Intelligens rendszerfelgyelet VIMIA 370 Active Directory Micskei Zoltn

Intelligens rendszerfelügyelet (VIMIA 370) Active Directory Micskei Zoltán http: //mit. bme. hu/~micskeiz/ Budapesti Műszaki

Az előző részek § Modellezés § Szkriptelés § Központosított felhasználókezelés, címtárak o LDAP o

Active Directory (AD) § Microsoft címtár implementációja § Infrastruktúra alapja o hitelesítés, menedzsment o

AD címtár szerkezete § Fa szerkezet, LDAP címtár (csak el van fedve: ) §

DEMO AD Users and Computers o fa szerkezet, tárolók és elemek o felhasználó létrehozása

AD tartományok Forest root tree root Domain tree ou root parent ou omikk. local

AD működése § Tartományvezérlő (Domain Controller, DC) § Címtár adatbázis o C: WINDOWSNTDSntds. dit

DEMO AD integrált DNS § Forward Lookup Zones o A rekordok o SRV rekordok

AD belső felépítése § Partíciók o Tartomány o Konfiguráció • szerverek, telephelyek o Séma

DEMO Sysinternals AD Explorer § Bejegyzések: belső attribútum nevek § Configuration § Séma: pl.

További AD szolgáltatások § Active Directory Domain Services o Címtár, erről volt szó eddig

Tartalom § Az Active Directory felépítése § Központosított felügyelet és jogosultságkezelés § AD elérése

Központosított jogosultságkezelés § Egy gépen beállítottam a böngészőt, vírusirtót… o Mi lesz a többi

Csoportházirend (Group Policy) § Windowsos gépek adminisztrálásához alap § ~3500 beállítás o start menü

Csoportházirend fajtái § Számítógép szintű o SW telepítés, tűzfal, Windows Update… § Felhasználó szintű

Csoportházirend kiértékelés § Házirend: örökölhető, felül definiálható § Tipikus értékek: Igen / Nem definiált

DEMO Csoportházirend § Group Policy Management Console o szerkesztés o eredő házirend § Group

DEMO Csoportházirend § Group Policy Management Console o Keresés (Angol billentyűzetkiosztás legyen!) § Beállítások:

Saját GP készítése § Csoportházirend: XML leíró (ADMX fájl) <policy name="No. Auto. Update" class="User"

AD elérése programozottan § ds* parancsok (pl. dsadd, dsquery) o Egyszerű műveletek § Tetszőleges

Active. Directory module for Power. Shell § Windows Server 2008 R 2 -ban megjelent:

Active. Directory modul architektúrája 23

Keresés LDAP címtárban Search. Root: honnan Page. Size: hány elemet Scope: mik között -

DEMO AD module for Power. Shell § AD Provider használata: cd AD: cd "DC=irfhf,

Kitekintés § Készen vagyunk? Open. LDAP Active Directory 32

Identity management § Több, különböző felhasználói siló jött létre § Megoldások o Címtárak szinkronizációja

Összefoglalás § Active Directory o Windows alapú IT rendszer lelke o Kötelező ismerni vállalati

További információ Active Directory: § Gál Tamás, Szabó Levente, Szerényi László: Rendszerfelügyelet rendszergazdáknak, Szak

Slides: 35

Download presentation

Intelligens rendszerfelügyelet (VIMIA 370) Active Directory Micskei Zoltán http: //mit. bme. hu/~micskeiz/ Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék

Az előző részek § Modellezés § Szkriptelés § Központosított felhasználókezelés, címtárak o LDAP o Active Directory 2

Active Directory (AD) § Microsoft címtár implementációja § Infrastruktúra alapja o hitelesítés, menedzsment o sok szervertermék és alkalmazás igényli § Tárolt elemek o felhasználók, csoportok o gépek, nyomtatók o megosztott könyvtárak o… 3

