Книга Active directory

с разделительными запятыми. Импортируйте ф а й л с помощью команды

CSVDE.

•Упражнение 2 В главе 2 был рассмотрен сценарий, который может создавать пользователей с помощью файла .csv. Модифицируйте этот сценарий для импорта пользователей из вашего файла .csv. Постройте в сценарии атрибуты userPrincipalName и displayName, как описано в главе 2.

Поддержка учетных записей Active Directory

В этом упражнении вы займетесь управлением учетными записями пользователей с помощью методов, упоминаемых в настоящей главе.

• Упражнение В настоящей главе описано много возможностей д л я выполнения административных задач с целью поддержки учетных записей пользователей. Вы получите очень ценный опыт, если изучите все примеры, приведенные в этой главе, и примените их в своей среде. Попробуйте использовать на практике все описанные команды и сценарии.

Пробный экзамен

На прилагаемом к книге компакт-диске представлено несколько вариантов тренировочных тестов. Проверка знаний выполняется или только по одной теме сертификационного экзамена 70-640, или по всем экзаменационным темам. Тестирование можно организовать таким образом, чтобы оно проводилось как экзамен, либо настроить на режим обучения. В последнем случае вы сможете после каждого своего ответа на вопрос просматривать п р а в и л ь н ы е ответы и пояснения.

Подробнее о пробном экзамене рассказано во введении к данной книге.

Группы

Хотя пользователи, компьютеры и даже службы со временем меняются, бизнесроли и правила обычно более стабильны. На предприятии может применяться финансовая роль, которой требуются определенные возможности. Пользователь или пользователи, выполняющие данную роль, могут сменяться, однако роль остается. По этой причине на предприятии не принято назначать права и разрешения доступа отдельному пользователю, компьютеру или объектам идентификации служб. Задачи, связанные с управлением, должны быть привязаны к группам. Мы применим группы для идентификации ролей пользователей и администраторов, фильтрации групповой политики, назначения уникальных политик паролей, прав и разрешений доступа и т. д. Для решения подобных задач нужно знать, как создавать, модифицировать, удалять и поддерживать объекты групп в домене Active Directory.

Темы экзамена:

•Создание и поддержка объектов Active Directory.

•Автоматизация создания учётных записей Active Directory.

•Поддержка учетных записей Active Directory.

Прежде всего

В настоящей главе для автоматизации процесса создания учетных записей компьютеров используются компоненты Microsoft Windows PowerShell, Microsoft VBScript, Comma-Separated Values Data Exchange (CSVDE) и LDAP Data Interchange Format Data Exchange ( L D I F D E ) . Излагаемый материал непосредственно связан с материалом занятий 1 и 2 главы 3, поэтому его обязательно нужно прочитать. Кроме того, для выполнения упражнений понадобится контроллер SERVER01 домена contoso.com. Как создается контроллер домена, описано в главе 1.

История ИЗ ЖИЗНИ

Дэн Холме

Эффективное управление группами позволяет обеспечить безопасность целостность и продуктивность в среде IT. В качестве консультанта я много работал с клиентами, конфигурируя технологию в соответствии с бизнес-требованиями. Используя технологии Microsoft Windows, следует определить и реализовать бизнес-роли и правила для определения, документирования и автоматизации задач администрирования. Для этого часто приходится повышать уровень управления клиентскими группами, технологиями и процессами. Многие 1Т-профес- сионалы в Active Directory версии Windows Server 2008 применяют устаревшие методики, не пытаясь воспользоваться всеми преимуществами групп. Я столько раз сталкивался со случаями снижения уровня производства и безопасности изза неправильного управления группами, что посвятил вопросам автоматизации и повышения уровня управления группами две главы своей книги «Windows Administration Resource Kit: Productivity Solutions for IT Professionals» (Microsoft Press, 2008). На этом занятии мы рассмотрим указанные темы сертификационного экзамена, а также ознакомимся с некоторыми дополнительными рекомендациями и методами управления группами в производственной среде.

Занятие 1. Создание групп и управление ими

Как известно, группы содержат элементы, а управляют группами как одним объектом. Реализация управления группами в Active Directory не так проста, поскольку структура Active Directory предназначена д л я п о д д е р ж к и крупных распределенных сред и включает семь типов групп: две группы домена с тремя областями действия в каждой и локальные группы безопасности. На этом занятии речь пойдет о назначении каждой группы, а также о выполнении бизнес-требований с помощью сложных опций Active Directory.

Изучив материал этого занятия, вы сможете:

/Создавать группы с помощью оснастки Active Directory — пользователи

икомпьютеры (Active Directory Users And Computers).

/Идентифицировать типы объектов, которые могут быть членами групп с различными областями действия.

/Управлять членством в группах.

УРазработать стратегию управления группами.

Группы представляют собой принципалы без.опасности с идентификатором j безопасности SID (Security Identifier), которые содержат в своем атрибуте \

Рассмотрим ситуацию, когда всем 100 пользователям в отделе продаж требуется доступ чтения к общей папке на сервере. Нет смысла назначать разрешения доступа каждому отдельному пользователю, поскольку при приеме на работу новых менеджеров по продажам в список контроля доступа ACL (Access Control List) папки придется добавлять новые учетные записи. При удалении учетных записей из списка ACL понадобится удалить разрешения доступа, иначе в ACL останется отсутствующая учетная запись (рис. 4-1), ведь SID-идентификатор в ACL ссылается на учетную запись, которую невозможно разрешить. Представим, что всем 100 пользователям в отделе продаж потребуется доступ к 10 общим папкам на трех серверах. Управление этими пользователями значительно усложнится .

йсслт*те.лыю |

Рис. 4-1. Список ACL с SID-идентификатором, ссылающимся на учетную запись, которую невозможно разрешить

Вместо разрешений доступа к ресурсу отдельным объектам идентификации (например, п о л ь з о в а т е л я м и компьютерам) рекомендуется назначить одно разрешение доступа группе, а затем управлять доступом к ресурсу, изменяя членство в этой группе.

Д л я примера мы можем создать группу Продажи и назначить ей доступ чтения (Allow Read) к 10 общим папкам на трех серверах. Таким образом мы получаем в свое распоряжение единую точку управления. Группа Продажи станет эффективным средством управления доступом к общим папкам. В группу можно добавлять новых менеджеров по продажам, которые получат доступ к 10 общим папкам. При удалении учетной записи автоматически удаляется и ее членство в группе, так что в списках ACL не появятся неразрешимые SIDидентификаторы. Кроме того, мы получаем дополнительное преимущество: поскольку список ACL остается стабильным вместе с группой Продажи, которой назначен доступ чтения, будет проще выполнять архивацию. Изменение списка ACL папки распространяется на все дочерние файлы и папки и требует архивации всех файлов, даже если содержимое этих файлов не изменялось.

Представим, что доступ чтения к этим папкам требуется не только менеджерам по продажам. Служащим отдела маркетинга и консультантам, нанимаемым организацией, также нужен доступ чтения к тем же папкам. Эти группы, конечно, можно добавить в списки ACL папок, однако в конечном счете вы столкнетесь с той же ситуацией, как и с пользователями, только списки ACL будут переполнены не пользователями, а группами. Чтобы предоставить трем группам доступ чтения к 10 папкам на трех серверах, потребуется добавить 30 разрешений! Для следующей группы, которой понадобится доступ к 10 папкам, потребуется добавить еще 10 изменений в списки ACL десяти общих папок. А что если еще восьми пользователям, не принадлежащим к этим группам, также потребуется доступ чтения к 10 общим папкам? Следует ли добавлять эти отдельные учетные записи пользователей в списки ACL?

Как видите, применение лишь одного типа группы, определяющего бизнесроли пользователей, не позволяет эффективно управлять доступом к 10 папкам. Решение — использовать в этом сценарии два типа управления . Пользователями следует управлять как коллекциями на основе их бизнес-ролей. Кроме того, нужно управлять доступом к 10 папкам. Эти 10 папок т а к ж е будут коллекцией элементов, представляя единый ресурс, распределенный в 10 папках на трех серверах. Нам требуется управлять доступом чтения к этой коллекции ресурсов, то есть необходима единая точка управления, позволяющая контролировать доступ к коллекции ресурсов.

Для этого нужна еще одна группа, предоставляющая доступ чтения к 10 папкам на трех серверах. Допустим, что этой группе присвоено имя ACL_^Sales Folders_Read и назначается доступ чтения к 10 папкам. Группы продаж, маркетинга, консультантов, а также восемь отдельных пользователей могут быть членами группы ACL_Sales Folder_Read. Если доступ к папкам потребуется дополнительным группам или пользователям, их можно добавить в данную группу. Кроме того, значительно проще определить, кто располагает доступом чтения к этим папкам. Вместо анализа списков ACL каждой из 10 папок нужно просто просмотреть список членов группы ACL_Sales Folder _ Read .

Такой способ управления предприятием с помощью групп называется управлением на основе ролей. Роли пользователей определяются на основании биз- нес-функций, например принадлежности к отделу продаж, маркетинга и т. д., и соответствия бизнес-правилам, например роли и отдельные пользователи могут получать доступ к 10 папкам.

Обе задачи управления можно решить при помощи групп в каталоге. Роли представлены группами, которые содержат пользователей, компьютеры и другие роли. Да, именно так: одни роли могут включать другие. Например, роль Руководство может включать роли Коммерческие руководители, Финансовые руководители и Руководители производства. Такие правила, как определение права доступа чтения к 10 папкам, также представлены группами. Группы правил содержат группы ролей и, иногда, отдельных пользователей — таких как восемь пользователей в рассматриваемом примере, или компьютеры.

Для управления предприятием любого масштаба требуется эффективно руководить группами и создать инфраструктуру групп с единым пунктом управления

ролями и правилами. Технически это означает, что потребуются группы, членами которых могут быть пользователи, компьютеры, другие группы и, возможно, принципалы безопасности из других доменов.

Определение соглашений именования групп

Чтобы создать группу с помощью оснастки Active Directory — пользователи и компьютеры (Active Directory Users And Computers), достаточно щелкнуть правой кнопкой мыши подразделение, в котором хотите создать группу, выбрать опцию Создать (New) и применить команду Группа (Group). В диалоговом окне Новый объект — Группа (New Object — Group), представленном на рис. 4-2, можно указать основные свойства д л я новой группы.

*J

'4 ^ Создать в: сопЮю.сот/Группы/Роли

Имя группы {лред-vyndows 3300):

-j Консультанты

Рис. 4-2. Создание новой группы

Вначале нужно указать имена группы. Группа пользователей или компьютеров может иметь несколько имен. Первое имя в поле Имя группы (Group Name) используется Windows 2000 и более поздними системами для идентификации объекта (см. рис. 4-2). Это имя преобразуется в атрибуты сп и пате объекта. Второе имя пред-Windows 2000 представляет атрибут sAMAccountName, служащий для идентификации группы на компьютерах Microsoft Windows NT 4.0 и в некоторых устройствах, таких как сетевые хранилища данных NAS (Network Attached Storage), в операционных системах не из семейства Windows. Атрибуты сп и пате не могут повторяться только внутри контейнера (подразделения), где создана группа.

Атрибут sAMAccountName должен быть уникальным во всем домене. Технически данный атрибут sAMAccountName может содержать значение, отличающееся от сп и пате, однако делать так не рекомендуется. Используйте имя, уникальное в домене, и введите его в оба поля диалогового окна Новый объект — Группа (New Object — Group).

Спомощью выбранного имени вы будете ежедневно управлять группой

ипредприятием. Рекомендуется следовать соглашению именования, по которому

имя идентифицирует тип и назначение группы. В качестве примера можно привести имя группы ACL_Sales Folder_Read из предыдущего подраздела. Префикс означает, что группа служит для назначения прав доступа к папке и используется в списках контроля доступа ACL. Основная часть имени описывает ресурс, управляемый группой. Суффикс указывает, что группа управляет доступом чтения. Разделитель (в данном случае символ подчеркивания) служит для разделения составляющих имени. Отметим, что разделитель не ставят между словами Sales и Folder. В именах групп можно использовать пробелы. Для ссылки на эти группы в командной строке такие имена нужно заключать в кавычки. Вы можете создать сценарии, которые используют разделитель для разложения имен групп на составляющие с целыо аудита и отчетности. Помните, что группы ролей, определяющие роли пользователей, часто будут применяться неопытными в техническом отношении сотрудниками . Например, группе продаж можно назначить электронный адрес д л я распространения электронной почты. Поэтому рекомендуется не использовать в именах групп ролей префиксы и назначать понятные пользователю имена.

Типы групп

Существует два типа групп: безопасности и распространения. П р и создании группы нужно выбрать ее тип в диалоговом окне Н о в ы й объект — Группа (New Object — Group).

Группы распространения изначально используются п р и л о ж е н и я м и электронной почты. Эти группы — не субъекты безопасности и не содержат SIDидентификаторы. Поэтому им нельзя назначать разрешения доступа к ресурсам. Сообщение, отправленное группе распространения, будет переслано всем ее членам.

Группы безопасности представляют собой принципалы безопасности с SIDидентификаторами. Поэтому такие группы можно использовать как элементы разрешений в списках ACL для управления безопасностью доступа к,ресурсам. Группы безопасности могут также служить приложениям электронной почты в качестве групп распространения. Если группа будет использоваться для управления безопасностью, она должна быть группой безопасности.

Поскольку группы безопасности можно применять и д л я доступа к ресурсам, и для распространения электронной почты, многие организации используют только группы безопасности. Тем не менее если группа будет применяться только для распространения электронной почты, рекомендуется создать группу распространения. Иначе группе будет назначен SID - идентификатор, который добавляется в маркер безопасности доступа пользователя, увеличивая таким образом его размер.

Область действия группы

Группы содержат пользователей, компьютеры и целые группы. Группы могут быть членами других групп. На группы могут ссылаться списки ACL, фильтры объектов групповой политики и другие компоненты управления. Область действия влияет на все эти характеристики группы: какие члены могут в нее

входить, к каким группам она может принадлежать и где использоваться. Существует четыре области действия: глобальная, локальная в домене, локальная и универсальная.

Характеристики, определяющие каждую область действия, распределены по следующим категориям.

•Р е п л и к а ц и я Где определена группа и на какие системы выполняется ее репликация.

• Членство Какие типы принципалов безопасности группа может содержать в качестве членов. Может ли группа включать принципалы безопасности из доверенных доменов.

В главе 12 описаны доверительные связи, или так называемые доверия. Доверие позволяет домену ссылаться на другой домен для проверки подлинности пользователя, включать принципалы безопасности из другого домена в качестве членов группы и назначать разрешения доступа для принципалов безопасности в другом домене. Используемая терминология может сбить с толку. Если домен А доверяет домену Б, то домен А называется доверяющим, а домен Б доверенным. Домен А принимает учетные данные пользователей в домене Б. Он пересылает запросы пользователей домена Б для проверки подлинности этих пользователей на контроллере домена Б, поскольку доверяет хранилищу объектов идентификации и службе проверки подлинности в домене Б. Домен А может добавлять принципалы безопасности домена Б в группы и списки ACL в домене А. Более подробные сведения м о ж н о найти в главе 12.

СОВЕТ К Э К З А М Е Н У

В отношении членства в группе нужно помнить, что если домен А доверяет домену Б, то домен Б называется доверенным, а его пользователи и глобальные группы могут быть членами локальных групп в домене А. Кроме того, пользователям и глобальным группам домена Б можно назначать разрешения доступа к ресурсам в домене А.

• Доступность Где будет использоваться группа. Можно ли включить эту группу в другую группу. М о ж н о ли добавить группу в список ACL.

Эти характеристики следует продумать при определении области действия каждой группы.

Л о к а л ь н ы е группы

Локальные группы определены и доступны только на одном компьютере. Локальные группы создаются в базе данных диспетчера безопасности учетных записей SAM (Security Accounts Manager) рядового компьютера домена. Локальные группы содержатся на серверах и рабочих станциях. В рабочей группе локальные группы используются для управления безопасностью ресурсов в системе. Управление локальными группами отдельных компьютеров в домене слишком громоздко и по большей части не нужно. На рядовых членах домена не рекомендуется создавать настраиваемые локальные группы. В доменной среде нужно управлять только локальными группами в оснастке Active Directory —

пользователи и компьютеры (Active Directory Users And Computers). Подведем краткие итоги.

