Umstellung 2008 Infos für EDV-Kontaktpersonen Andreas Tranquillini, ZID 16.9.2008
Projektziele Speicherkonsolidierung Ablöse von Novell NetWare 2 NetApp Filer Zusätzlich kostengünstiges Storagesystem auf Linux-Basis Ablöse von Novell NetWare Anmeldedienst → Microsoft Active Directory Fileserver → NetApp Filer Druckserver → vorläufig nur direktes IP-Printing
Microsoft Active Directory Eine Active Directory (AD) Domäne enthält u.a. Benutzer-, Gruppen- und Computerobjekte Gliederung in Organizational Units (OUs), pro OU wirken bestimmte Einstellungen = Group Policies Unsere Domäne heißt uibk.ac.at, Kurzname uibk Schreibweise für Domänenbenutzer: uibk\cxxxx Computer werden in die Domäne aufgenommen PC-Name und SID müssen eindeutig sein Passwort ändern/synchronisieren über https://www.uibk.ac.at/zid/basicauth/passwd.pl
Lokale und Domänenbenutzer NetWare: Anmeldung an Novell NDS, parallel Anmeldung am PC als lokaler Benutzer erforderlich Active Directory: Anmeldung als Domänenbenutzer parallele Anmeldung am PC als lokaler Benutzer nicht erforderlich, Domänenbenutzer wird vom PC akzeptiert! Alle Domänenbenutzer können sich anmelden (beschränkbar) Domänenanmeldung auch ohne Netzwerkverbindung möglich, falls vorher schon einmal angemeldet Lokale Anmeldung möglich + Netzlaufwerke verbinden Lokaler Benutzer cxxxx ≠ Domänen-Benutzer uibk\cxxxx
Anmeldung als Domänenbenutzer
Shares und Laufwerkverbindungen 1 \\nethome\~ Das eigene Homedirectory = Laufwerk I: User Quota: S=600, A=1000, B=2000, C=5000 MB Zugriffsrechte setzen möglich, aber nicht empfohlen \\nethome\home Alle Homedirectories, untergliedert in \inst und \stud Schreibzugriffe in fremde Homedirectories wegen User Quota problematisch
Shares und Laufwerkverbindungen 2 \\netshare\share Gruppenverzeichnisse = Laufwerk J: \\netuser\user Sonstige Sachen (apps, tmp) = Laufwerk K: Nur mehr ein K:\tmp für alle Benutzer NetApp-Feature: Snapshots Im Explorer unter Eigenschaften / Vorherige Versionen Auf der Kommandozeile mit cd .snapshot
Gruppenverzeichnisse Instituts-, Arbeitsgruppen-, Projekt- und LV-Daten Pro Organisationseinheit ein Gruppenverzeichnis (J:\c704) und eine Organisationsgruppe (gr_c704) 50 GB Directory Quota pro Gruppenverzeichnis Verwaltung der Gruppenmitglieder durch ZID oder EDV-Kontaktperson (Werkzeug noch offen) Zugriffsrechte: Alle Gruppenmitglieder können Unterverzeichnisse anlegen Jeder Besitzer hat in „seinem“ Unterverzeichnis und darunter Vollzugriff, kann dort Zugriffsrechte vergeben (auch sich selbst → wichtig, falls andere Benutzer hier Schreibzugriffe bekommen!!)
NTFS-Zugriffsrechte Primär in den Gruppenverzeichnissen verwenden NetWare NTFS RWCEMFA Vollzugriff RWCEMF Ändern RWC MF Lesen, Ausführen, Schreiben R F Lesen, Ausführen Einstellen im Explorer über Eigenschaften / Sicherheit
Erweiterte NTFS-Zugriffsrechte Verzeichnisse sichtbar machen: Lesen, Ausführen (nur diesen Ordner oder diesen Ordner, Unterordner) Vererbung „von oben“ kann unterbrochen werden: „Berechtigungen übergeordneter Objekte vererben …“ deaktivieren Berechtigungseinträge vom übergeordneten Objekt kopieren Nicht benötigte Zugriffsrechte entfernen Vollzugriff für Administratoren nicht wegnehmen!
Zugriffsmöglichkeiten Zugriff für alle Plattformen, die SMB/CIFS sprechen Kein Novell Client nötig! Zugriff von außen über VPN möglich Datenübertragungsgeschwindigkeit berücksichtigen! SFTP auf das eigene Homedirectory und die Gruppenverzeichnisse möglich (netsftp.uibk.ac.at) Empfohlener Client: WinSCP Aus Sicherheitsgründen kein Zugriff über FTP! Zugriff über Webportal/WebDAV geplant
Umstellung für Institute Institutsweise Umstellung durch Vor-Ort-Service- Mitarbeiter in Zusammenarbeit mit den Benutzern Ablauf: Daten verschieben ggf. Umorganisation in Richtung Gruppenverzeichnisse PC umkonfigurieren (Aufnahme in die AD-Domäne, Novell Client deinstallieren) Zeitrahmen: August bis Dezember 2008
Vorarbeiten der Benutzer Für welche Benutzerkennungen bin ich zuständig? Projektaccounts nicht vergessen Passwörter? Nicht mehr benötigte Serverdaten / Uni-PC-Profile löschen Nicht mehr benötigte Zugriffsrechte / Login Scripts entfernen Welche Daten gehören in das Gruppenverzeichnis? Auf welche fremden Daten muss ich zugreifen? Für welche PCs bin ich zuständig? Administratorpasswort? Welche lokalen Accounts werden benötigt? Sind Zugriffsrechte / Freigaben auf der lokalen Festplatte eingerichtet?
Besonderheiten beim Uni-PC Domänenbenutzer: Altes NetWare-Benutzerprofil wird bei der Umstellung nur teilweise übernommen: I:\Eigene Dateien und I:\CONFIG2, nicht aber I:\Windows NT 5.1 Workstation Profile Weiterhin Roaming Profile Benutzer behält immer dieselbe SID Lokale Kopie des Benutzerprofils bleibt nach Abmeldung am PC liegen und wird erst nach längerem Nichtgebrauch gelöscht Neu: Softwarepaket-Updates werden vor dem Login ausgeführt
Umstellung für Studierende Alle Studierenden (Benutzerkennungen CSxxxxx) wurden Mitte August 2008 umgestellt In den ZID-Benutzerräumen gibt es seit Mitte August 2008 nur mehr umgestellte PCs
Umstellungskonflikte Gleichzeitige Übersiedlung aller Benutzerdaten nicht möglich Gleichzeitige Umstellung aller PCs nicht möglich Benutzer wechseln Arbeitsplatz Benutzer greifen auf Daten von anderen Gruppen zu Entschärfungen Zugriff auf bereits übersiedelte Benutzerdaten von einem „alten“ PC: im NetWare Login Script werden Laufwerk I: und J: umdefiniert Zugriff auf noch nicht übersiedelte Daten von einem „neuen“ PC: ftp ftp-nw.uibk.ac.at
Weitere Informationen ZID-Homepage http://www.uibk.ac.at/zid/ Speziallinks Umstellung 2008 oder direkt unter http://www.uibk.ac.at/zid/systeme/pccs/