Autentizace a účty v AD. Autentizace stanice v AD.

Slides:



Advertisements
Podobné prezentace
(Master Data Manager) B1UP - Správa kmenových dat Ing. Miroslav Beran Servis/Helpdesk.
Advertisements

Exchange 2013 – Autodiscover - přehled
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-4-02.
Skupinová politika Windows 200x - požadavky
Přednáška č. 5 Proces návrhu databáze
Operační systémy a aplikační servery Tomáš ZACHAT SPŠ Praha 10, STIC.
UŽIVATELSKÝ ÚČET NA PORTÁLU INFORMAČNÍCH ZDROJŮ PRO UTB XERXES.
ZMVŠ. Bezpečnost Windows 8 Dynamic Access Control (DAC) Volně – Dynamický kontrolní přístup) rozšíření NTFS access control listů (ACL) o složitá pravidla.
Adresářové služby – základní pojmy
MP Orga, spol. s r.o. MP Orga MP Orga Maestro Informační systém pro správu organizační struktury.
Vaše jistota na trhu IT Důvěryhodná výpočetní základna Ladislav Šolc Microsoft, s.r.o. Solution.
Správa počítačových sítí Nabízíme vám jak kompletní správu vašich informačních technologií, tak zajištění provozu pouze určité vámi určené části. Jedná.
Gymnázium, SOŠ a VOŠ Ledeč nad Sázavou I NFORMAČNÍ A KOMUNIKAČNÍ TECHNOLOGIE Ing. Jan Roubíček.
Petr Šetka, MVP Exchange, MCSE:Messaging, MCT Windows Small Business Server 2003 R2.
Adresářová služba Active directory
Vytvoření řadiče Windows Serveru Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-4-18.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-4-14.
8. dubna 2013ISSS - Portál interních identit, Z. Motl1 Portál interních identit jako nadstavba identity managementu Mgr. Boleslav Bobčík, T-Systems Czech.
Databázové systémy. Práce s daty Ukládání dat Aktualizace dat Vyhledávání dat Třídění dat Výpočty a agregace.
Serverové systémy Windows
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-4-08.
Celní služby 2000 Radek Sedláček TranSoft a.s Radek Sedláček TranSoft a.s
Lokální počítačové sítě Novell Netware Ing. Zdeněk Votruba Úvod do síťového operačního systému Novell Netware.
Jan Bartoš MPC,MCTS. OFFICE 365 ÚVOD Microsoft Office 365 Správa a automatizace prostředí Office 365 pomocí Windows PowerShell Základní přehled a vlastnosti.
Operation Masters - správa Operation Masters - role Operation Masters - role Operation Masters - umístění Operation Masters - umístění Přesouvání versus.
Uživatelské profily, vlastnosti uživatelského účtu
Název školy: Autor: Název: Číslo projektu: Název projektu: SŠ spojů a informatiky Tábor Petr Vlach VY_32_INOVACE_OS_12 CZ.1.07/1.5.00/ Moderní škola.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-4-03.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-4-09.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost 1. KŠPA Kladno, s. r. o., Holandská 2531, Kladno,
Základy uživatelských a skupinových účtů
Název školy: Autor: Název: Číslo projektu: Název projektu: SŠ spojů a informatiky Tábor Petr Vlach VY_32_INOVACE_OS_13 CZ.1.07/1.5.00/ Moderní škola.
organizační struktury Implementace EOS III na Olomouckém kraji Pro:Krajský rok informatiky 2005 Autor:Jan Kadlec Datum:
Active Directory Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
Orbis pictus 21. století Tato prezentace byla vytvořena v rámci projektu.
Práce v doméně Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
SAMBA umožňuje linuxovému systému sdílení prostředků a služeb prostřednictvím sítě používá SMB (server message block) protocol - identický protokolu.
Vzdálené počítačové sítě a programování v prostředí Windows Okruhy ke zkoušce z předmětu: Ing. Zdeněk Votruba LVALVA.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-4-15.
Klomfar Petr.  Adresářová služba  specializovaná databáze optimalizovaná pro čtení a vyhledávání.  popisující objekt pomocí atributů. Na rozdíl od.
Orbis pictus 21. století Tato prezentace byla vytvořena v rámci projektu.
Studentská PARDUBICE Implementace MIIS na Univerzitě Pardubice Petr Švec, Univerzita Pardubice.
Miroslav Skokan IT Security Consultant
Pohled uživatele.
DNS a Windows 200x Služba DNS je vyžadována pro vytvoření Active Directory Problémy 1.Dle RFC 1123 lze v DNS použít znaky: ‘A’-’Z’, ‘a’-’z’, ‘0’-’9’, and.
Doména Windows Serveru Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti 8. Active Directory Administrace OS Windows 1Miroslav Prágl.
PV175 SPRÁVA MS WINDOWS I Podzim 2008 Uživatelé a skupiny Anonym poslal otázku na administrátora: „Nezdá se ti blbý odpovídat na anonymní otázky z internetu?“
Univerzita třetího věku kurz Znalci Databáze 1.
Skupinové politiky.
Pavel Olšan & Ondřej Mrzena.  Co je server  Funkce  Verze Windows a instalace  Active Directory  Účty  DNS  DHCP  .
Správa MS Windows II Vladimír Pečený.
Linux - Windows. Alternativní SW Office: OpenOffice - LibreOffice - Koffice - GNOME.
Zabezpečení. GPO Security Settings Comp Conf – Win Settings – Security Settings Account Policies – Password Policy – požadavky na hesla uživatelů Doménová.
Uživatelské účty, Skupiny
Překlad jmen, instalace AD
Identity na ČVUT ČVUT - Výpočetní a informační centrum Ing. Petr Zácha, Ph.D.
Bezpečnostní popisovače ACL. Popisovač zabezpečení  Popisovač zabezpečení – sada informací o řízení přístupu - zabezpečení, spojené se zabezpečeným objektem.
Unix a Internet 9. Samba © Milan Keršlágerhttp:// Obsah: ●
Audit a řešení problémů v počítačové síti. Rozdělení údržby 1. Vzdálený dohled a monitoring celé sítě 2. Pravidelné prohlídky jedním přiděleným servisním.
Identity a Access management Petr Štros
Management počítačových sítí Počítačové sítě VUT v Brně Fakulta podnikatelská Lekce 4 – Management síťové vrstvyIng. Viktor Ondrák, Ph.D.strana 1 Lekce.
BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )
Univerzitní informační systém II., Lednice 2003 Jednotná autentizace na univerzitě (LDAP) Petr Dadák
Bezpečnostní technologie I
Vlastnosti souborů Jaroslava Černá.
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně
Práva uživatelů Autorem materiálu a všech jeho částí, není-li uvedeno jinak, je Ing. Libor Otáhalík. Dostupné z Metodického portálu ISSN: 
TÉMA: Počítačové systémy
Transkript prezentace:

Autentizace a účty v AD

Autentizace stanice v AD

Účty Typy účtů – Lokální Uložený lokálně na počítači – Doménový Uložený na doménovém řadiči Doménové řadiče nemají lokální účty, ale ostatní počítače zařazené v doméně je mít mohou

Účty v AD Uživatelský účet – Nutný pro přihlášení člověka k doméně – Ustanovuje uživateli identitu, kterou operační systém následně používá pro autentizaci na síti a autorizaci prováděných činností Účet počítače – Ustanovuje identitu počítače, která se používá pro autentizaci, autorizaci a audit – Pod účtem počítače běží všechny systémové procesy Účet skupiny – Účet sdružující a zastupující jiné účty – Může obsahovat účty uživatelů, počítačů i dalších skupin – Každý účet (i účet skupiny) může být členem libovolného množství skupin – Zjednodušuje administraci a správu přístupu ke zdrojům

Skupinové účty Bezpečnostní – využívají se k přidělování práv a oprávnění a k jemnému nastavení zásad skupiny Distribuční – používají se k vytváření skupin osob pro použití při ové komunikaci

Skupinové účty Globální skupiny (G) – Členství: Členy mohou být pouze účty a skupiny ze stejné domény jako je daná skupina – Oprávnění: Globální skupině mohou být udělena oprávnění k libovolným objektům v celém lese Doménové lokální skupiny (DL) – Členství: Členy doménové lokální skupiny mohou být účty a skupiny z celého vlastního lesa – Oprávnění: Doménové lokální skupině mohou být udělena oprávnění pouze v rámci její domény Univerzální skupiny (U) – Členství: Členy mohou být účty a skupiny z libovolné domény v lese – Oprávnění: Univerzálním skupinám mohou být přiřazena oprávnění k libovolným objektům v celém lese – Univerzální skupiny jsou ukládány pouze na tzv. globálním katalogu

