23T4 Active Directory – podstawowa konfiguracja (redirected folders)

Active Directory Podstawowa Konfiguracja

Link do artykułu.

0:00 Wprowadzenie

0:35 Nazewnictwo Komputerów i Dokumentacja

4:30 Konfiguracja

22:27 Podsumowanie

Transkrypcja

Cześć. Dzisiaj pokażę wam jakie stosuję praktyki konfigurując serwer Active Directory. Pokażę wam w jakie pułapki wpadłem oraz na co warto zwrócić uwagę. Pokażę wam również jak dobrze konfigurować,, tak aby w małej jak i w średniej firmie użytkownicy jak administratorzy mogli skutecznie i w łatwy sposób zarządzać usługami. Zapraszam was do obejrzenia materiału.

Na początku warto sprawdzić, jak nazwany mamy komputer, który chcemy dołączyć do domeny. Jest to bardzo ważne ponieważ łatwiej będzie nam później utrzymać dokumentację jak i weryfikować problemy z komputerem, czy też w zainstalowanych konsolach, czy też serwerach antywirusach zarządzać komputerami naszej sieci.

Aby to zrobić należy przejść do panelu sterowania, następnie klikamy system i na samym dole mamy Zmień nazwę tego komputera. Domyślnie komputer jest nazywany jakimś tam ciągiem, końcówką losowych liter. Wystarczy, że klikniemy zmień i teraz jak najlepiej nazwać komputer? Jest to bardzo często pomijany etap a zarazem jest on bardzo ważny. Dlaczego?

A już pokazuje – ponieważ, jeżeli prowadzimy jakąś dokumentację w firmie odnośnie sprzętu to często wygląda ona tak, że mamy imię i nazwisko oraz
komputer, nazwę komputera oraz jakiś tam inne różne rzeczy w zależności co tam sobie wpiszemy. Jeżeli zostawimy domyślnie, to co Windows nadaje, to nasza dokumentacja będzie wyglądać mniej więcej tak: czyli imię i nazwisko i ciąg jakiś losowych liter danego komputera. No bo tak właśnie będzie się to przedstawiać najczęściej w różnych programach czy też serwerach do zarządzania, czy to jakimiś programem antywirusowym czy innymi programami. Jest to moim zdaniem kiepskie.

Jeżeli mamy tam jeden, dwóch, trzech pracowników, to jeszcze nie ma to większego znaczenia ale przy większej ilości, no będzie to trochę nieczytelne. Czasami administratorzy nazywają komputer imieniem i nazwiskiem osoby, która używa ten komputer. Jest to już moim zdaniem trochę lepsze rozwiązanie ale dalej niesie za sobą pewne ryzyko. Bo jeżeli dana osoba zostanie zwolniona albo przyjdzie nam komuś wymienić sprzęt albo zamienić sprzęt no to będzie to takie trochę nieczytelne moim zdaniem. Najlepszym rozwiązaniem na przykładzie powiedzmy Netadminpro jest utrzymanie dokumentacji w formie na przykład pierwsza literka firmy, w naszym przypadku będzie to na przykład literka n. Oczywiście możemy tutaj wpisać co tylko chcemy ale żeby końcówka to był ciąg liczb. W naszym przypadku będzie to 001, kolejna osoba będzie miała n002.

To wygląda moim zdaniem zdecydowanie lepiej i jest dużo bardziej czytelne. Możemy sobie to zautomatyzować i jak widzimy łatwiej jest to przeczytać a w przyszłości łatwiej będzie nam również odnaleźć komputer po liczbie, wyszukując go w dokumentacji. A więc my nazwiemy nasz komputer n001 klikamy OK, klikamy OK, zamknij i klikamy uruchom ponownie. Po ponownym uruchomieniu komputera, komputer otrzyma nazwę, którą mu nadaliśmy w naszym przypadku będzie to n001. Widzę, że nasz komputer już się zresetował więc przejdziemy teraz do dołączenia naszego komputera do domeny. Klikamy panel sterowania, następnie system, przechodzimy do Zmień nazwę tego komputera od razu możemy zobaczyć czy nazwa została zmieniona. Widzimy, że jest nasz format czyli n001, klikamy Zmień, klikamy domena i w naszym przypadku domena to netadminpro.pl klikamy OK, wpisujemy poświadczenia.

