- IGDLA
- Zmiana domyślnego katalogu
- EXTRAS
- Active Directory OPIS
- Elementy AD Data Store
- Narzędzia AD
- Operations Master Roles (FSMO)
- GPO zasady grup OPIS
- Rola GPO w Active Directory
- Struktura Okna Zarządzania GPO
- Obiekty Zasad Grupy (GPO)
- Funkcje Zasobów GPO
- Kolejność Przetwarzania Zasad
- Wdrażanie Zmian w Zasadach
- Zastosowanie uprawnień NTFS
- Zezwolenia uprawnień NTFS
- Disable inheritance
- Klonowanie kontrolerów domeny - Dobre zasady
- Zarządzanie dyskami
- Pula dysków
IGDLA
- Identity -USERS
- Global Group Zawiera: -Użytkownicy
- Domain Local Zawiera: -Grupy globalne -Prawa
- Access
Zmiana domyślnego katalogu
redircmp - dla PC
redirusr - dla USERów
EXTRAS
Delegowanie uprawnień dla konta ma być przypisywane do jednostki organizacyjnej (nie do grupy!)
klient musi mieć ustawiony DNS na ip kontrolera i być w tej samej adresacji aby mieć dostęp do domeny.
Serwer manager odpowiada za promocje i degradacje funkcji kontrolera domeny
SCONFIG - konfiguracja serwer core.
Recycle bin on -> AD Administrative Center
Wymuszenie updatu polices - GPOUPDATE /FORCE
FSRM- FILE SCREENING ustawia ograniczenie na folder w MB
QUOTA- na dysk
LOOPBACK PROCESSING MODE pytanie z salą szkoleniową podpięte do jednostki OU szkolenia
ENTERPRICE ADMIN > DOMAIN ADMIN
Włonczenie dziedziczenia na OU wymaga włączenia GPO ENFORCE
Blokada dziedziczenia jest włączana na jednostkach nie na polisie (zastosowanie przy pojedynczym GPO)
PARTY 3-way mirror dla 8 dysków NIE dla 5
MIRROR wolny ale możliwość dla 5 DYSKÓW
NTFS DENY zawsze blokuje i jest najważniejszy
FullControl + Modify = FullControll (Sumowanie uprawnień)
Aby usunąć OU trzeba wyłączyć DEL PROTECTION w widoku zaawansowanym.
Active Directory OPIS
Active directoryActive directory to implementacja protokołu sieciowego warstwy aplikacji LDAP - Lightweight Directory Access Protocol.
Usługa katalogowa to obszerna, hierarchiczna baza danych, zawierająca informacje o użytkownikach, grupach użytkowników, komputerach, a także zasobach sieciowych
Elementy AD Data Store
- FIZYCZNE:
- Data store
- Domain controllers
- Global catalog server
- RODCs
- LOGICZNE:
- Partitions
- Schema
- Domains
- Domain trees
- Forests
- Sites
- OUs - jednostki organizacyjne
- odzwierciedlenie struktury firmy
Narzędzia AD
- AD Users and Computers
- AD Sites and Services
- AD Domains and Trusts
- AD Schema ( regsvr32 schmmgmt.dll)
- AD Administrative Center (Recycle Bin, Fine-Granted Password Policy)
Operations Master Roles (FSMO)
Forest-wide Operations Master Roles:
- Domain Naming Master Role
- Schema Master Role
Domain-wide Operations Master Roles:
- RID MAster Role
- Infrastructure Master Role
- PDC Emulator Role
GPO zasady grup OPIS
Zasady grup (GPO) to zbiory ustawień kontrolujących zachowania stacji klienckich i serwerów w systemie Windows. Pozwalają na głęboką ingerencję w zachowanie systemów, obejmując ponad 2000 różnych ustawień dla użytkowników i komputerów. Przykładowe kontrolowane elementy to pulpit użytkownika, dostęp do panelu sterowania, menu start, ikona "Mój Komputer", czy blokowanie uruchamiania konkretnych programów.
