Administracja usługami
Administracja usługami
domenowymi
domenowymi
Cz. 7. Administrowanie
obiektami Active Directory
Wprowadzenie
Wprowadzenie
" Obiekt jest nazwanym zbiorem atrybutów reprezentującym określony element
(konto, grupę, folder itp.).
" Użytkownicy i programy mogą przesłać zapytania do Active Directory, aby uzyskać
informacje o obiektach przechowywanych w katalogu.
" Najczęściej używane typy obiektów:
" konto użytkownika
" kontakt
" grupa
" folder udostępniony
" drukarka
" komputer
" kontroler domeny
" jednostka organizacyjna.
" Obiekty mogą być kontenerami lub obiektami liściowymi.
" kontener  obiekt zawierający inne obiekty, usytuowany na określonym
poziomie w hierarchii poddrzewa.
" obiekt liściowy - który nie może zawierać innych obiektów, znajduje się na
najniższym poziomie hierarchii.
" Kryteria podawane podczas przeszukiwania Active Directory są oparte
na właściwościach obiektów - aby zwiększyć elastyczność poszukiwania, należy
zdefiniować wszystkie ważne atrybuty nowo tworzonych obiektów Active Directory.
- 2-
Odnajdywanie obiektów Active Directory
Odnajdywanie obiektów Active Directory
" Istnieją dwa podstawowe sposoby szukania obiektów Active Directory:
" opcja Find (Znajdz
), dostępna w konsoli Użytkownicy i komputery
Active Directory,
" polecenie Dsquery.
" Zapora Windows, może uniemożliwiać znajdowanie obiektów Active
Directory za pomocą konsoli Użytkownicy i komputery Active Directory
oraz polecenia Dsquery.
" Opcja find umożliwia utworzenie niestandardowych zapytań oraz
wykonanie często używanych zapytań administracyjnych dotyczących
użytkowników, kontaktów i grup.
" na podstawie podanych kryteriów wyszukiwania tworzone jest
zapytanie LDAP, służące do przeszukiwania wykazu globalnego w celu
odnalezienia określonych obiektów Active Directory.
- 3-
Odnajdywanie obiektów Active Directory
Odnajdywanie obiektów Active Directory
" Dsquery jest narzędziem wiersza polecenia, który umożliwia odnalezienie
obiektów Active Directory według kryteriów zdefiniowanych przez
użytkownika.
" Rodzaje zapytań dsquery:
" Dsquery
" Dsquery computer
" Dsquery contact
" Dsquery subnet
" Dsquery group
" Dsquery ou
" Dsquery partition
" Dsquery quota
" Dsquery site
" Dsquery server
" Dsquery user
- 4-
Zapytania zapisane
Zapytania zapisane
" Zapisywanie zapytań jest nową funkcją Windows Server 2003,
umożliwiającą administratorom tworzenie, modyfikację i zapisywanie
zapytań, zarządzanie nimi oraz przesyłanie ich w wiadomościach e-mail.
" Zapisane zapytania są przechowywane w kontenerze Saved Queries
(Zapytania zapisane) dostępnym w konsoli Użytkownicy i komputery Active
Directory.
" Zapytania są utrzymywane w pliku konsoli (Dsa.msc) i dostępne po
każdym otwarciu tej konsoli:
" plik ten można skopiować do innych kontrolerów domeny
Windows Server 2003, należących do tej samej domeny
" można wyeksportować zapytania do pliku xml oraz zaimportować
zapytania do innych konsol Użytkownicy i komputery Active Directory,
które znajdują się na kontrolerach domen Windows Server 2003 w tej
samej domenie.
- 5-
Kontrola dostępu do obiektów Active Directory
Kontrola dostępu do obiektów Active Directory
" Windows Server 2003 wykorzystuje model zabezpieczeń, oparty na obiektach
do realizacji kontroli dostępu do wszystkich obiektów Active Directory - model
ten jest podobny do modelu stosowanego w systemie plików NTFS (każdy
obiekt zawiera deskryptor zabezpieczeń, w którym określone jest, kto może
uzyskać dostęp do obiektu oraz jakie operacje może wykonać).
