Kategorier /Datormiljö på SU / Nätverk / Fast nätverk / Om eget OU i universitetets gemensamma Active Directory
Se maskinöversättning på 

Om eget OU i universitetets gemensamma Active Directory

Instruktioner för "Eget OU i universitetets gemensamma Active Directory".

Stockholms universitets gemensamma Active Directory (WINADSU) är indelat i två delar: "managed" och "unmanged". "managed" är förbehållet de datorer som ingår i Arbetsplatstjänsten och där är det IT-avdelningen som administrerar Group Policy Objects (GPO) och dylikt. Tanken med "unmanaged" är att skapa en miljö för de institutioner som inte önskar ingå i Arbetsplatstjänsten, men som ändå vill utnyttja de fördelar ett Active Directory ger. Tjänsten består av en egen Organizational Unit (OU) under "unmanaged" som man administrerar själv.


Detta ingår i tjänsten:


• Möjligheten att skapa egna GPO:er
• Möjligheten att skapa egna OU:n
• En filarea för logonscript
• Möjligheten att skapa egna grupper och populera dem med befintliga dator- och användarkonton


Hur fungerar det i praktiken?

Beställ ett eget OU genom att lägga en beställning i Serviceportalen och ange vilka användare som ska ingå i den grupp som ska administrera ditt OU. Gruppen kommer få namnet "<din_institution>-ou-admins". Separata konton kommer skapas för adminstrationsändamålet och har formen av ditt vanliga uid + adm. Så om ditt vanliga konton idag heter garmin så kommer administratörskontot heta garminadm. När så detta är klart kan du börja ansluta dina datorer till Active Directory. Man kan endast managera sitt OU från en domänjoinad dator, detta via de vanliga "Remote Server Administration Tools":

Remote Server Administration Tools for Windows 10

Dina anslutna datorerna hamnar initialt som standard under OU:n "computers" och du kan därifrån flytta dem till ditt eget OU under "unmanaged" (win.su.se -> su.se -> Unmanaged-> ditt_ou). Mer praktisk info om hur du joinar datorer här (PC) och här (Mac).

Möjligheten att skapa egna GPO:er

Du kan skapa egna GPO:er i ditt OU. IT-avdelningen har centralt gjort inställningen "Loopback processing with merge", vilket innebär att du även kan göra användarinställningar på datorobjekt. En punkt som Microsoft verkar ha missat i rättighetsdelegeringen av GPO:er är däremot att det alltid bara är den som skapat GPO:n som sedan får editera den.

Vill man att övriga i sin admin-grupp också ska kunna editera GPO:n ifråga måste man alltså lägga till den rättigheten manuellt.

Namnet på den egna GPO:n inleds med prefixet <din-institution> för att undvika potentiella namnkrockar.

Möjligheten att skapa egna Organizational Units

Vill du skapa egna OU:n så är det givetvis helt ok. En sak att tänka på där är bara att när man skapar ny OU så är alternativet "Prevent container from accidental deletion" ibockat som standard. Detta gör att ingen i din admingrupp sedan kan deleta dem. För att över huvud taget kunna deleta en egenskapad OU av typen ovan måste den som skapat den först gå in under Properties -> Object (syns först när man valt "Advanced features" under "View" i meyn) och bocka av "Prevent...". Sedan kan OU:n deletas.

Filarea för logonscript

Vill man lägga på egna logonscripts har vi förberett en filarea för detta. Den ligger under:

\\win.su.se\dfs\services\gposcripts\<din-institution>

Där lägger du dina script och pekar helt enkelt ut dem från dina GPO:er.

Möjligheten att skapa egna grupper

Du kan även skapa egna säkerhetsgrupper i din egen OU-struktur. När du skapar dina säkerhetsgrupper är det viktigt att deras namn skapas med prefix enligt:
<institution>-ad-<önskat gruppnamn>

Exempelvis skulle gruppen printeradmins för IT-avdelningen få namnet:
it-ad-printeradmins

Prefixet är nödvändigt för att undvika krockar mellan grupper i SUKAT och Active Directory. Väljer du att frångå detta prefix vid namngivning av din säkerhetsgrupp och den orsakar en namnkonflikt med en grupp i SUKAT förbehåller sig IT-avdelningen rätten att döpa om den och därefter informera ansvarig DSA rörande detta.

537Visningar
1
© ComAround Scandinavia AB 2000 - 2020 Med ensamrätt

Hjälpte den här artikeln dig?