Tworzenie grup AD

  • Praktyczne zadania
  • Teoria
  • Pomoce do ćwiczeń 

Aby rozpocząć pracę z grupami w Windows Server, warto zapoznać się z kilkoma kluczowymi pojęciami w tej dziedzinie. W tej lekcji omówimy również polecenia PowerShell, które ułatwiają zarządzanie grupami oraz innymi obiektami systemowymi.

Czym jest grupa?
Grupa to jednostka administracyjna w Active Directory, tworzona w celu nadania wybranym obiektom określonych uprawnień do zasobów systemowych.

Kategorie grup – typy:

Grupa dystrybucyjna – służy wyłącznie do dystrybucji wiadomości e-mail, nie można przypisywać jej uprawnień i zabezpieczeń.
Grupa zabezpieczeń – umożliwia nadawanie uprawnień do zasobów systemowych, a także pełni funkcję grupy dystrybucyjnej.

Rodzaje grup zabezpieczeń:

Grupy globalne – mogą mieć członków tylko z tej samej domeny, jednak ich członkom można przypisać dostęp do zasobów w innych domenach.
Grupy uniwersalne – mogą zawierać grupy globalne i uniwersalne oraz obiekty z dowolnych domen; umożliwiają nadawanie uprawnień do zasobów w różnych domenach.
Grupy lokalne w domenie – mogą zawierać obiekty i grupy globalne z różnych domen, jednak ich uprawnienia można przypisywać wyłącznie do zasobów w obrębie jednej domeny.

Przykład użycia grup w praktyce:

Jeśli w firmie mamy 10 użytkowników i chcemy, aby wszyscy mieli dostęp do tej samej drukarki, a w przyszłości do kolejnej drukarki, możemy to zrobić na dwa sposoby:

Sposób 1:

Każde z 10 kont użytkowników przypisujemy do listy uprawnień dla pierwszej drukarki.
Po pojawieniu się nowej drukarki musimy ponownie dodać każdą osobę.

Sposób 2:

Tworzymy lokalną grupę w domenie i przyznajemy jej dostęp do drukarki.
Tworzymy grupę globalną, do której dodajemy 10 użytkowników.
Przypisujemy grupę globalną do grupy lokalnej – dzięki temu użytkownicy mają dostęp do drukarki.
Gdy pojawi się nowa drukarka, wystarczy nadać dostęp grupie lokalnej, a wszyscy użytkownicy z grupy globalnej automatycznie będą mogli z niej korzystać.

Komendy PowerShell do zarządzania grupami i obiektami:

dsmod – służy do modyfikowania obiektów, takich jak dodawanie użytkowników do grup.
dsquery – umożliwia przeszukiwanie katalogu LDAP w celu wyszukania obiektów spełniających określone kryteria.
dsget – wyświetla ogólne i szczegółowe właściwości wybranego obiektu.

Tworzenie grup:

Aby utworzyć nową grupę w domenie należy wybrać z Menedżera serwera–> Narzędzia–> Użytkownicy i komputery usługi Active Directory, następnie zaznaczamy kontener lub jednostkę organizacyjną, gdzie będziemy tworzyć grupę i PPM wybieramy Nowy i Grupa


Podajemy nazwę grupy i określamy jej typ i zakres. U nas będzie to grupa zabezpieczeń o zakresie lokalnym o nazwie Klasa3. Wprowadzamy nazwę i naciskamy OK:

Możemy teraz sprawdzić czy nasza grupa została utworzona w kontenerze Users:

Zaznaczamy teraz naszą grupę i PPM wybieramy Właściwości. Przechodzimy na zakładkę Członkowie i widzimy, że nasza grupa nie ma żadnych członków. Jest to zrozumiałe, ponieważ jest to nowy obiekt, który został przed chwilą utworzony. Klikając w opcję Dodaj możemy jakieś obiekty uczynić członkami tej grupy:

Po kliknięciu Dodaj pojawia nam się okno, w którym wyszukujemy użytkownika John Doe i dodajemy go do naszej grupy. Najpierw wpisujemy np. imię, następnie klikamy Sprawdź nazwy, a potem wybieramy właściwego usera i klikamy OK:

Jeśli nazwa naszego użytkownika się zgadza klikamy jeszcze raz OK

Usuwanie członków z grupy odbywa się analogicznie. Zaznaczamy naszego użytkownika, klikamy Usuń i potwierdzamy naciskając Tak. W prawym oknie widzimy, że naszego użytkownika już nie ma. Pamiętajmy tylko, aby to zatwierdzić, naciskając Zastosuj lub OK

Zadania do wykonania (UWAGA – jeśli w danym zadaniu trzeba dodać/przypisać użytkownika do grupy, należy go wcześniej utworzyć!) :

1. Tworzenie grupy sprzedażowej:

Korzystając z przystawki „Użytkownicy i komputery usługi AD”, utwórz jednostkę organizacyjną o nazwie „Sprzedaż”.
W tej jednostce utwórz grupę zabezpieczeń „Handlowcy” o zasięgu globalnym i przypisz do niej trzech użytkowników z działu sprzedaży.
Następnie utwórz grupę zabezpieczeń „RegionalniManagerowie” o zasięgu uniwersalnym i dodaj do niej grupę Handlowcy oraz dwóch użytkowników z działu zarządzania.

2.Tworzenie struktury grup dla działu HR:

W jednostce organizacyjnej „Dział HR” utwórz grupę zabezpieczeń „Kadry” o zasięgu lokalnym i dodaj do niej trzech użytkowników z działu kadr.
Utwórz także grupę „HRManagerowie” o zasięgu globalnym i dodaj do niej użytkowników należących do grupy Kadry oraz jednego użytkownika pełniącego funkcję kierowniczą w dziale HR.

3.Zarządzanie grupami działu IT:

W jednostce organizacyjnej „IT” utwórz grupę zabezpieczeń „Helpdesk” o zasięgu lokalnym i dodaj do niej trzech użytkowników zajmujących się wsparciem technicznym.
Utwórz grupę zabezpieczeń „AdministratorzySystemów” o zasięgu globalnym i przypisz do niej użytkowników z grupy Helpdesk oraz dwóch administratorów systemowych.
Stwórz także grupę zabezpieczeń „ITTeam” o zasięgu uniwersalnym i dodaj do niej grupy Helpdesk oraz AdministratorzySystemów.

4.Tworzenie grup działu produkcyjnego:

W jednostce organizacyjnej „Produkcja” utwórz grupę zabezpieczeń „OperatorzyMaszyn” o zasięgu globalnym i przypisz do niej pięciu użytkowników obsługujących maszyny produkcyjne.
Utwórz grupę „KierownicyZmian” o zasięgu lokalnym i przypisz do niej grupę OperatorzyMaszyn oraz dwóch kierowników zmianowych.
Stwórz również grupę „ProdukcjaTeam” o zasięgu lokalnym i dodaj do niej grupę KierownicyZmian.

5.Tworzenie grup w dziale finansowym:

W jednostce organizacyjnej „Finanse” utwórz grupę zabezpieczeń „Księgowość” o zasięgu lokalnym i przypisz do niej trzech użytkowników działu księgowego.
Utwórz grupę „AnalizaFinansowa” o zasięgu globalnym i dodaj do niej grupę Księgowość oraz dwóch analityków finansowych.
Stwórz grupę zabezpieczeń „ZespółFinansowy” o zasięgu uniwersalnym i przypisz do niej grupę AnalizaFinansowa oraz jednego użytkownika działu kontroli finansowej.

6.Struktura grup dla zespołów projektowych:

W jednostce organizacyjnej „Projekty” utwórz grupę zabezpieczeń „ZespółProjektowyA” o zasięgu lokalnym i przypisz do niej pięciu użytkowników przypisanych do projektu A.
Utwórz grupę „ZespółProjektowyB” o zasięgu globalnym i przypisz do niej czterech użytkowników przypisanych do projektu B.
Stwórz grupę „ManagerowieProjektów” o zasięgu uniwersalnym i dodaj do niej grupy ZespółProjektowyA oraz ZespółProjektowyB.

7.Tworzenie grup dostępów specjalnych:

W jednostce organizacyjnej „Specjalne Dostępy” utwórz grupę zabezpieczeń „ZasobyWrażliwe” o zasięgu globalnym i przypisz do niej dwóch administratorów oraz jednego audytora bezpieczeństwa.
Utwórz grupę „KontrolaDostępu” o zasięgu lokalnym i przypisz do niej grupę ZasobyWrażliwe oraz dwóch użytkowników działu kontroli wewnętrznej.
Stwórz grupę „Audyt” o zasięgu uniwersalnym i dodaj do niej grupę KontrolaDostępu oraz jednego kierownika ds. audytu.

 

Kontakt: mgzsp22@gmail.com

© 2024. Wszystkie prawa zastrzeżone.

error: Content is protected !!