Active Directory - Полный мануал

Active Directory - Полный мануал

Врамках статьи мы:

Введение

Ты пришел на работу, полез посмотреть, что творит твой сервер. Вроде бы стоит, работает, но толку от него не дождешься до тех пор, пока не населишь его тварями разумными, папками и правами.

Пойдем по пути наименьшего сопротивления. Диск С:\ уже настроен, теперь займемся вторым, девственно чистым диском Е:\. Для тех, кто только что включил телевизор, напомню, что диск Е:\ представляет собой массив из четырех SCSI-дисков (RAID 5) и создан только для хранения файлов пользователей, программ, фильмов, музыки и т.д.

Прежде чем создавать пользователей, создадим структуру нашего хранилища. Все будет просто и логично. Достаем из широких штанин черновик, где предварительно прикинута структура предприятия, и переносим ее на диск.

Условимся, что в предполагаемой конторе есть три подразделения:

  1. начальство (группа "HEAD"),
  2. бухгалтерия (группа "Бухгалтерия"),
  3. экономисты (группа "Экономисты").

Вот такая странная контора.

Структура папок для пользователей

Итак, создаем на диске Е:\ папку "USERS", внутри нее три папки по именам групп: "НЕАD", "Бухгалтерия" и "Экономисты".

Внутри каждой групповой папки создаем папки по фамилиям пользователей, входящих в эту группу. Сделать это просто, а объяснить понятно - сложно, но надеюсь, ты еще не потерял нить повествования, все правильно сделал и уже имеешь в корне на диске Е:\ всего одну папку USERS, зато внутри нее целый куст (дерево) папок.

Пользователей пока нет, но про будущую политику безопасности мы подумаем сразу. Требуется, чтобы пользователь мог творить что угодно со своей личной папкой, но только не удалять ее. Реализуем это довольно простым способом. Откроем блокнот (в смысле Notepad) и сохраним файл под именем "nokill.txt", пусть пока он полежит в корне диска Е:\ - еще пригодится. Итак, у нас получилась следующая структура:

Структура директорий Active Directory

Теперь я объясню идею построения корпоративной политики безопасности на уровне разрешений NTFS:

Однако нашей организации необходима папка, в которую может залезть любой желающий. Предоставим же ей такое счастье.

В принципе, пока разрешениями NTFS мы не занимались совсем. Время, затраченное на создание файловой структуры, с лихвой окупится после поднятия домена.

Поднятие домена

Наступило время заняться серьезным делом - поднимать домен. Ты знаешь, почему у Буратино дерево не выросло? Потому что бестолковая лиса Алиса сказала ему не ту команду: вместо "Preks-Feks-Peks" нужно было набирать в командной строке "DCPROMO", и тогда даже не дерево - целый лес бы вырос.

Поехали.

А сейчас лирическое отступление.

Возможности операционной системы Windows 2003 Server, вопреки распространенному мнению, очень широкие. Когда в офисе разворачивается AD, предполагается, что в данной конторе работает около 10 000 человек, поэтому механизмы настройки и аудита такие серьезные. При создании пользователей в контексте AD каждый пользователь получает свой e-mail-адрес - pupkin@твойдомен.провайдер. Если ты поднимаешь домен и у тебя есть реальное доменное имя, то в название домена должно быть введено именно оно.

Создание групп

После перезагрузки в окне Logon появилась дополнительная строчка Logon to, где уже прописано имя твоего домена. В закладке Administrative Tools появилась целая куча новых инструментов. "Да будет Свет!" уже было сказано – теперь начнем заселять наш новый лес.

Небольшое техническое отступление. Есть очень хорошая книга Ф.Зубанова "Active Directory", в которой очень толково расписано, для чего служат определенные области действия групп. Я оставлю тонкости, можешь прочитать сам, если книгу найдешь. Конец отступления.

Главное правило при назначении любых прав гласит: "Все права назначаются через групповые политики". Кратко поясню, что доступ ко всем объектам осуществляется через SID (идентификатор безопасности), и если на какой-нибудь файл ты будешь назначать права конкретному пользователю, а затем удалишь пользователя из системы, то на этом файле останется висеть SID пользователя. Для того чтобы такого не происходило, доступ ко всем ресурсам осуществляется через группы, так как в этом случае операционная система ставит на объект SID группы и, соответственно, в базе AD не появляется лишних записей.

Населяем Эдем живностью. Заводим пользователей. Все так же, как и при создании групп, только выбираем User. Лучше не полениться и полностью заполнить все поля карточки пользователя. Представь, что однажды лень таки пересилила тебя, примерно через полгода смотришь на учетную запись "Света" и мучительно вспоминаешь, к какой из 12-ти работающих в конторе Свет относится эта запись. Мораль: лень в себе нужно контролировать жестко. Итак, тупо заполняем карточки пользователей по списку, выданному кадровой службой. Можно пока не напрягаться с паролями и правами и заниматься только бюрократией. Завели.

NTFS-разрешения

Переходим к правам и обязанностям.

Я опишу настройку прав на примере одной группы и одного пользователя, для остальных все будет аналогично. Берем пользователя Крутова из группы HEAD.

Возможности по настройке прав пользователя в системах Windows Server очень большие. Если внимательно изучить свойства пользователя, то можно найти массу способов ограничить его права в домене. А если изменить пароль конкретному пользователю, щелкай правой кнопкой мыши на пользователе и в выпавшем меню выбирай Reset Password.

Заниматься этим придется очень часто, если ты позволишь пользователям самим менять пароли :). Как говорят французы, се ля ви. Либо пользователи сами изменяют пароли и забывают их, зато кроме пользователя и тебя на его машину никто не влезет, а ты с завидной периодичностью будешь сбрасывать пароли подопечным, либо ты сам прописываешь пароли и дальше проблема пользователя, что делать с ним - приклеить к монитору на стикере или запомнить.

Психологическое отступление:

Чем сложнее и строже политика безопасности, тем чаще в твою безопасность вмешивается человеческий фактор. Не хочется переходить на личности, но в одном московском банке установили аутентификацию на вход в систему по ключам Touch Memory. Через два месяца ребята, которые устанавливали это все, пришли в банк по мелким делам и чуть не заработали инфаркт: почти на всех системных блоках висели приклеенные на скотче ключи Touch Memory. На гневное замечание о нарушении безопасности работники банка ответили: "Зато так мы не теряем эти ключи". Любая безопасность бессильна перед человеческим фактором.

Если пароль очень длинный, пользователь напишет его на бумажке и оставит возле монитора. Я не призываю, конечно, наплевать на безопасность, но попробуем свести вред человеческого фактора к минимуму. Попробуем построить домен так, чтобы не бояться потерять любой компьютер домена плюс чтобы сам домен никак не пострадал.

Займемся NTFS-разрешениями.

А никто и не говорил, что будет легко…

Все, что описывается в этой статье, работает, но полное понимание всех механизмов действующих разрешений немного сложнее. Например, на папке "Обмен" мы имеем два вида разрешений: одно разрешение - Sharing, вторая группа разрешений - Security. Так вот, результирующее разрешение будем пересечением двух этих разрешений. На папке "Обмен" и по первому, и по второму виду разрешений имеем "Полный доступ", поэтому все пользователи могут делать что захотят. Если бы по одному разрешению мы имели "Полный доступ", а по второму, например, "Только чтение", то результирующим было бы разрешение "Только чтение" (применяются максимально ограничивающие разрешения).

Вам сколько байтов отгружать? (квотирование)

Теперь рассмотрим понятие "квоты". Первое, что приходит на ум, если слышишь это слово, - размер чего-то. Все верно, "квота" относится как раз к размерам и пределам.

Для того чтобы твой сервер не стал свалкой ненужных файлов, предусмотрена возможность назначить каждому пользователю максимальную квоту, которую он может занять на дисковом пространстве сервера. По умолчанию квотирование диска отключено, и поэтому каждый пользователь может занять своими данными все пространство - нам такое не подходит.

Среднестатистическим клеркам для хранения их средних Word'овских и Excel'евских файлов хватит и ста мегабайт дискового пространства. Но ты сам примешь решение, сколько отрезать от общего пирога определенным людям, исходя из потребностей пользователей и размера пирога.

Включаем квоту:

Существует всего одна проблема при квотировании дисков. Правда, это проблема твоих пользователей, но… По твоим настройкам пользователь может бросать свои файлы в три папки:

Так что если он набросает файлов на 100 Мб в папку "Обмен", то очень удивится, когда не сможет положить нужный документ в личную папку. Дабы он не мучил тебя своими подозрениями, среди личного состава вверенного тебе боевого подразделения проведи разъяснительную беседу на тему "Своевременная уборка вверенных территорий как залог наличия свободного места и чистой совести". Пользователи, которые не пользуются ничем, кроме Word'а и Excel'а, вряд ли доставят тебе много хлопот, но любителей MP3'шек ждет глубокое разочарование. Никто не мешает тебе увеличивать квоту для любимых подопечных. Умные книги советуют раздавать квоты не пользователям, а группам. Прислушайся к совету, и рулить будет проще.

Теневое копирование или Первый после Бога

И напоследок: не забудь включить теневое копирование диска, если хочешь, чтобы пользователи молились на тебя как на шамана.

Разъясню суть теневого копирования. При его включении и при настройках по умолчанию состояние всего диска сбрасывается в теневую копию два раза в сутки (рекомендую настроить утром и вечером), постоянно будет храниться откат предыдущего дня в его двух состояниях: на конец рабочего времени и на начало нового дня конторы.

Если пользователь снес на сетевом диске годовой отчет и уже начал прилаживать к потолку намыленную веревку, ты подходишь к нему и, придерживая стул под ним, чтобы он (стул) не упал раньше времени, восстанавливаешь удаленный файл.

Теневое копирование позволяет "откатиться" назад на какое-то время. Глубина отката задается при теневом копировании указанием размера, отведенного под теневое копирование. Естественно, чем больше места, тем больше откатов возможно.

Восстановление происходит через "Проводник": правая кнопка мыши на сетевой папке, в контекстном меню выбрать Previous Versions.

Далее в открывшемся окне выбираешь действие: View, Copy или Restore. Для корректности отката спроси у пользователя, что именно он потерял, и мастерским кликом мыши ввергни его в эйфорию.

Настройка пользовательских ПК

Теперь же нам надо войти в созданный домен с пользовательского компьютера в сети. Не зря ведь мы создавали все эти группы и пользователей. Для того чтобы каждый работник компании мог зайти в наш домен необходимо потратить 5-10 минут на настройку каждого из ПК. Что мы делаем:

Заходим в настройки сетевого подключения нашего сервера, «Протокол интернета TCP/IP» - Свойства - Задаем какой-либо IP (192.168.0.1) - Использовать DNS-сервер: указываем этот же IP. Важно! В случае, если вы создаете не локальную сеть и у вас используется внешний DNS и IP, то просто посмотрите их с помощью команд Пуск – Выполнить - cmd – ipconfig /all.

Заходим на пользовательском компьютере в свойства сетевого подключения, «Протокол интернета TCP/IP» - Задаем немного другой IP(192.168.0.2), указываем DNS-сервер как IP сервера (192.168.0.1)
Далее идем в свойства Моего компьютера, жмем «Имя компьютера» - Изменить. Задаем имя компьютера как «PK1». Перезагружаемся.

Опять заходим туда же, откуда и перезагрузились и указываем, что этот компьютер является членом домена: вписываете сюда имя домена (DNS), развернутого на сервере (rogaikopita).

Все, теперь можно перезагрузиться и войти в систему под любым из ранее созданных пользователей.

На сегодня все.