Pohled uživatele
Účty
• Typy účtů
– Lokální
• Uložený lokálně na počítači
– Doménový
• Uložený na doménovém řadiči
• Doménové řadiče nemají lokální účty, ale ostatní počítače zařazené
v doméně je mít mohou
Účty v AD
• Uživatelský účet
– Nutný pro přihlášení člověka k doméně
– Ustanovuje uživateli identitu, kterou operační systém následně používá
pro autentizaci na síti a autorizaci prováděných činností
• Účet počítače
– Ustanovuje identitu počítače, která se používá pro autentizaci, autorizaci
a audit
– Pod účtem počítače běží všechny systémové procesy
• Účet skupiny
– Účet sdružující a zastupující jiné účty
– Může obsahovat účty uživatelů, počítačů i dalších skupin
– Každý účet (i účet skupiny) může být členem libovolného množství skupin
– Zjednodušuje administraci a správu přístupu ke zdrojům
Autentizace uživatele v AD
Autentizace uživatele v AD
1. Uživatel zadává svůj login a heslo.
2. Stanice se ptá DNS, kde se nachází LDAP a Kerberos služba pro
uživatelovu doménu. DNS poskytuje odpověď.
3. Stanice kontaktuje DC, jehož IP adresu dostala, a žádá o autentizaci
uživatele.
4. DC ověřuje platnost loginu a hesla, jsou platné. DC ale není GC, takže
kontaktuje DNS a žádá o SRV záznamy o GC. DNS poskytuje odpověď.
5. DC se ptá GC, zda je uživatel členem nějaké univerzální skupiny, která
nedovoluje přihlášení na dané stanici. Pokud není, DC povoluje uživateli
přihlášení na stanici.
Profily
• Typy profilů
– Lokální
• Uložený lokálně na počítači.
Profily
• Typy profilů
– Lokální
• Uložený lokálně na počítači.
– Cestovní
• Uložený na doménovém řadiči
• Uživateli se stahuje na ten počítač v doméně, na který se přihlásí.
Cestovní profily
• Vytvoření sdíleného úložiště
– sdílený adresář, DFS, failover clustering, disková pole…).
• Vypnout offline files caching na sharu.
• Ve vlastnostech uživatele v AD Users and Computers zadat cestu k sharu
do profilu uživatele.
• Pokud chceme, aby měli administrátoři ve výchozím nastavení přístup do
profilů uživatelů, tak je to potřeba nastavit přes GPO v
– Computer configuration -> Administrative templates -> System -> User profiles -> Add
the Administrators security group to roaming user profiles
Cestovní profily
• Rizika cestovních profilů:
– Mohou značně nabobtnat a následné přihlašování uživatelů trvá
dlouho.
• Rizika je možné omezit několika způsoby:
– Omezit velikost cestovního profilu
• User Configuration -> Administrative Templates -> System -> User Profiles -> Limit
profile size -> Enable -> change the new maximum profile size
– Vytvořit kvótu na disku, kde jsou sdílené profily
• Kvótu je vhodné nastavit na discích, které jsou dedikované pro profily, jinak hrozí
nevhodné ovlivnění chodu systému.
– Přesměrovat vybrané složky z profilů na síťový disk.
• User Configuration -> Policies -> Windows Settings -> Folder Redirection
Přesměrování složek
• Přesměrování složek
– User Configuration -> Policies -> Windows Settings -> Folder
Redirection
– Přesměrovat lze tyto složky: Contacts, Downloads, Favorites, Links,
Music, Saved Games, Searches, and Videos.
– Výhody přesměrování
• Uživatel má data dostupná z různých počítačů na síti.
• Když je zapnuté offline files caching na sharu, tak jsou soubory dostupné i v případě
výpadku sítě.
• Data pro jednotlivé uživatele mohou být snadno přesměrována na různé disky.
Pracovní prostředí
• Policies (-> Adminstrative Templates) vs. Preferences
– Politiky (Policies) jsou nastavení, která jsou vynucená a uživatelé
nemají možnost je změnit.
– Upřednostnění (Preferences) jsou nastavení, která jsou ze strany
administrátorů doporučená, ale uživatelé mají možnost si je změnit dle
své libosti.
• Obě skupiny nastavení
– upravují vzhled prostředí pro uživatele,
– omezují či přidávají funkcionalitu,
– nastavení upřednostnění značně usnadňují práci administrátorům,
neboť většinu nastavení, kterou bylo dosud nutno řešit skripty, lze od
Windows Serveru 2008 řešit právě těmito upřednostněními