Základy uživatelských a skupinových účtů Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor: horak@oakostelec.cz 11.4.2017

Řízení přístupu k objektům AD Doména Windows severu se skládá z mnoha objektů, které jsou soustředěny do AD (Active Directory) Bezpečnost (ale v podstatě celá práce) v doméně je založena na tom k jakým objektům má uživatel přístup Řízení přístupu k objektům se provádí prostřednictvím popisovačů zabezpečení: Zobrazují uživatele a skupiny, kteří mají k objektu udělen přístup Určují oprávnění, která byla těmto uživatelům přidělena Určují vlastnictví objektů Další vlastností je Dědění

Active Directory Každý z těchto prvků má svoje popisovače zabezpečení Windows uživatelé Informace o účtu Práva Profily Politika Windows klienti Mgmt profil Network info Politika Windows servery Mgmt profil Network info Služby Tiskárny Sdílené soubory Politika Ostatní adresáře White pages E-Commerce Active Directory Centrální bod pro: Uživatele a zdroje Bezpečnost Delegaci Politiku Ostatní NOS User registry Bezpečnost Politika Každý z těchto prvků má svoje popisovače zabezpečení Aplikace Konf. serveru Specifická nastavení Politika E-Mail servery Info o přihrádce Address book

Účty Každý uživatel, získá přístup do domény tak, že mu je přidělen uživatelský účet Rozeznáváme dva druhy účtů: Uživatelské – 1. účet pro jednoho uživatel Skupinové – skupina je tvořena více účty

Uživatelské účty Uživatelský účet je jediným objektem, jehož prostřednictvím se lze přihlásit (ke skupinovému účtu se přihlásit nelze) Existují 2 druhy účtů: Doménové uživatelské účty Místní uživatelské účty

Doménové uživatelské účty Jde o účet definovaný v doméně AD – v řadiči domény (serveru) Přihlášením k tomuto účtu získáte přístup ke všem prvkům AD (celé síti) (přístup je samozřejmě definován popisovači zabezpečení) Zde stanovíme, zda se přihlašujeme do domény (k AD), nebo lokálně

Místní uživatelské účty Jsou definovány v databázi registrů jednoho (místního) počítače, z hlediska AD jde o jednu z pracovních stanic Přihlášením k tomuto účtu získáte přístup pouze k jediné stanici Na řadiči domény jsou místní účty přesunuty do AD – místní účty zde neexistují

Konzole pro práci s účty Lokální uživatelské účty (na jedné ze stanic v doméně) Doménové uživatelské účty v AD (na řadiči domény)

Přihlašovací proces (jménem a heslem) Přihlášení uživatele Je uživateli udělen přístup Jde–li o místní účet, k místním objektům (podle ACR) Chce-li se uživatel přihlásit k objektu v AD Musí zadat své přihlašovací jméno a heslo (nějakému síťovému prostředku), k objektům AD – tedy celé doméně Jde –li o doménový účet, Je mu přístup umožněn (v souladu s ACR)

Příklad Přihlásím li se k lokálnímu účtu, Mám přístup k objektům jednoho PC Přihlásím li se k účtu v AD, Mám přístup k celé doméně Active Directory Centrální bod pro: Uživatele a zdroje Bezpečnost Delegaci Politiku

Cvičení Vytvořte doménový účet: Bude pojmenovaný vašim jménem a příjmením Bude mít nastaveno heslo Bude zařazen do skupiny Domain Admins K účtu se přihlaste z Windows XP

Restrikce Omezuje možnosti přihlašování Je možné říci kdy se uživatel nemůže přihlásit Je možné stanovit z kterých stanic se uživatel může hlásit

Cvičení Vytvořte doménový účet: Bude pojmenovaný vašim jménem a příjmením Bude mít nastaveno heslo Bude zařazen do skupiny Domens Admin K účtu se přihlaste z Windows XP Pro váš účet proveďte restrikci tak aby se bylo možné přihlásit od 6hod do 22 hod, v pracovní dny

Skupiny Skupina má v sítích Microsoftu (ale používá se i místně, na jedné stanici) velký význam Jejím prostřednictvím se definují společné vlastnosti Existuje mnoho variant skupin, v nichž je nutné se orientovat

