Active directory – Active Directory (AD) jest technologi

Active directory – Active Directory (AD) jest technologią
technologi firmy Microsoft, dostępną w systemach Windows Server. Pozwala ona na
zarządzanie tożsamościami, relacjami w sieci firmowej, przez co umożliwia
umo
kontrolę nad całą siecią i wdrożona
żona w prawidłowy sposób
poprawia bezpieczeństwo.
stwo. Usługa Active Directory ma mo
możliwość zarządzania
dzania kontami, konfigurowania ustawień systemowych
użytkownika, praw dostępu,
pu, konfiguracji uprawnie
uprawnień aplikacji, a także w prosty sposób zarządza nimi. Technologia składa się
si z wielu
komponentów. Są to:
•
•
•
•
•
Active Directory Domain Services (AD DS),
Active Directory Rights Management Services (AD RMS),
Active Directory Federation Services (AD FS),
Active Directory Certificate Services (AD CS),
Active Directory Lightweight Directory Services (AD LDS).
Active Directory Domain Services jest centralną
centraln bazą, która jest bezpieczna, łatwo skalowalna i prosta w zarządzaniu.
ądzaniu. Dzi
Dzięki niej można
zarządzać użytkownikami,
ytkownikami, ich prawami dostępu
dostępu do zasobów, komputerami oraz innymi poleceniami. Baza ta jest repozytorium informacji o
użytkownikach,
ytkownikach, obiektach w sieci. Pozwala stworzyć
stworzy strukturę w oparciu o las , domenę , lokalizację , drzewa , OU . Kontroler domeny
pełniący rolę Globalnego Katalogu możee odnajdywać
odnajdywa dowolny obiekt w obrębie
bie lasu. OU jest to jednostka organiz
organizacyjna (Organization
Unit), dzięki której można grupować obiekty np.: uużytkowników,
ytkowników, komputery, drukarki. Struktura Active Directory jest przedstawiona na
rysunku poniżej.+
SCHEMA:
- zawiera definicję wszystkich obietków w lesie,
- jedna schema dla lasu
- 2 typy obiektów: klasa obiektów i atrybuty obiektów
- można rozszerzać i zmianiać
Zalety AD:
•
•
•
•
Skalowalność
Integracja z DNS
Centralne zarządzanie
Delegowana administracja
Active Directory Federation Services umożliwia stosowanie tożsamości
to
i praw dostępuu na wielu platformach, zarówno w środowiskach
opartych o technologie Windows, jak i nie-Windowsowych,
Windowsowych, a także
tak w celach dostarczania dostępu
pu zaufanym partnerom spoza naszej sieci.
Active Directory Certificate Services może
że słu
służyć jako centrum certyfikacyjne, dzięki któremu firmy będąą mogły wystawiać
wystawia cyfrowo
podpisane certyfikaty, będące częścią infrastruktury PKI, która łączy
ł
osoby, urządzenia
dzenia lub usługi z ich prywatnymi kluczami. Certyfikaty
mogą być wykorzystywane do uwierzytelniania uużytkowników i urządzeń,, autoryzacji w oparciu o karty inteligentne, autoryzacji stron
WWW, a takżee aplikacji np.: bezpieczne sieci bezprzewodowe, VPN, EFS, podpis elektroniczny i inne. AD CS wewn
wewnątrz sieci może być
zintegrowany z AD DS i automatycznie wystawiać
wystawia certyfikaty dla użytkowników i urządzeń.
Active Directory Lightweight Directory Services jest substytutem AD DS opartym o ten sam kod źródłowy,
ródłowy, znany równie
również jako Active
Directory Application Services (ADAM). Rola ta umożliwia
umo
dostarczenie usług katalogowych dla aplikacji,
acji, które tego potrzebują.
potrzebuj AD LDS
przetrzymuje i replikuje dane związane
zane tylko z aplikacjami. Jest ono wykorzystywane do aplikacji, które potrzebuj
potrzebują usług katalogowych, ale
nie muszą tych danych rozpowszechniać do kontrolerów domeny.
