Групповые политики Active Directory: настройки

Изменение атрибутов на вкладках свойств учетной записи пользователя

В большинстве случаев, дополнительные свойства пользовательских учетных записей конфигурируются при помощи оснастки «Active Directory – пользователи и компьютеры». Для изменения объекта пользователя откройте диалоговое окно свойств учетной записи. В данном диалоговом окне, атрибуты объекта пользователя распределяются по нескольким обширным категориям на различных вкладках.

Рассмотрим шесть основных вкладок, которые в первую очередь подлежат изменениям с соответствующими атрибутами:

• Вкладка «Общие» (рисунок 6). Данная вкладка содержит свойство имени, которое настраивается при создании объекта пользователя, а также его основное описание и контактные данные. На данной вкладке вы можете сконфигурировать девять атрибутов объекта пользователя, а именно: имя пользователя (атрибутgivenName), фамилию (атрибутsn), инициалы (атрибутinitials), выводимое имя (атрибутdisplayName), описание объекта (атрибутdescription), номер комнаты (атрибутphysicalDeliveryOfficeName), контактный номер телефона (атрибутtelephoneNumber), адрес электронной почты (атрибутmail), а также адрес веб-сайта пользователя (атрибутwWWHomePage). Кроме того, на данной вкладке вы можете указать дополнительный телефонный номер, который указывается атрибутомotherTelephone. Также вы можете указать дополнительный веб-сайт, определяемый атрибутомurl. Если вы добавите более двух номеров телефона или веб-сайтов, они будут записываться в последние атрибуты через точку с запятой;

Рисунок 6. Вкладка Общие

• Вкладка «Адрес» (рисунок 7). На этой вкладке можно указать контактные сведения о месте проживания сотрудника. Для редактирования доступны шесть текстовых полей и, соответственно, шесть атрибутов. Можно изменять следующие параметры: улицу, на которой живет сотрудник (атрибутstreetAddress), номер дома, который можно указать в текстовом поле «Почтовый ящик» (атрибутpostOfficeBox), город, в котором живет пользователь (атрибутl). Помимо этого можно указать область или край (атрибутst), почтовый индекс (атрибутpostalCode), страну (за этот параметр отвечают три атрибута, а именноc– буквенное сокращение страны,co– название страны,countryCode– код страны).

Рисунок 7. Вкладка Адрес

• Вкладка «Учетная запись» (рисунок . Для администрирования, данная вкладка является самой важной, так как именно здесь можно настроить имена входа, пароль и параметры учетной записи. Здесь можно задать следующие атрибуты: имя входа пользователя (атрибутuserPrincipalName), имя входа пользователя пред-Windows 2000 (атрибутsAMAccountName), время входа пользователя (определяется атрибутомlogonHoursв шестнадцатеричном формате). Также можно указать компьютеры, на которые пользователь может выполнять вход (атрибутuserWorkstations). Если учетная запись пользователя заблокирована, то можно ее разблокировать, установив соответствующий флажок. Помимо этого, можно добавить следующие параметры учетной записи: требовать смены пароля при следующем входе в систему, запрещение смены пароля пользователем, установка неограниченного срока действия пароля и прочее. Также можно указать срок действия учетной записи (атрибутaccountExpires).

Рисунок 8. Вклада Учетная запись

• Вкладка «Профиль» (рисунок 9). На этой вкладке можно настроить путь к профилю пользователя (атрибутprofilePath), сценарий входа (атрибутscripPath), а также домашнюю папку указав локальный путь (атрибутhomeDirectory) или сетевой диск (атрибутhomeDrive).

Рисунок 9. Вкладка Профиль

• Вкладка «Телефоны» (рисунок 10). Текущая вкладка предназначена для заполнения таких контактных сведений о пользователе, как номера его телефонов. На этой вкладке доступно для редактирования шесть параметров, а именно: домашний, в котором можно указать домашний номер телефона пользователя (атрибутhomePhone), номер пейджера (атрибутpager), номер мобильного телефона (атрибутmobile). Также можно указать номер факса (атрибутfacsimileTelephoneNumber) или номер IP-телефона (атрибутipPhone). Помимо этого, на данной вкладке размещено текстовое поле«Заметки», сопоставленное с атрибутомinfo, которое используется для занесения дополнительной информации. Также можно добавить дополнительные номера телефонов (например, за дополнительный номер мобильного телефона отвечает атрибутotherMobile, за дополнительный номер пейджера –otherPager, за дополнительные номера домашнего телефона, факса и IP-телефона, соответственно,otherHomePhone,otherFacsimileTelephoneNuberиotherIpPhone).

Рисунок 10. Вкладка Телефоны

• Вкладка «Организация» (рисунок 11). Эта вкладка содержит такую информацию, которая относится к должности, отделу пользователя и т.п. Для изменения на этой вкладке доступны пять следующих опций: должность данного сотрудника (атрибутtitle), название отдела (атрибутdepartment), наименование организации (атрибутcompany). Помимо этого на данной вкладке можно указать непосредственного начальника для текущего пользователя (атрибутmanager), а также просмотреть всех прямых подчиненных в поле«Прямые подчиненные»

Рисунок 11. Вкладка Организация

Настройка

Для того, чтобы настроить интеграцию с AD/LDAP, перейдите в Администрирование > Расширения.

Перейдите в Active Directory или LDAP и поставьте флажок Включить интеграцию. Чтобы добавить новую запись, нажмите Добавить элемент.

Появится окно с параметрами.

1. Подключение к серверу

Сначала настройте подключение ELMA365 к серверу AD/LDAP.

Наименование — укажите, как данная интеграция будет называться в общем списке интеграций.

Адрес сервера — укажите адрес, по которому производится обращение к серверу, а также порт.

Пользователь — укажите имя пользователя, используемое для авторизации на LDAP-сервере.

Пароль — укажите пароль к этой учетной записи.

Далее нужно заполнить настройки подключения и импорта пользователей.

2. Подключение и импорт пользователей

начало внимание

У Active Directory эти параметры будут заполнены автоматически, но для LDAP их потребуется ввести вручную.

конец внимание

Шаблон авторизации — укажите доменное имя, по которому производится обращение к серверу. При необходимости можно добавить логин пользователя, например, company\{$login}.

Путь к пользователям — путь к пользователям указывается при помощи синтаксиса строк подключения ADSI:

OU — Organization Unit, организационный блок, который содержит такие объекты, как пользователи, контакты, группы и др.

CN — Common Name, общее имя. Пользователь, контакт, группа или другой объект, который, как правило, не имеет дочерних объектов.

DC — Domain Component, компонент доменного имени.

Например, чтобы получить пользователей корневой группы Users домена , используется путь «cn=Users, dc=company, dc=com».

Фильтр для импорта — фильтр, который используется в запросах к LDAP-серверу при импорте пользователей.

Далее необходимо настроить соответствие между полями ELMA365 и LDAP:

Параметр «Логин» — укажите поле, в котором на вашем LDAP-сервере хранится логин пользователя, например, sAMAccountName; пользователь, импортированный из LDAP, будет входить в ELMA365 под этим именем. 

Параметр «Имя» — укажите поле, в котором на вашем LDAP-сервере хранится имя пользователя, например, name;

Аналогичным образом настройте параметры Фамилия, Отчество, Рабочий телефон, Мобильный телефон, E-mail.

3. Автоматические настройки

Здесь вы можете включить или отключить автоматическую синхронизацию и импорт пользователей.

При синхронизации все изменения, внесенные в учетные записи AD/LDAP переносятся в связанные с ними учетные записи пользователей в ELMA365. Это может быть блокировка пользователей, изменение фамилии, телефона и других персональных данных.

При автоматическом импорте новые пользователи AD/LDAP сразу же будут добавлены в ELMA365.

Установите частоту синхронизации в минутах исходя из регламентов вашей компании.

import_ad_

Возможные проблемы

В процессе активации AD и RSAT может возникнуть ряд трудностей, например, заранее не активирована опция запуска программ от имени иного пользователя. К тому же надо помнить, что средство удаленного управления невозможно установить на ПК, работающем на Домашней или Стандартной версии Win 10. Инструмент RSAT удастся добавить только в Корпоративную или Профессиональную ОС.

Находится это средство на сайте «Майкрософт». Разработчики предлагают программы для конкретной версии Win 10. Если тип редакции не указан, нужно использовать RTM (полный выпуск ОС Виндовс) для скачивания RSAT.

Для того чтобы загрузить дополнительные компоненты для работы на удаленном сервере, не нужно искать специальное ПО. Выполнить это действие удастся с помощью Мастера Add Features Wizard. Рекомендуется заранее добавить дублер контроллера домена для предупреждения возможных сбоев в работе.

Установите RSAT для версий и ниже

Установка RSAT и включение Active Directory в более старой версии Windows 10 занимает немного больше времени. Имейте в виду, что ограничение для редакций Enterprise и Professional по-прежнему действует. Давайте посмотрим, как включить Active Directory в версиях 1803 и ниже.

1. Запустите браузер вашего компьютера.
2. Перейдите в Центр загрузки Microsoft и найдите Средства удаленного администрирования сервера для Windows 10.
3. Нажмите кнопку «Скачать».
4. Выберите последнюю версию, чтобы обеспечить максимальную совместимость.
5. Нажмите кнопку «Далее» и дождитесь завершения загрузки.
6. Затем нажмите клавишу «Win» на клавиатуре.
7. Поиск панели управления.
8. На панели управления нажмите на вкладку «Программы».
9. Далее выберите «Программы и компоненты».
10. Нажмите «Включить или отключить функции Windows».

11. Разверните раздел «Инструменты удаленного администрирования сервера» в меню.
12. Далее выберите «Инструменты администрирования ролей».
13. Выберите «Инструменты AD LDS и AD DS».
14. Установите флажок «Инструменты AD DS».

15. Нажмите кнопку «ОК».

Параметр «Администрирование» теперь должен появиться в меню «Пуск». Вы должны найти там все инструменты Active Directory, и вы можете использовать и изменять их через это меню.

Azure Active Directory

Azure Active Directory (Azure AD) — облачная служба управления удостоверениями и доступом. Она нужна для создания учетных записей пользователей и управления ими и применяется в облачных сервисах Microsoft, таких как Azure, Office 365, SharePoint. Если в AD для аутентификации пользователей служит Kerberos, то здесь в той же роли используется OAuth 2.0.

Синхронизация AD и Azure AD происходит по трем сценариям.

1. Сценарий синхронизации каталога. Он позволяет синхронизировать с облаком новые учетные записи пользователей и групп, при этом логин у пользователя синхронизируется с AD, а пароль придется сменить, так как он не синхронизируется.
2. Сценарий синхронизации паролей дает возможность пользователям логиниться в облачный сервис с паролем от локальной учетной записи AD. При этом синхронизируется логин и хеш пароля.
3. Сценарий единого входа обеспечивает проверку подлинности пользователей в локальном каталоге AD и позволяет реализовать сценарий единого входа с использованием корпоративных учетных данных — за счет синхронизации токенов доступа.

Про атаку на сценарий единого входа много рассказать не могу, и для него нужны права администратора. Так как пароль в данном случае передается между Azure AD Connect и Azure ServiceBus в открытом виде, то есть возможность его перехватить. FileAzureadHookDLL позволяет внедрить DLL и получить пароль пользователя во время соединения. В качестве параметра данное приложение принимает PID процесса AzureADConnectAuthenticationAgentService[*].

Сценарий синхронизации паролей

Для нас особенно интересен сценарий синхронизации паролей (PHS). Для синхронизации данных в AD есть приложение Azure AD Connect, которое извлекает данные из AD и передает их в AAD. За синхронизацию отвечает служба DCSync.

Схема синхронизации AzureAD Connect

При создании соединения на хосте заводится новая база данных, при этом используется LocalDB для SQL Server. Мы можем просмотреть информацию о работающем экземпляре с помощью инструмента

Пример работы

База данных поддерживает Azure AD Sync — в ней хранятся метаданные и конфигурации для службы. Зашифрованный пароль находится в таблице _management_agent в поле encrypted_configuration, и для его расшифровки используется библиотека C:\Program Files\Microsoft Azure AD Sync\Binn\ Расшифровывать можно при помощи

Пример работы скрипта

Как видишь из конфигурации безопасности, если получится скомпрометировать сервер с Azure AD Connect и получить доступ либо к ADSyncAdmins, либо к локальным группам администраторов, то открывается возможность заполучить учетку, которая может выполнять DCSync.

Конфигурации безопасности

Сценарий синхронизации каталога

В этом сценарии к одной и той же учетной записи в AD и AAD применяются разные пароли, что делает неактуальной атаку на сессию синхронизации. Но так как остальные учетные данные в случае синхронизации будут совпадать, мы можем провести разведку для AAD, и ее результаты в большинстве будут актуальны для AD.

Для удобства будем использовать Azure CLI, это инструмент для Linux, который используют в сетях Windows. Начинаем с команды az login — она сгенерирует локальные токены OAuth, откроет окно браузера на странице авторизации, и ты сможешь войти под уже имеющимся пользователем. Следующая команда позволяет получить список пользователей, параметр output определяет формат представления данных, а query — какие данные выводить.

az ad user list --output=json --query='[].{UPN:userPrincipalName,Name:displayName,Email:mail,UserId:mailNickname,Enabled:accountEnabled}'

Вот некоторые другие возможности.

Список групп:

az ad group list --output=json --query='[].{Group:displayName,Description:description}'

Список пользователей в определенной группе:

az ad group member list --output=json --query='[].{UPN:userPrincipalName, Name:displayName, UserId:mailNickname, Enabled:accountEnabled}' --group='<group name>'

Список приложений:

az ad app list --output=json --query='[].{Name:displayName,URL:homepage}'

Все службы:

az ad sp list --output=json --query='[].{Name:displayName,Enabled:accountEnabled,URL:homepage}'

Информация о конкретной службе:

az ad sp list --output=json --display-name='<display name>'

Оргструктура

Организационные подразделения намного гибче и проще в управлении, чем в доменах. Оргединицы предоставляют вам почти неограниченную гибкость, поскольку вы можете перемещать их, удалять и создавать новые подразделения по мере необходимости. Однако домены гораздо более жесткие в своих настройках структуры. Домены могут удаляться и создаваться заново, но этот процесс дестабилизирует среду и его следует избегать, когда это возможно.

Сайты представляют собой коллекции IP-подсетей, которые имеют быструю и надежную связь между всеми хостами. Другим способом создания сайта является подключение к локальной сети, но не соединение WAN, так как соединения WAN значительно медленнее и менее надежны, чем соединения LAN. Используя сайты, вы можете контролировать и уменьшать объем трафика, который проходит по вашим медленным каналам глобальной сети. Это может привести к более эффективному потоку трафика для задач производительности. Он также может снизить затраты на WAN-связь для услуг с оплатой за бит.