Category: it

Category was added automatically. Read all entries about "it".

sa_backup

Делегирование административных задач в Active Directory

Текст ниже не мой, я его лишь скопировал отсюда. Автор: hb860 опубликовал текст 27 марта 2013 в 17:44 в разделе Администрирование.
[Я продублировал его потому, что] Я продублировал его потому, что за несколько лет не раз сталкивался с дурацкой ситуацией, что в нужный момент (повторного выполнения той или иной задачи) оригинальная ссылка становится не актуальной, по поиску оригинальная статья не находится (увы, случается и такое).
Очень надеюсь, что SUP не одарит такой подлянкой ;)
А еще текст нравится грамотным изложением - одинаково полезным как начитающим сисемным администроаторам, так и практикующим администраторам-самоучкам (то есть тем, кто не имеет специализированного образования по ИТ, но работает в этой области).

Делегирование административных задач в Active Directory
Системное администрирование

Ввиду того, что во время Хабравстречи я рассказывал об 11 различных сценариях, естественно, мне хотелось бы на каждом из этих моментов остановиться подробнее. Другими словами, начиная с этой статьи я рассмотрю большинство моментов, о которых шла речь во время предыдущего доклада. Итак…
Относительно недавно мне в Windows Live Messenger задали несколько вопросов, связанных с делегированием административных полномочий в Active Directory. Однако, прежде чем переходить к самим вопросам по этой теме, я буквально в двух словах расскажу, что же собой представляет делегирование и для чего оно нужно.

Делегирование объектов Active Directory

Более чем очевидно, что практически в каждой организации ИТ-подразделение включает в себя нескольких администраторов, и различные административные задачи должны быть распределены среди администраторов, либо, скажем, среди членов службы поддержки. Например, как в данном примере, скажем сотрудники подразделения поддержки должны вносить компьютеры в домен. Однако такая группа пользователей не должна иметь возможности выполнять остальные операции, помимо тех, которые вы хотите им разрешить.
А вот те разрешения, которые можно назначать пользователям, группам или компьютерам, иначе говоря принципалам безопасности, называются записями контроля доступа (Access Control Entry, ACE). Следовательно, с помощью ACL модифицируются разрешения доступа для объекта. Списки ACL вы можете просматривать непосредственно при помощи таких оснасток как «Active Directory – пользователи и компьютеры», «Центр администрирования Active Directory», а также в таких оснастках и средствах как «Active Directory – Сайты и службы», «Редактор ADSI», а также «LDP» (некоторые средства будут подробнее рассмотрены далее в данной статье).
Если же говорить о разрешениях контроля доступа к объектам AD, то сразу следует отметить, что они разделены на стандартные разрешения и на особые разрешения. Особые разрешения представляют собой гранулированные опции, которые применяются к конкретному объекту, а стандартные разрешения доступа уже составляются из набора особых разрешений, которые разрешают, либо, наоборот, запрещают определенную функцию. Исключительно в качестве примера можно выделить такое стандартное разрешение как чтение, ведь на самом деле оно включает в себя записи таких особых разрешений как чтение разрешений, список содержимого, а также прочитать все свойства. Но это уже совсем другая тема.
Собственно, все записи ACE располагаются в дискреционном списке контроля доступа, иначе говоря, в оригинале это звучит как Discretionary Access Control List, или же, проще говоря, в списке DACL. Это список записей управления доступом, определяющий разрешения доступа для каждого принципала безопасности к объекту. В свою очередь, каждый принципал безопасности, который добавляется в объект, получает список разрешений, в котором указано, что конкретный пользователь либо группа пользователей может выполнять конкретные операции с самим объектом. Здесь всегда следует помнить то, что записи ACE, которые были назначены явным образом, всегда будут оцениваться перед унаследованными записями ACE. А также всегда следует учитывать то, что запрещающие записи всегда будут превалировать над разрешающими.
Сам по себе список DACL является составляющей списка ACL самого объекта, который еще содержит системный список контроля доступа, другими словами System Access Control List, SACL. Этот список определяет параметры аудита для объекта, включая все принципалы безопасности и операции, для которых должен выполняться аудит.
Таким образом, возвращаясь к самой теме данного раздела, делегированием административных задач называется наследование разрешений родительского объекта для принципала безопасности, созданного в Active Directory.

Пример делегирование административных полномочий

1. Одна из задач, которую необходимо было выполнить, представляла собой следующее: нужно было предоставить возможность определенной группе пользователей, скажем, некоему техническому персоналу, вносить компьютеры в домен и распределять эти компьютеры по различным подразделениям. В принципе, эту задачу можно назвать тривиальной, но мы незначительно изменим условия, чтобы было интересней. Что будет сделано: поскольку, по умолчанию каждый пользователь может присоединить компьютер к домену, исправим эту ситуацию таким образом, чтобы присоединять компьютеры к домену могли только лишь те пользователи, которые входят в группу безопасности «Поддержка». Следовательно, нужно выполнить следующие действия:

Для начала следует на контроллере домена открыть оснастку «Active Directory – пользователи и компьютеры». Здесь необходимо создать глобальную группу безопасности, члены которой смогут присоединять компьютеры пользователей к домену. Другими словами, эта группа будет выглядеть следующим образом:

Рис. 1. Свойства группы, отвечающей за присоединение компьютеров к домену

Следующим делом необходимо указать, что компьютеры присоединять к домену могут только лишь пользователи, входящие в созданную на предыдущем этапе глобальную группу безопасности. Для этого следует открыть оснастку «Управление групповой политикой» и перейти к редактору GPME для созданного по умолчанию объекта GPO «Default Domain Controllers Policy», который располагается в подразделении «Domain Controllers».
2. В отобразившейся оснастке следует перейти к узлу «Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователей» и локализовать параметр политики, который называется «Добавление рабочих станций к домену».
Открыв диалоговое окно данного параметра политики, вы сразу сможете обнаружить, что по умолчанию там указана группа «Прошедшие проверку», благодаря которой присоединять компьютеры к домену может каждый пользователь. Теперь, для того, чтобы разрешить присоединять к домену компьютеры только пользователям из группы безопасности «Поддержка», следует удалить группу, указанную в этом параметре политики по умолчанию, а затем при помощи кнопки «Добавить пользователя или группу» и диалога поиска объектов Active Directory, следует добавить созданную ранее глобальную группу безопасности. Процесс добавления такой группы изображен на следующей иллюстрации:


Рис. 2. Изменение группы, отвечающей за присоединение компьютеров к домену

3. Теперь несмотря на то, что немного ранее было описано, в каких сценариях выполняется делегирование, и что в большинстве случаев делегирование выполняется на уровне подразделений, в данном случае для предоставления возможности присоединения компьютеров к домену, нам следует в оснастке «Active Directory – пользователи и компьютеры» вызвать мастер делегирования непосредственно для уровня всего домена. Следовательно, в оснастке «Active Directory – пользователи и компьютеры» необходимо в области дерева самой оснастки вызвать контекстное меню для домена и выбрать опцию «</b>Делегирование управления</b>», как показано ниже:


Рис. 3. Вызов мастера делегирования управления

4. На первой странице мастера можно просто ознакомиться с основной задачей данного средства и, ввиду того, что на первой странице нельзя выполнять какие-либо действия, следует просто нажать на кнопку «Далее». На второй странице мастера, странице «Пользователи и группы», нужно локализовать группу, для которой необходимо делегировать управление. В данном примере следует нажать на кнопку «Добавить» и при помощи соответствующего диалога выбрать группу «Поддержка», как показано на следующей иллюстрации:


Рис. 4. Добавление группы, для которой выполняется делегирование управления

5. После того, как группа будет добавлена, для перехода к следующей странице мастера следует нажать на кнопку «Далее».
Страница «Делегируемые задачи» позволяет вам определить конкретные операции, которые должны выполнять в доменных службах Active Directory пользователи или группы пользователей, которые были добавлены на предыдущей странице мастера. Так как в данном примере делегируется задача присоединения компьютеров к домену и такую задачу можно найти в предоставленном списке распространенных задач, следует напротив задачи «Присоединение компьютера к домену» установить флажок и нажать на кнопку «Далее». Стоит обратить внимание на то, что данный мастер позволяет делегировать не только те задачи, которые фигурируют в данном списке, и в том случае, если вы не смогли здесь сразу найти конкретную задачу, нужно будет создавать особую задачу для делегирования. Создание особой задачи будет показано далее в этой статье, а делегирование задачи присоединения компьютера к домену изображено на следующей иллюстрации:


Рис. 5. Делегирование задачи присоединения компьютеров к домену для членов группы «Поддержка»

На последней странице мастер повторно проинформирует о том, что работа мастера была успешно выполнена и определенной группе пользователей было передано управление для присоединения компьютеров к домену, что, собственно, и являлось поставленной перед нами задачей:


Рис. 6. Завершение процесса делегирования управления

Теперь, после того как были выполнены все эти действия, присоединять компьютеры к домену смогут только лишь те пользователи, которые являются членами созданной ранее глобальной группы безопасности «Поддержка».

Определение задач, для которых было предоставлено делегирование

Сразу после того, как была предоставлена возможность присоединения компьютеров к домену определенной группе безопасности, возник вопрос такого характера: «Можно ли как-то просмотреть делегированные ранее задачи»? Здесь ответ простой: просмотреть можно, причем далеко не единственным методом. Все возможные варианты просмотра задач, для которых было передано делегирование, в рамках одной статьи рассматривать просто бессмысленно, поэтому далее в данной статье будут представлены несколько основных вариантов:
1. Первый метод – это использование оснастки «Active Directory – пользователи и компьютеры». Прежде всего, для того чтобы просмотреть задачи, которые были делегированы, следует в меню «Вид» включить для самой оснастки отображение дополнительных компонентов. После этого необходимо перейти к диалоговому окну свойств подразделения, для которого выполнялось делегирование. Так как в предыдущем разделе выполнялось делегирование для уровня всего домена, в данном примере открывается диалоговое окно свойств домена.
В отобразившемся диалоговом окне следует перейти на вкладку «Безопасность», а затем оттуда вызвать диалоговое окно дополнительных параметров безопасности. Здесь, в отобразившемся диалоговом окне, вы можете обнаружить все записи ACE, которые были заданы как по умолчанию, так и при помощи мастера делегирования. Например, на следующей иллюстрации видно, что для группы «Поддержка» было добавлено разрешение, позволяющее создавать объекты «Компьютер»:


Рис. 7. Просмотр делегированных задач для группы «Поддержка»

При желании вы можете как изменить разрешения для текущей группы, так и, при необходимости, удалить его полностью.

2. Теперь рассмотрим более изощренный метод, а именно использование LDP.exe. На этот раз следует выполнить следующие действия:
1. Откройте инструмент LDP и при помощи меню «Подключение» подключитесь к контроллеру домена по порту 389, как показано на следующей иллюстрации:



Рис. 8. Подключение к контроллеру домена

2. После этого следует выполнить привязку, используя одноименную команду из меню «Подключение». Так как в данный момент я выполнил вход в систему от учетной записи администратора, я могу не вводить учетные данные, а сразу в отобразившемся диалоговом окне «Привязка» нажать на кнопку «ОК», как показано ниже:


Рис. 9. Выполнение привязки

Теперь можно подключиться к необходимому подразделению или же сразу ко всему домену, выбрав команду «Дерево» из меню «Вид». В том случае, если следует просмотреть весь домен, можно оставить поле пустым, однако если вы планируете просматривать конкретное подразделение, следует указывать различающееся имя в следующем формате: «OU=имя OU, DN=domain…».
Затем для того, чтобы увидеть, кому было предоставлено делегирование, следует просмотреть всю структуру в древовидном представлении. Другими словами, из меню «Вид» выбираем команду «Дерево» и в отобразившемся диалоговом окне «Дерево» указываем базовое расширяемое имя (либо, так как в приведенном примере необходимо просмотреть весь домен, можно оставить данное текстовое поле пустым).
Уже находясь в привычной области дерева, необходимо выбрать подразделение, предоставление прав к которому следует проверить, а затем из контекстного меню выбрать команду «Дополнительно» и «Дескриптор безопасности». В отобразившемся диалоговом окне обязательно удостоверьтесь в том, что у вас выбран правильный DN, а также в том, что установлен флажок на опции «Список ACL», как показано на следующей иллюстрации:


Рис. 10. Открытие диалогового окна дескрипторов безопасности

Теперь в отобразившемся диалоговом окне вы можете просмотреть все группы и пользователей, которым были предоставлены определенные разрешения. При необходимости вы также можете отредактировать либо удалить делегируемые разрешения, воспользовавшись соответствующими кнопками. Диалоговое окно дескрипторов безопасности, как и окно редактирования делегируемых разрешений, отображены на следующей иллюстрации:


Рис. 11. Просмотр и изменение делегируемых разрешений для группы поддержки

3. Третий вариант в какой-то степени можно назвать более модернистическим, так как сейчас мы определим, какие разрешения были назначены этой же группе поддержки, но уже при помощи оснастки «Центр администрирования Active Directory». Для этого следует открыть данное средство, выбрать в дереве оснастки подразделение, для которого следует просмотреть, кому было предоставлено делегирование, а затем перейти к свойствам выбранного объекта, например, как показано на следующей иллюстрации, непосредственно из контекстного меню:


Рис. 12. Переход к свойствам выбранного объекта

После работы с оснасткой «Active Directory – пользователи и компьютеры» вы сможете сразу определиться, что нужно сделать. В отобразившемся диалоговом окне следует перейти к группе «Разрешения», и просто останется лишь выбрать требуемую группу и перейти к диалогу дополнительных параметров безопасности. Группа разрешений отображена ниже:



Рис. 13. Разрешения группы безопасности поддержки

4. Если вы любитель командной строки, то вас никто не ограничивает. Для просмотра разрешений, позволяющих контролировать действия пользователей в Active Directory, предусмотрена такая утилита командной строки как DSACLS. Зачастую данная команда выполняется с отличительным именем объекта. Например, для того, чтобы узнать, у кого есть разрешения ко всему домену, следует выполнить команду:

DSACLS DC=331zone,DC=com
Результат выполнения команды виден на следующей иллюстрации:


Рис. 14. Проверка разрешений для группы поддержки средствами командной строки

По большому счету, еще можно выделить по меньшей мере 6 способов просмотра делегирования административных полномочий, но их попросту бессмысленно описывать в одной статье, и в том случае, если эта тема вас заинтересует, я могу показать большинство таких методов в отдельном вебкасте.
Однако, помимо разрешения присоединения компьютеров к домену и просмотра настроенных разрешений, у нас осталась еще одна небольшая задача, которая будет рассмотрена в следующем небольшом разделе.

Разрешения перемещения объектов между подразделениями

Последняя задача, которая будет рассмотрена в данной статье, представляет собой реализацию разрешения перемещения объектов компьютеров между подразделениями для группы безопасности «Поддержка». Так как в предыдущий раз разрешения для присоединения компьютеров к домену мы реализовывали средствами делегирования управления, следует и в этот раз попробовать поискать средства решения этой задачи в данном мастере. Для решения этой задачи нужно будет отредактировать некоторые разрешения для контейнера «Computers», так как известно, что объекты групповой политики невозможно связывать с данным контейнером, а сотрудникам подразделения поддержки необходимо распределять компьютеры по различным подразделениям.
После открытия мастера делегирования управления и добавления целевой группы вы обнаружите, что среди обычных задач невозможно выполнить подобные действия. В этом случае следует попробовать воспользоваться списком особых задач для делегирования. В отобразившемся диалоговом окне вам предоставляется возможность делегирования всех объектов в выбранном вами контейнере (в этом случае вам следует установить переключатель на опцию «этой папкой, существующими в ней объектами и созданием новых объектов в этой папке»), а также возможность передачи управления только выбранным объектам, которые можно найти в соответствующем списке (опция «только следующим объектам в этой папке»).
Среди доступных объектов следует установить флажок на опции «Компьютер объектов», а затем под данным списком установить флажок на опции «Удалить из этой папки выбранные объекты».
Диалоговое окно данной страницы мастера делегирования изображено на следующей иллюстрации:

</b> Рис. 15. Страница создания особой задачи для делегирования

После этого, на следующей странице мастера, странице «Разрешения» — следует указать, что делегируется разрешение «Запись», и этого будет достаточно.
Так как задачу по перемещению можно разделить на две части – удаление объекта из контейнера «Computers» и последующее создание объекта в другом подразделении – исключительно в качестве примера, создание объектов в специально созданном подразделении для учетных записей компьютеров будет продемонстрировано средствами изменения дополнительных параметров безопасности для требуемого подразделения (подобные действия были рассмотрены в предыдущем разделе).
Сейчас, в том случае, если вы закрывали оснастку «Active Directory – пользователи и компьютеры», нужно включить для нее отображение дополнительных компонентов, а затем перейти к диалоговому окну свойств подразделения, в которое должны перемещаться учетные записи компьютеров. В моем случае это подразделение «Клиенты».
В диалоговом окне свойств данного подразделения следует перейти ко вкладке «Безопасность», а затем открыть диалоговое окно дополнительных параметров безопасности. В отобразившемся диалоговом окне следует локализовать добавленную ранее группу и удостовериться, что сотрудникам группы поддержки разрешается присоединять компьютеры к домену, но разрешения, связанные с удалением объектов, здесь отсутствуют, а затем перейти к диалогу изменения разрешений посредством нажатия на кнопку «Добавить».
В отобразившемся диалоговом окне «Элемент разрешения для Computers» необходимо добавить группу, которой будут применяться разрешения. Другими словами, нажмите на ссылку «Выберите субъект» и при помощи соответствующего диалогового окна локализуйте группу «Поддержка». Так как внутри созданного ранее подразделения могут находиться дочерние подразделения с различной разбивкой (например, компьютеров по отделам), из раскрывающегося списка «Применяется к» следует выбрать опцию «Этот объект и все дочерние объекты», что и установлено по умолчанию.
Осталось только выбрать требуемое разрешение. Так как нам нужно разрешить перемещать компьютеры, а это означает, что объекты будут создаваться внутри данного и всех вложенных контейнеров, следует установить флажок напротив разрешения «Создание объектов: Компьютер», после чего сохранить все внесенные изменения. Диалоговое окно «Элемент разрешения для «Клиенты»» показано ниже:


Рис. 16. Добавление разрешений для создания объектов компьютеров

Вместо заключения

По большому счету, можно придумать еще множество примеров, связанных с делегированием полномочий и назначением нестандартных разрешений различным группам безопасности, и практически каждый пример можно по-своему назвать уникальным и интересным.
Запомните то, что вместо того, чтобы назначать всех администраторами, намного выгоднее будет, если вы будете просто назначать конкретной группе пользователей разрешения на выполнение определенных задач.
Напишите, пожалуйста, в комментариях к этой статье, использовали ли вы у себя делегирование и с какими примерами вы сталкивались и испытывали трудности.


[Полезные комментарии к]Полезные комментарии к



* Slipeer 27 марта 2013 в 18:44
Для полного раскрытия темы стоит упомянуть AdminSDHolder, который умеет «срывать» делегированные права и «ломать» их наследование.
А также про редактирование delegwiz.inf, которое может упростить выполнение типовых операций делегирования.

** hb860 27 марта 2013 в 19:02
В принципе, если данная тема будет интересна многим, можно будет сделать большой обучающий вебкаст, где я мог бы в более подробной форме показать, какие есть методы при использовании штатных средств, сторонних утилит, как можно скрыть от пользователей из конкретных групп определенные подразделения Active Directory и многое другое…

Шива

статьи по ISA - как резервная копия

Слишком часто прежние ресурсы вдруг оказываются не доступны, чтобы избежать этого в дальнейшем, решил сюда, в этот пост скопировать чужие статьи по Microsoft ISA. :)
--
[16 советов для развертывания правил доступа в Isa Server...] 16 советов для развертывания правил доступа в Isa Server...

Stone Опубликовал: Thu, Apr 3 2008 16:17
Спасибо Dave за перевод! Smile

1. Компьютер это вещь безмозглая. Вы должны проверять конфигурацию ISA сервера когда его поведение не соответствует вашим ожиданиям.

2. Разрешайте доступ выборочно. Предоставляйте доступ только для тех пользователей, внутренних источников, назначений и протоколов которые вам необходимы, и тщательно проверяйте каждое правило. Используйте запрещающие правила только в том случае, когда вы не можете проконтролировать доступ разрешающими правилами.

3. Запрещающее правило должно идти по списку раньше разрешающего правила когда они применяются к одним и тем же элементам политики как, например, пользователи или айпишники.

4. Когда вам необходимо использовать запрещающее правило явно, как например запретное правило для какого-то определенного юзера или чьего-то айпишника, то оно должно быть обработано первым.

5. Располагайте правила, которые будут обрабатываться чаще других вначале списка если это не повлияет на эффективность вашей firewall-политики. Это правила, которые имеют большую вероятность соответствия к срабатыванию, как например правила, которые прнименяются к "Всем пользователям" или "Всем аутентифицированным пользователям". Это дает возможность ISA серверу обрабатывать правила более эффективно.

6. Сделайте вашу firewall-политику как можно проще.

7. Никогда не используйте правило "Allow all To all", т.к. в этом случае ISA сервер теряет контроль доступа.

8. Не создавайте правил, которые дублируют правила системной политики.

9. Помните, что каждое правило обрабатывается независимо. Хотя правила и обрабатываются по порядку, каждое обрабатывается само по себе (отдельно) когда firewall идет по списку.

10. Никогда не давайте доступа "Для всех" к localhost. Внутренняя сеть также должна рассматриваться со стороны недоверия.

11. SecureNAT-клиенты не могут быть аутентифицированы, поэтому используйте Web proxy клиентов и Firewall-клиентов, когда необходимо аутентифицировать пользователей.

12. Если есть возможность, используйте правила, основанные на IP-адресах, а не на пользователях, потому что они обрабатываются быстрее.

13. Настраивайте клиентов как Web proxy клиентов когда вы в правилах используете Domain Name Sets или URL Sets. В противном случае, разрешающее правило доступа может быть проигнорировано из-за ошибки реверсного разрешения доменного имени и может стать причиной медленной работы.

14. Используйте фильтрацию приложений (application filtering) (таких как HTTP filter) только когда это действительно необходимо. Использование фильтров может повлиять на производительность.

15. Помните, что последним правилом в списке firewall-политики является правило "Deny All".

16. Ну и напоследок, тестируйте вашу политику сначала в "песочнице", прежде чем запускать ее в реальное использование.

Спасибо за помощь моим наставникам по ISA Server: Thomas Shinder и Ronald Beekelaar.

С Уважением, Stone

[Запрет доступа к ресурсам с помощью Site and Content Rules] Запрет доступа к ресурсам с помощью Site and Content Rules
Dave Опубликовал: Wed, Feb 16 2005 15:02
http://www.isaserver.org/tutorials
Denying_access_to_a_specific_webpages_using_Site_and_Content_rules.html

Запрет доступа к определенным Web-страницам (ну, например ко всеми любимой порнухе) с использованием Site and Content rules.

Это руководство покажет вам, как это делается с помощью Site and content rules.

Когда юзера пытаются, пытаются, пытаются куда-то залезть через ISA Server, то он (ISA) сначала проверяет, проверяет, и еще раз проверяет - а не находится ли данное содержимое в Site and Content Rules определенных специально для запрета доступа к этому содержимому (или сайту). Запросы также дозволены если (Site And Content)-правило позволяет клиенту интернет-доступ используя протокол, определенный в правиле.

Перед тем, как вы сможете настроить какое-либо (Site And Content)-правило, которое запрещает доступ к порнухе, должно быть создано и настроено Destination Set.

Destination Set. Им может быть имя компьютера, имя домена, Web-сайта, IP-адрес или диапазон IP-адресов, которое может содержать или включать пути. Правила могут быть применены к Destination Set, вот почему мы и будем их использовать !

Создание Destination Set для использования его в дальнейшем в Site and Content rule.


Кликните последовательно на:




<Пояснение>: Это имя вашего Destination Set .
Нажмите кнопку Add...
[pagebreak]



<Пояснение>: Это URL, доступ к которому вы хотите запретить всем остальным.
Теперь кликните ОК.

Ишшо раз кликните ОК.
Наш Destination Set создан !
Создание Site And Content rule используя Destination Set для запрета доступа.



Искренне надеемся, что вам не составит труда найти где находится Site And Content Rules (подсказочка: загляните в Access Policy).



Правой кнопкой кликните Site And Content Rules, затем кликните New, затем кликните Rule.



Напишите (или напечатайте) имя правила (которое мы сейчас и пытаемся создать) в специально отведенном для этого месте (называется поле для ввода). Желательно, чтобы введенное имя имело хоть какой-нибудь смысл по поводу содержимого, потому что у вас скорее всего будет несколько, или даже много правил. И чтоб в них не заблудиться....



<Пояснение 1>: Поставьте тут галочку для переадресации на другой URL. И не забудь-те это оформить в виде http://........ (вместо многоточия должен быть адрес)
<Пояснение 2>: Если URL запрещен то юзера выбросит на эту страницу.
Жмите Next.



Тут выбираем КАК мы будем запрещать доступ.
В нашем случае это первый (т.е. верхний вариант: Deny access based on destination)
Опять жмем Next.



В этом окне выбираем Specified destination set.



И из Name выбираем ИМЯ недавно созданного нами Destination Set.



И снова жмем Next !



В появившемся окне осталось обнаружить и нажать кнопку Finish (Финиш).

Теперь у нас есть созданное (site and content)-правило на основе нашего (ну, или вашего) Destination Set, которое запретит доступ к www.domainx.com

Подведем итоги.
В этом руководстве мы показали вам как создать Destination Set. Destination Set это логическое группирование имен компьютеров, имен доменов, Web-сайтов, IP-адресов или диапазонов IP-адресов, которые могут включать или сожержать пути. Потом мы использовали Destination Sets в нашем site and content rule, чтобы заблокировать доступ юзверей к определенному Web-сайту. Причина создания destination set в том, что когда мы создаем некое правило, то мы можем в него включить этот самый destination set. Это будет особенно полезно для вас или вашей конторы, когда вы можете запретить доступ к ососбено часто посещаемым сайтам, или к тем сайтам, посещение которых создает большой трафик. :)
Автор: Ricky M. Magalhaes

Перевод: Dave
дракоша

Exchange 2013, проблемы с почтой

Более информативная группа в Facebook по Exchange Server RU

У нас, проблема схожая с описанной от 2017-06-07 то же имеет место быть, вот только симптомы другие и проявляется она не постоянно, а лишь при обновлении системы.
Прямо сейчас времени на это (подробное, вдумчивое, изучение) нет((
Потому, оставляю себе ряд любопытных упоминаний - дабы потом не метаться :)

[себе, в качестве напоминания]

Советы, заслуживающие углубленного изучения:
1. Евгений Вовней BackPressure в Exchange отключите сначала, чтобы остановок почты не было. Потом настройте все нормально. >>> http://exchangeserverpro.com/exchange-transport-server-back-pressure/

[перевод текста с помощью bing]
Microsoft Exchange Transport Service Resource Monitoring
Мониторинг ресурсов службы транспорта Microsoft Exchange

Давление сзади (Back pressure) — это имя условия, в котором транспортный сервер пограничного транспортного сервера или концентратора находится в перегруженном состоянии и активно отказывается от некоторых или всех последующих попыток подключения из других систем.

Перегруженное состояние основано на серии метрик использования ресурсов:

- Освободите место на диске, где хранится база данных и журналы очереди сообщений
Free disk space on the drive(s) that store
- Незафиксированные транзакции базы данных очереди в памяти
Uncommitted queue database transactions in memory
- Использование памяти процессом UREdgeTransport.exe (служба транспорта Microsoft Exchange)
Memory utilization by the EdgeTransport.exe process
- Общее использование памяти для сервера
Overall memory utilization for the server

Каждая из этих метрик измеряется по отдельности, и по отдельности каждый из них способен заставить сервер перейти в состояние заднего давления. Есть два разных уровня давления сзади. а также условие, в котором не происходит чрезмерного использования, так что в общей сложности существует три условия использования ресурсов, в которых могут находиться серверы на границе или на транспортном сервере-концентраторе:

Normal – все хорошо, и сервер выполняет свою роль в соответствии с преднамеренными (предполагая, что вы не изменили настройки давления на заднее давление, чтобы скрыть реальную проблему – более поздние)
Medium — ресурс умеренно используется, и сервер начинает ограничивать некоторые типы подключений. Обычно внутренний поток электронной почты остается функциональным, а электронная почта от внешних или необменных источников будет отклонена.
High — ресурс очень сильно используется. Сервер прекращает принимать новые подключения.

Для метрик места на диске состояние заднего давления приводит к отклонению сообщений. Однако для метрик использования памяти, прежде чем отклонить подключения, сервер сначала примет действия, чтобы попытаться освободить условия.

Например, сервер выполняет сборку мусора (возмещает память от неиспользуемых объектов) или очищает кэш DNS сервера.

Если после определенного числа интервалов опроса (которые различаются в зависимости от метрики) использование все еще выше порогового значения, сервер начнет отклонять новые подключения, как это происходит с использованием места на диске.

В конечном счете, проблемы, которые вы действительно заметите, являются задержками или полным отсутствием доставки сообщений.


2. Aleks Marfunenkov Есть ли какие ошибки с MSExchangeMailSubmission ?
Если да, то попробуйте отменить лимиты на коннекторе в интернет:
set-ReceiveConnector -Identity INTERNET -MaxInboundConnection Unlimited
set-ReceiveConnector -Identity INTERNET -MaxInboundConnectionPerSource Unlimited
set-ReceiveConnector -Identity INTERNET -MaxInboundConnectionPercentagePerSource Unlimited

--
к:
https://technet.microsoft.com/ru-ru/library/bb125140(v=exchg.160).aspx
-- http://system-administrators.info/?p=4099 :
В Exchange Management Shell есть крайне полезный командлет Set-ReceiveConnector, который используется для модификации настрок соединителя получения (Receive Connector) на сервере с ролью Hub Transport. В частности с помощью данного командлета можно изменять значение RemoteIPRanges, которое представляет собой список IP адресов, которым разрешено использовать соединитель получения для отправки почты.

Практически в любой организации, использующей Exchange, присутствует как минимум один соединитель получения. Со временем в настройках соединителя появится длинный список разрешенных адресов. Когда вам необходимо добавить ещё один дополнительный адрес, то выглядит логичным использовать командлет Set-ReceiveConnector. Однако при использовании данного командлета вы перезапишите новым IP адресом уже прописанные в коннекторе.

Шива

Настройка автоответа в Microsoft Exchange 2012

Строго говоря существуют ;) как минимум две возможности настройки автоответа в Microsoft Exchange 2012:
Collapse )
[Через консоль Outlook Web App] Через консоль Outlook Web App

1. Открыть в браузере https://exchange_servername/owa/
2. Имя пользователя вводится в формате полного доменного имени (если пользователь вне домена) домен\login
где login – имя вашей учетной записи входа в Windows

3. Пароль: пароль Вашего входа в Windows
4. При первом входе в почтовый ящик через веб-консоль (Outlook Web App) Вам будет предложено выбрать язык консоли и (Ваш) часовой пояс. Изменить эти настройки можно и позже. Нажать «Сохранить»
5. Выбрать в главном меню значок справа от фамилии пользователя почтового ящика и выбрать в нем пункт «Настройка автоматических ответов».
Выбрать опцию «(х) Отправлять автоматические ответы» и «[x] Отправлять ответы только в следующий период времени» - по умолчаниям исходным днем считается текущие день и время. Если Вам нужно задать другой день и час – задайте его)
Аналогично установить в отношении конечного дня и часа отправки уведомлений.
7. Введите текст автоответа (в произвольной форме).
Пожалуйста, обратите внимание!
По умолчаниям ответы отправляются только респондентам за пределами данного почтового узла. Если Вы желаете, чтобы автоответ посылался всем – снимите «галку» с опции ниже текста автоответа « [ ] Отправлять автоматические ответы отправителям за пределами организации»
8. Нажмите кнопку ниже «Сохранить»
9. Кликнуть по имени пользователя почтового ящика и выбрать из выпадающего меню «Выход»
--
vbeelokurskiy

Сетевой и локальный доступ к ресурсу. ИМHО, принципы правильной организации. Часть 1

Попросили меня изложить собственные рассуждения при назначении сетевого доменного и локального доступа к ресурсу. И я подумал, отчего бы и не здесь? Не стану упоминать реальных имен (доменов) и получится в общем и целом как бы ;)) усреднено для любой сети в среде AD. ))
Если Вы не согласны с мною изложенным (или у Вас есть уточнения, дополнения) - поясните свое мнение в комментарии к.
Collapse )
sa_backup

Узелки на память

Не пытайтесь гадать - это мне,
напоминалка при случае:

[планы , пассворды и прочая галиматья]

1. Пароль на альтернативное хранилище - тот же же что и локальный вход в компьютер (учетная запись)
2. Пароль к тв: я#мл.пл.мн#др-их-му
3. пароль к консоли: Со#тел
4. пароль к фото.я : я#мл.пл.мн#др-их-му (полн.об)

к осмотру 2016-06-15, серверная 519:
- оранжевые слева направо ist 8-3-5(два)
- зеленные в ЦОД
- малиновые - их сеть





[P.S.S.] P.S.S. Пройдясь по записям тэга nb! испытал почти ностальгически-восторженные чувства о былом величии Microsoft Ukraine = проведение бесплатных Полигонов по новым продуктам в УЦ "Сетевые технологии".
Увы, давно Майкрософт не тратит свои средства на подобные мероприятия. А - жаль))
Не так-то просто по нынешним временам поддерживать свой уровень бюджетным ИТ; деньги у государства на переподготовку своих работников катастрофически нет, а заплатить по от 5 тыс грн (~ 200 $) за 5-дневнй курс лично - даже не смешно. Учитывая, что нужен не один курс для базовых комплексных знаний.

"Вот вам подчиненные - Интернет, и, будьте добры - быть готовыми "поднять" любую трудную задачу сопровождения" (с)

Зарплаты рядовых госслужащих (ИТ) в регионах, позволяющие легко проплатить подобный, нужный (им самим) курс - и того меньше ж:(

--
Узелки на память - 2

Update 2016-07
FCM-RU: Ubuntu начинает... и выигрывает?

Update, 2016.08
Настройка автоответа в Microsoft Exchange 2012
Сетевой и локальный доступ к ресурсу. ИМHО, принципы правильной организации. Часть 1

Update, 2016.09
Алгоритм настройки софта EUInstall

Update 2017.03
Службе WS-Management не удается обработать запрос. Квота загрузки для системы, составляющая 1000 запросов в 2 сек., была превышена. Отправляйте последующие запросы с меньшей частотой или увеличьте квоту для системы. Последующие запросы от этого пользователя не будут рассматриваться не менее 1436655488 миллисекунд.

Решение:
CMD От имени Администратора
IISRESET


Update, 2017.11
Service -> Squid Proxy Server -> [ACLs] -> Banned Hosts Addresses
sa_backup

Чужой опыт. "Тихое" подключение к пользователю внутри ActivDirectory

Суть.
Подключение к удаленному рабочему окну пользователя, при этом текущий сеанс связи у пользователя не обрывается. То есть режим, аналогичный подключению с помощью TeamViewer, но внутри Activ Directory (Windows Server 2012)

Пока конспект. Переосмысливать буду на следующей неделе.
В данный момент голова УЖЕ "не варит" ж:(((

[конспект присланного чужого опыта (КАК)]
From: Мін
Sent: Friday, June 19, 2015 3:10 PM
Subject: "Тихое" подключение к пользователю

Дополнительно кидаю мою переписку с человеком, который мне это посоветовал.


---
1.
Mstsc /shadow:1 /v:[HOST NAME] /control - удаленное подключение в текущую сессию пользователя
pc-support тут - имя компа
Permissions

In order to be able to perform Shadowing you need permissions. If no permissions are in place it will result in the error below.

image

Being local administrator on the destination server obviously works. However, to allow non-administrators permissions to shadow you can use the following command which
is also applicable for Windows Server 2008 R2 (Credits for this command go to fellow RDS MVP TP who posted this on TechNet Forum.

wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName="RDP-Tcp") CALL AddAccount "domain\group",2

Than concludes this blog post on the reintroduction or Remote Control (shadowing) in Windows Server 2012 R2.

http://blogs.technet.com/b/askperf/archive/2013/10/22/windows-8-1-windows-server-2012-r2-rds-shadowing-is-back.aspx

http://ryanmangansitblog.com/2014/01/23/shadowing-rds-2012-sessions/

локальные политики, "Full control without user`s permission"

-- 2. (переписка по поводу) --
[18.06.2015 11:23:15] Anton "Flar" Chernyshev: есишо дам скрипт в екзешнике тупо вызывающий окно ввода имени компа
[18.06.2015 11:23:26] Anton "Flar" Chernyshev: но в АД политику надо предварительно настроить разлить и применить
[18.06.2015 11:25:17] Evgeniy "Katarn" Minovskiy: Намного лучше самому разобраться и запустить, чем готовое.
[18.06.2015 11:28:08] Anton "Flar" Chernyshev: ну ты с АД лучше разберись.
[18.06.2015 11:28:16] Evgeniy "Katarn" Minovskiy: ех, не дадут мне внутринную переписку саппорта циклума почитать :)
[18.06.2015 11:28:31] Anton "Flar" Chernyshev: политика простая, изменяет одну настройку локальной политике
[18.06.2015 11:29:06] Evgeniy "Katarn" Minovskiy: НО. Если я на компе домена юзаю права учетки доменного админа, нужна ли мне политика?
[18.06.2015 11:29:22] Anton "Flar" Chernyshev: ты читал что написано в описании политики?
[18.06.2015 11:29:27] Anton "Flar" Chernyshev: эта фича по дефолту ОТКЛЮЧЕНА
[18.06.2015 11:29:41] Anton "Flar" Chernyshev: ты НЕ МОЖЕШЬ (кем бы ни бы) вламыватся в сессию текущего пользователя
[18.06.2015 11:30:01] Anton "Flar" Chernyshev: и надо её включит либо с разрешением подключения от юзера либо без разрешения
[18.06.2015 11:30:13] Anton "Flar" Chernyshev: проще всего включить политикой


Тох, сорри. Я не совсем понял, этот шадоувинг работает при тонких клиентах или конектиться к сессии юзверя домена (пофиг какой клиент, в т.ч. обычный пк)? Не хочу делать в тихаря, а представить начальству (фича то полезная).
[18.06.2015 12:00:14] Anton "Flar" Chernyshev: ну смари
[18.06.2015 12:00:17] Anton "Flar" Chernyshev: стоят два компа.
[18.06.2015 12:00:23] Anton "Flar" Chernyshev: оба в домене
[18.06.2015 12:00:35] Anton "Flar" Chernyshev: на одном из них залогинен ты, на втором вася пупкин
[18.06.2015 12:00:59] Anton "Flar" Chernyshev: ты находишься в группе, которая по правилам домена имеет права локального админа на всех компах
[18.06.2015 12:01:22] Anton "Flar" Chernyshev: вводишь в "выполнить" ту строчку
[18.06.2015 12:01:38] Anton "Flar" Chernyshev: у Васи вылазит окошко "К вам подключаются. Разрешить?"
"да", "нет"
[18.06.2015 12:01:54] Evgeniy "Katarn" Minovskiy: или через домен контроллер подключиться, так?
[18.06.2015 12:02:05] Anton "Flar" Chernyshev: что значит "через домен контроллер подключитсья"?
[18.06.2015 12:02:19] Evgeniy "Katarn" Minovskiy: http://blogs.technet.com/cfs-file.ashx/__key/communityserver-blogs-components-weblogfiles/00-00-00-54-33-metablogapi/2480.clip_5F00_image002_5F00_thumb_5F00_496E1529.jpg
[18.06.2015 12:02:32] Anton "Flar" Chernyshev: вопервых, это 12я серверная
[18.06.2015 12:02:42] Evgeniy "Katarn" Minovskiy: у меня доменника 2 2008 и 2012
[18.06.2015 12:02:50] Anton "Flar" Chernyshev: во вторых, это работает, если сервак - терминальный сервак ,и на нём сидят юзеры.
[18.06.2015 12:03:01] Evgeniy "Katarn" Minovskiy: угу...теперь понял
[18.06.2015 12:03:09] Anton "Flar" Chernyshev: и ты зайдя на сам сервак по РДП можешь "впихнуть себя" вторым управляющим(!) лицом в чужой сеанс
[18.06.2015 12:03:15] Anton "Flar" Chernyshev: но тебе я думаю это не надо
[18.06.2015 12:03:27] Anton "Flar" Chernyshev: тебе надо тупо подключатся по имени компа к текущей сесси
[18.06.2015 12:04:10] Evgeniy "Katarn" Minovskiy: типа так
Mstsc /shadow:1 /v:ws1211 /control
[18.06.2015 12:04:13] Evgeniy "Katarn" Minovskiy: ?
[18.06.2015 12:05:36] Evgeniy "Katarn" Minovskiy: кажись понял. Буду пробывать. Спасибо, Тоха.
[18.06.2015 12:06:41] Anton "Flar" Chernyshev: да, так.
[18.06.2015 12:06:56] Anton "Flar" Chernyshev: если на целевом компе разрешено ваще обрабатывать такие запросы.
[18.06.2015 12:32:07] Evgeniy "Katarn" Minovskiy: хм. Политику сделал, обновил на серваке и на своем компе + на компе у коллеги. "Отказано в доступе". В т.ч. с доменника, в т.ч. от имени доменного админа
[18.06.2015 12:32:29] Anton "Flar" Chernyshev: ты уверен что правильно ее сконфигурировал?
[18.06.2015 12:32:44] Evgeniy "Katarn" Minovskiy: пытался подключаться этой строкой

Mstsc /shadow:1 /v: ws1211 /control
[18.06.2015 12:33:00] Anton "Flar" Chernyshev: [18 червня 2015 р. 12:32] Evgeniy "Katarn" Minovskiy:

<<< /v: ws1211пробел лишний
[18.06.2015 12:33:12] Evgeniy "Katarn" Minovskiy: я изменил/добавил ровно вот это
http://ryanmangansitblog.files.wordpress.com/2014/01/shadowing-gp-setting-required-computer-policy.png?w=1024&h=944
[18.06.2015 12:33:16] Evgeniy "Katarn" Minovskiy: не лишний
[18.06.2015 12:33:23] Evgeniy "Katarn" Minovskiy: без пробела "не верное имя компьютера"
[18.06.2015 12:33:43] Anton "Flar" Chernyshev: хм. у меня без пробела.
[18.06.2015 12:33:51] Anton "Flar" Chernyshev: он пингуется, этот комп?
[18.06.2015 12:34:14] Anton "Flar" Chernyshev: как обновил политику у обоих?
[18.06.2015 12:34:24] Anton "Flar" Chernyshev: gpupdate /force, дождаться выполнения и ребут?
[18.06.2015 12:35:16] Evgeniy "Katarn" Minovskiy: без ребута
[18.06.2015 12:35:27] Anton "Flar" Chernyshev: ребутни.
[18.06.2015 12:35:34] Evgeniy "Katarn" Minovskiy: + у меня доменный юзверь тут...ща
[18.06.2015 12:35:41] Anton "Flar" Chernyshev: политика ГПО что делает - изменяет запись в реестре для локальной
[18.06.2015 12:35:54] Anton "Flar" Chernyshev: локальная применяется когда? либо при старте ядра либо при логине юзера
[18.06.2015 12:35:57] Anton "Flar" Chernyshev: в зависимости от сферы
[18.06.2015 12:36:47] Anton "Flar" Chernyshev: доменный юзер - ок
[18.06.2015 12:36:49] Anton "Flar" Chernyshev: так и надо
[18.06.2015 12:37:06] Anton "Flar" Chernyshev: просто твой доменный юзер должен иметь права локлаьного админа на удаленном компе, для надежности
[18.06.2015 12:40:30] Evgeniy "Katarn" Minovskiy: имеет. Всеравно отказано в доступе...так, мб я где-то лажанул.
Что бы перепроверить себя - что бы политика работала ее нужно связать с доменом, так?
[18.06.2015 12:41:10] Anton "Flar" Chernyshev: с объектом
[18.06.2015 12:42:20] Evgeniy "Katarn" Minovskiy: ну да "Связать существующий объект групповой политики..."




Жека
mstsc.exe /? имеется опция /shadow ?
да звучит как /shadow:
[18.06.2015 17:22:29] Anton "Flar" Chernyshev: значит ок.
[18.06.2015 17:22:38] Anton "Flar" Chernyshev: твой доменный юзер точно локальный админ на соседней машине?
[18.06.2015 17:23:10] Evgeniy "Katarn" Minovskiy: условие именно такое, нельзя заюзать доменного админа?
[18.06.2015 17:23:31 | Змінено в 17:23:37] Evgeniy "Katarn" Minovskiy: ибо в таком случае нужно команду выполнять от имени "универсального" локального админа
[18.06.2015 17:23:57] Anton "Flar" Chernyshev: ты выполняешь команду от своего юзера
[18.06.2015 17:24:09] Anton "Flar" Chernyshev: так что лучше чтобы у твоего доменного юзера были права на той локальной машине
[18.06.2015 17:24:44] Evgeniy "Katarn" Minovskiy: ну мой юзер в группе доменных админов...завтра попробую сделать от имени локал админа, глянем.
[18.06.2015 17:25:53] Anton "Flar" Chernyshev: угу. тупо в локальную группу "администраторы" добавляй учетку свою
[18.06.2015 17:37:02] Evgeniy "Katarn" Minovskiy: политикой добавить на все компы меня в локального админа?....а можно финт ушами? Политикой добавить группу доменных админов в группу локальных? :D
[18.06.2015 17:37:59] Anton "Flar" Chernyshev: я бы не советовал. не секурно.
[18.06.2015 17:38:10] Anton "Flar" Chernyshev: отдельную группу делай, "locadmin" например
[18.06.2015 17:38:15] Anton "Flar" Chernyshev: в нее закинь всех своих коллег
[18.06.2015 17:38:23] Anton "Flar" Chernyshev: и уже её - в локальные администраторы на компах


***
Если у кого читающих сей пост есть что добавить - в комментах, пожалуйста линки и/или советы ))

Update 2015-06-24
http://habrahabr.ru/post/147273/
sa_backup

NB! Почта на MS Exchange 2000 внутри, без отправки в Интернет

Очередной узелок на память - не сразу и вспомнишь потом КАК.
Задача:
На боевом почтовом сервере в рамках одного домена сделать внутреннюю почту, без права данному пользователю Exchange отправки сообщений во внешний мир.


Collapse )