Projekt szkolnego laboratorium komputerowego cz. 2

Witajcie

Macie przed sobą lekturę trzeciego odcinka cyklu poświęconego budowaniu infrastruktury IT w oparciu o systemy operacyjne Windows. Nie ukrywam, że lektura ta może być nieco nudna ponieważ dziś nie będzie niestety tak efektownie jak w poprzednim odcinku gdzie „stawialiśmy” domenę AD od zera. Żeby jednak Was nie zanudzić postaram się pokazać kilka przykładów dotyczących polityk w domenie AD.

Jako zachętę do lektury obiecuję też omówienie w kolejnych odcinkach i pokazanie na funkcjonujących przykładach konfiguracji dalszych usług serwera opartego o system Windows 2008. Będą wśród nich: DHCP, usługi terminalowe, aplikacje zdalne, DNS, NAP, IPsec i wiele innych. Oczywiście część z tych usług może być instalowana i konfigurowana poza infrastrukturą AD lecz pełnię swoich możliwości pokazują właśnie w integracji z usługami AD. W kolejnych odcinkach zechcę też pokazać konfigurację drzewa i lasu domen a także zapasowych kontrolerów domeny AD. Aby pokazać te zagadnienia w ujęciu praktycznym musimy niestety przejść małe wprowadzanie teoretyczne opisujące zarządzanie usługą AD.

Usługą AD DS. (Active Directory Domain Services) zarządzamy przy pomocy czterech przystawek. Są to:

– Active Directory Users and Computers (Użytkownicy i komputery usługi Active Directory)

– Active Directory Sites and Services (Lokacje I usługi Active Directory)

– Active Directory Domains and Trusts (Domeny I relacje zaufania Active Directory)

– Active Directory Schema (Schemat usługi Active Directory)

Perwsza z nich (rys. 1) służy do zarządzania pojednynczą domeną AD. Pozostałe służą do zarządzania schematem AD (czyli tym jakie typy obiektów i o jakich atrybutach są dostępne w AD), drzewami domen AD i lasami drzew.

Rys. 1.  Widok przystawki do zarządzania domeną Active Directory 

Dziś zajmiemy się przystawką Użytkownicy i komputery usługi Active Directory. Kolejne przystawki zostaną omówione wraz z przykładami zastosowania w kolejnych odcinkach.

Wspomniana przystawka służy do zarządzania pojedynczą domeną AD. Po instalacji i konfiguracji usługi w domenie jest tworzony szereg domyślnych kontenerów w których przechowywane są domyślne konta użytkowników domeny, domyślne grupy i grupy wbudowane.

Jako domyślne tworzone są następujące kontenery:

– Builtin (rys. 2) zawierający domyślne lokalne domenowe grupy wbudowane.

– Foreign Security Principals – domyślnie pusty – zazwyczaj zawiera obiekty reprezentujące użytkowników lub inne obiekty z innych domen zaufanych mające dostęp do zasobów Naszej domeny.

– Computers gdzie umieszczane są domyślnie konta komputerów podłączanych do Naszej domeny

– Domain Controllers, w którym umieszczane są domyślnie konta kontrolerów Naszej domeny

– Users (rys. 3) gdzie mieszczą się domyślnie tworzone domenowe grupy lokalne i konta użytkowników.

Rys. 2. Wbudowane, domyślne grupy domenowe lokalne. 

Nie zaleca się tworzenia nowych obiektów (grup, kont) w domyślnych kontenerach ze względu na to, że nie można do nich podpinać polityk. Jedynym wyjątkiem jest kontener Kontrolery Domeny (Domain Controllers). Aby sprawnie administrować domeną AD umożliwiono tworzenie własnych kontenerów tzw. Jednostek organizacyjnych. Przykładową hierarchię takich jednostek stworzyliśmy w poprzednim odcinku. Jest ona dla przypomnienia zamieszczona na rys. 1 Zaleca się aby nowe obiekty w AD tworzyć właśnie w jednostkach organizacyjnych. Jednostki mają ta zaletę, że na każdym poziomie hierarchii możemy podpinać do nich polityki. Zostanie to zaprezentowane w dalszej części artykułu.

Czym różnią się grupy wbudowane z kontenera Builtin od grup domyślnie tworzonych w kontenerze Users ? Można stwierdzić że grupy wbudowane są grupami podstawowym ponieważ nie możemy w żaden sposób modyfikować ich atrybutów. Do grup wbudowanych możemy dodawać tylko inne obiekty w celu zapewnienia im dostępu do określonych zasobów lub funkcji. W przypadku grup domyślnych z kontenera Users możemy definiować i zmieniać członkostwo tych grup a także definiować zasięg ich działania (globalne, uniwersalne, domenowe lokalne). Kolejną ważną grupą są grupy systemowe z których część pokazano na rys. 4. W przypadku tych grup nie możemy samodzielnie modyfikować ich parametrów ani zmieniać członkostwa. Członkostwo takich grup ustanawiane jest przez system operacyjny. Jako przykład możemy się posłużyć grupą użytkownicy uwierzytelnieni (Authenticated Users). Po zalogowaniu do domeny członek grupy użytkowników domeny staje się również członkiem grupy Użytkownicy uwierzytelnieni. W momencie wylogowania przestaje On być członkiem tej grupy.

Rys. 3. Domyślnie tworzone grupy domenowe i użytkownicy domeny.

Rys. 4. Częściowy widok wszystkich grup systemowych.  

Ze względu na mnogość grup proszę wszystkich czytelników o samodzielne zapoznanie się ze szczegółami zasięgu działania poszczególnych grup. Teraz natomiast przejdę do omówienia najważniejszych typów grup. Możemy wyróżnić podział grup ze względu na funkcje i ze względu na zasięg. Ze względu na funkcje podzielić je można na grupy zabezpieczeń (czyli takie za pomocą, których definiować można dostęp do zasobów, plików, aplikacji) i dystrybucyjne wprowadzone po to aby zdefiniować np. użytkowników poczty nie będących członkami danej organizacji. Ze względu na zasięg grupy podzielić można na domenowe lokalne, globalne i uniwersalne. Oba atrybuty wybieramy podczas tworzenia grupy (rys. 5).

Rys. 5. Tworzenie nowej grupy.

Grupa domenowa lokalna może gromadzić obiekty (użytkowników, grupy, komputery itd.) z całego lasu lecz administrator może przyznać jej uprawnienia do zasobów (plików, aplikacji) tylko w obrębie domeny, w której grupa została zdefiniowana. Grupa globalna jest w pewnym sensie odwrotnością grupy domenowej lokalnej. Może ona gromadzić obiekty tylko z jednej domeny ale uprawnienia jej mogą być ustawiane w obrębie całego lasu. Najszerszą grupą jest grupa uniwersalna. Może ona gromadzić wszystkie typy obiektów z całego lasu i mieć uzyskiwać uprawnienia do każdego zasobu w lesie domen AD. Można sobie zadać pytanie dlaczego nie stosujemy tylko grup uniwersalnych. Zastosowanie wielu typów grup ma na celu dokładne zdefiniowanie uprawnień do zasobów oraz zminimalizowanie ruchu w sieci bowiem każde zdarzenie logowania czy dostępu do zasobów pociąga za sobą sprawdzanie członkostwa danych grup i wzrost ruchu w sieci. W Active Directory znanych jest kilka strategii organizacji grup i użytkowników. Można określić je za pomocą następujących skrótów.

A G P

A G DL P

A G U DL P

A G L P

A G U DL L P

gdzie A oznacza konto użytkownika, G oznacza grupę globalną, DL domenową lokalną, U uniwersalną, L lokalną na danej maszynie (oczywiście z wyjątkiem kontrolerów domeny gdzie grupy lokalne są usuwane) a P oznacza dostęp do zasobów. Dla skrótu AGDLP oznacza to, że konta umieszczamy w grupach globalnych, te zaś w domenowych lokalnych, którym przyznajemy dostęp do zasobów lub go odmawiamy. Grupy uniwersalne są stosowane w praktyce dla dużych lasów domen dzięki temu, że grupy uniwersalne z całego lasu mogą być przechowywane na specjalnych serwerach przechowująch tak zwane wykazy globalne (Global Catalog). Ma to na celu skrócenie zdarzeń logowania i dostepu do zasobów w sytuacji gdy nasza organizacja ma infrastrukturę AD połączoną łączami WAN w kilku miastach lub państwach. Zastosowanie grupy domenowej lokalnej do przyznania dostępu do pliku zaprezentowano na rys. 6. Grupy DL_Uczniowie nie ma w grupach lokalnych przyłączonego do domeny komputera, ale jest ona zdefiniowana na kontrolerze domeny i widzialna w całej domenie.

 

Rys. 6. Przyznawanie dostępu do zasobów grupie domenowej lokalnej. 

Na podobnej zasadzie odbywa się przyznawanie dostępu do zasobów na wszystkich komputerach i serwerach danej domeny.

Skoro znamy już sposoby sterowania dostępem do zasobów w domenie (tworzenie użytkowników i logowanie omówiliśmy w poprzednim odcinku) kolejnym krokiem jest poznanie mechanizmu, który umożliwi wymuszenie jednolitych ustawień komputerów i serwerów w całej domenie, specjalną konfigurację maszyn dla określonych grup użytkowników lub wymuszanie określonych konfiguracji dla różnych grup maszyn. Takim mechanizmem są polityki.

