Active Directory — различия между версиями
Root (обсуждение | вклад) |
Root (обсуждение | вклад) |
||
(не показано 8 промежуточных версий этого же участника) | |||
Строка 89: | Строка 89: | ||
− | + | '''Типы групп:'''<br/> | |
− | <u>Группы безопасности.</u> Предоставлять доступ к сетевым ресурсам можно только группам безопасности. Именно для предоставления доступа к сетевым ресурсам и используются группы безопасности. | + | <u>Группы безопасности.</u> Предоставлять доступ к сетевым ресурсам можно только группам безопасности. Именно для предоставления доступа к сетевым ресурсам и используются группы безопасности.<br/> |
<u>Группа распространения.</u> Группы распространения не могут использоваться для предоставления доступа к сетевым ресурсам тем объектам, которые находятся внутри этих групп. Группы распространения используются просто как списки пользователей. Данные списки могут использовать какие-либо программы которые могут работать в AD. | <u>Группа распространения.</u> Группы распространения не могут использоваться для предоставления доступа к сетевым ресурсам тем объектам, которые находятся внутри этих групп. Группы распространения используются просто как списки пользователей. Данные списки могут использовать какие-либо программы которые могут работать в AD. | ||
Строка 102: | Строка 102: | ||
<u>Универсальная группа</u> - В данную группу можно вносить объекты из любых доменов. Может получать разрешения на доступ к ресурсам в любом домене. | <u>Универсальная группа</u> - В данную группу можно вносить объекты из любых доменов. Может получать разрешения на доступ к ресурсам в любом домене. | ||
− | |||
− | + | '''Способы создания учётной записи компьютера.''' | |
− | 2. Автоматически. Если подключить компьютер к домену, предварительно не создав в базе AD для него учётную запись, то она создастся автоматически в контейнере computers. Права на создание учётной записи компьютера имеют пользователи, входящие в группы: Администраторы предприятия(Enterprise Admins) или Администраторы домена(Domain Admins) или Операторы учёта(Accounts Operators) + каждый пользователь домена может подключить к домену 10 компьютеров* и следовательно создать 10 учётных записей компьютеров. *Пользователь должен обладать правами локльного Администратора на подключаемом компьютере. | + | 1. Скриптами.<br/> |
+ | 2. Автоматически. Если подключить компьютер к домену, предварительно не создав в базе AD для него учётную запись, то она создастся автоматически в контейнере '''computers'''. Права на создание учётной записи компьютера имеют пользователи, входящие в группы: '''Администраторы предприятия(Enterprise Admins)''' или '''Администраторы домена(Domain Admins)''' или '''Операторы учёта(Accounts Operators)''' + каждый пользователь домена может подключить к домену 10 компьютеров* и следовательно создать 10 учётных записей компьютеров. *Пользователь должен обладать правами локльного Администратора на подключаемом компьютере.<br/> | ||
+ | 3. Вручную, используя оснастку «Active Directory - Пользователи и Компьютеры»(Active Directory - Users and Computers). Используя этот способ, можно предоставить любому пользователю право на подключение компьютера к домену. | ||
+ | |||
+ | |||
+ | |||
+ | '''GPO - Group Policy Object''' | ||
+ | GPO - Сгруппированный в единое целое набор определённых настроек (конфигураций) групповой политики. | ||
+ | |||
+ | |||
+ | '''Типы GPO''' | ||
+ | |||
+ | '''Локальный GPO.''' На всех компьютерах (на всех на то, входит ли данный компьютер в домен или нет) с Windows 2000, Windows Server 2003 и Windows XP существует локальная GroupPolicy. Локальный GPO хранится в c:\windows\system32\GroupPolicy. Локальный GPO воздействует только на тот компьютер на котором он хранится. Правом на редактирование локальной политики обладает администратор на данном компьютере. | ||
+ | |||
+ | '''Доменный GPO.''' Доменные групповые политики создются в AD. GPO хранятся в c:\windows\sysvol\DomainName\Policies\GROUPID\ , где DomainName - имя домена AD, а GROUPID - глобально уникальный идентификатор GPO. Узнать соответствие между «непонятным» GPO GUID и именем GPO можно посмотреть в свойствах контейнера CN=GROUPID, CN=Policies, CN=Systems, DC=Test, DC=ru, используя ADSEDIT.MSC из пакета Support Tools, и там посмотреть значение атрибута displayName. Объекты GPO могут быть связаны с: САЙТОМ, ДОМЕНОМ, OU. Количество компьютеров, на который распространяется определённая политика зависит от того, к чему прилинкована групповая политика. Если политика прилинкована к сайту, то её обрабатываеют все компьютеры, которые принадлежат данному сайту, если политика прилинкована к некой OU, то её получат только те компьютеры, которые находятся в этой OU. Политики отрабатываются в следующем порядке: Локальная→Сайт→Домен→OU | ||
+ | |||
+ | |||
+ | <font color=red>В Групповой политике Конфигурация компьютера, приоритетней Конфигурации пользователя.</font> | ||
+ | |||
+ | |||
+ | Зарезервированные места в реестре для политик из Административных шаблонов.<br/> | ||
+ | В подавляющем большинстве случаев, информация, задаваемая групповыми политиками, хранится в ветках: | ||
+ | HKEY_LOCAL_MACHINE\Software\Policies* | ||
+ | HKEY_CURRENT_USER\Software\Policies** | ||
− | |||
− | |||
− | + | Иногда информация, задаваемая групповыми политиками сохраняется в: | |
+ | HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies* | ||
+ | HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies** | ||
+ | для политик, которые определены в части «Конфигурация компьютера» ** для политик, которые определены в части «Конфигурация пользователя» | ||
− | |||
− | + | '''GPO = GPT + GPC''' | |
+ | '''GPT''' - '''G'''roup '''P'''olicy '''T'''emplate (Шаблон Групповой Политики). «Представительство» GPO в файловой системе.<br/> | ||
+ | '''GPC''' - '''G'''roup '''P'''olicy '''C'''ontainer (Контейнер Групповой Политики). «Представительство» GPO в Active Directory. | ||
− | |||
− | + | История о применённых ранее GPO хранится в реестре GPO нацеленных на компьютер: | |
+ | HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\GroupPolicy\History | ||
− | |||
− | |||
− | |||
− | |||
− | + | GPO нацеленных на пользователя: | |
− | + | HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\GroupPolicy\History | |
− | |||
− | |||
− | |||
− | |||
− | |||
− | + | <u>Порядок применения GPO</u><br/> | |
− | + | Локальный > Сайт > Домен > Подразделение 1-го уровня > Подразделение n-го уровня<br/> | |
+ | Аббревиатура для запоминания - '''LSDOU''' | ||
+ | '''L'''ocal group policy > '''S'''ite-level group policy > '''D'''omain-level group policy > '''OU'''-level group policy | ||
− | |||
− | |||
− | + | <u>'''Время применения групповых политик'''</u><br/> | |
− | + | Групповые политики отрабатывают в следующих случаях:<br/> | |
− | + | 1. При загрузке компьютера(отрабатывают GPO нацеленные на компьютер).<br/> | |
− | + | 2. При входе пользователя в систему(отрабатывают GPO нацеленные на пользователя).<br/> | |
+ | 3. При работе компьютера и пользователя за ним, групповые политики обновляются каждые 90минут + случайно от 0 до 30минут. Такое обновление называется фоновым и предназначено для передачи клиенту самых «свежих» политик(если они изменились).<br/> | ||
+ | 4. На контроллере домена расписание фонового обновления политик - каждые 5 минут.<br/> | ||
+ | 5. Применение политик можно вызвать принудительно, используя консольную утилиту GPUPDATE. | ||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | Расписание фонового обновления можно самостоятельно изменять, используя сами же групповые политики: | + | '''Расписание фонового обновления можно самостоятельно изменять, используя сами же групповые политики:'''<br/> |
− | Для пользователя - Некий GPO > Конфигурация Пользователя > Административные Шаблоны > Система > Групповая Политика > Интервал обновления групповой политики для пользователей | + | <u>Для пользователя</u> - Некий GPO > Конфигурация Пользователя > Административные Шаблоны > Система > Групповая Политика > Интервал обновления групповой политики для пользователей |
− | Для компьютера - Некий GPO > Конфигурация Компьютера > Административные Шаблоны > Система > Групповая Политика > Интервал обновления групповой политики для компьютеров | + | <u>Для компьютера</u> - Некий GPO > Конфигурация Компьютера > Административные Шаблоны > Система > Групповая Политика > Интервал обновления групповой политики для компьютеров |
− | Для контроллера домена - Некий GPO > Конфигурация Компьютера > Административные Шаблоны > Система > Групповая Политика > Интервал обновления групповой политики для контроллера домена | + | <u>Для контроллера домена</u> - Некий GPO > Конфигурация Компьютера > Административные Шаблоны > Система > Групповая Политика > Интервал обновления групповой политики для контроллера домена |
Отключение фонового обновления - Некий GPO > Конфигурация Компьютера > Административные Шаблоны > Система > Групповая Политика > Отключить фоновое обновление групповой политики | Отключение фонового обновления - Некий GPO > Конфигурация Компьютера > Административные Шаблоны > Система > Групповая Политика > Отключить фоновое обновление групповой политики | ||
− | |||
− | |||
− | + | '''Блокировка наследования(Block Inheritance)'''<br/> | |
− | + | Блокировка наследования позволяет влиять на стандартное распространение групповых политик. Будучи установленной на каком-либо контейнере, блокировка наследования НЕ пропустит ни в сам этот контейнер, ни в контейнеры, которые существуют ниже ни одну политику из GPO, прилинкованных выше. | |
− | + | ||
− | + | Блокировку наследования можно устанавливать на такие контейнеры как:<br/> | |
+ | 1 - Домен<br/> | ||
+ | 2 - Любое подразделение(OU), существующее в домене<br/> | ||
+ | установить блокировку наследования на сайт невозможно. | ||
− | |||
− | |||
− | |||
+ | У всех контейнеров, у которых можно включить блокировку наследования, существует атрибут gPOptions, значения которого могут иметь вид: Значение Блокировка Наследования | ||
+ | {| class="wikitable" | ||
+ | |- | ||
+ | ! Значение !! Блокировка Наследования | ||
+ | |- | ||
+ | | 0 или <Not Set> || Выключена | ||
+ | |- | ||
+ | | 1 || Включена | ||
+ | |} | ||
− | |||
− | |||
− | + | '''Опция Enforced(Запрет на переопределение)'''<br/> | |
+ | На любой из «линков» можно поставить запрет на переопределение(опция enforced). Если у некоего GPO существует «линк» с включенной функцией Enforced, то значения его политик НЕ сможет перезаписать ни один другой GPO. | ||
− | + | Опция Enforced позволяет политикам «проникать» даже в те контейнеры, в которых установлена Блокировка Наследования. | |
− | + | Если существуют несколько GPO с Enforced-линками, нацеленных на один параметр, то выигрывает тот GPO, который согласно LSDOU, отработает первым. | |
− | |||
− | |||
− | |||
− | |||
+ | Информация о включенном.выключенном состоянии опции Enforced хранится в gPlink-флаге | ||
+ | {| class="wikitable" | ||
+ | |- | ||
+ | ! Значение !! LINK ENABLED? !! LINK FORCED | ||
+ | |- | ||
+ | | 0 || YES || NO | ||
+ | |- | ||
+ | | 1 || NO || NO | ||
+ | |- | ||
+ | | 2 || YES || YES | ||
+ | |- | ||
+ | | 3* || NO || YES | ||
+ | |} | ||
+ | когда линк отключен, enforced-установка YES игнорируется. | ||
− | |||
− | Фильтрация групповых политик при помощи групп Active Directory | + | '''Фильтрация групповых политик при помощи групп Active Directory'''<br/> |
− | + | Для того чтобы некий объект(пользователь или компьютер) смог применить назначенные ему политики, ему необходимо по отношению к этим политикам иметь следующие права:<br/> | |
− | + | Чтение политик - '''РАЗРЕШЕНО'''<br/> | |
− | + | Применение политик - '''РАЗРЕШЕНО''' |
Текущая версия на 19:39, 4 декабря 2013
Процесс входа в домен Active Directory
1. Запрос списка ближайших DC (DNS, SRV)
2. Выбор DC, определение IP (DNS, A)
3. Проверка доступности DC (ICMP PING/LDAP)
4. Синхронизация времени с DC (NTP)
5. Аутентификация компьютера в домене (Kerberos)
6. Проверка скорости соединения с DC (ICMP PING)
7. Получение групповых политик компьютера (LDAP/SMB)
8. Аутентификация пользователя в домене (Kerberos)
9. Получение групповых политик пользователя (LDAP/SMB)
10. Загрузка профиля пользователя
Компоненты AD
Логические:
Домены Подразделения Деревья Леса
Физические:
Контроллеры домена Сайты
Контроллер домена - сервер, на котором установлено ПО Active Directory, а так же расположена база данных данной службы.
Домен - область, объединяющая группу компьютеров(и других объектов), которые при работе в сети, при поиске доступных ресурсов, ориентируются на единый справочник (Active Directory). Данный справочник распространяет на эти компьютеры свои политики безопасности. Домен указывает область влияния какой-либо отдельной службы каталогов, определяет границы действия политик безопасности этой службы каталогов.
Дерево - несколько доменов, которые используют общее пространство имён Active Directory.
Лес - несколько деревьев доменов, принадлежащих одной структуре(предприятию).
Сайт - область, которая содержит в себе одну или несколько подсетей (при наличии быстрого и надежного подключения между этимим подсетями). Использование такого компонента, как сайт, позволяет учитывать топологию и характеристики сети, в которой устанавливается Active Directory.
Подразделения (Organizational Unit - OU) - своего рода «контейнеры», используя которые можно значительно упростить управление объектами, находящимися в Active Directory. Благодаря подразделениям в базе данных Active Directory становится возможным выстроить объекты, которые находятся в AD, в некую иерархию. Данная иерархия совсем не обязана отражать реальную иерархию (департаменты, отделы) предприятия, а должна выстраиваться в виде, при котором становится максимально удобно управлять теми объектами, которые находятся в AD.
Используя OU, можно осуществлять делегирование управления, т.е. можно предоставлять какому либо пользователю (помощнику админа) право управлять теми объектами, которые находятся в определенной OU.
Подразделения (OU):
Компьютеры Контакты Группы Принтеры Пользователи Сетевые папки Подразделения
ФУНКЦИОНАЛЬНЫЕ УРОВНИ(РЕЖИМЫ РАБОТЫ)
Функциональные уровни домена:
Windows 2000 mixed(смешанный) уровень по умолчанию | Windows NT Windows 2000 Windows 2003 |
Windows 2000 native(основной) | Windows 2000 Windows 2003 |
Windows Server 2003 interim(переходный) | Windows NT Windows 2003 |
Windows Server 2003 | Windows 2003 |
Функциональные уровни леса:
Windows 2000 уровень по умолчанию | Windows NT Windows 2000 Windows Server 2003 |
Windows Server 2003 interim(переходный) | Windows NT Windows Server 2003 |
Windows Server 2003 | Windows Server 2003 |
Группа (Group) - объект AD, который может хранить в себе другие объекты AD, такие как:
Учётные записи пользователей
- Контакты
- Компьютеры
- Другие группы
Типы групп:
Группы безопасности. Предоставлять доступ к сетевым ресурсам можно только группам безопасности. Именно для предоставления доступа к сетевым ресурсам и используются группы безопасности.
Группа распространения. Группы распространения не могут использоваться для предоставления доступа к сетевым ресурсам тем объектам, которые находятся внутри этих групп. Группы распространения используются просто как списки пользователей. Данные списки могут использовать какие-либо программы которые могут работать в AD.
Область действия группы - показывает в какой части сети можно назначить разрешения данной группе, а так же кто может входить в данную группу. В зависимости от области действия, группы бывают следующих типов:
Локальная группа домена - В данную группу можно вносить объекты из любых доменов. Может использоваться для назначения доступа только к тем ресурсам, которые расположены в том же домене, где и была создана группа.
Глобальная группа - В данную группу можно вносить объекты только того домена , в котором и была создана группа. Может получать разрешения на доступ к ресурсам в любом домене.
Универсальная группа - В данную группу можно вносить объекты из любых доменов. Может получать разрешения на доступ к ресурсам в любом домене.
Способы создания учётной записи компьютера.
1. Скриптами.
2. Автоматически. Если подключить компьютер к домену, предварительно не создав в базе AD для него учётную запись, то она создастся автоматически в контейнере computers. Права на создание учётной записи компьютера имеют пользователи, входящие в группы: Администраторы предприятия(Enterprise Admins) или Администраторы домена(Domain Admins) или Операторы учёта(Accounts Operators) + каждый пользователь домена может подключить к домену 10 компьютеров* и следовательно создать 10 учётных записей компьютеров. *Пользователь должен обладать правами локльного Администратора на подключаемом компьютере.
3. Вручную, используя оснастку «Active Directory - Пользователи и Компьютеры»(Active Directory - Users and Computers). Используя этот способ, можно предоставить любому пользователю право на подключение компьютера к домену.
GPO - Group Policy Object GPO - Сгруппированный в единое целое набор определённых настроек (конфигураций) групповой политики.
Типы GPO
Локальный GPO. На всех компьютерах (на всех на то, входит ли данный компьютер в домен или нет) с Windows 2000, Windows Server 2003 и Windows XP существует локальная GroupPolicy. Локальный GPO хранится в c:\windows\system32\GroupPolicy. Локальный GPO воздействует только на тот компьютер на котором он хранится. Правом на редактирование локальной политики обладает администратор на данном компьютере.
Доменный GPO. Доменные групповые политики создются в AD. GPO хранятся в c:\windows\sysvol\DomainName\Policies\GROUPID\ , где DomainName - имя домена AD, а GROUPID - глобально уникальный идентификатор GPO. Узнать соответствие между «непонятным» GPO GUID и именем GPO можно посмотреть в свойствах контейнера CN=GROUPID, CN=Policies, CN=Systems, DC=Test, DC=ru, используя ADSEDIT.MSC из пакета Support Tools, и там посмотреть значение атрибута displayName. Объекты GPO могут быть связаны с: САЙТОМ, ДОМЕНОМ, OU. Количество компьютеров, на который распространяется определённая политика зависит от того, к чему прилинкована групповая политика. Если политика прилинкована к сайту, то её обрабатываеют все компьютеры, которые принадлежат данному сайту, если политика прилинкована к некой OU, то её получат только те компьютеры, которые находятся в этой OU. Политики отрабатываются в следующем порядке: Локальная→Сайт→Домен→OU
В Групповой политике Конфигурация компьютера, приоритетней Конфигурации пользователя.
Зарезервированные места в реестре для политик из Административных шаблонов.
В подавляющем большинстве случаев, информация, задаваемая групповыми политиками, хранится в ветках:
HKEY_LOCAL_MACHINE\Software\Policies* HKEY_CURRENT_USER\Software\Policies**
Иногда информация, задаваемая групповыми политиками сохраняется в:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies**
для политик, которые определены в части «Конфигурация компьютера» ** для политик, которые определены в части «Конфигурация пользователя»
GPO = GPT + GPC
GPT - Group Policy Template (Шаблон Групповой Политики). «Представительство» GPO в файловой системе.
GPC - Group Policy Container (Контейнер Групповой Политики). «Представительство» GPO в Active Directory.
История о применённых ранее GPO хранится в реестре GPO нацеленных на компьютер:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\GroupPolicy\History
GPO нацеленных на пользователя:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\GroupPolicy\History
Порядок применения GPO
Локальный > Сайт > Домен > Подразделение 1-го уровня > Подразделение n-го уровня
Аббревиатура для запоминания - LSDOU
Local group policy > Site-level group policy > Domain-level group policy > OU-level group policy
Время применения групповых политик
Групповые политики отрабатывают в следующих случаях:
1. При загрузке компьютера(отрабатывают GPO нацеленные на компьютер).
2. При входе пользователя в систему(отрабатывают GPO нацеленные на пользователя).
3. При работе компьютера и пользователя за ним, групповые политики обновляются каждые 90минут + случайно от 0 до 30минут. Такое обновление называется фоновым и предназначено для передачи клиенту самых «свежих» политик(если они изменились).
4. На контроллере домена расписание фонового обновления политик - каждые 5 минут.
5. Применение политик можно вызвать принудительно, используя консольную утилиту GPUPDATE.
Расписание фонового обновления можно самостоятельно изменять, используя сами же групповые политики:
Для пользователя - Некий GPO > Конфигурация Пользователя > Административные Шаблоны > Система > Групповая Политика > Интервал обновления групповой политики для пользователей
Для компьютера - Некий GPO > Конфигурация Компьютера > Административные Шаблоны > Система > Групповая Политика > Интервал обновления групповой политики для компьютеров
Для контроллера домена - Некий GPO > Конфигурация Компьютера > Административные Шаблоны > Система > Групповая Политика > Интервал обновления групповой политики для контроллера домена
Отключение фонового обновления - Некий GPO > Конфигурация Компьютера > Административные Шаблоны > Система > Групповая Политика > Отключить фоновое обновление групповой политики
Блокировка наследования(Block Inheritance)
Блокировка наследования позволяет влиять на стандартное распространение групповых политик. Будучи установленной на каком-либо контейнере, блокировка наследования НЕ пропустит ни в сам этот контейнер, ни в контейнеры, которые существуют ниже ни одну политику из GPO, прилинкованных выше.
Блокировку наследования можно устанавливать на такие контейнеры как:
1 - Домен
2 - Любое подразделение(OU), существующее в домене
установить блокировку наследования на сайт невозможно.
У всех контейнеров, у которых можно включить блокировку наследования, существует атрибут gPOptions, значения которого могут иметь вид: Значение Блокировка Наследования
Значение | Блокировка Наследования |
---|---|
0 или <Not Set> | Выключена |
1 | Включена |
Опция Enforced(Запрет на переопределение)
На любой из «линков» можно поставить запрет на переопределение(опция enforced). Если у некоего GPO существует «линк» с включенной функцией Enforced, то значения его политик НЕ сможет перезаписать ни один другой GPO.
Опция Enforced позволяет политикам «проникать» даже в те контейнеры, в которых установлена Блокировка Наследования.
Если существуют несколько GPO с Enforced-линками, нацеленных на один параметр, то выигрывает тот GPO, который согласно LSDOU, отработает первым.
Информация о включенном.выключенном состоянии опции Enforced хранится в gPlink-флаге
Значение | LINK ENABLED? | LINK FORCED |
---|---|---|
0 | YES | NO |
1 | NO | NO |
2 | YES | YES |
3* | NO | YES |
когда линк отключен, enforced-установка YES игнорируется.
Фильтрация групповых политик при помощи групп Active Directory
Для того чтобы некий объект(пользователь или компьютер) смог применить назначенные ему политики, ему необходимо по отношению к этим политикам иметь следующие права:
Чтение политик - РАЗРЕШЕНО
Применение политик - РАЗРЕШЕНО