Dynamic Access Control в Windows Server 2012 (часть 1)

Работа над «восьмеркой», начавшаяся еще в 2009 году, велась параллельно с разработкой Win2k8, однако официальной информации о новой серверной ОС было совсем мало. Разработчики обещали, что ядро будет написано с нуля, важную роль в системе возьмет на себя гипервизор, а кластерные службы станут эффективнее. Как только появилась версия Developer Preview, мы решили проверить правдивость этих слов.

Улучшения в Windows Server 2012

Основные улучшения в этой версии:

  • Он готов к интеграции с облачными системами и по-прежнему может поддерживать классические функции локальных центров обработки данных. В результате в Hyper-V Virtualization появились новые функции реплик Hyper-v , которые позволяют создавать репликации виртуальных машин между кластерами и системами хранения.

  • Виртуальные диски миграции хранилища можно перемещать в разные физические хранилища, снимки виртуальных машин, виртуальные машины можно удалять из Hyper-v, а также из виртуальных дисков, и их можно использовать напрямую, без необходимости выключать виртуальную машину.

  • Установка основного сервера легко переключается на установку с графическим интерфейсом без необходимости переустановки.

  • Усовершенствование файлового сервера и службы хранения заключается в том, что он устраняет идентичные копии на том же томе и экономит место.

  • Пулы хранения и области хранения позволяют группировать жесткие диски в один или несколько пулов хранения, а затем создавать виртуальные диски. Он может добавлять другие диски в пулы хранения и делать их доступными для пользователей, не влияя на них.

  • Целевой сервер iSCSI может предложить блочное хранилище для других серверов и приложений в сети, используя стандарт iSCSI.

  • Клонирование Active Directory может развернуть дополнительные контроллеры домена путем клонирования существующего виртуального контроллера домена.

Windows Server 2012 имеет четыре редакции: Foundation, Essentials, Standard и Datacenter . У каждого из них есть свои ограничения, примите версию Datacenter, которая также является самой дорогой.

Следующая таблица покажет, что является правильным для ваших потребностей бизнеса —

Чтобы узнать стоимость лицензирования, вы можете перейти по следующей ссылке — -us/server-cloud/products/windows-server-2012-r2/

Windows Server 2012 — установка

В этой главе мы обсудим требования и предпосылки Windows Server 2012.

Повышаем данный сервер до контроллера домена.

Для этого ищем вкладку Уведомления, после нажатия на нее, вы попадаете в консоль, которая предлагает выполнить текущую операцию. Кликните по компоненту «Повысить роль этого сервера до уровня контроллера домена»

Повышаем данный сервер до контроллера домена.

Первое что предложат сделать это выбрать в конфигурации развертывания действие, которое необходимо на текущем шаге настройки сервера.

В нашем случае необходимо «Добавить новый лес» и ввести «Имя корневого домена» После выполнения условий жмите «Далее»

Повышаем данный сервер до контроллера домена.

Выбираем функциональный уровень леса и домена, данная процедура нужна для того что бы корректно работали вместе несколько AD при миграции с одной версии на другую.

Повышаем данный сервер до контроллера домена.

В окне для ввода пароля придумываем пароль, который должен отвечать требованиям по сложности, так как политика паролей еще не отключена, информация по отключению опции доступна в рублике Server 2012. А пока введите пароль типа 387453-K (обязательно латинскими буквами, присутствие верхнего регистра и знаков типа: дефис) для дальнейшего развертывания жмем «Далее»

Повышаем данный сервер до контроллера домена.

В поле делегирования DNS, оставляем по дефолту и переходим к следующему пункту «Далее»

Повышаем данный сервер до контроллера домена.

Следующим этапом проверяем имя NetBIOS и изменяем его если это необходимо, имя не столь важно для операционных систем сколько для приложений, которые необходимы для сетевого взаимодействия и могут видеть только NetBIOS имя, данную настройку я оставлю по умолчанию, кликаем «Далее»

Повышаем данный сервер до контроллера домена.

Следующий этап позволяет указать размещение баз данных для файлов, логов и каталогов, для продолжения жмем «Далее»

Повышаем данный сервер до контроллера домена.

Проверяем корректность настроек, после чего переходим на следующий шаг нажав «Далее»

Повышаем данный сервер до контроллера домена.

И вы попадете в место где происходит проверка дополнительных требований, при успешной конфигурации кликаем «Установить»

Повышаем данный сервер до контроллера домена.

По требованию перезагружаем компьютер

Повышаем данный сервер до контроллера домена.

После перезагрузки входим в систему под учетной записью администратора домена

Повышаем данный сервер до контроллера домена.

Когда загрузится оснастка «Диспетчер серверов» мы увидим, что установлены AD DS и DNS. Кроме того, в инструментах появилось ряд новых компонентов, которые необходимы для администрирования

Повышаем данный сервер до контроллера домена.

В частности, оснастка «Пользователи и компьютеры Active Directory» С помощью которой можем увидеть пользователей и группы пользователей созданных по умолчанию

  • Tweet
  • Share
  • +1
  • VKontakte

Архитектура и принципы Windows Server Dynamic Access Control

В Windows Server 2012 Dynamic Access Control создает еще один уровень управления доступом к файловым объектам на уровне всего домена, причем на эти объекты продолжают действовать NTFS разрешениями(ACL). Отметим, что правила DAC могут действовать повсеместно, независимо от того, какие NTFS права выставлены на объекте.

Читайте также:  Перенаправление папок в домене Active Directory. Настройка ACL

Одной из основных концептов модели DAC является понятие claim (заявка или утверждение). В модели управления доступом Windows Server 2012 claim представляет собой атрибут Active Directory, которой определен для использования с централизованными политиками доступа (Central Access Policies). В качестве критериев можно использовать практически любые сохранные в AD параметры, принадлежащие определенному объекту, например, ID устройства, способ входа в систему, местонахождение, личные данные и т.д. Настройка claim-ов осуществляется с помощью консоли управления Active Directory Administrative Center (ADAC) в новом контейнере Claim Based Access. В этом контейнере (изначально пустом) можно создавать собственные утверждения и связывать их с атрибутами пользователей или компьютеров. Основываясь на значениях claim-ов можно определить давать ли доступ данному пользователю/устройству к тому или иному объекту файловой системы.

Следующий компонент DAC – свойства ресурсов (Resource Properties), с помощью которых определяются свойства ресурсов, которые в дальнейшем будут использовать в правила авторизации. Resource Properties – это также отдельный контейнер в Dynamic Access Control.

Следующими элементами DAC являются правила Central Access Rules и политики Central Access Policy. CentralAccess Rules описывают какой уровень доступа предоставить к файлам, каким пользователям, с какими заданными утвержденями, с каких устройств и т.д. Central Access Policy – это политика, содержащая в себе правила Central Access Rules, которая в дальнейшем посредством GPO будет распространена по всей организации (или конкретной OU).

Каким образом можно перейти на модель управления доступом Dynamic Access Control в организации:

1. Создать один/несколько видов клаймов.

2. Активировать одни/несколько свойств ресурсов (метки или теги у файловых объектов)

3. Создать правило Central Access Rule, в котором определяется условия предоставления доступа

Читайте также:  Ошибка RPC: решается ли проблема без переустановки системы

4. Добавить созданные правила в политику Central Access Policy

5. С помощью групповых политик распространить CAP на файловые сервера

Естественно, перед внедрением Dynamic Access Control необходимо настроить систему классификации файлов, как это сделать описывается в статье : Классификация файлов с помощью File Classification Infrastructure в Windows Server 2012. Этап определения и классификация данных, хранящихся на файл-серверах наиболее тяжелый и трудоемкий, результатом которого будет назначение управляемым файловым объектам NTFS тэгов.

Каким образом осуществляется проверка разрешений пи доступе к файлу/каталогу конечного пользователя, ведь теперь помимо прав доступа на NTFS осуществляется еще и проверка на соответствие клаймов? Последовательность проверки разрешений следующая:

Недостатки организации доступа на основе ACL

Каким образом реализовывался доступ к общим каталогам на файловых серверах до появления Dynamic Access Control. На общую папку на уровне NTFS и/или шары назначались определенные списки доступа, включающиеся в себя определенные группы в AD (или локальные группы сервера) или конкретные учетные записи. Чтобы пользователь получил доступ к нужному каталогу, администратор должен был включить его в соответствующую группу. Какие недостатки такой модели организации доступа?

· Доступ регулируется только на основании только членства в группе

· При большом количестве общих папок необходимо создавать большое количество групп (выливается в увеличение билета Kerberos)

· Отсутствует возможность контроля доступа на основании характеристик устройства пользователя, с которого подключается пользователь

· Невозможность реализации сложных сценариев доступа

При контроле доступа только на основе ACL нередки случаи, когда пользователь случайно выкладывает конфиденциальную информацию (зарплаты топ-менеджеров, например) на общедоступный (public) ресурс, где все желающие могут с ней познакомится.

Указанные выше недостатки призвана устранить технология динамического контроля доступа.