-Подписка по e-mail

 

 -Поиск по дневнику

Поиск сообщений в Admining

 -Статистика

Статистика LiveInternet.ru: показано количество хитов и посетителей
Создан: 26.05.2006
Записей:
Комментариев:
Написано: 49


Active Directory (Полный мануал)

Пятница, 26 Мая 2006 г. 18:09 + в цитатник
Steep_Zero все записи автора В колонках играет - Ленинград - Свобода
Настроение сейчас - ...устал

Александр Приходько - sanprih[6]mail.ru

- Создадим папки для пользователей, файл "не убий";

- Поднимем домен;

- Развернем Active Directory;

- Создадим группы;

- Разрулим NTFS-разрешения;

- Понятие доменной политики безопасности, квотируем диск;

- Теневое копирование - зачем оно и с чем его едят.

Ты пришел на работу, полез посмотреть, что творит твой сервер. Вроде бы стоит, работает, но толку от него не дождешься до тех пор, пока не населишь его тварями разумными, папками и правами.
Пойдем по пути наименьшего сопротивления. Диск С:\ уже настроен, теперь займемся вторым, девственно чистым диском Е:\. Для тех, кто только что включил телевизор, напомню, что диск Е:\ представляет собой массив из четырех SCSI-дисков (RAID 5) и создан только для хранения файлов пользователей, программ, фильмов, музыки и т.д.
Прежде чем создавать пользователей, создадим структуру нашего хранилища. Все будет просто и логично. Достаем из широких штанин черновик, где предварительно прикинута структура предприятия, и переносим ее на диск. Условимся, что в предполагаемой конторе есть три подразделения: начальство (группа HEAD), бухгалтерия (группа "Бухгалтерия"), экономисты (группа "Экономисты"). Вот такая странная контора. Итак, создаем на диске Е:\ папку USERS, внутри нее три папки по именам групп: НЕАD, "Бухгалтерия" и "Экономисты".
Внутри каждой групповой папки создаем папки по фамилиям пользователей, входящих в эту группу. Сделать это просто, а объяснить понятно - сложно, но надеюсь, ты еще не потерял нить повествования, все правильно сделал и уже имеешь в корне на диске Е:\ всего одну папку USERS, зато внутри нее целый куст (дерево) папок. Пользователей пока нет, но про будущую политику безопасности мы подумаем сразу. Требуется, чтобы пользователь мог творить что угодно со своей личной папкой, но только не удалять ее. Реализуем это довольно простым способом. Откроем блокнот (в смысле Notepad) и сохраним файл под именем nokill.txt, пусть пока он полежит в корне диска Е:\ - еще пригодится.
Теперь я объясню идею построения корпоративной политики безопасности на уровне разрешений NTFS. Имеется групповая папка, внутри которой - папки пользователей. В корне групповой папки всем членам группы не запрещено ничего, кроме просмотра папок других пользователей. Также всем гарантируется, что до их личных папок не доберутся чужие глаза (ну ты не говори им, что остаешься ты - администратор). Пользователи группы могут видеть только свою групповую папку, в чужие группы они не попадают.
Однако нашей организации необходима папка, в которую может залезть любой желающий. Предоставим же ей такое счастье.
Создаем в корне диска Е:\ папку с громким именем "Обмен". Далее предоставить всем пользователям полные права на нее (надеюсь, ты не забыл, что пользователей пока нет и их права распределяем только в уме). Потратить еще некоторое количество времени и каждому пользователю в его личную папку поместить файл nokill.txt, выставить ему атрибут "Скрытый", права на него пока не трогать. В принципе, пока разрешениями NTFS мы не занимались совсем. Время, затраченное на создание файловой структуры, с лихвой окупится после поднятия домена.
Поднимаем неподъемное
Наступило время заняться серьезным делом - поднимать домен. Ты знаешь, почему у Буратино дерево не выросло? Потому что бестолковая лиса Алиса сказала ему не ту команду: вместо "Preks-Feks-Peks" нужно было набирать в командной строке "DCPROMO", и тогда даже не дерево - целый лес бы вырос.
Поехали. Start> Run, в строке Open набрать "dcpromo" - попадаем на Active Directory Installation Wizard. Нажать Next, внимательно прочитать предупреждение о том, что старые оси Windows 95 и Windows NT4 не смогут подключиться к домену, который работает под управлением Win2k3 Server. На следующей страничке выбираем Domain controller for a new Domain, затем Next (соглашаемся на создание нового леса). Далее предлагается сконфигурить DNS (ну не работает AD без DNS) - согласиться. Далее предупредят о необходимости откорректировать сетевые параметры, в ответ залезть в свойства протокола TCP/IP, в поле Preferred DNS Server укажи IP-адрес своего же сервера. Теперь необходимо придумать имя этому новому домену.
