Главная Security, Windows, Новое Active Directory, AD RMS, Windows 2008 R2
  • AD RMS: Часть 2 — Защита документов

    2525

    В первой части мы развернули серверную часть Active Directory Rights Management Services и теперь пришло время пустить ее в ход. С помощью RMS мы будем защищать стандартные форматы документов, создаваемые пакетом Microsoft Office 2007.  В ходе дальнейших экспериментов нам понадобится клиентская ОС, для этих целей я установил Windows 7 с Enterprise версией офиса на борту. Напоминаю, что все ОС моложе Windows Vista SP1 требуют установки специального RMS клиента, скачиваемого с сайта Microsoft.

  • Главная Security, Windows, Новое Active Directory, AD RMS, Security, Windows 2008 R2
    • AD RMS: Часть 1 – Развертывание

      keyНесмотря на то, что служба AD RMS  в Windows 2008 R2 является уже четвертым выпуском службы управления правами,  она по-прежнему остается  «редким зверем» в зоопарке  ит-решений Российских системных администраторов.  Ответить на вопрос, почему так сложилось довольно сложно, возможно отчасти из-за недопонимания сути технологии и некоторым требованиям к уже имеющейся инфраструктуре, отчасти из-за ее несколько показушной защиты.  Я не буду пытаться хвалить или наоборот выливать ушак грязи на AD RMS, а попытаюсь провести некий экскурс по настройке и администрированию, дабы читатель сам смог решить о необходимости подобного решения.

    • Главная Exchange/UC, Windows, Новое Active Directory, Exchange 2007
      • Синхронизация глобальных списков адресов (GAL) с использованием ILM 2007 FP1

        catalog Как обычно посетив работу, узнаешь, что задачи и проекты по реализации падают, как снег на голову и вот именно поэтому появилась данная статья. Сегодня мы поговорим о том, как настроить синхронизацию адресных книг (GAL) между двумя лесами средствами Microsoft Identity Lifecycle Manager 2007 FP1. Очень часто в крупных сетях требуется объединить несколько почтовых организаций в единый Global Address List. При этом обоснование очень простое “это требуется бизнесу”. Ну, надо так надо.

      • Главная Windows Active Directory
        • Снимки Active Directory в Windows Server 2003

          • Рубрика: Windows
          • Автор: Илья Рудь
          • Дата: Saturday 04 Jul 2009

          canon      Одной из новых возможностей в Windows Server 2008 было создание снимков состояния Active Directory, которые должны были стать подспорьем в случае восстановления службы каталогов. Бесспорно, довольно интересная штатная возможность. Недавно в 1001-й раз запускал одну из самых любимых утилит из комплекта  SYSINTERNALS под названием AdExplorer  и совершенно случайно остановил взгляд в меню на слове “Snapshot”.  Сама утилита Active Directory Explorer не что иное, как  средство просмотра и редактирования Active Directory (AD). Не смотря на то, что это могут и родные утилиты Windows Server 2003, я выбрал ее за приятный и удобный интерфейс. С выходом Windows Server 2008 она по-прежнему остается актуальным инструментом. Но теперь ближе к теме.

          К своему стыду я выяснил, что одной из возможностей утилиты AdExplorer является создание снимков Active Directory с последующим их сохранением в **.DAT файлы. Получается, что создание снимка в Windows Server 2003 вполне обычное дело, пусть и выполняемое сторонними средствами.

          snap1 

          Запустив утилиту и подключившись к вашему контроллеру домена в меню файл можно обнаружить функцию “Create Snapshot”.

          snap2

          Далее указываем имя снимка и его местоположение, а также процент максимальной загрузки сервера на который мы готовы пойти для создания снимка. В примечании указано, что при выборе 25% времени на создание снимка базы понадобится в 4 раза больше времени. Остается нажать “Ок” и дождаться окончания процесса. На моем виртуальном контроллере на базе Windows Server 2003  снимок  создался за 10 секунд с весом файла снимка 2,4 мегабайта. Файл ntds.dit  в оригинале весил чуть более 10 мегабайт.

          snap3 

          Теперь при желании просмотреть состояние нашей Active Directory, достаточно при запуске утилиты указать, что вы хотите использовать снимок для загрузки. В принципе можно сказать, что и все, но тогда бы я скрыл от вас самое вкусное. Имея несколько снимков Active Directory, вы с легкостью можете их сравнить. Естественно не вручную отыскивая изменения, а используя опцию “Compare Snapshot”

          snap4

          snap5

          В появившемся меню необходимо указать с каким снимком будет осуществляться сравнение и главное полным оно будет или частичным. На моем тестовом сервере я создал два снимка отличающиеся друг от друга одним единственным пользователем. В результате на выходе я получил следующее окно:

          snap6

          По результатам сравнения я могу сдать вывод, что в промежутке между созданиями снимков была заведена учетная запись пользователя Vasya Pupkin и изменился атрибут “rIDNextRID”, описывающий  RID, который будет выдан следующему объекту  Active Directory.

          Еще одним плюсом данного решения является  возможность создать расписание  для автоматического снятия образов Active Directory. Для этого понадобится создать пакетный файл запускающий утилиту с ключом «-snapshot», после чего поставить его запуск по расписанию. Получается очень дружелюбное и простое решение для владельцев контроллеров домена Windows Server 2003.

          MCT Илья Рудь

        • Главная Windows, Новое Active Directory
          • Active Directory — трудности перевода. Часть 3

            • Рубрика: Windows,Новое
            • Автор: Илья Рудь
            • Дата: Wednesday 01 Jul 2009

            intranet-active-directory К концу второй части наша организации доросла до двух офисов, и вы познакомились с понятием сайтов. Вполне может быть, что на этом ваша сеть и остановится в росте, но мы пойдем дальше.

            К вам опять подходит Шеф, но теперь сообщает другую новость о том что сегодня за завтраком он купил еще одну фирму . И теперь очень хочет от вас услышать, как вы видите дальнейшую организацию вашей сети. Прежде чем делать какие-то выводы, вы обязаны задать несколько ключевых вопросов.

          • Главная Security, Windows, Новое Active Directory
            • Взлом пароля администратора домена или почему рулит комплексная безопасность.

              SecurityAlert Компания Майкрософт уже довольно давно продвигает на рынок идеологию  обеспечения безопасности “Defence in depth” (эшелонированная оборона). Название  было заимствовано у военных стратегов, а смысл заключается в том, что бороться за безопасность нужно на каждом участке. Сама стратегия делит все рубежи защиты на 7 участков, каждый из которых подразумевает свой комплекс мер. Для тех кто считает, что пароль из 14 символов это верх защиты их корпоративной сети посвящается следующая “пошаговка”. Для выполнения ее необходим уровень знаний продвинутого пользователя, физический доступ к контролеру домена и желание покопаться 15 минут в Google.

              Проще говоря Bitlocker, RODC и физическая безопасность  серверной  “рулят”.

              Для выполнения следующих манипуляций был выбран контроллер домена Windows Server 2008R2 (чего уж скромничать). Естественно я не знаю паролей  учетных записей и допускаю то что они достаточно сложны, а следовательно проверять варианты “sex,god,123,password” смысла особого нет.

              Зайдя в Google и введя в строке поиска “Reset Password Domain Administrator” я первой строчкой попадаю на сайт израильского MVP, который в деталях описывает процесс сброса пароля доменного администратора. Одно но, чтобы использовать данный способ нужно знать пароль администратора DSRM, для тех кто запамятовал поясняю, что это учетная запись хранится на контроллере домена локально и используется в случаях когда вашей службе каталогов “совсем плохо”, т.е для восстановления. Но увы, я этого пароля не знаю.

              Поэтому я отрываю в вторую закладку в браузере и ввожу опять же в Google текст  “linux cd for reset administrator password” и ищу образ загрузочного диска который позволит мне сбросить пароль DSRM. И на сайте опять же американского специалиста Petter Nordahl-Hagen нахожу нужный диск. Скачать его можно отсюда.

              А дальше? Дальше процесс не требующий никакой умственной деятельности.

              1

              Грузим наш сервер с диска скачанного по ссылке.

              2

              Выбираем раздел жесткого диска с системой. У меня на слайде их два и это не удивительно Windows Server 2008 R2 создает раздел в 200 мегабайт на случай включения Bitlocker.

              3

              Выбираю опцию “Password Reset” и нажимаю Enter.

              4

              Дале говорю, что желаю редактировать учетную запись.

              5

              Указываю, что меня интересует учетная запись Administrator.

              6

              И в итоге выхожу на запрос, что сделать с данной учеткой. Я сбрасывал пароль на пустой, хотя можно просто задать свой пароль.

              7

              Не забываю сохранить сделанные изменения, в противном случае от ваших действий толку будет ноль. После сохранения ухожу в перезагрузку и при старте компьютера нажима. F8 дабы попасть на выбор вариантов загрузки.

              1

              Естественно выбираю вариант загрузки “Directory Service Restore Mode”, чтобы зайти под учетной записью DSRM-администратора.

              2

              Выбираю “вход под другой учетной записью” т.е  локальный вход и ввожу если осуществлял смену пароля либо оставляю пусты пароль DSRM-администратора.

              3

              Далее делаю следующее: создаю на диске C: папку с именем “tools”  и копирую в нее содержимое диска, набор утилит позаимствованных у MVP. Скачать можно отсюда. И добавляю в эту папку файл cmd.exe, взятый из  каталога C:\Windows\System32.

              4

              После запускаю командную строку и ввожу “instsrv PassRecovery “C:\tools\srvany.exe””. Это даст мне возможность запустить srvany.exe как сервис с именем PassRecovery, запустится который с привилегиями SYSTEM.

              5

              Остается самая малость. Открыть редактор реестра и раскрыть ветку

              HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\PassRecovery

              Создана данная ветка была при установке службы шагом выше.

              6

              В ней мы создаем папку для наших будущих ключей с именем “Parameters”. Имя только такое.

              7

              Создаю два ключа реестра с именами Application и AppParameters. Application указывает на пусть к командной строке в нашей папке.

              AppParameters описывает, что должно в этой командной строке выполниться. А выполнится там команда “net user” и сбросит пароль учетной записи administrator (на этот раз доменной)  на Pa$$w0rd. Такой чудной пароль был выбрал не случайно, просто он соответствует требованиям сложности, которые будут проверяться при сбросе пароля.

              name: Application

              type: REG_SZ (string)

              value: с:\tools\cmd.exe

              name: AppParameters

              type: REG_SZ (string)

              value: /k net user administrator Pa$$w0rd /domain

              8

              Напоследок нахожу созданную мной  службу PassRecovery и ее свойствах ставлю галочку “Allow Service to interact with desktop”. Можно перезагружаться в нормально режиме.

              9

              Когда я загрузился  и удостоверился, что пароль был сброшен, служба была остановлена и удалена. Следом за ней и все файлы из папки C:\tools.

              Вывод: Способ топорный (+ баянный), но действенный как автомат Калашникова. Год назад  на сайте Павла Нагаева был  продемонстрировано другой вариант получения нужного доступа посему важность физической безопасности вашей серверной и шифрования нисколько не преувеличена.

              MCT Илья Рудь

            • Главная Windows, Новое Active Directory
              • Active Directory — трудности перевода. Часть 2

                • Рубрика: Windows,Новое
                • Автор: Илья Рудь
                • Дата: Wednesday 24 Jun 2009

                dc Из первой части, мы четко уяснили, что для нормальной работы вашей доменной сети контроллер домена должен быть доступен, при этом иметь созданные учетные записи для ваших пользователей и компьютеров. А клиенты с свою очередь обязаны при входе в сеть обратиться к этому контроллеру. Теперь необходимо понять как клиент узнает IP-адрес контроллера что бы передать ему данные, введенные пользователем. Ведь ни имя, ни тем более IP-адрес контроллера не задается на клиентах.

              • Главная Windows, Новое Active Directory
                • Active Directory – трудности перевода. Часть 1.

                  • Рубрика: Windows,Новое
                  • Автор: Илья Рудь
                  • Дата: Tuesday 23 Jun 2009

                  hls_active_directory

                  Прежде чем работать и детально изучать какую-то технологию мне необходимо понимать ее суть, выучить и опять же понять все основные термины, а самое главное разложить в голове по полочкам концепцию. Сегодня я предлагаю рассмотреть идеологию такой технологии как Active Directory, а как показывает опыт даже системные администраторы, имеющие за плечами годы администрирования AD зачастую «тонут» в терминах, встречающихся в документации. Посудите сами «Лес Active Directory, Дерево Active Directory , Схема Active Directory, Сайт Active Directory и.т.д» даже здоровая голова с непривычки закипит. На самом деле все очень просто, сейчас вы сами в этом убедитесь.

                • Главная Windows, Новое Active Directory
                  • Новые возможности Active Directory в Windows Server 2008 R2

                    • Рубрика: Windows,Новое
                    • Автор: Илья Рудь
                    • Дата: Monday 22 Jun 2009

                    logoНаконец-то мною была закончена запись вебкаста для проекта TechDays в рамках которой я постарался рассказать о том, что же нового увидят системные администраторы в доменных службах Active Directory если установят операционную систему Windows Server 2008 R2. Сложность доклада установлена на уровне 200. На мой взгляд доклад не сложный и будет легко воспринят специалистами которые знакомыми с Active Directory. Продолжительность видео составляет около 42 минут.

                  • Главная Windows Active Directory, Windows 7
                    • Автономный ввод в домен Active Directory

                      • Рубрика: Windows
                      • Автор: Илья Рудь
                      • Дата: Sunday 07 Jun 2009

                      advancedsettings Хотелось бы поделиться новой возможностью появившейся с выходом Windows 7 и Windows Server 2008 R2. В оригинале называется она  – “offline domain join”. Спорить как правильно перевести на родной язык  данный термин можно долго. Я остановился на варианте “автономный ввод в домен”. В чем суть?  Она проста. Если при введении предыдущих версий ОС в домен вам было необходимо иметь сетевое соединение с контроллером домена, то при вводе Windows 7/2008R2  это не обязательно. Сфера применения данной возможности мне пока ясна не до конца, если у вас есть мысли прошу поделиться в комментариях. Будем считать, что вы администрируете два леса Active Directory не связанных между собой. Перед вами стоит задача настроить рабочую станцию, отправить ее в другой филиал и соответственно в другой лес AD. И естественно вы хотите сделать так, чтобы по приезду в место назначения этот компьютер можно было подключить в сеть и начать работать.

                      Важно: Для использования “offline domain join” не нужно поднимать режим работы домена или леса. Более того, не нужно иметь контроллеры домена Windows 2008 или 2008R2. Для “Автономного ввода в домен” используется утилита “djoin”, которая присутствует в Windows 7/2008R2. Т.е достаточно хотя бы одного компьютера Windows 7/2008R2 работающего в домене назначения.

                      Логика работы “Автономного ввода в домен”

                      1. На любом контроллере Windows 2008R2 или клиентском Windows 7 в домене назначения запускаем утилиту “djoin” со следующими ключами:

                      djoin /provision /domain itband.ru /machine Win7-PC /dcname DC-SQL2005  /downlevel    /savefile C:\blob.txt

                      itband.ru  – имя вашего домена

                      Win7-PC  – имя клиентского компьютера который должен автономно войти в домен

                      DC-SQL2005 – имя контроллера домена

                      /downlevel  – ключ указывается если у вас контроллер домена Windows Server 2003

                      C:\blob.txt  – путь к файлу с метаданными

                      После ввода данной команды формируется текстовый файл содержащий необходимые данные для того, чтобы компьютер мог войти в домен (информация о имени домена, контроллера домена, SID домена и.т.д). Плюс к этому в Active Directory создается объект компьютер для будущего клиента. Файл в кодировке base64. Подробней о данном файле.

                      step1

                      Рис.1  Первый шаг, использование Djoin

                      2. Вторым шагом необходимо доставить данный файл blob.txt  на компьютер который должен автономно войти в домен. Какими средствами вы это сделаете зависит от вас. Хоть по почте пересылайте.

                      3. Доставив данный файл на клиентский компьютер, необходимо запустить командную строку и выполнить “djoin” со следующими ключами:

                      djoin /requestODJ /loadfile C:\blob.txt /windowspath %SystemRoot% /localos

                      Произойдет импортирование данных из файла в директорию Windows. Теперь при следующей загрузке операционной системы и доступности контроллера у вас будет возможность войти в домен Active Directory.

                      step 2

                      Рис.2  Третий шаг, использование Djoin

                      С одной стороны функционал более чем интересный, с другой появляется  гипотетическая возможность того, что кто то сможет перехватить или завладеть таким файлом “Приглашением” и включить свой компьютер в домен не имея никаких на это прав. Или это просто паранойя.)

                      На текущий момент информации по “offline domain join” очень мало. В частности я не смог найти есть ли какой-то срок жизни у такого файла-приглашения. Хотя если рассуждать логически, можно предположить, что он (срок жизни) равен сроку жизни пароля объекта компьютер. Оригинальная информация на английском языке.

                       

                      MCT Илья Рудь