Active directory – GPO,OU

Post on 15-Jan-2016

50 views 2 download

Preview:

Click to see full reader
Report this document
SHARE

description

Active directory – GPO,OU. Obsah prednášky. Inštalácia AD Pridanie počítača do domény Organizačné jednotky Skupinové politiky – GPO, grou policy objects. Inštalácia AD. Nutnosť byť lokálny admin Nutnosť mať nainštalovaný, alebo v priebehu Ad sa môže nainštalovať aj DNS server. - PowerPoint PPT Presentation

transcript

YOUR LOGO

Active directory – GPO,OU

YOUR LOGO

Obsah prednášky

Inštalácia AD

Pridanie počítača do domény

Organizačné jednotky

Skupinové politiky – GPO, grou policy objects

YOUR LOGO

Inštalácia AD

Nutnosť byť lokálny admin

Nutnosť mať nainštalovaný, alebo v priebehu Ad sa môže nainštalovať aj DNS server.

YOUR LOGO

Nová doména alebo podporný server, pre exist. doménu?

YOUR LOGO

Vytvorenie forest, tree, alebo domain?

Ak sa rozhodnem pre 2, 3, tak musím zadať názov existujúcej domény a taktiež heso Enterprise Admina

YOUR LOGO

Názov domény

Nie nutne príponu DNS, ktorá je bežná.

Zabezpečím bezpečnosť z venku

YOUR LOGO

Umiestnenie DB

Vhodné umiestiť inam ako Systémový disk (Windows)

YOUR LOGO

Sysvol

Replikačný adresár AD

Ukladajú sa v ňom GPO

Je zdieľaný

YOUR LOGO

Ak ne je dostupné DNS nutná inštalácia

YOUR LOGO

Kompatibilita

YOUR LOGO

Restore mode passwd

Ak nabootojem do AD safe modu (F8 pri štarte), tak nie je možné sa prihlásiť do AD pretože je vypnuté

Lokálny užívatelia ale neexistujú

Nutnosť zadať toto heslo pri vstupe do AD safe modu

YOUR LOGO

Summary, Instalace, restart

YOUR LOGO

Priradenie Počítača do domény

Stanica musí mať dostupný DNS server, na kt. je odkaz na AD

Na stanici musím byť prihlásený ako lokálny admin

Nastavenie My computer, vlastnosti, zmeniť nastavenia

Priradiť stanicu do domény, nutnosť poznať meno.

Po pridaní nutnosť zadať heslo už existujúceho užívatela v AD, nemusí byť admin. Ak standard user, tak môže priradiť 10 staníc do domény, admin neobmedzene.

Po pridaní nutný restart

YOUR LOGO

YOUR LOGO

Zadanie názvu domény

YOUR LOGO

Prihlásenie

Stanica alebo server v AD- Možnosť sa prihlásiť aj lokálne aj do AD

- VISTA1\homer, alebo do AD FOURTHCOFFEE\Homer

Server, ktorý je DC – iba prihlásenie do domény- Lokálny admin sa pri inštalácii stane doménovým adminom

- Standard user sa nemôže default na Server na ktorom je Dc prihlásiť

YOUR LOGO

Organizačné jednotky OU

Základná jednotka pre správu objektov.

Vytvára hierarchickú štruktúru

Jeden objekt môže byť iba v jednej OU

Na OU nastavujem politiky – nastavenia, obmedzenia,...

Na OU nastavujem delegovanie

YOUR LOGO

Správa OU

Active Directory users and Computer

YOUR LOGO

Default

Default nastavenie len „domain controllers“ je OU

Ostatné sú – containers

Na containers nenastavujem GPO a nemôžem delegovať

V containers nemôžem vytvárať vnorené OU

YOUR LOGO

Vytvorenie OU

YOUR LOGO

Default containers

Ak použijem uvedené príkazy, tak užívateľ aj computer sú vytvorené v default containeroch.

