Админская фамилия

Make Sysadmins Great Again

Active Directory. Некоторые вопросы безопасности.

При добавлении компьютера в домен AD необходимо его предварительное размещение (создание учетной записи компьютера в AD). Это обусловлено некоторыми аспектами безопасности.При присоединении компьютера к домену без его предварительного размещения, учетная запись компьютера создается в контейнере по умолчанию (Computers). Этот контейнер уступает по возможностям организационному подразделению и соответственно к компьютеру, включенному в этот контейнер не будут применяться объекты групповой политики, скрипты входа и выхода. Чтобы сменить контейнер по умолчанию, необходимо выполнить команду redircmp “DN_подразделения для новых объектов компьютеров” (например так redircmp ou=newcomputerou,dc=domainname,dc=com).

Posted by map[name:devi1 uri:https://www.blogger.com/profile/05777499482649623616] on Wednesday, December 7, 2011

Windows и Active Directory. Особые объекты идентификации

В Windows и Active Directory поддерживаются особые объекты идентификации, членством которых в группах управляет ОС. Их нельзя добавлять в группы, просматривать и модифицировать их параметры. Однако, их можно использовать для назначения прав и разрешений доступа.Анонимный вход (Anonymous Logon). Представляет подключения к компьютеру и ресурсы, созданные без предоставления пользовательского имени и пароля. До Win Server 2k3 эта группа была членом группы Все. Начиная с 2k3 она не входит в группу Все.Прошедшие проверку (Authenticated Users).

Posted by map[name:devi1 uri:https://www.blogger.com/profile/05777499482649623616] on Wednesday, December 7, 2011

Active Directory. Группы по умолчанию

В Windows Server создаётся множество локальных групп по умолчанию. Рассмотрим те из них, которым предоставлены права, связанные с управлением Active Directory.Администраторы предприятия (Enterprise Admins) в контейнере Users корневого домена леса. Эта группа - член группы Администраторы (Administrators) в каждом домене леса; она предоставляет полный доступ к конфигурации всех контроллеров домена. Данная группа также является владельцем раздела Конфигурация каталога и имеет полный доступ к содержимому именования домена во всех доменах леса.Администраторы схемы (Schema Admins) в контейнере Users корневого домена леса.

Posted by map[name:devi1 uri:https://www.blogger.com/profile/05777499482649623616] on Wednesday, December 7, 2011

Группы в Active Directory. Чтобы не забыть

В AD существует несколько типов групп. По рекомендациям от МС и вообще “православно” следующее распределение:Пользователи по какому-либо признаку (географическому, бизнес-подразделения) группируются в глобальные группы.По правам доступа создаются локальные доменные группы.Пример:В компании существует отдел Бухгалтерия. Всем пользователям этого отдела требуется доступ на запись к сетевому ресурсу “Бухгалтерские документы” и доступ на печать к принтеру, находящемуся в их офисе.1. Создаём глобальную группу Бухгалтерия, членами которой будут являться сотрудники бухгалтерии.2. Создаём локальную доменную группу ACL_Buhgalteria_Share_RW.

Posted by map[name:devi1 uri:https://www.blogger.com/profile/05777499482649623616] on Wednesday, December 7, 2011

Сертификация Microsoft

Сертификация специалистов является подтверждением их знаний и навыков, позволяет изучить новые темы в процессе подготовки, повышает уровень заинтересованности в специалисте со стороны работодателя и просто повышает ЧСВ.Наверное, простейшая сертификация, которая приходит в голову админу и пригодиться практически везде, это сертификация от Microsoft.У MS очень запутанная информация о системе сертификации специалистов (как впрочем и вся остальная информация на их сайтах, где без поллитры не разберёшься). Поэтому здесь я решил расписать вкратце о начальных сертификатах.

Posted by map[name:devi1 uri:https://www.blogger.com/profile/05777499482649623616] on Monday, December 5, 2011

VRDP в VirtualBox

В VirtualBox’е есть фича: можно подключаться к рабочему столу гостевой системы, не настраивая этот доступ на самом госте (даже не имея сети на нем). Фича довольно полезная, поэтому после установки гостевых машин захотелось её включить. Всё оказалось не так просто.Итак, хост - Ubuntu 11.10, VirtualBox 4.1.2, гостевые системы - неважно (у меня Win7 x64 + Zentyal x64). Настроена сеть: по 2 адаптера на каждом госте (NAT + Bridge). Хотя всё вышеперечисленное неважно.

Posted by map[name:devi1 uri:https://www.blogger.com/profile/05777499482649623616] on Thursday, October 27, 2011

Apache. Доступ к веб-страничке по паролю

Запрет на доступ к сайту или определенным страницам на сервере можно установить средствами самого веб-сервера. Для этого нужно поправить файлы конфигурации веб-сервера и создать пользователя веб-сервера (Не системы!), которому будет разрешен доступ. Дальнейшее описание будет приводиться на примере Ubuntu Server 11.04, Apache 2.2.17. Правка конфигов на примере доступа к веб-статистике LightSquid. Перед любым изменением конфигурационных файлов необходимо создать их резервную копию - cp config config.old или mv config config.old. Вариант, приведенный здесь не претендует на правильность и безопасность.

Posted by map[name:devi1 uri:https://www.blogger.com/profile/05777499482649623616] on Monday, October 3, 2011

KeePass 2.16 на Fedora 15

Уже был пост про хранение паролей. Вообще это очень важная тема, так как в православно безопасной системе (человек-машина) пароли должны храниться только в мозгу у человека. А человек, как известно, в этой системе - самое слабое звено.Вот несколько рекомендаций по паролям:На каждый ресурс должен быть уникальный парольДлина пароля не менее 8 символовПароль должен состоять из букв разных регистров, цифр и спецсимволов.Пароль не должен напоминать по написанию какое-либо слово (в таком случае он подбирается по словарю)Теперь попробуйте придумать парочку паролей, подходящих под эти критерии.

Posted by map[name:devi1 uri:https://www.blogger.com/profile/05777499482649623616] on Monday, October 3, 2011

Информационная безопасность

Суждения об информационной безопасности мудреца и учителя Инь Фу Во, записанные его ученикамиУтечки информации

Posted by map[name:devi1 uri:https://www.blogger.com/profile/05777499482649623616] on Tuesday, September 27, 2011

Полное содержание журнала Хакер за 2010-2011

Здесь я выложил табличку, содержащую оглавление интересных для меня рубрик из журнала. Пока только за 2010-2011 годы.XLS- файлGoogle Docs

Posted by map[name:devi1 uri:https://www.blogger.com/profile/05777499482649623616] on Tuesday, September 20, 2011

avatar

DevSecOps, Kubernetes, GitLab, Mikrotik Ninja

QUICK LINKS
FEATURED TAGS
#sysadminka about active directory ad asterisk authentication bandwidth best practice bgp books certification cisco cmd cureit d-link ddos debian dhcp dns dpi dr.web eoip failover firewall freebsd groups hack hardware hdd history hyper-v internet ip-телефония ipam iptables iso k8s keepass l2 link links linux linux firewalls linux server microsoft midnightcommander mikrotik monitoring mpls ms mss mtcna mtcre mtu mum mva network o'reilly open source ospf password powershell pptp presentation python qos raid rdp routerboard routeros routing script sdn security server snmp snmpv3 ssh ssl tcp terminal the dude ubuntu vpn webmin wi-fi wifi windows автоматизация антивирус касперского безопасность блог виртуализация группы для чайников жизнь закон иб интересное интернет информационная безопасность испдн книги коммутатор коммутация курсы линукс настройка обучение оптимизация официальные документы пароль пдн полезное приказ производительность профессионализм работа сертификация сеть скзи скорость скрипт ссылки туризм цод челябинск юзвери