Общее представление о службе Active Directory.
Active Directory представляет собой реализацию каталога и протоколов именования, основанных на стандарте Интернета. Active Directory использует СУБД для поддержки обмена транзактными сообщениями и поддерживает множество стандартов интерфейсов программирования приложений.
В этом разделе:
• Защита Active Directory
• Управление доступом в Active Directory
• Именование в Active Directory
• Хранилище данных каталога
• Протокол доступа к каталогам
Защита Active Directory
Active Directory обеспечивает безопасную среду каталогов организации, используя встроенную проверку подлинности и авторизацию пользователя при входе в систему. Для обеспечения повышенной безопасности Active Directory после ее развертывания используйте следующие рекомендации и предупреждения.
Внимание!
• Физической доступностью контроллера домена могут воспользоваться злоумышленники для несанкционированного доступа к зашифрованным паролям. Поэтому все контроллеры домена рекомендуется закрывать в помещении, доступ в которое имеют лишь те пользователи, которым он действительно необходим. Кроме того, следует ограничить членство в группах «Администраторы предприятия», «Администраторы домена», «Операторы учета», «Операторы сервера», «Опытные пользователи», «Операторы печати» и «Операторы архива».
|
Чтобы |
Используйте |
|
Установите доверительные отношения между двумя лесами, а также упростите администрирование безопасности и проверку подлинности между лесами. |
Доверие лесов
. |
|
Заставьте пользователей домена использовать надежные пароли. |
Групповая политика |
|
Включение политик аудита. Аудит журнал событий можно настроить таким образом, чтобы выдавались уведомления о действиях, которые могут сделать систему уязвимой. |
Групповая политика |
|
Назначьте права пользователя новым группам безопасности для определения административной роли пользователя в домене. |
Групповая политика |
|
Включить блокировку учетных записей пользователей для снижения вероятности проникновения злоумышленника в домен путем повторяющихся попыток входа в домен. |
Групповая политика
. |
|
Включить журнал паролей учетных записей пользователей для снижения вероятности проникновения злоумышленника в домен. |
Групповая политика
. |
|
Определить минимальный и максимальный сроки действия паролей учетных записей пользователей для снижения вероятности проникновения злоумышленника в домен. |
Групповая политика |
|
Проверять подлинность каждого пользователя, используя криптографию с применением открытых ключей. |
Инфраструктура открытого ключа
. |
|
Использовать безопасную рабочую среду, работая на компьютере без учетных данных администратора, когда они не требуются. |
Команду «Запуск от имени» |
|
Ограничить доступ пользователей, групп и компьютеров к общим ресурсам и отобрать параметры групповой политики. |
Группы безопасности |
|
Предотвратить атаки злоумышленников, которые могут пытаться передать расширенные права пользователя учетной записи другого пользователя. |
Отбор SID |
|
Обеспечить безошибочную проверку подлинности пользователей и безопасность электронной почты. |
Смарт-карты |
|
Использовать стойкое шифрование для защиты пароля учетной записи на локальных компьютерах, рядовых серверах и контроллерах домена. |
Служебную программу Syskey |
Управление доступом в Active Directory
По соображениям безопасности администраторы могут использовать управление доступом для контроля доступа пользователей к общим ресурсам. В Active Directory управление доступом осуществляется на уровне объектов путем задания для объектов разных уровней доступа или разрешений, таких как «Полный доступ», «Запись», «Чтение» или «Нет доступа». Управление доступом в Active Directory определяет, как различные пользователи могут использовать объекты Active Directory. По умолчанию используются самые строгие разрешения для объектов Active Directory.
Элементы, определяющие разрешения управления доступом к объектам Active Directory, включают дескрипторы безопасности, наследование объектов и проверку подлинности пользователей.
Дескрипторы безопасности
Разрешения на управление доступом назначаются общим объектам и объектам Active Directory для определения того, как разные пользователи могут использовать каждый объект. Общий объект или общий ресурс представляет собой объект, который предполагается использовать одним или несколькими пользователями по сети. Такими объектами могут быть файлы, принтеры, папки и службы. Разрешения управления доступом как к общим объектам, так и к объектам Active Directory, хранятся в их дескрипторах безопасности.
В дескрипторе безопасности содержатся две таблицы управления доступом (ACL), используемые для назначения и контроля сведений безопасности по каждому объекту: избирательная таблица управления доступом (DACL) и системная таблица управления доступом (SACL).
• Избирательные таблицы управления доступом (DACL). В DACL указаны пользователи и группы, которым разрешен или запрещен доступ к объекту. Если пользователь или группы, в которые он входит, явно не указаны в DACL, этому пользователю будет запрещен доступ к объекту. По умолчанию DACL управляется владельцем объекта или пользователем, который создал этот объект, и содержит записи управления доступом (ACE — access control entries), определяющие доступ пользователя к объекту.
• Системные таблицы управления доступом (SACL). В SACL указаны пользователи и группы, для которых требуется выполнять аудит успешных и безуспешных попыток доступа к объекту. Аудит служит для наблюдения за событиями, относящимися к безопасности системы или сети, для обнаружения недостатков в системе безопасности и для определения объемов и расположения любых повреждений. По умолчанию SACL управляется владельцем объекта или создавшим его пользователем. SACL содержит записи управления доступом, определяющие, требуется ли записывать успешные или безуспешные попытки доступа пользователя к объекту с использованием данного разрешения, например «Полный доступ» или «Чтение».
Чтобы просмотреть DACL и SACL объектов Active Directory, в оснастке «Active Directory – пользователи и компьютеры» установите в меню Вид флажок Дополнительные функции. Это позволит открывать вкладку Безопасность в свойствах каждого объекта.
По умолчанию DACL и SACL связаны с каждым объектом Active Directory, что снижает вероятность сетевых атак злоумышленников и случайные ошибки пользователей домена. Однако, если злоумышленник узнает имя и пароль любой учетной записи, имеющей права администрирования Active Directory, данный лес будет уязвим для атак.
Наследование объектов
По умолчанию объекты Active Directory наследуют ACE из дескриптора безопасности объекта родительского контейнера. Наследование позволяет применять сведения управления доступом, определенные для объекта контейнера Active Directory, к дескрипторам безопасности любого подчиненного объекта, включая другие контейнеры и их объекты. Это избавляет от необходимости применять разрешения к каждому новому дочернему объекту. При необходимости можно изменить наследуемые разрешения. Однако рекомендуется не изменять используемые по умолчанию разрешения и параметры наследования объектов Active Directory
Проверка подлинности пользователя
Active Directory также проверяет подлинность пользователей, групп и компьютеров и разрешает им доступ к объектам в сети. Локальный администратор безопасности (Local Security Authority, LSA) представляет собой подсистему безопасности, ответственную за все интерактивные службы проверки подлинности и авторизации на локальном компьютере. Локальный администратор безопасности также служит для обработки запросов проверки подлинности по протоколу Kerberos V5 или NTLM в Active Directory.
Как только подлинность пользователя подтверждена в Active Directory, локальный администратор безопасности проверяющего контроллера домена создает описатель доступа пользователя и связывает с этим пользователем идентификатор безопасности.
• Описатель доступа. Когда пользователь проходит проверку подлинности, LSA создает описатель доступа для этого пользователя. Описатель доступа содержит имя пользователя, группы, в которые входит этот пользователь, идентификатор безопасности этого пользователя, все идентификаторы безопасности групп, в которые входит этот пользователь. Если добавить пользователя в группу после того, как описатель доступа уже выдан, для обновления описателя доступа необходимо завершить сеанс пользователя, а затем снова войти в систему.
• Идентификатор безопасности (Security ID, SID). Active Directory автоматически назначает SID объектам-участникам безопасности в момент их создания. Участниками безопасности являются учетные записи Active Directory, которым можно назначать разрешения, такие как учетные записи компьютеров, групп и пользователей. Как только SID выдается прошедшему проверку подлинности пользователю, он связывается с описателем доступа этого пользователя.
Сведения описателя доступа используются для определения уровня доступа пользователя к объектам, когда пользователь пытается обратиться к этим объектам. SID описателя доступа сравниваются со списком SID, являющимся DACL объекта, для проверки наличия у пользователя разрешений, необходимых для доступа к объекту. Это обусловлено тем, что в процессе управления доступом учетные записи пользователей опознаются не по имени, а по SID.
Именование в Active Directory
Имя домена Active Directory обычно является полным DNS-именем домена. Тем не менее, для обеспечения обратной совместимости каждый домен также имеет пред-Windows 2000 имя для использования компьютерами с операционными системами предыдущих версий Windows. Пред-Windows 2000 имя домена может использоваться для входа в домен Windows Server 2003 с компьютеров с операционными системами предыдущих версий Windows, при этом используется следующий формат: имя_домена\имя_пользователя. Этот же формат может использоваться для входа в домен Windows Server 2003 с компьютера под управлением Windows 2000, Windows XP; или с сервера под управлением Windows Server 2003. Можно также использовать имя участника-пользователя (UPN), связанное с соответствующей учетной записью, для входа на компьютер под управлением Windows 2000, Windows XP; или на сервер под управлением Windows Server 2003.
Учетные записи пользователей
В Active Directory каждая учетная запись пользователя имеет имя входа пользователя, пред-Windows 2000 имя входа пользователя (имя учетной записи диспетчера учетных записей безопасности) и суффикс UPN. При создании учетной записи пользователя администратор указывает имя входа пользователя и выбирает суффикс UPN. Active Directory составляет пред-Windows 2000 имя входа пользователя, используя первые 20 байт имени входа пользователя. Пред-Windows 2000 имя входа пользователя в любое время может быть изменено администраторами.
В Active Directory каждая учетная запись пользователя имеет имя участника-пользователя в соответствии с документом IETF RFC 822 Standard for the Format of ARPA Internet Text Messages. Имя участника-пользователя составляется из имени входа пользователя и суффикса имени участника-пользователя, соединенных знаком «@».
Учетные записи компьютеров
Каждая учетная запись компьютера в Active Directory имеет относительное различающееся имя, пред-Windows 2000 имя компьютера (имя учетной записи диспетчера учетных записей безопасности), основной DNS-суффикс, DNS-имя узла и имя участника-службы. Администратор указывает имя компьютера при создании учетной записи. Это имя компьютера используется в качестве относительного различающегося имени LDAP.
Active Directory составляет пред-Windows 2000 имя, используя первые 15 байт относительного различающегося имени. Пред-Windows 2000 имя в любое время может быть изменено администратором.
DNS-имя узла называется полным именем компьютера и является полным доменным именем DNS. Полное имя компьютера состоит из имени компьютера (первые 15 байт имени учетной записи SAM компьютера без знака «$») и основного DNS-суффикса (DNS-имени домена, в котором создана эта учетная запись компьютера). Оно указано на вкладке Имя компьютера компонента «Свойства системы» панели управления.
По умолчанию основной DNS-суффикс полного доменного имени компьютера должен совпадать с именем домена Active Directory, к которому принадлежит этот компьютер. Чтобы разрешить использование других основных DNS-суффиксов, администратор домена может создать ограниченный список разрешенных суффиксов, создав атрибут msDS-AllowedDNSSuffixes контейнера объекта домена. Этот атрибут создается и управляется администратором домена через интерфейсы ADSI или по протоколу LDAP.
Имя участника-службы является многозначным атрибутом. Обычно оно строится на основе DNS-имени узла. Имя участника-службы используется в процессе взаимной проверки подлинности между клиентом и сервером, на котором работает определенная служба. Клиент находит учетную запись компьютера, основанную на имени участника-службы, к которой он пытается подключиться. Имя участника-службы могут изменять члены группы «Администраторы домена».
Хранилище данных каталога
Хранилище данных в службе каталогов Active Directory используется для данных всех каталогов. Это хранилище данных часто называется каталогом. Этот каталог содержит сведения о таких объектах, как пользователи, группы, компьютеры, домены, подразделения и политики безопасности. Эти сведения могут быть опубликованы для использования пользователями и администраторами.
