Текст книги "Введение в системное администрирование"

E:SOFTActive Directory

Active Directory – это технология Microsoft, которая представляет собой распределенную базу данных, в которой хранятся объекты в иерархическом, структурированном и безопасном формате. Объекты AD обычно представляют собой пользователей, компьютеры, периферийные устройства и сетевые службы. Каждый объект уникально идентифицируется своим именем и атрибутами. Типичный домашний компьютер – обособленный объект. Вы управляете настройками и учётными записями пользователей на компьютере. Настройками компьютера, присоединённого к домену, управляет контроллер домена.

Домены Windows обычно используются в больших сетях – корпоративных, учебных и государственных. Домены Windows предоставляют сетевым администраторам возможность управлять большим количеством компьютеров и контролировать их из единой точки. Один или несколько серверов, известных как контроллеры домена, контролируют домен и компьютеры в нём.

Домены обычно состоят из компьютеров в одной локальной сети. Однако компьютеры, присоединённые к домену, могут продолжать обмениваться данными со своим контроллером домена через VPN или подключение к Интернету. Это позволяет предприятиям и учебным заведениям удалённо управлять ноутбуками, которые они предоставляют своим сотрудникам и учащимся.

Когда компьютер присоединён к домену, он не использует свои собственные локальные учётные записи пользователей. Учётные записи пользователей и пароли устанавливаются на контроллере домена. Когда вы входите в систему в этом домене, компьютер аутентифицирует имя вашей учётной записи и пароль с помощью контроллера домена. Это означает, что вы можете войти в систему с одним и тем же именем пользователя и паролем на любом компьютере, присоединённом к домену.

Сетевые администраторы могут изменять параметры групповой политики на контроллере домена. Каждый компьютер в домене получит эти настройки от контроллера домена, и они переопределят любые локальные настройки, указанные пользователями на своих компьютерах. Все настройки контролируются из единой точки. Это также позволяет удаленно блокировать изменения в ОС. Вероятно, пользователю не будет разрешено изменять многие системные настройки на компьютере, присоединённом к домену.

Другими словами, когда компьютер является частью домена, организация, предоставляющая этот компьютер, управляет и настраивает его удалённо. Админы контролируют ПК, а не тот, кто им пользуется. Поскольку домены не предназначены для домашних пользователей, к домену можно присоединить только компьютер с версией Windows Professional или Enterprise.

Рабочая группа – это термин Microsoft для компьютеров Windows, подключённых через одноранговую сеть. Рабочие группы – это ещё одна организационная единица для компьютеров Windows в сети. Рабочие группы позволяют этим машинам обмениваться файлами, доступом в Интернет, принтерами и другими ресурсами по сети. Одноранговая сеть устраняет необходимость в сервере для аутентификации.

Каждый компьютер Windows, не присоединённый к домену, является частью рабочей группы. Рабочая группа – это группа компьютеров в одной локальной сети. В отличие от домена, ни один компьютер в рабочей группе не контролирует другие компьютеры. Все они объединены на равных условиях. Для рабочей группы пароль также не требуется.

Вы можете использовать домашнюю группу, чтобы легко обмениваться файлами и принтерами между домашними ПК.

В доменах, в отличие от рабочих групп, могут размещаться компьютеры из разных локальных сетей.

Домены могут использоваться для размещения гораздо большего числа компьютеров, чем рабочие группы. Домены могут включать тысячи компьютеров, в отличие от рабочих групп, у которых обычно есть верхний предел, близкий к 20.

В доменах имеется, по крайней мере, один сервер – это компьютер, который используется для управления разрешениями и функциями безопасности для каждого компьютера в домене. В рабочих группах нет управляющего сервера, и все компьютеры равноправны.

Пользователям домена обычно требуются идентификаторы безопасности, такие как логины и пароли, в отличие от рабочих групп.

Если в вашей компании используется Active Directory, все машины будут подключены к домену, что означает, что вся информация хранится в централизованном месте, а не локально на жёстких дисках отдельных компьютеров. Домен управляется глобальным каталогом, который отслеживает все устройства, зарегистрированные в сети. В глобальном каталоге хранятся IP-адреса, имена компьютеров и пользователей, поэтому глобальный администратор может контролировать всё, что происходит в домене. Чтобы получить доступ к чужому компьютеру, пользователю просто понадобится имя этого компьютера, потому что всё уже связано с серверной частью.

