355 500 произведений, 25 200 авторов.

Электронная библиотека книг » Dan Holme » Настройка Active Directory. Windows Server 2008 » Текст книги (страница 10)
Настройка Active Directory. Windows Server 2008
  • Текст добавлен: 8 октября 2016, 16:34

Текст книги "Настройка Active Directory. Windows Server 2008"


Автор книги: Dan Holme


Соавторы: Danielle Ruest,Nelson Ruest

Жанр:

   

ОС и Сети


сообщить о нарушении

Текущая страница: 10 (всего у книги 91 страниц)

Б. Утилита dsacls.

B. Утилита dsutil.

Г. Диалоговое окно Дополнительные параметры б е з о п а с н о с т и ( A d v a n c e d

Security Settings).

Закрепление материала главы

Для того чтобы попрактиковаться и закрепить знания, п о л у ч е н н ы е п р и изуче-

нии представленного в этой главе материала, вам необходимо:

• ознакомиться с резюме главы;

• ш повторить используемые в главе основные термины;

• изучить сценарий, в котором описана реальная с и т у а ц и я , т р е б у ю щ а я при-

менения полученных знаний, и предложить свое решение;

• выполнить рекомендуемые упражнения;

• сдать пробный экзамен с помощью тестов.

Резюме главы

• Оснастку Active Directory – пользователи и компьютеры (Active D i r e c t o r y

Users And Computers), включенную в Диспетчер сервера ( S e r v e r M a n a g e r )

в виде отдельной консоли, можно использовать д л я д о б а в л е н и я настраива-

емых консолей и распространения их среди администраторов.

• При создании объектов в оснастке Active Directory – п о л ь з о в а т е л и и ком-

пьютеры нужно конфигурировать л и ш ь о г р а н и ч е н н ы й н а б о р н а ч а л ь н ы х

параметров. После создания объекта можно заполнить много д р у г и х пара-

Сценарий 83

метров. Эти свойства и с п о л ь з у ю т с я в с о х р а н е н н ы х запросах д л я с о з д а н и я

настраиваемых п р е д с т а в л е н и й о б ъ е к т о в п р е д п р и я т и я .

• Д л я д е л е г и р о в а н и я п о л н о м о ч и й а д м и н и с т р и р о в а н и я следует использовать

п о д р а з д е л е н и я ( O r g a n i z a t i o n a l U n i t ) , чтобы о т д е л ы п р е д п р и я т и я играли

соответствующие р о л и в организации. П р и включенном наследован™ объек-

т ы наследуют р а з р е ш е н и я с в о и х р о д и т е л ь с к и х подразделений.

Основные термины

Запомните п е р е ч и с л е н н ы е д а л е е т е р м и н ы , чтобы л у ч ш е п о н я т ь о п и с ы в а е м ы е

концепции.

• Д е л е г и р о в а н и е Н а з н а ч е н и е а д м и н и с т р а т и в н о й задачи. Д е л е г и р о в а н и е

в Active Directory п р о и з в о д и т с я путем м о д и ф и к а ц и и списка DACL объекта.

В качестве р а с п р о с т р а н е н н о г о п р и м е р а делегирования можно привести раз-

решение с л у ж б е т е х н и ч е с к о й п о д д е р ж к и сбрасывать пароли пользователей.

• С о х р а н е н н ы й з а п р о с П р е д с т а в л е н и е объектов Active Directory на основе

к р и т е р и я поиска. С п о м о щ ь ю у з л а С о х р а н е н н ы е запросы (Saved Queries) в

оснастке Active D i r e c t o r y – п о л ь з о в а т е л и и к о м п ь ю т е р ы (Active Directory

Users And C o m p u t e r s ) м о ж н о у к а з а т ь т и п и свойства объектов, которые

требуется н а й т и . Р е з у л ь т а т ы в ы в о д я т с я в п а н е л и сведений оснастки.

Сценарий. Подразделения и делегирование

В следующем с ц е н а р и и вы п р и м е н и т е и з у ч е н н у ю и н ф о р м а ц и ю об оснастках

Active Directory, а т а к ж е с о з д а н и и объектов, д е л е г и р о в а н и и и безопасности.

Ответы на в о п р о с ы м о ж н о н а й т и в р а з д е л е « О т в е т ы » в конце книги.

Вы работаете а д м и н и с т р а т о р о м к о м п а н и и Contoso, Ltd. Структура Active

Directory к о м п а н и и б ы л а создана, когда она была еще очень мала. Б ы л о создано

одно п о д р а з д е л е н и е д л я п о л ь з о в а т е л е й и одно д л я компьютеров. В настоящее

время о р г а н и з а ц и я о х в а т ы в а е т п я т ь г е о г р а ф и ч е с к и х сайтов и в ней работает

более 1000 с л у ж а щ и х . Н а к а ж д о м с а й т е один и л и два сотрудника обеспечи-

вают т е х н и ч е с к у ю п о д д е р ж к у п о л ь з о в а т е л е й , а т а к ж е отвечают за установку

систем и их п р и с о е д и н е н и е к д о м е н у . К р о м е того; и н о г д а н е б о л ь ш а я груп-

па с о т р у д н и к о в в г л а в н о м о ф и с е у с т а н а в л и в а е т с и с т е м ы , п р и с о е д и н я е т их

к д о м е н у и р а с п р о с т р а н я е т на сайт. Е с л и п о л ь з о в а т е л ь з а б ы л свой пароль,

звонок в с л у ж б у т е х н и ч е с к о й п о д д е р ж к и п е р е в о д и т с я на одного из сотрудни-

ков персонала п о д д е р ж к и н е з а в и с и м о от сайта, где р а с п о л о ж е н пользователь.

Ответьте на с л е д у ю щ и е в о п р о с ы р у к о в о д и т е л я , к о т о р ы й ведает управляемос-

тью и обеспечением м и н и м а л ь н о г о у р о в н я п р и в и л е г и й , и объясните, как уп-

равлять д е л е г и р о в а н и е м .

1. О с т а в и т ь ли о б ъ е к т ы к о м п ь ю т е р о в в о д н о м п о д р а з д е л е н и и и л и их следует

распределить по с а й т а м ? В случае р а с п р е д е л е н и я д о л ж н ы ли подразделения

сайтов быть д о ч е р н и м и к о н т е й н е р а м и одного родительского подразделения?

2. Делегировать Ли п р а в о у п р а в л е н и я о б ъ е к т а м и к о м п ь ю т е р о в в узлах непо-

средственно у ч е т н ы м з а п и с я м п о л ь з о в а т е л е й п е р с о н а л а технической под-

д е р ж к и и л и все же л у ч ш е создать г р у п п ы , д а ж е если о н и будут содержать

по одному ч л е н у ?

84 Администрирование

Глава 2

3. Распределить ли пользователей в соответствии с сайтами и л и все же оста-

вить их в одном подразделении?

Практические задания

Чтобы успешно подготовиться к с е р т и ф и к а ц и о н н о м у экзамену, в ы п о л н и т е

следующие задания.

Поддержка учетных записей Active Directory

В этом задании вы проверите успех делегирования и выясните, что п р о и з о й -

дет, если администратор попытается выполнить задание, которое не б ы л о ему

делегировано. Вы также проанализируете результаты н а с л е д о в а н и я и з а щ и т у

подразделения.

Перед выполнением этих упражнений нужно в ы п о л н и т ь у п р а ж н е н и я за-

нятий 2 и 3. В частности, проверьте следующее.

• Подразделение Администраторы должно содержать у ч е т н у ю з а п и с ь поль-

зователя и группу Справка.

• Должна быть учетная запись для Барбары Майер и х о т я бы одна у ч е т н а я

запись в подразделении Кадры.

• Пользователю Барбаре Майер следует быть членом г р у п п ы С п р а в к а .

• Группе Справка должны быть делегированы р а з р е ш е н и я П е р е у с т а н о в и т ь

пароли пользователей и установить изменение п а р о л я п р и с л е д у ю щ е й пе-

резагрузке (Reset User Passwords and Force Password C h a n g e at N e x t Logon)

для подразделения Кадры.

Кроме того, необходимо, чтобы группа Пользователи домена ( D o m a i n Users)

была членом группы Операторы печати (Print Operators), к о т о р а я н а х о д и т с я

в контейнере Builtin, с тем чтобы все пользователи в у ч е б н о м д о м е н е м о г л и

входить на контроллер домена SERVER01. Это т р е б у е т с я д л я в ы п о л н е н и я

практических занятий настоящего руководства, но разрешать п о л ь з о в а т е л я м

входить на контроллеры домена в производственной среде н е л ь з я . П о э т о м у

в производственной среде не следует включать группу П о л ь з о в а т е л и д о м е н а

в группу Операторы печати.

• Упражнение 1 Войдите на машину S E R V E R 0 1 как п о л ь з о в а т е л ь Б а р б а -

ра Майер (она входит в группу Справка). Убедитесь, что Б а р б а р а м о ж е т

сбрасывать пароли других пользователей и с о б с т в е н н ы й п а р о л ь в под-

разделении Кадры. Затем попытайтесь изменить пароль у ч е т н о й з а п и с и

в подразделении Администраторы. Проанализируйте результат.

