Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 39 (всего у книги 91 страниц)
бирая пароль пользователя. Вам нужно определить время попыток входа
злоумышленника в сеть. Аудит какого типа событий необходимо выполнять?
Следует ли отконфигурировать параметр политики в объекте Default Domain
Policy или Default Domain Controllers Policy?
О т в е т н а к о н т р о л ь н ы й в о п р о с
• Включите аудит неудачных событий попыток входа учетной записи (а не
просто событий входа) в объекте Default Domain Controllers Policy. Только
контроллеры домена генерируют события входа учетной записи, связанные с
проверкой подлинности пользователей домена. В область действия объекта
Default Domain Controllers Policy включены только контроллеры домена.
Просмотр событий входа
П р и а у д и т е с о б ы т и я в х о д а и в х о д а у ч е т н о й записи вносятся в журнал Безо-
пасность ( S e c u r i t y ) с и с т е м ы , к о т о р а я сгенерировала событие (рис. 8-6). Таким
образом, п р и а у д и т е в х о д а на к о м п ь ю т е р ы в отделе кадров события вносятся
в ж у р н а л Б е з о п а с н о с т ь ( S e c u r i t y ) на к а ж д о м компьютере. Аналогично при ауди-
те н е у д а ч н ы х п о п ы т о к в х о д а у ч е т н о й записи, чтобы обнаружить возможные
н е с а н к ц и о н и р о в а н н ы е п о п ы т к и доступа, с о б ы т и я вносятся в журнал Безопас-
ность ( S e c u r i t y ) к а ж д о г о к о н т р о л л е р а домена. Это означает, что по умолчанию
д л я п о л у ч е н и я п о л н о й к а р т и н ы с о б ы т и й входа учетных записей в домен жур-
н а л ы б е з о п а с н о с т и н у ж н о а н а л и з и р о в а т ь на всех контроллерах домена.
! Койэдъ fief-crate 8-u Справка
Ф * a p p t »
: й XYINW VtnfafiS
•Смчем* Ькл> j «агегзрий i » Бетепаспост» – !
: й XYINW VtnfafiS
Щ
Щ &е
&к
ес
ка
со
а «
о -г
« т
–г
– ь
т
jg:
С
б
о
й аудита
С
л
у
х
&
а фоаеэкнгоа/мчэсти Kerts..
f
f С
о
Си
о ат
и ъ
ат
а «ас
«а
« .
.
. j
ССЧУЙ аудита B*AC в систему
й
й С ^ Г
Цсбойаумта Сл,л*5в проверки год/»»»«ст>'
IWLOPTHXE...
С ^ Г
Г*
Г е
*е
ес
ел
с »
л »
» ь
»-е
ь-
ь оэ
б
оэ
о ы
б ти
ыт
ы я
и
А
у
д
и
т ввлс-хн ycnei-ио йРГ-* ибэтиа гсстугл* объекту , j
: Г-
Г ,– ЖГРИ*№ ГФЩМСЕП
№
М
ГФЩМСЕП И CRV»
И
"
CRV» <
" "1 1 >П
Событие 4625, MtCftrtoft 'Aindcwj ucurity auditing*
X
0$ш*ч | Подробности j
аС
а Наи
На
Н т»
ит
и «
»..
«
if IR
I J
R
J С
эю
Сэ
С а
юк
а"»
к"
к ..
. .
.
Ь четясДмписи нсдолвс» «ыпвлнмт» «.-од t систему.
|06ыЮ:
Е
м
д
Е
м
Е •
д
|
И
м
» куриллг Ьосмсность
ев
е с
в л
с и
л т
и»
т
Поде»: i.:Micretoft y/nwfoM«t Security Дата.
•
• С
лр
С а
л е
р к
а а
ек
е »
Код<с6»иив 4625 Каг»юр*я >»дачи:
Со
С б
о ы
б т
ы .«
т 4
« *
4 «
* ,_
« -
_
1
Урояеп»: Сведен и» Ключыме слоак
Полок. «ет«.1»: Н,'
Д Ко ып»«тер:
кед операция: Саелния
Псдссбиости б*4-споаава жнмяла Z
У С
зф
Сз
С И
ф Л
И >
Л 8
.
8
.
