Název školy: Autor: Název: Číslo projektu: Název projektu: SŠ spojů a informatiky Tábor Petr Vlach VY_32_INOVACE_OS_13 CZ.1.07/1.5.00/34.1021 Moderní škola.

Slides:



Advertisements
Podobné prezentace
Operační systém MS Windows xp
Advertisements

Obecně o operačních systémech
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-4-02.
Microsoft Office OneNote
SOFTWARE dálkové studium PODNIKÁNÍ 2. listopad 2006.
Přednáška č. 5 Proces návrhu databáze
Operační systémy a aplikační servery Tomáš ZACHAT SPŠ Praha 10, STIC.
SLUŽBY Architektura technologie.NET Jan Martinovič, FEI - Katedra Informatiky.
Školení počítače Excel
ZMVŠ. Bezpečnost Windows 8 Dynamic Access Control (DAC) Volně – Dynamický kontrolní přístup) rozšíření NTFS access control listů (ACL) o složitá pravidla.
Adresářové služby – základní pojmy
Název školy: Autor: Název: Číslo projektu: Název projektu: SŠ spojů a informatiky Tábor Petr Vlach VY_32_INOVACE_OS_15 CZ.1.07/1.5.00/ Moderní škola.
Gymnázium, SOŠ a VOŠ Ledeč nad Sázavou I NFORMAČNÍ A KOMUNIKAČNÍ TECHNOLOGIE Ing. Jan Roubíček.
Petr Šetka, MVP Exchange, MCSE:Messaging, MCT Windows Small Business Server 2003 R2.
Adresářová služba Active directory
Vytvoření řadiče Windows Serveru Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec.
Příkazový řádek CMD.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-4-14.
JIP a KAAS Co umí. A co nabízí ve vztahu k základním registrům.
TEXTOVÝ EDITOR.
Serverové systémy Windows
Název školy: Autor: Název: Číslo projektu: Název projektu: SŠ spojů a informatiky Tábor Petr Vlach VY_32_INOVACE_OS_14 CZ.1.07/1.5.00/ Moderní škola.
Celní služby 2000 Radek Sedláček TranSoft a.s Radek Sedláček TranSoft a.s
Lokální počítačové sítě Novell Netware Ing. Zdeněk Votruba Úvod do síťového operačního systému Novell Netware.
Operation Masters - správa Operation Masters - role Operation Masters - role Operation Masters - umístění Operation Masters - umístění Přesouvání versus.
Uživatelské profily, vlastnosti uživatelského účtu
Práce se šablonami v MS Word 2007
Název školy: Autor: Název: Číslo projektu: Název projektu: SŠ spojů a informatiky Tábor Petr Vlach VY_32_INOVACE_OS_12 CZ.1.07/1.5.00/ Moderní škola.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-4-03.
1 Číslo-název šablony klíčové aktivityIII/2–Inovace a zkvalitnění výuky prostřednictvím ICT Tematická oblastZáklady informatiky a hardware DUMVY_32_INOVACE_ODB_540.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost 1. KŠPA Kladno, s. r. o., Holandská 2531, Kladno,
Základy uživatelských a skupinových účtů
Martina Braunerová.  nejdůležitější program v počítači  umožňuje všem ostatním programům fungovat  prostředník mezi počítačem a uživatelem.
Tiskové služby v sítích Microsoft
Autentizace a účty v AD. Autentizace stanice v AD.
Databázové modelování
Active Directory Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
2 Fučíková Sylvie HR/Win – moderní technologie pro osvědčené aplikace.
Orbis pictus 21. století Tato prezentace byla vytvořena v rámci projektu.
SAMBA umožňuje linuxovému systému sdílení prostředků a služeb prostřednictvím sítě používá SMB (server message block) protocol - identický protokolu.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-4-15.
Firewall Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
Klomfar Petr.  Adresářová služba  specializovaná databáze optimalizovaná pro čtení a vyhledávání.  popisující objekt pomocí atributů. Na rozdíl od.
Ovládací panely Uživatelské účty II. Název a adresa školy: Střední odborné učiliště stavební, Opava, příspěvková organizace, Boženy Němcové 22/2309, 746.
Pohled uživatele.
Typy počítačových sítí Střední odborná škola Otrokovice Autorem materiálu a všech jeho částí, není-li uvedeno jinak, je PaedDr. Pavel.
Doména Windows Serveru Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
PV175 SPRÁVA MS WINDOWS I Podzim 2008 Uživatelé a skupiny Anonym poslal otázku na administrátora: „Nezdá se ti blbý odpovídat na anonymní otázky z internetu?“
Skupinové politiky.
Pavel Olšan & Ondřej Mrzena.  Co je server  Funkce  Verze Windows a instalace  Active Directory  Účty  DNS  DHCP  .
Uživatelské účty, Skupiny
Překlad jmen, instalace AD
Tento projekt je financován z Operačního programu Vzdělávání pro konkurenceschopnost prostřednictvím Evropského sociálního fondu a státního rozpočtu ČR.
Bezpečnostní popisovače ACL. Popisovač zabezpečení  Popisovač zabezpečení – sada informací o řízení přístupu - zabezpečení, spojené se zabezpečeným objektem.
Ovládací panely Šablona 32 VY_32_INOVACE_1_7_Windows-ovládací panely.
Nastavení systému Windows - pokračování (14). Projekt: CZ.1.07/1.5.00/ OAJL - inovace výuky Příjemce: Obchodní akademie, odborná škola a praktická.
Unix a Internet 9. Samba © Milan Keršlágerhttp:// Obsah: ●
WINDOWS Základní popis a údržba operačních systémů.
BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )
BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )
Význam relací Typy relací Vytvoření relace Nastavení relace Podtypy relace Referenční integrita.
Paměti PC HDD, CD/DVD, USB Flash RAM a ROM Vnější paměť Disková paměť
Bezpečnostní technologie I
PRACOVNÍ PLOCHA Vasyl Lutsak.
Vlastnosti souborů Jaroslava Černá.
Důležité pojmy pro práci s operačním systémem Windows
Práva uživatelů Autorem materiálu a všech jeho částí, není-li uvedeno jinak, je Ing. Libor Otáhalík. Dostupné z Metodického portálu ISSN: 
SOUBOR Souborový systém (anglicky file system) je v informatice označení pro způsob organizace dat ve formě souborů (a většinou i adresářů) tak, aby k.
TÉMA: Počítačové systémy
Kofigurace & napájení Windows
Transkript prezentace:

Název školy: Autor: Název: Číslo projektu: Název projektu: SŠ spojů a informatiky Tábor Petr Vlach VY_32_INOVACE_OS_13 CZ.1.07/1.5.00/ Moderní škola – inovace výuky na SŠSI Tábor

Windows Server Správa adresářové služby-Active Directory, uživatelské a skupinové účty

Správa adresářové služby –Active Directory a Řadič Domény Nejdříve je potřeba ujasnit pojem doména. Doména je vlastně databáze, která obsahuje všechny objekty v síti (účty uživatelů, skupiny uživatelů, účty počítačů, informace o tiskárnách,…). Doména představuje logické uspořádání objektů v síti. V této databázi je možné se dotazovat na vlastnosti objektů – plní tedy roli databázové služby, která se v tomto případě nazývá adresářová služba – Active Directory. Podrobnější popis domény je v následujícím textu. Řadič domény je počítač plnící roli serveru s adresářovou službou. Řadiče domén ukládají data do adresářů, spravují: komunikaci mezi uživateli a doménami, přihlášení uživatelů, ověřování a vyhledávání v adresářích. Pokud je potřeba zlepšit dostupnost a spolehlivost síťových služeb, mohou se do existující domény přidat další řadiče domény. Při instalaci dalšího řadiče domény nedochází k vytvoření nové databáze Active Directory, ale vytvoří se replika stávající. Každý řadič domény bude udržovat stejné adresářové informace (včetně uživatelských účtů). Pokud ve struktuře firmy existuje více domén je jejich uspořádání tvořeno Lesem, Stromy, Větvemi, Organizačními jednotkami: Les Active Directory: je tvořen více stromy, je tvořen doménami s nesouvislými názvy DNS. Strom Active Directory (Doménový strom): se vyznačuje tím, že název domény na nejvyšší úrovni (tzv. kořenové domény) se vyskytuje na konci názvu každé podřízené domény. Strom je tvořen doménou se souvislými názvy DNS. Větev: je část stromu domény

Organizační jednotky: jsou podskupiny v rámci domén, reprezentují obchodní nebo řídící strukturu firmy, využívají se k lepší organizaci objektů v doméně, dovolují např. rozdělit účty na účty žáků, učitelů,…., lze na ně aplikovat skupinová politika (zásady skupin). Mohou obsahovat objekty pouze ze své nadřazené domény. Lze je přemístit v rámci domény přetažením myší. Vytvoření organizační jednotky: Pravým tlačítkem myši na doménu nebo již existující organizační jednotku V místní nabídce vybrat Nový a Organizační jednotka Zadat název organizační jednotky Do organizační jednotky lze přesunout účty uživatelů a sdílené prostředky

