Резервирование и восстановление в Active Directory

Если в Active Directory имеется большое количество компьютеров и пользователей, то очистка от неактивных записей в ручную является большой проблемой. Для массового удаления не активных записей в Windows имеется специальная утилита — dsquery.

Что такое RSAT?

RSAT или Remote Server Administration Tools – это средства удаленного администрирования сервера, которые предназначены для управления ролями и компонентами сервера. В состав RSAT входят и необходимые оснастки управления, и утилиты командной строки и модули Windows PowerShell. Вы можете установить все это сразу, а можете только то, что Вам нужно.

Если Вы хотите установить средства удаленного администрирования сервера на клиентскую операционную систему, то Вам предварительно необходимо скачать их с официального сайта Microsoft.

В серверных операционных систем они поставляются в виде компонента, и сегодня мы научимся устанавливать RSAT в Windows Server 2016.

Архитектура хранилища и структура Active Directory

Домены и леса

Организационные единицы (OU — Organization Unit), домены и леса являются основными элементами логической структуры AD. Лес определяет единый каталог и обозначает границу безопасности. Домены входят в состав Лесов.

Архитектура хранилища и структура Active Directory

DNS

DNS применяется для разрешения имен в иерархической архитектуре, которую использует AD.

СХЕМА (SCHEMA)

Архитектура хранилища и структура Active Directory

Схема содержит определения объектов, которые используются для их создания, хранящихся в каталоге.

ХРАНИЛИЩЕ ДАННЫХ (DATA STORE)

Хранилище данных является частью каталога, который управляет хранением и извлечением данных на каждом контроллере домена.

Архитектура хранилища и структура Active Directory

Более подробно вы можете ознакомиться с материалами на официальном сайте.

Создание smb-шары на файловом сервере

Мы будем использовать в качестве сервера Windows server 2012r2.

Читайте также:  Перенос виртуальных машин с xenserver на hyper-v

Для сетевых шар я бы рекомендовал использовать отдельный диск. При его заполнении работа ОС не будет нарушена и расширять пространство (производить любые манипуляции) диска проще, когда на нем нет ОС. Создаём каталог redirection, назначаем его сетевым.

Создание smb-шары на файловом сервере

Редактируем ACL. Нам требуется, чтобы каждый пользователь имел доступ только к своему каталогу. Группа администраторов имела доступ ко всем.

Каталоги пользователей должны создаваться автоматически, и права, значит, должны назначаться автоматически владельцам каталогов. Помогут нам в этом особые настройки ACL.

Свойства каталога — вкладка Безопасность — Дополнительно

Создание smb-шары на файловом сервере

Первым делом нужно отключить наследование.

Сделаем перенаправление папок только для одной группы пользователей. Для неё и нужны особые права доступа. Добавляем нужную группу и нажимаем Изменить. Включаем отображение дополнительных разрешений.

Нужно лишь разрешение Создание папок / дозапись данных

Создание smb-шары на файловом сервере

Пользователь должен иметь полный доступ к своему каталогу — добавляем субъект создатель-владелец и даем ему полный доступ только для подпапок и файлов. Еще нужно добавить субъект система, группу системных администраторов и дать им полный доступ для этой папки и её подпапок.

Введение в резервирование и восстановление Active Directory

Когда я был маленьким, я хорошо знал, кем хочу стать, когда вырасту. Нет, не космонавтом. И не врачом, и не юристом. Я мечтал стать менеджером по продукту инструмента резервирования и восстановления Active Directory.

Шутка. Я был уверен, что стану трансформером.

Сейчас я вырос, трансформером так и не стал, и был озадачен написанием серии заметок о резервном копировании и восстановлении Active Directory, а также о том, почему Вам необходимо уделять этому внимание.

Так в самом деле, почему?

Если кто не знает, Microsoft Active Directory является основной службой аутентификации, используемой большинством организаций по всему миру. То есть это критически важная инфраструктура.

Читайте также:  Виндовс 10 не запускается безопасный режим

Резервирование и восстановление в Active Directory. К счастью, мне никогда не приходилось непосредственно присутствовать при катастрофическом падении критически важной части инфраструктуры, такой как Active Directory. Тем не менее, имея доступ в Интернет, можно почитать мнения довольно умных людей, которые оценивают убытки бизнеса, являющиеся прямым следствием такого рода сбоев, в среднем от 25 000 до 300 000 долларов в час.

Хотя эти цифры и выглядят весьма пугающе, вероятно, так оценивается воздействие только самых тяжелых сценариев восстановления Active Directory.

Да-да, существуют разные типы сценариев восстановления Active Directory! Мне нравится делить их на пять категорий: восстановление объектов, восстановление атрибутов, восстановление сервера, восстановление домена и восстановление леса.

Восстановление объектов или восстановление объектов каталога Active Directory — это относительно простой процесс, который я постараюсь очень подробно осветить в следующих двух статьях данной серии.

Восстановление атрибутов или восстановление отдельных атрибутов объекта каталога Active Directory — это значительно более сложный процесс, о котором я расскажу в четвёртой части данной серии.

Восстановление сервера или восстановление контроллера домена Active Directory должно быть относительно простой задачей для организации, имеющей более-менее приличный опыт в сфере IT. Даже если не принимать во внимание тот факт, что в организации чаще всего имеется отлаженное решение по резервному копированию серверов, процесс восстановления после физической или логической потери контроллера домена (при наличии в домене нескольких контроллеров) достаточно прост: отремонтировать сервер и восстановить его из существующей резервной копии, либо полностью заменить сервер и выполнить процесс замены контроллера.

Восстановление домена и восстановление леса практически аналогичны, можно сказать, что это взгляд на одну и ту же проблему с разных сторон. В любом случае подобного рода восстановление является необходимым ответом на инцидент, который привел к потере критического числа функциональных контроллеров домена в логической структуре Active Directory. Хотя область работ при восстановлении домена по определению меньше, чем при восстановлении леса, для разрешения обеих ситуаций используется один и тот же фундаментальный набор процессов. В сухом остатке вся разница заключается в принципах охвата и масштаба. Я не буду подробно останавливаться на процессе восстановления леса, но если Вам очень хочется узнать об этом, можете почитать здесь.

Читайте также:  Создание полного бэкапа Android-устройства

Если Вы уже столкнулись с проблемой и наткнулись на эту заметку, ища в Интернете простой способ восстановления после нежелательных изменений в Active Directory в результате случайного или злонамеренного действия, Вам также стоит обратить внимание на StealthRECOVER.