Nasz Blog

Informatyka , bezpieczeństwo porady konfiguracje

Przeniesienie AD na inny serwer

Opiszę sposób przeniesienie roli FSMO na systemie „Windows server 2008r2„.


Usługa Active Directory korzysta z 5 ról FSMO ( Flexible Single Master Operation ) zainstalowanych na dowolnych Kontrolerze domeny ( DC ). Dane role nie muszą być zainstalowane na jednym DC, mogą być rozbite na kilka różnych maszyn, ważne jest aby cały czas był sprawny dostęp sieciowy.
Role jakie istnieją to : RID , PDC , Infrastructure , Domain name , Schema master.
Aby przenieść rolę trzeba się zalogować na odpowiedni kontroler domeny, na którym chcemy mięć tę rolę aktywną.


1. RID:
Otwieramy okno „Użytkownicy i Komputery usługi Active Directory” (narzędzia administracyjne)
W nowo otwartym oknie (Użytkownicy i Komputery usługi Active Directory)klikamy prawym klawiszy myszy na nazwie naszej domeny i wybieramy z rozwiniętego menu „Wzorce operacji”
W nowo otwartym oknie (Wzorce operacji) pojawiła się zakładka wzorców i pierwszym wzorcem jest RID.
Będąc na odpowiednim Kontrolerze domeny wyświetla się kontroler źródłowy z obecnie zainstalowaną rolą, oraz nowy target na który jesteśmy obecnie zalogowani i chcemy „przenieść” daną rolę.
Klikamy przycisk „Zmień”
Po poprawnym wykonaniu operacji pojawia się okno z komunikatem o poprawnym przeniesieniu ROLI RID.


2. PDC:
Otwieramy okno „Użytkownicy i Komputery usługi Active Directory” (narzędzia administracyjne)
W nowo otwartym oknie (Użytkownicy i Komputery usługi Active Directory) klikamy prawym klawiszy myszy na nazwie naszej domeny i wybieramy z rozwiniętego menu „Wzorce operacji”
W nowo otwartym oknie (Wzorce operacji) pojawiła się zakładka wzorców i w drugiej zakładce u góry tego okna o nazwie „Kontroler PDC” jest rola PDC.
Będąc na odpowiednim Kontrolerze domeny wyświetla się kontroler źródłowy z obecnie zainstalowaną rolą, oraz nowy target na którym jesteśmy obecnie zalogowani i chcemy „przenieść” daną rolę.
Klikamy przycisk „Zmień”
Po poprawnym wykonaniu operacji pojawia się okno z komunikatem o poprawnym przeniesieniu ROLI PDC.


3. Infrastructure:
Otwieramy okno „Użytkownicy i Komputery usługi Active Directory” (narzędzia administracyjne)
W nowo otwartym oknie (Użytkownicy i Komputery usługi Active Directory) klikamy prawym klawiszy myszy na nazwie naszej domeny i wybieramy z rozwiniętego menu „Wzorce operacji”
W nowo otwartym oknie (Wzorce operacji) pojawiła się zakładka wzorców i w drugiej zakładce u góry tego okna o nazwie „Infrastruktura” jest rola Infrastructure.
Będąc na odpowiednim Kontrolerze domeny wyświetla się kontroler źródłowy z obecnie zainstalowaną rolą, oraz nowy target na którym jesteśmy obecnie zalogowani i chcemy „przenieść” daną rolę.
Klikamy przycisk „Zmień”
Po poprawnym wykonaniu operacji pojawia się okno z komunikatem o poprawnym przeniesieniu ROLI Infrastruktury.


4. Domain Name
Otwieramy okno „Domeny i relacje zaufania usługi Active Directory” (narzędzia administracyjne)
W nowo otwartym oknie (Domeny i relacje zaufania usługi Active Directory) klikamy prawym klawiszy myszy w hierarchi drzewa na nazwie „Domeny i relacje zaufania usługi Active Directory” i wybieramy z rozwiniętego menu „Wzorzec operacji”
W nowo otwartym oknie (Wzorzec operacji) pojawiła rola Domain Name
Będąc na odpowiednim Kontrolerze domeny wyświetla się kontroler źródłowy z obecnie zainstalowaną rolą, oraz nowy target na którym jesteśmy obecnie zalogowani i chcemy „przenieść” daną rolę.
Klikamy przycisk „Zmień”
Po poprawnym wykonaniu operacji pojawia się okno z komunikatem o poprawnym przeniesieniu ROLI Domain Name.


5. Schema master
Przeniesienie roli „Schema master” wymaga od nas przygotowania. Musimy włączyć możliwość wyświetlenie narzędzi „Schemat master usługi Active Directory„.
Uruchamiamy CMD.exe (klawiatura Windows+R i wpisujemy cmd, a następnie enter).
Wpisujemy regsvr32.exe schmmgmt.dll i wciskamy enter.
Ta operacja rejestruje biblitoekę schemat master.
Powinien pojawić się komunikat potwierdzający poprawną rejestrację biblioteki dll.
Uruchamiamy „MMC.exe” (w taki sama sposób jak cmd.exe)
Z górnego paska narzędzi wybieramy „Plik” -> „Dodaj usuń przystawkę”
Pojawiło się nowe okno „Dodawanie lub usuwanie przystawek”, w tym oknie z lewej strony wybieramy „Schemat usługi Active Directory”
i klikamy „dodaj” a następnie „OK„.
W Oknie „MMC” Pojawiło się drzewo „Schematu usługi Active Directory”.
Klikamy prawym klawiszem myszy na „Schemat usługi Active Directory[nazwa.domeny]” i z rozwiniętego menu wybieramy „Zmień kontroler domeny usługi Active Directory„.
W nowo pojawionym się oknie wybieramy kontroler domeny na którym chcemy mieć zainstalowaną daną rolę i klikamy „OK„.
W otwartym oknie (Schemat usługi Active Directory) klikamy prawym klawiszem myszy w hierarchi drzewa na nazwie „Schemat usługi Active Directory[nazwa.domeny]„ i wybieramy z rozwiniętego menu „Wzorzec operacji”
W nowo otwartym oknie (Wzorzec operacji) pojawiła rola „Schemat Master”
Będąc na odpowiednim Kontrolerze domeny wyświetla się kontroler źródłowy z obecnie zainstalowaną rolą, oraz nowy target na którym jesteśmy obecnie zalogowani i chcemy „przenieść” daną rolę.
Klikamy przycisk „Zmień”
Po poprawnym wykonaniu operacji pojawia się okno z komunikatem o poprawnym przeniesieniu ROLI Schema Master.


W ten sposób udało się przenieść 5 ról FSMO, przy pomocy graficznego interfejsu.

Utrata danych – jak jej zapobiec?

PROBLEM

Nie jestem pewien czy w momencie awarii pracownik nie straci danych oraz jeżeli posiadam kopię danych to czy ta kopia zapasowa na pewno da się poprawnie odtworzyć?

 

ROZWIĄZANIE:

Tworzenie kopii zapasowych za pomocą wyspecjalizowanego oprogramowania. W środowisku biznesowym najważniejsi są ludzie wykonujący pracę, ciągłość ich pracy i dane, z których korzystają. Konfiguracja środowiska informatycznego wpływa na ciągłość pracy i sposób przechowywania danych. Powinna ona mieć strukturę zapewniającą jak największą ciągłość pracy oraz bezpieczeństwo przechowywania danych. Częścią tego środowiska powinny być kopie zapasowe, wykonywane w celu zabezpieczenia się przed poważną awarią stacji roboczych lub serwerów, która prowadzi do utraty przechowywanych na nich danych. Jednak w przypadku awarii dysków stacji roboczej lub serwera (nie można tego wykluczyć, sprzęt się starzeje) odtworzenie danych może być utrudnione lub wręcz niemożliwe.

Regularne tworzenie kopii zapasowej danych to podstawowa zasada bezpieczeństwa.

Rozwiązaniem może być oprogramowanie FerroBackup

W nowej wersji wprowadzono też zabezpieczenie przed złośliwymi programami typu ransomware szyfrującym pliki (np. CryptoLocker). Administrator może teraz łatwo zabezpieczyć kopie zapasowe przed usunięciem lub modyfikacją. W połączeniu ze znaną z wcześniejszych wersji funkcją Kopii rotacyjnych, Ferro Backup System 5.3 pozwala zabezpieczyć zarówno dane źródłowe znajdujące się na stacjach roboczych i serwerach plików, jak i kopie zapasowe przechowywane na serwerze backupu.

Zalety migracji Grupy Roboczej do domeny Active Director

Zalety migracji Grupy Roboczej do domeny Active Director


Podejmując decyzje w zakresie infrastruktury informatycznej firmy, osoby decyzyjne stają przed problemem zarządzania użytkownikami i sprzętem znajdującym się w wielu lokalizacjach przedsiębiorstwa. Użytkownicy posiadają różny stopień wiedzy fachowej dostosowany to swojego stanowiska pracy jak i znajomości środowiska komputerowego, systemów operacyjnych, oprogramowania i obsługi sprzętu. Pracownicy zajmują stanowiska w działach, które mogą ze sobą współpracować lub wręcz przeciwnie – nie powinny mieć części wspólnych. Aby zapanować nad tą różnorodnością i zapewnić odpowiedni poziom bezpieczeństwa firma Microsoft wprowadziła usługę Active Directory, która kataloguje dane użytkowników, komputerów i urządzeń peryferyjnych; pozwala na łatwiejsze i zautomatyzowane zarządzanie nimi. Istnieje wiele przedsiębiorstw, które zaczynając od kilku komputerów, rozrastały się powoli, by rozkwitnąć do firm liczących setki użytkowników. Pracują jednak nadal w grupie roboczej, która jest tak naprawdę tylko zbiorem niezależnych od siebie jednostek. Utrudnia to zarządzanie zasobami

  1. W tym artykule przedstawię różnice między grupą roboczą a domeną Active Directory oraz zaletę zastosowania tego drugiego rozwiązania.

Co to jest Grupa Robocza?

To komputery, które działają niezależnie od siebie w obrębie przedsiębiorstwa. Mogą działać w tej samej sieci fizycznej, lub też w kilku lokalizacjach. Nie ma nad nimi zcentralizowanej kontroli. Jak działa grupa robocza? Zwykle firma rozpoczyna działalność od kilku komputerów, które w żaden sposób nie są ze sobą powiązane. Z czasem ich ilość rośnie. Posiadają odmienną konfigurację sprzętową i programową. Każdy użytkownik może robić w obrębie własnego komputera wszystko, lub administrator blokuje danej osobie dostęp do instalacji programów na tym konkretnym komputerze.

Współdzielenie w grupie roboczej

– Aby udostępnić pliki lub drukarki z innego komputera czy serwera należy znać dokładną nazwę komputera i użytkownika

– Udostępnianie na zasadach grupowania użytkowników jest bardzo utrudnione a często wręcz niemożliwe

– Jeżeli użytkownik zmieni komputer, udostępnianie trzeba ustawiać ponownie

Zalety grupy roboczej:

– Przy kilku komputerach jest stosunkowo łatwo administrowana. Microsoft mówi o bezpiecznej granicy 10 komputerów dla grupy roboczej.

– Nie wymaga instalacji sprzętu (serwera) i oprogramowania (Windows Server) oraz zarządzania nim = mniejszy koszt.

Wady grupy roboczej:

  • Brak centralnego zarządzania i kontroli nad tym, jakie uprawnienia mają użytkownicy
  • Jakiekolwiek zmiany trzeba dokonywać na każdej z maszyn
  • Brak możliwości sprawdzenia poczynań użytkowników
  • Przy nadanych uprawnieniach administracyjnych na komputerach – szerzenie się wirusów
  • Brak automatyzacji procesów, np. zdalnej instalacji oprogramowania
  • Brak mobilności użytkowników – dokumenty zapisane na jednym komputerze nie są dostępne na innych, a w razie awarii komputera tracone
  • Gdy pojawi się osoba chcąca wykraść dane, nie mamy możliwości zablokowania jej działania, ciężką ją zlokalizować
  • Problemy z uzyskaniem informacji o użytkowniku przez innego pracownika, np. numer telefonu, adres e-mail

Grupa Robocza – większa ilość komputerów i użytkowników. Co się dzieje, gdy firma posiada już kilkadziesiąt komputerów w grupie roboczej?

Każda zmiana dokonywana jest tylko na jednym komputerze jednocześnie – oznacza to duże nakłady administracyjne i czasowe, aby zmienić ustawienia na dużej ilości maszyn = większe koszty

-Problemy ze zmianą haseł użytkowników = niskie bezpieczeństwo danych firmowych

-Utrudniony dostęp do innych komputerów przez tego samego użytkownika – brak centralnej kontroli nad uprawnieniami


Co to jest Active Directory?

– Usługa systemu operacyjnego Windows Server,

– Centralna baza danych o obiektach – komputerach, użytkownikach, grupach,poświadczeniach logowania, drukarkach, udziałach sieciowych (udostępnionych folderach z plikami),

– Baza danych może być replikowana do oddziałów w innych lokalizacjach za pomocą szyfrowanych połączeń sieciowych,

– można jej użyć do integracji z zewnętrznymi systemami, również w innych przedsiębiorstwach, które opierają się na Active Directory, np. bazy danych SQL, serwery plików, serwery poczty, systemy CRM, serwery sieci WEB,

– Integruje się z usługami poczty Exchange i Exchange Online, tj. za jego pomocą można tworzyć konta, które będą synchronizowane z serwerem poczty,

– Grupuje obiekty w jedną wspólną domenę.

Domena Active Directory

– Wszystkie komputery usługi dzielą tę samą przestrzeń nazewniczą zwaną domeną,

– Domena może być np. lokalna, działająca tylko w wewnętrznej sieci przedsiębiorstwa,

– Każdy komputer będzie posiadał nazwę związaną z domeną

Struktura domeny Active Directory

– Active Directory ma strukturę drzewiastą, po której spływają w dół uprawnienia, dzięki temu uprawnienia przyznane na wyższym poziomie będą zastosowane na poziomie niższym, dostęp ten jest oczywiście regulowany, można również przerwać dziedziczenie uprawnień, granicą dziedziczenia jest obszar domeny, w bazie danych AD może być jedna domena, w przedsiębiorstwie może być używanych wiele domen w obrębie jednego lasu, lasy mogą natomiast łączyć się w trusty (relacje zaufania). Administrator zarządza domeną, ustala polisy, które regulują działanie komputerów, serwerów i drukarek oraz kontrolują uprawnienia komputerów, użytkowników i ich grup.

Zaleta:  Zcentralizowane zarządzanie infrastrukturą pozwala na zautomatyzowanie procesów oraz ustalenie standardu działania poprzez zastosowanie polis domenowych.

Relacje zaufania pomiędzy lasami AD

Pomiędzy lasami domen można tworzyć relacje zaufania jedno i dwustronnego, w zależności od tego, który las ma mieć dostęp do zasobów drugiego.

Zaleta: Można korzystać z wydzielonych obszarów danych innego przedsiębiorstwa, które ma wdrożone Active Directory.

Struktura drzewiasta lasu Active Directory:

– pozwala na centralną konfigurację najważniejszych ustawień poprzez polisy, tj. ustawień systemu Windows, poziomu zabezpieczeń, dostępu do serwerów i komputerów,

– umożliwia podział uprawnień poprzez przypisanie obiektów komputerów, użytkowników i ich grup do odrębnych jednostek organizacyjnych,

– daje możliwość instalacji zdalnej oprogramowania na wybranych urządzeniach,

– dziedziczone uprawnienia pozwalają na stosowanie raz przygotowanej konfiguracji komputerów i zabezpieczeń dla nowych maszyn bez konieczności ingerencji administracyjnej,

– dzięki grupowaniu obiektów w jednostkach organizacyjnych każdy dział, czy oddział firmy może używać specyficznych tylko dla siebie ustawień Struktura drzewiasta lasu Active Directory

Przykładowe zastosowania domeny Active Directory:

– zmiana hasła do komputera wybranemu użytkownikowi czy grupie osób,

– blokowanie dostępu osobie zwalnianej z firmy,

– automatyczne przypisanie drukarki sieciowej dla wybranej grupy użytkowników, np. działu sprzedaży,

– zasady ustawień zapory internetowej Windows regulowane centralnie dla całej firmy lub każdego działu osobno

– udostępnienie folderu na dysku sieciowym poprzez mapowanie dla grupy osób, np. Dysk X:\ dla działu finansów,

– profile mobilne – trzymane na serwerze dane użytkowników, podążają za użytkownikiem niezależnie od komputera,

– VPN – dostęp z poza firmy do zasobów plikowych przyznawany na podstawie nazwy użytkownika

– przekierowanie folderów Dokumenty i Pulpit,

– pliki z pulpitu i folderu dokumentów mogą być trzymane na serwerze i podłączane do sesji użytkownika automatycznie po zalogowaniu się na innym komputerze,

– automatyczna instalacja oprogramowania,

– wykorzystanie danych logowania Active Directory w innych systemach opartych o autentykację AD, np. Serwery SQL, aplikacje CRM, systemy plikowe,

– blokowanie dostępu do urządzeń USB,

– logowanie prób nieautoryzowanego dostępu,

– centralne zarządzanie aktualizacjami systemu operacyjnego Windows,

– dostosowanie przeglądarki Internet Explorer, np. dodanie wybranych stron do strefy zaufanych,

– logowanie jednokrotne – użycie tego samego loginu Windows do przeglądania poczty w programie Outlook,

– regulowanie dostępu komputerów do sieci firmowej – zezwolenie lub blokowanie oparte na regułach, np. komputery bez aktualnego oprogramowania antywirusowego nie powinny móc się łączyć

Migracja Grupy Roboczej do domeny Active Directory – wymagania ogólne:

– instalacja serwera z oprogramowaniem Windows Server i wypromowanie go na kontroler domeny

– komputery użytkowników z jednym z systemów operacyjnych: Windows XP Professional, Windows Vista Business, Windows7 Professional, Windows8, Windows 8.1,Windows 10

– dodanie komputerów do domeny,

– utworzenie kont użytkowników domenowych,

– migracja profili użytkowników z lokalnych (grupa robocza) do domenowych na wszystkich komputerach dodanych do domeny.

Podsumowanie

Wdrożenie Active Directory niesie ze sobą wiele zalet w porównaniu do korzystania z grupy roboczej. Dzięki domenie AD, firma może dokładniej i bezpieczniej zarządzać posiadanym środowiskiem komputerowym, dostosować wymagania operacyjne przedsiębiorstwa do jego organizacyjnej struktury, planować i wprowadzać zmiany w dużo większym tempie.