Fórumok
Üdv!
Kérnék egy kis segítséget A windows -os Active Directory -n belüli szervezeti egységek működésének megértéséhez!
Adva van egy vállalat. Létrehozunk egy hierarchiát, mégpedig
A vállalaton belül van:
-gyártás
-csomagolás
-informatika
-raktár részleg.
A vállalatot belerakom egy szervezeti egységbe. Ezen belül meg felveszem a többi szervezeti egységet.
Azt akarom elérni, hogy a Judit nevű felhasználó tudjon adminisztrálni(felhasználói fiókot hozzáadni pl.) de csak a saját részlegén, Az informatika részlegen.
Honnan tudja a windows hogy a mi részlegünkhöz mi tartozik? Onnan hogy az OU ban felveszem a Judit hoz tartozó gépeket?
Hozzászólások
Hm, ez egy jó kérdés és csak sejtésem van, hogyan kellene mókolni a forest-et. De nem tudom a választ, ezért ez egy "sub". :)
(meg ilyenkor úgy visszasírom a netware-t :) )
Nem csináltam még ilyet, de szerintem nagyjából OU-n jobb gomb, Security fül.
Szerk: vagy mit értesz a saját részlegen adminisztráláson? Azt szeretnéd, hogy az OU gépein helyi admin legyen?
Javasolnám végignézni ezt a videósorozatot elejétől a végéig (igen hosszú, de alapos anyag). Ami kérdés kezdő AD admin-ban felmerülhet, azokat egész jó eséllyel kitárgyalja:
https://www.youtube.com/playlist?list=PL1l78n6W8zypXtkh3uWIXbPssc4IGbfb5
Ha türelmetlen vagy, itt van néhány idevágó rész belőle:
https://youtu.be/xmGmMUCLCVY
https://youtu.be/HMixa01i78g
https://youtu.be/DDkiwxlYrVg
Bookmark.
Delegálni lehet jogot Juditnak, hogy az adott OU-ban ő tudja kezelni az accountokat.
https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/delegating-administration-by-using-ou-objects
-1
Ezeknek mindenképpen lesz globális kihatása.
Ne Juditka hozzon létre user-eket, hanem az ERP-ből jövő automatizáció vagy, ha erre nincs mód, akkor az IT.
(Juditkának a megfelelő group-ban kell lennie és ennek a group-nak delegálsz jogosultságot az adott OU-ra.)
Csak így hirtelen, mindentől függetlenül:
Jogosultságot mindig csoportnak adunk, csoportra állítunk, mert userekkel karbantarthatatlan lesz. Akkor is, ha csak egy user van a csoportban (még). Legyen az AD, share, LDAP, fájlrendszer vagy bármi.
"Sose a gép a hülye."
Ott a pont. A jogokat szerepkörökhöz célszerű hozzárendelni, a szerepkörökből adott munkakörhöz lehet rendelni egyet vagy többet, és a dolgozót ez után elég a megfelelő munkaköri csoportba belerakni. Ez plusz egy absztrakciós "réteg", viszont így a helyettesítés (pl. Mancika, aki egyébként ügykezelő (Ami tartalmaz mondjuk bíráló, felülvizsgáló meg aláíró szerepkört), tudja helyettesíteni Jucikát, a recepcióst úgy, hogy bekerül a recepciós munkaköri csoportba (amiben többek között mondjuk címlistakezelő, főnök leveleit kezelő, meg mondjuk vezetői naptár admin szerepkör van) is a helyettesítés idejére.)
+egy
Arról meg ne beszéljünk, amikor fájl jogokat kell hozzáadni/elvenni, mindezt egy olyan fájl-struktúrán, ami több százezer file-t tartalmaz. Örököltem olyan rendszert, hogy mikor azonnal de hirtelen kellett jogot elvennem, hosszú percekre beállt a szerver, mire minden egyes fájlon végigfutott. (Kicsit megakasztotta a munkát.)
Vagy mond meg hirtelen, hogy Gipsz Jakabnak mihez van joga. (Mi az, hogy azonnal nem tudod megmondani?!)
Az eDirectory-t a praktikussága miatt szerettem, nem érzem úgy, hogy az AD akár csak közelítene ebbe az irányba. (A netware fájlrendszerét meg nem igazán tudtam megfingatni azzal, amivel a windows-ét sokszor sikerült.)
Na ja... nekem kellett olyan kimutatást csinálni, hogy melyik könyvtárra (szerencsére fájl szintre nem kellett lemenni...) kinek, milyen joga van. Powershell-ben elvileg megoldható szépen - kivéve, ha a path hossza -talán- 256 karaktert meghaladja, mert akkor hibára fut, és kézzel kell a rekurzív lekérdezéseket leprogramozni...
A legtutibb meg az, ahol az RT-t használják változó jogokkal (helyettesítés, munkaköri átszervezés okán elvett jogok), és csodálkoznak/nem értik, hogy Mancikának miért van joga a foo soron bizonyos ticketekhez... (Mert amikor a ticket keletkezett, akkor volt hozzá köze, azért)... Persze aki nemérti, hogy mi a különbség a szerepkör és a munkakör, illetve a személyhez kapcsolódó jogosultság és a munkakörhöz/szerepkörhöz kapcsolódó jogosultság miért különböztetendő meg... Ilyenből lesz a jogosultságnyilvántartásra 12345 oszlopból, a dolgozók és munkakörök számának megfelelő számú sorból álló xls, amit karbantartani kész horror...
(Másrészt meg az ilyen szépen kidolgott táblázatos kimutatások pontosan addig érdekesek, amíg a megrendelő manegér egyszer futólag belelapoz, aztán beteszi a fiókba a többi hasonló közé, hogy ott várja az univerzum hőhalálát.)
Kár h. a csicskabeosztasban dolgozó IT-st mindig ugráltathatja a mánáger, hiába nem tetszik ez az előbbinek.
Sajnos nem így volt, abból kellett generáláni a dolgozók meg a munkakörök adatlapjait... Mert nem ám elektronikusan volt a "hivatalos", neeem... Papíron, nyomtatva, aláírva, az aláírtat lemásolva, ez utóbbit a beállítás után a rg. által aláírva, lefűzve, dokumentálva, visszakereshetően, pontosan és szépen... Persze amikor valakinek a jogait meg akarták nézni, akkor neem a papírt vették elő, hanem a rg.-t bactatták, hogy mivanaexcelben és hogyan, és miért nem az a munkakör megnevezése a 123. sorban, ami aktuális (igaz, a munkakörök átnevezéséről történő értesítés az ad-hoc e-mailben ment - vagy nem...). és miért nincs x ott, ahol szerintük kéne lenni mer'apapíron (ami óta volt kettő újabb...) van...
Off: Az mondjuk érdekes, hogy egy hajnali kettőkor történő éles hibakeresésnél mennyire kontra-produktív tud lenni egy egyébként igen szépen kidolgozott jogosultság(korlátozás)i rendszer...
Mire gondolsz? Az alkalmazásgazda/rendszergazda/hálózati admin/DBA/stb munka- illetve szerepkör(öke)t betöltő dolgozó jogosultságai úgy vannak meghatározva (pontosabban jog - szerepkör - munkakör lépésekben összerakva), hogy a hibakereséskor szükséges jogokkal is rendelkezzen. Ha meg olyan a hiba, hogy ezen felül kell hozzáférés, azt vezetői jóváhagyással ideiglenesen(!) át kel toli a rendszeren, és ennyi. Utána persze az esetből tanulni köll, és eldönteni, hogy az emelt jogosultság maradjon-e állandóra, vagy sem?
Hajnali kettőkor nem a vezető szokott ébren lenni, hogy jóváhagyjon... Az átkosban mondjuk volt ilyen esetkre egy lezárt borítékban egy superuser jelszó... Igaz, hogy elzárva egy páncélban, aminek a kulcsa szintén nem volt elérhető a havária alatt, de mindegy, mert a boritékban lévő jelszó is öt évvel ezelőttig volt érvényes.
Ha hajnali kettőkor olyan hiba/havaria van, hogy a készenlétes/műszakban lévő üzemeltetők jogosultsága nem elegendő a megoldáshoz, akkor vagy sz_rul lettek kiosztva/engedélyezve a jogok, vagy a készenlét lett rosszul megszervezve.
Mindkét esetben az illetékes vezetőnek ki kell dörzsülnie a csipát a szeméből, és megoldást adni a jogosutsági problémára.
(Az régen rossz, ha a készenlétes csapat nem tud root/Administrator/sysdba/satöbbi jogokkal dolgozni, ha úgy hozza az élet - te bevállalnál úgy készenlétet, hogy a felügyeleted alá rendelt rendszereken nincs lehetőséged root joggal dolgozni?)
Az ügyeletes akkor majd felkelti azt az éppen csicsikáló mérnököt, akinek van jogosultsága.
És amíg az ügyeletes kocsi behozza a mérnököt, a rendszer laggol.
"Normális ember már nem kommentel sehol." (c) Poli
Ha olyan a rendszer, hogy csak onsite hárítható el egy kritikus hiba, és a hibaelhárításra előírt időtartamba nem fér bele a telefonos ébresztés és a céghez történő bejutás időigénye, akkor nem készenlétes, hanem ügyeletes mérnök kell, annak minden következményével együtt.
Ha eltekintünk minden mástól: ezt munkajogilag sem teheted meg.
Mármint hogy az ügyeletes (bent lévő) operátor felhívja a készenlétes (otthon édesdeden alukáló) mérnököt, hogy bzmg van, és kéne segítség?
Nem véletlenül írtam "készenlétes"-t. Ha van ügyeletes operátor, akkor a készenlétes csapat egy következő eszkalációs szint, ha nincs - akkor meg annyira nem kritikus, hogy "azonnali" emberi beavatkozást igényelne a rendszer hiba esetén.
Az ügyeletes operátornak nemkell tudnia mindenhez (is) hozzáférnie, ellenben megfelelő sillabuszokkal és efladatra szabottan kiosztott emelt szintű jogosultságokkal rendelkeznie kell.
Teljesen off: nagy show lenne, ha én azt mondhatnám az operátornak, hogy 'gdb-vel menjél bele a core-fájlba és nézzél szét'... Azzal kezdené, hogy a core-fájl a Docker-kontérrel együtt megsemmisült, de egyébként is az ENSZ BT engedélye kellene a gdb telepítéséhez, egyébként meg amúgy sem tudná használni, még ha értene is hozzá, mert a céges policy miatt minden 'strip'-elve van.
Erről az eDirectory-ról írj már valami légyszíves, mert az oldalukból azt sem tudnám kitalálni, hogy konkrétan mire való.
OK. Nem vagyok nagy netware guru, ezt szögezzük le az elején. Akkor találkoztam vele, amikor már erősen lefele ívelt a pályája, ráadásul nem volt senki a közelemben, aki értett volna hozzá.
Tehát, emlékeim szerint a Novell megoldása a NDS néven mutatkozott be a 4-esben, én már Netware 5.1-ben találkoztam először (Akkor még NDS-re hallgatott.) Hasonlóan mint az Active Directory a 2000 évek körül, nagyjából ugyanazokat a funkciókat volt hivatott ellátni (mínusz a windows specifikus cuccok), csak a Netware számára.
Utána a 6-ostól úgy emlékszem már eDirectory néven futott, külön lehetett telepíteni Windows szerverre, ha replikára volt belőle szükség. (-> lásd még Open Enterprise Server)
Namost, azóta már pár tulajdonost váltott, de eredetileg a Netware szerves része volt. Azóta az AD már sokkal többet tud nála, de még mindig hiányolok belőle apróságokat, amik anno az eD-t számomra szerethetővé tették.
Ha rákeresel Wikipedia-n a Netware-re, akkor ott sokkal több mindent megtudhatsz róla.
Ha kell játszani, valahol van egy Netware 6.5-ös unlimited licenc-em.