active directory
DESCRIPTION
Intelligens rendszerfelügyelet (VIMIA370). Active Directory. Micskei Zoltán http://mit.bme.hu/~micskeiz/. Az előző részek. Modellezés Szkriptelés Központosított felhasználókezelés , címtárak LDAP Active Directory. Active Directory (AD). Microsoft címtár implementációja - PowerPoint PPT PresentationTRANSCRIPT
Budapesti Műszaki és Gazdaságtudományi EgyetemMéréstechnika és Információs Rendszerek Tanszék
Active Directory
Micskei Zoltánhttp://mit.bme.hu/~micskeiz/
Intelligens rendszerfelügyelet (VIMIA370)
2
Az előző részek Modellezés
Szkriptelés
Központosított felhasználókezelés, címtárako LDAPo Active Directory
3
Active Directory (AD) Microsoft címtár implementációja Infrastruktúra alapja
o hitelesítés, menedzsmento sok szervertermék és alkalmazás igényli
Tárolt elemeko felhasználók, csoportoko gépek, nyomtatókomegosztott könyvtárako…
4
AD címtár szerkezete
Fa szerkezet, LDAP címtár (csak el van fedve:)
Hierarchia eleme: szervezeti egység (organizational unit)
Struktúra kialakításának alapja: Delegálás Házirendek
DEMO
5
o fa szerkezet, tárolók és elemek
o felhasználó létrehozása• nevek, jelszó opciók
o felhasználó tulajdonságai• adatok, címek, profil, dial-in
o csoport• jogosultságosztás (RBAC)• levélküldés
AD Users and Computers
6
AD szerkezet
parent
thefamily.local
ou
ou
maffia.local
Domain tree
root
Forest root
tree root
child
north.thefamily.local
child
south.thefamily.local
• Tartomány• Fa• Erdő
7
AD működése Tartományvezérlő (Domain Controller, DC) Címtár adatbázis
o C:\WINDOWS\NTDS\ntds.dito SYSVOL megosztás: házirend, logon script
DNSo AD tartomány ↔ publikus DNS név
thefamily.local ↔ thefamily.ito Szerverek megtalálása: SRV rekordok
DEMO
8
Forward Lookup Zoneso A rekordoko SRV rekordok
Reverse Lookup Zones Forwarders
AD integrált DNS
9
AD belső felépítése Partíciók
o Tartományo Konfiguráció• szerverek, telephelyek
o Séma• osztályok, attribútumok
o Egyéb alkalmazás Elem megnevezése
o CN: common nameo DC: domain component
DEMO
10
Elem: belső attribútum nevek Configuration Séma: pl. User, People, Computer
Sysinternals AD Explorer
11
További AD szolgáltatások Active Directory Domain Services
o Címtár, erről volt szó eddig Active Directory Rights Management Services
o DRM megoldás Active Directory Federation Services
o Címtárak összekapcsolása más felhasználókezelővel Active Directory Certificate Services
o Tanúsítványok kiállítása, központi kezelése Active Directory Lightweight Directory Services
o Saját alkalmazásunk adatainak tárolása a címtárban
12
Tartalom
Az Active Directory felépítése
Központosított felügyelet és jogosultságkezelés
AD elérése programozottan
Kitekintés
13
Központosított jogosultságkezelés Egy gépen beállítottam a böngészőt, vírusirtót…
oMi lesz a többi 10-zel??
Megoldás:o Kézzel végigmegyek mindegyiken: 1000 gép esetén?o Szkript: aktuális állapot, frissítés?o Központi tárolás, érvényesítés, lekérdezés
14
Csoportházirend (Group Policy) Windowsos gépek adminisztrálásához alap ~3500 beállítás
o start menü elemei, IE honlap… Kötelezően érvényre jutó beállítások Helyi rendszergazda nem tudja felülbírálni
15
Csoportházirend fajtái Számítógép szintű
o SW telepítés, tűzfal, Windows Update… Felhasználó szintű
omappa átirányítás, képernyő beállítás, nyomtatók
Beépített: szoftver telepítés, biztonsági beállítás… Felügyeleti sablon (admx fájl): kiegészítések
Policy vs. Preferences (Server 2008 óta)
16
Csoportházirend kiértékelés Házirend: örökölhető, felül definálható Tipikus értékek: Igen / Nem / Nem definiált
Helyi szintű házirend Telephely szintű Tartomány szintű OU szintű (legalsóbb
szintű felé)
DEMO
17
Group Policy Management Consoleo szerkesztéso eredő házirend
Group Policy Settings Reference XLS
Csoportházirend
DEMO
18
Group Policy Management Consoleo Keresés (Angol billentyűzetkiosztás legyen!)
Beállítások:o Számítógép szintű: tűzfal bekapcsolása (helyi gépről
nem kapcsolható ki)o Felhasználó: profil méretének korlátozása
Frissítés: o gpupdate /force
Csoportházirend
19
Saját GP készítése Csoportházirend: XML leíró (ADMX fájl)
<policy name="NoAutoUpdate" class="User" key="Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" valueName="NoAutoUpdate">
<enabledValue><decimal value="1" /></enabledValue>
</policy>
Saját alkalmazásunkhoz is készíthető ilyeno Nagyvállalati környezetben erősen ajánlott
Pl. Lenovo System Update Administrator Tools
20
Tartalom
Az Active Directory felépítése
Központosított felügyelet és jogosultságkezelés
AD elérése programozottan
Kitekintés
21
AD elérése programozottan ds* parancsok (pl. dsadd, dsquery)
o Egyszerű műveletek Tetszőleges LDAP kliens
o Pl. Java-s kliensek is
.NET kódbólo System.DirectoryServices névtér osztályai
PowerShello AD Service Interface (ADSI)o Active Directory module (Windows Server 2008 R2)
22
Keresés LDAP címtárban
SearchRoot: honnan
PageSize: hány elemet
Scope:- Base: csak az az egy elem- OneLevel: gyerek közt- Subtree: teljes részfa
23
Keresés LDAP címtárban
SearchRoot: honnan
PageSize: hány elemet
Scope: mik között- Base: csak az az egy elem- OneLevel: gyerek közt- Subtree: teljes részfa
24
Keresés LDAP címtárban
SearchRoot: honnan
PageSize: hány elemet
Scope: mik között- Base: csak az az egy elem- OneLevel: gyerek közt- Subtree: teljes részfa
25
Keresés LDAP címtárban
SearchRoot: honnan
PageSize: hány elemet
Scope: mik között- Base: csak az az egy elem- OneLevel: gyerek közt- Subtree: teljes részfa
26
Keresés LDAP címtárban
SearchRoot: honnan
PageSize: hány elemet
Scope: mik között- Base: csak az az egy elem- OneLevel: gyerek közt- Subtree: teljes részfa
Filter: mit keresünk
27
ActiveDirectory module for PowerShell Windows Server 2008 R2-ban megjelent:
o ActiveDirectory modul PowerShellhez
Natív PowerShell cmdletek AD-hez (76 db)
AD Providero AD: meghajtón keresztül elérhető a címtár
28
ActiveDirectory modul architektúrája
29
ActiveDirectory cmdletek
DEMO
30
AD Provider használata:cd AD:cd "DC=irfhf,DC=local"
Keresés:Get-ADGroup -Filter 'CN -like "e*"' -SearchScope Subtree -SearchBase "OU=People,DC=irfhf,DC=local" | % {echo "Name: $($_.name), DN: $($_.DistinguishedName)"}
Lásd még:o Get-Help about_ActiveDirectory*
AD module for PowerShell
31
Tartalom
Az Active Directory felépítése
Központosított felügyelet és jogosultságkezelés
AD elérése programozottan
Kitekintés
32
Kitekintés Készen vagyunk? OpenLDAP
Active Directory
33
Identity management Több, különböző felhasználói siló jött létre Megoldások
o Címtárak szinkronizációjaoMetacímtáro Identity mgmt rendszero…
További feladatok:oMunkafolyamatok: új alkalmazott, elbocsátás…o Jelentések készítése, elemzések
34
Összefoglalás Active Directory
oWindows alapú IT rendszer lelkeo Kötelező ismerni vállalati környezetben
Csoportházirendo Központi felügyelet és jogosultság kezelés
Sokféle API az AD kezelésére Felhasználókezelés:
o Címtár: OKo Identity management: még csak most kezdődne…
35
További információActive Directory: Gál Tamás, Szabó Levente, Szerényi László:
Rendszerfelügyelet rendszergazdáknak, Szak Kiadó, 2007. Gál Tamás: Windows Server 2008 R2 – A kihívás állandó,
JOS, 2011. (WS 2008 R2 újdonságok) Microsoft Technet: Active Directory Services
o Planning, Deployment, Operations, Troubleshoot
ActiveDirectory PowerShell modul: Active Directory PowerShell blog Soós Tibor: Microsoft PowerShell 2.0
rendszergazdáknak – elmélet és gyakorlat, 2010.