Los elementos forman parte del servicio de directorio activo. Introducción. Promoción de un servidor a un controlador de dominio

En nuestros artículos anteriores, hemos discutido problemas comunes relacionados con los servicios de directorio y Active Directory. Ahora es el momento de pasar a la práctica. Pero no se apresure a ejecutar el servidor, antes de implementar una estructura de dominio en su red, debe planificarla y tener una idea clara del propósito de los servidores individuales y los procesos de interacción entre ellos.

Antes de crear su primer controlador de dominio, debe decidir el modo de funcionamiento. El modo de funcionamiento determina las opciones disponibles y depende de la versión del sistema operativo que se utilice. No consideraremos todos los modos posibles, excepto aquellos que son relevantes en este momento. Existen tres modos de este tipo: Windows Server 2003, 2008 y 2008 R2.

El modo Windows Server 2003 debe seleccionarse solo cuando los servidores de este sistema operativo ya están implementados en su infraestructura y planea usar uno o más de estos servidores como controladores de dominio. En otros casos, debe seleccionar el modo Windows Server 2008 o 2008 R2, según las licencias adquiridas. Cabe recordar que siempre se puede aumentar el modo de funcionamiento del dominio, pero no será posible bajarlo (salvo restaurando desde una copia de seguridad), por lo que abordar este tema con cuidado, teniendo en cuenta posibles ampliaciones, licencias en sucursales, etc. . etc.

Ahora no consideraremos en detalle el proceso de creación de un controlador de dominio, volveremos a este tema más adelante, pero ahora queremos llamar su atención sobre el hecho de que en la estructura completa de los controladores de dominio de Active Directory debe haber al menos dos. De lo contrario, se expone a un riesgo innecesario, porque en caso de falla de un solo controlador de dominio, su estructura de AD completamente destruído. Es bueno si hay una copia de seguridad actualizada y puede recuperarse de ella, en cualquier caso, todo este tiempo su red estará completamente paralizada.

Por lo tanto, inmediatamente después de crear el primer controlador de dominio, debe implementar un segundo, independientemente del tamaño y el presupuesto de la red. El segundo controlador debe proporcionarse en la etapa de planificación y, sin él, ni siquiera vale la pena emprender la implementación de AD. Además, no combine la función de un controlador de dominio con ninguna otra función de servidor, para garantizar la confiabilidad de las operaciones con la base de datos de AD, el almacenamiento en caché de escritura está deshabilitado en el disco, lo que conduce a una fuerte caída en el rendimiento del subsistema de disco (esto también explica la larga carga de los controladores de dominio).

Como resultado, nuestra red debería tomar la siguiente forma:

Contrariamente a la creencia popular, todos los controladores de un dominio son iguales; cada controlador contiene información completa sobre todos los objetos de dominio y puede atender una solicitud de cliente. Pero esto no significa que los controladores sean intercambiables, entender mal este punto a menudo conduce a fallas de AD y tiempo de inactividad de la red empresarial. ¿Por qué está pasando esto? Es hora de recordar el papel de FSMO.

Cuando creamos el primer controlador, contiene todos los roles disponibles y también es un catálogo global; con la llegada del segundo controlador, se le transfieren los roles de maestro de infraestructura, maestro RID y emulador PDC. ¿Qué sucede si el administrador decide deshabilitar temporalmente el servidor DC1, por ejemplo, para limpiarlo de polvo? A primera vista, está bien, bueno, el dominio cambiará al modo de "solo lectura", pero funcionará. Pero nos olvidamos del catálogo global, y si las aplicaciones que lo requieren, como Exchange, se implementan en su red, lo sabrá antes de quitar la cubierta del servidor. Aprendes de los usuarios insatisfechos y es poco probable que la administración esté encantada.

De lo cual se desprende la conclusión: debe haber al menos dos catálogos globales en el bosque, y lo mejor de todo, uno en cada dominio. Dado que tenemos un dominio en el bosque, ambos servidores deben ser directorios globales, esto le permitirá tomar cualquiera de los servidores para mantenimiento sin ningún problema, la ausencia temporal de cualquier rol FSMO no conduce a la falla de AD, sino que solo lo hace. imposible crear nuevos objetos.

Como administrador de dominio, debe comprender claramente cómo se distribuyen las funciones de FSMO entre sus servidores y, cuando desmantele un servidor durante un período prolongado, transfiera estas funciones a otros servidores. ¿Y qué sucederá si el servidor que contiene los roles FSMO falla de forma irreversible? Está bien, como ya escribimos, cualquier controlador de dominio contiene toda la información necesaria, y si ocurre tal molestia, entonces deberá capturar los roles necesarios por uno de los controladores, esto restaurará el funcionamiento completo del servicio de directorio. .

El tiempo pasa, su organización crece y tiene una sucursal al otro lado de la ciudad y se hace necesario incluir su red en la infraestructura general de la empresa. A primera vista, nada complicado, configuras un canal de comunicación entre oficinas y colocas un controlador adicional en él. Todo estaría bien, pero hay una cosa. No puede controlar este servidor y, por lo tanto, es posible el acceso no autorizado, y el administrador local le hace dudar de sus calificaciones. ¿Cómo estar en una situación así? A estos efectos, existe un tipo especial de controlador en concreto: controlador de dominio de solo lectura (RODC), esta función está disponible en los modos funcionales de dominio de Windows Server 2008 y versiones posteriores.

Un controlador de dominio de solo lectura contiene una copia completa de todos los objetos de dominio y puede ser un catálogo global, pero no le permite realizar ningún cambio en la estructura de AD, también le permite asignar cualquier usuario como administrador local, lo que permítale atender completamente este servidor, pero nuevamente sin acceso a los servicios de AD. En nuestro caso, esto es lo que recetó el médico.

Nos instalamos en la sucursal del RODC, todo funciona, estás tranquilo, pero los usuarios empiezan a quejarse del largo inicio de sesión y las facturas de tráfico a fin de mes muestran un exceso. ¿Lo que está sucediendo? Es hora de recordar una vez más sobre la equivalencia de los controladores de dominio, el cliente puede enviar su solicitud a cualquier controlador de dominio, incluso ubicado en otra sucursal. Tenga en cuenta el canal de comunicación lento y, muy probablemente, ocupado: esta es la razón de los retrasos en el inicio de sesión.

El siguiente factor que envenena nuestras vidas en esta situación es la replicación. Como sabe, todos los cambios realizados en uno de los controladores de dominio se propagan automáticamente a otros y este proceso se denomina replicación y le permite tener una copia actualizada y coherente de los datos en cada controlador. El servicio de replicación desconoce nuestra sucursal y un canal de comunicación lento, por lo que todos los cambios en la oficina serán replicados inmediatamente a la sucursal, cargando el canal y aumentando el consumo de tráfico.

Aquí nos acercamos al concepto de sitios AD, que no debe confundirse con los sitios de Internet. Sitios de directorio activo representan una forma de dividir físicamente la estructura de un servicio de directorio en áreas separadas de otras áreas por enlaces lentos y/o inestables. Los sitios se crean sobre la base de subredes y todas las solicitudes de los clientes se envían primero a los controladores de su sitio, también es muy conveniente tener un catálogo global en cada sitio. En nuestro caso, necesitamos crear dos sitios: Sitio de anuncio 1 para la oficina central y Sitio de anuncio 2 para una sucursal, más precisamente una, ya que por defecto la estructura AD ya contiene un sitio, que incluye todos los objetos creados previamente. Ahora veamos cómo ocurre la replicación en una red con varios sitios.

Supondremos que nuestra organización ha crecido un poco y que la oficina principal contiene hasta cuatro controladores de dominio, la replicación entre controladores de un sitio se denomina dentro del sitio y sucede al instante. La topología de replicación se crea de acuerdo con el esquema de anillo con la condición de que no haya más de tres pasos de replicación entre los controladores de dominio. El esquema de anillo se guarda hasta 7 controladores inclusive, cada controlador establece una conexión con dos vecinos más cercanos, con una mayor cantidad de controladores aparecen conexiones adicionales y el anillo común, por así decirlo, se convierte en un grupo de anillos superpuestos entre sí.

entre sitios la replicación ocurre de manera diferente, en cada dominio se selecciona automáticamente uno de los servidores (servidor cabeza de puente), que establece una conexión con un servidor similar de otro sitio. De manera predeterminada, la replicación ocurre una vez cada 3 horas (180 minutos); sin embargo, podemos establecer nuestro propio cronograma de replicación y, para ahorrar tráfico, todos los datos se transfieren en forma comprimida. Si solo hay un RODC en un sitio, la replicación ocurre unidireccionalmente.

Por supuesto, los temas que tocamos son muy profundos, y en este material solo los tocamos ligeramente, pero este es el conocimiento mínimo necesario que debe tener antes de la implementación práctica de Active Directory en la infraestructura empresarial. Esto evitará errores tontos durante el despliegue y situaciones de emergencia durante el mantenimiento y expansión de la estructura, y cada uno de los temas tratados se tratará con más detalle.

En 2002, caminando por el pasillo del departamento de informática de mi universidad favorita, vi un cartel nuevo en la puerta de la oficina de NT Systems. El cartel mostraba íconos de cuentas de usuarios agrupados en grupos, de los cuales, a su vez, las flechas iban a otros íconos. Todo esto se combinó esquemáticamente en una cierta estructura, se escribió algo sobre un sistema de entrada única, autorización y similares. Por lo que tengo entendido ahora, ese cartel representaba la arquitectura de los dominios de Windows NT 4.0 y los sistemas de Active Directory de Windows 2000. A partir de ese momento, comenzó mi primer contacto con Active Directory y terminó inmediatamente, porque luego hubo una sesión dura, unas vacaciones divertidas, después de lo cual un amigo compartió discos FreeBSD 4 y Red Hat Linux, y durante los años siguientes me sumergí en el mundo de los sistemas tipo Unix, pero nunca olvidé el contenido del cartel.
Tuve que volver atrás y familiarizarme más con los sistemas Windows Server cuando me mudé a trabajar a una empresa donde la administración de toda la infraestructura de TI se basaba en Active Directory. Recuerdo que el administrador jefe de esa empresa en cada reunión decía algo sobre algún tipo de mejores prácticas de Active Directory. Ahora, después de 8 años de comunicación periódica con Active Directory, entiendo muy bien cómo funciona este sistema y cuáles son las mejores prácticas de Active Directory.
Como probablemente ya hayas adivinado, hablaremos sobre Active Directory.
Cualquiera que esté interesado en este tema, bienvenido a cat.

Estas recomendaciones son válidas para sistemas cliente a partir de Windows 7 y superior, para dominios y bosques del nivel de Windows Server 2008/R2 y superior.

Estandarización
La planificación de Active Directory debe comenzar por desarrollar sus propios estándares para nombrar objetos y su ubicación en el directorio. Es necesario crear un documento en el que se definan todos los estándares necesarios. Por supuesto, esta es una recomendación bastante común para los profesionales de TI. El principio "primero escribimos documentación y luego construimos un sistema basado en esta documentación" es muy bueno, pero rara vez se implementa en la práctica por muchas razones. Entre estas razones, simple pereza humana o falta de competencia adecuada, el resto de las razones se derivan de las dos primeras.
Recomiendo: primero escriba la documentación, piénselo y solo luego proceda con la instalación del primer controlador de dominio.
Por ejemplo, daré una sección del documento sobre los estándares para nombrar objetos de Active Directory.
Denominación de objetos.

  • El nombre de los grupos de usuarios debe comenzar con el prefijo GRUS_ (GR - Grupo, US - Usuarios)
  • El nombre de los grupos de equipos no debe comenzar con el prefijo GRCP_ (GR - Grupo, CP - Equipos)
  • El nombre de los grupos de delegación debe comenzar con el prefijo GRDL_ (GR - Grupo, DL - Delegación)
  • El nombre de los grupos de acceso a recursos debe comenzar con el prefijo GRRS_ (GR - Grupo, RS - recursos)
  • El nombre de los grupos para políticas debe comenzar con los prefijos GPUS_, GPCP_ (GP - Política de grupo, US - Usuarios, CP - Equipos)
  • El nombre de los equipos cliente debe constar de dos o tres letras del nombre de la organización, seguidas de un número a través de un guión, por ejemplo, nnt-01.
  • Los nombres de los servidores deben comenzar con solo dos letras, seguidas de un guión seguido de la función del servidor y el número del servidor, por ejemplo, nn-dc01.
Recomiendo nombrar los objetos de Active Directory de tal manera que no tenga que completar el campo "Descripción". Por ejemplo, del nombre del grupo GPCP_Restricted_Groups, está claro que este es un grupo para una política que se aplica a las computadoras y realiza el trabajo del mecanismo de Grupos restringidos.
Su enfoque para escribir la documentación debe ser muy completo, esto le ahorrará mucho tiempo más adelante.

Simplifica todo lo posible, trata de lograr el equilibrio
Al construir un Active Directory, debe seguir el principio de lograr un equilibrio, optando por mecanismos simples y comprensibles.
El principio del equilibrio es conseguir la funcionalidad y seguridad necesarias con la máxima sencillez de la solución.
Es necesario intentar construir el sistema de manera que su estructura sea clara para el administrador más inexperto o incluso para el usuario. Por ejemplo, en un momento hubo una recomendación para crear una estructura de bosque a partir de varios dominios. Además, se recomendó implementar no solo estructuras multidominio, sino también estructuras de varios bosques. Quizás tal recomendación existió debido al principio de "divide y vencerás", o porque Microsoft les dijo a todos que el dominio es un límite de seguridad y al dividir la organización en dominios, obtendremos estructuras separadas que son más fáciles de controlar individualmente. Pero como ha demostrado la práctica, es más fácil mantener y controlar los sistemas de dominio único, donde los límites de seguridad son las unidades organizativas (OU), no los dominios. Por lo tanto, evite crear estructuras multidominio complejas, es mejor agrupar objetos por OU.
Por supuesto, debe actuar sin fanatismo: si no puede prescindir de varios dominios, debe crear varios dominios, también con bosques. Lo principal es que entiendas lo que estás haciendo y lo que puede llevar.
Es importante comprender que una infraestructura de Active Directory simple es más fácil de administrar y controlar. Incluso diría que cuanto más simple, más seguro.
Aplicar el principio de simplificación. Trate de lograr el equilibrio.

Siga el principio - "objeto - grupo"
Comience a crear objetos de Active Directory creando un grupo para este objeto y asigne los derechos necesarios al grupo. Veamos un ejemplo. Necesitas crear una cuenta de administrador principal. Primero cree el grupo de administradores principales y solo luego cree la cuenta y agréguela a este grupo. Asigne al grupo de administradores principales los derechos del administrador principal, por ejemplo, agregándolo al grupo de administradores de dominio. Casi siempre resulta que después de un tiempo viene a trabajar otro empleado que necesita derechos similares, y en lugar de delegar derechos a diferentes secciones de Active Directory, será posible simplemente agregarlo al grupo requerido, para el cual el sistema ya tiene papel definido y delegado la autoridad necesaria.
Un ejemplo más. Debe delegar los derechos de la unidad organizativa con los usuarios al grupo de administradores del sistema. No delegue derechos directamente al grupo de administradores, pero cree un grupo especial como GRDL_OUName_Operator_Accounts al que asigne derechos. Luego simplemente agregue el grupo de administradores responsables al grupo GRDL_OUName_Operator_Accounts. Definitivamente resultará que, en un futuro próximo, deberá delegar los derechos de esta unidad organizativa a otro grupo de administradores. Y en este caso, simplemente agregará el grupo de datos del administrador al grupo de delegación GRDL_OUName_Operator_Accounts.
Propongo la siguiente estructura de grupo.

  • Grupos de usuarios (GRUS_)
  • Grupos de administradores (GRAD_)
  • Grupos de delegación (GRDL_)
  • Grupos de políticas (GRGP_)
Grupos de computadoras
  • Grupos de servidores (GRSR_)
  • Grupos de equipos cliente (GRCP_)
Grupos de acceso a recursos
  • Grupos de acceso a recursos compartidos (GRRS_)
  • Grupos de acceso a impresoras (GRPR_)
En un sistema creado en torno a estas pautas, casi toda la administración agregará grupos a grupos.
Mantenga el equilibrio, limite la cantidad de roles para los grupos y recuerde que, idealmente, el nombre del grupo debe describir completamente su rol.

arquitectura de la UO.
La arquitectura de una unidad organizativa debe pensarse en primer lugar desde el punto de vista de la seguridad y la delegación de derechos sobre esta unidad organizativa a los administradores del sistema. No recomiendo planificar la arquitectura de la unidad organizativa en términos de vincular políticas de grupo a ellas (aunque esto se hace con mayor frecuencia). Para algunos, mi recomendación parecerá un poco extraña, pero no recomiendo vincular políticas de grupo a una unidad organizativa en absoluto. Obtenga más información en la sección Políticas de grupo.
Administradores de la unidad organizativa
Recomiendo asignar una unidad organizativa separada para cuentas y grupos administrativos, donde colocar las cuentas y grupos de todos los administradores e ingenieros de soporte técnico. El acceso a esta unidad organizativa debe limitarse a los usuarios normales y la gestión de los objetos de esta unidad organizativa debe delegarse únicamente a los administradores principales.
Computadoras UO
Las unidades organizativas informáticas se planifican mejor en términos de geografía informática y tipos de equipos informáticos. Distribuya computadoras de diferentes ubicaciones geográficas en diferentes unidades organizativas y, a su vez, divídalas en computadoras cliente y servidores. Los servidores se pueden dividir en Exchange, SQL y otros.

Usuarios, derechos en Active Directory
Se debe prestar especial atención a las cuentas de usuario de Active Directory. Como se mencionó en la sección sobre unidades organizativas, las cuentas de usuario deben agruparse según el principio de delegación de autoridad a estas cuentas. También es importante observar el principio de privilegio mínimo: cuantos menos derechos tenga un usuario en el sistema, mejor. Le recomiendo que ponga inmediatamente el nivel de privilegio del usuario en el nombre de su cuenta. Una cuenta para el trabajo diario debe constar del apellido del usuario y sus iniciales en latín (por ejemplo, IvanovIV o IVIvanov). Los campos obligatorios son: Nombre, Iniciales, Apellido, Nombre para mostrar (en ruso), correo electrónico, móvil, Cargo, Gerente.
Las cuentas de administrador deben ser de los siguientes tipos:

  • Con derechos de administrador en los equipos de los usuarios, pero no en los servidores. Debe constar de las iniciales del propietario seguidas del prefijo local (por ejemplo, iivlocal)
  • Con derechos para administrar servidores y Active Directory. Debe constar únicamente de iniciales (por ejemplo, iiv).
El campo Apellido de ambos tipos de cuentas administrativas debe comenzar con la letra I (Por ejemplo, iPetrov P Vasily)
Permítame explicarle por qué debe separar las cuentas administrativas en administradores de servidores y administradores de equipos cliente. Esto es necesario por razones de seguridad. Los administradores de las computadoras cliente tendrán derecho a instalar software en las computadoras cliente. Qué y por qué se instalará el software, nunca se puede decir con certeza. Por lo tanto, no es seguro ejecutar la instalación del programa con derechos de administrador de dominio, puede comprometer todo el dominio. Debe administrar equipos cliente solo con derechos de administrador local para ese equipo. Esto imposibilitará una serie de ataques a cuentas de administradores de dominio, como "Pass The Hash". Además, los administradores de las computadoras cliente deben cerrar la conexión de Servicios de Terminal Server y la conexión de red a la computadora. Las computadoras para soporte técnico y administradores deben colocarse en una VLAN separada para restringir el acceso a ellas desde la red de computadoras cliente.
Otorgar derechos de administrador a los usuarios
Si necesita otorgar derechos de administrador a un usuario, no coloque su cuenta diaria en el grupo de administradores locales de la computadora bajo ninguna circunstancia. Una cuenta para el trabajo diario siempre debe tener derechos limitados. Cree una cuenta administrativa separada del tipo namelocal para él y agregue esta cuenta al grupo de administradores locales usando la política, restringiendo su uso solo en la computadora del usuario usando la orientación a nivel de elemento. El usuario podrá utilizar esta cuenta utilizando el mecanismo Run AS.
Políticas de contraseña
Cree políticas de contraseñas independientes para usuarios y administradores mediante una política de contraseñas detallada. Es deseable que la contraseña del usuario tenga al menos 8 caracteres y se cambie al menos trimestralmente. Es deseable que los administradores cambien la contraseña cada dos meses, y debe tener al menos 10-15 caracteres y cumplir con los requisitos de complejidad.

Composición de dominio y grupos locales. Mecanismo de Grupos Restringidos
La composición del dominio y los grupos locales en los equipos del dominio debe controlarse solo en modo automático, mediante el mecanismo de Grupos restringidos. Por qué es necesario hacer esto solo de esta manera, lo explicaré con el siguiente ejemplo. Por lo general, después de que se rompe el dominio de Active Directory, los administradores se agregan a grupos de dominio como administradores de dominio, administradores de empresa, agregan ingenieros de soporte técnico a los grupos necesarios y también distribuyen a otros usuarios en grupos. En el proceso de administración de este dominio, el proceso de emisión de derechos se repite muchas veces y será extremadamente difícil recordar que ayer agregó temporalmente a la contadora Nina Petrovna al grupo de administradores de 1C y que hoy debe eliminarla de este grupo. La situación se agravará si la empresa tiene varios administradores y cada uno de ellos otorga derechos a los usuarios de forma similar. En un año será casi imposible saber qué derechos se asignan a quién. Por tanto, la composición de los grupos debe ser controlada únicamente por las políticas de grupo, que pondrán todo en orden con cada aplicación.
Composición de grupos integrados
Vale la pena decir que los grupos integrados como Operadores de cuenta, Operadores de respaldo, Operadores de criptas, Invitados, Operadores de impresión, Operadores de servidor deben estar vacíos, tanto en el dominio como en las computadoras cliente. Estos grupos se necesitan principalmente para la compatibilidad con versiones anteriores de sistemas más antiguos, y los usuarios de estos grupos tienen demasiados derechos en el sistema, y ​​los ataques de escalada de privilegios se vuelven posibles.

Cuentas de administradores locales
Con el mecanismo de Grupos restringidos, debe bloquear las cuentas de administrador local en las computadoras locales, bloquear las cuentas de invitados y borrar el grupo de administradores locales en las computadoras locales. Nunca use políticas de grupo para establecer contraseñas para cuentas de administradores locales. Este mecanismo no es seguro, la contraseña se puede recuperar directamente de la póliza. Pero, si decide no bloquear las cuentas de administrador local, utilice el mecanismo LAPS para establecer correctamente las contraseñas y rotarlas. Desafortunadamente, la configuración de LAPS no está completamente automatizada y, por lo tanto, será necesario agregar manualmente atributos al esquema de Active Directory, otorgarles derechos, asignarles grupos, etc. Por lo tanto, es más fácil bloquear cuentas de administradores locales.
Cuentas de servicio.
Para iniciar servicios, use cuentas de servicio y el mecanismo gMSA (disponible en Windows 2012 y sistemas superiores)

Políticas de grupo
Documente las políticas antes de crearlas/modificarlas.
Al crear una política, utilice el principio "Política - grupo". Es decir, antes de crear una política, primero cree un grupo para esta política, elimine el grupo de usuarios autenticados del ámbito de la política y agregue el grupo creado. Vincule la política no a una OU, sino a la raíz del dominio y regule el alcance de su aplicación agregando objetos al grupo de políticas. Considero que dicho mecanismo es más flexible y comprensible que vincular una política a una unidad organizativa. (Eso es sobre lo que escribí en la sección Arquitectura OU).
Ajuste siempre el alcance de la política. Si ha creado una política solo para usuarios, deshabilite la estructura de la computadora y viceversa, deshabilite la estructura de usuario si ha creado una política solo para computadoras. Gracias a esta configuración, las políticas se aplicarán más rápidamente.
Configure copias de seguridad diarias de las políticas usando Power Shell para que, en caso de errores de configuración, siempre pueda volver a la configuración original.
Plantillas de Tienda Central (Tienda Central)
A partir de Windows 2008, fue posible almacenar plantillas ADMX de directivas de grupo en un almacén central, en SYSVOL. Antes de esto, de manera predeterminada, todas las plantillas de políticas se almacenaban localmente en los clientes. Para colocar las plantillas ADMX en el almacén central, copie el contenido de la carpeta %SystemDrive%\Windows\PolicyDefinitions junto con las subcarpetas de los sistemas cliente (Windows 7/8/8.1) al %SystemDrive%\Windows\SYSVOL\domain del controlador de dominio Directorio \Policies\PolicyDefinitions con fusión de contenido pero sin reemplazo. A continuación, debe realizar la misma copia desde los sistemas del servidor, comenzando por el más antiguo. Por último, al copiar carpetas y archivos de la versión más reciente del servidor, haga una copia de Combinar y REEMPLAZAR.

Copia de plantillas ADMX

Además, las plantillas ADMX para cualquier producto de software, como Microsoft Office, productos de Adobe, productos de Google y otros, se pueden colocar en el almacenamiento central. Vaya al sitio web del proveedor de software, descargue la plantilla ADMX de directiva de grupo y extráigala a la carpeta %SystemDrive%\Windows\SYSVOL\domain\Policies\PolicyDefinitions en cualquiera de sus controladores de dominio. Ahora puede administrar el producto de software que necesita a través de políticas de grupo.
filtros WMI
Los filtros WMI no son muy rápidos, por lo que es preferible la orientación a nivel de elemento. Pero si no se puede utilizar la orientación a nivel de elemento y decide utilizar WMI, le recomiendo que cree de inmediato varios de los filtros más comunes: el filtro "Solo sistemas operativos de cliente", "Solo sistemas operativos de servidor", filtros "Windows 7", filtra "Windows 8", "Windows 8.1", "Windows 10". Si tiene conjuntos de filtros WMI listos para usar, será más fácil aplicar el filtro deseado a la política deseada más adelante.

Auditoría de eventos de Active Directory
Asegúrese de habilitar la auditoría de eventos en los controladores de dominio y otros servidores. Recomiendo habilitar la auditoría de los siguientes objetos:

  • Gestión de cuentas informáticas de auditoría: éxito, fracaso
  • Auditar otros eventos de gestión de cuentas: éxito, fracaso
  • Gestión de grupos de seguridad de auditoría: éxito, fracaso
  • Gestión de cuentas de usuario de auditoría: éxito, fracaso
  • Auditar el servicio de autenticación de Kerberos: falla
  • Auditar otros eventos de inicio de sesión de cuenta: error
  • Cambio de política de auditoría de auditoría: éxito, fracaso
La auditoría debe configurarse en la sección Configuración avanzada de políticas de auditoría y asegúrese de incluir la configuración en la sección Política local/Opciones de seguridad: fuerce la configuración de la subcategoría de la política de auditoría (Windows Vista o posterior) para anular la configuración de la categoría de la política de auditoría, que anulará la configuración de nivel superior y aplicará las avanzadas.

Configuración de auditoría avanzada

No me detendré en la configuración de auditoría en detalle, ya que hay una cantidad suficiente de artículos en la Web dedicados a este tema. Solo agregaré que además de habilitar la auditoría, debe configurar alertas por correo electrónico sobre eventos críticos de seguridad. También vale la pena considerar que en sistemas con una gran cantidad de eventos, vale la pena dedicar servidores separados para recopilar y analizar archivos de registro.