GPO umożliwiają również kontrolę zachowania komputerów, takie jak konfiguracja IPSec, który służy do zabezpieczania komunikacji internetowej poprzez szyfrowanie i uwierzytelnianie. IPSec może działać w trybie transportowym (szyfrowanie tylko zawartości pakietów danych) lub tunelowym (szyfrowanie całych pakietów IP z nagłówkami).
Obiekty GPO składają się z dwóch części: ustawień użytkownika i ustawień komputera. Mogą być przypisywane na różnych poziomach w Active Directory, takich jak lokalnie, na poziomie lokacji, domeny lub jednostki organizacyjnej.
Lokalne GPO są przechowywane na każdym komputerze z osobna i dotyczą tylko tej maszyny. Są używane w środowisku bez Active Directory, ale wymagają ręcznej konfiguracji na każdym komputerze. Lokalny edytor zasad grupy jest dostępny poprzez wpisanie polecenia "gpedit.msc" w menu START.
Ustawienia w obiektach GPO są domyślnie dziedziczone, co oznacza, że konfiguracja na poziomie domeny wpływa na wszystkie jednostki organizacyjne, chyba że późniejsza polisa modyfikuje te ustawienia.
Rola GPO w Active Directory:
- Nieodłączny element usługi Active Directory, oferujący największe możliwości konfiguracyjne.
- Zasady Grupy są konfigurowane na serwerze i implementowane dla wybranych komputerów oraz użytkowników.
- Wszelkie ustawienia przechowywane są w Obiektach Zasad Grupy (GPO).
Struktura Okna Zarządzania GPO:
- Lewy obszar:Zawiera domeny i jednostki organizacyjne (OU) w obrębie domeny.
- Prawy obszar:Pozwala na modyfikację zasad oraz ich opcji.
Obiekty Zasad Grupy (GPO):
Zawarte są w zbiorczym kontenerze nazwanym Obiekty Zasad Grupy (Group Policy Objects).
Obejmują zasady przygotowane przez administratora oraz domyślne zasady systemowe:
- Domyślne Zasady Kontrolerów Domeny (Default Domain Controllers Policy)
- Domyślne Zasady Domeny (Default Domain Policy)
Funkcje Zasobów GPO
Zawartość GPO:
Wstępnie skonfigurowane zasady, np. zasady haseł dla kont użytkowników.
Możliwość modyfikacji istniejących zasad.
Linki do Zasobów:
Zasady oddziałujące na daną jednostkę organizacyjną lub domenę wymagają linków.
Zasada przechowywana jest w zbiorczym kontenerze, a w jednostce organizacyjnej lub domenie znajduje się jedynie link do
tej zasady.
Kolejność Przetwarzania Zasad:
Priorytet Jednostek Organizacyjnych:
- Zasady przypisane do jednostek organizacyjnych mają pierwszeństwo nad ustawieniami domeny.
- Nawet jeśli domena ma ograniczenie dostępu, a jednostka ma przeciwną politykę, ta ostatnia jest stosowana dla użytkowników w tej jednostce.
Wdrażanie Zmian w Zasadach:
- Aktualizacja Zasad:
- Po modyfikacjach zasad, zalecane jest ręczne wywołanie aktualizacji.
- Polecenie gpupdate /force wykonywane w konsoli systemowej gwarantuje natychmiastowe zastosowanie zmian.
- Dla klientów, aktualizacja zasad następuje automatycznie co pewien czas, podczas logowania lub co 90-120 minut.
- Edycja Zasad:
- Otwieranie Okna Edycji:Klikając prawym przyciskiem myszy na GPO lub link i wybierając "Edytuj", otwieramy okno edycji zasad.
- Konfiguracja Ustawień:
Okno edycji zawiera ustawienia dla użytkowników i komputerów w danej jednostce organizacyjnej.
^ Ustawienia komputerów dotyczą urządzeń niezależnie od użytkownika, a ustawienia użytkowników dotyczą użytkowników niezależnie od komputera.
- Specyficzne Ustawienia Zasad: DOMYŚLNIE:
- Domyślnie zasady działają dla wszystkich użytkowników lub komputerów w jednostce organizacyjnej.
- Można zmieniać zakres poprzez modyfikację listy Użytkowników Uwierzytelnionych, decydując, dla których użytkowników zasady będą obowiązywać.
Zastosowanie uprawnień NTFS
- Wielokrotne uprawnienia NTFS:
- Uprawnienia NTFS sumują się,
- Uprawnienia do pliku nadpisują uprawnienia do folderu,
- Uprawnienia Deny nadpisują pozostałe
- Dziedziczenie uprawnień NTFS:
- Przypisanie uprawnień do folderu nadrzędnego powoduje dziedziczenie uprawnień przez pliki i foldery w nim zawarte.
- Blokowanie dziedziczenia uprawnień; Folder, dla którego zablokowano dziedziczenie uprawnień stanie się tym samym nowym folderem nadrzędnym
- Kopiowanie i przenoszenie plików i folderów:
- Skopiowanie elementy dziedziczą uprawnienia,
- Tylko elementy przenoszone w obrębie tej samej partycji zachowują uprawnienia.
Zezwolenia uprawnień NTFS:
- Full control
- umożliwia użytkownikom odczytywanie, zapisywanie, zmienianie i usuwanie plików i podfolderów. Ponadto użytkownicy mogą zmieniać ustawienia uprawnień do wszystkich plików i podkatalogów oraz przejmować plik na własność. - Modify
- umożliwia użytkownikom odczytywanie i zapisywanie plików i podfolderów; umożliwia także usunięcie folderu. - Read & execute
- umożliwia użytkownikom przeglądanie i uruchamianie plików wykonywalnych, w tym skryptów. - List folder contents
- umożliwia przeglądanie i wyświetlanie listy plików i podfolderów, a także uruchamianie plików; dziedziczone tylko przez foldery. - Read
- umożliwia użytkownikom przeglądanie zawartości folderu i podfolderu. - Write
- Umożliwia użytkownikom dodawanie plików i podfolderów, umożliwia zapis do pliku.
EXTRA:
Change Permissions
Uprawnienie to daje możliwość użytkownikowi możliwość zmiany uprawnień dla pliku lub folderu.
Take Ownership
Uprawnienie to daje użytkownikowi możliwość stania się właścicielem pliku lub folderu.
Disable inheritance
Convert inherited permissions into explicit permissions on this object
Użytkownicy którzy mieli dostęp będą, mieli dalej dostęp. Najlepiej wybierać tą opcje już na działającym systemie na
produkcji.
Remove all inherited permission from this object
Usuwa wszystkie nadrzędne pozwolenia. Stosować na systemach testowych.
Klonowanie kontrolerów domeny - Dobre zasady
- Unikaj pojedynczego punktu awarii
- Synchronizacja czasu - Unikaj checkpoint - Uruchom maksymalnie 10 nowych klonów w tym samym czasie - Konwencja nazewnicza
Zarządzanie dyskami
Inicjalizacja dysku
MBR - nieobsługuje dysków większych niż 2 TB
right click windows -> Disk management -> right click disk -> online -> right click disk -> Initialize Disk -> MBR/GPT -> OK
Tworzenie partycji simple
ReFS - format obsługujący bardzo duże dyski, przechowujące iso i obrazy
right click windows -> Disk management -> right click disk -> New Simple Volume
Perform quick format!
Rodzaje partycji:
- Striped - Odpowiednik RAID 0 - sumuje pojemność dysków
- Mirrored - Odpowiednik RAID 1 - jednocześnie zapisuje na wielu dyskach
- RAID 5 - min.3 dyski - większa prędkość odczytu, gwarancja bezpieczeństwa danych w razie utraty jednego z dysków
Rozszerzanie partycji
right click windows -> Disk management -> right click disk -> Extend Volume
Tworzenie dysku wirtualnego
right click windows -> Disk management -> Action -> Create VHD
Montowanie dysku wirtualnego
Find place of file -> right click -> mount
Dyski wirtualne należy inicjalizować!
Pula dysków
Tworzenie puli dysków
Server manager -> File and Storage Services -> Voumes -> Storage Pools -> Tasks (right corner) -> new Storage Pool
Tworzenie wirtualnego dysku w puli
pula right click -> new virtual disk -> next -> name of disk -> simple (większa prędkość) / mirror(tworzy kopie) / parity - thin (dynamiczne przydzielanie) /fixed