Книга Active directory

XXII Введение

документа), следовательно, просматривать ее можно с помощью программ Adobe Acrobat и Adobe Reader.

Установка заданий пробного экзамена

Вам необходимо установить с компакт-диска на жесткий диск задания, которые следует выполнить для подготовки к сдаче пробного экзамена.

1. Вставьте компактдиск в дисковод и примите условия лицензионного соглашения. На экран монитора будет выведено меню компакт - диска .

Если условия лицензионного соглашения на экране не отобразились или если не появилось меню компакт-диска, возможно, на вашем компьютере отключена функция автозапуска. Указания относительно альтернативного способа ее установки вы найдете на компакт-диске в файле Readme.txt.

2. Щелкните элемент Practice Tests и следуйте выводимым на экране у к а з а - ниям.

ПРИМЕЧАНИЕ Занятия и практические тесты

Если вы хотите попытаться ответить на какие-либо вопросы из подраздела «Закрепление материала», сопровождающего каждое занятие, выберите Lesson review\(70-640) TS: Configuring Windows Server 2008 Active Directory. Для того чтобы ответить на любые из 200 вопросов, аналогичных вопросам сертификационного экзамена 70-640, выберите Practice test\(70-640) TS: Configuring Windows Server 2008 Active Directory.

Закрепление материала

Чтобы закрепить пройденный материал, откройте диалоговое о к н о C u s t o m Mode и настройте процедуру тестирования. Вы можете щелкнуть ОК и п р и н я т ь параметры по умолчанию или же определить количество вопросов, р е ж и м рабо'-- ты программы, а также указать, какие экзаменационные темы д о л ж н ы затраги - вать эти вопросы и нужно ли фиксировать время, затрачиваемое на подготовку

•Для того чтобы начать опрос, щелкните кнопку ОК .

•Отвечая на вопросы теста, переходите от одного вопроса к другому с по - мощью кнопок Next, Previous и Go То.

«Если вы хотите выяснить, правильно ли ответили на вопрос, а т а к ж е получить объяснения, щелкните Explanation.

•Чтобы узнать результаты тестирования, щелкните Score Test. Вы у в и д и т е краткий перечень выбранных экзаменационных тем и общее КОЛИЧбСТВО

Введение XXIII

(в процентах) правильных ответов на тест, а также количество правильных ответов по конкретной теме. У вас имеется возможность распечатать копию в ы п о л н е н н о г о теста, просмотреть свои ответы или пройти тест повторно.

•Custom M o d e Режим, который предоставляет вам возможность настроить тест по своему усмотрению .

Во всех р е ж и м а х используется фактически один и тот же пользовательский и н т е р ф е й с , с той л и ш ь разницей, что отменяются некоторые возможности.

П р о с м а т р и в а я свой ответ на конкретный вопрос, вы увидите раздел References с у к а з а н и е м того, где можно найти информацию по затронутой теме. После того к а к вы щелкнете Test Results, чтобы узнать результаты теста, перейдите на в к л а д к у Learning Plan и просмотрите список ссылок по каждому вопросу.

Удаление ПО для пробного экзамена

При необходимости удалить программное обеспечение, используемое для сдачи пробного экзамена, на панели управления щелкните значок Установка и удаление ( A d d Or Remove Programs), если работаете в Windows ХР, либо Программы и к о м п о н е н т ы ( P r o g r a m s And Features) — при работе в Windows Vista.

Программа сертификации специалистов Microsoft

С е р т и ф и к а ц и я Microsoft обеспечивает наилучший метод проверки того, насколько х о р о ш о специалист либо члены одной команды знают продукты и технологии Microsoft . П о р я д о к сдачи экзаменов и механизм выдачи соответству- ю щ и х с е р т и ф и к а т о в разработаны с целью подтверждения профессиональных навыков в области проектирования и разработки либо реализации и поддержки

Полный список сертификатов Microsoft можно найти по адресу www.microsoft.com/ learning/тер/default.asp

XXIV Введение

Техническая поддержка

Свои комментарии, вопросы и предложения относительно содержимого книги и прилагаемого к ней компакт-диска отправляйте в издательство Microsoft Press. - '

« Адрес электронной почты: tkinput@microsoft.com

« Почтовый адрес:

Microsoft Press

Attn: MCITS Self-Paced Training Kit (Exam 70 - 640): Configuring W i n d o w s Server 2008 Active Directory, Editor

One Microsoft Way Redmond, WA 98052-6399

Дополнительную информацию по рассматриваемым в издании темам, а так - же ответы на часто задаваемые вопросы об установке и использовании различ - ных продуктов можно найтн на веб-сайте Microsoft Press Technical S u p p o r t по адресу http://www.microsoft.com/learning/support/books. Если вы захотите подключиться к базе знаний Microsoft, с тем чтобы непосредственно вводить свои запросы, откройте страницу http://support.microsoft.com/search. И н ф о р м а ц и я о программном обеспечении Microsoft представлена на сайте http://support. microsoft.com.

Благодарности

Нельсон, Даниэль, Тони н я хотели бы выразить огромную благодарность сотрудникам издательства Microsoft Press за распространение учебных матери - алов по сертификации Windows Server 2008. Начну с Л а у р ы Сокерман и К е н а Джонса: вы собрали нас вместе в 2007 году и создали довольно э ф ф е к т и в н у ю структуру, которая подготовила, как нам кажется, великолепный ресурс д л я IT-специалистов. Спасибо вам за то, что дали нам возможность написать книгу о любимой технологии Windows! Выражаем признательность М о р и н З и м м е р - ман — за ее неустанное внимание к деталям процесса, за поддержку и терпение, а также за то, что сумела заставить нас довести дело до конца. Боб Хоган, В а м огромное спасибо за ценные идеи и советы! Спасибо Керин Ф о р с и т за о ф о р м - ление издания! Выражаем благодарность Бобу Дин за формулировку вопросов практических упражнений. Крис Нортон, без Вас мы не смогли бы написать ни одной страницы этого руководства. Спасибо всем!

И, конечно же, мы благодарим свои семьи, друзей, муз, которые поддержи - вали нас во время работы над книгой.

Установка

К омпоне нт Active Directory Domain Services (AD DS) и связанные с ним службы формируют основу корпоративных сетей Microsoft Windows. Они хранят данные о подлинности пользователей, компьютеров и служб, а следовательно, их можно использовать для проверки подлинности пользователя или компьютера. Кроме того, указанные средства предоставляют пользователям и компьютерам механизм получения доступа к ресурсам предприятия. В начале этой главы мы рассмотрим службу Active Directory системы Windows Server 2008, расскажем об установке роли Доменные службы Active Directory (Active Directory Domain Services) и о создании контроллера домена в новом лесу Active Directory. В системе Windows Server 2008 усовершенствованы многие концепции и компоненты Active Directory, с предыдущими версиями которых вы, возможно, уже знакомы.

Данная глава посвящена созданию нового леса Active Directory с одним доменом на одном контроллере домена. В ее практических упражнениях представлен процесс создания домена contoso.com, который будет использоваться и в последующих практических упражнениях этого руководства. Позднее (в главах 8, 10 и 12) мы рассмотрим другие сценарии, включая леса с множеством доменов, обновление существующих лесов до Windows Server 2008 и дополнительные опции установки. Наконец, в главах 14-17 будут описаны такие службы Active Directory, как службы облегченного доступа к каталогам (Active Directory Lightweight Directory Services), сертификации Active Directory (Active Directory Certificate Services) с инфраструктурой публичных ключей, управления правами Active Directory (Active Directory Rights Management Service), федерации Active Directory (Active Directory Federated Services).

Темы экзамена:

•Настройка инфраструктуры Active Directory.

•Настройка леса либо домена.

2 Установка

Прежде всего

Для выполнения упражнений данной главы вам понадобятся следующие аппаратные и программные средства.

•Два компьютера с установленной системой Windows Server 2008. О н и

памяти, 10 Гбайт свободного пространства на жестком диске и процессор х86 с минимальной тактовой частотой 1 ГГц или процессор х64 с минималь - ной тактовой частотой 1,4 ГГц. Можно также использовать в и р т у а л ь н ы е машины, соответствующие тем же требованиям.

