Active Directory – tworzenie struktury i użytkowników
W poprzedniej części omówiłem temat instalacji Active Directory w Windows Server 2016 a dziś zajmiemy się tworzeniem nowych użytkowników, grup i przy okazji opracujemy wstępną strukturę, którą będziemy się posługiwać w kolejnych częściach. Dla przypomnienia zamieszczam orientacyjną mapkę sieci, z wcześniejszego wpisu oraz zakładam, że masz już zainstalowaną i skonfigurowaną usługę Active Directory w sposób podobny do tego z linku powyżej. To co, możemy zaczynać?
Użytkownicy i grupy domeny
W naszym przykładzie na chwilę obecną mamy zaplanowanych 9 stanowisk komputerowych, z których przyjmiemy założenie że tylko 6 będzie zajmowane przez pracowników. Mówiąc inaczej firma XYZ zatrudnia obecnie tylko sześć osób i potrzebują one swoich kont użytkowników.W oknie Server Manager z menu wybieramy Tools i z listy wybieramy pozycję Active Directory Users and Computers
Otworzy się nowe okno w którym znajdziemy obiekty stworzone przez system operacyjny po instalacji usługi Active Directory.
Jak widzisz numer 1 wskazuje na naszą domenę, którą utworzyliśmy wcześniej, natomiast numerem 2 zaznaczone są domyślne stworzone już jednostki organizacyjne (Organizational Unit).
Czym są jednostki organizacyjne ?
Jednostka organizacyjna jest rodzajem kontenera, który może przechowywać inne obiekty takie jak konta użytkowników, komputery, kontrolery domen, grupy jak i oczywiście inne jednostki organizacyjne. Możesz sobie to wyobrazić na przykładzie folderów z których zapewne korzystasz na co dzień. Do folderów możesz dodawać, przenośić różne typy plików, tworzyć podfoldery wykonywać operacje usuwania, tworzenia itp. Dokładnie w identyczny sposób działają jednostki organizacyjne, tylko w nich zamiast plików mamy obiekty. Prawda, że proste? Jednak nie dajmy się zwieść pozorom. Sposób w jaki rozplanujesz utworzenie jednostek organizacyjnych, w przyszłości albo ułatwi Ci pracę albo wręcz utrudni do takiego stopnia, że zaczniesz się zastanawiać co jest czym i po co wogóle zostało stworzone. Osobiście miałem nieprzyjemność poprawiać naprawdę całkowicie nieprzemyślanie stworzone struktury i uwierz mi, nie jest to nic przyjemnego.
Domyślne jednostki organizacyjne: Builtin, Computers i Users
Omówmy sobie teraz w skrócie trzy domyślnie stworzone jednostki organizacyjne z których najczęściej będziemy korzystać w przyszłości czyli: Builtin, Computers i Users (Domain Controllers, ForeignSecurityPrincipal, Managed Service Account omówimy sobie w przyszłych częściach, kiedy będziemy z nich korzystać).
- Builtin – Zawiera wbudowane grupy użytkowników pełniące określone funkcje w systemie
- Computers – Zawiera komputery, które zostały dodane do domeny (oczywiście można je później przenieść do innej jednostki organizacyjnej)
- Users – Zawiera pozostałą listę kont użytkowników i grup
Po szczegółowe informacje zachęcam Cię do skorzystania z oficjalnej dokumentacji.
Planowanie struktury jednostek organizacyjnych
Mogłoby się wydawać, że nie ma prostszej rzeczy niż zaplanowanie struktury firmy, bo przecież struktura jednostek organizacyjnych powinien oddawać rzeczywisty obraz danego przedsiębiorstwa. W przypadku naszego przykładu który dotyczy firmy XYZ, nie będziemy mieć większych problemów (a może jednak będziemy mieć?). Przyjmijmy założenie, że:
- Biuro 1 – jest przeznaczone na obsługę klientów
- Biuro 2 – odpowiedzialne jest za księgowość
- Biuro 3 – support związany ze sprzedawanymi produktami
Aby skomplikować całą sytuację przyjmijmy, że każde z biur ma swojego kierownika, który potrzebować będzie większych praw dostępu do np. udziałów sieciowych niż zwykły pracownik. Tak wiem, nasz firma XYZ jest trochę za mała, aby bawić się w tworzenie kierowników czy innych stanowisk funkcyjnych. Nie chcę jednak, abyś skończył po czwartej czy piątej części tych wpisów z dziesiątkami maszyn wirtualnych z zainstalowanym Windowsem. Zanim przystąpimy do dalszej pracy, muszę Ci wspomnieć że strukturę, którą teraz utworzymy będzie nam służyć także w narzędziu Group Policy Management (zarządzanie zasadami grup). Osobiście preferuję zaczynać tworzenie struktury od określenia wspólnych zasad grup dla wszystkich użytkowników/komputerów, następnie skupić się na tym jakie uprawnienia muszą być nadane dla poszczególnych użytkowników / grup / jednostek organizacyjnych i dopiero zacząć tworzenie kont użytkowników i grup. Jednak w tym przykładzie zrobimy to odwrotnie, a później będziemy się martwić co dalej.
Tak czy inaczej nie zmienia to faktu, że cały szkic najlepiej jest sobie zrobić na papierze lub w programie służącym do tworzenia diagramów. Zanim zaczniesz czytać dalej, spróbuj sam przez chwilę pomyśleć nad strukturą jaką byś stworzył. Poniżej znajdziesz schemat, jaki stworzyłem na potrzeby tej części i który będziemy zmieniać w przyszłości w taki sposób aby struktura była łatwa w zarządzaniu.
Tworzymy Strukturę
W narzędziu Active Directory Users and Computers klikamy prawym przyciskiem myszy na nazwę naszej domeny, przechodzimy na New i z rozwijanej listy wybieramy Organizational Unit
W nowym oknie wpisujemy pierwszą nazwę jednostki organizacyjnej czyli Obsluga klientow (proponuję nie używać polskich znaków, a najlepiej używać języka angielskiego, ale to też później poprawimy).
Powtórz teraz te same kroki aby utworzyć jednostkę organizacyjną dla Księgowości i dla Supportu.
Tworzymy podrzędne jednostki organizacyjne
Udało się już nam stworzyć nadrzędne jednostki organizacyjne, więc teraz zajmijmy się tymi podrzędnymi czyli Kierownik, Uzytkownicy i pc. Tworzy się je w taki sam sposób jaki wykorzystywaliśmy przed chwilą, tylko tym razem prawym przyciskiem myszy klikamy na jednostkę nadrzędną czyli np: Obsluga klientow, Ksiegowsc, Support
Stwórz teraz sobie całą pozostałą strukturę wzorując się na schemacie, który stworzyłem wcześniej i porównaj czy uzyskałeś taki sam efekt jak na poniższym obrazku.
Tworzymy konta użytkowników i grupy
W tym wpisie stworzymy sobie tylko paru użytkowników i grupy do których ich przypiszemy. Na szczegółowe omówienie tematu użytkowników i grup stworzę osobny wpis, który pojawi się zaraz po omówieniu Zarządzania polityką grupy (Group Policy Management), ponieważ jest dość sporo ważnych informacji do przekazania. Wróćmy jednak do tematu. Nasza firmy XYZ zatrudnia jak już wcześniej ustaliliśmy sześciu pracowników:
Obsługa klientów:
- user1 abc – login: user1
- user2 cde – login: user2
Księgowość
- user3 def – login: user3
- user4 ghi – login: user4
Support
- user5 jkl – login: user5
- user6 mno – login: user6
W trybie graficznym mamy przynajmniej dwa sposoby na stworzenie użytkownika lub grupy.
Sposób 1
Klikamy prawym przyciskiem myszy na jednostkę organizacyjna, w której chcemy umieścić nowego usera (zaczniemy od Obslugi klientow) i wybieramy New, następnie z listy klikamy User
W nowym oknie podajemy dane naszego nowego użytkownika, takie jak imię (1), nazwisko (2), login (3).
Klikamy na Next i przechodzimy do ustawienia hasła.
- Podajemy hasło dla nowego użytkownika i potwierdzamy je
- Jeśli zaznaczone: Użytkownik przy pierwszym logowaniu będzie musiał zmienić hasło na wymyślone przez siebie, spełniające warunki co do długości i złożoności określone w zasadach grup (domyślnie zaznaczona opcja)
- Jeśli zaznaczone: Użytkownik nie będzie mógł zmieniać swojego hasła. Uwaga! Aby można było zaznaczyć tą opcję pole przy User must change password at next logon musi być odznaczone
- Jeśli zaznaczone: Użytkownik nie będzie musiał zmieniać hasła po czasie określonym w zasadach grup. Mówiąc inaczej ustanowione hasło nigdy nie wygaśnie
- Jeśli zaznaczone: Konto zostanie wyłączone.
Klikamy na Next i ujrzymy podsumowanie. Jeśli wszystko się zgadza i nie ma błędów klikamy na Finish.
Tym sposobem stworzyliśmy nowego użytkownika użytkownika
Sposób 2
Drugi sposób różni się od pierwszego praktycznie tylko tym, że zamiast klikać prawym przyciskiem myszy na jednostkę organizacyjną, w której chcemy umieścić użytkownika, po prostu klikamy na nią myszką i z górnego paska ikonkę zaznaczoną na zrzucie poniżej.
Cała reszta wygląda później dokładnie tak samo jak w sposobie nr 1.
Tworzymy grupy użytkowników
Jak wspominałem wcześniej, szerzej temat grup i użytkowników omówię w późniejszym wpisie, a teraz tylko stworzymy sobie grupę dla użytkowników w jednostce organizacyjnej Obsluga klienta.Grupy Tworzy się praktycznie tak samo jak użytkowników. Możemy kliknąć prawym przyciskiem myszy na jednostce organizacyjnej w której znajdują się użytkownicy, wybieramy New i następnie wybieramy Group.
lub po wybraniu jednostki organizacyjnej klikamy na ikonę w górnym pasku.
W nowym oknie wpisujemy nazwę nowej grupy w moim przypadku jest to obs_kli_users. Group scope zostawiamy na Global, a Group type na Security.
Klikamy na OK i nasza nowa grupa została właśnie utworzona.
Resztę grup będziemy tworzyć w miedzy czasie w kolejnej części.
Podsumowanie
To by było na tyle w tym wpisie. W następnej, którą planuję opublikować za dwa tygodnie zajmiemy się temat Zasad grup i pomału całość zacznie być w pewien sposób funkcjonalna.
3 Comments
Świetnie i przystępnie opisane. Kiedy kolejne części?
Czy dla szefostwa które powinno mieć dostęp do „wszystkiego” konta lepiej tworzyć w Users czy może warto pomyśleć o jakimś innym rozwiązaniu?
I drugie pytanko – czy lepiej używać profili mobilnych czy może jednak przekierowywać foldery użytkowników?
Cieszę się, że wpis się Tobie spodobał. Kolejne części pojawią się tuż po przebudowie całej strony ;). Co do dalszej części pytania to decydowanie warto, przynajmniej moim zdaniem stworzyć sobie nową jednostkę organizacyjną dla szefostwa czy to jako pod jednostkę(W Twoim przypadku Users) lub jako całkiem osobną strukturę – wszystko zależy jak obecnie masz wszystko rozplanowane. To samo z profilami mobilnymi. Są przypadki kiedy się ich używa, a znowu innym razem można się całkowicie bez nich obejść(bez przekierowań również). Sam profili mobilnych nie używałem już od długiego czasu, zawsze udaje mi się znaleźć jakiś lepszy sposób 😉
Takie pytanie, czy da się w łatwy sposób przedyktować całą domenę (zmienić z X na Y), tak by nie trzeba było tworzyć jej od nowa?
Chodzi mi o sytuację, gdzie zamiast domena.local, ktoś stworzył domena.pl i wtedy nie działa z wewnątrz sieci strona internetowa.