Книга Active directory

24.Щелкните кнопку Проверить имена (Check Names). Теперь и м я будет разрешено в окне Выбор (Select).

25.Щелкните ОК .

Упражнение 6. Поиск объектов в Active Directory

Чтобы отыскать объекты в службе каталогов домена, иногда э ф ф е к т и в н е е использовать функции поиска, чем открывать структуру п о д р а з д е л е н и й и искать объект вручную. В этом упражнении вы задействуете три и н т е р ф е й с а д л я поиска объектов в Active Directory.

1. Войдите на машину SERVER01 и откройте оснастку Active Directory —

3.В раскрывающемся списке Где (In) выберите домен contoso.com.

4.В поле Имя (Name) введите Барб.

5. Щелкните кнопку Найти (Find Now).

6. В результатах поиска отобразятся два пользователя с и м е н е м Барбара .

7.Закройте окно поиска.

8.В главном меню откройте окно Сеть (Network).

9. Щелкните кнопку Поиск в Active Directory (Search Active Directory) .

10.Повторите шаги 3 - 7 .

11.В оснастке Active Directory — пЬльзователи и к о м п ы о т е р ы ( Active Directory Users and Computers) щелкните правой кнопкой м ы ш и узел Сохраненные

поиски (Saved Queries), выберите опцию Создать (New) и п р и м е н и т е команду Запрос (Query).

Если узел сохраненных запросов не отображается, закройте к о н с о л ь и откройте оснастку Active Directory — пользователи и к о м п ь ю т е р ы в папке Администрирование (Administrative Tools) панели управления .

12.В поле Имя (Name) введите Все пользователи.

13.В поле Описание (Description) введите описание Пользователи всего домена.

14.Щелкните кнопку Запрос (Define Query).

15. На вкладке Пользователи (Users) выберите в поле И м я ( N a m e ) параметр Имеет значение (Has A Value).

16. Дважды щелкните OK, чтобы закрыть диалоговые окна.

Занятие 2

О т о б р а з я т ся результаты сохраненного запроса с данными пользователей подразделений Кадры и Администраторы.

17. В меню Вид (View) примените команду Добавить или удалить столбцы

. ( A d d / R e m o v e Columns).

18. В списке И м е ю щ и е с я столбцы (Available Columns) выберите столбец Фа- м и л и я (Last Name) и щелкните кнопку Добавить (Add).

19. В списке Отображаемые столбцы (Displayed Columns) выберите Тип (Туре) и щ е л к н и т е кнопку Удалить (Remove).

20. Щ е л к н и т е О К .

21.Перетащите заголовок столбца Фамилия (Last Name) и расположите его между столбцами И м я (Name) и Описание (Description).

22.Щ е л к н и т е заголовок столбца Фамилия (Last Name), чтобы автоматически отсортировать пользователей по фамилии.

Резюме

• П о д р а з д е л е н и я организации (Organizational Unit) представляют собой административные контейнеры, содержащие объекты с идентичными требо- в а н и я м и администрирования, конфигурации н видимости. Подразделения обеспечивают доступ к коллекциям пользователей, групп, компьютеров и других объектов и управление ими. Подразделению нельзя предоставлять р а з р е ш е н и я доступа к ресурсам, например к общей папке.

•Такие свойства объекта, как Описание (Description), Управляется (Managed By) и З а м е т к и (Notes), можно применять для документирования важных сведений об объекте.

•По умолчанию подразделения создаются с защитой от случайного удаления.

Чт о б ы отменить защиту, нужно включить Дополнительные компоненты

(Advanced Features) в меню Вид (View), а затем в окне свойств подразде- л е н и я перейти на вкладку Объект (Object) н отключить защиту.

Закрепление материала

Следующий вопрос можно использовать для проверки знаний, полученных на занятии 2. Этот вопрос есть на сопроводительном компакт-диске.

П Р И М Е Ч А Н ИЕ Ответы

Ответ на этот вопрос с пояснениями, почему тот или иной вариант ответа правилен

или неверен, вы найдете в разделе «Ответы» в конце книги.

1. Вы о т к р ы л и командную строку с помощью команды Запуск от имени администратора ( R u n As Administrator) и учетных данных в группе Администраторы домена (Domain Admins). Вы используете команду Dsrm для

Занятие 3 Делегирование и безопасность объектов Active Directory 7 1

поддержки может сбрасывать пароли и снимать блокировку учетных записей пользователей. Эти функции службы поддержки — делегированные административные задачи. Обычно служба технической поддержки не может создавать новые учетные записи пользователей, зато может вносить изменения в существующие учетные записи пользователей.

Все объекты Active Directory, например пользователи, компьютеры и группы, созданные на п р е д ы д у щ е м занятии, могут быть защищены с помощью списка разрешений. Таким образом, службе группы технической поддержки предоставляется разрешение сброса паролей пользовательских объектов. Эти разрешения д л я объекта называются записями контроля доступа АСЕ (Access Control Entry) и назначаются пользователям, группам и компьютерам (так называемым принципалам безопасности). Записи АСЕ хранятся в дискреционном списке контроля доступа D A C L (Discretionary Access Control List). Список DACL — это с о с т а в л я ю щ а я списка ACL объекта, который также содержит системный список контроля доступа SACL (System Access Control List) с параметрами аудита. Эта модель похожа на модель разрешений доступа к файлам и папкам, по крайней мере ее т е р м и н ы и концепции идентичны.

Делегирование административного контроля, которое также называется делегированием контроля или просто делегированием, означает лишь назначение разрешений управлять доступом к объектам и свойствам в Active Directory. Аналогично п р е д о с т а в л е н и ю группе права и з м е н я т ь ф а й л ы в папке, члены группы получают разрешение сбрасывать пароли объектов пользователей.

Просмотр списка ACL объекта Active Directory

1.Откройте оснастку Active Directory — пользователи и компьютеры (Active Directory Users And Computers) .

3. Щ е л к н и т е объект правой к н о п к о й м ы ш и и примените команду Свойства (Properties).

4. Перейдите на вкладку Безопасность (Security).

Если дополнительные компоненты не включены, вы не увидите вкладку Безопасность в диалоговом окне Свойства объекта (рис. 2-15).

5. Щелкните кнопку Д о п о л н и т е л ь н о (Advanced) .

Вкладка Безопасность содержит высокоуровневые данные принципалов безопасности с разрешениями доступа к объекту, но в случае со списками ACL на вкладке безопасности очень редко есть достаточно подробные сведения, необходимые д л я интерпретации и управления списком ACL. Поэтому следует щелкнуть кнопку Дополнительно, чтобы открыть диалоговое окно Дополнительные параметры безопасности (Advanced Security Settings).

Глаоа 2

Рис. 2-15. Вкладка Безопасность (Security) диалогового окна свойств обьекта

Па рис. 2-16 показано диалоговое окно с дополнительными параметрами безопасности объекта.

Рис. 2-16. Дополнительные параметры безопасности объекта Active Directory

Вкладка Разрешения (Permissions) диалогового окна дополнительных параметров безопасности содержит список DACL объекта. Как показано на рис. 2.16, в ней перечислены записи АСЕ. В этом диалоговом окне не отображаются отдельные записи АСЕ списка DACL. Например, запись разрешения, выбранная на рис. 2-16, на самом деле состоит из двух записей АСЕ.

6. Чтобы просмотреть отдельную запись АСЕ разрешения, выберите ее и щелкните кнопку Изменить (Edit). Откроется диалоговое окно Элемент разрешения (Permission Entry) с записями АСЕ, которые составляют элемент разрешения (рис. 2-17).

Занятие 3 Делегирование и безопасность объектов Active Directory 73

(ЕЗПЕЯШ

Clm *l 1

" '' • v.

_ I' 1 —

Рис. 2-17. Диалоговое окно элемента разрешения

Контрольный вопрос

ш Вам требуется просмотреть разрешения доступа, назначенные подразделению. Вы открыли диалоговое окно свойств подразделения и не увидели вкладку безопасности. Что нужно сделать в такой ситуации?

Ответ на контрольный вопрос

•В оснастке Active Directory — пользователи и компьютеры (Active Directory Users And Computers) щелкните меню Вид (View) и выберите Дополнительные компоненты (Advanced Feature).

Управление доступом к объектам и свойствам

Список DACL объекта позволяет назначать разрешения доступа к конкретным свойствам объектов. Как видно на рис. 2-17, вы можете разрешать и запрещать право изменения параметров телефона и электронной почты, то есть не одно свойство, а набор конкретных свойств. Наборы свойств упрощают управление разрешениями доступа к широко используемым коллекциям свойств объектов. Тем не менее вы можете получить еще более гранулированный уровень разрешения и запрета доступа — л и ш ь мобильного телефона или только домашнего адреса.

между этими правами. Если вы имеете право изменять пароль, нужно знать текущий пароль и ввести его перед внесением изменений . Если же вы имеете право сброса пароля, знать текущий пароль вам не понадобится.

И, наконец, разрешения можно назначать для объектов. Например, разрешение на изменение объекта управляется АСЕ - записыо разрешения модификаций .

Разрешения объектов дают право создавать дочерние объекты. Например, группе технической поддержки можно назначить разрешения создавать объекты компьютеров в подразделении для настольных систем и ноутбуков. Группе технической поддержки подразделения можно назначить АСЕ-запнсь разрешения создания объектов компьютеров.

Типом и областью действия разрешении можно управлять с помощью двух вкладок — Объект (Object) и Свойства (Properties), а также при помощи раскрывающихся списков Применять (Apply То) на каждой вкладке.

Назначение разрешения в диалоговом окне дополнительных параметров безопасности

Рассмотрим сценарий, где службе технической поддержки требуется разрешить изменять пароль учетной записи пользователя Джеймса Файна. В этом подразделе мы вначале рассмотрим самый сложный способ — посредством назначения записи АСЕ в списке DACL объекта пользователя. Затем расскажем, как с помощью Мастера делегирования управления (Delegation of Control Wizard) выполнять делегирование для целого подразделения пользователей,

иобсуднм преимущества последнего метода.

1.Откройте оснастку Active Directory — пользователи и компьютеры (Active Director)' Users and Computers).

2.Щелкните меню Вид (View) и выберите Дополнительные к о м п о н е н т ы (Advanced Features).

3.Щелкните объект правой кнопкой мыши и примените команду Свойства (Properties).

4.Перейдите на вкладку Безопасность (Security).

5.Щелкните кнопку Дополнительно (Advanced).

6.Щелкните кнопку Добавить (Add).

Если включен Контроль учетных записей (User Account Control), может потребоваться щелкнуть кнопку Изменить (Edit) и ввести административные учетные данные, чтобы отобразить кнопку Добавить.

7.В диалоговом окне Выбор (Select) выберите принципал безопасности, которому будут назначены разрешения.

Лучше всего назначать разрешения группам, а не отдельным пользователям. Выберите группу технической поддержки.

8.Щелкните ОК.

Откроется диалоговое окно Элемент разрешения (Permission Entry).

9.Отконфигурируйте разрешения.

На вкладке Объект (Object) прокрутите список Разрешения (Permissions) и выберите разрешение Сброс пароля (Reset Password),

10.Щелкните OK, чтобы закрыть все диалоговые окна.

Наследование разрешений

Очевидно, что назначать группе технической поддержки разрешения сброса паролей для каждого отдельного объекта пользователя слишком утомительно и это может привести к ошибкам, Вместо этого разрешения можно назначать подразделениям. Разрешения, назначенные подразделению, будут наследоваться всеми объектами в нем. Таким образом, если предоставить группе технической поддержки разрешение сброса паролей объектов пользователей и прикрепить это разрешение к подразделению, содержащему пользователей, разрешение унаследуют все объекты пользователей в подразделении. Так делегируется административная задача.

В концепции наследования ничего сложного нет. Дочерние объекты наследуют разрешения родительского контейнера или подразделения. Этот контейнер или подразделение, в свою очередь, наследует разрешения от родительского контейнера или подразделения, и так продолжается до контейнера или подразделения высшего уровня самого домена. Причина наследования дочерними объектами разрешений родительских объектов в том, что по умолчанию каждый новый объект создается с включенным параметром Добавить разрешения, наследуемые от родительских объектов (Include Inheritable Permissions From This Object's Parent). Этот ф л а ж о к показан на рис. 2-16.

Дочерний объект получает только наследуемые разрешения, но не все разрешения наследуемы . Н а п р и м е р , р а з р е ш е н и е сброса паролей, назначенное подразделению, не будет наследоваться объектами группы, поскольку объекты группы не располагают атрибутом пароля. Наследование применимо к специфическим классам объектов, а пароли применимы к объектам пользователей, по не к группам. Кроме того, область наследования разрешения можно указать с помощью поля П р и м е н я т ь (Apply То) диалогового окна Элемент разрешения

Что, если наследуемое разрешение не соответствует ситуации? Д л я модификации разрешений, наследуемых дочерним объектом, можно выполнить две операции. Во-первых, вы можете отключить наследование, сияв в диалоговом окне Дополнительные п а р а м е т р ы безопасности (Advanced Security Settings) флажок Добавить разрешения, наследуемые от родительских объектов (Include Inheritable Permissions From This Object's Parent) . После этого объект больше не будет наследовать разрешения родителя. Все разрешения будут явным образом определены д л я дочернего объекта. О б ы ч н о этот способ не рекомендуется, поскольку в о з н и к а е т и с к л ю ч е н и е из правила, создаваемого разрешениями родительских контейнеров.

Второй способ — разрешить наследование и заменить унаследованное разрешение явно н а з н а ч е н н ы м и р а з р е ш е н и я м и д л я дочернего объекта. Явные разрешения всегда заменяют наследуемые от родительских объектов. Важно

отметить, что явное разрешение, позволяющее доступ, переписывает унаследованное разрешение, запрещающее тот же доступ. Таким образом, родительский объект определяет правило (запрет доступа), по для дочернего объекта создается исключение (разрешение доступа).

СОВЕТ К ЭКЗАМЕНУ

Изучите сценарии, где доступ или делегирование не выполняется корректно из-за разрыва цепочки наследования, а также явного назначения объекту разрешении, заменяющих разрешения родителя.

Делегирование административных задач с помощью мастера управления делегированием

Как видите, управление разрешениями с помощью диалогового окна Элемент разрешения (Permission Entry) представляет собой непростую задачу. Поэтому вместо интерфейсов безопасности для управления разрешениями лучше применять Мастер делегирования управления (Delegation of Control Wizard).

1. Откройте оснастку Active Directory — пользователи и компьютеры (Active' Directory Users And Computers). ?

2.Щелкните правой кнопкой мыши узел домена или подразделения, для которого хотите делегировать административные задачи или управление, и примените команду Делегирование управления (Delegate Control) .

В зтом примере мы задействуем подразделение, в которое входят пользователи.

Откроется Мастер делегирования управления (Delegation of Control Wizard).!

3.Щелкните кнопку Далее (Next).

Вначале выберите административную группу, которой будут предоставлены < привилегии.

4.На странице Пользователи или группы (Users or Groups) щелкните кнопку {

6.Щелкните кнопку Далее (Next).

Теперь вы укажете конкретную задачу, которую хотите назначить этой i группе.

7.На странице Делегируемые задачи (Tasks То Delegate) выберите задачу.

В этом примере выберите задачу Переустановить пароли пользователей I и установить изменение пароля при следующей перезагрузке (Reset User!

Занятие 3 Делегирование и безопасность объектов Active Directory 7 7

Отчеты и просмотр разрешений

Существует несколько других способов создания отчетов и просмотра разрешений, позволяющих контролировать действия пользователей. Вы уже знаете, как просмотреть разрешения в списке DACL в диалоговых окнах Дополнительные параметры безопасности (Advanced Security Settings) и Элемент разрешения (Permission Entry) .

Средство Dsacls.exe также доступно в виде инструмента командной строки, создающего отчеты об объектах служб каталогов. Если ввести эту команду вместе с отличительным именем объекта, будет выведен отчет с данными разрешений объекта. Например, эта команда генерирует отчет о разрешениях подразделения Кадры:

dsacls.ехе "ои=Кадры,dc=contoso,dc=com"

Команду Dsacb т а к ж е можно использовать для назначения разрешений, то есть делегирования. Ч т о б ы получить сведения о синтаксисе и методах использования утилиты Dsacls, в командную строку введите команду dsacls.exe /?.

Удаление и сброс разрешений объекта

Как удалить или сбросить делегированные разрешения? К сожалению, команды для отмены делегирования не существует. Д л я удаления разрешений следует использовать диалоговые окна Д о п о л н и т е л ь н ы е параметры безопасности (Advanced Security Settings) и Элемент разрешения (Permission Entry). Чтобы восстановить разрешения объектов по умолчанию, откройте диалоговое окно дополнительных параметров безопасности и щелкните кнопку Восстановить умолчания (Restore Defaults). Р а з р е ш е н и я для класса объекта по умолчанию определяются схемой Active Directory. После восстановления умолчаний можно заново отконфигурировать я в н ы е разрешения, которые требуется добавить в список DACL. Утилита Dsacls тоже обеспечивает переключатель /s для сброса

со всеми его д о ч е р н и м и объектами . Н а п р и м е р , чтобы сбросить разрешения подразделения Кадры и всех его дочерних подразделений и объектов, введите следующую команду:

dsacls "ou=People,dc=contoso,dc=com" /resetDefaultDACL

Действующие разрешения

менения каждой унаследованной и явной записи АСЕ. Например, ваше разрешение сброса паролей может быть получено благодаря членству в группе, которой назначено разрешение Сброс паролей (Reset Password) подразделения, стоящего на несколько уровней в ы ш е в иерархии. Это унаследованное разрешение, назначенное группе, к которой вы принадлежите, получено на основе действующего разрешения Allow::Reset Password. Определение действующих разрешений может быть затруднено изгза сочетания разрешений и запретов