І. Б. Трегубенко О. В. Коваль безпека корпоративних мереж. Служба каталогу active directory

Вид материала

Документы

Содержание Рекомендації до виконання роботи Find (Найти) Advanced (Дополнительно) New Query (Новый запрос) Enter The Object Names To Select (Введите имена выбираемых объектов) Tasks To Delegate (Делегируемые задачи) Only The Following Objects In The Folder (Только следующими объектами в этой папке) Permissions (Разрешения) Properties (Свойства) Object (Объект) Permissions (Разрешения) Completing The Delegation Of Control Wizard (Завершение работы мастера делегирования управления). Security (Безопасность) Наслідування групових політик. Рекомендації до виконання роботи User Configuration/Administrative Templates/Desktop Always wait for the network at computer startup and logon (При включении компьютера и входе пользователя всегда дожидаться ответ

Подобный материал:

• На правах рукописи, 1970.76kb.
• Телефон: +7-902-991-3258 (сотовый), 18.27kb.
• 003 и желающих получить аналогичные знания и навыки для администрирования серверов, 106.39kb.
• Active Directory Rights Management Services ad rms в составе ос windows Server® 2008., 872.38kb.
• Active Channel Узел Web, автоматически поставляемый на рабочий стол пользователя. , 316.14kb.
• План Основні поняття > Іntranet корпоративна мережа Вимоги до корпоративних мереж, 17.4kb.
• Список литературы на тему воспитание и образование детей в Древней Руси. Коваль Т.,, 14.67kb.
• Действительный залог(the Active Voice) и страдательный залог (the passive voice), 38.59kb.
• Перелік виставкових заходів нк «Експоцентр України», які потребують державної підтримки, 94.99kb.
• Безпека, 3519.8kb.

Завдання

Необхідно:

• створити в кожному домені організаційні підрозділи, структура яких повторює організаційну структуру підприємства, т.т. для кожного відділу створити організаційний підрозділ, назва якого буде відповідати назві відділу підприємства;
  
• перенести облікові записи користувачів по відповідних підрозділах;
  
• для організації процедури пошуку об’єктів Active Directory встановити властивості облікових записів користувачів, приведені в таблиці:
  

Вкладка вікна властивостей	Властивість	Значення
Organization	Depatment (підрозділ)	Назва підрозділу
	Company	Назва компанії, або філіалу
Address	Street	Адреса користувача
	City	--------“-------
	Country	--------“-------
Telephone	Home	Домашній телефон
	Mobil	Мобільний телефон

• ознайомитися із всіма можливостями здійснення пошуку об’єктів в Active Directory.
  
• організувати пошук об’єктів Active Directory по наступних критеріях:
  

В домені Study1.local:

• організуйте пошук користувача по имені
  
• організуйте пошук користувача по номеру домашнього телефону
  
• організуйте пошук користувачів, що відносяться до одного відділу
  
• організуйте пошук користувачів із домену Study2.local по довільному критерію
  
• організуйте пошук користувачів із домену Kv.study1.local по довільному критерію
  
• сформуйте запит LDAP для пошуку підрозділів, які починаються з символів OU_
  
• сформуйте запит LDAP для пошуку об’єктів, які містять в своїй назві сполучення символів se
  

В домені Study2.local:

• організуйте пошук користувачів з одного міста.
  
• організуйте пошук користувачів із домену Study1.local по довільному критерію
  
• організуйте пошук користувачів із домену Kv.study1.local по довільному критерію
  

• зберегти запит пошуку об’єктів довільного змісту.
  
• делегувати адміністративні повноваження користувачам із відділу ІТ створювати, видаляти, та управляти записами користувачів та групами в організаційному підрозділі ІТ.
  
• зареєструватися в домені під іменем користувача відділу ІТ та перевірити функціональність делегування, створивши в організаційному підрозділі ІТ глобальну групу. Видалити створену глобальну групу.
  
• видалити делеговані адміністративні повноваження;
  
• делегувати адміністративні повноваження користувачам із відділу ІТ створювати, видаляти, та управляти обліковими записами користувачів у всіх доменах лісу, а також делегувати повноваження змінювати членство в групах у всіх доменах лісу;
  
• делегувати адміністративні повноваження користувачам із відділу ІТ створювати організаційні підрозділи в контейнерах з обліковими записами користувачів із торгівельних відділів домені Kv.study1.local та Study2.local.
  

РЕКОМЕНДАЦІЇ ДО ВИКОНАННЯ РОБОТИ


Організація ієрархічної структури Active Directory

1. Створення організаційного підрозділу. (На прикладі організаційного підрозділу OU_Management в домені Study1.local, що відповідає відділу управління)
   

1. Запустіть від імені Адміністратор консоль Active Directory – Users and Computers.
   
2. Із контекстного меню контейнера Study1.local виберіть команду New/Organization unit.
   
3. Введіть ім`я нової організаційного підрозділу.
   

2. Розміщення облікових записів користувачів по організаційним підрозділам. (На прикладі користувачів відділу управління домена Study1.local)
   

1. В лівому підвікні консолі Active Directory – Users and Computers домена Study1.local розгорніть контейнер Users. В правому вікні виділіть всі облікові записи користувачів з відділу управління. Клацніть по виділеній групі правою кнопкою миші та виберіть із контекстного меню команду Move. Відобразиться діалогове вікно з структурою домена Active Directory.
   
2. У діалоговому вікні, що з'явилося, клацніть по контейнеру OU_Management і натисніть кнопку ОК. Не забудьте перемістити і шаблони облікових записів.
   

Пошук об'єктів Active Directory

2. Організація пошуку об’єктів Active Directory.
   

1. Зареєструйтеся на контролері домена Study1.local як адміністратор та відкрийте консоль Active Directory Users And Computers (Active Directory— пользователи и компьютеры).
   
2. В дереві консолі клацніть правою кнопкою на запису домена, подрозділа чи контейнера, в межах якого необхідно провести пошук, і виберіть в кон­текстному меню пункт Find (Найти).
   
3. Введіть тип об’єкта, що необхідно знайти в списку Find (Найти) діалогового вікна. Перевірте наявність запису домена, подрозділу чи контейнера, в якому необхідно провести пошук, в списку In (В), якщо потрібно, змініть область пошуку. При вказанні любого типа об’єкта під списком Find (Найти) з’являєтся одноіменна вкладка. Вміст цієї вклад­ки змінюється в залежності від вибраного типу об’єктів. Заповніть поля. Якщо критеріїв пошуку вказано достатньо, то на даному етапі можна вже приступати до пошуку, клацнувши кнопку Find Now (Начать поиск). Якщо критеріїв для пошуку недостатньо, можна вказати додаткові критерії пощуку перейшовши на вкладку Дополнительно (Advanced).
   

Примітка: Якщо в списку Find (Найти) вибрати пункт Custom Search (Пользовательский поиск), функція самостійно сформує запрос LDAP на основі параметрів, введених у вкладці Advanced (Дополнительно), або надасть можливість користувачу сформувати такий запит. Наприклад, по запиту LDAP OU=*er* проводиться пошук всіх організаційних підрозділів, в іменах яких міститься сполучення символів er. В результаті буде знайдено підрозділ Domain Controllers.

4. При необхідності введіть додаткові критерії пошуку. Для цього перейдіть на вкладку Advanced (Дополнительно) та виберіть у вікні Field (Поле) атрибут, по якому буде проводитися пошук. Далі потрібно конкретизувати умови пошуку за допомогою методів, представлених в списку Condition List (Список условий). Введіть значення умови поля (атрибута), по якому будет проводитися пошук, у вікні Value (Значення). Щоб добавити нові спеціальні критерії пошуку у вікно, разміщене під кнопкою Add (Добавить) натисніть цю кнопку.
   
5. Клацніть кнопку Find Now (Начать поиск). Результати пошука разом із критеріями будуть виведені в нижній секції вікна Find (Найти).
   
6. Якщо потрібно почати новий пошук, клацніть кнопку Clear All (Очистить все).
   

2. Збереження запиту на пошук.
   

1. Зареєструйтеся на контролері домена Study1.local як адміністратор та відкрийте консоль Active Directory Users And Computers (Active Directory— пользователи и компьютеры).
   
