1 Moduł 3: Zarządzanie grupamiPiotr Pawlik Koło Nowych Technologii PJWSTK
2 Przegląd zagadnień Tworzenie grup Zarządzanie członkostwem grupyStrategia stosowania grup Modyfikowanie grup Wykorzystanie grup domyślnych Porady dotyczące zarządzania grupami
3 Lekcja: Tworzenie grupCo to są grupy? Jakie są poziomy funkcjonalne domeny? Co to są grupy globalne? Co to są grupy uniwersalne? Co to są domenowe grupy lokalne? Co to są grupy lokalne? Gdzie tworzy się grupy? Porady dotyczące nazewnictwa grup W jaki sposób utworzyć grupę?
4 Co to są grupy? Co to są grupy?Grupy są zbiorem kont użytkowników lub komputerów, którymi można zarządzać, tak jak pojedynczym obiektem. Grupy: 1. Upraszczają administrację, umożliwiając nadawanie uprawnień do zasobów grupie zamiast indywidualnie każdemu użytkownikowi. 2.Mogą znajdować się w usłudze Active Directory lub lokalnie na komputerze. 3.Mogą różnić się typem oraz zakresem. 4.Mogą być zagnieżdżane, co oznacza, ze grupę można dodać do innej grupy. Zakres grupy określa, czy grupa może obejmować swoim zasięgiem wiele domen, czy jest ograniczona do pojedynczej domeny. Zakresy grup umożliwiają wykorzystanie grup do nadawanie uprawnień. Zakres grupy determinuje: 1. Domeny, z których można dodać członków do grupy. 2. Domeny, w których można nadawać uprawnienia grupie. 3. Domeny, w których można zagnieżdżać grupę w innych grupach. Zakres grupy determinuje, kto może zostać członkiem grupy. Zasady członkostwa zarządzają kontami, które mogą do grupy należeć oraz grupami, których członkiem może być grupa. Członkami grupy mogą być konta użytkowników i inne grupy. Aby przypisać właściwych członków do grupy oraz aby korzystać z zagnieżdżania, ważne jest zrozumienie charakterystyki zakresu grupy. Dostępne są następujące zakresy grupy: 1. Globalny 2. Lokalny w domenie 3. Uniwersalny Typy grup Grupy stosowane są do organizowania kont użytkowników, kont komputerów oraz kont innych grup w łatwe do zarządzania jednostki. Operowanie na grupach zamiast pojedynczych użytkownikach ułatwia zarządzanie i administrację siecią.
5 Jakie są poziomy funkcjonalne domeny?Poziom można zmienić przez konsolę AD Domains and Trusts
6 Co to są grupy globalne?
7 Co to są domenowe grupy lokalne?
8 Co to są grupy lokalne? Nie jest możliwe zagnieżdżanie grupTylko obiekty z bazy SAM można dodać do grupy.
9 Gdzie tworzy się grupy?
10 Porady dotyczące nazewnictwa grup
11 W jaki sposób utworzyć grupę?Demo Tworzenie grupy w domenie – domain operators, domain admins, enterprise admins – active directory users and computers Tworzenie grupy lokalnej na serwerze członkowskim – computer management Tworzenie grupy przy użyciu wiersza poleceń – dsadd group Usuwanie grupy – kazda grupa ma SID – jeśli usuniemy grupę i stworzymy identyczną to SID jest inny Usuwanie grupy przy użyciu wiersza poleceń - dsrm
12 Lekcja: Zarządzanie członkostwem grupyKarty właściwości Member oraz Member of W jaki sposób sprawdzić do jakich grup należy użytkownik? W jaki sposób dodawać i usuwać członków grupy
13 Karty właściwości Members oraz Member ofMembers – prezentuje członków grupy, obiekty danej grupy Member of – do jakich innych grup dana grupa należy
14 W jaki sposób sprawdzić, do jakich grup należy użytkownik?Weryfikacja przynależności użytkownika do grup – AD Users and Computers Weryfikacja przynależności użytkownika do grup przy użyciu wiersza poleceń – polecenie dsget
15 W jaki sposób dodawać i usuwać członków grupy?Karta Members we właściwościach danej grupy -> Add Dodanie do grupy. We właściwościach konta użytkownika zakładka Member of -> Add
