, Active Directory Полное руководство - 2е изд.

Active Directory Полное руководство - 2е изд.

Дишан Франсис

 

Первая публикация на английском языке: Июнь 2017

Второе издание на английском языке: Август 2019

Ссылка на продукт: 1080819

Все права защищены. Никакая часть этой книги не может быть воспроизведена, сохранена в поисковой системе или передана в любой форме или любыми средствами без предварительного письменного разрешения издателя, за исключением случаев кратких цитат, встроенных в критические статьи и обзоры.

При подготовке этой книги были предприняты все усилия чтобы гарантировать точность представленной информации. Тем не менее, информация, содержащаяся в этой книге, продаётся без гарантии в явном или неявном виде. Ни авторы, ни Packt Publishing, ни их дилеры и дистрибьюторы не будут нести ответственность за любые убытки, вызванные или предположительно вызванные прямо или косвенно этой книгой.

Packt Publishing пыталась предоставить информацию о товарных знаках обо всех компаниях и продуктов, упомянутых в данной книге для надлежащего использования капиталов. Тем не менее, Packt Publishing не может гарантировать точность этой информации.

Опубликовано Packt Publishing Ltd.

Livery Place

35 Livery Street

Birmingham B3 2PB, UK

ISBN 978-1-78980-020-3

www.packtpub.com

2019-08-21

 Состав исполнителей

Автор
Дишан Франсис
Редактор выпуска
Виджин Боуриша
Редактор приобретения
Хирамб Бхавсар
Редактор разработки содержимого
Нитин Джордж Варгхезе
Главный редактор
Рауль Дсоудза
Технический редактор
Коумаль Карне
Литературный редактор
Safis Editing
Координатор проекта
Вайдехи Савант
Корректор
Safis Editing
Составитель указателя
Приянка Дхадке
Координатор производства
Апарна Бхагат

 Об авторе

Дишан Франсис .

 Рецензент

.

 www.PacktPub.com

 Предисловие

Microsoft Active Directory является наиболее широко применяемым решением управления идентичностью. Он способен централизованно управлять идентичностью по всей своей инфраструктуре. он снабжён различными службами ролей, функциями и компонентами, которые помогают нам безопасно и действенно управлять идентичностью в соответствиями с требованиями бизнеса. За последние 20 лет Microsoft продолжал улучшать Active Directory, а Active Directory 2016 продолжает и дальше консолидировать свой подход с точки зрения спрямления требований отрасли и защиты инфраструктур идентификации против возникающих угроз безопасности. Тем не менее, насыщенный технологиями продукт не просто создаёт производительную, надёжную, масштабируемую и безопасную инфраструктуру идентификации. Необходимо знание служб ролей Active Directory, кого компонентов и функциональности. К тому же требуются знания о том как эффективно применять их чтобы соответствовать различным требованиям операций. Только после этого можно планировать, проектировать, управлять и сопровождать надёжную инфраструктуру идентификации.

За последние несколько лет всё больше и больше организаций приспосабливается по различным соображениям к облачным технологиям. С ростом отпечатка в определённом облаке также изменяются и требования организации относительно идентификации. Мы более не можем ограничивать идентификацию корпорации собственными инфраструктурами. Применяя Microsoft Axure Active Directory мы способны расширять свою собственную идентификацию в соответствующее облачное решение. Гибридный подход AD предоставляет множество преимуществ для современных требований аутентификации. Однако, с точки зрения безопасности, это также вскрывает и множество проблем нового уровня. Поэтому большая часть содержимого во второй редакции связана с проектированием гибридного облачного решения Azure AD, предоставлением безопасности гибридной среды AD и защитой чувствительных данных.

 Для кого эта книга

Если вы администратор Active Directory, системный администратор или профессионал в области сетевых сред, который имеет базовые знания относительно Active Directory и рассматривает возможность стать экспертом в этих разделах, эта книга предназначена вам.

 Что охватывает эта книга

Глава 1. Основы Active Directory поясняет чем является Active Directory и его характеристики. Эта глава также излагает основные компоненты (физическую и логическую структуру), типы объектов и службы ролей Active Directory. И последнее, но не по значимости, данная глава также охватывает Active Directory Azure и вкратце его возможности.

Глава 2. Active Directory Службы домена поясняет что нового было в AD DS 2016 и как это поможет улучшить инфраструктуру идентификации организации.

Глава 3. Проектирование инфраструктуры Active Directory обсуждает то, что следует рассматривать при разработке инфраструктуры Active Directory. Данная глава рассматривает как помещать необходимые логические и физические компоненты AD DS в самой среде AD DS с точки зрения наилучших практических приёмов. Она также охватывает те подходы, которые требуется предпринимать нам для перехода к гибридной идентификации.

Глава 4. Active Directory DNS объясняет как работают DNS в конкретной инфраструктуре AD DS. Данная глава также содержит сведения относительно компонентов самого сервера DNS, различных типов записей DNS, зонах и делегировании DNS.

Глава 5. Помещение операций Ролей хозяина обсуждает роли FSMO и их ответственность. Эта глава также описывает те моменты, которые нам следует предусматривать при размещении ролей FSMO в некой среде Active Directory.

Глава 6. Миграция в Active Directory 2016 охватывает установку самой AD DS с различными моделями развёртывания. Эта глава также предоставляет пошаговое руководство миграции с более ранних версий AD DS к более новой версии, AD DS 2016.

Глава 7. Управление объектами Active Directory рассматривает как создавать объекты, отыскивать объекты, изменять объекты и удалять объекты (необольшлго и крупного масштаба) применяя встроенные инструменты управления Active Directory и команды PowerShell.

Глава 8. Управление пользователями, группами и устройствами продолжает изучать объекты Active Directory глубже погружаясь в управляемые учётными записями служб атрибуты и контроль над различными типами объектов. И последнее, но не менее важное: вы также узнаете о передовых методах управления объектами Active Directory.

Глава 9. Проектирование структуры OU научит вас тому как проектировать надлежащим образом необходимую структуру OU, применяя различные модели для их соответствия требованиям бизнеса. Эта глава также описывает как создавать, обновлять и удалять OU. Более того, данная глава также обсуждает как мы можем применяя OU делегировать администрирование AD.

Глава 10. Управление Групповыми политиками в основном рассматривает объекты Групповой политики и их возможности. Обработка Групповой политики в неком AD зависит от множества различных моментов. В этой главе мы будем глубже погружаться в обработку групповой политики для понимания стоящей за этим технологии. Мы также намерены рассмотреть различные методы которые мы можем применять для групповой политики в некой инфраструктуре в соответствии с наилучшими практическими приёмами.

Глава 11. Службы Active Directory проводит нас по более продвинутым темам Active Directory, таким как AD LDS, репликация Active Directory, площадки Active Directory, сопровождение базы данных Active Directory, RODC, резервное копирование и восстановление AD DS.

Глава 12. Службы Сертификатов Active Directory обсуждение конкретного планирования, развёртывания и сопровождения Служб Сертификатов Active Directory. Более того, мы также изучим как работают в PKI (public key infrastructure, инфраструктуре общедоступного ключа) подписи, шифрование и дешифрация.

Глава 13. Службы Федерализации Active Directory сосредотачивается на Службах федерализации AD, таких как планирование, проектирование, развёртывание и сопровождение. Данная глава к тому же рассматривает некие новые функции AD FS 2016, например встроенную поддержку Azure MFA.

Глава 14. Службы Управления правами Active Directory рассматривает роль Службы управления правами Active Directory, которую мы можем применять для защиты чувствительных данных в неком бизнесе. Данные являются новой нефтью, а ценность данных продолжает расти. Тем самым защищённость данных важна для любого бизнеса. В этой главе мы изучим то как работает AD RMS и как её настраивать.

Глава 15. Наилучшие практические приёмы Active Directory покрывает вопросы защищённости самой среды Active Directory. Последние атаки и их анализ показывают, что враги всё чаще имеют целью идентификацию. Следовательно, мы обязаны любой ценой помнить о защите своей инфраструктуры Active Directory. В этой главе мы узнаем о различных инструментах, службах и методах, которые мы имеем возможность применять для защиты своей среды Active Directory. Если вы применяете Azure AD в гибридном режиме, то имеются различные функции и службы, которые можно применять для защиты обеих сред (и облачных, и локальных). В этой главе мы также узнаем о некоторых из таких решений, таких как Привилегированное управление идентификацией Azure AD и Защита информации Azure.

Глава 16. Расширенное управление Active Directory с помощью PowerShell наполнена сценариями PowerShell, которые могут применяться для управления, обеспечения безопасности, аудита и отслеживания нашей среды Active Directory. Мы также изучим PowerShell Active Directory Azure для Графического модуля, который мы можем использовать для управления, запросов и обновления объектов AD в некой гибридной среде.

Глава 17. Гибридная установка Azure Active Directory рассматривает как мы можем расширять свою локальную инфраструктуру AD DS в Active Directory Azure. Прежде чем мы приступим к реализации, мы глубже проникнем в сам процесс планирования гибридной установки Azure AD. В этой главе мы также изучим различные методы аутентификации для некой гибридной среды и тех технологиях, которые стоят за этим.

Глава 18. Аудит и мониторинг Active Directory обучит вас как отслеживать вашу локальную/ гибридную инфраструктуру AD DS с применением различных инструментов и методов (как на основе облака, так и локальных). Эта глава к тому же демонстрирует как выполнять аудит в некой среде Active Directory.

Глава 19. Устранение неисправностей Active Directory обсуждает как выискивать и исправлять наиболее распространённые проблемы инфраструктуры Active Directory применяя различные инструменты и методы. Более того, мы также рассмотрим наиболее часто встречающиеся ошибки соединения с Azure AD, которые могут оказывать непосредственное воздействие на жизнеспособность гибридной среды Azure AD.

Дополнение А. Аттестация более широко охватывает разделы глав Вопросы и ответы. Она свободно доступна в Интернете.

Дополнение B. Ссылки более широко охватывает разделы глав Дальнейшее чтение. Она свободно доступна в Интернете.

 Как получить максимальную выгоду от этой книги

Эта книга идеальна для профессионалов ИТ, системных инженеров и администраторов, которые имеют базовые знания по Службам домена Active Directory. Также требуются базовые навыки PowerShell, так как большая часть развёртывания ролей, настроек и управления выполняются с применением команд и сценариев PowerShell.

 Выгрузка цветных изображений

Помимо всего прочего мы также предоставляем некий файл PDF, который содержит цветные изображения снимков экранов/ схем, применяющихся в данной книге. Вы можете получить их здесь.

 Соглашения

В данной книге вы найдёте ряд текстовых стилей, которые делают разницу между различными видами информации. Здесь мы приводим некоторые примеры этих стилей и объяснение их назначения.

CodeInText: указывают на кодовые слова в тексте, имена таблиц базы данных, имена папок, имена файлов, модели URL-адресов, ввод пользователя, и регулировки Twitter. Вот некий образец: "SLD выступают названиями домена, которые не имеют суффиксов, таких как .com, .org или net".

Весь ввод командной строки записывается следующим образом:


Get-ADDomain | fl Name,DomainMode
 	   

Жирно: выделяются новые термины и важные слова или слова, которые вы видите на экране. Например, в меню или блоках диалогов появляются в тексте следующим образом: "Перейдите к All Services | Azure AD Domain Services".

[Замечание]Замечание

Предостережения или важные замечания появляются в блоках подобных этому.

[Совет]Совет

Советы и ловкие приёмы возникают таким образом.