Ekonomika.loc Vyroba.loc Spravabudov.loc Technologie.local Konstrukce.local Organizační jednotky STROM 1 STROM 2 Mezi doménami jsou definovány vztahy důvěryhodnosti. To znamená, že uživatel v doméně Ekonomika.loc může získat přístup ke sdílené složce v doméně Vyroba.loc. Tyto vztahy se vytvářejí během instalace domény a mají dvě vlastnosti: Jsou tranzitivní (přenosné): jestliže si mezi sebou důvěřuje Ekonomika.loc a Vyroba.loc a současně si důvěřují Ekonomika.loc a Technologie.local, znamená to, že si důvěřují i Vyroba.loc a Technologie.local. Jsou obousměrné. To znamená, jesliže Ekonomika.loc důvěřuje Technologii.local, pak Technologie.local důvěřuje Ekonomice.loc

Strukturu domén je možné zobrazit pomocí nástroje Spravovat domény a vztahy důvěryhodnosti.

Název domény Odpovídá názvům, na které jsme zvyklí z internetu – např. FIRMA.cz.Samostatný název FIRMA je názvem pro rozhraní NetBIOS, název FIRMA.cz je názvem pro DNS. Pro klientské počítače se systémem starším jak Windows 2000 bude doména vystupovat pod jménem FIRMA, pro novější pod jménem FIRMA.cz Volba přípony názvu domény 1.Přípona, kterou lze použít v internetu: *.cz 2.Interní přípona (nelze použít v internetu): *.local, *.loc,…. Pokud společnost plánuje prezentaci na internetu (pod názvem firma.cz) měla by pro doménu zvolit interní název domény (firma.local).Oddělí tak zónu DNS pro internetovou prezentaci od zóny DNS pro potřeby domény Active Directory. Systém Windows Server 2003 umožňuje změnu názvu domény s použitím speciálního nástroje Rendom.exe, který je k dispozici na instalačním CD, nebo ho lze stáhnout z webových stránek Microsoft.

Účty Typy účtů: Uživatelské, skupinové Počítačové Uživatelské, skupinové a počítačové účty ve službě Active Directory reprezentují fyzické entity (osobu nebo počítač). Používají se pro zabezpečení přístupu k prostředkům domény. ID zabezpečení (SID) : Je to datová struktura s proměnnou délkou identifikující účet uživatele, skupiny nebo počítače. Každému účtu v síti je jedinečný kód SID přidělen v okamžiku vytvoření. Vnitřní procesy systému Windows využívají kódy SID, nikoli jméno uživatele nebo název skupiny účtu. Účty je možné použít k těmto akcím: Ověřování identity uživatele nebo počítače.Každý uživatel, který se přihlašuje k síti má svůj uživatelský účet a heslo. Povolení nebo odepření přístupu k prostředkům domény. A to na základě oprávnění přiřazených uživateli Uživatelské účty V systému Windows 2003 se definují dva typy uživatelských účtů: Doménové : mohou přistupovat k prostředkům v celé doméně Místní : mají přístup pouze k místnímu počítači A)předdefinované účty: Administrátor, Guest, HelpAssistant, ….. Administrátor: Má oprávnění k úplnému řízení domény a může přiřazovat uživatelská práva a oprávnění k přístupu.Účet Administrátor je ve službě Active Directory výchozím členem skupin Administrators, Domain Admins, Enterprice Admins,….. Tento účet nelze ze skupiny Administrators odstranit, ale může být přejmenován nebo zakázán. V případě zákazu je možné získat přístup k řadiči domény v nouzovém režimu. Při vytváření nové domény je vytvořen jako první účet.

