Serveristä ja ADUC rakenteista

Ps, älä käytä templateja. Käyttäjien luontiin tulisi aina olla pallo HR:llä ja AD:n tunkataan oikeudet sitten IAM:lla taikka vaikkapa skriptillä.

Olen kuukausia opetellut itsenäisesti opiskelemaan serverin käyttöä vrtuaalikoneena ja usko pois että opiskeltavaa on.Olen opetellut asentamaan serverin ja liittämään sen domainiin ja opiskelemaan NAT asetukset ja määrittelemään TCP/IPV4 osoitteet ja oletusyhdyskäytävät jne jne.Tuo Neiti Pihi user olen nyt ymmärtänyt että kun hänet on liitetty Palkat ryhmään Global ja tämä liitetty vielä ACL_Palkat_Mod niin nyt piti mennä Serveriin ja luoda kansio oikeuksilla johon tämä Neiti Pihi pääsee.Siinä olikin opeteltavaa koska kansion jonka loin Data nimellä niin siellä on näitä permission oikeuksia ja share asioita.Yksi kaveri joka vähän tuntee näitä juttuja on myös auttamiseltaan pihi ja sanoi mulle että pitää ymmärtää itsenäisesti nämä jutu ja todella oivaltaa mistä on kysymys.Hän antoi vinkin että share jakamisessa voin laittaa dollarin merkin Data perään että se pysyy näkymättömänä ja permission authenticated users kaikilla oikeuksilla.Apua mutta siellä on myös security puoli jossa periytymistä ja sen poistoa.
Onneksi tämä on vrtuaali serveri koska muuten olisin tuhonnut koneen moneen kertaan.
Ja olen huomannut kun asetan rooleja serveriin niin se on aina käynnistettävä uudestaan ja sielää on vaikka mitä Quota,scopea ym ym ja vielä jotain Group policya.
Kyllä on hienoa opiskella ja käyn YouTubessa katsomassa opetus videoita.Google on hyvä kaveri.Kiitos sinulle neuvoista ja ei muuta kun opiskelen ja yritän ymmärtää mistä näistä on kyse.Nuo Power Shellin opiskelu on myös näköjään tärkeää mutta teen graafisella näytöllä juttuja ja kun katson että olen edistynyt niin siirryn pikku hiljaa core puolelle.Ikäiseni kaverit tuntevat näitä juttuja paremmin kuin minä mutta yritän itsenäisesti opiskella nämä jutut.
Työaseman liittäminen toimialueelle onnistuu ja sitten on muistettava nämä 32 bittiset ja 64 bittiset koneet ja tulevaisuudessa minun kaverit sanoi että Hyper V opiskelu tulee olemaan myös tärkeää.Ilosta jatkoa Devnull

Anonyymi kirjoitti:

Olen kuukausia opetellut itsenäisesti opiskelemaan serverin käyttöä vrtuaalikoneena ja usko pois että opiskeltavaa on.Olen opetellut asentamaan serverin ja liittämään sen domainiin ja opiskelemaan NAT asetukset ja määrittelemään TCP/IPV4 osoitteet ja oletusyhdyskäytävät jne jne.Tuo Neiti Pihi user olen nyt ymmärtänyt että kun hänet on liitetty Palkat ryhmään Global ja tämä liitetty vielä ACL_Palkat_Mod niin nyt piti mennä Serveriin ja luoda kansio oikeuksilla johon tämä Neiti Pihi pääsee.Siinä olikin opeteltavaa koska kansion jonka loin Data nimellä niin siellä on näitä permission oikeuksia ja share asioita.Yksi kaveri joka vähän tuntee näitä juttuja on myös auttamiseltaan pihi ja sanoi mulle että pitää ymmärtää itsenäisesti nämä jutu ja todella oivaltaa mistä on kysymys.Hän antoi vinkin että share jakamisessa voin laittaa dollarin merkin Data perään että se pysyy näkymättömänä ja permission authenticated users kaikilla oikeuksilla.Apua mutta siellä on myös security puoli jossa periytymistä ja sen poistoa.
Onneksi tämä on vrtuaali serveri koska muuten olisin tuhonnut koneen moneen kertaan.
Ja olen huomannut kun asetan rooleja serveriin niin se on aina käynnistettävä uudestaan ja sielää on vaikka mitä Quota,scopea ym ym ja vielä jotain Group policya.
Kyllä on hienoa opiskella ja käyn YouTubessa katsomassa opetus videoita.Google on hyvä kaveri.Kiitos sinulle neuvoista ja ei muuta kun opiskelen ja yritän ymmärtää mistä näistä on kyse.Nuo Power Shellin opiskelu on myös näköjään tärkeää mutta teen graafisella näytöllä juttuja ja kun katson että olen edistynyt niin siirryn pikku hiljaa core puolelle.Ikäiseni kaverit tuntevat näitä juttuja paremmin kuin minä mutta yritän itsenäisesti opiskella nämä jutut.
Työaseman liittäminen toimialueelle onnistuu ja sitten on muistettava nämä 32 bittiset ja 64 bittiset koneet ja tulevaisuudessa minun kaverit sanoi että Hyper V opiskelu tulee olemaan myös tärkeää.Ilosta jatkoa Devnull

Lue lisää

Mukava kuulla, että asia kiinnostaa sinua. Voin neuvoa jos sulle tulee tenkkapoo, Windows-serverit GPO määrittelyineen ja powershelleineen, virtuaalialustat ja muut mainitsemasi asiat ovat hyvinkin tuttuja, eli mikäli kysyttävää herää, neuvon mielelläni. Tosin nyt tien päällä kännykällä, niin ei viitsi rustata.

“Tuo Neiti Pihi user olen nyt ymmärtänyt että kun hänet on liitetty Palkat ryhmään Global ja tämä liitetty vielä ACL_Palkat_Mod niin nyt piti mennä Serveriin ja luoda kansio oikeuksilla johon tämä Neiti Pihi pääsee.Siinä olikin opeteltavaa koska kansion jonka loin Data nimellä niin siellä on näitä permission oikeuksia ja share asioita.”

Käytännössähän kun Neiti Pihi on ryhmässä Palkat, niin ACL_Palkat_Mod ryhmälle annetut oikeudet eivät periydy hänelle, jossei kyseiseen jaettuun kansioon ole annettu oikeuksia joko suoraan Palkat-ryhmälle taikka kansioon täytyy asettaa oikeudet ACL_Palkat_Mod ryhmälle sekä Palkat ryhmälle.

Järkevin logiikka näissä olisi se, että Palkat-ryhmää käytettäisiin esimerkiksi ihan HR :n työkaluna, jossa pääsyä eri järjestelmiin määritellään tämän ryhmän kautta. Kyseiset ohjelmistot voisivat olla esimerkiksi palkkahallinnon työkaluja, kuten Netvisor/Verismo yms.

Tiedostojaoille kannattaa jaotella alusta asti omat käyttöoikeusryhmät päätasolta. Tässä tulisi ottaa yhteyttä HR :n ja saada selkeä kuva tämän hetken organisaatioyksiköistä ja sitten vasta muodostaa kansiorakenteet. Tällä ei ole harjoituksissasi väliä, mutta käytännön töissä näissä on aina todella paljon sekavuutta koska niitä pitää purkata ajan kanssa ristiin rastiin.

Kansioiden oikeudet on myös hyvä määrittää esimerkiksi logiikalla Kansio → Kansion RW (ReadWrite) ja Kansion R oikeudet. Esimerkiksi Palkat-jaon kohdalla olisi seuraavat ryhmät. FS alku erottaa ryhmät fileshare-oikeuksiksi. Nimeämislogiikka kannattaa pitää AD :ssa mahdollisimman yksinkertaisena ja lyhyenä.

fsPalkat_RW
→ Tähän ryhmään lisättäisiin esimerkiksi Palkat -ryhmä
fsPalkat_R
→ Tähän ryhmään ne, joilla on oikeus vain lukea jakoa.

“….laittaa dollarin merkin Data perään että se pysyy näkymättömänä...”

Tämä on ihan totta, mutta parempi olisi vain estää security välilehdeltä directory listing kaikilta muilta paitsi ryhmään kuuluvilta. Tässä tosin täytyy ottaa huomioon se, että Windowsin tiedostojako-oikeuksissa rajatummat oikeudet astuvat aina voimaan viimeisenä, eli jos samalle käyttäjälle on deny ja read oikeudet, niin deny-oikeudet pätee. Tätä voi auditoida tuolta Security välilehdeltä 2008 ja uudemmissa Windows Servereissä.

“...permission authenticated users kaikilla oikeuksilla...”

Authenticated Users :a ei kannata koskaan käyttää missään tilanteessa. Esimerkiksi kaikki työasemat ovat myös Authenticated Usereita, koska niiden konetili omaa myös “käyttäjätunnukset”. Parempi tapa olisi aina käyttää joko Domain Users (ei suotavaa sekään) taikka pelkästään käsin tehtyjä fs-ryhmiä, kuten selitin yllä.

“Onneksi tämä on vrtuaali serveri koska muuten olisin tuhonnut koneen moneen kertaan.”

Tässä kohtaa snapshotit on käteviä. Ota aina snapshot koneesta ennen kuin alat tekemään isompia säätöjä. Periaatteessa toiminto on sama kuin “järjestelmän palautus” tavis Windowsissa.

“ja vielä jotain Group policya.”

Nämä ovat tärkeimmät opetella yritysympäristössä. Näillä voidaan määrittää mitä tahansa rajoituksia taikka jakoja koneille. Tärkeimmät varmaan aluksi opetella on modernit nk “Preference”-policyt, joilla voidaan ilman skriptejä lisätä esimerkiksi noita verkkolevyjä näkyville eri ryhmien jäsenille sekä myös printterit. Printterien suhteen paras tapa on myös tehdä printteripolicyyn point and print restrictions disabled (googleta tämä) tila päälle, jotta käyttäjien käyttämillä konetileillä on oikeus asentaa ajurit suoraan palvelimelta ilman turhia prompteja.

Tärkeää GPO :ssa on myös hiffata se mitä mikäkin policy tekee käytännössä. Useimmat iskevät arvoja rekisteriin, mutta rekisterissä sijainti voi olla HKCU (HKEY_CURRENT_USER) taikka HKLM (HKEY_LOCAL_MACHINE) joista ensimmäinen vaatii maksimissaan käyttäjän uudelleenkirjautumisen koneelle, jotta muutos astuu voimaan kun taas jälkimmäinen vaatii koneen uudelleenkäynnistyksen. Hakemalla netistä yksittäisiä policyä selviää mihin haaraan rekisterissä muutokset menevät.

“Power Shellin opiskelu on myös näköjään tärkeää”

PowerShell on oikeastaan elinehto Windows serverien ylläpitoon tänä päivänä. Trendit kuten DSC Azuressa ovat tätä päivää. Kenenkään ei pitäisi enää muutaman vuoden päästä asentaa yhtäkään serveriä rooleineen käsin, vaan DSC määrittää miten kone asennetaan.

Parhaat resurssit on oikeastaan vaan löytää joku pulma ja lähteä siitä selvittämään. Netistä löytyy myös käteviä PowerShell moduuleita sekä yhteisöjä, joiden hyödyntäminen nopeuttaa prosessia:

PSKoans - https://github.com/vexx32/PSKoans
/r/powershell – https://reddit.com/r/powershell

“minun kaverit sanoi että Hyper V opiskelu tulee olemaan myös tärkeää.”

Hyper-V on itseasiassa hyvin vähällä käytöllä. Kannattaa ennemmin virtuaalialustoista suosia opeteltavaksi VMWaren vCenter/ESX/ESXi alustaa taikka Citrix XenServeriä. Noita käyttää 90% yrityksistä.

Miten tämä liittyy aloittajan Active Directory kysymykseen?