Главная » Windows

Настройка Active Directory Domain Services

Windows

Системным администраторам важно знать, как включить оснастку Active Directory на ПК, работающем в Windows 10. Эта программа помогает защитить данные, управлять ими и контролировать функционирование объектов в своей сети. Для активации оснастки нужно скачать на ПК инструмент RSAT. Установить эту программу удастся только на компьютер, работающий на базе Professional или Enterprise Win 10.

Что такое Active Directory в Windows и для чего это нужно

Компания «Майкрософт» разработала новую программу, позволяющую объединить все объекты сети (компьютеры, роутеры, принтеры, профили пользователей, серверы) в единую систему. Называется это хранилище — Active Directory или Активный каталог (сокращенно AD).

Для реализации этой программы нужен специальный сервер, вернее, контроллер домена. В нем будет храниться вся информация. Через него выполняется аутентификация (через протокол Kerberos) пользователей и различных устройств в сети. Контроллер домена будет мониторить доступ к объектам своей сети, то есть разрешать запрашиваемое действие или, наоборот, блокировать его.

Использование Active Directory имеет ряд преимуществ. Эта программа обеспечивает безопасную работу, упрощает взаимодействие различных объектов одной сети. С помощью AD можно ограничить ряд функций для определенных пользователей. Данные, хранящиеся на таком сервере, защищены от внешнего доступа. Службы AD обеспечивают удобный обмен файлами (на основе технологии DFS), объединяют все объекты в одну систему (поддерживается стандарт LDAP). Возможна интеграция с Windows Server через протокол RADIUS.

Программу Active Directory можно использовать на базе профессиональной редакции Win10. Существует специальный инструмент управления доменами (оснастка ADUC), позволяющий адаптировать AD к своей ОС. Этот адаптер позволяет контролировать и управлять объектами сети. Прежде чем использовать ADUC, рекомендуется установить сервис RSAT, включающий Командную строчку, Power Shell, а также средства удаленного администрирования сервера.

Важно! Active Directory выступает в роли каталога, хранилища информации о пользователях и инфраструктуре сети. Реализация этого проекта осуществляется через контроллер домена. Это сервер контролирует доступ (разрешает или блокирует запросы) к объектам своей сети. AD рекомендуется использовать для больших компаний.

Подготовка окружения

Разворачивать роль AD я планирую на двух виртуальных серверах (будущих контроллерах домена) по очереди.

  1. Первым делом нужно задать подходящие имена серверов, у меня это будут DC01 и DC02;
  2. Далее прописать статические настройки сети (подробно этот момент я рассмотрю ниже);
  3. Установите все обновления системы, особенно обновления безопасности (для КД это важно как ни для какой другой роли).

На этом этапе необходимо определиться какое имя домена у вас будет. Это крайне важно, поскольку потом смена доменного имени будет очень большой проблемой для вас, хоть и сценарий переименования официально поддерживается и внедрен достаточно давно.

Примечание: некоторые рассуждения, а также множество ссылок на полезный материал, вы можете найти в моей статье Пара слов про именование доменов Active Directory. Рекомендую ознакомиться с ней, а также со списком использованных источников.

Поскольку у меня будут использоваться виртуализованные контроллеры домена, необходимо изменить некоторые настройки виртуальных машин, а именно отключить синхронизацию времени с гипервизором. Время в AD должно синхронизироваться исключительно с внешних источников. Включенные настройки синхронизации времени с гипервизором могут обернуться циклической синхронизацией и как следствие проблемами с работой всего домена.

Примечание: отключение синхронизации с хостом виртуализации — самый простой и быстрый вариант. Тем не менее, это не best practic. Согласно рекомендациям Microsoft, нужно отключать синхронизацию с хостом лишь частично 1. Для понимания принципа работы читайте официальную документацию 2 3, которая в последние годы радикально подскочила вверх по уровню изложения материала.

Вообще сам подход к администрированию виртуализованных контроллеров домена отличается в виду некоторых особенностей функционирования AD DS 4 5:

Виртуальные среды представляют особую трудность для распределенных рабочих потоков, зависящих от логической схемы репликации по времени. Например, репликация AD DS использует равномерно увеличивающееся значение (которое называется USN, или номер последовательного обновления), назначенное транзакциям в каждом контроллере домена. Каждый экземпляр базы данных контроллера домена также получает идентификатор под названием InvocationID. InvocationID контроллера домена и его номер последовательного обновления вместе служат уникальным идентификатором, который связан с каждой транзакцией записи, выполняемой на каждом контроллере домена, и должны быть уникальны в пределах леса.

На этом основные шаги по подготовке окружения завершены, переходим к этапу установки.

Сервис Active Directory и Битрикс24

Расскажем об интеграции, о которой нас часто просят клиенты, на примере компании Зеленый сад. Речь пойдет о сервисе Active Directory (далее AD). AD — это роль сервера, которая из одного места управляет всеми доступами и разрешениями в локальной сети.

Задача состояла из следующих пунктов:

  • сотрудники компании Зеленый сад авторизуются в Битрикс24 с такими же учётными данными, как в AD;
  • карточка сотрудника содержит аналогичную информацию, что и в пользовательском профиле AD;
  • назначать права для работы в Битрикс24 по аналогии с AD и управлять ими из сервиса, а не из портала.

дополнительного модуля AD/LDAP интеграция (ldap)Панель управления → Настройки → Настройки продукта → Модули

После добавления модуля создается новый список с настройками для нужного сервера.

  • В закладке Настройка полей выполняется сопоставление полей. Можно изменять и добавлять поля.
  • На вкладке Группы вносятся соответствия групп AD и Битрикс24.
  • В закладке Синхронизация указывается промежуток повторной синхронизации.

первоисточником

Перед импортом данных в Битрикс24 важно убедиться, что в AD заполнены все нужные поля и сведения по принадлежности сотрудников к отделам компании корректны.

Электронная почта

Организация и Отдел необходимы для структуры компании.

Если вся информация по сотруднику в AD занесена в полном объеме, то в Битрикс24 попадут корректные данные без ошибок синхронизации:

При увольнении сотрудника достаточно будет отключить его учетную запись в AD, и специалист автоматически попадет в список уволенных в портале Битрикс24.

После проведения подготовительных работ приступаем к импорту пользователей из AD в Битрикс24.

Далее выбираем параметры переноса (какие поля будут учитываться), чтобы запустить импорт учетных записей в Битрикс24. В результате выполненных действий в Битрикс24 вы увидите информацию по пользователям, с учетом штатной сетки. Скрин примера*:

Управлять учетными записями в ходе настроенной синхронизации данных между AD и Битрикс24 теперь легко из одной точки для всех локальных сотрудников. Менеджеры пользуются единой авторизацией для входа на ресурсы компании.

Используйте коробочную версию Битрикс24 для своего бизнеса, чтобы быть уверенным в возможности реализации любых сценариев работы корпоративного портала и нужных интеграций. Главное — правильно выбрать компанию-интегратора, который реализует нужный функционал.

Обращайтесь к специалистам ПУСК через форму на сайте или по телефону +7 (495) 118-39-18. Поможем с выбором тарифа и проконсультируем по нужным настройкам.

* Часть скринов приведены не с портала Зеленый сад. Мы стремились максимально полно передать принцип интеграции, но при этом не стали освещать реальные данные клиента по причине конфиденциальности информации.

Для Windows 7

Нажимаем кнопку «Пуск», в строке «Найти программы и файлы» набираем mmc, нажимаем на строку с найденной строкой

Открывается окно со списком консолей, в данном случае он пуст

Добавляем оснастку через меню, либо через нажатие комбинации клавиш CTRL+M

Открывается список доступных оснасток, в котором находим нужную нам «Локальные пользователи и группы», выделяем и нажимаем кнопку «Добавить»

Так как мы собираемся настраивать локальные группы безопасности на данном компьютере, то выбираем пункт «Локальный компьютер: (на котором запущено окно этой программы-консоли)» и нажимаем кнопку «Готово»

Опять попадаем в окно добавления, удаления оснасток, просто нажимаем «ОК» для выхода

Для Windows 7

Добавленная оснастка появляется в списке установленных оснасток

Для Windows 7

Теперь наша задача сохранить созданную нами консоль, делаем это через меню «Файл»«Сохранить как…»

Для Windows 7

Открывается стандартное окно сохранения файла, в котором необходимо указать место, где будет размещаться консоль и имя. В данном случае я назвал консоль «Консоль ГРУППЫ» и поместил ее на рабочий стол

Для Windows 7

Все, теперь доступ к оснастке «Локальные группы и пользователи» можно получить просто открыв сохраненную нами консоль

Для Windows 7

Настройка локальных групп безопасности.

Теперь, когда все инструменты под рукой, переходим к управлению локальными группами безопасности. Дальнейшие действия я буду показывать на примере окон Windows 7, так как они практически идентичны с окнами Windows XP.

Итак, открываем любым способом оснастку «Локальные пользователи и группы», раскрываем дерево оснастки и нажимаем на «Группы». В правом окне мы видим текущие локальные группы.

Настройте аутентификацию на сервере AD FS

После того, как вы получили ссылку для входа в консоль управления вы можете настроить сервер AD FS так, чтобы он сообщал консоли управления о каждой успешной аутентификации и возвращал пользователя на указанный адрес для входа в консоль управления.

Инструкции в этом разделе написаны для ОС Windows Server 2016, для других версий шаги могут отличаться.

Чтобы настроить аутентификацию на сервере AD FS:

  1. Создайте отношение доверия с проверяющей стороной
  2. Настройте Claims Mapping

Создайте отношение доверия с проверяющей стороной

AD FS требует создавать отношение доверия с проверяющей стороной (relying party trust) для каждого поставщика услуг (Service Provider, SP), который будет использовать AD FS для аутентификации.

Создайте отношение доверия с проверяющей стороной для федерации, созданной в облаке:

  1. Войдите на ваш сервер AD FS и откройте Server Manager.

  2. Откройте консоль управления AD FS: ToolsAD FS Management.

  3. В списке действий выберите Add Relying Party Trust.

  4. Откроется окно помощника. На первой странице выберите Claims aware и нажмите Start.

  5. Выберите Enter data about the relying party manually и нажмите Next.

  6. Задайте имя, например , и нажмите Next.

  7. На следующем шаге вас попросят указать сертификат для подписи токенов. Этот шаг необязательный, поэтому нажмите Next.

  8. На шаге Configure URL выберите Enable support for the SAML 2.0 WebSSO protocol и укажите ссылку для входа в консоль, полученную ранее. После этого нажмите Next.

  9. На следующей странице введите в качестве идентификатора эту же ссылку для входа в консоль и нажмите Add. После этого нажмите Next.

  10. На следующей странице можно выбрать, кому будет доступна аутентификация с помощью этой федерации. По умолчанию выбрана политика Permit for everyone, которая разрешает доступ для всех пользователей.

    Вы можете выбрать другую политику. Например, чтобы разрешить доступ только для отдельной группы пользователей, выберите Permit specific group и нажмите на слово <parameter>, чтобы выбрать, для каких групп разрешить доступ. Подробнее о политиках управления доступом.

  11. Нажмите Next.

  12. На странице Ready to Add Trust проверьте введенные данные и нажмите Close.

Настройте Claims Mapping

Когда AD FS аутентифицирует пользователя, она отправляет в SAML-сообщение с подтверждением об успешной аутентификации. В элементе NameID в этом сообщении должно указываться, кто именно был аутентифицирован. Для этого необходимо настроить соответствие данных пользователя элементам SAML-сообщения.

Важно

Идентификатор NameID должен быть уникальным для всех пользователей федерации. В качестве идентификатора рекомендуется указывать User Principal Name (UPN) или адрес электронной почты.

Чтобы настроить соответствие данных пользователя элементам SAML-сообщения:

  1. В консоли управления AD FS в блоке Relying Party Trusts нажмите правой кнопкой мыши на созданном ранее отношении доверия с проверяющей стороной и выберите Edit Claim Issuance Policy.
  2. В открывшемся окне нажмите Add Rule.
  3. Выберите Send LDAP Attributes as Claims и нажмите Next.
  4. На следующей странице настройте, что будет передаваться в полях сообщения:

    1. В поле Claim rule name задайте имя правила, например Claims mapping

    2. В поле Attribute Store выберите Active Directory.

    3. Укажите, что будет передаваться в качестве Name ID — уникального идентификатора пользователя. Для этого добавьте строчку в списке Mapping of LDAP attributes:

      В LDAP Attribute выберите User-Principal-Name или E-Mail-Addresses.

      В Outgoing Claim Type выберите Name ID.

    4. Чтобы пользователь мог обратиться в службу технической поддержки из консоли управления, настройте, чтобы сервер передавал адрес электронной почты (E-Mail Address и имя пользователя (Name):

      Вы также можете передавать отдельно имя и фамилию пользователя. Для этого вместо Name используйте типы Given Name и Surname.

  5. Нажмите Finish, затем нажмите OK, чтобы закрыть окно Edit Claim Issuance Policy.

Что такое делегирование AD

Само делегирование — это передача части разрешений и контроля от родительского объекта другой ответственной стороне.

Известно, что каждая организация имеет в своем штабе несколько системных администраторов. Разные задачи должны возлагаться на разные плечи. Для того чтобы применять изменения, необходимо обладать правами и разрешениями, которые делятся на стандартные и особые. Особые — применимы к определенному объекту, а стандартные представляют собой набор, состоящий из существующих разрешений, которые делают доступными или недоступными отдельные функции.

Установка доверительных отношений

В AD есть два вида доверительных отношений: «однонаправленные» и «двунаправленные». В первом случае один домен доверяет другому, но не наоборот, соответственно первый имеет доступ к ресурсам второго, а второй не имеет доступа. Во втором виде доверие “взаимное”. Также существуют «исходящие» и «входящие» отношения. В исходящих – первый домен доверяет второму, таким образом разрешая пользователям второго использовать ресурсы первого.

При установке следует провести такие процедуры:

  • Проверить сетевые связи между котроллерами.
  • Проверить настройки.
  • Настроить разрешения имен для внешних доменов.
  • Создать связь со стороны доверяющего домена.
  • Создать связь со стороны контроллера, к которому адресовано доверие.
  • Проверить созданные односторонние отношения.
  • Если возникает небходимость в установлении двусторонних отношений – произвести установку.

Структура объектов

Объекты GPO разбиваются на две отдельные части: шаблон групповой политики (GPT) и контейнер групповой политики (GPC). Шаблон групповой политики отвечает за сохранение определенных параметров, созданных в объекте групповой политики, и имеет важное значение для его успеха. Он сохраняет эти настройки в большой структуре папок и файлов. Чтобы настройки успешно применялись ко всем объектам пользователя и компьютера, GPT должен быть реплицирован для всех контроллеров в домене.

Контейнер групповой политики — это часть объекта групповой политики, хранящегося в Active Directory, который находится на каждом контроллере домена в домене. GPC отвечает за ведение ссылок на клиентские расширения (CSE), путь к GPT, пути к пакетам установки программного обеспечения и другие ссылочные аспекты объекта групповой политики. GPC не содержит большого количества информации, относящейся к соответствующему объекту групповой политики, но он необходим для функциональности GPO. Когда политики установки программного обеспечения настроены, GPC помогает поддерживать ссылки, связанные с объектом групповой политики и сохраняет другие реляционные ссылки и пути, хранящиеся в атрибутах объекта. Знание структуры GPC и способа доступа к скрытой информации, хранящейся в атрибутах, окупится, когда вам нужно будет выявить проблему, связанную с групповой политикой.

В Windows Server 2003 Microsoft выпустила решение для управления групповыми политиками как средство объединения данных в ​​виде оснастки, известной как консоль управления групповыми политиками (GPMC). GPMC предоставляет интерфейс управления, ориентированный на GPO, что значительно упрощает администрирование, управление и местоположение объектов групповой политики. Через GPMC вы можете создавать новые объекты групповой политики, изменять и редактировать объекты, вырезать/копировать/вставлять объекты групповой политики, создавать резервные копии объектов и выполнять результирующий набор политик.

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (Пока оценок нет)
Загрузка...
0 6 просмотров
Понравилась статья? Поделиться с друзьями:
Вам также может быть интересно
Windows 0 4 просмотров
Как изменить имя папки пользователя Windows 10?
Главная → Windows 10 → Как изменить имя пользователя в windows 10, удалить и
Windows 0 8 просмотров
Задаем приоритет процесса при запуске в Windows и Linux
Иногда возникает потребность настроить приоритет процесса заранее — еще до его запуска, чтобы не заходить
Adblock
detector