Плюсы и минусы корзины Active Directory
При включении корзины Active Directory вы увидите в Центре администрирования Active Directory новый контейнер удаленных объектов Deleted Objects. В этом контейнере вы найдете все удаленные, но не переработанные объекты, сможете просмотреть их свойства и восстановить их в исходное или любое другое место по своему выбору.
Рис. 3. Просмотр контейнера удаленных объектов Deleted Objects в корзине Active Directory
Хотя на первый взгляд восстанавливать отдельные объекты с помощью этой функции гораздо проще, чем с помощью утилиты LDP или «authoritative»-восстановления контроллера домена, необходимо помнить о некоторых подводных камнях. Ниже я перечислю плюсы и минусы использования корзины Active Directory.
«За»:
- Универсальный способ для доменов Windows Server 2008 R2 (и более поздних)
- Длительное время существования объекта (по умолчанию 180 дней — достаточный срок для решения большинства задач)
- Атрибуты объекта сохраняются в течение времени его существования
- Не требуется перезапуск контроллера домена
- GUI для Windows Server 2012 и выше
«Против»:
- Не работает для доменов с режимом работы леса Windows Server 2008 и ранее
- Не работает для измененных объектов (восстановить объект можно, только если он был удален, но не изменен)
- Восстановление возможно только в течение времени существования объекта
- Не обеспечивает защиту от проблем с самим контроллером домена (не может сравниться с резервной копией)
- Не поддерживает автоматическое восстановление иерархии
Второй пункт здесь особенно важен. Что делать, если объект был не удален, а случайно изменен, и ошибка обнаружилась заметно позже? К сожалению, корзина здесь не поможет, и для этой проблемы требуется другое решение.
FAQ
How can I enable auditing of AD objects?
To enable auditing of Active Directory objects you can either:
- Configure an audit policy on the domain controllers to log the specified events for all users.
- Configure an auditing ACL (SACL) on specific objects to monitor specific changes to them.
How do I configure an audit policy setting for a domain controller?
- Open the Group Policy Management Console.
- Right-click the Default Domain Controllers Policy and select Edit.
- Navigate to Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies.
- Specify the audit settings for each event category want to monitor and save your changes.
- Either wait for the policy to update automatically or run gpupdate on the DC yourself to update the policy immediately.
Use the Windows Event Viewer to view captured events.
How do I configure auditing for specific AD objects?
- Open Active Directory Users and Computers.
- Navigate to the object you want to monitor and open it.
- Go to the Security tab.
- Click the Advanced button.
- Go to the Auditing tab.
- Click Add.
- Select the properties you want to monitor.
- Click OK to close each window until you are back to the main ADUC screen.
Jeff Melnick
Jeff is a former Director of Global Solutions Engineering at Netwrix. He is a long-time Netwrix blogger, speaker, and presenter. In the Netwrix blog, Jeff shares lifehacks, tips and tricks that can dramatically improve your system administration experience.
Типы событий
События AD FS могут принадлежать разным типам на основе различных типов запросов, обрабатываемых AD FS. С каждым типом события связаны определенные данные. Тип событий может различаться между запросами входа (т. е. запросами маркера) и системными запросами (вызовы сервера, включая выборку сведений о конфигурации).
В следующей таблице описаны основные типы событий.
| Тип события | Идентификатор события | Описание |
|---|---|---|
| Успешная проверка учетных данных | 1202 | Запрос, в котором успешно проверяются новые учетные данные служба федерации. Сюда входят WS-Trust, WS-Federation, SAML-P (первый этап для создания единого входа) и службы авторизации OAuth. |
| Новая ошибка проверки учетных данных | 1203 | Запрос, в котором не пройдена новая проверка учетных данных служба федерации. К ним относятся WS-Trust, WS-подача, SAML-P (первый этап для создания единого входа) и службы авторизации OAuth. |
| Маркер приложения успешно выполнен | 1200 | Запрос, в котором служба федерации успешно выдается маркер безопасности. Для WS-Federation SAML-P это регистрируется, когда запрос обрабатывается с помощью артефакта единого входа. (например, файл cookie единого входа). |
| Сбой маркера приложения | 1201 | Запрос, в котором произошел сбой выдачи маркера безопасности служба федерации. Для WS-Federation SAML-P регистрируется при обработке запроса с помощью артефакта единого входа. (например, файл cookie единого входа). |
| Запрос на смену пароля успешно выполнен | 1204 | Транзакция, в которой запрос на изменение пароля был успешно обработан служба федерации. |
| Ошибка запроса на смену пароля | 1205 | Транзакция, в которой не удалось обработать запрос на изменение пароля служба федерации. |
| Выход успешно выполнен | 1206 | Описывает успешный запрос на выход. |
| Сбой выхода | 1207 | Описывает неудачный запрос на выход. |
Сопоставление пользователей
С первого взгляда ничего сложного тут нет, IUser.Name соответствует логину в Active Directory, но это не всегда так. Пользователь может изменить фамилию, имя и т.д., что может заставить администраторов Active Directory изменить ему имя входа в каталоге. Имя входа в DIRECTUM можно перегенерировать, однако, получить объект IUser с помощью ServiceFactory.GetUserByName по новому имени не получится. Для решения такой ситуации нужно проверить компоненту Пользователи на наличие данного логина и получить объект IUser сотрудника на основе данных поля Имя.