16 Demo. Zarządzanie członkostwem grupy
17 Lekcja: Strategie stosowania grupA- account G – grupy globalne DL –Domain local P -uprawnienie
18 Strategia A G DL P
19 Przykład: A G DL P
20 Przykład: A G DL P
21 Przykład: A G DL P
22 Przykład: A G DL P
23 Co to jest zagnieżdżanie grup?
24 Strategia stosowania grupA g p – jeśli użytkownikom z wielu domen chcemy nadać uprawnienia do jednego zasobu to jest problem A dl p – dl jest tylko dla pojedynczej domeny w srodowisku wielodomenowym jest problem W default jest włączony poziom domeny mieszany, czyli na serwerach członkowskich nie ma dostępu do grup DL A G U DL P – pozwala na kontrolowanie grup domenowych lokalnych poprzez zamykanie ich w grupach uniwersalnych. Informacje o członkostwie w grupach globalnych przetrzymywane są w GC.
25 Lekcja: Modyfikowanie grupModyfikowanie zakresu lub typu grupy W jaki sposób zmienić zakres lub typ? W jakim celu przydziela się menedżera do grupy? W jaki sposób przydzielić menedżera do grupy?
26 Modyfikacja zakresu lub typuZmiana zakresu grupy Globalny na uniwersalny Domenowy lokalny na uniwersalny Uniwersalny na globalny Uniwersalny na domenowy lokalny Zmiana typu grupy Grupa zabezpieczeń na grupa dystrybucyjną Grupa dystrybucyjna na grupa zabezpieczeń Jeśli grupa globalna A należy do grupy globalnej B to nie możemy jej zmienić na uniwersalną , bo uniwersalna nie może należeć do globalnej
27 W jaki sposób zmienić zakres lub typ?AD Users and Computers
28 W jakim celu przydziela się menedżera do grupy?
29 W jaki sposób przydzielić menedżera?We właściwościach (Properties) danej grupy przechodzimy do zakładki Managed by
30 DEMO. Przydzielanie menedżera
31 Lekcja: Stosowanie grup domyślnychGrupy domyślne na serwerach członkowskich Grupy domyślne w usłudze Active Directory Kiedy należy stosować grupy domyślne? Zabezpieczenia w kontekście grup domyślnych Grupy Systemowe
32 Grupy domyślne na serwerach członkowskichMmc -> computer management Grupy domyślne = grupy wbudowane Do Administrators dodawane jest Domain Admin… po dodaniu serwera członkowskiego do domeny Power users – grupa silnych użytkowników, zarządzanie grupami lokalnymi, shareowanie zasobów, brak ownerowania zasobów, brak instalacji driverów, brak zarządzania dziennikami inspekcji,… Print operators – zarządzanie kolejkami wydruku, drukarkami, etc… Guests – profil usuwany po wylogowaniu, admin zarządza tym do czego gość ma dostęp jakie ma mieć uprawnienia. Users – dodawanie grupy Domain Users po dodaniu serwera członkowskiego do domeny Performance log users – zarządzanie licznikami, dziennikami Performance monitor – można zdalnie monitorować serwery
33 Grupy domyślne w usłudze ADAD Users and Computers -> kontener Bultin i kontener Users W bultin znajdują się grupy domenowe lokalne W Users znajdują się grupy lokalne domenowe oraz globalne. Grupy uniwersalne: Enterprise Administrators -> grupa Uniwersalna – zawiera konto administratora z pierwszej domeny (pełne możliwości administracyjne w każdej domenie w lesie) Schema admins -> modyfikowanie schematu (schemat wyznacza pewne wzorce dla domeny) Zamiast grupy Power Users mamy grupy Account Operators oraz Serwer operators. Account nie ma dostępu do zarządzania grupą administratorów. Serwer Operators - Zarządzanie dyskami, proces archiwizachi, udostępnianie zasobów, wyłączenie serwera
34 Kiedy należy stosować grupy domyślne?
35 Zabezpieczenia w kontekście grup domyślnych
36 Grupy systemowe Anonymus login Everyone – dobre np. przy inspekcjiJeśli udostępniany jest jakiś folder w w2k3 to uprawnienia są nadawane dla everyone na Read Authenticated Users – użytkownicy którzy posiadają konto w naszej sieci. Nie obejmuje konta gościa. Owner – osoba która tworzy obiekt, przejumuje na właśność. Działa na poziomie folderu. Interaktive – user który przeprowadził logowanie przy konsoli Network – wszyscy który podłączyli się przez sieć.
37 Porady dotyczące zarządzania grupami
38 Moduł 3. Tworzenie i zarządzanie grupamiLAB