Active Directory

Материал из megapuper
Версия от 19:39, 4 декабря 2013; Root (обсуждение | вклад)
(разн.) ← Предыдущая | Текущая версия (разн.) | Следующая → (разн.)
Перейти к: навигация, поиск

Процесс входа в домен Active Directory

1. Запрос списка ближайших DC (DNS, SRV)
2. Выбор DC, определение IP (DNS, A)
3. Проверка доступности DC (ICMP PING/LDAP)
4. Синхронизация времени с DC (NTP)
5. Аутентификация компьютера в домене (Kerberos)
6. Проверка скорости соединения с DC (ICMP PING)
7. Получение групповых политик компьютера (LDAP/SMB)
8. Аутентификация пользователя в домене (Kerberos)
9. Получение групповых политик пользователя (LDAP/SMB)
10. Загрузка профиля пользователя


Компоненты AD

Логические:

Домены
Подразделения
Деревья
Леса

Физические:

Контроллеры домена
Сайты


Контроллер домена - сервер, на котором установлено ПО Active Directory, а так же расположена база данных данной службы.


Домен - область, объединяющая группу компьютеров(и других объектов), которые при работе в сети, при поиске доступных ресурсов, ориентируются на единый справочник (Active Directory). Данный справочник распространяет на эти компьютеры свои политики безопасности. Домен указывает область влияния какой-либо отдельной службы каталогов, определяет границы действия политик безопасности этой службы каталогов.


Дерево - несколько доменов, которые используют общее пространство имён Active Directory.


Лес - несколько деревьев доменов, принадлежащих одной структуре(предприятию).


Сайт - область, которая содержит в себе одну или несколько подсетей (при наличии быстрого и надежного подключения между этимим подсетями). Использование такого компонента, как сайт, позволяет учитывать топологию и характеристики сети, в которой устанавливается Active Directory.


Подразделения (Organizational Unit - OU) - своего рода «контейнеры», используя которые можно значительно упростить управление объектами, находящимися в Active Directory. Благодаря подразделениям в базе данных Active Directory становится возможным выстроить объекты, которые находятся в AD, в некую иерархию. Данная иерархия совсем не обязана отражать реальную иерархию (департаменты, отделы) предприятия, а должна выстраиваться в виде, при котором становится максимально удобно управлять теми объектами, которые находятся в AD. Используя OU, можно осуществлять делегирование управления, т.е. можно предоставлять какому либо пользователю (помощнику админа) право управлять теми объектами, которые находятся в определенной OU.


Подразделения (OU):

Компьютеры
Контакты
Группы
Принтеры
Пользователи
Сетевые папки
Подразделения


ФУНКЦИОНАЛЬНЫЕ УРОВНИ(РЕЖИМЫ РАБОТЫ)


Функциональные уровни домена:

Windows 2000 mixed(смешанный) уровень по умолчанию Windows NT
Windows 2000
Windows 2003
Windows 2000 native(основной) Windows 2000
Windows 2003
Windows Server 2003 interim(переходный) Windows NT
Windows 2003
Windows Server 2003 Windows 2003


Функциональные уровни леса:

Windows 2000 уровень по умолчанию Windows NT
Windows 2000
Windows Server 2003
Windows Server 2003 interim(переходный) Windows NT
Windows Server 2003
Windows Server 2003 Windows Server 2003


Группа (Group) - объект AD, который может хранить в себе другие объекты AD, такие как: Учётные записи пользователей

  • Контакты
  • Компьютеры
  • Другие группы


Типы групп:
Группы безопасности. Предоставлять доступ к сетевым ресурсам можно только группам безопасности. Именно для предоставления доступа к сетевым ресурсам и используются группы безопасности.
Группа распространения. Группы распространения не могут использоваться для предоставления доступа к сетевым ресурсам тем объектам, которые находятся внутри этих групп. Группы распространения используются просто как списки пользователей. Данные списки могут использовать какие-либо программы которые могут работать в AD.


Область действия группы - показывает в какой части сети можно назначить разрешения данной группе, а так же кто может входить в данную группу. В зависимости от области действия, группы бывают следующих типов:

Локальная группа домена - В данную группу можно вносить объекты из любых доменов. Может использоваться для назначения доступа только к тем ресурсам, которые расположены в том же домене, где и была создана группа.

Глобальная группа - В данную группу можно вносить объекты только того домена , в котором и была создана группа. Может получать разрешения на доступ к ресурсам в любом домене.

Универсальная группа - В данную группу можно вносить объекты из любых доменов. Может получать разрешения на доступ к ресурсам в любом домене.


Способы создания учётной записи компьютера.

1. Скриптами.
2. Автоматически. Если подключить компьютер к домену, предварительно не создав в базе AD для него учётную запись, то она создастся автоматически в контейнере computers. Права на создание учётной записи компьютера имеют пользователи, входящие в группы: Администраторы предприятия(Enterprise Admins) или Администраторы домена(Domain Admins) или Операторы учёта(Accounts Operators) + каждый пользователь домена может подключить к домену 10 компьютеров* и следовательно создать 10 учётных записей компьютеров. *Пользователь должен обладать правами локльного Администратора на подключаемом компьютере.
3. Вручную, используя оснастку «Active Directory - Пользователи и Компьютеры»(Active Directory - Users and Computers). Используя этот способ, можно предоставить любому пользователю право на подключение компьютера к домену.


GPO - Group Policy Object GPO - Сгруппированный в единое целое набор определённых настроек (конфигураций) групповой политики.


Типы GPO

Локальный GPO. На всех компьютерах (на всех на то, входит ли данный компьютер в домен или нет) с Windows 2000, Windows Server 2003 и Windows XP существует локальная GroupPolicy. Локальный GPO хранится в c:\windows\system32\GroupPolicy. Локальный GPO воздействует только на тот компьютер на котором он хранится. Правом на редактирование локальной политики обладает администратор на данном компьютере.

Доменный GPO. Доменные групповые политики создются в AD. GPO хранятся в c:\windows\sysvol\DomainName\Policies\GROUPID\ , где DomainName - имя домена AD, а GROUPID - глобально уникальный идентификатор GPO. Узнать соответствие между «непонятным» GPO GUID и именем GPO можно посмотреть в свойствах контейнера CN=GROUPID, CN=Policies, CN=Systems, DC=Test, DC=ru, используя ADSEDIT.MSC из пакета Support Tools, и там посмотреть значение атрибута displayName. Объекты GPO могут быть связаны с: САЙТОМ, ДОМЕНОМ, OU. Количество компьютеров, на который распространяется определённая политика зависит от того, к чему прилинкована групповая политика. Если политика прилинкована к сайту, то её обрабатываеют все компьютеры, которые принадлежат данному сайту, если политика прилинкована к некой OU, то её получат только те компьютеры, которые находятся в этой OU. Политики отрабатываются в следующем порядке: Локальная→Сайт→Домен→OU


В Групповой политике Конфигурация компьютера, приоритетней Конфигурации пользователя.


Зарезервированные места в реестре для политик из Административных шаблонов.
В подавляющем большинстве случаев, информация, задаваемая групповыми политиками, хранится в ветках:

HKEY_LOCAL_MACHINE\Software\Policies*
HKEY_CURRENT_USER\Software\Policies**


Иногда информация, задаваемая групповыми политиками сохраняется в:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies**

для политик, которые определены в части «Конфигурация компьютера» ** для политик, которые определены в части «Конфигурация пользователя»


GPO = GPT + GPC GPT - Group Policy Template (Шаблон Групповой Политики). «Представительство» GPO в файловой системе.
GPC - Group Policy Container (Контейнер Групповой Политики). «Представительство» GPO в Active Directory.


История о применённых ранее GPO хранится в реестре GPO нацеленных на компьютер:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\GroupPolicy\History 


GPO нацеленных на пользователя:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\GroupPolicy\History 


Порядок применения GPO
Локальный > Сайт > Домен > Подразделение 1-го уровня > Подразделение n-го уровня
Аббревиатура для запоминания - LSDOU Local group policy > Site-level group policy > Domain-level group policy > OU-level group policy


Время применения групповых политик
Групповые политики отрабатывают в следующих случаях:
1. При загрузке компьютера(отрабатывают GPO нацеленные на компьютер).
2. При входе пользователя в систему(отрабатывают GPO нацеленные на пользователя).
3. При работе компьютера и пользователя за ним, групповые политики обновляются каждые 90минут + случайно от 0 до 30минут. Такое обновление называется фоновым и предназначено для передачи клиенту самых «свежих» политик(если они изменились).
4. На контроллере домена расписание фонового обновления политик - каждые 5 минут.
5. Применение политик можно вызвать принудительно, используя консольную утилиту GPUPDATE.


Расписание фонового обновления можно самостоятельно изменять, используя сами же групповые политики:
Для пользователя - Некий GPO > Конфигурация Пользователя > Административные Шаблоны > Система > Групповая Политика > Интервал обновления групповой политики для пользователей Для компьютера - Некий GPO > Конфигурация Компьютера > Административные Шаблоны > Система > Групповая Политика > Интервал обновления групповой политики для компьютеров Для контроллера домена - Некий GPO > Конфигурация Компьютера > Административные Шаблоны > Система > Групповая Политика > Интервал обновления групповой политики для контроллера домена Отключение фонового обновления - Некий GPO > Конфигурация Компьютера > Административные Шаблоны > Система > Групповая Политика > Отключить фоновое обновление групповой политики


Блокировка наследования(Block Inheritance)
Блокировка наследования позволяет влиять на стандартное распространение групповых политик. Будучи установленной на каком-либо контейнере, блокировка наследования НЕ пропустит ни в сам этот контейнер, ни в контейнеры, которые существуют ниже ни одну политику из GPO, прилинкованных выше.

Блокировку наследования можно устанавливать на такие контейнеры как:
1 - Домен
2 - Любое подразделение(OU), существующее в домене
установить блокировку наследования на сайт невозможно.


У всех контейнеров, у которых можно включить блокировку наследования, существует атрибут gPOptions, значения которого могут иметь вид: Значение Блокировка Наследования

Значение Блокировка Наследования
0 или <Not Set> Выключена
1 Включена


Опция Enforced(Запрет на переопределение)
На любой из «линков» можно поставить запрет на переопределение(опция enforced). Если у некоего GPO существует «линк» с включенной функцией Enforced, то значения его политик НЕ сможет перезаписать ни один другой GPO.

Опция Enforced позволяет политикам «проникать» даже в те контейнеры, в которых установлена Блокировка Наследования.

Если существуют несколько GPO с Enforced-линками, нацеленных на один параметр, то выигрывает тот GPO, который согласно LSDOU, отработает первым.

Информация о включенном.выключенном состоянии опции Enforced хранится в gPlink-флаге

Значение LINK ENABLED? LINK FORCED
0 YES NO
1 NO NO
2 YES YES
3* NO YES

когда линк отключен, enforced-установка YES игнорируется.


Фильтрация групповых политик при помощи групп Active Directory
Для того чтобы некий объект(пользователь или компьютер) смог применить назначенные ему политики, ему необходимо по отношению к этим политикам иметь следующие права:
Чтение политик - РАЗРЕШЕНО
Применение политик - РАЗРЕШЕНО