Делегирование административных задач в Active Directory / Хабр

Домен Active DirectoryActive Directory domain

Домен — это раздел в Active Directory лесу.A domain is a partition in an Active Directory forest. Секционирование данных позволяет организациям реплицировать данные только там, где это необходимо.Partitioning data enables organizations to replicate data only to where it is needed. Таким образом, каталог может глобально масштабироваться по сети, имеющей ограниченную доступную пропускную способность.In this way, the directory can scale globally over a network that has limited available bandwidth. Кроме того, домен поддерживает ряд других основных функций, относящихся к администрированию, в том числе:In addition, the domain supports a number of other core functions related to administration, including:

Удостоверение пользователя в масштабе всей сети.Network-wide user identity. Домены позволяют создавать удостоверения пользователей один раз и ссылаться на любой компьютер, присоединенный к лесу, в котором находится домен.Domains allow user identities to be created once and referenced on any computer joined to the forest in which the domain is located. Контроллеры домена, составляющие домен, используются для безопасного хранения учетных записей пользователей и учетных данных пользователей (таких как пароли или сертификаты).Domain controllers that make up a domain are used to store user accounts and user credentials (such as passwords or certificates) securely.
Проверка подлинности.Authentication. Контроллеры домена предоставляют пользователям службы проверки подлинности и предоставляют дополнительные данные авторизации, такие как членство в группах пользователей, которые можно использовать для управления доступом к ресурсам в сети.Domain controllers provide authentication services for users and supply additional authorization data such as user group memberships, which can be used to control access to resources on the network.
Отношения доверия.Trust relationships. Домены могут расширять службы проверки подлинности для пользователей в доменах за пределами собственного леса с помощью доверенных отношений.Domains can extend authentication services to users in domains outside their own forest by means of trusts.
Репликации.Replication. Домен определяет раздел каталога, который содержит достаточно данных для предоставления доменных служб, а затем реплицирует его между контроллерами домена.The domain defines a partition of the directory that contains sufficient data to provide domain services and then replicates it between the domain controllers. Таким образом, все контроллеры домена являются одноранговыми в домене и управляются как единое целое.In this way, all domain controllers are peers in a domain and are managed as a unit.

Полезные команды при установке доменных служб

Переименовать сайт AD по умолчанию (Default-First-Site-Name) — Get-ADReplicationSite | Rename-ADObject -NewName “Новое имя сайта
Добавление новой подсети в сайт AD — New-ADReplicationSubnet -Name “100.100.100.0/24″ -Site «Имя сайта»
Просмотр подсетей — Get-ADReplicationSubnet -Filter *
Включение корзины Active Directory — Enable-ADOptionalFeature “Recycle Bin Feature” -Scope Forest -Target ‘partner.pyatilistnik.info’-confirm:$false
Для удаления леса и домена можно использовать — Uninstall-ADDSDomainController–LastDoaminControllerInDomain –RemoveApplicationPartitions

Полезные командлеты в модуле ADDSDeployment

Установка RODC — Add-ADDSReadOnlyDomainControllerAccount
Установка контроллера в дочернем домене или дереве — Install-ADDSDomain
Установка дополнительного контроллера домена — Install-ADDSDomainController
Необходимые условия для установки дополнительного контроллера домена — Test-ADDSDomainControllerInstallation Verify
Проверка необходимых условий для установки контроллера только для чтения — Test-ADDSReadOnlyDomainControllerAccountCreation

Корзина в центре администрирования Active DirectoryActive Directory Administrative Center Recycle Bin

В Windows Server 2008 R2 впервые появилась корзина Active Directory, которая позволяет восстанавливать удаленные объекты Active Directory без восстановления из резервной копии, перезапуска доменных служб Active Directory или перезагрузки контроллеров домена.Windows Server 2008 R2 introduced the Active Directory Recycle Bin, which recovers deleted Active Directory objects without restoring from backup, restarting the AD DS service, or rebooting domain controllers.

В Windows Server 2012 существующие возможности восстановления на основе Windows PowerShell улучшены благодаря новому графическому интерфейсу в центре администрирования Active Directory.Windows Server 2012 enhances the existing Windows PowerShell-based restore capabilities with a new graphical interface in the Active Directory Administrative Center. Это позволяет администраторам включить корзину и затем найти или восстановить удаленные объекты в контексте доменов леса, и все это без непосредственного использования командлетов Windows PowerShell.This allows administrators to enable the Recycle Bin and locate or restore deleted objects in the domain contexts of the forest, all without directly running Windows PowerShell cmdlets. Центр администрирования Active Directory и корзина Active Directory по-прежнему используют среду Windows PowerShell, поэтому предыдущие сценарии и процедуры можно с успехом применять.The Active Directory Administrative Center and Active Directory Recycle Bin still use Windows PowerShell under the covers, so previous scripts and procedures are still valuable.

Информацию о корзине Active Directory см. в пошаговом руководстве по работе с корзиной Active Directory (Windows Server 2008 R2).For information about the Active Directory Recycle Bin, see Active Directory Recycle Bin Step-by-Step Guide (Windows Server 2008 R2).

Установка средств администрирования Active DirectoryInstall Active Directory administrative tools

Управляемыми доменами Azure AD DS можно управлять с помощью тех же средств администрирования, что и в локальной среде AD DS, как, например, центр администрирования Active Directory (ADAC) или AD PowerShell.Azure AD DS managed domains are managed using the same administrative tools as on-premises AD DS environments, such as the Active Directory Administrative Center (ADAC) or AD PowerShell. Эти средства можно установить в составе компонента «Средства удаленного администрирования сервера» (RSAT) на серверы Windows Server и клиентские компьютеры.These tools can be installed as part of the Remote Server Administration Tools (RSAT) feature on Windows Server and client computers. Участники группы Администраторы контроллера домена AAD могут администрировать управляемые домены Azure AD DS удаленно с помощью упомянутых выше средств администрирования AD с любого компьютера, присоединенного к управляемому домену.Members of the AAD DC Administrators group can then administer Azure AD DS managed domains remotely using these AD administrative tools from a computer that is joined to the managed domain.

Чтобы установить средства администрирования Active Directory на присоединенную к домену виртуальную машину, выполните следующие шаги.To install the Active Directory Administration tools on a domain-joined VM, complete the following steps:

Если диспетчер сервера не открывается по умолчанию при входе в виртуальную машину, откройте меню Пуск, а затем выберите Диспетчер сервера.If Server Manager doesn’t open by default when you sign in to the VM, select the Start menu, then choose Server Manager.
На панели управления в окне диспетчера серверов щелкните Добавить роли и компоненты.In the Dashboard pane of the Server Manager window, select Add Roles and Features.
На странице Перед началом работы в мастере добавления ролей и компонентов щелкните Далее.On the Before You Begin page of the Add Roles and Features Wizard, select Next.
В разделе Тип установки оставьте флажок Установка ролей или компонентов и щелкните Далее.For the Installation Type, leave the Role-based or feature-based installation option checked and select Next.
На странице Выбор сервера выберите из пула серверов текущую виртуальную машину, например myvm.aadds.contoso.com, и щелкните Далее.On the Server Selection page, choose the current VM from the server pool, such as myvm.aadds.contoso.com, then select Next.
На странице Роли сервера нажмите кнопку Далее.On the Server Roles page, click Next.
На странице Компоненты разверните узел Средства удаленного администрирования сервера, а затем узел Средства администрирования ролей.On the Features page, expand the Remote Server Administration Tools node, then expand the Role Administration Tools node.

Выберите компонент Средства AD DS и AD LDS из списка средств администрирования ролей, затем щелкните Далее.Choose AD DS and AD LDS Tools feature from the list of role administration tools, then select Next.
На странице Подтверждение щелкните Установить.On the Confirmation page, select Install. Установка средств администрирования может занять одну или две минуты.It may take a minute or two to install the administrative tools.
Когда установка компонента завершится, нажмите кнопку Закрыть, чтобы выйти из мастера добавления ролей и компонентов.When feature installation is complete, select Close to exit the Add Roles and Features wizard.

