8265
.pdfActiveDirectoryDomainsandTrustsпозволяет осуществлять управление доверительными отношениям и между доменами.
Оснастка ActiveDirectorySchemaпозволяет осуществлять управление содержимым схемы, создавать новые классы атрибутов и объектов. Эта утилита не создается по умолчанию. Администратор должен создать ее самостоятельно, загрузив соответствующую оснастку в пустую консоль ММС
Двапрограммныхпродукта, выпускаемыхкомпаниейMicrosoft,
аименноActiveDirectoryServiceInterfaces (ADSI)иWindowsScriptHost (WSH
— сервер сценариев Windows),
позволяютреализоватьединыйподходкуправлениюразличнымиплатформами ипрограммнымипродуктами. Для администраторов интерфейсы ADSI являются весьма ценным инструментальным средством, поскольку они достаточно просты в изучении и использовании и могут значительно облегчить выполнение объемных или типовых (часто повторяемых) операций. Например, с помощью ADSI вы можете создать программу экспорта/импорта, максимально соответствующую требованиям вашей доменной конфигурации, или специализированную утилиту миграции данных между различными каталогами.
После того как на базе некоторого сервера под управлением WindowsServer создан контроллер домена, в группе AdministrativeTools (Администрирование) на панели управления появляются новые инструменты.
Перечисленные оснастки входят в состав пакета WindowsServerAdministrativeTools. Они могут быть установлены на любом компьютере под управлением WindowsServer, входящем в состав леса доменов.В этом случае оснастки SecurityPolicy(Политики безопасности) не появляются в меню Start (Пуск).
ActiveDirectoryDomainsandTrusts (ActiveDirectory — домены и дове-
рия) Выбор администрируемого домена в больших лесах. Просмотр режима работы домена. Создание, проверка и удаление доверительных отношений между доменами.
ActiveDirectorySitesandServices(ActiveDirectory— сайты и службы)
Создание и изменение сайтов, транспортов и подсетей. Настройка расписаний репликации и связей (links). Запуск репликации между контроллерами домена. Установка разрешений на объекты. Привязка объектов групповой политики (GPO) к сайтам. Запуск серверов глобального каталога на контроллерах домена.
ActiveDirectoryUsersandComputers (ActiveDirectory — пользователи и компьютеры) Создание и изменение объектов каталога (пользователей,
22
групп, подразделений и т. д.). Установка разрешений на объекты. Привязка объектов групповой политики (GPO) к доменам и подразделениям (OU). Управление специализированными ролями (FSMO).
DomainControllerSecurityPolicy(Политика безопасности контролле-
ра домена) Модификация узла SecuritySettings(Параметры безопасности) объекта групповой политики, привязанного к подразделению DomainControllers. Для редактирования всего GPO используйте оснастку GroupPolicyObjectEditor.
DomainSecurityPolicy(Политика безопасности домена) Модификация узла SecuritySettingsобъекта групповой политики, привязанного к контейнеру домена. Для редактирования всего GPO используйте оснастку GroupPolicyObjectEditor.
GroupPolicyObjectEditor (Редактор объекта групповой политики)
Модификация объекта групповой политики, привязанного к некоторому контейнеру ActiveDirectory(сайту, домену, подразделению) или хранящегося локально на компьютере. Эта оснастка не отображается в меню Start (Пуск), однако она доступна из других административных оснасток или может быть добавлена к пользовательской консоли ММС.
1.6. Режимы делегирования полномочий.
Рис. 3.4 Режимы делегирования административных полномочий. Контейнер Sites Делегированные на этом уровне полномочия распро-
страняются на все сайты леса доменов.
Контейнер Inter-SiteTransportНа этом уровне могут быть делегированы полномочия для управления соединениями сайтов (создание, конфигурирование или удаление), а также транспортами репликации.
23
Контейнер Subnets На этом уровне администратор может делегировать полномочия для управления подсетями, образующими сайты (создание, изменение и удаление).
Конкретный сайт Используя этот уровень делегирования, администратор может предоставить полномочия на управление сайтом (в том числе и управление процессом репликации).
Конкретный домен На этом уровне администратор может делегировать полномочия на включение клиентов в состав домена, а также полномочия на управление ссылками групповой политики на уровне домена.
