PŘÍPADOVÁ STUDIE ACTIVE DIRECTORY A POLITIKA

Transkript

1 PŘÍPADOVÁ STUDIE ACTIVE DIRECTORY A POLITIKA Autoři: Bc. Martin Zelenka Bc. Michal Stoklasa Bc. David Veselák Bc. Martin Soukup Bc. Matěj Jenč Bc. Ondřej Čáslavka Přednášející: Ing. Jiří Vaněk, Ph.D Ročník: 2016/2017 1

2 Obsah 1. Charakteristika Vnější struktura... 3 a. Doména... 3 b. Lesy a stromy domén... 4 c. Organizační jednotky Vnitřní struktura... 6 a. Adresářová služba a úložiště dat... 6 Informační model - schéma... 9 Jmenný model (Distinguished Name - DN) Ostatní možnosti identifikace Funkční model Bezpečnostní model / Autentizace b. Globální katalogy Správa Active Directory Politiky Literatura Seznam obrázků

3 1. Charakteristika Active Directory je název adresářových služeb LDAP implementované firmou Microsoft pro řadu systémů Windows NT. Active Directory byla představena ve Windows 2000 jako nástupce Domény Windows, který umožňoval pro centrální uchování informací využít stromovou strukturu databáze. Databáze Active Directory je uložena na řadiči domény, který v počítačové síti zajišťuje autentizaci a autorizaci uživatelů, počítačů i další služby. Od Windows Server 2008 došlo k integraci dalších služeb. vyžaduje instalaci služby DNS je založena na standardních internetových protokolech jednoznačně definuje strukturu sítě organizuje skupiny počítačů a domén [1] Active Directory v sobě zahrnuje řadu služeb. Jeho primární role je poskytování centrálních služeb pro autentizaci a autorizaci, tedy správa uživatelů (přesněji správa účtů, protože to může být i třeba počítač). Ale různé části poskytují mnoho dalších funkcí, například Group Policy umožňuje spravovat politiky jednotlivých počítačů (co je na nich povoleno) a instalovat hromadně (a vzdáleně) aplikace. Active Directory je silně provázáno s DNS, některé části jsou na DNS založeny (rozhodně bez něj nefungují). AD používá stejnou hierarchickou strukturu jako DNS. Data uložená v AD (informace o uživatelích, skupinách, apod.) jsou organizovány jako objekty. Objekt je pojmenovaná skupina atributů, které reprezentují síťový prostředek (resource). Některé objekty mohou obsahovat jiné objekty, to jsou kontejnery (container). [2] 2. Vnější struktura a. Doména Doména (domain) je základním prvkem logické struktury AD. V doméně jsou přímo uloženy objekty (může se jednat o milióny), které do dané domény patří. AD je tvořena jednou nebo více doménami. Doména není omezena na fyzickou lokaci a může se rozprostírat přes všechny pobočky. Doména je bezpečnostní hranicí, přístup k doménovým objektům je řízen pomocí ACL, které má nastaveno oprávnění (permissions). Bezpečnostní nastavení a oprávnění nemohou přecházet mezi doménami. Doménová struktura slouží jako hranice zabezpečení organizací a definuje rozsah oprávnění pro správce. Ve výchozím nastavení obsahuje doménová struktura jedinou doménu, která se označuje jako kořenová doména doménové struktury. V doménové struktuře se dají vytvořit další domény jako oddíly dat služby Active Directory Domain System. Díky tomu můžou organizace replikovat data, jenom když je to potřeba. Díky tomu může služba AD DS škálovat globálně přes síť, která má omezenou dostupnou šířku pásma. Doména služby Active 3

4 Directory taky podporuje spoustu dalších základních funkcí, které souvisejí se správou, včetně ověřování, vztahů důvěryhodnosti a identity uživatele v celé síti. Obrázek 1: Hierarchická struktura AD b. Lesy a stromy domén Pokud by byl seznam doménových jmen pouze jeden, vznikl by zásadní problém. Stejná jména by musela odpovídat více IP adresám, což samozřejmě není možné. Dalším problémem by se stala velikost seznamu a není možné, aby jeden DNS server obsahoval seznam všech existujících názvů na celém světě. Proto byla do tohoto systému zavedena určitá hierarchie. Všechna doménová jména jsou tvořena stromovou strukturou (tzv. doménový strom), tzn., že jsou rozdělena na jednotlivé úrovně, které se oddělují doménou nultého řádu neboli tečkou. Jejich celý zápis tvoří kvalifikované doménové jméno např. moodle.czu.cz. Doménu nultého řádu má na starost mezinárodní organizace ICANN (Internet Corporation for Assigned Names and Numbers - Jednotlivé úrovně se zapisují opačným směrem. Na konci jsou domény nejobecnější a směrem doleva se konkretizují. Poslední část jména je doména nejvyšší (první) úrovně (Top Level Domain, TLD). Tyto domény se dělí na cctld a gtld. [3] Obrázek 2: Doménový strom 4

5 Lesem se rozumí spojená skupina doménových stromů, která používá stejné schéma, sdílí stejný globální katalog, je spojená důvěrou Kerberosu 1, poskytuje prostor pro více internetových jmen. Funkce lesa jsou omezeny úrovní funkčnosti lesa. K dispozici jsou tři úrovně: Windows podporuje řadiče domény se systémy Windows NT 4.0, Windows 2000 a Windows Server 2003 Windows Server 2003 provizorní (Windows Server 2003 interim) - podporuje řadiče domény se systémy Windows NT 4.0 a Windows Server 2003 Windows Server podporuje řadiče domény se systémem Windows Server c. Organizační jednotky Jsou to podskupiny v rámci domén, které často odráží řídicí nebo obchodní strukturu organizace. OU si také můžeme představit jako logické kontejnery, do kterých si můžeme umístit: uživatelské účty sdílené prostředky další OU V doméně firma.cz můžeme vytvořit OU podle jednotlivých oddělení této firmy tato oddělení pak dále členit na další pořízené OU. Objekty umístěné v jedné OU musí vycházet pouze z nadřazené domény. Např. OU domény dm.vsps.cz mohou obsahovat objekty pouze z této domény. Není možné do nich přidávat objekty z domény např. brno.firma.cz. Organizační jednotka (OU) - Nejnižší forma seskupování objektů v Active Directory - Skupinová politika může být uplatňována na úrovni organizační jednotky - Může být vnořena až do hloubky 12 úrovní - OU jsou definovány uvnitř domén - Odrážejí organizační oddělení - Vlastnosti OU se dědí pouze v rámci domény (ne mezi doménami) Důvody vytvoření OU - OU umožňují přiřadit zásady skupiny pro malý počet objektů domény, aniž by ovlivňovaly zbytek domény. To umožňuje spravovat odděleně jednotlivé části organizace podle její hierarchie. - OU vytvářejí menší pohledy na adresářové objekty domény a je tak možné s nimi lépe pracovat. To umožňuje efektivní správu prostředků. - OU umožňují delegovat řízení a jednoduše řídit přístup ke správě doménových prostředků. Lze tak stanovit rozsah práv jednotlivých správců v doméně. Pro jednotlivou OU lze stanovit samostatného správce. Na druhou stranu lze jednomu správci delegovat oprávnění na správu všech OU v doméně 1 Kerberos je síťový autentizační protokol umožňující komukoli komunikujícímu v nezabezpečené síti prokázat bezpečně svoji identitu někomu dalšímu. Kerberos zabraňuje odposlechnutí nebo zopakování takovéto komunikace a zaručuje integritu dat 5

6 - OU dovoluje seskupovat různé typy objektů, na něž pak mohou být aplikována pravidla nastavená pro OU - OU nalezneme v nástroji: Uživatelé a počítače služby Active Directory, reprezentované jednotlivými složkami Vytvoření OU Organizační jednotku nelze vytvářet v jakémkoli kontejneru Active Directory. Platí zde jistá omezení. Lze ji vytvořit pouze v již existujícím útvaru Domain Controlers a v kořeni domény. Výběr kořene domény: Akce Nový Organizační jednotka vytvoří se prázdná organizační jednotka. 3. Vnitřní struktura Služba Active Directory se skládá z mnoha součástí a je založena na mnoha technologiích. Uživatelé přistupují k jejím datům skrze úložiště dat a globální katalogy. Přestože většina úloh služby Active Directory pracuje s úložištěm dat, jsou i globální katalogy velmi důležité, protože se využívají při příhlášení uživatelů a vyhledávání informací. Pokud není globální katalog k dispozici, nemohou se běžní doménoví uživatelé přihlásit. K datům Active Directory se přistupuje pomocí protokolů pro přístup k adresářové struktuře a její data se distribuují pomocí replikací. [4] a. Adresářová služba a úložiště dat Adresářová služba se skládá z adresářového úložného systému (direktory store) a mechanismu používanému k nalezení a načtení informací ze systému. Adresářová služba ukládá informace o reálných objektech, které existují v síti organizace a jsou asociované s jednou nebo více doménami, jako jsou uživatelé, specifické skupiny uživatelů, počítače, aplikace, služby, soubory a distribuční seznamy. Tyto informace jsou pak dostupné pro uživatele a aplikace skrze celou organizaci. [5] Úložiště dat Active Directory řeší problém správy rozličných dat skrze celou organizaci. Úložiště dat je jediný, obecná databáze, která může skladovat data různých typů a distribuuje tato data k uživatelům kdekoliv v síti. Následující obrázek ilustruje použití úložiště dat jako jedinou databázi pro všechna data organizace. 6

7 Obrázek 3: Úložiště dat Úložiště dat Active Directory zajišťuje následujících důležité cíle v návrhu: Poskytnutí distribuovaného přístupu k adresáři uživatelům a aplikacím, kopie úložiště dat je na všech doménových kontrolérech v doméně nebo lese. Poskytuje standardní rozhraní (API) pro přístup k datům. Podporuje rychlé vyhledávání v datech adresáře skrze efektivní dotazovací a indexovací mechanizmus. Pro zajištění škálovatelnosti, úložiště využívá hierarchický nebo stromový model. Škálovatelnost také zajišťuje automatickou správou růstu velikosti databáze, kde zvětší databázi dle potřeby. Aby byla zajištěna konzistence dat, úložiště vynucuje sadu rozšiřitelných datových typů a formátových omezení, což se nazývá schéma. [6] Úložiště dat Active Directory se skládá z několika komponent, které dohromady poskytují adresářové služby klientům a ostatním adresářovým serverům. Mezi tyto komponenty patří tři komponenty služby, čtyři rozhraní služby a adresářová databáze, kde jsou data skutečně uložena. [7] Obrázek 4: Architektura úložiště dat 7

8 Mezi komponenty patří Directory System Agent (DSA), který se spouští jako Ntdsa.dll na každém doménovém kontroléru a poskytuje rozhraní, přes která klienti adresářové služby a ostatní adresářové servery získávají přístup do databáze. Navíc DSA prosazuje adresářovou sémantiku, udržuje schéma, garantuje objektovou identitu a vynucuje datové typy na atributech. Dále mezi komponenty patří databázová vrstva, což je API uložené v Ntdsa.dll a poskytuje rozhraní mezi aplikacemi a adresářovou databází, aby chránila databázi před přímými interakcemi s aplikacemi. Volání z aplikací nejdou nikdy přímo z aplikace do databáze, vždy jdou přes databázovou vrstvu. Navíc, vzhledem k tomu, že adresářová databáze je plochá, bez hierarchického jmenného prostoru, databázová vrstva poskytuje databázi abstrakci objektové hierarchie. Dalším komponentem je Extensible Storage Engiene (ESE), spouštěný jako Esent.dll, který spravuje tabulku záznamů, každý s jedním nebo více sloupci, které tvoří adresářovou databázi. Mezi rozhraní patří Lightweight Directory Access Protocol (LDAP), replikace (REPL), Messanging API (MAPI) a Seccurity Accounts Manager (SAM). Tato rozhraní poskytují způsob pro klienty adresářové služby a ostatní adresářové servery způsob, jak komunikovat s úložištěm dat. LDAP je primární rozhraní pro úložiště dat. Replikace je rozhraní pro správu, který umožňuje nalézt data o doménových kontrolérech, konvertuje názvy síťových objektů mezi různými formáty, a zařizuje replikaci serverů. MAPI interface je poskytován jen pro podporu starších (legacy) klientů Microsoft Outlook, vývoj na MAPI rozhraní již není podporován. SAM rozhraní je určeno pro připojení klientů, jež používají Windows NT 4.0 nebo starší. Tito klienti se připojují do DSA skrz SAM. Replikace pro Windows NT 4.0 jde také skrz SAM rozhraní. LDAP Zkratka LDAP znamená Lightweight Directory Access Protocol. Přeložit by se dalo jako lehký protokol pro přístup k adresářům. Jedná se o dobře navržený aplikační protokol umožňující nejen klást dotazy, ale i vkládat, modifikovat a mazat záznamy adresářových služeb nad TCP/IP. Od 80tých let začaly vznikat skupina standardů X.500 (DAP, DSP, DISP, DOP), které pokrývali adresářové služby. Po zjednodušení standardu X.500 a zaměřením na TCP/IP vznikl LDAP. LDAP používá LDAP - Data Interchange Format (LDIF), tj. standardizovaný formát pro výměnu dat. Tyto data jsou při přenosu kódovaná pomocí Lightweight Basic Encoding Rules (LBER), toto kódování zde není z důvodu bezpečnosti, ale kvůli zachování homogenity prostředí. Takto zakódovaná data lze jednoduše dekódovat. LDAP je popsán pomocí čtyř modelů informační model - schéma - popisuje strukturu informací (atributy) v adresáři jmenný model - popisuje, jak jsou informace organizovány a odkazovány funkční model - popisuje, co může být uděláno s informacemi bezpečnostní model - jak jsou informace chráněny 8

9 Informační model - schéma Úkol informačního modelu LDAP je definovat datové typy a informace, které lze v adresářovém serveru ukládat. Informace v adresáři jsou uloženy ve stromové struktuře, která se označuje jako Directory Information Tree (DIT). Kořen adresářového stromu je rootdse, ten obsahuje informace o adresáři. Vyznačuje se tím, že nemá žádné jméno ani třídu. Informační model je založen na záznamech, které obsahují informace o nějakém objektu jako je například uživatel nebo počítač. V AD se LDAP záznamům říká objekt. Objekt je složen ze skupin atributů, které mají vždy typ a minimálně jednu nebo více hodnot. Implementace informačního modelu se označuje jako schéma, neboli sada objektů, které definují strukturu a obsah každého objektu, který lze vytvořit v adresářové službě. Schéma definuje všechny možné třídy objektů a atributy. Výchozí schémata pro určitý adresář je možno rozšiřovat, příkladem je doplnění Exchange serveru do AD, které rozšíří schéma dalšími atributy potřebnými pro poštovní služby. Třídy objektů neboli object classes jsou kategorie objektů, které lze vytvořit v adresáři. V LDAPu se používá označení objectclass a může se jednat například o user, computer, organizationalunit, domain, container, group a jiné. Třídy objektů jsou zařazeny do jedné ze tří kategorií: - Structural - Třídy odvozené. Právě ony slouží jako hlavní předloha pro tvorbu záznamu. Každý záznam musí ve své definici obsahovat odkaz alespoň na jednu ze strukturálních tříd. Může se dokonce odvolávat na více než jednu, ale v tomto případě musí být třídy v dědičném vztahu (např. osoba - zaměstnanec). Nelze vytvářet záznam na základě strukturálních tříd ze dvou větví (zaměstnanec - místnost). - Abstract - Samy nemohou být vzorem pro tvorbu záznamu, Slouží pouze jako předloha pro odvození dalších tříd - Auxiliary - Třídy doplňkové. Takové třídy můžeme v libovolném počtu připojovat k definici záznamu. Rozšiřují počet přípustných atributů u daného záznamu. Jelikož bývá objekt zařazen do několika objectclass, tak je hledání méně efektivní a nemusí být úplně přesné (např.: při hledání podle objectclass=user se naleznou i počítače). Proto lze použít hledání podle kategorie objektů, tedy atributu objectcategory. Na rozdíl od objectclass má objectcategory pouze jednu hodnotu (která je classschema objekt), to by tedy mělo odkazovat na nejvíce specifickou třídu v hiearchii tříd objektů. Může se jednat třeba o user, computer, group, organizationalunit a jiné. Atributy objektů (object attributes) jsou charakteristiky, neboli vlastnosti objektů. Atributy můžou obsahovat jednu nebo více hodnot jako je například jméno, příjmení, . Určité atributy patří 9

10 k určité třídě objektů a schéma také definuje, které hodnoty musí být vyplněny a které jsou volitelné. Schéma také určuje, jaké typy hodnot může atribut nabývat, například textový řetězec, celé číslo. Dle toho, kde se nachází objekt ve stromové struktuře, se jedná buď o list ( leaf object - nemá žádné potomky) nebo o kontejner (container object - může v sobě obsahovat jeden či více objektů) samaccountname samaccounttype userprincipalname displayname givenname surname description mail company department location streetaddress memberof SAM Account Name, přihlašovací uživatelské jméno, které podporuje starší systémy typ účtu UPN, přihlašovací jméno uživatelského účtu ve tvaru <user>@<dnsdomain-name> jméno, které využívají aplikace (třeba Exchange) křestní jméno příjmení popis adresa elektronické pošty jméno společnosti oddělení ve firmě umístění ulice seznam skupin, kterých je členem Jmenný model (Distinguished Name - DN) V rámci identifikace objektů se používá Distinguished Name (DN). Jedná se o jednoznačný identifikátor objektu a obsahuje úplnou cestu k záznamu (místo ve stromě ). DN se skládá ze jména objektu a jmen jednotlivých kontejnerů a domén, které obsahují objekt, oddělených čárkou. Jednotlivé položky obsahují název atributu a přiřazenou hodnotu atributu, např.: ou=zamestnanci. Následující obrázek ukazuje příklad části adresáře AD pro doménu spolecnost.cz. V kontejneru (organizační jednotce) zaměstnanci je umístěn uživatel Jan Novák, pro kterého je DN = cn=jan Novák,ou=zaměstnanci,dc=spolecnost,dc=cz. 10

11 Obrázek 5: Jmenný model Někdy nepotřebujeme specifikovat celou cestu k objektu a můžeme využít Relative Distinguished Name (RDN), které je relativní a jednoznačné v daném kontejneru. Jedná se o poslední část DN, pro našeho uživatele je RDN = cn=jan Novák. Ostatní možnosti identifikace Běžnou identifikací objektu v LDAPu a také v AD je použití DN, ale existují i jiné metody speciálně pro Active Directory. Například lze použít OID (Object Identifiers). Jde o hierarchický, unikátní identifikátor, složený s dekadických číslic oddělených tečkou. Jedná se o stejný identifikátor jako u SNMP. Je běžný u X.500. V Active Directory má každý objekt přiřazen jednoznačné 128-bitové číslo, které se označuje GUID (globally unique identifier). Toto číslo je stálé a nemění se při přesunu objektu v rámci lesa. Active Directory také používá obdobu DN, která se označuje jako AD canonical name a příkladem je zápis spolecnost.cz/zaměstnanci/jan Novák. Jmenné atributy (Naming Attributes) Jakákoliv část DN je vyjádřena pomocí atribut=hodnota. Typ atributu, který se používá k popisu RDN, se označuje jako jmenný atribut. Každá třída má přiřazen jmenný atribut, například User (uživatel) má cn. Následující tabulka ukazuje jmenné atributy pro LDAP a jejich ekvivalent pro AD. 11

12 LDAP atribut jméno AD atribut jméno CN Common Name CN Common Name OU Organization Unit OU Organization Unit O Organization DC Domain Component C Country - - Funkční model Funkční model LDAPu definuje, jaké operace můžeme provádět s informacemi v adresáři. Jedná se o 9 operací, které jsou zařazeny do 3 funkčních oblastí. oblast operace popis autentizace (Authentication) bind unbind abandon inicializuje spojení, vyjednává o metodě autentizace, autentizuje ukončí session klient žádá o ukončení posílání výsledků na poslední dotaz dotazování (Interrogation) search výběr dat z určitého regionu pomocí filtru compare porovná hodnotu atributu se zadanou hodnotou aktualizace (Update) add vytvoří nový objekt modify modify RDN delete upraví atributy záznamu (vytvořit, smazat, upravit) slouží k přesunutí objektu v rámci stromu adresáře smazání záznamu Bezpečnostní model / Autentizace Úkolem bezpečnostního modelu je zabránit přístupu neoprávněného uživatele k informacím v adresáři. S ohledem na informační hodnotu uložených dat na (adresářovém) serveru je nedílnou 12

13 součástí LDAP bezpečnostní politika. Celý bezpečnostní model je popsán v konkrétních dokumentech RFC. RFC 2829 Authentication Methods for LDAP definuje základní hrozby pro LDAP adresářové služby: Neautorizovaný přístup přes operaci data-fetching Neautorizovaný přístup s použitím informací získaných monitoringem cizích přístupů Neautorizovaný přístup k datům získaných monitoringem cizích přístupů Neautorizovaná úprava dat Neautorizovaná úprava konfigurace Neautorizované nebo nadměrné využití zdrojů DoS Vydávání se za adresářový server [8] LDAP (v3) uplatňuje čtyři typy ověřování: 1. Bez ověření anonymní přístup Anonymní přístup slouží pro přístup do adresáře bez poskytnutí ověřovacích informací. To znamená, že můžeme uživateli nastavit přístupová práva dle našeho uvážení. Z pravidla jsou tomuto uživateli zpřístupněny pouze data, která nejsou citlivá, například jména, telefonní čísla a ové adresy. 2. Základní ověření U tohoto typu se ověření uskuteční na základě znalosti DN (Distinguished Name) a hesla. Data jsou přenášena v textovém formátu nebo zakódovaná. 3. Ověřování pomocí PKI Ověření pomocí PKI funguje na základě toho, že klient digitálně podepíše náhodně vygenerovaný řetězec dat a ten pošle spolu s certifikátem na server. Na serveru se poté provede ověření certifikátu porovnáním s certifikátem uloženým na serveru. 13

14 4. Jednoduché ověření s použitím SASL (Simple Authentication and Security Layer) SASL disponuje množstvím zásuvných modulů, které můžeme využít pro autentizaci uživatele SASL je metoda pro přidání podpory pro autentizaci do protokolů na bázi připojení. SASL odděluje autentizační mechanismus od aplikačních protokolů. SASL vyjednává o tom, který mechanismus se má nejlépe použít (a který lze použít). Jednotlivé mechanismy jsou pojmenovány řetězcem s max. 20 znaky a používají velká písmena, čísla a pomlčku s podtržítkem. SASL se často používá v kombinaci s TLS (Transport Layer Security). Jednotlivé mechanismy jsou definovány v různých RFC. [9] Příklady SASL mechanismů, které podporuje Active Directory: PLAIN - autentizace s jednoduchým heslem v čistém textu ANONYMOUS - neautentizovaný přístup, nezasílají se žádné autentizační informace NTLM - NT LAN Manager, používá se na samostatných systémech nebo pro zpětnou kompatibilitu. Používá šifrované heslo spolu s doménou a jménem. DIGEST-MD5 - tento mechanizmus umožňuje autentizaci pomocí hesla, ale po síti se posílá pouze hash hesla. [10] b. Globální katalogy Globální katalog (Global Catalog - GC) již neurčuje ani logickou ani fyzickou strukturu AD, ale má velmi důležitou roli, takže je zde také popsaný. Pokud hledáme nějaký objekt v AD a tento objekt se nachází ve stejné doméně, tak se ptáme některého DC. Pokud však hledáme objekt z jiné domény (ale uvnitř stejného adresáře - stejné AD), tak potřebujeme nějakou službu, která nám pomůže. V AD je touto službou Globální katalog. To je centrální repository, které obsahuje vybrané informace o objektech z celého stromu či lesa. DC, který obsahuje kopii globálního katalogu, se nazývá Global Catalog Server (jinak řečeno GC může být provozován pouze na DC). Globálních katalogů můžeme mít více a mezi nimi se provádí multimaster replikace. GC se často umisťují do různých site, pak ale musíme pamatovat na provoz způsobený replikací (který může být značný). 14