Объекты и атрибуты

Все, что отслеживает Active Directory, считается объектом. Можно сказать простыми словами, что этим в Active Directory является любой пользователь, система, ресурс или служба. Общий объект терминов используется, поскольку AD способен отслеживать множество элементов, а многие объекты могут совместно использовать общие атрибуты. Что это значит?

Атрибуты описывают объекты в активный каталог Active Directory, например, все пользовательские объекты совместно используют атрибуты для хранения имени пользователя. Это касается и их описания. Системы также являются объектами, но у них есть отдельный набор атрибутов, который включает имя хоста, IP-адрес и местоположение.

Набор атрибутов, доступных для любого конкретного типа объекта, называется схемой. Она делает классы объектов отличными друг от друга. Информация о схеме фактически хранится в Active Directory

Что такое поведение протокола безопасности очень важно, говорит тот факт, что схема позволяет администраторам добавлять атрибуты к классам объектов и распределять их по сети во всех уголках домена без перезапуска любых контроллеров домена

Создайте ВМ для бастионного хоста

Для настройки машин с Active Directory будет использоваться файловый сервер с выходом в интернет.

Консоль управления
CLI

На странице каталога в консоли управления нажмите кнопку Создать ресурс и выберите Виртуальная машина.
В поле Имя введите имя виртуальной машины: .
Выберите зону доступности .
В блоке Публичные образы нажмите кнопку Выбрать. В открывшемся окне выберите образ 2016 Datacenter.
В блоке Диски укажите размер загрузочного диска 35 ГБ.
В блоке Вычислительные ресурсы:
- Выберите платформу: Intel Cascade Lake.
- Укажите необходимое количество vCPU и объем RAM:
  - vCPU — 2.
  - Гарантированная доля vCPU — 100%.
  - RAM — 4 ГБ.
В блоке Сетевые настройки нажмите кнопку Добавить сеть и выберите сеть . Выберите подсеть . В блоке Публичный адрес выберите вариант Без адреса.
В блоке Доступ укажите данные для доступа на виртуальную машину:

В поле Пароль укажите ваш пароль.
Нажмите кнопку Создать ВМ.

Domain Naming Master

(отдельная статья тут – Domain Naming Master)

Следующая роль лесного уровня – хозяин именования доменов. Как понятно из определения “лесной”, этого товарища в лесу также не более одного.

Domain Naming Master отвечает за операции, связанные с именами доменов Active Directory. Но не только. Зон ответственности у него четыре:

Добавление и удаление доменов в пределах леса
Создание и удаление разделов (application directory partitions)
Создание и удаление перекрестных ссылок (crossRef)
Одобрение переименования домена

Пройдемся по каждой чуть подробнее.

Добавление и удаление доменов

Добавлять и удалять домены позволяется только контроллеру с ролью Domain Naming Master. Этот контроллер бдительно следит, чтобы добавляемый домен имел уникальное в пределах леса NETBIOS-имя. Если Naming Master недоступен, на попытках изменить число доменов в лесу можно ставить крест.

Нужно отметить, что проверять уникальность FQDN-имени нового домена на специально отведенном контроллере смысла нет, проще запросить информацию из DNS.

Создание и удаление разделов

В Windows 2003 появилась возможность создавать обособленные разделы, или, как их еще называют, партиции. Партиции используются для хранения в AD произвольных данных. Самый яркий пример использования партиций – хранение данных для DNS-серверов в партициях ForestDnsZones и DomainDnsZones.

Стоит ли говорить, что управление партициями при недоступном DNM невозможно? Хотя… Да, возможен вариант, когда доступный Domain Naming Master хостится на сервере с ОС Windows 2000, тогда о партициях речи тоже не будет.