• Упражнение 2 Войдите на машину S E R V E R 0 1 как А д м и н и с т р а т о р ( A d -

ministrator). В подразделении Кадры создайте новое подразделение Ф и л и -

ал. При создании подразделения Филиал проверьте, установлен ли ф л а ж о к

Защитить контейнер от случайного удаления (Protect Container F r o m Acci-

dental Deletion). В конце занятия вы удалите это подразделение. Создайте в

этом подразделении учетную запись пользователя. Откройте с п и с о к D A C L

объекта пользователя в диалоговом окне Дополнительные п а р а м е т р ы бе-

зопасности (Advanced Security Settings). Просмотрите разрешения, ШЗПсГ

Пробный экзамен 85

ченные подразделению С п р а в к а : оии я в н ы е и л и унаследованные? Если эти

разрешения у н а с л е д о в а н ы , то о т к у д а ? В д и а л о г о в о м окне Д о п о л н и т е л ь н ы е

параметры б е з о п а с н о с т и о т к р о й т е с п и с о к D A C L п о д р а з д е л е н и я Ф и л и а л .

Сбосьте ф л а ж о к Д о б а в и т ь р а з р е ш е н и я , н а с л е д у е м ы е от родительских объ-

ектов ( I n c l u d e I n h e r i t a b l e P e r m i s s i o n s F r o m T h i s O b j e c t ' s P a r e n t ) .

Выйдите из с и с т е м ы и в н о в ь в о й д и т е к ак п о л ь з о в а т е л ь Б а р б а р а Майер.

Убедитесь, что Б а р б а р а м о ж е т с б р о с и т ь п а р о л ь пользователя в подразделе-

нии Кадры. П о с л е этого п о п ы т а й т е с ь сбросить этот пароль в подразделении

Ф и л и а л . В д о с т у п е будет о т к а з а н о .

Выйдите из системы и вновь в о й д и т е как администратор. Устраните ошибку

доступа Б а р б а р ы , в о с с т а н о в и в н а с л е д о в а н и е д л я п о д р а з д е л е н и я Ф и л и а л .

В ы й д и т е из с и с т е м ы и в н о в ь в о й д и т е к а к п о л ь з о в а т е л ь Барбара, чтобы

п р о в е р и т ь результат. М о ж е т ли о н а с б р о с и т ь п а р о л ь пользователя в под-

р а з д е л е н и и Ф и л и а л ?

• У п р а ж н е н и е 3 В о й д и т е на м а ш и н у S E R V E R 0 1 к а к пользователь Барбара

Майер. П о п ы т а й т е с ь у д а л и т ь п о д р а з д е л е н и е Ф и л и а л . В доступе будет отка-

зано. Выйдите из с и с т е м ы и вновь войдите как администратор. Попытайтесь

удалить п о д р а з д е л е н и е Ф и л и а л . В доступе будет отказано. Откройте свойс-

тва п о д р а з д е л е н и я Ф и л и а л . П е р е й д и т е н а в к л а д к у О б ъ е к т ( O b j e c t ) . Если

эта в к л а д к а н е о т о б р а ж а е т с я , в к л ю ч и т е п р е д с т а в л е н и е Д о п о л н и т е л ь н ы е

к о м п о н е н т ы ( A d v a n c e d F e a t u r e s ) в оснастке Active Directory – пользова-

т е л и и к о м п ь ю т е р ы ( A c t i v e D i r e c t o r y U s e r s And C o m p u t e r s ) . На вклад-

к е О б ъ е к т с н и м и т е з а щ и т у п о д р а з д е л е н и я Ф и л и а л . И , наконец, удалите

п о д р а з д е л е н и е Ф и л и а л в м е с т е с с о д е р ж а щ е й с я в нем у ч е т н о й записью

пользователя.

Пробный экзамен

На п р и л а г а е м о м к к н и г е к о м п а к т – д и с к е п р е д с т а в л е н о н е с к о л ь к о вариантов

тренировочных тестов. П р о в е р к а з н а н и й в ы п о л н я е т с я и л и только по одной теме

с е р т и ф и к а ц и о н н о г о э к з а м е н а 7 0 – 6 4 0 , и л и п о всем э к з а м е н а ц и о н н ы м темам.

