Universität Innsbruck

Umstellung 2008Infos für EDV-Kontaktpersonen

Andreas Tranquillini, ZID16.9.2008

Projektziele

• Speicherkonsolidierung– 2 NetApp Filer– Zusätzlich kostengünstiges Storagesystem auf Linux-Basis

• Ablöse von Novell NetWare– Anmeldedienst → Microsoft Active Directory– Fileserver → NetApp Filer– Druckserver → vorläufig nur direktes IP-Printing

Microsoft Active Directory

• Eine Active Directory (AD) Domäne enthält u.a. Benutzer-, Gruppen- und Computerobjekte

• Gliederung in Organizational Units (OUs), pro OU wirken bestimmte Einstellungen = Group Policies

• Unsere Domäne heißt uibk.ac.at, Kurzname uibk– Schreibweise für Domänenbenutzer: uibk\cxxxx

• Computer werden in die Domäne aufgenommen– PC-Name und SID müssen eindeutig sein

• Passwort ändern/synchronisieren über https://www.uibk.ac.at/zid/basicauth/passwd.pl

Lokale und Domänenbenutzer

• NetWare:– Anmeldung an Novell NDS, parallel Anmeldung am PC als

lokaler Benutzer erforderlich

• Active Directory:– Anmeldung als Domänenbenutzer– parallele Anmeldung am PC als lokaler Benutzer nicht

erforderlich, Domänenbenutzer wird vom PC akzeptiert!– Alle Domänenbenutzer können sich anmelden

(beschränkbar)– Domänenanmeldung auch ohne Netzwerkverbindung

möglich, falls vorher schon einmal angemeldet– Lokale Anmeldung möglich + Netzlaufwerke verbinden– Lokaler Benutzer cxxxx ≠ Domänen-Benutzer uibk\cxxxx

Anmeldung als Domänenbenutzer

Shares und Laufwerkverbindungen 1

• \\nethome\~– Das eigene Homedirectory = Laufwerk I:– User Quota: S=600, A=1000, B=2000, C=5000 MB– Zugriffsrechte setzen möglich, aber nicht empfohlen

• \\nethome\home– Alle Homedirectories, untergliedert in \inst und \stud– Schreibzugriffe in fremde Homedirectories wegen User

Quota problematisch

Shares und Laufwerkverbindungen 2

• \\netshare\share– Gruppenverzeichnisse = Laufwerk J:

• \\netuser\user– Sonstige Sachen (apps, tmp) = Laufwerk K:– Nur mehr ein K:\tmp für alle Benutzer

• NetApp-Feature: Snapshots– Im Explorer unter Eigenschaften / Vorherige Versionen– Auf der Kommandozeile mit cd .snapshot

Gruppenverzeichnisse

• Instituts-, Arbeitsgruppen-, Projekt- und LV-Daten• Pro Organisationseinheit ein Gruppenverzeichnis (J:\

c704) und eine Organisationsgruppe (gr_c704)• 50 GB Directory Quota pro Gruppenverzeichnis• Verwaltung der Gruppenmitglieder durch ZID oder

EDV-Kontaktperson (Werkzeug noch offen)• Zugriffsrechte:

– Alle Gruppenmitglieder können Unterverzeichnisse anlegen– Jeder Besitzer hat in „seinem“ Unterverzeichnis und

darunter Vollzugriff, kann dort Zugriffsrechte vergeben (auch sich selbst → wichtig, falls andere Benutzer hier Schreibzugriffe bekommen!!)

NTFS-Zugriffsrechte

• Primär in den Gruppenverzeichnissen verwenden

• NetWare NTFSRWCEMFA VollzugriffRWCEMF ÄndernRWC MF Lesen, Ausführen, SchreibenR F Lesen, Ausführen

• Einstellen im Explorer über Eigenschaften / Sicherheit

Erweiterte NTFS-Zugriffsrechte

• Verzeichnisse sichtbar machen:– Lesen, Ausführen (nur diesen Ordner oder diesen Ordner,

Unterordner)

• Vererbung „von oben“ kann unterbrochen werden:– „Berechtigungen übergeordneter Objekte vererben …“

deaktivieren– Berechtigungseinträge vom übergeordneten Objekt kopieren– Nicht benötigte Zugriffsrechte entfernen

Vollzugriff für Administratoren nicht wegnehmen!

Zugriffsmöglichkeiten

• Zugriff für alle Plattformen, die SMB/CIFS sprechen• Kein Novell Client nötig!• Zugriff von außen über VPN möglich

– Datenübertragungsgeschwindigkeit berücksichtigen!

• SFTP auf das eigene Homedirectory und die Gruppenverzeichnisse möglich (netsftp.uibk.ac.at)– Empfohlener Client: WinSCP

• Aus Sicherheitsgründen kein Zugriff über FTP!• Zugriff über Webportal/WebDAV geplant

Umstellung für Institute

• Institutsweise Umstellung durch Vor-Ort-Service-Mitarbeiter in Zusammenarbeit mit den Benutzern

• Ablauf:– Daten verschieben– ggf. Umorganisation in Richtung Gruppenverzeichnisse– PC umkonfigurieren (Aufnahme in die AD-Domäne, Novell

Client deinstallieren)

• Zeitrahmen: August bis Dezember 2008

Vorarbeiten der Benutzer

• Für welche Benutzerkennungen bin ich zuständig?– Projektaccounts nicht vergessen– Passwörter?– Nicht mehr benötigte Serverdaten / Uni-PC-Profile löschen– Nicht mehr benötigte Zugriffsrechte / Login Scripts entfernen– Welche Daten gehören in das Gruppenverzeichnis?– Auf welche fremden Daten muss ich zugreifen?

• Für welche PCs bin ich zuständig?– Administratorpasswort?– Welche lokalen Accounts werden benötigt?– Sind Zugriffsrechte / Freigaben auf der lokalen Festplatte

eingerichtet?

Besonderheiten beim Uni-PC

• Domänenbenutzer:– Altes NetWare-Benutzerprofil wird bei der Umstellung nur

teilweise übernommen: I:\Eigene Dateien und I:\CONFIG2, nicht aber I:\Windows NT 5.1 Workstation Profile

– Weiterhin Roaming Profile– Benutzer behält immer dieselbe SID– Lokale Kopie des Benutzerprofils bleibt nach Abmeldung am

PC liegen und wird erst nach längerem Nichtgebrauch gelöscht

• Neu: Softwarepaket-Updates werden vor dem Login ausgeführt

Umstellung für Studierende

• Alle Studierenden (Benutzerkennungen CSxxxxx) wurden Mitte August 2008 umgestellt

• In den ZID-Benutzerräumen gibt es seit Mitte August 2008 nur mehr umgestellte PCs

Umstellungskonflikte

• Konflikte– Gleichzeitige Übersiedlung aller Benutzerdaten nicht

möglich– Gleichzeitige Umstellung aller PCs nicht möglich– Benutzer wechseln Arbeitsplatz– Benutzer greifen auf Daten von anderen Gruppen zu

• Entschärfungen– Zugriff auf bereits übersiedelte Benutzerdaten von einem

„alten“ PC: im NetWare Login Script werden Laufwerk I: und J: umdefiniert

– Zugriff auf noch nicht übersiedelte Daten von einem „neuen“ PC: ftp ftp-nw.uibk.ac.at

Weitere Informationen

• ZID-Homepagehttp://www.uibk.ac.at/zid/

SpeziallinksUmstellung 2008

• oder direkt unterhttp://www.uibk.ac.at/zid/systeme/pccs/