Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 10 (всего у книги 91 страниц)
Б. Утилита dsacls.
B. Утилита dsutil.
Г. Диалоговое окно Дополнительные параметры б е з о п а с н о с т и ( A d v a n c e d
Security Settings).
Закрепление материала главы
Для того чтобы попрактиковаться и закрепить знания, п о л у ч е н н ы е п р и изуче-
нии представленного в этой главе материала, вам необходимо:
• ознакомиться с резюме главы;
• ш повторить используемые в главе основные термины;
• изучить сценарий, в котором описана реальная с и т у а ц и я , т р е б у ю щ а я при-
менения полученных знаний, и предложить свое решение;
• выполнить рекомендуемые упражнения;
• сдать пробный экзамен с помощью тестов.
Резюме главы
• Оснастку Active Directory – пользователи и компьютеры (Active D i r e c t o r y
Users And Computers), включенную в Диспетчер сервера ( S e r v e r M a n a g e r )
в виде отдельной консоли, можно использовать д л я д о б а в л е н и я настраива-
емых консолей и распространения их среди администраторов.
• При создании объектов в оснастке Active Directory – п о л ь з о в а т е л и и ком-
пьютеры нужно конфигурировать л и ш ь о г р а н и ч е н н ы й н а б о р н а ч а л ь н ы х
параметров. После создания объекта можно заполнить много д р у г и х пара-
Сценарий 83
метров. Эти свойства и с п о л ь з у ю т с я в с о х р а н е н н ы х запросах д л я с о з д а н и я
настраиваемых п р е д с т а в л е н и й о б ъ е к т о в п р е д п р и я т и я .
• Д л я д е л е г и р о в а н и я п о л н о м о ч и й а д м и н и с т р и р о в а н и я следует использовать
п о д р а з д е л е н и я ( O r g a n i z a t i o n a l U n i t ) , чтобы о т д е л ы п р е д п р и я т и я играли
соответствующие р о л и в организации. П р и включенном наследован™ объек-
т ы наследуют р а з р е ш е н и я с в о и х р о д и т е л ь с к и х подразделений.
Основные термины
Запомните п е р е ч и с л е н н ы е д а л е е т е р м и н ы , чтобы л у ч ш е п о н я т ь о п и с ы в а е м ы е
концепции.
• Д е л е г и р о в а н и е Н а з н а ч е н и е а д м и н и с т р а т и в н о й задачи. Д е л е г и р о в а н и е
в Active Directory п р о и з в о д и т с я путем м о д и ф и к а ц и и списка DACL объекта.
В качестве р а с п р о с т р а н е н н о г о п р и м е р а делегирования можно привести раз-
решение с л у ж б е т е х н и ч е с к о й п о д д е р ж к и сбрасывать пароли пользователей.
• С о х р а н е н н ы й з а п р о с П р е д с т а в л е н и е объектов Active Directory на основе
к р и т е р и я поиска. С п о м о щ ь ю у з л а С о х р а н е н н ы е запросы (Saved Queries) в
оснастке Active D i r e c t o r y – п о л ь з о в а т е л и и к о м п ь ю т е р ы (Active Directory
Users And C o m p u t e r s ) м о ж н о у к а з а т ь т и п и свойства объектов, которые
требуется н а й т и . Р е з у л ь т а т ы в ы в о д я т с я в п а н е л и сведений оснастки.
Сценарий. Подразделения и делегирование
В следующем с ц е н а р и и вы п р и м е н и т е и з у ч е н н у ю и н ф о р м а ц и ю об оснастках
Active Directory, а т а к ж е с о з д а н и и объектов, д е л е г и р о в а н и и и безопасности.
Ответы на в о п р о с ы м о ж н о н а й т и в р а з д е л е « О т в е т ы » в конце книги.
Вы работаете а д м и н и с т р а т о р о м к о м п а н и и Contoso, Ltd. Структура Active
Directory к о м п а н и и б ы л а создана, когда она была еще очень мала. Б ы л о создано
одно п о д р а з д е л е н и е д л я п о л ь з о в а т е л е й и одно д л я компьютеров. В настоящее
время о р г а н и з а ц и я о х в а т ы в а е т п я т ь г е о г р а ф и ч е с к и х сайтов и в ней работает
более 1000 с л у ж а щ и х . Н а к а ж д о м с а й т е один и л и два сотрудника обеспечи-
вают т е х н и ч е с к у ю п о д д е р ж к у п о л ь з о в а т е л е й , а т а к ж е отвечают за установку
систем и их п р и с о е д и н е н и е к д о м е н у . К р о м е того; и н о г д а н е б о л ь ш а я груп-
па с о т р у д н и к о в в г л а в н о м о ф и с е у с т а н а в л и в а е т с и с т е м ы , п р и с о е д и н я е т их
к д о м е н у и р а с п р о с т р а н я е т на сайт. Е с л и п о л ь з о в а т е л ь з а б ы л свой пароль,
звонок в с л у ж б у т е х н и ч е с к о й п о д д е р ж к и п е р е в о д и т с я на одного из сотрудни-
ков персонала п о д д е р ж к и н е з а в и с и м о от сайта, где р а с п о л о ж е н пользователь.
