Книга Active directory
.pdf78 |
Администрирование |
Глава 2 |
доступа, явных и унаследованных записей АСЕ и членства во множестве групп, каждой из которых могут быть назначены разные разрешения.
Разрешения, назначаемые учетной записи пользователя и группе, к которой принадлежит пользователь, равнозначны. Рекомендуется назначать разрешения группам, но вы также можете назначать записи АСЕ отдельным пользователям н компьютерам. Непосредственное назначение разрешения пользователю не приведет к тому, что это разрешение получит какой-либо приоритет перед разрешением, назначенным группе, в которую входит пользователь.
Разрешения, подтверждающие право доступа (разрешения allow), — накопительные. Если вы принадлежите к нескольким группам и им разрешено выполнять разные задания, вы сможете выполнять все задания, назначенные всем этим группам, а также назначенные непосредственно вашей учетной записи.
Разрешения, запрещающие доступ (разрешения deny) заменяют равнозначные разрешения доступа. Если вы принадлежите к одной группе, которой разрешено сбрасывать пароли, и к другой, которой это запрещено, вам также будет запрещено сбрасывать пароли.
ПРИМЕЧАНИЕ |
Запрет доступа |
Обычно необходимости в разрешениях deny нет. Если разрешение доступа попросту не назначить, пользователь не сможет выполнять задание. Прежде чем запретить доступ, выясните, можно ли достичь той же цели, удалив разрешения allow. Запрет доступа следует использовать редко и осторожно.
Каждое разрешение можно добавлять и удалять по отдельности. Даже если вам запрещено сбрасывать пароли, вы, имея другие разрешения доступа, сможете менять, к примеру, имя входа пользователя или адрес электронной почты.
И, наконец, как мы уже говорили ранее в этой главе, дочерние объекты по умолчанию наследуют от родительских объектов разрешения, которые можно унаследовать, но явные разрешения могут заменять наследуемые.
К сожалению, сложное взаимодействие разрешений пользователя, группы, явных, унаследованных разрешений и запретов доступа может превратить определение действующих разрешений в очень утомительное занятие. В диалоговом окне Дополнительные параметры безопасности (Advanced Security Settings) объекта Active Directory есть вкладка Действующие разрешения (Effective Permissions), но она практически бесполезна, поскольку не отображает достаточно подробную информацию. Оценку действующих разрешений можно начать с вкладки Разрешения (Permissions) диалогового окна Дополнительные параметры безопасности (Advanced Security Settings) или с помощью инструмента Dsacls, но эту оценку придется выполнять вам самому.
К СВЕДЕНИЮ Управление доступом на основе ролей
Наилучший способ управления делегированием в Active Directory — контроль доступа на основе ролей. Хотя эта методика не включена в сертификационный экзамен, ее стоит изучить для применения в реальной среде.
Занятие 3 |
Делегирование и безопасность объектов Active Directory |
79 |
Проектирование структуры подразделений для поддержки делегирования
Подразделения представляют собой административные контейнеры. Они содержат объекты с аналогичными требованиями администрирования, конфигурации и видимости. Мы рассмотрели первое требование: администрирование. Объекты, администрирование которых будет производиться аналогично и одними администраторами, д о л ж н ы содержаться в одном подразделении. Разместив пользователей в одном подразделении Кадры, вы можете делегировать службе технической поддержки разрешения изменять пароли всех пользователей, назначив одно разрешение одному подразделению. Все остальные разрешения действия с объектом пользователя д л я администратора можно назначить в самом подразделении Кадры . Например, вы можете разрешить отделу кадров отключать учетные записи пользователей при увольнении служащих. Это разрешение опять-таки м о ж н о делегировать подразделению Кадры.
Помните, что администраторы д о л ж н ы входить в свои системы с учетными данными пользователя и запускать административные средства при помощи дополнительной учетной записи, располагающей соответствующими привилегиями на в ы п о л н е н и е заданий администрирования . Эти дополнительные учетные записи я в л я ю т с я у ч е т н ы м и записями администраторов на предприятии. Группе технической п о д д е р ж к и не следует сбрасывать пароли таких привилегированных учетных записей, а руководители отдела кадров не должны отключать административные учетные записи. Поэтому мы создали отдельное подразделение Администраторы д л я объектов административных пользователей. В этом подразделении делегирование будет выполняться несколько иначе, чем в подразделении Кадры.
Аналогичным образом вы можете делегировать группе технической поддержки право добавлять объекты компьютеров в подразделение Клиенты, содержащее объекты настольных систем и ноутбуков. Право создания объектов компьютеров и управления ими в подразделении Серверы следует делегировать только группе администрации серверов.
Основная задача подразделения ( O U ) — эффективное определение области делегирования д л я п р и м е н е н и я р а з р е ш е н и я к объектам и дочерним подразделениям. Проектирование Active Directory всегда следует начинать с проектирования структуры подразделений с целью эффективного делегирования. Эта структура должна отражать м о д е л ь у п р а в л е н и я организации . Как правило, все стандартные учетные записи пользователей поддерживаются одинаково с помощью одной команды. П о э т о м у объекты пользователей часто помещаются в одно подразделение. Д о в о л ь н о часто организация реализует централизованную службу технической поддержки пользователей и помещает все объекты клиентских компьютеров в одно подразделение. Если же в организации нет централизованной службы технической поддержки, подразделение Клиенты может разбиваться на дочерние подразделения, представляющие географическое расположение, чтобы делегировать л о к а л ь н ы м группам технической поддержки разрешение добавлять объекты компьютеров в домен.
gO |
Администрирование |
Глава 2 |
Подразделения следует проектировать в первую очередь для эффективного делегирования объектов в каталоге. Затем нужно с помощью групповой политики определить в проекте конфигурацию компьютеров и пользователей, как описано в главе 6. Проектирование Active Directory — это целое искусство.
Практические занятия. Делегирование задач администрирования
В предложенных далее упражнениях вы займетесь делегированием административных задач в домене contoso.com и просмотрите полученные изменения в списках ACL объектов Active Directory. Перед выполнением упражнений этого занятия вы должны выполнить упражнения занятия 2, поскольку вам потребуется подразделение, созданное на этом занятии.
Упражнение 1. Делегирование управления и поддержки учетных записей пользователей
В этом упражнении вы разрешите группе Справка сбрасывать пароли пользователей и снимать блокировку учетных записей в подразделении Кадры.
1.Войдите на машину SERVER01 как администратор и откройте оснастку Active Directory — пользователи и компьютеры (Active Directory Users and Computers).
2.Разверните узел домена contoso.com, щелкните правой кнопкой мыши подразделение Кадры и примените команду Делегирование управления (Delegate Control), запуская Мастер делегирования управления (Delegation of Control Wizard).
3.Щелкните кнопку Далее (Next).
4.На странице Пользователи или группы (Users or Groups) щелкните кнопку Добавить (Add).
5. В диалоговом окне Выбор (Select) введите имя Справка и щелкните О К .
6.Щелкните кнопку Далее (Next).
7.На странице Делегируемые задачи (Tasks to Delegate) выберите задачу Переустановить пароли пользователей и установить изменение пароля при следующей перезагрузке (Reset User Passwords and Force Password Change at Next Logon).
8.Щелкните кнопку Далее (Next).
9.Просмотрите выбранные действия и щелкните кнопку Готово (Finish).
Упражнение 2. Просмотр делегированных разрешений
В этом упражнении вы просмотрите разрешения, назначенные д л я подразделения Справка.
1.Войдите иа машину SERVER01 как администратор и откройте оснастку Active Directory — пользователи и компьютеры (Active Directory Users and Computers).
2.Щелкните правой кнопкой мыши подразделение Кадры и примените ко- манду Свойства (Properties).
Занятие 3 |
Делегирование и безопасность объектов Active Directory |
8 1 |
|
|
Вкладка Безопасность (Security) не будет отображаться, если не включены Дополнительные компоненты (Advanced Features).
3. Щелкните ОК, чтобы закрыть диалоговое окно Свойства (Properties).
