Joan zuzenean edukira

3.3. AD oinarrizko kudeaketa

Helburua: ADren oinarrizko administrazioa egitea.

Edukiak

  • OU egitura eta praktika onak
  • Erabiltzaileak eta taldeak: sorrera, txantiloiak eta delegazioa
  • RSAT eta PowerShell tresnak ADrako
  • GPO sarrera: eremua (LSDOU) eta heredentzia

Jarduerak

  • Sail eta Ikasgelen OUk sortu
  • Proba-erabiltzaileak eta talde globalak sortu
  • Oinarri-oinarrizko GPO bat sortu eta estekatu

Kontzeptu nagusiak (teoria)

  • ADren egitura logikoa

  • Basoa (Forest): konfiantza multzo handiena; eskema bera partekatzen duten domeinu anitz biltzen ditu. "Enpresa osoa" bezala uler daiteke.

  • Zuhaitza (Tree): hierarkikoki erlazionatutako domeinuak, izen-espazio bera partekatzen dutenak (adib.: corp.local eta eu.corp.local).
  • Domeinua (Domain): segurtasun eta administrazioaren oinarrizko muga (erabiltzaileak, taldeak, GPOak). Normalean erakunde handi batekin lerrokatzen da.
  • Guneak (Sites): kokapen fisikoak/IP sareak irudikatzen dituzte, errepikapena eta autentifikazioa optimizatzeko.

  • Ohiko objektuak: OUak (karpeta logikoak), erabiltzaileak, taldeak, ordenagailuak, GPOak.

  • OU vs aurrezarritako edukiontziak

  • OU (Organizational Unit): GPOak aplikatzeko eta baimenak delegatzeko karpeta logikoa. Antolatzeko eta kudeatzeko egokia.

  • Edukiontzi lehenetsiak (Users, Computers): ez dute GPO zuzenean onartzen eta delegazioa mugatzen dute. Hobe objektuak OUetara mugitzea.

  • OU diseinatzeko ikuspegiak

  • Funtzioz (Zerbitzariak, Erabiltzaileak, Aplikazioak), kokapenez (Bilbo, Madril) edo administrazioz (nork kudeatzen duen).

  • Arau praktikoak: egitura sinplea, izen argiak, dokumentatu, eta ezabaketa ustekabearen aurkako babesa gaitu.

  • AD taldeak: mota eta esparruak

  • Mota: Segurtasuna (baimenetarako) vs Banaketa (posta-zerrendak).

  • Esparruak: Globala (domeinu bereko kideak), Domeinu Lokala (baimenak domeinu lokalean), Unibertsala (egokia baso anitzeko domeinuetan).

  • AGDLP/AGUDLP eredua: Erabiltzaileak → Talde Globalak → (Talde Unibertsalak) → Domeinu Lokaleko Taldeak → Baliabideetako baimenak. Kudeaketa eta eskalagarritasuna errazten du.

  • Kontrolaren delegazioa

  • Zeregin zehatzak esleitu pertsona/taldeei domeinu-administratzaile pribilegiorik eman gabe (pribilegio minimoa).

  • Adibidea: euskarriko taldeari pasahitzak berrezartzeko baimena ematea Ikasgelen OUan, gainerakoa ukitu gabe.

  • Talde-politikak (GPO)

  • LSDOU prozesaketa: politikak orden honetan aplikatzen dira: Lokala → Gunea → Domeinua → OU. Azkenak sarritan gailentzen da.

  • Herentzia: maila altuagoko GPOek beheragokoetan eragina dute, blokeatu ezean. "Enforced"-ek lehentasuna indartzen du.
  • Iragazketa: segurtasun-iragazkia (zein taldek jasotzen duen) edo WMI (baldintza teknikoak, adib. Windows bertsioa).

  • Loopback: erabiltzaile-konfigurazioak ordenagailuaren arabera aplikatzea (ikasgelak/kioskoak).

