1
2 Innehåll Översikt... 4 Single Master of Operations... 5 Översikt Single Master of Operations... 6 Vilka finns?... 7 Forest... 8 Domänen... 9 Schema Master... 10 Indexering och replikering till Global Catalog... 11 Schema... 12 Modifiera Schema... 13 Flytta rollen... 14 Schema snap-in... 15 Schema snap-in (forts.)... 16 Domain Naming Master... 17 Flytta rollen... 18 AD Domains and Trusts... 19 RID... 20 PDC Emulator... 21 Infrastructure Master... 22 Infrastructure Master (forts.)... 23 Flytta rollerna... 24 Flytta rollerna (forts.)... 25 Demo Flytta roller... 26 Global Catalog... 27 Översikt Global Catalog... 28 Plats för Global Catalog... 29 Att tänka på Global Catalog... 30 Demo - Placera Global Catalog... 31 Avancerad administration... 32 Översikt Avancerad administration... 33 Återställa objekt... 34 AD Recycle Bin... 35 Ntdsutil... 36
3 Snapshot... 37 Fine Grained Password Policy... 42 Exempel på Fine Grained Password Policy... 43 Password Settings Container... 44 Övning Administration av Active Directory... 46 Repetitionsfrågor... 56
4 Översikt Single Master of Operations Global Catalog Avancerad administration
5 Single Master of Operations
6 Översikt Single Master of Operations Vilka finns? Flytt via de grafiska verktygen Att tänka på
7 Vilka finns? Forest Unika i Forest. Domänen Unika i domänen.
8 Forest Schema Master Domain Naming Master
9 Domänen RID PDC Emulator Infrastructure Master
10 Schema Master Kontrollerar Domänkontrollant som kontrollerar schema. Katalogdatabasen I Schema finns alla objekt, attribut och regelverk knutna till katalogdatabasen. Alla Kontrollerar alla uppdatering och modifieringar.
11 Indexering och replikering till Global Catalog Indexering Varje objekt kan markeras för indexering. Replikering Objekt eller attribut kan markeras för replikering till Global Catalog
12 Schema Beskrivning Innehåller beskrivning för klasser och dess attribut. Varje klass För varje klass, finns beskrivning vilka attribut som är tvingande och vilka attribut som är tillval. Ett ställe Objekt och attribut lagras bara på ett ställe. Unik identifierare Varje objekt eller attribut har unik identifierar i Schema.
13 Modifiera Schema Grafiskt verktyg Modifiera schema kan göras med Schema snap-in, som är ett grafiskt verktyg. Verktyget finns normalt inte efter installation,.ddl-fil för verktyget måste registreras. Öppna kommandopromten som administratör, skriv in följande kommando: regsvr32 schmmgmt.dll klicka på Enter. Sedan får du skapa egen konsol, via verktyget MMC. Snap-in finns inte med i Server Manger Tools. Andra metoder Andra metoder är att göra detta via script. Schema Admins För att kunna modifiera Schema, måste användaren vara medlem i Schema Admins-
14 Flytta rollen Schema snap-in Flytta rollen kan göras via Schema snap-in. ntdsutil Det går även att flytta med ntdsutil.
15 Schema snap-in Registrera Registrera snap-in. Medlem Vara medlem i Schema Admins.
16 Schema snap-in (forts.)
17 Domain Naming Master Namngivningen Är ansvarig för namngivningen i katalogtjänsten. Skriva till Enda som kan skriva till en del som kallas för partition. Root domänen Finns i root domänen.
18 Flytta rollen AD Domains and Trusts Flytta rollen kan göras via AD Domains and Trusts. ntdsutil Det går även att flytta med ntdsutil.
19 AD Domains and Trusts
20 RID Relativ ID Master Sekvens Tilldelar sekvens av ID till sig själv och till andra domänkontrollanter i domänen. Del av RID är en del av SID:en. Unikt RID är unikt för varje objekt.
21 PDC Emulator Synkronisering Synkronisering av lösenordsförändringar. Group Policy Group Policy, DFS. Tidsstyrning PDC Emulator är tidsserver i katalogtjänsten. Flera domäner, då är det den första PDC Emulatorn som är huvudtidsserver.
22 Infrastructure Master Ansvarig Ansvarig för uppdatering av objekt från en domän till en annan. Jämför Jämför information med den information som finns i Global Catalog. Uppdatering Begär uppdatering ifrån Global Catalog. Replikera Kommer sedan att replikera ut uppdateringarna till sina partners.
23 Infrastructure Master (forts.) Förändringar Uppdaterar eventuella förändringar i gruppmedlemskap.
24 Flytta rollerna AD Users and Computers Flytta rollen kan göras via AD Users and Computers. Ntdsutil Det går även att flytta med ntdsutil.
25 Flytta rollerna (forts.)
26 Demo Flytta roller
27 Global Catalog
28 Översikt Global Catalog Databas Sökbar databas över objekt i katalogtjänsten. I alla Kan söka efter objekt i alla domäner. Inloggning Används vid inloggning för eventuella medlemskap Universal Groups. Förändras Vad som finns i Global Catalog bestämms av Microsoft, men kan förändras av administratör.
29 Plats för Global Catalog Första Alltid första domänkontrollant som installeras. Installation Definieras vid installation av katalogtjänsten. Verktyget Via verktyget AD Site and Services.
30 Att tänka på Global Catalog Ha flera Fördel att ha flera, framförallt om Exchange 2010/2013 används. Ej på samma Ej på samma domänkontrollant som även innehar Infrastructure Master rollen. Nya objekt Nya objekt till Global Catalog, konfigureras via Schema.
31 Demo - Placera Global Catalog
32 Avancerad administration
33 Översikt Avancerad administration AD Recycle Bin Snapshot Fine Grained Password Policy
34 Återställa objekt AD Recycling Bin Ntdsutil Verktyget används oftast i samband med snapshot.
35 AD Recycle Bin AD Administrative Center Slås på via AD Administrative Center. Inte stängas av Väl påslagen, kan funktionen inte stängas av. Replikering Efter påslagning, vänta på att replikeringen har gjorts. Notering! Windows PowerShell:s kan också användas för denna åtgärd: Get-ADObject Filter 'Name Like "*test*"' IncludeDeletedObjects Restore-ADObject
36 Ntdsutil Starta Starta domänkontrollant i Directory Restore Mode. Återställ Återställ databas från säkerhetskopia. Hela Använd hela sökvägen till objektet. Montera Montera snapshot, för att lättare se objektets sökväg.
37 Snapshot Hela sökväg Används för att lättare se objektets hela sökväg. Kommando för att göra snapshot, via kommandopromten. Tänk på att öppna som administrator. ntdsutil <ENTER> snapshot <ENTER> activate instance ntds <ENTER> create <ENTER> Systemet kommer att returnera: Snapshot set {GUID} generated successfully.
38 Schemalägga Går att schemalägga. Monteras Snapshot måste monteras, för att informationen skall kunna ses. Görs via kommandopromten. Tänk på att öppna som administrator. Kommando för att montera snapshot: ntdsutil <ENTER> snapshot <ENTER> list all <ENTER> (för att se vilka ögonblicksbilder som finns) mount {GUID} <ENTER>
39 När kommandot har slutförts, kommer du se sökväg till den monterade ögonblicksbilden av din katalogdatabas. Denna katalog kan du se i filsystemet på domänkontrollanten. dsamain.exe Verktyget dsamain.exe används för att få åtkomst till snapshot. Kommando för att få åtkomst till snaphot, görs via kommandopromten. Tänk på att öppna som administrator. Exempel nedan, visar kommandot och sökvägen enligt föregående kommando. Dsamain /dbpath C:\$SNAP_201404101535_VOLUMEC$\Windows\NTDS.dit /ldapport 51389 <ENTER> Viktigt att montera till annan port, än standardporten för LDAP 389.
40 Stäng inte ner fönstret! Verktyget AD Users and Computers används för att få åtkomst grafiskt till din monterade katalogdatabas. Starta verktyget, högerklicka på texten Active Directory Users and Computers, klicka på Change Domain Controller i dialogfönstret som kommer upp. I rutan <Type a Directory Server name[:port] here, skriv in: namnet på din domänkontrollant:51389, klicka på OK. Din ögonblicksbild av katalogdatabasen visas nu i AD Users and Computers.
41 Leta upp borttagit objekt, notera objektets hela sökväg. Denna sökväg används sedan om du vill återställa objektet med ntdsutil programvaran. När du är klar, stäng fönstret där du körde kommandot, anslutningen kommer att brytas. Avmontera snapshot, genom att öppna kommandopromt som administrator. Skriv in följande kommando: ntdsutil <ENTER> snapshot <ENTER> unmount {GUID} <ENTER> Andra LDAP-verktyg kan användas.
42 Fine Grained Password Policy Regelverk Används för att sätta olika regelverk vad det gäller lösenordet. Endast I tidigare versioner, endast möjligt att sätta på regel för domän. Kan sättas Kan sättas på användare och/eller grupp. Gruppen måste vara av typen Global. Funktionsnivå för domän måste vara minst Windows 2008. AD Administrative Center Görs via AD Administrative Center.
43 Exempel på Fine Grained Password Policy I tabellen ovan, är tre olika Fine Grained Password Policy definierade. Dessa konfigureras som sagt via AD Administrative Center. Fine Grained Password Policy benämns även som PSO (Password Settings Object). Expandera System och navigera till Password Settings Container.
44 Password Settings Container För att skapa ny regel, klicka på New under Tasks, välj Password Settings. Skriv in ett namn för din regel. Definiera ditt regelverk, tänk på att lämna utrymme för flera regler i värdet för Precedence. När du är klar med dina inställningar, knyt regel till grupp eller användare, genom att klicka på Add, under delfönstret Directly Applies To.
45 Klicka på OK, för att sätta konfigurationen. Notering! Kan även göra via Windows PowerShell: New-ADFineGrainedPasswordPolicy TestPswd - ComplexityEnabled:$true -LockoutDuration:"00:30:00" - LockoutObservationWindow:"00:30:00" - LockoutThreshold:"0" -MaxPasswordAge:"42.00:00:00" - MinPasswordAge:"1.00:00:00" -MinPasswordLength:"7" - PasswordHistoryCount:"24" -Precedence:"1" - ReversibleEncryptionEnabled:$false - ProtectedFromAccidentalDeletion:$true Add-ADFineGrainedPasswordPolicySubject TestPswd - Subjects group1 Värdet Precedence används vid eventuell konflikt, mellan flera regelverk. Exempel: Regel1 med Precedence satt till 10 Regel2 med Precedence satt till 20 Om båda reglerna är satta för användare, kommer användaren att få det regelverk som är definierat i Regel1, eftersom denna har det lägsta värdet för Precedence. Är det så att båda reglerna har samma värde i Precedence, kommer den regel som har det lägsta GUID:et som kommer att sättas. Fine Grained Password Policy, kan sättas på användare eller grupper. Kan inte sättas på organizational unit. Om administratören vill sätta på organizational unit, får en shadow group skapas. Dvs en grupp som innehåller de användare som finns i det specifika organizational unit. Fine Grained Password Policy kan inte sättas på datorer.
46 Övning Administration av Active Directory Övning 1: Flytta Schema Master Arbetsuppgift 1: Registrering av Schema Snap-in Steg 1: Starta och logga på EasecServer, som easec\administrator med lösenordet Pa$$w0rd. Steg 2: Sök efter cmd.exe, högerklicka först på cmd.exe välj därefter Run as Administrator. Steg 3: Skriv in följande kommando regsvr32 schmmgmt.dll, när du är klar klicka på Enter. Bekräfta meddelandet att schmmgmt.dll är registret genom att klicka på OK. Arbetsuppgift 2: Skapa konsol, ansluta och undersöka Schema
47 Steg 1: Starta mmc genom sökfunktionen, när verktyget att startat klicka på File Add/Remove Snap in. Välj Active Directory Schema, i listan över tillgängliga snap-ins. Klicka först på Add, därefter på OK. Steg 2: Expandera trädtrukturen, notera Object och Attributes. Leta upp och dubbelklicka på User object. I detail pane kan du se vilka attribut som finns knutna för användare. De flesta är av typen Optional, men det finns ett antal som är Mandatory. Bl a cn som står för Common Name. Steg 3: Under Attributes, leta upp och högerklicka på Assistent, i dialogrutan som dyker upp välj alternativet Properties. Steg 4: Lägg märke till att boxrutan till vänster om texten Replicate this attribute to the Global Catalog inte är ikryssad. Denna inställning som talar om för katalogtjänsten att replikera attributet till Global Catalog. Arbetsuppgift 3: Flytta Schema Master rollen Steg 1: Starta EasecDC2, logga på som easec\administrator med lösenordet Pa$$w0rd. Steg 2: Sök efter cmd.exe, högerklicka först på cmd.exe välj därefter Run as Administrator. Steg 3: Skriv in följande kommando regsvr32 schmmgmt.dll, när du är klar klicka på Enter. Bekräfta meddelandet att schmmgmt.dll är registret genom att klicka på OK. Steg 4: Starta mmc genom sökfunktionen, när verktyget att startat klicka på File Add/Remove Snap in. Välj Active Directory Schema, i listan över tillgängliga snap-ins. Klicka först på Add, därefter på OK. Steg 5: Högerklicka på Active Directory Schema, välj alternativet Change Active Directory Controller, välj EasecDC2 i listan över tillgängliga domänkntrollanter, klicka på OK, klicka på OK för att bekräfta informationsmeddelandet. Steg 6: Högerklicka på Active Directory Schema (easecdc2.easec.net), klicka på alternativet Operations Master.
48 Steg 7: I den övre rutan, notera att easecserver.easec.net är registrerat som nuvarande operations master, i den undre rutan finns easecdc2.easec.net noterat, klicka på Change för att flytta rollen, bekräfta genom att klicka på Yes att du vill flytta operations master. Klicka på OK för att bekräfta att rollen har flyttats. Klicka på Close ytterligare en gång för att stänga dialogfönstret. Steg 8: Högerklicka på Active Directory Schema, välj Operations Master i dialogfönstret som visas. Verifiera att easecdc2.easec.net är nuvarande ägare för operations master. Övning 2: Flytta RID Master och PDC Emulator Arbetsuppgift 1: Undersök vem som är nuvarande ägare till rollerna Steg 1: Logga på EasecServer, som easec\administrator med lösenordet Pa$$w0rd. Steg 2: Öppna Active Directory Users and Computers via Server Manager Tools. Steg 3: Högerklicka på easec.net, välj alternativet Operations Masters i dialogrutan som kommer upp. Steg 4: Notera vilken server som har rollerna RID Master och PDC Emulator. Klicka på Close för att stänga fönstret. Arbetsuppgift 2: Flytta RID Master och PDC Emulator Steg 1: Logga på EasecDC2 som easec\administrator med lösenordet Pa$$w0rd. Steg 2: Öppna Active Directory Users and Computers via Server Manager Tools.
49 Steg 3: Högerklicka på easec.net, välj alternativet Operations Masters i dialogrutan som kommer upp. Steg 4: Notera att i det övre fältet finns nuvarande ägare. Klicka på Change för att flytta rollen till EasecDC2.easec.net. Bekräfta att du vill flytta rollen, genom att klicka på Yes, klicka därefter på OK. Steg 5: Klicka på fliken PDC, gör om föregående steg. Steg 6: Verifiera att rollerna har flyttats! Arbetsuppgift 3: Flytta Domain Naming Master Steg 1: Logga på EasecDC2 som easec\administrator med lösenordet Pa$$w0rd. Steg 2: Öppna Active Directory Domains and Trusts via Server Manager Tools. Steg 3: Högerklicka på namnet för snap-in, klicka på alternativet Opererations Master i dialogrutan som dyker upp. Steg 4: Verifiera att easecserver.easec.net står som ägare för rollen. Klicka på Change, för att flytta rollen till easecdc2.easec.net. Klicka på yes för att bekräfta att du vill flytta, klicka på OK när flytten är klar. Klicka på Close för att stänga dialogfönstret. Övning 3: Slå på funktionen Recycle Bin och testa funktionen Arbetsuppgift 1: Slå på funktionen Steg 1: Starta och logga på EasecDC2, som easec\administrator med lösenordet Pa$$w0rd. Steg 2: Starta Active Directory Administrative Center, via Server Manager Tools.
50 Steg 3: Klicka på alternativet Enable Recycle Bin, du hittar alternativet under Tasks easec (local). I dialogfönstret Enable Recycle Bin Confirmation, klicka på OK. Klicka på OK i dialogfönstret Active DirectoryAdministrative Center. Arbetsuppgift 2: Testa funktionen Steg 1: I Active Directory Administrative Center, expandera Easec Marknadsavd. Högerklicka på användare Nisse Hult, klicka på alternativet Delete i dialogrutan som dyker upp. Steg 2: Expandera Deleted Objects, högerklicka på användare Nisse Hult, klicka på alternativet Restore i dialogrutan som dyker upp. Steg 3: Expandera Marknadsavd, verifiera att användaren är tillbaks. Steg 4: Stäng ner alla fönster. Övning 4: Att använda Fine Grained Password Policy Arbetsuppgift 1: Skapa Globalagrupper och skapa regler Steg 1: I Active Directory Administrative Center, expandera Easec Easec, i detta organizational unit skapa global grupp med namnet GGEasecAdmin. Skapa ytterligare globalgrupp med namnet GGEasecAnv, i samma organizational unit Steg 2: Expandera Easec System. Under System, klicka på Password Settings Container. Steg 3: Under Tasks (längst till höger), klicka på alternativet New Password Settings. Steg 4: Skriv in EasecAdmin i fältet för name, skriv 10 i fältet för Precedence, verifiera att boxrutan Enforce minimum password length är ikryssad.
51 Skriv in 10 i fältet för Minimum password length (characters), verifiera att boxrutan Enforce minimum password age är ibockad, skriv in 8 i fältet för User cannot change the password within. Bocka i boxrutan Enforce account lockout policy, skriv in 2 i fältet för Number of failed logon attempts allowed, kryssa i rutan till vänster om Until an administrator manually unlocks the account. Steg 5: Under Directly Applies To:, klicka på Add. Skriv in GGEasecAdmin, i fältet under Enter the object names to select, klicka på Check Names. Klicka på OK. Verifiera att du har samma konfiguration som bilden ovan. Klicka på OK. Steg 6: Under Tasks (längst till höger), klicka på alternativet New Password Settings. Steg 7: Skriv in EasecAnv i fältet för name, skriv 20 i fältet för Precedence, verifiera att boxrutan Enforce minimum password length är ikryssad. Skriv in 8 i fältet för Minimum password length (characters), verifiera att boxrutan Enforce minimum password age är ibockad, skriv in 3 i fältet för User cannot change the password within. Bocka i boxrutan Enforce account lockout policy, skriv in 3 i fältet för Number of failed logon attempts allowed, kryssa i rutan till vänster om For a duration of (mins):, skriv in 30 i fältet till höger för antal minuter.
52 Steg 5: Under Directly Applies To:, klicka på Add. Skriv in GGEasecAnv, i fältet under Enter the object names to select, klicka på Check Names. Klicka på OK. Verifiera att du har samma konfiguration som bilden ovan. Klicka på OK. Du skall nu ha två stycken Fine Grained Password Policy:s.
53 Arbetsuppgift 2: Skapa användare, tilldela dessa medlemskap i global grupp, testa Fine Grained Password Policy Steg 1: I Active Directory Administrative Center, expandera easec Easec. Högerklicka på organizational unit Easec, välj alternativet New User I dialogfönstret som kommer upp. Använd följande parametrar: First Name: Karl Last Name: Nilsson User UPN logon: KarlN Password: Pa$$w0rd Confirm Password: Pa$$w0rd Under sektionen Member of, klicka på Add. Skriv in GGEasecAdmin, i fältet under Enter the object names to select, klicka på Check Names. Klicka på OK. Klicka på OK. Steg 2: Högerklicka på organizational unit Easec, välj alternativet New User I dialogfönstret som kommer upp. Använd följande parametrar: First Name: Anders Last Name: Karlsson User UPN logon: AndersK Password: Pa$$w0rd Confirm Password: Pa$$w0rd Under sektionen Member of, klicka på Add. Skriv in GGEasecAnv, i fältet under Enter the object names to select, klicka på Check Names. Klicka på OK. Klicka på OK.
54 Steg 3: Starta virtuell maskin med namnet Klient1, logga på som easec\andersk, med lösenordet Pa$$w0rd. Klicka på OK, dvs att du vill ändra ditt lösenord. Skriv in Pa$$w0rd i fältet för Password, om detta inte redan är ifyllt. Skriv in kalle$ i fältet för New password, bekräfta lösenordet genom att skriva in samma lösenord i fältet under. Klicka på högerpil. Steg 4: Klicka på OK, skriv in Pa$$w0rd i fältet för Password, om detta inte redan är ifyllt. Skriv in Hemligt2 i fältet för New password, bekräfta lösenordet genom att skriva in samma lösenord i fältet under. Klicka på högerpil. Kan du byta lösenord och logga på? Steg 5: Logga av som AndersK. Logga på som easec\karln, med lösenordet Pa$$w0rd. Klicka på OK, dvs att du vill ändra ditt lösenord. Skriv in Pa$$w0rd i fältet för Password, om detta inte redan är ifyllt. Skriv in Hemligt2 i fältet för New password, bekräfta lösenordet genom att skriva in samma lösenord i fältet under. Klicka på högerpil. Steg 6: Klicka på OK, skriv in Pa$$w0rd i fältet för Password, om detta inte redan är ifyllt. Skriv in NisseHult19 i fältet för New password, bekräfta lösenordet genom att skriva in samma lösenord i fältet under. Klicka på högerpil.
55 Kan du byta lösenord och logga på?
56 Repetitionsfrågor 1) Vad måste göras för att kunna använda Recycle Bin för katalogtjänsten? 2) Vilket verktyg för att flytta RID Master?
57 3) Operation Masters, är olika roller eller funktioner för en domänkontrollant, vilka finns och på vilken nivå läggs dessa? 4) Vilket verktyg för att flytta Domain Naming Master? 5) Med vilka verktyg administreras Active Directory?