Продолжение. Начало см. здесь
Нововведения в доменных службах Active Directory
Всем известно, что основополагающей ролью, практически для каждой организации является роль доменных служб Active Directory, которая позволяет создать масштабируемую, безопасную и управляемую инфраструктуру для управления пользователями и ресурсами. Также никому не стоит объяснять, что доменные службы представляют собой распределенную базу данных, в которой хранятся сведения о сетевых ресурсах, прикладные данные из приложений, которые имеют поддержку службы каталогов, а также при помощи доменных служб осуществляется управление хранящейся информацией. Как практически все роли, в серверной операционной системе Windows Server 2008 R2, роль доменных служб Active Directory также подверглась существенным изменениям. Можно выделить десять основных новых возможностей AD DS, о которых далее пойдет речь:
Корзина Active Directory. Не побоюсь сказать, но за время своей работы практически каждый администратор по какой-либо причине случайно удалял объекты Active Directory, что вызывает простой производственного процесса, а для восстановления таких объектов нужно приложить много усилий. Кто сталкивался с такой проблемой, отлично знают, что для восстановления нужно было восстанавливать контроллер домена из резервной копии в DSRM, что занимало от 30 минут до нескольких часов. После чего, при помощи утилиты командной строки ntdsutil.exe, выполнить команду authoritative restore, указав имя объекта, которое необходимо восстановить. Причем, если вы допустите хоть малейшую ошибку, вам придется начинать процесс сначала. Данный процесс является достаточно трудоемким, поэтому корпорация Microsoft решила избавить большинство администраторов от этих мучений, создав новый компонент Active Directory.
Корзина Active Directory, которая появилась в Windows Server 2008 R2, позволяет вам минимизировать время простоя службы каталогов. Данная технология основана на существующей ранее инфраструктуре реанимации отметок полного удаления, которая позволяет вам существенно расширить возможности по сохранению и восстановлению случайно удаляемых объектов Active Directory. Именно при помощи корзины Active Directory вы можете сохранять и полностью восстанавливать удаленные объекты Active Directory без какой-либо надобности восстановления данных Active Directory из архивов, перезапуска доменных служб Active Directory или контроллеров домена, причем, у восстановленных объектов останутся нетронутыми все членства в группах и соответствующие права доступа, которыми обладал текущий объект внутри и вне доменов в момент перед удалением. Корзину Active Directory вы можете применять для доменных служб Active Directory (AD DS), а также для служб Active Directory облегченного доступа к каталогам (AD LDS). Другими словами, после включения корзины Active Directory все ссылочные и нессылочные атрибуты удаленных объектов сохраняются, а объекты полностью восстанавливаются в том же логически согласованном состоянии, в котором они находились непосредственно перед удалением. Перед включением корзины нужно обратить внимание на два важных момента. Во-первых, корзину Active Directory вы можете активировать только в том случае, если уровень работы леса в среде Active Directory будет поднят до Windows Server 2008 R2. А во-вторых, стоит знать, что процесс активации корзины необратим и вы уже не сможете ее отключить. Не вдаваясь в технические детали, хотелось бы еще отметить, что при включении корзины удаленный объект перемещается в контейнер «Удаленные объекты», а его различающееся имя искажается и остается он в логически удаленном состоянии на протяжении всего времени существования удаленного объекта. После восстановления удаленного ранее объекта, он снова становится активным объектом Active Directory.
Модуль Active Directory для PowerShell, а также командлеты PowerShell. Многие из нас помнят, что ранее скриптование Active Directory осуществлялось при помощи ADSI интерфейса, что доставляло своего рода неудобства. С появлением Windows Server 2008 всем администраторам хотелось увидеть модуль Active Directory для PowerShell, так как эта оболочка командной строки со скриптовым языком позволяет значительно упростить жизнь и автоматизировать большинство процессов. Модуль Active Directory в Windows Server 2008 R2 теперь предоставляет централизованное взаимодействие для администрирования службы каталогов, включающих в себя целых 76 командлетов разделенных на несколько групп, при помощи которых вы можете выполнять практически любые административные задачи над доменными службами Active Directory. Стоит отметить, что, несмотря на гибкость PowerShell, данный модуль невозможно установить на компьютеры с операционной системой Windows Server 2008 или с более ранними ОС. Зато, если вы используете средства удаленного администрирования сервера Windows Server 2008 R2 на Windows 7, то установить данный модуль вы сможете без проблем.
Центр администрирования Active Directory. Все системные администраторы, которым приходилось работать с Active Directory, знают, что основным средством для управления объектами пользователей, групп и компьютеров является оснастка «Active Directory – пользователи и компьютеры». При помощи данной оснастки вы можете создавать подразделения и принципалы безопасности, редактировать атрибуты, сбрасывать пароли, а также удалять ненужные объекты. Теперь, в дополнение к этой оснастке, в Windows Server 2008 R2 появилось средство, позволяющее изменять объекты, которое называется центром администрирования Active Directory. Центр администрирования позволяет перевести продуктивность специалистов в области информационных технологий на новый уровень, предоставляя масштабируемый, ориентированный на задачи, интуитивно понятный пользовательский интерфейс для управления доменными службами Active Directory. Данный компонент основан на технологии Windows PowerShell, что позволяет значительно упрощать такие частые действия по управлению объектами Active Directory, как создание и редактирование новых учетных записей пользователей, групп, компьютеров и подразделений, подключение в одном экземпляре центра администрирования Active Directory к одному или нескольким доменам или контроллерам доменов, выполнение гибкой фильтрации данных, а также многое другое. По сути, можно отметить несколько возможностей, которые предоставляет данный компонент:
- Страница обзора. Начальная страница по умолчанию, которая отображается при запуске центра администрирования, состоящая из нескольких блоков, предоставляющих часто выполняемую задачу администрирования. Данную страницу вы можете полностью отконфигурировать по своему усмотрению;
- Панель иерархической навигации. Благодаря этому компоненту, вы можете переходить к требуемому контейнеру путем указания различающегося имени контейнера непосредственно на панели;
- Страница свойств объекта. Страница центра администрирования, содержащая несколько разделов со свойствами объекта, а также встроенную функцию предварительного просмотра, что позволяет вам отображать, скрывать или сворачивать любые разделы страницы свойств;
- Управление объектами Active Directory в нескольких доменах. В зависимости от предоставленных учетной записи прав, вы можете просматривать и управлять объектами Active Directory как в локальном домене, так и в других доменах, непосредственно из одного экземпляра центра администрирования Active Directory;
- Область навигации. Древовидное представление в навигационной панели, схожее с деревом консоли оснастки «Active Directory – пользователи и компьютеры» предоставляет вам возможность просматривать список часто используемых элементов, который отображается автоматически после открытия как минимум одного контейнера для текущего узла, а также возможность переходить по различным уровням иерархии Active Directory путем отображения в одном столбце всех дочерних контейнеров родительского контейнера;
- Поиск с составлением запросом. Теперь, при помощи центра администрирования Active Directory вы можете составлять запросы глобального поиска, которые составляются на основании ключевых слов и различных условий поиска или с помощью режима запросов LDAP.
Анализатор соответствия рекомендациям Active Directory. Многие из нас уже давно привыкли к возможным анализаторам соответствия рекомендациям для различных серверных продуктов, которые позволяют обнаружить все возможные ошибки и предупреждения, связанные с тем или иным продуктом. Теперь, в Windows Server 2008 R2 вы можете оптимальным образом настроить Active Directory при помощи данного компонента. Модель анализатора соответствия рекомендациям входит в состав диспетчера сервера Windows Server 2008 R2, позволяя анализировать состояния ваших доменных служб не открывая дополнительных инструментов. Сама служба анализатора соответствия рекомендациям устанавливается на контроллер домена вместе с Active Directory, позволяя сразу ее использовать. Причем, набор проверок у данного анализатора довольно большой. К основным проверкам можно отнести проверку конфигурации DNS, доступность и корректность размещения серверов FSMO, минимальное количество контроллеров домена, конфигурацию репликации, правила резервного копирования и многое другое. Так как при запуске сканирования анализатором соответствия рекомендациям доменных службы Active Directory контроллера домена модуль анализатора запускает сценарий Windows PowerShell анализатора доменных служб Active Directory, который собирает сведения о конфигурации среды этих служб, принадлежащих данному контроллеру домена, все операции вы можете решать непосредственно при помощи графического интерфейса или средствами Windows PowerShell;
Веб-службы Active Directory. Очередным нововведением доменных служб Active Directory в Windows Server 2008 R2 являются веб-службы Active Directory (ADWS), которые предоставляют для доменов Active Directory веб-интерфейс. Как и большинство компонентов, данная служба устанавливается автоматически при добавлении роли контроллера домена средствами Dcpromo.exe или при создании экземпляра служб Active Directory облегченного доступа к каталогам. Стоит отметить основную возможность данного нововведения: веб-службы Active Directory не требуют роли IIS, так как они построены на своем собственном сервисе, предоставленным по порту 9389. Соответственно, для управления контроллером домена вам достаточно предоставить доступ к серверу по одному единственному порту. Параметры конфигурации веб-службы Active Directory вы можете настраивать посредством редактирования файла Microsoft.ActiveDirectory.WebServices.exe.config. Стоит отметить, что веб-службы Active Directory можно установить даже на Windows Server 2003.
Контроль механизма проверки подлинности. Если в вашей организации методы проверки подлинности основаны на сертификатах, то данное нововведение было реализовано для вас. Предназначена данная функция непосредственно для службы федерации Active Directory и предоставляет собой контроль механизма проверки подлинности, добавляя членство в универсальных группах, созданных администратором к токену доступа пользователя после прохождения проверки подлинности учетных данных пользователя во время его входа в систему, в ходе которого используется метод входа на основе сертификатов. Другими словами, вы можете эффективно контролировать доступ к ресурсам, таким как файлам, папкам или принтерам, в зависимости от того, входит ли пользователь в систему, используя метод входа на основе сертификата, и от типа этого сертификата. Как и для большинства нововведений, уровень работы леса в среде Active Directory должен быть поднят до Windows Server 2008 R2.
К остальным нововведениям в Active Directory в операционной системе Windows Server 2008 R2 можно отнести функцию автономного присоединения к домену, позволяющую присоединять компьютеры с операционными системами Windows 7 и Windows Server 2008 R2 к домену без использования сетевого подключения. Данная операция реализуется при помощи команды Djoin.exe. Также, на функциональном уровне домена Windows Server 2008 R2, функция управляемых служебных учетных записей позволяет вам снизить совокупность стоимости владения (Total Cost of Ownership, TCO) путем сокращения простоев службы. Управляемые учетные записи позволяют вам создать каждой службе на каждом сервере по выделенной учетной записи, для которой смена паролей будет выполняться автоматически. В итоге, используется одна учетная запись для одной службы на одном сервере. Конфигурация управляемых служб учетных записей выполняется при помощи Windows PowerShell. С точки зрения безопасности, основным преимуществом управляемой учетной записи является функция CryptGenRandom, которая используется для генерирования пароля, длиной 240 байт. Пакет управления Active Directory позволяет вам осуществлять проактивное отслеживание доступности и производительности доменных служб Active Directory. Также в Windows Server 2008 R2 были внесены существенные изменения по равномерному распределению балансировки нагрузки между серверами-плацдармами.
Нововведения в групповых политиках
Для управления конфигурацией компьютеров и пользователей в организациях Active Directory принято использовать групповые политики. При правильном использовании групповых политик вы можете централизовано настроить инфраструктуру вашей организации, обеспечить параметры безопасности для ваших клиентских компьютеров, развертывать параметры электропитания, блокировать доступ к устройствам и установке программного обеспечения, а также выполнять многие задачи. Судя по списку изменений в доменных службах Active Directory, вполне очевидно, что функционал групповых политик также подвергся неким изменениям. В основном, в Windows Server 2008 R2 практически не появилось ничего нового в функционале групповых политик. Можно выделить только четыре основных нововведения:
Модуль групповых политик для Windows PowerShell. Наряду с командлетами для Active Directory, в функционале Windows PowerShell операционной системы Windows Server 2008 R2 появился модуль, предназначенный для автоматизации задач, связанных с групповыми политиками, которые обычно выполняются через пользовательский интерфейс, а именно при помощи оснастки «Консоль управления групповыми политиками». В данный модуль включено около 25 новых командлетов, предназначенных для выполнения той или иной функции, связанной с работой групповых политик.
Новые предпочитаемые групповые политики. Все мы знаем, что предпочтения групповых политик были разработаны в дополнение к групповым политикам, которые впервые появились в операционной системе Windows 2000. Основным назначением предпочтений групповых политик является настройка параметров компьютеров под управлением операционных систем Windows без принудительного их использования. Эта технология обеспечивает единое средство, позволяющее администраторам создавать стандартизированное окружение для пользователей, позволяя им изменять свои настройки. В операционной системе Windows Server 2008 R2 появились новые клиентские расширения для четырех типов предпочитаемых групповых политик, а именно:
- Элементы предпочтения плана электропитания. Данное предпочтение позволяет вам предустанавливать настройки планов электропитания для пользователей с операционными системами Windows Vista и Windows 7;
- Элементы предпочтения назначенного задания. Предпочтение, позволяющее создавать, изменять и удалять назначенные задания в Windows 7, Windows Server 2008 и Windows Vista, используя богатый функционал данного компонента;
- Элементы предпочтения немедленного задания. Предпочтения, позволяющие создавать задания, которые будут выполняться с последующим удалением сразу после обновления групповой политики;
- Элементы предпочтения Windows Internet Explorer 8. С выходом новой (на то время) версии браузера появились и предпочтения, позволяющие настроить все параметры для наиболее комфортной работы.
Обновления в начальных объектах групповой политики. Начальные объекты групповой политики содержат параметры административных шаблонов, называемые начальными или стартовыми объектами групповой политики. На основании этих объектов групповой политики, вы можете создавать новые объекты GPO, в которых будут предварительно скопированы параметры начального объекта групповой политики. Начальный или стартовый объект GPO является шаблоном, и поэтому, вы можете импортировать и экспортировать начальные объекты групповой политики, что позволяет вам распространять их в разные доменные окружения. В операционной системе Windows Server 2008 R2 обновились некоторые сценарии клиентов EC и SSLF.
Новые административные шаблоны. В операционной системе Windows Server 2008 R2 добавлено более 300 новых административных шаблонов, предназначенных для управления компьютеров под операционной системой Windows 7 и Windows Server 2008 R2.
Нововведения в AppLocker
С выходом операционных систем Windows Server 2008 R2 и Windows 7 практически каждый пользователь и системный администратор слышали о данном нововведении – функции, снижающей административные издержки, тем самым помогая администраторам управлять доступом пользователей к таким файлам как файлы установщика Windows, исполняемые файлы, скрипты, динамические библиотеки DLL и прочее. Как многим из вас известно, данная идея не является новшеством, так как еще с выходом операционной системы Windows XP существовал SRP, а данная функция, к сожалению, рассчитана только на операционные системы Windows Server 2008 R2 и Windows 7. В отличие от SRP, функция AppLocker позволяет создавать правила для определенных пользователей или групп пользователей, создавать правила, основанные на цифровой подписи издателя, группировать правила, а также создавать собственные переменные окружения. Помимо всех указанных выше моментов вы можете импортировать и экспортировать созданные ранее правила, а также, как и в случаях с Active Directory и групповыми политиками, вы можете управлять функцией средствами специального модуля в PowerShell.
Нововведения в распределенной файловой системе
Распределенная файловая система реализуется как служба для роли файловой службы и в основном предназначена для обеспечения стабильной и управляемой репликации Active Directory с поддержкой глобальных сетей, упрощения доступа к файлам с высокой степенью доступности, а также разделения нагрузки. В операционной системе Windows Server 2008 R2 в распределенной файловой системе существуют несколько изменений и три нововведения. К нововведениям можно отнести поддержку отказоустойчивых кластеров, что позволяет добавлять кластеры как члены группы репликации. Помимо этого теперь в данной службе появились реплицируемые папки только для чтения, которые представляет собой папку, куда пользователи не могут добавлять или изменять существующие файлы. В основном такие папки используются контроллерами доменов только для чтения (RODC). Также изменения в папке SYSVOL сохраняются до тех пор, пока они не будут заменены службой репликации DFS данными из контроллера домена только для чтения или из промежуточной папки репликации DFS. Помимо этого, для утилиты командной строки Dfsrdiag.exe распределенной файловой системы появились три новых переключателя, предоставляющих следующие возможности:
- Dfsrdiag.exe FileHash. Переключатель, позволяющий отображать значение хэша, сгенерированное службой репликации DFS для определенного файла, предназначенное для сравнения двух файлов;
- Dfsrdiag.exe IdRecord. Переключатель, который отображает запись кода реплики DFS, а также версию для папки или файла, который был указан;
- Dfsrdiag.exe ReplState. Переключатель, создающий моментальный снимок внутреннего состояния службы DFS, который получает список обновлений обрабатываемых на данный момент и предоставляющий обзор состояния репликации.
К основным изменениям в службе распределенной файловой системы можно отнести улучшенную функцию перечисления на основе доступа, которое можно включить с помощью оснастки управления общими ресурсами и хранилищами Windows на основе доступа для общей папки, а также с помощью оснастки управления DFS на основе доступа для пространства имен. В службе DFS Windows Server 2008 R2 вы можете найти три счетчика производительности, которые отображают количество запросов в очереди, сведения о производительности по запросам, а также сведения о производительности по различным запросам ссылок
Нововведения в службах сертификации Active Directory
Я полагаю, что не стоит объяснять, для чего необходима служба сертификации Active Directory, которая позволяет создавать центр сертификации для выдачи цифровых сертификатов, привязывающих объект идентификации пользователя, службы или устройства к соответствующему частному ключу. В службах сертификации Active Directory операционной системы Windows Server 2008 R2 изменений не много. В новой версии службы сертификации появились веб-служба регистрации сертификатов и веб-служба политик регистрации сертификатов, разрешающих основанную на политике регистрацию сертификатов, используя протокол HTTP. Так как развертывание такой службы значительно повышает угрозу атак, целесообразно использовать данную службу для принятия только обновленных запросов, подписанных существующими сертификатами. Те администраторы, которые работали со службой сертификации, знают, что в Windows Server 2008 не было возможности выдавать сертификаты членам разных лесов и, соответственно, каждый лес должен был иметь свою инфраструктуру PKI. Теперь, в службах сертификации Windows Server 2008 R2 при помощи дополнительной поддержке ссылок LDAP вы можете выдавать сертификаты в лесах, между которыми есть доверительные соглашения. И последнее, что было изменено в данной серверной роли – была улучшена поддержка центров массовой сертификации.