355 500 произведений, 25 200 авторов.

Электронная библиотека книг » Dan Holme » Настройка Active Directory. Windows Server 2008 » Текст книги (страница 40)
Настройка Active Directory. Windows Server 2008
  • Текст добавлен: 8 октября 2016, 16:34

Текст книги "Настройка Active Directory. Windows Server 2008"


Автор книги: Dan Holme


Соавторы: Danielle Ruest,Nelson Ruest

Жанр:

   

ОС и Сети


сообщить о нарушении

Текущая страница: 40 (всего у книги 91 страниц)

контроллерах R O D C в домене, введите их в группу с з а п р е щ е н и е м репликации

I паролей RODC. По умолчанию эта группа в к л ю ч а е т у ч е т н ы е записи – члены

J таких групп, как Администраторы домена ( D o m a i n Admins), Администраторы

I предприятия (Enterprise Admins) и Владельцы-создатели групповой политики

I (Group Policy Creator Owners).

ПРИМЕЧАНИЕ Кэширование учетных записей компьютеров

Помните, что не только пользователи вызывают проверку подлинности и билетов

служб. Компьютеры в филиале также выполняют такие операции. Чтобы повысить

производительность систем в филиале, разрешите контроллеру R O D C филиала

кэшировать учетные записи компьютеров.

Настройка политики репликации паролей для к о н к р е т н о г о к о н т р о л л е р а RODC

Две группы, описанные в предыдущем подразделе, обеспечивают метод управ-

ления политикой репликации паролей на всех контроллерах R O D C . Однако для

эффективной поддержки сценария с ф и л и а л о м к о н т р о л л е р у R O D C в каждом

филиале необходимо разрешить кэширование учетных д а н н ы х пользователей и

компьютеров в этом конкретном филиале. П о э т о м у н у ж н о отконфигурировать

списки разрешений и запрещений на к а ж д о м к о н т р о л л е р е R O D C .

Для настройки политики р е п л и к а ц и и п а р о л е й R O D C в подразделении

Domain Controllers откройте свойства учетной з а п и с и компьютера R O D C . На

вкладке Политика репликации паролей (Password Replication Policy) можно

просмотреть текущие параметры п о л и т и к и р е п л и к а ц и и паролей, а также до-

бавить или удалить пользователей и группы (рис. 8 – 1 0 ) .

PejMBUtHW I iiTMMllM I Емдадквмсмо. I

C%u-« ! j Чвемгитю i

По IV г. и ihwmmh гд»пвД

–u-o-. – -ъ.:, д.' » №

fUpiJ* ЫКМ 'fit. i– . Hi • f^in*, Янот

пимми Рег.плмхмплслзтсВДКчсг/ттмыоляэс'"'

1-е"-,.!• nl'lfl . 1 l | " i lU' l.v' hi, i*

Аа*»мстрето0ы

certaao con/BuiUi

Запрети,

Гс-,тгч с svtxuj»* «rtoK.com/ltoen

Запретить

Гр.тгм с рвхаиаи ссхо»сэп/и»вл

Разрез >ъ

Опращя* %UVti

cert 'xo ccnv'EuSri Запрешт.

Опера**"

certoao can'Boibi

Зелремъ

Угсйтссы учета

CWTOK– с э т ^ г

Затсегить

Dar&n»tv**o J

т, j Уда/wn-

Of: | Отжпа ) n^aMfc j ррама

Рис. 8-10. Политика репликации паролей контроллера RODC

Занятие 1

Настройка политики паролей и блокировки учетных записей 393

Администрирование кэширования учетных данных

на контроллере RODC

Е с л и н а в к л а д к е П о л и т и к а р е п л и к а ц и и п а р о л е й ( P a s s w o r d Replication Policy),

п о к а з а н н о й н а р и с . 8 – 1 0 , щ е л к н у т ь к н о п к у Д о п о л н и т е л ь н о (Advanced), откро-

ется д и а л о г о в о е о к н о Р а с ш и р е н н а я п о л и т и к а р е п л и к а ц и и паролей (Advanced

P a s s w o r d R e p l i c a t i o n P o l i c y ) , к а к в п р и м е р е на рис. 8-11.

тштм

попиэватапвй .. конпиотеои, Жт»т cnjj/yxui'i» <С1глл1Н

I ••[ "Г. «отсрьаю»-агся о л

л

!

Пот,

Поп1Чвиыв ов>е*Л1 2

I I T O T I W H O W ^

i Пдспеа^е njMaw« | Ск* aaigir

17.112030 1V2S-37 23.12.2X8'

17.112008132508 Неогр®«че

tvcnom i m ^ v c w t i r ni

Рис. 8-11. Расширенная политика репликации паролей

В р а с к р ы в а ю щ е м с я с п и с к е в в е р х н е й части в к л а д к и Использование поли-

т и к и ( P o l i c y U s a g e ) м о ж н о в ы б р а т ь о д и н и з д в у х отчетов д л я R O D C .

• У ч е т н ы е з а п и с и , п а р о л и к о т о р ы х х р а н я т с я в д а н н о м к о н т р о л л е р е домеиа

т о л ь к о д л я ч т е н и я ( A c c o u n t s W h o s e P a s s w o r d s A r e S t o r e d O n This R e a d -

o n l y D o m a i n C o n t r o l l e r ) О т о б р а ж а е т с п и с о к у ч е т н ы х данных пользовате-

л е й и к о м п ь ю т е р о в , к о т о р ы е в н а с т о я щ е е в р е м я к э ш и р у ю т с я на контроллере

R O D C . С п о м о щ ь ю этого с п и с к а м о ж н о о п р е д е л и т ь кэшированные учетные

д а н н ы е , к о т о р ы е н е с л е д у е т к э ш и р о в а т ь н а R O D C , и модифицировать со-

о т в е т с т в у ю щ и м о б р а з о м п о л и т и к у р е п л и к а ц и и паролей.

• У ч е т н ы е з а п и с и , п р о ш е д ш и е п р о в е р к у п о д л и н н о с т и д л я данного контрол-

л е р а д о м е и а т о л ь к о д л я ч т е н и я ( A c c o u n t s T h a t H a v e B e e n A u t h e n t i c a t e d

T o T h i s R e a d – O n l y D o m a i n C o n t r o l l e r ) О т о б р а ж а е т список учетных за-

п и с е й п о л ь з о в а т е л е й и к о м п ь ю т е р о в , к о т о р ы е н а п р а в л я ю т с я на пишущий

к о н т р о л л е р д о м е н а д л я п р о в е р к и п о д л и н н о с т и и л и обработки службы би-

лета. Э т о т с п и с о к и с п о л ь з у е т с я д л я и д е н т и ф и к а ц и и пользователей и ком-

п ь ю т е р о в , к о т о р ы е п ы т а ю т с я п р о й т и п р о в е р к у п о д л и н н о с т и с помощью

этого к о н т р о л л е р а R O D C . Е с л и э т и у ч е т н ы е з а п и с и н е кэшируются, и х

м о ж н о д о б а в и т ь в п о л и т и к у р е п л и к а ц и и паролей.

В э т о м же д и а л о г о в о м о к н е на в к л а д к е Р е з у л ь т и р у ю щ а я политика (Resul-

t a n t P o l i c y ) м о ж н о о ц е н и т ь д е й с т в у ю щ у ю п о л и т и к у к э ш и р о в а н и я отдельного

п о л ь з о в а т е л я и л и к о м п ь ю т е р а . Щ е л к н и т е к н о п к у Д о б а в и т ь (Add), чтобы вы-

брать у ч е т н у ю з а п и с ь п о л ь з о в а т е л я и л и к о м п ь ю т е р а д л я оценки.

14 3 . . . ТТОО

' 3 9 4 Проверка подлинности

Глава 8

С п о м о щ ь ю диалогового о к н а Р а с ш и р е н н а я п о л и т и к а р е п л и к а ц и и п а р о л е й

(Advanced Password Replication Policy) т а к ж е м о ж н о п р е д в а р и т е л ь н о з а п о л н и т ь

учетные д а н н ы е в к э ш е R O D C . Е с л и п о л ь з о в а т е л ь и л и к о м п ь ю т е р е с т ь в спис-

к е р а з р е ш е н и я R O D C , его у ч е т н ы е д а н н ы е м о г у т к э ш и р о в а т ь с я н а R O D C , н о

они не будут к э ш и р о в а т ь с я , п о к а в р е з у л ь т а т е с о б ы т и я п р о в е р к и п о д л и н н о с т и

или билета с л у ж б ы к о н т р о л л е р R O D C н е в ы п о л н и т р е п л и к а ц и ю э т и х у ч е т н ы х

данных с пишущего к о н т р о л л е р а д о м е н а . Н а п р и м е р , п р е д в а р и т е л ь н о з а п о л н и в

учетные данные в кэше R O D C д л я п о л ь з о в а т е л е й и к о м п ь ю т е р о в ф и л и а л а , в ы

можете гарантировать л о к а л ь н о е в ы п о л н е н и е к о н т р о л л е р о м R O D C о п е р а ц и й

проверки подлинности и б и л е т о в с л у ж б д а ж е п р и п е р в о й п р о в е р к е п о д л и н н о с -

т и пользователя и л и к о м п ь ю т е р а . Ч т о б ы п р е д в а р и т е л ь н о з а п о л н и т ь у ч е т н ы е

данные, щелкните к н о п к у С о з д а т ь п р е д в а р и т е л ь н ы е п а р о л и ( P r e p o p u l a t e Pass1

words) и выберите с о о т в е т с т в у ю щ и х п о л ь з о в а т е л е й и к о м п ь ю т е р ы .

