Lumic Co. Windows palvelinympäristö yritykselle. Eerik Kuoppala G9024 Mikko Jokinen G8189 Samuli Torikka G9010 Tuomas Suvela H3719

Transkriptio

1 Lumic Co. Windows palvelinympäristö yritykselle Eerik Kuoppala G9024 Mikko Jokinen G8189 Samuli Torikka G9010 Tuomas Suvela H3719 Tietotekniikan koulutusohjelma Tekniikan ja liikenteen ala

2 1 Sisällys Lyhenteet Johdanto Yrityksen tiedot Organisaatiorakenne Yrityksen laitteisto Suunnittelua tukeva teoria Aktiivihakemisto (AD) Metsät, puut & organisaatioyksiköt Ohjainpalvelin Toimialue Toimipaikka Toiminnallisuustaso DNS DHCP Ryhmät Group Scope (Ryhmän toiminta-ala) Group type (Ryhmän tyyppi) Sisäkkäiset ryhmät (Group nesting) Ryhmäkäytänteet Tiedosto- ja levyjako File and Storage Services Käyttöoikeudet Tulostinpalvelut Ympäristön suunnittelu Aktiivihakemisto (AD) DNS... 24

3 2 4.3 DHCP Ryhmät Ryhmäkäytänteet Levyjaot Reititys Tulostinpalvelut Toteutus Reitittimien toteutus Lumicco.fi Jkl.Lumicco.fi Aktiivihakemiston toteutus Lumicco.fi Jkl.Lumicco.fi DNS toteutus Lumicco.fi Jkl.Lumicco.fi DHCP toteutus Lumicco.fi Jkl.Lumicco.fi Organisaatioyksiköiden ja ryhmien toteutus Lumicco.fi Jkl.lumicco.fi Ryhmäkäytänteiden toteutus Lumicco.fi Jkl.Lumicco.fi Levyjakojen toteutus Lumicco.fi Jkl.Lumicco.fi Tulostinpalveluiden toteutus Toisen ohjainpalvelimen nostaminen... 55

4 6 Yhteenveto Lähteet KUVIOT Kuvio 1. Looginen topologia Kuvio 2. Vanhempidomain ja lapsidomain Kuvio 3. Internetin verkkotunnusten rakenne (Dostálek & Kabelová, 2006) Kuvio 4. Käänteishaussa käytettävä verkkotunnusten rakenne (Dostálek ym., 2006) Kuvio 5. DHCP:n toiminta Kuvio 6. Looginen topologia Kuvio 7. Paikallisen domainin ryhmät Kuvio 8. Levyjaot Kuvio 9. Fyysinen topologia Kuvio 10. Reititin eth Kuvio 11. Reititin eth Kuvio 12. Lapsidomain eth Kuvio 13. Lapsidomain eth Kuvio 14. Konfiguroinnin aloitus Kuvio 15. Lapsidomainin luonti Kuvio 16. DNS forwarders Kuvio 17. DNS reverse zone lumicco.fi Kuvio 18. DNS reverse zone jkl.lumicco.fi Kuvio 19. DNS ping & nslookup Kuvio 20. DNS ping & nslookup Kuvio 21. JKL Reverse lookup zone Kuvio 22. JKL Nslookup Kuvio 23. Traceroute Tampereelle Kuvio 24. DHCP Pool Kuvio 25. DHCP renew Kuvio 26. JKL DHCP-scope Kuvio 27. JKL DHCP-scopen lisäasetukset Kuvio 28. Palvelimen authorisointi Kuvio 29. JKL DHCP:n toiminta Kuvio 30. Kenttätyö OU Kuvio 31. IT OU JKL Kuvio 32. GPO salasana Kuvio 33. GPOt... 44

5 Kuvio 34. Asennuspaketin jako Kuvio 35. Käytänteitä Kuvio 36. Chrome salasana käytänteet Kuvio 37. Chrome salasanat Kuvio 38. Aloitussivun vaihto ei onnistu Kuvio 39. Chrome aloitussivu Kuvio 40. Taustakuva-asetukset Kuvio 41. Laskutuksen työpöytä Kuvio 42. Laskutuskäyttäjän taustakuva Kuvio 43. Asennustiedoston sijainti Kuvio 44. Laskutus haluaa Aspaan Kuvio 45. Laskutus Johtoon Kuvio 46. Tampereen Aspa Jyväskylän Aspassa Kuvio 47. Jyväskylän fileserver Kuvio 48. Laskutuksella ei oikeuksia Kenttätyöhön Kuvio 49. Jyväskylän Laskutus Tampereen Laskutuksessa Kuvio 50. Tulostin asennettuna Kuvio 51. Tulostimen linkittäminen Kuvio 52. Tulostimen ryhmäkäytänteet Kuvio 53. Tulostin valmiina Kuvio 54. Ohjainpalvelimen nosto Kuvio 55. DC:n replikointi Kuvio 56. Toinen DHCP-scope TAULUKOT Taulukko 1. Tampereen henkilöstö... 7 Taulukko 2. Jyväskylän henkilöstö... 7 Taulukko 3. Tampereen laitteisto... 8 Taulukko 4. Jyväskylän laitteisto... 8 Taulukko 5. Group scope Taulukko 6. Tampereen IP-osoitteet Taulukko 7. Jyväskylän IP-osoitteet Taulukko 8. Ryhmät Taulukko 9. Käyttäjätunnusten nimeämiskäytäntö... 26

6 5 Lyhenteet AD AD DS ACL ACE DC DHCP DNS GPO IP OU WAN TTL Active Directory, Aktiivihakemisto Active Directory Domain Services Access Control List Access Control Entry Domain Controller, ohjainpalvelin Dynamic Host Configuration Protocol Domain Name System Group Policy Object, ryhmäkäytänteen objekti Internet Protocol Organization Unit, organisaatioyksikkö Wide Area Network Time to live

7 6 1 Johdanto Harjoitustyön aiheena on perustaa kuvitteellinen yritys, jolle suunnitellaan Windowspalvelinympäristö. Tässä työssä ympäristöön kuuluu kaksi toimipistettä joiden välillä kulkee WAN (Wide Area Network)-linkki. Linkki on toteutettu virtuaalisesti JAMK:n Labranet-ympäristössä. Harjoitustyön tavoitteena on mahdollistaa käyttäjien keskitetty hallinta, verkkotallennustila, verkkotulostimet. Kaikki näistä on määritettävissä osastokohtaisesti eri käyttäjille. Harjoitustyö kuuluu opintojaksoon Palvelinkäyttöjärjestelmät ja arkkitehtuurit %20&lan=f 2 Yrityksen tiedot Yrityksen nimi on Lumic Co ja yrityksenä se on keskisuuri. Toimiala on Perintätoimisto ja toimipaikat sijaitsevat Tampereella ja Jyväskylässä. Tarkempi sijainti Tampereella on Teiskossa ja Jyväskylässä Kuokkalassa. Työntekijöitä yrityksessä on yhteensä Organisaatiorakenne Yritykseen kuuluu muun muassa niin johtoporras, asiakaspalvelu kuin itse kenttätyöntekijätkin. Molemmissa toimipaikoissa suoritetaan samoja työtehtäviä. Ainoana erona on, että Tampereella sijaitsee yrityksen toimitusjohtaja ylimmässä johdossa. Lisäksi molemmissa toimipisteissä työnjohdon alla, muun työn ohella, työskentelee 2 IT-tukihenkilöä. Taulukossa 1 on eritelty erikseen Tampereen toimipisteen henkilöstöjen lukumäärät.

8 7 Taulukko 1. Tampereen henkilöstö Henkilöstö, Tampere Ylin johto (Toimitusjohtaja) Työnjohto Laskutus Asiakaspalvelu Kenttätyöntekijät 1 hlö 10 hlö 20 hlö 10 hlö 10 hlö Seuraavaksi taulukossa 2 on eritelty Jyväskylän toimipisteen henkilöstöjen lukumäärät. Taulukko 2. Jyväskylän henkilöstö Työnjohto Laskutus Asiakaspalvelu Kenttätyöntekijät Henkilöstö, Jyväskylä 10 hlö 18 hlö 8 hlö 7 hlö 2.2 Yrityksen laitteisto Molemmat toimipisteet omistavat yhden pääreitittimen, minkä kautta liikenne kulkee ulkoverkkoon. Tätä kautta myös yrityksen toimipaikkojen välinen liikenne kulkee. Yrityksen tuottaman voiton ansiosta käytössä on uusimmat Windows Server 2012 R2 järjestelmät. Windows Client koneille IP (Internet Protocol)-osoitteet tulevat DHCP (Dynamic Host Configuration Protocol)-palvelun kautta. Tampereen toimipisteellä toimitusjohtajan koneelle on vaatimuksista määritetty staattinen eli kiinteä IP-osoite. Reitittimien eth0 rajapintaan asetetaan WAN IP-osoitteet. Seuraavaksi esitellään sekä Tampereen että Jyväskylän toimipisteiden laitteisto. Ensimmäisenä on taulukoitu Tampereen toimipiste taulukossa 3.

9 8 Taulukko 3. Tampereen laitteisto Tampereen toimipiste Domain: lumicco.fi Laite Käyttöjärjestelmä Palvelu/toiminto MAC-osoite IP-osoite DC1 Server 2012 R2 DHCP, DNS, AD DC2 Server 2012 R2 Backup DC File Server 1 Server 2012 R2 Tietokanta, Tulostus Windows 8 Client Windows Windows 7 Client Windows 7 Linux Reititin CentOS 6 Reititys eth0: eth1: Toisena taulukoidaan Jyväskylän toimipisteen laitteisto taulukossa 4. Taulukko 4. Jyväskylän laitteisto Jyväskylän toimipiste Domain: jkl.lumicco.fi Laite Käyttöjärjestelmä Palvelu/toiminto MAC-osoite IP-osoite DC1 Server 2012 R2 DHCP, DNS, AD DC2 Server 2012 R2 Backup DC Fileserver 2 Server 2012 R2 Tietokanta, Tulostus Windows 8 Client Windows 8.1 Windows 7 Client Windows 7 Linux Reititin CentOS 6 Reititys eth0: eth1:

10 9 3 Suunnittelua tukeva teoria 3.1 Aktiivihakemisto (AD) Active Directory (AD) -palvelinroolin tehtävänä on hallita ja tarjota tietokanta, josta löytyy tiedot verkossa olevista peruskäyttäjistä ja tietokoneista, palveluista kuten DHCP ja muista verkon käytössä olevista resursseista, kuten esimerkiksi tulostin- ja tiedostopalvelut. Active Directory Domain Services (AD DS) on Microsoftin kehittämä palvelu. Sillä voidaan luoda helposti hallittavissa ja skaalattavissa oleva, sekä turvallinen rakenne käyttäjien- ja resurssienhallintaan. (What Are Domains and Forests? 2014) Metsät, puut & organisaatioyksiköt AD muodostaa verkosta hierarkkisen rakenteen, eli loogisen topologian. Topologia sisältää metsät, puut toimialueineen sekä organisaatioyksiköt (Organizational Units, OU) toimialueiden sisällä. Topologiassa koostuu lehtiobjekteista (Leaf object) ja säiliöobjekteista (container object). Lehtiobjektilla ei ole lapsiobjekteja ja tällöin käsittää vain itsensä, kun taas säiliöobjekti sisältää muita lapsiobjekteja. Ylimpänä loogisessa topologiassa on metsä, joka on säiliöobjekti. Metsät toimivat koko verkon rajana ja voivat sisältää useita toimialuepuita (Ks. kuvio 1.). Metsän ensimmäinen, eli ylin toimialue on metsän root toimialue, eli juuri. Metsä on myös verkon turvallisuusraja, koska AD:n tietokannat jaetaan vain metsän sisällä. Metsän jälkeen loogisessa topologiassa tulevat vastaan toimialuepuut. Puut koostuvat useista toimialueesta, jotka sijoittuvat puuhun hierarkkisesti (Ks. kuvio 1.). (What Are Domains and Forests? 2014) Organisaatioyksiköt ovat toimialueiden sisällä olevia hierarkkisia organisaatioita jotka auttavat ryhmittelemään toimialueiden objekteja. Organisaatioyksiköt ovat kuin

11 10 käyttäjäryhmiä ja toimivat omina hakemistoina. Ne täytyy luoda kerralla tietynlaiseksi ja ei saa muokata jälkikäteen koska se on hyvin työlästä ja voi aiheuttaa ongelmia. (Organizational Units, 2015.) Kuvio 1. Looginen topologia Ohjainpalvelin Rantosen (2015) mukaan ohjainpalvelin toimii aktiivihakemiston palveluiden tarjoilijana. Se sisältää aktiivihakemiston datan autentikoinnista, palveluista ja pääsyn verkon resursseihin. DC:n (ohjainpalvelin) käyttöjärjestelmänä pyörii Windows Server.

12 Toimialue Aktiivihakemisto koostuu yhdestä tai useammasta toimialueesta eli domainista. Niiden päätavoite on luoda looginen verkon rakenne. Jokainen domaini vaatii ainakin yhden DC:n, jonka luomalla verkkoon, luo myös domainin, jos sitä ei ole jo olemassa. Toisen DC:n voi luoda varalle jos ensimmäiseen katoaa yhteys tai menee rikki. Ensimmäistä domainia kutsutaan toimialueen juureksi tai vanhemmaksi. Sillä voi olla myös useita lapsia ja lapsenlapsia. Kun lapsi on luotu, se luo kaksisuuntaisen luottamussuhteen. Jolloin vanhempi ja lapsi voivat päästä toistensa resursseihin. (Active Directory Architecture 2015.) Kuvio 2 havainnollistaa että lapset saavat vanhemman nimen ja sen alkuun omansa. Kuvio 2. Vanhempidomain ja lapsidomain Domainien niminä käytetään DNS (Domain Name System)-nimiä. Ne voidaan luokitella toimipaikoittain (Active Directory Architecture 2015).

13 12 Domainien sisäinen replikointi tarkoittaa toimialueen ohjaimien tiedostojen synkronointia jolloin ne pysyvät ajantasalla jos esimerkiksi DC hajoaa. Toisin sanoen, replikointi tapahtuu toimipaikan sisällä. (Replication within a site 2015.) Toimipaikka Toimipaikka määrittää fyysisten laitteiden sijainnit. Toimipaikkojen sijainnit määritetään loogisilla IP aliverkoilla. Ne auttavat löytämään lähimmälle DC:lle oman aliverkkonsa avulla vähentäen liikenteen toisille paikkakunnille. (Active Directory 2015.) Esimerkiksi jos kuviossa 2 firm.fi sijaitsee Tampereella ja lapsi.firm.fi Jyväskylässä, IP aliverkot kertovat toimialueidensa laitteiden fyysiset sijainnit ja näin työskentelevät omissa lähiverkoissaan. Toimipaikoille määritetään omat WAN-linkit. Toimipaikkojen välillä täytyy myös synkronoida tiedostot toimipaikkojen välisellä replikoinnilla näiden WAN-linkkien yli. (Replication within a site 2015.) Toiminnallisuustaso Rantosen (2015) mukaan toiminnallisuustaso kertoo mitä eri Windows Serverin käyttöjärjestelmiä DC:t voivat käyttää. Esimerkiksi Windows Server 2008 taso kertoo että sekä vanhat uudet käyttöjärjestelmät käyvät verkossa. Toimialueiden toiminnallisuustason nostaminen lisää ominaisuuksia domainin sisällä jos on uudempia käyttöjärjestelmiä. Metsän toiminnallisuustason nostaminen lisää ominaisuuksia joka domainissa metsän sisällä. Tasoa ei voi laskea enää joten toimialueiden ohjaimien täytyy tukea uutta tasoa toimiakseen. 3.2 DNS Koska ihmisen on hankala muistaa IP-osoitteita, on sitä vastaamaan kehitetty verkkotunnus (domain name). DNS tarkoittaa järjestelmää, joka kääntää verkkotunnukset IP-osoitteiksi ja toisinpäin. Sen tietokanta on jaoteltu eri alueisiin

14 (zone), jotka sijaitsevat sen tietyn alueen nimipalvelimella. Tietokanta koostuu Resource Recordeista (RR), jotka sisältävät tiedon verkkotunnuksia vastaavista IP-osoitteista. 13 Internetissä verkkotunnukset on jaettu ryhmiin, jotka muodostavat puumaisen rakenteen. Ylimpänä (juurena) on piste (. ). Siitä seuraava kerros on ylätaso (Top Level Domain), jossa on esimerkiksi fi ja com (Ks. Kuvio 3). Ylätaso jakautuu taas aliverkkotunnuksiksi joita kutsutaan domaineiksi, esimerkiksi company.com. (Ks. Kuvio 3). Myös aliverkkotunnus voidaan jakaa alempiin kerroksiin, jotka voivat olla kyseisen yrityksen eri osastoja, esimerkiksi sec.company.com. (Ks. Kuvio 3). Kuvio 3. Internetin verkkotunnusten rakenne (Dostálek & Kabelová, 2006). Kun taas selvitetään tiettyä IP-osoitetta vastaava nimi, prosessi on nimeltään käänteishaku. Tässä tapauksessa puun juurena on in-addr.arpa ja sen alle alemmat tasot rakentuvat rekursiivisesti. Tasot muodostuvat IP-osoitteen mukaan käänteisessä järjestyksessä (Ks. Kuvio 4). (Dostálek ym., 2006.)

15 14 Kuvio 4. Käänteishaussa käytettävä verkkotunnusten rakenne (Dostálek ym., 2006). Nimipalvelin voi olla joko resolveri tai autoritäärinen. Resolveri etsii nimipalvelukyselyyn vastausta juurivihjetiedostoon määritellyiltä nimipalvelimilta käyttäen rekursiivista hakua. Vastaukset tallennetaan välimuistiin TTL-kentän (Time to live) määrittämäksi ajaksi, kunnes se pitää taas hakea uudelleen. Autoritäärinen nimipalvelin taas on se joka vastaa resolvereille tai muille kyselyille. Ensisijaiselle (primary) nimipalvelimelle tallennetaan nimitiedot josta ne sitten haetaan toissijaiselle (secondary) nimipalvelimelle. Molemmat palvelimet kuitenkin pystyvät vastaamaan nimikyselyihin. (Lowe, 2013.) 3.3 DHCP Yksinkertaisimmillaan selitettynä DHCP jakaa tietokoneille IP-osoitteita. Näin koneille ei tarvitse asettaa niitä käsin päästäkseen verkkoon. Nyt kun miettii suuria verkkoja, niin

16 15 DHCP helpottaa verkon hallintaa huomattavasti. Jokaiselle uudelle koneelle ei tarvitse määrittää käsin uutta IP-osoitetta. DHCP tekee myös muutakin, kuin antaa IP-osoitteen. Sen kautta tietokone saa muun muassa aliverkon peitteen, default-gatewayn eli oletusyhdyskäytävänsä ja nimipalvelimensa (DNS). DHCP toimii siis niin, että kun kone liittyy verkkoon, se luo DHCP-Discover kyselyn. DHCP palvelin tarjoaa (DHCP-Offer) etukäteen määritetystä DHCP-osoiteavaruudesta varaamattoman IP-osoitteen. Tietokone hyväksyy sen (DHCP-Request) ja palvelin kuittaa viestillä DHCP-Ack. DHCP:n osoitteen antamiseen liittyy myös muita asetuksia, kuin mitä edellä mainitut. Annetulle IP-osoitteelle määritetään esimerkiksi vanhenemisaika. Kun vanhenemisaika umpeutuu, täytyy verkossa olevan koneen pyytää IP-osoitetta uudelleen. (Rantonen 2015) Kuviossa 5 on DHCP:n toiminta. Kuvio 5. DHCP:n toiminta Laajempia verkkoja ajatellessa ja niihin DHCP:tä suunnitellessa täytyy muistaa, että DHCP ei reitity eli ei kulje reitittimen läpi. Se voi olla ongelma esimerkiksi kahden toimipisteen firmassa, jossa toimipisteet ovat eri domaineissa ja niiden välissä on WANlinkki. Ongelmia koituu silloin, jos topologia halutaan toteuttaa vain yhdellä DHCPpalvelimella. Jos käytetään kahta DHCP-palvelinta, niin silloin ne voidaan sijoittaa

17 16 molemmat eri toimipisteille. Silloin ne jakaisivat osoitteita omassa verkossaan ja ongelmaa ei olisi. Yhdellä DHCP palvelimellakin kuitenkin toteutus onnistuu. Tämä onnistuu DHCP-helper:n tai IP-helper avulla. Reitittimen asetuksiin on vain konfiguroitava tarvittavat asetukset. (Verkkosivusto Webopas 2012) 3.4 Ryhmät Ryhmä yhdistää käyttäjät ja tietokoneet yhdeksi hallittavaksi objektiksi. Tämä helpottaa suurten käyttäjämäärien hallintaa huomattavasti. Ryhmiä voidaan luoda eri osa-alueita varten ja siirtää niihin käyttäjät. Ryhmille voidaan määrittää oikeuksia, mikä taas vaikuttaa suoraan käyttäjiin. Tällä tavoin ei tarvitse erikseen määrittää yksitellen jokaiselle käyttäjälle oikeuksia. Yksittäinen käyttäjä on ryhmässä ryhmän jäsen. Ryhmiä voi olla hakemistopohjaisena (Aktiivihakemistossa) tai paikallisesti tietokoneella. Nyt kuitenkin perehdytään hakemistopohjaisiin ryhmiin, koska aihealueena on aktiivihakemiston ympäristö. Aktiivihakemistossa sijaitsevat ryhmät ovat hakemistokohteita. Ne voivat sijaita itse domainin sisällä tai organisaation alajaostoissa. Tehtäessä aktiivihakemistoa, sinne luodaan myös joukko ryhmiä oletuksena. Näitä ryhmiä ovat muun muassa Järjestelmänvalvojat (Administrators), Vieraat (Guests) ja Käyttäjät (Users). Valmiiksi luotuja ryhmiä voi käyttää, mutta itse luodulle ryhmälle voidaan asettaa se vastaamaan paremmin omia toiveita. Ryhmät on luonnehdittu niiden toiminta-alan ja tyypin perusteella. - Ryhmän toiminta-ala määrittelee kuuluuko ryhmä domainiin vai metsään. - Ryhmän tyyppi määrittelee oikeuksia määrittelevän ryhmään (Security groups) tai voiko ryhmää käyttää sähköpostilistojen levittämistä varten (Distribution groups). (Groups, 2015)

18 Group Scope (Ryhmän toiminta-ala) Group scope eli siis ryhmän toiminta-ala määrittelee, kuuluuko ryhmä domain vai metsä tasolle. Toiminta-aloja on kolmea erilaista: Universal(Universaali), global (Globaali/Yleinen) ja domain local(paikallinen Domain). Taulukossa 5 esitellään edellä mainitut group scopet. Taulukko 5. Group scope Group scope Universal Global Domain local Ryhmään sisältyvät jäsenet - Tunnukset mistä vain domainista metsässä - Yleiset ryhmät mistä vain domainista metsässä - Universaalit ryhmät mistä vain domainista metsässä - Tunnukset samasta domainista kuin globaali isäntäryhmä - Globaalit ryhmät samasta domainista kuin globaali isäntäryhmä - Tunnukset mistä vain domainista - Globaalit ryhmät mistä vain domainista -Universalit ryhmät mistä vain domainista - Doman local ryhmät (vain samasta domainista kuin isäntäryhmä) Ryhmään asetettavat rajoitukset - Missä vain domainissa tai metsässä - Jäsenten oikeuksia voi säätää missä vain domainissa - Vain samassa domainissa isäntäryhmän kanssa Group scopen voi vaihtaa: - Domain local:in - Global:in - Universal:ksi (ei saa olla muun globaalin ryhmän jäsen) - Universal:ksi (kunhan muita domain local ryhmiä ei ole jäsenenä Kullakin edellä mainitulla ryhmällä on omat käyttötarkoituksensa, jotka seuraavaksi esitellään. Paikallisen domainin ryhmät eli domain local-ryhmät määrittelevät ja sallivat

19 18 pääsyä yksittäisen domainin resursseihin. Esimerkiksi jos halutaan sallia tulostusmahdollisuus tietyille käyttäjille, voidaan luoda Tulostus -ryhmä ja lisätä kyseiset käyttäjät siihen. Globaalit ryhmät eivät kopioidu oman domaininsa ulkopuolelle. Globaaleja ryhmiä on hyvä käyttää esimerkiksi sellaisten hakemistojen kanssa, jotka voivat vaatia paljon ylläpitoa. Näitä ovat esimerkiksi käyttäjät ja tunnukset. Määriteltäessä domainissa oikeuksia hakemistokohteisiin jotka kopioidaan yleiseen katalogiin (global catalog), on suositeltavaa käyttää globaaleja ryhmiä tai universaaleja ryhmiä paikallinen domainryhmien sijaan. Universaaleja ryhmiä voi käyttää yhdistämään ryhmiä, jotka käsittävät useampia domaineja. Yksi tapa on, että asettaa tunnukset globaaliin ryhmään ja sitten siirtää nämä ryhmät jonkin universaalin ryhmän sisälle. Tällä tavoin jäsenyyden muutos globaalissa ryhmässä ei vaikuta universaaliin ryhmään. (Group scope, 2015) Group type (Ryhmän tyyppi) Kuten aikaisemmin mainittiin, ryhmät kasaavat käyttäjiä ja tietokoneita sekä muita ryhmien tunnuksia hallittaviksi kokonaisuuksiksi. Aktiivihakemistossa on kaksi tärkeää ryhmätyyppiä: Security ja Distribution. Security ryhmien avulla voidaan antaa ryhmään kuuluville oikeuksia tai rajoittaa niitä. Ryhmien kanssa on kuitenkin oltava tarkka, ettei vääriä oikeuksia tai rajoitteitta anneta väärille henkilöille. Ensinnäkin, security-ryhmien avulla voi antaa käyttäjille oikeuksia aktiivihakemistossa. Käyttäjän oikeudet asetetaan security-ryhmässä, jotta voidaan määritellä, mitä käyttäjät voivat tehdä kyseisessä domainissa tai jopa metsässä. Käyttäjien oikeuksia securityryhmissä voi määritellä ryhmäkäytänteiden avulla. Esimerkki: Käyttäjä Varmuuskopioinnin hallinta ryhmässä voi varmuuskopioida ja palauttaa tiedostoja toimialueen jokaisessa ohjaimessa. Tämä onnistuu siksi, koska ryhmien Tiedostojen varmuuskopiointi ja Tiedostojen palautus oikeudet määritellään automaattisesti myös Varmuuskopioinnin hallinta ryhmään.

20 19 Security ryhmien avulla voi antaa myös käyttöoikeuksia tiettyihin resursseihin, kuten kansioihin ja tiedostoihin. Käyttöoikeuksia ei saa sekoittaa oikeuksiin. Käyttöoikeudet annetaan esimerkiksi jaettuihin resursseihin. Käyttöoikeuksilla määritellään, kuka näitä resursseja voi käyttää ja millaisilla pääsyoikeuksilla. Pääsyoikeuksia voi olla esimerkiksi Täydellinen hallinta tai Vain luku. Kuten muidenkin ryhmien kanssa, on suositeltavaa asettaa myös käyttöoikeudet security ryhmälle yksittäisten käyttäjien sijaan. Keskitetty hallinta helpottaa koko verkon hallintaa. (Group type, 2015) Sisäkkäiset ryhmät (Group nesting) Aktiivihakemistossa on mahdollista laittaa ryhmiä toisten ryhmien sisälle. Sen avulla voi yhdistää jäsentunnuksia ja vähentää replikointiin kuluvaa liikennettä. Kun ryhmä yhdistetään toiseen ryhmään, yhdistettävä ryhmä perii isäntäryhmältään oikeudet. (Nesting groups, 2015) Ryhmäkäytänteet Ryhmäkäytänteiden avulla määritetään käyttöjärjestelmän asetuksia ja pakotteita tietokoneille ja käyttäjille aktiivihakemistossa. Ryhmäkäytänteillä voidaan muokata käyttäjän ulkoasua esimerkiksi teeman tai taustakuvan vaihto, ei saa käyttää ohjauspaneelia, poistaa ohjelmia, luoda tiedostojen jakoa, tehdä kirjautumisskriptejä, jne. Tietyt ohjelmat saadaan asennettua jokaiselle ja asetettua tietyt säännöt salasanojen ylläpitämiselle. Vaikka nimessä puhutaan ryhmistä, käytänteet eivät liity mitenkään niihin. (Rantonen, 2015.) Käytänteet voidaan liittää paikallisesti tietokoneisiin ja käyttäjiin, mutta niihin ei pääse käsiksi suoraan ohjainpalvelimelta vaan joudutaan yksitellen käymään jokainen tietokone läpi. Ohjainpalvelimelta voidaan laittaa kerralla käytänteet toimipaikoille, toimialueille ja organisaatioyksiköille. Hyötynä on se että yhden asetuksen määrittäminen tapahtuu monelle käyttäjälle yhtaikaa. (Group Policy for Beginners, 2011.) GPO (Group Policy Object) sisältää määritetyt tietokoneen ja käyttäjän asetukset. Kun AD DS on asennettu, seuraavat GPOt luodaan oletuksena: Default Domain Controller

21 20 Policy ja Default Domain Policy (Group Policy for Beginners, 2011). GPOn asetukset prosessoidaan määrätyssä järjestyksessä LSDOU (Local-Site-Domain-OU). Eli ensin käydään läpi paikalliset, toimipaikat, toimialueet ja lopuksi organisaatioyksiköiden asetukset. Jos organisaatioyksikön sisällä on toinen OU, se käydää viimeisenä. Jos eri paikoissa on konflikti asetuksilla eli sama asetus löytyy vähintään kahdesta eri paikasta, viimeisenä käydyn paikan asetukset otetaan voimaan. (Rantonen, 2015.) Konflikteja kannattaa välttää niin paljon kuin mahdollista koska prosessointia tulee vain lisää. GPOt ladataan tietokoneelle sen käynnistyksen aikana. Kun Windowsin kirjautumisruutu ilmestyy, GPOt on ladattu ja otettu käyttöön tietokoneessa. Kun käyttäjä on autentikoinut itsensä sisään, sille laitetaan käyttöön GPO:n käyttäjäkohtaisia asetuksia. Käyttäjän ympäristön eli työpöydän ilmestyessä kaikki on valmista. (Rantonen, 2015.) GPOt päivitetään noin 90 minuutin välein (Group Policy for Beginners, 2011). 3.5 Tiedosto- ja levyjako Tiedostopalvelimen tarkoituksena on tarjota verkon käyttäjille paikka, johon he voivat tallentaa tiedostonsa, sekä hallita niiden käyttöoikeuksia. Tämän hyötyjä ovat mm. tiedostojen jakamismahdollisuus kaikille käyttäjille keskitetysti palvelimelta sekä varmuuskopioinnin helpottaminen ja tietoihin pääsyn suojaaminen asettamalla käyttöoikeuksia käyttäjille. Myöskin käyttäjien levynkäytön seuraaminen on helpompaa. Levyjaon suunnittelussa on ensin päätettävä kuinka monta tiedostopalvelinta tehdään, joka riippuu organisaation koosta ja sen OU- ja ryhmäsuunnittelusta. Tärkeää on myös, että jaettavien tietojen kansiorakenteet ovat selvillä sekä asetettavat käyttöoikeudet. Tiedostopalvelin pitäisi myös sijoittaa omalle palvelimelleen tai samaan esimerkiksi tulostuspalveluiden kanssa. Tämän tyyppiset palvelut pitäisi pitää aina erillään ohjainpalvelimista. (Rantonen, 2015)

22 File and Storage Services Tiedosto- ja levypalvelujen (File and Storage Services) avulla voidaan pystyttää ja hallita tiedostopalvelimia. Tiedostopalvelimet taas tarjoavat paikan verkossa, johon kaikki tiedostot voidaan tallentaa ja jakaa haluttujen käyttäjien kesken. Windows Server 2012 R2 järjestelmässä File and Storage Services sekä Storage Services roolit ovat asennettuna valmiiksi, mutta ilman mitään valinnaisia sovelluksia. Käytännöllisiä sovelluksia ovat esimerkiksi; Work Folders: Uusi roolipalvelu, joka mahdollistaa etäkäytön esimerkiksi työntekijöille kotoa omalta kotitietokoneeltaan työpaikan tiedostoihin. Data Deduplication: Vähentää toistuvaa ja yhtäläistä dataa pakkaamalla, jolloin levytilaa säästyy. iscsi Target Server: Tarjoaa pääsyn levyihin muista palvelimista ja verkoista. Storage Spaces: Mahdollistaa fyysisten levyjen yhdistämisen virtualisoinnilla yhdeksi tai useammaksi levytilaksi (storage pool), joihin voidaan luoda virtuaalilevyjä. Server Manager: Tarjoaa keskitetyn hallinnan kaikille tiedostopalvelimille. Windows PowerShell: Käytetään automatisoimaan järjestelmänvalvojan toimia tiedostopalvelimilla. Network File System: Tällä voidaan jakaa tiedostoja tietokoneiden välillä. Tietokoneet voivat käyttää myös muitakin käyttöjärjestelmiä kuin Windows, esimerkiksi Linuxia. (File and Storage Services Overview, 2013)

23 Käyttöoikeudet Verkon kaikkiin objekteihin, kuten esimerkiksi tiedostoihin ja kansioihin, on määritelty käyttöoikeuksia. Käyttöoikeudet määrittelevät mitä ryhmät ja käyttäjät voivat objektille tehdä. Vaihtoehtoja ovat: Full Control, Modify, Read & Execute, List Folder Contents tai pelkkä Read/Write oikeus. Yksittäinen käyttöoikeuden määrittely objektissa on nimeltään Access Control Entry (ACE). Kaikki ACE:t ovat koottu yhteen listaan, joka on nimeltään Access Control List (ACL). Käyttöoikeuksia on olemassa kahta eri tyyppiä: Explicit ja inherited. Explicit oikeudet ovat oletusoikeudet, jotka ovat voimassa kun vanhempi-objekti luodaan. Inherited oikeudet taas nimensä mukaisesti periytyvät vanhempi-objektilta lapsi-objekteille. (File and Storage Services Overview, 2013) 3.6 Tulostinpalvelut Tulostinpalveluilla (Print and Document Services) pystytään jakamaan paikallisia tulostimia koko verkolle tulostinpalvelimella (Print Server). Tulostimienhallinnalla (Print Management) voidaan hallita ja monitoroida tulostimia, kuten esimerkiksi seurata tulostusjonoja ja prosesseja. Tulostinpalvelut mahdollistaa myös verkkoskannereilla skannattujen dokumenttien ohjaamisen haluttuun paikkaan verkossa tai vaikka sähköpostiin. (Print Services Role, 2008) Tulostinpalvelimella voidaan vastaanottaa käyttäjien tulostustöitä ja ohjata ne varsinaiselle tulostimelle, joka on liitettynä verkkoon joko suoraan palvelinkoneeseen (locally attached) tai verkkolaitteeseen (Network attached). Jos käytetään Network attached tulostimia, niin niillä on kaksi eri toimintatapaa; Jokainen client toimii omana tulostinpalvelimenaan, jolloin client hallitsee itse

24 23 tulostintöitään ja tulostusjonoaan ja ohjaa ne itse suoraan tulostimelle. Toisessa toimintatavassa käytetään tietokonetta, johon on määritelty tulostinpalvelin-rooli, joka hoitaa kaiken käsittelyn clientin puolesta ja helpottaa myös tulostimien hallintaa. (Rantonen, 2015) 4 Ympäristön suunnittelu 4.1 Aktiivihakemisto (AD) Yrityksellä on kaksi toimipaikkaa, jotka sijaitsevat Tampereella ja Jyväskylässä. Tampereen toimialue on vanhempi-toimialue ja Jyväskylän taas lapsitoimialue. Kuvio 6 kuvaa yrityksen AD-rakennetta. Kuvio 6. Looginen topologia

25 24 Molempien toimipaikkojen sisäinen replikointi hoituu ohjainpalvelinten DC1 ja DC2 välillä. Muutoksen tapahduttua ohjainpalvelin replikoi 15 sekunnin kuluttua. Toimipaikkojen välillä replikointi tapahtuu DC1 ohjainpalvelinten välillä 90 minuutin välein. 4.2 DNS Molemmilla ohjainpalvelimilla on käytössä DNS-rooli. Tampereen osoiteavaruus on verkko ja Jyväskylän Tampereen nimipalvelimelta verkkoon kohdistuvat reverse-lookupit ohjataan Jyväskylän nimipalvelimelle. Jyväskylästä verkon kyselyt ohjataan taas Tampereelle. Muiden verkkojen kyselyt ohjataan molemmista toimialueista Labranetin nimipalvelimille. 4.3 DHCP Yrityksen molemmille toimipisteille/toimialueille tulee omat DHCP-palvelimet. Toimipisteiden etäisyyden vuoksi ratkaisu vaikutti parhaimmalta. Vältytään turhalta reitittimen konfiguroinnilta ja mahdollisista viiveistä DHCP-kyselyissä. Suunnitelmassa on varattu molemmille toimipisteille oma osoiteavaruus, josta IP-osoitteet jaetaan. Osoiteavaruudesta on myös varattu tietty alue IP-osoitteita, josta niitä voidaan antaa staattista IP-osoitetta tarvitseville laitteille tai tietokoneille. Tampereen sekä Jyväskylän toimipisteillä verkon maskin on /24( ). Staattinen IP-osoitealue on Staattisia osoitteita on siis yhteensä 29. Tarvittaessa niitä voidaan myös varata enemmän. DHCP alkaa jakamaan osoitteitta siis 30 eteenpäin. DHCP-pool on jaettu niin, että molemmilla toimipisteillä DC1 jakaa osoitteita väliltä. DC2 taas vastaavasti jakaa osoitteita väliltä Taulukoidaan ensimmäisenä Tampereen toimipisteen verkko ja osoiteavaruus, sekä varatut IP-osoitteet taulukossa 6.

26 25 Taulukko 6. Tampereen IP-osoitteet Tampereen toimipiste Alue Laite IP-Osoite Reititin DC1, Windows server Staattinen: DC2, Windows server /24 FS1, Fileserver TJ, Windows 8.1 client Seuraavaksi taulukko 7:ssa on esitelty Jyväskylän toimipisteen verkko ja osoiteavaruus, sekä varatut IP-osoitteet. Taulukko 7. Jyväskylän IP-osoitteet Jyväskylän toimipiste Alue Laite IP-Osoite Reititin Staattinen DC1, Windows server /24 DC2, Windows server FS2, Fileserver Ryhmät Suunnitellaan ryhmistä yksinkertaisia ja mahdollisimman hyvin vastaamaan yrityksen tarpeita. Tärkeää on saada ryhmistä helposti hallittavia, jotta myös käyttäjien ja oikeuksien hallinta olisi helppoa. Taulukossa 8 on seuraavaksi esitelty kaikki luotavat ryhmät ja paikallisessa domainissa sijaitsevien ryhmien oikeudet. Työnjohtoon on sisällytetty toimitusjohtaja. Luodaan myös Public-ryhmä, joka näkyy kaikille. Yritykseen luodaan yleinen verkkojako ja Public-ryhmässä olevat pääsevät siihen käsiksi. Paikalliseen doimainiin tulee ryhmät päätteillä FC tai R. Tässä FC tarkoittaa FullControl eli täydellinen hallinta ja R tarkoittaa Read only eli vain luku. Taulukko 8 pätee molempiin toimipisteisiin.

27 26 Taulukko 8. Ryhmät Henkilöstö Työnjohto ja TJ IT Laskutus Asiakaspalvelu Kenttätyöntekijät Globaalisti luotava ryhmä Johto IT Laskutus Aspa KT Public Paikallisen domainin ryhmä Johto_FC Johto_R IT_FC IT_R Laskutus_FC Laskutus_R Aspa_FC Aspa_R KT_FC KT_R Public_FC IT-ryhmä sisältää oikeudet lisätä sekä poistaa käyttäjiä että ryhmiä. IT-ja työnjohtoryhmistä luodaan myös samalla universaaleja. Nyt tarvittaessa myös toiselta toimipisteeltä pystyy hoitamaan toisen toimipisteen asioita. Esimerkiksi jos Tampereelta sattuisi olemaan molemmat IT-työntekijät poissa töistä, niin Jyväskylästä käsin pystyttäisiin kuitenkin hoitamaan välttämättömiä asioita. Ryhmiin lisättävät käyttäjätunnukset noudattavat tiettyä nimeämiskäytäntöä. Käyttäjätunnuksen ensimmäinen merkki on henkilöstön ensimmäinen kirjain isolla, paitsi IT:llä on ensimmäisenä IT. Kirjaimen jälkeen tulee 4 numeroinen luku, joka on käyttäjäkohtainen. Taulukossa 9 on annettu muutama nimeämisesimerkki. Taulukko 9. Käyttäjätunnusten nimeämiskäytäntö Henkilöstö IT Asiakaspalvelu Esimerkki käyttäjätunnuksesta IT1234 A1234

28 27 Molemmille domaineille luodaan siis taulukon 8 mukaan paikalliset ja globaalit ryhmät. Globaalit ryhmät liitetään paikallisiin ryhmiin. Kuviossa 7 on esitelty, miten liittäminen on toteutettu. Kuvio 7. Paikallisen domainin ryhmät Kuviosta 7 siis selviää, miten globaalit ryhmät sijoitetaan paikallisiin ryhmiin. Toteutus on edellisenlainen, koska IT-henkilöiden on tärkeä päästä tarvittaessa muokkaamaan tiedostoja. Johdolle riittää taas, että se voi muokata omia tiedostojaan, mutta voi lukea kaikkien muiden tiedostoja. Asiakaspalvelu voi muokata omia tiedostojaan, mutta lukea vain johdon, laskutuksen ja kenttätyön tiedostoja. Tietynlaisissa asiakaspalvelutilanteissa voi olla tarvittavaa päästä lukemaan esimerkiksi laskutuksen tiedostoja. Laskutus voi muokata omia tiedostojaan, mutta lukea vain johdon ja kenttätyön tiedostoja. Laskutuksen ei tarvitse tietää asiakaspalvelun tiedostoista. Kenttätöistä saadut tiedot ovat tärkeitä laskutukselle ja niihin on hyvä päästä käsiksi. Kenttätyöntekijät voivat

29 28 muokata omia tiedostojaan, mutta lukea vain laskutuksen ja johdon tiedostoja. Laskutuksella ja varsinkin johdolla voi olla mahdollisesti jotain sellaista, mitä kenttätyö voi tarvita. Kaikilla on oikeus Public kansioon. Se on yleinen jako, jota voi käyttää esimerkiksi tiedostojen väliaikaiseen sälytykseen tai siirtoon. 4.5 Ryhmäkäytänteet Default Domain Policy: Salasanakäytänteet o Vanhenee joka 4. kuukausi (Samaa salasanaa voi kuitenkin käyttää uudelleen) o Samaa salasanaa voi kuitenkin käyttää uudelleen o Minimipituus 8 merkkiä o Täytyy sisältää sekä numeroita että kirjaimia Ohjelmien jakelu o Selain o Adobe reader o Office-paketti (lisää/poista sovelluksia toiminnon kautta) o Java o WSUS Työaseman lukitseminen 1h idlen jälkeen Default Domain Controller Policy: Paikallinen kirjautuminen estetty OU-kohtaiset GPOt (ei koske IT:tä): Osastokohtaiset taustakuvat, joita ei voi vaihtaa. Ohjelmien asennus/poisto estetty Komentorivin käyttö estetty Duunareilta on estetty koko ohjauspaneeli IT-osastoa koskee ainoastaan Default Domain Policy.

30 Levyjaot Yrityksen kaikille käyttäjäryhmille luodaan omat kansionsa ja lisäksi yksi yleinen public - kansio kaikkien käyttöön (ks. kuvio 8). Kaikille FC ryhmille asetetaan kansioon Full Control -oikeudet ja kaikille R -ryhmille taas pelkät read oikeudet. Kuvion 7 domain local ryhmät tulevat ryhmien suunnittelusta (ks. kuvio 8). Kuvio 8. Levyjaot

31 Reititys Kummankin toimipaikan reunalla on reititin, jotka reitittävät liikennettä sekä toisilleen että internettiin (Labranettiin). Kuvio 9 näyttää fyysisen topologian. Kuvio 9. Fyysinen topologia 4.8 Tulostinpalvelut Kummallekin toimipaikalle pystytetään virtuaalinen tulostin jota voivat käyttää jokainen toimipaikkaan kuuluva käyttäjä.

32 31 5 Toteutus 5.1 Reitittimien toteutus Lumicco.fi Reitittimenä meillä siis toimi CentOS 6. Ensimmäisenä konfiguroitiin staattiset IPosoitteet niin Labranetin kuin oman sisäverkon puolelle. Isäntädomainista Labranettiin on annettu osoite Kuvioissa 10 ja 11 on esitetty rajapintakohtaiset konfiguraatiot isäntädomainin puolella. Kuvio 10. Reititin eth0 Kuvio 11. Reititin eth1

33 32 Reitittimen eth0 rajapinta lähtee labranettiin ja eth1 rajapinta omaan sisäverkkoon lumicco.fi:n puolelle Jkl.Lumicco.fi Lapsidomainilla on sama CentOS 6 reititin mutta eri osoitteistuksella. Lapsidomainista Labranettiin on annettu osoite Kuviossa 12 on rajapinnan eth0 konfiguraatio joka on Labranetin suuntaan. Kuvio 12. Lapsidomain eth0 Kuviossa 13 on rajapintakonfiguraatio sisäverkon jkl.lumicco.fi:n puolelle. Kuvio 13. Lapsidomain eth1

34 Aktiivihakemiston toteutus Lumicco.fi Ensiksi asennettiin siis Active Directory Domains Services. Asennuksen jälkeen voidaan konfiguroida AD:n asetukset. Kuviossa 14 aletaan tekemään uutta domainia/metsää. Kuvio 14. Konfiguroinnin aloitus Painellaan avustusohjelma läpi ja domaini on luotu Jkl.Lumicco.fi Lapsidomainia luotaessa täytyy isäntädomain olla pystyssä. AD DS asennuksessa domain lisätään olemassa olevaan metsään ja laitetaan domaintyypiksi lapsi. Kuviossa 15 näytetään asennuksen vaihe.

35 34 Kuvio 15. Lapsidomainin luonti 5.3 DNS toteutus Lumicco.fi Luodaan domainille uusi primääri zone. Määritetään se käyttämään IPv4 osoitteita ja hyväksytään vain turvalliset dynaamiset päivitykset siihen. Seuraavaksi kuvioissa 16, 17 ja 18 on esitelty DNS ja siellä olevat IP-vastaavuudet ja reverse zonet.

36 35 Kuvio 16. DNS forwarders Kuvio 17. DNS reverse zone lumicco.fi Kuvio 18. DNS reverse zone jkl.lumicco.fi

37 36 Seuraavaksi kuvioissa 19 ja 20 on esitetty DNS:n toimivuus pingaamalla nimeä sekä tekemällä nslookup kyselyjä. Kuvio 19. DNS ping & nslookup Kuvio 20. DNS ping & nslookup Jkl.Lumicco.fi Nimikyselyiden kohdistuttua muualle kuin jkl.lumicco.fi:hin ohjataan Tampereen toimialueen kautta. Joten pelkkä reverze lookup zonen luonti auttaa kyselyitä ylemmiltä

38 domaineilta. Kuviossa 21 on esitelty esimerkit muutamasta pointterista DNS asennuksen jälkeen. 37 Kuvio 21. JKL Reverse lookup zone Kuviossa 22 on nslookupit Jyväskylästä omiin ja Tampereen laitteisiin. Kuvio 22. JKL Nslookup

39 Kuviossa 23 on esitelty traceroute Tampereen ohjainpalvelimeen jossa saadaan selville myös nimi. 38 Kuvio 23. Traceroute Tampereelle 5.4 DHCP toteutus Lumicco.fi DNS toimivuuden varmistuttua voidaan konfiguroida DHCP-palvelu toimimaan. Asennetaan DHCP palvelu ja konfiguroidaan se. Kuviosta 24 selviää DHCP:llä jaettava IPalue. Kuvio 24. DHCP Pool Kuviossa 25 selviää myös DHCP:n toiminta. Tehdään client koneella DHCP-renew pyyntö.

40 39 Kuvio 25. DHCP renew Jkl.Lumicco.fi Kuviossa 26 luodaan Jyväskylän domainille oma DHCP-scope väliltä Kuvio 26. JKL DHCP-scope

41 40 Kuviossa 27 on DHCP-scopelle määritetyt lisäasetukset. Kuvio 27. JKL DHCP-scopen lisäasetukset Jotta DHCP toimisi, täytyy isäntädomainilta authorisoida Jyväskylän ohjainpalvelin. Kuviossa 28 näkyy että authorisointi on onnistunut. Kuvio 28. Palvelimen authorisointi Kuviossa 29 todistetaan DHCP:n toiminta.

42 41 Kuvio 29. JKL DHCP:n toiminta 5.5 Organisaatioyksiköiden ja ryhmien toteutus Lumicco.fi Luodaan siis jokaista henkilöstöryhmää varten oma OU ja sen sisälle ryhmät ja käyttäjät. Kuvio 30 toimii esimerkkinä, kuinka tämä on toteutettu.

43 42 Kuvio 30. Kenttätyö OU Jkl.lumicco.fi Jyväskylän toimialueelle luodaan samat OU:t, jokaiselle oma esimerkkikäyttäjä, globaalit ryhmät ja paikalliset domainryhmät kuten edellisessä kuviossa 30. Esimerkkinä kuviossa 31 näkyy Jyväskylän toimipaikan IT-organisaatioyksikön ryhmät ja käyttäjä. Kuvio 31. IT OU JKL

44 Ryhmäkäytänteiden toteutus Lumicco.fi Käyttäjiä varten luotiin ryhmäkäytänteitä. Niitä olivat muun muassa vanheneva salasana, salasanan minipituus ja kompleksisuus, ohjelmien jakelu ja työaseman lukitseminen 1 tunnin jälkeen, jos se on ollut ilman käyttöä. Luotiin myös OU-kohtaisia käytänteitä. Niitä olivat muun muassa taustakuvat ja komentorivin käytön estäminen. Komentorivi toimi kuitenkin järjestelmänvalvoja-tilassa. Seuraavaksi kuviossa 31 on esitelty salasanakäytänteet. Kuvio 32. GPO salasana Kuviossa 32 näkyy, että Guest-tunnukset on poistettu käytöstä, on asetettu tervetuloaviesti sekä maksimi käyttämättömyysaika ja se, että käyttäjiä muistetaan salasanan vaihtamisesta 4 päivää ennen vanhenemista.

45 44 Kuvio 33. GPOt Käyttäjille pakotettiin Chrome-selaimen asentaminen. Asetettiin DC1 jakamaan asennuspakettia ja määrittämään käytänteet sekä asetukset Chromelle. Kuvioissa 33, 34 ja 35 on esitelty nämä kohdat.

46 45 Kuvio 34. Asennuspaketin jako Kuvio 35. Käytänteitä Kuvio 36. Chrome salasana käytänteet

47 46 Kuviossa 35 otetaan pois käytöstä siis salasanojen tallentaminen. Koska Chromessa on mahdollista katsella tallennettuja salasanoja, se voisi lisätä tietoturvariskejä ja salasanojen vuotamista. Siksi se otettiin pois käytöstä. Kuviossa 36 vielä näkyy, kuinka ei ole edes mahdollista client-koneella valita tallentamista. Kuvio 37. Chrome salasanat Chromelle myös pakotettiin aloitussivuksi ja se on voimassa kaikilla käyttäjillä. Kuvioissa 37 ja 38 on esitelty sen toimivuus. Kuvio 38. Aloitussivun vaihto ei onnistu

48 Kuviosta 37 huomaa, kuinka aloitussivun vaihtamista ei pysty edes valitsemaan muuksi vaihtoehdoksi. 47 Kuvio 39. Chrome aloitussivu Ryhmäkäytänteiden avulla määritettiin myös jokaiselle organisaatioyksikölle omakohtaiset taustakuvat. Kuviossa 39 näkyy taustakuva-asetuksia vastaavat käytänteet ja se, että taustakuvat haetaan DC1:ltä. Kuvio 40. Taustakuva-asetukset

49 48 Kuviossa 40 ollaan kirjautuneen Laskutukseen. Kuvio 41. Laskutuksen työpöytä Jkl.Lumicco.fi Jyväskylän toimialueella on myös samat ryhmäkäytänteet: salasanat, ohjelmien jakaminen, työpöydän lukitseminen ja eri taustakuvat organisaatioyksiköillä. Kuviossa 42 on esimerkkinä laskutuksen organisaatioyksikön käyttäjän taustakuva.

50 49 Kuvio 42. Laskutuskäyttäjän taustakuva Kuviossa 43 näytetään että Chromen asennustiedosto löytyy Jyväskylän Fileserveriltä. Kuvio 43. Asennustiedoston sijainti

51 Levyjakojen toteutus Lumicco.fi Levyjako toteutettiin kuvion 7. mukaan. Ryhmillä on siis omiin kansioihinsa luku että kirjoitusoikeus, mutta vain osaan muiden kansioista lukuoikeus. Käytän esimerkkinä Laskutus-ryhmää. Kuvio 44. Laskutus haluaa Aspaan Kuten kuviosta 7 ja kuviosta 44 käy ilmi, ei Laskutus pääse Aspan kansioon. Heillä ei ole sinne edes lukuoikeutta. Sitä vastoin taas Laskutuksella on lukuoikeus Johdon kansioon.

52 51 Kuvio 45. Laskutus Johtoon Kuviosta 45 huomaa, kuinka Laskutus pääsee selaamaan Johdon kansion tiedostoja, mutta ei kuitenkaan voi luoda sinne uusia tiedostoja. Laskutuksella on siis vain lukuoikeus Johdon kansioon. Toimialueella on myös mahdollista selata toisen toimialueen tiedostoja. Selaaminen koskee kuitenkin vain kirjautuneena olevan ryhmän omaa kansiota ja Public-kansiota. Esimerkiksi Tampereelta voi selata Jyväskylän tiedostoja. Kuviossa 46 ollaan kirjautuneena Aspaan ja selataan Jyväskylän Aspa-kansiota. Kuvio 46. Tampereen Aspa Jyväskylän Aspassa

53 Jkl.Lumicco.fi Sama logiikka on myös Jyväskylän toimipaikassa. Kuviossa 47 laskutus organisaatioyksikön käyttäjä Lauri Lasku on Fileserverillä. Kuvio 47. Jyväskylän fileserver Kuviossa 48 näkyy että laskutuksen käyttäjällä ei ole muita oikeuksia kuin luku. Kuvio 48. Laskutuksella ei oikeuksia Kenttätyöhön

54 53 Kuviossa 49 laskutuksen käyttäjä pääsee oman organisaatioyksikkönsä Tampereen toimialueen fileserverille. Kuvio 49. Jyväskylän Laskutus Tampereen Laskutuksessa 5.8 Tulostinpalveluiden toteutus Molemmissa toimialueissa käytettiin tulostimena novapdf 8:aa. Lumicco.fi palvelimella tulostin asennettiin FileServer 1:lle, mutta tulostimen jako asetettiin DC1:ltä. Tämä siksi, koska DC1:ltä voitiin siten määrittää tulostinta koskevia ryhmäkäytänteitä. Kuviossa 50 näkyy tulostin asennettuna ja valmiina FileServer 1:llä. Kuvio 50. Tulostin asennettuna Asennuksen jälkeen siis linkitettiin DC1:llä tulostin ryhmäkäytänteisiin. Tämä käy ilmi kuviosta 51.

55 54 Kuvio 51. Tulostimen linkittäminen Linkittämisen jälkeen oli mahdollista tehdä ryhmäkäytänteitä tulostinta varten. Kuviossa 52 on listattu esimerkkinä tulostimeen vaikuttavista ryhmäkäytänteistä. Kuvio 52. Tulostimen ryhmäkäytänteet

56 55 Lopputuloksena oli, että tulostin ilmestyy automaattisesti jokaiselle käyttäjälle, eikä sitä tarvitse aina erikseen lisätä uudeksi laitteeksi jokaiselta koneelta. Tulostin on myös oletustulostimena. Kuviossa 53 näkyy tulostin laitelistassa. Kuvio 53. Tulostin valmiina 5.9 Toisen ohjainpalvelimen nostaminen Toista ohjainpalvelinta asennettaessa tehtiin molemmilla toimipaikoilla, niin Tampereella kuin Jyväskylässäkin, samat toimenpiteet. Ohjainpalvelin nostetaan omaan domainiinsa, asennetaan Aktiivihakemisto ja replikoidaan toiselta ohjainpalvelimelta tarvittavat tiedot. Tämän jälkeen asennetaan vielä erillinen DHCP palvein. Jos esimerkiksi DC1 hajoisi, voisi toinen ohjainpalvelin jakaa IP-osoitteita. Kuviossa 54 se nostetaan lapsitoimialueelle.

57 56 Kuvio 54. Ohjainpalvelimen nosto Kuvio 55 näyttää kuinka noston aikana valitaan asetusten replikoinnin kohde. Kuvio 55. DC:n replikointi

58 57 Tämän jälkeen luodaan reverse lookup zonessa pointer uudelle ohjainpalvelimelle jos se ei löydy automaattisesti. Toinen DHCP-scope luodaan ja authorisoidaan. Kuviossa 56 näkyy että DHCP-scope on eri kuin aluksi luodulla ensimmäisellä ohjainpalvelimella. Kuvio 56. Toinen DHCP-scope 6 Yhteenveto Kurssin aloituksessa saimme kuvan että hommia riittää aivan varmasti. Työnjako hoitui oikeudenmukaisesti ja jokaisella oli suurin piirtein samat työtunnit. Kaikilla oli tekemistä omissa hommissaan. Apuakin sai kysyä ryhmän jäseniltä mikä helpotti jokaista ymmärtämään asioita. Teoriaa kirjoittaessa oppi käsitteet ja sai hyvän kuvan miten suunnitellaan. Toteutuksen aika oli riittävä ja se tehtiin ajallaan.

59 58 Ongelmia tuli ainakin DHCP:n kanssa kun lapsidomainilla se ei heti toiminut. Isäntädomain joutui authorisoimaan ohjainpalvelimen DHCP:n että se alkoi toimimaan. Ohjainpalvelimien nimet olivat erilaiset koska ne eivät voineet olla samat. Joten Tampereen toimialueen ohjainpalvelimet olivat DC1 ja DC2. Jyväskylän toimialueella olivat sitten DC3 ja DC4. Muut ongelmat olivat lieviä joihin löytyi nopeasti ratkaisut netistä esim. miten saadaan Google Chrome asennettua jokaiselle koneelle. Lähteet Active Directory Architecture Microsoft Developer Network. Viitattu Active Directory Microsoft Developer Network. Viitattu DHCP. Artikkeli web-opas verkkosivulla. Julkaisu Viitattu File and Storage Services Overview Microsoft Technet. Viitattu Groups Microsoft Technet. Viitattu Group Policy for Beginners Microsoft Technet. Viitattu Group scope Microsoft Technet. Viitattu Group type Microsoft Technet. Viitattu

60 59 Nesting groups Microsoft Technet. Viitattu Networking All-in-One for Dummies, 5th Edition, Chapter 4 Using DNS. Doug Lowe unkid= &notemenutoggle=0&hitsectionmenutoggle=0&leftmenustate=1 Organizational Units Microsoft Technet. Viitattu Print Services Role Microsoft Technet. Viitattu Rantonen M DHCP, DNS and Diagnostic Tool Viitattu Rantonen. M Introduction to Group Policy Viitattu Rantonen. M NTFS Access Permissions & Network Shares Viitattu Rantonen. M Configuring File and Print Services Viitattu Replication within a site Microsoft Technet. Viitattu Understanding TCP/IP: A Clear and Comprehensive Guide. Libor Dostálek and Alena Kabelová unkid= &rowid=755 What Are Domains and Forests? Microsoft Technet. Viitattu