Пример. В корне домена Active Directory среди прочих создан контейнер Bobruisk, на который пользователю BobruiskAdmin даны права Full Control. Сколько объектов BobruiskAdmin сможет создать в контейнере Bobruisk? Да сколько захочет! По умолчанию никаких ограничений нет!! Для администратора головного офиса сразу появляется потенциальная дыра в безопасности, которую желательно как-то прикрыть.
Основы делегирования доступа к объектам
Active Directory
В Active Directory все объекты имеют дескриптор защиты, аналогичный дескриптору защиты объектов на файловой системе NTFS. Если открыть свойства любого файла или папки на NTFS, вы всегда увидите вкладку Security (Безопасность).
В графической консоли Active Directory Users and Computers для вывода вкладки Security (Безопасность) нужно сначала в меню View (Вид) включить опцию Advanced Features (Дополнительные компоненты).
И на NTFS, и в Active Directory дескриптор защиты состоит из трех частей. Они выводятся по нажатии кнопки Advanced (Дополнительно) на вкладке Security (Безопасность): Permissions, Audit, Owner (Разрешения, Аудит, Владелец). Вкладка Effective Permissions (Действующие разрешения) является вычисляемой и в системе не хранится.
Нас будут интересовать вкладки Permissions (Разрешения) и Owner (Владелец).
С вкладкой Owner все просто: кто создал объект, тот и стал его владельцем. При желании владельца потом можно поменять.
Вкладка Permissions (Разрешения) чуть сложнее. Набор записей на этой вкладке определяет права учетных записей на объект. Важным атрибутом каждой записи является параметр Apply To (Применять к). Этот параметр регулирует, будет ли запись применяться только к самому объекту, или же она будет автоматически наследоваться вложенными объектами.
По умолчанию обычные пользователи имеют права на чтение практически всех объектов Active Directory, но не могут создавать новые. Чтобы делегировать отдельным пользователям полномочия по созданию новых объектов достаточно добавить их в дескриптор защиты того контейнера, где должны располагаться объекты. Делегировать можно либо через мастер (правой кнопкой на контейнере, Delegate Control и т.д.), либо прямым редактированием вкладки Permissions.
Детализированное редактирование дескриптора защиты позволяет создать, к примеру, такие конструкции:
- пользователь BobruiskAdmin может создавать и редактировать в контейнере Bobruisk любые объекты (например, создавать новых пользователей, группы и т.п.);
- пользователь BobruiskAdmin может создавать и редактировать в контейнере Bobruisk только объекты определенного типа (например, можно создавать новые группы, но нельзя создавать новых пользователей)
- пользователь BobruiskAdmin может редактировать лишь отдельные атрибуты объектов в контейнере Bobruisk (например, можно изменять только поле примечания в свойствах пользователя).
Степень детализации делегированных прав получается очень высокая, но, как и на файловом сервере, без связки с квотированием вы рискуете получить ситуации вида "Отказ в обслуживании", когда сервер переполняется большим количеством ненужных объектов, созданных умышленно или случайно.
Основы квотирования в Active Directory
Начиная с Windows Server 2003 в Active Directory существует возможность квотирования количества объектов, которые пользователь может создать в Active Directory.
Как и на файловой системе квотирование завязано на атрибут Owner (Владелец): создатель объекта автоматически становится его владельцем. Таким образом, квотирование в Active Directory задает предельное число объектов, владельцем которых может стать определенный пользователь.
ВАЖНО!
Квотирование не учитывает типы объектов. Если к пользователю применяется квота в 20 объектов, то значит что этот пользователь сможет создать в сумме не более 20 пользователей, групп, компьютеров, контактов и т.п.
Для управления квотами в Active Directory существует специальный контейнер под названием NTDS Quotas.
Дополнительные особенности использования квот
Ниже перечислены дополнительные свойства квот, которые нужно учитывать при разработке механизма квотирования:
- Квотирование устанавливается отдельно на каждый partition Active Directory, кроме Schema partition;
- По умолчанию редактировать контейнер NTDS Quotas могут только Domain Admins или Enterpise Admins;
- Квота по умолчанию отсутствует (пустое значение атрибута msDS-DefaultQuota в свойствах контейнера NTDS Quotas ); для установление однотипной квоты по умолчанию для всех пользователей достаточно изменить значение атрибута msDS-DefaultQuota;
- Индивидуальные квоты имеют больший приоритет над квотой по умолчанию;
- При назначении пользователю нескольких индивидуальных квот действует максимальная из индивидуально назначенных;
- На членов групп Domain Admins и Enterprise Admins квотирование НЕ РАСПРОСТРАНЯЕТСЯ;
- Квоты для групп назначить можно, но смысла это НЕ ИМЕЕТ, поскольку группы обычно не являются владельцами объектов;
- При вычислении квот Active Directory учитывает также и объекты, отмеченные как удаленные (Tombstoned), но физически еще присутствующие в базе; атрибут msDS-TombstoneQuotaFactor контейнера NTDS Quotas регулирует, с каким весом в квотах будут учитываться удаленные (Tombstoned) объекты.
Практика
Создание квот
Управление квотами ведется через утилиту dsadd quota.
Просмотр квот
Вывод значений квот и объем использованных квот осуществляется командой dsget user.
В Windows Server 2008 посмотреть квоты можно непосредственно из консоли Active Directory Users and Computers.
"Грабли"
При разработке квотирования не забывайте учитывать, что квоты могут повлиять на процесс восстановления Active Directory (делегированный администратор будет способен восстановить только ограниченное количество объектов).
Важным фактором является время хранения удаленных объектов (Tombstone Lifetime), поскольку в квотах учитываются и активные объекты, владельцем которых является определенный пользователь, и удаленные объекты (до момента физического удаления из базы). У удаленных объектов атрибут Владелец не меняется. Возможно, при массовых удалениях вам придется предварительно менять владельцев удаляемых объектов Active Directory.
Выводы
Квотирование Active Directory имеет некоторые тонкости, знать которые будет совсем нелишним администраторам крупных сетей. Корректная настройка квотирования позволяет гарантировать соблюдение корпоративных регламентов безопасности и повысить надежность работы службы каталогов. Нелишне напомнить, что любое изменение настроек Active Directory должно сопровождаться качественным процессом документирования, поскольку простых графических средств управления квотами в Active Directory пока нет.
Дополнительная информация:
AD Quotas: http://technet.microsoft.com/en-us/library/cc904295(WS.10).aspx
DSGET: http://technet.microsoft.com/en-us/library/cc732535(WS.10).aspx
Комментариев нет:
Отправить комментарий