σελίδα 1 ΕΚΠΑ
«Παραμετροποίηση υπηρεσίας καταλόγου Active Directory σε Windows 2003» Τηλέμαχος Ράπτης Εθνικό και Καποδιστριακό Πανεπιστήμιο Αθηνών 7 – 9 Οκτωβρίου 2008 Αθήνα
σελίδα 3 ΕΚΠΑ Active Directory σχ. εργαστ. Δόμηση του Active Directory σε οργανωτικές μονάδες (OU’s) μπορεί να δημιουργηθεί με τη χρήση της εντολής dsadd ou (από command prompt) ή με τη χρήση γραφικού εργαλείου από τα Administrative Tools
σελίδα 4 ΕΚΠΑ Δημιουργία ιεραρχίας (OU’s) dsadd ou "ou=School, dc=school, dc=edu" -desc "Οι οντότητες της Σχολικής/Διοικητικής Μονάδας« dsadd ou "ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Οι οντότητες του 1ου Σχολικού Εργαστηρίου Πληροφορικής και Εφαρμογών Η/Υ« dsadd ou "ou=Computers, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Το σύνολο των υπολογιστών του 1ου ΣΕΠΕΗΥ« dsadd ou "ou=Servers, ou=Computers, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Οι εξυπηρετητέσ του ΣΕΠΕΗΥ πλέον του Domain Controller« dsadd ou "ou=Workstations, ou=Computers, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Οι σταθμοί εργασίας του 1ου ΣΕΠΕΗΥ" dsadd ou "ou=Accounts, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Το σύνολο των χρηστών του 1ου ΣΕΠΕΗΥ" dsadd ou "ou=Administrative Accounts, ou=Accounts, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Οι διαχειριστικοί λογαριασμοί του 1ου ΣΕΠΕΗΥ" dsadd ou "ou=Shared Accounts, ou=Accounts, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Οι διαμοιραζόμενοι λογαριασμοί του 1ου ΣΕΠΕΗΥ« dsadd ou "ou=Classes, ou=Shared Accounts, ou=Accounts, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Διαμοιραζόμενοι λογαριασμοί τάξεων του 1ου ΣΕΠΕΗΥ" dsadd ou "ou=Lessons, ou=Shared Accounts, ou=Accounts, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Διαμοιραζόμενοι λογαριασμοί μαθημάτων του 1ου ΣΕΠΕΗΥ"
σελίδα 5 ΕΚΠΑ Δημιουργία ιεραρχίας (OU’s) dsadd ou "ou=Users, ou=Shared Accounts, ou=Accounts, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Διαμοιραζόμενοι λογαριασμοί μαθητών του 1ου ΣΕΠΕΗΥ (π.χ. user1, user2, κλπ)" dsadd ou "ou=Specific Users, ou=Accounts, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Προσωπικοί λογαριασμοί χρηστών του 1ου ΣΕΠΕΗΥ" dsadd ou "ou=Students, ou=Specific Users, ou=Accounts, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Προσωπικοί λογαριασμοί μαθητών του 1ου ΣΕΠΕΗΥ" dsadd ou "ou=1st Class, ou=Students, ou=Specific Users, ou=Accounts, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Προσωπικοί λογαριασμοί μαθητών 1ησ τάξης του 1ου ΣΕΠΕΗΥ" dsadd ou "ou=2nd Class, ou=Students, ou=Specific Users, ou=Accounts, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Προσωπικοί λογαριασμοί μαθητών 2ησ τάξης του 1ου ΣΕΠΕΗΥ" dsadd ou "ou=3rd Class, ou=Students, ou=Specific Users, ou=Accounts, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Προσωπικοί λογαριασμοί μαθητών 3ησ τάξης του 1ου ΣΕΠΕΗΥ" dsadd ou "ou=Teachers, ou=Specific Users, ou=Accounts, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Προσωπικοί λογαριασμοί καθηγητών του 1ου ΣΕΠΕΗΥ" dsadd ou "ou=Template Accounts, ou=Accounts, ou=SEPEHY_1, ou=School, dc=school, dc=edu" -desc "Προσωπικοί λογαριασμοί μαθητών 1ησ τάξης του 1ου ΣΕΠΕΗΥ"
