Методология внедрения Microsoft Active Directory

Методология внедрения Microsoft Active Directory

2-е издание, исправленное

Чижиков Д.В.

Национальный Открытый Университет “ИНТУИТ”
2016

2

УДК 004.451.52(07)
ББК 17
Ч59
Методология внедрения Microsoft Active Directory / Чижиков Д.В. - M.: Национальный Открытый
Университет “ИНТУИТ”, 2016 (Основы информационных технологий)
ISBN 978-5-94774-969-4

Курс является обобщением практики внедрения службы Active Directory. Даны необходимые
термины, приведена архитектура Active Directory, а также необходимые модели и стратегии.
Описаны процессы планирования, проектирования, развертывания и тестирования Active Directory,
освещен вопрос миграции данных. В заключение отображены нюансы управления мониторингом
Active Directory, а также устранение возможных проблем, как при миграции данных, так и при
функционировании службы.
В крупных современных компаниях, имеющих разветвленную организационную структуру и
неоднородную инфраструктуру, возникают проблемы по использованию информационных ресурсов,
которое не является прозрачным с точки зрения информационной безопасности. При расширении
сети приходится управлять все большим количеством объектов ресурсов, поэтому наличие средства
организации и упрощения доступа к ресурсам сетевой компьютерной системы становится насущной
необходимостью. Служба каталога Microsoft Active Directory предоставляет такие средства, а также
обеспечивает прозрачное использование информационных ресурсов за счет разграничения прав
пользователей. В данном документе излагается общий методологический подход к реализации
проектов по внедрению единой инфраструктуры Active Directory, начиная с теоретических основ
службы каталога и заканчивая типовыми проблемами, возникающими в ходе реализации таких
проектов и сформулированными на основании имеющегося опыта.

(c) ООО “ИНТУИТ.РУ”, 2008-2016
(c) Чижиков Д.В., 2008-2016

3

Введение в Active Directory

Определение и назначение служб каталогов, их основные функции и задачи. Службы
каталогов - предвестники Microsoft Active Directory. Ключевые преимущества службы
Active Directory

Цель лекции: Указать потребность в использовании единого инструмента для
организации и упрощения доступа к информационным ресурсам. Дать общее
представление о каталоге и службе каталогов, привести их назначение, основные
функции и задачи, сформулировать преимущества использования Active Directory.

Вне зависимости от топологии сети компании, реальной инфраструктуры и
организационной структуры географически распределенных филиалов, а также от
имеющейся в компании разнородной информационной среды, существует общая
методология развертывания и применения службы Active Directory.

Определение каталога и службы каталогов

Сначала мы должны определить, что такое служба каталогов вообще, каковы ее цели и
задачи.

Каталог (directory) — это информационный ресурс, используемый для хранения
информации о каком-либо объекте [1]. Например, телефонный справочник (каталог
телефонных номеров) содержит информацию об абонентах телефонной сети. В
файловой системе каталоги хранят информацию о файлах.

В распределенной вычислительной системе или в компьютерной сети общего
пользования (например, Интернет) имеется множество объектов - серверы, базы
данных, приложения, принтеры и др. Пользователи хотят иметь доступ к каждому из
таких объектов и работать с ними, а администраторы - управлять правилами
использования этих объектов.

В данном документе термины “каталог” и “служба каталогов” относятся к каталогам,
размещаемым в частных сетях и сетях общего пользования. Служба каталогов
отличается от каталога тем, что она не только является информационным ресурсом, но
также представляет собой услугу, обеспечивающую поиск и доставку пользователю
необходимой ему информации [2].

Служба каталогов (directory service) - сетевая служба, которая идентифицирует все
ресурсы сети и делает их доступными пользователям. Служба каталогов
централизованно хранит всю информацию, требуемую для использования и
управления этими объектами, упрощая процесс поиска и управления данными
ресурсами. Служба каталогов работает как главный коммутатор сетевой ОС. Она
управляет идентификацией и отношениями между распределенными ресурсами и
позволяет им работать вместе [4].

Active Directory (AD) - служба каталогов, поставляемая с Microsoft Windows, начиная с
Windows 2000 Server. Active Directory содержит каталог, в котором хранится

4

информация о сетевых ресурсах и службы, предоставляющие доступ к этой
информации.

