В сети Active Directory есть множество подвижных компонентов, которые
необходимо понимать, чтобы отслеживать проблемы, возникающие на
контроллерах домена, серверах и рабочих станциях. С точки зрения диагностики
рабочих станций многие проблемы можно отследить до DNS IP адреса,
настроенного в свойствах IP. Если DNS IP адрес неверный, возникает много
ошибок, которые будут незаметными, и ничто не указывает на истинную
причину проблемы. Чтобы посмотреть, что пошло не так, а также понять,
что происходит за сценой, в этой статье мы рассмотрим эти подвижные
компоненты, чтобы избежать наиболее распространенных проблем. После
прочтения этой статьи вы будете лучше понимать то, как ваши компьютеры
(и даже серверы) получают всю информацию, необходимую им для прохождения
проверки подлинности и получения доступа к сетевым ресурсам.
Уже давно не секрет, что в октябре 2011 года уже никто в России и
Украине не будет переводить свои часы на зимнее время. Для России уже
вышло обновление, благодаря которому из диалогового окна «Выбор часового пояса» убирается флажок «Автоматический переход на летнее время и обратно», а также меняется часовой пояс, на примере с Москвой, с «GMT +3:00» на «GMT +4:00».
Так как Украина приняла решение отмены перехода на зимнее время 20-го
сентября, думаю, что компания Microsoft успеет написать очередное
обновление, но в случае необходимости, можно перестраховаться и задать
своим пользователям соответствующие настройки вручную. Помимо этого,
многие пользователи, мягко говоря, не совсем любят обновлять свои
операционные системы, данное обновление может просто не быть установлено
на компьютере и в ночь с последней субботы на воскресенье октября часы
автоматически переведутся на час вперед. Также, поскольку уже прекращена
поддержка операционной системы Windows 2000,
а в просторах Рунета можно найти большое количество компаний –
владельцев данной операционной системы, для таких пользователей следует
ожидать такой же участи.
Все мы знаем, что не Internet Explorer-ом
единым можно просматривать веб сайты. Не будем рассматривать все
браузеры и их преимущества и недостатки, так как у каждого человека
могут быть свои предпочтения. Предположим, что в вашей организации по
каким-то специфическим требованиям, в подразделении «Продажи» основным
веб-браузером является браузер Google Chrome. Естественно, вам как
системному администратору, следует проследить за тем, чтобы этот браузер
был настроен оптимальным образом, а также, чтобы настройки, которые вы
укажите, распространялись одновременно на всех пользователей, которые
должны использовать именно этот браузер. Прежде всего, допустим, что на
каждый компьютер в отделе продаж данный браузер уже установлен, а вам
нужно только задать соответствующие настройки. Решить такую задачу вы
можете тремя способами:
Любой системный администратор знает, что самыми распространенными
задачами, выполняемыми в доменных службах Active Directory являются
задачи, связанные с управлением принципалами безопасности, такими как
учетные записи пользователей. В одной из предыдущих статей я описывал
способы создания пользовательских учетных записей. Но все мы прекрасно
понимаем, что создание учетной записи пользователя – это лишь первый шаг
всего жизненного цикла пользователей в домене Active Directory. После
создания учетной записи пользователя, вам еще нужно отконфигурировать
атрибуты объекта пользователя в зависимости от требований вашей
организации, а также, возможно, настроить определенные свойства учетной
записи. Насколько вы знаете, при создании пользовательской учетной
записи средствами графического интерфейса, а именно, при помощи оснастки
«Active Directory – пользователи и компьютеры», вы
заполняете такие атрибуты объекта пользователя, как имя пользователя,
фамилию, имя входа, а также пароль. При создании объекта одни атрибуты
являются обязательными, а другие – опциональными. Объект пользователя
может содержать свыше 250 атрибутов, как созданных операционной
системой, так и созданных системным администратором. Из всех атрибутов
объектов учетных записей пользователей, существуют всего шесть
обязательных атрибутов:
cn. Атрибут, который
используется для отображения свойств имени. Это поле должно быть
уникальным во всем домене, и заполняется автоматически;
instanceType.
Текущий атрибут указывает экземпляр объекта пользователя, который будет
использоваться в качестве шаблона для нового объекта пользователя;
objectCategory.
Данный атрибут определяет категорию схемы Active Directory. Например,
CN=Person,CN=Schema,CN=Configuration,DC=BIOPHARMACEUTIQUE,DC=COM;
objectClass. Этот атрибут определяет класс объекта;
objectSid. Определяет идентификатор безопасности объекта, который назначается автоматически;
sAMAccoountName.
Задает имя учетной записи SAM пользователя. Максимальная длина описания
– 256 знаков. Конфигурируется данный атрибут непосредственно на основе
данных, обеспечиваемых при создании учетной записи пользователя.
В этой статье вы узнаете о некоторых атрибутах, а также научитесь изменять атрибуты средствами графического интерфейса.
В любой компании, основополагающей частью организации считаются
сотрудники, которых в ИТ-инфраструктуре принято назвать пользователями.
Для того чтобы каждый пользователь мог персонализировать фон рабочего
стола, экранную заставку и прочие элементы, применяются профили
пользователей. По сути, профили пользователей отличаются от учетных
записей пользователей тем, что профили пользователей позволяют применять
персональные параметры при каждом пользователя входе в операционную
систему, а не используется для входа в систему, как в случае с учетными
записями пользователей. Профили представляют ряд преимуществ, как для
системных администраторов, так и для конечных пользователей. Например,
администратор может установить параметры пользователя по умолчанию,
который бы соответствовал его задачам, не сохранял изменения, сделанные в
рабочем окружении, а также загружал все параметры на локальный
компьютер при каждом входе в систему. К пользовательским преимуществам
можно отнести тот факт, что один компьютер может служить нескольким
пользователям, то есть конкретный пользователь, который выполняет вход
получает полностью настроенную рабочую среду, которая была сохранена
именно для него, причем настройка рабочей среды одним пользователем не
оказывает воздействия на параметры рабочей среды другого. Стоит обратить
внимание на то, что у каждой учетной записи пользователя может быть не
менее одного профиля.
В наши дни в большинстве организаций у каждого пользователя на своем
рабочем месте есть выход в Интернет. Зачастую эти пользователи
занимаются веб-серфингом, они еще изо дня в день обмениваются данными с
сотрудниками других организаций и с не идентифицированными в домене
компьютерами, что может повлечь за собой вероятность заражения, как
компьютера пользователя вашего домена, так и всей сети. Несмотря на то,
что, скорее всего, в вашей сети в демилитаризованной зоне развернут
межсетевой экран, в операционных системах Windows Vista, Windows 7 и
Windows Server 2008/2008 R2 для обеспечения повышения уровня
безопасности, применяются такие технологии, как брандмауэр Windows в
режиме повышенной безопасности, который включает в себя индивидуальный
брандмауэр и протокол IPSec, который совместим со стандартом рабочей
группы проектирования Интернета (IETF), а также технология защита
сетевого доступа (NAP – Network Access Protection).
В связи с тем,
что при подключении к сети Интернет, вы можете быть атакованы тысячами
других компьютеров, брандмауэры анализируют коммуникации и сбрасывают
пакеты, которые не разрешено пересылать. Брандмауэр сбрасывает
нежелательный сетевой трафик и разрешает законный трафик, который
основывается на созданных правилах, например, авторизованный общий доступ
к файлам и папкам. На каждом компьютере, начиная с операционной системы
Windows Vista, брандмауэр Windows в режиме повышенной безопасности
работает в качестве индивидуального брандмауэра, что позволяет
осуществлять существенную защиту при проникновении недоброжелателей
через периметр межсетевого экрана организации. По умолчанию,
индивидуальный брандмауэр в брандмауэре Windows в режиме повышенной
безопасности включен, причем на нем весь входящий трафик, который не был
разрешен явным образом, блокируется, а весь исходящий трафик является
разрешенным. В том случае, если у вас на компьютере установлено
программное обеспечение, которому нужно обеспечить получение
непредусмотренного сетевого трафика, вы можете создавать отдельные
правила, которые будут разрешать конкретные входящие подключения. Как я
уже не раз указывал в своих статьях, все правила и параметры «Брандмауэра Windows» сохраняются в определенных профилях, которые могут быть связаны с тремя сетевыми расположениями:
К одному из ключевых моментов концепции доменных служб Active
Directory можно отнести обеспечение авторизации принципалов безопасности
для получения доступа к имеющимся сетевым ресурсам. Несмотря на то, что
весь доступ к сетевым ресурсам основан на учетных записях отдельных
пользователей, компьютеров или служб, со временем они могут меняться. В
средних и крупных компаниях управление существующими пользователями
требует большой административной нагрузки. Стоит учесть, что
пользователи, выполняющие в компании
конкретную роль, могут меняться, но сама роль должна оставаться без
каких-либо изменений. Если назначать доступ к сетевым ресурсами
индивидуально для каждого отдельного пользователя, то списки контроля
доступа ACL вскоре станут неуправляемыми и при изменении отдела
пользователем вам нужно будет учесть все возможные разрешения доступа.
Так как этот процесс может легко выйти из-под контроля, задачи,
связанные с управлением должны быть привязаны к объектам групп. Чаще
всего группы используются для идентификации ролей пользователей и
компьютеров, фильтрации групповой политики, назначения уникальных
политик паролей, прав, разрешений доступа, приложений электронной почты и
многое другое. Сами по себе, группы представляют собой принципалы
безопасности с уникальными SID, которые могут содержать в атрибуте
member такие принципалы безопасности, как пользователи, компьютеры,
группы и контакты.
Перед тем как создавать группы следует знать,
какие существуют разновидности групп. Так как структура доменных служб
предназначена для поддержки сложных и крупных распределительных сред,
Active Directory включает в себя два типа групп домена с тремя областями
действия в каждой из них, а также локальную группу безопасности. Типы
групп, а также их область действия подробно рассмотрены в следующих
подразделах.
Microsoft
Windows Server 2008 R2 будет следующей версией в линейке операционных
систем Windows Server от компании Microsoft. Опираясь на возможности и
потенциал версии Windows Server 2008, Windows Server 2008 R2 позволяет
создавать решения, которые удобнее для планирования, развертывания и
управления, чем в предыдущих версиях Windows Server.
Были
доработаны безопасность, надежность и эффективность, которые
представлены в Windows Server 2008. Windows Server 2008 R2 расширяет
связь и управление локальными и удаленными ресурсами. Улучшенное
управление и контроль над ресурсами на всех уровнях предприятия
позволят организациям снизить стоимость обслуживания и повысить
эффективность серверных систем.
В любой компании, основополагающей частью организации считаются
сотрудники, которых в ИТ-инфраструктуре принято назвать пользователями.
Для того чтобы каждый пользователь мог персонализировать фон рабочего
стола, экранную заставку и прочие элементы, применяются профили
пользователей. По сути, профили пользователей отличаются от учетных
записей пользователей тем, что профили пользователей позволяют применять
персональные параметры при каждом пользователя входе в операционную
систему, а не используется для входа в систему, как в случае с учетными
записями пользователей. Профили представляют ряд преимуществ, как для
системных администраторов, так и для конечных пользователей. Например,
администратор может установить параметры пользователя по умолчанию,
который бы соответствовал его задачам, не сохранял изменения, сделанные в
рабочем окружении, а также загружал все параметры на локальный
компьютер при каждом входе в систему. К пользовательским преимуществам
можно отнести тот факт, что один компьютер может служить нескольким
пользователям, то есть конкретный пользователь, который выполняет вход
получает полностью настроенную рабочую среду, которая была сохранена
именно для него, причем настройка рабочей среды одним пользователем не
оказывает воздействия на параметры рабочей среды другого. Стоит обратить
внимание на то, что у каждой учетной записи пользователя может быть не
менее одного профиля.
Microsoft
Windows Server 2008 R2 будет следующей версией в линейке операционных
систем Windows Server от компании Microsoft. Опираясь на возможности и
потенциал версии Windows Server 2008, Windows Server 2008 R2 позволяет
создавать решения, которые удобнее для планирования, развертывания и
управления, чем в предыдущих версиях Windows Server. 