Ответьте на с л е д у ю щ и е в о п р о с ы р у к о в о д и т е л я , к о т о р ы й ведает управляемос-
тью и обеспечением м и н и м а л ь н о г о у р о в н я п р и в и л е г и й , и объясните, как уп-
равлять д е л е г и р о в а н и е м .
1. О с т а в и т ь ли о б ъ е к т ы к о м п ь ю т е р о в в о д н о м п о д р а з д е л е н и и и л и их следует
распределить по с а й т а м ? В случае р а с п р е д е л е н и я д о л ж н ы ли подразделения
сайтов быть д о ч е р н и м и к о н т е й н е р а м и одного родительского подразделения?
2. Делегировать Ли п р а в о у п р а в л е н и я о б ъ е к т а м и к о м п ь ю т е р о в в узлах непо-
средственно у ч е т н ы м з а п и с я м п о л ь з о в а т е л е й п е р с о н а л а технической под-
д е р ж к и и л и все же л у ч ш е создать г р у п п ы , д а ж е если о н и будут содержать
по одному ч л е н у ?
84 Администрирование
Глава 2
3. Распределить ли пользователей в соответствии с сайтами и л и все же оста-
вить их в одном подразделении?
Практические задания
Чтобы успешно подготовиться к с е р т и ф и к а ц и о н н о м у экзамену, в ы п о л н и т е
следующие задания.
Поддержка учетных записей Active Directory
В этом задании вы проверите успех делегирования и выясните, что п р о и з о й -
дет, если администратор попытается выполнить задание, которое не б ы л о ему
делегировано. Вы также проанализируете результаты н а с л е д о в а н и я и з а щ и т у
подразделения.
Перед выполнением этих упражнений нужно в ы п о л н и т ь у п р а ж н е н и я за-
нятий 2 и 3. В частности, проверьте следующее.
• Подразделение Администраторы должно содержать у ч е т н у ю з а п и с ь поль-
зователя и группу Справка.
• Должна быть учетная запись для Барбары Майер и х о т я бы одна у ч е т н а я
запись в подразделении Кадры.
• Пользователю Барбаре Майер следует быть членом г р у п п ы С п р а в к а .
• Группе Справка должны быть делегированы р а з р е ш е н и я П е р е у с т а н о в и т ь
пароли пользователей и установить изменение п а р о л я п р и с л е д у ю щ е й пе-
резагрузке (Reset User Passwords and Force Password C h a n g e at N e x t Logon)
для подразделения Кадры.
Кроме того, необходимо, чтобы группа Пользователи домена ( D o m a i n Users)
была членом группы Операторы печати (Print Operators), к о т о р а я н а х о д и т с я
в контейнере Builtin, с тем чтобы все пользователи в у ч е б н о м д о м е н е м о г л и
входить на контроллер домена SERVER01. Это т р е б у е т с я д л я в ы п о л н е н и я
практических занятий настоящего руководства, но разрешать п о л ь з о в а т е л я м
входить на контроллеры домена в производственной среде н е л ь з я . П о э т о м у
в производственной среде не следует включать группу П о л ь з о в а т е л и д о м е н а
в группу Операторы печати.
• Упражнение 1 Войдите на машину S E R V E R 0 1 как п о л ь з о в а т е л ь Б а р б а -
ра Майер (она входит в группу Справка). Убедитесь, что Б а р б а р а м о ж е т
сбрасывать пароли других пользователей и с о б с т в е н н ы й п а р о л ь в под-
разделении Кадры. Затем попытайтесь изменить пароль у ч е т н о й з а п и с и
в подразделении Администраторы. Проанализируйте результат.
