Экономьте время на администрировании Active Directory

 СЕРГЕЙ ЯРЕМЧУК, фрилансер. Автор более 800 статей и шести книг. С «СА» с первого номера. Интересы: сетевые технологии, защита информации, свободные ОС

Экономьте время на администрировании Active Directory

Служба каталогов Active Directory – мощный и один из наиболее важных компонентов распределенной компьютерной системы, который дает гибкость в распределении ресурсов. Но в то же время стандартные инструменты, входящие в состав ОС Windows не во всех случаях обеспечивают должный уровень управления AD.

По мере роста количества пользователей и ресурсов, к которым должен быть предоставлен доступ, управление Active Directory даже внутри отдельного домена заметно усложняется. А учитывая, что администрированием может заниматься несколько человек, через некоторое время ситуация может стать неуправляемой, а сама система потребует серьезного аудита. Для администрирования Active Directory используются несколько инструментов, встроенных в Windows 2000/2003 Server, что не всегда удобно и требует некоторого времени на их полноценное освоение. Консоль управления групповыми политиками (Group Policy Management Console – GPMC), которая появилась в 2003 году, обеспечивает пользователю более удобный интерфейс управления политиками Windows на базе MMC (Microsoft Management Console). В его состав входит набор сценариев, предназначенных для автоматизации типовых задач управления объектами групповой политики. Но в то же время и его возможностей часто бывает недостаточно.

Утилита Active Administrator

Корпорация ScriptLogic специализируется на разработке решений, предназначенных для администрирования сетей Windows. Одним из выпускаемых продуктов является Active Administrator, простой в использовании инструмент, позволяющий эффективно управлять групповыми политиками и Active Directory, информировать обо всех значительных изменениях, проводить всесторонний аудит, значительно экономя время на администрирование.

Программа, к сожалению, не бесплатна, стоимость лицензии зависит от количества объектов в Active Directory. Сама лицензия привязана к Organizational Unit, поэтому применение ее с иным OU невозможно.

Для определенных административных целей используются шаблоны Active Templates. Каждый шаблон определяет разрешения, которые требуются для определенных задач. С помощью таких шаблонов можно легко делегировать некоторые функции пользователям и гарантируют последовательное назначение разрешений в пределах Active Directory. Программа контролирует состояние установленных с помощью Active Templates разрешений, права, не соответствующие действующей модели безопасности, автоматически восстанавливаются. Администратор может самостоятельно создавать необходимые шаблоны, как с нуля, так и на основе уже имеющихся. Интерфейс позволяет легко найти необходимый объект, при этом в другом окне будут отображены все разрешения. Для удобства их отбора можно использовать систему фильтров.

Консоль управления предоставляет единый интерфейс для управления, планирования, редактирования, резервирования и восстановления групповых политик. Поддерживается функциональность инструмента, известного как результирующий набор политик (Resultant Set of Policies – RSoP), появившаяся в Windows 2003 Server, задача которого – упростить измерение накопительных настроек групповой политики, применяемых к пользователю или компьютеру. Это позволяет администраторам планировать сценарии перемещения объекта. Active Administrator автоматически сохраняет всю историю изменений групповых политик, давая тем самым возможность при необходимости сравнить новые настройки, быстро осуществить возврат к старым настройкам. Изменения политик производятся не напрямую в рабочую среду, а в Offline Repository. Для оценки эффекта созданные таким образом политики сравниваются с действующими, в том числе и с использованием RSoP. Удобно, что редактирование Offline Repository может быть осуществлено администраторами, имеющими доступ к политикам в режиме только для чтения. Но применяют их только те, кто имеет соответствующие права. Средствами программы возможны копирование и репликация групповых политик между доменами. Для контроля изменений в Active Directory и групповых политик Active Administrator анализирует журнал. Воспользовавшись системой фильтров, администратор всегда узнает, кто и когда внес эти изменения. Кроме того, при возникновении некоторых событий администратор оповещается посредством электронной почты. И наконец, программа предоставляет полноценные отчеты по установкам Active Directory и групповых политик, по безопасности, классам объектов и прочее. Отчеты экспортируются в файлы форматов RTF, PDF, HTML, XLS, TIF, RDF, TXT.

Установка Active Administrator

Для того чтобы скачать файл, необходимо зарегистрироваться на сайте, указав персональные данные и пароль, которым будете пользоваться. После чего на указанный почтовый адрес придет ссылка для закачки. В архиве «весом» 45 Мб два файла: AAServerSetup предназначен для установки на сервер, а с помощью AAConsoleSetup необходима для установки удаленной консоли управления. Системные требования для компьютера, на который устанавливается Active Administrator, невелики. Требуется процессор класса Pentium 600 Мгц с 256 Мб оперативной памяти с Windows 2000 и выше. Кроме этого, для хранения информации может использоваться Microsoft SQL Server Desktop Engine, который устанавливается по умолчанию, либо имеющийся SQL Server. В последнем случае при установке следует выбрать режим Custom и отключить инсталляцию MSDE. Программа установки потребует, чтобы вы указали каталог, который будет использован для хранения информации. На этом этапе создаем локальную базу событий безопасности, в которую будет заноситься информация о событиях безопасности. Заполняем поля и выбираем метод аутентификации для доступа к базе: Windows или SQL Server. В результате будет созданный разделяемый ресурс ActiveAdministrator, имеющий по умолчанию права Full Control для Everyone.

Далее запускается Database Maintenance Wizard, задача которого – создать базу данных и помочь в настройке сервисов истории групповых политик (Group Policy History), восстановления Active Template (Active Template Auto-Repair service) и сервиса восстановления информации. Для каждого необходимо указать домен и пользователя для регистрации (рис. 1).

Рисунок 1. Настройка сервиса Active Template Auto-Repair

При настройке параметров Auto-Repair-сервиса возможна настройка оповещения по электронной почте, выбрав Configure e-mail Setting, указываем почтового сервера и адрес, на который они будут отсылаться. Если используется Windows 2003 с SP1, Active Administrator может восстанавливать пароли к удаленным счетам. Желательно сразу же после настройки сервиса восстановления нажать Backup Now для создания резервной копии. На этом установка сервера Active Administrator заканчивается.

Консоль можно установить как на любой компьютер в сети, так и на тот, на котором стоит сервер Active Administrator. Каких-либо особенностей при установке консоли нет.

Настройка базы аудита событий

Программа установки позволяет создать базу событий безопасности для локальной системы MSDE 2000. Вероятно, может понадобиться перенести ее на SQL Server. Для создания такой базы выбираем «Creating Auditing Database» в меню «Пуск». После этого появится знакомый мастер. На первом шаге которого в выпадающем списке выбираем new database и далее действуем как во время установки, заполняя нужные поля. После установки базы данных необходимо с помощью Active Administrator, либо Active Directory Users с MMC и разрешить аудит в Default Domain Controllers Policy. После чего выполнить gpupdate. Следующий шаг, настройка утилиты оповещения Event Configuration Utility. В появившемся окне (рис. 2) во вкладке «Event Definitions» выбираем события, при появлении которых мы хотим получать оповещение. Список адресов, которым будет отсылаться уведомление, вводится во вкладке «Defailt Email Adresses». Но можно для отдельного события указать специфический электронный адрес, для этого нужно вызвать контекстное меню, щелкнув по нему правой кнопкой мышки. Если еще имеются сервисы с включенным мониторингом событий, добавить их контроль можно во вкладке «Install DC Agents». На этой же странице отображается статус агентов и загружаются новые файлы, содержащие события. Все зарегистрированные события сохраняются затем в файле с расширением edf.

Рисунок 2. Настройка сервиса Event Configuration Utility

Работа с Active Administrator Console

При первом запуске консоли управления вам предстоит ввести лицензионный ключ, если у вас его нет, но выбираем «Begin Evaluation» и пользуемся программой в течении 30 дней, без всяких ограничений функциональности.

Консоль состоит из 10 вкладок:

• Group Policy History – здесь можно отследить историю изменений групповых политик и при необходимости произвести откат к предыдущему состоянию.
• Group Policy Offline Repository – здесь создаются и редактируются GPO без их применения в реальной сети.
• Resultant Set of Policies (RSoP) – в этой вкладке производится анализ созданных в offline repository политик.
• Group Policy Objects by Container – здесь можно просмотреть групповые политики и проследить связи, отбирая информацию по OU или сайтам.
• AD Object Restore – в этой вкладке можно восстановить объекты Active Directory, без перехода в режим восстановления AD. При этом объектам можно восстановить старые пароли либо задать новые.
• Client Side Troubleshooting – весьма удобная функция, позволяющая соединиться с клиентским компьютером, позволяя, например, убедиться в том, что новые политики применены правильно.
• Active Directory Security – здесь показан список ваших серверов и контейнеров, а также выводятся пользователи или группы, имеющие доступ к выбранным объектам.
• Active Templates – здесь создаются, редактируются и применяются Active Templates.
• Active Directory Auditing – в этой вкладке просматриваются сообщения системы аудита, генерируются различные отчеты. В качестве фильтров можно использовать такие параметры, как дата, время, пользователь, событие и прочие.
• Group Policy Objects – используя эту вкладку, можно просматривать, создавать, редактировать, восстанавливать, добавлять к Offline Repository групповые политики.

Рисунок 3. Вид Active Administrator Console

Вывод

Несмотря на то, что начальная настройка несколько непривычна, в том числе и из-за несколько неинтуитивного интерфейса, в дальнейшем Active Administrator оправдает свое применение, а удобство работы окупит затраченное на настройку время. Наличие таких возможностей, как Active Templates, Offline Repository, аудит и оповещение о событиях по e-mail, восстановление и прочее, делают его удобным инструментом при администрировании Active Directory. Также хочется отметить наличие довольно подробной, в том числе и пошаговой документации на английском языке.

1. Сайт ScriptLogic, разработчика Active Administrator – http://www.scriptlogic.com.
2. Таблица сравнения возможностей Active Administrator 4.0 и GPMC – http://www.scriptlogic.com/products/activeadmin/comparisonmatrix.asp.

Комментарии могут оставлять только зарегистрированные пользователи