Porovnat verze

Version Stará verze 7 Nová verze 8
Změny provedené

Former user

Robert Čížek (Unlicensed)

Uloženo na

Klíč

  • Tento řádek byl přidán.
  • Tento řádek byl odstraněn.
  • Formátování bylo změněno.


Výňatek
V tomto článku si společně vysvětlíme a popíšeme
princip, nástroje a
důvody proč
se
je vhodné počítače a uživatele přidat do Active Directory (AD).

Výsledným snažením je:

  • Seznámit uživatele s fungováním.
    • Provozem

    Cílem tohoto článku je zvýšit povědomí a důvěru uživatelů v centralizovanou správu. Čtenář bude postupně seznámen s:

    • Fungováním Active Direcotry
    • Provozem AD na PEF MENDELU.
    • Nástroji, které pro správu používáme.
    • Důvody proč se snažíme o zařazení koncových stanic.Zvýšit povědomí a důvěru v centralizovanou správu.


    Informace
    iconfalse
    titleFrank Herbert (1920-1986)

    „Technologie je nástrojem pro pomoc lidem i pro jejich zničení. To je paradox naší doby, kterému jsme nuceni čelit.“


    Obsah
    maxLevel2

    Co to doména (AD) vlastně je?

    Pojem doména v kontextu k adresářovým službám je ve skutečnosti jen slangový výraz pro velice komplexní systém. Toto pojmenování postupně vzniklo zejména proto, že tento systém je identifikován právě svým doménovým jménem a je mnohem rychlejší a stejně jednoznačné mluvit o doméně ABC, než o adresářových službách Active Directory v doméně ABC.

    Doména je ve skutečnosti

    uskupení počítačů, kterou řídí nějaké serverové řešení a umožňuje tím

    systém řízený jedním nebo více doménovými řadiči, což jsou servery, které pro klientskou část poskytují veškeré nezbytné služby. Do systému také patří množina uživatelských počítačů, různých uživatelských prostředků, systémových zdrojů a nastavení a v neposlední řadě samozřejmě uživatelů.

    Tento systém umožňuje seskupovat podobné a vztažené objekty pomocí několika různých mechanik a aplikovat na ně potřebná nastavení naráz, díky čemuž je možné efektivně řešit opakující se problémy a nastavení pro cílovou oblast tak, aby

    jsme předcházeli

    se předešlo dalším.

    Od společnosti

    Společnost Microsoft v

    současné době můžeme využívat 2 řešení pro správu windows stanic a to

    současnosti poskytuje dva modely pro poskytování adresářových služeb:

    • on
    premis
    • premises (provozováno na vlastní
    server
    • serverové infrastruktuře)
    ,a cloudové v podobě O365.
    • cloud (služba běží v cloudu Microsoft Azure) 

    Obě tyto řešení v zásadě dělají to stejné s tím rozdílem, že současná doba je aktuálně zaměřená více do té cloudové části, kterou na Mendelově univerzitě spravuje Odbor Informačních Technologií (OIT).

    V našem podání on premis řešení je

    PEF v současné době

    vybudována synchronizace oproti UIS

    využívá vlastní řešení, do kterého je zabudována synchronizace s UIS, a díky tomu můžeme efektivně spravovat uživatele a zdroje na naší fakultě tak,

    aby jste

    abyste mohli čerpat následujících výhod:

    • automaticky připojené síťové uložiště
    • stejný login napříč učebnami
    ,
    • a kancelářemi
    nastavení klávesnic
    • automatické nastavení síťových tiskáren na osobních počítačích
    • vyzkoušené a otestované aktualizace
    • jednotná uživatelská nastavení na učebnách (klávesnice, obrázky pozadí,
    notifikací v tray oblasti, nabídky
    • systémová oznámení, nabídka startu,
    automatické
    • zamykání
    počítače
    • ,
    klávesové zkratky
    • zvuk a další
    uživatelská nastavení
  • důležité aktualizace systému proti hrozbám
  • nastavení síťových tiskáren
  • nastavení maitanace napříč doménou (defragmentace, čištění cache paměti, stránkovacího souboru a další)
    • )
    • vzdálená podpora řešení problémů

    Někdo by mohl namítat, že je uživatelem znalým, a tudíž si všechny tyto věci chce a může nastavit sám, nebo že ho

    tyto

    tato společná nastavení nezajímají a

    že

    chce si

    chce

    počítač nastavit dle svého

    . V takovém případě Vás doména jako uživatele nemusí spravovat v takovém rozsahu jako běžného uživatele na učebně, kde se naopak snažíme o to aby tento sdílený prostředek mohli využívat všichni a počítač byl vždy připraven na výuku.

    . Ani takovému požadavku zapojení počítače do adresářových služeb domény neodporuje. Počítač může být organizačně zařazen tak, aby na něj nebyla aplikována žádná doménová nastavení a zodpovědnému uživateli bude předána plná kontrola nad systémem počítače. Zde je výhodou, že uživateli zůstane možnost přihlašovat se jednotným loginem, ovšem s vyššími oprávněními se pojí také určitá zodpovědnost, a to udržovat minimálně stejně vysoký standard nastavení a zabezpečení PC jako mají ostatní doménové počítače.

    Filtrovat podle štítku (obsah podle štítku)
    showLabelsfalse
    max5
    showSpacefalse
    sortmodified
    titleDalší informace
    excludeCurrenttrue
    cqllabel = "active-directory" and space = "TECH" and type = "page"

    Nástroje, které pro správu používáme

    Adresářové služby Active Directory samozřejmě mohou využívat i další podpůrné služby pro uživatele. Jako celek tvoří nástroje pro správu a poskytování služeb IT podniku. V této části

    si popíšeme a nastíníme jakým způsobem jsme schopni zajistit běh počítačů na PEF MENDELU a zkusíme vysvětlit proč některé věci je lepší řešit systémově. Mezi výčet technologií, které jsou spjaté s AD řešením je např.:
    • AD - Active Directory
      • Group policy
    • DNS
    • DHCP
    • SCCM - System Center Configuration Manager
    • WSUS - Windows Server Update Services

    a další nástroje, které umožňují tvořit přehledy a poskytovat informace o tom co aktuální uživatele trápí. Trápí Vás instalace SW vybavení a už je nainstalováno na učebně? (a opačně). S největší pravděpodobností ho již máme přichystáno, tak aby šlo nainstalovat na jeden klik prostřednictvím Centra SW (viz článek Centrum Softwaru), nebo s vámi spolupracujeme na tom aby se daný SW přichystal, takovýmto způsobem. Chcete mít aktuální počítač, ale nechcete sledovat, kdy co vyjde, nebo zrovna tento týden máte důležitou práci a aktualizace potřebujete odsunout? V takovém případě s námi nejspíše komunikujete jak toho docílit. A mnoho dalších příkladů, které by se dali vymyslet.

    Věděli jste, že koupí nového počítače to zapojením do síťě z pohledu správy nekončí ale začíná. Už dávno neplatí situace, že zakoupený prostředek se jednou nastavil a takovýmto způsobem vydržel po celou dobu jeho životnosti. Každý den se v současné době děje malá změna v SW vybavení na našich prostředcích a v okamžiku, kdy by jsme měli obcházet jednotlivé uživatele postupně, tak neděláme nic jiného.

    AD

    Tento nástroj slouží převážně k rozdělování rolí a zdrojů. Zařazením do domény, neznamená, že k vašemu počítači dostane každý přístup, nebo že Vás připravíme o administrátorská oprávnění (v odůvodněných případech po konzultaci) bezdůvodně. 

    Group policy

    Je nástroj umožňující provádět nastavení vašeho počítače, tak jak již bylo popsáno výše. Prostřednictvím tohoto nástroje řešíme pouze nutné věci jako je například nastavení

    se dozvíte, jakým způsobem se zabezpečuje hladký běh počítačů a proč je systémové řešení lepší. Tyto nástroje ulehčují správcům řešit požadavky uživatelů a to nejen tím, že lze nějaké nastavení naklikat v nějakém ovládacím okně, ale také tím, že jakmile je jednou nastavení připravené, tak jej lze libovolně rozšiřovat na další stejné objekty, aniž by musel administrátor celé řešení zase ručně provádět. Výhody spočívají jak v ušetření času, tak v zastupitelnosti při aplikaci nastavení na další objekty. Typickým příkladem je instalace nové ústavní tiskárny. Jeden z pracovníků připraví instalaci ovladačů a provede nastavení zařízení a připraví pravidla pro přidělování a nastavování tiskárny na uživatelských PC. Další pracovníci už mohou pouze do skupiny další PC přidávat nebo odebírat sami, aniž by museli proces přidání tiskárny na tiskový server provést znovu. Mezi další takové případy patří příprava programů a aplikací do Centra SW, testování a vydávání aktualizací pomocí WSUS nebo jednotné přihlašování do webových nástrojů a portálů.

