Active Directory on maailman jokaisen yrityksen IT-infrastruktuurin tärkein ydin ja ensimmäinen kerros käyttäjien ja tietokoneiden turvallisuuden, vaatimustenmukaisuuden ja automaation rakentamiseksi. Oikean infrastruktuurin luomiseksi ei tarvitse olla velho, mutta on tärkeää tuntea joitakin pieniä niksejä, jotta vältytään konfigurointiin ja turvallisuuteen liittyviltä ongelmilta.
Mikä on Active Directory?
Active Directory luotiin yli 18 vuotta sitten Windows 2000 Server -palvelimen myötä Windows NT4:ssä käyttöön otetun mallin yhdistämiseksi. AD:n ideana on tietokanta, jossa on kaikki tiedot käyttäjistä, ryhmistä, tietokoneista ja muista kohteista, jotta resurssien käyttö olisi helpompaa. Tietokannan tavoin sovellukset ja Windows-roolit pystyvät lukemaan ominaisuuksia, käyttöoikeuksia ja monia muita yksityiskohtia.
Active Directoryn tärkeä ominaisuus on mahdollisuus laajentaa skeemaa lisäämällä uusia sarakkeita, ominaisuuksia ja arvoja. Jotkin sovellukset, kuten Exchange Server, käyttävät Active Directoryta lisätäkseen komponenttejaan ja ominaisuuksiaan lukemaan ominaisuuksia ja välttääkseen tarvetta käyttää eri järjestelmiä.
Ennen konfiguroinnin aloittamista on syytä opetella pari termiä Active Directoryyn liittyen, koska ne ovat osa mallia, ja niiden tunteminen on ratkaisevaa oikean konfiguraation luomiseksi ja vianmäärityksen ymmärtämiseksi.
Metsä
Kun luodaan ensimmäinen toimialueen ohjain, on tarpeen luoda metsän nimi, joka on myös ensimmäinen toimialueen nimi (esim. contoso.com). Metsän nimi on ainutkertainen, eikä sitä pidä muuttaa, ellei kyseessä ole yksinkertainen malli, eikä muut ohjelmistot, kuten Exchange Server, tee muutoksia. Yksi metsä ei voi keskustella toisen metsän kanssa, ellei kyseessä ole luottamus (Trust); tämä on menetelmä, jolla luodaan yhteys eri yritysten välille tai kun eri infrastruktuureja fuusioidaan. Trustin avulla järjestelmät voivat lukea tietoja eri toimialueiden välillä ja määrittää käyttöoikeuksia luomatta objekteja kahteen kertaan.
Domain
Toimialueen nimi on kaiken ydin. Kun rakennat ensimmäisen toimialueen ohjaimen, valitset toimialueen nimen, ja tämä merkintä lisätään infrastruktuurisi kaikkiin resursseihin. Verkkotunnuksen nimen muuttaminen on tuettu, ellei kyseessä ole monimutkainen malli tai sovellus, joka ei tue tätä tehtävää, kuten Exchange Server. Jos haluat jakaa hallinnan tai luoda erillisen loogisen alueen, on mahdollista luoda Child Domain Name (esim. it.contoso.com); jokaisella alatoimialueella on oltava erillinen Domain Controller, ja hallinta siirretään sille. Tällöin luottamus pää- ja aluetoimialueen välille syntyy automaattisesti, mikä mahdollistaa tietojen lukemisen yli alueiden.
FSMO
Flexible Single Master Operation ovat ne 5 roolia, joissa koko AD pyörii. Kun haluat lisätä uuden toimialueohjaimen tai synkronoida ajan tai luoda uusia kohteita (esim. ryhmiä tai käyttäjiä), kutsutaan jokin näistä rooleista toimintaan. Oletusarvoisesti FSMO-roolit luodaan ensimmäiseen DC:hen, mutta ne voidaan jakaa kahteen tai kolmeen koneeseen (riippuu infrastruktuuristasi). Nämä viisi roolia ovat:
- Schema Master (Forest)
- Domain Naming Master (Forest)
- Primary Domain Controller (Domain)
- Infrastructure Master (Domain)
- RID (Domain)
Jos menetät toimialueen ohjaimen, jolla on jokin näistä rooleista, jotkin toiminnallisuudet voivat olla rajoitettuja. Ilman ensisijaista toimialueen ohjainta infrastruktuuri ei esimerkiksi pysty vastaanottamaan salasanapäivityksiä, kun tietokoneen ja käyttäjätilien salasanoja muutetaan. Lisätietoja FSMO-rooleista ja sijoituksen optimoinnista on Microsoftin artikkelissa: FSMO-roolien sijoittelu ja optimointi Active Directory -toimialueen ohjaimissa.
Globaaliluettelo
Globaaliluettelo on usean toimialueen luettelo, joka mahdollistaa kohteiden nopeamman haun ilman toimialueen nimeä. Se auttaa etsimään kohteen mistä tahansa toimialueesta käyttämällä sen osittaista, vain lukukäyttöön tarkoitettua kopiota, joka on tallennettu toimialueen ohjaimeen. Koska se käyttää vain osittaista tietoa ja joukkoa määritteitä, joita käytetään yleisimmin objektien etsimiseen kaikista toimialueista, jopa suuressa metsässä, voidaan edustaa yhdellä globaaliluettelopalvelimen tietokannalla.
Globaaliluettelo luodaan ja sitä ylläpidetään AD DS:n replikaatiojärjestelmällä. Globaaliin luetteloon kopioitavia ennalta määritettyjä attribuutteja kutsutaan nimellä Partial Attribute Set. Käyttäjät voivat lisätä tai poistaa globaaliin luetteloon tallennettuja attribuutteja ja siten muuttaa tietokannan skeemaa. Paras käytäntö on lisätä GC jokaisessa infrastruktuurin toimialueen ohjaimessa, mutta useimmissa tapauksissa tätä on parempi välttää.
DNS
Toimialueen nimijärjestelmä sisältää toimialueen nimipuun. DNS määrittää toimialueen nimet ja kuvaa nimet IP-osoitteiksi nimeämällä kullekin toimialueelle arvovaltaisen nimipalvelimen. Nämä palvelimet ovat vastuussa tietyistä verkkotunnuksista, ja ne voivat määrätä auktoritatiivisia nimipalvelimia aliverkkotunnuksille. Ilman DNS:ää koko Active Directory ei toimi, ja väärä konfigurointitietue voi estää palvelinten välisen viestinnän. Asiakkaan puolelta DNS-resolveri on vastuussa sellaisten kyselyjen käynnistämisestä ja järjestämisestä, jotka johtavat haettujen resurssien täydelliseen ratkaisemiseen. Nämä kyselyt ovat joko rekursiivisia tai ei-rekursiivisia.
Kullakin toimialueen ohjaimella tulisi olla DNS-rooli käytössä vikasietoisuuden lisäämiseksi. Kun resoluutiossa on ongelmia, on tarkistettava lokit, jotta ymmärretään, toimiiko toimialueenvalvojien välinen replika oikein.
Build Active Directory Infrastructure
Ad-infrastruktuurin luominen on erittäin helppoa, koska käytössä on loistava ohjattu toiminto. Ensimmäisessä vaiheessa lisätään roolit nimeltä Active Directory Domain Services ja DNS Server – kuva 1.
Kun asennus on valmis, voimme nostaa palvelimen Domain Controlleriksi – kuva 2.
Windows Server 2012:sta lähtien vanha dcpromo.exe on poistunut käytöstä, koska käytössä on uusi konfigurointiavain. Valitse Add a New Forest (Lisää uusi metsä) – kuva 3 – ja syötä Root Domain Name (juurialueen nimi).
Toisena vaiheena valitaan Forest/Domain Functional Level (metsän/toimialueen toiminnallinen taso); tämä on erittäin tärkeää, koska sitä ei voida alentaa käyttöönoton jälkeen, mutta sitä voidaan nostaa. Vähimmäistason tulisi olla Windows Server 2012, koska Windows Server 2008 ja 2008 R2 ovat lähellä End-of-Life-tasoa; älä unohda, että jotkin sovellukset, kuten Exchange Server 2019, vaativat vähintään Windows Server 2012 R2 -tason. Muuten, tason nostaminen ei ole ongelma, sitä tuetaan live-tilassa, mutta se on suunniteltava, jos infrastruktuurisi on monimutkainen. Päivitysjärjestys on aina sama: Forest ja myöhemmin Domain.
Kuten kuvasta 4 näkyy, ensimmäisellä Domain Controllerilla on oltava Global Catalog- ja DNS-rooli käytössä. Kirjoita Directory Services Restore Mode -salasana ja napsauta Next.
Viisas jatkaa NETBIOS-nimellä, jonka pitäisi olla sama kuin toimialueen nimi tai, jos toimialueen nimi on liian pitkä, lyhyt versio.
Polku (Path)-vaihtoehto (Path)-vaihtoehto (Path)-vaihtoehto (Path)-vaihtoehto (Path)-vaihtoehto (Path)-vaihtoehto (Path)-vaihtoehto (Path)-vaihtoehto (Path)-vaihtoehto(numero)-vaihtoehto)-vaihtoehdolla (PL)-vaihtoehdolla(d) -vaihtoehdo(d)*. Kun käytät virtuaalikonetta, voi olla parempi määrittää toinen levy (kiinteä koko), jonka koko on vähintään 5 Gt (koko riippuu siitä, kuinka suuri infrastruktuuri on). Muotoile tilavuus NTFS-muotoon ja määritä sille kirjain; muista, että ReFS ei ole tuettu. Jos aiot asentaa virustorjuntaohjelman, määritä kansion poissulkeminen, jotta tietokanta ei vahingoitu. Int theADDS Configuration Wizard, valitse uusi polku ja jatka eteenpäin.
Välilehdellä ”Review Options” (Tarkista asetukset) näytetään yhteenveto edellisistä vaiheista, ja se antaa meille mahdollisuuden korjata mahdollisia virheitä, mutta mahdollistaa myös PowerShell-skriptin luomisen siinä tapauksessa, että halutaan käyttää komentoriviä graafisen käyttöliittymän sijaan.
”Prerequisites Check” (Edellytysten tarkistus) -välilehdellä tarkistetaan, onko olemassa jokin ongelma, joka voi estää määrityksen. Jos olet luomassa ensimmäistä toimialueen ohjainta, kaikki virheet voidaan ohittaa. Napsauta Install (Asenna) -painiketta menettelyn käynnistämiseksi; suoritusaika voi muuttua infrastruktuurin ja monimutkaisuusmallin mukaan. Uudelleenkäynnistyksen jälkeen koneesi on valmis käytettäväksi Domain Controllerina.
Parhaat käytännöt
Kun suunnittelet Active Directory -infrastruktuurin rakentamista, on hyvä tietää muutamia niksejä, joilla voit välttää tietoturva- ja konfigurointiongelmat:
Nimeä Domain Admin – Ensimmäinen hyökkäyksen aloittamiseen käytetty käyttäjä on ylläpitäjä, joten ensimmäinen askeleesi on vaihtaa oletusarvoisen toimialueen ylläpitäjän nimi; käytä standardeista täysin poikkeavaa nimeä, kuten AdminContosoAD.
Kova salasana verkkotunnuksen ylläpitäjälle – Turvallisuus, turvallisuus, turvallisuus! Verkkotunnuksen ylläpitäjällä on oltava vahva salasana, ja valtuudet on varattava.
Omistetut valtuudet IT:lle – Yksi ensimmäisistä säännöistä on erottaa oletusarvoiset valtuudet hallinnasta, jotta vältetään tietoturvan eskaloituminen ulkoisen hyökkäyksen yhteydessä.
Orjoita oikeat oikeudet – Jos infrastruktuurissasi on useita ylläpitäjiä, on olennaista, että annat kullekin käyttäjälle oikeat oikeudet ja valtuudet. Kenenkään ei pitäisi olla yli toimialueen ylläpitäjiä, jotta vältytään mahdollisuudelta muuttaa AD-skeemaa tai muuttaa metsämallia.
Configure GPO – Ryhmäkäytäntöjen määrittäminen käyttäjien ja tietokoneiden mukaan mahdollistaa täydellisen rakeisuuden. Muista välttää liian montaa GPO:ta, mutta myös konsolidoida monia asetuksia yhteen GPO:hon. Älä käytä Default Domain Policy GPO:ta!
Käyttäjien vahva salasana – Ei vain toimialueen ylläpitäjälle, vaan kaikkien käyttäjien on noudatettava salasanan monimutkaisuusvaatimuksia. Jos käytät Windows 10:tä, yksi ajatus on määrittää Windows Hello for Business, joka yksinkertaistaa todennusmenetelmää heikentämättä tietoturvaa.
Enable Recycle Bin (Ota roskakori käyttöön) – Roskakori otettiin käyttöön Windows Server 2008 R2:ssa, ja se on täydellinen tapa palauttaa kohde muutamassa sekunnissa ilman AD Restore -ohjelman suorittamista.
Vähintään kaksi toimialueohjainta – Sillä ei ole väliä, jos infrastruktuurisi ei ole yritys, sinulla tulisi olla kaksi toimialueohjainta kriittisten vikojen estämiseksi.
Poista vanhentuneet kohteet – Älä unohda siivota infrastruktuuria käyttäjistä ja tietokoneista, joissa niitä ei enää ole tai tarvita. Näin vältät ongelmat tai tietoturvaongelmat.
Toimialueen ohjain ei ole tietokone – Älä asenna mitään toimialueen ohjaimen sisälle! Ei ohjelmistoja, ei kolmannen osapuolen sovelluksia, ei rooleja, ei mitään! DC:n on oltava puhdas!
Naming Convention Rule – Määrittele nimeämiskäytäntö ennen kuin rakennat infrastruktuurin, käyttäjät, asiakkaat, palvelimet, laitteet ja resurssit (ryhmät, jako jne.). Tämä auttaa sinua yksinkertaisesti hallinnoinnissa ja skaalautuvuudessa.
Patch Your DC:t – Hyökkääjät ovat nopeita hyödyntämään tunnettuja haavoittuvuuksia, mikä tarkoittaa, että sinun on aina pidettävä koneesi ajan tasalla. Suunnittele oikea aikatauluaika Windows-päivitysten asentamiselle.
Auditointi – Ota käyttöön auditointiratkaisu, jotta tiedät, kuka tekee muutoksia. Tämä ei ole GDPR-vaatimus, mutta se on myös tapa ehkäistä tietoturvaongelmia.
Parhaat käytännöt virtuaalikoneessa
On pari sääntöä, jotka on hyvä pitää mielessä, kun rakennat toimialueenohjaimen virtuaalikoneeseen:
Virtualisoitu DC on tuettu – Windows Server 2012:sta alkaen, kun siihen lisättiin uusi ominaisuus nimeltä VM Generation-ID, tuetaan toimialueenohjaimen asentamista virtuaalikoneena. Pitäisikö käyttää fyysistä DC:tä? Riippuu infrastruktuurista, mutta suurimmassa osassa yrityksiä vastaus on ei. Tärkeää on määrittää Käynnistystoiminnoksi Aina Käynnistä 0 sekunnissa.
Ei tarkistuspisteitä virtualisoidulle – DC:n tarkistuspisteitä tuetaan nyt, mutta voisi olla parempi välttää tätä toimintoa.
Aikasynkronoinnin poistaminen käytöstä – Toimialueen ohjaimet odottavat olevansa paikallisen aikahierarkian kärjessä, ja Hostin aikasynkronointipalvelun jättäminen pois käytöstä saa aikaan sen, että se ohittaa minkä tahansa muun lähteen, joka on määritetty Windows-aikapalvelun kohdalle, ja tämä voi aiheuttaa ongelmia.
Älä aseta toimialueohjaimia tallennettuun tilaan – Kun virtuaalikone jatkuu tallennetusta tilasta tai palautetaan tarkistuspisteeseen, ainoa asia, joka takuuvarmasti korjaa sen kellon, on Time Synchronization Service. Mutta kuten yllä olevasta tiedät, sitä ei voi ottaa käyttöön virtualisoiduissa toimialueohjaimissa. Jos sen kello vinoutuu liikaa, se ei ehkä koskaan korjaa itseään automaattisesti.
Do Not Convert Domain Controller – Sillä ei ole väliä, onko sinulla fyysinen vai virtuaalinen DC, convert on väärä eikä sitä tueta. Jos haluat siirtyä VMwaresta Hyper-V:hen, Domain Controller on asennettava uudelleen nollasta; sama asia, jos sinulla on fyysinen DC.
Upgrade in Place – Kuten konvertointi, myös upgrade in place ei ole tuettu, joten jos haluat asentaa uuden Windows Server -version, suunnittele uuden koneen käyttöönotto, lisää se AD Forestiin, siirrä FSMO-roolit ja alenna vanhin Domain Controller. Muuta tapaa ei ole!
Replica – Replicaa ei tulisi käyttää useimmissa tapauksissa. Jos sinulla on syrjäinen Disaster Recovery -sivusto, voisi olla paljon parempi konfiguroida toinen Domain Controller ja käyttää AD Replica -järjestelmää, koska se on parempi.
Harkinta
Nyt sinulla on kaikki tiedot, joilla voit konfiguroida Active Directory -hakemistosi tärkeimpien parhaiden käytäntöjen avulla luodaksesi loistavan infrastruktuurin ja välttyäksesi turvallisuusongelmilta. Kuten tavallista, lue dokumentaatio ennen minkään toiminnan aloittamista.
(espanja, portugali (Brasilia))