Skip to content

Instantly share code, notes, and snippets.

@blazovics

blazovics/AD_labor.md

Last active February 28, 2022 15:36
Show Gist options
  • Save blazovics/28ba3bd0643c80700f113f1bf92fd0e5 to your computer and use it in GitHub Desktop.
Save blazovics/28ba3bd0643c80700f113f1bf92fd0e5 to your computer and use it in GitHub Desktop.
Download ZIP
Raw
AD_labor.md

Active Directory Labor

A laborfoglalkozás során a fiktív Beactive cég IT rendszerét fogjuk megvalósítani.

Ezen az oldalon tudjuk megnézni, hogy mennyi kreditünk van. (Naponta frissül!) https://www.microsoftazuresponsorships.com/balance

1. Megalakul a cég

A dolgozók száma jelenleg 2 fő (Kedves János CEO; Görög Konrád HR), de kell nekik AD, mivel tudják, hogy vesznek fel majd embereket.

  1. Windows Server 2016 telepítése az AD DS szolgáltatáshoz

    • Lépjünk be a Microsoft Azure portálra (https://portal.azure.com)
    • Hozzunk létre egy erőforráscsoportot pl.: Beactive névvel. Az előfizetés legyen Azure for Students, a régió pedig (Europe) Észak-Európa
    • Az előbb létrehozott erőforráscsoportba belépve, hozzunk létre egy új erőforrást. A sablonok közül válasszuk ki a Windows Server 2019 Datacenter-t. (Lehet 2016-ot is választani, ha van Microsoft verzió belőle. A Core verziókhoz nem jár GUI, így azokon nem lehet közvetlenül dolgozni.)
      • A virtuális gép neve legyen BeactiveDC
      • A régió ugyanaz, mint az imént létrehozott erőforráscsoporté
      • A Kép-nél válasszuk ki a Windows Server 2019 - Gen2 lemezképet
      • A felhasználónévnek és jelszónak pedig adjunk meg valami biztonságosat. (Ez egy éles rendszer, így előfordulhat, hogy valakinek megtetszik a szerverünk és meg akarja nézni belülről is.) BeactiveAdmin/SzájberPánk2016
      • Hogy tudjuk RDP-n keresztül is elérni a szervert, hagyhatjuk bekapcsolva.
      • A Lemezek menüpontban válasszuk a Standard SSD-t (lehet prémium is csak az drágább)
      • A Hálózat menüpontban a beállításokat hagyjuk alaphelyzetben
      • A Kezelés menüpontban A rendszerindítási diagnosztikát tiltsuk le
      • A többi beállítást hagyjuk alapértelmezettnek majd kattintsunk a Lérehozás gombra.
      • Várjuk meg amíg a rendszer elkészül
    • Nyissuk meg az elkészült erőforrást
    • Csatlakozzunk Bastion-nal, mert elsőre az RDP nem biztos, hogy fog működni.
    • Hozzuk létre a Bastion-t a lépésekhez adott segítség alapján.
    • Csatlakozzunk RDP-n keresztül. (Lehetne Bastion-nal is, de az nem támogatja a domain felhasználók bejelentkezését)
    • Lépjünk be a virtuális gépre
    • Állítsunk be a szervernek statikus IP címet.
      • Terminálba vagy PowerShellbe belépve futtassuk le az ipconfig /all parancsot, hogy megtudjuk az dinamikusan kiosztott IP címét, az alapértelmezett átjáró címét és a DNS szerver címét. (Lehetséges, hogy az IPv6 címet is be kell majd állítani fixre. Bár azt nem fogjuk használni.)
    • Telepítsük az AD DS szolgáltatást a Server Manager-ben a Manage > Add Roles and Features varázsló segítségével.
      • Az Installation Type-nál válasszuk a Role-based or feature-based installation lehetőséget
      • A Server Roles-nál válasszuk ki a Az Active Directory Domain Services-t és A DNS Server-t majd a felugró ablakokban az Add Features gomb megnyomásával engedélyezzük a kapcsolódó szolgáltatások telepítését is.
      • Kattintsunk az Install gombra a végén.
      • A kapott Post-deployment Configuration értesítés alapján végezzük el a Promote this server to a domain controller műveletet. Kattintsunk a linkre az értesítésben.
      • A megnyíló Active Directory Domain Service Configuration Wizard-ban válasszuk az Add new forest lehetőséget és Root domain name-nek adjuk meg a beactive.hu-ot.
      • Állítsunk be egy megjegyezhető jelszót a DSRM-hez.
      • A többi beállítást hagyjuk alapértelmezetten és kattintsunk az Install gombra.

