Categories
Uncategorized

Управление на системни акаунти в Активна директория посредством Групови политики

Една от добрите практики в сървърното администриране е дефиниране на системни акаунти, които се използват за стартиране на услуги. Планирането и структурирането им може да бъде най-различно, като в повечето случаи се определя от цялостната структура на Активната директория и това до колко текущата конфигурация ще може да се прилага за в бъдеще с колкото се може по-малко допълнителни манипулации. В този пример ще симулираме един от по-сложните случаи, когато имаме няколко сървъра, отделени в няколко организационни единици (Organizational Units), като за всеки сървър имаме един или повече системни акаунти, като няма такива, които да са общи за всички сървъри. Групирали сме сървърите според функционалното им приложение – поддържащи, приложни и други сървъри. Тук е важно да споменем една друга добра практика:

Когато е необходимо да зададем специфични права на потребител или няколко потребителя, по-добре е да създадем нова група за сигурност (Security Group) и да добавим за членове съответните профили.

По този начин еднократно насторйваме груповата политика (Group Policy Object), с която прилагаме съответните настройки и ако в последствие трябва да добавим нови потребители с такива права ще бъде достатъчно само да ги добавим като членове на тази група.

Създаване на организационни единици (Organizational units)

Те ще бъдат приложени с груповата политика наследявайки настройките от групата. Ако опишем всички необходими потребителски акаунти в груповата политика сега, то всеки следващ потребителски профил ще трябва да се добавя отново и отново в съответните групови политики. Да се върнем на темата. След като сме създали всички необходими системни акаунти, създаваме и групи за сигурност, в които ще ги добавим. Хубаво е групите да бъдат именувани сходно със сървъра, на който ще бъдат добавени или ако ще се използват за повече от един сървър – с функционалното си предназначение. Това, разбира се е пожелателно и в никакъв случай задължително, но определено води до по-добър нагледен вид и подреденост. Както вече уточнихме, в този случай всеки акаунт ще бъде за конкретен сървър. Поради тази причина в имената на съответните групи за сигурност (SG) и групови политики (GP) ще добавим и имената на сървърите. Например:

Орг. единица (OU) Сървър Системен потребител Група за сигурност (SG) Групова политика (GPO)
Management Servers Test-Srv1 Sys.Account1 Sys-Accounts.Test-Srv1 Test-Srv1 System Accounts
Application Servers Test-Srv2 Sys.Account2 Sys-Accounts.Test-Srv2 Test-Srv2 System Accounts
Other Servers Test-Srv3 Sys.Account3 Sys-Accounts.Test-Srv3 Test-Srv3 System Accounts

След като в Active Directory Users and Computers сме създали организационните единици и сме преместили сървърите в тях, създали сме също и групите за сигурност и системните акаунти,  вече е време да създадем груповите политики: От Administrative Tools отваряме Group Policy Management (или start -> run -> gpmc.msc ->enter). Свързваме се към съответния Домейн контролер (DC). В навигационната част на прозореца отвоваряме Group Policy Objects. От падащо меню Action -> New създаваме нов обект. В прозореца, който се отваря въвеждаме име на груповата политика, в падащото меню под него не променяме нищо, потвърждаваме с OK.

New Group Policy Object main view
фиг.1: New Group Policy Object main view

В основния екран на прозореца сега имеме запис с името на груповата политика. Отваряме я за редакция. За да работи правилно груповата политика, задължително трябва да махнем филтъра за Authenticated Users. След това от бутона Add добавяме сървъра – в новия прозорец напишете Test-Srv1 и потвърдете с ОК. В основния екран ще се появи сървъра. (фиг.1) Преминаваме към следващия раздел, който ще редактираме – Settings.

gp_logon_as_a_service
фиг.2:Logon as a service

Тук от контекстното меню изберете Edit… Настройката за “Logon as a service” се намира в [Computer ConfigurationPoliciesWindows SettingsSecurity SettingsLocal PoliciesUser Rights Assignment] (фиг.2). С двойно кликване върху реда отваряте нов прозорец, в който ще добавим групата за сигурност, на която ще делегираме право да изпълнява услуги на сървъра. (фиг.3) Сложете отметка на “Define these policy settings:” и натиснете вече активния бутон “Add User or Group… “ В новия прозорец напишете името на групата, задължително с името на домейна преди него и наклонена черта помежду им: DOMAINNAMESys-Accounts.Test-Srv1 и натиснете ОК на този и предходния прозорец.

Assigning the
фиг.3: Assigning the “Logon as a service” permission

Затворете следващия. Сега трябва да виждате пред себе си основния екран с насторйки на груповата политика. След като го опресните ще визуализира току-що направените настройки. Груповата политика вече е готова, остава само да я свържете към съответната Организационна единица. Това става като натиснете десен бутон върху орг. единица и изберете Link an Existing GPO… , в новия прозорец изберете груповата политика натиснете ОК. Ако искате груповата политика да влезе в сила веднага, с администраторски права на съответния сървър отворте команден промпт (start -> run -> cmd -> enter) и изъплнете следната команда:

gpupdate /target:computer /force

След като прилагането на груповите политики премине успешно изпълнете командата по-долу с администраторски права(!) за да проверите дали груповата политика е приложена успешно върху сървъра:

gpresult /scope computer /r

Ако всичко е наред, в графата Applied Group Policy Objects трябва да виждате името на груповата политика, която създадохме. По същия начин можете да направите останалите групи за сигурност и групови политики за другите сървъри.

След като системните акаунти вече са ограничени до пискане и спиране на сървиси се уверете, че имат нужните права за манипулации върху файловата система, ако същите услуги трябва да пишат и/или четат от файлове и папки на локалния сървър.

Не се колебайте да задавате въпросите си чрез коментарите по-долу, а аз от своя страна ще се постарая да помогна на всеки.