Windows hálózati adminisztráció Tantárgykódok: MIN6E0IN MIN4A0RFN
2 2014-15. tanév tavaszi félév
Göcs László mérnöktanár KF-GAMF Informatika Tanszék
Hálózati Tárolók DAS, SAN, NAS
DAS
(Direct Attached Storage)
A megosztott adatok tárolásának klasszikus módja a szerverekben elhelyezett merevlemezek használata, azaz a közvetlenül csatolt tárolás. A hálózati szerverekkel direkt módon összekötött tárolók alkalmazása. Legnagyobb problémája, hogy a szerver esetleges leállása esetén a csatolt háttértárak nem elérhetők, illetve hogy sok esetben felesleges kapacitások alakulnak ki, hiszen a rendelkezésre álló szabad helyek nem csoportosíthatók át egyik szervertől a másikhoz.
SAN (Storage Area Network)
A merevlemezeket tartalmazó eszközök valamilyen gyors kapcsolaton keresztül egyfajta hálózatba vannak szervezve, ez az alhálózat pedig a kapcsolókon keresztül elérhető a szerverek számára. A transzparens megvalósítás miatt nincs elpazarolt kapacitás, rekordok kezelése, illetve tranzakciókezelés esetén pedig ez a megoldás sebességben is verhetetlen.
NAS (Network Attached Storage)
A NAS, egy hálózatra kötött adattároló. Sok mindenben hasonlít egy külső merevlemezre. A NAS egy drága külső HDD-keret, amely nem dedikáltan egy gépre csatlakozik, hanem routeren keresztül a hálózat valamennyi számítógépéhez.
• nagy maximális tárolókapacitás, • többplatformos hozzáférés lehetősége, a hálózatra csatlakozó gép operációs rendszerének fájlrendszerét képes emulálni. • csökkenthetők az elpazarolt kapacitások, illetve az adminisztrációs költségek.
UTP csatlakozás
NAS (Network Attached Storage)
NAS (Network Attached Storage) Megosztási lehetőségek: NFS (Unix)
CIFS/SMB (WIN) AFP (MAC) Alkalmazások:
FTP szerver, Mail szerver, Nyomtató szerver Backup RAID Domain
Otthoni és mikro-vállalati hálózat
A bejövő internet kapcsolat Vezetékes kapcsolat Telefonhálózat UTP kábel Vezeték nélküli kapcsolat Mikrohullám Mobil internet
Telefonosos bejövő kapcsolat Telefon
Bejövő telefonos hálózat
Jel elosztás
Modem
Számítógép
UTP-s bejövő kapcsolat Bejövő Internet (UTP)
ROUTER
Számítógép
Mikrohullámú kapcsolat Mikrohullámú torony jel
Mikrohullámú vevő antenna
PoE eszköz
ROUTER
Számítógép
Mobil internet kapcsolat Mobilszolgáltatói hálózat
Mobil stick vevő
3G / 4G ROUTER
Számítógép
Hálózat kiépítése (több kliens kiszolgálása) Vezetékes
Vezeték nélküli
Összetett Router
Összetett Router Több kliens gép kapcsolódása vezetékkel LAN1-4 Vezeték nélküli kommunikáció Még több kliens számára Titkosításos megoldás (WPA2/PSK) USB Hálózati nyomtató kezelése Központi adattároló
USB konfigurálási lehetőségei
HOMEPLUG AV Az otthoni hálózatot használja adatok továbbításra.
• • • •
200-500Mbps 300méter távolság Rossz WiFi jel esetén Nagy távolságok áthidalására
Vékony kliens technológia
Vékony kliens technológia
A vékony kliensek úgynevezett solid-state készülékek, diszk és mozgó alkatrészek nélkül, amelyek kapcsolatban vannak egy központi szerverrel néhány elérési szoftver vagy böngésző által. Az információ feldolgozása a szerveren történik, az adatok bevitele pedig a felhasználó által a vékony kliens készüléken.
Minden alkalmazás a központi szerveren fut, mialatt a felhasználó egység csak annyi számítógépes forrást használ, amennyi szükséges, hogy elérje a szervert.
Vékony kliens technológia
Előnyök: Alacsony üzemeltetési költségek Jóval olcsóbb, mint a hagyományos PC Kevesebb karbantartás (nincs mozgó alkatrész) Kisebb teljesítményfelvétel (alacsony fogyasztás) Könnyen mozgatható, költöztethető az egész infrastruktúra Magas szintű biztonság Központosított a rendszer karbantartása Hátrány:
Nem igazán támogatja a 3D-t és az AutCad-et Gyenge multimédiás megjelenítés Gyenge minőségű hang átvitel
Vékony kliens technológia Alkalmazási terület:
Vékonykliens infrastruktúrát elsősorban irodáknak tervezték, ahol a fő tevékenység a dokumentum szerkesztés, és ügyviteli szoftverek alkalmazása.
Iskolák Könyvtárak Net kávézók
Vékony kliens technológia
Vékony kliens technológia
Vékony kliens Technológia Konnektorba szerelhető PC
Felhő alapú informatika
ONLINE alkalmazások Amikor nem lokálisan szerkesztjük és tároljuk az adatunkat, fájlokat, hanem egy nagy közös szerveren vannak elhelyezve. - Webes levelezőprogram - Online dokumentum szerkesztők - Fájlmegosztó szolgáltatások
A számítási felhő segít a különböző eszközökön, (PC, notebook, PDA, mobiltelefon) lévő adatok szinkronizálásában is.
2008-ban az Apple indított el egy számítási felhőt, a MobileMe szolgáltatást, amelynek azonban az adatszinkronizálási működése nem volt elég korszerű, ezért hamarosan felváltotta az iCloud felhő.
Felhő alapú számítástechnika Az internet felhasználásával nyújtott szolgáltatások összességét jelenti. Egy olyan felhőalapú virtuális infrastruktúraszolgáltatás, ahol saját szerverparkunk lehet virtuális hálózattal és mindezt egy könnyen kezelhető vezérlőpultból irányíthatjuk, bővíthetjük.
Olyan állományokkal és programokkal dolgozunk, melyek fizikailag nem a saját gépünkön, hanem az interneten, egy ismeretlen helyen vannak, valahol a „felhőben”.
A felhasználó csupán egy egyszerű, kis teljesítményű számítógéppel, és egy böngészővel rendelkezik.
Nagy teljesítményű szerverek
Felhőszolgáltatások szintjei Legalsó szint: Iaas - Infrastracture as a Service, vagyis infrastruktúra nyújtása szolgáltatásként. Ez gyakorlatilag csak erőforrás bérlését jelenti, vagyis meghatározott mennyiségű processzor, memória és tárhely használatát egy felhő szolgáltatónál, szoftver nélkül. Középső szint: Paas – Platform as a Service, vagyis fejlesztési platformok nyújtása szolgáltatásként. A platformszolgáltatás igénybevételével a felhasználó általában valamilyen fejlesztői környezetet bérel a cloud szolgáltatótól. Felső szint: SaaS – Software as a Service, vagyis szoftver nyújtása szolgáltatásként. Ez a legegyszerűbb felhő alapú szolgáltatás, olyan szoftverek bérlését biztosítja a felhasználók számára, amiket nem kell telepíteni, használatukhoz elegendő egy webböngésző. A többit a felhő szolgáltatóra bízhatja.
Kiépítés szerint három felhő alapú megoldások: • Privát felhő • Publikus felhő • Számítási felhő
Privát felhő Privát felhő esetén a szolgáltatást nyújtó erőforrások kizárólag a részünkre vannak dedikálva, nem kell osztoznunk azok teljesítményén másokkal. (önkormányzatok, bankok, vagy nagyvállalatok)
Publikus felhő Jelenti a klasszikus felhőt, melynek infrastruktúrjából bárki bérelhet egy részt, megfelelő havidíj kifizetése ellenében.
Számítási felhő Ebben az esetben kiemelten hangsúlyos a szolgáltatás sebessége. Vagyis számítási kapacitást vásárolunk. Ilyenkor a szolgáltató garantál egy rövid válasz időt, egy adott számítás elvégzésére vállal határidőt. Ezeknek a betartása érdekében a szolgáltató akár dinamikusan meg is többszörözheti az erőforrások számát, gyakorlatilag, ha szükséges, akár több száz vagy több ezer új szervert is üzembe állít, amik csak nekünk számolnak.
Redundancia Nagy előnye, hogy segítségével különböző szolgáltatások könnyen redundássá tehetőek. Ez a gyakorlatban azt jelenti, hogy a vállalkozásnak nem kell ugyanarra a feladatra két szervert megvásárolnia, és azokat különböző fizikai helyen elhelyeznie a folyamatos üzletmenet érdekében, hanem elég két földrajzilag eltérő helyen lévő virtuális szervert bérelnie.
Fizikai felépítés
BLADE szerverek A blade rendszerekben egy szerver ugyanúgy egy elkülöníthető eszköz, mint a hagyományos rendszerekben, de nem tartalmaz sok bővítő helyet, nincs önálló tápegysége, így sokkal karcsúbb (ezért is nevezik penge szervernek). A helykihasználás javítása érdekében a penge szerverek befogadására létrehoztak egy keretet, amely a tápellátást, hálózati csatlakozást, a kezelőszervek (billentyűzet, egér) és monitor csatlakoztatását is megoldja.
BLADE szerverek előnyei • a helykihasználás racionalizálása • a kábelezési szükséglet minimalizálása • a gyors bővíthetőség: az új szerver fizikai telepítése mindössze annyi, hogy egy penge szerver modult tolunk a keretbe.
TÁROLÓKKAL (STORAGE) VALÓ KAPCSOLAT A szerverekhez csatlakoztatott tárolók típusától • Fibre Channel avagy üvegszál, • SAS avagy Serial Attached SCSI, • Ethernet felületen elérhető NAS
függően választható a kerethez a megfelelő csatoló modul.
1
Hard disk drives
4 Slots (24)—if present, not used
2
LED—if present, not used
5 Serial/WWN label
3
Button—if present, not used
TÁROLÓK (STORAGE)
SZERVERPARKOK
Windows-os gépek hálózatban
Hálózati típusok Munkacsoport (workgroup)
Laza kapcsolat. Minden gépen Security Account Management (SAM). Minden gép megoszthat erőforrásokat (fájl, nyomtató). Egyenrangú számítógépekből alakított hálózat. Helyi felhasználók.
Tartomány (domain)
Van egy közös tartományi szintű SAM, ami az aktív címtár (AD) adatbázis része. Központosított felhasználói fiók nyilvántartás. Központi felügyelet csoportházirenddel. Distributed File System
Kiszolgáló-ügyfél típusú hálózat Kiszolgáló Hardver : állandó folyamatos üzemre tervezve. Nagyobb teljesítmény, kiszolgálásra optimalizálva.
Szoftver:
Jogosultságok központi kezelése (címtár). Központi felügyelet (címtár). Csoportházirend (nem egyesével állítjuk be a gépeket). IP cím kiosztás központosítva (DHCP) Névfeloldás (WINS, DNS) DFS
Tartomány vagy munkacsoport?
Ökölszabály: Ügyfélszámítógépek száma
≤5 → munkacsoport >5 → tartomány
Szerver alkalmazások Kiszolgálói szerepkörök: valamely hálózati szolgáltatás megvalósítása: pl. alkalmazás kiszolgáló, DNS, DHCP, stb.
Szolgáltatás: szoftver összetevő, ami lehetővé teszi a szerepkör megvalósítását. Minden szerepkörhöz legalább egy szolgáltatás tartozik. Ahol csak egy szolgáltatás van ott az automatikusan települ a szerepkör telepítésekor. A többinél válogathatunk.
AD DS AD DS – Active Directory tartományi szolgáltatások Címtár a hálózati objektumok számára,
A tartományvezérlők segítségével egyszeri bejelentkezési folyamattal hozzáférés a hálózati erőforrásokhoz szabályozott módon DNS kiszolgálót igényel – a DNS a tartományvezérlőn legyen
AD LDS Active Directory Lightweight Directory Services Tárolási szolgáltatást biztosít olyan címtárkompatibilis alkalmazások alkalmazásspecifikus adatai számára, amelyeknek nincs szükségük az AD DS-re. Az AD LDS több példánya is jelen lehet egy kiszolgálón, és mindegyik külön sémával rendelkezhet Az LDAP technológián alapul Nincs szüksége tartományra, de lehet tartományban is Egyszerre képes kiszolgálni egy munkacsoportot és egy tartományt is Olyan adatbázisoknál érdemes használni, ahol gyakrabban történik írás mint olvasás
AD FS - Federation Services Összevonási szolgáltatások
Egyszeri bejelentkezési (SSO) technológiák révén lehetővé teszi, hogy a felhasználók egy online munkamenet időtartamára több, kapcsolódó webalkalmazás számára is hitelesíthessék magukat.
AD FS Legfontosabb funkciói: Összevont és webes egyszeri bejelentkezés (AD DS szükséges) Kompatibilitás a Web Services specifikációval: a Windows és más identitásmodellre épülő környezetek között is lehetővé teszi az összevonás megoldását Bővíthető architektúra Támogatja a SAML típusú jogkivonatokat és a Kerberos hitelesítést, a hozzáférési kérésekben egyéni üzleti logika alapján módosíthatja a jogcímeket
SAML - Security Assertion Markup Language
A SAML egy ipari szabvány, amely egy olyan XML-alapú protokollt definiál, mellyel az azonosító adatok cseréje biztonságosan megoldható különböző szolgáltatások között, vagyis több különböző, egy időben használt szolgáltatás (például e-mail alkalmazások, file-elérés stb.) érhető el egy egyszeri azonosításon keresztül.
AD CS AD CS – AD tanúsítvány szolgáltatások:
Biztosítja az ügyfélszámítógépek és kiszolgálók digitális tanúsítványainak kiadásához és visszavonásához szükséges funkciókat, Hitelesítés szolgáltatók és hozzájuk kapcsolódó szerepkör-szolgáltatások létrehozására használható
AD CS Összetevők (nincs mindegyik jelen összes szerver típusnál) • Hitelesítés szolgáltató • Hálózati eszközök tanúsítvány igénylési szolgáltatása • Online válaszadó szolgáltatás • Hitelesítés szolgáltatói tanúsítvány webes igénylése • Tanúsítványigénylési web szolgáltatás • Tanúsítványigénylési házirend web szolgáltatás
AD RMS AD RMS – jogkezelő szolgáltatások: kiszolgáló-ügyfél architektúrájú rendszer
A kiszolgáló kezeli a tanúsítványokat és a licencelést - Az ügyfél (W7 W8 és Vista): Felhasználók szabhatják meg, hogy egy dokumentum megnyitását, módosítását, nyomtatását, továbbítását kinek engedélyezik A szervezetek házirend sablonokat készíthetnek, ami közvetlenül az információra alkalmazható
A használati jogok a dokumentumba kerülnek
DNS - Domain Name SERVER Azok a szerverek, amelyek számon tartják az egyes IP címekhez tartozó számítógépneveket, illetve biztosítják ezek oda-vissza fordítását, mert a gépek csak a numerikus IP címeket tudják kezelni, az emberek viszont könnyebben megjegyzik a neveket. A DNS lehet Domain Name System jelentésű is, ebben az értelemben a hálózatba kötött számítógépek azonosítóinak elosztott adatbázisa.
DNS - Domain Name System DNS kiszolgáló – névfeloldás Választható szolgáltatások: • RFC kompatibilis DNS kiszolgáló
• Együttműködés más DNS implementációkkal (pl. BIND) AD DS támogatása:
• tartományvezérlők megtalálása • replikáció támogatása Bővítmények a DNS zónatároláshoz AD DS-ben – alkalmazási címtárpartíción
DNS kiszolgáló Feltételes továbbítók: bizonyos tartományokra végződő lekérdezéseket megadott szerver(ek)hez továbbít (van feltétel nélküli továbbítás is) Helyettes zónák: csak olyan rekordot tartalmaz, ami alapján a zóna mérvadó DNS kiszolgálói azonosíthatóak Fokozott DNS biztonsági szolgáltatások Integráció más Microsoft hálózati szolgáltatásokkal (AD DS, WINS, DHCP)
DNS kiszolgáló Továbbfejlesztett egyszerű felügyelet: MMC + varázslók RFC 2136 kompatibilis dinamikus frissítési protokoll támogatása – az ügyfél regisztrálja automatikusan nevét és IP címét Növekményes zónaletöltés támogatása kiszolgálók között - amikor fájlokban van tárolva (nem AD) – csak a megváltozott részeket replikája Egycímkés állomásnév feloldás WINS nélkül
GlobalNames nevű zóna (ahol WINS nem lehetséges)
Fájlszolgáltatások Fájlszolgáltatások: tároláskezelés, replikáció, megosztás, UNIX ügyfelek Választható szolgáltatások: Elosztott fájlrendszer DFS Fájlkiszolgálói erőforrás-kezelő FSRM: kvóták mappákra és kötetekre, átfogó tárolási jelentések NFS szolgáltatások: fájlátvitel NFS protokollon keresztül Windows keresési szolgáltatás: fájlok gyors keresése a kiszolgálón