  2. Felhasználók felvétele kézzel

    • A Start Menüből, vagy Server Manager Tools menüjéből nyissuk meg az Active Directory Administrative Center-t
    • Válasszuk ki a beactive(local)-t a bal oldalon, majd középen válasszuk ki a Users Containert, a jobb oldalon pedig a User blokkon belül a New > User elemet és adjuk hozzá a két vezetőt.
      • A Password options résznél válasszuk ki az Other password options-t és pipáljuk be a Password never expires checkboxot.
      • Adjunk nekik valami megjegyezhető jelszót.

  3. Windows 10 telepítése (kliens gép szimulálására) és beléptetése az AD-ba

    • A szervernél látottakhoz hasonlóan hozzunk létre egy Windows 10 virtuális gépet is.
      • A Virtuális gép neve legyen Beactive-CL1.
      • Az Erőforráscsoportnál válasszuk az eddig használtat.
      • Régiónál válasszuk ugyanazt, mint a Windows Server 2019 esetében
      • Lemezképnek állítsuk be a Windows 10 Pro, Version 2004 - Gen2-t, vagy újabbat.
      • Felhasználónévnek adjunk meg a Szerver felhasználójától eltérő nevet.
      • A Hálózat menüpontban használjuk ugyanazt a Virtuális hálózatot és Alhálózatot, mint a Server esetében.
      • A hálózati beállításokban állítsuk be elsődleges DNS címnek a Server IP címét. (Érdemes a gépet újraindítani, hogy ismét be lehessen rá lépni távolról)
      • Léptessük Domainba a gépet
      • A Control Panel > System > Advanced system settings menüelem megnyomásával nyissuk meg a System Properties ablakot
      • A Computer Name fülön kattintsunk a Change... gombra, majd jelöljük ki a Domain elemet a Member of szekcióban és írjuk be a tartományunk nevét: beactive.hu, kattintsunk az OK gombra, majd írjuk be domain admin hitelesítő adatait.
      • Ha nem akarna elsőre működni, akkor állítsuk be a Domain Admin felhasználónak UPN nevet is (admin@beactive.hu) vagy használjuk a régebbi formátumot (BEACTIVE\BeactiveAdmin)

Most egy "rendes" AD esetén készen lennénk, ugyanakkor, mivel az Azure virtuális gépek esetén csak távoli asztalon keresztül lehet elérni a gépeket, még van egy kis dolgunk. Alaphelyzetben távoli asztallal egy adott gépre csak azok a felhasználók léphetnek be, akik a hozzá vannak adva a helyi gép Remote Desktop Users csoportjához. Az általános Domain User ennek a csoportnak nem lesz tagja. (A domain admin igen) Emiatt vagy kézzel hozzáadjuk az adott gép csoportjához a felhasználóinkat vagy automatizáljuk a folyamatot. Ez utóbbit fogjuk tenni.

  1. Távoli asztal hozzáférés engedélyezése a felhasználóknak Group Policy-val
    • Az Active Directory Administrative Center-ben a Users containeren belül hozzunk létre a jobb oldali New > Group menüelem segítségével egy Global Security Group-ot Managers néven és tegyük bele a két korábban létrehozott vezetőnket.
    • Mivel csak a kliens gépeket szeretnénk elérhetővé tenni a felhasználók számára, valahogy szeparálni kell a számítógépeket.
      • Ehhez nyissuk meg a Server Manager-t és a Tools menüből válasszuk ki az Active Directory Users and Computers menüelemet.
      • A megjelenő ablakban jelöljük ki a beactive.hu domaint, majd az Action > New > Organization Unit menüelem segítségével hozzunk létre egy Organization Unit-ot ClienComputers néven.
      • A Computers containerben jelöljük ki az egyetlen kliensünket és az Actions > Move... segítségével helyezzük át a ClientComputers OU-ba. Ezzel lett egy OU-nk, amihez már tudunk GPO-t linkelni.
    • Hozzuk létre és linkeljük a Group Policy Object-et
      • Nyissuk meg a Server Manager-t és a Tools menüben válasszuk ki Group Policy Management-et.
      • A megjelenő ablakban, a bal oldalon a Forest-et, majd a Domains-t végül a beactive.hu elemet lenyitva lenyitva válasszuk ki a Group Policy Objects-et. A jobb oldalon megjelennek a domainban elérhető GPO-k.
      • A Jobb klikk > New segítségével hozzunk létre egy új GPO-t Remote Desktop Policy néven.
      • A létrehozott GPO-on a Jobb klikk > Edit-et kiválasztva megnyílik a Group Policy Management Editor.
      • Itt válasszuk ki a bal oldali menüben a Computer Configuration > Policies > Windows Settings > Security Settings > Restricted Groups-t és a jobb oldalon a Jobb klikk > Add Group-ra előugró menüben adjuk meg a Managers csoportot. Az ezután felugró ablakon pedig az alsó This Group is a meber of: résznél nyomjuk meg az Add gombot, majd a felugró menüben kerestessük ki a Remote Desktop Users csoportot.
      • Zárjuk be a Group Policy Management Editor-t és a Group Policy Managent ablakban jelöljük ki a ClienComputers OU-t.
      • Az Actions > Link an Existing GPO... elem segítségével linkeljük hozzá az imént létrehozott GPO-t az OU-hoz.

Tesztelés: beléptetés a Windows 10 gépen

2. Designerek felvétele

A cég felvesz 4 designert. (Novák Endre, Bokor Károly, Császár Sándor, Pásztor Péter) A designereknek kell egy közös munkaterület a nagy méretű projektfájlokhoz, így kell egy File Server is.

  1. Hozzunk létre egy csoportot a Designereknek Designers névvel.

  2. Mivel a Designerek is szeretnének hozzáférni a kliens gépekhez ezt engedélyezzük nekik is:

    • Hozzunk létre egy RDP Users nevű csoportot és tegyük bele a Designers és a Managers csoportot.
    • Módosítsuk az előbb elkészített GPO-t úgy, hogy az RDP_Users-t tesszük bele a Remote Desktop Users-be.

  3. Windows Server 2016 telepítése, beléptetése az AD-ba

    • Hozzunk létre a korábban leírtaknak megfelelően egy másik Windows Server 2016 - gen 2 virtuális gépet Beactive-FS néven.
    • Léptessük be a Window 10 kliensnél leírtaknak megfelelően az AD-ba.

  4. Munka Könyvtár (DesignerData) és a designerek Home könyvtárainak gyüjtőkönyvtárának (DesignerHome) létrehozása és megosztása Designereknek.

    • Hozzunk létre a C: meghajtó gyökerében egy Shares mappát azon belül pedig a két megosztásra szánt mappát.
    • Állítsuk be a megosztást melyre két lehetőségünk is van:
      • A létrehozott DesignData mappán a Jobb klikk > Properties megnyomására megnyíló ablakon válasszuk a Sharing fület majd nyomjuk meg a Advanced Sharing... gombot. A megjelenő újabb ablakban lehetőségünk van beállítani a megosztás elérési útját (ez ,most megfelelő), illetve, hogy ki férhet hozzá a mappához.
      • Pipáljuk be a Share this folder checkboxot.
      • A nyomjuk meg a Permissions gombot.
      • Az újabb felugró ablakban nyomjuk meg az Add.. gombot, majd keressük meg a Designer csoportot és adjuk hozzá a listához.
      • A csoportot kijelölve, állítsuk be mindhárom Permission-t (Full Control, Change, Read) Allow-ra. Ha nem lenne ott a Domain Admins csoport adjuk őket is hozzá és adjunk nekik is teljes elérést. Az Everyone Permission-jeit viszont vegyük el vagy töröljük magát a listából.
      • Végül egy-egy OK-val zárjuk be az ablakokat.
      • Jelöljük ki a DesignHome mappát majd az előbb leírt módon járjunk el ott is.

  5. Felhasználók felvétele sablonnal (félautómata)

    • Hozzunk létre egy _DesignerTemplate felhasználót az Active Directory Users and Computers segítségével
      • Jelöljük ki a Users container-t és kattintsunk az Actions > New > User menüelemre.
      • A felugró ablakban állítsuk be Firt name-nek a DesignerTemplate-et. Ugyanezt, '' nélkül írjuk a User logon name-hez is. majd lépjünk tovább.
      • A megjelenő jelszó beállító ablakban jelöljük ki az Account is disabled checkboxot és lépjünk tovább.
      • Az elkészült sablont válasszuk ki a listából és nyissuk meg.
      • Válasszuk ki a Member Of fület és adjuk hozzá a listához a Designer csoportot.
      • Ezután válasszuk ki a Profile fület
      • A Home folder résznél állítsuk át a Local path-t Connect-re
      • Meghajtó címkének válasszuk ki az 'N'-t, az elérési útnak pedig adjuk meg az imént létrehozott megosztásunkat az alábbi módon:
        \\Beactive-FS\DesignerHome\%username%
        Ha megnyomjuk az Apply gombot, a %username%-részbe behelyettesítődik a felhasználónév, így ha másoljuk a sablont ezt nem kell majd egyenként beállítani.
    • Hozzuk létre a sablon segítségével a 4 új felhasználót
    • Az Active Directory Users and Computers-ben válasszuk ki a _DesignerTemplate felhasználót, majd a Jobb klikk > Copy... segítségével adjuk meg a szükséges adatokat.
    • Szedjük ki az Account is disabled és a User must change password at next logon checkboxokat.

Tesztelés: belépés a Windows 10 gépbe designer felhasználóval, majd a munkakönyvtár csatlakoztatása

3. Általános biztonsági és egyéb beállítások

Szeretnénk biztosítani, hogy minden felhasználó kellően összetett jelszót álíít be magának a teljes tartományon belül.

  1. Group Policy létrehozása a jelszópreferenciák beállításához majd hozzákötése a domainhez
    • Hozzunk létre a Group Policy Management panellal egy GPO-t a beactive.hu tartományon belül Password Policy névvel.
    • Nyissuk meg szerkesztésre és válasszuk ki a Computer Configuration > Policies > Windows Settings > Security Settings > Account Policies > Password Policy mappát.
    • A Minimum password length Policy-t állítsuk át 9-re és engedélyezzük a felugró ablakban.
    • Zárjuk be az Editort majd linkeljük hozzá az új GPO-t a beactive.hu domainhez.
    • A beactive.hu tartományt kijelölve, a nézett jobb oldalán, a Linked Group Policy Objects fülön, a Link Order-ben mozgassuk a Password Policy-t egyel feljebb lap bal oldalán lévő gombok segítségével a Default Domain Policy fölé, hogy ez legyen legutoljára alkalmazva, azaz ez legyen a mérvadó.

Tesztelés: jelszó módosítása egy tetszőleges felhasználónál
Active Directory Administrative Center > Jobb klikk a felhasználón > Reset Password

FONTOS! Csak a jelen laborra
RDP-n keresztül nem tudunk új jelszót megadni, így ha kötelezünk egy felhasználót, hogy cseréljen jelszót, akkor csak az admin tudja resetelni a jelszavát, de ehhez be kell lépnie a DC-re.

Mivel a CEO nagyon elégedett a cég új logójával ezért elrendeli, hogy minden felhasználónak ezt kell beállítani háttérképnek, amit nem lehet felülbírálni.

  1. Háttérkép tárolására szolgáló megosztott mappa létrehozása A Beactive-FS-en hozzunk létre a Shares mappán belül egy Wallpapers mappát és osszuk meg minden domain felhasználóval (Domain Users). Az elérési út maradhat alapértelmezett.
  2. Group policy létrehozása
    • Hozzunk létre a Group Policy Management panellal egy GPO-t a beactive.hu tartományon belül Wallpaper Policy névvel.
    • Nyissuk meg szerkesztésre és válasszuk ki a User Configuration > Policies > Administrative Templates... > Desktop > Desktop mappát.
    • Itt válasszuk ki a Desktop Wallpaper-t.
    • A felugró ablakban álltísuk az állapotát Enable-re.
    • Majd adjuk meg a háttérkép elérési útját \\Beactive-FS\Wallpapers\beactive.png a Style-t pedig állítsuk Fit-re és kattintsunk az OK-ra.
    • Zárjuk be az Editort majd linkeljük hozzá az új GPO-t a beactive.hu domainhez.

Tesztelés: Bejelentkezés egy tetszőleges felhasználóval, majd próbálni megváltoztatni a hátteret

Az fenti két beállítással ki lehetne egészíteni a Default Domain Policy-t is, hiszen ugyanúgy a domainhoz van rendelve. Ugyanakkor így könnyebb esetleg módosítani a linkelésen. Például nem biztos, hogy az adminisztrátorok szeretnék ezt az új hátteret.
Ehhez létre fogunk hozni egy újabb GPO-t, ami az előbb beállított háttérkép-beállítást fogja kikapcsolni. Pontosabban; az összes érvényesítése előtt más GPO-k által ezzel a policy-val kapcsolatos beállítást.
És, hogy ne legyen "gyanús" a vezetőségnek, csak a Domain Admin csoport tagjaira lesz érvényes.

  1. Group policy felülbírálás
    • Nyissuk meg a Group Policy Management panelt
    • Hozzunk létre egy Disable Wallpaper Policy nevű GPO-t ugyanúgy, ahogy a Wallpaper Policy-t létrehoztok, csak a státuszt állítsuk Disable-re.
    • A Group Policy Management ablakban, navigáljunk az imént létrehozott GPO-nkra, majd a jobb oldali nézetben a Scope fülön, az alsó Security Filtering résznél az Add gomb segítségével adjuk hozzá a listához a Domain Admins csoportot, az Authenticated Users-t pedig vegyük ki.
      Így tudjuk elérni, hogy csak a Domain Adminokra vonatkozzon a GPO.
    • Ugyanúgy linkeljük az új GPO-t a domainhez, mint a sima Wallpaper Policy-t.
    • A beactive.hu tartományt kijelölve, a nézett jobb oldalán, a Linked Group Policy Objects fülön, a Link Order-ben mozgassuk a Wallpaper Override Policy-t egyel feljebb lap bal oldalán lévő gombok segítségével a Wallpaper Policy fölé, így annak kiértékelése után fog végrehajtódni.

