Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 40 (всего у книги 91 страниц)
контроллерах R O D C в домене, введите их в группу с з а п р е щ е н и е м репликации
I паролей RODC. По умолчанию эта группа в к л ю ч а е т у ч е т н ы е записи – члены
J таких групп, как Администраторы домена ( D o m a i n Admins), Администраторы
I предприятия (Enterprise Admins) и Владельцы-создатели групповой политики
I (Group Policy Creator Owners).
ПРИМЕЧАНИЕ Кэширование учетных записей компьютеров
Помните, что не только пользователи вызывают проверку подлинности и билетов
служб. Компьютеры в филиале также выполняют такие операции. Чтобы повысить
производительность систем в филиале, разрешите контроллеру R O D C филиала
кэшировать учетные записи компьютеров.
Настройка политики репликации паролей для к о н к р е т н о г о к о н т р о л л е р а RODC
Две группы, описанные в предыдущем подразделе, обеспечивают метод управ-
ления политикой репликации паролей на всех контроллерах R O D C . Однако для
эффективной поддержки сценария с ф и л и а л о м к о н т р о л л е р у R O D C в каждом
филиале необходимо разрешить кэширование учетных д а н н ы х пользователей и
компьютеров в этом конкретном филиале. П о э т о м у н у ж н о отконфигурировать
списки разрешений и запрещений на к а ж д о м к о н т р о л л е р е R O D C .
Для настройки политики р е п л и к а ц и и п а р о л е й R O D C в подразделении
Domain Controllers откройте свойства учетной з а п и с и компьютера R O D C . На
вкладке Политика репликации паролей (Password Replication Policy) можно
просмотреть текущие параметры п о л и т и к и р е п л и к а ц и и паролей, а также до-
бавить или удалить пользователей и группы (рис. 8 – 1 0 ) .
PejMBUtHW I iiTMMllM I Емдадквмсмо. I
C%u-« ! j Чвемгитю i
По IV г. и ihwmmh гд»пвД
–u-o-. – -ъ.:, д.' » №
fUpiJ* ЫКМ 'fit. i– . Hi • f^in*, Янот
пимми Рег.плмхмплслзтсВДКчсг/ттмыоляэс'"'
1-е"-,.!• nl'lfl . 1 l | " i lU' l.v' hi, i*
Аа*»мстрето0ы
certaao con/BuiUi
Запрети,
Гс-,тгч с svtxuj»* «rtoK.com/ltoen
Запретить
Гр.тгм с рвхаиаи ссхо»сэп/и»вл
Разрез >ъ
Опращя* %UVti
cert 'xo ccnv'EuSri Запрешт.
Опера**"
certoao can'Boibi
Зелремъ
Угсйтссы учета
CWTOK– с э т ^ г
Затсегить
Dar&n»tv**o J
т, j Уда/wn-
Of: | Отжпа ) n^aMfc j ррама
Рис. 8-10. Политика репликации паролей контроллера RODC
Занятие 1
Настройка политики паролей и блокировки учетных записей 393
Администрирование кэширования учетных данных
на контроллере RODC
Е с л и н а в к л а д к е П о л и т и к а р е п л и к а ц и и п а р о л е й ( P a s s w o r d Replication Policy),
п о к а з а н н о й н а р и с . 8 – 1 0 , щ е л к н у т ь к н о п к у Д о п о л н и т е л ь н о (Advanced), откро-
ется д и а л о г о в о е о к н о Р а с ш и р е н н а я п о л и т и к а р е п л и к а ц и и паролей (Advanced
P a s s w o r d R e p l i c a t i o n P o l i c y ) , к а к в п р и м е р е на рис. 8-11.
тштм
попиэватапвй .. конпиотеои, Жт»т cnjj/yxui'i» <С1глл1Н
I ••[ "Г. «отсрьаю»-агся о л
л
–
!
Пот,
Поп1Чвиыв ов>е*Л1 2
I I T O T I W H O W ^
i Пдспеа^е njMaw« | Ск* aaigir
17.112030 1V2S-37 23.12.2X8'
17.112008132508 Неогр®«че
tvcnom i m ^ v c w t i r ni
Рис. 8-11. Расширенная политика репликации паролей
В р а с к р ы в а ю щ е м с я с п и с к е в в е р х н е й части в к л а д к и Использование поли-
т и к и ( P o l i c y U s a g e ) м о ж н о в ы б р а т ь о д и н и з д в у х отчетов д л я R O D C .
• У ч е т н ы е з а п и с и , п а р о л и к о т о р ы х х р а н я т с я в д а н н о м к о н т р о л л е р е домеиа
т о л ь к о д л я ч т е н и я ( A c c o u n t s W h o s e P a s s w o r d s A r e S t o r e d O n This R e a d -
o n l y D o m a i n C o n t r o l l e r ) О т о б р а ж а е т с п и с о к у ч е т н ы х данных пользовате-
л е й и к о м п ь ю т е р о в , к о т о р ы е в н а с т о я щ е е в р е м я к э ш и р у ю т с я на контроллере
R O D C . С п о м о щ ь ю этого с п и с к а м о ж н о о п р е д е л и т ь кэшированные учетные
д а н н ы е , к о т о р ы е н е с л е д у е т к э ш и р о в а т ь н а R O D C , и модифицировать со-
о т в е т с т в у ю щ и м о б р а з о м п о л и т и к у р е п л и к а ц и и паролей.
• У ч е т н ы е з а п и с и , п р о ш е д ш и е п р о в е р к у п о д л и н н о с т и д л я данного контрол-
л е р а д о м е и а т о л ь к о д л я ч т е н и я ( A c c o u n t s T h a t H a v e B e e n A u t h e n t i c a t e d
T o T h i s R e a d – O n l y D o m a i n C o n t r o l l e r ) О т о б р а ж а е т список учетных за-
п и с е й п о л ь з о в а т е л е й и к о м п ь ю т е р о в , к о т о р ы е н а п р а в л я ю т с я на пишущий
к о н т р о л л е р д о м е н а д л я п р о в е р к и п о д л и н н о с т и и л и обработки службы би-
лета. Э т о т с п и с о к и с п о л ь з у е т с я д л я и д е н т и ф и к а ц и и пользователей и ком-
п ь ю т е р о в , к о т о р ы е п ы т а ю т с я п р о й т и п р о в е р к у п о д л и н н о с т и с помощью
этого к о н т р о л л е р а R O D C . Е с л и э т и у ч е т н ы е з а п и с и н е кэшируются, и х
м о ж н о д о б а в и т ь в п о л и т и к у р е п л и к а ц и и паролей.
В э т о м же д и а л о г о в о м о к н е на в к л а д к е Р е з у л ь т и р у ю щ а я политика (Resul-
t a n t P o l i c y ) м о ж н о о ц е н и т ь д е й с т в у ю щ у ю п о л и т и к у к э ш и р о в а н и я отдельного
п о л ь з о в а т е л я и л и к о м п ь ю т е р а . Щ е л к н и т е к н о п к у Д о б а в и т ь (Add), чтобы вы-
брать у ч е т н у ю з а п и с ь п о л ь з о в а т е л я и л и к о м п ь ю т е р а д л я оценки.
14 3 . . . ТТОО
' 3 9 4 Проверка подлинности
Глава 8
С п о м о щ ь ю диалогового о к н а Р а с ш и р е н н а я п о л и т и к а р е п л и к а ц и и п а р о л е й
(Advanced Password Replication Policy) т а к ж е м о ж н о п р е д в а р и т е л ь н о з а п о л н и т ь
учетные д а н н ы е в к э ш е R O D C . Е с л и п о л ь з о в а т е л ь и л и к о м п ь ю т е р е с т ь в спис-
к е р а з р е ш е н и я R O D C , его у ч е т н ы е д а н н ы е м о г у т к э ш и р о в а т ь с я н а R O D C , н о
они не будут к э ш и р о в а т ь с я , п о к а в р е з у л ь т а т е с о б ы т и я п р о в е р к и п о д л и н н о с т и
или билета с л у ж б ы к о н т р о л л е р R O D C н е в ы п о л н и т р е п л и к а ц и ю э т и х у ч е т н ы х
данных с пишущего к о н т р о л л е р а д о м е н а . Н а п р и м е р , п р е д в а р и т е л ь н о з а п о л н и в
учетные данные в кэше R O D C д л я п о л ь з о в а т е л е й и к о м п ь ю т е р о в ф и л и а л а , в ы
можете гарантировать л о к а л ь н о е в ы п о л н е н и е к о н т р о л л е р о м R O D C о п е р а ц и й
проверки подлинности и б и л е т о в с л у ж б д а ж е п р и п е р в о й п р о в е р к е п о д л и н н о с -
т и пользователя и л и к о м п ь ю т е р а . Ч т о б ы п р е д в а р и т е л ь н о з а п о л н и т ь у ч е т н ы е
данные, щелкните к н о п к у С о з д а т ь п р е д в а р и т е л ь н ы е п а р о л и ( P r e p o p u l a t e Pass1
words) и выберите с о о т в е т с т в у ю щ и х п о л ь з о в а т е л е й и к о м п ь ю т е р ы .
Разделение административных ролей
Контроллерам R O D C в ф и л и а л а х м о ж е т п о т р е б о в а т ь с я т а к о е т е х н и ч е с к о е
обслуживание, как о б н о в л е н и е д р а й в е р а у с т р о й с т в а . К р о м е того, в н е б о л ь ш и х
филиалах к о н т р о л л е р R O D C м о ж е т с о ч е т а т ь с я в о д н о й с и с т е м е с р о л ь ю ф а й -
лового сервера. В т а к о м с л у ч а е в а ж н о и м е т ь в о з м о ж н о с т ь а р х и в а ц и и с и с т е м ы .
Контроллеры R O D C п о д д е р ж и в а ю т л о к а л ь н о е а д м и н и с т р и р о в а н и е п у т е м так
называемого разделения административных ролей. К а ж д ы й к о н т р о л л е р R O D C
поддерживает локальную базу д а н н ы х г р у п п , и с п о л ь з у е м у ю д л я с п е ц и ф и ч е с к и х
административных целей. В э т и л о к а л ь н ы е р о л и м о ж н о д о б а в л я т ь у ч е т н ы е
записи пользователей д о м е н а д л я в к л ю ч е н и я п о д д е р ж к и к о н к р е т н о г о конт-
роллера R O D C .
Разделение административных р о л е й м о ж н о о т к о н ф и г у р и р о в а т ь с п о м о щ ь ю
команды Dsmgmt.exe. Ч т о б ы д о б а в и т ь п о л ь з о в а т е л я в р о л ь А д м и н и с т р а т о р ы
(Administrators) к о н т р о л л е р а R O D C , в ы п о л н и т е с л е д у ю щ и е д е й с т в и я .
1 . Н а контроллере R O D C о т к р о й т е о к н о к о м а н д н о й с т р о к и .
2. Введите команду dsmgmt и н а ж м и т е E n t e r .
3. Введите команду local roles и о п я т ь н а ж м и т е E n t e r .
Чтобы получить с п и с о к к о м а н д , в с т р о к у локальные роли (local roles) можно
ввести знак в о п р о с а ? и н а ж а т ь к л а в и ш у E n t e r . Вы т а к ж е м о ж е т е ввести
команду list roles и н а ж а т ь E n t e r , ч т о б ы и з в л е ч ь с п и с о к л о к а л ь н ы х ролей.
4. Введите команду add имя_пользователя Администраторы (Administrators),
указав имя входа п р е д – W i n d o w s 2000 п о л ь з о в а т е л я д о м е н а , и н а ж м и т е кла-
вишу Enter.
Повторяя этот процесс, вы м о ж е т е д о б а в и т ь д р у г и х п о л ь з о в а т е л е й в раз-
личные л о к а л ь н ы е р о л и н а к о н т р о л л е р е R O D C .
К СВЕДЕНИЮ Повышение уровня проверки подлинности и безопасности
Контроллеры R O D C станут ценным дополнением, п о з в о л я ю щ и м повысить уро-
вень проверки подлинности и безопасности в филиалах. Подробную документа-
цию можно найти на веб-сайте Microsoft по адресу http://technet2.microsoft.com/
windowsserver2008/en/library/ea8d253e-0646-490c-93d3-b78c5e1d9db71033.mspx.
Занятие 1
Настройка политики паролей и блокировки учетных записей 395
Практические занятия. Настройка контроллеров домена
только для чтения
В предложенных далее у п р а ж н е н и я х вы реализуете в сценарии филиала конт-
роллеры домена только д л я чтения. Вы установите R O D C , отконфигурируете
политику р е п л и к а ц и и паролей, проведете мониторинг кэширования учетных
данных и предварительно заполните учетные данные иа контроллере RODC.
Но прежде чем приступать к упражнениям, нужно выполнить подготовитель-
ные задания.
• Установите второй сервер Windows Server 2008 и присвойте ему имя В RANCH -
SERVER. З а д а й т е для сервера IP конфигурацию:
• IP-адрес ( I P Address): 10.0.0.12;
• Маска подсети ( S u b n e t Mask): 255.255.255.0;
• Основной ш л ю з ( D e f a u l t Gateway): 10.0.0.1;
• DNS-сервер ( D N S Server): 10.0.0.11 (адрес машины SERVER01).
• Создайте следующие объекты Active Directory:
• глобальная группа безопасности Пользователи филиала;
• пользователи Д ж е й м с Ф а й н и Адам Картер – члены группы Пользо-
ватели ф и л и а л а ;
• п о л ь з о в а т е л ь М а й к Дансеглио, не входящий в группу Пользователи
ф и л и а л а .
• Включите группу Пользователи домена (Domain Users) в группу Операторы
печати ( P r i n t O p e r a t o r s ) .
ВНИМАНИЕ! Уровни разрешений
Пользователи домена вводятся в группу операторов печати лишь для того, чтобы
стандартные учетные записи пользователей позволяли входить на контроллеры
домена, которые задействуются в этих упражнениях. В производственной среде
рекомендуется не разрешать стандартным пользователям входить на контроллеры
домена.
У п р а ж н е н и е 1. У с т а н о в к а контроллера R O D C
В этом упражнении вы отконфигурируете сервер BRANCHSERVER как кон-
троллер R O D C в домене contoso.com.
1. В о й д и т е на м а ш и н у B R A N C H S E R V E R как Администратор (Admini-
strator).
2. Откройте главное меню Пуск (Start) и щелкните команду Выполнить (Run).
3. Введите команду depromo и щелкните ОК.
Откроется окно с сообщением проверки установки двоичных файлов до-
менных служб Active Directory (Active Directory Domain Services). После
этого запустится Мастер установки доменных служб Active Directory (Acti-
ve Directory Domain Services Installation Wizard).
4. Щелкните кнопку Далее (Next).
' 3 9 6 Проверка подлинности
Глава 8
5. На странице Совместимость операционных систем ( O p e r a t i n g System Com-
patibility) щелкните кнопку Далее (Next).
6. На странице Выберите конфигурацию р а з в е р т ы в а н и я (Choose A Deploy-
ment Configuration) выберите опцию С у щ е с т в у ю щ и й лес (Existing Forest),
а затем опцию Добавить к о н т р о л л е р д о м е н а в с у щ е с т в у ю щ и й лес (Add
A Domain Controller То An Existing Forest). Щ е л к н и т е Д а л е е (Next).
7. На странице Сетевые учетные данные ( N e t w o r k Credentials) введите имя
домена contoso.com.
8. Щелкните кнопку Задать (Set).
9. В поле Имя пользователя (User Name) введите и м я Администратор (Admi-
nistrator).
10. В поле Пароль (Password) введите пароль учетной з а п и с и Администратор
(Administrator). Щелкните О К .
И. Щелкните кнопку Далее (Next).
12. На странице Выберите домен (Select A D o m a i n ) у к а ж и т е домен contoso.com
и щелкните кнопку Далее (Next).
13. На странице Выбор сайта (Select A Site) в ы б е р и т е сайт Default-First-Site-
Name и щелкните Далее (Next).
В производственной среде н у ж н о выбрать с а й т ф и л и а л а , где будет уста-
новлен контроллер R O D C . Сайты о п и с а н ы в главе 11.
14. На странице Дополнительные параметры к о н т р о л л е р а домена (Additional
Domain Controller Options) установите ф л а ж о к К о н т р о л л е р домена только
для чтения ( R O D C ) (Read-Only D o m a i n C o n t r o l l e r ( R O D C ) ) . Убедитесь
также, что установлены ф л а ж к и D N S – с е р в е р ( D N S Server) и Глобальный
каталог (Global Catalog). Затем щ е л к н и т е к н о п к у Д а л е е (Next).
15. На странице Делегирование установки и а д м и н и с т р и р о в а н и я R O D C (Dele-
gation Of R O D C Installation And A d m i n i s t r a t i o n ) щ е л к н и т е Далее (Next).
16. На странице Расположение для базы данных, ф а й л о в ж у р н а л а и SYSVOL
(Location For Database, Log Files, And S Y S V O L ) щ е л к н и т е кнопку Далее
(Next).
17. На странице пароль администратора д л я р е ж и м а восстановления служб
каталогов (Directory Services Restore Mode Administrator Password) введите
пароль в поля Пароль (Password) и П о д т в е р ж д е н и е ( C o n f i r m Password)
и щелкните Далее (Next).
18. На странице Сводка (Summary) щ е л к н и т е Далее (Next).
19. В окне выполнения установите ф л а ж о к Перезагрузка по завершении (Re-
boot On Completion).
Упражнение 2. Настройка политики р еп ли ка ц ии паролей
В этом упражнении вы отконфигурируете п о л и т и к у репликации паролей на
уровне домена и для отдельных контроллеров R O D C . Политика репликации
Занятие 1
Настройка политики паролей и блокировки учетных записей 397
паролей определяет к э ш и р о в а н и е учетных данных пользователей и компью-
теров на контролл ере R O D C .
1. Войдите на м а ш и н у S E R V E R 0 1 как администратор.
