3-2 Основи планування та адміністрування служб доступу до інформаційних ресурсів / ЛБ / Книга Active directory
.pdf178 |
Группы t |
Глава 4 |
» |
ИНТЕРАКТИВНЫЕ (Interactive) |
Представляет пользователей, получа- |
|
ющих доступ к ресурсу п локально входящих па компьютер, содержащий |
|
|
ресурс, вместо доступа к ресурсу по |
сети. Когда пользователь получает |
|
доступ к любому ресурсу компьютера, на который вошел локально, такой |
|
|
пользователь автоматически добавляется в группу И Н Т Е Р А К Т И В Н Ы Е |
|
|
в разрешениях доступа к этому ресурсу. Группа И Н Т Е Р А К Т И В Н Ы Е так- |
|
|
же включает пользователей, входящих на компьютер через подключение |
|
|
удаленного рабочего стола. |
|
• |
СЕТЬ (Network) Представляет пользователей, получающих доступ к ре- |
|
|
сурсу по сети, в отличие от локально входящих на компьютер. Когда поль- |
|
|
зователь получает доступ к любому ресурсу по сети, такой пользователь |
|
|
автоматически добавляется в группу СЕТЬ в разрешениях доступа к этому |
|
|
ресурсу. |
|
|
Эти особые объекты идентификации играют важную роль, поскольку они |
|
позволяют предоставлять доступ к ресурсам на основе типа проверки подлинности или подключения, а не на основе учетной записи пользователя. Например, вы можете создать в системе папку, позволяющую просматривать ее содержимое пользователям, локально входящим в систему, но запрещающую тем же пользователям читать содержимое с подключенного сетевого диска. Для этого можно назначить разрешения доступа особому объекту идентификации ИНТЕРАКТИВНЫЕ (Interactive)
Практические занятия. Администрирование групп на предприятии
Впредложенных далее упражнениях вы займетесь администрированием групп
вдомене contoso.com. Для выполнения этих упражнений в домене contoso.com должны быть созданы следующие объекты:
•подразделение первого уровня Группы;
•глобальная группа безопасности Финансы в подразделении Группы;
•подразделение первого уровня Кадры;
•учетная запись пользователя Майка Дансеглио в подразделении Кадры. Заполните эту учетную запись контактными данными, включая адрес, телефон и электронную почту. Эта учетная запись не должна требовать изменения пароля при следующем входе.
Кроме того, группа Пользователи домена (Domain Users) должна быть членом группы Операторы печати (Print Operators), которая находится в контейнере Builtin. Тогда все пользователи в учебном домене смогут входить иа контроллер домена SERVER01. Эту операцию нужно выполнить для практических занятий данного руководства, а в производственной среде пользователям нельзя разрешать входить на контроллеры доменов. Поэтому в производственной среде не включайте группу Пользователи домена (Domain Users) в группу Операторы печати (Print Operators).
Упражнение 1. Создание группы с четкой документацией
В этом упражнении вы создадите группу для управления доступом к папке Budget в соответствии с рекомендациями, представленными иа данном занятии.
Занятие 3 |
Администрирование групп на предприятии |
1 7 9 |
1.Войдите на машину SERVER01 как администратор и откройте оснастку Active Directory — пользователи и компьютеры (Active Directory Users And Computers).
2.В дереве консоли выберите подразделение Группы.
3.Щелкните правой кнопкой мыши подразделение Группы, выберите опцию Создать (New) и примените команду Группа (Group).
4.В поле Имя группы (Group Name) введите имя ACL_Budget_Edit.
5.В секции Область действия группы (Group Scope) выберите область Локальная в домене (Domain Local); в секции Тип группы (Group Туре) выберите Безопасность (Security) и щелкните ОК.
6.Щелкните меню Вид (View) и установите флажок Дополнительные компоненты (Advanced Features).
7.Щелкните правой кнопкой мыши группу ACL_Budget_Edit и примените команду Свойства (Properties).
8.Перейдите на вкладку Объект (Object).
9.Установите флажок Защитить объект от случайного удаления (Protect Object From Accidental Deletion) и щелкните ОК.
10.Вновь откройте диалоговое окно Свойства (Properties) группы.
И.В поле Описание (Description) введите BUDGET (EDIT).
12.В поле Заметки (Notes) введите следующие пути, представляющие папки, разрешения доступа к которым назначены этой группе:
• |
\ \server23 \data $\finance \budget; |
|
• |
\\server32\data$\finance\revenue |
projections. |
13.Щелкните ОК.
Упражнение 2. Делегирование задач управления членством в группе
Вэтом упражнении вы предоставите пользователю Майку Дансеглио право управлять членством в группе ACL_Budget_Edit.
1.Откройте диалоговое окно Свойства (Properties) группы ACL_Budget_ Edit.
2.Перейдите на вкладку Управляется (Managed By).
3.Щелкните кнопку Изменить (Change).
4. Введите имя пользователя Майк Дансеглио и щелкните ОК.
5.Установите флажок Менеджер может изменять членов группы (Manager Can Update Membership List). Щелкните ОК.
Упражнение 3. Проверка делегирования управления членством в группе
В этом упражнении вы протестируете делегирование, выполненное в упражнении 2, изменив членство в группе как пользователь Майк Дансеглио.
1.Откройте окно командной строки.
2.Введите команду runas /мег:Имя_полъзователя cmd.exe, указав имя пользователя Майк Дансеглио.
180 |
Группы t |
Глава 4 |
|
|
3.Введите пароль пользователя Майка Дансеглио.
Откроется новое окно командной строки в контексте учетной записи Майка Дансеглио.
4.Введите команду
dsmod group "CN=ACl_Budget_Edit.OU=rpynnu,DC=contoso.DC=com" -addmbr "СМ=Финаисы. 0и=Группы, DC=contoso, 0C=com"
и нажмите клавишу Enter.
5.Закройте окно командной строки.
6.В оснастке Active Directory — пользователи и компьютеры (Active Directory Users And Computers) проанализируйте членство в группе ACL_Budget_ Edit и убедитесь, что в нее включена группа Ф и н а н с ы .
Резюме
•Для документирования назначения группы используются поля Описание
(Description) и Заметки (Notes) в диалоговом окне Свойства (Properties).
•На вкладке Управляется (Managed By) можно указать пользователя или группу, ответственную за управление данной группой. Чтобы делегировать управление членством пользователю или группе, на вкладке Управляется нужно установить флажок Менеджер может и з м е н я т ь членов группы (Manager Can Update Membership List).
•Для делегирования управления членством в группе предоставляется разрешение записи членов в группе.
•Используйте флажок Защитить объект от случайного удаления (Protect Object From Accidental Deletion), чтобы избежать потенциальных проблем управления и безопасности из-за случайного удаления группы.
•Группы по умолчанию в Windows Server 2008 и Active Directory предоставляют довольно высокий уровень прав и разрешений доступа. Пользователей не следует включать в группы домена по умолчанию, изначально не содер-
жащие членов, например в группы Операторы учета (Account Operators), Операторы архива (Backup Operators), Операторы печати ( P r i n t Operators) и Операторы сервера (Server Operators). Кроме того, членство в других административных группах, включая Администраторы предприятия (Enterprise Admins), Администраторы домена (Domain Admins), Администраторы схемы (Schema Admins) и Администраторы (Administrators), значительно ограничено.
•Для назначения прав и разрешений доступа можно использовать особые объекты идентификации, например Прошедшие проверку (Authenticated
Users), Все (Everyone), И Н Т Е Р А К Т И В Н Ы Е (Interactive) и С Е Т Ь (Network). Членство в этих группах определяется операционной системой. Его нельзя просматривать или модифицировать. '
Занятие 3
Закрепление материала
Следующие вопросы можно использовать для проверки знаний, полученных на занятии 3. Эти вопросы есть на сопроводительном компакт-диске.
ПРИМЕЧАНИЕ Ответы
Ответы на эти вопросы с пояснениями, почему тот или иной вариант ответа правилен или неверен, вы найдете в разделе «Ответы» в конце книги.
1. Ваша компания проводит совещание по особо важному проекту. Данные частично конфиденциальны . Совещание проходит в конференц-зале, и вы отконфигурировали на компьютере в конференц-зале папку, предоставляющую разрешения доступа членам команды. Требуется, чтобы они получали доступ к данным только при локальном входе на компьютер в конференцзале и не могли открыть папку с других компьютеров на предприятии. Что нужно сделать для решения этой задачи?
A. Назначить разрешение чтения (Allow Read) для группы ИНТЕРАКТИВ-
НЫ Е (Interactive) .
Б. Назначить разрешение чтения группе команды проекта.
B. Запретить разрешение Траверс папок (Traverse Folders) для группы команды проекта.
Г. Запретить разрешение Полный доступ (Full Control) для группы СЕТЬ (Network).
2.Вам нужно разрешить пользователю Майку Дансеглио добавлять и удалять пользователей в группе Специальный проект. Где можно отконфигурировать это разрешение?
A. На вкладке Ч л е н ы группы (Members) диалогового окна свойств группы.
Б. На вкладке Безопасность (Security) диалогового окна свойств объекта пользователя Майка Дансеглио.
B. На вкладке Член групп (Member Of) диалогового окна свойств объекта пользователя М а й к а Дансеглио.
Г.На вкладке Управляется (Managed By) диалогового окна свойств группы.
3. Какую из групп можно отключить на контроллере домена? (Укажите все | варианты.)
A. Операторы учета (Account Operators). Б. Операторы печати ( P r i n t Operators). B. Операторы архива (Backup Operators).
Г.Операторы сервера (Server Operators).
Д. И Н Т Е Р А К Т И В Н Ы Е (Interactive).
Закрепление материала главы
Для того чтобы попрактиковаться и закрепить знания, полученные при изучении представленного в этой главе материала, вам необходимо:
•ознакомиться с резюме главы;
•повторить используемые в главе основные термины;
•изучить сценарий, в котором описана реальная ситуация, требующая применения полученных знаний, и предложить свое решение;
•выполнить рекомендуемые упражнения;
•сдать пробный экзамен с помощью тестов.
Резюме главы
•Области действия групп (глобальные, универсальные и локальные в домене) определяют характеристики групп, связанные с членством, репликацией
идоступностью группы.
•На предприятии с управлением на основе ролей группы рекомендуется определять в соответствии с ролями или бизнес-правилами. Группы ролей обычно реализуются как группы безопасности, а правила определяются с помощью локальных групп в домене.
•Многозначный атрибут member группы содержит отличительные имена
(DN) членов группы. Атрибут memberOf каждого члена группы автоматически обновляется в соответствии с изменениями членства. При добавлении пользователя в группу всегда изменяется ее атрибут member. Атрибут только чтения memberOf называется обратной ссылкой.
•Управление членством в группе можно делегировать путем назначения разрешения записи членов (Allow Write Members), которое предоставляет право записи в атрибут member.
•Такие инструменты Active Directory, как Dsquery, Dsget и Dsmod, можно использовать для перечисления, создания и модификации групп и членства в них.
• Посредством команд CSVDE и LDIFDE группы можно импортировать и экспортировать. Кроме того, при помощи команды LDIFDE можно модифицировать членство в существующих группах.
•При помощи команд Dsadd, Dsmove и Dsrm можно соответственно добавлять, перемещать и удалять группы.
Основные термины
Запомните перечисленные далее термины, чтобы лучше понять описываемые концепции.
• Обратная ссылка Тип атрибута только для чтения, который автоматически обновляется при изменении соответствующего атрибута прямой ссылки. Например, атрибут member группы — это атрибут прямой ссылки,
|
|
Практические задания |
183 |
|
спаренный с атрибутом memberOf. При изменении атрибута member группы |
||
|
в связи с обновлением членства в |
ней атрибут memberOf соответствующих |
|
|
объектов автоматически обновляется в Active Directory. |
|
|
• |
Теневая группа Включает всех пользователей в подразделении или всех |
||
|
пользователей, соответствующих конкретному критерию. Теневая груп- |
||
|
па — это концепция, а не тип группы-. Теневую группу нужно создать само- |
||
|
му, ввести в нее всех пользователей и вручную обновлять членство в ней |
||
|
в соответствии с изменениями среды. |
|
|
• |
О с о б ы е о б ъ е к т ы идентификации |
Пользователи и группы, которые дина- |
|
мически поддерживаются операционной системой, например Прошедшие проверку (Authenticated Users), Все (Everyone) и А Н О Н И М Н Ы Й ВХОД (Anonymous Logon). Особым объектам идентификации можно назначать разрешения и права доступа, но просмотреть или модифицировать членство в таких группах вы не сможете.
Сценарий. Реализация стратегии управления группами
В этом сценарии вы примените изученные навыки администрирования групп на предприятии. Ответы на вопросы можно найти в разделе «Ответы» в конце книги.
Вы работаете администратором в компании Trey Research. В компании внедряется новая инициатива — разработка продукта Sliced Bread, и в общих папках на трех серверах в трех различных узлах содержится конфиденциальная информация об этом проекте. Пользователям в отделах Анализ, Маркетинг и Ф и н а н с ы нужен доступ к данным проекта. Кроме того, доступ нужен исполнительному директору и его заместителю. Доступ записи необходим только отделам Маркетинг и Анализ. В отделе Маркетинг работает несколько стажеров, которым нужно запретить доступ к данным проекта. И наконец, аудиторам из банка Woodgrove Bank, который является инвестором Trey Research, также необходим доступ чтения. Между доменами Trey Research и Woodgrove Bank установлена доверительная связь.
1. Какие области действия и типы следует выбрать для групп, представляющих роли пользователей в компании Trey Research? Какой тип и область действия нужно выбрать администраторам Woodgrove Bank для создания группы, представляющей роль аудиторов?
2. Какие типы и области действия выбрать для групп, управляющих доступом чтения и записи к папке Sliced Bread?
3. О п и ш и т е вложение пользователей и групп, которое можно реализовать, чтобы обеспечить уровень безопасности, необходимый для данного проекта.
Практические задания
Д л я того чтобы лучше усвоить материал данной главы, выполните следующие упражнения. .
184 |
Группы t |
Глава 4 |
Автоматизация управления членством в группах и теневыми группами
В этом задании вы создадите теневую группу с учетными записями пользователей в подразделении Кадры. Для обновления членства в этой группе вы используете команды Dsquery и Dsmod.
Для выполнения задания в домене contoso.com должны быть созданы такие объекты: подразделение первого уровня Группы; подразделение Кадры; несколько учетных записей пользователей в подразделении Кадры.
•Упражнение 1 В подразделении Группы создайте глобальную группу безопасности с именем Кадры. Затем в дереве консоли Active Directory — пользователи и компьютеры (Active Directory Users And Computers) выберите подразделение Кадры. Щелкните в панели сведений учетную запись любого пользователя и нажмите комбинацию клавиш Ctrl+A, чтобы выбрать все учетные записи. Щелкните правой кнопкой мыши и примените команду
Добавить в группу (Add То Group). Добавьте пользователей в группу Кадры. Просмотрите данные на вкладке Члены группы (Members) диалогового окна свойств группы Кадры и убедитесь, что все пользователи введены в нее.
•Упражнение 2 Откройте окно командной строки. Удалите группу Кадры, созданную в упражнении 1. Введите две следующие команды, чтобы создать теневую группу Кадры:
dsadd group "CN=Kaflpu,Ои=Группы,DC=contoso, DC=com" -secgrp yes -scope g dsquery user "OU=Kaflpu,DC=contoso,DC=com" | dsmod group "СН=Кадры,Ои=Группы,
DC=contoso,DC=com" -addmbr
•Упражнение 3 В окно командной строки введите две следующие команды, чтобы удалить всех членов группы и заново заполнить ее текущими пользователями подразделения Кадры:
dsget group "CN=People,OU=Groops,DC=contoso,DC=com" -members | dsmod group "CN= People,OU=Groups,DC=contoso,DC=com" -rmmbr
dsquery user "OU=People,DC=contoso,DC=com" | dsmod group "CN=People,OU=Groups, DC=contoso,DC=com" -addmbr
Пробный экзамен
На прилагаемом к книге компакт-диске представлено несколько вариантов тренировочных тестов. Проверка знаний выполняется или только по одной теме сертификационного экзамена 70-640, или по всем экзаменационным темам. Тестирование можно организовать таким образом, чтобы оно проводилось как экзамен, либо настроить на режим обучения. В последнем случае вы сможете после каждого своего ответа иа вопрос просматривать правильные ответы и пояснения.
ПРИМЕЧАНИЕ Пробный экзамен Подробнее о пробном экзамене рассказано во введении к данной книге.
Г Л А В А |
5 |
Компьютеры
Занятие 1. |
Создание компьютеров и присоединение их к домену |
186 |
Занятие 2. |
Автоматизация создания объектов компьютеров |
202 |
Занятие 3. |
Поддержка объектов и учетных записей компьютеров |
211 |
Компьютеры в домене, как и пользователи, являются принципалами безопасности. Они имеют учетные записи и пароли, которые система Microsoft Windows автоматически изменяет каждые 30 дней или около того. Проверка их подлинности выполняется с помощью домена. Компьютеры могут принадлежать к группам, получать доступ к ресурсам и конфигурироваться групповой политикой. Как и пользователи, компьютеры иногда теряют свои пароли, и тогда требуется производить сброс пароля, а также имеют учетные записи, которые нужно включать или отключать.
Управление компьютерами, которые,представляют собой объекты в доменных службах Active Directory (Active Directory Domain Services) и одновременно физические устройства, входит в повседневные обязанности большинства IT-профессионалов. В организации появляются новые системы, компьютеры отключаются от сети для ремонта, а также передаются пользователям или ролям, а старое оборудование удаляется или обновляется, в результате чего нужно приобретать новые или менять существующие системы. Все это требует управления идентификацией компьютера, представленного в качестве объекта или учетной записи.
К сожалению, большинство предприятий не производят инвестиций в создание и управление компьютерными учетными записями в той же мере, как в учетные записи пользователей, хотя и те и другие представляют собой принципалы безопасности. В этой главе мы рассмотрим процесс создания объектов компьютеров, которые содержат атрибуты, необходимые для представления объекта в качестве учетной записи. Будет также описана поддержка учетных записей компьютеров на протяжении их жизненного цикла, включающая настройку, устранение неполадок, восстановление и повторную инициализацию объектов компьютеров. Наконец, мы обсудим процесс присоединения компьютера к домену, чтобы вы могли выявить потенциальные ошибки и избежать их в будущем.
186 |
Компьютеры |
Глава 5 |
|
|
Темы экзамена:
•Создание и поддержка объектов Active Directory.
аАвтоматизация создания учетных записей Active Directory. Q Поддержка учетных записей Active Directory.
Прежде всего
В данной главе для автоматизации процесса создания учетных записей компьютеров используются средства Microsoft Windows PowerShell, Microsoft VBScript, CSVDE и LDIFDE. Поэтому, приступая к ее изучению, перечитайте занятия 1 и 2 главы 3.
История из жизни
Дэн Холме
«Компьютеры тоже люди» — по крайней мере, так они воспринимаются в Active Directory. Компьютеры имеют атрибут objectClass пользователя. Как и пользователи, компьютеры имеют учетные записи. Подобно пользователям, компьютеры могут забывать свои пароли. Поскольку компьютеры — это принципалы безопасности и могут подпадать под действие групповой политики (как описано в следующей главе), учетные записи компьютеров следует интерпретировать аналогично учетным записям пользователей.
Многим из вас наверняка приходилось удалять компьютер из домена, а затем заново присоединять его к домену. Как описано на занятии 3, такая методика аналогична удалению и воссозданию учетных записей пользователей, поэтому применять ее не рекомендуется. Я привел лишь один из примеров пренебрежительного отношения администраторов к учетным записям компьютеров.
В этой главе мы обсудим рекомендуемые методы поддержки учетных записей компьютеров в домене на уровне поддержки остальных принципалов безопасности (включая пользователей и группы). Кроме того, мы рассмотрим способы применения инструментов командной строки, а.также сценариев VBScript и Windows PowerShell для автоматизации создания объектов компьютеров и управления ими. Многие из этих процедур похожи на описанные в главе 3. Почему? Потому, что, как сказано в начале врезки, «компьютеры тоже люди».
Занятие 1. Создание компьютеров и присоединение
их к домену
В конфигураций Windows Server 2008 по умолчанию, как и в Microsoft Windows Server 2003, Windows Vista, Windows XP и Windows 2000, компьютер принадлежит к рабочей группе. Перед входом иа компьютер с помощью доменной учетной записи нужно присоединить компьютер к домену. Д л я присоединения к домену компьютер должен располагать учетной записью в домене, которая, аналогично пользбйательской учетной записи,1 содержит имя входа (атрибут sAMAccountName), пароль и идентификатор безопасности (SID), который уникальным образом представляет компьютер в домене как принципал безопасности. Эти учетные данные позволяют компьютеру проходить проверку подлинности в домене и создать безопасную связь, с помощью которой пользователи
Занятие 1 |
Создание компьютеров и присоединение их к домену |
1 8 7 |
затем смогут войти в систему с применением учетных записей домена. На этом занятии мы рассмотрим подготовку домена для присоединения нового компьютера, а также само присоединение компьютера к домену.
Изучив материал этого занятия, вы сможете:
УПроектировать структуру подразделений компьютеров.
УСоздавать объекты компьютеров в домене.
УДелегировать создание объектов компьютеров.
УПрисоединять компьютеры к домену.
УПеренаправлять контейнер компьютеров по умолчанию.
/ Запрещать иеадминистративным пользователям создавать компьютеры и присоединять их к домену.
Продолжительность занятия — около 45 мин.
Рабочие группы, домены и доверие
В рабочей группе каждая система поддерживает хранилище учетных записей пользователей и групп. Л о к а л ь н о е хранилище объектов идентификации на каждом компьютере называется базой данных диспетчера безопасности учетных записей SAM (Security Accounts Manager). Если пользователь входит на компьютер рабочей группы, система выполняет проверку подлинности этого пользователя в своей локальной базе данных SAM. Если пользователь подключается к еще одной системе, например д л я получения доступа к файлу, вновь выполняется проверка подлинности пользователя в хранилище объектов и д е н т и ф и к а ц и и удаленной системы. В отношении безопасности компьютер рабочей группы по всем параметрам — независимая автономная система.
Компьютер, присоединяемый к домену, делегирует ему задачу проверки подлинности пользователей. Хотя компьютер продолжает поддерживать свою базу данных SAM учетных записей локальных пользователей и групп, учетные записи пользователей, как правило, будут создаваться в центральном каталоге домена. Пользователь, входящий на компьютер посредством доменной учетной записи, теперь проходит проверку подлинности на контроллере домена, а не в базе данных SAM. Другими словами, компьютер доверяет контроллеру домена и д е н т и ф и к а ц и ю пользователя . Доверительные отношения обычно рассматриваются в контексте двух доменов, как описано в главе 12, однако доверие устанавливается также между каждым рядовым компьютером и его доменом; это происходит при присоединении компьютера к домену.
Требования по присоединению компьютера к домену
Д л я присоединения к домену Active Directory, компьютер должен соответствовать трем требованиям:
•В службе каталогов должен быть создан объект компьютера.
•Вы должны иметь соответствующие разрешения доступа к объекту компьютера, в к л ю ч а я право присоединения к домену компьютера с тем же именем, что у объекта в домене.