Fájlszolgáltatások BranchCache hálózati fájlokhoz: az ügyfél gyorsítótárazza a kiszolgáló által megosztott mappát, majd elérhetővé teszi azt a többi helyi gép felé
Windows Server biztonsági másolat: mentés és helyreállítás
Fájlszolgáltatások Tárolóhálózati tárkezelő: száloptikás vagy internetes SCSI tárolórendszerek használata Feladatátvételi fürt: ha egy csomópont meghibásodik, egy másik biztosítja a szolgáltatást Többutas I/O: több adatelérési út fájlkiszolgáló és tárolóeszköz között: terheléselosztás, elérhetőség javítása
Hálózati házirend- és elérési szolgáltatások hálózatvédelem, állapotházirendek létrehozása és kikényszerítése (szoftverkövetelmények, biztonsági frissítések, stb.) Korlátozott hálózatelérés a feltételek teljesüléséig Biztonságos vezetékes és –nélküli hozzáférés: csatlakozás és IP cím kérés csak hitelesítést követően Távelérési megoldások: VPN és betárcsázós Központi hálózati házirend kezelés Útválasztás és távelérés: VPN, telefon, LAN-LAN, LANWAN, NAT
További kiszolgálói szerepkörök Távoli asztal szolgáltatások Webkiszolgáló (IIS): Web, WebDAV, ftp
Faxkiszolgáló: faxok küldése és fogadása, jelentések, naplózás Windows Server Update Services: telepítendő frissítések megadása, frissítéscsoportok és számítógépcsoportok összerendelése, jelentések a számítógépek kompatibilitási szintjéről Hyper-V: szolgáltatások virtuális gépek létrehozásához és kezeléséhez
Címtár • Tárolja a hálózat objektumainak (pl.felhasználói fiókok, gépek, nyomtatók, stb.) és erőforrásainak (pl. DFS, névfeloldási adatbázis, stb.) adatait
• Lekérdezésre optimalizált hierarchikus adatbázis. Egységes, jól kereshető formátum. • Beállítások és korlátozások (pl. csoport házirend), saját könyvtárak, be/kijelentkezési szkriptek központosítottan kezelhetők. • Felhasználó azonosítás és hozzáférés szabályozás (pl. ID: SQL Server, Exchange, IIS)
Objektum típusok funkció szerint
Konténer: további objektumokat tartalmazhat. Erdő, fa, tartomány, szervezeti egység Levél objektum: a hálózat elemei
Konténer objektumok Erdő – A legmagasabb szintű tároló egység. Közös sémát és globális katalógust használ. Egy vagy több fa lehet benne. Fa – több AD tartomány közös DNS tartománynévvel. Az AD tartományok szülő-gyerek kapcsolatban állhatnak. Tartomány – Biztonsági egység: ügyfelek, kiszolgálók, hálózati erőforrások közös címtáradatbázissal. Egy vagy több DC. Szervezeti egység – objektumokat tárol: felhasználói fiókok, csoportok, számítógépek felügyelet szempontjából csoportosítva. Csoportházirend, delegálható felügyeleti jog. Levél objektumokat és más SzE-ket tárolhat
Levél objektumok Felhasználói fiók – adatok a felhasználóról + bizonyos korlátozások Számítógép fiók – a tartományba felvett számítógépet reprezentálja. A DC fiókja automatikusan jön létre. Csoportfiók – cél az egyszerűbb felügyelet Beléptetés után a Helyi felhasználók csoportnak tagja lesz a Tartományfelhasználók csoport. A helyi rendszergazdák csoportba bekerül a Tartománygazdák csoport.
Csoportfiók Helyi csoport – helyi számítógépen Tartománybeli csoport Terjesztési csoport – (nem biztonsági) csak levelezésre, nem lehet általa engedélyeket szerezni Biztonsági csoport – engedély kiosztás megkönnyítésére szolgál
Csoport hatókör típusok Tartományi helyi csoport Tartományon belüli erőforrásokhoz ad hozzáférést. Tagja lehet az erdő bármely tartományából vagy más erdő megbízható tartományából. Gyakorlat: globális vagy univerzális csoportok. Mihez ad engedélyt: nyomtatók, megosztott mappák Beépített helyi csoport nem lehet utólag létrehozni vagy törölni.
Csoport hatókör típusok Globális csoport Tagja lehet: a saját tartomány felhasználói és gépei. Szervezési egység, ezt veszik fel a tartományi helyi csoportba. Univerzális csoport A fán belül bárki tagja lehet. Általában: a globális csoportok kerülnek bele. Ha csak egy tartomány van, akkor nem használjuk.
Felhasználói fiók • Belső azonosítás nem a név alapján, hanem SID-del • Jelszó nélküli felhasználó nem jelentkezhet be távolról • Felhasználói fiók létrehozásához kiemelt felhasználói jogosultság szükséges
Felhasználói fiók Helyi (W8, W2012 önálló szerver) csak helyi gépen érvényes, helyi SAM-ben tárolva
Tartománybeli AD –ben tárolva: SSO és a tartomány összes erőforrásának elérése
Bejelentkezési név Tartományban: felhasználónév@tartomány, pl.
[email protected] NB_tartománynév\felhasználónév, pl. VALAMI\geza Önálló gépen: NB_gépnév\felhasználónév
Biztonsági azonosító SID
S-1-5-21-3623811015-3361044348-30300820-1013 Tartományt beazonosító rész
Egyedi relatív azonosító (RID) A név megváltoztatható, a SID nem
Felhasználói fiók • Felhasználónév – bejelentkezési név, egyedi és max. 256 karakter. Nem lehet benne speciális karakter. Kis és nagybetű azonosnak számít. • Teljes név – max. 64 karakter • Jelszó – kis/nagybetű érzékeny. Max. 14 karakter (AD-ben 127). Használjunk minél többféle jelet. Komplexitás a Biztonsági házirendben szabályozható.
Jelszó Bonyolultsági feltételek Nem tartalmazhatja a bejelentkezési nevet sem annak részét Hossz ≥ 6 karakter
Legalább 3 teljesüljön az alábbiak közül Latin abc nagybetűi (A..Z) Latin abc kisbetűi (a..z) Számjegyek (0..9) Nem alfanumerikus karakterek (!,#,?,%,$)
Legrövidebb jelszó: 1..14 (0-nem kell jelszó)
Minimális élettartam: 1..999 (0-azonnal változtatható) Maximális élettartam: 1..42 (0-soha nem jár le)
Előző jelszavak megőrzése: 0..24 (alapért.:1)
Biztonsági házirend beállítása
secpol.msc
Alapértelmezett felhasználói fiókok és csoportok • Előre megadott – az OS-sel együtt települnek • Beépített – alkalmazásokkal, szolgáltatásokkal együtt települnek • Implicit – hálózati erőforrás elérésekor vagy egyéb művelet végrehajtásakor jönnek létre
Előre megadott Rendszergazda Nem tiltható le Nem törölhető
Vendég Alapértelmezés szerint letiltva
Beépített felhasználói fiókok Helyi Rendszer – rendszerfolyamatok futtatásához, rendszergazdai jogok, álfiók Helyi Szolgáltatás – csak helyi hozzáférés, Felhasználók csoport tagja, álfiók
Hálózati Szolgáltatás – álfiók, van hálózati kommunikáció
Implicit azonosságok • • • • • • • •
Névtelen bejelentkezés – pl. weboldal Hitelesített felhasználó Létrehozó tulajdonos Telefonos bejelentkezés Mindenki Interaktív – helyileg van bejelentkezve Hálózat – hálózaton éri el az erőforrást Terminálkiszolgáló felhasználója
Beépített csoportok • Rendszergazdák – rendszergazdai jogosultságok helyi gépen • Tartománygazdák – globális hatókör, AD tartományra jogosultság. Alapból tagja a Rendszergazdák csoportnak • Vállalati rendszergazdák – univerzális vagy globális hatókör erdőn belül. A vállalaton belüli összes számítógépet képes felügyelni.