• Упражнение 2 Войдите на машину S E R V E R 0 1 как А д м и н и с т р а т о р ( A d -
ministrator). В подразделении Кадры создайте новое подразделение Ф и л и -
ал. При создании подразделения Филиал проверьте, установлен ли ф л а ж о к
Защитить контейнер от случайного удаления (Protect Container F r o m Acci-
dental Deletion). В конце занятия вы удалите это подразделение. Создайте в
этом подразделении учетную запись пользователя. Откройте с п и с о к D A C L
объекта пользователя в диалоговом окне Дополнительные п а р а м е т р ы бе-
зопасности (Advanced Security Settings). Просмотрите разрешения, ШЗПсГ
Пробный экзамен 85
ченные подразделению С п р а в к а : оии я в н ы е и л и унаследованные? Если эти
разрешения у н а с л е д о в а н ы , то о т к у д а ? В д и а л о г о в о м окне Д о п о л н и т е л ь н ы е
параметры б е з о п а с н о с т и о т к р о й т е с п и с о к D A C L п о д р а з д е л е н и я Ф и л и а л .
Сбосьте ф л а ж о к Д о б а в и т ь р а з р е ш е н и я , н а с л е д у е м ы е от родительских объ-
ектов ( I n c l u d e I n h e r i t a b l e P e r m i s s i o n s F r o m T h i s O b j e c t ' s P a r e n t ) .
Выйдите из с и с т е м ы и в н о в ь в о й д и т е к ак п о л ь з о в а т е л ь Б а р б а р а Майер.
Убедитесь, что Б а р б а р а м о ж е т с б р о с и т ь п а р о л ь пользователя в подразделе-
нии Кадры. П о с л е этого п о п ы т а й т е с ь сбросить этот пароль в подразделении
Ф и л и а л . В д о с т у п е будет о т к а з а н о .
Выйдите из системы и вновь в о й д и т е как администратор. Устраните ошибку
доступа Б а р б а р ы , в о с с т а н о в и в н а с л е д о в а н и е д л я п о д р а з д е л е н и я Ф и л и а л .
В ы й д и т е из с и с т е м ы и в н о в ь в о й д и т е к а к п о л ь з о в а т е л ь Барбара, чтобы
п р о в е р и т ь результат. М о ж е т ли о н а с б р о с и т ь п а р о л ь пользователя в под-
р а з д е л е н и и Ф и л и а л ?
• У п р а ж н е н и е 3 В о й д и т е на м а ш и н у S E R V E R 0 1 к а к пользователь Барбара
Майер. П о п ы т а й т е с ь у д а л и т ь п о д р а з д е л е н и е Ф и л и а л . В доступе будет отка-
зано. Выйдите из с и с т е м ы и вновь войдите как администратор. Попытайтесь
удалить п о д р а з д е л е н и е Ф и л и а л . В доступе будет отказано. Откройте свойс-
тва п о д р а з д е л е н и я Ф и л и а л . П е р е й д и т е н а в к л а д к у О б ъ е к т ( O b j e c t ) . Если
эта в к л а д к а н е о т о б р а ж а е т с я , в к л ю ч и т е п р е д с т а в л е н и е Д о п о л н и т е л ь н ы е
к о м п о н е н т ы ( A d v a n c e d F e a t u r e s ) в оснастке Active Directory – пользова-
т е л и и к о м п ь ю т е р ы ( A c t i v e D i r e c t o r y U s e r s And C o m p u t e r s ) . На вклад-
к е О б ъ е к т с н и м и т е з а щ и т у п о д р а з д е л е н и я Ф и л и а л . И , наконец, удалите
п о д р а з д е л е н и е Ф и л и а л в м е с т е с с о д е р ж а щ е й с я в нем у ч е т н о й записью
пользователя.
Пробный экзамен
На п р и л а г а е м о м к к н и г е к о м п а к т – д и с к е п р е д с т а в л е н о н е с к о л ь к о вариантов
тренировочных тестов. П р о в е р к а з н а н и й в ы п о л н я е т с я и л и только по одной теме
с е р т и ф и к а ц и о н н о г о э к з а м е н а 7 0 – 6 4 0 , и л и п о всем э к з а м е н а ц и о н н ы м темам.
Тестирование м о ж н о о р г а н и з о в а т ь т а к и м образом, чтобы оно проводилось как
экзамен, л и б о н а с т р о и т ь на р е ж и м о б у ч е н и я . В п о с л е д н е м случае вы сможете
после к а ж д о г о с в о е г о о т в е т а н а в о п р о с п р о с м а т р и в а т ь п р а в и л ь н ы е о т в е т ы
и п о я с н е н и я .
