Текст книги "Настройка Active Directory. Windows Server 2008"

Автор книги: Dan Holme

Соавторы: Danielle Ruest,Nelson Ruest
сообщить о нарушении

Текущая страница: 39 (всего у книги 91 страниц)

бирая пароль пользователя. Вам нужно определить время попыток входа

злоумышленника в сеть. Аудит какого типа событий необходимо выполнять?

Следует ли отконфигурировать параметр политики в объекте Default Domain

Policy или Default Domain Controllers Policy?

О т в е т н а к о н т р о л ь н ы й в о п р о с

• Включите аудит неудачных событий попыток входа учетной записи (а не

просто событий входа) в объекте Default Domain Controllers Policy. Только

контроллеры домена генерируют события входа учетной записи, связанные с

проверкой подлинности пользователей домена. В область действия объекта

Default Domain Controllers Policy включены только контроллеры домена.

Просмотр событий входа

П р и а у д и т е с о б ы т и я в х о д а и в х о д а у ч е т н о й записи вносятся в журнал Безо-

пасность ( S e c u r i t y ) с и с т е м ы , к о т о р а я сгенерировала событие (рис. 8-6). Таким

образом, п р и а у д и т е в х о д а на к о м п ь ю т е р ы в отделе кадров события вносятся

в ж у р н а л Б е з о п а с н о с т ь ( S e c u r i t y ) на к а ж д о м компьютере. Аналогично при ауди-

те н е у д а ч н ы х п о п ы т о к в х о д а у ч е т н о й записи, чтобы обнаружить возможные

н е с а н к ц и о н и р о в а н н ы е п о п ы т к и доступа, с о б ы т и я вносятся в журнал Безопас-

ность ( S e c u r i t y ) к а ж д о г о к о н т р о л л е р а домена. Это означает, что по умолчанию

д л я п о л у ч е н и я п о л н о й к а р т и н ы с о б ы т и й входа учетных записей в домен жур-

н а л ы б е з о п а с н о с т и н у ж н о а н а л и з и р о в а т ь на всех контроллерах домена.

! Койэдъ fief-crate 8-u Справка

Ф * a p p t »

: й XYINW VtnfafiS

•Смчем* Ькл> j «агегзрий i » Бетепаспост» – !

: й XYINW VtnfafiS

Щ

Щ &е

&к

ес

ка

со

а «

о -г

« т

–г

– ь

т

jg:

С

б

о

й аудита

С

л

у

х

&

а фоаеэкнгоа/мчэсти Kerts..

f

f С

о

Си

о ат

и ъ

ат

а «ас

«а

« .

.

. j

ССЧУЙ аудита B*AC в систему

й

й С ^ Г

Цсбойаумта Сл,л*5в проверки год/»»»«ст>'

IWLOPTHXE...

С ^ Г

Г*

Г е

*е

ес

ел

с »

л »

» ь

»-е

ь-

ь оэ

б

оэ

о ы

б ти

ыт

ы я

и

А

у

д

и

т ввлс-хн ycnei-ио йРГ-* ибэтиа гсстугл* объекту , j

: Г-

Г ,– ЖГРИ*№ ГФЩМСЕП

№

М

ГФЩМСЕП И CRV»

И

"

CRV» <

" "1 1 >П

Событие 4625, MtCftrtoft 'Aindcwj ucurity auditing*

X

0$ш*ч | Подробности j

аС

а Наи

На

Н т»

ит

и «

»..

«

if IR

I J

R

J С

эю

Сэ

С а

юк

а"»

к"

к ..

. .

.

Ь четясДмписи нсдолвс» «ыпвлнмт» «.-од t систему.

|06ыЮ:

Е

м

д

Е

м

Е •

д

|

И

м

» куриллг Ьосмсность

ев

е с

в л

с и

л т

и»

т

Поде»: i.:Micretoft y/nwfoM«t Security Дата.

•

• С

лр

С а

л е

р к

а а

ек

е »

Код<с6»иив 4625 Каг»юр*я >»дачи:

Со

С б

о ы

б т

ы .«

т 4

« *

4 «

* ,_

« -

_

1

Урояеп»: Сведен и» Ключыме слоак

Полок. «ет«.1»: Н,'

Д Ко ып»«тер:

кед операция: Саелния

Псдссбиости б*4-споаава жнмяла Z

У С

зф

Сз

С И

ф Л

И >

Л 8

.

8

.

