7 Microsofts grupphanteringsmodell i Windows NT-domäner



Relevanta dokument
12 Sammankopplade domäner// Trusts

23 Användargrupper: lokala, globala och specialgrupper

21 De tre viktigaste kontona: Administratör//Administrator, Gäst/ /Guest och System//System

27 Samspel mellan lokal behörighet och delningsbehörighet för utdelade

22 Användarnas hemmamappar

en översikt Användarkonton i Windows-familjen Användarkonton i Windows NT Workstation och Windows NT Server

24 Användarrättigheter//User Rights

13 Inbyggda verktyg för nätadministration

Ingenjörsfirman Stéen Windows NT Server Sida 1 av 1

2 Arbetsgrupp eller Windows NTdomän: vilken passar bäst?

29 Operativsystem på användarnas maskiner (klienterna)

Manuell installation av SQL Server 2008 R2 Express för SSF Timing

11 Domän- och serverlistorna// Browse Lists

Del 1: Skapa konto i Exchange

Användarhantering Windows 7 I denna laboration kommer vi att skapa nya användare och grupper och titta på hur man hantera dessa.

Manual för fjärrinloggning

Administrationsmanual ImageBank 2

Win95/98 Nätverks Kompendium. av DRIFTGRUPPEN

15 Granskning//Auditing

O365- Konfigurering av SmartPhone efter flytt till Office 365 alt ny installation

3 Windows NT Server har en av 41 2 möjliga roller i nätverket

Konton skapas normalt av användaren själv, men kan i undantagsfall behöva läggas upp av annan person, exempelvis en junioradmin.

Manuell installation av SQL Server 2008 R2 Express SP2 fo r SSF Timing

14 Användarkonton och kontoprinciper

Flexi Exchange Connector. Copyright Datatal AB. Med ensamrätt. Copyright 2013 Datatal AB. All rights reserved.

Innehållsförteckning Introduktion Installation, konfiguration & Matchning Installation på primära domänkontrollanten...

DIG IN TO. Nätverksadministration

Nils Byström, Avd f IT och inköp. Projekt AD-design Uppsala universitet DiarieNr: UFV 2009/413. Revision 1.0 Filnamn AD skyddade personuppgifter.

ARX på Windows Vista, Windows 7 eller Windows 2008 server

28 Inloggningsskript, profiler och systemprinciper//system Policies

Författare Version Datum. Visi System AB

Ändringar i samband med aktivering av. Microsoft Windows Vista

Installationsanvisningar VISI Klient

7 Mamut Client Manager

Sidpanelen och gadgetar De är nya. De är smarta. Lär dig hur du använder dem.

Administrationsmanual ImageBank 2

Telia Centrex IP Administratörswebb Handbok

ShowYourPics. Kom igång guide Alpha True Fiction P roduction AB Sveavägen 98, Stockholm info@truefiction.se

AVCAD 4.0 for MS SQL-SERVER

Konfigurering av eduroam

Hur integrera Active Directory och DNS? Rolf Åberg, Simplex System

25 Lokal behörighet//local Security (lokal säkerhet, NTFS-behörighet)

June 2010, rev Smartsign Publisher. User Guide. Smartsign Publisher 6.

WebOrderInstallation <====================>

Innehållsförteckning ADSync Windows Azure Active Directory ADSynC- Installation Konfigurera ADSync... 4

TELIA CENTREX IP ADMINISTRATÖRSWEBB HANDBOK

Kapitel 1 Ansluta routern till Internet

Lathund för BankID säkerhetsprogram

Din manual F-SECURE PSB

ANVÄNDAR-GUIDE för Bränneriets LAN

Installationsanvisning Boss delad databas

Krav: * Filen MpUpdate.exe får inte köras när du startar denna uppdatering.

1 Installationsinstruktioner

IT-system. BUP Användarmanual

Instruktion: Trådlöst nätverk för privata enheter

3.2 1H[W*HQHUDWLRQ6HFXULW\ Användarmanual

VIDA ADMIN LATHUND INNEHÅLL

Visma Proceedo. Beställa IT-produkter - beställare. Version 1.2 /

14 AD-platser och domänkontrollanter

Instruktion: Trådlöst utbildningsnät orebro-utbildning

Mac OS X 10.6 Snow Leopard Installationshandbok

Konfigurering av inloggning via Active Directory

Installation/uppdatering av Hogia Personal fr.o.m. version 13.1

Välj bort om du vill. 96 Internet och e-post. 2. Mail-programmet finns i datorn. 1. Skriv mail i sökrutan. Windows Live Mail i Aktivitetsfältet.

