BETA
Aby się zalogować, najpiew wybierz portal.
Aby się zarejestrować, najpiew wybierz portal.
Podaj słowa kluczowe
Słowa kluczowe muszą mieć co najmniej 3 sąsiadujące znaki alfanumeryczne
Pole zawiera niedozwolone znaki

Baza wiedzy











Początki w Active Directory

17-02-2011 10:00 | Domino_2
Artykuł jest przeznaczony dla początkujących użytkowników, którzy dopiero rozpoczynają swoją przygodę z usługą Active Directory i chcieliby się dowiedzieć o niej czegoś więcej, m. in. co to właściwie jest, jakie korzyści mogą z wynikać z jej wdrożenia oraz podstawowe różnice między sieciami opartymi o grupę roboczą, a domenę.

Artykuł powinien pomóc osobom, które stawiają pierwsze kroki w zarządzaniu infrastrukturą informatyczną w przedsiębiorstwie oraz chciały dowiedzieć się czym jest domena Active Directory i jakie mogą wynikać korzyści z jej wdrożenia.

Co to jest Active Directory?

Active Directory jest usługą, która w znaczący sposób usprawnia codzienną pracę w administrowaniu siecią. Umożliwia z jednego miejsca - serwera (zwanego kontrolerem domeny) konfigurację komputerów, użytkowników, rozmieszczanie drukarek oraz wiele innych.

Czy warto wdrożyć usługę Active Directory?

Przed takim pytaniem stoi pewnie wielu początkujących administratorów oraz specjalistów działu IT w swoich firmach. Większość zależy od tego jak duże i skomplikowane jest nasze środowisko. Jeśli jest to raptem kilka, kilkanaście komputerów, wówczas można się zastanowić czy koszt takiego wdrożenia nie będzie dla nas zbyt wysoki. Jednak gdy liczba hostów liczona jest w dziesiątkach, wybór jest wówczas oczywisty. W ten sposób jesteśmy w stanie bardziej efektywnie zarządzać ustawieniami komputerów, użytkowników, grup, drukarek, udostępnionych folderów i to wszystko z jednego miejsca. Mamy tą pewność, że każdy z komputerów jest skonfigurowany według określonego schematu. Czynności administratora w przypadku przygotowania nowego stanowiska pracy są ograniczone do minimum, gdyż za wszystko odpowiadają polityki zasad grupy (Group Policy Object), które zostaną dokładniej opisane w dalszej części artykułu.

Korzyści z wprowadzenia Active Directory

Korzyści z wprowadzenia Active Directory można podsumować w następujący sposób:

  • scentralizowanie zarządzania infrastrukturą informatyczną,
  • automatyczna instalacja i aktualizacja oprogramowania w firmie,
  • jednokrotne uwierzytelnianie, czyli pracownik podczas logowania wprowadzając tylko raz swoją nazwę użytkownika oraz hasło otrzymuje dostęp do wszystkich danych (do których ma uprawnienia) bez konieczności podawania za każdym razem poświadczeń, dzięki czemu możliwe jest zwiększenie produktywności pracowników,
  • redukcja kosztów zarządzania kontami,
  • ograniczenie liczby zgłoszeń o awarii / problemach.

Przykład

Wyobraźmy sobie, że pracujemy w firmie, w której jest kilkaset stacji roboczych i wszystkie znajdują się grupie roboczej, a my jesteśmy odpowiedzialni za zarządzanie siecią.

Któregoś dnia dostajemy polecenie od przełożonych, że zgodnie z nową polityką firmy, został wprowadzony zakaz używania wszelkiego rodzaju pamięci wymiennych, czyli popularnych nośników typu pendrive lub dysków USB. Oczywiście, czas odgrywa tutaj dużą rolę i musimy tego dokonać jak najszybciej.

W tak skonfigurowanej sieci czekają nas długie dni i noce na realizację takiego planu, gdyż każdy komputer musimy przystosować do nowych wymagać ręcznie. W dużej większości przypadków będziemy musieli tego dokonać po godzinach pracy, gdyż w ciągu dnia wiązałoby się to z przerywaniem pracy użytkowników, którzy oczywiście nie byliby z tego faktu zadowoleni.

W takim przypadku dochodzi również czynnik ludzki, a mianowicie wraz z każdym komputerem, który konfigurujemy wzrasta prawdopodobieństwo popełnienia błędu, o co nie problem przy tak dużej ilości stacji.

Rozwiązaniem na tego typu sytuację jest właśnie skorzystanie z dobrodziejstw jakie niesie ze sobą wdrożenie domeny Active Directory. Wystarczy, że z jednego miejsca (kontrolera domeny) utworzymy sobie zasadę, która będzie blokować nośniki wymienne, a następnie zaaplikujemy ją na każdą stację kliencką, która automatycznie, bez ingerencji użytkownika pobierze informację o nowych ustawieniach. W ten sposób unikniemy biegania do komputerów, zminimalizujemy ryzyko pomyłki oraz czas poświęcony na wykonanie zadania.

Główne wymagania po stronie serwera oraz klienta

  • serwer - zainstalowany system operacyjny Windows Server 2003 / 2008 / 2008 R2, który będzie pełnił role kontrolera domeny

  • klient - system operacyjny Windows XP / Vista / 7 w wersji minimum Professional lub Business. Ważne: Systemy w wersji Home nie posiadają możliwości podłączenia ich do domeny. Systemy takie będą mogły korzystać z plików udostępnionych na kontrolerach domeny lub serwerach członkowskich, jednak nie będzie można nimi zarządzać z poziomu DC.

Uwierzytelnianie

Każdy z użytkowników, który chce skorzystać z zasobów komputera musi najpierw zostać uwierzytelniony w domenie. Otrzymuje on od administratora nazwę użytkownika oraz hasło, które posłuży mu do zalogowania się systemie. Hasło powinno być znane tylko i wyłącznie danemu pracownikowi i nie przekazywane osobom trzecim, gdyż tylko na tej podstawie jest on weryfikowany i otrzymuje dostęp tylko do tych zasobów, do których ma prawo.

Uwierzytelnianie w sieci, np. w systemie Windows Server 2008 może się odbywać za pomocą protokołu Kerberos lub NT LAN Manager (NTLM).

  • Kerberos - jest on domyślnym protokołem uwierzytelniania podczas logowania do usług Active Directory Domain Services dla klientów systemu Windows 2000 lub późniejszych. Opiera się on na założeniu, że ruch pomiędzy klientem, a serwerem jest przesyłany przez niezabezpieczoną sieć. Oznacza to, że hasło danego użytkownika nigdy nie jest przesyłane otwartym tekstem, czyli jest nieczytelne dla wszelkiego typu programów „podsłuchujących" dane przesyłane poprzez sieć.

  • NTLM - jest to drugi protokół, który zapewnia uwierzytelnianie w środowisku AD DS. Jest on głównie wykorzystywany do zapewnienia kompatybilności ze stacjami roboczymi systemów Windows NT / 95 / 98. Protokół NTLM jest dużo mniej bezpieczny, niż Kerberos. Zapewnienia on tylko uwierzytelnianie jednostronne, czyli to serwer uwierzytelniania klienta.

Group Policy

W firmie gdzie środowisko jest oparte na grupie roboczej, każda stacja kliencka zarządzana jest osobno, a wszystkie ustawienia odnośnie zabezpieczeń, wyglądu pulpitu itp. są wprowadzane ręcznie. Przy dużej liczbie komputerów koszt takiej administracji może wzrosnąć do poziomu, który może okazać się nie do zaakceptowania.

Wdrożenie w organizacji domeny Active Directory pozwala na zautomatyzowanie pewnych procesów, przy pomocy polis zasad grupy (GPO). Mogą być one zarówno aplikowane dla komputerów jak i użytkowników. Przypisując polityki do konkretnych jednostek organizacyjnych (OU) można ustalać dla jakich grup dane polityki mają obowiązywać.

Zasady grupy zapewniają nam bardzo wiele możliwości konfiguracji stacji roboczych jak i samych użytkowników, które w dużym stopniu usprawnią pracą i obniżą koszty związane z zarządzaniem siecią. Poniżej lista funkcji, jakie możemy otrzymać korzystając z GPO:

  • instalacja oprogramowania - możemy zautomatyzować proces instalacji oraz aktualizacji programów w firmie. Jedynym warunkiem jest to, że paczki które będziemy chcieli dystrybuować muszą być w formacie msi (pliki w formacie exe nie są wspierane).

  • skrypty - możemy zdefiniować sobie dowolny skrypt, który będzie się wykonywał po stronie klienta.

  • ustawienia zabezpieczeń - istnieje bardzo duża liczba polis, które możemy skonfigurować, począwszy od ustawień zapory systemu Windows przez zasady ograniczeń oprogramowania.

  • przekierowanie folderów - możemy przekierować foldery, w których użytkownicy najczęściej zapisują swoje prace (np. Dokumenty, Pulpit) na serwer.

  • ustawienia programu Internet Explorer - bardzo duża liczba opcja konfiguracji przeglądarki internetowej. Możemy zdefiniować dostawców wyszukiwania, ustawić stronę główną, wygląd paska zadań itd.

  • szablony administracyjne - sekcja ta pozwala na ustawienie środowiska pracy użytkownika, tzn. jak ma wyglądać Pulpit, pasek zadań, które elementy Panelu Sterowania mają być dla niego dostępne.

  • preferencje - pozwala na mapowanie dysków, ustawienia określonych elementów Panelu Sterowania i wiele innych.

  • drukarki - w tym miejscy użytkownicy mogą otrzymać uprawnienia do instalacji sterowników drukarek itp.

  • blokowanie instalacji urządzeń - w dość prosty sposób jesteśmy w stanie zablokować możliwość instalacji przez użytkowników wszelkiego rodzaju urządzeń przenośnych, w tym dysków na USB.

Active Directory Users and Computers

Active Directory Users and Computers jest konsolą MMC, przy pomocy której możemy projektować podział funkcjonalny firmy na jednostki organizacyjne, zakładać konta użytkowników, tworzyć grupy. Jednym z częstszych zadań administratora jest resetowanie zapomnianego przez użytkownika hasła, którego dokonamy właśnie w tej konsoli.

Interfejs konsoli ADUC:

ADUC

Group Policy Management

Jest to standardowe narzędzie do zarządzania zasadami grupy. Począwszy od systemu Windows Server 2008 jest ona automatycznie instalowana podczas dodawania roli AD DS (w przypadku systemu 2003, konsolę taką należało dodatkowo pobrać z internetu, a następnie ręcznie doinstalować).

To właśnie w tym miejscu tworzy się polityki GPO, które są następnie aplikowane do konkretnych użytkowników / komputerów.

Interfejs konsoli GPMC

GPMC

Domyślnie konsola GPMC zawiera następujące kontenery:

  • Forest - wskazuje las, którego dotyczy zarządzanie zasadami grupy.

  • Domains - udostępnia listę domen konfigurowanych poprzez GPO. Domyślnie pokazywana jest domena logowania, choć można tą opcję zmienić.

  • Sites - zawiera listę lokacji skojarzonych z lasem usług AD

  • Group Policy Modeling - pozawala na bezpieczne przetestowanie różnych scenariuszy na użytkownikach lub komputerach, bez wprowadzania jakichkolwiek zmian w środowisku.

  • Group Policy Results - umożliwia określenie wyników przetwarzania zasad grupy w naszej organizacji.

Podsumowanie

Domena Active Directory jest usługą, która bardzo ułatwia zarządzanie siecią informatyczną w firmie, zwiększa efektywność pracy oraz pozwala w znaczący sposób obniżyć koszty jakie należy przeznaczyć na administrację. Jeśli tylko warunki oraz środki finansowe pozwalają nam na taką inwestycję, szczerze mogę polecić takie rozwiązanie, które w bardzo krótkim czasie zaprocentuje.

Autor:

 

Dominik Modliszewski

Dominik Modliszewski
CCNA, MCP, MCTS

Pracuje jako administrator sieci, zainteresowania głównie skierowane w kierunku systemów serwerowych i Active Directory.

Podobne artykuły

Komentarze 16

Jakub Galicki Ekspert WSS
Jakub Galicki
896 pkt.
Senior
17-02-2011
oceń pozytywnie 0

Bardzo fajny artykuł wprowadzający do AD.

Prosto, krótko i na temat.

Polecałbym wszystkim, którzy na forum zadają podstawowe pytania o AD bez wykazania minimalnego wysiłku wyszukania czegoś 'w temacie' ;)

 

z pozdrowieniami

 

yacoob

 


night_admin
night_admin
1 pkt.
Nowicjusz
17-02-2011
oceń pozytywnie 0

Witam

 

Ja juz nie jestem taki zachwycony artykułem.

Pierwsze - widze ze wymieniles tylko zalety AD - wiec Twoim zdaniem nie ma WAD

Drugie - Przyklad o dlugich nocach i dniach
Nie widzialem sieci powyzej 50 komputerow bez centralnego zarzadzania
czy to Netware czy AD,
a w sieci z 50 komputerami napisanie skryptu na blokowanie USB
i wdrozenie to max 12H

Wymagania - rozumiem ze nie bylo domeny AD przed W2003 ?
i klienta z windows NT tez nie podepne pod domene ?

Po trzecie group policy na workgrupie - albo robisz iso i wgrywasz gotowy system na pozostale stacje albo skrypty - nie rozumiem podejscia ze bez AD to se ne da Panie Heniek

 

Takze co do AD - http://pl.wikipedia.org/wiki/Active_Directory

Tomasz Onyszko VIP
Tomasz Onyszko
8031 pkt.
Guru
MVP
17-02-2011
oceń pozytywnie 0

(...) Nie widzialem sieci powyzej 50 komputerow bez centralnego zarzadzania

czy to Netware czy AD, (...)

 

To jeszcze niewiele widziałeś :) (i to nic osobistego) :)

Tomasz Onyszko

Connected Dots http://www.cdots.pl

Blog: http://www.w2k.pl/

 

night_admin
night_admin
1 pkt.
Nowicjusz
18-02-2011
oceń pozytywnie 0

Wiem ze sa takie sieci ale to raczej abstrakcja

Domino_2 Ekspert WSS
Domino_2
2302 pkt.
Guru
18-02-2011
oceń pozytywnie 0

Chyba badmouse najlepiej podsumował Twoje wypowiedzi, że jesteś tutaj jeszcze nowy i początkujący w IT, więc nie mam zamiaru ani Cię dalej przekonywać, ani toczyć dyskusji.

 

Co do Twoich 12 h godzin to powiem tylko tylko, że to samo zrobie w czasie poniżej minuty i to niezależnie od ilości komputerów, czy to będzie 10, 100, 1000.

 

Co do artykułu oczywiście nie musi Ci się podobać, to wolny kraj. Proponuje abyś napisał własny, w którym zawrzesz wszelkie niezbędne informacje, z chęcią przeczytam.

 

Co do stopki, to w tym miejscu jeszcze bardziej udowodniłeś, że jesteś nowy, bo gdybyś spędził tu troche czasu, to byś wiedział, że jest ona automatycznie zaciągana z profilu. To, że mam podpis, wcale nie czuje się przez to lepszy od innych, którzy jej nie posiadają.

 

 

Pozdrawiam
Dominik Modliszewski

CISCO CCNA, MCP, MCTS

night_admin
night_admin
1 pkt.
Nowicjusz
18-02-2011
oceń pozytywnie 0

Zanim ktos jeszcze przybedzie z krucjata niszczenia nie wiernych usludze AD

spiesze wyjasnić ze sam jej uzywam w codziennej pracy i jestem jej zwolennikiem

chcialem swoim komentarzem tylko urzeczywistnic artykuł który wiele istotnych spraw pominął, a dzieki moim i Waszym komentarzom zostały on poruszone.

 

Dziękuje za uwagę i mam nadzieje ze nikogo EGO nie urazilem bedac w opozycji do jego treści.

Daniel Stefaniak Microsoft
Daniel Stefaniak
2337 pkt.
Guru
18-02-2011
oceń pozytywnie 0

trochę żałuję, że w komentarzach do artykułów nie da się klikać "Pomógł mi" ^^

I was a PC, now I'm a server ;)
http://w-files.pl

Arkadiusz Wołoszczak
Arkadiusz Wołoszczak
6 pkt.
Nowicjusz
18-02-2011
oceń pozytywnie 0
A ja chcialbym podkreslic iz warto stosowac AD nawet dla 15 stacji roboczych zwlaszcza gdzie do dyspozycji mamy tania wersje Windows 2008 FUNDATION ktora obs. 15 userow a koszt zakupu systemu to ok 220euro. pozdrawiam
fer
fer
28 pkt.
Nowicjusz
fer
20-02-2011
oceń pozytywnie 0

hmm, to chyba notka, nie artykuł... patrze na glownej stronie wss.pl artykul o
AD, wchodze a tu "kilka zdan" o AD, na portalu o takim porfilu, moze by sie nadalo na onet lub pudelek:)

szegal
szegal
31 pkt.
Poczatkujacy
21-02-2011
oceń pozytywnie 0

No tak, kto nie spróbował pracy w AD, ten nie wie jakie to udogodnie i chyba nie warto przekonywać niedowiarka, musi on sam odczuć na własnej skórze. Pracuję na sieci 30 hostów i mam domenę, praca szybka i bezbolesna jeżeli chodzi o politykę bezpieczeństwa. Kiedyś mój nauczyciel ze szkoły średniej, powiedział "Informatyk to leniwe stworzenie woli napisać skrypt, który wykona pracę za niego" i to jest prawda, po co mam codziennie wykonywać jakąś czynność, jeżeli wykona to za mnie komputer po odpowiednim zautomatyzowaniu skryptem.

Domino_2 Ekspert WSS
Domino_2
2302 pkt.
Guru
21-02-2011
oceń pozytywnie 0

Z założenia taki miał być charakter artykułu.

Pozdrawiam
Dominik Modliszewski

CISCO CCNA, MCP, MCTS

Ziemek Borowski
Ziemek Borowski
21-02-2011
oceń pozytywnie 0

Tak jak Dominik pisze: o taki artykuł prosiłem. Generalnie o coś do czego można by odsyłać osoby któym trzeba wytłumaczyć co to takiego to AD i dlaczego warto tego użyć.

Jesteś osobą z pewnym stażem na tym portalu. A i zapewne w życiu zawodowym. To nie był tekst dla Ciebie.

Jeśli myślisz że można było napisać lepiej (pewnie tak): to proszę, napisz. Nie obrazimy się.

Ziemek Borowski - bywam na spotkaniach PEPUG i PInG, redaktor wss.pl

 

Ziemek Borowski
Ziemek Borowski
27-02-2011
oceń pozytywnie 0

Słuszna uwaga. Artykuł powinien być uzupełniony o wersję serwera 2000 i klientów od wersji NT 4.0.

Po co? To jest tekst dla początkujących. A nie praca akademicka. I ani wad (na to jest miejsce później) ani prehistorii ani konkurencji (czy to samba, czy NDS czy Google) nie musi w nim być. A NT bez kombinacji pod współcześnie skonfigurowaną domenę nie podepniesz.

 

Ziemek Borowski - bywam na spotkaniach PEPUG i PInG, redaktor wss.pl

 

Domino_2 Ekspert WSS
Domino_2
2302 pkt.
Guru
27-02-2011
oceń pozytywnie 0

Tak jak Ziemek napisał, artykuł jest dla bardzo początkującyh, którzy tak naprawdę nie wiedzą co to jest AD i co oferuje. Nie dopisałem informacji o systemach NT/2000 nie z tego względu, że przed XP nic nie było itp. tylko jeśli ktoś po przeczytaniu tego artykułu stwierdzi, że warto dalej rozwijać wiedzę w tym kierunku i że może to usprawnić prace, to szczerze nie sądze, aby zaczynał naukę  od NT / 2000 aby zobaczyć jak to było kiedyś, tym bardziej że te systemy nie są już supportowane.

 

Pozdrawiam
Dominik Modliszewski

CISCO CCNA, MCP, MCTS

rajmaks
rajmaks
0 pkt.
Nowicjusz
23-11-2013
oceń pozytywnie 0
jestem bardzo początkującym, dziękuję za czas poświęcony na napisanie tego artykułu pozdrawiam
ser5er
ser5er
0 pkt.
Nowicjusz
29-07-2016
oceń pozytywnie 0
Witam, a jak wygląda kwestia z Windows 10? Też nie może być w wersji Home? Pozdr.
pkt.

Zaloguj się lub Zarejestruj się aby wykonać tę czynność.