Windows Server 2012 - Kompendium wiedzy. Część 4 - Active Directory Users and Computers

W tej części zajmiemy się tworzeniem użytkowników, grup, komputerów i nadawaniu im uprawnień. Ta część jest szczególnie istotna, ponieważ tutaj wykonujemy jedną z najważniejszych operacji na serwerze.

4.1 Tworzymy jednostkę organizacyjną.

Na początku stworzymy sobie jednostkę organizacyjną. Niech to będzie na przykład: "Informatycy". Przechodzimy do AD DS w menadżerze serwera. Prawym przyciskiem myszy klikamy na naszym serwerze i wybieramy "Active Directory Users and Computers".

Otworzy się nam okno zarządzania użytkownikami i komputerami. W tym oknie klikamy prawym klawiszem myszki, na wcześniej utworzoną przez nas domenę. W tym przykładzie jest to "domena.pl". Wybieramy "New" i "Organizational Unit"

W następnym oknie wpisujemy nazwę jednostki organizacyjnej. Zatwierdzamy klikając "OK"

Do domeny dodaliśmy nową jednostkę organizacyjną.

4.2 Tworzymy grupy.

Teraz utworzymy w ramach tej jednostki grupy o nazwach: "staz","praktyka,"etat". W tym celu klikamy na "informatycy" prawym myszki i wybieramy "New" oraz "Group".

W oknie tworzenia grupy wpisujemy "staz" i zatwierdzamy klikając "OK". Tę sama czynność wykonujemy dla 2 pozostałych grup.

W efekcie otrzymamy jednostkę organizacyjną o nazwie "informatycy" a w niej 3 grupy.

Aby uzyskać szczegółową wiedzę o grupach i poziomach uprawnień, odsyłam do strony Microsoftu, pod tym adresem.

4.3 Nadajemy uprawnienia dla grup.

W kolejnym etapie, nadamy prawa utworzonym grupom. Każda grupa z założenia posiadać będzie inne uprawnienia. Jest to trochę związane z sama ideą tworzenia grup. Ponieważ utworzenie grupy, jest tożsame z podziałem. Podział przeważnie jest tworzony ze względu na chęć ograniczenia praw dla danej części zasobów. Na początku jednak, każdej grupie utworzymy podstawowe uprawnienia użytkownika.

W naszym przykładzie, nadamy grupom uprawnienia użytkowników "users". W tym celu klikamy prawym przyciskiem myszki na daną grupę i przechodzimy do jej "Właściwości" (Properties)

W kolejnym oknie przechodzimy do zakładki "Members Of" w której określimy członkiem jakich uprawnień jest dana grupa. Klikamy "Dodaj" (Add).

W kolejnym oknie wybieramy "Zaawansowane" (Advanced) i "Znajdź" (Find Now).

Z listy wybieramy "Users".

Prostszym i szybszym sposobem jest (o ile znamy nazwę uprawnień), wpisanie w poprzednim oknie "Users". Jeżeli nie jesteśmy pewni, czy dana grupa uprawnień istnieje, możemy użyć przycisku "Sprawdź nazwę" (Check Names), który nas upewni, że dana grupa istnieje. Zatwierdzamy klikając "OK".

W ten sposób dodaliśmy uprawnienia "użytkownicy" dla grupy "etat" w naszej domenie.

Analogicznie w ten sam sposób dodajemy uprawnienia dla innych grup.
Jeżeli chcemy dodać kilka nazw na raz, używamy pomiędzy nimi średnika.

4.4 Tworzymy użytkowników.

Na tym etapie, utworzymy pierwszego użytkownika oraz nadamy mu hasło. Warto nadmienić, że użytkownika tworzymy bezpośrednio w domenie, dopiero później dodajemy go do danej grupy.

Aby dodać użytkownika, klikamy prawym klawiszem myszki na "informatycy", następnie "New" i "User".

W tym oknie dodajemy użytkownika. Najważniejsze w tym oknie jest pole "User logon name", ponieważ tutaj ustalamy, jakim loginem dana osoba będzie się posługiwać. W zależności od polityki firmy i własnych preferencji, ustalamy własny system tworzenia nazw loginów dla użytkowników. Przy założeniu, że liczba użytkowników danej grupy jest spora, warto zastosować loginy w postaci nazwy grupy i numeru porządkowego. Jednak jak już wcześniej wspomniałem, to zależy od naszych własnych upodobań. Po uzupełnieniu danych klikamy "Next".

W kolejnym oknie, nadajemy hasło użytkownikowi. Tutaj mamy możliwość przypisać hasło na stałe, lub umożliwić (a właściwe wymusić) zmianę hasła przy pierwszym logowaniu (domyślnie zaznaczone). Możemy też zaznaczyć aby użytkownik nie mógł zmienić hasła (User cannot change password), jednak nie może być przy tym zaznaczona pierwsza opcja (User must change password at next logon), ponieważ jedno drugie wyklucza. Podobnie jest z niewygasaniem hasła (Password never expieres). Ostatnia możliwość to wyłączenie konta (Account is disabled).

Wpisujemy dowolne hasło, pamiętając o tym aby było odpowiednio "silne", w przeciwnym wypadku serwer odmówi nam utworzenia hasła. Klikamy "Next".

Otrzymamy podsumowanie. Klikamy "Finish".

Tym sposobem utworzyliśmy pierwszego użytkownika.

Teraz zajmiemy się dodaniem go do odpowiedniej grupy.

4.5 Przypisujemy użytkownika do grupy.

W tym przypadku wystarczy zaznaczyć użytkownika prawym klawiszem myszki i wybrać "Dodaj do grupy" (Add to a group).

Następnie wpisujemy nazwę grupy i zatwierdzamy "OK" lub wyszukujemy na liści (Advanced/Find Now), wybieramy grupę i zatwierdzamy. W tym przypadku dodamy użytkownika do grupy "etat".

Aby sprawdzić ustawienia, wystarczy wejść do właściwości danego użytkownika (Properties) i zakładki "Members of".

4.6 Łączenie grup i dziedziczenie uprawnień.

W pewnych sytuacjach, warto przypisać daną grupę do innej, aby przenosić swobodnie uprawnienia użytkowników w obrębie domeny. Jest to szczególnie wygodne przy większej ilości użytkowników. Wystarczy daną grupę np. "etat" przypisać do grupy "Domain Users". Dzięki temu zabiegowi użytkownicy grupy "etat" należą do innych grup w danej domenie. Dzięki temu tworzymy hierarchię uprawnień i dziedziczenia. Oczywiście te i inne sposoby, na dzielenie uprawnień pomiędzy użytkownikami, są zależne od naszych własnych ustaleń. Nie zawsze jest to dobre rozwiązanie. Jednak warto dobrze wcześniej to rozplanować. Na szczęście, wszystko co dokonaliśmy w kwestii uprawnień jest odwracalne. Jednak dość łatwo się w tym pogubić, jeżeli na samym początku, nie jest to dość dobrze rozplanowane.

4.7 Tworzymy konta komputerów.

Każda jednostka organizacyjna, w swoim zasobach, posiada określoną ilość komputerów. Oczywiście ilość użytkowników, nijak się ma do ilości komputerów. Gdyby było inaczej, tworzenie grupy komputerów z założenia nie miało by większego sensu. Tworzenie komputerów, jest równie ważne jak dodawanie użytkowników. Dzięki temu zarządzanie wszystkimi jednostkami i ich administracja jest bardzo wygodna.

A naszym przykładzie, jednostka organizacyjna o nazwie "informatycy", powinna posiadać grupę komputerów na których pracuję. Ponieważ posiadamy 3 grupy użytkowników, a każda z nich pracuję na jakimś sprzęcie komputerowym, to stworzymy nową jednostkę organizacyjną w jednostce nadrzędnej ("informatycy"). To pozwoli zachować należyty porządek w organizacji sprzętu w ramach danej jednostki.

Oczywiście można zastosować hierarchię podziału komputerów, dla każdej z 3 grup osobno. Ale w takim przypadku, świadczyło by to o tym, że każda z naszych grup ma własne komputery, które nigdy nie są i nie będą używane przez pozostałe grupy. Co w praktyce jest rzadko spotykaną sytuacja. Dlatego zakładam, że takie rozwiązanie jest optymalne.

Klikamy prawym klawiszem myszki na "informatycy" i wybieramy "New" i "Organizational Unit"

Następnie tworzymy jednostkę o nazwie "komputery" i klikamy "OK".

W następnej kolejności, tworzymy konkretny komputer. Klikamy prawym przyciskiem myszki na "komputery", następnie "New" a później "Computer".

Tworzymy nazwę komputera. Nazewnictwo również jest indywidualna sprawą. Można dla większego porządku, stosować w nazwie skróty do działów, do których przynależy dany komputer np: in_st_pc_01 (informatycy, staż, pc, numer porządkowy). W naszym przykładzie użyjemy wyłącznie nazwy porządkowej "pc_01".

W ten sposób stworzyliśmy pierwszy komputer w naszej sieci.

To na początek wystarczy. Więcej o możliwościach "Active Directory Users and Computers" i zawiłości grup i uprawnień, zamierzam opisać w jednym z kolejnych wpisów o Windows Serwer 2012.

Zapraszam do pozostałych wpisów.

Windows Server 2012 - Kompendium wiedzy
Część 1 - Wstęp, Wymagania sprzętowe, Instalacja
Część 2 - Nowy interfejs, Przegląd funkcji, Konfiguracja serwera
Część 3 - Active Directory Domain Services, Instalacja, Konfiguracja
Część 4 - Active Directory Users and Computers
Część 5 - Active Directory Administrative Center
Część 6 - Serwer DNS, Konsola DNS, Konfiguracja, Zarządzanie
Część 7 - Serwer DHCP, Instalacja, Konfiguracja
Część 8 - Zarządzanie serwerem DHCP, DHCP Policy
Część 9 - Zarządzanie serwerem DHCP, Konfiguracja klastra DHCP, Split-...
Część 10 - Internet Information Services, Instalacja IIS
Część 11 - Internet Information Services, Instalacja Active Directory ...