Beépített csoportok Kiemelt felhasználók
Felhasználói fiókokat hozhatnak létre Csak az általuk létrehozott fiókokat módosíthatják vagy törölhetik Helyi csoportokat hozhatnak létre Csak olyan programot telepíthetnek, ami nem nyúl a rendszerállományokhoz Eltávolíthatnak felhasználókat az általuk létrehozott csoportokból valamint a Felhasználók, Kiemelt felhasználók és a Vendégek csoportokból Nem tölthetnek be eszközillesztőket Nem kezelhetik a biztonsági és naplófájlokat
Beépített csoportok Felhasználók
Létrehozhatnak helyi csoportokat és kezelhetik azokat Nem oszthatnak meg könyvtárakat Nem hozhatnak létre helyi nyomtatót
Biztonsági másolat felelősök
Biztonsági másolatot készíthetnek az állományokról és visszaállíthatnak Bejelentkezhetnek a számítógépre és leállíthatják azt Nem módosíthatják a biztonsági beállításokat
Vendégek
Leállíthatják a rendszert
Implicit csoportok • Létrehozó csoport • Tartományvezérlők • Tartományi számítógépek
Rendszergazda fiók Rendszergazda (helyi) teljes hozzáférés mindenhez Rendszergazda (tartományi) teljes hozzáférés a tartományon belül Ajánlás A fiók átnevezése A fiókot csak adminisztrációs feladatokra használjuk A fiók átnevezhető és letiltható, de nem törölhető
Felhasználói fiókok létrehozása és módosítása Elvárások: Egyedi legyen a tartományban 1 - 20 karakter hosszúságú
Elnevezési konvenció alkalmazása pl. kiss.janos
Helyi felhasználói fiók létrehozása és tulajdonságainak beállítása grafikus felületen
Biztonsági házirend beállítása
Windows 2012
Windows 2012
Windows 2012
Active Directory – felhasználók és számítógépek Grafikus felületen: Vezetéknév Utónév Teljes név Bejelentkezési név Bejelentkezési név (Windows 2000 előtti rendszer) Jelszó A következő bejelentkezéskor meg kell változtatni a jelszót A felhasználó nem módosíthatja a jelszót A jelszó soha nem jár le A fiók le van tiltva
Fiók sablonok használata Minta felhasználói fiók Tippek Egyet minden osztályhoz vagy szervezeti egységhez Letiltani a sablon fiókot A sablonfiók neve kezdődjön aláhúzással Minden lehetséges attribútum értéket kitölteni Nem másolható minden attribútum
Több fiók tulajdonságának egyszerre történő módosítása Kiválasztás Ctrl + egér vagy Shift + egér , majd gyorsmenü Végrehajtható műveletek: Hozzáadás csoporthoz… Fiók tiltása Fiók engedélyezése Áthelyezés … Üzenet küldése Kivágás Törlés Tulajdonságok
Általános fül Általános leíró információ a fiókról Fontosabb mezők Megjelenítendő név E-mail Az alaértelmezett levlezési alkalmazással levél küldhető a felhasználónak
Weblap Egy URL, megnyitható a fiókon történő jobb egérkattintással
Fiók fül
A tartományba történő bejelentkezést befolyásoló információk Bejelentkezési név Bejelentkezési idő… Bejelentkezési hely … Fiók zárolásának feloldása Fiókbeállítások Jelszó tárolása visszafejthető titkosítással Smart card szükséges interaktív bejelentkezéshez
A fiók érvényét veszti
A következő tagja fül • Csoporttagságok • Módosítható
• Elsődleges csoport • (Macintosh, Unix, vagy Linux kliensnél)
Windows 2012
Távoli asztal szolgáltatások Windows Server 2008 Terminal Services server Profil elérési útja Kezdőkönyvtár
Windows 2012
Windows 2012
Kapcsolattartó és terjesztési csoport Kapcsolattartó egy olyan Active Directory objektum, ami csak információs célokból tárolja egy személy adatait Általában Microsoft Exchange címjegyzékkel történő integráláshoz Terjesztési csoportot úgyanúgy hozunk létre, mint biztonságit Microsoft Exchange-el használható csoportos levélküldésre
Kapcsolattartó és csoport objektum létrehozása
Felhasználói profil A felhasználóhoz tartozó olyan állományok és beállítások gyűjteménye, ami meghatározza a felhasználó munkakörnyezetét.
Fontosabb könyvtárak AppData Desktop Documents Downloads Favorites Music Pictures (My Pictures) Ntuser.dat
Profil fül Profil elérési útja W7, Vista vagy Server 2008 C:\Users\username Windows XP C:\Documents and Settings\username
Bejelentkezési parancsfájl Csoportházirendnél is megadható egy parancsfájl
Kezdőmappa (saját könyvtár) Meghajtó Helyi elérési út
