Содержание курса
Темы
- Настройка расширенных свойств DHCP
- Настройка расширенных параметров DNS
- Реализация IP Address Management (IPAM)
- Управление адресным пространством с помощью IPAM
Лабораторная работа: Реализация расширенной сетевой службы
- Настройка расширенных параметров DHCP
- Настройка расширенных параметров DNS
- Настройка IP Address Management
Темы
- Настройка хранилища iSCSI
- Настройка BranchCache
- Оптимизация использования хранилищ
Лабораторная работа: Реализация расширенных возможностей файловых
- Настройка хранилища iSCSI
- Настройка инфраструктуры File Classification
Лабораторная работа: Реализация BranchCache
- Настройка BranchCache для основного офиса
- Настройка BranchCache для офиса филиала
- Настройка клиентских компьютеров для использования BranchCache
- Мониторинг BranchCache
Темы
- Обзор Dynamic Access Control (DAC)
- Реализация компонентов DAC
- Реализация DAC для управления доступом
- Реализация помощи при отказе в доступе
- Реализация и управление рабочими папками (Work Folders)
Лабораторная работа: Реализация безопасного доступа к данным
- Подготовка к развертыванию DAC
- Реализации DAC
- Проверка и исправление DAC
- Реализация рабочих папок
Темы
- Обзор развертывания распределенной AD DS
- Реализация развертывания распределенной AD DS
- Настройка трастов AD DS
Лабораторная работа: Реализация развертывания распределенной AD DS
- Реализация дочернего домена AD DS
- Реализация трастов в лесу
Темы
- Обзор репликации AD DS
- Настройка сайтов AD DS
- Настройка и мониторинг репликации AD DS
Лабораторная работа: Реализация репликации и сайтов AD DS
- Изменение настроек сайта по умолчанию
- Создание дополнительного сайта и подсети
- Настройка репликации AD DS
- Поиски устранение неисправности репликации AD DS
Темы
- Использование сертификатов в корпоративной среде
- Обзор инфраструктуры публичных ключей
- Развертывание центра сертификации
- Развертывание и управление шаблонами сертификатов
- Реализация распределения отозванных сертификатов
- Управление восстановлением сертификатов
Лабораторная работа: Реализация службы сертификации AD
- Развертывание автономного корневого центра сертификации
- Развертывание корпоративного вторичного центра сертификации
Лабораторная работа: Реализация службы сертификации AD
- Настройка шаблонов сертификатов
- Настройка регистрации сертификатов
- Настройка отозванных сертификатов
- Настройка ключа восстановления
Темы
- Обзор Active Directory Rights Management Service
- Развертывание и управление инфраструктурой AD RMS
- Настройка защиты контента AD RMS
- Настройка внешнего доступа AD RMS
Лабораторная работа: Реализация службы управления правами (AD RMS)
- Установка и настройка AD RMS
- Настройка шаблонов AD RMS
- Реализация политики доверия AD RMS
- Проверка AD RMS на клиенте
Темы
- Обзор AD FS
- Развертывание AD FS
- Реализация AD FS для одиночной организации
- Развертывание AD FS всценарии Business to Business Federation
- Расширение AD FS для внешних клиентов
Лабораторная работа: Реализация службы федерации (AD FS)
- Установка и настройка AD FS
- Настройка внутренних приложений для AD FS
Лабораторная работа: Реализация службы федерации (AD FS) для внешних партнеров и пользователей
- Настройка для одиночной организации для федеративных бизнес партнеров
- Настройка Web Application Proxy
Темы
- Обзор Network Load Balancing
- Настройкакластеров Network Load Balancing
- Планирование реализации Network Load Balancing
Лабораторная работа: Реализация балансировки нагрузки сети
- Реализация кластера Network Load Balancing
- Настройка и управление кластером Network Load Balancing
- Проверка высокой доступности для кластера Network Load Balancing
Темы
- Обзор Failover Clustering
- Реализация Failover Cluster
- Настройка высокодоступных приложений и служб на FailoverCluster
- Поддержка Failover Cluster
- Реализация мультисайтового отказоустойчивого кластера
Лабораторная работа: Реализация отказоустойчивости кластеров
- Настройка FailoverCluster
- Развертывание и настройка высокодоступного файлового сервера
- Проверка развернутого высокодоступного файлового сервера
- Настройка Cluster-Aware Updating (CAU) на отказоустойчивом кластере
Темы
- Обзор интеграции Hyper-V с Failover Clustering
- Реализация виртуальной машины Hyper-V на отказоустойчивом кластере
- Реализация перемещения виртуальной машины Hyper-V
Лабораторная работа: Реализация отказоустойчивости кластеров при помощи Hyper-V
- Настройка реплик Hyper-V
- Настройка отказоустойчивого кластера для Hyper-V
- Настройка высокодоступной виртуальной машины
The future
The commitment Microsoft has made in improving the feature set in Windows Server 2012 fills me the hope for the future. I know I now have to return to work and start the long task to upgrade our systems to enable everything I’ve seen. Targeting the phrase of “It just works” will empower the business to achieve what they need without them having to think about the systems that support it. The phrase from the start of the week – “Standing on the shoulders of giants” – really does appear to be true. The giant effort put into the functionality of Windows Server 2012 and all the supporting technologies will allow for so much more innovation. This really is a great year to be working with Microsoft technologies, both for IT Professionals and Developers. The ultimate winner is everyone else.
I’d like to thank Microsoft and Lifehacker for the wonderful experience, plus ASUS and Nokia for the brilliant hardware. I can’t speak for David and Terry, who have done an awesome job as fellow guest bloggers, but I know it was fun for me!
Visit Lifehacker’s TechEd 2012 Newsroom for all the news from the show.
Управление объектами свойств ресурса при использовании Windows PowerShell
Как в случае с типами утверждений, да и практически с любыми функциональными возможностями Windows Server 2012, управлять объектами свойств ресурса вы можете не только средствами центра администрирования Active Directory, но также для написания сценариев и автоматизации ваших действий можно использовать богатейшие возможности Windows PowerShell. Для управления свойствами ресурсов используются командлеты ADResourceProperty, то есть New-ADResourceProperty для их создания, Set-ADResourceProperty для изменения существующих объектов, а также Remove-ADResourceProperty, который отвечает за удаление последних.
Итак, сейчас попробуем создать объект свойство ресурса под названием Depart, где будут указаны различные должности (в этом примере Маркетинг, Бухгалтерия, Финансисты), которые должны фигурировать при изменении условного выражения. Значит, следует использовать такой командлет:
В принципе, структура этого командлета очень похожа на структуру командлета New-ADClaimType. То есть здесь можно обнаружить параметры Description и DisplayName, которые отвечают за отображаемое имя и описание
Однако здесь стоит обратить внимание на несколько следующих параметров:
- Прежде всего, это параметр –IsSecured, отвечающий за то, будет ли создаваемый объект свойств ресурса использоваться для авторизации. Естественно, значение $true считается истиной и позволяет использовать этот объект для авторизации, а значение $false, в свою очередь, создает объект исключительно для классификации;
- Параметр –ResourcePropertyValueType, при использовании которого вы можете определить тип значения для создаваемого объекта. В качестве значения этого параметра должно выступать различающееся имя объекта msDS-ValueType. Эти значения представляют собой логические типы данных, о которых шла речь ранее в этой статье, и для всего леса они размещаются в разделе конфигурации службы каталогов Active Directory, а если говорить точнее, то в CN=Value Types,CN=Claims Configuration,CN=Services. То есть, в моем случае это CN=MS-DS-SinglevaluedChoice,CN=Value Types,CN=Claims Configuration,CN=Services,CN=Configuration,DC=biopharmaceutic,DC=local. По умолчанию можно выбрать одно из следующих типов значений: MS-DS-DateTime, MS-DS-MultivaluedChoice, MS-DS-SinglevaluedChoice, MS-DS-MultivaluedText, MS-DS-Number, MS-DS-OrderedList, MS-DS-Text, а также MS-DS-YesNo. В принципе, их наименования в пользовательском интерфейсе очевидны, а о назначении я уже говорил несколькими разделами выше, поэтому повторяться просто нет смысла;
-
А также параметр –SuggestedValues. Как и в случае с утверждениями, этот параметр отвечает за предложенные значения, в котором, собственно, даже синтаксис идентичен.Процесс создания этого объекта изображен на следующей иллюстрации:
Рис. 5. Создание свойства ресурса при помощи Windows PowerShell
Собственно, на этом данная статья подходит к концу. Сегодня мы с вами рассмотрели свойства ресурсов: вы узнали о том, что собой представляют объекты этого типа, для чего они нужны, а также какие бывают типы свойств ресурсов. Помимо теоретической части вы также узнали о том, как можно создавать и управлять такими объектами при помощи пользовательского интерфейса, а именно средствами консоли «Центр администрирования Active Directory», а также используя богатые функциональные возможности Windows PowerShell.
В следующей, четвертой статье данного цикла я продолжу вас знакомить с возможностями динамического контроля доступа, а если говорить точнее, то речь уже пойдет о списках свойств ресурсов, а также о классификации файлов. Коллеги, а какие свойства ресурсов вы создавали в своей среде для реализации DAC?
Как обеспечить мандатное управление доступом к отчетам FastReport
Так как отчеты в генераторах отчетов FastReport — это по сути файлы шаблонов, которые наполняются данными из баз данных, файлов или кода приложения, то для регулирования доступа к получению отчётов достаточно лишь ограничить доступ субъекта к шаблонам. Это относится к файлам шаблонов отчетов всей продукции компании Fast Reports.
И хотя генераторы отчетов FastReport не имеют собственной реализации MAC, они легко вписываются в операционные системы с мандатным управлением доступом.
Можно выделить три сценария использования мандатной системы управления доступом в отношении отчетов:
- Управление доступом к файлам шаблонов отчетов;
- Управление доступом к данным;
- Управление доступом к полученным, сформированным отчётам.
Первая и третья части реализуются штатными средствами операционной системы при включенной MAC. То есть на шаблоны отчетов и на документы устанавливается метка уровня доступа. Таким образом, при попытке запустить отчет на построение или на просмотр сначала будет проверен процесс, запрашивающий доступ к файлу. Если уровень доступа пользователя системы, от имени которого запущен данный процесс, имеет соответствующий или высший уровень доступа, то отчет будет построен (или, соответственно, выдан на просмотр). В противном случае – пользователь получит ошибку типа: «Не найден файл», ведь система попросту скроет от пользователя не положенные ему «по статусу» файлы.
Не только файлу можно задавать метки конфиденциальности, но и папкам. А значит – вы можете ограничить доступ сразу к группе отчетов или документов. Для построения отчетов используются либо штатные приложения из поставки генератора отчетов, либо пользовательские. Если вам нужно разграничить доступ к построению отчетов в принципе, то логичным будет установить соответствующую метку на исполняемый файл программы.
Вторая часть реализуется средствами СУБД. При создании подключения к источнику данных в отчете, вы заполняете помимо прочих поля: имя пользователя и пароль. Таким образом СУБД узнает какой пользователь системы пытается запросить доступ к базе данных или к конкретной таблице. При этом вы получите ошибку доступа к данным, сгенерированную при построении отчета.
Все три способа применения MAC в отношении отчетов вызовет исключение в программе в случае попытки несанкционированного доступа к файлу отчета или к данным. Зная эти исключения, было бы правильным все же создать собственный просмотрщик (Viewer) отчетов, в котором можно обработать эти исключения и выдавать пользователю более уместные сообщения. В остальном же, можно смело сказать, что нет никаких сложностей в использовании генераторов отчетов FastReport в операционных системах с настроенной системой мандатного управления доступом. В частности, если говорить о Linux системах с поддержкой MAC, то в них возможно использование нескольких генераторов отчетов: FastReport Core, FastReport Mono, FastReport Open Source и FastReport VCL.
Подводя итоги статьи хочется отметить нарастающий в последнее время интерес к системам мандатного управления доступом со стороны IT-комьюнити. Несомненно, появление операционной системы Astra Linux Special Edition и ее внедрение во многих государственных, получастных и частных предприятиях, где требуется соблюдение секретности – вот основные факторы популяризации MAC в России.
Windows PowerShell History Viewer
Windows PowerShell is a key technology in creating a consistent experience between the command-line and the graphical user interface. Windows PowerShell increases productivity, but also requires investment in learning how to use it.
To minimize the learning investment, Windows Server 2012 includes the new Windows PowerShell History Viewer. The benefits include:
-
Allow administrators to view the Windows PowerShell commands executed when using the Active Directory Administrative Center. For example:
-
The administrator adds a user to a group
-
The UI displays the equivalent Windows PowerShell for Active Directory command
-
The administrator copies the resulting syntax and integrates it into a script
-
Reduces Windows PowerShell learning-curve
-
Increases confidence in scripting
-
Further enhances Windows PowerShell discoverability
-
Requirements
Windows Server 2012 Active Directory Administrative Center
For more information about the Windows PowerShell History Viewer, see Active Directory Administrative Center Enhancements.
How to Configure Claims in Dynamic Access Control (DaC)
We won’t get into the weeds too far, but next let’s take a moment and demonstrate how to configure claims in Dynamic Access Control. For starters, in order to configure DaC, we’ll need to use either PowerShell or Active Directory Administrative Center (dsac.exe).
If you’re still tied to Active Directory users and computers, you’d best get used to the DSAC. For the rest of this post, we’re assuming that you have access to DSAC and have a network environment you can explore in it. We’ll start with DSAC, and we can open it up by going to a command prompt and typing:
This window should already be fairly familiar to you, so we’ll use the navigation tree to select Dynamic Access Control. This’ll give us a good view of the three sides of our triangle: Claims, Resource Properties (which refer to the metadata tags for our files and folders), and the Central Access Rules and Policies.
For now, we’ll double-click Claims. In our case, we happen to have already created one. If you have any already, you’ll see them displayed in the middle of the screen. We named ours «Department», and it maps to the Department schema attribute. But where are these attributes coming from?
Earlier, we mentioned that attributes are derived from Active Directory. We have to sidetrack briefly, but we can explore exactly what it means that those attributes derive from AD. Since you’re in the DSAC, you should have many users available to you. If you go ahead and open a user account, we can see how easy it is to identify attributes.
Navigate to one of your users and open their user properties sheet. This opens an interface that would let us drill into any of their displayed properties. We could even go beyond what’s shown here in the user’s properties sheet – as long as you know what a particular attribute is named in AD, in the schema, you can get to it.
So, if we wanted to create conditional access — in our case, claims based on department — we’d check to see if the user has that field populated. Presumably, the user we clicked into does have a value in the «Department» field. But maybe rather than assign dynamic control based on what department they’re a part of, we instead wanted to classify based on their location, their city, their state. All these are right there waiting for you.
So, now if we go back to Claim Types, we can right-click, select «New» and then «Claim Type». This window provides us with all the schema attributes. You can filter the list if you know – basically – what you’re looking for. There’s a search menu available that provides contextual feedback, so you could search for – for example – «country» and the results update as you type.
Note: the Display Name for your attribute may not be intuitive, comprehensible, or what you want it to be. If that’s the case, you can select it in this menu and then on the right side, you can update it.
On the same screen, you’ll have the option to associate this update with a user, with a computer, or both. Not only that, but you can optionally suggest values in advance. All this makes it a lot easier later – when you’re making your central access policies – to avoid data entry errors.
Something to note is that anything you create within this Claim Type menu is protected from accidental deletion. What that means is that if while working in the menu, you tried to delete an entry, a window interrupts the action. It’ll stop the deletion, and depending on permissions, it’ll inform the user they don’t have permissions to delete.
Central Access Rules
Central Access rules are used to combine Claim Types and optionally Resource Properties. These rules can look like the following:
- All files can only be accessed by members of the IT group
- All files can only be accessed by members of the IT group who have «Test123» in their user description
- Files with a resource property of Company set to «Contoso» can only be accessed by members of the IT group
- Files with a resource property of Company set to «Contoso» and Building color set to «Blue» can only be accessed by members of the IT group who have «Test123» in their user description
You can get much more granular, but those are just some examples.
A note about effective permissions: Central Access Rules permissions work similar to how Sharing and NTFS permissions work together. Users will only be able to access files based on their lowest allowed permissions. Essentially you are now dealing with Share, NTFS, and Central Access Rules.
For example, let’s say you have the following permissions on a folder:
- Share
- Group1
- Read
- Modify
- Group1
- NTFS
- Group1
- Read
- Modify
- Group1
- Central Access Rule
- Group1
- Read
- No modify
- Group1
Members of Group1 will only be able to read since that is the lowest folder access that they have.
Configure Network Access Protection
This post is going to configure network access protection. If you don’t know the installation, read the below article about installation of NAP in Windows server 2012 R2.
Installing Network Policy Server (NPS) on Windows Server 2012 R2
- To configure network access protection, open network policy server from server manager.
- On the network policy server page, from right side select NPS (Local) then select Network Access Protection (NAP) from Standard Configuration section and click Configure NAP link.
Configure Network Access Protection in Windows Server 2012 R2
3. On the network connection method for use with NAP page, select Dynamic Host Configuration Protocol (DHCP) from Network connection method section then click Next.
Dynamic Host Configuration Protocol (DHCP) with Network Access Proteciotn
4. On the Specify NAP Enforcement Server Running DHCP Server page, just click Next. Then click Next on the Specify DHCP Scopes page. Do click Next on Configure Machine Group also.
5. On the Specify a NAP Remediation Server Group and URL click New Group and type a meaningful name for Group Name. Then click Add to specify a name for Freindly name and name or IP address of Remediation server. When complete, click OK to close the pages.
NAP Remediation Server Group
6. Now type the help page url address on Troubleshooting URL and click Next.
Specify a NAP Remediation Server Group and URL
The Remediation Server Groups are the servers that will be made accessible to non-compliant clients. These servers can be used to patch clients to a compliant status.
7. Click Next on Define NAP Health Policy page.
Define NAP Health Policy
8. Finally click Finish to complete the NAP enforcement policy and RADIUS client configuration.
Completing NAP Enforcement Policy and RADIUS Client Configuration
9. Navigate to Network Policies and Health Polices to check whether the polices are ready for serving NAP.
Network Policies and Health Policies
So, everything good.
Шаг 4. Тюнинг файлового сервера или профессиональные советы
Данные настройки, по сути, представляют секреты того, как сделать файловый сервер лучше, надежнее и безопаснее. Применяя их, администраторы создают более правильную и профессиональную среду ИТ.
DFS
С самого начала стоит создавать общие папки в пространстве имен DFS. На это есть две основные причины:
- При наличии или появлении нескольких файловых серверов пользователям будет удобнее находить общие папки в одном месте.
- Администратор легко сможет создать отказоустойчивую систему при необходимости.
Как создать и настроить DFS читайте в статьях Как установить и настроить DFS и Как установить и настроить DFS с помощью Powershell.
Теневые копии
Позволят вернуться к предыдущим версиям файлов. Это очень полезная функция позволит не только восстановить некорректно отредактированный документ, но и вернуть случайно удаленный файл или папку.
Как настроить и пользоваться данной возможностью, читайте подробнее в инструкции Как включить и настроить теневые копии.
Аудит
Аудит позволит вести протокол доступа к данным — понять, кто и когда удалил важные данные или внес в них изменения.
О том, как настроить данную возможность читайте статью Как включить аудит доступа к файлам Windows.
Анализатор соответствия рекомендациям
В диспетчер управления серверами Windows встроен инструмент для проверки конфигурации сервера — анализатор соответствия рекомендациям. Чтобы им воспользоваться переходим в диспетчере в Локальный сервер:
Находим раздел «Анализатор соответствия рекомендациям» и справа кликаем по ЗАДАЧИ — Начать проверку BPA:
Рассмотрим решения некоторых рекомендаций.
1. Для XXX должно быть задано рекомендованное значение.
Это набор однотипных рекомендаций, для выполнения которых нужно обратить внимание на описание и задать значение параметро, которое в нем указано. Например, для CachedOpenLimit в описании проблемы есть описание решения — «Задайте для CachedOpenLimit рекомендуемое значение 5»
Чтобы это сделать, открываем Powershell от администратора и вводим команду:
Set-SmbServerConfiguration -CachedOpenLimit 5
* мы задаем параметру CachedOpenLimit значение 5, как это и рекомендовано анализатором.
На запрос, уверены ли мы, что хотим выполнить команду, отвечаем утвердительно.
Остальные параметры задаем аналогичными действиями.
2. Файл Srv.sys должен быть настроен на запуск по требованию.
В командной строке от имени администратора вводим:
sc config srv start= demand
3. Создание коротких имен файлов должно быть отключено.
В командной строке от имени администратора вводим:
fsutil 8dot3name set 1
Dynamic Access Control
A feature that didn’t disappoint was DAC. It was great to finally see it in action, having had the carrot dangled throughout the week. DAC alludes to being the silver bullet for token bloat and, having experienced that first hand, I’d say we’re on track. The flexibility to apply access based on attributes rather than pure group membership will make life so much easier.
A focus of mine at the moment is attempting to plan for role-based access control (but using group membership) and I see DAC as a fantastic way to enhance and complement existing work. The other great part is the ability to use user and computer-based attributes to build up an access profile. To say “You can only access these financial files if you are in the finance department and using a finance computer” will enable scenarios that previously have been put in the “too hard” basket.
I’m also really looking forward to further investigation of Access-Denied Assistance. To enable self-service to help the business should mean quicker time to resolution and also a decrease in workload on service desk staff.
If you haven’t investigated Dynamic Access Control yet, then I’d suggest you do as it can bring a great deal of process improvements to how you work. The number of people in the session shows me that I’m not the only one wanting to improve how access is managed.
Особенности доступа к общим сетевым папкам Windows
Одним из недостатков сетевых папок Windows является тот факт, что по умолчанию все пользователи при просмотре содержимого общей папки могут, по крайней мере, видеть ее структуру и список файлов и каталогов, которые она содержит, включая те, к которым осуществляется доступ на уровне NTFS отсутствует (при попытке открыть такой файл или папку пользователь получает сообщение об ошибке отказа в доступе). Так почему бы не скрыть от пользователя те каталоги и файлы, к которым у них еще нет доступа? Технология Access Based Enumeration (ABE) должна помочь в решении этой задачи. Включив ABE в общей сетевой папке, вы можете гарантировать, что разные пользователи будут видеть разные списки каталогов и файлов в одной и той же сетевой папке, в зависимости от индивидуальных прав доступа пользователя к этим папкам (ACL).
Как клиент и сервер взаимодействуют при доступе к общей папке:
- Клиент обращается к серверу с запросом на доступ к интересующему каталогу в общей сетевой папке;
- Служба LanmanServer на сервере проверяет, есть ли у пользователя разрешения NTFS для каталога;
- Если доступ разрешен (просмотр / чтение / запись), пользователь видит список содержимого каталога;
- Затем пользователь может открыть определенный файл или подкаталог, используя тот же шаблон (вы можете увидеть, кто открыл конкретный файл в сетевой папке, подобной этой). Если к папке невозможно получить доступ, пользователь получает соответствующее предупреждение.
из этой схемы видно, что сервер сначала показывает пользователю все содержимое папки и проверяет права доступа к конкретному объекту только после попытки доступа к его содержимому.
Функция перечисления на основе доступа (ABE) позволяет проверять права доступа к объектам в файловой системе перед отправкой пользователю списка содержимого папки. Таким образом, в окончательный список будут включены только те объекты, для которых у пользователя есть как минимум права чтения на уровне NTFS, а все недоступные ресурсы просто не отображаются (скрыты).
Пользователи отдела (например, склада) в том же сетевом каталоге (\\ filesrv1 \ docs) увидят список папок и файлов. Как видите, у пользователя отображаются только две папки: Public и Sklad.
Пользователи из другого отдела, например ИТ (которые включены в другую группу безопасности Windows), видят другой список подкаталогов. Помимо каталогов Public и Sklad, для этих пользователей в сетевой папке видны 6 других каталогов.
Основным недостатком использования ABE на файловых серверах является дополнительная нагрузка на сервер. Это может быть особенно заметно на сильно загруженных файловых серверах. Чем больше объектов в каталоге отображается и чем больше пользователей открывают в нем файлы, тем больше задержка. По данным Microsoft, если в отображаемом каталоге находится 15 000 объектов (файлов и каталогов), скорость открытия папки замедляется на 1-3 секунды
Поэтому при проектировании структуры общих папок рекомендуется уделять пристальное внимание созданию четкой и иерархической структуры вложенных папок, в этом случае замедление скорости открытия каталогов не будет заметно
Примечание. Понятно, что перечисление на основе доступа не скрывает от пользователя список общих сетевых ресурсов (мяч) на файловом сервере, а действует только в отношении их содержимого. Если вы хотите скрыть сетевую папку от пользователя, добавьте символ $ в конец имени общей папки $.
ABE можно управлять из командной строки (утилита abecmd.exe), из графического интерфейса, PowerShell или через специальный API.