Разделение административных ролей

Контроллерам R O D C в ф и л и а л а х м о ж е т п о т р е б о в а т ь с я т а к о е т е х н и ч е с к о е

обслуживание, как о б н о в л е н и е д р а й в е р а у с т р о й с т в а . К р о м е того, в н е б о л ь ш и х

филиалах к о н т р о л л е р R O D C м о ж е т с о ч е т а т ь с я в о д н о й с и с т е м е с р о л ь ю ф а й -

лового сервера. В т а к о м с л у ч а е в а ж н о и м е т ь в о з м о ж н о с т ь а р х и в а ц и и с и с т е м ы .

Контроллеры R O D C п о д д е р ж и в а ю т л о к а л ь н о е а д м и н и с т р и р о в а н и е п у т е м так

называемого разделения административных ролей. К а ж д ы й к о н т р о л л е р R O D C

поддерживает локальную базу д а н н ы х г р у п п , и с п о л ь з у е м у ю д л я с п е ц и ф и ч е с к и х

административных целей. В э т и л о к а л ь н ы е р о л и м о ж н о д о б а в л я т ь у ч е т н ы е

записи пользователей д о м е н а д л я в к л ю ч е н и я п о д д е р ж к и к о н к р е т н о г о конт-

роллера R O D C .

Разделение административных р о л е й м о ж н о о т к о н ф и г у р и р о в а т ь с п о м о щ ь ю

команды Dsmgmt.exe. Ч т о б ы д о б а в и т ь п о л ь з о в а т е л я в р о л ь А д м и н и с т р а т о р ы

(Administrators) к о н т р о л л е р а R O D C , в ы п о л н и т е с л е д у ю щ и е д е й с т в и я .

1 . Н а контроллере R O D C о т к р о й т е о к н о к о м а н д н о й с т р о к и .

2. Введите команду dsmgmt и н а ж м и т е E n t e r .

3. Введите команду local roles и о п я т ь н а ж м и т е E n t e r .

Чтобы получить с п и с о к к о м а н д , в с т р о к у локальные роли (local roles) можно

ввести знак в о п р о с а ? и н а ж а т ь к л а в и ш у E n t e r . Вы т а к ж е м о ж е т е ввести

команду list roles и н а ж а т ь E n t e r , ч т о б ы и з в л е ч ь с п и с о к л о к а л ь н ы х ролей.

4. Введите команду add имя_пользователя Администраторы (Administrators),

указав имя входа п р е д – W i n d o w s 2000 п о л ь з о в а т е л я д о м е н а , и н а ж м и т е кла-

вишу Enter.

Повторяя этот процесс, вы м о ж е т е д о б а в и т ь д р у г и х п о л ь з о в а т е л е й в раз-

личные л о к а л ь н ы е р о л и н а к о н т р о л л е р е R O D C .

К СВЕДЕНИЮ Повышение уровня проверки подлинности и безопасности

Контроллеры R O D C станут ценным дополнением, п о з в о л я ю щ и м повысить уро-

вень проверки подлинности и безопасности в филиалах. Подробную документа-

цию можно найти на веб-сайте Microsoft по адресу http://technet2.microsoft.com/

windowsserver2008/en/library/ea8d253e-0646-490c-93d3-b78c5e1d9db71033.mspx.

Занятие 1

Настройка политики паролей и блокировки учетных записей 395

Практические занятия. Настройка контроллеров домена

только для чтения

В предложенных далее у п р а ж н е н и я х вы реализуете в сценарии филиала конт-

роллеры домена только д л я чтения. Вы установите R O D C , отконфигурируете

политику р е п л и к а ц и и паролей, проведете мониторинг кэширования учетных

данных и предварительно заполните учетные данные иа контроллере RODC.

Но прежде чем приступать к упражнениям, нужно выполнить подготовитель-

ные задания.

• Установите второй сервер Windows Server 2008 и присвойте ему имя В RANCH -

SERVER. З а д а й т е для сервера IP конфигурацию:

• IP-адрес ( I P Address): 10.0.0.12;

• Маска подсети ( S u b n e t Mask): 255.255.255.0;

• Основной ш л ю з ( D e f a u l t Gateway): 10.0.0.1;

• DNS-сервер ( D N S Server): 10.0.0.11 (адрес машины SERVER01).

• Создайте следующие объекты Active Directory:

• глобальная группа безопасности Пользователи филиала;

• пользователи Д ж е й м с Ф а й н и Адам Картер – члены группы Пользо-

ватели ф и л и а л а ;

• п о л ь з о в а т е л ь М а й к Дансеглио, не входящий в группу Пользователи

ф и л и а л а .

• Включите группу Пользователи домена (Domain Users) в группу Операторы

печати ( P r i n t O p e r a t o r s ) .

ВНИМАНИЕ! Уровни разрешений

Пользователи домена вводятся в группу операторов печати лишь для того, чтобы

стандартные учетные записи пользователей позволяли входить на контроллеры

домена, которые задействуются в этих упражнениях. В производственной среде

рекомендуется не разрешать стандартным пользователям входить на контроллеры

домена.

У п р а ж н е н и е 1. У с т а н о в к а контроллера R O D C

В этом упражнении вы отконфигурируете сервер BRANCHSERVER как кон-

троллер R O D C в домене contoso.com.

1. В о й д и т е на м а ш и н у B R A N C H S E R V E R как Администратор (Admini-

strator).

2. Откройте главное меню Пуск (Start) и щелкните команду Выполнить (Run).

3. Введите команду depromo и щелкните ОК.

Откроется окно с сообщением проверки установки двоичных файлов до-

менных служб Active Directory (Active Directory Domain Services). После

этого запустится Мастер установки доменных служб Active Directory (Acti-

ve Directory Domain Services Installation Wizard).

4. Щелкните кнопку Далее (Next).

' 3 9 6 Проверка подлинности

Глава 8

5. На странице Совместимость операционных систем ( O p e r a t i n g System Com-

patibility) щелкните кнопку Далее (Next).

6. На странице Выберите конфигурацию р а з в е р т ы в а н и я (Choose A Deploy-

ment Configuration) выберите опцию С у щ е с т в у ю щ и й лес (Existing Forest),

а затем опцию Добавить к о н т р о л л е р д о м е н а в с у щ е с т в у ю щ и й лес (Add

A Domain Controller То An Existing Forest). Щ е л к н и т е Д а л е е (Next).

7. На странице Сетевые учетные данные ( N e t w o r k Credentials) введите имя

домена contoso.com.

8. Щелкните кнопку Задать (Set).

9. В поле Имя пользователя (User Name) введите и м я Администратор (Admi-

nistrator).

10. В поле Пароль (Password) введите пароль учетной з а п и с и Администратор

(Administrator). Щелкните О К .

И. Щелкните кнопку Далее (Next).

12. На странице Выберите домен (Select A D o m a i n ) у к а ж и т е домен contoso.com

и щелкните кнопку Далее (Next).

13. На странице Выбор сайта (Select A Site) в ы б е р и т е сайт Default-First-Site-

Name и щелкните Далее (Next).

В производственной среде н у ж н о выбрать с а й т ф и л и а л а , где будет уста-

новлен контроллер R O D C . Сайты о п и с а н ы в главе 11.

14. На странице Дополнительные параметры к о н т р о л л е р а домена (Additional

Domain Controller Options) установите ф л а ж о к К о н т р о л л е р домена только

для чтения ( R O D C ) (Read-Only D o m a i n C o n t r o l l e r ( R O D C ) ) . Убедитесь

также, что установлены ф л а ж к и D N S – с е р в е р ( D N S Server) и Глобальный

каталог (Global Catalog). Затем щ е л к н и т е к н о п к у Д а л е е (Next).

15. На странице Делегирование установки и а д м и н и с т р и р о в а н и я R O D C (Dele-

gation Of R O D C Installation And A d m i n i s t r a t i o n ) щ е л к н и т е Далее (Next).

16. На странице Расположение для базы данных, ф а й л о в ж у р н а л а и SYSVOL

(Location For Database, Log Files, And S Y S V O L ) щ е л к н и т е кнопку Далее

(Next).

17. На странице пароль администратора д л я р е ж и м а восстановления служб

каталогов (Directory Services Restore Mode Administrator Password) введите

пароль в поля Пароль (Password) и П о д т в е р ж д е н и е ( C o n f i r m Password)

и щелкните Далее (Next).

18. На странице Сводка (Summary) щ е л к н и т е Далее (Next).

19. В окне выполнения установите ф л а ж о к Перезагрузка по завершении (Re-

boot On Completion).

Упражнение 2. Настройка политики р еп ли ка ц ии паролей

В этом упражнении вы отконфигурируете п о л и т и к у репликации паролей на

уровне домена и для отдельных контроллеров R O D C . Политика репликации

Занятие 1

Настройка политики паролей и блокировки учетных записей 397

паролей определяет к э ш и р о в а н и е учетных данных пользователей и компью-

теров на контролл ере R O D C .

1. Войдите на м а ш и н у S E R V E R 0 1 как администратор.

2. Откройте оснастку Active Directory – пользователи и компьютеры (Active

Directory Users And C o m p u t e r s ) .

3. Разверните домен и выберите контейнер Users.

4. П р о а н а л и з и р у й т е членство по умолчанию группы с разрешением репли-

кации паролей R O D C (Allowed R O D C Password Replication Group).

5. Откройте окно свойств группы с запрещением репликации паролей R O D C

(Denied R O D C Password Replication Group).

6. Включите группу D n s A d m i n s в состав группы с запрещением репликации

паролей R O D C .

7. Выберите подразделение D o m a i n Controllers.

8. Откройте свойства объекта компьютера BRANCHSERVER.

9. Перейдите на вкладку П о л и т и к а репликации паролей (Password Replication

Policy).

10. Просмотрите п а р а м е т р ы политики репликации паролей для группы с раз-

решением репликации паролей R O D C и группы с запрещением репликации

паролей R O D C .

11. Щ е л к н и т е к н о п к у Д о б а в и т ь (Add).

12. Выберите о п ц и ю Р а з р е ш и т ь репликацию паролей учетной записи на этот

R O D C (Allow P a s s w o r d s For T h e A c c o u n t To Replicate To This RODC)

и щ е л к н и т е O K .

13. В диалоговом окне Выбор: "Пользователи", "Компьютеры" или "Группы"

(Select Users, C o m p u t e r s , Or Groups) введите имя группы Пользователи

филиала и щ е л к н и т е О К .

14. Щ е л к н и т е О К .

У п р а ж н е н и е 3. М о н и т о р и н г к э ш и р о в а н и я учетных данных

В этом у п р а ж н е н и и вы эмулируете вход нескольких пользователей на сервер

филиала. Затем вы оцените кэширование учетных данных на этом сервере.

1. Войдите на м а ш и н у B R A N C H S E R V E R как пользователь Джеймс Файн

и выйдите из системы.

2. Войдите на м а ш и н у B R A N C H S E R V E R как пользователь Майк Дансеглио

и выйдите из системы.

3. Войдите на машину B R A N C H S E R V E R как администратор и откройте ос-

настку Active Directory – пользователи и компьютеры (Active Directory

Users And Computers).

4. В подразделении Domain Controllers откройте свойства объекта компьютера

i B R A N C H S E R V E R .

' 3 9 8 Проверка подлинности

Глава 8

5. Перейдите на вкладку Политика репликации паролей (Password Replication

Policy).

6. Щелкните кнопку Дополнительно (Advanced).

7. На вкладке Использование п о л и т и к и (Policy Usage) в раскрывающемся

списке Отображать пользователей и к о м п ь ю т е р ы , к о т о р ы е удовлетворя-

ют следующим условиям (Display Users A n d C o m p u t e r s T h a t Meet The

Following Criteria) выберите параметр Учетные записи, пароли которых

хранятся в данном контроллере домена только д л я чтения (Accounts Whose

Passwords Are Stored On This Read-Only D o m a i n Controller).

8. Локализуйте запись пользователя Д ж е й м с а Ф а й н а .

Поскольку вы отконфигурировали п о л и т и к у р е п л и к а ц и и паролей для кэ-

ширования учетных данных пользователей в группе Пользователи филиала,

учетные данные пользователя Д ж е й м с а Ф а й н а б ы л и к э ш и р о в а н ы при его

входе в шаге 1. Учетные данные п о л ь з о в а т е л я М а й к а Дансеглио не кэши-

руются.

9. В раскрывающемся списке выберите п а р а м е т р Учетные записи, прошед-

шие проверку подлинности для данного к о н т р о л л е р а домена только для

чтения (Accounts That Have Been A u t h e n t i c a t e d To This R e a d – O n l y Domain

Controller).

10. Локализуйте пользователей Д ж е й м с а Ф а й н а и М а й к а Дансеглио.

11. Щелкните кнопку Закрыть (Close), а затем щ е л к н и т е О К .

Упражнение 4. Предварительное з а п о л н е н и е к э ш и р о в а н и я учетных данных

В этом упражнении вы предварительно з а п о л н и т е к э ш к о н т р о л л е р а R O D C

учетными данными пользователя.

1. Войдите на машину S E R V E R 0 1 как а д м и н и с т р а т о р и откройте оснастку

Active Directory – пользователи и компьютеры (Active Directory Users And

Computers).

2. В подразделении Domain Controllers откройте свойства объекта компьютера

BRANCHSERVER.

3. Перейдите на вкладку Политика репликации паролей (Password Replication

Policy).

4. Щелкните кнопку Дополнительно (Advanced).

5. Щелкните кнопку Создать п р е д в а р и т е л ь н ы е п а р о л и ( P r e p o p u l a t e Pass-

words).

6. Введите имя Адам Картер и щелкните О К .

7. Щелкните кнопку Да (Yes), чтобы подтвердить отправку учетных данных

на контроллер R O D C .

8. На вкладке Использование п о л и т и к и (Policy Usage) выберите параметр

Учетные записи, пароли которых хранятся в данном контроллере домена

только для чтения (Accounts W h o s e Passwords Are Stored On This Read-

only Domain Controller).

Занятие 1

Настройка политики паролей и блокировки учетных записей 422

9. Л о к а л и з у й т е п о л ь з о в а т е л я Адама Картера.

Теперь его у ч е т н ы е д а н н ы е к э ш и р о в а н ы на контроллере R O D C .

10. Щ е л к н и т е О К .

Резюме

• Контроллеры домена только д л я чтения R O D C (Read-Only Domain Control-

ler) с о д е р ж а т к о п и ю базы д а н н ы х Active Directory только с правом чтения.

• К о н т р о л л е р R O D C р е п л и ц и р у е т обновления в домене из пишущего конт-

роллера д о м е н а с п о м о щ ь ю л и ш ь входящей репликации.

• П о л и т и к а р е п л и к а ц и и п а р о л е й определяет кэширование учетных данных

п о л ь з о в а т е л я и л и к о м п ь ю т е р а на контроллере R O D C . На каждом новом

к о н т р о л л е р е R O D C в с п и с к е р а з р е ш е н и й и запрещений соответственно

р а с п о л о ж е н ы г р у п п ы с р а з р е ш е н и е м репликации паролей R O D C (Allowed

R O D C P a s s w o r d Replication G r o u p ) и группы с запрещением репликации

п а р о л е й R O D C (Allowed R O D C Password Replication Group). Поэтому вы

можете и с п о л ь з о в а т ь эти две г р у п п ы для управления политикой реплика-

ц и и п а р о л е й на у р о в н е домена. На отдельном контроллере домена также

м о ж н о к о н ф и г у р и р о в а т ь о т д е л ь н у ю политику репликации паролей.

• Контроллер R O D C м о ж н о поддерживать, разделяя административные роли,

чтобы один и л и несколько пользователей могли решать задачи администри-

р о в а н и я , не п о л у ч а я п р и в и л е г и й администратора на других контроллерах

домена или в домене. Р а з д е л е н и е административных ролей осуществляется

с п о м о щ ь ю к о м а н д ы Dsmgmt.exe.

• Д л я к о н т р о л л е р а R O D C в т о м же домене требуется разместить пишущий

к о н т р о л л е р д о м е н а W i n d o w s Server 2008. Кроме того, лес должен работать

на ф у н к ц и о н а л ь н о м у р о в н е не н и ж е W i n d o w s Server 2003, а перед уста-

н о в к о й п е р в о г о к о н т р о л л е р а R O D C в среде нужно выполнить команду

Adprep /rodcprep.

Закрепление материала

С л е д у ю щ и е в о п р о с ы м о ж н о и с п о л ь з о в а т ь д л я проверки знаний, полученных

на з а н я т и и 3. Э т и же в о п р о с ы есть и на сопроводительном компакт-диске.

ПРИМЕЧАНИЕ Ответы

Ответы на вопросы с пояснениями, почему тот или иной вариант ответа правилен

или неверен, вы найдете в разделе «Ответы» в конце книги.

1. Ваш д о м е н состоит из п я т и контроллеров, один из которых работает на

ф у н к ц и о н а л ь н о м у р о в н е W i n d o w s Server 2008. Остальные контроллеры

домена работают в р е ж и м е W i n d o w s Server 2003. Что нужно сделать перед

установкой к о н т р о л л е р а домена только для чтения?

А. О б н о в и т ь все к о н т р о л л е р ы домена до Windows Server 2008.

Б. Запустить к о м а н д у Adprep /rodcprep.

' 400 Проверка подлинности Глава 8

В. Запустить команду Dsmgmt.

Г. Запустить команду Dcpromo /unattend.

2. Недавно из ф и л и а л а к о м п а н и и Tailspin Toys б ы л п о х и щ е н к о н т р о л л е р

R O D C филиала. Где найти учетные з а п и с и п о л ь з о в а т е л е й , х р а н и в ш и е с я

на этом контроллере?

A. На вкладке Использование п о л и т и к и ( P o l i c y U s a g e ) .

Б. В списке членства группы с р а з р е ш е н и е м р е п л и к а ц и и п а р о л е й R O D C

(Allowed R O D C Password Replication G r o u p ) .

B. В списке членства группы с з а п р е щ е н и е м р е п л и к а ц и и п а р о л е й R O D C

(Denied R O D C Password Replication G r o u p ) .

Г. На вкладке Р е з у л ь т и р у ю щ а я п о л и т и к а ( R e s u l t a n t P o l i c y ) .

3. На следующей неделе п я т ь п о л ь з о в а т е л е й б у д у т п е р е в е д е н ы в о д и н из

десяти заокеанских ф и л и а л о в к о м п а н и и L i g h t w a r e , Inc. К а ж д ы й ф и л и а л

имеет контроллер R O D C . Вы хотите, чтобы п р и п е р в о м входе пользователи

филиала не испытывали неудобств, с в я з а н н ы х с п р о в е р к о й п о д л и н н о с т и в

центре данных через соединение WAN. Ч т о следует п р е д п р и н я т ь ? (Укажите

все варианты.)

A. Включить этих пять п о л ь з о в а т е л е й в г р у п п у р а з р е ш е н и я р е п л и к а ц и и

паролей R O D C (Allowed R O D C P a s s w o r d R e p l i c a t i o n G r o u p ) .

Б. Добавить пять пользователей на в к л а д к у П о л и т и к а р е п л и к а ц и и паролей

(Password Replication Policy) к о н т р о л л е р а R O D C ф и л и а л а .

B. Ввести пять пользователей в п о л и т и к у б е з о п а с н о с т и Л о к а л ь н ы й вход

в систему (Log On Locally) объекта г р у п п о в о й п о л и т и к и D e f a u l t Domain

Controllers Policy.

Г. Предварительно з а п о л н и т ь п о л я п а р о л е й .

Закрепление материала главы

Для того чтобы попрактиковаться и з а к р е п и т ь з н а н и я , п о л у ч е н н ы е п р и изуче-

нии представленного в этой главе материала, вам н е о б х о д и м о :

• ознакомиться с резюме главы;

• повторить используемые в главе о с н о в н ы е т е р м и н ы ;

• изучить сценарий, в котором о п и с а н а р е а л ь н а я с и т у а ц и я , т р е б у ю щ а я при-

менения полученных знаний, и п р е д л о ж и т ь свое р е ш е н и е ;

• выполнить рекомендуемые у п р а ж н е н и я ;

• сдать пробный экзамен с п о м о щ ь ю тестов.

Резюме главы

• В Windows Server 2008 можно задать параметры п о л и т и к и паролей и блоки-

ровки учетной записи для целого домена, м о д и ф и ц и р о в а в объект групповой

политики Default Domain Policy. З а т е м с п о м о щ ь ю г р а н у л и р о в а н н ы х поли-

тик паролей и блокировки в объектах п а р а м е т р о в п а р о л е й P S O (Password

Settings Object) можно отконфигурировать конкретные п о л и т и к и д л я групп

и отдельных пользователей.

Сценарии 424

• Когда п о л ь з о в а т е л ь д о м е н а в х о д и т на к о м п ь ю т е р в домене, компьютер

генерирует с о б ы т и е входа, а д о м е н – событие входа учетной записи. Для

мониторинга п р о в е р к и п о д л и н н о с т и м о ж н о выполнять аудит этих событий.

По у м о л ч а н и ю в W i n d o w s S e r v e r 2008 ведется аудит успешных событий

входа у ч е т н о й з а п и с и и с о б ы т и й входа.

• К о н т р о л л е р ы домена т о л ь к о д л я чтения R O D C (Read-Only Domain Control-

ler) о б е с п е ч и в а ю т п о д д е р ж к у с ц е н а р и е в ф и л и а л о в , проверяя подлинность

п о л ь з о в а т е л е й ф и л и а л а . К о н т р о л л е р ы R O D C снижают степень угрозы

безопасности, с в я з а н н о й с р а з м е щ е н и е м контроллера домена в физически

н е з а щ и щ е н н о м месте. Вы м о ж е т е н а з н а ч и т ь учетные данные, которые бу-

дут к э ш и р о в а т ь с я на к о н т р о л л е р е R O D C . Вы также можете делегировать

а д м и н и с т р и р о в а н и е R O D С, не п р е д о с т а в л я я разрешения доступа к другим

к о н т р о л л е р а м в д о м е н е .

Основные термины

З а п о м н и т е п е р е ч и с л е н н ы е д а л е е т е р м и н ы , чтобы лучше понять описываемые

к о н ц е п ц и и .

• П о л и т и к а р е п л и к а ц и и п а р о л е й P R P ( P a s s w o r d Replication Policy)

О п р е д е л я е т у ч е т н ы е д а н н ы е п о л ь з о в а т е л е й , которые будут кэшироваться

н а к о н т р о л л е р е R O D C . П о л и т и к а р е п л и к а ц и и паролей R O D C включает

список р а з р е ш е н и й и с п и с о к з а п р е щ е н и й . Учетные данные пользователей

из с п и с к а р а з р е ш е н и й м о г у т к э ш и р о в а т ь с я на контроллере RODC. Если

п о л ь з о в а т е л ь в к л ю ч е н в оба с п и с к а – р а з р е ш е н и й и запрещений, его учет-

н ы е д а н н ы е н е будут к э ш и р о в а т ь с я .

• О б ъ е к т п а р а м е т р о в п а р о л е й P S O ( P a s s w o r d S e t t i n g s Object) Коллекция

п а р а м е т р о в , к о т о р ы е о п р е д е л я ю т т р е б о в а н и я политик паролей и блоки-

р о в к и у ч е т н ы х з а п и с е й д л я п о д н а б о р а пользователей в домене. Объекты

P S O м о ж н о п р и м е н я т ь к г р у п п а м и о т д е л ь н ы м пользователям в домене

д л я н а с т р о й к и п о л и т и к , о т л и ч а ю щ и х с я от политик паролей и блокировки

на уровне домена, о п р е д е л е н н ы х г р у п п о в о й политикой.

• Контроллер д о м е н а только д л я чтения R O D C (Read-Only Domain Controller)

П о д д е р ж и в а е т к о п и ю Active D i r e c t o r y со всеми объектами и атрибутами,

кроме учетных д а н н ы х пользователей. Контроллер R O D C получает обнов-

л е н и я домена с п и ш у щ е г о к о н т р о л л е р а домена, используя лишь входящую

репликацию. К о н т р о л л е р ы R O D C удобно задействовать в сценариях с фи-

л и а л а м и к о м п а н и и .

• Р е з у л ь т и р у ю щ и й о б ъ е к т P S O Объект параметров паролей, применяемый

к пользователю. Р е з у л ь т и р у ю щ и й объект P S O определяется путем оценки

п р и о р и т е т а всех объектов P S O , связанных непосредственно с пользовате-

лем и л и с группами, в к о т о р ы е он входит.

Сценарии

В следующих сценариях вы примените полученные знания о гранулированных

политиках п а р о л е й и контроллерах R O D C . Ответы на вопросы можно найти

в разделе «Ответы» в конце книги.

' 4 0 2 Проверка подлинности

Глава 8

! Сценарий 1. Повышение уровня безопасности административных

учетных записей

Вы работаете администратором в к о м п а н и и C o n t o s o , Ltd, к о т о р а я недавно по-

лучила контракт на поставку важного секретного продукта. Условием контракта

является повышение уровня безопасности д о м е н а Active Directory. Вы должны

гарантировать, что администраторы и с п о л ь з у ю т и з м е н я ю щ и е с я к а ж д ы е 30 дней

учетные записи длиной не меньше 25 знаков. Вы полагаете, что т а к и е строгие

требования не следует п р и м е н я т ь ко в с е м п о л ь з о в а т е л я м , и х о т и т е ограни-

чить область действия новых т р е б о в а н и й к п а р о л я м л и ш ь а д м и н и с т р а т о р а м и

домена. Кроме того, согласно к о н т р а к т у в ы д о л ж н ы о т с л е ж и в а т ь п о п ы т к и

потенциальных з л о у м ы ш л е н н и к о в п о л у ч и т ь д о с т у п к с е т и с и с п о л ь з о в а н и е м

административной учетной записи.

1. В н а с т о я щ е е в р е м я в а ш д о м е н и м е е т ч е т ы р е к о н т р о л л е р а W i n d o w s

Server 2003 и восемь к о н т р о л л е р о в W i n d o w s S e r v e r 2008. Ч т о н у ж н о сде-

лать перед реализацией г р а н у л и р о в а н н ы х п о л и т и к п а р о л е й в соответствии

с требованиями нового к о н т р а к т а ?

2. Какой инструмент использовать д л я н а с т р о й к и г р а н у л и р о в а н н ы х политик

паролей и блокировки у ч е т н ы х з а п и с е й ?

3. Вы вернулись из отпуска и о б н а р у ж и л и , что д р у г и е а д м и н и с т р а т о р ы созда-

л и несколько новых объектов п а р а м е т р о в п а р о л е й ( P S O ) с о з н а ч е н и я м и


    Ваша оценка произведения:

Популярные книги за неделю