ÅTVID.NET Startinstruktioner

Låta någon annan hantera din e-post och kalender

Guide för byte av SIP-server

1 Installationsinstruktioner

SITHS. Integration SITHS CA Copyright 2015 SecMaker AB Författare: Andreas Mossnelid Version 1.2

Startanvisning för Bornets Internet

Från och med den 22/6 kl 19:00 kommer alla nya mail till din nya postlåda, och inte längre till din gamla.

Inställningar för Exchange 2007-plattform Office 2007 AutoDiscover (RPC over HTTPS) Område: Finland / Operativsystem: Windows Vista

Hej! Dags att tala om hur du bäst får till en automatiserad inloggning då du använder SharePoint Online, eller andra Microsoft-tjänster.

1DV416 Windowsadministration I, 7.5hp MODULE 3 ACTIVE DIRECTORY

Använda Google Apps på din Android-telefon

Säkerhetskopiera mobilen

Din manual F-SECURE PSB AND SERVER SECURITY

Med NetAlert är du aldrig ensam.

Grundkurs 1 IKT Filhantering

Manual - Storegate Team

Windowsadministration I

Windowsadministration I

Dagens Agenda. Klient- och Serveroperativsystem Installation av Windows Server Genomgång av Windows Server Roller och Funktioner Domänhantering DNS

via webbgränssnittet. Du har även tystnadsplikt gällande dina identifikationsuppgifter.

Hemmanätverk. Av Jan Pihlgren. Innehåll

IT policy för elever vid

Resultat 3000 Kom igång med programmet

Installationsanvisning för LUQSUS version 2.0

Manual Skogsappen - Hemkomstkontroll

Rekommenderad felsökning av dator innan service

Guide för byte av SIP-server

En introduktion till Community i Mediakatalogen

Hämta SITHS-certifikat till Telia e-leg och logga in till Telia SITHS Admin med SITHS-certifikat

Sync Master startas via Task Scedule (schemaläggaren). Programmet kan köras på servern utan att någon är inloggad på servern.

KARLSBORGS ENERGI AB ADSL INSTALLATIONSHANDBOK REV

Installera SoS2000. Kapitel 2 Installation Innehåll

Innehåll. Installationsguide

Installationsanvisningar fiberstream (LAN) Version 1.0

Skapa ett paket av TI-Nspire programvara med Microsoft SMS 2003

Transkript:

7 Microsofts grupphanteringsmodell i Windows NT-domäner Microsofts modell för grupphantering i Windows NT-domäner Om du redan läst en del om Windows NT Server och Windows NT-domäner kanske du hajar till när du läser rubriken på detta kapitel?! I så fall förstår jag dig eftersom det tog mig lång tid att förstå att Microsoft faktiskt har en modell för hur de tycker att man skall hantera användarkonton, användargrupper, användarrättigheter och behörighet i Windows NT-domäner. Modellen som sådan är mycket enkel och kan sammanfattas i tre punkter: 1. Gör domänkonton till medlemmar av lämplig global grupp (befintlig eller nytillverkad) 2. Gör den globala gruppen till medlem av lämplig lokal grupp 3. Åsätt behörighet//permissions och användarrättigheter//user rights till den lokala gruppen Tanken är alltså att globala grupper endast används som behållare för användarkonton i Windows NT-domänen. De globala grupperna görs sedan till medlemmar av lokala grupper på Windows NT-datorer i domänen. Till sist åsätter man lokal behörighet och delningsbehörighet till dessa lokala grupper. En stor fördel med Microsofts modell är att den fungerar både i den minsta domänen och i flera sammankopplade domäner. (Mer om för- och nackdelar senare i kapitlet.) Microsofts modell i praktiken Ett antal nya användare skall ges tillgång till resurser i vår domän. Låt oss se hur Microsoft tycker att vi skall lösa detta. 235

7 Microsofts grupphanteringsmodell i Windows NT-domäner En Windows NT-domän med resurser på Windows NT-datorer. Vi börjar på domänens primärdomänkontrollant (PDC) 1. Tillverka nya domänkonton, ett för varje användare. Fyra nya domänkonton upprättas på domänens primärdomänkontrollant (PDC). För att upprätta nya domänkonton måste vi använda Kontohanteraren för domäner//user Manager for Domains. När denna startas kommer den automatiskt att koppla sig till den Windows NT Server-dator som för närvarande är primär domänkontrollant i domänen. Vi alltså inte tvungna att slå oss ned vid den primära domänkontrollanten för detta arbete utan vi kan sitta vid vilken dator 236

