Книга Active directory

5.Перейдите на вкладку Политика репликации паролей (Password Replication Policy).

6.Щелкните кнопку Дополнительно (Advanced).

7.На вкладке Использование политики (Policy Usage) в раскрывающемся списке Отображать пользователей и компьютеры, которые удовлетворяют следующим условиям (Display Users And Computers T h a t Meet The Following Criteria) выберите параметр Учетные записи, пароли которых хранятся в данном контроллере домена только д л я чтения (Accounts Whose Passwords Are Stored On This Read-Only Domain Controller).

8. Локализуйте запись пользователя Джеймса Файна .

Поскольку вы отконфигурировали политику репликации паролей для кэширования учетных данных пользователей в группе Пользователи филиала, учетные данные пользователя Джеймса Ф а й н а были кэшированы при его входе в шаге 1. Учетные данные пользователя Майка Дансеглио не кэшируются.

9.В раскрывающемся списке выберите параметр Учетные записи, прошедшие проверку подлинности для данного контроллера домена только для чтения (Accounts That Have Been Authenticated To This Read-Only Domain Controller).

10.Локализуйте пользователей Джеймса Ф а й н а и Майка Дансеглио.

11.Щелкните кнопку Закрыть (Close), а затем щелкните ОК .

Упражнение 4. Предварительное заполнение к э ш и р о в а н и я учетных данных

В этом упражнении вы предварительно заполните кэш контроллера RODC учетными данными пользователя.

1.Войдите на машину SERVER01 как администратор и откройте оснастку Active Directory — пользователи и компьютеры (Active Directory Users And Computers).

2.В подразделении Domain Controllers откройте свойства объекта компьютера BRANCHSERVER.

3.Перейдите на вкладку Политика репликации паролей (Password Replication Policy).

4.Щелкните кнопку Дополнительно (Advanced).

5. Щелкните кнопку Создать предварительные пароли (Prepopulate Passwords).

6.Введите имя Адам Картер и щелкните ОК.

7.Щелкните кнопку Да (Yes), чтобы подтвердить отправку учетных данных на контроллер RODC.

8.На вкладке Использование политики (Policy Usage) выберите параметр Учетные записи, пароли которых хранятся в данном контроллере домена

только для чтения (Accounts Whose Passwords Are Stored On This Read- only Domain Controller).

•Контроллер R O D C реплицирует обновления в домене из пишущего контроллера домена с помощью лишь входящей репликации.

•Политика репликации паролей определяет кэширование учетных данных пользователя и л и компьютера на контроллере RODC. На каждом новом контроллере R O D C в списке разрешений и запрещений соответственно расположены группы с разрешением репликации паролей RODC (Allowed R O D C Password Replication Group) и группы с запрещением репликации паролей R O D C (Allowed R O D C Password Replication Group). Поэтому вы можете использовать эти две группы для управления политикой репликации паролей на уровне домена. На отдельном контроллере домена также можно конфигурировать отдельную политику репликации паролей.

•Контроллер R O D C можно поддерживать, разделяя административные роли, чтобы один или несколько пользователей могли решать задачи администри-

рования, не получая привилегий администратора на других контроллерах домена или в домене. Разделение административных ролей осуществляется с помощью команды Dsmgmt.exe.

•Д л я контроллера R O D C в том же домене требуется разместить пишущий контроллер домена Windows Server 2008. Кроме того, лес должен работать на ф у н к ц и о н а л ь н о м уровне не ниже Windows Server 2003, а перед установкой первого контроллера R O D C в среде нужно выполнить команду

Adprep /rodcprep.

Закрепление материала

Следующие вопросы можно использовать для проверки знаний, полученных на занятии 3. Эти же вопросы есть и на сопроводительном компакт-диске.

ПРИМЕЧАНИЕ Ответы

Ответы на вопросы с пояснениями, почему тот или иной вариант ответа правилен или неверен, вы найдете в разделе «Ответы» в конце книги.

1. Ваш домен состоит из пяти контроллеров, один из которых работает на функциональном уровне Windows Server 2008. Остальные контроллеры домена работают в режиме Windows Server 2003. Что нужно сделать перед установкой контроллера домена только для чтения?

А. Обновить все контроллеры домена до Windows Server 2008.

Б.Запустить команду Adprep /rodcprep.

'400 Проверка подлинности Глава 8

В.Запустить команду Dsmgmt.

Г.Запустить команду Dcpromo /unattend.

2. Недавно из филиала компании Tailspin Toys был п о х и щ е н контроллер RODC филиала. Где найти учетные записи пользователей, хранившиеся на этом контроллере?

A. На вкладке Использование политики (Policy Usage).

Б. В списке членства группы с разрешением р е п л и к а ц и и паролей R O D C (Allowed R O D C Password Replication Group) .

B. В списке членства группы с запрещением репликации паролей R O D C (Denied R O D C Password Replication Group) .

Г. На вкладке Результирующая политика (Resultant Policy).

3. На следующей неделе пять пользователей будут переведены в один из десяти заокеанских филиалов компании Lightware, Inc. К а ж д ы й филиал имеет контроллер RODC . Вы хотите, чтобы при первом входе пользователи филиала не испытывали неудобств, связанных с проверкой подлинности в центре данных через соединение WAN. Что следует предпринять? (Укажите все варианты.)

A. Включить этих пять пользователей в группу р а з р е ш е н и я репликации паролей R O D C (Allowed R O D C Password Replication Group) .

Б. Добавить пять пользователей на вкладку Политика репликации паролей (Password Replication Policy) контроллера R O D C филиала .

B. Ввести пять пользователей в политику безопасности Л о к а л ь н ы й вход в систему (Log On Locally) объекта групповой политики Default Domain Controllers Policy.

Г.Предварительно заполнить поля паролей.

Закрепление материала главы

Для того чтобы попрактиковаться и закрепить знания, полученные при изучении представленного в этой главе материала, вам необходимо:

•ознакомиться с резюме главы;

•повторить используемые в главе основные термины;

•изучить сценарий, в котором описана реальная ситуация, требующая применения полученных знаний, и предложить свое решение;

•выполнить рекомендуемые упражнения;

•сдать пробный экзамен с помощью тестов.

Резюме главы

•В Windows Server 2008 можно задать параметры политики паролей и блокировки учетной записи для целого домена, модифицировав объект групповой политики Default Domain Policy. Затем с помощью гранулированных политик паролей и блокировки в объектах параметров паролей P S O (Password Settings Object) можно отконфигурировать конкретные политики для групп

иотдельных пользователей.

! Сценарий 1. Повышение уровня безопасности административных учетных записей

Вы работаете администратором в компании Contoso, Ltd, которая недавно получила контракт на поставку важного секретного продукта. Условием контракта является повышение уровня безопасности домена Active Directory. Вы должны гарантировать, что администраторы используют изменяющиеся каждые 30 дней учетные записи длиной не меньше 25 знаков. Вы полагаете, что такие строгие требования не следует применять ко всем пользователям, и хотите ограничить область действия новых требований к п а р о л я м л и ш ь администраторами домена. Кроме того, согласно контракту вы д о л ж н ы о т с л е ж и в а т ь попытки потенциальных злоумышленников получить доступ к сети с использованием административной учетной записи.

1. В настоящее время ваш домен и м е е т ч е т ы р е к о н т р о л л е р а Windows Server 2003 и восемь контроллеров Windows Server 2008. Что нужно сделать перед реализацией гранулированных п о л и т и к паролей в соответствии с требованиями нового контракта?

2. Какой инструмент использовать для настройки гранулированных политик паролей и блокировки учетных записей?

3.Вы вернулись из отпуска и обнаружили, что другие администраторы создали несколько новых объектов параметров паролей ( P S O ) со значениями приоритета в диапазоне 10-50. Вы хотите назначить наивысший приоритет

для объекта PSO, созданного для администраторов домена, чтобы он всегда применялся к этим пользователям. К а к о й п р и о р и т е т следует назначить этому объекту P S O ?

4. Как отконфигурировать домен для о т с л е ж и в а н и я попыток несанкционированного доступа к сети с использованием а д м и н и с т р а т и в н о й учетной записи? Какой объект G P O необходимо модифицировать? Какие параметры требуется определить?

