Moduł 3: Zarządzanie grupami Piotr Pawlik Koło Nowych Technologii PJWSTK
Przegląd zagadnień Tworzenie grup Zarządzanie członkostwem grupy Strategia stosowania grup Modyfikowanie grup Wykorzystanie grup domyślnych Porady dotyczące zarządzania grupami
Lekcja: Tworzenie grup Co to są grupy? Jakie są poziomy funkcjonalne domeny? Co to są grupy globalne? Co to są grupy uniwersalne? Co to są domenowe grupy lokalne? Co to są grupy lokalne? Gdzie tworzy się grupy? Porady dotyczące nazewnictwa grup W jaki sposób utworzyć grupę?
Co to są grupy? Co to są grupy? Grupy są zbiorem kont użytkowników lub komputerów, którymi można zarządzać, tak jak pojedynczym obiektem. Grupy: 1. Upraszczają administrację, umożliwiając nadawanie uprawnień do zasobów grupie zamiast indywidualnie każdemu użytkownikowi. 2.Mogą znajdować się w usłudze Active Directory lub lokalnie na komputerze. 3.Mogą różnić się typem oraz zakresem. 4.Mogą być zagnieżdżane, co oznacza, ze grupę można dodać do innej grupy. Zakres grupy określa, czy grupa może obejmować swoim zasięgiem wiele domen, czy jest ograniczona do pojedynczej domeny. Zakresy grup umożliwiają wykorzystanie grup do nadawanie uprawnień. Zakres grupy determinuje: 1. Domeny, z których można dodać członków do grupy. 2. Domeny, w których można nadawać uprawnienia grupie. 3. Domeny, w których można zagnieżdżać grupę w innych grupach. Zakres grupy determinuje, kto może zostać członkiem grupy. Zasady członkostwa zarządzają kontami, które mogą do grupy należeć oraz grupami, których członkiem może być grupa. Członkami grupy mogą być konta użytkowników i inne grupy. Aby przypisać właściwych członków do grupy oraz aby korzystać z zagnieżdżania, ważne jest zrozumienie charakterystyki zakresu grupy. Dostępne są następujące zakresy grupy: 1. Globalny 2. Lokalny w domenie 3. Uniwersalny Typy grup Grupy stosowane są do organizowania kont użytkowników, kont komputerów oraz kont innych grup w łatwe do zarządzania jednostki. Operowanie na grupach zamiast pojedynczych użytkownikach ułatwia zarządzanie i administrację siecią.
Jakie są poziomy funkcjonalne domeny? Poziom można zmienić przez konsolę AD Domains and Trusts
Co to są grupy globalne?
Co to są domenowe grupy lokalne?
Co to są grupy lokalne? Nie jest możliwe zagnieżdżanie grup Tylko obiekty z bazy SAM można dodać do grupy.
Gdzie tworzy się grupy?
Porady dotyczące nazewnictwa grup
W jaki sposób utworzyć grupę? Demo Tworzenie grupy w domenie – domain operators, domain admins, enterprise admins – active directory users and computers Tworzenie grupy lokalnej na serwerze członkowskim – computer management Tworzenie grupy przy użyciu wiersza poleceń – dsadd group Usuwanie grupy – kazda grupa ma SID – jeśli usuniemy grupę i stworzymy identyczną to SID jest inny Usuwanie grupy przy użyciu wiersza poleceń - dsrm
Lekcja: Zarządzanie członkostwem grupy Karty właściwości Member oraz Member of W jaki sposób sprawdzić do jakich grup należy użytkownik? W jaki sposób dodawać i usuwać członków grupy
Karty właściwości Members oraz Member of Members – prezentuje członków grupy, obiekty danej grupy Member of – do jakich innych grup dana grupa należy
W jaki sposób sprawdzić, do jakich grup należy użytkownik? Weryfikacja przynależności użytkownika do grup – AD Users and Computers Weryfikacja przynależności użytkownika do grup przy użyciu wiersza poleceń – polecenie dsget
W jaki sposób dodawać i usuwać członków grupy? Karta Members we właściwościach danej grupy -> Add Dodanie do grupy. We właściwościach konta użytkownika zakładka Member of -> Add
Demo. Zarządzanie członkostwem grupy
Lekcja: Strategie stosowania grup A- account G – grupy globalne DL –Domain local P -uprawnienie
Strategia A G DL P
Przykład: A G DL P
Przykład: A G DL P
Przykład: A G DL P
Przykład: A G DL P
Co to jest zagnieżdżanie grup?
Strategia stosowania grup A g p – jeśli użytkownikom z wielu domen chcemy nadać uprawnienia do jednego zasobu to jest problem A dl p – dl jest tylko dla pojedynczej domeny w srodowisku wielodomenowym jest problem W default jest włączony poziom domeny mieszany, czyli na serwerach członkowskich nie ma dostępu do grup DL A G U DL P – pozwala na kontrolowanie grup domenowych lokalnych poprzez zamykanie ich w grupach uniwersalnych. Informacje o członkostwie w grupach globalnych przetrzymywane są w GC.
Lekcja: Modyfikowanie grup Modyfikowanie zakresu lub typu grupy W jaki sposób zmienić zakres lub typ? W jakim celu przydziela się menedżera do grupy? W jaki sposób przydzielić menedżera do grupy?
Modyfikacja zakresu lub typu Zmiana zakresu grupy Globalny na uniwersalny Domenowy lokalny na uniwersalny Uniwersalny na globalny Uniwersalny na domenowy lokalny Zmiana typu grupy Grupa zabezpieczeń na grupa dystrybucyjną Grupa dystrybucyjna na grupa zabezpieczeń Jeśli grupa globalna A należy do grupy globalnej B to nie możemy jej zmienić na uniwersalną , bo uniwersalna nie może należeć do globalnej
W jaki sposób zmienić zakres lub typ? AD Users and Computers
W jakim celu przydziela się menedżera do grupy?
W jaki sposób przydzielić menedżera? We właściwościach (Properties) danej grupy przechodzimy do zakładki Managed by
DEMO. Przydzielanie menedżera
Lekcja: Stosowanie grup domyślnych Grupy domyślne na serwerach członkowskich Grupy domyślne w usłudze Active Directory Kiedy należy stosować grupy domyślne? Zabezpieczenia w kontekście grup domyślnych Grupy Systemowe
Grupy domyślne na serwerach członkowskich Mmc -> computer management Grupy domyślne = grupy wbudowane Do Administrators dodawane jest Domain Admin… po dodaniu serwera członkowskiego do domeny Power users – grupa silnych użytkowników, zarządzanie grupami lokalnymi, shareowanie zasobów, brak ownerowania zasobów, brak instalacji driverów, brak zarządzania dziennikami inspekcji,… Print operators – zarządzanie kolejkami wydruku, drukarkami, etc… Guests – profil usuwany po wylogowaniu, admin zarządza tym do czego gość ma dostęp jakie ma mieć uprawnienia. Users – dodawanie grupy Domain Users po dodaniu serwera członkowskiego do domeny Performance log users – zarządzanie licznikami, dziennikami Performance monitor – można zdalnie monitorować serwery
Grupy domyślne w usłudze AD AD Users and Computers -> kontener Bultin i kontener Users W bultin znajdują się grupy domenowe lokalne W Users znajdują się grupy lokalne domenowe oraz globalne. Grupy uniwersalne: Enterprise Administrators -> grupa Uniwersalna – zawiera konto administratora z pierwszej domeny (pełne możliwości administracyjne w każdej domenie w lesie) Schema admins -> modyfikowanie schematu (schemat wyznacza pewne wzorce dla domeny) Zamiast grupy Power Users mamy grupy Account Operators oraz Serwer operators. Account nie ma dostępu do zarządzania grupą administratorów. Serwer Operators - Zarządzanie dyskami, proces archiwizachi, udostępnianie zasobów, wyłączenie serwera
Kiedy należy stosować grupy domyślne?
Zabezpieczenia w kontekście grup domyślnych
Grupy systemowe Anonymus login Everyone – dobre np. przy inspekcji Jeśli udostępniany jest jakiś folder w w2k3 to uprawnienia są nadawane dla everyone na Read Authenticated Users – użytkownicy którzy posiadają konto w naszej sieci. Nie obejmuje konta gościa. Owner – osoba która tworzy obiekt, przejumuje na właśność. Działa na poziomie folderu. Interaktive – user który przeprowadził logowanie przy konsoli Network – wszyscy który podłączyli się przez sieć.
Porady dotyczące zarządzania grupami
Moduł 3. Tworzenie i zarządzanie grupami LAB