Active Directory
Процес входу в домен Active Directory
1. Запит списку найближчих DC (DNS, SRV) 2. Вибір DC, визначення IP (DNS, A) 3. Перевірка доступності DC (ICMP PING/LDAP) 4. Синхронізація часу з DC (NTP) 5. Аутентифікація комп'ютера в домені (Kerberos) 6. Перевірка швидкості з'єднання з DC (ICMP PING) 7. Отримання групових політик комп'ютера (LDAP/SMB) 8. Аутентифікація користувача в домені (Kerberos) 9. Отримання групових політик користувача (LDAP/SMB) 10. Завантаження профілю користувача
Контролер домену- сервер, на якому встановлено програмне забезпечення Active Directory, а також розташована база даних даної служби.
Домен- область, що об'єднує групу комп'ютерів (та інших об'єктів), які під час роботи в мережі, при пошуку доступних ресурсів, орієнтуються на єдиний довідник (Active Directory). Цей довідник розповсюджує на ці комп'ютери свої політики безпеки. Домен вказує область впливу будь-якої окремої служби каталогів, визначає межі дії політик безпеки цієї служби каталогів.
Дерево- кілька доменів, які використовують спільний простір імен Active Directory.
Ліс- кілька дерев доменів, що належать одній структурі (підприємству).
Сайт- область, яка містить у собі одну або кілька підмереж (за наявності швидкого та надійного підключення між цими підмережами). Використання такого компонента, як сайт, дозволяє враховувати топологію та характеристики мережі, де встановлюється Active Directory.
Підрозділи (Organizational Unit - OU)- свого роду «контейнери», використовуючи які можна значно спростити керування об'єктами, що знаходяться в Active Directory. Завдякипідрозділам у базі даних Active Directory стає можливим вибудувати об'єкти, які перебувають у AD, на якусь ієрархію. Ця ієрархія зовсім має відображати реальну ієрархію (департаменти, відділи) підприємства, а має вибудовуватися як, у якому стає максимально зручно керувати тими об'єктами, які у AD. Використовуючи OU, можна здійснювати делегування управління, тобто. можна надавати якомусь користувачеві (помічнику адміна) право керувати тими об'єктами, які знаходяться в певній OU.
ФУНКЦІОНАЛЬНІ РІВНІ(РЕЖИМИ РОБОТИ)
Функціональні рівні домену:
| Windows 2000 mixed (змішаний) рівень за замовчуванням | Windows NT Windows 2000 Windows 2003 |
| Windows 2000 native(основний) | Windows 2000 Windows 2003 |
| Windows Server 2003 interim(перехідний) | Windows NT Windows 2003 |
| Windows Server 2003 | Windows 2003 |
Функціональні рівні лісу:
| Windows 2000 рівень за промовчанням | Windows NT Windows 2000 Windows Server 2003 |
| Windows Server 2003 interim(перехідний) | Windows NT Windows Server 2003 |
| Windows Server 2003 | Windows Server 2003 |
Група(Group) - об'єкт AD, який може зберігати інші об'єкти AD, такі як: Облікові записи користувачів
Типи груп:Групи безпеки.Надавати доступ до мережних ресурсів можна лише групам безпеки. Саме для надання доступу до мережевих ресурсів використовуються групи безпеки.Група поширення.Групи поширення не можуть використовуватисядля надання доступу до мережевих ресурсів об'єктам, які знаходяться всередині цих груп. Групи розповсюдження використовуються як списки користувачів. Дані списки можуть використовувати будь-які програми, які можуть працювати в AD.
Область дії групи- показує в якій частині мережі можна призначити дозволи цій групі, а також хто може входити до цієї групи. Залежно від сфери дії, групи бувають наступних типів:
Локальна група домену- До цієї групи можна вносити об'єкти з будь-яких доменів. Може використовуватися для призначення доступу тільки до тих ресурсів, які розташовані в тому ж домені, де була створена група.
Глобальна група- До цієї групи можна вносити об'єкти лише того домену, в якому і була створена група. Може отримувати дозволи на доступ до ресурсів у будь-якому домені.
Універсальна група- До цієї групи можна вносити об'єкти з будь-яких доменів. Може отримувати дозволи на доступ до ресурсів у будь-якому домені.
Способи створення облікового запису комп'ютера.
1. Скриптами. 2. Автоматично. Якщо підключити комп'ютер до домену, попередньо не створивши в базі AD для нього обліковий запис, він створиться автоматично в контейнеріcomputers. Права на створення облікового запису комп'ютера мають користувачі, що входять до груп:Адміністратори підприємства(Enterprise Admins)абоАдміністратори домену(Domain Admins)абоОператори обліку(Accounts Operators)> + кожен користувач домену може підключити до домену 10 комп'ютерів* і відтак створити 10 облікових записів комп'ютерів. *Користувач повинен мати права локльного Адміністратора на комп'ютері, що підключається. 3. Вручну, використовуючи оснащення «ActiveDirectory - Користувачі та Комп'ютери» (Active Directory - Users and Computers). Використовуючи цей спосіб, можна надати будь-якому користувачеві право підключення комп'ютера до домену.
GPO - Group Policy ObjectGPO - Згрупований в єдине ціле набір певних налаштувань (конфігурацій) групової політики.
Локальний GPO.На всіх комп'ютерах (на всіх на те, чи входить даний комп'ютер у домен чи ні) з Windows 2000, Windows Server 2003 та Windows XP існує локальна GroupPolicy. Локальний GPO зберігається в c:\windows\system32\GroupPolicy. Локальний GPO впливає лише на той комп'ютер, на якому він зберігається. Правом на редагування локальної політики має адміністратор на цьому комп'ютері.
Доменний GPO.Доменні групові політики створяться в AD. GPO зберігаються в c:\windows\sysvol\DomainName\Policies\GROUP >
У Груповій політиці Конфігурація комп'ютера, пріоритетніша за Конфігурацію користувача.
Зарезервовані місця у реєстрі для політик з Адміністративних шаблонів. У переважній більшості випадків інформація, що задається груповими політиками, зберігається у гілках:
Іноді інформація, що задається груповими політиками зберігається в:
для політик, визначених у частині «Конфігурація комп'ютера» ** для політик, визначених у частині «Конфігурація користувача»
GPO = GPT + GPCGPT-GroupPolicyTemplate (Шаблон Групової Політики ). "Представництво" GPO у файловій системі.GPC-GroupPolicyContainer (Контейнер Групової Політики). "Представництво" GPO в Active Directory.
Історія про застосовані раніше GPO зберігається в реєстрі GPO націлених на комп'ютер:
GPO націлених накористувача:
Порядок застосування GPOЛокальний > Сайт > Домен > Підрозділ 1-го рівня > Підрозділ n-го рівня Абревіатура для запам'ятовування -LSDOULocal group policy >Site-level group policy >Domain-level group policy >OU-level group policy
Час застосування групових політикГрупові політики відпрацьовують у таких випадках: 1. При завантаженні комп'ютера (відпрацьовують GPO націлені на комп'ютер). 2. При вході користувача в систему (відпрацьовують GPO націлені на користувача). 3. При роботі комп'ютера та користувача за ним, групові політики оновлюються кожні 90 хвилин + випадково від 0 до 30 хвилин. Таке оновлення називається фоновим і призначене для передачі клієнту найсвіжіших політик (якщо вони змінилися). 4. На контролері домену розклад фонового оновлення політик – кожні 5 хвилин. 5. Застосування політик можна викликати примусово, використовуючи консольну утиліту GPUPDATE.
Розклад фонового оновлення можна самостійно змінювати, використовуючи самі ж групові політики:Для користувача- GPO > Конфігурація Користувача > Адміністративні шаблони > Система > Групова політика > Інтервал оновлення групової політики для користувачівДля комп'ютера- GPO > Конфігурація Комп'ютера > Адміністративні шаблони > Система > Групова політика > Інтервал оновлення групової політики для комп'ютерівДля контролера домену- GPO > Конфігурація Комп'ютера > Адміністративні шаблони > Система > Групова політика > Інтервал оновлення групової політики для контролера домену Відключення фонового оновлення - GPO ≫ Конфігурація комп'ютера> Адміністративні шаблони > Система > Групова політика > Вимкнути фонове оновлення групової політики
Блокування успадкування(Block Inheritance)Блокування успадкування дозволяє впливати на стандартне поширення групових політик. Будучи встановленим на будь-якому контейнері, блокування успадкування не пропустить ні в сам цей контейнер, ні в контейнери, які існують нижче за жодну політику з GPO, прилінкованих вище.
Блокування успадкування можна встановлювати на такі контейнери як: 1 - Домен 2 - Будь-який підрозділ(OU), що існує в домені , встановити блокування успадкування на сайт неможливо.
У всіх контейнерах, у яких можна ввімкнути блокування успадкування, існує атрибут gPOptions, значення якого можуть мати вигляд: Значення Блокування успадкування
| 0 або | Вимкнена |
| 1 | Включено |
Опція Enforced(Заборона на перевизначення)На будь-який із «лінків» можна поставити заборону на перевизначення(опція enforced). Якщо у якогось GPO існує «лінк» з увімкненою функцією Enforced, то значення його політик НЕ зможе перезаписати жоден інший GPO.
Опція Enforced дозволяє політикам «проникати» навіть у контейнери, в яких встановлено Блокування Спадкування.
Якщо є кілька GPO з Enforced-лінками, націлених на один параметр, то виграє той GPO, який згідно з LSDOU, відпрацює першим.
Інформація про включений.вимкнений стан опції Enforced зберігається в gPlink-прапорі
| 0 | YES | NO |
| 1 | NO | NO |
| 2 | YES | YES |
| 3* | NO | YES |
коли лінк вимкнено, enforced-установка YES ігнорується.
Фільтрація групових політик за допомогою груп Active DirectoryДля того щоб якийсь об'єкт (користувач або комп'ютер) зміг застосувати призначені йому політики, йому необхідно по відношенню до цих політиків мати такі права: Читання політик -ДОЗВОленоЗастосування політик -ДОЗВОлено