15 GC tedy umožňuje nalézt informace z adresáře bez ohledu na to, v které doméně v lese se nachází. Jeho druhou funkcí je, že poskytuje informace o členství v univerzálních skupinách (universal group membership), které jsou potřeba při přihlašovacím procesu. Obrázek 6: Správa globálního katalogu Pokud není k dispozici globální katalog při přihlašování, tak se uživatel může přihlásit pouze lokálně na počítač. Možností, jak tento problém obejít bez provozování GC, je zapnutí funkce universal group membership caching (UGMC) na danou site. V tomto případě si DC ukládá informace lokálně. Při prvním přihlášení uživatele se dotáže globálního katalogu a uloží vrácené hodnoty do keše, kde je uchovává a obnovuje. Při dalším přihlášení se použijí informace z této keše. 4. Správa Active Directory Mezi nástroje pro správu služby Active Directory patří: a. Uživatelé a počítače Je určen pro správu uživatelů, skupin, počítačů a organizačních jednotek V databázi Active Directory jsou uloženy objekty organizačních jednotek, uživatelských účtů a skupin. Organizační jednotka představuje jakýsi kontejner, který může obsahovat další objekty. Dále rozlišujeme uživatelské účty a účty počítačů 15

16 Obrázek 7: Uživatele a počítače služby AD Uživatelé Účet uživatele je nutný pro přihlášení do domény, přístup k síťovým prostředkům atd. Každý uživatelský účet má rozličné vlastnosti. Tyto vlastnosti je možné nadále rozšiřovat novou definicí ve schématu Active Directory. Přidání vlastností může být provedeno ručně např. pomocí konzole Active Directory Schema nebo je způsobeno instalací některé aplikace. Změny schématu provádí aplikace jako MS Exchange, apod. K základním vlastnostem uživatelského účtu patří jméno, adresa, popis. Pomocí dalšího nastavení lze vynutit změny hesla, čas vypršení účtu nebo povolit přihlášení pouze na určité počítače případně v určitou dobu. Heslo je jednocestně šifrováno tzv. hash. Kvůli tomu není možné heslo zjistit, ani pokud máte oprávnění administrátora. V případě nutnosti přístupu do účtu je třeba heslo resetovat. 16

17 Obrázek 8: Vlastnosti uživatele Skupiny Pro přístup k síťovým prostředkům by měli sloužit skupiny, nikoliv přímo uživatelé. Skupina obsahuje členy Members, ale zároveň může být členem jedné nebo více skupin Member Of. Použití univerzálních skupin: univerzální skupiny by měli obsahovat globální skupiny. Mohou být použity pro nastavení oprávnění k prostředkům v různých doménách. Univerzální skupiny pro zabezpečení je možné používat od funkční úrovně Windows 2000 Native. Použití globálních skupin: globální skupiny jsou viditelné v celém lese. Není proto vhodné je používat pro nastavení oprávnění v rámci jedné domény. Globální skupiny je vhodné používat jako kontejnery pro organizaci uživatelů a skupin. Použití doménových lokální skupin: tyto skupiny jsou vhodné pro přiřazení oprávnění v rámci domény, kde byly vytvořeny. Lokální skupiny mohou obsahovat všechny ostatní typy skupin i uživatelské účty ze všech domén v lese. [11] Obrázek 9: Vlastnosti skupiny 17

18 b. Domény a vztahy důvěry Vztahy důvěry (AD DS Trusts) nám umožňují vzájemou důvěru (ověření) domén/lesů v Active directory. Uživatelé tak mohou být ověření ve své vlastní doméně a jejich (ticket zabezpečení) credentials bude použit pro přístup na sdílené zdroje v cizí doméně. Transitive Trasty mohou být transitivní nebo netransitivní. Transitivní trast je vždy propagován na všechny domény stejného stromu. Transitivní trast je například ten, který je tvořen automaticky při přidávání dalších domén stávajícího stromu, takže je zajištěno, že všechny domény vašeho stromu si vzájemně věří a je možné obousměrně přistupovat na sdílené zdroje. Trust direction Trust direction definuje, kde jsou uloženy uživatelské účty a sdílené zdroje v důvěryhodné a důvěřujcí doméně (trusted domain and trusting domain). Ve Windows Server 2008 jsou tři trust direction: oneway incoming, one-way outgoing a two-way trust. Tedy je možné definovat, že trast je pouze jednosměrný, a to buď z jedné domény, nebo z druhé, nebo je obousměrný. Authentication protocol Trasty mohou pro navázání vztahu důvěry použít odlišné protokoly, a to buď Kerberos verze 5, nebo Windows NT Local Area Network (LAN) Manager (NTML). Ve většině případů Windows Server 2008 použije automaticky protokol Kerberos pro navázání trastu, a to hlavně z důvodu většího zabezpečení garantovaným tímto protokolem. c. Sítě a služby Active Directory je určen pro správu sítí a podsítí Je určen pro správu sítí a podsítí. Používá se pro nastavení globálního katalogu d. Výsledná sada zásad (RSoP - Resultant Set of Policy) Výsledná sada zásad je doplněk ke skupinovým zásadám, který pomáhá při implementaci zásad a řešení problémů. Výsledná sada zásad je dotazový mechanismus, který posuzuje současné zásady a plánované zásady a hlásí výsledky těchto dotazů. Existující zásady posuzuje na základě lokality, domény, řadiče domény a organizační jednotky. Pomocí výsledné sady zásad můžeme například zjistit, zda je účet povolen, či zkontrolovat všechny související členství ve skupinách a přesnému určení, jaká pravidla se zde použíjí. Průvodce můžete otevřít z nástroje Active Directory Users and Computers nebo nástroje Active Directory Sites and Services. [12] 5. Politiky Group policy Group policy (skupiny zásad) jsou určeny k správě počítačů s pomocí Active Directory skupin. Jedná se o nástroj pro hromadnou správu oprávnění a nastavení aplikovaných jak na celý počítač, tak na přihlášeného uživatele. Ve skupinách zásad je možné vytvářet kolekce nastavení, kterým říkáme Group Policy Object (GPO) které dokáží měnit konkrétní parametry chování počítače nebo uživatele. 18

19 Group policy se primárně aplikují v doménách nebo v celých sítích, prostřednictvím AD skupin. Lze je také využívat v lokálních sítích, kde jsou označovány pod názvem Local Group Policy. Za použití této funkcionality lze omezovat konfiguraci stanice a případné změny. Jedná se o tyto změny: Kontrola přístupů k současnému systému Windows, systémovým prostředkům, nástrojům v Ovládacích panelech ( Control Panel), ploše a nabídce Start. Vytvářet centrálně spravované adresáře pro zvláštní složky, jako například uživatelskou složku Dokumenty. Definovat skripty uživatelů a počítačů, které se mají spouštět ve stanovených dobách. Konfigurovat zásady pro uzamknutí účtu a hesla, auditování, přiřazení uživatelských práv a zabezpečení. Jednotlivé Skupinové politiky je možno vázat na tyto tři komponenty: Lokalita (Site) Doména (Domain) Organizační jednotka (OU) Lokální politiky Local Group Policy jsou využívány e všech počítačích, který mají nověšsí operační systém než Windows Jedná se o ovlivněn lokálního počítače a jeho přihlášení. Lokální politiky jsou uloženy ve skrytém adresáři %systemroot%\system32\grouppolicy Doménové politiky doménové politiky lze použít výhradně u počítačů a uživatelů, jenž jsou členy nějaké domény. Existují dvě základní doménové politiky, které jsou vytvořeny již při instalaci AD Group Policy Management Console (GMPC) Nastavení a vytváření Group Policy se dnes nejčastěji provádí za pomoci Group Policy Management Console (GPMC), dříve (nebo pro lokální politiky) se používal Group Policy Object Editor(GPedit). Nastavení se ukládají do Group Policy Object (GPO). Group Policy mají několik pevně daných částí (podle verze OS) a pak možná rozšíření pomocí Administrative Templates, V případě migrace GPO se komponenty, které nejsou aktuální ignorují. Nejčastěji upravují registry, ale také mohou měnit bezpečnostní nastavení, instalovat SW, nastavovat Internet Explorer, MS Office apod. Politiky mají dvě hlavní částí Computer Configuration a User Configuration. Group Policy nejčastěji fungují na principu úprav registrů na klientské stanici či serveru. Část Computer Configuration se týká nastavení pro počítač, tyto nastavení se mohou aplikovat na počítačové objekty v Active Directory (uplatňuje se na vybraný počítač a nezáleží na přihlášeném uživateli). Upravují větev registrů HKEY_LOCAL_MACHINE (HKLM). Část User Configuration se týká nastavení pro uživatele, politiku s tímto nastavením můžeme aplikovat na uživatelské účty v Active Directory (uplatňuje se na vybraného uživatele a nezáleží na jakém počítači). Upravuje větev registrů HKEY_CURRENT_USER (HKCU). Politiky aplikované na počítač se standardně uplatňují při startu počítače, politiky aplikované na uživatele probíhají při přihlášení uživatele. Obě se pak aplikují při periodické obnově Group Policy (to je standardně každých 90 minut + náhodný posun o až 30 minut). Aplikaci politik také můžeme vynutit 19

20 ručně pomocí příkazu gpupdate /force za pomoci příkazového řádku, bez nutnoti administrátorského oprávnění. Aplikování Group Policy Group Policy se aplikují tak, že je spojíme s nějakým kontejnerem (link to). Jedná se o Active Directory kontejnery sítě, doména (domain) či organizační jednotka (OU - Organization Unit). Při aplikaci politik se uplatňuje dědění (inheriting), dané hierarchickou strukturou AD, a souhrnný účinek (cumulative). To znamená, že se politika, aplikovaná na OU, projeví na všech počítačích a uživatelích, kteří se nachází v této a ve vnořených OU. Když je více politik, tak se jejich účinek spojuje dohromady. Samozřejmě, pokud politika obsahuje pouze část pro počítač, tak se sice na uživatele aplikuje, ale nemá žádný efekt. Navíc záleží na tom, jestli počítač nebo uživatel má na danou politiku práva (tak se využívá filtrování). Politiky se zpracovávají postupně, později zpracovaná politika může přepsat nastavení předchozí. Postupuje se v pořadí lokální GPO, site, doména, OU, poslední je OU nejblíže k objektu. Politiky na jednom kontejneru se zpracovávají v pořadí, v jakém jsou nastaveny na záložce Linked Group Policy Objects. Z důvodů rozsáhlosti nastavení a možnosti grafického zobrazení v GPMC skupinových zásad vznikly šablony, které v sobě zahrnují již přednastavené vlastnosti GPO dle použití, nebo slouží k tváření nových GPO. Od Windows Vista a Serveru 2008 zde máme již 2 formáty. Staré ADM a nové ADMX. ADM Ve výchozím nastavení při vytváření nových GPO jsou použity vždy dva ADM soubory, a to: Inetres.adm (nastavení aplikace Internet Explorer), a System.adm (nastavení operačního systému Windows). Při vytvoření politiky jsou pak tyto soubory překopírovány z umístění %SystemRoot%\Inf, do příslušné složky GPO v SYSVOL. Každý nový objekt GPO spotřebuje asi 3,5 MB (MB) volného místa ve složce SYSVOL. Ve velkých organizacích s mnoha GPO může toto vést k významnému zatížení replikace složky SYSVOL. ADMX Windows Vista a Windows Server 2008 zavádí nový formát pro zobrazení zásad. Zásady jsou definovány pomocí standardů XML formát známý jako soubory ADMX. Tyto nové soubory nahrazují soubory ADM. Windows Vista a Server 2008 nadále rozeznávají i ADM soubory. ADMX soubory jsou uloženy v složce %systemroot%\policydefinitions a při vytváření nové politiky se nekopírují do SYSVOL výhody ADMX: jazykově neutrální neukládají se do SYSVOL ADMX formát je díky XML standartu kdykoliv rozšiřitelný Objekty místních zásad skupiny (Local Group Policy Objects) Pokud není počítač umístěn v doméně, lze od verze Windows Server 2008 nastavit více Local Group Policy Object. Dříve bylo nutné mezi jednotlivými LGPO přepínat nyní lze definovat LGPO pro správce a současně pro uživatele. [13] 20

21 6. Literatura 1. CS.WIKIPEDIA.ORG. ACTIVE DIRECTORY [online] [cit ]. Dostupné z: 2. SAMURAJ-CZ.COM. ACTIVE DIRECTORY KOMPONENTY DOMAIN, TREE, FOREST, SITE [online] [cit ]. Dostupné z: 3. HOME.ZCU.CZ. DNS (DOMAIN NAME SYSTEM) [online] [cit ]. Dostupné z: 4. CS.WIKIPEDIA.ORG. ACTIVE DIRECTORY [online] [cit ]. Dostupné z: 5. TECHNET.MICROSOFT.COM. ACTIVE DIRECTORY DATA STORAGE [online] [cit ]. Dostupné z: 6. TECHNET.MICROSOFT.COM. WHAT IS THE DATA STORE? [online] [cit ]. Dostupné z: 7. HOME.ZCU.CZ. DNS (DOMAIN NAME SYSTEM) [online] [cit ]. Dostupné z: 8. CS.WIKIPEDIA.ORG. LDAP [online] [cit ]. Dostupné z: 9. BLOG. BRICHACEK.NET. LDAP ADRESÁŘOVÉ SERVERY PRO SPRÁVU UŽIVATELSKÝCH IDENTIT [online] [cit ]. Dostupné z: ABCLINUXU.CZ. LDAP SNADNO A RYCHLE [online] [cit ]. Dostupné z: MOODLE.VSCHT.CZ. ACTIVE DIRECTORY ORGANIZAČNÍ JEDNOTKY, UŽIVATELÉ A SKUPINY [online] [cit ]. Dostupné z: ODREJ-SOUKUP.CZ. AD DS A VZTAHY DŮVĚRY [online] [cit ]. Dostupné z: SAMURAJ-CZ.COM. GROUP POLICY ŘÍZENÍ APLIKACE POLITIK [online] [cit ]. Dostupné z: 7. Seznam obrázků 1. Obrázek 1: Hierarchická struktura AD 4 2. Obrázek 2: Doménový strom 4 3. Obrázek 3: Úložiště dat.6 4. Obrázek 4: Architektura úložiště dat Obrázek 5: Jmenný model Obrázek 6: Správa globálního katalogu Obrázek 7: Uživatelé a počítače služby AD Obrázek 8: Vlastnosti uživatele Obrázek 9: Vlastnosti skupiny