy i komputery usługi AD):

1 - po kliknięciu PPM na nazwę domeny i wybraniu z menu kontekstowego opcji Nowy a następnie Jednostka organizacyjna,

2 - lub za pomocą ikony umieszczonej w górnej części okna.

W nowo otwartym oknie: Nowy obiekt - Jednostka organizacyjna określamy nazwę tworzonego obiektu: securityL2. Opcjonalnie możemy zaznaczyć opcję Chroń kontener przed przypadkowym usunięciem. Zaznaczenie opcji uchroni Nas przed przypadkowym usunięciem kontenera.

Po utworzeniu OU definiujemy konto użytkownika. Podobnie jak tworzyliśmy jednostkę organizacyjną tak i w tym przypadku możemy skorzystać z menu kontekstowego (punkt 1) bądź ikony (punkt 2).

W oknie Nowy obiekt - Użytkownik określamy podstawowe dane tworzonego konta (Imię, Nazwisko, Inicjały oraz nazwę logowania) wraz z hasłem. W dalszym opisie będziemy posługiwali się kontem użytkownika, którego nazwa logowania została ustalona na: jankow

Po utworzeniu konta użytkownika dodatkowo tworzymy grupę. I tu również obowiązują te same zasady co w przypadku jednostki organizacyjnej oraz konta.

Po wywołaniu okna Nowy obiekt - Grupa określamy nazwę grupy: securityL2grupa Zaproponowane opcje grupy tj. zakres grupy (globalny) oraz typ grupy (zabezpieczenia) pozostawiamy bez zmian.

Po utworzeniu wszystkich niezbędnych kontenerów ostatnią czynnością jaką musimy wykonać to przypisanie utworzonego konta do grupy. Aby przypisać konto użytkownika: jankow do grupy: securityL2grupa zaznaczamy użytkownika z menu kontekstowego wybieramy opcję Dodaj do grupy…

W oknie Wybieranie: Grupy w polu Wprowadź nazwy obiektów do wybrania definiujemy nazwę grupy, której członkiem ma stać się użytkownik. Oczywiście wpisujemy: securityL2grupa

Poprawność przeprowadzonych działań możemy zweryfikować poprzez wybranie opcji Właściwości grupy i sprawdzeniu na karcie Członkowie kont przypisanych do tej grupy. Jak widać poniżej użytkownik Jan Kowalski należy do grupy securityL2grupa.

Karty tej w połączeniu z przyciskiem Dodaj również możemy użyć do przeprowadzenia operacji przypisania kont użytkowników do danej grupy.

Mamy już zdefiniowanego użytkownika, który będzie uprawniony do korzystania z naszej sieci ale by użytkownik ten mógł wykonać operację podłączenia do sieci trzeba jeszcze skonfigurować serwer uwierzytelniający (w naszym wypadku serwer RADIUS).

Odpowiednia z ról została zainstalowana wcześniej przejdźmy zatem do jej konfiguracji. Po uruchomieniu Menedżera serwera z opcji dostępnych w prawym górnym rogu wybieramy Narzędzia a następnie Serwer zasad sieciowych (punkt 1). Po uruchomieniu okna konfigurującego serwer jeśli jeszcze nie autoryzowaliśmy go w usłudze Active Directory wybieramy z menu opcje Akcja a następnie Zarejestruj serwer w usłudze Active Directory (punkt 2). Aby dokończyć rejestrację na postawione pytanie odpowiadamy wybierając przycisk OK (punkt 3).

Do dokonanej autoryzacji z dostępnych gałęzi zaznaczamy Serwer zasad sieciowych (Lokalny) - punkt 1 a następnie w oknie opcji serwera w sekcji Konfiguracja standardowa z rozwijanej listy wybieramy scenariusz konfiguracji o nazwie: Serwer usługi RADIUS na potrzeby bezprzewodowych i przewodowych połączeń 802.1X (punkt 2). Po wyborze scenariusza konfiguracji celem jego uruchomienia klikamy na link: Skonfiguruj połączenia 802.1X (punkt 3).

Wybranie linku spowoduje uruchomienia kreatora, który przeprowadzi Nas przez cały proces wdrożenia protokołu 802.1x.

W pierwszym kroku należy podjąć decyzję o wyborze typu połącznia. Ponieważ scenariusz zakłada zabezpieczenie sieci przewodowej z dostępnych opcji wybieramy Bezpieczne połączenia przewodowe (Ethernet) - punkt 1, po dokonaniu wyboru określamy nazwę tworzonej zasady (punkt 2). Jeśli odpowiada Nam ta domyślnie zaproponowana klikamy Dalej.

Kolejny etap do określenie urządzeń, które będą pełnić rolę klienta serwera RADIUS (autentykator).

Aby zdefiniować urządzenie należy kliknąć na przycisk Dodaj (punkt 1). Po wybraniu opcji zostanie wyświetlone dodatkowe okno: Nowy klient usługi RADIUS za pomocą, którego określimy przyjazną nazwę urządzenia (punkt 2), jego adres IP (punkt 3) oraz zdefiniujemy wspólny klucz tajny, który posłuży Nam do zabezpieczenia połączenia pomiędzy klientem a serwerem RADIUS (punkt 4). Wprowadzony klucz oczywiście zapamiętujemy, gdyż potrzebny będzie Nam podczas przeprowadzania konfiguracji przełącznika. Wartość klucza została ustalona na: cisco1234

O zatwierdzeniu wprowadzonych ustawień zatwierdzamy je klawiszem OK. Przełącznik powinien pojawić się nam na liście Klienci usługi RADIUS. Oczywiście jeśli mamy więcej urządzeń możemy je kolejno dodać jeśli nie przechodzimy Dalej.

Po dodaniu urządzenia, które będzie pełniło rolę klienta serwera RADIUS czas by ustalić opcje związane z jego uwierzytelnieniem. Na karcie Konfigurowanie metody uwierzytelnienia z dostępnej listy protokołów wybieramy: Microsoft: Chroniony protokół EAP (PEAP) i klikamy Konfiguruj (punkt 1).

Na nowo wyświetlonej karcie Edytowanie właściwości chronionego protokołu EAP określamy certyfikat, który będzie użyty do potwierdzenia tożsamości serwera (punkt 2) oraz w sekcji Typ protokołu EAP zaznaczamy Bezpieczne hasło (EAP-MSCHAP v2) - punkt 3.

Z dodatkowych opcji na które mamy wpływ to: określenie liczby ponownych prób uwierzytelnienia oraz zezwolenie klientowi na zmianę hasła w przypadku jego wygaśnięcia. Opcje dostępne są po wybraniu opcji Edytuj.

Po zatwierdzeniu całej konfiguracji związanej z uwierzytelnieniem wybieramy Dalej.

Następne okno kreatora: Określenie grup użytkowników posłuży nam do zdefiniowania kont użytkowników, które będą podlegać działaniu protokołu 802.1X. W oknie tym definiujemy grupę, której użytkownicy będą musieli się uwierzytelnić. W naszym scenariuszu jest to grupa: securityL2group

Po definicji grupy (bądź grup) kolejną kartą kreatora jest okno: Konfigurowanie elementów kontroli ruchu w sieci na karcie tej mamy możliwość zdefiniowania zaawansowanych ustawień związanych między innymi z użyciem sieci VLAN i list kontroli dostępu (ACL). Ponieważ w naszym scenariuszu nie korzystamy z tych mechanizmów wybieramy przycisk Dalej.

Ostatnia karta jest ekranem podsumowującym.

Aby uzyskać bardzo szczegółowe informacje na temat ustawień, które zostaną zastosowane wybierz link: Szczegóły konfiguracji. Po wyborze odnośnika zostanie wyświetlona strona na której zebrane zostaną wszystkie ustawienia. Aby zapisać ustawienia i zamknąć kreatora należy kliknąć przycisk Zakończ.

Po przeprowadzeniu konfiguracji przełącznik zostanie dodany do serwera RADIUS. Gdybyśmy chcieli zmienić ustawienia zdefiniowane podczas dodawania nowego klienta należy przejść do gałęzi Klienci usługi RADIUS. Kliknięcie PPM na dany obiekt i wybranie Właściwości spowoduje uruchomienie okna w którym będziemy mogli dokonać korekty konfiguracji.

Dostępne są również opcje:

Wyłącz - zaznaczenie spowoduje wyłączenie klienta usługi RADIUS lecz bez jego usunięcia,
Zmień nazwę - zmiana nazwy klienta usługi RADIUS,
Usuń - usunięcie klienta usługi RADIUS,
Zapisz jako szablon - wszystkie ustawienia klienta zostają zapisane do szablonu, który możemy wykorzystać podczas tworzenia innych klientów usługi RADIUS (przydatne gdy należy utworzyć kilku klientów z tym samym zestawem opcji).

Aby nasz przełącznik mógł poprawnie komunikować się z serwerem RADIUS konieczne jest uaktywnienie jeszcze jednej opcji związanej z określeniem typu łącza, które będzie wykorzystywane do przesyłania niezbędnych danych. Aby zdefiniować typ użytego łącza w oknie Serwera zasad sieciowych należy przejść do gałęzi Zasady sieciowe a następnie wskazać utworzoną zasadę (w scenariuszu przyjęliśmy nazwę domyślną czyli Bezpieczne połączenie przewodowe (Ethernet)) i wyświetlić jej Właściwości. W nowo otwartym oknie przechodzimy do grupy opcji związanych z Typ portu serwera dostępu do sieci a następnie z dostępnych ustawień wybieramy Ethernet.

Serwer RADIUS został skonfigurowany kolejnym etapem jest konfiguracja przełącznika. Przykład konfiguracji przeprowadziłem na przełączniku CISCO Catalyst 2960 oraz CISCO Catalyst 3560 w obu przypadkach konfiguracja przebiegła w ten sam sposób a użyte modele przełączników poprawnie współpracowały z serwerem RADIUS.

Konfiguracja przełącznika przebiega w dwóch etapach pierwszym jest globalne skonfigurowanie obsługi protokołu 802.1x drugim zaś wskazanie interfejsów, które protokół ten mają obsługiwać.

Aby switch mógł pełnić rolę klienta serwera RADIUS (autentykator) należy wydać następujące polecenia:

1 - aaa new-model - włączenie modelu AAA (więcej w artykule: Dostęp zdalny oraz prawa użytkownika w urządzeniach CISCO),

2 - aaa authentication dot1x default group radius - włączenie uwierzytelnienia RADIUS,

3 - aaa authorization network default group radius - włączenie autoryzacji RADIUS

4 - dot1x system-auth-control - uruchomienie wykorzystania protokołu 802.1x,

5 - radius-server host <adres_IP> auth-port <numer_portu> acct-port <numer_portu> key <klucz> - określenie adresu IP serwera RADIUS wraz z definicją użytych portów oraz klucza, który ustaliłeś podczas konfiguracji serwera RADIUS (serwer RADIUS i jego konfiguracja szerzej została opisana w wpisie: Windows Server 2012 - Serwer RADIUS).

Konfigurację globalną mamy za sobą czas by zdefiniować port przełącznika. W scenariuszu interfejsem do którego podłączony jest klient jest port f0/23 tak więc konfiguracji będzie podlegać właśnie ten interfejs. Po przejściu do trybu konfiguracji interfejsu wydajemy polecenie: swichport mode access Wydanie polecenia ustawia interfejs w trybie dostępu (ang. access, tryb ten przeznaczony jest dla klientów końcowych). Użycie komendy: dot1x port-control auto uruchamia uwierzytelnienie. Wydanie polecenia jak widać po analizie zrzutu zamieszczonego poniżej jest możliwe tylko po uprzednim ustawieniu interfejsu do pracy w trybie access.

Oba etapy konfiguracji przełącznika zostały wykonane - idziemy dalej.

Serwer RADIUS oraz przełącznik Cisco zostały skonfigurowane czas przejść do ostatniego elementu tej układanki czyli klienta.

Aby klient mógł skorzystać z łączności opartej o protokół 802.1x należy w pierwszej kolejności włączyć usługę: Automatyczna konfiguracja sieci przewodowej (dot3svc, Wired AutoConfig), która domyślnie nie jest uruchamiana.

Aby włączyć wykorzystanie protokołu 802.1x uruchamiamy kartę Usługi i z dostępnej listy odszukujemy interesującą Nas usługę. Po wybraniu jej Właściwości klikamy na przycisk Uruchom. Aby usługa uruchamiała się wraz z systemem należy zmienić Typ uruchomienia - z opcji Ręczny na Automatyczny. Aby wymusić automatyczne uruchamianie usługi w wierszu linii poleceń możesz wydać polecenie: sc config dot3svc start= auto

Po poprawnym uruchomieniu usługi w Właściwościach połączenia pojawi się nowa zakładka - Uwierzytelnienie.

Po przejściu na wspomnianą zakładkę należy wykonać następujące czynności:

1 - zaznaczyć opcję Włącz uwierzytelnienie metodą IEEE 802.1X,

2 - z listy dostępnych metod uwierzytelnienia wybrać Microsoft: Chroniony protokół EAP (PEAP)

Dodatkowo na karcie tej możesz skonfigurować zapamiętanie wprowadzonych poświadczeń oraz czy możliwy jest powrót do nieautoryzowanego dostępu do sieci.

Po uaktywnieniu uwierzytelnienia metodą 802.1x wybierz przycisk Ustawienia. Wybranie przycisku spowoduje uaktywnienie karty: Właściwości chronionego protokołu EAP. Na karcie tej odznacz wszystkie pola a z dostępnej listy wybierz: Bezpieczne hasło (EAP-MSCHAP v2)

Po wybraniu przycisku Konfiguruj będzie możliwość włączenia automatycznego użycia nazwy logowania i hasła.

Po określeniu wszystkich ustawień powracamy do okna Właściwości połączenia sieciowego gdzie na karcie Uwierzytelnienie wybieramy przycisk Ustawienia dodatkowe. W nowo otwartym oknie Ustawienia zaawansowane po zaznaczeniu pola Określ tryb uwierzytelnienia pozastawiamy pozycję domyślną i zalecaną czyli Uwierzytelnienie użytkownika lub komputera. Użycie przycisku Zapisz poświadczenia da Nam możliwość zdefiniowania loginu i hasła, które zostaną użyte podczas procesu uwierzytelniania.

Wszystkie czynności konfiguracyjne zostały przeprowadzone czas zatem sprawdzić ich efekt - Czy uda nam się połączyć z chronioną siecią za pomocą protokołu 802.1?

Komputer klienta został podłączony do portu przełącznika. Po krótkiej chwili powinien pojawić się komunikat: Do połączenia się z siecią są wymagane dodatkowe informacje

Na komunikat ten oczywiście należy kliknąć. Pojawi się okno zabezpieczeń systemu Windows w którym to należy wpisać poświadczenia użytkownika mogącego połączyć się z siecią. W naszym scenariuszu użytkownikiem tym jest: jankow (jeśli wystąpi problem z uwierzytelnieniem przed nazwą użytkownika umieść nazwę domeny np. firma\jankow).

Po wpisaniu prawidłowych danych powinno udać się Nam nawiązać połączenie z siecią.

Weryfikację nawiązanego połączenia możemy dokonać na serwerze poprzez wybranie w Menedżer serwera opcji Ochrona dostępu do sieci. W sekcji Zdarzenia powinna pojawić się informacja o nawiązaniu połączenia z chronioną siecią przez użytkownika jankow. Zdarzenia o charakterze informacyjnym domyślnie nie są włączone tak więc nie zapomnij o uaktywnieniu pokazywania tego typu zdarzeń.

Dodatkowo przebieg procesu ustanawiania połączenia możemy obserwować na samym przełączniku dzięki zastosowaniu polecenia: debug dot1x <parametr>

Dostępne parametry:

all - wyświetla wszystkie wiadomości związane z protokołem 802.1x
errors - wiadomości związane z napotkanymi błędami,
events - zdarzenia dotyczące działania protokołu 802.1x,
packets - komunikaty pakietów wysyłanych/otrzymywanych w ramach działania usługi,
registry - wiadomości rejestru,
state-machine - komunikat związane ze stanem urządzenia w kontekście działania protokołu 802.1x

Poniżej przykład włączonego procesu debugowania działającego na przełączniku w oparciu o polecenie: debug dot1x state-machine Jak można zauważyć zrzut uwidacznia poprawne przeprowadzenie procesu autoryzacji dla portu f0/23.

Stan wymienianych informacji możemy także obserwować w trakcie procesu przechwytywania pakietów. I tu również jak na dłoni widać iż cała czynność związana z uzyskaniem dostępu do chronionej sieci przebiegła prawidłowo.

Jeśli podczas nawiązywania połączenia wystąpią błędy stosowna informacja o ich stanie zostanie Nam oczywiście przekazana. Poniżej przykład uzyskanych informacji (ponownie dzięki wydaniu polecenia: debug dot1x state-machine) w sytuacji w której błędnie zostały wprowadzone poświadczenia. Port f0/23 przełącznika nie został autoryzowany.

Brak uwierzytelnienia uniemożliwia Nam przeprowadzenie jakiejkolwiek komunikacji - test ping z wykorzystaniem adresu IP przełącznika kończy się niepowodzeniem.

Oczywiście podczas przeprowadzanej konfiguracji coś może pójść nie tak i okaże się, że finał Naszych starań kończy się niepowodzeniem czyli brakiem możliwości uwierzytelnienia. Przyczyn niepowodzenia dokonania poprawnej autoryzacji może być wiele - błąd w konfiguracji serwera bądź klienta lecz również przyczyną problemów może być sam przełącznik.

Aby zweryfikować stan portu możemy posłużyć się poleceniem: show interfaces <interfejs_numer>. W przypadku braku poprawnie zestawionego połączenia przy stanie portu pojawi się wpis: notconnect (dioda kontrolna na switchu jest wyłączona).

Jeśli zaś połączenie jest nawiązane interfejs pracuje w stanie: up - dioda informująca o włączeniu interfejsu jest zapalona dodatkowo wpis: connected potwierdza zestawienie połączenia.

Stan interfejsu możemy również sprawdzić za pomocą polecenia: show dot1x all Po wydaniu polecenia uzyskamy informacje o wszystkich interfejsach, które w danej chwili do przesyłania danych wykorzystują protokół 802.1x. Jeśli interesuje się stan konkretnego interfejsu wydaj polecenie: show dot1x interface <interfejs_numer>

Statystyki danego portu poznasz po wydaniu komendy: show dot1x statistics interface <interfejs_numer>

Przy rozwiązywaniu problemów z protokołem 802.1x pomóc nam może polecenie: debug aaa authentication informujące Nas o stanie procesu uwierzytelnienia. Poniżej przykład w którym użytkownik jankow uzyskuje dostęp do chronionej sieci (część informacji).

Sprawdzenie przebiegu procesu autoryzacji dokonasz za pomocą komendy: debug aaa authorization

Komunikację przełącznika z serwerem RADIUS możesz zweryfikować po wydaniu polecenia: show radius statistics

Jeśli interesują Cię bardziej dokładne informacje posłuż się poleceniem: debug radius

I w temacie użycia protokołu 802.1x byłoby tyle. Oczywiście wpis ten tematu nie wyczerpuje gdyż przedstawiony sposób wykorzystania protokołu 802.1x jest jednym z wielu a przedstawione rozwiązanie opisuje tylko te najczęściej wybierane.

BIBLIOGRAFIA:

A simple wired 802.1X lab - PacketLife.net

Catalyst 2940 Switch Command Reference, 12.1(19)EA1 - Debug Commands [Cisco Catalyst 2940 Series Switches] - Cisco

Windows 2012 Domain Controller 802.1x Authentication Radius Cisco Part 1 - YouTube

Windows 2012 Domain Controller 802.1x Authentication Radius Cisco Part 2 - YouTube

802.1x Wired Authentication on a Catalyst 3550 Series Switch and an ACS Version 4.2 Configuration Example - Cisco

Windows Server 2012. Poradnik administratora. Serwer plików.

2015-11-29T19:14:58+00:00

W tym wpisie zajmiemy się przydzieleniem uprawnień poszczególnym grupom do wykonania operacji na plikach i folderach ale nie tylko. Gorąco zachęcam w pierwszej kolejności do zapoznania się z wpisem: Kontrola dostępu do zasobów gdyż jest to artykuł opisujący zagadnienie bardziej od strony teoretycznej a w tym wpisie zajmiemy się stroną bardziej praktyczną.

Aby nasz serwer mógł zacząć przechowywać pliki i foldery a następnie udostępniać je w naszej sieci musi być zainstalowana rola Usługi plików i magazynowania. Rola jest domyślnie instalowana podczas instalacji systemu.

Zanim przejdziemy do udostępniania konkretnych zasobów plikowych naszego serwera kilka słów wypadałoby by napisać o tworzeniu woluminów na których udostępniane pliki będą zapisywane.

Tworzenie dysków, woluminów w systemie Windows 2012 Server nie odbiega od tego co już znamy z innych systemów rodziny Windows, czyli naszą przestrzeń magazynową możemy zdefiniować przy pomocy narzędzia Zarządzanie dyskami

W artykule tym nie będą opisywał jak używać tego narzędzia gdyż szczegółowy jego opis znalazł się w wpisie: Zarządzanie dyskami czyli słów kilka o partycjach i woluminach do którego wszystkich zainteresowanych odsyłam. Zamiast tego skupimy się na nowej funkcjonalności i całkiem nowego podejścia do definicji dysków zawartych w systemie Windows Server 2012.

Nowa funkcjonalność systemu Windows Server pozwala nam na użycie mechanizmu Storage Spaces. Działanie tego mechanizmu sprowadza się do dodania fizycznych urządzeń (dysków twardych, niezależnie od interfejsu - mechanizm wspiera dyski: Serial ATA, SAS, SCSI oraz nośniki podłączane przez port USB) do tzw. pul magazynów (ang storage pools). Zdefiniowane pule magazynu są więc grupą fizycznych dysków twardych, których pojemność jest łączona w jedną przestrzeń magazynowania.

Następnym krokiem po utworzeniu puli magazynowania jest zdefiniowanie tzw. dysku wirtualnego czyli dysku utworzonego z dostępnego, wolnego miejsca w puli magazynu.

Na podstawie stworzonych dysków wirtualnych definiujemy woluminy.

Tak więc podsumowując, wolumin na którym będziemy zapisywać pliki w ramach mechanizmu Storage Spaces wymaga od nas:

- - podłączenia jednego bądź więcej czystych dysków twardych,
  - utworzenia puli magazynu w skład, której wejdą fizyczne, podłączone i działające napędy,
  - utworzenia dysku wirtualnego w ramach utworzonej puli,
  - stworzenie woluminu bazującego na dysku wirtualnym.

To na tyle jeśli chodzi o teorię przejdźmy zatem do konkretnego przykładu, tak aby w praktyce omówić działanie tego rozwiązania. Na koniec warto jeszcze dodać, że funkcja Windows Storage Spaces jest wspierana przez systemy Windows 8, Windows 8.1, Windows 10, Windows Server 2012 oraz Windows Server 2012 R2.

Zaczynamy więc od utworzenia puli magazynu. W systemie istnieje 6 dysków twardych.

Utworzymy dwie pule magazynowe. Definicję pul magazynu realizujemy na karcie Pule magazynu dostępnej w Menedżer serwera w sekcji Usługi plików i magazynowania.

Po przejściu na kartę Pule magazynu wybieramy Zadania a następnie Nowa pula magazynu.

Naszym oczom powinien ukazać się Kreator nowej puli magazynu wybieramy Dalej.

W kolejnym kroku ustalamy nazwę tworzonej puli oraz opcjonalnie możemy zdefiniować jej opis.

Karta Dyski fizyczne pozwala nam określenie dysków, które będą wchodzić w skład tworzonej puli. Wybieramy dyski od 1 do 3 (pozostałe dyski posłużą do utworzenia drugiej puli magazynu).

Po wybraniu Dalej kreator wyświetli Potwierdzenie wprowadzonych ustawień. Klikamy Utwórz.

Pula magazynu jest tworzona.

Po utworzeniu puli w analogiczny sposób zostaje utworzona pula druga. W skład drugiej puli wchodzą dyski od 4 do 5. Dysk 6 pozostaje nam w zapasie. Efektem przeprowadzonej konfiguracji jest stworzenie dwóch odrębnych pul magazynu o nazwach: Magazyn_01 oraz Magazyn_02.

Po zdefiniowaniu pul magazynu kolejnym krokiem jest utworzenie dysku wirtualnego. Dyski wirtualne tworzymy w ramach wcześniej zdefiniowanych pul magazynu. Definicję dysku wirtualnego rozpoczniemy od puli Magazyn_02.

Aby utworzyć dysk wirtualny w sekcji Dyski wirtualne wybieramy Zadania a następnie Nowy dysk wirtualny.

Po wybraniu opcji tworzenia nowego dysku wirtualnego uruchomi się kreator. Wybieramy Dalej.

Na karcie Pula Magazynu określamy pulę w ramach, której będzie przeprowadzana operacja tworzenia dysku wirtualnego. Została wybrana pula: Magazyn_02

Kolejna karta to definicja nazwy tworzonego dysku wirtualnego oraz opisu.

Na karcie Układ magazynu następuje definicja sposobu składowania naszych danych. Do wyboru mamy trzy opcje:

- - Simple - utworzenie dysku, którego przestrzeń będzie obejmować sumę oferowanej pojemności dysków fizycznych. Wybór tego rozwiązania spowoduje utworzenie wspólnej przestrzeni dyskowej, obejmującej swym zasięgiem dyski wchodzące w skład puli. W rozwiązaniu tym uzyskujemy największą ilość miejsca lecz rozwiązanie to nie zapewnia nam zabezpieczenia w przypadku awarii nośnika. Działanie opcji możemy porównać do utworzenia macierzy RAID 0.
  - Mirror - opcja ta jest odpowiednikiem RAID 1. Zapisywane dane są dublowane. Aby utworzyć dysk wirtualny typu mirror potrzebne są przynajmniej dwa dyski twarde. Zastosowanie dwóch dysków chroni nas przed awarią jednego z nich natomiast wybór pięciu dysków podniesie poziom bezpieczeństwa - awarii mogą ulec dwa dyski twarde.
  - Parity - opcja ta jest odpowiednikiem RAID 5. Dane są zapisywane z wykorzystaniem bitów parzystości, awaria jednego z dysków pozwala na podstawie zapisanych informacji na odtworzenie danych. Do utworzenia dysku wirtualnego potrzebne są przynajmniej trzy dyski twarde.

Została wybrana opcja Simple

Karta Obsługa pozwala nam określenie ilości alokowanego miejsca. Oznacza to, że możemy tworzonemu dyskowi przydzielić faktyczną ilość miejsca oferowaną przez dyski (opcja Stały ang. Fixed) bądź skorzystać z opcji alokowania elastycznego (ang. Thin) umożliwiającej na zdefiniowanie rozmiaru większego niż to faktycznie wynika z ilości fizycznie posiadanego miejsca - funkcja thin provisioning - ilość alokowanej przestrzeni dyskowej może być większa niż dostępna na dysku.

Obsługę magazynu określamy na alokowanie elastyczne.

Kolejny krok to określenie rozmiaru tworzonego dysku. Ze względu na fakt, że wybraliśmy opcję alokowania elastycznego rozmiar woluminu możemy ustalić na większy niż faktycznie pozwala nam na to ilość posiadanego miejsca. Rozmiar dysku wirtualnego został ustalony na 372 GB.

Ostatni ekran jest ekranem podsumowującym przeprowadzoną konfigurację. Wybieramy Utwórz.

Trwa tworzenie nowego dysku wirtualnego.

Po utworzeniu dysku twardego uruchomi się kolejny kreator - Kreator nowych woluminów.

Po wybraniu Dalej. Określamy dysk wirtualny na, którym będzie tworzony wolumin.

Na karcie Rozmiar określamy ilość miejsca jaka zostanie przydzielona woluminowi. Woluminowi zostaje przypisana całe dostępne miejsce oferowane przez dysk wirtualny. Oczywiście nic nie stoi na przeszkodzie aby podział ten dokonać według własnego uznania. Oznacza to, że dysk wirtualny możemy dzielić według własnego uznania i potrzeb.

Następny krok to definicja litery dysku pod jaką wolumin będzie dostępny w systemie.

Ostatnią czynnością jaką należy zdefiniować to system plików oraz nazwa tworzonego woluminu. Zostaje wybrany system NTFS.

Ekran Potwierdzenie to podsumowanie wybranych opcji.

Po wybraniu Utwórz zostaje utworzony wolumin.

Dobrnęliśmy do końca wolumin został skonfigurowany od tej pory można prowadzić na nim zapis plików.

W systemie istnieje jeszcze jedna pula magazynu. Na bazie puli został stworzony dysk wirtualny typ jego został zdefiniowany jako parity a układ magazynu został ustalony na stały. Całe miejsce dysku wirtualnego zostało przypisane woluminowi - litera dysku G; system plików: ReFS

Podczas tworzenia dysku wirtualnego została użyta opcja alokowania miejsca. Naszą pulę tworzą dwa fizyczne dyski twarde, których suma pojemności wynosi około 248 GB Rozmiar dysku wirtualnego został zaś ustalony na 372 GB oznacza to, że fizycznie nie mamy zagwarantowane obsłużenie woluminu powstałego na bazie dysku wirtualnego. Brakuj nam 124 GB.

Na szczęście mamy jeszcze jeden dysk twardy. Aby zagwarantować prawidłowe działanie woluminu do zdefiniowanej puli możemy przypisać wolny dysk.

Aby dodać do puli nowy dysk, klikamy na pulę i z menu kontekstowego wybieramy opcję Dodaj dysk fizyczny

Po wybraniu opcji w oknie Dodawanie dysku fizycznego wybieramy dysk, który ma wejść w skład puli.

Po dodaniu do puli dysku o pojemności 150 GB dysponujemy nadwyżką 25 GB.

Nadwyżka ta może zostać wykorzystana na utworzenie nowego dysku wirtualnego bądź rozszerzenie już istniejącego. Aby rozszerzyć dysk wirtualny zaznaczamy dysk i z menu kontekstowego wybieramy Rozszerz dysk wirtualny

W nowo otwartym oknie wpisujemy pożądany rozmiar wirtualnego dysku.

Po rozszerzeniu dysku wirtualnego można przejść do zmiany rozmiaru woluminu. Podobnie jak w przypadku dysku wirtualnego, wolumin rozszerzamy po kliknięciu i wybraniu z menu Rozszerz wolumin

W nowo otwartym oknie wpisujemy wartość docelową woluminu. Po wykonaniu rozszerzenia niewykorzystane miejsce staje się częścią woluminu.

Całe dostępne miejsce zostało przypisane.

W systemie istnieją dwa woluminy przy czym jeden został sformatowany z wykorzystaniem systemu plików NTFS drugi zaś korzysta z nowego rozwiązania a mianowicie ReFS (ang. Resilient File System)

System plików ReFs jest nowym podejściem Microsoftu do idei zarządzania plikami. System ten został stworzony z myślą o bardziej efektywnym zarządzaniu dużą ilością danych, składowanych na dyskach komputerów. Wiele dobrze znanych funkcji, zostaje zachowanych lecz są takie, które nowy system plików nie wspiera. Już analiza powyższego rysunku na którym zostały ukazane właściwości dysków sformatowanych w systemie NTFS (po lewej) jak i nowym ReFs (po prawej) dostarcza nam informacji o wspieranych funkcjach. Funkcjami nie wspieranymi przez system plików ReFs są kompresja oraz możliwość tworzenia przydziałów (brak opcji Kompresuj ten dysk, aby zaoszczędzić miejsce na dysku oraz brak zakładki Przydział). Zabrakło również wsparcia dla funkcji szyfrowania EFS (rysunek poniżej - po lewej plik zapisany na partycji NTFS po prawej plik zapisany na partycji ReFs).

Woluminy korzystające z ReFS współpracują z mechanizmem BitLocker.

Ponadto z woluminu korzystającego z ReFs nie uruchomimy systemu.

Pełne porównanie funkcjonalności obu systemu plików zostało zamieszczone w tabeli poniżej.

Źródło: http://blogs.technet.com/b/askpfeplat/archive/2013/01/02/windows-server-2012-does-refs-replace-ntfs-when-should-i-use-it.aspx

NTFS Features

ReFS Features

Supports Case-sensitive filenames

Preserves Case of filenames

Supports Unicode in filenames

Preserves & Enforces ACL's

Supports file-based Compression

Supports Disk Quotas

Supports Sparse files

Supports Reparse Points

Supports Object Identifiers

Supports Encrypted File System

Supports Named Streams

Supports Transactions

Supports Hard Links

Supports Extended Attributes

Supports Open By FileID

Supports USN Journal

Supports Case-sensitive filenames

Preserves Case of filenames

Supports Unicode in filenames

Preserves & Enforces ACL's

Supports Sparse files

Supports Reparse Points

Supports Open By FileID

Supports USN Journal

Tak więc po przeczytaniu tych kliku linijek tekstu o systemie ReFS niejednemu na myśl przyjdzie pytanie - Po co mi ten nowy system plików? Zmianie uległ sposób organizacji i zarządzania składowanymi danymi. Zrezygnowano z niepraktycznego dziennika używanego w NTFS na rzecz zapisu z użyciem tabel. Oznacza to, że w systemie ReFs foldery posiadają strukturę tabeli a pliki stanowią jej wpisy. Położono również szczególny nacisk na automatyczne korygowanie błędów, skalowalność całego rozwiązania oraz na wyeliminowanie błędów zapisu będących wynikiem utraty zasilania. Tak więc wykorzystując ReFs możemy zapomnieć o dobrze znanym narzędziu ScanDisk (chkdsk) ponieważ wszystkie naprawy systemu pliku są przeprowadzane w sposób niewidoczny dla użytkownika w trakcie pracy systemu.

Dlatego system plików ReFS sprawdzi się w tych rozwiązaniach w których są przetwarzane ogromne ilości danych/plików (centra danych, rozwiązania oparte o chmurę).

Na konie jeszcze krótki przegląd możliwości oraz porównanie obu systemów plików.

	ReFS	NTFS
Wielkość pliku	18,4 x 10^18 (eksabajt)	16 x 10^12 (terabajt)
Rozmiar wolumin	402 x 10^21 (zettabajt)	18,4 x 10^18 (eksabajt)
Max liczba plików w folderze	18 x 10^18 (trylion)	4,3 x 10^9 (miliard)
Max długość nazwy pliku	32 767 znaków	255 znaków
Max długość ścieżki	32 767 znaków	255 znaków

Przechodzimy do ustalania poziomu uprawnień udostępnianych plików ale zanim zaczniemy szybkie wprowadzenie.

Do dyspozycji mamy dwa poziomy uprawnień:

- - Uprawnienia systemu plików - ustanowione i skonfigurowane działają zawsze czyli nieważne czy dostęp do danych jest realizowany z poziomu komputera czy za pośrednictwem sieci to zawsze jesteśmy objęci ich działaniem,
  - Uprawnienia folderu udostępnionego - zasięg ich działania obejmuje sytuacje w których dostęp do plików jest realizowany zdalnie (z poziomu sieci) a zadaniem ich jest określenie, kto do danego udostępnionego zasobu sieciowego dostęp ma a kto nie.

Uprawnienia systemów plików są odpowiedzialne za kontrolę dostępu do udziałów na dyskach sformatowanych systemem plików NTFS oraz ReFs. Można je konfigurować zarówno na plikach jak i folderach. Uprawnienia te dzielimy na:

- - uprawnienia standardowe - uprawnienia podstawowe czyli określenie możliwości prowadzenia możliwości zapisu, odczytu oraz modyfikacji pliku bądź pełnej kontroli
  - uprawnienia specjalne - poszerzają kontrolę nad udostępnianymi zasobami o dodatkowe opcje.

Nadanie uprawnień udziela się poprzez określenie opcji zezwalaj (ang. allow) bądź odmów (ang. deny). Uprawnienia również mogą być dziedziczone (ang. inherited) po obiekcie nadrzędnym np. podfolder dziedziczy uprawnienia folderu w którym się znajduje. Uprawnienia są kumulowane a w przypadku konfliktu, uprawnienia dziedziczone są zastępowane uprawnieniami nadanymi jawnie. Uprawnienia typu odmów mają pierwszeństwo przed uprawnieniami zezwalaj. Oznacza to, że w przypadku przynależności użytkownika do dwóch grup i skonfigurowaniu dostępu do folderu/pliku dla jednej z grup na poziomie zezwalaj a drugiej na poziomie odmów, obowiązującym uprawnieniem będzie odmów (przykład w dalszej części wpisu).

W przypadku folderów udostępnionych zasób można ukryć. Ukrywanie odbywa się poprzez dodanie w nazwie zasobu na końcu znaku $. Oznacza to, że przykładowy udział o nazwie: dokumenty$ nie będzie widoczny w przypadku przeglądania zasobów sieciowych np. w Eksploratorze Windows lecz dostęp do niego będzie możliwy po podaniu prawidłowego adresu. Udziały administracyjne czyli dyski oraz foldery Admin$, Print$, FAX$ oraz IPC$ są zawsze ukryte. Domyślnym ustawieniem przy ustalani dostępu do zasobu sieciowego jest: Wszyscy - Odczyt (Everyone - Read)

Zanim przejdziemy dalej jeszcze przypomnienie. Przyjęliśmy następujące założenia:

- - jednostka OU Uczniowie – użytkownik Jan Kowalski, komputer – YYY
  - jednostka OU Nauczyciele – użytkownik Tadeusz Nowak, komputer – XXX

Rozpoczynamy od utworzenia folderu, który będziemy chcieli udostępnić. Folderowi zostaje przypisana nazwa: Pliki Po utworzeniu folderu z menu kontekstowego wybieramy Właściwości i przechodzimy na kartę Udostępnianie gdzie klikamy na Udostępnienie zaawansowane (punkt 1) W nowo otwartym oknie zaznaczamy opcję Udostępnij ten folder (punkt 2) oraz klikamy na Uprawnienia (punkt 3). W oknie Udostępnianie zaawansowane możemy dodatkowo określić nazwę udziału, określić liczbę jednoczesnych użytkowników korzystających z zasobu oraz dodać komentarz (opcja Buforowanie opisana w dalszej części).

Po kliknięciu na Uprawnienia w oknie Uprawnienia na plik możemy określić jakie grupy będą mogły z udziału korzystać oraz jakie operacje będą mogły być wykonane. Zależy nam aby z folderu Pliki mogły korzystać grupy nauczyciele i uczniowie tak więc po wybraniu przycisku Dodaj w nowo otwartym oknie w sekcji Wprowadź nazwy obiektów do wybrania wpisujemy obie nazwy grup.

Po wprowadzeniu nazw grup należy określić stan uprawnień. Dla grupy uczniowie oraz nauczyciele została ustanowiona opcja: pełna kontrola. Gdy chcemy aby z zasobu korzystały tylko te dwie grupy należy usunąć grupę Wszyscy

Po określeniu opcji związanych z udostępnieniem zasobu przechodzimy na zakładkę Zabezpieczenia gdzie należy określić stan uprawnień systemu plików. Aby zmodyfikować listę grup wybieramy przycisk Edytuj.

W nowo otwartym oknie Uprawnienia dla Pliki po wybraniu przycisku Dodaj, do listy już zdefiniowanych grup dodajemy grupę nauczyciele oraz uczniowie. Stan uprawnień dla obu grup został ustalony na Pełna kontrola

Po ustaleniu wszystkich opcji możemy sprawdzić ich efekt. Jako pierwszy loguje się użytkownik Jan Kowalski, który należy do grupy uczniowie. Jak widać poniżej użytkownik uzyskuje dostęp do zasobu sieciowego.

Jako drugi zostaje wybrany użytkownik grupy nauczyciele Tadeusz Nowak i jak można zaobserwować niżej, on również uzyskuje dostęp do udostępnionego folderu Pliki.

Przechodzimy do utworzenia katalogów, które będą przynależne do danej grupy a dodatkowo ustalimy poziomy zabezpieczeń tak aby dostęp do plików zapisanych w tych katalogach mieli tylko członkowie danej grupy. Zostają utworzone dwa katalogi Dokumenty nauczyciele oraz Dokumenty uczniowie. Katalogi zostają utworzone wewnątrz folderu Pliki.

Sprawdzenie wpisów zawartych na karcie Zabezpieczenia informuje nas, że do folderu Dokumenty nauczyciele mają również dostęp członkowie grupy uczniowie. Dostęp do katalogu jest efektem działania mechanizmu dziedziczenia uprawnień. Wpisy grup skonfigurowane podczas tworzenia folderu Pliki zostały odziedziczone przez foldery Dokumenty nauczyciele oraz Dokumenty uczniowie.

Zmiana uprawnień jest niemożliwa do czasu wyłączenia dziedziczenia. Jak widać poniżej próba usunięcia wpisu dotyczącego grupy uczniowie kończy się niepowodzeniem.

Aby wyłączyć dziedziczenie uprawnień po obiekcie nadrzędnym na karcie Zabezpieczenia wybieramy Zaawansowane. W nowo otwartym oknie klikamy na przycisk Wyłącz dziedziczenie.

Po wybraniu opcji Wyłącz dziedziczenie w nowo otwartym oknie musimy określić co ma się stać z wpisami już istniejącymi, do wyboru mamy dwie opcje:

- - Konwertuj uprawnienia odziedziczone na uprawnienia jawne do obiektu - wybranie tej opcji spowoduje zachowanie wszystkich wpisów zabezpieczeń lecz od tej pory będziemy mieli możliwość ich edytowania,
  - Usuń wszystkie uprawnienia odziedziczone z tego obiektu - zdecydowanie się na to rozwiązanie spowoduje usunięcie wszystkich wpisów, które są efektem dziedziczenia. Wpisy zabezpieczeń będziemy musieli od nowa określić sami.

Decydujemy się na konwersję uprawnień odziedziczonych na uprawnienia jawne.

Po wykonaniu operacji konwersji, zabraniamy grupie uczniowie na dostęp do folderu Dokumenty nauczyciele. Dostęp został zabrany poprzez jawne odebranie uprawnień.

Po kliknięciu na OK zostaniemy ostrzeżeni o konsekwencjach naszego wyboru. Jawne odebranie uprawnień ma wyższy priorytet przed jawnym zezwoleniem.

Analogicznie postępujemy z folderem Dokumenty uczniowie lecz tym razem uprawnienia do katalogu zostaje odebrane grupie nauczyciele.

Efektem przeprowadzonej konfiguracji będzie brak możliwości uzyskania dostępu do folderu Dokumenty nauczyciele przez użytkownika Jan Kowalski, który jest członkiem grupy uczniowie.

Oczywiście również użytkownik Tadeusz Nowak przynależny do grupy nauczyciele straci możliwość korzystania z folderu Dokumenty uczniowie.

Obie grupy będą miały możliwość prowadzenia odczytu i zapisu w folderze Pliki.

Określenie stanu uprawnień do udostępnionych zasobów możemy również wykonać za pomocą przystawki Menedżer serwera. Dlatego w tym celu w oknie menadżera w sekcji Usługi plików i magazynowania na karcie Udziały należy wybrać udostępniony udział. Definicję wpisów przeprowadzamy po wybraniu Właściwości.

W narzędziu zarządzania udziałami mamy możliwość skorzystania z jeszcze jednej funkcjonalności systemu Windows Server 2012 a mianowicie tzw. wyliczania opartego na dostępie (ang. Access Based Enumeration) Zadaniem funkcji jest wyświetlenie tylko tych plików i katalogów do których użytkownik ma przypisane przynajmniej prawo odczyt (ang. read).

Wracając do naszego przykładu np. użytkownik Jan Kowalski członek grupy uczniowie po otwarciu zasobu sieciowego ujrzy w udostępnionym zasobie katalog, który domyślnie przypisaliśmy grupie nauczyciele (do katalogu tego grupie uczniowie zostały odebrane wszystkie uprawnienia). Dostęp do katalogu dla użytkownika Jan Kowalski jest zabroniony. Aby wyłączyć wyświetlanie tego typu katalogów/plików do których nie mamy przyznanego prawa odczytu należy włączyć funkcję wyliczania opartego na dostępie.

Funkcję wyliczania włączamy po wybraniu karty Udziały i następnym kliknięciu PPM na udostępnionym zasobie opcji Właściwości. W nowo otwartym oknie przechodzimy do Ustawień gdzie odszukujemy opcję Włącz wyliczanie oparte na dostępie.

Po aktywacji opcji i zatwierdzeniu wyboru. Wszystkie foldery do których użytkownik Jan Kowalski nie ma dostępu zostaną przed nim ukryte (oczywiście opcja będzie miała wpływ na pozostałych użytkowników korzystających z udostępnionego zasobu). Wyświetlenie folderu Dokumenty nauczyciele zostaje wyłączone.

Poruszanie się w gąszczu nadanych uprawnień w szczególności gdy mamy wielu użytkowników przypisanych do wielu grup może być wielce skomplikowane bo czasem ciężko stwierdzić jakie uprawnienia będzie miał użytkownik A gdy należy do grupy X, Y oraz Z Dlatego w sprawdzeniu stanu dostępu pomoże nam narzędzie Dostęp czynny (narzędzie jest dostępne po wybraniu przycisku Zaawansowane na karcie Zabezpieczenia)

Po uruchomieniu narzędzia mamy możliwość określenia nazwy użytkownika (punkt 1) oraz jego członkostwa w różnych grupach (punkt 2) dodatkowo możemy zdefiniować wybór urządzenia względem, którego będzie przeprowadzana analiza (punkt 3) oraz jego członkostwa w grupach (punkt 4). Po ustaleniu wszystkich opcji i wyborze Wyświetl dostęp czynny będziemy mogli przeglądać wyniki uprawnień jakie zostaną przydzielone.

No to krótki przykład. Stworzono nowego użytkownika Mateusz Rybacha i nadano mu członkostwo w dwóch grupach nauczyciele oraz uczniowie.

Dodatkowo utworzono folder Dokumenty i do zasobu tego przypisano obie grupy przy czym grupie nauczyciele przyznano pełną kontrolę zaś grupie uczniowie do zasobu dostępu zabroniono.

Rodzi się pytanie - Jakie prawa będzie miał użytkownik? (choć, kto uważnie czytał ten dojdzie do wniosku, że dostęp będzie odebrany - pierwszeństwo mają uprawnienia typu odmów)

Aby przekonać się o stanie uprawnień możemy do tego wykorzystać narzędzie Dostęp czynny.

Po określeniu nazwy użytkownika i zdefiniowaniu jego członkostwa w grupach przekonujemy się, że rzeczywiście użytkownikowi Mateusz Rybacha dostęp do zasobu Dokumenty zostanie odebrany.

Narzędziem, które pomoże nam również w rozwiązaniu ewentualnych problemów z dostępem do zasobów jest Inspekcja. Inspekcja umożliwia włączenie rejestrowania wystąpienia określonych działań w dzienniku zdarzeń. W naszym przypadku będą to udane bądź nieudane (lub obie czynności razem) próby uzyskania dostępu do udostępnionych zasobów.

Aby włączyć inspekcję należy w oknie Zaawansowane ustawienia zabezpieczeń przejść do zakładki Inspekcja (ang. auditing)

W kolejnym kroku ustalamy użytkownika (lub grupę), dla którego będzie przeprowadzana inspekcja. Użytkownika dodajemy do listy wyboru poprzez przycisk Dodaj. Celem zilustrowania działania mechanizmu jako przykład został wybrany użytkownik Jan Kowalski, inspekcję przeprowadzimy względem zasobu Dokumenty uczniowie. Po wyborze użytkownika należy dodatkowo określić:

- - typ inspekcji - Wszystko (ang. All) - wszystkie zdarzenia są rejestrowane; Niepowodzenie (ang. Fail) -zdarzenia odrzucenia uprawnień są rejestrowane; Sukces (ang. Success) - zdarzenia zatwierdzenia są rejestrowane,
  - pole Dotyczy (ang. Applies) określamy elementy, które będą monitorowane,
  - wybór uprawnienia - określamy rodzaj uprawnienia podlegającego inspekcji. Rodzaj uprawnienia możemy określić na bazie uprawnień podstawowych (ang. Basic permissions) bądź uprawnień zaawansowanych (ang. Advanced permissions),
  - opcjonalnie możemy określić warunek w celu ograniczenia wykonywanych wpisów zdarzeń.

Po zdefiniowaniu wszystkich opcji wybieramy OK.

Po zatwierdzeniu wprowadzonych ustawień odpowiednie logi o ustanowieniu inspekcji i jej wynikach powinniśmy odnaleźć w dzienniku zdarzeń - karta Zabezpieczenia (ang. Security).

Udostępnione foldery celem umożliwienia użytkownikom ich łatwiejszego odszukania należy opublikować w usłudze Active Directory. Publikację informacji o zasobie wykonamy po uruchomieniu przystawki Zarządzanie komputerem (bądź Foldery udostępnione). Po wybraniu gałęzi Udziały wskazujemy zasób, który chcemy opublikować i po następnym wybraniu jego Właściwości i przejściu na kartę Publikowanie zaznaczamy opcję Publikuj ten udział w usłudze Active Directory Jako opcję możemy zdefiniować opis oraz tagi (słow kluczowe) publikowanego zasobu.

Od tej pory zasób ten będziemy wstanie wyszukać.

Informację o udostępnionych folderach jak i możliwość zarządzania nimi jest również możliwa z wykorzystaniem przystawki Użytkownicy i komputer usługi Active Directory (uprzednio z menu Widok należy zaznaczyć opcję Użytkownicy, kontakty, grupy i komputery jako kontenery)

Po określeniu wszystkich opcji odnośnie udostępnionego zasobu sieciowego celem łatwiejszego jego wykorzystania możemy na stacjach klienckich zdecydować się na jego mapowanie. Mapowanie zasobu spowoduje umieszczenie w oknie Komputer odnośnika po wybraniu, którego uzyskamy dostęp do udziału. Wybór tego rozwiązania zwalnia nas z ręcznego odwoływania się za każdym razem gdy chcemy uzyskać dostęp do lokacji sieciowej.

Aby wykonać mapowanie udziału na komputerze klienckim otwieramy okno Komputer. Wybranie przycisku Mapuj dysk sieciowy spowoduje wyświetlenie okna odpowiedzialnego za definicję parametrów podłączanego zasobu. W oknie tym musimy określić literę dysku pod jaką zostanie zamontowany udział oraz wprowadzić ścieżkę do zasobu. Wybranie opcji Połącz ponownie przy logowaniu spowoduje zmapowanie udostępnionego folderu po kolejnym zalogowaniu.

Po wybraniu Zakończ nastąpi utworzenie dysku sieciowego.

Gdy definiujemy mapowanie dysku do zasobu, który wymaga podania innych poświadczeń (np. lokacji standardowo przynależnej innej grupie użytkowników) należy wybrać Połącz przy użyciu innych poświadczeń. Po podaniu loginu i hasła dostęp do zasobu powinien zostać zrealizowany.

W przykładzie poniżej użytkownik Tadeusz Nowak (grupa nauczyciele) z konta Jan Kowalski (grupa uczniowie) uzyskał dostęp do plików przynależnych jego grupie - folder Dokumenty nauczyciele.

Mapowanie folderu możemy również wykonać z wykorzystaniem linii wiersza poleceń. Folder sieciowy zostanie zmapowany po wydaniu polecenia: net use <litera_dysku> <ścieżka_do_zasobu> Aby zdefiniować inne poświadczenia użyj polecenia: net use z: <litera_dysku> <ścieżka_do_zasobu> <hasło> /USER:<użytkownik> Użycie przełącznika /persistent:yes spowoduje podłączenie zasobu przy ponownym logowaniu.

Gdy w naszej organizacji korzystamy z Active Directory mapowanie folderu możemy wykonać za pomocą odpowiednio zdefiniowanej polisy GPO.

Po uruchomieniu przystawki Zarządzanie zasadami grupy przechodzimy do definicji nowej polisy (nazwa: mapowanie folderu). Polisa zostaje przypisana do jednostki organizacyjnej Uczniowie

Po utworzeniu polisy należy ją edytować. W Edytorze zarządzania zasadami grupy odszukujemy gałąź Konfiguracja użytkownika - Preferencje - Ustawienia systemu Windows - Mapowania dysków

Po odszukaniu gałęzi Mapowania dysków z menu kontekstowego wybieramy: Nowy - Dysk zamapowany

W oknie Nowe właściwości dysku definiujemy opcje związane z konfiguracją mapowanego udziału. Zostały określone opcje:

- - Akcja - Utwórz - tworzony jest nowy dysk,
  - Lokalizacja - ścieżka sieciowa do udziału sieciowego,
  - Połącz ponownie - zaznaczenie,
  - Litera dysku - określenie litery dysku mapowanego udziału, udział będzie dostępny jako dysk Z:

Po zatwierdzeniu ustawień czas by sprawdzić efekt wprowadzonej konfiguracji. Ponieważ polisa GPO została przypisana do OU uczniowie prawidłowość replikacji polisy następuje z wykorzystaniem konta Jan Kowalski, które jest przypisane do tej jednostki organizacyjnej.

Jak widać poniżej polisa GPO odpowiedzialna za mapowanie udziału sieciowego działa.

Przekierowanie pulpitu użytkownika jak również folderów osobistych (Dokumenty, Muzyka, Video itd. ) jest jedną z ciekawszych opcji jaką możemy zastosować w przypadku korzystania w naszej organizacji z mechanizmu Active Directory. Zbiór wszystkich plików użytkowników w jednym miejscu na serwerze upraszcza zarządzanie tymi plikami. Administratorowi jest np. łatwiej wykonać kopię zapasową gdyż pliki te nie są rozproszone na wszystkich komputerach a dodatkowo użytkownik końcowy ma pewność, że nie ważne jakiego komputera użyje to uzyska dostęp do swoich danych. Jest to możliwe gdyż pliki fizycznie nie są zapisywane na komputerze klienckim lecz w udostępnionej lokacji sieciowej.

Wykonamy przekierowanie folderu Pulpit oraz Dokumenty użytkowników należących do grupy nauczyciele. Mechanizm przekierowania wdrożymy z wykorzystaniem GPO.

Pierwszą czynnością jaką należy sprawdzić to fakt możliwości prowadzenia zapisu przez użytkowników danej grupy do lokacji sieciowej w której będzie realizowane przekierowanie. Folder Pulpit oraz Dokumenty będą zapisywane w folderze Dokumenty nauczyciele. Jak widać poniżej grupa nauczyciele uprawnienia do folderu ma ustawione na: pełna kontrola

Po sprawdzeniu możliwości zapisu przechodzimy do utworzenia polisy GPO odpowiedzialnej za realizację przekierowania. Tworzymy nowy obiekt zasad grupy, który zostaje połączony z jednostką organizacyjną nauczyciele.

Nazwa polisy zostaje zdefiniowana jako: przekierowanie folderów

Po utworzeniu polisy GPO w Edytorze zarządzania zasadami grupy odszukujemy gałąź Przekierowanie folderu (Konfiguracja użytkownika - Zasady - Ustawienia systemu Windows). Po wybraniu gałęzi w oknie po prawej powinny wyświetlić się nazwy folderów co do których przekierowanie może być zastosowane. Odszukujemy folder Pulpit i z menu kontekstowego wybieramy Właściwości.

W oknie Właściwości Pulpit należy zdefiniować Ustawienie. Z rozwijanej listy wybieramy: Podstawowe. Gdyby zależało nam na przekierowaniu folderu Pulpit użytkowników znajdujących się w różnych grupach z listy należy wybrać: Zaawansowane

Lokalizacja folderu docelowego zostaje wybrana na: Utwórz folder dla każdego użytkownika w ścieżce katalogu głównego Wybranie tej opcji spowoduje utworzenie podfolderów, które będą przynależne do użytkowników.

Ścieżka katalogu głównego określa adres przekierowania folderu Pulpit. Serwer ma przypisany adres 192.168.0.2 tak więc ścieżka przyjmie postać: \\192.168.02\Pliki\Dokumenty nauczyciel Oczywiście nic nie stoi na przeszkodzie aby zamiast adresu IP pojawiła się nazwa serwera. Działająca usługa DNS nazwę serwera rozwiąże na poprawny adres IP.

Na karcie Ustawienia można zdefiniować dodatkowe opcje związane z przekierowywaniem folderu. Myślę, że opisywać ich nie ma sensu gdyż opisy są na tyle jasne, że każdy po ich przeczytaniu nie będzie miał problemu z określeniem ich przeznaczenia.

Przekierowanie realizujemy również odnośnie folderu Dokumenty. Po wykonaniu konfiguracji czas sprawdzić skutek wprowadzonych modyfikacji.

Po poprawnym zalogowaniu się użytkownika Tadeusz Nowak przypisanego do grupy nauczyciele i wyświetleniu lokalizacji folderu Dokumenty widzimy, że przekierowanie folderu zostało zastosowane.

Zmianie również uległa domyślna lokalizacja folderu Pulpit.

Dodatkowo stan przekierowania możemy sprawdzić poprzez wydanie polecenia: gpresult /h c:\raport.htm tadnow nakazującego wygenerowanie raportu ukazującego polisy GPO (wraz z ustawieniami), które mają zastosowanie.

Fakt wykonania przekierowania możemy również sprawdzić po stronie serwera. Po przejściu do zdefiniowanej lokalizacji przekierowania powinniśmy ujrzeć nowo powstały folder, którego nazwa powinna odpowiadać nazwie użytkownika (w naszym przypadku tadnow). Po otwarciu katalogu widzimy dwa dodatkowe katalogi Desktop oraz Documents. W folderach tych od tej pory będą składowane pliki użytkownika.

Przekierowanie folderów niesie ze sobą ryzyko wyczerpania miejsca na dysku co do którego nastąpiło przekierowanie a już na pewno w przypadku w którym z przekierowania będzie korzystała duża liczba użytkowników. Użytkownicy z reguły mają tendencję do zapisywania ogromnej ilości danych na Pulpicie oraz w folderze Dokumenty. Aby uchronić się przed sytuacją w której zapis nowych plików nie będzie możliwy właśnie ze względu na fakt braku miejsca na nośniku możemy trochę zdyscyplinować użytkowników poprzez nałożenie na foldery przydziału (ang. quota) ograniczającego ilość możliwego do wykorzystania miejsca. Poprzez definicję przydziału określamy ilość danych jakie mogą być przechowywane w przekierowanym folderze.

Aby móc skorzystać z dobrodziejstw związanych z ustalaniem przydziałów w pierwszej kolejności należy doinstalować odpowiednie role i funkcje. Dodanie ich możemy wywołać poprzez przejście do znanej nam już karty Udziały i kliknięciu w prawej dolnej części ekranu opcji Uruchom Kreatora dodawania ról i funkcji w celu zainstalowania Menedżera zasobów serwera plików.

Instalację również możemy przeprowadzić z poziomu Menedżera serwera po wybraniu opcji Zarządzaj i dalej Dodaj role i funkcje. Rolę jako należy dodać to: Menedżer zasobów serwera plików (Usługi plików i magazynowania - Usługi plików i iSCSI) Po wybraniu roli wszystkie dodatkowe funkcje powiązane z rolą zostaną automatycznie dodane.

Po wybraniu roli następuje jej instalacja.

Po poprawnie przeprowadzonej instalacji w opcjach Narzędzia, Menadżera serwera powinna pojawić się nowa przystawka: Menedżer zasobów serwera plików (ang. File Server Resource Manager)

Od tej pory za pomocą tej przystawki mamy możliwość definiowania nowych szablonów przydziału jak i samych przydziałów.

Jako ćwiczenie ograniczmy użytkownikom ilość zapisywanych danych w folderach Pulpit i Dokumenty do 300 MB. W tym celu zaczynamy od utworzenia odpowiedniego szablonu. Po uruchomieniu przystawki Menedżer zasobów serwera plików w gałęzi Zarządzanie przydziałami wybieramy Szablony przydziałów a następnie z menu kontekstowego Utwórz szablon przydziału.

W oknie Tworzenie szablonu przydziału określamy nazwę tworzonego szablonu, limit oraz jego typ (przydział sztywny tzw. quota twarda czy przydział elastyczny tzw. quota miękka). Zdefiniowanie przydziału sztywnego nie zezwoli użytkownikom na przekroczenie limitu natomiast przydział elastyczny jest używany celem monitorowania ustalonych limitów. Opcjonalnie możemy zdefiniować krótki opis szablonu.

Dodatkowo w procesie konfiguracji przydziału możemy zdefiniować próg powiadomień. Progi definiujemy po wybraniu przycisku Dodaj. Zadaniem progów jest wygenerowanie powiadomienia informującego administratora o stanie wykorzystania miejsca. Zdefiniujemy próg, który wygeneruje komunikat w dzienniku zdarzeń w sytuacji, w której użytkownik przekroczy 85% ustanowionego przydziału (gdy ilość składowanych danych przekroczy 255 MB).

Po wybraniu Dodaj w oknie Dodawanie progu ustalamy wartość procentową powodującą wygenerowanie powiadomienia oraz sposób reakcji na incydent. Informacja o przekroczeniu progu ma być zamieszczona w dzienniku zdarzeń dlatego została wybrana karta Dziennik zdarzeń na której zostaje zaznaczona opcja Wyślij ostrzeżenie do dziennika zdarzeń. Dodatkowo możemy określić treść generowanego komunikatu.

Reakcją systemu na przekroczenie progu oprócz umieszczenia odpowiedniego wpisu w dzienniku zdarzeń może być również wysłanie powiadomienia w postaci emaila, wygenerowanie raportu czy wykonanie określonego polecenia. Oczywiście nie musimy się ograniczać tylko do jednego sposobu reakcji.

Po utworzeniu szablonu jego wpis znajdziemy na liście dostępnych szablonów.

Po zdefiniowaniu szablonu kolejnym krokiem jest ustanowienie przydziału. W tym celu odszukujemy gałąź Przydziały i po kliknięciu PPM wybieramy Utwórz przydział.

W oknie Tworzenie przydziału określamy ścieżkę przydziału oraz definiujemy sposób jego zastosowania - czy przydział ma dotyczyć tylko katalogu do którego odnosi się zdefiniowana ścieżka czy swym zasięgiem ma również obejmować utworzone podfoldery. Wybieramy drugą opcję - Automatycznie zastosuj szablon i utwórz przydziały dla istniejących i nowych podfolderów.

Ostatnią czynnością jest wybór szablonu przydziału, który będzie miał zastosowanie. Z rozwijanej listy odszukujemy utworzony przed chwilą szablon (można skorzystać z szablonów wstępnie zdefiniowanych). Zdefiniowane opcje zatwierdzamy przyciskiem Utwórz.

Przydział został zdefiniowany. Sprawdźmy jego działanie. Użytkownik Tadeusz Nowak na swoim Pulpicie zapisał pliki, których łączny rozmiar przekroczył próg ustanowionego powiadomienia (ponad 255 MB).

Zgodnie z ustaloną reakcją został wygenerowany wpis w dzienniku zdarzeń.

Przy ustalaniu przydziałów należy pamiętać to co zostało napisane wyżej - przydziałów nie skonfigurujemy na dyskach korzystających z systemu plików ReFs. Woluminy sformatowane w ten sposób nie są widoczne przy próbie ustalenia ścieżki do przydziału.

Kończąc temat przydziałów warto wiedzieć, że przydziały do zasobów udostępnionych można dodatkowo skonfigurować przy użyciu narzędzia Menedżer serwera. Konfigurację tą przeprowadzimy na karcie Udziały dostępnej w sekcji Usługi plików i magazynowania

Dodatkowo definicję przydziału można również zrealizować w Właściwościach dysku. Przydział definiujemy na karcie Przydział poprzez zaznaczenie opcji Włącz zarządzanie przydziałami.

Wpisy przydziałów zdefiniujemy po wybraniu przycisku Wpisy przydziałów a następnie w nowo otwartym oknie po wybraniu Przydział i Nowy wpis przydziału Ustanowione wpisy dotyczą tylko użytkowników oraz swym działaniem obejmują cały dysk. Oznacza to, że nie mamy możliwości ustalenia przydziału, który będzie dotyczył konkretnego folderu czy katalogu.

Aby zapewnić naszym użytkownikom dostęp do plików w przypadku braku fizycznego połączenia z siecią i udostępnionymi zasobami, można posłużyć się mechanizmem plików offline. Działanie funkcji sprowadza się do zapewnienia dostępu do kopii plików sieciowych w przypadku braku połączenia z siecią. Oznacza to, że użytkownik może pracować na swoich plikach tak jakby było zapewnione normalne połączenie sieciowe z zasobem w którym to, pliki te są składowane. Użytkownik pracując na tych plikach oczywiście dokonuje ich modyfikacji, aby zapewnić zgodność plików zmienionych z tymi udostępnionymi po nawiązaniu ponownego połączenia następuje ich automatyczna synchronizacja. Oprócz plików mechanizm ten wspiera również buforowanie programów a zasięg działania mechanizmu może obejmować wszystkie pliki bądź tylko te wskazane przez użytkownika. Funkcja ta sprawdza się w przypadku częstej pracy z plikami z dala od sieci oraz zapewnia ciągłość dostępu do danych w przypadku awarii sieci.

Aby określić ustawienia plików offline należy wybrać udostępniony udział i w opcjach Udostępniania zaawansowanego wybrać przycisk Buforowanie W nowo otwartym oknie Ustawienia trybu offline definiujemy sposób działania mechanizmu. Decydujemy się na pozostawienie decyzji użytkownikowi - zaznaczamy Tylko pliki i programy określone przez użytkowników są dostępne w trybie offline. Na karcie tej możemy dodatkowo włączyć usługę BranchCache (pod warunkiem zainstalowania odpowiednich funkcji), która odpowiedzialna jest za zmniejszenie obciążenia sieci WAN pomiędzy lokacjami zdalnymi - mechanizm przyspiesza pobieranie plików z sieci poprzez cachowanie zasobów.

Po zdefiniowaniu opcji funkcji pliki offline sprawdźmy w praktyce jej działanie. Użytkownik Jan Kowalski po zalogowani się na swoim komputerze i uzyskaniu dostępu do zasobu sieciowego wskazuje plik, którego kopia ma być zawsze dostępna – Zawsze dostępne w trybie offline. Po zaznaczeniu pliku usługa pliki offline zaczyna działać.

Komputer z którego korzysta użytkownik Jan Kowalski na wskutek awarii traci dostęp do zasobu sieciowego. Pomimo braku łączności z serwerem plików otwarcie i modyfikacja pliku jest nadal możliwa.

Jak widać poniżej po stronie serwera plik użytkownika jankow nie zawiera żadnego tekstu.

Użytkownik zmodyfikował swój plik poprzez wstawienie linijki zawierającej tekst – dopisane w trybie offline

Po uzyskaniu ponownego połączenia z serwerem nastąpiła automatyczna synchronizacja plików. Jak można zauważyć na serwerze plików znajduje się już zmodyfikowana wersja pliku.

Usługę pliki offline można wdrożyć z wykorzystaniem polis GPO. Odpowiednie ustawienia znajdziemy w gałęziach: Konfiguracja komputera – Zasady – Szablony administracyjne – Sieć – Pliki trybu offline oraz Konfiguracja użytkownika – Zasady – Szablony administracyjne – Sieć – Pliki trybu offline

Kolejnym mechanizmem związanym z obsługą plików sieciowych, który możemy wdrożyć w naszym środowisku jest mechanizm Kopie w tle czyli tzw. shadow copies. Funkcjonalność ta daje nam możliwość przeglądania folderów i plików w stanie jakim znajdowały się one w określonym czasie. Wdrożenie funkcji shadow copies uwalnia nas od błędów spowodowanych przypadkowym nadpisaniem pliku nowszego jego starszą wersją a także uchroni nas przed skutkami przypadkowego skasowania pliku. W obu przypadkach uzyskujemy możliwość odtworzenia poprzedniej wersji pliku. Konfiguracja funkcji sprowadza się do jej włączenia, ustalenia harmonogramu wykonywania kopii a także określenia miejsca ich przechowywania.

Aby włączyć kopie w tle należy przejść do Właściwości danego dysku i na karcie Kopie w tle po zaznaczeniu właściwego dysku wybrać Włącz

Przed włączeniem mechanizmu zostaniemy poinformowani o użyciu domyślnego harmonogramu tworzenia kopii oraz sugestii zmiany lokalizacji tworzenia kopii. Wybieramy Tak

Po włączeniu Kopii w tle (punkt 1) automatycznie zostanie wykonana pierwsza migawka (punkt 2). Aby zmienić domyślne ustawienia funkcji należy wybrać Ustawienia (punkt 3).

Po wybraniu Ustawień mamy dostęp do zmiany lokalizacji obszaru magazynowania oraz zmiany harmonogramu tworzenia kopii. Na razie na tym etapie nie możemy zmienić lokalizacji tworzenia kopii (szare pole Obszar magazynowania) Stało się tak ponieważ aby zmienić wolumin magazynu, należy usunąć wszystkie kopie w tle. Po usunięciu kopii w tle traci się istniejącą historię zmian plików, która jest przechowywana na pierwotnym woluminie magazyn.

Po usunięciu bieżących kopii w tle uzyskujemy możliwość zmiany woluminu tworzenia migawek. Na jednym woluminie można zapisać maksymalnie 64 kopie w tle. Po przekroczeniu tego limitu najstarsza kopia w tle zostanie usunięta i nie można jej odzyskać. Minimalny obszar przeznaczony na kopie ma wielkość 300 megabajtów (MB). Domyślny obszar przechowywania ma wielkość stanowiącą 10% wielkości woluminu źródłowego (kopiowanego).

Aby zmienić harmonogram tworzenia kopii na karcie Ustawienia należy wybrać Harmonogram. Harmonogram domyślny zakłada tworzenie kopii codziennie od poniedziałku do piątku o godzinie 7 rano i w południe, o godzinie 12:00.

Po uruchomieniu mechanizmu możemy sprawdzić efekt jego działania. Użytkownik Jan Kowalski dokonał edycji swojego pliku - została wprowadzona fraza: wiersz pierwszy

Po dokonanej zmianie pliku na serwerze za pomocą przycisku Utwórz teraz wymuszono wykonanie kopii.

Po wykonaniu kopii użytkownik w Właściwościach (zakładka Poprzednie wersje) folderu w którym znajduje się modyfikowany plik uzyskał informację o dostępnych wersjach plików.

Plik użytkownika Jan Kowalski został ponownie zmieniony została dopisana fraza: drugi wiersz

I również ponownie wymuszono na serwerze plików wykonanie kopii shadow copy.

Plik użytkownika został zmieniony po raz ostatni - dopisano frazę: trzeci wiersz

Pomimo dokonanych zmian w pliku. Po otwarciu zakładki Poprzednie wersje mamy dostęp do poprzednich wersji pliku. Dostęp do plików realizujemy po wybraniu danej kopii, każda z kopii jest opatrzona datą jej wykonania.

I tak dobrnęliśmy do końca, myślę że po przedstawionych przykładach nie będzie problemu by poprawnie skonfigurować serwer plików (przynajmniej jeśli chodzi o podstawowe funkcje). Jest jeszcze jedna ciekawa funkcja serwera plików, którą celowo pominąłem by zająć się nią w osobnym wpisie. A mowa o Work Folders czyli usłudze dającej nam funkcjonalność dobrze znanego OneDriva lecz w trochę mniejszej skali (taki firmowy serwer, który pozwala nam na przechowywanie plików i ich synchronizację pomiędzy różnymi urządzeniami). Tak więc zapraszam do zajrzenia na stronę wkrótce.

BIBLIOGRAFIA:

http://www.techrepublic.com/blog/data-center/how-to-create-a-quota-template-in-windows-server-2012/

https://technet.microsoft.com/pl-pl/library/cc728086%28v=ws.10%29.aspx

https://technet.microsoft.com/pl-pl/library/cc786104%28v=ws.10%29.aspx

Windows Server 2012. Poradnik administratora. Zarządzanie polisami GPO.

2015-07-23T20:17:49+00:00

Zasady grupy są jednym z najważniejszych mechanizmów w środowisku domenowym. To głównie dzięki tej funkcjonalności decydujemy się na wdrożenie domeny a nie na pozostanie na modelu opartym na członkostwie w grupie roboczej. Zarządzanie domeną, komputerami i użytkownikami jest po prostu łatwiejsze a centralne zarządzanie prawami z użyciem polis GPO uwalnia nas od ręcznego konfigurowania każdego komputera z osobna. Dlatego w tym wpisie szczegółowo zajmiemy się zagadnieniom związanym z tym aspektem konfiguracji systemu Windows Server 2012.

W poprzednim wpisie poradnika skończyliśmy na utworzeniu kont użytkownika, kont komputerów i przypisaniu ich do odpowiednio stworzonych jednostek organizacyjnych. Dla przypomnienia przyjęliśmy następujące założenia:

- - jednostka Uczniowie – Jan Kowalski, komputer – YYY
  - jednostka Nauczyciele – Tadeusz Nowak, komputer – XXX

Oczywiście w miarę przeprowadzanych czynności konfiguracyjnych trochę te założenia będziemy jeszcze modyfikować ale to w odpowiednim miejscu zaznaczę.

Zanim Czytelniku przejdziesz dalej proponuję Ci zapoznać się z informacjami zawartymi w tym wpisie: http://slow7.pl/server-2003-2008/item/86-usluga-katalogowa-active-directory-zarzadzanie W artykule tym zawarłem bardziej szczegółowe informacje dotyczące zadań, które będziemy wykonywać a już na pewno znajdziesz w propozycji tej więcej teorii i bardziej obszernego omówienia niektórych kwestii.

Zanim zaczniemy konfigurację jeszcze wypadałoby dodać parę słów tytułem wstępu odnośnie obiektów usługi Active Directory.

Zaczniemy od jednostek organizacyjnych. Tak więc jednostka organizacyjna jest kontenerem, który służ nam do budowy w zarządzanej domenie (bądź domenach) hierarchicznej struktury naszej organizacji. Mówiąc prościej chodzi o to, że za ich pomocą możemy dokonać grupowania kont użytkowników, komputerów czy innych jednostek organizacyjnych tak by stworzona struktura oddawała przyjęty podział w naszej firmie/organizacji. Tak więc strukturę tą możemy zbudować np. na bazie podziału organizacyjnego naszej firmy tak by odzwierciedlić rzeczywisty układ np. działów firmy lecz również możemy zdecydować się na stworzenie struktury jednostek organizacyjnych, która będzie uwzględniać np. podział geograficzny. Tak naprawdę przy procesie tworzenia hierarchii jednostek organizacyjnych istnieje pełna dowolność i tylko od nas zależy jak ten podział dokonamy.

O czym należy pamiętać to to, że jednostka organizacyjna jest najmniejszym zakresem, co do którego możemy zastosować ustawienia zasad grupy oraz najmniejszym zakresem co do którego możemy ustawić delegowanie uprawnień. Uprawnienia użytkownika nie ograniczają się do jednej jednostki administracyjnej (chyba, że tak ustalimy zasady) lecz mogą się rozciągać na wszystkie jednostki organizacyjne w domenie.

Konta użytkowników najczęściej wykorzystywane są do identyfikacji fizycznych osób choć może być potrzeba utworzenia konta, które będzie reprezentować daną aplikację czy usługę. Do głównych zadań kont użytkownika należy sprawdzenie i uwierzytelnienia tożsamości danego użytkownika oraz za ich pomocą przyznajemy bądź odmawiamy dostępu do zasobów, którymi dana domena dysponuje np. dyski sieciowe, zapis, odczyt w folderach, drukarki itd.

Konta komputerów są reprezentacją hostów, które do danej domeny są przyłączone. Ich zadaniem jest również uwierzytelnienie lecz także umożliwiają przeprowadzenie inspekcji dostępu do zasobów domeny czy sieci.

By ułatwić sobie trochę życie administratora warto wiedzieć, że dla nowo tworzonych kont możemy zdefiniować szablon, który będzie miał wprowadzone częściowe dane np. adres firmy a naszym zadaniem będzie tylko uzupełnienie brakujących pól. Jak wykonać taki szablon opisałem w artykule zaproponowanym powyżej.

Domyślnie konta nowych użytkowników są tworzone w kontenerze Users a konta komputerów w kontenerze Computers aby zmienić tą domyślną lokalizację wykorzystaj polecenia redirusr oraz redircmp. Aby domyślnym kontenerem dla nowo tworzonych kont użytkowników i komputerów stała się jednostka administracyjna Nauczyciele wydaj polecenie: redirusr "ou=nauczyciele, dc=firma, dc=local" zaś dla kont komputerów polecenie: redircmp "ou=nauczyciele, dc=firma, dc=local"

By powrócić do ustawień domyślnych należy użyć komend: redirusr "cn=Users, dc=firma, dc=local" oraz redircmp "cn=Computers, dc=firma, dc=local"

Grupa w domenie jest kolekcją kont użytkowników bądź kont komputerów, grupa umożliwia nam zarządzanie tymi kontami jako jednostką. Upraszczając chodzi o to, żeby poszczególnym użytkownikom z osobna nie udzielać praw np. dostęp do zasobu sieciowego tylko udzielić je danej grupie. Użytkownicy prawa nabywają poprzez członkostwo w danej grupie. Dodatkowo grupy upraszczają proces delegowania administracji i umożliwiają tworzenie list dystrybucyjnych poczty email.

Podczas instalacji usług Active Directory jest tworzony domyślny zestaw grup, których zdefiniowane prawa umożliwiają na wykonanie w domenie określonych czynności i ról administracyjnych. Grupy te znajdują się w kontenerze Builtin oraz Users.

Grupy dodatkowo dzielimy ze względu na typ i zakres grupy.

Typ grupy określa nam czy grupie możemy przypisać uprawnienia do zasobów domeny - tzw. grupy zabezpieczeń (ang. Security group) czy służyć nam tylko będą do utworzenia list dystrybucyjnych poczty email - tzw. grupy dystrybucyjne (ang. Distribution group).

Zakres grupy odzwierciedla nam obszar domeny bądź lasu co do którego dana grupa ma zastosowanie. Podział grup ze względu na zakres przedstawia się następująco:

Grupy lokalne domeny (ang. Domain Local Group) są typem grup, które umożliwiają nam przypisanie uprawnień dostępu tylko do zasobów w danej domenie. Grupy tego typu mogą zawierać grupy i konta z domeny Windows tj. konta z dowolnej domeny, grupy globalne i uniwersalne z dowolnej domeny oraz grupy lokalne domeny lecz tylko co do których występuje zgodność pod względem domeny.

Grupy globalne (ang. Global Group) są standardowym typem grup z którym będziemy mieli najczęściej do czynienia to ich używamy by zgrupować użytkowników co do których będziemy przydzielać bądź stosować te same uprawnienia w domenie. Grupy tego typu mogą zawierać konta oraz inne grupy globalne z tej samej domeny oraz członkom tych grup przypisujemy prawa w dowolnej domenie lecz tylko w obrębie danego lasu. Informacja o tych grupach nie jest przekazywana (replikowana) poza własną domenę.

Grupy uniwersalne (ang. Universal Group) są wykorzystywane w środowisku wielodomenowym oznacza to, że członkami takich grup mogą być konta, grupy globalne oraz inne grupy uniwersalne, w którym dana grupa uniwersalna się znajduje. Oznacza to, że członkom tych grup jest możliwe nadanie uprawnień w dowolnej domenie obejmujących drzewo domen. Informacje o członkostwie w grupie uniwersalnej jest zapisywana w Global Catalog.

Ten krótki przedstawiony przeze mnie opis oczywiście nie wyczerpuje tematu ale by się nie powtarzać więcej informacji na temat grup w usłudze Active Directory znajdziesz pod tym linkiem: http://slow7.pl/server-2003-2008/item/85-czym-jest-grupa-w-usludze-activedirectory-tworzenie-modyfikacja-i-zarzadzanie

Po tym, krótkim wstępie spróbujmy zatem utworzyć dwie grupy. Będą to grupy globalne zawierające konta użytkowników uczniów (grupa: gl_uczniowie) i nauczycieli (grupa: gl_nauczyciele). Choć zgodnie z zasadami powinniśmy jeszcze utworzyć dwie grupy lokalne domeny i w grupach tych umieścić grupy globalne i dopiero do tak utworzonych grup przypisywać zasady. Reguła ta jest znana jako strategia IGDLA bądź dawniej AGDLP (strategie opisane w linku powyżej). Lecz celem pewnych uproszczeń i nie komplikowania ćwiczenia strategię tą pominiemy.

Zaczniemy od utworzenia nowej grupy gl_nauczyciele w jednostce organizacyjnej Nauczyciele. W tym celu po wybraniu jednostki klikamy PPM i z menu wybieramy Nowy a następnie Grupa.

W nowo otwartym oknie wpisujemy nazwę grupy, określamy zakres i typ tworzonej grupy. Po zdefiniowaniu parametrów grupy klikamy OK.

Grupa została utworzona. Lecz do grupy nie zostało jeszcze przypisane żadne konto. Aby Sprawdzić kto jest członkiem grupy należy po kliknięciu na grupę z menu kontekstowego wybrać Właściwości. Karta Członkowie zawiera wszystkich użytkowników (choć tak naprawdę członkami grupy mogą być również inne obiekty usługi AD) którzy do danej grupy przynależą. Na karcie Ogólne możemy dokonać zmiany parametrów grupy, karta Członek grupy zawierać będzie informację czy grupa ta nie jest przypadkiem członkiem jeszcze innej grupy zaś na karcie Zarządzany przez możemy dokonać ustawienia użytkownika, który grupą będzie mógł zarządzać.

Aby dane konto stało się członkiem grupy możemy kliknąć na dany obiekt i z menu kontekstowego wybrać opcję Dodaj do grupy. W nowo otwartym oknie w sekcji Wprowadź nazwy obiektów do wybrania wpisujemy nazwę grupy. Nie trzeba wpisywać pełnej nazwy wystarczy, że wpiszemy część nazwy i po kliknięciu na Sprawdź nazwy wyświetlone zostaną wszystkie grupy, które pasują do wpisanego wzorca. Zatwierdzamy przyciskiem OK.

Od tej pory konto użytkownika Tadeusz Nowak należy do grupy gl_nauczyciele. Poprawność przypisania możemy sprawdzić na wspomnianej już karcie Członkowie oraz po wybraniu właściwości danego konta użytkownika i przejściu na kartę Członek grupy.

Dodanie do grupy możemy również zrealizować poprzez kartę Członkowie dostępną po wybraniu właściwości danej grupy.

Analogicznie postępujemy z grupą gl_uczniowie i użytkownikiem Jan Kowalski.

Mamy zdefiniowaną naszą strukturę kont, grup i jednostek administracyjnych przejdziemy teraz do omówienia wdrażania zasad grup (GPO).

Zasady grupy są mechanizmem, którego zadaniem jest w sposób centralny zarządzanie zabezpieczeniami oraz konfiguracją komputerów i użytkowników. Informacje o zasadach grup znajdziesz w tym wpisie: http://slow7.pl/server-2003-2008/item/82-praca-z-polisami-gpo-slow-kilka-o-obiektach-zasad-grup Zatem zachęcam do zapoznania się z informacjami zawartymi pod tym linkiem gdyż by nie powtarzać się i nie powielać tych samych treści będę na informacjach tych bazował.

Do okna Zarządzanie zasadami grupy dostaniemy się po wyborze Narzędzi z Menedżera serwera a także poprzez konsolę MMC.

W oknie Zarządzanie zasadami grupy (ang. Group Policy Management) w panelu po prawej stronie odszukujemy naszą domenę. Po rozwinięciu nazwy domeny ukarze się nam cała struktura zdefiniowanych jednostek administracyjnych dostępnych w domenie.

Domyślnie w gałęzi Obiekty zasad grupy są utworzone dwie polisy: Default Domain Controllers Policy mająca zastosowanie do kontrolerów domen a także Defaul Domain Policy w której to polisie są zdefiniowane domyślne ustawienia obowiązujące w naszej domenie. Wszystkie utworzone polisy będą dostępne z poziomu tej gałęzi.

Przypisanie danej polisy do jednostki organizacyjnej realizujemy poprzez podlinkowanie jej do danej jednostki organizacyjnej, od tej pory polisa i zdefiniowane w niej zasady zaczynają w jednostce obowiązywać.

Sprawdźmy faktycznie czy tak jest i stwórzmy prostą polisę, która użytkownikowi Jan Kowalski z menu Start wyłączy odnośnik do folderu Muzyka.

Uruchamiamy narzędzie Zarządzanie zasadami grupy i w gałęzi Obiekty zasad grupy po kliknięciu Nowe definiujemy nazwę nowej zasady: folder muzyka zakaz W oknie tym mamy możliwość zdefiniowania źródłowego początkowego obiektu zasad grup (ang. Starter GPOs) . Polisa początkowa jest to polisa (lub szablon polisy) w której są już zdefiniowane zasady np. wspólne dla danego przedsiębiorstwa (taki zestaw startowy). Polisę początkową tworzy się by nie trzeba było za każdym razem definiować jednych i tych samych zasad. Wszystkie szablony polis tworzymy w gałęzi Początkowe obiekty zasad grup. Zdefiniowanie takiej polisy i umieszczenie jej w gałęzi początkowych zasad grup spowoduje, że przy tworzeniu nowej polisy w oknie tworzenia zasady będzie można ją wybrać. Zdefiniowane w polisie początkowej zasady zostaną włączone do nowo tworzonej polisy.

Po kliknięciu na węzeł Początkowe obiekty zasad grup wybieramy Utwórz folder początkowych obiektów zasad grup.

Po kliknięciu łącza zostanie utworzonych szereg wcześniej zdefiniowanych przez producenta systemu polis, które możemy wykorzystać w naszym środowisku. Oczywiście zamiast wykorzystywać gotowe szablony możemy zdefiniować własne.

Po utworzeniu polisy folder muzyka zakaz należy ją edytować celem włączenia danej zasady (w naszym przypadku zakaz wyświetlenia folderu Muzyka w menu Start). Z menu kontekstowego wybieramy opcję Edytuj.

W nowo otwartym oknie Edytora zarządzania zasad grupami (ang. Group Policy Management Editor) przechodzimy do gałęzi: Konfiguracja użytkownika - Zasady - Szablony administracyjne - Menu Start i pasek zadań i odnajdujemy zasadę Usuń ikonę Muzyka z menu Start

Domyślnie wszystkie zasady mają status: Nie skonfigurowano. By daną zasadę skonfigurować klikamy podwójnie na nią.

Każda zasada zawiera przełączniki pozwalające ją włączyć i wyłączyć oraz niektóre zasady by zadziałały potrzebują mieć zdefiniowane dodatkowe opcje. Po wybraniu zasady dodatkowo możemy umieścić w niej swój własny komentarza oraz dostępna jest pomoc opisująca jej zasadę działania oraz systemy w których jest obsługiwana.

Zasada Usuń ikonę Muzyka z menu Start została włączona.

Polisa została utworzona. Lecz niestety jeszcze nie będzie działać. By polisa została włączona i zdefiniowane w niej ustawienia zaczęły obowiązywać należy ją powiązać z odpowiednią jednostką administracyjną. Naszym zadaniem jest aby użytkownik Jan Kowalski miał w menu Start wyłączony folder Muzyka tak więc polisę musimy przypisać do jednostki Uczniowie gdyż w tej jednostce znajduje się konto użytkownika. Polisę linkujemy poprzez wybranie jednostki administracyjnej i po kliknięciu PPM wybraniu opcji Połącz z istniejącym obiektem zasad grup. W nowo otwartym oknie wybieramy polisę i zatwierdzamy klawiszem OK.

Alternatywną metodą utworzenia od razu podlinkowanej polisy jest z menu kontekstowego danej jednostki organizacyjnej wybranie pozycji: Utwórz obiekt zasad grup w tej jednostce i umieść tu łącze.

Sprawdźmy zatem czy polisa działa.

Po zalogowaniu się widać efekt wprowadzonej konfiguracji - w menu Start brak folderu Muzyka - polisa działa.

Po kliknięciu na polisę uzyskamy informację o niej oraz dostęp do dodatkowych opcji konfiguracyjnych.

Na karcie Zakres (ang. Scope) znajdziemy informację o tym gdzie dana polisa ma zastosowanie (sekcja Łącza) oraz możemy przeprowadzić operację filtrowania zabezpieczeń (ang. Security Filtering)oraz filtrowania WMI (ang. WMI Filtering) - o tym za chwilę.

Karta Szczegóły (ang. Details) zawiera podstawowe informację o obiekcie zasad grupy oraz umożliwia ustawienie stanu obiektu zasad grupy (o tym również za chwilę).

Karta Ustawienia (ang. Settings) jest jedną z ciekawszych kart ponieważ w prosty i szybki sposób umożliwia nam podejrzenie jakie ustawienia w polisie zostały zastosowane.

Karta Delegowanie (ang. Delegation) pozwala nam na zdefiniowanie grup, użytkowników którzy polisą mogą zarządzać.

Klikając na daną jednostkę organizacyjną (w naszym przypadku Uczniowie) mamy dodatkowe informacje i opcje związane z GPO.

Karta Powiązane obiekty zasad grup (ang. Linked Group Policy Objects) informuje nas o polisach, które z daną jednostką organizacyjną są powiązane oraz pozwala nam na ustalenie kolejności przetwarzania polis.

Karta Dziedziczenie zasad grup (ang. Group Policy Inheritance) informuje nas o wszystkich polisach, które na daną jednostkę mają wpływ. Część zasad jest wynikiem przypisania a druga część jest efektem dziedziczenia zasad po obiekcie nadrzędnym. Jak widać poniżej na jednostkę organizacyjną wpływ mają dwie zasady pierwsza jest wynikiem przypisania, które wykonaliśmy druga zaś jest odziedziczona po domenie.

Karta Delegowanie (ang. Delegatio) określa stan uprawnień do tej jednostki.

Do danej jednostki organizacyjne możemy przypisać wiele różnych polis. Rodzi się więc pytanie - Co się stanie jeśli w jednej polisie zabronimy wykonania danej operacji w drugiej zaś pozwolimy? Aby uniknąć tego typu problemów na wspomnianej już karcie Powiązane obiekty zasad grup możemy określić kolejność przetwarzana polis. Każda z polis mająca zastosowanie w danej jednostce organizacyjnej ma przypisany swój numer tzw. numer kolejności łączy (ang. Link Order). Co trzeba zapamiętać, że polisy znajdujące się na liście są przetwarzane od dołu oznacza to, że im numer kolejności łącza mniejszy tym polisa ważniejsza i polisa o numerze mniejszym nadpisuje ustawienia polisy o numerze większym. Na chłopski rozum gdy w polisie o numerze 4 wyłączymy daną opcję zaś w polisie o numerze 2 te same ustawienie włączymy to efektem wprowadzonej zasady będzie włączenie tej opcji. Tak więc sprawdźmy w działaniu.

Utworzymy sobie nową polisę lecz tym razem w polisie tej zdefiniujemy brak wyświetlania w menu start łącza do folderu Obrazy. Polisę nazwiemy: folder obraz zakaz. Polisa została utworzona, odpowiednie ustawienia wprowadzone i polisa jest połączona z jednostką administracyjną Uczniowie.

Przejdźmy na komputer użytkownika i sprawdźmy czy ustawienia działają.

By wymusić zastosowanie zasad na komputerze klienta wydaj polecenie: gpupdate /force

Jak można zauważyć ustawienia zasad z obu polis zostały zaaplikowane. W menu Start brak zarówno łącza do folderu Muzyka jak i Obrazy.

Sprawdzając kolejność stosowania polis dochodzimy do wniosku, że polisa folder muzyka zakaz ma pierwszeństwo prze polisą folder obraz zakaz (ponieważ ma niższy numer kolejności łączy).

Sprawdźmy zatem co się stanie gdy zmienimy ustawienie zakazujące w polisie folder obraz zakaz ukrycie folderu Obraz na ustawienie nakazujące wyświetlenie tego folderu w polisie folder muzyka zakaz.

Po odświeżeniu zasad łącze do folderu Obrazy ponownie zostaje umieszczone w menu Start. Ustawienie zakazujące w polisie o numerze 2 zostało nadpisane przez ustawienie znajdujące się w polisie numer 1.

Oczywiście zadziała to w przypadku zdefiniowania ustawień w sposób odwrotny.

Na uwadze trzeba mieć jeszcze fakt, że przy przetwarzaniu polis obowiązuje następująca kolejność. W pierwszej kolejności pod uwagę brane są polisy zdefiniowane lokalnie gdy nie ma zdefiniowanych innych polis odnośnie: lokacji, domeny, jednostki organizacyjnej. Polisy lokalne są nadpisywane przez polisy lokacji te zaś ustępują polisom zdefiniowanym na poziomie domeny. Od polis określonych w domenie ważniejsze są te na poziomie jednostki organizacyjnej. Gdy w jednostce organizacyjnej są zagnieżdżone inne jednostki i do nich również są przypisane polisy mają one pierwszeństwo przed polisami jednostek położonych wyżej w hierarchii struktury AD.

A co z dziedziczeniem ustawień? Aby omówić to zagadnienie zmodyfikujmy trochę schemat naszych jednostek organizacyjnych i dodajmy nową jednostkę organizacyjną i nowego użytkownika.

Zmodyfikowany schemat wygląda następująco:

- - jednostka Uczniowie – Jan Kowalski, komputer – YYY
    - jednostka Klasa 1a - Beata Tryla, komputer – YYY
  - jednostka Nauczyciele – Tadeusz Nowak, komputer – XXX

Do jednostki organizacyjnej Uczniowie została przypisana zasada folder muzyka zakaz natomiast do jednostki organizacyjnej Klasa 1a polisa folder obraz zakaz.

Wynikiem zastosowania polis będzie zabronienie wyświetlenia w menu Start folderu Muzyka, ponieważ zasada ta jest przypisana do obiektu nadrzędnego jakim jest jednostka Uczniowie. Jednostka Klasa 1a jako kontener zawarty w jednostce Uczniowie dziedziczy wszystkie zasady przypisane do tej jednostki. Zabronione zostanie również wyświetlenie łącza do folderu Obrazy gdyż polisa ta jest bezpośrednio przypięta do jednostki Klasa 1a a w tej jednostce znajduje się konto użytkownika Beata Tryla. Sprawdźmy.

Jak można zauważyć wszystko się zgadza.

Za pomocą opcji Zablokuj dziedziczenie (ang. Block Policy Inheritance)dostępnej po wybraniu danej jednostki organizacyjnej możemy zablokować stosowanie zasad, które są do jednostki organizacyjnej przekazywane z obiektów nadrzędnych tj. jednostek organizacyjnych położonych wyżej w hierarchii czy domen.

Przy włączonym dziedziczeniu do jednostki organizacyjnej Klasa 1a są przypisane trzy polisy: jedna bezpośrednio (polisa: folder obraz zakaz) a dwie są wynikiem dziedziczenia (polisa folder muzyka zakaz - dziedziczona z jednostki organizacyjnej Uczniowie i polisa: Default Domain Policy - dziedziczona z domeny firma.local)

Czasem zdarza się sytuacja w której jakiejś odrębnej jednostce organizacyjnej chcemy przypisać prawa, które nie koniecznie muszą być zgodne z prawami przypisanymi do obiektów nadrzędnych. W tym celu by ustawienia z obiektów położonych wyżej w hierarchii naszej struktury domenowej nie wpływały na jednostkę organizacyjną co do której ustawienia stosujemy wyłączamy dziedziczenie.

Po wyłączeniu dziedziczenia do naszego kontenera Klasa 1a jest już przypisana tylko jedna polisa (podpięta bezpośrednio do tej jednostki) te, które były wynikiem dziedziczenia nie mają zastosowania.

Przekładając to na nasz przykład użytkownik Beata Tryla będzie miała w menu Start niewidoczny folder Obraz, zaś folder Muzyka będzie dostępny gdyż polisa zakazująca jego wyświetlenia na skutek wyłączonego dziedziczenia nie ma zastosowania.

Dodatkowo by wpłynąć na priorytet przetwarzania polis możemy wykorzystać jeszcze jedną opcję a mianowicie za pomocą opcji Wymuszone (ang. Enforced) możemy określić, by ustawienie łącza obiektu zasad grupy położonego w hierarchii wyżej miało wyższy priorytet niż ustawienia jakiegokolwiek obiektu podrzędnego. Tej opcji używamy by zablokować zastępowaniu przez kontenery podrzędne obiektu GPO ustawieniem o wyższym priorytecie przetwarzania.

Przekładając to na nasz przykład ustawiając wymuszenie na polisie Default Domain Policy spowodujemy, że polisa ta będzie miała nadany najwyższy priorytet i nie będzie na liście stosowanych polis zastępowana przez polisy przypisane do poszczególnych jednostek organizacyjnych (mówiąc potocznie polisa ta będzie na liście pierwsza).

W zależności od potrzeb opcję tę można ustawić dla jednego lub większej liczby obiektów GPO. Jeśli opcja Wymuszone jest przypisana dla wielu obiektów GPO, pierwszeństwo ma ten obiekt GPO, który jest najwyżej w hierarchii usługi Active Directory. W przypadku konfliktu (tak jak na rysunku powyżej dla jednostki organizacyjnej Klasa 1a jest włączona opcja blokowania dziedziczenia) opcja Wymuszone zawsze ma pierwszeństwo przed opcją Zablokuj dziedziczenie zasad.

Chwilę wyżej wspominałem, że powrócę do tematu filtrowania zabezpieczeń i filtrowania WMI. Cóż takiego są te opcje i za co odpowiadają? Zarządzając polisami GPO na pewno spotkamy się z sytuacją w której dla pewnych użytkowników bądź grup będziemy chcieli zdefiniować trochę inne ustawienia. By nie definiować osobnych jednostek organizacyjnych dla danej grupy w obrębie już zdefiniowanej struktury jednostek organizacyjnych możemy stworzyć odrębne polisy, które będą miały zastosowanie tylko dla danej grupy.

Prześledźmy o to taką sytuację. Nauczyciel grupie gl_uczniowie zdefiniował prawa, które są dla tej grupy stosowane. Lecz część z osób przypisanych do grupy gl_uczniowie są uczestnikami koła informatycznego. Nauczyciel do omówienia danego zagadnienia potrzebuje znieść pewne prawa z już zdefiniowanej listy tak aby uczniom dać możliwość wykonania na komputerze pewnych operacji.

By omówić to zagadnienie dodajmy jeszcze jednego użytkownika: Adam Węgrzyn. Uczeń ten został przypisany do grupy gl_uczniowie lecz została utworzona jeszcze jedna grupa zabezpieczeń: gl_kółko do której konto tego użytkownika również należy. Konto ucznia jest przypisane do jednostki organizacyjnej Uczniowie.

Do jednostki organizacyjnej Uczniowie zostały przypisane dwie polisy: pierwsza z nich (to już standardowo) zakazująca wyświetlania w menu Start folderu Muzyka (nazwa polisy: folder muzyka zakaz) druga zaś to (jak się pewnie domyślasz) polisa znoszące zakaz wyświetlania folderu Muzyka (nazwa polisy: folder muzyka pokaż). W definicji polisy: folder muzyka zakaz żadne ustawienia nie zostały zmienione jest ona stosowana do wszystkich użytkowników znajdujących się w jednostce organizacyjnej Uczniowie. W drugiej polisie folder muzyka pokaż w sekcji Filtrowanie zabezpieczeń została umieszczona grupa gl_kółko (zamiast grupy Użytkownicy uwierzytelnieni) do której należy użytkownik Adam Węgrzyn. Zmiana ta spowoduje, że polisa folder muzyka pokaż będzie miała zastosowanie tylko do grupy gl_kółko.

Sprawdźmy więc co się stanie gdy zalogujemy się na koncie użytkownika Adam Węgrzyn.

Jak widać folder Muzyka nie pojawił się, co dla nas jest wynikiem niepożądanym, bo przecież nie o to nam chodziło. O czym zapomnieliśmy? Problem tkwi w kolejności przetwarzania polis, zajrzyjmy na kartę Powiązane obiekty zasad grup.

Analiza kolejności przetwarzania polis powoduje, że polisa zakazująca wyświetlanie folderu Muzyka ma pierwszeństwo przed polisą nakazującą wyświetlenie tego folderu. Co niektóry użytkownik zapyta - Dlaczego polisa folder muzyka zakaz ma wpływ na konto użytkownika Adam Węgrzyn? Polisa ta jest przypisana do jednostki Uczniowie a w jednostce tej znajduje się konto użytkownika, więc siłą rzeczy będzie miała ona wpływ na to konto. W polisie folder muzyka zakaz w sekcji Filtrowanie zabezpieczeń jest ustawiona grupa Użytkownicy uwierzytelnieni. Grupa ta jest grupą specjalną do której po uwierzytelnieniu członkiem staje się również użytkownik Adam Węgrzyn. Dlatego więc zasady zdefiniowane w tej polisie są również stosowane do tego użytkownika i dlatego polisa ta nadpisuje ustawienia zdefiniowane w polisach o niższym priorytecie. Poprawmy więc nasz błąd i zmieńmy kolejność przetwarzania polis.

Sprawdźmy efekt wprowadzonej zmiany.

Wszystko działa. Dla użytkownika Adam Węgrzyn dzięki wprowadzeniu zmian Filtrowania zabezpieczeń polisa folder muzyka pokaż ma zastosowanie natomiast dla innych członków jednostki organizacyjnej Uczniowie a nie należących do grupy gl_kółko zostają replikowane zasady zdefiniowane w polisie folder muzyka zakaz.

Przejdźmy do omówienia filtrowania WMI (ang. WMI Filters). Drugi typ filtrowania a mianowicie Filtrowanie WMI polega na przypisaniu odpowiednich polis i zdefiniowanych w tych polisach ustawień na podstawie atrybutów przesłanych przez komputer.

Zdefiniujmy polisę, której zadaniem będzie wyłączenie w menu Start folderu Muzyka ale ograniczenie to ma nastąpić tylko w niedzielę. W oknie Zarządzanie zasadami grupy odszukujemy gałąź Filtry usługi WMI i po kliknięciu PPM z menu wybieramy Nowe. W oknie Nowy filtr WMI definiujemy nazwę filtra (w naszym przypadku: niedziela) opcjonalnie możemy dodać krótki opis działania filtra. Aby zdefiniować zapytanie na podstawie, którego polisa będzie mogła być włączona klikamy Dodaj.

W nowo otwartym oknie Zapytanie usługi WMI w obszarze nazw wybieramy: root\CIMV2 a jako zapytanie wpisujemy: SELECT * FROM Win32_LocalTime WHERE DayOfWeek = 0 Po zatwierdzeniu, filtr niedziela został zdefiniowany.

Po utworzeniu filtru WMI, filtr ten należy przypisać do odpowiedniej polisy. Przechodzimy do kontenera Uczniowie do którego mamy przypiętą polisę folder muzyka zakaz. Po wskazaniu polisy w obszarze Filtrowanie WMI z rozwijanej listy wybieramy filtr niedziela.

Filtr został przypisany. Sprawdźmy więc jego działanie. Po zalogowaniu użytkownika Jan Kowalski (konto użytkownika znajduje się w kontenerze Uczniowie) w niedzielę widzimy w menu Start brak odnośnika do folderu Muzyka (górny rysunek) natomiast gdy użytkownik ten zalogował się w poniedziałek (rysunek dolny) folder Muzyka powrócił na swoje miejsce.

Filtry WMI znajdują zastosowanie szczególnie gdy w sieci mamy maszyny na których są zainstalowane różne wersje systemu Windows w ten prosty sposób poprzez zastosowanie odpowiednio skonstruowanych zapytań możemy zastosować różne polityki przypisywania zasad grup, które będą zależne od typu zgłaszanego się systemu operacyjnego. Poniżej znajdziesz przykład kilku filtrów WMI.

Filtry WMI - przykłady

Windows XP - SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "5.1%"

Windows Vista - SELECT * FROM Win32_OperatingSystem WHERE Version = "6.0%" and ProductType = "1"

Windows 7 - SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "6.1%" and ProductType = "1"

Windows 7 z service pack 1 - SELECT * FROM Win32_OperatingSystem WHERE Version = "6.1%" and ProductType = "1" and ServicePackMajorVersion = "1"

Windows 8 - SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "6.2%" and ProductType = "1"

Windows Server 2003 R2 - SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "5.2%"

Windows Server 2008 - SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "6.0%" AND ( ProductType = "2" or ProductType = "3")

Windows Server 2008 R2 - SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "6.1%" AND ( ProductType = "2" or ProductType = "3" )

Windows Server 2012 - SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "6.2%" AND ( ProductType = "2" or ProductType = "3" )

System – 32-bit - SELECT * FROM Win32_OperatingSystem WHERE ProductType = "1" AND NOT OSArchitecture = "64-bit"

System – 64-bit - SELECT * FROM Win32_OperatingSystem WHERE ProductType = "1" AND OSArchitecture = "64-bit"

Laptop - SELECT * FROM Win32_Battery

Komputer poniżej 1 GB RAM - SELECT * FROM Win32_ComputerSystem WHERE TotalPhysicalMemory < 1000000000

Komputer na którym partycja E: ma mniej niż 1 GB wolnego miejsca - SELECT * FROM Win32_LogicalDisk WHERE FreeSpace < 100000000000 AND Caption = "E:"

Model komputera Lenovo G510 - SELECT * FROM Win32_ComputerSystem WHERE manufacturer = "Lenovo" and Model = "59406750"

Jest zainstalowany MS Office - SELECT * FROM Win32_Product WHERE Caption LIKE "Microsoft Office%"

Dzień tygodnia - SELECT * FROM Win32_LocalTime WHERE DayOfWeek = 1 (1 - poniedziałek, 2 - wtorek itd. niedziela - 0)

Miesiąc - SELECT * FROM Win32_LocalTime WHERE Month = 1 ( 1 - Styczeń, 2 - Luty itd.)

Istnieje plik: File C:\windows\system32\notepad.exe - SELECT * FROM CIM_Datafile WHERE Name="C:\\windows\\system32\\notepad.exe"

Kryteriów, które możemy zastosować w zbudowaniu zapytań jest bardzo wiele i omówienie wszystkich byłoby niezłym wyzwaniem ale by trochę sobie pomóc możemy skorzystać z darmowego programu jakim jest WMI Code Creator (link: https://www.microsoft.com/en-us/download/details.aspx?id=8572). Program ten pomoże nam w zbudowaniu poprawnego zapytania. Poniżej przykład zdefiniowanego zapytania użytego w filtrze niedziela.

W oknie Edytora zarządzanie zasadami grupy znajdziemy bardzo wiele ustawień, które możemy kontrolować. Po pierwszym uruchomieniu Czytelniku na pewno zauważyłeś, że zasady są podzielone na dwie sekcje: Konfiguracja komputera oraz Konfiguracja użytkownika. Bardziej dokładną informację na temat tych ustawień znajdziesz w artykule do którego link podałem wyżej.

O czym należy pamiętać przy ustalaniu zasad grupy? Jeżeli skonfigurujemy zasady w sekcji Konfiguracja komputera zasady przez nas zdefiniowane będą obowiązywały niezależnie od użytkownika. Oznacza to, że nieważne jaki użytkownik się zaloguje zasady z sekcji Konfiguracja komputera obowiązują wszystkich. Zaś zasady w sekcji Konfiguracja użytkownika jak zostało przedstawione są już dostosowywane do poszczególnych grup użytkowników.