Microsofts modell i praktiken som helst förutsatt att Kontohanteraren för domäner//user Manager for Domains finns installerad på den. 2. Tillverka en ny global grupp (eller återanvänd lämplig befintlig). Ny global grupp upprättas på PDC:n. Att upprätta och hantera globala grupper är också en uppgift för Kontohanteraren för domäner//user Manager for Domains. 3. Gör de nya kontona till medlemmar av den globala gruppen. De nya domänkontona görs till medlemmar av lämplig(a) global(a) grupp(er) på PDC:n. Kontohanteraren för domäner//user Manager for Domains används naturligtvis även i detta steg. Med detta är vi färdiga på PDC:n och vi övergår till de 237

7 Microsofts grupphanteringsmodell i Windows NT-domäner resursbärande Windows NT-datorerna. Det finns dock ingen anledning att fysiskt lämna den dator du redan sitter vid. Kontohanteraren för domäner//user Manager for Domains kan hantera kontodatabasen på vilken Windows NT-dator som helst från vilken annan Windows NT-dator som helst, förutsatt att det konto man loggat in med är medlem av gruppen Domänadministratörer//Domain Admins vilken är med i varje Windows NT-dators lokala grupp Administratörer//Administrators. Vi ansluter Kontohanteraren för domäner//user Manager for Domains till en icke-domänkontrollant genom menyvalet Användare.Välj domän//user.select Domain och skriver sedan datornamnet, med två omvända snedstreck före, i textrutan Domän//Domain (du finner en detaljerad beskrivning i kapitel 13). Denna möjlighet är inte väldokumenterad men den framgår av den inbyggda hjälpen, F1, i Kontohanteraren för domäner//user Manager for Domains. 4. På varje resursbärande Windows NT-dator tillverkar vi ny lokal grupp (eller återanvänder befintlig). Arbetet på PDC:n är färdigt och nya lokala grupper på de tre resursbärande Windows NT-datorerna upprättas (en efter en). 5. Gör den globala gruppen till medlem av lämpliga lokala grupper (en eller flera). I detta fall handlar det om en lokal grupp på var och en av de resursbärande Windows NT-datorerna. 238

Microsofts modell i praktiken Domänens globala grupper görs till medlemmar av lokala grupper på enskilda Windows NT-datorer. Handgreppen för att göra en av domänens globala grupper till medlem av en lokal grupp på en icke-domänkontrollant innefattar byte av kontodatabas. q Dubbelklicka på den lokala grupp som skall få en av domänens globala grupper som medlem q Tryck på knappen Lägg till//add q I kombilistan Visa namn på//list Names From väljer du namnet på domänen (om det inte redan visas) q Dubbelklicka på den globala grupp som skall göras till medlem, tryck på OK för att bekräfta och återgå. (När du gör en global grupp från en annan domän till medlem av en lokal grupp i din egen domän kommer alltid domänens namn att föregå gruppnamnet, med ett omvänt snedstreck mellan domännamn och gruppnamn.) 6. Dela ut resurser och åsätt behörigheter till de lokala grupperna. Både lokala behörigheter och delningsbehörigheter delas ut till de lokala grupperna. 239

7 Microsofts grupphanteringsmodell i Windows NT-domäner Lokala behörigheter och delningsbehörigheter åsätts lokala grupper på varje enskild Windows NT-dator. 7. Försäkra dig om att de lokala grupperna har åsatts användarrättigheter//user rights så att användarna kan utnyttja sina privilegier. Sista steget är att försäkra sig om att användarrättigheter//user Rights är tilldelade lokala grupper som användarkontona indirekt är medlemmar av (genom medlemskap i globala grupper). 1-2-3 1. Gör domänkonton till medlemmar av lämplig global grupp (befintlig eller nytillverkad) 240

