Definování uživatelů, skupin a počítačů

  • 10 min

Ve službě AD DS musíte poskytnout všem uživatelům, kteří vyžadují přístup k síťovým prostředkům pomocí uživatelského účtu. S tímto uživatelským účtem se uživatelé můžou ověřit v doméně služby AD DS a přistupovat k síťovým prostředkům.

Ve Windows Serveru je uživatelský účet objekt, který obsahuje všechny informace, které definují uživatele. Uživatelský účet zahrnuje:

  • Uživatelské jméno.
  • Heslo uživatele.
  • Členství ve skupinách.

Uživatelský účet obsahuje také nastavení, která můžete nakonfigurovat na základě požadavků vaší organizace.

Snímek obrazovky s uživatelským účtem Jane Dow v Centru správy služby Active Directory

Uživatelské jméno a heslo uživatelského účtu slouží jako přihlašovací údaje uživatele. Objekt uživatele obsahuje také několik dalších atributů, které popisují a spravují uživatele. Pomocí následujících nástrojů můžete vytvářet a spravovat objekty uživatelů ve službě AD DS:

  • Centrum správy služby Active Directory.
  • Uživatelé a počítače služby Active Directory.
  • Centrum pro správu Systému Windows.
  • Windows PowerShell.
  • Nástroj příkazového řádku dsadd.

Co jsou účty spravovaných služeb?

Mnoho aplikací obsahuje služby, které nainstalujete na server, který je hostitelem programu. Tyto služby se obvykle spouští při spuštění serveru nebo se aktivují jinými událostmi. Služby se často spouštějí na pozadí a nevyžadují žádnou interakci uživatele. Pokud chcete službu spustit a ověřit, použijte účet služby. Účet služby může být účet, který je místní pro počítač, například předdefinovaná místní služba, síťová služba nebo místní systémové účty. Účet služby můžete také nakonfigurovat tak, aby používal účet založený na doméně umístěný ve službě AD DS.

Aby bylo možné centralizovat správu a splnit požadavky programu, mnoho organizací se rozhodne použít účet založený na doméně ke spouštění programových služeb. I když to přináší určitou výhodu oproti používání místního účtu, existuje řada souvisejících problémů, jako je například následující:

  • K bezpečné správě hesla účtu služby může být potřeba další úsilí o správu.
  • Může být obtížné určit, kde se účet založený na doméně používá jako účet služby.
  • Ke správě hlavního názvu služby (SPN) může být zapotřebí další administrativní úsilí.

Windows Server podporuje objekt služby AD DS s názvem účet spravované služby, který používáte k usnadnění správy účtů služeb. Účet spravované služby je třída objektů AD DS, která umožňuje:

  • Zjednodušená správa hesel
  • Zjednodušená správa názvu služby (SPN).

Co jsou skupinové účty spravované služby?

Skupinové účty spravované služby umožňují rozšířit možnosti standardních účtů spravovaných služeb na více než jeden server ve vaší doméně. Ve scénářích serverové farmy s clustery vyrovnávání zatížení sítě (NLB) nebo servery IIS je často potřeba spouštět systémové nebo programové služby na stejném služebním účtu. Účty spravované služby úrovně Standard nemůžou poskytovat funkce účtu spravované služby službám, které běží na více než jednom serveru. Použitím skupinových účtů spravovaných služeb můžete nakonfigurovat více serverů k použití stejného účtu spravované služby a přesto si zachovat výhody, které tyto účty poskytují, jako je automatická správa hesel a zjednodušená správa hlavního názvu služby (SPN).

Aby bylo možné podporovat funkce účtu spravované služby skupiny, musí vaše prostředí splňovat následující požadavek:

  • Na řadiči domény v doméně musíte vytvořit kořenový klíč KDS.

Pokud chcete vytvořit kořenový klíč KDS, spusťte následující příkaz z modulu Active Directory pro Windows PowerShell na řadiči domény Windows Serveru.

Add-KdsRootKey –EffectiveImmediately

Skupinové spravované účty služby vytvoříte pomocí rutiny New-ADServiceAccount Windows PowerShell s parametrem –PrinicipalsAllowedToRetrieveManagedPassword.

Příklad:

New-ADServiceAccount -Name LondonSQLFarm -PrincipalsAllowedToRetrieveManagedPassword SEA-SQL1, SEA-SQL2, SEA-SQL3

Co jsou objekty skupiny?

I když může být praktické přiřazovat oprávnění a práva jednotlivým uživatelským účtům v malých sítích, stává se to nepraktické a neefektivní ve velkých podnikových sítích.

Pokud například několik uživatelů potřebuje stejnou úroveň přístupu ke složce, je efektivnější vytvořit skupinu, která obsahuje požadované uživatelské účty, a pak skupině přiřadit požadovaná oprávnění.

Tip

Jako přidanou výhodu můžete změnit oprávnění uživatelů k souborům tak, že je přidáte nebo odeberete ze skupin a nebudete oprávnění k souborům upravovat přímo.

Před implementací skupin ve vaší organizaci musíte porozumět rozsahu různých typů skupin služby AD DS. Kromě toho musíte pochopit, jak pomocí typů skupin spravovat přístup k prostředkům nebo přiřazovat práva a povinnosti správy.

Snímek obrazovky s dialogovým oknem Vytvořit skupinu: Obchodní manažeři v Centru pro správu Systému Windows

Typy skupin

V podnikové síti Windows Serveru existují dva typy skupin, které jsou popsány v následující tabulce.

Typ skupiny Popis
Zabezpečení Skupiny zabezpečení jsou umožňující zabezpečení a používáte je pro přiřazování oprávnění různým prostředkům. Skupiny zabezpečení můžete použít v položkách oprávnění v seznamech řízení přístupu (ACL) k řízení zabezpečení přístupu k prostředkům. Pokud chcete ke správě zabezpečení použít skupinu, musí se jednat o skupinu zabezpečení.
Distribuce E-mailové aplikace obvykle používají distribuční skupiny, které nejsou povolené zabezpečením. Skupiny zabezpečení můžete použít také jako prostředek distribuce pro e-mailové aplikace.

Rozsahy skupin

Windows Server podporuje nastavení rozsahu skupin. Rozsah skupiny určuje rozsah schopností nebo oprávnění skupiny i členství ve skupině. Existují čtyři obory skupin.

  • Místní. Tento typ skupiny použijete pro samostatné servery nebo pracovní stanice, na serverech členů domény, které nejsou řadiči domény nebo na pracovních stanicích členů domény. Místní skupiny jsou k dispozici pouze v počítači, kde existují. Důležité charakteristiky místní skupiny jsou:

    • Možnosti a oprávnění můžete přiřadit pouze k místním prostředkům, což znamená na místním počítači.
    • Členové můžou být odkudkoli v doménové struktuře SLUŽBY AD DS.

  • Místní doména. Tento typ skupiny používáte především ke správě přístupu k prostředkům nebo k přiřazování přístupových práv a odpovědností za správu. Místní skupiny existují na řadičích domény domény AD DS, kde jejich obor působnosti je místní pro doménu, ve které se nacházejí. Mezi důležité charakteristiky místních doménových skupin patří:

    • Možnosti a oprávnění můžete přiřadit pouze k místním prostředkům domény, což znamená na všech počítačích v místní doméně.
    • Členové můžou být odkudkoli v doménové struktuře SLUŽBY AD DS.

  • Globální. Tento typ skupiny používáte především ke konsolidaci uživatelů, kteří mají podobné charakteristiky. Globální skupiny můžete například použít k připojení uživatelů, kteří jsou součástí oddělení nebo geografického umístění. Mezi důležité charakteristiky globálních skupin patří:

    • Schopnosti a oprávnění můžete přiřadit kdekoli v lese.
    • Členové můžou být pouze z místní domény a mohou zahrnovat uživatele, počítače a globální skupiny z místní domény.

  • Univerzální. Tento typ skupiny používáte nejčastěji v sítích s více doménami, protože kombinuje charakteristiky místních doménových skupin i globálních skupin. Důležité charakteristiky univerzálních skupin jsou konkrétně:

    • Schopnosti a oprávnění můžete přiřadit kdekoli v lese podobně jako při přiřazování pro globální skupiny.
    • Členové můžou být odkudkoli v doménové struktuře SLUŽBY AD DS.

Co jsou počítačové objekty?

Počítače, jako jsou uživatelé, jsou objekty zabezpečení v tomhle:

  • Mají účet s přihlašovacím jménem a heslem, které se automaticky mění v pravidelných intervalech.
  • Ověří se v doméně.
  • Můžou patřit do skupin a mít přístup k prostředkům a můžete je nakonfigurovat pomocí zásad skupiny.

Účet počítače začne jeho životní cyklus při vytváření objektu počítače a jeho připojení k doméně. Po připojení účtu počítače k vaší doméně zahrnují každodenní administrativní úkoly:

  • Konfigurace vlastností počítače
  • Přesouvání počítače mezi organizačními jednotkami.
  • Správa samotného počítače.
  • Přejmenování, resetování, zakázání, povolení a nakonec odstranění objektu počítače.

Snímek obrazovky s dialogovým oknem Vytvořit počítač: SEA-CL5 v Centru správy služby Active Directory

Kontejner počítačů

Než ve službě AD DS vytvoříte objekt počítače, musíte ho umístit. Kontejner Počítače je integrovaný kontejner v doméně služby AD DS. Tento kontejner je výchozím umístěním účtů počítače, když se počítač připojí k doméně.

Tento kontejner není organizační jednotka. Místo toho se jedná o objekt třídy Container. Jeho běžný název je CN=Computers. Mezi kontejnerem a organizační jednotky existují drobné, ale důležité rozdíly. V rámci kontejneru nelze vytvořit organizační jednotky, takže kontejner Počítače nelze rozdělit. Objekt zásad skupiny také nelze propojit s kontejnerem. Proto doporučujeme, abyste vytvořili vlastní organizační jednotky k uspořádání objektů počítačů, místo použití kontejneru Počítače.