Изменения в AD Windows Server 2012. Часть 2. Корзина AD, FGPP, gMSA, первичные компьютеры

На Windows ITPro вышла увлекательная статья Windows Server 2012 Active Directory Security Changes, посвященная главным изменениям Active Directory в Windows Server 2012. Не так давно была размещена 1-ая часть, посвященная динамическому контролю доступа.
Сейчас мы рассматриваем оставшиеся вопросы, касающиеся инноваций в системе безопасности AD в Windows Server 2012, а конкретно:
Новые функции управления безопасностью в ADAC (графический интерфейс корзины AD и гранулированных политик паролей),
Служебные учетные записи, управляемые группами (Group Managed Service Accounts)
Первичные компы.

Желаю отметить, что язык статьи довольно непростой, потому перевод местами может хромать. Прошу заблаговременно извинить за это.

Новые функции управления безопасностью в ADAC

ADAC в Server 2012 стала основным интерфейсом администрирования AD. На уровне административных функций ADAC даже вытеснила свою предшественницу – оснастку Юзеры и Компы Active Directory в Microsoft Management Console (MMC). Две новых функции в ADAC, которые наверное оценит большая часть админов, — это графический интерфейс ADAC в части восстановления удаленных объектов AD (см. наш пост про нововведения в корзине AD – прим. переводчика) и для конфигурирования опций гранулированных политик паролей (fine-grained password policy – FGPP).

Корзина AD в Windows Server 2012

Корзина AD была в первый раз представлена в Server 2008 R2 и позволяла восстанавливать удаленные объекты AD вкупе с атрибутами. Но огромным недочетом корзины AD было отсутствие графического интерфейса. Админы были обязаны использовать или ldp.exe, или обращаться к PowerShell командлетам, двум инструментам, которые усложняют восстановление объектов AD и замедляют процесс восстановления. (Больше восстановления читайте в нашем посте “ Восстановление удаленных объектов AD: сборник сценариев”)

Конфигурации в AD Windows Server 2012. Часть 2. Корзина AD, FGPP, gMSA, первичные компы
Прирастить

Как показано на рисунке выше, Microsoft добавила отображение контейнера Deleted Objects в интерфейс ADAC Server 2012. Вы сможете просто вернуть удаленный объект, используя ссылки Restore либо Restore To в правой панели ADAC. В Server 2012 ограничения для корзины остались прежними:

Корзина по дефлоту отключена (можно включить через ADAC).
Ваш лес AD должен быть хотя бы на многофункциональном уровне Server 2008 R2.
Вы сможете вернуть объекты исключительно в течение их срока жизни (Deleted Object Lifetime – DOL), который по дефлоту составляет 180 дней.

Больше инфы по корзине AD смотрите в руководстве Microsoft » Active Directory Recycle Bin Step-by-Step Guide.»

Гранулированные политики паролей

2-ое полезное добавление в ADAC, касающееся интерфейса, связано с конфигурацией гранулированных политик паролей (FGPP). Microsoft представила FGPP в Server 2008, чтоб можно было задавать множественные пароли домена Windows и политики блокировки учетных записей, которые связаны с разными пользовательскими либо администраторскими группами AD. Ранее Windows Server поддерживал только одну политику паролей домена. Для поддержки гранулированных политик паролей Microsoft представила новый тип объекта AD, именуемый объект опций пароля (Password Settings Object – PSO. Смотри пост про PSO в действии)

Как и в случае с корзиной AD в Server 2008 Microsoft решила обойтись без графического интерфейса для конфигурации FGPPs. Админам нужно было полагаться на такие инструменты как PowerShell командлеты, Редактор ADSI либо LDIFDE, чтоб задавать PSO. В Server 2012 стало вероятным использовать графический интерфейс ADAC для сотворения новых FGPP и PSO из нового контейнера Password Settings, который находится под контейнером System, что продемонстрировано на рисунке 6. По-прежнему, ваш домен должен находиться хотя бы на многофункциональном уровне Server 2008, чтоб использовать FGPP. Подробности можно почитать в этом руководстве » AD DS Fine-Grained Password Policy and Account Lockout Step-by-Step Guide.»

Конфигурации в AD Windows Server 2012. Часть 2. Корзина AD, FGPP, gMSA, первичные компы
Прирастить

Служебные учетные записи, управляемые группами (Group Managed Service Accounts)

Управляемые служебные учетные записи (Managed Service Accounts – MSAs) — особенный тип доменных учетных записей, появились в AD Server 2008 R2. MSA позволяет разрешить задачи управления паролями при настройке кастомных доменных учетных записей для аутентификации службы. Админы предпочитают определять кастомные учетные записи, которые позволяют им поточнее задавать привилегии приложения, чем использовать интегрированные высокопривилегированные локальные учетные записи (к примеру, локальная система, локальная служба, сетевая служба Local System, Local Service, Network Service) как служебные. Но в отличие от этих интегрированных локальных учетных записей, для кастомных отсутствует автоматическое управление паролями. Потому когда вы используете кастомные служебные аккаунты, вам нужно вручную управлять их паролями.

MSA, в свою очередь, создана для автоматического управления паролями. Управляемые служебные учетные записи также упрощают установку Service Principal Names (SPNs) для службы. К огорчению, MSA, которые были представлены в Server 2008 R2, не были бы применены кластерными (clustered) либо load-balanced службами (к примеру, службы в веб-ферме), которые желали бы вместе использовать один сервисный акк и пароль. В этих случаях админам нужно было вручную синхронизировать пароли экземпляров служб либо реализовывать кастомное решение для автоматической синхронизации паролей.

Служебные учетные записи, управляемые группами, в Server 2012 (gMSAs) решают эту делему с load-balanced службами в веб-фермах. К огорчению, в момент написания этой статьи MSA до сего времени не работал со службами, которые являются частью отказоустойчивого кластера.

Кроме gMSA новенькая служба (а конкретно Microsoft Key Distribution Service) запущена на каждом контроллере домена Server 2012. Эта служба гарантирует, что пароль одного служебного аккаунта, которые экземпляр службы веб-фермы употребляет, синхронизируется меж экземплярами. Чтоб использовать gMSA, ваша схема AD должна быть обновлена до Server 2012 и вам нужен один либо несколько контроллеров домена Server 2012, на которых запущена служба Microsoft Key Distribution Service. Служба автоматом устанавливается на каждый контроллер домена, но по дефлоту ее пуск осуществляется вручную. Только службы, которые запущены на Server 2012, могут использовать gMSA. Вы сможете сделать и администрировать gMSA при помощи PowerShell командлетов. Дополнительную информацию о gMSA можно выяснить в руководстве» Getting Started with Group Managed Service Accounts.»

Первичные компы для перенаправления папки и перемещаемые профили (Primary Computers for Folder Redirection and Roaming Profiles)

Последней принципиальной функцией, которую я желал бы обсудить в этой статье, является возможность указать отдельные компы в AD в качестве первичных для определенных доменных юзеров. Вы сможете использовать эту функцию, чтоб держать под контролем компы, на которые закачаны перемещаемые профили юзеров (users’ roaming profiles) и к которым юзеры получают доступ к их перенаправляемым папкам (redirected folders). На компьютерах, которые не были отмечены как первичные компы, юзеры будут иметь собственный локальный профиль и не получат доступ к своим перенаправляемым папкам (redirected folders).

В эру консьюмеризации ИТ и тенденций BYOD, этот способ – мощнейший инструмент установления связей меж данными и опциями учётных записей юзеров с одной стороны, и определенными компьютерами либо устройствам с другой; делается это для усиления корпоративной безопасности данных.

Функция первичного компьютера базирована на наборе новых опций объектов групповых политик и расширении схемы AD. Когда юзер логинится на компьютере под Windows 8 либо Server 2012, осуществляется проверка статуса 2-ух опций, контролируемых GPO: Download roaming profiles on primary computers only и Redirect folders on primary computers. Проверяется, должен ли атрибут msDS-PrimaryComputer, привязанный к объекту юзера в AD, оказывать влияние на перемещение (roam) профиля юзера либо применение Folder Redirection. Новые опции GPO находятся в контейнерах User ConfigurationPoliciesAdministrative TemplatesSystemFolder Redirection и User ConfigurationPoliciesAdministrative TemplatesSystemUser Profiles GPO.

Вы сможете использовать совместно с ADAC и PowerShell командлеты для наполнения (to populate) атрибута msDS-PrimaryComputer данными из перечня DistinguishedNames учетных записей компов, которые должны быть помечены как первичные компы юзеров. Набросок 7 указывает, как вы сможете использовать ADAC и его интегрированный редактор атрибутов для установления атрибута msDS-PrimaryComputer для юзера по имени Jack.

Конфигурации в AD Windows Server 2012. Часть 2. Корзина AD, FGPP, gMSA, первичные компы
Прирастить

Чтоб поддерживать функцию Primary Computer, ваша схема AD должна быть обновлена Server 2012. Функция может быть применена на доменных компьютерах под Server 2012 Windows 8. Более подробную информацию вы сможете отыскать в блоге Storage Team Blog» Configuring Primary Computers for Folder Redirection and Roaming Profiles in Windows Server 8 Beta.»

Подытоживаем

Dynamic Access Control представляет собой большой шаг вперед в модели авторизации и аудита файлов и папок в Windows с момента представления AD, а может быть и с момента выхода NTFS. Поддержка Dynamic Access Control — существенное изменение в безопасности Server 2012 и AD, не только лишь для инженеров в Microsoft, которые разрабатывают его, да и все, кто будет им воспользоваться. Если вы админ Windows AD либо же системный конструктор, я рекомендую вам кропотливо протестировать Dynamic Access Control и хорошо его выяснить, перед тем как его использовать.

ADAC и PowerShell также заняли главное место в вопросах безопасности, связанными с управлением AD в Server 2012. Подобно Dynamic Access Control ADAC и PowerShell связаны с появление большей упругость в упрощении каждодневного администрирования и конфигурирования AD.

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.