Niekedy je snaha presmerovať - Redirusr OU=Test, DC=fourthcofee,DC=com

- Redircmp OU=Test, DC=fourthcofee,DC=com

YOUR LOGO

OU ciele

Logické uspôsobenie objektov- Možnosti vyhľadávania

- Skrývanie objektov

Správa

Skupinové politiky

Delegace – určenie zodpovednosti.

!Nenastavujem ACL – access control list, teda oprávnenia a práva prístupu napr na tiskárnu. Na to používam skupiny, nie OU!!!

YOUR LOGO

Presun delete,...

Objekty medzi OU možné prenášať – drag and drop

Ak zmažem OU tak po upozornení zmažem aj objekty

YOUR LOGO

DSADD

Možnosť priadania z konzoli

Dsadd ou ou=test,dc=fourthcoffee,dc=com

Alebo remove

Dsrm ou=test,dc=fourthcoffee,dc=com

Dsmove...- presun aj zmena mena

Všetky presuny iba v rámci domény!

YOUR LOGO

Možnosť použiť vbscript – nie nutné sakúšku

'Set domain naming context as testing.com

Set DNC = GetObject("LDAP://dc=testing,dc=com")

'Create OU

Set NewOU = DNC.Create("organizationalUnit","OU=Praha")

'Configure the OU properties

NewOU.ou = „Praha"

NewOU.SetInfo

MsgBox "The Praha OU has been created“

YOUR LOGO

Štruktúra OU

Veľmi podstatný faktor, nutnosť stanoviť a zdokumentovať

Na štruktúru vplýva: lokalizácia, delegácia, rôznorodosť HW a počítačov, veľkosť organizácie a dostupnosť.

Často volíme na rovnakom leveli pobočky (lokalizácia), funkcie (sales, marketing), HW (servers, WS)

YOUR LOGO

Napr. lokalizácia

YOUR LOGO

Napr. Funkcie – business units

YOUR LOGO

Napr. HW, Users

YOUR LOGO

Delegovanie

Určenie užívateľa alebo skupiny, ktorá bude mať oprávnenia nad určitou OU a jej pod OU.

Delegovanei je dedičné na podradené OU

YOUR LOGO

Určenie komu delegujeme oprávnenia

YOUR LOGO

Určenie aké oprávnenia delegujeme

YOUR LOGO

Custom, môže špecifikovať typ objektov a atribúty

YOUR LOGO

General alebo propery specific

YOUR LOGO

Security tab

Výsledok delegácie je nastavenie v časti security

YOUR LOGO

YOUR LOGO

Upozornenie

Nikdy nedelegujte užívateľovi oprávnenie nad jeho vlastnou skupinou, tak že by skupina bola v OU nad ktorou ma užívateľ veľké právo.

Užívateľ by mohol pridať niekoho iného do danej skupiny!!!

YOUR LOGO

Group policy Objects

Odporúčané nainštalovanie Grou policy management konzole.

Nastavenie GPO na konkrétnom OU, nie skupine!

YOUR LOGO

GPO

GPO – objekt skupinovej politiky

Možnosť nalinkovať jeden objekt na viac OU

Delete – mažem GPO, alebo iba link?

YOUR LOGO

GPO

Viac ako 300 možných nastavení a obmedzení na počítače a užívateľov

Možnosť zakázať zmenu plochy, Contrl panels, zakázať CMD a podobne.

YOUR LOGO

GPO editor

Computer a User Configuration

Obecne rôzne nastavenia, v prípade rovnakých je CC silnejšie.

Computer Config – sa uplatňuje iba na PC v danej OU

User Config - sa uplatňuje iba na užívateľov v danej OU a skupiny

YOUR LOGO

YOUR LOGO

Nastavenie politiky

GPO má všetky nastavenia „Not configured“

Toto nastavenie sa neuplatní a ponechá default, alebo uplatnenie inej politike.

Politiky sa uplatňujú postupne, posledná uplatnená „prebije“ predchádzajúce – ak je nastavená (nie not configured)

YOUR LOGO

Postupnosť uplatnenia

Local – počítač, aj keď nie je v AD, má svoju politiku

Site – viac ako doména

Domain – doménová politika, existuje „default domain policy“

OU – politika na OU, a postupne hierarchicky na ďalších OU.

YOUR LOGO

Link GPO

Možnosť nalinkovať Drag-and drop GPO na OU

YOUR LOGO

Delete Linku

YOUR LOGO

Delete GPO – zmaže aj všetky linky

YOUR LOGO

Link Disable

Ak odškrtneme Link enable, tak potom link zostane ale sa neuplatní.

Vhodné pre testovanie

YOUR LOGO

Blokovanie dedičnosti

Na OU je možnosť zvoliť blokovanie dedičnosti.

Blokuje distribúciu uplatnenie VŠETKÝCH GPO z nadradených OU na seba.

Pozor aj Default Domain Policy sa neuplatní

Značné zníženie bezpečnosti.

YOUR LOGO

Enforced

Na konkrétnom Linku, konkrétnej OU je možné zvoliť Enforced (v staršej konzole – No Override)

Zabezpečí, že daná politika sa bude dediť aj na priek Block inheritance.

Dôležité u bezpečnostných politík

YOUR LOGO

Uplatnenie politiky

Rôzne, závislé od politík- Často stačí na stanici príkaz: gpupdate /force

- U politík, ako inštalácia SW nutný Logou, Login

- U plitík, inštalácia SW na PC, nutný reštart PC.

Top related

CLOTURE PROCEDURE - GPO
Documents
GPO Distribution Guide - PNLTools Ltd · 1. Open de 'Active Directory Users and Computers' MMC snap-in. 2. Right click on the domain or OU which contains all computer accounts of
Documents
AUDIT REPORT - GPO
Documents
Annual Report 2016-17 & tb ;vollbvv bomo=| ; ou| ;um$;uub|ou · 2017-10-18 · 4 | Utilities Commission Charles Darwin Centre 19 The Mall DARWIN NT 0800 Postal Address GPO Box 915
Documents
Insurance Department Directory - Puerto Ricoocs.pr.gov/ocspr/documents/NAIC/INS-OU-10-02-ELS.pdf · Insurance Department Directory $XJXVW 2010 (volume/issue 10-0 ) Regulator Use Only
Documents
GPO 07-2010
Documents
gateProtect GPO 125
Documents
k50ii-mb r20 0309 · 2013-12-21 · gpg1 gpg2 gpa7 gpo gpo alt gpi gpi gpi gpi gpi gpo gpi gpo gpi gpi od use as powersignal name pm_susc# ec gpio alt gpo gpi gpo gpo gpo alt alt
Documents
Bernhard van der feen Microsoftdownload.microsoft.com/download/8/3/2/8323fd80-5884-4f1a-b8f9-e… · Management System System Center, Active Directory GPO Perimeter Forefront Edge
Documents
GPO product brochure
Documents
repositorio.ingemmet.gob.pe · de Secce 25-11 Dep. Dep. Dep. Dep. GPO. GPO. GPO. GPO. GPO. GPO. u to 512 b Ya hpi\ nas 2015' 12 000' 75 000' N CON SISTEMA CRETACEO JURASICO TRIASICO
Documents
Gpo Platform 2011
Documents
CONGRESSIONAL RECORD - GPO
Documents
DIRECTORY - ou
Documents
WORKMAN SERIES GLOVESLARGE GPL-10YL XLARGE GPL-10Y1L XLARGE GPL-10Y2L SIZE BLACK SMALL GPO-12KS MEDIUM GPO-12KM LARGE GPO-12KL XLARGE GPO-12K1L XXLARGE GPO-12K2L Full nitrile dipped
Documents
Gpo windows(4)
Technology
Installing/Uninstalling Client-Side Password Reset ... · Select the Domain or the OU on which you wish to set the group policy (or GPO). 3. Right Click on the domain or OU and select
Documents
GPO Box 4509, Melbourne, VIC 3000d3n8a8pro7vhmx.cloudfront.net/ofa/pages/98/attachmen… ·  · 2014-02-03Victorian organic products directory 2009 1 Minister’s foreword Victoria
Documents
GPO Lubricator
Documents
GPO Tributes Package
Documents

Copyright © 2018 DOCUMENTS