" Kontrola dostępu do obiektów Active Directory polega na przypisywaniu i
odbieraniu uprawnień podmiotom zabezpieczeń - użytkownikom,
grupom, komputerom lub usługom posiadającym identyfikator zabezpieczeń
(SID).
" Jednostki organizacyjne nie są podmiotami zabezpieczeń - nie mogą
otrzymywać uprawnień.
" Uprawnienia dostępu mogą być konfigurowane tylko na napędach
sformatowanych w systemie NTFS.
" Windows Server 2003 przechowuje dla każdego obiektu Active Directory listę
uprawnień dostępu nazywaną listą kontroli dostępu (ACL).
- 6-
Uprawnienia
Uprawnienia
" Uprawnienia mogą być ustawione na Allow (Zezwalaj) lub Deny (Odmawiaj).
" Ustawienia Deny (Odmawiaj) mają pierwszeństwo przed innymi
uprawnieniami.
" Dostępne ustawienia uprawnień są zależne od typu obiektu (np. uprawnienie
do ponownego ustawiania hasła)
" Dla każdego typu obiektu istnieje zbiór uprawnień standardowych oraz zbiór
bardziej szczegółowych uprawnień specjalnych.
" Uprawnienia standardowe składają się z uprawnień specjalnych (zwanych też
zaawansowanymi ustawieniami zabezpieczeń), które umożliwiają bardziej
szczegółową kontrolę dostępu do obiektów.
" Uprawnienia standardowe są uprawnieniami najczęściej konfigurowanymi -
znajdują się na zakładce Security w oknie właściwości obiektu (zakładka
Security (Zabezpieczenia) jest dostępna tylko wtedy, gdy w menu View
(Widok) zaznaczona jest opcja Advanced Features (Funkcje zaawansowane)).
" Podmiot zabezpieczeń może być członkiem wielu grup, które, mają rożne
uprawnienia dostępu w stosunku do poszczególnych obiektów.
- 7-
Prawo własności obiektów
Prawo własności obiektów
" Użytkownik tworzący nowy obiekt zostaje jego właścicielem.
" Właściciel obiektu jest odpowiedzialny za konfigurowanie uprawnień
powiązanych z tym obiektem.
" Prawo własności może zostać przejęte przez:
" administratora (domyślnie grupa Administratorzy otrzymuje prawo do
przejęcia na własność plików i innych obiektów),
" użytkownika posiadającego uprawnienie przejęcia na własność w
stosunku do danego obiektu (lub członka grupy, który ma to
uprawnienie),
" użytkownika posiadającego prawo do przywrócenia plików i folderów.
- 8-
Przydziały Active Directory
Przydziały Active Directory
" Celem stosowania przydziałów Active Directory jest ograniczenie
liczby obiektów należących do jednego podmiotu zabezpieczeń w danej partycji
katalogu.
" Jeśli podmiot zabezpieczeń może utworzyć nieograniczoną liczbę obiektów, to
może zabraknąć miejsca na kontrolerze domeny, co uniemożliwi dalsze
funkcjonowanie usługi.
" Przydziały nie dotyczą administratorów domen i administratorów przedsiębiorstwa.
" Z danym podmiotem zabezpieczeń mogą być powiązana większa liczba
przydziałów (na przykład przydział własny oraz przydział przypisany grupie, do
której podmiot należy)  stosowany jest największy z nich.
" Do podmiotów zabezpieczeń, dla których przydziały nie zostały określone,
zastosowanie ma przydział domyślny, który jest skonfigurowany dla danej partycji.
" Jeśli przydział domyślny nie został skonfigurowany, to w tej partycji nie obowiązuje
żaden limit.
" Aby utworzyć i zarządzać przydziałami Active Directory, należy wykorzystać
polecenia: dsadd quota, dsmod quota i dsquery quota.
- 9-
Dziedziczenie uprawnień
Dziedziczenie uprawnień
" Dostęp do danego obiektu jest zależny od dwóch grup uprawnień: uprawnień
przypisanych bezpośrednio do obiektu przez jego właściciela oraz uprawnień
dziedziczonych, powiązanych z obiektem nadrzędnym.
