Экономьте время на администрировании Active Directory::Журнал СА 10.2006
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Книжная полка  

Защиты много не бывает

Среди книжных новинок издательства «БХВ» есть несколько изданий, посвященных методам социальной инженерии

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6412
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 7117
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4395
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3086
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3881
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3897
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6385
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3232
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3529
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7364
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10724
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12445
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14096
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9192
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7141
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5446
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4683
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3495
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3212
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3449
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3090
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 Экономьте время на администрировании Active Directory

Архив номеров / 2006 / Выпуск №10 (47) / Экономьте время на администрировании Active Directory

Рубрика: Администрирование /  Администрирование

Сергей Яремчук СЕРГЕЙ ЯРЕМЧУК, фрилансер. Автор более 800 статей и шести книг. С «СА» с первого номера. Интересы: сетевые технологии, защита информации, свободные ОС

Экономьте время на администрировании Active Directory

Служба каталогов Active Directory – мощный и один из наиболее важных компонентов распределенной компьютерной системы, который дает гибкость в распределении ресурсов. Но в то же время стандартные инструменты, входящие в состав ОС Windows не во всех случаях обеспечивают должный уровень управления AD.

По мере роста количества пользователей и ресурсов, к которым должен быть предоставлен доступ, управление Active Directory даже внутри отдельного домена заметно усложняется. А учитывая, что администрированием может заниматься несколько человек, через некоторое время ситуация может стать неуправляемой, а сама система потребует серьезного аудита. Для администрирования Active Directory используются несколько инструментов, встроенных в Windows 2000/2003 Server, что не всегда удобно и требует некоторого времени на их полноценное освоение. Консоль управления групповыми политиками (Group Policy Management Console – GPMC), которая появилась в 2003 году, обеспечивает пользователю более удобный интерфейс управления политиками Windows на базе MMC (Microsoft Management Console). В его состав входит набор сценариев, предназначенных для автоматизации типовых задач управления объектами групповой политики. Но в то же время и его возможностей часто бывает недостаточно.

Утилита Active Administrator

Корпорация ScriptLogic специализируется на разработке решений, предназначенных для администрирования сетей Windows. Одним из выпускаемых продуктов является Active Administrator, простой в использовании инструмент, позволяющий эффективно управлять групповыми политиками и Active Directory, информировать обо всех значительных изменениях, проводить всесторонний аудит, значительно экономя время на администрирование.

Программа, к сожалению, не бесплатна, стоимость лицензии зависит от количества объектов в Active Directory. Сама лицензия привязана к Organizational Unit, поэтому применение ее с иным OU невозможно.

Для определенных административных целей используются шаблоны Active Templates. Каждый шаблон определяет разрешения, которые требуются для определенных задач. С помощью таких шаблонов можно легко делегировать некоторые функции пользователям и гарантируют последовательное назначение разрешений в пределах Active Directory. Программа контролирует состояние установленных с помощью Active Templates разрешений, права, не соответствующие действующей модели безопасности, автоматически восстанавливаются. Администратор может самостоятельно создавать необходимые шаблоны, как с нуля, так и на основе уже имеющихся. Интерфейс позволяет легко найти необходимый объект, при этом в другом окне будут отображены все разрешения. Для удобства их отбора можно использовать систему фильтров.

Консоль управления предоставляет единый интерфейс для управления, планирования, редактирования, резервирования и восстановления групповых политик. Поддерживается функциональность инструмента, известного как результирующий набор политик (Resultant Set of Policies – RSoP), появившаяся в Windows 2003 Server, задача которого – упростить измерение накопительных настроек групповой политики, применяемых к пользователю или компьютеру. Это позволяет администраторам планировать сценарии перемещения объекта. Active Administrator автоматически сохраняет всю историю изменений групповых политик, давая тем самым возможность при необходимости сравнить новые настройки, быстро осуществить возврат к старым настройкам. Изменения политик производятся не напрямую в рабочую среду, а в Offline Repository. Для оценки эффекта созданные таким образом политики сравниваются с действующими, в том числе и с использованием RSoP. Удобно, что редактирование Offline Repository может быть осуществлено администраторами, имеющими доступ к политикам в режиме только для чтения. Но применяют их только те, кто имеет соответствующие права. Средствами программы возможны копирование и репликация групповых политик между доменами. Для контроля изменений в Active Directory и групповых политик Active Administrator анализирует журнал. Воспользовавшись системой фильтров, администратор всегда узнает, кто и когда внес эти изменения. Кроме того, при возникновении некоторых событий администратор оповещается посредством электронной почты. И наконец, программа предоставляет полноценные отчеты по установкам Active Directory и групповых политик, по безопасности, классам объектов и прочее. Отчеты экспортируются в файлы форматов RTF, PDF, HTML, XLS, TIF, RDF, TXT.

Установка Active Administrator

Для того чтобы скачать файл, необходимо зарегистрироваться на сайте, указав персональные данные и пароль, которым будете пользоваться. После чего на указанный почтовый адрес придет ссылка для закачки. В архиве «весом» 45 Мб два файла: AAServerSetup предназначен для установки на сервер, а с помощью AAConsoleSetup необходима для установки удаленной консоли управления. Системные требования для компьютера, на который устанавливается Active Administrator, невелики. Требуется процессор класса Pentium 600 Мгц с 256 Мб оперативной памяти с Windows 2000 и выше. Кроме этого, для хранения информации может использоваться Microsoft SQL Server Desktop Engine, который устанавливается по умолчанию, либо имеющийся SQL Server. В последнем случае при установке следует выбрать режим Custom и отключить инсталляцию MSDE. Программа установки потребует, чтобы вы указали каталог, который будет использован для хранения информации. На этом этапе создаем локальную базу событий безопасности, в которую будет заноситься информация о событиях безопасности. Заполняем поля и выбираем метод аутентификации для доступа к базе: Windows или SQL Server. В результате будет созданный разделяемый ресурс ActiveAdministrator, имеющий по умолчанию права Full Control для Everyone.

Далее запускается Database Maintenance Wizard, задача которого – создать базу данных и помочь в настройке сервисов истории групповых политик (Group Policy History), восстановления Active Template (Active Template Auto-Repair service) и сервиса восстановления информации. Для каждого необходимо указать домен и пользователя для регистрации (рис. 1).

Рисунок 1. Настройка сервиса Active Template Auto-Repair

Рисунок 1. Настройка сервиса Active Template Auto-Repair

При настройке параметров Auto-Repair-сервиса возможна настройка оповещения по электронной почте, выбрав Configure e-mail Setting, указываем почтового сервера и адрес, на который они будут отсылаться. Если используется Windows 2003 с SP1, Active Administrator может восстанавливать пароли к удаленным счетам. Желательно сразу же после настройки сервиса восстановления нажать Backup Now для создания резервной копии. На этом установка сервера Active Administrator заканчивается.

Консоль можно установить как на любой компьютер в сети, так и на тот, на котором стоит сервер Active Administrator. Каких-либо особенностей при установке консоли нет.

Настройка базы аудита событий

Программа установки позволяет создать базу событий безопасности для локальной системы MSDE 2000. Вероятно, может понадобиться перенести ее на SQL Server. Для создания такой базы выбираем «Creating Auditing Database» в меню «Пуск». После этого появится знакомый мастер. На первом шаге которого в выпадающем списке выбираем new database и далее действуем как во время установки, заполняя нужные поля. После установки базы данных необходимо с помощью Active Administrator, либо Active Directory Users с MMC и разрешить аудит в Default Domain Controllers Policy. После чего выполнить gpupdate. Следующий шаг, настройка утилиты оповещения Event Configuration Utility. В появившемся окне (рис. 2) во вкладке «Event Definitions» выбираем события, при появлении которых мы хотим получать оповещение. Список адресов, которым будет отсылаться уведомление, вводится во вкладке «Defailt Email Adresses». Но можно для отдельного события указать специфический электронный адрес, для этого нужно вызвать контекстное меню, щелкнув по нему правой кнопкой мышки. Если еще имеются сервисы с включенным мониторингом событий, добавить их контроль можно во вкладке «Install DC Agents». На этой же странице отображается статус агентов и загружаются новые файлы, содержащие события. Все зарегистрированные события сохраняются затем в файле с расширением edf.

Рисунок 2. Настройка сервиса Event Configuration Utility

Рисунок 2. Настройка сервиса Event Configuration Utility

Работа с Active Administrator Console

При первом запуске консоли управления вам предстоит ввести лицензионный ключ, если у вас его нет, но выбираем «Begin Evaluation» и пользуемся программой в течении 30 дней, без всяких ограничений функциональности.

Консоль состоит из 10 вкладок:

  • Group Policy History – здесь можно отследить историю изменений групповых политик и при необходимости произвести откат к предыдущему состоянию.
  • Group Policy Offline Repository – здесь создаются и редактируются GPO без их применения в реальной сети.
  • Resultant Set of Policies (RSoP) – в этой вкладке производится анализ созданных в offline repository политик.
  • Group Policy Objects by Container – здесь можно просмотреть групповые политики и проследить связи, отбирая информацию по OU или сайтам.
  • AD Object Restore – в этой вкладке можно восстановить объекты Active Directory, без перехода в режим восстановления AD. При этом объектам можно восстановить старые пароли либо задать новые.
  • Client Side Troubleshooting – весьма удобная функция, позволяющая соединиться с клиентским компьютером, позволяя, например, убедиться в том, что новые политики применены правильно.
  • Active Directory Security – здесь показан список ваших серверов и контейнеров, а также выводятся пользователи или группы, имеющие доступ к выбранным объектам.
  • Active Templates – здесь создаются, редактируются и применяются Active Templates.
  • Active Directory Auditing – в этой вкладке просматриваются сообщения системы аудита, генерируются различные отчеты. В качестве фильтров можно использовать такие параметры, как дата, время, пользователь, событие и прочие.
  • Group Policy Objects – используя эту вкладку, можно просматривать, создавать, редактировать, восстанавливать, добавлять к Offline Repository групповые политики.

Рисунок 3. Вид Active Administrator Console

Рисунок 3. Вид Active Administrator Console

Вывод

Несмотря на то, что начальная настройка несколько непривычна, в том числе и из-за несколько неинтуитивного интерфейса, в дальнейшем Active Administrator оправдает свое применение, а удобство работы окупит затраченное на настройку время. Наличие таких возможностей, как Active Templates, Offline Repository, аудит и оповещение о событиях по e-mail, восстановление и прочее, делают его удобным инструментом при администрировании Active Directory. Также хочется отметить наличие довольно подробной, в том числе и пошаговой документации на английском языке.

  1. Сайт ScriptLogic, разработчика Active Administrator – http://www.scriptlogic.com.
  2. Таблица сравнения возможностей Active Administrator 4.0 и GPMC – http://www.scriptlogic.com/products/activeadmin/comparisonmatrix.asp.

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru