Роли active directory

Команда iCACLS – управление доступом к файлам и папкам.

Команда iCACLS позволяет отображать или изменять списки управления доступом (Access Control Lists (ACLs) ) к файлам и папкам файловой системы. Утилита iCACLS.EXE является дальнейшим усовершенствованием утилиты управления доступом CACLS.EXE.

Управление доступом к объектам файловой системы NTFS реализуется с использованием специальных записей в таблице MFT (Master File Table). Каждому файлу или папке файловой системы NTFS соответствует запись в таблице MFT, содержащая специальный дескриптор безопасности SD (Security Descriptor). Каждый дескриптор безопасности содержит два списка контроля доступа:

System Access-Control List (SACL) — системный список управления доступом .

Discretionary Access-Control List (DACL) — список управления избирательным доступом.

SACL управляется системой и используется для обеспечения аудита попыток доступа к объектам файловой системы, определяя условия при которых генерируется события безопасности. В операционных системах Windows Vista и более поздних, SACL используется еще и для реализации механизма защиты системы с использованием уровней целостности ( Integrity Level, IL).

DACL — это собственно и есть список управления доступом ACL в обычном понимании. Именно DACL формирует правила, определяющие, кому разрешить доступ к объекту, а кому — запретить.

Каждый список контроля доступа (ACL) представляет собой набор элементов (записей) контроля доступа — Access Control Entries, или ACE) . Записи ACE бывают двух типов (разрешающий и запрещающий доступ), и содержит три поля:

  • SID
  • пользователя или группы, к которому применяется данное правило

  • Вид доступа
  • , на которое распространяется данное правило

  • Тип ACE
  • — разрешающий или запрещающий.

    SID — Security ID – уникальный идентификатор, который присваивается каждому пользователю или группе пользователей в момент их создания. Посмотреть примеры SID можно , например с помощью команды WHOAMI /ALL. Как видим, система управления доступом к объектам NTFS оперирует не именами, а идентификаторами SID. Поэтому, например нельзя восстановить доступ к файлам и папкам, существовавший для удаленного из системы пользователя, создав его заново с тем же самым именем – он получит новый SID и правила записей ACE, применяемые к старому идентификатору SID, выполняться не будут.

    При определении результатов запросов на доступ к объектам файловой системы NTFS применимы следующие правила:

    Если в дескрипторе безопасности отсутствует DACL , то объект считается незащищенным, т.е. все имеют к нему неограниченный доступ.

    Если DACL существует, но не содержит ни одного элемента ACE, то доступ к объекту закрыт для всех.

    Для того чтобы изменить DACL объекта, пользователь (процесс) должен обладать правом записи в DACL (WRITE_DAC — WDAC). Право записи может быть разрешено или запрещено, с помощью утилиты icalc.exe, но даже если установлен запрет, все равно разрешение на запись имеется хотя бы у одного пользователя владельца файла или папки (поле Owner в дескрипторе безопасности), так как владелец всегда имеет право изменять DAC.

    Варианты применения команды iCACLS:

  • ICACLS имя /save ACL_файл [/T] [/C] [/L] [/Q]
  • — сохранение DACL для файлов и папок, соответствующих имени, в ACL-файл для последующего использования с командой /restore. Обратите внимание, что метки SACL, владельца и целостности не сохраняются.

  • ICACLS каталог [/substitute SidOld SidNew […]] /restore ACL_файл [/C] [/L] [/Q]
  • — применение ранее сохраненных DACL к файлам в каталоге.

  • ICACLS имя /setowner пользователь [/T] [/C] [/L] [/Q]
  • — смена владельца всех соответствующих имен. Этот параметр не предназначен для принудительной смены владельца; используйте для этой цели программу takeown.exe.

  • ICACLS имя /findsid Sid [/T] [/C] [/L] [/Q]
  • — поиск всех соответствующих имен, содержащих ACL с явным упоминанием ИД безопасности.

