Ce programe include reclama? Cum puteți face accesul la distanță mai sigur folosind un token? Administrare în Active Directory

peste participanții la expoziția Mobile World Congress. Angajații companiei au creat trei puncte Wi-Fi deschise la aeroport în apropierea standului pentru înregistrarea vizitatorilor expoziției și le-au numit cu nume standard „Starbucks”, „MWC Free WiFi” și „Airport_Free_Wifi_AENA”. În 4 ore, 2.000 de persoane s-au conectat la aceste puncte.


În urma experimentului, a fost întocmit un raport în care angajații Avast au analizat traficul tuturor persoanelor conectate la punctele Wi-Fi deschise. Au fost dezvăluite și informații personale ale a 63% dintre cei care s-au conectat: date de conectare, parole, adrese de e-mail etc. Dacă nu ar fi fost raportul prezentat la expoziție, participanții la experiment nu și-ar fi dat niciodată seama că cineva are acces la datele lor.


Ne conectăm la rețeaua companiei noastre de acasă, de la un hotel sau de la o cafenea și nici măcar nu înțelegem daunele pe care le putem provoca.


Potrivit studiilor statistice, peste 40% dintre angajații companiei lucrează de la distanță cel puțin o zi pe săptămână.


Dar se dovedește că un angajat care lucrează de la distanță prin internet este mult mai vulnerabil decât un utilizator local și reprezintă o potențială amenințare pentru companie. Prin urmare, securității utilizatorilor de la distanță trebuie să i se acorde o atenție deosebită.

Amenințări

Un loc de muncă de la distanță generează, în comparație cu un loc de muncă de birou local, trei factori suplimentari de amenințare:

  1. Utilizatorul de la distanță se află în afara controlului fizic al organizației. Este necesară dovada că este un angajat al companiei și nu un atacator care se conectează la resursa corporativă.
  2. Datele utilizatorilor de la distanță sunt distribuite prin canale care sunt în afara controlului organizației. Aceste date sunt supuse interceptării, modificării neautorizate și „amestecării” cu traficul extern.
  3. Pentru un loc de muncă la distanță, compania în sine nu poate oferi securitate fizică. De asemenea, este posibil ca computerul pe care îl utilizați să nu îndeplinească cerințele de configurare

Prin urmare, la organizarea accesului la distanță, trebuie respectate trei principii de bază ale securității informațiilor:

  • confidențialitatea(informațiile importante ar trebui să fie disponibile doar unui număr limitat de persoane);
  • integritate(trebuie interzise modificările aduse informațiilor care conduc la pierderea sau denaturarea acestora);
  • disponibilitate(informațiile ar trebui să fie disponibile utilizatorilor autorizați atunci când au nevoie de ele).

Cum se protejează accesul la distanță?

Pentru a organiza munca angajaților la distanță, puteți utiliza următoarele mecanisme de protecție:

  • un mijloc fiabil de autentificare a utilizatorului (parole, hardware, date biometrice etc.);
  • sistem de control acces (controlul acces centralizat la resursele IT ale companiei);
  • Instrument de organizare VPN (dispozitive hardware, soluții software, extensii de firewall etc.);
  • un mijloc de contracarare a atacurilor (protejarea rețelei interne și a angajaților de atacuri).

Vom vorbi despre unul dintre mecanismele de protecție - VPN.

De ce ai nevoie de un VPN?

O conexiune VPN oferă o conexiune mai sigură la rețeaua companiei și la internet.

Domenii de aplicare a VPN:

  • Acces la internet;
  • acces la rețeaua corporativă din exterior;
  • unificarea componentelor rețelei corporative.

Infrastructura de rețea a companiei dumneavoastră poate fi pregătită pentru utilizarea VPN utilizând software sau hardware.


Există un număr mare de servicii VPN plătite și gratuite.


Astfel de servicii funcționează în principal pe 4 protocoale:

  1. IPSec, care operează în modurile de transport și tunel. Criptarea mesajelor dintr-un pachet de date folosind modul de transport se numește sarcină utilă, în timp ce criptarea întregului pachet se numește tunel.
  2. PPTP este un protocol de tunel punct la punct care utilizează o metodă de tunel în care datele sunt stocate sub formă de pachete PPP. Ele, la rândul lor, sunt plasate în pachete IP și transmise la destinație.
  3. L2TP- un protocol de tunel de nivel al doilea care rulează pe două noduri principale: concentrator de acces L2TP (LAC), server de rețea L2TP (LNS). LAC este dispozitivul care termină apelul în timp ce LNS autentifică pachetele PPP.
  4. TLS și SSL- protocoale criptografice care folosesc o combinație de autentificare și criptare pentru a face schimb de date între un server și un client.


Există și servicii VPN pentru uz corporativ. Unul dintre cele mai faimoase este OpenVPN. Este un serviciu sigur și ieftin.


Avantajele sale sunt:

  1. Siguranță. Utilizarea mai multor protocoale criptografice (HMAC, 3DES, AES, RSA) și a unei chei de 2048 de biți permite criptarea fiabilă a tuturor datelor.
  2. Capacitățile flexibile ale OpenVPN vă permit să lansați o conexiune prin Proxy/Socks, prin diverse protocoale și cu blocarea forțată a protocolului DHCP, precum și prin firewall-uri.
  3. Acceptat de majoritatea dispozitivelor, inclusiv de platformele Apple iOS și Google Android.

Este posibil să organizați conexiuni VPN fără a utiliza programe terțe?

Uneori, nu are rost să folosiți servicii de la terți dacă în sistemul de operare sunt încorporate capacități similare.


Dorim să demonstrăm cum să configurați o conexiune VPN SSTP securizată folosind funcțiile standard Windows.


Conexiunea VPN este protejată în acest caz prin mecanisme de criptare a traficului folosind un certificat digital (SSL) furnizat de serverul VPN. În timpul stabilirii conexiunii VPN, software-ul sistemului de operare client verifică certificatul serverului VPN, în special, verifică dacă certificatul serverului a fost revocat și, de asemenea, verifică dacă certificatul rădăcină al autorității de certificare care a emis certificatul pentru serverul VPN poate fii de încredere. De aceea, una dintre cerințele pentru o conexiune VPN de succes folosind protocolul SSTP este capacitatea de a actualiza automat lista de certificate rădăcină prin Internet.


SSTP este un protocol modern și sigur. Un avantaj suplimentar este că poate funcționa prin portul HTTPS accesibil omniprezent (TCP 443) utilizat pentru navigarea web obișnuită, ceea ce înseamnă că o conexiune VPN SSTP va funcționa practic peste orice conexiune la Internet.

VPN și autentificare cu doi factori

Conexiunea VPN în sine este criptată. Dar utilizarea unei date de conectare și a unei parole pentru autentificare într-un VPN este complet nesigură. Dar există o cale de ieșire - autentificarea cu doi factori. Acesta permite utilizatorului să-și confirme identitatea în două moduri. Este recomandabil să utilizați hardware (token sau smart card) pentru a-l configura. Apoi, atunci când stabilește o conexiune VPN, utilizatorul nu va avea nevoie de o parolă, ci de dispozitivul însuși și de codul său PIN.


Principalul avantaj al unui dispozitiv hardware atunci când se utilizează un VPN este unicitatea cheii private. Acest lucru se datorează faptului că cheia privată de pe dispozitiv nu poate fi copiată și reprodusă. La urma urmei, dacă mijlocul de autentificare nu este unic, atunci nu puteți fi sigur că utilizatorul care a primit acces este același utilizator căruia i-a fost atribuit acest acces.


În cazul utilizării unei parole, situația este complet diferită. Orice persoană care vă află în mod specific sau accidental parola o poate folosi fără știrea dvs. Aceasta înseamnă că poate face tot ce dorește în numele proprietarului parolei. Este destul de dificil de urmărit o astfel de situație, mai ales dacă atacatorul este priceput din punct de vedere tehnic.

Configurarea unui server VPN

Vom începe configurarea unei conexiuni VPN prin implementarea unui server VPN simplu bazat pe Windows Server 2012 R2.


Un astfel de server, instalat pe echipamente standard, poate fi folosit pentru o rețea de birouri mici cu necesitatea organizării unei conexiuni la distanță pentru câteva zeci de angajați (30-50 de persoane).

Configurarea serverului VPN

Să deschidem Manager serverși faceți clic pe link Adăugați roluri și funcții.


Să alegem un rol Acces de la distanță.



Să selectăm serviciul de rol DirectAccess și VPN (RAS).



Faceți clic pe butonul [Instalare]. Aceasta va începe procesul de instalare a rolului de acces la distanță.



În fereastra Remote Access Initial Setup Wizard, selectați Implementați numai VPN.


După aceea vom adăuga serverul. La fereastră Rutare și acces la distanță selectați un element de meniu Acțiuneși subparagraf Adauga server. În continuare, vom confirma adăugarea.


Faceți clic dreapta pe numele serverului adăugat și selectați Configurați și activați rutarea și accesul de la distanță.



Să selectăm un articol Configurație specială.



Ca o configurație personalizată indicăm Acces la rețeaua privată virtuală (VPN)..



Să începem serviciul făcând clic pe butonul [Începe serviciul].



Serverul este aproape gata.


De exemplu, folosim cea mai simplă și mai evidentă metodă - vom seta un grup statistic de adrese pentru 5 utilizatori.


Deschideți proprietățile serverului adăugat.



Să selectăm un articol Pool de adrese statisticeși apăsați butonul [Adăuga].


La fereastră Nou interval de adrese IPv4 Indicăm adresele IP de început și de sfârșit.


Faceți clic pe butonul [Aplica]


Rolul de acces la distanță este configurat, acum să deschidem porturile din firewall.

Deschiderea porturilor firewall

Pentru Protocolul TCP hai sa deschidem porturile 1723 Și 443 .



Pentru Protocolul UDP hai sa deschidem porturile 1701 , 500 Și 50 .



În etapa următoare, vom configura politica locală de securitate.

Configurarea politicii locale de securitate

Deschideți lista politicilor locale de securitate și selectați elementul Atribuirea drepturilor utilizatorului.



Selectați o politică Permiteți conectarea prin serviciul Desktop la distanță.


Faceți clic pe butonul [Adăugați utilizator sau grup].


Găsiți numele departamentului Utilizatorii domeniului si adauga-l.


Ei bine, penultimul pas va fi configurarea accesului pentru anumiți utilizatori.

Configurarea accesului pentru un anumit utilizator

Deschis Manager server, selectați elementul Facilităţiși subparagraf Utilizatori și computere Active Directory.


Găsiți numele utilizatorului dorit, accesați-l Proprietăți, pe fila Apeluri primite selectați setarea Permite accesul. Faceți clic pe butonul [Aplica].


Și, în sfârșit, să verificăm dacă accesul la distanță este permis în proprietățile sistemului.


Pentru a face acest lucru, deschideți proprietățile sistemului, selectați elementul Configurarea accesului de la distanțăși setați comutatorul Permiteți conexiuni la distanță la acest computer.


Asta e tot, configurarea serverului este completă. Acum să configuram o conexiune VPN pe computer care va fi folosită pentru accesul de la distanță.

Configurarea unei conexiuni VPN

Configurarea unui VPN pe un computer cu Windows 10 este extrem de simplă. Pentru a-l implementa, veți avea nevoie de informații despre cont (login, parolă), adresa IP a serverului și conexiune la Internet. Pentru a organiza autentificarea hardware cu doi factori, veți avea nevoie de un token.


Nu este nevoie să instalați niciun program suplimentar; Windows însuși are deja totul.


Să începem cu configurarea. Ca exemplu de hardware, voi folosi un dispozitiv pentru stocarea în siguranță a cheilor și certificatelor Rutoken EDS PKI.



Pentru a configura conexiunea, avem nevoie de un certificat care să conțină politicile de conectare cu Smart Card și de autentificare client.


Am descris deja procesul de creare a unui astfel de certificat. Link către descriere.


Să deschidem fereastra. Hai să facem clic pe link Creați și configurați o nouă conexiune sau rețea.



Se va deschide o fereastră Configurarea unei conexiuni sau a unei rețele. Selectați elementul Conectați-vă la un loc de muncă și faceți clic pe butonul [Mai departe].




În câmp adresa internet indicați detaliile serverului VPN.


În câmp Numele destinației indicați numele conexiunii VPN.


Bifeaza casuta Utilizați cardul inteligentși apăsați butonul Crea.



Conexiunea VPN a fost creată. Dar trebuie să-i schimbăm parametrii.


Să deschidem din nou fereastra Centrul de rețea și partajareși faceți clic pe link Schimbă setările adaptorului.



La fereastră Conexiuni de retea Faceți clic dreapta pe numele conexiunii VPN create și selectați Proprietăți.



Să mergem la filă Siguranțăși selectați următoarele opțiuni.


Aceste setări de conexiune VPN sunt suficiente pentru a se conecta cu succes printr-un protocol VPN securizat la rețeaua specificată. Cu toate acestea, odată ce conexiunea VPN este realizată, tot traficul de rețea de la computer va ajunge implicit la gateway-ul rețelei specificate. Acest lucru poate duce la faptul că, în timp ce sunteți conectat la VPN, nu va fi posibilă lucrul cu resursele de internet. Pentru a elimina această problemă, să mergem la fila Net, faceți clic pe linie IP versiunea 4 (TCP/IPv4)și apăsați butonul Proprietăți.


Pe pagina cu proprietățile versiunii IP 4, faceți clic pe butonul [În plus].


Debifați caseta Utilizați gateway-ul implicit în rețeaua de la distanță.


Vom confirma toate modificările făcute. Procesul de configurare este finalizat.


Acum să verificăm conexiunea.


În bara de activități de pe desktop, faceți clic pe pictogramă acces la internetși selectați conexiunea VPN creată. Se va deschide o fereastră Opțiuni.


Faceți clic pe numele conexiunii VPN și apăsați butonul Conectați.



Introduceți PIN-ul simbolului și faceți clic pe butonul [BINE].



Ca rezultat, conexiunea VPN creată va fi stabilită.


Pentru a verifica starea conexiunii VPN, deschideți o fereastră Conexiuni de retea, găsiți numele conexiunii create. Starea sa ar trebui să fie „Conectat”.


Pentru a deconecta conexiunea VPN, în aceeași fereastră, găsiți conexiunea creată, faceți clic dreapta pe numele acesteia și selectați Conectare/Deconectare.

Să rezumam

Odată ce conexiunea VPN este stabilită, tot traficul începe să circule prin serverul VPN.


Fiabilitatea protecției traficului VPN constă în faptul că, chiar dacă atacatorii interceptează cumva datele transmise, ei tot nu le vor putea folosi, deoarece datele sunt criptate.


Iar dacă instalați și aplicații speciale pentru monitorizarea traficului și le configurați, veți putea filtra cu succes traficul. De exemplu, verificați-l automat pentru viruși.


Sper că am reușit să vă convingem că VPN este simplu, accesibil și, cel mai important, sigur!

Active Directory (AD) este un program utilitar conceput pentru sistemul de operare Microsoft Server. A fost creat inițial ca un algoritm ușor pentru accesarea directoarelor utilizatorilor. De la versiunea Windows Server 2008, a apărut integrarea cu serviciile de autorizare.

Face posibilă respectarea politicii de grup care aplică același tip de setări și software pe toate computerele controlate folosind System Center Configuration Manager.

Cu cuvinte simple pentru începători, acesta este un rol de server care vă permite să gestionați toate accesul și permisiunile din rețeaua locală dintr-un singur loc

Funcții și scopuri

Microsoft Active Directory – (așa-numitul director) un pachet de instrumente care vă permite să manipulați utilizatorii și datele din rețea. obiectivul principal creare – facilitarea muncii administratorilor de sistem în rețele mari.

Directoarele conțin diverse informații legate de utilizatori, grupuri, dispozitive de rețea, resurse de fișiere - într-un cuvânt, obiecte. De exemplu, atributele utilizatorului care sunt stocate în director ar trebui să fie următoarele: adresă, autentificare, parolă, număr de telefon mobil etc. Directorul este folosit ca puncte de autentificare, cu ajutorul căruia puteți afla informațiile necesare despre utilizator.

Concepte de bază întâlnite în timpul lucrului

Există o serie de concepte specializate care sunt utilizate atunci când lucrați cu AD:

  1. Serverul este un computer care conține toate datele.
  2. Controlerul este un server cu rol AD ​​care procesează cererile de la persoanele care folosesc domeniul.
  3. Un domeniu AD este o colecție de dispozitive unite sub un nume unic, folosind simultan o bază de date de directoare comună.
  4. Magazinul de date este partea din director responsabilă cu stocarea și preluarea datelor de la orice controler de domeniu.

Cum funcționează directoarele active

Principalele principii de funcționare sunt:

  • Autorizare, cu care vă puteți folosi computerul în rețea prin simpla introducere a parolei personale. În acest caz, toate informațiile din cont sunt transferate.
  • Securitate. Active Directory conține funcții de recunoaștere a utilizatorilor. Pentru orice obiect de rețea, puteți seta de la distanță, de pe un singur dispozitiv, drepturile necesare, care vor depinde de categorii și utilizatori specifici.
  • Administrarea rețelei dintr-un punct. Când lucrează cu Active Directory, administratorul de sistem nu trebuie să reconfigureze toate PC-urile dacă este necesar să schimbe drepturile de acces, de exemplu, la o imprimantă. Schimbările sunt efectuate de la distanță și la nivel global.
  • Deplin Integrare DNS. Cu ajutorul acestuia, nu există confuzie în AD; toate dispozitivele sunt desemnate exact la fel ca pe World Wide Web.
  • La scară largă. Un set de servere poate fi controlat de un Active Directory.
  • Căutare efectuată în funcție de diferiți parametri, de exemplu, numele computerului, autentificare.

Obiecte și atribute

Un obiect este un set de atribute, unite sub propriul nume, reprezentând o resursă de rețea.

Atribut - caracteristicile unui obiect din catalog. De exemplu, acestea includ numele complet și datele de conectare ale utilizatorului. Dar atributele unui cont de PC pot fi numele acestui computer și descrierea acestuia.

„Angajat” este un obiect care are atributele „Nume”, „Poziție” și „TabN”.

Container LDAP și nume

Containerul este un tip de obiect care poate constau din alte obiecte. Un domeniu, de exemplu, poate include obiecte de cont.

Scopul lor principal este organizarea obiectelor după tipuri de semne. Cel mai adesea, containerele sunt folosite pentru a grupa obiecte cu aceleași atribute.

Aproape toate containerele mapează o colecție de obiecte, iar resursele sunt mapate la un obiect Active Directory unic. Unul dintre principalele tipuri de containere AD este modulul de organizare sau OU (unitatea organizațională). Obiectele care sunt plasate în acest container aparțin numai domeniului în care sunt create.

Protocolul ușor de acces la director (LDAP) este algoritmul de bază pentru conexiunile TCP/IP. Este conceput pentru a reduce cantitatea de nuanțe atunci când accesați serviciile de directoare. LDAP definește, de asemenea, acțiunile utilizate pentru a interoga și edita datele directorului.

Arborele și site-ul

Un arbore de domenii este o structură, o colecție de domenii care au o schemă și o configurație comune, care formează un spațiu de nume comun și sunt legate prin relații de încredere.

O pădure de domeniu este o colecție de copaci conectați între ei.

Un site este o colecție de dispozitive în subrețele IP, reprezentând un model fizic al rețelei, a cărui planificare se realizează indiferent de reprezentarea logică a construcției acesteia. Active Directory are capacitatea de a crea un număr n de site-uri sau de a combina un număr n de domenii sub un singur site.

Instalarea și configurarea Active Directory

Acum să trecem direct la configurarea Active Directory folosind Windows Server 2008 ca exemplu (procedura este identică pentru alte versiuni):

Faceți clic pe butonul „OK”. Este de remarcat faptul că astfel de valori nu sunt necesare. Puteți utiliza adresa IP și DNS din rețeaua dvs.

  • Apoi, trebuie să mergeți la meniul „Start”, selectați „Administrare” și „”.
  • Accesați elementul „Roluri”, selectați „ Adăugați roluri”.
  • Selectați „Active Directory Domain Services”, faceți clic pe „Next” de două ori, apoi pe „Install”.
  • Așteptați finalizarea instalării.
  • Deschideți meniul „Start”-“ A executa" Introduceți dcpromo.exe în câmp.
  • Faceți clic pe „Următorul”.
  • Selectați " Creați un domeniu nou într-o pădure nouă” și faceți clic din nou pe „Următorul”.
  • În fereastra următoare, introduceți un nume și faceți clic pe „Următorul”.
  • Alege Mod de compatibilitate(Windows Server 2008).
  • În fereastra următoare, lăsați totul ca implicit.
  • O sa inceapa fereastra de configurareDNS. Deoarece nu a mai fost folosit pe server, nu a fost creată nicio delegație.
  • Selectați directorul de instalare.
  • După acest pas trebuie să setați parola de administrare.

Pentru a fi sigură, parola trebuie să îndeplinească următoarele cerințe:


După ce AD ​​finalizează procesul de configurare a componentelor, trebuie să reporniți serverul.



Configurarea este completă, snap-in-ul și rolul sunt instalate pe sistem. Puteți instala AD numai pe familia Windows Server; versiunile obișnuite, de exemplu 7 sau 10, vă pot permite doar să instalați consola de management.

Administrare în Active Directory

În mod implicit, în Windows Server, consola Active Directory Users and Computers funcționează cu domeniul căruia îi aparține computerul. Puteți accesa computer și obiecte utilizator din acest domeniu prin arborele consolei sau vă puteți conecta la un alt controler.

Instrumentele din aceeași consolă vă permit să vizualizați Opțiuni suplimentare obiecte și căutați-le, puteți crea utilizatori noi, grupuri și puteți modifica permisiunile.

Apropo, există 2 tipuri de grupuriîn Asset Directory - securitate și distribuție. Grupurile de securitate sunt responsabile pentru delimitarea drepturilor de acces la obiecte; acestea pot fi folosite ca grupuri de distribuție.

Grupurile de distribuție nu pot diferenția drepturile și sunt utilizate în principal pentru distribuirea mesajelor în rețea.

Ce este delegarea AD

Delegația în sine este transferul unei părți din permisiuni și control de la părinte la o altă parte responsabilă.

Se știe că fiecare organizație are mai mulți administratori de sistem la sediul său. Sarcini diferite ar trebui să fie atribuite umerilor diferiți. Pentru a aplica modificări, trebuie să aveți drepturi și permisiuni, care sunt împărțite în standard și speciale. Permisiunile specifice se aplică unui anumit obiect, în timp ce permisiunile standard sunt un set de permisiuni existente care fac anumite funcții disponibile sau indisponibile.

Stabilirea încrederii

Există două tipuri de relații de încredere în AD: „unidirecționale” și „bidirecționale”. În primul caz, un domeniu are încredere în celălalt, dar nu invers; în consecință, primul are acces la resursele celui de-al doilea, dar al doilea nu are acces. În al doilea tip, încrederea este „reciprocă”. Există, de asemenea, relații „de ieșire” și „de intrare”. În outgoing, primul domeniu are încredere în al doilea, permițând astfel utilizatorilor celui de-al doilea să utilizeze resursele primului.

În timpul instalării, trebuie urmate următoarele proceduri:

  • Verifica conexiuni de rețea între controlere.
  • Verificați setările.
  • Ton rezoluție de nume pentru domenii externe.
  • Creați o conexiune din domeniul de încredere.
  • Creați o conexiune din partea controlerului căreia îi este adresată încrederea.
  • Verificați relațiile unidirecționale create.
  • Dacă apare nevoiaîn stabilirea relaţiilor bilaterale – faceţi o instalaţie.

Catalog global

Acesta este un controler de domeniu care stochează copii ale tuturor obiectelor din pădure. Oferă utilizatorilor și programelor posibilitatea de a căuta obiecte în orice domeniu al pădurii curente instrumente de descoperire a atributelor incluse în catalogul global.

Catalogul global (GC) include un set limitat de atribute pentru fiecare obiect forestier din fiecare domeniu. Acesta primește date de la toate partițiile de director de domeniu din pădure și este copiat utilizând procesul standard de replicare Active Directory.

Schema determină dacă atributul va fi copiat. Există o posibilitate configurați caracteristici suplimentare, care va fi recreat în catalogul global folosind „Schema Active Directory”. Pentru a adăuga un atribut la catalogul global, trebuie să selectați atributul de replicare și să utilizați opțiunea „Copiere”. Aceasta va crea replicarea atributului în catalogul global. Valoarea parametrului atribut isMemberOfPartialAttributeSet va deveni adevărat.

Pentru a afla locatia catalog global, trebuie să introduceți pe linia de comandă:

Server Dsquery –isgc

Replicarea datelor în Active Directory

Replicarea este o procedură de copiere care se realizează atunci când este necesar să se stocheze informații la fel de actuale care există pe orice controler.

Este produs fără participarea operatorului. Există următoarele tipuri de conținut replicat:

  • Replicile de date sunt create din toate domeniile existente.
  • Replici ale schemelor de date. Deoarece schema de date este aceeași pentru toate obiectele din pădurea Active Directory, replici ale acesteia sunt menținute în toate domeniile.
  • Date de configurare. Afișează construcția de copii între controlere. Informațiile sunt distribuite în toate domeniile din pădure.

Principalele tipuri de replici sunt intra-nod și inter-nod.

În primul caz, după modificări, sistemul așteaptă, apoi notifică partenerul să creeze o replică pentru a finaliza modificările. Chiar și în absența modificărilor, procesul de replicare are loc automat după o anumită perioadă de timp. După ce modificările de ruptură sunt aplicate directoarelor, replicarea are loc imediat.

Procedura de replicare între noduri se întâmplă între ele sarcină minimă în rețea, aceasta evită pierderea de informații.

Fiind bine familiarizat cu micile afaceri din interior, am fost mereu interesat de următoarele întrebări. Explicați de ce un angajat ar trebui să folosească browserul pe care administratorul de sistem îl place pe computerul său de serviciu? Sau să luăm orice alt software, de exemplu, același arhivator, client de e-mail, client de mesagerie instantanee... Aluzie ușor la standardizare și nu pe baza simpatiei personale a administratorului de sistem, ci pe baza suficienței funcționalității , costul de întreținere și suport al acestor produse software. Să începem să considerăm IT-ul ca o știință exactă, și nu ca un meșteșug, când fiecare face ce vrea. Din nou, există și o mulțime de probleme cu acest lucru în întreprinderile mici. Imaginați-vă că o companie într-o perioadă dificilă de criză schimbă mai mulți dintre acești administratori, ce ar trebui să facă utilizatorii săraci într-o astfel de situație? Recalificare constant?

Să privim din cealaltă parte. Orice manager ar trebui să înțeleagă ce se întâmplă în prezent în compania sa (inclusiv în IT). Acest lucru este necesar pentru a monitoriza situația actuală și pentru a răspunde prompt la apariția diferitelor tipuri de probleme. Dar această înțelegere este mai importantă pentru planificarea strategică. La urma urmei, având o fundație puternică și de încredere, putem construi o casă cu 3 sau 5 etaje, putem face un acoperiș de diferite forme, putem face balcoane sau o grădină de iarnă. În mod similar, în IT, avem o bază de încredere - putem folosi în continuare produse și tehnologii mai complexe pentru a rezolva problemele de afaceri.

Primul articol va vorbi despre o astfel de fundație - serviciile Active Directory. Sunt concepute pentru a deveni o bază solidă pentru infrastructura IT a unei companii de orice dimensiune și orice domeniu de activitate. Ce este? Deci hai sa vorbim despre asta...

Să începem conversația cu concepte simple - domeniul și serviciile Active Directory.

Domeniu este unitatea administrativă de bază din infrastructura de rețea a unei întreprinderi, care include toate obiectele de rețea, cum ar fi utilizatori, computere, imprimante, partajări și multe altele. Colectarea unor astfel de domenii se numește pădure.

Servicii Active Directory (Servicii Active Directory) sunt o bază de date distribuită care conține toate obiectele de domeniu. Mediul de domeniu Active Directory oferă un singur punct de autentificare și autorizare pentru utilizatori și aplicații din întreaga întreprindere. Odată cu organizarea unui domeniu și implementarea serviciilor Active Directory începe construcția unei infrastructuri IT de întreprindere.

Baza de date Active Directory este stocată pe servere dedicate – controlere de domeniu. Active Directory Services este un rol al sistemelor de operare server Microsoft Windows Server. Serviciile Active Directory sunt foarte scalabile. Peste 2 miliarde de obiecte pot fi create într-o pădure Active Directory, permițând ca serviciul de director să fie implementat în companii cu sute de mii de computere și utilizatori. Structura ierarhică a domeniilor vă permite să scalați în mod flexibil infrastructura IT la toate sucursalele și diviziile regionale ale companiilor. Pentru fiecare ramură sau divizie a unei companii se poate crea un domeniu separat, cu politici proprii, utilizatori și grupuri proprii. Pentru fiecare domeniu secundar, autoritatea administrativă poate fi delegată administratorilor locali de sistem. În același timp, domeniile copiilor sunt încă subordonate părinților lor.

În plus, Active Directory Services vă permite să configurați relații de încredere între pădurile de domeniu. Fiecare companie are propria pădure de domenii, fiecare cu propriile sale resurse. Dar uneori trebuie să oferiți acces la resursele dvs. corporative angajaților unei alte companii - lucrând cu documente și aplicații comune ca parte a unui proiect comun. Pentru a face acest lucru, se pot stabili relații de încredere între pădurile organizaționale, ceea ce va permite angajaților unei organizații să se conecteze la domeniul alteia.

Pentru a asigura toleranța la erori pentru serviciile Active Directory, trebuie să implementați două sau mai multe controlere de domeniu în fiecare domeniu. Toate modificările sunt replicate automat între controlerele de domeniu. Dacă unul dintre controlerele de domeniu eșuează, funcționalitatea rețelei nu este afectată, deoarece cele rămase continuă să funcționeze. Un nivel suplimentar de rezistență este oferit prin plasarea serverelor DNS pe controlere de domeniu în Active Directory, ceea ce permite fiecărui domeniu să aibă mai multe servere DNS care deservesc zona principală a domeniului. Și dacă unul dintre serverele DNS eșuează, celelalte vor continua să funcționeze. Despre rolul și importanța serverelor DNS în infrastructura IT vom vorbi într-unul dintre articolele din serie.

Dar acestea sunt toate aspectele tehnice ale implementării și menținerii serviciilor Active Directory. Să vorbim despre beneficiile pe care le obține o companie prin îndepărtarea de rețele peer-to-peer și utilizarea grupurilor de lucru.

1. Punct unic de autentificare

Într-un grup de lucru, pe fiecare computer sau server, va trebui să adăugați manual o listă completă de utilizatori care necesită acces la rețea. Dacă dintr-o dată unul dintre angajați dorește să-și schimbe parola, atunci aceasta va trebui schimbată pe toate computerele și serverele. Este bine dacă rețeaua este formată din 10 computere, dar dacă sunt mai multe? Când utilizați un domeniu Active Directory, toate conturile de utilizator sunt stocate într-o singură bază de date și toate computerele caută autorizare la acesta. Toți utilizatorii domeniului sunt incluși în grupurile adecvate, de exemplu, „Contabilitate”, „Departamentul financiar”. Este suficient să setați permisiunile pentru anumite grupuri o dată, iar toți utilizatorii vor avea acces adecvat la documente și aplicații. Dacă un nou angajat se alătură companiei, i se creează un cont, care este inclus în grupul corespunzător - angajatul are acces la toate resursele de rețea la care ar trebui să aibă acces. Dacă un angajat renunță, blocați-l și va pierde imediat accesul la toate resursele (calculatoare, documente, aplicații).

2. Punct unic de management al politicii

Într-un grup de lucru, toate computerele au drepturi egale. Niciunul dintre computere nu îl poate controla pe celălalt; este imposibil să monitorizezi conformitatea cu politicile și regulile de securitate uniforme. Atunci când utilizați un singur Active Directory, toți utilizatorii și computerele sunt distribuite ierarhic între unitățile organizaționale, fiecare dintre acestea fiind supusă acelorași politici de grup. Politicile vă permit să setați setări uniforme și setări de securitate pentru un grup de computere și utilizatori. Când un computer sau un utilizator nou este adăugat la un domeniu, acesta primește automat setări care respectă standardele corporative acceptate. Folosind politici, puteți aloca imprimantele de rețea la nivel central pentru utilizatori, puteți instala aplicațiile necesare, puteți configura setările de securitate ale browserului și puteți configura aplicațiile Microsoft Office.

3. Nivel crescut de securitate a informațiilor

Utilizarea serviciilor Active Directory crește semnificativ nivelul de securitate a rețelei. În primul rând, este un cont unic și sigur de stocare. Într-un mediu de domeniu, toate parolele de utilizator de domeniu sunt stocate pe servere dedicate de control de domeniu, care sunt de obicei protejate de accesul extern. În al doilea rând, atunci când se utilizează un mediu de domeniu, protocolul Kerberos este utilizat pentru autentificare, care este mult mai sigur decât NTLM, care este utilizat în grupurile de lucru.

4. Integrarea cu aplicațiile și echipamentele corporative

Un mare avantaj al serviciilor Active Directory este conformitatea cu standardul LDAP, care este suportat de alte sisteme, de exemplu, servere de mail (Exchange Server), servere proxy (ISA Server, TMG). Și acestea nu sunt neapărat doar produse Microsoft. Avantajul unei astfel de integrări este că utilizatorul nu trebuie să-și amintească un număr mare de autentificări și parole pentru a accesa o anumită aplicație; în toate aplicațiile utilizatorul are aceleași acreditări - autentificarea sa are loc într-un singur Active Directory. Windows Server oferă protocolul RADIUS pentru integrarea cu Active Directory, care este suportat de un număr mare de echipamente de rețea. Astfel, este posibilă, de exemplu, să se asigure autentificarea utilizatorilor domeniului la conectarea prin VPN din exterior, sau utilizarea punctelor de acces Wi-Fi în companie.

5. Stocare unificată de configurare a aplicației

Unele aplicații își stochează configurația în Active Directory, cum ar fi Exchange Server. Implementarea serviciului de director Active Directory este o condiție prealabilă pentru ca aceste aplicații să funcționeze. Stocarea configurației aplicației într-un serviciu de director oferă beneficii de flexibilitate și fiabilitate. De exemplu, în cazul unei defecțiuni complete a serverului Exchange, întreaga sa configurație va rămâne intactă. Pentru a restabili funcționalitatea corespondenței corporative, va fi suficient să reinstalați Exchange Server în modul de recuperare.

Pentru a rezuma, aș dori să subliniez încă o dată că serviciile Active Directory sunt inima infrastructurii IT a unei întreprinderi. În caz de defecțiune, întreaga rețea, toate serverele și munca tuturor utilizatorilor vor fi paralizate. Nimeni nu va putea să se autentifice în computer sau să-și acceseze documentele și aplicațiile. Prin urmare, serviciul de director trebuie să fie proiectat și implementat cu atenție, ținând cont de toate nuanțele posibile, de exemplu, lățimea de bandă a canalelor dintre filialele sau birourile companiei (viteza de conectare a utilizatorului la sistem, precum și schimbul de date între domenii). controlere, depinde direct de acest lucru).



În 2002, în timp ce mă plimbam pe coridorul departamentului de informatică a universității mele preferate, am văzut un afiș proaspăt pe ușa biroului „NT Systems”. Afișul a descris pictogramele contului de utilizator grupate în grupuri, din care săgețile duceau la rândul lor la alte pictograme. Toate acestea au fost combinate schematic într-o anumită structură, s-a scris ceva despre un sistem de conectare unică, autorizare și altele asemenea. Din câte am înțeles acum, acel poster descrie arhitectura Windows NT 4.0 Domains și Windows 2000 Active Directory. Din acel moment a început și s-a încheiat imediat prima mea cunoștință cu Active Directory, căci atunci a fost o sesiune grea, o vacanță distractivă, după care un prieten a împărtășit discuri FreeBSD 4 și Red Hat Linux, iar în următorii câțiva ani m-am cufundat în lume. de sisteme asemănătoare Unix, dar nu am uitat niciodată conținutul posterului.
A trebuit să mă întorc la sisteme bazate pe platforma Windows Server și să mă familiarizez mai mult cu ele când m-am mutat să lucrez la o companie în care managementul întregii infrastructuri IT se baza pe Active Directory. Îmi amintesc că administratorul șef al acelei companii a tot repetat ceva despre unele bune practici Active Directory la fiecare întâlnire. Acum, după 8 ani de comunicare periodică cu Active Directory, înțeleg destul de bine cum funcționează acest sistem și care sunt cele mai bune practici Active Directory.
După cum probabil ați ghicit deja, vom vorbi despre Active Directory.
Oricine este interesat de acest subiect este binevenit la cat.

Aceste recomandări sunt valabile pentru sistemele client care încep de la Windows 7 și mai sus, pentru domenii și păduri la nivel Windows Server 2008/R2 și mai sus.

Standardizare
Planificarea pentru Active Directory ar trebui să înceapă prin dezvoltarea standardelor dvs. pentru denumirea obiectelor și locația acestora în director. Este necesar să se creeze un document care să definească toate standardele necesare. Desigur, aceasta este o recomandare destul de comună pentru profesioniștii IT. Principiul „mai întâi scriem documentație, apoi construim un sistem folosind această documentație” este foarte bun, dar este rar implementat în practică din multe motive. Printre aceste motive se numără simpla lene umană sau lipsa competenței adecvate; motivele rămase sunt derivate din primele două.
Vă recomand să scrieți mai întâi documentația, să o gândiți bine și abia apoi să continuați cu instalarea primului controler de domeniu.
Ca exemplu, voi da o secțiune a documentului despre standardele pentru denumirea obiectelor Active Directory.
Denumirea obiectelor.

  • Numele grupurilor de utilizatori trebuie să înceapă cu prefixul GRUS_ (GR - Grup, SUA - Utilizatori)
  • Numele grupurilor de calculatoare trebuie să înceapă cu prefixul GRCP_ (GR - Grup, CP - Calculatoare)
  • Numele de delegare a grupurilor de autorități trebuie să înceapă cu prefixul GRDL_ (GR - Grup, DL - Delegare)
  • Numele grupurilor de acces la resurse trebuie să înceapă cu prefixul GRRS_ (GR - Grup, RS - resurse)
  • Numele grupurilor pentru politici trebuie să înceapă cu prefixele GPUS_, GPCP_ (GP - Politică de grup, SUA - Utilizatori, CP - Calculatoare)
  • Numele computerelor client trebuie să fie format din două sau trei litere din numele organizației, urmate de un număr separat printr-o cratimă, de exemplu, nnt-01.
  • Numele serverelor trebuie să înceapă cu doar două litere, urmate de o cratimă și urmate de rolul serverului și numărul acestuia, de exemplu, nn-dc01.
Recomand denumirea obiectelor Active Directory, astfel încât să nu fie nevoie să completați câmpul Descriere. De exemplu, din numele grupului GPCP_Restricted_Groups este clar că acesta este un grup de politici care se aplică computerelor și realizează activitatea mecanismului Grupuri restricționate.
Abordarea dvs. de a scrie documentația ar trebui să fie foarte minuțioasă, acest lucru va economisi mult timp în viitor.

Simplificați totul cât mai mult posibil, încercați să atingeți echilibrul
La construirea Active Directory este necesar să se respecte principiul atingerii echilibrului, optând pentru mecanisme simple și ușor de înțeles.
Principiul echilibrului este de a obține funcționalitatea și siguranța cerute cu simplitatea maximă a soluției.
Este necesar să încercați să construiți sistemul astfel încât structura acestuia să fie pe înțelesul celui mai neexperimentat administrator sau chiar utilizator. De exemplu, la un moment dat a existat o recomandare de a crea o structură forestieră din mai multe domenii. Mai mult, s-a recomandat implementarea nu numai a structurilor multi-domeniu, ci și a structurilor din mai multe păduri. Poate că această recomandare a existat din cauza principiului „împărți și cuceri” sau pentru că Microsoft a spus tuturor că domeniul este granița de securitate și prin împărțirea organizației în domenii, vom obține structuri separate care sunt mai ușor de controlat individual. Dar, după cum a arătat practica, este mai ușor să întreținem și să controlezi sistemele cu un singur domeniu, unde limitele de securitate sunt unități organizaționale (OU) mai degrabă decât domenii. Prin urmare, evitați crearea de structuri complexe cu mai multe domenii; este mai bine să grupați obiectele după OU.
Desigur, ar trebui să acționați fără fanatism - dacă este imposibil să faceți fără mai multe domenii, atunci trebuie să creați mai multe domenii, tot cu păduri. Principalul lucru este să înțelegi ce faci și la ce poate duce.
Este important să înțelegeți că o infrastructură simplă Active Directory este mai ușor de administrat și monitorizat. Aș spune chiar că cu cât este mai simplu, cu atât mai sigur.
Aplicați principiul simplificării. Încercați să obțineți echilibrul.

Urmați principiul - „obiect - grup”
Începeți să creați obiecte Active Directory creând un grup pentru acest obiect și atribuiți grupului drepturile necesare. Să ne uităm la un exemplu. Trebuie să creați un cont de administrator principal. Mai întâi creați grupul Administratori șefi și abia apoi creați contul în sine și adăugați-l la acest grup. Atribuiți drepturi de administrator șef grupului Administratori șef, de exemplu, adăugându-l la grupul Administratori de domeniu. Aproape întotdeauna se dovedește că după ceva timp vine la muncă un alt angajat care are nevoie de drepturi similare și, în loc să delege drepturi la diferite secțiuni Active Directory, va fi posibil să-l adaugi pur și simplu la grupul necesar pentru care sistemul are deja rolul definit. iar puterile necesare sunt delegate.
Încă un exemplu. Trebuie să delegați drepturi OU cu utilizatori grupului de administratori de sistem. Nu delegați drepturi direct grupului de administratori, ci creați un grup special, cum ar fi GRDL_OUName_Operator_Accounts, căruia îi atribuiți drepturi. Apoi pur și simplu adăugați grupul de administratori responsabili în grupul GRDL_OName_Operator_Accounts. Se va întâmpla cu siguranță că în viitorul apropiat va trebui să delegați drepturi asupra acestei OU unui alt grup de administratori. Și în acest caz, veți adăuga pur și simplu grupul de date administratori la grupul de delegare GRDL_OUName_Operator_Accounts.
Propun următoarea structură de grup.

  • Grupuri de utilizatori (GRUS_)
  • Grupuri de administrare (GRAD_)
  • Grupuri de delegații (GRDL_)
  • Grupuri de politici (GRGP_)
Grupuri de calculatoare
  • Grupuri de servere (GRSR_)
  • Grupuri de computere client (GRCP_)
Grupuri de acces la resurse
  • Grupuri de acces la resurse partajate (GRRS_)
  • Grupuri de acces la imprimantă (GRPR_)
Într-un sistem construit conform acestor recomandări, aproape toată administrarea va consta în adăugarea de grupuri la grupuri.
Mențineți echilibrul prin limitarea numărului de roluri pentru grupuri și amintiți-vă că, în mod ideal, numele grupului ar trebui să descrie pe deplin rolul său.

Arhitectura OU.
Arhitectura unei OU ar trebui mai întâi gândită din punct de vedere al securității și al delegării drepturilor asupra acestei OU către administratorii de sistem. Nu recomand planificarea arhitecturii OU-urilor din punctul de vedere al conectării politicilor de grup la acestea (deși acest lucru se face cel mai adesea). Pentru unii, recomandarea mea poate părea puțin ciudată, dar nu recomand deloc legarea politicilor de grup de OU-uri. Citiți mai multe în secțiunea Politici de grup.
Administratorii OU
Recomand să creați o unitate organizatorică separată pentru conturile și grupurile administrative, unde puteți plasa conturile și grupurile tuturor administratorilor și inginerilor de asistență tehnică. Accesul la această OU ar trebui să fie limitat la utilizatorii obișnuiți, iar gestionarea obiectelor din această OU ar trebui să fie delegată numai administratorilor principali.
Calculatoare OU
OU-urile computerelor sunt cel mai bine planificate în ceea ce privește locația geografică a computerelor și tipurile de computere. Distribuiți computere din diferite locații geografice în diferite OU și, la rândul lor, împărțiți-le în computere client și servere. Serverele pot fi, de asemenea, împărțite în Exchange, SQL și altele.

Utilizatori, drepturi în Active Directory
Ar trebui să li se acorde o atenție deosebită conturilor de utilizator Active Directory. După cum s-a spus în secțiunea despre OU, conturile de utilizator ar trebui grupate pe baza principiului delegării de autoritate pentru aceste conturi. De asemenea, este important să respectați principiul cel mai mic privilegiu - cu cât un utilizator are mai puține drepturi în sistem, cu atât mai bine. Vă recomand să includeți imediat nivelul de privilegii al utilizatorului în numele contului său. Un cont pentru munca de zi cu zi ar trebui să fie format din numele de familie și inițialele utilizatorului în latină (De exemplu, IvanovIV sau IVIVvanov). Câmpurile obligatorii sunt: ​​Prenume, Inițiale, Nume, Nume afișat (în rusă), e-mail, mobil, Titlul postului, Manager.
Conturile de administrator trebuie să fie de următoarele tipuri:

  • Cu drepturi de administrator la computerele utilizatorilor, dar nu la servere. Trebuie să conțină inițialele proprietarului și prefixul local (De exemplu, iivlocal)
  • Cu drepturi de administrare a serverelor și Active Directory. Trebuie să conțină numai inițiale (De exemplu, iiv).
Câmpul Nume al ambelor tipuri de conturi administrative ar trebui să înceapă cu litera I (De exemplu, iPetrov P Vasily)
Permiteți-mi să vă explic de ce ar trebui să separați conturile administrative în administratori de server și administratori de computere client. Acest lucru trebuie făcut din motive de siguranță. Administratorii computerelor client vor avea dreptul de a instala software pe computerele client. Nu este niciodată posibil să spunem cu siguranță ce software va fi instalat și de ce. Prin urmare, este nesigur să rulați instalarea unui program cu drepturi de administrator de domeniu; întregul domeniu poate fi compromis. Trebuie să administrați computerele client numai cu drepturi de administrator local pentru acel computer. Acest lucru va face imposibilă pentru o serie de atacuri asupra conturilor de administrator de domeniu, cum ar fi „Pass The Hash”. În plus, administratorii computerelor client trebuie să închidă conexiunile prin Serviciile Terminal și conexiunile de rețea la computer. Asistența tehnică și computerele administrative ar trebui plasate într-un VLAN separat pentru a limita accesul la acestea din rețeaua de computere client.
Atribuirea drepturilor de administrator utilizatorilor
Dacă trebuie să acordați drepturi de administrator unui utilizator, nu plasați niciodată contul acestuia pentru utilizarea de zi cu zi în grupul de administratori locali al computerului. Un cont pentru munca zilnică ar trebui să aibă întotdeauna drepturi limitate. Creați un cont administrativ separat pentru el, cum ar fi namelocal și adăugați acest cont la grupul de administratori locali utilizând o politică, limitând aplicarea acestuia numai pe computerul utilizatorului utilizând direcționarea la nivel de articol. Utilizatorul va putea folosi acest cont folosind mecanismul Run AS.
Politicile parolei
Creați politici separate de parolă pentru utilizatori și administratori folosind o politică de parole precisă. Este recomandabil ca parola de utilizator să fie formată din cel puțin 8 caractere și să fie schimbată cel puțin o dată pe trimestru. Este recomandabil ca administratorii să schimbe parola la fiecare două luni, iar aceasta ar trebui să aibă cel puțin 10-15 caractere și să îndeplinească cerințele de complexitate.

Compoziția domeniilor și a grupurilor locale. Mecanismul Grupurilor restricționate
Compoziția domeniilor și a grupurilor locale de pe computerele de domeniu ar trebui controlată numai automat, folosind mecanismul Grupuri restricționate. Voi explica de ce trebuie făcut doar în acest fel folosind următorul exemplu. În mod obișnuit, după ce domeniul Active Directory este spart, administratorii se adaugă în grupuri de domenii, cum ar fi administratori de domeniu, administratori de întreprindere, adaugă ingineri de asistență tehnică la grupurile necesare și, de asemenea, distribuie restul utilizatorilor în grupuri. În procesul de administrare a acestui domeniu, procesul de eliberare a drepturilor se repetă de multe ori și va fi extrem de greu de reținut că ieri ați adăugat temporar contabila Nina Petrovna în grupul de administratori 1C și că astăzi trebuie să o eliminați din acest grup. Situația se va agrava dacă compania are mai mulți administratori și fiecare dintre aceștia acordă din când în când drepturi utilizatorilor într-un stil similar. În doar un an, va fi aproape imposibil să ne dăm seama ce drepturi sunt atribuite cui. Prin urmare, componența grupurilor ar trebui controlată doar de politicile de grup, care vor pune totul în ordine cu fiecare aplicație.
Compoziția grupurilor încorporate
Merită spus că grupurile încorporate precum Operatorii de cont, Operatorii de backup, Operatorii de criptare, Oaspeții, Operatorii de imprimare, Operatorii de server ar trebui să fie goale, atât în ​​domeniu, cât și pe computerele client. Aceste grupuri sunt necesare în primul rând pentru a asigura compatibilitatea cu sistemele mai vechi, iar utilizatorilor acestor grupuri li se acordă prea multe drepturi în sistem, iar atacurile de escaladare a privilegiilor devin posibile.

Conturi de administrator local
Folosind mecanismul Grupuri restricționate, trebuie să blocați conturile de administrator local pe computerele locale, să blocați conturile de oaspeți și să ștergeți grupul de administratori locali pe computerele locale. Nu utilizați niciodată politicile de grup pentru a seta parole pentru conturile de administrator local. Acest mecanism nu este sigur; parola poate fi extrasă direct din politică. Dar, dacă decideți să nu blocați conturile de administrator local, atunci utilizați mecanismul LAPS pentru a seta corect parolele și a le roti. Din păcate, configurarea LAPS nu este complet automatizată și, prin urmare, va trebui să adăugați manual atribute la schema Active Directory, să le atribuiți drepturi, să atribuiți grupuri și așa mai departe. Prin urmare, este mai ușor să blocați conturile de administrator local.
Conturi de servicii.
Pentru a rula servicii, utilizați conturi de serviciu și mecanismul gMSA (disponibil pe sistemele Windows 2012 și mai recente)

Politicile de grup
Documentați politicile înainte de a le crea/modifica.
Când creați o politică, utilizați principiul Politică - Grup. Adică, înainte de a crea o politică, creați mai întâi un grup pentru această politică, eliminați grupul de utilizatori autentificați din domeniul de aplicare al politicii și adăugați grupul creat. Conectați politica nu la OU, ci la rădăcina domeniului și reglementați domeniul de aplicare a acesteia prin adăugarea de obiecte la grupul de politici. Consider acest mecanism mai flexibil și mai ușor de înțeles decât legarea unei politici la o OU. (Este exact despre ce am scris în secțiunea despre Arhitectura OU).
Ajustați întotdeauna domeniul de aplicare al politicii. Dacă ați creat o politică numai pentru utilizatori, atunci dezactivați structura computerului și invers, dezactivați structura utilizatorilor dacă ați creat o politică numai pentru computere. Datorită acestor setări, politicile vor fi aplicate mai rapid.
Configurați copii de siguranță zilnice ale politicii utilizând Power Shell, astfel încât, dacă apar erori de configurare, puteți oricând să readuceți setările la setările inițiale.
Magazinul central
Începând cu Windows 2008, a devenit posibilă stocarea șabloanelor de politică de grup ADMX într-o locație centrală de stocare, SYSVOL. Anterior, în mod implicit, toate șabloanele de politică erau stocate local pe clienți. Pentru a plasa șabloanele ADMX în stocarea centrală, trebuie să copiați conținutul folderului %SystemDrive%\Windows\PolicyDefinitions împreună cu subfolderele din sistemele client (Windows 7/8/8.1) în directorul controlerului de domeniu %SystemDrive%\Windows\ SYSVOL\domain\Policies\PolicyDefinitions cu conținut îmbinat, dar fără înlocuire. În continuare, ar trebui să faceți aceeași copie de pe sistemele serverului, începând cu cea mai veche. În cele din urmă, când copiați foldere și fișiere de pe cea mai recentă versiune a serverului, faceți o copie MERGE AND REPLACE.

Copierea șabloanelor ADMX

În plus, șabloanele ADMX pentru orice produs software, de exemplu, Microsoft Office, produsele Adobe, produsele Google și altele, pot fi plasate în stocarea centrală. Accesați site-ul web al furnizorului de software, descărcați șablonul de politică de grup ADMX și despachetați-l în folderul %SystemDrive%\Windows\SYSVOL\domain\Policies\PolicyDefinitions de pe orice controler de domeniu. Acum puteți gestiona produsul software de care aveți nevoie prin politicile de grup.
filtre WMI
Filtrele WMI nu sunt foarte rapide, așa că este de preferat să folosiți mecanismul de direcționare la nivel de articol. Dar dacă direcționarea la nivel de articol nu poate fi utilizată și decideți să utilizați WMI, atunci vă recomand să creați imediat câteva dintre cele mai comune filtre pentru dvs.: filtrul „Numai sisteme de operare client”, „Numai sisteme de operare server”, „Windows 7”. ”, filtrele „Windows” 8”, „Windows 8.1”, „Windows 10”. Dacă aveți seturi gata făcute de filtre WMI, atunci va fi mai ușor să aplicați filtrul dorit la politica dorită.

Auditarea evenimentelor Active Directory
Asigurați-vă că activați auditarea evenimentelor pe controlerele de domeniu și pe alte servere. Recomand activarea auditării următoarelor obiecte:

  • Audit managementul contului computerului - succes, eșec
  • Audit alte evenimente de gestionare a contului - succes, eșec
  • Audit managementul grupului de securitate - succes, eșec
  • Audit managementul contului utilizatorului - succes, eșec
  • Audit serviciul de autentificare Kerberos - Eșec
  • Audit alte evenimente de conectare la cont - Eșec
  • Audit Schimbarea politicii de audit - succes, eșec
Auditul trebuie configurat în secțiune Configurare avansată a politicii de auditși asigurați-vă că activați setarea în secțiune Opțiuni locale de politică/securitate - Forțați setările pentru subcategoria politicii de audit (Windows Vista sau o versiune ulterioară) să înlocuiască setările categoriei politicii de audit, care va suprascrie setările de nivel superior și le va aplica pe cele avansate.

Setări avansate de audit

Nu mă voi opri în detaliu asupra setărilor de audit, deoarece există un număr suficient de articole pe Internet dedicate acestui subiect. Voi adăuga doar că, pe lângă activarea auditului, ar trebui să configurați alerte prin e-mail despre evenimentele critice de securitate. De asemenea, merită luat în considerare faptul că în sistemele cu un număr mare de evenimente, merită să se dedice servere separate pentru colectarea și analiza fișierelor jurnal.

Scripturi de administrare și curățare
Toate acțiunile similare și repetate frecvent trebuie efectuate folosind scripturi de administrare. Aceste acțiuni includ: crearea de conturi de utilizator, crearea de conturi de administrator, crearea de grupuri, crearea de OU și așa mai departe. Crearea de obiecte folosind scripturi vă permite să respectați logica de denumire a obiectelor din Active Directory prin construirea de verificări de sintaxă chiar în scripturi.
De asemenea, merită să scrieți scripturi de curățare care vor monitoriza automat compoziția grupurilor, vor identifica utilizatorii și computerele care nu s-au conectat la domeniu de mult timp, vor identifica încălcările altor standarde și așa mai departe.
Nu am văzut-o ca o recomandare oficială explicită de a folosi scripturi de administrare pentru a monitoriza conformitatea și a efectua operațiuni de fundal. Dar eu prefer verificările și procedurile în modul automat folosind scripturi, deoarece acest lucru economisește mult timp și elimină un număr mare de erori și, bineînțeles, aici intră în joc abordarea mea ușor Unix cu privire la administrare, când este mai ușor să tastați câteva comenzi decât faceți clic pe Windows.

Administrare manuală
Dvs. și colegii dvs. va trebui să faceți manual unele operațiuni administrative. În aceste scopuri, recomand să utilizați consola mmc cu snap-in-uri adăugate.
După cum se va spune mai târziu, controlerele dvs. de domeniu ar trebui să funcționeze în modul Server Core, adică ar trebui să administrați întregul mediu AD numai de pe computer folosind console. Pentru a administra Active Directory, trebuie să instalați Instrumente de administrare a serverului la distanță pe computer. Consolele ar trebui să fie rulate pe computerul dvs. ca utilizator cu drepturi de administrator Active Directory și control delegat.
Arta de a gestiona Active Directory folosind console necesită un articol separat și poate chiar un videoclip de instruire separat, așa că aici vorbesc doar despre principiul în sine.

Controlere de domeniu
În orice domeniu, trebuie să existe cel puțin două controlere. Controloarele de domeniu ar trebui să aibă cât mai puține servicii posibil. Nu ar trebui să transformați un controler de domeniu într-un server de fișiere sau, Doamne ferește, să îl actualizați la rolul de server terminal. Utilizați sisteme de operare pe controlere de domeniu în modul Server Core, eliminând complet suportul WoW64; acest lucru va reduce semnificativ numărul de actualizări necesare și va crește securitatea acestora.
Microsoft a descurajat anterior virtualizarea controlerelor de domeniu din cauza potențialului de conflicte de replicare insolubile la restaurarea din instantanee. S-ar putea să fi fost și alte motive, nu pot spune cu siguranță. Acum hipervizorii au învățat să spună controlorilor să le restabilească din instantanee, iar această problemă a dispărut. Am virtualizat controlerele tot timpul, fără să fac niciun instantaneu, pentru că nu înțeleg de ce ar putea fi nevoie să fac astfel de instantanee pe controlerele de domeniu. În opinia mea, este mai ușor să faci o copie de rezervă a controlerului de domeniu folosind mijloace standard. Prin urmare, recomand virtualizarea tuturor controlerelor de domeniu posibile. Această configurație va fi mai flexibilă. Când virtualizați controlere de domeniu, plasați-le pe gazde fizice diferite.
Dacă trebuie să plasați un controler de domeniu într-un mediu fizic nesecurizat sau într-o sucursală a organizației dvs., atunci utilizați RODC în acest scop.

Roluri FSMO, controlori primari și secundari
Rolurile controlerului de domeniu FSMO continuă să creeze teamă în mintea noilor administratori. Adesea, începătorii învață Active Directory din documentație învechită sau ascultă povești de la alți administratori care citesc ceva undeva o dată.
Pentru toate cele cinci + 1 roluri, următoarele ar trebui spuse pe scurt. Începând cu Windows Server 2008, nu mai există controlere de domeniu primare și secundare. Toate cele cinci roluri de controler de domeniu sunt portabile, dar nu pot locui pe mai mult de un controler la un moment dat. Dacă luăm unul dintre controlori, care, de exemplu, era proprietarul a 4 roluri și îl ștergem, atunci putem transfera cu ușurință toate aceste roluri către alte controlere și nu se va întâmpla nimic rău în domeniu, nimic nu se va sparge. Acest lucru este posibil deoarece proprietarul stochează toate informațiile despre munca legată de un anumit rol direct în Active Directory. Și dacă transferăm rolul unui alt controler, atunci acesta se întoarce în primul rând la informațiile stocate în Active Directory și începe să efectueze serviciul. Un domeniu poate exista destul de mult timp fără proprietari de rol. Singurul „rol” care ar trebui să fie întotdeauna în Active Directory și fără de care totul va fi foarte rău, este rolul catalogului global (GC), care poate fi suportat de toți controlorii din domeniu. Recomand să atribuiți rolul GC fiecărui controler din domeniu, cu cât sunt mai mulți, cu atât mai bine. Desigur, puteți găsi cazuri în care nu merită să instalați rolul GC pe un controler de domeniu. Ei bine, dacă nu ai nevoie, atunci nu. Urmați recomandările fără fanatism.

serviciu DNS
Serviciul DNS este esențial pentru funcționarea Active Directory și trebuie să funcționeze fără întrerupere. Cel mai bine este să instalați serviciul DNS pe fiecare controler de domeniu și să stocați zonele DNS chiar în Active Directory. Dacă veți folosi Active Directory pentru a stoca zone DNS, atunci ar trebui să configurați proprietățile conexiunii TCP/IP pe controlerele de domeniu, astfel încât fiecare controler să aibă orice alt server DNS ca server DNS primar și să îl puteți seta pe cel secundar la adresa 127.0. 0,1. Această setare trebuie făcută deoarece pentru ca serviciul Active Directory să pornească normal, este necesar un DNS funcțional, iar pentru ca DNS să pornească, serviciul Active Directory trebuie să ruleze, deoarece zona DNS în sine se află în el.
Asigurați-vă că configurați zone de căutare inversă pentru toate rețelele dvs. și activați actualizarea automată securizată a înregistrărilor PTR.
Recomand suplimentar să activați curățarea automată a zonei a înregistrărilor DNS învechite (eliminarea dns).
Vă recomand să specificați serverele Yandex protejate ca DNS-Forwardere dacă nu există altele mai rapide în locația dvs. geografică.

Site-uri și replicare
Mulți administratori sunt obișnuiți să creadă că site-urile web sunt o grupare geografică de computere. De exemplu, situl din Moscova, situl Sankt Petersburg. Această idee a apărut datorită faptului că împărțirea inițială a Active Directory în site-uri a fost făcută cu scopul de a echilibra și separa traficul de rețea de replicare. Controlorii de domeniu din Moscova nu trebuie să știe că zece conturi de computer au fost create acum în Sankt Petersburg. Și, prin urmare, astfel de informații despre modificări pot fi transmise o dată pe oră conform unui program. Sau chiar replicați modificările o dată pe zi și numai noaptea, pentru a economisi lățime de bandă.
Aș spune asta despre site-uri web: site-urile web sunt grupuri logice de computere. Calculatoare care sunt conectate între ele printr-o conexiune bună la rețea. Și site-urile în sine sunt conectate între ele printr-o conexiune cu lățime de bandă redusă, ceea ce este o raritate în zilele noastre. Prin urmare, împart Active Directory în site-uri nu pentru a echilibra traficul de replicare, ci pentru a echilibra încărcarea rețelei în general și pentru o procesare mai rapidă a cererilor clienților de la computerele site-ului. Să explic cu un exemplu. Există o rețea locală de 100 de megabiți a unei organizații, care este deservită de doi controlere de domeniu și există un nor în care serverele de aplicații ale acestei organizații sunt amplasate împreună cu alte două controlere cloud. Voi împărți o astfel de rețea în două site-uri, astfel încât controlorii din rețeaua locală procesează cererile de la clienții din rețeaua locală și controlorii din cloud procesează solicitările de la serverele de aplicații. În plus, acest lucru vă va permite să separați cererile către serviciile DFS și Exchange. Și din moment ce acum văd rar un canal de Internet mai mic de 10 megabiți pe secundă, voi activa Replicarea bazată pe notificări, atunci replicarea datelor are loc imediat de îndată ce apar modificări în Active Directory.

Concluzie
În această dimineață mă gândeam de ce egoismul uman nu este binevenit în societate și undeva la un nivel profund de percepție provoacă emoții extrem de negative. Și singurul răspuns care mi-a venit în minte a fost că rasa umană nu ar fi supraviețuit pe această planetă dacă nu ar fi învățat să împartă resursele fizice și intelectuale. De aceea, vă împărtășesc acest articol și sper că recomandările mele vă vor ajuta să vă îmbunătățiți sistemele și veți petrece mult mai puțin timp pentru depanarea. Toate acestea vor duce la eliberarea mai multor timp și energie pentru creativitate. Este mult mai plăcut să trăiești într-o lume de oameni creativi și liberi.
Ar fi bine dacă, dacă este posibil, vă împărtășiți cunoștințele și practicile de construire a Active Directory în comentarii.
Pace și bunătate tuturor!

Puteți ajuta și transfera niște fonduri pentru dezvoltarea site-ului

Active Directory este un serviciu de directoare Microsoft pentru familia de sisteme de operare Windows NT.

Acest serviciu permite administratorilor să utilizeze politicile de grup pentru a asigura uniformitatea setărilor mediului de lucru al utilizatorului, instalărilor de software, actualizărilor etc.

Care este esența Active Directory și ce probleme rezolvă? Citește mai departe.

Principii de organizare a rețelelor peer-to-peer și multi-peer

Dar apare o altă problemă, ce se întâmplă dacă user2 pe PC2 decide să-și schimbe parola? Apoi, dacă user1 schimbă parola contului, user2 pe PC1 nu va putea accesa resursa.

Un alt exemplu: avem 20 de stații de lucru cu 20 de conturi la care dorim să le oferim acces la un anumit .Pentru aceasta, trebuie să creăm 20 de conturi pe serverul de fișiere și să oferim acces la resursa necesară.

Dacă nu sunt 20, ci 200?

După cum înțelegeți, administrarea rețelei cu această abordare se transformă într-un iad absolut.

Prin urmare, abordarea grupului de lucru este potrivită pentru rețelele de birouri mici, cu cel mult 10 computere.

Dacă există mai mult de 10 stații de lucru în rețea, abordarea în care unui nod de rețea este delegat dreptul de a efectua autentificare și autorizare devine rațional justificată.

Acest nod este controlerul de domeniu - Active Directory.

Controlor de domeniu

Controlorul stochează o bază de date de conturi, de ex. stochează conturi atât pentru PC1, cât și pentru PC2.

Acum toate conturile sunt înregistrate o dată pe controler, iar nevoia de conturi locale devine lipsită de sens.

Acum, când un utilizator se conectează la un PC, introducând numele de utilizator și parola, aceste date sunt transmise în formă privată controlorului de domeniu, care efectuează proceduri de autentificare și autorizare.

Ulterior, controlorul emite utilizatorului care s-a autentificat ceva de genul unui pașaport, cu care ulterior lucrează în rețea și pe care îl prezintă la solicitarea altor calculatoare din rețea, servere la ale căror resurse dorește să se conecteze.

Important! Un controler de domeniu este un computer care rulează Active Directory care controlează accesul utilizatorilor la resursele rețelei. Stochează resurse (de exemplu, imprimante, foldere partajate), servicii (de exemplu, e-mail), persoane (conturi de utilizator și grup de utilizatori), computere (conturi de computer).

Numărul acestor resurse stocate poate ajunge la milioane de obiecte.

Următoarele versiuni de MS Windows pot acționa ca un controler de domeniu: Windows Server 2000/2003/2008/2012, cu excepția ediției Web.

Controlerul de domeniu, pe lângă faptul că este centrul de autentificare pentru rețea, este și centrul de control pentru toate computerele.

Imediat după pornire, computerul începe să contacteze controlerul de domeniu, cu mult înainte ca fereastra de autentificare să apară.

Astfel, nu numai utilizatorul care introduce login și parola este autentificat, ci și computerul client.

Instalarea Active Directory

Să ne uităm la un exemplu de instalare a Active Directory pe Windows Server 2008 R2. Deci, pentru a instala rolul Active Directory, accesați „Manager server”:

Adăugați rolul „Adăugați roluri”:

Selectați rolul Serviciilor de domeniu Active Directory:

Și să începem instalarea:

După care primim o fereastră de notificare despre rolul instalat:

După instalarea rolului de controler de domeniu, să trecem la instalarea controlerului în sine.

Faceți clic pe „Start” în câmpul de căutare a programului, introduceți numele vrăjitorului DCPromo, lansați-l și bifați caseta pentru setări avansate de instalare:

Faceți clic pe „Următorul” și alegeți să creați un domeniu și o pădure nouă din opțiunile oferite.

Introduceți numele domeniului, de exemplu, example.net.

Scriem nume de domeniu NetBIOS, fără zonă:

Selectați nivelul funcțional al domeniului nostru:

Datorită particularităților funcționării controlerului de domeniu, instalăm și un server DNS.

Locațiile bazei de date, fișierului jurnal și volumului sistemului rămân neschimbate:

Introduceți parola administratorului de domeniu:

Verificăm corectitudinea umplerii și dacă totul este în ordine, faceți clic pe „Următorul”.

După aceasta, va începe procesul de instalare, la sfârșitul căruia va apărea o fereastră care vă informează că instalarea a avut succes:

Introducere în Active Directory

Raportul discută două tipuri de rețele de computere care pot fi create folosind sistemele de operare Microsoft: grup de lucru și domeniu Active Directory.