σελίδα 6 ΕΚΠΑ group policies Tα group policies επηρεάζουν σε μεγάλο βαθμό το περιβάλλον εργασίας του χρήστη Οι πολιτικές ομάδας είναι δυνατό να δημιουργηθούν από backup με το Group Policy Management Console (GPMC) που παρέχεται δωρεάν από τη Microsoft. To GPMC μπορεί να εγκατασταθεί στον server του εργαστηρίου και παρέχει χρήσιμες λειτουργικότητες όπως: η εισαγωγή/εξαγωγή (import/export) αντικειμένων πολιτικών ομάδας, η λήψη αντιγράφων ασφαλείας αντικειμένων πολιτικών ομάδας και η δημιουργία αναφορών
σελίδα 7 ΕΚΠΑ SEPEHY-Workstation policy
σελίδα 8 ΕΚΠΑ SEPEHY-Workstation policy
σελίδα 9 ΕΚΠΑ SEPEHY-Workstation policy
σελίδα 10 ΕΚΠΑ SEPEHY-Workstation policy
σελίδα 11 ΕΚΠΑ SEPEHY-Shared accounts policy
σελίδα 12 ΕΚΠΑ SEPEHY-Shared accounts policy
σελίδα 13 ΕΚΠΑ SEPEHY-Shared accounts policy
σελίδα 14 ΕΚΠΑ SEPEHY-Shared accounts policy
σελίδα 15 ΕΚΠΑ SEPEHY-Shared accounts policy
σελίδα 16 ΕΚΠΑ SEPEHY-Shared accounts policy
σελίδα 17 ΕΚΠΑ SEPEHY-Shared accounts policy
σελίδα 18 ΕΚΠΑ SEPEHY-Shared accounts policy
σελίδα 19 ΕΚΠΑ SEPEHY-Shared accounts policy
σελίδα 20 ΕΚΠΑ Group Policy Management Console Παράδειγμα: 1.Από το domain school.edu και τα Group Policy Objects επιλέγουμε με δεξί κουμπί του ποντικιού Manage Backups. 2.Επιλέγουμε τη θέση στην οποία βρίσκονται τα GPO Backups, 3.επιλέγουμε το επιθυμητό GPO και 4.κάνουμε Restore. 5.Στη συνέχεια από το OU στο οποίο θέλουμε να ενεργοποιήσουμε κάποιο GPO δημιουργούμε ένα Link προς το συγκεκριμένο GPO.
σελίδα 21 ΕΚΠΑ «Τα έγγραφα μου» και η «Επιφάνεια Εργασίας» Ρύθμιση πολιτικών για «Τα έγγραφα μου» και την «Επιφάνεια Εργασίας» Στον Server δημιουργούμε το φάκελο “users” στην κατάτμηση με το όνομα DATA που βρίσκεται στον πρώτο σκληρό δίσκο. Το φάκελο αυτό τον κάνουμε share ορίζοντας στην επιλογή Permissions «Everyone» Full Control. Με τον ίδιο τρόπο που έγινε ο φάκελος Users δημιουργούμε και διαμοιράζουμε το φάκελο “Profiles” στην ίδια πάντα κατάτμηση.
σελίδα 22 ΕΚΠΑ «Τα έγγραφα μου» και η «Επιφάνεια Εργασίας»
σελίδα 23 ΕΚΠΑ «Τα έγγραφα μου» και η «Επιφάνεια Εργασίας» Στη συνέχεια μέσα από την κονσόλα διαχείρισης “Active Directory Users and Computers” επιλέγουμε το OU Accounts και με δεξί click και “Properties” πηγαίνουμε στο φύλλο Group Policy.
σελίδα 24 ΕΚΠΑ «Τα έγγραφα μου» και η «Επιφάνεια Εργασίας» Δημιουργούμε μία νέα πολιτική επιλέγοντας New και την ονομάζουμε «Accounts Group Policy Object». Στην συνέχεια επιλέγουμε Edit οπότε και εμφανίζεται ένα νέο παράθυρο όπου μας δίνει τη δυνατότητα να κάνουμε τις επιθυμητές ρυθμίσεις.
σελίδα 25 ΕΚΠΑ «Τα έγγραφα μου» και η «Επιφάνεια Εργασίας» Πηγαίνουμε στο “User Configuration” “Windows Settings” “Folders Redirections” και κάνουμε δεξί click και Properties στο “My Documents”. Κάνουμε τις επιλογές όπως φαίνονται στην ακόλουθη εικόνα βάζοντας προφανώς την IP διεύθυνση του εξυπηρετητή του εργαστηρίου που είναι της μορφή 10.Χ.Υ.Ζ Στο ίδιο Policy με παρόμοιο τρόπο κάνουμε redirect την επιφάνεια εργασίας (Desktop) κάθε χρήστη στο path \\ \Users (δεξί click στο φάκελο “Desktop” ακριβώς «πάνω» από τον “My Documents”)
σελίδα 26 ΕΚΠΑ «Τα έγγραφα μου» και η «Επιφάνεια Εργασίας»
σελίδα 27 ΕΚΠΑ «Τα έγγραφα μου» και η «Επιφάνεια Εργασίας» Πατάμε ΟΚ, και κλείνουμε όλα τα παράθυρα. Οι ρυθμίσεις θα εμφανιστούν στους χρήστες την επόμενη φορά που κάνουν Logon.
σελίδα 28 ΕΚΠΑ Λογαριασμοί Διαχείρισης Λογαριασμοί Διαχείρισης Σχολικού Εργαστηρίου yper (υπεύθυνος του εργαστηρίου): πλήρη διαχειριστικά δικαιώματα bdmn (έκτακτη περίπτωση): πλήρη διαχειριστικά δικαιώματα tstech (Τεχνικούς Υπεύθυνους ΚΕΠΛΗΝΕΤ): Λογαριασμός διαχείρισης του domain tsremote (μηχανικούς και τεχνικούς της Τεχνικής Στήριξης): πλήρη διαχειριστικά δικαιώματα και επιτρέπει τον χειρισμό οποιουδήποτε ζητήματος κυρίως με χρήση απομακρυσμένης διαχείρισης
σελίδα 29 ΕΚΠΑ Λογαριασμοί Διαχείρισης Θα πρέπει να μην υπάρχει λογαριασμός διαχειριστή με όνομα ‘ administrator ’ στο domain. Δεν υπάρχει κανένας τοπικός λογαριασμός με διαχειριστικά δικαιώματα σε κάποιον από τους σταθμούς εργασίας του εργαστηρίου Computer Configuration \ Windows Settings \ Security Settings \Local Policies \ Security Options \ Accounts: Administrator account status: disabled Κατά την καθημερινή χρήση του εργαστηρίου για εκπαιδευτικούς σκοπούς δεν θα πρέπει να γίνεται χρήση κανενός λογαριασμού με διαχειριστικά δικαιώματα.
σελίδα 30 ΕΚΠΑ Ορισμός Template User Η δηµιουργία νέου χρήστη µπορεί να γίνει µε την αντιγραφή ενός πρότυπου «χρήστη» (User Template). Αρχικά θα πρέπει να δηµιουργηθεί αυτός ο πρότυπος «χρήστης». Με βάση την αναγραφόµενη δοµή του Active Directory αυτός χρήστης θα πρέπει να είναι στο OU Template Accounts. Επιλέγουµε µέσα από Administrative Tools την κονσόλα Active Directory Users and Computers.
σελίδα 31 ΕΚΠΑ Δημιουργία OU «Template Accounts» δεξί click πάνω στο OU Template Accounts και επιλέγουμε New User και συμπληρώνουμε τα στοιχεία.
σελίδα 32 ΕΚΠΑ Δημιουργία «Template Account» Επιλέγουμε Next όπου ορίζουμε τον κωδικό (Password) του χρήστη. Στα Windows 2003 Domains ο κωδικός θα πρέπει να πληρεί µερικές προϋποθέσεις όπως να είναι τουλάχιστο 8 χαρακτήρες, να περιέχει τουλάχιστο ένα γράµµα, ένα νούµερο και ένα σύµβολο.
σελίδα 33 ΕΚΠΑ Δημιουργία «Template Account» Αφού δηµιουργήσουµε τον χρήστη κάνουµε διπλό click πάνω του και εµφανίζεται η καρτέλα µε τα στοιχεία του, τα δικαιώµατα και διάφορες άλλες ρυθµίσεις. Επιλέγουµε το φύλλο Profiles και συµπληρώνουµε τα στοιχεία ως εξής:
σελίδα 34 ΕΚΠΑ Δημιουργία «Template Account»
σελίδα 35 ΕΚΠΑ Δημιουργία «Template Account» Στο profile path στην θέση της IP διεύθυνσης του παραδείγµατος ( ) βάζουµε αυτή του εξυπηρετητή του εργαστηρίου που είναι της αντίστοιχης µορφής (10.Χ.Υ.Ζ). Τώρα ο χρήστης «πρότυπο» είναι έτοιµος. Θα µπορούσαµε να του δώσουµε και άλλες ιδιότητες π.χ. να ανήκει σε κάποιο Group κ.α. Έτσι θα τον εξειδικεύαµε για συγκεκριµένους λογαριασµούς. Δηλαδή θα µπορούσαµε να δηµιουργήσουµε ένα Template User για την κατηγορία Student-2nd Class o οποίος θα ανήκει και στα Group “Students” και “2nd Class Students” Στη συνέχεια κάνουµε δεξί click στο Template λογαριασµό και επιλέγουµε Copy. Αυτόµατα ξεκινά η διαδικασία παρόµοια µε αυτή της δηµιουργίας χρήστη. Τώρα όµως βάζουµε τα στοιχεία του χρήστη που θέλουµε να δηµιουργήσουµε και τον λογαριασµό τον ενεργοποιούµε.
σελίδα 36 ΕΚΠΑ Δημιουργία «Template Account» Αφού δημιουργηθεί ο χρήστης µε δεξί click πάνω του και επιλογή Move τον μεταφέρουµε στο OU που επιθυμούμε. Δεν θα πρέπει να υπάρχουν άλλοι λογαριασμοί εκτός των Template µέσα στο OU Template Accounts.
σελίδα 37 ΕΚΠΑ Οδηγίες Δημιουργίας user profiles Η διαδικασία δομείται σε τέσσερα στάδια Δημιουργία συγκεκριμένου shared folder στον SCHOOL Δημιουργία προφίλ χρήστη σε έναν client Δημιουργία profile shared folder στον SCHOOL Διασύνδεση λογαριασμών χρηστών με το profile
σελίδα 38 ΕΚΠΑ Δημιουργία shared folder στον server Κάνουμε log on στον SCHOOL ως administrator του domain Επιλέγουμε Start Programs Accessories Windows Explorer Κάνουμε expand το My Computer και επιλέγουμε το Local Disk (C:) Στο δεξί παράθυρο κάνουμε δεξί κλικ και επιλέγουμε New Folder Πληκτρολογούμε dokimi Κάνουμε δεξί κλικ στο folder dokimi και επιλέγουμε sharing Στο παράθυρο dokimi Properties επιλέγουμε share this folder και στην συνέχεια κάνουμε κλικ στο Caching Στο παράθυρο Caching Settings αποεπιλέγουμε το Allow caching of files in this shared folder και κάνουμε κλικ στο OK Στο παράθυρο dokimi Properties κάνουμε κλικ στο OK Κλείνουμε τον Windows Explorer
σελίδα 39 ΕΚΠΑ Δημιουργία προφίλ χρήστη σε έναν client (1/3) Κάνουμε log on σε έναν client του site SCHOOL ως τοπικός administrator Επιλέγουμε Έναρξη Ο Υπολογιστής μου και κάνουμε δεξί κλικ Επιλέγουμε Διαχείριση Στο παράθυρο με τίτλο Διαχείριση Υπολογιστή κάνουμε expand στο Τοπικοί λογαριασμοί Users και Groups και επιλέγουμε Users Κάνουμε δεξί κλικ και επιλέγουμε Νέος χρήστης Στο παράθυρο με τίτλο Νέος χρήστης πληκτρολογούμε το Όνομα χρήστη (test) και τον κωδικό πρόσβασης (test) και αποεπιλέγουμε το Ο χρήστης πρέπει να αλλάξει... Επιλέγουμε την δεύτερη και Τρίτη επιλογή και πατάμε Δημιουργία και κλείσιμο Επιλέγουμε από το Windows Explorer όλα τα περιεχόμενα του default user και τα διαγράφουμε Αντιγράφουμε (αν έχουμε κρατήσει backup) ένα υποθηκευμένο profile (που δημιουργήθηκε παλαιότερα), τα περιεχόμενα του profile στο default user. Διαγράφουμε όλα τα περιεχόμενα (που μας επιτρέπει το σύστημα να διαγράψουμε) από το All Users (εκτός από το Acrobat Assistant στο path Start Menu\Προγράμματα\Εκκίνηση )
σελίδα 40 ΕΚΠΑ Δημιουργία προφίλ χρήστη σε έναν client (2/3) Επιλέγουμε Έναρξη Αποσύνδεση Στο μήνυμα με τίτλο Αποσύνδεση των Windows πατάμε Αποσύνδεση Κάνουμε Logon τοπικά με τον χρήστη που δημιουργήσαμε Κάνουμε Logoff και κάνουμε Logon ως τοπικός administrator Επιλέγουμε Έναρξη Ο Υπολογιστής μου και κάνουμε δεξί κλικ και επιλέγουμε Ιδιότητες Στο παράθυρο με τίτλο Ιδιότητες συστήματος επιλέγουμε το tab page Για προχωρημένους και πατάμε Ρυθμίσεις στο Προφίλ χρηστών Στο παράθυρο με τίτλο Προφίλ χρηστών επιλέγουμε τον τοπικό test χρήστη και πατάμε Αντιγραφή σε Στο παράθυρο με τίτλο Αντιγραφή σε πατάμε Αναζήτηση Στο παράθυρο με τίτλο Αναζήτηση φακέλου επιλέγουμε Θέσεις Δικτύου Συνολικό Δίκτυο Δίκτυο των Microsoft Windows SCHOOL Στο παράθυρο με τίτλο Σύνδεση με το school.edu πληκτρολογούμε στο πεδίο Όνομα χρήστη το SCHOOL\administrator και στο πεδίο Κωδικός πρόσβασης τον κωδικό πατάμε OK
σελίδα 41 ΕΚΠΑ Δημιουργία προφίλ χρήστη σε έναν client (3/3) Επιλέγουμε testing και πατάμε OK Στο παράθυρο με τίτλο Αντιγραφή σε πληκτρολογούμε \\SCHOOL\dokimi\test Στο παράθυρο με τίτλο Αντιγραφή σε πατάμε Αλλαγή Στο παράθυρο με τίτλο Επιλογή “Χρήστης” ή “Ομάδα” πατάμε Τύποι αντικειμένων Στο παράθυρο με τίτλο Εισαγωγή κωδικού πρόσβασης δικτύου πληκτρολογούμε στο πεδίο Όνομα χρήστη τον Κωδικός πρόσβασης και πατάμε OK Στο παράθυρο με τίτλο Τύποι αντικειμένων επιλέγουμε το Ομάδες και πατάμε OK Στο παράθυρο με τίτλο Επιλογή “Χρήστης” ή “Ομάδα” πληκτρολογούμε Domain Users και πατάμε Έλεγχος ονομάτων και πατάμε OK Στο παράθυρο με τίτλο Αντιγραφή σε πατάμε OK Στο παράθυρο με τίτλο Επιβεβαίωση αντιγραφής πατάμε Ναι Στο παράθυρο με τίτλο Προφίλ χρηστών πατάμε OK Στο παράθυρο με τίτλο Ιδιότητες συστήματος πατάμε OK Επιλέγουμε Έναρξη Αποσύνδεση Στο μήνυμα με τίτλο Αποσύνδεση των Windows πατάμε Αποσύνδεση
σελίδα 42 ΕΚΠΑ Δημιουργία profile shared folder στον OSK Κάνουμε log on στον OSK ως administrator του domain Επιλέγουμε Start Programs Accessories Windows Explorer Κάνουμε expand το My Computer και στην συνέχεια το Local Disk (C:) Στην συνέχεια επιλέγουμε το folder dokimi και στην συνέχεια το folder test Κάνουμε copy το folder test στο root. Κάνουμε δεξί κλικ στο folder dokimi και επιλέγουμε Delete Κάνουμε δεξί κλικ στο folder test, επιλέγουμε Rename και μετονομάζουμε το αρχείο σε profile
σελίδα 43 ΕΚΠΑ Διασύνδεση user accounts με το profile Κάνουμε δεξί κλικ στους χρήστες που επιθυμούμε να συνδέσουμε με το προφίλ που δημιουργήσαμε και στο Profile tab page στο profile path πληκτρολογούμε %logonserver%\profile
σελίδα 44 ΕΚΠΑ