Active Directory - это не первая и не единственная служба каталогов. В современных
сетях используется несколько служб каталогов и стандартов [3], [13]:

Х.500 и Directory Access Protocol (DAP). X.500 - спецификация International
Organization for Standardization (ISO), определяющая, как должны быть
структурированы глобальные каталоги. Х.500 также описывает применение DAP
для обеспечения взаимодействия между клиентами и серверами каталогов;
Lightweight Directory Access Protocol (LDAP). Протокол LDAP был разработан в
ответ на критические замечания по спецификации DAP, которая оказалась
слишком сложной для применения в большинстве случаев. Спецификация LDAP
быстро стала стандартным протоколом каталогов в Интернете;
Novell Directory Services (NDS). Служба каталогов для сетей Novell NetWare,
совместимая со стандартом Х.500;
Windows NT и SAM. Ядром Windows NT NOS (Network Operating System - сетевая
операционная система) является база данных SAM (Security Accounts Management
- управление безопасными учетными записями). Она представляет центральную
базу данных учетных записей, включающую все учетные записи пользователей и
групп в домене. Эти учетные записи используются для управления доступом к
совместным ресурсам, принадлежащим любому серверу в домене Windows NT.

Служба Active Directory, в отличие от перечисленных служб каталогов, является
защищенной, распределенной, сегментированной и реплицируемой, что позволяет
обеспечить следующие возможности [4]:

упрощенное администрирование;
масштабируемость;
поддержку открытых стандартов;
поддержку стандартных форматов имен.

С помощью Active Directory осуществляется централизованное управление
пользователями, группами, общими папками и сетевыми ресурсами,
администрирование среды пользователя и программного обеспечения средствами
групповой политики.

Назначение службы каталогов

Служба каталогов является как инструментом администрирования, так и инструментом
пользователя (см. рис. 1.1). Пользователи и администраторы зачастую не знают точных
имен объектов, которые им в данный момент требуются. Они могут знать один или
несколько их признаков или атрибутов (attributes) и могут послать запрос (query) к
каталогу, получив в ответ список тех объектов, атрибуты которых совпадают с
указанными в запросе.

5

Рис. 1.1.  Назначение Active Directory

Служба каталогов позволяет [1]:

обеспечивать защиту информации от вмешательства посторонних лиц в рамках,
установленных администратором системы;
распространять каталог среди других компьютеров в сети;
проводить репликацию (тиражирование) каталога, делая его доступным для
большего числа пользователей и более защищенным от потери данных;
разделять каталог на несколько частей, обеспечивая возможность хранения очень
большого числа объектов.

По мере роста числа объектов в сети служба каталогов начинает играть все более
важную роль. Можно сказать, что служба каталогов - это та основа, на которой
строится вся работа крупной распределенной компьютерной системы. В сложной сети
служба каталогов должна обеспечивать эффективный способ управления, поиска и
доступа ко всем ресурсам в этой сети, например к компьютерам, принтерам, общим
папкам и т. д.

Функции службы каталогов

Приведем основные функции службы каталогов и дадим их краткое описание [3].

Централизация. Смысл централизации - уменьшение количества каталогов в сети.
Включение информации обо всех сетевых ресурсах в централизованный каталог
создает единственную точку управления, что упрощает администрирование
ресурсов и позволяет эффективнее делегировать административные задачи. Кроме
того, в сети появляется единая точка входа для пользователей (или их
компьютеров/приложений), которая нужна, когда возникает необходимость в
поиске ресурсов.
Масштабируемость. Служба каталогов должна допускать рост сети, не создавая
при этом слишком больших издержек, - то есть она должна поддерживать какойлибо способ разбиения базы данных каталога на разделы, чтобы не утратить

6

контроль над базой данных из-за ее чрезмерного разрастания и при этом
сохранить преимущества централизации.
Стандартизация. Служба каталогов должна предоставлять доступ к своей
информации по открытым стандартам. Это гарантирует, что другие приложения
смогут использовать ресурсы в службе каталогов (и публиковать их в ней), а не
поддерживать собственные каталоги.
Расширяемость. Служба каталогов должна тем или иным способом позволять
администраторам и приложениям расширять в соответствии с потребностями
организации набор информации, хранимой в каталоге.
Разделение физической сети. Благодаря службе каталогов топология физической
сети должна быть прозрачной для пользователей и администраторов. Ресурсы
можно находить (и обращаться к ним), не зная, как и где они подключены к сети.
Безопасность. Служба каталогов была бы крайне полезной злоумышленнику, так
как она хранит подробную информацию о данной организации. Поэтому служба
каталогов должна поддерживать защищенные средства хранения, управления,
выборки и публикации информации о сетевых ресурсах.

В разрезе перечисленных функций можно указать и основные задачи, на выполнение
которых нацелена служба Active Directory.

Хранить информацию об объектах сети и предоставлять эту информацию
пользователям и системным администраторам.
Позволять пользователям сети обращаться к общим ресурсам, единожды введя
имя и пароль.
Представлять сеть в интуитивно понятном иерархическом виде и позволять
централизованно управлять всеми объектами сети.
Повышать степень информационной безопасности за счет разграничения
административных полномочий обслуживающего персонала и внедрения
современных методов защиты информации.
Позволять спроектировать единую структуру каталога так, как это необходимо в
организации, чтобы обеспечить прозрачное использование информационных
ресурсов в рамках компании.

Служба каталогов Active Directory также выполняет и другие функции (см. [4]).

Преимущества Active Directory

Служба каталогов Active Directory является службой, интегрированной с MS Windows
начиная с Windows 2000 Server. Active Directory обеспечивает иерархическую
структуру построения организации, наращиваемость и расширяемость, а также
функции распределенной безопасности. Эта служба позволяет использовать простые и
интуитивно понятные имена объектов, которые в ней содержатся, при этом доступ к
ней может быть осуществлен с помощью таких инструментов, как программа
просмотра ресурсов Интернет.

Распределенные службы безопасности также используют Active Directory в качестве
хранилища учетной информации.

7

Преимущества интеграции управления учетными записями со службой каталогов
Active Directory таковы:

учетные записи пользователей, групп и машин могут быть организованы в виде
контейнеров каталога, называемых организационными подразделениями или
просто подразделениями. В домене может быть произвольное число
подразделений, организованных в виде древовидного пространства имен. Это
пространство имен может быть выстроено в соответствии с подразделениями и
отделами в организации. Так же как и организационные подразделения, учетные
записи пользователей являются объектами каталога и могут быть легко
переименованы внутри дерева доменов при перемещении пользователей из одного
отдела в другой;
в каталоге Active Directory поддерживается большое число объектов: размер
одного домена не ограничивается производительностью сервера, хранящего
учетные записи. Дерево связанных между собой доменов может поддерживать
большие и сложные организационные структуры;
администрирование учетной информации расширено за счет использования
графических средств управления Active Directory, а также за счет поддержки OLE
в языках сценариев. Общие задачи могут быть реализованы в виде сценариев,
позволяющих автоматизировать администрирование;
служба тиражирования каталогов позволяет иметь несколько копий учетной
информации, причем обновления этой информации могут выполняться в любой
копии, а не только на выделенных первичных контроллерах домена. Протокол
LDAP и синхронизация каталогов позволяют обеспечивать механизмы связи
каталога Windows с другими каталогами на предприятии;
хранение учетной информации в Active Directory означает, что пользователи и
группы представлены в виде объектов каталога. Права на чтение и запись могут
быть предоставлены как по отношению ко всему объекту целиком, так и по
отношению к отдельным его свойствам. Администраторы могут точно определять,
кто именно и какую именно информацию о пользователях может
модифицировать. Например, оператору телефонной службы может быть
разрешено изменять информацию о телефонных номерах пользователей, но при
этом он не будет обладать привилегиями системного оператора или
администратора.

Если в компании-заказчике заинтересованы в выполнении наиболее сильно
интегрированной службы каталога для Windows Server 2003, то Active Directory
является логичным выбором. Другая очень популярная причина, подталкивающая к
реализации службы Active Directory, состоит в поддержке Microsoft Exchange Server
20001). Далее описаны несколько ключевых преимуществ службы Active Directory
Windows Server 2003 [13].

