Hoe active directory werkt. We verhogen het Active Directory (AD) domein. Wizard Infrastructuur en Globale Catalogus

Het is al lang opgenomen in de categorie van conservatieve principes van logische constructie van netwerkinfrastructuur. Maar veel beheerders blijven Windows NT-werkgroepen en -domeinen gebruiken in hun werk. Het implementeren van een directoryservice is interessant en nuttig voor zowel beginnende als ervaren beheerders om het netwerkbeheer te centraliseren en een adequaat beveiligingsniveau te waarborgen.

Active Directory, een technologie die zes jaar geleden in de Win2K-systeemlijn verscheen, kan als revolutionair worden omschreven. Het presteert beter dan NT 4-domeinen qua flexibiliteit en schaalbaarheid, om nog maar te zwijgen van werkgroepnetwerken.

Ze zijn ingedeeld volgens hun toepassingsgebied:

• Universele groepen kunnen gebruikers binnen het forest bevatten, evenals andere universele groepen of globale groepen van elk domein in het forest.
• globale domeingroepen kunnen domeingebruikers en andere globale groepen in hetzelfde domein omvatten;
• Lokale domeingroepen worden gebruikt om toegangsrechten te differentiëren; ze kunnen domeingebruikers omvatten, evenals universele groepen en globale groepen van elk domein in het forest;
• lokale computergroepen - groepen die SAM (beveiligingsaccountmanager) bevat lokaal apparaat... Ze zijn beperkt tot een bepaalde machine, maar ze kunnen lokale groepen bevatten voor het domein waarin de computer zich bevindt, evenals universele en globale groepen voor hun domein of een ander domein dat ze vertrouwen. U kunt bijvoorbeeld een gebruiker uit de domein lokale groep Gebruikers toevoegen aan de groep Beheerders van de lokale computer, waardoor hij beheerdersrechten krijgt, maar alleen voor deze computer.

Websites

Dit is een manier om de directoryservice fysiek te scheiden. Een site is per definitie een groep computers die met elkaar verbonden zijn snelle kanalen dataoverdracht.

Als u bijvoorbeeld meerdere vestigingen heeft in verschillende delen van het land die met elkaar zijn verbonden door middel van langzame communicatielijnen, kunt u voor elke vestiging uw eigen website maken. Dit wordt gedaan om de betrouwbaarheid van directoryreplicatie te verbeteren.

Deze indeling van AD heeft geen invloed op de principes van logische constructie, daarom kan een site meerdere domeinen bevatten en omgekeerd kan een domein meerdere sites bevatten. Maar deze directoryservice-topologie is beladen met een addertje onder het gras. Meestal wordt internet gebruikt om met filialen te communiceren - een zeer onveilige omgeving. Veel bedrijven gebruiken beveiligingsfuncties zoals firewalls. De directoryservice gebruikt in zijn werk ongeveer een dozijn poorten en services, waardoor het AD-verkeer dat door de firewall gaat, het daadwerkelijk "uit" zal stellen. De oplossing is om tunnelingtechnologie te gebruiken en op elke site een domeincontroller te hebben om de verwerking van AD-clientverzoeken te versnellen.

Directoryservice-entiteit

Om een ​​zeker beveiligingsniveau te bieden, moet elk besturingssysteem bestanden hebben die een gebruikersdatabase bevatten. V vroege versies Windows NT gebruikte hiervoor het SAM (Security Accounts Manager) bestand. Het bevatte gebruikersgegevens en was versleuteld. SAM wordt tegenwoordig ook gebruikt in de NT 5-familie van besturingssystemen (Windows 2000 en later).

Wanneer u een lidserver promoveert naar een domeincontroller met behulp van de opdracht DCPROMO (waarmee de Directory Service Installation Wizard daadwerkelijk wordt gestart), wordt het subsysteem Windows-beveiliging Server 2000/2003 begint een gecentraliseerde AD-database te gebruiken. U kunt dit eenvoudig controleren - probeer na het maken van een domein de module Computerbeheer op de controller te openen en daar te vinden " Lokale gebruikers en groepen". Probeer bovendien in te loggen op deze server met een lokaal account. Het is onwaarschijnlijk dat u zult slagen.

De meeste gebruikersgegevens worden opgeslagen in het NTDS.DIT-bestand (Directory Information Tree). NTDS.DIT ​​​​is een aangepaste database. Het is gemaakt met dezelfde technologie als de Microsoft Access-database. De werkingsalgoritmen van domeincontrollers bevatten een variant van de JET-engine van de basis Toegangsgegevens, die ESE (Extensible Storage Engine) heette. NTDS.DIT ​​​​en de services die met dit bestand communiceren, zijn in feite een directoryservice.

De structuur van de interactie tussen AD-clients en het hoofdgegevensarchief, vergelijkbaar met de naamruimte van de directoryservice, wordt in het artikel gepresenteerd. Volledigheidshalve dient melding te worden gemaakt van het gebruik van globale identifiers. De Global Unique Identifier (GUID) is een 128-bits nummer dat aan elk object wordt toegewezen wanneer het wordt gemaakt om de uniciteit te garanderen. De naam van het AD-object kan worden gewijzigd, maar de GUID blijft ongewijzigd.

Wereldwijde catalogus

Je hebt waarschijnlijk al gemerkt dat de structuur van AD erg complex kan zijn en een groot aantal objecten kan bevatten. Neem het feit dat een AD-domein tot 1,5 miljoen objecten kan bevatten. Dit kan echter prestatieproblemen veroorzaken bij het uitvoeren van bewerkingen. Dit probleem wordt opgelost door gebruik te maken van de Globale Catalogus (,). Het bevat een verkleinde versie van het volledige AD-forest om het zoeken naar objecten te versnellen. Een globale catalogus kan eigendom zijn van speciaal aangewezen domeincontrollers.

Rollen

In AD is er een bepaalde lijst met bewerkingen waarvan de uitvoering aan slechts één controller kan worden toegewezen. Ze worden rollen genoemd FSMO (Flexibele Single-Master Operations)... Er zijn 5 FSMO-rollen in AD. Laten we ze in meer detail bekijken.

Binnen het forest moet de uniciteit van domeinnamen gegarandeerd zijn bij het toevoegen van een nieuw domein aan het forest van domeinen. Een dergelijke garantie wordt geboden door de uitvoerder van de rol van de eigenaar van de domeinnaamgevingsoperatie ( Master voor domeinnamen) Acteur van de rol van schema-eigenaar ( Schema Master ) brengt alle wijzigingen in het directoryschema aan. De rollen van de domeinnaameigenaar en de schema-eigenaar moeten uniek zijn binnen het domeinforest.

Zoals ik al eerder zei, wanneer een object wordt gemaakt, wordt er een globale identifier aan toegewezen, wat de uniciteit ervan garandeert. Dat is de reden waarom de controller die verantwoordelijk is voor het genereren van GUID's en optreedt als de eigenaar van relatieve identifiers ( Relatieve ID Master) moet de enige zijn binnen het domein.

In tegenstelling tot NT-domeinen heeft AD geen concept van PDC en BDC (primaire en back-updomeincontrollers). Een van de taken van de FSMO is: PDC-emulator(PDC-emulator). Server onder Windows-besturing NT Server kan fungeren als een back-updomeincontroller in AD. Het is echter bekend dat in NT-domeinen slechts één primaire controller kan worden gebruikt. Daarom heeft Microsoft het zo gemaakt dat we binnen één AD-domein één enkele server kunnen aanwijzen - de drager van de PDC Emulator-rol. Dus, afwijkend van de terminologie, kunnen we praten over de aanwezigheid van de hoofd- en back-updomeincontrollers, wat betekent dat de eigenaar van de FSMO-rol.

Bij het verwijderen en verplaatsen van objecten moet een van de controllers een verwijzing naar dat object behouden totdat de replicatie is voltooid. Deze rol wordt gespeeld door de eigenaar van de directory-infrastructuur ( Master Infrastructuur).

De laatste drie rollen vereisen de uniciteit van de performer binnen het domein. Alle rollen worden toegewezen aan de eerste controller die in het forest is gemaakt. Wanneer u een gevorkte AD-infrastructuur maakt, kunt u deze rollen delegeren aan andere controllers. Er kunnen zich ook situaties voordoen wanneer de eigenaar van een van de rollen niet beschikbaar is (de server is niet beschikbaar). In dit geval moet u de handeling van het grijpen van de FSMO-rol uitvoeren met behulp van het hulpprogramma NTDSUTIL(we zullen het hebben over het gebruik ervan in de volgende artikelen). Wees echter voorzichtig, want de directoryservice gaat ervan uit dat de vorige eigenaar niet bestaat en verwijst er helemaal niet naar wanneer het een rol grijpt. De terugkeer naar het netwerk van de vorige uitvoerder van de rol kan leiden tot verstoring van het functioneren ervan. Dit is vooral van cruciaal belang voor de eigenaar van het schema, de eigenaar van de domeinnaam en de eigenaar van de ID.

Wat betreft prestaties: de rol van de primaire domeincontroller-emulator is het meest veeleisend voor de bron van de computerbronnen, dus deze kan aan een andere controller worden toegewezen. De rest van de rollen zijn niet zo veeleisend, dus bij het toewijzen ervan kunt u zich laten leiden door de nuances van de logische constructie van uw AD-schema.
De laatste stap van de theoreticus

Het lezen van het artikel zou je helemaal niet van theoretici naar de praktijk moeten brengen. Want totdat je alle factoren hebt overwogen, van de fysieke plaatsing van hosts tot de logische constructie van de hele directory, moet je niet aan de slag gaan en een domein bouwen met eenvoudige antwoorden op de vragen van de AD-installatiewizard. Bedenk hoe uw domein zal heten en, als u er onderliggende domeinen voor gaat maken, hoe deze zullen worden genoemd. Als je meerdere segmenten in je netwerk hebt die met elkaar zijn verbonden door onbetrouwbare links, overweeg dan om sites te gebruiken.

Als gids voor het installeren van AD kan ik u adviseren om artikelen te gebruiken en, evenals de Microsoft Knowledge Base.

Tot slot een paar tips:

• Probeer indien mogelijk de rollen van PDC-emulator en proxyserver niet op dezelfde machine te combineren. Ten eerste, met een groot aantal machines in het netwerk en internetgebruikers, neemt de belasting van de server toe, en ten tweede, met een succesvolle aanval op uw proxy, zal niet alleen het internet "vallen", maar ook de hoofddomeincontroller, en dit is beladen onjuist werk het hele netwerk.
• Als u constant een lokaal netwerk beheert en dit niet gaat doen implementatie van Active Directory voor klanten, voeg geleidelijk machines toe aan het domein, zeg vier tot vijf per dag. Omdat als je een groot aantal machines op het netwerk hebt (50 of meer) en je het alleen beheert, het onwaarschijnlijk is dat je het zelfs in het weekend kunt beheren, en als je dat wel doet, is het niet bekend hoe correct alles zal zijn. Daarnaast kun je een bestands- of interne mailserver gebruiken om binnen het netwerk documentatie uit te wisselen (dit is door mij beschreven in #11, 2006). Het enige in dit geval is om correct uit te zoeken hoe gebruikersrechten moeten worden geconfigureerd om toegang te krijgen tot de bestandsserver. Omdat als het bijvoorbeeld niet in het domein is opgenomen, gebruikersauthenticatie gebaseerd is op records lokale basis SAM. Er zijn geen gegevens over domeingebruikers. Als uw bestandsserver echter een van de eerste machines is die in AD zijn opgenomen en geen domeincontroller is, is het mogelijk om te verifiëren met zowel de lokale SAM- als de AD-account. Maar voor de laatste optie moet u in de lokale beveiligingsinstellingen toegang tot de bestandsserver via het netwerk toestaan ​​(indien nog niet gedaan) voor zowel domeinleden als lokale accounts.

O verdere aanpassing directory services (accounts aanmaken en beheren, groepsbeleid toewijzen, enz.) lees het volgende artikel.

bijlage

Wat is er nieuw in Active Directory Windows-server 2003

MET Windows-release Server 2003 heeft de volgende wijzigingen in Active Directory:

• Het werd mogelijk om een ​​domein te hernoemen nadat het was aangemaakt.
• is verbeterd gebruikersomgeving beheer. U kunt bijvoorbeeld de kenmerken van meerdere objecten tegelijk wijzigen.
• verscheen goede remedie Groepsbeleidsbeheer - Groepsbeleidsbeheerconsole (gpmc.msc, u moet het downloaden van de Microsoft-website).
• De functionele niveaus van het domein en forest zijn veranderd.

O laatste wijziging Ik moet zeggen in meer detail. Een AD-domein in Windows Server 2003 kan zich op een van de volgende niveaus bevinden, in volgorde van toenemende functionaliteit:

• Windows 2000 Gemengd (gemengde Windows 2000). Het is toegestaan ​​om controllers van verschillende versies te hebben - zowel Windows NT als Windows 2000/2003. Bovendien, als de Windows 2000/2003-servers gelijk zijn, kan de NT-server, zoals eerder vermeld, alleen fungeren als een back-updomeincontroller.
• Windows 2000 Native (native Windows 2000). Het is toegestaan ​​om controllers te hebben waarop Windows Server 2000/2003 draait. Dit niveau is functioneler, maar heeft zijn eigen beperkingen. U kunt bijvoorbeeld de naam van domeincontrollers niet wijzigen.
• Windows Server 2003 Interim (gemiddelde Windows Server 2003). Het is toegestaan ​​om zowel controllers met Windows NT als Windows Server 2003 te hebben. Wordt bijvoorbeeld gebruikt wanneer een master-domeincontroller met een Windows NT-server wordt geüpgraded naar W2K3. Het niveau heeft iets meer functionaliteit dan het Windows 2000 Native niveau.
• Windows Server 2003. Alleen controllers met Windows Server 2003 zijn toegestaan ​​in het domein. Op dit niveau kunt u ten volle profiteren van de service Windows-mappen Server 2003.

De forest-functionaliteitsniveaus van domeinen zijn bijna hetzelfde als voor domeinen. De enige uitzondering is dat er slechts één Windows 2000-laag is waarop Windows NT- en Windows Server 2000/2003-controllers in een forest kunnen worden gebruikt.

Opgemerkt moet worden dat de verandering functioneel niveau domein en forest is een onomkeerbare operatie. Dat wil zeggen, er is geen achterwaartse compatibiliteit.

1. Korobko I. Active Directory - constructietheorie. // "Systeembeheerder", nr. 1, 2004 - C. 90-94. (http://www.samag.ru/cgi-bin/go.pl?q=articles;n=01.2004;a=11).

2. Markov R. Windows 2000/2003-domeinen - we weigeren werkgroep... // "Systeembeheerder", nr. 9, 2005 - C. 8-11. (http://www.samag.ru/cgi-bin/go.pl?q=articles;n=09.2005; a = 01).

3. Markov R. Installatie en Windows installatie 2K-server. // "Systeembeheerder", nr. 10, 2004 - C. 88-94. (http://www.samag.ru/cgi-bin/go.pl? q = artikelen; n = 10.2004; a = 12).

Alexander Emelyanov

Active Directory (AD) zijn hulpprogramma's die zijn ontworpen voor het Microsoft Server-besturingssysteem. Het is oorspronkelijk gemaakt als een lichtgewicht algoritme voor toegang tot gebruikersmappen. Sinds de versie van Windows Server 2008 is er een integratie met autorisatieservices.

Hiermee kunt u een groepsbeleid afdwingen dat dezelfde instellingen en software toepast op alle gecontroleerde pc's met behulp van System Center Configuration Manager.

In eenvoudige bewoordingen voor beginners, dit is een serverrol waarmee u alle toegang en machtigingen vanaf één plek kunt beheren. lokaal netwerk

Functies en doeleinden

Microsoft Active Directory - (de zogenaamde directory) een pakket tools waarmee u gebruikers en netwerkgegevens kunt manipuleren. het belangrijkste doel Creatie - Vergemakkelijkt het werk van systeembeheerders in grote netwerken.

Directory's bevatten Overige informatie gerelateerd aan gebruikers, groepen, netwerkapparaten, bestandsshares- kortom, objecten. Gebruikersattributen die in de directory worden opgeslagen, moeten bijvoorbeeld als volgt zijn: adres, login, wachtwoord, mobiel telefoonnummer, enz. De map wordt gebruikt als: authenticatie punten, waarmee u de nodige informatie over de gebruiker kunt achterhalen.

Basisconcepten die tijdens het werk zijn aangetroffen

Er zijn een aantal gespecialiseerde concepten die van toepassing zijn bij het werken met AD:

1. Server is een computer die alle gegevens bevat.
2. Controller - Een server met een AD-rol die verzoeken afhandelt van mensen die het domein gebruiken.
3. AD-domein - een verzameling apparaten, verenigd onder één unieke naam, gelijktijdig met gemeenschappelijke basis directory gegevens.
4. Het gegevensarchief is het deel van de directory dat verantwoordelijk is voor het opslaan en ophalen van gegevens van elke domeincontroller.

Hoe actieve mappen werken

De belangrijkste werkprincipes zijn:

• autorisatie, waarmee het mogelijk wordt om een ​​pc op het netwerk te gebruiken door simpelweg in te voeren persoonlijk wachtwoord... In dit geval wordt alle informatie van het account overgedragen.
• Veiligheid... Active Directory bevat functionaliteit voor gebruikersherkenning. Voor elk netwerkobject kunt u op afstand, vanaf één apparaat, de benodigde rechten instellen, afhankelijk van de categorieën en specifieke gebruikers.
• Netwerk administratie vanaf één punt. Tijdens het werken met Active Directory hoeft de systeembeheerder niet alle pc's opnieuw te configureren als u toegangsrechten moet wijzigen, bijvoorbeeld voor een printer. Wijzigingen worden op afstand en wereldwijd doorgevoerd.
• Vol DNS-integratie... Met zijn hulp ontstaat er geen verwarring in AD, alle apparaten worden op dezelfde manier aangeduid als in het World Wide Web.
• Grootschalig... Een verzameling servers kan worden beheerd door een enkele Active Directory.
• Zoekopdracht wordt uitgevoerd volgens verschillende parameters, bijvoorbeeld computernaam, login.

Objecten en attributen

Object - een set attributen, verenigd onder zijn eigen naam, die een netwerkbron vertegenwoordigt.

Attribuut - kenmerken van een object in de catalogus. Deze omvatten bijvoorbeeld de volledige naam van de gebruiker, login. Maar de kenmerken van een pc-account kunnen de naam van deze computer en de beschrijving ervan zijn.

"Werknemer" - een object met de kenmerken "Volledige naam", "Positie" en "TabN".

LDAP-container en naam

Container - het type objecten dat kan bestaan ​​uit andere objecten... Een domein kan bijvoorbeeld accountobjecten bevatten.

Hun belangrijkste doel is: objecten bestellen door soorten tekens. Meestal worden containers gebruikt om objecten met dezelfde attributen te groeperen.

Bijna alle containers tonen een verzameling objecten en bronnen worden weergegeven uniek object Active Directory. Een van de belangrijkste typen AD-containers is een organisatie-eenheid of OU (organisatie-eenheid). Objecten die in deze container worden geplaatst, behoren alleen tot het domein waarin ze zijn gemaakt.

Lichtgewicht Directory Toegangsprotocol, LDAP) is het belangrijkste TCP / IP-verbindingsalgoritme. Het is ontworpen om de hoeveelheid nuance tijdens toegang tot directoryservices te verminderen. LDAP definieert ook de acties die worden gebruikt om directorygegevens op te vragen en te bewerken.

Boom en site

Een domeinboom is een structuur, een verzameling domeinen die een gemeenschappelijk schema en configuratie delen die een gemeenschappelijke naamruimte vormen en verbonden zijn door middel van vertrouwen.

Een domeinforest is een verzameling bomen die met elkaar verbonden zijn.

Een site is een verzameling apparaten in IP-subnetten, die een fysiek model van een netwerk vertegenwoordigen, waarvan de planning wordt uitgevoerd ongeacht de logische weergave van de constructie. Active Directory heeft de mogelijkheid om het n-de aantal sites te creëren of het n-de aantal domeinen onder één site te combineren.

Active Directory installeren en configureren

Laten we nu direct naar het configureren van Active Directory gaan op Windows-voorbeeld Server 2008 (op andere versies is de procedure identiek):

Klik op de knop "OK". Opgemerkt moet worden dat deze waarden optioneel zijn. U kunt het IP-adres en DNS van uw netwerk gebruiken.

• Vervolgens moet u naar het menu "Start" gaan, "Administrative Tools" en "" selecteren.
  
• Ga naar het item "Rollen", selecteer het veld " Rollen toevoegen”.
  
• Selecteer item " Domeinservices Active Directory", klik tweemaal op "Volgende" en vervolgens op "Installeren".
  
• Wacht tot de installatie is voltooid.
  
• Open het startmenu - " uitvoeren”. Voer dcpromo.exe in het veld in.
  
• Klik volgende".
  
• Selecteer item " Creëren nieuw domein in het nieuwe bos”En klik nogmaals op “Volgende”.
  
• Voer in het volgende venster de naam in, klik op "Volgende".
  
• Selecteer Compatibiliteitsmodus(Windows Server 2008).
  
• Laat in het volgende venster alles als standaard.
  
• Zal beginnen configuratievensterDNS... Omdat het niet eerder op de server is gebruikt, is er geen delegatie gemaakt.
  
• Selecteer een map voor installatie.
  
• Na deze stap moet u instellen administratie wachtwoord.

Voor betrouwbaarheid moet het wachtwoord aan de volgende eisen voldoen:

Nadat AD klaar is met het configureren van de onderdelen, moet u de server opnieuw opstarten.

De configuratie is voltooid, de module en de rol zijn op het systeem geïnstalleerd. U kunt AD alleen installeren op: Windows-families Server, conventionele versies zoals 7 of 10 kunnen alleen toestaan ​​dat de beheerconsole wordt geïnstalleerd.

Beheer in Active Directory

Standaard op Windows Serverconsole Active Directory: gebruikers en computers werkt met het domein waartoe de computer behoort. U kunt toegang krijgen tot de computer en gebruikersobjecten in dit domein via de consolestructuur of verbinding maken met een andere controller.

Met de tools van dezelfde console kunt u bekijken: Extra opties objecten te zoeken en ernaar te zoeken, kunt u nieuwe gebruikers en groepen maken en machtigingen wijzigen.

Trouwens, er is 2 soorten groepen in de Active Directory - beveiliging en distributie. Beveiligingsgroepen zijn verantwoordelijk voor het differentiëren van toegangsrechten tot objecten; ze kunnen worden gebruikt als distributiegroepen.

Distributiegroepen kunnen geen onderscheid maken tussen rechten, maar worden voornamelijk gebruikt om berichten op het netwerk te verzenden.

Wat is AD-delegatie?

Delegatie zelf is overdracht van een deel van de vergunningen en controle van het bovenliggende object naar de andere verantwoordelijke partij.

Het is bekend dat elke organisatie meerdere systeembeheerders op het hoofdkantoor heeft. Verschillende taken moet op verschillende schouders. Om wijzigingen door te voeren, moet u over de rechten en machtigingen beschikken, die zijn onderverdeeld in standaard en speciaal. Speciaal - zijn van toepassing op een specifiek object en standaard is een set bestaande machtigingen die bepaalde functies beschikbaar of niet-beschikbaar maken.

Een vertrouwensrelatie opbouwen

Er zijn twee soorten in AD vertrouwensrelatie: "Unidirectioneel" en "bidirectioneel". In het eerste geval vertrouwt het ene domein het andere, maar niet omgekeerd, respectievelijk heeft de eerste toegang tot de bronnen van de tweede en de tweede niet. In het tweede type is vertrouwen "wederzijds". Er zijn ook "uitgaande" en "inkomende" relaties. Bij uitgaand vertrouwt het eerste domein het tweede, waardoor gebruikers van het tweede domein de bronnen van het eerste kunnen gebruiken.

Tijdens de installatie moeten de volgende procedures worden uitgevoerd:

• Controleren netwerk connecties tussen regelaars.
• Controleer instellingen.
• Afstemmen naamresolutie voor externe domeinen.
• Koppeling maken van de kant van het vertrouwende domein.
• Maak een link vanaf de kant van de controller waaraan de trust is geadresseerd.
• Controleer de gemaakte eenrichtingsrelatie.
• Als er is een vraag bij het aangaan van bilaterale betrekkingen - om de installatie te maken.

Wereldwijde catalogus

Het is een domeincontroller die kopieën van alle objecten in het forest bijhoudt. Het geeft gebruikers en programma's de mogelijkheid om te zoeken naar objecten in elk domein van het huidige forest met behulp van attribuut ontdekkers opgenomen in de globale catalogus.

De globale catalogus (GC) bevat een beperkte set attributen voor elk forest-object in elk domein. Het ontvangt gegevens van alle partities van de domeinmap in het forest, ze worden gekopieerd met behulp van standaard proces Active Directory-replicatie.

Het schema bepaalt of het attribuut wordt gekopieerd. Er is een kans configureren extra kenmerken die opnieuw worden gemaakt in de globale catalogus met behulp van het "Active Directory-schema". Om een ​​attribuut aan de globale catalogus toe te voegen, selecteert u het replicatieattribuut en gebruikt u de optie "Kopiëren". Hiermee wordt een replicatie van het kenmerk naar de globale catalogus gemaakt. Attribuut parameter waarde: isMemberOfPartialAttributeSet waarheid zal worden.

Om te ontdek de locatie globale catalogus, moet u op de opdrachtregel invoeren:

Dsquery-server –isgc

Gegevens repliceren in Active Directory

Replicatie is een kopieerprocedure die wordt uitgevoerd wanneer het nodig is om dezelfde actuele informatie op te slaan die op elke controller aanwezig is.

Het wordt geproduceerd zonder deelname van de operator... Er zijn de volgende typen replica-inhoud:

• Gegevensreplica's worden gemaakt van alle bestaande domeinen.
• Replica's van gegevensschema's. Aangezien het gegevensschema hetzelfde is voor alle objecten in het Active Directory-forest, worden de replica's bewaard in alle domeinen.
• Configuratiegegevens. Toont het bouwen van kopieën tussen controllers. De informatie is van toepassing op alle domeinen in het forest.

De belangrijkste soorten replica's zijn intrasite en intersite.

In het eerste geval wacht het systeem na de wijzigingen en informeert vervolgens de partner over het maken van een replica om de wijzigingen te voltooien. Zelfs als er geen wijzigingen zijn, vindt het replicatieproces na een bepaalde tijd automatisch plaats. Nadat brekende directorywijzigingen zijn toegepast, vindt replicatie onmiddellijk plaats.

Replicatieprocedure tussen knooppunten gebeurt tussendoor minimale netwerkbelasting, dit voorkomt informatieverlies.

Beheerders van Windows-netwerken ontkomen er niet aan om er kennis mee te maken. Dit overzichtsartikel gaat in op wat Active Directory is en waar ze mee gegeten worden.

Active Directory is dus een directoryservice-implementatie van: Microsoft... Onder de directory-service in in dit geval impliciet software pakket, waardoor de systeembeheerder hiermee kan werken netwerkbronnen zoals gedeelde mappen, servers, werkstations, printers, gebruikers en groepen.

Active Directory heeft hiërarchische structuur bestaande uit objecten. Alle woningen zijn onderverdeeld in drie hoofdcategorieën.

• Gebruikers- en computeraccounts;
• bronnen (zoals printers);
• Diensten (zoals e-mail).

Elk object heeft unieke naam en heeft een aantal kenmerken. Objecten kunnen worden gegroepeerd.

Gebruikerseigenschappen

Active Directory heeft een foreststructuur. Het bos heeft verschillende bomen die domeinen bevatten. Domeinen bevatten op hun beurt de bovengenoemde objecten.

Active Directory-structuur

Objecten in een domein zijn doorgaans gegroepeerd in organisatie-eenheden. Onderverdelingen worden gebruikt om een ​​hiërarchie op te bouwen binnen een domein (organisaties, territoriale indelingen, afdelingen, enz.). Dit is vooral belangrijk voor geografisch verspreide organisaties. Bij het bouwen van de structuur is het aan te raden om zo min mogelijk domeinen aan te maken, eventueel met aparte indelingen. Het is op hen dat het zinvol is om groepsbeleid toe te passen.

Werkstation eigenschappen

Een andere manier om uw Active Directory te structureren is: sites... Sites zijn een manier om ze fysiek te groeperen, niet logisch, op basis van netwerksegmenten.

Zoals gezegd heeft elk object in Active Directory een unieke naam. Bijvoorbeeld een printer HPLaserJet4350dtn die in onderverdeling is advocaten en in het domein primer.ru zal een naam hebben CN = HPLaserJet4350dtn, OU = Advocaten, DC = primer, DC = ru. CN Is een veel voorkomende naam, OU- onderverdeling, gelijkstroom- de klasse van het domeinobject. Een objectnaam kan veel meer delen hebben dan in dit voorbeeld.

Een andere vorm van het schrijven van de naam van een object ziet er als volgt uit: primer.ru/Advocaten/HPLaserJet4350dtn... Elk object heeft ook een globaal unieke identifier ( GUID) is een unieke en onveranderlijke 128-bits tekenreeks die in Active Directory wordt gebruikt voor zoeken en replicatie. Sommige objecten hebben ook een UPN ( UPN) in het formaat object @ domein.

Hier algemene informatie over wat Active Directory is en waar ze voor zijn in lokale netwerken op Windows gebaseerd... Ten slotte is het logisch om te zeggen dat de beheerder de mogelijkheid heeft om op afstand met Active Directory te werken via: Hulpprogramma's voor extern serverbeheer voor Windows 7 (KB958830)(Downloaden) en Hulpprogramma's voor extern serverbeheer voor Windows 8.1 (KB2693643) (Downloaden).

In 2002, toen ik door de gang van de informatica-afdeling van mijn favoriete universiteit liep, zag ik een nieuwe poster op de deur van het kantoor van NT Systems. De poster beeldde de iconen van gebruikersaccounts af, verenigd in groepen, van waaruit op hun beurt pijlen vertrokken naar andere iconen. Dit alles werd schematisch gecombineerd tot een bepaalde structuur, er werd iets over geschreven verenigd systeem login, autorisatie en dergelijke. Voor zover ik het nu begrijp, beeldde die poster architectuur af Windows-systemen NT 4.0-domeinen en Windows 2000 Active Directory. Vanaf dat moment begon mijn eerste kennismaking met Active Directory en eindigde meteen, want toen was er een moeilijke sessie, een leuke vakantie, waarna een vriend de FreeBSD 4 en Red disks deelde Hoed Linux, en de volgende jaren dook ik in de wereld van Unix-achtige systemen, maar ik ben de inhoud van de poster niet vergeten.
Ik moest terug naar systemen op basis van het Windows Server-platform en die beter leren kennen toen ik overstapte naar een bedrijf waar het beheer van de gehele IT-infrastructuur op Active Directory was gebaseerd. Ik herinner me dat de hoofdbeheerder van dat bedrijf bij elke vergadering iets bleef herhalen over enkele Active Directory Best Practices. Nu, na 8 jaar intermitterende communicatie met Active Directory, begrijp ik heel goed hoe het werkt dit systeem en wat is Active Directory Best Practices.
Zoals je waarschijnlijk al geraden had, zullen we het hebben over Active Directory.
Iedereen die geïnteresseerd is in dit onderwerp, welkom bij kat.

Deze aanbevelingen zijn geldig voor: client systemen vanaf Windows 7 en hoger, voor domeinen en forests Windows-niveau Server 2008/R2 en hoger.

Standaardisatie
U moet beginnen met het plannen van Active Directory door uw normen te ontwikkelen voor het benoemen van objecten en hun locatie in de directory. Het is noodzakelijk om een ​​document op te stellen waarin alle vereiste normen worden gedefinieerd. Natuurlijk is het mooi frequente aanbeveling voor IT-professionals. Het principe "eerst schrijven we de documentatie, en dan bouwen we het systeem met behulp van deze documentatie" is erg goed, maar wordt om vele redenen in de praktijk zelden geïmplementeerd. Van deze redenen - eenvoudige menselijke luiheid of gebrek aan passende competentie, zijn de overige redenen afgeleid van de eerste twee.
Mijn aanbeveling is om eerst de documentatie te schrijven, erover na te denken en pas daarna te beginnen met het installeren van de eerste domeincontroller.
Ik zal bijvoorbeeld een gedeelte van het document geven over de standaarden voor het benoemen van objecten in Active Directory.
Naamgeving van objecten.

• Naam aangepaste groepen moet beginnen met het voorvoegsel GRUS_ (GR - Groep, VS - Gebruikers)
• De naam van computergroepen mag niet beginnen met het voorvoegsel GRCP_ (GR - Group, CP - Computers)
• De naam van de delegatie van autoriteitsgroepen moet beginnen met het voorvoegsel GRDL_ (GR - Groep, DL - Delegatie)
• De naam van resourcetoegangsgroepen moet beginnen met het voorvoegsel GRRS_ (GR - Group, RS - resources)
• Groepsnamen voor beleidsregels moeten beginnen met de voorvoegsels GPUS_, GPCP_ (GP - Groepsbeleid, VS - Gebruikers, CP - Computers)
• De naam van clientcomputers moet uit twee of drie letters van de organisatienaam bestaan, gevolgd door een cijfer, gescheiden door een koppelteken, bijvoorbeeld nnt-01.
• Servernamen mogen slechts met twee letters beginnen, gevolgd door een koppelteken gevolgd door de serverrol en het servernummer, bijvoorbeeld nn-dc01.

Ik raad u aan uw Active Directory-objecten een naam te geven, zodat u het veld Beschrijving niet hoeft in te vullen. Uit de naam van de groep GPCP_Restricted_Groups blijkt bijvoorbeeld dat dit een groep is voor het beleid dat op computers wordt toegepast en het werk doet van het Restricted Groups-mechanisme.
Uw benadering van het schrijven van documentatie moet zeer grondig zijn, dit zal in de toekomst veel tijd besparen.

Vereenvoudig alles wat je kunt, probeer balans te bereiken
Bij het bouwen van Active Directory moet u het principe volgen van het vinden van een evenwicht en kiezen voor eenvoudige en duidelijke mechanismen.
Het principe van balans is om de vereiste functionaliteit en veiligheid te bereiken en tegelijkertijd de eenvoud van de oplossing te maximaliseren.
Het is noodzakelijk om te proberen het systeem zo te bouwen dat de structuur ervan begrijpelijk is voor de meest onervaren beheerder of zelfs een gebruiker. Zo was er ooit een aanbeveling om vanuit meerdere domeinen een foreststructuur aan te maken. Bovendien werd aanbevolen om niet alleen structuren met meerdere domeinen in te zetten, maar ook structuren uit verschillende forests. Misschien bestond deze aanbeveling vanwege het principe van "verdeel en heers", of omdat Microsoft iedereen vertelde dat het domein de veiligheidsgrens is en door de organisatie op te delen in domeinen, krijgen we aparte structuren die gemakkelijker afzonderlijk te beheren zijn. Maar zoals de praktijk heeft aangetoond, is het eenvoudiger om systemen met één domein te onderhouden en te controleren, waarbij organisatie-eenheden (OU) de beveiligingsgrenzen zijn en geen domeinen. Vermijd daarom het maken van complexe multi-domein structuren, het is beter om objecten te groeperen op OU.
Natuurlijk moet men zonder fanatisme handelen - als het onmogelijk is om zonder meerdere domeinen te doen, dan moet je meerdere domeinen maken, ook met forests. Het belangrijkste is dat je begrijpt wat je doet en waartoe het kan leiden.
Het is belangrijk om te begrijpen dat een eenvoudige Active Directory-infrastructuur gemakkelijker te beheren en te controleren is. Ik zou zelfs zeggen: hoe eenvoudiger, hoe veiliger.
Pas het vereenvoudigingsprincipe toe. Streef naar evenwicht.

Let op het principe - "object - groep"
Begin met het maken van Active Directory-objecten door een groep te maken voor van dit object, en al toewijzen aan de groep noodzakelijke rechten... Laten we naar een voorbeeld kijken. U moet een hoofdbeheerdersaccount maken. Maak eerst de Head Admins groep aan en maak dan pas het account zelf aan en voeg deze toe aan deze groep. Wijs aan de groep Hoofdbeheerders de rechten van de hoofdbeheerder toe, bijvoorbeeld door deze toe te voegen aan de groep Domeinadministrators. Het komt bijna altijd voor dat na een tijdje een andere werknemer aan het werk komt die soortgelijke rechten nodig heeft, en in plaats van rechten te delegeren aan: verschillende secties Active Directory zal het eenvoudig kunnen worden toegevoegd aan de gewenste groep, waarvoor al een rol in het systeem is gedefinieerd en de benodigde bevoegdheden zijn gedelegeerd.
Nog een voorbeeld. U moet de rechten aan de OU met gebruikers delegeren aan de systeembeheerdersgroep. Delegeer geen rechten rechtstreeks aan de groep Administrators, maar creëer speciale groep zoals GRDL_OUName_Operator_Accounts waaraan u rechten toewijst. Voeg dan gewoon de groep verantwoordelijke beheerders toe aan de groep GRDL_OUName_Operator_Accounts. Het zal zeker blijken dat je in de nabije toekomst de rechten op deze OU moet delegeren aan een andere groep beheerders. En in dat geval voegt u gewoon de gegevensgroep Administrators toe aan de delegatiegroep GRDL_OUName_Operator_Accounts.
Ik stel de volgende groepsstructuur voor.

