Brukerkontoer, grupper og struktur i Active Directory
I denne teksten går vi kort gjennom de forskjellige grunnleggende entitetene vi bruker for å lage strukturer i katalogtjenesten Active Directory. Vi viser også hvordan du setter opp en Organizational Unit (OU), som er viktig for å sette opp tillatelser, tilganger og begrensninger med GPO-er (Group Policy Objects) senere.
Brukerkontoer (User)
Som hovedregel har hver bruker en egen unik brukerkonto i katalogtjenesten (AD). Brukerkontoen er knyttet til personens navn og personalia og er personlig (ingen andre skal bruke eller ha tilgang til kontoen). Vi kan gi brukerkontoer rettigheter, tilganger og begrensninger.
I noen tilfeller, for eksempel for IT-personell, kan ansatte ha to eller flere brukerkontoer hver. De har sin vanlige brukerkonto, som de bruker til vanlige oppgaver, og i tillegg har de en brukerkonto med spesielle tillatelser (for eksempel med domeneadministratorrettigheter), som de kun bruker når de trenger de ekstra rettighetene.
Siden brukerkontoen med utvidede rettigheter bare brukes ved behov, reduserer det faren for at uvedkommende får tilgang. Slikt kan for eksempel skje hvis noen glemmer å logge av en maskin, eller hvis en maskin den ansatte er innom, har installert keylogger.
Grupper (Security Group)
En gruppe er en entitet som kan inneholde én eller flere brukerkontoer. Rettigheter, tilganger og begrensninger vi gir til gruppa, vil arves av alle brukerkontoene som er medlem av gruppa. Dette er veldig nyttig siden mange brukere (for eksempel de som arbeider på samme avdeling) har like behov. I stedet for å konfigurere hver enkelt brukerkonto, kan vi konfigurere gruppa og la konfigurasjonen automatisk påvirke brukerne i gruppa.
Én brukerkonto kan være med i flere forskjellige grupper, og grupper kan være med i andre grupper. På den måten er det mulig å lage et hierarki av rettigheter, tilganger og begrensninger, som kan tilpasses den enkelte bedrifts behov.
Struktur i Active Directory
Strukturen som settes opp i AD, vil i stor grad være formet av bedriftens oppbygning og behov. Det finnes derfor ingen fasit vi kan bruke når vi setter opp en struktur. Med kunnskap om oppbygningen og de grunnleggende entitetene (byggeklossene) vi har tilgjengelig i AD, blir det lettere å designe strukturer senere.
Gå til «Tools» i Server Manager, og åpne «Active Directory Users and Computers». Et nytt verktøy vil nå åpnes. Bruk navigasjonen til venstre til å utvide domenet ditt. Trykk på mappa «Users».
Du vil nå se en liste over brukere og grupper som allerede finnes i AD. Her er for eksempel administratorbrukeren som du er innlogget med. Du ser også grupper (Security Groups) som systemet eller administratorbrukeren bruker.
Obs!
Endringer i «Users»-mappa kan føre til at domeneadministratorbrukeren din mister rettigheter som er nødvendige for konfigurasjon og styring. Dette kan gjøre at du må reinstallere og starte serveroppsettet ditt på nytt.
I et testoppsett er det derfor ikke anbefalt å gjøre endringer i eller bruke denne mappa.
Mapper og Organizational Unit (OU)
Mapper brukes aktivt i filsystemet for å sortere filer i et fornuftig hierarki. Det er mulig å lage mapper i AD, og disse kan brukes til å sortere innhold og lage struktur. Men det er ikke mulig å gi rettigheter, tilganger eller begrensninger til mapper i AD.
Vi bruker derfor Organizational Units (OU). Disse kan også brukes for å sortere og lage struktur, men i tillegg kan vi gi dem rettigheter, tilganger og begrensninger. Disse vil arves av brukere, grupper, under-OU-er og enheter som er del av OU-en.
Finn domenet ditt til venstre i navigasjonen. Høyreklikk på domenet, og gå til «New» i menyen. I undermenyen velger du «Organizational Unit».
Du får nå opp et vindu med tittelen «New Object – Organizational Unit». Her skriver du inn «Brukere» og trykker «OK».
OU-en du lagde, vil vises i bunnen av navigasjonen til venstre.
Du kan se at OU-ikonet er en mappe med en liten firkant over. Over ser du «Users»-mappa, og ikonet her er bare en mappe (som vi er vant med fra mapper i filsystemene).
Lag enda en OU (Orgaizational Unit). Denne kaller du for «Grupper».
Med en OU for plassering av brukerkontoer og en OU for grupper er det enkelt å sette opp rettigheter, tilganger og begrensninger senere ved hjelp av GPO-er (Group Policy Object).