LPS:OrionXP/Lokální administrátorské účty v OrionXP

Z Support
(Rozdíly mezi verzemi)
Přejít na: navigace, hledání
(Vytvoření dokumentu)
 
 
(Nejsou zobrazeny 4 mezilehlé verze od 2 uživatelů.)
Řádka 1: Řádka 1:
= Technologie lokální administrátorských účtů v OrionXP =
+
= <span style="color:#FF0000">Podpora systému OrionXP byla ukončena</span> =
 +
 
 +
Systém Windows XP není a nadále nebude podporován.
 +
Používání Windows XP představuje velké bezpečnostní riziko,
 +
aktualizace operačního systému je silně doporučena.
 +
 
 +
'''Následující obsah již není aktuální, ani udržován. '''
 +
 
 +
----
 +
 
 +
 
 +
= Technologie lokálních administrátorských účtů v OrionXP =
  
 
== Úvod do problematiky ==
 
== Úvod do problematiky ==
Řádka 9: Řádka 20:
 
== Účty lokálních administrátorů v Active Directory ==
 
== Účty lokálních administrátorů v Active Directory ==
  
Takových pracovišť, kde se jeden lokální správce stará o větší počet počítačů, postupně přibývá a navíc se stále častěji vyskytují v centru, takže je třeba nasadit metodu distribuce lokálních adminástrátorských účtů, která je bezpečná a bezkontaktní.
+
Takových pracovišť, kde se jeden lokální správce stará o větší počet počítačů, postupně přibývá a navíc se stále častěji vyskytují mimo campus na Borech, takže je třeba nasadit metodu distribuce lokálních adminástrátorských účtů, která je bezpečná a bezkontaktní.
  
 
V současnosti jde o hromadné nastavení lokálních administrátorských účtů na těchto pracovištích:
 
V současnosti jde o hromadné nastavení lokálních administrátorských účtů na těchto pracovištích:
Řádka 30: Řádka 41:
  
 
Zařazení provádí modul ''localadmin'', a to na základě nejrůznějších kritérií -- hostname, příslušnosti ke skupině, apod.
 
Zařazení provádí modul ''localadmin'', a to na základě nejrůznějších kritérií -- hostname, příslušnosti ke skupině, apod.
 +
 +
UPDATE: Pro každý K3Admin účet byl zaveden vlastni modul ''FPRK3Admin, UKK3Admin,'' ... Tímto se zjednodušilo přiřazování jednotlivých účtů na stanice, není třeba doplňovat podmínky instalace stačí daný balík přiklepnout v DB strojů. Nad těmito účty je aplikována politika která určuje maximální stáří hesla na 1rok. Pak jej lokalni admin musí změnit. (30dni pred vyprsenim hesla bude system o teto zkutecnosti uzivatele informovat)
 +
 +
[[Kategorie:OrionXP]]
 +
[[Kategorie:Interní dokumentace]]

Aktuální verze z 10:39, 10 březen 2016

Obsah

[editovat] Podpora systému OrionXP byla ukončena

Systém Windows XP není a nadále nebude podporován.
Používání Windows XP představuje velké bezpečnostní riziko, 
aktualizace operačního systému je silně doporučena.

Následující obsah již není aktuální, ani udržován.



[editovat] Technologie lokálních administrátorských účtů v OrionXP

[editovat] Úvod do problematiky

Lokální administrátorské účty se vytváří na počítačích IS kategorie III a na počítačích instalovaných na ostatních pracovištích využívajících službu OrionXP, mají-li lokálního správce, který chce na počítačích provádět administrátorské zásahy.

Dosud (říjen 2006) se administrátorské účty vytvářely lokálně - tj. někdo, kdo znal administrátorské heslo pro OrionXP, došel osobně k předmětnému počítači, vytvořil na něm lokální administrátorský účet (obvykle admink3) a lokálnímu administrátorovi sdělil heslo.

[editovat] Účty lokálních administrátorů v Active Directory

Takových pracovišť, kde se jeden lokální správce stará o větší počet počítačů, postupně přibývá a navíc se stále častěji vyskytují mimo campus na Borech, takže je třeba nasadit metodu distribuce lokálních adminástrátorských účtů, která je bezpečná a bezkontaktní.

V současnosti jde o hromadné nastavení lokálních administrátorských účtů na těchto pracovištích:

  • knihovna
  • FPR (učebny)
  • FPE (stanice převedené z NW)

Protože automatizované vytvoření lokálních účtů není ideální (někdo by si mohl skript nebo binárku, která účet vytváří, prohlédnout a buďto z ní přímo odečíst heslo, nebo si ji spustit na svém počítači a heslo louskat), rozhodl jsem se vytvořit "neškodné" účty v Active Directory a na příslušných stanicích jen jen zastrkat do skupiny Administrators.

Pro každé pracoviště s jedním lokálním správcem (či skupinou správců) se vytváří jeden účet. Účty jsou uložené v organizační jednotce OrionXP\K3Admins a zařazené do skupiny K3Admins. Ze všech ostatních skupin v AD jsou vyndané.

Hesla k těmto účtů se sdělují lokálním správcům, kteří účet dále využívají, starají o změnu hesla apod.

[editovat] Nastavení na stanicích

Na stanicích se doménové účty lokálních administrátorů pouze zařazují do skupiny Administrators. Například účet FPEK3Admin se zařadí příkazem:

net localgroup Administrators /ADD w2k\FPEK3Admin

Zařazení provádí modul localadmin, a to na základě nejrůznějších kritérií -- hostname, příslušnosti ke skupině, apod.

UPDATE: Pro každý K3Admin účet byl zaveden vlastni modul FPRK3Admin, UKK3Admin, ... Tímto se zjednodušilo přiřazování jednotlivých účtů na stanice, není třeba doplňovat podmínky instalace stačí daný balík přiklepnout v DB strojů. Nad těmito účty je aplikována politika která určuje maximální stáří hesla na 1rok. Pak jej lokalni admin musí změnit. (30dni pred vyprsenim hesla bude system o teto zkutecnosti uzivatele informovat)

Osobní nástroje
Jmenné prostory

Varianty
Zobrazení
Akce
Kdo jsem
Navigace
Často hledaná témata
Nástroje