AD/Organizační jednotky pracovišť

Z HelpDesk

Tento dokument se zabývá vytvářením, správou a použitím delegovaných organizačních jednotek (OU) v centrální doméně Active Directory (WXK).

Účel

Delegované organizační jednotky jsou určeny pro potřeby pracovišť, která mají zájem o provoz stanic s operačním systémem Windows 10 nebo Windows 11 a pro přihlašování uživatelů chtějí využívat centrálně spravovanou identitou v systému Orion. A to vše bez použití vlastní subdomény Active Directory.

Úpravy na serveru

Veškeré související úpravy, které je třeba provést na serveru, provádí CIV na serverech domény WXK.

Vytvoření organizační jednotky

  • Organizační jednotka se pojmenovává zkratkou pracoviště, pro které je určena, tj. např. zkratkou katedry.
  • Organizační jednotky vytvořené pro potřebu pracovišť se umísťují do organizační jednotky/objektu wxk.zcu.cz/Departments.
  • Do téže organizační jednotky se umísťuje také účty pro správu těchto OU. Konvence pro jejich pojmenování je <název_OU>register, tedy např. KPVregister pro organizační jednotku KPV apod.
  • Takto vytvořený účet se zařazuje do skupiny Departments Registration Accounts a vyřazuje se ze všech ostatních skupin.
  • Na tento účet se deleguje správa příslušné organizační jednotky a přidělí se mu práva na vytváření objektů.
  • Heslo k tomuto účtu je bezpečnou cestou předáno místnímu správci, k jehož potřebě je doména určena.

Do vzniklé organizační jednotky lze pak zařazovat počítače těchto pracovišť a umožnit jim tak využívat data v AD – zejména centrální uživatelskou základnu.

Úpravy na stanicích

Na pracovní stanici je třeba udělat několik úprav. Jedině s nimi budou uživatelé schopni přihlašovat se se svojí identitou zavedenou v prostředí Orion.

Zařazení stanice do domény

Jak jsme si již popsali v předchozím oddílu, v doméně WXK je k tomu účelu zřízen speciální uživatelský účet, který disponuje právy pro přidávání stanic.

K tomu, aby se stanice zařadila do správné organizační jednotky, se ovšem nedá použít běžné "klikací" rozhraní Windows. Pro tento účel je každému správci nabídnut skript na zařazení stanice do domény. Pro zařazení se ve skriptu používá PowerShell cmdlet Add-Computer. Správná syntaxe pro přidání stanice do organizační jednotky vyčleněné v doméně WXK některé z kateder vypadá např. takto:

Add-Computer -DomainName "WXK.ZCU.CZ" -OUPath "OU=KPV,OU=Departments,DC=wxk,DC=zcu,DC=cz" -Credential (Get-Credential)

Nastavení ověřování vůči autoritě MIT Kerberos

Nastavení se provádí příkazem ksetup. V prostředí WEBnetu jsou pro servery poskytující služby související s Kerberem zavedeny aliasy, takže nastavení by mělo být trvalé a případné změny ve využití serverů transparentní.

Na stanici se spouští tato posloupnost příkazů:

ksetup /AddKdc ZCU.CZ kerberos1.zcu.cz
ksetup /AddKdc ZCU.CZ kerberos2.zcu.cz
ksetup /AddKdc ZCU.CZ kerberos3.zcu.cz
ksetup /AddKpasswd ZCU.CZ kpasswd.zcu.cz

Po restartu se v přihlašovacím okně rozšíří nabídka domén, k nimž je možné se přihlašovat. Běžní uživatelé se budou vždy přihlašovat k doméně ZCU.CZ (Kerberos realm).

Přihlašování

Pokud jste si nezažádali o nastavení politiky pro výchozí přihlašovací doménu, tak uživatel musí zadat doménu ručně.

LOGIN@ZCU.CZ


Příklady

Uveďme si pregnantní ilustraci, nebo alespoň nějaký příklad. Představme si, že chceme vytvořit vlastní organizační jednotku např. pro KVD.

CIV nám zajistí

  • Vytvoření organizační jednotky KVD (wxk.zcu.cz/DepartmentalOUs/KVD).
  • Vytvoření správcovského účtu KVDRegister (Účet KVD. Registrační).
  • Sdělí nám heslo k tomuto účtu.
  • Odkáže nás na tento dokument.

My si zajistíme

  • Nainstalované počítače, které nejsou/nebyly zavirované ani jinak napadené a nejsou zařazené do žádné domény.
  • Přečteme si dokumentaci.
  • Nikomu neřekneme heslo k registračnímu účtu, ale zapamatujeme si ho.
  • Provedeme všechny kroky popsané v oddílu Úpravy na stanicích.
  • Případné problémy nahlásíme standardní cestou CIVu.