2020. január 8., szerda

Gyakorlati óra témája; Windows Server 2016 címtárak szerepe és kezelése

A címtár egy olyan adatbázis, ami képes a hálózat valamennyi erőforrásának azonosítására, és hierarchikus rendszerben való tárolására, és emellett a hálózat fizikai felépítését és protokolljait átláthatóvá teszi, így a hálózat erre feljogosított felhasználói elérhetik a hálózat erőforrásait anélkül, hogy tudnák, hol találhatóak azok valójában, vagy hogyan kapcsolódnak egymáshoz fizikailag. A címtár tehát megadja a rendszergazda számára azt a lehetőséget, hogy a központilag előírható beállítások és korlátozások révén garantálhassa a rendszer és az egyes gépek folyamatos működőképességét és biztonságát. Ez persze a felhasználók számára bizonyos korlátozásokkal jár, de egy nagyobb hálózat folyamatos működőképességének fenntartása érdekében erre mindenképpen szükség van. Remélem érthető volt!

Active Directory környezetben nincsen szükség arra, hogy az új felhasználói fiókot vagy csoportot minden egyes gépen külön létrehozzuk, a címtár által tárolt egyetlen felhasználói fiók tulajdonosa valamennyi (a tartományhoz tartozó) számítógépen bejelentkezhet, a csoportok pedig jogosultságokat kaphatnak a hálózati és a helyi erőforrások eléréséhez is, és változás esetén is csak ezt az egy objektumot kell módosítanunk – értelemszerűen – egyetlen helyen.

Másrészt, amiből várhatóan sok van egy hálózatban (számítógépek, nyomtatók, felhasználói profilok stb.), azt a csoportházirend segítségével egyszerre érhetjük el, tulajdonságaik, beállításaik egyetlen mozdulattal módosíthatók.

Mi a szerepe az AD-nek itt?

Az Active Directory szolgáltatásokat nyújt hálózatunk mindennapi üzemeltetéséhez:
Biztosítja a szervezet működéséhez szükséges objektumok és a hálózat publikált erőforrásainak (felhasználói fiókok, csoportok, erőforrás-objektumok, jogosultságok, fájlok és megosztások, perifériák, gép kapcsolatok, adatbázisok, szolgáltatások stb.) egy helyen történő nyilvántartási lehetőségét.
Az Active Directory a hálózat objektumait egységes és jól kereshető formátumban tárolja, így azok könnyen elérhetőek mind a felhasználók, mind pedig a rendszergazdák számára.
Lehetővé teszi a fent említett hálózati erőforrások kezelését, létrehozását, törlését, tulajdonságaik beállítását.
Lehetővé teszi a centralizált, vagy éppen a decentralizált felügyeletet és az engedélyek delegálását.
Csökkenti, optimalizálja a hálózati forgalmat, és számos különböző erőforráshoz (megosztott mappák, nyomtatók, levelezés stb.) egyetlen felhasználónév, jelszó megadásával biztosít hozzáférést (Single Sign On, SSO).
A felügyeleti rendszer alapját képező, rendkívül összetett lehetőségekkel rendelkező csoportházirend megoldás megkönnyíti a legbonyolultabb hálózat felügyeletét is.
Az Active Directory-címtárnak igen fontos szerepe van más technológiák használatával kapcsolatban is, többek között nincs nélküle Exchange, és jelentős szerepet kap például az RRAS, az ISA Server, a Certificate Services és még sok más kiszolgáló komponens életében is.


Az Active Directory szorosan integrálódik a Windows-rendszerek biztonsági modelljébe, a felhasználóazonosítással és hozzáférés-vezérléssel kapcsolatos feladatok legnagyobb részét átveszi az ügyfélgépektől. Ugyancsak az Active Directory végzi a felhasználók azonosítását számos kiszolgáló-alkalmazás esetében is, például az SQL Server, az Exchange és az IIS is az Active Directory segítségével tartja nyilván a felhasználókat, azok tulajdonságait és jogosultságait.

Az Active Directory beépített biztonsági szolgáltatása két alapvető részből áll: elvégzi a bejelentkezési azonosítást (ezzel összefüggésben tárolja és védi az azonosítókat), illetve szabályozza az egyes objektumokhoz való hozzáférést. Az üzemeltetők egyetlen bejelentkezéssel kezelhetik a címtár adatait a teljes hálózaton, a megfelelően hitelesített felhasználók pedig a hálózat bármelyik pontjából hozzáférhetnek az engedélyezett erőforrásokhoz.

Az Active Directory alkotóelemei
Az Active Directory névtér az alábbi elemekből épül fel:

• Erdő (Forest) – A legmagasabb szintű Active Directory tároló neve erdő. Az erdő közös sémát és globális katalógust használ, egy vagy több tartományt foglal magába. Az erdő első tartományát az erdő gyökértartományának hívják.


Az Active Directory hierarchikus felépítése, fa (Tree) – Ha az erdő több tartománya összefüggő DNS-tartományneveket használ, vagyis egymás gyermek, illetve szülőtartományai, akkor a struktúrát tartományfának nevezzük.Tartomány (Domain) – A tartomány az Active Directory alapvető szervezeti és biztonsági egysége. A tartomány olyan ügyfelek, kiszolgálók és egyéb hálózati erőforrások gyűjteménye, amelyek közös címtáradatbázist alkotnak, és egyben a replikáció alapegységét képezik. Egy adott tartomány minden tartományvezérlője fogad módosításokat, és azokat a tartomány többi tartományvezérlőjére replikálja. Az Active Directory-címtárban minden tartományt egy-egy DNS-tartománynév azonosít, és minden tartomány legalább egy tartományvezérlőt tesz szükségessé. Szervezeti egység (Organizational Unit, OU) – A szervezeti egységek az Active Directory-objektumtárolói, amelyekbe felhasználók, csoportok, számítógép-objektumok, illetve más szervezeti egységek helyezhetők. A szervezeti egységek rendkívül fontos szerepet játszanak a csoportházirend érvényesítésével és a felügyeleti jogok delegálásával kapcsolatban is. A szervezeti egységek használatával a tartományon belüli hierarchia pontosan megfelelhet az adott szervezet hierarchikus felépítésének.

Az Active Directory a multimaster replikációs modellt alkalmazza a címtáradatok tartományvezérlők közötti szinkronizációjához. Ez azt jelenti, hogy a tartományvezérlők mindegyike tartalmazza a teljes címtáradatbázist, és az mindegyik tartományvezérlőn módosítható is. Hogy a címtárpéldányok (replikák) mindegyike folyamatosan a helyes adatokat tartalmazhassa, szükség van a tartományvezérlők közötti folyamatos, és lehetőleg minél kevesebb erőforrást felhasználó szinkronizációra. Ezt a folyamatot nevezzük replikációnak. Ha a replikáció megfelelően működik, akkor a címtárpéldányok a több ponton való módosítás ellenére is folyamatosan megtartják a többi példánnyal megegyező, konzisztens állapotukat.

Címtárpartíciók
A partíció az Active Directory egy összefüggő részfája, amely egy egységként replikálódik az erdő más, ugyanennek a részfának egy-egy replikáját magukban foglaló tartományvezérlői számára. Az Active Directoryban minden tartományvezérlő egyenként legalább a következő három címtárpartícióval rendelkezik:

Séma partíció (Schema Partition) – A séma partíció az osztály- és attribútum-definíciókat, vagyis az objektumok és tulajdonságok formális leírását tárolja. A partíció minden tartományvezérlőn és minden globális katalógusban megtalálható. Az Active Directory séma az egész erdőre vonatkozóan megegyezik.

Konfigurációs partíció (Configuration Partition) – Ez a partíció a címtár topológiájára vonatkozó adatokat tárolja. Megtalálhatók benne a tartományokra, a fákra és az erdőre vonatkozó információk, valamint itt tárolódik a replikációs topológia, és az ehhez kapcsolódó metaadatok is. A konfigurációs adatok az egész erdőre vonatkoznak, és megtalálhatók az erdő valamennyi tartományvezérlőjén.

Tartomány partíció (Domain Partition) – itt találhatjuk meg a felhasználókra, számítógépekre, csoportokra és egyéb tartomány szintű objektumokra vonatkozó adatokat. A partíció az adott tartomány minden tartományvezérlőjén megtalálható.

Alkalmazás partíció (Application Partition) – a rendszert futtató tartományvezérlők a fentieken kívül egy vagy több alkalmazás-címtári partíciót is tárolhatnak.





A gyakorlat során áttekintettük az LDAP-hoz kapcsolódó ajánlások alapjait. Megismerkedtünk az LDAP címtár felépítésével, az LDAP-protokollal és a hozzá kapcsolódó hitelesítési módszerekkel. Néhány egyszerűbb példán keresztül megnéztük az LDIF formátumot

Két fontos dologgal fogunk ma foglalkozni, az egyik az OpenLDAP és a kapcsolódó linuxos eszközök voltak. Itt a parancssori eszközökhöz az LDIF formátumot kell alaposabban tanulmányozni.

Windows esetén az Active Directoryt vizsgáltuk meg, a gyakorlati anyag bemutatta mind a
grafikus felületét, mind a kezeléséhez szükséges PowerShell cmdleteket. Itt ha elakadunk,
akkor a magyar nyelvű PowerShell könyvet [10] érdemes fellapozni.

Windows: Active Directory A feladatokat egy Windows Servert futtató virtuális gépen fogjuk végrehajtani. A Windows Server 2016 csak 64 bites számítógépen fut, így ez egy 64 bites virtuális gép, aminek a futtatásához hardveres virtualizáció támogatásra (Intel VT-x, AMD-V) van szükség a fizikai gépben. A tárgyban már ezt a verziót használjuk, mert a régi 32 bites kiszolgálókra már nem érhető el az Active Directory PowerShell modul. A segédlet a következő lépéseken keresztül segít megismerkedni az Active Directory címtárral.

1. Először kipróbáljuk az Active Directory Users and Computers konzolt: megnézzük a címtár szerkezetét és meglévő elemeit, létrehozunk új elemeket.

2. Ha nagyjából eligazodunk már a címtárban, akkor a Sysinternals AD Explorer eszköz segítségével megnézzük a címtár belső felépítését (az egyes elemek LDAP neveit és attribútumait, az LDAP sémát stb.)

3. Ezután egyszerű lekérdezéseket hajtunk végre PowerShellből.

4. Végül kitekintünk kicsit a csoportházirendek (group policy) világába. 3.1 Active Directory Users and Computers Első lépésként megnézzük a címtár tartalmát, majd létrehozunk és módosítunk elemeket.

1. A virtuális gép indítása A virtuális gép indításakor az I moved it opciót válasszuk!

2. Belépés a szerverre  Belépő képernyő tartományi környezetben Active Directory használata esetén az alapegység a tartomány (domain), az egy tartományba tartozó számítógépeket és egyéb elemeket tudjuk központilag kezelni, ezeknek az adatai tárolódnak a címtárban. Ha egy számítógép tagja egy tartománynak, akkor a belépésnél már nem csak azt kell megadni, hogy milyen felhasználóval akarunk belépni, hanem hogy a tartományi vagy helyi felhasználóval akarunk-e belépni. Tartományvezérlő (domain controller) esetén (olyan számítógép, ami az Active Directory címtár egy példányát tárolja) viszont nincsenek helyi felhasználók, így ez esetben egyértelmű a helyzet. Mivel a virtuális gépünk tartományvezérlő, ezért itt ilyenkor az IRFHF nevű tartományhoz tartozó Administrator felhasználóval lépünk be. A belépéshez szükséges jelszót a virtuális gép mellett lévő README fájl tartalmazza.
A címtár hierarchiája
Bontsuk ki a University tárolót, hogy lássuk a hierarchia egy részét (14. ábra).
FIGYELEM: a University tároló tartalma csak egy példa, hogy milyen jellegű felépítéseket
lehet tárolni egy címtárban.
Hozzunk létre további hierarchiaszinteket a címtárban a gyökértől kiindulva (15. ábra)!
(LDAP címtár esetén elvileg megengedett, hogy tetszőleges típusú elemnek legyen
gyereke, így mást is lehetne tárolónak használni, de az AD GUI-ja csak szervezeti
egységet enged).

3. Ismerkedés a címtárral Az Active Directory Users and Computers konzol

4. A címtár hierarchiája Bontsuk ki a University tárolót, hogy lássuk a hierarchia egy részét

5. Felhasználók tulajdonságai
Válasszuk ki a címtárban szereplő egyik tetszőleges felhasználót, és nézzük meg a
tulajdonságait .
a. Írjuk át valamelyik tulajdonságát!
b. Keressük ki, hogy milyen csoportoknak a tagja!
c. Hol tárolhatjuk a címtárban egy felhasználóról, hogy ki a felettese?
d. Hozzunk létre egy új felhasználót, és állítsuk be az alaptulajdonságait!
TIPP: az alapértelmezett jelszóházirend szerint a jelszónak legalább 8 karakter
hosszúnak kell lennie, és tartalmaznia kell kis- és nagybetűt, valamint számot vagy
speciális karaktert.
6. Csoportok kezelése
Csoportokat (group) azért hozunk főleg létre Active Directory környezetben, hogy
később felhasználók egy halmazának valamilyen közös jogosultságokat osszunk az
operációs rendszerben vagy valamilyen más alkalmazásban (tehát csoportok
segítségével valósítjuk meg a Role Based Access Control módszert).
Válasszunk ki egy meglévő csoportot, és nézzük meg a tulajdonságait . A
kiadott virtuális gépen például a Projects OU alatt találunk csoportokat.

Egy csoport esetén viszonylag kevés attribútumot lehet megadni (név, leírás, email…).
Figyeljük meg viszont az ábrán, hogy csoportnak lehetnek más csoportok is a tagjai.
a. Hozzunk létre egy új csoportot!
b. Rakjunk bele meglévő felhasználókat és csoportokat az új csoportba!
Most, hogy hozzáadtunk saját elemeket is a címtárhoz, próbáljunk meg keresni benne.
7. Keresés a címtárban
Nyissuk meg a keresés ablakot (Find… a jobb gombos menüben). Alapesetben a név és
leírás alapján lehet keresni, de az összetett nézetben egész bonyolult lekérdezéseket is
meg lehet adni
Feladat; keressük meg az olyan felhasználókat, akiknek a telefonszáma 777-tel kezdődik, és ki van töltve az email címük!

Részei

1. AD Explorer használata
2. A címtár partíciói
3. Tartományi partíció (Domain Directory Partition)
A tartomány elemeit (felhasználók, számítógépek, csoportok, …) a tartományi partíció
tárolja. Ezt jeleníti meg az Active Directory Users and Computers eszköz is, csak az egy
egyszerűbben használható felhasználói felületet nyújt

Lekérdezés PowerShellből

Két fő módon kérdezhetünk le PowerShellből AD címtárat. Az AD Service Interface (ADSI)
általánosabb és elérhető a régebbi Windows Servereken is. Az Active Directory Module for
Windows PowerShell pedig kifejezetten AD elérésére szolgáló célorientált cmdletek
gyűjteménye, ami a Windows Server 2008 R2-ben bevezetett AD Web Services felületet
használja a háttérben. A gyakorlaton ezt fogjuk használni.
A PowerShell második verziójában jelent meg az ActiveDirectory nevű új modul, amely a
legújabb verzióban már 147 darab cmdletet biztosít az AD kényelmes kezelésére.
1. Az ActiveDirectory modul betöltése
A következő paranccsal tudjuk betölteni a modult (erre 3-as PowerShelltől kezdve nincs
is szükség, ott automatikus modulbetöltés van már):
Import-Module ActiveDirectory
Kliens Windowsokon nem elérhető alapesetben ez a modul, azt a Remote Server
Administration Toolkit (RSAT) [12] részeként lehet telepíteni.
2. Csatlakozás a címtárhoz
A modul a háttérben nem az LDAP-protokollt, hanem egy új, webszolgáltatás alapú
felületét használja az AD-nek. A rendszer architektúráját mutatja be a következő ábra
(22. ábra). Az Active Directory Web Services alapértelmezetten a 9389-es porton figyel,
és a cmdletek ehhez csatlakoznak.
Amikor betöltjük az ActiveDirectory modult, akkor az megpróbál automatikusan
csatlakozni az aktuális tartományhoz. A kiadott virtuális gépen ez elvileg sikerrel is jár,
úgyhogy ilyenkor nincs több előkészítésre szükség.
Ha ez nem sikerülne (mert például a gépünk nem tagja a tartománynak), akkor a
következő hibaüzenet kapjuk:
WARNING: Error initializing default drive: 'Unable to find a default server with
Active Directory Web Services running.'.
Ha tudjuk, hogy melyik tartományhoz akarunk kapcsolódni, akkor ennek a
legegyszerűbb módja az, ha egy új PSDrive meghajtót hozunk létre:
New-PSDrive -Name AD -PSProvider ActiveDirectory -Root "" -Server "10.90.1.10"
-Credential irfhf\administrator
Itt most az egyik tartományvezérlő IP-címét adtuk meg közvetlenül, de az
ActiveDirectory modul számos más módszert is biztosít a címtár megcímzésére.

3. Az elérhető cmdletek listája
Gyors áttekintést kaphatunk az elérhető funkciókról, ha kilistázzuk az ActiveDirectory
modulban lévő cmdleteket:
Get-Command -Module ActiveDirectory
4. Az ActiveDirectory modul objektumainak modellje
Az about_ActiveDirectory_ObjectModel súgó téma11 részletes leírást tartalmaz arról,
hogy az egyes objektumok milyen típusú információt tárolnak. A közöttük lévő öröklési
kapcsolat ott szövegesen van ismertetve, az alábbi ábra a legfontosabb elemeket
grafikus formában jeleníti meg

5. Navigálás az AD: meghajtóban
Az AD: meghajtó látszólag ugyanolyan meghajtó, mint a többi, a megszokott
parancsokkal tudunk navigálni benne, pl. cd (Set-Location), ls (Get-ChildItem):
PS C:\> cd AD:
PS AD:\> dir

Arra figyeljünk csak, hogy az elemekre a DN-jükkel vagy az RDN-jükkel kell hivatkozni,
és nem a sima nevükkel:
PS AD:\> cd '.\DC=irfhf,DC=local'
Működik az automatikus kiegészítés is (TAB), csak itt is a DN-t vagy RDN-t kell elkezdeni
beírni.

6. Felhasználó lekérdezése
Kiindulásképpen kérdezzünk le egy konkrét felhasználót:
PS C:\> Get-ADUser rkeith

7. Keresés a címtárban
Keresni az egyes cmdletek -Filter paraméterével lehet, ilyenkor a feltételt a
PowerShell saját PowerShell Expression Language nyelvén lehet megfogalmazni. Az
LDAPFilter paraméter segítségével pedig a megszokott LDAP keresési szintaxist lehet
használni.
A keresés mélységét és irányát az LDAP-ból ismert SearchBase és SearchScope
paraméterekkel lehet befolyásolni.
Ha nem egy specifikus elemtípusra akarunk keresni (pl. csoport, felhasználó), akkor
használhatjuk a Get-ADObject cmdletet:
Get-ADObject -Filter 'CN -like "m*"' -SearchBase "OU=Partners,DC=irfhf,DC=local" `
-SearchScope Subtree

Csoportházirendek

1. Ismerkedés a konzollal
Nyissuk meg a Group Policy Management Console felületet.
Legalább egy házirendnek minden tartományban kell léteznie, ez pedig a Default Domain
Policy. Nézzük meg a tulajdonságait (Scope, Details fül).
Nézzük meg, hogy milyen beállítások vannak megadva rá (Settings fül). Miket
szabályoznak ezek a beállítások?
2. Házirend szerkesztése
Minden szervezeti egységhez (OU) lehet külön házirendet készíteni vagy csatolni.
Készítsünk a Partners OU-hoz egy új házirendet (26. ábra).
A házirendben külön lehet megadni számítógép és felhasználó specifikus beállításokat,
valamint kötelezően érvényre jutó (policy) és ajánlott beállításokat (preferences).
a. A számítógéphez tartozó Windows Settings résznél keressük ki a Security
eseménynapló maximális méretét szabályozó beállítást, és állítsuk be 32 MB-ra!
b. Az Administrative Templates részben szereplő házirendek között a Filter opcióval
(Action menü) lehet részletesen keresni. Keressük ki azokat a beállításokat,
amikben a DHCP kulcsszó szerepel! (Vigyázat: a keresési kifejezés beírásakor
legyen angol a billentyűzetkiosztás, különben nem talál semmit.)
c. Nézzük meg a felhasználói beállításokat is! Hol lehet szabályozni, hogy a
felhasználók Asztalán megjelenjen-e a Lomtár ikon?

A séma az Active Directory-adatbázis szerkezete, vagyis a címtárban tárolható objektumok definícióinak összessége. A globális katalógus (Global Catalog, GC) olyan tartományvezérlői szerep, amelynek hordozója a címtár összes objektumának alapadataival, elérhetőségeiknek információjával rendelkezik a teljes erdőre vonatkozóan, vagyis minden objektumról tud „valamit”
Felügyelet
A leggyakrabban használt konzol Active Directory Users and Computers (Active Directory – felhasználók és számítógépek) névre hallgat.
Az Active Directory Sites and Services (Active Directory – helyek és szolgáltatások
Az Active Directory Domains and Trusts (Active Directory-tartományok és bizalmi kapcsolatok
Az Active Directory Schema (Active Directory Séma
Gyorsitótár tartalmának lekérdezése ipconfig /displaydns

Nincsenek megjegyzések:

Megjegyzés küldése