Handleiding UMS versie 1.4

Transcriptie

1 Handleiding UMS versie 1.4 Website:

2 1 Inleiding Bestaande oplossingen vb-scripts VVKSO Active User Manager ADManager Plus User Management Resource Administrator User Management Schools Features Schematische voorstelling UserManagement Ontwerpbeslissingen Installatie Software vereisten Automatische installatie Windows Installatie Configuratie FAQ Automatische installatie Windows Installatie Configuratie Update Opbouw Webinterface Startpagina Nonbulk Bulk Jobmanager Extra Settings Backup/restore Importsettings Mailsettings Rechtenwizard Nonbulk Foreststructuur... 27

3 3.1.6 Help Info Handleiding UMS-Engine Werking Configuratie Troubleshouting Databank Terminologie Settings Hoe de settings beheren? Overzicht van alle settings Nonbulk Configuratie Veld toevoegen Veld wijzigen Account via nonbulk toevoegen Stap Stap Wijzigen Setup Voorbeeld Wijzigingen in homedir Wijzigingen in profielmap Verwijderen Bulk Excel-importmodule Setup De GUI Excel-document Office Web Component Wisad-importmodule Setup Gebruik... 66

4 6.3.3 Werking Troubleshooting Informatimportmodule schoolonline Jobmanager Datum Log view mode Joblijst & acties Rapport Mailsettings: Exchange Exchange 2007/ Setup Voorbeeld Live@edu Setup Voorbeeld Scripts Gebruik Voorbeelden Dumpmap Klasgroepen Vakgroepen Persoonlijk aanmeldscript Varia Backup/restore Wachtwoord Opbouw Paswoordcomplexiteit Wachtwoord parameters Proxy Appendix A: Bespreking van de bestanden in de setup zip-file Appendix B: Uitschakelen waarschuwing bij openen bestand Appendix C: Mappenstructuur... 90

5 Appendix D: Groepenstructuur... 91

6 1 Inleiding Het beheren van gebruikeraccounts neemt vaak heel wat tijd in beslag. Om die reden werden reeds verschillende pakketten ontwikkeld die het beheer vereenvoudigen en automatiseren. Het nadeel van deze pakketten is echter dat ze zeer prijzig zijn en niet toegespitst op de onderwijssector. Om aan deze beperkingen tegemoet te komen, is David Vermonden in september 2008 als ICT-coördinator gestart met de ontwikkeling van User Management Schools (UMS). User Management Schools omvat o.a. aanmaken, wijzigen en verwijderen van accounts in Active Directory met bijhorende homedirs, profiel, mailboxen en klasmappen. Ondertussen zijn er al enkele tientallen scholen(gemeenschappen) die het pakket gebruiken. Sinds heel wat jaren werden er scripts beschikbaar gesteld bij de cursussen Windows 200x. Ondanks dat ze grootschalig gebruikt werden, waren er een aantal beperkingen waar de applicatie in deze cursus een oplossing voor wil bieden. Hieronder volgen de belangrijkste redenen die worden aangehaald om het gebruikersbeheer te automatiseren: Tijdswinst: o Snelheid in het verwerken, batching is sneller dan manuele handelingen o Opzoeken accountgegevens Foutloos: door het repetitieve karakter worden er menselijke fouten gemaakt Zelfde structuur: uniformiteit in mappenstructuur, mappen in Active Directory, rechten,... Overzicht: o geen vervuiling: bv. bij het wijzigen van een homedirectory wordt de vorige automatisch gewist. o Logging => bv. wanneer kreeg de leerling laatst een nieuw wachtwoord. Vermits het warm water niet opnieuw moet uitgevonden worden, werden eerst de bestaande oplossingen kritisch geanalyseerd. 1.1 Bestaande oplossingen Al heel wat bedrijven zagen brood in het ontwikkelen van software voor accountbeheer. Hieronder wordt een korte opsomming gegeven met hun voor- en nadelen vb-scripts VVKSO o Voordelen: uitbreidbaarheid: script aanpassen naar eigen noden 1

7 gratis o nadelen: veel scripts => minder overzichtelijk script aanpassen wanneer er bv. extra velden moeten ingevuld worden => kennis nodig van vb-scripting extra tijd nodig om er mee te leren werken zeer beperkte qua functionaliteit: niet verwijderen, niet wijzigen, geen logging, Active User Manager o o Voordelen: Gratis Nadelen: o geen updates o geen koppeling wisad, informat,... o geen dfs o instellen rechten ADManager Plus o Overzicht van de mogelijkheden en verschillen van de 2 versies: Which Edition of ADManager Plus Is the Right One For Me? Features Standard Edition Professional Edition Active Directory User Management Active Directory Computer Management Active Directory Reports Help Desk Technician Delegation Scheduling of Reports on Active Directory OU-Based Administration Active Directory Contact Management Active Directory Group Management 2

8 o o o o Zoals hierboven wordt aangegeven is Group management niet standaard aanwezig. Als we onze groepen bv. klassen automatisch mee willen aanmaken moeten we de Professional versie aanschaffen die op 570 per domein komt. Voordelen: Webinterface vanaf eender welk toestel bereikbaar Bulk via CSV Sterk configureerbaar Nadelen: Prijs Geen koppeling Wisad/informat Traag laden van boomstructuur in van AD 1. Meer info kan u vinden op: User Management Resource Administrator De multinational Tools4ever is al meer dan een decennium actief in het accountbeheer. Zij hebben dan ook één van de beste producten in deze markt. Dit vertaalt zich natuurlijk ook in de prijs. Prijszetting: o Er wordt betaald per account in AD Prijs per leerling => 1,5 Prijs per personeelslid => 2 o De software wordt ter plaatse geconfigureerd en eventueel aangepast. Hiervoor worden 2 dagen voorzien met een bedrag van o Voor updates bepaalt u jaarlijks 20% van je eenmalige prijs. o Voor een scholengemeenschap van 1500 leerlingen en 200 personeelsleden waarbij de software wordt afgeschreven over 5 jaar, komt dit op per jaar. Voordelen: o gebruiksvriendelijke webgui 3 o koppeling met eender wel pakket is inbegrepen in de prijs o uitgebreide logging/reporting 1 Active Directory: een databank van objecten en behoren eigenschappen die voor een gebruiker, groep, pc, printer,... staan. 2 Jaarlijkse kost = éémalige kost over 5 jaar afschrijven + kost voor updates = ( 1,5 x x ) / 5 + ( 1,5 x x 200 ) x 0,2 = GUI = graphical user inferface 3

9 o support Nadelen: o prijs Meer info kan u vinden op: 4

10 1.2 User Management Schools User Management Schools biedt een alternatief aan op maat van scholen. Waarbij de nadruk wordt gelegd op de lage prijs en de zeer uitgebreide mogelijkheden tot koppeling met schooladministratiepakketten in gebruikt in Vlaanderen Features Invoer: vanuit Excel: elke kolom met # in de naam is een veld in active directory, zodat iedereen eenvoudig kan bepalen welke velden worden ingevuld het opgeven van meerdere groepen gebeurt gescheiden door een,. ; wil zeggen een groep in een groep kolom opdracht geeft aan wat er moet gebeuren: aanmaken aanpassen ==> AD info wordt aangepast verplaatsen ==> de account wordt verplaatst naar een andere OU, andere locatie voor het profiel of de homedirectory bv. leerling gaat naar andere klas vanuit Wisa: verwijderen wijzigingen worden rechtstreeks opgemerkt en uit Wizad gehaald. Een actie wordt voorgesteld en wordt vervolgens gecontroleerd door de beheerder. De module maakt gebruikt van de Wizad API zodat je de Wisad-server ofwel zelf hebt draaien of extern gehost. Geen extra kost en minimale extra instellingen te doen. vanuit Informat: integratie mogelijk door webservice die Informat maakte voor UMS zonder extra kost vanuit Schoolonline: integratie mogelijk zonder extra kost via de standaarpublicatie methoden Verwerking: mappen, shares, rechten op mappen/shares, AD account, DFS koppelingen, mailbox, groepen, OU s, wachtwoorden,... worden automatisch aangemaakt zodat er geen routinefouten optreden beheer vanuit webinterface zodat je zelfs van thuis uit je accounts/groepen/homedirs/... kan beheren (wel publiceren op firewall). ondersteuning voor de volgende mailservers: Exchange 2003 Exchange 2010 Live@Edu (zie demo) dankzij de scriptmogelijkheid van UMS kan zowat elk mailsysteem gekoppeld worden. Extra s: 5

11 automatische updates van UMS over HTTP waarbij de proxy instellingen vanaf versie 1.3 automatisch worden gedetecteerd zodat het updaten ook zonder aanpassingen door de firewall geraakt. backup/restore van zowel algemene als nonbulk instellingen wachtwoordpatronen na het aanmaken van de accounts kan er een overzicht opgevraagd worden dat vervolgens kan afgedrukt worden. Een voorbeeld hiervan vindt je hier. vlotte integratie eigen scripts 6

12 1.2.2 Schematische voorstelling UserManagement De applicatie bestaat uit 3 bouwstenen: Webinterface Core engine SQL-database Via een browser worden er opdrachten doorgestuurd naar het servergedeelte van de webgui. Vervolgens plaatst de webapplicatie de data in de SQL-server en geeft de opdracht via het cliëntgedeelte van de core engine aan het servergedeelte van de core engine. Deze zal de job verder afhandelen. Samenvatting van de taken van elke component: Webinterface: o cliëntgedeelte van GUI is de webbrowser waarmee opdrachten worden doorgestuurd: nonbulk bulk: uploaden XLS file o servergedeelte: verwerken van doorgestuurd formulier lokaal bewaren XLS Core engine: o Clïentgedeelte: Doorsturen opdrachten: start, stop, status, user,... Ontvangen/weergeven van problemen en statusmeldingen o Servergedeelte: 7

13 Inlezen jobs uit SQL-server Verwerken van de taken in van de ingelezen jobs Feedback sturen naar client Logging in databank SQL-server: o Opslag van: Jobdata Instellingen voor webinterface en core engine logs 8

14 1.2.3 Ontwerpbeslissingen Programmeeromgeving Er is gekozen voor het.net framework van Microsoft. Het gebruik van php, mysql en apache is een mogelijkheid. We zouden alles kunnen doen wat we nodig hadden maar er werd voor de volgende 2 redenen geopteerd voor.net: Vermits de meeste scholen met een Windows domeincontroller werken en eventueel een Exchange server, werd er gekozen voor de.net framework van Microsoft. De kans op compatibiliteitsproblemen is hierdoor kleiner. Op dit moment wordt er meer.net in de scholen gebruikt dan php. Hierdoor kan een ruimer publiek aanpassingen doen aan bestaande importmodules of nieuwe import modules creëren voor hun schooladministratie pakket. Architectuur Doel: De applicatie moet vanaf eender welk toestel in het netwerk kunnen gebruikt worden zodat elke beheerder (elke school) zijn jobs kan verwerken. Op deze manier is er een verdeling van de werkdruk. Bedrijven kiezen steeds meer voor een webapplicatie i.p.v. een apart te installeren software pakket. De meeste routers moeten tegenwoordig geconfigureerd worden via een webinterface. Maar ook duurdere producten zoals een SAN worden via een webinterface met java-applet voorzien. Hierdoor moeten er geen client-updates gebeuren en is de bereikbaarheid zeer sterk vergroot. Een nadeel is dat bij netwerkproblemen de software niet kan gebruikt worden. In het geval van de UserManagement tool moet er steeds netwerktoegang zijn zodat mappen en users op andere servers kunnen aangemaakt worden..net Remoting: o Remote uitvoeren van functies en procedures o Hierbij kan de overdracht ofwel binair (sneller) ofwel via SOAP 4 (XML 5 ) gebeuren o via een proxy klasse wordt van op afstand een instructie uitgevoerd o keuze tussen synchroon: wachten tot functie/procedure uitgevoerd is client programma blokkeert totdat de remote procedure klaar is freeze effect Asynchroon: opstarten remote functie/procedure en onmiddellijk verder gaan met de eigen/lokale code webservices: o over http(s) ==> geen probleem firewalls o toegang voor andere niet.net-clients 4 SOAP is een protocol in de applicatie laag die het uitwisselen van data in XML formaat verzorgd met bv. een webservice. Het is een alternatief voor Micrsofts Distributed Component Object Model (DCOM) 5 extensible Markup Language (XML) is een standaard voor het definiëren van formele markup-talen voor de representatie van gestructureerde gegevens in de vorm van platte tekst. Deze representatie is zowel machineleesbaar als leesbaar voor de mens. 9

15 o o o eenvoudiger op te zetten dan.net remoting overdracht steeds via SOAP (XML) keuze tussen synchrone en asynchrone webservices Vergelijking.net remoting & webservices 6 : ASP.NET Web Services.NET Remoting Protocol alleen over HTTP over eender welk protocol (bv. TCP, HTTP, SMTP, ) State Management Type System Gebruikt een stateless environment Web services support only the datatypes defined in the XSD type system, limiting the number of objects that can be serialized. Provide support for both stateful and stateless environments through Singleton and SingleCall objects Using binary communication,.net Remoting can provide support for rich type system Interoperability Web services support interoperability across platforms, and are ideal for heterogeneous environments..net remoting requires the client be built using.net, enforcing homogenous environment. Reliability Extensibility Highly reliable due to the fact that Web services are always hosted in IIS Provides extensibility by allowing us to intercept the SOAP messages during the serialization and deserialization stages. Can also take advantage of IIS for fault isolation. If IIS is not used, application needs to provide plumbing for ensuring the reliability of the application. Very extensible by allowing us to customize the different components of the.net remoting framework. Ease-of- Programming Easy-to-create and deploy. Complex to program. Zowel.NET Remoting en ASP.NET webservices zijn krachtige technologieën die gebruikt kunnen worden voor het onwikkelen van gedistribueerde applicaties. Het is belangrijk te begrijpen hoe beide technologieën werken om dan te kiezen welke de meest geschikte is. Voor applicaties die een grote interoperabiliteit nodig hebben en moeten werken over het internet, kan er best voor een webservice gekozen worden. Voor applicaties die alleen communiceren met andere.net app s en waar performantie heel belangrijk is, is.net Remoting interessanter. Er werd uiteindelijk niet gekozen voor.net Remoting omwille van de volgende redenen: 6 Meer info op:

16 geen webclient mogelijk met.net Remoting aparte standalone client nodig compatibiliteit, voor.net remoting moet er altijd met een.net programma gecommuniceerd worden Er werd ook niet gekozen voor webservices: 2 mogelijkheden: o synchrone webservice antwoord pas wanneer functie/procedure is uitgevoerd webclient bevriest zolang de remote procedure wordt uitgevoerd. Bij het aanmaken van bv leerlingen zou het minuten bevriezen. Een tussentijdse status update is dan ook niet mogelijk. o Asynchrone webservice 7 hierbij wordt de remote procedure opgestart en kan de client ondertussen andere code uitvoeren of andere opdrachten verwerken. Het probleem schuilt hem in het feit dat de status niet kan opgevraagd worden zolang de remote procedure niet is uitvoerd geen status update mogelijk De uiteindelijke oplossing is een combinatie van de werkwijzen uit beide technologieën: Er wordt gebruik gemaakt van een webinterface voor de bereikbaarheid TCP socket wordt opgezet zodanig dat tussen client en servergedeelte van de core engine. Hierdoor zal bij verbreken van de connectie de server gewoon verder de opdrachten verwerken. Er is een TCP socket opgezet tussen de client & server: connectie verbreken ==> geen probleem server blijft taken verder uitvoeren synchrone webservices/.net remoting: o antwoord pas wanneer functie/procedure is uitgevoerd => hier sluiten client en later kijken hoever de opdracht verwerkt is => AJAX status polling asynchrone webservices () => probleem enkel melding wanneer klaar, status polling moeilijk 7 Asynchrone webservice: meer info op

17 2 Installatie 2.1 Software vereisten Algemeen: Installatie kan zowel op een domeincontroller als lidserver Windows 2003(R2) met IIS6 of Windows 2008(R2) met IIS 7 of 7.5 Linux als fileserver kan gebruikt worden Schermresolutie: aangeraden 1024 x768 voor de webinterface Browser: Internet Explorer wordt aangeraden versie 6 of hoger, Firefox kan ook maar niet voor de importmodules voor Wisad, Informat en SchoolOnline Windows 2003 (R2) Installeer.NET framework 3.5 SP1. Deze bevat reeds AJAX en moet niet apart geïnstalleerd worden. Windows 2008 (R2) Geen softwarevereisten. Windows 2003 (R2) 32 en 64 bit Installeer met de Wizard van UMS 1.2 en update de software door de bestanden te overschrijven. Windows 2008 (R2) De SQL-server en webserver wordt automatisch geïnstalleerd en kunnen best nog niet geïnstalleerd zijn. 2.2 Automatische installatie Windows Installatie 12

18 1. Download de software van umschools.dyndns.org: 2. Pak de software uit: 3. Vanaf versie 1.3 gebeurd de installatie via een setup-tool. Zie appendix A voor een bespreking van de bestanden in de zip-file. 13

19 4. Een overzicht van de stappen die worden uitgevoerd: 5. Controleer of het forest automatisch gedetecteerd is. Als dit niet het geval is controleer of je: a. kan pingen naar je domeincontroller b. de DNS-server goed is ingesteld c. nslookup voor domeinnaam Bv. nslookup markdal.lok d. bent aangemeld als domeinadministrator De locatie kan aangepast worden maar wanneer er spaties in het pad staan kan dit mogelijk met eigen gekozen tools (bv. Om rechten in te stellen) problemen geven. 14

20 6. Klik op Installeer engine om deze te installeren in de opgegeven map. In deze stap wordt tevens de snelkoppeling aangemaakt op het bureaublad: 7. Controleer of de velden goed zijn ingevuld. De groep opgegeven in het eerste veld zal aangemaakt worden op de DC (daarom moet de setup als domeinadministrator worden uitgevoerd) en de aangemelde gebruiker (domeinadministrator) wordt er lid van gemaakt. De hostheader bepaald hoe de webinterface van UMS zal benaderd worden. 8. Tijdens deze stap wordt: a. IIS geïnstalleerd 15

21 b. UMS-site wordt aangemaakt in IIS en geconfigureerd: i. 32bit apps ingeschakelen => true ii. Profiel laden => true c. Op de DNS-server wordt een A-record voor ums.domein toegevoegd voor alle IPadressen die zijn ingesteld op de netwerkkaart In deze stap wordt: a. SQL-2008R2 geïnstalleerd 16

22 b. SQL Management Studio geïnstalleerd c. de gebruiker umadmin wordt aangemaakt met wachtwoord umschools d. de database met naam UserManagementSchools wordt aangemaakt met bijhorende tabellen. 11. Kies welke settings je wenst toe te voegen. Wanneer je van een andere UMS-installatie geen settings wil overzetten, is het sterk aan te raden om de basissettings toe te voegen. Vervolgens kan je kiezen om reeds standaardrechten voor accounttype lln en lkn toe te voegen zodat je deze later niet moet toevoegen via de rechtenwizard of manueel. Kies de settings die je wil toevoegen en klik de knop. 17

23 Basissettings: 18

24 Rechtensettingss Configuratie Toegang tot de GUI vanaf de server waar UMS op geïnstalleerd is: 19

25 1. Open regedit en blader naar Localmachine => System => Currentcontrolset => Control => LSA en maak een nieuw DWORD aan met naam DisableLoopbackCheck 2. Geef deze de waarde 1 en vanaf nu kan je wel beveiligde sites benaderen vanaf de webserver zelf. Je moet dus niet de server herstarten FAQ Q: installatie geeft een foutmelding. Wat doe ik? A: controleer of: je de installatie uitvoert als domeinadministrator de domeincontroller bereikbaar is zodat het forest automatisch kan gedetecteerd worden klik nog eens op het onderdeel Installeer bij webinterface of SQL-server en ga na of de fout zich opnieuw voor doet. Indien de fout blijft stuur je best een mail naar umschools@gmail.com met een screenshot van de foutmelding. Q: ik kan het menu niet gebruiken in de webinterface in IExplorer 9. A: schakel de compatibiliteitsweergave in Q: ik geraak niet op de webinterface van UMS A: Controleer de volgende zaken: is er een groep umsadmins toegevoegd in Active Directory waar de gebruiker waarmee je aanmeldt in staat controleer of het DNS-record is aangemaakt op de DNS-server 20

26 probeer vanaf een ander toestel de UMS-site te benaderen. Om veiligheidsredenen laat Microsoft het niet toe dat je een beveiligde site van de server waar die gehost wordt, benaderd. Je kan dit omzeilen via een setting in het register. Zie hiervoor Wanneer je zelf de installatie van IIS en de UMS-site hebt gedaan: controleer in IIS bij de UMS site in het onderdeel verificatie het onderdeel Windows verificatie aanwezig is en in ingeschakeld. Indien niet aanwezig installeer je het via functieservices in Serverbeheer => IIS bij de fout "Security Exception" controleer in IIS of bij de Advanced Settings van de Default Application Pool de Load User Profile op true staat. Deze fout komt weinig voor maar is als volgt op te lossen: Ga naar Serverbeheer => functies => webserver (IIS) => IIS-beheer => Toepassingsgroepen => selecteer in de lijst DefaultAppPool => klik vervolgens rechts op Geavanceerde instellingen en controleer of Gebruikersprofiel laden op True staat => na het te hebben aangepast, voer je in commandprompt iisreset uit. Q: Licentie niet geldig A: Controleer of: de snelkoppeling op het bureaublad bij Beginnen in het pad staat opgegeven: C:\UMS\UMS- Engine (fout in oude setup gedownload voor 19 juli 2011 het bestand settings.ini in dezelfde map staat als umserver.exe de gegevens in dit bestand kloppen Q: umserver kan als service worden geïnstalleerd maar dit gebeurt niet via de bijgeleverde setuptools. A: Het wordt aangeraden om in de huidige versie van het product de engine als standalone applicatie op te starten zodat u meldingen en het verkeer mee kan opvolgen. Eenmaal de configuratie en testmomenten achter de rug zijn kan deze als service worden toegevoegd. Q: bij de installatie van UM-engine wordt als standaardpad c:\ums opgegeven mag ik dit wijzigen? A: Dit mag maar je gebruikt best geen spaties in het pad omdat dit problemen geeft bij een aantal tools zoals bv. rmtshare.exe Als je toch het onder bv. Program Files wil plaatsen zorg er dan voor dat het mapje tools ergens anders naar toe wordt gekopieerd naar een locatie zonder spaties en vergeet de variabele toolspath en rechtentool niet aan te passen. 21

27 2.3 Automatische installatie Windows Installatie De installatie bestaat uit 2 delen. Het eerste deel installeert de engine en het tweede de webinterface. Zie tutorials op de website Configuratie Zie tutorials op de website

28 2.4 Update Om UMS te updaten naar versie 1.4 ga je als volgt te werk: 1) Download de update 2) Pak hem uit onder C:\UMS 3) Sluit de UMS-Engine 4) Klik met RM op update_1.4.bat en kies Als administrator uitvoeren 23

29 5) 6) Controleer of alle kopieeropdrachten goed zijn gelukt 7) Start UMS-Engine terug met de snelkoppeling op het bureaublad 8) Pas de setting versie aan naar 1.4 9) klaar 24

30 3 Opbouw 3.1 Webinterface Startpagina Naast de verwelkoming staan er drie belangrijke zaken op de startpagina Engine Er wordt automatisch gecontroleerd of er verbinding kan gemaakt worden met de UMS-Engine. Wanneer deze niet gestart is wordt dit in het rood aangegeven en kunnen er geen jobs verwerkt worden. Licentie De licentie wordt ingelezen uit de setting licentie en gecontroleerd op geldigheid. Dit is louter ter info. Het zal de werking niet tegen gaan. Wanneer de aangekochte licentie niet wordt geaccepteerd controleer dan of je de laatste nieuwe versie hebt van de software en of de datum in het formaat d/mm/yyyy staat. 25

31 Wanneer geen licentie opgegeven is wordt weergegeven tot wanneer deze trial geldig is: Update Er wordt standaard gecontroleerd of er een nieuwe versie beschikbaar is op Je kan dit uitschakelen met de setting updateserver en de waarde disabled. Met deze setting kan eveneens een alternatieve updateserver opgegeven worden. Bv. als er wordt afgestapt van dyndns.org. Het huidige versienummer wordt opgehaald in de setting versie Nonbulk Via dit onderdeel één gebruiker aanmaken, wijzigen of verwijderen. Dit onderdeel staat uitgewerkt in hoofdstuk Bulk Via dit onderdeel kan je in bulk accountbewerkingen doorvoeren. De invoer kan komen van een Excel-bestand, Wisad, Informat en SchoolOnline. In de toekomst zal Broekx nog worden toegevoegd als importmodule Jobmanager Hier kunnen de uitgevoerde, actieve en uit te voeren jobs gecontroleerd worden Extra Settings 26

32 Hierin kan je alle settings terugvinden van UMS behalve domeininformatie (namen, domeincontrollers, ) en ook niet de nonbulksettings (= standaardwaarden) Backup/restore Met de onderdeel kan je backups maken van de UMS-instellingen. Zowel de algemene als de nonbulk settings. Het is een good practice om na de configuratie van paden/importmodules en rechten een backup te maken. Dit kan tevens gebruikt worden om de configuratie te kopiëren naar andere campussen Importsettings Hierin kan je voor elke importmodule de instellingen op geven Mailsettings Instellingen over hoe de mailserver kan benaderd worden Rechtenwizard Via deze tool kan je eenvoudig de rechten instellen voor elk accounttype zodat je niet de syntax moet kennen van elke tool die gebruikt wordt Nonbulk Hierin kunnen de standaardwaarden op gegeven worden. Er wordt een onderscheid gemaakt tussen algemene en domein/accounttype specifieke standaardwaarden. Zie hoofdstuk 4 voor meer info Foreststructuur Tijdens de installatie wordt gedetecteerd in welk forest UMS wordt geïnstalleerd. De gevonden informatie kan je hier bekijken maar niet aanpassen. In het menu Settings Foreststructuur kan u de instellen doen voor elk domein dat wordt beheerd via de User Management tool. Wanneer de tool net geïnstalleerd is, kan via de knop Reset het forest onderzocht worden. Alle gevonden domeinen met subdomeinen worden vervolgens bewaard in de databank. Dit is een zeer krachtige tool maar ook gevaarlijk. Wanneer de foreststructuur gereset wordt, zal er een andere ID toegekend worden aan elk domein waardoor koppelingen in vroegere jobs fout zullen zijn. 27

33 Bij selectie van een domein kan je opgeven wat de gebruikersnaam en wachtwoord is voor de account die moet gebruikt worden bij acties in het geselecteerde domein. Dit wordt in de huidige versie nog niet gebruikt. Je kan voor het geselecteerde domein opgeven welke de domeincontroller zal zijn die de wijzigingen doorvoert in AD. De servers in deze lijst worden automatisch gedetecteerd Help Info adres voor meer informatie te vragen over bepaalde onderdelen. 28

34 Handleiding De handleiding van het pakket is terug te vinden onder Help Handleiding 29

35 3.2 UMS-Engine De UMS-engine voert de taken door die doorgestuurd werden met de GUI. Deze kan opgestart worden met behulp van de snelkoppeling op het bureaublad of door het bestand c:\ums\ums- Engine\UMserver.Exe uit te voeren. De UMS-Engine gaat bij het starten na of de licentie geldig is. Zoniet wordt er gekeken of de trial nog geldig is. In beide gevallen wordt er aangegeven tot wanneer deze kan gebruikt worden Werking 1. bij opstarten wordt settings.ini geraadpleegd om connectie te kunnen maken met de SQLserver 2. de licentie wordt opgevraagd uit de SQL-server 3. de datum op de domeincontroller wordt opgevraagd. De verkregen datum bepaalt of de licentie/trial nog geldig is. Hierover wordt vervolgens bericht. 4. Wanneer de homepagina van de webinterface wordt opgevraagd wordt met het commando ping de connectie gecontroleerd. De UMS-Engine antwoord met pong. Alle gestuurde commando s tussen de UMS-GUI en de UMS-Engine kan je hier nalezen. 5. Wanneer een job wordt gestart wordt het commando user gebruiker gestuurd met gebruiker de accountnaam van de persoon die is aangemeld op de UMS-GUI Configuratie 1. Het is belangrijk dat deze executable wordt uitgevoerd als domeinadministrator zodat deze rechten heeft om mappen aan te maken op andere servers, Active Directory kan bewerken, rechten instellen, 2. Het bestand settings.ini moet in dezelfde map staan als UMserver.exe en bevat het adres van de SQL-server, gebruikersnaam, paswoord en databanknaam

36 3.2.3 Troubleshouting Onmiddellijk Druk op een toets om af te sluiten => datum formaat staat waarschijnlijk verkeerd. Dit moet zijn in de vorm d/mm/yyyy. Je kan dit aanpassen via de Landinstellingen op de server. snelkoppeling zonder werkmap op te geven => settings.ini niet gevonden Zo is de snelkoppeling correct: als domeinadministrator uitvoeren => anders te weinig rechten op andere servers (fileserver/active Directory) umserver kan opgestart worden in debugmodus zodat kan nagegaan worden tot en met welke stap alles goed loopt. In een shell geef je op c:\ums\ums-engine\umserver.exe /debug job doorgestuurd en wordt niet in de lijst weergegeven of melding (niet verwerkt) => engine niet gestart 31

37 3.3 Databank In de SQL-server wordt bij installatie een database UserManagementSchools aangemaakt waar alle settings van UMS worden bewaard. Als ook de job- en algemene logs. Als ook de job gereleateerde data. Om de connectiviteit met de SQL-server te controleren kan je de SQL Management Studio openen en aanmelden met de SQL-gebruiker umadmin. Tijdens debuggen/troubleshooting kan het zinvol zijn om de algemene logs van UMS te bevragen. Dit kan tot op heden alleen via deze weg. Verder heeft de gebruiker waarmee UMS werd geïnstalleerd volledige toegang tot de SQL-server. 32

38 3.4 Terminologie taak aanmaken, wijzigen of verwijderen van één account met bv. Homedir, profiel, job een verzameling van taken (bv. Excel-werkblad) accounttype bij het instellen van de rechten kan je diversifiëren voor de verschillende soorten accounts bv. lln, lkn, directie, sec. Deze namen zijn zelf te kiezen. Door een nieuw accounttype te gebruiken in een rechtensetting zal deze automatisch beschikbaar zijn. accountbewerkingen dit bepaald welke acties er worden uitgevoerd voor de doorgestuurde job. Je kan bv. in je job alle info om de homedir en profieldir aan te maken hebben opgegeven maar als je alleen AD-bewerking kiest dan zal alleen de account in Active Directory worden ingegeven, gewijzigd of verwijderd. Op deze manier kan voor een reeds doorgestuurde Excel-invoerfile de job hervatten vanaf bv. de homedir bewerkingen. Dit is handig wanneer je bv. bepaalde settings (bv. rechten) nog verkeerd had staan. 33

39 4 Settings Via het menu Extra Settings wordt een overzicht gegeven van alle instellingen. Zowel de instellingen die nodig zijn voor de werking van de GUI als de parameters die gebruikt worden bij het uitvoeren van de taken bv. rechten, paden,... worden hier weergegeven. In de eerste sectie zal besproken worden welke de mogelijkheden zijn van de gui. Vervolgens zal in de 2 e sectie besproken worden welke settings er mogelijk zijn met de mogelijke verbanden met andere instellingen. 34

40 4.1 Hoe de settings beheren? De user interface voor het beheer van de settings bestaat uit 2 luiken. Het eerste luik toont de instellingen en hun waarden. In het 2 e luik kunnen instellingen worden aangepast of nieuwe aangemaakt. Gebruik lijst Typ het term in die in de naam moet voorkomen opdat de setting getoond zou worden en klik op filter. Door op de kolomnaam te klikken om de instellingen oplopend en alfabetisch te sorteren. Onderaan de lijst kan u bladeren naar de volgende pagina s met instellingen door op het paginanummer te klikken. De eerste kolom in de lijst met het editeer-icoon ( )wordt gebruikt om de setting te selecteren en vervolgens de waarde of omschrijving te bewerken. Met de 2 e kolom verwijdert u de instelling Nieuwe setting 35

41 Controleer steeds of als ID Nieuw staat, andere bent u een bestaande setting aan het aanpassen. In het 2 e luik kan u, indien geen instelling geselecteerd werd, een nieuwe aanmaken. Om u te helpen bij de syntaxis van de instellingen kan een template naam opgeroepen worden met het editeer icoon. U klikt op het icoon, scrolt door de lijst met templates en klikt er één aan. U klikt naast de lijst om deze te verbergen. De 3 e iconen onder het waarde veld kunnen gebruikt worden om respectievelijk een OU-pad, een gebruiker of een groep te zoeken. Groepen en gebruikers worden na selectie achteraan het waarde veld toegevoegd. Dit gebeurt in het formaat domein\samaccoutname 36

42 De selectie van een OU daarentegen toont de volledige LDAP-pad van het AD-object. Vervolgens stript u de waarde tot het nodige. Geef als laatste stap een omschrijving op zodat het duidelijk blijft voor later waarvoor de instelling dient en klik op Bewaren. Tip: Om snel een nieuwe instelling te maken gebaseerd op een bestaande, selecteer je eerste de setting in de lijst en klik je vervolgens op nieuw. Bestaande wijzigen Selecteer de te wijzigen instelling en controleer het ID. Pas de waarde en omschrijving aan en klik op Bewaren. 37

43 4.2 Overzicht van alle settings GUI settings: toolspath o pad van de beheertools tmpsharefile o Tijdelijk bestand waar het overzicht van alle delingen van een server in geplaatst worden zodat deze later hieruit kunnen geparsed worden. Bij het verplaatsen of verwijderen van een account zal de homedir en profielshare moeten omgezet worden naar een lokaal pad op een server om het vervolgens te kunnen kopïeren of verplaatsen. tmpdfsfile o Tijdelijk bestand met DFS 8 -info. Bij het verplaatsen of verwijderen van een account zal de homedir en profielshare moeten omgezet worden naar een lokaal pad op een server om het vervolgens te kunnen kopïeren of verplaatsen. Als dit een DFS-share is zal in eerste instantie de DFS-snelkoppeling worden in omgezet naar het volledige DFS-pad. Vervolgens zal het DFS-entry point moeten worden omgezet naar een servernaam en share. rapporttemplate-vvkso.lok o overzichtsjabloom dat gebruikt wordt voor het genereren van een overzicht voor een job in het domein vvkso.lok Rechten: mappen: o bepaling rechten: er wordt gezocht naar de meest specifieke setting die voldoet bv. voor homedir (analoog voor foldertype: profiel en klasmap): rights-homedir-accounttype-domein rights-homedir-domein rights-homedir o voor het instellen van rechten op mappen wordt xcacls.vb gebruikt omdat hiermee eveneens geavanceerde rechten kunnen worden ingesteld. Deze moet in de map toolspath moet staan o Met de instelling setrightsexec kan een andere tool worden opgegeven. Shares: Sharerights o bepaling rechten: er wordt gezocht naar de meest specifieke setting die voldoet bv. voor homedir (analoog voor foldertype: profiel en klasmap): sharerights-homedir-accounttype-domein sharerights-homedir-domein sharerights-homedir 8 Distributed File System: een bestandensysteem dat verspreid is over meerdere servers. 38

44 o o voor het instellen van rechten op shares wordt rmteshare.exe gebruikt. Deze moet in de map toolspath moet staan Met de instelling setsharerightsexec kan een andere tool worden opgegeven. Mapbewerkingen behoudhomedir wanneer deze setting niet is opgegeven dan zal bij het wijzigen van de locatie of verwijderen de share van de homedir wel verwijderd worden maar de map niet. Als deze veiligheid wil uitschakelen dan voeg je de setting behoudhomedir toe met waarde onwaar Groep OU Wanneer een groep niet bestaat waar een gebruiker lid moet van gemaakt worden, dan wordt deze in de OU geplaatst die met deze setting wordt opgegeven. bepaling groupou: o er wordt gezocht naar de meest specifieke setting die voldoet: groepoupad-accounttype-domein groepoupad-domein groepoupad CN=Users Importmodules Excel o xlslokpad lokaal pad waarde geuploade XLS-documenten geplaatst moeten worden Wisad: Settings in te geven via Extra Importmodules o wisadconnectie Naam van de te gebruiken wisadconnectie o wisaddatabank De te gebruiken server op de wisadserver o wisadgebruiker De gebruiker die wordt gebruikt om aan te melden in de databank o wisadwachtwoord Wachtwoord van de wisadgebruiker o wisadexportlokpad plaats waar tijdelijke csv-bestanden worden geplaatst bij het exporteren uit wisad Informat: Settings in te geven via Extra Importmodules o informatlogin het adres dat rechten heeft gekregen om de webservice van Informat voor UMS o informatpw wachtwoord voor de login van Informat o informatinstnr instellingsnummer SchoolOnline: Settings in te geven via Extra Importmodules o sonline-lln-vvksolln schoolonlinepublicatie voor accounttype lln. Deze url is versleuteld zodat niemand anders deze uit UMS kan kopieren om zelf de gegevens te gebruiken. 39

45 o schoolonlineveldenllnmarkdalsonline-lln-vvksolln standaardwaarden voor schoolonlineimportmodule voor opgegeven accounttype, domein en instelling Mailserver Exchange 2003 Mailboxstorepath Indien mailbewerkingen werden opgegeven dan wordt bij het aanmaken van de mailbox van de gebruiker deze aangemaakt in de opgegeven mailbox store. De naam van de instelling is opgebouwd uit mailboxstorepath-dnsnaam bv. mailboxstorepath-vvkso.be. Het pad wordt best opgevraagd met adsiedit zodat er geen typfouten gebeuren. Een voorbeeld van het LDAP-pad van een mailboxstore: LDAP://CN= VVKSO,CN=VVKSO,CN=InformationStore,CN=vvksomailsrv1,CN=Servers,CN=First Administrative Group,CN=Administrative Groups,CN=MarkdalMail,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=vvkso,DC=lok Voor het opzoeken gaat u naar het domein Configuration Services Microsoft Exchange DomeinMail Administrative groups naam group Servers servernaam mailsrv Informationstore naam van de informationstore = mailboxstore 40

46 Exchange 2007/2010 mailserveruser een account om van op afstand opdrachten op de Exchange server uit te voeren mailserverpw het wachtwoord mailserverdatabase-accounttype de databank op de mailserver waar nieuwe mailboxen moeten worden aangemaakt voor account van het opgegeven accounttype mailserverdatabase de standaard databank voor de mailboxen. mailserveruser Account (=Mailadres) om de mailserver te configureren. mailserverpw Paswoord om te configureren. liveatedumailserver Het volledige https-pad naar de mailserver. Scripts scriptssequentieel alle scripts worden na elkaar uitgevoerd 41

47 Paswoord pwgen opbouw patroon;vreemdetekens;aantalvreemdetekens pwgen-accounttype-domein voor opgegeven accounttype en domein moet het wachtwoord het opgegeven formaat hebben 42

48 5 Nonbulk 5.1 Configuratie Via het menu Settings Nonbulk kan je velden opgeven die je kan gebruiken bij het toevoegen van een gebruiker via de Nonbulk Toevoegen module. Standaard zijn er al heel wat velden voorzien maar het kan zijn dat je nog extra velden wenst in te vullen voor de gebruiker in AD. Verplichte velden: Domein Type Login (#samaccountname) AD-objectnaam Geen groepen opgegeven => geen lid van een groep Geen OU opgegeven => wordt aangemaakt onder CN=Users Standaardwaarden: Standaardwaarde per veld: o Deze waarde wordt gebruikt als er geen veld-domein-type standaardwaarde bestaat anders heeft de meer specifieke standaardwaarde voorrang o Bij het opgeven kunnen volgende variabelen gebruikt worden: %login% %voornaam% %achternaam% %domein% %fqdn% %type% Standaardwaarde per veld-domein-type: o opgegeven waarde voor een veld worden standaard bewaard als default-waarde voor dat veld-domein-accounttype. Worden geladen voor de gekozen velden in de 2 e stap, voor groeplidmaatschap en het ou-pad in active directory. 43

49 5.1.1 Veld toevoegen Het formulier bestaat uit: Veldnaam o leesbare naam voor het nieuwe veld Systeemkolomnaam o de naam die AD achter de schermen gebruikt om een bepaald veld van een useraccount aan te duiden. Deze naam laat je voorafgaan door een # o Gebruik adsiedit om de juiste naam te achterhalen. Bij één van de volgende updates zal er gekozen kunnen worden uit alle mogelijke AD-velden. Standaardwaarde o Hier geef je de waarde op die dit veld standaard heeft. Zo kan voor het veld bedrijf de naam van de school als standaard ingesteld worden. o Er kan ook gebruik gemaakt worden van variabelen Mogelijke variabelen: %login% %voornaam% %achternaam% %domein% = de korte domeinnaam bv. vvkso %fqdn% = de volledige domeinnaam bv. vvkso.lok %type% = het accounttype dat voor de nieuwe account wordt opgegeven 44

50 Bv. Wanneer een veldnaam en/of systeemkolomnaam wordt opgegeven die reeds in gebruik is, wordt er een foutmelding gegeven: Geavanceerd: ADSIEdit Deze tool zit standaard bij de Windows Server 2003 Support Tools en roep je op via bv. Start Uitvoeren adsiedit.msc Ga naar een gebruiker RM Eigenschappen 45

51 Vervolgens krijg je een lijst te zien met alle velden (Attributes) en kopieer je de naam van diegene die je wenst. Afhankelijk van de geïnstalleerde pakketten bv. Exchange zullen er meer of minder velden beschikbaar zijn. Zo kan je bv. het veld voor het gsmnummer toevoegen 46

52 5.1.2 Veld wijzigen Als u voor Veld wijzigen kiest, zal u eerst het te wijzigen veld moeten selecteren en vervolgens Laden. Verwijderen Indien u het veld verwijdert zullen alle gegevens over dit veld weg zijn. Standaardwaarden voor het triplet veldnaam, domein en accounttype worden eveneens gewist. Tip: het veld moet niet eerste geladen worden om het te kunnen verwijderen. Wijzigen Wat het wijzigen betreft wordt er een onderscheid gemaakt tussen een algemene standaardwaarde en instellingen voor het veld die domein/accounttype specifiek zijn. Zo kan er initieel een algemene standaardwaarde op gegeven worden en indien nodig dit later te verfijnen met instellingen enkel voor een gegeven domein en accounttype. Via de knop Algemene veldinfo wijzigen zal u meestal de standaardwaarde aanpassen maar bij fouten in de veldnaam of systeemkolomnaam kan je dit hier corrigeren. Je kan voor het geladen veld verfijnen maken per domein en accounttype. In onderstaand voorbeeld (eerste regel) zal bij het aanmaken van een leerling (type=lln) in het domein is.markdal.lok standaard de loginnaam krijgen voor het veld AD-objectnaam. 47

53 De 2 e regel geeft aan dat bij het aanmaken van een gebruiker van het type lkrvito in het domein markdal.lok er standaard de achternaam_voornaam wordt geplaatst. Ofwel voeg je een nieuwe domein/account specifieke standaardwaarde toe ofwel pas je de geselecteerde aan. Het selecteren van een rij doet u met. Het verwijderen met. Met geselecteerd geeft u aan of voor het geladen veld moet weergegeven worden om in te vullen wanneer een account voor opgegeven accounttype en domein wordt aangemaakt. Het veld update geeft aan of bij het aanmaken van een gebruiker de waarde voor het geladen veld moet aangepast worden zodanig dat je steeds de vorig ingevulde waarde als standaard krijgt. 48

54 5.2 Account via nonbulk toevoegen Het aanmaken gebeurt in 2 stappen Stap1 Via het menu Nonbulk Toevoegen komt u bij de eerste stap voor het aanmaken van een gebruiker. Bij selectie van een domein zal de lijst met accounttypes, de OU-structuur in AD en de beschikbare groepen getoond worden. In de lijsten Domein en Type moet een item geselecteerd zijn. Een 3e verplicht veld is het veld Login. Hierin moet de samaccountname van de gebruiker opgegeven worden. Type De lijst met types voor een domein wordt gegeneerd uit de lijst met settings. Alle gebruikte accounttypes in de settings voor de rechten van homedir of profielmap voor het opgegeven domein worden getoond. Wanneer een instelling rights-profiel-lln-vito bestaat dan zal bij selectie van domein vito het accounttype lln worden toegevoegd aan de lijst. Wachtwoord Door op het edit icoon achter de knop Genereer te klikken kunnen de instellingen worden aangepast voor het genereren van een random wachtwoord. Karakters die misleidend zijn zoals [1,l,I] of [O,0] worden niet gebruikt. OU Indien er geen OU werd geselecteerd dan zal de nieuwe gebruiker worden aangemaakt onder de OU Users in AD. De selectie van een OU gebeurt door u in de boomstructuur te navigeren tot de gewenste OU en vervolgens hierop te klikken. Vervolgens zal het OU pad boven de boomstructuur worden getoond en zal de boom zich sluiten. Groep Er moet niet verplicht een groep geselecteerd worden. Een eerste verschil met de bulk-module is dat er geen nieuwe groepen kunnen worden aangemaakt. Een tweede verschil is het feit dat er geen groep in een groep kan geplaatst worden. 49

55 Wandel door de boomstructuur en selecteer alle groepen waarvan de nieuwe gebruiker lid moet worden Stap2 Door op Volgende te klikken, na eventueel fouten te hebben gecorrigeerd, komen we op volgend venster terecht. Bewerkingen In de lijst bewerkingen wordt opgegeven wat er moet gebeuren voor deze nieuwe gebruiker: AD-bewerkingen: o Account wordt aangemaakt in AD in de opgegeven OU o Account wordt lid gemaakt van de opgegeven groepen o Alle geselecteerde velden voor AD worden ingevuld in het AD-object, de nieuwe gebruiker Homedirmappen en shares: o de homedirectory en deling ervan wordt aangemaakt homedirmap- en sharerechten: o rechten voor zowel de homedir als de homedirshare worden gezet zoals opgegeven in de instellingen profielmappen en shares: o de profielmap en deling ervan wordt aangemaakt profielmap- en sharerechten: o rechten voor zowel de profielmap als de deling ervan worden gezet zoals opgegeven in de instellingen o o een mailbox word aangemaakt op de mailserver zoals in de instellingen werd aangegeven een adres wordt aangemaakt voor de nieuwe mailbox klasmap: o indien de klasmap nog niet bestaat wordt deze aangemaakt en zullen de rechten worden ingesteld Velden Afhankelijk van de gekozen bewerkingen zullen de verplichte velden voor deze bewerkingen geselecteerd worden in de lijst met in te vullen velden. Met deze lijst kan er dynamisch opgegeven worden welke de beheerder wenst in te vullen. De items in deze lijst bestaan uit de gebruiksvriendelijke naam en de systeemkolomnaam van het veld. 50

56 Er kan per veld in de instellingen (Extra Nonbulk ) opgegeven worden of de vorige waarde al dan niet moet onthouden worden of dat er steeds een zelfde standaardwaarde is voor het veld. Bv. indien als standaardwaarde %voornaam%.%achternaam%@%fqdn% wordt opgegeven, dan zal volgend standaardwaarde gegenereerd worden: Meer info hierover vindt u in sectie Extra Nonbulk. Wanneer de selectie werd aangepast wordt de lijst herladen door op de knop Toon velden te klikken. Jobnaam Elke opdracht wordt als een job naar de core engine gestuurd. In dit geval zal er steeds de job natuurlijk uit n taak bestaan. Er wordt een voorstel voor de jobnaam gegenereerd die hier eventueel kan aangepast worden. Log automatisch tonen Wanneer op Voltooi wordt geklikt zal bij selectie automatisch de module jobmanager getoond worden zodanig dat u het toevoegen van de nieuwe gebruiker kan opvolgen. Voltooi Met de knop Voltooi stuurt u de opdracht door naar de core engine. 51

57 5.3 Wijzigen Setup De eerste keer dat psexec uitgevoerd wordt zal er gevraagd worden om de licentie te bevestigen. Bij UMS op een Windows 2008 is dit eenmalig op de UMS-server. Voor Windows 2003 moet dit voor alle fileservers gebeuren. 52

58 5.3.2 Voorbeeld 53

59 Jobmanager: Jobid: 15 Omschrijving: Change_vvkso.lok\pniste_ _12:14:01 Aanvrager: VVKSO\Administrator Domein: vvkso.lok Bewerkingen: ad Job gestart: 12:18:00 ================ (info): toegevoegd joblog (info): gestart inlezenjob (info): takenlijst ingelezen voor job met ID 15 ================================================================================== Taak:1 Start: 12:18:55 ================ accountbewerkingen (info): Data van gebruiker pniste succesvol gehaald uit AD. accountbewerkingen (info): Gebruiker CN=pniste toegevoegd aan groep: CN=GRVvksoLkn accountbewerkingen (info): Gebruiker CN=pniste toegevoegd aan groep: CN=GRLlnToegang ================================================================================== 54

60 Job beëindigd: 12:18:56 ================ joblog (info): Job met ID 15 verwerkt in 03 minuten. joblog (info): verwerkt Aandachtspunt: De velden homedirlokpad en profiellokpad worden niet opgevraagd bij het laden van de gebruiker. Je kan de knop Laad standaardwaarden gebruiken om deze goed te zetten Wijzigingen in homedir 1. lokaal pad van de homedirshare wordt opgevraagd 2. share wordt verwijderd 3. nieuwe homedir wordt aangemaakt 4. nieuwe homedir wordt geshared 5. bestanden worden gekopieerd 6. oude homedir wordt verwijderd indien behoudhomedir op onwaar staat Wijzigingen in profielmap 1. lokaal pad van de profielshare wordt opgevraagd 2. share wordt verwijderd 3. nieuwe profielmap wordt aangemaakt 4. nieuwe profielmap wordt geshared 5. bestanden worden gekopieerd indien de oldsam dezelfde is 6. oude profielmap wordt verwijderd 55

61 5.4 Verwijderen Verwijderen van één gebruiker. Stap1: login opgeven Eerst geef je de samaccountname (login) op van de gebruiker die je wenst te verwijderen. Je kan hierbij ofwel alleen de login opgeven ofwel voorafgegaan door het domein. Een andere mogelijkheid is de gebruiker te selecteren door op het User-icoon te klikken. Stap2: laden Na de login te hebben opgegeven klik je op laden. 56

62 Indien er geen gebruiker werd gevonden met opgegeven samaccountname dan wordt de volgende melding weergegeven. Stap3: Controleren en verwijderen Indien het domein en het pad in AD correct zijn, kan via Verwijderen de gebruiker verwijderd worden. Je kan de jobnaam en bewerkingen aanpassen door Extra opties af te vinken. Voor De homedir wordt mee verwijderd indien behoudhomedir op onwaar staat 57

63 6 Bulk Momenteel zijn volgende invoermethodes voor bulk ondersteund: Excel document (XLS of XLSX) Wisad Informat SchoolOnline 6.1 Excel-importmodule Setup Xlslokpad pad waar de doorgestuurde Excel wordt geplaatst. Standaard is dit C:\UMS\UMS- GUI\data\jobs De GUI 1. Het is het gemakkelijkst om u te baseren op een vorige Excel-document of om de voorbeeld Excel file te gebruiken. 2. Klik vervolgens op Bladeren om het klaargemaakte Excel-document te uploaden vanaf je PC. 3. Kies voor welk domein je de job wenst aan te maken 4. Via toon uitgebreide instellingen kan je opgeven welke bewerkingen er moeten gedaan worden en kan je een meer specifieke jobnaam opgeven. 58

64 5. Via Controleer worden een aantal zaken van de syntaxis gecontroleerd voor elke taak (=regel) in de job (=Excel-file). TODO 6. Klik op verwerk om de job naar de verwerkingseenheid (core engine) te sturen en geef met de checkbox aan of al dan niet de jobmanager automatisch moeten getoond worden Excel-document Het Excel document moet een werkblad hebben met naam users (zonder aanhalingstekens). Andere tabbladen worden genegeerd. De eerste rij geeft de kolomnamen aan. Elke kolomnaam die start met een # wordt aanzien als een veld in Active Directory en er zal geprobeerd worden om deze eigenschap in te vullen voor de nieuwe gebruiker. Op deze manier kan eender welk veld met de Excel-sheet opgegeven worden. Elk Excel-file moet steeds de volgende kolommen bevatten: AD-objectnaam: o De naam van het object, i.e. de gebruiker, in AD. #samaccountname: o De accountnaam van de gebruiker bewerking: o wat voor taak de regel voorstelt. Dit kan zijn: toevoegen, wijzigen en verwijderen. Veelgebruikte veldnamen voor AD (= beginnend met #) #samaccountname accountnaam #initials initialen van de gebruiker #userprincipalname accountnaamvoor #sn achternaam #givenname voornaam #description beschrijving #displayname De naam getoond in het start menu of gebruikt bij de mailserver in het adresboek #Streetaddress straat #Postalcode postcode #L gemeente #Homephone telefoon #password wachtwoord #company bedrijf bv. Naam scholengemeenschap #department afdeling #title titel #homedirectory homedirectory van de gebruiker = netwerkpad waar de Mijn documenten bewaard moeten worden bv. \\vvksodatasrv\leerling01$ #profilepath profielpad = netwerkpad waar het profiel wordt bewaard 59

65 Gekende niet AD-velden accounttype o met deze kolom wordt aangegeven wat voor gebruiker dit is. Het accounttype wordt o.a. gebruikt voor het opsporen van de rechten voor homedir en profiel. Dit is geen verplicht veld maar het wordt aangeraden deze te gebruiken. o Hoe meer accounttypes je opgeeft hoe meer verfijnd je de rechten voor homedir/profiel en bijhorende shares kan opgeven AD-objectnaam o de naam van de gebruiker in AD, deze naam zie je staan wanneer je door de AD wandelt. groepen o hier geef je gescheiden door een ; op van welke groepen de gebruiker moet lid gemaakt worden. Je kan ook opgeven dat een groep in een andere groep geplaatst moet worden. o Bv. grklasbi5:grvvksolln:grvvkso;grtechtekenen de gebruiker zal lidgemaakt worden van grklaski5 die op zijn beurt wordt toegevoegd aan grvvksolln die opzijn beurt wordt lidgemaakt van grvvkso. Ten laatste wordt de gebruiker nog rechtstreeks in grtechtekenen geplaatst. o Als een groep niet bestaat dan zal deze aangemaakt worden in de OU opgegeven met de instelling: groepoupad-accounttype-domein (zie de sectie Settings Beheer voor meer info). o Opgelet: om een groep van een groep lid te maken, moet het domeinfunctionaliteitsniveau op 2003 staan. Dit controleer u via AD gebruikers en computers RM domein Domeinfunctionaliteitsniveau verhogen

66 homedirlokpad o het volledige lokale pad waar de homedirectory moet geplaatst worden. Dit pad moet steeds : \ bevatten. Bv. d: \lln\homedirs\1tso\la1a\la1alln01 dfshomedirlinktarget o wanneer het veld homedirectory een DFS-shortcut is dan moet je hier opgeven wat het volledige pad is van de DFS-share o bv. er werd een DFS voor het domein vvkso opgezet met een DFS-root lln. Vervolgens werden voor de nieuwe gebruiker volgende instellingen opgegeven voor de homedir: #homedirectory \\vvkso\lln\bbm3alln01 homedirlokpad wordt opgegeven d:\lln\_homedirs\3bso\bbm3a\bbm3alln01 dfshomedirlinktarget \\vvkso\lln\_homedirs\3bso\bbm3a\bbm3alln01 profiellokpad o het volledige lokale pad waar de profielmap moet geplaatst worden. Dit pad moet steeds : \ bevatten. Bv. d: \lln\homedirs\1tso\la1a\la1alln01 o o het adres voor de gebruiker wordt hier opgegeven. Het moet volledig uitgeschreven zijn bv. wat na staat bepaalt in welke mailboxstore de mailbox moet aangemaakt worden. Dit gebeurt via de instelling: mailboxstorepath-vvkso.be beperkcontactpers o geldige waarden zijn true en false o wanneer deze op true staat zal de eigenschap msexchquerybasedn in AD ingesteld worden op de OU waar de gebruiker in wordt aangemaakt. Dit voorkomt dat de gebruiker later in zijn adreslijst in webmail of Outlook het adres kan vinden van gebruikers die niet in dezelfde OU (bv. klas ) zitten. klasmap o het netwerkpad (UNC) van de klasmap die moet aangemaakt worden. Voor elke leerling in de klas is dit hetzelfde. Enkel voor de eerste wordt getracht de klasmap aan te maken. o met de instelling rights-klasmap-accounttype-domein kan je opgeven welk de in te stellen rechten zijn voor de klasmap. o bv. \ \vvksosrv1 \klas5bi$ klasmaplokpad o het lokale pad op de server waar de klasmap moet aangemaakt worden dfsklasmaplinktarget o wanneer de klasmap share van het type DFS is en er een DFS-snelkoppeling werd opgegeven dan moet hier het volledige DFS-pad opgegeven worden ou 61

67 o het pad in AD waar de account moet geplaatst worden. Indien de OU of één van de bovenliggende niet bestaat zal deze aangemaakt worden bewerking o geeft aan wat voor taak de rij voorstelt o geldige waarden: toevoegen, wijzigen of verwijderen o bij wijzigen zal de inhoud van de homedirectory van de oude account verplaatst worden naar de nieuwe oldsam o o indien een account van naam verandert dan is het verplicht de oude samaccountname op te geven bv. een leerling 5biLL17 gaat naar klas 5handel en krijgt een nieuwe account 5handel1LL

68 6.2 Office Web Component De importmodules Wisad, Informat en SchoolOnline gebruiken een Excel-werkblad op de webpagina zodat het voordelen van Excel (formules, sorteren, functies, ) behouden blijven. Dit online Excel blad is een Office Web Component en voorkomt dat Excel op elk toestel waarmee de UMS-GUI wordt benaderd moet geïnstalleerd worden. In deze sectie wordt het gebruik er van uitgelegd. De eerst keer dat je de pagina met het online Excel blad benaderd, kan je de OWC installeren: Autofit voor alle kolommen 1. selecteer alle cellen op het werkblad: klik op cel links van kolomheader A 2. dubbelklik op border tussen 2 kolomheaders bv. A en B) Formule om klasnummer steeds met 2 cijfers weer te geven 63

69 64

70 6.3 Wisad-importmodule Via deze module van UMS kan er connectie gelegd worden met de Wisadserver. Deze mag in je LAN staan of extern gehost worden. UMS zal met bv. de Wisad-API de gegevens opvragen in het Wisadconfiguratiebestand om vervolgens de gegevens te kunnen opvragen Setup Vooraleer je data uit Wisad kan importeren moeten er een aantal voorbereidende stappen gebeuren: 1. de Wisad-client moet geïnstalleerd worden op de server waar UMS op staat 2. Vul via Extra Importsettings de gegevens in om verbinding te maken met de Wisaddatabank. Controleer nadien of de volgende 5 instellingen goed staan: wisadconnectie, wisaddatabank, wisadgebruiker, wisadwachtwoord, wisadexportlokpad. 3. zorg ervoor dat de account waaronder de UM-webserver draait rechten heeft om een bestand aan te maken in de map opgegeven met wisadexportlokpad. 4. zorg ervoor dat de opgegeven connectie met wisadconnectie, in onderstaand voorbeeld vvkso, werd aangemaakt in de Wisad-client. 5. Maak de query s aan op de Wisad-server. 65

71 a. Open een connectie met de Wisad-client Gebruik 1. Kies het domein waarin de account aangemaakt moeten worden 2. Kies de instelling (= school) waarvan je gegevens wenst op te halen uit de Wisaddatabank 3. Accounttype bepaald mee welke query er in wisad zal gebruikt worden maar mag niet verward worden met het accounttype dat je in de namen van settings gebruikt. 4. de scope bepaald mee welke query er wordt opgehaald: a. hiermee geef je aan van welke periode je leerlingenwijzigingen wenst op te vragen. 66

72 b. bv. accounttype Leerlingen en Alles van dit schooljaar de query alln wordt gebruikt 5. via Extra niet-wisad-velden geef je op welke kolommen er samen met de velden van de Wisadquery zullen verschijnen op het online Excel blad. Controleer dat je hier geen velden hebt staan die ook reeds in de Wisadquery zitten. 6. De bewerking bepaald welke servers er zullen bewerkt worden. 7. Naam van de job 8. Je kan automatisch een kolom #password laten toevoegen zodat zelf geen wachtwoord generator moet gaan zoeken. 9. Log automatisch tonen werkt niet bij de Wisad, Informat en SchoolOnline module. Je moet zelf de jobmanager openen nadat je zeker bent dat de data van het online Exceldocument is doorgestuurd naar de databank. Nadat je op volgende hebt geklikt kan je via Laad Wisad-data de gegevens opvragen. Het gebruik van de OWC staat uitgelegd in sectie Werking Vanaf versie 1.4 wordt er niet meer gebruik gemaakt van de ADO-provider maar een eigen CSVreader die sneller en betrouwbaarder is. Bij het opvragen van de data zal de Wisad-API gebruikt worden (die de Wisad-client ook gebruikt). De data wordt geexporteerd in een csv-bestand en vervolgens in gelezen en weergegeven. Dit gebeurd wanneer er nog geen scholen.csv aanwezig is of wanneer men op Laad data klikt in de Wisadimportmodule Troubleshooting Wanneer een extern gehoste Wisadserver wordt gebruikt controleer dan de firewallconfiguratie wanneer de data niet doorkomt. Check met de firewall logging tool of een pakketsniffer zoals Wireshark waar de connectie mis loopt. 67

73 tijdelijk csv bestanden => wissen bij problemen De data komt allemaal in één kolom terecht op het onlineexcelblad of de scholen (=instellingen) worden verkeerd ingelezen uit de Wisad-databank. Je kan met Je kan via de setting wisadimportdelimiter op geven hoe de velden moeten gescheiden worden. Standaard is dit met ; 68

74 6.4 Informatimportmodule Setup importsettings + connectietest 69

75 6.5 schoolonline setup importsettings + connectietest configuratie firewall of UMS-proxysettings 70

76 7 Jobmanager Alle opdrachten, nonbulk of bulk, worden als een job gestuurd naar de UMS-Engine die alle taken verwerkt. Met de jobmanager kan je de verwerking van de job steeds opvragen. 7.1 Datum Standaard worden de jobs van de huidige dag getoond. Door in het datumveld te klikken kan je ofwel een datum intypen of selecteren met de popup. 71

77 Status In deze selectielijst kan je opgeven welke taken je wenst te tonen. Standaard worden de geplande, de actieve en de verwerkte jobs getoond. Met Verwijderde jobs geef je aan of de jobs moeten worden weergegeven die door de gebruiker geannuleerd zijn. Niet verwerkte jobs toont diegene die wel werden toegevoegd in de databank maar omwille van foutieve invoer of door een technisch probleem niet zijn gestart. Verbosity Hiermee bepaald u of de logging in veel of weinig woorden moet gebeuren. Foutmeldingen worden steeds getoond, ongeacht het gekozen level. Standaard worden meldingen van verbosity-level 1 getoond. In onderstaand voorbeeld is verbosity-level 1 ingesteld en worden algemene meldingen gedaan zoals AD-account... aangemaakt. 72

78 Bij verbosity-level 3 zullen ook de commando s achter de schermen getoond worden. 73

79 7.2 Log view mode Bij grotere jobs bv taken is het af te raden om alle logs, ookal is het maar verbosity level 1, te tonen. In de mode Show last logs worden alleen de 20 laatste berichten weergegeven. Momenteel is het nog niet mogelijk om bv. de vorige 20 logs te tonen. 7.3 Joblijst & acties Elke job die op de geselecteerde datum werd toegevoegd, wordt weergegeven in de lijst in het volgende formaat: status jobnaam unieke jobid de account waarmee de job werd ingediend Standaard wordt de actieve job geselecteerd. Na het wijzigen van de selectie worden de logs ervan getoond of kan je een aantal acties ondernemen. De actieve job annuleren. Dit zal gebeuren op het einde van een bewerking. Logs updaten huidge logs opvragen voor de gekozen job Toon rapport een printbaar overzicht van de job zodat de accountinformatie kan meegegeven worden aan de nieuwe gebruiker. 74