<1

< ! И

| – г ; -'j-

– • – – Г – – – 1

Рис. 8-6. События проверки подлинности в журнале безопасности

I 3 8 2 Проверка подлинности

Глава 8

В комплексной среде со множеством контроллеров доменов и пользователей

аудит входа учетных записей или просто входа м о ж е т генерировать огромное

количество событий. Среди них трудно о б н а р у ж и т ь п р о б л е м н ы е события для

дальнейшего анализа. Соблюдайте баланс между к о л и ч е с т в о м событий, аудит

которых выполняется, т р е б о в а н и я м и б е з о п а с н о с т и б и з н е с а и к о л и ч е с т в о м

используемых ресурсов для анализа событий в ж у р н а л а х .

Практические занятия

В предложенных далее упражнениях вы и с п о л ь з у е т е г р у п п о в у ю политику,

чтобы включить аудит для отслеживания событий входа пользователей в домен

contoso.com. Затем вы сгенерируете события входа й п р о с м о т р и т е полученные

записи в журналах событий.

Упражнение 1. Настройка аудита событий входа у ч е т н о й з а п и с и

В этом упражнении вы модифицируете объект г р у п п о в о й п о л и т и к и Default

Domain Controllers Policy для аудита успешного и неудачного входа пользо-

вателей в домене.

1. Откройте консоль Управление групповой п о л и т и к о й ( G r o u p Policy Mana-

gement).

2. Разверните узел J I e c V l o M e n b i c o n t o s o . c o m D o m a m C o n t r o l l e r s ( F o r e s t

Domainscontoso.comDomain Controllers).

3. Щелкните правой кнопкой мыши объект Default D o m a i n Controllers Policy

и примените команду Изменить ( E d i t ) .

Откроется Редактор управления г р у п п о в ы м и п о л и т и к а м и ( G r o u p Policy

Management Editor).

4. Разверните узел К о н ф и г у р а ц и я к о м п ы о т е р а П о л и т и к и К о н ф и г у р а ц и я

WindowsIlapaMeTpbi б е з о п а с н о с т и Л о к а л ь н ы е п о л и т и к и ( C o m p u t e r

ConfigurationPoliciesWindows S e t t i n g s S e c u r i t y S e t t i n g s L o c a l Policies)

и выберите папку Политика аудита (Audit Policy).

5. Дважды щелкните параметр политики Аудит входа в систему (Audit Account

Logon Events).

6. Установите флажок Определить следующие п а р а м е т р ы п о л и т и к и (Define

These Policy Settings).

7. Установите флажки Успех (Success) и Отказ (Failure). Щ е л к н и т е ОК.

8. Дважды щелкните параметр политики Аудит с о б ы т и й входа (Audit Logon

Events).

9. Установите флажок Определить следующие п а р а м е т р ы политики (Define

These Policy Settings).

10. Установите флажки Успех (Success) и Отказ (Failure). Щ е л к н и т е ОК.

11. Закройте Редактор управления г р у п п о в ы м и п о л и т и к а м и ( G r o u p Policy

Management Editor).

12. В главном меню ( S t a r t ) щелкните значок К о м а н д н а я строка (Command

Prompt).

Занятие 1

Настройка политики паролей и блокировки учетных записей 3 8 3

13. Введите команду gpupdate.exe /force.

Эта команда дает указание машине S E R V E R 0 1 обновить свои политики,

при этом будут п р и м е н е н ы новые политики аудита.

У п р а ж н е н и е 2. Г е н е р и р о в а н и е событий входа учетной записи

В этом у п р а ж н е н и и вы сгенерируете события входа учетной записи, используя

при входе п р а в и л ь н ы й и н е п р а в и л ь н ы е пароли.

1. В ы й д и т е из системы S E R V E R 0 1 .

2. П о п ы т а й т е с ь в о й т и в систему, указав некорректный пароль для учетной

записи А д м и н и с т р а т о р (Administrator). Повторите попытку один или два

раза.

3. Войдите на м а ш и н у S E R V E R 0 1 с использованием правильного пароля.

У п р а ж н е н и е 3. А н а л и з с о б ы т и й входа учетной записи

В ы п о л н я я данное у п р а ж н е н и е , вы просмотрите события, которые были сгене-

рированы в у п р а ж н е н и и 2.

1. В г р у п п е А д м и н и с т р и р о в а н и е (Administrative Tools) откройте оснастку

Просмотр с о б ы т и й ( E v e n t Viewer).

2. Р а з в е р н и т е узел Ж у р н а л ы W i n d o w s (Windows Logs) и выберите журнал

Безопасность (Security).