AD címtár szerkezete § Fa szerkezet, LDAP címtár (csak el van fedve: ) § Hierarchia eleme: szervezeti egység (organizational unit) § Struktúra kialakításának alapja: § Delegálás § Házirendek 4

DEMO AD Users and Computers o fa szerkezet, tárolók és elemek o felhasználó létrehozása • nevek, jelszó opciók o felhasználó tulajdonságai • adatok, címek, profil, dial-in o csoport • jogosultságosztás (RBAC) • levélküldés 5

AD tartományok Forest root tree root Domain tree ou root parent ou omikk. local bme. local • Tartomány • Fa • Erdő child vik. bme. local child gpk. bme. local 6

AD működése § Tartományvezérlő (Domain Controller, DC) § Címtár adatbázis o C: WINDOWSNTDSntds. dit o SYSVOL megosztás: házirend, logon script § DNS o AD tartomány ↔ publikus DNS név bme. local ↔ bme. hu o Szerverek megtalálása: SRV rekordok 7

DEMO AD integrált DNS § Forward Lookup Zones o A rekordok o SRV rekordok § Reverse Lookup Zones § Forwarders 8

AD belső felépítése § Partíciók o Tartomány o Konfiguráció • szerverek, telephelyek o Séma • osztályok, attribútumok o Egyéb alkalmazás § Gyakori attribútumok o CN: common name o DC: domain component 9

DEMO Sysinternals AD Explorer § Bejegyzések: belső attribútum nevek § Configuration § Séma: pl. User, People, Computer 10

További AD szolgáltatások § Active Directory Domain Services o Címtár, erről volt szó eddig § Active Directory Rights Management Services o DRM megoldás § Active Directory Federation Services o Címtárak összekapcsolása más felhasználókezelővel § Active Directory Certificate Services o Tanúsítványok kiállítása, központi kezelése § Active Directory Lightweight Directory Services o Saját alkalmazásunk adatainak tárolása a címtárban 11

Tartalom § Az Active Directory felépítése § Központosított felügyelet és jogosultságkezelés § AD elérése programozottan § Kitekintés 12

Központosított jogosultságkezelés § Egy gépen beállítottam a böngészőt, vírusirtót… o Mi lesz a többi 10 -zel? ? § Megoldás: o Kézzel végigmegyek mindegyiken: 1000 gép esetén? o Szkript: aktuális állapot, frissítés? o Központi tárolás, érvényesítés, lekérdezés 13

Csoportházirend (Group Policy) § Windowsos gépek adminisztrálásához alap § ~3500 beállítás o start menü elemei, IE honlap… § Kötelezően érvényre jutó beállítások § Helyi rendszergazda nem tudja felülbírálni 14

Csoportházirend fajtái § Számítógép szintű o SW telepítés, tűzfal, Windows Update… § Felhasználó szintű o mappa átirányítás, képernyő beállítás, nyomtatók § Beépített: szoftver telepítés, biztonsági beállítás… § Felügyeleti sablon (admx fájl): kiegészítések § Policy vs. Preferences (Server 2008 óta) 15

Csoportházirend kiértékelés § Házirend: örökölhető, felül definiálható § Tipikus értékek: Igen / Nem definiált § § 16 Helyi szintű házirend Telephely szintű Tartomány szintű OU szintű (legalsóbb szintű felé)

DEMO Csoportházirend § Group Policy Management Console o szerkesztés o eredő házirend § Group Policy Settings Reference XLS 17

DEMO Csoportházirend § Group Policy Management Console o Keresés (Angol billentyűzetkiosztás legyen!) § Beállítások: o Számítógép szintű: tűzfal bekapcsolása (helyi gépről nem kapcsolható ki) o Felhasználó: profil méretének korlátozása § Frissítés: o gpupdate /force 18