4. Fejlesztők felvétele

A cég felvesz 4 (Kurucz Gergely, Varga Máté, Fodor László, Sas Árpád) informatikust, akik python-ban fognak fejleszteni, így minden informatikus szeretné, ha a python alapból rendelkezésre állna bármelyik domainba léptetett gépen, amibe bejelentkezik.

Sajnos csak .msi kiterjesztésű telepítőket lehet ezzel a módszerrel telepíteni, .exe fájlokat nem.

  1. Felhasználók felvétele
  • Hozzunk létre egy Developers globális security csoportot a fejlesztőknek, amit adjunk is hozzá az RDP Users csoporthoz.
  • Az Active Directory Users and Computers segítségével vegyük fel a felhasználókat egy DeveloperTemplate segítségével. A sablon felhasználót adjuk hozzá a Developers csoportba.
  1. Mivel eléggé kusza már a Users mappa, hozzunk létre egy-egy Organization Unit-ot a designerek (Designers), a fejlesztőknek (Developers) és a vezetőknek (Managers) és pakoljuk át oda a megfelelő felhasználókat a
  2. Telepítőcsomagok helye
    • A Beactive-FS szerveren a Shares mappán belül hozzunk létre egy Installers mappát a telepítőcsomagok tárolására.
    • Osszuk meg a mappa tartalmát minden bejelentkezett felhasználóval (Authenticated Users) csak olvasására.
  3. Python telepítőfájl
    • Töltsük le a python telepítőjét és másoljuk az Installers mappába. https://www.python.org/ftp/python/3.1/python-3.1.msi
    • A fájl Jobb klikk > Properties > Security paneljén engedélyezzük a Read & execute hozzáférést a bejelentkezett felhasználóknak (Authenticated Users).
  4. Group Policy létrehozása a python telepítéséhez
    • Váltsunk át a BeactiveDC-re és hozzunk létre egy GPO-t a Developer Policy néven.
    • Nyissuk meg szerkesztésre a policyt.
    • A User Configuration > Policies > Software Settings > Software installation-t kibontva hozzunk létre a jobb ablakban egy új csomagot Jobb klikk > New > Package.
    • Adjuk meg a telepítőcsomag helyét megjelenő intézőablak címsorában \Beactive-FS\Installers és válasszuk ki a python-3.1.msi-t.
    • Válasszuk az Assigned telepítést, hogy bejelentkezéskor automatikusan feltelepüljön.
    • Linkeljük hozzá az új GPO-t a Developers OU-hoz.

Tesztelés: Bejelentkezés egy IT felhasználóval és megbizonyosodni, hogy a python feltelepült.

A fejlesztők gyakran ülnek másik géphez, így a Documents mappát szeretnék egy, közös helyen tárolni, amit bármelyik gépről elérnek.

  1. Group Policy beállítás létrehozása a Folder Redirection-nel
    • A Beactive-FS szerveren a Shares mappán belül hozzunk létre egy DeveloperDocs mappát a felhasználói könyvtárak tárolására.
    • Osszuk meg a Developer csoport számára
    • A Jobb klikk > Properties > Security fülön is adjunk meg a Full control-t a Developers csoportnak.
    • Váltsunk át a BeactiveDC-re és nyissuk meg szerkesztésre a Developer Policy-t.
    • A User Configuration > Policies > Software Settings > Windows Settings > Folder Redirection-t kibontva, a Documents könyvtáron a Jobb klikk > Properties elemmel hozzuk elő annak beállításait.
    • A Target fülön állítsuk be a Setting legördülő listát Advanced - ...-re
    • A Security Group Membership résznél pedig nyomjuk meg az Add gombot
      • A felugró ablakban adjuk meg a Developers-t a Security Group Membership mezőben
      • A Target Folder Location legördülő menüben válasszuk a Create folder for each user under the root path lehetőséget.
      • A Root Path-nak pedig állítsuk be az imént létrehozott megosztást (\Beactive-FS\DeveloperDocs)

Tesztelés: Bejelentkezés egy fejlesztővel és megnézni, hogy hol van a Documents folder.

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment