Имеющая графический интерфейс утилита Active Directory Replication Monitor (ReplMon.exe) может быть использована для выполнения следующих операций, связанных с репликацией:
синхронизация всех разделов каталога некоторого контроллера домена со всеми партнерами по репликации (для этой операции имеются три дополнительных режима);
синхронизация указанного раздела каталога некоторого контроллера домена со всеми партнерами по репликации;
синхронизация указанного раздела каталога некоторого контроллера домена с определенным партнером по репликации.
Одним из достоинств утилиты Active Directory Replication Monitor является возможность подробного протоколирования операции репликации.
Время, которое администратор тратит на выполнение операций управления системой, во многом зависит от используемого инструментария. В составе Windows Server 2003 поставляется множество системных утилит и оснасток самого разного назначения. Более того, одна и та же операция может быть выполнена различными инструментами. Поэтому администратору необходимо знать имеющиеся возможности и умело их использовать.
В данной главе будут рассмотрены некоторые из наиболее важных инструментов администрирования доменов на базе Active Directory. Это те инструменты, которые используют в своей повседневной работе администраторы службы каталога. Кроме того, описываются способы выполнения типовых операций по управлению Active Directory.
Начнем с краткого обзора имеющихся средств администрирования.
Оценка эффективности существующей политики безопасности системы должна базироваться на некотором аналитическом материале. В состав операционной системы Windows Server 2003 включены действенные механизмы протоколирования событий, связанных с попытками (как удачными, так и неудачными) получения доступа к ресурсам сети. Согласно терминологии Microsoft, процесс протоколирования действий пользователей получил название аудита (audit). Сведения обо всех событиях, связанных с попыткой получения доступа к ресурсам, для которых активизирован режим аудита, фиксируются системой в специальном журнале безопасности (Security log).
Для объектов каталога реализация аудита осуществляется в два этапа:
1. Активизация режима аудита. При этом администратор должен указать категории событий, которые подлежат аудиту.
2. Определение объектов каталога, для которых будет осуществляться аудит событий.
Подсистема безопасности Windows Server 2003 оперирует девятью категориями событий, подлежащих аудиту. Применительно к аудиту событий, связанных с функционированием службы каталога, интерес представляют три категории событий:
Audit object access (Аудит событий, связанных с доступом к объектам);
Audit directory service access (Аудит событий, связанных с доступом к службе каталога);
Audit account management (Аудит событий, связанных с управлением учетными записями).
Аудит доступа к службе каталога выполняется по отношению к операциям, выполняемым на контроллерах домена. Для активизации аудита можно использовать оснастку Domain Controllers Security Policy. Эта оснастка работает с объектом групповой политики Default Domain Controllers Policy, привязанного к подразделению Domain Controller. Откройте узел Computer Configuration | Windows Settings | Security Settings | Local Policies | Audit Policy (Конфигурация компьютера | Конфигурация Windows | Параметры безопасности | Локальные политики | Политика аудита) содержащий категории аудита.
По умолчанию для политик аудита задано одно значение — No auditing (Нет аудита). В окне оснастки выберите категорию событий, откройте его окно свойств, установите флажок Define these policy settings (Определить следующие параметры политики) и определите, какие именно попытки — успешные (Success) или неуспешные (Failure) — должны регистрироваться в системном журнале безопасности. Если флажок Define these policy settings (Определить следующие параметры политики) снят, считается, что для данной категории событий аудит не определен (Not Defined).
Следует заметить, что установки No auditing (Нет аудита) и Not defined (He определено) имеют разное значение. Если политика не определена, вы можете установить ее на другом уровне. Значение No auditing переопределяет все установки, которые могли быть заданы ранее. Групповые политики для контейнера Domain Controllers применяются последними и, следовательно, имеют самый высокий приоритет. Поэтому установки аудита, определяемые этими политиками по умолчанию, переопределяют любые параметры, заданные на предыдущих уровнях.
На следующем этапе администратор определяет объекты каталога, для которых будет осуществляться аудит событий. Для каждого объекта каталога аудит событий может производиться на двух уровнях:
на первом уровне отслеживаются все события, связанные с доступом непосредственно к самому объекту (создание, удаление, чтение объекта и т. п.);
на втором уровне система регистрирует в системном журнале все события, связанные с доступом к индивидуальным атрибутам объекта (чтение или изменение атрибута объекта).
Режим аудита позволяет отслеживать действия над объектами каталога и их атрибутами на любом уровне иерархии. При этом допускается наследование дочерними объектами параметров аудита от родительских объектов.
Для операций чтения рекомендуется задавать аудит неудачных обращений (отказов), поскольку при регистрации большого количества успешных обращений журнал безопасности (Security Log) будет быстро переполняться. Как следствие, снижается производительность контроллеров домена. Для операций записи, создания/удаления и других критичных операций (которые выполняются гораздо реже, чем чтение) можно устанавливать аудит всех событий, т. е. как успешных, так и неудачных обращений.
По умолчанию для группы Everyone (Все) выполняется аудит специальных обращений (успешных и неудачных) ко всем объектам в домене. Все объекты домена наследуют эти установки от корневого доменного контейнера. У некоторых контейнеров имеются дополнительные параметры аудита. Эти установки разрешают аудит критических операций, таких как запись, удаление, изменение и т. д. Все установки аудита можно просматривать в окне свойств объекта: откройте вкладку Security (Безопасность), нажмите кнопку Advanced (Дополнительно) и перейдите на вкладку Auditing (Аудит).
Нажмите кнопку Edit (Редактирование), и в открывшемся окне вы можете просматривать и изменять параметры. Если вы откроете вкладку Auditing для некоторого дочернего объекта каталога, то заметите, что все установленные флажки затенены. Их нельзя изменить непосредственно, для этого нужно открыть родительский или корневой объект. Если установить еще не отмеченный флажок, система создаст новый набор параметров аудита и добавит его в список.
Поскольку по умолчанию многие успешные обращения регистрируются, после включения аудита может возникнуть громадное количество записей в системных журналах. Поэтому при выполнении аудита в течение достаточно длительного времени следует изменить параметры, заданные по умолчанию.
Содержимое журнала безопасности может быть просмотрено при помощи оснастки Event Viewer. Для каждого события утилита отображает следующую информация:
успешность попытки (была ли попытка доступа успешной или нет);
дата и время попытки;
имя учетной записи компьютера, с которого была произведена попытка;
имя учетной записи пользователя, совершившего попытку.
Процедура авторитетного восстановления каталога предполагает откат на всех контроллерах домена изменений, касающихся определенных объектов или даже фрагментов каталога. Авторитетное восстановление может быть выполнено для объектов, расположенных в доменном разделе каталога, а также в разделе каталога, содержащем данные конфигурации. Поскольку операция расширения схемы каталога является необратимой, авторитетное восстановление схемы невозможно.
Суть авторизованного восстановления заключается в установке для некоторого подмножества объектов каталога значения Originating USN в метаданных репликации равным текущему значению USN контроллера домена. Как следствие, информация об этих объектах будет реплицирована на остальные контроллеры домена.
Авторитетное восстановление всегда производится после неавторизованного восстановления каталога. Для выполнения этой операции используется утилита командной строки NtdsUtil.exe. Рассмотрим процедуру выполнения авторизованного восстановления более подробно.
На предварительном этапе контроллер домена должен быть загружен в режиме восстановления службы каталога. Используя имеющуюся резервную копию, администратор должен произвести неавторитетное восстановление службы кататога. При этом на вкладке Restore утилиты Backup из раскрывающегося списка Restore flies to (Восстанавливать файлы в) надо выбрать значение Alternate location (Альтернативное расположение). Необходимо будет указать папку на локальном диске, в которую будет произведено восстановление содержимого резервной копии. В выбранном месте после восстановления появятся следующие папки:
Active Directory. Файлы, используемые механизмом ESE для организации хранилища каталога (файлы ntds.dit, edb.log и т. п.);
СОМ+ Class Registration Database. Файлы, определяющие содержимое базы данных регистрации классов СОМ+ (файл ComReg.Db.bak);
Boot Files. Эта папка содержит загрузочные файлы (файлы ntdetect.com, ntldr);
Registry. В этой папке находятся файлы, содержимое которых определяет значение основных ключей системного реестра (файлы default, SAM, SECURITY, software, system, userdiff);
Sys Vol. Эта папка определяет содержимое системного тома SYSVOL.
По окончании процедуры неавторизованного восстановления система предложит выполнить перезагрузку. Для выполнения авторизованного восстановления необходимо отказаться от перезагрузки, поскольку при этом произойдет обновление всех системных файлов. Запустите редактор реестра и убедитесь в существовании параметра RestoreinProgress в ключе реестра HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\NTDS.
Вместо перезагрузки необходимо перейти в режим командной строки и запустить утилиту NtdsUtil. Ниже приведен пример диалога для операции authoritative restore (команды администратора выделены полужирным):
C:\>ntdsutil ntdsutil: authoritative restore authoritative restore: restore subtree OU=ND,DC=khsu,DC=ru Opening DIT database... Done. The current time is 09-20-02 21:45.14. Most recent database update occurred at 09-19-02 11:03.01. Increasing attribute version numbers by 300000. Counting records that need updating... Records found: 0000000004 Done. Found 4 records to update. Updating records... Records remaining: 0000000000 Done. Successfully updated 4 records.
Authoritative Restore completed successfully,
authoritative restore: quit
ntdsutil: quit
После этого необходимо выполнить перезагрузку компьютера. Обратите внимание на то, что номера версий объектов увеличиваются на 100 000 для каждого дня, прошедшего с момента создания резервной копии. Для просмотра изменений метаданных можно применять утилиту RepAdmin.exe. Например, для восстановленного подразделения можно воспользоваться следующей командой: c:\repadmin /showmeta OU=ND, DC=khsu, DC=ru store.khsu.ru
Выполняя эту команду на различных контроллерах домена, можно проверить успешность выполнения авторизованного восстановления и проследить за распространением изменений в процессе репликации.
Если в вашей конфигурации объекты Active Directory меняются редко, можно изменить стандартное значение, на которое увеличивается номер версии. При этом в процессе работы утилиты NtdsUtil используется команда, подобная следующей: restore subtree OU=ND, DC=khsu, DC=ru verinc 1000
При выполнении авторизованного восстановления администратор должен учитывать срок действия паролей, соответствующих учетным записям (пользователей и компьютеров) и используемых для установления доверительных отношений между доменами. Служба каталога рассматривает смену пароля как изменение состояния объекта. Политика учетных записей задает срок жизни пароля и накладывает определенные ограничения на выполнение авторизованного восстановления объектов, ассоциированных с учетными записями. Возможна ситуация, когда откат изменений восстановит старые значения паролей учетных записей, что приведет к нарушению нормальной работы сети. По умолчанию пароли, ассоциированные с учетными записями компьютеров, а также используемые для установления доверительных отношений между доменами, меняются каждые семь дней. Кроме того, в каталоге хранятся также и предыдущие значения паролей. Таким образом, если применяются установки по умолчанию, не следует использовать для авторизованного восстановления объектов каталога, ассоциированных с учетными записями, резервные копии старше 14 дней.
После создания домена все полномочия на управление им сосредоточены в руках специальной категории пользователей — администраторов домена. Администраторы домена обладают абсолютными правами на выполнение любых операций. Следует заметить, что использование механизма организационных единиц и сайтов позволяет реализовывать домены огромного размера с разветвленной инфраструктурой. Управление подобным доменом характеризуется большой нагрузкой на администраторов. Однако реализация подобной инфраструктуры, отражающей логическую и физическую структуру организации, дает возможность делегировать выполнение определенной части задач на квалифицированных пользователей на "местах".
Механизм делегирования некоторой части административных полномочий выгодно отличается от подхода, когда проблема увеличения нагрузки на администраторов решается за счет увеличения их количества. Увеличение количества пользователей, обладающих неограниченными правами на управление доменом, нежелательно. Подобные права должны предоставляться исключительно квалифицированным специалистам, а привлечение большого числа квалифицированных специалистов сопряжено с высокими финансовыми затратами. Механизм делегирования предполагает передачу пользователям полномочий, необходимых для выполнения отдельных операций. Это рутинные операции, выполнение которых не требует от исполнителя обширных знаний. Делегирование этих операций пользователям в подразделениях и сайтах позволяет высвободить администратора для выполнения других более сложных задач.
С точки зрения архитектуры Active Directory, делегирование полномочий на выполнение некоторых операций подразумевает под собой предоставление пользователю необходимых разрешений на доступ к объектам каталога. Это разрешения на создание дочерних объектов, их удаление, изменение атрибутов и т. п. Подобные полномочия нужны для выполнения определенных операций.
В качестве примера можно привести ситуацию с созданием учетных записей для новых сотрудников, а также изменение паролей для существующих.
Эти операции могут быть делегированы пользователям в организационных единицах (назовем их администраторами организационных единиц). Помимо разгрузки администратора домена, делегирование позволяет также сократить срок принятия элементарных решений. В приведенном примере для создания учетной записи не надо обращаться к администратору домена (который, в случае множества сайтов, может даже находиться в другом городе).
Операция делегирования административных полномочий осуществляется при помощи мастера Delegation of Control Wizard (Мастер делегирования полномочий). Этот мастер может быть вызван из оснасток Active Directory Users and Computers и Active Directory Sites and Services. Посредством этого мастера администратор может осуществлять делегирование полномочий на уровне отдельных контейнеров каталога.
Полный перечень контейнеров, на уровне которых может быть осуществлено делегирование, приведен в табл. 20.3. Существует два режима делегирования. В первом случае мастер предлагает выбрать из списка операцию, которая будет делегирована пользователю. Во втором случае администратор должен выбрать из списка объекты, право создания или удаление которых будет делегировано выбранной категории пользователей. Этот режим делегирования требует четкого понимания всех совершаемых действий и рассчитан на опытных администраторов.
Таблица 20.3. Уровни делегирования полномочий