Guest: Slouží uživatelům, kteří v doméně nemají skutečný účet.Nevyžaduje heslo.Ve výchozím nastavení je členem předefinované skupiny Guests a globální skupiny Domain Guests, která umožňuje uživateli přihlášení k doméně.Ve výchozím nastavení je účet Guest zakázán.Lze u něj nastavit stejná práva a oprávnění jako u ostatních uživatelských účtů. Help Asistent: Slouží k vytvoření relace vzdálené pomoci a je u něj nastaven omezený přístup k počítači.Je vytvořen službou Správce relací a po vyřízení všech čekajících požadavků na vzdálenou pomoc bude automaticky odstraněn. Účty Administrátor a Guest je vhodné z bezpečnostních důvodů přejmenovat a dát jim silná hesla (vytvořené kombinací velkých písmen, malých písmen, a číslic). Při přejmenování jsou vzhledem k tomu, že zůstává zachováno SID, zachovány vlastnosti přejmenovaného účtu (popis, heslo, členství ve skupinách, profil uživatele,…). Uzamčení účtu: Pomocí uzamčení účtu můžete omezit možnost útoku na doménu pomocí opakovaných pokusů o přihlášení.Určí se počet nezdařených pokusů o přihlášení před tím než dojde k zakázání účtu. B) Doménové Uživatelské účty (nepředdefinované): Pro práci v síti je pro každého nového uživatele potřeba vytvořit doménový učet uživatele.Aby se uživatel mohl přihlásit potřebuje tzv. pověření- čili jméno a heslo.Pomocí účtu uživateli určujeme, kde se může v doméně pohybovat a které úlohy může provádět. Uživatel se může přihlásit ke kterémukoliv počítači v doméně s výjimkou řadiče domény. Vytvoření doménového účtu : Přihlásit se k serveru jako Administrator Spustit: Uživatelé a počítače služby Active Directory Pravé tlačítko na položku Users Přejít na položku Nový a Uživatel V dialogovém okně zadat uživatele

Pro pole Uživatelské přihlašovací jméno se doporučuje vyhnout se diakritice. Pro pole Heslo se doporučuje vyhnout se diakritice, heslo musí být „složité“ (nejméně 7 znaků, musí obsahovat nejméně velké písmeno, číslici a speciální znak). Po vytvoření nového doménového účtu je ho potřeba ověřit přihlášením na některém klientském počítači.

Šablony pro uživatelské účty: Pro vytváření nových účtů je vhodné používat šablony. Jejich výhodou je, že nemusíte vyplňovat všechny společné atributy. Je to vlastně standardní účet, který používáme k vytváření dalších účtů. Je užitečné ho pojmenovat pomocí speciálního znaku (např. podtržítko na začátku jména). Vytvoření účtu ze šablon: Na šablonu klepnout pravým tlačítkem myši V místní nabídce vybrat příkaz kopírovat Zadat údaje pro nového uživatele Každý nově vytvořený účet je standardně členem skupiny Domain Users. Tato skupina je v každém klientském počítači členem místní skupiny Users, což uživatelům uděluje základní oprávnění a práva pro práci s daným počítačem. Pokud je klientský počítač členem domény, může se uživatel přihlásit pomocí doménového účtu nebo pomocí místního účtu ( Je nutné vytvořit místní účet). Pokud se počítač stane řadičem domény všechny místní účty se převedou na doménové a nové místní účty nelze převádět. Zobrazeni informací o účtu Pomocí příkazu : net user účet (net user vlach) C) Účty počítačů: Umožňují ověřování a kontrolu přístupu počítače k síti a k prostředkům domény. Vytváření počítačových účtů Účty je možné přidat do kteréhokoliv kontejneru služby Active Directory – nejrozumnější je volba Computers. Nejjednodušší způsob: Každému počítači, který se připojí k doméně se vytvoří účet počítače ve složce Computers služby Active Directory. Jiný způsob: Pravá klávesa na položku Computers Vybrat položku Nová položka a Počítač Vyplnit dialogové okno

Účet počítače můžeme zakázat, resetovat, přesouvat, odstranit.

Skupiny Skupiny vycházejí z předpokladu, že ve firmě existují uživatelé, kteří mají potřebu přistupovat ke stejným dokumentům, stejným technickým prostředkům nebo mít (ne)omezený přístup k internetu. Z pohledu Active Directory je proto vhodné strukturu firmy rozdělit na doménové skupiny. Skupině se přidělí oprávnění a každý nový člen skupiny nabude tato oprávnění. Typy skupin [ 2, s. 164 ]: Skupiny se zabezpečením:skupině se přidělují práva a oprávnění (práva určují, co může člen skupiny provádět v doméně za činnosti; oprávnění určují, ke kterým prostředkům mají uživatelé přístup) Distribuční skupiny: jsou určeny pouze pro odesílání ů uživatelům, nemohou získat oprávnění Skupiny se zabezpečením mají schopnosti distribučních skupin. Distribuční skupiny existují, protože některé aplikace umějí pracovat pouze s tímto typem. V doménovém prostředí lze pracovat s několika rozsahy (funkčnostmi) skupin: Globální – doménová struktura (les) Místní doménové – lokální doména Univerzální - dosah i na vzdálené domény

1.Globální skupiny: Využívají se pro seskupování uživatelů se společnými zájmy v síti (tisk na stejné tiskárny, přístup do stejných složek,…). Rozsah skupiny: Je „viditelná“ ve vlastní doméně a v ostatních důvěryhodných doménách v lese (odtud název globální). Členové:Tato skupina může obsahovat: účty uživatelů, účty počítačů, globální skupiny ze stejné domény. Skupina může být členem : místních doménových či univerzálních skupin. Oprávnění: může získat oprávnění v jakékoliv doméně lesa Active Directory 2.Místní doménové skupiny: Využívají se pro udělování oprávnění přístupu ke sdíleným prostředkům (tiskárny, sdílené složky) v rámci vlastní domény. Rozsah skupiny:Je „viditelná“ pouze v doméně, ve které byla vytvořena (odtud název místní). Mají nejmenší záběr. Členové:Tato skupina může obsahovat: účty uživatelů, účty počítačů, globální skupiny, univerzální skupiny z jakékoliv domény v lese a místní doménové skupiny ze stejné domény. Skupina může být členem : místních doménových skupin ze stejné domény. Oprávnění: může získat oprávnění pouze v doméně, ve které byla vytvořena. 3.Univerzální skupiny: Slouží ke sloučení globálních skupin. V malých sítích se příliš nepoužívají. Rozsah skupiny:Je „viditelná“ v jakékoliv doméně v lese. Mají největší záběr. Členové:Tato skupina může obsahovat: účty uživatelů, účty počítačů, globální skupiny, univerzální skupiny z jakékoliv domény v lese. Skupina může být členem : místních doménových skupin a univerzálních skupin z jakékoliv domény v lese. Oprávnění: může získat oprávnění v jakékoliv doméně v lese. Pokud organizace nemá dvě nebo více domén nebudeme univerzální skupiny potřebovat.

Doporučené strategie pro používání skupin Teoreticky lze kombinovat skupiny bez omezení. Abychom se vyhnuli chaosu, je vhodné respektovat následující doporučení: Používané značení [ 1, s.28 ] : A uživatelské účty (user Accounts) G globální skupiny (Global groups) DL místní doménové skupiny (Domain Local groups) U univerzální skupiny (Universal groups) P oprávnění přístupu k prostředku (Permissions) Doporučená strategie (nejčastější): A -> G -> DL <- P Tuto strategii lze popsat: Uživatelské účty se stanou členy globální skupiny a místní doménové skupině se přidělí oprávnění přístupu k danému prostředku (např. složce souborů). Aby měli uživatelé k tomuto prostředku přístup, globální skupinu vložíme do místní doménové skupiny. Z toho vyplývá: 1.nepřidělujeme oprávnění uživatelským účtům přímo, protože ve složitější konfiguraci by to bylo těžko spravovatelné. 2.neudělujeme oprávnění přímo globální skupině, protože pokud vznikne podřízená doména, jejíž členové budou chtít sdílet společné prostředky, je snazší vytvořit v podřízené doméně globální skupinu, které se přidělí přístup, než nastavovat zabezpečení sdíleného prostředku pro všechny členy nové domény.

A A Firma.loc DL G P Podřízená.Firma.loc A A G Správa skupin Předpoklad: A -> G -> DL <- P Počet místních doménových skupin je závislý na počtu sdílených prostředků (složek, tiskáren,..) Počet globálních skupin je dán jejich účelem (seskupení uživatelů se společnými zájmy) a většinou odpovídá počtu oddělení ve firmě. Např: obchodní odd., sklad, IT, výroba, …

Názvy skupin Lze doporučit pravidla: Jako první písmeno použít jejich typ (G, D, U ). V názvu globální skupiny uvést název oddělení nebo skupiny uživatelů ( G_Konstruktéři). V názvu místní doménové skupiny uvést účel skupiny, popřípadě maximální oprávnění (D_Tiskárny_Tisk, D_Admins_Úplné_řízení). Vytvoření nové skupiny: V Active Directory - Pravá klávesa na Users, vybrat Nová položka a Skupina

Literatura: [1] CANDRA, M. Windows 2003 Server : Skriptum Střední školy spojů a informatiky [2] ŠETKA, P. Microsoft Windows Server 2003 dotisk 1.vyd. Brno: Computer Press a.s., ISBN