Globální katalog (GC) Doménové řadiče s rozšířenou databází – Kromě všech atributů objektů z vlastní domény obsahují i omezenou množinu atributů všech objektů z celého lesa – Nutné pro přihlášení uživatelů – Umožňují rychlé vyhledávání v objektech lesa

Autentizace uživatele v AD

1.Uživatel zadává svůj login a heslo. 2.Stanice se ptá DNS, kde se nachází LDAP a Kerberos služba pro uživatelovu doménu. DNS poskytuje odpověď. 3.Stanice kontaktuje DC, jehož IP adresu dostala, a žádá o autentizaci uživatele. 4.DC ověřuje platnost loginu a hesla, jsou platné. DC ale není GC, takže kontaktuje DNS a žádá o SRV záznamy o GC. DNS poskytuje odpověď. 5.DC se ptá GC, zda je uživatel členem nějaké univerzální skupiny, která nedovoluje přihlášení na dané stanici. Pokud není, DC povoluje uživateli přihlášení na stanici.

Významné účty skupin Domain Users – Skupina všech uživatelských účtů v doméně Domain Computers – Skupina všech účtů počítačů v doméně Domain Controllers – Skupina všech účtů doménových řadičů v doméně

Významné účty skupin Domain Admins – Správci domény, mají nejvyšší možná práva v rámci své domény Enterprise Admins – Správci organizace, mají nejvyšší možná práva ve všech doménách celého lesa – Mohou vytvářet nové domény a navazovat nové vztahy důvěry mezi doménami – Tato skupina se nachází pouze ve forest-root doméně lesa Schema Admins – Členové této skupiny mohou provádět změny schématu Active Directory – Tato skupina se nachází pouze ve forest-root doméně lesa

Vytváření a správa účtů Malá organizace/výjimečné požadavky – Active Directory Users and Computers Základní grafický nástroj pro správu účtů a organizačních jednotek Střední organizace/občasné hromadné změny – Skripty a nástroje příkazové řádky dsadd, dsmod, dsquery, dsget, dsmove, dsrm ldifde Csvde Visual Basic Script Velká organizace/dynamicky se měnící prostředí – Propojení s existujícím personálním systémem – Proprietární řešení

Vlastnosti uživatelských účtů Hesla – User must change password at next logon – User cannot change password – Password never expires – Account is disabled Unikátní – Common name v rámci nejbližšího kontejneru – Login v rámci celé domény

ds nástroje dsadd – přidání objektu dsmod – úprava objektu dsget – zobrazení vlastností objektu dsquery – nalezení objektů v adresáři dsmove – přesun objektu dsrm – odstranění objektu Př.: dsadd user CN=Homer,CN=Users,DC=springfield,DC=local -samid Homer -pwd Pa$$w0rd

ldifde LDAP Data Interchange format directory exchange import/export účtů ve velkém množství – Import: ldifde –i –f INPUT.LDF – Export: ldifde –f OUTPUT.LDF Struktura souboru: dn: CN=Bart Simpson,OU=SotB,OU=Student,DC=springfield,DC=local changetype: add cn: Bart Simpson objectclass: user givenname: Bart sn: Simpson

csvde Comma-separated values directory exchange import/export účtů ve velkém množství – Import: csvde –i –f INPUT.CSV – Export: csvde –f OUTPUT.CSV Struktura souboru: dn,UserPrincipalName,objectClass,givenName,sn “CN=Bart Simpson,OU=SotB,OU=Student,

Úkoly 1.Zapojit do domény klientský počítač 2.Vytvořit uživatelský účet nástrojem AD Users and Computers 3.Zakázat/povolit tento účet 4.Resetovat účtu heslo 5.Vytvořit skupinu v AD Users and Computers 6.Vložit do skupiny další účty i další skupiny 7.Zkontrolovat access token (whoami /all) 8.Vytvořit účet příkazem dsadd a upravit ho přes dsmod 9.Vytvořit účty nástrojem ldifde