<1
< ! И
| – г ; -'j-
– • – – Г – – – 1
Рис. 8-6. События проверки подлинности в журнале безопасности
I 3 8 2 Проверка подлинности
Глава 8
В комплексной среде со множеством контроллеров доменов и пользователей
аудит входа учетных записей или просто входа м о ж е т генерировать огромное
количество событий. Среди них трудно о б н а р у ж и т ь п р о б л е м н ы е события для
дальнейшего анализа. Соблюдайте баланс между к о л и ч е с т в о м событий, аудит
которых выполняется, т р е б о в а н и я м и б е з о п а с н о с т и б и з н е с а и к о л и ч е с т в о м
используемых ресурсов для анализа событий в ж у р н а л а х .
Практические занятия
В предложенных далее упражнениях вы и с п о л ь з у е т е г р у п п о в у ю политику,
чтобы включить аудит для отслеживания событий входа пользователей в домен
contoso.com. Затем вы сгенерируете события входа й п р о с м о т р и т е полученные
записи в журналах событий.
Упражнение 1. Настройка аудита событий входа у ч е т н о й з а п и с и
В этом упражнении вы модифицируете объект г р у п п о в о й п о л и т и к и Default
Domain Controllers Policy для аудита успешного и неудачного входа пользо-
вателей в домене.
1. Откройте консоль Управление групповой п о л и т и к о й ( G r o u p Policy Mana-
gement).
2. Разверните узел J I e c V l o M e n b i c o n t o s o . c o m D o m a m C o n t r o l l e r s ( F o r e s t
Domainscontoso.comDomain Controllers).
3. Щелкните правой кнопкой мыши объект Default D o m a i n Controllers Policy
и примените команду Изменить ( E d i t ) .
Откроется Редактор управления г р у п п о в ы м и п о л и т и к а м и ( G r o u p Policy
Management Editor).
4. Разверните узел К о н ф и г у р а ц и я к о м п ы о т е р а П о л и т и к и К о н ф и г у р а ц и я
WindowsIlapaMeTpbi б е з о п а с н о с т и Л о к а л ь н ы е п о л и т и к и ( C o m p u t e r
ConfigurationPoliciesWindows S e t t i n g s S e c u r i t y S e t t i n g s L o c a l Policies)
и выберите папку Политика аудита (Audit Policy).
5. Дважды щелкните параметр политики Аудит входа в систему (Audit Account
Logon Events).
6. Установите флажок Определить следующие п а р а м е т р ы п о л и т и к и (Define
These Policy Settings).
7. Установите флажки Успех (Success) и Отказ (Failure). Щ е л к н и т е ОК.
8. Дважды щелкните параметр политики Аудит с о б ы т и й входа (Audit Logon
Events).
9. Установите флажок Определить следующие п а р а м е т р ы политики (Define
These Policy Settings).
10. Установите флажки Успех (Success) и Отказ (Failure). Щ е л к н и т е ОК.
11. Закройте Редактор управления г р у п п о в ы м и п о л и т и к а м и ( G r o u p Policy
Management Editor).
12. В главном меню ( S t a r t ) щелкните значок К о м а н д н а я строка (Command
Prompt).
Занятие 1
Настройка политики паролей и блокировки учетных записей 3 8 3
13. Введите команду gpupdate.exe /force.
Эта команда дает указание машине S E R V E R 0 1 обновить свои политики,
при этом будут п р и м е н е н ы новые политики аудита.
У п р а ж н е н и е 2. Г е н е р и р о в а н и е событий входа учетной записи
В этом у п р а ж н е н и и вы сгенерируете события входа учетной записи, используя
при входе п р а в и л ь н ы й и н е п р а в и л ь н ы е пароли.
1. В ы й д и т е из системы S E R V E R 0 1 .
2. П о п ы т а й т е с ь в о й т и в систему, указав некорректный пароль для учетной
записи А д м и н и с т р а т о р (Administrator). Повторите попытку один или два
раза.
3. Войдите на м а ш и н у S E R V E R 0 1 с использованием правильного пароля.
У п р а ж н е н и е 3. А н а л и з с о б ы т и й входа учетной записи
В ы п о л н я я данное у п р а ж н е н и е , вы просмотрите события, которые были сгене-
рированы в у п р а ж н е н и и 2.
1. В г р у п п е А д м и н и с т р и р о в а н и е (Administrative Tools) откройте оснастку
Просмотр с о б ы т и й ( E v e n t Viewer).
2. Р а з в е р н и т е узел Ж у р н а л ы W i n d o w s (Windows Logs) и выберите журнал
Безопасность (Security).
3. О т ы щ и т е у с п е ш н ы е и неудачные события.
Резюме
• С о б ы т и я входа учетной з а п и с и генерируются на контроллере домена во
время проверки подлинности пользователей, входящих в домен с любого
компьютера.
• С о б ы т и я входа генерируются в системах, в которые входят пользователи,
как, например, л и ч н ы е настольные компьютеры и ноутбуки. Кроме того,
события входа генерируются при сетевом входе, например при подключе-
н и и пользователя к ф а й л о в о м у серверу.
• По у м о л ч а н и ю системы Windows Server 2008 выполняют аудит успешного
входа учетной записи и событий входа.
• Д л я анализа событий входа учетной записи в домен нужно просмотреть
отдельные ж у р н а л ы событий на каждом контроллере домена.
Закрепление материала
Следующие вопросы можно использовать для проверки знаний, полученных
на занятии 2. Эти вопросы есть и на сопроводительном компакт-диске.
ПРИМЕЧАНИЕ Ответы
Ответы на эти вопросы с пояснениями, почему тот или иной вариант ответа пра-
вилен или неверен, вы найдете в разделе «Ответы» в конце книги.
' 3 8 4 Проверка подлинности
Глава 8
1. Вам нужно получить журнал, с п о м о щ ь ю к о т о р о г о м о ж н о о п р е д е л и т ь вре-
мя неудачных попыток входа, п р и в о д я щ и х к б л о к и р о в к е у ч е т н о й записи.
Какую политику отконфигурировать д л я этого?
A. Определить параметры политики Аудит с о б ы т и й входа в систему (Audit
Account Logon Events) д л я событий Успех (Success) в объекте групповой
политики Default Domain Policy.
Б. Определить параметры политики Аудит с о б ы т и й входа в систему (Audit
Account Logon Events) для событий О т к а з ( F a i l u r e ) в о б ъ е к т е групповой
политики Default Domain Policy.
B. Определить параметры п о л и т и к и Аудит входа в с и с т е м у ( A u d i t Logon
Events) для событий Успех ( S u c c e s s ) в о б ъ е к т е г р у п п о в о й п о л и т и к и
Default Domain Policy.
Г. Определить параметры политики Аудит входа в с и с т е м у ( A u d i t Account
Logon Events) для событий О т к а з ( F a i l u r e ) в о б ъ е к т е г р у п п о в о й поли-
тики Default Domain Policy.
2. Вам необходимо отследить в р е м я в х о д а п о л ь з о в а т е л е й на к о м п ь ю т е р ы
в отделе кадров Adventure Works. К а к и е м е т о д ы п о з в о л я ю т п о л у ч и т ь тре-
буемую информацию?
A. В объекте групповой п о л и т и к и D e f a u l t D o m a i n C o n t r o l l e r s о т к о н ф и -
гурировать параметры п о л и т и к и д л я а у д и т а у с п е ш н ы х с о б ы т и й входа
учетной записи. П р о а н а л и з и р о в а т ь ж у р н а л с о б ы т и й на п е р в о м конт-
роллере, установленном в домене.
Б. Отконфигурировать параметр п о л и т и к и д л я а у д и т а у с п е ш н ы х событий
входа в объекте G P O , с в я з а н н о м с п о д р а з д е л е н и е м , к о т о р о е с о д е р ж и т
пользовательские учетные записи с о т р у д н и к о в о т д е л а к а д р о в . Проана-
лизировать журналы событий на к а ж д о м к о м п ь ю т е р е о т д е л а кадров.
B. Отконфигурировать параметр п о л и т и к и д л я а у д и т а у с п е ш н ы х событий
входа в объекте G P O , с в я з а н н о м с п о д р а з д е л е н и е м , к о т о р о е содержит
учетные записи компьютеров отдела кадров. П р о а н а л и з и р о в а т ь журна-
лы событий на каждом компьютере отдела кадров.
Г. Отконфигурировать параметр п о л и т и к и д л я а у д и т а у с п е ш н ы х событий
входа в объекте G P O , с в я з а н н о м с п о д р а з д е л е н и е м , к о т о р о е содержит
учетные записи компьютеров отдела кадров. П р о а н а л и з и р о в а т ь журна-
лы событий на каждом к о н т р о л л е р е домена.
Занятие 3. Настройка контроллеров RODC
Филиалы всегда представляют проблему д л я п е р с о н а л а о т д е л а IT предпри-
ятия: помещать ли контроллер домена в ф и л и а л , если этот ф и л и а л соединен
с центральным узлом ссылкой г л о б а л ь н о й сети WAN ( W i d e Area N e t w o r k ) ?
В предыдущих версиях Windows ответить на этот вопрос было довольно слож-
но. Однако в Windows Server 2008 п о я в и л с я н о в ы й т и п к о н т р о л л е р а домена —
контроллер домена только для чтения R O D C ( R e a d – O n l y D o m a i n Controller).
На этом занятии мы обсудим вопросы, с в я з а н н ы е с п р о в е р к о й подлинности
в филиале компании и размещением к о н т р о л л е р о в домена, а т а к ж е принципы
реализации и поддержки контроллеров R O D C . I
Занятие 1
Настройка политики паролей и блокировки учетных записей 385
Изучив материалы этого занятия, вы сможете:
• Определить бизнес-требования к контроллерам RODC.
•/ Установить контроллер RODC.
У Отконфигурировать политику репликации паролей.
У Отслеживать кэширование учетных данных на контроллере RODC.
Продолжительность занятия – около 60 мин.
Проверка подлинности и размещение контроллера домена
в филиале
Рассмотрим сценарий, в котором предприятие имеет центральный узел и не-
сколько ф и л и а л о в . Ф и л и а л ы подключаются к центральному узлу с помощью
ссылок WAN, к о т о р ы е могут оказаться перегруженными, дорогостоящими
и нестабильными. Д л я п о л у ч е н и я доступа к ресурсам в домене пользователи
в ф и л и а л е д о л ж н ы проходить проверку подлинности Active Directory. Стоит
ли размещать к о н т р о л л е р домена в таком филиале?
В сценариях с ф и л и а л а м и многие службы IT сосредоточены в главном узле.
Центральный узел поддерживается IT-персоналом и располагает безопасными
средствами для служб. В ф и л и а л а х не обеспечивается достаточный уровень
безопасности для серверов и не хватает персонала для их поддержки.
Если к о н т р о л л е р домена размещается не в филиале, операции проверки
подлинности и предоставления билетов служб будут направляться через соеди-
нение WAN в г л а в н ы й узел. Проверка подлинности выполняется при первом
входе пользователя на его компьютер утром. Билеты служб являются компо-
нентом механизма проверки подлинности Kerberos, используемого доменами
Windows Server 2008. Б и л е т служб – это аналог ключа, который контроллер
домена выдает п о л ь з о в а т е л ю . С помощью этого ключа пользователь может
подключиться к ф а й л о в о й службе и службе печати на файловом сервере. Когда
п о л ь з о в а т е л ь в п е р в ы й раз п ы т а е т с я получить доступ к конкретной служ-
бе, к л и е н т п о л ь з о в а т е л я запрашивает билет службы у контроллера домена.
Поскольку в течение рабочего дня пользователи, как правило, подключаются
к множеству служб, операции с билетами служб производятся регулярно. Опе-
рации проверки подлинности и билетов служб выполняются через соединение
WAN между ф и л и а л о м и г л а в н ы м узлом, в результате производительность
филиала может значительно снизиться.
Если контроллер домена разместить в филиале, проверка подлинности бу-
дет выполняться намного эффективней, но при этом возникает угроза безопас-
ности. Контроллер домена поддерживает копии всех атрибутов всех объектов в
своем домене, в к л ю ч а я такие секреты, как данные пользовательских паролей.
В случае взлома или похищения контроллера домена опытный злоумышленник
может идентифицировать подлинные пользовательские имена и пароли, что
приведет к взлому целого домена. Вам придется, как минимум, сменить пароли
учетных записей всех пользователей в домене. Поскольку безопасность серве-
ров в филиалах часто поддерживается на недостаточном уровне, контроллер
домена, размещенный в филиале, подвергается определенной угрозе.
I 386 Проверка подлинности
Глава 8
Еще одна проблема заключается в том, что и з м е н е н и я в базе д а н н ы х Active
Directory на контроллере домена в ф и л и а л е р е п л и ц и р у ю т с я на г л а в н ы й узел и
все остальные контроллеры домена в среде. П о э т о м у п о в р е ж д е н и е контроллера
домена в филиале создает угрозу целостности с л у ж б ы к а т а л о г о в п р е д п р и я т и я .
Например, восстановление а д м и н и с т р а т о р о м к о н т р о л л е р а д о м е н а ф и л и а л а из
старой резервной копии может привести к з н а ч и т е л ь н ы м и з м е н е н и я м во всем
домене.
Третья проблема связана с а д м и н и с т р и р о в а н и е м . Н а п р и м е р , к о н т р о л л е р у
домена в филиале может потребоваться п о д д е р ж к а н о в о г о д р а й в е р а устройс-
тва. Чтобы обеспечить такую поддержку на с т а н д а р т н о м к о н т р о л л е р е доме-
на, нужно войти на него как член г р у п п ы А д м и н и с т р а т о р ы ( A d m i n i s t r a t o r s ) .
Команде поддержки в ф и л и а л е не всегда с л е д у е т н а з н а ч а т ь т а к о й у р о в е н ь
полномочий.
Контроллеры домена только для чтения
Эти проблемы, связанные с безопасностью, ц е л о с т н о с т ь ю с л у ж б ы каталогов
и администрированием, ставят п р е д п р и я т и я п е р е д с л о ж н ы м в ы б о р о м . Кон-
троллеры домена только д л я ч т е н и я R O D C ( R e a d – O n l y D o m a i n C o n t r o l l e r )
предназначены для сценариев с ф и л и а л о м . К о н т р о л л е р R O D C , р а з м е щ е н н ы й в
филиале, поддерживает копию всех объектов в д о м е н е и в с е х атрибутов, кроме
таких секретов, как свойства паролей. Когда п о л ь з о в а т е л ь в ф и л и а л е входит
в домен, контроллер R O D C получает запрос и н а п р а в л я е т его на контроллер
домена в главном узле для проверки п о д л и н н о с т и .
Для контроллера R O D C м о ж н о о т к о н ф и г у р и р о в а т ь п о л и т и к у репликации
паролей P R P (Password Replication Policy), к о т о р а я р а з р е ш а е т кэширование
пользовательских учетных з а п и с е й н а к о н т р о л л е р е R O D C . Е с л и в х о д я щ и й
пользователь включен в п о л и т и к у р е п л и к а ц и и п а р о л е й , к о н т р о л л е р R O D C
кэширует учетные данные этого п о л ь з о в а т е л я , ч т о б ы п р и с л е д у ю щ е м запросе
проверки подлинности R O D C мог р е ш и т ь э т у з а д а ч у л о к а л ь н о . Д л я пользо-
вателей, включенных в п о л и т и к у р е п л и к а ц и и п а р о л е й , к о н т р о л л е р R O D C
создает кэш учетных данных, что п о з в о л я е т в ы п о л н я т ь л о к а л ь н у ю проверку
подлинности таких пользователей. О п и с а н н ы е к о н ц е п ц и и п р е д с т а в л е н ы на
рис. 8-7.
Поскольку контроллер R O D C п о д д е р ж и в а е т т о л ь к о о г р а н и ч е н н ы й набор
учетных записей пользователей, в случае его в з л о м а и л и х и щ е н и я ущерб безо-
пасности также ограничен: пароли п р и д е т с я и з м е н и т ь т о л ь к о тем пользовате-
лям, учетные записи которых к э ш и р о в а л и с ь на д а н н о м R O D C . Контроллеры
домена с правом записи п о д д е р ж и в а ю т с п и с о к всех к э ш и р о в а н н ы х учетных
данных на отдельных контроллерах R O D C . П р и у д а л е н и и из Active Directory
учетной записи похищенного и л и в з л о м а н н о г о к о н т р о л л е р а R O D C можно
изменить пароли учетных записей всех п о л ь з о в а т е л е й , к о т о р ы е кэшировались
на этом R O D C . Контроллер R O D C р е п л и ц и р у е т и з м е н е н и я Active Directory
из контроллеров домена в г л а в н о м узле. Р е п л и к а ц и я эта – односторонняя
(с пишущего контроллера домена на к о н т р о л л е р R O D C ) . И з м е н е н и я на кон-
троллере R O D C не р е п л и ц и р у ю т с я на о с т а л ь н ы е к о н т р о л л е р ы домена. Так
исключается возможность п о в р е ж д е н и я с л у ж б ы к а т а л о г о в из-за изменений,
Занятие 1
Настройка политики паролей и блокировки учетных записей 3 8 7
внесенных на в з л о м а н н ы й к о н т р о л л е р домена в филиале. И наконец, в отличие
от п и ш у щ и х к о н т р о л л е р о в домена, к о н т р о л л е р ы R O D C содержат локальную
группу А д м и н и с т р а т о р ы (Administrators). Персоналу поддержки можно предо-
ставить все в о з м о ж н о с т и технического о б с л у ж и в а н и я R O D C без привилегий
а д м и н и с т р а т о р о в д о м е н а .
Главный увел
(главный офис/центральный узел)
Сайты филиалов
(физически менее защищенные)
Рис. 8-7. Сценарии с филиалами, поддерживаемые контроллерами RODC
Развертывание контроллера RODC
Д л я установки R O D C в ы п о л н и т е следующие операции.
1. Убедитесь, что л е с работает на ф у н к ц и о н а л ь н о м уровне не ниже Windows
Server 2003.
2. Е с л и в лесу есть к о н т р о л л е р ы д о м е н о в Windows Server 2003, запустите
команду Adprep /rodcprep.
I 3 8 8 Проверка подлинности Глава 8
3. Убедитесь, что хотя бы один п и ш у щ и й к о н т р о л л е р д о м е н а работает иа
функциональном уровне W i n d o w s Server 2008.
4. Установите R O D C .
Далее каждая из этих операций о п и с а н а д е т а л ь н о .
Проверка и настройка леса до функционального уровня
не ниже Windows Server 2003
Функциональные уровни позволяют в к л ю ч а т ь у н и к а л ь н ы е в о з м о ж н о с т и конк-
ретных версий Windows и, следовательно, з а в и с я т от в е р с и й W i n d o w s на конт-
роллерах доменов. Если все контроллеры д о м е н а р а б о т а ю т на ф у н к ц и о н а л ь н о м
уровне не ниже Windows Server 2003, этот ф у н к ц и о н а л ь н ы й у р о в е н ь можно
назначить для домена. Если все д о м е н ы р а б о т а ю т на ф у н к ц и о н а л ь н о м уровне
Windows Server 2003, этот же уровень м о ж н о н а з н а ч и т ь лесу. Ф у н к ц и о н а л ь н ы е
уровни доменов и леса описаны в главе 12.
Для контроллеров с правом ч т е н и я R O D C н е о б х о д и м ф у н к ц и о н а л ь н ы й
уровень леса не ниже Windows Server 2003. Это означает, что все контролле-
ры доменов во всем лесу д о л ж н ы и м е т ь ф у н к ц и о н а л ь н ы й у р о в е н ь не ниже
Windows Server 2003. Ч т о б ы о п р е д е л и т ь ф у н к ц и о н а л ь н ы й у р о в е н ь леса,
в группе Администрирование ( A d m i n i s t r a t i v e Tools) о т к р о й т е оснастку Active
Directory – домены и доверие (Active D i r e c t o r y D o m a i n s A n d Trusts), щелкните
правой кнопкой мыши имя леса, п р и м е н и т е к о м а н д у С в о й с т в а ( P r o p e r t i e s )
и проверьте функциональный уровень (рис. 8 – 8 ) . С д е л а т ь это т а к и м способом
может любой пользователь.
wm •
J J * J
Обшив |£Ь&есмя | Управляется]
J v * contoso .coir
Имя д»->ена 'jnpefl-Wndov,'! 2СШ
jCONTOSO
Огмсакие.
Pexiti работы
V.V-dovs Serve* 20vS
Реж>т-1 работы леса.
WWort* Setvw 2038
| OK j Отмена | f & f i P ' * -
Рис. 8-8. Диалоговое окно свойств леса
Если функциональный уровень н и ж е W i n d o w s Server 2003, проанализи-
руйте свойства каждого домена и о т ы щ и т е д о м е н ы с уровнем н и ж е Windows
Server 2003. Обнаружив такой домен, проверьте, все ли к о н т р о л л е р ы в нем
работают на уровне Windows Server 2003. З а т е м в оснастке Active Directory -
Занятие 1
Настройка политики паролей и блокировки учетных записей 389
домены и доверие (Active Directory Domains And Trusts) щелкните этот домен
правой кнопкой м ы ш и и примените команду Изменение режима работы домена
(Raise D o m a i n Functional Level). Подняв функциональный уровень всех доме-
нов до W i n d o w s Server 2003, щ е л к н и т е правой кнопкой мыши корневой узел
оснастки Active D i rect ory – домены и доверие и примените команду Измене-
ние р е ж и м а работы леса (Raise Forest Functional Level). В раскрывающемся
списке Выбор доступного функционального уровня леса (Select An Available
Forest F u n c t i o n a l Level) в ы б е р и т е р е ж и м Windows Server 2003 и щелкните
к н о п к у П о в ы с и т ь (Raise). П о в ы ш а т ь ф у н к ц и о н а л ь н ы й уровень домена мо-
жет администратор домена. Ч т о б ы повысить функциональный уровень леса,
необходимо быть ч л е н о м г р у п п ы Администраторы домена (Domain Admins)
в к о р н е в о м д о м е н е леса и л и ч л е н о м группы Администраторы предприятия
( E n t e r p r i s e Admins).