Централизованный каталог. Active Directory является единственной
централизованной службой каталога, которая может быть реализована в пределах
предприятия. Это упрощает сетевое администрирование, поскольку
администраторы не должны соединяться с несколькими каталогами, чтобы
выполнять управление учетными записями. Другая выгода от применения

8

централизованного каталога состоит в том, что он может также использоваться
другими приложениями, такими как Exchange Server 2000. Это упрощает полное
сетевое администрирование, так как используется единая служба каталога для всех
приложений.
Единая регистрация. После успешной идентификации пользователям будет
предоставлен доступ ко всем сетевым ресурсам, для которых им было дано
разрешение, без необходимости регистрироваться снова на различных серверах
или доменах.
Делегированное администрирование. Active Directory предоставляет
администраторам возможность передавать административные права. Используя
мастер Delegation Of Control Wizard (Делегирование управления) или устанавливая
определенные разрешения на объекты Active Directory, администраторы могут
предлагать тонко настроенные административные права. Например, можно
назначить определенной учетной записи пользователя административное право
сбрасывать пароли в домене, но не создавать, удалять или как-либо изменять
пользовательский объект.
Интерфейс общего управления. Есть несколько способов, которыми можно
получить выгоду от интеграции между Active Directory и операционной системой.
Один из путей состоит в использовании интерфейса общего управления - консоли
управления Microsoft (ММС - Microsoft Management Console). При взаимодействии
с Active Directory через графический интерфейс пользователя ММС все
инструментальные средства управления дают согласующееся друг с другом
впечатление и ощущение от их использования. Для Active Directory эти средства
включают Active Directory Users And Computers (Active Directory: пользователи и
компьютеры), Active Directory Domains And Trusts (Active Directory: домены и
доверительные отношения) и Active Directory Sites And Services (Active Directory:
сайты и службы). Оснастки ММС функционируют так же, как все другие средства
администрирования Windows Server 2003, например оснастки DHCP и DNS.
Интегрированная безопасность. Служба Active Directory работает рука об руку с
подсистемой безопасности Windows Server 2003 при аутентификации безопасных
пользователей и обеспечении защиты общедоступных сетевых ресурсов. Сетевая
защита в сети Windows Server 2003 начинается с аутентификации во время
регистрации. Когда безопасный пользователь входит в домен Windows Server
2003, подсистема защиты вместе с Active Directory создает лексему доступа,
которая содержит идентификатор защиты (SID - Security Identifier) учетной записи
пользователя, а также идентификаторы SID всех групп, членом которых является
данный пользователь. Идентификатор SID является атрибутом пользовательского
объекта в Active Directory. Затем лексема доступа сравнивается с дескриптором
защиты на ресурсе, и, если устанавливается соответствие, то пользователю
предоставляется требуемый уровень доступа.
Масштабируемость. Поскольку организация либо постепенно растет в процессе
бизнеса, либо это происходит быстро, через ряд слияний с другими компаниями и
в результате приобретений, служба Active Directory спроектирована
масштабируемой, для того чтобы справляться с этим ростом. Можно расширить
размер доменной модели или просто добавить больше серверов, чтобы
приспособиться к потребностям увеличения объема. Любые изменения в
инфраструктуре Active Directory должны быть тщательно реализованы в

9

соответствии с проектом Active Directory, который предусматривает такой рост.
Отдельный домен, представляющий самый маленький раздел инфраструктуры
Active Directory, который может реплицироваться на единственный контроллер
домена, может поддерживать более одного миллиона объектов, так что модель
отдельного домена подходит даже для больших организаций.

Краткие итоги

В этой лекции были даны определения каталога и службы каталогов.

Перечислены службы и стандарты, используемые в современных сетях:

Х.500 и Directory Access Protocol (DAP).
Lightweight Directory Access Protocol (LDAP).
Novell Directory Services (NDS).
Windows NT и SAM.

Указано назначение служб каталога:

Обеспечивать защиту информации от вмешательства посторонних лиц в рамках,
установленных администратором системы.
Распространять каталог среди других компьютеров в сети.
Проводить репликацию (тиражирование) каталога, делая его доступным для
большего числа пользователей и более защищенным от потери данных.
Разделять каталог на несколько частей, обеспечивая возможность хранения очень
большого числа объектов.

Приведены основные функции службы каталогов, позволяющие обеспечивать
следующие возможности:

централизация;
масштабируемость;
стандартизация;
расширяемость;
разделение физической сети;
безопасность.

Ключевые преимущества Active Directory:

Централизованный каталог.
Единая регистрация.
Делегированное администрирование.
Интерфейс общего управления.
Интегрированная безопасность.
Масштабируемость.

10