LPS:OrionXP/Lokální administrátorské účty v OrionXP
(Vytvoření dokumentu) |
m (úpravy a doplnění kategorie) |
||
| Řádka 1: | Řádka 1: | ||
| − | = Technologie | + | = Technologie lokálních administrátorských účtů v OrionXP = |
== Úvod do problematiky == | == Úvod do problematiky == | ||
| Řádka 9: | Řádka 9: | ||
== Účty lokálních administrátorů v Active Directory == | == Účty lokálních administrátorů v Active Directory == | ||
| − | Takových pracovišť, kde se jeden lokální správce stará o větší počet počítačů, postupně přibývá a navíc se stále častěji vyskytují | + | Takových pracovišť, kde se jeden lokální správce stará o větší počet počítačů, postupně přibývá a navíc se stále častěji vyskytují mimo campus na Borech, takže je třeba nasadit metodu distribuce lokálních adminástrátorských účtů, která je bezpečná a bezkontaktní. |
V současnosti jde o hromadné nastavení lokálních administrátorských účtů na těchto pracovištích: | V současnosti jde o hromadné nastavení lokálních administrátorských účtů na těchto pracovištích: | ||
| Řádka 30: | Řádka 30: | ||
Zařazení provádí modul ''localadmin'', a to na základě nejrůznějších kritérií -- hostname, příslušnosti ke skupině, apod. | Zařazení provádí modul ''localadmin'', a to na základě nejrůznějších kritérií -- hostname, příslušnosti ke skupině, apod. | ||
| + | |||
| + | [[Kategorie:OrionXP]] | ||
Verze z 11:48, 17 říjen 2006
Obsah |
Technologie lokálních administrátorských účtů v OrionXP
Úvod do problematiky
Lokální administrátorské účty se vytváří na počítačích IS kategorie III a na počítačích instalovaných na ostatních pracovištích využívajících službu OrionXP, mají-li lokálního správce, který chce na počítačích provádět administrátorské zásahy.
Dosud (říjen 2006) se administrátorské účty vytvářely lokálně - tj. někdo, kdo znal administrátorské heslo pro OrionXP, došel osobně k předmětnému počítači, vytvořil na něm lokální administrátorský účet (obvykle admink3) a lokálnímu administrátorovi sdělil heslo.
Účty lokálních administrátorů v Active Directory
Takových pracovišť, kde se jeden lokální správce stará o větší počet počítačů, postupně přibývá a navíc se stále častěji vyskytují mimo campus na Borech, takže je třeba nasadit metodu distribuce lokálních adminástrátorských účtů, která je bezpečná a bezkontaktní.
V současnosti jde o hromadné nastavení lokálních administrátorských účtů na těchto pracovištích:
- knihovna
- FPR (učebny)
- FPE (stanice převedené z NW)
Protože automatizované vytvoření lokálních účtů není ideální (někdo by si mohl skript nebo binárku, která účet vytváří, prohlédnout a buďto z ní přímo odečíst heslo, nebo si ji spustit na svém počítači a heslo louskat), rozhodl jsem se vytvořit "neškodné" účty v Active Directory a na příslušných stanicích jen jen zastrkat do skupiny Administrators.
Pro každé pracoviště s jedním lokálním správcem (či skupinou správců) se vytváří jeden účet. Účty jsou uložené v organizační jednotce OrionXP\K3Admins a zařazené do skupiny K3Admins. Ze všech ostatních skupin v AD jsou vyndané.
Hesla k těmto účtů se sdělují lokálním správcům, kteří účet dále využívají, starají o změnu hesla apod.
Nastavení na stanicích
Na stanicích se doménové účty lokálních administrátorů pouze zařazují do skupiny Administrators. Například účet FPEK3Admin se zařadí příkazem:
net localgroup Administrators /ADD w2k\FPEK3Admin
Zařazení provádí modul localadmin, a to na základě nejrůznějších kritérií -- hostname, příslušnosti ke skupině, apod.
