Шаг за пределы базовой функциональности
Непосредственно после установки в Windows Server 2003 и Windows 2000 активизируются базовые функции аудита компьютеров, связанных с Active Directory (AD). Например, администратор может определить, кто из пользователей зарегистрирован в AD и кто выполняет операции с файлом на сервере. Можно даже выяснить, когда был создан новый объект групповой политики (Group Policy Object, GPO) или когда новому пользователю были назначены полномочия AD.
Однако базовые возможности аудита AD ограничены. При работе с некоторыми важными объектами, такими как Default Domain Policy GPO и Default Domain Controllers Policy GPO, требуется особая осторожность. Манипуляции с любым из этих GPO могут поставить под угрозу безопасность всего домена. Для возвращения домена к нормальному состоянию чрезвычайно важно знать, кто внес изменения, что именно было изменено и когда произошли изменения.
Иногда необходимые ответы невозможно получить с помощью одних только базовых функций. Например, в результате аудита AD можно выяснить, когда был изменен конкретный GPO, но нельзя определить, какие части GPO изменились.
Возможность определить, когда произошли изменения AD и, что еще более важно, кто именно внес их, поможет быстро и без труда в случае необходимости восстановить систему. Для этой цели можно использовать продукты управления изменениями и конфигурацией Change and Configuration Management (CCM).
Продукты CCM для AD
Возможности продуктов CCM для AD шире простого аудита работы службы каталога. С помощью таких инструментов можно обнаружить ошибочные изменения и внести допустимые изменения в среду. В данном обзоре перечислены средства управления изменениями и конфигурацией для AD.
Функциональность AD настолько широка, что представления всех поставщиков о целях AD CCM несколько различаются и, соответственно, функции управления в каждом продукте реализованы по-своему. Если главная цель подразумевает исчерпывающее управление средой через групповые политики и предотвращение случайных изменений в AD, то следует выбрать инструмент, который обеспечивает регистрацию и контроль (check-in/check-out) предполагаемых изменений в AD. Концепция инструмента проста: сначала кто-то строит GPO для использования в домене или организационной единице (OU). Затем этот GPO просто вносится в библиотеку потенциальных GPO. После процедуры корпоративного одобрения (в идеале — централизованного) GPO активизируется. Кроме того, инструменты управления помогут точно определить, кто и как изменил GPO. Эта функция особенно полезна, если пользователь обошел процедуру одобрения.
AD отслеживает учетные записи пользователей и делегированные параметры безопасности. Во многих компаниях введены корпоративные стандарты, которые устанавливают правила именования пользователей и групп, правила именования и формирования структуры OU, а также процедуру делегирования полномочий безопасности. Но базовый набор инструментов AD не гарантирует соответствия объектов и атрибутов типовой корпоративной конфигурации и стандартов именования. Чтобы сформировать непротиворечивую структуру AD, следует выбрать инструмент, с помощью которого можно удалить объекты и полномочия безопасности, не соответствующие принятым в корпорации стандартам именования и настройки конфигурации. Если нужны дополнительные возможности, то лучше выбрать инструмент, который позволяет принудительно применять корпоративные стандарты именования и конфигурирования, а также настраивать или удалять объекты, не соответствующие стандартам компании.
Оценивая инструменты CCM для AD, следует выбирать продукты, с помощью которых можно определить текущее состояние AD и идентифицировать внесенные в AD изменения. Лучшие инструменты удачно согласуются с процедурами развертывания и текущего обслуживания AD. Идеальное решение — объединить все вносимые изменения в одном настраиваемом процессе, приспособленном для индивидуальных методов работы администратора.
Джереми Московиц (jeremym@moskowitzinc.com) — организатор сайта http://www.gpoanswers.com, общественного форума по групповым политикам. Имеет сертификат MCSE