ADG Оставить заявку
Блог Системное администрирование 4 мин чтения

Подняли функциональный уровень леса AD до Windows Server 2008: открылись fine-grained password policies

Вывели последний DC на 2003, подняли functional level леса до Windows Server 2008. Первое, что включили - отдельная политика паролей для администраторов.

Контекст момента

Windows Server 2008 Active Directory вводит новые функциональные уровни домена и леса с улучшенной репликацией и политиками паролей

У клиента в инфраструктуре последние несколько месяцев шла планомерная замена контроллеров домена: старые машины на Windows Server 2003 уходили в утиль по одному, на смену вставали новые на 2008. На прошлой неделе вывели последний DC на 2003 - и сразу встал вопрос, который давно висел в воздухе: поднять функциональный уровень домена и леса.

Сделали. Разбираем, что это дало и на что обратили внимание.

Почему функциональный уровень вообще важен

Active Directory намеренно ограничивает возможности в зависимости от того, какие версии Windows Server присутствуют в домене и лесу. Пока хоть один DC работает на старой ОС - лес живёт в «режме совместимости» и новые функции недоступны. Это защита от ситуации, когда один контроллер не умеет реплицировать что-то, что другой уже записал.

Поднять уровень домена можно, когда все DC в домене - нужной версии или выше. Уровень леса поднимается, когда все домены в лесу достигли нужного уровня. Операция необратима - откатиться назад нельзя, только если есть свежий бэкап состояния системы или AD Recycle Bin (но это уже следующий уровень, 2008 R2).

Сам процесс занял минуты: Active Directory Domains and Trusts, правой кнопкой по лесу - Raise Forest Functional Level. Консоль предупреждает, что операция необратима, предлагает подтвердить. Подтвердили.

Что открылось

Главное, ради чего и торопились - fine-grained password policies, они же PSO (Password Settings Objects). До 2008-го уровня домена политика паролей в AD была одна на весь домен, без исключений. Хочешь разные требования для разных групп пользователей - либо делай отдельные домены (дорого и неудобно), либо мирись с единой политикой.

На практике это порождало неудобный компромисс: либо жёсткие требования для всех (пользователи недовольны, звонят в helpdesk), либо мягкие требования для всех (безопасники недовольны, и правильно делают).

С fine-grained password policies создаём PSO-объекты и привязываем их к группам или конкретным учётным записям. Приоритет определяется полем msDS-PasswordSettingsPrecedence - меньше число, выше приоритет.

Первое, что настроили:

  • Группа Domain Admins. Пароль от 14 символов, история 24, максимальный срок 60 дней, блокировка после 5 попыток на 30 минут. Строже стандартного.
  • Сервисные учётки. Отдельный PSO - длинные пароли, без срока истечения (менять вручную по процедуре), блокировка отключена чтобы не класть сервисы случайным брутом.
  • Остальные пользователи - стандартная политика домена, как была.

Управляется через ADSI Edit или PowerShell - графический инструмент в стандартном наборе 2008 это не умеет, нужно лезть в низкоуровневый редактор атрибутов. Неудобно, но терпимо. Скрипты на PowerShell для создания PSO уже написали, чтобы не вспоминать порядок атрибутов каждый раз.

Репликация и DFS-R

Второе заметное изменение: при 2008-уровне домена SYSVOL реплицируется через DFS-R вместо старого FRS (File Replication Service). FRS - технология середины 90-х, с известными проблемами при конфликтах и больших файлах. DFS-R работает на уровне блоков, реплицирует только дельты изменений.

Переход на DFS-R происходит не автоматически при поднятии уровня - нужно запустить миграцию отдельно через dfsrmig. Процесс поэтапный: PREPARED, REDIRECTED, ELIMINATED. На каждом этапе нужно убедиться, что все DC синхронизировались, и только потом переходить дальше. У клиента DCs в двух офисах, канал между ними не толстый - прошли аккуратно, с паузами между этапами.

Что не трогали

AD Recycle Bin - доступна начиная с 2008 R2 уровня, который требует всех DC на R2. Пока не все DC обновлены до R2, так что это отдельная история. Recycle Bin полезная штука - восстановление случайно удалённых объектов без восстановления из бэкапа - но не сейчас.

Практический итог

Операция прошла штатно, без инцидентов. Пользователи ничего не заметили - и это хороший признак. Fine-grained policies для сопровождения инфраструктуры закрывают давнюю боль: больше не нужно объяснять безопаснику, почему у рядового сотрудника и у доменного администратора одинаковые требования к паролю.

Единственный нюанс: ADSI Edit для работы с PSO - инструмент для терпеливых. Пара PowerShell-функций на обёртку сильно упрощает жизнь. Напишем отдельно, когда наберётся достаточно опыта с эксплуатацией.

Контакт

Нужна такая же инженерная работа?

Опишите задачу и контекст. Ответим в течение рабочего дня, при необходимости подпишем NDA.