Лекции по "Администрированию сетей"

Просмотреть текущих владельцев ролей и передать ту или иную роль на другой контролер можно с помощью  административных консолей:

·  роль Хозяина Схемы — с помощью консоли " Active Directory Schema " (чтобы запустить эту консоль, надо сначала зарегистрировать соответствующую программную компоненту в командной строке: regsvr32 schmmgmt.dll, а затем запустить саму консоль тоже в командной строке — schmmgmt.msc );

·  роль Хозяина именования доменов — с помощью консоли " Active Directory – домены и доверие ";

·  роли эмулятора PDC, хозяина RID и хозяина инфраструктуры — с помощью консоли " Active Directory – пользователи и компьютеры "

Сервер глобального  каталога.

Глобальный  каталог ( global catalog ) — это перечень всех объектов леса Active Directory. По умолчанию, контроллеры домена содержат только информацию об объектах своего домена. Сервер Глобального каталога является контроллером домена, в котором содержится информация о каждом объекте (хотя и  не обо всех атрибутах этих объектов), находящемся в данном лесу.

Сервер  глобального каталога выполняет  две очень важные функции:

• поиск объектов в масштабах всего леса (клиенты могут обращаться к глобальному каталогу с запросами на поиск объектов по определенным значениям атрибутов; использование сервера глобального каталога — единственный способ осуществлять поиск объектов по всему лесу);
• аутентификация пользователей (сервер глобального каталога предоставляет информацию о членстве пользователя в универсальных группах, universal groups ; поскольку универсальные группы со списками входящих в них пользователей хранятся только на серверах глобального каталога, аутентификация пользователей, входящих в такие группы, возможна только при участии сервера глобального каталога).

 

Тема 6.1. Служба каталогов Active Directory

Управление пользователями и группами. Управление организационными подразделениями. Делегирование полномочий. Групповые политики.

Управление пользователями и группами

Учетные записи (accounts) пользователей, компьютеров и групп — один из главных элементов управления доступом к сетевым ресурсам, а значит, и всей системы безопасности сети в целом.

В среде Windows 2003 Active Directory существует 3 главных типа пользовательских учетных  записей:

1. Локальные учетные записи пользователей. Эти учетные записи существуют в локальной базе данных SAM ( Security Accounts Manager ) на каждой системе, работающей под управлением Windows 2003. Эти учетные записи создаются с использованием инструмента Local Users and Groups ( Локальные пользователи и группы ) консоли Computer Management ( Управление компьютером ). Заметим, что для входа в систему по локальной учетной записи, эта учетная запись обязательно должна присутствовать в базе данных SAM на системе, в которую вы пытаетесь войти. Это делает локальные учетные записи непрактичными для больших сетей, вследствие больших накладных расходов по их администрированию.
2. Учетные записи пользователей домена. Эти учетные записи хранятся в Active Directory и могут использоваться для входа в систему и доступа к ресурсам по всему лесу AD. Учетные записи этого типа создаются централизованно при помощи консоли " Active Directory Users and Computers " (" Active Directory – пользователи и компьютеры ").
3. Встроенные учетные записи. Эти учетные записи создаются самой системой и не могут быть удалены. По умолчанию любая система, будь то изолированная (отдельно стоящая) или входящая в домен, создает две учетные записи – Administrator ( Администратор ) и Guest ( Гость ). По умолчанию учетная запись Гость отключена.

Существуют различные  форматы, в которых могут быть представлены имена для входа  пользователей в систему, потому что они могут отличаться для  целей совместимости с клиентами, работающими под управлением  более ранних версий Windows (такими как 95, 98, NT). Два основных вида имен входа  — это с использованием суффикса User Principal Name ( основного имени пользователя ) и имя входа пользователя в системах пред-Windows 2000.

Основное имя пользователя ( UPN, User Principle Name ) имеет такой же формат, как и электронный адрес. Он включает в себя имя входа пользователя, затем значок " @ " и имя домена. По умолчанию доменное имя корневого домена выделено в выпадающем окне меню, независимо от того, в каком домене учетная запись была создана (выпадающий список будет также содержать имя домена, в котором вы создали эту учетную запись).

Также можно создавать  дополнительные доменные суффиксы (та часть имени, которая стоит после  знака @), которые будут появляться в выпадающем списке и могут быть использованы при образовании UPN, если вы их выберете (это делается при помощи консоли "Active Directory – домены и доверие" ("Active Directory Domain and Trusts ").

Существует только одно обязательное условие при этом — все UPN в  лесу должны быть уникальными (т.е. не повторяться). Если учетная запись входа пользователя использует UPN для входа в систему Windows 2003, вам необходимо только указать UPN и пароль — более нет нужды  помнить и указывать доменное имя. Другое преимущество данной системы  именования состоит в том, что UPN часто соответствует электронному адресу пользователя, что опять уменьшает  количество информации о пользователе, которую необходимо запоминать.

Локальные учетные записи

Каждый компьютер с  операционными системами Windows NT/2000/XP/2003 (если это не сервер, являющийся контроллером домена) имеет локальную базу данных учетных записей, называемую базой  данных SAM. Эти БД обсуждались при  описании модели безопасности "Рабочая  группа". Локальные пользователи и особенно группы используются при  назначении прав доступа к ресурсам конкретного компьютера даже в доменной модели безопасности.

Управление доменными  учетными записями.

Доменные учетные записи пользователей (а также компьютеров  и групп) хранятся в специальных  контейнерах AD. Это могут быть либо стандартные контейнеры Users для пользователей и Computers для компьютеров, либо созданное администратором Организационное подразделение (ОП). Исключение составляют учетные записи контроллеров домена, они всегда хранятся в ОП с названием Domain Controllers..

Правила выбора символов для  создания пароля.

1. длина пароля — не менее 7 символов;
2. пароль не должен совпадать с именем пользователя для входа в систему, а также с его обычным именем, фамилией, именами его родственников, друзей и т.д.;
3. пароль не должен состоять из какого-либо слова (чтобы исключить возможность подбора пароля по словарю);
4. пароль не должен совпадать с номером телефона пользователя (обычного или мобильного), номером его автомобиля, паспорта, водительского удостоверения или другого документа;
5. пароль должен быть комбинацией букв в верхнем и нижнем регистрах, цифр и спецсимволов (типа @#$%^*&()_+ и т.д.).

И еще одно правило безопасности — регулярная смена пароля (частота  смены зависит от требований безопасности в каждой конкретной компании или  организации). В доменах Windows существует политика, определяющая срок действия паролей пользователей

Обзор свойств учетных  записей пользователя.

Свойства учетной записи пользователя содержат большой набор  различных параметров, размещенных  на нескольких закладках при просмотре  в консоли " Active Directory – пользователи и компьютеры ", причем при установке  различных программных продуктов  набор свойств может расширяться.

Закладка "Общие".

На данной закладке содержатся в основном справочные данные, которые  могут быть очень полезны при  поиске пользователей в лесу AD. Наиболее интересные из них:

1. Имя;
2. Фамилия;
3. Выводимое имя;
4. Описание;
5. Номер телефона;
6. Электронная почта;
7. Номер телефона.

Закладки «Адрес», «Телефон», «Организация» - для поиска пользователей  в лесу.

Закладка «Учетная запись»:

1. кнопка " Время входа " — дни и часы, когда пользователь может войти в домен;
2. кнопка " Вход на… " — список компьютеров, с которых пользователь может входить в систему (регистрироваться в домене);
3. Поле типа чек-бокс " Заблокировать учетную запись " — этот параметр недоступен, пока учетная запись не заблокируется после определенного политиками некоторого количества неудачных попыток входа в систему (попытки с неверным паролем), служит для защиты от взлома пароля чужой учетной записи методом перебора вариантов; если будет сделано определенное количество неудачных попыток, то учетная запись пользователя автоматически заблокируется, поле станет доступным и в нем будет установлена галочка, снять которую администратор может вручную, либо она снимется автоматически после интервала, заданного политиками паролей;
4. " Параметры учетной записи " (первые три параметра обсуждались выше):
5. " Требовать смену пароля при следующем входе в систему "
6. " Запретить смену пароля пользователем "
7. " Срок действия пароля не ограничен "
8. " Отключить учетную запись " — принудительное отключение учетной записи (пользователь не сможет войти в домен);
9. " Для интерактивного входа в сеть нужна смарт-карта " — вход в домен будет осуществляться не при помощи пароля, а при помощи смарт-карты (для этого на компьютере пользователя должно быть устройство для считывания смарт-карт, смарт-карты должны содержать сертификаты, созданные Центром выдачи сертификатов);
10. "Срок действия учетной записи" — устанавливает дату, с которой данная учетная запись не будет действовать при регистрации в домене (этот параметр целесообразно задавать для сотрудников, принятых на временную работу, людей, приехавших в компанию в командировку, студентов, проходящих практику в организации и т.д.)

Закладка «Профиль»

Профиль (profile) — это настройки рабочей среды пользователя. Профиль содержит: настройки рабочего стола (цвет, разрешение экрана, фоновый рисунок), настройки просмотра папок компьютера, настройки обозревателя Интернета и других программ (например, размещение папок для программ семейства Microsoft Office). Профиль автоматически создается для каждого пользователя при первом входе на компьютер. Различают следующие виды профилей:

1. Локальные. Хранятся в папке "Documents and Settings" или “Users” на том разделе диска, где установлена операционная система;
2. Перемещаемые (сетевые, или roaming) — хранятся на сервере в папке общего доступа, загружаются в сеанс пользователя на любом компьютере, с которого пользователь вошел (зарегистрировался) в домен, давая возможность пользователю иметь одинаковую рабочую среду на любом компьютере (путь к папке с профилем указывается на данной закладке в виде адреса \\server\share\%username%, где server — имя сервера, share — имя папки общего доступа, %username% — имя папки с профилем; использование переменной среды системы Windows с названием %username% позволяет задавать имя папки с профилем, совпадающее с именем пользователя);.
3. Обязательные (mandatory) — настройки данного типа профиля пользователь может изменить только в текущем сеансе работы в Windows, при выходе из системы изменения не сохраняются.

Параметр "Сценарий входа" определяет исполняемый файл, который  при входе пользователя в систему  загружается на компьютер и исполняется. Исполняемым файлом может быть пакетный файл ( .bat, .cmd ), исполняемая программа (.exe, .com), файл сценария (.vbs, js).

Управление группами.

Учетные записи групп, как  и учетные записи пользователей, могут быть созданы либо в локальной  базе SAM компьютера (сервера или рабочей  станции), либо в доменной базе данных Active Directory.

Локальные группы простого сервера-члена  домена или рабочей станции могут  включать в себя и локальные учетные  записи данного компьютера, и глобальные учетные записи любого пользователя или компьютера всего леса, а также  доменные локальные группы "своего" домена и глобальные и универсальные  группы всего леса.

В Active Directory группы различаются  по типу (группы безопасности и группы распространения) и по области действия (локальные в домене, глобальные и универсальные).

Типы групп.

1. Группы безопасности. Каждая группа данного типа, так же как и каждая учетная запись пользователя, имеет идентификатор безопасности ( Security Identifier, или SID ), поэтому группы безопасности используются для назначения разрешений при определении прав доступа к различным сетевым ресурсам.
2. Группы распространения. Группы этого типа не имеют идентификатора безопасности, поэтому не могут использоваться для назначения прав доступа, их главное назначение — организация списков рассылки для почтовых программ (например, для Microsoft Exchange Server).

Область действия групп.

1. Локальные в домене. Могут содержать — глобальные группы из любого домена, универсальные группы, глобальные учетные записи пользователей из любого домена леса, используются — при назначении прав доступа только к ресурсам "своего" домена.
2. Глобальные могут содержать — только глобальные учетные записи пользователей "своего" домена, используются — при назначении прав доступа к ресурсам любого домена в лесу;
3. Универсальные. Могут содержать — другие универсальные группы всего леса, глобальные группы всего леса, глобальные учетные записи пользователей из любого домена леса, используются — при назначении прав доступа к ресурсам любого домена в лесу.

В смешанном режиме домена универсальные группы недоступны для  использования. В основном режиме или  режиме Windows 2003 можно создавать и  использовать универсальные группы. Кроме того, в основном режиме и  режиме Windows 2003 глобальные группы могут  включаться в другие глобальные группы, а доменные локальные группы могут  включаться в другие доменные локальные.

Специфика универсальных  групп заключается в том, что  эти группы хранятся в Глобальном каталоге. Поэтому, если пользователь является членом универсальной группы, то при регистрации в домене ему  обязательно должен быть доступен контроллер домена, являющийся сервером глобального  каталога, в противном случае пользователь не сможет войти в сеть. Репликация между простыми контроллерами домена и серверами глобального каталога происходит достаточно медленно, поэтому  любое изменение в составе  универсальной группы требует больше времени для репликации, чем при  изменении состава групп с  другими областями действия.

Маркер доступа.

При регистрации в домене пользователю передается в его сессию на компьютере т.н. маркер доступа ( Access Token ), называемый иногда маркером безопасности. Маркер доступа состоит из набора идентификаторов безопасности — идентификатора безопасности (SID) самого пользователя и идентификаторов безопасности тех групп, членом которых он является. Впоследствии этот маркер доступа используется при проверке разрешений пользователя на доступ к различным ресурсам домена.

Стратегия создания и  использования групп.

При создании и использовании  групп следует придерживаться следующих  правил:

1. Включать глобальные учетные записи пользователей ( A ccounts) в глобальные группы ( G lobal groups). Глобальные группы формируются обычно по функциональным обязанностям сотрудников.
2. Включать глобальные группы в доменные локальные или локальные на простом сервере или рабочей станции ( L ocal groups). Локальные группы формируются на основе разрешений для доступа к конкретным ресурсам.
3. Давать разрешения ( P ermissions) на доступ к ресурсам локальным группам.