•Репликация Локальная группа определяется только в локальной базе данных SAM рядового сервера домена. Эта группа и ее членство не реплицируются в другие системы.

• Членство Локальная группа может содержать следующие члены:

овсе принципалы безопасности в домене: пользователи, компьютеры, глобальные группы и локальные группы в домене;

опользователи, компьютеры и глобальные группы из любого домена

влесу;

опользователи, компьютеры и глобальные группы из любого доверенного домена;

оуниверсальные группы, определенные в любом домене леса.

• Доступность Локальная группа располагает областью д е й с т в и я л и ш ь на уровне компьютера. Ее можно использовать в списках ACL только на локальном компьютере. Локальная группа не может быть членом других групп.

Локальные группы в домене

Локальные группы в домене изначально используются д л я у п р а в л е н и я разрешениями доступа к ресурсам. Например, группа ACL _ Sales Folder _ Read, описанная ранее на этом занятии, должна быть создана как локальная группа в домене. Далее перечислены характеристики локальных групп в домене.

овсе принципалы безопасности домена: пользователи, компьютеры, глобальные группы и другие локальные группы в домене;

опользователи, компьютеры и глобальные группы из любого домена

влесу;

оуниверсальные группы, определенные в любом домене леса.

• Доступность Локальную группу в домене можно добавить в списки ACL любого ресурса на любом рядовом компьютере домена. Кроме того, локальная группа в домене может быть членом других локальных групп в домене и даже локальных групп компьютеров.

Членство в локальной группе домена идентично членству в обычных локальных группах, но репликация и доступность л о к а л ь н о й группы домена позволяет использовать ее в пределах всего домена. Поэтому локальную группу домена удобно применять для определения правил управления деятельностью предприятия, например правил доступа, поскольку эту группу можно использовать во всем домене и включать в нее члены любого типа внутри данного домена, а также члены из доверенных доменов.

Глобальные группы

Глобальные группы изначально служат для определения коллекций объектов доменов на основе бизнес-правил. Группы ролей, например группы Продажи и Маркетинг, упомянутые ранее, а также роли компьютеров (например, Ноутбуки отдела продаж), будут созданы как глобальные группы. Далее описаны характеристики глобальных групп.

•Р е п л и к а ц и я Глобальная группа определяется в контексте именования домена. Объект группы, включая атрибут member, реплицируется на все контроллеры в домене.

Как видим, членство в глобальных группах ограниченно (только пользователи, компьютеры и глобальные группы из одного домена), однако они доступны в домене, лесу и доверяющих доменах. Их удобно применять для определения ролей, поскольку роли, как правило, представляют собой коллекции объектов из одного каталога.

У н и в е р с а л ь н ы е г р у п п ы

Универсальные группы удобно задействовать в лесах из множества доменов. Они позволяют определять роли и управлять ресурсами, которые распределены на нескольких доменах. Понять принцип универсальных групп проще всего на примере. Компания Trey Research имеет лес с тремя доменами — Americas, Asia и Europe. Каждый домен располагает учетными записями пользователей и глобальной группой Региональные менеджеры, включающей менеджеров данного региона. Как мы говорили, глобальные группы могут содержать пользователей только из одного домена. Поэтому была создана универсальная группа Региональные менеджеры Trey Research, в которую в качестве членов добавлены три группы Региональные менеджеры. Таким образом, группа Региональные менеджеры Trey Research определяет роль для всего леса. Пользователи добавляются в одну из вложенных групп Региональные менеджеры и так становятся членами группы Региональные менеджеры Trey Research.

Компания Trey Research планирует реализовать новый продукт, для чего потребуется обеспечить сотрудничество с регионами. Ресурсы проекта хранятся на файловых серверах в каждом домене. Д л я определения пользователей, которые могут модифицировать ф а й л ы нового продукта, создана универсальная группа ACL _ New _ Product _ Modify . Этой группе назначается разрешение изменения (Allow Modify) общих папок на каждом файловом сервере в каждом домене. Группа Региональные менеджеры Trey Research включена в группу