Тестирование м о ж н о о р г а н и з о в а т ь т а к и м образом, чтобы оно проводилось как

экзамен, л и б о н а с т р о и т ь на р е ж и м о б у ч е н и я . В п о с л е д н е м случае вы сможете

после к а ж д о г о с в о е г о о т в е т а н а в о п р о с п р о с м а т р и в а т ь п р а в и л ь н ы е о т в е т ы

и п о я с н е н и я .

ПРИМЕЧАНИЕ Пробный экзамен

Подробнее о пробном экзамене рассказано во введении к данной книге.

Г Л А В А 3

Пользователи

Занятие 1. Автоматизация процесса создания учетных записей пользователей 87

Занятие 2. Создание пользователей с помощью Windows PowerShell и VBScript 98

Занятие 3. Поддержка пользовательских объектов и учетных записей 114

В главе 1 доменные службы Active Directory AD DS (Active D i r e c t o r y D o m a i n

Services) представлены как решения, связанные с и д е н т и ф и к а ц и е й и д о с т у -

пом. Учетные записи пользователей, которые хранятся в каталоге, я в л я ю т с я

основополагающими компонентами процесса и д е н т и ф и к а ц и и . П о э т о м у з н а -

ние принципов выполнения задач, связанных с п о д д е р ж к о й у ч е т н ы х з а п и с е й

пользователей, играет очень важную роль в у с п е ш н о м а д м и н и с т р и р о в а н и и

предприятия. '

Навыки, необходимые для создания и м о д и ф и к а ц и и о т д е л ь н о й "учетной

записи, описаны в главе 2. Однако эти методы могут о к а з а т ь с я н е э ф ф е к т и в -

ными при работе с большим количеством учетных записей, в ч а с т н о с т и п р и

создании учетных записей новых служащих.

В настоящей главе речь пойдет о применении р а з л и ч н ы х средств и техно-

логий для автоматизации процесса создания пользователей и у п р а в л е н и я и м и ,

а также для локализации объектов пользователей и в ы п о л н е н и я м а н и п у л я ц и й

с их атрибутами. Кроме того, вы ознакомитесь с командной оболочкой M i c r o s o f t

Windows PowerShell, которая в будущем будет и с п о л ь з о в а т ь с я т е х н о л о г и я м и

Windows для автоматизации администрирования с помощью командной строки.

Также будут рассмотрены различные варианты в ы п о л н е н и я всех р а с п р о с т р а -

ненных административных задач.

На сертификационном экзамене требуется л и ш ь знание основного с и н т а к -

сиса и назначения утилит командной строки, W i n d o w s PowerShell и M i c r o s o f t

Visual Basic Script (VBScript). Однако в данной главе дается более о б ш и р н о е

введение в основы сценариев и автоматизации. Попрактиковавшись в создании

сценариев, вы сможете не только качественно подготовиться к с е р т и ф и к а ц и -

онному экзамену, но и повысить свои навыки в а в т о м а т и з а ц и и у т о м и т е л ь н ы х

административных задач и, соответственно, э ф ф е к т и в н о с т ь своей работы.

Темы экзамена:

• Создание и поддержка объектов Active Directory.

• Автоматизация создания учетных записей Active Directory.

• Поддержка учетных записей Active Directory.

g-f

Занятие 1

Автоматизация процесса создания учетных записей пользователей

Прежде всего

Д л я в ы п о л н е н и я у п р а ж н е н и й в этой главе нужен контроллер S E R V E R 0 1 до-

мена contoso.com. С о з д а н и е д о м е н а и к о н т р о л л е р а домена описано в главе 1.

И с т о р и я и з ж и з н и

Дэн Холме

Администраторы Windows тратят очень много времени на выполнение базовых

задач, связанных с объектами пользователей. Каждый день в корпоративной сети

нужно решать множество проблем, связанных с управлением пользователями.

Служащие приходят в организацию, перемещаются из отдела в отдел, женятся

или выходят замуж, разводятся и, в конце концов, покидают компанию. Адми-

нистраторы – тоже люди и могут допускать ошибки, например забывать пароли

или некорректными действиями блокировать свои учетные записи.

Администраторы должны реагировать не все эти изменения, а пользователь-

ские учетные записи обладают таким количеством свойств, что даже опытные

администраторы часто нарушают собственноручно установленные процедуры и

соглашения. Я уверен, что ключом к обеспечению эффективных, согласованных

и безопасных пользовательских сред служит повышение навыков администра-

торов.

