Управление групповой политикой в организации. Часть 1 – введение в работу с оснасткой GPMC

Введение

В любой организации системные администраторы обязаны обеспечить для пользователей и компьютеров своего предприятия безопасные настройки, которыми можно централизовано управлять и развертывать. Обычно в организациях вся конфигурация определяется, обновляется и распространяется непосредственно при помощи объектов групповой политики. Именно объекты групповой политики позволяют вам рационально управлять всей инфраструктурой вашего предприятия, начиная от незначительных подразделений и групп и заканчивая сайтами и доменами.

Групповые политики – это набор правил, обеспечивающих инфраструктуру, в которой администраторы локальных компьютеров и доменных служб Active Directory могут централизовано развертывать и управлять настройками пользователей и компьютеров в организации. Все настройки учетных записей, операционной системы, аудита, системного реестра, параметров безопасности, установки программного обеспечения и прочие параметры развертываются и обновляются в рамках домена при помощи параметров объектов групповой политики GPO (Group Policy Object). Групповые политики являются компонентом операционной системы Windows и основываются на тысячах отдельных параметров политик, иначе говоря, политик, определяющих определённую конфигурацию для своего применения. Читать далее…

LDAP Policy в Active Directory

Привет.

Вместо предисловия

Данная статья – про Active Directory. Поэтому предполагается, что Вы знаете, что такое CN, DN, RDN, КВН, LDAP, DC, GC, не путаете сайты Active Directory и то, что в IE, а также понимаете, что браузер – это вначале ADSI и только после – всё остальное.

Не надо сразу бежать и применять то, что тут написано, на практике. Ряд приведённых настроек при быстром и решительном применении могут превратить процесс тюнинга службы каталогов в доработку резюме на сайте хехе.ру. Лучше подумайте, спланируйте, продумайте последовательное применение и аккуратно, понемногу проводите изменения.

Вперёд.

Что такое политики LDAP в Active Directory и зачем они нужны

Под термином “политики” в связи с Active Directory обычно имеются в виду групповые политики – мощное и легко расширяемое средство для централизованного управления многими настройками ОС и приложений.

Однако, у этого термина есть и другие варианты применения – например, благодаря объектам, которые относятся к классу queryPolicy, существует возможность тонкой настройки работы контроллеров домена (DC) и серверов глобального каталога (GC), а также ощутимого повышения скорости, надёжности и безопасности их функционирования. Давайте разберёмся что это, и как это можно (и нужно) эффективно использовать.

Базовые операции с политиками

ЦЕЛЬ

Сам класс queryPolicy представляет из себя объект, содержащий в себе “пачку” настроек, которые читаются LDAP-хранилищами. Пачка реализована как многострочные атрибуты lDAPAdminLimits и lDAPIPDenyList, которые можно редактировать вручную, прямо в объекте, а можно “по-красивому”, через утилиту dsmgmt (ранее – через ntdsutil). Читать далее…

Managed Service Accounts – MSA

Привет.

Введение

Управляемые учётных записи служб – MSA – нововведение в Windows Server 2008 R2, призванное ощутимо улучшить безопасность, упростить управление и принести ряд других, мелких, но хороших моментов в такую достаточно известную издревле штуку как управление учётными записями сервисов. Исторически эта задача решалась путём создания пользовательской учётки и обрезания ей лишнего в плане возможностей, но всё же такой подход изначально не очень корректен – и теперь у нас есть новый тип объектов, благодаря которому данная задача решается лучше.

Оглавление

• Преимущества MSA
• Продукты и сервисы, поддерживающие MSA
• Подготавливаем систему к работе с MSA
• Создаём MSA
• Привязываем MSA к серверу
• Добавляем MSA на сервер
• Используем MSA
• Сбрасываем пароль MSA
• Меняем SPN’ы у MSA
• Добавляем MSA в группу Active Directory
• Удаляем MSA

Преимущества MSA

Преимуществ использования специализированной сервисной учётной записи, а не просто пользовательской, достаточно много.

АВТОМАТИЧЕСКАЯ СМЕНА ПАРОЛЕЙ

MSA автоматически меняют свои пароли, снимая данную задачу с плеч администраторов. Вспомним, какие проблемы обычно бывают, когда администратор запускает какой-либо сервис от доменной учётки.

1. Лень менять пароль, поэтому часто ставят пункт “Password never expires”
2. Лень создавать каждой учётке действительно сложный пароль, и менять его по расписанию на такой же сложный
3. Пароль для доменной учётной записи хранится локально на той системе, где он используется для старта сервиса, что крайне небезопасно (грубо говоря, каждый, кто имеет доступ на уровне администратора к системе, может получить все пароли всех учётных записей, от которых стартуют сервисы)
4. В случае смены пароля у сервисной учётной записи, которая используется в нескольких местах, надо везде единовременно поменять этот пароль вручную, а потом на всякий случай проверить работоспособность сервисов Читать далее…