Настройка прав пользователя ad windows server 2016 2020 год

Вопрос создания сущностей с временными правами в Active Directory оставался открытым вплоть до появления Windows Server 2016. Хотя нельзя сказать, что этот вопрос решен полностью, однако теперь для реализации временного членства пользователей в группах достаточно прописать одну строку кода в PowerShell. До этого администраторы «выкручивались» создавая динамические объекты, используя утилиты ldifde и ldp.

Зачем пользователю временные права?

Предположим, что вам, как администратору, необходимо уехать в отпуск. Однако ряд рутинных ограниченных дел по администрированию информационных систем предприятия вы можете доверить надежному сотруднику. Этому сотруднику понадобятся администраторские права на ограниченный срок времени.

Важно не забыть по возвращении на рабочее место удалить этого сотрудника из администраторской группы. Чтобы этого не произошло, вы можете добавить его в администраторы на определенный срок, ограничив его администраторские привилегии определенным «временем жизни» — «time-to-live». Однако, как это сделать? В разные времена развития Windows Server решалось это по-разному. Современная серверная система 2016 предоставляет более удобный способ.

Старомодный подход с динамическими объектами

Начиная с Windows Server 2003, разработчики Active Directory сделали возможным добавление динамических объектов. Они стали краеугольным камнем создания и настройки объектов, наделенных временными правами. Администраторы получили возможность создавать временные группы, временные учетные записи.

Особенностью динамического объекта является свойство entryTTL, которое характеризует время жизни созданной сущности. Администратор однозначно определяет этот срок во время создания нужного объекта. По истечении срока, указанного в entryTTL, сущность ликвидируется и полностью очищается. Если необходимо продолжить «жизнь» динамического объекта, администратор имеет возможность изменить значение TTL. Если же при создании такой сущности свойство entryTTL остается не заданным, тогда его значением становится значение по умолчанию принятое в домене.

Эволюция подхода

Серверная система 2003 года не предоставляла удобных графических инструментов для создания временных объектов. Active Directory Users and Computers не содержало таких настроек, поэтому администратору приходилось пользоваться консольной утилитой ldifde. Эта утилита обыкновенно используется для создания, модификации, удаления, экспорта/импорта объектов Active Directory. Поэтому эта утилита отлично подходила для целей создания временного объекта.

Такое положение дел не сохранялось долго. В 3-ем издании книги Active Directory Cookbook под авторством Робби Аллена содержится рецепт создания временного объекта, используя графический интерфейс утилиты ldp для серверных систем 2008 года. Также, в этом издании он сообщает о рецептах создания временных сущностей через оболочку PowerShell и с применением языка VBScript. Однако подход к созданию объекта с временными правами не изменяется — администраторы продолжают использовать для этого динамические объекты.

Пример реализации с помощью LDP GUI и консоли

Прежде всего, понадобится запустить ldp.exe. Это можно сделать из стандартной утилиты «Выполнить».

В главном меню утилиты найдем команду «Подключение». В открывающемся ее подменю выберем «Подключить». А в открывшемся диалоге просто жмем ОК, оставив данные полей по умолчанию.
В том же подменю выбираем пункт «Привязка», что позволит появиться окошку параметров привязки. Оставим тип привязки как «Привязать к текущему пользователю».
Найдем в главном меню опцию «Вид», а в подменю этой опции выбираем пункт «Дерево». В появившемся диалоге определяем корневой элемент леса — DN, базовое расширяемое имя.
В получившемся дереве элементов выделяем нужный узел и создаем для него новый дочерний элемент. В появившемся диалоге прописываем правильное DN, добавляем атрибуты записи. Не забываем указать, что создаем динамический объект: objectClass: dynamicObject и entryTTL: .

Используя консольный вариант создания временного объекта, администратор может создать отдельный файл формата ldf с содержимым для создания динамического объекта. Затем, в консоли командной строки он должен вызвать утилиту ldifde, передав ей в качестве параметра строку адреса ldf-файла с флагами -i и -f.

Временное членство средствами Active Directory 2016

Разработчики Windows Server 2016 сделали попытку упростить создание сущностей с временными правами. Нельзя сказать, что это у них получилось на все 100%. Теперь не понадобится совершать много лишних действий, но прописывать всего один командлет в PowerShell. Сложность остается в том, что человек склонен допускать немалое количество ошибок во время набора руками простого текста. Набор имени командлета, а также его конфигурирование дополнительными параметрами обойдется администратору немалым количеством нервов.

Кроме того, администратор домена сервера 2016 должен будет единожды установить сервис Privileged Access Management (PAM). Именно этот сервис поддерживает временное членство в группах. Он призван усилить безопасность Active Directory. Устанавливается данный сервис из той же оболочки PowerShell, куда опять же руками придется «вбивать» командлеты.

Пропишем в PowerShell следующее: «Get-ADOptionalFeature -Filter *». Данный командлет позволит увидеть доступные функции, одна из которых это PAM.
Включить сервис PAM позволит командлет «Enable-ADOptionalFeature ‘Privileged Access Management Feature’ -Scope ForestOrConfigurationSet -Target ».

Это интересно:  Объективная сторона мелкого хищения 2020 год

Предположим у нас есть пользователь «user», которого необходимо наделить администраторскими правами на небольшой срок — на 5 минут. Для этого его необходимо добавить в группу администраторов домена. Прописываем «Add-ADGroupMember -Identity ‘Администраторы домена’ -Members ‘user’ -MemberTimeToLive (New-TimeSpan -Minutes 5)».
Остается только проверить наличие пользователя «user» в группе «Администраторы домена» и проверить время жизни его администраторских прав. Сделать это можно с помощью команды Get-ADGroup ‘Администраторы домена’ -Property member –ShowMemberTimeToLive. Также, можно заглянуть в свойства пользователя «user» и убедиться, что он стал участником администраторов домена.

Права и привилегии встроенных групп в Active Directory

Права и привилегии встроенных групп в Active Directory

Добрый день уважаемые читатели, мне очень часто задают вопрос по правам у групп контейнера Builtin в Active Directory, в этой статье я постараюсь на него ответить. Права пользователей позволяют пользователям и группам в компьютерной среде пользоваться особыми привилегиями и правами на вход в систему. Администраторы могут назначать права учетным записям группы или отдельных пользователей. Эти права позволяют пользователям выполнять конкретные действия, такие как интерактивный вход в систему или архивирование файлов и каталогов.

Для упрощения администрирования учетных записей пользователя назначить привилегии следует в первую очередь учетным записям группы, а не отдельным учетным записям пользователя. При назначении привилегий учетной записи групп пользователи автоматически получают эти привилегии, когда становятся членами этой группы. Этот метод администрирования привилегий значительно проще назначения отдельных привилегий каждой учетной записи пользователя в момент создания учетной записи.

Список Builtin Active Directory групп

Открывая оснастку ADUC (Active Directory пользователи и компьютеры) и видим в контейнере Builtin вот такой список групп, каждая их них имеет подробное описание по ее применению. Самыми используемыми на практике я могу выделить:

  • Администраторы
  • Администраторы Hyper-V
  • Операторы архива
  • Операторы настройки сети
  • Серверы лицензий сервера терминалов
  • Пользователи удаленного рабочего стола

В следующей таблице перечислены и описаны предоставляемые пользователю привилегии.

Что нового в Active Directory в Windows Server 2016

Последнее время, очень много говорится о нововведениях Windows Server 2016 связанных с виртуализацией, хранилищами данных и службами удалённого рабочего стола. Однако это не единственные компоненты серверной ОС Microsoft, получившие масштабные обновления. Наиболее незаслуженно, на мой взгляд, обойдена вниманием служба Active Directory. Поэтому ниже вашему вниманию будет представлен перевод статьи Джозефа Муди (Joseph Moody) посвящённой именно этой службе.

С выходом Windows Server 2016, служба Active Directory получила три важных новых функции. В этой статье мы обсудим Access Management, Azure AD Join и Microsoft Passport.

Лейтмотив большей части нововведений в Windows Server 2016 — безопасность. Вы можете увидеть это во всех ролях и службах. Shielded VM в Hyper-V, code integrity в сервере приложений и Privileged Access Management в Active Directory Domain Services.

Однако, не все новое в Active Directory связано с безопасностью. Особенно выделяются две новых функции. Вы еще много услышите про первую из них — Azure Active Directory Join в ближайшие месяцы (особенно если вы поддерживаете небольшие/средние организации). Вторая важная функция, которую мы упомянем — Microsoft Passport. Хотя ещё рано утверждать это, Microsoft Passport, потенциально, может избавить пользователей от их головной боли (и IT специалистов от их проблем) связанной с паролями. Достаточно введений. Перейдём к делу!

Privileged Access Management

Privileged Access Management (PAM) это Active Directory эквивалент для Privileged Access Workstation (PAW). В то время как PAW используется для рабочих станций и серверов, PAM предназначен для управления лесом, группами безопасности и членством в группах.

В качестве ядра, PAM использует Microsoft Identity Manager (MIM) и требует, чтобы функциональный уровень вашего леса был не ниже Windows Server 2012 R2. Microsoft полагает, что если организации потребовался PAM, то её Active Directory лес уже скомпрометирован. Поэтому при настройке PAM создаётся новый AD лес. Он изолирован для работы с привилегированными учётными записями и, так как MIM его только что создал, чист от любых сторонних действий.

Настройка AD DS с заметками о Azure Active Directory

С помощью этого защищённого леса, MIM может управлять запросами на права доступа. Подобно другим приложениям для управления разрешениями, таким как, например, AGPM, MIM реализует процесс управления административными правами доступа на основе одобрения запросов. Когда пользователь получает дополнительные административные права, он или она становится членом теневых групп безопасности в новом доверенном лесу.

С помощью использования ссылок с истекающим сроком действия, членство в значимых группах ограничивается по времени. Если пользователю одобряется запрос на получение дополнительных прав доступа на один час, то час спустя эти права автоматически у него снимаются.

Все это происходит совершенно незаметно для пользователя. За счёт использования доверительных отношений между лесами и дополнительных безопасных учётных записей в новом лесу, пользователи могут получать повышенные права доступа без необходимости перелогиниваться. Key Distribution Center (KDC) учитывает эти множественные временные группы и пользователь, входящий в несколько теневых групп, получает Kerberos ticket на срок, соответствующий минимальному ограничению по времени.

Что такое Azure Active Directory Join?

Azure AD Join выполняет для AD Domain Services ту же роль, что и Intune для SCCM — Azure AD Join, в основном, предназначен для небольших организаций, у которых ещё нет инфраструктуры Active Directory. Microsoft называет эти организации cloud-first/cloud-only.

Это интересно:  Какая статья за обман в интернете

Основная цель Azure AD Join — предоставить преимущества локальной Active Directory среды без сопутствующей сложности владения и управления. Устройства поставляемые с Windows 10 могут быть включены в Azure AD и это позволяет компаниям без полноценного IT отдела управлять своими корпоративными ресурсами.

Портал администрирования Microsoft Azure

Наибольшую выгоду от Azure AD Join смогут получить компании, которые уже используют Office 365. Со своего устройства, с установленной Windows 10, пользователь может логинится, проверять почту, синхронизировать настройки Windows и т.д. с одной и той же учётной записью. При необходимости, персонал IT поддержки может настраивать MDM политики и Windows Store для своей компании. И всё это без локально развернутого AD домена.

Одним из важных потенциальных рынков для Azure AD Join является сфера образования. Сегодня доминирующим продуктом на этом рынке является Google’s Chromebook. Несмотря на то, что мобильное устройство включённое в AD домен предоставляет больше возможностей кастомизации чем Chromebook, цена и производительность Windows устройств играли против них. Теперь же очень дешевое устройство, включенное в Azure AD c доступом к настраиваемому магазину приложений и Office 365 может существенно усилить позиции Microsoft и позволить ей догнать конкурентов.

Microsoft Passport может помочь решить проблемы с паролями

Обновление паролей одна из основных проблем безопасности, которая возникает при работе с пользователями. Я думаю, что каждый администратор знает тех, кто используют один и тот же пароль для множества сервисов. Когда они используют ещё и одно и тем же имя пользователя, например свой email адрес, эксплуатирование этой уязвимости становится совсем простым. Как только злоумышленник получил данные одной учётной записи, он получил их все.

Microsoft Passport должен все изменить. С помощью двухфакторной аутентификации, Passport может предложить повышенную безопасность, по сравнению с обычными паролями, без сложностей таких традиционных решений, как смарт карты. Он спроектирован для использования совместно с Windows Hello (встроенная биометрическая система авторизации в Windows 10 Pro/Enterprise).

Двухфакторная аутентификация Microsoft Passport состоит из учётной записи пользователя и специальных учётных данных для используемого устройства (которое ассоциировано с пользователем). Каждый пользователь устройства имеет специальный аутентификатор (называемый hello) или PIN. Это позволяет удостовериться, что человек, вводящий учётные данные, это и есть их владелец.

Эта технология может работать как в традиционной локальной Active Directory среде, так и в Azure AD. В некоторых вариантах установки, вам потребуется домен контроллер с установленным Windows Server 2016. При использовании Microsoft Passport, IT администратор может больше не беспокоиться о смене паролей пользователей, так как всё равно нужен второй метод аутентификации. Можно будет смягчить жёсткие политики паролей (требующие длинных паролей или устанавливающих короткий срок действия), так как Microsoft Passport теперь обеспечит дополнительную защиту. Более простой процесс аутентификации может значительно повысить удовлетворённость пользователей корпоративным IT.

Каждое из этих нововведений Active Directory ориентировано на постоянно растущую аудиторию Windows Server. PAM позволяет защитить учётные записи пользователей. Azure AD Join дает возможность воспользоваться преимуществами AD небольшим компаниям, у которых нет денег или инфраструктуры для полноценного локального решения. Наконец, Microsoft Passport должен изменить то, как происходит аутентификация. За счёт работы с альянсом FIDO, Microsoft Passport может быть использован на множестве различных устройств и платформ (и, возможно, получит более широкое распространение).

Хардкорная конфа по С++. Мы приглашаем только профи.

Настройка DHCP-сервера в Windows Server 2016

И снова о DHCP. В предыдущей статье мы рассмотрели базовые принципы работы этого протокола. Сегодня перейдем к практике и настроим DHCP-сервер на базе Windows Server 2016.

Служба DHCP входит в состав Windows Server и является одной из серверных ролей, поэтому первое, что нам надо сделать — эту роль установить.

Установка

Открываем оснастку Server Manager, запускаем мастер добавления ролей и компонентов (Add Roles and Features Wizard) и выбираем тип установки «Role-based or feature-based installation».

Указываем сервер, на котором будет производиться установка.

В разделе «Server Roles» отмечаем отмечаем для установки пункт «DHCP Server».

В процессе установки мастер напомнит о необходимости заранее спланировать структуру сети, а также о том, что для работы DHCP на сервере должен быть хотя бы один статический IP адрес.

Проверяем список устанавливаемых компонентов и и запускаем установку.

По завершении установки не надо сразу закрывать окно мастера, поскольку в нем будет предложено произвести первоначальную настройку DHCP. Для этого надо кликнуть по ссылке «Complete DHCP configuration».

Если же вы поторопились и закрыли окно, то найти ссылку можно в главном окне Server Manager, кликнув на значок уведомления.

Переход по ссылке запускает еще один мастер первоначальной настройки DHCP (DHCP Post-Install configuration wizard). В процессе первоначальной настройки производится два действия:

1. Создание групп безопасности, которым будет разрешено управлять данным DHCP сервером. Всего создаются 2 группы:

Это интересно:  Пожарная декларация школы 2018 год 2020 год

DHCP Administrators — члены этой группы имеют полные права на DHCP сервер и могут изменять его настройки;
DHCP Users — членам этой группы даны права только на чтение. Они могут просматривать текущие настройки DHCP и статистику подключений.

2. Авторизация DHCP сервера в домене Active Directory. Авторизация необходима для того, чтобы предотвратить появление в сети ″левых″ DHCP серверов. Если сервер является членом домена, то при запуске служба DHCP обращается к AD для того, чтобы просмотреть список авторизованных серверов. Если она не обнаруживает в списке свой адрес, то считает себя неавторизованной и останавливает работу. Таким образом, пока сервер не пройдет авторизацию, служба DHCP на нем просто не запустится.

Сама процедура настройки заключается в том, чтобы указать учетные данные пользователя, от имени которого будет производится настройка, нажать кнопку «Commit»

и дождаться завершения процесса.

Все то же самое можно сделать с помощью PowerShell, нужно выполнить всего несколько команд. Установка роли DHCP:

Add-WindowsFeature -Name DHCP -IncludeManagementTools

Авторизация в AD. Здесь указываем DNS-имя сервера и IP-адрес, с которого он будет обслуживать клиентов:

Add-DhcpServerInDC -DnsName SRV1.test.local -IPAddress 10.0.0.1

Создание групп безопасности:

Изменение состояния конфигурации сервера. Без этого он считается несконфигурированным и Server Manager будет постоянно выдавать предупреждение о необходимости настройки:

Set-ItemProperty -Path HKLM:SOFTWAREMicrosoftServerManagerRoles12 -Name ConfigurationState -Value 2

Ну и в завершение необходимо рестартовать службу DHCP:

Restart-Service -Name DHCPServer -Force

Примечание. По умолчанию авторизовывать DHCP сервера в AD имеют право только члены группы Администраторы предприятия (Enterprise Admins). Поэтому пользователь, от имени которого производится настройка, должен входить в группу Enterprise Admins, иначе будет выдана ошибка с отказом в доступе.

Настройка

Для настройки сервера нам понадобится оснастка DHCP. Запустить ее можно из меню «Tools» в Server Manager, либо нажав клавиши Win+R и выполнив команду dhcpmgmt.msc.

Первым делом нам надо создать область (Scope) — диапазон IP-адресов, которые будут выдаваться клиентам. Поскольку наш DHCP-сервер будет выдавать только IPv4 адреса, то переходим к разделу IPv4, кликаем по нему правой клавишей мыши и в открывшемся меню выбираем пункт «New Scope».

Запускается очередной мастер.

Задаем имя области и, при необходимости, ее описание.

Затем указываем диапазон IP адресов и префиксмаску подсети. На всякий случай напомню, что маска определяет возможное количество адресов в сети, например сеть с префиксом 24 содержит 254 адреса. Кстати, вовсе не обязательно выделять под область все имеющиеся адреса, можно оставить десяток-другой на всякий случай, например для серверов или сетевых устройств.

При необходимости можно исключить один или несколько IP-адресов из создаваемой области, добавив их в исключения (Exclusions). Исключения могут потребоваться в том случае, если в указанной подсети уже имеются адреса, выданные вручную.

Здесь же можно задать задержку ответа DHCP-сервера — количество миллисекунд, которое выжидает сервер перед тем, как ответить на запрос клиента.

Примечание. В DHCP существует понятие раздельной области, когда одна область разбита на две части (обычно в соотношении 80/20) и обслуживается двумя DHCP-серверами. Такая конфигурация нужна для того, чтобы в случае недоступности первого сервера второй продолжал выдачу адресов из данной области. Но поскольку необходимо, чтобы все запросы по возможности обслуживал первый (основной) сервер, на втором выставляется задержка, чтобы он не смог ответить раньше первого.

На следующем шаге указываем время аренды (Lease Duration) — срок, на который клиенту выдается IP адрес. Выбор этого параметра напрямую зависит от особенностей обслуживаемой сети, так при наличии большого числа часто меняющихся клиентов (напр. публичная сеть) время аренды нужно сделать поменьше, а если сеть статична и редко изменяется (сеть предприятия), то время аренды можно увеличить. По умолчанию в Windows установлено 8 дней.

Теперь перейдем к настройке дополнительных параметров области.

Сначала указываем адрес шлюза по умолчанию (Default Gateway).

Затем вводим имя домена и добавляем DNS-сервера. Для добавления можно указать имя сервера и нажать «Resolve», либо указать IP адрес.

По аналогии с DNS можно добавить WINS сервера, если конечно они у вас есть.

Можем сразу активировать область, либо отложить это действие.

На этом настройка DHCP сервера завершена, остается только проверить работу сервера.

Посмотреть клиентов, получивших адреса из данной области, можно в разделе «Address Leases». В моей тестовой сети есть всего один клиент, который успешно получил свой IP адрес.

Ну и на всякий случай зайдем на клиента и проверим, что он успешно получил свой адрес.

Все настройки можно произвести с помощью PowerShell. Cоздаем область (неактивную):

Add-DhcpServerv4Scope -Name Workstations -StartRange 10.0.0.20 -EndRange 10.0.0.200 -SubnetMask 255.255.255.0 -LeaseDuration 00:30 -State InActive

Add-DhcpServerv4ExclusionRange -ScopeID 10.0.0.0 -StartRange 10.0.0.90 -EndRange 10.0.0.100

Добавляем доп. опции (DNS, gateway и т.п.):

Set-DhcpServerv4OptionValue -ScopeID 10.0.0.0 -DnsDomain test.local -DnsServer 10.0.0.1 -Router 10.0.0.1

И активируем область:

Set-DhcpServerv4Scope -ScopeID 10.0.0.0 -State Active

Посмотреть список клиентов можно также из консоли, командой:

Get-DhcpServerv4Lease -ScopeID 10.0.0.0

На этом все, на сегодня. А в следующей статье мы рассмотрим развертывание двух DHCP-серверов в отказоустойчивой конфигурации.

Статья написана по материалам сайтов: pyatilistnik.org, habr.com, windowsnotes.ru.

»

Помогла статья? Оцените её
1 Star2 Stars3 Stars4 Stars5 Stars
Загрузка...
Добавить комментарий

Adblock
detector