20-NOV-2003 Heinz-Hermann Adam(adamh@nwz.uni-muenster.de)

I V der Fachbereiche Biologie Chem ie Physik· ·Naturw issenschaften

I VV4

Westfälische Wilhelms-UniversitätMünster

NW Znet.uni-m uenster.de

NW Znet.uni-m uenster.de

Arbeitsgruppen-administration

mit NWZnet Organizational Units (OUs) und Group Policy Objects (GPOs)

2

I VV4 Schedule

Termin Thema

13-NOV-2003 IVV Naturwissenschaften und NWZnet – Überblick und Konzepte (nicht nur für Windows-Administratoren)

20-NOV-2003 Arbeitsgruppenadministration mit NWZnet Organizational Units (OUs) und Group Policy Objects (GPOs)

27-NOV-2003 Installation und Konfiguration von Windows Servern

04-DEC-2003 Installation von NWZnet Windows-Clients

11-DEC-2003 Linux in NWZnet

18-DEC-2003 Benutzung von tragbaren Computern unter Windows in NWZnet

3

I VV4 Agenda

OU- und Gruppenstruktur in NWZnet Administration von

Benutzern Gruppen Rechnern

Group Policy Objects Einführung Computer Konfiguration Benutzer Konfiguration Dokumentation

Zusammenfassung

4

I VV4

Vorteile von Windows 2000 und Active Directory

Feinere Steuerung von Rechten (Permissions) und Richtlinien (Policies) (nur Windows)

Stärkere Dezentralisierung der alltäglichen administrativen Aufgaben

Vereinfachung von Client-Installationen (nur Windows)

Erhöhte Ausfallsicherheit bei Servern und Diensten (nur Windows)

Integration weiterer Betriebssysteme Benutzerverwaltung und Nutzung von Ressourcen

5

I VV4

Flexible Konfiguration der Policies

Individuelle Konfiguration der Policies gemäß der Anwendungs- und Risikostruktur Sichere Konfiguration für CIP-Pools mit

allgemeinem Zugang Größtmögliche Freiheit für Mitarbeiter, z.B.

bei Laborarbeitsplätzen mit spezieller Messtechnik

Auch dezentral möglich

6

I VV4 Delegation von Administration

Entlastung der Domänenadministratoren von „lästigen“ Aufgaben Betreuung durch Administratoren vor Ort

Rechner (Hinzufügen und Entfernen von der Domäne)

Benutzer (vergessene Passwörter)

Stärkung der Administratoren vor Ort durch umfassende Rechte und Möglichkeiten zusätzliche parallele Strukturen werden überflüssig

7

I VV4 OU-Struktur

Abbildung der Organisationsstruktur

ca. 520 OUs Entsprechen den

administrativen Einheiten

Bereiche mit besonderen Anforderungen ausgegliedert

Computer-Pools für Studierende

OUs der jeweils untersten Ebene der Struktur enthalten

Rechner Benutzer

NWZnet.uni-muenster.de

Fachbereich

Institut

Arbeitsgruppe

Mitarbeiter_1

Computer-Pool

Student_1

Next>

Cancel

Next >< BackCancel

Next>

CancelOK

Computer_1

Next>

Cancel

Next >< BackCancel

Next>

CancelOK

Computer_2

8

I VV4

uni-muenster.d

e

NWZnet

DomainControllers

DomainServer

DomainMember

wwu

PhysikBiologie Chemie SonstigeCIP-Pool

Biologie Chemie Physik Sonstige

Theoretische_Physik

HS404

Festkoerpertheorie

AG_Zierau

Mobile_Workstations

MAXWELL PFT273

adamh p0zierau p2zierau

WNWZ03WCHEM2WBIO04 WBIO03 WCHEM3 WNWZ02NWZIIS/SUS-Server

SQL-Server

WNWZ05WNWZ04

uk-muenster.d

e

NWZnet.uni-muenster.de

PowerPoint PräsentationDemo-Rechner

9

I VV4 Gruppen und Group Nesting

Zu jeder Arbeitsgruppe eine korrespondierende Administratoren-Gruppe

Administrative Aufgaben vor Ort

Management der OU Minimierung der Anzahl

der Gruppen, die pro Benutzer konfiguriert werden müssen, durch Schachtelung (Nesting)

Domain Users

Arbeitsgruppe

Administratorender Arbeitsgruppe

AG_Admin_1

Mitarbeiter_1

Users

10

I VV4 Administrationsgruppen

Zu jeder Arbeitsgruppe zwei korrespondierende Administratoren-Gruppen 1er Gruppe

W-Account Administrative

Aufgaben vor Ort 2er Gruppe

Y-Account Administrative

Aufgaben vor Ort Management der

OU Mitgliedschaft der

1er Gruppe

NWZnet

Users

DomainUsers

p0zierau

p1zierau

p2zierau

adamh

yadamh

wadamh

11

I VV4 1er und 2er Gruppen

2er Gruppe hat Rechte

im Active Directory Arbeitsgruppen OU 1er Gruppe

auf lokalen Rechnern 1er Gruppe hat Rechte

auf lokalen Rechnern Installation von

Software Administration des

Betriebssystems

AG_Zierau

AG_Zierau_ADM

p0zierau

p1zierau

p2zierauPFT273

12

I VV4

Delegation von administrativen Aufgaben Rechner

zur Domäne hinzufügen/von ihr entfernen

zwischen OUs verschieben Benutzern

die Passwörter (zurück)setzen

gesperrte Accounts wieder aktivieren

Alle Accountinformationen lesen, z.B. Ablaufdatum

Erzeugen von Sub-OUs Group Policy

Bearbeiten Erzeugen

Ernennen von Sub-Administratoren

13

I VV4

Administration in der OU: Benutzer, Gruppen, Rechner

Demo

14

I VV4 Group Policy Objects

(Security) Konfiguration (lokal/zentral) Flexibilität und Konsistenz

Bsp.: Ordnerumleitung (Folder Redirection) Entlastet Roaming Profiles von Ballast und das

Netzwerk beim Login/-out

Software Installation Microsoft Installer Pakete Zu definiertem Zeitpunkt, z.B. beim Booten Auf Anforderung

15

I VV4 Design von Group Policies

So viel wie nötig, so wenig wie möglich

Spezialkonfigurationen auf den unteren OU-Ebenen

Anzahl der Policies minimieren Besser wenige komplexe Regeln, als viele einzelne

Regeln

OU-Verschachtelungen minimieren Performance sinkt bei 10 oder mehr OU-Ebenen

16

I VV4 Anwendung von Policies

Reihenfolge Lokale Konfiguration Site Policy Domänen Policy OU-Policy 1 OU-Policy 2 … OU-Policy N

“Last Policy wins”

Computer

Site

Domain

Organizational Unit 1

Organizational Unit 2

Organizational Unit N

...

17

I VV4

Group Policy im NWZnet Active Directory

uni-muenster.d

e

NWZnet

Default Site

DomainControllers

DomainServer

DomainMember

PhysikCIP-Pool

Physik

Theoretische_Physik

HS404

Festkoerpertheorie

AG_Zierau

Mobile_Workstations

MAXWELL PFT273

adamh p0zierau p2zierau

WNWZ03WCHEM2WBIO04 WBIO03 WCHEM3 WNWZ02NWZ

Default SitePolicy

DefaultDomainPolicy

DefaultDomainPolicy

NWZnetDomainPolicy

DefaultDomain-ServerPolicy

DefaultDomain

ControllerPolicy

DefaultCIP-Pool

Policy

AG_ZierauPolicy

Mobile_WorkstationPolicy

Block Policy Inheritance

You are here

18

I VV4 Group Policy Object

Wirkt auf Computer Benutzer

der OU und ihrer Sub-OUs.

Kann an mehrere OUs gelinkt werden

Wenn Benutzer und Rechner in verschiedenen OUs sind, gelten die Computerkonfiguration bzw. Benutzerkonfiguration der OU in der sich das jeweilige Objekt befindet.

AG_Zierau AG_Santo

adamh PIKP05

AG_ZierauPolicy

AG_SantoPolicy

Login

19

I VV4 Benutzung von Group Policies

Demo

20

I VV4 Dokumentation von Policies

Dokumentation der zentralen Policies N:\info\NWZnet\Windows\Grouppolicy\NWZnet_Group_Policies.xls

Jede Setzung und Änderung dokumentieren

Allgemeine Dokumentation zu Group Policies Settings N:\info\NWZnet\Windows\Grouppolicy Explain-Tab in der Group Policy Konsole

21

I VV4 Zusammenfassung

OU- und Gruppenstruktur in NWZnet

Dezentrale Administration 1er/2er Gruppen W- und Y-Accounts

Gruppenrichtlinien (Group Policy) Grundlagen – GPO im AD Forest Anwendung und Auswirkung - Reihenfolge Benutzung und Konfiguration Dokumentation - unverzichtbar

22

I VV4 Q & A – Fragen und Antworten

NW Znet.uni-m uenster.de