Руководство по созданию и настройке управляемого домена доменных служб azure active directorytutorial: create and configure an azure active directory domain services managed domain

Разрешения перемещения объектов между подразделениями

«Поддержка»«Computers»особых задач для делегирования«этой папкой, существующими в ней объектами и созданием новых объектов в этой папке»«только следующим объектам в этой папке»«Компьютер объектов»«Удалить из этой папки выбранные объекты»Рис. 15. Страница создания особой задачи для делегирования«Разрешения»«Запись»«Computers»«Active Directory — пользователи и компьютеры»,«Клиенты»«Безопасность»«Добавить»«Элемент разрешения для Computers»«Выберите субъект»«Поддержка»«Применяется к»«Этот объект и все дочерние объекты»«Создание объектов: Компьютер»Элемент разрешения для «Клиенты»Рис. 16. Добавление разрешений для создания объектов компьютеров

Поднятие домена

Наступило время заняться серьезным делом — поднимать домен. Ты знаешь, почему у Буратино дерево не выросло? Потому что бестолковая лиса Алиса сказала ему не ту команду: вместо «Preks-Feks-Peks» нужно было набирать в командной строке «DCPROMO», и тогда даже не дерево — целый лес бы вырос.

Поехали.

  • Start —> Run, в строке Open набираем «dcpromo» — попадаем на Active Directory Installation Wizard.
  • Нажимаем Next, внимательно читаем предупреждение о том, что старые оси Windows 95 и Windows NT4 не смогут подключиться к домену, который работает под управлением Win2k3 Server.
  • На следующей страничке выбираем Domain controller for a new Domain, затем Next (соглашаемся на создание нового леса).
  • Далее предлагается сконфигурить DNS (ну не работает AD без DNS) — соглашаемся.
  • Далее нас предупредят о необходимости откорректировать сетевые параметры, в ответ залезь в свойства протокола TCP/IP, в поле Preferred DNS Server укажи IP-адрес своего же сервера.
  • Теперь необходимо придумать имя этому новому домену.

А сейчас лирическое отступление.

  • Но мы рассматриваем ситуацию, когда домен поднимается в локальной небольшой сети, так что назначаем любое имя («rogaikopita»). Я, например, обхожусь двухбуквенным именем. Соответственно, и DNS зона, которую поднимем, будет кукольной.
  • Итак, имя нашли. В ответ пришло гнусное предупреждение о том, что имя должно походить на domain.microsoft.com — проигнорируем, нажимаем Yes.
  • После минуты обиженного молчания Windows соглашается с нашим именем и даже угодливо предлагают свой вариант Domain NetBIOS Name — соглашаемся.
  • Далее следует создание каталогов для размещения базы данных AD. Существует мнение, что базу NTDS лучше не держать на системном диске, чтобы не снижать быстродействие. Когда в AD сидит 10 000 пользователей, это заметно, но в нашей провинциальной сети на 10-100 пользователей особого простора в скорости мы не заметим, так что оставляем все по умолчанию.
  • Держать на системном диске каталог SYSVOL тоже не рекомендуется. Далее получаем сообщение об ошибке настройки зоны DNS — выбираем пункт «I will correct the problem later by configuring DNS manually» (Advanced).
  • Теперь нарываемся на очередную швабру — Permission. Нужно честно ответить на вопрос о том, есть ли в сети машины под управлением старых операционок или только под Windows 2000 и выше. В нашей организации все круто, у всех пользователей стоит XP или Win2K, поэтому выбираем следующий вариант: Permission compatible only with Windows 2000…
  • Далее вводим пароль для режима восстановления (этот режим — отдельная тема политики безопасности). В следующем окне читаем о том, что уже натворил, давим Next и идем спать, ибо начинается шаманский танец «Конфигурирование Active Directory».
  • После просмотра танца: Finish —> Restart now…

