Windows Server dla Domu i Małej Firmy 1/3

Strona 4 - Active Directory

Zanim przejdziemy do konkretów trzeba sobie wyjaśnić kilka pojęć. Przede wszystkim czym jest domena oraz dlaczego się ją stosuje zamiast grup roboczych. Takim najprostszym przykładem jest to, że w grupie roboczej lista kont użytkowników, uprawnienia użytkowników i zabezpieczenia systemu przechowywane są lokalnie, tzn. osobno na każdym komputerze wchodzącym w skład grupy roboczej. Każdy komputer jest jednostką autonomiczną. Aby móc pracować na komputerze należącym do grupy roboczej, trzeba mieć konto na tym komputerze. Wiąże się to z tym, że w przypadku, gdy osób pracujących na jednym komputerze może być więcej, to oznacza to konieczność powielania kont na różnych komputerach. To samo się tyczy ustawień i oprogramowania. Co więcej jeśli ktoś zachowa jakiś plik na jednym komputerze, to nie otworzy go już na innym chyba, że ręcznie go przekopiuje. Wyobraźmy więc sobie, że zarządzamy kilkunastoma komputerami i musimy aktualizować programy, wprowadzać konta nowym pracownikom itp. Byłaby to strasznie żmudna praca.
W domenie natomiast zarządzanie informacją o kontach użytkowników, komputerach domeny oraz zasadach obowiązujących w domenie jest scentralizowane. Komputery współdzielą bazę danych kont, zasad, zabezpieczeń, która znajduje się na kontrolerach domeny. W trakcie logowania się na konto w domenie Windows, dane użytkownika porównywane są z danymi zapisanymi w kontrolerze domeny. Przestaje mieć znaczenie z którego konkretnie komputera loguje się dany użytkownik, i tak zachowa swoje pliki i ustawienia. W przypadku instalacji nowego oprogramowania wystarczy, że administrator wyda taką „dyspozycję” na serwerze, a komputery podłączone do domeny same sobie poradzą już z instalacją. Naturalnie logowanie na lokalne konta użytkowników tak jak to miało miejsce w przypadku grupy roboczej dalej jest możliwe. To oczywiście tylko czubek góry lodowej, więcej możliwości poznamy w kolejnych rozdziałach.

Obecnie rozróżniamy 2 typy domen NT4 oraz domena Active Directory, którą to będziemy się tu zajmować. Active Directory to usługa katalogowa będąca implementacją protokołu LDAP. Jest następcą NT4 i usuwa największe wady domen. Wprowadzono do niej hierarchiczność przechowywania informacji, dużo wyższe limity przechowywania informacji (powyżej 1 miliona obiektów w domenie Active Directory) oraz rozszerzalność schematu zawierającego definicje obiektów.

Domeny zorganizowane są hierarchicznie tworząc strukturę drzewa. Drzewo posiada zawsze przynajmniej jedną domenę – domenę najwyższego poziomu (ang. root) – korzeń drzewa. Pozostałe domeny (o ile istnieją) mogą być umieszczone poniżej domeny najwyższego poziomu, tworząc drzewo. Takie rozwiązanie często stosuje się w przypadku kilku siedzib firmy lub na przykład do wygodnego zarządzania komputerami w dwóch odległych od siebie miejscach. Jako przykład podam kawałek drzewa dla mojej firmy:

Każde drzewo znajduje się w jakimś lesie. Las składa się z przynajmniej jednego drzewa. Nie istnieje możliwość utrzymywania drzewa bez utrzymywania lasu. Uwaga to odnosi się również do domeny Active Directory – domena nie może istnieć samodzielnie, musi istnieć w jakimś drzewie i jakimś lesie. Jeżeli jest to pierwsza domena, to tworzy pierwsze drzewo (którego korzeniem się staje) oraz pierwszy las. Poniżej przykład lasu z dwoma drzewami:

W naszym przypadku, kiedy kierujemy serwer ku zastosowaniom domowym, czy w małej firmie wystarczy nam jedna domena. Przystąpmy więc do instalacji. Klikamy Start i następnie "Zarządzanie tym serwerem". Warto zapamiętać ten krok, gdyż praktycznie cały czas będziemy musieli tu wracać.

Należy teraz kliknąć przycisk "Dodaj lub usuń rolę", a następnie przycisk "Dalej". Na chwilę pojawi się okno :

W kolejnym kroku najłatwiej będzie wybrać "Konfigurację standardową" dla pierwszego serwera. Zostanie zainstalowany nie tylko Active Directory, ale także serwer DNS, Routing oraz DHCP, do których jeszcze wrócimy.

Zostawiając domyślne ustawienia kreatora przechodzimy przez kolejne plansze aż do podsumowania, które także zatwierdzamy przyciskiem "Dalej". Komunikat, który po chwili się pojawi potwierdzamy przyciskiem OK.

Na kolejnej planszy w pierwszym kroku należy wybrać połączenie, którego używa komputer do komunikowania się z Internetem. W naszym przypadku WAN. Klikamy "Dalej", a w następnym oknie "Zakończ". Po dłuższej chwili oczekiwania maszyna zostanie automatycznie uruchomiona ponownie.

Po zalogowaniu się do systemu, instalacja będzie kontynuowana automatycznie aż pojawi się następująca plansza, na której klikamy "Dalej", a potem "Zakończ".

To, co nas najbardziej interesuje w tym dziale możemy znaleźć klikając Start > Narzędzia Administracyjne > Użytkownicy i grupy usługi Active Directory.

Jest to miejsce dla nas szalenie ważnie. Tu będziemy tworzyć grupy i konta dla użytkowników oraz komputerów, przypisywać im odpowiednie role i uprawnienia, a także przepisywać polisy. W system Windows jest już wbudowana całkiem pokaźna liczba grup bezpieczeństwa. Raczej nie będzie potrzeby w naszych zastosowania tworzenia własnych grup, choć nie ukrywam, że daje to ogromne możliwości w przydzielaniu i odbieraniu uprawnień użytkownikom. Opis ról dostępny pod adresem: LINK .

Zabierzmy się zatem za praktykę. Jak już wspominałem warto od samego początku utrzymywać ład i porządek, a także intuicyjne nazwy. Dlatego też zacznijmy od stworzenia nowej Jednostki Organizacyjnej. Dla zobrazowania sobie czym ona jest, możemy ją traktować jako byt podobny do katalogu. Klikamy prawym guzikiem na nazwie naszej domeny, następnie przycisk "Nowy" i wybieramy "Jednostka Organizacyjna".

Stwórzmy więc jednostkę o nazwie Księgowość, gdzie będziemy przechowywać zatrudnionych księgowych i zatwierdźmy jej utworzenie guzikiem OK.

Teraz kliknijmy prawym przyciskiem na nowo powstałym elemencie, a następnie w "Nowy" i "Grupa". Dokonajmy tu podziału na pracowników, którzy pracują na kasach oraz na tych, którzy pracują w biurze. Odpowiednio niech będą to grupy Kasa i Biuro. Czynność trzeba powtórzyć dla każdej z grup.

Na planszy, która się pojawi podajemy nazwę grupy oraz zaznaczamy opcję w taki sam sposób jak jest to zrobione na poniższym obrazku i klikamy OK.
Grupy dystrybucyjne mogą być używane tylko z aplikacjami poczty e-mail (np. Exchange), do wysyłania poczty e-mail do grup użytkowników. Grupy dystrybucyjne nie obsługują zabezpieczeń, co oznacza, że nie są wyświetlane na listach arbitralnej kontroli dostępu (DACL, discretionary access control list). Jeśli jest potrzebna grupa służąca do kontroli dostępu do zasobów udostępnionych, należy utworzyć grupę zabezpieczeń.
Grupy zabezpieczeń, jeśli są używane z rozwagą, stanowią wydajny sposób udzielania dostępu do zasobów w sieci. Za pomocą grup zabezpieczeń można wykonywać następujące operacje:
- Przypisywanie praw użytkownika grupom zabezpieczeń w usłudze Active Directory
Prawa użytkownika są przypisywane grupie zabezpieczeń w celu ustalenia czynności, jakie członkowie danej grupy mogą wykonać w zakresie domeny (lub lasu). Prawa użytkownika są automatycznie przypisywane niektórym grupom zabezpieczeń podczas instalowania usługi Active Directory, aby ułatwić administratorom określenie roli administracyjnej poszczególnych osób w domenie. Na przykład użytkownik dodany do grupy "Operatorzy kopii zapasowych" w usłudze Active Directory może wykonywać kopie zapasowe plików i katalogów znajdujących się na każdym kontrolerze domeny, a także przywracać te pliki i katalogi z kopii zapasowych.
Jest to możliwe, ponieważ domyślnie grupie Operatorzy kopii zapasowych są automatycznie przypisywane prawa użytkownika Wykonywanie kopii zapasowych plików i katalogów oraz Przywracanie plików i katalogów, a członkowie grupy dziedziczą prawa użytkownika przypisane grupie.
- Za pomocą przystawki Zasady grupy można przypisać grupom zabezpieczeń prawa użytkownika, aby ułatwić delegowanie określonych zadań. Przypisując delegowane zadania, należy zachować dużą ostrożność, ponieważ niedoświadczony użytkownik mający zbyt wiele praw w grupie zabezpieczeń stanowi zagrożenie dla bezpieczeństwa sieci. Aby uzyskać więcej informacji, zobacz Delegowanie administracji. Aby uzyskać więcej informacji dotyczących przypisywania praw użytkownika grupom, zobacz Przypisywanie praw użytkownika grupie w usłudze Active Directory.
- Przypisywanie grupom zabezpieczeń uprawnień do zasobów Uprawnień nie należy mylić z prawami użytkownika. Uprawnienia są przypisywane grupom zabezpieczeń dla określonego zasobu udostępnionego. Uprawnienia decydują o tym, kto może uzyskiwać dostęp do zasobu i na jakim poziomie (na przykład Pełna kontrola). Niektóre uprawnienia ustawione dla obiektów domeny są przypisywane automatycznie, aby określić różne poziomy dostępu grup domyślnych, takich jak Operatorzy kont czy Administratorzy domeny. Aby uzyskać więcej informacji o uprawnieniach, zobacz Kontrola dostępu w usłudze Active Directory.
Grupy zabezpieczeń są wymieniane na listach DACL, które określają uprawnienia do zasobów i obiektów. Administratorzy powinni przypisywać uprawnienia do zasobów (udziałów plików, drukarek itd.) grupom zabezpieczeń, a nie pojedynczym użytkownikom. Przypisując uprawnienia grupie, nie trzeba wielokrotnie powtarzać tej samej procedury dla każdego użytkownika. Każde konto dodane do grupy otrzymuje prawa przypisane tej grupie w usłudze Active Directory i uprawnienia tej grupy do określonych zasobów.
Podobnie jak grupy dystrybucyjne, grupy zabezpieczeń mogą używane jako adresaci poczty e-mail. Wysłanie wiadomości e-mail do grupy powoduje wysłanie tej wiadomości do wszystkich członków danej grupy.

Grupy będą nam bardzo pomocne jeśli większej liczbie użytkowników będziemy chcieli przypisać dane uprawnienia, a innej już nie. Przecież nawet w naszym małym przypadku kasjerzy nie powinni mieć tak wysokich uprawnień jak pracownicy biurowi.
Naturalnie tak utworzonej grupie należałoby nadać odpowiednie prawa. W naszym przypadku niech to będą prawa zwykłego Użytkownika. Skorzystamy więc z wbudowanej w system Windows grupy bezpieczeństwa. W tym celu klikamy prawym guzikiem na właściwości powiedzmy kasjerów.

W oknie które się nam pojawi przechodzimy do zakładki Członek Grupy i wybieramy przycisk "Dodaj"...

Klikamy "Zaawansowane"

Klikamy znajdź teraz, a następnie z listy jaka się nam wygeneruje wybieramy Użytkownicy i klikamy guzik OK, a następnie jeszcze raz OK.

Jak widać kasjerzy są już w Użytkownikach. Klikamy OK.

Dodajmy sobie teraz jakiegoś użytkownika, na którym będziemy przeprowadzać różne testy w dalszej części poradnika. Klikamy prawym guzikiem na Księgowość > Nowy > Użytkownik

Trzeba wypełnić wszystkie pola, najlepiej zgodnie z prawdą. Ważna jest nazwa logowania użytkownika, gdyż to dzięki niej będzie się on mógł zalogować na danym komputerze. Ja wpisuję kasjer_01.

Na następnej karcie należy wybrać dla niego odpowiednie hasło. Warto zostawić pierwszą opcję zaznaczoną, aby to on mógł sobie w trakcie pierwszego logowania je zmienić wedle własnych upodobań. Klikamy dalej, a następnie zakończ.

Wjedźmy w jego właściwości klikając prawym przyciskiem myszy, a następnie w zakładkę "Członek Grupy". Jak widać domyślnie jest on użytkownikiem domeny. Skasujmy więc tą pozycję, a potem zgodnie z powyższym schematem dodajmy go do grupy "Kasy".

Stwórzmy teraz kolejną jednostkę organizacyjną lecz tym razem wewnątrz księgowości. Nazwijmy ją "komputery". Będą tam przechowywane konta dla komputerów w tym dziale.

Teraz klikamy prawym guzikiem na Komputery > Nowy > Komputer i tworzymy maszynę, która będzie się nazywać KS-WS-01

Klikamy "Dalej", "Dalej", "Zakończ".

Komputer domyślnie zostanie przypisany do grupy "Komputery" Domeny. Trzeba pamiętać, że każdy komputer z systemem Windows NT, Windows 2000 lub lub nowszym, który zostaje dołączony do domeny, otrzymuje własne konto komputera. Podobnie jak konta użytkowników, konta komputerów umożliwiają uwierzytelnianie oraz inspekcję dostępu komputera do sieci i zasobów domeny. Każde konto komputera musi być unikatowe. Uniemożliwi to niepowołanym osobom podłączenie się bez naszej zgody do naszej sieci.