Критерии качественной настройки Active Directory

Наиболее заметное предназначение Active Directory – централизованная аутентификация пользователей. Именно благодаря Active Directory сотрудникам компании для доступа ко всем внутренним ресурсам корпоративной сети достаточно знать один логин и пароль, а не десяток.

Но централизованная аутентификация – это не самый ценный функционал Active Directory.  Куда более значимая, хоть и куда менее заметная роль Active Directory – это централизованное применение настроек к компьютерам, серверам и рабочему окружению пользователей. Данный функционал впервые появился еще в 1996 году в операционной систем Windows NT и назывался он тогда System Policy. В настоящее время этот функционал серьезно расширился и теперь называется Групповыми политиками (Group Policy). Через групповые политики можно настроить практически все параметры в операционных систем Windows, а разработчики приложений под Windows выпускают специальные Административные шаблоны, позволяющие через групповые политики настраивать в том числе и их приложения.

К сожалению, редко в какой компании возможности Active Directory применяются на полную катушку, а еще реже – применяются корректно. Часто можно встретить домен Active Directory в котором все учетные записи размещаются в контейнерах по умолчанию, а групповых политик одна-две штуки на всю компанию, не считая созданных по умолчанию (Рис. 1, 2):

Рис. 1 Типичный вид оснастки Active Directory в компаниях.

Рис. 2. Типичный вид оснастки групповых политик в компаниях

Домен, представленный на рисунках выше, никак не настроен, и богатые возможности Active Directory в нем не используются. Назвать такой домен качественно настроенным у нас не поворачивается язык. Но если говорить о конкретных критериях, опираясь на которые мы отличаем качественно настроенный домен Active Directory от некачественно настроенного, то их всего четыре:

Критерий №1. Доступ к любым ресурсам компании предоставляется исключительно через группы в Active Directory

Ваш домен Active Directory соответствует этому критерию, если предоставление и блокировка доступа к ресурсам делается исключительно через оснастку Active Directory. В этом случае для получения списка ресурсов, к которым имеет доступ сотрудник компании, достаточно взглянуть на свойства его учетной записи в Active Directory:

Рис. 3 Список членства в группах доступа пользователя в Active Directory.

Для соответствия этому требованию необходимо доступ ко всем ресурсам в компании предоставлялся исключительно через группы безопасности Active Directory. То есть для каждого ресурса нужно создать свою группу безопасности, назначить этой группе права на доступ к ресурсу, а уже после этого включить в эту группу учетную запись пользователя. В этом случае, взглянув на группу доступа к ресурсам, вы также сразу получите информацию о том, кто имеет доступ к этому ресурсу:

Рис. 4 Члены группы доступа к ресурсу в Active Directory

Обратите внимание, что для всех групп безопасности на рисунке выше в оснастке Active Directory сделаны свои соответствующие контейнеры, упрощающие поиск нужных групп.

Критерий №2. Настройки рабочих компьютеров и рабочего окружения пользователей выполняется исключительно через групповые политики

Ваш домен Active Directory соответствует этому критерию, если для того, чтобы понять, как настроены компьютеры и какие программы на них установлены, достаточно посмотреть в групповые политики в домене Active Directory:

Рис. 5 Список групповых политик, привязанных к контейнеру в Active Directory.

При корректно настроенном домене Active Directory подготовка нового компьютера заключается в установке на него операционной системы и вводе в домен, а остальные настройки на компьютере пользователей должны делаться автоматически через групповые политики, включая установку нужного комплекта программного обеспечения и настройку рабочего окружения пользователя. В качественно настроенном домене Active Directory это правило применяется не только к рабочим компьютерам, но и к серверам.

Критерий №3. Одна групповая политика – одна цель

В одной групповой политике можно прописать сколько угодно параметров настройки, но лучше придерживаться правила, когда одна групповая политика отражает одну единственную цель настройки. Это упрощает диагностику ошибок в групповых политиках, поскольку результаты диагностики будут указывать на проблемную политику и связанный с ней параметр. Кроме того, имея хорошо детерминированные настройки, можно гибко управлять настройкой тех или иных групп компьютеров и пользователей, размещая их по разным контейнерам Active Directory (пример на рисунке 5). Но главное – если у вас в одной политике содержится один параметр настройки, то имя этой политики может в точности отражать суть данной политики, что упрощает изучение и анализ настроек. Выглядеть список политик в этом случае будет так:

Рис. 6 Общий список групповых политик.

Каждая из строчек на рисунке выше – это одна политика, соответствующая изменению одного параметра настройки системы (группы параметров). Соответственно, чтобы отключить какой-то параметр настройки, достаточно просто отключить эту политику на контроллере домена.

Ну и последний критерий:

Критерий №4. Структура контейнеров в Active Directory, именования групп и Групповых политик должны быть читаемым и однозначно трактуемыми

Полноценно настроенные доменные службы Active Directory даже в маленьких компаниях – это более тысячи групп, подразделений, групповых политик и атрибутов. Если при этом доменные службы Active Directory не читаются как открытая книга, то они вместо упрощения управления корпоративной ИТ-инфраструктурой будут наоборот все усложнять и запутывать.

Если ваш домен Active Directory настроен корректно, то для ввода в курс дел нового системного администратора вам достаточно дать ему доступ к оснастке Active Directory, в которой он уже получит полную информацию о работающих в компании системах, параметрах настройки серверов, компьютеров и рабочего окружения пользователей. Примеры того, как это делается, мы уже приводили на рисунках 3-6.

К сожалению, на практике качественно настроенный домен Active Directory встречается преимущественно только в очень крупных организациях (от 10 000 пользователей), где без этого уже просто невозможно жить. В компаниях среднего размера и в небольших организациях качественную настройку доменных служб Active Directory зачастую заменяют ручным трудом системных администраторов и специалистов технической поддержки.

На этом все. Хорошего ИТ вам в компанию!

Комментарии к статье:

Добавить комментарий

Ваш e-mail не будет опубликован.