Административные задачи Active Directory.

Административные задачи Active Directory.

Административные задачи Active Directory обычно делятся на две категории: управление данными и управление службами. Задачи управления данными связаны с управлением содержимым базы данных Active Directory. Задачи управления службами используются для управления всеми аспектами с целью обеспечения надежной и эффективной работы службы каталогов на предприятии. В табл. 1 описаны некоторые задачи каждой категории.

Для делегирования задач управления данными и службами в организации нужно знать административные требования для всех подразделений компании, чтобы разработать наиболее эффективную модель делегирования и обеспечить безопасную сетевую среду. Для развертывания модели делегирования нужно знать разрешения доступа к объектам Active Directory, методы делегирования и принципы аудита. Эти концепции описаны ниже.

Таблица 1. Администрирование Active Directory

Получение доступа к объектам Active Directory.

Для эффективного делегирования административных задач вы должны знать, каким образом Active Directory контролирует доступ к объектам, которые хранятся в службе каталогов. Речь идет о следующих элементах управления доступом:
- учетные данные принципала безопасности, пытающегося выполнить задачу или получить доступ к ресурсу;
- данные авторизации, используемые для защиты ресурса или авторизации выполняемой задачи;
- проверка доступа, сравнивающая учетные данные с данными авторизации, чтобы определить, разрешено ли принципалу безопасности получать доступ к ресурсу или выполнять задачу.

Когда пользователь входит в домен AD DS, выполняется проверка подлинности и пользователь получает маркер доступа, содержащий идентификатор безопасности (SID) учетной записи пользователя, SID-идентификаторы каждой группы безопасности, членом которых является пользователь, а также список привилегий пользователя и этих групп безопасности. Маркер доступа позволяет обеспечить контекст безопасности и учетные данные для управления сетевыми ресурсами, выполнения административных задач и получения доступа к объектам в Active Directory.

Безопасность применяется к сетевому ресурсу или объекту Active Directory с помощью данных авторизации, хранящихся в дескрипторе безопасности (Security Descriptor) каждого объекта. Дескриптор безопасности состоит из следующих компонентов.
- Владелец объекта. Идентификатор SID текущего владельца объекта. Как правило, владельцем является создатель объекта или принципал безопасности, которому передано владение объектом.
- Основная группа. Идентификатор SID текущей основной группы владельца. Эта информация используется только подсистемой Portable Operating System Interface for UNIX (POSIX).
- Дискреционный список контроля доступа (DACL). Список записей управления доступом АСЕ (Access Control Entry), определяющих разрешения доступа каждого принципала безопасности к объекту. Каждый принципал безопасности, добавляемый в объект, получает список разрешений, указывающих экстент, где пользователь или группа может манипулировать с объектом. Если пользователь не представлен в АСЕ лично или в качестве члена группы, он не получает доступ к объекту.
- Системный список контроля доступа (SASL). Определяет параметры аудита для объекта, включая принципалы безопасности и операции, аудит которых должен выполняться.

На рис. 1 показана архитектура маркера доступа пользователя и дескриптора безопасности объекта. Когда пользователь пытается получить доступ к сетевому ресурсу или объекту Active Directory, выполняется проверка доступа и анализ всех записей АСЕ, пока не будет найден соответствующий SID-идентификатор пользователя или группы. Затем право доступа определяется разрешениями доступа, отконфигурированными в записи АСЕ.

Рис. 1. Проверка доступа, выполняемая между маркером доступа пользователя и 
дескриптором безопасности объекта.