Занятие 1. Автоматизация процесса создания

учетных записей пользователей

В главе 2 мы о б с у ж д а л и , к а к создать у ч е т н у ю запись пользователя в оснастке

Active D i r e c t o r y – п о л ь з о в а т е л и и к о м п ь ю т е р ы (Active Directory Users and

C o m p u t e r s ) . П о с к о л ь к у о п и с а н н ы е там процедуры можно применять для созда-

н и я н е б о л ь ш о г о ч и с л а п о л ь з о в а т е л е й , вам потребуются расширенные техноло-

г и и д л я а в т о м а т и з а ц и и процесса с о з д а н и я у ч е т н ы х записей пользователей при

д о б а в л е н и и з н а ч и т е л ь н о г о количества пользователей в домен. На этом занятии

в ы и з у ч и т е н е к о т о р ы е п р е д н а з н а ч е н н ы е д л я этого технологии.

Изучив материал этого занятия, вы сможете:

•S Создавать пользователей с помощью шаблонов пользовательских учетных

записей.

S Импортировать пользователей с помощью утилиты CSVDE.

S Импортировать пользователей с помощью утилиты LDIFDE.

Продолжительность занятия – около 30 мин.

Создание пользователей с помощью шаблонов

П о л ь з о в а т е л и в д о м е н е часто обладают с х о д н ы м и свойствами. Например, все

м е н е д ж е р ы по п р о д а ж а м могут п р и н а д л е ж а т ь к одним группам безопасности,

в х о д и т ь в сеть п р и м е р н о в о д н о и то же рабочее время, х р а н и т ь д о м а ш н и е

п а п к и и п е р е м е щ а е м ы е п р о ф и л и на одном сервере. Поэтому при с о з д а н и и

н о в о г о п о л ь з о в а т е л я , в м е с т о того чтобы создавать п у с т у ю у ч е т н у ю з а п и с ь

88 Пользователи

Глава 3

и задавать каждое свойство, можно скопировать существующую учетную за-

пись пользователя.

Со времен Windows NT 4.0 системы Windows п о д д е р ж и в а л и к о н ц е п ц и ю

шаблонов учетных записей пользователей. Шаблон учетной записи пользова-

теля – это типовая учетная запись, предварительно з а п о л н е н н а я о с н о в н ы м и

свойствами. Например, вы можете создать ш а б л о н н у ю у ч е т н у ю з а п и с ь д л я

менеджеров по продажам, которая предварительно з а п о л н е н а п а р а м е т р а м и

членства в группах, времени входа в систему, домашней п а п к и и п у т е й к пе-

ремещаемому профилю.

ПРИМЕЧАНИЕ Отключение шаблонных учетных записей

Шаблонную учетную запись нельзя использовать для входа в сеть, поэтому ее сле-

дует отключить.

Чтобы создать учетную запись пользователя на основе ш а б л о н а , в к о н -

текстном меню выберите команду Копировать (Сору). Когда о т к р о е т с я мас-

тер Копировать объект – Пользователь (Copy O b j e c t – U s e r W i z a r d ) , в а м

потребуется ввести имя, имя входа и пароль для нового п о л ь з о в а т е л я . М н о г и е

свойства шаблона копируются в новую учетную запись п о л ь з о в а т е л я . П о с л е

создания учетной записи пользователя ее свойства м о ж н о п р о с м о т р е т ь на

вкладках диалогового окна Свойства (Properties). Н е к о т о р ы е из этих в к л а д о к

и свойств описаны далее.

• Общие (General) Свойства на вкладке Общие не к о п и р у ю т с я .

• Адрес (Address) Почтовый ящик, город, область и л и край, п о ч т о в ы й ин-

декс, а также страна или регион. Отметим, что адрес у л и ц ы не к о п и р у е т с я .

• Учетная запись (Account) Время входа, рабочие с т а н ц и и д л я входа, па-

раметры учетной записи и срок действия учетной записи.

• Профиль (Profile) Путь к профилю, сценарий входа, д о м а ш н я я п а п к а

и путь к диску домашней папки.

• Организация (Organization) Отдел, организация и р у к о в о д и т е л ь .

• Член групп (Member Of) Членство в группах и о с н о в н а я группа.

ПРИМЕЧАНИЕ Дополнительные свойства учетных записей пользователей

Пользовательские учетные записи обладают дополнительными свойствами, которые

не отображаются на стандартных вкладках оснастки Active Directory – пользователи

и компьютеры (Active Directory Users and Computers). Среди этих скрытых атрибу-

тов есть такие полезные свойства, как assistant, division, employee type и employeelD.

Для их просмотра в оснастке Active Directory – пользователи и компьютеры щел-

кните меню Вид (View) и установите флажок Дополнительные компоненты (Ad-

vanced Features). Затем откройте свойства учетной записи пользователя и перейдите

на вкладку Редактор атрибутов (Attribute Editor). Некоторые из этих атрибутов,

включая assistant, division и employeeType, также копируются из шаблона в новую

учетную запись.

g-f

Занятие 1

Автоматизация процесса создания учетных записей пользователей

Что, если к о п и р о в а н и я н е д о с т а т о ч н о

Многие администраторы считают список копируемых атрибутов несколько огра-

ниченным. Например, вам может потребоваться скопировать название задания

и .адрес улицы. Вы можете модифицировать схему Active Directory и вклю-

чить дополнительные атрибуты при дублировании пользователя. Инструкции

можно найти в статье 827832 базы знаний по адресу http://support.microsoft.

com/kb/827832.

Тем не менее в вашем распоряжении будут расширенные методы автомати-

зации процесса создания учетных записей пользователей. Позже в этой главе

мы обсудим принципы использования команд служб каталогов (DS), Comma-

Separated Values Data Exchange (CSVDE), LDAP Data Interchange Format Data

Exchange ( L D I F D E ) и Windows PowerShell для автоматизации административ-

ных задач. С помощью этих инструментов можно обеспечить полный контроль

над процессом создания новой учетной записи.

Инструменты командной строки Active Directory

В главе 2 мы о п и с а л и и н с т р у м е н т Dsquery.exe, к о т о р ы й входит в набор у т и л и т

к о м а н д н о й с т р о к и A c t i v e D i r e c t o r y , н а з ы в а е м ы й командами DS. В W i n d o w s

Server 2008 п о д д е р ж и в а ю т с я с л е д у ю щ и е к о м а н д ы DS.

• D s a d d С о з д а е т о б ъ е к т в каталоге.

• D s g e t В о з в р а щ а е т у к а з а н н ы е а т р и б у т ы объекта.

• D s m o d М о д и ф и ц и р у е т у к а з а н н ы е а т р и б у т ы объекта.

• D s m o v e П е р е м е щ а е т о б ъ е к т в н о в ы й к о н т е й н е р и л и подразделение.

• D s r m Удаляет о б ъ е к т и все его д о ч е р н и е объекты.

• D s q u e r y В ы п о л н я е т з а п р о с на основе параметров, у к а з а н н ы х в команд-

ной строке, и в о з в р а щ а е т с п и с о к о б ъ е к т о в с а н а л о г и ч н ы м и параметрами.

П о у м о л ч а н и ю р е з у л ь т и р у ю щ и й н а б о р с о д е р ж и т о т л и ч и т е л ь н ы е и м е н а

D N ( D i s t i n g u i s h e d N a m e ) к а ж д о г о объекта, о д н а к о в ы м о ж е т е использо-

вать п а р а м е т р с т а к и м и м о д и ф и к а т о р а м и , к а к dn, rdn, ирп и л и samid,

д л я п о л у ч е н и я р е з у л ь т а т о в с и м е н а м и DN, о т н о с и т е л ь н ы м и и м е н а м и DN,

о с н о в н ы м и и м е н а м и п о л ь з о в а т е л е й U P N и л и и м е н а м и входа п р е д ы д у щ и х

версий W i n d o w s ( и д е н т и ф и к а т о р ы д и с п е т ч е р а б е з о п а с н о с т и у ч е т н ы х за-

писей S A M ) .

Б о л ь ш и н с т в о к о м а н д DS п р и н и м а ю т два м о д и ф и к а т о р а после самой коман-

ды: т и п объекта и и м я DN объекта. Н а п р и м е р , с л е д у ю щ а я к о м а н д а д о б а в л я е т

учетную запись п о л ь з о в а т е л я M i k e F i t z m a u r i c e :

dsadd user "cn=Mike Fitzmaurice,ou=People,dc=contoso,dc=com"

Сразу после к о м а н д ы у к а з ы в а е т с я т и п объекта user. П о с л е типа объекта

вводится и м я DN объекта. Е с л и в и м е н и DN объекта есть пробелы, заключите

DN в кавычки. С л е д у ю щ а я к о м а н д а у д а л я е т того же п о л ь з о в а т е л я :

dsrm user "cn=Mike Fitzmaurice, ou=People,dc-contoso,dc=com"

90 Пользователи

Глава 3

Для чтения или манипуляций с атрибутами объектов используются D S – K O -

манды Dsquery.exe, Dsget.exe и Dsmod.exe. Чтобы указать атрибут, в к л ю ч и т е его

в качестве параметра после имени DN объекта. Например, с л е д у ю щ а я команда

извлекает путь к домашней папке пользователя Mike Fitzmaurice:

dsget user «cn=Mike Fitzmaurice.ou=People,dc=contoso,dc=com» -hmdir

Параметр DS-команды, представляющий такой атрибут, как, н а п р и м е р ,

hmdir, не всегда соответствует имени атрибута в оснастке Active D i r e c t o r y —

пользователи и компьютеры или схеме.

Создание пользователей с помощью команды Dsadd

Для создания объектов в Active Directory используется команда Dsadd. Команда

DSADD USER UserDN создает объект пользователя и п р и н и м а е т п а р а м е т р ы ,

указывающие его свойства. Следующая команда содержит параметры, необ-

ходимые для создания учетной записи пользователя:

dsadd user "User DH~ -samid pre-Windows 2000 logon name

-pwd (Password | •) -mustchpwd yes

Параметр pwd определяет пароль. Если указать символ звездочки (*), будет

предложено ввести пароль пользователя. Параметр mustchpwd указывает, что

пользователь должен изменить свой пароль при следующем входе в систему.

Команда DSADD USER принимает много параметров со с в о й с т в а м и объекта

пользователя. Большинство названий параметров очевидны, н а п р и м е р -email,

-profiler -company. Вы можете получить соответствующую и н ф о р м а ц и ю , в в е д я

команду DSADD USER/? или выполнив поиск в центре с п р а в к и и п о д д е р ж к и

Windows Server 2008.

Специальный маркер $usemame$ представляет и д е н т и ф и к а т о р S A M в зна-

чениях параметров -email, -hmdir, -profile и -webpg. Н а п р и м е р , ч т о б ы о т к о н -

фигурировать домашнюю папку пользователя при созданий п о л ь з о в а т е л ь с к о й

учетной записи с помощью команды DSADD USER, добавьте с л е д у ю щ и й па-

раметр:

-hmdir \server01users$username$documents

Импорт пользователей с помощью команды CSVDE

Утилита командной строки CSVDE импортирует и экспортирует объекты Active

Directory в виде текстового файла с разделительными з а п я т ы м и ( т е к с т о в ы й

файл разделенных запятыми значений или ф а й л ..csv). Ф а й л ы с р а з д е л и т е л ь -

ными запятыми можно создавать, модифицировать и о т к р ы в а т ь с п о м о щ ь ю

таких инструментов, как Блокнот (Notepad) и Microsoft Office Excel. У т и л и т а

CSVDE обеспечивает способ автоматизации создания учетных записей пользо-

вателей на основе информации пользователей из баз д а н н ы х Excel и M i c r o s o f t

Office Access.

Далее приведен базовый синтаксис команды CSVDE:

csvde [ – i ] [-f ит_файла] [-k]

Занятие 1 Автоматизация процесса создания учетных записей пользователей g-f

Параметр i у к а з ы в а е т р е ж и м и м п о р т а . Е с л и не указать этот параметр, по

умолчанию к о м а н д а CSVDE будет и с п о л ь з о в а т ь р е ж и м экспорта. Параметр – /

и д е н т и ф и ц и р у е т и м я ф а й л а д л я и м п о р т а и л и экспорта. П а р а м е т р – k удобно

использовать д л я о п е р а ц и й и м п о р т а , п о с к о л ь к у он у к а з ы в а е т команде CSVDE

игнорировать о ш и б к и .

Команда и м п о р т и р у е т т е к с т о в ы й ф а й л с р а з д е л и т е л ь н ы м и з а п я т ы м и (.csv

или . t x t ) , в к о т о р о м п е р в а я с т р о к а о п р е д е л я е т а т р и б у т ы импорта с п о м о щ ь ю

их имен L D A P ( L i g h t w e i g h t D i r e c t o r y Access Protocol). К а ж д ы й объект пред-

ставлен одной с т р о к о й и д о л ж е н с о д е р ж а т ь атрибуты, перечисленные в первой

строке. Д а л е е п р и в е д е н п р и м е р т а к о г о ф а й л а :

DN,objectClass, sAMAccountName,sn.givenName,userPrincipalName

«cn=Lisa Andrews, ou=People, dc=contoso,dc=com»,user,lisa.andrews,

Lisa,Andrews, l i s a . a n d [email protected]

П р и и м п о р т е э т о г о ф а й л а с п о м о щ ь ю к о м а н д ы CSVDE в п о д р а з д е л е н и и

People ( Л ю д и ) с о з д а е т с я о б ъ е к т п о л ь з о в а т е л я Lisa Andrews. Ф а й л конфигури-

рует и м я и ф а м и л и ю п о л ь з о в а т е л я . К о м а н д у CSVDE н е л ь з я использовать д л я

импорта п а р о л е й , а без п а р о л я у ч е т н а я з а п и с ь и з н а ч а л ь н о будет отключена.

После сброса п а р о л я м о ж н о в к л ю ч и т ь объект.

В главах 4 и 5 мы и с п о л ь з у е м к о м а н д у CSVDE д л я импорта компьютеров

и групп. Б о л е е п о д р о б н у ю и н ф о р м а ц и ю о ней, в т о м ч и с л е о параметрах и

п р и н ц и п а х и с п о л ь з о в а н и я д л я э к с п о р т а о б ъ е к т о в каталога, м о ж н о получить,

введя к о м а н д у csvde /? и л и в о с п о л ь з о в а в ш и с ь с п р а в к о й и поддержкой Win-

dows Server 2008.

Импорт пользователей с помощью команды LDIFDE

С п о м о щ ь ю к о м а н д ы Ldifde.exe м о ж н о и м п о р т и р о в а т ь и экспортировать объек-

ты Active Directory, в т о м ч и с л е и п о л ь з о в а т е л е й . Д л я в ы п о л н е н и я групповых

операций с каталогами, с о о т в е т с т в у ю щ и м и стандартам LDAP, м о ж н о использо-

вать стандарт И н т е р н е т а ф а й л о в о г о ф о р м а т а L D I F ( L i g h t w e i g h t Directory Ac-

cess P r o t o c o l D a t a I n t e r c h a n g e F o r m a t ) . Ф о р м а т L D I F п о д де рж и в а е т операции

импорта и э к с п о р т а , а т а к ж е г р у п п о в ы е о п е р а ц и и , м о д и ф и ц и р у ю щ и е объекты

в каталоге. К о м а н д а LDIFDE р е а л и з у е т э ти г р у п п о в ы е о п е р а ц и и с п о м о щ ь ю

ф а й л о в LDIF.

Ф а й л о в ы й ф о р м а т L D I F с о с т о и т и з б л о к а строк, к о т о р ы е вместе образуют

одну о п е р а ц и ю . О п е р а ц и и в о д н о м ф а й л е р а з д е л е н ы п у с т о й с т р о к о й . К а ж -

дая строка, с о с т а в л я ю щ а я о п е р а ц и ю , с о д е р ж и т и м я атрибута, после которого

следуют д в о е т о ч и е и з н а ч е н и е а т р и б у т а . П р е д п о л о ж и м , ч т о вам т р е б у е т с я

и м п о р т и р о в а т ь о б ъ е к т ы п о л ь з о в а т е л е й д л я д в у х м е н е д ж е р о в п о продажам,

Э п р и л С т ю а р т и Т о н и К р а й н е й . С о д е р ж и м о е ф а й л а L D I F м о ж е т б ы т ь при-

мерно таким:

ON: CN=3npnn Стюарт,СШ=Кадры,DC=contoso,DC=com

changeType: add

CN: Эприл Стюарт

92 Пользователи

Глава 3

objectClass: user

sAMAccountName: april.Stewart

userPrincipalName: [email protected]

givenName: Эприл

sn: Стоарт

displayName: Стоарт. Эприл

mail: april.stewart§contoso.com

description: Менеджер no продажам США

title: Менеджер no продажам

department: Продажи

company: Contoso. Ltd.

D N : C N = T O H H Крайней,01)=Кадры, DC=Contoso.DC=Com

changeType: add

CN: Тони Крайней

objectClass: user

sAHAccountNaee: tony.krijnen

userPrincipalName: tony.krijnengcontoso.com

givenName: Тони

sn: Крайней

displayNane: Крайней, Тони

mail: tony.krijnengcontoso.com

description: Менеджер no продажам Нидерланды

title: Менеджер no продажам

department: Продажи

соврапу: Contoso, Ltd.

Каждая операция начинается с атрибута DN объекта, к о т о р ы й я в л я е т с я

целью операции. Следующая строка changeType указывает т и п о п е р а ц и и : add,

modify или delete.

Файловый формат LDIF не настолько очевиден и понятен, ка к т е к с т о в ы й

с разделительными запятыми. Тем не менее, поскольку ф о р м а т L D I F т а к ж е

является стандартом, многие службы каталогов и базы д а н н ы х могут э к с п о р -

тировать файлы LDIF.

После создания или получения файла LDIF команду LDIFDE м о ж н о исполь-


    Ваша оценка произведения:

Популярные книги за неделю