Tento dokument obsahuje základní informace o Microsoft Active Directory na FIT.
Upozornění: Podpora Windows XP byla ukončena v roce 2017 (servery nadále nepodporují protokol SMBv1). Podpora Windows 7 byla ukončena 2020.
Účty a heslo
Účty v Active Directory vytváří automat na základě informačního systému, podobně jako v Unixu. Při vytváření účtů se použije počáteční heslo účtu. Pro účty, kde toto heslo chybí, byl použit náhodný řetězec. Majitelé starších účtů a všichni ti, kdo si heslo změnili, by měli použít Nastavení hesla do Active Directory v informačním systému FIT.
Studenti po přihlášení do IS FIT v záložce Hesla, zaměstnanci v sekci Provoz. Heslo se nastaví na to, kterým se hlásíte do informačního systému.
Co kde najdete
Provozujeme dva souborové servery, každý s diskovou kapacitou 7TB. Pro studenty slouží Fik, pro zaměstnance Aja. Domácí adresář se mapuje na písmeno P:, síťové aplikace najdete opět na sdíleném disku, který se mapuje na písmeno Q:. Vidíte věci tedy tam, kde jste zvyklí. Toto platí samozřejmě jen na počítačích zařazených do domény. Pokud máte svoje PC, notebook, atp., pak si je buď musíte zařadit do domény nebo si musíte zamapovat disky sami (příkazem net use) nebo, což je nejlepší, používat formát UNC, tedy \\aja\app apod. Notebook nikdy nezařazujte do domény.
Původní disk R: najdete na několika místech rozdělený podle funkcí:
- R:\uivt (sdílená data pracovních skupin) - S: (\\aja\fit)
- R:\general (ovladače a instalační soubory aplikací) - \\aja\install
Cestovní profily
Některé části profilu nelze sdílet mezi různými verzemi Windows. Microsoft to řeší tak, že cesta pro profil Windows 7 má příponu .V2, pro Windows 10 .V6. Pokud tedy budete používat střídavě Windows 7 a Windows 10, budete mít dva nezávislé profily. Jak minimalizovat potíže, které to přináší?
- na P: si vytvořte složku Dokumenty,
- otevřete průzkumník (klávesou Win-E nebo poklepáním na ikonu Počítač) a síťovou složku Dokumenty přidejte do knihovny Dokumenty a nastavte jako výchozí,
- na ploše neukládejte žádná data, nanejvýš zástupce směřující na síťový disk P:,
- data aplikací, pokud to umožňují, musíte buď přesměrovat opět na síťový disk (např. Mozilla Firefox a Thunderbird), nebo je ručně synchronizovat.
Cestovní profily pro zaměstnance
Zaměstnanci mají ohledně cestovních profilů na vlastním počítači na výběr 3 možnosti. V každém případě cestovní profily použijí v přednáškových místnostech a případně na učebnách.
- Výchozí stav: počítač je zařazen do domény, použije se doménový účet (a tedy i cestovní profil).
- Doporučený stav pro doktorandy a výzkumné pracovníky: počítač je zařazen do domény, použije se doménový účet, ale profil si nastavíte jako lokální. V posluchárnách použijete cestovní profil, na svém počítači lokální.
- Počítač je zařazen do domény, ale použije se lokální účet, síťové disky se mapují ručně, cestovní profil se použije jen v posluchárnách.
- Počítač není zařazen do domény, je to podobné předchozímu případu, Windows ovšem nebudou důvěřovat doméně (očekávejte častější zadávání hesla).
Jak změnit cestovní profil na lokální
- Start - Nastavení (zkratka Windows+I)
- Systém - O systému (System - About)
- někde tam - vpravo nebo uprostřed, podle velikosti obrazovky a verze systému, najdete odkaz nebo tlačítko Upřesnit nastavení systému (Advanced System Settings)
- V Profily uživatelů - Nastavení (User Profiles - Settings) najdete svůj doménový účet FIT\login a můžete změnit z Cestovní (Roaming) na Místní (Local)
Tiskárny
Tiskne se přes servery Windows, tiskárny z laboratoří a knihovny přes studentský server Fik, tiskárny pro zaměstnance přes server Aja. Opět je více možností, studentů se týká pouze první.
- Použiji tiskárnu, která je definována v počítači.
- Tisk přes tiskárnu zveřejněnou v Active Directory: v seznamu tiskáren si vyberete tu požadovanou, a od té chvíle ji budete mít ve svém profilu k dispozici, ovladač se lokálně neinstaluje nebo ho poskytne server (pak potřebujete oprávnění administrátora, pokud není ovladač podepsaný).
- Všechny dřívější způsoby fungují, ale nedoporučují se a do budoucna je nepodporujeme.
Přístup z počítače, který není v doméně
Prostředky serverů Active Directory (sdílené disky, tiskárny) lze použít i z počítače, který není v doméně, případně z lokálního účtu počítače zařazeného do domény. Při prvním přístupu k prvnímu prostředku ze serveru si systém vyžádá přístupové údaje, tedy jméno a heslo. Pokud zadáte pouze login, interpertuje se to jako MOJEPC\login, ale do domény potřebujete použít doménový účet. Zadajte tedy login i s identifikací domény, login@fit.vutbr.cz (starší způsob FIT\login se silně nedoporučuje). Ušetříte si dlouhé čekání na zprávu o tom, že uživatele nelze ověřit. Platí to i pro příkazový řádek (příklad pro zaměstnance):
c:\> net use p: \\aja\zam\login /user:login@fit.vutbr.cza pro studenty:
c:\> net use p: \\fik\stud\xt\xtest99 /user:xtest99@fit.vutbr.cz
Pro potřeby tisku ale musíte připojit disk ve tvaru UNC, např. \\aja.fit.vutbr.cz\zam a při zadání přístupových údajů (login@fit.vutbr.cz, heslo) zaškrtnout Zapamatovat pověření. Doporučuje se použít jméno serveru i s doménou (FQDN).
Není-li počítač připojený v síti FIT, je třeba se nejprve připojit pomocí VPN.
V počítačích mimo síť FIT je velmi vhodné zcela zapomenout na mapování síťových disků na písmena jednotek a použít raději UNC. Při odpojené VPN si systém nebude stěžovat na nedostupné jednotky a nebude se je pokoušet prohledávat, někdy to dost zdržuje.
Připomínky k této stránce zasílejte na adresu michal@fit.vutbr.cz