Административные задачи Active Directory.
Административные задачи Active Directory обычно делятся на две категории: управление данными и управление службами. Задачи управления данными связаны с управлением содержимым базы данных Active Directory. Задачи управления службами используются для управления всеми аспектами с целью обеспечения надежной и эффективной работы службы каталогов на предприятии. В табл. 1 описаны некоторые задачи каждой категории.
Для делегирования задач управления данными и службами в организации нужно знать административные требования для всех подразделений компании, чтобы разработать наиболее эффективную модель делегирования и обеспечить безопасную сетевую среду. Для развертывания модели делегирования нужно знать разрешения доступа к объектам Active Directory, методы делегирования и принципы аудита. Эти концепции описаны ниже.
Таблица 1. Администрирование Active Directory
Получение доступа к объектам Active Directory.
Для
эффективного делегирования административных задач вы должны знать, каким
образом Active Directory контролирует доступ к объектам, которые хранятся в
службе каталогов. Речь идет о следующих элементах управления доступом:
- учетные
данные принципала безопасности, пытающегося выполнить задачу или получить
доступ к ресурсу;
- данные
авторизации, используемые для защиты ресурса или авторизации выполняемой задачи;
-
проверка доступа, сравнивающая учетные данные с данными авторизации, чтобы
определить, разрешено ли принципалу безопасности получать доступ к ресурсу или
выполнять задачу.
Когда пользователь входит в домен AD DS, выполняется проверка подлинности и пользователь получает маркер доступа, содержащий идентификатор безопасности (SID) учетной записи пользователя, SID-идентификаторы каждой группы безопасности, членом которых является пользователь, а также список привилегий пользователя и этих групп безопасности. Маркер доступа позволяет обеспечить контекст безопасности и учетные данные для управления сетевыми ресурсами, выполнения административных задач и получения доступа к объектам в Active Directory.
Безопасность
применяется к сетевому ресурсу или объекту Active Directory с помощью данных
авторизации, хранящихся в дескрипторе безопасности (Security Descriptor)
каждого объекта. Дескриптор безопасности состоит из следующих компонентов.
-
Владелец объекта. Идентификатор SID текущего владельца объекта. Как правило,
владельцем является создатель объекта или принципал безопасности, которому
передано владение объектом.
-
Основная группа. Идентификатор SID текущей основной группы владельца. Эта
информация используется только подсистемой Portable Operating System Interface
for UNIX (POSIX).
-
Дискреционный список контроля доступа (DACL). Список записей управления
доступом АСЕ (Access Control Entry), определяющих разрешения доступа каждого
принципала безопасности к объекту. Каждый принципал безопасности, добавляемый в
объект, получает список разрешений, указывающих экстент, где пользователь или
группа может манипулировать с объектом. Если пользователь не представлен в АСЕ
лично или в качестве члена группы, он не получает доступ к объекту.
-
Системный список контроля доступа (SASL). Определяет параметры аудита для
объекта, включая принципалы безопасности и операции, аудит которых должен
выполняться.
На рис. 1 показана архитектура маркера доступа пользователя и дескриптора безопасности объекта. Когда пользователь пытается получить доступ к сетевому ресурсу или объекту Active Directory, выполняется проверка доступа и анализ всех записей АСЕ, пока не будет найден соответствующий SID-идентификатор пользователя или группы. Затем право доступа определяется разрешениями доступа, отконфигурированными в записи АСЕ.
Рис. 1. Проверка доступа, выполняемая между маркером доступа
пользователя и
дескриптором
безопасности объекта.