Když jsem byl požádán o napsání článku na téma Active Directory došlo mi, že je zde příjemná možnost seznámit čtenáře s novinkami, které v této adresářové službě přináší Windows Server 2008. Článků okolo novinek ve zmíněném WS2008 je mnoho, ale překvapivě málo z nich se věnuje Active Directory. A určitě neprávem, neboť, jak se sami za chvilku přesvědčíte, je rozhodně o čem psát.
Když jsem byl požádán o napsání článku na téma Active Directory došlo mi, že je zde příjemná možnost seznámit čtenáře s novinkami, které v této adresářové službě přináší Windows Server 2008. Článků okolo novinek ve zmíněném WS2008 je mnoho, ale překvapivě málo z nich se věnuje Active Directory. A určitě neprávem, neboť, jak se sami za chvilku přesvědčíte, je rozhodně o čem psát.
Read-Only Domain Controller (RODC)
Bezpečnost je dnes vždy na prvním místě. Typickým příkladem je právě Windows Server 2008, kde, ať se již zmíníme o jakékoli novince, vždy se budeme bavit nějakým způsobem o bezpečnosti. No, a protože doménové řadiče obsahují citlivá data o vašem prostředí, jsou oblíbenými cíly pro všechny útočníky. Existuje mnoho metod, jak doménové řadiče chránit – ať již fyzicky, nebo softwarově. Jenže problém, se kterým se tu potýkáme je ten, že svět není ideální a proto jsme někdy nuceni z požadavků na bezpečnost ustoupit i za cenu snížení bezpečnosti. Typickým příkladem jsou pobočkové scénáře. Co na tom, že vaše hlavní servery jsou v protiatomovém krytu, chráněny kdo ví čím, když jeden z vašich doménových řadičů se nachází na malé pobočce, někde pod stolem, zcela přístupný komukoli. Možná mi nevěříte, ale já opravdu nemohu zapomenout na jeden server, který se nacházel na toaletě, protože nebylo kam jinam jej dát (!) J. Proč vlastně takový server na pobočku dávat? To je jednoduché. Do pobočky vede pomalé a nespolehlivé spojení a vy máte obavu, že v případě jakéhokoli výpadku, se vaši klienti ani nepřihlásí do sítě. A tak doménový řadič putuje na pobočku, většinou vystaven mnoha možným útokům, ale protože není na očích, nikdo to neřeší. Sejde z očí, sejde z mysli. Až do chvíle… Pokud stojíte před otázkou, jak takový řadič co nejlépe chránit, mohu vám v oblasti Active Directory nabídnout doménový řadič jen pro čtení. Co to ale přesně je? Jedná se doménový řadič s AD databází jen pro čtení (řadič v ní nemůže dělat změny) a jednosměrnou replikací (pouze z plnohodnotného DC na RODC). Tento server také nemá repliku všeho, co se v AD nachází, ale záměrně nereplikuje hesla všech uživatelů (jen těch, kteří jsou na pobočce) a nereplikuje ani citlivá konfigurační data serverových aplikací (pokud jsou uložena v AD). V praxi to potom vypadá tak, že správce nastaví, kteří uživatelé se budou pravděpodobně přihlašovat k RODC na pobočce a následně tak umožní replikace hesel těchto vybraných uživatelů na RODC. V případě ale, že dojde k přesvědčení, že RODC byl kompromitován, může jej okamžitě z AD odstranit s tím, že průvodce, který se touto akcí vyvolá, mu nabídne možnost okamžitě změnit hesla všech uživatelů, která se případně na tento kompromitovaný RODC v minulosti replikovala. Samozřejmě tímto není bezpečnost Active Directory na pobočce vyřešena jednou pro vždy, ale velmi významně ji posouvá dál. Pokud ale přemýšlíte nad tím, jak si zajistit vysokou bezpečnost, tak je RODC ideální v kombinaci s dalšími komponentami WS2008 - Bitlocker, EFS a rolí „Server Core“. Než se ale nadšeně vrhnete do implementace RODC ve vašem prostředí, je potřeba vás upozornit na to, že i když je tento doménový řadič jakoby plnohodnotným řadičem, v praxi – díky tomu, že nemůže do AD nic zapsat – tomu tak není a proto je potřeba důsledně ověřit funkcionalitu všech programů, zdali jim RODC nebude vadit. Situace, v níž se aplikace pokusí zapsat do AD a nepovede se jí to, aniž by věděla proč, to jistě nedopadne dobře. Naštěstí nejnovější serverové aplikace (např. Exchange 2007 SP1) si již umí RODC detekovat a nepoužívají jej.
Rozdílné politiky pro hesla
Pokud jste někdy stáli před problémem, jak nastavit různé politiky hesel pro různé skupiny uživatelů (např. normální uživatelé – heslo 7 znaků; správci – heslo 12 znaků + komplexnost), záhy jste zjistili, že to tak jednoduše nešlo. Politiky hesel se totiž definují v „Default Domain Policy“ a tato politika se následně aplikuje na celé vaše prostředí. Pokud ale po instalaci Windows Server 2008 přepnete celou doménu do režimu kompatibility jen s WS2008 (tedy všechny doménové řadiče musí být WS2008), máte možnost politiky hesel řídit nejen výchozí politikou jako doteď, ale nově máte možnost vytváření tzv. „Password Settings Container“, který obsahuje další nastavení, která se posléze aplikují na vybrané uživatele, nebo skupiny uživatelů. Jedinou vadou na kráse je snad jen to, že se tyto politiky nastavují pomocí ne zrovna běžně používaného nástroje ADSIEdit, na což zareagovali různé komunity tím, že pro zjednodušenou administraci vydali freeware, který vám s vytvářením dalších politik spolehlivě pomůže.
Zabránění nechtěnému smazání
Každému se to někdy stalo. Někdo si omylem smazal kus textu, někdo pár souborů… Tím to ale bohužel nekončí a občas se dějí i horší věci. Představte si například, že se jako doménový administrátor „špatně vyspíte“ a omylem smažete nějaký objekt z Active Directory. Pokud se jedná o jednoho uživatele, tak to odnese pouze tento jeden uživatel… ale co když se jedná např. o organizační jednotku, která obsahuje desítky až stovky uživatelů, počítačů, skupin a dalších objektů? To je potom hotová katastrofa a upřímně, nikomu bych to nepřál. Tomuto se snaží nová Active Directory čelit tím, že na každém objektu je automaticky vybrána volba: „Chránit proti nechtěnému smazání“. V zásadě tato volba nastaví práva na objektu tak, že nejde smazat. Pokud jej opravdu chcete odstranit, můžete, ale musíte tuto volbu nejprve odebrat. A to už potom jistě není nechtěné smazání.
Politiky vs. preference
Asi největší předností jednotného prostředí Active Directory je možnost toto prostředí ovlivňovat a spravovat pomocí různých centrálních politik. Microsoft se na tuto oblast soustřeďuje již velmi dlouho a je to velmi znát. Suchá čísla možná řeknou více, víte, kolik nastavení jsme mohli ovlivňovat v různých systémech pomocí Group Policy?
To je jistě velké číslo, nicméně ani tak to nebylo zcela ideální. Některá nastavení se stále nedala pomocí politik na klientech nastavit, a proto se stále hojně používali různé skriptovací jazyky, které při startu, nebo přihlašování uživatele, tyto nedostatky odstraňovaly. S tím je ale konečně konec! Kromě politik, máme nově ve WS2008 i možnost centrálně spravovat tzv. preference. Jedná se typické úkony – nastavení mapování disků, tiskáren, změna oprávnění na objektech, nastavení - např. VPN klienta, atd. Je toho opravdu mnoho. Protože si ale samotná nastavení jistě sami projedete, pojďme si spíš porovnat politiky a preference, čím se od sebe liší…
Group Policy Settings
-
Jakmile se politika přestane aplikovat, vrací se klient k původnímu nastavení¨
-
Klient vždy používá hodnoty nastavené politikou
-
Kontrola nastavování je plně pod kontrolou politiky (zašedlé menu, skryté menu, administrátorský dialog box)
Group Policy Preference
-
Jakmile se politika přestane aplikovat, klient se může/nemusí vrátit k původnímu nastavení
-
Klient používá hodnoty nastavené politikou a v případě jejího odebrání se vrací k původní uživatelské hodnotě
-
Nastavení se aplikují v cyklech (opakovaně, či jen jednou) a uživatel má možnost tato nastavení sám modifikovat
Snad jen poznámka na závěr – pokud chcete používat preference, musíte na systémy Windows XP a 2003 nainstalovat malou aktualizaci (distribuuje se pomocí Microsoft Update). Vista a WS2008 jsou podporovány automaticky.
Lokalizace, aneb hezky česky
Spolu s tím, že WS2008 je striktně jazykově nezávislý, se nám konečně mění i zažité věci z minulosti ohledně doménových politik. Velkým nešvarem vždy bylo to, že politika samotná se fyzicky skládala z několika ADM souborů. V těchto souborech byl uveden nejen název nastavení, ale i popis a samotná změna v systému. A tato ADM šablona se použila dle jazyka, kterým daný klient, který politiku vytvářel, mluvil. Umíte si představit, co se stalo v momentě, když např. v nadnárodní společnosti politiku, založil politiku váš kolega z Číny? Netušili jste vůbec, která bije. No a toto se radikálně mění. Nastavení jsou ukládána do ADMX souborů (XML), ke kterým existují ADML (langure = jazyk) balíčky pro různé jazyky. Tyto ADML soubory dokonce mohou být ve firmě uloženy na jedno místo a odtud si jej mohou správcovské počítače kdykoli stahovat. Jestliže si tedy jednu a tu samou politiku otevřete současně na anglických a českých Windows Vista, vidíte všechno v daném jazyce, včetně popisů, nápověd, atd. No není to super?
Tolik alespoň velmi krátce a přehledově o některých novinkách v Active Directory na Windows Server 2008.
Martin Pavlis – martin@pavlis.net – Microsoft MVP