Nasz Blog

Informatyka , bezpieczeństwo porady konfiguracje

Zalety migracji Grupy Roboczej do domeny Active Director

Zalety migracji Grupy Roboczej do domeny Active Director


Podejmując decyzje w zakresie infrastruktury informatycznej firmy, osoby decyzyjne stają przed problemem zarządzania użytkownikami i sprzętem znajdującym się w wielu lokalizacjach przedsiębiorstwa. Użytkownicy posiadają różny stopień wiedzy fachowej dostosowany to swojego stanowiska pracy jak i znajomości środowiska komputerowego, systemów operacyjnych, oprogramowania i obsługi sprzętu. Pracownicy zajmują stanowiska w działach, które mogą ze sobą współpracować lub wręcz przeciwnie – nie powinny mieć części wspólnych. Aby zapanować nad tą różnorodnością i zapewnić odpowiedni poziom bezpieczeństwa firma Microsoft wprowadziła usługę Active Directory, która kataloguje dane użytkowników, komputerów i urządzeń peryferyjnych; pozwala na łatwiejsze i zautomatyzowane zarządzanie nimi. Istnieje wiele przedsiębiorstw, które zaczynając od kilku komputerów, rozrastały się powoli, by rozkwitnąć do firm liczących setki użytkowników. Pracują jednak nadal w grupie roboczej, która jest tak naprawdę tylko zbiorem niezależnych od siebie jednostek. Utrudnia to zarządzanie zasobami

  1. W tym artykule przedstawię różnice między grupą roboczą a domeną Active Directory oraz zaletę zastosowania tego drugiego rozwiązania.

Co to jest Grupa Robocza?

To komputery, które działają niezależnie od siebie w obrębie przedsiębiorstwa. Mogą działać w tej samej sieci fizycznej, lub też w kilku lokalizacjach. Nie ma nad nimi zcentralizowanej kontroli. Jak działa grupa robocza? Zwykle firma rozpoczyna działalność od kilku komputerów, które w żaden sposób nie są ze sobą powiązane. Z czasem ich ilość rośnie. Posiadają odmienną konfigurację sprzętową i programową. Każdy użytkownik może robić w obrębie własnego komputera wszystko, lub administrator blokuje danej osobie dostęp do instalacji programów na tym konkretnym komputerze.

Współdzielenie w grupie roboczej

– Aby udostępnić pliki lub drukarki z innego komputera czy serwera należy znać dokładną nazwę komputera i użytkownika

– Udostępnianie na zasadach grupowania użytkowników jest bardzo utrudnione a często wręcz niemożliwe

– Jeżeli użytkownik zmieni komputer, udostępnianie trzeba ustawiać ponownie

Zalety grupy roboczej:

– Przy kilku komputerach jest stosunkowo łatwo administrowana. Microsoft mówi o bezpiecznej granicy 10 komputerów dla grupy roboczej.

– Nie wymaga instalacji sprzętu (serwera) i oprogramowania (Windows Server) oraz zarządzania nim = mniejszy koszt.

Wady grupy roboczej:

  • Brak centralnego zarządzania i kontroli nad tym, jakie uprawnienia mają użytkownicy
  • Jakiekolwiek zmiany trzeba dokonywać na każdej z maszyn
  • Brak możliwości sprawdzenia poczynań użytkowników
  • Przy nadanych uprawnieniach administracyjnych na komputerach – szerzenie się wirusów
  • Brak automatyzacji procesów, np. zdalnej instalacji oprogramowania
  • Brak mobilności użytkowników – dokumenty zapisane na jednym komputerze nie są dostępne na innych, a w razie awarii komputera tracone
  • Gdy pojawi się osoba chcąca wykraść dane, nie mamy możliwości zablokowania jej działania, ciężką ją zlokalizować
  • Problemy z uzyskaniem informacji o użytkowniku przez innego pracownika, np. numer telefonu, adres e-mail

Grupa Robocza – większa ilość komputerów i użytkowników. Co się dzieje, gdy firma posiada już kilkadziesiąt komputerów w grupie roboczej?

Każda zmiana dokonywana jest tylko na jednym komputerze jednocześnie – oznacza to duże nakłady administracyjne i czasowe, aby zmienić ustawienia na dużej ilości maszyn = większe koszty

-Problemy ze zmianą haseł użytkowników = niskie bezpieczeństwo danych firmowych

-Utrudniony dostęp do innych komputerów przez tego samego użytkownika – brak centralnej kontroli nad uprawnieniami


Co to jest Active Directory?

– Usługa systemu operacyjnego Windows Server,

– Centralna baza danych o obiektach – komputerach, użytkownikach, grupach,poświadczeniach logowania, drukarkach, udziałach sieciowych (udostępnionych folderach z plikami),

– Baza danych może być replikowana do oddziałów w innych lokalizacjach za pomocą szyfrowanych połączeń sieciowych,

– można jej użyć do integracji z zewnętrznymi systemami, również w innych przedsiębiorstwach, które opierają się na Active Directory, np. bazy danych SQL, serwery plików, serwery poczty, systemy CRM, serwery sieci WEB,

– Integruje się z usługami poczty Exchange i Exchange Online, tj. za jego pomocą można tworzyć konta, które będą synchronizowane z serwerem poczty,

– Grupuje obiekty w jedną wspólną domenę.

Domena Active Directory

– Wszystkie komputery usługi dzielą tę samą przestrzeń nazewniczą zwaną domeną,

– Domena może być np. lokalna, działająca tylko w wewnętrznej sieci przedsiębiorstwa,

– Każdy komputer będzie posiadał nazwę związaną z domeną

Struktura domeny Active Directory

– Active Directory ma strukturę drzewiastą, po której spływają w dół uprawnienia, dzięki temu uprawnienia przyznane na wyższym poziomie będą zastosowane na poziomie niższym, dostęp ten jest oczywiście regulowany, można również przerwać dziedziczenie uprawnień, granicą dziedziczenia jest obszar domeny, w bazie danych AD może być jedna domena, w przedsiębiorstwie może być używanych wiele domen w obrębie jednego lasu, lasy mogą natomiast łączyć się w trusty (relacje zaufania). Administrator zarządza domeną, ustala polisy, które regulują działanie komputerów, serwerów i drukarek oraz kontrolują uprawnienia komputerów, użytkowników i ich grup.

Zaleta:  Zcentralizowane zarządzanie infrastrukturą pozwala na zautomatyzowanie procesów oraz ustalenie standardu działania poprzez zastosowanie polis domenowych.

Relacje zaufania pomiędzy lasami AD

Pomiędzy lasami domen można tworzyć relacje zaufania jedno i dwustronnego, w zależności od tego, który las ma mieć dostęp do zasobów drugiego.

Zaleta: Można korzystać z wydzielonych obszarów danych innego przedsiębiorstwa, które ma wdrożone Active Directory.

Struktura drzewiasta lasu Active Directory:

– pozwala na centralną konfigurację najważniejszych ustawień poprzez polisy, tj. ustawień systemu Windows, poziomu zabezpieczeń, dostępu do serwerów i komputerów,

– umożliwia podział uprawnień poprzez przypisanie obiektów komputerów, użytkowników i ich grup do odrębnych jednostek organizacyjnych,

– daje możliwość instalacji zdalnej oprogramowania na wybranych urządzeniach,

– dziedziczone uprawnienia pozwalają na stosowanie raz przygotowanej konfiguracji komputerów i zabezpieczeń dla nowych maszyn bez konieczności ingerencji administracyjnej,

– dzięki grupowaniu obiektów w jednostkach organizacyjnych każdy dział, czy oddział firmy może używać specyficznych tylko dla siebie ustawień Struktura drzewiasta lasu Active Directory

Przykładowe zastosowania domeny Active Directory:

– zmiana hasła do komputera wybranemu użytkownikowi czy grupie osób,

– blokowanie dostępu osobie zwalnianej z firmy,

– automatyczne przypisanie drukarki sieciowej dla wybranej grupy użytkowników, np. działu sprzedaży,

– zasady ustawień zapory internetowej Windows regulowane centralnie dla całej firmy lub każdego działu osobno

– udostępnienie folderu na dysku sieciowym poprzez mapowanie dla grupy osób, np. Dysk X:\ dla działu finansów,

– profile mobilne – trzymane na serwerze dane użytkowników, podążają za użytkownikiem niezależnie od komputera,

– VPN – dostęp z poza firmy do zasobów plikowych przyznawany na podstawie nazwy użytkownika

– przekierowanie folderów Dokumenty i Pulpit,

– pliki z pulpitu i folderu dokumentów mogą być trzymane na serwerze i podłączane do sesji użytkownika automatycznie po zalogowaniu się na innym komputerze,

– automatyczna instalacja oprogramowania,

– wykorzystanie danych logowania Active Directory w innych systemach opartych o autentykację AD, np. Serwery SQL, aplikacje CRM, systemy plikowe,

– blokowanie dostępu do urządzeń USB,

– logowanie prób nieautoryzowanego dostępu,

– centralne zarządzanie aktualizacjami systemu operacyjnego Windows,

– dostosowanie przeglądarki Internet Explorer, np. dodanie wybranych stron do strefy zaufanych,

– logowanie jednokrotne – użycie tego samego loginu Windows do przeglądania poczty w programie Outlook,

– regulowanie dostępu komputerów do sieci firmowej – zezwolenie lub blokowanie oparte na regułach, np. komputery bez aktualnego oprogramowania antywirusowego nie powinny móc się łączyć

Migracja Grupy Roboczej do domeny Active Directory – wymagania ogólne:

– instalacja serwera z oprogramowaniem Windows Server i wypromowanie go na kontroler domeny

– komputery użytkowników z jednym z systemów operacyjnych: Windows XP Professional, Windows Vista Business, Windows7 Professional, Windows8, Windows 8.1,Windows 10

– dodanie komputerów do domeny,

– utworzenie kont użytkowników domenowych,

– migracja profili użytkowników z lokalnych (grupa robocza) do domenowych na wszystkich komputerach dodanych do domeny.

Podsumowanie

Wdrożenie Active Directory niesie ze sobą wiele zalet w porównaniu do korzystania z grupy roboczej. Dzięki domenie AD, firma może dokładniej i bezpieczniej zarządzać posiadanym środowiskiem komputerowym, dostosować wymagania operacyjne przedsiębiorstwa do jego organizacyjnej struktury, planować i wprowadzać zmiany w dużo większym tempie.