« Оценочная версия системы Windows Server 2008. На время написания данной книга оценочные версии были доступны на домашней странице этой системы по адресу http://www.microsoft.com/windowsseiver2008.

История из жизни

Дэн Холме

Контроллеры доменов проверяют подлинность и контролируют управление доступом, что очень важно для целостности и безопасности предприятия Windows. Поэтому в большинстве организаций контроллер домена выполняет лишь функции серверов файлов и печати.

Впредыдущих версиях Windows при повышении ранга рядового сервера до контроллера домена другие службы оставались доступными независимо от их использования. Для этих дополнительных ненужных служб надо было вносить исправления в систему безопасности и обновлять ее, не говоря уже о дополнительных угрозах безопасности для контроллера домена.

Всистеме Windows Server 2008 эти проблемы устранены благодаря архитектуре на основе ролей. При ней сервер начинает свой жизненный цикл с весьма ограниченной установки системы Windows, в которую потом добавляются роли,

атакже связанные с ними службы и компоненты. Посредством установки ядра сервера (Server Core) системы Windows Server 2008 производится минимальная установка системы Windows, в которой нет даже графического пользовательского интерфейса (GUI) и есть только командная строка. В этой главе вы ознакомитесь

сэтими важными характеристиками контроллеров доменов системы Windows Server 2008. Такие изменения архитектуры и набора компонентов помогут вам повысить безопасность, стабильность и управляемость инфраструктуры проверки подлинности и управления доступом.

Занятие 1. Установка доменных служб Active Directory

Доменные службы Active Directory (Active Directory Domain Services, AD D S ) обеспечивают идентификацию и доступ (Identity and Access, I D A ) д л я к о р п о - ративных сетей. На этом занятии мы рассмотрим AD DS и другие р о л и Active Directory, поддерживаемые в системе Windows Server 2008. Мы также обсудим

Диспетчер сервера (Server Manager), с помощью которого можно конфигурировать роли сервера, а также усовершенствованный Мастер установки доменных служб Active Directory (Active Directory Domain Services Installation Wizard). Здесь т а к ж е описаны ключевые концепции IDA и Active Directory.

Изучив материал этого занятия, вы сможете:

УОписать роль идентификации и доступа в корпоративной сети.

УПонимать связь между службами Active Directory.

УКонфигурировать контроллер домена с ролыо Доменные службы Active Directory (AD DS) посредством интерфейса системы Windows.

Продолжительность занятия — около 60 мин.

Структура Active Directory, идентификация и доступ

Как уже говорилось в начале этой главы, структура Active Directory обеспечивает и д е н т и ф и к а ц и ю и доступ IDA для корпоративных сетей Windows. Решение IDA н е о б х о д и м о д л я поддержки безопасности корпоративных ресурсов, в том числе ф а й л о в , электронной почты, приложений и баз данных. Инфраструктура I D A д о л ж н а в ы п о л н я т ь следующие задачи.

•Хранение информации о пользователях, группах, компьютерах и других

объектах идентификации Объект идентификации (identity) — это пред-

с т а в л е н и е сущности, в ы п о л н я ю щ е й какие-то действия в корпоративной сети. П р е д п о л о ж и м , что пользователь открывает документы в общей папке на сервере. О н и защищены разрешениями списка контроля доступа (Access C o n t r o l List, ACL). Доступом к документам управляет подсистема безопас-

доступ . П о с к о л ь к у компьютеры, группы, службы и другие объекты тоже в ы п о л н я ю т определенные действия в сети, они должны быть представлены объектами идентификации . Среди информации об объекте идентификации, к о т о р а я хранится, есть свойства, уникальным образом идентифицирующие объект, н а п р и м е р и м я пользователя либо идентификатор безопасности (Security Identifier, SID), а также пароль объекта идентификации. Таким образом, хранилище объектов идентификации является одним из компонентов и н ф р а с т р у к т у р ы IDA. В хранилище данных Active Directory, которое также н а з ы в а е т с я каталогом, хранятся объекты идентификации. Самим хранилищем у п р а в л я е т контроллер домена — сервер, играющий роль AD DS.

• Проверка подлинности объекта идентификации Сервер не предоставляет п о л ь з о в а т е л ю доступа к документу, пока не будет подтверждена подлинность объекта идентификации, представленного в запросе доступа. Что-

I •| g Установка Глава1

Проверка подлинности Kerberos в домене Active Directory

В домене Active Directory для проверки подлинности объектов идентификации используется протокол Kerberos. Когда пользователь или компьютер входит в сеть домена, этот протокол проверяет подлинность указанных реквизитов и выдает пакет данных, который называется билетом на получение разрешения TGT (Ticket Granting Ticket). Перед подключением пользователя к серверу для запроса документа на контроллер домена пересылается запрос Kerberos вместе с билетом TGT, который идентифицирует пользователя, прошедшего проверку подлинности. Контроллер домена выдает пользователю еще один пакет данных, который называется билетом доступа к службе. Этот билет идентифицирует прошедшего проверку подлинности пользователя на сервере. Пользователь предоставляет билет на доступ службе на сервере, который принимает его как подтверждение прохождения проверки подлинности.

В результате выполнения таких действий протоколу Kerberos требуется лишь один сетевой вход. После начального входа пользователя либо компьютера и получения им билета TGT пользователь проходит проверку подлинности для всего домена и может получать идентификационные билеты на доступ к службам. Всеми этими операциями с билетами прозрачно для пользователя управляют клиенты и службы Kerberos, встроенные в систему Windows.

ваемый в системе Windows Server 2008. В версии Windows Server 2008 корпора - ция Microsoft объединила множество ранее разделенных компонентов в интег - рированную платформу IDA. Сама структура Active Directory теперь включает пять технологий, назначение которых очевидно из их названий (рис. 1-1). Э т и технологии полностью реализуют идентификацию и доступ IDA.

•Доменные службы Active Directory (Active Directory D o m a i n S e r v i c e s ) —

ганизации. Они проверяют подлинность и авторизацию в сети, а т а к ж е поддерживают управление объектами с помощью групповой п о л и т и к и . Кроме того, службы AD DS обеспечивают управление и н ф о р м а ц и е й и общим доступом к службам, помогая пользователям находить в к а т а л о г е различные компоненты: файловые серверы, принтеры, группы и других

пользователей. По этой причине AD DS часто называют службой каталогов сетевой операционной системы. Службы AD DS представляют основную технологию Active Directory, поэтому они должны быть развернуты в каждой сети с операционной системой Windows Server 2008. Доменные службы Active Directory описаны в главах 1 - 1 3 .

Службы облегченного доступа к каталогам Active Directory

(AD LDS)

Службы управления правами Active Directory (AD RMS)

Легенда

Интеграция технологий Active Directory Потенциальные связи

Рис. 1-1. Интеграция пяти технологий Active Directory

Вкачестве руководства по проектированию Active Directory можно бес-

пл а т н о загрузить главу 4 «Designing the Active Directory» книги «Windows Server 2003, Best Practices for Enterprise Deployments» по адресу http://www. reso-net.com/Documents/007222343X_Ch03.pdf.

К СВЕДЕНИЮ Проектирование AD DS

Обновленную информацию о проектировании доменных служб Active Directory можно найти в книге RuestD., RuestN. Windows Server 2008: The Complete Reference: McGraw-Hill Osborne.

Она обеспечивает поддержку приложений каталогов. Компонент AD LDS фактически является поднабором AD DS, поскольку оба компонента основаны на одном коде ядра. Каталог AD LDS хранит и реплицирует только данные приложений. Его часто используют приложения, которым необходимо хранилище каталогов, но не требуется реплицировать и н ф о р м а ц и ю на все контроллеры доменов. Кроме того, службы AD LDS дают возмож - ность развернуть настраиваемую схему для поддержки п р и л о ж е н и я без модификации схемы AD DS. Роль AD LDS облегченная. Она поддерживает множество хранилищ данных в одной системе, чтобы каждое п р и л о ж е н и е можно было развернуть с собственным каталогом, схемой, н а з н а ч е н н ы м облегченным протоколом доступа к каталогам L D A P (Lightweight Directory Access Protocol), портами SSL и журналом событий приложения . Р о л ь AD LDS не зависит от служб AD DS, поэтому ее можно использовать в автономной среде либо рабочей группе. Однако в доменных средах эта р о л ь м о ж е т использоваться службами AD DS для проверки принципалов безопасности системы Windows (пользователей, групп и компьютеров). Кроме того, р о л ь AD LDS можно применять для реализации служб проверки подлинности в открытых сетях (например, в экстрасети). При использовании данной роли в такой ситуации угроза безопасности меньше, чем при использовании AD DS. Службы AD LDS описаны в главе 14.

•Службы сертификации Active Directory (Active D i r e c t o r y C e r t i f i c a t e S e r -

vices) — Доверие Организации могут использовать службы с е р т и ф и к а ц и и AD CS в инфраструктуре открытых ключей PKI (Public Key Infrastructure),

либо службы к соответствующему частному ключу. С е р т и ф и к а т ы м о ж н о

для поддержки таких приложений: защищенных беспроводных сетей, вир -

(Encrypting File System), цифровых подписей и многих других. С л у ж б ы AD CS предоставляют эффективный и безопасный способ выдачи серти - фикатов и управления ими. С их помощью можно делать это д л я в н е ш н и х сообществ. В таких случаях следует связать службы AD CS с каким - нибудь известным внешним центром сертификации (СА), который п о д т в е р д и т вашу подлинность. Роль AD CS предназначена д л я создания «островков доверия» в ненадежном мире, поэтому она должна использовать н а д е ж н ы е процессы, которые подтверждают, что подлинность всех персон и к о м - пьютеров, получивших сертификат, тщательно проверена и подтверждена . Во внутренних сетях службы AD CS можно интегрировать со с л у ж б а м и AD DS, чтобы пользователи и компьютеры автоматически получали сертификаты. Роль AD CS описана в главе 15. Более подробные с в е д е н и я об инфраструктуре PKI и ее применении в организации можно найти по

•Службы управления правами Active Directory (Active Directory Rights

Management Services) — Целостность Хотя сервер Windows может запрещать и разрешать доступ к документу на основе списка контроля доступа ACL, можно несколькими способами следить за дальнейшими операциями с документом и его содержимым после открытия документа пользователем. С л у ж б ы у п р а в л е н и я правами Active Directory (AD RMS) предоставляют технологию з а щ и т ы информации, с помощью которой можно реализовать ш а б л о н ы у с т о й ч и в ы х политик использования, задающих разрешенное и неавторизованное применение в сети, вне ее, а также внутри и вне периметра брандмауэра . Например, для пользователей можно сконфигурировать шаблон, который разрешает читать документ, но запрещает печатать и к о п и р о в а т ь его содержимое. Таким образом можно гарантировать целостность г е н е р и р у е м ы х данных, защитить интеллектуальную собственность

Microsoft S Q L Server 2008, клиент AD RMS (он доступен в центре загрузок Microsoft, а т а к ж е по умолчанию включен в версии Windows Vista и Windows Server 2008), а также обозреватель или приложение RMS, например Microsoft I n t e r n e t Explorer, Microsoft Office, Microsoft Word, Microsoft Outlook и л и Microsoft PowerPoint . В службах AD R M S может использоваться роль AD CS д л я вложения сертификатов в документы, а также роль AD DS

защиту прав идентификации и доступа вне периметра безопасности. В среде федерации организации поддерживают и контролируют собственные объекты и д е н т и ф и к а ц и и , однако могут также безопасно проектировать объекты и п р и н и м а т ь их из других организаций. Пользователи проходят проверку п о д л и н н о с т и в одной сети, но могут получать доступ к ресурсам в другой. Этот процесс называется единым входом SSO (Single Sign-On). Роль AD FS поддерживает партнерские отношения, поскольку она дает различным о р г а н и з а ц и я м возможность получать общий доступ к приложениям в экстрасети, при этом используя для реальной проверки подлинности свои внутренние с т р у к т у р ы AD DS. С этой целыо данная роль расширяет внутрен- н ю ю структуру AD DS во внешний мир через T C P / I P - п о р т ы (Transmission Control P r o t o c o l / I n t e r n e t Protocol) 80 ( H T T P ) и 443 (Secure H T T P либо H T T P S ) . О б ы ч н о роль AD FS размещена вдоль периметра сети. Службы AD FS могут использовать роль AD CS для создания доверенных серверов,