Oprócz składników i obiektów wysokiego poziomu usługi AD DS zawierają inne obiekty, takie jak użytkownicy, grupy i komputery.
Obiekty użytkownika
W usługach AD DS należy zapewnić konto użytkownika wszystkim użytkownikom, którzy wymagają dostępu do zasobów sieciowych. Za pomocą tego konta użytkownika użytkownicy mogą uwierzytelniać się w domenie AD DS i uzyskiwać dostęp do zasobów sieciowych.
W systemie Windows Server konto użytkownika to obiekt zawierający wszystkie informacje definiujące użytkownika. Konto użytkownika obejmuje:
- Nazwa użytkownika.
- Hasło użytkownika.
- Członkostwa w grupach.
- Konto użytkownika zawiera również ustawienia, które można skonfigurować na podstawie wymagań organizacji.
Nazwa użytkownika i hasło do konta użytkownika służą jako dane logowania użytkownika. Obiekt użytkownika zawiera również kilka innych atrybutów opisujących użytkownika i zarządzających nim. Do tworzenia obiektów użytkowników i zarządzania nimi w usługach AD DS można użyć następujących elementów:
- Centrum administracyjne usługi Active Directory.
- Użytkownicy i komputery usługi Active Directory.
- Centrum administracyjne systemu Windows.
- Windows PowerShell.
- Narzędzie wiersza poleceń dsadd.
Czym są zarządzane konta usług?
Wiele aplikacji zawiera usługi instalowane na serwerze, na którym znajduje się program. Usługi te zwykle działają podczas uruchamiania serwera lub są wyzwalane przez inne zdarzenia. Usługi często działają w tle i nie wymagają żadnej interakcji ze strony użytkownika. Aby usługa mogła zostać uruchomiona i uwierzytelniona, używasz konta usługi. Konto usługi może być kontem lokalnym dla komputera, na przykład wbudowaną usługą lokalną, usługą sieciową lub kontem systemu lokalnego. Konto usługi można również skonfigurować do korzystania z konta opartego na domenie znajdującego się w usługach AD DS.
Aby pomóc w scentralizowaniu administracji i spełnieniu wymagań programu, wiele organizacji decyduje się na używanie kont opartych na domenie do uruchamiania usług programowych. Chociaż zapewnia to pewne korzyści w porównaniu z korzystaniem z konta lokalnego, istnieje szereg powiązanych wyzwań, takich jak:
- Do bezpiecznego zarządzania hasłem do konta usługi może być konieczne dodatkowe nakłady administracyjne.
- Określenie, gdzie konto oparte na domenie jest używane jako konto usługi, może być trudne.
- Do zarządzania główną nazwą usługi (service principal name – SPN) może być konieczne dodatkowe nakłady administracyjne.
System Windows Server obsługuje obiekt AD DS o nazwie zarządzane konto usługi (managed service account), który ułatwia zarządzanie kontem usługi. Konto usługi zarządzanej to klasa obiektów usług AD DS, która umożliwia:
- Uproszczone zarządzanie hasłami.
- Uproszczone zarządzanie nazwami SPN.
Czym są konta usług zarządzane przez grupę?
Konta usług zarządzane przez grupę umożliwiają rozszerzenie możliwości standardowych kont usług zarządzanych na więcej niż jeden serwer w domenie. W scenariuszach farm serwerów z klastrami równoważenia obciążenia sieciowego (NLB) lub serwerami IIS często zachodzi potrzeba uruchamiania usług systemowych lub programowych w ramach tego samego konta usługi. Standardowe konta usług zarządzanych nie mogą udostępniać funkcji kont usług zarządzanych usługom działającym na więcej niż jednym serwerze. Korzystając z kont usług zarządzanych przez grupę, można skonfigurować wiele serwerów do korzystania z tego samego zarządzanego konta usługi i nadal zachować korzyści zapewniane przez zarządzane konta usług, takie jak automatyczna konserwacja haseł i uproszczone zarządzanie nazwami SPN.
Aby obsługiwać funkcję konta usługi zarządzanego przez grupę, Twoje środowisko musi spełniać następujące wymagania:
- Musisz utworzyć klucz główny KDS na kontrolerze domeny w domenie.
Aby utworzyć klucz główny KDS, uruchom następujące polecenie z modułu usługi Active Directory dla programu Windows PowerShell na kontrolerze domeny systemu Windows Server:
|
1 |
Add-KdsRootKey –EffectiveImmediately |
Konta usług zarządzane przez grupę są tworzone przy użyciu polecenia cmdlet New-ADServiceAccount programu Windows PowerShell z parametrem –PrinicipalsAllowedToRetrieveManagedPassword.
|
1 |
New-ADServiceAccount -Name WindowsFarm -PrincipalsAllowedToRetrieveManagedPassword MS-VM01, MS-VM02, MS-VM03 |
Co to są obiekty grupowe?
Chociaż przypisywanie uprawnień i praw poszczególnym kontom użytkowników w małych sieciach może być praktyczne, w dużych sieciach korporacyjnych staje się to niepraktyczne i nieefektywne.
Na przykład, jeśli kilku użytkowników potrzebuje tego samego poziomu dostępu do folderu, bardziej wydajne jest utworzenie grupy zawierającej wymagane konta użytkowników, a następnie przypisanie grupie wymaganych uprawnień.
Dodatkową korzyścią jest to, że możesz zmieniać uprawnienia użytkowników do plików, dodając lub usuwając ich z grup, zamiast bezpośrednio edytować uprawnienia do plików.
Przed wdrożeniem grup w organizacji należy zapoznać się z zakresem różnych typów grup usług AD DS. Ponadto musisz wiedzieć, jak używać typów grup do zarządzania dostępem do zasobów lub przypisywania praw i obowiązków związanych z zarządzaniem.
Rodzaje grup w AD DS
W sieci przedsiębiorstwa z systemem Windows Server istnieją dwa typy grup opisane w poniższej tabeli.
| Typy grup | Opis |
| Grupa bezpieczeństwa (Security) | Grupy zabezpieczeń mają włączone zabezpieczenia i służą do przypisywania uprawnień do różnych zasobów. Możesz użyć grup zabezpieczeń we wpisach uprawnień na listach kontroli dostępu (ACL), aby pomóc kontrolować bezpieczeństwo dostępu do zasobów. Jeśli chcesz używać grupy do zarządzania zabezpieczeniami, musi to być grupa zabezpieczeń. |
| Grupa dystrybucyjna (Distribution) | Aplikacje poczty e-mail zwykle korzystają z grup dystrybucyjnych, które nie mają włączonych zabezpieczeń. Możesz także użyć grup zabezpieczeń jako sposobu dystrybucji aplikacji poczty e-mail. |
Tworząc grupę, wybierasz typ i zakres grupy. Typ grupy określa możliwości grupy.
Zakres group w AD DS
System Windows Server obsługuje zakres grup. Zasięg grupy określa zarówno zakres zdolności lub uprawnień grupy, jak i członkostwo w grupie. Dostępne są cztery zakresy grup.
| Zakres grupy | Opis |
| Lokalna (Local) | Ten typ grupy jest używany w przypadku autonomicznych serwerów lub stacji roboczych, na serwerach członkowskich domeny, które nie są kontrolerami domeny, lub na stacjach roboczych należących do domeny. Grupy lokalne są dostępne tylko na komputerze, na którym istnieją. Ważnymi cechami grupy lokalnej są: – Uprawnienia możesz przypisywać tylko do zasobów lokalnych, czyli na lokalnym komputerze. – Członkowie mogą pochodzić z dowolnego miejsca w lesie usług AD DS. |
| Domena lokalna (Domain-local) | Ten typ grupy jest używany głównie do zarządzania dostępem do zasobów lub do przypisywania praw i obowiązków związanych z zarządzaniem. Grupy lokalne w domenie istnieją na kontrolerach domeny w domenie usług AD DS, więc zakres grupy jest lokalny w domenie, w której się znajduje. Ważnymi cechami grup lokalnych w domenie są: – Uprawnienia można przypisywać tylko do zasobów lokalnych w domenie, czyli do wszystkich komputerów w domenie lokalnej. – Członkowie mogą pochodzić z dowolnego miejsca w lesie usług AD DS. |
| Globalna (Global) | Tego typu grup używa się przede wszystkim do konsolidacji użytkowników o podobnych cechach. Na przykład możesz użyć grup globalnych, aby dołączyć do użytkowników należących do działu lub lokalizacji geograficznej. Ważnymi cechami grup globalnych są: – Możesz przypisywać uprawnienia w dowolnym miejscu w lesie. – Członkowie mogą pochodzić tylko z domeny lokalnej i mogą obejmować użytkowników, komputery i grupy globalne z domeny lokalnej. |
| Uniwersalna (Universal) | Tego typu grupy używa się najczęściej w sieciach wielodomenowych, ponieważ łączy w sobie cechy zarówno grup lokalnych w domenie, jak i grup globalnych. W szczególności ważne cechy grup uniwersalnych to: – Uprawnienia można przypisywać w dowolnym miejscu w lesie, podobnie jak w przypadku grup globalnych. – Członkowie mogą pochodzić z dowolnego miejsca w lesie usług AD DS. |
Czym są obiekty komputera?
Komputery, podobnie jak użytkownicy, są podmiotami zabezpieczeń, ponieważ:
- Mają konto z nazwą logowania i hasłem, które system Windows okresowo zmienia automatycznie.
- Uwierzytelniają się w domenie.
- Mogą należeć do grup i mieć dostęp do zasobów, a Ty możesz je skonfigurować za pomocą zasad grupy.
Konto komputera rozpoczyna swój cykl życia, gdy tworzysz obiekt komputera i dołączasz go do swojej domeny. Po dołączeniu konta komputera do domeny codzienne zadania administracyjne obejmują:
- Konfigurowanie właściwości komputera.
- Przenoszenie komputera między jednostkami organizacyjnymi (OU).
- Zarządzanie samym komputerem.
- Zmiana nazwy, resetowanie, wyłączanie, włączanie i ostatecznie usuwanie obiektu komputera.
Kontener komputera
Zanim utworzysz obiekt komputera w usługach AD DS, musisz mieć miejsce na jego umieszczenie. Kontener Komputery (Computers) to wbudowany kontener w domenie usług AD DS. Ten kontener jest domyślną lokalizacją dla kont komputerów, gdy komputer dołącza do domeny.
Kontener nie jest jednostką organizacyjną. Zamiast tego jest obiektem klasy Container. Jego popularna nazwa to CN=Computers. Istnieją subtelne, ale istotne różnice między kontenerem a jednostką organizacyjną. Nie można utworzyć jednostki organizacyjnej w kontenerze, więc nie można podzielić kontenera Komputery. Nie można również połączyć obiektu zasad grupy z kontenerem. Dlatego zalecane jest tworzenie niestandardowych jednostek organizacyjnych do hostowania obiektów komputerów zamiast korzystania z kontenera Komputery.
Podsumowanie
Obiekty w AD DS są tym co wpływa na codzienną pracę. Użytkownicy, komputery czy grupy są elementami z którymi każdy Administrator pracuje codziennie. Dlatego zakładając grupę warto wiedzieć jakiego typu grupę założyć. O tym, że również komputer ma hasło w domenie mało kto wie, ponieważ nie trzeba go co jakiś czas zmienić.
Dziękuję Ci, za poświęcony czas na przeczytanie tego artykułu. Jeśli był on dla Ciebie przydatny, to gorąco zachęcam Cię do zapisania się na mój newsletter, jeżeli jeszcze Cię tam nie ma. Proszę Cię także o “polubienie” mojego bloga na Facebooku oraz kanału na YouTube – pomoże mi to dotrzeć do nowych odbiorców. Raz w tygodniu (niedziela punkt 17.00) otrzymasz powiadomienia o nowych artykułach / projektach zanim staną się publiczne. Możesz również pozostawić całkowicie anonimowy pomysł na wpis/nagranie.
Link do formularza tutaj: https://beitadmin.pl/pomysly
Pozostaw również komentarz lub napisz do mnie wiadomość odpisuję na każdą, jeżeli Masz jakieś pytania:).