Когда вы используете Active Directory, все разрешения устанавливаются контроллером домена. Это означает, что вы как администратор уже сообщили контроллеру домена, какие разрешения назначить каждому пользователю. Это делает всю цифровую коммуникацию более эффективной.

Не всем в вашей организации обязательно нужен доступ ко всем файлам и документам, имеющим отношение к вашей компании. С помощью Active Directory вы можете предоставить отдельным пользователям разрешение на доступ к любым файлам или дискам, подключённым к сети, чтобы все участвующие стороны могли использовать ресурсы по мере необходимости. Кроме того, вы можете указать ещё более точные разрешения.

Предположим, у вашей компании есть каталог в сети для всех документов, относящихся к определенному отделу. Сюда могут входить различные формы, которые нужны сотрудникам для подачи отчетности, или документация для поездок.

Предположим также, что в каталоге есть таблица, в которой указано, кто из сотрудников и когда будет направлен в командировку. Ваш сетевой администратор может предоставить всем пользователям отдела доступ к этому каталогу только для чтения, что означает, что они могут просматривать документы и даже распечатывать их, но они не могут вносить какие-либо изменения или удалять документы. Затем администратор может предоставить расширенные права руководителю этого отдела или любому другому сотруднику отдела, которому потребуется редактировать файлы, хранящиеся в каталоге.

Ещё одним огромным плюсом для сетевых администраторов, использующих Active Directory, является то, что они могут выполнять обновления в масштабе всей сети одновременно. Когда все ваши машины автономны и действуют независимо друг от друга, вашим сетевым администраторам придётся переходить от машины к машине каждый раз, когда необходимо выполнить обновления. Без Active Directory им пришлось бы надеяться, что все сотрудники обновят свои машины самостоятельно.

Active Directory можно включить на компьютерах с Windows Server. На несерверных компьютерах (например, с Windows 10) можно установить и включить Active Directory Lightweight Directory Services, то есть средства удалённого администрирования сервера: средства доменных служб Active Directory и служб облегчённого доступа к каталогам. Они предоставляют сервер LDAP (Lightweight Directory Access Protocol, облегчённый протокол доступа к каталогам). Он работает как служба Windows и предоставляет каталог для аутентификации пользователей в сети. Это лёгкая альтернатива полноценному серверу Active Directory, которая будет полезна только в определённых бизнес-сетях.

Когда люди говорят «Active Directory», они обычно имеют в виду «доменные службы Active Directory» (Active Directory Domain Services, AD DS). Важно отметить, что существуют другие роли/продукты Active Directory, такие как службы сертификации, службы федерации, службы облегчённого доступа к каталогам, службы управления правами и так далее.

Доменные службы Active Directory – это сервер каталогов Microsoft. Он предоставляет механизмы аутентификации и авторизации, а также структуру, в которой могут быть развёрнуты другие связанные службы (службы сертификации AD, федеративные службы AD и так далее). Это совместимая с LDAP база данных, содержащая объекты. Наиболее часто используемые объекты – это пользователи, компьютеры и группы. Эти объекты могут быть организованы в организационные единицы (OU) по любому количеству логических или бизнес-потребностей. Затем объекты групповой политики (GPO) можно будет связать с подразделениями, чтобы централизовать настройки для различных пользователей или компьютеров в организации.

Планируйте заранее. Плохо спланированная структура OU может привести к путанице в том, где разместить вновь созданные объекты в дереве каталогов. Microsoft предлагает вам обеспечить простоту и адаптируемость при планировании дизайна вашего подразделения. Подготовьте макет своей структуры подразделения Active Directory с учетом связывания и делегирования объектов групповой политики (GPO), чтобы избежать создания подразделений по желанию в долгосрочной перспективе.

Выберите модель. Администрирование объектов AD становится проще, если подразделения отражают структуру вашей организации. Различные модели OU служат своим целям.

Например, географическая модель разделяет ваши OU на основе расположения ваших офисов. Модель отдела разделяет OU, соответствующие отделам в вашей организации.

Выберите модель подразделения, которая лучше всего соответствует вашим административным потребностям.

Используйте вложение OU. Благодаря вложенности подразделений вы можете гибко использовать наследование и делегировать административные права. Например, если вы хотите делегировать несколько разрешений высокоуровневому пользователю, но не хотите, чтобы эти разрешения влияли на некоторых пользователей в этом подразделении, вы можете создать вложенное подразделение, содержащее этих пользователей, и применить разрешение на отказ. Это предотвратит создание параллельных OU в вашем каталоге. Вложенность также помогает разделить различные объекты AD, такие как пользователи, компьютеры и группы, внутри родительского подразделения.

Разделяйте пользователей и компьютеры. В AD при создании объектов пользователя и компьютера они по умолчанию добавляются в соответствующие контейнеры. Однако объекты групповой политики не могут быть связаны с контейнерами. Вместо этого создайте отдельные подразделения для пользователей и компьютеров, которым требуется приложение GPO. Этой практике можно следовать независимо от модели организационного подразделения, которую вы выбираете для своей организации.

Пароли – повсеместная практика аутентификации, и, к сожалению, атаки, нацеленные на них, тоже. Слабые, легко угадываемые и повторно используемые пароли подвергают ваши сетевые ресурсы риску эксплуатации. С помощью надежной политики паролей вы будете уверены, что пароли, выбранные вашими пользователями, не ставят под угрозу безопасность вашей организации.

Включите историю паролей. Пользователи, которые повторно используют и перерабатывают свои пароли, более уязвимы для кражи учетных данных, чем другие. Включите политику принудительного использования истории паролей, чтобы пользователи создавали новый уникальный пароль каждый раз, когда они его меняют. Этот параметр определяет, сколько раз пользователь должен изменить свой пароль, прежде чем повторно использовать старый.

Установите минимальный возраст. Сотрудники могут переопределить настройку истории паролей, неоднократно меняя свои пароли до тех пор, пока они не смогут повторно использовать свои исходные пароли. Чтобы предотвратить это, установите минимальный срок действия пароля и укажите, как долго пользователи должны хранить пароль перед его изменением.

Настройте максимальный возраст. Чем дольше используется пароль, тем более уязвимым он становится для атаки методом перебора. Чтобы преодолеть это, сотрудники должны регулярно менять свои пароли. Настройте максимальный срок действия пароля, чтобы периодически предлагать сотрудникам менять пароль. Этот параметр определяет время (в днях), по истечении которого пользователям необходимо изменить свои пароли.

Установите минимальную длину. Короткие пароли, хотя их легко запомнить, подвержены атакам по словарю, в то время как длинные пароли легко забываются, что приводит к частым блокировкам учетных записей. Чтобы достичь правильного баланса, укажите минимальную длину пароля, чтобы определить наименьшее количество символов, необходимое для паролей пользователей.

Добавьте требования к сложности. Слабые пароли позволяют хакерам легко совершать атаки по подбору пароля. Включите требования к сложности пароля, чтобы реализовать строгие условия для действительных паролей. Эти условия обеспечивают надежные пароли, которые не содержат имен пользователей или их частей и требуют использования буквенно-цифровых символов, что затрудняет их угадывание.

Политики блокировки учетных записей. Каждый день системным администраторам приходится выполнять сложную задачу по обработке нескольких заявок, многие из которых создаются пользователями, которые блокируют свои учетные записи, когда слишком много раз ошибочно вводят свои пароли. Устранение этих блокировок требует драгоценного времени и денег компании, при этом средняя стоимость обработки заявки достаточно высока. Для организаций важно тщательно настроить политики блокировки учетных записей, чтобы уменьшить количество блокировок без ущерба для безопасности своей сети. Хотя предотвратить все блокировки невозможно, внедрение этих передовых методов может значительно уменьшить их количество.

