Разворачивание службы каталогов Active Directory
Автор Дмитрий Ярошенко dimonxp@ua.fm
Планирование доменов
Развертывание сетевой структуры целесообразно начать с создания единственного домена, который легче всего администрировать, и по мере необходимости добавлять новые домены.
Достоинством Active Directory (по сравнению с доменной моделью Windows NT) является возможность создания в одном домене значительно большего числа объектов (до нескольких миллионов). При этом один домен может содержать несколько географически разнесенных и администрируемых индивидуально сайтов, связанных медленными каналами.
Совсем не нужно создавать дерево из нескольких доменов только для того, чтобы таким образом отобразить структуру организации, ее подразделения или отделы. Для этого достаточно в единственном домене создать соответствующие подразделения (организационные единицы) и назначить для них групповые политики, распределить пользователей, группы и компьютеры.
Для создания нескольких доменов должны быть достаточно веские причины, например следующие:
- Различные требования к безопасности для отдельных подразделений
- Очень большое количество объектов
- Различные Internet-имена для доменов. Если имена доменов образуют непрерывное пространство имен DNS, то можно создать дерево доменов; если имена доменов уникальны, то возможно создание леса доменов
- Дополнительные требования к репликации
- Децентрализованное администрирование сети. При наличии нескольких доменов совершенно независимые друг от друга системные администраторы могут устанавливать собственные политики безопасности. Кроме того, можно администрировать домены на различных национальных языках
Если внутри домена создать дерево организационных единиц (Organizational Unit, OU), или подразделений, то можно распределить обязанности администраторов отдельных подразделений между различными пользователями и группами. В этом случае уменьшается число сотрудников, которые получают полный контроль над всем доменом.
Этот процесс называется делегированием прав администрирования. Немного позже мы увидим, как он осуществляется на практике.
После того как разработана структура подразделений и по ним распределены пользователи, следующий этап - продумать административную иерархию,
т. е. определить, какие пользователи получат права управления целыми подразделениями, и кто будет выполнять только ограниченные административные функции (например, управлять отдельными группами или принтерами).
Планирование организационных единиц (подразделений)
Организационные единицы (OU), или подразделения, могут содержать пользователей, группы, компьютеры, принтеры и общие папки, а также другие OU.
OU - это минимальная "единица" администрирования, права управления которой можно делегировать некоторому пользователю или группе.
С помощью OU можно обеспечить локальное администрирование пользователей (создание, модификация и удаление учетных записей) или ресурсов
Примечание:
Организационные единицы и подразделения - это термины-синонимы; мы будет чаще использовать понятие организационная единица, говоря о структуре каталога Active Directoryи его дереве, и подразделение - когда речь идет об администрировании Active Directory, делегировании управления и т. д.
В каталоге Active Directoryорганизационные единицы представляют собой объекты типа "контейнер" и отображаются, как мы увидим позже, в окне оснастки Active Directoryпользователи и компьютеры (Active DirectoryUsers and Computers) как папки.
Их основное назначение - группирование объектов каталога с целью передачи административных функций отдельным пользователям.
Дерево OU может отображать реальную структуру организации - административную, функциональную и т. п. При этом учитываются иерархия полномочий ответственных работников и необходимые функции управления. Каждый доменов дереве или лесе может иметь свою, совершенно независящую от других структуру организационных единиц.
Организационная единица - минимальная структурная единица, которой можно назначить собственную групповую политику, т. е. определить разрешения на доступ к ней (и подчиненным OU), конфигурационные настройки и т. п. Однако OU не является структурным элементом безопасности (т. е. нельзя, скажем, назначить подразделению некоторые права доступа к определенному объекту), а служит только для группирования объектов каталога.
Для назначения полномочий и разрешений доступа к ресурсам следует применять группы безопасности (security groups).
Примечание:
Параметры безопасности групповой политики, назначенной некоторому подразделению, позволяют "сужать" область действия этой политики. Предположим, например, что в подразделении имеется несколько групп безопасности. По умолчанию групповая политика распространяется на всех членов подразделения. Однако можно сделать так, что эта политика будет действовать только на определенную группу (группы) и игнорироваться остальными группами подразделения. Подробнее об этом мы будем говорить в последующих уроках.
Вот несколько рекомендаций по выбору решения (организовать ли в сети несколько доменов или делить её на организационные единицы):
1) Создавайте несколько доменов, если в организации действует децентрализованное управление, при котором пользователями и ресурсами управляют совершенно независимые администраторы.
2) Создавайте несколько доменов, если части сети связаны медленным каналом и совершенно нежелательна полная репликация по этому каналу (если репликация возможна хотя бы иногда, то лучше создавать один домен с несколькими сайтами).
3) Разбивайте домен на организационные единицы, чтобы отразить в них структуру организации.
4) Разбивайте домен на организационные единицы, если нужно делегировать управление над ограниченными, небольшими группами пользователей и ресурсов; при этом можно делегировать все права администрирования или только некоторые.
5) Разбивайте домен на организационные единицы, если их структура соответствует будущим изменениям в организации (компании). Домены же, по возможности, нужно конфигурировать так, чтобы перемещать или делить их приходилось как можно реже
Двухуровневая иерархия доменов в дереве доменов и организационных единиц в домене обеспечивает гибкость администрирования, которое может быть и централизованным, и децентрализованным, и смешанным.
Проектирование структуры сайтов
Планирование репликации каталога следует начинать с одного сайта, а затем, с учетом каналов передачи данных и их пропускной способности, можно добавлять новые сайты.
Для локальных сетей (LAN) с быстрыми каналами обычно используются конфигурации с одним сайтом (хотя можно разбить их на несколько сайтов), поскольку зачастую такое решение упрощает администрирование.
Использование нескольких сайтов дает следующие преимущества:
- Распределяется нагрузка по сети со стороны клиентов
- Возможна оптимизация процесса получения данных из каталога
- Упрощается администрирование (например, управление конфигурацией) ресурсов, если они объединены в сайт
- Возможна "тонкая" настройка репликации
Создание нового сайта с собственными контроллерами домена имеет смысл в том случае, когда контроллеры домена недостаточно быстро (по вашим субъективным оценкам) реагируют на запросы пользователей. Обычно такое случается при большом территориальном удалении клиентских компьютеров и медленных каналах связи.
Создание нового сайта может быть целесообразно с точки зрения обеспечения аутентификации пользователей. Клиент при регистрации пытается найти контроллер домена в своем, локальном сайте. Поэтому топология сайтов должна учитывать то, насколько быстро клиент должен получать доступ к контроллеру домена.
Имеет смысл включать все контроллеры домена в один сайт, если репликация между ними должна выполняться по единому расписанию. Однако при наличии нескольких сайтов можно индивидуально настроить репликацию с учетом их специфики. Например, можно использовать по умолчанию быстрый канал, а коммутируемое соединение, если основной канал недоступен. Такой подход обеспечивает и эффективность, и отказоустойчивость.
Таковы основные рекомендации при разворачивании доменной структуры сети. Теперь перейдем к практическим решениям.
Установка контроллера доменов
Контроллер домена (Domain Controller, DC) создается из уже имеющегося изолированного (stand-alone) сервера или рядового (member) сервера при помощи операции, которая называется - повышение роли сервера (promotion) .
Обратный процесс преобразования контроллера домена в изолированный или рядовой сервер называется понижением роли сервера (denotion) .
При этом сервер удаляется из леса и изменяются сведения о нем в DNS, с сервера удаляются служба каталогов и ее элементы, восстанавливается стандартная база данных безопасности (SAM). Понижение роли последнего контроллера в домене означает уничтожение всего домена.
НО, категорически нельзя удалять корневой (первый созданный) домен в доменном дереве: вы уничтожите все дерево!!!
Подготовка к созданию контроллера домена
Контроллером домена можно сделать любой сервер, на котором функционирует Windows 2000 Server.
Если при установке системы используется контроллер домена Windows NT 4.0, то процесс повышения роли начинается автоматически после обновления системы и ее перезагрузки.
Обычный сервер преобразуется в контроллер домена при помощи утилиты DCpromo.exe, которая запускает Мастер установки Active Directory (Active Directory Installation Wizard) . Эта же утилита запускается с помощью оснастки "Настройка сервера" в меню Администрирование.
Мы рассмотрим несколько вариантов установки контроллера домена в зависимости то сложности структуры сети.
Создание первого контроллера домена
Первый, корневой домен в лесе, также является началом первого дерева этого леса. Если, например, создаются дочерние домены в дереве bhv.com, то DNS-имена всех доменов в этом дереве будут иметь окончание bhv.com (sales.bhv.com или office.bhv.com). Поэтому сначала следует определиться с именем первого домена.
Отметим еще одну важную особенность на подготовительном этапе установки контроллера домена - наличие DNS сервера.
Стоит отметить, что служба DNS применяется клиентами Active Directory для поиска контроллеров домена. Компания Microsoft рекомендует использовать DNS-сервер, поставляемый вместе с Windows 2000 Server, однако можно использовать и другие DNS-серверы, имеющие нужные функции (см. RFC 2136 и 2052; например можно использовать BIND версии не ниже 8.2.2).
DNS-сервер устанавливается и конфигурируется по умолчанию (это необходимо только для первого домена в новом лесе) при создании контроллера домена (т. е. при инсталляции Active Directory; при этом пользователь должен подтвердить запрос на установку DNS-сервера), но можно это сделать и вручную.
Итак, для создания первого контроллера в домене необходимо:
1. Установить Microsoft DNS-сервер. 2. Запустить мастер установки Active Directory
Внимание 1!
Если в сети, где создается контроллер домена, имеется DNS-сервер, то на готовящемся к повышению компьютере необходимо указать IP-адрес этого сервера в свойствах протокола TCP/IP и проверить правильность разрешения имен (например, с помощью команды ping DNS_имя или утилиты NetDiag)
Внимание 2!
Нельзя давать серверу, будущему контроллеру домена, динамически назначаемый IP-адрес (с помощью DHCP). Если по каким-то причинам связь с DHCP-сервером будет нарушена, контроллер домена получит при загрузке произвольный адрес, не соответствующий тому, который использовался при создании этого контроллера домена, и не сможет выполнять свои функции!
Запуск мастера установки Active Directory
Мастер установки Active Directory значительно упрощает создание и конфигурирование нового контроллера домена.
1. Запуск мастера установки выполнять нужно только пользователю с правами Администратор (Administrator).
2. Для запуска мастера можно воспользоваться командой dcpromo, которую запустить из меню Пуск|Выполнить (Start|Run). Альтернативный вариант - выбрать команду Пуск|Программы|Администрирование|Настройка сервера (Start|Programs|Administrative Tools|Configure Your Server), в открывшемся окне последовательно нажать кнопки Active Directory и Запустить (Start).
3. В появившемся окне мастера установки для данного варианта установки контроллера домена выбирается переключатель Контроллер домена в новом домене (Domain controller for a new domain) и нажимаем кнопку Далее.
4. В следующем окне в данном случае устанавливается переключатель Создать новое доменное дерево (Create a new domain tree), жмем на кнопку Далее (Neхt)
5. В следующем окне устанавливается переключатель Создать новый лес доменных деревьев (Create a new forest of domain trees).
5. Затем вводится полное DNS-имя, выбранное для первого домена, например, mycompany.com. Утилита DCpromo проверяет, используется ли уже данное имя. Затем для домена также определяется NetBIOS-имя (по умолчанию для нашего примера будет предложено имя MYCOMPANY), по которому идентифицируют домен клиенты нижнего уровня, например, Windows NT 4.0.
6. В следующих окнах мастера устанавливаются дополнительные параметры - местоположение базы данных Active Directory
журналов регистрации событий, реплицируемого системного тома.
7. Если на компьютере или в сети отсутствует DNS-сервер, то мастер установки выдает сообщение и предлагает установить и настроить DNS
* Если в сети все же имеется работающий сервер DNS, то необходимо проверить связь с ним (и вернуться в первое окно мастера установки Active Directory) или соответствие этого сервера требованиям Active Directory.
* Если DNS-сервер отсутствует, то, установив в следующем окне переключатель Да, автоматически установить и настроить DNS (рекомендуется) (Yes, install and configure DNS on this computer (recommended)), разрешите на компьютере автоматическую установку и настройку DNS-сервера для работы с Active Directory.
Если же будет установлен переключатель Нет, установить и настроить DNS вручную (No, I will install and configure DNS myself), то после создания контроллера домена необходимо будет вручную создать на DNS-сервере все записи, обеспечивающие работу домена, что требует глубокого понимания всех аспектов взаимодействия Active Directory и DNS. В нашем случае, мы позволим мастеру самому проделать эту работу.
8. В следующем окне выберите разрешения, определяющие возможность работы в создаваемом домене служб, работающих на серверах предыдущих версий Windows NT. Обратите внимание на это окно, и внимательно прочитайте информацию, которая представлена на нем, при выборе соответствующего типа разрешений по умолчанию.
9. Далее вводится и подтверждается пароль администратора, который будет использоваться при восстановлении службы каталогов (это один из дополнительных вариантов загрузки Windows 2000).
Внимание 3!
Не путайте административный пароль (и не забудьте его, если пароли не одинаковые!) для восстановления каталога с обычным паролем администратора, это разные пароли!
Поскольку в режиме консоли нельзя ввести русские символы, для пароля рекомендуется использовать только цифры и латинские буквы.
10. После выполнения всех указанных операций мастер установки выводит сводку выбранных параметров. Необходимо их внимательно проверить: для изменения некоторых параметров можно вернуться, нажимая кнопку Назад.
11. После нажатия кнопки Далее начинается собственно процесс установки Active Directory и создания контроллера домена. После настройки служб и параметров безопасности начнется установка DNS-сервера, если она была разрешена пользователем. Затем служба DNS запускается и конфигурируется.
12. По завершении всех операций мастер установки Active Directory выводит информационное окно, в котором нужно нажать кнопку Готово (Finish), и предлагает перезагрузить компьютер: нажмите кнопку Перезагрузить сейчас (Restart Now).
Итак, после перезагрузки системы первый контроллер домена с Active Directory будет готов. Можно войти в домен с именем Администратор (Administrator) (пароль остается прежним, как и для локальной машины). Теперь можно создавать дополнительные контроллеры домена или начать работу с Active Directory. Об этом мы поговорим немного позже, а сейчас рассмотрим, как происходит подключение рабочих станций.
Подключение рабочих станций и рядовых серверов
Серверы и рабочие станции (клиентские компьютеры) включаются в домен Windows 2000 аналогично тому, как это делается в Windows NT 4.0. При этом используется оснастка Active Directory пользователи я компьютеры. Практически это мы увидим позже.
Компьютерам нужно указать IP-адрес хотя бы одного DNS-сервера для того, чтобы они могли находить контроллеры домена. IP-адрес DNS-сервера может передаваться клиентам автоматически при помощи DHCP (подробно о DHCP мы говорили на предыдущих уроках) или задаваться вручную.
Системы Windows NT 4.0 и Windows 9x используют для поиска контроллеров домена службу WINS, которую нужно установить, если в доменах Windows 2000 должны работать эти клиенты. Если на клиентах установлен Active Directory Client и применяется только TCP/IP, то ставить WINS необязательно.
Учетные записи для компьютеров можно создавать заранее (с помощью оснастки Active Directory пользователи и компьютеры) или в процессе подключения компьютера к домену.
Для подключения компьютера с Windows 2000 к домену необходимо осуществить следующие действия:
* В оснастке Система (System) на панели управления или по нажатию правой кнопкой мыши на значке Мой компьютер (My Computer) на рабочем столе выбрать команду Свойства (Properties) контекстного меню.
* Перейти на вкладку Сетевая идентификация (Network Identification) и нажать кнопку Свойства
* В ставшем доступном текстовом поле ввести полное DNS-имя домена, к которому следует подключиться, например, mycopany.com и нажать кнопку ОК.
* Ввести имя и пароль учетной записи в домене, имеющей полномочия на подключение компьютеров к домену. Если имеется созданная предварительно учетная запись для данного компьютера, ввести соответствующие значения. Если нужно создать учетную запись "на лету", ввести данные пользователя, имеющего разрешение на создание объектов в стандартном контейнере Computers. В любом случае можно использовать учетную запись администратора домена.
В случае успешного выполнения операции подключения компьютера к домену появляется соответствующее сообщение.
* нажав кнопку Да (Yes) в ответ на появляющееся сообщение, перезагрузить компьютер.
Другие варианты установки контроллера домена
Включение в домен дополнительных контроллеров
Создание дополнительных контроллеров домена также выполняется при помощи мастера установки Active Directory:
1. Регистрируйтесь в системе как Администратор.
2. Запускаете программу DCpromo и нажимаете кнопку Далее.
3. Для данного варианта установки следует установить переключатель Добавочный контроллер домена в существующем домене (Additional domain controller for an existing domain) и нажать кнопку Далее.
4. Вводите имя, пароль и полное DNS-имя домена для пользовательской записи с административными правами в домене (это может быть член группы Администраторы или пользователь, имеющий права на подключение компьютеров к домену).
5. Вводите полное DNS-имя существующего домена; при этом можно выбрать домен из списка существующих, нажав кнопку Обзор (Browse).
6. В следующих окнах мастера указываете дополнительные параметры (местоположение базы данных Active Directory, журналов регистрации событий, реплицируемого системного тома, а также пароль администратора для восстановления службы каталогов).
7. В появляющемся окне сводки проверьте правильность параметров и нажмите кнопку Далее и начнется процесс повышения роли сервера.
После перезагрузки компьютер будет работать как один из контроллеров указанного домена
Примечание
Если на сервере до начала процесса повышения роли была установлена служба DNS, то она полностью конфигурируется с использованием записей основного DNS-сервера.
Таким образом, легко получить резервный DNS-сервер, повысив отказоустойчивость сети. При этом предпочтительнее, если зоны DNS хранятся в Active Directory
Добавление к дереву дочерних доменов
Создать в существующем дереве дочерний (подчиненный) домен также можно с помощью мастера установки Active Directory:
1. Запустите программу Dcpromo.
2. Установите переключатель Контроллер домена в новом домене.
3. Введите полное DNS-имя существующего домена, который будет родительским для создаваемого домена, например, mycompany.com.
4. Введите краткое имя нового дочернего домена, например, finance. Тогда полное имя создаваемого домена будет finance.mycompany.com.
5. Введите или подтвердите NetBIOS-имя для нового домена.
6. Введите имя, пароль и название домена для учетной записи, имеющей административные полномочия в родительском домене.
7. Укажите дополнительные параметры (местоположение базы данных Active Directory и т. д.).
8. После проверки всех заданных параметров нажмите кнопку Далее - и начнется процесс повышения роли сервера.
После перезагрузки компьютер будет работать как первый контроллер домена в новом дочернем домене
Создание нового дерева в лесе
Процесс создания новых деревьев в существующем лесе аналогичен описанной выше процедуре создания дочерних доменов. Отличий совсем немного:
запустите мастер установки Active Directory, установите переключатель Контроллер домена в новом домене, укажите, что новый домен является первым доменом в новом дереве существующего леса (переключатель Создать новое доменное дерево), а затем введите полное DNS-имя нового дерева, например, new-corp.com (это имя не должно быть смежным ни с одним: из деревьев, существующих в выбранном лесе), и NetBIOS-имя нового домена.
После установки Active Directory и перезагрузки компьютер начнет работать как первый контроллер домена в новом дереве, при этом новый домен будет связан доверительными отношениями с корневыми доменами существующих деревьев.
Понижение контроллера домена
Для того чтобы превратить контроллер домена в рядовой сервер, также используется утилита DCPromo, т. е. мастер установки Active Directory.
Процесс понижения роли контроллера домена имеет ряд особенностей, связанных с количеством контроллеров в домене (доменах) и их функциями.
Если понижается контроллер домена, являющийся сервером глобального каталога, то будет выдано предупреждение
Его можно проигнорировать в двух случаях
- если контроллер домена - единственный и уничтожается вся доменная структура;
- если в лесе имеются другие контроллеры, выполняющие эту функцию.
В противном случае нужно назначить сервером глобального каталога другой контроллер домена и выполнить репликацию, после чего можно снова запускать мастер установки Active Directory.
Кроме того, мастеру установки Active Directory необходимо указать, является ли контролер домена последним в домене.
Если флажок Этот сервер - последний контроллер домена в данном домене (This server is the last domain controller in the domain) остается сброшенным (т. е. контроллер домена становится рядовым сервером), то в следующем окне нужно указать и подтвердить пароль администратора на выбранном компьютере.
Если же флажок установить (т. е. контроллер домена становится изолированным сервером, и домен полностью уничтожается), то в следующем окне нужно указать имя пользователя с правами администратора предприятия для этого леса, пароль и имя домена, а затем пароль, назначаемый администратору компьютера.
Выводится окно сводки, в котором можно проверить правильность выполняемых действий.
После нажатия кнопки Далее начинается сам процесс понижения роли сервера. После появления сообщения об удалении Active Directory с компьютера нужно перезагрузиться.
Переключение домена в основной режим
Домены Windows 2000 могут находиться в двух режимах
Смешанный режим (mixed mode)
Смешанный режим позволяет сосуществовать контроллерам доменов, работающим с программным обеспечением как Windows 2000, так и Windows NT более ранних версий.
В этом режиме включены некоторые возможности Windows NT Server более ранних версий и отключены некоторые возможности Windows 2000 Server.
Основной режим (native mode)
Все контроллеры работают с программным обеспечением Windows 2000 Server.
По умолчанию домены создаются в смешанном режиме. В этом режиме в состав доменов могут входить BDC-контроллеры Windows NT 4.0. После того как все BDC-контроллеры будут обновлены или удалены, можно переключить домен в основной режим.
Примечание
Множественная репликация (multi-master replication) между контроллерами домена в Windows 2000 выполняется всегда, даже в смешанном режиме
При переходе в основной режим в домене не должно быть BDC-контроллеров. После переключения в этот режим уже нельзя вернуться в смешанный режим и добавлять к домену контроллеры, работающие с программным обеспечением, отличным от Windows 2000 Server.
Как осуществить переключение режима работы домена мы увидим немного позже.
Переход к Active Directory
Active Directory имеет множество достоинств, однако, это весьма значительное изменение в существующих технологиях. Как же внедрить новое средство? С одной стороны, многие службы каталогов уже существуют, и имеются средства для их переноса в Active Directory. Для многих организаций самой важной из уже используемых каталогов является служба каталога Exchange, поэтому компания Microsoft предлагает утилиту Active Directory Connector (ADC) для Exchange 5.x, упрощающую миграцию.
Кроме этого, в большинстве организаций переход от Windows NT 4.0 к Windows 2000 не произойдет мгновенно и займет некоторое время.
Поэтому важно иметь возможность совместного использования в одном домене обеих операционных систем.
Для клиентов Windows NT 4.0 домен Windows 2000 выглядит как обычный домен Windows NT 4.0, для клиентов Windows 2000 как домен Windows 2000.
Для реализации такой возможности Контроллер домена Windows 2000 Server может эмулировать РDС-контроллер Windows NT Server 4.0. BDC-контроллеры в таком домене выполняют репликацию с контроллера домена Windows 2000 Server так, будто это традиционный PDC-контроллер.
Нужно понимать, что за этим стоит: для перехода от домена Windows NT Server 4.0 к домену Windows 2000 Server необходимо сначала обновить существующий PDC-контроллер, чтобы он смог загрузить в Active Directory имеющуюся учетную информацию (учетные записи пользователей, компьютеров и т. д.). Затем, по мере необходимости, можно обновить до Windows 2000 другие BDC-контроллеры, рядовые (member) серверы и клиентов.
В домене Windows 2000, в который входят BDC-контроллеры Windows NT 4.0, репликацию системного тома SYSVOL нужно настраивать дополнительными средствами/поскольку контроллеры домена на базе Windows 2000 не реплицируют эту информацию на BDC-контроллеры.
При переходе к Windows 2000 Server можно также пересмотреть существующую структуру домена. Лучше иметь меньшее число доменов, и, поскольку Active Directory позволяет использовать домены больших размеров, можно объединить несколько доменов в один. Если новый домен получится слишком большим, могут появиться проблемы с трафиком при репликации, однако с меньшим числом доменов все равно справиться легче.
Кроме того, Windows 2000 Server позволяет делегировать административные функции на уровне учетных записей, входящих в организационную единицу внутри домена, а не только на уровне домена.
Наконец, имеет смысл потратить больше времени на проектирование доменов и пространств имен внутри каждого домена. В среде Windows NT Server 4.0 во многих организациях домены "размножались" без должного контроля, что приводило к запутанной системе имен и доверительных отношений.
При использовании Active Directory создание эффективной структуры "с нуля" окупится в дальнейшем простотой администрирования сети.
Администрирование доменов в Active Directory. Часть I. Доверительные отношения - оснастка Active Directory and Trusted
Почему назван этот раздел - Администрирование доменов в Active Directory. Часть I? Потому как в этом разделе мы рассмотрим только вопрос доверительных отношений между доменами.
После установки контроллера домена в меню Пуск|Программы|Администрирование появится целый ряд оснасток Active Directory:
В сегодняшнем уроке нас интересует оснастка Active Directory домены и доверие (Active Directory Domains and Trusts). Скажем несколько слов о доверительных отношениях.
Принципиальное отличие доменов Windows 2000 от доменов Windows NT 4.0 заключается в том, что все домены Windows 2000 связаны между собой транзитивными доверительными отношениями, созданными с использованием протокола Kerberos, о нем мы поговорим позже. Эти отношения устанавливаются по умолчанию, автоматически, и являются двунаправленными. Под транзитивностью подразумевается тот факт, что все домены в дереве доверяют друг другу: т. е. если домен А доверяет домену Б, а домен Б доверяет домену В, то домен А также доверяет домену В. Такой подход упрощает администрирование доменов при сохранении высокого уровня безопасности.
В Windows 2000 помощью оснастки Active Directory домены и доверие администратор может просматривать все деревья доменов в лесу и управлять доменами, а также устанавливать доверительные отношения между доменами и настраивать режим работы домена (смешанный, mixed, или основной, native).
Данная оснастка позволяет конфигурировать дополнительные суффиксы основных имен пользователей (User Principal Name, UPN) для всего леса, которые облегчают пользователям процесс регистрации в Active Directory.
Суффиксы основных имен пользователей соответствуют стандарту RFC 822, принятому в Internet. Иногда их называют почтовыми адресами. По умолчанию суффикс леса совпадает с его DNS-именем.
Оснастку Active Directory домены и доверие можно запустить стандартным способом, подключив ее к консоли управления ММС, либо выбрав команду Пуск|Программы|Администрирование|Active Directory домены и доверие (Start|Programs|Administrative Tools|Active Directory Domains and Trusts). После загрузки оснастки Active Directory домены и доверие появляется окно, показанное на рисунке.
Для добавления дополнительных суффиксов UPN необходимо выполнить следующее:
1. Указать корневой узел оснастки Active Directory домены и доверие и нажать правой кнопкой мыши. В появившемся контекстном меню выбрать команду Свойства (Properties).
2. В открывшемся окне диалога введите дополнительные суффиксы UPN, нажимая кнопку Добавить (Add).
Изменение режима работы домена
Как мы уже указывали ранее, домены Windows 2000 могут работать в одном из двух режимов:
Смешанный режим (mixed mode) предполагает возможность одновременной работы контроллеров домена, основанных как на операционной системе Windows 2000 Server, так и на более ранних версиях Windows NT Server. Этот режим позволяет выполнять некоторые функции, характерные для более ранних версий Windows NT, и запрещает выполнение некоторых функций, характерных для Windows 2000.
Основной режим (native mode) предполагает, что все контроллеры домена работают в операционной системе Windows 2000 Server, при этом все клиентские компьютеры должны иметь поддержку (установленный на них клиент) Active Directory (это касается систем Windows 9x и Windows NT 4.0). В этом режиме можно применять такие новые средства, как универсальные группы, вложенные группы и т. д.
По умолчанию домен Windows 2000 начинает работать в смешанном режиме. При необходимости режим работы домена можно изменить на основной. Однако обратный переход невозможен.
Для перехода к основному режиму необходимо:
Указать домен, режим которого необходимо изменить, и нажать правую кнопку мыши. В открывшемся окне диалога выбрать команду Свойства.
На вкладке Общие (General) окна свойств домена нажать кнопку Сменить режим (Change Mode). После изменения режима перезапустите контроллер домена
Управление доверительными отношениями
Доверительные отношения, применявшиеся в сетях Windows NT 4.0, полностью поддерживаются в сетях Windows 2000.
Они могут быть использованы для создания однонаправленного доверия между доменами Windows 2000 в дереве каталога и другими доменами, находящимися за границей вашего леса, которые могут быть образованы серверами Windows 2000, Windows NT 4.0 или более ранних версий. Это поможет поддерживать существующую инфраструктуру при переходе на сеть, полностью основанную на Active Directory.
При создании нескольких доменов в одном дереве Active Directory автоматически устанавливаются междоменные двунаправленные доверительные отношения.
Это значит, что пользователь может, зарегистрировавшись только в одном домене, получить доступ ко всем ресурсам всех доменов дерева. При объединении нескольких деревьев в лес между корневыми доменами каждого дерева также устанавливаются двунаправленные доверительные отношения. В этом случае необходимость дополнительной настройки доверительных отношений не возникает.
Конфигурирование доверительных отношений требуется, если
1) Необходимо установить однонаправленные доверительные отношения (в случае, когда соображения безопасности заставляют исключить возможность общего использования каких-либо ресурсов компьютерной сети).
2) Возникла необходимость в установлении доверительных отношений между доменами, находящимися в различных лесах (организациях).
3) Должны быть установлены доверительные отношения между доменами Windows 2000 и Windows NT 4.
Для образования однонаправленных доверительных отношений необходимо выполнить следующее:
1) Запустить оснастку Active Directory-домены и доверие.
2) Указать домен, который должен принять участие в однонаправленном доверительном отношении, и нажать правую кнопку мыши. В появившемся контекстном меню выбрать команду Свойства.
3) В окне свойств домена перейдите на вкладку Доверия (Trusts).
Если другой домен, участвующий в отношении, должен стать доменом-доверителем (trusting), нужно нажать кнопку Добавить в группе Домены, которые доверяют этому домену (Domains that trust this domain). Если другой домен должен стать доверенным (trusted), нужно нажать кнопку Добавить в группе Домены, которым доверяет этот домен (Domains trusted by this domain).
4) В окне диалога Добавление домена-доверителя (Add Trusting Domain) или Добавление доверенного домена (Add Trusted Domain), соответственно, необходимо укащать имя второго домена, принимающего участие в однонаправленном доверительном отношении, пароль для регистрации в указанном домене и затем подтвердить его.
После нажатия кнопки ОК появится окно сообщения о том, что доверительное отношение не может быть проверено, поскольку не установлена вторая половина доверительного отношения.
5) Установить в окне оснастки указатель мыши на домен, который является второй стороной в доверительном отношении и имя которого было указано ранее на вкладке Доверия, и нажать правую кнопку мыши. В появившемся контекстном меню выбрать команду Свойства.
6) Повторить шаги 3 и 4, имея в виду, что роль домена изменилась на противоположную: если первый домен был доверителем, то второй домен должен быть доверенным, и наоборот.
После окончания конфигурирования нажать кнопку ОК.
Появится окно сообщения об успешном создании однонаправленного доверительного отношения
Для создания двунаправленного доверительного отношения между доменами, находящимися в различных лесах, следует повторить описанную выше процедуру, но поменять роли доменов. Тот домен, который был доверенным, должен стать доверителем, и наоборот.
Для создания доверительного отношения между доменами Windows 2000 и Windows NT 4.0 действия нам уже знакомы:
На главном контроллере (PDC) существующего домена Windows NT 4.0 с помощью утилиты User Manager for Domain (Диспетчер пользователей для домена) в меню Policies (Политики)->Trust Relationships (Доверительные отношения) добавить в список Trusting Domains (Домены-доверители) необходимые данные.
Теперь домен Windows 2000 доверяет существующему домену Windows NT 4.
Однако конфигурирование доверительного отношения не завершено до тех пор, пока домен, основанный на Windows 2000 Server, не подтвердит пароль.
Для этого на контроллере домена Windows 2000 запускается оснастка Active Directory - домены и доверие.
Указывается имя домена-доверителя и в окне свойств домена на вкладке Доверия по нажатию кнопки Добавить, расположенной рядом со списком Домены, которым доверяет этот домен, ввести имя существующего главного контроллера домена Windows NT 4.0 и тот же пароль, что был введен ранее.
По нажатию ОК, откроется окно сообщения об успешности завершения установки доверительного отношения.
Для проверки доверительного отношения зарегистрируйтесь на компьютере, входящем в домен Windows 2000, под учетной записью пользователя, существующей на главном контроллере домена Windows NT 4.0. Если этот шаг завершился успешно, доверительное отношение установлено правильно
Таким образом, мы с вами научились способам установки контроллеров домена, а далее займемся процессом управления его работой.
Администрирование доменов в Active Directory. Часть II. Оснастка Active Directory Users and Computers. Локальные и глобальные группы
Главной задачей сети - управлением общими ресурсами сети в Windows 2000 "занимается" оснастка Active Directory Users and Computers (Active Directory пользователи и компьютеры) предназначена для управления пользователями, группами, очередями печати и другими объектами каталога Active Directory.
Этот инструмент позволяет создавать объекты, настраивать их атрибуты и выполнять с ними ряд других операций.
Оснастка Active Directory пользователи и компьютеры работает на контроллере домена под управлением Windows 2000 Server; оснастка не устанавливается на изолированных серверах или рабочих станциях.
Работа этого инструмента возможна на рядовом сервере (member server), являющемся членом домена, и на компьютере с Windows 2000 Professional, входящем в домен Windows 2000: для этого на них необходимо установить пакет административных оснасток Windows 2000 Administrative Tools.
Оснастку Active Directory пользователи и компьютеры можно запустить изолированно в консоли ММС или из меню Пуск|Программы|Администрирование.
В открывшемся окне вы можете видеть встроенные папки со сгруппированными определенными объектами каталога, играющие важную роль в управлении Active Directory, такие как Builtin, Computers, System, Users и Domain Controllers. Давайте рассмотрим содержимое каждое из этих папок отдельно.
Builtin
Содержит встроенные локальные группы: Account Operators (Операторы учета), Administrators (Администраторы), Backup Operators (Операторы архива), Guests (Гости), Pro-Windows 2000 Compatible Access (Совместимый с пред-Windows 2000 доступ), Print Operators (Операторы печати), Replicator (Репликатор), Server Operators (Операторы сервера) и Users (Пользователи)
Computers
Содержит учетные записи всех компьютеров, подключаемых к домену. При выполнении обновления систем Windows более ранних версий служба Active Directory переносит учетные записи машин в папку Computers, откуда эти объекты могут быть перемещены
ForeignSecurityPrincipals
Контейнер для SID (идентификаторов безопасности) учетных записей пользователей из внешних доверенных доменов.
Users
Содержит информацию обо всех пользователях домена. При обновлении более ранних версий все .пользователи первоначального домена будут перенесены в эту папку. Так же, как и компьютеры, объекты этой папки могут быть перенесены в другие папки
Domain Controllers
Содержит информацию обо всех контроллерах домена
Примечание
Следует отметить такую деталь: если контроллер домена на базе русской версии Windows 2000 Server ставился "с нуля", то имена групп и встроенных пользователей будут выводиться по-русски. Если же этот контроллер ставился как дополнительный контроллер (реплика) и база данных Active Directory реплици-ровапась с американской версии Windows 2000 Server, то имена выводятся по-английски.
Перейдем к практике, и рассмотрим основные принципы создания и управления объектами Active Directory
Создание подразделения (организационной единицы)
Для создания подразделения, или организационной единицы (Organizational Unit, OU) необходимо выполнить следующее:
1. Выбрать объект типа "домен" и нажать правую кнопку мыши. В появившемся меню выбрать команду Создать|Подразделение (New|Organizational Unit) либо нажать кнопку Создание нового подразделения в текущем контейнере (Create a new organizational unit in a current container) на панели инструментов.
2. В открывшемся окне указать имя создаваемого подразделения и нажать кнопку ОК.
В результате в выбранном вами домене будет создано подразделение с заданным именем. В дальнейшем внутри него можно создать вложенные подразделения.
Создание учетной записи пользователя
Теперь посмотрим, как создаются в домене учетные записи пользователей, например пользователя с идентификатором Sidorov:
1. Сначала необходимо указать подразделение, в котором вы хотите создать учетную запись, и нажать правую кнопку мыши. В появившемся меню выберите команду Создать|Пользователь.
2. В появившемся окне диалога Новый объект Пользователь (New Object User) в поле Имя входа пользователя (User logon name) следует указать идентификатор, в поле Имя (First name) - имя пользователя, в поле Фамилия (Last name) - фамилию пользователя, в поле Полное имя (Full name) автоматически появятся имя и фамилия пользователя.
При необходимости содержимое последнего поля можно откорректировать. После ввода всей необходимой информации в следующем окне в полях ввода Пароль (Password) и Подтверждение (Confirm password) необходимо задать пароль учетной записи пользователя.
3. Если вы не хотите, чтобы пользователь принудительно сменил пароль при первой регистрации в сети, нужно сбросить флажок Потребовать смену пароля при следующем входе в систему (User must change password at next logon).
4. В случае, если пользователь может не изменять пароль в течение неограниченного времени, нужно установить флажок Срок действия пароля не ограничен (Password never expires).
5. Установленный флажок Запретить смену пароля пользователем (User cannot change password) запрещает пользователю самостоятельно изменять свой пароль.
6. Если только что созданная учетная запись по каким-либо причинам должна быть заблокирована, необходимо установить флажок Отключить учетную запись (Account disabled).
7. В итоге настройки создаваемой учетной записи в окне диалога, запрашивающего подтверждение правильности выполняемого действия, нажимаем кнопку Готово (Finish).
И в результате в подразделении будет создана учетная запись пользователя с именем Sidorov
Если необходимо ввести какую-либо дополнительную информацию о пользователе или осуществить изменения уже существующих настроек достаточно выбрать учетную запись этого пользователя и, нажав правой кнопкой мыши, в появившемся меню выбрать Свойства.
Внести затем все необходимые изменения и нажать кнопку ОК.
Перемещение учетной записи пользователя
Учетную запись пользователя можно перемещать из одного подразделения в другое в пределах одного домена или между доменами. Для соответствующего перемещения учетной записи этого пользователя необходимо:
Щелкнуть на подразделении, откуда требуется перенести пользователя и указать учетную запись пользователя, которую следует перенести. Нажав правой кнопкой мыши в меню выбрать команду Переместить (Move), а в появившемся окне Переместить выбрать целевое подразделение.
Как правило, необходимость переноса учетных записей пользователей из папки Users в другие подразделения возникает при обновлении более ранних версий Windows NT Server на Windows 2000 Server
Создание группы
В процессе установки домена Windows 2000 в нем создается несколько встроенных групп, обладающих определенным набором прав. Их можно использовать для присвоения администраторам или пользователям определенных ролей или прав доступа в домене.
К встроенным относятся перечисленные ниже группы.
Локальные группы в домене:
Администраторы (Administrators)
Гости (Guests)
Операторы архива (Backup Operators)
Операторы печати (Print Operators)
Операторы сервера (Server Operators)
Операторы учета (Account Operators)
Пользователи (Users)
Репликатор (Replicator)
Совместимый с пред-Windows 2000 доступ (Pre-Windows 2000 CompatibleAccess)
Глобальные группы
Администраторы домена (Domain Admins)
Владельцы-создатели групповой политики (Group Policy Creator Owners)
Гости домена (Domain Guests)
Издатели сертификатов (Cert Publishers)
Компьютеры домена (Domain Computers)
Контроллеры домена (Domain Controllers)
Пользователи домена (Domain Users)
Универсальные группы:
Администраторы предприятия (Enterprise Admins)
Администраторы схемы (Schema Admins)
Все эти группы служат для назначения разрешений доступа пользователям, на которых возложено выполнение в данном домене каких-либо административных функций.
Универсальные группы создаются только на контроллерах корневого (первого в лесе) домена. В зависимости от установленных на сервере служб могут быть и дополнительные встроенные группы, локальные в домене или глобальные.
По умолчанию все встроенные локальные группы домена находятся в папке Builtin объекта домена.
Все встроенные глобальные группы находятся в папке Users.
Встроенные группы можно переносить в другие контейнеры или подразделения в пределах домена.
По умолчанию каждая созданная в домене учетная запись автоматически становится членом группы Пользователи домена. Кроме того, группа Пользователи домена является членом локальной в домене группы Пользователи.
Любой объект типа Компьютер (Computer) при создании по умолчанию автоматически включается в группу Компьютеры домена.
Группа Администраторы домена объединяет всех пользователей, имеющих полный административный доступ в домене. По умолчанию Администраторы домена являются членами локальной в домене группы Администраторы.
Группа Гости домена объединяет все учетные записи, с помощью которых можно зарегистрироваться в домене без пароля и получить минимальные права доступа. По умолчанию Гости домена являются членами локальной в домене группы Гости.
Помимо перечисленных выше встроенных групп, при установке домена Windows 2000 создаются особые группы, обладающие дополнительными свойствами; среди них группы
- ВСЕ (Everyone)
- объединяет всех существующих и создаваемых пользователей сети, включая гостей и пользователей других доменов.
- СЕТЬ (Network)
- объединяет всех пользователей, получивших доступ к данному ресурсу по сети (в отличие от пользователей, получивших доступ к ресурсу локально).
- ИНТЕРАКТИВНЫЕ (Interactive)
- объединяет всех пользователей, получивших доступ к данному ресурсу, зарегистрировавшись локально на компьютере, где находится этот ресурс
Состав членов указанных трех групп нельзя просмотреть или модифицировать. Однако любой из групп можно предоставить различные полномочия.
Помимо перечисленных выше встроенных групп администратор может создать любое количество групп пользователей и предоставить им необходимый набор прав и разрешений. Посмотрим, что необходимо выполнить для создания группы:
1. Выбирается подразделение, где следует создать группу, по нажатию правой кнопкой мыши выбирается команда Создать|Группа (Group), либо можно воспользоваться кнопкой Создание новой группы в текущем контейнере (Create New Group in a Current Container) на панели инструментов.
2. В открывшемся окне диалога Новый объект Группа в поле Имя группы (Group name) нужно ввести имя создаваемой группы.
По умолчанию вводимое имя группы автоматически заносится в поле Имя группы (пред-Windows 2000) (Group name (pre-Windows 2000)).
3. Теперь нужно с помощью переключателя Тип группы (Group type) выбрать соответствующий типу создаваемой группы:
Группа безопасности (Security)
Группа распространения (Distribution) .
Первый тип группы служит для предоставления пользователям определенного набора прав доступа к таким ресурсам сети, как файлы и принтеры.
Второй тип группы служит только для распространения информации в сети, например в качестве списков рассылки электронной почты. Следует отметить, что группы безопасности могут использоваться в качестве групп распространения.
Затем выбрать подходящую область действия создаваемой группы, установив в одно из положений переключатель Область действия группы (Group scope). Область действия группы определяет, где может быть видна данная группа (уровень доступности) и какие типы объектов могут быть ее членами. Следующая таблица показывает нам соответствие области действия и других свойств группы.
Итак, мы создали новую группу в домене, тем необходимо добавить пользователя в эту группу.
Для добавления пользователя в группу необходимо:
Указать группу, в которую вы хотите добавить пользователя, и по правой кнопке мыши в меню выберите команду Свойства.
Появится окно свойств группы. Переходим на вкладку Члены группы (Members) окна свойств и нажимаем кнопку Добавить. Появится окно Выбор: Пользователи, Контакты или Компьютеры (Select Users, Contacts, or Computers). Здесь можно задать область выполнения запроса: весь каталог, определенный домен или определенная часть дерева подразделения внутри домена. Обратите внимание, что каталог может состоять из множества доменов.
Щелкнув мышкой на имени добавляемого пользователя нажимаем кнопку Добавить.
Нажав клавишу Ctrl и одновременно выполняя щелчки на нужных объектах, в этом диалоговом окне можно одновременно выбрать несколько пользователей или групп. В результате все выбранные объекты станут членами соответствующей группы.
Итак, учетные записи пользователей домена созданы, они включены в соответствующие группы домена, теперь необходимо раздать пользователям ресурсы.
"Раздача" ресурсов в общее пользование. Вложенные группы
Публикация общей папки
Любая папка, для которой организован общий доступ, включая папку DFS, может быть опубликована в Active Directory.
Публикация заключается в создании в Active Directory объекта типа "общая папка".
Сама публикация не подразумевает автоматическое обеспечение общего доступа к папке, поэтому процесс публикации состоит из двух этапов:
1. Обеспечение общего доступа к папке.
2. Ее публикация в Active Directory в виде объекта каталога
Для публикации общего ресурса в виде объекта каталога необходимо выполнить следующее:
1. В оснастке Active Directory - пользователи и компьютеры указать подразделения, где необходимо опубликовать общую папку, и по правой кнопке мыши в появившемся меню выбрать команду Создать|Общую папку(New|Shared Folder).
2. В открывшемся окне в поле Имя (Name) задать имя, которое получит опубликованная папка.
3. Затем ввести значение UNC-имя общей папки в формате в поле Сетевой путь к общему ресурсу (серверресурс) (Network Path (servershare)).
Определенным неудобством является то, что система не проверяет существование указанного общего ресурса и не позволяет выбрать его в диалоговом режиме
Теперь при просмотре дерева Active Directory пользователи могут видеть опубликованную папку.
А для того чтобы просмотреть общую папку необходимо на рабочем столе зайти в папку Мое сетевое окружение (My Network Places), выбрать значок Вся сеть (Entire Network), и затем Папка (Directory). Щелкнуть на имени вашего домена и затем на папке, где расположена необходимая общая папка, в данном случае это подразделение Lesson, папка Documents.
Если в открывшемся окне указать общую папку и нажать правой кнопкой мыши, а в появившемся меню выбрать команду Открыть (Open), то вы увидите все файлы, находящиеся в выбранной папке.
Публикация принтеров
Принтеры, подключенные к системам Windows 2000
Принтер, общий доступ к которому осуществляется через компьютер с Windows 2000, публикуется привычным способом: с помощью вкладки Доступ (Sharing) окна свойств принтера.
По умолчанию принтер, к которому организуется общий доступ, публикуется автоматически. Он находится в каталоге в соответствующем контейнере компьютера. При обращении к нему нужно указать имя в формате Имя_сервера-Имя_принтера. Подсистема печати будет автоматически распространять в Active Directory информацию обо всех изменениях атрибутов принтера (местоположения, описания, загруженной бумаги и т. д.).
Для того чтобы обеспечить общий доступ к принтеру, а затем опубликовать его в каталоге необходимо выполнить следующее:
1. С помощью обычной процедуры (Пуск|Настройка|Принтеры|Установка принтера(Start |Settings|Printers|Add Printer)) можно создать новый принтер и разрешить общий доступ к нему.
2. После успешного завершения создания принтера автоматически выполняется его публикация в Active Directory.
Принтеры, работающие в других системах
В каталоге Active Directory могут быть опубликованы общие принтеры, работающие в системах, отличных от Windows 2000 (например, Windows NT или Windows 9x). Такие принтеры проще всего опубликовать с помощью сценария pubprn, который публикует все общие принтеры, находящиеся на указанном сервере. Сценарий расположен в каталоге %SystemRoot%System32. Его синтаксис:
cscript pubprn.vbs сервер [trace]
Например:
cscript pubprn.vbs prservl "LDAP://ou=Office, dc=BHV, dc=ru"
В данном случае все принтеры на сервере prservl будут опубликованы в подразделении Office.
Этот сценарий копирует только следующее подмножество атрибутов принтера:
Местоположение (Location)
Модель (Model)
Комментарий (Comment)
Путь UNC (UNCPath)
Другие атрибуты можно добавить с помощью оснастки Active Directory -пользователи и компьютеры. Обратите внимание, что сценарий pubprn может быть выполнен повторно. В этом случае информация о существующем принтере будет обновлена.
Другой способ публикации принтеров, работающих в других (не-Windows 2000) системах, с помощью оснастки Active Directory - пользователи и компьютеры:
В этом случае необходимо выбрать подразделение, в котором вы хотите опубликовать принтер, и нажать правой кнопкой мыши. В появившемся меню выберать команду Создать (New)|Принтер (Printer);
Затем в поле Сетевой путь к пред-Windows 2000 общему ресурсу печати (Network path of the pre-Windows 2000 print share) ввести полный путь к принтеру, а в окне Имя (Name) ввести с клавиатуры имя принтера, под которым он будет опубликован.
Чтобы увидеть опубликованный принтер в каталоге и подключиться к нему, так же, как и в случае общего каталога, следует открыть папку Мое сетевое окружение -> Вся сеть (Entire Network)-> Папка (Directory), выбрать имя домена и зайти в папку (подразделении), где расположен необходимый принтер. Затем указать имя просматриваемого принтера, нажать правой кнопкой мыши и в появившемся меню выберите команду Подключить (Connect) для установки принтера как локального, или Открыть (Open) для просмотра текущего состояния, очереди печати.
Работа с объектами типа "компьютер"
Объект типа "компьютер" автоматически создается при включении компьютера в домен. Этот объект можно также создать заранее.
Для создания объекта "компьютер" следует:
1. Выбрать подразделение, где будет создан объект "компьютер", нажать правой кнопкой мыши и в появившемся меню выбрать команду Создать|Компьютер(New|Computer).
2. В открывшемся окне Новый объект Компьютер (New Object Computer) введите с клавиатуры имя компьютера. Вместо имени можно ввести его полный адрес. Например, windows2000.BHV.ru. Также следует проверить правильность NetBIOS-имени компьютера в поле Имя компьютера (пред-Wiadows 2000) (Computer name (Pre-Windows 2000)). Обратите внимание, что компьютеры Windows 2000 автоматически обновляют свои сетевые адреса в каталоге.
3. С помощью кнопки Изменить можно выбрать пользователя или группу, которым будет дано право подключить данный компьютер к домену.
4. Если созданный объект "компьютер" будет использоваться компьютерами под управлением более ранних версии Windows NT, необходимо установить флажок Разрешать использование этой учетной записи на пред-Windows 2000 компьютерах (Allow pre-Windows 2000 computers to use this account
После создания объекта "компьютер" можно управлять им удаленно, диагностируя службы, работающие на этом компьютере, просматривая события и т. д.
Для того чтобы управлять компьютером удаленно необходимо:
1. В окне оснастки Active Directory пользователи и компьютеры указать имя компьютера, нажать правой кнопкой мыши. В появившемся меню выберите команду Управление (Manage).
2. Для выбранного компьютера будет запущена оснастка Управление компьютером (Computer Management). Теперь с ее помощью можно осуществлять задачи управления данным компьютером.
Итак, мы с вами рассмотрели, как создавать объекты Active Directory, теперь увидим, как можно ими управлять.
Любой объект в Active Directory можно переименовать или удалить. При этом следует соблюдать особую осторожность, чтобы не удалить объекты, необходимые для работы системы. Большинство объектов разрешено перемещать в различные контейнеры.
Для переименования объекта следует указать нужный объект, нажать правой кнопкой мыши и в появившемся контекстном меню выбрать команду Переименовать (Rename
Если необходимо удалить объект - выбрать команду Удалить (Delete), либо нажать клавишу Del на клавиатуре.
Если необходимо переместить объект - выбрать команду Переместить (Move). Запустится браузер каталога, позволяющий выбрать контейнер, куда будет перемещен объект
Теперь поговорим еще об одном важнейшем новшестве операционной системы Windows 2000 Server, которым можно пользоваться в основном (native) режиме домена, - это вложенные группы (nested groups).
Вложенные группы
Применяя вложенные группы, можно значительно сократить затраты на управление объектами Active Directory и уменьшить трафик, вызванный репликацией изменений членства в группах. Возможности вложенных групп зависят от режима работы домена.
Если домен работает в основном режиме, то применение вложенных групп подчиняется следующим правилам
1) Универсальные группы могут иметь в качестве своих членов учетные записи пользователей и компьютеров, другие универсальные группы и глобальные группы из любого домена.
2) Глобальные группы могут содержать учетные записи своего домена и глобальные группы своего домена.
3) Локальные в домене группы могут иметь в качестве своих членов учетные записи пользователей и компьютеров, универсальные группы и глобальные группы (все указанные объекты могут быть из любого домена), а также другие локальные группы своего домена
В смешанном (mixed) режиме группы безопасности могут быть вложены в соответствии со следующими правилами
1) Глобальные группы могут иметь в качестве своих членов только учетные записи пользователей и компьютеров.
2) Локальные в домене группы могут иметь в качестве своих членов учетные записи пользователей и компьютеров, а также глобальные группы
Чтобы понять, как работают вложенные группы, выберем одно из подразделений и по правой кнопке мыши в появившемся меню выберем команду Создать|Группа.
В качестве имени новой группы введите с клавиатуры Group1.
Теперь таким же образом создадим еще две группы Group11 и Group111. Области действия вложенных групп должны соответствовать описанным выше правилам.
Указываем группу Group1 и по правой кнопке мыши в появившемся меню выбираем Свойства.
В этом окне включаем группу Group11 в члены группы Group1. Для этого на вкладке Член групп (Member Of) окна свойств группы Group11 нажимаем кнопку Добавить и выбираем Group1.
Теперь указываем группу Group111 и нажмите правую кнопку мыши. В окне Свойства для данной группы включаем группу Group111 в члены группы Group11.
И так далее. Ограничений на число уровней вложенных групп нет.
Итак, мы с вами рассмотрели общие принципы управления ресурсами средствами Active Directory - создание объектов Active Directory, управление ими, создание ресурсов общего пользования, познакомились с новыми особенностями администрирования, которые предоставляет Windows 2000.
Комментариев нет:
Отправить комментарий