Přeskočit na konec banneru
Jít na začátek banneru

Active Directory aneb proč se přidat do domény

Přejít na konec metadat
Přejít na začátek metadat

Prohlížíte starou verzi této stránky. Zobrazit aktuální verzi.

Porovnat s aktuální Zobrazit historii stránky

« Předchozí Verze 8 Další »

V tomto článku si společně vysvětlíme a popíšeme důvody proč je vhodné počítače a uživatele přidat do Active Directory (AD).Cílem tohoto článku je zvýšit povědomí a důvěru uživatelů v centralizovanou správu. Čtenář bude postupně seznámen s:

  • Fungováním Active Direcotry
  • Provozem AD na PEF MENDELU
  • Nástroji, které pro správu používáme
  • Důvody proč se snažíme o zařazení koncových stanic


Frank Herbert (1920-1986)

„Technologie je nástrojem pro pomoc lidem i pro jejich zničení. To je paradox naší doby, kterému jsme nuceni čelit.“

Co to doména (AD) vlastně je?

Pojem doména v kontextu k adresářovým službám je ve skutečnosti jen slangový výraz pro velice komplexní systém. Toto pojmenování postupně vzniklo zejména proto, že tento systém je identifikován právě svým doménovým jménem a je mnohem rychlejší a stejně jednoznačné mluvit o doméně ABC, než o adresářových službách Active Directory v doméně ABC.

Doména je ve skutečnosti systém řízený jedním nebo více doménovými řadiči, což jsou servery, které pro klientskou část poskytují veškeré nezbytné služby. Do systému také patří množina uživatelských počítačů, různých uživatelských prostředků, systémových zdrojů a nastavení a v neposlední řadě samozřejmě uživatelů.

Tento systém umožňuje seskupovat podobné a vztažené objekty pomocí několika různých mechanik a aplikovat na ně potřebná nastavení naráz, díky čemuž je možné efektivně řešit opakující se problémy a nastavení pro cílovou oblast tak, aby se předešlo dalším. Společnost Microsoft v současnosti poskytuje dva modely pro poskytování adresářových služeb:

  • on premises (provozováno na vlastní serverové infrastruktuře)
  • cloud (služba běží v cloudu Microsoft Azure) 

Obě tyto řešení v zásadě dělají to stejné s tím rozdílem, že současná doba je aktuálně zaměřená více do té cloudové části, kterou na Mendelově univerzitě spravuje Odbor Informačních Technologií (OIT). PEF v současné době využívá vlastní řešení, do kterého je zabudována synchronizace s UIS, a díky tomu můžeme efektivně spravovat uživatele a zdroje na naší fakultě tak, abyste mohli čerpat následujících výhod:

  • automaticky připojené síťové uložiště
  • stejný login napříč učebnami a kancelářemi
  • automatické nastavení síťových tiskáren na osobních počítačích
  • vyzkoušené a otestované aktualizace
  • jednotná uživatelská nastavení na učebnách (klávesnice, obrázky pozadí, systémová oznámení, nabídka startu, zamykání, zvuk a další)
  • vzdálená podpora řešení problémů

Někdo by mohl namítat, že je uživatelem znalým, a tudíž si všechny tyto věci chce a může nastavit sám, nebo že ho tato společná nastavení nezajímají a chce si počítač nastavit dle svého. Ani takovému požadavku zapojení počítače do adresářových služeb domény neodporuje. Počítač může být organizačně zařazen tak, aby na něj nebyla aplikována žádná doménová nastavení a zodpovědnému uživateli bude předána plná kontrola nad systémem počítače. Zde je výhodou, že uživateli zůstane možnost přihlašovat se jednotným loginem, ovšem s vyššími oprávněními se pojí také určitá zodpovědnost, a to udržovat minimálně stejně vysoký standard nastavení a zabezpečení PC jako mají ostatní doménové počítače.

Další informace

Nástroje, které pro správu používáme

Adresářové služby Active Directory samozřejmě mohou využívat i další podpůrné služby pro uživatele. Jako celek tvoří nástroje pro správu a poskytování služeb IT podniku. V této části se dozvíte, jakým způsobem se zabezpečuje hladký běh počítačů a proč je systémové řešení lepší. Tyto nástroje ulehčují správcům řešit požadavky uživatelů a to nejen tím, že lze nějaké nastavení naklikat v nějakém ovládacím okně, ale také tím, že jakmile je jednou nastavení připravené, tak jej lze libovolně rozšiřovat na další stejné objekty, aniž by musel administrátor celé řešení zase ručně provádět. Výhody spočívají jak v ušetření času, tak v zastupitelnosti při aplikaci nastavení na další objekty. Typickým příkladem je instalace nové ústavní tiskárny. Jeden z pracovníků připraví instalaci ovladačů a provede nastavení zařízení a připraví pravidla pro přidělování a nastavování tiskárny na uživatelských PC. Další pracovníci už mohou pouze do skupiny další PC přidávat nebo odebírat sami, aniž by museli proces přidání tiskárny na tiskový server provést znovu. Mezi další takové případy patří příprava programů a aplikací do Centra SW, testování a vydávání aktualizací pomocí WSUS nebo jednotné přihlašování do webových nástrojů a portálů.

Doménové politiky

V originálním znění Group Policy je nástroj umožňující provádět nastavení vašeho počítače. Prostřednictvím tohoto nástroje řešíme různé případy jako je například nastavení vzhledu přihlašovací obrazovky, povolení klávesových zkratek, časované zamykání obrazovky a další. Politiky dokáží v počítači změnit libovolné nastavení, ať už se jedná o kosmetickou záležitost jako je zapnutý CapsLock při startu PC nebo vypnutý zvuk po přihlášení na učebně, až po úpravu oprávnění uživatelů provádět na PC určité akce. Při používání tohoto nástroje vycházíme ze zkušeností a aplikujeme takzvané best practices dle dekora, jak by se uživatel měl chovat v IT prostředí (viz série školení na spam, phishing, sociální inženýrství a další hrozby, které na nás číhají).

Politiky týkající se bezpečnosti jsou výhradně prohibiční, tedy spíše věci zakazují. Základní instalace Windows, která není upravena vhodnými politikami z domény má povoleno poměrně dost potenciálně zneužitelných funkcí, které může neopatrný uživatel neúmyslně otevřít a doslova tak pozvat nechtěného hosta do svého počítače. Politiky mohou také obsahovat informace, které uživatel potřebuje, nastavuje se jimi například aktivace produktů Microsoft pomocí univerzitního KMS serveru.

DNS

Toto je obecná a velmi dobře známá služba překladu doménového jména na IP adresu. Doménové řadiče mají každý svou repliku záznamů DNS. Tato služba umožňuje přeložit doménový název počítače na směrovatelnou adresu IP protokolu. Doménové jméno stroje se vždy skládá z jeho názvu a apendixu ve formě kompletního názvu domény. Při zařazení stroje do domény předají adresářové služby Active Directory informaci DNS službě o nalezení nového stroje s konkrétním názvem a IP adresou. Přestože by v síti mohla už jiná DNS služba být aktivní, tak je i přesto přítomnost DNS služby na doménových řadičích nezbytná. DNS totiž neudržuje pouze A záznamy pro překlad doménového jména na IPv4 adresu, ale udržují se zde také SRV záznamy tedy záznamy služeb a na jakých strojích se nacházejí. SRV záznam poskytuje klientům informaci o tom, kde se nachází služba, kterou potřebuje například klient SCCM nebo operační systém pro ověření certifikátu.

WSUS

Jak jistě víte, tak Microsoft pravidelně vydává velké množství různých aktualizací. Ne všechny jsou však nezbytné a některé mohou způsobit i problémy v systému. Proto je tu nástroj WSUS, který slouží administrátorům jako prostředek k filtraci a selektivní aplikaci jednotlivých aktualizací. Tento nástroj umožňuje například pozdržet problémové aktualizace a vyzkoušet je před nasazením nebo vybrat nejčerstvější bezpečnostní záplaty a okamžitě je aplikovat po jejich vydání Microsoftem. Je to jakýsi prostředník mezi servery aktualizační služby Microsoft a vaším počítačem. Jednotlivé počítače pak mají nastavena pravidla pro aplikaci schválených a vyžadovaných aktualizací a uživatel může s těmito volbami do určité míry interagovat a upravovat je.

SCCM

Jedná se o programové vybavení na bázi server-klient, které poskytuje správcům domény nástroje pro hromadnou a kontrolovanou distribuci aplikací na pracovní stanice. Díky tomu můžeme váš nový počítač připravit ihned po vybalení z krabice, přeinstalovat OS na více než 200 stanicích během několika málo hodin a doručit aplikaci a její aktualizace na dosah jediného kliknutí od uživatele. Aplikace je potřeba do tohoto systému nejdříve připravit. Jejich distribuce pak už probíhá automaticky na základě pravidel vytvořených administrátory. Aplikace lze na danou skupinu nasadit jako volitelné nebo povinné. K dispozici je také mnoho možností filtrace z hlediska vhodnosti a aplikovatelnosti software na konkrétní stroj, například dostatek místa na disku nebo typ síťové karty.

Administrátoři jsou díky tomuto SW schopni pružně reagovat na požadavky a upozornění, které přichází na univerzitu prostřednictvím informačních kanálů například z OIT, NUKIB, abuse@mendelu.cz, CESNET, nařízení rektora a dalších.

Doménové nástroje

Monitoring

Tohle téma je pro některé, možná pro většinu čtenářů, zahaleno rouškou stínu a nejasností. V rámci osvěty se pokusíme vnést do něj světlo a řád tak, aby bylo jasné, co monitoring znamená.

Jak jistě víte, tak zpětná vazba je ve většině případů automatizovaných systémů nutností. Jak jinak totiž systém pozná, že byl požadavek na klientské straně správně vykonán? Ano je to tak, sledováním stavu. Avšak je veliký rozdíl mezi tím, co takový systém sleduje, a nějakým špehováním. Takový systém totiž sleduje pouze stav úkolů, který mu byl zadán. Pokud tedy zadám systému SCCM úkol nainstalovat aplikaci na učebnu, tak bude do odstranění úkolu sledovat, zda je tato aplikace nainstalována na cíli.

Toto je jenom jeden příklad z mnoha, ale všechny budou stejné. Aby mohly všechny výše zmiňované nástroje správně fungovat, tak je potřeba některá data na pracovních stanicích sledovat. Sledují se informace, na jejichž základě potom uživatelům měníme PC nebo spouštíme čistící procedury systému, atp. Mezi takové sledované ukazatele patří například průměrné vytížení procesoru, což je ukazatel pro volbu vhodných PC k výměně a jejich vyřazení nebo procentuální zaplnění systémového disku, který pak bude vyměněn za větší, aby nemohlo dojít k poškození uživatelského profilu. Spousta z Vás dostává počítače nakupované v rámci projektů z učeben a zadávací dokumentaci jsme schopni sestavit přesně na základě těchto dat.

Za naši kariéru jsme tu několikrát zažili obálku s modrým pruhem, kdy došlo k zneužití techniky a žádost o poskytnutí součinnosti v důsledku protiprávního jednání. Je to jeden z důvodů proč je ve směrnici rektora skloňováno ožehavé téma jednoznačné identifikace uživatele a také jeden z důvodů, proč se ptáme na přesný čas výskytu problému, když vám něco nefunguje. Díky takto posbíraným diagnostickým datům jsme schopni rekonstruovat, co se na počítači stalo a případnou chybu napravit. V závažných případech je nutné ohodnotit tento incident a případně na něj preventivně reagovat v rámci celé domény.

Můžu být sledován na svém počítači?

Mnoho uživatelů se bojí, že ve chvíli, kdy jsou v doméně, jsou sledováni. Jak to vlastně je? Pojďme se na to podívat.

Článků na internetu je nespočet ale vyberme jeden opravdu pěkný https://www.epravo.cz/top/clanky/monitoring-a-sledovani-zamestnancu-112902.html

Podle § 316 odst. 1, 2 a 3 zákoníku práce na to právo máme a to i v situacích, kdy si spravujete techniku sami, viz. výše odkazovaný článek. Nicméně na PEF MENDELU toto NENÍ realizováno hned z několika důvodů:

  • snažíme se s vámi budovat vztah důvěry
  • není zde obecné nařízení (děkana/rektora), které by uživatelům dávalo na vědomí, že jejich práce je monitorována
  • jsme součástí akademické půdy
  • ve chvíli, kdyby někdo poškodil jméno oddělení, velice špatně by se tento vztah napravoval
  • jsme technici, ne právníci, a proto jakákoliv polemika nad tím, kdo co může a nemůže, jde ruku v ruce s důvěrou a respektem

Slovo na závěr

Za oddělení Tech@PEF Vám děkujeme za důvěru vloženou v rozvoj infrastruktury a elektronizace PEF MENDELU. Pravdou je, že se snažíme obstát proti bezpečnostním hrozbám v dnešním světě a snažíme se o unifikované nastavení bezpečnosti s maximálním komfortem pro uživatele, který jsme schopni mu dát.

Je také dobré si uvědomit, že na některé naše univerzitní systémy se vztahuje zákon o kybernetické ochraně (https://www.zakonyprolidi.cz/cs/2014-181) a my se tomu musíme postavit čelem, což bez Vaši spolupráce, bude možné pouze obtížně. Lze se v zásadě ubírat pouze několika směry. Ten první je založen na domluvě a hledání řešení a ten druhý je založen na síle. Řetěz je ovšem pouze a jenom tak silný, jako je jeho nejslabší článek a v bezpečnosti to platí na 100%. A o to nám jde. Útočník má na přípravu neomezený čas, my máme na obranu pouze prevenci. Nejhorší situace, co pro nás může nastat, je uživatel, který je neznalý problematiky. Spustí něco, co bude mít fatální následek nejen pro něj, ale i pro nás všechny, viz kauzy nemocnic a dalších zařízení, které proběhly mediálními kanály.

Zajímavé odkazy

  • Žádné štítky