Popis

Základní pojmy

Active Directory je balík služeb, který se aktivuje na stroji s operačním systémem Windows Server. Součástí tohoto balíku je několik komponent, které jsou mezi sebou navzájem provázané a právě jejich kombinace umožňuje ulehčit správu velkého množství pracovních stanic a uživatelů v organizaci.

Doména

Pod tímto pojmem lze chápat oddělenou samostatnou adresářovou strukturu. Celý strom domény se dělí na takzvané organizační jednotky (OU), které rozčleňují jednotlivé objekty v doméně do kontrolovatelnějších množin. Objektem v AD může být další OU nebo účet uživatele, skupina nebo účet stroje, tedy počítače. Jednotlivým účtům lze přiřazovat členství ve skupinách a umisťovat je do Organizačních jednotek. Účet počítače se v doméně objeví po jeho zařazení do domény. Administrátoři domény si sami určují, které doménové uživatelské účty mají oprávnění zařazovat počítače do domény. Jakmile je počítač zařazen do domény a správné Organizační jednotky, tak se na něj aplikují takové doménové politiky, které odpovídají jeho zařazení.

Autentizace

Toto je jinými slovy proces ověření. Autentizace uživatele probíhá v Active Directory pomocí přihlašovacího jména a hesla. Komunikace při ověřování je šifrovaná a tudíž je zaručena autentičnost údajů, které mezi klientským počítačem a serverem centrálního katalogu, proudí. Autentizací je potvrzena jednoznačná identifikace uživatele.

Autorizace

Každý uživatelský účet může mít různá oprávnění. Přidělení oprávnění se říká autorizace. Uživatelský účet může mít mnoho různých oprávnění, například pro využití vzdálené plochy na konkrétní stroje nebo pro přístup do sdíleného adresáře nebo pro změnu nastavení počítače. Množství dostupných nastavení, které lze uživatelskému účtu přidělit, je tak velké, že bez adresářových služeb a doménových skupinových politik by správa velkého množství uživatelů nebyla prakticky možná.

Audit

V rámci ucelení služeb je někdy nutné vědět, co se v adresářové službě děje. Auditování záznamů uložených v centrálním katalogu je nedílnou součástí Active Directory. Na doménovém řadiči se ukládají záznamy o operacích s doménovými účty a objekty. Jelikož je těchto záznamů ale velké množství, tak se takové záznamy ukládají pouze po omezenou dobu.

Mezi ukládané údaje patří:

• vytvoření, smazání a změna účtu

• přihlášení uživatele (i neúspěšné pokusy)

• přesun účtu, skupiny a Organizační jednotky

• vytvoření, smazání a změna skupiny

• změna členství ve skupině

• změny oprávnění účtů

• změny hesel účtů (pouze informace, nikoliv heslo samotné)

Doménové politiky

V originálním znění Group Policy je nástroj umožňující provádět konfiguraci chování počítače. Prostřednictvím tohoto nástroje řešíme různé případy jako je například nastavení vzhledu přihlašovací obrazovky, povolení klávesových zkratek, časované zamykání obrazovky a spousta dalších. Politiky dokáží v počítači změnit libovolné nastavení, ať už se jedná o kosmetickou záležitost jako je zapnutý CapsLock při startu PC nebo vypnutý zvuk po přihlášení na učebně, až po úpravu oprávnění uživatelů provádět na PC určité akce. Při používání tohoto nástroje vycházíme ze zkušeností a aplikujeme takzvané best practices dle dekora, jak by se uživatel měl chovat v IT prostředí (viz série školení na spam, phishing, sociální inženýrství a další hrozby, které na nás číhají).

Politiky týkající se bezpečnosti jsou výhradně prohibiční, tedy spíše věci zakazují. Základní instalace Windows, která není upravena vhodnými politikami z domény má povoleno poměrně dost potenciálně zneužitelných funkcí, které může neopatrný uživatel neúmyslně otevřít a doslova tak pozvat nechtěného hosta do svého počítače. Politiky mohou také obsahovat informace, které uživatel potřebuje, nastavuje se jimi například aktivace produktů Microsoft pomocí univerzitního KMS serveru.

