Windows - Active Directory felhasználói csoportok kezelés parancssorból

2. rész

Folytatjuk cikksorozatunkat, amelyben a .NET Active Directory parancssorból történő konfigurálását mutatjuk be. Jelen részben a felhasználói csoportok létrehozásáról lesz szó. Megmutatjuk, hogy lehet a csoport helyét meghatározni, miként lehet a hatókörét, típusát beállítani és hogy kell tagokat felvenni illetve más csoportok tagjaivá tenni. Mindezt parancssorból vagy akár batch fájlból megvalósítva.
Cikkünk készítésének idején a Windows .NET Server család operációs rendszerei Béta3 állapotban voltak, ezért a végleges verzióban lehetnek a leírtakhoz képest eltérések.
Az Active Directory Administrative Tools > Active Directory Users and Computers MMC konzolja segítségével hozhatunk létre új csoportokat. Kattintsunk a jobb oldali egérgombbal arra a tárolóra, amelyen belül el akarjuk helyezni az új csoportot és lépjünk a menü New > Group pontjára. A nevének megadása után az "OK" gombbal létrejön. Alapértelmezésben globális hatókörrel és biztonsági csoportként. Utóbbi annyit jelent, hogy jogosultságok oszthatók számára és minden tagja ezeken keresztül fér hozzá az erőforrásokhoz. A "Distribution" típus nem kaphat hozzáférést a hálózat erőforrásaihoz. Célja, hogy tagjait egybefogva csoportos üzenetküldést lehessen megvalósítani. Hatókör szempontjából három csoportot különböztetünk meg:
  • "Domain local" - Tagjai csak a saját tartományuk gépein kaphatnak hozzáférési jogokat.
  • "Global" - Az erdőn belüli összes tartományban kaphatnak jogokat.
  • "Universal" - Az egész tartományi hierarchia összes tartományában kaphatnak jogokat. Csak az Active Directory natív üzemmódjában érhető el.
Nézzük, hogy lehet parancssorból kezelni a csoportokat. Nyissunk meg egy parancssori ablakot (WIN+R > cmd) és hozzunk létre egy új csoportot. A "dsadd group" utasítást fogjuk használni. Egyetlen kötelező paramétere van, ahol LDAP szintaxis szerint meg kell határozni a nevét és tárolóját. Tegyük fel, hogy a tartományunk neve "Microsoft.com" és a címtár "Users" tárolóján belülre akarunk elhelyezni egy "Proba" nevű csoportot. Ezt a következő utasítással lehet elvégezni.
dsadd group CN=Proba,CN=Users,DC=Microsoft,DC=com
Az Active Directory Users and Computers felügyeleti konzolon ellenőrizhetjük, hogy valóban létrejött-e az új objektum (a megjelenítés frissítéséhez ne feledjük el lenyomni az F5 billentyűt).
Alapértelmezésben "Global" hatókörrel és biztonsági ("Security") típussal jön létre. Változtassuk meg a típust terjesztésire ("Distribution" ).
dsadd group CN=Proba,CN=Users,DC=Microsoft,DC=com -secgrp no
Most nézzük meg, hogy lehet a hatókört módosítani. Először készítsünk egy "Domain local" csoportot.
dsadd group CN=Proba,CN=Users,DC=Microsoft,DC=com -scope l
Majd egy alapértelmezett "Global"-t.
dsadd group CN=Proba,CN=Users,DC=Microsoft,DC=com -scope g
Végül egy mindenre kiterjedő "Universal"-t.
dsadd group CN=Proba,CN=Users,DC=Microsoft,DC=com -scope u
Ha megnézzük a felügyeleti konzolt, akkor láthatjuk, hogy minden csoporthoz tartozik egy rövid megjegyzés (Description), utalva a szerepére. Mi is készíthetünk a következőképpen.
dsadd group CN=Proba,CN=Users,DC=Microsoft,DC=com -scope l -desc "Windows Software Online próbacsoport"
A csoportokat egymásba ágyazva ki lehet használni a jogosultságok öröklődését és bonyolult hierarchia építhető fel. Helyezzük el az új csoportunkat a rendszergazdák ("Administrators") csoportba. Vegyük figyelembe, hogy ez a címtár "Builtin" tárolójában található meg.
dsadd group CN=Proba,CN=Users,DC=Microsoft,DC=com -scope g -desc "Windows Software Online próbacsoport" -memberOf CN=Administrators,CN=Builtin,DC=Microsoft,DC=com
Ténykedésünket ellenőrizzük a felügyeleti konzolban a csoport tulajdonságlapjának "Member Of" oldalán: nézzük meg hogy a listában szerepel-e az "Administrators" bejegyzés.
Innen a következő lépés, hogy tagokat (felhasználókat) vegyünk fel. Példánkban az "Administrator" fiókot adjuk hozzá.
dsadd group CN=Proba,CN=Users,DC=Microsoft,DC=com -scope g -desc "Windows Software Online próbacsoport" -members CN=Administrator,CN=Users,DC=Microsoft,DC=com

Active Directory felhasználók cikksorozat