К о м а н д а adprep /rodcprep
О б н о в л я я с у щ е с т в у ю щ и й лес, чтобы включить в него контроллеры домена
Windows Server 2008, следует запустить команду adprep /rodcprep. Эта команда
конфигурирует разрешения, благодаря чему контроллеры RODC могут репли-
цировать разделы каталога п р и л о ж е н и й DNS (эти разделы описаны в главе 9).
При с о з д а н и и нового леса Active D i r e ct o ry лишь с контроллерами доменов
Windows Server 2008 команду adprep /rodcprep запускать не нужно.
Утилита Adprep х р а н и т с я в папке S o u r c e A d p r e p на установочном DVD-
диске W i n d o w s Server 2008. Скопируйте указанную папку на контроллер до-
мена, и г р а ю щ и й роль мастера схемы (роль описана в главе 10). Войдите на
мастер схемы как член группы Администраторы предприятия (Enterprise Ad-
mins), откройте окно командной строки, перейдите в папку Adprep и введите
команду adprep /rodcprep.
Р а з м е щ е н и е п и ш у щ е г о к о н т р о л л е р а д о м е н а Windows Server 2008
Контроллер R O D C д о л ж е н реплицировать обновления домена с пишущего
к о н т р о л л е р а домена W i n d o w s Server 2008. Очень важно, чтобы контроллер
R O D C мог установить соединение репликации с пишущим контроллером до-
мена W i n d o w s Server 2008. В идеале пишущий контроллер домена Windows
Server 2008 д о л ж е н располагаться в ближайшем сайте – центральном узле.
Репликация, сайты и связи сайтов Active Directory описаны в главе 11. Что-
бы контроллер R O D C играл роль DNS-сервера, пишущий контроллер домена
Windows Server 2008 также должен содержать доменную зону DNS.
Контрольный вопрос
• Ваш домен состоит из центрального узла и четырех филиалов. Центральный
узел содержит два контроллера домена. Узел каждого филиала содержит один
контроллер домена. Все контроллеры домена работают в режиме Windows
Server 2003. Ваша компания приняла решение открыть пятый филиал и вам
нужно отконфигурировать его с использованием нового контроллера RODC
системы Windows Server 2008. Что следует сделать перед включением первого
контроллера RODC в домен?
(см. след. стр.)
' 3 9 0 Проверка подлинности
Глава 8
Ответ на контрольный вопрос
• Вначале необходимо проверить, работает ли лес на функциональном уровне
Windows Server 2003. Затем один из с у щ е с т в у ю щ и х к о н т р о л л е р о в доме-
на следует обновить до Windows Server 2008, чтобы п о л у ч и т ь п и ш у щ и й
контроллер домена Windows Server 2008. Кроме того, требуется запустить
с установочного DVD-диска команду adprep /rodcprep.
Установка контроллера RODC
После в ы п о л н е н и я п о д г о т о в и т е л ь н ы х о п е р а ц и й п р и с т у п а ю т к у с т а н о в к е
R O D C . Н а к о н т р о л л е р е R O D C м о ж н о у с т а н о в и т ь я д р о с е р в е р а ( S e r v e r C o r e )
или осуществить п о л н у ю у с т а н о в к у W i n d o w s S e r v e r 2 0 0 8 . П р и п о л н о й уста-
новке W i n d o w s Server 2 0 0 8 д л я с о з д а н и я R O D C л у ч ш е и с п о л ь з о в а т ь М а с т е р
установки д о м е н н ы х с л у ж б Active D i r e c t o r y ( A c t i v e D i r e c t o r y D o m a i n Services
Installation Wizard). Просто у с т а н о в и т е н а с т р а н и ц е Д о п о л н и т е л ь н ы е парамет-
р ы контроллера домена (Additional D o m a i n C o n t r o l l e r O p t i o n s ) м а с т е р а ф л а ж о к
Контроллер домена т о л ь к о д л я ч т е н и я ( R O D C ) ( R e a d – O n l y D o m a i n C o n t r o l l e r
( R O D C ) ) , как показано на рис. 8 – 9 .
mBE5ss3aEssssssss. JSJ
Дню/ми шъгаме iiap<»-
Вь Лес-че згтолни№Л1.чъ« параметр».! дли данного контроллера прачка
Р СЧ£<ераер
Р tooopfep ;оя«лв in чг»ч«и RODO
Дтои-иса<иич.< =
6 «остемий милеит I ONS-сервез мрегжтрммва– г хахгсгве
< Наааа | Далее .' Отмена J
Рис. 8-9. Создание контроллера RODC с п о м о щ ь ю м а с т е р а у с т а н о в к и д о м е н н ы х с л у ж б
Active Directory
ПРИМЕЧАНИЕ
В упражнении 1 этого занятия приведены инструкции по созданию контроллера
RODC с помощью мастера установки доменных служб Active Directory.