  • Pasahitz politika granularrak (FGPP/PSO)

  • Domeinu berean talde ezberdinek baldintza ezberdinak izan ditzakete (konplexutasuna, luzera, iraungitzea).

  • RSAT tresna erabilienak

  • ADUC (Erabiltzaileak eta taldeak), GPMC (GPO kudeaketa), ADAC (Kudeaketa zentroa), DNS, Sites and Services.

  • Babeskopiak eta FSMO rolak

  • "System State" babeskopia AD berreskuratzeko (DB, SYSVOL, etab.).

  • PDC Emulator: ordu eta pasahitzen erreferentzia nagusia; politiketan eta sinkronizazioan kritikoa.

GUI adibide praktikoa (aukerakoa)

1) OU egitura gomendatua - Ireki: Administrazio Tresnak → Active Directory Users and Computers. - Domeinuaren erroan sortu OU CORP (ezabaketa ustekabekoaren aurkakoa aktibatu). - CORP barruan sortu OUk: Departamentuak, Ikasgelak, Taldeak, Zerbitzuak. - Departamentuak barruan, zure kasura egokitutako azpi-OUak (adib. IT, Salmentak).

2) Erabiltzaile txantiloiak eta erabiltzaileak - CORP/Departamentuak/IT-n sortu TPL.Erabiltzailea txantiloia propietate komunekin (Saila, Enpresa, Telefonoa…). Kontua desgaitu. - Txantiloia bikoiztu proba-erabiltzailea sortzeko (Izen Abizenak). Gaitu kontua eta ezarri pasahitz segurua.

3) Taldeak eta kidegoak - CORP/Taldeak-en sortu segurtasun-talde globalak (adib. GG_IT, GG_SALMENTAK). - Gehitu proba-erabiltzaileak dagokien taldera.

4) Delegazio oinarrizkoa - CORP/Ikasgelak → eskuineko botoia → Delegate control… → Gehitu irakasle/TA taldea. - Aukeratu zeregin arruntak: erabiltzaile kontuak sortu/ezabatu, pasahitzak berrezarri, erabiltzaileen informazioa irakurri.

5) Hasierako GPO: pantaila blokeoa adibidea - Ireki: Group Policy Management (GPMC). - Sortu GPO-Baseline-Erabiltzaileak eta estekatu CORP OU-ra (edo helburu OU-ra). - Editatu GPO → User Config → Policies → Admin Templates → Control Panel/Personalization: - Enable screen saver = Enabled - Screen saver timeout = 600 - Password protect the screen saver = Enabled - Bezero batean (domeinura bilduta) exekutatu: gpupdate /force.

PowerShell adibidea (aukerakoa)

  • OUak sortu
New-ADOrganizationalUnit -Name "CORP" -Path "DC=corp,DC=local" -ProtectedFromAccidentalDeletion $true
New-ADOrganizationalUnit -Name "Departamentuak" -Path "OU=CORP,DC=corp,DC=local"
New-ADOrganizationalUnit -Name "Ikasgelak" -Path "OU=CORP,DC=corp,DC=local"
New-ADOrganizationalUnit -Name "Taldeak" -Path "OU=CORP,DC=corp,DC=local"
  • Txantiloia eta proba-erabiltzailea
New-ADUser -Name "TPL.Erabiltzailea" -SamAccountName tpl.erabiltzailea -Path "OU=Departamentuak,OU=CORP,DC=corp,DC=local" -Enabled:$false -Department "IT"
$pw = ConvertTo-SecureString "P@ssw0rd123!" -AsPlainText -Force
New-ADUser -Name "Jon Perez" -GivenName Jon -Surname Perez -SamAccountName jperez -UserPrincipalName jperez@corp.local -Path "OU=Departamentuak,OU=CORP,DC=corp,DC=local" -AccountPassword $pw -Enabled $true
  • Taldeak eta kideak
New-ADGroup -Name "GG_IT" -GroupScope Global -GroupCategory Security -Path "OU=Taldeak,OU=CORP,DC=corp,DC=local"
Add-ADGroupMember -Identity "GG_IT" -Members jperez
  • GPOa eta esteka
New-GPO -Name "GPO-Baseline-Erabiltzaileak" | New-GPLink -Target "OU=CORP,DC=corp,DC=local"
Set-GPRegistryValue -Name "GPO-Baseline-Erabiltzaileak" -Key "HKCU\Software\Policies\Microsoft\Windows\Control Panel\Desktop" -ValueName ScreenSaveActive -Type String -Value 1
Set-GPRegistryValue -Name "GPO-Baseline-Erabiltzaileak" -Key "HKCU\Software\Policies\Microsoft\Windows\Control Panel\Desktop" -ValueName ScreenSaveTimeOut -Type String -Value 600
Set-GPRegistryValue -Name "GPO-Baseline-Erabiltzaileak" -Key "HKCU\Software\Policies\Microsoft\Windows\Control Panel\Desktop" -ValueName ScreenSaverIsSecure -Type String -Value 1

CSV-tik erabiltzaileak inportatzea (aukerakoa)

CSV erabiltzaileak.csv:

GivenName,Surname,SamAccountName,OU,Department
Ana,Gomez,agomez,OU=Departamentuak,OU=CORP,DC=corp,DC=local,IT
Luis,Ruiz,lruiz,OU=Departamentuak,OU=CORP,DC=corp,DC=local,Salmentak

Script-a:

$pw = ConvertTo-SecureString "P@ssw0rd123!" -AsPlainText -Force
Import-Csv .\erabiltzaileak.csv | ForEach-Object {
  New-ADUser -Name ("{0} {1}" -f $_.GivenName,$_.Surname) `
    -GivenName $_.GivenName -Surname $_.Surname `
    -SamAccountName $_.SamAccountName -UserPrincipalName ("{0}@corp.local" -f $_.SamAccountName) `
    -Path $_.OU -Department $_.Department -AccountPassword $pw -Enabled $true
}

Egiaztapenak eta probak (kontzeptuak)

  • Erabiltzaile/taldeak: Get-ADUser jperez -Properties *, Get-ADGroup GG_IT -Properties *, Get-ADGroupMember GG_IT.
  • GPO: domeinuan bildutako bezeroan, gpresult /r edo gpresult /h gp.html eta ireki txostena.
  • RSOP: rsop.msc bezeroan aplikatutako politikak ikusteko.
  • GPO txostena DC-n: Get-GPOReport -All -ReportType Html -Path Report.html.

Arazoen konponketa

  • Erabiltzaileak sortzean errorea: egiaztatu helburu OU eta delegazio baimenak.
  • Pasahitza ez dator bat politikarekin: berrikusi domeinuko konplexutasuna/luzeera.
  • GPO ez da aplikatzen: egiaztatu esparrua (LSDOU), heredentzia/blokeoak, eta objektua estekatutako OUan dagoela. Exekutatu gpupdate /force eta begiratu gpresult.
  • Ordutegi desinkronizatua: GPO/Kerberos arazoak sor ditzake; sinkronizatu NTP iturri fidagarri batekin (PDC Emulator, enpresako NTP edo publikoak).

Azken egiaztapen-zerrenda

  • OUk sortuta eta ezabaketa-aurkako babesa gaituta.
  • Gutxienez 2 erabiltzaile eta 2 talde global sortuta; kidegoak ondo.
  • Baseline GPO sortu, estekatu eta bezero batean egiaztatuta.
  • Pantaila-argazkiak edo gpresult /h txostena gordeta.

Erlazionatutako AWS praktika

Aplikatu OUk, erabiltzaileak, taldeak eta lehen GPOa AWSn gida honekin: 5. ADren oinarrizko kudeaketa (AWS)