А сейчас лирическое отступление. Возможности операционной системы Windows 2003 Server, вопреки распространенному мнению, очень широкие. Когда в офисе разворачивается AD, предполагается, что в данной конторе работает около 10 000 человек, поэтому механизмы настройки и аудита такие серьезные. При создании пользователей в контексте AD каждый пользователь получает свой e-mail-адрес - pupkin@твойдомен.провайдер. Если ты поднимаешь домен и у тебя есть реальное доменное имя, то в название домена должно быть введено именно оно. Но мы рассматриваем ситуацию, когда домен поднимается в локальной небольшой сети, так что назначаем любое имя. Я, например, обхожусь двухбуквенным именем. Соответственно, и DNS зона, которую поднимем, будет кукольной.
Итак, имя нашли. В ответ пришло гнусное предупреждение о том, что имя должно походить на domain.microsoft.com - проигнорировать, нажать Yes. После минуты обиженного молчания Windows соглашается с нашим именем и даже угодливо предлагают свой вариант Domain NetBIOS Name - соглашайся. Далее следует создание каталогов для размещения базы данных AD. Существует мнение, что базу NTDS лучше не держать на системном диске, чтобы не снижать быстродействие. Когда в AD сидит 10 000 пользователей, это заметно, но в нашей провинциальной сети на 10-100 пользователей особого простора в скорости мы не заметим, так что оставляй все по умолчанию. Держать на системном диске каталог SYSVOL тоже не рекомендуется. Далее получаем сообщение об ошибке настройки зоны DNS - выбрать пункт "I will correct the problem later by configuring DNS manually" (Advanced).
Теперь нарываемся на очередную швабру - Permission. Нужно честно ответить на вопрос о том, есть ли в сети машины под управлением старых операционок или только под Windows 2000 и выше. В нашей организации все круто, у всех пользователей стоит XP или Win2K, поэтому выбираем следующий вариант: Permission compatible only with Windows 2000… Далее вводим пароль для режима восстановления (этот режим - отдельная тема политики безопасности). В следующем окне читаешь о том, что уже натворил, давишь Next и идешь спать, ибо начинается шаманский танец "Конфигурирование Active Directory". После просмотра танца – кнопка Finish> Restart now…
Ребут
После перезагрузки в окне Logon появилась дополнительная строчка Logon to, где уже прописано имя твоего домена. В закладке Administrative Tools появилась целая куча новых инструментов. "Да будет Свет!" уже было сказано – теперь начнем заселять наш новый лес.
Start> Programs> Administrative Tools> Active Directory> Users and Computers> Users. Ба-а, сколько тут новых пользователей появилось! С ними разберемся позже, пока начнем создавать группы (папки для них уже сделаны). Правая кнопка мыши на Users, меню New Group, написать "HEAD" и выбрать область действия группы (Group scope) Global.
Небольшое техническое отступление. Есть очень хорошая книга Ф.Зубанова "Active Directory", в которой очень толково расписано, для чего служат определенные области действия групп. Я оставлю тонкости, можешь прочитать сам, если книгу найдешь. Конец отступления.
Таким же методом заводим группы "Бухгалтерия" и "Экономисты". Главное правило при назначении любых прав гласит: "Все права назначаются через групповые политики". Кратко поясню, что доступ ко всем объектам осуществляется через SID (идентификатор безопасности), и если на какой-нибудь файл ты будешь назначать права конкретному пользователю, а затем удалишь пользователя из системы, то на этом файле останется висеть SID пользователя. Для того чтобы такого не происходило, доступ ко всем ресурсам осуществляется через группы, так как в этом случае операционная система ставит на объект SID группы и, соответственно, в базе AD не появляется лишних записей. Пример потерянного пользователя смотри на рисунке.
Населяем Эдем живностью
Заводим пользователей. Все так же, как и при создании групп, только выбираем User. Лучше не полениться и полностью заполнить все поля карточки пользователя. Представь, что однажды лень таки пересилила тебя, примерно через полгода смотришь на учетную запись "Света" и мучительно вспоминаешь, к какой из 12-ти работающих в конторе Свет относится эта запись. Мораль: лень в себе нужно контролировать жестко. Итак, тупо заполняем карточки пользователей по списку, выданному кадровой службой. Можно пока не напрягаться с паролями и правами и заниматься только бюрократией. Завели. Переходим к правам и обязанностям.
Я опишу настройку прав на примере одной группы и одного пользователя, для остальных будет аналогично. Берем пользователя Иванова из группы HEAD. Открываем оснастку Active Directory Users and Computers. Двойной щелчок на пользователе "Иванов", попали в свойства, выбрать закладку Member of. Там светится одна группа Domain Users, нажать кнопарик Add> Advanced> Find Now, в открывшемся списке выбрать группу HEAD. Если время жизни паролей для тебя не критично (ты не занимаешься жуткой коммерческой тайной и т.д.), то, перейдя на закладку Account, отметь галочкой Password never expires. Если не хочешь, чтобы пользователь сам изменял пароль, рядом ставишь галочку напротив User cannot change password. Возможности по настройке прав пользователя в системах Windows Server очень большие. Если внимательно изучить свойства пользователя, то можно найти массу способов ограничить его права в домене. А если изменить пароль конкретному пользователю, щелкай правой кнопкой мыши на пользователе и в выпавшем меню выбирай Reset Password.
Заниматься этим придется очень часто, если ты позволишь пользователям самим менять пароли :). Как говорят французы, се ля ви. Либо пользователи сами изменяют пароли и забывают их, зато кроме пользователя и тебя на его машину никто не влезет, а ты с завидной периодичностью будешь сбрасывать пароли подопечным, либо ты сам прописываешь пароли и дальше проблема пользователя, что делать с ним - приклеить к монитору на стикере или запомнить.
Психологическое отступление
Чем сложнее и строже политика безопасности, тем чаще в твою безопасность вмешивается человеческий фактор. Не хочется переходить на личности, но в одном московском банке установили аутентификацию на вход в систему по ключам Touch Memory. Через два месяца ребята, которые устанавливали это все, пришли в банк по мелким делам и чуть не заработали инфаркт: почти на всех системных блоках висели приклеенные на скотче ключи Touch Memory. На гневное замечание о нарушении безопасности работники банка ответили: "Зато так мы не теряем эти ключи". Любая безопасность бессильна перед человеческим фактором. Если пароль очень длинный, пользователь напишет его на бумажке и оставит возле монитора. Я не призываю, конечно, наплевать на безопасность, но попробуем свести вред человеческого фактора к минимуму. Попробуем построить домен так, чтобы не бояться потерять любой компьютер домена плюс чтобы сам домен никак не пострадал.
Эта долька для ежа...
Теперь размещаем наших пользователей по группам "Ляпкин, Тяпкин, Пупкин" – "Экономисты", "Иванов, Петров, Сидоров" – HEAD, "Балаганов, Бендер, Козлевич" – "Бухгалтерия".
Займемся NTFS-разрешениями. Для этого заходим на диск Е:\ в папку HEAD> Users, далее папка "Иванов".
На файле nokill.txt правой кнопкой мыши, Properties> Security, в поле Group or user names удалить всех, кроме Administrators (это делается через кнопку Remove). И тут мы получаем сообщение о невозможности удалить пользователя, потому что разрешения NTFS на этот объект наследуются от родительского, то есть от диска Е:\.
Напротив надписи "For special permissions…" нажимаем кнопку Advanced. В открывшихся свойствах на первой закладке наблюдаем все действующие разрешения. Убираем галочку напротив надписи "Allow inheritable permissions…", так как Windows по умолчанию распространяет все разрешения с родительского объекта на дочерний. Если ты создаешь каталог и назначаешь на нем какие-нибудь права, а позже внутри этого каталога создается файл или другой каталог, то вновь созданные файлы/папки получат те же права, что и родительские. Так вот чтобы спокойно рулить правами на дочернем, просто снимаем ту галочку. В результате Windows выдает запрос: "Что сделать с уже имеющимися правами?" Их можно скопировать либо удалить - выбираем "Скопировать".
Теперь, вернувшись на предыдущую страничку, спокойно удаляем всех пользователей, кроме группы Administrators. Теперь файл nokill.txt можешь удалить только ты - Administrator. При этом сам пользователь "Иванов" не сможет удалить свою папку, так как она не пустая.
Я рассказываю так подробно, чтобы потом не возвращаться к этому вопросу. А сейчас работаем аналогично с папкой "Иванов": правой кнопкой Properties> закладка Security> Advanced, снова снять галочку, скопировать разрешения, возвратиться, удалить всех, кроме группы Administrators. Добавить пользователя "Иванов", дать ему разрешение Full Control. Теперь в папку может попасть только "Иванов" и Administrators. Все то же самое проделать со всеми пользователями и их папками. А никто и не говорил, что будет легко…
Теперь разберемся с папкой "Обмен". Так же в нее помещаем nokill.txt, настраиваем, затем правой кнопкой на папке "Обмен"> Properties> Sharing.
Отмечаем Share This Folder> Permissions и даем полное разрешение на папку учетной записи Everyone. Далее идем на соседнюю закладку Security и чуть изменяем права пользователю Users: отмечаем Full Control. Теперь все пользователи, зарегистрированные в домене, могут заходить в папку "Обмен", создавать и удалять там любое содержимое, кроме файла nokill.txt и, соответственно, самой папки "Обмен".
Все, что описывается в этой статье, работает, но полное понимание всех механизмов действующих разрешений немного сложнее. Например, на папке "Обмен" мы имеем два вида разрешений: одно разрешение - Sharing, вторая группа разрешений - Security. Так вот, результирующее разрешение будем пересечением двух этих разрешений. На папке "Обмен" и по первому, и по второму виду разрешений имеем "Полный доступ", поэтому все пользователи могут делать что захотят. Если бы по одному разрешению мы имели "Полный доступ", а по второму, например, "Только чтение", то результирующим было бы разрешение "Только чтение" (применяются максимально ограничивающие разрешения).
Вам сколько байтов отгружать?
Теперь рассмотрим понятие "квоты". Первое, что приходит на ум, если слышишь это слово, - размер чего-то. Все верно, "квота" относится как раз к размерам и пределам. Для того чтобы твой сервер не стал свалкой ненужных файлов, предусмотрена возможность назначить каждому пользователю максимальную квоту, которую он может занять на дисковом пространстве сервера. По умолчанию квотирование диска отключено, и поэтому каждый пользователь может занять своими данными все пространство - нам такое не подходит. Среднестатистическим клеркам для хранения их средних Word'овских и Excel'овских файлов хватит и ста мегабайт дискового пространства. Но ты сам примешь решение, сколько отрезать от общего пирога определенным людям, исходя из потребностей пользователей и размера пирога. Включаем квоту: правая кнопка мыши на диске Е:\> Properties> Quota, отмечаем Enable quota management> Deny disk space to users exceeding quota limit.
Дальше все понятно и без слов: отмечаем Limit disk space to, устанавливаем саму квоту (пусть будет 100 Mб). Чтобы вовремя предупреждать пользователя о том, что заканчивается место, отведенное для его нужд на диске, вводим параметр в поле Set warning level to (ставим 98 Mб). Теперь пользователь получит предупреждение при прохождении контрольной точки в 98 Мб. Далее если любишь почитать логи, то отмечай чекбоксы, когда пользователь превысит квоту и пройдет контрольную точку. Но я думаю, что для тебя это лишнее чтиво: на контроллере домена всегда и так есть что почитать в логах. Далее жмешь кнопку Quota Entries и в открывшемся окне давишь на белый листик в левом углу.
Дальнейшую процедуру ты и сам знаешь не хуже, чем таблицу умножения. Выбираешь пользователя, выставляешь ему ограничения. Существует всего одна проблема при квотировании дисков. Правда, это проблема твоих пользователей, но… По твоим настройкам пользователь может бросать свои файлы в три папки: в корень групповой папки (HEAD), в свою личную папку ("Иванов") и в "Обмен". Так что если он набросает файлов на 100 Мб в папку "Обмен", то очень удивится, когда не сможет положить нужный документ в личную папку. Дабы он не мучил тебя своими подозрениями, среди личного состава вверенного тебе боевого подразделения проведи разъяснительную беседу на тему "Своевременная уборка вверенных территорий как залог наличия свободного места и чистой совести". Пользователи, которые не пользуются ничем, кроме Word'а и Excel'а, вряд ли доставят тебе много хлопот, но любителей MP3'шек ждет глубокое разочарование. Никто не мешает тебе увеличивать квоту для любимых подопечных. Умные книги советуют раздавать квоты не пользователям, а группам. Прислушайся к совету, и рулить будет проще.
Первый после Бога
И напоследок: не забудь включить теневое копирование диска, если хочешь, чтобы пользователи молились на тебя как на шамана.
Разъясню суть теневого копирования. При его включении и при настройках по умолчанию состояние всего диска сбрасывается в теневую копию два раза в сутки (рекомендую настроить утром и вечером), постоянно будет храниться откат предыдущего дня в его двух состояниях: на конец рабочего времени и на начало нового дня конторы. Если пользователь снес на сетевом диске годовой отчет и уже начал прилаживать к потолку намыленную веревку, ты подходишь к нему и, придерживая стул под ним, чтобы он (стул) не упал раньше времени, восстанавливаешь удаленный файл. Теневое копирование позволяет "откатиться" назад на какое-то время. Глубина отката задается при теневом копировании указанием размера, отведенного под теневое копирование. Естественно, чем больше места, тем больше откатов возможно. Восстановление происходит через "Проводник": правая кнопка мыши на сетевой папке, в контекстном меню выбрать Previous Versions.
Далее в открывшемся окне выбираешь действие: View, Copy или Restore. Для корректности отката спроси у пользователя, что именно он потерял, и мастерским кликом мыши ввергни его в эйфорию.
На сегодня все. В следующий раз поговорим об именах и адресах, для настроения поднимем DNS и WINS и чуть-чуть пощупаем протоколы.
Я вдруг решил пофилософствовать на тему изобретения паролей. Существует куча способов взломать чей-нибудь пароль: софт, социальная инженерия и многое-многое другое. Всегда смеюсь, когда узнаю, что моим подопечным снова пришло письмо якобы от меня (администратора почтовой системы): "Я, Администратор Почтовой Системы, утерял базу данных паролей и прошу выслать мне password от вашего почтового ящика". Особенно смешно то, что некоторые мои пользователи имеют проблемы и с русским языком, а письма-то на английском приходят :). Весело, в общем.
Впрочем, русские (и весь бывший СССР) отличаются своей сообразительностью от американцев (и остальных буржуев), поэтому и пароли у нас другие. Все спецы в один голос советуют использовать так называемые комплексные пароли - вперемешку буквы-цифры и символы. Например, вместо буквы "а" используется символ "@", а вместо буквы "о" - цифра "0" и т.д. По-моему, запоминать такое проблематично. Я пользуюсь другим способом. Как вариант, выбираешь длинное слово и, глядя на русские буквы, набираешь в английской раскладке (если слово русское) и наоборот. Вперемешку должны идти прописные и строчные буквы. Если нужно или хочется изменять пароли часто, воспользуйся старым дедовским способом: берешь любую хорошо знакомую песню и в первый день набираешь как пароль первую строку куплета, на следующий день - вторую строчку и так до окончания песни. Затем переходишь к следующей песне. А если строки куплета перемежать со спецсимволами, то кто-то вступит в любовную связь сам с собой, пытаясь подобрать твой пароль. Так что и в нашем деле есть место для любви :).
Единственное, к чему не призываю, - это использовать только те способы, которые описал я. Если прием создания пароля, даже самый закрученный, становится правилом, он тут же теряет свою актуальность: достаточно узнать круг музыкальных интересов пользователей, и уже время подбора паролей намного сокращено… Понял намек ;-)?

Рубрики:  Windows
Метки:  

Steep_Zero   обратиться по имени Пятница, 26 Мая 2006 г. 19:58 (ссылка)
Отличный и полный мануал.Советую всем начинающим.
Единственное что еще стоит сделать после всего вышенаписаного,это изменить политику безопасности на контроллере.Т.к без этого многие не могут создатьюзеров.
Всем пасиба!
=)
Ответить С цитатой В цитатник
Аноним   обратиться по имени Privet Воскресенье, 26 Июля 2009 г. 12:12 (ссылка)

Ответ на комментарий Steep_Zero

A kak izmenit politiku bezopasnoti na kontrollere??
Ответить С цитатой В цитатник
Аноним   обратиться по имени Вторник, 26 Апреля 2011 г. 16:46 (ссылка)
офигенно помог, спаибо!.. всем советую потратить пол часа на сию статью!....
Ответить С цитатой В цитатник    |    Не показывать комментарий
Комментировать К дневнику Страницы: [1] [Новые]
 

Добавить комментарий:
Текст комментария: смайлики

Проверка орфографии: (найти ошибки)

Прикрепить картинку:

 Переводить URL в ссылку
 Подписаться на комментарии
 Подписать картинку