AD/Organizační jednotky pracovišť

Z HelpDesk

Použití vlastních organizačních jednotek v AD ZČU

Tento dokument se zabývá vytvářením, správou a použitím delegovaných organizačních jednotek (OU) v centrální doméně Active Directory (W3k).

Účel

Delegované organizační jednotky jsou určeny pro potřeby pracovišť, která mají zájem o provoz stanic s "operačním systémem" Windows 2000/XP Professional, chtějí, aby na nich uživatelé pracovali s identitou centrálně spravovanou v systému Orion, a při tom nechtějí, neumí nebo nemohou provozovat svou vlastní subdoménu Active Directory.

Úpravy na serveru

Veškeré související úpravy, které je třeba provést na serveru, provádí CIV na serverech domény W3k.

Vytvoření organizační jednotky

  • Organizační jednotka se pojmenovává zkratkou pracoviště, pro které je určena, tj. např. zkratkou katedry.
  • Organizační jednotky vytvořené pro potřebu pracovišť se umísťují do organizační jednotky/objektu w3k.zcu.cz/DepartmentalOUs.
  • Do téže organizační jednotky se umísťuje také účty pro správu těchto OU. Konvence pro jejich pojemování je <název_OU>Register, tedy např. KPVRegister pro organizační jednotku KPV apod.
  • Takto vytvořený účet se zařazuje do skupiny departmentalregistrators a vyřazuje se ze všech ostatních skupin.
  • Na tento účet se delguje správa příslušné organizační jednotky a přidělí se mu práva na vytváření a mazání podřízených objektů.
  • Heslo k tomuto účtu je třeba bezpečnou cestou sdělit místnímu správci, k jehož potřebě je doména určena.

Do vzniklé organizační jednotky lze pak zařazovat počítače těchto pracovišť a umožnit jim tak využívat data v AD – zejména centrální uživatelskou základnu.

Správci mají obvykle k dispozici pouze CMDLine nástroje – zejména netdom (použití viz níže). K dispozici je také adminpak od Microsoftu, ale ten si musí zkonfigurovat sami – CIV pro něj neposkytuje podporu.

Příklad obsahu organizační jednotky DepartmentalOUs

Úpravy na stanicích

Na pracovní stanici je třeba udělat několik úprav. Jedině s nimi budou uživatelé schopni přihlašovat se se svojí identitou zavedenou v prostředí Orion.

1. Zařazení stanice do domény

Jak jsme si již popsali v předchozím oddílu, v doméně W3k je k tomu účelu zřízen speciální uživatelský účet, který disponuje právy pro přidávání stanic.

K tomu, aby se stanice zařadila do správné organizační jednotky, se ovšem nedá použít běžné "klikací" rozhraní Windows. Zpravidla tedy používáme nástroj netdom. Správná syntaxe pro přidání stanice do organizační jednotky vyčleněné v doméně WšK některé z kateder vypadá např. takto:

netdom JOIN %COMPUTERNAME% /Domain:w3k /OU:"OU=<vyčleněná organizační jednotka>,OU=DEPARTMENTALOUS,DC=W3K,DC=ZCU,DC=CZ" /userD:<přidělený účet> /passwordD:*

Aby stanice neměla problémy s vyhledáním řadičů domény, je třeba upravit také soubor %SYSTEMROOT%\system32\drivers\etc\lmhosts. Ten by měl obsahovat alespoň následující dva řádky pro doménu W2K:

 147.228.52.178 pdc #DOM:W2K
 147.228.54.11 hermes #DOM:W2K

Pro doménu W3k:

147.228.244.10   adrasteia   #DOM:W3K
147.228.244.11   hermes      #DOM:W3K
10.254.254.253	 AFS	 #PRE 

Také je třeba mít na paměti, že změny v souboru lmhosts se neprojeví hned, ale až po načtení takto upravené tabulky do paměti. To se provádí při startu systému, anebo jej lze vynutit příkazem nbtstat -R.

Již není potřeba. Všechny SRV záznamy jsou přepsány v našem DNS.

2. Instalace balíčku Kerberos

Na stanici je třeba (resp. je velmi vhodné) nainstalovat balíček, který obsahuje základní příkazy pro práci s Kerberem. Použít lze libovolný aktuální balíček, nejlépe nějaký odzkoušený v prostředí Orionu. (Balíčky pro prostředí Orion jsou dostupné na stránkách projektu Open Orion.

3. Nastavení ověřování vůči autoritě MIT Kerberos

Nastavení se provádí příkazem ksetup. Příslušný program je součástí Support Toolspro Windows a lze jej zkopírovat z instalačního média MS Windows serveru, získat z webu Microsoftu, nebo o jeho poskytnutí požádat CIV.

V prostředí WebNetu jsou pro servery poskytující služby související s Kerberem zavedeny aliasy, takže nastavení by mělo být trvalé a případné změny ve využití serverů transparentní.

Na stanici se spouští tato posloupnost příkazů:

ksetup /AddKdc ZCU.CZ kerberos1.zcu.cz
ksetup /AddKdc ZCU.CZ kerberos2.zcu.cz
ksetup /AddKdc ZCU.CZ kerberos3.zcu.cz
ksetup /AddKpasswd ZCU.CZ kpasswd.zcu.cz

Po restartu se v přihlašovacím okně rozšíří nabídka domén, k nimž je možné se přihlašovat. Běžní uživatelé se budou vždy přihlašovat k doméně ZCU.CZ (Kerberos realm).

4. Další nastavení

Na stanici bude patrně třeba nastavit některé proměnné prostředí,protože pro každého uživatele bude v celé struktuře AD vytvořen právě jeden objekt. Některé atributy se ale budou lišit podle toho, na jakém pracovišti se uživatel přihlašuje.

Takové atributy se přesměrují na proměnné prostředí a jejich hodnoty se nastaví na každé stanici podle potřeby.

Důležitý je především atribut určující umístění cestovního uživatelského profilu. Na některých stanicích bude profil lokálně, jinde bude cestovní a bude se ukládat na místně příslušný server. Proměnná určující umístění odložených profilů se nazývá ROAMINGUSERPROFILE a může ukazovat na libovolný adresář (i síťový), do nějž má uživatel čtecí (již v době přihlášení) i zápisová (ještě v době odhlášení) práva. Běžně bude tedy proměnná ROAMINGUSERPROFILE nastavená např. takto:

set ROAMINGUSERPROFILE=\\<server>\profily

Profil každého uživatele zavedeného v doméně je nasměrován do cesty %ROAMINGUSERPROFILE%\%USERNAME%, takže v uvedeném adresáři se budou vytvářet podadresáře pojmenované podle uživatelů a do nich se budou ukládat cestovní profily.

Příklady

Uveďme si pregnantní ilustraci, nebo alespoň nějaký příklad. Představme si, že chceme vytvořit vlastní organizační jednotku např. pro KVD.

CIV nám zajistí

  • Vytvoření organizační jednotky KVD (w3k.zcu.cz/DepartmentalOUs/KVD).
  • Vytvoření správcovského účtu KVDRegister (Účet KVD. Registrační).
  • Sdělí nám heslo k tomuto účtu.
  • Odkáže nás na tento dokument.

My si zajistíme

  • Nainstalované počítače, které nejsou/nebyly zavirované ani jinak napadené a nejsou zařazené do žádé domény.
  • Přečteme si dokumentaci.
  • Nikomu neřekneme heslo k registračnímu účtu, ale zapamatujeme si ho.
  • Provedeme všechny kroky popsané v oddílu Úpravy na stanicích.
  • Případné problémy nahlásíme standardní cestou CIVu.

Přechod z W2k domény na W3k

V souvislosti s upgradem doménových serverů jsme ve snaze zajistit co nejsnazší přechod založili novou doménu nazvanou trošku nadčasově W3k.

Co vlastní přechod znamená
Podotýkám, že struktura nové domény je naprosto stejná a není se tedy čeho obávat. Nadále zůstane platit vše, nač jste byli zvyklí. Je zapotřebí provést pouze pár jednorázových úprav na stanicích.

  • Všechny stroje se musí vyřadit ze stávající domény W2k.
  • V adresáři %systemroot%\system32\drivers\etc je zapotřebí upravit soubor lmhosts tak aby obsahoval záznamy o nových serverech:
147.228.244.10   adrasteia   #DOM:W3K
147.228.244.11   hermes      #DOM:W3K
10.254.254.253   AFS	 #PRE 
  • Po znovunačtení NetBIOS názvů z lmhosts ( lze provést příkazem nbtstat -R ) již stačí počítač obvyklým způsobem zařadit do tentokráte již nové domény W3k.


Celou operaci si lze usnadnit skriptem

REM legenda	<X> = Vyčleněná organizační jednotka 
REM		<XRegister> = login registracniho uctu
REM		<XPass> = heslo k registracnimu uctu

REM Odpojeni od domeny w2k
netdom REMOVE %COMPUTERNAME% /Domain:w2k /userD:<XRegister> /passwordD:<XPass>

REM vytvoreni noveho lmhosts souboru
echo 147.228.244.10   adrasteia   #DOM:W3K > %systemroot%\system32\drivers\etc\lmhosts
echo 147.228.244.11   hermes      #DOM:W3K >> %systemroot%\system32\drivers\etc\lmhosts
echo 10.254.254.253   AFS    #PRE >> %systemroot%\system32\drivers\etc\lmhosts

REM nucene znovunacteni zaznamu z lmhosts
nbtstat -R

REM pripojeni do nove domeny w3k
netdom JOIN %COMPUTERNAME% /Domain:w3k /OU:"OU=<X>,OU=DEPARTMENTALOUS, DC=W3K,DC=ZCU,DC=CZ" /userD:<XRegister> /passwordD:<XPass>