Синхронизация каталогов windows 2012

Данная глава руководства администратора рассказывает о возможности импорта объектов ARTA Synergy из сторонних каталогов посредством Active Directory . В ней детально описано как настроить и эксплуатировать LDAP а рамках ARTA Synergy .

Что такое LDAP

LDAP — это аббревиатура от Lightweight Directory Access Protocol . Как следует из названия, это облегчённый протокол доступа к службам каталогов, предназначенный для доступа к службам каталогов на основе X.500 . LDAP работает поверх TCP/IP или других ориентированных на соединение сетевых протоколов. LDAP стандартизирован в качестве протокола IETF .

Информационная модель LDAP основана на записях ( entry ). Запись — это коллекция атрибутов ( attribute ), обладающая уникальным именем ( Distinguished Name, DN ). DN глобально-уникально для всего каталога и служит для однозначного указания на запись. Каждый атрибут записи имеет свой тип ( type ) и одно или несколько значений ( value ). Обычно типы — это мнемонические строки, в которых отражено назначение атрибута, например cn — для общепринятого имени ( common name ), или mail — для адреса электронной почты. Синтаксис значений зависит от типа атрибута.

Записи каталога LDAP выстраиваются в виде иерархической древовидной структуры. Традиционно, эта структура отражает географическое и/или организационное устройство хранимых данных. В вершине дерева располагаются записи, представляющие собой страны. Под ними располагаются записи, представляющие области стран и организации. Еще ниже располагаются записи, отражающие подразделения организаций, людей, принтеры, документы, или просто всё то, что Вы захотите включить в каталог.

Кроме того, LDAP , посредством специального атрибута objectClass , позволяет контролировать, какие атрибуты обязательны и какие допустимы в той или иной записи. Значения атрибута objectClass определяются правилами схемы ( schema ), которым должны подчиняться записи.

В LDAP определены операции для опроса и обновления каталога. К числу последних относятся операции добавления и удаления записи из каталога, изменения существующей записи и изменения названия записи. Однако, большую часть времени LDAP используется для поиска информации в каталоге. Операции поиска LDAP позволяют производить поиск записей в определённой части каталога по различным критериям, заданным поисковыми фильтрами. У каждой записи, найденной в соответствии с критериями, может быть запрошена информация, содержащаяся в её атрибутах.

LDAP и Arta Synergy

При синхронизации LDAP и Arta Synergy можно выделить некоторые особенности:

Синхронизация LDAP и Arta Synergy осуществима из LDAP каталога в ARTA Synergy , причем за тот период, который указан в конфигурационном файле.

Синхронизация возможна сразу с несколькими каталогами.

Списки синхронизируемых пользователей и групп определяются фильтрами, указанными в конфигурационном файле.

Ключ соответствия (поле, по которому будет определяться связка « Объект каталога LDAP <-> Пользователь Synergy » ) настраиваемый, например, можно использовать для этого ИИН.

Пароли пользователей не синхронизируются, авторизация происходит непосредственно на LDAP каталоге посредством Simple Bind .

Помимо стандартных полей карточки пользователя (ФИО, доступ в систему и т.п.) можно синхронизировать произвольные поля — с добавлением в карточку пользователя на формах.

Установка и настройка Active Directory

Active Directory — LDAP-совместимая реализация службы каталогов корпорации Microsoft для операционных систем семейства Windows Server. Позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды, разворачивать программное обеспечение на множестве компьютеров через групповые политики или посредством System Center Configuration Manager, устанавливать обновления операционной системы, прикладного и серверного программного обеспечения на всех компьютерах в сети, используя Службу обновления Windows Server.

Подробно рассмотрим установку и настройку Active Directory в ОС Windows Server 2012 R2.

Перейдите в Server Manager и нажмите на Add roles and features .

Откроется мастер установки ролей и компонентов.

В шаге Installation Type выберите пункт Role-based of feature-based installation .

В шаге Server Selection выберите пункт сервер, для которого будет установлена роль.

Читайте так же:

Как ускорить синхронизацию outlook

В шаге Server Roles выберите пункт Active Directory Domain Services .

Подтвердите добавление компонентов роли, нажав на кнопку Add Features .

Пропустите шаг Features и подтвердите установку роли Active Directory.

После успешной установки роли мастер установки отобразит окно подтверждения.

После успешной установки необходимо настроить Active Directory. Откройте Server Manager и нажмите на пиктограмму флага. В открывшемся выпадающем списке нажмите на Promote this server to a domain controller .

В открывшемся мастере настройки Active Directory добавьте новый лес. Для этого в шаге Deployment Configuration выберите пункт Add a new forest и укажите название корневого домена.

В шаге Domain Controller Service задайте пароль для режима восстановления служб каталогов.

В шаге Additional Options измените имя домена NetBIOS.

В шаге Paths укажите папки базы данных, файлов журнала и SVSVOL.

В шаге Review Options отобразится список всех настраиваемых опций.

В шаге Prerequisites Check подтвердите настройку выбранных опций.

После успешной настройки компьютер будет перезагружен автоматически.

Создание пользователей в Active Directory

После успешных установки и настройки Active Directory добавим пользователей для доступа к ARTA Synergy.

Откройте Active Directory Users and Computers .

Выделите ноду Вашего домена (в примере synergy.tm ) и нажмите кнопку добавления подразделения.

Введите название будущего подразделения.

Выбрав новое созданное подразделение, нажмите на кнопку создания пользователей.

Укажите имя, фамилию и логин будущего пользователя.

Задайте пароль и включите флаг, отвечающий за устаревание пароля (если включен — пароль никогда не устаревает).

Подтвердите создание нового пользователя.

Повторив пп. 4-7 создайте требуемых пользователей.

Теперь необходимо выдать этим пользователям доступ в систему ARTA Synergy. Для этого нажмите на кнопку создания новых групп.

Укажите название будущей группы. В данную группу будет входить Администратор Active Directory.

Нажмите на кнопку Add .

Введите имя пользователя и нажмите на кнопку Check Names .

Мастер автоматически дополнит значение учетной записи соответствующего пользователя.

Создайте еще одну группу для доступа всех пользователей к системе ARTA Synergy.

Повторив пп. 11-13 добавьте всех пользователей в группу доступа.

Работа с LDAP-каталогами

Для работы с LDAP -каталогами возможно использовать любой клиент с поддержкой LDAP -протокола. Одним их таких клиентов является JXplorer .

JXplorer — кроссплатформенный LDAP браузер и редактор с поддержкой безопасности (в том числе SSL , SASL и GSSAPI ), перевода на многие языки, онлайн-помощью, коммерческой поддержкой, пользовательскими формами и многими другими возможностями.

Соответствует общим стандартам клиентов LDAP , которые можно использовать для поиска, чтения и редактирования любого стандартного каталога LDAP или любой службы каталогов с LDAP или интерфейсом DSML .

Рассмотрим его функциональность на примере поиска пользователя в одном из каталогов.

Подключимся к серверу с данными Администратора:

Рисунок 6.17. Рисунок 1

В открывшейся закладке Explore отобразилось дерево со всеми объектами каталога, доступные авторизованному Администратору. При выборе объекта из навигатора в основной рабочей области отобразились все атрибуты данного объекта, а также их значения:

Рисунок 6.18. Рисунок 2

Примечание
Полный список возможных атрибутов представлен здесь

Вызовем окно поиска по каталогу — Search -> Search Dialog . В открывшемся диалоге укажем базовый узел поиска, от которого он будет осуществляться, и сам фильтр:

Рисунок 6.19. Рисунок 3

Клиент автоматически перешел на вкладку Results с найденными результатами запроса:

Сбор данных

Общие ресурсы

В среде Active Directory часто используются сетевые папки и файловые серверы. Эти команды отобразят список общих ресурсов на локальном хосте, список сетевых компьютеров и список шар на удаленном компьютере:

Но что делать, если политика безопасности запрещает использовать сетевые команды? В этом случае нас выручит wmic . Список общих ресурсов на локальном хосте и список общих ресурсов на удаленном компьютере можно посмотреть с помощью команд

Полезный инструмент для поиска данных — PowerView. Он автоматически обнаруживает сетевые ресурсы и файловые серверы с помощью команд Find-DomainShare и Get-DomainFileServer .

Читайте так же:

Xbox one не работает синхронизация

Кстати, PowerView встроен в фреймворк PowerShell Empire и представлен двумя модулями:

situational_awareness/network/powerview/share_finder ;
situational_awareness/network/powerview/get_fileserver .

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Добавление нового пользователя в Windows Server 2012 R2

Ниже будет подробно рассказано о том, как добавить нового пользователя на локальный компьютер под управлением Microsoft Windows Server 2012 R2.

0. Оглавление

1. Добавление пользователя

Запускаем оснастку «Управление компьютером» (Computer Management). Сделать это можно кликнув правой кнопкой мыши по меню «Пуск» (Start) и выбрав в меню «Управление компьютером» (Computer Management).

Или же выполнив команду compmgmt.msc. (Нажать комбинацию клавиш Win + R, в окне «Выполнить» (Run) ввести команду в поле «Открыть» (Open) и нажать «ОК«)

В открывшемся окне раскрываем вкладку «Служебные программы» (System Tools), затем «Локальные пользователи» (Local Users and Groups) и выделив вкладку «Пользователи» (Users) выбираем «Новый пользователь…» (New User…) в меню «Действие» (Action).

Откроется окно создания нового пользователя (New User). Впишем имя пользователя (имя, которое будет использоваться для входа в систему) в графе «Пользователь» (User name), полное имя (будет показываться на экране приветствия) в поле «Полное имя» (Full name) и описание учетной записи в поле «Описание» (Description). Затем дважды введем пароль для создаваемого пользователя. По умолчанию пароль должен отвечать политики надежности паролей. О том как изменить данную политику читайте в статье Изменение политики паролей в Windows Server 2012 R2.

Рекомендую сразу записать введенный пароль в отведенное для хранение паролей место. Для этих целей удобно использовать специальные менеджеры паролей, например бесплатную программу KeePass.

Далее снимем флаг «Требовать смены пароля при следующем входе в систему» (User must change password at next logon) если требуется оставить введенный только что пароль. В противном случае пользователю придется сменить пароль при первом входе в систему.

Установим флаг «Запретить смену пароля пользователем» (User cannot change password) если хотим лишить пользователя данного права.

Установим флаг «Срок действия пароля не ограничен» (Password never expires) если нет необходимости в периодической смене паролей.

Флаг «Отключить учетную запись» (Account is disabled) отвечает за возможность входа пользователя в систему. Оставляем неизменным.

Нажимаем «Создать» (Create) чтобы создать нового пользователя системы.

2. Изменение настроек пользователя

Добавленного только что пользователя мы найдем в таблице пользователей системы на вкладке «Пользователи» (Users) оснастки «Управление компьютером» (Computer Management). Для того чтобы изменить настройки пользователя, необходимо в таблице кликнуть по нему правой кнопкой мыши и в контекстном меню выбрать пункт «Свойства» (Properties).

Откроется окно свойств выбранного пользователя. Пробежимся по наиболее часто используемым настройкам.

На вкладке «Общие» (General) можно изменить параметры, которые мы задавали при добавлении пользователя.

На вкладке «Членство в группах» (Member of) можно увидеть участником каких групп является данный пользователь. Кроме того, здесь можно добавить пользователя в группу или удалить его из выбранной группы.

Например, чтобы сделать пользователя администратором сервера, его необходимо добавить в группу «Администраторы» (Administrators). Для этого нажмем кнопку «Добавить…» (Add…), находящуюся под списком групп, в открывшемся окне выбора группы нажмем «Дополнительно…» (Advanced…) и затем кнопку «Поиск» (Find Now) в окне подбора групп. Выделим необходимую группу в таблице результатов поиска (в нашем случае это группа «Администраторы» (Administrators)) и завершим выбор нажав «ОК» во всех открытых окнах.

Читайте так же:

Как синхронизировать контакты на одном компьютере для iphone

На вкладке «Профиль» (Profile) можно задать путь к профилю пользователя (Profile Path), сценарий входа (Logon script), а также подключить сетевой диск, который будет автоматически подключаться при входе пользователя в систему. Для этого установим переключатель «Домашняя папка» (Home folder) в «Подключить:» (Connect:), выберем букву сетевого диска и укажем путь к ресурсу, где будут располагаться файлы. Это может быть локальный путь к папке или сетевой ресурс.

На вкладке «Среда» (Environment) возможно указать программу, которая будет запускаться автоматически при входе пользователя через службу удаленных рабочих столов. В этом режиме работы другие программы и рабочий стол пользователю будут недоступны.

Также здесь можно разрешить/запретить подключение дисков клиента при входе (Connect client drivers at logon), подключение принтеров клиента при входе (Connect client printers at logon) и переопределить основной принтер клиента (Default to main client printer) при работе через удаленных рабочий стол, установив/сняв соответствующие флаги на форме.

На вкладке «Сеансы» (Sessions) можно установить параметры тайм-аута и повторного подключения при работе через службу удаленных рабочих столов.

Вкладка «Удаленное управление» (Remote control) используется для настройки параметров удаленного управления сеансом пользователя при работе через службу удаленных рабочих столов.

Смотрите также:

Здесь будет рассказано как добавить нового пользователя в Windows Server 2008 R2. 0. Оглавление Создание нового пользователя Редактирование свойств пользователя 1. Создание нового пользователя Запускаем диспетчер сервера («Пуск» -…

Ниже приведена небольшая инструкция об изменении политики паролей в Microsoft Windows Server 2012 R2. По умолчанию политика паролей определена таким образом, что все пароли учетных записей пользователей должны удовлетворять следующим…

В данной статье я расскажу как добавить разрешающее правило в Брандмауэр Windows Server 2012 R2 (в Windows Server 2008 R2 действия аналогичны). Правило будем добавлять на примере работы сервера 1С:Предприятие…

IT Partner

Office 365 использует Windows Azure Active Directory (AD Azure) для управления пользовательскими учетными данными и хранения пользовательских профилей. Инструмент синхронизации каталогов (DirSync) предназначен для синхронизации профилей пользователей между локальными Active Directory и Azure AD в облаке. Это значит, что все профили пользователей из локальной инфраструктуры будут присутствовать в Office 365.

Синхронизация паролей при использовании DirSync

В новой версии DirSync доступна возможность синхронизации пароля пользователя между локальной и облачной инфраструктурой.

Варианты идентификации пользователей

SAAS приложения не установлены локально и у них нет доступа к локальным AD. Поэтому, SAAS приложения часто реализованы по методу непересекающейся идентичности. В результате, пользователи вынуждены будут использовать различные логины и пароли. Единый вход —важный шаг вперед в развитии облачных технологий. Единый вход определяется как способность двух провайдеров IDP к перекрестной идентификации, то есть пользователь, который вошел с использованием своих учетных данных в одно приложение, может без повторного использования логина и пароля войти в приложения второго провайдера. Такую совместимость называют Федерацией. Единый вход реализован на построении Федерации и обеспечивает максимальное удобство для пользователей, который могут использовать программное обеспечение без постоянного введения логина и пароля.

Читайте так же:

Синхронизация по второй шторке sony

Синхронизация директорий при гибридном сценарии Office 365 не обеспечивала Единого входа: пользователю, который вошел в локальную среду, все равно необходимо было повторно вводить логин и пароль при входе в Office 365. Но синхронизация предусматривала, что имена пользователей будут одинаковыми. Теперь появилась возможность так же синхронизировать и пароли. Поскольку настроить синхронизацию директорий проще, чем настроить Единый вход на основе федерации, такая новая возможность как синхронизация паролей станет отличным сценарием для многих клиентов.

Три основных способа идентификации пользователя в Office 365:

Идентификация в облаке

В данном случае предусматривается идентификация пользователей исключительно в облаке. Создаются пользователи в облаке и они никак не связаны с локальными пользователями. Этот вариант подойдет для небольших или новых организаций. Пользовательскими учетными записями можно полностью управлять в облаке, в том числе и их паролями.

Если вдаваться в технические подробности, то по сути при создании пользователя создается новая запись в AD Azure. Здесь размещены все учетные записи для всех служб Office 365. С помощью учетной записи Администратора Office 365 можно производить настройки учетных записей пользователей и необходимые действия с паролями.

Синхронизация директорий с использованием DirSynс

Такой вариант используется когда Ваша инфраструктура функционирует используя AD и Вы хотите, чтобы локальные пользователи могли пользоваться Office 365. Инструмент DirSync используется для синхронизации профилей пользователей. Синхронизация директорий позволяет избежать создания новых учетных записей в облаке, которые будут являться, по большому счету, дублями локальных записей. Теперь, с появлением синхронизации паролей, нет необходимости управлять паролями в двух местах. До того, в облаке и локальной среде пароли могли отличаться.

Страница, на которой Вы можете настроить синхронизацию паролей:

Для того чтобы синхронизировать AD необходимо следовать весьма несложным инструкциям, которые доступны в учетной записи Администратора Office 365:

1. Подготовка к синхронизации каталогов.

2. Подтверждение владения доменами.

3. Активация синхронизации с AD.

4. Установка и настройка инструмента синхронизации.

5. Проверка синхронизации.

6. Активация синхронизированных пользователей.

После небольшого подготовительного этапа Вы можете загрузить и установить DirSync на Windows Server (не контроллер домена), входящий в состав вашего домена. Для его установки используется обыкновенный мастер настройки. После этого каждые три часа информация между локальными и облачными директориями будет синхронизироваться.

За некоторым исключением все данные синхронизируются по одному пути — от локальных директорий к облачным. Профиль пользователя может быть создан и управляется в облаке или локально — оба варианта одновременно не реализуются: параметры учетных записей пользователей, созданных в локальной среде, могут изменяться только там, в том числе и смена пароля. Для того чтобы синхронизированному пользователю сменить пароль, он должен либо прийти в офис, либо через VPN подключиться к корпоративной сети.

Вы можете выбрать пользователей для синхронизации с Office 365, но Вы не можете выбрать отдельные атрибуты пользователя, т.к. они все необходимы.

Новая возможность синхронизации паролей, применяет дополнительные параметры безопасности и синхронизирует пароль с AD Azure. До этих изменений пароли пользователей для облачных и локальных учетных записей были различными.

Для того чтобы синхронизировать пароли достаточно воспользоваться соответствующим атрибутом конфигурации. Это делается в Мастере настройки синхронизации. В соответствующем поле о синхронизации паролей внесите изменения — настройки будут применены ко всем пользователям. После этого им не надо будет создавать новый пароль в облаке и повторно его вводить.

Федерация директорий с использованием ADFS

Федерация представляет собой совместную работу локальной AD и Azure AD (Office 365). В этом случае, говоря доступным языком, Office 365 не видит пароль пользователя — он выступает «проверяющей» стороной. Всеми данными управляет федеративная директория. Федеративная директория лишь передает в Office 365 цифровой код, подтверждающий проверку подлинности учетных данных пользователя.

Читайте так же:

Синхронизация windows 10 не активна

Как правило, федерация реализуется с использованием Windows Active Directory и Active Directory Federation Services ( ADFS ). ADFS синхронизирует все локальные директории и лишь после выполнения этого обязательного требования они синхронизируются с Azure AD. Федерации используются исключительно для аутентификации и авторизации потоков.

Следуя инструкции в учетной записи Администратора Office 365 настроить федерацию достаточно легко.

Что выбрать сейчас: федерация c ADFS или синхронизация паролей через DirSync?

Раньше, при выборе развертывания федерации с ADFS , возможность использования одного пароля и в облаке и локально становилась решающей. Тем не менее, процесс требовал не мало усилий, а зачастую и дополнительных серверов, и сетевых решений.

Функция синхронизации паролей при использовании DirSync не содержит таких требований к инфраструктуре и, соответственно, снижает затраты. Достаточно одного сервера с подключением, для того чтобы соединиться с AD Azure, — никаких требований к входящим соединениям, брандмауэру или конфигурации.

Однако, все еще некоторые клиенты могут предпочесть Федерацию AD. На то есть ряд причин:

ADFS позволяет ограничивать доступ к Exchange Online, используя фильтры IP—адресов.

ADFS будет соблюдать сконфигурированные ограничения по времени входа в систему Active Directory для пользователей.

ADFS дает возможность пользователям изменить пароль, в то время как они вне корпоративной сети.

В связи с требованиями политики безопасности некоторые клиенты могут сделать выбор в пользу ADFS в связи с тем, что все процедуры обработки паролей производятся на стороне ADFS .

С ADFS администратор может сразу заблокировать доступ определенному пользователю, в то время как DirSync синхронизирует изменения каждые три часа (изменение пароля синхронизируется каждые две минуты).

ADFS допускает использование собственных развернутых продуктов многофакторной аутентификации. Обратите внимание на то, что AD Azure поддерживает многофакторную аутентификацию, но многие сторонние продукты многофакторной аутентификации требуют собственной интеграции.

Некоторые гибридные сценарии требуют наличия ADFS для гибридного поиска (поиск как в локальном, так и в облачном расположении).

Как отключить синхронизацию каталогов Active Directory с Office 365?

Один из способов — перейти на портал Office 365 на https://portalmicrosoftonline.com щелкните «Пользователи и группы», затем появится другое окно с несколькими параметрами, включая «Синхронизация Active Directory» и рядом с ним «Отключить»; нажимаем на нее.

Затем появляется другое окно, в котором говорится «Отключить синхронизацию Active Directory», в котором упоминаются несколько аспектов, которые необходимо прочитать и принять во внимание; например, этот процесс займет 72 часа e.

Теперь мы должны помнить, что если вы остановите или отключите сервер Office 365 в течение этого периода, вы все равно будете получать электронные письма или ошибки синхронизации; сейчас мы нажмите "Деактивировать сейчас" .

В новом окне говорится: «Синхронизация Active Directory отключена. Этот процесс может занять до 72 часов, затем нажмите «Настроить» в отмечая, что в пункте 3 это относится к указанной деактивации.

Следует отметить, что в подписке малых и средних предприятий или Премиум-план; Теперь называется Microsoft 365 Business Standard, у него нет выбора «Пользователи и группы».

Другой способ отключить эту функцию — через адрес https://activedirectory.windowsazure.com que щелкаем по области «Интеграция»; Появляется окно с опцией «Синхронизация каталогов», затем во время реализации нажимаем «Управление».

Затем появляется сообщение «Отключить синхронизацию каталогов», в котором упоминается, что «При отключении синхронизации каталогов Windows Azure AD настроена так, чтобы не принимать синхронизированные изменения из вашего локального каталога», мы нажмите на значок «Отключить» .

В заключение мы говорим, что важно отключить синхронизацию каталогов Active Directory с Office 365 после завершения общего проекта или его приостановки, потому что таким образом мы сохраняем оптимальный сервис и предотвратить работу неиспользуемых ресурсов. На сервере.

голоса

Рейтинг статьи

Синхронизация каталогов windows 2012