106
6
Aanmaken van OU’s, gebruikers en groepen
6.1
Organizational Unit (OU)
Een ‘Organizational Unit’ (OU) of organisatie-eenheid is het basisobject van de ‘Active Directory’. Een OU kan objecten bevatten zoals gebruikers, groepen, printers, computers, gedeelde bronnen en bestanden en ook andere OU’s. Een OU is dus meer dan een groep, want deze kan ook andere objecten bevatten dan gebruikers en groepen. Een ‘Group Policy’ (groepsbeleid) wordt toegepast op een OU (b.v. omleiding ‘map documenten’). Groepen bestaan ook, dus ‘enige’ verwarring tussen beide is best mogelijk. De eenvoudigste benadering is een OU beschouwen als een groep (in zijn Nederlandstalige betekenis) of verzameling. De gebruikersnamen van een klas leerlingen plaatsen we b.v. in een OU. De Engelstalige benaming ‘Group’ vertalen we beter door ’beveiligingsgroep’. Een beveiligingsgroep wordt gebruikt om gebruikers, computers ‘iets’ toe te wijzen. Rechten om Internet te gebruiken b.v. of een gedeelde map toewijzen (onder de vorm van een extra stationsletter), enz. Duidelijk? Hopelijk maken de toepassingen het wat meer verstaanbaar...
6.1.1
Aanmaken OU < Open ‘Active Directory Administration Center’ (via de snelkoppeling op het bureaublad) (Start, Administrative Tools) < Klik rechts op de domeinnaam ‘ School (local)’
< <
Een servergestuurd netwerk (Windows 2008 R2)
Selecteer ‘New’ Klik op ‘Organizational Unit’
OU’s, gebruikers en groepen, hst. 6
107
<
Geef in: ‘TestOU’ en klik onderaan rechts op ‘OK’ < Probeer om TestOU te verwijderen Dit lukt niet met de
in het linkergedeelte, wel in het rechtergedeelte < Klik rechts op TestOU , Delete Volgende foutm elding verschijnt:
Dit is correct, want we hebben bovenstaand vinkje niet verwijderd –>
< Klik opnieuw rechts op TestOu, Properties < Verwijder het vinkje en klik op ‘OK’ < Verwijder vervolgens TestOU Gebruik je de zelf gem aakte console dan is het nog iets m oeilijker: <
Klik eerst op ‘View en selecteer ‘Advanced Features’
<
Klik rechts op TestOU en selecteer ‘Properties’
<
Ga naar het tabblad ‘Object’
<
Verwijder het vinkje
Een servergestuurd netwerk (Windows 2008 R2)
OU’s, gebruikers en groepen, hst. 6
108
6.2
Aanmaken gebruiker (User)
<
We maken een nieuwe OU : Leraars
<
Klik op ‘OK’
<
Open de OU ‘Leraars’
<
Klik rechts en selecteer: New, User Vul de gegevens in voor ‘Jef Fysica’ (zie scherm)
Test123 (2 x)
<
Bekijk de verschillende mogelijkheden
Deze standaardinstellingen zijn de m eest gebruikte: • Account expires: Never • User m ust change password at next log on
Een servergestuurd netwerk (Windows 2008 R2)
OU’s, gebruikers en groepen, hst. 6
109 <
Schuif naar om laag: -- merk op dat je de gebruiker lid kunt maken van een groep --
<
Geef een profielpad in: \\windows7server\profiellkr\%username%
<
Klik op ‘OK’
<
Dubbelklik op de gebruiker ‘Jef’ (of klik rechts, Properties)
<
Schuif volledig naar omlaag tot aan het tabblad ‘Extensions’
<
We bekijken twee tabbladen nl.: • •
Een servergestuurd netwerk (Windows 2008 R2)
Remote control Dial-in
OU’s, gebruikers en groepen, hst. 6
110
Server 2008 R2 bevat de role ‘Rem ote Desktop Services’. In com binatie hierm ee is het m ogelijk om gebruikersessies te bekijken of over te nem en.
Om de server vanaf een andere locatie te beheren is een veilige verbinding zinvol. Dit kan b.v. m et een VPN-verbinding. De ISA/ForeFront-server b.v. bevat een tool om dit heel eenvoudig op te zetten.
Er is hiervoor een aparte (te betalen) licentie nodig. Veilig is dan om in te bellen als gewone gebruiker (geen adm inistratorrechten) en dan een ‘Rem ote Desktop connection’ te starten als adm inistrator. Om een gewone gebruiker dit recht te geven m oet ‘Allow access’ geselecteerd worden.
< Maak volgende gebruikers aan in de OU ‘Leraars’ Voornaam
Familienaam
Voorw aarde
An
Frans
Piet
W iskunde
Mag niet aanm elden op m aandag en dinsdag
Els
Nederlands
Account vervalt op 30 juni 2018
Vergeet niet voor iedereen een profiel op te geven! \\w indow s7server\profiellkr\%username%
Merk op dat je geen gebruikers kunt kopiëren zoals in de console (m m c), m aar .... ... je kunt wel (nadien) alle gebruikers selecteren en b.v. het profielpad ingeven voor iedereen:
Een servergestuurd netwerk (Windows 2008 R2)
OU’s, gebruikers en groepen, hst. 6
111
6.2.1
Wijzigen wachtwoord en uitschakelen
Het wachtwoord wijzigen van een gebruiker of een gebruiker uitschakelen kan via het ‘Tasks-m enu’, m aar ook door rechts te klikken op een gebruiker.
Een servergestuurd netwerk (Windows 2008 R2)
OU’s, gebruikers en groepen, hst. 6
112
6.3
Groep aanmaken (Group)
<
Klik rechts in de OU leraars en selecteer ‘New’
<
Klik op ‘Group’
<
Geef in ‘Leraars’
Group scope: <
Universal Leden voor deze groep kunnen kom en uit elk dom ein in de ’forest ‘ en er in geplaatst worden vanuit gelijk welk dom ein
<
Global Leden voor deze groep kunnen enkel kom en uit het dom ein zelf
<
Domain Local Idem als ‘Universal’, m aar gebruikers kunnen enkel in de groep geplaatst worden door het dom ein dat eigenaar is van de groep.
Group type: In principe is het altijd ‘Security’. Een ‘Distribution-group’ is een lijst van gebruikersaccounts, m aar zonder beveiligingsprincipal (dit noem t dan contactpersonen). Dit object wordt enkel gebruikt voor com m unicatie (e-m ail, fax, telefoneren, enz.); Zo’n object is te vergelijken m et de objecten in een W indows-adresboek (W AB) en kunnen gekoppeld worden aan Outlook, W indows Mail, ... of andere clientsoftware die gebruik m aken van het LDAP-protocol.
Twee verschillende objecten m et dezelfde naam kunnen niet onder elkaar geplaatst worden. Vroeger kon dit wel. M.a.w. de ‘group’ Leraars aanm aken onder de ‘OU’ ‘Leraars’ kan niet.
Een servergestuurd netwerk (Windows 2008 R2)
OU’s, gebruikers en groepen, hst. 6
113
6.3.1
Gebruiker toevoegen tot een groep
Dit kan op verschillende manieren, bestaat de groep voor het aanmaken van de gebruiker, dan kan de gebruiker tijdens het aanmaken onmiddellijk worden toegevoegd. Een andere m ogelijkheid is in de groep zelf in het onderdeel ‘Mem bers’ <
Klik op ‘Add...’
<
Geef in: Jef; An; Piet; Els
(m eerdere nam en kan je ingeven gescheiden door een puntkom m a) <
Klik op ‘Check Names’
Gevonden objecten worden onderlijnd en om gezet naar de ‘Displaynam e’ en de ‘Objectnam e@ dom ainnam e’
<
Klik op ‘OK’
Nog een andere m ogelijkheid: < Selecteer de gebruikers < Klik rechts en klik op ‘Add to group..’