" Dziedziczenie uprawnień ułatwia proces zarządzania uprawnieniami, pomaga
zapewnić zgodność uprawnień powiązanych z obiektami w danym kontenerze oraz
minimalizuje liczbę operacji przypisania uprawnień.
- 10-
Uprawnienia efektywne
Uprawnienia efektywne
" Uprawnienia efektywne obejmują wszystkie uprawnienia, obowiązujące dany
podmiot zabezpieczeń w zakresie dostępu do określonego obiektu, w tym
uprawnienia wynikające z przynależności do grup oraz uprawnienia dziedziczone.
" Windows Server 2003 zawiera nową funkcję (zakładka Effective Permissions
(Czynne uprawnienia) znajdująca się w zakładce Security właściwości obiektu),
która umożliwia wyświetlenie uprawnień efektywnych dla określonego obiektu i
podmiotu zabezpieczeń.
- 11-
Zalecenia dotyczące przypisywania uprawnień
Zalecenia dotyczące przypisywania uprawnień
" Przypisywanie uprawnień grupom jest skuteczniejsze niż bezpośrednie
przydzielanie uprawnień kontom użytkowników.
" Nie należy zbyt często stosować ustawień odmowy uprawnień.
" Uprawnienia powinny być skonfigurowane na dziedziczenie przez obiekty
podrzędne.
" W uzasadnionych wypadkach należy zastosować uprawnienie pełnej
kontroli zamiast uprawnień szczegółowych.
" Należy upewnić się, ze dla każdego obiektu co najmniej jeden użytkownik
ma uprawnienie pełnej kontroli.
- 12-
Uwierzytelnianie selektywne
Uwierzytelnianie selektywne
" Uwierzytelnianie selektywne może być skonfigurowane w różny sposób
dla wychodzących i przychodzących relacji zaufania zewnętrznego i
zaufania lasów.
" jeśli przychodząca relacja zaufania zewnętrznego/zaufania lasów
podlega uwierzytelnianiu w zakresie domeny, to użytkownicy z drugiej
domeny lub lasu mogą uzyskać dostęp do zasobów domeny lub lasu
lokalnego na tych samych zasadach co użytkownicy lokalni (pod
warunkiem ze posiadają odpowiednie uprawnienia).
" jeśli przychodząca relacja zaufania podlega uwierzytelnianiu
selektywnemu, to użytkownicy z drugiej domeny lub lasu mogą uzyskać
dostęp do zasobów lokalnych tylko pod warunkiem, ze posiadają
uprawnienie Allowed To Authenticate (Zezwalaj na uwierzytelnianie) w
stosunku do obiektu docelowego.
- 13-
Przekazywanie prawa własności obiektów
Przekazywanie prawa własności obiektów
" Sposoby przekazania prawa własności obiektu:
" obecny właściciel może nadać drugiemu użytkownikowi uprawnienie do
przejęcia obiektu na własność, po czym drugi użytkownik powinien
przejąć obiekt;
" administrator może przejąć na własność dowolny plik na komputerze.
Administrator nie może jednak przenieść prawa własności (i
odpowiedzialności za wykonywane czynności) do innych
użytkowników;
" użytkownik, który ma prawo do przywracania plików i katalogów, może
przypisać prawo własności dowolnemu użytkownikowi lub grupie.
- 14-
Delegacja kontroli administracyjnej
Delegacja kontroli administracyjnej
" Celem delegacji kontroli administracyjnej nad domenami, jednostkami
organizacyjnymi i kontenerami jest zapewnienie innym administratorom,
grupom lub użytkownikom możliwości zarządzania funkcjami zgodnie z ich
potrzebami.
" Kreator delegacji kontroli (Delegation Of Control Wizard) automatyzuje i
upraszcza proces konfigurowania uprawnień administracyjnych dla
domeny lub jednostki organizacyjnej.
" umożliwia on przypisanie uprawnień na poziomie domeny, jednostki
organizacyjnej lub kontenera
" w wypadku innych obiektów uprawnienia musza być przypisywane
ręcznie.
" W wypadku delegacji kontroli administracyjnej do użytkowników należy
upewnić się, że użytkownicy przyjmują odpowiedzialność za zarządzanie
delegowanymi obiektami i są odpowiednio przeszkoleni.
- 15-