1

DPAY421 Palvelimen asennus Server 2008R2

Eeva Valtonen/DY14K1A

HARJOITUS 1. ACTIVE DIRECTORY (AD) ASENNUS, DNS

 

Luodaan uusi toimialue yrityksen käyttöön. Windows Server 2008 R2 -palvelin on jo asennettu. Palvelimen Administrator-käyttäjätunnuksen salasana on P@ssw0rd.

1.1 Koneen nimen ja IP-osoitteen määrittäminen

 

Virtuaalikoneen Network-painikkeen alta valitaan Open network and sharing center→ valitse Local area connection → määritä koneen nimi ja ip-osoite. Nimeksi Server 01, TCP/IPv4-osoitteet seuraavasti: IP-osoite: 10.0.0.11, aliverkon maski 255.255.255.0, oletusyhdyskäytävä 10.0.0.2, ensisijainen DNS-palvelin 10.0.0.11, toissijainen DNS-palvelin 10.0.0.2.

 

1.2 Tehdään palvelimesta toimialueen ohjauskone.

 

Klikkaa virtuaalikoneen Server Manager (kuvake Start-nappulan oikealla puolella, pieni eväslaatikko ja työasema), valitse Roles-kohdasta Add roles ja lisää Active Directory Domain Services-rooli. Hyväksy asennettavat lisäosat.

 

Klikkaa Start, anna DCPromo-komento, suorita Dcpromo.exe → Create A New Domain In A New Forest → Anna verkon nimeksi springfield.local → Valitse Forest Functional Level: Windows Server 2008 → hyväksy Ipv6:een liittyvä varoitus → hyväksy Database, Log Files ja SYSVOL -tiedostojen oletussijainti → anna salasanaksi P@ssw0rd → valitse Reboot On Completion -valintaruutu.

 

1.3 Nimipalvelun (DNS) tarkastelu

 

2

Tehdään osoitetietue:

 

Klikkaa Server Manager → vasemmalta DNS Server-haara ja Forward Lookup Zones → klikkaa plussaa, ja kakkospainikkeella springfield.local sekä valitse New Host (A) → anna koneelle nimi DESKTOP100 ja IP-osoite 10.0.0.100.

 

Kokeile nslookup-komentoa: klikkaa virtuaalikoneen Start ja kirjoita komento nslookup 10.0.0.100. Serverin pitäisi löytyä: löytyi.

 

HARJOITUS 2. WINDOWS 7:N LIITTÄMINEN TOIMIALUEELLE

 

Toimialue tarkoittaa joukkoa verkkoon liitettyjä tietokoneita. Sitä hallitaan yhtenäisenä yksikkönä, jossa on käytössä samat säännöt ja käytännöt. Kullakin toimialueella on yksilöllinen nimi. Toimialueita käytetään yleensä yritysverkoissa. Kun tietokone on tarkoitus liittää toimialueeseen, tarvitaan toimialueen nimi ja käyttäjätili, joka on voimassa toimialueessa.

 

Napsauta Käynnistä, klikkaa virtuaalikoneen kakkospainikkeella Tietokone ja valitse Ominaisuudet. Valitse Tietokoneen nimen, toimialueen ja työryhmän asetukset ja Muuta asetuksia (kilpi) Jos sinua pyydetään antamaan järjestelmänvalvojan salasana tai vahvistus, anna ne.

Valitse Tietokoneen nimi -välilehti ja Muuta. (Voit myös valita Verkkotunnus-vaihtoehdon, kun haluat käyttää ohjattua toimialueeseen tai työryhmään liittymistä. Sen avulla voidaa määrittää toimialueeseen liittymisen ja toimialueen käyttäjätilin luomisen tietokoneeseen automaattiseksi.)

Valitse Jäsenyys-kohdasta Toimialue (klikkaa palloa) ja kirjoita sen toimialueen nimi, johon haluat liittyä (tässä tapauksessa springfield) ja valitse OK. Kirjoita toimialueen käyttäjänimi (Administer) ja salasana (P@sswOrd). Käynnistä kone uudelleen, jotta muutokset tulevat voimaan.

Google-haku: Windows 7:n liittäminen toimialueeseen

 

3

HARJOITUS 3.  ACTIVE DIRECTORY HALLINTA (KÄYTTÄJÄ-, RYHMÄ-, JA TIETOKONETILIEN LUONTI JA HALLINTA)

 

Active Directory Users and Computers Snap in -käyttö

Käynnistä VMware Player kaksoisklikkaamalla työpöydän kuvaketta ja valitse Server01. Valitse VMware Playerin Start-nappulasta Administrative Tools ja Active Directory Users and Computers.

Organisaatioyksiköiden luominen- Tee springfield.local alle organisaatioyksikkö Sfield klikkaamalla vasemmalla valikossa springfield.local -haaraa  ja sen alle organisaatioyksiköt klikkaamalla hiiren oikealla, valitse New ja Organizational Unit (OU). Luo organisaatioyksikötHelsinki, Tampere, Groups- Tee Helsinki OU:n alle OU:t: Hallinto, Tuotanto, Markkinointi

Domain Local- ja Global -ryhmien luominen- Tee Groups OU:n alle Domain Local -ryhmät Palkanlaskenta, Budjetin ylläpito, Budjetin luku- Tee Groups OU:n alle Domain Global -ryhmät Palkat, Talous, Tuotanto,Työnjohto, Markkinoijat, Johto

Käyttäjien kotihakemistojen teko ja jakaminen- Luo palvelimen Data-levylle (klikkaa VMwaren Start, Computer oikealla painikkeella sekä Manage-kilpi, klikkaa Server Manager, Storage, Disk Management ja valitse Disk O (nolla):sta haluamasi osio, tässä tapauksessa E ja kutista tarvittaessa levytila 5000:een ) USERS-kansio, eli valitse Data-levy ja luo sinne kansio klikkaamalla oikealla painikkeella ja sen jälkeen klikkaa USERS-kansiota oikealla painikkeella ja klikkaa Sharing.- Jaa se verkkoon käyttäjien kotikansioita varten: klikkaa Start -> Computer oikealla painikkeella -> E:  oikealla painikkeella ja Properties, valitse Sharing-välilehti (tai Security-välilehti sen mukaan, kumpia oikeuksia annat)

Sharing-oikeudet: Advanced sharing-kilpi (eli teet Administer-oikeuksin). Ruksaa Share this folder. Poista Everyone ja klikkaa Add. Lisää oikeuksia seuraavasti (Kirjoita Enter the objects jne -laatikkoon kaksi ensimmäistä kirjainta ja klikkaa Check names)

Security-oikeudet: Valitse SYSTEM ja Administrators  ja edit ja klikkaa Full control, jos ei jo ole esivalittuina.- Permissions oikeudet: Authenicated Users-ja Administrators-ryhmälle Full Control. Klikkaa Apply ja OK.- Security oikeudet: SYSTEM ja Administrators-ryhmille Full Control

Käyttäjätilien luonti

4

Klikkaa VMwaren Start, Administrative tools ja Active Directory Users and Computers, tai klikkaa pikakuvaketta (keltainen kirjan kuva) ikkunan alalaidassa, jos sellainen on olemassa. Klikkaa vasemmalta Users, kopioi Administrator-User. Kirjoita Copy object - User -laatikkoon pyydetyt tiedot: etunimi, sukunimi, logon-nimeksi eeva.valtonen@springfield.local

Tee mallikäyttäjä Hallinto, Tuotanto ja Markkinointi organisaatioyksikköön:

Valitse vasemmalta (esimerkiksi) Hallinto ja New -> UserKäytä seuraavaa rakennetta: Etunimi: _Hallinto, Sukunimi: Template ja User logon name:_hallintotemplate. Klikkaa Next.