Каталог хранится на контроллерах домена и доступен для сетевых приложений или служб. В домене может быть один или несколько контроллеров домена. Каждый контроллер домена содержит копию каталога для всего домена, в котором он расположен. Изменения каталога, выполненные на одном контроллере домена, реплицируются на другие контроллеры домена, на дерево доменов или лес. В Active Directory для хранения и копирования различных типов данных используются четыре различных типа раздела каталога. Разделы каталога содержат домен, конфигурацию, схему и данные приложения. Данная модель хранения и репликации предоставляет данные каталогов пользователям и администраторам домена.
Данные каталога хранятся в файле Ntds.dit на контроллере домена. Рекомендуется размещать данный файл в разделе NTFS. Дополнительные сведения о средстве управления базой данных и файлами журналов Active Directory см. в разделе Файлы программы Ntdsutil. Важные данные хранятся под защитой, а общие данные каталога — на общем системном томе, где они могут реплицироваться на остальные контроллеры домена.
Между контроллерами домена реплицируются следующие данные каталога.
• Данные домена
Данные домена содержат сведения об объектах домена. Это такие сведения, как адреса электронной почты, атрибуты учетных записей пользователей и компьютеров и опубликованные ресурсы, представляющие интерес для администраторов и пользователей.
Например, когда учетная запись пользователя добавляется в сеть, объект учетной записи пользователя и данные атрибута сохраняются в данных домена. При изменении объектов в каталоге организации, например при создании, удалении объекта или изменении атрибута объекта, эти сведения сохраняются в данных домена.
• Данные конфигурации
Данные конфигурации описывают топологию каталога. Эти данные включают список всех доменов, деревьев и лесов, а также местонахождение контроллеров доменов и глобальных каталогов.
• Данные схемы
Схема — это формальное определение всех объектов и данных атрибута, которые могут храниться в каталоге. Контроллеры домена, работающие под управлением Windows Server 2003, содержат схему по умолчанию, определяющую различные типы объектов, такие как учетные записи компьютеров, группы, домены, организационные подразделения и политики безопасности. Администраторы и программисты могут расширить схему, определяя новые типы объектов и атрибутов или добавляя новые атрибуты для существующих объектов. Объекты схемы защищены с помощью таблиц управления доступом, которые предоставляют возможность изменения схемы только пользователям, прошедших проверку.
• Данные приложений
Данные, хранящиеся в разделе каталога приложений, предназначены для случаев, когда сведения необходимо реплицировать в небольшом масштабе. Разделы каталога приложений по умолчанию не являются частью хранилища данных каталога, они должны создаваться, настраиваться и управляться администратором.
Квоты и разделы каталога
Квоты, новая возможность контроллеров домена в Windows Server 2003, определяют количество объектов, которыми участник безопасности может владеть в данном разделе каталога. (Обычно, но не всегда, владельцем объекта является его создатель.) Квоты позволяют предотвратить отказ в работе служб, возникающий при случайном или намеренном создании участником безопасности объектов до тех пор, пока контроллер домена не исчерпает весь объем дискового пространства.
Квоты задаются и администрируются отдельно для каждого раздела каталога. Однако для раздела схемы квоты не устанавливаются. В заданном разделе каталога можно назначать квоты любому участнику безопасности, включая пользователей, inetOrgPersons, компьютеры и группы. Члены групп «Администраторы домена» и «Администраторы предприятия» освобождаются от квот. В некоторых случаях участнику безопасности может быть назначено несколько квот. Например, пользователю может быть назначена индивидуальная квота, при этом он может входить в одну или несколько групп безопасности, которым также назначены квоты. В таких случаях эффективной является максимальная назначенная квота.
Если участнику безопасности напрямую или через членство в группе не назначена квота, то используется квота раздела по умолчанию. Если квота по умолчанию для данного раздела не установлена явно, то квота по умолчанию является неограниченной.
Объекты-захоронения, владельцем которых является участник безопасности, также потребляют часть его квоты. Для каждого раздела можно задать фактор квоты захоронения, чтобы определить весовой коэффициент захороненных объектов при подсчете квоты. Например, если фактор квоты захоронения для данного раздела равен 25 (или 25%), то объект-захоронение в разделе рассматривается как 0,25 (или 1/4) обычного объекта. Если в данном разделе для квоты пользователя установлено значение 100, то пользователь может обладать максимум 100 обычными объектами или максимум 400 захороненными объектами. Исходно значением по умолчанию фактора квоты захоронения для каждого раздела является 100 (или 100%), то есть обычные и захороненные объекты имеют равный вес.
Следующий пример иллюстрирует возможности использования квот. Рассмотрим домен «sales.northwindtraders.com». Поскольку домен выполняет большое число операций печати, он содержит несколько серверов, каждый из которых поддерживает 1000 или более очередей печати. Исходно квота по умолчанию для раздела домена sales.northwindtraders.com неограничена. Для облегчения контроля за числом создаваемых и принадлежащих пользователям объектов администратор устанавливает для квоты по умолчанию значение 500. Теперь каждый пользователь может обладать максимум 500 объектами раздела. Поскольку очереди печати являются объектами каталога, которые создаются и принадлежат соответствующим серверам печати, то новое значение по умолчанию для квоты устанавливает предельное число очередей печати для каждого сервера печати равным 500. Чтобы снять это ограничение, администратор создает группу «Сервера печати» и добавляет в нее учетные записи всех принтеров печати. Затем администратор задает для квоты данной группы значение 2000. Теперь каждый принтер печати может поддерживать исходное число очередей печати, в то время как квота по умолчанию предотвращает чрезмерное создание объектов остальными участниками безопасности.
Только контроллеры домена, работающие под управлением Windows Server 2003, могут задавать квоты. Квоты используются только в исходных операциях над каталогом и не используются в операциях репликации. Чтобы квоты были полностью эффективны для любого заданного раздела каталога, все контроллеры домена, содержащие изменяемую копию этого раздела, должны работать под управлением Windows Server 2003 . Следовательно, чтобы квоты для раздела каталога домена были эффективны, все контроллеры домена в этом домене должны работать под управлением Windows Server 2003. Чтобы квоты были эффективными для раздела конфигурации, все контроллеры домена в лесу должны работать под управлением Windows Server 2003.
Протокол доступа к каталогам
При входе в сеть и при поиске общих ресурсов клиенты Active Directory должны взаимодействовать с контроллерами домена. Доступ к контроллерам домена и глобальным каталогам выполняется при помощи протокола LDAP.
Протокол LDAP
LDAP является протоколом связи, предназначенным для использования в сетях TCP/IP. Протокол LDAP определяет способ доступа клиента каталога к серверу каталога и метод, с помощью которого клиент может выполнять операции каталога и распределять данные каталога. Стандарты LDAP устанавливаются рабочими группами IETF (Internet Engineering Task Force). Active Directory реализует проект спецификаций атрибутов LDAP и стандарты IETF для LDAP версий 2 и 3.
Название LDAP означает, что этот протокол разработан как эффективный метод для доступа к службам каталогов без сложности, присущей другим протоколам служб каталогов. Поскольку LDAP определяет операции, которые могут выполняться для запроса и изменения сведений в каталоге, и способ безопасного доступа к сведениям каталога, можно использовать LDAP для поиска или перечисления объектов каталога, а также для запроса или администрирования Active Directory.
LDAP и взаимодействие
LDAP является открытым стандартом Интернета. При использовании протокола LDAP Active Directory разрешает взаимодействие с другими службами каталогов поставщиков. Поддержка Active Directory для LDAP включает объект поставщика LDAP как часть интерфейсов (ADSI). ADSI поддерживает интерфейсы программирования приложений с передачей параметров в стиле языка Си для LDAP. Другие приложения служб каталогов могут быть легко изменены для доступа к сведениям в Active Directory с помощью ADSI и LDAP.