Active Directory
Процесс входа в домен Active Directory
1. Запрос списка ближайших DC (DNS, SRV)
2. Выбор DC, определение IP (DNS, A)
3. Проверка доступности DC (ICMP PING/LDAP)
4. Синхронизация времени с DC (NTP)
5. Аутентификация компьютера в домене (Kerberos)
6. Проверка скорости соединения с DC (ICMP PING)
7. Получение групповых политик компьютера (LDAP/SMB)
8. Аутентификация пользователя в домене (Kerberos)
9. Получение групповых политик пользователя (LDAP/SMB)
10. Загрузка профиля пользователя
Компоненты AD
Логические:
Домены Подразделения Деревья Леса
Физические:
Контроллеры домена Сайты
Контроллер домена - сервер, на котором установлено ПО Active Directory, а так же расположена база данных данной службы.
Домен - область, объединяющая группу компьютеров(и других объектов), которые при работе в сети, при поиске доступных ресурсов, ориентируются на единый справочник (Active Directory). Данный справочник распространяет на эти компьютеры свои политики безопасности. Домен указывает область влияния какой-либо отдельной службы каталогов, определяет границы действия политик безопасности этой службы каталогов.
Дерево - несколько доменов, которые используют общее пространство имён Active Directory.
Лес - несколько деревьев доменов, принадлежащих одной структуре(предприятию).
Сайт - область, которая содержит в себе одну или несколько подсетей (при наличии быстрого и надежного подключения между этимим подсетями). Использование такого компонента, как сайт, позволяет учитывать топологию и характеристики сети, в которой устанавливается Active Directory.
Подразделения (Organizational Unit - OU) - своего рода «контейнеры», используя которые можно значительно упростить управление объектами, находящимися в Active Directory. Благодаря подразделениям в базе данных Active Directory становится возможным выстроить объекты, которые находятся в AD, в некую иерархию. Данная иерархия совсем не обязана отражать реальную иерархию (департаменты, отделы) предприятия, а должна выстраиваться в виде, при котором становится максимально удобно управлять теми объектами, которые находятся в AD.
Используя OU, можно осуществлять делегирование управления, т.е. можно предоставлять какому либо пользователю (помощнику админа) право управлять теми объектами, которые находятся в определенной OU.
Подразделения (OU):
Компьютеры Контакты Группы Принтеры Пользователи Сетевые папки Подразделения
ФУНКЦИОНАЛЬНЫЕ УРОВНИ(РЕЖИМЫ РАБОТЫ)
Функциональные уровни домена:
Windows 2000 mixed(смешанный) уровень по умолчанию | Windows NT Windows 2000 Windows 2003 |
Windows 2000 native(основной) | Windows 2000 Windows 2003 |
Windows Server 2003 interim(переходный) | Windows NT Windows 2003 |
Windows Server 2003 | Windows 2003 |
Функциональные уровни леса:
Windows 2000 уровень по умолчанию | Windows NT Windows 2000 Windows Server 2003 |
Windows Server 2003 interim(переходный) | Windows NT Windows Server 2003 |
Windows Server 2003 | Windows Server 2003 |
Группа (Group) - объект AD, который может хранить в себе другие объекты AD, такие как:
Учётные записи пользователей
Контакты
Компьютеры
Другие группы
Типы групп: Группы безопасности. Предоставлять доступ к сетевым ресурсам можно только группам безопасности. Именно для предоставления доступа к сетевым ресурсам и используются группы безопасности. Группа распространения. Группы распространения не могут использоваться для предоставления доступа к сетевым ресурсам тем объектам, которые находятся внутри этих групп. Группы распространения используются просто как списки пользователей. Данные списки могут использовать какие-либо программы которые могут работать в AD.
Область действия группы - показывает в какой части сети можно назначить разрешения данной группе, а так же кто может входить в данную группу. В зависимости от области действия, группы бывают следующих типов:
Локальная группа домена - В данную группу можно вносить объекты из любых доменов. Может использоваться для назначения доступа только к тем ресурсам, которые расположены в том же домене, где и была создана группа.
Глобальная группа - В данную группу можно вносить объекты только того домена , в котором и была создана группа. Может получать разрешения на доступ к ресурсам в любом домене.
Универсальная группа - В данную группу можно вносить объекты из любых доменов. Может получать разрешения на доступ к ресурсам в любом домене.
Способы создания учётной записи компьютера.
1. Скриптами.
2. Автоматически. Если подключить компьютер к домену, предварительно не создав в базе AD для него учётную запись, то она создастся автоматически в контейнере computers. Права на создание учётной записи компьютера имеют пользователи, входящие в группы: Администраторы предприятия(Enterprise Admins) или Администраторы домена(Domain Admins) или Операторы учёта(Accounts Operators) + каждый пользователь домена может подключить к домену 10 компьютеров* и следовательно создать 10 учётных записей компьютеров. *Пользователь должен обладать правами локльного Администратора на подключаемом компьютере.
3. Вручную, используя оснастку «Active Directory - Пользователи и Компьютеры»(Active Directory - Users and Computers). Используя этот способ, можно предоставить любому пользователю право на подключение компьютера к домену. GPO - Group Policy Object
GPO - Сгруппированный в единое целое набор определённых настроек (конфигураций) групповой политики.
Типы GPO
Локальный GPO. На всех компьютерах (на всех на то, входит ли данный компьютер в домен или нет) с Windows 2000, Windows Server 2003 и Windows XP существует локальная GroupPolicy. Локальный GPO хранится в c:\windows\system32\GroupPolicy. Локальный GPO воздействует только на тот компьютер на котором он хранится. Правом на редактирование локальной политики обладает администратор на данном компьютере.
