Pohled uživatele Účty •Typy účtů –Lokální •Uložený lokálně na počítači –Doménový •Uložený na doménovém řadiči •Doménové řadiče nemají lokální účty, ale ostatní počítače zařazené v doméně je mít mohou Účty v AD •Uživatelský účet –Nutný pro přihlášení člověka k doméně –Ustanovuje uživateli identitu, kterou operační systém následně používá pro autentizaci na síti a autorizaci prováděných činností •Účet počítače –Ustanovuje identitu počítače, která se používá pro autentizaci, autorizaci a audit –Pod účtem počítače běží všechny systémové procesy •Účet skupiny –Účet sdružující a zastupující jiné účty –Může obsahovat účty uživatelů, počítačů i dalších skupin –Každý účet (i účet skupiny) může být členem libovolného množství skupin –Zjednodušuje administraci a správu přístupu ke zdrojům Autentizace uživatele v AD dotazovani_v_AD.png Autentizace uživatele v AD 1.Uživatel zadává svůj login a heslo. 2.Stanice se ptá DNS, kde se nachází LDAP a Kerberos služba pro uživatelovu doménu. DNS poskytuje odpověď. 3.Stanice kontaktuje DC, jehož IP adresu dostala, a žádá o autentizaci uživatele. 4.DC ověřuje platnost loginu a hesla, jsou platné. DC ale není GC, takže kontaktuje DNS a žádá o SRV záznamy o GC. DNS poskytuje odpověď. 5.DC se ptá GC, zda je uživatel členem nějaké univerzální skupiny, která nedovoluje přihlášení na dané stanici. Pokud není, DC povoluje uživateli přihlášení na stanici. 6. E. E. E. Profily •Typy profilů –Lokální •Uložený lokálně na počítači. Profily •Typy profilů –Lokální •Uložený lokálně na počítači. –Cestovní •Uložený na doménovém řadiči •Uživateli se stahuje na ten počítač v doméně, na který se přihlásí. Cestovní profily •Vytvoření sdíleného úložiště –sdílený adresář, DFS, failover clustering, disková pole…). •Vypnout offline files caching na sharu. •Ve vlastnostech uživatele v AD Users and Computers zadat cestu k sharu do profilu uživatele. •Pokud chceme, aby měli administrátoři ve výchozím nastavení přístup do profilů uživatelů, tak je to potřeba nastavit přes GPO v –Computer configuration -> Administrative templates -> System -> User profiles -> Add the Administrators security group to roaming user profiles Cestovní profily •Rizika cestovních profilů: –Mohou značně nabobtnat a následné přihlašování uživatelů trvá dlouho. •Rizika je možné omezit několika způsoby: –Omezit velikost cestovního profilu •User Configuration -> Administrative Templates -> System -> User Profiles -> Limit profile size -> Enable -> change the new maximum profile size –Vytvořit kvótu na disku, kde jsou sdílené profily •Kvótu je vhodné nastavit na discích, které jsou dedikované pro profily, jinak hrozí nevhodné ovlivnění chodu systému. –Přesměrovat vybrané složky z profilů na síťový disk. •User Configuration -> Policies -> Windows Settings -> Folder Redirection Přesměrování složek •Přesměrování složek –User Configuration -> Policies -> Windows Settings -> Folder Redirection –Přesměrovat lze tyto složky: Contacts, Downloads, Favorites, Links, Music, Saved Games, Searches, and Videos. –Výhody přesměrování •Uživatel má data dostupná z různých počítačů na síti. •Když je zapnuté offline files caching na sharu, tak jsou soubory dostupné i v případě výpadku sítě. •Data pro jednotlivé uživatele mohou být snadno přesměrována na různé disky. Pracovní prostředí •Policies (-> Adminstrative Templates) vs. Preferences –Politiky (Policies) jsou nastavení, která jsou vynucená a uživatelé nemají možnost je změnit. –Upřednostnění (Preferences) jsou nastavení, která jsou ze strany administrátorů doporučená, ale uživatelé mají možnost si je změnit dle své libosti. •Obě skupiny nastavení –upravují vzhled prostředí pro uživatele, –omezují či přidávají funkcionalitu, –nastavení upřednostnění značně usnadňují práci administrátorům, neboť většinu nastavení, kterou bylo dosud nutno řešit skripty, lze od Windows Serveru 2008 řešit právě těmito upřednostněními