 Обратная связь с читателями

Обращения наших читателей всегда приветствуются. Дайте нам знать что вы думаете об этой книге - что вам нравится или не нравится. Обратная связь с читателями важна нам, так как помогает нам разрабатывать издания, от которых вы на самом деле получите максимальную пользу.

Для отправки обычного отклика просто пошлите электронное письмо на адрес feedback@packtpub.com с упоминанием заголовка книги в теме вашего сообщения.

Если у вас существует тема, в которой у вас имеется опыт и вы заинтересованы либо в написании, либо во вкладе в книгу, обратитесь к руководству по адресу www.packtpub.com/authors.

 Поддержка пользователей

Теперь, когда вы являетесь гордым владельцем книги Packt, у нас есть целый ряд моментов для помощи вам в получении максимальной выгоды от вашей покупки.

 Опечатки

Хотя мы и предприняли все меры чтобы обеспечить точность нашего содержимого, ошибки всё- таки возможны. Если вы обнаружили ошибку в нашей книге - возможно, ошибку в тексте или в коде - мы будем признательны если вы сообщите об этом нам. Сделав это, вы можете предостеречь остальных читателей от разочарования и помочь нам улучшить последующие версии данной книги. Если вы обнаружили ошибку, пожалуйста, сообщите о ней посетив www.packtpub.com/submit-errata, выбрав вашу книгу, кликнув на ссылку Errata Submission Form, и заполнив подробности найденной вами ошибки. Когда ваша ошибка будет проверена, вы получите уведомление и ошибка будет выложена на наш веб- сайт или добавлена в какой- нибудь перечень существующих ошибок с заголовком раздела Errata.

Для просмотра ранее выявленных ошибок посетите www.packtpub.com/books/content/support и введите название нужной книги в поле поиска. Необходимая информация появится в разделе Errata.

 Незаконное тиражирование

Пиратство, защищённых авторским правом материалов в Интернете является постоянной проблемой во всех средствах массовой информации. В Packt мы подходим к защите наших авторских прав и лицензий очень серьёзно. Если вы столкнётесь с какой-либо незаконной копией наших работ в любой форме в Интернете, пожалуйста, предоставьте нам сразу адрес местонахождения или имя веб-сайта, чтобы мы могли принять меры. {Прим. пер.: Согласно закону об авторском праве РФ, авторские права на перевод принадлежат авторам этого перевода. Данным переводом, по нашему мнению, мы служим популяризации основных стратегических направлений развития тем Packt. В случае наличия конструктивных предложений, готовы к тесному сотрудничеству.}

Пожалуйста, обратитесь по адресу copyright@packtpub.com со ссылкой на материалы содержащие признаки нарушения авторских прав.

Мы выражаем вам признательность в защите наших авторов и нашей возможности доносить до вас имеющего ценность содержимого.

 Вопросы

Если у вас есть проблемы по любым сторонам данной книги, вы можете контактировать с нами по адресу questions@packtpub.com и мы предпримем все меры в отношении ваших проблем.

 Содержание

Предисловие
Что охватывает эта книга
Как получить максимальную выгоду от этой книги
Для кого эта книга
Соглашения
Обратная связь с читателями
Поддержка пользователей
Опечатки
Незаконное тиражирование
Вопросы
Часть 1. Планирование, разработка и установка Active Directory
Глава 1. Основы Active Directory
Преимущества применения Active Directory
Централизованный репозиторий данных
Репликация данных
Высокая доступность
Безопасность
Возможности аудита
SSO (Single sign-on)
Модификация схемы
Запросы и индексация
Понимание компонентов Active Directory
Логические компоненты
Леса
Домены
Деревья доменов
Организационные подразделения
Физические компоненты
Контроллеры доменов
Сервер глобального каталога
Площадки Active Directory
Понимание объектов Active Directory
Глобально уникальные идентификаторы и идентификаторы безопасности
Отличительные названия
Роли сервера Active Directory
Службы Домена Active Directory
Доступные только для чтения Контроллеры домена
Службы Федерализации Active Directory
Службы Облегчённого каталога Active Directory
Службы Управления правами Active Directory
Службы Сертификатов Active Directory
Azure AD
Управление централизованной идентичностью и доступом
Практический опыт SSO
Службы домена
Посредник приложений Azure AD
B2B Azure AD
B2C Azure AD
Версии Azure AD
Выводы
Глава 2. Службы домена Active Directory 2019
Функциональность AD DS 2016
Устаревшие уровни функциональности дерева и домена Windows Server 2003
Устаревшие службы Репликации файлов
PAM
Что должен делать PAM в AD DS 2016?
Какая логика зиждется за PAM?
Участие в группах на основе времени
Паспорт Microsoft
Улучшения AD FS
Улучшения синхронизации времени
Присоединение Azure AD
Присоединённые к Azure AD устройства
Гибридные присоединённые к Azure AD устройства
Текущие устройства Windows
Устройства Windows нижнего уровня
Выводы
Глава 3. Проектирование инфраструктуры Active Directory
Что делает хорошая система?
Новые требования бизнеса
Исправление унаследованных ошибок проектирования
Получение бизнес- данных
Задание границ безопасности
Выявление сетевой структуры физических компьютеров
Проектирование структуры Леса
Отдельный Лес
Множество Лесов
Создание структуры Леса
Автономность
Изоляция
Выбор модели проектирования Леса
Модель Леса организации
Модель Леса ресурса
Модель Леса ограничения доступа
Проектирование конкретной структуры домена
Модель единственного домена
Модель регионального домена
Общее число доменов
Выбор названия домена
Домен корня леса
Решения на уровнях функциональности домена и леса
Разработка структуры OU
Проектирование физической топологии Active Directory
Физические или виртуальные контроллеры домена
Размещение контроллера домена
Размещение сервера глобального каталога
Проектирование гибридной идентичности
Подход облачного решения
Потребности идентичности бизнеса
Синхронизация
Стоимость
Выводы
Глава 4. Active Directory DNS
Чем является DNS?
Иерархические структуры именования
Как работает DNS
Основы DNS
Записи DNS
Запуск записи авторизации
Записи A и AAAA
Записи NS
Записи обмена почтовыми сообщениями
Записи канонических имён
Записи указателя
Записи SRV
Зоны
Первичная зона
Вторичная зона
Зоны заглушек
Зоны обратного просмотра
Режимы работы сервера DNS
Зоны обмена
Делегирование DNS
Поставщики службы DNS
Выводы
Глава 5. Помещение операций Ролей хозяина
Роли FSMO
Хозяин операций схемы
Хозяин операций доменных имён
Хозяин операций эмулятора первичного контроллера домена
Роль хозяина операций относительного идентификатора
Хозяин операций инфраструктуры
Размещение роли FSMO
Логическая и физическая топологии Active Directory
Связность
Общее число контроллеров домена
Ёмкость
Перемещение ролей FSMO
Овладение ролями FSMO
Выводы
Глава 6. Миграция в Active Directory 2016
Предварительные требования установки AD DS
Требования к оборудованию
Требования к виртуальной среде
Дополнительные требования
Методы установки AD DS
Сценарии развёртывания AD DS
Установка нового домена корня леса
Контрольный список установки AD DS для самого первого контроллера домена
Проектирование топологии
Этапы установки
Установка дополнительного контроллера домена
Контрольный список установки AD DS для дополнительного контроллера домена
Проектирование топологии
Этапы установки
Установка нового дерева доменов
Контрольный список установки AD DS для нового дерева доменов
Проектирование топологии
Этапы установки
Установка нового дочернего домена
Контрольный список установки AD DS для нового дочернего домена
Проектирование топологии
Этапы установки
Как планировать миграцию Active Directory
Жизненный цикл миграции
Аудит
Логическая и физическая топологии Active Directory
Проверка жизнеспособности Active Directory
SCOM и Монитор Azur
Аудит приложений
Планирование
Реализация
Контрольный список миграции Active Directory
Разработка топологии
Этапы установки
Верификация
Сопровождение
Выводы
Часть 2. Администрирование Active Directory
Глава 7. Управление объектами Active Directory
Инструменты и методы для управления объектами
Центр администрирования Active Directory
ADUC MMC
Администрирование объектов Active Directory посредством PowerShell
Создание, изменение и удаление объектов в AD
Создание объектов в AD
Создание объектов пользователя
Создание объектов компьютера
Изменение объектов в AD
Удаление объектов в AD
Поиск объектов в AD
Поиск объектов при помощи PowerShell
Выводы
Глава 8. Управление пользователями, группами и устройствами
Атрибуты объекта
Индивидуальные атрибуты
Учётные записи пользователя
MSA
gMSA
Деинсталляция MSA
Группы
Область действия группы
Преобразование групп
Установка групп
Устройства и прочие объекты
Наилучшие практические приёмы
Выводы
Глава 9. Проектирование структуры OU
OU в операциях
Организация объектов
Делегирование управления
Групповые политики
Сопоставление контейнеров и OU
Модели проектирования OU
Модель контейнера
Модель типа объекта
Географическая модель
Модель подразделения
Управление имеющейся структурой OU
Делегирование управления
Выводы
Глава 10. Управление Групповыми политиками
Преимущества Групповых политик
Стандарты сопровождения
Автоматизация задач администрирования
Предотвращение изменений настроек системы со стороны пользователей
Гибкое целеуказание
Отсутствие изменений у целей
Возможности Групповой политики
Объекты Групповой политики
Контейнер Групповой политики
Шаблон Групповой политики
Обработка Групповой политики
Наследование Групповой политики
Конфликты Групповой политики
Соответствие и состояние Групповой политики
Шаблоны администрирования
Фильтрация Групповой политики
Фильтрация безопасности
Фильтрация WMI
Предпочтения Групповой политики
Целеуказание на уровне элемента
Обработка петель
Наилучшие практические приёмы Групповой политики
Выводы
Часть 3. Управление службами Active Directory
Глава 11. Службы Active Directory
Обзор AD LDS
Где применять LDS?
Разработка приложений
Расположение приложений
Распределённые хранилища данных для интегрированных с AD приложений
Миграция из иных служб каталога
Установка LDS
Репликация AD
Сопоставление FRS и DFSR
Состояние подготовленного
Состояние перенаправленного
Состояние ликвидированного
Площадки AD и репликация
Репликация
Аутентификация
Местоположения службы
Площадки
Подсети
Подключения площадки
Мосты подключений площадки
Управление площадками AD и другими компонентами
Управление площадками
Управление подключениями площадки
Стоимость подключения площадки
Протоколы обмена между площадками
Интервалы репликаций
Расписания репликаций
Мост подключений площадки
Серверы- плацдармы
Управляемые подсети
Как работают репликации?
Репликации между площадками
Репликации между площадками
KCC
Как происходят обновления?
USN (Последовательный номер обновления)
DSA GUID и идентификатор вызова
Таблица HWMV
Таблица UTDV
RODC
Сопровождение базы данных AD
Файл ntds.dit
Файл edb.log
Файл edb.chk
Файл temp.edb
Дефрагментация в отключённом состоянии
Резервное копирование и восстановление AD
Предотвращение случайного удаления объектов
Мусорная корзина AD
Моментальные снимки AD
Резервное копирование состояния системы AD
Восстановление AD из резервной копии состояния системы
Выводы
Глава 12. Службы Сертификатов Active Directory
PKI в действии
Сопоставление симметричных и несимметричных ключей
Цифровое шифрование
Цифровые подписи
Подписи, шифрование и дешифрация
Сертификаты SSL
Типы авторизации сертификатов
Как работают сертификаты при помощи цифровых подписей и шифрования?
Что мы можем делать посредством сертификатов?
Компоненты AD CS
CA
Веб служба Регистрации сертификатов
Веб служба Политик регистрации сертификатов
Веб служба Авторизации Регистрации сертификатов
Регистрация сертификатов сетевых устройств
Интернет ответчик
Типы CA
Планирование PKI
Внутренний или общедоступный PKI
Указание правильных типов объектов
Длина криптографического ключа
Алгоритмы хэширования
Промежуток действия сертификата
Иерархия CA
Высокая доступность
Выбор шаблонов сертификатов
Границы CA
Модели развёртывания PKI
Одноуровневая модель
Модель с двумя уровнями
Модель с тремя уровнями
Установка PKI
Установка обособленного корня CA
DSConfigDN
Местоположения CDP
Местоположения AIA
Временные рамки CA
Временные рамки CRL
Новый CRL
Публикация данных имеющегося корня CA в AD
Настройка CA выдачи
Выпуск сертификата для CA выдачи
Задачи по завершению настройки
Местоположения CDP
Местоположения AIA
Временные рамки CA и CRL
Шаблоны сертификата
Запрос сертификатов
Выводы
Глава 13. Службы Федерализации Active Directory
Как работает AD FS?
Что представляет собой заявка?
SAML
WS-Trust
WS-Federation
Компоненты AD FS
Служба федерализации
AD FS 1.0
AD FS 1.1
AD FS 2.0
AD FS 2.1
AD FS 3.0
AD FS 4.0
Что нового в AD FS 2019?
WAP
База настроек AD FS
Топологии развёртывания AD FS
Единственный сервер федерализации
Единственный сервер федерализации и единственный сервер WAP
Множество серверов федерализации и множество серверов WAP с применением Сервера SQL
Развёртывание AD FS
Записи DNS
Сертификаты SSL
Установка определённой роли AD FS
Установка WAP
Настройка осведомлённого о заявке клиента с новыми серверами федерализации
Создание доверительной проверяющей стороны
Настройка WAP
Интеграция с Azure MFA
Предварительные требования
Создание сертификата на ферме AD FS для соединения с Azure MFA
Разрешение подключения серверов AD FS с клиентом Azure MFA
Разрешение определённой ферме AD FS применения Azure MFA
Разрешение Azure MFA для аутентификации
Выводы
Глава 14. Службы Управления правами Active Directory
Что такое AD RMS?
Компоненты AD RMS
AD DS
Кластер AD DS
Веб сервер
Сервер SQL
Клиент AD RMS
AD CS
Как работает AD RMS?
Как разв1ртывать AD RMS?
Единственный лес - единственный кластер
Единственный лес - множество кластеров
AD RMS во многих кластерах
AD RMS через AD FS
Настройка AD RMS
Настройка корневого кластера AD RMS
Установка роли AD RMS
Конфигурирование роли AD RMS
Проверка - защита данных с помощью кластера AD RMS
Проверка - применение полномочий к определённому документу
Выводы
Часть 4. Наилучшие практические приёмы и устранение неисправностей
Глава 15. Наилучшие практические приёмы Active Directory
Аутентификация AD
Протокол Kerberos
Аутентификация в среде AD
Делегирование полномочий
Предварительно заданные роли администратора AD
Применение объектов ACL
Использование и делегирование методов управления в AD
Реализация политик пароля с тонкой грануляцией
Ограничения
RSoP
Настройка
Атаки передачи хэш- значений
Группа безопасности Защищённых пользователей
Ограниченный режим администратора для RDP
Политики аутентификации и Бункер политик аутентификации
Политики аутентификации
Бункеры политик аутентификации
Создание политик аутентификации
Создание Бункеров политик аутентификации
Администрирование JIT и AD JEA
Администрирование JIT
JEA
PIM Azure AD
Лицензионные требования
Руководства по реализации
Реализация
AIP
Классификация данных
Azure RMS
Сопоставление Azure RMS и AD RMS
Как работает Azure RMS?
Сканер AIP
Реализация AIP
Выводы
Глава 16. Расширенное управление Active Directory с помощью PowerShell
Управление AD посредством PowerShell - подготовка
Команды и сценарии управления AD
Репликация
Репликация конкретного объекта
Пользователи и группы
Время последней регистрации
Отчёт о дате последней регистрации
Отчёт о об отказах регистрации
Поиск блокированной учётной записи
Отчёт об истечении срока действия пароля
JEA
Настройка JEA
Проверка
Azure AD PowerShell
Установка
Общие команды
Управление пользователями
Управление группами
Выводы
Глава 17. Гибридная установка Azure Active Directory
Интеграция Azure AD с собственной средой AD
Оценка имеющихся бизнес требований
Оценка дорожной карты инфраструктуры организации
Оценка требований безопасности
Выбор версии Azure AD
Принятие решения по методу подписи
Синхронизация хэша паролей
Федерализация через Azure AD
Проброс аутентификации
Бесшовный SSO Azure AD
Синхронизация между собственным AD и Управляемым Azure AD доменом
Соединение с Azure AD
Топология развёртывания подключения к Azure AD
Этапы сервера
Пошаговое руководство интеграции собственной среды AD с Azure AD
Создание виртуальной сетевой среды
Настройка управляемого Azure AD домена
Добавление подробностей сервера DNS в имеющуюся виртуальную среду
Создание учётной записи глобального администратора для подключения к Azure AD
Настройка подключения к Azure AD
Установка агента проброса аутентификации
Конфигурирование подключения к Azure AD
Синхронизация хэшей учётных данных NTLM и Kerberos с Azure AD
Выводы
Глава 18. Аудит и мониторинг Active Directory
Аудит и мониторинг AD с помощью встроенных инструментов и технологий Windows
Обозреватель событий Windows
Индивидуальные представления
Журналы Windows
Журналы приложений и служб
Подписки
Журналы событий AD DS
Файлы журналов AD DS
Аудит AD
Доступ к службе AD
Изменения в службе AD
Репликация службы AD
Аудит подробностей репликации Службы каталога
Демонстрация аудита AD
Просмотр событий
Настройка подписок на события
Журналы событий безопасности из контроллеров домена
Включение расширенных политик аудита безопасности
Принудительный расширенный аудит
Просмотр событий с помощью PowerShell
Microsoft ATA
Что такое Microsoft ATA?
Преимущества ATA
Компоненты ATA
Центр ATA
Шлюз ATA
Облегчённый шлюз ATA
Развёртывание ATA
Предварительные требования развёртывания ATA
Демонстрация Microsoft ATA
Установка ATA центра
Установка облегчённого шлюза ATA
Проверка ATA
Монитор Azure
Преимущества Монитора Azure
Монитор Azure в гибридной среде
Какие преимущества будут иметься в AD?
Демонстрация Монитора Azure
Включение решений AD Монитора Azure
Установка агентов аналитики журналов
Просмотр результатов анализа
Жизнеспособность соединения с Azure AD
Предварительные требования
Демонстрация
Выводы
Глава 19. Устранение неисправностей Active Directory
Устранение проблем репликации AD DS
Выявление проблем репликации
Просмотрщик событий
SCOM
Монитор Azure
Устранение неисправностей репликации
Затянувшиеся объекты
Строгая согласованность репликации
Удаление затянувшихся объекты
Вызываемые репликацией DFS сложности
Поиск и устранение неисправностей
Проверка соединения
Состояние совместного ресурса SYSVOL
Состояние репликации DFS
Падение DFSR по причине грязного останова самого контроллера домена (идентификатор события 2213)
Обновление содержимого
Репликация DFS без аутентификации
Репликация DFS с аутентификацией
Как устранять проблемы Групповой политики
Поиск и устранение неисправностей
Принудительная обработка Групповой политики
RSoP
GPRESULT
Мастер результатов Групповой политики
Мастер моделирования Групповой политики
Как устранять связанные с базой данных неисправности AD DS
Проверка целостности для выявления нарушений базы данных на нижнем уровне
Восстановление базы данных AD
Выводы
Указатель