Доменный GPO. Доменные групповые политики создются в AD. GPO хранятся в c:\windows\sysvol\DomainName\Policies\GROUPID\ , где DomainName - имя домена AD, а GROUPID - глобально уникальный идентификатор GPO. Узнать соответствие между «непонятным» GPO GUID и именем GPO можно посмотреть в свойствах контейнера CN=GROUPID, CN=Policies, CN=Systems, DC=Test, DC=ru, используя ADSEDIT.MSC из пакета Support Tools, и там посмотреть значение атрибута displayName. Объекты GPO могут быть связаны с: САЙТОМ, ДОМЕНОМ, OU. Количество компьютеров, на который распространяется определённая политика зависит от того, к чему прилинкована групповая политика. Если политика прилинкована к сайту, то её обрабатываеют все компьютеры, которые принадлежат данному сайту, если политика прилинкована к некой OU, то её получат только те компьютеры, которые находятся в этой OU. Политики отрабатываются в следующем порядке: Локальная→Сайт→Домен→OU
В Групповой политике Конфигурация компьютера, приоритетней Конфигурации пользователя.
Зарезервированные места в реестре для политик из Административных шаблонов
В подавляющем большинстве случаев, информация, задаваемая групповыми политиками, хранится в ветках:
HKEY_LOCAL_MACHINE\Software\Policies* HKEY_CURRENT_USER\Software\Policies**
Иногда информация, задаваемая групповыми политиками сохраняется в:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies**
* для политик, которые определены в части «Конфигурация компьютера» ** для политик, которые определены в части «Конфигурация пользователя»
GPO = GPT + GPC GPT - Group Policy Template (Шаблон Групповой Политики). «Представительство» GPO в файловой системе. GPC - Group Policy Container (Контейнер Групповой Политики). «Представительство» GPO в Active Directory.
История о применённых ранее GPO хранится в реестре GPO нацеленных на компьютер:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\GroupPolicy\History
GPO нацеленных на пользователя:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\GroupPolicy\History
Порядок применения GPO
Локальный > Сайт > Домен > Подразделение 1-го уровня > Подразделение n-го уровня Аббревиатура для запоминания - LSDOU
Local group policy > Site-level group policy > Domain-level group policy > OU-level group policy
Время применения групповых политик
Групповые политики отрабатывают в следующих случаях: 1. При загрузке компьютера(отрабатывают GPO нацеленные на компьютер). 2. При входе пользователя в систему(отрабатывают GPO нацеленные на пользователя). 3. При работе компьютера и пользователя за ним, групповые политики обновляются каждые 90минут + случайно от 0 до 30минут. Такое обновление называется фоновым и предназначено для передачи клиенту самых «свежих» политик(если они изменились). 4. На контроллере домена расписание фонового обновления политик - каждые 5 минут. 5. Применение политик можно вызвать принудительно, используя консольную утилиту GPUPDATE.
Расписание фонового обновления можно самостоятельно изменять, используя сами же групповые политики: Для пользователя - Некий GPO > Конфигурация Пользователя > Административные Шаблоны > Система > Групповая Политика > Интервал обновления групповой политики для пользователей Для компьютера - Некий GPO > Конфигурация Компьютера > Административные Шаблоны > Система > Групповая Политика > Интервал обновления групповой политики для компьютеров Для контроллера домена - Некий GPO > Конфигурация Компьютера > Административные Шаблоны > Система > Групповая Политика > Интервал обновления групповой политики для контроллера домена Отключение фонового обновления - Некий GPO > Конфигурация Компьютера > Административные Шаблоны > Система > Групповая Политика > Отключить фоновое обновление групповой политики
Блокировка наследования(Block Inheritance)
Блокировка наследования позволяет влиять на стандартное распространение групповых политик. Будучи установленной на каком-либо контейнере, блокировка наследования НЕ пропустит ни в сам этот контейнер, ни в контейнеры, которые существуют ниже ни одну политику из GPO, прилинкованных выше.
Блокировку наследования можно устанавливать на такие контейнеры как: 1 - Домен 2 - Любое подразделение(OU), существующее в домене * установить блокировку наследования на сайт невозможно.
У всех контейнеров, у которых можно включить блокировку наследования, существует атрибут gPOptions, значения которого могут иметь вид: Значение Блокировка Наследования 0 или <Not Set> Выключена 1 Включена
Опция Enforced(Запрет на переопределение)
На любой из «линков» можно поставить запрет на переопределение(опция enforced). Если у некоего GPO существует «линк» с включенной функцией Enforced, то значения его политик НЕ сможет перезаписать ни один другой GPO.
Опция Enforced позволяет политикам «проникать» даже в те контейнеры, в которых установлена Блокировка Наследования.
Если существуют несколько GPO с Enforced-линками, нацеленных на один параметр, то выигрывает тот GPO, который согласно LSDOU, отработает первым.
Информация о включенном.выключенном состоянии опции Enforced хранится в gPlink-флаге: Значение LINK ENABLED? LINK FORCED 0 YES NO 1 NO NO 2 YES YES 3* NO YES
* когда линк отключен, enforced-установка YES игнорируется.
Фильтрация групповых политик при помощи групп Active Directory
Для того чтобы некий объект(пользователь или компьютер) смог применить назначенные ему политики, ему необходимо по отношению к этим политикам иметь следующие права: Чтение политик - РАЗРЕШЕНО Применение политик - РАЗРЕШЕНО