- •Методология внедрения Microsoft Active Directory
- •Общая информация о курсе
- •Лекция 1. Введение в active directory
- •Определение каталога и службы каталогов
- •Назначение службы каталогов
- •Функции службы каталогов
- •Преимущества Active Directory
- •Краткие итоги
- •Лекция 2. Проектирование active directory
- •Основные понятия службы каталогов
- •Область действия
- •Пространство имен
- •Контейнер
- •Контексты имен (сегменты, разделы)
- •Доверительные отношения
- •Доменное дерево
- •Организационные единицы (подразделения)
- •Сайт (узел)
- •Сбор и анализ информации
- •План проектирования структуры Active Directory
- •Краткие итоги
- •Лекция 3. Архитектура active directory
- •Модель данных
- •Функциональная структура
- •Логическая структура
- •Физическая структура
- •Контроллеры доменов и их роли
- •Концепция сайтов
- •Краткие итоги
- •Лекция 4. Планирование развертывания active directory
- •План-график развертывания
- •Анализ существующей инфраструктуры
- •Планирование структуры Active Directory
- •Проектирование структуры леса
- •Проектирование доменной структуры
- •Применение одного домена
- •Использование нескольких доменов
- •Проектирование корневого домена леса
- •Краткие итоги
- •Лекция 5. Модели построения лесов и детализация доменной структуры
- •Варианты построения леса
- •Единый лес, каждый регион — отдельное дерево
- •Единый лес, административный корневой домен, каждый регион — домен
- •Единый лес, каждый регион — дочерний домен центрального домена
- •Применение нескольких лесов
- •Случаи реализации нескольких лесов
- •Недостатки структуры из нескольких лесов
- •Детализация доменной структуры
- •Повторение существующей доменной структуры
- •Несколько лесов, минимальное количество доменов
- •Единый лес
- •Назначение владельцев доменов
- •Краткие итоги
- •Лекция 6. Стратегия именования объектов
- •Соглашение об именовании
- •Относительные составные имена
- •Составные имена
- •Канонические имена
- •Основные имена пользователей
- •Краткий обзор dns
- •Служба dns Locator
- •Интегрированные зоны Active Directory
- •Определение стратегии именования
- •Идентификаторы защиты
- •Правила имен участников системы безопасности
- •Правила именования доменов
- •Краткие итоги
- •Лекция 7. Планирование инфраструктуры dns и структуры ou
- •Проектирование инфраструктуры dns
- •Исследование существующей инфраструктуры dns
- •Выбор доменных имен dns
- •Проектирование структуры ou
- •Планирование иерархии ou
- •Стандартные модели структуры ou
- •Модель структуры ou на основе местоположения
- •Модель структуры ou на основе структуры организации
- •Модель структуры ou на основе функций
- •Смешанная модель структуры ou — сначала по местоположению, затем по структуре организации
- •Смешанная модель структуры ou — сначала по структуре, затем по местоположению
- •Типовая конфигурация ou
- •Краткие итоги
- •Лекция 8. Стратегия управления учетными записями
- •Типы учетных записей
- •Планирование учетных записей компьютеров
- •Планирование учетных записей пользователей
- •Типы учетных записей пользователей
- •Правила именования учетных записей
- •Планирование политики сетевой безопасности
- •Планирование групп
- •Планирование групповой политики
- •Разрешение gpo из нескольких источников
- •Наследование групповой политики
- •Планирование структуры gpo
- •Связывание gpo с доменом
- •Связывание gpo с сайтом
- •Связывание gpo с ou
- •Краткие итоги
- •Лекция 9. Планирование топологии сайтов
- •Планирование структуры сайта
- •Инфраструктура топологии сети
- •Создание модели сайта
- •Проектирование размещения серверов
- •Размещение dns-серверов
- •Размещение контроллеров домена
- •Размещение серверов глобального каталога
- •Размещение серверов хозяев операций
- •Краткие итоги
- •Лекция 10. Репликация в active directory
- •Модель репликации Active Directory
- •Планирование стратегии репликации
- •Репликация внутри сайта
- •Репликация между сайтами
- •Виды реплицируемой информации
- •Протоколы репликации
- •Процесс репликации
- •Краткие итоги
- •Лекция 11. Внедрение active directory
- •Развертывание Active Directory
- •Установка службы каталога Active Directory
- •Предварительные условия установки Active Directory
- •Мастер установки
- •Конфигурирование dns для Active Directory
- •База данных и общий системный том
- •Режимы домена
- •Тестирование Active Directory
- •Краткие итоги
- •Лекция 12. Миграция данных
- •Общие положения модернизации доменной инфраструктуры
- •Варианты модернизации
- •Критерии выбора пути перехода
- •Переход к Active Directory
- •Планирование модернизации
- •Тестирование плана модернизации
- •Проведение экспериментальной модернизации
- •Резервное копирование данных
- •Типовые проблемы при проведении миграции
- •Краткие итоги
- •Лекция 13. Мониторинг active directory
- •Причины проведения мониторинга, реализуемые преимущества и сопутствующие затраты
- •Процесс мониторинга Active Directory
- •Элементы мониторинга
- •Мониторинг производительности
- •Мониторинг репликации
- •Мониторинг службы dns
- •Автоматизация мониторинга Active Directory
- •Краткие итоги
- •Лекция 14. Устранение неполадок с active directory
- •Типичные проблемы с Active Directory
- •Ошибки репликации
- •Устранение неполадок dns
- •Устранение неполадок схемы
- •Устранение неполадок в сведениях о доверии
- •Проблемы при задании разрешений
- •Краткие итоги
- •Лекция 15. Восстановление active directory
- •Подготовка к отказам
- •Хранение данных в Active Directory
- •Создание резервной копии Active Directory
- •Процесс восстановления
- •Краткие итоги
Проблемы при задании разрешений
При назначении или изменении разрешений NTFS на доступ к файлам/папкам иногда возникают проблемы, которые важно вовремя устранить. Далее описаны некоторые типичные проблемы с разрешениями, а также способы их устранения [4].
Пользователь не может получить доступ к файлу или папке. Если файл или папка были скопированы или перемещены на другой том NTFS, разрешения могли измениться. Необходимо проверить разрешения, назначенные учетной записи пользователя и группам, членом которых он является. Например, иногда пользователь не имеет разрешение или доступ для него запрещен в индивидуальном порядке или как члену группы.
Учетная запись пользователя добавлена в группу, чтобы предоставить этому пользователю доступ к файлу или папке, но он не может получить доступ. Чтобы войти в новую группу, в которую добавлена учетная запись, пользователь должен или выйти из системы и затем войти в нее повторно, или закрыть все сетевые подключения к компьютеру, на котором размещен файл или папка, и затем создать новое подключение.
Пользователь с разрешением Full Control для папки удаляет файл в папке, хотя не имеет разрешения удалять этот файл. Необходимо предотвратить дальнейшее удаление пользователем файлов. Необходимо отменить специальное разрешение для папки, чтобы лишить пользователя с разрешением Full Control права удалять файлы в этой папке.
Далее приведены рекомендации по внедрению разрешений NTFS, которые помогут избежать возможных проблем [4].
Рекомендуется назначать наиболее строгие разрешения NTFS, позволяющие пользователям и группам выполнять только необходимые задачи.
Рекомендуется назначать все разрешения на уровне папок, а не на уровне файлов. Необходимо сгруппировать файлы, доступ к которым требуется ограничить, в отдельную папку и ограничить к ней доступ.
Для всех исполняемых файлов приложений рекомендуется назначить группе Administrators (Администраторы) разрешения Read & Execute и Change Permissions, а группе Users (Пользователи) — разрешение Read & Execute. Повреждение файлов приложений обычно является результатом деятельности вирусов и несанкционированных действий. Назначив указанные разрешения, можно предотвратить изменение или удаление исполняемых файлов.
Рекомендуется назначить группе CREATOR OWNER (Создатель-владелец) разрешение Full Control для общих папок данных, чтобы пользователи могли удалять и изменять созданные ими файлы/папки. Данное разрешение предоставляет пользователю, создавшему файл/папку, полный доступ в общей папке данных только к тем файлам/папкам, которые созданы непосредственно им.
Для общих папок группе CREATOR OWNER рекомендуется назначить разрешение Full Control, а группе Everyone — разрешение Read and Write. Пользователи получат полный доступ к созданным ими файлам, однако члены группы Everyone (Все) смогут лишь считывать и добавлять файлы в каталог.
Если к ресурсу не будут обращаться по сети, рекомендуется использовать длинные и подробные имена. Если планируется открыть к папке совместный доступ, имена папок/файлов должны поддерживаться всеми клиентскими компьютерами.
Рекомендуется назначать, но не аннулировать разрешения. Если надо, чтобы пользователь или группа не имели доступа к конкретной папке или файлу, рекомендуется не назначать им соответствующее разрешение. Отмена разрешений должна быть исключением, а не обычной практикой.