Politiky umožňují další dělení konfigurací na dvě kategorie.

• Uživatelské nastavení

• Systémové nastavení

Každá z kategorií může obsahovat naprosto stejné položky. Jde však o to, že systémové nastavení má většinou vyšší prioritu než uživatelské nastavení. Nemusí tomu tak být vždy, ale je to téměř pravidlem. Pro každé nastavení je v dokumentaci uvedeno, která z těchto kategorií má při jejich konfliktu větší prioritu. Uživatelská nastavení bývají svázána s uživatelským účtem nebo se skupinou uživatelů, kdežto Systémová nastavení jsou zase svázána s počítačovými účty nebo skupinami. Touto mechanikou lze docílit toho, že uživatel, který se přihlásí na počítač, bude mít vždy své zvolené jazykové nastavení nebo že bude vždy po startu počítače zapnutý NumLock.

Certifikační autorita

Součástí Active Directory je i modul certifikační autority. Tato autorita vydává certifikáty podepsané vlastní šifrou každému počítači v doméně. Tyto certifikáty pak slouží k ověření pravosti autentizačních dotazů a také nesou vlastní šifrovací klíče pro asymetrické šifrování komunikace mezi počítačem a doménovým řadičem. Certifikáty vydané touto autoritou slouží také mnoha jiným účelům a aplikacím, které se spoléhají na služby Active Directory.

DNS

Jelikož má každý počítač své jméno a počítače jsou v doméně zařazovány dle svého jména, ale komunikace probíhá pomocí TCP/IP protokolu, tak je nutné, aby byla v Active Directory dostupná služba DNS. Tato služba překládá názvy počítačů na IP adresy a zase naopak. IP adresy se totiž mohou měnit častěji než jména jednotlivých počítačů a proto je potřeba, aby tato data zůstávala konzistentní. Doménové řadiče mají každý svou repliku záznamů DNS. Tato služba umožňuje přeložit doménový název počítače na směrovatelnou adresu IP protokolu. Doménové jméno stroje se vždy skládá z jeho názvu a apendixu ve formě kompletního názvu domény. Při zařazení stroje do domény předají adresářové služby Active Directory informaci DNS službě o nalezení nového stroje s konkrétním názvem a IP adresou. Přestože by v síti mohla už jiná DNS služba být aktivní, tak je i přesto přítomnost DNS služby na doménových řadičích nezbytná. DNS totiž neudržuje pouze A záznamy pro překlad doménového jména na IPv4 adresu, ale udržují se zde také SRV záznamy tedy záznamy služeb a na jakých strojích se nacházejí. SRV záznam poskytuje klientům informaci o tom, kde se nachází služba, kterou potřebuje například klient MECM nebo operační systém pro ověření certifikátu.

WSUS

Jak jistě víte, tak Microsoft pravidelně vydává velké množství různých aktualizací. Ne všechny jsou však nezbytné a některé mohou způsobit i problémy v systému. Proto je tu nástroj WSUS, který slouží administrátorům jako prostředek k filtraci a selektivní aplikaci jednotlivých aktualizací. Tento nástroj umožňuje například pozdržet problémové aktualizace a vyzkoušet je před nasazením nebo vybrat nejčerstvější bezpečnostní záplaty a okamžitě je aplikovat po jejich vydání Microsoftem. Je to jakýsi prostředník mezi servery aktualizační služby Microsoft a vaším počítačem. Jednotlivé počítače pak mají nastavena pravidla pro aplikaci schválených a vyžadovaných aktualizací a uživatel může s těmito volbami do určité míry interagovat a upravovat je.

Doména AD.PEF.MENDELU.CZ

Doménové služby Active Directory jsou na PEF zajišťovány dvěma doménovými řadiči. Na doménu je také navázán centrální systém PEF pro správu aplikací, operačních systémů a aktualizací MECM.

Nástroje

Návody