80 7.4 Rapport Het rapport wordt gegenereerd door in de template voor het betrokken domein in te vullen. Om een eigen template te maken, stel je een html document op met de gewenste formaat, logo, variabelen. Alle gebruiksvriendelijke veldnaam die zijn opgegeven via Settings Nonbulk kunnen gebruikt worden. Voorbeeld van een eenvoudige template: De html-code moet vervolgens aan de settings worden toegevoegd. Als we bovenstaande willen gebruiken voor het domein markdal.lok dan geef de setting de volgende naam: rapporttemplatemarkdal.lok Als resultaat krijgen we dan per taak een overzicht: 75

81 8 Mailsettings: 8.1 Exchange Exchange 2007/ Setup Voorbeeld 76

82 Setup 1. Start een powershell op en geeft volgend commando in: $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri -Credential $LiveCred -Authentication Basic AllowRedirection 2. Vervolgens wordt je omgeleid naar de echte mailserver voor jou Live@edu omgeving. Kopieer deze voor later: 3. Ga naar Extra Mailsettings en kies voor edu en vul de gegevens in: Voorbeeld Er worden 2 commando s gegeven: 1. om de mailbox aan te maken: new-mailbox 2. een tweede om het mailadres in te stellen: set-mailbox 77

83 78

84 9 Scripts 9.1 Gebruik Gezien niet elk mogelijk gebruik kan ingebouwd zijn in UMS is er voor gekozen om eigen scripts te laten uitvoeren. Hiervoor voeg je aan de invoer Excel of OWC een kolom script1 toe voor het eerste uit te voeren script, een kolom script2 voor het tweede script, enz. Alle velden in de Excel kunnen gebruikt worden om mee te geven als argument met het script. Wanneer een Access databank wordt aangesproken zal je vanaf Windows 2008 het onderdeel 2007 Office System Driver: Data Connectivity Components moeten installeren. Soms mogen scripts niet met 50 tegelijkertijd uitgevoerd worden. Het kan bv. zijn dat een Accessdatabank wordt aangesproken en deze staat nu eenmaal maar een klein aantal gelijktijdige connecties toe. Hiervoor kan je de settings scriptssequentieel toevoegen met de waarde waar. 9.2 Voorbeelden Dumpmap In dit voorbeeld staat uitgelegd hoe je automatisch een map aanmaakt waarin de leerlingen schrijfrechten hebben maar geen wijzig of leesrechten. Op deze manier kunnen ze hun gemaakte test of taak hierin dumpen en kunnen ze elkaars oplossingen niet lezen. spdumpmapvoorklas.bat REM %1 ==> map REM %2 ==> klasgroep REM %3 ==> markdal\vtilkr4stw2 REM %4 ==> markdal\vtiict REM %5 ==> vti\domeinadministrators REM %6 ==> sharenaam REM %7 ==> te delen map mkdir %1 echo J C:\UMS\UMS-Engine\tools\icacls %1 /remove:d %2 /grant:r %2:(OI)(CI)(RD,WD,AD,RA) /grant:r %3:(OI)(CI)M /grant:r %4:(OI)(CI)F /grant:r %5:(OI)(CI)F /deny %3:D C:\UMS\UMS-Engine\tools\rmtshare %6=%7 C:\UMS\UMS-Engine\tools\rmtshare %6 /grant %4:f /grant %2:c /grant %3:c /grant %5:f /remove iedereen Het oproepen gebeurt als volgt: 79

85 Vervolgens worden alle dumpmappen aangemaakt Klasgroepen Ik heel wat scholen wordt de toegang tot de Mijn documenten van een leerling beperkt tot de leerkrachten die er les aan geven. Hiervoor kan dan op basis van de opdracht van een leerkracht bepaald worden in welke groepen hij wordt toegevoegd. Bv. leerkracht A geeft les in klas1 en klas2 dan wordt hij in de groep lkrinklas1 en lkrinklas2 toegevoegd. Deze groepen hebben dan de nodige rechten op de homedirs van de leerlingen in die klas. Om dit te automatiseren kan je gebruik maken van een script dat de leerkracht automatisch in die groepen plaatst op basis van een Access-databank waar de opdracht in staan (bv. geïmporteerd uit Wisad, Informat, EDT, Untis, ) Het oproepen gaat als volgt: 80

86 Na het uitvoeren zijn de groepen aangemaakt en zijn de leerkrachten toegevoegd: Vakgroepen Om automatisch groepen te laten aanmaken voor elk vak met daarin de leerkrachten die het geven, kan je een script gebruiken. Deze groepen kan je dan bv. gebruiken om rechten te geven op bepaalde mappen of om voor deze een adres aan te maken voor informatie te versturen over vakvergaderingen, nascholingen,. 81

87 9.2.4 Persoonlijk aanmeldscript Om er voor te zorgen dat elke leerkracht alleen maar de klas-/dumpmappen krijgt te zien waar hij les geeft, kan je eenvoudig met een script kolom in UMS dit laten aanmaken. Zonder automatisatie is dit een monnikenwerk. 82

88 83

89 10 Varia 10.1 Backup/restore Backup maken De algemene settings, diegene die je ziet onder Extra Settings, kan je backuppen alsook de nonbulk settings, i.e. de standaardwaarden voor velden. Het bestand is in XML formaat en eenvoudig leesbaar/aanpasbaar. Wachtwoorden en andere beveiligde velden zijn ook hier geëncrypteerd en kunnen later geïmporteerd worden. Algemene settings inhoud tblsettings wordt weggeschreven Nonbulk-settings inhoud tbldomeinen, tblnbvelden en tblnbveldenkoppeling wordt weggeschreven. Backup terugzetten Bij het terugzetten kan je kiezen welke settings je wil importeren. 84

90 Het veld wisadwachtwoord kan niet worden ingeladen uit een backup om veiligheidsredenen. 85

91 10.2 Wachtwoord Opbouw Met behulp van de setting pwgen kan je opgeven hoe het wachtwoord gevormd moet worden. De ingestelde waarde heeft de volgende structuur: patroon;vreemdetekens;aantalvreemdetekens Paswoordcomplexiteit Na installatie van een DC moet standaard het wachtwoord voldoen aan verschillende vereisten. Als het wachtwoord niet voldoet, krijg je volgende melding: Om de wachtwoordvereisten voor je omgeving aan te passen ga je als volgt te werkt: 1. Pas aan in Default domain policy 2. voer gpupdate door op de DC door in een Shell het volgend commando op te geven: gpupdate /force 86

92 3. tenslotte aanpassen in het lokale groepsbeleid: Wachtwoord parameters Standaard verloopt het wachtwoord niet en kan het niet gewijzigd worden. Je kan er voor kiezen dat het wachtwoord bij de eerstvolgende aanmelding moet gewijzigd worden. Dat kan je dit instellen met de parameter dsmodparam en deze de volgende waarde geven: -canchpwd yes -pwdneverexpires yes -disabled no -pwd "%paswoord%" -mustchpwd yes 10.3 Proxy Sinds versie 1.4 kan je opgeven hoe er connectie met het internet moet gemaakt worden. Dit heeft invloed op: controle op updates verbinding met Informat verbinding met schoolonline Met de settings proxy kan je opgeven of er al dan niet een proxy moet gebruikt worden. Dit zijn de mogelijke waarden: auto of niet opgegeven er wordt eerst geprobeerd rechtstreeks te verbinden, vervolgens met de ingesteld proxyserver in IExplorer en tenslotte met de in IExplorer ingesteld proxy met authenticatie. direct rechtstreekse internettoegang :3128;auth gebruik proxyserver op poort 3128 (= Squid) en stuur credentials voor authenticatie. 87

93 Appendix A: Bespreking van de bestanden in de setup zip-file extra software: o dns.ps1 powershell script om DNS-record aan te maken o installiis.ps1 script om IIS 7 te installeren o SQLEXPRWT_x64_ENU.exe SQL-server + Management Studio setup-files o sql_unattended.txt.default bestand met settings hoe de SQL-server geconfigureerd moet worden o ums_db.sql.default toevoegen van de UserManagementSchools databank o web.config.default dit wordt bij installatie gekopieerd en de velden correct gezet. setup.exe de wizard die UMS-engine en de UMS-GUI installeerd UMS-Engine de bestanden van de engine, deze map wordt gewoon gekopieerd bij installatie UMS-GUI: o Website bestanden die gekopieerd worden naar c:\ums\ums-gui 88

94 Appendix B: Uitschakelen waarschuwing bij openen bestand Wanneer je o.a. setup.exe wil uitvoeren kan je een waarschuwing krijgen: Om deze meldingen niet meer te krijgen kan je op de server waar UMS moet geïnstalleerd worden start gpedit uitvoeren en het volgend beleid instellen: 89

95 Appendix C: Mappenstructuur Een overzicht van de mappenstuctuur gebruikt in voorbeelden en oefeningen. 90

96 Appendix D: Groepenstructuur 91