2. В дереві консолі клацніть правою кнопкою миші на папці Saved Queries (Сохраненные запросы ) або на одній із її підпапок (яку в процесі Ви можете створити) — в залежності від того, де потрібно зберегти запит. В контекстному меню виберіть New\Query (Создать\Запрос).
   
3. Вкажіть в полі Name (Имя) діалогового вікна New Query (Новый запрос) ім’я нового запиту. В поле Description (Описание) введіть його опис. Перевірте, чи вказаний контейнер, з якого буде розпочато пошук, в поле Query Root (Корневой запрос). В протилежному випадку, натиснувши кнопку Browse (Обзор), вкажіть місце розташування контейнера. Для того щоб провести пошук по всіх підконтейнерах вказаного контейнера, встановіть прапорець Include Subcontainers (Включая подконтейнеры). Клацніть кнопку Define Query (Запрос).
   
4. Далі задайте криерії пошуку, аналогічно описаній процедурі пошуку об’єктів.
   
5. Клацніть кнопку ОК в діалоговому вікні New Query (Новый запрос). Результати пошуку разом із його критеріями будут виведені в правій секції вікна.
   

Делегування адміністративних повноважень

2. Делегування адміністративних повноважень.
   

1. Відкрийте консоль Active Directory Users And Computers (Active Directory— пользователи и компьютеры).
   
2. Клацніть правою кнопкою миші на запису домена, підрозділа або контейнера, в якому будуть діяти делеговані повноваження, виберіть в контекстному меню пункт Delegate Control (Делегирование управления).
   
3. Клацніть кнопку Next (Далее) на сторінці Мастер делегирования управления (Welcome То The Delegation Of Control Wizard).
   
4. На сторінці Users Or Groups (Пользователи или группы) клацніть кнопку Add (Добавить).
   
5. Введіть ім’я користувача або групи, якій делегуються адміністративні повноваження, в поле Enter The Object Names To Select (Введите имена выбираемых объектов) діалогового вікна Select Users, Computers, Or Groups (Выбор: пользователи, компьютеры или груп­пы). Послідовно натисніть кнопки ОК та Next (Да­лее) на строрінці Users Or Groups (Пользователи или группы).
   
6. На сторінці Tasks To Delegate (Делегируемые задачи) виконайте одну із наступних дій:
   

1. Якщо потрібно делегувати одну із задач, що представлені в списку, клацніть кнопку Delegate The Following Common Tasks (Делегировать следующие обычные задачи) та вкажіть цю задачу. Натиснувши кнопку Next (Далее), переходьте до кроку 5.10.
   
2. Якщо потрібно делегувати задачу, яка не представлена в спискупоставте маркер у рядку Create A Custom Task To Delegate (Создать особую задачу для делегирования) та натисніть Next (Далее).
   

Пункти 5.7-5.9 виконуються при виборі варіанта b) в пункті 5.6.

1. Опинившись на сторінці Active Directory Object Тyре (Тип объекта Active Directory), виконайте одну із наступних дій:
   

• Якщо необхідно делегувати управління всім контейнером, всіма існуючими об’єктами контейнера та всіма новими об’єктами, які будуть створені в цьому контейнері, виберіть This Folder, Existing Objects In This Folder, And Creation Of New Objects In This Folder (Этой папкой, существующими в ней объектами и созданием новых объектов в этой папке).
  
• Якщо необхідно делегувати управління окремими об’єктами в складі контейнера, виберіть Only The Following Objects In The Folder (Только следующими объектами в этой папке) та вкажіть потрібні об’єкти. Якщо потрібно обмежити повноваження користувача або групи створенням у складі даного кон­тейнера вказаних об’єктів, виберіть Create Selected Objects In This Folder (Создать в этой папке выбранные объекты). Якщо їх повноваження, наоборот, потрібно звести до видалення із контейнера вказаних об’єктів, виберіть Delete Selected Objects In This Folder (Удалить из папки выбранные объекты).
  

1. При появі на екрані сторінки Permissions (Разрешения), виконайте одну із наступних дій:
   

• Щоб вивести загальні дозволи (що представлені у вкладці Security (Безопасность) діалогового вікна Properties (Свойства) відповідного об’єкта, виберіть в секції Permissions (Разрешения) пункт General (Общие).
  
• Щоб вивести дозволи, які діють відносно окремих властивостей [вони представлені у вкладці Properties (Свойства) діалогового вікна Permission Entry (Элемент разрешения) відповідного об’єкта], виберіть в секції Permissions (Разрешения) пункт Property-Specific (Разрешения для свойств).
  
• Щоб вивести дозволи, що діють по відношенню до всього об’єкта [вони перераховані у вкладці Object (Объект) діалогового вікна Permission Entry (Элемент разрешение) відповідного об’єкта], виберіть в секції Permission (Разрешение) пункт Creation/Deletion Of Specific Child Objects (Разрешения для сворення або видалення дочірніх об’єктів).
  

9. Позначивши в секції Permissions (Разрешения) вагу дозволів відносно контейнера або вибраних об’єктів, які потрібно делегувати вказаним користувачам або групі, клацніть кнопку Next (Далее).
   
10. Перевірте виконані настройки на сторінці Completing The Delegation Of Control Wizard (Завершение работы мастера делегирования управления). Клацніть кнопку Finish (Готово).
    
11. Перевірте перелік дозволів, делегованих по відношенню до контейнера або його об’єктів, відкривши вкладку Security (Безопасность) діалогового вікна Properties (Свой­ства), або в діалоговому вікні Advanced Security Settings (Дополнительные параметры безопасно­сти).
    

2. Видалення делегування адміністративних повноважень.
   

1. Зареєструйтеся на сервері, де делеговано адміністративні повноваження, як адміністратор.
   
2. Виділивши запис домена, виконайте команду View/Advanced Features.
   
3. Із контекстного меню контейнера, організаційного підрозділа або домена, в якому були делеговані певні адміністративні дії, виберіть команду Properties (Свойства).
   
4. Перейдіть на вкладку Security (Безопасность), виберіть запис об’єкта, якому делеговано адміністративні повноваження та зніміть прапорці напроти тих, дій які були дозволені.
   
5. Натисніть кнопку Advanced (Дополнительно), виберіть запис користувача, якому делеговано певні адміністративні повноваження та, натиснувши кнопку Edit, зніміть прапорці навпроти тих дій, які делеговані.
   

4.11. Настроювання та застосування групових політик.

Робота з об`єктами групової політики.

Наслідування групових політик.

Механізми зміни застосування правил групових політик.


Мета: Засвоїти поняття групової політики, навчитися створювати ієрархічну структуру Active Directory для подальшої ефективної організації групових політик, освоїти поняття об`єкта групової політики, освоїти процеси наслідування об`єктів групової політики. навчитися організовувати механізми зміни застосування правил групової політики.


Технічне забезпечення.

Для виконання завдання представлено частину корпоративної мережі підприємства, до складу доменної моделі якої входить дерево Study1.local. В склад дерева Study1.local входить домен Study1.local з контролером домена srv1 та дочірній домен Kv.Study1.local з контролером домена srv2. В домені Kv.Study1.local до контролера домена підключено робочу станцію kl1. Схематично структура доменів із позначеннями комп’ютерів представлена на рисунку 4.14.





Рис. 4.14 – Схематичне представлення лабораторного стенда


Також введені облікові записи користувачів і організована ієрархічна структура Active Directory у вигляді:

Назва домену	Назва організаційної одиниці домену	Ім’я входа облікового запису користувача	Пароль	Им’я
	OU_Management	user1_1	Parol_user_1_1	User1_1
Study1. local	OU_Finansi	user2_1	Parol_user_2_1	User2_1
	OU_Byxgalteria	user3_1	Parol_user_3_1	User3_1
		user4_1	Parol_user_4_1	User4_1
	OU_Shop	user1_2	Parol_user_1_2	User1_2
Kv.study1. local		user2_2	Parol_user_2_2	User2_2
	OU_Sklad	user3_2	Parol_user_3_2	User3_2

Завдання

Необхідно:

• створити групову політику на рівні домену Study1.local для безпечної роботи користувачів мережі, в основі якої лежить обмеження можливостей при використанні Головного меню та Робочого столу, обмеження запуску деяких додатків Windows та заборони реєстрації користувачів без відповіді мережі.
  

• виконати фільтрацію об`єктів групової політики.
  

• створити групову політику на рівні організаційних підрозділів, яка базується на доповненні обмежень в діях користувачів в залежності від підрозділів, до яких вони відносяться.
  

Так, для користувачів бухгалтерії закрити доступ до Панелі управління та обмежити можливості програми Проводник Windows.

Користувачі фінансового відділу, не маючи доступу до Панелі управління, повинні мати можливість змінювати мову та розкладки клавіатури.

Директора підприємства повинні мати доступ до всього.

• створити групову політику, що забезпечує безпеку зберігання документів користувачів, на прикладі переадресації папки «Мои документы» на сервер в домені Kv.study1.local.
  

• організувати замикання групової політики на наступному прикладі:
  

комп`ютери працівників відділу продаж домена Kv.study1.local не повинні бути заблоковані користувачем при натисканні клавіш Ctrl+Alt+Del, оскільки знаходяться в загальних торгових залах, доступ до них повинен бути завжди відкритий для всіх користувачів.


РЕКОМЕНДАЦІЇ ДО ВИКОНАННЯ РОБОТИ


Створення групових політик на рівні домену Study1.local

1. Створення політики обмеження можливостей використання користувачами Головного меню та Робочого столу.
   

Оскільки обмежити доступ до Робочого столу та Головного меню необхідно всім користувачам мережі, незалежно від приналежності їх до організаційного підрозділу створимо політику, яка застосовується до всього домену.

1. Зареєструйтеся на сервері srv1 як адміністратор та запустіть консоль Active Directory – Users and Computers
   
2. Відкрийте вікно властивостей домена study1.local і перейдіть на вкладку Group Policy.
   
3. Натисніть кнопку New. З'явиться новий об'єкт групової політики. Дайте йому ім'я «Hide unnecessary files».
   
4. Клацніть по новому об'єкту. Запуститься оснастка Group Policy.
   
5. Перейдіть у розділ User Configuration/Administrative Templetes/Start Menu and Taskbar (Конфигурация пользователя /Административные шаблоны /Панель задач и меню Пуск). Встановіть значення політик цього розділу відповідно до таблиці
   

Політика	Значення	Опис
Remove My Pictures icon from Start Menu	Enabled	Видалити значок «Мои рисунки» із головного меню
Remove My Music icon from Start Menu	Enabled	Видалити значок «Моя музыка» із головного меню
Remove My Network Place icon from Start Menu	Enabled	Видалити значок «Сетевое подключение» із головного меню
Ramove access to the context menus for the Taskbar	Enabled	Видалити контекстне меню панелі задач
Prevent changes to Taskbar and Start Menu settings	Enabled	Заборонити зміну параметрів панелі задач та головного меню
Remove user name from Start Menu	Enabled	Видалити ім`я користувача із головного меню

6. Перейдіть у розділ User Configuration/Administrative Templates/Desktop. Встановіть значення політик цього розділу відповідно до таблиці:
   

Політика	Значення	Опис
Hide My Network Places icon on desktop	Enabled	Видалити значок «Сетевое окружение»
Prohibit user from changing My Document Path	Enabled	Заборонити змінювати шлях папки «Мои документы»
Don’t save setting at exist	Enabled	Не зберігати параметри настройки при виході
Remove the Desktop Clean up Wizard	Enabled	Видалити майстер очистки Робочого столу

2. Створення політики обмеження можливостей запуску деяких додатків Windows.
   

1. Перейдіть у розділ User Configuration/Administrative Templates/System. Включіть політику Don’t run specified Windows aplication (Не запускати вказані додатки Windows) та перерахуйте ігри freecell.exe, spider.exe,pinboll.exe та редактор реєстра regedit.exe.
   
2. Створення політики, яка унеможливлює реєстрацію користувачів без запуску мережевих служб.
   

1. Запустіть консоль Active Directory – Users and Computers
   
2. Відкрийте вікно властивостей домена study1.local і, перейшовши на вкладку Group Policy, виберіть об`єкт групової політики Defaul Domain Policy.
   
3. Перейдіть у розділ Computer Configuration/Administrative Templates/System та виберіть пункт Logon (Вхід).
   
4. В правій частині вікна включіть режим Always wait for the network at computer startup and logon (При включении компьютера и входе пользователя всегда дожидаться ответа сети).