Создание и удаление перекрестных ссылок

Перекрестные ссылки используются для поиска по каталогу в том случае, если сервер, к которому подключен клиент, не содержит нужной копии каталога; причем ссылаться можно даже на домены вне леса, при условии их доступности. Хранятся перекрестные ссылки (объекты класса crossRef) в контейнере Partitions раздела Configuration, и только Domain Naming Master имеет право в этом контейнере хозяйничать. Понятно, что читать содержимое контейнера может любой контроллер, благо раздел Configuration один для всего леса, но вот изменять его содержимое может лишь один.

Очевидно, что недоступность контроллера с ролью Domain Naming Master опечалит администратора, желающего создать новую перекрестную ссылку, или удалить ненужную.

Одобрение переименования домена

В процессе переименования домена основная утилита этого действа (rendom.exe) составляет скрипт с инструкциями, которые должны будут выполниться в процессе переименования. Все инструкции проверяются, после чего скрипт помещается в атрибут msDS-UpdateScript контейнера Partitions раздела Configuration. Помимо этого, значения атрибута msDS-DnsRootAlias для каждого объекта класса crossRef устанавливаются в соответствии с новой моделью именования доменов. Поскольку право менять содержимое crossRefContainer есть только у контроллера с ролью Domain Naming Master, то очевидно, что проверку инструкций и запись атрибутов выполняет именно он.

Если при проверке скрипта обнаружатся ошибки, или новый лес окажется некошерным, или выявятся пересечения имен между доменами старого и нового лесов, весь процесс переименования будет остановлен.

Пожалуй, Domain Naming Master – единственная роль, без которой можно безболезненно жить годами. Но, разумеется, лучше, когда всё работает.

Добавление имени личного домена в Azure Active DirectoryAdd your custom domain name to Azure AD

После создания каталога вы можете добавить в него имя личного домена.After you create your directory, you can add your custom domain name.

Войдите на портал Azure с учетной записью глобального администратора каталога.Sign in to the Azure portal using a Global administrator account for the directory.

Найдите и выберите Azure Active Directory на любой странице.Search for and select Azure Active Directory from any page. Затем выберите пользовательские доменные имена > Добавить личный домен.Then select Custom domain names > Add custom domain.

В качестве имени личного доменавведите новое имя Организации, в этом примере — contoso.com.In Custom domain name, enter your organization’s new name, in this example, contoso.com

Выберите Add domain (Добавить предметную область).Select Add domain.

Важно!
Для правильной работы необходимо включить. com, .NETили любое другое расширение верхнего уровня.You must include .com, .net, or any other top-level extension for this to work properly.

Добавлен непроверенный домен.The unverified domain is added

Отобразится страница contoso.com со сведениями о DNS.The contoso.com page appears showing your DNS information. Сохраните эти сведения.Save this information. Он потребуется позже, чтобы создать запись типа TXT для настройки DNS.You need it later to create a TXT record to configure DNS.

Подготовьте облако к работе

Перед тем, как разворачивать серверы, нужно зарегистрироваться в Облаке и создать платежный аккаунт:

Перейдите в консоль управления, затем войдите в Облако или зарегистрируйтесь, если вы еще не зарегистрированы.
На странице биллинга убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе или . Если платежного аккаунта нет, .

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша виртуальная машина, на странице облака.

Необходимые платные ресурсы

В стоимость инсталляции Active Directory входят:

плата за постоянно запущенные виртуальные машины (см. тарифы Yandex Compute Cloud);
плата за использование динамических или статических публичных IP-адресов (см. тарифы Yandex Virtual Private Cloud);
стоимость исходящего трафика из Облака в интернет (см. тарифы Yandex Compute Cloud).

Что делать, если вы изменили регистратор DNS для пользовательского доменного имениWhat to do if you change the DNS registrar for your custom domain name

Если вы измените регистраторы DNS, в Azure AD нет дополнительных задач настройки.If you change the DNS registrars, there are no additional configuration tasks in Azure AD. Вы можете продолжать использовать доменное имя с Azure AD без прерывания.You can continue using the domain name with Azure AD without interruption. Если личное доменное имя используется в Office 365, Intune или других службах, которым необходимы личные домены в Azure AD, обратитесь к документации для этих служб.If you use your custom domain name with Office 365, Intune, or other services that rely on custom domain names in Azure AD, see the documentation for those services.

Интеграция с UNIX

Различные уровни взаимодействия с Active Directory могут быть реализованы в большинстве UNIX-подобных операционных систем посредством LDAP-клиентов, но такие системы, как правило, не воспринимают большую часть атрибутов, ассоциированных с компонентами Windows, например, групповые политики и поддержку односторонних доверенностей. Однако с выходом Samba 4 появилась возможность использовать групповые политики и инструменты администрирования Windows.

Сторонние поставщики предлагают интеграцию Active Directory на платформах UNIX, Linux, Mac OS X и ряд приложений на Java, среди них — продукты корпорации DirectControl и Express, UNAB (Computer Associates), TrustBroker (CyberSafe), PowerBroker Identity Services (BeyondTrust), Authentication Services (Quest Software), ADmitMac (Thursby). Сервер Samba — пакета программ PowerBroker Identity Services совместимости с сетевыми службами Microsoft — может выполнять роль контроллера домена.

Альтернативным вариантом является использование другой службы каталогов, например, 389 Directory Server (ранее — Fedora Directory Server, FDS), eB2Bcom ViewDS или , выполняющих двухстороннюю синхронизацию с Active Directory, реализуя таким образом «отражённую» интеграцию, когда клиенты UNIX- и Linux-систем аутентифицируются на собственных серверах, а клиенты Windows — в Active Directory. Другим вариантом является использование OpenLDAP с возможностью полупрозрачного перекрытия, расширяющей элементы удалённого сервера LDAP дополнительными атрибутами, хранимыми в локальной базе данных.

Active Directory автоматизируются с помощью Powershell.

Сбор данных

Общие ресурсы

В среде Active Directory часто используются сетевые папки и файловые серверы. Эти команды отобразят список общих ресурсов на локальном хосте, список сетевых компьютеров и список шар на удаленном компьютере:

Но что делать, если политика безопасности запрещает использовать сетевые команды? В этом случае нас выручит . Список общих ресурсов на локальном хосте и список общих ресурсов на удаленном компьютере можно посмотреть с помощью команд

Полезный инструмент для поиска данных — PowerView. Он автоматически обнаруживает сетевые ресурсы и файловые серверы с помощью команд и .

Кстати, PowerView встроен в фреймворк PowerShell Empire и представлен двумя модулями:

;
.

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score!
Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя!
Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.

Я уже участник «Xakep.ru»

Детальная политика паролей в центре администрирования Active DirectoryActive Directory Administrative Center Fine-Grained Password Policy

В Windows Server 2008 появилась детальная политика паролей, которая позволяет администраторам настроить несколько политик паролей и блокировки учетных записей в домене.Windows Server 2008 introduced the Fine-Grained Password policy, which allows administrators to configure multiple password and account lockout policies per domain. Это решение позволило гибко управлять более или менее строгими правилами паролей на основе пользователей и групп.This allows domains a flexible solution to enforce more or less restrictive password rules, based on users and groups. У него не было отдельного интерфейса управления, и администраторам приходилось настраивать его с помощью средства Ldp.exe или Adsiedit.msc.It had no managerial interface and required administrators to configure it using Ldp.exe or Adsiedit.msc. В Windows Server 2008 R2 появился модуль Active Directory для Windows PowerShell, который позволил администраторам использовать интерфейс командной строки для управления детальной политикой паролей.Windows Server 2008 R2 introduced the Active Directory module for Windows PowerShell, which granted administrators a command-line interface to FGPP.

В Windows Server 2012 реализован графический интерфейс для настройки детальной политики паролей.Windows Server 2012 brings a graphical interface to Fine-Grained Password Policy. Центр администрирования Active Directory теперь является отправной точкой упрощенного управления детальной политикой паролей для всех администраторов.The Active Directory Administrative Center is the home of this new dialog, which brings simplified FGPP management to all administrators.

Информацию о детальной политике паролей см. в пошаговом руководстве по детальной настройке политик блокировки учетных записей и паролей доменных служб Active Directory (Windows Server 2008 R2).For information about the Fine-Grained Password Policy, see AD DS Fine-Grained Password and Account Lockout Policy Step-by-Step Guide (Windows Server 2008 R2).

7 ответов

129

На любом компьютере, настроенном DNS для DNS-сервера AD, выполните следующие действия:

Пуск -> Run -> nslookup

set type=all
_ldap._tcp.dc._msdcs.DOMAIN_NAME

Замените DOMAIN_NAME на фактическое имя домена, например. example.com . Подробнее здесь .

Для компьютера, который является членом домена, переменная среды LOGONSERVER содержит имя DC, прошедшего проверку подлинности текущего пользователя. Очевидно, что это не все DC в среде с несколькими DC, но если все, что вам нужно, это быстрый способ найти имя контроллера домена, а затем из командной оболочки:

Вернет все переменные среды, начинающиеся с «L», включая имя DC.

Неизменная, супер простая и быстрая опция заключается в том, чтобы запустить ее из командной строки:

Просто замените имя домена на свой домен

Вы также можете запустить несколько других опций, чтобы узнать больше:

получает имя PDC для домена
содержит флажки для другой информации

Попробуйте в вашем приглашении, чтобы получить больше опций!

Это вернет ваш ближайший контроллер домена в Powershell:

В командной строке запустите . Вы получите:

Общая информация о рабочей станции и домене
Для компьютера и пользователя :
- Отличительное имя в AD и какая DC политика была применена из
- Объекты прикладной групповой политики
- Список групп безопасности, входящих в состав

Ниже представлен пример выполнения Gpresult . Вы также можете указать , чтобы получить более подробную информацию.

DNS и DHCP — лучший способ проверить, поскольку в сети могут быть компьютеры Unix /Linux, управляемые контроллером домена AD или действующие в качестве контроллера домена.

Плюс, учитывая, что активный каталог является не чем иным, как версией Microsoft Kerberos, LDAP, dhcp и dns. Было бы лучше понять и отладить вещи на более низких уровнях, чем слой 7+. Это связано с тем, что операционная система будет предировать эти же запросы, а подчеркивание RFC для каждого протокола фактически работает на уровне OSI, а не в «вставке любимого инструмента здесь».

Можно пойти дальше и запросить dhcp для параметров 6, 15 и 44, чтобы получить , и .

Затем, используя dns для проверки _kerberos._tcp, _kpasswd._tcp, _LDAP._TCP.dc._msdcs и _ldap._tcp SRV записей:

Это разбивается на три области: две поддерживаемые протоколом записи DNS-SD:

и (также в UNIX /Linux /OSX + некоторые сети Windows имеют ) для кеберосов
для ldap (openldap, opendc, каталог sun /oracle, ms ad)
— это только расширение Microsoft для ldap для сопоставления контроллера домена.

Репликация в Active Directory

В каталоге хранятся сведения трех типов: данные домена, данные схемы и данные конфигурации. Данные домена реплицируются на все контроллеры домена. Все контроллеры домена равноправны, т.е. все вносимые изменения с любого контроллера домена будут реплицированы на все остальные контроллеры домена Схема и данные конфигурации реплицируются на все домены дерева или леса. Кроме того, все объекты индивидуального домена и часть свойств объектов леса реплицируются в ГК. Это означает, что контроллер домена хранит и реплицирует схему для дерева или леса, информацию о конфигурации для всех доменов дерева или леса и все объекты каталога и свойства для собственного домена.

Контроллер домена, на котором хранится ГК, содержит и реплицирует информацию схемы для леса, информацию о конфигурации для всех доменов леса и ограниченный набор свойств для всех объектов каталога в лесу (он реплицируется только между серверами ГК), а также все объекты каталога и свойства для своего домена.

Рекомендации и ограничения для настраиваемых подразделенийCustom OU considerations and limitations