Scripts de administración y limpieza
Todas las acciones del mismo tipo y repetidas con frecuencia deben realizarse mediante scripts de administración. Entre estas acciones: crear cuentas de usuario, crear cuentas de administrador, crear grupos, crear OU, etc. Los objetos de secuencias de comandos le permiten respetar la lógica de nomenclatura de objetos de Active Directory mediante la creación de verificaciones de sintaxis directamente en sus secuencias de comandos.
También vale la pena escribir scripts de limpieza que controlen automáticamente la composición de grupos, identifiquen usuarios y computadoras que no se han conectado al dominio durante mucho tiempo, detecten violaciones de sus otros estándares, etc.
No he visto como recomendación oficial explícita el uso de scripts de administración para monitorear el cumplimiento de estándares y realizar operaciones en segundo plano. Pero yo mismo prefiero las verificaciones y los procedimientos en modo automático usando scripts, ya que esto ahorra mucho tiempo y elimina muchos errores y, por supuesto, mi enfoque de administración ligeramente Unix afecta aquí, cuando es más fácil escribir un par de comandos. que hacer clic en las ventanas.

administración manual
Parte de las operaciones de administración que usted y sus colegas deberán realizar manualmente. Para estos fines, recomiendo usar la consola mmc con complementos agregados.
Como se discutirá más adelante, sus controladores de dominio deben operar en modo Server Core, es decir, la administración de todo el entorno de AD debe realizarse solo desde su computadora usando consolas. Para administrar Active Directory, debe instalar Herramientas de administración remota del servidor en su computadora. Las consolas deben ejecutarse en su computadora como un usuario con derechos de administrador de Active Directory a quien se le ha delegado el control.
El arte de administrar Active Directory usando consolas requiere un artículo aparte, y tal vez incluso un video de capacitación por separado, así que aquí solo estoy hablando del principio en sí.

Controladores de dominio
En cualquier dominio, debe haber al menos dos controladores. Los controladores de dominio deben tener la menor cantidad de servicios posible. No debe hacer un servidor de archivos a partir de un controlador de dominio o, Dios no lo quiera, elevar el rol de un servidor de terminal en él. Ejecute los sistemas operativos Server Core en los controladores de dominio eliminando completamente la compatibilidad con WoW64, esto reducirá significativamente la cantidad de actualizaciones requeridas y aumentará su seguridad.
Anteriormente, Microsoft desaconsejaba la virtualización de los controladores de dominio debido al hecho de que al restaurar desde instantáneas, eran posibles conflictos de replicación difíciles de resolver. Puede haber habido otras razones, no puedo decirlo con seguridad. Ahora los hipervisores han aprendido a decirles a los controladores que los restauren a partir de instantáneas, y este problema ha desaparecido. Virtualicé los controladores todo el tiempo, sin tomar ninguna instantánea, porque no entiendo por qué podría ser necesario hacerlo en los controladores de dominio. En mi opinión, es más fácil hacer una copia de seguridad de un controlador de dominio con herramientas estándar. Por lo tanto, recomiendo virtualizar todos los controladores de dominio que sean posibles. Esta configuración será más flexible. Al virtualizar controladores de dominio, colóquelos en diferentes hosts físicos.
Si necesita colocar un controlador de dominio en un entorno físico no seguro o en una sucursal de su organización, utilice un RODC para este propósito.

Roles FSMO, controladores primarios y secundarios
Los roles de controlador de dominio FSMO continúan infundiendo miedo en las mentes de los administradores novatos. A menudo, los novatos estudian Active Directory utilizando documentación desactualizada o escuchan historias de otros administradores que han leído algo en alguna parte.
Para los cinco roles + 1, se debe decir brevemente lo siguiente. A partir de Windows Server 2008, ya no hay controladores de dominio principales y secundarios. Las cinco funciones de controlador de dominio son portátiles, pero no se pueden alojar en más de un controlador de dominio al mismo tiempo. Si tomamos uno de los controladores, que, por ejemplo, era el propietario de 4 roles y lo eliminamos, entonces podemos transferir fácilmente todos estos roles a otros controladores, y no sucederá nada terrible en el dominio, nada se romperá. Esto es posible porque toda la información sobre el trabajo asociado con un rol en particular es almacenada por su propietario directamente en Active Directory. Y si transferimos el rol a otro controlador, primero solicita la información almacenada en el Directorio Activo y comienza a servir. Un dominio puede existir durante bastante tiempo sin propietarios de roles. El único "rol" que siempre debe estar en Active Directory, y sin el cual todo será muy malo, es el rol del catálogo global (GC), lo pueden llevar todos los controladores del dominio. Recomiendo asignar el rol de GC a cada controlador del dominio, cuantos más, mejor. Por supuesto, puede encontrar casos en los que no debe instalar el rol de GC en un controlador de dominio. Bueno, si no tienes que hacerlo, entonces no tienes que hacerlo. Sigue las recomendaciones sin fanatismos.

Servicio DNS
El servicio DNS es fundamental para el funcionamiento de Active Directory y debería funcionar sin problemas. Es mejor colocar el servicio DNS en cada controlador de dominio y almacenar zonas DNS en el mismo Active Directory. Si va a utilizar Active Directory para almacenar zonas DNS, debe configurar las propiedades de la conexión TCP/IP en los controladores de dominio para que cada controlador tenga cualquier otro servidor DNS como servidor DNS principal y pueda configurar el servidor DNS secundario. dirección 127.0.0.1. Esta configuración es necesaria porque para el inicio normal del servicio de Active Directory, se requiere un DNS que funcione, y para que el DNS se inicie, el servicio de Active Directory debe estar ejecutándose, ya que contiene la zona DNS en sí.
Asegúrese de configurar zonas de búsqueda inversa para todas sus redes y habilite la actualización automática segura de los registros PTR.
Le recomiendo que, además, habilite la limpieza automática de la zona de los registros DNS obsoletos (dns scavenging).
Recomiendo especificar servidores Yandex seguros como DNS-Forwarders si no hay otros más rápidos en su ubicación geográfica.

Sitios y replicación
Muchos administradores tienden a pensar en los sitios como una agrupación geográfica de equipos. Por ejemplo, el sitio de Moscú, el sitio de San Petersburgo. Esta vista apareció debido al hecho de que la división original de Active Directory en sitios se realizó para equilibrar y separar el tráfico de la red de replicación. Los controladores de dominio en Moscú no necesitan saber que ahora se han creado diez cuentas de computadora en San Petersburgo. Y, por lo tanto, dicha información sobre cambios se puede transmitir una vez por hora según un cronograma. O incluso replicar los cambios una vez al día y solo por la noche, para ahorrar ancho de banda.
Acerca de los sitios, diría esto: los sitios son grupos lógicos de computadoras. Computadoras que están interconectadas por una buena conexión de red. Y los sitios mismos están interconectados por una conexión con un ancho de banda bajo, lo cual es una rareza en nuestro tiempo. Por lo tanto, divido Active Directory en sitios no para equilibrar el tráfico de replicación, sino para equilibrar la carga de la red en general y para un procesamiento más rápido de las solicitudes de los clientes desde los equipos del sitio. Dejame explicarte con un ejemplo. Hay una red local de 100 megabits de la organización, que es atendida por dos controladores de dominio, y hay una nube donde se encuentran los servidores de aplicaciones de esta organización con otros dos controladores de nube. Dividiré dicha red en dos sitios para que los controladores en la red local procesen las solicitudes de los clientes de la red local y los controladores en la nube procesen las solicitudes de los servidores de aplicaciones. Además, esto separará las solicitudes a los servicios DFS y Exchange. Y dado que ahora rara vez veo un canal de Internet de menos de 10 megabits por segundo, habilitaré la replicación basada en notificaciones, esto es cuando los datos se replican tan pronto como haya cambios en el directorio activo.

Conclusión
Esta mañana estaba pensando en por qué el egoísmo humano no es bienvenido en la sociedad y en algún lugar en un nivel profundo de percepción causa emociones extremadamente negativas. Y la única respuesta que me vino a la mente es que la raza humana no habría sobrevivido en este planeta si no hubiera aprendido a compartir los recursos físicos e intelectuales. Es por eso que comparto este artículo contigo y espero que mis recomendaciones te ayuden a mejorar tus sistemas y dediques mucho menos tiempo a la resolución de problemas. Todo esto conducirá a la liberación de más tiempo y energía para la creatividad. Es mucho más agradable vivir en un mundo de gente creativa y libre.
Es bueno si comparte sus conocimientos y prácticas de creación de Active Directory en los comentarios, si es posible.
¡Paz y bondad para todos!

Puedes ayudar y transferir algunos fondos para el desarrollo del sitio.

Anotación: Esta lección describe los conceptos básicos de los servicios de directorio de Active Directory. Se dan ejemplos prácticos de gestión de la seguridad de la red. Se describe el mecanismo de las políticas de grupo. Proporciona información sobre las tareas de un administrador de red al administrar una infraestructura de servicio de directorio

Las redes modernas a menudo consisten en muchas plataformas de software diferentes, una amplia variedad de hardware y software. Los usuarios a menudo se ven obligados a recordar una gran cantidad de contraseñas para acceder a varios recursos de la red. Los derechos de acceso pueden ser diferentes para un mismo empleado en función de los recursos con los que trabaja. Todo este conjunto de interrelaciones requiere del administrador y del usuario una enorme cantidad de tiempo de análisis, memorización y aprendizaje.

La solución al problema de gestionar una red tan heterogénea se encontró con el desarrollo del servicio de directorio. Los servicios de directorio brindan la capacidad de administrar cualquier recurso o servicio desde cualquier lugar, independientemente del tamaño de la red, los sistemas operativos o la complejidad del hardware. La información sobre el usuario se ingresa una vez en el servicio de directorio y luego está disponible en toda la red. Direcciones de correo electrónico, membresías de grupos, derechos de acceso necesarios y cuentas para trabajar con varios sistemas operativos: todo esto se crea y se mantiene actualizado automáticamente. Cualquier cambio realizado en el servicio de directorio por un administrador se actualiza inmediatamente en toda la red. Los administradores ya no necesitan preocuparse por los empleados despedidos: simplemente eliminando una cuenta de usuario del servicio de directorio, pueden asegurarse de que todos los derechos de acceso a los recursos de la red previamente otorgados a ese empleado se eliminen automáticamente.

Actualmente, la mayoría de los servicios de directorio de varias empresas se basan en el estándar X.500. Para acceder a la información almacenada en los servicios de directorio, se suele utilizar un protocolo. (LDAP). Con el rápido desarrollo de las redes TCP/IP, LDAP se está convirtiendo en el estándar para servicios de directorio y aplicaciones orientadas a directorios.

Servicio de directorio Active Directory es la base de la estructura lógica de las redes corporativas basadas en el sistema Windows. El termino " Catalogar"en el sentido más amplio significa" Directorio", a servicio de directorio red corporativa es un directorio corporativo centralizado. El directorio corporativo puede contener información sobre objetos de varios tipos. Servicio de directorio Active Directory contiene principalmente los objetos en los que se basa el sistema de seguridad de red de Windows: cuentas de usuario, grupo y equipo. Las cuentas se organizan en estructuras lógicas: dominio, árbol, bosque, unidades organizativas.

Desde el punto de vista del estudio del material del curso "Network administración"Es bastante posible seguir el tutorial de la siguiente manera: primero estudie la primera parte de esta sección (desde los conceptos básicos hasta la instalación de controladores de dominio), luego vaya a "Servicio de archivo e impresión" y después de estudiar "Servicio de archivo e impresión" Regrese a "Active Directory Service Directory" para conocer conceptos más avanzados de los servicios de directorio.

6.1 Términos y conceptos básicos (bosque, árbol, dominio, unidad organizativa). Planificación de un espacio de nombres de AD. Instalación de controladores de dominio

Modelos de gestión de seguridad: modelo de grupo de trabajo y modelo de dominio centralizado

Como se mencionó anteriormente, el objetivo principal de los servicios de directorio es administrar la seguridad de la red. La base de la seguridad de la red es una base de datos de cuentas (cuentas) de usuarios, grupos de usuarios y computadoras, con la ayuda de la cual se controla el acceso a los recursos de la red. Antes de hablar sobre el servicio de directorio de Active Directory, comparemos los dos modelos para crear una base de datos de servicios de directorio y administrar el acceso a los recursos.

Modelo "Grupo de Trabajo"

Este modelo de gestión de la seguridad de la red corporativa es el más primitivo. Está diseñado para su uso en pequeños redes punto a punto(3–10 computadoras) y se basa en el hecho de que cada computadora en la red con sistemas operativos Windows NT/2000/XP/2003 tiene su propia base de datos local de cuentas, y esta base de datos local controla el acceso a los recursos de esta computadora. La base de datos local de cuentas se denomina base de datos SAM (Gerente de cuentas de seguridad) y se almacena en el registro del sistema operativo. Las bases de datos de las computadoras individuales están completamente aisladas entre sí y no están conectadas de ninguna manera.

Un ejemplo de control de acceso usando un modelo de este tipo se muestra en la Fig. 6.1.


Arroz. 6.1.

Este ejemplo muestra dos servidores (SRV-1 y SRV-2) y dos estaciones de trabajo (WS-1 y WS-2). Sus bases de datos SAM están etiquetadas como SAM-1, SAM-2, SAM-3 y SAM-4, respectivamente (las bases de datos SAM se muestran como un óvalo en la figura). Cada base de datos tiene cuentas de usuario Usuario1 y Usuario2. El nombre de usuario completo de User1 en el servidor SRV-1 se verá como "SRV-1\User1", y el nombre completo de User1 en la estación de trabajo WS-1 se verá como "WS-1\User1". Imaginemos que se crea una carpeta Carpeta en el servidor SRV-1, a la que se otorga acceso a través de la red a los usuarios Usuario1, para lectura (R), Usuario2, para lectura y escritura (RW). El punto principal de este modelo es que la computadora SRV-1 "no sabe" nada acerca de las cuentas de las computadoras SRV-2, WS-1, WS-2, así como de todas las demás computadoras en la red. Si un usuario llamado Usuario1 inicia sesión localmente en una computadora, por ejemplo, WS-2 (o, como dicen, "inicia sesión con el nombre local Usuario1 en la computadora WS-2"), entonces cuando intente acceder desde esta computadora la red, Carpeta en el servidor SRV-1, el servidor solicitará al usuario un nombre de usuario y una contraseña (excepto si los usuarios con el mismo nombre de usuario tienen la misma contraseña).

El modelo de "grupo de trabajo" es más fácil de aprender, no hay necesidad de aprender los conceptos complejos de Active Directory. Pero cuando se usa en una red con una gran cantidad de computadoras y recursos de red, se vuelve muy difícil administrar los nombres de usuario y sus contraseñas: debe crear manualmente las mismas cuentas con las mismas contraseñas en cada computadora (que proporciona sus recursos para compartir en la red), que es muy laborioso, o crear una cuenta para todos los usuarios con una contraseña para todos (o ninguna contraseña), lo que reduce en gran medida el nivel de protección de la información. Por lo tanto, el modelo "Grupo de trabajo" se recomienda solo para redes con 3 a 10 computadoras (y mejor aún, no más de 5), siempre que entre todas las computadoras no haya ninguna con sistema Windows Server.

modelo de dominio

En el modelo de dominio, existe una única base de datos de servicios de directorio que está disponible para todos los equipos de la red. Para ello, se instalan en la red servidores especializados, denominados controladores de dominio que almacenan esta base de datos en sus discos duros. En la fig. 6.2. se muestra el diagrama del modelo de dominio. Los servidores DC-1 y DC-2 son controladores de dominio, almacenan la base de datos de cuentas del dominio (cada controlador mantiene su propia copia de la base de datos, pero todos los cambios realizados en la base de datos en uno de los servidores se replican en otros controladores).


Arroz. 6.2.

En este modelo, si, por ejemplo, en el servidor SRV-1, que es miembro del dominio, se otorga acceso compartido a la carpeta Carpeta, los derechos de acceso a este recurso se pueden asignar no solo a las cuentas del local base de datos SAM de este servidor, pero, lo que es más importante, a los registros de cuentas almacenados en la base de datos del dominio. En la figura, para acceder a la carpeta Carpeta, se otorgan derechos de acceso a una cuenta local de la computadora SRV-1 y varias cuentas de dominio (usuario y grupos de usuarios). En el modelo de administración de seguridad de dominio, un usuario inicia sesión en una computadora ("inicia sesión") con su propio cuenta de dominio e, independientemente de la computadora en la que se realizó el registro, obtiene acceso a los recursos de red necesarios. Y no hay necesidad de crear una gran cantidad de cuentas locales en cada computadora, todas las entradas se crean una vez en la base de datos del dominio. Y con la ayuda de una base de datos de dominio se lleva a cabo control de acceso centralizado a los recursos de la red independientemente de la cantidad de computadoras en la red.

Propósito del servicio de directorio de Active Directory

Un directorio (directorio) puede almacenar diversa información relacionada con usuarios, grupos, computadoras, impresoras de red, recursos compartidos de archivos, etc. Llamaremos a todos estos objetos. El directorio también almacena información sobre el objeto mismo, o sus propiedades, llamadas atributos. Por ejemplo, los atributos almacenados en el directorio sobre un usuario podrían ser el nombre de su administrador, número de teléfono, dirección, nombre de inicio de sesión, contraseña, grupos a los que pertenece y más. Para que el almacenamiento de catálogos sea útil para los usuarios, debe haber servicios que interactúen con el catálogo. Por ejemplo, puede usar un directorio como un depósito de información contra el cual autenticar a un usuario, o como un lugar para enviar una consulta para encontrar información sobre un objeto.

Active Directory es responsable no solo de crear y organizar estos objetos pequeños, sino también de objetos grandes como dominios, OU (unidades organizativas) y sitios.

Lea a continuación los términos básicos utilizados en el contexto del servicio de directorio de Active Directory.

Servicio de directorio Active Directory (abreviado como AD) permite la operación eficiente de un entorno corporativo complejo al proporcionar las siguientes funciones:

  • Inicio de sesión único en línea; Los usuarios pueden iniciar sesión en la red con un único nombre de usuario y contraseña y seguir teniendo acceso a todos los recursos y servicios de la red (servicios de infraestructura de red, servicios de archivo e impresión, servidores de aplicaciones y bases de datos, etc.);
  • Seguridad de información. Los controles de autenticación y acceso a recursos integrados en Active Directory brindan seguridad de red centralizada;
  • Gestión centralizada. Los administradores pueden gestionar de forma centralizada todos los recursos corporativos;
  • Administración mediante directiva de grupo. Cuando una computadora arranca o un usuario inicia sesión en el sistema, se cumplen los requisitos de las políticas de grupo; sus ajustes se almacenan en objetos de política de grupo( GPO ) y se aplican a todas las cuentas de usuario y de computadora ubicadas en sitios, dominios o unidades organizativas;
  • Integración de DNS. El funcionamiento de los servicios de directorio depende completamente del funcionamiento del servicio DNS. A su vez, los servidores DNS pueden almacenar información sobre zonas en la base de datos de Active Directory;
  • Extensibilidad de directorio. Los administradores pueden agregar nuevas clases de objetos al esquema del catálogo o agregar nuevos atributos a las clases existentes;
  • Escalabilidad. El servicio de Active Directory puede cubrir tanto un dominio como varios dominios combinados en un árbol de dominios, y un bosque se puede construir a partir de varios árboles de dominio;
  • Replicación de información. Active Directory utiliza la replicación de gastos generales en un esquema multimaestro ( multimaestro), que le permite modificar la base de datos de Active Directory en cualquier controlador de dominio. La presencia de varios controladores en el dominio proporciona tolerancia a fallas y la capacidad de distribuir la carga de la red;
  • Flexibilidad de consultas de directorio. Se puede usar una base de datos de Active Directory para buscar rápidamente cualquier objeto AD usando sus propiedades (por ejemplo, nombre de usuario o dirección de correo electrónico, tipo de impresora o ubicación, etc.);
  • Interfaces de programación estándar. Para los desarrolladores de software, el servicio de directorio brinda acceso a todas las funciones (herramientas) del directorio y es compatible con los estándares aceptados y las interfaces de programación (API).

Se puede crear una amplia gama de objetos diferentes en Active Directory. Un objeto es una entidad única dentro de un Catálogo y generalmente tiene muchos atributos que ayudan a describirlo y reconocerlo. Una cuenta de usuario es un ejemplo de un objeto. Este tipo de objeto puede tener muchos atributos, como nombre, apellido, contraseña, número de teléfono, dirección y muchos más. De la misma manera, una impresora compartida también puede ser un objeto en Active Directory y sus atributos son su nombre, ubicación, etc. Los atributos de objeto no solo ayudan a identificar un objeto, sino que también le permiten buscar objetos dentro del Directorio.

Terminología

Servicio de directorio Windows Server se basa en estándares de tecnología generalmente aceptados. El estándar original para los servicios de directorio era X.500, cuyo objetivo era crear directorios escalables jerárquicos en forma de árbol con la capacidad de expandir tanto las clases de objetos como los conjuntos de atributos (propiedades) de cada clase individual. Sin embargo, la implementación práctica de este estándar ha demostrado ser ineficiente en términos de desempeño. Luego, sobre la base del estándar X.500, se desarrolló una versión simplificada (ligera) del estándar de construcción de directorios, llamada LDAP (Protocolo ligero de acceso a directorios). El protocolo LDAP conserva todas las propiedades básicas de X.500 (sistema de creación de directorios jerárquicos, escalabilidad, extensibilidad), pero al mismo tiempo le permite implementar efectivamente este estándar en la práctica. El termino " ligero " (" ligero") en el nombre de LDAP refleja el objetivo principal del desarrollo del protocolo: crear un conjunto de herramientas para construir un servicio de directorio que tenga suficiente poder funcional para resolver tareas básicas, pero que no esté sobrecargado con tecnologías complejas que hacen que la implementación de los servicios de directorio sea ineficiente. Actualmente, LDAP es el método estándar para acceder a directorios de información en línea y juega un papel fundamental en una variedad de productos como sistemas de autenticación, programas de correo electrónico y aplicaciones de comercio electrónico. Actualmente, hay más de 60 servidores LDAP comerciales en el mercado, de los cuales aproximadamente el 90 % son servidores de directorio LDAP independientes y el resto se ofrece como componentes de otras aplicaciones.

El protocolo LDAP define claramente el rango de operaciones de directorio que puede realizar una aplicación cliente. Estas operaciones se dividen en cinco grupos:

  • establecer una conexión con el directorio;
  • buscar información en él;
  • modificación de su contenido;
  • agregar un objeto;
  • borrando un objeto.

Aparte de LDAP servicio de directorio Active Directory también utiliza un protocolo de autenticación Kerberos y un servicio DNS para búsqueda en red de componentes de servicios de directorio (controladores de dominio, servidores de catálogo global, servicio Kerberos, etc.).

Dominio

La unidad básica del sistema de seguridad de Active Directory es dominio. El dominio conforma el área de responsabilidad administrativa. La base de datos del dominio contiene cuentas usuarios, grupos y ordenadores. La mayoría de las funciones de gestión de directorios funcionan a nivel de dominio (autenticación de usuarios, control de acceso a recursos, control de servicios, control de replicación, políticas de seguridad).

Los nombres de dominio de Active Directory siguen el mismo patrón que los nombres en el espacio de nombres DNS. Y esto no es casualidad. El servicio DNS es un medio para encontrar componentes de dominio, principalmente controladores de dominio.

Controladores de dominio- servidores especiales que almacenan la parte de la base de datos de Active Directory correspondiente a este dominio. Las principales funciones de los controladores de dominio:

  • almacenamiento de la base de datos de Active Directory(organización del acceso a la información contenida en el catálogo, incluida la gestión de esta información y su modificación);
  • sincronización de cambios en AD(los cambios en la base de datos de AD se pueden realizar en cualquiera de los controladores de dominio, cualquier cambio realizado en uno de los controladores se sincronizará con las copias almacenadas en otros controladores);
  • autenticacion de usuario(cualquiera de los controladores de dominio verifica las credenciales de los usuarios que inician sesión en los sistemas cliente).

Se recomienda encarecidamente instalar al menos dos controladores de dominio en cada dominio; en primer lugar, para proteger contra la pérdida de la base de datos de Active Directory en caso de que falle el controlador y, en segundo lugar, para distribuir la carga entre controllers.it.company.ru tiene un subdominio dev.it.company.ru , creado para el departamento de desarrollo de software del servicio de TI.

  • descentralizar la administración de los servicios de directorio (por ejemplo, en el caso de que una empresa tenga sucursales geográficamente distantes entre sí y la gestión centralizada sea difícil por razones técnicas);
  • para mejorar el rendimiento (para empresas con una gran cantidad de usuarios y servidores, el tema de aumentar el rendimiento de los controladores de dominio es relevante);
  • para administrar la replicación de manera más eficiente (si los controladores de dominio están muy separados, la replicación en uno puede llevar más tiempo y crear problemas al usar datos no sincronizados);
    • dominio raíz del bosque ( dominio raíz del bosque), este dominio no se puede eliminar (almacena información sobre la configuración del bosque y los árboles de dominio que lo forman).

Unidades organizativas (OD).

unidades organizativas (Unidades organizativas, UNED) - contenedores dentro de AD que se crean para agrupar objetos con el fin de delegación de derechos administrativos y aplicación de políticas de grupo en el dominio OP existe solo dentro de los dominios y puede combinar solo objetos del propio dominio. Los OP se pueden anidar unos dentro de otros, lo que permite crear una jerarquía compleja de contenedores en forma de árbol dentro de un dominio y ejercer un control administrativo más flexible. Además, se pueden crear OP para reflejar la jerarquía administrativa y la estructura organizativa de una empresa.

Directorio mundial

Directorio mundial es una lista todos los objetos que existen en el bosque de Active Directory. De forma predeterminada, los controladores de dominio solo contienen información sobre los objetos de su dominio. Servidor de catálogo global es un controlador de dominio que contiene información sobre cada objeto (aunque no todos los atributos de esos objetos) en el bosque.

Directorio Activo

Directorio Activo(“Directorios Activos”, ANUNCIO) - LDAP-implementación compatible del servicio de directorio de una corporación microsoft para sistemas operativos de la familia Windows NT. Directorio Activo permite a los administradores usar políticas de grupo para garantizar una configuración de experiencia de usuario consistente, implementar software en varias computadoras a través de políticas de grupo o mediante Administrador de configuración del centro del sistema(previamente Servidor de administración de sistemas de Microsoft), instalar actualizaciones de software de servidor, aplicación y sistema operativo en todos los equipos de la red utilizando el Servicio de actualización Servidor de windows . Directorio Activo almacena los datos y la configuración del entorno en una base de datos centralizada. redes Directorio Activo puede ser de varios tamaños: desde varias decenas hasta varios millones de objetos.

Rendimiento Directorio Activo tuvo lugar en 1999, el producto se lanzó por primera vez con Servidor Windows 2000, y luego se modificó y mejoró en el momento del lanzamiento. Servidor Windows 2003. Después Directorio Activo se ha mejorado en Windows Server 2003 R2, Servidor Windows 2008 y Windows Server 2008 R2 y renombrado a Servicios de dominio de Active Directory. El servicio de directorio se llamaba anteriormente Servicio de directorio de NT (NTDS), este nombre todavía se puede encontrar en algunos archivos ejecutables.

A diferencia de las versiones ventanas antes de ventanas 2000 que utilizó principalmente el protocolo NetBIOS para redes, servicio Directorio Activo integrado con DNS y TCP/IP. El protocolo de autenticación predeterminado es Kerberos. Si el cliente o la aplicación no admite autenticación Kerberos, se utiliza el protocolo NTLM .

Dispositivo

Objetos

Directorio Activo Tiene una estructura jerárquica compuesta por objetos. Los objetos se dividen en tres categorías principales: recursos (como impresoras), servicios (como correo electrónico) y cuentas de usuario y de computadora. Directorio Activo proporciona información sobre objetos, permite organizar objetos, controlar el acceso a ellos y establece reglas de seguridad.

Los objetos pueden ser contenedores para otros objetos (grupos de seguridad y distribución). Un objeto se identifica de manera única por su nombre y tiene un conjunto de atributos: características y datos que puede contener; estos últimos, a su vez, dependen del tipo de objeto. Los atributos son la base constituyente de la estructura de un objeto y se definen en el esquema. El esquema define qué tipos de objetos pueden existir.

El esquema en sí consta de dos tipos de objetos: objetos de clase de esquema y objetos de atributo de esquema. Un objeto de clase de esquema define un tipo de objeto Directorio Activo(por ejemplo, un objeto Usuario), y un objeto de atributo de esquema define un atributo que puede tener un objeto.

Cada objeto de atributo se puede utilizar en varios objetos de clase de esquema diferentes. Estos objetos se denominan objetos de esquema (o metadatos) y le permiten modificar y agregar al esquema según sea necesario. Sin embargo, cada objeto de esquema es parte de las definiciones de objeto. Directorio Activo, por lo que deshabilitar o cambiar estos objetos puede tener graves consecuencias, ya que como resultado de estas acciones se cambiará la estructura Directorio Activo. El cambio en el objeto de esquema se propaga automáticamente a Directorio Activo. Una vez creado, un objeto de esquema no se puede eliminar, solo se puede deshabilitar. Por lo general, todos los cambios de esquema se planifican cuidadosamente.

Envase similar objeto en el sentido de que también tiene atributos y pertenece al espacio de nombres, pero a diferencia de un objeto, un contenedor no representa nada específico: puede contener un grupo de objetos u otros contenedores.

Estructura

El nivel superior de la estructura es el bosque: la colección de todos los objetos, atributos y reglas (sintaxis de atributos) en Directorio Activo. El bosque contiene uno o más árboles conectados por transitivos relaciones de confianza . El árbol contiene uno o más dominios, también conectados en una jerarquía por relaciones de confianza transitivas. Los dominios se identifican por sus estructuras de nombres DNS: espacios de nombres.

Los objetos de un dominio se pueden agrupar en contenedores: unidades organizativas. Las unidades organizativas le permiten crear una jerarquía dentro de un dominio, simplificar su administración y le permiten modelar la estructura organizativa y/o geográfica de una empresa en Directorio Activo. Las divisiones pueden contener otras divisiones. Corporación microsoft recomienda usar la menor cantidad de dominios posible en Directorio Activo y utilizar divisiones para la estructuración y las políticas. Las políticas de grupo a menudo se aplican específicamente a las unidades organizativas. Las políticas de grupo son en sí mismas objetos. Una división es el nivel más bajo en el que se puede delegar la autoridad administrativa.

Otra forma de dividir Directorio Activo están sitios , que son una forma de agrupación física (en lugar de lógica) basada en segmentos de red. Los sitios se dividen en aquellos con conexiones a través de canales de baja velocidad (por ejemplo, a través de redes globales, utilizando redes privadas virtuales) y a través de canales de alta velocidad (por ejemplo, a través de una red de área local). Un sitio puede contener uno o más dominios y un dominio puede contener uno o más sitios. Al diseñar Directorio Activo es importante tener en cuenta el tráfico de red que se genera cuando los datos se sincronizan entre sitios.

Decisión clave de diseño Directorio Activo es la decisión de dividir la infraestructura de la información en dominios jerárquicos y divisiones de nivel superior. Los modelos típicos utilizados para esta división son divisiones por divisiones funcionales de la empresa, por ubicación geográfica y por roles en la infraestructura de información de la empresa. A menudo se utilizan combinaciones de estos modelos.

Estructura física y replicación

Físicamente, la información se almacena en uno o más controladores de dominio equivalentes que han reemplazado a los utilizados en Windows NT controladores de dominio principal y de respaldo, aunque para algunas operaciones se conserva un servidor llamado "operaciones de maestro único", que puede emular un controlador de dominio principal. Cada controlador de dominio mantiene una copia de lectura/escritura de los datos. Los cambios realizados en un controlador se sincronizan con todos los controladores de dominio durante la replicación. Servidores donde el propio servicio Directorio Activo no instalados, pero que están incluidos en el dominio Directorio Activo, se denominan servidores miembro.

replicación Directorio Activo realizado a pedido. Servicio Comprobador de coherencia del conocimiento crea una topología de replicación que usa los sitios definidos en el sistema para administrar el tráfico. La replicación dentro del sitio la realiza con frecuencia y automáticamente un verificador de coherencia (al notificar los cambios a los socios de replicación). La replicación entre sitios se puede configurar para cada canal de un sitio (dependiendo de la calidad del canal); se puede asignar una "tarifa" (o "costo") diferente a cada canal (por ejemplo DS3, , RDSI etc.) y el tráfico de replicación se limitará, programará y enrutará de acuerdo con la estimación del enlace asignado. Los datos de replicación pueden viajar transitivamente a través de varios sitios a través de puentes de vínculos de sitios si la "puntuación" es baja, aunque AD asigna automáticamente una puntuación más baja para los vínculos de sitio a sitio que para los vínculos transitivos. La replicación de sitio a sitio la realizan servidores cabeza de puente en cada sitio, que luego replican los cambios en cada controlador de dominio en su sitio. La replicación dentro del dominio se lleva a cabo de acuerdo con el protocolo. RPC protocolo IP, multidominio - también puede usar el protocolo SMTP.

Si la estructura Directorio Activo contiene varios dominios, para resolver el problema de encontrar objetos, se utiliza catálogo mundial: un controlador de dominio que contiene todos los objetos del bosque, pero con un conjunto limitado de atributos (una réplica parcial). El catálogo se almacena en servidores de catálogo global especificados y atiende solicitudes entre dominios.

La capacidad de host único permite que las solicitudes se manejen cuando no se permite la replicación de múltiples hosts. Hay cinco tipos de operaciones de este tipo: emulación de controlador de dominio (emulador de PDC), host de identificador relativo (maestro de identificador relativo o maestro RID), host de infraestructura (maestro de infraestructura), host de esquema (maestro de esquema) y host de nombres de dominio (maestro de nombres de dominio). ). Los primeros tres roles son únicos dentro del dominio, los dos últimos son únicos dentro de todo el bosque.

base Directorio Activo se puede dividir en tres almacenes lógicos o "particiones". El esquema es una plantilla para Directorio Activo y define todos los tipos de objetos, sus clases y atributos, sintaxis de atributos (todos los árboles están en el mismo bosque porque tienen el mismo esquema). La configuración es la estructura del bosque y los árboles. Directorio Activo. Un dominio almacena toda la información sobre los objetos creados en ese dominio. Los dos primeros almacenes se replican en todos los controladores de dominio del bosque, la tercera partición se replica completamente entre los controladores de réplica dentro de cada dominio y se replica parcialmente en los servidores de catálogo global.

nombrando

Directorio Activo admite los siguientes formatos de nombres de objetos: nombres de tipos genéricos UNC, URL y URL de LDAP. Versión LDAP El formato de nomenclatura X.500 se usa internamente Directorio Activo.

Cada objeto tiene nombre distinguido (Inglés) nombre distinguido, DN) . Por ejemplo, un objeto de impresora llamado HPLaser3 en la unidad organizativa de marketing y en el dominio foo.org tendrá el siguiente DN: CN=HPLaser3,OU=Marketing,DC=foo,DC=org , donde CN es el nombre común, OU es la sección y DC es el dominio clase de objeto Los nombres distinguidos pueden tener muchas más partes que las cuatro partes de este ejemplo. Los objetos también tienen nombres canónicos. Estos son los nombres distinguidos escritos en orden inverso, sin identificadores y usando barras diagonales como separadores: foo.org/Marketing/HPLaser3. Para definir un objeto dentro de su contenedor, use nombre distinguido relativo : CN=HPLaser3 . Cada objeto también tiene un identificador global único ( GUID) es una cadena única e inmutable de 128 bits que se utiliza en Directorio Activo para la búsqueda y la replicación. Ciertos objetos también tienen un nombre principal de usuario ( UPN, de acuerdo con RFC 822) en el formato objeto@dominio.

Integración con UNIX

Varios niveles de interacción con Directorio Activo se puede implementar en la mayoría UNIX-como sistemas operativos a través de estándares compatibles LDAP clientes, pero estos sistemas normalmente no entienden la mayoría de los atributos asociados con los componentes ventanas como políticas de grupo y soporte para fideicomisos unidireccionales.

Proveedores de terceros ofrecen integración Directorio Activo en plataformas UNIX, incluido UNIX, linux, Mac OS X y una serie de aplicaciones basadas Java, con paquete de producto:

Complementos esquemáticos suministrados con Windows Server 2003 R2 incluir atributos que estén lo suficientemente relacionados con RFC 2307 para ser de uso general. Implementaciones base de RFC 2307, nss_ldap y pam_ldap , propuestas PADL.com, admiten directamente estos atributos. El esquema estándar para la pertenencia a grupos sigue el RFC 2307bis (propuesto). Windows Server 2003 R2 incluye Microsoft Management Console para crear y editar atributos.

Una alternativa es usar otro servicio de directorio como 389 Servidor de directorio(previamente Servidor de directorio de Fedora, FDS), eB2Bcom ViewDS v7.1 Directorio habilitado para XML o Servidor de directorio del sistema Sun Java desde microsistemas de sol, que realiza una sincronización bidireccional con Directorio Activo, implementando así la integración "reflejada" cuando los clientes UNIX y linux están autenticados FDS y clientes ventanas están autenticados Directorio Activo. Otra opción es utilizar OpenLDAP con posibilidad de superposición translúcida, ampliando los elementos del servidor remoto LDAP atributos adicionales almacenados en la base de datos local.

Directorio Activo uso automatizado Potencia Shell .

Literatura

  • Rand Morimoto, Kenton Gardiner, Michael Noel, Joe Koka Microsoft Exchange Server 2003. Guía completa = Microsoft Exchange Server 2003 liberado. - M.: "Williams", 2006. - S. 1024. - ISBN 0-672-32581-0

ver también

Enlaces

notas

que ayudara Directorio Activo especialistas?

Daré una pequeña lista de "golosinas" que se pueden obtener al implementar Active Directory:

  • una única base de datos de registro de usuarios, que se almacena centralmente en uno o más servidores; así, cuando aparezca un nuevo empleado en la oficina, sólo necesitarás crearle una cuenta en el servidor y especificar a qué estaciones de trabajo podrá acceder;
  • dado que todos los recursos del dominio están indexados, esto permite una búsqueda simple y rápida de usuarios; por ejemplo, si necesita encontrar una impresora a color en un departamento;
  • la combinación de aplicar permisos NTFS, políticas de grupo y delegación de control le permitirá ajustar y distribuir los derechos entre los miembros del dominio;
  • los perfiles de usuario itinerantes le permiten almacenar información importante y ajustes de configuración en el servidor; de hecho, si un usuario con perfil itinerante en el dominio se sienta a trabajar en otro equipo e introduce su usuario y contraseña, verá su escritorio con su configuración habitual;
  • al usar políticas de grupo, puede cambiar la configuración de los sistemas operativos de los usuarios, desde permitir que el usuario configure el fondo de pantalla en el escritorio hasta la configuración de seguridad, así como distribuir software a través de la red, por ejemplo, el cliente Volume Shadow Copy, etc.;
  • muchos programas (servidores proxy, servidores de bases de datos, etc.) no solo fabricados por Microsoft hoy en día han aprendido a usar la autenticación de dominio, por lo que no tiene que crear otra base de datos de usuarios, sino que puede usar una existente;
  • el uso de Servicios de Instalación Remota facilita la instalación de sistemas en las estaciones de trabajo, pero, a su vez, funciona solo con el servicio de directorio incorporado.

Y esta no es una lista completa de funciones, pero hablaremos de eso más adelante. Ahora intentaré contar la lógica misma de la construcción. Directorio Activo, pero nuevamente vale la pena averiguar de qué están hechos nuestros niños de qué están hechos nuestros niños Directorio Activo son dominios, árboles, bosques, unidades organizativas, grupos de usuarios y equipos.

Dominios - Esta es la unidad de construcción lógica básica. En comparación con los grupos de trabajo dominios AD son grupos de seguridad que tienen una sola base de registro, mientras que los grupos de trabajo son solo una agrupación lógica de máquinas. AD utiliza DNS (Servidor de nombres de dominio) para los servicios de búsqueda y nombres, no WINS (Servicio de nombres de Internet de Windows), como ocurría en versiones anteriores de NT. Por lo tanto, los nombres de las computadoras en un dominio son, por ejemplo, buh.work.com, donde buh es el nombre de una computadora en el dominio work.com (aunque no siempre es así).

Los grupos de trabajo usan nombres NetBIOS. Para alojar una estructura de dominio ANUNCIO es posible que esté utilizando un servidor DNS que no sea de Microsoft. Pero debe ser compatible con BIND 8.1.2 o superior y admitir registros SRV(), así como el Protocolo de registro dinámico (RFC 2136). Cada dominio tiene al menos un controlador de dominio que aloja la base de datos central.

Árboles - Estas son estructuras multidominio. La raíz de esta estructura es el dominio principal para el que crea dominios secundarios. De hecho, Active Directory utiliza un sistema de construcción jerárquico similar a la estructura de dominios en DNS.

Si tenemos un dominio work.com (dominio de primer nivel) y creamos dos dominios secundarios para él, first.work.com y second.work.com (aquí, first y second son dominios de segundo nivel, no una computadora en el dominio, como en el caso descrito anteriormente), entonces como resultado obtenemos un árbol de dominios.

Los árboles como estructura lógica se utilizan cuando es necesario separar las sucursales de una empresa, por ejemplo, por características geográficas o por otras razones organizativas.

ANUNCIO ayuda a crear automáticamente relaciones de confianza entre cada dominio y sus dominios secundarios.

Por lo tanto, la creación del dominio first.work.com lleva a la organización automática de una relación de confianza bidireccional entre el padre work.com y el hijo first.work.com (de manera similar para second.work.com). Por lo tanto, los permisos se pueden aplicar desde el dominio principal al dominio secundario y viceversa. No es difícil suponer que también existirán relaciones de confianza para los dominios secundarios.

Otra propiedad de las relaciones de confianza es la transitividad. Obtenemos: se crea una relación de confianza con el dominio work.com para el dominio net.first.work.com.

Bosque - Al igual que los árboles, son estructuras multidominio. Pero bosque es una unión de árboles que tienen diferentes dominios raíz.

Suponga que decide tener múltiples dominios llamados work.com y home.net y crear dominios secundarios para ellos, pero debido a que tld (dominio de nivel superior) no está bajo su control, en este caso puede organizar un bosque seleccionando uno de los primeros dominios de nivel es la raíz. La belleza de crear un bosque en este caso es la relación de confianza bidireccional entre estos dos dominios y sus dominios secundarios.

Sin embargo, cuando trabaje con bosques y árboles, recuerde lo siguiente:

  • no puede agregar un dominio existente al árbol
  • no puede incluir un árbol ya existente en el bosque
  • si los dominios se colocan en un bosque, no se pueden mover a otro bosque
  • no puede eliminar un dominio que tiene dominios secundarios

unidades organizativas - en principio se pueden llamar subdominios. le permite agrupar cuentas de usuario, grupos de usuarios, computadoras, recursos compartidos, impresoras y otras OU (unidades organizativas) en un dominio. El beneficio práctico de usarlos es la capacidad de delegar derechos para administrar estas unidades.

En pocas palabras, es posible designar un administrador en un dominio que pueda administrar la unidad organizativa, pero que no tenga los derechos para administrar todo el dominio.

Una característica importante de las unidades organizativas, a diferencia de los grupos, es la capacidad de aplicarles políticas de grupo. "¿Por qué el dominio original no se puede dividir en varios dominios en lugar de usar una unidad organizativa?" - usted pregunta.

Muchos expertos aconsejan tener un dominio siempre que sea posible. La razón de esto es la descentralización de la administración al crear un dominio adicional, ya que los administradores de cada uno de esos dominios reciben un control ilimitado (permítame recordarle que al delegar derechos a los administradores de OU, puede limitar su funcionalidad).

Además de esto, para crear un nuevo dominio (incluso uno secundario) necesitará otro controlador. Si tiene dos divisiones separadas conectadas por un canal de comunicación lento, pueden surgir problemas de replicación. En este caso, sería más apropiado tener dos dominios.

También hay otro matiz en la aplicación de políticas de grupo: las políticas que definen la configuración de contraseñas y los bloqueos de cuentas solo se pueden aplicar a los dominios. Para las unidades organizativas, esta configuración de política se ignora.

Sitios - Esta es una forma de separar físicamente el servicio de directorio. Por definición, un sitio es un grupo de computadoras conectadas por enlaces de datos rápidos.

Si tienes varias sucursales en diferentes partes del país, conectadas por líneas de comunicación de baja velocidad, entonces puedes crear tu propio sitio web para cada sucursal. Esto se hace para mejorar la confiabilidad de la replicación de directorios.

Tal partición de AD no afecta los principios de construcción lógica, por lo tanto, así como un sitio puede contener varios dominios y viceversa, un dominio puede contener varios sitios. Pero esta topología de servicio de directorio está plagada de trampas. Por regla general, Internet se utiliza para comunicarse con las sucursales, un entorno muy inseguro. Muchas empresas utilizan medidas de seguridad como cortafuegos. El servicio de directorio en su trabajo utiliza aproximadamente una docena y media de puertos y servicios, cuya apertura para que el tráfico de AD pase a través del firewall en realidad lo expondrá "afuera". La solución al problema es utilizar la tecnología de tunelización, así como la presencia de un controlador de dominio en cada sitio para acelerar el procesamiento de las solicitudes de los clientes de AD.

Se presenta la lógica de anidar los componentes del servicio de directorio. Se puede observar que el bosque contiene dos árboles de dominio, en los que el dominio raíz del árbol, a su vez, puede contener unidades organizativas y grupos de objetos, así como tener dominios secundarios (en este caso, uno para cada uno). Los dominios secundarios también pueden contener grupos de objetos y unidades organizativas y tener dominios secundarios (no se muestran en la figura). Etc. Permítame recordarle que las unidades organizativas pueden contener unidades organizativas, objetos y grupos de objetos, y los grupos pueden contener otros grupos.

Grupos de usuarios y equipos - se usan con fines administrativos y tienen el mismo significado que cuando se usan en máquinas locales en una red. A diferencia de las unidades organizativas, las políticas de grupo no se pueden aplicar a los grupos, pero se les puede delegar el control. En el marco del esquema de Active Directory, existen dos tipos de grupos: grupos de seguridad (utilizados para diferenciar los derechos de acceso a los objetos de la red) y grupos de distribución (utilizados principalmente para enviar mensajes de correo, por ejemplo, en Microsoft Exchange Server).

Se clasifican según su alcance:

  • grupos universales puede incluir usuarios dentro del bosque, así como otros grupos universales o grupos globales de cualquier dominio en el bosque
  • grupos globales de dominio puede incluir usuarios de dominio y otros grupos globales del mismo dominio
  • grupos locales de dominio se utiliza para diferenciar los derechos de acceso, puede incluir usuarios de dominio, así como grupos universales y grupos globales de cualquier dominio en el bosque
  • grupos de computadoras locales– grupos que contiene el SAM (administrador de cuentas de seguridad) de la máquina local. Su alcance se limita solo a esta máquina, pero pueden incluir grupos locales del dominio en el que se encuentra la computadora, así como grupos universales y globales de su propio dominio o de otro en el que confíen. Por ejemplo, puede incluir un usuario del grupo local de dominio Usuarios en el grupo Administradores de la máquina local, otorgándole así derechos administrativos, pero solo para esta computadora.
Calificación del artículo:
1 estrella2 estrellas3 estrellas4 estrellas5 estrellas(Sin calificaciones todavía)
Cargando...
Para compartir con amigos:
Artículos relacionados
Cerrar
Encuentra en el sitio
Por ejemplo: tipos de paneles de yeso