Active Directory
Как указано на странице приложения, Logonscripter позволяет автоматизировать процесс создания сценариев входа в систему Windows. Далее будет продемонстрировано, каким образом это делается.
Если DHCP-сервер только устанавливается, а IP-адреса ранее назначались статично на самих устройствах, то имеет смысл автоматизировать процесс его настройки.
Наиболее трудоёмкой операцией при настройке службы DHCP является резервирование IP-адресов. Чтобы автоматизировать её, можно воспользоваться командным файлом, который сначала проверяет доступные устройства командой ping, а затем по данным кэша arp формирует другой командный файл для добавления записей резервирования на сервер.
Если пользователь вошёл в систему на рабочей станции с операционной системой Windows после выполнения работ по включению рабочей станции в домен Active Directory и его рабочий стол, папка с документами и настройки пропали, то это значит, что вместо старого профиля пользователя создался новый. Ведь даже если пользователь локальный и доменный имеют одинаковые имена, это совершенно разные пользователи и поэтому система справедливо создаёт для доменного пользователя новый профиль. Восстановить настройки рабочего стола пользователя и документы можно, указав путь к старому профилю в системном реестре.
В организации, основой информационной системы которой является сеть, построенная на серверах Windows c Active Directory, для решения типовой задачи по обеспечению выхода в интернет, можно использовать вариант, многократно опробованный на Linux - это прокси-сервер Squid. Для запуска в Windows используется его сборка SquidNt. Для кого-то немаловажным будет то, что Squid распространяется под лицензией GNU General Public License, то есть бесплатно. Возможности настройки Squid достаточно широки и позволяют обеспечить доступ практически ко всем http-ресурсам сети интернет, с фильтрацией (блокированием баннеров), ограничением доступа, ограничения трафика пользователя или компьютера и т.д. Процесс установки самой программы несложен, поэтому пропущу его и сразу перейду к основной теме заметки.
Задача: обеспечить выход в интернет через прокси-сервер 2 группам пользователей Active Directory. Первая группа имеет неограниченный доступ. Вторая группа имеет доступ только к сайтам из списка для ограниченного доступа. На всех компьютерах установлена операционная система Windows, основным браузером является Internet Explorer. Дополнительно иногда используются Firefox и Opera. Доступ должен предоставляться только с тех компьютеров, которые добавлены список разрешённых для доступа в интернет.Далее...
Известно, что в целях безопасности пользователи должны регулярно менять свои пароли. Также известно, что доверять смену пароля самому пользователю нежелательно, так как если настройки групповой политики домена позволяют, то он создаст себе легко подбираемый пароль. Если политика предъявляет требования к сложности пароля, тогда пользователю трудно самому составить пароль, не зная принципов, по которым он должен формироваться - система будет отвергать простые пароли и пользователь потратит много времени, пока введёт пароль, который система примет. Поэтому в больших организациях специалисты по безопасности назначают пароли пользователям, генерируя их различными программами.
Появилась задача по массовой установке программы на все компьютеры. Для этого было решено использовать стандартные возможности Active Directory и групповую политику. Настройка политики в части установки программного обеспечения не дала результата для Windows XP, поэтому пришлось решать возникшую проблему.
Порядок подключения к Active Directory.
Если вкратце описать процесс, то:
- Компьютер:
- получает IP-адрес по DHCP или имеет статический
- определяет сайт и контроллер домена
- установка защищённого канала с контроллером домена
- аутентификация Керберос и создание защищённого канала
- получение списка DFS-ссылок
- трансляция имени в идентификатор (сопоставление имён)
- запрос данных о LDAP RootDSE
- поиск групповой политики
- загрузка политики по SMB
- автоматическая подача заявки на клиентский сертификат
- синхронизация времени
- динамическое обновление имени в DNS
- завершение процесса подключения
- Пользователь:
- запрос и получение ключей Керберос, установка сессии
- загрузка политики
- завершение процесса подключения
( _ldap._tcp.dc._msdcs.DnsDomanName и _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.DnsDomanName)