westfälische wilhelms-universität münster 20-nov-2003 heinz-hermann adam...
TRANSCRIPT
20-NOV-2003 Heinz-Hermann Adam([email protected])
I V der Fachbereiche Biologie Chem ie Physik· ·Naturw issenschaften
I VV4
Westfälische Wilhelms-UniversitätMünster
NW Znet.uni-m uenster.de
NW Znet.uni-m uenster.de
Arbeitsgruppen-administration
mit NWZnet Organizational Units (OUs) und Group Policy Objects (GPOs)
2
I VV4 Schedule
Termin Thema
13-NOV-2003 IVV Naturwissenschaften und NWZnet – Überblick und Konzepte (nicht nur für Windows-Administratoren)
20-NOV-2003 Arbeitsgruppenadministration mit NWZnet Organizational Units (OUs) und Group Policy Objects (GPOs)
27-NOV-2003 Installation und Konfiguration von Windows Servern
04-DEC-2003 Installation von NWZnet Windows-Clients
11-DEC-2003 Linux in NWZnet
18-DEC-2003 Benutzung von tragbaren Computern unter Windows in NWZnet
3
I VV4 Agenda
OU- und Gruppenstruktur in NWZnet Administration von
Benutzern Gruppen Rechnern
Group Policy Objects Einführung Computer Konfiguration Benutzer Konfiguration Dokumentation
Zusammenfassung
4
I VV4
Vorteile von Windows 2000 und Active Directory
Feinere Steuerung von Rechten (Permissions) und Richtlinien (Policies) (nur Windows)
Stärkere Dezentralisierung der alltäglichen administrativen Aufgaben
Vereinfachung von Client-Installationen (nur Windows)
Erhöhte Ausfallsicherheit bei Servern und Diensten (nur Windows)
Integration weiterer Betriebssysteme Benutzerverwaltung und Nutzung von Ressourcen
5
I VV4
Flexible Konfiguration der Policies
Individuelle Konfiguration der Policies gemäß der Anwendungs- und Risikostruktur Sichere Konfiguration für CIP-Pools mit
allgemeinem Zugang Größtmögliche Freiheit für Mitarbeiter, z.B.
bei Laborarbeitsplätzen mit spezieller Messtechnik
Auch dezentral möglich
6
I VV4 Delegation von Administration
Entlastung der Domänenadministratoren von „lästigen“ Aufgaben Betreuung durch Administratoren vor Ort
Rechner (Hinzufügen und Entfernen von der Domäne)
Benutzer (vergessene Passwörter)
Stärkung der Administratoren vor Ort durch umfassende Rechte und Möglichkeiten zusätzliche parallele Strukturen werden überflüssig
7
I VV4 OU-Struktur
Abbildung der Organisationsstruktur
ca. 520 OUs Entsprechen den
administrativen Einheiten
Bereiche mit besonderen Anforderungen ausgegliedert
Computer-Pools für Studierende
OUs der jeweils untersten Ebene der Struktur enthalten
Rechner Benutzer
NWZnet.uni-muenster.de
Fachbereich
Institut
Arbeitsgruppe
Mitarbeiter_1
Computer-Pool
Student_1
Next>
Cancel
Next >< BackCancel
Next>
CancelOK
Computer_1
Next>
Cancel
Next >< BackCancel
Next>
CancelOK
Computer_2
8
I VV4
uni-muenster.d
e
NWZnet
DomainControllers
DomainServer
DomainMember
wwu
PhysikBiologie Chemie SonstigeCIP-Pool
Biologie Chemie Physik Sonstige
Theoretische_Physik
HS404
Festkoerpertheorie
AG_Zierau
Mobile_Workstations
MAXWELL PFT273
adamh p0zierau p2zierau
WNWZ03WCHEM2WBIO04 WBIO03 WCHEM3 WNWZ02NWZIIS/SUS-Server
SQL-Server
WNWZ05WNWZ04
uk-muenster.d
e
NWZnet.uni-muenster.de
PowerPoint PräsentationDemo-Rechner
9
I VV4 Gruppen und Group Nesting
Zu jeder Arbeitsgruppe eine korrespondierende Administratoren-Gruppe
Administrative Aufgaben vor Ort
Management der OU Minimierung der Anzahl
der Gruppen, die pro Benutzer konfiguriert werden müssen, durch Schachtelung (Nesting)
Domain Users
Arbeitsgruppe
Administratorender Arbeitsgruppe
AG_Admin_1
Mitarbeiter_1
Users
10
I VV4 Administrationsgruppen
Zu jeder Arbeitsgruppe zwei korrespondierende Administratoren-Gruppen 1er Gruppe
W-Account Administrative
Aufgaben vor Ort 2er Gruppe
Y-Account Administrative
Aufgaben vor Ort Management der
OU Mitgliedschaft der
1er Gruppe
NWZnet
Users
DomainUsers
p0zierau
p1zierau
p2zierau
adamh
yadamh
wadamh
11
I VV4 1er und 2er Gruppen
2er Gruppe hat Rechte
im Active Directory Arbeitsgruppen OU 1er Gruppe
auf lokalen Rechnern 1er Gruppe hat Rechte
auf lokalen Rechnern Installation von
Software Administration des
Betriebssystems
AG_Zierau
AG_Zierau_ADM
p0zierau
p1zierau
p2zierauPFT273
12
I VV4
Delegation von administrativen Aufgaben Rechner
zur Domäne hinzufügen/von ihr entfernen
zwischen OUs verschieben Benutzern
die Passwörter (zurück)setzen
gesperrte Accounts wieder aktivieren
Alle Accountinformationen lesen, z.B. Ablaufdatum
Erzeugen von Sub-OUs Group Policy
Bearbeiten Erzeugen
Ernennen von Sub-Administratoren
13
I VV4
Administration in der OU: Benutzer, Gruppen, Rechner
Demo
14
I VV4 Group Policy Objects
(Security) Konfiguration (lokal/zentral) Flexibilität und Konsistenz
Bsp.: Ordnerumleitung (Folder Redirection) Entlastet Roaming Profiles von Ballast und das
Netzwerk beim Login/-out
Software Installation Microsoft Installer Pakete Zu definiertem Zeitpunkt, z.B. beim Booten Auf Anforderung
15
I VV4 Design von Group Policies
So viel wie nötig, so wenig wie möglich
Spezialkonfigurationen auf den unteren OU-Ebenen
Anzahl der Policies minimieren Besser wenige komplexe Regeln, als viele einzelne
Regeln
OU-Verschachtelungen minimieren Performance sinkt bei 10 oder mehr OU-Ebenen
16
I VV4 Anwendung von Policies
Reihenfolge Lokale Konfiguration Site Policy Domänen Policy OU-Policy 1 OU-Policy 2 … OU-Policy N
“Last Policy wins”
Computer
Site
Domain
Organizational Unit 1
Organizational Unit 2
Organizational Unit N
...
17
I VV4
Group Policy im NWZnet Active Directory
uni-muenster.d
e
NWZnet
Default Site
DomainControllers
DomainServer
DomainMember
PhysikCIP-Pool
Physik
Theoretische_Physik
HS404
Festkoerpertheorie
AG_Zierau
Mobile_Workstations
MAXWELL PFT273
adamh p0zierau p2zierau
WNWZ03WCHEM2WBIO04 WBIO03 WCHEM3 WNWZ02NWZ
Default SitePolicy
DefaultDomainPolicy
DefaultDomainPolicy
NWZnetDomainPolicy
DefaultDomain-ServerPolicy
DefaultDomain
ControllerPolicy
DefaultCIP-Pool
Policy
AG_ZierauPolicy
Mobile_WorkstationPolicy
Block Policy Inheritance
You are here
18
I VV4 Group Policy Object
Wirkt auf Computer Benutzer
der OU und ihrer Sub-OUs.
Kann an mehrere OUs gelinkt werden
Wenn Benutzer und Rechner in verschiedenen OUs sind, gelten die Computerkonfiguration bzw. Benutzerkonfiguration der OU in der sich das jeweilige Objekt befindet.
AG_Zierau AG_Santo
adamh PIKP05
AG_ZierauPolicy
AG_SantoPolicy
Login
19
I VV4 Benutzung von Group Policies
Demo
20
I VV4 Dokumentation von Policies
Dokumentation der zentralen Policies N:\info\NWZnet\Windows\Grouppolicy\NWZnet_Group_Policies.xls
Jede Setzung und Änderung dokumentieren
Allgemeine Dokumentation zu Group Policies Settings N:\info\NWZnet\Windows\Grouppolicy Explain-Tab in der Group Policy Konsole
21
I VV4 Zusammenfassung
OU- und Gruppenstruktur in NWZnet
Dezentrale Administration 1er/2er Gruppen W- und Y-Accounts
Gruppenrichtlinien (Group Policy) Grundlagen – GPO im AD Forest Anwendung und Auswirkung - Reihenfolge Benutzung und Konfiguration Dokumentation - unverzichtbar
22
I VV4 Q & A – Fragen und Antworten
NW Znet.uni-m uenster.de