Felhasználók, csoportok és számítógépek definiálása

  • 10 perc

Az AD DS-ben minden olyan felhasználót meg kell adnia, aki hozzáférést igényel a hálózati erőforrásokhoz egy felhasználói fiókkal. Ezzel a felhasználói fiókkal a felhasználók hitelesíthetik magukat az AD DS-tartományon, és hozzáférhetnek a hálózati erőforrásokhoz.

A Windows Serverben a felhasználói fiókok olyan objektumok, amelyek a felhasználót meghatározó összes információt tartalmazzák. A felhasználói fiókok a következőket tartalmazzák:

  • A felhasználónév.
  • Felhasználói jelszó.
  • Csoporttagságok.

A felhasználói fiókok a szervezeti követelményeknek megfelelően konfigurálható beállításokat is tartalmaznak.

Képernyőkép a Jane Dow felhasználói fiókról az Active Directory Felügyeleti központban.

A felhasználói fiók felhasználóneve és jelszava szolgál a felhasználó bejelentkezési hitelesítő adataiként. A felhasználói objektumok számos más attribútumot is tartalmaznak, amelyek leírják és kezelik a felhasználót. Az alábbi eszközökkel hozhat létre és kezelhet felhasználói objektumokat az AD DS-ben:

  • Active Directory felügyeleti központ.
  • Active Directory - felhasználók és számítógépek.
  • Windows Felügyeleti központ.
  • Windows PowerShell.
  • A dsadd parancssori eszköz.

Mik azok a felügyelt szolgáltatásfiókok?

Számos alkalmazás olyan szolgáltatásokat tartalmaz, amelyeket a programot üzemeltető kiszolgálón telepít. Ezek a szolgáltatások általában a kiszolgáló indításakor futnak, vagy más események váltják ki őket. A szolgáltatások gyakran a háttérben futnak, és nem igényelnek felhasználói beavatkozást. Egy szolgáltatás indításához és hitelesítéséhez egy szolgáltatásfiókot kell használnia. A szolgáltatásfiókok lehetnek a számítógép helyi fiókjai, például a beépített helyi szolgáltatás, hálózati szolgáltatás vagy helyi rendszerfiókok. A szolgáltatásfiókokat úgy is konfigurálhatja, hogy az AD DS-ben található tartományalapú fiókot használjon.

Az adminisztráció központosításának és a programkövetelményeknek való megfelelés érdekében számos szervezet úgy dönt, hogy tartományalapú fiókot használ a programszolgáltatások futtatásához. Bár ez némi előnyt jelent a helyi fiókokkal szemben, számos kapcsolódó kihívás áll fenn, például a következők:

  • További adminisztrációs erőfeszítésekre lehet szükség a szolgáltatásfiók jelszavának biztonságos kezeléséhez.
  • Nehéz lehet meghatározni, hogy a tartományalapú fiók hol használatos szolgáltatásfiókként.
  • A szolgáltatásnév (SPN) kezeléséhez további adminisztrációs erőfeszítésekre lehet szükség.

A Windows Server egy felügyelt szolgáltatásfióknak nevezett AD DS-objektumot támogat, amellyel megkönnyítheti a szolgáltatásfiókok kezelését. A felügyelt szolgáltatásfiók egy AD DS objektumosztály, amely lehetővé teszi a következőket:

  • Egyszerűsített jelszókezelés.
  • Egyszerűsített SPN-kezelés.

Mik azok a csoportosan felügyelt szolgáltatásfiókok?

A csoportosan felügyelt szolgáltatásfiókok lehetővé teszik a standard felügyelt szolgáltatásfiókok képességeinek kiterjesztését a tartomány több kiszolgálójára is. Hálózati terheléselosztási (NLB-) fürtökkel vagy IIS-kiszolgálókkal rendelkező kiszolgálófarmokban gyakran szükség van a rendszer- vagy programszolgáltatások ugyanazon szolgáltatásfiókban való futtatására. A standard felügyelt szolgáltatásfiókok nem tudják biztosítani a felügyelt szolgáltatásfiókok funkcióit a több kiszolgálón futó szolgáltatások számára. Csoportosan felügyelt szolgáltatásfiókok használatával több kiszolgálót is konfigurálhat ugyanahhoz a felügyelt szolgáltatásfiókhoz, és továbbra is megőrizheti a felügyelt szolgáltatásfiókok által biztosított előnyöket, például az automatikus jelszókarbantartást és az egyszerűsített egyszerű szolgáltatásnév-kezelést.

A csoport által felügyelt szolgáltatásfiók funkcióinak támogatásához a környezetnek meg kell felelnie a következő követelményeknek:

  • Létre kell hoznia egy KDS-gyökérkulcsot a tartomány egyik tartományvezérlőjén.

A KDS-gyökérkulcs létrehozásához futtassa a következő parancsot a Windows PowerShell Active Directory moduljából Windows Server tartományvezérlőn

Add-KdsRootKey –EffectiveImmediately

A csoport által felügyelt szolgáltatásfiókokat a Windows PowerShell New-ADServiceAccount parancsmag segítségével, a –PrinicipalsAllowedToRetrieveManagedPassword paraméterrel hozhatja létre.

Példa:

New-ADServiceAccount -Name LondonSQLFarm -PrincipalsAllowedToRetrieveManagedPassword SEA-SQL1, SEA-SQL2, SEA-SQL3

Mik azok a csoportobjektumok?

Bár célszerű lehet engedélyeket és jogosultságokat hozzárendelni a kis hálózatokban lévő egyéni felhasználói fiókokhoz, ez a nagyvállalati hálózatokban nem praktikus és nem hatékony.

Ha például több felhasználónak azonos szintű hozzáférésre van szüksége egy mappához, hatékonyabb létrehozni egy csoportot, amely tartalmazza a szükséges felhasználói fiókokat, majd hozzárendelni a szükséges engedélyeket a csoporthoz.

Tipp.

További előnyként módosíthatja a felhasználók fájlengedélyeit úgy, hogy közvetlenül a fájlengedélyek szerkesztése helyett hozzáadja vagy eltávolítja őket a csoportokból.

Mielőtt csoportokat implementál a szervezetben, ismernie kell a különböző AD DS-csoporttípusok hatókörét. Emellett tisztában kell lennie azzal is, hogyan használhat csoporttípusokat az erőforrásokhoz való hozzáférés kezelésére, illetve felügyeleti jogosultságok és felelősségek hozzárendelésére.

Képernyőkép a Csoport létrehozása: Sales Manager párbeszédpanelről a Windows Felügyeleti központban.

Csoporttípusok

A Windows Server nagyvállalati hálózatában két csoporttípus létezik, amelyeket az alábbi táblázatban ismertetünk.

Csoport típusa Leírás
Biztonság A biztonsági csoportok biztonságosak, és ön használja őket engedélyek hozzárendelésére különböző erőforrásokhoz. A hozzáférés-vezérlési listák (ACL-ek) engedélybejegyzéseiben biztonsági csoportokat használhat az erőforrás-hozzáférés biztonságának szabályozásához. Ha egy csoportot szeretne használni a biztonság kezeléséhez, annak biztonsági csoportnak kell lennie.
Disztribúció Az e-mail-alkalmazások általában olyan terjesztési csoportokat használnak, amelyek nem biztonságosak. Biztonsági csoportokat is használhat terjesztési eszközként az e-mail-alkalmazásokhoz.

Csoport hatókörei

A Windows Server támogatja a csoportok hatókörkezelését. A csoport hatóköre meghatározza a csoport képességeinek vagy engedélyeinek tartományát, valamint a csoporttagságokat. Négy csoport hatóköre van.

  • Helyi. Ezt a csoportot önálló kiszolgálókhoz vagy munkaállomásokhoz, nem tartományvezérlő tartománytag kiszolgálókhoz, vagy tartománytag munkaállomásokhoz használja. A helyi csoportok csak azon a számítógépen érhetők el, ahol léteznek. A helyi csoportok fontos jellemzői a következők:

    • Csak a helyi erőforrásokhoz rendelhet képességeket és engedélyeket, azaz a helyi számítógépen.
    • A tagok bárhonnan lehetnek az AD DS-erdőben.

  • Domain-helyi. Az ilyen típusú csoportokat elsősorban az erőforrásokhoz való hozzáférés kezelésére vagy felügyeleti jogosultságok és felelősségek hozzárendelésére használhatja. A tartományi helyi csoportok egy AD DS-tartományban lévő tartományvezérlőken találhatók, így a csoport hatóköre helyi a tartományhoz, amelyben található. A tartomány helyi csoportjainak fontos jellemzői a következők:

    • Képességeket és engedélyeket csak tartomány-helyi erőforrásokhoz rendelhet hozzá, ami azt jelenti, hogy a helyi tartomány összes számítógépén.
    • A tagok bárhonnan lehetnek az AD DS-erdőben.

  • Globális. Ez a csoporttípus elsősorban a hasonló jellemzőkkel rendelkező felhasználók összevonására használható. Például globális csoportokkal csatlakozhat egy részleghez vagy földrajzi helyhez tartozó felhasználókhoz. A globális csoportok fontos jellemzői a következők:

    • Az erdőben bárhol hozzárendelhet képességeket és engedélyeket.
    • A tagok csak a helyi tartományból lehetnek, és tartalmazhatnak felhasználókat, számítógépeket és globális csoportokat a helyi tartományból.

  • Univerzális. Ezt a csoporttípust leggyakrabban többtartományos hálózatokban használja, mivel a tartomány-helyi csoportok és a globális csoportok jellemzőit egyesíti. Az univerzális csoportok fontos jellemzői a következők:

    • A képességeket és engedélyeket az erdőben bárhol hozzárendelheti, hasonlóan ahhoz, ahogyan globális csoportokhoz rendeli őket.
    • A tagok bárhonnan lehetnek az AD DS-erdőben.

Mik azok a számítógépobjektumok?

A számítógépek, hasonlóan a felhasználókhoz, biztonsági főszereplők, mivel:

  • Olyan fiókkal rendelkeznek, amely bejelentkezési névvel és jelszóval rendelkezik, amelyet a Windows rendszeresen automatikusan módosít.
  • Hitelesítik magukat a tartománnyal.
  • Csoportokhoz tartozhatnak, és hozzáférhetnek az erőforrásokhoz, és csoportházirenddel konfigurálhatja őket.

A számítógépfiókok életciklusa a számítógép-objektum létrehozásakor és a tartományhoz való csatlakoztatáskor kezdődik. Miután csatlakoztatja a számítógépfiókot a tartományhoz, a napi felügyeleti feladatok a következők:

  • A számítógép tulajdonságainak konfigurálása.
  • A számítógép áthelyezése a szervezeti egységek között.
  • A számítógép kezelése.
  • A számítógépobjektum átnevezése, alaphelyzetbe állítása, letiltása, engedélyezése és végleges törlése.

Képernyőkép a Számítógép létrehozása: SEA-CL5 párbeszédpanelről az Active Directory Felügyeleti központban.

Számítógépkonténer

Mielőtt az AD DS-ben számítógép-objektumot hoz létre, rendelkeznie kell egy megfelelő hellyel. Az Számítógépek konténer egy beépített konténer egy AD DS domainen belül. Ez a tároló az alapértelmezett hely a számítógépfiókokhoz, amikor egy számítógép csatlakozik a tartományhoz.

Ez a tároló nem szervezeti egység. Ehelyett a Tárolóosztály objektuma. Köznapi neve CN=Computers. A tároló és a szervezeti egység között apró, de fontos különbségek vannak. Nem hozhat létre szervezeti egységet egy tárolón belül, ezért nem oszthatja fel a Számítógépek tárolót. Csoportházirend-objektumot sem csatolhat tárolóhoz. Ezért azt javasoljuk, hogy a Számítógépek tároló használata helyett egyéni szervezeti egységeket hozzon létre a számítógépobjektumok üzemeltetéséhez.