Active Directory — различия между версиями

Материал из megapuper
Перейти к: навигация, поиск
Строка 57: Строка 57:
 
'''ФУНКЦИОНАЛЬНЫЕ УРОВНИ(РЕЖИМЫ РАБОТЫ)'''  
 
'''ФУНКЦИОНАЛЬНЫЕ УРОВНИ(РЕЖИМЫ РАБОТЫ)'''  
  
Функциональные уровни домена: Windows 2000 mixed(смешанный)
+
Функциональные уровни домена:
  уровень по умолчанию Windows NT
+
{| class="wikitable"
 +
|-
 +
| Windows 2000 mixed(смешанный)
 +
  уровень по умолчанию || Windows NT
 
  Windows 2000
 
  Windows 2000
  Windows 2003  
+
  Windows 2003
Windows 2000 native(основной) Windows 2000
+
|-
  Windows 2003  
+
| Windows 2000 native(основной) || Windows 2000
Windows Server 2003 interim(переходный) Windows NT
+
  Windows 2003
  Windows 2003  
+
|-
Windows Server 2003 Windows 2003  
+
| Windows Server 2003 interim(переходный) ||  Windows NT
 +
  Windows 2003
 +
|-
 +
| Windows Server 2003 || Windows 2003
 +
|}
  
  
Функциональные уровни леса: Windows 2000 уровень
+
 
 +
Функциональные уровни леса:
 +
Windows 2000 уровень
 
  по умолчанию Windows NT
 
  по умолчанию Windows NT
 
  Windows 2000
 
  Windows 2000

Версия 17:01, 4 декабря 2013

Процесс входа в домен Active Directory

1. Запрос списка ближайших DC (DNS, SRV)
2. Выбор DC, определение IP (DNS, A)
3. Проверка доступности DC (ICMP PING/LDAP)
4. Синхронизация времени с DC (NTP)
5. Аутентификация компьютера в домене (Kerberos)
6. Проверка скорости соединения с DC (ICMP PING)
7. Получение групповых политик компьютера (LDAP/SMB)
8. Аутентификация пользователя в домене (Kerberos)
9. Получение групповых политик пользователя (LDAP/SMB)
10. Загрузка профиля пользователя


Компоненты AD

Логические:

Домены
Подразделения
Деревья
Леса

Физические:

Контроллеры домена
Сайты


Контроллер домена - сервер, на котором установлено ПО Active Directory, а так же расположена база данных данной службы.


Домен - область, объединяющая группу компьютеров(и других объектов), которые при работе в сети, при поиске доступных ресурсов, ориентируются на единый справочник (Active Directory). Данный справочник распространяет на эти компьютеры свои политики безопасности. Домен указывает область влияния какой-либо отдельной службы каталогов, определяет границы действия политик безопасности этой службы каталогов.


Дерево - несколько доменов, которые используют общее пространство имён Active Directory.


Лес - несколько деревьев доменов, принадлежащих одной структуре(предприятию).


Сайт - область, которая содержит в себе одну или несколько подсетей (при наличии быстрого и надежного подключения между этимим подсетями). Использование такого компонента, как сайт, позволяет учитывать топологию и характеристики сети, в которой устанавливается Active Directory.


Подразделения (Organizational Unit - OU) - своего рода «контейнеры», используя которые можно значительно упростить управление объектами, находящимися в Active Directory. Благодаря подразделениям в базе данных Active Directory становится возможным выстроить объекты, которые находятся в AD, в некую иерархию. Данная иерархия совсем не обязана отражать реальную иерархию (департаменты, отделы) предприятия, а должна выстраиваться в виде, при котором становится максимально удобно управлять теми объектами, которые находятся в AD. Используя OU, можно осуществлять делегирование управления, т.е. можно предоставлять какому либо пользователю (помощнику админа) право управлять теми объектами, которые находятся в определенной OU.


Подразделения (OU):

Компьютеры
Контакты
Группы
Принтеры
Пользователи
Сетевые папки
Подразделения


ФУНКЦИОНАЛЬНЫЕ УРОВНИ(РЕЖИМЫ РАБОТЫ)

Функциональные уровни домена:

Windows 2000 mixed(смешанный)
уровень по умолчанию || Windows NT
Windows 2000
Windows 2003
Windows 2000 native(основной) Windows 2000
Windows 2003
Windows Server 2003 interim(переходный) Windows NT
Windows 2003
Windows Server 2003 Windows 2003


Функциональные уровни леса: Windows 2000 уровень

по умолчанию 	 Windows NT
Windows 2000
Windows Server 2003 
Windows Server 2003 interim(переходный) 	 Windows NT
Windows Server 2003 
Windows Server 2003 	 Windows Server 2003 


Группа (Group) - объект AD, который может хранить в себе другие объекты AD, такие как:

Учётные записи пользователей
Контакты
Компьютеры
Другие группы

Типы групп: Группы безопасности. Предоставлять доступ к сетевым ресурсам можно только группам безопасности. Именно для предоставления доступа к сетевым ресурсам и используются группы безопасности. Группа распространения. Группы распространения не могут использоваться для предоставления доступа к сетевым ресурсам тем объектам, которые находятся внутри этих групп. Группы распространения используются просто как списки пользователей. Данные списки могут использовать какие-либо программы которые могут работать в AD.

Область действия группы - показывает в какой части сети можно назначить разрешения данной группе, а так же кто может входить в данную группу. В зависимости от области действия, группы бывают следующих типов:

Локальная группа домена - В данную группу можно вносить объекты из любых доменов. Может использоваться для назначения доступа только к тем ресурсам, которые расположены в том же домене, где и была создана группа.

Глобальная группа - В данную группу можно вносить объекты только того домена , в котором и была создана группа. Может получать разрешения на доступ к ресурсам в любом домене.

Универсальная группа - В данную группу можно вносить объекты из любых доменов. Может получать разрешения на доступ к ресурсам в любом домене.

Способы создания учётной записи компьютера.

1. Скриптами.

2. Автоматически. Если подключить компьютер к домену, предварительно не создав в базе AD для него учётную запись, то она создастся автоматически в контейнере computers. Права на создание учётной записи компьютера имеют пользователи, входящие в группы: Администраторы предприятия(Enterprise Admins) или Администраторы домена(Domain Admins) или Операторы учёта(Accounts Operators) + каждый пользователь домена может подключить к домену 10 компьютеров* и следовательно создать 10 учётных записей компьютеров. *Пользователь должен обладать правами локльного Администратора на подключаемом компьютере.

3. Вручную, используя оснастку «Active Directory - Пользователи и Компьютеры»(Active Directory - Users and Computers). Используя этот способ, можно предоставить любому пользователю право на подключение компьютера к домену. GPO - Group Policy Object

GPO - Сгруппированный в единое целое набор определённых настроек (конфигураций) групповой политики. 

Типы GPO

Локальный GPO. На всех компьютерах (на всех на то, входит ли данный компьютер в домен или нет) с Windows 2000, Windows Server 2003 и Windows XP существует локальная GroupPolicy. Локальный GPO хранится в c:\windows\system32\GroupPolicy. Локальный GPO воздействует только на тот компьютер на котором он хранится. Правом на редактирование локальной политики обладает администратор на данном компьютере.

Доменный GPO. Доменные групповые политики создются в AD. GPO хранятся в c:\windows\sysvol\DomainName\Policies\GROUPID\ , где DomainName - имя домена AD, а GROUPID - глобально уникальный идентификатор GPO. Узнать соответствие между «непонятным» GPO GUID и именем GPO можно посмотреть в свойствах контейнера CN=GROUPID, CN=Policies, CN=Systems, DC=Test, DC=ru, используя ADSEDIT.MSC из пакета Support Tools, и там посмотреть значение атрибута displayName. Объекты GPO могут быть связаны с: САЙТОМ, ДОМЕНОМ, OU. Количество компьютеров, на который распространяется определённая политика зависит от того, к чему прилинкована групповая политика. Если политика прилинкована к сайту, то её обрабатываеют все компьютеры, которые принадлежат данному сайту, если политика прилинкована к некой OU, то её получат только те компьютеры, которые находятся в этой OU. Политики отрабатываются в следующем порядке: Локальная→Сайт→Домен→OU

В Групповой политике Конфигурация компьютера, приоритетней Конфигурации пользователя.

Зарезервированные места в реестре для политик из Административных шаблонов

В подавляющем большинстве случаев, информация, задаваемая групповыми политиками, хранится в ветках:

HKEY_LOCAL_MACHINE\Software\Policies* HKEY_CURRENT_USER\Software\Policies**

Иногда информация, задаваемая групповыми политиками сохраняется в:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies**

* для политик, которые определены в части «Конфигурация компьютера» ** для политик, которые определены в части «Конфигурация пользователя» 

GPO = GPT + GPC GPT - Group Policy Template (Шаблон Групповой Политики). «Представительство» GPO в файловой системе. GPC - Group Policy Container (Контейнер Групповой Политики). «Представительство» GPO в Active Directory.

История о применённых ранее GPO хранится в реестре GPO нацеленных на компьютер:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\GroupPolicy\History

GPO нацеленных на пользователя:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\GroupPolicy\History

Порядок применения GPO

Локальный > Сайт > Домен > Подразделение 1-го уровня > Подразделение n-го уровня
Аббревиатура для запоминания - LSDOU

Local group policy > Site-level group policy > Domain-level group policy > OU-level group policy

Время применения групповых политик

Групповые политики отрабатывают в следующих случаях:
1. При загрузке компьютера(отрабатывают GPO нацеленные на компьютер).
2. При входе пользователя в систему(отрабатывают GPO нацеленные на пользователя).
3. При работе компьютера и пользователя за ним, групповые политики обновляются каждые 90минут + случайно от 0 до 30минут. Такое обновление называется фоновым и предназначено для передачи клиенту самых «свежих» политик(если они изменились).
4. На контроллере домена расписание фонового обновления политик - каждые 5 минут.
5. Применение политик можно вызвать принудительно, используя консольную утилиту GPUPDATE. 

Расписание фонового обновления можно самостоятельно изменять, используя сами же групповые политики: Для пользователя - Некий GPO > Конфигурация Пользователя > Административные Шаблоны > Система > Групповая Политика > Интервал обновления групповой политики для пользователей Для компьютера - Некий GPO > Конфигурация Компьютера > Административные Шаблоны > Система > Групповая Политика > Интервал обновления групповой политики для компьютеров Для контроллера домена - Некий GPO > Конфигурация Компьютера > Административные Шаблоны > Система > Групповая Политика > Интервал обновления групповой политики для контроллера домена Отключение фонового обновления - Некий GPO > Конфигурация Компьютера > Административные Шаблоны > Система > Групповая Политика > Отключить фоновое обновление групповой политики

Блокировка наследования(Block Inheritance)

Блокировка наследования позволяет влиять на стандартное распространение групповых политик. Будучи установленной на каком-либо контейнере, блокировка наследования НЕ пропустит ни в сам этот контейнер, ни в контейнеры, которые существуют ниже ни одну политику из GPO, прилинкованных выше. 
Блокировку наследования можно устанавливать на такие контейнеры как:
1 - Домен
2 - Любое подразделение(OU), существующее в домене
* установить блокировку наследования на сайт невозможно. 
У всех контейнеров, у которых можно включить блокировку наследования, существует атрибут gPOptions, значения которого могут иметь вид: Значение 	 Блокировка Наследования 
0 или <Not Set> 	 Выключена 
1 	 Включена 


Опция Enforced(Запрет на переопределение)

На любой из «линков» можно поставить запрет на переопределение(опция enforced). Если у некоего GPO существует «линк» с включенной функцией Enforced, то значения его политик НЕ сможет перезаписать ни один другой GPO. 
Опция Enforced позволяет политикам «проникать» даже в те контейнеры, в которых установлена Блокировка Наследования. 
Если существуют несколько GPO с Enforced-линками, нацеленных на один параметр, то выигрывает тот GPO, который согласно LSDOU, отработает первым. 
Информация о включенном.выключенном состоянии опции Enforced хранится в gPlink-флаге:  Значение 	 LINK ENABLED? 	 LINK FORCED 
0 	 YES 	 NO 
1 	 NO 	 NO 
2 	 YES 	 YES 
3* 	 NO 	 YES 


* когда линк отключен, enforced-установка YES игнорируется. 

Фильтрация групповых политик при помощи групп Active Directory

Для того чтобы некий объект(пользователь или компьютер) смог применить назначенные ему политики, ему необходимо по отношению к этим политикам иметь следующие права:
Чтение политик - РАЗРЕШЕНО
Применение политик - РАЗРЕШЕНО