Конкретное подразделение (OU) На этом уровне администратор может делегировать некоторым пользователям полномочия, действие которых ограничивается выбранным подразделением.
Рис. 3.5 Выбор задач для делегирования и отзыв делегированных полномочий.
1.7. Задание и изменение свойств учетной записи пользователя домена
Требования к паролю:
Использование паролей, которые сложно разгадать. Пароли не должны содержать явные ассоциации, например, имена членов семьи.
Пароль может содержать до 128 символов, минимальная рекомендуемая длина - 16 символов.
Пароль должен содержать прописные и строчные буквы, цифры и допустимые специальные символы.
Параметры учетных записей:
Можно задать время, когда пользователь может входить в сеть, и компьютеры.
Практикум. Изменение параметров учетных записей пользователей
24
Необходимо зарегистрироваться на Server как Administrator с паролем password.
РаскрытьменюStart\Programs\AdministrativeTools, щелкнутьярлыкActiveDirectoryUsersAndComputers. Откроется одно-
именная оснастка.
Раскрыть в дереве консоли узел microsoft.com.
Выбрать папку Users.
Создать папку Sales. Создать пользователей: себя, друга и подругу.
(Irina, Alla, Sergey).
В правой панели необходимо дважды щелкнуть учетную запись Irina. Откроется диалоговое окно свойств учетной записи с выбранной вкладкой General (Общие). На вкладке General, помимо имени и фамилии, определяются и другие свойства учетной записи. Поиск пользователей облегчают поля Office (Комната) и TelephoneNumber(Номер телефона).
На вкладке Account (Учетная запись) следует щелкнуть кнопку LogonHours(Время входа). Откроется диалоговое окно LogonHoursForIrinaKuklina. Необходимо заметить, что пользователю Irina вход в систему разрешен в любое время.
Чтобы ограничить время входа в систему пользователя Irina, следует щелкнуть время начала первого периода, в течение которого Вы хотите запретить ему вход в систему, и перетащить указатель на время окончания этого периода. Для этого необходимо определить текущие день и время и запретить вход на ближайшие 3 часа.Запретный период отображается в левой нижней части диалогового окна LogonHoursForIrinaKuklina(Время входа для IrinaKuklina).
Рис. 1.6 Работа с учетной записью.
25
Следует щелкнуть переключатель LogonDenied(Вход запрещен). Выделенный период изменит цвет на белый — пользователю запрещен вход в систему в течение этого срока.
Чтобы закрыть диалоговое окно LogonHoursForIrinaKuklina, щелкнуть кнопку ОК.
Применить параметры, щелкнув ОК в диалоговом окне Irina Kuklina Properties.
На правой панели дважды щелкните Sergey. Откроется диалоговое окно свойств учетной за-писи Sergey с выбранной вкладкой General (Общие).
Необходимо перейти на вкладку Account (Учетная запись).
Когда окончится срок действия данной учетной записи?
В группе Accountexpires(Срок действия учетной записи) необходимо щелкнуть переключатель EndOf(Истекает) и задать текущую дату.
Необходимо применить внесенные изменения, щелкнув кнопку ОК.
Рис. 1.7 Изменение срока действия учетной записи.
Следует щелкнуть папку Sales в дереве консоли. В правой панели появится учетная запись Alla.
Дважды щелкнуть учетную запись Alla.
Откроется окно Alla Properties с выбранной вкладкой General.
Следует перейти на вкладку Account (Учетная запись).
26
В списке AccountOptions(Параметры учетной записи) следует пометить флажок UserMustChangePasswordAtNextLogon(Потребовав смену пароля при следующем входе в систему).
Закрыть окно Alla Properties (Свойства: Alla), щелкнуть кнопку ОК.
Закрытьоснастку Active Directory Users And Computers.
В меню Start выбрать команду ShutDown(Завершение работы) Откроется диалоговое окно ShutDownWindows(Завершение работы Windows).
Выбрать в списке LogOffAdministrator(Завершение сеанса Администратор), щелкнуть ОК.
Windows завершит сеанс пользователя Administrator и выведет на экран окно сообщения WelcomeToWindows.
Следует нажать клавиши Ctrl+Alt+Deleteи перейти к следующему заданию.
Войти на Server с учетной записью пользователя
Используется для входа на Server учетную запись Alla.
Необходимо войти в систему без пароля как Alla. Появится сообщение, что срок действия Вашего пароля закончился и его следует сменить.
Следует щелкнуть кнопку ОК. Откроется диалоговое окно ChangePassword с курсором в поле OldPassword.
Поскольку учетной записи пользователя Alla не присвоен пароль, следует нажать клавишу Tab.
ВполяхNewPasswordиConfirmNewPassword, ввестиstudentищелкнутьОК.
Появится сообщение, что Ваш пароль изменился.
Необходимо закрыть окно сообщения, щелкнув кнопку ОК. Вошли ли Вы в систему? Почему?
Закрыть окно сообщения, щелкнув кнопку ОК.
Предоставление учетным записям пользователей права локального входа в систему
Группа - это объединение учетных записей пользователей. Она облегчает администрирование, позволяя давать права всем ее членам, а не каждой индивидуальной учетной записи.
Необходимо зарегистрироваться в системе как Administrator с паролем password.
Открыть оснастку ActiveDirectoryUsersAndComputersи в дереве консоли раскрыть ОП Sales.
27
В правой панели дважды щелкнуть учетную запись пользователя Alla. Откроется диалоговое окно Alla Properties (Свойства: Alla) с выбранной вкладкой General.
Перейти на вкладку MemberOf(Член групп).
Щелкнуть кнопку Add (Добавить). Откроется диалоговое окно SelectGroups(Выбор: Группа).
Щелкнуть PrintOperators(Операторы печати).
Рис. 1.8 Включение пользователя в группу Операторы печати.
Щелкнуть кнопку Add (Добавить), затем — ОК, чтобы закрыть окно SelectGroups(Выбор: Группа).
Необходимо закрыть диалоговое окно Alla Properties (Свойства: Alla), щелкнув ОК. Далее стоит использовать более простой способ добавить учетные записи для Irina Kuklina и Sergey в группу Print Operators.
Следует щелкнуть папку Users в дереве консоли.
В правой панели щелкнуть Irina Kuklina и, удерживая клавишу Ctrl, Щелкнуть Sergey.
В меню Action (Действие) выбрать команду AddMembersToGroup(Добавить участников в группу). Откроется диалоговое окно Select Group.
Щелкнуть PrintOperators(Операторы печати). ActiveDirectoryсообщит об успешном добавлении пользователей в группу.
Щелкнуть кнопку ОК.
28
Необходимо закрыть оснастку ActiveDirectoryUsersAndComputersи за-
вершить свой сеанс.
Следует попытаться войти в систему как Alla с паролем student. Заметьте: Можно локально войти в систему по учетной записи Alla.
Необходимо попытаться войти в систему как Irina Kuklina без пароля. Не получиться войти в систему из-за ограничения учетной записи пользователя. Ранее было ограничено время входа в систему пользователя
Irina.
Необходимо попытаться войти в систему как Sergey без пароля. Разрешен вход в систему по учетной записи Sergey. Так как ранее был ограничен срок действия учетной записи этого пользователя до конца дня. Завтра войти в систему с его реквизитами будет нельзя.
Необходимо завершить сеанс на Server.
Свойства, определенные для доменных записей, применяются пользователями для поиска в хранилище ActiveDirectory. Поэтому доменным учетным записям надо задавать подробные характеристики. Например, пользователь знает имя и телефон человека и хочет найти его фамилию. Фамилию можно найти по номеру телефона.
На основании потребностей конкретного пользователя для каждой доменной учетной записи необходимо настроить:
личные реквизиты, включая информацию на вкладках General (Общие),
Address (Адрес), Telephones (Телефоны) и Organization (Организация);
параметры учетной записи;
параметры времени входа;
параметры регистрации с рабочих станций.
Чтобы изменить доменную запись, в оснастке ActiveDirectoryUserAndComputers дважды щелкните объект пользователя, свойства которого хотите изменить.
Чтобы изменить локальную учетной записи, в оснастке ComputerManagement, необходимо выбратьLocalUsersAndGroups(Локальные пользователи и группы) и дважды щелкнуть объект, свойства которого необходимо изменить.