  • ICACLS имя /verify [/T] [/C] [/L] [/Q]
  • — поиск всех файлов с неканоническими ACL или длинами, не соответствующими количеству ACE.

  • ICACLS имя /reset [/T] [/C] [/L] [/Q]
  • — замена ACL на унаследованные по умолчанию для всех соответствующих файлов.

  • ICACLS имя [/grant[:r] Sid:perm[…]] [/deny Sid:perm […]] [/remove[:g|:d]] Sid[…]] [/T] [/C] [/L] [/Q] [/setintegritylevel Level:policy[…]]
  • /grant[:r] Sid:perm — предоставление указанных прав доступа пользователя. С параметром :r эти разрешения заменяют любые ранее предоставленные явные разрешения. Без параметра :r разрешения добавляются к любым ранее предоставленным явным разрешениям.

    /deny Sid:perm — явный отзыв указанных прав доступа пользователя. Добавляется ACE явного отзыва для заявленных разрешений с удалением этих же разрешений в любом явном предоставлении.

    /remove[:[g|:d]] Sid — удаление всех вхождений ИД безопасности в ACL. С параметром :g удаляются все вхождения предоставленных прав в этом ИД безопасности. С параметром :d удаляются все вхождения отозванных прав в этом ИД безопасности.

    /setintegritylevel [(CI)(OI)]уровень — явное добавление ACE уровня целостности ко всем соответствующим файлам. Уровень задается одним из следующих значений:

    L[ow]: низкий

    M[edium]: средний

    H[igh]: высокий

    Уровню могут предшествовать параметры наследования для ACE целостности, применяемые только к каталогам.

    Механизм целостности Windows Vista и более поздних версий ОС, расширяет архитектуру безопасности путём определения нового типа элемента списка доступа ACE для представления уровня целостности в дескрипторе безопасности объекта (файла, папки). Новый ACE представляет уровень целостности объекта. Он содержится в системном ACL (SACL), который ранее используемом только для аудита. Уровень целостности также назначается токену безопасности в момент его инициализации. Уровень целостности в токене безопасности представляет уровень целостности (Integrity Level, IL) пользователя (процесса). Уровень целостности в токене сравнивается с уровнем целостности в дескрипторе объекта когда монитор безопасности выполняет проверку доступа. Система ограничивает права доступа в зависимости от того выше или ниже уровень целостности субъекта по отношению к объекту, а также в зависимости от флагов политики целостности в соответствующей ACE объекта. Уровни целостности (IL) представлены идентификаторами безопасности (SID), которые представляют также пользователей и группы, уровень которых закодирован в относительном идентификаторе (RID) идентификатора SID.

    Наиболее распространенные уровни целостности:

    SID = S-1-16-4096 RID=0x1000 — уровень Low (Низкий обязательный уровень)

    SID= S-1-16-8192 RID=0x2000 – уровень Medium (Средний обязательный уровень)

    SID= S-1-16-12288 RID=0x3000 – уровень High (Высокий обязательный уровень)

    SID= S-1-16-16384 RID=0x4000 – уровень системы (Обязательный уровень системы).

    /inheritance:e|d|r

    e — включение наследования

    d — отключение наследования и копирование ACE

    r — удаление всех унаследованных ACE

    ИД безопасности могут быть в числовой форме (SID), либо в форме понятного имени (username). Если задана числовая форма, добавьте * в начало ИД безопасности, например — *S-1-1-0. Параметры командной строки iCACLS:

    /T — операция выполняется для всех соответствующих файлов и каталогов, расположенных в заданном каталоге.

    /C — выполнение операции продолжается при любых файловых ошибках. Сообщения об ошибках по-прежнему выводятся на экран.

    /L — операция выполняется над самой символьной ссылкой, а не над ее целевым объектом.

    /Q — утилита ICACLS подавляет сообщения об успешном выполнении.

