Текст книги "Самоучитель системного администратора"
Автор книги: Александр Кенин
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 12 (всего у книги 39 страниц) [доступный отрывок для чтения: 14 страниц]
асинхронный вариант выполнения сценария.
Поскольку в последних версиях Windows возможности управления из командной
строки существенно расширены, то с помощью подобных сценариев можно выпол-
нять практически любые действия: подключать сетевые диски в зависимости от
членства пользователя в группе безопасности или в OU, переопределять принтеры,
осуществлять копирование файлов и т. п.
Преимущество этого способа управления – выполнение сценария при каждом
входе в систему и максимальная простота настройки (например, создали один сце-
нарий и настроили его выполнение для всех пользователей). Недостаток – сцена-
рии выполняются от имени учетной записи пользователя. Если пользователь не
1 Групповые политики позволяют задать выполнение сценария входа для компьютера. Но на практике
автор не встречался с использованием таких сценариев, поскольку обычно администраторы больше
используют сценарии входа пользователей и групповые политики.
Информационные системы предприятия
121
имеет административных прав, то в сценарии не будут выполняться команды, тре-
бующие наличия прав на управление системой.
Третий способ управления – самый распространенный – использование группо-
вых политик для Windows 200 х/XP/7. Число настроек, которыми можно управлять с
помощью групповых политик, исчисляется тысячами. При этом можно настраивать
не только параметры операционной системы, но и основных приложений. Можно
осуществлять контроль запуска приложений, настраивать параметры безопасности
транспортного протокола, распространять параметры приложений по умолчанию
и т. п.
ПРИМЕЧАНИЕ
Использование групповых политик будет рассмотрено в главе 6.
В-четвертых, для управления компьютерами администратор может создавать соб-
ственные программы. Конечно, для этого требуется некоторые познания в про-
граммировании и опыт, но так можно, например, собрать и проанализировать лю-
бые данные, выполнить желаемую настройку на любом числе компьютеров. Пре-
имуществом способа является и полный контроль над ходом выполнения: вы
запускаете программы в то время, когда это необходимо.
Проще всего использовать для создания собственных программ имеющиеся в сис-
теме средства программирования. Можно выполнять задания в командной строке.
Но функционал этих команд ограничен. Большие возможности предоставляют
Visual Basic, WMI и PowerShell. С помощью этих средств администратор легко мо-
жет составить желаемые сценарии.
Чтобы сценарии выполнились на компьютере, на нем должна быть установлена со-
ответствующая система. Например, для запуска Visual Basic – Windows Scripting
Host, для сценариев ps – оболочка PowerShell. Не все операционные системы под-
держивают этот функционал при установке с параметрами по умолчанию.
ПРИМЕЧАНИЕ
Некоторые основы составления сценариев описаны в главе 6.
Служба каталогов
Информационные системы обычно создаются для организаций, обладающих чет-
кой структурой. При реализации тех или иных бизнес-действий в обязательном по-
рядке должны учитываться права пользователей, их подчиненность и т. п. Поэтому
структура компьютерной информационной системы, как правило, должна созда-
ваться по образу и подобию организационной структуры предприятия.
Средством описания такой структуры являются каталоги. Фактически каталоги —
это базы данных. Объектами такой базы данных являются пользователи, компью-
теры, подразделения, территории, предприятия и т. п. Каждый объект описывается
многими характеристиками – свойствами. Например, у пользователя это имя, фа-
милия, группа, в которую он входит, время действия учетной записи, допустимые
часы работы в компьютерной сети, адрес электронной почты и т. п. Работа с такими
122
Глава 4
объектами осуществляется с учетом прав доступа (кто может создать нового поль-
зователя, кому разрешено перевести его в другую штатную структуру и т. п.), сами
операции специфичны для каждого объекта. Набор объектов, их атрибутов
(свойств) и методов (допустимых операций) принято называть схемой каталога.
Стандарты позволяют создавать структуру каталога так, чтобы наиболее полно
удовлетворить потребности каждого конкретного случая. Существуют каталоги
разработки различных фирм. Но все каталоги поддерживают единые правила взаи-
модействия с ними. Это протокол LDAP (Lightweight Directory Access Protocol, про-
токол облегченного доступа к каталогам).
Применяя любую утилиту, которая реализует протокол LDAP, пользователь (про-
грамма) может соединиться с каталогом и, используя предоставленные права, за-
просить или записать информацию, выполнить другие допустимые операции. При
этом изменения, вносимые в каталог, могут привести к существенной перестройке
всей структуры компьютерной сети. Так, перемещение одного объекта Подразделе-
ние может привести к изменению десятков и сотен характеристик подчиненных
объектов (вложенных подразделений, компьютеров, пользователей).
Служба каталогов Windows (Active Directory)
Описанный ранее каталог реализован в Windows (начиная с Windows 2000) как
служба каталогов (Active Directory, AD). Служба каталогов Windows имеет в своей
структуре такие единицы, как:
лес;
дерево;
домен;
организационное подразделение (Organization Unit, OU);
сайты.
Хотя многие методы управления сетью в Windows базируются на службе каталогов
(например, групповые политики), все же существенная часть операций унаследова-
на исторически. Например, группы безопасности существуют отдельно от подраз-
делений. И если вы меняете членство пользователя в подразделении, то для после-
дующей коррекции его прав доступа необходимо дополнительно вручную изменить
группу безопасности, в которую входит пользователь.
Служба каталогов хранит много информации, которая может быть полезной адми-
нистратору, но не доступна явно в графических средствах управления. Оснастка
Active Directory (AD) включает возможность поиска по службе каталогов. Например,
можно найти рабочие станции, установленные средствами разворачивания образов,
или пользователей, для которых установлен неограниченный срок действия пароля,
и т. п. Каждый раз составлять заново строку поиска1 неудобно, проще сохранить
1 Например, даже простой поиск сотрудников, которым разрешен удаленный доступ в сеть, требует
ввода запроса (&(&(objectclass=person)(msNPAllowDialin=TRUE))).
Информационные системы предприятия
123
часто используемые запросы в самой оснастке и вызывать их по названию. На
рис. 4.4 показан пример оснастки с сохраненными запросами (в примере – запрос
по системам, развернутым средствами централизованной установки).
Рис. 4.4. Сохраненные поисковые запросы оснастки службы каталогов
Домены Windows
Исторически иерархические сети на основе Windows создавались на базе доменов.
В локальных сетях на базе Windows понятие "домен" используется для обозначения
совокупности пользователей и компьютеров, объединенных общими правилами
безопасности (централизованная регистрация нового пользователя, единые правила
доступа к совместно используемым ресурсам, единые требования по ограничениям
времени работы в сети и т. п.). Единая политика безопасности в доменах Windows
обеспечивается специально выделенными компьютерами сети – контроллерами
домена.
ПРИМЕЧАНИЕ
Не следует путать термины "домен Windows" и "домен Интернета". Хотя внешне до-
менная структура Windows и строится аналогично системе имен Интернета, но, говоря
о домене Windows, в первую очередь имеют в виду не единую систему имен, а единую
политику управления и безопасности.
В одной организации может существовать несколько доменов. Это могут быть как
вложенные домены, так и домены с различными пространствами имен.
ПРИМЕЧАНИЕ
Пространство имен – это совокупность уникальных имен. В данном пространстве
имен по конкретному имени однозначно может быть определен соответствующий ему
объект. Типичный пример – структура DNS (Domain Name System, система доменных
имен). Например, в пространстве имен различных доменов могут существовать ком-
пьютеры с одинаковым именем хоста: test.primer.org и test.primer2.org. Однако в про-
странстве имен NetBIOS одинаковых наименований компьютеров быть не может. По-
этому при объединении таких компьютеров в единую локальную сеть вам необходимо
будет дать им различающиеся NetBIOS-имена.
124
Глава 4
Наличие в одной организации доменов с отличающимися именами характерно для
транснациональных организаций. Например, головное предприятие может иметь
домен testorg.ru, а его подразделение в другой стране – testorg.cs.
В то же время создание вложенных доменов не имеет особого смысла при проекти-
ровании информационной структуры предприятия. Подобная структура оправдана
только для доменов Windows 2003 в том случае, если для некоторого подразделе-
ния необходима иная политика паролей учетных записей (например, более строгие
требования к составу пароля, наличие блокировок и т. п.; в Windows 2008 свойства
паролей стали полностью управляться групповой политикой). Все другие настрой-
ки могут быть выполнены политиками подразделений.
Подразделение
Домены Windows (начиная с версии Windows 2000) могут содержать подразделения
(Organization Unit, OU). OU – это своеобразный контейнер, в который можно по-
мещать как компьютеры, так и пользователей (очевидно, что речь идет о соответст-
вующих логических объектах).
Основная причина создания OU для администраторов системы – это возможность
применения к объектам OU групповых политик (см. главу 5). Повторюсь, что груп-
повые политики – это основное средство управления компьютерной сетью. С их
помощью можно автоматически устанавливать на заданные компьютеры про-
граммное обеспечение, выполнять настройку прикладных программ, менять пара-
метры безопасности сегмента сети, разрешать или запрещать запуск конкретных
программ и т. п.
Каждое OU может, в свою очередь, содержать внутри себя любое количество вло-
женных OU, учетные записи компьютеров и пользователей, группы (пользовате-
лей). Если попробовать изобразить графически такую структуру – домен с не-
сколькими вложенными доменами со структурой OU, пользователями и компьюте-
рами, то такой рисунок будет напоминать дерево с вершиной, ветвями, листьями.
Этот термин и сохранен для описания такой структуры.
ПРИМЕЧАНИЕ
Обратите внимание, что при удалении OU будут удалены и содержащиеся в нем объ-
екты (например, учетные записи компьютеров – компьютеры уже не будут членами
домена).
Лес
Если на одном предприятии существуют несколько доменов с различными про-
странствами имен (например, testorg.ru и testorg.cs), то представленная графически
такая структура будет напоминать лес. Лес – это коллекция (одного или более)
доменов Windows 200х, объединенных общей схемой, конфигурацией и двусторон-
ними транзитивными доверительными отношениями.
Обратите внимание, что деревья в таком лесу не самостоятельны. Все эти деревья
создаются внутри одной организации и управляются централизованно администра-
Информационные системы предприятия
125
торами предприятия. Говоря терминами логической организации сети, между лю-
быми доменами внутри предприятия существуют доверительные двусторонние
отношения.
Практически это означает, что администратор предприятия является "начальником"
администратора любого домена, а пользователь, прошедший аутентификацию
в одном домене, уже "известен" в другом домене предприятия.
ПРИМЕЧАНИЕ
Многие администраторы доменов в структуре леса заблуждаются, считая что только
они могут управлять безопасностью объектов. Даже если они явно запретили доступ
каким-либо пользователям, то владелец корневого домена (леса) Windows всегда
имеет возможность получить доступ к объектам и назначить собственные права.
Иными словами, в сети с централизованным управлением необходимо полностью до-
верять тем администраторам, которым принадлежат корневые права.
Сайты
Если домены и OU описывают логическую организацию, то сайты (Sites) предна-
значены для описания территориальных делений. Считается, что внутри одного
сайта присутствуют скоростные каналы связи (обычно компьютеры сайта нахо-
дятся в одном сегменте локальной сети). А различные сайты связаны друг с другом
относительно медленными каналами связи. Поэтому между ними создаются специ-
альные механизмы репликации данных. Например, можно задать график реплика-
ции (использовать периоды наименьшей загрузки каналов связи), выбрать исполь-
зуемый протокол (IP или путем приема/передачи сообщений по протоколу SMTP)
и т. п.
Соотношение территориальной и логической структуры выбирается из конкретной
конфигурации предприятия. Например, можно создать несколько сайтов в одном
домене или сформировать в каждом сайте свой домен и т. п.
ПРИМЕЧАНИЕ
Поскольку алгоритм выбора контроллера домена рабочей станцией использует струк-
туру сайтов, то создание дополнительных сайтов может быть способом балансировки
нагрузки между контроллерами домена.
Режимы совместимости доменов и леса
Домены Windows могут обслуживаться контроллерами на базе операционных сис-
тем Windows NT 4.0 Server или Windows 200 х. Более новая операционная система
обеспечивает большие возможности в управлении доменами и большую безопас-
ность. Однако в целях обратной совместимости домены Windows могут работать в
различных режимах (mode). Если в вашей сети нет контроллеров на базе предыду-
щих версий ОС, то следует перевести домен в режим наибольшей безопасности.
Данная операция доступна в свойствах домена в оснастке управления, а для леса —
в соответствующей оснастке управления сайтами и службами (в свойствах соответ-
ствующего объекта).
126
Глава 4
DN, RDN
Для успешной работы с каталогами необходимо ориентироваться в терминах DN
(Distinguished Name, отличительное имя) и RDN (Relative Distinguished Name, отно-
сительное отличительное имя).
Объекты каталога хранятся в иерархической структуре. Условно можно сравнить
такую структуру со структурой файловой системы. Есть корневой каталог, есть
вложенные в него каталоги, в них, в свою очередь, могут храниться как сами фай-
лы, так и другие папки. В этой аналогии термин DN подобен полному пути имени
файла. В DN приводится полный путь к объекту, начиная с самой «верхней» точки
иерархии каталога.
RDN подобен относительному пути к файлу. Это может быть только само имя
файла (обычный RDN) или относительный путь (многоатрибутный RDN). Напри-
мер, в организации может быть заведен пользователь Иванов. Если в организации в
разных отделах работают два Иванова, то только по фамилии невозможно будет
определить конкретного работника. Но если использовать многоатрибутный RDN,
состоящий, например, из фамилии и названия отдела, то работник будет обозначен
точно:
cn = Иванов + ou = Бухгалтерия
Управление структурой домена предприятия
При проектировании логической структуры компьютерной сети организации сле-
дует учитывать многие факторы: решаемые задачи, требования безопасности, ко-
личество офисов, квалификацию обслуживающего персонала и т. п.
В небольших организациях не имеет особого смысла создание разветвленной логи-
ческой структуры сети, поскольку обычно внутри организации применяются толь-
ко одна или две групповые политики. С увеличением численности компьютерных
систем структура становится все более сложной.
В большинстве случаев логическая структура домена будет "следовать" за органи-
зационной структурой предприятия. На малых и средних предприятиях обычно не
возникает задача оптимизации количества и размещения контроллеров домена (си-
туация с удаленным офисом будет обсуждена в главе 5). Если исходить из критери-
ев мощности компьютера, то производительности одного сервера обычно вполне
достаточно для обслуживания нескольких сотен рабочих станций. Однако в целях
резервирования целесообразно иметь в сети не менее двух контроллеров, чтобы
временные неисправности на одном из них не отразились на функционировании
предприятия.
Создание нового домена
Для создания нового домена необходимо запустить утилиту dcpromo (ее можно стар-
товать также из задачи управления сервером, выбрав в меню пункт создания кон-
троллера домена). В зависимости от ответов на вопросы мастера операции, вы
Информационные системы предприятия
127
сможете добавить новый контроллер в существующем домене либо создать новый
домен. Можно создать новый домен внутри уже существующего, либо создать но-
вое дерево доменов, дав домену уникальное имя. Все операции достаточно просты
и обычно выполняются в течение нескольких минут. После чего, перезагрузив ком-
пьютер, вы получаете новый контроллер домена.
ПРИМЕЧАНИЕ
Естественно, что для выполнения операций пользователь должен обладать соответ-
ствующими правами. Так, для создания нового дерева доменов предприятия опера-
цию необходимо выполнять с правами администратора предприятия.
Перед началом операции следует тщательно обдумать то доменное имя, которое вы
дадите вновь создаваемому домену. Если ваша организация имеет уже зарегистри-
рованное в Интернете доменное имя, то имя домена Windows может быть основано
на нем. Можно присвоить внутреннему домену реальное имя Интернета, а можно
дать только локальное название. В любом случае по соображениям безопасности
данные структуры домена Windows (DNS-сервера) не публикуются в глобальной
сети. Ничто не запрещает вам избрать для внутреннего домена имя, которое не со-
ответствует реальным доменам Интернета, например, дать название myorg.local.
ПРИМЕЧАНИЕ
Проследите, чтобы полное доменное имя не являлось именем первого уровня, а обя-
зательно состояло из двух частей. В противном случае необходимо выполнить ряд
дополнительных настроек, которые следует уточнить по документации с сайта разра-
ботчика.
Создание домена обязательно требует наличия сервера DNS. Если сервер DNS не
настроен, по умолчанию программа установки предлагает создать и настроить сер-
вер DNS локально. В общем случае служба каталогов не требует обязательного ис-
пользования DNS-сервера разработки Microsoft. AD может быть установлена, на-
пример, на сервер BIND. При этом следует учесть, что BIND версии 4.9.7 и старше
поддерживает возможность создания SRV-записей, которые необходимы для рабо-
ты службы каталогов, а начиная с версии 8.2.2, поддерживаются и динамические
обновления записей данного типа.
ПРИМЕЧАНИЕ
SRV-запись на сервере DNS позволяет клиенту узнать расположение сервера, обслу-
живающего соответствующую службу. SRV-записи для Microsoft-доменов строятся по
форме _Service ._ Protocol . DnsDomainName. Например, адреса LDAP-серверов до-
мена могут быть запрошены по имени _ldap._tcp. имя_домена, а адрес сервера гло-
бального каталога конкретного леса в домене – как _ gc._tcp. имя_леса.
Особенности создания дополнительного
удаленного контроллера в домене Windows
После создания нового контроллера домена программа пытается выполнить его
синхронизацию с другими контроллерами. Объем данных, передаваемый в этой
операции по сети, обычно составляет десятки мегабайт, а в средних организациях
может превышать и несколько сотен мегабайт. Поэтому установку контроллеров
128
Глава 4
для филиалов, подключенных через медленные каналы связи, лучше выполнять
непосредственно в центральном офисе. После первоначальной синхронизации ком-
пьютер можно выключить и перевезти на удаленную площадку. Объем синхрони-
зуемых данных, которые будут переданы после включения компьютера в удален-
ном офисе, в этом случае будет существенно ниже объема первоначальной синхро-
низации и не создаст критической нагрузки на каналы связи.
В Windows 2003 введена новая возможность при создании контроллера домена —
это выполнение первоначальной синхронизации из файлов резервного копирова-
ния.
Для создания нового контроллера необходимо сначала выполнить резервное копи-
рование состояния (system state) любого контроллера домена, после чего получен-
ные файлы резервной копии любым способом передать в удаленный офис (напри-
мер, нарезать на CD-матрицы). В удаленном офисе следует восстановить эти дан-
ные в другое место (выбрать папку для восстановления при запуске операции).
Затем запустить утилиту dcpromo с помощью одноименной команды dcpromo
с ключом /adv. При таком варианте ее запуска на одном из шагов появится допол-
нительная опция, запрашивающая место, откуда следует провести загрузку первич-
ных данных (рис. 4.5). Вам достаточно указать папку, в которую было проведено
восстановление данных с контроллера домена. В завершение операции система
проведет синхронизацию последних изменений службы каталогов.
Эта возможность позволяет существенно сократить объем реплицируемых по кана-
лам связи данных.
ПРИМЕЧАНИЕ
Для проведения операции создания нового контроллера домена при любом варианте
необходимо иметь связь с действующими контроллерами домена (для проверки прав
и внесения необходимых изменений в схему организации).
Рис. 4.5. Копирование данных контроллера домена из архивной копии
Информационные системы предприятия
129
Создание контроллеров домена «только для чтения»
В удаленных филиалах могут быть установлены контроллеры домена Win-
dows 2008 только для чтения (RODC – Read Only Domain Controller). Данный
вариант позволяет снизить риск дискредитации данных всего домена в случае дос-
тупа злоумышленника к контроллеру в филиале.
Способы создания RODC описаны в главе 5.
Удаление контроллера домена
Штатное удаление контроллера домена производится с помощью той же утилиты
dcpromo. Ее следует запустить на компьютере, роль которого предполагается пони-
зить до обычного сервера. Указав необходимые параметры операции (например,
пароль будущего локального администратора), администратору нужно только дож-
даться сообщения о требуемой перезагрузке системы. Для успешного завершения
операции компьютер должен иметь связь с другими контроллерами (если это
не последний контроллер домена).
Бывают ситуации, когда контроллер выходит из строя, например из-за неполадок
в оборудовании, и его не планируется восстанавливать из резервной копии. В таком
случае необходимо удалить из службы каталогов все записи, которые связаны
с этим контроллером. Для этого штатно используется утилита ntdsutil.
ПРИМЕЧАНИЕ
В новых версиях Windows Server графические утилиты пополнены опциями удаления
контроллера, однако описываемый в тексте способ может пригодиться при работе в
доменах предыдущих режимов.
Опишем последовательность шагов, которые необходимо выполнить в данной ути-
лите для удаления отсутствующего контроллера домена.
1. После запуска утилиты на экране появится окно ее интерфейса. Вам необходимо
перейти к опции metadata cleanup.
2. Теперь нужно подключиться к работающему контроллеру домена (connections |
connect to server < имя> ), на котором мы будем выполнять операцию удаления
метаданных.
3. После подключения к контроллеру снова возвращаемся в режим metadata
cleanup. На этом шаге необходимо выбрать тот контроллер, данные о котором
предполагается удалить.
4. Набираем команду Select operation target, после перехода в этот режим после-
довательно подключаемся к ресурсам организации. Например, чтобы указать на
конкретный сервер, сначала нужно будет просмотреть список сайтов (List sites),
после чего подключиться к нужному сайту (Select site < номер, полученный на
предыдущем шаге> ). Затем просмотреть список доменов и подключиться
к нужному и т. д. В завершение после выполнения команды List servers for
domain in site вы увидите нумерованный список серверов. Вам нужно выбрать
тот сервер, который предполагается удалить (Select server < номер> ), и вернуть-
ся в меню metadata cleanup.
130
Глава 4
5. В меню metadata cleanup дать команду на удаление параметров выбранного
сервера (Remove selected server).
Переименование домена
Имя домена Windows невозможно сменить для доменов на основе операционных
систем Windows NT 4.0 Server/Windows 2000 Server. Для доменов, работающих в
режиме Windows 2003 и старше, такая возможность появилась, и автору приходи-
лось ее выполнять. Но эта операция весьма ответственна и не всегда в ходе ее осу-
ществления могут быть изменены все наименования. Например, сертификаты, вы-
данные на старые имена, окажутся недействительны, придется менять настройки
почтового сервера и т. п.
Операция переименования требует тщательной подготовки. Последовательность
действий администратора для переименования домена изложена в документе
Introduction to Administering Active Directory Domain Rename технической библио-
теки Microsoft по адресу http://technet.microsoft.com/en-us/library/cc816848%
28WS.10%29.aspx.
Утилиты управления объектами службы каталогов
Управление доменом может проводиться не только с серверов Windows. При нали-
чии соответствующих прав большинство операций может быть выполнено удален-
но с рабочих станций. Для этого необходимо установить пакет администрирования.
Пакет администрирования Adminpak.msi для серверов Windows 2003 поставлялся
с дистрибутивом сервера и мог быть установлен на рабочие станции Windows XP.
Для серверов Windows 2008 средства удаленного управления стали называться
Remote Server Administration Tools for Windows 7 и доступны к загрузке со страни-
цы http://go.microsoft.com/fwlink/?LinkID=137379. Особенности установки пакета
подробно описаны в технической библиотеке в документе http://technet.
microsoft.com/en-us/library/ee449483%28WS.10%29.aspx.
Стандартные средства для удаленного управления структурой службы каталогов
повторяют возможности оснасток управления на сервере – это оснастки управле-
ния пользователями и компьютерами, доменами и доверием, сайтами и службами.
Как в случае любой графической утилиты, этими программами удобно и быстро
можно выполнять типовые операции, для которых они были разработаны. В нашем
случае – это операции создания пользователей и подразделений, назначение им
свойств, перемещение пользователей, компьютеров и подразделений между раз-
личными контейнерами и т. п.
Выполнение данных операций с помощью указанных оснасток достаточно про-
зрачно, все проблемы администратор легко решит с помощью справочной системы.
Утилиты запросов командной строки службы каталогов
В системе присутствует несколько утилит, которые позволяют в режиме командной
строки выполнить простейшие операции со службой каталогов Windows: поиск
Информационные системы предприятия
131
объектов по заданным критериям, добавление и удаление объектов, их перемеще-
ние и т. п. Это команды dsquery (выполняет поисковые запросы к службе катало-
гов), dsadd (добавляет новые объекты), dsget (отображает параметры объектов),
dsmod (изменяет параметры объектов), dsmove (перемещает объекты), dsrm (удаляет
объекты).
Например, с помощью команды dsquery можно легко получить список компьюте-
ров, не работавших в сети в течение какого-либо периода времени:
dsquery computer -inactive 5
где 5 – число недель, в течение которых компьютер не входил в сеть.
Утилита csvde позволяет импортировать/экспортировать объекты в формате CSV.
Этот формат удобен для последующего анализа, например, в Excel. Синтаксис
команды аналогичен описываемому далее для Ldifde. Особенность использования
команды csvde состоит в том, что с ее помощью можно добавлять объекты, но
нельзя изменять их атрибуты или удалять существующие объекты.
LDAP-управление
Служба каталогов Windows представляет собой иерархическую структуру, управ-
ление которой может осуществляться не только оснастками, но и с использованием
различных способов прямого доступа к данным. Например, администратор может
получить доступ к объектам службы каталогов с использованием сценариев на
Visual Basic, применяя запросы ADO и т. п.
Поскольку служба каталогов поддерживает протокол LDAP, ставший стандартом
для доступа к подобным службам, то для управления структурой домена удобно
применять утилиты, реализующие подключение по этому протоколу.
Подключаемся к каталогу по протоколу LDAP
Во-первых, можно использовать оснастку ADSI Edit (рис. 4.6). С помощью этой ос-
настки можно подключиться к любому узлу структуры службы каталогов, увидеть
его атрибуты, при необходимости отредактировать их и установить желаемые пра-
ва доступа. Оснастка позволяет создавать новые объекты в структуре каталогов,
удалять существующие, перемещать их и т. п.
ПРИМЕЧАНИЕ
Обратите внимание, что с помощью этой оснастки можно подключиться к любой точке
структуры каталогов, а не только к элементам Domain, Configuration, Schema. Доста-
точно указать соответствующие параметры в меню программы.
Во-вторых, при установке Support Tools в систему добавляется утилита ldp.exe, ко-
торая позволяет подключаться к службам по протоколу LDAP, добавлять и удалять
объекты, редактировать их, выполнять поиск. Утилита несколько необычна в ис-
пользовании, поскольку предполагает первоначальные знания администратором
структуры каталогов. При ее запуске следует выполнить подключение к службе
в нужной точке (connect) и зарегистрироваться (bind).
132
Глава 4
Рис. 4.6. Утилита ADSI Edit
Конечно, применять утилиту ldp.exe в случаях, когда можно, например, использо-
вать графические оснастки, не имеет смысла. Но эта утилита позволяет выполнять
операции с объектами службы каталогов с использованием синтаксиса LDAP-
протокола. Например, первоначально ldp.exe являлась единственным бесплатным
вариантом восстановления удаленных объектов каталога.
Ну и в-третьих, в Сети доступно много средств, в которых реализованы возможно-
сти подключения и управления системой по протоколу LDAP и которые могут ока-
заться для администратора более удобны в применении.
Синтаксис поисковых запросов LDAP
Чтобы правильно составить запрос к службе каталогов, необходимо изучить осно-
вы LDAP-синтиксиса.
В службе каталогов информация хранится в виде объектов. Для обозначения
свойств объектов (по терминологии Microsoft) в стандартах LDAP применяется
термин атрибуты.
Чтобы выбрать нужные данные из службы каталогов, необходимо составить
фильтр. В LDAP используются специальные конструкции для фильтров, в которых
оператор ставится до самих величин. Например, если вам необходимо найти всех
пользователей с фамилией Иванов, то фильтр следовало бы записать по следующей
Информационные системы предприятия
133
форме: (И(тип=пользователь)(фамилия=Иванов)). То есть два условия объединены
требованием И, которое записано до условий.
В фильтрах допустимы операторы, перечисленные в табл. 4.1.
Таблица 4.1. Допустимые операторы фильтров
Оператор
Описание
=
Равно
~=
Приблизительно равно
<=
Меньше или равно
>=
Больше или равно
