Службы доменов Active Directory в Windows Server 2008

АЛЕКСАНДР ЕМЕЛЬЯНОВ

Службы доменов Active Directory
в Windows Server 2008

Именно так теперь называется обновленная служба каталогов производства компании Microsoft. Сама серверная операционная система, на которой базируется данная технология, уже преподнесла немало приятных сюрпризов конечному потребителю. Посмотрим, чем может порадовать администраторов новая Active Directory.

Это уже третья «редакция» службы каталогов со времен ее первого появления в Windows 2000. И, забегая вперед, нужно сказать, что основной упор специалисты Microsoft сделали на то, чтобы упростить управление службами доменов AD (AD DS, Active Directory Domain Services), а также повысить уровень безопасности. Претерпело изменения меню управления ролями сервера, что позволит администратору создать единый центр управления как самим сервером, так и сервисами, которые он будет предоставлять. Из новшеств служб доменов можно отметить:

• специальный тип установки контроллера домена только для чтения (RODC, Read-Only Domain Controller);
• новые политики паролей и блокировки учетных записей;
• улучшения в групповых политиках.

Об этих и других нововведениях пойдет речь в статье далее.

Не просто служба…

С выходом новой серверной операционной системы название Active Directory представляет некую общность служб для управления доступом и проверки подлинности учетных записей. Если смотреть шире, то совокупность этих технологий занимает центральное место в концепции, которой Microsoft уделяла основное внимание со времен выхода Windows 2000. Речь идет об управлении идентификацией и правами доступа (IDA, Identification and Access). Основные постулаты – гибкость и удобство управления инфраструктурой предприятия и обеспечение максимального уровня безопасности. В основе обновленной службы каталогов лежат 5 основных компонентов, с которыми администраторы знакомы со времен выхода Windows Server 2003 R2:

• службы доменов Active Directory – это старая служба каталогов на новый лад, она позволяет обеспечивать аутентификацию пользователей и компьютеров, используя единую базу данных, а также протоколы безопасности; предоставляет гибкие механизмы управления как отдельными пользователями и группами, так и целыми подразделениями при помощи групповых политик;
• службы Active Directory облегченного доступа к каталогам (AD LDS, Active Directory Lightweight Directory Services) – это бывший вариант установки службы каталогов, называемый AD AM (Active Directory Application Mode); его особенность состоит в том, что вы можете развернуть службу каталогов без создания доменной инфраструктуры, то есть фактически получаете LDAP-сервер для работы с приложениями, которые ориентированы на работу с каталогами; также есть возможность спокойно развернуть несколько экземпляров AD LDS на одном сервере, и каждый будет иметь свою собственную схему;
• службы управления правами Active Directory (AD RMS, Active Directory Rights Management Services) – бывший сервер управления правами; AD RMS позволяют управлять правами доступа к данным приложений, которые поддерживают эту технологию; используя AD RMS, организации могут создавать шаблоны для обеспечения конфиденциальности финансовых документов, сообщений электронной почты и т. д.; в отличие от Windows Server 2003 R2 управление AD RMS происходит при помощи консоли MMC, помимо этого, при управлении AD RMS снижается вероятность ошибок при настройке из-за разбиения задач на 3 категории: обязательные, рекомендованные и необязательные;
• службы федерации Active Directory (AD FS, Active Directory Federation Services) – во многом за счет интеграции служб федерации с AD RMS имеется возможность создавать безопасную среду работы для клиентов, находящихся вне корпоративной сети, без создания дополнительных учетных данных, а использование приложений с поддержкой RMS позволяет детально контролировать работу удаленных пользователей с внутрикорпоративными документами;
• службы сертификации Active Directory (AD CS, Active Directory Certificate Services) – это служба сертификатов, которая позволяет создавать и управлять сертификатами открытых ключей для приложений, поддерживающих технологию открытого ключа; AD CS поддерживают криптографический интерфейс нового поколения CNG, который пришел на смену CryptoAPI, старые алгоритмы шифрования данных поддерживаются с помощью поставщиков служб сертификации.

Все эти службы управляются при помощи новой консоли диспетчера серверов Windows Server 2008, которая является единым центром управления как операционной системой, так и сетевыми сервисами.

В дополнение нужно заметить, что при использовании специального варианта установки Server Core администратору будут доступны для развертывания только две из вышеперечисленных служб: AD DS и AD LDS.

Новый мастер установки служб доменов

Как театр начинается с вешалки, так и контроллер домена начинает жизнь с мастера DCPROMO. Инженеры Microsoft учли опыт обращений пользователей (читать «администраторов») в службу технической поддержки, после чего переписали DCPROMO заново и представили свету новый мастер установки служб доменов. Все новшества в целом направлены на предотвращение ошибок, которые могут возникнуть в процессе установки контроллера. Это и ошибки в распределении ролей FSMO, и недостаточное количество серверов глобального каталога, и неверная настройка сервера DNS.

Запустив мастер, можно выбрать два режима (без использования ключа /ADV): основной и расширенный. Администратор может быстро настроить контроллер домена, указав основной режим, либо внести дополнительные настройки в расширенном режиме, например, указать сервер, с которого будет производиться репликация при повышении роли рядового сервера. Если вы имеете широко развитую инфраструктуру, это позволит снять нагрузку с основных контроллеров. Кроме этого, существует возможность расположить контроллер в конкретном сайте, исходя из его IP-адреса (мастер сам выберет подходящий сайт).

Наверняка многие администраторы возьмут на вооружение режим работы мастера с использованием файла ответов – режим unattend (знакомый, например, по сборке дистрибутива Windows). Нет необходимости писать его вручную, все параметры могут быть сохранены в файл после внесения всех настроек и прямо перед запуском повышения роли сервера.

Стоп машина!

В Windows Server 2008 появилась возможность останавливать сервис службы каталогов «на лету». Речь идет о том, что теперь нет необходимости загрузки сервера в режиме восстановления службы каталогов (Directory Services Restore Mode) для проведения операций по обслуживанию контроллера домена, таких как дефрагментация или восстановление базы данных каталога. Нужно всего лишь выполнить одно из действий: остановить службу «Контроллер домена» или выполнить команду «net stop ntds». При этом вы остаетесь аутентифицированным как администратор домена. В предыдущих же версиях Windows Server в режиме восстановления AD нужно было регистрироваться и вспоминать пароль, указанный при работе мастера DCPROMO (согласитесь, была вероятность его забыть либо потерять). По окончании всех необходимых операций нужно запустить вышеуказанный сервис либо выполнить команду «net start ntds».

Плюс данного нововведения налицо, хотя бы потому, что администратору не нужно выполнять перезагрузку сервера, который может предоставлять какие-то другие сервисы, тем самым обеспечив бесперебойную работу организации.

Контроллер домена только для чтения

Это еще один шаг, который Microsoft сделала в сторону безопасности служб доменов. Скорее даже можно говорить о том, что инженеры учли опыт прошлых разработок и выпустили совокупное решение. Имеется в виду, что в доменах NT 4 были понятия PDC (контроллер домена для чтения и записи учетных данных) и BDC (резервные контроллеры только для чтения), от которых с выходом Windows 2000 Microsoft отказалась, сделав все контроллеры в домене равноправными с точки зрения операций чтения и записи в базу данных. С выходом Windows Server 2008 администраторы могут строить комплексные решения.

Контроллер домена только для чтения (RODC, Read-Only Domain Controller) является специальным вариантом разворачивания доменного контроллера для филиалов и удаленных подразделений компаний. При его использовании службы доменов работают в режиме «только для чтения». Это означает, что никаких изменений в базу данных такого контроллера локально внести нельзя. Изменения могут быть произведены на основном контроллере и затем при помощи однонаправленной репликации распространены на контроллеры RODC. Понятно, что, поскольку RODC не способны осуществлять репликацию между собой, нет смысла устанавливать несколько таких контроллеров в удаленном офисе.

Основное отличие RODC от BDC-доменов NT 4 в том, что администратор может определять, какой набор данных будет поставляться на определенный контроллер RODC. Это влечет за собой уменьшение трафика репликации, и, несомненно, это будет полезным для подразделений, не имеющих хорошей устойчивой связи с головным офисом. Одновременно с этим обеспечивается сохранность основных данных домена Active Directory. Что касается прав администратора на контроллере RODC, все сделано для того, чтобы минимизировать возможность расширения привилегий в домене. А именно, существует два способа делегирования прав администратора для операции обслуживания контроллера RODC. Администратор домена может, попросту говоря, при помощи оснастки «Active Directory Users and Computers» создать заготовку контроллера домена только для чтения, назначить политику репликации паролей и пользователя либо группу, которые завершат процесс перевода на удаленном сервере. Второй вариант предполагает создание ролей администратора на самом RODC. В целом они не отличаются от локальных групп безопасности, хранятся в реестре и определяются только данным RODC, но управляются с помощью утилиты NTDSUTIL.

