Brukere

Etter at vi har installert AD, kan vi begynne å lage brukere i nettet vårt. En bruker eller brukerkonto (user account) består av et påloggingsnavn med et tilhørende passord. I tillegg kan vi legge inn ekstra informasjon som fullt navn, telefonnummer, adresse osv.

Starte Active Directory Users and Computers

Programmet som vi kan bruke til å utføre de fleste operasjoner på brukere heter, Active Directory Users and Computers. Vi kan starte dette fra Server Manager ved å høyreklikke på Serveren vår under AD DS eller å velge det fra Tools- menyen. Alternativt kan vi starte det direkte fra Windows ved å trykke på Windows-tasten og velge Administrative Tools. Vi kan også søke opp kommandoen ved å trykke på Windows – ac, dvs. de første bokstavene i kommandoen.

Lage brukere

Når vi starter Active Directory Users and Computers, kan vi bl.a. se domenet vårt, mittdomene.no. Ved å klikke på dette og gå videre til "Users" kan vi se hvilke brukere og grupper som er registrert. (Klikk på kolonnebetegnelsen Type for lettere å kunne skille brukere og grupper.) Vi vil ganske snart komme tilbake til hva grupper er.

Vi ser at det kun er to brukere, Administrator, som vi nå er logget inn som, og Guest. Brukeren Guest er markert med en liten pil, dette betyr at den er deaktivert (disabled).

Vi kan lage en bruker, for eksempel Morten Hansen:

Lage en bruker

Trinn 1

Høyreklikk på Users og velg New – User.

Vi kan så skrive inn navn og brukernavn (Logon name). Brukernavn er gjerne et kortnavn vi selv velger. Det kan f.eks. være initialer eller som i eksemplet her: fornavn + første bokstav i etternavn.

Trinn 2

Klikk så på Next for å sette passord.

Vi får noen valg i forbindelse med passord:

• User must change password at next logon: Det kan ofte være ønskelig at brukeren selv velger et annet passord.
• User cannot change password: På enkelte typer brukerkontoer kan det være ønskelig at det ikke er mulig å bytte passord.
• Password never expires: Normalt vil brukerne få beskjed om å bytte passord med jevne mellomrom. Hvis vi krysser av her, kan de bruke et passord så lenge de vil.
• Account is disabled: Hvis vi ønsker å opprette noen brukerkontoer som ikke skal brukes med en gang, kan vi krysse av her. Når brukeren skal tas i bruk, er det fort gjort å høyreklikke på brukernavnet og velge Enable.

Trinn 3

Når vi velger Next, kan det være at vi får denne beskjeden: Det kreves normalt at passordet skal ha en viss vanskeliggrad (password policy requirements).

Vi kan selv endre reglene for passordene, men nå vil vi bruke standardinnstillingene, som gjerne er:

• Passordet må være minst 8 karakterer langt.
• Det må inneholde tre forskjellige typer karakterer. De forskjellige
• pene er stor bokstav, liten bokstav, tall og spesialtegn.
• Det må ikke inneholde brukerens navn. Følgende eksempler på passord er gyldige:
• Sommer2015 – Stor bokstav, liten bokstav og tall.
• sommer_2015 – Liten bokstav, spesialtegn og tall. Mens disse er ikke gyldige:
• sommer2015 – kun to typer karakterer.
• s2015 – kun to typer karakterer og for kort.
• s_2015–forkort.
• Ole2015 – inneholder navn.

Trinn 4

Vi kan nå se nærmere på brukeren vi har laget, ved å dobbeltklikke på Morten Hansen. På General-fanen kan vi legge inn mer informasjon om personene vi har laget en bruker til. Tilsvarende kan vi legge inn informasjon på fanene Address, Telephones og Organization.

På Account-fanen kan vi sette forskjellige ting på selve brukerkontoen:

• Logon Hours: Her kan vi sette at en bruker bare skal få lov til å logge inn i bestemte tidsperioder.
• Log On To: Her kan vi eventuelt sette hvilke PC-er brukeren skal få lov å logge inn fra.
• Unlock account: Hvis en bruker prøver å logge inn med feil passord flere ganger, kan det være at kontoen blir låst (locked). Dette er en sikkerhetsmekanisme slik at det ikke skal være mulig å gjette passord.
• Account options: Her finner vi igjen bl.a valg for passord. Hvis vi ruller lenger ned i vinduet, finner vi valget for å «disable» kontoen. De andre valgene med kryptering o.l. er ikke så ofte brukt.
• Account expires: Hvis vi ønsker, kan vi sette en dato hvor kontoen slutter å fungere.

De ulike fanene i Active Directory

• Profile: inneholder informasjon om brukerens profilområde og hjemmeområde.
• Member of: viser hvilke grupper en bruker er medlem av. Les mer om grupper nedenfor.
• Remote Desktop Services Profile: brukes hvis vi har brukere som logger inn ved hjelp av Remote Desktop.
• Remote Virtual Desktop: brukes for å gjøre en virtuell maskin (desktop) tilgjengelig.
• Com+: kan brukes i spesielle tilfeller i forbindelse med applikasjonserver.
• Dial-in: brukes hvis man har mulighet for å ringe opp og koble seg direkte til serveren. Det er ikke så vanlig å koble seg opp direkte via telefon lenger, det er mer aktuelt å koble seg opp med VPN (Virtual Privat Network). Hvis man har en VPN-server som kjører under Windows, kan det være aktuelt å styre tilgangen til denne her.
• Environment og Sessions: kan brukes i forbindelse med Remote Desktop.
• Remote control: er funksjonen i Windows hvor en administrator eller supportperson kan gå inn og "overta" eller se på skjermbildet til en bruker via nettverket.

Grupper

Vi kan samle flere brukere i en eller flere grupper. Vi bestemmer ofte hvilken tilgang brukerne skal ha til nettverksressurser, ved hjelp av gruppene. En gruppe tildeles forskjellige rettigheter. Medlemmene i en gruppe vil da få de samme rettighetene og den samme tilgangen til ressurser.

Vi kan velge hvilke diskområder, skrivere osv. en gruppe skal kunne benytte. Vi deler inn gruppene etter hvilke brukere som naturlig hører sammen.

Skal vi for eksempel definere grupper for en skole, kan disse være aktuelle:

• Klasser
• Elever
• Prosjektgrupper
• Tillitsvalgte
• Studieretninger
• Avdelinger
• Lærere
• Administrasjon
• Ledelse
• IKT

Gruppetyper

Vi har tre forskjellige gruppetyper: globale grupper (Global Groups), lokale grupper (Domain Local Groups) og universelle grupper (Universal Groups). De forskjellige typer av grupper har først og fremst betydning hvis vi har flere domener og vi ønsker å sette rettigheter på tvers av domener.

Lokale grupper: kan inneholde andre grupper i tillegg til grupper og brukere fra andre domener, men kan kun brukes på lokalt domene.

Globale grupper: kan kun inneholde brukere og globale grupper fra eget domene, men kan brukes i alle domener.

Vi bruker typisk globale grupper til å dele inn brukerne, mens vi bruker lokale grupper når gruppene skal inneholde andre grupper.

Vi oppretter først brukerne, deretter de globale gruppene og til slutt de lokale gruppene.

Universale grupper: kan inneholde brukere, globale grupper og universale grupper fra alle domener. Universale grupper kan brukes i alle domener. Denne gruppetypen krever større ressurser på server og nettverk, så den bør bare brukes hvis vi virkelig trenger den.

Har vi kun ett domene, kan vi holde oss til globale og lokale grupper. For å lage en gruppe kan vi høyreklikke på Users og velge New – Group. Vi kan velge Group scope. En global gruppe er standardvalget.

Vi skal lage en gruppe for en klasse som vi kaller Kull 2018-19. Denne gruppen skal kun inneholde elever som går i denne klassen, altså kun brukerkontoer. Vi velger derfor en global gruppe.

Vi ser at vi også kan velge Group type, enten Security eller Distribution. En distribusjonsliste brukes i forbindelse med mail (e-post).

For å legge brukere inn i en gruppe kan vi gjøre dette på forskjellige måter:

1. Høyreklikk på en bruker og velg Add to group. Vi kan så skrive inn gruppenavnet.
2. Vi kan markere flere brukere, ev. i kombinasjon med Shift og Ctrl- tasten, for så å høyreklikke på en av brukerne og legge til en gruppe.
3. Vi kan åpne opp en gruppe, trykke på Members og deretter Add.
4. Vi kan skrive inn deler av navn med semikolon mellom. Når vi trykker Check Names, vil systemet prøve å finne brukere som passer.

Forhåndsdefinerte grupper

Vi ser at det er mange grupper som er definert under Users og Builtin. Mange av disse gruppene er for å kunne gi brukere administratortilgang til enkelte tjenester på serveren eller i domenet. Hvis vi f.eks. legger en bruker til gruppen DNSAdmins, vil vedkommende kunne administrere DNS-tjenesten i domenet vårt. Det er bare i store nettverk at det er behov for å dele opp administrasjonen av tjenestene, normalt vil en eller flere personer ha administratortilgang slik at de kan gjøre alt på serveren.

De mest aktuelle gruppene er:

• Domain Admins: Her er brukeren administratormedlem. Ved behov kan vi legge inn flere brukere her. Medlemmene av denne gruppen kan administrere alt på serveren og domenet.
• Domain Guest: Hvis vi har flere gjestebrukere i nettet vårt, kan vi samle dem her.
• Domain Users: Alle brukerne vi lager, kommer automatisk i denne gruppen.
• Domain Computers: Også maskinene i nettverket vår har en konto. En slik konto blir automatisk opprettet når vi melder en maskin inn i domenet. Les mer om dette senere.

Organisering av brukere

Hittil har alle brukere og grupper vi har sett på, ligget under Users. Vi har også andre områder som Builtin og Computers. Disse områdene kalles Organizational Units eller bare OU. Ved å høyreklikke på mittdomene.no og velge New → Organizational Unit, kan vi kan lage nye OU-er. Når vi har laget en ny OU, kan vi klikke og dra en eller flere brukere over i den nye OU-en.

Metode:

• Vi skal lage en OU som inneholder alle elever. Under denne OU-en skal det være en OU for hvert kull.
• Høyreklikk på mittdomene.no og velg New → Organizational Unit og skriv inn navn på OU-en. Legg merke til at det finnes et valg for om vi ønsker å beskytte OU-en mot sletting.
• Nå kan vi lage tilsvarende OU-er for hvert kull ved å høyreklikke på Elever.
• Nå kan vi klikke og dra brukere inn i OU-ene.

Hvis vi ønsker å flytte OU-er, må vi først skru av beskyttelsen mot sletting som beskrevet under.

OU-er brukes til å organisere brukere og maskiner. Ofte er det naturlig å følge strukturen i den organisasjonen nettverket skal brukes. Hvis vi f.eks. ser på en skole, kan vi lage OU-er for klasser, lærere og administrasjon.

Det er viktig at vi ikke blander sammen OU-er og grupper. En gruppe brukes til å styre tilgang til f.eks. filområder og skrivere. Disse gruppene heter også Security groups.

Bruk av OU-er gir oss en god oversikt hvis det er et stort nettverk. Vi kan også bruke en funksjon som kalles Group Policy, i forbindelse med en OU for å styre innstillinger på maskiner eller brukerkontoer.

En bruker kan ligge i kun én OU, men kan være medlem av flere Security groups.

Hvis vi prøver å slette en OU, vil vi få beskjed om at dette ikke er mulig. Dette er en ekstra beskyttelse for at vi ikke skal slette noe ved et uhell. En OU kan inneholde tusenvis av brukere og maskiner i en stor organisasjon.

For å slette OU-en må vi gjøre følgende:

• Sørg for at Advanced Features i View-menyen er på.
• Gå nå til Properties → Object på OU-en.

Det kan være vanskelig å skille grupper og OU-er i begynnelsen. Grupper brukes til å gi tilgang til filområder, skrivere og andre enheter. En bruker kan være medlem i flere grupper. En lærer kan for eksempel være medlem av følgende grupper: Domain Users (alle brukere), lærere, ansatte, prosjekt og sensur2015. Denne læreren vil da få tilgang til de resurser som disse gruppene er tildelt.

Lage flere brukere

Har vi et nettverk hvor det skal lages mange brukere, trenger vi noen hjelpemidler for å få opprettet brukerkontoer.

Hvis det ikke er altfor mange brukere som skal opprettes, kan vi opprette en standardbruker eller en mal som kan kopieres.

Vi kan se nærmere på hvordan vi lager en slik mal:

1. Lag en ny bruker som heter standard elev.
2. Sett så all informasjon og innstillinger som skal være felles for alle elever, f.eks. passordinnstillinger.
3. Meld standardbrukeren inn i gruppen elev.

Når vi skal lage en ny konto for en elev, kan vi høyreklikke på standard elev og velge copy. Vi kan så skrive inn navn, brukernavn og passord.

Vi kan også sette opp malbrukeren slik at vi automatisk får opprettet brukerens hjemmeområde og profilområde. (Du bør vente med å teste dette etter å ha gått igjennom kapitlet om fildeling.)

Adressen til Profile og Home folder skrives da på denne måten:

\\server1.mittdomene.no\Home\%username%

Trikset her er å skrive %username%. Når vi senere lager en bruker ved å kopiere standardbrukeren, f.eks. Petter Pettersen med brukernavn perp, vil %username% erstattes med perp.

Skal man lage veldig mange brukere, må man ha et skript som kan generere brukere. Skriptspråket i Windows Server heter Powershell. Dette er et kommandolinjemiljø og skriptspråk hvor man kan administrere alt på en Windows-server. Powershell er et ganske omfattende system og kan være litt tungt å sette seg inn i, så vi vil se på et annet alternativ for å lage brukere.

Kommandoen net kan brukes for å lage brukere, for eksempel slik: net user lars Passord987 /add /fullname:"Lars Ottesen"

Denne kommandoen vil lage brukeren lars med passord "Passord987".

Skriv net /help eller net user /help for å se flere muligheter med denne kommandoen.