Bardzo wygodnym edytorem polityk dostępnym domyślnie dostępna konsola zarządzania politykami (rys. 7) uruchamiana po wpisaniu do wiersza polecenia rozkazu gpmc.msc.

Rys. 7. Konsola zarządzania politykami. 

Konsola zarządzania politykami umożliwia łatwy podgląd wszystkich kontenerów do których możemy podpinać polityki. Wszystkie polityki przechowywane są w kontenerze obiektów polityk grup (Group Policy Objects) natomiast pod określone kontenery w AD podpięte są jedynie skróty do nich. W ten sposób możemy raz utworzoną politykę podłączać do wielu kontenerów w domenie. Procedurę tworzenia przykładowej polityki pokazano na rys. 8 natomiast rys. 9 ilustruje utworzoną hierarchię polityk.

Rys. 8. Tworzenie nowej polityki. 

Rys. 9. Rzeczywista lokalizacja polityki. 

Jak widać na rysunku do pracowni został przypięty obiekt GPO blokada IE. Polityki są dziedziczone, co oznacza, że ich działanie odnosi się do każdego podkontenera w kontenerze do którego są podpięte. Jeśli zastosowalibyśmy wspomnianą do administratorów i nauczycieli moglibyśmy zaburzyć istotną funkcjonalność laboratorium. Aby tego uniknąć można zablokować dziedziczenie. Funkcja ta dostępna jest po kliknięciu prawym przyciskiem myszy na dany kontener.

Polityki stosowane są w następującej kolejności. W pierwszej kolejności polityki lokalne znane Nam z pierwszej części cyklu. Następnie polityki dla lokalizacji (Site) AD. Mówimy o nich tylko wtedy kiedy mamy kilka kontrolerów domeny bądź domen rozmieszczonych w zdefiniowanych lokalizacjach. W następnej kolejności stosowane są polityki podpięte do domeny a na końcu do jednostek organizacyjnych. Warto podkreślić, że ustawienia są nadpisywane więc jeśli te same ustawienia były zdefiniowane w różny sposób w kilku politykach będą zastosowane ustawienia z ostatniej stosowanej polityki.

Jeśli mamy rozbudowaną hierarchę jednostek administracyjnych to polityki przetwarzane są z gory do dołu czyli od najwyższej w hierarchii jednostki do najniższej jednostki potomnej. Jeśli do jednej jednostki przypiętych jest kilka polityk to można zdefiniować kolejność ich przetwarzania (rys. 10).

Rys. 10. Kolejność wykonywania polityk. 

Obiekt GPO z najwyższym numerem porządkowym przetwarzany jest jako pierwszy, zaś GPO z najniższym numerem jako ostatni. Jego ustawienia nadpisują wcześniejsze ustawienia. Jak już wiecie z pierwszego odcinka cyklu ustawień dostępnych w GPO jest kilka tysięcy dlatego dobrą praktyką jest nazywanie obiektów zgodnie ze zdefiniowanymi w nich ustawieniami.

Jest jeszcze jeden bardzo ważny aspekt stosowania polityk domenowych. Zazwyczaj w domenach i jednostkach organizacyjnych znajdują się użytkownicy komputery etc. Do nich właśnie stosują się polityki. Aby jeszcze dokładniej wycelować ich działanie można filtrować stosowanie polityk do określonych grup użytkowników (rys. 11) lub do określonych maszyn poprzez filtry WMI.

Rys. 11. Narzucanie polityk określonym grupom użytkowników. 

Edytować dany obiekt możemy poprzez kliknięcie prawym przyciskiem na obiekt GPO i wybranie polecenia Edit. Widzimy że okno edycji jest zbliżone do okna edycji polityk lokalnych. Jeśli w danej jednostce organizacyjnej będą się znajdować konta komputerów to zostanie do nich zastosowana gałąź odpowiadająca za ustawienia komputera. Jeśli będą to użytkownicy to do tych użytkowników zostanie zastosowana gałąź z ustawieniami użytkownika. Jako przykład skonfigurowałem politykę wymuszającą klasyczne menu start dla użytkowników znajdujących się w jednostce uczniowie (rys. 12).

Rys. 12. Edycja polityki.

Efekt tego widoczny jest na rysunku 13. Użytkownik z danej jednostki organizacyjnej nie ma możliwości wyboru menu start.

Rys. 13. Efekt działania polityki.

Po tej nużącej dawce teorii w ramach zachęty do lektury następnego i kolejnych odcinków powiem, że już niedługo wykorzystamy w praktyce przedstawione tu wiadomości do blokady niechcianego oprogramowania, usług NAP i IPsec oraz wielu innych. A w następnych odcinkach stawiamy między innymi zapasowy kontroler domeny, serwer DHCP i serwer plików bowiem będziemy się zajmowali systemem IT w ……. drukarni.

Bartosz Pawłowicz