Instalace Active Directory

Podobné dokumenty
Windows Server 2003 Active Directory GPO Zásady zabezpečení

Osnova dnešní přednášky

Windows Server 2003 Active Directory

Active Directory organizační jednotky, uživatelé a skupiny

Active Directory Replikace, hlavní operační servery, topologie

Serverové systémy Microsoft Windows

Použití zásad skupin k instalaci klientské komponenty ESO9

Úvod 17 ČÁST 1. Kapitola 1: Principy návrhu doménové struktury služby Active Directory 21

Překlad jmen, instalace AD. Šimon Suchomel

Serverové systémy Microsoft Windows

Střední škola pedagogická, hotelnictví a služeb, Litoměříce, příspěvková organizace

Možnosti využití Windows Server 2003

Použití služby Active Directory

Serverové systémy Microsoft Windows

Téma 3 - řešení s obrázky

ČÁST 1 ÚVOD. Instalace operačního systému 21 Aktualizace operačního systému 57 Příkazový řádek 77 Windows Script Host 103 ČÁST 2 ŘEŠENÍ

Instalace Windows 2012 Správa účtů počítačů

Radim Dolák Gymnázium a Obchodní akademie Orlová

Acronis Backup Advanced Version 11.7

Stručný Obsah. IntelliMirror, 1. část: Přesměrování složek, Soubory offline, Správce synchronizace a Diskové kvóty 349

Serverové systémy Microsoft Windows

Postup instalace ČSOB BusinessBanking pro MS SQL 2005/2008

KAPITOLA 1 Instalace Exchange Server

DNS, DHCP DNS, Richard Biječek

Administrace OS Windows

Identifikátor materiálu: ICT-2-05

Serverové systémy Microsoft Windows

Active Directory (Active Directory Directory Services) Jan Žák

INSTALACE SOFTWARE A AKTIVACE PRODUKTU NÁVOD

Technologie počítačových sítí 5. cvičení

WINDOWS Nastavení GPO - ukázky

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí,

Bezpečn č os o t t dat

Úvod Ovládáme základní nástroje 17

Maturitní okruhy pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.)

Téma 2: Konfigurace zásad. Téma 2: Konfigurace zásad

Téma 2 - DNS a DHCP-řešení

Konfigurace Windows 7

Instalace SQL 2008 R2 na Windows 7 (64bit)

APS 400 nadministrator

Správa stanic a uživatelského desktopu

Souborové služby. Richard Biječek

Průvodce instalací aplikace MIPS

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Univerzita Palackého v Olomouci. Služby spojené s Active Directory

Konfigurace, údržba a řešení problémů s hlavními operačními servery

Serverové systémy Microsoft Windows

O b s a h ÚVOD. Kapitola 1 HARDWAROVÉ PRVKY SÍTÍ

2N Helios IP Manager Software pro konfiguraci a správu dveřních komunikátorů 2N Helios IP.

Proč počítačovou sí? 9 Výhody sítí 9 Druhy sítí 9. Základní prvky sítě 10 Vybavení počítače 10 Prvky sítě mimo PC 10 Klasické dělení součástí sítí 10

1. POSTUP INSTALACE A KONTROLA NASTAVENÍ MICROSOFT SQL SERVERU 2005 EXPRESS:

Instalace a základní administrátorské nastavení 602LAN SUITE 5 Groupware

Přechod na síťovou verzi programu

MS WINDOWS UŽIVATELÉ

Č á s t 1 Příprava instalace

Serverové systémy Microsoft Windows

Instalujeme doménu. Co je to Active Directory? Témata kapitoly: Co je to Active Directory?

Podzim Boot možnosti

Serverové systémy Microsoft Windows

INTERNÍ TECHNICKÝ STANDARD ITS

KRONOS GUARD NET Obslužný software pro obchůzkový systém v reálném čase Active Guard. Instalace na pobočky

IMPLEMENTACE OPERAČNÍHO SYSTÉMU LINUX DO VÝUKY INFORMAČNÍCH TECHNOLOGIÍ

Zálohování v MS Windows 10

Instalace MS SQL Server Express a MS SQL Server Management Express

Maturitní témata pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

Stručná instalační příručka SUSE Linux Enterprise Server 11

Téma 3: Správa uživatelského přístupu a zabezpečení I. Téma 3: Správa uživatelského přístupu a zabezpečení I

Postup instalace služby ČSOB BusinessBanking 24 pro Oracle

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE

Aktualizace a zabezpečení systémů Windows

Reinstalace programu Poslední aktualizace

Datum: Projekt: Využiti ICT techniky především v uměleckém vzdělávání Registrační číslo: CZ.1.07/1.5.00/34.

Instalace Microsoft SQL serveru 2012 Express

Acronis Backup Advanced Version 11.5 Update 4

Část 1. Instalace, plánování a správa. Část 2. Vyhledávání prostředků, instalace klientů a vzdálené řízení. Část 3. Správa softwaru a balíčků.

Autor. Potřeba aplikací sdílet a udržovat informace o službách, uživatelích nebo jiných objektech

Téma 8: Konfigurace počítačů se systémem Windows 7 IV

Nastavení služby T-Mobile GPRS. pro přístup na Internet z počítače s operačním systémem Windows

O2 Managed Backup & Restore Power

Komu je tato kniha určena? Jak je kniha uspořádána? Konvence použité v té to knize. Část i základy Microsoft Windows XP Professional

Příručka nastavení funkcí snímání

EPLAN Electric P8 2.7 s databázemi na SQL serveru

ODBORNÝ VÝCVIK VE 3. TISÍCILETÍ. MEIV Windows server 2003 (seznámení s nasazením a použitím)

P-334U. Bezdrátový Wi-Fi router kompatibilní s normou a/g. Příručka k rychlé instalaci

PV176 Správa systémů MS Windows II

IntraVUE Co je nového

Správa zásad skupiny KAPITOLA 3. Porozumění výsledné sadě zásad

Téma 1 - řešení s obrázky

Instalace programu ProVIS

Obsah. KELOC CS, s.r.o... v ý v o j a p r o d e j e k o n o m i c k é h o s o f t w a re

Serverové systémy Microsoft Windows

Reinstalace programu

SYSTÉMOVÁ PŘÍRUČKA Verze dokumentu: 2.01 Platnost od:

Nastavení klientských stanic pro webové aplikace PilsCom s.r.o.

Konfigurace pracovní stanice pro ISOP-Centrum verze

Administrace OS Windows

XTB VPS. XTB Virtual Private Server manuál

Group policy. Jan Žák

Transkript:

Instalace Active Directory Proces implementace Active Directory se sestává z několika kroků. Před vlastní instalací je zapotřebí zvážit mnoho faktorů. Špatně navržená struktura Active Directory způsobí v budoucnu mnohé problémy. V nejlepším případě dojde pouze ke zbytečným výdajům. Postup implementace: Návrh závisí na potřebách organizace, vychází z její struktury, požadavků na zabezpečení Implementační plán zohledňuje technické problémy, výsledkem by měl být detailní plán instalace Instalace vytvoření lesa a doménové struktury, vlastní instalace řadičů domény Během návrhu doménové struktury je zapotřebí získat informace o struktuře organizace. Tyto informace poté musíme zanalyzovat. Příkladem informací důležitých pro návrh struktury Active Directory jsou: geografické členění společnosti, technické možnosti ve společnosti, požadavky na zabezpečení, pravděpodobnost budoucích změn rozšiřování, Disaster Recovery atd. Vlastní instalaci Active Directory ze rozdělit do následujících bodů: Implementace lesa, domén a struktury DNS Vytvoření organizačních jednotek, skupin Vytvoření uživatelů Group Policies Nastavení lokalit (Sites) Les domén Active Directory je vytvořen instalací prvního řadiče domény. Abychom mohli instalovat službu Active Directory na počítač musíme splnit následující kritéria: Na počítači musí být nainstalován operační systém Windows Server 2003 Musíme mít k dispozici pevný disk min. 250 MB volného místa, souborový systém musí být NTFS Potřebujeme administrátorská oprávnění Protokol TCP/IP Autoritativní server DNS, který podporuje záznamy SRV

Instalace Instalace se provádí pomocí Active Directory Installation Wizard. Před začátkem vlastní instalace je nutné zadat několik údajů. Je zapotřebí určit zda-li chceme instalovat doménový řadič pro zcela novou doménu nebo vytvořit další řadič pro již existující. K vytvoření nové Child domény je nutné být členem skupiny Enterprise Admins. Instalace dalšího řadiče již existující domény vyžaduje členství ve skupině Domain Admins. Pro instalaci první domény je nutné být členem lokální skupiny Administrators.

Dále určíte zda-li chcete založit nový les, novou doménu v existujícím stromu nebo založíte nový strom. Doménové stromy v lese netvoří spojitý jmenný systém. Domény v jednom stromu ano. Les domén se dvěma stromy Další důležité nastavení při instalaci Active Directory je heslo pro obnovení adresářových služeb (Directory Services Restore Mode). Což je zvláštní režim serveru, ve kterém je možné obnovit databázi Active Directory ze zálohy. Umístění jak databáze Active Dierctory tak i sdíleného adresáře SYSVOL je možné nechat na původním místě. Z pohledu zabezpečení je vhodné tyto soubory umístit jinam, jelikož případný útočník je bude nejprve hledat v jejich standardním umístění: %systemroot%ntds. Dále je možné umístit databázi a logy na 2 různé pevné disky kvůli výkonu. Před instalací je zobrazeno krátké shrnutí instalačních nastavení.

Při instalaci jsou provedeny následující kroky: Aktivuje se ověřovací protokol Kerberos verze 5 Nastaví se Local Security Authority (LSA Service); tím je počítač označen jako řadič domény Vytvoří se oddíly Active Directory Vytvoří se Forest DNS zones a Domain DNS zones Vytvoří se databáze Active Directory Vytvoří se hlavní forest root domain; doménovému řadiči jsou přiřazeny FSMO role Vytvoří se sdílená složka SYSVOL Nastaví se členství doménového řadiče v Site (první lokalita: Default-First-Site-Name) Dojde k nastavení oprávnění na souborovém systému Všechny doménové řadiče jsou v organizační jednotce Domain Controllers. Pro celou doménu platí Default Domain Policy, pro doménové řadiče pak Default Domain Controllers Policy. Vytvoření struktury Po instalaci doménového řadiče je možné zkontrolovat zda instalace proběhla v pořádku. Měly by být vytvořeny všechny SRV záznamy v DNS.

Sdílený adresář SYSVOL Pokud je vše v pořádku je vhodné nastavit tzv. úroveň funkčnosti domény (Domain Functional Level). Je možné vybrat některou z následujících: Windows 2000 Mixed Windows 2000 Native Windows 2003 Windows 2003 Interim Zároveň je možné změnit úroveň funkčnosti lesa (Forest Functional Level): Windows 2000 native Windows 2003 V případě, že doménová struktura neobsahuje žádné domény staršího typu Windows NT 4.0 nebo Windows 2000, je doporučená úroveň funkčnosti Windows 2003. Tento režim umožňuje např. používání univerzálních skupin, přejmenovávání domén, inkrementální replikace atd. Provedené změny jsou nevratné. Úroveň funkčnosti lze pouze zvyšovat. Změna funkční úrovně domény se provádí pomocí konzole Active Directory Users and Computers volbou Raise Domain Functional Level. Zvýšení funkční úrovně lesa je možné v konzole Active Directory Domains and Trusts. Dalším krokem by mělo být vytvoření vztahů důvěryhodností, pokud je to zapotřebí. Při instalaci child domény jsou automaticky vytvořeny vztahy důvěryhodnosti typu Parent/Child. Vztahy důvěryhodnosti mohou být tranzitivní i netranzitivní. Tranzitivní vztah důvěryhodnosti automaticky přenáší důvěryhodnost i na další domény, kterým důvěřuje doména mezi kterou byl tento vztah vytvořen. Př. test.local důvěřuje doméně ext.domain, která důvěřuje doméně child01.ext.domain automaticky tedy test.local důvěřuje i doméně child01.ext.local. Tranzitivní vztahy důvěryhodnosti jsou výchozí. Netranzitivní vztahy důvěryhodnosti se používají především mezi doménami v různých lesech.

Jednotlivé druhy vztahů důvěryhodnosti Dalším krokem je vytvoření struktury organizačních jednotek. Ty by měly sloužit k zpřehlednění struktury Active Directory. Organizačním jednotkám jsou přiřazeny jednotlivé Group Policy, takže můžeme členstvím v organizační jednotce spouštět různé login sktripty, instalovat software nebo vynutit určité nastavení uživatelům nebo počítačům v nich obsažených. Vybraným uživatelům je možné delegovat oprávnění k administraci objektů v OU. Po vytvoření základní struktury OU je nutné vytvořit bezpečnostní skupiny a uživatele. Zde platí pravidlo, že pro přístup k síťovým prostředkům je vhodnější používat skupiny na místo uživatelů. Skupiny uživatelů se rozdělují dle účelu na: Distribuční (Distribution Groups) slouží k posílání e-mailů skupinám uživatelů Bezpečnostní (Security Groups) je možné je použít pro přístup k síťovým prostředkům i pro posílání e-mailů

Dle platnosti: Místní doménové (Domain Local Groups) mohou obsahovat uživatele i skupiny ze všech domén, kterým doména důvěřuje. Místní doménové skupiny nemohou být členy žádné skupiny. Tato skupina je viditelná pouze v dané doméně. Globální skupiny (Global Groups) mohou obsahovat uživatele a jiné globální skupiny z domény, ve které je vytvořena. Globální skupina může být členem jak místní doménové nebo univerzální skupiny v kterékoliv doméně, které důvěřuje tak i členem globální skupiny v dané doméně. Globální skupina je viditelná ve všech doménách v lese. Univerzální skupiny (Universal groups) může obsahovat uživatele, univerzální a globální skupiny ze všech domén v lese. Univerzální skupina může být členem místní doménové nebo univerzální skupiny ze všech domén v lese. Jsou viditelné ve všech doménách v daném lese. Fungují pokud je úroveň funkčnosti domény Windows 2000 native a vyšší. Nakonec je vhodné upravit nastavení lokalit a upřesnit umístění Globálního katalogu. K tomu slouží MMC konzole Active Directory Site and Services. Zde je možné změnit replikační topologii nebo vynutit okamžitou replikaci Active Directory. Konzole Active Directory Site and Services

Konfigurace Globálního katalogu

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář