Porovnat verze

Version Stará verze 7 Nová verze Aktuální
Změny provedené

Former user

Tomáš Koubek (Unlicensed)

Uloženo na

Klíč

  • Tento řádek byl přidán.
  • Tento řádek byl odstraněn.
  • Formátování bylo změněno.


Výňatek
V tomto článku si společně vysvětlíme a popíšeme
princip, nástroje a
důvody proč
se
je vhodné počítače a uživatele přidat do Active Directory (AD).

Výsledným snažením je:

Seznámit uživatele s fungováním


Cílem tohoto článku je zvýšit povědomí a důvěru uživatelů v centralizovanou správu. Čtenář bude postupně seznámen s:

  • Fungováním Active Directory.
  • Provozem AD na PEF MENDELU.
  • Nástroji, které pro správu používáme.
  • Důvody proč se snažíme o zařazení koncových stanic.Zvýšit povědomí a důvěru v centralizovanou správu.
Informace
iconfalse
titleFrank Herbert (1920-1986)

„Technologie je nástrojem pro pomoc lidem i pro jejich zničení. To je paradox naší doby, kterému jsme nuceni čelit.“


Obsah
maxLevel2

Co to doména a Active Directory (AD) vlastně je?

Doména je ve skutečnosti uskupení počítačů, kterou řídí nějaké serverové řešení a umožňuje tím

Vložit výňatek
Active Directory
Active Directory

Active Directory je hierarchický systém objektů a nástrojů společnosti Microsoft, řízený jedním nebo více doménovými řadiči, což jsou servery, které pro klientskou část poskytují veškeré nezbytné služby. Do systému také patří množina uživatelských počítačů, různých uživatelských prostředků, systémových zdrojů a nastavení a v neposlední řadě samozřejmě uživatelů samotných.

Pojem doména v kontextu k adresářovým službám vyznačuje skupinu počítačů nebo uživatelů, které mají něco společného (např. umístění, část firmy atp.). Často bývá tento termín používán i jako synonymum pro technologii Active Directory jako takovou. Toto pojmenování postupně vzniklo zejména proto, že tento systém je identifikován právě svým doménovým jménem a je mnohem rychlejší a stejně jednoznačné mluvit o doméně ABC, než o adresářových službách Active Directory v doméně ABC.

Tento systém umožňuje seskupovat podobné a vztažené objekty pomocí několika různých mechanik a aplikovat na ně potřebná nastavení naráz, díky čemuž je možné efektivně řešit opakující se problémy a nastavení pro cílovou oblast tak, aby

jsme předcházeli

se předešlo dalším.

Od společnosti

Společnost Microsoft v

současné době můžeme využívat 2 řešení pro správu windows stanic a to

současnosti poskytuje dva modely pro poskytování adresářových služeb:

  • on
premis
  • -premise (provozováno na vlastní
server
  • serverové infrastruktuře)
,a cloudové v podobě O365.
  • cloud (služba běží v cloudu Microsoft Azure) 

Obě tyto řešení v zásadě dělají to stejné s tím rozdílem, že současná doba je aktuálně zaměřená více do té cloudové části, kterou na Mendelově univerzitě spravuje Odbor Informačních Technologií (OIT).

V našem podání on premis řešení je

PEF v současné době

vybudována synchronizace oproti UIS

využívá vlastní řešení, do kterého je zabudována synchronizace s UIS, a díky tomu můžeme efektivně spravovat uživatele a zdroje na naší fakultě tak,

aby jste mohli čerpat následujících výhod:
  • automaticky připojené síťové uložiště
  • stejný login napříč učebnami, kancelářemi
  • nastavení klávesnic na učebnách, pozadí, notifikací v tray oblasti, nabídky startu, automatické zamykání počítače, klávesové zkratky a další uživatelská nastavení
  • důležité aktualizace systému proti hrozbám
  • nastavení síťových tiskáren
    • nastavení maitanace napříč doménou (defragmentace, čištění cache paměti, stránkovacího souboru a další)

    abyste mohli čerpat výhody, které zařazení do AD přináší. 

    Panel
    borderColor#999999
    bgColor#d7fcca
    borderWidth1
    titleBGColor#94e876
    borderStylenone
    titleShrnutí

    Active Directory a doména jsou technologické prostředky, které usnadňují práci na pracovních počítačích.

    Jaké výhody zařazení do AD přináší?

    Zařazení počítače s Windows do AD umožňuje:

    • Použít stejný login napříč učebnami a kancelářemi.
    • Jednoduše instalovat software, který máme na na univerzitě k dispozici z Centra Softwaru.
    • Automaticky připojit Vaše síťové úložiště (disk.mendelu.cz) - máte tedy k dispozici svoje data na tomto disku u sebe v kanceláři i na učebnách.
    • Automaticky nastavit všechny dostupné síťové tiskárny - nemusíte tedy připojovat a instalovat ovladače na tu, kterou právě používáte.
    • Automaticky instalovat vyzkoušené a otestované aktualizace - nemusíte tedy řešit, kterou aktualizaci musíte instalovat.
    • Mít jednotné uživatelské nastavení na učebnách (klávesnice, obrázky pozadí, systémová oznámení, nabídka startu, zamykání, zvuk a další).
    • Využívat nastavení zabezpečení (politiky, nastavení AV a konfigurací počítačů), které členové Tech@PEF připravují pro učebny, včetně rychlých reakcí na aktuální problémy.
    • Využívat vzdálenou podporu při řešení problémů s ICT.
    • Automatickou aktivaci produktů Microsoft.

    Někdo by mohl namítat, že je uživatelem znalým, a tudíž si všechny tyto věci chce a může nastavit sám, nebo že ho

    tyto

    tato společná nastavení nezajímají a

    že

    chce si

    chce

    počítač nastavit dle svého.

    V takovém případě Vás doména jako uživatele nemusí spravovat v takovém rozsahu jako běžného uživatele na učebně, kde se naopak snažíme o to aby tento sdílený prostředek mohli využívat všichni a počítač byl vždy připraven na výuku.

    Nástroje, které pro správu používáme

    V této části si popíšeme a nastíníme jakým způsobem jsme schopni zajistit běh počítačů na PEF MENDELU a zkusíme vysvětlit proč některé věci je lepší řešit systémově. Mezi výčet technologií, které jsou spjaté s AD řešením je např.:

    • AD - Active Directory
      • Group policy
    • DNS
    • DHCP
    • SCCM - System Center Configuration Manager
    • WSUS - Windows Server Update Services

    a další nástroje, které umožňují tvořit přehledy a poskytovat informace o tom co aktuální uživatele trápí. Trápí Vás instalace SW vybavení a už je nainstalováno na učebně? (a opačně). S největší pravděpodobností ho již máme přichystáno, tak aby šlo nainstalovat na jeden klik prostřednictvím Centra SW (viz článek Centrum Softwaru), nebo s vámi spolupracujeme na tom aby se daný SW přichystal, takovýmto způsobem. Chcete mít aktuální počítač, ale nechcete sledovat, kdy co vyjde, nebo zrovna tento týden máte důležitou práci a aktualizace potřebujete odsunout? V takovém případě s námi nejspíše komunikujete jak toho docílit. A mnoho dalších příkladů, které by se dali vymyslet.

    Věděli jste, že koupí nového počítače to zapojením do síťě z pohledu správy nekončí ale začíná. Už dávno neplatí situace, že zakoupený prostředek se jednou nastavil a takovýmto způsobem vydržel po celou dobu jeho životnosti. Každý den se v současné době děje malá změna v SW vybavení na našich prostředcích a v okamžiku, kdy by jsme měli obcházet jednotlivé uživatele postupně, tak neděláme nic jiného.

    AD

    Tento nástroj slouží převážně k rozdělování rolí a zdrojů. Zařazením do domény, neznamená, že k vašemu počítači dostane každý přístup, nebo že Vás připravíme o administrátorská oprávnění (v odůvodněných případech po konzultaci) bezdůvodně. 

    Group policy

    Je nástroj umožňující provádět nastavení vašeho počítače, tak jak již bylo popsáno výše. Prostřednictvím tohoto nástroje řešíme pouze nutné věci jako je například nastavení přihlašovací obrazovky, povolení klávesových zkratek, zamykání obrazovky a další. Zpravidla si jejich chování můžete povšimnout při jakékoliv interakci s Vašim počítačem. Při používání tohoto nástroje se snažíme ctít a brát v úvahu "best practices" jak by uživatel měl se chovat v IT prostředí (viz serie školení na spam, phishing, sociální inženýrství a další hrozby, které na nás číhaji).

    Dále se pomocí GPO dájí řídit licence pro Vaše počítače. Např. Office a OS jsou směřovány na kms server.

    WSUS

    Díky doméně máme sledovat a unifikovat bezpečnostní aktualizace a pravidelně hlídat jejich dostupnost, vhodnost i to jestli jsou na Vašem stroji nainstalovany. Dále máme možnost aktualizace "přibrzdit". Kolikrát se Vám stalo, že jste si nainstalovali nejnověší aktualizace na vašem domácím počítači a z ničeho nic Vám přestal fungovat?

    Technologie WSUS funguje jako prostředník mezi Microsoftem a koncovými stanicemi, kde máme možnost aktualizace zachytit a vyzkoušet ještě před tím než se k Vám dostanou a případně zařídit jejich distribuci, tak aby jsme neohrozili chod jednotlivých úseku/oddělení a učeben.

    SCCM

    Jedná se o programové vybavení na bázi server-client, které zpřístupní Váš počítač pro správce, tak aby vám mohli například pomocí SW centra distribuovat/aktualizovat Vaše aplikace a současně s tím řešit i problémy s tím spojené. Díky tomuto řešení můžeme Váš počítač připravit hned po tom co přijde, přeinstalovat OS v letních měsících na učebnách, přednastavit nové systémy, tak aby jsme zkrátili/ušetřili čas potřebný pro obsloužení požadavku a mohli se věnovat rozvoji našeho oddělení.

    Dále díky tomuto SW jsme schopni pružně reagovat na požadavky a upozornění, které chodí na univerzitu prostřednictvím informací OIT, NUKIB, abuse@mendelu.cz, CESNET, nařízení rektora a další.

    Monitoring

    Tohle ožehavé téma rozvedeme do samostatné kapitoly z důvodu "ztráty v překladu". Jak je patrné výše pro to aby jsme věděli, že všechny výše zmiňované koncepty fungují, musíme přirozeně sbírat i z5tnou vazbu. Z tohoto důvodu používáme řadu jiných nástrojů k tomu aby jsme dokázali identifikovat problémové aktualizace, HW, potíže s výkonem, zaplněné disky, HW konfiguraci atp. Toto nezbytné velké oko je tu přesně z toho důvodu, že jsme schopni vyhodnotit jak moc se daná konfigurace počítače využívá a zda uživatel např. nepotřebuje lepší. Spousta

    Ani takovému požadavku zapojení počítače do adresářových služeb domény neodporuje. Počítač může být organizačně zařazen tak, aby na něj nebyla aplikována žádná doménová nastavení a zodpovědnému uživateli bude předána plná kontrola nad systémem počítače. Zde je výhodou, že uživateli zůstane možnost přihlašovat se jednotným loginem, ovšem s vyššími oprávněními se pojí také zodpovědnost, a to udržovat minimálně stejně vysoký standard nastavení a zabezpečení PC jako mají ostatní doménové počítače.

    Panel
    borderColor#999999
    bgColor#d7fcca
    borderWidth1
    titleBGColor#94e876
    borderStylenone
    titleShrnutí

    Zařazení do AD umožňuje bezpečnější provoz, sjednocení nastavení, bezešvé využití některých síťových prostředků a snazší používání pracovních zařízení.


    Filtrovat podle štítku (obsah podle štítku)
    showLabelsfalse
    max5
    showSpacefalse
    sortmodified
    titleDalší informace
    excludeCurrenttrue
    cqllabel = "active-directory" and space = "TECH" and type = "page"

    Monitoring: dohled nad počítači?

    Tohle téma je pro některé, možná pro většinu čtenářů, zahaleno rouškou stínu a nejasností. V rámci osvěty se pokusíme vnést do něj světlo a řád tak, aby bylo jasné, co monitoring znamená.

    Jak systém pozná, že byl požadavek na klientské straně správně vykonán? Ano je to tak, sledováním stavu. Zpětná vazba je tedy ve většině automatizovaných systémů nutností. Takový systém sleduje pouze stav úkolů, který mu byl zadán. Pokud tedy zadám systému MECM úkol nainstalovat aplikaci na učebnu, tak bude do odstranění úkolu sledovat, zda je tato aplikace nainstalována na cíli. 

    Toto je jenom jeden příklad z mnoha, ale všechny jsou obdobné. Aby mohly všechny zmiňované nástroje pro správu bezchybně fungovat, tak je potřeba některá data na pracovních stanicích sledovat. Sledují se informace, na jejichž základě potom uživatelům měníme PC nebo spouštíme čistící procedury systému, atp. Mezi takové sledované ukazatele patří například HW konfigurace, což je ukazatel pro volbu vhodných PC k výměně nebo procentuální zaplnění systémového disku, který Vám pak můžeme vyměnit za větší. Spousta z Vás dostává počítače nakupované v rámci projektů z učeben a zadávací dokumentaci jsme schopni sestavit přesně na základě těchto dat.

    Za naši kariéru jsme

    tu

    několikrát zažili

    obálku s modrým pruhem, kdy došlo k

    situaci, při níž některé státní orgány prošetřovali situaci, ve které došlo ke zneužití techniky a

    žádost o

    požadovali poskytnutí součinnosti v důsledku protiprávního jednání.

    Jeden

    Je to jeden z důvodů proč je ve směrnici rektora

    skloňováno ožehavé jednoznačná

    o využívání ICT skloňováno téma jednoznačné identifikace uživatele a

    taky

    také jeden z důvodů, proč se ptáme na přesný čas výskytu problému, když vám něco

    funguje,

    nefunguje. Díky takto

    posbíráným

    posbíraným diagnostickým datům jsme schopni rekonstruovat, co se na počítači stalo a případnou chybu napravit

    a co lépe? Ohodnotit

    . V závažných případech je nutné ohodnotit tento incident a

    případně

    z důvodu bezpečnosti na něj preventivně reagovat v rámci celé domény.

    Můžu být sledován na svém počítači?

    Mnoho uživatelů se bojí, že ve chvíli, kdy jsou v doméně jsou sledování. Jak to vlastně je? Pojďme se na to podívat.

    Článků na internetu je nespočet ale vyberme jeden opravdu pěkný

     

    Je činnost zaměstnanců na počítači sledována?

    Podle zákoníku práce, § 316 odst. 1, 2 a 3 zákoníku práce může zaměstnavatel kontrolovat činnost zaměstnance. Pokud Vás problematika zajímá, i s výkladem je k naleznutí např. na https://www.epravo.cz/top/clanky/monitoring-a-sledovani-zamestnancu-112902.html

    Podle § 316 odst. 1, 2 a 3 zákoníku práce na to právo máme a to i v situacích, kdy si spravujete techniku sami viz výše odkazovaný článek. Nicméně na PEF MENDELU toto NENÍ realizováno hned z několika důvodů:

      • snažíme se s Vámi budovat vstah důvěry
      • není zde obecné nařízení (děkana/rektora), které by uživatelům dávalo navědomí, že jejich práce je monitorována
      • jsme součástí akademické půdy
      • ve chvíli, kdyby někdo poškodil jméno oddělení, velice špatně by se tento vstah napravoval
      • jsme tech@pef, ne pravnici a proto jakákoliv polemyka nad tím kdo co může a nemůže jde ruku v ruce s důvěrou a respektem

    Závěr

    Za oddělení tech@pef Vám děkujeme za důvěru vloženou v rozvoj infrastruktůry a elektronizace PEF MENDELU. Pravdou

    .

    Na počítačích PEF MENDELU, které jsou spravovány techniky z Tech@PEF, není kontrolována činnost zaměstnanců ani jejich data. Neděláme to, protože ctíme soukromí uživatele a také proto, že nám to nebylo zaměstnavatelem nařízeno. Sledováním aktivity uživatele bez nařízení od zaměstnavatele a neoznámení této skutečnosti uživateli bychom se dopustili závažného porušení pracovních povinností. Je to otázka odpovědnosti, platných předpisů (které nám nic takového nenařizují) a zároveň profesní cti. Chceme si s vámi budovat vztah důvěry a nemůžeme si dovolit jej poškodit.

    Panel
    borderColor#999999
    bgColor#d7fcca
    borderWidth1
    titleBGColor#94e876
    borderStylenone
    titleShrnutí

    Činnost zaměstnanců ani uživatelská data na pracovních zařízeních nejsou pod dohledem.

    Správná funkčnost počítačů sledována je.


    Filtrovat podle štítku (obsah podle štítku)
    showLabelsfalse
    max5
    showSpacefalse
    sortmodified
    titleDoménové nástroje
    excludeCurrenttrue
    cqllabel in ("sccm","dns","wsus","mecm","gpo","active-directory","domena") and label = "system" and space = "TECH" and type = "page"

    Na závěr slovo o bezpečnosti

    Za oddělení Tech@PEF Vám děkujeme za důvěru, kterou do nás s rozvojem ICT PEF MENDELU vkládáte. Pravdou je, že se snažíme obstát proti bezpečnostním hrozbám v dnešním světě a snažíme se o unifikované nastavení bezpečnosti s maximálním komfortem pro uživatele, který jsme schopni mu dát.

    Je také dobré si uvědomit, že na některé

    náše

    naše univerzitní systémy

    jsou pod zákonem

    se vztahuje zákon o kybernetické ochraně (https://www.zakonyprolidi.cz/cs/2014-181) a my se tomu musíme postavit čelem, což bez

    Vaši

    Vaší spolupráce

    , bude

    není možné

    pouze obtížně

    .

    Dá se jít v zásadě několika směry. Ten první je domlovou a hledáním řešení a ten druhý je silou.

    Řetěz je pouze a jenom tak silný, jako je jeho nejslabší

    jeho

    článek a v bezpečnosti to platí na 100%. A o to nám jde. Útočník má na přípravu neomezený čas, my máme na obranu pouze prevenci.

    Nejhorší situace co pro nás může nastat je uživatel, který je neznalý problematiky. Spustí něco

    Nejproblematičtější situace jsou ty, ve kterých uživatel neznalý problematiky spustí něco, co bude mít fatální následek nejen pro něj, ale i pro nás všechny, viz kauzy

    Nemocnic

    nemocnic a dalších zařízení, které

    proběhli mediálními kanály.

    proběhly mediálními kanály. Hledejme proto prosím společné cesty, jak naši infrastrukturu co nejvíce zabezpečit.

    Panel
    borderColor#999999
    bgColor#d7fcca
    borderWidth1
    titleBGColor#94e876
    borderStylenone
    titleShrnutí

    Každý systém je jen tak dobrý, jak dobří jsou jeho uživatelé. Pomozte nám provoz ICT na PEF co nejvíce zabezpečit.


    Zajímavé odkazy