Безопасность Active Directory: настройка локальных администраторов
Одной из наиболее важных и часто наиболее трудоемких задач любого администратора IP является делегирование разрешений и обеспечение безопасности. Это становится сложнее в компаниях, где службы управляются разными группами администраторов.
В предыдущей статье мы рассмотрели процесс делегирования на уровне организационного подразделения, где мы контролировали возможности создания объектов в Active Directory. В той же статье мы создали структуру для поддержки делегирования на двух уровнях. Имена уровней, которые мы использовали в этой статье, были Country и City.
Преимущество такого подхода в том, что мы управляли всеми делегированиями безопасности с помощью групп Active Directory. Таким образом, любому новому администратору не потребуется новый мастер делегирования для начала работы. Это просто вопрос добавления его или ее в существующую группу Active Directory.
В этой статье мы идем немного дальше. Мы воспользуемся структурой, созданной в предыдущей статье, и убедимся, что те же самые группы можно настроить в качестве локальных администраторов на серверах с помощью групповых политик.
Просмотр сценария
Сценарий прост. У нас многонациональная компания, использующая один домен Active Directory, а ИТ-администрирование разделено на три уровня: , которые являются администраторами домена/администраторами предприятия (и это всего лишь несколько пользователей); , которые могут управлять объектами и быть локальными администраторами на всех серверах в стране, в которой они находятся; и , которые могут управлять только на уровне своего города.
Каждая страна имеет организационную единицу на корневом уровне домена, а затем подгруппу для городов, а под ней — единицу для каждого города. В каждом городе у нас есть фактические компьютеры, серверы и пользователи, разделенные по организационным единицам. Разрешение на создание объектов на уровне Active Directory уже было настроено в предыдущей статье.
Все группы Active Directory, которым делегированы разрешения для соответствующих стран и/или городов, можно найти в разделах Global Services / Applications / ADSec Organization Unit. Их условное обозначение представляет страну и город. Когда есть только код страны, это означает, что они являются . То же правило применяется, когда префикс их группы имеет код страны + город, и в этом случае они являются .
Перед началом настройки проанализируем локальную группу администраторов любого нового сервера Windows Server 2012 R2 или Windows Server 2016, когда он присоединен к домену. По умолчанию группа будет иметь учетную запись локального администратора и группу администраторов домена из Active Directory.
Наша цель — разрешить локальное администрирование некоторых серверов, но в то же время защитить группу .
Делегирование локальных администраторов на серверы
Теперь, когда у нас есть четкое представление о том, как была построена наша структура и где находятся группы, получившие делегирование, мы воспользуемся этим знанием и надстроим разрешения, необходимые для назначения локальных администраторов серверам.
Мы собираемся использовать групповую политику в сочетании с организационными подразделениями, чтобы это произошло. Первый шаг — создать пустую групповую политику и связать ее с подразделением сервера на уровне города. Начнем с CanadaCitiesToronto Organization Unit. Мы будем использовать аналогичное соглашение об именах, чтобы упростить понимание зависимости групповых политик, групп Active Directory и организационных единиц. Соглашение об именах, которое мы будем использовать для групповых политик, — CATOR-Server Delegation, где CA представляет Канаду, TOR — Торонто. Суффикс будет одинаковым для всех местоположений.
- Войдите на контроллер домена, откройте консоль управления групповыми политиками.
- Разверните Лес: infralab.org, org и выберите Организационную единицу, где мы хотим применить новую политику. Мы будем создавать в верхней части Канады OU. Щелкните его правой кнопкой мыши, а затем выберите «Создать объект групповой политики в этом домене» и «Связать его здесь…».
- В новом окне введите имя нового GPO, в нашем случае это будет , и нажмите OK.
- Щелкните правой кнопкой мыши только что созданную групповую политику и выберите «Изменить…».
Рекомендуется щелкнуть правой кнопкой мыши имя групповой политики (первый элемент слева) и выбрать «Свойства», а на странице «Свойства» выбрать «Отключить параметры конфигурации пользователя ». Таким образом, мы гарантируем, что эта политика будет применяться только к объектам-компьютерам.
- В редакторе управления групповыми политиками разверните Конфигурация компьютера, Политики, Параметры Windows, Параметры безопасности. Щелкните правой кнопкой мыши «Группы с ограниченным доступом» и выберите «Добавить группу…».
- В новом диалоговом окне введите «Администраторы». Эта группа должна совпадать с локальным администратором на серверах/компьютерах, где будет применяться групповая политика. Затем нажмите ОК.
- В свойствах мы должны знать о некоторых ключевых моментах, прежде чем настраивать разрешения, а именно:
- Если вы используете неанглоязычную машину, обязательно введите точно такое же имя, которое соответствует «администратору» на используемом вами языке;
- Обязательно добавьте Administrator, который является локальным администратором сервера, который получит групповую политику.
- Обязательно добавьте группы Active Directory, используя DOMAINGroupName.
- Убедитесь, что вы добавили DOMAINDomain Admins в группу.
- В этом случае мы добавим администратора страны и администратора города, чтобы обеспечить согласованность разрешений.
Если мы хотим повысить уровень безопасности, у нас есть два варианта : Конфигурация компьютераПолитикиПараметры WindowsПараметры безопасностиЛокальные политикиНазначение прав пользователя.
Первый вариант — настройка Разрешить локальный вход, и все перечисленные здесь группы — единственные, которые смогут входить в консоль сервера.
Второй вариант — Разрешить вход через службы удаленных рабочих столов. Используя эту опцию, мы можем определить, какие группы могут подключаться к удаленному рабочему столу для данной службы, к которой применяется политика.
Проверка результатов
Подождите некоторое время, пока произойдет репликация между контроллерами домена, и принудительно обновите групповую политику на сервере, на котором выполняется gpupdate /force.
Результаты можно проверить с помощью compmgmt.msc, и если мы проверим членство в локальной группе администраторов, мы увидим все записи, которые мы настроили в групповой политике.
Мы закончили, и теперь ваша работа упрощается: когда на сайт прибудет новый администратор, просто добавьте пользователя в нужную группу, и это позаботится о разрешениях на всех серверах локации.