Jeżeli wszystko jest poprawnie skonfigurowane to dostaniemy taki komunikat, że Witamy w domenie netadminpro.pl, klikamy OK, OK, zamknij i ponownie uruchamiamy nasz komputer. Zalogujmy się teraz na nasz serwer i zobaczmy czy komputer został poprawnie dodany do domeny. Klikamy start, narzędzia administracyjne i tutaj wybieramy użytkownicy i komputery usług Active Directory. Ja zawsze kopiuję sobie to na pulpit ponieważ często z tego korzystam oraz dodatkowo kopiuje sobie zarządzanie zasadami grupy.

Są to takie dwie podstawowe rzeczy, które bardzo często w średniej jak i małej firmie się jednak korzysta. Klikamy użytkownicy i komputery usług
Active Directory i tutaj w folderze komputer widzimy, że komputer został dodany. Warto w opisie dodać kto aktualnie ten komputer użytkuje. W naszym wypadku zgodnie z dokumentacją będzie to Natan Lis więc wpisujemy sobie Natan Lis, klikamy Dostosuj, OK. Jak widać już na przykładzie pierwszego komputera bardzo czytelnie to wszystko wygląda. Czyli mamy nazwę komputera oraz opis kto, do kogo należy ten komputer i zgodnie z dokumentacją kolejne komputery, które zostaną dodane do domeny opisujemy tak, aby pokrywały się one z prawdą.

Teraz przejdźmy do stworzenia pierwszego użytkownika. Niech to będzie Natan Lis. Klikamy na dział IP bo Natan Lis będzie w dziale IT. Klikamy prawym guzikiem nowy użytkownik i wpisujemy imię Natan, nazwisko Lis, nazwa logowania użytkownika – tutaj zachęcam do formatu imię, nazwisko, pierwsza litera imienia, potem nazwisko. Jak kto woli, ja tutaj dam pierwsza litera imienia kropka, nazwisko. Więc w naszym przypadku będzie to N.Lis, klikamy dalej, ustawiamy początkowe hasło do naszego użytkownika i użytkownik musi zmienić hasło przy następnym logowaniu. Zostawiamy, dzięki czemu nasz Natan Lis przy logowaniu kiedy poda to hasło, które mu
przekażemy, będzie mógł ustawić swoje własne. Klikamy dalej, zakończ no i mamy pierwszy stworzony użytkownik. Teraz przejdźmy do naszej dokumentacji.

Jeżeli mamy użytkowników i komputery dodajmy kolejną kolumnę, która będzie się nazywała dział i nasz Natan Lis jest w dziale IT, więc już jak widzimy nasza dokumentacja jest bardzo czytelna bo wiemy jaki komputer,
w jakim dziale i kto i zachęcam właśnie do takiego uzupełniania na bieżąco dokumentacji bo to bardzo pozwala później sprawdzać jak i weryfikować do kogo należy komputer, w jakim dziale jest ta osoba. Bardzo dobrze się to sprawdza przy większej ilości pracowników. Logujemy się teraz jako użytkownik Natan Lis i większości w teorii taki zobaczymy pulpit, kiedy dołączymy nasz komputer do domeny a w praktyce w przyszłości większość 
pulpitów wygląda mniej więcej tak.

Kto się teraz zaśmiał doskonale wie o  czym mówię. Prawda jest taka, że większość użytkowników wszystko trzyma na pulpicie. Teraz mając Active Directory możemy co prawda robić jakieś foldery, współdzielić je między użytkownikami, działami ale tak naprawdę przeciętna Grażyna wszystkie
swoje rzeczy trzyma na pulpicie. Teraz dopóki na folderach wspólnych są jakieś dokumenty i wszystko jest na serwerze jest to bezpieczne. Tak trzymanie rzeczy na pulpicie w momencie kiedy spali nam się komputer lub uszkodzi nam się dysk, to tak naprawdę wszystko nam przepada. A możemy 
temu zapobiec.

Pokażę wam, jak w prosty sposób teraz skonfigurować Active Directory tak aby rzeczy, które są trzymane przez użytkowników na pulpicie były tak naprawdę na serwerze. Aby stworzyć taką funkcjonalność musimy zalogować się na nasz serwer. Przechodzimy do dysku C na którym stworzymy
folder, który będzie nazywał się NetAdminPro. W tym folderze stworzymy
kolejny folder, który nazwiemy Users. Taki folder musimy udostępnić. Klikamy prawym guzikiem -właściwości, udostępnianie, udostępnianie zaawansowane i klikamy Udostępnij ten folder, klikamy Zastosuj, OK, zamknij.

Możemy sprawdzić czy nasz folder jest rzeczywiście widoczny. Jak widać wszystko jest poprawnie zrobione, folder jest widoczny więc możemy przejść do kolejnego kroku. Teraz klikamy w zarządzanie zasadami grupy. Następnie klikamy prawym guzikiem na naszą domenę i klikamy utwórz obiekty zasad grupy. Nazwiemy to przekierowanie folderów, klikamy OK, klikamy edytuj
i przechodzimy do konfiguracja użytkownika, zasady, ustawienia systemu Windows, przekierowanie folderu. Jak widzimy mamy tu różne foldery, między innymi pulpit, klikamy prawym guzikiem właściwości i klikamy ustawienia podstawowe.

Teraz musimy podać ścieżkę do naszego udziału sieciowego i w tym momencie się zatrzymamy, ponieważ udział sieciowy, folder który jest widoczny, możemy ukryć, co jest dobrą praktyką. Jak to zrobić – wejdziemy na nasz serwer. Jak widać folder jest udostępniony, jest widoczny. Więc spróbujmy zrobić tak, aby był dalej udostępniony ale żeby dostęp do niego był tylko możliwy w momencie kiedy użytkownik lub administrator zna pełną ścieżkę jak to zrobić.

Wchodzimy do naszego folderu, klikamy prawym guzikiem właściwości, udostępniania zaawansowane, odhaczamy. Udostępnij ten folder – dajemy Zastosuj, tak, Ok I jeszcze raz udostępniamy ale tym razem dodajemy do nazwy dolar. Dajemy Zastosuj, OK, zamknij. Dolar powoduje, że folder dalej będzie udostępniony ale będzie niewidoczny. Wystarczy teraz odświeżyć aby sprawdzić czy zadziałało. Klikamy odśwież. Jak widać folder znikł ale tak naprawdę jest on nadal udostępniony. Zamykamy i przechodzimy do naszych ustawień. Teraz wystarczy, że wpiszemy odpowiednią ścieżkę. W naszym przypadku będzie to netadminpro.pl, następnie podajemy nazwę folderu.

W naszym przypadku folder jest ukryty więc wpisujemy NetAdminPro$, następnie nazwę folderu. W naszym przypadku będzie to users i klikamy Zastosuj, klikamy tak, OK i tą samą czynność powtarzamy dla każdego folderu z wyjątkiem folderu updata. Dlaczego? Ponieważ folder ten przechowuje czasami tymczasowe ustawienia dla danych programów. Większość aplikacji dobrze sobie radzi z ścieżkami zaczynającymi się od dwóch // ale zdarzyło mi się, że niektóre aplikacje takie bardziej techniczne jednak sobie nie radzą. Okazuje się, że rozwiązaniem jest nie udostępnianie i nierobienie przekierowania tego folderu.

Jeżeli masz jakieś ciekawe rozwiązania co do tej kwestii i spotkały się z tym problemem, chętnie podziel się informacją. Napisz w komentarzu kiedy i jak rozwiązałeś, ewentualnie w jakich okolicznościach taki problem Ci powstał, może dla kogoś też to będzie rozwiązanie, że w przypadku Active Directory nie potrafi zainstalować jakiegoś programu to właśnie podpowiadam, że głównym winowajcą jest właśnie ten folder i ja osobiście go nie udostępniam, nie robię przekierowania ponieważ no zdarza mi się jednak że są aplikacje, które użytkownicy chcą posiadać a niestety nie działają poprawnie. To tyle jeśli chodzi o folder updata więc robimy dalsze przekierowanie kolejnych folderów. Ja sobie skopiuję i klikamy właściwości podstawowe i dla każdego folderu wklejamy dokładnie to, co zostało skopiowane w pulpicie, system jakby sam nam podpowie i sam dopisze końcówkę naszej ścieżki, jaka będzie ona dostępna dla danego użytkownika.

Teraz zobaczmy na komputer na którym pracuje nasz użytkownik, co tam się zmieniło. Warto wcześniej zresetować taki komputer i jak widzimy wszystko jest na swoim miejscu ale tak naprawdę jak uruchomimy mój komputer to pojawią się takie zielone kółeczka przy folderach, z takimi żółtymi strzałkami. Co to oznacza? Oznacza to, że foldery te są przekierowane. Jak widać jest przekierowany pulpit, dokumenty, obrazy wideo, pobrane oraz muzyka. Jak to wygląda na serwerze? Zobaczmy. Wejdźmy do naszego folderu
NetAdminPro, Users n.lis i zobaczmy folder pulpit. Jak widać mamy dostęp z poziomu serwera do naszego użytkownika, do pulpitu więc tak naprawdę wszystkie rzeczy, które użytkownik trzyma na swoim komputerze są również na serwerze.

Zmienimy nazwę aby zrobić trochę porządku. Nazwiemy nowy folder kopia kopia folder i teraz mamy folder od 1 do 64. Zobaczmy czy u użytkownika się to zmieniło. Jak widać zmieniło się więc wszystko poprawnie działa. Warto tutaj wspomnieć jeszcze o jednej rzeczy. Są to pliki trybu offline. Jak to działa? Jeżeli nasz laptop lub też komputer stacjonarny nie będzie miał dostępu do naszego serwera to i tak foldery oraz pliki, które znajdują się na pulpicie będą dostępne. Jeżeli chcemy aby pliki były tylko dostępne wtedy, kiedy laptop czy też komputer jest podłączony do sieci, musimy pliki trybu offline wyłączyć.

Wystarczy, że klikniemy Wyłącz pliki trybu offline, wpiszemy poświadczenie, klikamy OK i musimy ponownie uruchomić komputer. Nasz komputer się już zresetował więc możemy zobaczyć, co się zmieniło. Jak widać dalej jest wszystko na swoim miejscu, więc po czym poznać, że pliki trybu offline są wyłączone. A na przykład wystarczy wejść na mój komputer i jak widać poznikały zielone kółeczka, które były wcześniej. Zobaczmy jak teraz zachowa się system w momencie kiedy nie będzie dostępu do serwera. Uruchomię w tym celu wiersz poleceń, piszemy ping netdminpro.pl i jak widać dostęp jest.

W tym momencie wyciągam kabel sieciowy z serwera. Dostajemy Time Out’a i kliknijmy na pulpicie odśwież. Jak widać wszystkie ikony znikły a więc nie ma do nich dostępu. Rozwiązanie te jest dobre moim zdaniem. Na początku może użytkownika przerazić, że nagle wszystko mu znikło ale powiedzmy jest to
dalej dużo bezpieczniejsze rozwiązanie ponieważ jeżeli komputer czy też laptop nie ma dostępu do serwera no to również nie ma dostępu do plików. Kiedy połączenie wróci, teraz włożyłem kabel sieciowy, to foldery jak widać od razu się pojawiają. Rozwiązanie te jest moim zdaniem również bezpieczne, kiedy na przykład doszłoby do jakiejś kradzieży to tak naprawdę możemy takiego użytkownika zablokować. Nawet jeżeli on wyciągnie dysk to i tak nie będzie miał dostępu, nawet lokalnie do folderów.

Na koniec chciałbym powiedzieć, że nie jest to najlepsze rozwiązanie na świecie ale uważam, że nie ma czegoś takiego jak najlepsze rozwiązanie. Jest to rozwiązanie którym na pewno warto się zainteresować. Najważniejsze jest to aby mieć jakiś pomysł i prowadzić rzetelnie dokumentację bo jeżeli od samego początku będziemy utrzymywać porządek, to później łatwiej będzie nam tym wszystkim zarządzać. Co doskonale widać chociażby na tej naszej przykładowej dokumentacji. Tak wygląda moim zdaniem bardzo źle prowadzona dokumentacja a tak wygląda taka podstawowa ale już bardzo czytelna dokumentacja.

Jak to rozwiążecie w swoich firmach to już zależy od was. Mam nadzieję, że podoba wam się mój materiał, jeżeli macie jakieś pytania, piszcie w komentarzu. Pochwalcie również się swoimi rozwiązaniami, jakie  stosujecie przy wdrażaniu Active Directory. Cześć.