Komendy CMD – Power Shell
Zmiana hasła administratora:
Net user Administrator P@ssw0rd
Wyświetlenie informacji o interfejsach sieciowych:
Netsh interface ipv4 show interfaces
Ustawianie IP na interfejse ipv4:
Netsh interface ipv4 set address name=”ID”
(id to numer spisany z kolumny Idx z polecenia wyżej)
Source=static address=192.168.1.2 maks=255.255.255.0 gateway=192.168.1.1
Wyświetlenie nazwy komputera:
Hostname
Zmiana nazwy serwer:
Netdom renamecomputer nazwa_komputera /NewName:nazwa_komputera
Dodanie komputera do domeny
Netdom join nazwa_komputera /domanin:nwtraders.msft /userd:Administrator /password:P@ssw0rd
Dodanie użytkownika domenowego do grupy lokalnej administratorów
net localgroup Administrators /add nwtraders/testuser
Aktywacja serwera
Slmgr.vbs –ato
Konfiguracja zapory dla zdalnej administracji
Netsh advfirewall set rule group=”Remote Administration” new enable=yes
Tworzenie jednostki logistycznej za pomocą cmd:
Dsadd ou ou=OUNazwakomputera,ou=”IT Test” jdc=nwtradersJdc=msft
Modyfikacja jednostki logistycznej za pomocą cmd:
Dsmod ou ou=OUNazwakomputera, ou=IT Test”.dc=nwtraders,dc=msft –desc „Nowy oddział – testy”
Usunięcie jednostki logistycznej za pomocą cmd:
Dsrm ou=FinanceJou=OUNazwakomputeraJou=”It Test”, dc=nwtraders, dc=msft
- tworzenie użytkownika przy pomocy cmd
dsadd user "cr^UserPierwszeTrzyLiteryTwojegoNazwiska, ou=it testJdc=nwtradersJdc=msft^ -samid
UserPierwszeTrzyLiteryTwojegoNazwiska -pwd P@ssw0rd
dsadd Computer "cn=Nazwakomputera 002,ou=Nazwakomputera, ou=Locations,dc=nwtraders,dc=msft"
- modyfikacja użytkownika za pomocą cmd:
dsmod user ”cn=JanNazwakomputera,ou=Nazwakomputera, ou=Locations, dc=nwtraders, dc=msft " -fn Jan -ln Nazwakomputera -display
"Jan Nazwakomputera” -upn [email protected] -pwd P@ssw0rd123
-desc „Konto do testu polecenia Dsmod" -Office „Data Center" -tel 213-0101 -email [email protected] -title "Konto
testowe" -dept „Data Center" -company NWTraders -hometel 213-0101
- modyfikacja konta komputera za pomocą cmd:
dsmod Computer "cn=Nazwakomputera-001,ou=Nazwakomputera, ou=LocationsJdc=nwtraders.,dc=msft" -loc Nazwakomputera
- tworzenie grup przy pomocy cmd:
dsadd group "cn=G Nazwakomputera HR Personnel, ou=Nazwakomputera, ou=Locations, dc=nwtraders, dc=msft" - samid "G
Nazwakomputera HR Personnel" -secgrp yes -scope g
Gpupdate – odświeżenie polityk obiektów, parametry:
logoff – wyłączenie po odświeżeniu
boot – restart po odświeżeniu
/target:user -> dla określonego użytkownika
/target:computer -> dla określonego komputera
/force -> wymuszenie odświeżenia
Partycjonowanie Windows Server
Disk Management jest narzędziem systemowym do zarządzania dyskami twardymi i woluminami lub partycjami, które się na nich znajdują.
Przy jego pomocy możemy inicjować dyski, tworzyć woluminy i formatować je w systemie plików FAT,FAT32 lub NTFS. Narzędzie to
pozwala wykonywać większość zadań związanych z dyskami bez potrzeby restartu systemu. Umożliwia również zarządzanie dyskami
komputerów zdalnych.