ПРИМЕЧАНИЕ Пробный экзамен
Подробнее о пробном экзамене рассказано во введении к данной книге.
Г Л А В А 3
Пользователи
Занятие 1. Автоматизация процесса создания учетных записей пользователей 87
Занятие 2. Создание пользователей с помощью Windows PowerShell и VBScript 98
Занятие 3. Поддержка пользовательских объектов и учетных записей 114
В главе 1 доменные службы Active Directory AD DS (Active D i r e c t o r y D o m a i n
Services) представлены как решения, связанные с и д е н т и ф и к а ц и е й и д о с т у -
пом. Учетные записи пользователей, которые хранятся в каталоге, я в л я ю т с я
основополагающими компонентами процесса и д е н т и ф и к а ц и и . П о э т о м у з н а -
ние принципов выполнения задач, связанных с п о д д е р ж к о й у ч е т н ы х з а п и с е й
пользователей, играет очень важную роль в у с п е ш н о м а д м и н и с т р и р о в а н и и
предприятия. '
Навыки, необходимые для создания и м о д и ф и к а ц и и о т д е л ь н о й "учетной
записи, описаны в главе 2. Однако эти методы могут о к а з а т ь с я н е э ф ф е к т и в -
ными при работе с большим количеством учетных записей, в ч а с т н о с т и п р и
создании учетных записей новых служащих.
В настоящей главе речь пойдет о применении р а з л и ч н ы х средств и техно-
логий для автоматизации процесса создания пользователей и у п р а в л е н и я и м и ,
а также для локализации объектов пользователей и в ы п о л н е н и я м а н и п у л я ц и й
с их атрибутами. Кроме того, вы ознакомитесь с командной оболочкой M i c r o s o f t
Windows PowerShell, которая в будущем будет и с п о л ь з о в а т ь с я т е х н о л о г и я м и
Windows для автоматизации администрирования с помощью командной строки.
Также будут рассмотрены различные варианты в ы п о л н е н и я всех р а с п р о с т р а -
ненных административных задач.
На сертификационном экзамене требуется л и ш ь знание основного с и н т а к -
сиса и назначения утилит командной строки, W i n d o w s PowerShell и M i c r o s o f t
Visual Basic Script (VBScript). Однако в данной главе дается более о б ш и р н о е
введение в основы сценариев и автоматизации. Попрактиковавшись в создании
сценариев, вы сможете не только качественно подготовиться к с е р т и ф и к а ц и -
онному экзамену, но и повысить свои навыки в а в т о м а т и з а ц и и у т о м и т е л ь н ы х
административных задач и, соответственно, э ф ф е к т и в н о с т ь своей работы.
Темы экзамена:
• Создание и поддержка объектов Active Directory.
• Автоматизация создания учетных записей Active Directory.
• Поддержка учетных записей Active Directory.
g-f
Занятие 1
Автоматизация процесса создания учетных записей пользователей
Прежде всего
Д л я в ы п о л н е н и я у п р а ж н е н и й в этой главе нужен контроллер S E R V E R 0 1 до-
мена contoso.com. С о з д а н и е д о м е н а и к о н т р о л л е р а домена описано в главе 1.
И с т о р и я и з ж и з н и
Дэн Холме
Администраторы Windows тратят очень много времени на выполнение базовых
задач, связанных с объектами пользователей. Каждый день в корпоративной сети
нужно решать множество проблем, связанных с управлением пользователями.
Служащие приходят в организацию, перемещаются из отдела в отдел, женятся
или выходят замуж, разводятся и, в конце концов, покидают компанию. Адми-
нистраторы – тоже люди и могут допускать ошибки, например забывать пароли
или некорректными действиями блокировать свои учетные записи.
Администраторы должны реагировать не все эти изменения, а пользователь-
ские учетные записи обладают таким количеством свойств, что даже опытные
администраторы часто нарушают собственноручно установленные процедуры и
соглашения. Я уверен, что ключом к обеспечению эффективных, согласованных
и безопасных пользовательских сред служит повышение навыков администра-
торов.