Если пользователь удаленного офиса впервые проходит аутентификацию на RODC, его запрос передается прямиком на основной контроллер. При удачной обработке запроса RODC получает хешированный пароль при помощи репликации. Однако такое поведение можно изменить для отдельно взятых учетных записей при помощи политики репликации паролей для каждого RODC. Например, хэш пароля учетной записи администратора хранить локально небезопасно. Так нас уверяют специалисты по безопасности компании Microsoft, сетуя на то, что в этом случае он может быть взломан, но, с другой стороны, все в этом разделе говорит о том, что с RODC невозможно нанести какой-либо вред остальному домену, поэтому данное предостережение можно посчитать, по меньшей мере, сомнительным.

Есть еще некоторые особенности, касающиеся безопасности, о которых стоит упомянуть. Контроллеры домена только для чтения не являются доверенными с позиции доверительных отношений в домене, они трактуются как рядовые серверs. Более того, вы не найдете таких контроллеров в группах «Контроллеры домена» и «Контроллеры домена предприятия». RODC является центром распространения ключей Kerberos только для своего филиала. Это возможно из-за того, что он использует собственную учетную запись KrbTGT и собственные ключи. Для системы DNS появилась возможность создания зоны только для чтения на контроллере RODC. Динамическая регистрация записи компьютера в такой зоне невозможна, взамен этого на DNS-сервер с возможностью записи посылается запрос на регистрацию, и уже после репликации происходит обновление зоны в филиальном сервере DNS.

Для развертывания контроллера RODC необходимо иметь в домене хотя бы один основной (то есть в режиме чтение/запись) контроллер домена под управлением Windows Server 2008. Плюс к этому домен должен находиться на уровне не ниже Windows Server 2003 (смотри врезку «Функциональные уровни домена и леса»). Понятно, что и сам RODC должен работать под управлением серверной ОС последней версии. Использование RODC в варианте установки Server Core дает возможность держать в удаленном филиале безопасный сервер, имеющий небольшие требования по производительности.

Новые политики паролей

Очень часто на технических форумах можно было встретить вопросы, касающиеся политик паролей и блокировки учетной записи. Проблема состояла в том, что многие администраторы не могли понять, как при помощи групповых политик назначить ограничения параметров паролей для отдельных групп или организационных единиц. Такая возможность до выхода Windows Server 2008 отсутствовала, и, если было необходимо выделить группу со специфичными настройками для политик паролей, нужно было создавать отдельный домен, так как они могли быть применены только к уровню домена.

В AD DS появились подробные политики паролей, которые можно применять как к отдельным учетным записям, так и к группам. Хотя специалисты рекомендуют пользоваться группами для распределения этих политик, чтобы упростить дальнейшее администрирование.

Рассмотрим процесс создания и привязки политик паролей, а также некоторые атрибуты, связанные с ними. Специального графического средства для создания и управления такими политиками нет, вместо этого можно использовать программу ADSIEdit либо другие программы, которые позволят управлять объектами схемы AD (об одной из них будет сказано ниже). Итак, для создания политики нужно создать объект msDS-PasswordSettings или PSO (Password Settings Object) в контейнере Password Settings Container в узле System Container вашего домена. Далее вам будет предложено ввести значения обязательных атрибутов данного объекта. Для понимания, какие политики паролей сможет применять администратор, рассмотрим некоторые атрибуты:

• msDS-PasswordSettingsPrecedence – здесь содержится некоторый номер, определяющий приоритет действия настроек, если для одного объекта применяется несколько;
• msDS-PasswordComplexityEnabled – определяет, должен ли пароль отвечать требованиям сложности (значение по умолчанию для домена True);
• msDS-MinimumPasswordLength – минимальная длина пароля в символах (семь по умолчанию);
• msDS-LockoutThreshold – количество неудачных попыток ввода пароля, после которых пользователь будет заблокирован (0 по умолчанию, это означает запрет блокировки при неудачном вводе пароля).

После создания объекта типа PSO нужно привязать его к пользователю или группе, для этого нужно добавить их в атрибут msDS-PSOAppliesTo данного объекта. Понятно, что данный атрибут может иметь не одно значение. Более того, в атрибутах пользователя или группы можно найти msDS-PSOAppliedTo, который содержит все PSO, связанные с данным пользователем или группой. Исходя из этого, следует, что для объекта пользователя может применяться несколько политик, так как пользователи могут входить сразу в несколько групп. Но в какой очередности применяются политики в этом случае?

Существуют некоторые правила, согласно которым эта очередность определяется.

1. При непосредственной привязке PSO к объекту пользователя применяется данная политика.
2. При привязке к объекту пользователя сразу нескольких политик будет применена политика с наименьшим значением атрибута очередности (был рассмотрен выше).
3. Если несколько PSO имеют одно и то же значение атрибута очередности, выбирается объект с наименьшим идентификатором objectGUID.
4. В случае если есть несколько PSO, привязанных к группам, в которых состоит пользователь, применяется политика с наименьшим значением атрибута очередности.

Если же к объекту пользователя не привязано ни одного PSO, будет применена политика паролей для домена. Для определения примененного к пользователю PSO администраторы могут использовать атрибут msDS-ResultantPSO, который содержит DN имя PSO.

Возможно, администраторам будет полезна также утилита командной строки, написанная Джо Ричардсом, для создания и привязки PSO. Она называется PSOMgr.exe, найти ее можно на сайте Джо – www.joeware.net.

Групповые политики в Windows Server 2008

Не секрет, что групповые политики в рамках домена дают возможность администратору централизованно создавать рабочее окружение для пользователей. Windows Vista – расширенный набор групповых политик. Несмотря на это, данное нововведение было бесполезно для использования в домене, так как Windows Server 2003 не имел возможности управления новыми политиками. Такой механизм появился с выходом Server 2008.

Однако использование связки новой серверной ОС с Windows Vista для применения максимума возможностей групповых политик может вызвать некоторый скепсис, учитывая требования последней к производительности оборудования, а также то, насколько удачной получилась Windows XP в качестве настольной платформы. Это тема отдельного спора, поэтому просто посмотрим, что нового получили администраторы для управления групповыми политиками. Вообще, этот материал может без труда потянуть на отдельную статью, поэтому рассмотрим лишь основные изменения.

Начнем с того, что теперь механизм групповой политики – это отдельная служба Group Policy Client, не имеющая возможности перезапуска. Новая версия провайдера NLA (Network Location Awareness) позволила улучшить процессы обнаружения медленных линий, а также фонового обновления групповых политик.

Важные улучшения получила консоль управлений GPMC (Group Policy Management Console, консоль управления групповой политикой) – теперь есть возможность осуществлять поиск параметров (которых, кстати, более 2000) объектов групповой политики (GPO, Group Policy Object). Помимо этого, при необходимости можно добавлять комментарии в объекты, а также их параметры.

Есть изменения в формате административных шаблонов, используемых в Windows Vista и Server 2008. О них можно найти материалы на сайте Microsoft TechNet.

В заключение

Безусловно, инженеры Microsoft сделали огромный шаг в сторону безопасности и усовершенствования механизмов управления сетевой средой предприятия. Многие новшества служб доменов Windows Server 2008, такие, например, как расширенный аудит, моментальные снимки Active Directory, резервное копирование и восстановление служб доменов, не вошли в статью. С ними можно ознакомиться на сайте компании Microsoft, а также в блогах и статьях многих специалистов и MVP по внедрению служб доменов.

Приложение

Функциональные уровни домена и леса

Как и следовало ожидать, с выходом новой серверной операционной системы от компании Microsoft, которая расширила возможности службы каталогов, появились новые функциональные уровни лесов и доменов. Что касается уровня Windows Server 2008 для лесов, сам по себе никаких возможностей он не добавляет. Это сделано для того, чтобы все домены в лесу находились на одном уровне. Повышение домена до этого уровня позволит использовать следующие нововведения. Во-первых, новый движок репликации DFS (Distributed File System, распределенная файловая система) для папки SYSVOL. Использование разностного метода дает прирост в скорости репликации. Во-вторых, увеличение длины ключа шифрования AES (Advanced Encryption Standard) для протокола Kerberos с 128 до 256 бит. Шаг в сторону усиления безопасности. Ну и, в-третьих, изменения, коснувшиеся политик паролей для доменов, управление которыми стало более гибким за счет снятия ограничения применения их исключительно ко всему домену.

Многие другие расширенные возможности служб доменов AD требуют всего лишь наличия контроллера домена под управлением Windows Server 2008.

1. http://www.minasi.com.
2. http://technet.microsoft.com/ru-ru/magazine/default.aspxRODC.
3. http://windowsitpro.com.