07.12.2011
Active Directory. Некоторые вопросы безопасности.
При добавлении компьютера в домен AD необходимо его предварительное размещение (создание учетной записи компьютера в AD). Это обусловлено некоторыми аспектами безопасности.
При присоединении компьютера к домену без его предварительного размещения, учетная запись компьютера создается в контейнере по умолчанию (Computers). Этот контейнер уступает по возможностям организационному подразделению и соответственно к компьютеру, включенному в этот контейнер не будут применяться объекты групповой политики, скрипты входа и выхода. Чтобы сменить контейнер по умолчанию, необходимо выполнить команду redircmp "DN_подразделения для новых объектов компьютеров" (например так redircmp ou=newcomputerou,dc=domainname,dc=com). Тогда новые компьютеры по умолчанию будут создаваться в указанном подразделении.
Если учетная запись компьютера не была размещена предварительно, то Windows позволяет любому, прошедшему проверку подлинности создать объект компьютера в контейнере по умолчанию. Это является брешью в безопасности. По умолчанию любому, прошедшему проверку подлинности, разрешено создать до 10 компьютеров. Эти данные указаны в атрибуте ms-DS-MachineAccountQuota домена. Рекомендуется установить значение 0. После присвоения этому атрибуту значения 0 присоединять компьютеры к домену смогут только те пользователи, которым явным образом делегированы разрешения на присоединение к предварительно размещенным объектам компьютеров или создание новых компьютеров.
При присоединении компьютера к домену без его предварительного размещения, учетная запись компьютера создается в контейнере по умолчанию (Computers). Этот контейнер уступает по возможностям организационному подразделению и соответственно к компьютеру, включенному в этот контейнер не будут применяться объекты групповой политики, скрипты входа и выхода. Чтобы сменить контейнер по умолчанию, необходимо выполнить команду redircmp "DN_подразделения для новых объектов компьютеров" (например так redircmp ou=newcomputerou,dc=domainname,dc=com). Тогда новые компьютеры по умолчанию будут создаваться в указанном подразделении.
Если учетная запись компьютера не была размещена предварительно, то Windows позволяет любому, прошедшему проверку подлинности создать объект компьютера в контейнере по умолчанию. Это является брешью в безопасности. По умолчанию любому, прошедшему проверку подлинности, разрешено создать до 10 компьютеров. Эти данные указаны в атрибуте ms-DS-MachineAccountQuota домена. Рекомендуется установить значение 0. После присвоения этому атрибуту значения 0 присоединять компьютеры к домену смогут только те пользователи, которым явным образом делегированы разрешения на присоединение к предварительно размещенным объектам компьютеров или создание новых компьютеров.
Windows и Active Directory. Особые объекты идентификации
В Windows и Active Directory поддерживаются особые объекты идентификации, членством которых в группах управляет ОС. Их нельзя добавлять в группы, просматривать и модифицировать их параметры. Однако, их можно использовать для назначения прав и разрешений доступа.
Active Directory. Группы по умолчанию
В Windows Server создаётся множество локальных групп по умолчанию. Рассмотрим те из них, которым предоставлены права, связанные с управлением Active Directory.
Группы в Active Directory. Чтобы не забыть
В AD существует несколько типов групп. По рекомендациям от МС и вообще "православно" следующее распределение:
Пользователи по какому-либо признаку (географическому, бизнес-подразделения) группируются в глобальные группы.
По правам доступа создаются локальные доменные группы.
Пример:
В компании существует отдел Бухгалтерия. Всем пользователям этого отдела требуется доступ на запись к сетевому ресурсу "Бухгалтерские документы" и доступ на печать к принтеру, находящемуся в их офисе.
1. Создаём глобальную группу Бухгалтерия, членами которой будут являться сотрудники бухгалтерии.
2. Создаём локальную доменную группу ACL_Buhgalteria_Share_RW. Даём этой группе разрешения на чтение/запись в сетевой ресурс.
3. Создаём локальную группу домена ACL_Buhgalteria_Printer. Этой группе даём доступ на печать на нужном принтере.
4. Делаем членом двух последних групп группу Бухгалтерия.
Теперь у глобальной группы Бухгалтерия будет доступ к принтеру и сетевой папке. Если нужно дать доступ к этим ресурсам ещё кому-либо, нужно всего лишь добавить нужную группу/пользователя в одну из групп ACL.
Пользователи по какому-либо признаку (географическому, бизнес-подразделения) группируются в глобальные группы.
По правам доступа создаются локальные доменные группы.
Пример:
В компании существует отдел Бухгалтерия. Всем пользователям этого отдела требуется доступ на запись к сетевому ресурсу "Бухгалтерские документы" и доступ на печать к принтеру, находящемуся в их офисе.
1. Создаём глобальную группу Бухгалтерия, членами которой будут являться сотрудники бухгалтерии.
2. Создаём локальную доменную группу ACL_Buhgalteria_Share_RW. Даём этой группе разрешения на чтение/запись в сетевой ресурс.
3. Создаём локальную группу домена ACL_Buhgalteria_Printer. Этой группе даём доступ на печать на нужном принтере.
4. Делаем членом двух последних групп группу Бухгалтерия.
Теперь у глобальной группы Бухгалтерия будет доступ к принтеру и сетевой папке. Если нужно дать доступ к этим ресурсам ещё кому-либо, нужно всего лишь добавить нужную группу/пользователя в одну из групп ACL.
05.12.2011
Сертификация Microsoft
Сертификация специалистов является подтверждением их знаний и навыков, позволяет изучить новые темы в процессе подготовки, повышает уровень заинтересованности в специалисте со стороны работодателя и просто повышает ЧСВ.
Наверное, простейшая сертификация, которая приходит в голову админу и пригодиться практически везде, это сертификация от Microsoft.
У MS очень запутанная информация о системе сертификации специалистов (как впрочем и вся остальная информация на их сайтах, где без поллитры не разберёшься). Поэтому здесь я решил расписать вкратце о начальных сертификатах.
Наверное, простейшая сертификация, которая приходит в голову админу и пригодиться практически везде, это сертификация от Microsoft.
У MS очень запутанная информация о системе сертификации специалистов (как впрочем и вся остальная информация на их сайтах, где без поллитры не разберёшься). Поэтому здесь я решил расписать вкратце о начальных сертификатах.
Подписаться на:
Сообщения (Atom)