Сценарий 2. Повышение уровня безопасности и стабильности проверки подлинности в филиале

Как администратор компании Contoso, Ltd вы поддерживаете службу каталогов домена на четырех контроллерах в центре данных, размещенном в главном узле. Эти контроллеры домена работают в режиме Windows Server 2003. Руководство компании Contoso приняло решение открыть за океаном новый офис. Изначально в этом офисе будут работать десять менеджеров по продажам. Вы занимаетесь вопросами скорости, стоимости и стабильности подключения филиала с центром данных и принимаете решение разместить в филиале контроллер домена только для чтения.

2.Вы принимаете решение возложить на одного из сотрудников в филиале обязанность локально управлять сервером. М о ж н о ли разрешить сотруднику создать контроллер R O D C , не предоставляя ему привилегии администратора домена?

3. Вы хотите дать тому же пользователю право локального входа на контроллер R O D C для решения повседневных задач технической поддержки. Какую команду использовать для настройки разделения административных ролей?

Практические задания

Чтобы подготовиться к сертификационному экзамену, выполните предлагаемые далее упражнения.

Настройка множества объектов параметров паролей

В упражнениях по данной теме вы поэкспериментируете с приоритетами объектов PSO, создав несколько объектов PSO, применив их к пользователю и оценив результирующий P S O для этого пользователя.

Для выполнения упражнений в домене contoso.com необходимо создать глобальную группу безопасности Кадры, глобальную группу безопасности Защищенные пользователи и учетную запись пользователя Джеймса Файна, члена обеих групп — Кадры и Защищенные пользователи.

•У п р а ж н е н и е i Создайте объект P S O с именем PS01 и свяжите его с

группой Кадры. Задайте для P S 0 1 приоритет 10. Для других атрибутов PSO можете использовать любые параметры. Создайте второй объект PSO с именем PS02 и задайте для него приоритет 5. Для этого объекта PSO вы можете использовать любые действительные параметры. При создании PSO следуйте инструкциям из упражнения 2 занятия 1.

•Упражнение 2 Идентифицируйте объект PSO, влияющий на пользователя Джеймса Файна. Для оценки результирующего PSO следуйте инструкции из упражнения 3 занятия 1. Какой объект PSO применяется к пользователю Джеймсу Файну?

•Упражнение 3 Создайте объект PSO с именем PS03 и свяжите его с учет-

ной записью пользователя Джеймса Файна. Задайте для P S 0 3 приоритет 20. Для остальных атрибутов P S 0 3 можете задавать любые действительные параметры. Для создания PSO воспользуйтесь инструкциями из упражнения 2 занятия 1, а для определения результирующего PSO — из упражнения 3 занятия 1. Идентифицируйте объект PSO, влияющий на пользователя Джеймса Файна.

Восстановление данных похищенного контроллера RODC

В этих упражнениях вы изучите принципы восстановления контроллера RODC после хищения или взлома, эмулируя потерю сервера BRANCHSERVER. Перед тем как приступить к ним, нужно выполнить практические упражнения занятия 3.

При хищении или взломе R O D C все учетные данные пользователей, которые кэшировались на контроллере RODC, становятся ненадежными и должны быть изменены. Поэтому вам следует идентифицировать учетные данные, кэшированные на контроллере RODC, и изменить пароль каждой учетной записи.

которые кэшированы на B R A N C H S E R V E R , проанализировав данные на вкладке Использование политики (Policy Usage) диалогового окна Расширенная политика репликации паролей для B R A N C H S E R V E R ( B R A N C H - SERVER Advanced Password Replication Policy). Д л я идентификации учет-

Domain Controllers выберите объект компьютера B R A N C H S E R V E R . Нажмите клавишу Delete и щелкните кнопку Да (Yes). Просмотрите опции автоматического изменения паролей пользователей и компьютеров.

Пробный экзамен

На прилагаемом к книге компакт - диске представлено несколько вариантов тренировочных тестов. Проверка знаний выполняется или только по одной теме сертификационного экзамена 7 0 - 6 4 0 , или по всем экзаменационным темам. Тестирование можно организовать таким образом, чтобы оно проводилось как экзамен, либо настроить на режим обучения. В последнем случае вы сможете после каждого своего ответа на вопрос п р о с м а т р и в а т ь п р а в и л ь н ы е ответы и пояснения.

Подробнее о пробном экзамене рассказано во введении к данной книге.

Интеграция DNS с AD DS

Без DNS (Domain Name System — система доменных имен) работать в Интернете довольно сложно. Интернет, конечно, можно использовать, поскольку в его основу положена технология TCP/IP, однако для подключения к узлу http://207.46.198.248 в браузер нельзя будет ввести именной адрес http://Technet. microsoft.com. Выполняя в Windows Live Search поиск такой новой технологии, как Windows Server 2008, в результатах запроса получают коллекцию 1Р-ад- ресов, по которым расположена соответствующая информация. Однако сами по себе адреса, в отличие от доменных имен, не предоставляют пользователю никаких сведений.

По этой причине пользователи полагаются на систему доменных имен DNS, преобразующую IP-адреса в доменные имена, которые легче идентифицировать. Система DNS является основой протокола TCP/IP . Она включает в себя традиционную схему 32-битовых адресов IPv4 и новую 128-битовую схему адресации IPv6, встроенную в Windows Server 2008. Каждая новая система в сети идентифицируется с помощью своего IP-адреса или адресов. В сети Windows Server 2008 с доменными службами Active Directory (AD DS) каждое связанное с каталогом устройство также будет связано с системой разрешения имен DNS, на которую оно будет полагаться при идентификации всех служб во время взаимодействия.

Например, при загрузке компьютера, присоединенного к домену, выполняется стандартный процесс, который начинается с идентификации записей ресурсов SRV (Service Location Record) на DNS-сервере для определения ближайшего контроллера домена. Затем, после выполнения системой DNS своей части работы, начинается процесс проверки подлинности между компьютером и контроллером домена. Однако без разрешения системой DNS имен записей ресурсов SRV службам AD DS будет довольно сложно выполнить проверку подлинности рядового компьютера.

Глава 9 Интеграция DNS с AD DS 407

В Интернете и внутренней сети система DNS всегда использует T C P / I P - порт 53. Д л я локализации и идентификации данных об именах компьютеров для взаимодействия все клиенты и серверы конфигурируются с использованием этого порта.

Система D N S поддерживает иерархическую структуру именования. Имена начинаются с корня и расширяются при добавлении уровней в иерархию. Реальным корнем иерархии DNS является сама точка (.). Однако эта точка не используется в именовании Интернета. Обычно в Интернете регистрируются стандартные корневые имена, такие как .com, .biz, .net, .info, .name, .ms, .edu,

.gov, .org и т. д. Организации могут связываться с Интернетом, присоединяя к корневому имени общее имя. Например, иерархия Microsoft.com содержит два уровня ниже корневого имени и три — ниже реального корня DNS (рис. 9-2); имя Technet.microsoft.com содержит три уровня ниже имени и четыре — ниже корня DNS и т. д. В AD DS данная иерархия используется для создания структуры домена в лесу.

[Корневой уровень]

TechNet

Рис. 9-2. Иерархия DNS в Интернете

DNS и IPv6

В Windows Server 2008 система DNS модернизирована для интеграции с IPv6. В отличие от IPv4, где 32-битовый адрес составляется из четырех октетов двоичных значений, в IPv6 используются 16-битовые элементы для формирования 128-битового IP-адреса, который обычно отображается в шестнадцатеричном формате. Например, FE80:: означает автоматически сгенерированный локальный IPvG-адрес канала Windows Vista или Windows Server 2008, назначенный компьютеру в случае использования протокола динамической конфигурации узла D H C P (Dynamic Host Configuration Protocol) и недоступности DHCP-cep- вера, который мог бы указать реальный адрес. Адрес FE80:: является аналогией автоматически назначаемого частного IP-адреса APIPA (Automatic Private IP Addressing), который генерируется для системы, если та же ситуация возникает

свыделением 1Ру4-адреса.

ВIPvG-адресе каждый раз генерируется 16-битовый фрагмент, содержащий одни нули. Вы можете объединить этот фрагмент и указать адрес с двумя двоеточиями (::). Эти два двоеточия будут представлять все 16-битовые секции,