Saját GP készítése § Csoportházirend: XML leíró (ADMX fájl) <policy name="No. Auto. Update" class="User" key="SoftwareMicrosoftWindowsCurrent. VersionPoliciesExp lorer" value. Name="No. Auto. Update"> <enabled. Value><decimal value="1" /></enabled. Value> </policy> § Saját alkalmazásunkhoz is készíthető ilyen o Nagyvállalati környezetben erősen ajánlott § Pl. Lenovo System Update Administrator Tools 19

Tartalom § Az Active Directory felépítése § Központosított felügyelet és jogosultságkezelés § AD elérése programozottan § Kitekintés 20

AD elérése programozottan § ds* parancsok (pl. dsadd, dsquery) o Egyszerű műveletek § Tetszőleges LDAP kliens o Pl. Java-s kliensek is §. NET kódból o System. Directory. Services névtér osztályai § Power. Shell o AD Service Interface (ADSI) o Active Directory module (Windows Server 2008 R 2) 21

Active. Directory module for Power. Shell § Windows Server 2008 R 2 -ban megjelent: o Active. Directory modul Power. Shellhez § Natív Power. Shell cmdletek AD-hez (147 db) § AD Provider o AD: meghajtón keresztül elérhető a címtár 22

Active. Directory modul architektúrája 23

Active. Directory cmdletek 24

Keresés LDAP címtárban Search. Root: honnan Page. Size: hány elemet Scope: mik között - Base: csak az az egy elem - One. Level: gyerek közt - Subtree: teljes részfa 25

Keresés LDAP címtárban Search. Root: honnan Page. Size: hány elemet Scope: mik között - Base: csak az az egy elem - One. Level: gyerek közt - Subtree: teljes részfa 26

Keresés LDAP címtárban Search. Root: honnan Page. Size: hány elemet Scope: mik között - Base: csak az az egy elem - One. Level: gyerek közt - Subtree: teljes részfa 27

Keresés LDAP címtárban Search. Root: honnan Page. Size: hány elemet Scope: mik között - Base: csak az az egy elem - One. Level: gyerek közt - Subtree: teljes részfa 28

Keresés LDAP címtárban Search. Root: honnan Page. Size: hány elemet Scope: mik között - Base: csak az az egy elem - One. Level: gyerek közt - Subtree: teljes részfa Filter: mit keresünk 29

DEMO AD module for Power. Shell § AD Provider használata: cd AD: cd "DC=irfhf, DC=local" § Keresés: Get-ADuser -Filter 'name -like "m*" -and mail -like "m*"' -Search. Base "OU=Partners, DC=irfhf, DC=local" § Lásd még: o Get-Help about_Active. Directory* 30

Tartalom § Az Active Directory felépítése § Központosított felügyelet és jogosultságkezelés § AD elérése programozottan § Kitekintés 31

Kitekintés § Készen vagyunk? Open. LDAP Active Directory 32

Identity management § Több, különböző felhasználói siló jött létre § Megoldások o Címtárak szinkronizációja o Metacímtár o Identity mgmt rendszer o… § További feladatok: o Munkafolyamatok: új alkalmazott, elbocsátás… o Jelentések készítése, elemzések 33

Összefoglalás § Active Directory o Windows alapú IT rendszer lelke o Kötelező ismerni vállalati környezetben § Csoportházirend o Központi felügyelet és jogosultság kezelés § Sokféle API az AD kezelésére § Felhasználókezelés: o Címtár: OK o Identity management: még csak most kezdődne… 34

További információ Active Directory: § Gál Tamás, Szabó Levente, Szerényi László: Rendszerfelügyelet rendszergazdáknak, Szak Kiadó, 2007. § Gál Tamás: Windows Server 2008 R 2 – A kihívás állandó, JOS, 2011. (WS 2008 R 2 újdonságok) § Microsoft Technet: Active Directory Services o Planning, Deployment, Operations, Troubleshoot Active. Directory Power. Shell modul: § Active Directory Power. Shell blog § Soós Tibor: Microsoft Power. Shell 2. 0 rendszergazdáknak – elmélet és gyakorlat, 2010. 35