Fagstoff

Brukarkontoar, grupper og struktur i Active Directory

Kvar brukar, eining eller gruppe av brukarar og einingar kan bli gitt løyve, tilgangar eller avgrensingar i Active Directory. Set vi opp ein ryddig struktur for dette, får vi god oversikt, sikkerheit og enkel administrasjon seinare.

Stort, ope kontorlandskap med mange rekkjer med skrivebord. Kvar person har to til tre skjermar framfor seg. Foto.

I denne teksten går vi kort gjennom dei ulike grunnleggjande entitetane vi bruker for å lage strukturar i katalogtenesta Active Directory. Vi viser òg korleis du set opp ein Organizational Unit (OU), som er viktig for å setje opp løyve, tilgangar og avgrensingar med GPO-ar (Group Policy Objects) seinare.

Brukarkontoar (User)

Som hovudregel har kvar brukar ein eigen unik brukarkonto i katalogtenesta (AD). Brukarkontoen er knytt til personens namn og personalia og er personleg (ingen andre skal bruke eller ha tilgang til kontoen). Vi kan gi brukarkontoar rettar, tilgangar og avgrensingar.

I nokre tilfelle, til dømes for IT-personell, kan tilsette ha to eller fleire brukarkontoar kvar. Dei har den vanlege brukarkontoen sin, som dei bruker til vanlege oppgåver, og i tillegg har dei ein brukarkonto med spesielle løyve (til dømes med domeneadministratorrettar), som dei berre bruker når dei treng dei ekstra rettane.

Sidan brukarkontoen med utvida rettar berre blir brukt ved behov, reduserer det faren for at uvedkomande får tilgang. Slikt kan til dømes skje dersom nokon gløymer å logge av ei maskin, eller dersom ei maskin den tilsette er innom, har installert keylogger.

Grupper (Security Groups)

Ei gruppe er ein entitet som kan innehalde éin eller fleire brukarkontoar. Rettar, tilgangar og avgrensingar vi gir til gruppa, vil bli arva av alle brukarkontoane som er medlem av gruppa. Dette er veldig nyttig sidan mange brukarar (til dømes dei som arbeider på same avdeling) har like behov. I staden for å konfigurere kvar einskild brukarkonto, kan vi konfigurere gruppa og la konfigurasjonen automatisk påverke brukarane i gruppa.

Éin brukarkonto kan vere med i fleire ulike grupper, og grupper kan vere med i andre grupper. På den måten er det mogleg å lage eit hierarki av rettar, tilgangar og avgrensingar, som kan tilpassast behova til bedrifta.

Struktur i Active Directory

Strukturen som blir sett opp i AD, vil i stor grad vere forma av oppbygninga og behovet til bedrifta. Det finst derfor ingen fasit vi kan bruke når vi set opp ein struktur. Med kunnskap om oppbygninga og dei grunnleggjande entitetane (byggjeklossane) vi har tilgjengeleg i AD, blir det lettare å designe strukturar seinare.

Gå til «Tools» i Server Manager, og opne «Active Directory Users and Computers». Eit nytt verktøy vil no opne seg. Bruk navigasjonen til venstre til å utvide domenet ditt. Trykk på mappa «Users».

Du vil no sjå ei liste over brukarar og grupper som allereie finst i AD. Her er til dømes administratorbrukaren som du er innlogga med. Du ser òg grupper (Security Groups) som systemet eller administratorbrukaren bruker.

Obs!

Endringar i «Users»-mappa kan føre til at domeneadministratorbrukaren din mistar rettar som er naudsynte for konfigurasjon og styring. Dette kan gjere at du må reinstallere og starte serveroppsettet ditt på nytt.

I eit testoppsett er det derfor ikkje anbefalt å gjere endringar i eller bruke denne mappa.

Utklipp frå «Active Directory Users and Computers». Vindauget er delt i to kolonnar: Til venstre er det navigasjon, og til høgre er det ei detaljert liste. Skjermbilete.

Mapper og Organizational Unit (OU)

Mapper er brukte aktivt i filsystemet for å sortere filer i eit fornuftig hierarki. Det er mogleg å lage mapper i AD, og desse kan brukast til å sortere innhald og lage struktur. Men det er ikkje mogleg å gi rettar, tilgangar eller avgrensingar til mapper i AD.

Vi bruker derfor Organizational Units (OU-ar). Desse kan òg brukast for å sortere og lage struktur, men i tillegg kan vi gi dei rettar, tilgangar og avgrensingar. Desse vil bli arva av brukarar, grupper, under-OU-ar og einingar som er del av OU-en.

Finn domenet ditt til venstre i navigasjonen. Høgreklikk på domenet, og gå til «New» i menyen. I undermenyen vel du «Organizational Unit».

Musepeikaren er over valet «Organizational Unit» i undermenyen «New», som kan velgjast ved å høgreklikke på domenenamnet i navigasjonen til venstre i «Active Directory Users and Computers». Skjermbilete.

Du får no opp eit vindauge med tittelen «New Object – Organizational Unit». Her skriv du inn «Brukarar» og trykkjer «OK».

I navigasjonen ser vi ein OU med namnet «Brukere». Over er mappa «Users». Mappa er utan merke, mens OU-en har eit mappeikon med ein firkant i. Skjermbilete. — Ikona for mappe og OU (Organizational Unit) ser litt ulike ut.

OU-en du laga, vil visast i botnen av navigasjonen til venstre.

Du kan sjå at OU-ikonet er ei mappe med ein liten firkant over. Over ser du «Users»-mappa, og ikonet her er berre ei mappe (som vi er vande med frå mapper i filsystema).

Lag endå ein OU (Orgaizational Unit). Denne kallar du for «Grupper».

Med ein OU for plassering av brukarkontoar og ein OU for grupper er det enkelt å setje opp rettar, tilgangar og avgrensingar seinare ved hjelp av GPO-ar (Group Policy Object).

CC BY-SASkrive av Tron Bårdgård.

Sist fagleg oppdatert 05.04.2021