Active Directory je hlavním jádrem IT infrastruktury každé společnosti na světě a první vrstvou pro budování zabezpečení, shody, automatizace pro uživatele a počítače. Pro vytvoření správné infrastruktury není nutné být kouzelníkem, ale je důležité znát několik drobných triků, abyste se vyhnuli problémům s konfigurací a zabezpečením.
Co je Active Directory?
Active Directory vznikla před více než 18 lety se systémem Windows 2000 Server, aby konsolidovala model zavedený ve Windows NT4. Myšlenkou služby AD je databáze se všemi informacemi o uživatelích, skupinách, počítačích a dalších položkách, která má zjednodušit přístup ke zdrojům. Stejně jako databáze mohou aplikace a role systému Windows číst vlastnosti, oprávnění a mnoho dalších podrobností.
Důležitou vlastností služby Active Directory je možnost rozšíření schématu o nové sloupce, vlastnosti a hodnoty. Některé aplikace, jako například Exchange Server, využívají službu Active Directory k přidávání svých součástí a funkcí, aby mohly číst vlastnosti a nemusely používat různé systémy.
Před zahájením konfigurace je nutné se naučit několik pojmů týkajících se služby Active Directory, protože jsou součástí modelu a jejich znalost je rozhodující pro vytvoření správné konfigurace a pochopení způsobu řešení problémů.
Forest
Při vytváření prvního řadiče domény je nutné vytvořit název doménové struktury, který je zároveň prvním názvem domény (např. contoso.com). Název doménové struktury je jedinečný a neměl by se měnit, pokud se nejedná o jednoduchý model a nejsou prováděny žádné změny jiným softwarem, například Exchange Serverem. Jedna doménová struktura nemůže komunikovat s jinou doménovou strukturou, pokud není vytvořen Trust; to je metoda pro vytvoření spojení mezi různými společnostmi nebo při sloučení různých infrastruktur. Trust umožňuje systémům číst informace napříč doménami a přidělovat oprávnění bez nutnosti vytvářet objekty dvakrát.
Doména
Jméno domény je srdcem všeho. Při vytváření prvního řadiče domény vyberete název domény a toto označení bude přidáno ke všem prostředkům vaší infrastruktury. Změna názvu domény je podporována, pokud se nejedná o složitý model nebo aplikaci, která tuto úlohu nepodporuje, například Exchange Server. Chcete-li rozdělit správu nebo vytvořit oddělenou logickou oblast, existuje možnost vytvořit název podřízené domény (např. it.contoso.com); každá podřízená doména musí mít samostatný řadič domény a správa je delegována na ně. V tomto případě se automaticky vytvoří důvěryhodnost mezi hlavní a dílčí doménou, což umožní načítat informace napříč oblastmi.
FSMO
Flexible Single Master Operation je 5 rolí, ve kterých se točí celá služba AD. Když chcete přidat nový řadič domény nebo synchronizovat čas či vytvořit nové položky (např. Skupiny nebo Uživatelé), je v akci vyvolána jedna z těchto rolí. Ve výchozím nastavení jsou role FSMO vytvořeny v prvním DC, ale lze je rozdělit na dva nebo tři stroje (záleží na vaší infrastruktuře). Těchto 5 rolí je:
- Schema Master (doménová struktura)
- Domain Naming Master (doménová struktura)
- Primární řadič domény (doména)
- Infrastructure Master (doména)
- RID (doména)
Pokud ztratíte řadič domény s jednou z těchto rolí, mohou být některé funkce omezeny. Například bez primárního řadiče domény není infrastruktura schopna přijímat aktualizace hesel při změně hesel pro počítač a pro uživatelské účty. Další informace o rolích FSMO a o optimalizaci jejich umístění naleznete v článku společnosti Microsoft:
Globální katalog
Globální katalog je multidoménový katalog, který umožňuje rychlejší vyhledávání objektů bez nutnosti zadávat název domény. Pomáhá při vyhledávání objektu z libovolné domény pomocí jeho částečné repliky určené pouze pro čtení, která je uložena v řadiči domény. Protože využívá pouze částečné informace a sadu atributů, které se nejčastěji používají pro vyhledávání objektů ze všech domén, může být i ve velké doménové struktuře reprezentován jedinou databází serveru globálního katalogu.
Globální katalog je vytvářen a udržován replikačním systémem AD DS. Předdefinované atributy, které se kopírují do globálního katalogu, jsou známy jako dílčí sada atributů. Uživatelé mohou přidávat nebo odstraňovat atributy uložené v globálním katalogu a měnit tak schéma databáze. Nejlepším postupem je přidat globální katalog v každém řadiči domény infrastruktury, ale ve většině případů je lepší se tomu vyhnout.
DNS
Systém doménových jmen obsahuje strom doménových jmen. Systém DNS přiřazuje názvy domén a mapuje názvy na IP adresy určením autoritativního jmenného serveru pro každou doménu. Tyto servery jsou zodpovědné za konkrétní domény a mohou přiřazovat autoritativní jmenné servery subdoménám. Bez systému DNS selže celá služba Active Directory a špatný konfigurační záznam může zablokovat komunikaci serverů. Ze strany klienta je resolver DNS zodpovědný za iniciaci a sekvenci dotazů, které vedou k úplnému rozlišení hledaných prostředků. Tyto dotazy jsou buď rekurzivní, nebo nerekurzivní.
Každý řadič domény by měl mít povolenou roli DNS, aby se zvýšila odolnost proti chybám. Při problému s rozlišením je nutné zkontrolovat protokoly, aby bylo jasné, zda replika mezi řadiči domény funguje správně.
Vytvoření infrastruktury služby Active Directory
Vytvoření infrastruktury služby AD je velmi snadné, protože existuje skvělý průvodce. Prvním krokem je přidání rolí s názvy Active Directory Domain Services a DNS Server – obrázek 1.
Po dokončení instalace můžeme server povýšit na řadič domény – obrázek 2.
Po dokončení instalace můžeme server povýšit na řadič domény.
Od systému Windows Server 2012 je starý soubor dcpromo.exe zastaralý, protože existuje nový průvodce konfigurací. Vyberte možnost Přidat novou doménovou strukturu – obrázek 3 – a zadejte název kořenové domény.
Druhým krokem je výběr funkční úrovně doménové struktury/domény; to je velmi důležité, protože po nasazení ji nelze snížit, ale lze ji zvýšit. Minimální úroveň by měla být Windows Server 2012, protože Windows Server 2008 a 2008 R2 se blíží konci životnosti; nezapomeňte, že některé aplikace, například Exchange Server 2019, vyžadují úroveň alespoň Windows Server 2012 R2. Mimochodem, zvýšení úrovně není problém, je podporováno v režimu ostrého provozu, ale musí být naplánováno v případě, že je vaše infrastruktura složitá. Pořadí upgradu je vždy stejné: doménová struktura a později doména.
Jak vidíte na obrázku 4, první řadič domény musí mít povolenou roli Global Catalog a DNS. Zadejte heslo režimu obnovení adresářových služeb a klikněte na tlačítko další.
Průvodce pokračuje názvem NETBIOS, který by měl být shodný s názvem domény, nebo v případě, že je název domény příliš dlouhý, jeho zkrácenou verzí.
Cesta je při vytváření DC velmi důležitá, protože musí být dokonale nakonfigurována. Při použití virtuálního počítače by bylo lepší nakonfigurovat další disk (pevné velikosti) o velikosti alespoň 5 GB (velikost závisí na tom, jak velká je infrastruktura). Svazek naformátujte jako NTFS a přiřaďte mu písmeno; nezapomeňte, že systém ReFS není podporován. Pokud plánujete instalaci antiviru, nakonfigurujte vyloučení složek, aby nedošlo k poškození databáze. Int Průvodce konfiguracíADDS, vyberte novou cestu a pokračujte.
Karta „Možnosti revize“ zobrazuje souhrn předchozích kroků a dává nám možnost opravit případné chyby, ale umožňuje také vygenerovat skript PowerShell v případě, že chceme místo grafického rozhraní použít příkazový řádek.
Záložka „Kontrola předběžných podmínek“ ověřuje, zda neexistuje problém, který by mohl zablokovat konfiguraci. Pokud vytváříte první řadič domény, lze všechny chyby přeskočit. Klepnutím na tlačítko Instalovat zahájíte postup; doba provádění se může měnit v závislosti na infrastruktuře a modelu složitosti. Po restartu bude váš počítač připraven k použití jako řadič domény.
Nejlepší praxe
Pokud plánujete vytvořit infrastrukturu služby Active Directory, je dobré znát několik triků, jak se vyhnout problémům se zabezpečením a konfigurací:
Pojmenování správce domény – prvním uživatelem, který se používá pro zahájení útoku, je správce, proto je vaším prvním krokem změna výchozího jména správce domény; použijte pojmenování zcela odlišné od standardů, například AdminContosoAD.
Silné heslo pro doménového administrátora – Bezpečnost, bezpečnost, bezpečnost! Správce domény musí mít silné heslo a pověření musí být vyhrazena.
Vyhrazená pověření pro IT – Jedním z prvních pravidel je oddělení výchozích pověření od správy, aby se zabránilo eskalaci zabezpečení v případě vnějšího útoku.
Přiřazení správných oprávnění – Pokud máte v infrastruktuře více správců, je zásadní přiřadit každému uživateli správná oprávnění a pověření. Nikdo by neměl být nad doménovými administrátory, aby se zabránilo možnosti změnit schéma AD nebo upravit model doménové struktury.
Konfigurace GPO – Konfigurace zásad skupiny podle uživatelů a počítačů, to umožňuje dokonalou granularitu. Nezapomeňte se vyhnout příliš mnoha GPO, ale také sloučit mnoho nastavení do jednoho GPO. Nepoužívejte GPO Default Domain Policy!“
Složitá hesla pro uživatele – Nejen pro správce domény, všichni uživatelé musí dodržovat požadavky na složitost hesla. Pokud používáte systém Windows 10, jedním z nápadů je nakonfigurovat funkci Windows Hello for Business, která zjednoduší způsob ověřování, aniž by snížila zabezpečení.
Povolit koš – Koš byl zaveden v systému Windows Server 2008 R2 a je to dokonalý způsob, jak obnovit položku během několika sekund, aniž by bylo nutné spouštět obnovení AD.
Nejméně dva řadiče domény – Nezáleží na tom, zda vaše infrastruktura není podniková, měli byste mít dva řadiče domény, abyste předešli kritickému selhání.
Odstranění zastaralých položek – Nezapomeňte vyčistit infrastrukturu od uživatelů a počítačů, kde již nejsou přítomni nebo nejsou potřeba. Předejdete tak problémům nebo problémům se zabezpečením.
Řadič domény není počítač – Do řadiče domény nic neinstalujte! Žádný software, žádné aplikace třetích stran, žádné role, nic! DC musí být čistý!
Pravidlo pro pojmenování – Před sestavením infrastruktury, uživatelů, klientů, serverů, zařízení a prostředků (skupiny, sdílení, další) definujte konvenci pro pojmenování. To vám pomůže k jednoduché správě a škálovatelnosti.
Záplatujte své DC – Útočníci rychle využívají známé zranitelnosti, to znamená, že musíte svůj stroj vždy aktualizovat. Naplánujte si správný časový plán pro instalaci aktualizací systému Windows.
Audit – Nasaďte řešení pro audit, abyste věděli, kdo provádí změny. Nejedná se o požadavek GDPR, ale je to také způsob, jak předcházet problémům se zabezpečením.
Nejlepší praxe virtuálního počítače
Při sestavování řadiče domény ve virtuálním počítači je třeba mít na paměti několik pravidel:
Podporována je virtualizace DC – Od systému Windows Server 2012, kdy byla přidána nová funkce nazvaná VM Generation-ID, je podporována instalace řadiče domény jako virtuálního počítače. Měl by být použit fyzický DC? Záleží na infrastruktuře, ale pro většinu společností je odpověď ne. Důležité je nakonfigurovat akci Start jako Vždy spustit za 0 sekund.
Neprovádět kontrolní body virtualizovaného – kontrolní body pro DC jsou nyní podporovány, ale mohlo by být lepší se této operaci vyhnout.
Zakázat synchronizaci času – řadiče domény očekávají, že jsou na vrcholu hierarchie místního času, a ponechání služby synchronizace času hostitele způsobí, že bude přepsán jakýkoli jiný zdroj nastavený pro službu času systému Windows, a to by mohlo způsobit problémy.
Neumisťujte řadiče domény do uloženého stavu – Když se virtuální počítač obnoví z uloženého stavu nebo je vrácen do kontrolního bodu, jediná věc, která zaručeně opraví jeho hodiny, je služba synchronizace času. Tu však, jak víte z výše uvedeného, nelze na virtualizovaných řadičích domény povolit. Pokud se jeho hodiny příliš vychýlí, nemusí se nikdy automaticky opravit.
Nepřevádět řadič domény – nezáleží na tom, zda máte fyzický nebo virtuální DC, převod je špatný a není podporován. Pokud chcete přejít z VMware na Hyper-V, je nutné řadič domény přeinstalovat od nuly; totéž platí, pokud máte fyzický DC.
Upgrade na místě – Stejně jako konverze není podporován upgrade na místě, takže pokud chcete nainstalovat novou verzi Windows Serveru, naplánujte nasazení nového stroje, přidejte do doménové struktury AD, přesuňte role FSMO a nejstarší řadič domény degradujte. Jiná cesta neexistuje!“
Replika – Replika by se ve většině případů neměla používat. Pokud máte vzdálenou lokalitu pro zotavení po havárii, mohlo by být mnohem lepší nakonfigurovat jiný řadič domény a použít systém repliky AD, protože je lepší.
Odůvodnění
Teď máte všechny informace ke konfiguraci služby Active Directory s nejdůležitějšími osvědčenými postupy, abyste vytvořili skvělou infrastrukturu a vyhnuli se problémům se zabezpečením. Jako obvykle si před zahájením jakékoli činnosti přečtěte dokumentaci.
(španělsky, portugalsky (Brazílie))