• Gebruikersgroepen (GRUS_)
• Beheerdersgroepen (GRAD_)
• Delegatiegroepen (GRDL_)
• Beleidsgroepen (GRGP_)

Computergroepen

• Servergroepen (GRSR_)
• Clientcomputergroepen (GRCP_)

Toegangsgroepen voor bronnen

• Toegang tot groepen tot gedeelde bronnen(GRRS_)
• Printertoegangsgroepen (GRPR_)

In een systeem dat volgens deze aanbevelingen is gebouwd, zal bijna alle administratie bestaan ​​uit het toevoegen van groepen aan groepen.
Neem het evenwichtsprincipe in acht, beperk het aantal rollen voor groepen en onthoud dat de naam van de groep idealiter zijn rol volledig zou moeten beschrijven.

OU-architectuur.
De architectuur van de OU dient allereerst te worden bedacht vanuit het oogpunt van beveiliging en delegatie van rechten aan deze OU. systeembeheerders... Ik raad niet aan om de architectuur van OU's te plannen in termen van bindend groepsbeleid voor hen (hoewel dit meestal wordt gedaan). Voor sommigen lijkt mijn aanbeveling misschien een beetje vreemd, maar ik raad helemaal geen bindend groepsbeleid aan OE aan. Lees meer in de sectie Groepsbeleid.
OE-beheerders
Ik raad u aan een aparte OU toe te wijzen voor beheerdersaccounts en groepen, waar u de accounts en groepen van alle beheerders en technische ondersteuningstechnici kunt plaatsen. De toegang tot deze OE moet worden beperkt voor: gewone gebruikers, en delegeer het beheer van objecten van deze OU alleen aan de hoofdbeheerders.
OE-computers
OU's voor computers kunnen het beste worden gepland in termen van de geografische locatie van de computers en de soorten computers. Verdeel computers van verschillende geografische locaties in verschillende OE's en verdeel ze op hun beurt in clientcomputers en servers. Servers kunnen verder worden onderverdeeld in Exchange, SQL en andere.

Gebruikers, rechten in Active Directory
Active Directory-gebruikersaccounts moeten worden opgegeven Speciale aandacht... Zoals vermeld in het gedeelte over OE's, moeten gebruikersaccounts worden gegroepeerd op basis van het principe van het delegeren van bevoegdheden aan deze accounts. Het is ook belangrijk om het principe van de minste privileges in acht te nemen: hoe minder rechten een gebruiker in het systeem heeft, hoe beter. Ik raad u aan om het privilegeniveau van de gebruiker onmiddellijk in de naam van zijn account te zetten. Een account voor dagelijks werk moet bestaan ​​uit de achternaam en initialen van de gebruiker in het Latijn (bijvoorbeeld IvanovIV of IVIvanov). Vereiste velden zijn: Voornaam, Voorletters, Achternaam, Weergavenaam (in het Russisch), e-mail, mobiel, Functietitel, Manager.
Beheerdersaccounts moeten van de volgende typen zijn:

• Met beheerdersrechten voor gebruikerscomputers, maar niet voor servers. Moet bestaan ​​uit de initialen van de eigenaar en het voorvoegsel local (bijvoorbeeld iivlocal)
• Met rechten om servers en Active Directory te beheren. Mag alleen initialen bevatten (bijvoorbeeld iiv).

Het veld Achternaam van beide soorten administratieve accounts moet beginnen met de letter I (bijvoorbeeld iPetrov P Vasily)
Laat me uitleggen waarom u beheerdersaccounts moet scheiden in serverbeheerders en clientcomputerbeheerders. Dit moet om veiligheidsredenen gebeuren. Beheerders van clientcomputers hebben het recht om software te installeren op: clientcomputers... Welke en waarvoor software wordt geïnstalleerd, kun je nooit met zekerheid zeggen. Daarom is het onveilig om de installatie van de applicatie uit te voeren met domeinbeheerdersrechten; het hele domein kan worden aangetast. U mag clientcomputers alleen beheren met lokale beheerdersrechten voor die computer. Dit maakt het onmogelijk voor een aantal aanvallen op domeinbeheerdersaccounts, zoals "Pass The Hash". Bovendien moeten beheerders van clientcomputers de Terminal Services-verbinding en de netwerkverbinding met de computer sluiten. De ondersteunings- en beheerderscomputers moeten op een afzonderlijk VLAN worden geplaatst om de toegang tot deze computers vanaf het clientcomputernetwerk te beperken.
Beheerdersrechten toewijzen aan gebruikers
Als u beheerdersrechten aan een gebruiker moet geven, plaats dan in geen geval zijn account voor het dagelijkse werk in een groep. lokale beheerders computer. Een account voor dagelijks werk moet altijd beperkt zijn in rechten. Maak er een afzonderlijk beheerdersaccount van het type namelocal voor en voeg dit account toe aan de lokale beheerdersgroep met behulp van een beleid dat de toepassing ervan alleen beperkt tot de computer van de gebruiker met behulp van targeting op itemniveau. De gebruiker kan dit account gebruiken met het Run AS-mechanisme.
Wachtwoordbeleid
Creëren individuele politici wachtwoorden voor gebruikers en beheerders met behulp van een fijnmazig wachtwoordbeleid. Het is wenselijk dat gebruikerswachtwoord bestond uit minimaal 8 karakters en werd minimaal één keer per kwartaal gewisseld. Het is raadzaam voor beheerders om het wachtwoord elke twee maanden te wijzigen, en het moet ten minste 10-15 tekens lang zijn en voldoen aan de complexiteitsvereisten.

De samenstelling van domein- en lokale groepen. Mechanisme voor beperkte groepen
De samenstelling van domein- en lokale groepen op domeincomputers mag alleen in automatische modus worden beheerd, met behulp van het mechanisme voor beperkte groepen. Waarom het alleen op deze manier nodig is, zal ik aan de hand van het volgende voorbeeld uitleggen. Meestal na te zijn gescheurd Actief domein Directory, beheerders voegen zichzelf toe aan domein groepen zoals domeinbeheerders, ondernemingsbeheerders voegen toe aan vereiste groepen technische ondersteuningstechnici en andere gebruikers worden ook toegewezen aan groepen. Tijdens het beheer van dit domein wordt het proces van het verlenen van rechten vele malen herhaald en het zal buitengewoon moeilijk zijn om te onthouden dat u gisteren accountant Nina Petrovna tijdelijk hebt toegevoegd aan de 1C-beheerdersgroep en dat u haar vandaag uit deze groep moet verwijderen. De situatie wordt verergerd als het bedrijf verschillende beheerders in dienst heeft en elk van tijd tot tijd rechten aan gebruikers in een vergelijkbare stijl toekent. Over een jaar is het bijna onmogelijk om te achterhalen welke rechten aan wie zijn toegewezen. Daarom moet de samenstelling van de groepen alleen worden gecontroleerd door groepsbeleid, dat alles op orde brengt bij elke toepassing.
Samenstelling van ingebouwde groepen
Het is de moeite waard om te zeggen dat ingebouwde groepen zoals accountoperators, back-upoperators, cryptoperators, gasten, printoperators en serveroperators leeg moeten zijn, zowel in het domein als op clientcomputers. Deze groepen zijn in de eerste plaats nodig om ervoor te zorgen dat achterwaartse compatibiliteit met oude systemen, en gebruikers van deze groepen krijgen te veel rechten in het systeem, en privilege-escalatie-aanvallen worden mogelijk.

Lokale beheerdersaccounts
Met behulp van het mechanisme voor beperkte groepen is het noodzakelijk om te blokkeren rekeningen lokale beheerders op lokale computers, blokkeer gastaccounts en verwijder de lokale beheerdersgroep op lokale computers. Gebruik Groepsbeleid nooit om wachtwoorden in te stellen voor lokale beheerdersaccounts. Dit mechanisme is niet veilig, het wachtwoord kan direct uit het beleid worden gehaald. Maar als u besluit de accounts van lokale beheerders niet te blokkeren, dan correcte installatie wachtwoorden en hun rotatie gebruiken het LAPS-mechanisme. Helaas is de LAPS-configuratie niet volledig geautomatiseerd, en daarom zal het nodig zijn om: handmatige modus attributen toevoegen aan het Active Directory-schema, rechten toekennen, groepen toewijzen, enzovoort. Daarom is het gemakkelijker om de accounts van lokale beheerders te blokkeren.
Dienst rekeningen.
Om services te starten, gebruikt u serviceaccounts en het gMSA-mechanisme (beschikbaar op Windows 2012 en hogere systemen)

Groepsbeleid
Documenteer beleidsregels voordat u deze maakt / wijzigt.
Gebruik het principe Policy - Group bij het maken van een beleid. Dat wil zeggen, voordat u een beleid maakt, maakt u eerst een groep voor dit beleid, verwijdert u de groep Geverifieerde gebruikers uit het beleidsbereik en voegt u de gemaakte groep toe. Bind het beleid niet aan de OU, maar aan de domeinroot en pas het toepassingsgebied ervan aan door objecten aan de beleidsgroep toe te voegen. Ik beschouw een dergelijk mechanisme als flexibeler en begrijpelijker dan het koppelen van beleid aan OU's. (Dit is waar ik over schreef in de sectie OU-architectuur).
Pas altijd de reikwijdte van de polis aan. Als u alleen een beleid voor gebruikers hebt gemaakt, schakelt u de computerstructuur uit en vice versa, schakelt u de gebruikersstructuur uit als u alleen een beleid voor computers hebt gemaakt. Met deze instellingen wordt beleid sneller toegepast.
Stel je dagelijkse in back-up politicus bij Bekrachtiging Shell, zodat u bij configuratiefouten altijd de oorspronkelijke instellingen kunt herstellen.
Centrale winkel met sjablonen (Centrale winkel)
Vanaf Windows 2008 is het mogelijk geworden om ADMX-templates van group policies op te slaan in een centrale store, in SYSVOL. Tot die tijd werden alle beleidssjablonen standaard lokaal op clients opgeslagen. Om ADMX-sjablonen in de centrale opslag te plaatsen, moet u de inhoud van de map% SystemDrive% \ Windows \ PolicyDefinitions samen met submappen van clientsystemen (Windows 7/8 / 8.1) kopiëren naar de directory van de domeincontroller% SystemDrive% \ Windows \ SYSVOL \ domein \ Beleid \ Beleidsdefinities met inhoud samenvoegen, maar geen vervanging. De volgende stap is om dezelfde kopie te maken vanaf de serversystemen, te beginnen met de oudste. Last but not least, bij het kopiëren van mappen en bestanden van de laatste versie server, doe een samenvoeging en VERVANG kopie.

ADMX-sjablonen kopiëren

Bovendien kunt u in de centrale repository ADMX-sjablonen plaatsen voor bijvoorbeeld softwareproducten, zoals: Microsoft Office, Adobe-producten, Google en anderen. Ga naar de website van de softwareleverancier, download de ADMX-sjabloon voor Groepsbeleid en pak deze uit in de map% SystemDrive% \ Windows \ SYSVOL \ domain \ Policies \ PolicyDefinitions op een van de domeincontrollers. Nu kunt u beheren wat u wilt softwareproduct via groepsbeleid.
WMI-filters
WMI-filters zijn niet erg snel, dus targeting op itemniveau heeft de voorkeur. Maar als targeting op itemniveau niet kan worden gebruikt en u besluit WMI te gebruiken, raad ik u aan onmiddellijk enkele van de meest voorkomende filters voor uzelf te maken: besturingssysteem"," Alleen serverbesturingssystemen "," Windows 7 "filters", Windows 8 "," Windows 8.1 "," Windows 10 "filters. Als u kant-en-klare sets WMI-filters hebt, is het eenvoudiger om het vereiste filter op het vereiste beleid toe te passen.

Active Directory-gebeurtenissen controleren
Zorg ervoor dat u gebeurteniscontrole op domeincontrollers en andere servers inschakelt. Ik raad aan om de controle van de volgende objecten in te schakelen:

• Audit computeraccountbeheer - succes, mislukking
• Audit andere accountbeheergebeurtenissen - succes, mislukking
• Audit Beveiligingsgroepsbeheer - Succes, Mislukking
• Audit Gebruikers account Management - Succes, Mislukking

• Audit Kerberos-verificatieservice - Mislukt
• Andere controleren - Mislukt
• Audit Auditbeleidswijziging - succes, mislukking

De audit moet worden geconfigureerd in de sectie Geavanceerde configuratie van auditbeleid en zorg ervoor dat u de instelling in de sectie opneemt Lokaal beleid/Beveiligingsopties - Instellingen voor subcategoriecontrolebeleid forceren ( Windows Vista of later) om de categorie-instellingen van het auditbeleid te overschrijven die de instellingen overschrijft top niveau en geldt verlengd.

Geavanceerde controle-instellingen

Ik zal niet in detail ingaan op de controle-instellingen, aangezien er voldoende artikelen op internet zijn over dit onderwerp. Ik zal alleen toevoegen dat u, naast het inschakelen van auditing, e-mailmeldingen over kritieke beveiligingsgebeurtenissen moet configureren. Het is ook de moeite waard om te overwegen dat het in systemen met een groot aantal gebeurtenissen de moeite waard is om aparte servers toe te wijzen voor het verzamelen en analyseren van logbestanden.

Beheer- en opschoningsscripts
Alle vergelijkbare en vaak herhaalde acties moeten worden uitgevoerd met behulp van beheerscripts. Deze acties omvatten het maken van gebruikersaccounts, het maken van beheerdersaccounts, het maken van groepen, het maken van een OE, enzovoort. Door objecten te scripten, kunt u de logica van uw Active Directory-naamgeving volgen door syntaxiscontroles rechtstreeks in de scripts in te sluiten.
Het is ook de moeite waard om reinigingsscripts te schrijven die automatisch de samenstelling van groepen controleren, gebruikers en computers identificeren die lange tijd niet met het domein zijn verbonden, schendingen van uw andere normen detecteren, enzovoort.
Ik heb het gebruik van administratieve scripts om normen af ​​te dwingen en achtergrondbewerkingen uit te voeren niet gezien als een expliciete officiële aanbeveling. Maar ik geef zelf de voorkeur aan controles en procedures in automatische modus met behulp van scripts, omdat dit veel tijd bespaart en elimineert een groot aantal fouten en, natuurlijk, mijn enigszins unix-benadering van beheer beïnvloedt hier, wanneer het gemakkelijker is om een ​​paar commando's te typen dan op de vensters te klikken.

Handmatige administratie
U en uw collega's zullen sommige administratieve handelingen handmatig moeten uitvoeren. Voor deze doeleinden raad ik aan om de mmc-console te gebruiken met de modules eraan toegevoegd.
Zoals later zal worden besproken, moeten uw domeincontrollers in Server Core-modus werken, dat wil zeggen dat de volledige AD-omgeving alleen vanaf uw computer met consoles moet worden beheerd. Om Active Directory te beheren, moet u Remote Server Administration Tools op uw computer installeren. Consoles moeten op uw computer worden gestart als een gebruiker met Active Directory-beheerdersrechten, aan wie het beheer is gedelegeerd.
De kunst van het beheren van Active Directory met consoles vereist een apart artikel, en misschien zelfs een aparte trainingsvideo, dus hier heb ik het alleen over het principe zelf.

Domeincontrollers
In elk domein moeten er ten minste twee controllers zijn. Domeincontrollers moeten zo min mogelijk services hebben. Maak geen bestandsserver van een domeincontroller of verhoog de rol van een terminalserver erop niet. Gebruik Server Core-besturingssystemen op domeincontrollers en verwijder alle WoW64-ondersteuning, dit zal het aantal noodzakelijke updates en zal hun veiligheid vergroten.
Microsoft heeft het virtualiseren van domeincontrollers eerder ontmoedigd vanwege het potentieel voor hardnekkige replicatieconflicten bij het herstellen van snapshots. Misschien waren er andere redenen, ik kan het niet met zekerheid zeggen. Nu hebben hypervisors geleerd hoe ze controllers moeten vertellen om ze te herstellen vanaf snapshots, en dit probleem is verdwenen. Ik heb de hele tijd controllers gevirtualiseerd zonder snapshots te maken, omdat ik niet begrijp waarom je er zelfs een op domeincontrollers zou moeten doen. Naar mijn mening is het gemakkelijker om een ​​back-up te maken van de domeincontroller met standaard middelen... Daarom raad ik aan om zoveel mogelijk domeincontrollers te virtualiseren. Deze configuratie zal flexibeler zijn. Wanneer u domeincontrollers virtualiseert, plaatst u deze op afzonderlijke fysieke hosts.
Als u een domeincontroller in een onbeveiligde fysieke omgeving of in een filiaal van uw organisatie moet hosten, gebruikt u hiervoor een RODC.

FSMO-rollen, primaire en secundaire controllers
De FSMO-rollen van domeincontrollers zorgen nog steeds voor angst bij beginnende beheerders. Nieuwelingen bestuderen Active Directory vaak vanuit verouderde documentatie of luisteren naar verhalen van andere beheerders die ergens iets hebben gelezen.
Voor alle vijf + 1 rollen moet kort het volgende worden gezegd. Vanaf Windows Server 2008 zijn er geen primaire en secundaire domeincontrollers meer. Alle vijf domeincontrollerrollen zijn draagbaar, maar kunnen niet op meer dan één domeincontroller tegelijk worden gehost. Als we een van de controllers nemen, die bijvoorbeeld de eigenaar was van 4 rollen, en deze verwijderen, dan kunnen we al deze rollen zonder problemen overdragen aan andere controllers, en er zal niets vreselijks gebeuren in het domein, er zal niets kapot gaan. Dit is mogelijk doordat de eigenaar alle informatie over het werk dat bij een bepaalde rol hoort direct opslaat in Active Directory. En als we de rol overdragen aan een andere controller, dan vraagt ​​hij allereerst om de opgeslagen informatie in Active Directory en gaat hij de dienst uitvoeren. Een domein kan vrij lang bestaan ​​zonder rolmasters. De enige "rol" die altijd in Active Directory zou moeten zijn, en zonder welke alles erg slecht zal zijn, is de rol van de globale catalogus (GC), die door alle controllers in het domein kan worden uitgevoerd. Ik raad aan om een ​​GC-rol toe te wijzen aan elke domeincontroller in het domein, hoe meer hoe beter. Natuurlijk kunt u gevallen vinden waarin het misschien niet de moeite waard is om de GC-rol op een domeincontroller te installeren. Nou, als je het niet nodig hebt, heb je het niet nodig. Volg de aanbevelingen zonder fanatisme.

DNS-service
DNS is essentieel voor de werking van Active Directory en zou zonder onderbreking moeten werken. Dienst DNS is beter zet gewoon op elke domeincontroller en sla DNS-zones op in de Active Directory zelf. Als u Active Directory gaat gebruiken om DNS-zones op te slaan, moet u de eigenschappen van de TCP/IP-verbinding op domeincontrollers zo configureren dat elke controller Primaire DNS-server er was een andere DNS-server en u kunt het adres 127.0.0.1 als een secundaire gebruiken. Deze instelling is nodig omdat een werkende DNS vereist is voor de normale start van de Active Directory-service, en om DNS te starten, moet de Active Directory-service actief zijn, aangezien de DNS-zone zelf erin ligt.
Zorg ervoor dat u zones voor reverse lookup instelt voor al uw netwerken en schakel automatisch in veilige update PTR-records.
Ik raad aan om ook automatische reiniging van de zone van verouderd in te schakelen DNS-records(dns opruiming).
Ik raad aan om veilige Yandex-servers op te geven als DNS-Forwarders, als er geen andere snellere zijn op uw geografische locatie.

Sites en replicatie
Veel beheerders zijn gewend te denken dat sites een geografische verzameling computers zijn. Bijvoorbeeld de site Moskou, de site Petersburg. Deze visie komt voort uit het feit dat de oorspronkelijke verdeling van Active Directory in sites werd gedaan om netwerkreplicatieverkeer in evenwicht te brengen en te scheiden. Domeincontrollers in Moskou hoeven niet te weten dat er nu tien computeraccounts zijn aangemaakt in St. Petersburg. En daarom kan dergelijke informatie over wijzigingen eenmaal per uur volgens een schema worden verzonden. Of herhaal wijzigingen in het algemeen eenmaal per dag en alleen 's nachts, om bandbreedte te besparen.
Over sites zou ik dit zeggen: sites zijn logische groepen computers. Computers die met elkaar verbonden zijn door een goede netwerkverbinding. En de sites zelf zijn onderling verbonden door een verbinding met een lage bandbreedte, wat in onze tijd zeer zeldzaam is. Daarom verdeel ik Active Directory in sites, niet voor het verdelen van replicatieverkeer, maar voor het verdelen van de netwerkbelasting in het algemeen en voor meer snelle verwerking clientverzoeken van sitecomputers. Laat me het uitleggen met een voorbeeld. Er is het 100 megabit LAN van een organisatie, dat wordt bediend door twee domeincontrollers, en er is een cloud waar de applicatieservers van de organisatie zich bevinden met twee andere cloudcontrollers. Ik zal zo'n netwerk in twee delen verdelen, zodat de controllers in het lokale netwerk clientverzoeken van het lokale netwerk verwerken, en de controllers in de cloud verwerken verzoeken van applicatieservers. Bovendien worden hierdoor aanvragen voor DFS- en Exchange-services gescheiden. En aangezien ik nu zelden een kanaal naar het internet vind met minder dan 10 megabits per seconde, zal ik Notify Based Replication inschakelen, dit is wanneer gegevensreplicatie plaatsvindt zodra er wijzigingen in Active Directory zijn.

Gevolgtrekking
Vanmorgen dacht ik erover na waarom menselijk egoïsme niet wordt verwelkomd in de samenleving en ergens op een diep perceptieniveau een extreem negatieve emoties... En het enige antwoord dat in me opkwam, was dat de mensheid niet op deze planeet zou hebben overleefd als ze niet had geleerd delen fysieke en intellectuele middelen. Daarom deel ik dit artikel met u en ik hoop dat mijn aanbevelingen u zullen helpen uw systemen te verbeteren en dat u aanzienlijk minder tijd zult besteden aan het oplossen van problemen. Dit alles zal ertoe leiden dat er meer tijd en energie vrijkomt voor creativiteit. Het is veel prettiger om in de wereld van creatieve en vrije mensen te leven.
Het is goed als u in de opmerkingen uw kennis en praktijken van het bouwen van Active Directory deelt, indien mogelijk.
Vrede en vriendelijkheid voor iedereen!

U kunt helpen en geld overmaken voor de ontwikkeling van de site