    Zóna pro obsah
    locationtop

    Doménové politiky

    V originálním znění Group Policy je nástroj umožňující provádět nastavení vašeho počítače. Prostřednictvím tohoto nástroje řešíme různé případy jako je například nastavení vzhledu přihlašovací obrazovky, povolení klávesových zkratek, časované zamykání obrazovky a další.

    Zpravidla si jejich chování můžete povšimnout při jakékoliv interakci s Vašim počítačem

    Politiky dokáží v počítači změnit libovolné nastavení, ať už se jedná o kosmetickou záležitost jako je zapnutý CapsLock při startu PC nebo vypnutý zvuk po přihlášení na učebně, až po úpravu oprávnění uživatelů provádět na PC určité akce. Při používání tohoto nástroje

    se snažíme ctít a brát v úvahu "best practices" jak by uživatel měl se

    vycházíme ze zkušeností a aplikujeme takzvané best practices dle dekora, jak by se uživatel měl chovat v IT prostředí (viz

    serie

    série školení na spam, phishing, sociální inženýrství a další hrozby, které na nás

    číhaji

    číhají).

    Dále se pomocí GPO dájí řídit licence pro Vaše počítače. Např. Office a OS jsou směřovány na kms server.

    WSUS

    Díky doméně máme sledovat a unifikovat bezpečnostní aktualizace a pravidelně hlídat jejich dostupnost, vhodnost i to jestli jsou na Vašem stroji nainstalovany. Dále máme možnost aktualizace "přibrzdit". Kolikrát se Vám stalo, že jste si nainstalovali nejnověší aktualizace na vašem domácím počítači a z ničeho nic Vám přestal fungovat?

    Technologie WSUS funguje jako prostředník mezi Microsoftem a koncovými stanicemi, kde máme možnost aktualizace zachytit a vyzkoušet ještě před tím než se k Vám dostanou a případně zařídit jejich distribuci, tak aby jsme neohrozili chod jednotlivých úseku/oddělení a učeben

    Politiky týkající se bezpečnosti jsou výhradně prohibiční, tedy spíše věci zakazují. Základní instalace Windows, která není upravena vhodnými politikami z domény má povoleno poměrně dost potenciálně zneužitelných funkcí, které může neopatrný uživatel neúmyslně otevřít a doslova tak pozvat nechtěného hosta do svého počítače. Politiky mohou také obsahovat informace, které uživatel potřebuje, nastavuje se jimi například aktivace produktů Microsoft pomocí univerzitního KMS serveru.

    DNS

    Toto je obecná a velmi dobře známá služba překladu doménového jména na IP adresu. Doménové řadiče mají každý svou repliku záznamů DNS. Tato služba umožňuje přeložit doménový název počítače na směrovatelnou adresu IP protokolu. Doménové jméno stroje se vždy skládá z jeho názvu a apendixu ve formě kompletního názvu domény. Při zařazení stroje do domény předají adresářové služby Active Directory informaci DNS službě o nalezení nového stroje s konkrétním názvem a IP adresou. Přestože by v síti mohla už jiná DNS služba být aktivní, tak je i přesto přítomnost DNS služby na doménových řadičích nezbytná. DNS totiž neudržuje pouze A záznamy pro překlad doménového jména na IPv4 adresu, ale udržují se zde také SRV záznamy tedy záznamy služeb a na jakých strojích se nacházejí. SRV záznam poskytuje klientům informaci o tom, kde se nachází služba, kterou potřebuje například klient SCCM nebo operační systém pro ověření certifikátu.

    WSUS

    Jak jistě víte, tak Microsoft pravidelně vydává velké množství různých aktualizací. Ne všechny jsou však nezbytné a některé mohou způsobit i problémy v systému. Proto je tu nástroj WSUS, který slouží administrátorům jako prostředek k filtraci a selektivní aplikaci jednotlivých aktualizací. Tento nástroj umožňuje například pozdržet problémové aktualizace a vyzkoušet je před nasazením nebo vybrat nejčerstvější bezpečnostní záplaty a okamžitě je aplikovat po jejich vydání Microsoftem. Je to jakýsi prostředník mezi servery aktualizační služby Microsoft a vaším počítačem. Jednotlivé počítače pak mají nastavena pravidla pro aplikaci schválených a vyžadovaných aktualizací a uživatel může s těmito volbami do určité míry interagovat a upravovat je.

    SCCM

    Jedná se o programové vybavení na bázi server-

    client

    klient, které

    zpřístupní Váš počítač pro správce, tak aby vám mohli například pomocí SW centra distribuovat/aktualizovat Vaše aplikace a současně s tím řešit i problémy s tím spojené. Díky tomuto řešení můžeme Váš počítač připravit hned po tom co přijde, přeinstalovat OS v letních měsících na učebnách, přednastavit nové systémy, tak aby jsme zkrátili/ušetřili čas potřebný pro obsloužení požadavku a mohli se věnovat rozvoji našeho oddělení.Dále díky tomuto SW jsme

    poskytuje správcům domény nástroje pro hromadnou a kontrolovanou distribuci aplikací na pracovní stanice. Díky tomu můžeme váš nový počítač připravit ihned po vybalení z krabice, přeinstalovat OS na více než 200 stanicích během několika málo hodin a doručit aplikaci a její aktualizace na dosah jediného kliknutí od uživatele. Aplikace je potřeba do tohoto systému nejdříve připravit. Jejich distribuce pak už probíhá automaticky na základě pravidel vytvořených administrátory. Aplikace lze na danou skupinu nasadit jako volitelné nebo povinné. K dispozici je také mnoho možností filtrace z hlediska vhodnosti a aplikovatelnosti software na konkrétní stroj, například dostatek místa na disku nebo typ síťové karty.

    Administrátoři jsou díky tomuto SW schopni pružně reagovat na požadavky a upozornění, které

    chodí

    přichází na univerzitu prostřednictvím

    informací

    informačních kanálů například z OIT, NUKIB, abuse@mendelu.cz, CESNET, nařízení rektora a

    další.

    dalších.


    Filtrovat podle štítku (obsah podle štítku)
    showLabelsfalse
    max5
    showSpacefalse
    sortmodified
    titleDoménové nástroje
    excludeCurrenttrue
    cqllabel in ("sccm","dns","wsus","gp") and space = "TECH" and type = "page"

    Monitoring

    Tohle ožehavé téma rozvedeme do samostatné kapitoly z důvodu "ztráty v překladu". Jak je patrné výše pro to aby jsme věděli, že všechny výše zmiňované koncepty fungují, musíme přirozeně sbírat i z5tnou vazbu. Z tohoto důvodu používáme řadu jiných nástrojů k tomu aby jsme dokázali identifikovat problémové aktualizace, HW, potíže s výkonem, zaplněné disky, HW konfiguraci atp. Toto nezbytné velké oko je tu přesně z toho důvodu, že jsme schopni vyhodnotit jak moc se daná konfigurace počítače využívá a zda uživatel např. nepotřebuje lepší. Spousta téma je pro některé, možná pro většinu čtenářů, zahaleno rouškou stínu a nejasností. V rámci osvěty se pokusíme vnést do něj světlo a řád tak, aby bylo jasné, co monitoring znamená.

    Jak jistě víte, tak zpětná vazba je ve většině případů automatizovaných systémů nutností. Jak jinak totiž systém pozná, že byl požadavek na klientské straně správně vykonán? Ano je to tak, sledováním stavu. Avšak je veliký rozdíl mezi tím, co takový systém sleduje, a nějakým špehováním. Takový systém totiž sleduje pouze stav úkolů, který mu byl zadán. Pokud tedy zadám systému SCCM úkol nainstalovat aplikaci na učebnu, tak bude do odstranění úkolu sledovat, zda je tato aplikace nainstalována na cíli.

    Toto je jenom jeden příklad z mnoha, ale všechny budou stejné. Aby mohly všechny výše zmiňované nástroje správně fungovat, tak je potřeba některá data na pracovních stanicích sledovat. Sledují se informace, na jejichž základě potom uživatelům měníme PC nebo spouštíme čistící procedury systému, atp. Mezi takové sledované ukazatele patří například průměrné vytížení procesoru, což je ukazatel pro volbu vhodných PC k výměně a jejich vyřazení nebo procentuální zaplnění systémového disku, který pak bude vyměněn za větší, aby nemohlo dojít k poškození uživatelského profilu. Spousta z Vás dostává počítače nakupované v rámci projektů z učeben a zadávací dokumentaci jsme schopni sestavit přesně na základě těchto dat.

    Za naši kariéru jsme tu několikrát zažili obálku s modrým pruhem, kdy došlo k zneužití techniky a žádost o poskytnutí součinnosti v důsledku protiprávního jednání. Jeden Je to jeden z důvodů proč je ve směrnici rektora skloňováno ožehavé jednoznačná téma jednoznačné identifikace uživatele a taky také jeden z důvodů, proč se ptáme na přesný čas výskytu problému, když vám něco funguje, nefunguje. Díky takto posbíráným posbíraným diagnostickým datům jsme schopni rekonstruovat, co se na počítači stalo a případnou chybu napravit a co lépe? Ohodnotit . V závažných případech je nutné ohodnotit tento incident a případně na něj preventivně reagovat v rámci celé domény.

    Můžu být sledován na svém počítači?

    Mnoho uživatelů se bojí, že ve chvíli, kdy jsou v doméně, jsou

    sledování

    sledováni. Jak to vlastně je? Pojďme se na to podívat.

    Článků na internetu je nespočet ale vyberme jeden opravdu pěkný https://www.epravo.cz/top/clanky/monitoring-a-sledovani-zamestnancu-112902.html

    Podle § 316 odst. 1, 2 a 3 zákoníku práce na to právo máme a to i v situacích, kdy si spravujete techniku sami, viz. výše odkazovaný článek. Nicméně na PEF MENDELU toto NENÍ realizováno hned z několika důvodů:

    • snažíme se s
      • Vámi
    • vámi budovat
      • vstah
    • vztah důvěry
    • není zde obecné nařízení (děkana/rektora), které by uživatelům dávalo
      • navědomí
    • na vědomí, že jejich práce je monitorována
    • jsme součástí akademické půdy
    • ve chvíli, kdyby někdo poškodil jméno oddělení, velice špatně by se tento
      • vstah
    • vztah napravoval
    • jsme
      • tech@pef
    • technici, ne
      • pravnici
    • právníci, a proto jakákoliv
      • polemyka
    • polemika nad tím, kdo co může a nemůže, jde ruku v ruce s důvěrou a respektem
    Závěr

    Slovo na závěr

    Za oddělení

    tech@pef

    Tech@PEF Vám děkujeme za důvěru vloženou v rozvoj

    infrastruktůry

    infrastruktury a elektronizace PEF MENDELU.

     Pravdou

    Pravdou je, že se snažíme obstát proti bezpečnostním hrozbám v dnešním světě a snažíme se o unifikované nastavení bezpečnosti s maximálním komfortem pro uživatele, který jsme schopni mu dát.

    Je také dobré si uvědomit, že na některé

    náše

    naše univerzitní systémy

    jsou pod zákonem

    se vztahuje zákon o kybernetické ochraně (https://www.zakonyprolidi.cz/cs/2014-181) a my se tomu musíme postavit čelem, což bez Vaši spolupráce, bude možné pouze obtížně.

    Lze se

    jít

    v zásadě ubírat pouze několika směry. Ten první je

    domlovou

    založen na domluvě a

    hledáním

    hledání řešení a ten druhý je

    silou

    založen na síle. Řetěz je ovšem pouze a jenom tak silný, jako je jeho nejslabší

    jeho

    článek a v bezpečnosti to platí na 100%. A o to nám jde. Útočník má na přípravu neomezený čas, my máme na obranu pouze prevenci. Nejhorší situace, co pro nás může nastat, je uživatel, který je neznalý problematiky. Spustí něco, co bude mít fatální následek nejen pro něj, ale i pro nás všechny, viz kauzy

    Nemocnic

    nemocnic a dalších zařízení, které

    proběhli

    proběhly mediálními kanály.

    Zajímavé odkazy