4. Щелкните меню Вид (View) и установите ф л а ж о к Дополнительные параметры компоненты (Advanced Features).
5. Щелкните правой кнопкой м ы ш и подразделение Кадры и примените команду Свойства (Properties) .
6. Перейдите на вкладку безопасность (Security). 7. Щелкните кнопку Д о п о л н и т е л ь н о (Advanced).
8. В списке Элементы разрешений (Permission Entries) выберите первое разрешение, назначенное подразделению Справка.
9. Щелкните кнопку И з м е н и т ь (Edit) .
10. В диалоговом окне Элемент разрешения (Permission Entry) отыщите назначенное разрешение, а затем щелкните О К, чтобы закрыть диалоговое окно.
11.Повторите шаги 8 - 1 0 , чтобы просмотреть второе разрешение подразделения Справка.
12.Повторите шаги 2 - 1 1 , чтобы просмотреть список ACL пользователя в подразделении Кадры и проанализировать унаследованные разрешения, назначенные подразделению Справка.
13. Откройте |
окно к о м а н д н о й |
строки, введите dsacls "ow Кадры,dc^contoso, |
dc-com" и |
нажмите к л а в и ш у |
Enter. |
14. Просмотрите разрешения, назначенные подразделению Справка.
Резюме
м Делегирование у п р а в л е н и я в Active Directory позволяет организации назначать конкретные административные задачи соответствующим подразделениям и отдельным лицам .
•Делегирование представляет собой результат применения разрешений или
записей АСЕ в списке D A C L объектов Active Directory.
•Список D A C L можно просмотреть и модифицировать в диалоговом окне Дополнительные параметры безопасности (Advanced Security Settings), которое открывается при щелчке кнопки Дополнительно (Advanced) в диалоговом окне Свойства (Properties) объекта.
•Мастер делегирования управления (Delegation of Control Wizard) упрощает делегирование задач группам.
•Разрешения объекта м о ж н о сбросить, чтобы восстановить настройки по умолчанию, в диалоговом окне Д о п о л н и т е л ь н ы е параметры безопасности
(Advanced Security Settings) или при помощи команды Dsacls с переключателем /resetDefaultDACL.
ш Для делегирования управления рекомендуется использовать подразделения (OU) . Объекты в подразделениях наследуют разрешения родительских подразделений.
82 |
Администрирование |
Глава 2 |
•Наследование для дочернего объекта можно отключить, а можно изменить, назначив дочернему объекту явное разрешение, заменяющее унаследованное разрешение.
•Действующие разрешения — это результат применения разрешений пользователя, групп, разрешении и запретов доступа, а также унаследованных и явных разрешений. Запреты доступа отменяют разрешения доступа, а явные разрешения отменяют унаследованные. Поэтому явное разрешение доступа отменит унаследованный запрет доступа.
Закрепление материала
Следующий вопрос можно использовать для проверки знаний, полученных на занятии 3. Этот вопрос есть на сопроводительном компакт-диске.
ПРИМЕЧАНИЕ Ответы
Ответ на этот вопрос с пояснениями, почему тот или иной вариант ответа правилен или неверен, вы найдете в разделе «Ответы» в конце книги.
1. Вы хотите разрешить подразделению справки сбрасывать пароли пользователей и разблокировать учетные записи пользователей. Какой из инструментов использовать для этого? (Укажите все варианты.)
A. Мастер делегирования управления (Delegation of Control Wizard). Б. Утилита dsacls.
B. Утилита dsutil.
Г. Диалоговое окно Дополнительные параметры безопасности (Advanced Security Settings).
Закрепление материала главы
Для того чтобы попрактиковаться и закрепить знания, полученные при изучении представленного в этой главе материала, вам необходимо:
•ознакомиться с резюме главы;
•ш повторить используемые в главе основные термины;
•изучить сценарий, в котором описана реальная ситуация, требующая применения полученных знаний, и предложить свое решение;
•выполнить рекомендуемые упражнения;
•сдать пробный экзамен с помощью тестов.
Резюме главы
•Оснастку Active Directory — пользователи и компьютеры (Active Directory Users And Computers), включенную в Диспетчер сервера (Server Manager) в виде отдельной консоли, можно использовать для добавления настраиваемых консолей и распространения их среди администраторов.
•При создании объектов в оснастке Active Directory — пользователи и компьютеры нужно конфигурировать лишь ограниченный набор начальных параметров. После создания объекта можно заполнить много других пара-
Сценарий 83
метров. Эти свойства используются в сохраненных запросах для создания настраиваемых представлений объектов предприятия.
•Для делегирования полномочий администрирования следует использовать подразделения (Organizational Unit), чтобы отделы предприятия играли соответствующие роли в организации. При включенном наследован™ объекты наследуют разрешения своих родительских подразделений.
Основные термины
Запомните перечисленные далее термины, чтобы лучше понять описываемые концепции.
• Д е л е г и р о в а н и е Н а з н а ч е н и е административной задачи. Делегирование
в Active Directory производится путем модификации списка DACL объекта. В качестве распространенного примера делегирования можно привести разрешение службе технической поддержки сбрасывать пароли пользователей.
•Сохраненный з а п р о с Представление объектов Active Directory на основе критерия поиска. С п о м о щ ь ю узла Сохраненные запросы (Saved Queries) в оснастке Active Directory — пользователи и компьютеры (Active Directory
Users And C o m p u t e r s ) м о ж н о указать тип и свойства объектов, которые требуется найти. Результаты выводятся в панели сведений оснастки.
Сценарий. Подразделения и делегирование
В следующем сценарии вы примените изученную информацию об оснастках Active Directory, а также создании объектов, делегировании и безопасности. Ответы на вопросы можно найти в разделе «Ответы» в конце книги.
Вы работаете администратором компании Contoso, Ltd. Структура Active Directory компании была создана, когда она была еще очень мала. Было создано одно подразделение д л я пользователей и одно д л я компьютеров. В настоящее время организация охватывает пять географических сайтов и в ней работает более 1000 служащих. На каждом сайте один или два сотрудника обеспечивают техническую поддержку пользователей, а также отвечают за установку
систем и их п р и с о е д и н е н и е |
к домену. Кроме того; иногда |
небольшая груп- |
па сотрудников в главном |
о ф и с е устанавливает системы, |
присоединяет их |
к домену и распространяет на сайт. Если пользователь забыл свой пароль, звонок в службу технической поддержки переводится на одного из сотрудников персонала поддержки независимо от сайта, где расположен пользователь. Ответьте на следующие вопросы руководителя, который ведает управляемостью и обеспечением минимального уровня привилегий, и объясните, как управлять делегированием.
1. Оставить ли объекты компьютеров в одном подразделении или их следует распределить по сайтам? В случае распределения должны ли подразделения сайтов быть дочерними контейнерами одного родительского подразделения?
2. Делегировать Ли право управления объектами компьютеров в узлах непосредственно учетным записям пользователей персонала технической поддержки или все же лучше создать группы, даже если они будут содержать по одному члену?
84 |
Администрирование |
Глава 2 |
3. Распределить ли пользователей в соответствии с сайтами или все же оставить их в одном подразделении?
Практические задания
Чтобы успешно подготовиться к сертификационному экзамену, выполните следующие задания.
Поддержка учетных записей Active Directory
В этом задании вы проверите успех делегирования и выясните, что произойдет, если администратор попытается выполнить задание, которое не было ему делегировано. Вы также проанализируете результаты наследования и защиту подразделения.
Перед выполнением этих упражнений нужно выполнить упражнения занятий 2 и 3. В частности, проверьте следующее.
•Подразделение Администраторы должно содержать учетную запись пользователя и группу Справка.
•Должна быть учетная запись для Барбары Майер и хотя бы одна учетная запись в подразделении Кадры.
•Пользователю Барбаре Майер следует быть членом группы Справка.
•Группе Справка должны быть делегированы разрешения Переустановить пароли пользователей и установить изменение пароля при следующей перезагрузке (Reset User Passwords and Force Password Change at Next Logon) для подразделения Кадры.
Кроме того, необходимо, чтобы группа Пользователи домена (Domain Users) была членом группы Операторы печати (Print Operators), которая находится
вконтейнере Builtin, с тем чтобы все пользователи в учебном домене могли входить на контроллер домена SERVER01. Это требуется д л я в ы п о л н е н и я практических занятий настоящего руководства, но разрешать пользователям входить на контроллеры домена в производственной среде нельзя. Поэтому
впроизводственной среде не следует включать группу Пользователи домена
вгруппу Операторы печати.
•Упражнение 1 Войдите на машину SERVER01 как пользователь Барбара Майер (она входит в группу Справка). Убедитесь, что Барбара может сбрасывать пароли других пользователей и собственный пароль в подразделении Кадры. Затем попытайтесь изменить пароль учетной записи в подразделении Администраторы. Проанализируйте результат.
•Упражнение 2 Войдите на машину SERVER01 как Администратор (Administrator). В подразделении Кадры создайте новое подразделение Ф и л и - ал. При создании подразделения Филиал проверьте, установлен ли флажок Защитить контейнер от случайного удаления (Protect Container From Accidental Deletion). В конце занятия вы удалите это подразделение. Создайте в этом подразделении учетную запись пользователя. Откройте список DACL
объекта пользователя в диалоговом окне Дополнительные параметры безопасности (Advanced Security Settings). Просмотрите разрешения, ШЗПсГ
Пробный экзамен |
85 |
ченные подразделению Справка: оии явные или унаследованные? Если эти разрешения унаследованы, то откуда? В диалоговом окне Дополнительные параметры безопасности откройте список DACL подразделения Филиал . Сбосьте флажок Добавить разрешения, наследуемые от родительских объектов (Include Inheritable Permissions From This Object's Parent).
Выйдите из системы и вновь войдите как пользователь Барбара Майер. Убедитесь, что Барбара может сбросить пароль пользователя в подразделении Кадры. После этого попытайтесь сбросить этот пароль в подразделении Филиал. В доступе будет отказано.
Выйдите из системы и вновь войдите как администратор. Устраните ошибку доступа Барбары, восстановив наследование для подразделения Филиал . Выйдите из системы и вновь войдите к а к пользователь Барбара, чтобы проверить результат. М о ж е т ли она сбросить пароль пользователя в подразделении Ф и л и а л ?
• Упражнение 3 Войдите на машину S E R V E R 0 1 как пользователь Барбара Майер. Попытайтесь удалить подразделение Филиал . В доступе будет отказано. Выйдите из системы и вновь войдите как администратор. Попытайтесь удалить подразделение Ф и л и а л . В доступе будет отказано. Откройте свойства подразделения Ф и л и а л . Перейдите на вкладку Объект (Object). Если эта вкладка не отображается, включите представление Дополнительные компоненты (Advanced Features) в оснастке Active Directory — пользова-
тели и к о м п ь ю т е р ы |
(Active |
Directory Users And |
Computers) . На вклад- |
||
ке Объект снимите |
з а щ и т у |
подразделения Ф и л и а л . И, |
наконец, |
удалите |
|
подразделение Ф и л и а л вместе с содержащейся |
в нем |
учетной |
записью |
||
пользователя. |
|
|
|
|
|
Пробный экзамен
На прилагаемом к книге к о м п а к т - д и с к е представлено несколько вариантов тренировочных тестов. Проверка знаний выполняется или только по одной теме сертификационного экзамена 7 0 - 6 4 0 , или по всем экзаменационным темам. Тестирование можно организовать таким образом, чтобы оно проводилось как экзамен, либо настроить на р е ж и м обучения. В последнем случае вы сможете после каждого своего ответа на в о п р о с просматривать правильные ответы и пояснения.
ПРИМЕЧАНИЕ |
Пробный экзамен |
Подробнее о пробном экзамене рассказано во введении к данной книге.
Г Л А В А |
3 |
Пользователи
Занятие 1. |
Автоматизация процесса создания учетных записей пользователей |
87 |
Занятие 2. |
Создание пользователей с помощью Windows PowerShell и VBScript |
98 |
Занятие 3. |
Поддержка пользовательских объектов и учетных записей |
114 |
В главе 1 доменные службы Active Directory AD DS (Active Directory Domain Services) представлены как решения, связанные с идентификацией и доступом. Учетные записи пользователей, которые хранятся в каталоге, я в л я ю т с я основополагающими компонентами процесса идентификации . Поэтому знание принципов выполнения задач, связанных с поддержкой учетных записей
пользователей, играет очень важную роль в успешном |
а д м и н и с т р и р о в а н и и |
предприятия. |
' |
Навыки, необходимые для создания и модификации отдельной "учетной записи, описаны в главе 2. Однако эти методы могут оказаться н е э ф ф е к т и в - ными при работе с большим количеством учетных записей, в частности при создании учетных записей новых служащих.
В настоящей главе речь пойдет о применении различных средств и технологий для автоматизации процесса создания пользователей и управления ими, а также для локализации объектов пользователей и выполнения м а н и п у л я ц и й с их атрибутами. Кроме того, вы ознакомитесь с командной оболочкой Microsoft Windows PowerShell, которая в будущем будет использоваться технологиями Windows для автоматизации администрирования с помощью командной строки. Также будут рассмотрены различные варианты выполнения всех распространенных административных задач.
На сертификационном экзамене требуется лишь знание основного синтаксиса и назначения утилит командной строки, Windows PowerShell и Microsoft Visual Basic Script (VBScript). Однако в данной главе дается более обширное введение в основы сценариев и автоматизации. Попрактиковавшись в создании сценариев, вы сможете не только качественно подготовиться к сертификационному экзамену, но и повысить свои навыки в автоматизации утомительных административных задач и, соответственно, эффективность своей работы.
Темы экзамена:
•Создание и поддержка объектов Active Directory.
•Автоматизация создания учетных записей Active Directory.
•Поддержка учетных записей Active Directory.
Занятие 1 |
Автоматизация процесса создания учетных записей пользователей |
g-f |
|
Прежде всего
Для выполнения упражнений в этой главе нужен контроллер SERVER01 домена contoso.com. Создание домена и контроллера домена описано в главе 1.
История и з ж и з н и
Дэн Холме
Администраторы Windows тратят очень много времени на выполнение базовых задач, связанных с объектами пользователей. Каждый день в корпоративной сети нужно решать множество проблем, связанных с управлением пользователями. Служащие приходят в организацию, перемещаются из отдела в отдел, женятся или выходят замуж, разводятся и, в конце концов, покидают компанию. Администраторы — тоже люди и могут допускать ошибки, например забывать пароли или некорректными действиями блокировать свои учетные записи.
Администраторы должны реагировать не все эти изменения, а пользовательские учетные записи обладают таким количеством свойств, что даже опытные администраторы часто нарушают собственноручно установленные процедуры и соглашения. Я уверен, что ключом к обеспечению эффективных, согласованных и безопасных пользовательских сред служит повышение навыков администраторов.
Занятие 1. Автоматизация процесса создания
учетных записей пользователей
В главе 2 мы обсуждали, как создать учетную запись пользователя в оснастке Active Directory — пользователи и компьютеры (Active Directory Users and Computers). Поскольку описанные там процедуры можно применять для создания небольшого числа пользователей, вам потребуются расширенные технологии д л я автоматизации процесса создания учетных записей пользователей при добавлении значительного количества пользователей в домен. На этом занятии вы изучите некоторые предназначенные для этого технологии.
Изучив материал этого занятия, вы сможете:
•S Создавать пользователей с помощью шаблонов пользовательских учетных записей.
S Импортировать пользователей с помощью утилиты CSVDE. S Импортировать пользователей с помощью утилиты LDIFDE.
Продолжительность занятия — около 30 мин.
Создание пользователей с помощью шаблонов
Пользователи в домене часто обладают сходными свойствами. Например, все менеджеры по продажам могут принадлежать к одним группам безопасности, входить в сеть примерно в одно и то же рабочее время, хранить домашние папки и перемещаемые п р о ф и л и на одном сервере. Поэтому при создании нового пользователя, вместо того чтобы создавать пустую учетную запись