PL EN

Active Directory – tworzenie struktury i u偶ytkownik贸w

by Emma

ad wpis

W poprzedniej cz臋艣ci om贸wi艂em temat instalacji Active Directory w Windows Server 2016 a dzi艣 zajmiemy si臋 tworzeniem nowych u偶ytkownik贸w, grup i przy okazji opracujemy wst臋pn膮 struktur臋, kt贸r膮 b臋dziemy si臋 pos艂ugiwa膰 w kolejnych cz臋艣ciach. Dla przypomnienia zamieszczam orientacyjn膮 mapk臋 sieci, z wcze艣niejszego wpisu oraz zak艂adam, 偶e masz ju偶 zainstalowan膮 i skonfigurowan膮 us艂ug臋 Active Directory w spos贸b podobny do tego z linku powy偶ej. To co, mo偶emy zaczyna膰?

mapa struktury domeny

U偶ytkownicy i grupy domeny

W naszym przyk艂adzie na chwil臋 obecn膮 mamy zaplanowanych 9 stanowisk komputerowych, z kt贸rych przyjmiemy za艂o偶enie 偶e tylko 6 b臋dzie zajmowane przez pracownik贸w. M贸wi膮c inaczej firma XYZ zatrudnia obecnie tylko sze艣膰 os贸b i potrzebuj膮 one swoich kont u偶ytkownik贸w.W oknie Server Manager z menu wybieramy Tools i z listy wybieramy pozycj臋 Active Directory Users and Computers

zarz膮dzanie serwerem - wyb贸r narzedzia u偶ytkownicy i komputery

Otworzy si臋 nowe okno w kt贸rym znajdziemy obiekty stworzone przez system operacyjny po instalacji us艂ugi Active Directory.

domy艣lna struktura Active Directory

Jak widzisz numer 1 wskazuje na nasz膮 domen臋, kt贸r膮 utworzyli艣my wcze艣niej, natomiast numerem 2 zaznaczone s膮 domy艣lne stworzone ju偶 jednostki organizacyjne (Organizational Unit).

Czym s膮 jednostki organizacyjne ?

Jednostka organizacyjna jest rodzajem kontenera, kt贸ry mo偶e przechowywa膰 inne obiekty takie jak konta u偶ytkownik贸w, komputery, kontrolery domen, grupy jak i oczywi艣cie inne jednostki organizacyjne. Mo偶esz sobie to wyobrazi膰 na przyk艂adzie folder贸w z kt贸rych zapewne korzystasz na co dzie艅. Do folder贸w mo偶esz dodawa膰, przeno艣i膰 r贸偶ne typy plik贸w, tworzy膰 podfoldery wykonywa膰 operacje usuwania, tworzenia itp. Dok艂adnie w identyczny spos贸b dzia艂aj膮 jednostki organizacyjne, tylko w nich zamiast plik贸w mamy obiekty. Prawda, 偶e proste? Jednak nie dajmy si臋 zwie艣膰 pozorom. Spos贸b w jaki rozplanujesz utworzenie jednostek organizacyjnych, w przysz艂o艣ci albo u艂atwi Ci prac臋 albo wr臋cz utrudni do takiego stopnia, 偶e zaczniesz si臋 zastanawia膰 co jest czym i po co wog贸le zosta艂o stworzone. Osobi艣cie mia艂em nieprzyjemno艣膰 poprawia膰 naprawd臋 ca艂kowicie nieprzemy艣lanie stworzone struktury i uwierz mi, nie jest to nic przyjemnego.

Domy艣lne jednostki organizacyjne: Builtin, Computers i Users

Om贸wmy sobie teraz w skr贸cie trzy domy艣lnie stworzone jednostki organizacyjne z kt贸rych najcz臋艣ciej b臋dziemy korzysta膰 w przysz艂o艣ci czyli: Builtin, Computers i Users (Domain Controllers, ForeignSecurityPrincipal, Managed Service Account om贸wimy sobie w przysz艂ych cz臋艣ciach, kiedy b臋dziemy z nich korzysta膰).

  • Builtin – Zawiera wbudowane grupy u偶ytkownik贸w pe艂ni膮ce okre艣lone funkcje w systemie
  • Computers – Zawiera komputery, kt贸re zosta艂y dodane do domeny (oczywi艣cie mo偶na je p贸藕niej przenie艣膰 do innej jednostki organizacyjnej)
  • Users – Zawiera pozosta艂膮 list臋 kont u偶ytkownik贸w i grup

Po szczeg贸艂owe informacje zach臋cam Ci臋 do skorzystania z oficjalnej dokumentacji.

Planowanie struktury jednostek organizacyjnych

Mog艂oby si臋 wydawa膰, 偶e nie ma prostszej rzeczy ni偶 zaplanowanie struktury firmy, bo przecie偶 struktura jednostek organizacyjnych powinien oddawa膰 rzeczywisty obraz danego przedsi臋biorstwa. W przypadku naszego przyk艂adu kt贸ry dotyczy firmy XYZ, nie b臋dziemy mie膰 wi臋kszych problem贸w (a mo偶e jednak b臋dziemy mie膰?). Przyjmijmy za艂o偶enie, 偶e:

  • Biuro 1 – jest przeznaczone na obs艂ug臋 klient贸w
  • Biuro 2 – odpowiedzialne jest za ksi臋gowo艣膰
  • Biuro 3 – support zwi膮zany ze sprzedawanymi produktami

Aby skomplikowa膰 ca艂膮 sytuacj臋 przyjmijmy, 偶e ka偶de z biur ma swojego kierownika, kt贸ry potrzebowa膰 b臋dzie wi臋kszych praw dost臋pu do np. udzia艂贸w sieciowych ni偶 zwyk艂y pracownik. Tak wiem, nasz firma XYZ jest troch臋 za ma艂a, aby bawi膰 si臋 w tworzenie kierownik贸w czy innych stanowisk funkcyjnych. Nie chc臋 jednak, aby艣 sko艅czy艂 po czwartej czy pi膮tej cz臋艣ci tych wpis贸w z dziesi膮tkami maszyn wirtualnych z zainstalowanym Windowsem. Zanim przyst膮pimy do dalszej pracy, musz臋 Ci wspomnie膰 偶e struktur臋, kt贸r膮 teraz utworzymy b臋dzie nam s艂u偶y膰 tak偶e w narz臋dziu Group Policy Management (zarz膮dzanie zasadami grup). Osobi艣cie preferuj臋 zaczyna膰 tworzenie struktury od okre艣lenia wsp贸lnych zasad grup dla wszystkich u偶ytkownik贸w/komputer贸w, nast臋pnie skupi膰 si臋 na tym jakie uprawnienia musz膮 by膰 nadane dla poszczeg贸lnych u偶ytkownik贸w / grup / jednostek organizacyjnych i dopiero zacz膮膰 tworzenie kont u偶ytkownik贸w i grup. Jednak w tym przyk艂adzie zrobimy to odwrotnie, a p贸藕niej b臋dziemy si臋 martwi膰 co dalej.
Tak czy inaczej nie zmienia to faktu, 偶e ca艂y szkic najlepiej jest sobie zrobi膰 na papierze lub w programie s艂u偶膮cym do tworzenia diagram贸w. Zanim zaczniesz czyta膰 dalej, spr贸buj sam przez chwil臋 pomy艣le膰 nad struktur膮 jak膮 by艣 stworzy艂. Poni偶ej znajdziesz schemat, jaki stworzy艂em na potrzeby tej cz臋艣ci i kt贸ry b臋dziemy zmienia膰 w przysz艂o艣ci w taki spos贸b aby struktura by艂a 艂atwa w zarz膮dzaniu.

struktura firmy XYZ

Tworzymy Struktur臋

W narz臋dziu Active Directory Users and Computers klikamy prawym przyciskiem myszy na nazw臋 naszej domeny, przechodzimy na New i z rozwijanej listy wybieramy Organizational Unit

Tworzenie jednostek organizacyjnych

W nowym oknie wpisujemy pierwsz膮 nazw臋 jednostki organizacyjnej czyli Obsluga klientow (proponuj臋 nie u偶ywa膰 polskich znak贸w, a najlepiej u偶ywa膰 j臋zyka angielskiego, ale to te偶 p贸藕niej poprawimy).

nadawanie nazwy jednostce organizacyjnej

Powt贸rz teraz te same kroki aby utworzy膰 jednostk臋 organizacyjn膮 dla Ksi臋gowo艣ci i dla Supportu. 

Tworzymy podrz臋dne jednostki organizacyjne

Uda艂o si臋 ju偶 nam stworzy膰 nadrz臋dne jednostki organizacyjne, wi臋c teraz zajmijmy si臋 tymi podrz臋dnymi czyli Kierownik, Uzytkownicy i pc. Tworzy si臋 je w taki sam spos贸b jaki wykorzystywali艣my przed chwil膮, tylko tym razem prawym przyciskiem myszy klikamy na jednostk臋 nadrz臋dn膮 czyli np: Obsluga klientow, Ksiegowsc, Support

tworzenie podrz臋dnych jednostek organizacyjnych

Stw贸rz teraz sobie ca艂膮 pozosta艂膮 struktur臋 wzoruj膮c si臋 na schemacie, kt贸ry stworzy艂em wcze艣niej i por贸wnaj czy uzyska艂e艣 taki sam efekt jak na poni偶szym obrazku.

Uko艅czona struktura active directory

Tworzymy konta u偶ytkownik贸w i grupy

W tym wpisie stworzymy sobie tylko paru u偶ytkownik贸w i grupy do kt贸rych ich przypiszemy. Na szczeg贸艂owe om贸wienie tematu u偶ytkownik贸w i grup stworz臋 osobny wpis, kt贸ry pojawi si臋 zaraz po om贸wieniu Zarz膮dzania polityk膮 grupy (Group Policy Management), poniewa偶 jest do艣膰 sporo wa偶nych informacji do przekazania. Wr贸膰my jednak do tematu. Nasza firmy XYZ zatrudnia jak ju偶 wcze艣niej ustalili艣my sze艣ciu pracownik贸w:

Obs艂uga klient贸w:

  • user1 abc – login: user1
  • user2 cde – login: user2

Ksi臋gowo艣膰

  • user3 def – login: user3
  • user4 ghi – login: user4

Support

  • user5 jkl – login: user5
  • user6 mno – login: user6

W trybie graficznym mamy przynajmniej dwa sposoby na stworzenie u偶ytkownika lub grupy.

Spos贸b 1

Klikamy prawym przyciskiem myszy na jednostk臋 organizacyjna, w kt贸rej chcemy umie艣ci膰 nowego usera (zaczniemy od Obslugi klientow) i wybieramy New, nast臋pnie z listy klikamy User

Nowy u偶ytkownik tworzenie

W nowym oknie podajemy dane naszego nowego u偶ytkownika, takie jak imi臋 (1), nazwisko (2), login (3).

podajemy dane u偶ytkownika

Klikamy na Next i przechodzimy do ustawienia has艂a.

Ustawienie has艂a dla nowego u偶ytkownika
  1. Podajemy has艂o dla nowego u偶ytkownika i potwierdzamy je
  2. Je艣li zaznaczone: U偶ytkownik przy pierwszym logowaniu b臋dzie musia艂 zmieni膰  has艂o na wymy艣lone przez siebie, spe艂niaj膮ce warunki co do d艂ugo艣ci i z艂o偶ono艣ci okre艣lone w zasadach grup (domy艣lnie zaznaczona opcja)
  3. Je艣li zaznaczone: U偶ytkownik nie b臋dzie m贸g艂 zmienia膰 swojego has艂a. Uwaga! Aby mo偶na by艂o zaznaczy膰 t膮 opcj臋 pole przy User must change password at next logon musi by膰 odznaczone
  4. Je艣li zaznaczone: U偶ytkownik nie b臋dzie musia艂 zmienia膰 has艂a po czasie okre艣lonym w zasadach grup. M贸wi膮c inaczej ustanowione has艂o nigdy nie wyga艣nie
  5. Je艣li zaznaczone: Konto zostanie wy艂膮czone.

Klikamy na Next i ujrzymy podsumowanie. Je艣li wszystko si臋 zgadza i nie ma b艂臋d贸w klikamy na Finish.

Podsumowanie tworzenia u偶ytkownika

Tym sposobem stworzyli艣my nowego u偶ytkownika u偶ytkownika

Pomy艣lnie stworzony u偶ytkownik

Spos贸b 2

Drugi spos贸b r贸偶ni si臋 od pierwszego praktycznie tylko tym, 偶e zamiast klika膰 prawym przyciskiem myszy na jednostk臋 organizacyjn膮, w kt贸rej chcemy umie艣ci膰 u偶ytkownika, po prostu klikamy na ni膮 myszk膮 i z g贸rnego paska ikonk臋 zaznaczon膮 na zrzucie poni偶ej.

Drugi spos贸b na tworzenie u偶ytkownika

Ca艂a reszta wygl膮da p贸藕niej dok艂adnie tak samo jak w sposobie nr 1.

Tworzymy grupy u偶ytkownik贸w

Jak wspomina艂em wcze艣niej, szerzej temat grup i u偶ytkownik贸w om贸wi臋 w p贸藕niejszym wpisie, a teraz tylko stworzymy sobie grup臋 dla u偶ytkownik贸w w jednostce organizacyjnej Obsluga klienta.Grupy Tworzy si臋 praktycznie tak samo jak u偶ytkownik贸w. Mo偶emy klikn膮膰 prawym przyciskiem myszy na jednostce organizacyjnej w kt贸rej znajduj膮 si臋 u偶ytkownicy, wybieramy New i nast臋pnie wybieramy Group.

Tworzenie grup u偶ytkownika

lub po wybraniu jednostki organizacyjnej klikamy na ikon臋 w g贸rnym pasku.

Drugi spos贸b tworzenia grup

W nowym oknie wpisujemy nazw臋 nowej grupy w moim przypadku jest to obs_kli_users. Group scope zostawiamy na Global, a Group type na Security.

dane grupy u偶ytkownik贸w

Klikamy na  OK i nasza nowa grupa zosta艂a w艂a艣nie utworzona.

Pomy艣lnie stworzona grupa

Reszt臋 grup b臋dziemy tworzy膰 w miedzy czasie w kolejnej cz臋艣ci.

Podsumowanie

To by by艂o na tyle w tym wpisie. W nast臋pnej, kt贸r膮 planuj臋 opublikowa膰 za dwa tygodnie zajmiemy si臋 temat Zasad grup i poma艂u ca艂o艣膰 zacznie by膰 w pewien spos贸b funkcjonalna.

3 comments

  1. Tadeusz Kulwas

    艢wietnie i przyst臋pnie opisane. Kiedy kolejne cz臋艣ci?
    Czy dla szefostwa kt贸re powinno mie膰 dost臋p do „wszystkiego” konta lepiej tworzy膰 w Users czy mo偶e warto pomy艣le膰 o jakim艣 innym rozwi膮zaniu?
    I drugie pytanko – czy lepiej u偶ywa膰 profili mobilnych czy mo偶e jednak przekierowywa膰 foldery u偶ytkownik贸w?

    Reply
    1. Hubert Kawalec

      Ciesz臋 si臋, 偶e wpis si臋 Tobie spodoba艂. Kolejne cz臋艣ci pojawi膮 si臋 tu偶 po przebudowie ca艂ej strony ;). Co do dalszej cz臋艣ci pytania to decydowanie warto, przynajmniej moim zdaniem stworzy膰聽sobie now膮 jednostk臋 organizacyjn膮 dla szefostwa czy to jako pod jednostk臋(W Twoim przypadku Users) lub jako ca艂kiem osobn膮 struktur臋 – wszystko zale偶y jak obecnie masz wszystko rozplanowane. To samo z profilami mobilnymi. S膮 przypadki kiedy si臋 ich u偶ywa, a znowu innym razem mo偶na si臋 ca艂kowicie bez nich obej艣膰(bez przekierowa艅 r贸wnie偶). Sam profili mobilnych nie u偶ywa艂em ju偶 od d艂ugiego czasu, zawsze udaje mi si臋 znale藕膰 jaki艣聽lepszy spos贸b 馃槈

      Reply
  2. Krzysztof Ga艂at

    Takie pytanie, czy da si臋 w 艂atwy spos贸b przedyktowa膰 ca艂膮 domen臋 (zmieni膰 z X na Y), tak by nie trzeba by艂o tworzy膰 jej od nowa?

    Chodzi mi o sytuacj臋, gdzie zamiast domena.local, kto艣 stworzy艂 domena.pl i wtedy nie dzia艂a z wewn膮trz sieci strona internetowa.

    Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.