Делегирование объектов Active Directory

Более чем очевидно, что практически в каждой организации ИТ-подразделение включает в себя нескольких администраторов, и различные административные задачи должны быть распределены среди администраторов, либо, скажем, среди членов службы поддержки. Например, как в данном примере, скажем сотрудники подразделения поддержки должны вносить компьютеры в домен. Однако такая группа пользователей не должна иметь возможности выполнять остальные операции, помимо тех, которые вы хотите им разрешить.
А вот те разрешения, которые можно назначать пользователям, группам или компьютерам, иначе говоря принципалам безопасности, называются записями контроля доступа (Access Control Entry, ACE). Следовательно, с помощью ACL модифицируются разрешения доступа для объекта. Списки ACL вы можете просматривать непосредственно при помощи таких оснасток как «Active Directory – пользователи и компьютеры», «Центр администрирования Active Directory», а также в таких оснастках и средствах как «Active Directory – Сайты и службы», «Редактор ADSI», а также «LDP» (некоторые средства будут подробнее рассмотрены далее в данной статье). Если же говорить о разрешениях контроля доступа к объектам AD, то сразу следует отметить, что они разделены на стандартные разрешения и на особые разрешения. Особые разрешения представляют собой гранулированные опции, которые применяются к конкретному объекту, а стандартные разрешения доступа уже составляются из набора особых разрешений, которые разрешают, либо, наоборот, запрещают определенную функцию. Исключительно в качестве примера можно выделить такое стандартное разрешение как чтение, ведь на самом деле оно включает в себя записи таких особых разрешений как чтение разрешений, список содержимого, а также прочитать все свойства. Но это уже совсем другая тема.
Собственно, все записи ACE располагаются в дискреционном списке контроля доступа, иначе говоря, в оригинале это звучит как Discretionary Access Control List, или же, проще говоря, в списке DACL. Это список записей управления доступом, определяющий разрешения доступа для каждого принципала безопасности к объекту. В свою очередь, каждый принципал безопасности, который добавляется в объект, получает список разрешений, в котором указано, что конкретный пользователь либо группа пользователей может выполнять конкретные операции с самим объектом. Здесь всегда следует помнить то, что записи ACE, которые были назначены явным образом, всегда будут оцениваться перед унаследованными записями ACE. А также всегда следует учитывать то, что запрещающие записи всегда будут превалировать над разрешающими.
Сам по себе список DACL является составляющей списка ACL самого объекта, который еще содержит системный список контроля доступа, другими словами System Access Control List, SACL. Этот список определяет параметры аудита для объекта, включая все принципалы безопасности и операции, для которых должен выполняться аудит.
Таким образом, возвращаясь к самой теме данного раздела, делегированием административных задач называется наследование разрешений родительского объекта для принципала безопасности, созданного в Active Directory.

Репликация в Active Directory

В каталоге хранятся сведения трех типов: данные домена, данные схемы и данные конфигурации. Данные домена реплицируются на все контроллеры домена. Все контроллеры домена равноправны, т.е. все вносимые изменения с любого контроллера домена будут реплицированы на все остальные контроллеры домена Схема и данные конфигурации реплицируются на все домены дерева или леса. Кроме того, все объекты индивидуального домена и часть свойств объектов леса реплицируются в ГК. Это означает, что контроллер домена хранит и реплицирует схему для дерева или леса, информацию о конфигурации для всех доменов дерева или леса и все объекты каталога и свойства для собственного домена.

Контроллер домена, на котором хранится ГК, содержит и реплицирует информацию схемы для леса, информацию о конфигурации для всех доменов леса и ограниченный набор свойств для всех объектов каталога в лесу (он реплицируется только между серверами ГК), а также все объекты каталога и свойства для своего домена.

Доменные службы Active Directory сейчас недоступны на принтере что делать

Каждому уважающему себя компьютерному пользователю приходилось хоть раз в жизни подключать принтер к компьютеру, возможно у вас нет своего, но просили это сделать соседи или друзья.

И вы согласились, хотя никогда не сталкивались ранее с этой процедурой. На физическом уровне вы все сделали правильно, но при попытке распечатать что-нибудь система выдает ошибку «Доменные службы Active Directory сейчас недоступны».

Что делать в этой ситуации вы наверняка не знаете. Эта статья призвана помочь вам в этом.

Устраняем ошибку на принтере

Причины, по которым не работает принтер

Одна из самых вероятных причин – не запущена специальная служба, которая относится только к принтеру «Active Directory», а также сопутствующий ей диспетчер очереди.

Иногда, особенно на старых устройствах, эту службу приходится запускать самостоятельно, вручную.

Другая причина – это драйвера принтера, они могут быть установлены неправильно из-за чего соответствующие службы не запускаются.

Важно обратить внимание и на саму операционную систему. Для подключаемых устройств она имеет некоторое ПО, которое обеспечивает работу с конкретными устройствами, в нашем случае с принтером. А также проверить сам компьютер и его USB-порты на работоспособность

А также проверить сам компьютер и его USB-порты на работоспособность.

Правильно добавляем принтер

Мало кто читает инструкции, как правильно подключить или установить новое оборудование, прежде, чем это сделать. Многие пытаются справиться при помощи своей интуиции и лишней самоуверенности.

А к инструкции, обычно, прибегают уже тогда, когда появляется например ошибка «Доменные службы Active Directory сейчас недоступны».

Давайте узнаем от поставщика ОС Windows – компании Microsoft, как правильно добавлять принтер в устройства операционной системы.

  1. Подключите штекер к USB-порту на компьютере и включите принтер соответствующей кнопкой.
  2. Нажмите меню «Пуск» и выберите «Панель управления», затем откройте раздел «Устройства и принтеры».

    Добавляем принтер в систему

  3. В этом менеджере установок принтера нажмите кнопку «Установить локальный принтер».
  4. Далее выберите страницу «Порт принтера» укажите «Использовать существующий» и рекомендуемый, после чего нажмите «Далее».
  5. Следующая страницу установка драйвера, выберите нужную опцию и модель, затем «Далее». В том случае, если нужный драйвер вам не предоставлен, нажмите «Центр обновления Windows», после этого система проверит наличие подходящего.
  6. Если устройство система автоматически не определила, нажмите «Добавить устройство».

Полезной будет инструкция: Как подключить принтер к компьютеру через Wi-Fi.

Устраняем ошибку «Доменные службы недоступны» на принтере

Прежде, чем разбираться в ошибке Active Directory, убедитесь, что порты, в которые вы подключаете принтер, в рабочем состоянии, а также провод, при помощи которого устройство соединяется с компьютером.

Убедиться нужно и в работоспособности самого устройства. Если у вас есть возможность – подключите к своему компьютеру другой принтер, одолжив его у соседа или друзей.

В любом случае вы должны быть на 100% уверены, что устройства в ремонте не нуждаются и проблема на программном уровне.

  • Запустите диагностику устройства, которое поможет определить проблему на уровне операционной системы. Для этого откройте проводник и на устройстве нажмите правой кнопкой мыши, выберите «Устранение неполадок».Пункт меню принтера «Устранения неполадок»
  • Следующим вариантом будет переустановить устройство. Для этого снова нажмите ПКМ в проводнике Виндовс и выберите «Удалить устройство». Затем установите его заново. Драйвера при этом также должны быть удалены из системы и переустановлены.
  • В «Панели управления» выберите «Безопасность» и «Брандмауэр Windows», откройте слева пункт «Устранение неполадок сети». В последней строчке должно быть ваше устройство – принтер. Нажмите на него и следуйте дальнейшим инструкциям.
  • Откройте службы Windows. Запустите командную строку или нажмите WIN+R. Впишите здесь команду «services.msc». В открывшемся списке найдите службу «Диспетчер печати». Если она остановлена – запустите ее или просто перезапустите, нажав сначала «Остановить», а затем «Запустить».Службы «Диспетчер печати»
  • Далее откройте «Диспетчер устройств» и найдите среди списка ваш принтер. Нажмите на него и удалите все драйвера в нем. Можно просто их обновить, нажав в выпавшем меню «Свойства» и соответствующий пункт. Или нажмите первый пункт меню, при нажатии ПКМ – «Обновить драйвера».

Active Directory и LDAP

Упрощенный протокол доступа к каталогам (Lightweight Directory Access Protocol, LDAP) — стандартный протокол Интернет соединений в сетях TCP/IP. LDAP спроектирован специально для доступа к службам каталогов с минимальными издержками. В LDAP также определены операции, используемые для запроса и изменения информации каталога.

Клиенты Active Directory применяют LDAP для связи с компьютерами, на которых работает Active Directory, при каждом входе в сеть или поиске общих ресурсов. LDAP упрощает взаимосвязь каталогов и переход на Active Directory с других служб каталогов. Для повышения совместимости можно использовать интерфейсы служб Active Directory (Active Directory Service- Interfaces, ADSI).

Объекты групповой политики

Групповая политика позволяет администраторам управлять компьютерами и пользователями в Active Directory. Она состоит из нескольких частей и в большой компании может оказаться сложной в использовании без привлечения сторонних инструментов.

Групповые политики сохраняются как объекты групповой политики (GPO), которые затем связываются с объектами Active Directory. Дело в том, что групповые политики могут включать параметры безопасности, разделы реестра, правила установки программного обеспечения, сценарии для запуска и завершения работы, а члены домена обновляют параметры групповой политики по умолчанию каждые 90 минут на своих машинах и каждые 5 минут на контроллере домена.

В большинстве случаев в домене точно настроены:

  • один объект групповой политики, определяющий обязательный пароль, Kerberos и политики всего домена;
  • один объект групповой политики, настроенный для подразделения контроллеров домена;
  • один объект групповой политики, настроенный для подразделения серверов и рабочих станций.

Посмотреть групповые политики можно в окне «Диспетчер серверов → Управление групповой политикой».

Управление групповой политикой

Файлы, которые содержат параметры политики («Шаблон групповой политики») расположены по пути на контроллере домена.

Шаблон групповой политики

Используя PowerShell Active Directory , можно проверить наличие объекта групповой политики и его ключевые поля, интересующие нас.

Использование Get-ADObject для получения основной информации об объекте групповой политики

Использование Get-ADObject для получения ключевой информации об объекте групповой политики

При создании объекта групповой политики он может быть как связан, так и не связан с каким-либо объектом Active Directory. Если такая связь существует, атрибут этого объекта будет обновлен и в него будет добавлено значение групповой политики. По этому признаку можно определить, какие групповые политики применяются к данному объекту Active Directory.

Если мы перейдем в любую директорию объекта групповой политики, то есть в , то обнаружим следующие вложенные объекты:

  1. — директория с настройками машины для объекта групповой политики.
  2. — директория с пользовательскими настройками для объекта групповой политики.
  3. — файл, который содержит параметры конфигурации объекта групповой политики.

Содержимое директории объекта групповой политики

Групповая политика была создана, чтобы упростить управление ресурсами в домене, однако злоумышленник также может использовать ее возможности для своих целей. К примеру, таким образом можно подменить программы, создать запланированные задачи, добавить новую локальную учетную запись на все компьютеры. Также приведу список интересных возможностей, которыми лично пользовался сам или видел, как пользовались другие операторы.

  1. Использование сценариев PowerShell или VBS для настройки членства в группах на уровне домена.
  2. Запуск Invoke-Mimikatz на всех контроллерах домена в качестве SYSTEM через определенный промежуток времени (например, раз в три дня).
  3. Получение учетной записи , а затем планирование задачи запуска DCSync на определенных машинах во всем лесу с использованием поддельных билетов Kerberos.
  4. Установка RAT и добавление исключения в антивирусные правила в домене или лесу.

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score!
Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя!
Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.

Я уже участник «Xakep.ru»

Пароли из SYSVOL и GPP

На каждом компьютере с Windows, который работает в сети с Active Directory, имеется встроенная учетная запись администратора, защищенная паролем. Одно из стандартных требований безопасности — регулярно менять этот пароль. Казалось бы, задача несложная. Но только не когда в сети насчитывается под сотню машин.

Чтобы облегчить себе жизнь, ленивые системные администраторы иногда используют групповые политики для установки пароля локального администратора на большом количестве рабочих станций. Это довольно удобно, да и заменить такой пароль, когда придет срок, можно за пару минут. Одна незадача: на всех компьютерах пароль локального админа будет одинаковый.

Из этого следует вывод: получение учетных данных администратора на одной из машин сделает злоумышленника админом сразу на всех. Рассмотрим два способа добиться такого результата.

Учетные данные в SYSVOL

SYSVOL — это общедоменный ресурс Active Directory, к которому у всех авторизованных пользователей есть доступ на чтение. SYSVOL содержит сценарии входа, данные групповой политики и другие данные, которые должны быть доступны везде, где распространяется политика домена. При этом SYSVOL автоматически синхронизируется и используется всеми контроллерами домена. Все групповые политики домена хранятся по адресу

Чтобы упростить управление локальной учетной записью администратора на удаленных компьютерах с Windows, для каждой из них можно использовать собственный сценарий смены пароля. Проблема в том, что часто пароль хранится в виде открытого текста в скрипте (например, в файле VBS), который, в свою очередь, находится в SYSVOL. Вот пример одного из результатов поиска сценария VBS, меняющего пароль локального администратора на сетевых машинах.

Пример VBS-скрипта с официального сайта MSDN

Этот сценарий доступен в галерее Microsoft TechNet, из-за чего нередко используется системными администраторами, которые предпочитают готовые решения. Извлечь из него пароль не составляет никакого труда. А поскольку скрипт хранится в SYSVOL, к которому у каждого пользователя домена есть доступ для чтения, наличие пароля автоматически превращает его обладателя в локального администратора на всех сетевых машинах с виндой на борту.

Настройки групповой политики

В 2006 году инструмент PolicyMaker от Microsoft Bought Desktop Standard был переименован и выпущен вместе с Windows Server 2008 как Group Policy Preferences (GPP, «предпочтения групповой политики»). Одна из наиболее полезных функций GPP — возможность создавать локальных пользователей, настраивать и изменять их учетки, а также сохранять учетные данные в нескольких файлах сценариев:

  • карта дисков (Drives.xml);
  • источники данных (DataSources.xml);
  • конфигурация принтера (Printers.xml);
  • создание/обновление сервисов (Services.xml);
  • запланированные задачи (ScheduledTasks.xml).

Инструмент, безусловно, полезный: с его помощью можно автоматизировать многие рутинные действия. Например, GPP позволяет использовать групповую политику для выполнения запланированных задач с заданными учетными данными, а также при необходимости менять пароли локального администратора на большом количестве компьютеров.

Теперь давай посмотрим, как эта штука работает. При создании нового предпочтения групповой политики в SYSVOL генерируется связанный XML-файл с соответствующими данными конфигурации. Если в ней указан пароль пользователя, он будет зашифрован AES 256 бит. Но в 2012 году Microsoft опубликовала в MSDN ключ AES, который можно использовать для расшифровки пароля.

Ключ шифрования, представленный MSDN

Иными словами, любой авторизованный в домене юзер может найти в общем ресурсе SYSVOL файлы XML, содержащие cpassword, то есть зашифрованный пароль AES.

Пример содержимого файла Groups.xml

Быстро найти эти значения можно следующей командой:

Для расшифровки пароля можно воспользоваться инструментом Cryptool, при этом нужно в ручном режиме декодировать Base64 и указать ключ с MSDN (подробная инструкция по расшифровке приведена в статье на Хабре). Существует и полностью автоматизированное средство под названием gpp-decrypt, которое требует только значение cpassword и уже предустановлено в Kali Linux. Аналогичная утилита для Windows называется Get-GPPPassword, ее можно отыскать в наборе программ PowerSploit.

Ну а для очень ленивых есть модуль из набора Metasploit. Этот инструмент попросит указать только учетные данные пользователей и адрес контроллера домена.

Так мы можем получить пароль локального администратора, и в большинстве случаев он будет работать на всех компьютерах домена.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *