Часть 2. Управление Active Directory

date image 2015-10-13
views image 1333
Поделись с друзьями: 
12
  1. Откройте консоли: "Active Directory - сайты и службы", "Active Directory - пользователи и компьютеры", "Active Directory - домены и доверия" (машина 1)
  2. Определите, какой из контроллеров выполняет функции:
    1. Глобальный каталог

Глобальный каталог является перечнем всех объектов, которые существуют в лесу Active Directory. По умолчанию, контроллеры домена содержат только информацию об объектах своего домена. Сервер Глобального каталога является контроллером домена, в котором содержится информация о каждом объекте (хотя и не обо всех атрибутах этих объектов), находящемся в данном лесу.

    1. Мастер именования доменов

Им считается первый контроллер домена в новом лесу.

В службе каталогов должен быть механизм именования объектов, позволяющий однозначно идентифицировать любой объект каталога. В каталогах на базе протокола LDAP для идентификации объекта в масштабе всего леса используется механизм отличительных имен (Distinguished Name, DN). В Active Directory учетная запись пользователя с именем User домена company.ru, размещенная в стандартном контейнере Users, будет иметь следующее отличительное имя: "DC=ru, DC=company, CN=Users, CN=User".
    1. PDC-эмулятор

Действует как PDC (главный контроллер домена) для BDC (резервный контроллер домена) под управлением Windows NT, когда домен находится в смешанном режиме; управляет изменениями паролей (изменение пароля учетной записи в первую очередь реплицируется на эмулятор PDC); является предпочтительным сервером (в Windows 2000 — единственный сервер) для редактирования групповых политик; является сервером времени для остальных контроллеров данного домена (контроллеры домена синхронизируют свои системные часы с эмулятором PDC). Один контроллер в домене выполняет эту роль (по умолчанию — самый первый контроллер в домене).

    1. Мастер инфраструктуры

Отвечает за обновление связей "пользователи — группы" между доменами. Эта роль не должна храниться на контроллере домена, который также является сервером Глобального Каталога – хозяин инфраструктуры не будет работать в данном сценарии (за исключением случая, когда в домене всего один контроллер). Один контроллер в домене выполняет эту роль (по умолчанию — самый первый контроллер в домене).

    1. RID-мастер

Выделяет контроллерам домена пулы относительных идентификаторов (RID, которые являются уникальной частью идентификаторов безопасности SID). Один контроллер в домене выполняет эту роль (по умолчанию — самый первый контроллер в домене).

    1. Мастер схемы

Контролирует возникающие изменения Схемы базы данных Active Directory (добавление и удаление классов объектов, модификация набора атрибутов). Один контроллер домена в масштабе всего леса выполняет эту роль (по умолчанию — самый первый контроллер в лесу).

C:\Documents and Settings\Администратор.WS1>ntdsutil

ntdsutil: roles

fsmo maintenance: select operation target

select operation target: list roles for connected server

Серверу "WS1" известно о 5 ролях

Схема - CN=NTDS Settings,CN=WS1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,C

N=Configuration,DC=world,DC=ru

Домен - CN=NTDS Settings,CN=WS1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,C

N=Configuration,DC=world,DC=ru

PDC - CN=NTDS Settings,CN=WS1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=

Configuration,DC=world,DC=ru

RID - CN=NTDS Settings,CN=WS1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=

Configuration,DC=world,DC=ru

Инфраструктура - CN=NTDS Settings,CN=WS1,CN=Servers,CN=Default-First-Site-Name,C

N=Sites,CN=Configuration,DC=world,DC=ru

  1. Синхронизируйте контроллеры домена (принудительная репликация)

  1. Создайте Организационное подразделение (ОП) с именем OU-1 (Консоль "Active Directory -пользователи и компьютеры" - На имени домена щелкнуть правой кнопкой мыши – Выбрать пункт "Создать" - Выбрать из списка "Подразделение" - Ввести имя подразделения)

  1. Переместите в OU-1 пользователя User1
  2. Переместите в подразделение OU-1 группы Group1, Group2

  1. Предоставьте административные права на OU-1 пользователю User1 (Консоль "Active Directory -пользователи и компьютеры" выбрать "Делегирование управления")

  1. Войдите в систему как User1-N, попробуйте изменить свойства пользователей в OU-1-N и OU-2-N, создать в них новых пользователей или группы пользователей. Попробуйте сделать то же самое в домене за пределами этих подразделений

Попытка переместить user3 в world.ru

  1. Создайте Групповую политику для ОП OU-1, назначьте в этой политике ограничения интерфейса для пользователей: (Консоль "Active Directory -пользователи и компьютеры" - На имени ОП OU-1-N щелкнуть правой кнопкой мыши – Свойства - Закладка "Групповая политика") Включить параметры:
    1. "Конфигурация пользователя"/ "Административные шаблоны"/ "Компоненты Windows"/ "Проводник"/"Удалить меню "Файл" из проводника Windows"
    2. "Конфигурация пользователя"/"Административные шаблоны"/"Компоненты Windows"/"Проводник"/"Удалить кнопку "Поиск" из проводника Windows"
    3. "Конфигурация пользователя"/"Административные шаблоны"/"Панель задач и меню "Пуск""/"Удалить меню "Найти" из главного меню"
    4. "Конфигурация пользователя"/"Административные шаблоны"/"Панель задач и меню "Пуск""/"Удалить команду "Выполнить" из меню "Пуск""
    5. "Конфигурация пользователя"/"Административные шаблоны"/"Рабочий стол"/"Удалить значок "Мои документы" с рабочего стола"
    6. "Конфигурация пользователя"/"Административные шаблоны"/"Рабочий стол"/"Удалить значок "Мой компьютер" с рабочего стола"
    7. "Конфигурация пользователя"/"Административные шаблоны"/"Рабочий стол"/"Не показывать значок Internet Explorer"

  1. Синхронизируйте контроллеры домена

  1. Войдите в систему как User1, User2, проанализируйте изменения интерфейса

Win+R:

Меню файл и кнопка поиск:

Кнопка поиск (и выполнить):

  1. Войдите в систему как Администратор, запретите чтение и применение объекта ГП подразделения OU-1 для пользователя User1

  1. Синхронизируйте контроллеры домена

Проверяем пользователя:

  1. Войдите в систему как Администратор, верните исходные значения разрешений для политики GP-1, запретите блокировку политик на уровне OU-1

  1. Синхронизируйте контроллеры домена


  1. На первой машине создайте Групповую политику для вашего домена, настройте параметры для установки пакета ПО (пакет GPMC - Group Policy Management Console)
    1. На одном из серверов домена в папке с общим доступом предварительно должен быть размещен установочный пакет
    2. Установите Group Policy Management Console
    3. Консоль "Active Directory -пользователи и компьютеры" - На имени домена щелкнуть правой кнопкой мыши Свойства - Закладка "Групповая политика"
    4. имя политики (например, GPMC)
    5. Кнопка "Изменить"
    6. Откройте раздел "Конфигурация компьютера"/" Конфигурация программ"/"Установка программ" - Щелкнуть правой кнопкой мыши - Выбрать "Создать" - "Пакет" - Указать путь к пакету (например, "\\SERVER\soft\gpmc\gpmc.msi") - Режим – "Назначенный"
    7. Закрыть окно редактирования ГП

  1. Синхронизируйте контроллеры домена

  1. Перезагрузить сервер (В процессе загрузки системы и применения политик произойдет установка пакета GPMC)
  2. Выполните на второй машине: Создайте Групповую политику для вашего домена, настройте параметры для установки пакета ПО
  3. Проверьте, что пакет доступен для установки: Откройте Панель управления - "Установка и удаление программ" - Кнопка "Установка программ" В окне "Добавление программ из вашей сети" должен появиться доступный для установки пакет
  4. Откройте консоль GPMC
  5. Изучите управление политиками с помощью данной консоли:
    1. установите указатель мыши на различных объектах AD (домен, Организационные подразделения), просмотрите списки объектов ГП, привязанных к выбранным объектам AD;

    1. раскройте контейнер Group Policy Objects, просмотрите полный список ГП в вашем домене;

    1. в этом же списке откройте какой-либо объект ГП для редактирования (щелкнуть правой кнопкой мыши на объекте ГП, выбрать Edit);

    1. создайте резервную копию объекта ГП на жестком диске (щелкнуть правой кнопкой мыши на объекте ГП, выбрать Back Up, нажать кнопку "Обзор" (Browse), выбрать папку для сохранения резервной копии ГП, кнопка "ОК", кнопка Back Up, кнопка "ОК", откройте данную папку, просмотрите файл с резервной копией объекта ГП - файл manifest.xml)

  1. Закройте консоль GPMC
  2. Создание консоли с оснастками "Шаблоны безопасности", "Анализ и настройка безопасности"
  3. Откройте оснастку "Шаблоны безопасности" Изучите имеющиеся в системе стандартные шаблоны Обратите внимание на шаблоны:

    1. hisecdc

Охватывающий набор для SECUREDC. Накладывает дальнейшие ограничения на проверку подлинности LanManager и новые требования для шифрования и подписывания данных, передаваемых по безопасным каналам и данных SMB. Чтобы применить HISECDC к контроллеру домена, все другие контроллеры в доверенных и доверяющих доменах должны работать под управлением Windows 2000 или более новых систем. Дальнейшие сведения содержатся в справке.
    1. securedc

Предоставляет расширенные политики для управления учетными записями в домене, ограничивает использование проверки подлинности LanManager, накладывает дальнейшие ограничения для анонимных пользователей. Если контроллер домена использует securedc, то пользователь с учетной записью в этом домене не сможет подключаться к рядовым серверам только с помощью клиента LanMan. Дальнейшие сведения содержатся в справке.

    1. Setupsecurity

Используемые по умолчанию параметры безопасности, обновленные для контроллеров домена

  1. Изучите в шаблонах разделы:
    1. Политики учетных записей (Политика паролей Политика блокировки учетной записи)

    1. Локальные политики (Политика аудита Назначение прав пользователя Параметры безопасности)

    1. Журнал событий

  1. Создайте новую базу данных
    1. В левой части окна новой консоли выберите оснастку "Анализ и настройка безопасности"
    2. Меню "Действие" - Выберите "Открыть базу данных" - Укажите имя базы данных (например, db-1) и путь для сохранения базы (например, X:) - Кнопка "Открыть"
    3. Выберите шаблон для импорта (выберите шаблон hisecdc.inf - шаблон контроллера домена с высоким уровнем безопасности) Кнопка "Открыть"

  1. Проведите анализ настроек системы безопасности вашего компьютера

a. В левой части окна новой консоли выберите оснастку "Анализ и настройка безопасности" Меню "Действие" - Выберите "Анализ компьютера" - Укажите путь к файлу журнала ошибок (например, X:) - Кнопка "ОК"

b. Изучите результаты анализа настроек безопасности: В оснастке "Анализ и настройка безопасности" просмотрите разделы

i. Политики учетных записей (Политика паролей, Политика блокировки учетной записи)

ii. Локальные политики (Политика аудита, Назначение прав пользователя, Параметры безопасности, Журнал событий)

    1. Закройте консоль

Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  

12

double arrow
Сейчас читают про:
article image
Анализ дебиторской задолженности
article image
Недостатки речного транспорта
article image
ПРОИЗВОДИТЕЛЬНОСТЬ ТРУДА
article image
Индексы переменного и постоянного состава, индекс структурных сдвигов
article image
Объяснительно-иллюстративный метод обучения
article image
Элементы поперечного профиля дороги
article image
Самый сильный аргумент, почему эволюция человека не могла быть

Изучайте историю, изучайте историю. В истории хранятся все тайны искусства управления государством. © Черчилль ==> читать все изречения...
like icon 7307
like icon 7025
Понравился сайт? Поделись им с друзьями: