T: Analizowanie Active Directory.
Zadanie1:
Ntdsutil.exe - program służący do przeprowadzanie analizy bazy danych usługi Active Directory.
Zadanie2:
Zapoznaj się z narzędziem Użytkownicy i komputery usługi Active Directory.
Zadanie3:
Zapoznaj się z narzędziem Group Policy Management.
Reguły poprawiające ochronę użytkowników przed nadmiernymi szkodami:
- stosowanie zasady minimalnego dostępu (tylko do danych i usług, które są potrzebne do wykonywania obowiązków służbowych),
- tworzenie procedur nadzoru i rejestracji,
- równoważenie potrzeby ograniczeń i potrzeby pracowników,
- zdobywanie odpowiednich upoważnień,
- obejmowanie schematem zabezpieczeń planów przywracania danych i ciągłości działania firmy.
Lokalne zasady zabezpieczeń zapisane są w pliku %Systemroot%\System32\GroupPolicy\User\Registry.pol dla użytkownika oraz w pliku %Systemroot%\System32\GroupPolicy\Machine\Registry.pol dla komputera. Zasady można edytować za pomocą edytora zasad gpedit.msc lub otwierając konsolę mmc.exe i dołączając do niej przystawkę Zasady grupy.
Jednostki organizacyjne służą do logicznego organizowania obiektów w Active Directory.
Domyślne foldery Users i Computers w Active Directory nie są z technicznego punktu widzenia jednostkami organizacyjnymi. Zdefiniowane są jako obiekty klasy Container (kontener). Aby móc wykorzystać usługi zasady grup zaleca się przeniesienie użytkowników i obiektów z domyślnych lokalizacji w kontenerach do struktury OU.
Najważniejsze wskazówki dotyczące usługi Active Directory:
- Ze względów bezpieczeństwa nie należy logować się do komputera przy użyciu poświadczeń administracyjnych. Wykonywanie zadań administracyjnych w przypadku zalogowania się bez poświadczeń administracyjnych umożliwia funkcja Uruchom jako.
- Aby podwyższyć poziom zabezpieczeń usługi Active Directory, należy przestrzegać następujących zasad:
- Aby zapobiec atakom na domeny, w każdej domenie zmień nazwy kont administratora i gościa lub wyłącz te konta.
- Wszystkie kontrolery domeny umieść w fizycznie zabezpieczonym pomieszczeniu.
- Ustanów relację zabezpieczeń między dwoma lasami i uprość administrowanie zabezpieczeniami oraz uwierzytelnianie między lasami.
- Aby zapewnić dodatkową ochronę schematu usługi Active Directory, usuń wszystkich użytkowników z grupy Administratorzy schematu i dodawaj odpowiedniego użytkownika tylko wtedy, gdy jest konieczne wprowadzenie zmian schematu. Po dokonaniu zmian usuń użytkownika z tej grupy.
- Ogranicz dostęp użytkowników, grup i komputerów do zasobów udostępnionych i określ ustawienia filtrowania zasad grupy.
- Unikaj wyłączania podpisanego lub zaszyfrowanego ruchu LDAP w przypadku korzystania z narzędzi administracyjnych usługi Active Directory.
- Niektóre domyślne prawa użytkownika przyznane określonym grupom domyślnym mogą umożliwiać członkom tych grup uzyskanie dodatkowych praw w domenie, w tym praw administracyjnych. W związku z tym organizacja musi darzyć takim samym zaufaniem wszystkich członków grup Administratorzy przedsiębiorstwa, Administratorzy domeny, Operatorzy kont, Operatorzy serwerów, Operatorzy drukowania i Operatorzy kopii zapasowych.
- Przy określaniu uprawnień do obiektów katalogu domeny replikowanych w wykazie globalnym używaj grup globalnych lub grup uniwersalnych, a nie grup lokalnych w domenie.
- Ustaw jako lokację każdy obszar geograficzny, który wymaga szybkiego dostępu do najświeższych informacji katalogowych. Ustawienie obszarów, które wymagają natychmiastowego dostępu do najbardziej aktualnych informacji usługi Active Directory, jako oddzielnych lokacji zapewnia odpowiednie zasoby.
- Umieść przynajmniej jeden kontroler domeny w każdej lokacji i ustaw przynajmniej jeden kontroler domeny w każdej lokacji jako wykaz globalny. Lokacje, które nie mają własnych kontrolerów domeny i przynajmniej jednego wykazu globalnego, są uzależnione od informacji katalogowych innych lokacji i mniej wydajne.
- Regularnie wykonuj kopie zapasowe kontrolerów domeny, aby stale mieć zachowane wszystkie relacje zaufania w danej domenie.
Najważniejsze wskazówki dotyczące usługi Active Directory znajdziesz na następującej stronie internetowej
http://technet.microsoft.com/pl-pl/library/cc782657%28WS.10%29.aspx
Polecenia przydatne w plikach skryptowych:
freedisk /S zdalny_serwer /D nazwa_dysku
diruse /m .* x:\ > zajetosc.txt
chkdsk x: /t #? lub /f
defrag x: /v > opis_defrag.txt
del x:*.tmp /s /q > usunięte_tmp.txt
del x:~*.* /s /q /a:h > usuniete_temp.txt
runas /user:nazwa_usera@domena /savecred %SystemRoot%\system32\cmd.exe
shutdown –r –f –m \\nazwa_serwera