3. О т ы щ и т е у с п е ш н ы е и неудачные события.

Резюме

• С о б ы т и я входа учетной з а п и с и генерируются на контроллере домена во

время проверки подлинности пользователей, входящих в домен с любого

компьютера.

• С о б ы т и я входа генерируются в системах, в которые входят пользователи,

как, например, л и ч н ы е настольные компьютеры и ноутбуки. Кроме того,

события входа генерируются при сетевом входе, например при подключе-

н и и пользователя к ф а й л о в о м у серверу.

• По у м о л ч а н и ю системы Windows Server 2008 выполняют аудит успешного

входа учетной записи и событий входа.

• Д л я анализа событий входа учетной записи в домен нужно просмотреть

отдельные ж у р н а л ы событий на каждом контроллере домена.

Закрепление материала

Следующие вопросы можно использовать для проверки знаний, полученных

на занятии 2. Эти вопросы есть и на сопроводительном компакт-диске.

ПРИМЕЧАНИЕ Ответы

Ответы на эти вопросы с пояснениями, почему тот или иной вариант ответа пра-

вилен или неверен, вы найдете в разделе «Ответы» в конце книги.

' 3 8 4 Проверка подлинности

Глава 8

1. Вам нужно получить журнал, с п о м о щ ь ю к о т о р о г о м о ж н о о п р е д е л и т ь вре-

мя неудачных попыток входа, п р и в о д я щ и х к б л о к и р о в к е у ч е т н о й записи.

Какую политику отконфигурировать д л я этого?

A. Определить параметры политики Аудит с о б ы т и й входа в систему (Audit

Account Logon Events) д л я событий Успех (Success) в объекте групповой

политики Default Domain Policy.

Б. Определить параметры политики Аудит с о б ы т и й входа в систему (Audit

Account Logon Events) для событий О т к а з ( F a i l u r e ) в о б ъ е к т е групповой

политики Default Domain Policy.

B. Определить параметры п о л и т и к и Аудит входа в с и с т е м у ( A u d i t Logon

Events) для событий Успех ( S u c c e s s ) в о б ъ е к т е г р у п п о в о й п о л и т и к и

Default Domain Policy.

Г. Определить параметры политики Аудит входа в с и с т е м у ( A u d i t Account

Logon Events) для событий О т к а з ( F a i l u r e ) в о б ъ е к т е г р у п п о в о й поли-

тики Default Domain Policy.

2. Вам необходимо отследить в р е м я в х о д а п о л ь з о в а т е л е й на к о м п ь ю т е р ы

в отделе кадров Adventure Works. К а к и е м е т о д ы п о з в о л я ю т п о л у ч и т ь тре-

буемую информацию?

A. В объекте групповой п о л и т и к и D e f a u l t D o m a i n C o n t r o l l e r s о т к о н ф и -

гурировать параметры п о л и т и к и д л я а у д и т а у с п е ш н ы х с о б ы т и й входа

учетной записи. П р о а н а л и з и р о в а т ь ж у р н а л с о б ы т и й на п е р в о м конт-

роллере, установленном в домене.

Б. Отконфигурировать параметр п о л и т и к и д л я а у д и т а у с п е ш н ы х событий

входа в объекте G P O , с в я з а н н о м с п о д р а з д е л е н и е м , к о т о р о е с о д е р ж и т

пользовательские учетные записи с о т р у д н и к о в о т д е л а к а д р о в . Проана-

лизировать журналы событий на к а ж д о м к о м п ь ю т е р е о т д е л а кадров.

B. Отконфигурировать параметр п о л и т и к и д л я а у д и т а у с п е ш н ы х событий

входа в объекте G P O , с в я з а н н о м с п о д р а з д е л е н и е м , к о т о р о е содержит

учетные записи компьютеров отдела кадров. П р о а н а л и з и р о в а т ь журна-

лы событий на каждом компьютере отдела кадров.

Г. Отконфигурировать параметр п о л и т и к и д л я а у д и т а у с п е ш н ы х событий

входа в объекте G P O , с в я з а н н о м с п о д р а з д е л е н и е м , к о т о р о е содержит

учетные записи компьютеров отдела кадров. П р о а н а л и з и р о в а т ь журна-

лы событий на каждом к о н т р о л л е р е домена.

Занятие 3. Настройка контроллеров RODC

Филиалы всегда представляют проблему д л я п е р с о н а л а о т д е л а IT предпри-

ятия: помещать ли контроллер домена в ф и л и а л , если этот ф и л и а л соединен

с центральным узлом ссылкой г л о б а л ь н о й сети WAN ( W i d e Area N e t w o r k ) ?

В предыдущих версиях Windows ответить на этот вопрос было довольно слож-

но. Однако в Windows Server 2008 п о я в и л с я н о в ы й т и п к о н т р о л л е р а домена —

контроллер домена только для чтения R O D C ( R e a d – O n l y D o m a i n Controller).

На этом занятии мы обсудим вопросы, с в я з а н н ы е с п р о в е р к о й подлинности

в филиале компании и размещением к о н т р о л л е р о в домена, а т а к ж е принципы

реализации и поддержки контроллеров R O D C . I

Занятие 1

Настройка политики паролей и блокировки учетных записей 385

Изучив материалы этого занятия, вы сможете:

• Определить бизнес-требования к контроллерам RODC.

•/ Установить контроллер RODC.

У Отконфигурировать политику репликации паролей.

У Отслеживать кэширование учетных данных на контроллере RODC.

Продолжительность занятия – около 60 мин.

Проверка подлинности и размещение контроллера домена

в филиале

Рассмотрим сценарий, в котором предприятие имеет центральный узел и не-

сколько ф и л и а л о в . Ф и л и а л ы подключаются к центральному узлу с помощью

ссылок WAN, к о т о р ы е могут оказаться перегруженными, дорогостоящими

и нестабильными. Д л я п о л у ч е н и я доступа к ресурсам в домене пользователи

в ф и л и а л е д о л ж н ы проходить проверку подлинности Active Directory. Стоит

ли размещать к о н т р о л л е р домена в таком филиале?

В сценариях с ф и л и а л а м и многие службы IT сосредоточены в главном узле.

Центральный узел поддерживается IT-персоналом и располагает безопасными

средствами для служб. В ф и л и а л а х не обеспечивается достаточный уровень

безопасности для серверов и не хватает персонала для их поддержки.

Если к о н т р о л л е р домена размещается не в филиале, операции проверки

подлинности и предоставления билетов служб будут направляться через соеди-

нение WAN в г л а в н ы й узел. Проверка подлинности выполняется при первом

входе пользователя на его компьютер утром. Билеты служб являются компо-

нентом механизма проверки подлинности Kerberos, используемого доменами

Windows Server 2008. Б и л е т служб – это аналог ключа, который контроллер

домена выдает п о л ь з о в а т е л ю . С помощью этого ключа пользователь может

подключиться к ф а й л о в о й службе и службе печати на файловом сервере. Когда

п о л ь з о в а т е л ь в п е р в ы й раз п ы т а е т с я получить доступ к конкретной служ-

бе, к л и е н т п о л ь з о в а т е л я запрашивает билет службы у контроллера домена.

Поскольку в течение рабочего дня пользователи, как правило, подключаются

к множеству служб, операции с билетами служб производятся регулярно. Опе-

рации проверки подлинности и билетов служб выполняются через соединение

WAN между ф и л и а л о м и г л а в н ы м узлом, в результате производительность

филиала может значительно снизиться.

Если контроллер домена разместить в филиале, проверка подлинности бу-

дет выполняться намного эффективней, но при этом возникает угроза безопас-

ности. Контроллер домена поддерживает копии всех атрибутов всех объектов в

своем домене, в к л ю ч а я такие секреты, как данные пользовательских паролей.

В случае взлома или похищения контроллера домена опытный злоумышленник

может идентифицировать подлинные пользовательские имена и пароли, что

приведет к взлому целого домена. Вам придется, как минимум, сменить пароли

учетных записей всех пользователей в домене. Поскольку безопасность серве-

ров в филиалах часто поддерживается на недостаточном уровне, контроллер

домена, размещенный в филиале, подвергается определенной угрозе.

I 386 Проверка подлинности

Глава 8

Еще одна проблема заключается в том, что и з м е н е н и я в базе д а н н ы х Active

Directory на контроллере домена в ф и л и а л е р е п л и ц и р у ю т с я на г л а в н ы й узел и

все остальные контроллеры домена в среде. П о э т о м у п о в р е ж д е н и е контроллера

домена в филиале создает угрозу целостности с л у ж б ы к а т а л о г о в п р е д п р и я т и я .

Например, восстановление а д м и н и с т р а т о р о м к о н т р о л л е р а д о м е н а ф и л и а л а из

старой резервной копии может привести к з н а ч и т е л ь н ы м и з м е н е н и я м во всем

домене.

Третья проблема связана с а д м и н и с т р и р о в а н и е м . Н а п р и м е р , к о н т р о л л е р у

домена в филиале может потребоваться п о д д е р ж к а н о в о г о д р а й в е р а устройс-

тва. Чтобы обеспечить такую поддержку на с т а н д а р т н о м к о н т р о л л е р е доме-

на, нужно войти на него как член г р у п п ы А д м и н и с т р а т о р ы ( A d m i n i s t r a t o r s ) .

Команде поддержки в ф и л и а л е не всегда с л е д у е т н а з н а ч а т ь т а к о й у р о в е н ь

полномочий.

Контроллеры домена только для чтения

Эти проблемы, связанные с безопасностью, ц е л о с т н о с т ь ю с л у ж б ы каталогов

и администрированием, ставят п р е д п р и я т и я п е р е д с л о ж н ы м в ы б о р о м . Кон-

троллеры домена только д л я ч т е н и я R O D C ( R e a d – O n l y D o m a i n C o n t r o l l e r )

предназначены для сценариев с ф и л и а л о м . К о н т р о л л е р R O D C , р а з м е щ е н н ы й в

филиале, поддерживает копию всех объектов в д о м е н е и в с е х атрибутов, кроме

таких секретов, как свойства паролей. Когда п о л ь з о в а т е л ь в ф и л и а л е входит

в домен, контроллер R O D C получает запрос и н а п р а в л я е т его на контроллер

домена в главном узле для проверки п о д л и н н о с т и .

Для контроллера R O D C м о ж н о о т к о н ф и г у р и р о в а т ь п о л и т и к у репликации

паролей P R P (Password Replication Policy), к о т о р а я р а з р е ш а е т кэширование

пользовательских учетных з а п и с е й н а к о н т р о л л е р е R O D C . Е с л и в х о д я щ и й

пользователь включен в п о л и т и к у р е п л и к а ц и и п а р о л е й , к о н т р о л л е р R O D C

кэширует учетные данные этого п о л ь з о в а т е л я , ч т о б ы п р и с л е д у ю щ е м запросе

проверки подлинности R O D C мог р е ш и т ь э т у з а д а ч у л о к а л ь н о . Д л я пользо-

вателей, включенных в п о л и т и к у р е п л и к а ц и и п а р о л е й , к о н т р о л л е р R O D C

создает кэш учетных данных, что п о з в о л я е т в ы п о л н я т ь л о к а л ь н у ю проверку

подлинности таких пользователей. О п и с а н н ы е к о н ц е п ц и и п р е д с т а в л е н ы на

рис. 8-7.

Поскольку контроллер R O D C п о д д е р ж и в а е т т о л ь к о о г р а н и ч е н н ы й набор

учетных записей пользователей, в случае его в з л о м а и л и х и щ е н и я ущерб безо-

пасности также ограничен: пароли п р и д е т с я и з м е н и т ь т о л ь к о тем пользовате-

лям, учетные записи которых к э ш и р о в а л и с ь на д а н н о м R O D C . Контроллеры

домена с правом записи п о д д е р ж и в а ю т с п и с о к всех к э ш и р о в а н н ы х учетных

данных на отдельных контроллерах R O D C . П р и у д а л е н и и из Active Directory

учетной записи похищенного и л и в з л о м а н н о г о к о н т р о л л е р а R O D C можно

изменить пароли учетных записей всех п о л ь з о в а т е л е й , к о т о р ы е кэшировались

на этом R O D C . Контроллер R O D C р е п л и ц и р у е т и з м е н е н и я Active Directory

из контроллеров домена в г л а в н о м узле. Р е п л и к а ц и я эта – односторонняя

(с пишущего контроллера домена на к о н т р о л л е р R O D C ) . И з м е н е н и я на кон-

троллере R O D C не р е п л и ц и р у ю т с я на о с т а л ь н ы е к о н т р о л л е р ы домена. Так

исключается возможность п о в р е ж д е н и я с л у ж б ы к а т а л о г о в из-за изменений,

Занятие 1

Настройка политики паролей и блокировки учетных записей 3 8 7

внесенных на в з л о м а н н ы й к о н т р о л л е р домена в филиале. И наконец, в отличие

от п и ш у щ и х к о н т р о л л е р о в домена, к о н т р о л л е р ы R O D C содержат локальную

группу А д м и н и с т р а т о р ы (Administrators). Персоналу поддержки можно предо-

ставить все в о з м о ж н о с т и технического о б с л у ж и в а н и я R O D C без привилегий

а д м и н и с т р а т о р о в д о м е н а .

Главный увел

(главный офис/центральный узел)

Сайты филиалов

(физически менее защищенные)

Рис. 8-7. Сценарии с филиалами, поддерживаемые контроллерами RODC

Развертывание контроллера RODC

Д л я установки R O D C в ы п о л н и т е следующие операции.

1. Убедитесь, что л е с работает на ф у н к ц и о н а л ь н о м уровне не ниже Windows

Server 2003.

2. Е с л и в лесу есть к о н т р о л л е р ы д о м е н о в Windows Server 2003, запустите

команду Adprep /rodcprep.

I 3 8 8 Проверка подлинности Глава 8

3. Убедитесь, что хотя бы один п и ш у щ и й к о н т р о л л е р д о м е н а работает иа

функциональном уровне W i n d o w s Server 2008.

4. Установите R O D C .

Далее каждая из этих операций о п и с а н а д е т а л ь н о .

Проверка и настройка леса до функционального уровня

не ниже Windows Server 2003

Функциональные уровни позволяют в к л ю ч а т ь у н и к а л ь н ы е в о з м о ж н о с т и конк-

ретных версий Windows и, следовательно, з а в и с я т от в е р с и й W i n d o w s на конт-

роллерах доменов. Если все контроллеры д о м е н а р а б о т а ю т на ф у н к ц и о н а л ь н о м

уровне не ниже Windows Server 2003, этот ф у н к ц и о н а л ь н ы й у р о в е н ь можно

назначить для домена. Если все д о м е н ы р а б о т а ю т на ф у н к ц и о н а л ь н о м уровне

Windows Server 2003, этот же уровень м о ж н о н а з н а ч и т ь лесу. Ф у н к ц и о н а л ь н ы е

уровни доменов и леса описаны в главе 12.

Для контроллеров с правом ч т е н и я R O D C н е о б х о д и м ф у н к ц и о н а л ь н ы й

уровень леса не ниже Windows Server 2003. Это означает, что все контролле-

ры доменов во всем лесу д о л ж н ы и м е т ь ф у н к ц и о н а л ь н ы й у р о в е н ь не ниже

Windows Server 2003. Ч т о б ы о п р е д е л и т ь ф у н к ц и о н а л ь н ы й у р о в е н ь леса,

в группе Администрирование ( A d m i n i s t r a t i v e Tools) о т к р о й т е оснастку Active

Directory – домены и доверие (Active D i r e c t o r y D o m a i n s A n d Trusts), щелкните

правой кнопкой мыши имя леса, п р и м е н и т е к о м а н д у С в о й с т в а ( P r o p e r t i e s )

и проверьте функциональный уровень (рис. 8 – 8 ) . С д е л а т ь это т а к и м способом

может любой пользователь.

wm •

J J * J

Обшив |£Ь&есмя | Управляется]

J v * contoso .coir

Имя д»->ена 'jnpefl-Wndov,'! 2СШ

jCONTOSO

Огмсакие.

Pexiti работы

V.V-dovs Serve* 20vS

Реж>т-1 работы леса.

WWort* Setvw 2038

| OK j Отмена | f & f i P ' * -

Рис. 8-8. Диалоговое окно свойств леса

Если функциональный уровень н и ж е W i n d o w s Server 2003, проанализи-

руйте свойства каждого домена и о т ы щ и т е д о м е н ы с уровнем н и ж е Windows

Server 2003. Обнаружив такой домен, проверьте, все ли к о н т р о л л е р ы в нем

работают на уровне Windows Server 2003. З а т е м в оснастке Active Directory -

Занятие 1

Настройка политики паролей и блокировки учетных записей 389

домены и доверие (Active Directory Domains And Trusts) щелкните этот домен

правой кнопкой м ы ш и и примените команду Изменение режима работы домена

(Raise D o m a i n Functional Level). Подняв функциональный уровень всех доме-

нов до W i n d o w s Server 2003, щ е л к н и т е правой кнопкой мыши корневой узел

оснастки Active D i rect ory – домены и доверие и примените команду Измене-

ние р е ж и м а работы леса (Raise Forest Functional Level). В раскрывающемся

списке Выбор доступного функционального уровня леса (Select An Available

Forest F u n c t i o n a l Level) в ы б е р и т е р е ж и м Windows Server 2003 и щелкните

к н о п к у П о в ы с и т ь (Raise). П о в ы ш а т ь ф у н к ц и о н а л ь н ы й уровень домена мо-

жет администратор домена. Ч т о б ы повысить функциональный уровень леса,

необходимо быть ч л е н о м г р у п п ы Администраторы домена (Domain Admins)

в к о р н е в о м д о м е н е леса и л и ч л е н о м группы Администраторы предприятия

( E n t e r p r i s e Admins).

К о м а н д а adprep /rodcprep

О б н о в л я я с у щ е с т в у ю щ и й лес, чтобы включить в него контроллеры домена

Windows Server 2008, следует запустить команду adprep /rodcprep. Эта команда

конфигурирует разрешения, благодаря чему контроллеры RODC могут репли-

цировать разделы каталога п р и л о ж е н и й DNS (эти разделы описаны в главе 9).

При с о з д а н и и нового леса Active D i r e ct o ry лишь с контроллерами доменов

Windows Server 2008 команду adprep /rodcprep запускать не нужно.

Утилита Adprep х р а н и т с я в папке S o u r c e A d p r e p на установочном DVD-

диске W i n d o w s Server 2008. Скопируйте указанную папку на контроллер до-

мена, и г р а ю щ и й роль мастера схемы (роль описана в главе 10). Войдите на

мастер схемы как член группы Администраторы предприятия (Enterprise Ad-

mins), откройте окно командной строки, перейдите в папку Adprep и введите

команду adprep /rodcprep.

Р а з м е щ е н и е п и ш у щ е г о к о н т р о л л е р а д о м е н а Windows Server 2008

Контроллер R O D C д о л ж е н реплицировать обновления домена с пишущего

к о н т р о л л е р а домена W i n d o w s Server 2008. Очень важно, чтобы контроллер

R O D C мог установить соединение репликации с пишущим контроллером до-

мена W i n d o w s Server 2008. В идеале пишущий контроллер домена Windows

Server 2008 д о л ж е н располагаться в ближайшем сайте – центральном узле.

Репликация, сайты и связи сайтов Active Directory описаны в главе 11. Что-

бы контроллер R O D C играл роль DNS-сервера, пишущий контроллер домена

Windows Server 2008 также должен содержать доменную зону DNS.

Контрольный вопрос

• Ваш домен состоит из центрального узла и четырех филиалов. Центральный

узел содержит два контроллера домена. Узел каждого филиала содержит один

контроллер домена. Все контроллеры домена работают в режиме Windows

Server 2003. Ваша компания приняла решение открыть пятый филиал и вам

нужно отконфигурировать его с использованием нового контроллера RODC

системы Windows Server 2008. Что следует сделать перед включением первого

контроллера RODC в домен?

(см. след. стр.)

' 3 9 0 Проверка подлинности

Глава 8

Ответ на контрольный вопрос

• Вначале необходимо проверить, работает ли лес на функциональном уровне

Windows Server 2003. Затем один из с у щ е с т в у ю щ и х к о н т р о л л е р о в доме-

на следует обновить до Windows Server 2008, чтобы п о л у ч и т ь п и ш у щ и й

контроллер домена Windows Server 2008. Кроме того, требуется запустить

с установочного DVD-диска команду adprep /rodcprep.

Установка контроллера RODC

После в ы п о л н е н и я п о д г о т о в и т е л ь н ы х о п е р а ц и й п р и с т у п а ю т к у с т а н о в к е

R O D C . Н а к о н т р о л л е р е R O D C м о ж н о у с т а н о в и т ь я д р о с е р в е р а ( S e r v e r C o r e )

или осуществить п о л н у ю у с т а н о в к у W i n d o w s S e r v e r 2 0 0 8 . П р и п о л н о й уста-

новке W i n d o w s Server 2 0 0 8 д л я с о з д а н и я R O D C л у ч ш е и с п о л ь з о в а т ь М а с т е р

установки д о м е н н ы х с л у ж б Active D i r e c t o r y ( A c t i v e D i r e c t o r y D o m a i n Services

Installation Wizard). Просто у с т а н о в и т е н а с т р а н и ц е Д о п о л н и т е л ь н ы е парамет-

р ы контроллера домена (Additional D o m a i n C o n t r o l l e r O p t i o n s ) м а с т е р а ф л а ж о к

Контроллер домена т о л ь к о д л я ч т е н и я ( R O D C ) ( R e a d – O n l y D o m a i n C o n t r o l l e r

( R O D C ) ) , как показано на рис. 8 – 9 .

mBE5ss3aEssssssss. JSJ

Дню/ми шъгаме iiap<»-

Вь Лес-че згтолни№Л1.чъ« параметр».! дли данного контроллера прачка

Р СЧ£<ераер

Р tooopfep ;оя«лв in чг»ч«и RODO

Дтои-иса<иич.< =

6 «остемий милеит I ONS-сервез мрегжтрммва– г хахгсгве

< Наааа | Далее .' Отмена J

Рис. 8-9. Создание контроллера RODC с п о м о щ ь ю м а с т е р а у с т а н о в к и д о м е н н ы х с л у ж б

Active Directory

ПРИМЕЧАНИЕ

В упражнении 1 этого занятия приведены инструкции по созданию контроллера

RODC с помощью мастера установки доменных служб Active Directory.

В качестве альтернативы д л я с о з д а н и я к о н т р о л л е р а R O D C молено исполь-

зовать команду Dcpromo.exe с п е р е к л ю ч а т е л е м /unattend. На м а ш и н е с установ-

Занятие 1

Настройка политики паролей и блокировки учетных записей 414

ленным ядром сервера (Server Core) Windows Server 2008 следует применять

команду Dcpromo.exe /unattend.

Установку R O D C т а к ж е м о ж н о делегировать, чтобы пользователь – не

администратор домена мог создать R O D C , добавив в филиал новый сервер

и запустив команду Dcpromo.exe. Ч т о б ы делегировать установку RODC, пред-

варительно создайте в подразделении Domain Controllers учетную запись ком-

пьютера д л я R O D C и у к а ж и т е учетные данные, которые будут использоваться

для добавления R O D C в домен. Затем этот пользователь сможет прикрепить

сервер W i n d o w s Server 2008 к учетной записи контроллера RODC. При созда-

нии контроллера R O D C путем делегирования установки сервер должен быть

членом рабочей группы, а не домена.

К СВЕДЕНИЮ Опции установки RODC

Детальную информацию о других опциях установки контроллеров RODC, включая

делегирование установки, можно найти в книге по адресу http://technet2.microsoft.

com/windowsserver2008/en/library/ea8d253e-0646-490c-93d3-b78c5e1d9db71033.

mspx?mfr=true.

Политика репликации паролей

Политика р е п л и к а ц и и паролей P R P (Password Replication Policy) определяет

пользователей, у ч е т н ы е д а н н ы е которых можно кэшировать на конкретном

контроллере R O D C . Е с л и п о л и т и к а репликации паролей разрешает контрол-

леру R O D C к э ш и р о в а т ь учетные данные пользователя, то операции проверки

п о д л и н н о с т и и билета с л у ж б ы д л я этого пользователя будут выполняться

контроллером R O D C . Если учетные данные пользователя нельзя кэшировать

на к о н т р о л л е р е R O D C , о п е р а ц и и проверки подлинности и билета службы

для этого пользователя будут направляться R O D C на пишущий контроллер

домена.

П о л и т и к а р е п л и к а ц и и паролей контроллера R O D C определяется двумя

м н о г о з н а ч н ы м и а т р и б у т а м и учетной записи компьютера RODC: списками

Разрешить (Allowed List) и Запретить (Denied List). Если учетная запись поль-

зователя указана в списке Разрешить (Allowed), учетные данные пользователя

будут кэшироваться. В список Разрешить можно включать и группы пользо-

вателей. В таком случае на контроллере R O D C будут кэшироваться учетные

данные всех пользователей, принадлежащих к этой группе. Если пользователь

находится в обоих списках – Разрешить и Запретить, учетные данные пользо-

вателя не будут кэшироваться, поскольку приоритет имеет список запретов.

Настройка политики р епликац ии паролей домена

Для управления политикой репликации паролей Windows Server 2008 в контей-

нере Users создаются две локальные группы безопасности в домене. Группа с

разрешением репликации паролей R O D C (Allowed R O D C Password Replication

Group) добавляется в список Разрешено (Allowed) на каждом новом контрол-

лере R O D C . По умолчанию в этой группе нет членов. Поэтому по умолчанию

новый контроллер R O D C не будет кэшировать учетные записи пользователей.

I 3 9 2 Проверка подлинности

Глава 8

Если на всех контроллерах R O D C нужно к э ш и р о в а т ь пользователей, введите

этих пользователей в группу с разрешением р е п л и к а ц и и паролей R O D C .

Группа с запрещением репликации паролей R O D C ( D e n i e d R O D C Password

Replication Group) добавляется в список Запрещено ( D e n i e d ) на каждом новом

контроллере R O D C . Если некоторых п о л ь з о в а т е л е й н е л ь з я к э ш и р о в а т ь на