Introduzione
In questo documento vengono descritte le modifiche apportate all'ambiente Windows dallo script di configurazione del controller di dominio.
Cenni preliminari sullo script di configurazione controller di dominio
Ogni controller di dominio richiede una registrazione unica con l'API/dashboard Umbrella. Lo script di configurazione del controller di dominio avvia questa operazione insieme alle seguenti funzioni:
- Verificare che le autorizzazioni necessarie e le regole firewall siano configurate
- (Facoltativo) Configurare automaticamente le autorizzazioni
- (Facoltativo) Registrare il controller di dominio con l'API/dashboard Umbrella, solo se questi controlli hanno esito positivo.
Nota: Un elenco di controller di dominio può anche essere registrato manualmente dal supporto Umbrella. Ciò è in genere utile in scenari in cui l'accesso API/Internet non è possibile per il controller di dominio. Tuttavia, le modifiche alle autorizzazioni DESCRITTE DEVONO ancora essere configurate, pertanto si consiglia di eseguire lo script di configurazione.
Quando lo script viene eseguito inizialmente, non viene apportata alcuna modifica all'ambiente. Lo script verifica se sono disponibili tutte le autorizzazioni necessarie. Se si verifica un problema, viene richiesto (S/N)
ma di apportare le modifiche desiderate.
Una volta completato lo script di registrazione, non è necessario eseguire alcun software sul controller di dominio stesso. Tuttavia, il servizio OpenDNS Connector deve essere installato in almeno un computer (ad esempio Controller di dominio o server membro).
Fase 1 - Prove
Lo script raccoglie inizialmente le seguenti informazioni:
- Verifica la versione del sistema operativo e il livello di funzionalità della foresta
- Controlla se lo script viene eseguito come amministratore.
- Ottiene le informazioni relative all'indirizzo IP, al nome host e al nome di dominio dei server
- Verificare se Windows Firewall è abilitato e se la regola incorporata di 'Amministrazione remota' è consentita
- Verifica la presenza dell'account utente di dominio 'OpenDNS_Connector'
Nota: Se l'utente OpenDNS_Connector non esiste, lo script stampa i risultati e viene interrotto. Questo utente di dominio deve essere creato manualmente prima di eseguire lo script. Se l'account OpenDNS_Connector esiste, lo script procede a questi controlli.
- Controlla se l'utente OpenDNS_Connector dispone delle autorizzazioni per 'Abilitazione remota' e 'Protezione lettura' nello spazio dei nomi WMI root\cimv2.
- Controlla se l'account OpenDNS_Connector dispone dell'autorizzazione 'Replica modifiche directory' di Active Directory, che in genere viene concessa dall'appartenenza al gruppo Controller di dominio di sola lettura organizzazione.
- Controlla se l'account OpenDNS_Connector è un membro del gruppo 'Lettori registro eventi'
- Controlla se l'account OpenDNS_Connector è un membro del gruppo 'Distributed COM Users'
- Controlla il gruppo di criteri risultante per verificare se 'Controlla eventi di accesso' è abilitato tramite Criteri di gruppo
- Controlla il gruppo di criteri risultante per verificare se all'account OpenDNS_Connector è assegnato il diritto 'Gestisci registro di controllo e di protezione'
Fase 1b - Risultati dei test
I risultati stampati dallo script di configurazione variano a seconda della versione del sistema operativo.
Su server 2003 e versioni successive è possibile visualizzare i seguenti risultati:
AD User Exists: true/false
WMI Permissions Set: true/false
DCOM Permissions Set: true/false
RDC Permissions Set: true/false
Audit Policy Set: true/false
Manage Event Log Policy Set: true/false
Distributed COM MemberOf: true/false
In Server 2008 e versioni successive (solo quando il livello di funzionalità della foresta è 2008+) vengono visualizzate anche queste informazioni. Questo gruppo non esiste nelle versioni precedenti:
Event Log Readers MemberOf: true/false
Fase 2 - Modifiche alla configurazione automatica
Se il controllo ha esito negativo, viene visualizzato il messaggio "Configurare automaticamente questo controller di dominio (s o n)?"
prima di apportare modifiche.
Le modifiche sono le seguenti:
- Abilita la regola predefinita di Windows Firewall 'Amministrazione remota', se necessario
- Concede in modo esplicito le autorizzazioni 'Attivazione remota' e 'Lettura protezione' dell'account 'OpenDNS_Connector' nello spazio dei nomi WMI root\cimv2.
- Concede in modo esplicito le autorizzazioni 'Replica modifiche directory' dell'account 'OpenDNS_Connector'
- Aggiunge l'account 'OpenDNS_Connector' al gruppo 'Utenti DCOM'
Nel 2008+ viene eseguita anche questa modifica:
- Aggiunge l'account 'OpenDNS_Connector' al gruppo 'Lettori registro eventi'
Nota: Se la configurazione automatica viene rifiutata o se le modifiche hanno esito negativo, lo script non procede alla registrazione.
Fase 2b - Avvisi di configurazione automatica
Lo script genera avvisi se le impostazioni di Criteri di gruppo non sono configurate correttamente. Lo script non è in grado di correggere questi problemi.
Tutti i sistemi operativi:
- Lo script AVVERTE se l'impostazione 'Controlla eventi di accesso' non è configurata correttamente in Criteri di gruppo, ma non modifica i Criteri di gruppo.
Nel 2003 (E A Livello Funzionale Nel 2003):
- Lo script AVVERTE se il diritto 'Gestisci registro di controllo e di protezione' non è configurato correttamente in Criteri di gruppo, ma non modifica Criteri di gruppo.
Nota: Risolvere manualmente il problema ed eseguire nuovamente lo script di configurazione. Lo script non procede alla registrazione fino a quando non vengono corretti.
Fase 3 - Registrazione
Lo script richiede prima di registrare il controller di dominio con Umbrella "Registrare questo controller di dominio (s o n)?".
Queste informazioni vengono inviate a Umbrella:
- Nome host controller di dominio / Etichetta
- Nome dominio
- Indirizzo IP
- ID e token organizzazione univoci (contenuti nello script) per identificare in modo univoco il controller di dominio con l'organizzazione Umbrella.
La registrazione avviene in modo sicuro tramite il sito https://api.opendns.com