Konsolidacja usług katalogowych w Ministerstwie ...€¦ · Web...

Konsolidacja usług katalogowych w Ministerstwie Sprawiedliwości

Projekt techniczny Active Directory

Przygotowane dlaMinisterstwo Sprawiedliwości

22 marzec 2013

Przygotowane dla: Ministerstwo Sprawiedliwości0

Informacje zawarte w niniejszym dokumencie przedstawiają aktualną ocenę przedstawianych zagadnień przez Microsoft Sp. z o.o. („Microsoft”) w dacie sporządzenia tego dokumentu i mogą one ulec zmianie w każdym czasie, bez zawiadamiania Państwa. Niniejszy dokument oraz informacje w nim zawarte są przekazywane W STANIE, W JAKIM SIĘ ZNAJDUJĄ i Microsoft wyłącza odpowiedzialność z tytułu jakiejkolwiek rękojmi, gwarancji czy zapewnień. Niniejszy dokument nie stanowi i nie powinien być interpretowany jako oferta ani jako zaciągnięcie przez Microsoft jakiegokolwiek zobowiązania. Ponadto, Microsoft nie gwarantuje, że przedstawione w nim informacje są dokładne. MICROSOFT NIE SKŁADA W NINIEJSZYM DOKUMENCIE ŻADNYCH ZAPEWNIEŃ ANI NIE UDZIELA ŻADNYCH GWARANCJI, ZARÓWNO WYRAŹNYCH JAK I DOMNIEMANYCH.

Opisy produktów osób trzecich zawarte w niniejszym dokumencie są przekazywane wyłącznie dla Państwa wygody. Żadne takie opisy nie powinny być traktowane jako akceptacja lub wsparcie Microsoft dla takich produktów. Microsoft nie może i nie gwarantuje ich dokładności, a produkty mogą ulegać okresowym zmianom. Ponadto, opisy mają na celu przedstawienie ogólnych informacji, które mają raczej ułatwić orientację, niż przekazać pełną informację. W celu uzyskania wiążących opisów takich produktów należy skontaktować się z ich producentami.

Niniejsze materiały są przekazywane W STANIE, W JAKIM SIĘ ZNAJDUJĄ i MICROSOFT WYŁĄCZA ODPOWIEDZIALNOŚĆ Z TYTUŁU JAKIEJKOLWIEK RĘKOJMI, GWARANCJI CZY ZAPEWNIEŃ.

Wszystkie znaki towarowe stanowią własność właściwych podmiotów.

©2010 Microsoft Corporation. Wszystkie prawa zastrzeżone

Microsoft oraz Windows są zarejestrowanymi znakami towarowymi lub znakami towarowymi Microsoft Corporation w Stanach Zjednoczonych i/lub w innych krajach.

Nazwy istniejących spółek i produktów przywołane w niniejszym dokumencie mogą być znakami towarowymi należącymi do ich odpowiednich właścicieli.

Strona iiKonsolidacja usług katalogowych w Ministerstwie Sprawiedliwości, Projekt techniczny Active Directory, Wersja 0.1 Wersja RoboczaPrzygotowano przez: Paweł Domagała"document.docx" ostatnia modyfikacja: 3 VIII. 2015

Metryka Dokumentu

Tabela Zmian Dokumentu

Data Autor Wersja Opis Zmiany

Weryfikacja Dokumentu

Imię i Nazwisko Wersja Stanowisko Data

Strona iiiKonsolidacja usług katalogowych w Ministerstwie Sprawiedliwości, Projekt techniczny Active Directory, Wersja 0.1 Wersja RoboczaPrzygotowano przez: Paweł Domagała"document.docx" ostatnia modyfikacja on 3 VIII. 15, Rev 2

Spis Treści

1 Streszczenie kierownicze........................................................................................1

2 Wizja i zakres..........................................................................................................2

3 Projekt usługi katalogowej Active Directory...........................................................3

3.1 Cele projektowe...................................................................................................................4

3.2 Założenia projektowe...........................................................................................................4

3.3 Elementy projektu................................................................................................................5

3.4 Skróty i oznaczenia...............................................................................................................7

4 Usługi katalogowe Active Directory – struktura logiczna.........................................8

4.1 Las Active Directory..............................................................................................................8

4.2 Struktura lasu i domeny.......................................................................................................9

4.2.1 Pojedyncza domena w lesie Active Directory............................................................9

4.2.2 Zalety konfiguracji z jednym lasem i pojedynczą domeną.........................................9

4.2.3 Sufiks w domenie Active Directory..........................................................................10

4.3 Nazewnictwo lasu i domeny...............................................................................................10

4.4 List Object Access Mode.....................................................................................................11

4.5 Owner Access Restriction...................................................................................................12

4.6 Struktura jednostek organizacyjnych.................................................................................12

4.6.1 Cel wprowadzania jednostek organizacyjnych.........................................................12

4.6.2 Proponowana struktura jednostek organizacyjnych................................................13

4.7 Konwencje nazewnicze obiektów.......................................................................................19

4.7.1 Stacje robocze..........................................................................................................19

4.7.2 Serwery....................................................................................................................19

4.7.3 Konta użytkowników...............................................................................................19

4.7.1 Obiekty zasad grup..................................................................................................20

4.8 Centralne składowanie kluczy BitLocker.............................................................................20

Strona ivKonsolidacja usług katalogowych w Ministerstwie Sprawiedliwości, Projekt techniczny Active Directory, Wersja 0.1 Wersja RoboczaPrzygotowano przez: Paweł Domagała"document.docx" ostatnia modyfikacja on 3 VIII. 15, Rev 2

4.9 Wytyczne dla korzystania z GPO.........................................................................................20

4.9.1 Zasady wykorzystania GPO......................................................................................20

4.9.2 Zarządzanie Group Policy.........................................................................................23

4.9.3 Obiekty GPO zdefiniowane w projekcie...................................................................24

4.9.4 Group Policy Preferences.........................................................................................26

5 Usługi katalogowe Active Directory – struktura fizyczna.......................................30

5.1 Elementy infrastruktury fizycznej Active Directory.............................................................30

5.2 Replikacja...........................................................................................................................31

5.2.1 Kryteria lokalizacji i rozmieszczenie kontrolerów domeny......................................31

5.2.2 Wymagania w zakresie ruchu sieciowego związanego z procesem logowania się użytkowników........................................................................................................................33

5.2.3 Replikacja danych katalogu......................................................................................37

5.2.4 Wybór mechanizmu replikacji SYSVOL.....................................................................39

5.2.5 Lokacje Active Directory..........................................................................................39

5.2.6 Obiekty łączy lokacji (Site Links)...............................................................................41

5.2.7 Podsieci AD..............................................................................................................44

5.2.8 Automatyczne pokrycie lokacji................................................................................46

5.2.9 Wymuszenie spójności replikacji w ramach usługi katalogowej..............................46

5.2.10 Usuwanie obiektów z katalogu i funkcjonalność AD Recycle Bin.............................46

5.2.11 Porty używane w ramach replikacji.........................................................................47

5.2.12 Znajdowanie kontrolera domeny przez klientów AD...............................................48

5.3 Infrastruktura kontrolerów domeny...................................................................................49

5.3.1 Wersja systemu operacyjnego kontrolerów domeny..............................................49

5.3.2 Kontrolery domeny RODC........................................................................................51

5.3.3 Rozmieszczenie usługi Global Catalog.....................................................................51

5.3.4 Lokalizacja ról FSMO................................................................................................51

5.3.5 Kontroler domeny jako dedykowany serwer...........................................................52

Strona vKonsolidacja usług katalogowych w Ministerstwie Sprawiedliwości, Projekt techniczny Active Directory, Wersja 0.1 Wersja RoboczaPrzygotowano przez: Paweł Domagała"document.docx" ostatnia modyfikacja on 3 VIII. 15, Rev 2

5.3.6 Kontroler domeny w środowisku wirtualnym..........................................................52

5.3.7 Specyfikacja sprzętowa kontrolerów domeny.........................................................53

5.4 Poziom funkcjonalny lasu i domeny Active Directory.........................................................54

5.5 Rozszerzenia schematu do współpracy z innymi systemami..............................................55

5.5.1 Rozszerzenia schematu Microsoft...........................................................................55

5.5.2 Współpraca w środowiskach heterogenicznych......................................................55

5.6 Group Policy Central Store.................................................................................................55

5.7 Aktualizacje i poprawki dla klientów AD 2012....................................................................56

5.7.1 GPO Preferences Client-side Extensions..................................................................56

5.7.2 RODC Compatibility Pack.........................................................................................56

5.8 Współpraca z klientem Windows 2000 lub Windows NT4.................................................56

5.8.1 Brak możliwości współpracy z klientem klasy NT.....................................................56

5.8.2 Wsparcie techniczne................................................................................................57

5.9 Budowane rozwiązanie a infrastruktura docelowa............................................................57

5.10 Usługi dodatkowe...........................................................................................................57

5.10.1 AD Web Service.......................................................................................................57

5.10.2 Wbudowana zapora systemu Windows 2012..........................................................57

5.10.3 Usługa rozwiązywania nazw DNS.............................................................................58

5.10.4 DHCP........................................................................................................................61

5.10.5 WINS........................................................................................................................61

5.10.6 Synchronizacja czasu...............................................................................................61

6 Delegacja uprawnień............................................................................................63

6.1 Autonomia administracyjna Sądów....................................................................................63

6.2 Schemat uprawnień administracyjnych w domenie Ministerstwa Sprawiedliwości...........65

6.3 Zdrowy rozsądek a model delegacji uprawnień..................................................................66

6.4 Grupy a Role.......................................................................................................................66

6.5 Role (grupy funkcyjne)........................................................................................................66

Strona viKonsolidacja usług katalogowych w Ministerstwie Sprawiedliwości, Projekt techniczny Active Directory, Wersja 0.1 Wersja RoboczaPrzygotowano przez: Paweł Domagała"document.docx" ostatnia modyfikacja on 3 VIII. 15, Rev 2

6.6 Dostęp (grupy dostępowe).................................................................................................67

6.7 Korzyści z rozdzielenia ról funkcyjnych od dostępowych....................................................67

6.8 Używanie grup do delegacji uprawnień..............................................................................68

6.8.1 Grupy bezpieczeństwa.............................................................................................68

6.8.2 Grupy dystrybucyjne................................................................................................69

6.8.3 Grupy globalne........................................................................................................69

6.8.4 Grupy uniwersalne...................................................................................................69

6.8.5 Grupy domenowe lokalne........................................................................................69

6.9 Odwoływanie uprawnień nadanych grupie........................................................................70

6.10 Delegacja uprawnień a uprawnienia do delegacji...........................................................70

6.11 Grupy z wydelegowanymi uprawnieniami......................................................................71

6.12 Uprawnienia administracyjne.........................................................................................71

6.12.1 Dedykowane konta administratorów usługi............................................................72

6.12.2 Grupy administratorów Spółek................................................................................72

6.12.3 Grupa zbiorcza wszystkich administratorów Sądów................................................73

6.12.4 Grupa zbiorcza kont usług serwisowych..................................................................73

6.12.5 Opis implementacji grup administratorów lokalnych..............................................74

6.13 Uprawnienia operatorskie..............................................................................................74

6.13.1 Przyjęty sposób delegacji uprawnień operatorskich................................................74

6.13.2 Grupy Helpdesku.....................................................................................................75

6.13.3 Konfiguracja uprawnień operatorskich....................................................................77

6.13.4 Nie ma potrzeby tworzenia dedykowanych kont operatorskich..............................80

6.14 Delegacja uprawnień na przykładzie grupy administratorów sądów wrocławskich........80

6.15 Model bezpieczeństwa Active Directory.........................................................................81

6.15.1 Wbudowane konto administratora.........................................................................81

6.15.2 Wbudowane grupy z wysokimi przywilejami...........................................................82

6.16 Dodawanie kont komputerów do domeny.....................................................................83

Strona viiKonsolidacja usług katalogowych w Ministerstwie Sprawiedliwości, Projekt techniczny Active Directory, Wersja 0.1 Wersja RoboczaPrzygotowano przez: Paweł Domagała"document.docx" ostatnia modyfikacja on 3 VIII. 15, Rev 2

7 Bezpieczeństwo Active Directory..........................................................................84

7.1 Fizyczne bezpieczeństwo kontrolerów domeny.................................................................84

7.1.1 Użytkownicy posiadający fizyczny dostęp do kontrolerów domeny........................84

7.1.2 Ochrona przed uruchomieniem innych systemów operacyjnych na serwerze DC...84

7.1.3 Zabezpieczenie kopii zapasowych przed dostępem w niepowołane ręce................84

7.2 Security policy (konfiguracja GPO).....................................................................................85

7.2.1 Default Domain Policy.............................................................................................85

7.2.2 MS_C_TopLevelDomainPolicy.................................................................................85

7.2.3 Default Domain Controllers Policy...........................................................................87

7.2.4 MS_C_DomainControllersPolicy..............................................................................87

7.2.5 MS_C_TopServerPolicy............................................................................................94

7.2.6 Polityki PKI...............................................................................................................96

7.3 Wykorzystanie zróżnicowanych polityk haseł.....................................................................96

7.3.1 Polityka standardowa..............................................................................................97

7.3.2 Polityka użytkowników kart inteligentnych.............................................................97

7.3.3 Polityka specjalna – konta administracyjne.............................................................98

7.3.4 Wpływ istnienia zróżnicowanej polityki haseł na klienta.........................................98

7.3.5 Polityka specjalna – konta serwisowe......................................................................98

7.3.6 Uprawnienia do zmian polityki haseł.......................................................................99

7.3.7 Konfiguracja polityki haseł w AD Windows Server 2012..........................................99

7.4 Audyt................................................................................................................................100

7.4.1 Polityka audytu......................................................................................................101

7.4.2 Audyt partycji schematu AD..................................................................................101

7.4.3 Audyt partycji konfiguracji AD...............................................................................102

7.4.4 Audyt partycji Domeny AD.....................................................................................104

7.4.5 Audyt kontenera System.......................................................................................106

7.4.6 Audyt zmian pozostałych obiektów Active Directory.............................................108

Strona viiiKonsolidacja usług katalogowych w Ministerstwie Sprawiedliwości, Projekt techniczny Active Directory, Wersja 0.1 Wersja RoboczaPrzygotowano przez: Paweł Domagała"document.docx" ostatnia modyfikacja on 3 VIII. 15, Rev 2

7.4.7 Audyt udziału SYSVOL............................................................................................109

8 Model zarządzania poprzez zasady grupowe (GPO)............................................111

8.1 Polityki lokalne a polityki globalne...................................................................................111

8.2 Wymuszanie członkostwa w grupach za pośrednictwem mechanizmu Restricted Groups111

8.3 Narzędzia do zarządzania zasadami grupowymi...............................................................112

8.3.1 Group Policy Management Console.......................................................................112

8.3.2 Advanced Group Policy Management...................................................................113

9 Wymagania sieciowe usługi Active Directory......................................................114

9.1 Komunikacja sieciowa w sieciach opartych na Active Directory.......................................114

9.2 Ścieżki ruchu sieciowego..................................................................................................115

9.2.1 Ruch pomiędzy kontrolerami domeny...................................................................115

9.2.2 Ruch pomiędzy klientem a kontrolerem domeny..................................................115

9.3 NAT...................................................................................................................................116

10 Utrzymanie katalogu Active Directory.............................................................117

10.1 Kopia zapasowa i odtwarzanie kontrolera domeny......................................................117

10.2 Monitorowanie stanu środowiska................................................................................117

10.3 Zarządzanie aktualizacjami...........................................................................................117

10.4 Oprogramowanie antywirusowe..................................................................................118

11 Proces przyłączenia sądu do wspólnej usługi katalogowej...............................119

12 Materiały źródłowe i referencje.......................................................................120

12.1 Dokumentacja dotycząca usługi WINS w sieciach Microsoft.........................................120

12.2 Referencje.....................................................................................................................120

Strona ixKonsolidacja usług katalogowych w Ministerstwie Sprawiedliwości, Projekt techniczny Active Directory, Wersja 0.1 Wersja RoboczaPrzygotowano przez: Paweł Domagała"document.docx" ostatnia modyfikacja on 3 VIII. 15, Rev 2


1 Streszczenie kierownicze Dokument zawiera projekt techniczny usług katalogowych Active Directory dla Ministerstwa Sprawiedliwości - struktury logicznej, fizycznej i elementów operacyjnych związanych z utrzymaniem usługi katalogowej.

Dokument ten jest częścią założeń Strategii Informatyzacji Resortu Sprawiedliwości, tj. „ZARZĄDZENIE MINISTRA SPRAWIEDLIWOŚCI – PROKURATORA GENERALNEGO, z dnia 19 stycznia 2009 r. w sprawie wprowadzenia Strategii Informatyzacji Resortu Sprawiedliwości na lata 2009–2014”.

W szczególności dokument ten realizuje Projekt Restrukturyzacji Active Directory wspierający cele: „Opracowanie i wprowadzenie zasad zarządzania zasobami IT (Cel Strategiczny 2 i 3)”

„Zaprojektowanie i wdrożenie głównych części składowych Systemu Informatycznego Resortu” (Cel Strategiczny 4).

Dokument ten zawiera założenia dla wdrożenia usługi katalogowej Active Directory w ramach istniejącej organizacji Ministerstwa Sprawiedliwości.

Odbiorcami dokumentu są:

Architekci planujący usługi infrastruktury Ministerstwa Sprawiedliwości, wymagające uwierzytelnienia i autoryzacji użytkowników w oparciu o usługi katalogowe,

Osoby planujące rozwój usług w sieci Ministerstwa Sprawiedliwości, Wybrany przez Ministerstwo Sprawiedliwości integrator usług sieciowych

odpowiedzialny za wdrożenie usługi katalogowej Administratorzy systemów informatycznych Sądów wchodzących w skład

Ministerstwa Sprawiedliwości.

Strona 1Konsolidacja usług katalogowych w Ministerstwie Sprawiedliwości, Projekt techniczny Active Directory, Wersja 0.1 Wersja RoboczaPrzygotowano przez: Paweł Domagała"document.docx" ostatnia modyfikacja: 3 VIII. 2015, Rev 2


2 Wizja i zakresW chwili obecnej Ministerstwo Sprawiedliwości skupia:

11 Sądów Apelacyjnych 45 Sądów Okręgowych 321 Sądów Rejonowych

Każdy z powyższych utrzymuje niezależne środowisko usług informatycznych. W wyniku zmian założeń Strategii Informatyzacji Resortu Sprawiedliwości podjęta została decyzja o ujednoliceniu infrastruktury usług informatycznych oraz zarządzania usługami w ramach sieci Ministerstwa Sprawiedliwości.

Planowana infrastruktura musi umożliwiać dostosowanie struktury do dynamicznych zmian w zakresie sukcesywnego dołączania kolejnych sądów.

Jako rozwiązanie umożliwiające zbudowanie podstaw pod jednolitą organizację usług dla Ministerstwa Sprawiedliwości, proponowane jest wdrożenie usług katalogowych Active Directory, jako centralnego katalogu opartego o rozbudowę istniejącego środowiska DIRS.

Ponadto planowane rozwiązanie stanowi podstawę do wdrożenia nowoczesnych usług wspomagania pracę sądów – platformy przepływów pracy, systemów kadrowo-księgowych, czy usług poczty elektronicznej Exchange.

Wdrożenie centralnej usługi katalogowej umożliwi zrealizowanie wymagań organizacyjnych i technicznych stojących przed centralnym środowiskiem informatycznych, takich jak:

Utworzenie jednolitej struktury usług katalogowych, zapewniającej mechanizmy uwierzytelnienia i autoryzacji wszystkim podmiotom Ministerstwa.

Zapewnienie jednolitej infrastruktury zarządzania środowiskiem użytkownika oraz usługami w ramach sieci organizacji.

Niniejszy dokument przedstawia projekt techniczny docelowej infrastruktury usług katalogowych Active Directory. Projekt ten obejmuje:

Ogólne założenia przyjęte przez Microsoft przy opracowywaniu usługi Active Directory działającej w oparciu o Windows Server 2012,

Projekt logiczny struktury lasu \ domeny Active Directory, Projekt usług replikacji Active Directory, Projekt usług rozwiązywania nazw DNS na potrzeby katalogu Active Directory, Model administracyjny Active Directory, Modelu delegacji uprawnień dla katalogu Active Directory.



3 Projekt usługi katalogowej Active DirectoryUsługa katalogowa Active Directory dostępna w Windows Server jest to usługa pozwalająca na zbudowanie w organizacji centralnego repozytorium informacji o obiektach związanych z działaniem i bezpieczeństwem organizacji. W ramach Active Directory przechowywana jest informacja o wszystkich obiektach użytkowników i komputerów działających w ramach sieci, i dzięki mechanizmom tej usługi dane te są udostępniane użytkownikom oraz usługom działającym w organizacji.

Usługa Active Directory, w oparciu centralny katalog danych dostarcza również usług silnego uwierzytelnienia zarówno dla kont użytkowników jak i komputerów działających w sieci organizacji.

Dzięki zgromadzeniu informacji o obiektach w ramach centralnej usługi katalogowej możliwe jest wprowadzenie centralnego zarządzania tymi zasobami, opartego o przyjęty dla organizacji model zarządzania zasobami. Mechanizmy delegacji uprawnień w ramach Active Directory pozwalają na dostosowanie modelu zarządzania zasobami w ramach usługi katalogowej do struktury i wymagań organizacji.

Elementy te pozwalają na zapewnienie, w oparciu o Active Directory, usług związanych z uwierzytelnieniem i autoryzacją oraz usług katalogu nie tylko na potrzeby użytkowników i komputerów działających w sieci, ale również na potrzeby aplikacji i usług.

Projekt usługi katalogowej Active Directory można podzielić na następujące części:

Omówienie istniejącego środowiska Projekt struktury logicznej katalogu Projekt struktury fizycznej katalogu Usługi dodatkowe Model zabezpieczeń i delegacji uprawnień

Dodatkowo w ramach projektu usługi katalogowej Active Directory opisane zostaną zagadnienia z zakresu usług wspomagających usługę katalogową takich jak rozwiązywanie nazw DNS, synchronizacja czasu itp.

Niniejszy projekt techniczny usługi katalogowej nie zawiera informacji o:

Procedurach utrzymaniowych katalogu Procedurach kopii zapasowej i odtwarzania usługi Metodach migracji istniejących usług katalogowych do centralnej usługi katalogowej Sposobie koegzystencji z innymi usługami katalogowymi, które mogą być obecnie

użytkowane w ramach Ministerstwa Sprawiedliwości

Tematy związane z koegzystencja i migracja wybranych Sądów stanowią przedmiot prac dokumentu projektu i planu migracji w uzgodnionym zakresie.



3.1 Cele projektoweŚrodowisko informatyczne Ministerstwa Sprawiedliwości budowane jest na bazie istniejącego środowiska katalogowego w DIRS – las o nazwie ad.ms.gov.pl zostanie uaktualniony do wersji 2012 i skonfigurowany zgodnie z poniższym dokumentem.

Przy tworzeniu projektu usługi katalogowej dla Ministerstwa Sprawiedliwości przedstawionego w tym dokumencie, przyjęte zostały następujące, ogólne cele projektowe:

Katalog ma umożliwić zarządzanie zbiorem około 50 000 kont użytkowników Ministerstwa Sprawiedliwości skatalogowanych w jednostkach organizacyjnych odpowiadających logicznej strukturze.

Zapewnienie efektywnego utrzymania usług, Wsparcie dla modelu zarządzania usługami przyjętego w ramach Ministerstwa Zapewnienie wysokiego bezpieczeństwa danych i usług, Minimalizacja nakładów związanych ze sprzętem i oprogramowaniem niezbędnym

do utrzymania usług katalogowych, Zapewnienie łatwych zmian w infrastrukturze – w ramach projektu, przyjęta została

zasada mająca na celu stworzenie infrastruktury usługi katalogowej, która nie jest przywiązana do obecnej struktury organizacji. Ma to na celu zapewnienie łatwego dostosowania infrastruktury do możliwych zmian w organizacji.

Minimalne uprawnienia w ramach katalogu – w ramach projektu przedstawiona została propozycja modelu zarządzania usługą katalogową i delegacji uprawnień, której podstawowym założeniem było wydelegowanie użytkownikom minimalnego zakresu wymaganych uprawnień. Dzięki takiemu założeniu możliwe jest osiągnięcie maksymalnego stopnia bezpieczeństwa danych i usług katalogu.

Utrzymanie prostoty projektu – w przypadku, gdy możliwe jest więcej niż jedno rozwiązanie projektowe problemu, w ramach przedstawionego projektu wybrane

zostało prostsze rozwiązanie. Prostota rozwiązania pozwala na łatwiejsze utrzymanie infrastruktury i minimalizuje ryzyko wystąpienia błędów.

3.2 Założenia projektoweW trakcie projektowania struktury jednostek organizacyjnych dla domeny Ministerstwa Sprawiedliwości, przyjęte zostały założenia wynikające z przyjętego modelu administracji zasobami:

W organizacji istniała będzie grupa administratorów posiadających pełną kontrolę nad zasobami katalogu (administracja centralna). Kompetencje administracji centralnej wyrażone będą członkostwem w grupie Enterprise Admins.

W ramach każdego sądu istniała będzie grupa administratorów posiadających pełną kontrolę nad zasobami wskazanego oddziału (administracja lokalna)



W organizacji będzie istniała grupa operatorów posiadająca uprawnienia do wykonywania poszczególnych operacji na zasobach organizacji (helpdesk globalny)

W każdego z sądów Ministerstwa Sprawiedliwości istniała będzie grupa operatorów posiadająca uprawnienia do wykonywania poszczególnych czynności w ramach wskazanego sądu (helpdesk lokalny).

3.3 Elementy projektuProjekt usługi katalogowej Active Directory dla Ministerstwa Sprawiedliwości podzielony zostanie na następujące główne części.

1. Omówienie istniejącego środowiska

W ramach tej części projektu omówione zostaną podstawowe informacje dotyczące obecnego środowiska usług i sieci Ministerstwa Sprawiedliwości mające wpływ na kształt projektu usług katalogowych. Informacje te zostaną przedstawione, jako wyciąg z materiałów dostarczonych przez Ministerstwo Sprawiedliwości oraz informacji zebranych w ramach spotkań projektowych.

2. Projektu struktury logicznej usługi Active Directory

Projekt struktury logicznej katalogu Active Directory opisuje elementy składające się na schemat logiczny usług katalogu. W ramach tej części projektu przedstawione zostaną założenia dla struktury następujących elementów katalogu:

Las Domeny Jednostki organizacyjne.

W ramach tej części projektu przedstawione zostaną również proponowane konwencje nazewnicze dla obiektów składających się na logiczną strukturę katalogu Active Directory oraz kont użytkowników i komputerów.

3. Projekt struktury fizycznej usługi Active Directory

Projekt struktury fizycznej katalogu Active Directory opisuje elementy składające się na fizyczną topologię działania usługi katalogowej, przedstawiając założenia w zakresie:

Konfiguracji lokacji usługi katalogowej Konfigurację podsieci oraz łączy pomiędzy lokacjami



Rozmieszczenia i konfiguracja kontrolerów domeny Topologii replikacji danych katalogu.

W ramach tej części projektu przedstawione zostaną również proponowane konwencje nazewnicze dla obiektów składających się na fizyczną strukturę katalogu Active Directory.

4. Usługi wspierające Active Directory

Usługa katalogowa Active Directory zbudowana jest w oparciu o szereg technologii, których poprawne współdziałanie i konfiguracja jest niezbędne do poprawnego działania samej usługi katalogowej. W ramach tej części projektu opisane zostaną elementy infrastruktury niezbędne do działania usługi katalogowej, czyli:

Usługi rozwiązywania nazw DNS Usługi synchronizacji czasu.

5. Model delegacji uprawnień

W ramach przedstawionego projektu zaproponowany model delegacji uprawnień w ramach katalogu w oparciu o zasadę izolacji uprawnień administratorów lokalnych (administracji w oddziałach organizacji) oraz administratorów centralnych (personelu odpowiedzialnego za funkcjonowanie katalogu, jako usługi świadczonej dla całej organizacji).

6. Konfiguracja modelu administracyjnego, bezpieczeństwa i delegacji uprawnień

Opracowana zostanie koncepcja implementacji delegacji uprawnień za pośrednictwem grup bezpieczeństwa oraz przedstawione zostaną szczegółowe opcje konfiguracji obiektów zasad polityk grupowych dla całej organizacji.

3.4 Skróty i oznaczenia

Skrót Rozwinięcie

AD Active Directory

DNS Usługa rozwiązywania nazw DNS

MCS Microsoft Consulting Services



Lokacja Lokacja Active Directory (ang. site)

Lokalizacja Lokalizacja fizyczna oddziału organizacji

GPO Ang. Group Policy object - zasady polityki grupowej

WAN Sieć rozległa

FSMO Flexible Single Operation Master

KCC Knowledge Consistency Checker

Tabela 1. Skróty i oznaczenia użyte w dokumencie



4 Usługi katalogowe Active Directory – struktura logicznaInformacje przedstawione w tym rozdziale omawiając projekt logicznej struktury usługi katalogowej dla Ministerstwa Sprawiedliwości.

Projekt logiczny struktury usługi katalogowej obejmuje następujące zagadnienia:

Projekt lasu Active Directory Projekt domen Active Directory w ramach lasu Strukturę jednostek organizacyjnych w ramach domen Konwencję nazewniczą obiektów katalogu

4.1 Las Active DirectoryLas (ang. forest) usługi katalogowej Active Directory jest to zgrupowanie jednej lub więcej domen Active Directory, będące granicą zapieczeń w ramach modelu zabezpieczeń usługi katalogowej Active Directory. Oznacza to, że las Active Directory może składać się z jednej lub więcej domeny, powiązanych wzajemnymi relacjami zaufania.

W ramach lasu Active Directory współdzielone są pomiędzy wszystkimi domenami wchodzącymi w skład lasu następujące elementy:

Schemat Active Directory: schemat usługi katalogowej definiuje wszystkie obiekty i ich atrybuty, jakie mogą zostać utworzone w ramach katalogu Active Directory. Schemat AD jest utrzymywany w ramach partycji katalogu, która jest replikowana do wszystkich kontrolerów domeny w ramach lasu.

Konfiguracja: konfiguracja usługi katalogowej, oraz innych usług korzystających z katalogu Active Directory, przechowywana jest w kontenerze konfiguracji, który utrzymywany jest na oddzielnej partycji usługi katalogowej. Partycja ta replikowana jest do wszystkich kontrolerów domeny w ramach lasu Active Directory.

We wszystkich domenach w ramach lasu Active Directory istnieją kontrolery domeny pełniące rolę serwerów Global Catalog, które utrzymują częściową informację o wszystkich obiektach istniejących w ramach całego lasu AD.

W ramach lasu Active Directory wszystkie domeny połączone są dwustronnymi relacjami zaufania. Dzięki tym relacjom i uprawnieniom w ramach lasu, struktura lasu definiuje granicę bezpieczeństwa dla mechanizmów uwierzytelnienia i autoryzacji Active Directory.



4.2 Struktura lasu i domeny

4.2.1 Pojedyncza domena w lesie Active DirectoryCelem przeprowadzonych prac projektowych jest przedstawienie struktury usługi katalogowej spełniającej zidentyfikowane założenia funkcjonalne dla Ministerstwa Sprawiedliwości:

Realizacja założeń centralnego zarządzania zasobami sieciowymi Maksymalne uproszczenie infrastruktury Możliwość dostosowania struktury usługi katalogowej do zmian w strukturze

organizacyjnej Ministerstwa.

W ramach lasu Active Directory możliwe jest utworzenie jednej lub więcej domen Active Directory. Czynniki, które mogą wpłynąć na liczbę domen w ramach lasu to:

Wymagania związane z replikacją danychW ramach domeny Active Directory replikowane są wszystkie informacje o obiektach zdefiniowanych w ramach domeny. Pomiędzy domenami w ramach lasu replikowane są tylko informacje wspólne dla całego lasu (schemat, konfiguracja) oraz dane niezbędne do zbudowania danych katalogu globalnego. W przypadku ograniczeń związanych z połączeniami sieciowymi w ramach struktury firmy może wystąpić konieczność wyodrębnienia dodatkowych domen, w celu ograniczenia ruchu sieciowego pomiędzy kontrolerami domen.

Na podstawie analizy wymagań organizacyjnych i terytorialnych Ministerstwa Sprawiedliwości, wybrano strukturę logiczną usługi katalogowej złożoną z pojedynczego lasu Active Directory, w którym obecna będzie pojedyncza domena Active Directory.

4.2.2 Zalety konfiguracji z jednym lasem i pojedynczą domenąKonfiguracja usługi katalogowej oparta o jeden las i jedną domen Active Directory posiada następujące zalety:

Elastyczność – konfiguracja taka pozwala na dowolną zmianę struktury katalogu w przyszłości,

Prostota – prosta konfiguracja ułatwia administrację oraz upraszcza proces logowania z punktu widzenia użytkownika

Efektywna administracja – w proponowanej konfiguracji wszystkie zadania administracyjne związane z utrzymaniem katalogu wykonywane są dla pojedynczej instancji domeny\ lasu.

Skalowalne – rozwiązania w takiej konfiguracji może być łatwo skalowane do poziomu dziesiątek tysięcy obiektów.



Autonomia poszczególnych jednostek organizacyjnych – w ramach zaproponowanego podejścia możliwe jest zachowanie autonomii poszczególnych jednostek sądów poprzez wydzielenie odpowiednich jednostek w ramach struktury logicznej OU.

Proponowane rozwiązanie zostało oparte na zaleceniach i rekomendacjach Microsoft przedstawionych w dokumencie “Multiple Forest Considerations in Windows 2000 and Windows Server 2003” http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/mtfstwp.mspx

4.2.3 Sufiks w domenie Active DirectoryUPN (ang. Universal Principal Name) jest to atrybut użytkownika, który może zostać użyty w trakcie procesu logowania zamiast standardowej nazwy użytkownika NT. Atrybut ten pozwala, na wprowadzenie, jako nazwy logowania użytkownika wartości bardziej naturalnej dla użytkownika, takiej jak adresu e-mail.

W celu ułatwienia procesu tworzenia kont użytkowników w Active Directory, lista możliwych sufiksów powinna być zdefiniowana przed przystąpieniem do procesu generacji / migracji kont.

Poniższa tabela przedstawia proponowane sufiksy, jakie zostaną wprowadzone w ramach domeny Active Directory Ministerstwa Sprawiedliwości:

Sufiks Opis

Ms.gov.pl Sufiks zdefiniowany na potrzeby wprowadzenia mechanizmów logowania za pośrednictwem nawy konta pocztowego.

Ad.ms.gov.pl Domyślny sufiks dla domeny Active DirectoryTabela 2: Sufiks w ramach domeny ad.ms.gov.pl

4.3 Nazewnictwo lasu i domeny

Jako nazwę przestrzeni lasu Active Directory przyjęta została przestrzeń domeny istniejąca nazwa ad.ms.gov.pl


http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/mtfstwp.mspx

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/directory/activedirectory/mtfstwp.mspx


Rysunek 1. Struktura logiczna lasu i domeny Active Directory

Dla domeny przyjęta zostaje nazwa NetBIOS AD.

4.4 List Object Access Mode Usługa katalogowa Active Directory posiada mechanizm dokładnej kontroli dostępu do zasobów katalogu opartego na systemie uprawnień i listach dostępu. W celu umożliwienia kontroli dostępu do zasobów katalogu, możliwe jest włączenie w ramach konfiguracji usługi katalogowej dodatkowego trybu “List Object Mode”.

Włączenie tego trybu działania usługi katalogowej wprowadza dodatkowe uprawnienie, które może być nadawane użytkownikom lub grupom użytkowników w ramach list dostępu. Powoduje to, że użytkownicy nie widzą w ramach katalogu obiektów, do których nie posiadają uprawnień.

W ramach usługi katalogowej Ministerstwa Sprawiedliwości, tryb “List Object Mode” pozostanie włączony

Tryb List object mode włączony zostaje poprzez modyfikacje trzeciego znaku atrybutu dSHeuristic, dla obiektu:

CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=ad,DC=ms,DC=gov,DC=pl.

Wartość ta musi zostać ustawiona na 1.



4.5 Owner Access Restriction Mechanizm Owner Access Restriction pozwala zdefiniować prawa właściciela do obiektu przez niego tworzonego. W podstawowym modelu bezpieczeństwa osoba tworząca obiekt jest w stanie przejąć pełną kontrolę nad utworzonym elementem.

Wykorzystanie możliwości Owner Access Restriction pozwala ograniczyć prawa właściciela. Założeniem projektu jest delegowanie uprawnień na poziomie jednostek organizacyjnych. Osoba tworząca obiekt będzie posiadała uprawnienia tylko do odczytu – o ile większe uprawnienia nie wynikają z założonej delegacji uprawnień.

Mechanizm Owner Access Restriction zostanie włączony.

Konfiguracja mechanizmu OAR wyglądać będzie następująco:

dsacls DC=ad,DC=ms,DC=gov,DC=pl /I:S /G S-1-3-4:GR

4.6 Struktura jednostek organizacyjnych

4.6.1 Cel wprowadzania jednostek organizacyjnychJednostka organizacyjna (ang. Organizational Unit, OU) jest to kontener w ramach katalogu Active Directory pozwalający na logiczne grupowanie obiektów katalogu wewnątrz domeny Active Directory. Jednostki organizacyjne są to kontenery wprowadzane do struktury katalogu w celu ułatwienia zarządzania zasobami domeny z punktu widzenia administratora katalogu.

Jednostki organizacyjne mogą zostać użyte w następujących celach:

Grupowanie logiczne obiektów i zasobów katalogu, Uproszczenie zarządzania obiektami logicznie zgrupowanymi w odpowiedniej

strukturze kontenerów, Delegacji uprawnień do obiektów katalogu zgrupowanych w strukturze kontenerów, Zarządzania konfiguracją \ środowiskiem użytkownika i stacji roboczych poprzez

obiekty Group Policy (GPO) zastosowane na poziomie struktury kontenerów.

Jednostki organizacyjne umożliwiają delegację oraz kontrolę uprawnień dla każdego typu obiektu, np.:

Komputery (Computer) Użytkownicy (user, iNetOrgPerson) Grupy (Group) Drukarki (Printer)



Inne jednostki organizacyjne (OU)

Zarządzanie uprawnieniami do obiektów oraz delegacja uprawnień na poziomie jednostek organizacyjnych jest prostsza i bardziej efektywna niż zarządzanie tymi elementami na poziomie poszczególnych obiektów.

Struktura jednostek organizacyjnych może być strukturą zagnieżdżoną, w której kolejne OU tworzone są wewnątrz już istniejących. Ze względu na wydajność mechanizmów przeszukiwania katalogu oraz procesów związanych z logowaniem użytkowników zaleca się, aby zagnieżdżenie struktury było ograniczone do minimalnego, niezbędnego z punktu widzenia zarządzania katalogiem poziomu.

Jednostki organizacyjne służą reprezentacji i organizacji obiektów katalogu z punktu widzenia zarządzania tymi obiektami, delegacji uprawnień oraz stosowania mechanizmów zasad grupowych (GPO). Tworzenie struktury jednostek organizacyjnych w celu odzwierciedlenia, na przykład struktury organizacyjnej organizacji nie spełnia celu, w jakim jednostki te powinny być tworzone.

Z punktu widzenia użytkownika i jego pracy nie jest istotne, w którym miejscu struktury logicznej katalogu umieszczony jego obiekt. Fakt ten jest istotny z punktu widzenia środowiskiem pracy użytkownika, ponieważ z położenia obiektu komputera i użytkownika wynika zestaw nałożonych na środowisko użytkownika uprawnień i ustawień systemu operacyjnego.

Proponowana struktura jednostek organizacyjnych ma za zadanie:

Umożliwić efektywne zarządzanie środowiskiem użytkowników i stacji roboczych w przyjętym w ramach Ministerstwa Sprawiedliwości centralnym modelu administracji.

Umożliwić efektywną delegację wybranych uprawnień administracyjnych na poszczególnych poziomach organizacji.

Zapewnić łatwą identyfikację obiektów i ich położenia w strukturze, z punktu widzenia zarządzania i delegacji uprawnień.

4.6.2 Proponowana struktura jednostek organizacyjnych

Pierwszy poziom Drugi poziom Trzeci poziom Uzasadnienie

OU=Resort Jednostka organizacyjna zawierajaca zagnieżdżone jednostki organizacyjne wszystkich sądów wchodzących w skład wspólnej usługi katalogowej

OU=Apelacje Jednostka organizacyjna dla sądów



apelacyjnych

OU=SA_WR Sąd Apelacyjny w lokalizacji Wrocławskiej

OU=Okreg Jednostka organizacyjna dla sądów okręgowych

OU=SO_WR01 Sąd Okręgowy w lokalizacji Wrocławskiej

OU=SO_WR02 Sąd Okręgowy w lokalizacji 2

OU=Rejon Jednostka organizacyjna dla sądów rejonowych

OU=SR_WR01 Sąd Rejonowy w lokalizacji Wrocław - Śródmieście

OU=SR_WR02 Sąd Rejonowy w lokalizacji Wrocław - Fabryczna

OU=Administracja Resort

Jednostka administracyjna skupiająca konta administracyjne i serwisowe dla domeny

OU=Konta serwisowe Konta serwisowe dla usług działających w ramach sieci koncernu

OU=Administratorzy centralni

Konta administratorów centralnych

OU = Grupy Administracyjne

Grupy zabezpieczeń zawierające konta użytkowników, dla których wydelegowane zostały uprawnienia administracyjne w ramach struktury katalogu Active Directory

OU=Role Grupy zabezpieczeń zawierające zdefiniowane uprawnienia do struktur Active Directory

OU=Domain Controllers

Domyślny kontroler zawierający konta komputerów pełniących rolę kontrolerów domeny. W kontenerze tym nie będą występowały żadne dodatkowe kontenery ani obiekty inne, niż konta kontrolerów domeny.

OU=Serwery Jednostka organizacyjna grupująca serwery usług działające w ramach sieci koncernu

OU = <Typ serwera> Jednostka organizacyjna grupująca określony typ serwerów usług, zarządzany i konfigurowany w określony sposób. W razie potrzeby, możliwe jest utworzenie



jednostek organizacyjnych trzeciego poziomu, zawierających konta serwerów dla konkretnych oddziałów koncernu

OU=Administracja MS

Jednostka organizacyjna definiująca zarządzanie na poziomie całego Ministerstwa Sprawiedliwości

OU=Grupy Centralne Grupy Active Directory utworzone na poziomie całej organizacji, np. grupy umożliwiające nadanie uprawnienia dostępu dla wszystkich pracowników czy wysłanie korespondencji do każdego członka Ministerstwa Sprawiedliwości

OU=Grupy zabezpieczen Grupy zabezpieczeń (dostęp)

OU=Grupy dystrybucyjne Grupy dystrybucyjne (listy „mailingowe”)

Tabela 3: Struktura jednostek organizacyjnych w domenie ad.ms.gov.pl

Dodatkowo dla każdego obiektu identyfikującego Sąd muszą zostać utworzone obiekty organizacyjne dla obiektów:

Serwery - OU = SERWERY, z przeznaczeniem na ulokowanie serwerów zarządzanych przez dany sąd, których przekazanie do centralnej administracji jest niemożliwe z przyczyn biznesowych.

Stacje Robocze – OU=Komputery, z przeznaczeniem na ulokowanie stacji roboczych zarządzanych w danym regionie

Użytkownicy – OU=Uzytkownicy, z przeznaczeniem na ulokowanie użytkowników z danego sądu

Grupy zabezpieczeń – OU=Grupy zabezpieczeń, z przeznaczeniem na ulokowanie dostępu do zasobów w danym sądzie.

Role – OU=Role, z przeznaczeniem na ulokowanie predefiniowanych ról uprawnień do administracji danym fragmentem drzewa Active Directory

Proponowane rozwiązanie struktury jednostek organizacyjnych Active Directory znajduje się na poniższym schemacie:



Rysunek 2. Struktura jednostek organizacyjnych w Active Directory Ministerstwa Sprawiedliwości.

W ramach atrybutu CN nie będą stosowane polskie znaki diakrytyczne.



4.6.2.1 OU ResortPrzyjęta struktura jednostek organizacyjnych umożliwia delegację uprawnień na poziomie całej organizacji. W kontenerze Resort zlokalizowane zostaną jednostki organizacyjne poszczególnych Sądów, wchodzących w skład Ministerstwa Sprawiedliwości w podziale na typ sądu (Apelacje, Okręgi, Rejony).

W ten sposób ustawienia wspólne dla wszystkich sądów można zdefiniować i poddawać kontroli w jednym miejscu, wymuszając warunek jednolitej polityki konfiguracyjnej GPO w całej organizacji.

Delegacja uprawnień administracyjnych danej spółki, następuje na poziomie pojedynczego kontenera wewnątrz jednostki organizacyjnej Apelacje.

4.6.2.2 OU Administracja Resort Na tym poziomie powinny znaleźć się wszystkie konta, które działają globalnie w obrębie całej struktury Active Directory. Wszystkie konta użytkowników pełniących funkcje administracyjne powinny być zgrupowane wewnątrz kontenera Administracja Resort. Wszystkie obiekty, którym nadane zostaną jakiekolwiek prawa administracyjne znajdować się będą w jednym miejscu.

Taki model wyraźnie oddziela personel administracyjny od zwykłych użytkowników na poziomie AD i umożliwia zaaplikowanie wspólnych ustawień GPO (jak np. inne niż w przypadku kont zwykłych użytkowników skrypty logowania) dla każdego administratora w obrębie lasu Active Directory.

Dodatkowo w kontenerze tym zlokalizowane zostaną wszystkie konta usług oraz konta serwisowe działające na poziomie całej domeny.

Należy pamiętać, że każdy użytkownik pełniący rolę administracyjną, posiada dedykowane konto „zwykłego” użytkownika, z którego korzysta do wykonywania codziennych prac (edycja dokumentów, dostęp do zasobów sieciowych, przeglądanie poczty / www).

4.6.2.3 OU Domain Controllers

Ze względu na specyfikę pełnionej roli, konta komputerów pełniących funkcję kontrolerów domeny automatycznie zlokalizowane są w kontenerze Domain Controllers.

4.6.2.4 OU Serwery

Konta serwerów będą znajdować się w osobnym kontenerze wewnątrz struktury AD Ministerstwa Sprawiedliwości. Takie podejście umożliwia aplikowanie niezależnych ustawień GPO, specyficznych wyłącznie dla serwerów, rozdzielnych od konfiguracji pozostałych komputerów istniejących w obrębie AD.

Wydzielenie osobnego kontenera, zawierającego wyłącznie konta serwerów, umożliwia jednakową konfigurację środowiska serwerów na poziomie całej organizacji.



Wewnątrz kontenera Serwery stworzona zostanie struktura odpowiadająca rolom pełnionym przez dane grupy serwerów. W razie potrzeby możliwe jest utworzenie kolejnej warstwy, w której komputery pełniące określone role rozdzielone zostaną pomiędzy poszczególne sądy.

Poniższy schemat obrazuje proponowaną organizację kontenera Serwery.

Rysunek 3. Organizacja kontenera Serwery w strukturze AD Ministerstwa Sprawiedliwości.

4.6.2.5 OU Grupy centralneW ministerstwie istnieje potrzeba wydzielenia grup dystrybucyjnych oraz grup zabezpieczeń na poziomie całej organizacji. Grupy takie obejmowałyby np.: wszystkich pracowników ministerstwa czy pracowników działających w HelpDesku.

W tym celu powstanie dodatkowy kontener Grupy Centralne, zawierający grupy dystrybucyjne oraz grupy zabezpieczeń istniejące w pierwszej warstwie struktury Active Directory Ministerstwa Sprawiedliwości.

4.6.2.6 Zalecenie i najlepsze praktyki w zakresie tworzenia struktury jednostek organizacyjnych dla poszczególnych oddziałów.

Ze względów praktycznych zaleca się, aby konta komputerów oraz konta użytkowników znajdowały się w osobnych kontenerach wewnątrz jednostek organizacyjnych poszczególnych spółek wchodzących w skład Ministerstwa Sprawiedliwości. Separacja dwóch rodzajów kont daje możliwość



tworzenia prostszych, bardziej przejrzystych polityk GPO, w których szablony konfiguracyjne dotyczyć będą wyłącznie albo konfiguracji komputera, albo ustawień użytkowników.

Należy pamiętać, że czas uruchamiania systemu i logowania się do niego użytkownika jest proporcjonalny do liczby obiektów zasad grupowych, które muszą być przetworzone. Zaleca się, aby ilość GPO przetwarzanych przez każdą stację w domenie była możliwie najmniejsza.

4.7 Konwencje nazewnicze obiektówW ramach domeny Active Directory Ministerstwa Sprawiedliwości przyjęta zostanie jednolita konwencja nazewnicza dla nowotworzonych głównych typów obiektów tworzonych w ramach tego katalogu.

Pozwoli to na zachowanie spójności nazewniczej tworzonych obiektów, zminimalizowanie problemów wynikających z możliwych konfliktów nazw oraz ułatwi administrację obiektami katalogu.

Poniżej przedstawione zostały konwencje nazewnicze dla obiektów kont komputerów i kont użytkowników w katalogu Active Directory Ministerstwa Sprawiedliwości.

Poniższe wytyczne są na bazie istniejących standardów Ministerstwa Sprawiedliwości:

4.7.1 Stacje robocze

Notoworzone obiekty stacji roboczych powinny być zgodne z przyjętą polityką nazewnictwa w danej jednostce (Sąd lub Ministerstwo) zakładając prefiks komputera:

<Kod jednostki><nazwa>, np.

SAWRKOMP1 MSKOWALSKI

4.7.2 Serwery S (serwer) _ _ (dwuliterowe oznaczenie miasta np. WA Warszawa) _ _ (dwuliterowe oznaczenie głównej usługi np. EX Exchange, DC kontroler domeny itp.) _ _ (dwuliterowa numeracja) - np. SWAEX01

4.7.3 Konta użytkowników

Login to nazwisko użytkownika np. kowalski – wypadku konfliktów nazw zaleca się dodać na początek literę imienia np. jkowalski lub pełne imię np. jankowalski



4.7.1 Obiekty zasad grup<Oznaczenie jednostki>-<U/C>-Dowolna nazwa polityki, gdzie U to polityka przeznaczona dla użytkownika, C – polityka przeznaczona dla komputera.

Oznaczenie jednostki przyjmuje ‘MS’ w przypadku Ministerstwa lub kod sądu w przypadku danego sądu.Np.:

MS-U-Ustawienia dla programu XYZ MS-C-Instalacja Office SA_WR-U-Profile SO_WR01-C-Zabezpieczenia komputera

4.8 Centralne składowanie kluczy BitLocker Active Directory wykorzystywane zostanie jako centralne, bezpieczne repozytorium, w którym składowane zostaną klucze umożliwiające odzyskanie danych na dyskach zaszyfrowanych przy użyciu mechanizmu BitLocker. Korzystając z właściwości komputera możliwe jest wyświetlenie klucza odzyskiwana.

Dokładna procedura konfiguracji została opisana pod adresem: http://technet.microsoft.com/en-us/library/dd875529(v=ws.10).aspx

4.9 Wytyczne dla korzystania z GPO

4.9.1 Zasady wykorzystania GPO

W tej części opisane zostaną zasady i mechanizmy nakładania obiektów zasad polityk grupowych (GPO) dla środowiska ad.ms.gov.pl

4.9.1.1 Ustalanie zakresu (Scoping)

Podstawowym miejscem aplikacji obiektów GPO jest jednostka organizacyjna (OU – Organizational Unit). Polityka powiązana z daną jednostką organizacyjną dotyczy wszystkich obiektów znajdujących się wewnątrz. Polityki GPO mogą być powiązane również z innymi elementami katalogu:

Lokacje (Sites) Domeny

Należy pamiętać, że polityki nie można podłączyć pod obiekty typu „kontener” (container), jak np. do występującego domyślnie w katalogu AD kontenera Computers czy Users.


http://technet.microsoft.com/en-us/library/dd875529(v=ws.10).aspx


4.9.1.2 Stosowanie Group PolicyUstawienia zawarte w obiekcie GPO aplikują się do wszystkich obiektów użytkowników i komputerów zlokalizowanych w poddrzewie jednostki organizacyjnej, z którą powiązany jest dany obiekt GPO. Polityki nakładane są zgodnie z wbudowaną hierarchią. Istnieje możliwość podłączenia więcej niż jednego obiektu GPO do pojedynczej jednostki organizacyjnej.

Proces nakładania polityk odbywa się na stacji klienckiej i wymaga w pierwszej chwili od komputera połączenia do kontrolera domeny (i dostępu do udziału SYSVOL). Po nałożeniu polityk, stacja może pracować bez dostępu do kontrolera domeny dzięki mechanizmowi buforowania obiektów GPO (ustalone zasady będą nadal obowiązywały, jednak ewentualne zmiany w polityce grupowej nie zostaną uwzględnione do czasu, aż stacja ponownie połączy się z kontrolerem domeny).

Kontroler domeny jest stroną bierną procesu aplikacji polityk - kontroler publikuje ustawienia, które są w konsekwencji przetwarzane przez klientów.

4.9.1.3 Kolejność aplikacji obiektów GPO

Obiekty GPO stosowane są w ściśle określonej kolejności:

Lokacja Domena Jednostki organizacyjne – zaczynając od polityk przypiętych do jednostek

organizacyjnych znajdujących się najwyżej w poddrzewie każdej ze struktur.

Kolejność nakładania się poszczególnych ustawień determinuje wypadkową wartość konfiguracji klienta.

W sytuacji gdy wiele polityk podpiętych jest do pojedynczej jednostki organizacyjnej, ich kolejność przetwarzania definiowana jest ręcznie przez administratora. Ustawienia w ostatnim przetwarzanym GPO mają pierwszeństwo nad pozostałymi ustawieniami, które wynikają z innych polityk na tym samym poziomie katalogu Active Directory (domeny, lokacji, jednostki organizacyjnej).

4.9.1.4 Zabezpieczenie przed nadpisaniemPolityki GPO mogą być również skonfigurowane w ten sposób, by nie można było nadpisać ich wartości politykami zlokalizowanymi na niższym szczeblu katalogu. Ustawienie to osiąga się wymuszając opcję no override na poziomie danego obiektu GPO.

Wszystkie zdefiniowane w projekcie ustawienia GPO posiadać będą włączoną opcję no override.



4.9.1.5 BlokowaniePonadto istnieje możliwość blokowania polityk na wybranym poziomie katalogu (lokacji, domeny czy jednostki organizacyjnej). Projekt nie przewiduje wykorzystywania tej funkcjonalności w zaproponowanych politykach.

4.9.1.6 Filtrowanie GPO (Group Policy Filtering)

Obiektów GPO nie można nakładać bezpośrednio na grupy bezpieczeństwa. Zamiast tego istnieje możliwość wykorzystania grup do filtrowania przetwarzania obiektów GPO w taki sposób, aby dana polityka nakładana była wyłącznie na obiekty spełniające odpowiednie kryteria, np. członkostwo w grupie.

Mechanizm filtrowania GPO można wymusić poprzez odpowiednią konfigurację bezpieczeństwa każdego z obiektów – przypisanie uprawnienia do stosowania konkretnego obiektu GPO dla konkretnej grupy użytkowników – Security FIltering (domyślnie dla każdego nowoutworzonego obiektu GPO jest to grupa Authenticated Users).

Drugim sposobem filtrowania GPO jest użycie wcześniej zdefiniowanych filtrów WMI (WMI Filtering), pozwalających na przypisanie uprawnień do przetwarzania obiektów GPO w oparciu o konkretne wartości atrybutów klas WMI występujących na stacji końcowej.

Należy wziąć pod uwagę, że filtrowanie GPO zwiększa poziom złożoności architektury oraz utrudnia analizowanie procesu przetwarzania obiektów przez stacje końcowe, w przypadku wystąpienia problemów.

W projekcie technicznym AD dla Ministerstwa Sprawiedliwości filtrowanie GPO nie będzie stosowane w zaproponowanych politykach.

4.9.1.7 Kiedy stosować GPO?

Obiekty GPO powinny być stosowane zawsze wtedy, gdy istnieje konieczność centralnej konfiguracji ustawień dla większej grupy użytkowników lub komputerów. Mechanizmy GPO upraszczają konfigurację i zapewniają, że będzie ona obowiązywać w zasięgu działania danej polityki.

4.9.1.8 Obiekty GPO na szczycie domeny – tworzyć nowe czy edytować domyślnie utworzone?

Katalog Active Directory zawiera zdefiniowane dwie polityki:

Default Domain Policy Default Domain Controllers Policy

Polityki te pozostaną nienaruszone na wypadek potrzeby odwrócenia zmian w katalogu.



Równolegle powstaną dwa odpowiadające im obiekty GPO, w których definiowana będzie odpowiednio polityka globalna domenowa oraz polityka dla kontrolerów domeny.

4.9.2 Zarządzanie Group Policy

4.9.2.1 Zasady OgólneZastosowanie prostego projektu występowania obiektów GPO zapewnia minimalizację potencjalnych problemów. Istotne jest by jak najrzadziej stosować wyjątki w hierarchii aplikacji obiektów GPO. Zaleca się stosować następujące praktyki podczas tworzenia obiektów zasad polityk grupowych:

Konfiguracja ustawień ogólnych - specyficznych dla całej organizacji jak najwyżej w hierarchii aplikacji obiektów GPO

Unikać głębokich i skomplikowanych struktur zawierających GPO – scenariuszy, w których na obiekt nakładają się polityki z kilku jednostek organizacyjnych i kilkunastu powiązanych polityk GPO.

Unikać – o ile jest to możliwe – aplikacji tego samego ustawienia w kilku kolejnych przetwarzanych przez klienta obiektach GPO.

Nie stosować wielu obiektów GPO przyłączonych do pojedynczej jednostki organizacyjnej o ile nie ma wyraźnego powodu.

Nie należy nadużywać mechanizmu GPO Filtering. Należy unikać nadpisywania ustawień GPO poprzez blokowanie dziedziczenia

ustawień. Należy unikać blokowania GPO. W sytuacji, w której to samo ustawienie może być zdefiniowane dla obiektu

komputera i dla obiektu użytkownika, używać konfiguracji per komputer, o ile nie ma silnych powodów by robić to inaczej. Przyspieszy to proces logowania użytkownika w sytuacji, gdy wystąpi brak połączenia z kontrolerem domeny.

Jeśli GPO nie konfiguruje żadnych ustawień w sekcji użytkownika, należy wyłączyć całą sekcję konfiguracji polityki użytkownika.

Obiekt GPO definiujący konfigurację specyficzną dla obiektów w danej organizacji powinien być powiązany z konkretną jednostką organizacyjną wewnątrz poddrzewa danej organizacji (rejonu). Dla przykładu: jeśli pewne ustawienia konfiguracyjne są specyficzne wyłącznie dla obiektów komputerów w rejonie A, obiekt zasad grupowych powinien być podłączony do jednostki organizacyjnej, w której przechowywane są konta komputerów danego rejonu, a nie do głównej jednostki organizacyjnej rejonu A.

Do głównej jednostki organizacyjnej rejonu A powinny odwoływać się obiekty GPO definiujące konfigurację wszystkich obiektów znajdujących się wewnątrz poddrzewa danego rejonu (np. skrypt dołączający administratorów rejonowych do grupy administratorów lokalnych na wszystkich stacjach roboczych i serwerach w rejonie).



Jeśli nie ma takiej potrzeby, nie podłączać obiektów GPO do obiektu lokacji. Jeśli jest to możliwe, zaleca się wykorzystanie dedykowanych narzędzi do

przeprowadzenia instalacji oprogramowania na stacjach klienckich.

4.9.2.2 TestowanieMechanizm GPO pozwala w wygodny sposób konfigurować ustawienia wielu komputerów i użytkowników. Wpływ zmian zasad polityk grupowych może być bardzo duży, a wszystkie wprowadzane ustawienia aplikują się na obiekty w czasie rzeczywistym. Każda pomyłka powstała w trakcie konfiguracji obiektów GPO może mieć poważne konsekwencje.

W związku z tym krytyczne jest aby wprowadzić mechanizm testowania każdej nowej konfiguracji GPO przed wprowadzeniem jej do produkcji.

4.9.2.3 Dokumentacja i proces zarządzania zmianąKażdy obowiązujący w organizacji obiekt zasad polityki grupowej musi być dostatecznie udokumentowany. Dokumentacja powinna zawierać:

Każde z wprowadzonych ustawień Powody definiowania polityki Właściciela obiektu GPO – osobę odpowiedzialną za utworzenie i konfigurację Osobę odpowiedzialną za testy danego obiektu GPO Wyniki przeprowadzonych testów

Każda zmiana w istniejących obiektach zasad polityk grupowych powinna podlegać procesowi zarządzania zmianą lub przynajmniej skrupulatnie udokumentowana. Istotne jest również aby przetestować zmiany w konfiguracji i – w razie potrzeby – umożliwić ich cofnięcie.

Zarówno dokumentację jak i proces wdrażania obiektów GPO można prowadzić przy użyciu narzędzia Group Policy Management dostępnego wraz z systemem operacyjnym Windows Server 2012.

4.9.3 Obiekty GPO zdefiniowane w projekcie

Projekt zakłada utworzenie następujących obiektów zasad polityk grupowych o zasięgu globalnym:

MS_C_TopLevelDomainPolicy [rozdział 4.9.3.1]

MS_C_DomainControllersPolicy [rozdział 4.9.3.2]

MS_C_TopRegionsPolicy [rozdział4.9.3.3]

MS_C_TopServerPolicy [rozdział 4.9.3.4]



Projekt techniczny zakłada wyłącznie definicję ustawień globalnych, niezbędnych dla uzyskania spójnego poziomu bezpieczeństwa w organizacji. Szczegółowa konfiguracja w zakresie funkcjonalności wymaganej przez poszczególne jednostki sądownicze ministerstwa pozostaje zadaniem dla administracji lokalnej i nadana na odpowiednim poziomie jednostek organizacyjnych katalogu Active Directory.

Konfiguracja globalnych obiektów GPO omówiona zostaje w dalszej części dokumentu..

4.9.3.1 MS_C_ TopLevelDomainPolicy Polityka zdefiniowana w obiekcie MS_C_TopLevelDomainPolicy nadpisuje ustawienia zdefiniowane w GPO Default Domain Policy z zakresu:

Konfiguracji globalnej polityki haseł Definicji globalnej polityki blokowania kont Definicji polityki Kerberos

Polityka kont musi być zdefiniowana w obiekcie GPO przypiętym do domeny – zgodnie ze specyfikacją Active Directory. Zdefiniowana na tym poziomie polityka haseł i blokad kont obowiązuje globalnie w całej domenie, nie wpływa natomiast na politykę logowania za pomocą karty inteligentnej, gdyż jest to ustawienie definiowane na koncie użytkownika.

Decyzje projektowe związane z globalną polityką kont i haseł omówione zostały w punkcie 7.3.1. Konfiguracja bardziej specyficznych wymagań bezpieczeństwa związanych z hasłami użytkowników zawarta jest w punkcie 8.1

4.9.3.2 MS_C_DomainControllersPolicy

Obiekt MS_C_DomainControllersPolicy powiązany jest z jednostką organizacyjną Domain Controllers i zawiera konfigurację nadpisującą ustawioną politykę obiektu Default Domain Controllers Policy.

GPO obejmuje zakresem definicji następujące obszary:

Polityka audytu Konfiguracja dzienników zdarzeń Uprawnienia użytkowników na kontrolerach domeny Konfiguracja opcji bezpieczeństwa dla kontrolerów domeny Ustawienia usług działających na kontrolerach domeny

Szczegóły definicji polityki znajdują się w rozdziale 7.2.4



4.9.3.3 MS_C_TopServerPolicyObiekt zasad grupowych specyficznych dla konfiguracji środowiska serwerów Ministerstwa Sprawiedliwości.

Ograniczenie dostępu do logowania wyłącznie dla uprawnionego personelu Audyt poprawnych i błędnych logowań do stacji Ograniczenia możliwości wykonania restartu / kopii zapasowej serwera dla

uprawnionego personelu Ustawienia dziennika zdarzeń

Szczegóły definicji polityki znajdują się w rozdziale 7.2.5

4.9.3.4 MS_C_TopRegionsPolicyObiekt zasad grupowych zawierających wspólną konfigurację reguł, obowiązujących w każdym sądzie wchodzącym w skład Ministerstwa Sprawiedliwości. Obiekt ten definiuje jedynie członkostwo w grupie administratorów lokalnych na wszystkich komputerach ministerstwa. [rozdział 6.13.3.6]

4.9.4 Group Policy Preferences

Domena oparta o Windows Server 2012pozwala na zdefiniowanie w obiektach GPO tzw. Preferencji – zespołu ustawień, które mogą być nadpisane przez użytkownika. Rozszerzają one zakres modyfikacji stacji roboczych, których można dokonać przy użyciu zasad polityk grupowych.

Konsola Group Policy Management Editor w Windows Server 2012 dzieli ustawienia na dwie części:

Policy („klasyczne” ustawienia GPO wymuszane na stacjach roboczych / na użytkownikach)

Preferences – zestaw dodatkowych ustawień możliwych do nadpisania przez użytkownika zgodnie z jego wolą.

Mechanizm ten pozwala zdefiniować „preferowane ustawienia” zarówno na poziomie konta komputera (sekcja Computer Configuration obiektu GPO) jak i użytkownika (sekcja User Configuration obiektu GPO).



Rysunek 4. Widok na konsolę GPM z rozwiniętą gałęzią "Preferences" obiektu GPO

Ustawienia GPO Preferences związane z ustawieniami Windows to:

Konfiguracja ustawień konkretnych aplikacji Tworzenie, modyfikacja, usuwanie powiązań do dysków sieciowych Tworzenie, modyfikacja, usuwanie zmiennych środowiskowych Zarządzanie plikami: kopiowanie, usuwanie, modyfikacja atrybutów plików Zarządzanie folderami: tworzenie, modyfikacja lub usuwanie folderów Zmiana konfiguracji zawartej w plikach ini Zarządzanie udziałami sieciowymi – tworzenie, modyfikacja, usuwanie udziałów

sieciowych Zarządzanie wpisami w rejestrze na maszynie

Ustawienia GPO Preferences związane z konfiguracją Panelu sterowania to:

Tworzenie źródeł danych ODBC Włączanie/wyłączanie urządzeń / klas urządzeń Zmiana opcji folderów (konfiguracja funkcjonalności „otwórz z…”) oraz plików

(programy przypisane do konkretnych typów plików). Modyfikacja ustawień internetowych Tworzenie, modyfikacja i usuwanie grup lokalnych Zarządzanie połączeniami Dial-Up networking oraz VPN



Modyfikacja opcjami zasilania urządzeń – tworzenie, modyfikacja, usuwanie planów zasilania

Zarządzanie ustawieniami regionalnymi Zarządzanie harmonogramem zadań Windows Zarządzanie usługami Modyfikacje Menu Start

Dodatkowo istnieje możliwość definiowania ustawień w zależności od różnych zmiennych. Warunkami występowania ustawienia może być:

Obecność baterii Nazwa komputera Prędkość procesora Harmonogram (np. w konkretne dni tygodnia albo 1 dnia miesiąca) Czas Dostępna przestrzeń dyskowa Domena Zmienna środowiskowa Istnienie konkretnego folderu lub pliku (lub występowanie konkretnej wersji pliku) Adres IP Zainstalowany język Zapytanie LDAP Adres fizyczny karty sieciowej (MAC) Zapytanie MSI (występowanie na maszynie konkretnej aplikacji zainstalowanej z

użyciem instalatora MSI) Wersja systemu operacyjnego Jednostka organizacyjna w katalogu AD Obecność czytnika PCMCIA Stan komputera przenośnego (w doku, poza dokiem, nieznany) Tryb przetwarzania polityk GPO Ilość dostępnej fizycznej pamięci RAM Wpisy w rejestrze Obecność w grupie Przynależność do lokacji AD Wykorzystanie sesji terminalowej Zapytanie WMI

Jak widać mechanizm ten pozwala na bardzo dokładne porcjowanie ustawień dla komputerów pracujących w środowisku Active Directory. GPO Preferences obsługuje klientów Windows XP, Windows Server 2003 i nowszych (konieczna jest instalacja odpowiednich rozszerzeń opisanych w rozdziale 5.7



Ustawienia Group Policy Preferences są możliwe do wykonania przy użyciu konsoli Group Policy Management.

Konfiguracja opcji GPO Preferences należy do administratorów rejonowych i jest poza zakresem tego projektu.



5 Usługi katalogowe Active Directory – struktura fizycznaInformacje przedstawione w tym rozdziale omawiają infrastrukturę fizyczną katalogu Active Directory Ministerstwa Sprawiedliwości. W rozdziale tym opisane zostaną następujące zagadnienia:

Wybór systemu operacyjnego kontrolerów domeny Liczba i rozmieszczenie kontrolerów domeny Rozmieszczenie usług Global Catalog Rozmieszczenie ról FSMO w katalogu Active Directory Wybór topologii oraz mechanizmu replikacji

Decyzje projektowe opisane w tym rozdziale oparte są na założeniach przedstawionych w „Windows Server 2003 Active Directory Branch Office Guide” (http://www.microsoft.com/downloads/details.aspx?FamilyId=9353A4F6-A8A8-40BB-9FA7-3A95C9540112&displaylang=en).

5.1 Elementy infrastruktury fizycznej Active DirectoryInfrastruktura fizyczna katalogu Active Directory określa, w jaki sposób poszczególne serwery pełniące rolę kontrolerów domeny komunikują się między sobą w celu replikacji danych katalogu. Elementy tej infrastruktury brane są również pod uwagę podczas procesu lokalizowania kontroler domeny przez klienta usług katalogowych oraz przez różnego rodzaju usługi działające w oparciu o usługę katalogową Active Directory.

Poprawne zaprojektowanie infrastruktury fizycznej katalogu Active Directory jest krytyczne dla poprawnego funkcjonowania środowiska usług katalogowych w trakcie późniejszej eksploatacji.

Struktura fizyczna Active Directory definiowana jest przez następujące obiekty:

Lokacje : lokacja jest to obiekt definiujący logiczne połączenie pomiędzy szybko połączonymi podsieciami (na przykład w ramach tego samego budynku lub połączonego szybką siecią LAN). Lokacje mogą posiadać przypisane do siebie obiekty podsieci oraz zawierają obiekty kontrolerów domeny (istnieje powiązanie pomiędzy lokacją a kontrolerem domeny). Obiekty te wykorzystywane są w ramach procesów związanych z replikacją danych domeny oraz w trakcie procesu lokalizacji kontrolera domeny przez stacje robocze.

Kontrolery domeny (domain controller): kontroler domeny jest to serwer oparty na systemie Windows Server przechowujący fizycznie informację o obiektach w katalogu oraz udostępniający usługi uwierzytelnienia i autoryzacji użytkownikom domeny.

Łącza (site links): łącza są obiektami reprezentującymi połączenia sieciowe pomiędzy poszczególnymi lokacjami. Dzięki parametrom przypisanym do poszczególnych łączy


http://www.microsoft.com/downloads/details.aspx?FamilyId=9353A4F6-A8A8-40BB-9FA7-3A95C9540112&displaylang=en



oraz ich parametrom możliwe jest tworzenie optymalnej topologii replikacji danych w ramach domeny Active Directory.

Podsieci (subnet): podsieci są obiektami reprezentującymi fizyczne podsieci IP połączone w ramach lokacji. Powiązanie pomiędzy obiektami podsieci i lokacjami wykorzystywane jest w trakcie procesów związanych z lokalizacją obiektów kontrolerów domeny w ramach domeny Active Directory.

5.2 ReplikacjaW celu określenia topologii replikacji danych katalogu Active Directory należy uwzględnić następujące elementy:

Lokacje i rozmieszczenie kontrolerów domeny w lokacjach Łącza pomiędzy lokacjami Harmonogram replikacji Generowanie topologii replikacji

5.2.1 Kryteria lokalizacji i rozmieszczenie kontrolerów domenyNa potrzeby projektu usługi katalogowej powstanie 8 lokacji logicznych, pokrywających się z fizyczną strukturą ministerstwa.

Lokacje, w których umieszczone zostaną kontrolery domeny to:

Warszawa – WA_Ujazdowskie– w lokacji tej funkcjonować będą centralna administracja oraz lokacja ta będzie odpowiadać na ruch autoryzacyjny z Resortu

Warszawa – WA_Czerniakowska – lokalizacja przeznaczona na potrzeby autoryzacji użytkowników z Warszawy, jak również krytycznych aplikacji z lokacji Czerniakowska

Trzy oddziały OZI – lokalizacje skupiające usługi podtrzymujące funkcjonowanie poszczególnych sądów.

Kontrolery w Warszawie (Ujazdowskie oraz Czerniakowska) oraz OZI Wrocław stanowić będą grupę kontrolerów tzw. Core i zostaną uruchomione na etapie wdrożenia usługi Active Directory.

Dodatkowo, jeśli funkcjonowanie sieci rozległej nie pozwoli na komfortowe wykorzystywanie usługi, zaleca się uruchomić pojedyncze kontrolery domeny obsługujące ruch lokalny w sądach.

Poniższy schemat przedstawia rozmieszczenie kontrolerów domeny w sieci Ministerstwa Sprawiedliwości z uwzględnieniem podziału na kontrolery krytyczne z punktu widzenia funkcjonowania usługi oraz kontrolery, których instalacja zależy od późniejszej decyzji Klienta.



Rysunek 5. Lokalizacja kontrolerów domeny

W Warszawie znajdować się będą dwa fizyczne kontrolery domeny.

W pozostałych lokalizacjach rozkład kontrolerów domeny będzie następujący:

Lokacja Ilość kontrolerów domeny

Komentarz

WA-Ujazdowskie 4 Lokalizacja na potrzeby replikacji, jeden fizyczny kontroler

WA-Czerniakowska 2 Lokalizacja na potrzeby autoryzacji użytkowników warszawskich oraz zapasowy site w przypadku awarii łącza do lokacji pierwotnej

OZI1-Wrocław 2 W OZI Wrocław znajdować się będą aplikacje ściśle współpracujące w usługą AD (np. SAP)

OZI2 2 OZI odpowiada za świadczenie usługi Active Directory dla jednostek sądów

OZI3 2 OZI odpowiada za świadczenie usługi Active Directory dla jednostek sądów

Tabela 4. Ilość i rozmieszczenie kontrolerów domeny w sieci Ministerstwa Sprawiedliwości.



5.2.1.1 Warszawa - Lokacja centralnaLokacja centralna zostanie fizycznie zlokalizowana w sieci Warszawskiej w dwóch serwerowniach, w której koncentrować się będzie ruch związanych z replikacja danych katalogu. Lokacja ta zawierać będzie kontrolery odpowiedzialne za koncentrację i replikację ruchu związanego z replikacją danych usługi katalogowej.

Dodatkowo w Warszawie i OZI Wrocławskim zlokalizowana zostanie usługa Exchange, wymagająca wysokiej dostępności usługi AD w tej lokalizacji.

Przewidziane jest, że w lokacji Warszawie zostanie umieszczonych cześć kontrolerów domeny.

Ponadto kontrolery domeny w tych lokalizacjach uwierzytelniać będzie wszystkich użytkowników z lokacji, w której nie występuje kontroler domeny oraz zapewniać będą wysoką dostępność usługi w przypadku, gdy lokalny kontroler domeny będzie niedostępny.

5.2.1.2 Lokacja OZIRozmieszczenie kontrolerów domeny w centralnych serwerowniach poszczególnych oddziałów obrazuje Tabela 4. Ilość i rozmieszczenie kontrolerów domeny w sieci Ministerstwa Sprawiedliwości.

Kontrolery domeny w tych lokalizacjach będą uwierzytelniać użytkowników z lokalnych siteów Active Directory, a także będą wykorzystywane na potrzeby działania zcentralizowanych aplikacji, np. SAP, MS Exchange Server

5.2.1.3 Lokacja jednostek sądów

Dla każdego z sądów zostanie utworzona lokacja Active Directory pozbawiona kontrolera domeny. Lokacja ta zostanie połączona z centralną lokacją WA-Ujazdowskie.

W przypadku konieczności utworzenia lokalnego kontrolera domeny, lokalizacja ta będzie replikować się z centralną lokacją.

5.2.2 Wymagania w zakresie ruchu sieciowego związanego z procesem logowania się użytkowników

5.2.2.1 Wymagania związane z ruchem sieciowym w procesie logowania

Logowanie użytkownika w sieci opartej o usługi katalogowe Active Directory to proces, który wymaga komunikacji pomiędzy stacją roboczą używaną przez użytkownika a serwerem pełniącym role kontrolera domeny i role serwera katalogu globalnego.

Ilość ruchu generowanego w trakcie procesu logowania użytkownika zależy od tego jak wiele elementów dodatkowych takich jak:



Zasady grupowe Skrypty logowania

zostanie wprowadzone do procesu logowania się użytkowników. W szczególności liczba zasad grupowych i ustawień w nich zdefiniowanych może wpływać znacząco na ilość danych przesyłanych pomiędzy klientem a kontrolerem domeny w procesie logowania użytkownika.

W przypadku objęcia użytkownika domenowego pojedynczą zasadą grupową, czyli w minimalnym przypadku ruch sieciowy związany z logowaniem się użytkownika wynosi w przybliżeniu 95 KB.

W bardziej skomplikowanym przypadku, przy kilku zdefiniowanych zasadach grupowych ruch ten może wynosić około 200 KB.

W przypadku bardziej skomplikowanych scenariuszy, w których występuje wiele zasad grupowych, ze zdefiniowanymi skryptami logowania itp. ruch ten może być kilkukrotnie większy.

Na etapie projektu usługi katalogowej opartej o Active Directory trudno jest oszacować rzeczywisty ruch związany z logowaniem się użytkowników poprzez sieć rozległą, zależy to bowiem w znacznym stopniu od ilości zastosowanych zasad grupowych i ich ustawień.

Prawdziwa wydajność zaproponowanego rozwiązanie konfiguracji lokacji i rozmieszczenia kontrolerów domeny możliwa będzie do zweryfikowania dopiero w rzeczywistym środowisku sieci Ministerstwa Sprawiedliwości. W dużym stopniu będzie ona zależała od następujących czynników:

Wydajności i stabilności łącza, Opóźnień na łączu w przypadku korzystania z połączeń WAN, Profilu użytkownika – profil użytkownika określa sposób zachowania użytkownika,

jeżeli chodzi o logowanie się użytkownika do zasobów sieciowych. W przypadku typowych obliczeń przyjmuje się, jako profil średniego użytkownika dwukrotne logowanie się do usług terminalowych w ciągu dnia, w szczególności w godzinach porannych oraz godzinach południowych. W tym czasie należy zakładać wzmożony ruch sieciowy związany z logowaniem i przetwarzaniem danych związanych z logowaniem użytkownika (GPO, skrypty),

Liczby zastosowanych zasad grupowych (GPO) i częstotliwości ich uaktualnienia.

Poniżej przedstawiona została symulacja czasu logowania przy następujących założeniach:

Szacowany ruch związany z procesem logowania użytkownika: 150 KB Narzut protokołu sieciowego: 10 % Maksymalny przyjęty czas logowania: 60 sekund



Zakładając skonsolidowane środowisko Active Directory i zdalne logowanie klientów do lokacji centralnej, można zakładać, iż dla każdego użytkownika, dzienny ruch wymagany przez zdarzenia logowania/wylogowywania będzie podobny do opisanego w artykule „Windows 2000 Startup and Logon Traffic Analysis” dostępnym na stronie http://technet.microsoft.com/en-us/library/bb742590.aspx i będzie przedstawiał się następująco:

Akcja Ilość wystąpień dziennie Ruch sieciowy na jedną akcję Wielkość ruchu sieciowego

Logowanie 2 31790 B (31,04 kB) 65,58 KB

Wylogowanie 2 2556 B 5,1 KB

Na tej podstawie można obliczyć minimalne wymagane pasmo dla 1500 (na potrzeby logowania w przeciągu 10 minut (współczynnik jednoczesności wynosi 150 osób na minutę). Należy skorzystać z następującego wzoru:

ruch (kB /sec )=(liczbaużytkowników∗wielkość akcji logowaniakB)czas w sekundach

Na tej podstawie obliczono:

ruch (kB /sec )=(1500użytkowników∗31,04 kB)10min ¿60 sek /min

=77,6kB /sec ≈0,62Mbit /s

Poniżej stosowne wyliczenia dla 1500 logowań w przeciągu 3 minut:

ruch (kB /sec )=(1500użytkowników∗31,04 kB)3min ¿60 sek /min

=258,7 kB /sec ≈2,07Mbit /s

Infrastruktura sieciowa Ministerstwa Sprawiedliwości cechuje się bardzo dużą wydajnością w oparciu o siec MPLS o łączach powyżej 2Mbps. W związku z tym nie przewiduje się problemów ze zwiększonym czasem logowania użytkowników do usługi sieciowej Active Directory.


http://technet.microsoft.com/en-us/library/bb742590.aspx


5.2.2.2 Optymalizacja procesu logowania dla systemów Windows XP, Windows Vista / Windows 7

Proces logowania użytkownika może zostać zoptymalizowany w przypadku stacji roboczych opartych o system operacyjny Windows XP lub nowszy poprzez użycie mechanizmu Fast User Logon. Mechanizm ten jest włączony.

W przypadku stacji roboczych Windows XP lub nowszych, pierwsze logowanie użytkownika w domenie na danej stacji przebiega bez optymalizacji. Wszystkie niezbędne GPO są pobierane z kontrolera domeny, tworzony jest lokalnie profil użytkownika. W tym przypadku logowanie użytkownika po sieci WAN może trwać dłużej ze względu na pobranie niezbędnych danych.

W przypadku kolejnych logowań użytkownika na tej samej stacji roboczej proces logowania podlega optymalizacji polegającej na:

Zalogowaniu użytkownika na podstawie uprzednio zapamiętanych poświadczeń (cached credentials),

Pobraniu danych dotyczących GPO asynchronicznie, już po zalogowaniu użytkownika.

W tym wypadku uzyskujemy efekt szybkiego zalogowania się użytkownika, nawet w przypadku pracy z kontrolerem domeny pracującym w odległej lokalizacji połączonej siecią WAN.

Ilość ruchu sieciowego związanego z procesem logowania się użytkownika pozostaje bez zmian, jednak odczucie użytkownika w przypadku tego typu mechanizmu jest o wiele lepsze, ponieważ nie musi on czekać na transfer danych poprzez sieć rozległą.

Mechanizm ten posiada pewne ograniczenia zdefiniowane w artykule KB 305293 (http://support.microsoft.com/kb/305293)

Mechanizm ten nie działa poprawnie, jeżeli użytkownik posiada zdefiniowaną we właściwościach konta ścieżkę do profilu,

Mechanizm ten nie działa poprawnie, jeżeli użytkownik posiada zdefiniowaną we właściwościach konta ścieżkę do skryptu logowania,

Zastosowanie zmian naniesionych w ramach GPO, może odnieść efekt dopiero po dwu lub trzykrotnym logowaniu użytkownika. Efekt ten wynika z przetwarzania zasad GPO na podstawie danych znajdujących się w buforze lokalnego systemu,

W ramach planowanego środowiska usług katalogowych Ministerstwa Sprawiedliwości nie powinny wystąpić żadne z elementów ograniczających zastosowanie tego mechanizmu.

5.2.3 Replikacja danych katalogu

5.2.3.1 Wybór topologii replikacjiNa potrzeby projektu usługi katalogowej przyjmuje się model replikacji pomiędzy lokacjami OZI a lokacją zbiorczą w topologii \ gwiazdy.


http://support.microsoft.com/kb/305293


Lokacje sądów będą podłączone do najbliższej lokacji geograficznej OZI.

Replikacja danych katalogu w przyjętej topologii odbywać się więc będzie tylko pomiędzy lokacjami, w których ustawiony jest kontroler domeny, a lokacją zbiorczą (Warszawa).

Uwierzytelnianie użytkowników z poszczególnych sadów będzie przez lokacje drugiego poziomu - OZI

Przedstawiony projekt replikacji niesie ze sobą szereg korzyści:

Ścieżki replikacji są tworzone deterministycznie Replikacja zmian dokonanych na rejonowym kontrolerze domeny szybciej

rozpropagowana zostanie do innych lokalizacji Topologia zmniejsza ilość partnerów replikacji dla kontrolerów domeny (w

odróżnieniu od trybu „każdy-z-każdym”). Zmniejsza to wymagania sprzętowe dla kontrolerów zlokalizowanych w lokacji warszawskiej, a ponadto nie wymaga wprowadzania zaawansowanej konfiguracji, jak np. harmonogramu replikacji

Komunikacja pomiędzy kontrolerami domeny postępować będzie zgodnie z poniższym schematem:

Rysunek 6. Topologia replikacji w domenie ad.ms.gov.pl

5.2.3.2 Rodzaje replikacji w ramach kataloguW ramach katalogu Active Directory zachodząc dwa rodzaje procesów replikacji:



Replikacja wewnątrz lokacji (intrasite) Replikacja pomiędzy lokacjami (intersite)

5.2.3.2.1 Replikacja wewnątrz lokacji

Replikacja danych pomiędzy kontrolerami domeny w ramach lokalizacji. Replikacja ta ma na celu szybką wymianę informacji pomiędzy kontrolerami domeny w ramach jednej lokacji. W tym celu ruch związany z replikacją nie jest kompresowany, kontrolery domeny zaś replikują dane pomiędzy sobą niemal natychmiast po wystąpieniu zmiany.

Powiadomienia o zmianach pomiędzy partnerami replikacji wewnątrz lokacji odbywają się co 5 sekund.

Topologia replikacji wewnątrz lokacji jest tworzona automatycznie przez proces KCC.

5.2.3.2.2 Replikacja pomiędzy lokacjamiReplikacja danych pomiędzy lokacjami odbywa się za pośrednictwem kontrolerów domeny wyznaczonych do tego celu poprzez proces KCC. Ruch związanych z replikacją danych pomiędzy lokacjami jest kompresowany a kontrolery wymieniają się informacjami o zmianach i uaktualnieniach zgodnie z ustalonym harmonogramem replikacji danych.

Topologia replikacji pomiędzy lokacjami zostanie utworzona automatycznie poprzez proces KCC na podstawie przyjętej w projekcie topologii replikacji.

5.2.3.3 Wyznaczenie polaczeń replikacjiW projekcie przyjęte zostało, że wszystkie połączenia replikacji pomiędzy lokacjami Active Directory tworzone będą automatycznie przez proces KCC. Mechanizmy KCC odpowiedzialne będą za:

Utworzenie połączeń replikacji w ramach lokacji Utworzenie połączeń replikacji pomiędzy lokacjami Active Directory Aktualizację danych o topologii replikacji w przypadku zmiany konfiguracji lokacji i

połączeń pomiędzy lokacjami.

5.2.4 Wybór mechanizmu replikacji SYSVOLWraz z wprowadzeniem funkcjonalności Windows Server 2012, replikacja danych odbywać się będzie z wykorzystaniem najnowszej wersji algorytmu replikacji: DFSR.



5.2.5 Lokacje Active DirectoryLokacja Active Directory jest definiowana, jako zbiór podsieci IP. Naturalnym rozgraniczeniem lokacji staje się łącze typu WAN.

5.2.5.1 Kryteria rozmieszczenia lokacjiDokładne zaplanowanie położenia lokacji i kontrolerów domeny w lokacjach ma na celu zapewnienie sprawnego działania usługi katalogowej w zakresie:

Replikacji danych katalogu: poprawna konfiguracja lokacji i łączy pozwala na efektywną replikację danych w ramach katalogu

Lokalizację kontrolerów domeny przez klientów: w procesie logowania do domeny klient określa na podstawie przynależności do określonej lokacji najbliższy kontroler domeny, który zostanie użyty w procesie logowania. Poprawna konfiguracja lokacji i ich parametrów pozwala klientowi na poprawne zlokalizowanie kontrolera w danej lokacji, pozwalając uniknąć połączenia z kontrolerem domeny poprzez wolne połączenia WAN.

Dla każdej lokalizacji fizycznej połączonej siecią WAN utworzona zostanie osobna lokacja Active Directory

W centralnej lokacji Active Directory umieszczone zostaną kontrolery domeny pełniące rolę koncentratorów ruchu replikacyjnego pomiędzy poszczególnymi lokacjami usługi katalogowej. Cały ruch związany z replikacją w ramach usługi katalogowej przechodził będzie przez kontrolery domeny w tej lokalizacji.

5.2.5.2 Umieszczenie kontrolerów domeny w lokacjachZgodnie z założeniami przyjętymi w projekcie w ramach usługi katalogowej Ministerstwa Sprawiedlwości istniały będą lokalizacje, w których będzie zlokalizowany kontroler domeny oraz lokacje pozbawione kontrolera domeny.

Mechanizmy lokacji kontrolera domeny sprawią, że klienci wykorzystywać będą lokalny kontroler domeny, a w przypadku jego niedostępności – kontrolery domeny w najbliższej lokacji zgodnie z utworzonymi połączeniami międzylokacyjnymi i ich kosztem .

5.2.5.3 Utworzenie lokacjiWszystkie planowane w ramach projektu lokacje zostaną utworzone bezpośrednio po wypromowaniu pierwszego kontrolera domeny w ramach usługi katalogowej Ministerstwa



Sprawiedliwości. Umożliwi to promowanie kolejnych kontrolerów domeny bezpośrednio w przypisanych do nich lokalizacjach.

5.2.5.4 Nazewnictwo lokacji

Proponowane jest przyjęcie następującej konwencji nazewniczej dla lokacji Active Directory:

{Kod jednostki}

gdzie:

Kod jednostki: przyjęte, skrótowe określenie oddziału

Poniższa tabela opisuje lokacje w Active Directory Ministerstwa Sprawiedliwości:

Oznaczenie lokacji Komentarz

WA-Ujazdowskie Lokacja replikacyjna

WA-Czerniakowska Lokacja Warszawska

WA-Chopina Lokacja Warszawska

WA-Zwyciezcow Lokacja Warszawska

WA-Barska Lokacja Warszawska

WA-Piekna Lokacja Warszawska

WR-SA_WR Sąd Apelacyjny we Wrocławiu

WR-SO_WR01 Sąd Okręgowy we Wrocławiu

WR-SO_WR02 Sąd Okręgowy we Wrocławiu

WR-SR_WR01 Sąd Rejonowy we Wrocławiu

WR-SR_WR02 Sąd Rejonowy we Wrocławiu

WR-OZI Lokacja OZI Wrocław

OP-OZI Lokacja OZI Opole

SD-OZI Lokacja OZI Siedlce

Tabela 5. Lokacje w Active Directory Ministerstwa sprawiedliwości

5.2.6 Obiekty łączy lokacji (Site Links)Łącza lokacji (site links) odzwierciedlają fizyczne połączenia pomiędzy lokalizacjami, w których zlokalizowane są lokacje AD. Informacje połączone z tymi obiektami pozwalają procesowi KCC na wyznaczenie optymalnej topologii replikacji danych katalogu Active Directory.

Każdy z obiektów połączeń definiuje następujące parametry:

Protokół (typ)



Koszt Okres replikacji Harmonogram replikacji.

5.2.6.1 Typy obiektów łączy lokacji (site links)W ramach usługi katalogowej Active Directory możliwe jest utworzenie dwóch typów ścieżek replikacji pomiędzy lokacjami, powiązanych z protokołami używanymi do replikacji danych katalogu;

Łącza IP Łącza SMTP.

W ramach usługi katalogowej Ministerstwa Sprawiedliwości tworzone będą jedynie łącza IP.

5.2.6.2 Kryteria tworzenia łączy lokacji

Przyjmuje się, że każdy z utworzonych obiektów ścieżek replikacji łączyć będzie jedynie dwie lokacje (centralną i regionu). Nie jest przewidziane tworzenie ścieżek obejmujących więcej niż jedną lokację.

Obiekt łącza lokacji zostanie stworzony dla każdego, unikalnego połączenia pomiędzy lokacjami rejonów a lokacją centralną.



Rysunek 7. Obiekty łączy oraz lokacje w AD

5.2.6.3 Koszt obiektu łącza lokacji

W przypadku przyjętej topologii replikacji, koszt połączenia definiowany na ścieżkach replikacji jest bez znaczenia.

5.2.6.4 Change NotificationMechanizm Change Notification pozostanie wyłączony. Nie zidentyfikowano potrzeby wymuszenia replikacji częstszej niż zgodnie z cyklem wyznaczonym przez harmonogram replikacji.

5.2.6.5 Pozostałe parametry obiektów łączy lokacji Konfiguracja wszystkich obiektów łączy lokacji będzie następująca:

Interwał replikacji: Replikacja pomiędzy lokacjami połączonymi siecią WAN odbywać się będzie co 15 minut.

Okna replikacjiOkno replikacji (czas, w którym kontrolery domeny mogą wymieniać informacje między sobą) otwarte będzie cały czas – bez ograniczeń.

5.2.6.6 Czas propagacji zmian w katalogu

Zdefiniowany okres i harmonogram replikacji definiują następujące opóźnienia replikacji w ramach przyjętej topologii replikacji:



30 minut dla replikacji danych pomiędzy dwiema lokacjami OZI

Rysunek 8. Opóźnienie replikacji dla replikacji pomiędzy OZI

Przykład: Propagacja zmian dokonany na kontrolerze domeny we Wrocławiu do kontrolera domeny np. w Siedlcach może zająć maksymalnie do 30 minut.

5.2.6.7 Utworzenie obiektów łączyOdpowiednie obiekty łączy pomiędzy lokacjami Active Directory powinny zostać utworzone równocześnie z utworzeniem połączonych przez ten obiekt lokacji Active Directory.

Przy założeniu modelu replikacji gwiazdy powinny zostać utworzone obiekty łączy pomiędzy każdą lokacją oraz lokacją centralną. Obiekty łączy nie będą tworzone pomiędzy lokacjami.

5.2.6.8 Nazewnictwo obiektów łączy lokacjiObiekty łączy lokacji nosić będą takie same nazwy jak lokacje, do których są przypisane, np: WA-Ujazdowskie_WR-SR_WR01

5.2.7 Podsieci ADW celu zapewnienia poprawnego działania mechanizmów lokalizacji kontrolerów domeny przez klientów usługi katalogowej oraz poprawnego zdefiniowania fizycznej infrastruktury katalogu niezbędne jest stworzenie w ramach katalogu obiektów reprezentujących fizyczne podsieci IP w ramach sieci Ministerstwa Sprawiedliwości.



Każda z podsieci będzie powiązana w ramach konfiguracji usługi katalogowej z lokacją Active Directory, do której powinna być przypisana ze względu na położenie fizyczne i połączenia sieciowe.

W celu zapewnienia poprawnego działania mechanizmów lokalizacji podsieci i kontrolerów domeny, dla każdej z podsieci powinna zostać utworzona strefa rozwiązywania nazw w DNS (rev-DNS).

Definiując obiekty podsieci przy pomocy Active Directory Sites and Services możliwe jest zdefiniowanie podsieci w taki sposób, by pokrywała ona całą klasę sieci np. B (128.0.0.0/16) lub C (192.0.0.0/24).

5.2.7.1 Kryterium tworzenia obiektów podsieciKażdy z obiektów podsieci zostanie powiązany z obiektem lokacji, w której dana podsieć jest obsługiwana. Każda lokacja musi posiadać przypisany co najmniej jeden obiekt podsieci.

5.2.7.2 Utworzenie obiektów podsieciWszystkie podsieci zidentyfikowane w chwili tworzenia katalogu Active Directory powinny zostać utworzone od razu w ramach katalogu.

Nowe lub później zidentyfikowane podsieci będą tworzone sukcesywnie jako obiekty katalogu.

Podsieci dla sądów nieposiadających własnej lokalizacji, powinny zostać dopisane do najbliższej geograficznie lokalizacji OZI.

5.2.7.3 Obiekty podsieci ad.ms.gov.pl

Poniższa tabela przedstawia obiekty podsieci zidentyfikowane w organizacji wraz z przypisaniem ich do konkretnych lokacji Active Directory:

Podsieć Lokacja Kontroler domeny

10.4.0.0/22 WA_Ujazdowskie SWADC01SWADC02SWADC03SWADC04

10.1.1.0/22 WA_Czerniakowska SWADC05SWADC06

10.x.x.x/x OZI - Wrocław SWRDC01SWRDC02

10.x.x.x/x OZI - Opole SOPDC01SOPDC02

10.x.x.x/x OZI - Siedlce SSDDC01



SSDDC02

10.90.0.0/16 WR_SA -

10.10.40.0/2410.11.24.0/2410.11.25.0/2410.11.26.0/2410.11.27.0/2410.11.28.0/2410.11.29.0/2410.11.30.0/2410.11.31.0/2410.11.40.0/2410.11.41.0/2410.124.0.0/1410.128.0.0/1010.145.6.0/2410.173.0.0/16172.16.0.0/21

WR_SO01 -

10.11.85.0/2510.11.36.0/2210.11.37.0/2410.11.38.0/2410.11.39.0/2410.11.78.0/2310.11.79.0/2410.176.0.0/16

WR_SR01 -

Tabela 6 Obiekty podsieci zdefiniowane dla domeny Ministerstwa Sprawiedliwości.

5.2.8 Automatyczne pokrycie lokacji W ramach katalogu Active Directory istnieje mechanizm automatycznego pokrycia lokacji nieposiadających kontrolera domeny usługami świadczonymi przez kontroler domeny z innej lokacji, w szczególności z lokacji nadrzędnej (hub) dla danej lokacji.

Przy założonej topologii replikacji, ośrodkiem nadrzędnym dla wszystkich lokacji nieposiadających kontrolera domeny będą kontrolery domeny w Warszawie

Mechanizm automatycznego pokrycia lokacji usługami innych kontrolerów domeny będzie włączony.



5.2.9 Wymuszenie spójności replikacji w ramach usługi katalogowejW ramach usługi katalogowej istnieje mechanizm wymuszenia spójności danych pomiędzy partnerami replikacji. Włączenie tego mechanizmu powoduje, że w przypadku wykrycia błędów danych katalogu replikacja z partnerem replikacji zawierającym błędy jest wstrzymywana.

Mechanizm ten nosi nazwę „Strict replication consistency”.

Ustawienie to pozostanie włączone.

5.2.10 Usuwanie obiektów z katalogu i funkcjonalność AD Recycle Bin

Obiekty usunięte z katalogu Active Directory przechowywane są przez określony czas po wykonaniu operacji usunięcia w celu zapewnienia poprawności danych katalogu w postaci obiektów nagrobkowych (tombstone). Czas przechowywania obiektów w postaci obiektów nagrobkowych definiowany jest poprzez czas życia obiektów nagrobkowych (Tombstone Lifetime).

Dla usługi katalogowej Ministerstwa Sprawiedliwości przyjęty zostanie domyślny czas życia obiektów nagrobkowych dla systemu Windows 2003 SP1 i późniejszych – 180 dni.

Ponadto, włączenie funkcjonalności AD Recycle Bin powoduje, że zanim obiekt skasowany stanie się obiektem typu tombstone, przez 180 dni przebywać będzie w „koszu na śmieci”, skąd może zostać odtworzony z zachowaniem wszystkich atrybutów obiektów (w tym i przynależności do grup security czy dystrybucyjnych).

Cykl życia kasowanego obiektu w Active Directory 2012 z włączoną funkcjonalnością AD Recycle Bin przedstawia się następująco:

Rysunek 9. Przedstawienie założeń cyklu życia obiektu w Active Directory 2012 z włączoną funkcjonalnością Recycle Bin



Do czasu upłynięcia 180 dni od chwili usunięcia można dokonać pełnego przywrócenia obiektu. Po upłynięciu 180 dni od usunięcia, obiekt przechodzi w stadium analogiczne do obiektu nagrobkowego – zostaje pozbawiony atrybutów przynależności do grup bezpieczeństwa, jednak nadal istnieje możliwość jego reanimacji (etap Recycled). Po upłynięciu 360 dni od chwili skasowania obiektu zostaje on całkowicie wymazany z katalogu.

Funkcjonalność kosza na śmieci Active Directory jest włączona dla domeny ad.ms.gov.pl

5.2.11 Porty używane w ramach replikacjiW projekcie zakłada się wykorzystanie standardowej konfiguracji i użycie dynamicznego zakresu portów w celu replikacji danych katalogu w sieci rozległej.

Mechanizmy replikacji katalogu Active Directory używają protokołu RPC w celu dokonania replikacji. Użycie tego protokołu wymusza użycie portu TCP/135 w celu określenia dynamicznych portów używanych w procesie replikacji.

Replikacja danych następuje po wskazanym poprzez usługę RPC Endpoint Mapper zakresie portów dynamicznych.

W przypadku konieczności ograniczenia zakresu portów otwartych pomiędzy poszczególnymi lokalizacjami, katalog Active Directory umożliwia konfigurację wskazanych portów jako portów używanych przez usługę Active Directory w celu replikacji danych katalogu oraz SYSVOL. Konfiguracja ta opisana jest w artykułach KB224196 oraz KB319553.

5.2.12 Znajdowanie kontrolera domeny przez klientów ADW punkcie tym omówiony zostanie proces lokalizacji kontrolera domeny przez klientów usługi katalogowej, w oparciu o fizyczną konfiguracje usługi katalogowej. Proces lokalizacji kontrolera domeny opiera się głównie o mechanizm rozwiązywania nazw DNS.

W punkcie tym omówiona zostanie również konfiguracja kontrolera domeny mająca zapewnić poprawne działanie mechanizmów katalogu w przypadku lokacji bez kontrolera domeny.

Szczegółowy opis procesu lokalizacji kontrolera domeny przez klienta usługi katalogowej w systemie Windows XP omówiony został w artykule KB314861 (http://support.microsoft.com/kb/314861) lub w artykule autorstwa Jorge de Almeida Pinto - DC Locator Process in W2K, W2K3(R2) and W2K8 - PART 1 (http://blogs.dirteam.com/blogs/jorge/archive/2007/06/30/dc-locator-process-in-w2k-w2k3-r2-and-w2k8-part-1.aspx).


http://blogs.dirteam.com/blogs/jorge/archive/2007/06/30/dc-locator-process-in-w2k-w2k3-r2-and-w2k8-part-1.aspx

http://blogs.dirteam.com/blogs/jorge/archive/2007/06/30/dc-locator-process-in-w2k-w2k3-r2-and-w2k8-part-1.aspx



5.2.12.1 Wykrywanie lokacji przez klienta

W celu wykrycia lokacji, w której znajduje się stacja klienta klient przesyła zapytanie zawierające adres IP do kontrolera domeny. W przypadku, gdy klient dokonywał już uwierzytelniania w domenie zapytanie to zostanie przesłane do ostatnio używanego kontrolera domeny.

W przypadku nowego klienta lub gdy poprzednio używany kontroler nie jest dostępny klient użyje zapytania DNS w celu zlokalizowania dostępnego kontrolera domeny, do którego zostanie przesłane zapytanie.

W odpowiedzi na zapytanie klienta kontroler domeny określi na podstawie przesłanego IP podsieć klienta, i na podstawie przynależności podsieci do lokacji również odpowiednią lokację. Informacja ta przesyłana jest z powrotem do klienta.

Po określeniu lokacji klient przystępuje do procesu wykrywania kontrolera domeny w danej lokacji.

5.2.12.2 Lokacje zawierające kontroler domeny

W przypadku lokacji zawierających kontroler domeny klient określi najbliższy kontroler domeny w oparciu o informacje zarejestrowane przez kontrolery z danej lokacji w DNS.

5.2.12.3 Lokacje bez kontrolera domeny

W przypadku lokacji bez kontrolera domeny konieczne jest zapewnienie rejestracji w usłudze DNS dla danej lokacji odpowiednich rekordów DNS przez kontrolery z innej lokacji. W przypadku usługi katalogowej Ministerstwa Sprawiedliwości wszystkie kontrolery domeny z poziomu lokacji centralnych oddziału rejestrować będą odpowiednie rekordy DNS dla wszystkich lokacji jednostek sądów bez kontrolera domeny.

W przypadku, gdy klient nie jest w stanie zidentyfikować poprzez zapytania DNS kontrolerów dla danej lokacji wykona on zapytanie w celu wykrycia kontrolerów domeny niepowiązanych z żadną lokalizacją.

W przypadku usługi katalogowej Ministerstwa Sprawiedliwości rekordy DNS dla kontrolerów niepowiązanych z lokalizacją zostaną zarejestrowane jedynie przez kontrolery domeny znajdujące się w lokacji centralnej. Konfiguracja taka zapewni redundancję rozwiązania nawet w przypadku, gdy oba kontrolery domeny w lokacji centralnej oddziału ulegną awarii.

5.2.12.4 Wybór repliki SYSVOLW przypadku, gdy klient nie zlokalizuje kontrolera domeny w ramach własnej lokalizacji, domyślna logika procesu powoduje wybranie dowolnego dostępnego kontrolera domeny jako źródła danych wolumenu SYSVOL. Proces ten nie uwzględnia informacji o topologii sieci.



Zachowanie to należy zmienić poprzez ręczną modyfikację rejestru wszystkich kontrolerów domeny:

Parametr Wartość

Klucz HKLM\System\CurrentControlSet\Services\Dfs\Parameters

Nazwa wartości SiteCostedReferrals

Typ danych REG_DWORD

Wartość 1

Tabela 7. Zmiany w konfiguracjach kontrolerów domeny w celu ujednolicenia wyboru repliki SYSVOL przez klientów AD

5.3 Infrastruktura kontrolerów domeny

5.3.1 Wersja systemu operacyjnego kontrolerów domenyKażdy kontroler domeny zainstalowany będzie w oparciu o system operacyjny:

Windows Server 2012 64 Bit Wersja Standard Wersja angielska Wersja pełna systemu operacyjnego – nie core

5.3.1.1 Wersja językowa systemu operacyjnegoDziałanie mechanizmów usługi katalogowej nie jest zależne od wersji językowej systemu operacyjnego, która została użyta przy instalacji kontrolerów domeny. W przypadku wersji językowej innej niż angielska zlokalizowane zostają nazwy niektórych obiektów i kontenerów, jednak mechanizmy katalogu działają bez zmian.

W przypadku instalacji kontrolerów domeny zaleca się jednak utrzymanie jednolitej wersji językowej systemów operacyjnych, w celu zapewnienia jednorodności środowiska pracy i zarządzania systemów operacyjnych. Jednakowa wersja językowa systemów operacyjnych pozwala na utrzymanie jednolitego poziomu wdrażanych poprawek i pakietów serwisowych.

W przypadku kontrolerów domeny instalowanych w środowisku usług katalogowych Ministerstwa Sprawiedliwości wykorzystana zostanie angielska wersja językowa systemu Windows Server 2012

Zalecenie to wynika z następujących przesłanek:

Pakiety serwisowe wydawane są w pierwszej kolejności dla angielskiej wersji systemu operacyjnego. Pozwala to na zastosowanie poprawek do istniejących problemów w najszybszym możliwym terminie.



Angielska wersja językowa systemu operacyjnego zapewnia największy stopień zgodności systemu z oprogramowaniem narzędziowym dostarczanym przez Microsoft i firmy trzecie.

Zalecenie to obejmuje systemy operacyjne serwerów pełniących rolę kontrolerów domeny.

5.3.1.2 Dodatkowe oprogramowanie

Standardowa konfiguracja kontrolera domeny usług katalogowych Ministerstwa Sprawiedliwości będzie obejmowała instalację następującego oprogramowania:

Pełny zestaw narzędzi administracyjnych Oprogramowanie antywirusowe zgodne ze standardem korporacyjnym Ministerstwa

Sprawiedliwości. Klient System Center Configuration Manager Klient System Center Operations Manager

5.3.1.3 Hotfixy i aktualizacjeW ramach standardowej instalacji kontrolera domeny wykonane zostanie uaktualnienie systemu operacyjnego do poziomu wszystkich poprawek dostępnych dla danego systemu w ramach Windows Update.

5.3.2 Kontrolery domeny RODC

W ramach projektu nie przewiduje się instalowania kontrolerów domeny działających w trybie „tylko do odczytu”, tzw. RODC.

Planowana infrastruktura Active Directory dopuszcza jednak istnienie takich kontrolerów w lokacjach, w których dostępność lokalnego kontrolera domeny ma uzasadnienie biznesowe, jednak ze względu na ograniczenia bezpieczeństwa serwerowni (np. brak dedykowanego pomieszczenia serwerowego) lub konieczność współdzielenia usługi Active Directory z innymi usługami na jednej maszynie fizycznej (brak dedykowanego serwera) nie ma możliwości instalacji klasycznego kontrolera domeny.

Przy umieszczaniu w danej lokacji kontrolera domeny Read Only należy wziąć pod uwagę następujące czynniki:

Klienci Active Directory muszą być przygotowani do współpracy z kontrolerem domeny typu RODC (instalacja dodatku RODC compatibility pack do klientów Windows – akapit 5.7.2)



Należy upewnić się czy aplikacji w danej lokacji są w stanie poprawnie funkcjonować w oparciu o infrastrukturę Active Directory z kontrolerami RODC.

Nie powinno być instalowanych więcej niż jeden serwer RODC w danej lokacji

5.3.3 Rozmieszczenie usługi Global CatalogW ramach katalogu Active Directory kontroler domeny może pełnić role serwera wykazu globalnego ( Global Catalog, GC). GC jest to specjalna rola serwera, w ramach której przechowuje on dodatkowo oprócz podstawowych informacji bazy danych katalogu częściową informacje o każdym obiekcie w ramach lasu Active Directory. Zadaniem GC jest przyspieszenie procesu wyszukiwania danych w ramach katalogu Active Directory oraz dostarczanie w procesie logowania listy grup uniwersalnych, do których należy użytkownik.

Wszystkie kontrolery domeny w lesie będą pełniły rolę serwerów wykazu globalnego.

5.3.4 Lokalizacja ról FSMOW ramach katalogu Active Directory kontrolery domeny działają w trybie multi-master. Oznacza to, że zmiany dokonywane na dowolnym z kontrolerów domeny są replikowane do pozostałych i wszystkie kontrolery domeny są równoważne. Ze względu na specyfikę niektórych działań konieczne jest jednak wyznaczenie kontrolerów domeny pełniących pięć specjalnych ról w ramach katalogu Active Directory, tak zwanych Flexible Single Operation Masters (FSMO).

Role te zostaną przypisane kontrolerom domeny pracującym w ramach lokacji WA_Ujazdowskie, które pełnią również rolę koncentratorów ruchu replikacji.

5.3.5 Kontroler domeny jako dedykowany serwer

Kontrolery domeny w ramach usługi Active Directory ze względu na swoją specyfikę nie posiadają konta lokalnego administratora, któremu można powierzyć część zadań administracyjnych nie powierzając mu jednocześnie pełnych uprawnień do całego katalogu.

W związku z tym kontrolery domeny zarządzane są przez jeden zespół administratorów domeny. Z tego też powodu wszystkie kontrolery domeny powinny działać, jako maszyny wydzielone tylko do potrzeb tego zadania.

5.3.6 Kontroler domeny w środowisku wirtualnym

Rola kontrolera domeny może być utrzymywana zarówno na maszynach fizycznych, jak i na maszynach wirtualnych.



Kontrolery domeny pracujące w ramach centralnej lokalizacji agregującej ruch replikacji katalogu będą pracować na maszynach wirtualnych. Maszyna przechowująca rolę RID Master będzie maszyną fizyczną.

Planując pracę serwera w środowisku wirtualnym należy pamiętać o zagrożeniach wynikających z możliwości powielania maszyn wirtualnych kontrolerów domeny i ewentualnych konsekwencjach nieumiejętnego przywracania maszyn z wykorzystaniem tzw. „migawek” (ang. Snapshot) systemu wirtualnego.

Dokument zawierający dokładne informacje związane z pracą kontrolera domeny w środowisku wirtualnym - Things to consider when you host Active Directory domain controllers in virtual hosting environments - znajduje się pod adresem: http://support.microsoft.com/kb/888794

Politykę wsparcia środowisk wirtualnych budowanych w oparciu o systemy wirtualizacyjne firm trzecich określa dokument Support policy for Microsoft software running in non-Microsoft hardware virtualization software. (http://support.microsoft.com/kb/897615).

5.3.7 Specyfikacja sprzętowa kontrolerów domeny

5.3.7.1 Wybór dostawcy sprzętu i konfiguracji podstawowej

Wymagane jest, aby sprzęt użyty jako platforma sprzętowa dla serwerów pełniących rolę kontrolera domeny posiadał certyfikat do współpracy z systemem operacyjnym Windows 2012 (zweryfikować to można np. za pośrednictwem witryny http://www.windowsservercatalog.com/).

5.3.7.2 Kontrolery domeny w lokacji WarszawskiejNa potrzeby kontrolerów domeny w lokacji centralnej proponowana jest następując konfiguracja sprzętowa:

4 x CPU – możliwe zastosowanie dual core lub dwóch procesorów – szybkość taktowania 2GHz lub większa

Procesory 64-bit 8 GB RAM 2 dyski o pojemności 140 GB lub więcej, 7200 (opcjonalnie 10 000) RPM działające w

trybie RAID 1


http://www.windowsservercatalog.com/




5.3.7.3 Kontrolery domeny w lokacjach OZINa potrzeby kontrolerów domeny w lokacjach OZI, proponowana jest następując konfiguracja sprzętowa:

2 x CPU – możliwe zastosowanie dual core, lub dwóch procesorów – szybkość taktowania 2GHz lub większa

Procesory 64-bit 4 GB RAM 2 dyski o pojemności 140 GB lub więcej, 7200 (opcjonalnie 10 000) RPM działające w

trybie RAID 1

5.3.7.4 Konfiguracja dyskowa kontrolerów domenyDla systemów kontrolerów domeny przewidziana jest pojedyncza partycja:

Dysk logiczny 0 C: - 70 GB – System operacyjny, Dysk Logiczny 1 D: - 70 GB - baza danych, logi, SYSVOL

Pliki usługi katalogowej zlokalizowane będą na kontrolerach domeny zgodnie z poniższą tabelą:

Zasób Lokalizacja

AD Database D:\NTDS\Data

AD Logs D:\NTDS\Logs

SYSVOL D:\NTDS\SYSVOL

Tabela 8. Lokalizacja folderów funkcyjnych na kontrolerach domeny

5.3.7.5 Pojedyncze karty sieciowe na kontrolerach domenyKażdy kontroler domeny posiadać będzie tylko jeden adres IP.

Dublowanie adresów IP w przypadku kontrolerów domeny prowadzi do problemów z rozwiązywaniem nazw DNS, a pośrednio – sprawia, że klient może nie być w stanie poprawnie komunikować się z kontrolerem domeny.

Większość serwerów zwykle wyposażonych jest w dwie (lub więcej) karty sieciowe. Nieużywane porty sieciowe pozostaną wyłączone lub uruchomiona zostanie funkcjonalność Network Teaming.



5.4 Poziom funkcjonalny lasu i domeny Active DirectoryUsługa katalogowe Active Directory może pracować w kilku trybach, zapewniających zgodność z kontrolerami domeny działającymi w oparciu o wcześniejsze wersje systemu operacyjnego Windows Server. Pełne wykorzystanie możliwości i funkcji usługi Active Directory w wersji systemu Windows Server 2012 możliwe jest w przypadku działania domeny i lasu Active Directory w trybie natywnym Windows 2012.

Las i domena w ramach struktury Active Ministerstwa Sprawiedliwości będą działać docelowo w trybie natywnym Windows 2012.

Funkcjonalność domeny dostępna w systemie natywnym Windows Server 2012 to m.in.:

KDC suport for claimsCompund authenticationKerberos armoring

Szczegółowy opis powyższych funkcjonalności zawarty jest pod adresem: http://technet.microsoft.com/en-us/library/hh831747.aspx

Poziom funkcjonalny lasu i domeny nie wpływa na ewentualną możliwość uwierzytelniania się do domeny klientów starszych generacji.

5.5 Rozszerzenia schematu do współpracy z innymi systemami

5.5.1 Rozszerzenia schematu MicrosoftSchemat lasu domen Active Directory Ministerstwa Sprawiedliwości zostanie rozszerzony w oparciu o schemat dostarczany wraz z Windows Server 2012.

Schemat Active Directory dodatkowo rozszerzony zostanie o elementy pozwalające w przyszłości instalowanie dodatkowych komponentów infrastruktury Microsoft bez konieczności przeprowadzania procedury rozszerzania schematu:

Exchange 2010 System Center Configuration Manager 2012

5.5.2 Współpraca w środowiskach heterogenicznych

Usługa Active Directory oparta jest o standardy przemysłowe takie jak protokoły LDP, Kerberos, DNS. Dzięki takiej architekturze możliwa jest współpraca usługi Active Directory z innymi systemami (Unix, Linux) wspierających te standardy.



Funkcjonalność związana z współpracą systemów Windows Server ze środowiskami Unix \ Linux od wersji Windows 2003 Server R2 stanowi integralną część systemu. W związku z tym w środowisku usług katalogowych Ministerstwa Sprawiedliwości nie będzie konieczności dodatkowego rozszerzenia schematu o elementy niezbędne do współpracy usługi katalogowej z systemami Unix \ Linux. Rozszerzenia te są integralną częścią schematu usług katalogowych w wersji Windows Server 2012.

5.6 Group Policy Central StoreWykorzystanie środowiska Windows Server 2012 stwarza możliwość uruchomienia funkcjonalności Central Store dla obiektów zasad grupy. Mechanizm ten wymusza składowanie szablonów plików konfiguracji GPO w centralnej lokacji, niwelując przy tym konieczność powielania ich przy próbie tworzenia nowych obiektów GPO – tak, jak to miało miejsce w przypadku obiektów GPO funkcjonujących w domenie o poziomie funkcjonalnym niższym, niż Windows Server 2008.

Projektowany katalog Active Directory posiadać będzie uruchomione centralne składowanie polityk (zgodnie z artykułem http://support.microsoft.com/kb/929841)

Central Store nie wymaga zmian po stronie klientów.

Należy pamiętać, że uruchomienie narzędzia GPMC w systemie Windows XP przy włączonym mechanizmie central policy store powoduje dopisanie do folderu SYSVOL dodatkowych plików, które replikowane będą do wszystkich kontrolerów domeny (niewymaganych z punktu widzenia funkcjonowania mechanizmów GPO w środowisku AD Windows Server 2012).

Wymagane jest, aby każda operacja modyfikacji obiektów zasad grupy wykonywana była przy użyciu konsoli zawartej w środowisku Windows Server 2012, Windows Server 2008 R2 lub poprzez narzędzia Remote Server Administration Toolkit dedykowane dla systemu operacyjnego Windows 7 lub Windows 8.

5.7 Aktualizacje i poprawki dla klientów AD 2012

5.7.1 GPO Preferences Client-side ExtensionsAby umożliwić klientom wykorzystanie z mechanizmu GPO Preferences, należy pobrać i zainstalować odpowiednie aktualizacje opisane w KB943729 (http://support.microsoft.com/kb/943729).

5.7.2 RODC Compatibility PackW celu umożliwienia poprawnej współpracy klientów starszych niż Windows Vista / Windows Server 2008 z kontrolerami RODC, należy zainstalować poprawki dla klientów, zdefiniowane w artykule KB



944043 (http://support.microsoft.com/kb/944043/en-us). Windows Server 2008 read-only domain controller compatibility pack for Windows Server 2003 clients and for Windows XP clients.

Aktualizacja ta dostępna za pośrednictwem Windows Update.

5.8 Współpraca z klientem Windows 2000 lub Windows NT4

5.8.1 Brak możliwości współpracy z klientem klasy NT

Kontrolery domeny Windows Server 2012 nie mają zaimplementowanej możliwości obsługi klientów klasy Windows NT (w tym i 95/98). Wiąże się to z zaniechaniem wsparcia technologii szyfrowania LM Hash oraz NT4Crypto.

Więcej informacji zawartych jest w dokumencie:

The Net Logon service on Windows Server 2008 and on Windows Server 2008 R2 domain controllers does not allow the use of older cryptography algorithms that are compatible with Windows NT 4.0 by default (http://support.microsoft.com/kb/942564).

5.8.2 Wsparcie techniczneSystemy operacyjne klasy Windows NT4 nie podlegają wsparciu technicznemu ze strony Microsoft. Wsparcie dla systemów operacyjnych Windows 2000 wygasło 13 lipca 2010 roku (http://support.microsoft.com/ph/1131).

W przypadku wystąpienia jakichkolwiek problemów technicznych związanych z dostępem do usługi Active Directory wyżej wymienionych klientów, nie będzie możliwości wystąpienia o pomoc techniczną.

Informacje o wsparciu produktów Microsoft przedstawione są na witrynie: http://support.microsoft.com/lifecycle/?LN=pl

5.9 Budowane rozwiązanie a infrastruktura docelowaInfrastruktura w kształcie zaproponowanym niniejszym dokumentem odpowiada wytycznym postawionym w punkcie 3.1 Cele projektowe i w obecnym kształcie będzie w stanie świadczyć usługę katalogową dla 50 tysięcy pracowników Ministerstwa Sprawiedliwości, w ramach domeny ad.ms.gov.pl.



5.10 Usługi dodatkowe

5.10.1 AD Web ServiceDomeną zbudowana w oparciu o kontrolery Windows Server 2012 można zarządzać z poziomu konsoli PowerShell oraz nowego narzędzia Active Directory Administrative Center. Rozwiązania te wykorzystują web service uruchamiany automatycznie podczas wdrażania kontrolerów domeny Windows Server 2012.

Funkcjonalność ta będzie zainstalowana na każdym kontrolerze domeny w sieci Ministerstwa Sprawiedliwości.

Po dokonaniu promocji kontrolera domeny, system automatycznie utworzy reguły wbudowanej zapory systemu by umożliwić komunikację przychodzącą na porcie 9389. Należy upewnić się, że reguła o nazwie Active Directory Web Services (TCP-In) jest zdefiniowana i aktywna.

5.10.2 Wbudowana zapora systemu Windows 2012

Microsoft Windows Server 2012 jest systemem serwerowym Microsoft, w którym wbudowana usługa Firewall jest włączona. Zapora pozwala na dokładną konfigurację wyjątków w zależności od zainstalowanych usług. Dodatkowo konfiguracja dodatkowych ról serwera automatycznie generuje reguły pozwalające poprawnie funkcjonować instalowanym usługom.

W trakcie instalacji usługi Active Directory zapora jest automatycznie konfigurowana na potrzeby usługi AD:



Rysunek 10. Widok na przygotowane reguły zapory systemu Windows Server 2012, utworzonej na potrzeby funkcjonowania usługi katalogowej Active Directory.

5.10.3 Usługa rozwiązywania nazw DNSFunkcjonowanie usługi katalogowej Active Directory opiera się o usługę rozwiązywania nazw. Dzięki usłudze DNS możliwe jest lokalizowanie przez klientów kontrolerów domeny, usług Wykazu Globalnego, działanie protokołu Kerberos itd. Usługa DNS staje się krytyczną usługą dla organizacji, w której wdrożone jest Active Directory. Zaleca się by strefy główna strefa DNS zarządzana była przez administratorów pełniących rolę administratorów centralnych.

Usługa rozwiązywania nazw w obrębie domeny Active Directory jest zintegrowana z usługą katalogową. W przypadku standardowej konfiguracji, serwery pełniące role kontrolerów domeny, świadczą jednocześnie usługi rozwiązywania nazw DNS. Takie rozwiązanie sprawia, że baza danych nazw DNS replikowana jest razem z pozostałymi danymi Active Directory do wszystkich kontrolerów domeny w obrębie danej domeny.

Jednocześnie każdy z Sądów będzie posiadał lokalny serwer DNS w trybie cache-only (może on posiadać dodatkowe strefy DNS na potrzeby m.in. migracji) oraz przekierowanie warunkowe dla stref usługi katalogowej.



5.10.3.1 Strefa DNS usługi katalogowejNa potrzeby usługi katalogowej Active Directory utrzymywane będą dwie podstawowe przestrzenie nazw DNS:

Ad.ms.gov.pl : replikowana do wszystkich kontrolerów domeny w ramach domeny

_msdcs.ad.ms.gov.pl : replikowana do wszystkich kontrolerów domeny w ramach lasu

Wszystkie kontrolery domeny w ramach lasu pełnić będą role serwera DNS.

5.10.3.2 Dodatkowe przestrzenie nazw DNSW projekcie nie przewiduje się tworzenie dodatkowych stref nazewniczych dla utrzymywania stref nazw sądów / regionów na kontrolerach domeny. Wszystkie stacje robocze rejestrować się będą w domyślnej strefie ad.ms.gov.pl.

W przypadku rozwiązywania nazw w ramach przestrzeni nazewniczych innych lasów zaufanych (np. domena justice) serwery DNS w lokalizacji centralnej zostaną skonfigurowane z użyciem stref stub zones w celu wskazania serwerów DNS odpowiedzialnych za rozwiązywanie nazw w danej przestrzeni nazw. Konfiguracja taka zostanie utworzona dla każdej z przestrzeni nazw DNS powiązanej z usługą katalogową innego lasu AD

5.10.3.3 Konfiguracja klientów DNS

5.10.3.3.1 Konfiguracja kontrolerów domeny i lokalnych serwerów DNS

Konfiguracja kontrolerów DC w każdej lokacji powinna przebiegać według następującego schematu:

Podstawowy serwer DNS: {adres własny}

Zapasowe serwery DNS: {adres IP serwera SWADC01 znajdującego się w Warszawie} {adres IP serwera SWADC02 znajdującego się w Warszawie}

Taka konfiguracja zapewnia poprawność rozwiązywania nazw domenowych w danej lokacji.

5.10.3.3.2 Konfiguracja stacji roboczych

Serwery DNS dla każdej ze stacji roboczych zostaną skonfigurowane automatycznie za pomocą usługi DHCP. W konfiguracji serwerów DNS dla stacji roboczej należy przyjąć następującą zasadę:



Podstawowy serwer DNS: {adres IP serwera DNS, w najbliższej klientowi lokacji}

Zapasowe serwery DNS: {adres IP serwera SWADC01 znajdującego się w lokacji centralnej}{adres IP serwera SWADC02 znajdującego się w lokacji centralnej}

Primary Suffix Taki sam, jak nazwa domeny: ad.ms.gov.pl

5.10.3.3.3 Suffixy DNS

W ramach konfiguracji klienta DNS zdefiniowany zostanie domyślny suffix DNS dla domeny: ad.ms.gov.pl.

5.10.3.4 Dynamiczne uaktualnienia

Serwery DNS utrzymujące dane związane ze strefami DNS usługi katalogowej zezwalać będą jedynie na bezpieczne uaktualnienia DNS.

5.10.3.5 Transfer stref

Nie jest przewidziany transfer stref DNS związanych z usługą katalogową do serwerów zewnętrznych. Replikacja danych DNS odbywać się będzie w ramach replikacji danych usługi katalogowej.

5.10.3.6 Root Hints

Ustawienia Root Hints zostaną wyczyszczone na wszystkich kontrolerach domeny.

5.10.3.7 Rozwiązywanie zewnętrznych nazw DNS

W Ministerstwie Sprawiedliwości wprowadzony zostanie rozproszony model rozwiązywania internetowych nazw DNS – lokalne serwery przekazywać będą zapytania o strefy nieznane do zewnętrznych dostawców usług DNS – usługodawcy rozwiązań internetowych w danej lokacji.

Usługi DNS zostaną skonfigurowani niezależnie na poziomie każdego sądu w taki sposób, by rozwiązywanie nazw DNS zapewnione zostało przez lokalnego dostawcę usług internetowych.



5.10.4 DHCP

W ramach założeń przyjętych przy tworzeniu projektu usługi katalogowej przyjęte zostało, że obecna infrastruktura serwerów DHCP nie zostanie zmodyfikowana.

W ramach funkcjonującej infrastruktury informatycznej poszczególnych sądów Ministerstwa Sprawiedliwości należy wykorzystać istniejącą infrastrukturę DHCP. W poszczególnych zakresach należy skonfigurować możliwość dynamicznego rejestrowania rekordu DNS.

Dodatkowo serwery DHCP uruchomione na systemach Windows Server muszą być zarejestrowane w Active Directory Domain Services, aby mogły przydzielać adresy IP. Jest to jednorazowa konfiguracja, która zostanie wykonana dla nowych serwerów DHCP.

5.10.5 WINS

Nie przewidziano serwerów WINS, ze względu iż wszystkie komputery w domenie działają pod kontrolą systemów Windows 2000 i nowszych

5.10.6 Synchronizacja czasu

Z punktu widzenia Active Directory nie ma potrzeby synchronizacji czasu z zewnętrznym źródłem. Ważne jest natomiast, aby wszystkie kontrolery domeny oraz klienci (uwierzytelniani za pośrednictwem protokołu Kerberos) mieli zsynchronizowany czas – nie oznacza to wcale, że musi to być czas poprawny. Dopuszczalna rozbieżność czasu pomiędzy klientami Active Directory wynosi 5 minut. W sytuacji, gdy któryś z klientów posługuje się czasem odbiegającym od ustalonych granic, traci możliwość uwierzytelnienia się w domenie.

Za ustawienie czasu odpowiada usługa w32time. Usługa „Windows Time” wykorzystuje hierarchiczną strukturę podczas synchronizacji czasu wewnątrz domeny. Struktura ta prezentuje się następująco:

Kontroler domeny który jest właścicielem roli PDC Emulator w domenie „root” lasu jest źródłem czasu dla całego lasu.

Pozostałe kontrolery domeny synchronizują czas z PDC Emulatorem Komputery klienckie (stacje robocze i serwery członkowskie) synchronizują czas ze

swoimi serwerami logowania.



Rysunek 11 Schemat synchronizacji czasu wewnątrz lasu Active Directory

Serwer pełniący rolę PDC Emulator w domenie ad.ms.gov.pl zostanie skonfigurowany tak, aby synchronizował czas z wewnętrznym wzorcem czasu 10.1.1.9. Procedura konfiguracji zostanie zrealizowana zgodnie z KB262680.

Pozostałe kontrolery domeny oraz komputery klienckie będą wykorzystywały domyślną konfigurację.



6 Delegacja uprawnieńMechanizmy zabezpieczeń Active Directory umożliwiają kontrolowanie zasad dostępu do poszczególnych obiektów w katalogu. Dzięki temu można przypisać różnym grupom użytkowników inne uprawnienia na poziomie jednostek organizacyjnych Active Directory.

6.1 Autonomia administracyjna SądówGłównym założeniem projektu technicznego Active Directory jest opracowanie takiej struktury katalogu, w której usługa będzie mogła być zarządzana centralnie, przy zachowaniu autonomii dla istniejących jednostek administracyjnych – poszczególnych Sądów w Ministerstwie Sprawiedliwości

Projekt zakłada spojrzenie na Active Directory z dwóch stron: AD jako ściśle techniczna warstwa usług oraz jako warstwa biznesowa – obszar zasobów (danych).



Rysunek 12. Proponowany model zarządzania usługą Active Directory dla Ministerstwa Sprawiedliwości

Zapewnienie ciągłości działania usługi, zadania związane z monitorowaniem stanu zdrowia, wykonywaniem kopii zapasowych, tworzenie topologii replikacji – te obszary funkcjonowania usługi nadzorowane będą przez wydelegowany, pojedynczy zespół administratorów usługi.

Hierarchia organizacji Ministerstwa Sprawiedliwości stwarza potrzebę oddelegowania uprawnień administracyjnych konkretnym administratorom w obrębie ich dotychczasowych obszarów pracy. W związku z tym każdy z Sądów posiadać będzie własną gałąź jednostek organizacyjnych w Active Directory ad.ms.gov.pl Pozwoli to na oddelegowanie stosownemu personelowi lokalnemu uprawnień administracyjnych. Zakres uprawnień administracyjnych lokalnych administratorów będzie następujący:

Zarządzanie kontami użytkowników, usług oraz komputerów Zarządzaniem grupami dystrybucyjnymi oraz grupami zabezpieczeń



Uprawnienia administratora lokalnego na wszystkich serwerach sądu, niebędących częścią usługi Active Directory

Uprawnienia administratora lokalnego na wszystkich stacjach roboczych w danej strukturze sądu

Nakładanie Obiektów Zasad Polityki Grupowej (GPO) w obrębie jednostki organizacyjnej sądu

Zarządzanie danymi i usługami Obsługa serwerów plików, wydruku, DHCP, SQL…

Powyższe ustalenia mogą zostać zmodyfikowane w wyniku opracowania i implementacji docelowego Modelu Organizacyjnego, w celu dopasowania architektury AD oraz obszarów zadań administracyjnych do funkcjonowania Modelu Organizacyjnego.

6.2 Schemat uprawnień administracyjnych w domenie Ministerstwa Sprawiedliwości

Poniższy schemat ilustruje gradację uprawnień administracyjnych w obrębie Active Directory zaproponowaną dla Ministerstwa Sprawiedliwości:

Rysunek 13. Struktura granulacji uprawnień w Active Directory dla Ministerstwa Sprawiedliwości



6.3 Zdrowy rozsądek a model delegacji uprawnieńZaleca się, aby wszelkie uprawnienia były nadawane dla grup, a nie dla kont indywidualnych użytkowników. Model zakłada istnienie ścieżki <użytkownik> - <rola> - <autoryzacja> - <zasób>.

Zaproponowane rozwiązanie nie może być traktowane jako dogmat. Istnieją scenariusze, w których tworzenie grupy tylko po to, aby umożliwić dostęp do wyizolowanego zasobu przez pojedynczą osobę - jest nieuzasadnione.

6.4 Grupy a RoleFizyczną implementacją Roli w kontekście Active Directory są z grupy bezpieczeństwa (security group).

W celu rozróżnienia wykorzystania ról w Active Directory, istotne jest rozróżnienie przynależności danej jednostki do Roli ze względu na pełnioną funkcję (grupy funkcyjne) oraz ze względu na konieczność posiadania dostępu do danego zasobu (grupy dostępowe). Obydwie koncepcje dostępu realizowane są w Active Directory poprzez nadawanie uprawnień dla odpowiednich grup bezpieczeństwa (security groups).

Rozdzielenie dwóch rodzajów grup pozwala na zwiększenie funkcjonalności zarządzania zasobami w obrębie katalogu Active Directory:

Rysunek 14. Przedstawienie koncepcji istnienia grup dostępowych oraz grup funkcyjnych.

6.5 Role (grupy funkcyjne)Rola jest pojęciem biznesowym:

Reprezentuje zestaw uprawnień wymaganych do przeprowadzania konkretnych operacji

Nie jest związana z niskopoziomową konfiguracją systemu/zasobu/serwera



Może mieć znaczenie nietechniczne – wynikać ze struktury organizacji i być rozpoznawana „na zewnątrz” katalogu Active Directory

Jest przechowywana w katalogu Active Directory.

Zaleca się przydzielania użytkowników do ról bez zagnieżdżania ich wewnątrz innych ról. Takie podejście pozwala w prosty sposób inwentaryzować poziomy dostępu użytkowników do danych zasobów.

6.6 Dostęp (grupy dostępowe)Grupy dostępowe reprezentują uprawnienie do zasobu:

Mogą być swobodnie definiowane na dowolnym poziomie zasobu Mogą być współdzielone pomiędzy wieloma rolami – analogicznie do współdzielenia

uprawnień pomiędzy różnymi jednostkami do danego zasobu w prawdziwym życiu.

Zaleca się aby Dostęp nie był nigdy przyznawany dla indywidualnych użytkowników, a dla konkretnych Ról (grup funkcyjnych).

6.7 Korzyści z rozdzielenia ról funkcyjnych od dostępowychPodejście polegające na rozgraniczeniu grup funkcyjnych i dostępowych niesie ze sobą szereg korzyści:

Pozwala przenosić strukturę organizacji i odzwierciedlać ją wewnątrz katalogu w zgodzie z istniejącymi profilami pracowników firmy.

Tworzenie granularnych uprawnień do zasobów. Definicja Dostępu należy do właściciela zasobu i jest niezwiązana z definicją Roli. Każda Rola skomponowana jest poprzez członkostwo w określonych grupach

dostępowych – w ten sposób można łatwo i w przejrzysty sposób określić znaczenie każdej z ról.

Istnieje jasne rozgraniczenie pomiędzy uprawnieniami technicznymi i biznesowymi Grupy dostępowe mogą być wykorzystywane przez różne role bez dodatkowego

narzutu administracyjnego Zmiana definicji roli – zestawu grup dostępowych, do których przynależy dana rola –

jest przezroczysta dla użytkowników Mechanizm pozwala na proste redefiniowanie ról poprzez dodawanie ich do nowych

grup dostępowych i usuwanie z nieistniejących/niepotrzebnych. Elastyczność w konfiguracji roli – zmiana przynależności roli do grupy dostępowej nie

wiąże się z koniecznością jakichkolwiek zmian członkostwa użytkowników danej grupy bezpieczeństwa.



Modyfikacja uprawnień roli nie wiąże się w żaden sposób z systemem, do którego dana rola ma dostęp – nie wymaga technicznej wiedzy związanej z budową danego systemu.

Definicja Roli jest procesem biznesowym, nie wymaga implementacji fizycznej na zasobach

Przy zachowaniu przejrzystego nazewnictwa rola nie wymaga dokumentacji – jest opisana jest poprzez zbiór przynależności do innych grup.

Zasady przynależności oraz elastyczność zaproponowanego modelu zaprezentowane są na poniższym rysunku:

Rysunek 15. Koncepcja wykorzystania grup funkcyjnych oraz grup dostępowych w projekcie usługi katalogowej.

6.8 Używanie grup do delegacji uprawnień Zarówno Rola jak i definicja Dostępu realizowane są w Active Directory jako grupa bezpieczeństwa (security group). Punkt ten przedstawia fizyczne aspekty tworzenia obiektów grup w Active Directory.

6.8.1 Grupy bezpieczeństwaGrupy bezpieczeństwa są tzw. podmiotami bezpieczeństwa (security principal) w Active Directory. Uprawnienia mogą być nadawane wyłącznie w odniesieniu do kont użytkowników lub grup bezpieczeństwa.

Istnieje możliwość przypisania adresu email do grupy bezpieczeństwa. W ten sposób kontrolować można dostęp nie tylko do zasobu, ale i przepływ informacji.



6.8.2 Grupy dystrybucyjne

Grupy dystrybucyjne nie są podmiotami bezpieczeństwa w Active Directory. SID grupy dystrybucyjnej nie jest publikowany w tokenie bezpieczeństwa użytkowników przynależnych do takiej grupy.

W razie potrzeby istnieje możliwość przemiany grupy dystrybucyjnej w grupę bezpieczeństwa.

Odwrotna przemiana jest również możliwa. Operacja ta pozwala na anulowanie uprawnień nadanych globalnie dla grupy bezpieczeństwa.

6.8.3 Grupy globalneGrupa globalna jest podstawowym mechanizmem umożliwiającym implementację ról i autoryzacji.

Może zawierać obiekty z tej samej domeny, w której istnieje Może być użyta do zabezpieczania zasobów w domenie, w której istnieje

Wszystkie grupy opisane w niniejszym projekcie są grupami globalnymi.

6.8.4 Grupy uniwersalneGrupy uniwersalne powstały z potrzeby adresowania potrzeb autoryzacji w środowiskach wielodomenowych.

Mogą zawierać podmioty bezpieczeństwa z różnych domen Mogą zostać użyte do zabezpieczenia dostępu do zasobów w dowolnej domenie lasu

– zwiększa to ruch replikacyjny gdyż definicja grupy uniwersalnej zapisywana jest w Global Catalog-u i replikuje się do wszystkich domen w lesie.

Zaproponowany w projekcie model pojedynczej domeny sprawia, ze nie jest konieczne stosowanie grup uniwersalnych.

6.8.5 Grupy domenowe lokalneGrupy domenowe lokalne są wykorzystywane w środowiskach wielodomenowych:

Mogą zawierać podmioty bezpieczeństwa z różnych domen Mogą zostać użyte do zabezpieczania zasobów w domenie, w której istnieją,

eliminując dodatkowy ruch replikacyjny jak w przypadku grup uniwersalnych.

Zaproponowany w projekcie model pojedynczej domeny sprawia, ze nie jest konieczne stosowanie grup domenowych lokalnych.



6.9 Odwoływanie uprawnień nadanych grupieW sytuacji gdy istnieje potrzeba unieważnienia uprawnień nadanych grupie, istnieje możliwość szybkiego wykonania tej operacji poprzez zmianę rodzaju grupy: z grupy bezpieczeństwa na grupę dystrybucyjną. SID grupy dystrybucyjnej nie jest publikowany w tokenie bezpieczeństwa użytkownika należącego do grupy. W ten sposób niemożliwe jest uzyskanie przez użytkownika autoryzacji do zasobu.

Operacja zamiany grupy bezpieczeństwa w grupę dystrybucyjną jest w pełni odwracalna i nie powoduje konieczności ponownej konfiguracji uprawnień na zasobach.

6.10 Delegacja uprawnień a uprawnienia do delegacjiIstnieje wyraźna granica pomiędzy posiadaniem specyficznych uprawnień a posiadaniem prawa do nadawania tych uprawnień innemu użytkownikowi.

W środowiskach wysokiego ryzyka prawo pozwalające na nadawanie uprawnień jest specyficznym uprawnieniem wyższego poziomu. Uprawnienia takie mogą być traktowane osobno.

Rozróżnienie to zaprezentowane jest na przykładzie delegacji uprawnień do zamykania/restartu kontrolera domeny lub na podstawie uprawnień operacyjnych:

Administratorzy usługi delegują uprawnienie do zamykania/restartu kontrolera domeny dla administratorów lokalnych sądów – w tym momencie administrator lokalny może jedynie dysponować uprawnieniem, bez możliwości nadawania go innym podmiotom.

Administrator lokalny może delegować uprawnienia operacyjne wybranemu personelowi technicznemu. Personel posiadający uprawnienia operatorskie nie jest stanie „dzielić” się uprawnieniami z innymi podmiotami (wyjątek stanowi uprawnienie do zarządzania grupami).

Naturalnie istnieją scenariusze, w których takie rozgraniczenie nie jest pożądane. Dla przykładu członkowie grupy Enterprise Admins są w stanie nadawać uprawnienia, które posiadają wraz z prawem do dalszego ich przekazywania.

6.11 Grupy z wydelegowanymi uprawnieniamiPoniższa tabela prezentuje zestawienie grup użytkowników posiadających uprawnienia administracyjne oraz operatorskie w Active Directory Ministerstwa Sprawiedliwości



Nazwa grupy Opis grupy

Enterprise Admins Wbudowana grupa administratorów na poziomie lasu Active Directory: uprawnienia do tworzenia, modyfikacji, usuwania obiektów oraz delegacji uprawnień w całym lesie Active Directory.

Domain Admins Wbudowana grupa administratorów na poziomie domeny Active Directory. Grupa pozostanie pusta.

SG-<kod sądu>_Administratorzy Grupa z wydelegowanymi uprawnieniami administracyjnymi na poziomie jednostki organizacyjnej spółki. Do zadań administratorów OU należy tworzenie i edycję obiektów w obrębie OU, tworzenie, edycja i podłączanie obiektów GPO, delegacja uprawnień

SG-Resort Helpdesk Członkowie grupy posiadać będą wydelegowane uprawnienia do zarządzania stacjami roboczymi oraz obiektami kont komputerów i użytkowników globalnie w obrębie jednostki organizacyjnej OU=Resort

SG-<kod sądu> Helpdesk Członkowie grupy posiadać będą wydelegowane uprawnienia do zarządzania stacjami roboczymi oraz obiektami kont komputerów i użytkowników w obrębie jednostki organizacyjnej danej Spółki.

SR-PREFIKS_ModifyUserInfoSR-PREFIKS_PasswordResetSR-PREFIKS_UnlockAccountSR-PREFIKS_JoinDomainSR-PREFIKS_ManageGroupsSR-PREFIKS_LocalAdmin

Grupy definiujące poszczególne uprawnienia operacyjne, zdefiniowane na poziomie każdej jednostki organizacyjnej. Uprawnienia te są zdefiniowane odrębnie dla każdego z Sądów

SR-Resort_ModifyUserInfoSR-Resort _PasswordResetSR-Resort _UnlockAccountSR-Resort _JoinDomainSR-Resort _ManageGroupsSR-Resort _LocalAdmin

Grupy definiujące poszczególne uprawnienia operacyjne na poziomie jednostki organizacyjnej OU=Resort (uprawnienia globalne).

Tabela 9. Zestawienie grup użytkowników z uprawnieniami administracyjnymi i operatorskimi w Ministerstwie Sprawiedliwości

6.12 Uprawnienia administracyjneZgodnie z założeniami projektowymi istnieje potrzeba wydelegowania uprawnień administracyjnych na poziomie pojedynczej jednostki organizacyjnej w ramach katalogu Active Directory. Zapewni to autonomię administracyjną sądom wchodzącym w skład Ministerstwa Sprawiedliwości.

Przewidziane jest również istnienie grupy użytkowników, mających uprawnienia administracyjne na poziomie całego lasu (Enterprise Admins).

Ponieważ delegacja uprawnień odbywa się względem jednostek organizacyjnych, dodatkowe grupy posiadające uprawnienia administracyjne mogą być w razie potrzeby dodawane w obrębie kontenerów poszczególnych sądów. Wynika to z konieczności zachowania autonomii administracyjnej na poziomie Sądu wchodzącej w skład Ministerstwa.

Administratorzy poszczególnych Sądów nie mają uprawnień do modyfikacji obiektów znajdujących się w pozostałych gałęziach katalogu Active Directory.



Uprawnienia nadawane administratorom lokalnym to:

Pełna kontrola nad obiektami wybranej gałęzi katalogu AD, włączając tworzenie i modyfikację własnych obiektów zasad polityki grupowej (GPO). Uprawnienia te pozwalają na: Tworzenie, usuwanie, modyfikację kont użytkowników, komputerów, grup i

innych obiektów Tworzenie i modyfikacja struktury jednostek organizacyjnych Modyfikację lokalnej jednostki organizacyjnej

Członkostwo w grupach lokalnych administratorów na wszystkich stacjach roboczych i serwerach zlokalizowanych w jednostce organizacyjnej Spółki w wybranej gałęzi katalogu AD.

Możliwość nadawania i odbierania uprawnień do obiektów wewnątrz poddrzewa (nawet administracyjnych) dowolnemu użytkownikowi katalogu

Zgodnie z podstawowym założeniem projektowym, wybrane gałęzie katalogu Active Directory faktycznie należą do administratorów Sądów. Granicą uprawnień administratorów poszczególnych Sądów będzie dedykowana jednostka organizacyjna (Organizational Unit) katalogu.

Mechanizmy służące delegacji uprawnień opisane są w dalszej części dokumentu.

6.12.1 Dedykowane konta administratorów usługiUprawnienia pozwalające na zarządzanie usługą Active Directory na poziomie domeny, nigdy nie zostaną nadane „zwykłemu” kontu użytkownika.

Każdy administrator używa osobnego, dedykowanego konta do przeprowadzania operacji wymagających wysokich uprawnień.

6.12.2 Grupy administratorów SpółekUprawnienia administracyjne dla danej Spółki nadawane będą dla dedykowanych grup użytkowników.

Grupy administratorów Spółek nazwane będą zgodnie z konwencją:

SG-[PrefiksSądu]_Administratorzy

Np. SG-SA_WR_Administratorzy; SG-SR_WR01_Administratorzy

Grupy administratorów lokalnych zdefiniowane będą w jednostce organizacyjnej OU=Grupy Administracyjne,OU=Administracja Resort,DC=ad,DC=ms,DC=gov,DC=pl, dzięki czemu członkostwo w grupach administratorów lokalnych będzie zarządzane wyłącznie przez administrację centralną.



Przewiduje się utworzenie następujących grup administratorów lokalnych:

Nazwa grupy Sąd

OU=SG-SA_WR_Adminsitratorzy Sąd Apelacyjny w lokalizacji 1

OU= SG-SO_WR01_Adminsitratorzy Sąd Okręgowy w lokalizacji 1

OU= SG-SO_WR02_Adminsitratorzy Sąd Okręgowy w lokalizacji 2

OU= SG-SR_WR01_Adminsitratorzy Sąd Rejonowy w lokalizacji 1

OU= SG-SR_WR02_Adminsitratorzy Sąd Rejonowy w lokalizacji 2

Tabela 10. Zestawienie grup administratorów poszczególnych Sądów

6.12.3 Grupa zbiorcza wszystkich administratorów Sądów

Dla celów administracyjnych stworzona zostanie odrębna grupa ogólna, której członkami będą wszystkie grupy administratorów lokalnych.

Grupa ta zlokalizowana będzie w jednostce organizacyjnej zawierającej pozostałe obiekty administracyjne (OU=Grupy Administracyjne,OU=Administracja Resort,DC=AD,DC=MS,DC=GOV,DC=PL).

Nazwa grupy:

SG-Resort_Administratorzy

Członkostwo w grupie zarządzane jest przez administratora usługi AD. Grupa wykorzystywana jest przy konfiguracji restrykcyjnych polityk haseł dla kont administracyjnych.

Grupa ta nie posiada wydelegowanych dodatkowych uprawnień.

6.12.4 Grupa zbiorcza kont usług serwisowych

W celu wymuszenia odrębnej polityki haseł dla kont serwisowych, zdefiniowana zostanie grupa SG-Resort_Service, zawierająca wszystkie konta serwisowe używane przez Ministerstwo Sprawiedliwości.

Członkostwo w tej grupie będzie musiało być uzupełniane w przyszłości w celu wymuszenia założeń polityki bezpieczeństwa haseł dla kont serwisowych.

Lokalizacja grupy:

OU=Grupy Administracyjne,OU=Administracja Resort,DC=AD,DC=MS,DC=GOV,DC=PL.



6.12.5 Opis implementacji grup administratorów lokalnych

Administratorzy Sądów posiadają pełne uprawnienia do ich jednostek organizacyjnych. Uprawnienia te można nadać wykonując następującą komendę na kontrolerze domeny:

DSACLS OU=<Kod Sądu>,OU=<typ sądu>,OU=Resort,DC=ad,DC=ms,DC=gov,DC=pl /I:T /G AD\<Kod Sądu>_Administratorzy:GA;;

Np.:

delegacja uprawnień dla administratorów skupionych w Sądzie Apelacyjnym we Wrocławiu wygląda następująco:

DSACLS OU=SA_WR01,OU=Apelacje,OU=Resort,DC=ad,DC=ms,DC=gov,DC=pl /I:T /G AD\SG-SA_WR_Administratorzy:GA;;

6.13 Uprawnienia operatorskie

6.13.1 Przyjęty sposób delegacji uprawnień operatorskichPoza delegacją wszystkich uprawnień administracyjnych, możliwe jest przekazanie ściśle określonych i ograniczonych funkcji wydzielonym grupom użytkowników. Taka grupa posiadać może m.in. uprawnienia do resetu hasła użytkownika na poziomie pojedynczego OU lub też całej domeny.

W celu stworzenia przejrzystego systemu delegacji uprawnień operatorskich, utworzony zostanie szereg grup posiadających uprawnienia do wykonania specyficznych czynności w skali całego katalogu lub też jedynie w obrębie danej jednostki organizacyjnej.

Poniższa tabela zawiera zestawienie grup posiadających wydelegowane uprawnienia operatorskie:

Nazwa grupy Uprawnienia wydelegowane Lokalizacja grupy w katalogu

SR-Resort_ModifyUserInfo Zmiana atrybutów konta użytkownika globalnie dla wszystkich Sądów

OU=Grupy Centralne

SR-<kod sądu>_ModifyUserInfoNp. SR-SA_WR_ModifyUserInfo

Zmiana atrybutów konta użytkownika w Sądzie

OU=Uzytkownicy,OU=<kod sądu>…

SR-Resort _PasswordReset Reset hasła kont użytkowników dla wszystkich Sądów

OU=Grupy Centralne

SR-<kod sądu>_PasswordResetNp. SR- SA_WR_PasswordReset

Reset hasła kont użytkowników w Sądzie OU=Uzytkownicy,OU=<kod sądu>…

SR-Resort _UnlockAccount Odblokowanie zablokowanego konta użytkownika w obrębie wszystkich Sądów

OU=Grupy Centralne

SR-<kod sądu>_UnlockAccountNp. SR- SA_WR_UnlockAccount

Odblokowanie zablokowanego konta użytkownika w Sądzie

OU=Uzytkownicy,OU=<kod Sądu>…

SR-Resort _JoinDomain Dodawanie kont komputerów do domeny w katalogu

OU=Grupy Centralne



SR-<kod sądu>_JoinDomainNp. SR- SA_WR_JoinDomain

Dodawanie kont komputerów do domeny w obrębie danego Sądu


SR-Resort_ManageGroups Zarządzanie grupami użytkowników w obrębie wszystkich Sądów

OU=Grupy Centralne

SR-<kod sądu>_ManageGroupsNp. SR- SA_WR_ManageGroups

Zarządzanie grupami użytkowników w obrębie danego Sądu


SR-Resort_LocalAdmin Członkostwo w grupie lokalnych administratorów na stacjach roboczych w katalogu

OU=Grupy Centralne

SR-<kod sądu>_LocalAdminNp. SR- SA_WR_LocalAdmin

Członkostwo w grupie lokalnych administratorów na stacjach roboczych danego Sądu


Tabela 11. Lista uprawnień operatorskich w domenie.

Opracowanie systemu delegacji uprawnień zgodnie z powyższymi wytycznymi pozwoli na jasne definiowanie kompetencji helpdesku lokalnego przez administrację lokalną: udział grupy <kod sądu> Helpdesk w odpowiednich grupach na poziomie danego Sądu w jasny sposób i bez konieczności dokonywania zmian w katalogu, określa kompetencję personelu operatorskiego na poziomie danego Sądu Ministerstwa Sprawiedliwości.

Kompetencje helpdesku globalnego zostają zdefiniowane w analogiczny sposób przez administrację centralną.

6.13.2 Grupy HelpdeskuNa potrzeby projektu technicznego zorganizowana została hierarchia delegacji uprawnień dla grup wsparcia:

Uprawnienia globalne dla grupy Global Helpdesk, będące sumą uprawnień nadanych poprzez członkostwo grupy w grupach definiujących poszczególne uprawnienia globalne

Uprawnienia lokalne dla grupy <kod sądu> Helpdesk, będące sumą uprawnień nadanych poprzez członkostwo grupy w grupach definiujących uprawnienia na poziomie każdej jednostki organizacyjnej.

Uwaga: Delegacja uprawnień helpdesku globalnego nie daje możliwości zarządzania usługą, ani obiektami, które znajdują się w innym miejscu katalogu, niż w obrębie struktury OU=Resort. Zarządzanie globalną strukturą katalogu, czynności takie jak reset haseł kont administracyjnych, nadanie uprawnień administratora lokalnego czy rozszerzanie uprawnień operatorskich leży w gestii administracji centralnej.



6.13.2.1 Helpdesk Lokalny

Wszystkie grupy operacyjne lokalne zlokalizowane są w jednostce organizacyjnej OU=Uzytkownicy znajdującej się w jednostkach organizacyjnych każdym z Sądów

UWAGA: Należy pamiętać, że zdefiniowane w ten sposób uprawnienie PREFIKS_ManageGroup pozwoli rozszerzać grupy operatorskie jednostkom posiadającym owo uprawnienie. Uprawnienie to nie jest nadane grupom helpdesku lokalnego. Możliwość delegacji pozostaje w mocy administracji lokalnej.

6.13.2.2 Helpdesk Globalny

Grupy operacyjne globalne zlokalizowane są w jednostce organizacyjnej OU=Grupy Administracyjne,OU=Administracja Resort,DC=Ad,DC=ms,DC=gov,DC=pl.

6.13.2.3 Wykaz uprawnień nadanych grupom helpdesk

Uprawnienia grup helpdesku realizowane są poprzez dodanie grup helpdesku do odpowiednich grup bezpieczeństwa:

Grupa Członkostwo Nadane uprawnienia Komentarz

SG-Resort_Helpdesk(Grupy Centralne)

SR-Resort_PasswordResetSR-Resort_UnlockAccountSR-Resort_LocalAdmin

Reset hasła konta użytkownikaOdblokowanie kontaLokalny administrator

Uprawnienia helpdesku globalnego obejmującego zasięgiem wszystkie obiekty w strukturze OU Sądownictwo.

Tabela 12. Wykaz uprawnień helpdesku globalnego w sieci Ministerstwa Sprawiedliwości.

Tak zdefiniowane uprawnienia mogą być rozszerzone (poprzez dodanie członkostwa w pozostałych grupach uprawnień, np. SR-Resort_DomainJoin, SR-Resort_ModifyUserInfo czy SR-Resort_ManageGroups) jeśli wystąpi taka potrzeba. Rozszerzenia takiego może dokonać członek grupy Enterprise Admins.

Analogicznie do uprawnień helpdesku globalnego, helpdesk lokalny cechować się będzie uprawnieniami do:

Resetu haseł Odblokowania konta Korzystania z uprawnień lokalnego administratora na serwerach i stacjach lokalnych

W tym celu grupa ZZZZ Helpdesk być członkiem grup ZZZZ_PasswordReset, ZZZZ_UnlockAccount, ZZZZ_LocalAdmin, gdzie ZZZZ to kod danego Sądu. Rozszerzenia te mogą zostać rozszerzone przez administratora lokalnego.



6.13.2.4 Dodatkowe grupy z uprawnieniami operatorskimi

W miarę potrzeby można w dowolny sposób zarządzać uprawnieniami operatorskimi na poziomie lokalnym (wymagana interwencja administratora lokalnego) lub globalnym (uprawnienia do takiej operacji posiada grupa Enterprise Admins).

Przykład:

Rozszerzenie uprawnień operacyjnych Helpdesku lokalnego np. o możliwość dodawania komputerów do domeny w jednostce organizacyjnej danego Sądu polegać będzie na zawarciu grupy <kod Sądu> Helpdesk w grupie <kod Sądu>_DomainJoin.

6.13.3 Konfiguracja uprawnień operatorskich

6.13.3.1 Modyfikacja informacji o użytkowniku [PREFIKS_ModifyUserInfo]

Delegacja uprawnienia do modyfikacji atrybutów konta użytkownika definiowana jest niezależnie na poziomie każdego z Sądów zgodnie z poniższym wzorem:

DSACLS OU=Uzytkownicy,OU=<kod sądu>,OU=<typ sądu>,OU=Resort,DC=ad,DC=ms,DC=gov,DC=pl /I:S /G AD\PREFIKS_ModifyUserInfo:WP;;user

DSACLS OU=Uzytkownicy,OU=<kod sądu>,OU=<typ sądu>,OU=Resort,DC=ad,DC=ms,DC=gov,DC=pl /I:S /G AD\PREFIKS_ModifyUserInfo:WP;Logon ;user

DSACLS OU=Uzytkownicy,OU=<kod sądu>,OU=<typ sądu>,OU=Resort,DC=ad,DC=ms,DC=gov,DC=pl /I:S /G AD\PREFIKS_ModifyUserInfo:WP;;user

DSACLS OU=Uzytkownicy,OU=<kod sądu>,OU=<typ sądu>,OU=Resort,DC=ad,DC=ms,DC=gov,DC=pl /I:S /G AD\PREFIKS_ModifyUserInfo:WP;givenName;user

DSACLS OU=Uzytkownicy,OU=<kod sądu>,OU=<typ sądu>,OU=Resort,DC=ad,DC=ms,DC=gov,DC=pl /I:S /G AD\PREFIKS_ModifyUserInfo:WP;sn;user

DSACLS OU=Uzytkownicy,OU=<kod sądu>,OU=<typ sądu>,OU=Resort,DC=ad,DC=ms,DC=gov,DC=pl /I:S /G AD\PREFIKS_ModifyUserInfo:WP;initials;user

DSACLS OU=Uzytkownicy,OU=<kod sądu>,OU=<typ sądu>,OU=Resort,DC=ad,DC=ms,DC=gov,DC=pl loc /I:S /G AD\PREFIKS_ModifyUserInfo:WP;description;user

DSACLS OU=Uzytkownicy,OU=<kod sądu>,OU=<typ sądu>,OU=Resort,DC=ad,DC=ms,DC=gov,DC=pl /I:S /G AD\PREFIKS_ModifyUserInfo:WP;title;user

DSACLS OU=Uzytkownicy,OU=<kod sądu>,OU=<typ sądu>,OU=Resort,DC=ad,DC=ms,DC=gov,DC=pl /I:S /G AD\PREFIKS_ModifyUserInfo:WP;department;user

W ten sposób zdefiniowana jest lista atrybutów możliwa do zmiany przez członków grupy PREFIKS_ModifyUserInfo. Uprawnienia te można rozszerzyć o dostęp do innych atrybutów jeśli zaistnieje taka potrzeba.

Analogicznie wydelegowane zostanie uprawnienie globalne do modyfikowania informacji o kontach użytkowników we wszystkich Sądach Ministerstwa Sprawiedliwości dla grupy SR_Resort_ModifyUserInfo:



DSACLS OU=Resort,DC=ad,DC=ms,DC=gov,DC=pl /I:S /G AD\MS_ModifyUserInfo:WP;;user

DSACLS OU=Resort,DC=ad,DC=ms,DC=gov,DC=pl /I:S /G AD\MS_ModifyUserInfo:WP;Logon ;user

DSACLS OU=Resort,DC=ad,DC=ms,DC=gov,DC=pl /I:S /G AD\MS_ModifyUserInfo:WP;;user

DSACLS OU=Resort,DC=ad,DC=ms,DC=gov,DC=pl /I:S /G AD\MS_ModifyUserInfo:WP;givenName;user

DSACLS OU=Resort,DC=ad,DC=ms,DC=gov,DC=pl /I:S /G AD\MS_ModifyUserInfo:WP;sn;user

DSACLS OU=Resort,DC=ad,DC=ms,DC=gov,DC=pl /I:S /G AD\MS_ModifyUserInfo:WP;initials;user

DSACLS OU=Resort,DC=ad,DC=ms,DC=gov,DC=pl /I:S /G AD\MS_ModifyUserInfo:WP;description;user

DSACLS OU=Resort,DC=ad,DC=ms,DC=gov,DC=pl /I:S /G AD\MS_ModifyUserInfo:WP;title;user

DSACLS OU=Resort,DC=ad,DC=ms,DC=gov,DC=pl /I:S /G AD\MS_ModifyUserInfo:WP;department;user

6.13.3.2 Reset hasła [PREFIKS_PasswordReset]Delegacja uprawnień lokalnych skonfigurowana jest zgodnie z poniższym wzorem, niezależnie dla każdego z Sądów:

DSACLS OU=Uzytkownicy,OU=<kod sądu>,OU=<typ sądu>,OU=Resort,DC=ad,DC=ms,DC=gov,DC=pl /I:S /G AD\PREFIKS_PasswdReset:CA;;user

Uprawnienia globalne pozwalają na reset hasła wszystkich kont użytkowników zlokalizowanych poniżej OU=Resort. Delegacja dla grupy uprawnień globalnych skonfigurowana jest następująco:

DSACLS OU=Resort,DC=ad,DC=ms,DC=gov,DC=pl /I:S /G AD\MS_PasswordReset:CA;;user

6.13.3.3 Odblokowanie konta [PREFIKS_UnlockAccount]Delegacja skonfigurowana jest zgodnie z poniższym wzorem, dla każdego z Sądów:

DSACLS OU=Uzytkownicy,OU=<kod sądu>,OU=<typ sądu>,OU=Resort,DC=ad,DC=ms,DC=gov,DC=pl /I:S /G AD\PREFIKS_UnlockAccounts:WP;lockoutTime;user

Uprawnienia globalne dla grupy SR-Resort_UnlockAccount realizowane są w następujący sposób:

DSACLS OU=Resort,DC=ad,DC=ms,DC=gov,DC=pl /I:S /G AD\MS_UnlockAccounts:WP;lockoutTime;user

6.13.3.4 Dodawanie komputerów do domeny

Delegacja dla grup Helpdesku lokalnego skonfigurowana jest zgodnie z poniższym wzorem, niezależnie dla każdego z Sądów:



DSACLS OU=Komputery,OU=<kod sądu>,OU=<typ sądu>,OU=Resort,DC=ad,DC=ms,DC=gov,DC=pl /I:S /G AD\Prefiks_JoinDomain:CC;computer;

Uprawnienia globalne nadane poprzez członkostwo w grupie SR-Resort_JoinDomain, pozwalające na dodawanie komputerów do domeny, skonfigurowane są w następujący sposób:

DSACLS OU=Resort,DC=ad,DC=ms,DC=gov,DC=pl /I:S /G AD\MS_JoinDomain:CC;computer;

6.13.3.5 Zarządzanie grupami [PREFIKS_ManageGroups]

Uprawnienie globalne nadane poprzez członkostwo w grupie SR-Resort_ManageGroups, pozwalające na modyfikowanie członkostwa w grupach globalnie, wewnątrz struktury jednostek organizacyjnych OU=Resort, skonfigurowane jest w następujący sposób:

DSACLS OU=Resort,DC=ad,DC=ms,DC=gov,DC=pl /I:S /G AD\MS_ManageGroups:WP;member;group

Delegacja uprawnień o zasięgu lokalnym skonfigurowana jest analogicznie:

DSACLS OU=<kod sądu>,OU=<typ sądu>,OU=Resort,DC=ad,DC=ms,DC=gov,DC=pl /I:S /G AD\PREFIKS_ManageGroups:WP;member;group

6.13.3.6 Zarządzanie członkostwem w grupach lokalnych administratorów [PREFIKS_LocalAdmin]

Konfiguracją członkostwa w grupie administratorów lokalnych na stacjach roboczych zlokalizowanych w domenie ad.ms.gov.pl, zrealizowane będzie za pośrednictwem mechanizmu restricted groups, zdefiniowanego w następujących obiektach zasad grupy:

Resort_C_TopRegionsPolicy – globalne wymuszenie członkostwa w grupie lokalnych administratorów dla grup: SR-Resort_LocalAdmin oraz AD\Domain Admins

Resort_C_<Kod Sądu>Policy – lokalne wymuszenie członkostwa w grupie lokalnych administratorów dla grup: PREFIKS_LocalAdmin oraz AD\Domain Admins.

6.13.4 Nie ma potrzeby tworzenia dedykowanych kont operatorskich

Uprawnienia zdefiniowane w tej części projektu służą wspieraniu codziennych zadań operatorskich w obrębie Sądu. Wpływ ewentualnych „pomyłek” czy nadużyć jest tutaj znacznie mniejszy niż w przypadku posiadania pełnych uprawnień administracyjnych w całym katalogu.



Oczekuje się, że uprawnienia operatorskie będą wykorzystywane najczęściej, wobec czego nie jest planowane tworzenie dodatkowych kont dla użytkowników posiadających niniejsze uprawnienia. Przywileje operatorskie nadawane będą według potrzeby poprzez osadzenie konta użytkownika w konkretnej grupie operatorskiej.

Administrator lokalny może podjąć decyzję o konieczności utworzenia dedykowanych kont użytkowników pełniących funkcje operatorskie zgodnie z lokalnymi wymaganiami.

6.14 Delegacja uprawnień na przykładzie grupy administratorów sądów wrocławskich

Delegacja uprawnień dla administratorów sądów wrocławskich przebiegać będzie w następujący sposób:

Nazwa grupy Członkostwo w grupach Uprawnienia wydelegowane

SG-SA_WR_Administratorzy SG-Resort_AdministratorzySA_WR_LocalAdmin

Złożona polityka haseł.Pełne uprawnienia do katalogu na poziome OU=SA_WR,OU=Apelacje,OU=Resort,DC=ad,DC=ms,DC=gov,DC=plPełne uprawnienia na wszystkich stacjach roboczych i serwerach w OU= SA_WR, OU=Apelacje,OU=Resort,DC=ad,DC=ms,DC=gov,DC=pl

SG-SO_WR01_Administratorzy SG-Resort_AdministratorzySR-SO_WR01_LocalAdmin

Złożona polityka haseł.Pełne uprawnienia do katalogu na poziome OU=SO_WR01,OU=Okreg,OU=Resort,DC=ad,DC=ms,DC=gov,DC=plPełne uprawnienia na wszystkich stacjach roboczych i serwerach w OU= SO_WR01,OU=Okreg,OU=Resort,DC=ad,DC=ms,DC=gov,DC=pl

SG-SO_WR02_Administratorzy SG-Resort_AdministratorzySR-SO_WR02_LocalAdmin

Złożona polityka haseł.Pełne uprawnienia do katalogu na poziome OU=SO_WR02,OU=Okreg,OU=Resort,DC=ad,DC=ms,DC=gov,DC=plPełne uprawnienia na wszystkich stacjach roboczych i serwerach w OU= SO_WR02,OU=Okreg,OU=Resort,DC=ad,DC=ms,DC=gov,DC=pl

SG-SR_WR01_Administratorzy SG-Resort_AdministratorzySR-SR_WR01_LocalAdmin

Złożona polityka haseł.Pełne uprawnienia do katalogu na poziome OU=SR_WR01,OU=Rejon,OU=Resort,DC=ad,DC=ms,DC=gov,DC=pl Pełne uprawnienia na wszystkich stacjach roboczych i serwerach w OU=SR_WR02,OU=Rejon,OU=Resort,DC=ad,DC=ms,DC=gov,DC=pl

SG-SR_WR02_Administratorzy SG-Resort_AdministratorzySR-SR_WR02_LocalAdmin

Złożona polityka haseł.Pełne uprawnienia do katalogu na poziome OU=SR_WR02,OU=Rejon,OU=Resort,DC=ad,DC=ms,DC=gov,DC=pl Pełne uprawnienia na wszystkich stacjach roboczych i serwerach w OU=SR_WR02,OU=Rejon,OU=Resort,DC=ad,DC=ms,DC=gov,DC=pl

Tabela 13. Uprawnienia przyznane administratorom sądów wrocławskich



6.15 Model bezpieczeństwa Active DirectoryModel bezpieczeństwa usługi katalogowej Active Directory zakłada, że konta należące do wysoko uprzywilejowanych grup administratorów w ramach usługi katalogowej – Enterprise Admins oraz Domain Admins – posiadają pełne prawa w ramach usługi. Prawa te nie mogą zostać zablokowane, nawet w przypadku zablokowania tych uprawnień przez odpowiednie ustawienia konta administracyjne posiadają odpowiednie uprawnienia, pozwalające na przejście tego typu zabezpieczeń.

Z tego powodu wymagane jest, aby użytkownicy, którym przydzielone zostaną uprawnienia administracyjne spełniali następujące kryteria:

Wysoki poziom zaufania dla każdego użytkownika, któremu przydzielona zostaną uprawnienia administratora

Jasna definicja zakresu użytkowników, którym przydzielone zostały uprawnienia administratora

Odpowiedni poziom umiejętności i wiedzy na temat usługi katalogowej.

6.15.1 Wbudowane konto administratoraWbudowane konto administratora (BUILTIN\Administrator) istniejące w ramach katalogu jest to wysoko uprzywilejowane konto posiadające szereg wysokich uprawnień w ramach katalogu. Konto to nie będzie nigdy używane do wykonywania żadnych zadań związanych z administracją systemów i usług katalogowych.

Hasło dostępowe dla wbudowanego konta administratora nie powinno być udostępniane administratorom usługi katalogowej. Hasło to powinno zostać ustawione i przechowywane w bezpiecznej lokalizacji.

Hasło to powinno być używane tylko w sytuacjach awaryjnych i dostęp do tego hasła powinien zostać obwarowany odpowiednią procedurą dostępu, zapewniającą możliwość rozliczenia użycia konta wbudowanego administratora i dostępu do hasła.

Hasło wbudowanego konta administratora powinno zostać zapisane i składowane w bezpiecznym miejscu (sejf firmowy).



6.15.2 Wbudowane grupy z wysokimi przywilejami

6.15.2.1 Domain admins

Wymagane uprawnienia dla użytkowników posiadających uprawnienia na poziomie domeny zostaną przyznane użytkownikom będącym członkom grupy Enterprise Admins. Grupy te posiadają identyczne uprawnienia na poziomie kontrolerów domeny.

Realizację potrzeby posiadania uprawnień administratora lokalnego należy przeprowadzić poprzez dodanie grupy użytkownika do odpowiedniej grupy posiadającej wydelegowane uprawnienia administratora lokalnego w danej jednostce administracyjnej.

Grupa Domain Admins pozostanie pusta.

6.15.2.2 Enterprise AdminsWbudowana grupa Enterprise Admins posiada uprawnienia w ramach usługi katalogowej oraz na kontrolerach domeny. Uprawnienia tej grupy w ramach kontrolerów domeny są identyczne jak uprawnienia grupy Domain admins.

Grupa ta nie jest automatycznie dodawana do lokalnej grupy administratorów na serwerach i stacjach roboczych będących członkami domeny.

Grupa ta będzie zawierała wszystkie konta użytkowników, którym przyznane zostaną uprawnienia administracyjne na poziomie lasu i domeny.

Grupa ta nie będzie zawierała żadnych innych grup.

6.15.2.3 Schema adminsGrupa ta posiada uprawnienia do modyfikacji schematu lasu Active Directory. Członkostwo w tej grupie stanowi dodatkowe zabezpieczenie danych schematu katalogu przed przypadkową modyfikacją.

Członkostwo w tej grupie będzie przyznawane użytkownikom w przypadku wymagań modyfikacji schematu Active Directory.

Grupa Schema Admins będzie pusta.

6.15.2.4 Pozostałe uprzywilejowane grupy

W ramach katalogu Active Directory zdefiniowane jest dodatkowo kilka grup posiadających wysokie przywileje w ramach katalogu. Są to:



Cert Publishers Incoming Forest Trust Builders Backup Operators Remote Desktop Users.

Grupy te pozostaną puste.

W ramach przeprowadzania prac w środowisku Ministerstwa Sprawiedliwości wymagających uprawnień związanych z członkostwem w tych grupach, odpowiednie konta użytkowników będą dodawane do tych grup na czas prowadzonych prac.

6.16 Dodawanie kont komputerów do domenyPodstawowa polityka bezpieczeństwa AD dopuszcza dołączenie do dziesięciu komputerów do domeny przez każdego uwierzytelnionego użytkownika.

W związku z istnieniem dedykowanych grup użytkowników zajmujących się dołączaniem komputerów do domeny Active Directory Ministerstwa Sprawiedliwości, należy ustawienia te nadpisać poprzez modyfikację polityki GPO. W tym celu zmodyfikowana zostanie wartość atrybutu ms-DS-MachineAccountQuota i ustawiona na 0.

Zmiana limitu możliwości dołączania komputerów do domeny opisuje artykuł: Knowledge Base: Domain Users Cannot Join Workstation or Server to a Domain, method 3: Override the Default Limit of the Number of Computers an Authenticated User Can Join to a Domain (http://support.microsoft.com/kb/251335/en-us).



7 Bezpieczeństwo Active Directory

7.1 Fizyczne bezpieczeństwo kontrolerów domenyDostęp fizyczny do kontrolerów domeny z założenia stwarza zagrożenie bezpieczeństwa dla katalogu – istnieje możliwość kradzieży bazy danych AD i przeprowadzenie ataków typu offline. Ponieważ baza danych jest replikowana do wszystkich kontrolerów domeny, utrata pojedynczego kontrolera wiąże się z poważnym zagrożeniem dla organizacji. Konieczne jest wymuszenie standardu bezpieczeństwa dostępu do pomieszczeń zawierających kontroler domeny – standard ten musi być jednakowy w obrębie całej organizacji w miejscach, w których pracują kontrolery domeny.

7.1.1 Użytkownicy posiadający fizyczny dostęp do kontrolerów domenyWyłącznie zaufani administratorzy usługi oraz operatorzy serwerów posiadać mogą dostęp fizyczny do kontrolera domeny.

7.1.2 Ochrona przed uruchomieniem innych systemów operacyjnych na serwerze DCW przypadku, gdy uda się uruchomić serwer kontrolera domeny przy użyciu alternatywnego systemu operacyjnego niż Windows, istnieje możliwość dostępu do danych z pominięciem uprawnień narzuconych przez system plików NTFS.

Zaleca się realizację poniższych kroków w celu minimalizacji możliwości uruchomienia serwera z alternatywnym systemem operacyjnym:

Zabezpieczenie całego wolumenu przy użyciu technologii szyfrowania dysków: BitLocker

Usunięcie lub fizyczne zablokowanie stacji dysków Usunięcie lub fizyczne zablokowanie napędu CD/DVD Wyłączenie zdalnego uruchamiania z sieci przy użyciu serwera PXE

Konfiguracja taka jak:

Wymóg podania hasła podczas bootowania komputera (hasło BIOS lub PIN szyfrowania BitLocker)

Użycie narzędzia SYSKEY

jest niezalecana, gdyż wymaga od operatora/administratora fizycznego dostępu do serwera.

7.1.3 Zabezpieczenie kopii zapasowych przed dostępem w niepowołane ręceKopia zapasowa zawiera wszystkie informacje potrzebne do całkowitego odtworzenia katalogu Active Directory. Informacje te – jeśli zostaną skradzione – stanowią identyczne zagrożenie dla organizacji jak kradzież pojedynczego kontrolera domeny. Osoba zainteresowana będzie w stanie



przeprowadzić atak na bazę danych Active Directory i uzyskać z niej informacje pozwalające uzyskać dostęp do zasobów organizacji.

Zabezpieczenie kopii zapasowej może wyglądać w następujący sposób:

Przechowywanie lokalnych kopii bezpieczeństwa w sejfach lub strzeżonych pomieszczeniach, do których dostęp jest logowany

Składowanie kopii bezpieczeństwa w bezpiecznych centrach danych zlokalizowanych poza lokalizacją

Wypracowanie procedur bezpieczeństwa polegających na autoryzacji (np. poprzez podpis) każdej próby dostępu / wniesienia / transportu kopii bezpieczeństwa katalogu AD.

Wymuszenie sytuacji, w której nośnik z kopią zapasową wyjmowany jest z sejfu i umieszczany jest w napędzie urządzenia do tworzenia kopii zapasowych tylko podczas dokonywania procesu.

7.2 Security policy (konfiguracja GPO)

7.2.1 Default Domain PolicyObiekt Default Domain Policy pozostanie niezmieniony na wypadek sytuacji, w której zaistnieje potrzeba przywrócenia zmian wprowadzonych w katalogu.

7.2.2 MS_C_TopLevelDomainPolicyPolityka zdefiniowana w obiekcie MS_C_TopLevelDomainPolicy nadpisuje ustawienia zawarte w obiekcie Default Domain Policy i zasięgiem działania obejmuje wszystkie podmioty związane z katalogiem domeny ad.ms.gov.pl.

7.2.2.1 Globalna Konfiguracja haseł (Password Policy)Polityka haseł w domenie zaprezentowana jest poniżej:

Polityka Ustawienie domyślne Ustawienie Ministerstwa Sprawiedliwości

Enforce password history 24 zapamiętane hasła 24 zapamiętane hasła

Maximum password age 42 dni 30 dni

Minimum password age 1 dzień 1 dzień

Minimum password length 7 liter 8 liter

Password must meet complexity requirements

Włączone Włączone

Store password using reversible encryption

Wyłączone Wyłączone

Tabela 14. Konfiguracja polityki haseł w dominie.



7.2.2.2 Globalne polityki blokowania kont (Account Lockout Policy)


Account lockout duration Niezdefiniowane 15 minut

Account lockout threshold 0 błędnych prób 6 błędnych prób logowania

Reset account lockout counter after Niezdefiniowane 15 minut

Tabela 15. Polityka blokowania kont w AD.

Nie jest zalecanie blokowanie konta bez definiowania licznika czasowego umożliwiającego automatyczne odblokowanie konta po czasie. Umożliwia to przynajmniej częściowe oparcie się atakom typu denial of service (DoS).

Próby wielokrotnego błędnego logowania oraz blokady konta powinny być śledzone i zgłaszane.

7.2.2.3 Polityki Kerberos (Kerberos Policy)Konfiguracja polityki Kerberos przedstawiona jest poniżej:


Enforce user logon restrictions Enabled Enabled

Maximum lifetime for service ticket 600 minutes 600 minutes

Maximum lifetime for user ticket 10 hours 10 hours

Maximum lifetime for user ticket renewal 7 days 7 days

Maximum tolerance for computer clock synchronization

5 minutes 5 minutes

Tabela 16. Polityka Kerberos w AD.

7.2.2.4 Polityki uprawnień użytkowników (User Rights Assignment)Polityka uprawnień użytkowników zdefiniowane są poniżej:


Deny Log on locally PUSTE

Tabela 17. Polityka uprawnień użytkowników w AD.

7.2.3 Default Domain Controllers PolicyObiekt Default Domain Controllers Policy pozostanie niezmieniony na wypadek sytuacji, w której zaistnieje potrzeba przywrócenia zmian wprowadzonych w katalogu.



7.2.4 MS_C_DomainControllersPolicyKonfiguracja polityki dla kontrolerów domeny, nadpisująca ustawienia zawarte w Default Domain Controllers Policy.

7.2.4.1 Konsekwencja nadpisania domyślnych polityk kontrolerów domeny Zastosowanie osobnego obiektu zasad polityk grupowych dla kontrolerów domeny daje możliwość prostego powrotu do ustawień domyślnych. Należy jednak mieć na uwadze ewentualne negatywne konsekwencje tej operacji.

Niektóre aplikacje czy usługi w trakcie instalacji wymagają modyfikacji modelu bezpieczeństwa kontrolerów domeny - modyfikacji domyślnego obiektu zasad polityk grupowych kontrolerów domeny – w pełni nadpisywanego przez zdefiniowaną w projekcie politykę MS_C_DomainControllersPolicy. W rezultacie aplikacja może nie działać poprawnie.

Każdorazowo podczas instalacji aplikacji globalnej, powiązanej z usługą katalogową, należy sprawdzić jej wymagania związane z domyślnymi politykami kontrolerów domeny i konfigurację polityk MC_C_DomainControllersPolicy.

7.2.4.2 Polityki audytu (Audit Policy)Poniżej przedstawiona jest wspólna polityka audytu dla kontrolerów domeny Ministerstwa Sprawiedliwości.

Ustawienia te zostaną zdefiniowane w gałęzi obiektu GPO:

\Computer Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configuration:

Policy

Account Logon: Audit Credential Validation Success, Failure

Account Management: Audit Application Group Management Success, Failure

Account Management: Audit Computer Account Management Success, Failure

Account Management: Audit Distribution Group Management Success, Failure

Account Management: Audit Other Account Management Events Success, Failure

Account Management: Audit Security Group Management Success, Failure

Account Management: Audit User Account Management Success, Failure

DS Access: Audit Directory Service Access No Auditing

DS Access: Audit Directory Service Changes Success, Failure

Logon/Logoff: Audit Logon Success, Failure

Logon/Logoff: Audit Logoff Success



Logon/Logoff: Account Lockout Success

Logon/Logoff: Audit Special logon Success, Failure

Object Access: Audit Registry Success, Failure

Policy Change: Audit Policy Change Success

Policy Change: Audit Authorization Policy Change Success

Policy Change: Audit Filtering Platform Policy Change Success

Policy Change: Audit MPSSVC Rule-Level Policy Change Success

Policy Change: Audit Other Policy Change Success

System: Audit System Integrity Success, Failure

System: Audit Security State Change Success

System: Other System Events Success, Failure

Tabela 18. Polityki audytu kontrolerów domeny

Dodatkowo, w związku z wykorzystaniem nowych funkcjonalności audytu kontrolerów domeny Windows Server 2012, należy ustawić opcję:

Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings : ENABLED

7.2.4.3 Polityka konfiguracji dzienników zdarzeń (Event Log Settings)Poniżej przedstawiona jest polityka konfiguracji dzienników zdarzeń na wszystkich kontrolerach domeny Ministerstwa Sprawiedliwości:

Policy Konfiguracja dla Ministerstwa Sprawiedliwości

Maximum application log size 131,072 KB

Maximum security log size 524,288 KB

Maximum system log size 131,072 KB

Prevent local guests group from accessing application log Enabled

Prevent local guests group from accessing security log Enabled

Prevent local guests group from accessing system log Enabled

Retain application log Not defined

Retain security log Not defined

Retain system log Not defined

Retention method for application log Overwrite events as needed

Retention method for security log Overwrite events as needed

Retention method for system log Overwrite events as needed

Tabela 19. Polityki konfiguracji dzienników zdarzeń dla kontrolerów domeny



Dziennik zdarzeń bezpieczeństwa jest celowo większy od pozostałych dzienników. Ponieważ kontrolery domeny generują znacznie większą ilość zdarzeń od zwykłych serwerów zapewnienie odpowiedniego rozmiaru dziennika zdarzeń pozwoli na rozszerzenie okna czasowego zdarzeń przechowywanych w dzienniku.

Maksymalny dopuszczalny rozmiar dziennika zdarzeń to 4 GB. Zaleca się wykorzystanie rozwiązania gromadzącego logi z dzienników bezpieczeństwa: Audit Collection System (ACS), funkcjonalności aplikacji System Center Operations Manager 2012.

7.2.4.4 Uprawnienia użytkowników (User Rights Assignment)Poniżej przedstawiona została polityka uprawnień użytkowników na kontrolerach domeny dla Ministerstwa Sprawiedliwości:

Policy Ustawienia dla Ministerstwa Sprawiedliwości

Access this computer from the network NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS, ENTERPRISE READ ONLY DOMAIN CONTROLLERS BUILTIN\Backup Operators, NT AUTHORITY\Authenticated Users, BUILTIN\Administrators, AD\Domain Computers

Act as part of the operating system [PUSTE]

Add workstations to domain BUILTIN\Administrators, AD\Enterprise Admins, AD\Domain AdminsAD\SR-Resort_DomainJoinAD\SR-SA_WR_DomainJoinAD\SR-SO_WR01_DomainJoin AD\SR-SO_WR02_DomainJoin AD\SR-SR_WR01_DomainJoin AD\SR-SR_WR02_DomainJoin

Adjust memory quotas for a process NT AUTHORITY\NETWORK SERVICE, NT AUTHORITY\LOCAL SERVICE, BUILTIN\Administrators

Allow log on locally BUILTIN\Backup Operators, BUILTIN\Administrators

Allow log on through Terminal Services BUILTIN\Administrators,

Back up files and directories BUILTIN\Administrators,

Bypass traverse checking NT AUTHORITY\Authenticated Users

Change the system time BUILTIN\Administrators

Create a pagefile BUILTIN\Administrators

Create a token object [PUSTE]

Create global objects BUILTIN\Administrators, NT AUTHORITY\SERVICE

Create permanent shared objects [PUSTE]

Debug programs BUILTIN\Administrators

Deny access to this computer from the network BUILTIN\Guests



Deny log on as a batch job BUILTIN\Guests

Deny log on as a service BUILTIN\Guests

Deny log on locally BUILTIN\Guests

Deny log on through Terminal Services BUILTIN\Guests

Enable computer and user accounts to be trusted for delegation BUILTIN\Administrators

Force shutdown from a remote system BUILTIN\Administrators, AD\Enterprise Admins,

Generate security audits NT AUTHORITY\LOCAL SERVICE, NT AUTHORITY\NETWORK SERVICE

Impersonate a client after authentication BUILTIN\Administrators, NT AUTHORITY\SERVICE

Increase scheduling priority BUILTIN\Administrators

Load and unload device drivers BUILTIN\Administrators

Lock pages in memory [PUSTE]

Log on as a batch job NT AUTHORITY\LOCAL SERVICE

Log on as a service NT AUTHORITY\NETWORK SERVICE

Manage auditing and security log BUILTIN\Administrators

Modify firmware environment values BUILTIN\Administrators

Perform volume maintenance tasks BUILTIN\Administrators

Profile single process BUILTIN\Administrators

Profile system performance BUILTIN\Administrators

Remove computer from docking station [PUSTE]

Replace a process level token NT AUTHORITY\NETWORK SERVICE, NT AUTHORITY\LOCAL SERVICE

Restore files and directories BUILTIN\Administrators, BUILTIN\Backup Operators

Shut down the system BUILTIN\Administrators, BUILTIN\Backup Operators

Synchronize directory service data BUILTIN\Administrators

Take ownership of files or other objects BUILTIN\Administrators

Tabela 20. Polityki konfiguracji uprawnień użytkowników na kontrolerach domeny

[PUSTE] oznacza, że wartość jest zdefiniowana – lista wartości jest pusta.

7.2.4.5 Ustawienia Bezpieczeństwa (Security Options Settings)

Poniżej przedstawiona została polityka bezpieczeństwa na kontrolerach domeny dla Ministerstwa Sprawiedliwości:


Accounts: Administrator account status Enabled

Accounts: Guest account status Disabled



Accounts: Limit local account use of blank passwords to console logon only Enabled

Accounts: Rename administrator account "Administrator"

Accounts: Rename guest account "Guest"

Audit: Audit the access of global system objects Disabled

Audit: Audit the use of Backup and Restore privilege Disabled

Audit: Shut down system immediately if unable to log security audits Disabled

Devices: Allow undock without having to log on Enabled

Devices: Allowed to format and eject removable media Administrators

Devices: Prevent users from installing printer drivers Enabled

Devices: Restrict CD-ROM access to locally logged-on user only Disabled

Devices: Restrict floppy access to locally logged-on user only Enabled

Devices: Unsigned driver installation behavior Warn but allow installation

Domain controller: Allow server operators to schedule tasks Disabled

Domain controller: LDAP server signing requirements None

Domain controller: Refuse machine account password changes Disabled

Domain member: Digitally encrypt or sign secure channel data (always) Enabled

Domain member: Digitally encrypt secure channel data (when possible) Enabled

Domain member: Digitally sign secure channel data (when possible) Enabled

Domain member: Disable machine account password changes Disabled

Domain member: Maximum machine account password age 30 days

Domain member: Require strong (Windows 2000 or later) session key Enabled

Interactive logon: Do not display last user name Enabled

Interactive logon: Do not require CTRL+ALT+DEL Disabled

Interactive logon: Message text for users attempting to log on [PUSTE]

Interactive logon: Message title for users attempting to log on [PUSTE]

Interactive logon: Number of previous logons to cache (in case domain controller is not available)

10 logons

Interactive logon: Prompt user to change password before expiration 7 days

Interactive logon: Require Domain Controller authentication to unlock workstation Disabled

Interactive logon: Require smart card Disabled

Interactive logon: Smart card removal behavior Lock Workstation

Microsoft network client: Digitally sign communications (always) Disabled

Microsoft network client: Digitally sign communications (if server agrees) Enabled

Microsoft network client: Send unencrypted password to third-party SMB servers Disabled

Microsoft network server: Amount of idle time required before suspending session

15 minutes

Microsoft network server: Digitally sign communications (always) Disabled

Microsoft network server: Digitally sign communications (if client agrees) Enabled



Microsoft network server: Disconnect clients when logon hours expire Disabled

Network access: Allow anonymous SID/Name translation Disabled

Network access: Do not allow anonymous enumeration of SAM accounts Enabled

Network access: Do not allow anonymous enumeration of SAM accounts and shares

Enabled

Network access: Do not allow storage of credentials or .NET Passports for network authentication

Enabled

Network access: Let Everyone permissions apply to anonymous users Disabled

Network access: Named Pipes that can be accessed anonymously [PUSTE]

Network access: Remotely accessible registry paths and sub-paths Software\Microsoft\Windows NT\CurrentVersion\Print, Software\Microsoft\Windows NT\CurrentVersion\Windows, System\CurrentControlSet\Control\Print\Printers, System\CurrentControlSet\Services\Eventlog, Software\Microsoft\OLAP Server,System\CurrentControlSet\Control\ContentIndex, System\CurrentControlSet\Control\Terminal Server, System\CurrentControlSet\Control\Terminal Server\UserConfig, System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration, Software\Microsoft\Windows NT\CurrentVersion\Perflib, System\CurrentControlSet\Services\SysmonLog, System\CurrentControlSet\Services\CertSvc, System\CurrentControlSet\Services\Wins

Network access: Restrict anonymous access to Named Pipes and Shares Enabled

Network access: Shares that can be accessed anonymously [PUSTE]

Network access: Sharing and security model for local accounts Classic - local users authenticate as themselves

Network security: Do not store LAN Manager hash value on next password change

Enabled

Network security: Force logoff when logon hours expire Disabled

Network security: LAN Manager authentication level Send LM & NTLM - use NTLMv2 session security if negotiated

Network security: LDAP client signing requirements Negotiate signing

Network security: Minimum session security for NTLM SSP based (including secure RPC) clients

Require NTLMv2 session security: EnabledRequire 128-bit encryption: Disabled

Network security: Minimum session security for NTLM SSP based (including secure RPC) servers

Require NTLMv2 session security: EnabledRequire 128-bit encryption: Disabled

Recovery console: Allow automatic administrative logon Disabled

Recovery console: Allow floppy copy and access to all drives and all folders Enabled

Shutdown: Allow system to be shut down without having to log on Disabled

Shutdown: Clear virtual memory pagefile Disabled

System cryptography: Force strong key protection for user keys stored on the computer

User input is not required when new keys are stored and used

System cryptography: Use FIPS compliant algorithms for encryption, hashing, Disabled



and signing

System objects: Require case insensitivity for non-Windows subsystems Enabled

System objects: Strengthen default permissions of internal system objects (e.g. Symbolic Links)

Enabled

System settings: Optional subsystems [PUSTE]

System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies

Disabled

Network access: Remotely accessible registry paths System\CurrentControlSet\Control\ProductOptions,System\CurrentControlSet\Control\Server Applications, Software\Microsoft\Windows NT\CurrentVersion

Tabela 21 Polityki ustawień bezpieczeństwa na kontrolerach domeny

7.2.4.6 LAN Manager Authentication LevelKonfiguracja ustawień Network security: LAN Manager authentication level determinuje, który z modeli uwierzytelniania challenge/response jest wykorzystywany do logowania w sieci. Opcja ta wpływa na wersję protokołu autentykacji używanego przez klientów i poziom bezpieczeństwa sesji akceptowanej przez serwery.

Wybór konkretnego ustawienia wymaga ostrożnych testów. Wymuszenie niższego poziomu bezpieczeństwa naraża organizację na niebezpieczeństwo dostępu do sieci przez podmioty niepowołane. Najbardziej restrykcyjne ustawienia mogą sprawić, że niektóre aplikacje sieciowe czy starsze wersje systemów Windows nie będą w stanie pracować w ramach domeny Active Directory Ministerstwa Sprawiedliwości.

Ustawienie domyślne to:

Send LM & NTLM responses on servers, including DCs Undefined on Workstation

Wariant domyślny pozwala na zachowanie kompatybilności. Docelowo poziom bezpieczeństwa autoryzacji NTLM zostanie ustawiony na najbezpieczniejszą wersję NTLMv2. Może to nastąpić dopiero po ustaleniu czy w środowisku nie występują usługi/klienci niebędący w stanie połączyć się z zasobami AD.

7.2.4.7 Usługi (Services)

Konfiguracja usług na serwerach pełniących rolę DC ogranicza się do wyłączenia automatycznego usług, które nie powinny być uruchomione na kontrolerach domeny. Pozostałe usługi nie są objęte konfiguracją.



Service Name (GUI) Service Name Startup type

Windows Update wuauserv Automatic

Distributed Link Tracking server TrkWks Disabled

Windows Error Reporting Service ERSvc Disabled

Human Interface Device Access HidServ Disabled

Remote Access Auto Connection Manager RasAuto Disabled

Remote Access Connection Manager RasMan Disabled

Routing and Remote Access RemoteAccess Disabled

Shell Hardware Detection ShellHWDetection Disabled

SNMP Trap Service SNMPTRAP Disabled

Special Administration Console Helper Sacsvr Disabled

Telephony TapiSrv Disabled

Themes Themes Disabled

Windows Audio AudioSrv Disabled

Tabela 22. Konfiguracja usług na kontrolerach domeny.

7.2.5 MS_C_TopServerPolicy

7.2.5.1 Polityki audytu (Audit Policy)

Audyt poprawnych i błędnych logowań do serwera:


Audit Logon Events Success, Failure

Tabela 23. Konfiguracja polityki audytu dla serwerów Ministerstwa Sprawiedliwości

7.2.5.2 Polityka konfiguracji dzienników zdarzeń (Event Log Settings)

Konfiguracja dziennika zdarzeń serwerów Ministerstwa Sprawiedliwości:

Policy Konfiguracja dla Ministerstwa Sprawiedliwości

Maximum application log size 131,072 KB

Maximum security log size 131,072 KB

Maximum system log size 131,072 KB

Prevent local guests group from accessing application log Enabled

Prevent local guests group from accessing security log Enabled

Prevent local guests group from accessing system log Enabled

Retain application log Not defined

Retain security log Not defined



Retain system log Not defined

Retention method for application log Overwrite events as needed

Retention method for security log Overwrite events as needed

Retention method for system log Overwrite events as needed

Tabela 24. Polityki konfiguracji dzienników zdarzeń dla serwerów

7.2.5.3 Uprawnienia i ustawienia bezpieczeństwa (User Rights Assignment, Security Options Settings)

Konfiguracja dodatkowych zasad bezpieczeństwa serwerów:


User Rights Assignment Allow log on locally

AD\Enterprise Admins, Administrators,Backup Operators,

User Rights AssignmentShut down the system

AD\Enterprise Admins, Administrators,Backup Operators,Server Operators

User Rights AssignmentForce shutdown from a remote system


User Rights Assignment Allow log on through Remote Desktop Services


Security OptionsShutdown: Allow system to be shut down without having to log on

Disabled

Tabela 25. Konfiguracja polityki audytu dla serwerów Ministerstwa Sprawiedliwości

7.2.6 Polityki PKI

Obiekty zasad grupowych umożliwiają definicję szeregu ustawień związanych infrastrukturą klucza publicznego. Konfiguracja tych ustawień należy do projektu technicznego PKI.



7.3 Wykorzystanie zróżnicowanych polityk hasełUsługa katalogowa Active Directory w wersji Windows Server 2012 pozwala na modelowanie różnych polityk haseł dla indywidualnych użytkowników i grup użytkowników. We wcześniejszych implementacjach Usługi Katalogowej polityka haseł definiowana była globalnie dla całej domeny.

Konta użytkowników dysponujących wyższymi uprawnieniami powinny być w lepszym stopniu odporne na próby odgadnięcia hasła i ataki typu słownikowego. Nie możemy jednak wymagać, aby polityka bezpieczeństwa hasła dla zwykłego użytkownika była taka sama, jak dla administratora na poziomie centralnym.

Projekt techniczny zakłada istnienie trzech różnych polityk bezpieczeństwa haseł w obrębie organizacji:

Polityka globalna - domyślna (zwykli użytkownicy) Polityka dla administratorów Polityka kont usług

Poniższe punkty omówią konfigurację polityki bezpieczeństwa hasła i odstępstwa dla wybranych grup użytkowników.

7.3.1 Polityka standardowa

Zasięg działania polityki: globalna, zdefiniowana w obiekcie GPO Default Domain Policy [w punkcie 7.2.2.1]

Ustawienie Konta standardowe

Enforce password history 24

Maximum password age 45 days

Minimum password age 1

Minimum password length 8

Passwords must meet complexity requirements

Y

Store passwords using reversible encryption

N

Account lockout duration 60 min

Account lockout threshold 5 invalid logon attempts

Reset account lockout after 60 min

Tabela 26. Konfiguracja globalnej polityki haseł



7.3.2 Polityka użytkowników kart inteligentnychZasięg działania polityki: zdefiniowana dla grup:

AD\SG-SmartCard Users




Minimum password age -



N


N




Tabela 27. Konfiguracja globalnej polityki haseł

7.3.3 Polityka specjalna – konta administracyjne

Zasięg działania polityki: zdefiniowana dla grup:

AD\SG-Resort_Administratorzy AD\SG-Resort_Helpdesk







Y


N




Tabela 28. Konfiguracja polityki haseł dla kont administracyjnych



7.3.4 Wpływ istnienia zróżnicowanej polityki haseł na klienta

Konfiguracja zróżnicowanej polityki haseł w obrębie pojedynczej domeny nie wpływa na wersję systemu operacyjnego, z którego korzystać musi stacja kliencka.

7.3.5 Polityka specjalna – konta serwisowe

Zasięg działania polityki: zdefiniowana dla grup:

SG-Resort_Service

Ustawienie Konta serwisowe






Y


N




Tabela 29. Konfiguracja polityki haseł dla kont usług

7.3.6 Uprawnienia do zmian polityki haseł

Wyłącznie członkowie grupy Enterprise Admins oraz Domain Admins mają prawo do tworzenia obiektów ustawień hasła (PSO) dla poszczególnych użytkowników i grup. Uprawnienia te mogą być delegowane innym grupom.

Uprawnienia do tworzenia obiektów PSO pozostaną skonfigurowane domyślnie.

7.3.7 Konfiguracja polityki haseł w AD Windows Server 2012

Windows Server 2012 posiada wewnętrzne narzędzie umożliwiające modyfikację obiektów polityki haseł. W tym celu należy z poziomu Active Directory Administrative Center na obiekcie „Password Settings Container” wybrać opcje z menu kontekstowego New->Password Settings:



Rysunek 16: Tworzenie obiektu PSO

Rysunek 17: Właściwości obiektu PSO

7.4 AudytKonfiguracja bezpieczeństwa nie jest kompletna do czasu wprowadzenia mechanizmów weryfikacji wprowadzonej polityki – audytu. To właśnie daje informacje o jakości wprowadzonych polityk zabezpieczeń. Również dzięki temu istnieje możliwość śledzenia zmian zachodzących w obrębie całego systemu.

W przypadku systemu Windows Server 2012 zdarzenia związane z katalogiem Active Directory są kategoryzowane na cztery grupy:

Directory Service Access Directory Service Changes Directory Service Replication


http://lh6.ggpht.com/-1aJt9Bt-iYo/UAhv47mCczI/AAAAAAAABys/nmvC-kxsqs0/s1600-h/image%5B7%5D.png

http://lh5.ggpht.com/-E4QqWbzIRo4/UAhv5UAbnoI/AAAAAAAABy8/te0_Fpm6eSY/s1600-h/image%5B11%5D.png


Detailed Directory Service Replication

Każda z grup zdarzeń może być gromadzona lub nie na podstawie konfiguracji Audytu w polityce bezpieczeństwa.

System audytu gromadzi szczegółowe informacje o modyfikowanym obiekcie w taki sposób, by w dzienniku pozostał pełen opis zaistniałej sytuacji, np. nazwa obiektu przed zmianą i po zmianie; dokładna lokalizacja obiektu przed przeniesieniem/usunięciem i po.

Należy mieć na uwadze, że konfiguracja dokładnego audytu wiąże się z generowaniem znacznej ilości danych. W sytuacji, gdy ruch obsługiwany przez kontroler domeny jest znaczny, ilość danych spływających do dziennika zdarzeń może skutecznie uniemożliwić ich analizę, chociażby dlatego, że okno zdarzeń zawartych w dzienniku będzie zbyt wąskie.

7.4.1 Polityka audytu

Konfiguracja polityki audytu kontrolerów domeny przedyskutowana została wcześniej w tym rozdziale. Głównym założeniem polityki jest audytowanie zdarzeń sukcesu, jak i niepowodzenia. Jest to konieczne w celu uzyskania pełnego obrazu sytuacji panującej wewnątrz katalogu.

7.4.2 Audyt partycji schematu AD Schemat Active Directory będzie audytowany pod kątem:

Dodawania, usuwania czy modyfikacji obiektów – definicji schematu Przenoszenia roli FSMO Schema Master

Audyt skonfigurowany będzie dla następującego obiektu AD:

CN=Schema,CN=Configuration,DC=ad,DC=ms,DC=gov,DC=pl

Następujące ustawienia zostaną wprowadzone:

Type Name Access Apply to

Success Everyone Modify Permissions Modify Owner Create All Child Objects Delete Delete All Child Objects Delete Subtree

This object only



Success Everyone Write All Properties This object and all child objects

Success Everyone Change Schema Master This object only

Success Everyone Reanimate Tombstones This object only

Success Administrators All Extended Rights This object only

Success Domain Users All Extended Rights This object onlyTabela 30. Konfiguracja audytu partycji schematu AD.

7.4.3 Audyt partycji konfiguracji AD

Ustawienia audytu partycji konfiguracji AD składa się z szeregu mniejszych etapów:

7.4.3.1 Atrybut wellKnownObjects

Modyfikacja atrybutu wellKnownObjects jest audytowana poprzez konfigurację audytu dla obiektu:

CN=Configuration,DC=ad,DC=ms,DC=gov,DC=pl

Należy skonfigurować następujące opcje:


Success Everyone Modify Permissions Modify Owner Write All Properties

This object only

Success Everyone Reanimate Tombstones This object only


Success Domain Users All Extended Rights This object onlyTabela 31. Konfiguracja audytu atrybutu wellKnownObjects partycji konfiguracji.

7.4.3.2 Kontener SitesAudyt kontenera Sites umożliwia detekcję wystąpienia następujących operacji na katalogu:

Dodawanie lub usunięcie kontrolerów domeny w lesie AD Dodawanie lub usunięcie obiektów zasad grupowych (GPO) aplikowanych do całej

lokacji (site-u) Uruchomienie na kontrolerach domeny jednej z operacji: Do Garbage Collection,

Recalculate Hierarchy, Recalculate Security Inheritance, Check Stale Phantoms. Dodawanie, usuwanie i modyfikacja obiektów połączeń lokacji (SiteLinks)



Dodawanie, usuwanie i modyfikacja obiektów połączeń (Connections)

Audyt konfigurowany jest dla obiektu:

CN=Sites,CN=Configuration,DC=ad,DC=ms,DC=gov,DC=pl



Success Everyone Create All Child Objects Delete Delete All Child Objects Delete Subtree

This object and all child objects

Success Everyone All Extended Rights Domain Controller

Success Everyone Write gPlink (property) Site object

Success Everyone Write gPOptions (property)

Site objects

Success Everyone Write siteObject (property)

Site objects

Tabela 32. Konfiguracja audytu konteneru Sites.

7.4.3.3 Kontener Partitions Poniższa tabela przedstawia konfigurację pozwalającą audytować następujące zmiany w katalogu:

Dodawanie i usuwanie domen (lub referencji do zewnętrznego katalogu) i w lesie Active Directory

Modyfikacja obowiązujących suffixów UPN Przeniesienie roli FSMO: Domain Naming Master


CN=Partitions,CN=Configuration,DC=ad,DC=ms,DC=gov,DC=pl





Success Everyone Modify Permissions Modify Owner Write All Properties Create All Child Objects Delete Delete All Child Objects Delete Subtree All Extended Rights

This object and all child objects

Tabela 33. Konfiguracji audytu kontenera Partitions

7.4.3.4 dsHeuristicsAtrybut dsHeuristics kontroluje na poziomie całego lasu Active Directory charakterystykę wyświetlania obiektów w katalogu – związany jest m.in. z parametrem LIST_OBJECT (omówiony w rozdziale 4.4).


CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=ad,DC=ms,DC=gov,DC=pl



Success Everyone Write dSHeuristics (property)

This object only

Tabela 34. Konfiguracji audytu atrybutu dsHeuristics

7.4.3.5 Polityka zapytania domyślnego(Default Query Policy)Polityka Default Query Policy definiuje globalne w skali lasu Active Directory parametry zarządzające obsługą audytu zapytań LDAP.


CN=Default Query Policy,CN=Query-Policies,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=ad,DC=ms=DC=gov,DC=pl





Success Everyone Write lDAPAdminLimits This object onlyTabela 35. Konfiguracji audytu polityk zapytania domyślnego.

7.4.4 Audyt partycji Domeny AD

7.4.4.1 Główny obiekt DomenyKonfiguracja poniższych opcji pozwoli na audyt zdarzeń związanych z:

Przenoszeniem roli FSMO: PDC Emulator Dodawanie i usuwanie obiektów GPO podpiętych do korzenia domeny Modyfikacja obowiązujących w domenie Suffix-ów DNS. Modyfikacja uprawnień i atrybutu wellKnownObject partycji Domeny


DC=ad,DC=ms,DC=gov,DCpl



Success Everyone Modify Permissions Modify Owner Write All Properties

This object only


Success Domain Users All Extended Rights This object only

Success Everyone Write gPlink Organizational Unit objects

Success Everyone Write gPOptions Organizational Unit objects

Tabela 36. Konfiguracji audytu dla głównego obiektu domeny.

7.4.4.2 Kontener Domain Controllers Poniższa konfiguracja zapewnia możliwość audytu:

Dodawania lub usuwania kontrolerów domeny do domeny Modyfikację właściwości konta komputera kontrolerów domeny.




OU=Domain Controllers,DC=ad,DC=ms,DC=gov,DC=pl



Success Everyone Modify Permissions Modify Owner Create All Child Objects Delete Delete All Child Objects Delete Subtree

This object only

Success Everyone Write All Properties This object and all child objects

Tabela 37. Konfiguracja audytu dla kontenera Domain Controllers.

7.4.4.3 Kontener InfrastructurePoniższa konfiguracja zapewnie możliwość audytu przenoszenia roli FSMO: Infrastructure Master.


CN=Infrastructure,DC=ad,DC=ms,DC=gov,DC=pl



Success Everyone All Extended Rights Write All Properties Change Infrastructure Master

This object only

Tabela 38. Konfiguracja audytu dla kontenera Domain Controllers.



7.4.5 Audyt kontenera System

7.4.5.1 Kontener Policies

Poniższa konfiguracja zapewnia możliwość audytu:

Dodawania lub usuwania obiektów GPO Modyfikacji obiektów GPO.


CN=Policies,CN=System,DC=ad,DC=ms,DC=gov,DC=pl



Success Everyone Modify Permissions Modify Owner Create groupPolicyContainter Objects Delete Delete groupPolicyContainer Objects Delete Subtree

This object only

Success Everyone Modify Permissions Write All properties

groupPolicyCOntainer

Tabela 39. Konfiguracja audytu dla kontenera Policies.

7.4.5.2 AdminSDHolder

AdminSDHolder jest specjalnym obiektem, w którym zapisany jest szablon deskryptora zabezpieczeń chroniącego wszystkie konta administracyjne.


CN=AdminSDHolder,CN=System,DC=ad,DC=ms,DC=gov,DC=pl





Success Everyone Modify Permissions Modify OwnerWrite All Properties

This object only

Tabela 40. Konfiguracja audytu dla kontenera AdminSDHolder

7.4.5.3 RID Manager$Poniższa konfiguracja zapewnia audyt przenoszenia roli FSMO: RID Master.


CN=RID Manager$,CN=System,DC=ad,DC=ms,DC=gov,DC=pl



Success Everyone All Extended Rights Write All Properties Change Rid Master

This object only

Tabela 41. Konfiguracja audytu dla kontenera RID Manager$

7.4.6 Audyt zmian pozostałych obiektów Active Directory

Polityka definiująca audyt obejmuje nie tylko obiekty systemowe w katalogu, ale również wszystkie inne. Celem takiej konfiguracji jest audyt wyznaczonych granic uprawnień administratorów usługi oraz administratorów poszczególnych Sądów. Uprawnienia centralnych administratorów pozwalają im przejmować obiekty, których właścicielem są administratorzy lokalni Sądów. Audyt pomoże wyjaśnić każdą zmianę w katalogu dotyczącą zwykłych obiektów – atrybutów konta użytkownika czy członkostwa w grupie. Pozwala to np. odeprzeć zarzuty nadużywania uprawnień przez administratorów centralnych.


DC=ad,DC=ms,DC=gov,DC=pl





Success Everyone Write All PropertieModify PermissionModify Owner

This object only

Success Everyone Write gPlink Write gPOptions

Organizational Unig

Success Administrators Domain Users

All Extended Rights This object only

Success Everyone Modify OwnerCreate/Delete User Objects Create/Delete InetOrgPerson Objects Create/Delete Group Objects Create/Delete Organizational Unit Objects

This object only and all child objects

Success Everyone Write property: managedBy This object only and all child objects

Success Everyone Add/Remove self as member Group objects

Success Everyone Write property: groupType Group objects

Success Everyone Write property: managedBy Group objects

Success Everyone Write property: members Group objects

Success Everyone Change Password Reset password

User objects

Success Everyone Write property: userAccountControl User objects

Success Everyone Write property: accountExpires User objects

Success Everyone Write property: Display Name User objects

Success Everyone Write Public Information User objects

Success Everyone Write Personal Information User objects

Success Everyone Write General Information User objects

Success Everyone Write Phone and Mail Options User objects

Success Everyone Write Logon Information User objects

Tabela 42. Konfiguracja audytu dla wszystkich obiektów domeny.

Powyższa konfiguracja zapewnia wręcz przesadny audyt zmian w katalogu. Audyt może znacząco wpłynąć na wydajność systemu i powinna być zastosowana tylko do najistotniejszych atrybutów obiektów.

Jeśli którykolwiek z zaproponowanych atrybutów byłby mało istotny z punktu widzenia Polityki Bezpieczeństwa Ministerstwa Sprawiedliwości, należy wyłączyć jego audytowanie.



7.4.7 Audyt udziału SYSVOL Audyt zmian w katalogu AD domyka kwestia śledzenia zmian w folderze SYSVOL. Pozwoli to na detekcję następujących zdarzeń:

Modyfikacja zasobu obiektów GPO – dodawanie, zmiany Modyfikacja udziału NETLOGON

Audyt definiowany jest na poziomie systemu plików zgodnie z poniższą konfiguracją:

Folder plików:

D:\NTDS\SYSVOL\sysvol

Konfiguracja audytu plików:


Success Everyone Create Files / Write Data Create Folders / Append DataDelete Subfolders and Files Delete Change Permissions Take Ownership

This folder, subfolder and files

Tabela 43. Konfiguracja audytu udziału SYSVOL



8 Model zarządzania poprzez zasady grupowe (GPO)Mechanizm zasad grupowych (Group Policy) jest całkowicie zintegrowany z usługą katalogową Active Directory i umożliwia zarządzanie ustawieniami środowiska pracy użytkowników oraz stacji roboczych w sposób zcentralizowany.

8.1 Polityki lokalne a polityki globalneProjekt Active Directory przewiduje utworzenie jedynie polityk globalnych mających wyznaczać podstawowy poziom bezpieczeństwa (polityki wymuszające złożoność haseł) i kontrolę dostępu (delegacja uprawnień administratorów lokalnych). Wszelkie ustawienia charakterystyczne dla biznesu lokalnego zostaną utworzone, przetestowane i wdrożone na poziomie jednostki organizacyjnej danego Oddziału Spółki przez lokalny personel administracyjny.

8.2 Wymuszanie członkostwa w grupach za pośrednictwem mechanizmu Restricted Groups

W ramach przedstawionego projektu zakłada się zarządzanie przynależnością użytkowników do grup Administratorów na stacjach lokalnych poprzez mechanizm Restricted groups dostępny w ramach zasad grupowych. Mechanizm ten umożliwia wymuszenie z poziomu zasad grupowych przynależności odpowiednich użytkowników lub grup do wskazanych grup lokalnych lub domenowych oraz przynależność tych grup do innych grup. W ramach zarządzania środowiskiem stacji roboczych w sieci Ministerstwa Sprawiedliwości mechanizm ten ma zapewnić:

Przynależność odpowiednich grup domenowych do grup lokalnych na stacjach roboczych, w celu umożliwienia członkom tych grup dostępu do stacji roboczych z odpowiednim poziomem uprawnień, niezbędnym do wykonania przydzielonych im zadań.

Kontrolę zawartości grup z wysokimi przywilejami na stacjach roboczych.

Mechanizm ten pozwala na określenie dla każdej z objętych jego działaniem grup następujących atrybutów:

Members: lista użytkowników, którzy mają być członkami grupy, lub którzy nie mogą zostać członkami grupy. Ustawienie to może kontrolować zarówno przynależność do wskazanej grupy, jak również może definiować listę wykluczeń, nie pozwalając określonym użytkownikom lub grupom na przynależność do wskazanej grupy.

Member Of: lista grup, do których grupa objęta tym mechanizmem będzie należeć. W przypadku tego ustawienia nie jest możliwe zdefiniowanie listy wykluczeń.



W przypadku stacji roboczych objętych zasadami grupowymi, dla których w ramach tych zasad zostaną zdefiniowane ustawienia Restricted groups członkostwo w lokalnych grupach na tych stacjach wymuszane będzie przez mechanizmy zasad grupowych.

Przykładowo, gdy ustawienia takie zdefiniowane zostaną dla lokalnej grupy Administratorzy, członkami tej grupy będą mogli być tylko i wyłącznie użytkownicy i grupy zdefiniowani w ramach ustawień zasad grupowych. W przypadku, gdy użytkownik lub grupa która nie zostanie zdefiniowana na poziomie ustawień zasad grupowych zostanie dodana do lokalnej grupy Administratorzy na stacji objętej takimi zasadami, zostanie ona usunięta z tej grupy przy następnym odświeżeniu zasad grupowych przez stację.

Opis opcji zasad grupowych używanych do zarządzania członkostwem w grupach lokalnych poprzez mechanizm Restricted Groups znajduje się w KB 279301 (http://support.microsoft.com/kb/279301).

Mechanizm ten może zostać użyty tylko w przypadku systemów klienckich działających pod kontrolą Windows 2000 i późniejszych

8.3 Narzędzia do zarządzania zasadami grupowymi

8.3.1 Group Policy Management Console

Zarządzanie zasadami grupowymi odbywać się będzie poprzez mechanizmy konsoli zarządzającej Group Policy Management. Konsola ta umożliwia przeprowadzenie następujących operacji:

Tworzenie i edycja zasad grupowych Linkowanie obiektów GPO do poszczególnych kontenerów Zarządzanie uprawnieniami do obiektów GPO Raportowanie ustawień GPO Określanie wynikowego zestawu ustawień GPO dla wybranego obiektu w katalogu Wykonywanie kopii zapasowych oraz odtwarzanie obiektów GPO.

Do zarządzania obiektami zasad polityk grupowych służy konsola Group Policy Management w Windows Server 2012 lub Windows 7 z dodatkiem Remote Administration Tools.

Wszystkie nowe obiekty GPO powinny być tworzone oraz konfigurowane początkowo na kontrolerze pełniącym rolę PDC Emulator poprzez sesję lokalną lub terminalową.

Zabronione jest wykorzystywanie konsoli Group Policy Management Console (GPMC) będącej dodatkiem do Windows XP.



8.3.2 Advanced Group Policy Management Narzędzie Advanced Group Policy Management (AGPM) dostępne jest dla beneficjentów pakietu licencyjnego MDOP. Aplikacja ta dostarcza rozbudowaną platformę do zarządzania obiektami zasad grupowych w środowisku Windows Server.

AGPM pozwala na tworzenie i wersjonowanie obiektów zasad polityk grupowych oraz buduje wielopoziomową kontrolę dostępu do modyfikacji polityk. Model zarządzania GPO za pośrednictwem AGPM wprowadza szereg ról: Editor, Approver, Reviewer, których poprawne wykorzystanie zmniejsza ryzyko wystąpienia nieprzewidzianych efektów ubocznych podczas dokonywania modyfikacji w obiektach zasad polityk grupowych.



9 Wymagania sieciowe usługi Active Directory

9.1 Komunikacja sieciowa w sieciach opartych na Active DirectoryPoniższa tabela przedstawia listę portów wymaganych w komunikacji związanej z replikacją danych katalogu oraz logowaniem klientów korzystających z usług Active Directory.

Usługa Protokół Port źródłowy Port docelowy

Adres źródłowy

Adres docelowy

Reguła

CIFS/SMB Server

TCP ANY 445 ANY DC IP ALLOW

UDP ANY 445 ANY DC IP ALLOW

RPC Server TCP ANY 135 ANY DC IP ALLOW


NetBIOS Server





Monitoring Client

ANY ANY ANY DC IP MOM Server ALLOW

Terminal Services Server


Global Catalog Server



DNS Server TCP ANY 53 ANY DC IP ALLOW


Kerberos Server



LDAP Server TCP ANY 389 ANY DC IP ALLOW




NTP Server TCP ANY 123 ANY DC IP ALLOW




DC Comms ANY ANY ANY DC IP DC1 IP ALLOW

DC Comms ANY ANY ANY DC IP DC2 IP ALLOW

DC Comms ANY ANY ANY DC IP … ALLOW

DC Comms ANY ANY ANY DC IP DCn IP ALLOW

ICMP ICMP ANY ANY DC IP ANY ALLOWTabela 44. Lista portów używana przez usługi związane z Active Directory

9.2 Ścieżki ruchu sieciowegoUsługa katalogowa wymaga istnienia specjalnych ścieżek sieciowych z drożnymi wszystkimi portami, o których mowa w punkcie 9.1.

9.2.1 Ruch pomiędzy kontrolerami domeny

9.2.1.1 ReplikacjaZaproponowana topologia replikacji precyzyjnie determinuje ilość ścieżek, po których następować będzie komunikacja między kontrolerami domeny.

9.2.1.2 Kontakt z właścicielami ról FSMOW planowanym rozwiązaniu wszystkie role FSMO zlokalizowane będą na w Warszawie w lokacji centralnej (WA-Ujazdowskie). W przyszłości, w przypadku rozwoju infrastruktury kontrolerów domeny istotne jest, aby każdy kontroler domeny był w stanie zlokalizować kontrolery pełniące poszczególne role FSMO w domenie.

9.2.2 Ruch pomiędzy klientem a kontrolerem domeny

9.2.2.1 Standardowe operacje wykonywane przez klienta

Normalne funkcjonowanie klienta w środowisku AD wymaga otwarcia następujących ścieżek sieciowych:

Dostęp do najbliższego kontrolera domeny (lub – w przypadku awarii - kontrolera pełniącego rolę „zapasowego” zgodnie z wyznaczoną topologią replikacji)

Dostęp do serwerów DNS zdefiniowanych na liście serwerów nazw



9.2.2.2 Przełączanie w przypadku wystąpienia awarii (Failover)W przypadku wystąpienia awarii podstawowego kontrolera domeny, klienci musza mieć umożliwiony dostęp do kontrolera domeny mogącego przejąć na siebie obowiązki kontrolera w danej lokacji.

W związku z przyjętą topologią AD, klienci w przypadku awarii podstawowych kontrolerów domeny obsługiwani będą przez kontrolery zlokalizowane w zapasowym centrum przetwarzania danych w Warszawie

9.2.2.3 Dostęp do roli PDC

System operacyjne klasy Windows 2000 i nowsze są w stanie funkcjonować bez fizycznego dostępu do kontrolera pełniącego rolę PDC Emulator.

Klienci starszych generacji nie są w stanie poprawnie pracować bez dostępu do kontrolera domeny pełniącego rolę PDC Emulator.

9.3 NAT Rozwiązanie umożliwiające translację adresów (NAT) jest niewspierane i powinno być unikane w przypadku implementacjach usługi katalogowej Active Directory. Oświadczenie o braku wsparcia dla technologii NAT w środowiskach Active Directory opisuje artykuł KB 978772 (http://support.microsoft.com/kb/978772).



10 Utrzymanie katalogu Active DirectoryPoprawne działanie katalogu Active Directory wymaga przestrzegania odpowiednich procedur oraz wykonywania zgodnie z przyjętymi. Poniższe zestawienie przedstawia podstawową listę zadań związanych z utrzymaniem katalogu Active Directory, które powinny być wykonywane przez zespół administratorów zajmujących się administracją, monitorowaniem i bezpieczeństwem systemów Ministerstwa Sprawiedliwości.

10.1 Kopia zapasowa i odtwarzanie kontrolera domenyKatalog Active Directory zaprojektowano w taki sposób, by kopia repliki bazy danych znajdowała się jednocześnie na wszystkich kontrolerach domeny. W przypadku awarii istnieje możliwość odtworzenia kontrolera domeny na podstawie repliki katalogu z innego kontrolera domeny.

Nie mniej procedura odtworzenia kontrolera domeny bez aktualnej kopii zapasowej jest odpowiednio dłuższa niż w przypadku, gdy posiadamy aktualną kopię kontrolera.

Zalecane jest wykonywanie regularnych kopii bezpieczeństwa kontrolera zgodnie z przyjętą polityką backup & recovery w organizacji. Należy pamiętać o tym, by odpowiednio zabezpieczyć kopię bezpieczeństwa przed dostępem osób niepowołanych [7.1.3].

Ze względu na naturę działania usługi Active Directory, użyte oprogramowanie musi być odpowiednio przygotowane do tworzenia kopii bezpieczeństwa kontrolerów domeny. Oprogramowaniem zalecany przez Microsoft do wykonywania kopii bezpieczeństwa kontrolerów domeny to System Center Data Protection Manager.

Ministerstwo Sprawiedliwości będzie wykorzystywało obecnie stosowany system kopii zapasowych.

10.2 Monitorowanie stanu środowiskaZa kontrolę stanu zdrowia usługi Active Directory w środowisku Ministerstwa Sprawiedliwości odpowiedzialna będzie aplikacja System Center Operations Manager 2012.

Monitorowanie Active Directory jako usługi z punktu widzenia użytkownika końcowego będzie możliwe po wdrożeniu dodatków Management Pack do obsługi Active Directory po stronie serwera System Center Operations Manager 2012.

10.3 Zarządzanie aktualizacjamiWarunkiem koniecznym bezpieczeństwa w sieci firmy jest stosowanie najnowszych poprawek oraz aktualizacji oprogramowania działającego na serwerach.



Microsoft dostarcza kompleksowych rozwiązań do monitorowania postępu oraz wymuszania instalacji aktualizacji na stacjach klientów oraz na serwerach istniejących w obrębie lasu Active Directory – Microsoft System Center Configuration Manager 2012

W przypadku wykorzystania System Center Configuration Manager 2012 do zarządzania stacjami klienckimi, zaleca się wykorzystania tego narzędzia do dystrybucji aktualizacji i poprawek na kontrolerach domeny w organizacji oraz weryfikacji spójności poziomu poprawek.

10.4 Oprogramowanie antywirusoweMicrosoft zaleca używanie oprogramowania antywirusowego na każdej maszynie w obrębie katalogu Active Directory, a w szczególności na każdym serwerze pełniącym funkcję kontrolera domeny.

Przyjęte wewnątrz organizacji Ministerstwa Sprawiedliwości standardowe oprogramowanie antywirusowe to Symantec Endpoint Protection 12.1.2. Zgodnie z deklaracjami producenta, aplikacja ta jest wspierana na platformie Windows Server 2012:

http://www.symantec.com/business/support/index?page=content&id=HOWTO81091


http://www.symantec.com/business/support/index?page=content&id=HOWTO81091


11 Proces przyłączenia sądu do wspólnej usługi katalogowej

Poniższe punkty opisują wysokopoziomowy proces dodawania kolejnego sądu do centralnej usługi katalogowej Active Directory:

1. Ustalenie kodu jednostki na bazie typu sądu I jego lokalizacji, np. SO_OP01 – Sąd Okręgowy w Opolu

2. Utworzenie struktury jednostek organizacyjnych w OU=Resort zgodnie z przyjętym projektem technicznym

3. Utworzenie grup ról uprawnień zgodnie z rozdziałem 6 Delegacja uprawnień4. Utworzenie grup członkowskich zgodnie z rozdziałem 6 Delegacja uprawnień5. Modyfikacja domyślnej polityki GPO dodającej lokalnych administratorów zgodnie z punktem

7.2.4 MS_C_DomainControllersPolicy6. Utworzenie delegacji uprawnień zgodnie z punktem 6.13.3 Konfiguracja uprawnień

operatorskich7. Utworzenie lokacji AD dla danego sądu i obiektów podsieci, a także połączenie ich z lokacja

WA-Ujazdowskie



12 Materiały źródłowe i referencje

12.1 Dokumentacja dotycząca usługi WINS w sieciach MicrosoftPoniżej przedstawiona została lista dokumentacji dotyczącej wdrożenia usługi WINS w sieciach opartych o Microsoft Windows Server:

Microsoft Windows NT Server 4.0 WINS: Architecture and Capacity Planning (http://msdn2.microsoft.com/en-us/library/ms810878.aspx , also available as Word document at ftp://ftp.microsoft.com/bussys/winnt/winnt-docs/papers/WINSWP.doc)

Recommended Practices for WINS (http://support.microsoft.com/kb/185786/en-us) Windows 2000 Server Windows Internet Naming Service (WINS) Overview (http://www.microsoft.com/technet/prodtechnol/windows2000serv/plan/wins2000.mspx)

Windows Server 2003 Windows Internet Name Service (WINS) (http://technet2.microsoft.com/windowsserver/en/technologies/wins.mspx)

Migrating WINS to Windows Server 2003 (http://technet2.microsoft.com/WindowsServer/en/library/d3a5ad61-6b33-4ba6-8a25-76d853c48a571033.mspx)

12.2 Referencje Windows Server System Reference Architecture

(http://www.microsoft.com/technet/solutionaccelerators/wssra/raguide/default.mspx)

Windows Server 2003 Active Directory Branch Office Guide (http://www.microsoft.com/downloads/details.aspx?FamilyId=9353A4F6-A8A8-40BB-9FA7-3A95C9540112&displaylang=en)

Active Directory Operations Guide (http://technet2.microsoft.com/WindowsServer/en/library/9c6e4dd4-3877-4100-a8e2-5c60c5e19bb01033.mspx)

Active Directory in Networks Segmented by Firewalls (http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&DisplayLang=en)

AD DS Deployment Guidehttp://technet.microsoft.com/en-us/library/cc753963(WS.10).aspx

Best Practices for Delegating Active Directory Administration (http://www.microsoft.com/downloads/details.aspx?FamilyID=631747a3-79e1-48fa-9730-dae7c0a1d6d3&DisplayLang=en)


http://www.microsoft.com/downloads/details.aspx?FamilyID=631747a3-79e1-48fa-9730-dae7c0a1d6d3&DisplayLang=en

http://www.microsoft.com/downloads/details.aspx?FamilyID=631747a3-79e1-48fa-9730-dae7c0a1d6d3&DisplayLang=en

http://technet.microsoft.com/en-us/library/cc753963(WS.10).aspx

http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&DisplayLang=en

http://www.microsoft.com/downloads/details.aspx?FamilyID=c2ef3846-43f0-4caf-9767-a9166368434e&DisplayLang=en

http://technet2.microsoft.com/WindowsServer/en/library/9c6e4dd4-3877-4100-a8e2-5c60c5e19bb01033.mspx

http://technet2.microsoft.com/WindowsServer/en/library/9c6e4dd4-3877-4100-a8e2-5c60c5e19bb01033.mspx



http://www.microsoft.com/technet/solutionaccelerators/wssra/raguide/default.mspx

http://www.microsoft.com/technet/solutionaccelerators/wssra/raguide/default.mspx

http://technet2.microsoft.com/WindowsServer/en/library/d3a5ad61-6b33-4ba6-8a25-76d853c48a571033.mspx

http://technet2.microsoft.com/WindowsServer/en/library/d3a5ad61-6b33-4ba6-8a25-76d853c48a571033.mspx

http://technet2.microsoft.com/windowsserver/en/technologies/wins.mspx

http://www.microsoft.com/technet/prodtechnol/windows2000serv/plan/wins2000.mspx

http://www.microsoft.com/technet/prodtechnol/windows2000serv/plan/wins2000.mspx

http://support.microsoft.com/kb/185786/en-us

ftp://ftp.microsoft.com/bussys/winnt/winnt-docs/papers/WINSWP.doc

http://msdn2.microsoft.com/en-us/library/ms810878.aspx


Szczegółowa lista portów wykorzystywanych przez różne usługi Windows znajduje się w KB832017 (http://support.microsoft.com/kb/832017).

W jaki sposób skonfigurować Firewall dla potrzeb relacji zaufania i wielu domen(http://support.microsoft.com/kb/179442)

Ograniczenie ruchu replikacyjnego AD oraz odpytań RPC klientów do wybranych portów:(http://support.microsoft.com/kb/224196)

Konfigurowanie dynamicznego przydzielania portu RPC do pracy z zaporą(http://support.microsoft.com/kb/154596)

Replikacja Active Directory przez zapory (http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/deploy/confeat/adrepfir.mspx)

Things to consider when you host Active Directory domain controllers in virtual hosting environments (http://support.microsoft.com/kb/888794)

AD DS: Fine-Grained Password Policieshttp://technet.microsoft.com/en-us/library/cc770394(WS.10).aspx

How to create a Central Store for Group Policy Administrative Templates in Window Vistahttp://support.microsoft.com/kb/929841



http://technet.microsoft.com/en-us/library/cc770394(WS.10).aspx


http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/deploy/confeat/adrepfir.mspx

http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/deploy/confeat/adrepfir.mspx





Konsolidacja usług katalogowych w Ministerstwie ...€¦ · Web...

Documents

Transcript of Konsolidacja usług katalogowych w Ministerstwie ...€¦ · Web...