Serveristä ja ADUC rakenteista

Anonyymi

Jos rakennan ADUCiin vaikkapa Company X (OU) Organisaatio yksikön ja sen alle Hallinto ja markkinointi organisointi yksiköt ja lisäksi Ryhmät organisaatio yksikön.Hallinto (OU) sisälle luon mallikäyttäjän (users) _Hallinto Template ja sinne lisäksi käyttäjän Neiti Pihi joka on palkanlaskijana Hallinto puolella.Lisäksi Markkinointi (OU) sisälle mallikäyttäjän _Markkinointi Template ja käyttäjän
Matti Markkinoija.Ryhmä (OU) sisälle luon Palkat ryhmän global sekä Markkinoijat ryhmän global sekä Global-ryhmät Hallinto (Global-security) sekä Markkinointi (Global-security) sekä Local ryhmät ACL_Palkat_Mod (muokkaus) ja ACL_Markkinointi_Mod (muokkaus).Liitän Palkat ryhmän (Global) ACL_Palkat_Modiin (Local) ja Markkinoijat ryhmän (Global) ACL_Markkinointi_Modiin (Local)

Kysyn että kun olen liittänyt käyttäjän (User) Neiti Pihin Palkat ryhmään (Palkat ryhmä liitetty ACL_Palkat_Mod) niin pitääkö Neiti Pihi lisätä vielä johonkin ryhmään vaikkapa Hallinto Global ryhmään joka sijaitsee Ryhmät kansiossa

Mallikäyttäjä Hallinto Template:lle ja käyttäjän Neiti Pihille olen lisännyt kotikansiolle

10

<50

Vastaukset

  • Sulla on siis hierarkia näin:

    AD
    - Hallinto
    @ _Hallinto template
    @ Neiti Pihi
    - Markkinointi
    @ _Markkinointi template
    @ Matti Markkinoija
    - Ryhmät
    @ gPalkat
    @ local Access Control List - Palkat
    @ gMarkkinoijat
    @ local Access Control List - Markkinointi
    @ gMarkkinointi (miksi näitä on kaksi eri?)
    @ gHallinto

    Neiti Pihi kuuluu siis globaaliin ryhmään Palkat.

    Lopusta rustauksestasi ei saa selvää tai oikeastaan mitä haet takaa sillä kuuluuko hänen nyt kuulua muihin ryhmiin? Miten se Hallinto ryhmä tähän kuuluu? Mihin ne oikeudet määritetään?

    • Ps, älä käytä templateja. Käyttäjien luontiin tulisi aina olla pallo HR:llä ja AD:n tunkataan oikeudet sitten IAM:lla taikka vaikkapa skriptillä.


    • Olen kuukausia opetellut itsenäisesti opiskelemaan serverin käyttöä vrtuaalikoneena ja usko pois että opiskeltavaa on.Olen opetellut asentamaan serverin ja liittämään sen domainiin ja opiskelemaan NAT asetukset ja määrittelemään TCP/IPV4 osoitteet ja oletusyhdyskäytävät jne jne.Tuo Neiti Pihi user olen nyt ymmärtänyt että kun hänet on liitetty Palkat ryhmään Global ja tämä liitetty vielä ACL_Palkat_Mod niin nyt piti mennä Serveriin ja luoda kansio oikeuksilla johon tämä Neiti Pihi pääsee.Siinä olikin opeteltavaa koska kansion jonka loin Data nimellä niin siellä on näitä permission oikeuksia ja share asioita.Yksi kaveri joka vähän tuntee näitä juttuja on myös auttamiseltaan pihi ja sanoi mulle että pitää ymmärtää itsenäisesti nämä jutu ja todella oivaltaa mistä on kysymys.Hän antoi vinkin että share jakamisessa voin laittaa dollarin merkin Data perään että se pysyy näkymättömänä ja permission authenticated users kaikilla oikeuksilla.Apua mutta siellä on myös security puoli jossa periytymistä ja sen poistoa.
      Onneksi tämä on vrtuaali serveri koska muuten olisin tuhonnut koneen moneen kertaan.
      Ja olen huomannut kun asetan rooleja serveriin niin se on aina käynnistettävä uudestaan ja sielää on vaikka mitä Quota,scopea ym ym ja vielä jotain Group policya.
      Kyllä on hienoa opiskella ja käyn YouTubessa katsomassa opetus videoita.Google on hyvä kaveri.Kiitos sinulle neuvoista ja ei muuta kun opiskelen ja yritän ymmärtää mistä näistä on kyse.Nuo Power Shellin opiskelu on myös näköjään tärkeää mutta teen graafisella näytöllä juttuja ja kun katson että olen edistynyt niin siirryn pikku hiljaa core puolelle.Ikäiseni kaverit tuntevat näitä juttuja paremmin kuin minä mutta yritän itsenäisesti opiskella nämä jutut.
      Työaseman liittäminen toimialueelle onnistuu ja sitten on muistettava nämä 32 bittiset ja 64 bittiset koneet ja tulevaisuudessa minun kaverit sanoi että Hyper V opiskelu tulee olemaan myös tärkeää.Ilosta jatkoa Devnull


