TWORZENIE GRUP I ZARZĄDZANIE NIMI W WINDOWS SERVER 2012

Wprowadzenie do lekcji

  1. Aby rozpocząć operacje na grupach w Windows Server, należy poznać kilka podstawowych pojęć dotyczących tego zagadnienia.
    1. Definicja grupy.
    Grupa jest jednostką administracyjną w Active Directory, tworzoną w celu nadania określonych uprawnień dostępu do zasobów systemu oraz umieszczenia w niej różnych obiektów.
    2. Kategorie grup - typy.
    grupa dystrybucyjna - nie można jej przypisywać uprawnień ani zabezpieczeń i służy do dystrybuowania wiadomości e-mail,
    grupa zabezpieczeń - do przyznawania uprawnień do obiektów (posiada też możliwości grupy dystrybucyjnej).
    3. Rodzaje grup zabezpieczeń.
    globalne - nie mogą zawierać członków innych domen ale ich członkom można nadać dostęp do zasobów z innych domen,
    uniwersalne - mogą należeć do niej grupy uniwersalne, globalne oraz obiekty z dowolnej domeny i można jej przypisać uprawnienia do obiektów z różnych domen,
    lokalne w domenie - do takiej grupy mogą należeć obiekty i grupy globalne z dowolnej domeny, ale nie może być członkiem grupy globalnej. Natomiast uprawnienia można przypisywać do obiektów z tej samej domeny.
    4. Praktyczny przykład zastosowania grup.
    Załóżmy, że w firmie mamy 10 użytkowników i chcemy aby każdy z nich miał dostęp do tej samej drukarki, a potem do kolejnej nowej drukarki.
    Sposób 1:
    - wszystkie 10 kont użytkowników umieszczamy na liście uprawnień do pierwszej drukarki,
    - gdy dostaniemy nową drukarkę czynność musimy powtórzyć.
    Sposób 2:
    - tworzymy grupę o lokalną w domenie i przypisujemy tej grupie dostęp do drukarki,
    - tworzymy grupę globalną i tam "wrzucamy" naszych 10 użytkowników,
    - naszą grupę globalną przypisujemy do grupy lokalnej i wszyscy mają dostęp do drukarki,
    - gdy pojawi się nowa drukarka wystarczy grupie lokalnej nadać do niej dostęp, a użytkownicy grupy globalnej będą mogli z niej korzystać.

I. Tworzenie grupy.

Zdjecie do cwiczenia.

Aby utworzyć nowego użytkownika należy wybrać z górnego menu "Menedżera serwera" opcję "Narzędzia"--> "Użytkownicy i komputery usługi Active Directory", a następnie zaznaczamy kontener, w którym będziemy tworzyć grupę i PPM wybieramy "Nowy" i "Grupa".

Zdjecie do cwiczenia.

Podajemy nazwę grupy i określamy jej typ i zakres i naciskamy "OK".

Zdjecie do cwiczenia.

Możemy teraz sprawdzić czy nasza grupa została utworzona w kontenerze "Users".

Zdjecie do cwiczenia.

Zaznaczamy teraz naszą grupę i PPM wybieramy "Właściwości". Przechodzimy na zakładkę "Członkowie" i klikając "Dodaj" możemy jakieś obiekty uczynić członkami tej grupy.

Zdjecie do cwiczenia.

Po kliknięciu "Dodaj" mamy okno z którego wybieramy "Zaawansowane".

Zdjecie do cwiczenia.

Tu klikamy "Znajdź teraz" i możemy wybrać interesujący nas obiekt. Następnie "OK".

Zdjecie do cwiczenia.

Jeśli wszystko się zgadza klikamy jeszcze raz "OK".

Zdjecie do cwiczenia.

I widzimy, że nasz obiekt jest już członkiem grupy "Klasa2". Naciskamy "Zastosuj" i "OK".

II. Tworzenie i usuwanie grupy przy użyciu wiersza poleceń - polecenie dsadd i dsrm.

Zdjecie do cwiczenia.

Podobnie jak w przypadku tworzenia użytkowników, wykorzystamy do tego polecenie dsadd. Składnia jest następująca:
dsadd obiekt nazwa_DN_obiektu [przełączniki]
Przełączniki mogą być następujące:
secgrp no - wtedy utworzymy grupę dystrybucyjną. Bez tego przełącznika domyślnie będzie nam się tworzyć grupa zabezpieczeń.
scope (l, g, u) - określa nam zakres: l - lokalny, g - globalny, u - uniwersalny.
Przykład 1:
Tworzymy grupę zabezpieczeń Elektronicy o zasięgu globalnym w kontenerze Users:
dsadd group "CN=Elektronicy,CN=Users,DC=ZSE,DC=com" -secgrp yes -scope g

Zdjecie do cwiczenia.

Przykład 2:
Usuwamy utworzoną grupę zabezpieczeń Elektronicy:
dsrm "CN=Elektronicy,CN=Users,DC=ZSE,DC=com"

III. Dodawanie i usuwanie użytkowników do i z grupy - polecenie dsmod.

Zdjecie do cwiczenia.

Wykorzystamy do tego polecenie dsmod. Składnia jest następująca:
dsmod group nazwa_DN_grupy –addmbr nazwa_DN_użytkownika

Przykład 1:
Dodajemy użytkownika James JB. Bond8 do grupy Klasa2:
dsmod group "CN=klasa2,CN=Users,DC=ZSE,DC=com"
-addmbr "CN=James JB. Bond8,CN=Users,DC=ZSE,DC=com"

Zdjecie do cwiczenia.

Sprawdzamy w Active Directory czy ten użytkownik jest członkiem grupy Klasa2.

Zdjecie do cwiczenia.

Przykład 2:
Możemy dodać do grupy również więcej użytkowników.
dsmod group "CN=klasa2,CN=Users,DC=ZSE,DC=com" -addmbr "CN=James JB. Bond9,
CN=Users,DC=ZSE,DC=com" "CN=James Bond4,CN=Users,DC=ZSE,DC=com"

Zdjecie do cwiczenia.

Sprawdzamy w Active Directory czy ci użytkownicy są członkami grupy Klasa2.

Zdjecie do cwiczenia.

Usuniemy teraz użytkownika za pomocą dsmod. Składnia jest następująca:
dsmod group nazwa_DN_grupy –rmmbr nazwa_DN_użytkownika

Przykład 3:
Usuwamy użytkownika James JB. Bond9 z grupy Klasa2
dsmod group "CN=klasa2,CN=Users,DC=ZSE,DC=com"
-rmmbr "CN=James JB. Bond9,CN=Users,DC=ZSE,DC=com"

IV. Wyszukiwanie obiektów w AD - polecenie dsquery.

Zdjecie do cwiczenia.

Wykorzystamy do tego polecenie dsquery. Składnia jest następująca:
dsquery obiekt nazwa_DN_obiektu

Przykład 1:
Wyszukanie użytkowników w kontenerze Users:
dsquery user "CN=Users,DC=ZSE,DC=com"

Zdjecie do cwiczenia.

Przykład 2:
Wyszukanie wszystkich użytkowników w naszej domenie zse.com:
dsquery user -name *

Zdjecie do cwiczenia.

A teraz pokażemy jak można połączyć polecenia. Przenieśmy kilku użytkowników (na potrzeby ćwiczenia są oni już tam umieszczeni) do jednostki organizacyjnej Informatycy. Sprawdzamy jacy użytkownicy są w naszej jednostce.

Zdjecie do cwiczenia.

Przykład 3:
Dodamy teraz wszystkich użytkowników z jednostki organizacyjnej Informatycy do istniejącej grupy o nazwie Klasa2. Polecenie będzie mieć następującą składnię:
dsquery user "OU=Informatycy,DC=zse,DC=com" | dsmod group "CN=Klasa2,DC=zse,
DC=com" -addmbr

Zdjecie do cwiczenia.

Sprawdzamy w Active Directory czy ci użytkownicy są członkami grupy Klasa2.

V. Sprawdzanie informacji o grupie i użytkownikach - polecenie dsget.

Zdjecie do cwiczenia.


Polecenie dsget umożliwia wyświetlanie nam:
- właściwości obiektu np. dla grupy -desc -secgrp itp.
- członków np. danej grupy - parametr -members
- członkostwa np. w danej grupie - parametr -memberof -expand
Wykorzystamy do tego polecenie dsget. Składnia jest następująca:
dsget obiekt nazwa_DN_obiektu [przełączniki]

Przykład 1:
Sprawdzamy informacje o naszym użytkowniku James JB. Bond9, a dokładniej jego nazwę konta i główną nazwę użytkownika:
dsget user "CN=James JB. Bond9,OU=Informatycy,DC=ZSE,DC=com" -upn -samid

Zdjecie do cwiczenia.

Przykład 2:
Sprawdzamy informacje o naszym użytkowniku James JB. Bond9, a dokładniej w jakiej znajduje się grupie (grupach):
dsget user "CN=James JB. Bond9,OU=Informatycy,DC=ZSE,DC=com" -memberof

Zdjecie do cwiczenia.

Przykład 3:
A teraz sprawdzimy jeszcze zależność grup do których należy nasz użytkownik od innych grup (rekursywność).
dsget user "CN=James JB. Bond9,OU=Informatycy,DC=ZSE,DC=com" -memberof -expand

Zdjecie do cwiczenia.

Przykład 4:
Sprawdzimy jeszcze jacy użytkownicy należą do grupy info, która jest w kontenerze Users.
dsget group "CN=Info,CN=Users,DC=ZSE,DC=com" -members

Zdjecie do cwiczenia.

Widzimy dwóch członków grupy info, ale sprawdzimy jeszcze graficznie w AD:

Zadanie do wykonania na lekcji

Wszystkie czynności udokumentuj zrzutami z ekranu i umieść w sprawozdaniu.

  1. Korzystając z przystawki "Użytkownicy i komputery usługi AD" utwórz jednostkę organizacyjną Grupy, a w niej:
    • grupę zabezpieczeń Informatyk o zasięgu globalnym i przypisz do niej trzech użytkowników,
    • grupę zabezpieczeń Elektronik o zasięgu lokalnym i przypisz do niej trzech nowych użytkowników i grupę Informatyk,
    • grupę zabezpieczeń Zawody o zasięgu lokalnym i przypisz do niej grupę Elektronik.
  2. Korzystając z konsoli i polecenia dsget:
    • sprawdź do jakich grup należy (pośrednio i bezpośrednio) wybrany użytkownik z grupy Informatyk,
    • sprawdź do jakich grup należy (pośrednio i bezpośrednio) wybrany użytkownik z grupy Elektronik,
    • sprawdź jakich członków ma grupa Informatyk,
    • sprawdź jakich członków ma grupa Elektronik.
  3. Korzystając z konsoli i poleceń dsadd, dsmod, dsquery:
    • utwórz w j.o. Grupy grupę zabezpieczeń Drukarki1 o zasięgu lokalnym, załóżmy że umożliwia ona korzystanie z drukarki 1,
    • utwórz w j.o. Grupy grupę zabezpieczeń Drukarki2 o zasięgu lokalnym, załóżmy że umożliwia ona korzystanie z drukarki 2,
    • utwórz w domenie jednostkę organizacyjną Programowanie, a w niej pięciu nowych użytkowników,
    • utwórz w j.o. Grupy grupę zabezpieczeń Program o zasięgu globalnym,
    • jednym poleceniem przypisz użytkowników z j.o. Programowanie do grupy Program,
    • utwórz w domenie jednostkę organizacyjną Grafika, a w niej pięciu nowych użytkowników,
    • utwórz w j.o. Grupy grupę zabezpieczeń Graf o zasięgu globalnym,
    • jednym poleceniem przypisz użytkowników z j.o. Grafika do grupy Graf,
    • zrób tak, aby użytkownicy z j.o. Programowanie mogli korzystać z obu drukarek, a użytkownicy z j.o. Grafika tylko z drukarki 1,
  4. Korzystając z konsoli i poleceń dsget i dsquery:
    • wyświetl do jakich grup należy dowolny użytkownik z j.o. Grafika oraz Programowanie,
    • wyświetl do jakich grup należy (pośrednio i bezpośrednio) dowolny użytkownik z j.o. Grafika oraz Programowanie,
    • wyświetl jakie grupy znajdują się w j.o. Grupy.
    • sprawdź jakich członków ma grupa Graf.
    • sprawdź jakich członków ma grupa Program.