Управление Active Directory с Active Administrator

Служба каталогов Active Directory является мощным и одним из наиболее важных компонентов распределенной компьютерной системы, давая гибкость в распределении ресурсов. Но в то же время стандартные инструменты, входящие в состав OS Windows не во всех случаях обеспечивают должный уровень управления AD.

По мере роста количества пользователей и ресурсов, к которым должен быть предоставлен доступ, управление Active Directory даже внутри отдельного домена заметно усложняется. А учитывая, что администрированием может заниматься несколько человек, через некоторое время ситуация может стать неуправляемой, а сама система потребует требующей серьезного аудита. Для администрирования Active Directory используются несколько инструментов, встроенных в Windows 2000/2003 Server, что не всегда удобно и требует некоторого времени на их полноценное освоение. Консоль управления групповыми политиками (Group Policy Management Console — GPMC), которая появилась в 2003 году, обеспечивает пользователю более удобный интерфейс управления политиками Windows на базе MMC (Microsoft Management Console). В его состав входит набор сценариев предназначенных для автоматизации типовых задач управления объектами групповой политики. Но в то же время и его возможностей часто бывает недостаточно.
Утилита Active Administrator
Корпорация ScriptLogic специализируется на разработке решений предназначенных для администрирования сетей Windows. Одним из выпускаемых продуктов является Active Administrator, простой в использовании инструмент, позволяющий эффективно управлять групповыми политиками и Active Directory, информировать обо всех значительных изменениях, проводить всесторонний аудит, значительно экономя время на администрирование.
Программа, к сожалению не бесплатна, стоимость лицензии зависит от количества объектов в Active Directory. Сама лицензия привязана к organizational unit, поэтому применение ее с иным OU невозможно.
Для определенных административных целей используются шаблоны Active Templates. Каждый шаблон определяет разрешения, которые требуются для определенных задач. С помощью таких шаблонов можно легко делегировать некоторые функции пользователям и гарантируют последовательное назначение разрешений в пределах Active Directory. Программа контролирует состояние установленных с помощью Active Templates разрешений, права не соответствующие действующей модели безопасности автоматически восстанавливаются. Администратор может самостоятельно создавать необходимые шаблоны, как с нуля, так и на основе уже имеющиеся. Интерфейс позволяет легко найти необходимый объект, при этом в другом окне будут отображены все разрешения. Для удобства их отбора можно использовать систему фильтров.
Консоль управления предоставляет единый интерфейс для управления, планирования, редактирования, резервирования и восстановления групповых политик. Поддерживается функциональность инструмента известного как результирующий набор политик (Resultant Set of Policies — RSoP) появившаяся в Windows 2003 Server, задача которого упростить измерение накопительных настроек групповой политики, применяемых к пользователю или компьютеру. Это позволяет администраторам планировать сценарии перемещения объекта. Active Administrator автоматически сохраняет всю историю изменений групповых политик, давая тем самым возможность при необходимости сравнить новые настройки, быстро осуществить возврат к старым настройкам. Изменения политик производятся не напрямую в рабочую среду, а в Offline Repository. Для оценки эффекта, созданные таким образом политики, сравниваются с действующими, в том числе и с использованием RSoP. Удобно, что редактирование Offline Repository может быть осуществлено администраторами, имеющими доступ к политикам в режиме только для чтения. Но применяют их только те, кто имеет соответствующие права. Средствами программы возможно копирование и репликация групповых политик между доменами. Для контроля изменений в Active Directory и групповых политик, Active Administrator анализирует журнал. Воспользовавшись системой фильтров администратор всегда узнает, кто и когда внес эти изменения. Кроме того, при возникновении некоторых событий администратор оповещается посредством электронной почты. И, наконец, программа предоставляет полноценные отчеты по установкам Active Directory и групповых политик, по безопасности, классам объектов и прочее. Отчеты экспортируются в файлы форматов RTF, PDF, HTML, XLS, TIF, RDF, TXT.

Установка Active Administrator

Для того чтобы скачать файл, не обходимо зарегистрироваться на сайте, указав персональные данные и пароль, которым будете пользоваться. После чего на указанный почтовый адрес придет ссылка для закачки. В архиве «весом» 45 Мб два файла: AAServerSetup предназначен для установки на сервер, а с помощью AAConsoleSetup, необходима для установки удаленной консоли управления. Системные требования для компьютера, на который устанавливается Active Administrator, не велики. Требуется процессор класса Pentium 600 Мгц с 256 Мб оперативной памяти с Windows 2000 и выше. Кроме этого для хранения информации может использоваться Microsoft SQL Server Desktop Engine, который устанавливается по умолчанию, либо имеющийся SQL Server. В последнем случае, при установке следует выбрать режим Custom и отключить инсталляцию MSDE. Программа установки потребует, чтобы вы указали каталог, который будет использован для хранения информации. На этом этапе создаем локальную базу событий безопасности, в которую будет заноситься информация о событиях безопасности. Заполняем поля и выбираем метод аутентификации для доступа к базе: Windows или SQL Server. В результате будет созданный разделяемый ресурс ActiveAdministrator, имеющий по умолчанию права Full Control для Everyone.
Далее запускается Database Maintenance Wizard, задача которого создать базу данных и помочь в настройке сервисов истории групповых политик (Group Policy History), восстановления Active Template (Active Template Auto-Repair service) и сервиса восстановления информации. Для каждого необходимо указать домен и пользователя для регистрации.
Настройка сервиса Active Template Auto-Repair
При настройке параметров Auto-Repair сервиса возможна настройка оповещения по электронной почте, выбрав Configure e-mail Setting, указываем почтового сервера и адрес, на который они будут отсылаться. Если используется Windows 2003 с SP1, Active Administrator может восстанавливать пароли к удаленным счетам. Желательно сразу же после настройки сервиса восстановления, нажать Backup Now, для создания резервной копии. На этом установка сервера Active Administrator заканчивается.
Консоль можно установить как на любой компьютер в сети, так и на тот на котором стоит сервера Active Administrator. Каких-либо особенностей при установке консоли нет.
Настройка базы аудита событий.
Программа установки позволяет создать базу событий безопасности для локальной MSDE 2000 системы. Вероятно, может понадобиться перенести ее на SQL Server. Для создания такой базы выбираем Creating Auditing Database в меню Пуск. После этого появится знакомый мастер. На первом шаге, которого, в выпадающем списке выбираем new database и далее действуем как во время установки, заполняя нужные поля. После установки базы данных необходимо с помощью Active Administrator, либо Active
Directory Users с MMC и разрешить аудит в Default Domain Controllers Policy. После чего выполнить gpupdate. Следующий шаг, настройка утилиты оповещения Event Configuration Utility. В появившемся окне во вкладе Event Definitions выбираем события, при появлении которых мы хоти получать оповещение.
Настройка сервиса Event Configuration Utility
Список адресов, которым будет отсылаться уведомление, вводится во вкладке Defailt Email Adresses. Но можно для отдельного события указать специфический электронный адрес, для этого нужно вызвать контекстное меню, щелкнув по нему правой кнопкой мышки. Если еще имеются сервисы с включенным мониторингом событием, добавить их контроль можно во вкладке Install DC Agents. На этой же странице отображается статус агентов и загружаются новые файлы содержащие события. Все зарегистрированные события сохраняются затем в файле с расширением edf.
Работа с Active Administrator Console
При первом запуске консоли управления вам предстоит ввести лицензионный ключ, если у вас его нет, но выбираем Begin Evaluation и пользуемся программой в течении 30 дней, без всяких ограничений функциональности. Консоль состоит из 10 вкладок:

Вид Active Administrator Console

***

Не смотря на то, что начальная настройка несколько непривычна, в том числе и из-за несколько не интуитивного интерфейса, в дальнейшем Active Administrator оправдает свое применение, а удобство работы окупит затраченное на настройку время. Наличие таких возможностей, как Active Templates, Offline Repository, аудит и оповещение о событиях по e-mail, восстановление и прочее делают его удобным инструментом при администрировании Active Directory. Также хочется отметить наличие довольно подробной, в том числе и пошаговой документации на английском языке.

Ссылки:
1. Сайт ScriptLogic разработчика Active Administrator http://www.scriptlogic.com/

Теги: ,

Понравилась статья? Оставьте комментарий или подпишитесь на RSS рассылку.

Комментарии

Комментариев пока что нет

Оставить комментарий

(required)

(required)