    • Anonyymi kirjoitti:

      Olen kuukausia opetellut itsenäisesti opiskelemaan serverin käyttöä vrtuaalikoneena ja usko pois että opiskeltavaa on.Olen opetellut asentamaan serverin ja liittämään sen domainiin ja opiskelemaan NAT asetukset ja määrittelemään TCP/IPV4 osoitteet ja oletusyhdyskäytävät jne jne.Tuo Neiti Pihi user olen nyt ymmärtänyt että kun hänet on liitetty Palkat ryhmään Global ja tämä liitetty vielä ACL_Palkat_Mod niin nyt piti mennä Serveriin ja luoda kansio oikeuksilla johon tämä Neiti Pihi pääsee.Siinä olikin opeteltavaa koska kansion jonka loin Data nimellä niin siellä on näitä permission oikeuksia ja share asioita.Yksi kaveri joka vähän tuntee näitä juttuja on myös auttamiseltaan pihi ja sanoi mulle että pitää ymmärtää itsenäisesti nämä jutu ja todella oivaltaa mistä on kysymys.Hän antoi vinkin että share jakamisessa voin laittaa dollarin merkin Data perään että se pysyy näkymättömänä ja permission authenticated users kaikilla oikeuksilla.Apua mutta siellä on myös security puoli jossa periytymistä ja sen poistoa.
      Onneksi tämä on vrtuaali serveri koska muuten olisin tuhonnut koneen moneen kertaan.
      Ja olen huomannut kun asetan rooleja serveriin niin se on aina käynnistettävä uudestaan ja sielää on vaikka mitä Quota,scopea ym ym ja vielä jotain Group policya.
      Kyllä on hienoa opiskella ja käyn YouTubessa katsomassa opetus videoita.Google on hyvä kaveri.Kiitos sinulle neuvoista ja ei muuta kun opiskelen ja yritän ymmärtää mistä näistä on kyse.Nuo Power Shellin opiskelu on myös näköjään tärkeää mutta teen graafisella näytöllä juttuja ja kun katson että olen edistynyt niin siirryn pikku hiljaa core puolelle.Ikäiseni kaverit tuntevat näitä juttuja paremmin kuin minä mutta yritän itsenäisesti opiskella nämä jutut.
      Työaseman liittäminen toimialueelle onnistuu ja sitten on muistettava nämä 32 bittiset ja 64 bittiset koneet ja tulevaisuudessa minun kaverit sanoi että Hyper V opiskelu tulee olemaan myös tärkeää.Ilosta jatkoa Devnull

      Mukava kuulla, että asia kiinnostaa sinua. Voin neuvoa jos sulle tulee tenkkapoo, Windows-serverit GPO määrittelyineen ja powershelleineen, virtuaalialustat ja muut mainitsemasi asiat ovat hyvinkin tuttuja, eli mikäli kysyttävää herää, neuvon mielelläni. Tosin nyt tien päällä kännykällä, niin ei viitsi rustata.


    • “Tuo Neiti Pihi user olen nyt ymmärtänyt että kun hänet on liitetty Palkat ryhmään Global ja tämä liitetty vielä ACL_Palkat_Mod niin nyt piti mennä Serveriin ja luoda kansio oikeuksilla johon tämä Neiti Pihi pääsee.Siinä olikin opeteltavaa koska kansion jonka loin Data nimellä niin siellä on näitä permission oikeuksia ja share asioita.”

      Käytännössähän kun Neiti Pihi on ryhmässä Palkat, niin ACL_Palkat_Mod ryhmälle annetut oikeudet eivät periydy hänelle, jossei kyseiseen jaettuun kansioon ole annettu oikeuksia joko suoraan Palkat-ryhmälle taikka kansioon täytyy asettaa oikeudet ACL_Palkat_Mod ryhmälle sekä Palkat ryhmälle.

      Järkevin logiikka näissä olisi se, että Palkat-ryhmää käytettäisiin esimerkiksi ihan HR :n työkaluna, jossa pääsyä eri järjestelmiin määritellään tämän ryhmän kautta. Kyseiset ohjelmistot voisivat olla esimerkiksi palkkahallinnon työkaluja, kuten Netvisor/Verismo yms.

      Tiedostojaoille kannattaa jaotella alusta asti omat käyttöoikeusryhmät päätasolta. Tässä tulisi ottaa yhteyttä HR :n ja saada selkeä kuva tämän hetken organisaatioyksiköistä ja sitten vasta muodostaa kansiorakenteet. Tällä ei ole harjoituksissasi väliä, mutta käytännön töissä näissä on aina todella paljon sekavuutta koska niitä pitää purkata ajan kanssa ristiin rastiin.

      Kansioiden oikeudet on myös hyvä määrittää esimerkiksi logiikalla Kansio → Kansion RW (ReadWrite) ja Kansion R oikeudet. Esimerkiksi Palkat-jaon kohdalla olisi seuraavat ryhmät. FS alku erottaa ryhmät fileshare-oikeuksiksi. Nimeämislogiikka kannattaa pitää AD :ssa mahdollisimman yksinkertaisena ja lyhyenä.

      fsPalkat_RW
      → Tähän ryhmään lisättäisiin esimerkiksi Palkat -ryhmä
      fsPalkat_R
      → Tähän ryhmään ne, joilla on oikeus vain lukea jakoa.

      “….laittaa dollarin merkin Data perään että se pysyy näkymättömänä...”

      Tämä on ihan totta, mutta parempi olisi vain estää security välilehdeltä directory listing kaikilta muilta paitsi ryhmään kuuluvilta. Tässä tosin täytyy ottaa huomioon se, että Windowsin tiedostojako-oikeuksissa rajatummat oikeudet astuvat aina voimaan viimeisenä, eli jos samalle käyttäjälle on deny ja read oikeudet, niin deny-oikeudet pätee. Tätä voi auditoida tuolta Security välilehdeltä 2008 ja uudemmissa Windows Servereissä.

      “...permission authenticated users kaikilla oikeuksilla...”

      Authenticated Users :a ei kannata koskaan käyttää missään tilanteessa. Esimerkiksi kaikki työasemat ovat myös Authenticated Usereita, koska niiden konetili omaa myös “käyttäjätunnukset”. Parempi tapa olisi aina käyttää joko Domain Users (ei suotavaa sekään) taikka pelkästään käsin tehtyjä fs-ryhmiä, kuten selitin yllä.

      “Onneksi tämä on vrtuaali serveri koska muuten olisin tuhonnut koneen moneen kertaan.”

      Tässä kohtaa snapshotit on käteviä. Ota aina snapshot koneesta ennen kuin alat tekemään isompia säätöjä. Periaatteessa toiminto on sama kuin “järjestelmän palautus” tavis Windowsissa.

      “ja vielä jotain Group policya.”

      Nämä ovat tärkeimmät opetella yritysympäristössä. Näillä voidaan määrittää mitä tahansa rajoituksia taikka jakoja koneille. Tärkeimmät varmaan aluksi opetella on modernit nk “Preference”-policyt, joilla voidaan ilman skriptejä lisätä esimerkiksi noita verkkolevyjä näkyville eri ryhmien jäsenille sekä myös printterit. Printterien suhteen paras tapa on myös tehdä printteripolicyyn point and print restrictions disabled (googleta tämä) tila päälle, jotta käyttäjien käyttämillä konetileillä on oikeus asentaa ajurit suoraan palvelimelta ilman turhia prompteja.

      Tärkeää GPO :ssa on myös hiffata se mitä mikäkin policy tekee käytännössä. Useimmat iskevät arvoja rekisteriin, mutta rekisterissä sijainti voi olla HKCU (HKEY_CURRENT_USER) taikka HKLM (HKEY_LOCAL_MACHINE) joista ensimmäinen vaatii maksimissaan käyttäjän uudelleenkirjautumisen koneelle, jotta muutos astuu voimaan kun taas jälkimmäinen vaatii koneen uudelleenkäynnistyksen. Hakemalla netistä yksittäisiä policyä selviää mihin haaraan rekisterissä muutokset menevät.

      “Power Shellin opiskelu on myös näköjään tärkeää”

      PowerShell on oikeastaan elinehto Windows serverien ylläpitoon tänä päivänä. Trendit kuten DSC Azuressa ovat tätä päivää. Kenenkään ei pitäisi enää muutaman vuoden päästä asentaa yhtäkään serveriä rooleineen käsin, vaan DSC määrittää miten kone asennetaan.

      Parhaat resurssit on oikeastaan vaan löytää joku pulma ja lähteä siitä selvittämään. Netistä löytyy myös käteviä PowerShell moduuleita sekä yhteisöjä, joiden hyödyntäminen nopeuttaa prosessia:

      PSKoans - https://github.com/vexx32/PSKoans
      /r/powershell – https://reddit.com/r/powershell

      “minun kaverit sanoi että Hyper V opiskelu tulee olemaan myös tärkeää.”

      Hyper-V on itseasiassa hyvin vähällä käytöllä. Kannattaa ennemmin virtuaalialustoista suosia opeteltavaksi VMWaren vCenter/ESX/ESXi alustaa taikka Citrix XenServeriä. Noita käyttää 90% yrityksistä.


  • Kiitos Devnull neuvoista

  • Aivan liian vanhanaikaisia jo nuo pitäisi jo nykypäivänä olla paljon tehokkaampia, kuin jotain kirjainyhdistelmiä jostain, IBM:ltä muutamia korttelin ja ison kerrostalon kokoisia supertietokoneita tilaat, varaudut maksamaan sitten käteisenä IBM:lle muutamia miljardeja ja rakennat itse tilat.

    Eikai kukaan noita noin paskoja enää rakenna, kun isot koneet ovat korttelien kokoisia, mitään tuollaisia... paskoja...

  • Pyydä vain tarjous IBM:ltä niin kysyvät että minkälaisen serverin tarjoat ja minkälaiseen kiinteistöön haluat asentaa meidän dataserverin, toimitamme, vähintään kai 100m x 100m olisi alustan taso, korkeuskin saisi olla jo yli 10m sitten jos asentavat sellaisen sitten, KUNNOLLISEN, ei mitään paskaa...

    voi katsoa tuolta sivustoltakin: ibm / supercomputers ...jos osaa nettiä käyttää.

    • Miten tämä liittyy aloittajan Active Directory kysymykseen?


  • Voit kysyä asiantuntijoilta IBM:ltä että minkälaista datacenteriä he suosittaisivat vaikka sanotaan nyt vaikka vaivaisella 5miljoonalla eurollakin, joo lotossa jos olet voittanut 100miljoonaakin on pikkurahoja näillä, mutta tekevät pieniäkiä alle miljoonankin suunniteltuja projekteja kyllä, "pieniä" projekteja huvikseen, suunnittelijat sitten huvikseen.

    Kotikäyttöön jos rakentaa, niin sitten joo netti on varmaan paras apu ja kirjat...

Ketjusta on poistettu 4 sääntöjenvastaista viestiä.