Active_Directory

• Active Directory pozwala administratorom sieci, centralnie, z poziomu jednego komputera (odpowiednio skonfigurowanego serwera) zarządzać całym zbiorem użytkowników w sieci, określać ich uprawnienia do zasobów sieciowych, a także konfigurować komputery, na których pracują.

Active Directory składa się aż pięć elementów:

• AD Domain Services.
• AD Certificate Services.
• AD Lightweight Directory Services.
• AD Rights Management Services.
• AD Federation Services.

Pojęcia związane z Active Directory

• Magazyn danych
  - plik, przechowywany na dysku serwera, zawierający informacje o obiektach usługi katalogowej. Obiektem usługi katalogowej może być użytkownik, grupa, jednostka organizacyjna czy też komputer. Plik nosi nazwę NTDS.dit
• Kontroler domeny
  - serwer, na którym zainstalowano Active Directory, przechowujący kopię magazyny danych. Wyróżnić możemy kontrolery typu Global Catalog (katalog globalny), a także kontrolery tylko do odczytu - Read-Only Domain Controler oraz odczytu i zapisu - Writeable Domain Controler.
• Domena
  - obszar sieci, któremu przydzielono określone możliwości oraz zasoby. W niej skupione są obiekty Active Directory, takie jak użytkownicy, grupy, jednostki organizacyjne oraz komputery działające w jej obrębie. Aby można było domenę utworzyć, wymagany jest przynajmniej jeden kontroler.
• Las
  - zbiór jednej lub też wielu domen. Pierwsza domena, która zostanie utworzona w lesie, będzie tak zwaną domeną główną lasu, a cały las przyjmie nazwę taką jak domena główna. Jeśli przykładowo tworzymy nową domenę w nowym lesie i nazwiemy ją test.local to cały las przyjmie taką nazwę.
• Drzewo
  - jedna domena, albo kilka domen pracujących pod tą samą przestrzenią nazw DNS.
• Jednostka organizacyjna
  - to obiekt usługi AD, pozwalający na przechowywanie użytkowników, grup użytkowników oraz komputery. Jednostkom organizacyjnym można przypisywać poszczególne zasady grupy oraz delegować uprawnienia administracyjne

Implementacja Active Directory

• Implementacja usług katalogowych Active Directory na serwerach polega na zainstalowaniu odpowiedniej usługi. Usługa nazywa się Usługi Domenowe Active Directory (Active Directory Domain Services).
• Jeśli to pierwsza nasza domena w lesie, to oprócz instalacji samej usługi, musimy jeszcze promować nasz serwer do roli kontrolera domeny.
• Po instalacji i wstępnej konfiguracji usługi należy przyłączyć komputery klienckie do domeny.

Zarządzanie obiektami Active_Directory

• Od momentu implementacji usługi Active Directory oraz domeny, zarządzanie użytkownikami i grupami odbywa się poprzez przystawkę Użytkownicy i komputery usługi Active Directory (Active Directory Users and Computers). To właśnie tutaj skupione są obiekty naszej domeny i tutaj będziemy nimi zarządzać.
• Do tej przystawki dostaniemy się wybierając:
  MENADŻER SERWERA -> Narzędzia (Tools) -> Użytkownicy i komputery usługi Active Directory
• Znajdują się tam obiekty domyślne, tworzone podczas instalacji samej usługi:
• Wbudowane grupy zabezpieczeń (to te pełniące określone funkcje w systemie) przechowane są w kontenerze Wbudowane (Builtin). Komputery, które pracują w domenie, domyślnie przechowywane są w kontenerze Komputery (Computers). Natomiast użytkownicy oraz pozostałe typy grup w systemie znajdują się w kontenerze Użytkownicy (Users).
• W naszej domenie podział będzie następujący: użytkownicy, którzy w systemie pełnią rolę administratorów, przechowywani będą w kontenerze Użytkownicy. Z kolei dla użytkowników domenowych, czyli wszystkich pozostałych użytkowników w domenie utworzymy sobie specjalne kontenery zwane jednostkami organizacyjnymi. Ilość jednostek organizacyjnych zależy od struktury organizacyjnej w danej firmie, przedsiębiorstwie czy szkole. Jednostki implementuje się w taki sposób, aby odzwierciedlały rzeczywistą sytuację.

Utworzenie jednostek organizacyjnych

• PPM klikamy w nazwę domeny -> Nowy (New) -> Jednostka Organizacyjna (Organization unit) -> nazwa jednostki -> OK

Tworzenie grup

• PPM w nazwę jednostki organizacyjnej (lub też w samej jednostce) -> Nowy (New) -> Grupa (Group) -> nazwa grupy -> określamy zakres (scope) oraz typ (type) grupy -> OK
• W systemach Windows Server mamy dostępne 3 zakresy grup:
  
  • Lokalne w domenie (ang. Domain local) – grupy, do których można dodać użytkowników z każdej domeny w lesie. Stosowane są do nadawania uprawnień do katalogów.
  • Globalne (ang. Global) – grupy, do których można dodać użytkowników z tylko jednej domeny w lesie. Stosowane są do nadawania uprawnień do katalogów, a także do definiowania ról w systemie.
  • Uniwersalne (ang. Universal) – grupy, do których można dodać użytkowników z każdej domeny w lesie. Stosowane są do nadawania uprawnień do katalogów, a także do definiowania ról w systemie.

Tworzenie użytkowników

• PPM w nazwę jednostki organizacyjnej (lub też w samej jednostce) -> Nowy (new) -> Użytkownik (User) -> Wprowadzamy imię, nazwisko, login -> Wprowadzamy hasło (dwukrotnie) -> OK
• Domyślnie hasło, które nadawane jest dla użytkownika musi zawierać co najmniej 7 znaków i spełniać wymagania co do złożoności (mała, wielka litera, cyfra, znak specjalny)

Dodawanie użytkowników do grupy

• PPM w nazwę użytkownika -> Dodaj do grupy (Add to group) -> wprowadzamy nazwę grupy -> OK