Пример определения:
Еще один момент который стоит учесть: у пользователя может быть несколько записей справочника Работники. Как тут поступать надо решать в каждом конкретном случае.
Что такое Active Directory
Active Directory — это технология Microsoft, которая представляет собой распределенную базу данных, в которой хранятся объекты в иерархическом, структурированном и безопасном формате. Объекты AD обычно представляют пользователей, компьютеры, периферийные устройства и сетевые службы. Каждый объект уникально идентифицируется своим именем и атрибутами. Домен, лес и дерево представляют собой логические подразделения инфраструктуры AD.
Домены Windows обычно используются в больших сетях — корпоративных сетях, школьных сетях и государственных сетях. Они не то, с чем вы столкнётесь дома, если у вас нет ноутбука, предоставленного вашим работодателем или учебным заведением.
Типичный домашний компьютер — обособленный объект. Вы управляете настройками и учётными записями пользователей на компьютере. Компьютер, присоединённый к домену, отличается — этими настройками управляет контроллер домена.
Структуры в Active Directory
Структуру важно понимать для эффективного администрирования Active Directory, так как правильные методы хранения и организации являются ключом к построению безопасной иерархии. Ниже приведены некоторые основные структурные аспекты управления Active Directory:
Домены. Домен AD — это совокупность объектов, таких как пользователи или устройства, которые совместно используют политики, и базы данных. Домены содержат идентифицирующую информацию об этих объектах и имеют DNS-имя. Групповая политика может применяться ко всему домену или подгруппам, называемым организационными единицами (OU).
Деревья. Несколько доменов AD в одной группе называются деревьями. Они совместно используют конфигурацию сети, схему и глобальный каталог. Существует правило доверия с деревьями — когда новый домен присоединяется к дереву, ему сразу же доверяют другие домены в группе.
Леса. Лес — это группа деревьев, которые совместно используют одну базу данных. Это вершина организационной иерархии в AD. Один лес должен быть использован для каждого отдела
Важно отметить, что администраторы пользователей в одном лесу не могут автоматически получать доступ к другому лесу.
Где располагать в лесу AD владельца FSMO-роли Schema Master?
Учитывая, что каждая операция по модификации схемы – это отдельное событие, то имеет смысл перед каждым таким случаем смотреть текущую топологию леса Active Directory и, при необходимости, делать Schema Master’ом тот контроллер, который находится в центре топологии. Если вы хотя бы немножко разбираетесь в сетях, то подсказка проста – представьте себе сайты Active Directory как коммутаторы, между которыми работает классический алгоритм STP – вот надо сделать схема-мастером того, кто будет STP Root. Расположение Schema Master после того, как очередные изменения в схеме разойдутся по всем контроллерам, уже абсолютно некритично, т.к. у него нет никаких задач, требующих обращения к нему в ситуации “полный convergence”.
XPath-запросы
Наконец, выполнив необходимые настройки файлов журналов Windows, перейдем непосредственно к поиску интересующей информации. Заметим, что в случае включения всех рекомендованных политик аудита ИБ сами журналы событий становятся достаточно объемными, поэтому поиск по их содержимому может быть медленным (этих недостатков лишены специализированные решения, предназначенные в том числе для быстрого поиска информации — Log Management и SIEM-системы). Отметим также, что по умолчанию не все журналы Windows отображаются к графической оснастке (eventvwr.msc), поэтому в данной оснастке следует перейти в меню «Вид» и отметить check-box «Отобразить аналитический и отладочный журналы».
Итак, поиск по журналам аудита будем осуществлять с помощью встроенного редактора запросов XPath (XPath queries). Открыв интересующий нас журнал, например, журнал безопасности Windows (вкладка «Журналы Windows» -> «Безопасность» / Security), нажатием правой кнопки мыши на имени журнала выберем пункт «Фильтр текущего журнала». Нам откроется графический редактор поисковых запросов, при этом для наиболее продуктивной работы следует открыть вторую вкладку открывшегося окна с названием XML, отметив внизу check-box «Изменить запрос вручную». Нам будет предложено изменить XML-текст (по сути, XPath запрос) в соответствии с нашими критериями поиска.
Результат запроса будет также представляться в различных формах, но для лучшего понимания и получения детального контента в конкретном событии рекомендуем переключиться на вкладку «Подробности», а там выбрать radio-button «Режим XML», в котором в формате «ключ-значение» будут представлены данные события безопасности.
Приведем несколько полезных XPath запросов с комментариями.
1. Поиск по имени учетной записи в журнале Security — возьмем для примера имя Username:
2. Поиск по значению конкретного свойства события в журнале Sysmon — возьмем для примера поиск событий, в которых фигурировал целевой порт 443:
3. Произведем поиск сразу по двум условиям — возьмем для примера событие входа с EventID=4624 и имя пользователя Username:
4. Поиск по трем условиям — дополнительно укажем Logon Type = 2, что соответствует интерактивному входу в ОС:
5. Рассмотрим функционал исключения из выборки данных по определенным критериям — это осуществляется указанием оператора Suppress с условиями исключения. В данном примере мы исключим из результатов поиска по фактам успешного входа (EventID=4624) все события, которые имеют отношения к системным учетным записям (SID S-1-5-18/19/20) с нерелевантным для нас типам входа (Logon Type = 4/5), а также применим функционал задания условий поиска с логическим оператором «ИЛИ», указав не интересующие нас имя процесса входа (Advapi) и методы аутентификации (Negotiate и NTLM):
Password Manager
NetWrix Password Manager дает пользователям сети возможность безопасного управления паролями их учетных записей без участия системного администратора. Это позволяет организациям внедрять жесткую политику паролей в средах Active Directory, добиваться соответствия требованиям информационной безопасности и решать проблемы управления идентификационными данными. Основные функции программы: сброс забытых паролей, поиск и устранение неисправностей блокировки учетных записей, ручная блокировка учетной записи как через защищенный веб-интерфейс, так и через приложение Windows и многое другое. Новая бесплатная версия поддерживает интеграцию с процедурой входа в Windows, Google Apps работает на русском языке.
Скачать: netwrix.com/ru/password_manager.html
NetWrix VMware Change Reporter Freeware Edition
NetWrix VMware Change Reporter отслеживает все изменения и обеспечивает контроль внесения изменений модификаций в виртуальную среду. Программа ежедневно отправляет отчет с перечислением всех без исключения изменений, затронувших сервера ESX, папки, кластеры, пулы ресурсов, виртуальные машины и их аппаратное обеспечение. Для каждого из параметров конфигурации указываются значения «до» и «после».
NetWrix VMware Change Reporter может применяться для:
- ежедневного обзора изменений в конфигурации с целью повышения уровня внутреннего ИТ-управления;
- подготовки отчётов для аудита соответствия нормативным документам по ИТ (SOX, HIPPA, GLBA и др.);
- аудита создания виртуальных машин для предотвращения бесконтрольного роста их количества;
- поддержки платформ VMware VI3 и выше, vSphere, ESX, ESXi.
Скачать: netwrix.com/vmware_auditing_reporting.html
NetWrix Network Infrastructure Change Reporter
Network Infrastructure Change Reporter — инструмент для аудита и составления отчетов по сетевым устройствам, отслеживающий изменения для всех сетевых устройств и их параметров. Решение автоматически находит новые устройства в заданных IP-диапазонах и контролирует изменения в их настройках — модификации в таблицах IP-маршрутов, правилах межсетевых экранов, настройках безопасности, параметрах протоколов. С помощью решения Network Configuration Change Reporter сетевые администраторы могут автоматически фиксировать все до единого изменения в управляемых устройствах, а также распознать неуправляемые и неконтролируемые устройства. Данные аудита изменений могут использоваться для анализа безопасности, решения проблем и аудита соответствия требованиям информационной безопасности.
Скачать: netwrix.com/ru/network_device_audit.html
Доверительные отношения (и типы доверия)
Как упоминалось выше, доверительные отношения используются для облегчения связи между доменами. Трасты обеспечивают аутентификацию и доступ к ресурсам между двумя объектами. Трасты могут быть односторонними или двусторонними по своей природе. В рамках доверия два домена делятся на доверяющий домен и доверенный домен.
В одностороннем доверии, доверяющий домен получает доступ к деталям аутентификации доверенного домена, чтобы пользователь мог получить доступ к ресурсам из другого домена. При двустороннем доверии оба домена принимают данные аутентификации другого. Все домены в лесу доверяют друг другу автоматически, но вы также можете установить отношения доверия между доменами в разных лесах для передачи информации.
Вы можете создавать трасты через Мастер новых трестов. Мастер нового доверия это мастер настройки, который позволяет создавать новые доверительные отношения Здесь вы можете просмотреть Доменное имя, Тип доверия, и переходный статус существующих трастов и выберите тип доверия, которое вы хотите создать.
Типы доверия
Существует несколько типов доверия в Active Directory. Мы перечислили их в таблице ниже:
| Родитель и ребенок | переходный | Двусторонний | да | Родительское и дочернее доверие устанавливается при добавлении дочернего домена в дерево доменов.. |
| Дерево-корень | переходный | Двусторонний | да | Доверие к корню дерева устанавливается в момент создания дерева домена в лесу. |
| внешний | Нетранзитивных | Односторонний или двусторонний | нет | Предоставляет доступ к ресурсам в домене Windows NT 4.0 или домене, расположенном в другом лесу, который не поддерживается доверием леса. |
| область | Транзитивный или нетранзитивный | Односторонний или двусторонний | нет | Формирует доверительные отношения между областью Kerberos, отличной от Windows, и доменом Windows Server 2003. |
| лес | переходный | Односторонний или двусторонний | нет | Делит ресурсы между лесами. |
| кратчайший путь | переходный | Односторонний или двусторонний | нет | Сокращает время входа пользователей между двумя доменами в лесу Windows Server 2003. |
Структуры в Active Directory
Структуру важно понимать для эффективного администрирования Active Directory, так как правильные методы хранения и организации являются ключом к построению безопасной иерархии. Ниже приведены некоторые основные структурные аспекты управления Active Directory:
Домены. Домен AD — это совокупность объектов, таких как пользователи или устройства, которые совместно используют политики, и базы данных. Домены содержат идентифицирующую информацию об этих объектах и имеют DNS-имя. Групповая политика может применяться ко всему домену или подгруппам, называемым организационными единицами (OU).
Деревья. Несколько доменов AD в одной группе называются деревьями. Они совместно используют конфигурацию сети, схему и глобальный каталог. Существует правило доверия с деревьями — когда новый домен присоединяется к дереву, ему сразу же доверяют другие домены в группе.
Леса. Лес — это группа деревьев, которые совместно используют одну базу данных. Это вершина организационной иерархии в AD. Один лес должен быть использован для каждого отдела
Важно отметить, что администраторы пользователей в одном лесу не могут автоматически получать доступ к другому лесу.
Установка Active Directory
Рассмотрим пример установки Active Directory на Windows Server 2008 R2. Итак для установки роли Active Directory, заходим в «Server Manager»:
Добавляем роль «Add Roles»:
Выбираем роль Active Directory Domain Services:
И приступаем к установке:
После чего получаем окно уведомления, об установленной роли:
После установки роли контролера домена, приступим к установке самого контролера.
Нажимаем «Пуск» в поле поиска программ вводим название мастера DCPromo, запускаем его и ставим галочку для расширенных настроек установки:
Жмем «Next» из предложенных вариантов выбираем создание нового домена и леса.
Вводим имя домена, например, example.net.
Пишем NetBIOS имя домена, без зоны:
Выбираем функциональный уровень нашего домена:
Ввиду особенностей функционирования контролера домена, устанавливаем также DNS-сервер.
Расположения базы данных, файла логов, системного тома оставляем без изменений:
Вводим пароль администратора домена:
Проверяем правильность заполнения и если все в порядке жмем «Next».
После этого пойдет процесс установки, в конце которого появится окно, которое сообщает, об успешной установке:
Далее необходимо перезагрузиться. На этом установка контролера домена Active Directory завершена.
Вам это может быть интересно:
Что такое кэш и для чего его очищать?
https://youtube.com/watch?v=fojHlsyGQqA
Введение в Active Directory
В докладе рассматриваются два типа компьютерных сетей, которые можно создать при помощи операционных систем Microsoft: рабочая группа (workgroup) и домен Active Directory.
NetWrix Active Directory Object Restore Wizard
NetWrix AD Object Restore позволяет оперативно восстановить удаленные и модифицированные объекты в службе Active Directory Windows 2003 и 2008 без перезагрузки контроллера домена. Программа не ограничивается обычными функциями объектов tombstone в Active Directory, сохраняет больше информации по сравнению с типовыми объектами AD tombstone и этим превосходит решения, основанные на стандартных интерфейсах Microsoft Tombstone Reanimation. Ни одно решение не сможет восстановить модифицированные и некорректно добавленные объекты, ориентируясь исключительно на tombstone.
Скачать: netwrix.com/ru/active_directory_recovery_software.html
Что может администратор сети через Active Directory?
Не всем в вашей организации обязательно нужен доступ ко всем файлам/документам, имеющим отношение к вашей компании. С помощью Active Directory вы можете предоставить отдельным пользователям разрешение на доступ к любым файлам/дискам, подключённым к сети, чтобы все участвующие стороны могли использовать ресурсы по мере необходимости. Кроме того, вы можете указать ещё более точные разрешения. Чтобы проиллюстрировать это, давайте рассмотрим пример: предположим, у вашей компании есть каталог в сети для всех документов, относящихся к кадрам. Сюда могут входить любые формы, которые нужны сотрудникам для подачи в отдел кадров (официальные запросы, официальные жалобы и так далее). Предположим также, что в каталоге есть таблица, в которой указано, когда сотрудники будут в отпуске и отсутствовать в офисе. Ваш сетевой администратор может предоставить всем пользователям доступ к этому каталогу только для чтения, что означает, что они могут просматривать документы и даже распечатывать их, но они не могут вносить какие-либо изменения или удалять документы. Затем администратор может предоставить расширенные права вашему менеджеру/директору по персоналу или любому другому сотруднику отдела кадров, которому потребуется редактировать файлы, хранящиеся в каталоге.
Ещё одним огромным плюсом для сетевых администраторов, использующих Active Directory, является то, что они могут выполнять обновления в масштабе всей сети одновременно. Когда все ваши машины автономны и действуют независимо друг от друга, вашим сетевым администраторам придётся переходить от машины к машине каждый раз, когда необходимо выполнить обновления. Без Active Directory им пришлось бы надеяться, что все сотрудники обновят свои машины самостоятельно.
AD позволяет централизовать управление пользователями и компьютерами, а также централизовать доступ к ресурсам и их использование.
Вы также получаете возможность использовать групповую политику, когда у вас настроена AD. Групповая политика — это набор объектов, связанных с подразделениями, которые определяют параметры для пользователей и/или компьютеров в этих подразделениях. Например, если вы хотите сделать так, чтобы в меню «Пуск» не было опции «Завершение работы» для 500 лабораторных ПК, вы можете сделать это с помощью одного параметра в групповой политике. Вместо того, чтобы тратить часы или дни на настройку правильных записей реестра вручную, вы создаёте объект групповой политики один раз, связываете его с правильным OU (organizational units, организационные единицы) или несколькими OU, и вам больше никогда не придётся об этом думать. Существуют сотни объектов групповой политики, которые можно настроить, и гибкость групповой политики является одной из основных причин доминирования Microsoft на корпоративном рынке.
Настройка политики аудита
Самый удобный способ создать политику — использовать оснастку ‘Group Policy Management’. Эта оснастка может быть открыта через RSAT или на домен-контроллер. Оснастку групповых политик так же открывается командой:
Вам необходимо выбрать OU, где находятся компьютеры, и создать в ней новую политику. Можно выбрать так же сайт или домен если вы планируете охватить область большую чем OU:
В примерах я использую OU Moscow. Через Powershell создать и привязать политику тоже можно. Это делается следующим образом:
Политика, которая нам нужна, называется ‘Audit account management/Аудит управления учетной записью’. Она включает аудит связанный с изменением пользователя, пароля и групп. Что бы это сделать пройдите по следующему пути
- ‘Computer Configuration’ — ‘Policies’ — ‘Windows Settings’ — ‘Security Settings’ — ‘Local Policies’ = ‘Audit Policy’;
- ‘Конфигурация компьютера’ — ‘Параметры Windows’ — ‘Параметры безопасности’ — ‘Локальные политики’ — ‘Политика аудита’.
В этой политике нужно включить учет успешных попыток изменения данных (Success) и провала (Failure):
Powershell плохо предназначен для настройки политик. Основная проблема в том, что в качестве пути до политики мы должны указывать ветку реестра и знать значения, которые планируем менять. Политики аудита, связанные с безопасностью, не имеют веток реестра вообще и из-за этого установить их командами Powershell не возможно.
Ниже, для примера, показано как через Powershell устанавливается политика включающая заставку через 900 секунд:
У домен контроллеров есть роль FSMO, которая отвечает за пароли. Ее название PDC — ‘Primary domain controller’. На домен контроллере, который держит эту роль, и будут собираться все события связанные с политикой аудита. Увидеть кому принадлежит эта роль можно так:
На клиентских компьютерах запустим обновление политик: