Přeskočit na konec banneru
Jít na začátek banneru

Active Directory aneb proč se přidat do domény

Přejít na konec metadat
Přejít na začátek metadat

Prohlížíte starou verzi této stránky. Zobrazit aktuální verzi.

Porovnat s aktuální Zobrazit historii stránky

« Předchozí Verze 7 Další »

V tomto článku si společně vysvětlíme a popíšeme princip, nástroje a důvody proč se přidat do Active Directory (AD).

Výsledným snažením je:

  • Seznámit uživatele s fungováním.
  • Provozem na PEF MENDELU.
  • Nástroji, které pro správu používáme.
  • Důvody proč se snažíme o zařazení koncových stanic.
  • Zvýšit povědomí a důvěru v centralizovanou správu.


Frank Herbert (1920-1986)

„Technologie je nástrojem pro pomoc lidem i pro jejich zničení. To je paradox naší doby, kterému jsme nuceni čelit.“

Co to doména (AD) vlastně je?

Doména je ve skutečnosti uskupení počítačů, kterou řídí nějaké serverové řešení a umožňuje tím efektivně řešit opakující se problémy a nastavení pro cílovou oblast tak, aby jsme předcházeli dalším. Od společnosti Microsoft v současné době můžeme využívat 2 řešení pro správu windows stanic a to:

  • on premis (vlastní server),
  • a cloudové v podobě O365. 

Obě tyto řešení v zásadě dělají to stejné s tím rozdílem, že současná doba je aktuálně zaměřená více do té cloudové části, kterou spravuje Odbor Informačních Technologií (OIT). V našem podání on premis řešení je v současné době vybudována synchronizace oproti UIS a díky tomu můžeme efektivně spravovat uživatele a zdroje na naší fakultě tak, aby jste mohli čerpat následujících výhod:

  • automaticky připojené síťové uložiště
  • stejný login napříč učebnami, kancelářemi
  • nastavení klávesnic na učebnách, pozadí, notifikací v tray oblasti, nabídky startu, automatické zamykání počítače, klávesové zkratky a další uživatelská nastavení
  • důležité aktualizace systému proti hrozbám
  • nastavení síťových tiskáren
  • nastavení maitanace napříč doménou (defragmentace, čištění cache paměti, stránkovacího souboru a další)

Někdo by mohl namítat, že je uživatelem znalým a tudíž si všechny tyto věci chce a může nastavit sám, nebo že ho tyto společná nastavení nezajímají a že si chce počítač nastavit dle svého. V takovém případě Vás doména jako uživatele nemusí spravovat v takovém rozsahu jako běžného uživatele na učebně, kde se naopak snažíme o to aby tento sdílený prostředek mohli využívat všichni a počítač byl vždy připraven na výuku.

Nástroje, které pro správu používáme

V této části si popíšeme a nastíníme jakým způsobem jsme schopni zajistit běh počítačů na PEF MENDELU a zkusíme vysvětlit proč některé věci je lepší řešit systémově. Mezi výčet technologií, které jsou spjaté s AD řešením je např.:

  • AD - Active Directory
    • Group policy
  • DNS
  • DHCP
  • SCCM - System Center Configuration Manager
  • WSUS - Windows Server Update Services

a další nástroje, které umožňují tvořit přehledy a poskytovat informace o tom co aktuální uživatele trápí. Trápí Vás instalace SW vybavení a už je nainstalováno na učebně? (a opačně). S největší pravděpodobností ho již máme přichystáno, tak aby šlo nainstalovat na jeden klik prostřednictvím Centra SW (viz článek Centrum Softwaru), nebo s vámi spolupracujeme na tom aby se daný SW přichystal, takovýmto způsobem. Chcete mít aktuální počítač, ale nechcete sledovat, kdy co vyjde, nebo zrovna tento týden máte důležitou práci a aktualizace potřebujete odsunout? V takovém případě s námi nejspíše komunikujete jak toho docílit. A mnoho dalších příkladů, které by se dali vymyslet.

Věděli jste, že koupí nového počítače to zapojením do síťě z pohledu správy nekončí ale začíná. Už dávno neplatí situace, že zakoupený prostředek se jednou nastavil a takovýmto způsobem vydržel po celou dobu jeho životnosti. Každý den se v současné době děje malá změna v SW vybavení na našich prostředcích a v okamžiku, kdy by jsme měli obcházet jednotlivé uživatele postupně, tak neděláme nic jiného.

AD

Tento nástroj slouží převážně k rozdělování rolí a zdrojů. Zařazením do domény, neznamená, že k vašemu počítači dostane každý přístup, nebo že Vás připravíme o administrátorská oprávnění (v odůvodněných případech po konzultaci) bezdůvodně. 

Group policy

Je nástroj umožňující provádět nastavení vašeho počítače, tak jak již bylo popsáno výše. Prostřednictvím tohoto nástroje řešíme pouze nutné věci jako je například nastavení přihlašovací obrazovky, povolení klávesových zkratek, zamykání obrazovky a další. Zpravidla si jejich chování můžete povšimnout při jakékoliv interakci s Vašim počítačem. Při používání tohoto nástroje se snažíme ctít a brát v úvahu "best practices" jak by uživatel měl se chovat v IT prostředí (viz serie školení na spam, phishing, sociální inženýrství a další hrozby, které na nás číhaji).

Dále se pomocí GPO dájí řídit licence pro Vaše počítače. Např. Office a OS jsou směřovány na kms server.

WSUS

Díky doméně máme sledovat a unifikovat bezpečnostní aktualizace a pravidelně hlídat jejich dostupnost, vhodnost i to jestli jsou na Vašem stroji nainstalovany. Dále máme možnost aktualizace "přibrzdit". Kolikrát se Vám stalo, že jste si nainstalovali nejnověší aktualizace na vašem domácím počítači a z ničeho nic Vám přestal fungovat?

Technologie WSUS funguje jako prostředník mezi Microsoftem a koncovými stanicemi, kde máme možnost aktualizace zachytit a vyzkoušet ještě před tím než se k Vám dostanou a případně zařídit jejich distribuci, tak aby jsme neohrozili chod jednotlivých úseku/oddělení a učeben.

SCCM

Jedná se o programové vybavení na bázi server-client, které zpřístupní Váš počítač pro správce, tak aby vám mohli například pomocí SW centra distribuovat/aktualizovat Vaše aplikace a současně s tím řešit i problémy s tím spojené. Díky tomuto řešení můžeme Váš počítač připravit hned po tom co přijde, přeinstalovat OS v letních měsících na učebnách, přednastavit nové systémy, tak aby jsme zkrátili/ušetřili čas potřebný pro obsloužení požadavku a mohli se věnovat rozvoji našeho oddělení.

Dále díky tomuto SW jsme schopni pružně reagovat na požadavky a upozornění, které chodí na univerzitu prostřednictvím informací OIT, NUKIB, abuse@mendelu.cz, CESNET, nařízení rektora a další.

Monitoring

Tohle ožehavé téma rozvedeme do samostatné kapitoly z důvodu "ztráty v překladu". Jak je patrné výše pro to aby jsme věděli, že všechny výše zmiňované koncepty fungují, musíme přirozeně sbírat i z5tnou vazbu. Z tohoto důvodu používáme řadu jiných nástrojů k tomu aby jsme dokázali identifikovat problémové aktualizace, HW, potíže s výkonem, zaplněné disky, HW konfiguraci atp. Toto nezbytné velké oko je tu přesně z toho důvodu, že jsme schopni vyhodnotit jak moc se daná konfigurace počítače využívá a zda uživatel např. nepotřebuje lepší. Spousta z Vás dostává počítače nakupované v rámci projektů z učeben a zadávací dokumentaci jsme schopni sestavit přesně na základě těchto dat.

Za naši kariéru jsme tu několikrát zažili obálku s modrým pruhem, kdy došlo k zneužití techniky a žádost o poskytnutí součinnosti v důsledku protiprávního jednání. Jeden z důvodů proč je ve směrnici rektora skloňováno ožehavé jednoznačná identifikace uživatele a taky jeden z důvodů, proč se ptáme na čas, když vám něco funguje, nefunguje. Díky takto posbíráným diagnostickým datům jsme schopni rekonstruovat co se na počítači stalo a případnou chybu napravit a co lépe? Ohodnotit tento incident a případně na něj preventivně reagovat v rámci celé domény.

Můžu být sledován na svém počítači?

Mnoho uživatelů se bojí, že ve chvíli, kdy jsou v doméně jsou sledování. Jak to vlastně je? Pojďme se na to podívat.

Článků na internetu je nespočet ale vyberme jeden opravdu pěkný https://www.epravo.cz/top/clanky/monitoring-a-sledovani-zamestnancu-112902.html

Podle § 316 odst. 1, 2 a 3 zákoníku práce na to právo máme a to i v situacích, kdy si spravujete techniku sami viz výše odkazovaný článek. Nicméně na PEF MENDELU toto NENÍ realizováno hned z několika důvodů:

    • snažíme se s Vámi budovat vstah důvěry
    • není zde obecné nařízení (děkana/rektora), které by uživatelům dávalo navědomí, že jejich práce je monitorována
    • jsme součástí akademické půdy
    • ve chvíli, kdyby někdo poškodil jméno oddělení, velice špatně by se tento vstah napravoval
    • jsme tech@pef, ne pravnici a proto jakákoliv polemyka nad tím kdo co může a nemůže jde ruku v ruce s důvěrou a respektem

Závěr

Za oddělení tech@pef Vám děkujeme za důvěru vloženou v rozvoj infrastruktůry a elektronizace PEF MENDELU. Pravdou je, že se snažíme obstát proti bezpečnostním hrozbám v dnešním světě a snažíme se o unifikované nastavení bezpečnosti s maximálním komfortem pro uživatele který jsme schopni mu dát.

Je také dobré si uvědomit, že některé náše univerzitní systémy jsou pod zákonem o kybernetické ochraně (https://www.zakonyprolidi.cz/cs/2014-181) a my se tomu musíme postavit čelem, což bez Vaši spolupráce, bude možné pouze obtížně. Dá se jít v zásadě několika směry. Ten první je domlovou a hledáním řešení a ten druhý je silou. Řetěz je pouze a jenom tak silný jako je nejslabší jeho článek a v bezpečnosti to platí 100%. A o to nám jde. Útočník má na přípravu neomezený čas, my máme na obranu prevenci. Nejhorší situace co pro nás může nastat je uživatel, který je neznalý problematiky. Spustí něco co bude mít fatální následek nejen pro něj, ale i pro nás všechny viz kauzy Nemocnic a dalších zařízení, které proběhli mediálními kanály.

  • Žádné štítky