Разрешить пользователю добавлять компьютеры в домен Active Directory
В рамках оптимизации нагрузки на тех.поддержку на предприятии принято решение о делегирование некоторых обязанностей на доверенных пользователей (далее по тексту — уполномоченных). Одной из таких задач будет добавление и удаление компьютеров в домене Active Directory.
«Компьютер не может быть присоединен к домену. На этом домене превышено максимально допустимое число учетных записей. Обратитесь к системному администратору с просьбой отменить это ограничение или увеличить значение.»
«Your computer could not be joined to the domain. You have exceeded the maximum number of computer accounts you are allowed to create in this domain. Contact your system administrator to have this limit reset or increased.»
Бывают случаи, что пользователю удается обойти это ограничение и количество компьютеров, которых он добавил в домен, уже перевалило за несколько десятков. Магии тут никакой нет, просто нужно понять принцип действия этого ограничения. Илья Сазонов в своем блоге очень внятно об этом рассказал:
Оказывается, в учетной записи компьютера есть атрибут ms-DS-CreatorSID, в котором хранится SID учетной записи пользователя создавшего учетную запись этого компьютера. Когда рядовой пользователь добавляет компьютер к домену, то система подсчитывает количество учетных записей компьютеров, в которых атрибут ms-DS-CreatorSID равен SID-у пользователя. Если это значение меньше значения квоты ms-DS-MachineAccountQuota, то новая учетная запись компьютера создается, иначе появляется выше приведенная ошибка.
Стало ясно, что если пользователь добавляет компьютеры в домен, т.е. создает учетные записи компьютеров в Active Directory, а доменный администратор их после этого удаляет, то этот юзер может и не ощутить наличие этой квоты.
Для решения поставленной задачи такой способ не подходит, т.к. из-за большого количества рабочих станций очень скоро уполномоченные столкнуться с превышением лимита.
- Предварительно создавать учетную запись компьютера
- Предоставить пользователю разрешение на добавление компьютеров в домен
- Увеличение квоты
Из этих вариантов для решения моей задачи подходит только второй. Прикинув все за и против решил внедрять.
1. Создал отдельную группу для уполномоченных в AD – Add_PC_in_Domen.
2. В окне оснастки «Active Directory — пользователи и компьютеры», в меню Вид выберал команду Дополнительные функции так, чтобы при нажатии кнопки Свойства была видна вкладка Безопасность.
3. Перешел в Свойства контейнера Компьютеры, вкладка Безопасность — Дополнительно. Добавил в список разрешения новую группу Add_PC_in_Domen, в списке разрешений для этой группы поставил две галки — Создание объектов компьютера и Удаление объектов компьютера.
Осталось добавить доверенных пользователей в группу. Члены этой группу теперь смогут беспрепятственно добавлять компьютеры в домен.
Как запретить пользователям добавлять компьютеры в домен
Нужно группе Прошедшие проверку поставить явный запрет на Создание объектов компьютера, как показано на скриншоте
Нашли опечатку в тексте? Пожалуйста, выделите ее и нажмите Ctrl+Enter! Спасибо!
Хотите поблагодарить автора за эту заметку? Вы можете это сделать!
Будущее Active Directory
Поскольку Active Directory является центральным ИТ-инструментом для управления контролем доступа и безопасностью, то независимо от того, идет ли речь о ИТ-безопасности или нет, вы можете повысить свою эффективность, а в большинстве случаев, добиться и того и другого. Внедрение лучших практик Active Directory является неотъемлемой частью любой ИТ-стратегии. Начиная с платформ мониторинга и заканчивая программным обеспечением для удаленного доступа, существуют десятки инструментов, которые помогут вам в этом процессе. Выберите то, что вам нужно для оптимизации рабочего процесса, обеспечения безопасности и, в конечном итоге, улучшения как ИТ-операций, так и взаимодействия с пользователем.
Настройка свойств пользователя
Завершив подготовительные шаги, перейдем к настройке учетных записей.
Откройте закладку свойств пользователя, выбрав
Start | Programs | Administrative Tools | Active
Directory Users and Computers. Там откройте ветвь пользователей,
дважды щелкните на пользователе. Откроется окно свойств.
На закладке General вы можете ввести имя, инициалы, фамилию,
отображаемое имя, описание, номер офиса, телефон, почтовый адрес,
веб-страницу. Кнопка «Other» позволяет ввести дополнительные
номера телефонов или веб-страницы.
На закладке Address вы можете ввести улицу, номер почтового ящика,
город, штат/провинцию, почтовый индекс, страну.
Закладка Account используется чаще всего. Здесь вы указываете
регистрационное имя, домен, имя и домен NetBIOS.
guest
Закладка Profile используется для установки пути к профилю
для обычных сетевых соединений Windows с использованием TCP/IP
или NetBIOS. Здесь также устанавливается домашний каталог пользователя.
Эти настройки не оказывают влияния на настройки RDP и ICA на клиенте.
Закладка Telephones используется для указания домашнего и
рабочего номеров телефона пользователя, а также пейджера, мобильного
телефона, факса и IP-телефона. Тут также находится поле Notes,
предназначенное для комментариев. Каждое поле имеет кнопку «Other»,
позволяющую вводить дополнительные телефонные номера каждого типа.
Закладка Organization содержит поля для ввода
должности, департамента, компании, имени менеджера. Поле
«Manager» содержит кнопку «Change», при нажатии на которую
можно выбрать пользователя из списка Active
Directory.
Закладка Remote Control используется только при соединении
через терминальные службы. Она содержит переключатель, разрешающий
или запрещающий теневые сеансы (shadowing). Здесь же вы можете установить
уровень контроля — только просмотр или интерактивное взаимодействие.
Именно здесь вы можете отключить требование подтверждения пользователя при
установлении теневого сеанса. По умолчанию, для установления теневого сеанса
необходимо подтверждение пользователя.
Закладка Terminal Services Profile использутся для настройки
размещения профиля для пользователей терминальных служб.
Здесь же можно указать домашний каталог пользователя терминальных служб.
На этой закладке также находится переключатель, разрешающий или
запрещающий регисрацию на терминальном сервере.
Закладка Member Of позволяет отобразить и изменить членство
пользователя в группах. Щелкните кнопку «Add», затем выберите
дополнительные группы, в которые надо добавить пользователя.
Закладка Dial-in содержит разрешения для сервера удаленного
доступа (RAS). Вы можете разрешить или запретить доступ к RAS,
разрешить использование политики
Remote Access Policy, установить опции обратного дозвона (callback),
определить адреса IP и статические маршруты для клиентов RAS.
Эти настройки в обычной конфигурации не оказывают влияния на
соединения терминальных служб.
Закладка Environment используется в терминальных службах и
позволяет настроить начальное окружение для пользователей. В этом окне
вы можете указать начальную программу, которая должна автоматически
запускаться при каждой регистрации пользователя. В этом случае вы можете
указать только одну программу, причем когда пользователь закрывает эту
программу, происходит его разрегистрация. Вы также можете указать,
можно ли клиенту подключать свои драйвы, принтеры, а также указать
принтер по умолчанию.
Настройки на этой закладке переопределяют аналогичные установки,
сделанные на клиенте.
Закладка Sessions также используется в терминальных службах,
как с RDP, так и с ICA. Тут вы можете выбрать минимальную и максимальную
продолжительность активного сеанса, время простоя, максимальное
время отключения сеанса до его сброса.
Password Policy in the Default Domain Policy
By default, to set common requirements for user passwords in the AD domain the Group Policy (GPO) settings are used. The password policy of the domain user accounts is configured in the Default Domain Policy. This policy is linked to the root of the domain and must be applied to a domain controller with the PDC emulator role.
- To configure the AD account password policy, open the Group Policy Management console ();
- Expand your domain and find the GPO named Default Domain Policy. Right-click it and select Edit;
- Password policies are located in the following GPO section: Computer configuration-> Policies-> Windows Settings->Security Settings -> Account Policies -> Password Policy;
- Double-click a policy setting to edit it. To enable a specific policy setting, check the Define this policy settings and specify the necessary value (on the screenshot below, I have set the minimum password length to 8 characters). Save the changes;
- The new password policy settings will be applied to all domain computers in the background in some time (90 minutes), during computer boot, or you can apply the policy immediately by running the command.
You can change the password policy settings from the GPO Management console or by using the PowerShell cmdlet Set-ADDefaultDomainPasswordPolicy:
Использование утилит Citrix MetaFrame
Настало время обсудить несколько утилит
Citrix MetaFrame, которые устанвливаются на сервер
Windows 2000.
Shadowing
Утилита Shadowing позволяет удаленно наблюдать
и/или взаимодействовать с другим сеансом пользователя.
Во время теневого сеанса наблюдаемый сеанс отображается в отдельном окне.
В зависимости от настройки, сеанс можно либо только наблюдать, либо интерактивно взаимодействовать
с ним. В интерактивном режиме все события мыши и клавиатуры
передаются на наблюдаемый сеанс.
Теневые сеансы являются одним из наиболее мощных средств сервера
MetaFrame и могут использоваться не по назначению. Это необходимо учитывать
при предоставлении привилегий на теневые сеансы.
Microsoft Windows 2000
Terminal Services и протокол RDP5 поддерживает теневые сеансы один-к-одному.
Как и
Microsoft, сервер Citrix MetaFrame также позволяет наблюдение
один-к-одному при использовании RDP посредством утилиты
Citrix Server Administration Tool. И использованием протокола ICA
можно реализовывать схемы «один к одному», «один ко многим»,
«многие к одному».
Схема «многие к одному» прекрасно подходит для обучения пользователей;
например, несколько студентов одновременно могут наблюдать за действиями
одного инструктора, который может удобно расположиться в своем офисе.
Существует два метода установления теневого сенаса. Первый заключается
в использование панели
ICA Shadow taskbar, а второй использует утилиту
Citrix Server Administration. Предпочтитльно использовать первый метод,
поскольку в нем больше функциональных возможностей.
Для установления теневого сеанса из Shadow Taskbar выполните следующие шаги:
- Щелкните Start | Programs | MetaFrame Tools | Shadow Taskbar,
или просто щелкните иконку «Shadow taskbar» в нижней части
панели MetaFrame. -
Запустится панель Shadow. В верхней части экрана должна появиться
новая панель инструментов. - Щелкните кнопку Shadow и появится окно опций.
-
Раскройте папку Users в левом окне и подсветите нужного пользователя.
Возможно, для построения списка пользователей может потребоваться
несколько секунд. -
Щелкайте кнопку Add до тех пор, пока все нужные пользователи не
появятся в правом окне. - Нажмите OK для установления теневого сеанса.
-
Пользователю будет выдано окно с запросом разрешения на наблюдение за ним
(это установлено по умолчанию; смотрите выше). -
Если пользователь принимает теневой сеанс или отключено уведомление,
вы можете видеть и/или взаимодействовать с его сеансом. В панели задач
Shadow появится новая кнопка для каждого наблюдаемого сеанса.
Вы можете переключаться между теневыми сеансами, щелкая соответствующую
кнопку. - Для выхода из теневого сеанса нажмите CTRL-* (по умолчанию)
или ту комбинацию клавиш, которую вы указали сеанса.
Вы также можете щелкнуть правой кнопкой мыши на панели задач
и выбрать «Stop Shadow».
Установление теневого сеанса с помоью утилиты
Citrix Server Administration
-
Щелкните Start | Programs | MetaFrame Tools | Citrix Server
Administration или просто щелкните на ярлыке на панели задач MetaFrame. -
В новом окне запустится утилита «Citrix Server Administration».
-
Щелкните правой кнопкой мыши на имени пользователя, выберите
«Shadow», или подсветите пользователя и из меню
«Action» выберите «Shadow». -
Пользователю будет выдано окно с запросом разрешения на наблюдение за ним
(это установлено по умолчанию; смотрите выше). -
Если пользователь принимает теневой сеанс или отключено уведомление,
вы можете видеть и/или взаимодействовать с его сеансом. -
Для выхода из теневого сеанса нажмите CTRL-* (по умолчанию)
или ту комбинацию клавиш, которую вы указали сеанса.
Вы также можете щелкнуть правой кнопкой мыши на панели задач
и выбрать «Stop Shadow».
Несколько парольных политик в домене Active Directory
За управление доменной парольной политики отвечает контроллер домена, владелец FSMO роли PDC Emulator. Политика применяется к компьютерам домена, а не пользователям. Для редактирования настроек Default Domain Policy необходимы права администратора домена.
В домене может быть только одна политика паролей, которая применяется на корень домена и действует на всех пользователей без исключения (есть, конечно, нюансы, но о них ниже). Даже если вы создадите новую GPO с другими парольными настройками и примените ее к OU с параметрами Enforced и Block Inheritance, она не будет применяться к пользователям.
В новом окне, откройте раздел c именем Вашего домена, на скриншоте это «neo.adminad.ru» и нажмите на папку «Users» Слева появится список пользователей, выберите одного из пользователей по имени и правой кнопкой мыши откройте пункт «Смена пароля. «
В окне смена пароля,
1. Введите новый пароль (пароль должен быть не меньше 8 символов) 2. Установите галочку на пункте «Требовать смену пароля при следующем входе в систему» — если требуется. 3. Разблокировать учетную запись пользователя — если пользователь был заблокирован системой.
Если все данные ввели правильно то появится окно об удачной смене пароля
Преимущества входа в домен по токену
PIN-код от токена проще запомнить, так как он может быть намного проще пароля. Каждый наверняка хоть раз в жизни видел, как «опытный» пользователь мучительно не может с нескольких попыток аутентифицироваться в системе, вспоминая и вводя свой «безопасный» пароль.
PIN-код не обязательно постоянно менять, так как токены более устойчивы к перебору PIN-кодов. После некоторого числа неудачных попыток ввода, токен блокируется.
При использовании токена для пользователя вход в систему выглядит следующим образом: после загрузки компьютера, он просто подключает токен к USB-порту компьютера, вводит 4-6 цифр и нажимает кнопку Enter. Скорость ввода цифр у обычных людей выше, чем скорость ввода букв. Поэтому PIN-код вводится быстрее.
Токены позволяют решить проблему «брошенного рабочего места» — когда пользователь уходит со своего рабочего места и забывает выйти из своей учетной записи.
Политика домена может быть настроена таким образом, чтобы компьютер автоматически блокировался при извлечении токена. Также токен может быть оснащен RFID-меткой для прохода между помещениями компании, поэтому не забрав токен со своего рабочего места, сотрудник просто не сможет перемещаться по территории.
Подготовка к синхронизации паролей
Перед настройкой синхронизации паролей для среды MIM и Active Directory проверьте, выполнены ли приведенные ниже условия.
-
Диспетчер MIM установлен согласно инструкциям.
-
Агенты управления для подключенных источников данных, для которых должна выполняться синхронизация паролей, уже созданы, и соответствующие объекты успешно присоединены и синхронизированы.
Чтобы настроить синхронизацию паролей, выполните указанные ниже действия.
-
Расширьте схему Active Directory, добавив классы и атрибуты, необходимые для установки и запуска службы уведомлений о смене паролей (PCNS).
-
Установите службу PCNS в каждом контроллере домена.
-
Настройте в Active Directory имя субъекта-службы для учетной записи службы MIM.
-
Настройте взаимодействие службы PCNS с целевой службой MIM.
-
Настройте агенты управления для подключенных источников данных, для которых должна выполняться синхронизация паролей.
-
Включите синхронизацию паролей в MIM.
Дополнительные сведения о настройке синхронизации паролей см. в разделе «Использование синхронизации паролей».
Запрет применения политик ограниченного использования программ к локальным администраторам
-
Откройте окно «Политики ограниченного использования программ».
-
В области сведений дважды щелкните элемент Применение.
-
В разделе Применять политики ограниченного использования программ к следующим пользователям выберите вариант всех пользователей, кроме локальных администраторов.
Предупреждение
- Чтобы выполнить эту процедуру, вы должны быть членом локальной группы Администраторы или аналогичной.
- Может понадобиться создать новый параметр политики ограниченного использования программ для объекта групповой политики, если это еще не сделано.
- Если на компьютерах организации пользователи часто входят в локальную группу «Администраторы», то этот параметр можно не включать.
- Если параметр политики ограниченного использования программ определяется для локального компьютера, то эта процедура предотвращает применение политик ограниченного использования программ к локальным администраторам. Если параметр политики ограниченного использования программ определяется для сети, отфильтруйте параметры политики пользователей в зависимости от членства в группах безопасности с помощью групповой политики.
How Attackers Compromise Corporate Passwords
Adversaries use a variety of techniques to compromise corporate passwords, including the following:
- Brute force attack — Hackers run programs that enter various potential passwords for a particular user account until they hit upon the right one.
- Dictionary attack — This is a specific form of brute force attack that involves trying words found in the dictionary as possible passwords.
- Password spraying attack — Adversaries try common passwords against multiple user accounts to see if they work.
- Credential stuffing attack — Hackers use automated tools to enter lists of credentials against various company login portals.
- Spidering — Adversaries collect as much information as possible about a hacking target and then try out passwords created using that data.?
Catch-22 / Уловка-22
Проблема: невозможно установить через RDP новый пароль если у пользователя установлено User must change password at next logon.
-
https://en.wikipedia.org/wiki/Catch-22_(logic)
-
https://ru.wikipedia.org/wiki/Уловка-22_(выражение)
Нам необходимо войти в систему, чтобы изменить пароль, но мы не можем войти в систему пока не поменяем пароль.
Вот как это объясняет Microsoft.
Лучшее разъяснение по данному вопросу.
После долгих поисков в сети
-
https://sysadmins.ru/topic431862.html
я понял, что единственное простое решение это отключить NLA на стороне сервера
а на стороне клиента отключить CredSSP (отредактировать локальный .RDP файл)
enablecredsspsupport:i:0
Безопасно ли это? Наш Approved Scanning Vendor считает, что риск перехвата сессии или риск удаленного выполнения вредоносного кода минимален ЕСЛИ передача аутентификационных данных осуществляется по защищенному каналу связи (например OpenVPN).
Существует еще один вариант решения проблемы — установить RD Web Access. Но это установка IIS и дополнительный пункт в правильной настройки безопасности сервера. Для сервера без Active Directory это избыточно.
Windows Server 2012 RDS: Enabling the RD WebAccess Expired password reset option
EOM
Срок истечения пароля AD
Откройте «Пуск» -> «Администрирование» -> «Управление групповой политикой»
Далее откроется окно «Управление групповой политикой», в блоке слева откройте дерево «Лес: Имя Вашего домена» -> «Домены» -> «Имя Вашего домена» -> «Default Domain Policy»
затем в блоке справа выберите вкладку «Параметры».
Во вкладке «Параметры» откройте вкладки «Политики» -> «Конфигурация Windows» -> «Параметры безопасности» -> «Политика учетных записей / Политика паролей»
В списке «Политика учетных записей / Политика паролей» нажмите правой кнопкой мыши на «Максимальный срок действия пароля 42 дня» и в контекстном меню выберите «Изменить»
Перед Вами откроется «Редактор управления групповыми политиками»
В этом редакторе, в блоке слева откройте дерево:
«Конфигурация компьютера» -> «Политики» -> «Конфигурация Windows» -> «Параметры безопасности» -> «Политики учетных записей» -> «Политика паролей»
В блоке справа откройте «Максимальный срок действия пароля 42 дня»
В открывшемся окне в значении «Срок истечения действия пароля» введите 0 или нужное Вам значение Значение «» — говорит системе о том что — функция «Срок истечения действия пароля» — отключена. В таком режиме срок действия пароля — бесконечный.
Несколько политик паролей в домене Active Directory
Контроллер домена, владелец эмулятора PDC, отвечает за управление политикой паролей домена. Для редактирования настроек Default Domain Policy требуются права администратора домена.
Изначально в домене могла быть только одна политика паролей, которая применяется к корню домена и затрагивает всех без исключения пользователей (есть нюансы, но о них мы поговорим позже). Даже если вы создадите новый объект групповой политики с другими настройками пароля и примените его к конкретному подразделению с параметрами принудительного и блочного наследования, он не будет применяться к пользователям.
Политика паролей домена влияет только на объекты AD типа (пользователь). Пароли объектов , обеспечивающие доверительные отношения домена, имеют собственные параметры GPO.
До Active Directory в Windows Server 2008 можно было настроить только одну политику паролей для каждого домена. В более новых версиях AD вы можете создать несколько политик паролей для разных пользователей или групп с помощью Fine-Grained Password Policies (FGPP) (детальных политик паролей). Детализированные политики паролей позволяют создавать и применять различные объекты параметров пароля (PSO). Например, вы можете создать PSO с увеличенной длиной или сложностью пароля для учётных записей администратора домена или сделать пароли некоторых учётных записей более простыми или даже полностью отключить их.