Windows system administration 1 SAI sw6 F2005 Svend Mortensen Ingeniørhøjskolen i København program Windows domæne modellen Introduktion til Active Directory Brugere Grupper Rettigheder Netkonf Management Remote management Kloning af Klient maskiner Monitoring log? 1
Bruger autentificering Arbejdsgruppe modellen Brugerkonti og indstillinger på hver enkelt arbejdsstation Kan gå med få maskiner men Domænemodellen Centraliseret bruger / password database for en gruppe af arbejdsstationer + fælles (sikkerheds)politikker NT 4 Domæner Fælles bruger database på Domæne Controllere En autoritativ primær server + backup servere PDC/BDC Mulighed for at sætte forskellige værdier i registreringsdatabasen på arbejdsstationerne vha System policies For (grupper af ) maskiner eller bruger(e) 2
NT4 - rester WINS NetBIOS Browsing Domæner fortsat Arbejdsstationer der er medlem af domænet har en maskinkonto i brugerdatabasen Password genereres når maskinen adderes til domænet Det skiftes automatisk med mellemrum Kan komme ud af sync ved restore af backup Arbejdsstationen må adderes til domæne på ny Der etableres en krypteret kanal til DC for logon Der er stadig adgang for brugere på maskiner der ikke er medlem af domænet blot brugernavn adgangskode kendes!! 3
Active Directory modellen Distribueret database over netværksressourcer DNS + LDAP/AD + Kerberos Standarder men på Microsoft facon Services til gængelige på domænet kan publiceres via service records (SRV) i DNS RFC 2052 Dynamisk update af DNS - RFC 2136 placering af DC s LDAP og Kerberos services Leightweigth Directory Access Protocol Bruger + meget meget andet database Replikeres mellem domæne controllere DC er er nu mere ligeværdige Kerberos Udviklet på MIT 1988.. RFC 1510 og 1964 En god kort humoristisk beskrivelse http://web.mit.edu/kerberos/www/dialogue.html eller beskrivelse i Windows DSG Chap 11 Funktion Kræver at klient computer er sikker Ure skal være rimeligt synkroniseret! 4
Træer og skove Implicit trust mellem alle domæner! Et rod domæne for skoven!! Organisational Units Underopdeling i et træ af grupper indenfor et enkelt domæne Giver mulighed for fælles pr gruppe politikker 5
Brugere, rettigheder og grupper Rettigheder gives normalt til lokale grupper Kan gives direkte til brugere! Brugere samles i globale grupper Globale grupper er medlemmer af lokale grupper og får derigennem rettigheder svarende til den lokale gruppes NT4 - policies En mekanisme til at ændre nøgler i registreringsdatabasen for grupper af brugere / computere i domænet Tildeles ved start af computer eller log on af bruger Uaktuelle indstillinger kan blive liggende! Kan modificeres af brugeren med regedit 6
Group policies Group policies kan styre Ændringer af nøgler i reg database Slettes nå de ikke er aktive mere Sikkerhedsindstillinger IPSec, password policies Software installation / afinstallation Nyttigt Afvikling af start/ stop, logon /off scripts Folder redirection Bla MyDocuments Group policy objekter Indeholder et komplet sæt indstillinger for bruger / computer Lænkes til site, domæne, OU tændes Prioritet indenfor ex domæne kan vælges Kan tændes /slukkes baseret på medlemskab af security grupper (tændt = Read + apply tilladelse ) 7
Group policies Gpupdate tvinger opdatering Ellers 5 min DC 60 min Workstation Preference OU, domæne, lokal Remote mangement Mmc til remote maskine Rdesktop Rdesktop snap in til flere maskiner Telnet? ssh? Tjahh 8
Kloning / Remote installation Værktøjer i SYSTEM\Tools\Deploy.cab Setupmgr kan generere config filer Eller de kan laves i hånd Sysprep Aktiverer mini setup ved næste boot Ny SID genereres mm Sysprep folder med prog mm slettes efter setup Kloning efter sysprep vha anden software Ghost DriveImage PQmagic eller lignende RIS - server Klient med network boot PXE (BIOS) evt diskette RIS server autorize i AD Adm tools DHCP root i scope pane Secedit /refreshpolicy /MACHINEPOLICY Kan være et image af installeret maskine Riprep Samme HAL + HD størrelse CD based image af OS på server også 9