Dysk przed używaniem musi zostać zainicjowany. Przy inicjowaniu mamy możliwość wybrania jednego z 2 typów partycji:
1) MBR – master boot rekord – pierwszy sektor dysku (512bajtów) jest zarezerwowany na przechowywanie tablicy partycji i program
rozruchowy, pozostała część jest podzielona na partycję, a informację o nich są przechowywane w tablicy partycji. MBR wspiera dwa typy
partycji dla dysków podstawowych: podstawową i rozszerzoną.
•
Partycja podstawowa musi mieć przypisaną literę lub punkt jej montowania. Nie można jej dzielić na dyski logiczne.
•
Partycja rozszerzona może być dzielona na jeden lub więcej dysków logicznych, każdy z nich może być sformatowany i mieć
przypisaną literę dysku lub punkt montowania. Można dzielić na dyski logiczne.
Dyski podstawowe w MBR mogą mieć do czterech partycji podstawowych lub trzy podstawowe o jedną rozszerzoną.
2)GUID partitio table – GPT – używa EFI (extensible firmware interface). Na początku GPT nadal znajduje się MBR – jest on
wykorzystany tylko aby dysk był rozpoznany przez urządzenia niewspierające GPT). Za nim znajduje się nagłówek GPT, który:
- definiuje bloki na dysku dostępne dla partycji oraz przechowuje informację o liczbie i rozmiarach partycji
- przechowuje informację na temat swojej własnej lokalizacji na dysku oraz wskaźnik na zapasowy nagłówek GPT znajdujący się na
końcowych sektorach dysku (jest on wykorzystywany w przypadku uszkodzenia podstawowego nagłówku GPT).
Przestrzeń między nagłówkiem podstawowym, a zapasowym wykorzystywana jest na partycję podstawowe. Partycja również zawiera swój
nagłówek zawierający informację o typie partycji, początkowym oraz kończowym bloku partycji dysku oraz unikalny GUID partycji.
Partycje wymagane przez GPT:
ESP – EFI System Partition – partycja ta musi znajdować się na pierwszym dysku w systemie i jest wymagana do uruchomienia systemu
operacyjnego. W przypadku wersji x64 tworzony jest ESP oraz MSR (Microsoft Reserved Partition).
GPT jest zalecane dla komputerów oparte o procesory Itanium oraz x64 oraz dyski twarde >2TB.
Systemy plików partycji:
- NTFS – preferowany system plików, umożliwia automatycze odzyskiwanie sprawności plików po niektórych błędach dyskowych,
umożliwia obsługę większych dysków. Posiada rozszerzone zabezpieczenie danych z możliwością nadawania uprawnień oraz
szyfrowania
- FAT32 oraz FAT były używane w wcześniejszych systemach operacyjnych. Posiada ograniczenia wielkości partycji do 2GB i
maksymalnej wielkości plików do 4GB.
- exFAT – nie posiada już limitu wielkości partycji oraz wielkości plików, obsługuje rozmiar jednostki alokacji do 32mb. Współpracuje z
każdym dostępnym systemem operacyjnych (Windows, Mac, Linux). Pliki nie mają zabezpieczeń, jedynie możliwość ustawienia ‘tylko do
odczytu’ oraz ‘tylko do zapisu’. Stosowany do wymiennych nośników danych: kart pamięci, dysków przenośnych.
- ReFS – następna NTFS, umożliwia szyfrowanie za pomocą BitLockera lecz brak kompresji i szyfrowania. Istnieją funkcje automatycznego
korygowania błędów, ekstremalną skalowalnośći działanie w trybie always online. Do zarządzania hierarchią katalogów wykorzystana jest
baza danych.
Dyski proste – umożliwia
liwia tworzenie partycji (woluminum) tylko w obszarze jednego dysku fizycznego
fizycznego.
Dyski dynamiczne mają większą funkcjonalność
funkcjonalno niż dyski podstawowe ponieważ:
- umożliwiają tworzenie woluminów składają
składających się z przestrzeni należących
cych do kilku dysków fizycznych i pozwalają
pozwalaj tworzyć dyski
odporne na awarię (RAID-0 oraz RAID-5). Woluminy
Wolumin na dyskach dynamicznych nazywa się woluminami dynamicznymi. Bez wzgl
względu na
typ partycji możemy utworzyć do 2000 dynamicznych woluminów (zalecana <32).
Wolumin prosty – jest zbudowany z przestrzeni znajdującej
znajduj
się na jednym dysku dynamicznym. Przestrzeń ta może
mo być ciągła bądź
podzielona na różne obszary. Można
na zmieniać wielkość woluminu proste poprzez rozszerzenie o przestrzeń,, która nie jest zainic
zainicjowana.
Jeżeli
eli wolumin prosty jest rozszerzony na inne dyski dynamiczne to staje się
si woluminem łączonym.
Wolumin łączony – powstaje poprzez połączenie
ączenie
czenie co najmniej 2 obszarów na co najmniej 2 dyskach dynamicznych. Ważne
Wa
jest, że wolumin
ten nie może być woluminem systemowych ani rozruchowym.
Wolumin rozłożony – jest to wolumin gdzie dane są
s przechowywane na 2 lub większej ilości
ci dysków dynamicznych, a dane są
s zapisywane
w postaci bloków na wszystkich dyskach woluminu jednocześnie.
jednocze
Cechuje się dużą wydajnością jednak nie jest odporne na awarię
awari – w
przypadku uszkodzenia jednego dysku dane mogą
mog nie zostać odtworzone.
Wolumin dublowany – RAID 1 – jest woluminem odpornym na uszkodzenia. Dane z jednego dysku są
s kopiowane i zapisywane na 2 dysku.
W przypadku awarii jednego dysku wszystkie dane są
s przechowywane na dysku 2. Wolumin ten nie może byćć rozszerzony a wielkość
wielko na
obydwu dyskach musi być taka sama.
RAID5 – jest takżee woluminem odpornym na uszkodzenia. Zapis danych odbywa si
się na minimum 3 dyskach fizycznych. Oprócz danych
prawidłowych są zapisywane dane nadmiarowe słu
służące
ce do rekonstrukcji danych w razie awarii. W przypadku awarii jednego dysku dane
d
zostaną odtworzone za pomocą danych na 2 dysku oraz danych nadmiarowych. RAID5 nie może
mo być rozszerzony ani dublowanych.
Porady praktycznie:
•
•
•
•
•
•
•
•
•
•
•
MBR obsługuje woluminy o rozmiarze do 4 TB, a GPT do 18 Exabajtów
Pamiętaj, że GPT nie wspiera dysków wymiennych takich jak
jak USB, Firewire oraz dysków podłączonych jako magazyn dla klastra.
Chcąc skonfigurować dysk zainstalowany pamiętaj, że ścieżka punktu montowania może wskazywać tylko na pusty folder na
dysku podstawowym lub dynamicznym z formatem plików NTFS.
Aby zmodyfikować
wać ścieżkę folderu, w którym jest zamontowany dysk, musisz usunąć i stworzyć ją na nowo. Nie można
edytować jej bezpośrednio.
Usuwanie i reorganizacja partycji lub woluminów często wiąże się z niszczeniem istniejących danych. Nie zapomnij o zrobieniu
wcześniej ich kopii zapasowej.
Wiele z funkcji serwera jest możliwych do wykorzystanie tylko wtedy, gdy używanym systemem plików jest NTFS, np. nadawanie
uprawnień do plików i folderów, szyfrowanie.
Stosując dyski zainstalowane możemy używać więcej niż 26 dysków
dysków na komputerze lokalnym (omijamy ograniczenie związane
oznaczeniami literowymi)
Korzystając z dysków odpornych na awarie (RAID-1,
(RAID RAID-5),
5), wskazane jest, by używać dyski pochodzące od tego samego
producenta, tego samego modelu i o takiej samej pojemności.
pojemności
Warto także posiadać takie same kontrolery i dyski w zapasie, by w razie awarii szybko je wymienić minimalizując w ten sam
sposób ewentualny czas przestoju.
Należy korzystać z podglądu zdarzeń w dzienniku systemowym w celu wykrycia ewentualnych problemów z woluminem RAID-5,
a także określenia ich przyczyn (uszkodzenie dysku, awaria kontrolera).
Przed konwersją dysku podstawowego na dynamiczny, przeanalizuj, czy będziesz korzystał z funkcjonalności dostępnych w
dyskach dynamicznych. Jeśli nie chcesz używać woluminów łączonych, rozłożonych, dublowanych lub RAID-5
RAID pozostaw dysk,
jako dysk podstawowy
•
•
•
•
•
•
•
Kiedy zmniejszasz wolumin, niektóre nieprzenaszalne pliki (np. plik wymiany, miejsce
składowania shadow copy) nie mogą być automatycznie realokowane i w związku z tym nie możesz zmniejszyć zajmowanej
przez wolumin przestrzeni poniżej punktu zajmowanego przez taki plik. Jeśli chcesz zmniejszyć partycję bardziej, przenieś plik
wymiany na inny dysk, skasuj pliki shadow copies i zmniejsz wolumin. Na koniec przenieś plik wymiany z powrotem.
Jeśli liczba uszkodzonych sektorów (ang. bad sectors) wykryta przez dynamiczną funkcję ich remapowania jest zbyt duża, nie
będziesz mógł zmniejszyć wielkości woluminu. W takim wypadku przenieś dane i wymień dysk.
Do przenoszenia danych między dyskami nie używaj narzędzi kopiujących na poziomie bloków. Kopiują one także tablicę
uszkodzonych sektorów i nowy dysk będzie miał je zaznaczone, jako uszkodzone mimo że tak nie jest.
Dyski dynamiczne nie wspierają komputerów przenośnych, dysków wymiennych, dołączanych poprzez interfejs Universal Serial
Bus (USB) lub IEEE 1394 (zwanych także FireWire), a także dysków podłączonych przez współdzieloną magistralę SCSI.
Nie można konwertować woluminu dynamicznego na partycję. Trzeba najpierw przenieść wszystkie dane, usunąć wszystkie
istniejące na dysku woluminy dynamiczne i potem konwertować dysk na dysk podstawowy.
Jeśli przekonwertujesz na dysk dynamiczny dysk zawierający partycje startową i systemową, możesz zdublować ją na inny dysk
dynamiczny. Dzięki temu, w wypadku uszkodzenia woluminu startowego z systemem możesz uruchomić komputer z dysku
posiadającego lustrzaną kopię.
GPO – Group Policy Object – kontrolowanie czynności jakie użytkownik może wykonywać po zalogowaniu do sieci oraz zarządzanie
środowiskiem pracy użytkownika. Dzięki GPO możemy zarządzać:
- rejestracji
- ustawieniami zabezpieczeń
- dystrybucją oprogramowania
- dystrybucją skryptów oraz zasad haseł
- przekierowaniem folderów
GPO
Domyślne ustawienia:
Default Domain Policy (domyśla zasada domeny),
Default Domain Controller Policy (domyślna zasada
kontrolera domeny)
CMD przy GPO:
Gpupdate – odświeżenie polityk obiektów, parametry:
logoff – wyłączenie po odświeżeniu
Składnik logiczny przechowywany jest
w bazie danych
usługi AD i nazywany
jest kontenerem
zasad grupy (Group
Policy Contener)
Składnik fizyczny przechowywany na
dysku w folderze
SYSVOL (Szablon zasad
grupy)
boot – restart po odświeżeniu
/target:user -> dla określonego użytkownika
/target:computer -> dla określonego komputera
/force -> wymuszenie odświeżenia
Możliwość ustawienia zasad dla komputera lokalngo oraz domenowo (dla użytkownika, komputera, grupy. Jednostki organizacyjnej
itp.).
Dodatkowe funkcje GPO:
- import export
- kopiowanie i wklejanie
- tworzenie kopii
- przeszukiwanie
- Group Policy Modeling - Group Policy Results – używane do sprawdzania czy polityki które chcieliśmy ustawić działają
prawidłowo, modeling pokauje jak są ustawione, results pokazuje jak działają.