Zopakujme si Skupina je množinou účtů Změnou vlastností jedné skupiny, ovlivníme vlastnosti všech účtů ve skupině (nejčastěji měníme oprávnění k nějakému objektu AD) Prostřednictvím skupinového účtu se nemůžeme přihlásit k AD

Druhy skupin Skupiny rozdělujeme podle Typů (k čemu jsou určeny) Místní skupiny Skupiny se zabezpečením Distribuční skupiny Rozsahů (kde všude platí) Místní doménové skupiny Pevné místní skupiny Globální skupiny Univerzální skupiny

Typy skupin Místní skupiny: definované v místním PC, používají se pouze v místním PC, pracujeme s nimi prostřednictvím ovládacího panelu Uživatelské účty, nebo v konzole Správa počítače Skupiny se zabezpečením: jsou spojeny s popisovačem zabezpečení, vytvářejí se v doméně pomocí konzoly Uživatelé a počítače služby Active Directory Distribuční skupiny: seznamy pro elektronickou poštu, vytvářejí se v doméně a nemohou být spojeny s popisovačem zabezpečení (my je používat nebudeme)

Rozsahy skupin Místní doménové skupiny platí v jedné doméně Pevné místní skupiny mají speciální rozsah, ale většinou na doménu. Nelze je vytvářet a odstraňovat, je možné je pouze upravovat (jsou vytvořeny opři instalaci řadiče domény) Globální skupiny platí v jakékoliv doméně či lese, ale jejími členy mohou být pouze účty z domény, v níž byla skupina vytvořena Univerzální skupiny platí v jakékoliv doméně či lese, jejím členy mohou být účty z jakékoliv domény, či lesa

Uspořádání domén mlask.org pochoutka.org mňam.org Les Doména Doménový strom

Příklady Máme dvě domény: kostelec Máme dvě domény: Potřebujeme vytvořit skupinu uživatelů z domény Kostelec, které přidělíme oprávnění pro práci s objekty v doméně Kostelec Potřebujeme vytvořit skupinu uživatelů z domény Kostelec a Rychnov, které přidělíme oprávnění pro práci s objekty v doméně Rychnov a Kostelec Potřebujeme vytvořit skupinu uživatelů z domény Kostelec, které přidělíme oprávnění pro práci s objekty v doméně Rychnov a Kostelec O jaké skupiny půjde? Místní doménová Univerzální Globální rychnov

Výchozí uživatelské účty a skupiny Při instalaci Windows Serveru se vytvoří výchozí (pevné) uživatelské a skupinové účty. Členství v nich je možné měnit, ale není možné tyto skupiny smazat

Výchozí uživatelské účty a skupiny (jen některé) lokálně jde o účty: Administrator Guest Users Jsou předdefinovány v různých rozsazích. Pro naše potřeby (práce v jedné doméně) budeme nejvíce používat skupiny: Domain Users – všechny uživatelské účty v doméně Domain Computers - všechny počítače v doméně Domain Admins – admistrátoři domény

Pohled na výchozí skupiny

Výchozí uživatelské skupiny (jen některé – můžete měnit jejich obsah, ale není možné je mazat) Anonymous Logon – uživatel přistupující k systému anonymně (bez přihlášení), používá se např. pro zpřístupnění www stránek Authenticated Users - uživatel přistupující k systému ověřeně (heslem a jménem) Creator Owner – vlastník, ten kdo vytvořil objekt v AD Creator Group – (skupinový vlastník), ti kteří jsou ve stejné skupině s tím kdo objekt vytvořil Interactive – jakýkoliv uživatel přihlášený místně (z tohoto PC) Network - jakýkoliv uživatel přihlášený ze sítě Everyone – všichni uživatelé správně přihlášení (členové skupin Network, Interactive, Authenticated Users) Restricted – účty s omezením, např. účty skupiny Users

Cvičení – OU a účty Vytvořte stromovou strukturu, kopírující organizaci firmy (prostřednictvím organizational unit) AD Denis (bude administrátor) Dana Oba účty budou ve skupině Doprava Ivan Jana Oba účty budou ve skupině Údržba Nastavte restrikci tak, aby všichni uživatelé se přihlašovali pouze v pracovních dnech v době 6 ÷ 22 hod.

Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Použité materiály: Jaroslav Horák: Počítačové sítě pro začínající správce 11.4.2017