Przetwarzanie GPO komputera odbywa się w trakcie każdego uruchomienia komputera oraz gdy go wyłączamy a także są cyklicznie odświeżane. Interwał czasu odświeżania został domyślnie ustawiony na 90 minut z przesunięciem od 0 do 30 minut. Interwał ten obowiązuje na stacjach roboczych natomiast w przypadku kontrolerów domen czas ten wynosi 5 minut. Zasady grupy odnośnie komputera są określone przez zdefiniowane: łącza GPO, filtrowanie zabezpieczeń oraz filtry WMI.

W przypadku użytkownika, zasady GPO są przetwarzane podczas procesu logowania i wylogowywania lecz także jak w przypadku GPO komputera są przetwarzane w sposób cykliczny co 90 minut plus minus 0-30 minutowe przesunięcie.

Przetwarzanie zasad grupy możemy kontrolować poprzez definicję ustawień w sekcjach: Konfiguracja użytkownika/Zasady/Szablony administracyjne/System/Zasady grupy (odnośnie użytkownika) oraz Konfiguracja komputera/Zasady/Szablony administracyjne/System/Zasady grupy (odnośnie komputera)

Przeglądając okno Zarządzanie zasadami grupy i przeglądając wszystkie możliwe opcje dojdziemy do wniosku, że wpływ na to co możemy skonfigurować jest ogromny. Gdy definiujemy kolejne polisy i ustawienia a po sprawdzeniu wszystko działa nam zgodnie z założeniami możemy być z siebie zadowoleni lecz gdy coś nie wychodzi rodzi się pytanie - Jak możemy nasze ustawienia zweryfikować i dociec gdzie jest błąd? Do wyboru mamy trzy narzędzia (dwa dostępne z dobrodziejstwem inwentarza czyli są dostępne od razu w systemie a jedno z nich trzeba pobrać), które pozwolą nam na sprawdzenie czy nasze polisy są poprawnie aplikowane klientom. Jedne z narzędzi mogą być uruchamiane po stronie klienta - gpresult oraz gplogview, drugie zaś po stronie serwera - Wyniki zasad grupy.

Gpresult jest programem, który jest uruchamiany z linii wiersza poleceń i pozwala nam podejrzeć jakie zasady grupy są zastosowane wobec danego użytkownika.

Składnia programu przedstawia się następująco:

GPResult [/S system [/U nazwa_użytkownika [/P [hasło]]]] [/SCOPE zakres] [/USER docelowa_nazwa_użytkownika] [/R | /V | /Z] [(/X | /H) <nazwa_pliku> [/F]]

Parametry:

/S system - Określa system zdalny do podłączenia.

/U [domena\]użytkownik - Określa kontekst użytkownika, w którym polecenie powinno zostać wykonane. Tej opcji nie można używać z opcjami /X i /H.

/P [hasło] - Określa hasło dla danego kontekstu użytkownika. W razie pominięcia monituje o podanie danych. Tej opcji nie można używać z opcjami /X i /H.

/SCOPE zakres - Określa, czy ustawienia użytkownika lub komputera mają być wyświetlone. Prawidłowe wartości: "USER", "COMPUTER".

/USER [domena\]użytkownik - Określa nazwę użytkownika, dla którego mają być wyświetlone dane RSOP.

/X <nazwa_pliku> - Zapisuje raport w formacie XML w pliku, którego lokalizacja i nazwa są określone przez parametr <nazwa_pliku>. (Opcja prawidłowa w systemach Windows Vista SP1 i Windows Server 2008 lub nowszych).

/H <nazwa_pliku> - Zapisuje raport w formacie HTML w pliku, którego lokalizacja i nazwa są określone przez parametr <nazwa_pliku>. (Opcja prawidłowa w systemach Windows Vista SP1 i Windows Server 2008 lub nowszych).

/F - Wymusza zastąpienie przez narzędzie gpresult nazwy pliku określonej w poleceniu /X lub /H.

/R - Wyświetla dane podsumowania RSoP.

/V - Określa, że powinny być wyświetlane informacje w trybie pełnym. Informacje w trybie pełnym określają szczegółowe ustawienia stosowane z pierwszeństwem o numerze 1.

/Z - Określa, że powinny być wyświetlane informacje w trybie superpełnym. Informacje w trybie superpełnym określają szczegółowe ustawienia stosowane z pierwszeństwem o numerze 1 i wyższym. Umożliwia to sprawdzenie, czy ustawienie zostało określone w wielu miejscach.

Wydanie polecenia gpresult /r wyświetli nam raport w którym będziemy mogli odnaleźć informacje jakie polisy zasad grupy wobec użytkownika mają zastosowanie. Wobec użytkownika Jan Kowalski dwie polisy są aktywne: folder muzyka zakaz oraz folder obraz zakaz. Dodatkowo dowiemy się do jakich grup użytkownik należy.

Użycie przełącznika /v spowoduje wyświetlenie bardziej szczegółowych informacji. Poniżej przedstawiono dodatkowe informacje, pominięto te, które są efektem wydania polecenia z przełącznikiem /r.

Aby otrzymać jeszcze bardziej dokładne dane tzw. tryb superpełny skorzystaj z przełącznika /z.

Wszystkie dane uzyskane dzięki wydawanym poleceniom były nam prezwntowane w oknie wiersza poleceń. Znacznie wygodniej jest nakazanie programowi wykonanie raportu w formacie HTML. Raport ten będziemy mogli sobie przejrzeć w oknie przeglądarki. Aby zapisać raport w formacie HTML wydaj polecenie: gpresult /h <nazwa_pliku>. Użycie dodatkowo przełącznika /User pozwala nam na zapis danych w kontekście konkretnego użytkownika. Dodanie zaś przełącznika /f spowoduje zastąpienie wcześniej wygenerowanego raportu. Nie pojawi się monit o niemożności wykonania polecenia z powodu istnienia pliku o nazwie zdefiniowanej w poleceniu.

Gdy potrzebujesz dane w formacie XML użyj przełącznika /x.

Drugie narzędzie Wynikowy zestaw grup jest narzędziem, które podobnie jak gpresult pomoże nam w zidentyfikowaniu ustawień, jakie są dostarczane użytkownikowi końcowemu. Tak naprawdę dostępne są dwie wersje tego narzędzia:

Wynikowy zestaw zasad (planowanie) (ang. Resultant Set of Policy (Planning))- narzędzie pozwala nam na prześledzenie zmian jakie nastąpią zanim przeprowadzimy wdrożenie konkretnych polis. W przypadku użycia tego narzędzia konto komputera, które będzie użyte do przetestowania polis nie musi być aktywne (czytaj komputer nie musi być dostępny w sieci) a nawet istnieć w usłudze AD.

Wynikowy zestaw zasad (rejestrowanie) (ang. Resultant Set of Policy (Logging)) - narzędzie pozwala nam na odczytanie stanu zastosowanych zasad. Komputer według, którego będziemy prowadzić operację musi być włączony. Dodatkowym ograniczeniem jest wykonanie przynajmniej jednego logowania danego użytkownika.

Aby sprawdzić stan ustawień jakie danemu użytkownikowi zostaną dostarczone należy w przystawce Użytkownicy i komputery usługi Active Directory wybrać konto użytkownika i z menu dostępnego po kliknięciu PPM wskazać Wszystkie zadania a następnie Wynikowy zestaw zasad (rejestrowanie)

W oknie Kreatora wynikowego zestawu zasad określamy konto komputera. Gdy zależy nam tylko na przejrzeniu ustawień użytkownika a nie interesują nas ustawienia komputera zaznacz opcje Nie wyświetlaj w wynikach ustawień zasad dla wybranego komputera (wyświetlaj tylko ustawienia zasad użytkownika). Wybieramy Dalej.

Wybraliśmy już użytkownika więc w punkcie Wybór użytkownika klikamy Dalej

Ekran podsumowania opcji.

Po wybraniu Dalej a następnie Zakończ zostanie nam przedstawiony Wynikowy zestaw zasad.

Innym sposobem utworzenia Wynikowego zestawu zasad jest skorzystanie z gałęzi Wyniki zasad grupy (ang. Group Policy Results) dostępnej w oknie Zarządzanie zasadami grupy. Zapytanie tworzy się również za pomocą kreatora.

Zastosowanie tej metody ma parę zalet gdyż zapytanie jest zapisane na stałe póki go nie usuniemy i zapytanie utworzone w ten sposób może być aktualizowane. Dodatkowo uzyskujemy dostęp do wszystkich zdarzeń związanych z propagacją ustawień zasad grup odnośnie użytkownika. Informacje te są dostępne na karcie Zdarzenia dotyczące zasad.

Druga wersja narzędzia Wynikowy zestaw zasad (planowanie) jak już zostało wspomniane pozwala nam na poznanie ustawień użytkownika zanim je wykonamy fizycznie. Dzięki narzędziu możemy wykonać symulację jakie ustawienia zostaną przypisane danemu kontu gdy zaloguje się na danym komputerze lub co się stanie gdy danego użytkownika przeniesiemy do innej jednostki organizacyjnej. Choć oczywiście nie są to wszystkie warianty użycia tego narzędzia.

Symulację zasad wykonujemy podobnie jak uruchamialiśmy wcześniejszy kreator czyli wybierając z okna Użytkownicy i komputery usługi Active Directory konto danego użytkownika lecz tym razem wybieramy opcję Wynikowy zestaw zasad (planowanie). Opcjonalnie mamy możliwość skorzystania z gałęzi Modelowanie zasad grupy (ang. Group Policy Modeling) dostępnej w przystawce Zarządzanie zasadami grupy.

Po kliknięciu na gałąź wybieramy Kreator modelowania zasad grupy.

Po kliknięciu na ekranie powitalnym Dalej w oknie Wybór kontrolera domeny wybieramy kontroler, który będzie odpowiedzialny za przeprowadzenie symulacji.

By symulacja ta została przeprowadzona na jakimś konkretnym przykładzie zadajmy sobie pytanie - Jakie ustawienia zostaną przypisane do konta Jan Kowalski gdybyśmy konto to przenieśli do jednostki organizacyjnej Nauczyciele? Zdradzić mogę, że wynikiem operacji powinna być informacja o zastosowaniu polisy folder obraz zakaz, wymuszającej wyłączenie w menu Start odnośnika do folderu Obrazy.

By symulacja zadziałała w sekcji Informacje o użytkowniku i polu Użytkownik określamy konto użytkownika - zdefiniowane konto należy do użytkownika Jan Kowalski (zamiast definiować konto użytkownika możemy określić kontener w którym dane konto się znajduje). Dodatkowo w sekcji Informacje o komputerze w polu Kontener określamy docelową jednostkę organizacyjną w jakiej znaleźć ma się rozpatrywane konto użytkownika (opcjonalnie możemy zdefiniować konto komputera na którym będzie realizowany proces logowania).

W oknie Zaawansowane opcje symulacji możemy określić dodatkowe opcje przeprowadzanej operacji.

W oknie Alternatywne ścieżki usługi Active Directory możemy określić dodatkowe, alternatywne umiejscowienia badanych obiektów. Nie interesują nas inne jednostki dlatego wybieramy jednostkę organizacyjną Nauczyciele (przycisk Przeglądaj).

Okno Grupy zabezpieczeń użytkowników odpowiedzialne jest za definicję grup do których ma należeć rozpatrywane konto. Użytkownik Jan Kowalski z grupy gl_uczniowie został przeniesiony do grupy gl_nauczyciele.

Analogicznie jak w poprzednim kroku w oknie Grupy zabezpieczeń komputerów możemy określić przynależność konta komputera do danych grup.

Dwa kolejne okna kreatora służą do definicji filtrów WMI - według kolejności w pierwszym oknie określamy opcjonalne filtry WMI dotyczące użytkownika w drugim zaś filtry WMI dotyczące komputera.

Ostatnim oknem kreatora jest Podsumowanie

Po wybraniu Dalej i Zakończ uzyskamy wyniki przeprowadzanej symulacji.

Ostatnie z narzędzi gplogview należy pobrać ze strony Microsoftu - http://www.microsoft.com/en-us/download/details.aspx?id=11147 Narzędzie te jest darmowe i działa w linii poleceń.

Po zainstalowaniu narzędzia możemy je uruchomić i sprawdzić w działaniu.

Wydanie polecenia: gplogview -o <nazwa_pliku> spowoduje wyeksportowanie do zdefiniowanego pliku wszystkich zdarzeń, które związane są z przetwarzaniem i stosowaniem zasad grup.

Przeglądając log możemy stwierdzić, które z zasad zostały zastosowane a które pominięte.

Uruchamiając program z opcją -m (tryb monitora) uzyskujemy na żywo podgląd w jaki sposób polisy na danym komputerze są stosowane.

Te trzy przedstawione narzędzia na pewno pomogą w przypadku gdy natrafimy na problem z prawidłową dystrybucją ustawień z wykorzystaniem zasad grup.

W przypadku w którym wielu administratorów prowadzi zarządzanie polisami GPO warto pomyśleć by ujednolicić wspólne szablony administracyjne (pliki ADMX oraz ADML), które są używane do definicji zasad grup. Każdy z administratorów może korzystać z różnych wersji oprogramowania Windows a różne systemy Windows zawierają różne wersje tych plików tak więc może dojść do sytuacji w której na jednym komputerze nie będzie można wykonać pewnych operacji konfiguracyjnych. Aby ujednolicić te pliki i by wszyscy administratorzy korzystali z tego samego zestawu plików należy zdefiniować tzw. Central Store

Aby sprawdzić czy szablony są pobrane z komputera lokalnego czy z magazynu centralnego wystarczy, że otworzymy okno Edytora zarządzania zasadami grupy i najedziemy na gałąź Szablony administracyjne Jak widać poniżej zasady te są pobierane z komputera lokalnego.

Aby zmienić to ustawienie musimy przejść do katalogu Windows a następnie odszukać katalog PolicyDefinitions w który to katalogu znajdują się pliki odpowiedzialne za definicję zasad. Kopiujemy cały katalog PolicyDefinitions.

W kolejnym kroku przechodzimy do katalogu Windows\Sysvol\domain\Policies i umieszczamy w nim katalog PolicyDefinitions. Operację wykonujemy oczywiście na kontrolerze domeny.

Od tej pory wszyscy administratorzy, którzy mają prawa do definicji polis GPO będą korzystać z wspólnego zestawu definicji zasad.

To czy szablony administracyjne są pobierane z magazynu centralnego możemy dodatkowo sprawdzić wybierając dowolną polisę i w podglądzie ustawień polisy odszukać sekcje Szablony administracyjne w opisie sekcji znajdziemy informację o lokalizacji zastosowanych szablonów.

Zawartość i definicje polis są na kontrolerze domeny przechowywane w dwóch lokalizacjach:

Pierwsza z nich to tzw. Group Policy Container. Lokacja ta jest umiejscowiona w strukturze AD i zawiera informację o wersji. Dostęp do Group Policy Container jest realizowany za pomocą przystawki Edytor ADSI. Natomiast informacja o polisach jest umiejscowiona w gałęzi <domena>\CN=System\CN=Policies

Druga lokacja tzw. Group Policy Tempalate jest umiejscowiona w folderze Sysvol\Domain\Policies i zawiera ustawienia polis.

Katalog ten jest wykorzystywany przez każdy kontroler znajdujący się w domenie. Każdy katalog zawierający polisy GPO jest nazywany tak jak identyfikator GUID przydzielony do obiektu GPO podczas jego tworzenia. W katalogach polis znajdziemy:

podkatalog User - zawiera ustawienia, skrypty, pliki ustawień przypisane do poszczególnych użytkowników,

podkatalog Machine - zawiera ustawienia, skrypty, pliki ustawień przypisane do poszczególnych komputerów,

podkatalog ADM -utworzony w przypadku dziedziczenia plików szablonów,

plik GPT.ini - w pliku tym zapisany jest numer wersji GPO, który jest wykorzystywany podczas przetwarzania zasad przez stacje klienckie i użytkowników,

pliki registry.pol - pliki konfiguracyjne rejestru zawierające klucze oraz wartości wprowadzające stosowną konfigurację zdefiniowaną w zasadach grupy.

Poruszają się w gąszczu definiowanych ustawień możemy sobie trochę zadanie ułatwić i skorzystać z opcji ich filtrowania. Po wybraniu węzła Szablony administracyjne z menu wybieramy Widok a następnie Opcje filtru.

W nowo otwartym oknie możemy zdefiniować opcje filtru, który ma być zastosowany.

Definicje filtru, który ma być zastosowany możemy definiować według kilku kryteriów:

- czy ustawienie jest zarządzane,

- czy ustawienie jest skonfigurowane,

- czy posiada komentarze.

Dodatkowo możemy dane ustawienia wyszukiwać według słów (wpisane wyrażenie może być szukane w tytule zasady, tekście pomocy oraz w komentarzu) a także filtr możemy ustawić według jego zastosowania np. wszystkie ustawienia, które można skonfigurować w systemie Windows 7. Dodatkowo przy wyszukiwaniu danych ustawień możemy posiłkować się arkuszem w którym zostały zebrane wszystkie ustawienia polis (j. angielski) - http://www.microsoft.com/en-us/download/details.aspx?id=25250

I na sam koniec jeszcze jedna uwaga warto zadbać oto aby zdefiniowane przez nas ustawienia (wykonane przecież w pocie czoła) zarchiwizować. Po ustaleniu zasad polis można wykonać ich kopię zapasową. Kopię polis możemy wykonać archiwizując za jednym zamachem wszystkie zdefiniowane polisy lub każdą z osobna. Kopia zapasowa dostępna jest po wybraniu w oknie Zarządzanie zasadami grupy węzła Obiekty zasad grupy. Po kliknięciu PPM wybieramy Wykonaj kopię zapasową wszystkich.

Zasady grup uważam za omówione (lecz nie oznacza to że do ustawień tych nie będziemy wracać), myślę, że po lekturze tego wpisu jak i linków przeze mnie podanych każdy samodzielnie poradzi sobie z definicją polis. Wiem, że zbudowanie sensownego schematu zasad grup tak by pasował do zarządzanego środowiska wymaga czasu jak i doświadczenia ale jak to mówią „Nie od razu Rzym zbudowano” Tak więc życzę powodzenia i udanych a co najważniejsze wygranych bojów z GPO. W kolejnym wpisie zajmiemy się dostępem do zasobów a w szczególności tych związanych z plikami.

Bibliografia:

http://www.computerperformance.co.uk/w2k3/gp/group_WMI_filters.htm

http://zeda.nl/index.php/en/implementing-wmi-filters/

http://programming4.us/desktop/23714.aspx

Połączenia VPN w środowisku Windows Server

2013-10-18T21:03:06+00:00

Bezpieczne przesyłanie danych w publicznej, niezabezpieczonej sieci Internet od zawsze było wyzwaniem. Standardowe metody i sposoby przesyłania informacji nie zapewniają dostatecznej ochrony danych. Dlatego by rozwiązać ten problem wymyślono coś na kształt „bezpiecznych tuneli” zestawianych pomiędzy komputerami, wewnątrz których dane te w całkowicie pewny sposób mogą być wymieniane. Sieci te nazwano sieciami prywatnymi – VPN. Przedstawiony poniżej artykuł całkowicie jest poświęcony sposobie tworzenia sieci VPN, artykuł omawia podstawowe zagadnienia a także omawia różne sposoby tworzenia bezpiecznych połączeń pomiędzy hostami w środowisku Windows.

VPN czyli wirtualna sieć prywatna (virtual private network) to połączenie typu punkt-punkt, które jest realizowane poprzez sieć publiczną, taką jak Internet. W zestawieniu połączenia VPN wykorzystywane są specjalne protokoły, nazywane protokołami tunelowania. Istnieją dwa typy połączeń VPN:

- - połączenie VPN dostępu zdalnego (remote access),
  - połączenie VPN typu lokacja-lokacja (site-to-site).

Połączenie VPN dostępu zdalnego bezpiecznie łączy użytkowników zdalnych, takich jak użytkownicy mobilni i telepracownicy, z siecią przedsiębiorstwa. Czyli celem stosowania dostępu zdalnego jest dopuszczenie użytkownika do sieci przedsiębiorstwa przy użyciu infrastruktury udostępnionej przez sieć publiczną, taką jak Internet.

Połączenia VPN typu lokacja-lokacja umożliwiają organizacjom nawiązywanie połączeń między biurami lub oddziałami danego przedsiębiorstwa przez sieć publiczną przy zachowaniu bezpieczeństwa komunikacji. Połączenie VPN site-to-site łączy ze sobą dwie lub więcej sieci lokalnych poprzez Internet. Połączenie VPN działa tak jak byśmy zestawili dedykowane łącze sieci WAN. Gdy sieci są ze sobą połączone, jak to pokazano na poniższym rysunku, router przesyła pakiety dalej do następnego routera wykorzystując połączenie VPN. Dla routerów tych połączenie VPN ma cechy łącza warstwy danych czyli tak jakbyśmy połączyli je fizycznie. Dlatego możliwe jest wysyłanie informacji związanych np. z routingiem.

Aby umożliwić połączenie ze sobą dwóch punktów (komputer, router) dane muszą być hermetyzowane (rysunek poniżej), czyli opatrywane specjalnym nagłówkiem tak by umożliwić swobodny przepływ w sieci publicznej a jednocześnie zapewnić poufność przesyłanych informacji. To tak jakbyśmy jedno pudełko wsadzili w drugie. Dzięki takiemu zabiegowi mamy pewność, że pakiety trafią do miejsca przeznaczenia a w razie ich przechwycenia niemożliwe będzie odczytanie zawartości (zastosowanie szyfrowania).

Przy wdrażaniu połączeń VPN dążymy do tego aby były zachowane poniższe własności:

- - zapewnienie poufności przesyłanych danych poprzez zastosowanie szyfrowania silnymi algorytmami kryptograficznymi,
  - integralność danych czyli uniemożliwienie modyfikacji danych podczas ich transmisji,
  - uwierzytelnianie czyli brak możliwości podszycia się pod którąś ze stron,
  - zapewnienie niezaprzeczalności, czyli brak wyparcia się jednej ze strony, że nie wysłały danej informacji.

Aby można było zastosować powyższe funkcje stosuje się odpowiednie protokoły. Poszczególna, krótka charakterystyka protokołów biorących udział w tworzeniu tunelu VPN została przedstawiona poniżej.

Point-to-Point Tunneling Protocol jest protokołem pozwalającym na utworzenie tunelu w sieci publicznej. Tunel zestawiany jest między zdalnym klientem a serwerem ale także może być użyty w połączeniach typu router-router. Protokół ten korzysta z połączenia TCP a także protokołu GRE. Umożliwia kompresje i szyfrowanie danych PPP. Poniżej przedstawiono strukturę pakietu PPTP.

Protokół L2TP jest rozwinięciem protokołu PPTP a także dzięki współpracy z firmą Cisco połączeniem rozwiązań tej firmy z rozwiązaniami firmy Microsoft. W protokole tym ramki L2TP są umieszczane w pakietach UDP. Chociaż protokół ten podobnie jak PPTP może szyfrować i kompresować pakiety z ramkami PPP to w środowisku Windows Server szyfrowanie połączeń L2TP jest realizowane poprzez dodanie nagłówka i zakończenia IP Security (IPSec).

Protokół IPSec oparty jest o protokół IP i stanowi niejako rozszerzenie protokołu IP o brakujące funkcje w szczególności te związane z bezpieczeństwem przesyłanych danych , implementuje mechanizmy bezpieczeństwa i uwierzytelniania. Protokół IPSec zapewnia poufność i integralność danych wymienianych bezpiecznym kanałem. Poufność czyli brak możliwości poznania treści przechwyconej transmisji realizowana jest poprzez szyfrowanie natomiast integralności danych osiągnięto poprzez stosowanie skrótów kryptograficznych.

Protokół SSTP (Secure Socket Tunneling Protocol)jest ostatnim protokołem jaki możemy wykorzystać przy tworzeniu tuneli VPN. Główną zasadą jaka przyświecała przy tworzeniu tego protokołu jest wyeliminowanie jak największej liczby trudności związanych z konfiguracją np. firewalli. Dzięki temu, że protokół ten bazuje na HTTPS, który powszechnie jest stosowany do zabezpieczania witryn WWW, by tunel VPN zadziałał trzeba otworzyć tylko jeden port. Jak widać poniżej dane osadzane są wraz z nagłówkiem PPP a następnie z nagłówkiem SSTP, całość jest szyfrowana (SSL). By umożliwić dotarcie pakietu do celu, osadzany jest nagłówek IP.

Poniżej zestawienie i porównanie protokołów tunelowania.

Własność/Protokół	PPTP	L2TP/IPsec	SSTP
Tunelowanie	GRE	L2TP bazujący na UDP	SSTP bazujący na TCP
Szyfrowanie	MPPE	IPsec ESP 3DES lub AES	SSL lub AES
Certyfikat	NIE	TAK/NIE	TAK
Klient VPN	od Windows 95	od Windows 2000	od Windows XP SP3

W dalszej części artykułu postaram się zaprezentować sposoby tworzenia sieci VPN typu remote access bazujących na przedstawionych wyżej protokołach a także sieci VPN typu lokacja-lokacja (site-to-site).

Zaczynamy od uruchomienia Menedżera serwera, następnie przechodzimy do Kreatora dodawania nowych ról. By móc zarządzać połączeniami VPN musimy dodać rolę – Usługi zasad i dostępu sieciowego (NPAS, Network Policy and Access Services), taką rolę odszukujemy na liście i zaznaczamy ją celem instalacji.

Po kliknięciu Dalej przechodzimy do wprowadzenia w którym kreator informuje nas o funkcjach pełnionych w systemie przez Usługę zasad i dostępu sieciowego. Po zapoznaniu się z tymi informacjami klikamy Dalej.

W kolejnym kroku musimy sprecyzować, które składowe usługi NPAS chcemy zainstalować. By móc obsłużyć połączenia VPN musimy zainstalować następujący składnik: Usługi routingu i dostępu zdalnego (RRAS, Routing and Remote Access) – instalujemy obie funkcje czyli Routing i Usługę dostępu zdalnego.

Po kliknięciu Dalej przechodzimy do ekranu potwierdzenia.

Gdy wszystko się zgadza, pozostaje nam kliknąć na Zainstaluj i następuje instalacja roli.

Gdy rola zostanie zainstalowana zostaniemy poinformowani o wyniku instalacji.

Przechodzimy do Menedżera serwera i jak widać poniżej usługa ta po instalacji jest zatrzymana.

By serwer routingu i dostępu zdalnego zaczął działać należy go skonfigurować. W tym celu zaznaczamy usługę i wybieramy Konfiguruj i włącz routing i dostęp zdalny.

Podczas pierwszego uruchomienia możemy spotkać się z komunikatem jak na poniższym rysunku. Powiadomienie wyświetla się wówczas gdy włączone jest Udostępnianie połączenia internetowego (ICS – Internet Connection Sharing).

By wyłączyć ICS, należy przejść do okna Połączenia sieciowe i w właściwościach połączenia odpowiedzialnego za łączność z Internetem (karta Udostępnienie) odznaczyć pole Zezwalaj innym użytkownikom sieci na łączenie się poprzez połączenie internetowe tego komputera.

Po wyłączeniu ICS możemy ponownie spróbować uruchomić serwer RRAS. Przy pierwszym włączeniu serwera uruchomi się kreator, który przeprowadzi nas przez cały proces.

Pierwszą decyzję jaką musimy podjąć to wskazać na sposób działania serwera RRAS. Jeśli naszym priorytetem jest zapewnienie połączenia VPN dla użytkowników zdalnych wybieramy Dostęp prywatnej sieci wirtualnej i translator adresów sieciowych.

W kolejnym kroku należy wskazać interfejs sieciowy, który ma łączność z Internetem.

Nowo podłączani klienci muszą uzyskać adres IP z puli wolnych adresów dostępnych w naszej sieci czyli klient, który poprzez tunel VPN uzyskuje łączność z naszą siecią musi dostać adres IP zgodny z przyjętą adresacją naszej sieci. Na karcie Przypisywanie adresów IP, mamy możliwość wybrania sposobu przypisywania tych adresów. Mamy do wyboru dwie możliwości:

przyznawaniem adresów IP zajmie się serwer DHCP,
sami możemy określić pulę adresów.

Ja zdecydowałem się na zdefiniowanie puli adresów. Definicja dostępnych adresów sprowadza się do określenia początkowego i końcowego adresu IP. Pamiętaj, że jeśli decydujesz się na stworzenie puli adresów a w twojej sieci istnieje serwer DHCP, dobierz adresy tak by się ze sobą nie pokrywały. Adresy przyznawane przez DHCP a adresy z określonej puli nie powinny mieć części wspólnej.

Kolejnym pytaniem kreatora jest pytanie o sposób uwierzytelnienia, decydujemy czy serwer RRAS zajmuje się uwierzytelnieniem czy może ma zająć się tym serwer RADIUS (w skrócie osobny serwer na którym znajdują się informacje pozwalające uwierzytelnić się).

Po podaniu wszystkich informacji i po kliknięciu na Zakończ, serwer RRAS jest gotowy do pracy.

Podczas kończenia pracy kreatora możemy uzyskać taki o to komunikat:

Oznacza to że nie udało się otworzyć wszystkich portów w Zaporze systemu Windows odpowiedzialnych za obsługę usługi Routing i dostęp zdalny. Po takiej informacji nie pozostaje nam nic innego jak czynność tą wykonać ręcznie. W tym celu uruchamiamy Zaporę systemu Windows (tę standardową) i wybieramy z lewej strony Zezwalaj programowi lub funkcji na dostęp przez Zaporę systemu Windows. Z dostępnej listy odszukujemy Routing i dostęp zdalny i włączamy wyjątki w zaporze.

Serwer RRAS może obsługiwać klientów. Ale nie oznacza to końca naszej konfiguracji bo pozostaje nam określenie użytkowników, którzy mogą łączyć się z naszym serwerem.

Najprostszym (choć nie jedynym sposobem, o tym później) jest indywidualne określenie użytkowników, którzy mogą korzystać z połączenia VPN. W tym celu otwieramy przystawkę Użytkownicy i komputery usług Active Directory i wyszykujemy użytkownika, któremu chcemy dać prawo korzystania z połączenia VPN. Po wybraniu danego użytkownika, wybieramy Właściwości i przechodzimy na kartę Telefonowanie. Odszukujemy sekcję Uprawnienie dostępu do sieci i klikamy na Zezwalaj na dostęp. Od tej pory użytkownik wykorzystujący swoje poświadczenia (logowanie do domeny) będzie mógł łączyć się z serwerem RRAS.

Dodatkowe opcje, które możemy określić to przypisanie statyczne adresu IP dla danego użytkownika. Łączący się klient zawsze otrzyma stały przypisany tylko jemu adres IP. Przy przypisywaniu stałych adresów IP należy zwrócić uwagę by adresy te nie pokrywały się z adresami przyznawanymi przez serwer DHCP.

Zaznaczenie opcji Zastosuj trasy statyczne spowoduje dodanie tras stycznych do tablicy routingu łączącego się klienta. Opcja przydatna gdy np. chcemy dać dostęp do jakiegoś serwera lecz serwer ten znajduje się w innej podsieci.

Serwer został skonfigurowany tak by konkretnemu użytkownikowi dać możliwość skorzystania z tunelu VPN. Teraz przyszła kolej na konfigurację klienta.

Aby skonfigurować połączenie VPN, musimy włączyć Centrum sieci i udostępniania, do okna tego możemy dostać się poprzez Panel Sterowania lub poprzez ikonę połączenia sieciowego, znajdującą się w trayu.

Po uruchomieniu Centrum sieci i udostępniania, przechodzimy do skonfigurowania nowego połączenia.

Naszym oczom pojawi się kreator nowego połączenia. Wybieramy opcję Połącz z miejscem pracy.

Jeśli mamy skonfigurowane więcej połączeń z siecią Internet możemy określić te połączenie, które będzie użyte do zestawienia tunelu VPN.

Na kolejnym ekranie określamy sposób łączenia do wyboru mamy połączenie za pośrednictwem Internetu lub modemu (połączenie wdzwaniane).

W moimi przypadku połączenie VPN będzie realizowane za pośrednictwem Internetu, więc by uzyskać połączenie trzeba podać adres serwera VPN (adres DNS lub adres IP). Mój serwer nie ma statycznego adresu IP więc by był zawsze dostępny pod jedną stałą nazwą została skonfigurowana usługa DDNS, wiążąca nazwę DNS (np. mojserwervpn.dyndns.org) z zmiennym adresem IP przyznawanym przez ISP. O usłudze DDNS więcej pisałem w artykule poświęconemu pulpitowi zdalnemu i usłudze WoL.

Inne opcje, które możemy skonfigurować na tym ekranie to:

- - użycie karty inteligentnej,
  - udostępnienie połączenia,
  - sama konfiguracja połączenia bez próby zestawienia tunelu VPN.

Po wpisaniu adresu serwera, przyszła kolej na podanie poświadczeń użytkownika, opcjonalnie możemy dodać nazwę domeny z którą się łączymy.

Po poprawnym podaniu wszystkich niezbędnych danych powinno udać nam się zestawić połączenie VPN.

Opisany powyżej sposób będzie korzystał z szyfrowania MPPE, które zabezpiecza dane w połączeniu PPTP między klientem a serwerem sieci VPN.

Protokoły wykorzystane do zbudowania połączenia zdradzi nam również przechwycony pakiet - komunikacja pomiędzy klientem a serwerem VPN.

By zapewnić większe bezpieczeństwo (silniejsze szyfrowanie) można zdecydować się na wykorzystanie protokołu IPSec. Protokół ten zapewnia uwierzytelnianie na poziomie komputera oraz szyfrowanie danych w połączeniach VPN korzystających z protokołu L2TP. Zabezpieczenia IPSec zostają wynegocjowane przed zestawieniem połączenia L2TP (komputer klient - serwer VPN). Negocjacja gwarantuje ochronę zarówno danych, jak i haseł. Użycie protokołu IPSec można wymusić poprzez użycie klucza wstępnego uwierzytelnienia (pre-shared key) lub gdy zdecydujemy się skorzystać z certyfikatów.

By zdefiniować wstępny klucz przechodzimy do właściwości Routingu i dostępu zdalnego.

Wybieramy kartę Zabezpieczenia, gdzie zaznaczamy Zezwalaj na niestandardowe zasady IPSec dla połączeń L2TP i definiujemy klucz wstępny.

Ten sam klucz musimy zdefiniować w właściwościach połączenia VPN klienta. Dlatego klikamy na Właściwości.

W kolejnym kroku przechodzimy na zakładkę Zabezpieczenia, gdzie po kliknięciu na Ustawienia zaawansowane (po uprzednim wybraniu z rozwijanej listy protokołu L2TP/IPSec) mamy możliwość wpisania klucza wstępnego (oczywiście wpisany klucz musi być zgodny z kluczem wpisanym na serwerze).

Opisany powyżej sposób z kluczem wstępnym będzie korzystał z protokołu IPSec (przy użyciu protokołu ESP), który zabezpiecza dane w połączeniu L2TP między klientem a serwerem sieci VPN.

Użyte protokoły możemy również zaobserwować gdy uda nam się przechwycić komunikację pomiędzy klientem a serwerem VPN.

I został nam do omówienia ostatni sposób a mianowicie ten oparty na protokole SSTP.

Połączenie VPN bazuje na certyfikatach a więc nasze czynności rozpoczynamy od uruchomienia Kreatora dodawania ról by móc dodać Usługi certyfikatów w usłudze Active Directory (AD CS, Active Directory Certificate Services).

W oknie wyborze usług ról, oprócz Urzędu certyfikacji dodajemy rolę Rejestracja w sieci Web dla urzędu certyfikacji (Certification Authority Web Enrollment), która pozwoli nam na komunikację z urzędem certyfikacji za pomocą przeglądarki, dlatego zaznaczenie usługi wymusza na nas instalację również Serwera sieci Web (IIS, Internet Information Services)

Na pytanie – Jaki urząd certyfikacji chcemy zainstalować? Wybieramy autonomiczny (standalone).

Przy określeniu typu urzędu certyfikacji decydujemy się na instalację głównego urzędu certyfikacji (Root CA).

Na ekranie konfiguracji klucza prywatnego wybieramy – Utwórz nowy klucz prywatny.

Na kolejnym ekranie decydujemy o dostawcy usługi kryptograficznej, określamy długość klucza a także wybieramy algorytm odpowiedzialny za wyznaczenie wartości skrótu. Jeżeli nie mamy jakiś wyraźnych preferencji decydujemy się na wartości domyślne.

Kolejny już krok to określenie nazwy urzędu certyfikacji.

Określamy okres ważności certyfikatu generowanego dla tego urzędu certyfikacji,

oraz lokalizację bazy danych certyfikatów.

Wszystkie opcje związane z instalacją usługi AD CD zostały zdefiniowane, przyszła pora na wybranie usług ról związanych z Serwerem sieci Web. Jeżeli nasz serwer WWW uruchamiany jest tylko na potrzeby obsługi żądań i wystawiania certyfikatów możemy zostawić domyślnie zaznaczone składniki.

Po określeniu składników serwera WWW nie pozostało nam nic innego jak potwierdzenie opcji instalacji. Klikamy na Zainstaluj.

Po poprawnym zainstalowaniu urzędu certyfikacji przechodzimy do przeglądarki by zażądać certyfikatu uwierzytelnienia serwera. W tym celu w polu adresu przeglądarki należ wpisać http://localhost/certsrv by połączyć się z urzędem certyfikacji. Na wyświetlonej stronie klikamy na Żądanie certyfikatu

i dalej zaawansowane żądanie certyfikatu

i dalej Utwórz i prześlij żądanie do tego urzędu certyfikacji.

W formularzu musimy wypełnić pole Name gdzie należy wpisać adres serwera z którym będziemy się łączyć celem ustanowienia tunelu VPN (w moim przypadku serwtest.firma.local). Wybieramy typ certyfikatu czyli Certyfikat uwierzytelniania serwera (Server Authentication Certificate) oraz zaznaczamy pole Oznacz klucze jako eksportowalne. Na końcu klikamy na Prześlij.

Żądanie certyfikatu zostało przesłane do serwera, czas by go wystawić. W tym celu uruchamiamy konsolę mmc i z menu Plik wybieramy Dodaj/Usuń przystawkę.

Z listy dostępnych przystawek (snap-in) odszukujemy Certification authority i po kliknięciu na Dodaj wybieramy komputer lokalny.

Z lewej strony odszukujemy kontener Żądania oczekujące (Pending Requests) i wybieramy certyfikat celem jego wystawienia.

Po wystawieniu certyfikatu przechodzimy z powrotem do okna przeglądarki by po połączeniu z serwerem urzędu certyfikacji pobrać wystawiony certyfikat. Klikamy na Pokaż stan oczekującego żądania certyfikatu.

Po kliknięciu powinna pojawić się nam strona z listą żądań certyfikatów, które możemy pobrać. Wybieramy odpowiedni certyfikat.

Następnie Zainstaluj ten certyfikat.

Przechodzimy do konsoli mmc i dodajemy przystawkę Certyfikaty ale certyfikaty związane z kontem użytkownika (My user account).

Ponownie dodajemy przystawkę Certyfikaty lecz tym razem wybieramy Konto komputera lokalnego (Computer account).

Przechodzimy do kontenera Certyfikaty – bieżący użytkownik, wybieramy Osobisty i dalej Certyfikaty. Odszukujemy certyfikat w przykładzie serwtest.firma.local i PPM z okna wybieramy Wszystkie zadania i Eksportuj

Uruchamia się Kreator eksportu certyfikatów. Klikamy Dalej.

Na pytanie - Czy chcesz wyeksportować klucz prywatny wraz z certyfikatem? odpowiadamy twierdząco.

W oknie Format pliku eksportu wybieramy Wymiana informacji osobistych – PKCS #12 (.PFX)

Zdecydowaliśmy się wyeksportować nasz klucz prywatny dlatego eksportowany certyfikat zabezpieczamy hasłem.

Określamy ścieżkę eksportu certyfikatu.

Ostatnim oknem jest podsumowanie procesu eksportu certyfikatu, klikamy Zakończ.

Powracamy do okna konsoli mmc i przechodzimy do kontenera Certyfikaty (Komputer lokalny) dalej Osobisty i Certyfikaty. Klikamy PPM na Certyfikaty, wybieramy Wszystkie zadania i Importuj.

Tym razem uruchamia się Kreator importu certyfikatów, klikamy Dalej.

Po kliknięciu na Przeglądaj odszukujemy certyfikat który przed chwilą wyeksportowaliśmy. W polu formatu pliku wybieramy Wymiana informacji osobistych (*.pfx, *.p12)

Klikamy Dalej.

Podajemy hasło chroniące klucz prywatny.

Magazyn certyfikatów pozostawiamy bez zmian.

Ostatnim oknem jest podsumowanie procesu importu certyfikatu, klikamy Zakończ.

I to jeśli chodzi o konfigurację serwera, oczywiście by można było utworzyć połączenie VPN muszą być zainstalowane Usługi routingu i dostępu zdalnego.

Przyszła kolej na konfigurację klienta. W oknie przeglądarki wpisujemy adres serwera urzędu certyfikacji. Na wyświetlonej stronie wybieramy Pobierz certyfikat urzędu certyfikacji, łańcuch certyfikatów lub listę CRL (Download a CA certificate, certificate chain, or CRL).

Następnie wybieramy certyfikat urzędu certyfikacji i klikamy Pobierz certyfikat urzędu certyfikacji.

Powinien nam wyświetlić się certyfikat, wybieramy Zainstaluj certyfikat.

Zostaje uruchomiony Kreator importu certyfikatów w którym to pozostawiamy domyślną opcję Automatycznie wybierz magazyn certyfikatów na podstawie typu certyfikatu.

Klikamy Zakończ.

Na komputerze klienta uruchamiamy konsolę mmc i dodajemy przystawkę Certyfikaty, Moje konto użytkownika.

Dodajemy dugą przystawkę Certyfikaty, lecz tym razem wybieramy Konto komputera (konto lokalne).

Nastepnie w kontenerze Certyfikaty – bieżący użytkownik odszukujemy gałąź Pośrednie urzędy certyfikacji (Intermediate Certification Authorities) i odnajdujemy certyfikat pobranego i zainstalowanego urzędu certyfikacji. Certyfikat kopiujemy.

Przechodzimy do kontenera Certyfikaty (Komputer lokalny) i odnajdujemy gałąź Zaufane główne urzędy certyfikacji (Trusted Root Certification Authorities)i wklejamy skopiowany certyfikat.

Po wykonaniu wszystkich powyższych operacji nie pozostaje nam nic innego jak konfiguracja połączenia VPN po stronie klienta. Konfigurację połączenia przeprowadzamy identycznie jak w przypadku połączenia PPTP z tą różnicą, że w Właściwościach połączenia na karcie Zabezpieczenia w sekcji Typ wirtualnej sieci prywatnej (VPN) wybieramy Protokół SSTP.

Aby zapewnić prawidłowość działania opisanych połączeń VPN trzeba zadbać o odpowiednie otwarcie portów w zaporze (firewall) a także bardzo często wykonać przekierowanie portów na routerze. Porty i użyte protokoły zależą od typu protokołu obsługującego tunel i tak:

- - Protokół Point-to-Point Tunneling Protocol (PPTP): port TCP 1723 (konserwacja tunelu PPTP od klienta PPTP do serwera PPTP.), IP 47 (przekazywanie tunelowanych danych PPTP od klienta PPTP do serwera PPTP),
  - Protokół Layer Two Tunneling Protocol z zabezpieczeniami protokołu internetowego (L2TP/IPSec): UDP 500 (ruch Internet Key Exchange (IKE)), UDP 1701 (ruch L2TP od klienta sieci VPN do serwera sieci VPN), UDP 4500 (przechodzenie translacji adresów sieciowych (NAT-T) protokołu IPSec),
  - Protokół Secure Sockets Layer (SSL): port TCP 443.

Na koniec jeszcze małą uwaga, jeśli chcemy sobie przećwiczyć całą procedurę w jakimś symulowanym środowisku czasem niezbędne jest wyedytowanie pliku hosts w którym to powiązujemy adres IP z adresem DNS. W tym przykładzie adres IP został powiązany z nazwą serwtest.firma.local Lokalizacja pliku to: %windir%\system32\drivers\etc\hosts

Wspomniałem, że istniej jeszcze inny sposób na danie możliwości wybranym użytkownikom na skorzystanie z połączenia VPN. O ile jak to miało miejsce powyżej (skorzystanie z karty Telefonowanie) sposób sprawdza się przy małej i stałej grupie użytkowników VPN, to gdy musimy zarządzać większą grupą i zachodzi ciągła rotacja osób, rozwiązanie to staje się mało efektywne. Dlatego w scenariuszu tym lepsze efekty daje wykorzystanie zasad grupy.

Pierwszy krok, który musimy wykonać to utworzenie grupy w tym przykładzie grupa będzie nosiła nazwę: uzytkownicyzdalni. Przynależność do grupy będzie dawało prawo do korzystania z połączenia VPN.

Następnie przechodzimy do roli Usługi zasad i dostępu sieciowego by odnaleźć węzeł Rejestrowanie i zasady dostępu zdalnego. Klikając PPM uruchamiamy serwer NPS.

Po uruchomieniu Serwera zasad sieciowych, przyszła kolej na utworzenie nowej zasady.

Na pierwszym ekranie, nadajemy nazwę, nowo tworzonej zasadzie i wybieramy typ serwera dostępu do sieci – Remote Access Server (Serwer dostępu zdalnego).

Przyszedł czas by określić warunki połączenia VPN. Musimy określić przynajmniej jeden warunek a dodanie kolejnych odbywa się poprzez kliknięcie na Dodaj.

Zależy nam by dostęp do serwera VPN mieli użytkownicy konkretnej grupy dlatego po kliknięciu na Dodaj wybieramy Grupy systemu Windows.

Określamy grupę.

Można określić wiele różnych warunków - ja zdecydowałem się jeszcze na wprowadzenie ograniczenia dotyczącego czasu w którym można skorzystać z połączenia VPN oraz określenia typu tunelu.

Kolejny ekran to określenie uprawnień dostępu, oczywiście udzielamy dostęp.

Na karcie Konfigurowanie metod uwierzytelnienia określamy obowiązujący sposób uwierzytelniania.

Kolejny krok to opcjonalne określenie ograniczeń.

Na karcie Konfigurowanie ustawień mamy możliwość ustalenia atrybutów usługi RADIUS a także określenie zasad routingu i dostępu zdalnego. Szczególnie ważna jest tu opcja Filtry IP, która pozwala nakładać ograniczenia lub zezwalać na ruch do konkretnej sieci, również w oparciu o wybrane protokoły.

Po wprowadzeniu wszystkich niezbędnych ustawień tworzonego połączenia VPN, kończymy pracę kreatora.

Nie pozostało nam nic innego jak dodać użytkowników do grupy uzytkownicyzdalni i sprawdzić czy uda nam się zestawić tunel VPN. W moim przykładzie dodałem użytkownika Beata Tryla do grupy uzytkownicyzdalni, nic więcej nie muszę wykonywać ponieważ by użytkownik mógł się połączyć na karcie Telefonowanie musi być zaznaczona opcja Kontroluj dostęp poprzez zasady sieci NPS a ustawienie te jest domyślnie przypisane każdemu nowo tworzonemu użytkownikowi.

Jak widać poniżej po przejściu na komputer klienta i po skonfigurowaniu nowego połączenia udało mi się zestawić połączenie VPN dla użytkownika Beata Tryla należącego do grupy uzytkownicyzdalni.

Innym typem połączenia VPN jest połączenie typu lokacja-lokacja, połączenie te łączy ze sobą dwie odległe sieci np. sieć przedsiębiorstwa z siecią oddziału. W scenariuszu tym utworzymy właśnie takie połączenie, które połączy nam sieć przedsiębiorstwa (nazwijmy lokacje jako router_centrum) z siecią placówki (lokacja nazwana jako router_oddział).

Zacznijmy od konfiguracji lokacji router_centrum.

Przechodzimy do Menadżera serwera i odszukujemy Usługi zasad i dostępu sieciowego a następnie zaznaczamy usługę i wybieramy Konfiguruj i włącz routing i dostęp zdalny.

Z dostępnych opcji wybieramy Bezpieczne połączenie między dwiema sieciami prywatnymi.

Na pytanie – Czy chcesz używać połączeń z wybieraniem numeru na żądanie w celu uzyskiwania dostępu do sieci zdalnych? Odpowiadamy twierdząco.

Podobnie jak było w przypadku konfiguracji dostępu zdalnego musimy zdecydować o sposobie przypisywania adresów IP, jeśli jest uruchomiony serwer DHCP możemy zdecydować się na automatyczne przypisywanie adresów IP klientom zdalnym lub sami określamy pulę dostępnych adresów. Pamiętać należy tylko że w razie posiadania serwera DHCP i zdecydowaniu się na ręczny dobór adresów IP, zakres należy dobrać tak by nie pokrywał się on z zakresem puli serwera DHCP. W przeciwnym wypadku narażamy się na możliwość powielenia adresu IP w naszej sieci.

Ja zdecydowałem się adresy przyznać samemu, więc określam pulę dostępnych adresów IP.

Po ustaleniu wszystkich opcji Kreator instalacji serwera routingu i dostępu zdalnego kończy działanie.

Automatycznie uruchamia się kolejny kreator – Kreator interfejsu wybierania numeru na żądanie. Klikamy Dalej.

Wpisujemy nazwę interfejsu, najczęściej jest to nazwa lokalizacji zdalnej. Konfigurujemy lokalizacje router_centrum a chcemy uzyskać połączenie z lokalizacją zdalną router_oddział więc wpisaną nazwą interfejsu będzie router_oddział.

Określamy typ połączenia – Połącz, używając wirtualnej sieci prywatnej (VPN)

Wybieramy typ wirtualnej sieci prywatnej.

Adres komputera zdalnego. Jeśli adresy IP przyznawane przez ISP są zmienne, możemy zdecydować się na skorzystanie z usługi DDNS celem powiązania na stałe adresu DNS z adresem IP.

Zaznaczamy opcje Roześlij pakiety IP po interfejsie a także Dodaj konto użytkownika, aby router zdalny mógł wybrać numer tego komputera. Zaznaczenie tej drugiej opcji spowoduje utworzenie konta które będzie wykorzystywane do uwierzytelnienia się w lokacji router_centrum.

Jeśli istnieje taka potrzeba możemy określić trasy statyczne do sieci zdalnych. Tak aby możliwa była komunikacja z podsieciami.

Tworzymy konto użytkownika i hasło jakie będzie używane w trakcie zestawiania połączenia. Te poświadczenia będą sprawdzane gdy router_oddział będzie chciał się połączyć z routerem_centrum.

Kolejnym krokiem jest utworzenie konta router_centrum, poświadczenia te będą używane gdy router_centrum będzie nawiązywał połączenie z router_oddział.

Kreator kończy działanie.

Przechodzimy do lokalizacji router_oddział, proces jest podobny z małymi wyjątkami, te wyjątki są opisane poniżej.

Przy pytaniu o nazwę interfejsu, podajemy nazwę router_centrum (nazwa lokalizacji zdalnej).

Oczywiście również musimy podać adres lokalizacji zdalnej.

Podajemy poświadczenia lokalizacji zdalnej, dane te będą sprawdzane w sytuacji w której połączenie będzie nawiązywane od strony routera_centrum.

I ostatnia opcja, tworzymy konto router_oddział wraz z hasłem. Podane tu informacje będą weryfikowane podczas łączenia z routerem_centrum.

Przeszliśmy przez cały proces konfiguracji, trochę to może zagmatwane (nie ma to jak fachowe określenie) ale chodzi o to aby po obu stronach istniały konta strony przeciwnej. Od tej pory powinna być możliwa komunikacja pomiędzy lokacjami.

Połączenie możemy wykonać wybierając z gałęzi Interfejsy sieciowe interesujący nas interfejs i dalej PPM i klikamy na Połącz.

Generalnie to by było na tyle, poniżej luźne myśli i problemy na jakie możemy się natknąć podczas konfiguracji połączeń VPN.

Po poprawnym zainstalowaniu i skonfigurowaniu serwera RRAS, system zasad sieciowych (NPS, Network Policy Server) domyślnie będzie blokował wszelkie próby dostępu do serwera RRAS. Aby zmienić tę zasadę, otwórz gałąź Routing i dostęp zdalny, a następnie PPM na Rejestrowanie i zasady dostępu zdalnego i Uruchom serwer NPS.

Po wybraniu Zasady sieciowe, otwórz zasadę Połączenia z serwerem usługi routingu i dostępu zdalnego firmy Microsoft (Connections to Microsoft Routing and Remote Access server) i na karcie Ogólne, zaznacz Udziel dostępu; udziel dostępu, jeśli żądanie połączenia jest zgodne z tą zasadą.

Po zainstalowaniu serwera RRAS może również nastąpić odmowa dostępu do usług sieciowych zainstalowanych/skonfigurowanych wcześniej czyli możemy np. stracić możliwość połączenia z pulpitem zdalnym czy serwerem FTP. W szczególności dotyczy to usług, które są dostępne od strony Internetu (z tego kierunku jest nawiązywane połączenie). Dlatego by rozwiązać ten problem, przechodzimy do podgałęzi Translator adresów sieciowych, dostępnej po rozwinięciu gałęzi IPv4. W właściwościach gałęzi na karcie Usługi i porty mamy możliwość wybrania usług uruchomionych w sieci prywatnej do których można przekierować użytkowników internetowych.

Bibliografia:

Praca z polisami GPO. Słów kilka o obiektach zasad grup.

2012-10-15T12:07:13+00:00

Wyobraź sobie sytuację że jesteś administratorem i w twojej firmie jest około 100 komputerów i do każdego komputera jest przypisany użytkownik a twoim zadaniem jest zarządzanie tym wszystkim i dbanie by każdy użytkownik miał skonfigurowane swoje stanowisko pracy według ściśle określonych zasad. Chcesz wprowadzić takie zmiany byś ty mógł łatwiej i prościej wykonywać swoją pracę i aby użytkownicy mogli wykonywać swoje zadania. Chciałbyś każdemu pracownikowi przekierować folder Moje Dokumenty na udostępniony zasób sieciowy, oraz zmapować dysk sieciowy tak aby mieli swobodę wymiany dokumentów, dodatkowo potrzebujesz by każdy miał dostęp do drukarki oraz ograniczony dostęp do Panelu sterowania (tak by nie wprowadzali niepotrzebnych zmian) i zablokować możliwość korzystania z pamięci zewnętrznych np. pendrive. Dodatkowo każdy z użytkowników powinien mieć podobnie wyglądający Pulpit z usuniętymi niektórymi standardowo dostępnymi elementami. Uff dużo pracy. Teoretycznie mógłbyś byś to wykonać konfigurując każdą z maszyn osobno ale czeka cię dużo chodzenia, ogrom czasu spędzonego przy każdej maszynie i pewnie drobne nieprzewidziane problemy. Czy istnieje zatem prostsze rozwiązanie tego problemu??? Odpowiedź jest prosta - naturalnie że TAK. Z pomocą przyjdzie nam mechanizm znany jako Zasady grup (ang. Group Policy). Ale jest warunek (czy zawsze musi myć jakieś ale?) komputery muszą pracować w środowisku domenowym czyli kończąc musisz posiadać serwer, który będzie tym wszystkim zarządzał.

Zasady Grup (ang. Group Policy) w Windows Server są wykorzystane do centralnego zarządzania konfiguracją grup komputerów i użytkowników, poprzez definiowanie opcji związanych z rejestrami systemu, dystrybucją oprogramowania, ustawieniami zabezpieczeń, skryptów i przekierowaniem folderów. Głównym celem stosowania Zasad Grup jest łatwość konfiguracji poszczególnych grup maszyn a pośrednio redukcja kosztów zarządzania organizacją. W przypadku korzystania z zasad grupy wystarczy jednokrotnie zdefiniować stan środowiska pracy użytkownika, a następnie system Windows Server wymusza określone ustawienia zasad grupy. Poszczególne przypisane przez nas ustawienia w zasadach grup możemy tworzyć i edytować przy pomocy narzędzia Group Policy Management Console (GPMC - Konsola zarządzania zasadami grupy) a zasady te są przechowywane w GPO (Group Policy Object).

Rysunek 1 GPMC - Konsola zarządzania zasadami grupy - Windows Server 2008

Korzystając z GPMC i linkując GPO do np. site-u, domeny lub jednostki organizacyjnej, można przypisać konkretne ustawienia do użytkowników i komputerów znajdujących się w danym obiekcie Active Directory. Kontenerem najniższego poziomu do którego można przypisać ustawienia Group Policy w AD jest jednostka Organizacyjna (OU).

Ustawienia zdefiniowane w GPO, są przechowywane w dwóch lokalizacjach: w miejscu zwanym kontenerem Group Policy oraz w folderze Sysvol na kontrolerze domeny gdzie przechowywane są szablony Group Policy. W kontenerze Group Policy zawarte są informacje służące do rozmieszczania GPO, natomiast szablony Group Policy zawierają ustawienia zabezpieczeń, informacje służące do instalacji aplikacji, pliki skryptów, preferencje i szablony administracyjne (ang. Administrative Templates) bazujące na ustawieniach Group Policy. Administrative Templates (lub pliki .adm bądź .admx) pozwalają administratorom kontrolować ustawienia rejestrów za pomocą GPO. W Windows Server 2008 przechowywanie szablonów odbywa się dwojako: mogą być przechowywane lokalnie lub centralnie w folderze Sysvol. Wybranie tego drugiego rozwiązania (centralnie) niesie ze sobą pewne korzyści:

- - cała zawartość folderu Sysvol jest kopiowana pomiędzy wszystkimi kontrolerami domeny. Szablony przechowywane centralnie mają pierwszeństwo przed tymi przechowywanymi lokalnie. Dlatego możemy używać jednego zestawu szablonów, dostępnych w całej domenie.
  - drugą zaletą jest możliwość korzystania z różnych języków szablonów administracyjnych - korzyść dla środowisk różniących się geograficznie. Szablony przechowywane w centralnej lokalizacji, jeden administrator domeny może widzieć ustawienia w języku polskim a inny w niemieckim.

Jak już wspomnieliśmy o szablonach administracyjnych to należało by wytłumaczyć co to jest. A więc, szablony administracyjne obejmują ustawienia rejestru, które są dostępne w folderach Konfiguracja komputera i Konfiguracja użytkownika w Edytorze obiektów zasad grupy.

Plik .adm bądź .admx zawiera hierarchię kategorii i podkategorii, które definiują sposób wyświetlania ustawień zabezpieczeń. Zawarte są również w nim następujące informacje:

- - lokalizacje w rejestrze, które odpowiadają poszczególnym ustawieniom,
  - wartości domyślne dla poszczególnych ustawień,
  - opcje lub ograniczenia wartości, które są skojarzone z poszczególnymi ustawieniami,
  - wyjaśnienie działania zastosowania danego ustawienia oraz informacja o wersji systemu Windows wspierającego dane ustawienie.

Group Policy Management Console

Za pomocą narzędzia GPMC jesteśmy w stanie kontrolować i zarządzać wszystkimi aspektami zasad grup. Narzędzie pozwala zarządzać obiektami GPO, filtrami Windows Management Instrumentation (WMI) i powiązanymi z Group Policy uprawnieniami w sieci. Za pomocą GPMC możemy wykonać następujące czynności:

- - kopiowanie i wklejanie GPO,
  - wyszukiwanie obiektów GPO,
  - import i eksport GPO,
  - tworzenie kopii (backup) i odtwarzanie GPO,
  - raportowanie,
  - migracja i kopiowanie GPO pomiędzy domenami i lasami,
  - Group Policy Modeling. Używane do symulowania Resultant Set of Policy (RSoP - wynikowy zestaw zasad) do planowania wdrożenia zasad grup przed ich fizyczną implementacją,
  - tworzenie raportów ustawień GPO i RSoP w postaci HTML do późniejszego zapisania bądź wydrukowania,
  - Group Policy Result. Umożliwia uzyskanie RSoP w celu obserwowania interakcji GPO i rozwiązywania ewentualnych problemów.

W Windows Server 2003 konsola Zarządzanie zasadami grupy nie jest dostarczana wraz z systemem należy ją pobrać ze strony Microsoftu.

http://www.microsoft.com/en-us/download/details.aspx?id=21895

Edytor obiektów zasad grupy można otworzyć z przystawki Użytkownicy i komputery usługi Active Directory, aby zarządzać obiektami GPO dla domen i jednostek organizacyjnych. W oknie dialogowym Właściwości dla domeny lub jednostki organizacyjnej znajduje się karta Group Policy. Korzystając z tej karty, można zarządzać obiektami GPO dla domeny lub jednostki organizacyjnej.

Rysunek 2 Edytor obiektów zasad grupy - Użytkownicy i komputery usługi AD - Windows Server 2003

Edytora obiektów zasad grupy można otworzyć z przystawki Lokacje i usługi Active Directory, aby zarządzać obiektami GPO dla lokacji. W oknie dialogowym Właściwości dla lokacji znajduje się karta Group Policy. Korzystając z tej karty, można zarządzać obiektami GPO dla lokacji.

Rysunek 3 Edytor obiektów zasad grupy - Lokacjei usługi AD - Windows Server 2003

W Windows Server 2008 Zarządzanie zasadami grupy znajdziemy w Menedżerze Serwera po rozwinięciu drzewa Funkcje z lewej strony. Do panelu dostaniemy się również poprzez konsolę MMC. Uruchomienie można też zrealizować poprzez naciśnięcie kombinacji klawiszy logo Windows + R, aby otworzyć okno dialogowe Uruchamianie. W polu tekstowym wpisz gpmc.msc.

Rysunek 4 Zarządzanie zasadami grupy - Windows Server 2008

Group Policy dla nowego konta użytkownika lub komputera.

W środowisku Active Directory jak już zostało wspomniane przypisujemy ustawienia Group Policy linkując GPO do site-ów, domen lub jednostek organizacyjnych. Najczęściej zdarza się że większość zasad GPO jest przypisywanych na poziomie OU, dlatego tak ważne jest aby należycie zaprojektować strukturę jednostek organizacyjnych co uchroni nas przed duplikowaniem różnych ustawień GPO a sprawi że administrowanie będzie uproszczone.

Domyślnie nowe konto użytkownika bądź komputera tworzone jest odpowiednio w kontenerze CN=Users lub CN=Computers. Nie ma możliwości bezpośredniego przypisania Group Policy do tych kontenerów oprócz dziedziczenia GPO zlinkowanego z domeną.

Ustawienia zasad grupy dla użytkowników obejmują zamierzone zachowanie systemu operacyjnego, ustawienia zabezpieczeń, ustawienia aplikacji, ustawienia pulpitu, opcje aplikacji przypisanych i opublikowanych, opcje przekierowania folderu oraz skrypty logowania i wylogowywania użytkownika. Ustawienia te są aplikowane i stosowane podczas logowania danego użytkownika (ale nie tylko - bo można wymusić odświeżenie zasad grupy) oraz także w trakcie okresowego cyklu odświeżania.

Ustawienia zasad grupy, związane z użytkownikiem, są zawarte w folderze Konfiguracja użytkownika w Edytorze zarządzania zasad grupy. W zależności od wersji posiadanego systemu Windows po rozwinięciu elementu Konfiguracja użytkownika znajdziemy niżej opisane elementy choć mogą one być rozłożone w różnych podfolderach. Generalnie poszczególne elementy (choć nie wszystkie, są także inne) są powielone w Konfiguracji komputera zastosowanie ich daje ten sam efekt lecz różnią się kontekstem uruchamiania bo albo wyzwala je logujący się użytkownik (elementy skonfigurowane w Konfiguracja użytkownika) bądź start systemu (elementy skonfigurowane w Konfiguracja komputera)

Podfolder Ustawienia oprogramowania folderu Konfiguracja użytkownika zawiera ustawienia związane z instalacją oprogramowania a opcje wprowadzone w tym oknie są stosowane do użytkowników, niezależnie od tego, na których komputerach się oni logują.

Podfolder Ustawienia systemu Windows folderu Konfiguracja użytkownika zawiera ustawienia systemu Windows stosowane do użytkowników, niezależnie od tego, na których komputerach się oni logują. Ten folder może zawierać również następujące elementy: Przekierowanie folderu, Ustawienia zabezpieczeń, Skrypty, Ustawienia QoS oparte na zasadach, Rozmieszczone drukarki oraz Konserwacja programu Internet Explorer (zależy od wersji posiadanego systemu).

Przystawka Przekierowanie folderu umożliwia zmianę lokalizacji określonych folderów w obrębie profilów użytkowników na nową lokalizację, taką jak udostępniona lokalizacja sieciowa. Przekierowanie folderu jest używane w procesie administrowania profilami użytkowników i profilami użytkowników mobilnych.

Folder Ustawienia zabezpieczeń zawiera opcje związane z szeroko pojętym bezpieczeństwem systemu. Można po rozwinięciu go znaleźć takie elementy jak Zasady kluczy publicznych (opcje związane z certyfikatami) oraz Zasady ograniczeń oprogramowania (możliwość kontrolowania uruchamianego oprogramowania).

Skrypty - Zasady grupy umożliwiają skojarzenie co najmniej jednego pliku skryptu z czterema wyzwalanymi zdarzeniami: uruchamianie komputera, zamykanie komputera, logowanie użytkownika, wylogowywanie użytkownika. Można używać skryptów środowiska Windows PowerShell lub tworzyć skrypty w dowolnym innym języku obsługiwanym przez komputer kliencki. Są również używane języki obsługiwane przez host skryptów systemu Windows (WSH, Windows Script Host), w tym VBScript i JScript.

Jakość usług (Quality of Service, QoS) w sieciach jest zestawem przyjętych standardów i mechanizmów pozwalającym administratorom kształtować szybkość ruchu sieciowego dostosowując go do aplikacji o krytycznym znaczeniu. Podłączając obiekt zasad grupy do kontenerów usługi Active Directory, takich jak lokacje, domeny i jednostki organizacyjne, można stosować zasady ustawień QoS do zarządzania ruchem wychodzącym określonych komputerów i sesji użytkowników. Ustawienia QoS oparte na zasadach w systemach Windows Server 2008 R2 i Windows 7 umożliwiają ustalanie priorytetów i zarządzanie szybkością wysyłania ruchu wychodzącego na podstawie następujących kryteriów: wysyłająca aplikacja, adres URL,źródłowe i docelowe adresy oraz prefiksy adresów protokołów IPv4 i IPv6, źródłowe i docelowe porty oraz zakresy portów protokołów TCP i UDP, protokół (TCP lub UDP).

Rozmieszczone drukarki - Opcje związane z zarządzaniem dostępu do drukarek znajdujących się w naszej sieci.

Narzędzia Konserwacja programu Internet Explorer (IEM) można używać do dostosowywania wyglądu oraz działania przeglądarki na komputerach użytkowników dołączonych do domeny systemu Windows. Narzędzie można używać do narzucania obowiązujących w organizacji standardów dotyczących Internetu, a także do definiowania w przeglądarkach użytkowników jednolitego interfejsu.

Ustawienia zasad grupy dla komputerów związane są z komputerem i obejmują sposób zachowania się systemu operacyjnego, ustawienia zabezpieczeń, skrypty uruchamiania i zamykania komputera, opcje oraz ustawienia aplikacji. Zasady zawarte w Konfiguracji komputera stosowane są podczas startu systemu operacyjnego a także w trakcie okresowego cyklu odświeżania. Na ogół ustawienia zasad grupy związane z komputerem mają pierwszeństwo przed ustawieniami zasad grupy związanymi z użytkownikiem.

Rysunek 5 Edytor zarządzania zasadami grupy - Windows Server 2008

W systemie Windows Server istnieją dwa narzędzia które pozwalają na zmianę domyślnej lokalizacji tworzenia kont komputerów i użytkowników. Narzędzia te znajdują się na kontrolerze domeny w folderze %windir%\system32.

- - dla kont komputera - redircmp.exe
  - dla kont użytkowników - redirusr.exe

Praca z GPO

W przypadku chęci utworzenia obiektu GPO, który ma być połączony z daną jednostką organizacyjną właściwie wykonuje się dwie osobne operacje: tworzy się nowy obiekt GPO oraz łączy się go z kontenerem (np. domena, lokacja, ou) w której ma mieć zastosowanie czyli utworzenie obiektu GPO nie powoduje stosowania go do żadnych użytkowników ani komputerów, dopóki nie zostanie utworzone łącze GPO.

Aby móc połączyć dany obiekt GPO z domeną jednostką organizacyjną lub lokacją trzeba mieć uprawnienie Modyfikowanie dla danej domeny, jednostki organizacyjnej lub lokacji. Standardowo tylko członkowie grup Administratorzy domeny i Administratorzy przedsiębiorstwa mają uprawnienia potrzebne do łączenia obiektów GPO z domenami i jednostkami organizacyjnymi. Tylko członkowie grupy Administratorzy przedsiębiorstwa mają uprawnienia potrzebne do łączenia obiektów GPO z lokacjami. Członkowie grupy Twórcy-właściciele zasad grupy mogą tworzyć obiekty GPO, lecz nie mogą ich łączyć.

Tworzenie nie linkowanego GPO - w drzewie konsoli GPMC należy kliknąć prawym przyciskiem myszy na Obiekty zasad grup/Group Policy Object w domenie, w której ma być utworzony obiekt i z menu kontekstowego wybrać polecenie Nowe/New. W oknie dialogowym Nowy obiekt zasad grupy/New GPO należy podać nazwę i zatwierdzić przyciskiem OK. Tworzenie nie linkowanego GPO możemy zastosować wtedy gdy nie mamy pewności że implementowane przez nas ustawienia nie spowodują jakiś komplikacji. Tworząc taki obiekt GPO nie wprowadzamy zmian a mamy czas by sprawdzić go np. w środowisku testowym.

Rysunek 6 Tworzenie nie linkowanego GPO - Windows Server 2008

Tworzenie i linkowanie GPO - w drzewie konsoli GPMC klikamy prawym przyciskiem myszy na kontener, do którego ma być linkowane GPO i z menu kontekstowego wybrać polecenie Utwórz obiekt zasad grupy w tej domenie i umieść tu łącze/Create a GPO in this Domain, and Link it here. W oknie dialogowym Nowy obiekt zasad grupy/New GPO należy podać nazwę obiektu i zatwierdzić jego nazwę. W tym momencie wykonaliśmy dwie czynność: utworzyliśmy nowy obiekt GPO w kontenerze Obiekty zasad grup/Group Policy Object i połączyliśmy ten obiekt do wskazanego przez nas kontenera (np. OU).

Rysunek 7 Tworzenie i linkowanie nowego obiektu GPO - Windows Server 2008

Jeżeli utworzyliśmy polisę GPO i po sprawdzeniu jej działania stwierdzamy, że wszystko działa zgodnie z naszymi zamierzeniami, przyszedł czas by ją wdrożyć. Sprowadza się to do połączenia tej polisy z kontenerem AD do którego ma ona mieć zastosowanie. Aby to wykonać w drzewie konsoli GPMC należy kliknąć prawym przyciskiem myszy kontener, do którego ma być linkowane GPO i z menu kontekstowego wybrać polecenie Połącz z istniejącym obiektem zasad grupy/Link an Existing GPO i następnie w oknie Wybieranie obiektów zasad grupy wybrać interesującą nas polisę. Innym sposobem jest użycie techniki przeciągnij i upuść.

Rysunek 8 Łączenie polisy GPO z kontenerem - Windows Server 2008

Aby usunąć łącze do danego kontenera należy w drzewie konsoli GPMC rozwinąć kontener Group Policy Object, kliknąć intersującą nas polisę i w panelu szczegółów wybrać zakładkę Zakres/Scope a następnie w sekcji Łącza/Links kliknąć prawym przyciskiem myszy obiekt Active Direktory z linkiem, który chcemy usunąć i z menu poleceń wybrać Usuń łącza/Delete Link(s). Jeżeli nie chcemy kasować łącza a tylko je wyłączyć korzystamy z opcji Łącze włączone, gdzie "haczyk" z boku informuje nas o stanie łącza. Należy pamiętać, że usuwanie linku różni się od usuwania GPO. Jeśli kasujemy tylko link to polisa GPO do której się link odnosił nadal istnieje a jeżeli polisa ta odnosi się do innych obiektów AD to pozostałe linki nadal funkcjonują. Jeśli natomiast usuwana jest polisa GPO to również są usuwane wszystkie linki do niej.

Możliwe jest również wyłączanie konfiguracji dotyczące użytkownika bądź komputera w GPO - jeśli wprowadzamy nową polisę w której będą zawarte ustawienia dotyczące np. tylko użytkowników można wyłączyć sekcję odpowiedzialną za ustawienia dotyczące konfiguracji komputera. Zyskamy dzięki temu czas potrzebny na przetworzenie tej części polisy. Analogicznie jeśli są tworzone tylko ustawienia komputera - należy wyłączyć część dla użytkownika. W tym celu w drzewie konsoli GPMC rozwijamy kontener Group Policy Object, klikamy na interesujący nas obiekt GPO i na zakładce Szczegóły/Details w sekcji Stan obiektu zasad grupy/GPO Status wybrać interesujące nas ustawienie: Wszystkie ustawienia wyłączone/All settings disabled, Włączone/Enabled, Ustawienia konfiguracji komputera wyłączone/Computer configuration settings disabled, Ustawienia konfiguracji użytkownika wyłączone/User configuration settings disabled.

Rysunek 9 Wyłączenie łącza - Windows Server 2008

Rysunek 10 Opcje przetwarzania sekcji obiektu GPO - Windows Server 2008

Usunięcie polisy odbywa się poprzez wybranie interesującego nas obiektu GPO w kontenerze Group Policy Object, drzewa konsoli GPMC, kliknięciu prawym przyciskiem myszy i wybraniu opcji Usuń/Delete.

Rysunek 11 Usunięcie polisy - Windows Server 2008

Jak już wiemy jak tworzyć polisę, łączyć ją z danym kontenerem przyszedł czas na edycję GPO, czyli tak naprawdę na zdefiniowanie ustawień, które później będę stosowane do danych użytkowników bądź komputerów. W tym celu należy w drzewie konsoli GPMC rozwinąć Group Policy Object, wybrać interesującą nas polisę, kliknąć prawym przyciskiem myszy i z menu kontekstowego wybrać polecenie Edytuj/Edit.

Rysunek 12 Edycja polisy - Windows Server 2008

W drzewie konsoli znajdujemy interesującą nas opcję następnie podwójnym kliknięciem edytujemy ustawienie, w zrozumieniu wprowadzanych zmian pomoże nam Pomoc, gdzie każda opcja jest szczegółowo opisana.

Rysunek 13 Edytor zarządzania zasadami grupy - Windows Server 2008

Zmiany dokonane w Group Policy nie są od razu widoczne na komputerach użytkowników, jest to spowodowane interwałem czasu, który jest potrzebny na replikację zmian do kontrolera domeny (czas zależy od topologii naszej sieci a także od zdefiniowanych ustawień) a także od klienta, który odświeża Group Policy co 90 minut (z losowym przesunięciem 30 minut). Jednak głównym mechanizmem odświeżania GPO pozostaje start komputera oraz proces logowania. Wspomniałem wcześniej, że możliwe jest ręczne wyzwolenie odświeżenia Group Policy, aby to wykonać należy wydać polecenie gpupdate w linii poleceń. Niemożliwe jest wyzwolenie odświeżenia zasad grup korzystając z narzędzia GPMC.

Polecenie gpupdate ma następującą składnie:

Opis: aktualizuje ustawienia zasad grupy.

Składnia: GPUpdate [/Target:{Computer | User}] [/Force] [/Wait:<value>] [/Logoff] [/Boot] [/Sync]

Parametry:

/Target:{Computer | User} Określa, że aktualizowane są ustawienia zasad grupy tylko dla użytkownika lub tylko dla komputera. Domyślnie aktualizowane są ustawienia użytkownika i komputera.

/Force Ponownie stosuje wszystkie ustawienia zasad. Domyślnie odświeżane są tylko ustawienia, które zostały zmienione.

/Wait:{wartość} Ustawia liczbę sekund oczekiwania na zakończenie przetwarzania zasad. Wartością domyślną jest 600 sekund. Wartość "0" oznacza brak czekania. Wartość "-1" oznacza czekanie w nieskończoność. Kiedy limit czasu zostanie przekroczony, polecenie monituje o powrót, ale nie przerywa przetwarzania zasad jest kontynuowane.

/Logoff Powoduje wylogowanie po zaktualizowaniu zasad grupy. Jest to wymagane dla tych rozszerzeń po stronie klienta zasad grupy, które nie przetwarzają zasad w cyklu aktualizacji w tle, tylko wtedy, gdy użytkownik loguje się. Przykładami są - wykonywana przez użytkownika instalacja oprogramowania i przekierowanie folderu. Ta opcja jest bez efektu, jeśli nie ma wywołanych rozszerzeń, które wymagają wylogowania.

/Boot Uruchamia ponownie komputer po użyciu ustawień zasad grupy. Jest to wymagane dla tych rozszerzeń klientów zasad grupy, które nie przetwarzają zasad w cyklu aktualizacji w tle, tylko przetwarzają zasady przy uruchomieniu komputera. Przykładem jest wykonywana przez komputer instalacja oprogramowania. Ta opcja jest bez efektu, jeśli nie ma wywołanych rozszerzeń, które wymagają ponownego uruchomienia.

/Sync Powoduje synchroniczne zastosowanie zasad pierwszoplanowych. Stosowanie zasad pierwszoplanowych następuje przy rozruchu komputera i logowaniu użytkownika. Można określić to dla użytkownika, komputera lub jednego i drugiego, używając parametru /Target. Parametry /Force i /Wait zostaną zignorowane w przypadku ich określenia.

Rysunek 14 Użycie polecenia gpupdate - Windows 7

Ustawienia danej polisy można zawsze sprawdzić rozwijając w drzewie konsoli GPMC kontener Group Policy Object, kliknąć intersującą nas polisę i w panelu szczegółów wybrać zakładkę Ustawienia/Settings, zostanie wygenerowany raport w którym będą uwidocznione wszystkie ustawienia polisy.

Rysunek 15 Ustawienia danej polisy - Windows Server 2008

Innym sposobem sprawdzenia jakie zasady zostały zastosowane do danego użytkownika bądź komputera jest wydanie polecenia gpresult.

Składnia polecenia gpresult.

Opis: To narzędzie wiersza polecenia wyświetla informacje wynikowego zestawu zasad (RSoP) dla docelowego użytkownika i komputera.

GPResult [/S system [/U nazwa_użytkownika [/P [hasło]]]] [/SCOPE zakres] [/USER docelowa_nazwa_użytkownika] [/R | /V | /Z] [(/X | /H) <nazwa_pliku> [/F]]

Parametry:

/S system Określa system zdalny do podłączenia.

/U [domena\]użytkownik Określa kontekst użytkownika, w którym polecenie powinno zostać wykonane. Tej opcji nie można używać z opcjami /X i /H.

/P [hasło] Oreśla hasło dla danego kontekstu użytkownika. W razie pominięcia monituje o podanie danych. Tej opcji nie można używać z opcjami /X i /H.

/SCOPE zakres Określa, czy ustawienia użytkownika lub komputera mają być wyświetlone. Prawidłowe wartości: "USER", "COMPUTER".

/USER [domena\]użytkownik Określa nazwę użytkownika, dla którego mają być wyświetlone dane RSOP.

/X <nazwa_pliku> Zapisuje raport w formacie XML w pliku, którego lokalizacja i nazwa są określone przez parametr <nazwa_pliku>. (Opcja prawidłowa w systemach Windows Vista SP1 i Windows Server 2008 lub nowszych).

/H <nazwa_pliku> Zapisuje raport w formacie HTML w pliku, którego lokalizacja i nazwa są określone przez parametr <nazwa_pliku>. (Opcja prawidłowa w systemach Windows Vista SP1 i Windows Server 2008 lub nowszych).

/F Wymusza zastąpienie przez narzędzie gpresult nazwy pliku określonej w poleceniu /X lub /H.

/R Wyświetla dane podsumowania RSoP.

/V Określa, że powinny być wyświetlane informacje w trybie pełnym. Informacje w trybie pełnym określają szczegółowe ustawienia stosowane z pierwszeństwem o numerze 1.

/Z Określa, że powinny być wyświetlane informacje w trybie superpełnym. Informacje w trybie superpełnym określają szczegółowe ustawienia stosowane z pierwszeństwem o numerze 1 i wyższym. Umożliwia to sprawdzenie, czy ustawienie zostało określone w wielu miejscach.

Przykłady:

GPRESULT /R

GPRESULT /H GPReport.html

GPRESULT /USER docelowa_nazwa_użytkownika /V

GPRESULT /S system /USER docelowa_nazwa_użytkownika /SCOPE COMPUTER /Z

GPRESULT /S system /U nazwa_użytkownika /P hasło /SCOPE USER /V

Rysunek 16 Polecenie gpresult - Windows Server 2008

Ale bardzie przyjemne jest wydanie polecenia: gpresult /h nazwa_pliku.html

gdzie: nazwa_pliku.html ścieżka do pliku raportu

W wygenerowanym raporcie dokładnie widać jakie zasady grupy zostały zastosowane (ale nie tylko)

Rysunek 17 Raport zastosowanych polis w postaci pliku HTML - Windows 7

Należy mieć świadomość, że polisy GPO standardowo są dziedziczone (ustawienie zasad grupy skonfigurowane dla nadrzędnej jednostki organizacyjnej ma wpływ na wszystkie obiekty znajdujące się w podrzędnej jednostce organizacyjnej czyli jednostka podrzędna dziedziczy ustawienia zasad grupy po nadrzędnej jednostce organizacyjnej) ale również kumulowane a suma wielu polis daje efekt, który ma wpływ na wszystkie obiekty (konta użytkowników, komputerów) zawarte w kontenerach Active Direktory. Polisy są przetwarzane w następującej kolejności: Local Group Policy, site, domena i potem OU, a ostatnia polisa GPO nadpisuje poprzednią. Mechanizm dziedziczenia przetwarza w pierwszej kolejności GPO, które jest linkowane najdalej od obiektu użytkownika lub komputera, a GPO linkowane w kontenerach bliższych obiektom nadpisują ustawienia dziedziczone z GPO wykonywanych wcześniej. Jeśli istnieje wiele obiektów GPO, dla których jest ustawiona ta sama wartość, domyślnie pierwszeństwo ma obiekt GPO zastosowany jako ostatni.

Można również połączyć wiele obiektów GPO z tym samym kontenerem czyli tak naprawdę podlinkować kilka polis GPO do jednego kontenera Active Directory. Na przykład trzy obiekty GPO mogą być połączone z jedną OU, lecz należy być świadomym priorytetów przetwarzania. Kolejność stosowania obiektów GPO wpływa na wynikowe ustawienia zasad grupy dlatego ważna jest kolejność, czyli priorytet ustawień zasad grupy, dla każdego kontenera. GPO z niższym numerem na liście wyświetlanej na zakładce Linked Group Policy Object - Powiązane obiekty zasad grupy w GPMC jest ważniejsze. Aby zmienić priorytet łącza, można zmienić kolejność łączy, przesuwając poszczególne łącza w dół lub w górę listy do odpowiedniej pozycji. Łącze o wyższej kolejności (przy czym 1 oznacza najwyższą kolejność) ma wyższy priorytet dla danej lokacji, domeny lub jednostki organizacyjnej.

Rysunek 18 Powiązane obiekty zasad grupy, kolejność stosowania polis - Windows Server 2008

Duża ilość polis GPO a także ich złożona kombinacja mogą stwarzać konflikty (i na pewno stworzą), dlatego istnieje możliwość zmodyfikowania domyślnego sposobu dziedziczenia. W sytuacji w której zasady grupy są skonfigurowane zarówno dla podrzędnej, jak i dla nadrzędnej jednostki organizacyjnej, zostają zastosowane ustawienia dla obu tych jednostek organizacyjnych. W przypadku konfliktu ustawień (dziedziczenie), podrzędna jednostka organizacyjna zachowuje swoje ustawienie zasad grupy czyli ostatnie zastosowane ustawienie zastępuje będące z nim w konflikcie ustawienie zasad grupy kontenera, który jest wyżej w hierarchii usług Active Directory.

Jeśli zdarza się sytuacja, że domyślna kolejność dziedziczenia nie spełnia naszych wymogów, można dokonać jej modyfikacji. System Windows Server oferuje następujące dwie opcje zmiany domyślnej kolejności dziedziczenia:

Można określić, że ustawienia łącza obiektu zasad grupy powinny mieć wyższy priorytet niż ustawienia jakiegokolwiek obiektu podrzędnego, ustawiając atrybut tego łącza na Wymuszone/Enforced - w narzędziach poprzedzających konsolę zarządzania zasadami grupy atrybut Wymuszone/Enforced był określany jako Nie zastępuj/No override. Tej opcji używamy by zablokować zastępowaniu przez kontenery podrzędne obiektu GPO ustawieniem o wyższym priorytecie. Bez wymuszenia z wyższego poziomu ustawienia łącza obiektu zasad grupy na wyższym poziomie (nadrzędnym) są zastępowane przez ustawienia w obiektach zasad grupy połączonych z podrzędną jednostką organizacyjną, jeśli obiekty zasad grupy zawierają ustawienia powodujące konflikt. W zależności od potrzeb opcję tę można ustawić dla jednego lub większej liczby obiektów GPO. Jeśli opcja Wymuszone/Enforced jest przypisana dla wielu obiektów GPO, pierwszeństwo ma ten obiekt GPO, który jest najwyżej w hierarchii usługi Active Directory.

Zablokuj dziedziczenie zasad/Block Policy Inheritance - tej opcji używamy, by kontener podrzędny nie przejmował zasad ustawionych na kontenerach nadrzędnych (blokowanie dziedziczenia po wszystkich kontenerach nadrzędnych). Opcja pomocna, gdy np. jednostka organizacyjna wymaga ustawienia jakiś nietypowych ustawień zasad grupy. Na przykład, jeśli należy zastosować pojedynczy zestaw zasad w całej domenie z wyjątkiem jednej jednostki organizacyjnej, można połączyć wymagane obiekty zasad grupy na poziomie domeny (po której wszystkie jednostki organizacyjne domyślnie dziedziczą zasady), a następnie zablokować dziedziczenie w jednostce organizacyjnej, w której zasady nie powinny zostać zastosowane.

W przypadku konfliktu opcja Wymuszone/Enforced zawsze ma pierwszeństwo przed opcją Zablokuj dziedziczenie zasad/Block Policy Inheritance.

Opcja Wymuszone/Enforced jest właściwością linku a Zablokuj dziedziczenie zasad/Block Policy Inheritance jest właściwością kontenera.

Rysunek 19 Zmiana kolejności dziedziczenia - Windows Server 2008

Domyślnie po utworzeniu obiektu GPO, ustawienia zasad są stosowane do wszystkich uwierzytelnionych użytkowników. Istnieje jednak możliwość wybrania użytkowników bądź komputerów do których dana polisa będzie miała zastosowanie. W tym celu należy z listy Filtrowanie zabezpieczeń/Security Filtering usunąć grupę Użytkowników uwierzytelnionych/Authenticated users i dodać odpowiednia konta. Specyficzne przetwarzanie GPO można zdefiniować dla określonych grup zabezpieczeń, użytkowników lub komputerów.

Rysunek 20 Filtrowanie zabezpieczeń

Całe zarządzanie infrastrukturą AD głównie bazuje na zasadach grupy. Stąd ważnym zagadnieniem jest zaplanowanie i realizacja backupu. Dlatego konsola GPMC umożliwia nam tworzenie kopii poszczególnych polis GPO lub całego ich zestawu GPO. Backup polega na skopiowaniu obiekt-u/ów GPO do wskazanego folderu. Przy czym należy pamiętać, że administrator musi mieć prawo odczytu obiektu GPO i uprawnienia do zapisu w folderze docelowym.

Rysunek 21 Kopia zapasowa obiektu GPO

Rysunek 22 Kopia zapasowa wszystkich obiektów GPO

Oczywiście jest też możliwe przywrócenie wcześniej wykonanej kopii. Każda kopia zapasowa obiektu GPO jest tworzona oddzielnie i zawiera informacje o wersji (znacznik czasu i opis). Przywracanie wymaga posiadania uprawnień do tworzenia obiektów GPO w domenie oraz prawo odczytu do katalogu zawierającego kopie.

Rysunek 23 Przywrócenie kopi obiektu GPO

Windows Server dostarcza nam jeszcze jedno ciekawe narzędzie, mowa tu o Wynikowym zestawie zasad/Resultant Set of Policy, czyli w skrócie RSoP. Narzędzie to pozwala nam na określenie w jaki sposób ustawienia zasad są stosowane do użytkowników i komputerów.

Funkcja ta ma dwa tryby pracy:

- - rejestrowanie - informacje o wynikach ogólnych ustawień - Wynikowy zasad grupy/Group Policy Results.
  - planowanie - metoda symulacji wyników ustawień zasad - Modelowanie zasad grupy/Group Policy Modeling.

Wynikowy zasad grupy - funkcja ta jest wykorzystywana do raportowania błędów w ustawieniach GPO. Uruchamiana z przystawki Użytkownicy i komputery usługi Acive Directory/ Acive Directory Users and Computers lub konsoli GPMC, prawy przycisk myszy na Wyniki zasad grupy/Group Policy Result. Aby funkcja zadziałała analizowany komputer musi pracować pod kontrolą systemu Windows: 2003, 2008, XP, Vista, 7, musi być włączona usługa WMI a w przypadku monitorowania systemu zdalnego musi zostać na nim dopuszczone rozszerzenie Remote Administration i na koniec nie można zapomnieć o Zaporze. Jeśli badane są ustawienia odnośnie użytkownika, to musiał on co najmniej raz być podłączonym do systemu.

Rysunek 24 Uruchomienie - Wynikowy zasad grupy/Group Policy Results

Modelowanie zasad grupy - umożliwia nam przetestowanie ustawień bazujących na naszej bieżącej konfiguracji zasad grupy czyli co się stanie jeśli przeniesiemy danego użytkownika z jego politykami do innej jednostki organizacyjnej. Modelowanie zasad grupy możemy uruchomić dwojako:

- z przestawki Użytkownicy i komputery usługi Acive Directory/ Acive Directory Users and Computers, prawy przycisk myszy np. na danym użytkowniku i z menu wybieramy Wszystkie zadania/All Tasks, a następnie Wynikowy zestaw zasad (planowanie)/RSoP Planning.

- z konsoli GPMC, prawy przycisk myszy na Modelowanie zasad grupy/Group Policy Modeling, a następnie Kreator modelowania zasad grupy/Group Policy Modeling Wizard.

Rysunek 25 Uruchomienie - Modelowanie zasad grupy/Group Policy Modeling

OK dosyć tego pisania czas parę rzeczy pokazać a więc w pierwszym filmiku jest ukazane tworzenie obiektów GPO oraz instalacja GPMC w Windows Server 2003 natomiast w drugim scenariusz jest taki: Mamy kontroler domeny pracujący pod kontrolą systemu Windows Server 2003, założoną jednostkę organizacyjną Kadry w której znajduje się użytkownik Jan Kowalski należący do grupy dl kadry. Zostaje stworzona polisa w której zostaje usunięty kosz z pulpitu, wyłączone ustawienia dotyczycące ekranu (zmiana rozdzielczości) i usunięcie opcji Wyszukaj z menu start. Następnie opcje zostają przywrócone i następuje odświeżenie polisy (gpupdate) - jak widać opcja Wyszukaj w menu start nie zostaje przywrócona - nastąpi to dopiero po ponownym zalogowaniu.

{flv}GPO/GPO_GPMC{/flv}

{flv}GPO/GPO{/flv}

Porady praktyczne

- - Maksymalna ilość przetwarzanych GPO dla użytkownika i komputera wynosi 999.
  - Pamiętaj, że niektóre ustawienia wymagają wylogowania użytkownika bądź ponownego uruchomienia komputera.
  - Wyłączaj nie przetwarzane sekcje polisy GPO (ustawienia komputera bądź użytkownika)
  - Staraj się nie modyfikować domyślnych GPO (Default domain policy i Default domain controller policy), stwórz nową polisę nadpisującą ustawienia.
  - Zmiany wprowadzane do polis są replikowane pomiędzy kontrolerami domeny a następnie pobierane przez klientów, jeśli twoja polisa zawiera dużo ustawień a musisz wykonywać w niej częstych zmian stwórz nowe GPO zawierające ustawienia podlegające częstym modyfikacją.
  - Zanim wdrożysz nowe polisy postaraj się je sprawdzić w środowisku testowym.
  - Jeśli to możliwe łącz kilka mniejszych GPO w jedno większe.
  - Pamiętaj o wykonaniu kopi swoich polis.
  - Pamiętaj o Group Policy Results, dzięki temu narzędziu sprawdzisz jakie ustawienia obowiązują w twoim środowisku.
  - Zapisuj zmiany dokonane w obiektach GPO, pozwoli ci to pokonać ewentualne problemy.
  - Nazywaj polisy GPO zgodnie z ich przeznaczeniem.

BIBLIOGRAFIA

http://technet.microsoft.com/pl-pl/library/cc757050%28v=ws.10%29.aspx

http://ziembor.pl/plitproblogs/tag/active-directory/

http://www.psad.pl/ti/systemy-operacyjne/1-active-directory.html?start=4

http://windows.microsoft.com/pl-PL/windows7/Group-Policy-management-for-IT-pros

http://technet.microsoft.com/pl-pl/library/cc725828%28v=ws.10%29.aspx

http://technet.microsoft.com/pl-PL/library/af452421-4839-40f2-8892-ccf670f5a27a

Kontrola dostępu do zasobów

2012-07-31T08:34:28+00:00

W danym środowisku nie ma znaczenia czy jest to środowisko produkcyjne czy np. firma każdy użytkownik i każdy komputer musi mieć możliwość korzystania z określonych zasobów tak aby móc wykonywać powierzone mu zadania. Jednak zezwolenie wszystkim na wszystko tak aby użytkownik bądź komputer miał nieograniczony dostęp do zasobów, funkcji sieciowych i systemowych może zagrozić bezpieczeństwu i stabilności firmy.

Do zarządzania dostępem do zasobów można użyć mechanizmów kontroli dostępu wbudowanych w systemy z rodziny Windows Server. Podmiotem zabezpieczeń może być konto użytkownika, które można uwierzytelnić a także grupa zabezpieczeń i konta komputerów.

Podmiotom zabezpieczeń nadaje się uprawnienia, aby zezwolić na określony dostęp. Uprawnienia otwierają lub zamykają dostęp do zasobów sieciowych.

Kontrola dostępu to proces autoryzowania użytkowników, grup i komputerów w celu udostępniania obiektów znajdujących się w sieci lub na komputerze. Podmiotom zabezpieczeń nadaje się uprawnienia, aby zezwolić na dostęp. Uprawnienia otwierają lub limitują dostęp do zasobów sieciowych. Podmiotami zabezpieczeń są na przykład użytkownik, grupa zabezpieczeń i konta komputerów.

Każdy podmiot zabezpieczeń jest oznaczany unikatowym identyfikatorem zabezpieczeń (SID). Identyfikator ten jednoznacznie wskazuje konkretny podmiot zabezpieczeń (np. konto użytkownika, grupę, itd.). Jest to ciąg alfanumeryczny generowany podczas tworzenia konta. Prawa definiują, jakie operacje dany użytkownik (a raczej element o danym numerze SID) może wykonać na danym obiekcie.

Zalecane jest przypisywanie praw do grupy użytkowników, a nie do poszczególnych osób. Numer SID jest unikatowy. W systemie Windows Server 2003/2008 mechanizmy kontroli dostępu rozpoznają podmioty zabezpieczeń na podstawie ich identyfikatorów SID, a nie nazw. Jeśli na przykład przypadkowo usuniesz konto użytkownika, po czym utworzysz je ponownie przy użyciu tej samej nazwy i innych informacji, otrzyma ono nowy identyfikator SID. Nowe konto będzie miało nazwę starego konta, ale nie odziedziczy przypisanych mu uprawnień. Uprawnienia są związane z identyfikatorem SID.

Kluczowymi pojęciami z tym związanymi są uprawnienia, własność obiektu, dziedziczone uprawnienia, prawa użytkownika i audyt obiektu.

Uprawnienia

Uprawnienia określają rodzaj dostępu przydzielany użytkownikowi lub grupie do obiektu lub do właściwości obiektu. Używając interfejsu kontroli dostępu, można nadawać uprawnienia NTFS do obiektów takich jak pliki i foldery, obiektów Active Directory, rejestrów lub obiektów systemu takich jak procesy. Dobrą praktyką jest nadawanie uprawnień dla grup, ponieważ zwiększa to wydajność systemu podczas weryfikowania dostępu do obiektu. Można by się zastanawiać czemu do grupy a nie do konkretnego użytkownika, odpowiedź jest prosta wyobraź sobie sytuację, gdy musisz zezwolić 50 użytkownikom na dostęp do drukarki, możesz to oczywiście zrobić na zasadzie przydzielenia uprawnienia każdemu z osobna ale po co? O wiele szybciej wykonasz taką czynność, gdy utworzysz np. grupę o nazwie "dostęp do drukarki" następnie dodasz tych 50 użytkowników do tej grupy i nadasz uprawnienie do drukowania właśnie tej grupie.

Do każdego obiektu można nadać uprawnienia dla:

grup, użytkowników i innych obiektów posiadających identyfikator zabezpieczeń (SID) w domenie,
grup i użytkowników w domenie i domenach zaufanych,
lokalnych użytkowników i grup na komputerach gdzie dany obiekt się znajduje.

Uprawnienia jakie możesz nadać obiektowi są zależne od jego typu. Np. uprawnienia, które są związane z plikiem różnią się od uprawnień nadawanym np. drukarką. Lecz jest cześć uprawnień która jest wspólna dla większości typów obiektów. Są to:

Odczyt/Read
Modyfikacja/Modify
Zmień właściciela/Change owner
Skasuj/Delete

Każdy znajdujący się w sieci kontener i obiekt ma dołączony zestaw informacji dotyczących kontroli dostępu. Informacje te, znane jako deskryptory zabezpieczeń, kontrolują typ dostępu przyznany użytkownikom i grupom. Deskryptory zabezpieczeń są tworzone automatycznie wraz z tworzonym kontenerem lub obiektem. Typowym przykładem obiektu z deskryptorem zabezpieczeń jest plik.

Uprawnienia są zdefiniowane w deskryptorze zabezpieczeń obiektu. Uprawnienia są przypisane do określonych grup lub użytkowników. Na przykład grupa Administratorzy może mieć w przypadku pliku dane.dat przypisane uprawnienia Odczyt, Zapis i Usuwanie, podczas gdy grupa Operatorzy może mieć przypisane tylko uprawnienia Odczyt i Zapis.

Każde przypisanie uprawnień użytkownikowi lub grupie jest nazywane wpisem uprawnień, który jest rodzajem wpisu kontroli dostępu (ACE, Access Control Entry). Cały zbiór wpisów uprawnień, znajdujących się w deskryptorze zabezpieczeń, jest nazywany zbiorem uprawnień lub listą kontroli dostępu (ACL, Access Control List). Dlatego do zbioru uprawnień pliku dane.dat należą dwa wpisy uprawnień, jeden dla grupy Administratorzy, a drugi dla grupy Operatorzy.

Na filmie poniżej przedstawione jest nadanie uprawnień do zasobu Temp dwóm użytkownikom znajdującym się w różnych grupach. Przyczym jeden uzyskuje pełny dostęp a drugi ograniczony.

{flv}kontroladostepu/uprawnienia/uprawnienia{/flv}

Właściciel obiektu

Gdy dany obiekt jest tworzony, jest mu przypisywany właściciel. Domyślnie, właścicielem obiektu jest jego twórca. Nie ma znaczenia, jakie posiada on uprawnienia do obiektu, ponieważ zawsze może je zmienić.

Administrator, który musi naprawić lub zmienić uprawnienia do pliku, musi rozpocząć od przejęcia pliku na własność.

W rodzinie systemów Windows Server właścicielem domyślnym jest grupa Administratorzy. Właściciel może zawsze zmieniać uprawnienia do obiektu, nawet jeśli nie ma do niego żadnego dostępu.

Własność może uzyskać:

Administrator. Grupa Administratorzy ma domyślnie przyznane prawo użytkownika Przejmowanie na własność plików lub innych obiektów.
Każdy użytkownik i każda grupa z uprawnieniem Przejęcie na własność do danego obiektu.
Użytkownik, który ma przywilej Przywracanie plików i katalogów.

Własność można przenieść w następujący sposób:

Własność może przejąć administrator.
Aktualny właściciel może przyznać uprawnienie Przejęcie na własność innym użytkownikom, pozwalając im przejąć obiekt na własność w dowolnym czasie. Aby dopełnić przekazywania, użytkownik musi rzeczywiście przejąć własność.
Użytkownik, który ma przywilej Przywracanie plików i katalogów, może kliknąć dwukrotnie ikonę Inni użytkownicy i grupy i wybrać dowolnego użytkownika lub grupę, aby przypisać im własność.

Dziedziczenie uprawnień

Dziedziczenie uprawnień jest mechanizmem ułatwiającym pracę administratorom w nadawaniu uprawnień i zarządzaniu nimi. Mechanizm polega na tym, że obiekty znajdujące się w danym kontenerze automatycznie otrzymują (dziedziczą) wszystkie jego uprawnienia. Np. wszystkie pliki w folderze w momencie tworzenia dziedziczą uprawnienia od tego folderu.

Prawa użytkownika

Dzięki prawom użytkownika, można nadawać specyficzne przywileje dla użytkowników (kont indywidualnych użytkowników) i grup w środowisku komputerów. Umożliwiają one użytkownikom wykonywanie specyficznych akcji takich jak wykonywanie kopii zapasowej plików i folderów czy interaktywne logowanie do systemu. Prawa użytkownika różnią się od uprawnień, ponieważ są przypisywane do kont użytkownika, a uprawnienia są połączone z obiektem. Mimo, że prawa użytkownika mogą być przypisywane do indywidualnych kont użytkowników, zalecane jest by nadawać je korzystając z grup. Prawa użytkowników przypisane grupie są stosowane do wszystkich członków grupy, dopóki pozostają jej członkami. Jeśli użytkownik jest członkiem wielu grup, jego prawa użytkownika kumulują się, co oznacza, że użytkownik ma więcej niż jeden zestaw praw. Do przypisywania praw użytkownikom wykorzystywana jest przystawka Zasady zabezpieczeń lokalnych (Local Security Settings).

Audyt obiektu

Posiadając prawa administratora można śledzić zakończone sukcesem lub porażką dostępy użytkowników do obiektów. Korzystając z interfejsu kontroli dostępu użytkownika można wybrać obiekt, który chcemy sprawdzać, lecz najpierw trzeba uruchomić tą funkcjonalność przy pomocy przystawki Local Security Settings włączając Zasady inspekcji (Audit object Access) w Local Policy. Następnie można zobaczyć te powiązane z bezpieczeństwem zdarzenia w dzienniku Security w narzędziu Podgląd zdarzeń (Event Viewer).

Zarządzanie uprawnieniami

Każdy udostępniany obiekt w naszej sieci posiada zbiór informacji o kontroli dostępu do niego, innymi słowy informacje zawarte w tym zbiorze służą do weryfikacji czy dany użytkownik/grupa ma prawo z tego obiektu korzystać. Uprawnienia jak zostało wspomniane są zdefiniowane w deskryptorze bezpieczeństwa obiektu i są przypisane do użytkowników i grup.

Istnieją dwa typy uprawnień:

uprawnienia, które przypiszemy bezpośrednio - czyli takie które są nadawane bezpośrednio na obiekcie przez użytkownika.
uprawnienia dziedziczone - czyli nadawane bezpośrednio od obiektu znajdującego się wyżej w drzewie hierarchii (od obiektu nadrzędnego - rodzica). Taki mechanizm ułatwia nam zadania związane z zarządzaniem uprawnieniami i zapewnia integralność uprawnień dla wszystkich obiektów wewnątrz danego kontenera - nie musimy nadawać uprawnień do każdego folderu/pliku znajdującego się w np. folderze, wystarczy że uprawnienia nadamy folderowi w którym te podfoldery/pliki się znajdują.

Tak jak zostało wspomniane wyżej, domyślnie, wszystkie obiekty wewnątrz danego kontenera przejmują (dziedziczą) od niego uprawnienia w momencie, kiedy są tworzone. Na przykład, kiedy tworzymy folder o nazwie Dokumenty, wszystkie tworzone w nim podfoldery i pliki automatycznie dziedziczą od niego uprawnienia. Folder Dokumenty posiada uprawnienia przypisane bezpośrednio a podfoldery i pliki mają uprawnienia dziedziczone.

Jeśli chcemy wyłączyć dziedziczenie uprawnień należy w folderze nadrzędnym w ustawieniach uprawnień specjalnych w sekcji Zastosuj do (Apply on to) wybrać opcję Tylko ten folder (This folder only).

Rysunek 1 Wyłączenie dziedziczenia uprawnień

Uprawnienia specjalne dostępne są poprzez zakładkę Permissions. W przypadku, gdy chcemy by tylko kilka plików lub folderów w kontenerze nie dziedziczyło uprawnień należy wybrać na każdym z nich polecenie Properties, następnie zakładkę Security, kliknąć przycisk Advanced a potem odznaczyć opcję Dołącz uprawnienia dziedziczne z tego obiektu nadrzędnego (Include inheritable permissions from this object's parent).

Filmik opisujący mechanizm dziedziczenia - 2 użytkowników mający dostęp do jednego folderu, przyczym w folderze tym znajdują się katalogi przypisane im grupom w których się znajdują, sprowadza się to do tego że mogą zapisywać w katalogu głównym ale dostęp do podkatalogów jest ograniczony.

{flv}kontroladostepu/dziedziczenie/dziedziczenie{/flv}

Jeśli check box Zezwól (Allow) lub Odmów (Deny) powiązany z uprawnieniem jest wyszarzony, oznacza to uprawnienie jest dziedziczone z folderu nadrzędnego. Są trzy metody zmiany dziedziczonych uprawnień:

wskazać uprawnienie przeciwne (Allow lub Deny), by nadpisać uprawnienie przekazane po kontenerze nadrzędnym,
odznaczyć check box Include inheritable permissions from this object's parent. Uzyskamy wtedy możliwość modyfikacji ustawień dziedziczenia a także będziemy mogli usuwać użytkowników/grupy z listy ACL. Po takiej modyfikacji folder/plik nie będzie więcej dziedziczył uprawnień od folderu nadrzędnego,
wykonać zmianę na folderze nadrzędnym, a foldery/pliki znajdujące się wewnątrz folderu, poniżej odziedziczą te ustawienia.

W większości przypadkach ustawienie Deny nadpisuje Allow, nie dotyczy to sytuacji, kiedy folder dziedziczy konfliktowe ustawienia od różnych rodziców. W takim wypadku obiekt dziedziczy ustawienie od rodzica bliższego w drzewie folderów.

Dla konkretnego obiektu system ma pewien domyślny poziom ustawień zabezpieczeń. Uprawnienia standardowe są zdefiniowanymi zestawami uprawnień wykorzystywanymi najczęściej przez administratorów w codziennym zarządzaniu. Uprawnienia specjalne są bardziej szczegółową listą uprawnień. Zawartość listy dostępnych uprawnień standardowych różni się w zależności od rodzaju obiektu, dla którego modyfikowane są zabezpieczenia.

Tabela 1 Uprawnienia standardowe i wchodzące w ich skład uprawnienia szczegółowe
(http://support.microsoft.com/kb/308419/pl)

Uprawnienia specjalne	Pełna kontrola (Full Control)	Modyfikacja (Modify)	Odczyt i wykonanie (Read& Execute)	Pokazanie zawartości folderu (List Folder Contents (tylko dla folderów))	Odczyt (Read)	Zapis (Write)
Przechodzenie przez folder /Wykonywanie plików (Traverse Folder/Execute File)	x	x	x	x
Wyświetlenie zawartości folderu /Odczytywanie plików (List Folder/Read Data)	x	x	x	x	x
Odczyt atrybutów (Read Attributes)	x	x	x	x	x
Odczyt atrybutów rozszerzonych (Read Extended Attributes)	x	x	x	x	x
Tworzenie plików/Zapis danych (Create Folders/Append Data)	x	x				x
Tworzenie folderów/Dołączanie danych (Create Folders/Append Data)	x	x				x
Zapis atrybutów (Write Attributes)	x	x				x
Zapis atrybutów rozszerzonych (Write Extended Attributes)	x	x				x
Usuwanie podfolderów I plików (Delete Subfolders and Files)	x
Usuwanie (Delete)	x	x
Odczyt uprawnień (Read Permissions)	x	x	x	x	x	x
Zmiana uprawnień (Change Permissions)	x
Przejęcie na własność (Take Ownership)	x
Synchronize	x	x	x	x	x	x

Dostęp do interesującego nas folderu na serwerze plików możemy określić na dwóch poziomach:

uprawnień ustawionych na udostępnionym folderze,
uprawnień NTFS zdefiniowanych na folderze (ale mogą to być również pliki).

Uprawnienia udostępnienia najczęściej stosujemy by określić dostęp do komputerów z systemem plików FAT32, lub innych komputerów nieobsługujących systemu NTFS.

Uprawnienia udostępnienia i NTFS są wobec siebie niezależne i rzeczywiste uprawnienia do udostępnionego folderu zależą zarówno od uprawnień do udostępnionego folderu jak i od uprawnień NTFS (które są bardziej restrykcyjne).

W tabeli 2 są przedstawione typowe/sugerowane uprawnienia dla różnych typów udostępnionych folderów - taka ściągawka pozwalająca nam bez zastanawiania się wykonać typowe zadania związane z kontrolą do zasobów. Oczywiście jest to jedna z alternatyw i propozycji, ponieważ niektórzy administratorzy wyżej stawiają metodę, która polega na nadaniu uprawnień Full Control dla grupy Everyone, a ograniczenie dostępu dopiero na poziomie NTFS.

Tabela 2 Sugerowane uprawnienia dla różnych typów folderów

Typ folderu	Uprawnienia udostępnionego folder	Uprawnienia NTFS
folder publiczny - folder dostępny dla wszystkich użytkowników sieci	Uprawnienie Zmiana/Change do grupy Users	Uprawnienie Modyfikacja/ Modify dla grupy Users
folder do składowania ważnych plików - folder w którym użytkownicy umieszczają istotne dokumenty, które tylko czytać mogą np. grupa kierowników	Uprawnienie Zmiana/Change dla grupy Users. Nadane uprawnienie Pełna kontrola/Full Control dla grupy kierowników	Uprawnienie Zapis/Write dotyczące tylko tego folderu (ang. This folder only) dla grupy Users (Zaawansowane). Jeśli wymagała by taka potrzeba by użytkownik potrzebował pewnych uprawnień do plików, które umieścił w tym folderze, można stworzyć wpis uprawnień dla grupy Creator Owner i zasosować do podfolderów i plików ( Subfolder and files Only)
folder aplikacji - w folderze są umieszczone aplikacje uruchamiane z sieci	Uprawnienie Odczyt/Read dla grupy Users.	Uprawnienie Odczyt/Read, Odczyt i wykonanie/Read and Execute oraz Pokaż zawartość folderu/List folder Content dla grupy Users.
foldery domowe - tak aby do indywidualnego folderu miał dostęp dany użytkownik.	Uprawnienie Pełna kontrola/Full Control dla każdego użytkownika na odpowiadającym mu folderze.	Uprawnienie Pełna kontrola/Full Control dla każdego użytkownika na odpowiadającym mu folderze.

Udostępnianie folderu

Udostępnianie foldera konfiguruje usługę File And Printer Sharing For Microsoft Networks (Udostępnianie plików i drukarek w sieci Microsoft Networks), nazywaną również usługą serwera, tak aby klienci mogli w sieci uzyskiwać dostęp do danego foldera i jego podfolderów a także drukarek. Z pewnością każdy administrator udostępniał folder za pomocą programu Windows Explorer - kliknięcie foldera prawym przyciskiem myszy, wybranie polecenia Udostępnianie i zabezpieczenia (Sharing And Security), ( w nowszych Windowsach opcja Udostępnij) a następnie opcji Udostępnij ten folder (Share This Folder). Udostępnienie można również zrealizować po wybraniu właściwości danego folderu i zakładki Udostępnienie i Zabezpieczenie.

Rysunek 2 Udostępnianie zasobu

Foldery udostępnione jak już było wspomniane oferują możliwość dostępu do plików i folderów za pośrednictwem sieci. Użytkownicy mogą połączyć się z takim folderem przez sieć i korzystać ze znajdujących się w nim obiektów. Foldery udostępnione mogą zawierać aplikacje, dane publiczne lub osobiste dane użytkownika. Stosowanie udostępnionych folderów aplikacji pozwala scentralizować proces administrowania, ponieważ administrator może zainstalować i obsługiwać aplikacje na serwerze, a nie na komputerach klienckich. Korzystanie z udostępnionych folderów danych pozwala wprowadzić centralną lokalizację plików wspólnych dla wielu użytkowników, jak również znacznie ułatwia wykonywanie kopii zapasowych danych zawartych takich plikach.

Udostępnienie folderu to operacja, w której możliwość dostępu do folderu zostaje zaoferowana jednocześnie wielu użytkownikom. Po udostępnieniu folderu użytkownicy, którzy uzyskają odpowiednie uprawnienia, mogą korzystać ze wszystkich plików i podfolderów znajdujących się w folderze.

Foldery udostępnione można umieszczać na serwerze plików lub na dowolnym komputerze w sieci. Dobór plików zawartych w tych folderach może być uzależniony od ich kategorii lub funkcji. Na przykład udostępnione pliki danych można umieszczać w jednym folderze, a udostępnione pliki aplikacji w innym.

Udostępnieniem folderów można również sterować za pomocą konsoli MMC jako część konsoli Zarządzanie komputerem (Computer Management) lub jako część konsoli Zarządzanie serwerem plików (File Server Management).

Rysunek 3 Udostępnione zasoby - konsola MMC

Sposoby udostępniania

{flv}kontroladostepu/folderudostepniony/folderudostepniony{/flv}

Po uruchomieniu przystawki, warto zwrócić uwagę, że niektóre foldery administracyjne systemu są już udostępnione (ustawienia domyślne). Te współdzielone zasoby umożliwiają połączenie do katalogu systemu (najczęściej jest to C:\Windows), jak również do katalogu głównego każdego dysku twardego. W nazwie tych zasobów udostępnionych umieszczany jest znak dolara ($). Oznacz to że folder udostępniony można ukryć. W tym celu za jego nazwą należy wpisać znak dolara ($). Użytkownik nie zobaczy takiego folderu na ekranach interfejsu, ale może do niego przejść po wpisaniu nazwy w formacie UNC (Universal Naming Convention), na przykład \\mojserwer\tajne$ bądź użycie adresu IP zamiast nazwy serwer na przykład \\10.0.0.5\tajne$. Do udostępnionego zasobu administracyjnego mogą dołączyć się jedynie administratorzy.

Domyślnie członkowie grupy Administratorzy mają wobec administracyjnych folderów udostępnionych uprawnienie Pełna kontrola. Użytkownik nie może samodzielnie modyfikować uprawnień do tych folderów. Poniżej opisano przeznaczenie administracyjnych folderów udostępnionych.

Folder udostępniony np. C$,D$,E$ - foldery te służą do nawiązywania zdalnego połączenia z komputerem i wykonywania zadań administracyjnych. Katalog główny każdej partycji (oznaczony literą dysku) na dysku twardym jest udostępniany automatycznie. Nawiązanie połączenia z tym folderem powoduje uzyskanie dostępu do całej partycji.
Admin$ - główny folder systemowy, domyślnie - C:\Windows. Administratorzy mogą używać tego folderu do zasądzania systemem Windows.
Print$ - ten folder umożliwia komputerom klienckim dostęp do plików sterowników drukarek.
IPC$ - tego folderu używa się podczas zdalnego administrowania komputerem i podczas przeglądania udostępnionych zasobów komputera.
FAX$ - ten folder udostępniony jest wykorzystywany do tymczasowego buforowania plików i uzyskiwania dostępu do stron tytułowych przechowywanych na serwerze.

Foldery administracyjne

{flv}kontroladostepu/folderyadministracyjne/folderyadministracyjne{/flv}

Opublikowany folder udostępniony jest to obiekt folderu udostępnionego w usłudze Active Directory. Zaletą takiego rozwiązania jest to że klienci mogą przeszukiwać usługę Active Directory w poszukiwaniu opublikowanych folderów udostępnionych oraz to że nie muszą znać nazwy serwera, aby się połączyć z zasobem sieciowym

Rysunek 4 Publikowanie zasobu w AD

Rysunek 5 Wyszukiwanie udostępnionego zasobu w usłudze AD

Mapowanie dysków sieciowych jest mechanizmem, który pozwala uzyskać dostęp do folderu zdalnego za pomocą okna Komputer. Mapowanie dysków sieciowych w Windows jest dostępnie z menu kontekstowego, po zainstalowaniu sieci Microsoft Networks. Żeby zmapować dysk sieciowy należy kliknąć prawym przyciskiem myszy na ikonę Komputer bądź Sieć i wybrać opcje Mapuj dysk sieciowy. Bądź skorzystać z opcji dostępnej w oknie Komputer.

Rysunek 6 Mapowanie dysku sieciowego

Rysunek 7 Mapowanie dysku sieciowego

Następnie pojawi nam się okno w którym należy wpisać ścieżkę do udziału czyli udostępniony katalog na innym komputerze. Ścieżka powinna mieć postać \\KOMPUTER\KATALOG czyli dla przykładu \\smietnik\Temp_USB1_C. Możemy oczywiście tutaj skorzystać z przycisku Przeglądaj i zamiast wpisywać wybrać interesujący nas folder (nawet wewnątrz udostępnionego zasobu. W polu Dysk wybieramy literę dysku pod jaka będzie widoczny udostępniany folder. Zaznaczenie opcji Połącz ponownie po zalogowaniu spowoduje, że nasz zmapowany dysk będzie podłączany zawsze po restarcie komputera.

Rysunek 8 Opcje mapowania dysku sieciowego

Jeśli chcemy łączyć się ze zdalnym katalogiem używając innego użytkownika niż domyślny wybierz opcje Połącz przy użyciu innych poświadczeń. Odtąd nasz zmapowany folder będzie widniał w oknie Komputer jako dysk sieciowy.

Rysunek 9 Zmapowany dysk sieciowy - Okno Komputer

Procedura odłączania zmapowanego dysku jest również prosta, trzeba na początku wybrać n menu kontekstowego "Odłącz dysk sieciowy". Pojawi nam się okno z wymienioną listą podłączonych dysków sieciowym, należy zaznaczyć ten który chcemy odłączyć i wybrać "OK".

Rysunek 10 Odłączenie wcześniej zmapowanego dysku

Dodatkowo cała procedurę mapowania dysku sieciowego możemy wykonać przy pomocy komendy NET USE. Sama komenda NET USE bez parametrów, wyświetli nam listę zmapowanych dysków.

Rysunek 11 Użycie komendy - net use

Pozostałe przydatne zastosowania NET USE:

NET USE z: \\smietnik\Temp_USB1_C -mapujemy dysk z: udział Temp_USB1_C na komputerze smietnik.
NET USE z: \\smietnik\Temp_USB1_C \katalog - mapujemy na dysk "z:" katalog znajdujący się wewnątrz udziału Temp_USB1_C na komputerze smietnik. Przy mapowaniu czasem będzie potrzebne użycie cudzysłowów, szczególnie gdy mapowany katalog zawiera spacje.
NET USE z: \\smietnik\Temp_USB1_C nasze_hasło /USER:użytkownik - mapujemy na dysk "z:" udziału Temp_USB1_C na komputerze smietnik jako użytkownik z hasłem nasze_hasło. Jeśli byśmy nie podali hasła byśmy byli o nie zapytani.
NET USE z: \\smietnik\Temp_USB1_C nasze_hasło /USER:użytkownik /SAVECRED - to samo co wyżej z tym że dzięki użyciu przełącznika dostępnego od Windows XP Professional /SAVECRED dane o użytkowniku i haśle zostaną zapamiętane w celu przywrócenia połączenia.
NET USE z: /delete /yes - Odłącza dysk sieciowy "z:" bez potwierdzenia.

Jeśli mapujemy dyski sieciowe za pomocą komendy NET USE i chcemy je ustawić na stałe należy użyć przełącznik PERSISTENT:YES, czyli np:

NET USE z: z: \\smietnik\Temp_USB1_C hasło /USER:użytkownik /PERSISTENT:YES

Uprawnienia czynne

Częstą sytuacją, która ma miejsce jest to że użytkownicy należą do kilku grupa a różne grupy mają przydzielony różny poziom dostępu do zasobów. Gdy dochodzi do takiej sytuacji, co wcale nie jest rzadkością i lista ACL zawiera wiele wpisów, użytkownik musi mieć możliwość oceny uprawnień, czyli jakie faktycznie uprawnienia ma dany użytkownik do konkretnego zasobu. Uprawnienia wynikowe nazywane są uprawnieniami czynnymi.

Należy mieć na uwadze że przy określaniu uprawnień czynnych mają zastosowanie poniższe reguły:

uprawnienia NTFS do plików mają priorytet wyższy niż uprawnienia do folderów,
uprawnienia zbiorcze stanowią połączenie najwyższych uprawnień NTFS przyznanych użytkownikowi i wszystkim grupom, do których należy użytkownik - uprawnienia czynne są sumą wszystkich uprawnień Allow (Zezwalaj),
uprawnienia odmowy powodują zastąpienie wszystkich uprawnień - odmowa uprawnienia unieważnia wpis dotyczący zezwolenia dostępu,
uprawnienia bezpośrednie mają pierwszeństwo nad uprawnieniami dziedziczonymi - wpis ustawiony bezpośrednio dla zasobu unieważnia sprzeczny wpis uprawnienia dziedziczonego. Jest to logiczne ponieważ: folder nadrzędny określa "regułę" dzięki temu, że działa dziedziczenie. Obiekt podrzędny może wymagać dostępu, który nie jest zgodny z tą regułą i dlatego uprawnienie jest dodawane bezpośrednio do listy ACL obiektu podrzędnego.

Mam nadzieję że poniższa tabela przedstawiająca stan uprawnień przybliży działanie tych reguł.

Tabela 3 Stany uprawnień

	Uprawnienie Modyfikacja zostało użytkownikowi bądź grupie udzielone jawnie - uzyskuje on dostęp w zakresie uwzględnionym w danym uprawnieniu.
	Nastąpiła jawna odmowa Modyfikacji, użytkownik bądź grupa traci możliwość dostępu w zakresie uwzględnionym w danym uprawnieniu. Dzieje się tak ponieważ do uprawnienia Odmów zawsze jest przypisywany wyższy priorytet niż do uprawnień Zezwalaj.
	Następuje odmowa Modyfikacji, użytkownik bądź grupa traci możliwość dostępu w zakresie uwzględnionym w danym uprawnieniu. Dzieje się tak ponieważ uprawnienie nie zostało udzielone jawnie dlatego następuje domyślna odmowa dostępu.
	Następuje dziedziczenie uprawnienia po kontenerze nadrzędnym. Grupa bądź użytkownik uzyskuje dostęp w zakresie uwzględnionym w danym uprawnieniu. Można jawnie Odmówić uprawnienia kontu użytkownika bądź grupy.
	Następuje dziedziczenie uprawnienia po kontenerze nadrzędnym. Grupa bądź użytkownik nie uzyskuje dostępu w zakresie uwzględnionym w danym uprawnieniu. Można jawnie udzielić uprawnienia kontu użytkownika bądź grupy.

Aby wyświetlić czynne uprawnienia do plików i folderów:

W Eksploratorze Windows kliknij prawym przyciskiem myszy plik lub folder, którego czynne uprawnienia chcesz przejrzeć, i wybierz polecenie Właściwości.
W oknie dialogowym Właściwości na karcie Zabezpieczenia kliknij przycisk Zaawansowane.
W oknie dialogowym Zaawansowane ustawienia zabezpieczeń na karcie Czynne uprawnienia kliknij przycisk Wybierz.
W oknie dialogowym Wybieranie: Użytkownik, Komputer lub Grupa w polu Wprowadź nazwę obiektu do wybrania wpisz nazwę użytkownika lub grupy, a następnie kliknij przycisk OK.
Pola wyboru zaznaczone w oknie dialogowym Zaawansowane ustawienia zabezpieczeń wskazują czynne uprawnienia użytkownika lub grupy do danego pliku lub folderu.

Rysunek 12 Uprawnienia czynne

Żądaną praktyką, która jest często stosowana jest nie nadużywanie odmowy uprawnień, a zamiast tego zezwalanie na minimalne uprawnienia, które pozwalają wykonywać zadania. Wynika to z faktu że jawna odmowa nie może być zniesiona przez żadne inne ustawienie.

Pliki trybu offline

Pliki trybu offline to mechanizm pozwalający na zarządzanie dokumentami, dający użytkownikowi dostęp do plików w trybach online i offline. Wszystko sprowadza się do tego, że gdy komputer kliencki odłącza się od sieci, cała zawartość pobrana do jego lokalnej pamięci podręcznej pozostaje dostępna. Użytkownicy mogą kontynuować pracę tak, jakby wciąż byli połączeni z siecią. W dalszym ciągu mogą wykonywać operacje edycji, kopiowania, usuwania itp. Można uzyskiwać dostęp do plików oraz je kopiować, edytować, drukować i usuwać dokładnie tak samo, jak w przypadku pracy w trybie online. Po ponownym połączeniu z siecią następuje automatyczna synchronizacja plików znajdujących się na serwerze i na komputerze klienckim.

Filmik pokazujący działanie plików trybu offline.

{flv}kontroladostepu/plikioffline/plikioffline{/flv}

Porady praktyczne

W przypadku gdzie dostęp do zasobu jest zabroniony ale uprawnienie to wynika z dziedziczenia a obiekt ma bezpośrednio przypisane uprawnienie zezwalaj, dostęp do obiektu jest możliwy. Dzieje się tak ponieważ uprawnienie nadane bezpośrednio ma pierwszeństwo nad uprawnieniem dziedziczonym.
W systemie Wndows Server 2003 i 2008, domyślnie grupa Anonymous nie należy do grupy Everyone, więc uprawnienia przypisane grupie Everyone nie dotyczą grupy Anonymous.
Używaj uprawnień Odmów w następujących sytuacjach: Aby wykluczyć podzbiór grupy mającej uprawnienia Zezwalaj; Aby wykluczyć jedno uprawnienie, gdy użytkownikowi lub grupie zostało już przypisane uprawnienie Pełna kontrola.
Po skopiowaniu folderu udostępnionego wyjściowy folder udostępniony pozostaje udostępniony, natomiast kopia nie jest udostępniana. Gdy folder udostępniony zostaje przeniesiony w inne miejsce, udostępnianie jest anulowane.
Nadanie uprawnienia Full Control do folderu wiąże się z tym, że użytkownicy ci mogą usunąć dowolne pliki w folderze niezależnie od nadanych do nich uprawnień.
Nadając użytkownikowi uprawnienie Full Control do folderu pozwala się jemu na przejęcie na własność tego folderu.
Jeśli dostęp do folderów chcesz budować na zasadzie przypisywania uprawnień NTFS, nadaj uprawnienia do udostępnionego folderu, jako Full Control dla grupy Everyone.
Udzielaj uprawnień grupom, a nie użytkownikom. Ponieważ bezpośrednie obsługiwanie kont użytkowników jest nieefektywne, unikaj nadawania uprawnień poszczególnym użytkownikom.
Uprawnienia NTFS mają wpływ zarówno na dostęp lokalny jak i zdalny. Są wykorzystywane niezależnie od używanego protokołu.
W celu uproszczenia administrowania grupuj pliki według ich funkcji.
Na przykład: Pliki programów umieszczaj w folderach, w których są przechowywane często używane aplikacje; Pliki danych wykorzystywane przez wielu użytkowników grupuj w jeden folder.
Nigdy nie odmawiaj dostępu do obiektu grupie Wszyscy. Odmowa dostępu do obiektu tej grupie powoduje odmowę dostępu również administratorom. Zalecanym rozwiązaniem w takim przypadku jest usunięcie grupy Wszyscy i przyznanie uprawnień do obiektu innym użytkownikom, grupom i komputerom.
W stosunku do folderów danych nadawaj uprawnienia Odczyt i wykonanie oraz Zapis grupie Użytkownicy, natomiast uprawnienie Modyfikacja grupie Twórca-właściciel. Dzięki temu użytkownicy będą mogli czytać i modyfikować dokumenty tworzone przez innych użytkowników oraz czytać, modyfikować i usuwać pliki i foldery tworzone przez siebie.

Usługi drukowania

2011-10-27T07:43:18+00:00

Zadaniem usług drukowania (ang. Print Services) w Windows Server jest umożliwienie klientom dostęp do usług związanych z drukowaniem a także do drukarek pracujących w naszej sieci. Dostarczane są narzędzia, które w sposób centralny umożliwiają zarządzanie całym procesem wydruku począwszy od udostępniania drukarek w sieci poprzez zarządzanie serwerami wydruku a skończywszy na monitorowaniu.

Zarządzanie serwerem wydruku - narzędzia

Do obsługi i zarządzania procesem drukowania wykorzystamy dwa narzędzi, które zostały stworzone z myślą by nam administratorom ten proces ułatwić a mianowicie wykorzystamy Server Manager (Menedżer serwera) i Print Manager (Menedżer wydruku). Pierwsze narzędzie wykorzystamy do instalacji roli serwera odpowiedzialnej za zarządzanie wydrukami a mianowicie Print Services (Usługi drukowania i zarządzania dokumentami) a także do instalacji opcjonalnych komponentów i funkcji drugie do konfiguracji opcji związanych z wydrukiem. Wyświetla również w podglądzie zdarzeń informacje związane z drukowaniem oraz posiada instancję przystawki Print Management (zarządzanie drukowaniem) do zarządzania lokalnym serwerem wydruku.

Po instalacji roli Print Services mamy dostęp do przystawki Print Management (Zarządzanie drukowaniem), która znajduje się w folderze Administrative Tools. Przystawka ta pozwala nam na:

instalowanie, podgląd i zarządzanie serwerami wydruku znajdującymi się w naszej organizacji,
instalacja drukarek
monitorowanie oraz udostępnia informacje o statusie drukarek i serwerów wydruku w sieci,
zarządzanie procesem wydruku np. kolejki wydruku, buforowanie czy priorytety.

Rysunek 1 Zarządzanie drukowaniem

Usługi związane z rolą Print Services

Z rolą Print Services związane są trzy podrzędne usługi:

Print Server
LDP Service
Internet Printing

Wszystkie trzy usługi stanowią o funkcjonalności serwera wydruku. Usługi dodajemy przy instalacji roli Print Services możliwe jest także ich późniejsze dodanie przy pomocy kreatora Add Role Services w programie Server Manager.

Print Server - w konsoli Server Manager zostaje dodana rola Print Services oraz instalowana jest przystawk Print Management, używana do zarządzania serwerem wydruku. Po udostępnieniu drukarki, system Windows sam skonfiguruje Windows Firewall dodając odpowiednie wyjątki dla File and Printer sharing tak aby mogło nastąpić połączenie z udostępnioną drukarką.

LDP Service - czyli Line Printer Daemon, usługa umożliwiająca wydruk na serwerze Windows dokumentów przychodzących od hostów pracujących pod kontrolą systemu Unix. Dodawany jest wyjątek w zaporze Windows Firewall, połączenia przychodzące port 515.

Internet Printing - dzięki usłudze Internet Printing zostaje utworzona odpowiednia witryna zarządzana przez Internet Information Services (IIS).

Nowo powstała witryna pozwala użytkownikom na:

zarządzanie zadaniami wydruku na serwerze,
dzięki przerzuceniu ustawień do witryny www możliwe jest użycie przeglądarki do podłączenia się z sewerem oraz wykonania operacji drukowania przy wykorzystaniu Internet Printing Protocol (IPP). (Użytkownicy muszą mieć zainstalowany komponent Internet Printer Client.)

Aby zarządzać serwerem przy użyciu witryny Web w przeglądarce należy wpisać adres: http://nazwa_serwera/drukarka

gdzie: nazwa_serwera jest ścieżką UNC do serwera wydruku.

Drukowanie sieciowe

Drukarki podłączone do sieci umożliwiają współdzielenie jednego urządzenia przez różnych użytkowników z różnych lokalizacji. Serwer wydruku umożliwia wielu klientom współdzielenie jednego lub wielu urządzeń drukujących.

Typy danych związane z drukowaniem.

RAW - język opisu strony gotowej do wysłania do urządzenia drukującego np. PLC lub PostScript. Typ danych RAW jest domyślnym typem danych dla klientów innych niż programy oparte na systemie Windows. Typ danych RAW poleca buforowi w ogóle nie zmieniać zadania wydruku przed drukowaniem. W przypadku tego typu danych cały proces przygotowywania zadania wydruku przebiega na komputerze klienckim. Pliki RAW są zależne od urządzenia - buforowane dane są przeznaczone (odpowiednio formatowane) pod konkretne urządzenie.
EMF - domyślny typ danych używany pomiędzy klientami z Windows Vista i serwerami wydruku Windows Server 2008. W przypadku typu EMF drukowany dokument jest przekształcany do formatu metapliku, który jest bardziej poręczny niż pliki RAW i który zazwyczaj można wydrukować na dowolnej drukarce. Od tej chwili dane EMF są interpretowane w tle, jako wątek bufora wydruku (ang. spooler) i wysyłane do sterownika drukarki. Takie oddzielenie przetwarzania wydruku jest szczególnie użyteczne dla bardzo dużych dokumentów, ponieważ aplikacja nie jest spowolniona przez czas całego przetwarzania. Pliki EMF są zwykle mniejsze niż pliki RAW zawierające to samo zadanie wydruku. Jeśli chodzi o wydajność, to tylko pierwsza część zadania wydruku jest zmieniana czy też przetwarzana na komputerze klienckim, natomiast większość czynności wykonuje serwer wydruku, co pomaga aplikacji na komputerze klienckim szybciej oddać kontrolę z powrotem użytkownikowi.
TEXT - typ danych używany do wysłania zwykłego tekstu, jako zadania wydruku do drukarki (takiej jak urządzenia PostScript) niepotrafiącej zinterpretować takiego tekstu. Bufor wydruku tworzy nowe zadanie, obudowując tekst instrukcjami fabrycznie zaszytymi w urządzeniu drukującym.

Nierozłącznymi elementami odpowiedzialnymi za prawidłowe działanie całego procesu drukowania są: bufor wydruku serwera (ang. server spooler) umiejscowiony na serwerze wydruku oraz bufor wydruku klienta (ang. client spooler) znajdujący się na komputerze klienckim.

Client spooler (Winspool.drv) jest jednym z komponentów systemu Windows, jego zadaniem jest przekazanie zadania wydruku wysłanego z dowolnej aplikacji umożliwiającej zrealizowanie procesu drukowania na hoście do serwera wydruku.

Rysunek przedstawia komponenty komputerów klienckich, które generują i wysyłają zadania wydruku.

Rysunek 2 Schemat drukowania

Elementy na rysunku to:

Windows Clients - hosty z systemem Windows,
Non-Windows Clients - Komputery z systemem innym niż Windows (Unix, Apple Macintosh, MS-DOS, klienci NetWare),
Windows Application - dowolna aplikacja pracująca pod kontrolą systemu Windows umożliwiająca wydruk,
Non-Windowss Application - inny dowolny program spoza środowiska Windows umożliwiający wydruku,
Client Spoler - wysyła i przetwarza zadanie wydruku od klienta do serwera wydruku,
Graphics Device Interface (GDI) - dostarcza funkcje, które aplikacja może wykorzystać do obsługi graficznego wyjścia w tym przypadku drukarki. Dostarczane funkcje dotyczące procesu drukowania związane są z komunikacją klient-serwer, buforowaniem,
Printer Driver - jego zadaniem jest takie przygotowanie danych dostarczonych przez GDI aby przygotować odpowiedni format danych zrozumiały dla drukarki,
Line Printer Remote (LPR) - protokół którego zadaniem jest wysłanie zadanie wydruku do serwera,
AppleTalk - protokół używany przez hosty z systemem Macintosh i serwery Windows z zainstalowana usługa Services for Macintosh,
Netware - protokół używaney przez hosty NetWare i serwerów Windows z zainstalowanym NWLink,
Local Print Device - urządzenie drukujące podłączone bezpośrednio do serwera,
Remote Print Device - sieciowe urządzenie drukujące i zarządzane przez serwer wydruku,
Remote Print Server - przekazuje zadania wydruku do urządzeń, którymi zarządza.

Server Spooler - Usługi drukowania i zarządzania dokumentami w Windows Server 2008 w celu realizacji procesu drukowania korzystają z różnych protokołów tak aby możliwa była obsługa klientów i urządzeń drukujących na których zaimplementowane są różne systemy i rozwiązania. Pierwszoplanowy zadaniem spooler-a serwera będącego centralnym elementem w sieciowej architekturze wydruku jest takie zrealizowanie procesu wydruku by ten był jak najbardziej płynny i bezproblemowy.

Rysunek 3 przedstawia Spooler serwera i przetwarzanie zadania wydruku.

Elementy na rysunku to:

Print Spooler Services - główne zadania to: wyszukanie i załadowanie odpowiedniego sterownika, buforowanie, zarządzanie harmonogramem wydruków,
Print Router - ustalenie dostawcy drukowania (Local Print Provider) realizowane to jest m.in. na nazwie drukarki,
Local Print Provider - lokalny dostawca drukowania, który sprawuje kontrolę nad znanymi sobie drukarkami,
Print Monitor - przekazanie zadania wydruku,
Language Monitor - zapewnia komunikację pomiędzy drukarką a hostem,
Lokal and Remote Port Monitor - wysyła zadanie wydruku do lokalnego lub zdalnego portu,
Graphics Device Interface (GDI) - dostarcza funkcje, które aplikacja może wykorzystać do obsługi graficznego wyjścia w tym przypadku drukarki. Dostarczane funkcje dotyczące procesu drukowania związane są z komunikacją klient-serwer, buforowaniem,
Printer Driver - jego zadaniem jest takie przygotowanie danych dostarczonych przez GDI aby przygotować odpowiedni format danych zrozumiały dla drukarki,
Remote Print Provider - przekierowuje zadania wydruku do zdalnych serwerów wydruku,
Local Print Device - urządzenie drukujące podłączone bezpośrednio do serwera,
Remote Print Device - sieciowe urządzenie drukujące i zarządzane przez serwer wydruku,
Remote Print Server - przekazuje zadania wydruku do urządzeń, którymi zarządza.

Rysunek 3 Komponenty Serwera wydruku

Bufor drukarki

Bufor wydruku jest ładowany podczas uruchamiania systemu i działa do jego zamknięcia. Bufor wydruku pobiera pliki do wydrukowania, przechowuje je na dysku twardym, a następnie wysyła na drukarkę, gdy jest ona gotowa. Ponadto można rejestrować zdarzenia zachodzące w trakcie tego procesu albo wyłączyć rejestrowanie w okresach dużego obciążenia, aby zminimalizować użycie miejsca na dysku i zwiększyć wydajność usługi buforu wydruku.

Pliki oczekujące na wydrukowanie są gromadzone w folderze buforu, który znajduje się na dysku twardym serwera wydruku. Domyślny folder buforu to: GłównyKatalogSystemowy\System32\Spool\Printers.

Jednak na tym dysku twardym są również przechowywane pliki systemowe systemu Windows. Ponieważ system operacyjny często uzyskuje dostęp do tych plików, wydajność zarówno systemu Windows, jak i funkcji drukowania może się obniżyć.

Jeśli serwer wydruku obsługuje tylko jedną lub dwie drukarki i ruch w sieci jest niewielki, nie ma potrzeby zmieniać domyślnej lokalizacji folderu buforu. Jeśli jednak ma być obsługiwany duży ruch w sieci, duża liczba drukarek lub duże zadania drukowania, należy zmienić lokalizację folderu buforu. Aby osiągnąć najlepsze wyniki, folder buforu należy przenieść na dysk, który ma własny kontroler We/Wy, co zredukuje wpływ drukowania na pozostałe funkcje systemu operacyjnego.

Sytuacje, w których powinno być używane buforowanie:

Krytyczne wydruki biznesowe w czasie rzeczywistym. Te zadania drukowania są zwykle krótkie, ale muszą zostać wykonane w określonym czasie, gdyż w przeciwnym wypadku mogłyby nastąpić straty finansowe. Przykładem są listy kompletacyjne.
Zaplanowane krytyczne wydruki biznesowe. Przykładem są duże sprawozdania finansowe drukowane w nocy. Nikt nie nadzoruje drukowania, ale jeśli wydruki nie byłyby gotowe na rano, powstałby problem.
Wydruki na żądanie. Do tej kategorii należy większość typowych wydruków. Wydruk nie ma krytycznego znaczenia, ale użytkownik musi go mieć w określonym czasie.

Serwery wydruku muszą mieć wystarczającą ilość miejsca na dysku i pamięci RAM, aby mogły zarządzać zadaniami drukowania. Najlepiej mieć przynajmniej dwa dyski jeden dla systemu operacyjnego, plików startowych i pliku stronicowania, a drugi do przechowywania folderu buforu. Izoluje to folder buforu od systemu operacyjnego, co zwiększa wydajność i stabilność. Aby zwiększyć wydajność, należy dodać jeden lub większą liczbę dysków dla pliku stronicowania.

Serwery wydruku tworzą kolejkę wydruku w celu zarządzania żądaniami drukowania. Rozmiar dokumentu może wynosić nawet 20 megabajtów (MB), jeśli dokument zawiera osadzoną grafikę. W związku z tym należy wykorzystywać miejsce na dysku innym niż ten, który jest używany dla systemu operacyjnego. Pomaga to zapewnić, że nie zostanie wykorzystane całe miejsce na partycji systemowej lub rozruchowej, co mogłoby być przyczyną trudności z plikiem wymiany. Jeśli kolejka wydruku zostanie skonfigurowana na tym samym dysku, na którym znajduje się system operacyjny, system Windows nie ma wystarczającej ilości miejsca na dysku do zapisania pliku wymiany, co może doprowadzić do problemów z ogólną wydajnością drukarki.

Gdy plik jest drukowany na drukarce sieciowej, plik buforu zostaje utworzony i niemal natychmiast usunięty. Ten proces jest powtarzany setki lub tysiące razy podczas normalnego dnia pracy. Jeśli folder buforu znajduje się na woluminie, który jest współużytkowany przez inne dane, wolumin może ulec fragmentacji. Fragmentację można wyeliminować przez umieszczenie folderu buforu na woluminie, który jest wydzielony dla drukarki. Po wydrukowaniu wszystkich plików buforu są one usuwane z woluminu i nowe zadania drukowania mogą rozpocząć się na czystym dysku.

Jeśli zadania drukowania są tak skonfigurowane, aby nie były usuwane po zakończeniu drukowania, korzystnie jest przechowywać zadania drukowania na innym dysku lub woluminie, tak aby folder buforu nie dziedziczył żadnych zmian w zabezpieczeniach folderów nadrzędnych. Korzystnie jest również przenieść folder buforu dla drukarek, które drukują ważne dane, takie jak listy płac czy raporty finansowe, tak aby można było poddawać inspekcji wszystkie transakcje na dysku zawierającym folder buforu.

W przypadku dysków zawierających system operacyjny przydziałów zwykle nie konfiguruje się dla zwiększenia wydajności. Celowe może być jednak ograniczenie liczby zadań drukowania, które użytkownicy lub grupy drukują na serwerze wydruku, tak aby jeden użytkownik nie zajął całego dostępnego miejsca na serwerze. Jeśli tak się stanie, inni użytkownicy nie mogą drukować, dopóki kolejka wydruku nie zwolni pewnej liczby dokumentów.

Zazwyczaj partycja rozruchowa znajduje się na dysku dublowanym (RAID 1). Ze względu na wydajność i możliwości odzyskiwania poawaryjnego celowe może być przeniesienie folderu buforu na wolumin RAID 5, aby zmniejszyć prawdopodobieństwo istnienia pojedynczego punktu awarii podsystemu dysków.

Lokalizacja folderu buforu zostanie zmieniona natychmiast i żadne dokumenty oczekujące na wydrukowanie nie zostaną wydrukowane. Zaleca się, aby przed zmianą folderu buforu poczekać na dokończenie drukowania wszystkich dokumentów.

Po przeniesieniu folderu buforu nadaj wszystkim użytkownikom uprawnienia do modyfikacji plików w tym folderze. W przeciwnym razie niektórzy użytkownicy nie będą mogli wydrukować żadnych dokumentów. Aby zmiany zaczęły obowiązywać, zatrzymaj i uruchom ponownie usługę Spooler (Bufor wydruku), wydając polecenia Net Stop Spooler, a następnie Net Start Spooler. Zatrzymanie i ponowne uruchomienie usługi Bufor wydruku jest najlepszą metodą rozwiązania problemów z drukarką, która "zawiesiła się" i ponawianie wydruku dokumentów nie przynosi żadnego efektu.

Rysunek 4 Zatrzymywanie i wznawianie bufora wydruki

{flv}Drukarka/bufordrukarki/bufordrukarki{/flv}

Ustawienie bufora drukarki

{flv}Drukarka/dostepnoscdrukarki/dostepnoscdrukarki{/flv}

Planowanie dostępności drukarki

Priorytety drukarki

Celowe może być skonfigurowanie priorytetów drukarki dla dwóch drukarek, które drukują na tym samym urządzeniu drukującym. Ta konfiguracja gwarantuje, że drukarka o wyższym priorytecie drukuje na urządzeniu drukującym przed drukarką o niższym priorytecie. Jest to dobra strategia, jeśli drukarka o niższym priorytecie jest dostępna tylko poza godzinami pracy firmy i ma wiele dokumentów oczekujących na wydrukowanie. Jeśli zachodzi konieczność natychmiastowego wydrukowania dokumentu na urządzeniu drukującym, można wybrać drukarkę o wyższym priorytecie, a zadanie drukowania zostanie umieszczone na początku kolejki wydruku.

Aby ustawić priorytety między drukarkami, wykonaj następujące zadania:

Skonfiguruj dwie lub większą liczbę drukarek w taki sposób, aby wskazywały to samo urządzenie drukujące (ten sam port). Port może być albo portem fizycznym na serwerze wydruku, albo portem, który wskazuje urządzenie drukujące interfejsu sieciowego.
Ustaw różne priorytety dla wszystkich drukarek połączonych z urządzeniem drukującym. Możesz również określić, że użytkownicy będą wysyłać dokumenty o wysokim priorytecie na drukarkę o wyższym priorytecie, a dokumenty o niskim priorytecie na drukarkę o niższym priorytecie.

Rysunek 5 Priorytet drukowania

{flv}Drukarka/priorytet/priorytet/priorytet{/flv}

Ustawienie prirytetów drukowania

Pule drukowania.

Pulę drukowania tworzy się po to, aby automatycznie przekazywać zadania wydruku do najbliższej dostępnej drukarki. Pula drukowania to jedna drukarka logiczna połączona z wieloma drukarkami poprzez wiele portów serwera wydruku. Dokument wysłany do drukarki logicznej otrzymuje ta drukarka, która w danym momencie jest bezczynna. Jest to użyteczne w sieciach obsługujących dużą ilość drukowania, ponieważ skraca czas oczekiwania użytkowników na wydruk dokumentów. Pula drukowania upraszcza też administrowanie, ponieważ pozwala zarządzać wieloma drukarkami z tej samej drukarki logicznej na serwerze.

Po utworzeniu puli drukowania użytkownik drukuje dokument bez konieczności sprawdzania, która drukarka jest dostępna. Drukarka logiczna szuka dostępnego portu i wysyła dokumenty do portów w kolejności, w jakiej porty zostały dodane. Dodanie w pierwszej kolejności portu połączonego z najszybszą drukarką zapewnia, że dokumenty są przede wszystkim wysyłane do drukarki, która drukuje najszybciej, a dopiero potem przekierowywane do wolniejszych drukarek z puli drukowania.

Pula drukarek jak zostało wcześniej napisane jest pojedynczą drukarką logiczną, która obsługuje kilka portów lub drukarek, jednak struktura odwrotna jest częściej wykorzystywana i jest bardziej wydajna. Struktura taka to kilka drukarek logicznych obsługujących pojedynczy port lub drukarkę. Utworzenie kilku drukarek logicznych powoduje, że różne zadania są kierowane do tej samej drukarki fizycznej, a administrator może dla każdej drukarki logicznej inaczej skonfigurować właściwości, ustawienia domyślne, ustawienia zabezpieczeń, inspekcji bądź monitorowania.

Na przykład można utworzyć taką konfigurację, która pozwala natychmiast drukować zadania członków grupy zarząd, wstrzymując zadania drukowane przez innych użytkowników. W tym celu należy utworzyć drugą drukarkę logiczną przekierowującą zadania do tego samego portu (do tej samej drukarki fizycznej) dla innych użytkowników, ale z wyższym priorytetem.

Dodatkowe drukarki logiczne tworzy się za pomocą programu Add Printer Wizard (Kreator dodawania drukarek). Aby zbudować strukturę kilku drukarek logicznych obsługujących pojedynczy port, dodatkowe drukarki muszą używać tego samego portu, co istniejąca drukarka logiczna. Nazwa drukarki i nazwa udziału nie mogą się powtarzać. Po utworzeniu nowej drukarki logicznej, należy otworzyć okno jej właściwości i skonfigurować sterownik, listę ACL, domyślne ustawienia drukowania oraz inne wymagane ustawienia.

Aby określić dla nowej drukarki logicznej wysoki priorytet, należy kliknąć zakładkę Advanced (Zaawansowane) i wybrać wartość z zakresu 1 (najniższy priorytet) do 99 (najwyższy priorytet). Zakładając, że dla drukarki logicznej zarządu przydzielony został priorytet 99, a dla drukarki używanej przez pozostałych użytkowników przydzielony będzie priorytet 1, dokumenty wysłane do drukarki zarządu będą drukowane przed dokumentami kolejki drukarki pozostałych użytkowników. Dokumenty zarządu nie będą przerywały zadań druku użytkowników. Jeśli drukarka jest wolna, w pierwszej kolejności będzie realizować zadania nadsyłane z drukarki o wyższym priorytecie. Aby użytkownicy nie mogli drukować na drukarce zarząd, należy skonfigurować jej listę ACL usuwając uprawnienia drukowania przydzielone grupie Everyone (Wszyscy) i zezwolić na drukowanie jedynie członkom grupy "dyrekcja".

Przed ustanowieniem puli drukowania należy wziąć pod uwagę, że:

Wszystkie drukarki w puli muszą używać tego samego sterownika.
Wszystkie drukarki w puli powinny być zlokalizowane w tym samym miejscu, ponieważ użytkownicy nie będą wiedzieć, na której drukarce z puli zostanie wydrukowany dany dokument.

Uprawnienia drukarki

Uprawnienia drukarki są zbiorem atrybutów na które dany użytkownik ma wpływ i którymi może zarządzać. Do atybutów tych możemy zaliczyć takie wartości jak zmiana nazwy drukarki, jej udostępnienie, zezwolenie lub zabronienie dostępu do niej oraz określenia, kto może zarządzać dokumentami. Windows oferuje cztery typy uprawnień do drukarek:

Print (Drukowanie) - domyślnie, użytkownik ma prawo drukowania oraz zarządzania zadaniami wysłanymi do drukarki,
Manage ducuments (Zarządzanie dokumentami) - użytkownik ma prawo do zarządzania wszystkimi zadaniami (także należącymi do innych użytkowników) znajdującymi się w kolejce wydruku,
Manage printers (Zarządzanie tą drukarką) - użytkownik ma prawo do zmiany nazwy, usunięcia, udostępnienia i zmiany preferencji drukarki oraz prawo do nadawania uprawnień (domyślnie uprawnienie to nadawane jest członkom grupy Administratorzy),
Special permissions (Uprawnienia specjalne) - wykorzystywane przez administratorów systemu.

Instalacja drukarki

Drukarkę na serwerze wydruku można zainstalować korzystając z przystawki Print Managemet gdzie w kontenerze Print Servers należy kliknąć prawym przyciskiem myszy serwer, na którym chcemy to zrealizować i z menu kontekstowego wybrać polecenie Add Printer uruchamiające kreatora Network Printer Installation Wizard. Należy zdefiniować sposób podłączenia drukarki wybierając istniejący (lub tworząc nowy) port lokalny lub zdalny (adres IP urządzenia). Kolejnym krokiem jest zainstalowanie odpowiedniego sterownika, albo z listy dostarczonych wraz z systemem lub z nośnika.

Instalacja drukarki lokalnej

W zasadzie każda aplikacja Windows posiada możliwość drukowania, oczywiście pod warunkiem, że odpowiednia drukarka została zainstalowana w systemie. Aby zainstalować nową drukarkę bądź też zmodyfikować ustawienia drukarki już zainstalowanej, z menu Start wybierz polecenie Urządzenia i drukarki. Na ekranie pojawi się okno dialogowe zawierające listę wszystkich podłączonych drukarek lokalnych, a także wszystkich zmapowanych drukarek sieciowych.

Bezpośrednio po zainstalowaniu systemu Windows 7 folder drukarek jest pusty odnajdziesz tam tylko ikonę kreatora dodawania drukarek Dodaj drukarkę (Add Printer). Kreator umożliwia bardzo łatwą instalację niemal dowolnej drukarki, choć w zależności od jej typu oraz tego, czy jest to drukarka lokalna, czy sieciowa, poszczególne opcje mogą się nieco różnić.

Aby zainstalować drukarkę, musisz najpierw zalogować się do konta z uprawnieniami administratora. W przypadku drukarek zgodnych ze standardem Plug and Play (a większość współczesnych drukarek jest z nim zgodna), instalacja sprowadza się do podłączenia drukarki do komputera i włączenia go. Oprogramowanie Plug and Play odpowiednio zainstaluje i skonfiguruje sterownik drukarki (ang. printer driver).

Rysunek 6 W tym folderze systemowym odnajdziesz niezbędne informacje na temat drukarek podłączonych do twojego komputera

Jeżeli Windows nie jest w stanie automatycznie wykryć drukarki, musisz skorzystać z kreatora dodawania drukarki. W przypadku sterowników drukarek podstawowa zasada brzmi im nowsza wersja sterownika, tym lepiej (co w przypadku oprogramowania nie zawsze okazuje się prawdą). Jeżeli znalazłeś sterownik w zestawie oferowanym przez Windows, powinieneś użyć go tylko na początku, a następnie poszukać najnowszej wersji na witrynie internetowej producenta drukarki. Jeżeli otrzymałeś sterowniki na płycie razem drukarką, przed ich zainstalowaniem dokładnie sprawdź wersję. Być może Windows dysponuje nowszą wersją sterownika. Jeżeli masz dwie wersje pamiętaj, aby zainstalować najnowszą.

1. Aby zainstalować drukarkę lokalną - Podłącz drukarkę do odpowiedniego portu i włącz komputer. Otwórz folder drukarek i kliknij przycisk ikonę kreatora dodawania drukarki Dodaj drukarkę (Add Printer).

Rysunek 7 Dodawanie drukarki

2. W oknie powitalnym kreatora kliknij opcję Dodaj Drukarkę lokalną. Wybierz port, do którego podłączyłeś drukarkę. Naciśnij przycisk Dalej.

Rysunek 8 Wybranie portu bądź dodanie nowego

3. Na ekranie pojawi się lista drukarek obsługiwanych przez system Windows (patrz rysunek ). Na liście po lewej stronie okna odszukaj i zaznacz nazwę producenta twojej drukarki, a następnie w oknie po prawej stronie okna odszukaj i zaznacz nazwę modelu. Możesz poszukać najnowszego sterownika w Internecie. Naciśnij przycisk Windows Update, co spowoduje, że kreator poszuka go na witrynie firmy Microsoft. Jeżeli masz nową wersję, naciśnij przycisk Z dysku (Have Disk) i wskaż lokalizację sterownika. Naciśnij przycisk Dalej (Next).

Rysunek 9 Sterowniki - Windows obsługuje dosłownie tysiące drukarek jest niemal pewne, że odnajdziesz swoją

4. Wpisz nazwę drukarki.

Rysunek 10 Nazwa drukarki

5. Postępuj dalej zgodnie z poleceniami kreatora. Musisz zdecydować, czy będziesz udostępniał instalowaną drukarkę w sieci. Ustaw również opcję drukowania strony testowej. W ten sposób upewnisz się, że po zainstalowaniu wszystko zadziała, jak należy.

Rysunek 11 Udostępnianie drukarki

6. Możesz teraz wydrukować stronę testową.

Rysunek 12 Strona testowa

7. Po zakończeniu konfiguracji kreator doda drukarkę.

Po zakończeniu pracy kreatora (po naciśnięciu przycisku Zakończ) Windows zaczyna kopiować niezbędne pliki. Czasami może poprosić o włożenie do napędu CD-ROM-u instalacyjnego Windows lub o lokalizację plików instalacyjnych. Wreszcie w folderze drukarek pojawia się ikonka zainstalowanej drukarki.

Jeżeli zainstalowałeś więcej niż jedną drukarkę (nie jest istotne, czy lokalną, czy sieciową), przy ikonie drukarki domyślnej znajdziesz mały czarny znaczek. Drukarka domyślna to taka, do której kierowane są wszystkie pliki do wydrukowania, z wyjątkiem tych, dla których wybrano inną drukarkę. Jeżeli chcesz ustawić daną drukarkę jako domyślną, kliknij jej ikonkę prawym przyciskiem myszki i z menu podręcznego wybierz polecenie Ustaw jako drukarkę domyślną (Set as Default Printer).

Jeżeli nie odnajdziesz na liście sterowników oferowanych przez Windows sterownika do twojej drukarki, nie próbuj instalować sterownika do "podobnej" - może to powodować nieoczekiwane problemy z drukowaniem. Właściwe sterowniki powinny być dostępne na witrynie internetowej producenta drukarki zajrzyj tam w pierwszej kolejności.

{flv}Drukarka/drukarka2003/drukarka2003{/flv}

Instalacja drukarki, zarządzanie

Podłączanie drukarki sieciowej

Jeżeli znasz dokładną nazwę i lokalizację drukarki sieciowej, cały proces (oczywiście przy zastosowaniu kreatora dodawania drukarki) nie powinien zająć więcej niż kilka minut.

1. Otwórz folder drukarek, a następnie kliknij przyciskiem myszki ikonę Dodaj drukarkę (Add Printer). Naciśnij Dodaj drukarkę sieciową, bezprzewodową, Bluetooth

2. Nastąpi wyszukiwanie wszystkich drukarek sieciowych.

Rysunek 13 Wykryte drukarki sieciowe

3. Jeżeli na liście wykrytych drukarek nie znajdziesz tej która cię interesuje, kliknij Drukarki, której szukam, nie ma na liście. Na ekranie pojawi się kolejne okno kreatora. Aby przeglądać w poszukiwaniu drukarki zaznacz Przeglądaj w poszukiwaniu drukarek. Na ekranie pojawi się kolejne okno Przeglądanie w poszukiwaniu drukarki (Browse for Printer). Znajdziesz w nim listę wszystkich komputerów pracujących w twojej grupie roboczej (patrz rysunek 9.6). Aby się przekonać, do których drukarek masz dostęp, dwukrotnie kliknij lewym przyciskiem myszki ikonę wybranego komputera, a następnie ikonę drukarki. Naciśnij przycisk Dalej (Next). Zaznacz środkową opcję. Wpisz nazwę drukarki lub kliknij przycisk Dalej, Jeżeli znasz dokładną nazwę drukarki sieciowej i komputera, do którego jest podłączona, wpisz ją w tym polu, używając formatu \\nazwa_komputera\nazwa_drukarki. Jeżeli nie znasz nazwy, naciśnij przycisk Dalej (Next). Możesz również dodać drukarkę jeśli znasz jej adres IP w tym celu kliknij ostatnią opcję Dodaj drukarkę, używając adresu TCP/IP lub nazwy hosta.

Rysunek 14 Jeżeli znasz nazwę drukarki sieciowej, wpisz ją w tym polu

Rysunek 15 Jeżeli znasz adres IP drukarki sieciowej, wpisz ją w tym polu

Wykonaj pozostałe operacje zgodnie z poleceniami kreatora, aby zakończyć instalację. Kiedy naciśniesz przycisk Zakończ (Finish), Windows rozpocznie kopiowanie odpowiednich plików sterownika (jeżeli będzie to konieczne) i na koniec umieści ikonę nowej drukarki w folderze drukarek.

{flv}Drukarka/drukarkasieciowa/drukarkasieciowa{/flv}

Instalacja i konfiguracja drukarki sieciowej

Zarządzanie kolejkami wydruków

Naciskając przycisk Drukuj (Print) lub wybierając polecenie drukowania z menu głównego dowolnej aplikacji Windows, nie zawsze kierujesz zadanie drukowania bezpośrednio do drukarki. Jeżeli używasz drukarki lokalnej, system najpierw buforuje drukowany dokument w specjalnym pliku na dysku twardym. Chociaż może się to wydawać niepotrzebnym dodatkowym etapem pośrednim, jednak takie rozwiązanie ma bardzo znaczący wpływ na wydajność pracy. W większości przypadków proces zapisu na dysku jest bardzo szybki i po jego zakończeniu użytkownik może powrócić do normalnej pracy, podczas gdy Windows uruchamia drugoplanowy proces, który wysyła do drukarki kolejne strony dokumentu, korzystając z buforowanych danych.

Jeżeli używasz drukarki sieciowej, zadanie drukowania jest kierowane najpierw do tzw. serwera wydruków (ang. print server), który realizuje wszystkie zadania związane z buforowaniem i drukowaniem dokumentu. Drukarka sieciowa nie zawsze musi być podłączona do komputera. Niektórzy producenci drukarek (np. Hewlett-Packard czy Intel) produkują własne dedykowane serwery wydruków. Te małe urządzenia umożliwiają podłączenie jednej lub kilku drukarek bezpośrednio do sieci komputerowej każdy print server posiada adres IP; można nim w pełni zarządzać.

Ponieważ drukarki są w zasadzie urządzeniami mechanicznymi, z natury rzeczy pracują znacznie wolniej niż pamięć komputera. W rezultacie możliwa jest sytuacja, w której w kolejce do wydruku będzie czekało kilka czy nawet kilkanaście dokumentów. Jeżeli w kolejnych oknach przeglądarki otworzysz kilkanaście stron różnych stron WWW, a potem w szybkiej sekwencji jedną po drugiej wyślesz do drukarki, system Windows będzie musiał zadbać o prawidłową organizację i kolejność wydruku stron poszczególnych dokumentów. W przypadku drukarki sieciowej sytuacja wygląda bardzo podobnie jeżeli kilkunastu użytkowników zacznie w tym samym czasie nadsyłać dokumenty do wydruku, Windows będzie realizował poszczególne wydruki w kolejności, w jakiej zostały nadesłane uwzględniając oczywiście priorytety druku.

W każdej chwili użytkownik może sprawdzić status poszczególnych zadań drukowania w kolejce (ang. print queue). Pozwala ona na kontrolę takich parametrów, jak czas trwania wydruku, czy w danej drukarce nie zaciął się papier, ile dokumentów oczekuje na wydruk i wiele innych. W razie potrzeby możesz ba chwilę zatrzymać realizację wydruków (np. aby usunąć jakiś problem związany z drukarką), przerwać drukowanie bieżącego dokumentu, usunąć wybrany dokument z kolejki, a nawet wszystkie oczekujące dokumenty oczywiście jeżeli masz do tego odpowiednie uprawnienia.

Aby obejrzeć kolejkę wydruków drukarki, otwórz folder drukarek, a następnie kliknij prawym przyciskiem myszki ikonę wybranej drukarki i wybierz Zobacz co jest drukowane. Jak widać na rysunku, każde zadanie drukowania jest widoczne w postaci osobnego wiersza i zawiera kompletną informację o danym zadaniu oraz postępie drukowania.

Jeżeli chcesz zmienić parametry wybranego zadania, kliknij go prawym przyciskiem myszki, a następnie z menu podręcznego wybierz żądane polecenie. Masz pełne prawa do modyfikacji ustawień twoich zadań drukowania. Możesz zatrzymać lub wznowić drukowanie, usunąć dowolne zadanie, zanim przejdzie na początek listy i zostanie przesłane do drukarki. Jeżeli właścicielem danego zadania jest inny użytkownik, można je usunąć pod warunkiem posiadania uprawnień do zarządzania dokumentami.

Rysunek 16 Kolejka pozwala na kontrolę statusu wydruku poszczególnych dokumentów

Wstrzymaj (Pause) - zapobiega przesłaniu wybranego dokumentu na drukarkę.
Uruchom ponownie (Resume) - zezwala na wydrukowanie poprzednio wstrzymanego dokumentu bądź powoduje powtórne rozpoczęcie drukowania od początku dokumentu. Opcja ta ma zastosowanie praktycznie tylko dla bardzo dużych dokumentów mniejsze przebywają zbyt krótko w kolejce wydruku.
Anuluj (Cancel) - usuwa wybrany dokument z kolejki. Jeżeli proces drukowania już się rozpoczął, na ostatniej wydrukowanej stronie może się znajdować trochę śmieci.
Właściwości (Properties) - wyświetla szczegółowe informacje o wybranym zadaniu drukowania (patrz rysunek).

Jeżeli chcesz przesunąć wybrane zadanie w kolejce wydruków, możesz tego dokonać za pomocą suwaka określającego priorytet wydruku.

Rysunek 17 Okno właściwości zadania w kolejce wydruku

Jeżeli masz dostęp do drukarek wyposażonych w interfejs sieciowy, to możesz sprawdzić kolejkę wydruków korzystając z interfejsu WWW, dostępnego w przeglądarce sieciowej rysunek przedstawia kolejkę drukarki pracującej pod Windows 2008 Server. Poszczególne opcje są identyczne jak w normalnym oknie zarządzania kolejką drukarki.

Rysunek 18 Zarządzanie za pomocą przeglądarki sieciowej

Można przeglądać kolejkę drukarki przy użyciu przeglądarki sieciowej, w polu adresu http://adres_IP_drukarki.

Porady praktyczne:

Aby zarządzać zdalnym serwerem wydruku musisz być członkiem grupy Print Operators lub Server Operators, lub lokalnej grupy Administrators na serwerze zdalnym. Nie jest to konieczne, jeśli chcesz tylko monitorować serwer.
Użyj zabezpieczeń, aby ograniczyć liczbę osób, które mogą korzystać z drukarki w godzinach jej dostępności.
Poinformuj użytkowników, kiedy drukarki są dostępne, aby zmniejszyć liczbę żądań pomocy technicznej, gdy drukarka jest niedostępna.
Utrzymuj wystarczającą ilość miejsca na dysku do przechowywania buforowanych zadań drukowania, które oczekują na wydrukowanie.
Aby skorzystać z wdrożenia drukarek przy pomocy Group Policy, środowisko musi spełniać następujące wymagania:
Schemat usługi Active Directory Domain Services (AD DS) musi używać wersji Windows Server 2003 R2 lub Windows Server 2008,
Komputery klienckie z Windows 2000, Windows XP, lub Windows Server 2003 muszą używać narzędzia PushPrinterConnections.exe w skrypcie uruchamianym podczas startu komputera lub podczas logowania użytkownika,
Jeśli na komputerze z narzędziem Print Management jest włączony firewall to mogą być niewidoczne drukarki na zdalnych serwerach wydruku. Aby temu zapobiec należy do listy wyjątków zapory dodać Print Management.

Czym jest grupa w usłudze ActiveDirectory? Tworzenie, modyfikacja i zarządzanie.

2011-03-28T09:31:26+00:00

Grupa jest zbiorem kont użytkowników, komputerów i innych grup, który może być zarządzany, jako pojedynczy element. Użytkownicy i komputery należący do danej grupy są nazywani członkami grupy. Ten mechanizm zarządzania użytkownikami jest kluczowy przy administracji systemami Windows z rodziny Serwer. Dlatego poznanie go jest elementem niezbędnym by należycie zarządzać usługą Acive Directory a więc do dzieła.

Grupy dzielą się na wbudowane - są tworzone automatycznie podczas instalacji systemu i charakteryzują się tym, że nie można ich usuwać, oraz tworzone przez uprawnionych użytkowników już w zainstalowanym systemie. Grupy możemy podzielić jeszcze w jeden sposób a mianowicie - na grupy lokalne i grupy domenowe. Te pierwsze mogą być tworzone na osobnych komputerach nie podłączonych do sieci, komputerach wchodzących w skład grupy roboczej, lub komputerach należących do domeny, lecz nie będącej jej kontrolerami. Mogą one zawierać tylko konta użytkowników lokalnych danego komputera. Grupy domenowe mogą być tworzone tylko na kontrolerach domeny i zawierać konta użytkowników domenowych a nawet inne grupy domenowe.

Grupy lokalne

Do grup lokalnych stosuje się następujące reguły:

- - grup lokalnych używa się do nadawania uprawnień tylko do lokalnych zasobów i operacji na danym komputerze
  - grupy lokalne są umiejscowione w bazie SAM - lokalnej bazie kont komputera
  - do grupy lokalnej mogą należeć tylko konta użytkowników lokalnych, nie mogą do niej należeć konta użytkowników domenowych
  - grupa lokalna nie może być elementem żadnej innej grupy
  - grupy lokalne mogą być tworzone tylko przez członków grupy Administratorzy (Administrators) lub Operatorzy Kont (Account Operators)

Grupy te są widoczne w oknie programu Computer Management - Zarządzanie komputerem w pod folderze Grupy folderu Użytkownicy i grupy lokalne. Przystawkę tę można również wywołać wydając polecenie lusrmgr.msc Istnieje kilka wbudowanych grupy lokalnych, niektóre z nich to: Administratorzy (Administrators), Użytkownicy (Users), Użytkownicy o Rozszerzonych Uprawnieniach (Power Users), Operatorzy Kopii Zapasowych (Backup Operators), Operatorzy drukarek (Print Operators). Użytkownicy z tych grup mają przydzielone standardowe uprawnienia, opisane poniżej.

Członkowie grupy Administratorzy mają pełne prawa do wszystkich zasobów i operacji na lokalnym komputerze. Administratorzy mogą tworzyć, usuwać oraz modyfikować konta wszystkich użytkowników i grup. Mogą również nadawać uprawnienia do wszystkich zasobów komputera. Inne prawa, jakie posiada ta grupa to:

- - instalacja systemu operacyjnego oraz jego komponentów uwzględniając sterowniki, urządzenia sprzętowe, usługi systemowe itd.
  - instalacja pakietów Service Pack oraz łat hot fix.
  - naprawa systemu operacyjnego.
  - przejmowanie własności obiektów.

Członkowie grupy Użytkownicy mogą uruchamiać aplikacje, używać lokalnych i sieciowych drukarek, zamykać i blokować system, nie mogą natomiast zarządzać użytkownikami i grupami, udostępniać folderów, ani dodawać drukarek lokalnych.

Członkowie grupy Operatorzy Kopii Zapasowych mogą wykonywać kopie zapasowe folderów i odtwarzać foldery z tych kopii, niezależnie od praw dostępu do folderów i umieszczonych w nich plików. Mogą również logować się do lokalnych komputerów i zamykać system, ale nie mogą zmieniać ustawień mających związek z bezpieczeństwem.

Członkowie grupy Czytelnicy dzienników zdarzeń mogą odczytywać dzienniki zdarzeń z komputera lokalnego.

Członkowie grupy Goście mają domyślnie takie same prawa dostępu jak członkowie grupy Użytkownicy, z wyjątkiem konta Gość, które jest objęte dodatkowymi ograniczeniami.

Członkowie grupy Operatorzy konfiguracji sieci. Członkowie tej grupy mogą mieć niektóre uprawnienia administracyjne w celu zarządzania konfiguracją funkcji sieciowych.Użytkownik standardowy może tworzyć nowe połączenia sieciowe, ale może je zapisywać wyłącznie na własny użytek. Aby umożliwić komuś wykonywanie zadań konfiguracji, a jednocześnie nie udzielać mu uprawnień administratora, wystarczy dodać go do grupy Operatorzy konfiguracji sieci.

Członkowie grupy Operatorzy kopii zapasowych czyli użytkownicy należący do tej grupy mogą tworzyć i odtwarzać kopie zapasowe niezależnie od posiadanych uprawnień do plików i folderów. Grupa ta powinna zawierać wyłącznie konta osób odpowiedzialnych za wykonywanie kopii zapasowych.

Członkowie grupy Operatorzy kryptograficzni. Członkowie mają autoryzację do wykonywania operacji kryptograficznych.

Członkowie grupy Użytkownicy dzienników wydajności. Członkowie tej grupy mogą planować rejestrowanie liczników wydajności, włączać dostawców śledzenia i zbierać wyniki śledzenia zdarzeń, zarówno lokalnie, jak i za pomocą dostępu zdalnego do tego komputera. Użytkownicy kont z grup zwykłych użytkowników mogą: otwierać raporty wydajności i zmieniać ustawienia wyświetlania w trakcie przeglądania historycznych danych w Monitorze wydajności oraz używać Monitora niezawodności natomiast Użytkownicy dzienników wydajności mogą korzystać z uprawnień analogicznie do grupy użytkowników oraz przeglądać dane Monitora wydajności w czasie rzeczywistym i zmieniać sposób ich wyświetlania.

Użytkownicy DCOM - członkowie tej grupy mogą uruchamiać obiekty Distributed COM (DCOM), uaktywniać je i korzystać z nich.

IIS_IUSRS - członkowie tej grupy mogą pracować ze zdalnym serwerem Internet Information Server.

Replikator. Członkowie grupy Replikator mogą obsługiwać replikację plików w domenie, stacji roboczej lub serwerze.

Członkowie grupy Użytkownicy monitora wydajności. Członkowie tej grupy mogą zdalnie i lokalnie uzyskiwać dostęp do danych liczników wydajności.

Grupa Użytkownicy zaawansowani posiada mniejsze prawa do systemu niż grupa Administratorzy, ale większe niż grupa Użytkownicy. Domyślnie członkowie tej grupy posiadają uprawnienia odczytu i zapisu do większości katalogów systemu operacyjnego. Użytkownicy zaawansowani mogą wykonywać wiele operacji konfigurujących system takich jak zmiana czasu systemowego, ustawień wyświetlania, tworzenie kont użytkowników i udostępnianie zasobów. Osoby należące do grupy Użytkownicy zaawansowani mogą instalować większość oprogramowania, jednakże może dojść do sytuacji, kiedy uprawnienia tej grupy będą niewystarczające. Nie mogą natomiast modyfikować grup Administratorzy i Operatorzy Kopii Zapasowych, oraz tworzyć kopii zapasowych folderów i odtwarzać folderów z kopii zapasowych

Członkowie grupy Użytkownicy pulpitu zdalnego, uużytkownicy kont należących do tej grupy mogą logować się zdalnie.

Wbudowanych grup lokalnych nie można usuwać - próba usunięcia takiej grupy powoduje wypisanie komunikatu o błędzie.

Grupy domenowe

Grupy w Active Directory Domain Services (AD DS) są obiektami katalogu. Grupy możemy przyporządkować do domeny a także do dowolnej jednostki organizacyjnej. Po instalacji AD DS zostaje utworzony zbiór grup domyślnych ale nic nie stoi na przeszkodzie aby utworzyć sobie własne grupy.

Głównymi aspektami przemawiającymi za stosowaniem zasad grupy jest:

- - uproszczenie administracji dzięki zgrupowaniu kont, którym chcemy przydzielić takie same prawa np. dostęp do katalogu, podaną operację wykonujemy tylko raz, omijamy w ten sposób czynność związaną z przypisywaniem uprawnień indywidualnym użytkownikom. Takie nadanie uprawnień daje taki sam dostęp do zasobu dla wszystkich członków grupy. Czyli mówiąc wprost po co nadawać uprawnienia poszczególnym użytkownikom jak można je nadać grupie i następnie do grupy dodać poszczególnych użytkowników,
  - nowi członkowie dodawani do grupy, której przydzielono określone uprawnienia uzyskują takie same prawa jak grupa,
  - tworzenie list dystrybucyjnych poczty elektronicznej.

Grupy tworzone na kontrolerach domeny nazywane są grupami domenowymi i stosują się do nich następujące reguły:

- - Grup domenowych używa się do nadawania praw dostępu do zasobów i operacji na dowolnym komputerze należącym do domeny
  - Informacja a o grupach domenowych umiejscowiona jest w bazie Active Directory
  - Grupy domenowe dzielone są ze względu na typ - grupy bezpieczeństwa i grupy dystrybucyjne, oraz ze względu na zakres, zasięg (scope) - lokalne grupy domenowe, globalne grupy domenowe i uniwersalne grupy domenowe
  - Zasoby, do których nadawane są prawa grupom domenowym, nie muszą znajdować się na kontrolerze domeny, lecz mogą być umiejscowione na dowolnym komputerze należącym do tej domeny
  - Oprócz wymienionych wyżej rodzajów grup domenowych istnieją jeszcze tak zwane grupy specjalne. Do grup tych użytkownicy nie są przypisywani przez administratora lub innego uprawnionego użytkownika, lecz należą do nich domyślnie, lub stają się ich członkami poprzez wykonywanie określonych operacji. Np. z chwilą poprawnego zalogowania do domeny, użytkownik staje się członkiem grupy specjalnej Uwierzytelnieni użytkownicy (Authenticated Users). Przykłady innych grup specjalnych to Everyone i Domain Users. Grupy specjalne nie są widoczne w oknie programu Active Directory Users and Computers. Można im nadawać uprawnienia do zasobów, nie można natomiast zmieniać ani odczytywać przynależności użytkowników do grup specjalnych.

Grupy domyślne

Grupy domyślne są predefiniowanymi grupami zabezpieczeń tworzonymi automatycznie podczas instalacji domeny Active Directory. Grupom tym na starcie określono zestaw praw i przywilejów dzięki temu członkowie tych grup mogą wykonywać czynności związane z administracją domeny.

Rysunek 1 Grupy domyślne

Dodanie użytkownika do grupy powoduje uzyskanie przez niego:

- - wszystkich praw przypisanych do grupy
  - wszystkich uprawnień, która grupa ma nadane do współdzielonych zasobów

Grupy domyślne znajdują się w dwóch lokalizacjach a mianowicie w kontenerze Builtin (zasięg lokalnej domeny nie może być zmieniony ani typ grupy), druga lokalizacja to kontener Users (zasięg części grup globalny a części lokalny w domenie, można zmienić ich lokalizację przenosząc do innych jednostek organizacyjnych ale tylko w obrębie domeny).

Grupy w kontenerze Builtin
(http://technet.microsoft.com/pl-pl/library/cc756898%28v=ws.10%29.aspx)

Grupa	Opis	Domyślne prawa w systemie
Account Operator - Operatorzy kont	Członkowie tej grupy mogą tworzyć, modyfikować i usuwać konta użytkowników, grup, i komputerów znajdujących się w kontenerach Users, Computers i innych jednostkach organizacyjnych z wyłączeniem jednostki Domain Controllers. Członkowie tej grupy nie mają uprawnień do do modyfikowania grup Administrators i Domain Admin oraz nie mogą usuwać kont będącymi członkami tych grup. Mogą logować się lokalnie do kontrolerów domeny i mogą je wyłączać. Ponieważ grupa ta posiada znaczne możliwości należy dodawać do niej tylko zaufanych użytkowników.	Zezwalanie na logowanie lokalne; Zamykanie systemu.
Administrators - Administratorzy	Członkowie tej grupy mają pełną kontrolę nad wszystkimi kontrolerami w domenie. Do grupy tej domyślnie należą grupy Domain Admins i Enterprie Admins oraz konto użytkownika Administrator. Ponieważ grupa ta posiada pełną kontrolę w domenie należy dodawać do niej tylko zaufanych użytkowników	Uzyskiwanie dostępu do tego komputera z sieci; Dopasowywanie przydziałów pamięci dla procesu; Wykonywanie kopii zapasowych plików i katalogów; Pomijanie sprawdzania przechodzenia; Zmienianie czasu systemowego; Tworzenie pliku stronicowania; Debugowanie programów; Ufanie kontom komputerów i użytkowników w kwestii delegowania; Wymuszanie zamknięcia systemu z systemu zdalnego; Podwyższanie priorytetu w harmonogramie; Ładowanie i zwalnianie sterowników urządzeń; Zezwalanie na logowanie lokalne; Zarządzanie dziennikiem inspekcji i zabezpieczeń; Modyfikowanie wartości środowiskowych oprogramowania układowego; Profilowanie pojedynczego procesu; Profilowanie wydajności systemu; Wyjmowanie komputera ze stacji dokującej; Przywracanie plików i katalogów; Zamykanie systemu; Przejmowanie na własność plików lub innych obiektów.
Backup Operators - Operatorzy kopii zapasowych	Członkowie tej grupy mogą robić kopię bezpieczeństwa plików i ją odtwarzać na wszystkich kontrolerach w domenie niezależnie od indywidualnych uprawnień przypisanych do tych plików. Grupa ta może również logować do kontrolera domeny i go wyłączyć. Nie posiada domyślnych członków. Ponieważ grupa ta posiada duże prawa na kontrolerach domeny należy dodawać do niej tylko zaufanych użytkowników.	Wykonywanie kopii zapasowych plików i katalogów; Zezwalanie na logowanie lokalne; Przywracanie plików i katalogów; Zamykanie systemu.
Guest - Goście	Domyślnie członkiem jej jest grupa Domain Guest oraz konto Guest (domyślnie wyłączone)	Nie posiada domyślnych praw
Incoming Forest Trust Builders -Konstruktorzy przychodzącego zaufania lasu (pojawia się tylko w domenie katalogu głównego lasu)	Członkowie tej grupy mogą tworzyć jednokierunkowe, przychodzące relacje zaufania do głównej domeny w lesie. Na przykład członkowie tej grupy znajdujący się w lesie A mogą utworzyć jednokierunkowe zaufanie lasu przychodzące z lasu B. To jednokierunkowe, przychodzące zaufanie lasu umożliwia użytkownikom w lesie A uzyskiwanie dostępu do zasobów w lesie B. Członkowie tej grupy mają przypisane uprawnienie Tworzenie przychodzącego zaufania lasu w domenie katalogu głównego lasu. Ta grupa nie ma członków domyślnych.	Nie posiada domyślnych praw
Network Configuration Operators - Operatorzy konfiguracji sieci	Członkowie tej grupy mogą zmieniać ustawienia TCP/IP oraz odnawiać i usuwać adres IP na kontrolerach w domenie. Grupa nie ma domyślnych członków	Nie posiada domyślnych praw
Performance Monitor User - Użytkownicy monitora wydajności	Członkowie tej grupy mogą lokalnie lub zdalnie monitorować liczniki wydajności na kontrolerach domeny nie będąc członkami grup Administrators lub Performance Log Users	Nie posiada domyślnych praw
Performance Log Users - Użytkownicy dzienników wydajności	Członkowie tej grupy mogą lokalnie lub zdalnie zarządzać licznikami wydajności na kontrolerach domeny nie będąc członkami grupy Administrators	Nie posiada domyślnych praw
Pre-Windows 2000 Compatible Access - Dostęp zgodny z systemami starszymi niż Windows 2000	Członkowie tej grupy moją prawo czytania wszystkich użytkowników i grup w domenie. Grupa ta jest używana w celu zachowania wstecznej kompatybilności z systemami Windows NT 4.0 i wcześniejszymi	Uzyskiwanie dostępu do tego komputera z sieci; Pomijanie sprawdzania przechodzenia.
Print Operators -Operatorzy drukowania	Członkowie tej grupy mogą zarządzać, tworzyć, współdzielić i usuwać drukarki przyłączone do kontrolerów domeny. Mogą również zarządzać obiektami drukarek w AD. Posiadają również prawo do lokalnego logowania się do kontrolera domeny i do jego wyłączenia. Nie posiada domyślnych członków. Ponieważ grupa ta może instalować i odinstalowywać sterowniki urządzeń na kontrolerach domeny, należy dodawać do niej tylko zaufanych użytkowników.	Zezwalanie na logowanie lokalne; Zamykanie systemu.
Remote Desktop User - Użytkownicy pulpitu zdalnego	Członkowie tej grupy mogą zdalnie logować się do kontrolerów domeny. Nie posiada domyślnych członków	Nie posiada domyślnych praw
Replicator - Replikator	Grupa ta wspiera replikację katalogu i jest używana na kontrolerach domeny przez usługę File Replication. Nie posiada domyślnych członków. Nie dodaje się użytkowników do tej grupy.	Nie posiada domyślnych praw
Server Operators - Operatorzy serwerów	Członkowie tej grupy mogą na kontrolerach domeny logować się interakcyjnie, tworzyć i usuwać udostępnione zasoby, uruchamiać i zatrzymywać niektóre usługi, robić backup i go odtwarzać, formatować twardy dysk i wyłączać serwer. Nie posiada domyślnych członków. Ponieważ grupa ta posiada duże prawa na kontrolerach domeny należy dodawać do niej tylko zaufanych użytkowników.	Wykonywanie kopii zapasowych plików i katalogów; Zmienianie czasu systemowego; Wymuszanie zamknięcia systemu z systemu zdalnego; Zezwalanie na logowanie lokalne; Przywracanie plików i katalogów; Zamykanie systemu.
Users - Użytkownicy	Członkowie tej grupy mogą wykonywać najbardziej typowe zadanie jak uruchamianie aplikacji, używanie lokalnych i sieciowych drukarek, zablokowanie serwera. Domyślnie członkami są grupy Domain Users, Authenticated Users i Interactive. Dodatkowo każde konto użytkownika tworzone w domenie jest członkiem tej grupy.	Nie posiada domyślnych praw

Grupy w kontenerze Users
(http://technet.microsoft.com/pl-pl/library/cc756898%28v=ws.10%29.aspx)

Grupa	Opis	Domyślne prawa w systemie
Cert Publisher - Wydawcy certyfikatów	Członkowie tej grupy są uprawnieni do publikowania certyfikatów dla użytkowników i komputerów. Nie posiada domyślnych członków	Nie posiada domyślnych praw
DnsAdmins ( jest instalowana z usługą DNS)	Członkowie tej grupy mają administracyjny dostęp do usługi serwera DNS. Nie posiada domyślnych członków.	Nie posiada domyślnych praw
DnsUpdateProxy ( jest instalowana z usługą DNS)	Członkowie tej grupy są klientami DNS, mogącymi dokonywać dynamicznych aktualizacji w imieniu innych klientów jak np. serwery DHCP. Nie posiada domyślnych członków.	Nie posiada domyślnych praw
Domain Users - Użytkownicy domeny	Grupa ta zawiera wszystkich domenowych użytkowników. Domyślnie, każde konto użytkownika tworzone w domenie staje się członkiem tej grupy automatycznie. Może być użyta do reprezentowania wszystkich użytkowników w domenie.	Nie posiada domyślnych praw
Domain Computers - Komputery domeny	Grupa ta zawiera wszystkie stacje robocze i serwery przyłączone do domeny. Domyślnie każde stworzone konto komputera jest automatycznie członkiem tej grupy.	Nie posiada domyślnych praw
Domain Controllers - Kontrolery domen	Grupa ta zwiera wszystkie kontrolery domeny w domenie.	Nie posiada domyślnych praw
Domain Guest - Goście domeny	Grupa ta zawiera wszystkich domenowych gości	Nie posiada domyślnych praw
Domain Admins - Administratorzy domeny	Członkowie tej grupy mają pełną kontrolę nad domeną. Domyślnie, grupa ta jest członkiem grupy Administrators na wszystkich kontrolerach domeny, stacjach roboczych i serwerach członkowskich w czasie, gdy są przyłączone do domeny. Domyślnie konto Administrators jest członkiem tej grupy. Ponieważ grupa ta posiada pełną kontrolę w domenie należy dodawać do niej tylko zaufanych użytkowników.	Uzyskiwanie dostępu do tego komputera z sieci; Dopasowywanie przydziałów pamięci dla procesu; Wykonywanie kopii zapasowych plików i katalogów; Pomijanie sprawdzania przechodzenia; Zmienianie czasu systemowego; Tworzenie pliku stronicowania; Debugowanie programów; Ufanie kontom komputerów i użytkowników w kwestii delegowania; Wymuszanie zamknięcia systemu z systemu zdalnego; Podwyższanie priorytetu w harmonogramie; Ładowanie i zwalnianie sterowników urządzeń; Zezwalanie na logowanie lokalne; Zarządzanie dziennikiem inspekcji i zabezpieczeń; Modyfikowanie wartości środowiskowych oprogramowania układowego; Profilowanie pojedynczego procesu; Profilowanie wydajności systemu; Wyjmowanie komputera ze stacji dokującej; Przywracanie plików i katalogów; Zamykanie systemu; Przejmowanie na własność plików lub innych obiektów.
Enterprise Admin - Administratorzy przedsiębiorstwa (pojawia się tylko w głównej domenie lasu)	Członkowie tej grupy maja pełną kontrolę nad wszystkimi domenami w lesie. Domyślnie grupa ta jest członkiem grupy Administrators na wszystkich kontrolerach domen w lesie. Domyślnie konto Administrators jest członkiem tej grupy. Ponieważ grupa ta posiada pełną kontrolę w lesie należy dodawać do niej tylko zaufanych użytkowników	Uzyskiwanie dostępu do tego komputera z sieci; Dopasowywanie przydziałów pamięci dla procesu; Wykonywanie kopii zapasowych plików i katalogów; Pomijanie sprawdzania przechodzenia; Zmienianie czasu systemowego; Tworzenie pliku stronicowania; Debugowanie programów; Ufanie kontom komputerów i użytkowników w kwestii delegowania; Wymuszanie zamknięcia systemu z systemu zdalnego; Podwyższanie priorytetu w harmonogramie; Ładowanie i zwalnianie sterowników urządzeń; Zezwalanie na logowanie lokalne; Zarządzanie dziennikiem inspekcji i zabezpieczeń; Modyfikowanie wartości środowiskowych oprogramowania układowego; Profilowanie pojedynczego procesu; Profilowanie wydajności systemu; Wyjmowanie komputera ze stacji dokującej; Przywracanie plików i katalogów; Zamykanie systemu; Przejmowanie na własność plików lub innych obiektów.
Group Policy Creator Owner -Twórcy -właściciele zasad grupy	Członkowie tej grupy mogą modyfikować zasady grup (GPO) w domenie. Domyślnie konto Administrators jest członkiem tej grupy. Ponieważ grupa ta posiada znaczące prawa w domenie należy dodawać do niej tylko zaufanych użytkowników.	Nie posiada domyślnych praw
IIS_WPG (instalowana z IIS)	Grupa procesu roboczego Internet Information Services (IIS).	Nie posiada domyślnych praw
RAS and IAS Servers - Serwery RAS i IAS	Serwery w tej grupie mają dostęp do właściwości zdalnego dostępu użytkowników	Nie posiada domyślnych praw
Schema Admins - Administratorzy schematu (pojawia się tylko w głównej domenie lasu)	Członkowie tej grupy mogą modyfikować schemat Active Directory. Domyślnie członkiem tej grupy jest konto Administrators. Ponieważ grupa ta posiada znaczące prawa w lesie należy dodawać do niej tylko zaufanych użytkowników.	Nie posiada domyślnych praw

Cechy charakterystyczne grup w usłudze Active Directory zależą od poziomu funkcjonalności domeny. Poziomy funkcjonalności domeny umożliwiają włączanie funkcji, które wpływają na całą domenę i tylko na tę domenę. Dostępnych jest pięć poziomów funkcjonalności domeny: mieszany systemu Microsoft Windows 2000, macierzysty systemu Windows 2000, Microsoft Windows Server 2003, Microsoft Windows Server 2008, Microsoft Windows Server 2008 R2

W poniższej tabeli opisano funkcje działające w całej domenie, które są włączone dla poziomów funkcjonalności domeny usług domenowych w usłudze AD systemu Windows Server 2008 R2. (http://technet.microsoft.com/pl-pl/library/cc771294.aspx)

Poziom funkcjonalności domeny	Włączone funkcje
Windows 2000 mieszany	Wyłączone narzędzie do zmiany nazwy kontrolera domeny. Wyłączona opcja lokalizacji kont użytkowników i komputerów. Wyłączona opcja lokalizacji kont użytkowników i komputerów. Wyłączone hasło użytkownika dla obiektu InetOrgPerson. Grupy uniwersalne - Włączone dla grup dystrybucyjnych. Wyłączone dla grup zabezpieczeń. Zagnieżdżanie grup - Włączone dla grup dystrybucyjnych. Wyłączone dla grup zabezpieczeń, z wyjątkiem grup zabezpieczeń lokalnych w domenie, które mogą zawierać jako członków grupy globalne. Wyłączone konwertowanie grup. Wyłączona historia identyfikatorów SID.
Windows 2000 lokalny (macierzysty)	Wszystkie domyślne funkcje usługi Active Directory oraz następujące funkcje: Są włączone grupy uniwersalne - zarówno dla grup dystrybucyjnych, jak i grup zabezpieczeń. Zagnieżdżanie grup. Jest włączona konwersja grup, co umożliwia konwertowanie między grupami zabezpieczeń a grupami dystrybucyjnymi. Historia identyfikatorów zabezpieczeń SID.
Windows Server 2003	Wszystkie domyślne funkcje usługi Active Directory, wszystkie funkcje poziomu funkcjonalności domeny Windows 2000 lokalny, a także następujące funkcje: Możliwość używania narzędzia do zarządzania domeną Netdom.exe w celu przeprowadzania przygotowań do zmiany nazwy kontrolera domeny. Aktualizowanie sygnatury czasowej logowania. Atrybut lastLogonTimestamp jest aktualizowany z użyciem czasu ostatniego logowania użytkownika lub komputera. Ten atrybut jest replikowany w obrębie domeny. Możliwość ustawiania atrybutu userPassword jako działającego hasła dla obiektu inetOrgPerson i obiektów użytkowników. Możliwość przekierowywania kontenerów Użytkownicy i Komputery. Domyślnie do przechowywania kont komputerów i kont grup/użytkowników są stosowane dwa dobrze znane kontenery: cn=Komputery,<katalog_główny_domeny> oraz cn=Użytkownicy,<katalog_główny_domeny>. Dzięki tej funkcji można zdefiniować nową dobrze znaną lokalizację dla tych kont. Menedżer autoryzacji może przechowywać swoje zasady autoryzacji w usługach AD DS. Jest dołączone delegowanie ograniczeń, co umożliwia aplikacjom korzystanie z bezpiecznego delegowania poświadczeń użytkowników przy użyciu protokołu uwierzytelniania Kerberos. Delegowanie można skonfigurować tak, aby było dozwolone tylko dla określonych usług docelowych. Jest obsługiwane uwierzytelnianie selektywne, co umożliwia określanie użytkowników i grup z lasu zaufanego, w przypadku których jest dozwolone uwierzytelnianie na serwerach zasobów w lesie ufającym.
Windows Server 2008	Wszystkie domyślne funkcje usługi Active Directory, wszystkie funkcje poziomu funkcjonalności domeny Windows Server 2003, a także następujące funkcje: Obsługa replikacji rozproszonego systemu plików dla woluminu SYSVOL - bardziej niezawodna i szczegółowa replikacja zawartości woluminu SYSVOL. Obsługa szyfrowania AES (Advanced Encryption Services, 128 i 256) dla protokołu uwierzytelniania Kerberos. Funkcja informacji o ostatnim logowaniu interakcyjnym. Umożliwia ona wyświetlanie czasu ostatniego pomyślnego logowania interakcyjnego dla użytkownika z informacją o stacji roboczej, z której przeprowadzono logowanie, oraz o liczbie nieudanych prób logowania od czasu ostatniego logowania. Szczegółowe zasady haseł, które pozwalają określać zasady haseł i zasady blokownia kont dla użytkowników oraz globalnych grup zabezpieczeń w domenie.
Windows Server 2008 R2	Wszystkie domyślne funkcje usługi Active Directory, wszystkie funkcje z poziomu funkcjonalności domeny systemu Windows Server 2008, a także następujące funkcje: Gwarancja mechanizmu uwierzytelniania, dzięki której informacje dotyczące typu metody logowania (karta inteligentna lub nazwa użytkownika/hasło) używanej do uwierzytelniania użytkowników domeny są umieszczane w tokenie protokołu Kerberos każdego użytkownika. Po włączeniu tej funkcji w środowisku sieciowym, w którym wdrożono infrastrukturę do federacyjnego zarządzania tożsamościami, na przykład usługi Active Directory Federation Services (AD FS), informacje zawarte w tokenie mogą być wyodrębniane za każdym razem, gdy użytkownik próbuje uzyskać dostęp do aplikacji obsługującej oświadczenia, która określa autoryzację na podstawie metody logowania użytkownika.

Poziom funkcjonalności domeny

W następującej tabeli pokazano poziomy funkcjonalności domeny i obsługiwane dla każdego z nich kontrolery domeny. (http://technet.microsoft.com/pl-pl/library/cc771294.aspx)

Poziom funkcjonalności domeny	Obsługiwane kontrolery domeny
Windows 2000 mieszany	System Windows NT 4.0 Windows 2000 Systemy z rodziny Windows Server 2003 Windows Server 2008 Windows Server 2008 R2
Windows 2000 macierzysty	Windows 2000 Systemy z rodziny Windows Server 2003 Windows Server 2008 Windows Server 2008 R2
Windows Server 2003	Systemy z rodziny Windows Server 2003 Windows Server 2008 Windows Server 2008 R2
Windows Server 2008	Windows Server 2008 Windows Server 2008 R2
Windows Server 2008 R2	Windows Server 2008 R2

Gdy poziom funkcjonalności domeny zostanie podniesiony, do domeny nie będzie można wprowadzać kontrolerów domeny z systemami operacyjnymi w wersjach wcześniejszych. Na przykład, jeśli poziom funkcjonalności domeny zostanie podniesiony do poziomu systemu Windows Server 2008 R2, nie będzie można dodawać do takiej domeny kontrolerów domeny z systemem Windows Server 2008.

Zasięg grup

Zasięg grupy określa nam obszar działania danej grupy, część grup może być użyta tylko w domenie lecz są takie, których obszar działania obejmuje cały las. Zasięg grupy ma wpływ na członków danej grupy a także ma wpływ na zagnieżdżanie (łączenie grup w grupy) samych grup. Dostępne są grupy o trzech zasięgach: domenowa grupa lokalna, globalna i uniwersalna.

Domenowe grupy lokalne

Członkami grup domenowych lokalnych mogą być inne grupy oraz konta z domen Windows Server. Grupy te jak sama nazwa mówi, ograniczają się do działania w domenie a nadawane uprawnienia ograniczają się do zasobów znajdujących się w domenie. Tak więc grupy o zasięgu domenowym lokalnym pomagają definiować i zarządzać dostępem do zasobów w pojedynczej domenie.

Członkami tych grup mogą być:

- - grupy o zasięgu globalnym,
  - grupy o zasięgu uniwersalnym,
  - konta,
  - inne grupy o zasięgu domenowym lokalnym,
  - kombinacja powyższych.

Można to zilustrować takim o to przykładem: naszym zadaniem jest dać dostęp do zasobu sieciowego kilku użytkownikom, możemy to wykonać dodając ich do listy uprawnień danego zasobu pozwalając im np. na zapis w danym katalogu. Operacja dodawania kolejnych użytkowników wymusi na nas ponowne wylistowanie uprawnień tego zasobu i dodanie nowych użytkowników do tej listy. Problematyczna również będzie operacja w której tym samy użytkownikom będziemy chcieli dać uprawnienie do innego zasobu np. będziemy chcieli dać im możliwość drukowania. Sprowadzi się to do tego, że ponownie będzie trzeba przypisać te konta do listy uprawnień drukarki.

Wykorzystując zalety strategii grup powyższe zadanie można by było zrealizować poprzez utworzenie grupy o zasięgu domenowym lokalnym i przypisując wszystkie uprawnienia do tej grupy. Następnie umieścić w niej wszystkie konta użytkowników mających prawo do tego zasobu, później dodawanie kolejnych użytkowników sprowadza się tylko do dodania ich kont do tej grupy a odpowiednie uprawnienia zostaną przypisane do użytkowników. Natomiast jeśli chcemy dać użytkownikom prawo do korzystania z drukarki należy tylko do listy uprawnień obiektu jakim jest drukarka dodać utworzoną grupę.

Grupy o zasięgu globalnym

Grupy globalne są głównie używane do udostępniania klasyfikowanego członkostwa w lokalnych grupach domeny dla pojedynczych podmiotów zabezpieczeń lub dla bezpośredniego przypisania uprawnień (w szczególności dla domen o mieszanym bądź tymczasowym poziomic funkcjonalności). Grupy globalne są często używane do gromadzenia użytkowników lub komputerów tej samej domeny i współdzielących takie same zadania, role bądź funkcje więc do grup globalnych należą konta oraz inne grupy lecz tylko z domeny w której dana grupa globalna została zdefiniowana. Czyli można dodać do grupy globalnej utworzonej w np. domenie FiliaWarszawa konto Jan Kowalski z tej domeny lecz już niemożliwe jest dodanie konta Beata Tryla znajdującego się w domenie FiliaPoznan. Grupy te mogą mieć nadane uprawnienia w każdej domenie w lesie.

Wskazane jest, aby grup globalnych używać do codziennego zarządzania obiektami katalogu, takimi jak konta użytkowników i komputerów. Ponieważ grupy globalne nie są replikowane poza własną domenę, można często zmieniać listę ich członków bez generowania ruchu związanego z replikacją katalogu globalnego.

Grupy globalne:

- - Istnieją we wszystkich domenach i lasach o mieszanym, tymczasowym bądź macierzystym poziomie funkcjonalności.
  - Mogą mieć członków, którzy znajdujących się w tej samej domenie.
  - Mogą być członkiem lokalnej grupy komputera lub domeny.
  - Mogą mieć uprawnienia w dowolnej domenie (wliczając w to zaufane domeny innych lasów i domeny systemów wcześniejszych niż Windows 2003)
  - Mogą zawierać inne grupy globalne (oprócz poziomu funkcjonalności domeny Windows 2000 mieszany)

Grupa o zasięgu uniwersalnym

Do grup uniwersalnych mogą należeć inne grupy oraz konta z dowolnej domeny w lesie oraz grupom tym można przypisać uprawnienia w każdej domenie w lesie. Czyli w praktyce grup o zasięgu uniwersalnym używa się tam gdzie występuje potrzeba połączenia grup z różnych domen. Najczęściej strategia łączenia grup przebiega w ten sposób, że w pierwszej kolejności są tworzone grupy zasięgu globalnym a te z kolei są zagnieżdżane w grupach uniwersalnych. Zaletą tej strategii jest to, że zmiana, która jest dokonywana w grupie globalnej nie ma wpływu na grupę uniwersalną.

Grupy uniwersalne są stosowane w praktyce dla dużych lasów domen dzięki temu, że grupy uniwersalne z całego lasu mogą być przechowywane na specjalnych serwerach przechowująch tak zwane wykazy globalne (Global Catalog). Ma to na celu skrócenie zdarzeń logowania i dostepu do zasobów w sytuacji gdy nasza organizacja ma infrastrukturę AD połączoną łączami WAN w kilku miastach lub państwach.

Grupy uniwersalne mogą być pomocne przy przedstawianiu i konsolidacji grup, które obejmują kilka domen oraz przy wykonywaniu wspólnych zadań w obrębie przedsiębiorstwa. Przydatną wskazówką może być wyznaczenie rzadko zmieniających się grup używanych w dużym zakresie, jako grup uniwersalnych.

{flv}Grupy/gu_domenaup/gu_domenaup{/flv}

Grupa uniwersalna i podniesienie poziomu domeny

Typy grup

Istnieją dwa typy grup: dystrybucyjne i zabezpieczeń.

Grupy dystrybucyjne są używane w aplikacjach e-mail, takich jak program Microsoft Exchange, podczas wysyłania wiadomości e-mail do grupy użytkowników. Głównym celem tego typu grupy jest gromadzenie obiektów pokrewnych, a nie udzielanie uprawnień. Grupy dystrybucyjne nie obsługują zabezpieczeń, dlatego nie mogą służyć do przypisywania uprawnień i nie są wyświetlane na poufnych listach kontroli dostępu (ang. Discretionary Access Control Lists). Jeśli jest potrzebna grupa służąca do kontroli dostępu do zasobów udostępnionych, należy utworzyć grupę zabezpieczeń.

Grupy zabezpieczeń za pomocą tych grup można przypisać prawa i uprawnienia użytkownika do grup użytkowników i komputerów. Prawa służą do określania czynności, jakie członkowie grupy zabezpieczeń mogą wykonać w domenie lub lesie, a uprawnienia służą do określenia zasobów sieciowych, do których może uzyskać dostęp członek grupy.

Przy użyciu grup zabezpieczeń można również wysłać wiadomości e-mail do wielu użytkowników. Wysyłanie wiadomości e-mail do grupy polega na wysyłaniu wiadomości do wszystkich członków tej grupy. Z tego względu grupy zabezpieczeń mogą służyć jako grupy dystrybucyjne.

Nawet jeśli grupy zabezpieczeń mają wszystkie funkcje grup dystrybucyjnych, to grupy dystrybucyjne są nadal potrzebne, ponieważ niektóre aplikacje mogą korzystać wyłącznie z tego typu grup.

Korzystając z grup zabezpieczeń można:

- - Przypisywać prawa w AD DS. Prawa użytkownika są tylko przywilejem grup zabezpieczeń czyli używaj ich gdy zależy ci na określeniu praw użytkownika bądź grupy w domenie/lesie.
  - Przypisywać uprawnienia do zasobów. Określają one, kto ma do czego dostęp i co może wykonać, np. Write lub Full Control. Domyślne grupy zabezpieczeń mają część uprawnień do obiektów w domenie nadane automatycznie (tabele powyżej).
  - Podobnie jak grupy dystrybucyjne, grupy zabezpieczeń również mogą być użyte, jako listy e-mail. Wysyłając wiadomość e-mail do grupy, zostanie on wysłany do wszystkich jej członków.

Grupy specjalne

W Microsoft Windows Server 2008, oprócz grup znajdujących się w kontenerach Users i Builtin istnieją grupy specjalne (tożsamości specjalne), nieposiadające typowych list członków, które można by modyfikować. Mogą one reprezentować różnych użytkowników w różnym czasie w zależności od ich aktywności.

- - Anonymous Logon {Logowanie anonimowe) - grupa ta dotyczy użytkowników, którzy korzystają z zasobów sieci z pominięciem procesu uwierzytelnienia czyli bez użycia nazwy konta, hasła i nazwy domeny.
  - Everyone (Wszyscy) - grupa reprezentuje wszystkich bieżących użytkowników sieci, włączając w to gości i użytkowników z innych domen. Zawsze, kiedy użytkownik loguje się do sieci jest automatycznie dodawany do tej grupy.
  - Network (Sieć) - grupa reprezentuje użytkowników, którzy uzyskują dostęp do zasobu poprzez sieć w przeciwieństwie do użytkowników, którzy korzystają z tego zasobu po uprzednim lokalnym zalogowaniu się do komputera, na którym jest udostępniony dany zasób. Kiedy użytkownik uzyskuje dostęp do zasobu w sieci jest automatycznie dodawany do tej grupy.
  - Interactive (Interakcyjni) - reprezentuje użytkowników zalogowanych lokalnie i uzyskujących dostęp do zasobu na tym komputerze. Zawsze, gdy użytkownik uzyskuje dostęp do zasobu na komputerze, na którym się lokalnie zalogował, jest automatycznie dodawany do tej grupy Interactive.
  - Authenticated Users (Użytkownicy uwierzytelnieni) - zawiera wszystkich użytkowników, którzy zostali uwierzytelnieni w sieci za pomocą ważnego konta użytkownika. Podczas przydzielania uprawnień, grupę Authenticated Users można używać zamiast grupy Everyone, dzięki czemu zabroniony zostanie anonimowy dostęp do zasobów.
  - Creator Owner (Twórca właściciel) - Grupa Creator Owner dotyczy użytkowników, którzy utworzyli lub są właścicielami zasobu. Przykładowo, jeśli użytkownik utworzył zasób, ale administrator stał się właścicielem tego zasobu, to administrator stanie się członkiem grupy Creator Owner.
  - Dialup - Grupa Dialup zawiera użytkowników, którzy połączyli się z siecią za pomocą łącza telefonicznego.

Grupy specjalne mogą być wykorzystywane do przypisywania praw użytkownika i uprawnień, lecz lista członków nie może być modyfikowana ani wyświetlana. Zasięg grupy nie dotyczy tożsamości specjalnych.

Tworzenie grup

W AD DS grupy są tworzone w domenach. Można do tego wykorzystać przystawkę Active Directory Users and Computers oraz narzędzie wiersza poleceń. Posiadając odpowiednie uprawnienia grupy można tworzyć w dowolnym miejscu struktury AD.

Active Directory Users and Computers - w konsoli należy wybrać jednostkę organizacyjną, w której ma zostać utworzone konto i z menu kontekstowego uruchomić polecenie New następnie Group. W oknie New Object - Group podajemy nazwę grupy, oraz wybieramy jej zasięg i typ.

Rysunek 2 Tworzenie grupy

Podobnie jak podczas zakładania nowego konta użytkownika, również w przypadku grup należy podać dwie nazwy, właściwą oraz nazwę systemów starszych niż Windows 2000. Naturalnie zaleca się, żeby obie nazwy się nie różniły i były niezbyt długie. Następnie określamy zakres i typ grupy. Jeśli chcemy na przykład założyć konto zawierające pracowników Biura, w nazwie wpisujemy np. PracownicyBiura, a następnie zaznaczamy zakres interesujący nas zakres i typ grupy. Kliknięcie OK powoduje utworzenie grupy. Na koniec dodajemy do grupy konta użytkowników. Możemy to zrobić na dwa sposoby. Pierwszy to wybranie Właściwości grupy i naciśnięcie przycisku Dodaj na karcie Członkowie. Drugi sposób to zaznaczenie myszą przycisku CTRL kont użytkowników i wybranie menu Akcja - Dodaj do grupy. W wyświetlonym oknie wprowadzamy nazwę lub początek nazwy grupy i naciskamy OK. Wszystkie zaznaczone konta są w tym momencie umieszczane we wskazanej grupie.

Rysunek 3 Dodawanie do grupy

Dsadd group - Dodaje pojedynczą grupę do katalogu.

dsadd group nazwa_wyróżniająca_grupy [-secgrp {yes | no}] [-scope {l | g | u}] [-samid nazwa_SAM] [-desc opis] [-memberof grupa ...] [-members członek ...] [{-s serwer | -d domena}] [-u nazwa_użytkownika] [-p {hasło | *}] [-q] [{-uc | -uco | -uci}]

nazwa_wyróżniająca_grupy

Wymagana. Określa nazwę wyróżniającą grupy, który należy dodać. Jeżeli pominięto nazwę wyróżniającą, nazwa zostanie pobrana z wejścia standardowego (stdin).

-secgrp {yes | no}

Określa, czy grupa, która ma zostać dodana, jest grupą zabezpieczeń (yes), czy grupą dystrybucyjną (no). Domyślnie grupa jest dodawana jako grupa zabezpieczeń (yes).

-scope {l | g | u}

Określa, czy zakresem grupy, która ma zostać dodana, jest zakres lokalny w domenie (l), globalny (g) czy uniwersalny (u). W przypadku domeny trybu mieszanego zakres uniwersalny nie jest obsługiwany. Domyślnie ustawiany jest globalny zakres grupy.

-samid nazwa_SAM

Określa, że należy użyć nazwy SAM jako unikatowej nazwy konta SAM dla tej grupy (na przykład Operatorzy). Jeżeli ten parametr nie jest określony, zostanie wygenerowany na podstawie względnej nazwy wyróżniającej.

-desc opis

Określa opis grupy, którą należy dodać.

-memberof grupa ...

Określa grupy, do których należy dodać nową grupę.

-members członek ...

Określa członków, których należy dodać do nowej grupy.

{-s serwer | -d domena}

Ustanawia połączenie z określonym serwerem zdalnym lub z domeną. Domyślnie komputer jest łączony z kontrolerem domeny w domenie logowania.

-u nazwa_użytkownika

Określa nazwę użytkownika używaną do logowania na serwerze zdalnym. Domyślnie w parametrze -u jest stosowana nazwa użytkownika, która została użyta do zalogowania danego użytkownika.

-p {hasło | *}

Określa, że do logowania na serwerze zdalnym należy używać hasła lub znaku *. Jeżeli zostanie wpisany znak *, zostanie wyświetlony monit o podanie hasła.

Wyszukiwanie grup domeny, do których należy dany użytkownik

Usługa Active Directory umożliwia elastyczne i pomysłowe zagnieżdżanie grup, przy czym:

- - Grupy globalne mogą być zagnieżdżane w innych grupach globalnych, uniwersalnych lub lokalnych grupach domeny.
  - Grupy uniwersalne mogą być członkami innych grup uniwersalnych lub lokalnych grup domeny.
  - Lokalne grupy domeny mogą należeć do innych lokalnych grup domeny.

Elastyczność zagnieżdżania grup jest potencjalnym źródłem złożoności i bez odpowiednich narzędzi byłoby bardzo trudno dokładnie określić, do których grup należy użytkownik, czy należy bezpośrednio lub pośrednio. Na szczęście, system Windows Server został wyposażony w polecenie DSGET, za pomocą którego można rozwiązywać takie problemy.

dsget user - wyświetla różne właściwości użytkownika w katalogu.

Istnieją dwie odmiany tego polecenia. Pierwsza odmiana umożliwia wyświetlenie właściwości wielu użytkowników. Druga odmiana umożliwia wyświetlenie informacji o członkostwie grup pojedynczego użytkownika.

Składnia: dsget user <NazwaWyróżniającaUżytkownika ...> [-dn] [-samid]

[-sid] [-upn] [-fn] [-mi] [-ln] [-display] [-fnp] [-lnp] [-displayp] [-effectivepso] [-empid] [-desc] [-office] [-tel] [-email] [-hometel] [-pager] [-mobile] [-fax] [-iptel] [-webpg] [-title] [-dept] [-company] [-mgr] [-hmdir] [-hmdrv] [-profile] [-loscr] [-mustchpwd] [-canchpwd] [-pwdneverexpires] [-disabled] [-acctexpires] [-reversiblepwd] [-part <NazwaWyróżniającaPartycji> [-qlimit] [-qused]] [{-s <Serwer> | -d <Domena>}] [-u <NazwaUżytkownika>] [-p {<Hasło> | *}] [-c] [-q] [-l] [{-uc | -uco | -uci}]

dsget user <NazwaWyróżniającaUżytkownika> [-memberof [-expand]] [{-s <Serwer> | -d <Domena>}] [-u <NazwaUżytkownika>] [-p {<Hasło> | *}] [-c][-q] [-l] [{-uc | -uco | -uci}]

Parametry:

-dn	Pokazuje nazwę wyróżniającą użytkownika.
-samid	Pokazuje nazwę konta SAM użytkownika.
-sid	Pokazuje identyfikator zabezpieczeń użytkownika.
-upn	Pokazuje główną nazwę użytkownika.
-fn	Pokazuje imię użytkownika.
-mi	Pokazuje inicjał drugiego imienia użytkownika.
-ln	Pokazuje nazwisko użytkownika.
-display	Pokazuje wyświetlaną nazwę użytkownika.
-fnp	Pokazuje fonetyczny zapis imienia użytkownika.
-lnp	Pokazuje fonetyczny zapis nazwiska użytkownika.
-displayp	Pokazuje fonetyczny zapis wyświetlanej nazwy użytkownika.
-effectivepso	Pokazuje rzeczywisty obiekt ustawień hasła użytkownika.
-empid	Pokazuje identyfikator pracowniczy użytkownika.
-desc	Pokazuje opis użytkownika.
-office	Pokazuje lokalizację biura użytkownika.
-tel	Pokazuje numer telefonu użytkownika.
-email	Pokazuje adres e-mail użytkownika.
-hometel	Pokazuje domowy numer telefonu użytkownika.
-pager	Pokazuje numer pagera użytkownika.
-mobile	Pokazuje numer telefonu komórkowego użytkownika.
-fax	Pokazuje numer faksu użytkownika.
-iptel	Pokazuje numer telefonu IP użytkownika.
-webpg	Pokazuje adres URL strony sieci Web użytkownika.
-title	Pokazuje tytuł użytkownika.
-dept	Pokazuje dział użytkownika.
-company	Pokazuje informacje o firmie użytkownika.
-mgr	Pokazuje menedżera użytkownika.
-hmdir	Pokazuje katalog macierzysty użytkownika. Wyświetla literę dysku, do której jest zmapowany katalog macierzysty użytkownika (jeżeli ścieżka katalogu macierzystego jest ścieżką UNC).
-hmdrv	Pokazuje literę dysku macierzystego użytkownika (jeżeli katalog macierzysty jest ścieżką UNC).
-profile	Pokazuje ścieżkę profilu użytkownika.
-loscr	Pokazuje ścieżkę skryptu logowania użytkownika.
-mustchpwd	Pokazuje, czy użytkownik musi zmienić swoje hasło w trakcie następnego logowania. Wyświetla: tak (yes) lub nie (no).
-canchpwd	Pokazuje, czy użytkownik może zmienić swoje hasło. Wyświetla: tak (yes) lub nie (no).
-pwdneverexpires	Pokazuje, czy hasło użytkownika nigdy nie wygasa. Wyświetla: tak (yes) lub nie (no).
-disabled	Pokazuje, czy konto użytkownika jest wyłączone dla logowania czy nie. Wyświetla: tak (yes) lub nie (no).
-acctexpires	Pokazuje, kiedy wygasa konto użytkownika. Wyświetlane wartości: data wygaśnięcia konta lub ciąg "never",jeżeli konto nigdy nie wygasa.
-reversiblepwd	Pokazuje, czy jest dozwolone przechowywanie hasła użytkownika za pomocą odwracalnego szyfrowania (tak lub nie).
<NazwaWyróżniającaUżytkownika>	Wymagana. Nazwa wyróżniająca grupy do wyświetlenia.
-memberof	Wyświetla grupy, których członkiem jest użytkownik.
-expand	Wyświetla rekurencyjnie rozwiniętą listę grup, których członkiem jest użytkownik.
{-s <Serwer> \| -d <Domena>}
	-s <Serwer> łączy z kontrolerem domeny/wystąpieniem usług LDS w usłudze Active Directory o nazwie <Serwer>.
	-d <Domena> łączy z kontrolerem domeny usługi Active Directory w domenie <Domena>. Domyślnie: kontroler domeny usługi AD w domenie logowania.
-u <NazwaUżytkownika>	Podłącza jako <NazwaUżytkownika>. Domyślnie: zalogowany użytkownik. Nazwa użytkownika może być w formacie: nazwa użytkownika,domena\nazwa użytkownika lub główna nazwa użytkownika (UPN).
-p {<Hasło> \| *}	Hasło dla użytkownika <Nazwa użytkownika>. Jeżeli *, to pojawi się monit o hasło.
-c	Ciągły tryb działania: raportuje błędy, ale kontynuuje z następnym obiektem na liście argumentów, gdy określono wiele obiektów docelowych. Bez tej opcji polecenie kończy działanie po pierwszym błędzie.
-q	Tryb cichy: pomija wszystkie dane dla wyjścia standardowego.
-L	Wyświetla pozycje z zestawu wyników wyszukiwania w formacie listy. Domyślnie: format tabeli.
{-uc \| -uco \| -uci}
	-uc Określa, że dane wejściowe z potoku lub dane wyjściowe do niego są w formacie Unicode
	-uco Określa, że dane wyjściowe do potoku lub pliku w formacie Unicode.
	-uci Określa, że dane wejściowe z potoku lub pliku są w formacie Unicode.
-part <NazwaWyróżniającaPartycji>	Podłącza do partycji katalogu z nazwą wyróżniającą <NazwaWyróżniającaPartycji>.
-qlimit	Wyświetla efektywny przydział użytkownika wewnątrz określonej partycji katalogu.
-qused	Wyświetla ilość przydziału użytkownika użytego na określonej partycji katalogu

Przykład:

Wydając polecenie

dsget user cn=test,ou=proba,dc=firma,dc=local -memberof -expand

otrzymaliśmy wynik, który mówi nam do jakich grup należy użytkownik test należący do jednostki organizacyjnej proba.

"CN=grproba,OU=proba,DC=FIRMA,DC=local"

"CN=Użytkownicy domeny,CN=Users,DC=Firma,DC=local"

"CN=Użytkownicy,CN=Builtin,DC=Firma,DC=local"

Przełącznik -memberof zwraca wartość atrybutu MemberOf pokazując, do których grup użytkownik należy bezpośrednio. Poprzez dodanie przełącznika -expand, grupy te będą przeszukiwane rekurencyjnie, co utworzy pełną listę wszystkich grup, do których należy dany użytkownik domeny.

{flv}Grupy/zarz_grupy/zarz_grupy{/flv}

Zarządzanie grupami

Strategie tworzenia grup

Strategia A L P

Jest to najbardziej efektywna metoda nadawania określonych uprawnień do zasobów lub operacji na lokalnej maszynie wielu użytkownikom jednocześnie. Nazwa metody jest skrótem utworzonym z pierwszych liter angielskich słów "Account", "Local" i "Permissions". Polega na dodaniu kont użytkowników lokalnych (Accounts) do grupy lokalnej (Local) , a następnie nadaniu tej grupie określonych uprawnień (Permissions).

Strategia A G DL P- przy pojedynczej domenie

Jest to najbardziej efektywna metoda nadawania określonych uprawnień do zasobów i operacji na maszynach należących do określonej domeny. Nazwa metody jest skrótem utworzonym z pierwszych liter angielskich słów Account, Global, Domain Local i Permissions. Polega na utworzeniu i dodaniu kont użytkowników domenowych (Accounts) do grup globalnych (Global), umieszczeniu tych grup w domenowej grupie lokalnej (Domain Local), która ma uprawnienia (Permissions) do zasobów w tej domenie.

Strategia A G U DL P - przy wielu domenach

Strategia ta polega na: utworzeniu grup globalnych w każdej domenie i umieszczenie w nich użytkowników z domeny, następnie tworzymy grupy uniwersalne i przypisujemy grupy globalne z każdej domeny do uniwersalnej, tworzymy grupę lokalną domenową i przypisujemy grupę uniwersalną do lokalnej domenowej by na końcu określić odpowiedni dostęp do zasobów i uprawnienia dla grup DL

Format LDIF (Data Interchange Format) protokołu LDAP (Lightweight Directory Access Protocol) jest pierwszą wersją standardu sieci Internet dla formatu plików, które mogą być używane do przeprowadzania operacji wsadowych w usłudze katalogowej podporządkowanej standardom protokołu LDAP. Format LDIF może być stosowany do eksportu i importu danych przy przetwarzaniu wsadowym dla operacji usługi Active Directory, takich jak dodawanie i modyfikowanie. Program narzędziowy nazwany LDIFDE został dołączony do systemu Windows Server dla obsługi operacji wsadowych bazujących na standardzie formatu plików LDIF.

Program narzędziowy wiersza poleceń LDIFDE został dołączony do wszystkich wersji systemu Windows Server. Program LDIFDE można uruchamiać stosując odpowiednie przełączniki w oknie wiersza poleceń lub powłoce polecenia.

Porady praktyczne i podsumowanie

- - Istnieją dwa typy grup: grupa zabezpieczeń i grupa dystrybucji. Grupom zabezpieczeń mogą być przypisywane uprawnienia, natomiast grupy dystrybucyjne używane są w kontenerach kwerend, takich jak pocztowe grupy dystrybucyjne i do tych grup nic mogą być przydzielane uprawnienia do zasobów.
  - Dobrą praktyką jest aby wykonać zadania administracyjne korzystać z polecenia Run As (Uruchom jako).
  - Uprawnienia zabezpieczeń grup są przydzielane poprzez listę ACL, podobnie jak dla innych podmiotów zabezpieczeń, takich jak użytkownik lub komputer.
  - Należy ograniczać liczbę użytkowników w grupie Administratorzy.
  - Wskazane jest używanie grup globalnych lub uniwersalnych zamiast domenowych lokalnych przy zarządzaniu uprawnieniami do obiektów Active Directory, które są replikowane przez katalog globalny.
  - Konta użytkowników należy dodawać do grupy o najbardziej restrykcyjnych zasadach zabezpieczeń.
  - Zmiana członkostwa w grupach uniwersalnych wiąże się z replikacją pomiędzy wszystkimi katalogami globalnymi w całym lesie. Dlatego unikamy sytuacji w której na liście członków grup uniwersalnych znajdowały by się konta pojedynczych użytkowników. Stosujemy strategię A G U DL P.
  - Jeśli to możliwe, zamiast tworzyć nową grupę, lepiej jest użyć grupy wbudowanej.
  - Możliwe jest przenoszenie grup pomiędzy domenami lecz dotyczy to tylko grup o zasięgu uniwersalnym. Prawa i uprawnienia przypisane do takiej przeniesionej grupy są tracone i musza być nadane na nowo.
  - Program LDIFDE jest narzędziem dołączonym do systemu Windows Server, które umożliwia import i eksport danych do/z usługi Active Directory.
  - Jeśli dysponujemy istniejącym katalogiem danych użytkownika, program LDIFDE można wykorzystać do eksportu potrzebnych danych, a następnie do zaimportowania ich do usługi Active Directory. Ogólnie mówiąc, jest to bardziej wydajny proces niż ręczne tworzenie pojedynczo każdego elementu. Pliki CSV są przydatne, o ile dane są prawidłowo sformatowane i posiadają wszystkie wymagane elementy ułożone w odpowiedniej kolejności.
  - W celu wykorzystania w usłudze Active Directory, program LDIFDE może zostać skopiowany do systemów Windows 2000 lub Windows XP.
  - Należy tworzyć grupy dopasowane do potrzeb administracyjnych .
  - Z grup lokalnych należy korzystać na komputerze, który nie jest członkiem domeny
  - Na komputerach z uruchomionym systemem Windows NT lub wcześniejszym, grupa Anonymous Logon domyślnie jest członkiem grupy Everyone.
  - Większość praw i uprawnień użytkownika należy przydzielać grupie Użytkownicy uwierzytelnieni, a nie grupie Wszyscy.
  - Jeśli domena, w której tworzysz grupę ma skonfigurowany poziom funkcjonalności, jako Windows 2000 mixed, możesz wybrać tylko grupę typu zabezpieczeń zasięgu domenowym lokalnym lub zabezpieczeń.
  - Modyfikowanie członkostwa grupy jest realizowane za pomocą konsoli Active Directory Users And Computers (Użytkownicy i komputery usługi Active Directory).
  - Określenie członkostwa w grupie dla podmiotów zabezpieczeń jest realizowane za pomocą zakładki Members Of (Członek grupy) znajdującej się na zakładce Security (Zabezpieczenia) we Właściwościach podmiotu zabezpieczeń. Określanie członków kontenera (grupy) jest realizowane za pomocą zakładki Members (Członkowie).

BIBLIOGRAFIA

Usługa katalogowa Active Directory - Zarządzanie

2011-02-16T22:22:23+00:00

Będąc administratorem domeny obsługującej paru użytkowników czy też ich setki nie raz będziesz musiał tworzyć i zarządzać kontami użytkowników, bądź komputerów, resetować hasła czy też tworzyć profile i to jest nieuniknionne i wpisane w rolę administratora. Artykuł tłumaczy i pokazuje czym tak naprawdę jest usługa Active Directory i jak w miarę bezboleśnie i bez bólu głowy wykonywać podstawowe czynności administracyjne. A więc do lektury a w przerwach pomiędzy czytaniem zapraszam do oglądania filmików obrazujących powyższe kwestie.

Usługa katalogowa Active Directory (ang. Active Directory Domain Services) udostępnia rozproszoną bazę danych, która przechowuje i zarządza informacjami o zasobach sieci oraz danymi specyficznymi dla aplikacji potrafiących z tej bazy korzystać.

Usługa Active Directory przechowuje informacje o obiektach znajdujących się w sieci oraz umożliwia administratorom i użytkownikom łatwe znajdowanie tych informacji i korzystanie z nich. Usługa Active Directory używa magazynu danych o określonej strukturze jako podstawy dla logicznej i hierarchicznej organizacji informacji katalogowych. Ten magazyn danych, nazywany również katalogiem, zawiera informacje o obiektach usługi Active Directory. Do tych obiektów zazwyczaj należą zasoby udostępnione, takie jak serwery, woluminy, drukarki oraz konta użytkowników i komputerów w sieci. Usługą Active Directory są zintegrowane zabezpieczenia polegające na uwierzytelnianiu logowania i kontroli dostępu do obiektów w katalogu. Po jednokrotnym zalogowaniu się do sieci administratorzy mogą zarządzać danymi katalogowymi i ich organizacja w sieci, a autoryzowani użytkownicy sieci maja dostęp do zasobów znajdujących się w dowolnym miejscu sieci. Administracja oparta na zasadach ułatwia zarządzanie nawet najbardziej złożoną siecią.

Funkcje Active Directory

Usługi katalogowe pełnią następujące funkcje:

- - umożliwia scentralizowane zarządzanie zasobami naszej sieci (serwery, drukarki czy udostępnione pliki) a także przypisywanie uprawnień do tychże zasobów,
  - możliwość administracji nie tylko w obrębie sieci LAN ale także na roległych obszarach geograficznych na których mogą być rozproszone nasze komputery, serwery,
  - dzięki zapewnieniu hierarchicznej struktury bazy AD zyskujemy większe bezpieczeństwo przechowywania zasobów, którymi zarządzamy.

Logiczna struktura AD DS

Logiczna struktura Active Directory składa się z następujących elementów:

- - Obiekt - podstawowy element struktury AD. Każdy obiekt ma klasę, która jest szablonem dla typu obiektu, w klasie są zdefiniowane grupy atrybutów i możliwe wartości jakie możemy przypisać do obiektu.
  - Jednostka organizacyjna (OU) - szczególnie przydatnym typem obiektu (kontenerem) katalogu zawartym w domenie jest jednostka organizacyjna. Jednostki organizacyjne są kontenerami usługi Active Directory, w których można umieszczać użytkowników, grupy, komputery i inne jednostki organizacyjne, czyli umożliwiają one grupowanie obiektów o wspólnej administracji lub konfiguracji. Jednostki OU mają jednak większe możliwości niż organizowanie obiektów usługi Active Directory. Udostępniają ważne funkcje administracyjne - są punktem, z którego funkcje administracyjne mogą być delegowane oraz do którego odnoszone mogą być zasady grupy.
  - Domena - to grupa komputerów połączonych w sieć, składająca się z serwera pełniącego rolę kontrolera domeny a także podstawowa jednostka funkcjonalna logicznej struktury Active Directory. Domeny charakteryzuje całkowicie odmienne podejście do zarządzania siecią. Ich administracja jest uproszczona przez umieszczenie w jednej bazie informacji o kontach użytkowników, zabezpieczeniach i zasobach sieci. Za jej obsługę i udostępnianie odpowiada usługa Active Directory. Chcąc założyć domenę, należy na jednym z serwerów Windows Server 2003 lub Windows 2008 zainstalować Active Directory. Od tej pory komputer ten będzie nazywany kontrolerem domeny. Baza zasobów może być replikowana na dodatkowe serwery, dzięki czemu awaria jednego z komputerów nie prowadzi do paraliżu sieci. Drzewo domen - domeny, które są zgrupowane razem w hierarchiczna strukturę. Kiedy dodajemy następną domenę do drzewa, staje się ona "domeną dzieckiem" (ang. domain child). Domena, do której dziecko zostało przyłączone, nazywa się domeną rodzicem (ang. parent domain).

Nazwa domeny dziecka jest kombinacją jej nazwy z nazwą domeny rodzica formie nazwy Domain Name System (DNS) np. opole.firma.com Oznacza to, że drzewo posiada wspólną przestrzeń nazw DNS.

Fizyczna struktura AD DS

Do elementów tworzących fizyczną strukturę AD możemy zaliczyć:

- - Kontrolery domeny - jest to komputer w domenie, który zarządza realizacją wszystkich działań związanych z bezpieczeństwem zachodzących między użytkownikiem a domeną oraz ustala w jaki sposób użytkownicy mogą uzyskiwać dostęp, konfigurować czy korzystać z zasobów domeny, co przyczynia się do poprawienia procesu zarządzania zasobami i zabezpieczeniami. Kontroler domeny pełni rolę administratora danej domeny czy jednostki organizacyjnej w domenie np. drzewa domen, lasu. Kontroler domeny umożliwia przydzielanie uprawnień do administrowania i zarządzania obiektami w całej domenie albo w jednej lub kilku jednostkach organizacyjnych. W celu zapewnienia niezawodności działania usług czy to obsługi AD, DNS-a czy DHCP, w każdej domenie bezpiecznie jest posiadać więcej niż jeden kontroler domeny.
  - Site - w usłudze Active Directory reprezentują fizyczną strukturę sieci, czyli jej topologię. Na podstawie informacji o topologii, które są przechowywane w katalogu jako obiekty typu lokacja i łącze lokacji, usługa Active Directory konstruuje najwydajniejszą topologię replikacji. Do określania lokacji i łączy lokacji służy przystawka Lokacje i usługiActive Directory. Lokacja jest zestawem dobrze połączonych podsieci. Lokacje różnią się od domen, ponieważ reprezentują fizyczną strukturę sieci, podczas gdy domeny reprezentują logiczną strukturę organizacji.
  - Partycje Active Directory - baza danych AD jest podzielona na partycje katalogu. Wszystkie kontrolery domeny działające w obrębie jednego lasu posiadają dwie wspólne partycje katalogu: partycje konfiguracji i schematu. Dodatkowo partycja domeny jest współdzielona przez wszystkie kontrolery znajdujące się w domenie. Każdy kontroler domeny zawiera przeznaczoną do zapisu wzorcową kopię partycji usługi Active Directory dla swojej domeny, więc zmiany w partycji domeny można wprowadzić na każdym dostępnym kontrolerze domeny. W takim przypadku musi istnieć sposób powielania aktualizacji na innych kontrolerach domen po wprowadzeniu zmian na jednym kontrolerze domeny. Proces rozpowszechniania zaktualizowanych informacji na właściwe kontrolery domen nosi nazwę replikacji.
  - Partycja domeny - znajdują się w niej repliki wszystkich obiektów w domenie (użytkownicy, grupy, komputery i jednostki organizacyjne). Na inne kontrolery domen są jednak replikowane tylko zmiany na poziomie atrybutów danego obiektu; nie są replikowane całe obiekty. Prowadzi to do znacznych oszczędności w natężeniu ruchu związanego z replikacją. Partycja domeny jest replikowana tylko pomiędzy kontrolerami domeny znajdującymi się w tej samej domenie.
  - Partycja konfiguracji - zawiera informacje o topologii lokacji i replikacji oraz o partycji usług i katalogu. Dane te sa wspólne dla wszystkich domen w drzewie lub lesie. Dane konfiguracyjne są replikowane do wszystkich kontrolerów domen w lesie.
  - Partycja schematu - zawiera wszystkie typy obiektów (i ich atrybuty), które mogą zostać utworzone w Active Directory. Dane te są wspólne dla wszystkich domen w drzewie czy lesie. Przechowywane są w niej definicje klas i atrybutów dla wszystkich istniejących oraz możliwych obiektów. Partycja schematu jest replikowana do wszystkich kontrolerów domen w lesie.
  - Opcjonalna partycja aplikacji - przechowuje dane potrzebne do działania określonych aplikacji. Może ona zawierać dowolne obiekty z wyjątkiem podmiotów zabezpieczeń (użytkowników, grup i komputerów). Aby ograniczyć wpływ na wydajność sieci, administrator może zdefiniować zakres replikacji oraz skierować replikację do określonych kontrolerów domeny. Alternatywnie można traktować katalog aplikacji podobnie jak pozostałe partycje, pozwalając na replikację wszystkich danych do wszystkich kontrolerów domeny. Każda aplikacja określa sposób przechowywania, kategoryzowania i użycia wykorzystywanych przez nią informacji. W przeciwieństwie do partycji domeny. Przykładem może być DNS zintegrowany z Active Directory - korzysta z dwóch partycji aplikacji: ForestDNSZones i DomainDNSZones.

Masters Operations

Kiedy następuje zmiana dowolnego obiektu w domenie, zmiana ta musia zostać przesłana na inne kontrolery domeny czyli następuje aktualizacja obiektu inaczej replikacja pomiędzy wszystkimi kontrolerami w domenie. AD stworzono specjalnie z myślą o gromadzeniu, modyfikowaniu i usuwaniu informacji w katalogu z wielu kontrolerów domen. Technika pozwalająca na to, zwana multimaster replication (czyli z wieloma serwerami głównymi), pozwala na używanie więcej niż jednego autorytatywnego kontrolera domeny. Jeśli w jednym czasie na dwóch kontrolerach w domenie zostanie zmodyfikowany ten sam atrybut tego samego obiektu może wystąpić konflikt replikacji. Aby zapobiec wystąpieniu konfliktów replikacji stworzono mechanizm, który pozwala jednemu odpowiedzialnemu za przeprowadzenie zmian kontrolerowi domeny je wykonać. Mechanizm ten powoduje, że wprowadzane są tylko najnowsze zmiany. Mechanizm ten nosi nazwę single master replication i ma on zastosowanie do takich zmian jak dodanie nowej domeny czy do zmiany schematu.

Operacje używające single master replication są łączone razem w role (operations master roles) które odnoszą się do domeny lub lasu. Active Directory przechowuje informacje o kontrolerach domeny, które są odpowiedzialne za specyficzne role.

Active Directory definiuje pięć operations master roles, dwie związane z lasem i trzy z domeną.

Role związane z lasem:

- - Schema master - rola, która sprawuje kontrolę nad zmianami związanymi ze schematem, który zawiera listę klas obiektów i atrybutów, które są używane do tworzenia wszystkich obiektów AD takich jak użytkownicy, komputery lub drukarki.
  - Domain naming master - rola odpowiedzialna za dodawanie a także usuwanie domen w lesie. Kiedy jest tworzona nowa domena, tylko kontroler, który przechowuje tę rolę może dokonać odpowiednich wpisów w AD, dzięki temu mamy pewność, że nie dodamy domen o takich samych nazwach.
  - Istnieje tylko jeden schema master i domain namig master w całym lesie

Role związane z domeną:

- - Primary domain controller emulator (PDC) - rola która jest odpowiedzialna za zarządzanie zmianami haseł dla komputerów z systemem Windows. Dodatkowo jest odpowiedzialna za synchronizację czasu dla wszystkich kontrolerów w domenie.
  - Relative identifier master (RID) - kontroler domeny, którego zadaniem jest prawidłowa obsługa nowych podmiotów zabezpieczeń (np. konto użytkownika, grupę, komputer), przypisuje do obiektu unikalny identyfikator (SID).
  - Infrastructure master - kiedy obiekt jest przenoszony z jednej domeny do innej, rola uaktualnia obiekt odniesienia znajdujący się w domenie pierwotnej wskazujący na obiekt w nowej domenie. Obiekt odniesienia zawiera globalny unikalny identyfikator (GUID), nazwę wyróżniającą i SID.

Nazwa wyróżniająca i względna nazwa wyróżniająca

Do przeszukiwania oraz do modyfikacji obiektów zawartych w AD hosty używają mechanizmu Lightweight Directory Access Protocol (LDAP).

- - Nazwa wyróżniająca - LDAP używa nazwy określającej dany obiekt w AD czyli jest protokołem wymiany informacji pomiędzy serwerem i klientem usług katalogowych. Serwer usług katalogowych przechowuje dane teleadresowe i identyfikacyjne dotyczące użytkowników systemu komputerowego i dostępnych zasobów, pobierane następnie przez klientów w celu określania struktury sieci lub przeprowadzenia autoryzacji użytkownika. Nazwa wyróżniająca musi być unikalna w całym lesie.
  - Wględna nazwa wyróżniająca - nazwa opisująca dany obiekt w kontenerze, niedozwolona jest sytuacja w której istnieją dwa obiekty o takiej samej nazwie.

Np. dla użytkownika Jan Nowak znajdującego się w jednostce organizacyjnej Biuro w domenie Firma.local, każdy z elementów logicznej struktury jest reprezentowany przez następującą nazwę wyróżniającą:

CN="Jan Nowak",OU=Biuro,DC=Firma,dc=local

- - CN - nazwa ogólna (ang. common name) obiektu w kontenerze
  - OU - jednostka organizacyjna (ang. organizational unit) zawierająca obiekt. Jeśli obiekt znajduje się w zagnieżdżonych jednostkach to może być więcej wartości OU.
  - DC - komponent domeny (ang. domain komponent) taki jak "com", "edu" czy "local". Zawsze są przynajmniej dwa komponenty domeny, chyba, że domena jest domena podrzędną.

Do każdego obiektu w usłudze Active Directory można się odwołać przy użyciu różnych typów nazw opisujących lokalizację tego obiektu. Usługa Active Directory tworzy względną nazwę wyróżniającą i nazwę kanoniczną dla każdego obiektu na podstawie informacji podanych podczas tworzenia lub modyfikowania obiektu.

Względna nazwa wyróżniająca LDAP jednoznacznie identyfikuje obiekt znajdujący się w kontenerze nadrzędnym. Na przykład względną nazwą wyróżniającą LDAP jednostki organizacyjnej o nazwie BIURO jest OU=BIURO. Względne nazwy wyróżniające nie mogą się powtarzać w ramach jednostki organizacyjnej. Ważne jest, aby podczas tworzenia skryptów do tworzenia kwerend i zarządzania usługą Active Directory znać składnię względnej nazwy wyróżniającej LDAP.

W odróżnieniu od względnej nazwy wyróżniającej LDAP, nazwa wyróżniająca LDAP jest unikatowa globalnie. Na przykład nazwa wyróżniająca LDAP w jednostce organizacyjnej o nazwie MARKETING w domenie firma.com będzie miała postać: OU=MARKETING, DC=FIRMA, DC=COM. Względna nazwa wyróżniająca LDAP jednoznacznie identyfikuje obiekt w kontenerze nadrzędnym. Użytkownicy nigdy nie korzystają z tej nazwy, jednak administratorzy używają tej nazwy w skryptach lub w wierszu polecenia w celu dodania użytkowników do sieci. Wszystkie obiekty korzystają z tej samej konwencji nazewnictwa LDAP, dlatego wszystkie względne nazwy wyróżniające LDAP muszą być unikatowe w jednostce organizacyjnej.

Nazwa kanoniczna jest konstruowana w ten sam sposób, co nazwa wyróżniająca LDAP, ale jest reprezentowana za pomocą innej notacji. Nazwa wyróżniająca obiektu, w której obiekt główny jest zapisywany na początku nazwy. Nazwa tego typu nie zawiera tagów atrybutów LDAP (takich jak: CN=, DC=). Segmenty nazwy są rozdzielane kreskami ukośnymi (/). Na przykład nazwa kanoniczna jednostki organizacyjnej o nazwie BIURO w domenie FIRMA.COM ma postać: FIRMA.COM/BIURO. Z nazw kanonicznych korzysta się podczas używania niektórych narzędzi administracyjnych np. gdy chcemy . Służy ona do przedstawiania hierarchii w narzędziach administracyjnych.

Narzędzia do zarządzania obiektami Active Directory

Do dyspozycji administratora systemu Microsoft Windows Server jest kilka narzędzi, odpowiedzialnych za tworzenie, modyfikację i usuwanie obiektó w AD:

- Active Directory Users and Computers - Przystawka konsoli MMC, narzędzie administracyjne przeznaczone do wykonywania codziennych zadań administracyjnych usługi Active Directory. Do zadań tego typu należy m.in. tworzenie, usuwanie, modyfikowanie i przenoszenie obiektów oraz ustawianie uprawnień dotyczących obiektów przechowywanych w katalogu. Obiektami mogą być jednostki organizacyjne, użytkownicy, kontakty, grupy, komputery, drukarki i udostępniane pliki. Po jej uruchomieniu w Narzędziach administracyjnych, Panelu sterowania,ujrzymy drzewo przedstawiające obiekty użytkowników i komputerów aktualnej domeny. Jeżeli chcielibyśmy pracować na innej domenie niż aktualna możemy się podłączyć do innego kontrolera klikając prawym przyciskiem mysz na wpis Użytkownicy i komputery Active Directory i wybierając Podłącz do innego kontrolera domeny lub Podłącz do innej domeny. W narzędziu tym, po lewej stronie występują foldery:

Zapisane kwerendy - to zapisane kryteria wyszukiwania

Builtin - lista wbudowanych kont użytkowników

Computers - kontener dla kont komputerów

Domain controllers - kontener dla kontrolerów domeny

ForeignSecurityPrincipals - zawiera informacje o obiektach należących do zaufanych domen zewnętrznych

Users - kontener dla kont użytkowników

Po kliknięciu w menu Widok na Opcje zaawansowane, odsłonią się następujące foldery

LostAndFound - są tu obiekty osierocone, które można przywrócić

NTDS Quotas - informacje o przydziałach dysku dla usługi katalogowej

Program Data - informacje Active Directory w formacie dostępnym dla aplikacji Microsoft

System - wbudowane ustawienia systemu

Rysunek 1 Okno Active Directory

- Narzędzia wiersza poleceń usług katalogowych - czyli zbiór narzędzi np dsadd, dsmod, dsrm, które działają w linii poleceń cmd a odpowiedzialne za tworzenie, modyfikację i usuwanie obiektów AD. Wygodne do użycia w skryptach.

adprep - wykonuj wstępne przygotowanie domeny Windows 2000 do zainstalowania domeny Windows Serwer 2003

dsadd - dodaje do katalogów obiekty komputerów, kontaktów, grup i użytkowników oraz jednostek organizacyjnych

dsget - wyświetla właściwości obiektu podanego w parametrze wywołania

dsmod - zmienia właściwości obiektów istniejących w katalogu

dsmove - przenosi obiekt w obrębie jednej domeny lub zmienia mu nazwę

dsrm - usuwa obiekt z katalogu

dsquery - wyszukuje obiekty różnego rodzaju według podanych kryteriów

ntdsuti - umożliwia przeglądanie informacji o lokacjach, domenach i serwerach oraz wykonywanie konserwacji bazy danych Active Directory.

- Lightweight Directory Access Protocol Data Interchange Format Directory Exchange (Ldifde) narzędzie wiersza poleceń, które służy do zarządzania obiektami. W pliku wejściowym są zawarte informacje o obiekcie i akcji, jakiej należy na nim wykonać. Informacje te są przechowywane, jako serie rekordów oddzielonych pustymi liniami.
- Windows Script Host - czyli programowe środowisko interpretacji i wykonywania skryptów w systemie Windows. Za pomocą WSH można tworzyć obiekty używając aplikacji Windows lub skryptów Windows korzystając z komponentów udostępnianych przez Active Directory Service Interface (ADSI).
- Wiele programów do konfiguracji Active Directory zawarte jest w narzędziach, przykładami mogą być:

adsiedit.msc - umożliwia edycję interfejsu Active Directory dla kontenerów domen

replmon.exe - umożliwia śledzenie przebiegu replikacji w interfejsie graficznym

dsacls.exe - pozwala zarządzać listami kontroli dostępu dla obiektów w katalogu Active Directory

dnscmd.exe - pozwala na zarządzanie rekordami stref serwera DNS

movetree.exe - przenosi obiekty z jednej domeny do drugiej

repadmin - pozwala na monitorowanie replikacji i zarządzanie w trybie wiersza poleceń

sdcheck.exe - sprawdza replikacje i poprawność dziedziczenia list kontroli dostępu

sidwalker.exe - ustanawia listy kontroli dostępu dla obiektów, uprzednio należących do kont, które zostały usunięte lub wydziedziczone

netdom.exe - pozwala na zarządzanie relacjami zaufania i domenami z wiersza poleceń.

Jednostki organizacyjne

Jednostka organizacyjna to szczególnie przydatny typ obiektu usługi Active Directory znajdujący się w domenie. Przydatność jednostek organizacyjnych polega na tym, że za ich pomocą można zarządzać setkami tysięcy obiektów znajdującymi się w katalogu. Za pomocą jednostki organizacyjnej można grupować obiekty i zarządzać nimi w celu wykonania zadań administracyjnych. Jednostki organizacyjne są elementami, do których można przypisać zasady grup (GPO) lub delegować kontrolę administratorską. Wykorzystując je, można tworzyć kontenery w domenie reprezentujące hierarchiczną, logiczną strukturę organizacji. Zagnieżdżając jednostki organizacyjne w innych można modelować strukturę firmy minimalizując liczbę domen wymaganych w sieci.

Modele hierarchiczne jednostek organizacyjnych

Hierarchia funkcji uwzględnia wyłącznie funkcje biznesowe organizacji, bez wyróżniania lokalizacji geograficznych, działów czy oddziałów. Ten typ hierarchii można wybrać tylko wtedy, gdy funkcja IT nie jest przypisana do określonej lokalizacji ani organizacji.

Rozważając zorganizowanie struktury usługi Active Directory według funkcji, należy pamiętać o następujących cechach charakterystycznych takich projektów:

- - Odporność na reorganizacje. Na hierarchię funkcji nie mają wpływu reorganizacje firm ani organizacji.
  - Mogą być wymagane dodatkowe warstwy. Podczas korzystania z tej struktury może wystąpić konieczność utworzenia dodatkowych warstw w hierarchii jednostek organizacyjnych w celu przystosowania administracji użytkownikami, drukarkami, serwerami i udziałami sieciowymi.

Struktura ta jest odpowiednia tylko dla małych organizacji, ponieważ wydziały w średnich lub dużych organizacjach są często bardzo zróżnicowane i nie można ich skutecznie zgrupować w jedną szerszą kategorię.

Hierarchia organizacji uwzględnia działy i oddziały organizacji. Jeśli struktura usługi Active Directory odzwierciedla strukturę organizacyjną, delegowanie praw administracyjnych może być trudne, ponieważ obiektów w usłudze Active Directory, takich jak drukarki i udziały plików, nie można grupować w sposób ułatwiający delegację praw administracyjnych. Ponieważ struktura usługi Active Directory jest niewidoczna dla użytkowników, należy przystosować ją do potrzeb administratora, a nie użytkownika.

Hierarchia uwzględniająca lokalizacje i organizacje oraz wszelkie inne kombinacje typów struktur noszą nazwę hierarchii mieszanej. Hierarchia mieszana spełnia wymagania organizacji, łącząc w sobie zalety kilku typów struktur.

Ten typ hierarchii ma następujące cechy charakterystyczne:

- - Przystosowanie do dodatkowego zwiększenia liczby lokalizacji, działów lub oddziałów.
  - Wyraźne rozróżnienie zarządzania działem od zarządzania wydziałem.
  - Potrzeba współpracy między administratorami w celu wykonania zadań administracyjnych w sytuacji, gdy znajdują się oni w tej samej lokalizacji, ale w różnych działach lub oddziałach.

Rysunek 2 Modele hierarchiczne jednostek organizacyjnych

Delegowanie kontroli do jednostek organizacyjnych

Można delegować prawa administracyjne do poszczególnych atrybutów w pojedynczych obiektach usługi Active Directory, ale w tym celu zwykle używa się jednostek organizacyjnych. Użytkownik może mieć prawa administracyjne do wszystkich jednostek organizacyjnych w domenie lub do jednej jednostki organizacyjnej. Dzięki takiemu zabiegowi ograniczamy grupę osób mających uprawnienia do całej struktury AD ale dając im w zamian możliwość zarządzania tylko jej pewną częścią lub wybranymi funkcjami.

Kontrolę administracyjną można delegować na trzy sposoby:

- - przyznanie uprawnień do zarządzania całym kontenerem, co połączone jest z prawem modyfikacji wszystkimi obiektami znajdującymi się wewnątrz kontenera.
  - przyznanie uprawnień do zarządzania czyli możliwość tworzenia, modyfikowania i usuwania obiektów, którymi mogą być użytkownicy, komputery czy grupy.
  - przyznanie uprawnień do modyfikacji atrybutów wybranego obiektu, np. zmiana hasła użytkowników

Kontrolę można przekazać korzystając z kreatora delegowanie kontroli Delegation of Control Wizard dostępnego w konsoli Active Directory Users and Computers. W celu wywołania kreatora, należy wybrać z menu kontekstowego wybranej jednostki organizacyjnej polecenie Delegate Control a następnie wskazać użytkownika lub grupę, dla której wykonujemy akcję, wybrać z listy zadanie, jakie pozwolimy wykonywać i określić, czy będzie to dotyczyło wszystkich obiektów w jednostce czy tylko wybranych. Jeżeli chcemy nadać dodatkowe, specjalne uprawnienia niedostępne w kreatorze bądź zweryfikować nadane uprawnienia należy czynność tą wykonać bezpośrednio na obiekcie. Dlatego w tym celu klikamy w menu Active Directory Users and Computers przycisk View i wybieramy Advanced Features. Należy pamiętać, że chcąc skorzystać z delegowania kontroli administracyjnej należy być członkiem grupy Account Operators, Domain Admins, lub Enterprise Admins

Rysunek 3 Delegowanie kontroli

Tworzenie, modyfikacja i usuwanie OU z wiersza poleceń.

Tworzenie OU z wiersza poleceń polega na uruchomieniu polecenia:

dsadd ou nazwa_wyróżniająca_jednostki_organizacyjnej [-desc opis] [{-s serwer | -d domena}][-u nazwa_użytkownika] [-p {hasło | *}] [-q] [{-uc | -uco | -uci}]

Parametry

nazwa_wyróżniająca_jednostki_organizacyjnej

Wymagana. Określa nazwę wyróżniającą jednostki organizacyjnej, którą należy dodać. Jeżeli pominięto nazwę wyróżniającą, nazwa zostanie pobrana z wejścia standardowego (stdin).

-desc opis

Określa opis jednostki organizacyjnej, którą należy dodać.

{-s serwer | -d domena}

Ustanawia połączenie z określonym serwerem zdalnym lub z domeną. Domyślnie komputer jest łączony z kontrolerem domeny w domenie logowania.

-u nazwa_użytkownika

Określa nazwę użytkownika używaną do logowania na serwerze zdalnym. Domyślnie używana jest nazwa zalogowanego użytkownika. Nazwę użytkownika można określić przy użyciu jednego z następujących formatów:

nazwa_użytkownika (na przykład Linda)

domena\nazwa_użytkownika (na przykład widgets\Linda)

nazwa_główna_użytkownika (UPN) (na przykład Linda(at)widgets.microsoft.com)

-p {hasło | *}

Określa, że do logowania na serwerze zdalnym należy używać hasła lub znaku *. Jeżeli zostanie wpisany znak *, zostanie wyświetlony monit o podanie hasła.

-q

Pomija wszystkie dane wyjściowe przekazywane do wyjścia standardowego (tryb cichy).

{-uc | -uco | -uci}

Określa, że dane wyjściowe lub wejściowe są formatowane zgodnie ze standardem Unicode. Następująca tabela zawiera listę i opisy poszczególnych formatów.

-uc Określa format Unicode dla danych wejściowych pobieranych z potoku lub danych wyjściowych przekazywanych do potoku (|).

-uco Określa format Unicode dla danych wyjściowych przekazywanych do potoku (|) lub pliku.

-uci Określa format Unicode dla danych wejściowych pobieranych z potoku (|) lub pliku.

Powoduje wyświetlenie Pomocy w wierszu polecenia.

Spostrzeżenia

- - Jeżeli w wierszu polecenia nie określono obiektu docelowego, obiekt docelowy jest pobierany z wejścia standardowego (stdin). Dane stdin mogą być pobierane z klawiatury, przekierowanego pliku lub jako dane wyjściowe innego polecenia przekazywane w potoku. Aby oznaczyć koniec danych stdin z klawiatury lub w przekierowanym pliku, należy użyć znaku końca pliku (CTRL+Z).
  - Jeżeli podana wartość zawiera spacje, tekst należy ująć w cudzysłowy (na przykład "OU=Kontrolery domen, DC=Microsoft,DC=Com").
  - To polecenie obsługuje tylko najczęściej używane atrybuty klas obiektów.

Modyfikacja OU z wiersza poleceń polega na uruchomieniu polecenia:

dsmod ou nazwa_wyróżniająca_jednostki_organizacyjnej [-desc opis] [{-s serwer |-d domena}] [-u nazwa_użytkownika] [-p {hasło | *}][-c ] [-q ] [{-uc | -uco | -uci }]

Przykład

Aby zmienić opis kilku jednostek organizacyjnych jednocześnie, należy wpisać:

dsmod ou "OU=Kontrolery domen,DC=Microsoft,DC=Com" "OU=Zasoby,DC=Microsoft,DC=Com" "OU=Rozwiązywanie problemów,DC=Microsoft,DC=Com" -desc "To jest test jednostki organizacyjnej"

Usuwanie OU z wiersza poleceń polega na uruchomieniu polecenia dsrm

dsrm nazwa_wyróżniająca_obiektu ... [-subtree [-exclude]] [-noprompt] [{-s serwer | -d domena}] [-u nazwa_użytkownika] [-p {hasło | *}][-c][-q][{-uc | -uco | -uci}]

Parametry

nazwa_wyróżniająca_obiektu ...

Wymagany. Określa nazwy wyróżniające obiektów, które należy usunąć. Jeżeli żadna wartość nie zostanie wprowadzona w wierszu polecenia, wartość zostanie uzyskana za pośrednictwem wejścia standardowego.

-subtree [-exclude]

Określa, że zarówno dany obiekt, jak i wszystkie obiekty w poddrzewie poniżej danego obiektu powinny być usunięte. Parametr -exclude może być określony tylko razem z parametrem -subtree w celu wskazania, że obiekt podstawowy określony przez parametr nazwa_wyróżniająca_obiektu nie powinien być usuwany podczas usuwania poddrzewa znajdującego się poniżej tego obiektu. Domyślnie tylko określony obiekt podstawowy jest usuwany.

-noprompt

Ustawia opcjonalny tryb cichy, w którym nie są wyświetlane monity o potwierdzenie usunięcia każdego obiektu. Domyślnie wyświetlane są monity o potwierdzenie każdej operacji usunięcia obiektu.

{-sserwer| -ddomena}

Ustanawia połączenie z określonym serwerem zdalnym lub z domeną. Domyślnie komputer jest łączony z kontrolerem domeny w domenie logowania.

-u nazwa_użytkownika

Określa nazwę użytkownika używaną do logowania na serwerze zdalnym. Domyślnie w parametrze -u jest stosowana nazwa użytkownika, która została użyta do zalogowania danego użytkownika. Nazwę użytkownika można określić przy użyciu jednego z następujących formatów:

-p {hasło | *}

Określa, że należy używać hasła lub znaku * do logowania na serwerze zdalnym. Jeżeli zostanie wpisany znak *, zostanie wyświetlony monit o podanie hasła.

-c

Zgłasza błędy, ale kontynuuje przetwarzanie następnego obiektu na liście argumentów, gdy jest określonych wiele obiektów docelowych (tryb działania ciągłego). Bez tej opcji wykonywanie polecenia jest przerywane po napotkaniu pierwszego błędu.

-q

Pomija wszystkie dane wyjściowe przekazywane do wyjścia standardowego (tryb cichy).

{-uc | -uco | -uci}

Określa, że dane wyjściowe lub wejściowe są formatowane zgodnie ze standardem Unicode.

Przykłady

Aby usunąć jednostkę organizacyjną o nazwie "Marketing" i wszystkie obiekty należące do danej jednostki organizacyjnej, należy wpisać:

dsrm -subtree -noprompt -c OU=Marketing,DC=Microsoft,DC=Com

Aby usunąć wszystkie obiekty należące do jednostki organizacyjnej o nazwie "Marketing", ale pozostawić jednostkę organizacyjną bez zmian, należy wpisać:

dsrm -subtree -exclude -noprompt -c "OU=Marketing,DC=Microsoft,DC=Com"

{flv}ActiveDirectory/add_del_ou/add_del_ou{/flv}

Przykład tworzenia jednostek organizacyjnych

Konto użytkownika

Konta użytkowników w Active Directory przypisujemy osobą, którym chcemy dać możliwość korzystania z naszej domeny czyli mogą to być np. pracownicy jakiejś danej firmy. Inną możliwoścą jest również przypisanie konta użytkownika pozwalające na uruchomienie zdefiniowanej przez nas aplikacji. Konto użytkownika zawiera unikalne dane, które pozwalają na jego uwierzytelnienie oraz umożliwiają użytkownikowi dostęp do zasobów (zalogowanie się do domeny lub korzystanie z komputera lokalnego). Konto użytkownika powinno być zdefiniowane dla każdej osoby, korzystającej regularnie z sieci lub z komputera. Dzięki posiadaniu konta, użytkownik może zalogować się do komputera lub do domeny. Dane, wykorzystane w procesie logowania, służą do kontroli dostępu do zasobów. Konto użytkownika jest również podmiotem zabezpieczeń, dzieje się tak ponieważ do konta jest przypisany identyfikator zabezpieczeń (SID), wymagany do udostępnienia zasobów sieciowych danej domeny. Jedne z głównych zastosowań kont użytkowników to :

- - sprawdzenie tożsamości użytkownika - czyli proces logowania się przy użyciu danego konta użytkownika.
  - pozwolenie na dostęp do zasobów sieciowych - po procesie sprawdzenia tożsamości, następuje proces kontroli nadanych uprawnień i określenie czy dany użytkownik ma prawo do korzystania z zasobu czy też dostęp do niego jest zabroniony.

Istnieją trzy typy kont użytkownika:

a. Lokalne konto użytkownika. Konto to pozwala na zalogowanie się do określonego komputera i uzyskanie dostępu do zasobów tego komputera. Użytkownik może mieć dostęp do zasobów innego komputera, jeśli posiada na nim oddzielne konto. Konta użytkowników przechowywane są w bazie SAM (Security Accounts Manager) na komputerze lokalnym.
b. Domenowe konto użytkownika. Pozwala na zalogowanie się do domeny i uzyskanie dostępu do zasobów sieciowych. Konta takie można tworzyć w sieci Microsoft Windows. Użytkownik może uzyskać dostęp do zasobów sieci z dowolnego komputera, posługując się wyłącznie swoją, pojedynczą nazwą użytkownika i hasłem. Konta takie są przechowywane w bazie usługi Active Directory na kontrolerze domeny.
c. Wbudowane konta użytkownika. Pozwalają na wykonywanie zadań administratorskich lub uzyskanie tymczasowego dostępu do zasobów. Istnieją trzy wbudowane konta, znajdujące się w kontenerze Users, w przystawce Active Directory Users and Computers, których usunięcie nie jest możliwe (aczkolwiek możliwe jest ich wyłączenie):

- - Administrator - konto posiadające pełną kontrolę w domenie, nie może być skasowane ale jest możliwość wyłączenia go oraz zmiany domyślnej nazwy. Uwierzytelnienie za pomocą konta Administrator mamy możliwość wpływania na wszystkie obiekty istniejące w naszej domenie a w szczególności możemy definiować prawa użytkownikom i kontrolować ich uprawnienia dostępu do zasobów. Nie trzeba chyba tłumaczyć, że konto to powinno być chronione silnym hasłem i że wskazane jest by używać tego konta tylko do zadań wymagających uprawnień administratora. Konto Administrator jest domyślnie członkiem wbudowanych grup w AD: Administrators, Domain Admins (Administratorzy domeny), Enterprise Admins (Administratorzy przedsiębiorstwa), Group Policy Creator Owners (Twórcy właściciele zasad grupy), i Schema Admins (Administratorzy schematu).
  - Guest (Gość) używane podobnie jak w przypadku logowania lokalnego przez osoby, które nie posiadają własnego konta z tą różnicą, że tu odbywa się wszystko w domenie. Konto Gość nie wymaga hasła. Prawa i uprawnienia dla konta Gość można ustawiać w taki sam sposób, jak dla dowolnego innego konta użytkownika. Domyślnie konto Gość jest członkiem grupy wbudowanej Guests (Goście) i grupy globalnej Domain Guests(Goście domeny). Domyślnie konto Gość jest wyłączone i nie zaleca się włączania go.
  - HelpAssistant (Pomocnik) (instalowane z sesją Remote Assistence). Główne konto do zestawienia sesji Remote Assistance, tworzone automatycznie w momencie, gdy zażądamy takiej sesji. Ma ograniczony dostęp do komputera. Konto HelpAssistance jest zarządzane przez usługę Remote Desktop Help session Manager. Jest kasowane automatycznie jeśli nie ma oczekujących żądań Remote Assistance

Konta wbudowane są często wykorzystywane do nieuprawnionego zalogowania się do domeny. Dlatego by ograniczyć prawdopodobieństwo nieautoryzowanego dostępu można zmienić im prawa i uprawnienia, dobrą praktyką jest ich wyłączenie lub zmiana ich nazwy. Zmieniając nazwę konta zachowywujemy ich SID, czyli zachowane są wszelkie własności tego konta takie jak opis, hasło, przynależność do grup, profil i wszystkie przypisane prawa i uprawnienia. Aby uzyskać korzyści zabezpieczeń autentykacji i autoryzacji użytkownika, należy stworzyć indywidualne konta dla wszystkich użytkowników korzystających z sieci. Tak utworzone konta użytkowników można łączyć w grupy i dopiero grupą dodawać poszczególne uprawnienia. Kolejną linią obrony naszej domeny jest wymuszenie stosowania silnych haseł (domyślnie włączone) oraz stosowanie limitu możliwych prób logowań. Odpowiednio skomplikowane hasło redukuje możliwość jego odgadnięcia lub pomyślnego ataku słownikowego. Zasady blokowania hasła ograniczają atakującemu możliwość powtarzanie kolejnych nieudanych prób logowania.

Każde konto użytkownika w Active Directory posiada kilka opcji określających jak przebiegnie logowanie i autentykacja w sieci. Poniżej znajdują się ustawienia związane z konfiguracją hasła i specyficznymi informacjami związanymi z bezpieczeństwem kont użytkowników. Administrator systemów może zarządzać opcjami haseł kont użytkowników. Te opcje można konfigurować podczas tworzenia konta użytkownika lub w oknie dialogowym Właściwości konta użytkownika.

User must change password at next logon (Użytkownik musi zmienić hasło przy następnym logowaniu). Ta opcja jest używana wówczas, gdy nowy użytkownik loguje się do systemu po raz pierwszy lub w przypadku resetowania zapomnianych haseł przez administratora na żądanie użytkowników.

User cannot change password (Użytkownik nie może zmienić hasła). Z tej opcji należy korzystać wówczas, gdy konieczne jest kontrolowanie zmian hasła konta użytkownika. Opcja używana, kiedy administrator zarządza jakimś kontem np. kontem gościa lub tymczasowym.

Password never expires (Hasło nigdy nie wygasa). Korzystając z tej opcji, można zapobiegać wygaśnięciu hasła. Aby zapewnić najlepszą ochronę, należy zrezygnować z korzystania z tej opcji.. Ustawienie rekomendowane dla kont używanych przez usługi posiadających mocne hasło

Store password using reversible encryption (Zapisz hasła, korzystając z szyfrowania odwracalnego) Umożliwia zalogowanie się do sieci Windows użytkownikom komputerów Apple.

Account is disabled (Konto jest wyłączone). Korzystając z tej opcji, można zapobiegać logowaniu użytkowników przy użyciu danego konta. Nie zezwala na zalogowanie się przy użyciu tego konta. Używane dla kont będących szablonami lub dla użytkowników, którzy nie będą dłuższy czas korzystać z niego.

Smart Card is required for interactive logon (Logowanie interakcyjne wymaga karty inteligentnej) - Wymaga, aby w przypadku interakcyjnego logowania się do sieci użytkownik używał karty inteligentnej. W przypadku wybrania tej opcji automatycznie jest generowane losowe i złożone hasło dla konto użytkownika, a ponadto zostaje ustawiona opcja Hasło nigdy nie wygasa.

Konto jest zaufane w kwestii delegowania - Umożliwia usłudze uruchamianej przy użyciu tego konta wykonywanie operacji w imieniu innych kont użytkowników w sieci. Usługa uruchomiona przy użyciu konta użytkownika (nazywanego kontem usługi), które jest zaufane w kwestii delegowania, może przyjąć tożsamość klienta, aby uzyskać dostęp do zasobów na komputerze, na którym jest uruchomiona, lub na innych komputerach.

Account is sensitive and cannot be delegated (Konto jest poufne i nie może być delegowane) - Daje kontrolę nad kontem użytkownika, na przykład kontem gościa lub kontem tymczasowym. Tej opcji można użyć, jeśli konto nie powinno być delegowane przez inne konto.

Use Kerberos DES encryption types for this account (Użyj typów szyfrowania DES dla tego konta) - Zapewnia obsługę szyfrowania DES.

Do not require Kerperos preauthentication (Nie jest wymagane wstępne uwierzytelnienie protokołu Kerberos) - Zapewnia obsługę alternatywnych implementacji protokołu Kerberos. Kontrolery domeny z systemem Windows 2000 lub Windows Server 2003 mogą korzystać z innych mechanizmów synchronizowania czasu. Wstępne uwierzytelnianie jest dodatkowym zabezpieczeniem, więc włączając tę opcję, należy zachować ostrożność.

Przed tworzeniem kont użytkowników należy przyjąć dla nich konwencję nazewniczą. Ustala ona sposób identyfikacji kont w domenie. Powinna ona uwzględniać konta użytkowników o takich samych nazwiskach oraz konta tymczasowe.

Konwencja nazewnictwa

Z kontami użytkowników domeny skojarzone są cztery typy nazw. W usłudze Active Directory dla każdego konta użytkownika określona jest nazwa logowania użytkownika, nazwa logowania użytkownika dla systemów starszych niż Windows 2000 (nazwa konta Menedżera kont zabezpieczeń), nazwa główna logowania użytkownika oraz względna nazwa wyróżniająca LDAP (Lightweight Directory Access Protocol).

Nazwę logowania użytkownika - Używa się w procesie logowania do domeny, składa się maks. z 20 znaków. Przykład: jankow. Użytkownicy korzystają z tej nazwy tylko podczas procesu logowania. Użytkownik wprowadza nazwę logowania użytkownika, hasło i nazwę domeny w oddzielnych polach na ekranie logowania. Nazwa może zawierać kombinację znaków specjalnych i alfanumerycznych, z wyjątkiem następujących znaków: " / \ [ ] : ; | = , + * ? <>.

Nazwy domen usługi Active Directory są zazwyczaj pełnymi nazwami DNS domeny. Jednak ze względu na zachowanie zgodności z poprzednimi wersjami każda domena ma również nazwę dla systemów starszych niż Windows 2000 (używaną przez komputery z systemem operacyjnym starszym niż Windows 2000). Nazwy domeny dla systemu starszego niż Windows 2000 można używać do logowania się w domenie systemu Windows Server z komputerów z systemem operacyjnym starszym niż Windows 2000, używając formatu NazwaDomeny\NazwaUżytkownika. Nazwa logowania systemu starszego niż Windows 2000 musi być unikatowa w domenie. Użytkownicy mogą korzystać z tej nazwy logowania w poleceniu Uruchom jako lub na pomocniczym ekranie logowania.

Przykład: firma.com\jankow

Użytkownicy mogą również logować się do komputerów za pomocą nazwy głównej użytkownika (UPN) skojarzonej z kontem użytkownika. Administrator wprowadza nazwę logowania użytkownika i wybiera sufiks UPN podczas tworzenia konta użytkownika. Nazwa UPN składa się z nazwy logowania użytkownika i sufiksu UPN połączonych znakiem @. Nie należy dodawać znaku @ do nazwy logowania użytkownika ani do sufiksu UPN. Usługa Active Directory dodaje go automatycznie podczas tworzenia nazwy UPN. Nazwa UPN zawierająca więcej niż jeden znak @ jest nieprawidłowa. Nazwa UPN musi być unikatowa w lesie. W domenach systemu Windows NT 4.0 i systemów starszych można było używać kropki (.) na końcu nazwy logowania użytkownika, o ile nazwa ta nie składała się wyłącznie z kropek. W domenach systemu Windows Server 2003 nie można używać kropki ani wielu kropek na końcu nazwy logowania użytkownika. Druga część nazwy UPN, sufiks UPN, identyfikuje domenę, do której należy konto użytkownika. Ten sufiks UPN może być nazwą DNS dowolnej domeny w lesie lub alternatywną nazwą utworzoną przez administratora i używaną tylko do logowania. W usłudze Active Directory domyślny sufiks UPN jest nazwą DNS domeny, w której utworzono konto użytkownika. Przykładowa nazwa UPN użytkownika w takiej domenie mogłaby być następująca: opole.polska.firma.com Nazwa logowania użytkownika w tej domenie miałaby format: użytkownik(at)opole.polska.firma.com. Utworzenie sufiksu UPN "firma" umożliwiłoby temu samemu użytkownikowi logowanie się przy użyciu dużo prostszej nazwy logowania - użytkownik(at)firma.

Każde konto komputera utworzone w usłudze Active Directory ma względną nazwę wyróżniającą. Ta nazwa komputera jest używana jako względna nazwa wyróżniająca LDAP (Lightweight Directory Access Protocol). Nazwa DNS dla hosta jest nazywana pełną nazwą komputera i jest w pełni kwalifikowaną nazwą domeny (FQDN) DNS. Pełna nazwa komputera jest złączeniem nazwy komputera (pierwsze 15 bajtów nazwy konta Menedżera kont zabezpieczeń (SAM) konta komputera bez znaku $) i podstawowego sufiksu DNS (nazwa DNS domeny, do której należy konto komputera). Jest ona wyświetlana na karcie Nazwa komputera w aplecie Właściwości systemu w Panelu sterowania. Domyślnie podstawowy sufiks DNS nazwy FQDN komputera jest taki sam, jak nazwa domeny usługi Active Directory, do której należy komputer. Np. serwer001.firma.com

Konwencja nazewnictwa określa sposób identyfikowania kont użytkowników w domenie. Spójna konwencja nazewnictwa ułatwia zapamiętanie nazw logowania użytkowników i lokalizowanie ich na listach. Dobrym rozwiązaniem jest przestrzeganie konwencji nazewnictwa używanej już w istniejącej sieci obsługującej dużą liczbę użytkowników.

Uwzględnij następujące wskazówki dotyczące tworzenia konwencji nazewnictwa:

1. W przypadku dużej liczby użytkowników konwencja nazewnictwa, dotycząca nazw logowania użytkowników, powinna uwzględniać zduplikowane nazwiska pracowników. Metoda wykonania tego zadania polega na wykorzystaniu imienia oraz inicjału reprezentującego nazwisko, a następnie dodawaniu kolejnych liter z nazwiska w celu uwzględnienia zduplikowanych nazwisk. Na przykład w przypadku dwóch użytkowników o nazwisku Jan Kowalski, można utworzyć nazwy logowania Jank i Janko.
2. W niektórych organizacjach użytecznym rozwiązaniem jest identyfikowanie pracowników tymczasowych przy użyciu ich kont użytkowników. W tym celu można dodać prefiks do nazwy logowania użytkownika, taki jak T i łącznik. Przykład: T-Jank.
3. Nazwy logowania użytkowników w przypadku kont użytkowników domeny muszą być unikatowe w usłudze Active Directory. Pełne nazwy kont użytkowników domeny muszą być unikatowe w domenie, w której jest tworzone konto użytkownika.

Hasła

- Słabe hasło:

- W ogóle nie jest hasłem.

- Zawiera nazwę użytkownika, imię, nazwisko lub nazwę firmy.

- Zawiera cały wyraz słownikowy. Na przykład hasło jest słabym hasłem.

- Silne hasło:

- Ma co najmniej siedem znaków długości.

- Nie zawiera nazwy użytkownika, imienia, nazwiska ani nazwy firmy.

- Nie zawiera całego wyrazu słownikowego.

- Różni się znacznie od poprzednich haseł. Hasła tworzone na zasadzie wyliczanki (Hasło1, Hasło2, Hasło3...) nie są silne.

- Zawiera znaki z każdej z czterech następujących grup:

Wielkie litery: A, B, C...

Małe litery: a, b, c...

Cyfry: 0, 1, 2, 3, 4, 5, 6, 7, 8, 9

Symbole występujące na klawiaturze (wszystkie znaki na klawiaturze niezdefiniowane jako litery lub cyfry): ` ~ ! @ # $ % ^ & * ( ) _ + - = { } | [ ] \ : " ; ' < > ? , . /

- Hasło może spełniać większość kryteriów dotyczących silnego hasła i pozostać dość słabym hasłem np.:

- Hasło Dzis3maja! jest stosunkowo słabym hasłem, choć spełnia większość kryteriów silnego hasła, a także wymogi złożoności opisane w zasadach haseł.

- Hasło D!z+i|s3Ma?j jest silnym hasłem, ponieważ wyraz słownikowy przeplata się z symbolami, liczbami i innymi literami.

- Można tworzyć hasła z wykorzystaniem znaków z rozszerzonego zestawu ASCII np.: kU?!?0o i Wfc$0k#?g.5ard.
- Można skonfigurować ustawienia zasady haseł tak, aby wymagane były hasła o określonej złożoności.

{flv}ActiveDirectory/haslo/haslo{/flv}

Wyłączenie wymagań co do złożoności hasła

{flv}ActiveDirectory/prog_log/prog_log{/flv}

Próg logowania

Żądanie zmian haseł należy używać przy tworzeniu nowych kont użytkowników domeny poprzez zaznaczenie pola wyboru w celu wymagania zmiany hasła przez użytkownika w przypadku logowania użytkownika do domeny po raz pierwszy. Zmiana hasła jest też stosowana przy resetowaniu haseł. Korzystając z tej opcji, administrator może resetować hasło, które uległo wygaśnięciu lub zostało zapomniane przez użytkownika.

Natomiast ograniczanie zmian haseł stosujemy przy tworzeniu kont usług lokalnych lub kont usług domeny. Dla kont usług zazwyczaj określanych jest wiele zależności. Konieczne może więc być ograniczenie zmian haseł i zezwolenie na zmianę haseł tylko administratorowi odpowiedzialnemu za aplikacje zależne od konta usługi. Ograniczenie stosowane też jest przy tworzeniu nowych kont lokalnych, które nie będą używane do lokalnego logowania.

Profile użytkownika

W systemie Windows Serwer środowisko pracy użytkownika określane jest przez profil użytkownika. Profil ten ustawiamy na Karcie Profil, która jest zawarta we właściwościach użytkownika, pełni jedną z ważniejszych funkcji przy konfigurowaniu konta. Znajduje się na niej miejsce na ustawienia obejmujące profile, katalogi domowe oraz skrypty logowania. W profilu użytkownika zawarte są wszystkie ustawienia, które użytkownik może zdefiniować w środowisku systemu Windows. Uwzględnia preferencje związane ze sprzętem (mysz, klawiatura), pulpitem, menu Start i Programy itp. Profile są tworzone w czasie pierwszego logowania użytkownika do stacji roboczej (domyślnie jest to folder C:/Documents and Settings/Nazwa użytkownika). Domyślnie są tam również przechowywane. Dzięki temu użytkownicy po modyfikacji swoich preferencji, takich jak np. przystosowanie myszy dla leworęcznych, mogą z nich korzystać po każdorazowym zalogowaniu do komputera. Jeśli ktoś zmieni miejsce pracy, w nowym systemie będzie musiał ustawiać swoje parametry od początku. W Windows Server 2003, podobnie jak w Windows NT i 2000, można skonfigurować profile mobilne. Dzięki ich zastosowaniu zmiana komputera nie zmusza użytkownika do rekonfiguracji systemu. Opcja ta jest możliwa, ponieważ profile nie są przechowywane lokalnie, lecz na serwerze. Podczas logowania do sieci profil jest pobierany z serwera, a podczas wylogowywania jest na nim zapisywany.

Wyróżniane są następujące profile użytkownika:

a) Domyślny profil użytkownika. Służy jako podstawowy profil dla wszystkich użytkowników. Każdy profil jest początkowo kopią domyślnego profilu przechowywanego na komputerze pracującym z systemem Windows.

b) Lokalny profil użytkownika. Tworzony jest w chwili pierwszego logowania do komputera i przechowywany jest lokalnie. Wszystkie zmiany dokonane w tym profilu są zapisywane na komputerze, na którym zostały wykonane. Na jednym komputerze może istnieć wiele profili lokalnych obsługujących wielu użytkowników.

c) Mobilny profil użytkownika. Tworzony jest przez administratora i przechowywany na serwerze. Profil ten jest dostępny z dowolnego komputera, do którego loguje się użytkownik. Wszelkie zmiany w profilu zapisywane są na serwerze w chwili wylogowywania.

d) Obowiązkowy profil użytkownika. Tworzony jest przez administratora. Zdefiniowane są w nim określone ustawienia użytkownika lub użytkowników. Może to być profil lokalny lub wędrujący. Profil obowiązkowy nie pozwala na zapisanie żadnych zmian dokonanych przez użytkowników. Użytkownicy mogą zmieniać ustawienia profilu po zalogowaniu się, ale podczas wylogowywania się żadne zmiany nie zostaną zapisane.

Rysunek 4 Karta Profil

Na karcie Profil znajduje się pole służące do wpisywania, skąd system ma pobierać profil użytkownika. W ścieżce do profilu należy podać lokalizację folderu z profilem. Ścieżkę wprowadzamy zgodnie ze składnią UNC (Universal Naming Convention). Obejmuje ona nazwę serwera oraz nazwę udostępnienia, zapisane w formie \\nazwa_serwera\nazwa_udostępnienia. Na końcu ścieżki powinniśmy wprowadzić nazwę logowania użytkownika lub zmienną %UserName%. Wpisanie zmiennej jest przydatne, jeśli ustawiamy parametry profili wielu użytkowników i nie możemy jawnie podać ich nazwy. %UserName% zostanie automatycznie zamienione na nazwę konta. Po wpisaniu ścieżki i naciśnięciu przycisku OK system skonfiguruje również odpowiednie uprawnienia do folderów każdego z użytkowników. Jest to możliwe pod warunkiem, że partycja, na której przechowywane są profile, wykorzystuje system plików NTFS.

Jak przekształcić domyślny profil użytkownika w sieciowy domyślny profil użytkownika w systemach Windows 7 i Windows Server 2008 R2

1. 1. Zaloguj się do komputera, na którym znajduje się dostosowany domyślny profil użytkownika, używając konta z uprawnieniami administracyjnymi.
  2. Za pomocą polecenia Uruchom nawiąż połączenie z folderem udostępnionym NETLOGON kontrolera domeny. Ścieżka może być na przykład podobna do następującej: \\<nazwa_serwera>\NETLOGON
  3. W folderze udostępnionym NETLOGON utwórz nowy folder i nadaj mu nazwę Użytkownik domyślny
  4. Kliknij przycisk Uruchom w menu Start, kliknij prawym przyciskiem myszy polecenie Komputer, kliknij polecenie Właściwości, a następnie kliknij pozycję Zaawansowane ustawienia systemu.
  5. W obszarze Profile użytkownika kliknij pozycję Ustawienia. Okno dialogowe Profile użytkownika zawiera listę profilów przechowywanych na komputerze.
  6. Zaznacz pozycję Profil domyślny, a następnie kliknij pozycję Kopiuj do.
  7. W polu tekstowym Kopiuj profil do wpisz ścieżkę sieciową folderu domyślnego profilu użytkownika systemu Windows 7, który utworzono zgodnie z opisem w kroku 3. Można na przykład wpisać następującą ścieżkę: \\<nazwa_serwera>\NETLOGON\Użytkownik domyślny
  8. W obszarze Pozwolenie na używanie kliknij pozycję Zmień, wpisz nazwę Wszyscy, a następnie kliknij przycisk OK.
  9. Kliknij przycisk OK, aby rozpocząć kopiowanie profilu.
  10. Po zakończeniu procesu kopiowania wyloguj się z komputera.

Jak przekształcić domyślny profil użytkownika w obowiązkowy profil użytkownika w systemach Windows 7 i Windows Server 2008 R2

Domyślny lokalny profil użytkownika można skonfigurować tak, aby stał się profilem obowiązkowym. Dzięki temu wszyscy użytkownicy będą mogli korzystać z jednego centralnego profilu. Aby to zrobić, należy przygotować lokalizację profilu obowiązkowego, skopiować do niej lokalny domyślny profil użytkownika, a następnie skonfigurować lokalizację profilu użytkownika w taki sposób, aby wskazywała profil obowiązkowy.

Krok 1. Przygotowywanie lokalizacji profilu obowiązkowego

a. Na centralnym serwerze plików utwórz nowy folder lub wybierz istniejący folder używany do przechowywania profilów użytkowników mobilnych. Możesz na przykład użyć następującej nazwy folderu: \Profile

b. W przypadku tworzenia nowego folderu udostępnij ten folder, używając nazwy odpowiedniej dla danej organizacji.

Uwaga Uprawnienia udziału, które dotyczą folderów udostępnionych zawierających profile użytkowników mobilnych, muszą uwzględniać uprawnienie Pełna kontrola dla grupy Użytkownicy uwierzytelnieni. Uprawnienia udziału, które dotyczą folderów służących do przechowywania obowiązkowych profilów użytkowników, powinny uwzględniać uprawnienie Odczyt dla grupy Użytkownicy uwierzytelnieni oraz uprawnienie Pełna kontrola dla grupy Administratorzy.

c. Utwórz nowy folder w folderze, który został utworzony lub wybrany w kroku 1a. Nazwa tego nowego folderu powinna rozpoczynać się od nazwy logowania dla konta użytkownika, jeśli dany obowiązkowy profil użytkownika dotyczy określonego użytkownika. Jeśli obowiązkowy profil użytkownika jest przeznaczony dla wielu użytkowników, nadaj mu odpowiednią nazwę. W tym przykładzie domena zawiera profil obowiązkowy, a nazwa folderu zaczyna się od wyrazu "obowiązkowy": \Profile\obowiązkowy

d. Na końcu nazwy dodaj ciąg .wersja2. W przykładzie podanym w kroku 1c użyto nazwy folderu "obowiązkowy". Dlatego ostateczna nazwa folderu dla danego użytkownika będzie miała postać "obowiązkowy.wersja2": \Profile\obowiązkowy.wersja2

Krok 2. Kopiowanie domyślnego profilu użytkownika do lokalizacji profilu obowiązkowego

a. Zaloguj się do komputera, na którym znajduje się dostosowany lokalny domyślny profil użytkownika, używając konta z uprawnieniami administracyjnymi.

b. Kliknij przycisk Uruchom w menu Start, kliknij prawym przyciskiem myszy polecenie Komputer, kliknij polecenie Właściwości, a następnie kliknij pozycję Zaawansowane ustawienia systemu.

c. W obszarze Profile użytkownika kliknij pozycję Ustawienia. Zostanie wyświetlone okno dialogowe Profile użytkownika z listą profilów przechowywanych na komputerze.

d. Zaznacz pozycję Profil domyślny, a następnie kliknij pozycję Kopiuj do.

e. W polu tekstowym Kopiuj profil do wpisz ścieżkę sieciową domyślnego folderu użytkownika systemu Windows 7, który utworzono zgodnie z opisem w sekcji "Krok 1. Przygotowywanie lokalizacji profilu obowiązkowego". Możesz na przykład wpisać następującą ścieżkę:

\\<nazwa_serwera>\Profile\obowiązkowy.wersja2

f. W obszarze Pozwolenie na używanie kliknij pozycję Zmień, wpisz nazwę Wszyscy, a następnie kliknij przycisk OK.

g. Kliknij przycisk OK, aby rozpocząć kopiowanie profilu.

h. Po zakończeniu procesu kopiowania wyloguj się z komputera.

i. Na centralnym serwerze plików zlokalizuj folder utworzony zgodnie z opisem w sekcji "Krok 1. Przygotowywanie lokalizacji profilu obowiązkowego".

j. Kliknij pozycję Organizuj, a następnie kliknij pozycję Opcje folderów.

k. Kliknij kartę Widok, zaznacz pole wyboru Pokaż ukryte pliki i foldery, wyczyść pole wyboru Ukryj rozszerzenia znanych typów plików, wyczyść pole wyboru Ukryj chronione pliki systemu operacyjnego, kliknij przycisk Tak, aby zamknąć okno z ostrzeżeniem, a następnie kliknij przycisk OK, aby zastosować zmiany i zamknąć okno dialogowe.

l. Zlokalizuj i kliknij prawym przyciskiem myszy plik NTUSER.DAT, kliknij polecenie Zmień nazwę, zmień nazwę pliku na NTUSER.MAN, a następnie naciśnij klawisz ENTER.

Uwaga Do tej pory można było kopiować profile za pośrednictwem apletu System w Panelu sterowania. Obecnie nie ma możliwości kopiowania do profilu domyślnego, ponieważ mogło to powodować dodawanie danych uniemożliwiających korzystanie z profilu.

Krok 3. Przygotowywanie konta użytkownika

a. Jako administrator domeny otwórz konsolę administracyjną Użytkownicy i komputery usługi Active Directory na komputerze z systemem Windows Server 2008 R2 lub Windows Server 2008.

b. Kliknij prawym przyciskiem myszy konto użytkownika, do którego zastosować obowiązkowy profil użytkownika, a następnie kliknij polecenie Właściwości.

c. Kliknij kartę Profil, a następnie w polu tekstowym ścieżki profilu wpisz ścieżkę sieciową utworzoną zgodnie z opisem w sekcji "Krok 1. Przygotowywanie lokalizacji profilu obowiązkowego". Nie dodawaj jednak ciągu ".wersja2" na końcu. W tym przykładzie ścieżka powinna mieć następującą postać: \\<nazwa_serwera>\Profile\obowiązkowy

d. Kliknij przycisk OK, a następnie zamknij konsolę administracyjną Użytkownicy i komputery usługi Active Directory.

Od tej chwili użytkownik będzie mógł korzystać z dostosowanego profilu obowiązkowego.

Zawartość karty Profil nie ogranicza się do ustawień związanych z profilami użytkowników. W tym miejscu możemy skonfigurować jeszcze dwie istotne właściwości konta: skrypt logowania i ścieżka do folderu domowego użytkownika.

Konfiguracja skryptu na karcie profilu użytkownika to pozostałość po systemie Windows NT. Możemy określić lokalizację skryptów przetwarzanych podczas logowania do domeny. Obecnie bardziej elastyczne rozwiązanie oferują Zasady grupy, które pozwalają na skonfigurowanie skryptów logowania, wylogowania użytkownika oraz startu i zamykania systemu operacyjnego. Nie oznacza to, że opcja Skrypt logowania jest całkowicie zbędna. Należy ją stosować wtedy, gdy klientami sieciowymi są komputery ze starszymi systemami operacyjnymi, takimi jak Windows 98 lub NT Workstation, oraz gdy przypisanie Zasad grupy nie spełnia wymagań administratora. Konfiguracja jest bardzo prosta, wystarczy napisać odpowiedni skrypt, następnie na karcie Profil umieścić jego nazwę, np. Logon.bat. W przeciwieństwie do profilu nie podajemy ścieżki, a jedynie nazwę. Skrypt należy zapisać w folderze katalog_główny_systemu\SYSVOL\sysvol\nazwa_domeny\scripts. Jako parametr katalog_główny_systemu z reguły podajemy Windows, a jako nazwę domeny - jej DNS-ową nazwę, np. firma.com. W nazwie katalogu głównego tkwi pewnego rodzaju pułapka, na którą warto zwrócić uwagę. Poprzednie systemy serwerowe, takie jak Windows NT i 2000, domyślnie instalowały się w folderze WINNT, a nie w Windows. Administratorzy przenoszący skrypty ze starszych wersji powinni zwracać uwagę na tę zmianę.

Przykładowy skrypt, który utworzy użytkownika o nazwie "tester", oraz ustawi: komentarz, ustawienia wygasania hasła, folder macierzysty i ścieżkę profilu: mógłby mieć postać:

NET USER tester /add /comment:"Przykładowe konto użytkownika"

/expires:never

/homedir:\\zippy\%username%$

/profilepath:\\zippy\profile

Jedną z opcji konfiguracji serwera plików jest konfiguracja folderów macierzystych użytkowników. Ich głównym zadaniem jest przechowywanie plików klientów sieci. Standardowo dane zapisywane są w folderze Moje dokumenty na komputerach lokalnych. Zaletą takiego rozwiązania jest szybkość zapisu, niezależność i brak obciążenia sieci. Najpoważniejszą wadę stanowi trudność wykonywania kopii zapasowych. Najczęściej stacje robocze nie są wyposażone w sprzęt do sporządzania kopii zapasowych, a jeśli nawet są, to użytkownicy często zaniedbują regularną archiwizację swoich danych. Centralne składowanie dokumentów osobistych umożliwia proste rozwiązanie tego problemu. Za sporządzanie kopii odpowiada administrator, a ponieważ powinien przeprowadzać również archiwizację systemu i aplikacji, jest to tylko dodatkowa partia danych. Zalecane jest również połączenie konfiguracji folderów domowych z narzuceniem Przydziałów dyskowych. Ograniczymy w ten sposób przestrzeń zajmowaną przez użytkowników.

Karta Profil pozwala na określenie położenia folderów macierzystych. Do wyboru mamy ścieżkę lokalną albo podłączenie do udostępnienia sieciowego. Ścieżka lokalna powinna zawierać informacje o lokalizacji folderu na stacji roboczej, np. d:\pliki. Konfiguracja lokalizacji sieciowej wymaga założenia i udostępnienia odpowiedniego katalogu na serwerze. Tak jak w przypadku profili mobilnych, zalecane jest założenie folderu na innej partycji niż systemowa. Przykładowa konfiguracja może wyglądać następująco. Otwieramy Eksplorator Windows. Na danej partycji zaznaczamy katalog, który będzie służył za folder składowania plików i następnie wybieramy menu Plik | Właściwości | Udostępnianie i przenosimy znacznik z Nie udostępniaj tego folderu na Udostępnij ten folder. Klikamy przycisk Uprawnienia. W oknie Uprawnienia, usuwamy grupę Wszyscy i klikając Dodaj, przypisujemy grupie Użytkownicy domeny uprawnienia Zmiana i Odczyt. Dwukrotne naciśnięcie przycisku OK zamyka otwarte okna. Na koniec przechodzimy do narzędzia Użytkownicy i komputery usługi Active Directory i wyszukujemy użytkownika, któremu chcemy przypisać folder macierzysty. Otwieramy właściwości użytkownika, wybieramy kartę Profil i klikamy Podłącz. Z listy oznaczeń dyskowych wybieramy odpowiadającą nam literę, a w pole Do wprowadzamy ciąg znaków \\nazwa_komputera\udostępniony_katalog\%UserName%. Kliknięcie OK kończy konfigurację folderów macierzystych.

Aby przypisać folder macierzysty z wiersza polecenia można użyć polecenia net user. Na przykład wpisz w wierszu polecenia następujące polecenie, a następnie naciśnij klawisz ENTER:

net user tester /homedir:\\server\tester$

To polecenie przypisuje ukryty udostępniony folder tester$ na serwerze użytkownikowi Tester.

Podobnie jak skrypty tę metodę używamy raczej dla systemów starszych chociaż nic nie stoi na przeszkodzie by stosować ją również dla nowych systemów. Innym rozwiązanie przypisującym foldery macierzyste jest skorzystanie z Zasad grup i wykorzystanie Przekierowania folderów.

Tworzenie konta lokalnego

Konta lokalne są tworzone na lokalnym komputerze i przechowywane w bazie SAM (Security Accounts Manager). Mogą być wykorzystywane tylko do logowania na komputerze, na którym zostały stworzone i wykorzystane do nadania praw w systemie i uprawnień do zasobów lokalnych. Konto lokalne tworzymy przy wykorzystaniu przystawki Local Users and Groups - Użytkownicy i grupy lokalne, która jest również częścią konsoli MMC. Wybierając w kontenerze Users polecenie New User wypełniamy formularza podając nazwę konta, opis, hasło oraz wypełniając związane z nim opcje.

Rysunek 5 Tworzenie konta lokalnego

Tworzenie konta domenowego

Konto użytkownika domenowego możemy stworzyć przy pomocy przystawki Active Directory Users and Computers - Użytkownicy i Komputery Active Directory lub przy użyciu narzędzi wiersza poleceń.

Aby utworzyć konto domenowe, należy najpierw otworzyć folder główny - Użytkownicy i Komputery Active Directory, a potem folder właściwej domeny. Następnie prawym przyciskiem myszy kliknąć folder Użytkownicy bądź inną dowolną wcześniej utworzoną jednostkę organizacyjną i na otwartej w ten sposób liście wskazać opcje Nowy, a potem Użytkownik. Otworzy się wówczas okno Nowy Obiekt - Użytkownik, w którym należy wypełnić pola: "Imię", "Nazwisko", "Inicjały" (opcjonalnie), "Pełna nazwa", "Nazwa logowania" (będzie używana przez użytkownika podczas logowania do domeny), "Nazwa logowania (w systemie starszym niż Windows 2000). Po wypełnieniu

pól wciskamy przycisk Next, co spowoduje wyświetlenie okna, w którym nadajemy i konfigurujemy hasło użytkownika. Hasło wpisujemy dwukrotnie w pola "Hasło" i "Potwierdź hasło", przy czym działa tu mechanizm taki sam jak przy nadawaniu hasła użytkownikowi lokalnemu. Następnie w zależności od potrzeb zaznaczamy lub pozostawiamy niezaznaczone następujące opcje nakładające na hasło dodatkowe restrykcje: "Użytkownik musi zmienić hasło przy następnym logowaniu", "Użytkownik nie może zmieniać hasła", "Hasło nigdy nie wygasa" i "Konto jest wyłączone". Opcja "Użytkownik musi zmienić hasło przy następnym logowaniu" unieważnia opcje "Hasło nigdy nie wygasa". Nazwy logowania użytkowników dla kont domenowych muszą być unikalne w usłudze Active Directory. Pełne nazwy domenowych kont użytkowników muszą być unikalne w kontenerze, w którym są tworzone.

Tworzenie kont użytkowników za pomocą wiersza poleceń.

Tworzenie kont za pomocą wiersza poleceń jest bardzo szybkim sposobem gdy musimy za jednym zamachem utworzyć wiele kont. Ktoś by pomyślał patrząc na poniższą składnię polecenia dsadd user - odpowiedzialnego za dodanie nowego użytkownika, jak to możliwe przecież zanim ja to wpiszę a jeszcze pewnie po drodze się pomylę, to ja dziękuję wolę sobie wyklikać. Tylko pytanie jest takie po co klikać cały dzień zakładając konta dla np. 500 użytkowników na coś co można zrobić w 5 minut. Dobrze czytasz to nie jest pomyłka 500 kont w 5 minut? Już śpieszę się i wyjaśniam. Trzeba zaprząc do pracy starego poczciwego Excela i za pomocą odpowiednich formuł ułożyć składnię polecenia dsadd user. Żeby nie być gołosłownym przykładowy plik z ułożoną formułką. A po głowie krążą mi słowa moich uczniów PROSZĘ PANA A PO CO MI SIĘ UCZYĆ TEGO EXCELA? ANO NP PO TO.

dsadd user nazwa_wyróżniająca_użytkownika [-samid nazwa_SAM] [-upn nazwa_główna_użytkownika] [-fn imię] [-mi inicjał] [-ln nazwisko] [-display nazwa_wyświetlana] [-empid identyfikator_pracownika] [-pwd {hasło | *}] [-desc opis] [-memberof grupa ...] [-office biuro] [-tel numer_telefonu] [-email adres_e-mail] [-hometel numer_telefonu_domowego] [-pager numer_pagera] [-mobile numer_telefonu_komórkowego] [-fax numer_faksu] [-iptel numer_telefonu_IP] [-webpg strona_sieci_Web] [-title tytuł] [-dept dział] [-company firma] [-mgr nazwa_wyróżniająca_menedżera] [-hmdir katalog_macierzysty] [-hmdrv litera_dysku:][-profile ścieżka_profilu] [-loscr ścieżka_skryptu] [-mustchpwd {yes | no}] [-canchpwd {yes | no}] [-reversiblepwd {yes | no}] [-pwdneverexpires {yes | no}] [-acctexpires liczba_dni] [-disabled {yes | no}] [{-s serwer | -d domena}] [-u nazwa_użytkownika] [-p {hasło | *}] [-q] [{-uc | -uco | -uci}]

Parametry

nazwa_wyróżniająca_użytkownika

Wymagana. Określa nazwę wyróżniającą użytkownika, który należy dodać. Jeżeli pominięto nazwę wyróżniającą, nazwa zostanie pobrana z wejścia standardowego (stdin).

-samid nazwa_SAM

Określa, że należy użyć nazwy SAM jako unikatowej nazwy konta SAM dla tego użytkownika (na przykład Linda). Jeśli ta nazwa nie zostanie podana, polecenie dsadd spróbuje utworzyć nazwę konta SAM, używając pierwszych 20 znaków wartości nazwy pospolitej parametru nazwa_wyróżniająca_użytkownika.

-upn nazwa_główna_użytkownika

Określa nazwę główną użytkownika, którego należy dodać (na przykład Linda(at)widgets.microsoft.com).

-fn imię

Określa imię użytkownika, którego należy dodać.

-mi inicjał

Określa inicjał drugiego imienia użytkownika, którego należy dodać.

-ln nazwisko

Określa nazwisko użytkownika, którego należy dodać.

-display nazwa_wyświetlana

Określa nazwę wyświetlaną użytkownika, którego należy dodać.

-empid identyfikator_pracownika

Określa identyfikator pracownika użytkownika, którego należy dodać.

-pwd {hasło | *}

Określa hasło dla użytkownika, które należy ustawić na wartość parametru hasło lub *. Jeżeli hasło jest ustawione na wartość *, wyświetlany jest monit o podanie hasła użytkownika.

-desc opis

Określa opis użytkownika, którego należy dodać.

-memberof nazwa_wyróżniająca_grupy ...

Określa nazwy wyróżniające grup, których członkiem powinien być dany użytkownik.

-office biuro

Określa lokalizację biura użytkownika, którego należy dodać.

-tel numer_telefonu

Określa numer telefonu użytkownika, którego należy dodać.

-email adres_e-mail

Określa adres e-mail użytkownika, którego należy dodać.

-hometel numer_telefonu_domowego

Określa numer telefonu domowego użytkownika, którego należy dodać.

-pager numer_pagera

Określa numer pagera użytkownika, którego należy dodać.

-mobile numer_telefonu_komórkowego

Określa numer telefonu komórkowego użytkownika, którego należy dodać.

-fax numer_faksu

Określa numer faksu użytkownika, którego należy dodać.

-iptel numer_telefonu_IP

Określa numer telefonu IP użytkownika, którego należy dodać.

-webpg strona_sieci_Web

Określa adres URL strony sieci Web użytkownika, którego należy dodać.

-title tytuł

Określa tytuł użytkownika, którego należy dodać.

-dept dział

Określa dział użytkownika, którego należy dodać.

-company firma

Określa informacje dotyczące firmy użytkownika, którego należy dodać.

-mgr nazwa_wyróżniająca_menedżera

Określa nazwę wyróżniającą menedżera użytkownika, którego należy dodać.

-hmdir katalog_macierzysty

Określa lokalizację katalogu macierzystego użytkownika, którego należy dodać. Jeżeli parametr katalog_macierzysty jest podany jako ścieżka UNC, należy określić literę dysku, który należy zmapować na tę ścieżkę przy użyciu parametru -hmdrv.

-hmdrv litera_dysku :

Określa literę dysku katalogu macierzystego (na przykład E:) użytkownika, którego należy dodać.

-profile ścieżka_profilu

Określa ścieżkę profilu użytkownika, którego należy dodać.

-loscr ścieżka_skryptu

Określa ścieżkę skryptu logowania użytkownika, którego należy dodać.

-mustchpwd {yes | no}

Określa, czy podczas kolejnego logowania użytkownicy będą musieli zmieniać hasło (yes), czy nie (no). Domyślnie użytkownik nie musi zmieniać hasła (no).

-canchpwd {yes | no}

Określa, czy użytkownicy w ogóle mają możliwość zmiany haseł (yes), czy też nie (no). Domyślnie użytkownik może zmienić hasło (yes). Wartość tego parametru musi być równa yes, jeżeli wartość parametru -mustchpwd jest równa yes.

-reversiblepwd {yes | no}

Określa, czy hasło użytkownika powinno być przechowywane przy użyciu odwracalnego szyfrowania (yes), czy nie (no). Domyślnie użytkownik nie może używać odwracalnego szyfrowania (no).

-pwdneverexpires {yes | no}

Określa, że hasło użytkownika nigdy nie wygasa (yes) lub wygasa (no). Domyślnie hasło użytkownika wygasa (no).

-acctexpires liczba_dni

Określa liczbę dni, począwszy od bieżącego dnia, po upływie których konto użytkownika wygaśnie. Wartość 0 powoduje ustawienie daty wygaśnięcia na koniec bieżącego dnia. Wartość dodatnia powoduje ustawienie daty wygaśnięcia w przyszłości. Wartość ujemna powoduje ustawienie daty wygaśnięcia w przeszłości. W przypadku wartości never konto nigdy nie wygasa. Na przykład wartość 0 wskazuje, że konto wygaśnie na koniec dnia. Wartość -5 wskazuje, że konto wygasło już 5 dni temu i powoduje ustawienie daty wygaśnięcia w przeszłości. Wartość 5 oznacza, że konto wygaśnie za 5 dni.

-disabled {yes | no}

Określa, czy logowanie przy użyciu danego konta komputera jest wyłączone (yes) czy włączone (no). Na przykład polecenie dsadd user CN=Mietek,CN=Users,DC=Widgets,DC=Microsoft,DC=Com pwd- hasło1 -disabled no tworzy konto użytkownika Mietek w stanie włączonym. Domyślnie logowanie przy użyciu tego konta użytkownika jest wyłączone (yes). Na przykład polecenie dsadd user CN=Natalia,CN=Users,DC=Widgets,DC=Microsoft,DC=Com tworzy konto użytkownika Natalia w stanie wyłączonym.

{-s serwer | -d domena}

Ustanawia połączenie z określonym serwerem zdalnym lub z domeną. Domyślnie komputer jest łączony z kontrolerem domeny w domenie logowania.

-u nazwa_użytkownika

nazwa_użytkownika (na przykład Linda)

domena\nazwa_użytkownika (na przykład widgets\Linda)

nazwa_główna_użytkownika (UPN) (na przykład Linda(at)widgets.microsoft.com)

-p {hasło | *}

Określa, że do logowania na serwerze zdalnym należy używać hasła lub znaku *. Jeżeli zostanie wpisany znak *, zostanie wyświetlony monit o podanie hasła.

-q Pomija wszystkie dane wyjściowe przekazywane do wyjścia standardowego (tryb cichy).

{-uc | -uco | -uci}

Określa, że dane wyjściowe lub wejściowe są formatowane zgodnie ze standardem Unicode. Następująca tabela zawiera listę i opisy poszczególnych formatów.

Z kontami użytkowników jest związanych wiele atrybutów. Odpowiednio pogrupowane są dostępne na różnych zakładkach okna właściwości użytkownika. Mogą być używane przez użytkowników jako źródło informacji o innych użytkownikach (dane teleadresowe) oraz przez administratorów do definiowania zasad i środowiska pracy osób logujących się na te konta.

Okno właściwości obiektu użytkownika

Najczęściej używane opcje we właściwościach konta użytkownika:

- - General (Ogólne) - imię, nazwisko, inicjały, opis, biuro, telefony oraz adresy e-mail i strony domowej użytkownika,
  - Address (Adres) - ulica, skrytka pocztowa, miasto, województwo, kod pocztowy oraz kraj,
  - Account (Konto) - nazwy logowania, godziny w których możliwe jest logowanie oraz komputery, z których może przebiegać proces logowania, opcje dotyczące konta i data jego wygaśnięcia,
  - Profile (Profil) - ścieżką wskazująca miejsce przechowywania profilu, skrypt logowania, ścieżka do folderu domowego, mapowanie dysku sieciowego,
  - Telephone (Telefony) - numery telefonu domowego, pagera, komórkowego, faksu oraz telefonu IP,
  - Organization (Organizacja) - stanowisko pracy, dział, firma, menedżer oraz podwładni,
  - Member Of(Członek grupy) - nazwy grupy ,do których należy określony użytkownik,
  - Dial-in (Telefonowanie) - uprawnienia usługi dostęp zdalny, w tym opcje oddzwaniania, adres IP i routing,
  - Environment (Środowisko) - opcje związane z połączeniem terminalowym np. uruchamiany program, mapowanie dysków, drukarek,
  - Session (Sesje) - sposób zachowania sesji terminalowych w przypadku bezczynności i rozłączonych połączeń,
  - Remote Control(Zdalne sterowanie) - opcje związane z dostępem zdalnym danego użytkownika,
  - Terminal Services Profile (Profil usług terminalowych) - profil użytkownika korzystającego z sesji terminalowej.

Rysunek 6 Właściwości konta użytkownika

Przy tworzeniu kont można skorzystać z pewnego uproszczenia, które polega na stworzeniu sobie szablonu czyli konta w którym są już zdefiniowane pewne często powtarzające się atrybuty konta. By stworzyć sobie nowe konto na podstawie szablonu należy kliknąć na koncie prawym przyciskiem myszy wybrać polecenie Copy (Kopiuj). W oknie Copy Object - User (Kopiuj obiekt - Użytkownik) należy wypełnić indywidualne atrybuty związane z kontem. Część atrybutów z szablonu konta zostanie przekopiowanych do nowego konta. Są to:

- - dla karty Address (Adres) - wszystkie wartości atrybutów z wyjątkiem Street (Ulica)
  - dla karty Account (Konto) - wszystkie wartości atrybutów z wyjątkiem User logon name (Nazwa logowania użytkownika)
  - dla karty Profile (Profil) - wszystkie wartości atrybutów a dodatkowo pola Profile path (Ścieżka profilu) i Home folder (Folder macierzysty) zostaną zmienione tak by odpowiadały nazwie logowania użytkownika
  - dla karty Organization (Organizacja) - wszystkie wartości atrybutów
  - dla karty Member Of (Członek grupy) - wszystkie wartości atrybutów

Nietrudno się domyślić, że szablony kont będą używane tam gdzie wymagania dla poszczególnych kont użytkownika są takie same lub nieznacznie się różnią - np. jeden dział danej firmy. Należy mieć na uwadze by nazwa szablonu odróżniała się od innych kont i by konto szablonu było wyłączone (konta nieużywane do logowania zawsze powinny być wyłączone)

By ograniczyć zbyt dużą ilość nieudanych logowań a tym samym zablokować konto użytkownika z którego następuje próba uwierzytelnienia możemy zdefiniować próg logowania. Próg blokady konta ustawiamy w konfiguracji zabezpieczeń usługi Active Directory. Do zablokowania konta może dojść również w sytuacji w której sam użytkownik je blokuje nie pamiętając hasła i sprawdzając kolejne kombinacje a także gdy pozostając zalogowanym na jednym komputerze następuje zmiana hasła na innym. O fakcie zablokowania konta jesteśmy informowani przy próbie logowania a poprawne logowanie nastąpi wtedy gdy administrator odblokuje konto, lub upłynie czas, po którym zostaje automatycznie zdjęta blokada konta.

{flv}ActiveDirectory/user_add_mod/user_add_mod{/flv}

Tworzenie i modyfikacja konta użytkownika

Konto komputera

Podobnie jak użytkownik również każdy komputer z rodziny Windows należący do domeny posiada swoje odrębne konto w domenie. Komputery wykonują kluczowe zadania, takie jak uwierzytelnianie logowania użytkowników, rozpowszechnianie adresów protokołu IP (Internet Protocol), obsługa integralności usługi Active Directory i wymuszanie zasad zabezpieczeń. Aby uzyskać pełny dostęp do tych zasobów sieciowych, komputery muszą korzystać z prawidłowych kont w usłudze Active Directory. Dwie podstawowe funkcje konta komputera są związane z zabezpieczeniami i zarządzaniem.

Użytkownicy mogą korzystać z wszystkich funkcji usługi Active Directory pod warunkiem, że konto komputera zostanie utworzone w usłudze Active Directory. Komputer, dla którego utworzono konto, może szyfrować ruch sieciowy protokołu IP przy użyciu procesów zaawansowanego uwierzytelniania takich jak uwierzytelnianie Kerberos i zabezpieczenia protokołu IP (IPSec). Konto komputera jest również niezbędne do kontrolowania sposobu stosowania i rejestrowania inspekcji.

Rysunek 7 Właściwości konto komputera

Konta komputerów ułatwiają administratorowi systemów zarządzanie strukturą sieci. Korzystając z kont komputerów, administrator systemów zarządza funkcjami środowiska pulpitu, automatyzuje rozmieszczanie oprogramowania przy użyciu usługi Active Directory oraz prowadzi spis sprzętu i oprogramowania przy użyciu programu Microsoft Systems Management Server (SMS). Konta komputerów w domenie są również używane do kontrolowania dostępu do zasobów.

Konto komputera może być stworzone na dwa sposoby:

- - przyłączenie komputera przez użytkownika mającego takie uprawnienia. Konto komputera po przyłączeniu go do domeny zostanie umieszczone w wbudowanej jednostce organizacyjnej Computers, tak utworzone konto można oczywiście przenieść do dowolnej innej jednostki organizacyjnej,
  - sytuacja odwrotna w której to najpierw jest tworzone konto komputera w danym kontenerze a następnie nazywany i przyłączany jest dany komputer.

Konto komputera podobnie jak konto użytkownika tworzymy przy pomocy przystawki Active Directory Users and Computers lub przy użyciu narzędzi wiersza poleceń. Wybieramy interesującą nas jednostkę organizacyjną i z menu kontekstowego wybieramy polecenie New a następnie Computer. W oknie New Object - Computer należy podać nazwę komputera (nazwa używana przez systemy starsze niż Windows 2000 zostanie uzupełniona automatycznie). Jeśli na komputerze, który będzie używał tworzonego konta, jest zainstalowany system starszy niż Windows 2000, zaznacz pole wyboru Przypisz to konto komputera jako komputer z systemem starszym niż Windows 2000. Spowoduje to utworzenie hasła komputera bazującego na jego nazwie. Jeśli komputer, który będzie używał tworzonego konta, jest zapasowym kontrolerem domeny systemu Windows NT, zaznacz pole wyboru Przypisz to konto komputera jako zapasowy kontroler domeny.

Aby dodać pojedynczy komputer do katalogu należy wydać polecenie:

dsadd computer nazwa_wyróżniająca_komputera [-samid nazwa_SAM] [-desc opis] [-loclokalizacja] [-memberof nazwa_wyróżniająca_grupy ...] [{-s serwer | -d domena}] [-unazwa_użytkownika] [-p {hasło | *}] [-q] [{-uc | -uco | -uci}]

Parametry

nazwa_wyróżniająca_komputera

Wymagana. Określa nazwę wyróżniającą komputera, który należy dodać. Jeżeli pominięto nazwę wyróżniającą, nazwa zostanie pobrana z wejścia standardowego (stdin).

-samid nazwa_SAM

Określa, że należy użyć nazwy SAM jako unikatowej nazwy konta SAM dla tego komputera (na przykład TESTPC2$). Jeżeli ten parametr nie jest określony, nazwa konta SAM jest ustalana na postawie wartości atrybutu nazwy pospolitej używanego w parametrze nazwa_wyróżniająca_komputera.

-desc opis

Określa opis komputera, który należy dodać.

-loc lokalizacja

Określa lokalizację komputera, który należy dodać.

-memberof nazwa_wyróżniająca_grupy ...

Określa grupy, do których dany komputer powinien należeć.

{-s serwer | -d domena}

Ustanawia połączenie komputera z określonym serwerem lub domeną. Domyślnie komputer jest łączony z kontrolerem domeny w domenie logowania.

-u nazwa_użytkownika

Określa nazwę użytkownika używaną do logowania na serwerze zdalnym. Domyślnie w parametrze -u jest stosowana nazwa użytkownika, która została użyta do zalogowania danego użytkownika.

-p {hasło | *}

Określa, że do logowania na serwerze zdalnym należy używać hasła lub znaku *. Jeżeli zostanie wpisany znak *, zostanie wyświetlony monit o podanie hasła.

-q Pomija wszystkie dane wyjściowe przekazywane do wyjścia standardowego (tryb cichy).

{-uc | -uco | -uci}

Określa, że dane wyjściowe lub wejściowe są formatowane zgodnie ze standardem Unicode. Następująca tabela zawiera listę i opisy poszczególnych formatów.

{flv}ActiveDirectory/comp_add_mod/comp_add_mod{/flv}

Tworzenie i modyfikacja konta komputera

Warto zapamiętać:

a) W celu zapewnienia wyższego stopnia bezpieczeństwa, należy zmienić nazwę wbudowanego konta administratora. Nazwę należy zdefiniować tak, aby nie kojarzyła się z kontem administratora. Dzięki temu dostęp do tego konta przez nieuprawnionych użytkowników zostanie znacznie utrudniony.

b) Utworzyć konto dla siebie i zdefiniować dla niego uprawnienia administratorskie. Konta tego należy używać jedynie do wykonywaniu zadań administratorskich.

c) W celu zapewnienia bezpieczeństwa nie zezwalaj by kilku użytkowników korzystało z jednego konta

d) Innym rozwiązaniem jest generowanie losowych haseł dla wszystkich użytkowników. Hasła te powinny składać sie z kombinacji znaków i cyfr. Tworzenie takich haseł zwiększa poziom bezpieczeństwa w sieci, często jednak użytkownicy, jeżeli maja trudności z zapamiętaniem haseł, zapisują je na przechowywanych obok komputera kartkach.

e) Nowy użytkownik o takiej samej nazwie jak poprzednio skasowany nie otrzymuje automatycznie uprawnień i przynależności do grup jakie posiadało skasowane konto ponieważ identyfikator zabezpieczeń (SID) dla każdego konta jest unikalny. Jeśli chcesz zduplikować skasowane konto musisz odtworzyć wszystkie uprawnienia i członkostwo w grupach ręcznie.

f) Utworzyć konto, które będzie wykorzystywane do wykonywania codziennych zadań. Na konto, posiadające uprawnienia administratora należy się logować tylko w przypadku, gdy są do wykonania jakieś zadania administratorskie.

g) Komputery z systemami Windows 95 i Windows 98 nie posiadają zaawansowanych funkcji zabezpieczeń, dlatego nie można stworzyć dla nich kont komputerów.

h) W sieciach o niskim poziomie bezpieczeństwa można odblokować konto Gość. Należy jednak koniecznie zdefiniować dla tego konta hasło. Konto to domyślnie jest zablokowane.

i) Można zawsze wymagać od nowego użytkownika, aby zmieniał hasło przy pierwszym logowaniu. Dzięki temu administrator może być pewien, ze hasła są unikalne i znane tylko użytkownikom. Metoda ma te wadę, że użytkownicy często wybierają hasła trywialne do odgadnięcia, co ułatwia włamanie metoda zgadywania hasła.

j) Jeśli konto Administratora jest wyłączone, może być nadal używane w celu dostania się do kontrolera domeny w trybie bezpiecznego uruchamiania (ang. Safe Mode)

k) Należy bezwzględnie zabezpieczać każde konto hasłem, nawet, jeżeli użytkownik będzie musiał zmienić to hasło przy pierwszym logowaniu.

l) Lokalnych kont użytkowników nie można tworzyć na kontrolerach domeny.

m) Warto określić datę wygaśnięcia konta w przypadku, gdy będzie ono wykorzystywane tylko przez pewien określony czas (np. konta pracowników tymczasowych).

BIBLIOGRAFIA

http://infojama.pl/175,artykul.aspx

http://rbanasi.kis.p.lodz.pl/sso/ad2.pdf

http://technet.microsoft.com/pl-pl/library/cc770319%28WS.10%29.aspx

http://support.microsoft.com/kb/310997/pl

http://technet.microsoft.com/pl-pl/library/cc770970.aspx

http://www.kraszewscy.net/Podstawy_LDAP

http://www.pcworld.pl/artykuly/40698_3_1/Administarcja.dla.leniuchow.html#sub57662

http://tech-blog.it/2009/02/delegowanie-uprawnien-administracyjnych-dla-jednostki-organizacyjnej-ou/

http://technet.microsoft.com/pl-pl/library/default%28en-us%29.aspx

http://www.wstt.edu.pl/pliki/materialy/aswnt/wyklad/wyk1-2.pdf

http://www.pcworld.pl/artykuly/42393/Administracja.od.podstaw.html#top

http://support.microsoft.com/kb/973289/pl

http://support.microsoft.com/kb/816313/pl

http://infojama.pl/177,artykul.aspx