Локальная учетная запись позволяет входить в систему и получать доступ к ресурсам только на том компьютере, на котором создана эта запись. Для создания локальных учетных записей служит оснастка Local Users And Groups (Локальные пользователи и компьютеры).
Можно создать локальные учетные записи только на компьютерах с Windows Professional и изолированных или рядовых (не имеющих статуса
29
контроллера) серверах с Windows Server. Локальные учетные записи сохраняются не в каталоге домена, а в БД безопасности компьютера, на котором они были созданы.
Набор свойств по умолчанию связан со всеми доменными и локальными учетными записями. Свойств у первых больше, чем у вторых. Свойства локальных учетных записей представляют собой подмножество свойств доменных учетных записей.
Свойства, определенные для доменных записей, применяются пользователями для поиска в хранилище Active Directory. Поэтому доменным учетным записям надо задавать подробные характеристики. Например, пользователь знает имя и телефон человека и хочет найти его фамилию. Фамилию можно найти по номеру телефона.
На основании потребностей конкретного пользователя для каждой доменной учетной записи необходимо настроить:
личные реквизиты, включая информацию на вкладках General (Общие), Address (Адрес), Telephones (Телефоны) и Organization (Организация);
параметры учетной записи;
параметры времени входа;
параметры регистрации с рабочих станций.
Чтобы изменить доменную запись, в оснастке Active Directory User And Computers следует дважды щелкнуть объект пользователя, свойства которого необходимо изменить.
Чтобы изменить локальную учетной записи, в оснастке Computer Management, следует выбрать Local Users And Groups (Локальные пользователи и группы) и дважды щелкнуть объект, свойства которого следует изменить.
Диалоговое окно свойств
Содержит для всех учетных записей набор вкладок, позволяющих настраивать свойства для определенного пользователя. Вкладки General (Общие), DialIn (Входящие звонки), Member Of (Член групп) и Profile (Профиль) относятся к локальным учетным записям, остальные – к доменным.
Вкладки личных свойств
ВключаютвкладкиGeneral, Address, TelephonesиOrganization. Haстройка атрибутов этих вкладок позволяет пользователям и администраторам искать пользователей в Active Directory:
Вкладка Содержание
General (Общие) Имя, местоположение офиса, телефон, адрес электронной почты и домашней страницы пользователя
30
Address (Адрес) Улица, почтовый ящик, город, штат или провинция, почтовый индекс и страна проживания пользователя
Telephones (Телефоны) Номера домашнего телефона, пейджера, мобильного телефона, факса, IP-телефона пользователя и комментарии
Organization (Организация) Должность, отдел, руководитель и прямые подчиненные
Вкладка Account
Вкладка Account (Учетная запись) позволяет определять имя пользователя для входа в систему и задавать другие параметры учетной записи. Некоторые из этих параметров устанавливаются по умолчанию при создании объекта пользователя в хранилище Active Directory. Можно изменять эти свойства, а также настраивать дополнительные свойства.
Вкладка Profile
Профили пользователя автоматически создают и поддерживают индивидуальные параметры рабочего стола для работы пользователя на любом локальном компьютере домена. Вкладка Profile (Профиль) позволяет указать путь к сетевому ресурсу, где сохраняются профили пользователя. Кроме того, для учетной записи можно задать сценарий регистрации и домашнюю папку.
Вкладка Published Certificates
Сертификат (certificate) представляет собой набор данных для проверки подлинности и безопасного обмена информацией по незащищенным сетям, таким как Интернет. Сертификат гарантированно связывает открытый ключ шифрования с объектом, который содержит соответствующий закрытый ключ шифрования. Вкладка Published Certificates (Опубликованные сертификаты) отображает список сертификатов Х.509 для учетной записи пользователя.
Вкладка Member Of
Группы применяются для упрощения администрирования. Например, предоставьте группе разрешение NTFS, а затем добавьте в и нескольких пользователей. Полномочия распространяются на всех членов группы. Вкладка Member Of (Член групп) отображает группы, членом которых является пользователь.
Вкладка Dial-In
Вкладка Dial-In (Входящие звонки) позволяет контролировать, как пользователь выполняет телефонное подключение к сети. Для получения доступа к сети пользователь соединяется с компьютером, на котором работа-
ет служба Remote Access Service (RAS).
31