Подготовка Active Directory к развертыванию системы Secret Net

При этом имеется возможность реализовать управление параметрами Secret Net для доменных пользователей с использованием стандартных оснасток ОС Windows.

2020.09.21      


На начальном этапе развертывания системы Secret Net необходимо определиться с возможностью внесения изменений в конфигурационные хранилища Active Directory. СистемаSecret Net может функционировать в различных вариантах интеграции в структуру AD. Порядок установки компонентов зависит от того, где будет размещаться хранилище объектов централизованного управления Secret Net — в базе данных доменных служб Active Directory или в отдельной базе вне AD. Для максимальной интеграции в структуру AD хранилище объектов централизованного управления Secret Net следует разместить в базе данных доменных служб Active Directory. В этом случае до установки компонентов системы Secret Net необходимо модифицировать схему AD для добавления в нее нужных классови атрибутов и регистрации конфигурационных данных в разделе конфигурации каталога AD. Модификация выполняется с использованием компонента "Модификатор схемы Active Directory". Процедура модификации не затрагивает имеющиеся в AD объекты и связи и поэтому не может оказать влияние на работоспособность существующей доменной структуры. Для модификации схемы в дополнение к правам на изменение конфигурации каталога AD требуются права для модификации схемы AD. По умолчанию такие права предоставлены пользователям, включенным в группы "Администраторы предприятия" (Enterprise Admins) и "Администраторы схемы" (Schema Admins) соответственно.

Если максимальная интеграция в структуру AD не требуется, хранилище объектов централизованного управления Secret Net можно сформировать в отдельной базе данных вне Active Directory. При этом имеется возможность реализовать управление параметрами Secret Net для доменных пользователей с использованием стандартных оснасток ОС Windows. Для этого достаточно расширить конфигурацию каталога AD путем импорта (регистрации) нужных конфигурационных данных для поддержки управляющих модулей системы Secret Net.

Добавлять в схему AD новые классы и атрибуты не требуется. Регистрация конфигурационных данных осуществляется однократно в лесу доменов при установке сервера безопасности. Для выполнения процедуры требуются права на изменение конфигурации каталога AD. По умолчанию такие права предоставлены пользователям группы "Администраторы предприятия" (Enterprise Admins). Для случаев, когда невозможно выполнить установку сервера безопасности пользователем с такими правами, предусмотрена альтернативная возможность регистрации конфигурационных данных администратором домена путем запуска командного файла sn7-modify-AD.cmd из каталога **\Tools\Infosec\ModifyAD** на установочном компакт-диске системы Secret Net.

Если установка выполнена без расширения конфигурации каталога AD — управление параметрами Secret Net для доменных пользователей будет возможно только с помощью программы управления пользователями из состава средств централизованной настройки системы Secret Net.