Miesięcznik informatyków i menedżerów IT sektora publicznego

Artur Pęczak

Active Directory dla administratorów

Umiejętność dodawania kont użytkowników jeszcze nie czyni z nas administratorów Active Directory. Przedstawiamy cztery subiektywnie wybrane zagadnienia, które pomogą w lepszym zrozumieniu usług katalogowych Windows Server i ich integracji z chmurą Azure.

Narzędzie Account Lockout Status od Sysinternals ułatwia i przyspiesza diagnozowanie problemów z zablokowanymi kontami Active Directory.

Zaczynamy od prostej i zarazem oczywistej rzeczy, której zrozumienie sprawia wiele problemów początkującym administratorom. Mowa tutaj o Zasadach grupy (Group Policy) i ich wykorzystaniu w zarządzaniu konfiguracją komputerów i ustawień użytkowników w środowisku Active Directory. To dość obszerne zagadnienie, zatem w tym miejscu skupimy się na jednym praktycznym przykładzie: jak za pomocą Zasad grupy wymusić na grupie serwerów wdrażanie aktualizacji z lokalnego serwera WSUS.

Zasady grup

Zakładamy, że serwer aktualizacji WSUS działa i został poprawnie wdrożony w sieci lokalnej organizacji. Pierwszy krok to wydzielenie nowej jednostki organizacyjnej (OU), która pozwoli nam zgrupować urządzenia (serwery) objęte zasadami grupy. W tym celu otwieramy narzędzie Active Directory Users and Computers (Użytkownicy i komputery usługi Active Directory), gdzie prawym przyciskiem myszy klikamy nazwę domeny, a następnie z menu kontekstowego wybieramy kolejno New | Organizational Unit (Nowy | Jednostka organizacyjna). Wprowadzamy nazwę tworzonej jednostki, która jednoznacznie zidentyfikuje grupę obiektów w katalogu, np. Servers. Opcję Protect container from accidental deletion (Chroń kontener przed przypadkowym usunięciem) pozostawiamy włączoną. Parametr ten blokuje usunięcie kontenera (tutaj jednostki organizacyjnej) do momentu, aż ochrona ta zostanie jawnie zdjęta przez administratora. W kolejnym kroku przeciągamy obiekty Active Directory (tutaj: urządzenia serwerów) do danej jednostki organizacyjnej. Operacja ta jest bezpieczna, o ile pamiętamy, że przeniesienie obiektu między jednostkami organizacyjnymi może mieć wpływ na stosowanie zasad grupy dotychczas przypisanych do danej jednostki. W tym miejscu konieczna jest drobna uwaga: katalog Active Directory ma strukturę hierarchiczną, zatem jednostki organizacyjne mogą być tworzone w innych niż główna gałęziach katalogu. Ze względów praktycznych zaleca się staranne przemyślenie struktury jednostek organizacyjnych oraz przyporządkowania do nich obiektów usług katalogowych.

Na kontrolerze domeny otwieramy przystawkę Group Policy Management (Zarządzanie zasadami grupy), gdzie utworzymy nową polisę zasad grupy, po czym przypniemy ją do wcześniej utworzonej jednostki organizacyjnej. W drzewie domeny odszukujemy obiekt Group Policy Objects (Obiekty zasad grupy). Klikamy go prawym przyciskiem myszy, a następnie z menu kontekstowego wybieramy New (Nowe). W gałęzi pojawi się nowa polisa. Klikamy prawym przyciskiem myszy nazwę nowo utworzonej polisy, a następnie wybieramy Edit (Edytuj). Uruchomiony zostanie Group Policy Management Editor (Edytor zarządzania zasadami grupy), w którym definiujemy wymagane polityki zabezpieczeń dla danej polisy.

Polityki zabezpieczeń dla serwera WSUS znajdziemy w gałęzi Computer Configuration | Policies | Administrative Templates | Windows Components | Windows Update (Konfiguracja komputera | Zasady | Szablony administracyjne | Składniki systemu Windows | Usługa Windows Update). Przykładowo polityka Specify intranet Microsoft update service location (Określ lokalizację intranetowej usługi aktualizującej firmy Microsoft) pozwala wprowadzić dane serwera WSUS, natomiast polityka Configure Automatic Updates (Konfigurowanie aktualizacji automatycznych) zdefiniować sposób dostarczania aktualizacji. Wprowadzamy wymagane zmiany, po czym zamykamy edytor zasad grupy. Ostatni krok to powiązanie polisy z jednostką organizacyjną, dla której obiektów ma być stosowana. W tym celu przeciągamy nazwę polisy na obiekt jednostki organizacyjnej. Narzędzie Group Policy Management (Zarządzanie zasadami grupy) zapyta nas, czy chcemy powiązać wskazane GPO z wybraną jednostką organizacyjną (Do you want to link the GPOs that you have selected to this organizational unit?). Na to pytanie odpowiadamy twierdząco. Zmiany zostaną wdrożone na serwerach docelowych po odświeżeniu przez nie zasad grupy.

Problem z blokowaniem kont

Zablokowanie konta to jeden z najczęstszych problemów, z jakim spotykają się na co dzień administratorzy Active Directory. Reset hasła to rutynowa czynność, ale w wielu przypadkach warto sprawdzić, dlaczego konto zostało zablokowane. W tym celu można zajrzeć do dzienników zdarzeń kontrolera domeny albo użyć narzędzia Account Lockout Status, które zdecydowanie szybciej i wygodniej pozwala dotrzeć do tych odpowiedzi.

Account Lockout Status (LockoutStatus.exe) to graficzne narzędzie dostarczające informacji na temat zdarzeń związanych z zablokowanym kontem wskazanego użytkownika. Zaczynamy od określenia konta, którego historię logowań chcemy przeanalizować.

[...]

Autor zawodowo zajmuje się informatyką. Publikuje w magazynach komputerowych i serwisach internetowych.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej