Обзор Active Directory

Active Directory — это служба каталога (directory service), реализованная компанией Microsoft. В свою очередь, служба каталога — это централизованное хранилище информации обо всех ресурсах предприятия, таких как компьютеры, пользователи, группы, приложения, общие папки, принтеры и другие объекты. Не следует думать, что служба каталога позволяет хранить информацию только о том, что относится к компьютерам. За счет возможности добавлять новые классы объектов, каталог может хранить информацию о любых ресурсах, например, таких как столы, кофеварки, проекторы и т.д.
Основной административной единицей Active Directory является домен (domain). Однако предприятие может включать в свой каталог Active Directory более одного домена. Когда несколько доменов объединяются родительско-дочерними доверительными отношениями и совместно используют общее непрерывное пространство имен DNS, они образуют логические структуры, называемые деревьями (trees).
При проектировании структуры доменов Active Directory следует учитывать следующие моменты, напрямую влияющие на безопасность. Во-первых, границами домена ограничены права административных пользователей. Это значит, что администратор своего домена является обычным непривилегированным пользователем в другом домене. Во-вторых, некоторые настройки безопасности, например, минимальная длина пароля, могут контролироваться только на уровне домена, но не ниже. Это означает, что невозможно сделать разную минимальную длину пароля для разных пользователей одного домена, а если это все-таки требуется, то необходимо создавать два или более домена.
Домен создается в тот момент, когда какому-либо компьютеру в сети администратор назначает роль контроллера домена (domain controller). Клиентские компьютеры работают со службой каталога (точнее, с контроллером домена) по протоколу LDAP — стандартному протоколу для работы с каталогом.

Основные возможности Active Directory в сфере безопасности

В Active Directory можно выделить несколько возможностей, непосредственно относящихся к информационной безопасности, которые будут обсуждаться далее.

• Возможность создания древовидной структуры внутри домена с помощью подразделений (organization units, OU). Подразделения представляют собой контейнеры внутри домена, позволяющие группировать объекты для удобства администрирования или для последующей автоматизированной настройки этих объектов с помощью групповой политики (Group policy). Если провести аналогию с файловой системой, то подразделение можно сравнить с папкой. Внутри подразделения могут находиться различные объекты Active Directory: учетные записи пользователей (users), учетные записи компьютеров (computers), группы (groups), опубликованные общие папки (shared folders), другие подразделения и т.д.
  Создание в домене структуры подразделений позволяет выполнять следующие действия.


Эффективно делегировать административные полномочия. Например, можно позволить администратору отдела управлять объектами в собственном подразделении — создавать пользователей и группы, сбрасывать пароли, не предоставляя при этом полных административных прав во всем домене.


Централизованно управлять рабочей средой пользователей и настройками компьютеров с помощью групповой политики, привязанной (linked) к определенному подразделению. Разместив учетные записи пользователей и компьютеров в подразделении, и привязав к нему групповую политику, можно, например, централизованно установить на компьютеры приложение или скрыть значок «Сетевое окружение» с Рабочего стола.

• Служба каталога может обеспечить однократную регистрацию в системе (single sign-on). Смысл однократной регистрации состоит в том, что пользователь, один раз регистрируясь в службе каталога, получает доступ ко всем ресурсам сети (например, общим папкам) для которых у него есть соответствующие разрешения.

Служба каталогов Active Directory в Windows Server 2003 поддерживает создание доверительных отношений между отдельными доменами разных лесов, а также создание доверительных отношений между самими лесами. Это позволяет пользователям из одного домена получить доступ к ресурсам (общим папкам и принтерам) другого домена. Доверительные отношения рассматриваются в Модуле 4.

 

Безопасность в Active Directory и делегирование административных полномочий

В Active Directory можно выделить две административные группы — Domain Admins и Enterprise Admins. Члены группы Domain Admins (группа существует в каждом домене) обладают полными административными правами только в своем домене, т.е. могут управлять контроллерами, серверами и клиентскими станциями своего домена. Члены группы Enterprise Admins (группа существует только в корневом домене леса) обладают полными административными правами на всех контроллерах леса, но не могут администрировать серверы и клиентские станции. Согласно рекомендациям компании Microsoft, членство в этих группах должно быть крайне ограничено.
Обычные пользователи имеют возможность только читать информацию из Active Directory (с некоторыми ограничениями).
Active Directory позволяет выполнить делегирование административных задач пользователям, не предоставляя им членства в группах Domain Admins и Enterprise Admins. Для этой цели применяется Мастер делегирования административных задач (Delegation of Control Wizard). С помощью этого мастера можно делегировать на уровне подразделения как типичные (например, Create, delete, and manage user accounts), так и нестандартные задачи (например, разрешить пользователям изменять свою персональную информацию, такую как адрес).

Групповая политика в домене Active Directory

Групповая политика (Group Policy) — мощнейший механизм централизованного администрирования в домене Active Directory. С помощью групповой политики можно управлять:

• рабочей средой пользователей (настройки Рабочего стола, меню Пуск, Панели управления и т.д.);
• безопасностью компьютера (настройки безопасности, выключение ненужных служб, разрешения NTFS и т.д.);
• установкой и удалением приложений; перенаправлением пользовательских папок на сервер;
• настройкой программ, таких как Internet Explorer, Microsoft Office и других.

Хранение и порядок применения Групповой политики

Групповая политика — набор настроек, который хранится на контроллерах домена и автоматически загружается и применяется соответствующими компьютерами-членами домена. Термином объект групповой политики (Group Policy object, GPO) обозначается конкретный экземпляр групповой политики, привязанный к домену или подразделению. Объект групповой политики частично хранится в базе Active Directory, но основная его часть хранится в общей папке, доступной для загрузки клиентами (\\\SY$VOL\\Policies\Policy_GUID>).
Структурно групповая политика состоит из двух частей — настройки компьютера (computer configuration) и настройки пользователя (user configuration). Настройки раздела computer configuration применяются к учетным записям компьютеров (computer accounts), а настройки раздела user configuration — к учетным записям пользователей (user accounts). Несмотря на название, настройки групповой политики не применяются к объектам типа группа (groups).
Объект групповой политики может быть привязан в Active Directory на уровне сайта, домена или подразделения. При этом важно понимать, что GPO — это совершенно независимый объект, поэтому один и тот же объект групповой политики может быть привязан сразу к нескольким подразделениям.
По умолчанию, порядок применения объектов групповой политики следующий:

• применяются настройки объекта групповой политики, привязанного к сайту;
• применяются настройки объекта групповой политики, привязанного к домену;
• применяются   настройки   объекта   групповой   политики,   привязанного   к   вышестоящему подразделению;
• применяются    настройки   объекта   групповой    политики,   привязанного    к    нижестоящему подразделению.

Таким образом, настройки применяются сверху вниз. При этом не конфликтующие настройки суммируются, а для конфликтующих настроек «побеждают», применившиеся позже (т.е. находящиеся «ближе» к тому объекту, для которого они применяются).

Инструменты для работы с групповой политикой

Microsoft представляет два инструментальных средства для работы с групповой политикой: оснастку Group Policy Editor (входит в состав операционной системы) и административное средство Group Policy Management Console (GPMC). GPMC не входит в состав системы, его можно загрузить с сайта компании Microsoft.
GPMC предоставляет большие возможности по управлению групповой политикой, такие как единый просмотр всех объектов групповой политики, удобный интерфейс для привязки и делегирования разрешений на GPO, а также возможность резервного копирования и восстановления GPO. Использование GPMC для управления групповой политикой не обязательно, но крайне рекомендуется.

Изменение порядка применения Групповой политики

Изменить порядок применения Групповой политики можно с помощью блокирования наследования политики (опция Block Policy Inheritance) и с помощью запрета переопределения (опция No Override).
Блокирование наследования (Block Policy Inheritance) — опция, устанавливаемая в свойствах подразделения (OU). Если эта опция установлена, то к пользователям и компьютерам этого подразделения применяются только GPO, привязанные непосредственно к этому подразделению. Применение вышестоящих GPO (например, доменных) будет заблокировано.
Запрет переопределения (No Override) — опция, устанавливаемая на уровне связи GPO и подразделения, сайта или домена. Установленная опция No Override приводит к тому, что настройки данного GPO не «затираются» настройками нижестоящих GPO, которые применяются позже. Эта опция имеет больший приоритет, чем опция блокирования наследования. Чаще всего опцию No Override устанавливают в сценарии, когда нужно создать GPO, привязанный к домену и содержащий критические настройки, которые должны быть применены ко всем объектам домена, независимо от настроек нижестоящих политик и возможного блокирования наследования.

Стратегия создания структуры подразделений

Существует два основных подхода к планированию структуры подразделений в домене.
Первый подход состоит в том, чтобы создавать структуру OU с расчетом на последующее применение групповой политики. Например, следуя такому подходу, следует разделить все компьютеры на группы, в зависимости от их роли (Servers: Domain Controllers, File Servers, Database servers, Web servers; Clients: Desktops, Laptops) и создать соответствующую структуру подразделений. В дальнейшем можно будет применять глобальные настройки безопасности серверов на уровне OU Servers, а детальные настройки безопасности, специфичные для роли, — на уровне соответствующего подразделения, (например, такого как Web servers). Тот же подход можно применить и к учетным записям пользователей.
Второй подход состоит в том, что структура OU создается с учетом последующего делегирования административных полномочий. Например, если требуется делегировать пользователю возможность сбрасывать пароли для группы пользователей, желательно, чтобы учетные записи всех этих пользователей располагались в одном подразделении.