Включите политику «Продолжительность блокировки учетной записи». Продолжительность блокировки учетной записи зависит от конкретной информации организации, такой как количество пользователей или тип отрасли. Установка нулевой продолжительности обеспечит безопасность учетной записи, заблокировав ее до тех пор, пока администратор не разблокирует ее. Однако это также приводит к чрезмерному количеству запросов в службу поддержки. Рекомендуемая продолжительность – от 30 до 60 минут.

Используйте политику «Порог блокировки учетной записи». Если порог блокировки учетной записи установлен слишком низким, случайные блокировки будут частыми. Это также может сделать учетную запись уязвимой для атак типа «отказ в обслуживании», поскольку злоумышленнику проще намеренно ввести неправильные пароли для блокировки учетной записи. С другой стороны, если порог установлен слишком высоким, вероятность успешной атаки методом перебора возрастает, поскольку у злоумышленника появляется больше возможностей попытаться угадать учетные данные. Рекомендуемый порог – от 15 до 50 минут.

Настройте политику «Сбросить счетчик блокировки учетной записи после». При вычислении значения «Сбросить счетчик блокировки учетных записей после» организациям необходимо учитывать тип и уровень угроз безопасности, с которыми они сталкиваются, и уравновешивать их стоимостью звонков в службу поддержки. Это значение должно быть меньше или равно продолжительности блокировки учетной записи. Рекомендуемое значение – менее 30 минут.

Групповая политика, или GPO – это набор объектов, связанных с подразделениями, которые определяют параметры для пользователей и/или компьютеров в этих подразделениях. Например, если вы хотите сделать так, чтобы в меню «Пуск» не было опции «Завершение работы» для 500 офисных ПК, вы можете сделать это с помощью одного параметра в групповой политике.

Вместо того, чтобы тратить часы и дни на настройку правильных записей реестра вручную, вы можете создать объект групповой политики один раз, связать его с одним или несколькими OU (organizational units, организационная единица). После этого вам больше никогда не придётся об этом думать. Существуют сотни объектов групповой политики, которые можно настроить, и гибкость групповой политики является одной из основных причин доминирования Microsoft на корпоративном рынке.

Групповая политика не предназначена для домашних пользователей, поэтому она доступна только в версиях Windows Professional, Ultimate и Enterprise.

Если вы используете компьютер с Windows в среде Active Directory, параметры групповой политики можно определить на контроллере домена. У сетевых администраторов есть единое место, где они могут настраивать различные параметры Windows для каждого компьютера в сети. Эти настройки также можно применить принудительно, чтобы пользователи не могли их изменить. Например, с помощью групповой политики сетевой администратор может заблокировать доступ к определенным разделам панели управления Windows или установить определённый веб-сайт в качестве домашней страницы для каждого компьютера в сети.

Это может быть полезно для блокировки компьютеров, ограничения доступа к определенным папкам, настройкам в панели управления и приложениям. Это также можно использовать для изменения различных настроек Windows, в том числе тех, которые нельзя изменить с панели управления или которые требуют изменения реестра.

Многие параметры групповой политики фактически изменяют значения реестра в фоновом режиме. Фактически вы можете видеть, какое значение реестра изменяет параметр групповой политики. Однако групповая политика обеспечивает более удобный интерфейс и возможность принудительного применения этих параметров. Групповая политика содержит множество дополнительных настроек, особенно – для сетевых администраторов. Однако локальную групповую политику также можно использовать для настройки параметров на одном компьютере.

Групповая политика полезна не только для компьютерных сетей на предприятиях. Если вы используете версию Windows Pro, вы можете использовать локальный редактор групповой политики, чтобы изменить настройки групповой политики на вашем компьютере. Используя групповую политику, вы можете настроить некоторые параметры Windows, которые обычно недоступны в графическом интерфейсе. Например, если вы хотите настроить собственный экран входа в систему в Windows 10, вы можете использовать редактор реестра или редактор групповой политики – проще изменить этот параметр в редакторе групповой политики. Вы также можете настроить другие области Windows 10 с помощью редактора групповой политики – например, вы можете полностью скрыть область уведомлений (также известную как панель задач).

Локальный редактор групповой политики так же можно использовать для блокировки компьютера, как если бы вы заблокировали компьютер в корпоративной сети. Например, вы можете разрешить пользователям запускать только определённые программы, ограничить доступ к определенным дискам или установить требования к паролю учётной записи пользователя, включая установку минимальной длины паролей на компьютере.

Сетевая безопасность оказывается под угрозой, когда пользователи Active Directory (AD) выходят за свои границы и вносят несанкционированные изменения в свои компьютеры. С помощью групповой политики вы можете регулировать рабочую среду пользователей, используя обширный набор параметров, которые она предоставляет.

Например, можно запретить пользователям доступ к апплетам панели управления Windows, изменение обоев или удаление истории браузера, настроив соответствующие параметры из централизованного сервера. Таким образом, групповая политика обеспечивает детальный контроль над тем, что пользователи могут (и не могут) делать в вашей сети.

Структурируйте свои подразделения для связывания с GPO. Структура подразделения (OU) определяет, как объекты групповой политики (GPO) применяются в вашем каталоге. Разделите пользователей и компьютеры на отдельные подразделения, чтобы упростить применение политик для пользователей и компьютеров. Всегда помните о связывании GPO и устранении неполадок при создании новых OU.

Не изменяйте политики по умолчанию. Любые параметры, настроенные в политике домена по умолчанию, будут применяться ко всему домену. Таким образом, настройте только политики домена, такие как политика паролей, политика блокировки учетной записи, политика Kerberos и параметры учетной записи в этом объекте групповой политики. Точно так же используйте политику контроллера домена по умолчанию, чтобы назначить права пользователей и настроить политики аудита для контроллеров домена. Для всех остальных политик и параметров создайте отдельные объекты групповой политики по мере необходимости.

Не связывайте объекты групповой политики с доменом. Вновь созданные объекты групповой политики, установленные на уровне домена, влияют на всех пользователей и компьютеры в домене. Это может привести к тому, что настройки, предназначенные для определенного набора пользователей, будут применяться без разбора ко всем пользователям. Поэтому примените все GPO, кроме политики домена по умолчанию, на уровне OU для более детального контроля.

Используйте наследование GPO. При связывании объектов групповой политики с подразделениями обязательно применяйте их на корневом уровне, чтобы инициировать наследование групповой политики. Это избавит вас от необходимости применять одни и те же настройки к последующим дочерним подразделениям. Вы также можете изолировать пользователей и компьютеры от наследования политики, добавив их в отдельное подразделение и заблокировав наследование.

Отключайте неиспользуемые пользовательские и компьютерные конфигурации. Если политики пользователя и компьютера настроены в отдельных объектах групповой политики, отключение неиспользуемой конфигурации помогает повысить производительность рабочего стола. Например, если для объекта групповой политики настроены только параметры компьютера, вы можете отключить конфигурацию пользователя, чтобы ускорить обработку объекта групповой политики во время входа в систему.

Не отключайте объекты групповой политики, связанные с несколькими подразделениями. Когда объект групповой политики связан с несколькими подразделениями, отключение его в одном подразделении приведет к отключению его приложения и в других подразделениях. Вместо этого удалите его связь, удалив ссылку в соответствующем подразделении, и предотвратите применение настроек.

Избегайте фильтрации GPO. Связывание объектов групповой политики более высокого уровня в иерархии AD и использование фильтров безопасности или WMI для нацеливания на эти объекты групповой политики может замедлить время обработки. Таким образом, используйте фильтрацию GPO только при необходимости и связывайте объекты GPO как можно ближе к намеченной цели, чтобы уменьшить сложность.

Избегайте забивания GPO. Хотя большие объекты групповой политики, содержащие множество настроенных параметров, обрабатываются быстрее во время входа в систему, они чрезвычайно затрудняют устранение неполадок. Итак, во время создания не запихивайте слишком много настроек в объект групповой политики. Вместо этого найдите правильный баланс и разделите настройки между большим количеством объектов групповой политики, чтобы упростить их развертывание и управление.

Мониторьте изменения GPO. Со временем управление групповой политикой может выйти из-под контроля, когда несколько администраторов начнут изменять объекты групповой политики. Отслеживайте все изменения GPO, чтобы гарантировать, что любые изменения соответствуют обязательствам вашей организации.