    Утилита ICACLS сохраняет канонический порядок записей ACE:

    Явные отзывы

    Явные предоставления

    Унаследованные отзывы

    Унаследованные предоставления

    разрешение — это маска разрешения, которая может задаваться в одной из двух форм:

  • последовательность простых прав:
  • N — доступ отсутствует

    F — полный доступ

    M — доступ на изменение

    RX — доступ на чтение и выполнение

    R — доступ только на чтение

    W — доступ только на запись

    D — доступ на удаление

  • список
  • отдельных прав через запятую в скобках:

    DE — удаление
    RC — чтение
    WDAC — запись DAC
    WO — смена владельца
    S — синхронизация
    AS — доступ к безопасности системы
    MA — максимально возможный
    GR — общее чтение
    GW — общая запись
    GE — общее выполнение
    GA — все общие
    RD — чтение данных, перечисление содержимого папки
    WD — запись данных, добавление файлов
    AD — добавление данных и вложенных каталогов
    REA — чтение дополнительных атрибутов
    WEA — запись дополнительных атрибутов
    X — выполнение файлов и обзор папок
    DC — удаление вложенных объектов
    RA — чтение атрибутов
    WA — запись атрибутов

    Права наследования могут предшествовать любой форме и применяются только к каталогам:

    (OI) — наследование объектами

    (CI) — наследование контейнерами

    (IO) — только наследование

    (NP) — запрет на распространение наследования

    (I) — наследование разрешений от родительского контейнера

    Примеры использования iCACLS:

    icacls — запуск без ключей используется для получения краткой справки по использованию команды.

    icacls C:\Users — отобразить список управления доступом для папки C:\Users. Пример отображаемой информации:

    C:\Users NT AUTHORITY\система:(OI)(CI)(F)
    BUILTIN\Администраторы:(OI)(CI)(F)
    BUILTIN\Пользователи:(RX)
    BUILTIN\Пользователи:(OI)(CI)(IO)(GR,GE)
    Все:(RX)
    Все:(OI)(CI)(IO)(GR,GE)

    Успешно обработано 1 файлов; не удалось обработать 0 файлов

    icacls c:\windows\* /save D:\win7.acl /T — сохранение ACL для всех файлов в каталоге c:\windows и его подкаталогах в ACL-файл D:\win7.acl. Сохраненные списки ACL позволят восстановить управление доступом к файлам и каталогам в исходное состояние, поэтому, прежде чем выполнять какие-либо изменения, желательно иметь файл сохраненных списков ACL.

    Пример данных сохраненных списков доступа ACL:

    acpimof.dll

    D:AI(A;ID;FA;;;SY)(A;ID;FA;;;BA)(A;ID;0x1200a9;;;BU)

    addins

    D:PAI(A;;FA;;;S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464)(A;CIIO;GA;;;S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464)(A;;0x1301bf;;;SY)(A;OICIIO;GA;;;SY)(A;;0x1301bf;;;BA)(A;OICIIO;GA;;;BA)(A;;0x1200a9;;;BU)(A;OICIIO;GXGR;;;BU)(A;OICIIO;GA;;;CO)

    AppCompat

    D:AI(A;ID;FA;;;S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464)(A;CIIOID;GA;;;S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464)(A;ID;FA;;;SY)(A;OICIIOID;GA;;;SY)(A;ID;FA;;;BA)(A;OICIIOID;GA;;;BA)(A;ID;0x1200a9;;;BU)(A;OICIIOID;GXGR;;;BU)(A;OICIIOID;GA;;;CO)

    . . .

    В тех случаях, когда при выполнении команды iCACLS возникает ошибка, вызванная отказом в доступе к обрабатываемому объекту, можно продолжить выполнение команды, если задан параметр /C:

    icacls «C:\System Volume Information\*» /save D:\SVI-C.acl /T /C — сохранение списков управления доступом ACL для всех файлов и подкаталогов каталога C:\System Volume Information с продолжением обработки в случае возникновения ошибки. По результатам обработки отображается сообщение о количестве успешно, и не успешно, обработанных файлов.

    Для восстановления доступа к файлам и папкам используется параметр /restore:

    icacls c:\windows\ /restore D:\win7.acl — восстановление списков контроля доступа к файлам и папкам каталога c:\windows из ранее сохраненного ACL-файла D:\win7.acl.

    icacls C:\Users\user1\tmp\Myfile.doc /grant boss:(D,WDAC) — предоставление пользователю boss разрешений на удаление и запись DAC для файла C:\Users\user1\tmp\Myfile.doc.

    icacls C:\Users\user1\tmp\Myfile.doc /grant *S-1-1-0:(D,WDAC) — предоставление пользователю с ИД безопасности S-1-1-0 (группа ”Все”) разрешений на удаление и запись DAC для файла C:\Users\user1\tmp\Myfile.doc . icacls C:\Users\user1\tmp\Myfile.doc /grant boss:F — предоставление пользователю boss полного доступа к файлу C:\Users\user1\tmp\Myfile.doc.

    Весь список команд CMD Windows

    Active Directory: утилита DCDIAG

    Утилита dcdiag позволяет выполнить до 20 тестов над инфраструктурой Active Directory. Некоторые из тестов предоставляют диагностическую информацию об определенном контроллере домена. Многие тесты предоставляют информацию о конфигурации репликации в пределах леса.

    Конкретные тесты, выполняемые этой утилитой, рассматриваются далее.

    Тесты dcdiag

    Тест

    Описание

    Advertising

    Проверяет, правильно ли контроллер домена сообщает о себе и о своей роли хозяина операций.

    Этот тест завершиться неудачно, если служба NetLogon не запущена

    CheckSDRefDom

    проверяет правильность доменов ссылок дескрипторов безопасности для каждого раздела каталогов программ

    Connectivity

    Проверяет регистрацию DNS для каждого контроллера домена, отправляет тестовый эхо-пакет на каждый контроллер домена и проверяет подключение по протоколам LDAP и RPC к каждому контроллеру домена

    CrossRefValidation

    Проверяет правильность перекрестных ссылок для доменов

    RRSSysvol

    проверяет состояние готовности для FRS SYSVOL

    FRSEvent

    Проверяет ошибки репликации в работе службы репликации файлов, что может означать наличие проблем в репликации SYSVOL и, таким образом, целостности копий объектов групповых политик

    FSMOCheck

    Не проверяет роли хозяев операций, а вместо этого запрашивает сервер глобального каталога, первичный контроллер домена, предпочтительный сервер времени, сервер времени и центр распространения ключей

    Intersite

    Проверяет наличие ошибок, которые могут помешать нормальной репликации между сайтами. Компания Microsoft предупреждает, что иногда результаты этого теста могут оказаться неточными

    KCCEvent

    Проверяет безошибочность создания объектов соединений для репликации между сайтами

    KnowsOfRoleHolders

    Проверяет возможность подключения контроллеров домена ко всем пяти хозяевам операций

    MachineAccount

    Проверяет правильность регистрации учетной записи целевого компьютера и правильность объявлений служб этого компьютера. Если обнаружена ошибка, ее можно исправить с помощью утилиты dcdiag, указав параметры /fixmachineaccount или /recreatemachineaccount

    NCSecDesc

    Проверяет правильность разрешений для репликации в дескрипторах безопасности для заголовков контекста именования

    NetLogons

    Проверяет правильность разрешений регистрации, позволяющих регистрацию, для каждого контроллера домена

    ObjectsReplicated

    Проверяет правильность репликации агента сервера каталогов и объектов учетных записей компьютеров

    OutboundSecureChannels

    Проверяется наличие безопасных каналов между всеми контроллерами домена в интересующем домене

    Replications

    Проверяет возможность репликации между контроллерами домена и сообщает обо всех ошибках при репликации

    RidManager

    Проверяет работоспособность и доступность хозяина относительных идентификаторов

    Services

    Проверяет работоспособность всех служб, необходимых для работы контроллера домена, на указанном контроллере домена

    SystemLog

    Проверяет безошибочность работы системного журнала

    VerifyEnterpriseReferences

    Проверяет действительность системных ссылок службы репликации файлов для всех объектов на всех контроллерах домена в лесу

    VerifyReferences

    Проверяет действительность системных ссылок службы репликации файлов для всех объектов на указанном контроллере домена

    VerifyReplicas

    Проверяет действительность всех разделов каталога приложения на всех серверах, принимающих участие в репликации

    Вот синтаксис команды dcdiag:

    dcdiag /s:<DomainController> [/n:<NamingContext>] [[/u:<domain\user>] [/p:<password>] ] [{/a|/e}{/q|/v}] [/i] [/f:<LogFile>] [/ferr:<ErrorLog>] [/c [/skip:<test]] [/test:<test>] [/fix]

    Параметры этой команды рассматриваются в следующей таблице.

    Параметры команды dcdiag

    Параметр

    Использование

    /s:<DomainController>

    Используется для указания целевого контроллера домена

    /n:<NamingContext>

    Используется для указания контекста именования.

    Можно указать контекст именования в форматах NetBIOS, DNS (FQDN) или DN

    /u:<domain\user>

    Позволяет запустить команду от имени учетной записи другого пользователя

    /p:<password>

    Используется вместе с параметром /u для указания пароля учетной записи пользователя

    /a

    Тестирует все серверы в указанном сайте

    /e

    Тестирует все серверы в пределах всего леса (подразумевает /a)

    /q

    Сокращенный вывод. Отображаются только сообщения об ошибках

    /v

    Подробный вывод. Отображается дополнительная информация

    /i

    Игнорируются некритические сообщения об ошибках

    /f:<LogFile>

    Перенаправляет вывод команды в указанный файл журнала

    /ferr:<ErrorLog>

    Собирает и перенаправляет вывод всех критических ошибок в указанный файл журнала

    /c

    Выполняет всестороннее тестирование, запуская все тесты, кроме DCPromo и RegisterInDNS

    /skip:<test>

    При использовании параметра /c позволяет указать тест, который будет пропущен

    /test:<test>

    Заставляет утилиту выполнить указанный тест

    /fix

    В процессе теста MachineAccount исправляются некорректные основные имена служб (Service Principal Name — SPN), хранящиеся в объекте учетной записи компьютера на контроллере домена

    Чаще всего, утилита запускается с именем конкретного сервера в качестве параметра. Это приведет к выполнению быстрого тестирования Active Directory, которое завершается в течение нескольких секунд, если не обнаружены проблемы.

    После этой строки выполняется еще несколько тестов, но и из приведенного фрагмента ясно, как просто с помощью утилиты dcdiag тестировать контроллеры домена и общее состояние Active Directory в пределах леса. Можно воспользоваться параметрами /f и /ferr для перенаправления вывода в файл журнала, что упростит чтение вывода.

    11.11. Раздел Локальная сеть

    Работа со схемой Active Directory

    Опубликовано:

    В двух словах, схема Active Directory Domain Services (AD DS) содержит описания для всех объектов, которые могут храниться в службе каталогов. Как правило, менять схему не требуется — более того, лучше это делать только при крайней необходимости. В данной инструкции пойдет речь о том, как открыть на просмотр и редактирование схему AD DS.

    Подготовка

    Для работы со схемой, необходимо выполнить следующие требования:

    1. Убедиться, что мы работаем на компьютере, который введен в домен.
    2. Пользователь, под которым работаем должен обладать необходимыми правами:
      • Чтобы добавить оснастку в MMC, быть в группе Пользователи домена (Domain Users).
      • Для регистрации schmmgmt.dll — как минимум, Администратор домена (Domain Admins).
      • Для редактирования схемы — Администратор схемы (Schema Admins).

    Добавление оснастки в MMC

    По умолчанию, в MMC нет возможности выбрать нужную оснастку. Сначала необходимо запустить командную строку от имени администратора и ввести:

    Мы должны увидеть окно «Успешное выполнение DllRegisterServer в schmmgmt.dll.»:

    Нажимаем OK.

    Запускаем MMC (команда mmc) — в открывшемся окне кликаем по ФайлДобавить или удалить оснастку:

    Выбираем оснастку Схема Active Directory и нажимаем по Добавить — оснастка должна появиться в правой части окна:

    Нажимаем OK.

    Просмотр схемы

    Оснастка автоматически подключается к хозяину операций «Schema Master». Раскрываем дерево — мы увидим наборы классов и атрибутов.

    Раскрыв их мы можем выбрать любой объект и, кликнув по нему дважды, посмотреть его параметры, настройки и значения полей.

    Классы определяют, какие объекты могут существовать в AD. Атрибуты — какие атрибуты будет иметь тот или иной объект.

     

    # Серверы# Active Directory

    Была ли полезна вам эта инструкция?

    Да            Нет

    Вокруг FSMO ролей Active Directory существует некоторое количество мифов, которые происходят, как несложно догадаться, от банального непонимания темы.

    В этой статье я расскажу о том, для чего предназначены FSMO роли, что произойдет в случае недоступности сервера с этой ролью и как перенести роли на другой сервер.

    Начнем с уровня леса:

    Schema master

    Схема содержит Классы (например, users, computers, groups) и Атрибуты (например, name, sIDHistory, title). Их использует не только Active Directory, но и некоторое корпоративное ПО (например, Exchange, System Center).

    При обновлении уровня домена/леса (после обновления всех ОС контролеров домена разумеется), а также при установке ПО, в схему вносятся дополнительные Классы и Атрибуты, что, разумеется, не влияет на ПО, которое уже установлено. Поэтому не стоит бояться обновления схемы, несмотря на то, что это необратимое действие.

    ЕСли Вы все-таки хотите перестраховаться, перед обновлением схемы, можно создать новый контролер, дождаться выполнения репликации и вывести его в offline.

    Если что-то пойдет не так, вы сможете его вернуть в online, назначить его schema master, предварительно навсегда выведя в offline контролер, на котором обновление прошло неудачно.

    Схема едина для всего леса, хранится на каждом контролере домена, а реплицируется с контролера обладающего ролью Schema Master. При установке ПО, которое вносит измениния в схему, изменения будут вносится на контролер с ролью Schema master.

    К этому контролеру будут обращаться другие контролеры в случае, если версия схемы на них будет отличаться.

    Узнать текущую версию схемы используя PowerShell можно так (разумеется, вместо lab.local будт имя вашего домена):

    Get-ADObject “cn=schema,cn=configuration,dc=lab,dc=local” -properties objectVersion

    Актуальные на сегодняшний день версии:

    69 = Windows Server 2012 R2

    56 = Windows Server 2012

    47 = Windows Server 2008 R2

    44 = Windows Server 2008

    31 = Windows Server 2003 R2

    30 = Windows Server 2003

    13 = Windows 2000

    Другое ПО, изменяет другие объекты, например для Exchange Server это rangeUpper

    Для того, чтобы использовать mmc оснастку Active Directory Schema (Схема Active Directory в русской локализации) необходимо выполнить:

    regsvr32 schmmgmt.dll

    Если контролер с ролью Schema Master будет недоступен, никто в пределах леса не сможет расширять схему (подымать уровень леса и устанавливать “тяжелое” ПО), а т.к. расширение схемы происходит очень редко, то жить без этой роли инфраструктура может годами.

    Подробнее о Schema тут – http://msdn.microsoft.com/en-us/library/ms675085(v=vs.85).aspx

     

    Domain naming master

    Необходим в первую очередь для того, чтобы обеспечить уникальность NetBIOS имен доменов в пределах леса.

    Если контролер с этой ролью будет недоступен, никто в пределах леса не сможет добавлять, удалять и переименовывать домены а т.к. это происходит очень редко, то жить без этой роли инфраструктура тоже может годами.

    Кроме того, без Domain naming master не будет работать добавление и удаление разделов каталогов приложений, а также перекрестные ссылки – но это уже совсем экзотика, не думаю что есть смысл об этом писать в рамках этой статьи.

     

    На уровне домена располагаются такие роли:

    RID Master

    Для каждого Security Principal в домене, генерируется уникальный идентификатор безопасности – SID. В отличии от GUID, SID может меняться, например, при миграции между доменами.

    В пределах одного домена, SIDы будут отличаться последним блоком – он называется RID (относительный идентификатор).

    При создании нового Security Principal, SID, и, соответственно, RID выдается тем контролером, на котором выполняется создание.

    Для того, чтобы предотвратить создание одинаковых RID, каждому контролеру RID marster назначает пул (по-умолчанию 500, но значение можно изменить). Когда у контролера пул приближается к концу (по-умолчанию 100 адресов, также можно изменить) он обращается к RID master, который выдает еще 500 значений.

    Всего доступно 230 (это 1,073,741,823) RIDов – на первый взгляд это очень много, но если принять во внимание тот факт, что RID не мог быть назначен повторно (создание – удаление – создание объета отнимало 2 RIDa) в ряде случаев разблокировали 31й бит и получали 2,147,483,647 RID’ов.

    Об улучшениях, которые были сделаны в 2012 Вы можете подробно узнать тут – http://blogs.technet.com/b/askds/archive/2012/08/10/managing-rid-issuance-in-windows-server-2012.aspx

    Посмотреть, что у Вас происходит сейчас можно так:

    dcdiag.exe /test:ridmanager /v

    Таким образом, если контролер с этой ролью будет недоступен, контролеры исчерпавшие выданные им RID-пулы не смогут создавать новых Security Principals.

     

    PDC Emulator

    Несмотря на то, что PDC/BDC это термины из далекого NT-прошлого, это наиболее важная FSMO роль в операционной деятельности.

    Опустим описание того, как быть с NT машинами, и перейдем к реальным вещам:

    1. Источник времени.

      Синхронизация времени важна для работы Kerberos (и не только), поэтому все контролеры (и, соответственно, клиенты) синхронизируют свое время с PDC, который должен синхронизироваться с внешним NTP. Подробнее о настройке времени в домене я уже писал, можно почитать тут.

    2. Сохранение групповых политик по-умолчанию происходит на контролер с ролью PDC, и с него реплицируется на другие контролеры (начиная с 2008 используется DFS).
    3. Репликация паролей. Коль уже смена пароля признана важной, реплицируется она не стандартным методом, а так называемым urgent (подробнее о репликации Active Directory – ищите мою статью поиском). Это значит, что контролер, на котором был сменен пароль, срочно реплицируется с контролером, который PDC Emulator. На практике выглядит так: пользователь вводит новый пароль, который ближайший контролер еще не знает. Этот контролер обратится к PDC, и тот подтвердит что пароль правильный, таким образом, предотвращается ряд проблем.

    Если контролер с ролью PDC Emalator будет недоступен, не будет работать синхронизация времени и будут сложности с сохранением групповых политик и репликацией паролей, что скажется на операционной деятельности.

     

    Infrastructure Master

    Последняя роль – ее задача которой отслеживать пользователей из других доменов леса. Важность этой роли зависит от количества пользователей и ресурсов в разных доменах. Например, если у Вас один домен в лесу, Infrastructure Master будет просто ненужен.

     

    Как узнать, кто сейчас владеет FSMO ролями?

    netdom query fsmo

     

    Как передать FSMO роли новому серверу?

    Открываем на “старом” сервере командную строку и запускаем:

    ntdsutil

    roles

    connections

    connect to server %new server name%

    q

    Transfer schema master

    Transfer naming master

    Transfer PDC

    Transfer RID master

    Transfer infrastructure master

    q

    q

    Чтобы убедится что все прошло успешно, и роли переданы, снова выполним netdom query fsmo .

    Теперь можно удалить роль AD DS со старого сервера, предварительно указав верные настройки DNS для нового сервера.

    Подробнее о переносе ролей можно почитать тут: http://support.microsoft.com/kb/255504

     

    Что делать, если старый сервер вышел из строя, а FSMO роли нужно назначить новому?

    Процедкра аналогична передаче ролей, только вместо Transfer нужно использовать Seize (захват).

     

    А где же Global Catalog?

    Дело в том, что Global Catalog это не FSMO роль, а репозиторий данных предназначенный для того, чтобы пользователи и системы могли находить объекты по определенным атрибутам во всех доменах леса.

    Это значит что контролер обозначенный как Global Catalog, хранит информацию не только о своем домене, но и частичную информацию о доменах своего леса.

    Вот тут можно посмотреть, является ли контролер Global Catalog:

    Разумеется, можно изменять состав атрибутов, по которым выполняется поиск, например из оснастки Active Directory Schema:

    Таким образом, если контролер-Global Catalog будет недоступен, будут сложности с взаимодействием с ресурсами доменов леса.

    Надеюсь озвученная информация будет полезной, а если нужна будет помощь — используйте форму на главной странице моего сайта.

    Related

    This entry was posted in Windows Server on by Kagarlickij Dmitriy.

    Контроллеры доменов только для чтения

    Контроллеры доменов с доступом только для чтения (RODC)

    Подобно концепции кэшированных данных о членстве в универсальных группах, кон­троллеры доменов с доступом только для чтения (Read-Only Domain Controller — RODC) являются одной из новых функциональных возможностей Active Directory Domain Services в Windows Server 2008 R2. Серверы RODC представляет собой контроллеры домена нового типа, на которых размещаются доступные только чтения копии базы данных домена Active Directory. Такие серверы идеально подходят для филиалов и других мест, где нельзя гарантировать 100% физическую безопасность сервера, где чрезмерная активность на каналах глобальной сети может негативно сказываться на продуктивности или где требуется, чтобы на контроллере домена запускались какие-то другие приложения и чтобы за их обслуживание отвечали внештатные специалисты или сотрудники с недоста­точной базой технических знаний. К числу преимуществ, которые предоставляют серверы RODC, относится обеспечение доступа только для чтения к базе данных Active Directory Domain Services, проведение репликации только во входящем направлении, помещение учетных данных в кэш, разделение ролей администраторов и поддержка доступной только для чтения копии DNS.

    Хотя сервер RODC и может реплицировать данные с контроллеров домена Windows Server 2003, он выполняет репликацию только обновлений разделов с контроллеров доме­на, функционирующих в том же домене под управлением Windows Server 2008 или Windows Server 2008 R2. Из-за отсутствия возможности выполнять репликацию в исходящем направ­лении, серверы RODC не могут выступать в роли исходного контроллера домена ни для каких других контроллеров домена. В отличие от них, поддерживающие доступ для записи контроллеры домена Windows Server 2008 R2 и контроллеры домена Windows Server 2008 могут проводить репликацию данных всех доступных разделов как во входящем, так и в исходящем направлении. Это значит, что продумывать для них те же связанные с размеще­нием моменты, что и для серверов RODC, не понадобится.

    Поскольку сервер RODC может осуществлять репликацию данных раздела домена толь­ко с поддерживающего доступ для записи контроллера домена Windows Server 2008 R2 или Windows Server 2008, тщательное планирование для него является обязательным. Место размещения сервера RODC и поддерживающих доступ для записи контроллеров домена Windows Server 2008 R2 играет важную роль, поскольку топология сайта и сетевые огра­ничения могут крайне негативно влиять на их работу. Каждый сервер RODC требует раз­мещения одного поддерживающего доступ для записи контроллера домена Windows Server 2008 R2 внутри того же домена, из которого он будет напрямую проводить репликацию. Это, в свою очередь, требует размещения поддерживающего доступ для записи контролле­ра домена Windows Server 2008 R2 внутри ближайшего сайта, обладающего прямым кана­лом связи с тем сайтом в топологии, внутри которого размещен RODC.

    Добавить комментарий

    Закрыть меню