Valitse Account Is Disabled -valintaruutu.- Määritä käyttäjän kotihakemisto: klikkaa oikealla template-käyttäjänimeä (_Hallinto--, _Tuotanto--- tms), valitse Properties, mene Profile-välilehdelle _Hallinto/_Tuotanto/_Markkinointi Template Properties-laatikkoon: valitse Connect: (K:) To: \\Server01\users\%username%  ja valitse Apply ja vielä OK (tämä on polku Users-kansioon ja sallii minkänimisen käyttäjän tahansa, %-merkki sql-kielestä)

Tee Käyttäjätilit listan mukaisesti käyttäjät Salasana kaikille käyttäjille: P@ssw0rd

Klikkaa oikealla esimerkiksi Hallinto-haaraa, valitse New -> User. Copy Template-käyttäjä ja kirjoita tiedot Käyttäjätilit-listalta, Apply ja OK. Klikkaa oikealla lisätyn käyttäjän nimeä, valitse Add to a group ja lisää käyttäjä asianomaiseen ryhmään. Tarkistus: klikkaa oikealla käyttäjän nimeä ja valitse Properties -> Member of. Pitäisi näkyä ryhmien jäsenyydet: näkyy.

Global -ryhmien liittäminen Local -ryhmiin Liitä Palkat -ryhmä Palkanlaskenta -ryhmään klikkaamalla hiiren oikealla painikkeella ja Add to a group. Liitä Talous -ryhmän ja Johto -ryhmät Budjetin ylläpito -ryhmään kuten edellä. Liitä Työnjohto ja Markkinoijat -ryhmät Budjetin luku -ryhmään kuten edellä. Tee Data-levylle (E:-levy) uusi kansio Palkat Tee Palkat-kansioon samalla tekstitiedosto Liksat.txt (klikkaa New ja Text file) ja kirjoita tiedostoon jokin lause Jakotasolla (Properties, Sharing-välilehti, ja etsi Check Names-toiminnolla Authenticated Users) Authenticated Users -ryhmälle täydet oikeudet Anna kansioon NTFS-tasolla (Properties, Security)täydet oikeudet Administrators-ryhmälle jamuutos oikeudet (Modify) Palkanlaskenta-ryhmille.Muille ei mitään oikeuksia, mutta jätä System oletusoikeuksin Tee Data-levylle uusi kansio TALOUS Jakotasolla Authenticate User -ryhmälle täydet oikeudet Muuta Talous käyttöoikeuksia NTFS-tasolla siten, että

5

Administrators-ryhmälle -ryhmälle täydet oikeudetja Budjetin ylläpito -ryhmälle muutos oikeudet (Modify) jaBudjetin luku -ryhmälle on lukuoikeudet (Read&Execute, List folder contents, Read).  HUOM! Budjetin ylläpito- ja Budjetin luku -ryhmät on ensin lisättävä Talous-ryhmään. Muille ei mitään oikeuksia, mutta jätä System oletusoikeuksin

Tee Data-levylle uusi kansio nimellä Adminjako. Jaa kansio nk. ”piilo-/admin -jakona” lisäämällä $jakonimen perään (Adminjako$).Määritä oikeudet siten, että Administrator -ryhmällä on kansioon täydet oikeudet Testaa jakojen toiminta kirjautumalla eri ryhmien käyttäjänä ja kokeile pääseekö käyttäjä em.kansioihin ja jos pääsee onko käyttäjällä luku- vai kirjoitusoikeudet.  Jos ei onnistu, todennäköisesti NTFS-tasolla vielä näkyy USERS-kansio, jolloin on se poistettava, samoin kuin ruksi inheritance-valintaikkkunasta seuraavasti: klikkaa Server01-tilassa kyseistä kansiota, esim. Talous hiiren oikealla painikkeella, valitse Security-välilehti ja Advanced. Klikkaa Change permissions, poista Users sekä ruksi Include inheritable permissions from this object's parent.

Palvelimen ja työaseman etähallinta (Remote Desktop) Mahdollista palvelimen etähallinta palvelimella

Kirjoita "enable remote" palvelimen etsintäruutuun, klikkaa Allow remote access to your computer. Allow connection from computers running any version of Remote Desktop + Apply + OK. Anna palvelimen nimi Server01 (tai IP) sekä salasana.

Ota työasemalta etätyöpöytäyhteys palvelimeen Server01 tai 10.0.0.11 huom! 7:ssa: onnistui.

 

Lisää palvelimelle DHCP-palvelu. Määritä jaettavaksi osoiteavaruudeksi. 10.0.0.150 - 10.0.0.200 

 

Klikkaa Server Manager VMwaressa, valitse Roles ja Add roles. Add Roles Wizard -ikkuna tulee esiin, klikkaa Next. Seuraavaksi Select server roles, klikkaa ruksi DHCP:iin ja Next. Jos staattista IP-osoitetta ei ole annettuna, tulee varoitus, ettei DHCP:tä tule asentaa dynaamisella IP-osoitteella.

Seuraavaksi konfiguroidaan DHCP:n IP-asetukset sekä osoiteavaruus. Network Connection Bindings -kohdassa näkyvät IP-osoite (10.0.0.11) sekä Type IPv4. Klikkaa Next. Määrittele IPv4 DNS Server Settings: nimeksi springfield.local ja anna ensi- ja toissijaiset DNS Server IPv4 -osoitteet: 10.0.0.11 ja toissijainen 10.0.0.2. Klikkaa Next.

6

Seuraavaksi Add or edit DHCP-Scopes. Anna nimi springfield.local sekä tehtävän mukainen IP-osoiteavaruus 10.0.0.150 - 10.0.0.200, aliverkon maski 255.255.255.0 sekä oletusyhdyskäytävä 10.0.0.2. Klikkaa Next.

Add Scope -ikkunassa: Disable DHCPv6 stateless mode ja Next.

Confirm Installation Selections: tarkista valinnat, tee tarvittaessa muutokset ja klikkaa Install.

Installation Results: Installation Succeeded, ja klikkaa Close.

Server Managerin kautta voi käydä tarkistamassa, että asetukset ovat oikein klikkaamalla Roles ja DHCP Server. IP-osoitteen täytyy olla oikein, jotta palvelin toimii: toimii.

 

HARJOITUS 4.

Palvelimen etähallinta (RDP) Jaetut tulostimet Group Policy perusteet

 

Palvelimen etähallinta (RDP)1. Ota työasemasta Etätyöpöytä (Remote Desktop) yhteys palvelimeen Server01 (10.0.0.101) Käy lisäämässä Palkat -ryhmän henkilöille Logon skripti joka tekee Palkat -kansiostalevylinkin (mappauksen) P: -asemaksi seuraavasti:o Avaa palvelimella Notepad ja kirjoita seuraavat kaksi riviänet use p: /d >nulnet use p: \\server01\palkat

Tallenna tiedosto palvelimella kansioon c:\windows\sysvol\sysvol\springfield.local\scriptsja anna tiedoston nimeksi palkat.cmdo Avaa palkat -ryhmän henkilöiden käyttäjätilien ominaisuuksista (Active Directory Users and Computers, tarkista Groups/Palkat-ryhmästä ao henkilöiden nimet ja sijainti, tässä tapauksessa Helsinki/Hallinto). Mene kyseiseen sijaintiin, klikkaa hiiren oikealla nimeä ja valitse Properties, sitten Profiles -välilehti ja kirjoita kohtaan Logon script: palkat.cmd. Jos henkilö on väärä, kirjoittaminen ei onnistu(?): onnistui.

 

Tulostuspalvelut

7

Asenna palvelimelle Print and Document Services rooli Add Roles kautta (kuten edellä DHCP-palvelimen asennuksen kohdalla).  Ruksaa Print and Document Services ja Next ja ohita Introduction painamalla uudelleen Next, jos ei tarvitse muuttaa mitään asetuksia.Valitse vain Print Server rooli käytettävissä olevista rooleista. Kun asennus on valmis, klikkaa Close.

Käy tekemässä Active Directory Users and Computers konsolissaHelsingin alle HelpDesk OU ja Groups OU:n ryhmä Helppari (Domain Global?)

Lisää tulostin1 HP LaserJet 4250 PCL 5 (IP 10.0.0.50) Valitse Server Manager - Roles - Print and Document Services - Print Management - Print Servers -Server01(local) Napsauta Printers -kohtaa hiiren kakkospainikkeella ja valitse Add Printer… Valitse Add a TCP/IP or … valinta ja napsauta Next. Valitse Type of Device: -pudotusvalikosta TCP/IP Device ja kirjoita IP-osoite 10.0.0.50 ja napsauta Next.

Additional port information required -kohdassa napsauta Next.

Printer Driver -kohdassa valitse Install a new driver.

Printer Installation -kohdassa valitse käytettävä ajuri ja napsauta Next (ajuri HPMCPAP6.GPD) HP LaserJet 4250 PCL5 (PCL6?) ja Next.

Printer name and Sharing Settings -kohdassa kirjoita Location kohtaan: Helsinki ja napsauta Nextja Next ja Finish Lisää Helsingin HelpDesk-osastolle oikeudet tulostusjonojen muokkaukseen napsauttamallatulostimen nimeä hiiren kakkospainikkeella ja Printer Properties –ikkunassa valitse Securityvälilehti ja valitse Helppari -ryhmä. Anna Print, Manage this printer ja Manage documents -oikeudet ja Apply + OK

Lisää tulostin 2 Canon LBP5360 (IP 10.0.0.51) Kuten kohdassa 4, mutta käyttäen määritetyn tulostimen ajuria ( automääritys?) ja IP-osoitetta ( 10.0.0.51) Kirjoita Location kohtaan: Hallinto

Lisää tulostin3 Canon LBP5970 (IP 10.0.0.52) Kuten kohdassa 4, mutta käyttäen määritetyn tulostimen ajuria ja IP-osoitetta Kirjoita Location kohtaan: Markkinointi

 

8

Group Policyt

Salasanakäytännöt Default Domain Policy Laajenna Server Manager -ikkunassa Features - Group Policy Management - Forest:springfield.local - Domains - springfield.local Napsauta hiiren kakkospainikkeella Default Domain Policy ja valitse Edit Laajenna Computer Configuration - Windows Settings - Security Settings - Account Pollicies javalitse Password Policy Muuta salasana historian arvoksi 5, salasanan maksimi iäksi 52 ja minimi salasanan pituudeksi 8. Valitse Account Lockout Policy ja muuta Account lockout threshold arvoksi 3, napsauta OK jahyväksy ehdotetut arvot. Windows muuttaa Account lockout durationin ja Reset Account Lockout counter after -arvot 30 minuutiksi, kun threshold-arvoa muutetaan. Sulje editori -ikkuna ja klikkaa Default Domain Policy, jolloin Windows kysyy, lisätäänkö avautuva internet-yhteys sallittujen joukkoon. Lisää yhteys. Valitse Settings-välilehti viereisestä ominaisuus ikkunasta ja näet Default Domain Policyn aktivoidut asetukset: Computer Configuration (Enabled) sekä User Configuration (Enabled)

 

Linkittämättömän GPO:n luonti

Laajenna Forest: springfield.local, laajenna Domains, laajenna springfield.local ja laajenna GroupPolicy Objects säilö Napsauta hiiren kakkospainikkeella Group Policy Object säilöä ja valitse New New GPO -ikkunassa kirjoita poista_control_panel ylempään ruutuun ja napsauta OK (muokataan myöhemmin)

 

Linkitetyn GPO:n luonti

 

http://en.wikipedia.org/wiki/Group_Policy

"Group Policy, in part, controls what users can and cannot do on a computer system, for example: to enforce a password complexity policy that prevents users from choosing an overly simple password, to allow or prevent unidentified users from remote computers to connect to a network share, to block access to the Windows Task Manager or to restrict access to certain folders. A set of such configurations is called a Group Policy Object (GPO)." - Wikipedia

9

Napsauta hiiren kakkospainikkeella Hallinto OU:a ja valitse Create and Link a GPO Here New GPO ikkunassa kirjoita Hallinnon varmistus ja napsauta OK Laajenna Hallinto OU Huomaa, että pikakuvakenuoli Hallinnon varmistus GPO:ssa kertoo, että se on linkitettyHallinto organisaatioyksikköön

 

Laajenna Group Policy Objects säilö Huomaa, että tänne tulee kaikki luodut GPO:t.

Kaikki näkyvät mitä pitää: Default Domain Controllers Policy, Default Domain Policy, Hallinnon varmistus, Poista Control Panel.

 

GPO:n varmuuskopiointi ja palautus Group Policy Objects -säilössä napsauta hiiren kakkospainikkeella Hallinnon varmistus GPO:ta javalitse Back up Back Up Group Policy Object -ikkunassa napsauta Browse - selaa C: -asema ja luo sinne uusikansio GPO Varmistus sekä napsauta OK Napsauta Back Up ja napsauta OK Poista Hallinnon varmistus GPO Napsauta hiiren kakkospainikkeella Group Policy Objects kansiota ja valitse Manage Backups Valitse Hallinnon palautus GPO ja valitse Restore Napsauta OK kahdesti ja napsauta Sulje Varmista, että Hallinnon palautus GPO palautui ja poista tämän jälkeen Huomaa, että linkitys Hallinto organisaatioyksikköön pitäisi tehdä tarvittaessa uudelleen, jolloin tehdään kuten ylempänä Linkitetyn GPO:n luonti -kohdassa.

Poisto ja palautus onnistuivat.

 

GPO:n linkittäminen ja muokkaus Laajenna springfield.local ja napsauta hiiren kakkospainikkeella Sfield OU:a ja valitseavautuvastavalikosta Link an Existing GPO Select GPO -ikkunassa valitse Poista Control Panel ja napsauta OK Napsauta hiiren kakkospainikkeella Poista Control Panel ja valitse Edit Group Policy -ikkunan User Configuration -haarassa laajenna Administrative

10

Templates janapsauta Start Menu and Taskbar Remove programs on Settings menu -kohdassa, eli kaksoisklikkaa ja avautuvassa ikkunassa valitse Enable + Apply + OK Huomaa! Mieti valintaa aina säännön kannalta eli haluatko hyväksyä vai hylätä säännön elitässä tapauksessa halutaan hyväksyä sääntö, joka poistaa ControlPanel -toiminnon Käynnistä-valikosta Kokeile säännön toimintaa kirjautumalla jollain käyttäjätunnuksella työasemalle Varmista että Control Panel linkki puuttuu Start -valikosta Voit käyttää myös rsop.msc komentoa selvittääksesi mitä policyja ajetaankoneelle/käyttäjälle, käynnistämällä komentokehotteen ja antamalla komennon rsop.msc

Onnistui....? Maija Mehiläisen tiedot löytyivät.

 

Ristiriitaisen GPO:n luominen ja vaikutus Luo ja linkitä Hallinto OU:n uusi Salli Control Panel -niminen GPO kuten ylempänä Linkitetyn GPO:n luonti -kohdassa. Napsauta hiiren kakkospainikkeella Salli Control Panel GPO:a ja valitse Edit Group Policy -ikkunan User Configuration -haarassa laajenna Administrative Templates janapsauta Start Menu and Taskbar Remove programs on Settings menu -kohdassa valitse Disable + Apply + OK Kokeile säännön toimintaa kirjautumalla jollain Hallinto OU:n käyttäjätunnuksella: hilkka.huovinen -käyttäjätunnuksella näkyy Control Panel sekä policyt.

 

GPO:n periytymisen estäminen Markkinointi organisaatioyksikköön Napsauta Server Managerissa hiiren kakkospainikkeella Group Policy Management / Markkinointi OU:a  ja valitse Block Inheritance Kokeile muutoksen toimintaa kirjautumalla Maija Mehiläisenä työasemalle

http://technet.microsoft.com/en-us/library/cc731076.aspx

"You can block inheritance for a domain or organizational unit. Blocking inheritance prevents Group Policy objects (GPOs) that are linked to higher sites, domains, or organizational units from being automatically inherited by the child-level."

 

GPO:n pakottaminen alemmille organisaatioyksiköille Napsauta Sfield OU -kohtaan linkitettyä Poista Control Panel GPO:a hiiren

11

kakkospainikkeella javalitse Enforced Kokeile säännön toimintaa kirjautumalla Hannu Hanhena ja Maija Mehiläisenä työasemalle.

Toimii.

 

GPO:n poistaminen Valitse Group Policy Objects säilö Poista sekä Poista Control Panel GPO että Salli Control Panel GPO napsauttamalla niitä hiirenkakkospainikkeella ja valitsemalla Delete ja hyväksymällä OK.Vaihtoehtoisesti voit poistaa linkityksen OU:sta joihin ne on linkitetty. Periytymisen eston poistaminen Markkinointi organisaatioyksiköltä Napsauta hiiren kakkospainikkeella Markkinointi OU:a ja valitse Block Inheritance

 

HARJOITUS 5. GROUP POLICY PERUSTEET: 

Tee seuraavat Group Policyt eri organisaatioyksiköille1. Helsinki (kaikki toimialueen käyttäjät) Tulostimen 1 määrittäminen Tee Group Policy Helsingin tulostin, mutta käy määrittämässä Print Management -kautta My Documents kansion uudelleenohjaus käyttäjien kotikansioihin Viimeksi työasemaan kirjautuneen käyttäjän tunnus ei ole näkyvissä kun seuraava käyttäjäkirjautuu

Helsinki (kaikki toimialueen käyttäjät) Tulostimen 1 määrittäminen Laajenna puusta springfield.local alta Helsinki Napsauta sitä hiiren kakkospainikkeella ja valitse avautuvasta valikosta Create and Link a GPOHere sekä kirjoita ryhmäkäytännön nimeksi Group Policy Helsingin tulostin Käy määrittämässä tulostin Print Management –kautta. Laajenna Print Management, valitse Printers, Deploy with Group Policy, selaa ja valitse Helsinki.springfield.local sekä Add, jolloin Helsingin tulostin on aktivoitu ja näkyy listassa.

 

My Documents kansion uudelleenohjaus käyttäjien kotikansioihin Laajenna puusta springfield.local alta Helsinki

12

Napsauta sitä hiiren kakkospainikkeella ja valitse avautuvasta valikosta Create and Link a GPOHere sekä kirjoita ryhmäkäytännön nimeksi Helsinki kansionohjaus Napsauta hiiren kakkospainikkeella Helsinki kansionohjaus GPO:a ja valitse Edit Valitse User Configuration – Policies - Windows Settings – Folder Redirection Napsauta hiiren kakkospainikkeellaDocuments -kohtaa ja valitse Properties Valitse Setting: -pudotusvalikosta Basic –Redirect everyone’s folder to same location Valitse Target folder location -listasta kohtaRedirect to the following location (edellyttää,että käyttäjälle on määritetty kotihakemistoProfiles-välilehdellä) Kirjoita Root Path: kenttään:\\Server01\users\%username% + Apply + OKo Jos olet jostain syystä halunnut antaapalvelimesi nimeksi WXY-J7B7GQ173A2tms. korvaa Server01 palvelimesi nimellä Kirjaudu työasemalle Hallinto-, Markkinointi-ja Tuotanto OU:n käyttäjänä ja katsoohjautuuko kotikansio verkkoon.

Documents-kansio näkyy kaikilla käyttäjillä.

 

Viimeksi työasemaan kirjautuneen käyttäjän tunnus ei ole näkyvissä kun seuraava käyttäjäkirjautuu Laajenna puusta springfield.local alta Helsinki Napsauta sitä hiiren kakkospainikkeella ja valitse avautuvasta valikosta Create and Link a GPOHere sekä kirjoita ryhmäkäytännön nimeksi Hide user Napsauta hiiren kakkospainikkeella ja valitse Edit Valitse Computer Configuration - Policies - Windows Settings - Security Settings - LocalSettings - Security Options ja avautuu sääntöikkuna, jossa paaaaljon sääntöjä Kaksoisnapsauta Interactive logon: Do not display last user name Ruksaa Define this policy setting, valitse Enable ja Apply +  OK

 

2. Hallinto Verkkolevyaseman Talous kiinnittäminen T-kirjaimelle Tulostimen 2 määrittäminen Hallinto OU:lle (määritä Group Policy Management

13

kautta) Internet selaimen aloitussivuna www.iltalehti.fi

 

Hallinto Verkkolevyaseman Talous kiinnittäminen T-kirjaimelle Laajenna puusta springfield.local alta Helsinki ja Hallinto Napsauta sitä hiiren kakkospainikkeella ja valitse avautuvasta valikosta Create and Link a GPOHere sekä kirjoita ryhmäkäytännön nimeksi Talous kansion mappaus Napsauta hiiren kakkospainikkeella ja valitse Edit Valitse User Configuration - Preferences - Windows Settings Napsauta Drive Maps -kohtaa hiiren kakkospainikkeella ja valitse New - Mapped Drive Kirjoita Location: -ruutuun \\Server01\talous Valitse Reconnect: -ruutu ja kirjoita Label as: -ruutuun Talous Drive Letter -kohdassa valitse T -kirjain + Apply + OK Tulostimen 2 määrittäminen Hallinto OU:lle (määritä Group Policy Management kautta) Laajenna puusta springfield.local alta Helsinki ja Hallinto Napsauta sitä hiiren kakkospainikkeella ja valitse avautuvasta valikosta Create and Link a GPOHere sekä kirjoita ryhmäkäytännön nimeksi Hallinnon tulostin Napsauta hiiren kakkospainikkeella ja valitse Edit Valitse User Configuration - Policies - Windows Settings Napsauta hiiren kakkospainikkeella Deployed Printers ja Deploy Printer Enter printer name: -ruutuun kirjoita \\server01\Canon LBP5360 ja napsauta Add ja OK Sulje ikkuna Internet selaimen aloitussivuna www.iltalehti.fi Laajenna puusta springfield.local alta Helsinki ja Hallinto Napsauta sitä hiiren kakkospainikkeella ja valitse avautuvasta valikosta Create and Link a GPOHere sekä kirjoita ryhmäkäytännön nimeksi Hallinnon nettisivu Napsauta hiiren kakkospainikkeella ja valitse Edit Valitse User Configuration - Policies - Windows Settings - Internet Explorer Maintenance Valitse URLs ja kaksoisnapsauta oikealla puolella Important URLs Valitse valintaruutu Customize Home page URL Ruksaa Customize Home page URL, kirjoita Home page URL: -ruutuun: http://www.iltalehti.fi ja napsauta OK

3. Markkinointi Verkkolevyaseman Talous kiinnittäminen T-kirjaimelle Tulostimen 3 määrittäminen Markkinointi OU:lle Internet selaimen aloitussivuna www.businesscollege.fi

14

 

Verkkolevyaseman Talous (pitää olla Markkinointi?????)  kiinnittäminen T-kirjaimelle Laajenna puusta springfield.local alta Helsinki ja Markkinointi Napsauta sitä hiiren kakkospainikkeella ja valitse avautuvasta valikosta Link an Existing GPO javalitse Talous kansion mappaus ja napsauta OK (Talous-NIMI OLI JO KÄYTÖSSÄ, KIRJOITIN Markkinointi kansion mappaus)

Loput kuten yllä Hallinto-kohdassa, paitsi että Label as: Markkinointi, ja Use: M. Tulostimen 3 määrittäminen Markkinointi OU:lle Laajenna puusta springfield.local alta Helsinki - Markkinointi Napsauta sitä hiiren kakkospainikkeella ja valitse avautuvasta valikosta Create and Link a GPOHere sekä kirjoita ryhmäkäytännön nimeksi Group Policy Markkinoinnin tulostin Käy määrittämässä tulostin Print Management -kautta: kuten edellä Hallinto-kohdassa, paitsi että markkinoinnin tulostin on Canon LBP5970

Internet selaimen aloitussivuna www.businesscollege.fi Laajenna puusta springfield.local alta Helsinki ja Markkinointi Napsauta sitä hiiren kakkospainikkeella ja valitse avautuvasta valikosta Create and Link a GPOHere sekä kirjoita ryhmäkäytännön nimeksi Markkinoinnin nettisivu Napsauta hiiren kakkospainikkeella ja valitse Edit Valitse User Configuration - Policies - Windows Settings - Internet Explorer Maintenance Valitse URLs ja kaksoisnapsauta oikealla puolella Important URLs Valitse valintaruutu Customize Home page URL Kirjoita Home page URL: -ruutuun: http://www.businesscollege.fi ja napsauta OK ja suljeikkuna

 

4. Tuotanto Control Panelin käytön esto C-asemaan pääsyn esto: User Configuration-Admin Template-Windows Components-WindowsExplorer Mieto kierrettävissä: Hide these specified drives in My computer Kovempi: Prevent access to drives from My Computer Internet selaimen aloitussivuksi https://moodle.businesscollege.fi/

Control Panelin käytön esto Laajenna puusta springfield.local alta Helsinki ja Tuotanto Napsauta sitä hiiren kakkospainikkeella ja valitse avautuvasta valikosta Create and

15

Link a GPOHere sekä kirjoita ryhmäkäytännön nimeksi Control Panel poisto Napsauta hiiren kakkospainikkeella ja valitse Edit User Configuration - Policies - Administrative Templates - Control Panel Kaksoisnapsauta Prohibit access to the Control Panel ja valitse Enabled ja napsauta Apply + OK Kaksoisnapsauta Show only specified Control Panel items, valitse Enabled, napsauta Show jakirjiota Microsoft.Mouse ja napsauta OK C-asemaan pääsyn esto: Laajenna puusta springfield.local alta Helsinki ja Hallinto Napsauta sitä hiiren kakkospainikkeella ja valitse avautuvasta valikosta Create and Link a GPOHere sekä kirjoita ryhmäkäytännön nimeksi C-aseman esto Napsauta hiiren kakkospainikkeella ja valitse Edit User Configuration - Policies - Administrative Templates - Windows Components - WindowsExplorero Mieto kierrettävissä: Hiden these specified drives in My computero Kovempi: Prevent access to drives from My Computer

Internet selaimen aloitussivuksi http://www.moodle.businesscollege.fi Laajenna puusta springfield.local alta Helsinki ja Tuotanto Napsauta sitä hiiren kakkospainikkeella ja valitse avautuvasta valikosta Create and Link a GPOHere sekä kirjoita ryhmäkäytännön nimeksi Tuotannon nettisivu Napsauta hiiren kakkospainikkeella ja valitse Edit Valitse User Configuration - Policies - Windows Settings - Internet Explorer Maintenance Valitse URLs ja kaksoisnapsauta oikealla puolella Important URLs Valitse valintaruutu Customize Home page URL Kirjoita Home page URL: -ruutuun: http://www.moodle.businesscollege.fi ja napsauta OK

 

5. Hallinto OU:n Omat tiedostot -kansion ohjaaminen paikalliselle levylle Laajenna puusta springfield.local alta Helsinki ja sen alta Hallinto OU Napsauta sitä hiiren kakkospainikkeella ja valitse avautuvasta valikosta Create and Link a GPO Heresekä kirjoita ryhmäkäytännön nimeksi Hallinto kansionohjaus Napsauta hiiren kakkospainikkeella Hallinto kansionohjaus GPO:a ja valitse Edit Valitse User Configuration - Policies - Windows Settings – Folder Redirection Napsauta hiiren kakkospainikkeella Documents -kohtaa ja valitse Properties Valitse Setting: -pudotusvalikosta Basic – Redirect everyone’s folder to same location Valitse Target folder location -listasta kohta Redirect to the local userprofile location

16

Kirjaudu työasemalle Hallinto OU:n käyttäjänä ja katso ohjautuuko kotikansio paikalliselle koneelle Kirjaudu vielä Markkinointi- ja Halllinto OU:n käyttäjänä työasemalle ja varmista, että Omattiedostot -kansio ohjautuu edelleen verkkoon.

Tulos: Markkinointi ja Hallinto pääsevät Documents-kansioon. Tuotanto Ou:n käyttäjät eivät pääse Control Paneliin

 

6.  Windows Server 2008 R2 palvelin Server01 on asennettu. Windows 7 työasema, on myös asennettu ja liitetty toimialueeseen. Palvelimen ja toimialueen Administrator -käyttäjätunnuksen salasana on P@ssw1rd. Työasemalle kirjautuminen toimialueen käyttäjätunnuksilla, salasanalla P@ssw0rd.

1. Jakokansion luominen ohjelmien jakamiseksi Tee palvelimen Data-levylle kansio Software ja jaa se verkkoon samalla nimellä.

- valitse Software-kansio ja klikkaa Properties > Security > valitse Authenticated Users, anna oikeudet Full control. Anna jakotasolla Authenticated users -ryhmälle Täydet oikeudet ja NTFS-tasolla Read and Excecute oikeudet Tee Software -kansion alle kansiot FoxitReader, Firefox, XmlNotepad, Office2007

Etsi internetistä virtuaalikoneen selaimella seuraavat ohjelmat: Kopioi FoxitReader31_enu.msi ja FoxitReader431_enu.msi FoxitReader -kansioon Kopioi Firefox-3.6.10-fi.msi Firefox -kansioon Kopioi XmlNotepad.msi XmlNotepad -kansioon

HUOM Näitä versioita ohjelmista ei löytynyt, kopioin uudempia versioita, mitä satuin löytämään.

2. Ohjelman Foxit Reader asentaminen pakotetusti (Assigned) Group Policy Management kautta Luo ja linkitä Tietokoneet OU:iin uusi Asenna_FoxitReader GPO. Tietokoneet-OU:n pitäisi sijaita springfield.localin alla.

Napsauta hiiren kakkospainikkeella Asenna_ FoxitReader GPO:a ja valitse Edit

Group Policy -ikkunan Computer Configuration –haarassa laajenna Policies - Software Settings Napsauta Software installation hiiren kakkospainikkeella Valitse New ja napsauta Package… Valitse aiemmin jakoon laitettu msi tiedosto FoxitReader31_enu.msi (muista UNC

17

polku) ja napsauta Open. Huom! varmista properties, että on "Installer". Deploy Software -valintaikkunassa valitse Advanced ja napsauta OK Napsauta Deployment -välilehteä Varmista, että Assigned on valittuna (ehkä klikattava kahdesti! koodaajan kepponen?) Varmista, että Auto-install this application by file extension activation on valittu - on. Valitse Uninstall This Application When It Falls Out Of The Scope of Management -valintaruutu - valittu. Napsauta OK ja sulje Group Policy Management Editor -ikkuna Kokeile säännön toimintaa kirjautumalla jollain käyttäjätunnuksella työasemalle. Varmista, että Windows 7 on aktivoitu!

Aktivointi windows 7 ja Windows 2008Komentoriville järjestelmän valvojaoikeudet:1. cmd2. slmgr.vbs /skms 10.37.0.10:16883. slmgr.vbs /ato

Sählä: vaihdoin hannele.hirvonen salasanaksi P@ssw1rd

Sählä: Administrator salasana on P@ssw1rd

Sählä: harri.hulkko salasana on P@ssword

 

6. Ohjelman XML Notepad asentaminen pakotetusti käyttäen Security Filtering -ominaisuutta Luo ADUC (Active Directory Users and Computers) kautta Groups OU:n alle uusi Global Security Group XmlNotepad ja liitä ryhmään Mari Meriläinen ja Heikki Hämäläinen Luo ja linkitä springfield.local alle uusi Asenna_XmlNotepad GPO group policyn kautta Napsauta hiiren kakkospainikkeella Asenna_ XmlNotepad GPO:a ja valitse Edit Group Policy -ikkunan User Configuration -haarassa laajenna Policies - Software Settings Napsauta Software installation hiiren kakkospainikkeella Valitse New ja napsauta Package… Valitse aiemmin jakoon laitettu msi tiedosto XmlNotepad.msi (muista UNC polku) ja napsauta Open. Huom! varmista, että Installer! Deploy Software -valintaikkunassa valitse Advanced ja napsauta OK Napsauta Deployment -välilehteä Varmista, että Assigned on valittuna (ehkä klikattava kahdesti! koodaajan kepponen?) Valitse Install this application at Logon -valintaruutu Valitse Uninstall This Application When It Falls Out Of The Scope Of Management ja napsauta OK Sulje Group Policy Management Editor

18

Group Policy Management consolessa valitse Asenna_XmlNotepad GPO Valitse oikean puoleisessa ikkunassa Scope -välilehti Security Filtering -kohdassa valitse Authenticated Users ja napsauta Remove Lisää Security Filtering -kohtaan XmlNotepad -ryhmä (GPO on kohdistuu nyt vain valitun ryhmän jäseniin) Kokeile säännön toimintaa kirjautumalla työasemalle Mari Meriläisen tunnuksella sekä jollain tunnuksella mikä ei kuulu XmlNotepad -ryhmään. Kokeiltu Mari Meriläisen tunnuksilla: ohjelma löytyy! Harri Hulkon tunnuksilla: ei löydy.

HARJOITUS 7:  Käyttäjien hallinta ja komentorivillä ja skripteillä

Palvelimen ja toimialueen Administrator-käyttäjätunnuksen salasana on P@ssw1rd. Työasemalle kirjautuminen toimialueen käyttäjätunnuksilla, salasana joko P@ssw0rd tai P@ssw0rd (0=nolla). Ks. edellinen kohta.

1. Käyttäjän lisääminen DSADD -komennolla Käynnistä komentokehote ja luo kaksi käyttäjää dsadd -komennolla. Kirjoita komennot ilman rivinvaihtoja ja paina Enter komennon jälkeen dsadd user "cn=Mikko Mattila,ou=Markkinointi,ou=Helsinki,ou=Sfield,dc=springfield,dc=local" dsadd user "cn=Mauno Manninen,ou=Markkinointi,ou=Helsinki,ou=Sfield,dc=springfield,dc=local" -samid mauno.manninen -pwd * -mustchpwd yes -hmdir \\server01\users\mauno.manninen -hmdrv K: Varmista ADUC kautta, että sait luotua käyttäjät. Päivitys F5.

Eipä tahtonut ensimmäisetkään skriptit onnistua. Tehtiin OneNoteen rivit ja sieltä kopioimalla kohti uusia yrityksiä.

Ongelmana oli puuttuva OU Sfield. Luotiin se ja siirrettiin Helsinki Markkinointi sen alle. Tämän jälkeen skripti toimi niin kuin pitää.

Toinen skripti vaati salasanan: kirjoitin P@ssw0rd ja vahvistin. Välilyöntien kanssa tarkkana skriptissä!

ADUC Päivitys F5: käyttäjien lisäys onnistui!

 

2. Käyttäjän lisääminen CSVDE -komennolla Avaa NotePadissa Muistio ja kirjoita seuraavat rivit. ”Pallukat” omille riveilleen, muuten ei rivinvaihtoja.

DN,objectClass,sAMAccountName,sn,givenName,userPrincipalName "cn=Mira Meri,ou=Markkinointi,ou=Helsinki,ou=Sfield,dc=springfield,dc=local", user,mira.meri,Mira,Meri,mira.meri@springfield.local

19

"cn=Mauri Made,ou=Markkinointi,ou=Helsinki,ou=Sfield,dc=springfield,dc=local",user, mauri.made,Mauri,Made,mauri.made@springfield.local

HUOM kun tallennat NotePadiin, vaihda tiedostomuodoksi all files

 

Tallenna tiedosto User\Documents kansioon nimellä Newusers.txt. eli c:/users/administrator/documents Avaa komentokehote Siirry Documents -kansioon, eli komentokehotteessa cd documents Kirjoita csvde -i -f newusers.txt -k ja paina Enter. dir-komennolla voit tarkistaa, että tiedostomuoto on oikein. Tiedostomuodon muuttaminen: rename (tiedostonimi) (uusi tiedostonimi) + enter Varmista ADUC kautta, että sait luotua käyttäjät. Päivitys F5. Käyttäjien lisäys onnistui!

 

3. Käyttäjätilien lisääminen LDIFDE -komennolla Avaa NotePadissa Muistio ja kirjoita seuraavat rivit: Varmista, että henkilöiden väliin jää tyhjä rivi.DN: CN=Tatu Turtia,OU=Tuotanto,OU=Helsinki,ou=Sfield,DC=springfield,DC=localchangeType: addCN: Tatu TurtiaobjectClass: usersAMAccountName: tatu.turtiauserPrincipalName: tatu.turtia@springfield.localgivenName: Tatusn: TurtiadisplayName: Turtia, Tatumail: tatu.turtia@springfield.localdescription: Tuotannon työnjohtaja Helsinkititle: Työnjohtajadepartment: Tuotantocompany: Springfield, Ltd.

 

DN: CN=Turo Tuominen,OU=Tuotanto,OU=Helsinki,OU=Sfield,DC=springfield,DC=localchangeType: addCN: Turo TuominenobjectClass: usersAMAccountName: turo.tuominen

20

userPrincipalName: turo.tuominen@springfield.localgivenName: Turosn: TuominendisplayName: Tuominen, Turomail: turo.tuominen@springfield.localdescription: Tuotannon duunari Helsinkititle: Duunaridepartment: Tuotantocompany: Springfield, Ltd.

ou, dn, cn ei väliä isoilla ja pienillä. Nimet oltava oikein = samalla tavalla kuin aduc:ssa.

Tallenna tiedosto Documents-kansioon nimellä newusers.ldf (muista tallennettaessa tiedostomuoto AllFiles)

Avaa komentokehote

Siirry tarvittaessa Documents -kansioon komennolla cd Documents

Kirjoita ldifde -i -f newusers.ldf -k ja paina Enter

Varmista ADUC kautta, että sait luotua käyttäjät. Päivitys F5: toimii! Käyttäjät Tatu Turtia ja Turo Tuominen lisätty.

 

4. Käyttäjätilien luonti suoraan PowerShellillä Avaa Windows PowerShell Yhdistä Hallinto OU:n kirjoittamalla seuraava komento ja paina Enter:$objOU=[ADSI]"LDAP://OU=Hallinto,OU=Helsinki,OU=Sfield,DC=springfield,DC=local" Luo käyttäjätili kirjoittamalla seuraava komento ja paina Enter:$objUser=$objOU.Create("user","CN=Hemmo Heinonen") Määritä pakollinen attribuutti eli käyttäjän pre-Windows 2000 logon name, kirjoittamallaseuraava komento ja paina Enter:$objUser.Put("sAMAccountName","hemmo.heinonen") Kirjoita muutokset AD:iin, kirjoittamalla komento ja paina Enter:$objUser.SetInfo() Varmista, että käyttäjä on luotu, kirjoittamalla seuraava komento ja paina Enter:$objUser.distinguishedName Tarkista käyttäjän attribuutit, mitkä AD loi automaattisesti kirjoittamalla komento ja paina Enter:$objUser | get-member Varmista ADUC kautta, että sait luotua käyttäjät. Päivitys F5: Hemmo Heinonen lisätty Hallinto-OU:iin.

21

 

5. Käyttäjätilin luonti PowerShell scriptillä(Halutessasi voit asentaa PowerShell ISE:n ja kirjoittaa sekä suorittaa koodirivit siinä) Avaa Muistio. Kirjoita seuraavat koodirivit:$objOU=[ADSI]"LDAP://OU=Markkinointi,OU=Helsinki,OU=Sfield,DC=springfield,DC=local"$objUser=$objOU.Create("user","CN=Miia Maksimainen")$objUser.Put("sAMAccountName","miia.maksimainen")$objUser.Put("userPrincipalName","miia.maksimainen@springfield.local")$objUser.SetInfo() Tallenna scripti Documents kansioon nimellä "Newusers.ps1” Avaa Windows PowerShell Kirjoita get-childitem ja paina Enter. Kirjoita dir ja paina Enter. Kirjoita cd documents ja paina Enter. Salli scriptin suorittaminen kirjoittamalla komento: Y on oletuksena, eli paina Enter(mikäli käytät PowerShell ISE liittymää tämä kirjoitetaan ensimmäiseksi koodiriviksi)Set-ExecutionPolicy remotesigned Suorita scripti kirjoittamalla .\newusers.ps1 ja paina Enter.(Merkintä .\ vahvistaa, että kyseinen polku on scriptin polku. Ilman ".\" merkintää tuleevirhe) Halutessasi voit lisätä loppuun myös koodirivin, että näet luodun käyttäjän PowerShellissä.$objUser.distinguishedName Varmista ADUC kautta, että sait luotua käyttäjän Päivitys F5:käyttäjän luonti onnistui.

 

6. Käyttäjätilin luonti VBScriptillä scriptillä Avaa Muistio Kirjoita seuraavat koodirivit:Set objOU=GetObject("LDAP://OU=Markkinointi,OU=Helsinki,OU=Sfield,DC=springfield,DC=local")Set objUser=objOU.Create("user","CN=Marja Markkanen")objUser.Put "sAMAccountName","marja.markkanen"objUser.Put "userPrincipalName","marja.markkanen@springfield.local"objUser.Put "givenName","Markkanen"objUser.Put "sn","Marja"objUser.Put "Description", "Markkinointihemmo"objUser.SetInfo()objUser.SetPassword "P@ssw0rd"objUser.AccountDisabled = FalseobjUser.SetInfo()

22

Wscript.Echo "Onnistui, Varmista AD:sta onnistuminen - Muista F5" (tuli näkyviin) Tallenna scripti Documents kansioon nimellä “newuser.vbs” ja muista taas AllFiles Avaa komentokehote ja siirry Documents kansioon Suorita scripti kirjoittamalla cscript.exe newusers.vbs. Varmista ADUC kautta, että sait luotua käyttäjän Päivitys F5. Onnistui!

7. Käyttäjätilin ominaisuuksien muokkaus dsmod komennolla Käynnistä komentokehote ja kirjoita seuraava komento ilman rivinvaihtoja ja paina Enter:dsmod user "cn=Hemmo Heinonen,ou=Hallinto,ou=Helsinki,ou=Sfield,dc=springfield,dc=local" -office "Helsinki" Varmista ADUC kautta, että käyttäjän officen sijainniksi muuttui Helsinki. Onnistui!

8. Dsquery ja dsmod komentojen putkitus Käynnistä komentokehote ja kirjoita seuraava komento ilman rivinvaihtoja ja paina Enter:dsquery user –name "* Heinonen" | dsmod user -hmdir "\\server01\users\hemmo.heinonen” -hmdrv "M:"

Nevahööd Komentojen putkitus: http://books.okf.fi/komentorivin-perusteet/putkitus/

 

9. Dsget kyselyn teko Käynnistä komentokehote ja kirjoita seuraava komento ilman rivinvaihtoja ja paina Enter:dsget user "cn=HemmoHeinonen,ou=Hallinto,OU=Helsinki,OU=Sfield,DC=springfield,DC=local" –samid

Tulos: dsget succeeded10. Dsquery ja Dsget komentojen putkitus Käynnistä komentokehote ja kirjoita seuraava komento ilman rivinvaihtoja ja paina Enter:dsquery user -disabled | dsget user -samid

 

Tulos: dsget succeeded11. Käyttäjän salasanan resetointi ja tilin lukituksen poistaminen ADUC kautta Käynnistä ADUC ja käy Hallinto OU:ssa resetoimassa Hemmo Heinosen salasana japoista tilin lukitus  (klikkaa hiiren oikealla, kirjoita uusi salasana P@ssword ja ruksaa Unlock the user's account, ja klikkaa uudelleen oikealla, valitse Enable...) Varmista toiminta kirjautumalla työasemalle käyttäjäjän tunnuksella. Tulos: vaatii vaihtamaan salasanan (P@ssw9rd) TOIMII!

 

23

12. Käyttäjän salasanan resetointi dsmod komennolla Käynnistä komentokehote ja kirjoita seuraava komento ilman rivinvaihtoja ja paina Enter:dsmod user "cn=Miia Maksimainen,OU=Markkinointi,OU=Helsinki, OU=Sfield,DC=springfield,DC=local" -disabled no -pwd S@lasana1 -mustchpwd no Varmista toiminta kirjautumalla työasemalle käyttäjän tunnuksella

Tulos: dsmod succeeded, kirjautuminen uudella sanasanalla onnistui.13. Käyttäjän salasanan resetointi tilin lukituksen poistaminen PowerShell komennolla Avaa Windows PowerShell Kirjoita seuraavat rivit. Paina Enter joka rivin jälkeen. Rivinvaihto luettelomerkin kohdalla. $objUser=[ADSI]"LDAP://CN=MiiaMaksimainen,OU=Markkinointi,OU=Helsinki,OU=Sfield,DC=springfield,DC=local" $objUser.SetPassword("P@ssw0rd1") $objUser.psbase.InvokeSet('AccountDisabled',$false) $objUser.SetInfo() Varmista toiminta kirjautumalla työasemalle käyttäjän tunnuksella

Tulos: uusi salasana toimii!

14. Käyttäjän salasanan resetointi ja tilin lukituksen poistaminen VBScript komennolla Avaa Muistio ja kirjoita seuraavat rivit: Rivinvaihto luettelomerkin kohdalla. Set objUser=GetObject("LDAP://CN=MiiaMaksimainen,OU=Markkinointi,OU=Helsinki,OU=Sfield,DC=springfield,DC=local") objUser.AccountDisabled=FALSE objUser.SetPassword "P@ssw0rd" objUser.SetInfo Tallenna scripti Documents kansioon nimellä “changepwd.vbs” Avaa komentokehote ja siirry Documents kansioon Suorita scripti kirjoittamalla komento cscript.exe changepwd.vbs. Varmista toiminta kirjautumalla työasemalle käyttäjän tunnuksella

Tulos: toimii!!!!

 

15. Käyttäjän salasanan disablointi ja enablointi Active Directory Users and Computers kautta Käynnistä ADUC ja käy Hallinto OU:ssa disabloimassa Hemmo Heinosen tunnus (klikkaa oikealla, valitse Disable account) Yritä kirjautua työasemalle Hemmo Heinosen tunnuksella. Tulos: Your account has been disabled... Käynnistä ADUC ja käy Hallinto OU:ssa enabloimassa Hemmo Heinosen tunnus. Tulos: Toimii taas.

24

 

16. Käyttäjän tunnuksen disablointi dsmod komennollaTunnuksen disabloimiseksi käynnistä komentokehote ja kirjoita seuraava komento ilman rivinvaihtojaja paina Enter: dsmod user "cn=Hemmo Heinonen,ou=Hallinto,ou=Helsinki, ou=Sfield,dc=springfield,dc=local" -disabled yes. Tulos: dsmod succeeded. Yritä kirjautua työasemalle Hemmo Heinosen tunnuksella, salasana P@ssw9rd. Tulos: Your account has been disabled...

 

17. Käyttäjän tunnuksen enablointi dsmod komennollaTunnuksen enaboimiseksi käynnistä komentokehote ja kirjoita seuraava komento ilman rivinvaihtojaja paina Enter: dsmod user "cn=Hemmo Heinonen,ou=Hallinto,ou=Helsinki, ou=Sfield,dc=springfield,dc=local" -disabled no. Tulos: dsmod succeeded. Kirjaudu työasemalle Hemmo Heinosen tunnuksella. Tulos: toimii!

HARJOITUS 8:

 

Tavoite Ryhmien luonti Dsadd, DSVDE ja LDIFDE komennoilla Ryhmäjäsenyyksien muokkaaminen Dsmod, LDIFDE, PowerShell ja VBScript avulla Ryhmäjäsenyyksien listaaminen Dsget komennolla Ryhmien siirto ja poistaminen Dsmove ja Dsrm komennoilla

 

TehtäväWindows Server 2008 R2 palvelin Server01 on asennettu. Windows 7 työasema, on myös asennettu ja liitettytoimialueeseen. Palvelimen ja toimialueen Administrator -käyttäjätunnuksen salasana on P@ssw0rd. Työasemallekirjautuminen toimialueen käyttäjätunnuksilla, salasanalla P@ssw0rd.1. Ryhmän luonti Dsadd -komennollaRyhmän Laskutus luonti ja ominaisuuksien määrittely Dsadd komennolla Avaa komentokehote ja kirjoita seuraava komento ja paina Enterdsadd group "CN=Laskutus,OU=Groups,DC=springfield,DC=local" -samid Laskutus -secgrp yes -scope g

25

Varmista ADUC kautta, että sait luotua ryhmän. Päivitys F5.2. Ryhmän ja ryhmän jäsenten luonti CSVDE -komennolla Avaa Muistio ja kirjoita seuraavat rivit: Yksi luettelomerkki on yksi rivi, mutta ÄLÄ kirjoitaluettelomerkkejä. objectClass,sAMAccountName,DN,member group,Kunnossapito,"CN=Kunnossapito,OU=Groups,DC=springfield,DC=local","CN=Timo Tiira,OU=Tuotanto,OU=Helsinki,OU=Sfield,DC=springfield,DC=local;CN=Tero Turunen,OU=Tuotanto,OU=Helsinki,OU=Sfield,DC=springfield,DC=local" Tallenna tiedosto Documents kansioon nimellä Importgroups.csv. Avaa komentokehote Siirry Documents -kansioon komennolla cd Documents Kirjoita seuraava komento ja paina Enter.csvde -i -f "importgroups.csv" Varmista ADUC kautta, että sait lisättyä käyttäjät ryhmään. Päivitys F5. Tulos: onnistui. Oltava tarkkana polkujen kanssa (Helsinki löytyy Sfield OU:n alta, mutta Kunnossapito on Groupseissa)

 

3. Ryhmän jäsenyyksien muokkaaminen LDIFDE -komennollaCSVDE -komennolla ei voi muokata olemassa olevien ryhmien jäsenyyksiä, mutta LDIFDE -komennollavoi muokata.Seuraavassa muokataan Kunnossapito -ryhmän jäsenyyksiä siten, että lisätään ryhmään Taru Tervosekä poistetaan ryhmästä Tero Turunen. Avaa Muistio ja kirjoita seuraavat rivit (kirjoita tavuviiva kummankin blokin jälkeen):dn: CN=Kunnossapito,OU=Groups,OU=Sfield,DC=springfield,DC=localchangetype: modifyadd: membermember: CN=Taru Tervo,OU=Tuotanto,OU=Helsinki,OU=Sfield,dc=springfield,dc=localmember: CN=Tarja Tarus,OU=Tuotanto,OU=Helsinki,OU=Sfield,dc=springfield,dc=local

- Tallenna tiedosto Documents kansioon nimellä membershipchange.ldf Siirry Documents -kansioon komennolla cd Documents Kirjoita seuraava komento ja paina Enter.ldifde -i -f "membershipchange.ldf" Varmista ADUC kautta, että sait lisättyä ja poistettua käyttäjät Kunnossapito -ryhmästä.Päivitys F5. Sen pitäisi nyt sisältää jäsenet Tero Turunen, Taru Tervo, Tarja Tarus ja Timo Tiira

26

 

4. Käyttäjän lisääminen ryhmään Dsmod –komennollaLisätään Hilkka Huovinen Laskutus -ryhmään Dsmod -komennolla Avaa komentokehote ja kirjoita seuraava komento ja paina Enterdsmod group "CN=Laskutus,OU=Groups,DC=springfield,DC=local"-addmbr "CN=Hilkka Huovinen,OU=Hallinto,OU=Helsinki,OU=Sfield,DC=springfield,DC=local" Varmista ADUC kautta, että sait lisättyä käyttäjän Hilkka Huovinen Laskutus -ryhmään. Päivitys F5. Tulos: dsmod succeeded.

5. Ryhmän jäsenten tarkastelu Dsget –komennollaSeuraavilla komennolla voit nähdä ryhmien jäsenet ja ryhmät joiden jäsenenä käyttäjä on. Avaa komentokehote Näytä Kirjanpito -ryhmän jäsenet kirjoittamalla seuraava komento ja paina Enter.dsget group "CN=Laskutus,OU=Groups,DC=springfield,DC=local" -members Näytä Kunnossapito -ryhmän jäsenet kirjoittamalla seuraava komento ja paina Enter.dsget group "CN=Kunnossapito,OU=Groups,OU=Sfield,DC=springfield,DC=local" -members Näytä lista ryhmistä joiden jäsenenä Hilkka Huovinen on kirjoittamalla seuraava komento ja painaEnter.dsget user "CN=Hilkka Huovinen,OU=Hallinto,OU=Helsinki,OU=Sfield,DC=springfield,DC=local" -memberof Näytä lista ryhmistä joiden jäsenenä Administrator on kirjoittamalla seuraava komento ja painaEnter.dsget user "CN=Administrator,CN=users,OU=Sfield,DC=springfield,DC=local" -memberof Näytä täydellinen lista ryhmistä ja niiden jäsenistä, joiden jäsenenä Hilkka Huovinen onkirjoittamalla seuraava komento ja paina Enter.dsget user "CN=Hilkka Huovinen,OU=Hallinto,OU=Helsinki,OU=Sfield,DC=springfield,DC=local" -memberof -expand komennolla dsget user /? voit nähdä mitä eri parameterilla saa näytettyä.

 

 

 

 

27