2. Откройте оснастку Active Directory – пользователи и компьютеры (Active
Directory Users And C o m p u t e r s ) .
3. Разверните домен и выберите контейнер Users.
4. П р о а н а л и з и р у й т е членство по умолчанию группы с разрешением репли-
кации паролей R O D C (Allowed R O D C Password Replication Group).
5. Откройте окно свойств группы с запрещением репликации паролей R O D C
(Denied R O D C Password Replication Group).
6. Включите группу D n s A d m i n s в состав группы с запрещением репликации
паролей R O D C .
7. Выберите подразделение D o m a i n Controllers.
8. Откройте свойства объекта компьютера BRANCHSERVER.
9. Перейдите на вкладку П о л и т и к а репликации паролей (Password Replication
Policy).
10. Просмотрите п а р а м е т р ы политики репликации паролей для группы с раз-
решением репликации паролей R O D C и группы с запрещением репликации
паролей R O D C .
11. Щ е л к н и т е к н о п к у Д о б а в и т ь (Add).
12. Выберите о п ц и ю Р а з р е ш и т ь репликацию паролей учетной записи на этот
R O D C (Allow P a s s w o r d s For T h e A c c o u n t To Replicate To This RODC)
и щ е л к н и т е O K .
13. В диалоговом окне Выбор: "Пользователи", "Компьютеры" или "Группы"
(Select Users, C o m p u t e r s , Or Groups) введите имя группы Пользователи
филиала и щ е л к н и т е О К .
14. Щ е л к н и т е О К .
У п р а ж н е н и е 3. М о н и т о р и н г к э ш и р о в а н и я учетных данных
В этом у п р а ж н е н и и вы эмулируете вход нескольких пользователей на сервер
филиала. Затем вы оцените кэширование учетных данных на этом сервере.
1. Войдите на м а ш и н у B R A N C H S E R V E R как пользователь Джеймс Файн
и выйдите из системы.
2. Войдите на м а ш и н у B R A N C H S E R V E R как пользователь Майк Дансеглио
и выйдите из системы.
3. Войдите на машину B R A N C H S E R V E R как администратор и откройте ос-
настку Active Directory – пользователи и компьютеры (Active Directory
Users And Computers).
4. В подразделении Domain Controllers откройте свойства объекта компьютера
i B R A N C H S E R V E R .
' 3 9 8 Проверка подлинности
Глава 8
5. Перейдите на вкладку Политика репликации паролей (Password Replication
Policy).
6. Щелкните кнопку Дополнительно (Advanced).
7. На вкладке Использование п о л и т и к и (Policy Usage) в раскрывающемся
списке Отображать пользователей и к о м п ь ю т е р ы , к о т о р ы е удовлетворя-
ют следующим условиям (Display Users A n d C o m p u t e r s T h a t Meet The
Following Criteria) выберите параметр Учетные записи, пароли которых
хранятся в данном контроллере домена только д л я чтения (Accounts Whose
Passwords Are Stored On This Read-Only D o m a i n Controller).
8. Локализуйте запись пользователя Д ж е й м с а Ф а й н а .
Поскольку вы отконфигурировали п о л и т и к у р е п л и к а ц и и паролей для кэ-
ширования учетных данных пользователей в группе Пользователи филиала,
учетные данные пользователя Д ж е й м с а Ф а й н а б ы л и к э ш и р о в а н ы при его
входе в шаге 1. Учетные данные п о л ь з о в а т е л я М а й к а Дансеглио не кэши-
руются.
9. В раскрывающемся списке выберите п а р а м е т р Учетные записи, прошед-
шие проверку подлинности для данного к о н т р о л л е р а домена только для
чтения (Accounts That Have Been A u t h e n t i c a t e d To This R e a d – O n l y Domain
Controller).
10. Локализуйте пользователей Д ж е й м с а Ф а й н а и М а й к а Дансеглио.
11. Щелкните кнопку Закрыть (Close), а затем щ е л к н и т е О К .
Упражнение 4. Предварительное з а п о л н е н и е к э ш и р о в а н и я учетных данных
В этом упражнении вы предварительно з а п о л н и т е к э ш к о н т р о л л е р а R O D C
учетными данными пользователя.
1. Войдите на машину S E R V E R 0 1 как а д м и н и с т р а т о р и откройте оснастку
Active Directory – пользователи и компьютеры (Active Directory Users And
Computers).
2. В подразделении Domain Controllers откройте свойства объекта компьютера
BRANCHSERVER.
3. Перейдите на вкладку Политика репликации паролей (Password Replication
Policy).
4. Щелкните кнопку Дополнительно (Advanced).
5. Щелкните кнопку Создать п р е д в а р и т е л ь н ы е п а р о л и ( P r e p o p u l a t e Pass-
words).
6. Введите имя Адам Картер и щелкните О К .
7. Щелкните кнопку Да (Yes), чтобы подтвердить отправку учетных данных
на контроллер R O D C .
8. На вкладке Использование п о л и т и к и (Policy Usage) выберите параметр
Учетные записи, пароли которых хранятся в данном контроллере домена
только для чтения (Accounts W h o s e Passwords Are Stored On This Read-
only Domain Controller).
Занятие 1
Настройка политики паролей и блокировки учетных записей 422
9. Л о к а л и з у й т е п о л ь з о в а т е л я Адама Картера.
Теперь его у ч е т н ы е д а н н ы е к э ш и р о в а н ы на контроллере R O D C .
10. Щ е л к н и т е О К .
Резюме
• Контроллеры домена только д л я чтения R O D C (Read-Only Domain Control-
ler) с о д е р ж а т к о п и ю базы д а н н ы х Active Directory только с правом чтения.
• К о н т р о л л е р R O D C р е п л и ц и р у е т обновления в домене из пишущего конт-
роллера д о м е н а с п о м о щ ь ю л и ш ь входящей репликации.
• П о л и т и к а р е п л и к а ц и и п а р о л е й определяет кэширование учетных данных
п о л ь з о в а т е л я и л и к о м п ь ю т е р а на контроллере R O D C . На каждом новом
к о н т р о л л е р е R O D C в с п и с к е р а з р е ш е н и й и запрещений соответственно
р а с п о л о ж е н ы г р у п п ы с р а з р е ш е н и е м репликации паролей R O D C (Allowed
R O D C P a s s w o r d Replication G r o u p ) и группы с запрещением репликации
п а р о л е й R O D C (Allowed R O D C Password Replication Group). Поэтому вы
можете и с п о л ь з о в а т ь эти две г р у п п ы для управления политикой реплика-
ц и и п а р о л е й на у р о в н е домена. На отдельном контроллере домена также
м о ж н о к о н ф и г у р и р о в а т ь о т д е л ь н у ю политику репликации паролей.
• Контроллер R O D C м о ж н о поддерживать, разделяя административные роли,
чтобы один и л и несколько пользователей могли решать задачи администри-
р о в а н и я , не п о л у ч а я п р и в и л е г и й администратора на других контроллерах
домена или в домене. Р а з д е л е н и е административных ролей осуществляется
с п о м о щ ь ю к о м а н д ы Dsmgmt.exe.
• Д л я к о н т р о л л е р а R O D C в т о м же домене требуется разместить пишущий
к о н т р о л л е р д о м е н а W i n d o w s Server 2008. Кроме того, лес должен работать
на ф у н к ц и о н а л ь н о м у р о в н е не н и ж е W i n d o w s Server 2003, а перед уста-
н о в к о й п е р в о г о к о н т р о л л е р а R O D C в среде нужно выполнить команду
Adprep /rodcprep.
Закрепление материала
С л е д у ю щ и е в о п р о с ы м о ж н о и с п о л ь з о в а т ь д л я проверки знаний, полученных
на з а н я т и и 3. Э т и же в о п р о с ы есть и на сопроводительном компакт-диске.
ПРИМЕЧАНИЕ Ответы
Ответы на вопросы с пояснениями, почему тот или иной вариант ответа правилен
или неверен, вы найдете в разделе «Ответы» в конце книги.
1. Ваш д о м е н состоит из п я т и контроллеров, один из которых работает на
ф у н к ц и о н а л ь н о м у р о в н е W i n d o w s Server 2008. Остальные контроллеры
домена работают в р е ж и м е W i n d o w s Server 2003. Что нужно сделать перед
установкой к о н т р о л л е р а домена только для чтения?
А. О б н о в и т ь все к о н т р о л л е р ы домена до Windows Server 2008.
Б. Запустить к о м а н д у Adprep /rodcprep.
' 400 Проверка подлинности Глава 8
В. Запустить команду Dsmgmt.
Г. Запустить команду Dcpromo /unattend.
2. Недавно из ф и л и а л а к о м п а н и и Tailspin Toys б ы л п о х и щ е н к о н т р о л л е р
R O D C филиала. Где найти учетные з а п и с и п о л ь з о в а т е л е й , х р а н и в ш и е с я
на этом контроллере?
A. На вкладке Использование п о л и т и к и ( P o l i c y U s a g e ) .
Б. В списке членства группы с р а з р е ш е н и е м р е п л и к а ц и и п а р о л е й R O D C
(Allowed R O D C Password Replication G r o u p ) .
B. В списке членства группы с з а п р е щ е н и е м р е п л и к а ц и и п а р о л е й R O D C
(Denied R O D C Password Replication G r o u p ) .
Г. На вкладке Р е з у л ь т и р у ю щ а я п о л и т и к а ( R e s u l t a n t P o l i c y ) .
3. На следующей неделе п я т ь п о л ь з о в а т е л е й б у д у т п е р е в е д е н ы в о д и н из
десяти заокеанских ф и л и а л о в к о м п а н и и L i g h t w a r e , Inc. К а ж д ы й ф и л и а л
имеет контроллер R O D C . Вы хотите, чтобы п р и п е р в о м входе пользователи
филиала не испытывали неудобств, с в я з а н н ы х с п р о в е р к о й п о д л и н н о с т и в
центре данных через соединение WAN. Ч т о следует п р е д п р и н я т ь ? (Укажите
все варианты.)
A. Включить этих пять п о л ь з о в а т е л е й в г р у п п у р а з р е ш е н и я р е п л и к а ц и и
паролей R O D C (Allowed R O D C P a s s w o r d R e p l i c a t i o n G r o u p ) .
Б. Добавить пять пользователей на в к л а д к у П о л и т и к а р е п л и к а ц и и паролей
(Password Replication Policy) к о н т р о л л е р а R O D C ф и л и а л а .
B. Ввести пять пользователей в п о л и т и к у б е з о п а с н о с т и Л о к а л ь н ы й вход
в систему (Log On Locally) объекта г р у п п о в о й п о л и т и к и D e f a u l t Domain
Controllers Policy.
Г. Предварительно з а п о л н и т ь п о л я п а р о л е й .
Закрепление материала главы
Для того чтобы попрактиковаться и з а к р е п и т ь з н а н и я , п о л у ч е н н ы е п р и изуче-
нии представленного в этой главе материала, вам н е о б х о д и м о :
• ознакомиться с резюме главы;
• повторить используемые в главе о с н о в н ы е т е р м и н ы ;
• изучить сценарий, в котором о п и с а н а р е а л ь н а я с и т у а ц и я , т р е б у ю щ а я при-
менения полученных знаний, и п р е д л о ж и т ь свое р е ш е н и е ;
• выполнить рекомендуемые у п р а ж н е н и я ;
• сдать пробный экзамен с п о м о щ ь ю тестов.
Резюме главы
• В Windows Server 2008 можно задать параметры п о л и т и к и паролей и блоки-
ровки учетной записи для целого домена, м о д и ф и ц и р о в а в объект групповой
политики Default Domain Policy. З а т е м с п о м о щ ь ю г р а н у л и р о в а н н ы х поли-
тик паролей и блокировки в объектах п а р а м е т р о в п а р о л е й P S O (Password
Settings Object) можно отконфигурировать конкретные п о л и т и к и д л я групп
и отдельных пользователей.
Сценарии 424
• Когда п о л ь з о в а т е л ь д о м е н а в х о д и т на к о м п ь ю т е р в домене, компьютер
генерирует с о б ы т и е входа, а д о м е н – событие входа учетной записи. Для
мониторинга п р о в е р к и п о д л и н н о с т и м о ж н о выполнять аудит этих событий.
По у м о л ч а н и ю в W i n d o w s S e r v e r 2008 ведется аудит успешных событий
входа у ч е т н о й з а п и с и и с о б ы т и й входа.
• К о н т р о л л е р ы домена т о л ь к о д л я чтения R O D C (Read-Only Domain Control-
ler) о б е с п е ч и в а ю т п о д д е р ж к у с ц е н а р и е в ф и л и а л о в , проверяя подлинность
п о л ь з о в а т е л е й ф и л и а л а . К о н т р о л л е р ы R O D C снижают степень угрозы
безопасности, с в я з а н н о й с р а з м е щ е н и е м контроллера домена в физически
н е з а щ и щ е н н о м месте. Вы м о ж е т е н а з н а ч и т ь учетные данные, которые бу-
дут к э ш и р о в а т ь с я на к о н т р о л л е р е R O D C . Вы также можете делегировать
а д м и н и с т р и р о в а н и е R O D С, не п р е д о с т а в л я я разрешения доступа к другим
к о н т р о л л е р а м в д о м е н е .
Основные термины
З а п о м н и т е п е р е ч и с л е н н ы е д а л е е т е р м и н ы , чтобы лучше понять описываемые
к о н ц е п ц и и .
• П о л и т и к а р е п л и к а ц и и п а р о л е й P R P ( P a s s w o r d Replication Policy)
О п р е д е л я е т у ч е т н ы е д а н н ы е п о л ь з о в а т е л е й , которые будут кэшироваться
н а к о н т р о л л е р е R O D C . П о л и т и к а р е п л и к а ц и и паролей R O D C включает
список р а з р е ш е н и й и с п и с о к з а п р е щ е н и й . Учетные данные пользователей
из с п и с к а р а з р е ш е н и й м о г у т к э ш и р о в а т ь с я на контроллере RODC. Если
п о л ь з о в а т е л ь в к л ю ч е н в оба с п и с к а – р а з р е ш е н и й и запрещений, его учет-
н ы е д а н н ы е н е будут к э ш и р о в а т ь с я .
• О б ъ е к т п а р а м е т р о в п а р о л е й P S O ( P a s s w o r d S e t t i n g s Object) Коллекция
п а р а м е т р о в , к о т о р ы е о п р е д е л я ю т т р е б о в а н и я политик паролей и блоки-
р о в к и у ч е т н ы х з а п и с е й д л я п о д н а б о р а пользователей в домене. Объекты
P S O м о ж н о п р и м е н я т ь к г р у п п а м и о т д е л ь н ы м пользователям в домене
д л я н а с т р о й к и п о л и т и к , о т л и ч а ю щ и х с я от политик паролей и блокировки
на уровне домена, о п р е д е л е н н ы х г р у п п о в о й политикой.
• Контроллер д о м е н а только д л я чтения R O D C (Read-Only Domain Controller)
П о д д е р ж и в а е т к о п и ю Active D i r e c t o r y со всеми объектами и атрибутами,
кроме учетных д а н н ы х пользователей. Контроллер R O D C получает обнов-
л е н и я домена с п и ш у щ е г о к о н т р о л л е р а домена, используя лишь входящую
репликацию. К о н т р о л л е р ы R O D C удобно задействовать в сценариях с фи-
л и а л а м и к о м п а н и и .
• Р е з у л ь т и р у ю щ и й о б ъ е к т P S O Объект параметров паролей, применяемый
к пользователю. Р е з у л ь т и р у ю щ и й объект P S O определяется путем оценки
п р и о р и т е т а всех объектов P S O , связанных непосредственно с пользовате-
лем и л и с группами, в к о т о р ы е он входит.
Сценарии
В следующих сценариях вы примените полученные знания о гранулированных
политиках п а р о л е й и контроллерах R O D C . Ответы на вопросы можно найти
в разделе «Ответы» в конце книги.
' 4 0 2 Проверка подлинности
Глава 8
! Сценарий 1. Повышение уровня безопасности административных
учетных записей
Вы работаете администратором в к о м п а н и и C o n t o s o , Ltd, к о т о р а я недавно по-
лучила контракт на поставку важного секретного продукта. Условием контракта
является повышение уровня безопасности д о м е н а Active Directory. Вы должны
гарантировать, что администраторы и с п о л ь з у ю т и з м е н я ю щ и е с я к а ж д ы е 30 дней
учетные записи длиной не меньше 25 знаков. Вы полагаете, что т а к и е строгие
требования не следует п р и м е н я т ь ко в с е м п о л ь з о в а т е л я м , и х о т и т е ограни-
чить область действия новых т р е б о в а н и й к п а р о л я м л и ш ь а д м и н и с т р а т о р а м и
домена. Кроме того, согласно к о н т р а к т у в ы д о л ж н ы о т с л е ж и в а т ь п о п ы т к и
потенциальных з л о у м ы ш л е н н и к о в п о л у ч и т ь д о с т у п к с е т и с и с п о л ь з о в а н и е м
административной учетной записи.
1. В н а с т о я щ е е в р е м я в а ш д о м е н и м е е т ч е т ы р е к о н т р о л л е р а W i n d o w s
Server 2003 и восемь к о н т р о л л е р о в W i n d o w s S e r v e r 2008. Ч т о н у ж н о сде-
лать перед реализацией г р а н у л и р о в а н н ы х п о л и т и к п а р о л е й в соответствии
с требованиями нового к о н т р а к т а ?
2. Какой инструмент использовать д л я н а с т р о й к и г р а н у л и р о в а н н ы х политик
паролей и блокировки у ч е т н ы х з а п и с е й ?
3. Вы вернулись из отпуска и о б н а р у ж и л и , что д р у г и е а д м и н и с т р а т о р ы созда-
л и несколько новых объектов п а р а м е т р о в п а р о л е й ( P S O ) с о з н а ч е н и я м и
