Книга Active directory

Функциональный уровень леса следует повышать только в том случае, если в лес не будут добавляться новые домены с более низкими ф у н к ц и о н а л ь н ы м и уровнями. После повышения функционального уровня нельзя выполнить откат и вернуться к предыдущему режиму работы леса.

СОВЕТ К ЭКЗАМЕНУ

Запомните функциональность, добавляемую на каждом функциональном уровне домена и леса. Особое внимание уделите возможностям, затрагивающим администраторов.

Практические занятия. Повышение функциональных уровней домена и леса

В приведенных далее упражнениях предлагается повысить функциональные уровни домена и леса. Для того чтобы выполнить упражнения, необходимо подготовить хотя бы один контроллер в новом домене нового леса с полной установкой Windows Server 2008. Потребуется новый сервер с именем SERVERTST, полной установкой Windows Server 2008 и следующей конфигурацией:

•имя компьютера: SERVERTST;

•1Ру4-адрес: 10.0.0.111;

•маска подсети: 255.255.255.0;

•основной шлюз: 10.0.0.1;

•DNS-сервер: 10.0.0.111.

Выполните команду Dcpromo.exe и создайте новый лес с новым доменом tailspintoys.com. Назначьте режим работы леса Windows 2000 и функциональ - ный уровень домена Windows 2000 (основной). Установите DNS на сервере. Появится предупреждение о том, что серверу назначен динамический IP-ад- рес. Щелкните Да (Yes). В открывшемся окне с сообщением о невозможности создания делегирования DNS также щелкните кнопку Да (Yes). Инструкции по установке Windows Server 2008 и созданию контроллера в новом домене нового леса приведены на занятии 1 в первой главе.

Вдомене tailspintoys.com создайте два подразделения первого уровня Кли-

•енты и Кадры.

Упражнение 1. Попытка использовать о т к л ю ч е н н ы е ф у н к ц и и

В этом упражнении необходимо использовать возможности, поддерживаемые на более высоких уровнях домена.

1.Войдите на машину SERVERTST как Администратор (Administrator).

2.Откройте окно командной строки.

3. Введите команду redircmp.exe "ou=KJiueumbi,dc=tailspintoys,dc=com "и нажмите клавишу Enter.

Появится сообщение о неудачном перенаправлении. Причина состоит в том, что домен пока еще не работает на функциональном уровне Windows Server 2003.

4.Введите команду redirusr.exe "ou=Kadpbi,dc=tailspintoys,dc=com " и нажмите клавишу Enter.

Появится сообщение о неудачном перенаправлении. Причина состоит в том, что домен пока еще не работает на функциональном уровне Windows Server 2003.

5.Откройте оснастку Active Directory — пользователи и компьютеры (Active Directory Users And Computers) .

6. Щ е л к н и т е меню Вид (View) и установите флажок Дополнительные компоненты (Advanced Features).

У п р а ж н е н и е 2 . П о в ы ш е н и е ф у н к ц и о н а л ь н о г о уровня домена

В этом у п р а ж н е н и и требуется повысить функциональный уровень домена tailspintoys.com.

1.Откройте оснастку Active Directory — домены и доверие (Active Directory Domains And Trusts).

2. Щ е л к н и т е правой кнопкой м ы ш и домен tailspintoys.com и выполните команду Изменение режима работы домена (Raise Domain Functional Level).

3. В раскрывающемся списке Выберите режим работы домена (Select An Available Domain Functional Level) выберите уровень Windows Server 2003.

Теперь нужно проверить доступность ранее отключенной функциональности.

Появится сообщение об успешном перенаправлении.

4.Введите команду redirusr.exe "ou=Kadpbi,dc=tailspintoys,dc=com"it нажмите клавишу Enter.

Появится сообщение об успешном перенаправлении.

5.Откройте оснастку Active Directory — пользователи и компьютеры (Active Directory Users And Computers).

Выделенный корневой контроллер д о м е н а

На начальном этапе использования Active Directory рекомендовалось создавать выделенный корневой домен леса. В главах 1 - 1 0 говорилось, что корневой домен леса является первым доменом в лесу. Назначение выделенного корневого домена состоит в администрировании инфраструктуры леса. По умолчанию он содержит одного хозяина операций леса. Корневой домен также содержит уязвимые группы, такие как Администраторы предприятия (Enterprise Admins) и Администраторы схемы (Schema Admins), которые могут оказывать влияние на весь лес. Теория заключалась в том, что выделенный корневой домен леса повышает безопасность этих функций уровня леса. Выделенный контроллер домена также не устареет и обеспечит более простую передачу владения. В соответствии с этими старыми рекомендациями один глобальный дочерний домен содержит все объекты: пользователи, группы, компьютеры и т. д. Пример такой структуры показан на рис. 12-3.

Рис. 12-3. Пример корневого домена леса

Лес из одного домена

На многих предприятиях больше не создается выделенный корневой домен, поскольку рекомендуется проектировать лес из одного домена. Универсального дизайна для каждой организации не существует, поэтому следует, проанализировать характеристики предприятия в соответствии с критерием дизайна, описанным далее на этом занятии.

После девяти лет становления Active Directory на рынке устаревшие рекомендации не применяются . Теперь для большинства предприятий рекомендуется создавать лес из одного домена. Далее описаны причины таких изменений в руководствах и инструкциях .

•С любым лесом из множества доменов связаны риски и затраты, которые описаны далее. Д л я одного домена требуется меньше оборудования, а кроме того, снижается стоимость и степень определенных рисков.

•Пока еще нет инструментов, которые позволяли бы предприятию «подрезать и прививать» деревья Active Directory. Иными словами, вы не можете отрезать домен от дерева и трансплантировать его в лес еще одного предприятия. Если бы это было возможно, в выделенном корневом домене леса,

который используется д л я переноса доменов внутри леса и между лесами, не было бы смысла .

•Внутри одного д о м е н а м о ж н о реализовать безопасность с наименьшим уровнем привилегий, которая обеспечивает не меньший (а то и больший) уровень защиты, как и лес с выделенным корнем и дочерним доменом.

Поэтому проектирование доменов следует начать с леса из одного домена.

Леса с множеством доменов

В некоторых сценариях необходим лес из множества доменов. Его не рекомендуется создавать л и ш ь для отражения организационной структуры бизнеса. Эта структура (отделения, департаменты и офисы) со временем будет изменяться. Логическая структура с л у ж б ы каталогов не должна основываться исключительно на организационных характеристиках.

Доменную модель н у ж н о вывести на основе характеристик самих доменов. Определенные свойства домена влияют на все объекты в домене, и если их постоянный э ф ф е к т не соответствует требованиям бизнеса, нужно создавать дополнительные домены . Далее описаны характеристики домена.

• Отдельный р а з д е л д о м е н а , реплицируемый на все контроллеры домена Контекст именования доменов, содержащий объекты пользователей, компьютеров, групп, политик и других доменных ресурсов, реплицируется на каждый контроллер в домене. Д л я разбиения репликации из соображений сетевой топологии необходимо создавать отдельные домены. Репликация Active Directory является невероятно эффективной и может поддерживать большие домены через подключения с минимальной пропускной способностью.

Если определенные требования бизнеса ограничивают репликацию определенных данных в размещения с контроллерами доменов, следует либо перестать хранить эти данные в разделе домена, либо создать отдельные домены с целью сегрегации репликации. В таких случаях следует также убедиться, что эти данные не реплицируются глобальным каталогом GC (Global Catalog).

•Отдельная политика K e r b e r o s Параметры политики Kerberos по умолчанию в AD DS подходят для большинства предприятий. Для определения отдельных политик Kerberos требуются отдельные домены.

ет отдельное доменное имя DNS. Если используется множество доменных имен, то необходимо множество доменов. Однако прежде чем выполнить моделирование доменов службы каталогов на основе требований к DNS - именам, следует учесть затраты и риски, связанные с поддержкой множества доменов.

Домены, работающие на ф у н к ц и о н а л ь н ы х у р о в н я х н и ж е W i n d o w s Server 2008, поддерживают только одну политику паролей и блокировки учетных записей. Поэтому в предыдущих версиях Windows д л я поддержки множества политик паролей приходилось создавать множество доменов. Эта проблема решена в Windows Server 2008, поскольку на функциональном уровне Windows Server 2008 можно создавать гранулированные политики паролей.

При добавлении доменов в лес повышается а д м и н и с т р а т и в н а я нагрузка и затраты на оборудование. Каждый домен должен поддерживаться хотя бы двумя контроллерами, которые нужно резервировать, защищать и контролировать. Для поддержки доступа к ресурсам доменов на географически распределенном предприятии может потребоваться еще больше контроллеров доменов. Дополнительные домены придется создавать д л я перемещения пользователей между доменами, а этот процесс намного сложней, чем перемещение пользователей между подразделениями. Общие объекты групповой политики и параметры управления доступом потребуется дублировать в каждом домене.

Мы перечислили лишь некоторые затраты и сложности, связанные со средой из множества доменов. Поддержка множества доменов также влечет за собой дополнительные риски, большинство из которых с в я з а н о с тем, что домен не определяет периметр безопасности — его определяет лес. Внутри леса администраторы могут причинить ущерб на уровне леса. Существует несколько категорий уязвимости, используя которые, в з л о м а н н а я административная учетная запись или администратор с вредоносными намерениями может инициировать отказ в обслуживании или нарушить целостность леса.

Например, администратор в любом домене может создавать универсальные группы, членство в которых реплицируется глобальным каталогом. При создании множества универсальных групп и постоянном заполнении атрибута member чрезмерный объем репликации может привести к отказу в обслуживании на контроллерах в других доменах. Администратор в любом домене также может восстановить устаревший архив каталога, в результате чего могут возникнуть повреждения леса.

Более подробная информация о безопасности при проектировании доменов и лесов содержится в статье «Best Practices For Delegating Active Directory Administration» по адресу http://technet2.microsoft.com/windowsserver/en/library/e5274d27-88e5-4043- 8f12-a8fa71cbcd521033-mspx.

С учетом затрат и рисков, связанных с поддержкой множества доменов, рекомендуется конструировать лес из одного домена. Леса из множества до-

менов чаще всего создаются в связи с требованиями к репликации контекста именования доменов.

В лесу из множества доменов имеет смысл создать выделенный корневой домен леса как пустой домен, чтобы он обеспечивал корень доверия для леса. Корни доверия описаны далее на этом занятии.

М н о ж е с т в о д е р е в ь е в

Дерево о п р е д е л я е т с я к а к н е п р е р ы в н о е именное пространство DNS. В случае с множеством доменов можно определить для этих доменов непрерывное именное пространство D N S и сформировать отдельное дерево, как показано на рис. 12-4 вверху, либо определить несмежное пространство имен DNS, сформировав т а к и м образом множество деревьев, как показано на рис. 12-4 внизу.

Лес с одним деревом

Лес с множеством деревьев Рис. 12-4. Леса с одним и множеством деревьев

Множество лесов

Лес представляет собой экземпляр Active Directory. Все домены и контроллеры доменов в лесу совместно используют реплики схемы и конфигурации.

Контроллеры доменов, которые являются серверами глобального каталога GC (Global Catalog), управляют частичными наборами атрибутов всех объектов в других доменах леса. Домены в лесу совместно п р и м е н я ю т транзитивные двусторонние доверительные связи. Это означает, что все пользователи в домене принадлежат особому объекту и д е н т и ф и к а ц и и П р о ш е д ш и е проверку (Authenticated Users) в каждом домене. Группы леса Администраторы предприятия (Enterprise Admins), Администраторы схемы ( S c h e m a A d m i n s ) и Администраторы (Administrators) в корневом домене леса у п р а в л я ю т всеми объектами в лесу.

Если любая из этих характеристик леса не соответствует требованиям бизнеса, может потребоваться создать множество лесов. Поскольку безопасность является приоритетом, многие консультанты рекомендуют таким организациям проектировать лес из одного домена или использовать множество лесов. Доверительные связи между лесами, описанные далее в этой главе, и службы федерации Active Directory (Active Directory Federation Services, AD FS) упрощают управление проверкой подлинности на предприятиях с множеством лесов.

Более подробная информация о планировании архитектуры на предприятии AD DS содержится по адресу http://technet2.microsoft.com/windowsserver2008/en/library/ b1baa483-b2a3-4e03-90a6-d42f64b42fc31033.mspx?mfr~true.

Перемещение объектов между доменами и лесами

В сценариях с множеством доменов для поддержки бизнес - операций может потребоваться перемещать пользователей, группы и компьютеры между доменами или лесами, а в случае слияния или приобретения компаний — перемещать большое количество пользователей, групп и компьютеров с целыо реструктуризации доменной модели.

В каждой из этих задач учетные записи копируются или перемещаются из одного домена (начального) в другой {конечный). Терминология, концепции и процедуры реструктуризации доменов применимы к миграции между лесами (между Windows NT 4.0 или начальным доменом Active Directory и конечным доменом Active Directory в отдельном лесу) и миграции внутри леса (то есть реструктуризация или перемещение учетных записей между доменами в одном лесу).

В процессе реструктуризации между лесами сохраняется существующий начальный домен, а учетные записи клонируются (или копируются) в конечный. Этот недеструктивный метод позволяет предприятию осуществлять постепенную миграцию в несколько стадий. Выполнение операций не прерывается, поскольку оба домена обслуживаются в параллельном режиме для поддержки операций пользователей в любом домене. Этот метод также предусматривает некоторый уровень отката, поскольку исходная среда остается практически неизмененной. По завершении процесса миграции начальный домен можно просто вывести из эксплуатации, переместив все остальные учетные записи, рядовые серверы и рабочие станции в новый домен и отключив от сети контрол-

леры начального домена. Затем эти контроллеры можно заново развернуть для выполнения ролей в новом домене.

В процессе миграции внутри леса объекты перемещаются из начального домена в к о н е ч н ы й без вывода начального домена из эксплуатации. После миграции объектов домены можно реструктурировать с целыо объединения операций и построить структуру доменов и подразделений, более точно отражающую административную модель. Такая консолидация может сэкономить затраты и упростить администрирование, снизив административные нагрузки и затраты на поддержку среды Active Directory.

Инструмент Active Directory Migration Tool

Средство Active D i r e c t o r y Migration Tool версии 3 ( A D M T v3), выполняющее миграцию объектов и задачи преобразования структуры безопасности, можно загрузить по адресу http://go.microsoft.com/fwlink/?LinkID=75627. На этой странице также находится детальное руководство по использованию этой утилиты.

Средство A D M T применяется для миграции объектов между начальным и конечным доменами . М и г р а ц и я также может выполняться между доменами в одном лесу ( м и г р а ц и я внутри леса) или между доменами в различных лесах (миграция между л е с а м и ) . Мастеры, встроенные в ADMT, автоматизируют такие задачи, к а к м и г р а ц и я пользователей, групп, учетных записей служб, компьютеров, доверительных связей, и осуществляют преобразование структуры безопасности. Эти задачи выполняются также с помощью консоли ADMT или командной строки, где команда Admt.exe упрощается и автоматизируется с помощью файлов опций, указывающих параметры для задачи миграции. Затем объекты д л я м и г р а ц и и м о ж н о перечислить с помощью простого текстового файла, вместо того чтобы вводить каждый объект в командную строку. Кроме того, инструмент A D M T обеспечивает интерфейсы, позволяющие использовать сценарии задач миграции на таких языках, как Microsoft VBScript. Запустите консоль A D M T и откройте сетевую справку Help, чтобы получить сведения об A D M T в командной строке и создании сценариев для ADMT.

При выполнении задач миграции утилита A D M T позволяет эмулировать миграцию, чтобы оценить потенциальные результаты и ошибки без внесения изменений в конечный домен. Мастеры этой утилиты позволяют тестировать параметры миграции и выполнить ее позже с помощью соответствующей опции Test The Migration Settings And Migrate Later (Тестировать настройки миграции и выполнить миграцию позже). Затем задачу миграции можно отконфигурировать, протестировать параметры, просмотреть файлы журналов и отчеты, генерируемые мастерами. Процесс тестирования и анализа результатов будет повторяться по мере миграции пользователей, групп и компьютеров, а также выполнения преобразований безопасности.

Миграция и и д е н т и ф и к а т о р ы безопасности

Главной задачей при выполнении любой миграции является непрерывный доступ к ресурсам. Кроме того, для выполнения миграции необходимо хорошо знать концепции идентификаторов безопасности SID (Security Identifier),