Занятие 1. Автоматизация процесса создания
учетных записей пользователей
В главе 2 мы о б с у ж д а л и , к а к создать у ч е т н у ю запись пользователя в оснастке
Active D i r e c t o r y – п о л ь з о в а т е л и и к о м п ь ю т е р ы (Active Directory Users and
C o m p u t e r s ) . П о с к о л ь к у о п и с а н н ы е там процедуры можно применять для созда-
н и я н е б о л ь ш о г о ч и с л а п о л ь з о в а т е л е й , вам потребуются расширенные техноло-
г и и д л я а в т о м а т и з а ц и и процесса с о з д а н и я у ч е т н ы х записей пользователей при
д о б а в л е н и и з н а ч и т е л ь н о г о количества пользователей в домен. На этом занятии
в ы и з у ч и т е н е к о т о р ы е п р е д н а з н а ч е н н ы е д л я этого технологии.
Изучив материал этого занятия, вы сможете:
•S Создавать пользователей с помощью шаблонов пользовательских учетных
записей.
S Импортировать пользователей с помощью утилиты CSVDE.
S Импортировать пользователей с помощью утилиты LDIFDE.
Продолжительность занятия – около 30 мин.
Создание пользователей с помощью шаблонов
П о л ь з о в а т е л и в д о м е н е часто обладают с х о д н ы м и свойствами. Например, все
м е н е д ж е р ы по п р о д а ж а м могут п р и н а д л е ж а т ь к одним группам безопасности,
в х о д и т ь в сеть п р и м е р н о в о д н о и то же рабочее время, х р а н и т ь д о м а ш н и е
п а п к и и п е р е м е щ а е м ы е п р о ф и л и на одном сервере. Поэтому при с о з д а н и и
н о в о г о п о л ь з о в а т е л я , в м е с т о того чтобы создавать п у с т у ю у ч е т н у ю з а п и с ь
88 Пользователи
Глава 3
и задавать каждое свойство, можно скопировать существующую учетную за-
пись пользователя.
Со времен Windows NT 4.0 системы Windows п о д д е р ж и в а л и к о н ц е п ц и ю
шаблонов учетных записей пользователей. Шаблон учетной записи пользова-
теля – это типовая учетная запись, предварительно з а п о л н е н н а я о с н о в н ы м и
свойствами. Например, вы можете создать ш а б л о н н у ю у ч е т н у ю з а п и с ь д л я
менеджеров по продажам, которая предварительно з а п о л н е н а п а р а м е т р а м и
членства в группах, времени входа в систему, домашней п а п к и и п у т е й к пе-
ремещаемому профилю.
ПРИМЕЧАНИЕ Отключение шаблонных учетных записей
Шаблонную учетную запись нельзя использовать для входа в сеть, поэтому ее сле-
дует отключить.
Чтобы создать учетную запись пользователя на основе ш а б л о н а , в к о н -
текстном меню выберите команду Копировать (Сору). Когда о т к р о е т с я мас-
тер Копировать объект – Пользователь (Copy O b j e c t – U s e r W i z a r d ) , в а м
потребуется ввести имя, имя входа и пароль для нового п о л ь з о в а т е л я . М н о г и е
свойства шаблона копируются в новую учетную запись п о л ь з о в а т е л я . П о с л е
создания учетной записи пользователя ее свойства м о ж н о п р о с м о т р е т ь на
вкладках диалогового окна Свойства (Properties). Н е к о т о р ы е из этих в к л а д о к
и свойств описаны далее.
• Общие (General) Свойства на вкладке Общие не к о п и р у ю т с я .
• Адрес (Address) Почтовый ящик, город, область и л и край, п о ч т о в ы й ин-
декс, а также страна или регион. Отметим, что адрес у л и ц ы не к о п и р у е т с я .
• Учетная запись (Account) Время входа, рабочие с т а н ц и и д л я входа, па-
раметры учетной записи и срок действия учетной записи.
• Профиль (Profile) Путь к профилю, сценарий входа, д о м а ш н я я п а п к а
и путь к диску домашней папки.
• Организация (Organization) Отдел, организация и р у к о в о д и т е л ь .
• Член групп (Member Of) Членство в группах и о с н о в н а я группа.
ПРИМЕЧАНИЕ Дополнительные свойства учетных записей пользователей
Пользовательские учетные записи обладают дополнительными свойствами, которые
не отображаются на стандартных вкладках оснастки Active Directory – пользователи
и компьютеры (Active Directory Users and Computers). Среди этих скрытых атрибу-
тов есть такие полезные свойства, как assistant, division, employee type и employeelD.
Для их просмотра в оснастке Active Directory – пользователи и компьютеры щел-
кните меню Вид (View) и установите флажок Дополнительные компоненты (Ad-
vanced Features). Затем откройте свойства учетной записи пользователя и перейдите
на вкладку Редактор атрибутов (Attribute Editor). Некоторые из этих атрибутов,
включая assistant, division и employeeType, также копируются из шаблона в новую
учетную запись.
g-f
Занятие 1
Автоматизация процесса создания учетных записей пользователей
Что, если к о п и р о в а н и я н е д о с т а т о ч н о
Многие администраторы считают список копируемых атрибутов несколько огра-
ниченным. Например, вам может потребоваться скопировать название задания
и .адрес улицы. Вы можете модифицировать схему Active Directory и вклю-
чить дополнительные атрибуты при дублировании пользователя. Инструкции
можно найти в статье 827832 базы знаний по адресу http://support.microsoft.
com/kb/827832.
Тем не менее в вашем распоряжении будут расширенные методы автомати-
зации процесса создания учетных записей пользователей. Позже в этой главе
мы обсудим принципы использования команд служб каталогов (DS), Comma-
Separated Values Data Exchange (CSVDE), LDAP Data Interchange Format Data
Exchange ( L D I F D E ) и Windows PowerShell для автоматизации административ-
ных задач. С помощью этих инструментов можно обеспечить полный контроль
над процессом создания новой учетной записи.
Инструменты командной строки Active Directory
В главе 2 мы о п и с а л и и н с т р у м е н т Dsquery.exe, к о т о р ы й входит в набор у т и л и т
к о м а н д н о й с т р о к и A c t i v e D i r e c t o r y , н а з ы в а е м ы й командами DS. В W i n d o w s
Server 2008 п о д д е р ж и в а ю т с я с л е д у ю щ и е к о м а н д ы DS.
• D s a d d С о з д а е т о б ъ е к т в каталоге.
• D s g e t В о з в р а щ а е т у к а з а н н ы е а т р и б у т ы объекта.
• D s m o d М о д и ф и ц и р у е т у к а з а н н ы е а т р и б у т ы объекта.
• D s m o v e П е р е м е щ а е т о б ъ е к т в н о в ы й к о н т е й н е р и л и подразделение.
• D s r m Удаляет о б ъ е к т и все его д о ч е р н и е объекты.
• D s q u e r y В ы п о л н я е т з а п р о с на основе параметров, у к а з а н н ы х в команд-
ной строке, и в о з в р а щ а е т с п и с о к о б ъ е к т о в с а н а л о г и ч н ы м и параметрами.
П о у м о л ч а н и ю р е з у л ь т и р у ю щ и й н а б о р с о д е р ж и т о т л и ч и т е л ь н ы е и м е н а
D N ( D i s t i n g u i s h e d N a m e ) к а ж д о г о объекта, о д н а к о в ы м о ж е т е использо-
вать п а р а м е т р -о с т а к и м и м о д и ф и к а т о р а м и , к а к dn, rdn, ирп и л и samid,
д л я п о л у ч е н и я р е з у л ь т а т о в с и м е н а м и DN, о т н о с и т е л ь н ы м и и м е н а м и DN,
о с н о в н ы м и и м е н а м и п о л ь з о в а т е л е й U P N и л и и м е н а м и входа п р е д ы д у щ и х
версий W i n d o w s ( и д е н т и ф и к а т о р ы д и с п е т ч е р а б е з о п а с н о с т и у ч е т н ы х за-
писей S A M ) .
Б о л ь ш и н с т в о к о м а н д DS п р и н и м а ю т два м о д и ф и к а т о р а после самой коман-
ды: т и п объекта и и м я DN объекта. Н а п р и м е р , с л е д у ю щ а я к о м а н д а д о б а в л я е т
учетную запись п о л ь з о в а т е л я M i k e F i t z m a u r i c e :
dsadd user "cn=Mike Fitzmaurice,ou=People,dc=contoso,dc=com"
Сразу после к о м а н д ы у к а з ы в а е т с я т и п объекта user. П о с л е типа объекта
вводится и м я DN объекта. Е с л и в и м е н и DN объекта есть пробелы, заключите
DN в кавычки. С л е д у ю щ а я к о м а н д а у д а л я е т того же п о л ь з о в а т е л я :
dsrm user "cn=Mike Fitzmaurice, ou=People,dc-contoso,dc=com"
90 Пользователи
Глава 3
Для чтения или манипуляций с атрибутами объектов используются D S – K O -
манды Dsquery.exe, Dsget.exe и Dsmod.exe. Чтобы указать атрибут, в к л ю ч и т е его
в качестве параметра после имени DN объекта. Например, с л е д у ю щ а я команда
извлекает путь к домашней папке пользователя Mike Fitzmaurice:
dsget user «cn=Mike Fitzmaurice.ou=People,dc=contoso,dc=com» -hmdir
Параметр DS-команды, представляющий такой атрибут, как, н а п р и м е р ,
hmdir, не всегда соответствует имени атрибута в оснастке Active D i r e c t o r y —
пользователи и компьютеры или схеме.
Создание пользователей с помощью команды Dsadd
Для создания объектов в Active Directory используется команда Dsadd. Команда
DSADD USER UserDN создает объект пользователя и п р и н и м а е т п а р а м е т р ы ,
указывающие его свойства. Следующая команда содержит параметры, необ-
ходимые для создания учетной записи пользователя:
dsadd user "User DH~ -samid pre-Windows 2000 logon name
-pwd (Password | •) -mustchpwd yes
Параметр pwd определяет пароль. Если указать символ звездочки (*), будет
предложено ввести пароль пользователя. Параметр mustchpwd указывает, что
пользователь должен изменить свой пароль при следующем входе в систему.
Команда DSADD USER принимает много параметров со с в о й с т в а м и объекта
пользователя. Большинство названий параметров очевидны, н а п р и м е р -email,
-profiler -company. Вы можете получить соответствующую и н ф о р м а ц и ю , в в е д я
команду DSADD USER/? или выполнив поиск в центре с п р а в к и и п о д д е р ж к и
Windows Server 2008.
Специальный маркер $usemame$ представляет и д е н т и ф и к а т о р S A M в зна-
чениях параметров -email, -hmdir, -profile и -webpg. Н а п р и м е р , ч т о б ы о т к о н -
фигурировать домашнюю папку пользователя при созданий п о л ь з о в а т е л ь с к о й
учетной записи с помощью команды DSADD USER, добавьте с л е д у ю щ и й па-
раметр:
-hmdir \server01users$username$documents
Импорт пользователей с помощью команды CSVDE
Утилита командной строки CSVDE импортирует и экспортирует объекты Active
Directory в виде текстового файла с разделительными з а п я т ы м и ( т е к с т о в ы й
файл разделенных запятыми значений или ф а й л ..csv). Ф а й л ы с р а з д е л и т е л ь -
ными запятыми можно создавать, модифицировать и о т к р ы в а т ь с п о м о щ ь ю
таких инструментов, как Блокнот (Notepad) и Microsoft Office Excel. У т и л и т а
CSVDE обеспечивает способ автоматизации создания учетных записей пользо-
вателей на основе информации пользователей из баз д а н н ы х Excel и M i c r o s o f t
Office Access.
Далее приведен базовый синтаксис команды CSVDE:
csvde [ – i ] [-f ит_файла] [-k]
Занятие 1 Автоматизация процесса создания учетных записей пользователей g-f
Параметр i у к а з ы в а е т р е ж и м и м п о р т а . Е с л и не указать этот параметр, по
умолчанию к о м а н д а CSVDE будет и с п о л ь з о в а т ь р е ж и м экспорта. Параметр – /
и д е н т и ф и ц и р у е т и м я ф а й л а д л я и м п о р т а и л и экспорта. П а р а м е т р – k удобно
использовать д л я о п е р а ц и й и м п о р т а , п о с к о л ь к у он у к а з ы в а е т команде CSVDE
игнорировать о ш и б к и .
Команда и м п о р т и р у е т т е к с т о в ы й ф а й л с р а з д е л и т е л ь н ы м и з а п я т ы м и (.csv
или . t x t ) , в к о т о р о м п е р в а я с т р о к а о п р е д е л я е т а т р и б у т ы импорта с п о м о щ ь ю
их имен L D A P ( L i g h t w e i g h t D i r e c t o r y Access Protocol). К а ж д ы й объект пред-
ставлен одной с т р о к о й и д о л ж е н с о д е р ж а т ь атрибуты, перечисленные в первой
строке. Д а л е е п р и в е д е н п р и м е р т а к о г о ф а й л а :
DN,objectClass, sAMAccountName,sn.givenName,userPrincipalName
«cn=Lisa Andrews, ou=People, dc=contoso,dc=com»,user,lisa.andrews,
Lisa,Andrews, l i s a . a n d [email protected]
П р и и м п о р т е э т о г о ф а й л а с п о м о щ ь ю к о м а н д ы CSVDE в п о д р а з д е л е н и и
People ( Л ю д и ) с о з д а е т с я о б ъ е к т п о л ь з о в а т е л я Lisa Andrews. Ф а й л конфигури-
рует и м я и ф а м и л и ю п о л ь з о в а т е л я . К о м а н д у CSVDE н е л ь з я использовать д л я
импорта п а р о л е й , а без п а р о л я у ч е т н а я з а п и с ь и з н а ч а л ь н о будет отключена.
После сброса п а р о л я м о ж н о в к л ю ч и т ь объект.
В главах 4 и 5 мы и с п о л ь з у е м к о м а н д у CSVDE д л я импорта компьютеров
и групп. Б о л е е п о д р о б н у ю и н ф о р м а ц и ю о ней, в т о м ч и с л е о параметрах и
п р и н ц и п а х и с п о л ь з о в а н и я д л я э к с п о р т а о б ъ е к т о в каталога, м о ж н о получить,
введя к о м а н д у csvde /? и л и в о с п о л ь з о в а в ш и с ь с п р а в к о й и поддержкой Win-
dows Server 2008.
Импорт пользователей с помощью команды LDIFDE
С п о м о щ ь ю к о м а н д ы Ldifde.exe м о ж н о и м п о р т и р о в а т ь и экспортировать объек-
ты Active Directory, в т о м ч и с л е и п о л ь з о в а т е л е й . Д л я в ы п о л н е н и я групповых
операций с каталогами, с о о т в е т с т в у ю щ и м и стандартам LDAP, м о ж н о использо-
вать стандарт И н т е р н е т а ф а й л о в о г о ф о р м а т а L D I F ( L i g h t w e i g h t Directory Ac-
cess P r o t o c o l D a t a I n t e r c h a n g e F o r m a t ) . Ф о р м а т L D I F п о д де рж и в а е т операции
импорта и э к с п о р т а , а т а к ж е г р у п п о в ы е о п е р а ц и и , м о д и ф и ц и р у ю щ и е объекты
в каталоге. К о м а н д а LDIFDE р е а л и з у е т э ти г р у п п о в ы е о п е р а ц и и с п о м о щ ь ю
ф а й л о в LDIF.
Ф а й л о в ы й ф о р м а т L D I F с о с т о и т и з б л о к а строк, к о т о р ы е вместе образуют
одну о п е р а ц и ю . О п е р а ц и и в о д н о м ф а й л е р а з д е л е н ы п у с т о й с т р о к о й . К а ж -
дая строка, с о с т а в л я ю щ а я о п е р а ц и ю , с о д е р ж и т и м я атрибута, после которого
следуют д в о е т о ч и е и з н а ч е н и е а т р и б у т а . П р е д п о л о ж и м , ч т о вам т р е б у е т с я
и м п о р т и р о в а т ь о б ъ е к т ы п о л ь з о в а т е л е й д л я д в у х м е н е д ж е р о в п о продажам,
Э п р и л С т ю а р т и Т о н и К р а й н е й . С о д е р ж и м о е ф а й л а L D I F м о ж е т б ы т ь при-
мерно таким:
ON: CN=3npnn Стюарт,СШ=Кадры,DC=contoso,DC=com
changeType: add
CN: Эприл Стюарт
92 Пользователи
Глава 3
objectClass: user
sAMAccountName: april.Stewart
userPrincipalName: [email protected]
givenName: Эприл
sn: Стоарт
displayName: Стоарт. Эприл
mail: april.stewart§contoso.com
description: Менеджер no продажам США
title: Менеджер no продажам
department: Продажи
company: Contoso. Ltd.
D N : C N = T O H H Крайней,01)=Кадры, DC=Contoso.DC=Com
changeType: add
CN: Тони Крайней
objectClass: user
sAHAccountNaee: tony.krijnen
userPrincipalName: tony.krijnengcontoso.com
givenName: Тони
sn: Крайней
displayNane: Крайней, Тони
mail: tony.krijnengcontoso.com
description: Менеджер no продажам Нидерланды
title: Менеджер no продажам
department: Продажи
соврапу: Contoso, Ltd.
Каждая операция начинается с атрибута DN объекта, к о т о р ы й я в л я е т с я
целью операции. Следующая строка changeType указывает т и п о п е р а ц и и : add,
modify или delete.
Файловый формат LDIF не настолько очевиден и понятен, ка к т е к с т о в ы й
с разделительными запятыми. Тем не менее, поскольку ф о р м а т L D I F т а к ж е
является стандартом, многие службы каталогов и базы д а н н ы х могут э к с п о р -
тировать файлы LDIF.
После создания или получения файла LDIF команду LDIFDE м о ж н о исполь-
