niedziela, 15 lutego 2015

Windows 2008 Serwer - Automatyzacja tworzenia kont komputerów (70-640) cz.4.3

Tworzenie nowych kont komputerów możemy dokonać ręcznie wchodząc w AD wybierając odpowiednią jednostkę organizacyjną, następnie klikamy na New oraz Computer. Tworzenie w ten sposób kont komputerów, które później będziemy dodawać do domeny jest szybkie oraz wygodne jeżeli chodzi o utworzenie kliku konta, ale co w przypadku potrzeby założenia 100 czy 200 nowych kont? W takim przypadku z pomocą przychodzi nam zestaw poleceń, które pozwalają zautomatyzować ten proces.

1.Dsadd:

Znane już z dodawania nowych użytkowników polecenie Dsadd możemy wykorzystać przy dodawaniu nowych kont komputerów w domenie:

dsadd computer "CN=Komputer01,OU=Klienci,DC=contoso,DC=com"

2.CSVDE:

DN,objectClass,name,userAccountControl,sAMAccountName
"CN=Komputer01,OU=Klienci,DC=contoso,DC=com",computer,Komputer01 4096,Komputer01$

Zapisujemy plik z rozszerzeniem .csv obejmując nazwę oraz rozszerzenie w "", aby z automatu nie zostało dopisane rozszerzenie .txt.

Skrypt uruchamiamy poleceniem csvde -i -f "nazwapliku.csv".

3.Importowanie listy komputerów LDIF:

DN: CN=Komputer01,OU=Klienci,DC=contoso,DC=com
changeType: add
objectClass: top
objectClass: person
objectClass: organizationPerson
objectClass: user
objectClass: computer
cn: Komputer01
userAccountControl: 4096
sAMAccountName: Komputer01$

Skrypt zapisujemy z rozszerzeniem .ldf. Następnie uruchamiamy polecenie ldifde -i -f "computersImport.ldf"

4.Utworzenie konta komputera przy pomocy PowerShell'a oraz VBS:

$objOU=[ADSI]"LDAP://OU=Klienci,DC=contoso,DC=com"
$objComputer=$objOU.Create("computer","CN=Komputer01")
$objComputer.Put("sAMAccountName","Komputer01$")
$objComputer.Put("userAccountControl",4096)
$objComputer.SetInfo()

Set objOU=GetObject(LDAP://OU=Klienci,DC=contoso,DC=com)
Set objComputer=objOU.Create("computer","CN=Komputer01")
objComputer.Put ="sAMAccountName","Komputer01$"
objComputer.Put = "userAccountControl",4096
objComputer.SetInfo

Powyższy skrypt VBS uruchamiamy poleceniem cscript "computersImport.vbs"





Windows 2008 Serwer - Zarządzanie grupami Dsadd,CSVDE,Ldifde (70-640) cz.4.2

Grupami możemy zarządzać również za pomocą dostępnych poleceń w systemie.

1.Dsadd:
Poniższe polecenie utworzy grupę Pracownicy w jednostce organizacyjnej Grupy:

dsadd group "CN=Pracownicy,OU=Grupy,DC=constoso,DC=com" -samid Pracownicy -secgrp yes - scope g

2.CSVDE:

objectClass,sAMAccountName,DN,member

group,Ksiegowosc,"CN=Ksiegowosc,OU=Grupy,DC=contoso,DC=com","CN=Linda Mitchell,OU=Ludzie,DC=contoso,DC=com; CN=Scott Mitchell,OU=Ludzie,DC=contoso,DC=com"

Zapisujemy plik z rozszerzeniem .csv, nazwę pliku zapisujemy w cudzysłowiu, np. "groupimport.csv", aby nie zostało dodane rozszerzenie .txt.

Sam import wykonujemy wywołując csvde -i -f groupimport.csv -k.

3.Modyfikacja członkostwa za pomocą LDIFDE:

dn: CN=Ksiegowosc,OU=Grupy,DC=contoso,DC=com
changetype: modify
add: member
member: CN=Jan Kowalski,OU=Ludzie,DC=contoso,DC=com
member: CN=Tomasz Kowalski,OU=Ludzie,DC=contoso,DC=com
-

dn: CN=Ksiegowosc,OU=Grupy,DC=contoso,DC=com
changetype: modify
add: member
member: CN=Bożena Kowalska,OU=Ludzie,DC=contoso,DC=com
member: CN=Jacek Kowalski,OU=Ludzie,DC=contoso,DC=com

Zapisujemy z rozszerzeniem .ldf, nazwę ujmujemy w "", aby nie zostało dodane rozszerzenie .txt.
Dodatkowo jeżeli chcemy dodać więcej członków do grupy musimy po każdym umieścić znak "-" oraz pozostawić jeden wolny wiersz.

Importu dokonujemy za pomocą polecenie ldifde -i -f "nazwapliku.ldf"

4.Modyfikacja członkostwa za pomocą Dsmod: 

dsmod group "CN=Finanse,OU=Grupy,DC=contoso,DC=com" -addmbr "CN=Tony Krijnen,OU=Ludzie,DC=contoso,DC=com" "CN=Ksiegowosc,OU=Grupy,DC=contoso,DC=com"

5. Potwierdzenie członkostwa w grupie za pomocą Dsget:

#Bezpośredni członkowie grupy
dsget group "CN=Ksiegowosc,OU=Grupy,DC=contoso,DC=com" -members
#Wszyscy członkowie grupy
dsget group "CN=Ksiegowosc,OU=Grupy,DC=contoso,DC=com" -members -expand
#Przynależność Jan Kowalski do grupy

dsget user "CN=Jan Kowalski,OU=Ludzie,DC=contoso,DC=com" -memberof




Windows 2008 Serwer - Zarządzanie grupami(70-640) cz.4.1

Pomocnym elementem pozwalającym wygodniej pracować zarówno z użytkownikami jak i komputerami są grupy, które można definiować w AD.
Przy tworzeniu grup możemy użyć jednego z 2 typów:
1. Grupa zabezpieczeń - posiadają przypisany SID więc mogą służyć do przechowywania użytkowników oraz komputerów, przez co jesteśmy w stanie dać dostęp do zasobów zarówno użytkownikom jak i komputerom.
2.Grupa dystrybucyjna - jako że nie posiada przypisanego SID'a służy jedynie do przesyłania wiadomości, które trafiają do wszystkich członków takiej grupy.

Grupy posiadają również różne zasięgi działania:
1.Grupy lokalne: definiowane są jedynie na lokalnym komputerze. Wykorzystywane są tylko w grupie roboczej do kontaktu między komputerami.
 Replikacja - grupy lokalne definiowane są jedynie w lokalnej bazie SAM i nie są replikowane do innych systemów.
 Członkostwo -
  -użytkownicy, komputery, grupy globalne lub grupy lokalne w domenie,
  -użytkownicy, komputery, grupy globalne w dowolnej domenie lasu oraz dowolnej zaufanej      domeny,
  -grupy uniwersalne zdefiniowane w domenie lasu
 Dostępność - grupa może być jedynie wykorzystywana na lokalnym komputerze.

2.Grupy lokalne w domenie: używane są do zarządzania uprawnieniami do zasobów.    
 Replikacja - replikacja przeprowadzana do wszystkich kontrolerów domeny.
 Członkostwo - jak wyżej
 Dostępność - możliwość dodawania do list ACL, możliwość dodania takiej grupy do innej, ale  również do grupy lokalnej na komputerze.

3.Grupy globalne: 
  Replikacja - do wszystkich kontrolerów domeny w danej domenie.
  Członkostwo - użytkownicy, komputery oraz inne grupy globalne ale tylko w tej samej domenie.
  Dostępność - wszyscy użytkownicy domeny, inne domeny w tym samym lesie oraz do wszystkich  domen zaufanych. Grupa globalna może być członkiem dowolnej grupy lokalnej w domenie lub  grupy uniwersalnej w domenie lub lesie oraz domen zaufanych. 

4.Grupy uniwersalne: wykorzystywane są w lasach wielodomenowych. Dzięki czemu możemy definiować uprawnienia dla użytkowników będących, np. w różnych lokalizacjach należących do tej samej firmy.
  Replikacja -  definicja w poj. domenie w lesie, replikacja do wykazu globalnego.
  Członkostwo - użytkownicy, grupy globalne oraz inne grupy uniwersalne z dowolnej domeny w    lesie.
 Dostępność - grupa uniwersalna może być członkiem grupy uniwersalnej lub grupy lokalnej w domenie gdziekolwiek w lesie. Może być używana do przypisywana uprawnień w dowolnym miejscu lasu.

Grupy można zmieniać na inne typy, jedynym ograniczeniem jest zamiana grupy globalnej na lokalną w domenie. Aby uzyskać grupę lokalną w domenie musimy najpierw przekonwertować na zakres uniwersalny.