active directory

Budapesti Műszaki és Gazdaságtudományi EgyetemMéréstechnika és Információs Rendszerek Tanszék

Active Directory

Micskei Zoltánhttp://mit.bme.hu/~micskeiz/

Intelligens rendszerfelügyelet (VIMIA370)

2

Az előző részek Modellezés

Szkriptelés

Központosított felhasználókezelés, címtárako LDAPo Active Directory

3

Active Directory (AD) Microsoft címtár implementációja Infrastruktúra alapja

o hitelesítés, menedzsmento sok szervertermék és alkalmazás igényli

Tárolt elemeko felhasználók, csoportoko gépek, nyomtatókomegosztott könyvtárako…

4

AD címtár szerkezete

Fa szerkezet, LDAP címtár (csak el van fedve:)

Hierarchia eleme: szervezeti egység (organizational unit)

Struktúra kialakításának alapja: Delegálás Házirendek

DEMO

5

o fa szerkezet, tárolók és elemek

o felhasználó létrehozása• nevek, jelszó opciók

o felhasználó tulajdonságai• adatok, címek, profil, dial-in

o csoport• jogosultságosztás (RBAC)• levélküldés

AD Users and Computers

6

AD szerkezet

parent

thefamily.local

ou

ou

maffia.local

Domain tree

root

Forest root

tree root

child

north.thefamily.local

child

south.thefamily.local

• Tartomány• Fa• Erdő

7

AD működése Tartományvezérlő (Domain Controller, DC) Címtár adatbázis

o C:\WINDOWS\NTDS\ntds.dito SYSVOL megosztás: házirend, logon script

DNSo AD tartomány ↔ publikus DNS név

thefamily.local ↔ thefamily.ito Szerverek megtalálása: SRV rekordok

DEMO

8

Forward Lookup Zoneso A rekordoko SRV rekordok

Reverse Lookup Zones Forwarders

AD integrált DNS

9

AD belső felépítése Partíciók

o Tartományo Konfiguráció• szerverek, telephelyek

o Séma• osztályok, attribútumok

o Egyéb alkalmazás Elem megnevezése

o CN: common nameo DC: domain component

DEMO

10

Elem: belső attribútum nevek Configuration Séma: pl. User, People, Computer

Sysinternals AD Explorer

11

További AD szolgáltatások Active Directory Domain Services

o Címtár, erről volt szó eddig Active Directory Rights Management Services

o DRM megoldás Active Directory Federation Services

o Címtárak összekapcsolása más felhasználókezelővel Active Directory Certificate Services

o Tanúsítványok kiállítása, központi kezelése Active Directory Lightweight Directory Services

o Saját alkalmazásunk adatainak tárolása a címtárban

12

Tartalom

Az Active Directory felépítése

Központosított felügyelet és jogosultságkezelés

AD elérése programozottan

Kitekintés

13

Központosított jogosultságkezelés Egy gépen beállítottam a böngészőt, vírusirtót…

oMi lesz a többi 10-zel??

Megoldás:o Kézzel végigmegyek mindegyiken: 1000 gép esetén?o Szkript: aktuális állapot, frissítés?o Központi tárolás, érvényesítés, lekérdezés

14

Csoportházirend (Group Policy) Windowsos gépek adminisztrálásához alap ~3500 beállítás

o start menü elemei, IE honlap… Kötelezően érvényre jutó beállítások Helyi rendszergazda nem tudja felülbírálni

15

Csoportházirend fajtái Számítógép szintű

o SW telepítés, tűzfal, Windows Update… Felhasználó szintű

omappa átirányítás, képernyő beállítás, nyomtatók

Beépített: szoftver telepítés, biztonsági beállítás… Felügyeleti sablon (admx fájl): kiegészítések

Policy vs. Preferences (Server 2008 óta)

16

Csoportházirend kiértékelés Házirend: örökölhető, felül definálható Tipikus értékek: Igen / Nem / Nem definiált

Helyi szintű házirend Telephely szintű Tartomány szintű OU szintű (legalsóbb

szintű felé)

DEMO

17

Group Policy Management Consoleo szerkesztéso eredő házirend

Group Policy Settings Reference XLS

Csoportházirend

DEMO

18

Group Policy Management Consoleo Keresés (Angol billentyűzetkiosztás legyen!)

Beállítások:o Számítógép szintű: tűzfal bekapcsolása (helyi gépről

nem kapcsolható ki)o Felhasználó: profil méretének korlátozása

Frissítés: o gpupdate /force

Csoportházirend

19

Saját GP készítése Csoportházirend: XML leíró (ADMX fájl)

<policy name="NoAutoUpdate" class="User" key="Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" valueName="NoAutoUpdate">

<enabledValue><decimal value="1" /></enabledValue>

</policy>

Saját alkalmazásunkhoz is készíthető ilyeno Nagyvállalati környezetben erősen ajánlott

Pl. Lenovo System Update Administrator Tools

20

Tartalom

Az Active Directory felépítése

Központosított felügyelet és jogosultságkezelés

AD elérése programozottan

Kitekintés

21

AD elérése programozottan ds* parancsok (pl. dsadd, dsquery)

o Egyszerű műveletek Tetszőleges LDAP kliens

o Pl. Java-s kliensek is

.NET kódbólo System.DirectoryServices névtér osztályai

PowerShello AD Service Interface (ADSI)o Active Directory module (Windows Server 2008 R2)

22

Keresés LDAP címtárban

SearchRoot: honnan

PageSize: hány elemet

Scope:- Base: csak az az egy elem- OneLevel: gyerek közt- Subtree: teljes részfa

23

Keresés LDAP címtárban

SearchRoot: honnan

PageSize: hány elemet

Scope: mik között- Base: csak az az egy elem- OneLevel: gyerek közt- Subtree: teljes részfa

24

Keresés LDAP címtárban

SearchRoot: honnan

PageSize: hány elemet

Scope: mik között- Base: csak az az egy elem- OneLevel: gyerek közt- Subtree: teljes részfa

25

Keresés LDAP címtárban

SearchRoot: honnan

PageSize: hány elemet

Scope: mik között- Base: csak az az egy elem- OneLevel: gyerek közt- Subtree: teljes részfa

26

Keresés LDAP címtárban

SearchRoot: honnan

PageSize: hány elemet

Scope: mik között- Base: csak az az egy elem- OneLevel: gyerek közt- Subtree: teljes részfa

Filter: mit keresünk

27

ActiveDirectory module for PowerShell Windows Server 2008 R2-ban megjelent:

o ActiveDirectory modul PowerShellhez

Natív PowerShell cmdletek AD-hez (76 db)

AD Providero AD: meghajtón keresztül elérhető a címtár

28

ActiveDirectory modul architektúrája

29

ActiveDirectory cmdletek

DEMO

30

AD Provider használata:cd AD:cd "DC=irfhf,DC=local"

Keresés:Get-ADGroup -Filter 'CN -like "e*"' -SearchScope Subtree -SearchBase "OU=People,DC=irfhf,DC=local" | % {echo "Name: $($_.name), DN: $($_.DistinguishedName)"}

Lásd még:o Get-Help about_ActiveDirectory*

AD module for PowerShell

31

Tartalom

Az Active Directory felépítése

Központosított felügyelet és jogosultságkezelés

AD elérése programozottan

Kitekintés

32

Kitekintés Készen vagyunk? OpenLDAP

Active Directory

33

Identity management Több, különböző felhasználói siló jött létre Megoldások

o Címtárak szinkronizációjaoMetacímtáro Identity mgmt rendszero…

További feladatok:oMunkafolyamatok: új alkalmazott, elbocsátás…o Jelentések készítése, elemzések

34

Összefoglalás Active Directory

oWindows alapú IT rendszer lelkeo Kötelező ismerni vállalati környezetben

Csoportházirendo Központi felügyelet és jogosultság kezelés

Sokféle API az AD kezelésére Felhasználókezelés:

o Címtár: OKo Identity management: még csak most kezdődne…

35

További információActive Directory: Gál Tamás, Szabó Levente, Szerényi László:

Rendszerfelügyelet rendszergazdáknak, Szak Kiadó, 2007. Gál Tamás: Windows Server 2008 R2 – A kihívás állandó,

JOS, 2011. (WS 2008 R2 újdonságok) Microsoft Technet: Active Directory Services

o Planning, Deployment, Operations, Troubleshoot

ActiveDirectory PowerShell modul: Active Directory PowerShell blog Soós Tibor: Microsoft PowerShell 2.0

rendszergazdáknak – elmélet és gyakorlat, 2010.