В качестве альтернативы д л я с о з д а н и я к о н т р о л л е р а R O D C молено исполь-
зовать команду Dcpromo.exe с п е р е к л ю ч а т е л е м /unattend. На м а ш и н е с установ-
Занятие 1
Настройка политики паролей и блокировки учетных записей 414
ленным ядром сервера (Server Core) Windows Server 2008 следует применять
команду Dcpromo.exe /unattend.
Установку R O D C т а к ж е м о ж н о делегировать, чтобы пользователь – не
администратор домена мог создать R O D C , добавив в филиал новый сервер
и запустив команду Dcpromo.exe. Ч т о б ы делегировать установку RODC, пред-
варительно создайте в подразделении Domain Controllers учетную запись ком-
пьютера д л я R O D C и у к а ж и т е учетные данные, которые будут использоваться
для добавления R O D C в домен. Затем этот пользователь сможет прикрепить
сервер W i n d o w s Server 2008 к учетной записи контроллера RODC. При созда-
нии контроллера R O D C путем делегирования установки сервер должен быть
членом рабочей группы, а не домена.
К СВЕДЕНИЮ Опции установки RODC
Детальную информацию о других опциях установки контроллеров RODC, включая
делегирование установки, можно найти в книге по адресу http://technet2.microsoft.
com/windowsserver2008/en/library/ea8d253e-0646-490c-93d3-b78c5e1d9db71033.
mspx?mfr=true.
Политика репликации паролей
Политика р е п л и к а ц и и паролей P R P (Password Replication Policy) определяет
пользователей, у ч е т н ы е д а н н ы е которых можно кэшировать на конкретном
контроллере R O D C . Е с л и п о л и т и к а репликации паролей разрешает контрол-
леру R O D C к э ш и р о в а т ь учетные данные пользователя, то операции проверки
п о д л и н н о с т и и билета с л у ж б ы д л я этого пользователя будут выполняться
контроллером R O D C . Если учетные данные пользователя нельзя кэшировать
на к о н т р о л л е р е R O D C , о п е р а ц и и проверки подлинности и билета службы
для этого пользователя будут направляться R O D C на пишущий контроллер
домена.
П о л и т и к а р е п л и к а ц и и паролей контроллера R O D C определяется двумя
м н о г о з н а ч н ы м и а т р и б у т а м и учетной записи компьютера RODC: списками
Разрешить (Allowed List) и Запретить (Denied List). Если учетная запись поль-
зователя указана в списке Разрешить (Allowed), учетные данные пользователя
будут кэшироваться. В список Разрешить можно включать и группы пользо-
вателей. В таком случае на контроллере R O D C будут кэшироваться учетные
данные всех пользователей, принадлежащих к этой группе. Если пользователь
находится в обоих списках – Разрешить и Запретить, учетные данные пользо-
вателя не будут кэшироваться, поскольку приоритет имеет список запретов.
Настройка политики р епликац ии паролей домена
Для управления политикой репликации паролей Windows Server 2008 в контей-
нере Users создаются две локальные группы безопасности в домене. Группа с
разрешением репликации паролей R O D C (Allowed R O D C Password Replication
Group) добавляется в список Разрешено (Allowed) на каждом новом контрол-
лере R O D C . По умолчанию в этой группе нет членов. Поэтому по умолчанию
новый контроллер R O D C не будет кэшировать учетные записи пользователей.
I 3 9 2 Проверка подлинности
Глава 8
Если на всех контроллерах R O D C нужно к э ш и р о в а т ь пользователей, введите
этих пользователей в группу с разрешением р е п л и к а ц и и паролей R O D C .
Группа с запрещением репликации паролей R O D C ( D e n i e d R O D C Password
Replication Group) добавляется в список Запрещено ( D e n i e d ) на каждом новом
контроллере R O D C . Если некоторых п о л ь з о в а т е л е й н е л ь з я к э ш и р о в а т ь на