Skäl för att anamma Microsofts gruppstrategi 2. Gör den globala gruppen till medlem av lämplig lokal grupp 3. Åsätt behörigheter (och användarrättigheter) till den lokala gruppen Skäl för att anamma Microsofts gruppstrategi Microsofts grupphanteringsmodell kan synas en smula onaturlig, men det finns saker att anföra till dess försvar: q Den fungerar i det lilla nätverket såväl som i det stora q Den fungerar lika väl i en självständig domän som i sammankopplade domäner q Den är dokumenterad i Microsofts egen dokumentation och i de flesta Windows NT-böcker q Man kan dela upp administrationen av nätverket i två delar och därmed dela upp ansvaret på flera personer: q Hantering av användarkonton och globala grupper q Hantering av resurser (delningsbehörigheter och lokala behörigheter) och lokala grupper q Många tycker att hantering av grupper i sammankopplade domäner blir väldigt tydlig och enkel med kombinationen globala lokala grupper q Om man alltid använder lokala grupper spar det tid och nätverksbandbredd när man studerar behörighetslistor (och listor över tilldelad användarrättighet) eftersom information om lokala grupper finns på den lokala datorn q Den är med största sannolikhet framtidssäker när Active Directory Services kommer bör Microsoft ge oss verktyg för att enkelt flytta från domäner (som endast fungerar om vi följt Microsofts modell) Idag (sommaren 1998) verkar det tyvärr som om Microsoft inte kommer att ge oss verktyg för att underlätta övergången från Windows NT Server 4.0 till Windows NT Server 5.0. Det står dig fritt att kontakta Microsoft och försöka påverka dem i frågan. (Microsoft AB har telefonnummer 08-752 56 00.) 241

7 Microsofts grupphanteringsmodell i Windows NT-domäner Kritik av Microsofts grupphanteringsmodell q Man klarar sig utmärkt utan den ena grupptypen i en självständig domän enbart med ena grupptypen (antingen global eller lokal); i sammankopplade domäner enkom med globala grupper. q Lokala grupper används endast på Windows NT-datorer, om man delar ut resurser på Windows 95/98-datorer (nyare än Windows NT!) så måste man använda globala grupper. Windows för Workgroups har ingen som helst uppfattning om grupper, vare sig globala eller lokala. Rör aldrig paret Domänanvändare//Domain Users Användare/ /Users Om du väljer bort Microsofts modell så låt ändå alla nya domänkonton bli medlemmar av Domänanvändare//Domain Users och Domänanvändare//Domain Users kvarstå som medlem i alla Windows NT-datorers lokala grupp Användare//Users. Då kan du använda Användare//Users för att tilldela användarrättigheter//user rights. Detta innebär inget som helst arbete från din sida eftersom Windows NT alltid gör nya domänkonton till medlemmar av den globala gruppen Domänanvändare//Domain Users och Domänanvändare//Domain Users görs alltid till medlem av alla lokala grupper Användare//Users. Hjälpfrågor 1. Vad används lokala grupper till i Microsofts grupphanteringsmodell? 2. Vad används globala grupper till i Microsofts grupphanteringsmodell? 3. Varför inte tilldela globala grupper resurser direkt utan att gå via lokala grupper (Microsofts grupphanteringsmodell)? 242

Hjälpfrågor 4. Vad åsyftas med uttrycket 1-2-3 vad gäller Microsofts grupphanteringsmodell? 5. Vilka skäl talar för att anamma Microsoft grupphanteringsmodell för Windows NT-domäner? 6. Vilka skäl talar emot att använda Microsofts grupphanteringsmodell för Windows NT-domäner? 7. Om man nu bestämmer sig för att inte följa Microsoft modell, vilket råd ger författaren, varför? 8. Hur gör du för att koppla Kontohanteraren för domäner/ /User Manager for Domains till kontodatabasen på en icke-domänkontrollant? 9. Kommer Microsofts grupphanteringsmodell sådan den ser ut idag att kunna användas i Windows NT 5.0? 10.Vad kommer att hända med befintliga behörighetslistor när du uppgraderar till Windows NT 5.0? 243

7 Microsofts grupphanteringsmodell i Windows NT-domäner Förslag till svar på frågor 1. Vad används lokala grupper till i Microsofts grupphanteringsmodell? Lokala grupper tilldelas användarrättigheter//user Rights samt åsätts lokal behörighet och delningsbehörighet//local and Share Permissions. 2. Vad används globala grupper till i Microsofts grupphanteringsmodell? Globala gruppers enda funktion är vara behållare för domänkonton från den egna domänen. Det är dock fullt möjligt att tilldela även globala grupper användarrättigheter och åsätta dem behörigheter det bryter dock mot Microsofts grupphanteringsmodell. 3. Varför inte tilldela globala grupper resurser direkt utan att gå via lokala grupper (Microsofts grupphanteringsmodell)? Microsofts grupphanteringsmodell bygger på att konton görs till medlemmar i globala grupper och att sedan globala grupper görs till medlemmar av lokala grupper. Till sist tilldelar man dessa lokala grupper användarrättigheter och åsätter dem behörigheter. Tekniskt kan vi handla annorlunda, men då bryter vi mot Microsofts grupphanteringsmodell. 4. Vad åsyftas med uttrycket 1-2-3 vad gäller Microsofts grupphanteringsmodell? Uttrycket 1-2-3 vad gäller Microsofts grupphanteringsmodell i en Windows NT-domän åsyftar de tre steg som ingår i modellen för att ge användare (människor) tillgång till resurser: 1) Gör användarens konto till medlem av lämplig global grupp. 2) Gör den globala gruppen till medlem av en lokal grupp 244

Förslag till svar på frågor på den resursbärande Windows NT-datorn. 3) Åsätt den lokala gruppen nödig behörighet (delningsbehörighet och lokal behörighet). 5. Vilka skäl talar för att anamma Microsoft grupphanteringsmodell för Windows NT-domäner? q Den fungerar i det lilla nätverket såväl som i det stora q Den fungerar lika väl i en självständig domän som i sammankopplade domäner q Den är dokumenterad i Microsofts egen dokumentation och i de flesta Windows NT-böcker q Man kan dela upp administrationen av nätverket i två delar och därmed dela upp ansvaret på flera personer: q q Hantering av användarkonton och globala grupper Hantering av resurser (delningsbehörigheter och lokala behörigheter) och lokala grupper q Många tycker att hantering av grupper i sammankopplade domäner blir väldigt tydlig och enkel med kombinationen globala lokala grupper 6. Vilka skäl talar emot att använda Microsofts grupphanteringsmodell för Windows NT-domäner? q Man klarar sig utmärkt utan den ena grupptypen i en självständig domän enbart med endera grupptypen (antingen global eller lokal); i sammankopplade domäner enkom med globala grupper. q Lokala grupper används endast på Windows NT-datorer, om man delar ut resurser på Windows 95/98-datorer (nyare än Windows NT!) så måste man använda globala grupper. Windows för Workgroups har ingen som helst uppfattning om grupper, vare sig globala eller lokala. 7. Om man nu bestämmer sig för att inte följa Microsoft modell, vilket råd ger författaren, varför? Författaren ger rådet att inte röra paret Domänanvändare Användare (Domain Users Users) eftersom Microsoft tilldelat gruppen Användare//Users en del användarrättigheter. Genom att låta den globala gruppen Domänanvän- 245

7 Microsofts grupphanteringsmodell i Windows NT-domäner dare//domain Users fortsätta vara medlem i alla Windows NT-datorers lokala grupp Användare//Users är vi garanterade fortsatt funktion. 8. Hur gör du för att koppla Kontohanteraren för domäner/ /User Manager for Domains till kontodatabasen på en icke-domänkontrollant? Kontohanteraren för domäner//user Manager for Domains ansluts till kontodatabasen på icke-domänkontrollant genom menyvalet Användare.Välj domän//user.select Domain där man sedan skriver datornamnet, med två omvända snedstreck före, i textrutan Domän//Domain. 9. Kommer Microsofts grupphanteringsmodell sådan den ser ut idag att kunna användas i Windows NT 5.0? Det är inte lätt att säga om Microsofts grupphanteringsmodell sådan den ser ut idag kommer att kunna användas i Windows NT 5.0. Innan beta ett av Windows NT 5.0 kom sades det att lokala grupper skulle försvinna i Windows NT 5.0. På TechEd 1998 i New Orleans var detta ändrat och man verkar i stället sikta på att utöka antalet grupptyper. Vi kan dock räkna med fortsatta förändringar. 10.Vad kommer att hända med befintliga behörighetslistor när du uppgraderar till Windows NT 5.0? Enligt den information om Windows NT 5.0 som finns allmänt tillgänglig tänker Microsoft inte röra befintliga behörighetslistor vi kommer alltså inte att behöva ändra allt när vi installerar Windows NT 5.0. Detta torde bland annat innebära att den grupphantering som finns idag kommer att finnas även i Windows NT 5.0 [synd, tycker författaren]. 246

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss