Configurare Windows Server Active Directory Medvei Mirabela (E-214A) 2018 Introducere Familia Microsoft Windows Server Familia de sisteme de operare… [305735]

Academia Tehnică Militară

Configurare Windows Server Active Directory

Medvei Mirabela (E-214A)

2018

Introducere

Familia Microsoft Windows Server

Familia de sisteme de operare Windows 2003/2016 server oferă o gamă variată de servicii care poate acoperi majoritatea cerințelor în materie de servere de pe piața IT. Are în componență următoarele sisteme de operare:

1. [anonimizat], care oferă soluții simple și rapide pentru firme. Windows Standard Server 2003/2008 [anonimizat], desfășurarea centralizată a aplicațiilor din spațiul de lucru Windows Standard Server 2003/2008 permite multiprocesare simetrică pe 2 căi și până la 4 GB de memorie.

2. [anonimizat]. [anonimizat]. Windows Enterprise Server 2003/2016 [anonimizat] 8 procesoare, cluster cu 4 noduri și până la 32 GB de memorie. Este disponibil și pentru platformele de calcul pe 64 de biți.

3. [anonimizat], Windows Datacenter Server 2003/2016 oferă o [anonimizat] a resurselor întreprinderii (ERP), prelucrarea în timp real a volumelor mari de tranzacții și consolidarea serverelor. Este cel mai puternic și mai funcțional sistem de operare pentru server din familia Windows 2003/2016 server, permițând multiprocesare simetrică cu până la 32 de căi (SMP), având drept caracteristică standard atât clusterul cu 8 [anonimizat]. Windows Datacenter Server 2003 este disponibil și pentru platforme de calcul pe 64 de biți.

4. [anonimizat], optimizat astfel încât să furnizeze firmelor o platformă cuprinzătoare și stabilă pentru servire și găzduire pe Web. Ușor de instalat și de administrat.

O analiză comparativă a sistemelor de operare din familia Windows 2003/2016 Server este dată în tabelul de mai jos:

Un sistem de operare de rețea trebuie să constituie o platformă puternică, o bază pentru serviciile care pot rula într-o rețea de calculatoare. Principalele servicii de care este nevoie într-o rețea sunt:

Servicii de catalog (autentificare a utilizatorilor) – [anonimizat] – [anonimizat] – [anonimizat], DHC

Instalare Windows Server 2016

Cerințele minime pentru instalarea serverului:

Procesor:

Procesor – 1.4 GHz 64-biti

Compatibil cu setul de instrucțiuni x64

Suporta NX si DEP

Suporta Second Level Address Translation (EPT sau NPT)

RAM:

512 MB ( 2GB pentru Server cu opțiunea Desktop Experience )

[anonimizat].

Pasul 1) Configurarea mașinii virtuale:

Apasati New si apoi completați ca in imagini:

Apoi dați click dreapta pe mașina virtuala si intrați in Estins Stoarce pentru a selecta imaginea.

Selectați fișierul .iso si dați ok. [anonimizat]:

Pasul 2) Instalare server:

Va apărea o fereastra in care puteți selecționa sistemul de operare pe care doriți sa-l instalați. Vom alege Windows Server 2016 Datacenter ( varianta cu opțiunea desktop).

Urmează apoi o serie de pași in care selectam Next, iar la sfârșit ne apare fereastra de configurare a parolei (parola de admin).

După logare va apărea consola de Server Manager:

Active directory – Serviciul de catalog

Ce este Active Directory?

Creat în anul 1996, Active Directory este de obicei denumit simplu AD, a fost inițial utilizat cu Windows 2000 Server ca un serviciu de director pentru rețelele cu domenii Windows. De fapt, Active Directory este o bază de date, care este folosita în principal pentru a servi o locație centrală, pentru autentificarea si autorizarea tuturor utilizatorilor și computerelor dintr-o rețea. În afară de aceasta, Active Directory folosește Lightweight Directory Access Protocol (LDAP), care este mai mult un protocol de aplicație utilizat pentru accesarea și păstrarea informațiilor de director distribuite printr-o rețea IP.

Baza de date ce tine evidenta mai multor date si oferă metode centralizate de a administra toate mașinile, utilizatorii si resursele;

Obiecte din baza de date AD;

Brain of a Windows Server Network;

Structura fundamentală internă a Active Directory este formata dintr-o matrice de obiecte care sunt aranjate într-o ierarhie. Aceste obiecte pot fi ușor clasificate, în general, în resurse și principii de securitate.

Structura inerentă a Active Directory este în continuare clasificata într-un număr de niveluri care, de fapt depinde de vizibilitatea obiectelor. O rețea AD poate fi organizata în patru forme diferite de structuri recipiente speciale:

Domenii și Site-uri

Domeniul: Este mai mult ca o compilație de obiecte si computere care împărtășesc un set comun de politici, un nume și o bază de date a membrilor lor.

Site-urile: Site-urile nu sunt dependente de domenii și structura OU și, prin urmare, sunt mai mult considerate ca grupuri fizice care sunt definite de către una dintre subrețele IP. Rolul lor esențial este de a distinge între locații conectate prin conexiuni de mica și de mare viteză.

Unități Organizatoriale – OU sunt recipientele în care sunt grupate domeniile. Funcția lor cheie este de a crea o ierarhie de domeniu să semene cu structura companiei Active Directory în termeni de organizare.

Arbori si Păduri – Acestea sunt seturi de obiecte Active Directory

Obiecte Active Directory

Active Directory (AD) – este o ierarhie de câteva obiecte, unde obiectele se împart în trei categorii: resurse (ex: imprimantă), servicii (ex: poșta electronică), resurse umane (ex: utilizatori, grupe de utilizatori). Scopul tehnologiei Active Directory este de a pune la dispoziție informații despre aceste obiecte, organizarea obiectelor, controlul accesului, setarea securității.

Fiecare obiect indiferent de categorie reprezintă o entitate și atributele ei, unde 'entitate' poate

fi – "Utilizator", "Calculator", "Imprimantă", "Aplicație" sau "Resursă Partajată". Mai mult decât atât, un obiect poate să conțină și alte obiecte. Atributele obiectului (structura de bază a obiectului în sine) sunt definite de o "schemă", care la rândul ei definește și tipul obiectelor care pot fi stocate ca subobiecte în obiectul dat.

O "schemă" este compusă din două tipuri de obiecte (sau meta-datele schemei): "clasa" și "atributele". Aceste metadate există cu scopul de a extinde sau modifica schema. Din motiv ce metadatele schemei sunt parte din obiectul pe care-l descriu (parte din obiectul la care a fost aplicată schemă), odata ce am modificat schema, efectele se răspândesc pe toate obiectele din Active Directory la care a fost aplicata schema dată – prin această caracteristică Active Directory este foarte puternic dar și foarte periculos – o modificare nechibzuită poate duce la efecte nedorite de nivel global (cum ar fi: scăderi din salariu de nivel esențial, imposibilitatea îndeplinirii lucrului oamenilor care sunt dependenți de efectele modificării). O schemă creată poate fi numai dezactivată, nu și ștearsă – deoarece crearea sau modificarea unei scheme este bazată pe motive serioase.

Securitatea Active Directory

Principalele avantaje, in ceea ce privește securitatea, oferite Active Directory în rețea sunt:

Autentificarea utilizatorilor – permite identificarea fără echivoc a fiecărui utilizator al rețelei pe baza de utilizator si parola unica.

Autorizarea accesului la resurse – pentru fiecare resursa din rețea pot fi configurate liste de acces care specifica explicit permisiunile pe care le au utilizatorii sau grupurile asupra resursei respective.

Administrarea centralizata a tuturor serverelor si stațiilor de lucru din rețea.

Aplicarea consistenta a unor politici de securitate în cadrul rețelei. Acesta din urma este în particular un avantaj foarte important în procesul de securizare al rețelei.

La proiectarea Active Directory trebuie respectate câteva principii de design pentru a putea aplica ușor masuri de securitate:

Minimizarea numărului de domenii. Acestea fiind arii de securitate distincte, un număr cât mai mic de domenii, preferabil unul singur, permite aplicarea ușoara a politicilor de securitate

Aplicarea politicilor generice de securitate la nivelul întregului domeniu si completarea acestora cu masuri specifice la nivele inferioare

Pentru aplicarea politicilor de securitate se folosește Group Policy. Deoarece politicile se aplica la mai multe nivele (domeniu, site, organization unit, local) si pot fi blocate sau suprascrise, trebuie realizat un plan detaliat privind utilizarea Group Policy. De un real ajutor este Group Policy Management Console care permite evaluarea rezultatului aplicării de politici multiple.

Câteva politici tipice care pot fi aplicate în cadrul unui domeniu:

dezactivarea stocării parolei ca LMHash

configurarea nivelului de compatibilitate LanManager pentru autentificare

blocarea conturilor la introducerea greșita a parolei combinata cu impunerea de parole cu complexitate sporita

interzicerea posibilității de enumerare a obiectelor din Active Directory pentru clienții anonimi

Pentru o lista completa de setări de securitate care pot fi aplicate cu Group Policy, consultați Windows Server 2016 Security Guide.

Instalare Active Directory in Windows Server 2016

Configurarea adresei IP. Observam la adresa DNS adresa de loopback 127.0.0.1. Acest fapt este datorita faptului ca după instalarea directorului activ pe server, va acționa și ca server DNS.

Apoi din Server Manager apăsați Add Roles and features:

Vor apărea o serie de ferestre la care veți apasă Next, lăsând configurațiile default.

Ȋn ceea ce privește selectarea serverului va apărea o sigura posibilitatea (doar un server instalat)

Bifați căsuța cu Active Directory Domain Services. Am putea instala si DNS Server tot acum (bifând căsuța ) dar îl vom instala la o data ulterioară.

In fereastra care urmează apăsați Next, iar apoi va începe procesul de instalare.

Instalarea s-a finalizat cu succes daca apare mesajul din chenarul roșu. Apoi apăsați Promite The server tu a domin controller pentru a crea un domeniu nou.

Apoi vom crea o noua Pădure (Forest) iar numele domeniului îl vom seta atm.com.

Setați parola apoi apăsați Next.

Lăsați căsuța nebifata si apăsați Next. Apoi lăsați configurațiile default la ferestrele ce vor urma.

Se va face o verificare a opțiunilor selecționate. Daca totul este ok, apare mesajul din chenarul verde. Apăsați Install.

După instalare, sistemul se va reporni automat. Odată ce acesta va reveni, va intra în server ca administrator de domeniu. Imediat după instalare, este indicat sa redenumim serverul.

Pentru confirmarea functionarii domeniului si forestului rulați PowerShell cu drepturi de administrator si apoi tastați Get-ADDomain | fl Name,DomainMode si Get-ADForest | fl Name,ForestMode.

Se va configura si un server DNS implicit. Vom configura serverul si ca server DHCP.

Configurare Active Directory

Pentru configurarea AD-ului intrați in Tools Active Directory Users and Computers si va apărea fereastra de configurare a AD-ului.

Vom realiza următoarea structura a Atm-ului:

Creare structuri OU ( Organizational Unit)

Vom crea cate un OU pentru fiecare departament si subdepartament ca o metodă de centralizare a setărilor de configurare și de gestionare a sistemelor de operare, a setărilor de computer și a setărilor de utilizator.

Click dreapta pe atm.com New Organizational Unit

Structura finala va arata așa:

Creare AD Users and Groups

Vom crea conturi pentru utilizatori si grupuri de utilizatori. Pentru a realiza acest lucru cream un OU special denumit Groups-Security, apoi click dreapta pe el New Group. Structura finala arătând așa:

Creare useri ( user normali si admin user).

Click dreapta IT Labs Users New User si apoi completați datele user-ului.

Adăugarea userului unui grup. Dublu click pe user Member of Add Tastați numele grupului OK.

Se poate observa ca a fost adăugat in grupul Studenți.

Adăugarea unui computer la domeniu

Workstation Windows 10

Schimbam Network Settings pentru VirtualBox. Click dreapta pe Microsoft Server 2016 Network NAT Network.

Acum serverul DHCP este cel configurat de noi. Pentru a obține o adresa IP deschideți cmd ipconfig /renew. Veți observa ca ni s-a alocat prima adresa din range :10.0.2.100. Acest lucru îl putem vizualiza si in cadrul serverului.

Datele serverului:

Ping de la client la server:

Adăugare computerului la domeniu:

Concluzii

În aceasta lucrare a fost prezentat Serviciul Active Directory. Active Directory este o condiție necesara pentru a putea aplica în mod sistematic politici de securitate în cadrul rețelei si pentru a putea reduce complexitatea administrării. Pornim de la principiul simplu ca o rețea sigura este una bine proiectata, configurata si administrata. Active Directory ne oferă aici un avantaj important.

De asemenea, este un mod eficient de structura ierarhizata, în funcție de mai multe aspecte: localizare a resurselor, drepturi sau privilegii de acces la o anumita resursa/serviciu, ușerii pot fi distribuiți in useri normali sau administratori ai rețelei, etc. Beneficiul major ar fi compartizarea astfel încât sa fie munca cat mai distribuita si mai eficienta si pentru a putea fi aplicate politici de grup.

În concluzie, principalele avantaje oferite de implementarea Active Directory în rețea sunt:

Autentificarea utilizatorilor – permite identificarea fără echivoc a fiecărui utilizator al rețelei pe baza de utilizator si parola unica.

Autorizarea accesului la resurse – pentru fiecare resursa din rețea pot fi configurate liste de acces care specifica explicit permisiunile pe care le au utilizatorii sau grupurile asupra resursei respective.

Administrarea centralizata a tuturor serverelor si stațiilor de lucru din rețea.

Aplicarea consistenta a unor politici de securitate în cadrul rețelei. Acesta din urma este în particular un avantaj foarte important în procesul de securizare al rețelei.

Active directory ajuta la administrarea resurselor intr-un mod centralizat.

Permite instalarea programelor in funcție de grupul din care face parte utilizatorul.

Permite utilizatorilor găsirea rapida a resurselor din întreaga rețea.

Domeniile sunt scalabile: pot conține un număr mic de calculatoare, dar pot găzdui la fel de bine mai multe mii de calculatoare.

Bibliografie

https://blog.netwrix.com/2017/04/20/tutorial-learn-the-basics-of-active-directory/

https://www.youtube.com/user/PCAddictsLive

https://technet.microsoft.com/en-us/library/hh831538%28v=ws.11%29.aspx?f=255&MSPPError=-2147217396#client1_1

https://www.lynda.com/Windows-Server-tutorials/Windows-Server-2016-Install-Configure-Active-Directory/520536-2.html

https://mva.microsoft.com/en-US/training-courses/understanding-active-directory-8233?l=aErw3QJy_6904984382

http://www.rasfoiesc.com/educatie/informatica/retele-calculatoare/Notiuni-de-baza-pentru-adminis67.php

https://msdn.microsoft.com/en-us/library/bb742437.aspx

https://www.tutorialspoint.com/windows_server_2012/windows_server_2012_print_server.htm

http://docs.rightscale.com/st/v14/active_dir/tutorial.html