Zarządzanie użytkownikami i grupami w AD
Scenariusz z życia
Domena ma strukturę OU, ale nie ma kont – nikt nie może się zalogować jako użytkownik domenowy. Administrator tworzy pierwszych użytkowników (np. j.kowalski w OU Księgowość) i grupy (np. GR_Ksiegowosc), żeby potem nadać dostęp do folderów całemu działowi naraz. Bez użytkowników i grup domena jest pusta; bez grup – uprawnienia musiałby nadawać każdemu z osobna.
Co dzieje się w systemie
Użytkownik: ADUC → wybór OU → PPM → New → User. Wypełniasz First/Last name, User logon name (np. j.kowalski → j.kowalski@domena.local), pre-Windows 2000 (DOMENA\j.kowalski). Hasło, opcje (User must change password at next logon / Password never expires). Finish – obiekt pojawia się w AD.
Grupa: PPM na OU Grupy → New → Group. Name (np. GR_Ksiegowosc), Scope: Global, Type: Security. OK. Dwuklik na grupę → Members → Add → wybór użytkowników. Uprawnienia do zasobów nadajesz grupie, nie pojedynczym użytkownikom (AGDLP).
Nazwy i definicje
Użytkownik domenowy – konto w AD; logowanie DOMENA\login lub login@domena.local; dostęp na każdym komputerze w domenie. Użytkownik lokalny – tylko na jednym komputerze.
Typ grupy: Security (do uprawnień – foldery, drukarki) vs Distribution (głównie listy mailingowe). W praktyce Security. Zakres: Domain Local (do nadawania uprawnień do zasobów, zawierają grupy globalne), Global (zbierają użytkowników z domeny), Universal (wielodomenowe). W jednej domenie: Global dla użytkowników, Domain Local do uprawnień (AGDLP).
Konsekwencje administracyjne
Uprawnienia nadajemy grupom, nie użytkownikom – przy odejściu pracownika wystarczy usunąć go z grupy. User must change password at next logon = dobre przy pierwszym logowaniu; Password never expires = tylko lab/test. SamAccountName (pre-Windows 2000) używany m.in. przy logowaniu DOMENA\user.
Myślenie administratora
Użytkowników twórz w odpowiedniej OU (Księgowość, IT…). Grupy Global do zbierania ludzi (GG_Ksiegowosc); grupy Domain Local do nadawania uprawnień do folderów (DL_Files_Ksiegowosc) – szczegóły w lekcji AGDLP. Zapisz hasło DSRM i nie używaj konta Administrator do codziennej pracy.
Zapamiętaj – 4 fakty egzaminowe
- Użytkownik domenowy: w AD, logowanie DOMENA\login lub login@domena.local; lokalny – tylko na jednym PC.
- Tworzenie użytkownika: ADUC → OU → New → User; User logon name, hasło, opcje (change at next logon / never expires).
- Grupa: Security (uprawnienia) vs Distribution (listy); Global (użytkownicy) vs Domain Local (uprawnienia do zasobów). W AGDLP: użytkownicy → GG → DL → uprawnienia.
- Tworzenie grupy: New → Group, Scope Global/ Domain Local, Type Security; Members → Add użytkowników (lub GG do DL).
PowerShell: New-ADUser, New-ADGroup – alternatywa do ADUC. Przykład: OU Księgowość → użytkownicy a.nowak, b.wisniewska → grupa GR_Ksiegowosc → uprawnienia do udziału dla grupy.