< Maak op de server de map ‘Profiellkr' < Deel deze map met lees- en schrijfrechten voor de groep ‘leraars’
Een servergestuurd netwerk (Windows 2008 R2)
OU’s, gebruikers en groepen, hst. 6
114
6.4
OU’s, gebruikers en groepen automatisch aanmaken
Vanaf Windows Server 2003 werden er heel wat ‘Command Line Tools’ toegevoegd waardoor vanaf de prompt rechtstreeks kan ingegrepen worden in o.a. de ‘Active Directory’ van een domein. Ook PowerShell biedt deze mogelijkheid en beide systemen zijn door elkaar te gebruiken. Door het samenplaatsen van deze commando’s in een batchbestand kan op een vrij eenvoudige manier een complexe en grote structuur van een school opgenomen worden in de ‘Active Directory’. Meer informatie hierover is terug te vinden via b.v. Google, met als zoekterm: < command-line reference 2008 of via volgende link: http://technet.microsoft.com/nl-nl/library/cc754340(WS.10).aspx We beperken ons tot de ‘command line tool’: Dsadd
Een servergestuurd netwerk (Windows 2008 R2)
OU’s, gebruikers en groepen, hst. 6
115 Dsadd OU
Dsadd Group
Dsadd User
<
Klik op in de ‘taskbar’ (taakbalk) op het PowerShell-pictogram
<
Geef in: Dsadd ou “ ou=TestOU, dc=school, dc=cno” en <Enter>
<
Geef in: Dsadd user “cn=leerling01, ou=TestOU, dc=school, dc=cno” en <Enter>
<
Geef in: Dsadd group “cn=GrpLLN, ou=TestOU, dc=school, dc= cno” en <Enter>
•
Er m ogen geen spaties gebruikt worden voor en na het gelijkheidsteken. Op andere plaatsen m aakt het niet uit.
•
W ordt er geen wachtwoord m eegegeven dan is het account standaard uitgeschakeld. W ordt er een wachtwoord m eegegeven dan m oet het voldoen aan de com plexiteiteisen
<
Geef een nieuwe gebruiker in, m aar nu wel m et wachtwoord: (tussen -pwd en”Test123” zeker een spatie!) Dsadd user “cn=leerling02, ou=TestOu, dc=school, dc=cno” -pwd “Test123"
Een servergestuurd netwerk (Windows 2008 R2)
OU’s, gebruikers en groepen, hst. 6
116
6.4.1
Volledige structuur aanmaken met een rekenblad
Om een volledige schoolstructuur aan te maken gebruiken we als hulpmiddel een rekenblad. In principe komt het er op neer om een tekstbestand aan te maken met een reeks instructies zoals in de vorige opgave in de DOS-prompt werd ingegeven. Als voorbeeld gebruiken we het rekenblad school.xls. Er worden twee hoofd-OU’s aangemaakt, groepen en leerlingen • In de hoofd-OU ‘groepen’ komen de beveilgingsgroepen te staan met de namen van de leerlingen per klas . Per niveau wordt er een beveiligingsgroep gemaakt met de beveiligingsgroepen per klas als inhoud. • In de hoofd-OU ‘leerlingen’ worden eerst onderverdelingen aangemaakt per graad en dan per klas. Elke klas bevat de individuele gebruikersaccounts van de klasleerling. Dit rekenblad is eenvoudig aan te passen aan de structuur van uw eigen school. We bespreken elk blad:
6.4.1.1
Blad ‘Kladblad’
Dit blad wordt gebruikt om gegevens te importeren vanuit de administratieve software van de school (Informat, Wisa, enz). Zorg voor dezelfde volgorde en correcte namen. Het is zeer belangrijk om grondig na te denken over de vorm van de loginaam. In dit voorbeeld wordt er gewerkt met:
Voorbeeld: 1HA.Lisa
Kolom A
In alle cellen: leerlingen
Kolom B
In alle cellen ‘1e graad’, ‘2e graad’, ‘3e graad’, naargelang het graadniveau van de leerling
Kolom C
De klas
Kolom D
Leeg, om eventueel nog een deel-OU toe te voegen
Kolom E
De voornaam van de leerling. Kom t de voornaam m eerdere m alen voor per klas, dan wordt de tweede voornaam geïndexeerd m et ‘2', enz.
Kolom F
De fam ilienaam . W ordt niet gebruikt voor de loginnaam , m aar verschijnt wel bij het inloggen bovenaan het startm enu.
Een servergestuurd netwerk (Windows 2008 R2)
OU’s, gebruikers en groepen, hst. 6
117
6.4.1.2
Blad ‘Organisatie’
Rij 3
Het aanm aken van de OU ‘groepen’
Rij4
Het aanm aken van de OU ‘ leerlingen’
Rij5
Het aanm aken van de OU ‘1 e graad’
Rij6
Het aanm aken van de OU ‘1HA’
...... De OU ‘1HA’ kan m aar gem aakt worden als de OU ‘1e graad’ bestaat. Idem voor de OU ‘1 e graad’, daarvoor m oet de OU ‘leerlingen’ bestaan. Ook als de OU ‘tweede graad’ m oet gebruikt worden dan m oet die bestaan voordat de OU ‘3HA’ kan gem aakt worden. In rij 4 is dan ook de cel D4 leeg , in de rij 5 is de cel E5 leeg, in rij 11 is de cel E11 leeg, enz. •
Aanmaken OU’s
Vanaf de cel K3 worden nu de nodige ‘com m and lines’ aangem aakt om onze structuur aan te m aken.
Een servergestuurd netwerk (Windows 2008 R2)
< < < < < <
Selecteer K3 ÷N32 en ‘Kopieer’ Start MS-W ord Klik op ‘Bewerken’ Klik op ‘Plakken Speciaal’ Selecteer ‘Niet opgemaakte tekst’’ Klik op ‘OK’
< <
Klik op ‘Opslaan’ Selecteer ’Tekst zonder opmaak’
<
Selecteer ‘MS-DOS’
<
Klik op ‘OK’
OU’s, gebruikers en groepen, hst. 6
118 Alhoewel het hier niet echt noodzakelijk is, is deze werkwijze uiterst belangrijk om in de ‘Active Directory’ correcte nam en in te voegen. Dit is de enige m anier om via de MS-DOS prom pt correcte (leerlingen) nam en in te voegen die geen standaard ASCII- of ANSI-karakters bevatten. De standaardcodepagina van de MS-DOS prom pt is 437 (of 850), m aar de W indows Encodering is 1252! De speciale leestekens moeten dus in het tekstbestand omgezet zijn! Voorbeelden: •
ç wordt ‡
•
ï wordt ‹
<
Verander de extensie .txt naar .cmd
<
Zorg ervoor dat dsaddou.cmd wordt uitgevoerd op de server (kopieer dit desnoods op een memostick en start vanaf daar de uitvoering)
•
Aanmaken Groepen
Vanaf de cel T4 worden nu de nodige ‘com m and lines’ aangem aakt om de groepsstructuur aan te m aken. < < < < < <
SelecteerT4 ÷W32 en ‘Kopieer’ Start MS-W ord Klik op ‘Bewerken’ Klik op ‘Plakken Speciaal’ Selecteer ‘Niet opgemaakte tekst’’ Klik op ‘OK’
< <
Klik op ‘Opslaan’ Selecteer ’Tekst zonder opmaak’
< <
Selecteer ‘MS-DOS’ Klik op ‘OK’
<
Verander de extensie .txt naar .cmd
<
Zorg ervoor dat dsadd group.cmd wordt uitgevoerd op de server (kopieer dit desnoods op een memostick en start vanaf daar de uitvoering)
Een servergestuurd netwerk (Windows 2008 R2)
OU’s, gebruikers en groepen, hst. 6
119
6.4.1.3
Blad ‘Gebruikersinstellingen’
De kolom m en A, B, C, D, E en F hebben dezelfde inhoud als de kolom m en van het blad ‘Kladblad’ <
Selecteer A1 ÷F460 op het blad ‘Kladblad’ en klik op ‘Kopieer’
<
Ga naar cel A4 op het blad ‘Gebruikersinstellingen’ en klik op ‘Plakken’
De kolom m en G, H, en I worden autom atisch ingevuld. Merk op dat in de kolom H de dom einnaam niet @ school.cno is. Dit is hier onlogisch, m aar heeft geen gevolgen voor de goede werking. Dit kan b.v. als het e-m ailadres(zie kolom Q) beheerd wordt door een andere server op een andere locatie. <
Overloop de verschillende tabbladen
De kolom T (profielpad) gebruiken we om voor elke leerling een verplicht profiel in te geven <
Verander in kolom T ’windows7server' naar de naam van uw server en kopieer
De kolom U gebruiken we niet en hoeft dus niet m ee gekopieerd te worden
6.4.1.4
Blad ‘Gebruikersscript’
< <
Selecteer A4 ÷ AE463 en ‘Kopieer’ (de kolommen AE en AG hoeven niet) Ga naar MS-Word en volg dezelfde werkwijze als bij het aanmaken van de twee andere bestanden
Gebruik voor dit bestand zeker de juiste w erkw ijze in M S-Word!
Een servergestuurd netwerk (Windows 2008 R2)
OU’s, gebruikers en groepen, hst. 6
120 Besluit: Er m oeten drie bestanden aangem aakt worden: • • •
1_dsadd ou.cmd 2_dsadd group.cmd 3_dsadd user.cmd
De volgorde van uitvoering is belangrijk. Groepen kunnen pas aangem aakt worden als de OU ‘groepen’ bestaat. Ook zo voor de ‘users’. Deze kunnen m aar aangem aakt worden als de groepen bestaan. In de opdracht staat dat een gebruiker lid m oet worden van hun klasbeveiligingsgroep en als die groep niet bestaat dan zal de instructie niet of foutief uitgevoerd worden (account wordt vergrendeld). Verander desnoods de naam en geef de bestanden een volgnum m er. •
Zijn er problem en m et de uitvoering van de bestanden, dan verschijnen er duidelijke foutm eldingen. De MS-DOS box verdwijnt echter na uitvoering. Pauzeer deze uitvoering door als laatste instructie ‘pause’ in te geven
•
In het rekenblad ‘School.xls’ is er ook een werkblad ‘com puters’. Het gebruik hiervan is weinig zinvol om dat een client m oet geregistreerd worden in het dom ein en dit vanaf de server niet kan.
•
Het opzetten van een lokale e-m ailserver daarentegen is vrij eenvoudig. Daarvoor m oeten er wel ‘postbussen’ aangem aakt worden per gebruiker. Dit kan wel via de ‘com m and line tools’ (zie werkblad ‘postbussen’). W ordt er gewerkt m et een verplicht profiel (zie hst. 5) dan is het gebruik van Outlook of Outlook Express als e-m ailclient niet m ogelijk (je m oet elke keer opnieuw uw loginnaam en wachtwoord ingeven). Een zeer goed klein en eenvoudig alternatief daarvoor is het program m a ‘Ultrafunk PopCorn’. Het is slechts 300kB groot, kan in de persoonlijke m ap (Mijn docum ten ) van de gebruiker geplaatst worden en de instellingen worden bewaard in een bijhorend .ini-bestand.
Resultaat:
Een servergestuurd netwerk (Windows 2008 R2)
•
Leerlingen hebben een verplicht profiel. Dit kan tijdelijk gewijzigd worden, m aar de wijzigingen worden ongedaan gem aakt bij afm elden.
•
Leraars (An) hebben een zwervend profiel. W ijzigingen aan het profiel worden bewaard, onafhankelijk van de com puter waarop gewerkt wordt.
•
De dom einadm instrator heeft een lokaal profiel. W ijzigingen worden bewaard, m aar enkel op het toestel zelf.
OU’s, gebruikers en groepen, hst. 6