V tomto článku si společně vysvětlíme a popíšeme důvody proč je vhodné počítače a uživatele přidat do Active Directory (AD).

Cílem tohoto článku je zvýšit povědomí a důvěru uživatelů v centralizovanou správu. Čtenář bude postupně seznámen s:

• Fungováním Active Directory.
• Provozem AD na PEF MENDELU.
• Nástroji, které pro správu používáme.
• Důvody proč se snažíme o zařazení koncových stanic.

Co to doména a Active Directory (AD) vlastně je?

Active Directory je hierarchický systém objektů a nástrojů společnosti Microsoft, řízený jedním nebo více doménovými řadiči, což jsou servery, které pro klientskou část poskytují veškeré nezbytné služby. Do systému také patří množina uživatelských počítačů, různých uživatelských prostředků, systémových zdrojů a nastavení a v neposlední řadě samozřejmě uživatelů samotných.

Pojem doména v kontextu k adresářovým službám vyznačuje skupinu počítačů nebo uživatelů, které mají něco společného (např. umístění, část firmy atp.). Často bývá tento termín používán i jako synonymum pro technologii Active Directory jako takovou. Toto pojmenování postupně vzniklo zejména proto, že tento systém je identifikován právě svým doménovým jménem a je mnohem rychlejší a stejně jednoznačné mluvit o doméně ABC, než o adresářových službách Active Directory v doméně ABC.

Tento systém umožňuje seskupovat podobné a vztažené objekty pomocí několika různých mechanik a aplikovat na ně potřebná nastavení naráz, díky čemuž je možné efektivně řešit opakující se problémy a nastavení pro cílovou oblast tak, aby se předešlo dalším. Společnost Microsoft v současnosti poskytuje dva modely pro poskytování adresářových služeb:

• on-premise (provozováno na vlastní serverové infrastruktuře)
• cloud (služba běží v cloudu Microsoft Azure) 

Obě tyto řešení v zásadě dělají to stejné s tím rozdílem, že současná doba je aktuálně zaměřená více do té cloudové části, kterou na Mendelově univerzitě spravuje Odbor Informačních Technologií (OIT). PEF v současné době využívá vlastní řešení, do kterého je zabudována synchronizace s UIS, a díky tomu můžeme efektivně spravovat uživatele a zdroje na naší fakultě tak, abyste mohli čerpat výhody, které zařazení do AD přináší. 

Jaké výhody zařazení do AD přináší?

Zařazení počítače s Windows do AD umožňuje:

• Použít stejný login napříč učebnami a kancelářemi.
• Jednoduše instalovat software, který máme na na univerzitě k dispozici z Centra Softwaru.
• Automaticky připojit Vaše síťové úložiště (disk.mendelu.cz) - máte tedy k dispozici svoje data na tomto disku u sebe v kanceláři i na učebnách.
• Automaticky nastavit všechny dostupné síťové tiskárny - nemusíte tedy připojovat a instalovat ovladače na tu, kterou právě používáte.
• Automaticky instalovat vyzkoušené a otestované aktualizace - nemusíte tedy řešit, kterou aktualizaci musíte instalovat.
• Mít jednotné uživatelské nastavení na učebnách (klávesnice, obrázky pozadí, systémová oznámení, nabídka startu, zamykání, zvuk a další).
• Využívat nastavení zabezpečení (politiky, nastavení AV a konfigurací počítačů), které členové Tech@PEF připravují pro učebny, včetně rychlých reakcí na aktuální problémy.
• Využívat vzdálenou podporu při řešení problémů s ICT.
• Automatickou aktivaci produktů Microsoft.

Někdo by mohl namítat, že je uživatelem znalým, a tudíž si všechny tyto věci chce a může nastavit sám, nebo že ho tato společná nastavení nezajímají a chce si počítač nastavit dle svého. Ani takovému požadavku zapojení počítače do adresářových služeb domény neodporuje. Počítač může být organizačně zařazen tak, aby na něj nebyla aplikována žádná doménová nastavení a zodpovědnému uživateli bude předána plná kontrola nad systémem počítače. Zde je výhodou, že uživateli zůstane možnost přihlašovat se jednotným loginem, ovšem s vyššími oprávněními se pojí také zodpovědnost, a to udržovat minimálně stejně vysoký standard nastavení a zabezpečení PC jako mají ostatní doménové počítače.

Monitoring: dohled nad počítači?

Tohle téma je pro některé, možná pro většinu čtenářů, zahaleno rouškou stínu a nejasností. V rámci osvěty se pokusíme vnést do něj světlo a řád tak, aby bylo jasné, co monitoring znamená.

Jak systém pozná, že byl požadavek na klientské straně správně vykonán? Ano je to tak, sledováním stavu. Zpětná vazba je tedy ve většině automatizovaných systémů nutností. Takový systém sleduje pouze stav úkolů, který mu byl zadán. Pokud tedy zadám systému MECM úkol nainstalovat aplikaci na učebnu, tak bude do odstranění úkolu sledovat, zda je tato aplikace nainstalována na cíli. 

Toto je jenom jeden příklad z mnoha, ale všechny jsou obdobné. Aby mohly všechny zmiňované nástroje pro správu bezchybně fungovat, tak je potřeba některá data na pracovních stanicích sledovat. Sledují se informace, na jejichž základě potom uživatelům měníme PC nebo spouštíme čistící procedury systému, atp. Mezi takové sledované ukazatele patří například HW konfigurace, což je ukazatel pro volbu vhodných PC k výměně nebo procentuální zaplnění systémového disku, který Vám pak můžeme vyměnit za větší. Spousta z Vás dostává počítače nakupované v rámci projektů z učeben a zadávací dokumentaci jsme schopni sestavit přesně na základě těchto dat.

Za naši kariéru jsme několikrát zažili situaci, při níž některé státní orgány prošetřovali situaci, ve které došlo ke zneužití techniky a požadovali poskytnutí součinnosti v důsledku protiprávního jednání. Je to jeden z důvodů proč je ve směrnici rektora o využívání ICT skloňováno téma jednoznačné identifikace uživatele a také jeden z důvodů, proč se ptáme na přesný čas výskytu problému, když vám něco nefunguje. Díky takto posbíraným diagnostickým datům jsme schopni rekonstruovat, co se na počítači stalo a případnou chybu napravit. V závažných případech je nutné ohodnotit tento incident a z důvodu bezpečnosti na něj preventivně reagovat v rámci celé domény. 

Je činnost zaměstnanců na počítači sledována?

Podle zákoníku práce, § 316 odst. 1, 2 a 3 zákoníku práce může zaměstnavatel kontrolovat činnost zaměstnance. Pokud Vás problematika zajímá, i s výkladem je k naleznutí např. na https://www.epravo.cz/top/clanky/monitoring-a-sledovani-zamestnancu-112902.html.

Na počítačích PEF MENDELU, které jsou spravovány techniky z Tech@PEF, není kontrolována činnost zaměstnanců ani jejich data. Neděláme to, protože ctíme soukromí uživatele a také proto, že nám to nebylo zaměstnavatelem nařízeno. Sledováním aktivity uživatele bez nařízení od zaměstnavatele a neoznámení této skutečnosti uživateli bychom se dopustili závažného porušení pracovních povinností. Je to otázka odpovědnosti, platných předpisů (které nám nic takového nenařizují) a zároveň profesní cti. Chceme si s vámi budovat vztah důvěry a nemůžeme si dovolit jej poškodit.