Текст книги "Настройка Active Directory. Windows Server 2008"

dSASgriati*B Л»

dSCorePropecatonD №>•{)

dyr«T«e

L

D

A

P Server -ле моано>

i T ... 1 «г1

•• I I

I <* I I I to– I

Рис. 3-5. Вкладка Редактор атрибутов

К а к п о к а з а н о на рис. 3-5, н е к о т о р ы е атрибуты объекта пользователя, на-

п р и м е р division, employeelD, employeeNumber и employeefype, довольно удобно

и с п о л ь з о в а т ь . Х о т я э т и а т р и б у т ы не п о к а з а н ы на стандартных вкладках диа-

логового о к н а с в о й с т в о б ъ е к т а п о л ь з о в а т е л я , они доступны в редакторе атри-

бутов. К р о м е того, с п о м о щ ь ю W i n d o w s PowerShell и VBScript к ним можно

п о л у ч и т ь п р о г р а м м н ы й д о с т у п .

К СВЕДЕНИЮ Скрытые атрибуты объектов

Более подробную информацию об использовании скрытых атрибутов объектов

и расширении схемы путем добавления настраиваемых атрибутов можно найти

в руководстве «Windows Administration Resource Kit: Productivity Solutions for IT

Professionals», автором которого является Дэн Холме (Microsoft Press, 2008).

Управление атрибутами множества пользователей

С п о м о щ ь ю о с н а с т к и Active D i r e c t o r y – пользователи и компьютеры (Active

Directory Users and C o m p u t e r s ) можно одновременно модифицировать свойства

множества о б ъ е к т о в пользователей. Выберите несколько объектов пользовате-

лей, н а ж а в к л а в и ш у Ctrl и щ е л к а я каждого пользователя или применив другую

технологию м н о ж е с т в е н н о й выборки. Выберите объекты л и ш ь одного класса,

например к л а с с а П о л ь з о в а т е л и . После выбора множества объектов щелкните

правой к н о п к о й м ы ш и л ю б о й из них и примените команду Свойства (Properties).

–) 118 Пользователи

Глава з

При выборке множества объектов пользователей д л я м о д и ф и к а ц и и досту-

пен поднабор свойств.

• Вкладка Общие (General) Описание (Description), К о м н а т а (Office), Н о -

мер телефона (Telephone Number), Ф а к с (Fax), Веб-страница ( W e b Page),

Электронная почта (E-mail).

• Учетная запись ( A c c o u n t ) С у ф ф и к с U P N ( U P N Suffix), В р е м я входа

(Logon Hours), Ограничения компьютера ( C o m p u t e r Restrictions) (рабочие

станции входа), все Параметры учетной записи ( A c c o u n t O p t i o n s ) , С р о к

действия учетной записи (Account Expires).

• Адрес (Address) Улица (Street), Почтовый я щ и к (P.O. Box), Город ( C i t y ) ,

Область, кран (State/Province), Почтовый индекс ( Z I P / P o s t a l Code), Стра-

на пли регион (Country/Region).

• Профиль (Profile) Путь к профилю (Profile Path), С ц е н а р и й входа (Logon

Script) и Домашняя папка (Home Folder).

• Организация (Organization) Должность (Title), Отдел ( D e p a r t m e n t ) , О р -

ганизация (Company), Руководитель (M an a g er ) .

СОВЕТ К ЭКЗАМЕНУ

Вы должны знать, какие свойства можно одновременно модифицировать для мно-

жества пользователей. В сценариях и задачах на сертификационном экзамене вам по-

требуется быстро менять многие свойства объектов пользователей для'тестирования

навыков в множественной выборке. В реальных средах всегда следует использовать

такие инструменты автоматизации, как Dsmod, Windows PowerShell и VBScript.

Атрибуты имен и учетной записи

На сертификационном экзамене потребуется знать два набора атрибутов: атри-

буты имен и атрибуты учетной записи.

Имена объектов пользователей

Некоторые атрибуты связаны с именами объекта пользователя и учетной запи-

си. Важно понимать разницу между ними.

• Атрибут sAMAccountName (имя входа п р е д – W i n o o w s 2 0 0 0 ) д о л ж е н б ы т ь

уникальным во всем домене. Для генерирования атрибута sAMAccountName

многие организации используют инициалы и л и н е к о т о р у ю к о м б и н а ц и ю из

имени и фамилии пользователя. Эта методика может создавать о п р е д е л е н -

ные трудности, поскольку в организации любых размеров всегда н а й д у т с я

пользователи с одинаковыми именем и ф а м и л и е й . Ч т о б ы не г е н е р и р о в а т ь

одинаковые значения атрибута sAMAccountName, в систему н у ж н о в н е д р я т ь

исключения. Эта проблема решается, если д л я sAMAccountName и с п о л ь з у -

ется номер служащего или другой у н и к а л ь н ы й атрибут. Е с л и вы м о ж е т е

контролировать соглашения организации об именовании, рекомендуется ис-

пользовать уникальное имя входа, не зависящее от и м е н и п о л ь з о в а т е л я .

• Атрибут userPrincipalName ( U P N ) состоит из и м е н и в х о д а и с у ф ф и к с а

UPN, которым по умолчанию является DNS-имя домена, где создан объект.

Атрибут UPN должен быть уникальным д л я всего леса. О б ы ч н о э т о м у

Занятие 3 Поддержка пользовательских объектов и учетных записей 1 1 9

_

требованию с о о т в е т с т в у ю т адреса э ле к тр о нн о й почты, которые д о л ж н ы

б ы т к . у н н к а л ь н ы м и во всем мире. Рассмотрим использование электронных

адресов в качестве и м е н U P N . Если и м я вашего домена Active Directory

отличается от и м е н и д о м е н а в а ш е й электронной почты, в качестве доступ-

ного с у ф ф и к с а н у ж н о д о б а в и т ь и м я домена электронной почты. Д л я этого

откройте, оснастку Active Di r e ct o r y – домены и доверие (Active Directory

D o m a i n s And T r u s t s ) , щ е л к н и т е п р а в о й кнопкой м ы ш и корень оснастки

и п р и м е н и т е к о м а н д ы С в о й с т в а (Properties).

• О т н о с и т е л ь н о е о т л и ч и т е л ь н о е и м я R D N д о л ж н о быть уникальным в под-

р а з д е л е н и и ( O U ) . Д л я п о л ь з о в а т е л е й это означает, что атрибут сп должен

быть у н и к а л ь н ы м в п о д р а з д е л е н и и . Здесь может понадобиться пойти на

хитрость. Н а п р и м е р , е с л и у вас есть одно плоское подразделение ( O U )

д л я п о л ь з о в а т е л е й , у ж е с о д е р ж а щ е е п о л ь з о в а т е л я Скотт Митчелл, и вы

н а н и м а е т е на р а б о т у в т о р о г о сотрудника Скотт Митчелл, объект второго

п о л ь з о в а т е л я не с м о ж е т о б л а д а т ь таким же общим именем, как у объекта

первого п о л ь з о в а т е л я . К с о ж а л е н и ю , идеального решения этой проблемы

д л я всех о р г а н и з а ц и й н е существует. Р е к о м е н д у е т с я внедрить стандарт

и м е н о в а н и я , п р и м е н я ю щ и й единое п р а в и л о д л я всех имен CN. Имя CN мо-

жет в к л ю ч а т ь в себя н о м е р служащего, например Скотт Митчелл (645928).

Е с л и с т р у к т у р а п о д р а з д е л е н и я у ч е т н ы х записей пользователей является

плоской, н у ж н о б ы т ь г о т о в ы м к р е ш е н и ю таких проблем.

К р о м е того, м н о г и е о р г а н и з а ц и и предпочитают конфигурировать атрибут

сп в в и д е к о м б и н а ц и и Ф а м и л и я ( L a s t Name), И м я (First Name), поскольку

в т а к о м с л у ч а е п о л ь з о в а т е л е й м о ж н о сортировать по фамилии в оснастке

Active D i r e c t o r y – п о л ь з о в а т е л и и компьютеры (Active Directory Users And

C o m p u t e r s ) . Этот метод не рекомендуется использовать для решения данной

п р о б л е м ы . В м е с т о п р и м е н е н и я ф о р м а т а из ф а м и л и и и имени д л я атрибута

сп л у ч ш е д о б а в ь т е в п р е д с т а в л е н и е о с н а с т к и Active Directory – пользо-

в а т е л и и к о м п ь ю т е р ы с т о л б е ц Ф а м и л и я (Last Name), щелкнув меню Вид

( V i e w ) и п р и м е н и в к о м а н д у Д о б а в и т ь и л и удалить столбцы ( A d d / R e m o v e

C o l u m n s ) . З а т е м щ е л к н и т е з а г о л о в о к столбца Ф а м и л и я , чтобы выполнить

с о р т и р о в к у с п и с к а п о л ь з о в а т е л е й п о ф а м и л и я м .

• А т р и б у т displayName о т о б р а ж а е т с я в г л о б а л ь н о й адресной книге GAL

( G l o b a l Address List) сервера Exchange. Пользователей иногда проще ло-

к а л и з о в а т ь в к н и г е GAL, если о н и отсортированы по фамилии. Вы може-

те создать в о р г а н и з а ц и и с о г л а ш е н и е об именовании, согласно которому

а т р и б у т displayName и с п о л ь з у е т ф о р м а т И м я (First Name), Ф а м и л и я (Last

N a m e ) .

Свойства у ч е т н о й з а п и с и

Н а в к л а д к е У ч е т н а я з а п и с ь ( A c c o u n t ) диалогового окна Свойства (Properties)

пользователя, п о к а з а н н о й на рис. 3-6, находятся атрибуты, прямо указывающие,

что п о л ь з о в а т е л ь я в л я е т с я п р и н ц и п а л о м безопасности, то есть представляет

собой объект и д е н т и ф и к а ц и и , к о т о р о м у м о ж н о назначать разрешения и права

доступа. Д р у г и м и п р и н ц и п а л а м и безопасности выступают компьютеры, группы

и класс объектов inetOrgPerson.

–) 120 Пользователи

Глава з

В а м ш а м м о м | O t v e t i | Ё е а с п к м х * j С м » |

U » i с ы | У я и т Щ у п ( * а н * т |

Г Ъ э л и * я ч я £ | С О М – Р е л в п с в т » < е г т : е

O f e * I > ' « » * • » * » € » | П р с о с ъ ] T e n w c r » I

jsrvh^tn jeartMocar JJ

t w . м м П М Ы О М Ч О h * t W V 4 7 – » 2 Ю *

( С 0 Н Г С 5 0 -

i

Г " F a h W M t u n n r *

( I t w i n f C N i i n a

p T t w f e » » ! * о щ – t г а р с п » ц з » Г Ч И ^ И f с и с т » м } J t |

F C w i » i : i i w n < w i 4 i r ( m i i » '

С о * а Ы к в и » w w – ' – •

С Н * о г м

г.*-» 1» • ^J

; o* | j 1 crp-w j

Рис. 3-6. Свойства учетной записи объекта пользователя

Некоторые свойства учетной записи требуют о т д е л ь н о г о в н и м а н и я , пос-

кольку они могут оказаться весьма полезными, но не всегда п о н я т н ы м и . Э т и

свойства описаны в табл. 3-2.

Табл. 3-2. Свойства учетной записи пользователя

Свойство

Описание

Время входа (Logon Hours)

Щелкните эту кнопку, чтобы отконфигурировать

время, в течение которого пользователю разрешено

входить в сеть

Вход на (Log On То)

Щелкните эту кнопку, чтобы ограничить число

рабочих станций, на которых пользователь может

входить в сеть. В пользовательском интерфей-

се эти параметры называются компьютерными

ограничениями и сопоставляются с атрибутом

userWorkstations. Для ограничения пользователям

потребуется включить NetBIOS через TCP/IP,

поскольку для ограничения входа этот компонент

использует имя компьютера, а не МАС-адрес

(Media Access Control) его сетевой карты

Требовать смену пароля при

Установите этот флажок, чтобы пользователь сме-

следующем входе в систему

нил пароль, введенный при первом входе в систему.

(User Must Change Password At Эта опция неактивна в случае установки флажка

Next Logon)

Срок действия пароля не ограничен (Password Nev-

er Expires). При установке данного флажка автома-

тически снимается флажок Запретить смену пароля

пользователем (User Cannot Change Password)

Занятие 3

Поддержка пользовательских объектов и учетных записей

121

Табл. 3-2 ( окончание)

Свойство 1

Описание

Запретить* с мену пароля поль-

Установите этот флажок, если данную учетную за-

зователем (User Cannot Change пись (например, учетную запись гостя) будет

Password) v

использовать множество лиц, либо если вам тре-

буется контроль над паролями учетных записей

пользователей. Эта опция обычно используется

для управления паролями учетных записей служб.

Данная опция неактивна, если установлен флажок

Требовать смену пароля при следующем входе

в систему

Срок действия пароля не огра-

Установите этот флажок, чтобы указать неограни-

ничен (Password Never Expires) ченный срок действия пароля. При этом будет снят

флажок Требовать смену пароля при следующем

входе в систему, поскольку эти опции являются вза-

имоисключающими. Данная опция обычно исполь-

зуется для управления учетными записями служб

Отключить учетную запись

Установите этот флажок для отключения учетной

(Account Is Disabled)

записи, например, при создании объекта для нового

служащего, которому пока не требуется доступ в

сеть

Хранить пароль, используя

Эта опция, позволяющая хранить пароль в Ac-

обратимое шифрование (Store

tive Directory без применения мощного алгоритма

Password Using Reversible

необратимого шифрования хэша Active Directory,

Encryption)

предназначена для приложений, которым требуется

знать пароль пользователя. Если вы не используете

такие приложения, не устанавливайте этот флажок,

поскольку уровень безопасности пароля значи-

тельно снизится. Хранение паролей с обратимым

шифрованием аналогично хранению паролей в от-

крытом текстовом виде

Для интерактивного входа

Смарт-карты представляют собой переносные

в сеть нужна смарт-карта (Smart защищенные аппаратные устройства, которые

Card Is Required For Interactive

хранят уникальную информацию для идентифи-

Logon)

кации пользователя. Они подключаются к систе-

ме и обеспечивают дополнительный физический

компонент идентификации для процесса проверки

подлинности

Учетная запись важна и не мо-

Эта опция позволяет учетной записи службы оли-

жет быть делегирована (Account цетворять пользователя для получения доступа к

Is Trusted For Delegation)

ресурсам от его имени. Как правило, эта опция не

включена для объектов пользователей, представ-

ляющих людей. Она используется для учетных

записей служб в инфраструктуре многоярусных

приложений

Срок действия учетной записи

Эти элементы управления используются для указа-

(Account Expires)

ния срока действия учетной записи

–) 122 Пользователи

Глава з

ПРИМЕЧАНИЕ Настройка очень сложных паролей для учетных записей служб

Для получения доступа к системным ресурсам службам нужны учетные данные.

Многим службам для прохождения проверки подлинности требуется учетная за-

пись пользователя домена, которой обычно назначается пароль без истечения срока

действия. В таких ситуациях следует применять длинный и сложный/пароль. Если

учетная запись используется службами лишь в некоторых системах, уровень безо-

пасности учетной записи службы можно повысить, отконфигурировав свойство Вход

на (Log On То) и указав список систем, использующих учетную запись службы.

Управление атрибутами пользователя

с помощью инструментов Dsmod и Dsget

Команды Dsmod и Dsget представляют две утилиты командной строки Active

Directory, которые называются DS-командами. Команду Dsquery мы обсуждали

в главе 2, а команда Dsadd описана на занятии 1 этой главы.

Команда Dsmod

Команда Dsmod модифицирует атрибуты одного или нескольких существующих

объектов. Команды DS описаны на занятии 1. Синтаксис Dsmod аналогичен

другим командам DS:

dsmod user ОН пользователя ... параметры

В качестве параметра DN^пользователя нужно указать отличительное имя

пользователя. Остальные параметры указывают изменяемые атрибуты и новые

значения. Например, следующая команда меняет атрибут Office (Комната)

пользователя Тони Крайнен:

dsmod user «сп=Тони Крайней,ou=Kaflpu,dc=contoso,dc=com» – o f f i c e «Амстердам»

Параметры атрибутов не сопоставляются непосредственно с именами атри-

бутов LDAP объекта пользователя. Например, параметр dept команды DSMOD

USER модифицирует атрибут department объекта пользователя. Кроме того,

команда DSMOD USER может модифицировать только поднабор атрибутов

пользователей. Чтобы получить справочные сведения и список поддерживае-

мых параметров, введите команду DSMOD USER /?.

Помещение множества DN-имен в конвейер Dsmod

Параметр DNпользователя команды Dsmod не нужно вводить непосредственно

в командную строку. Существует два способа помещения DN-имен в конвейер

этой команды. При первом способе DN вводится в консоль. Предположим, что

вам нужно изменить атрибут office двух пользователей – Л и н д ы Митчелл

и Скотта Митчелл – и переместить их в офис Сидней. Введите в командную

строку следующую команду:

dsmod user -office «Сидней»

Параметр DN Пользователя отсутствует. Консоль (командная строка) ожи-

дает ввод DN пользователей. Введите по одному DN-имени в каждой строке,

заключив его в кавычки, и нажимайте клавишу Enter в конце каждого имени

Занятие 3

Поддержка пользовательских объектов и учетных записей

123

DN. После ввода последнего DN и н а ж а т и я E n t e r нажмите комбинацию кла-

виш C t r l + Z в н а ч а л е с л е д у ю щ е й строки, а затем к л а в и ш у Enter, чтобы указать

завершение к о м а н д ы . К о м а н д а будет в ы п о л н е н а д л я каждого введенного DN.

Б о л е е с л о ж н ы й способ состоит в передаче DN-имен команде Dsmod путем

их п о м е щ е н и я в к о н в е й е р результатов команды Dsquery. Команда Dsquery опи-

сана в главе 2. О н а в ы п о л н я е т в Active Directory поиск согласно указанному

к р и т е р и ю и в о з в р а щ а е т D N – и м е н а соответствующих объектов. Например, д л я

и з м е н е н и я а т р и б у т а office ( К о м н а т а ) учетных записей пользователей Линда

и С к о т т М и т ч е л л и их п е р е м е щ е н и я в о ф и с Сидней используйте следующую

команду:

dsquery user -name «• Митчелл» | dsmod user – o f f i c e «Сидней»

К о м а н д а DSMOD USER в ы п о л н я е т в Active Directory поиск пользователей,

имена к о т о р ы х з а к а н ч и в а ю т с я с л о в о м Митчелл. Затем DN-имена найденных

объектов п о м е щ а ю т с я в к о н в е й е р к о м а н д ы DSMOD USER, которая назначает

д л я а т р и б у т а office з н а ч е н и е Сидней.

В к а ч е с т в е еще одного п р и м е р а п р е д п о л о ж и м , что для всех пользователей

т р е б у е т с я н а з н а ч и т ь д о м а ш н ю ю п а п к у н а м а ш и н е S E R V E R 0 1 . Следующая

к о м а н д а м е н я е т а т р и б у т ы homeDirectory и homeDrive объектов пользователей

в п о д р а з д е л е н и и К а д р ы :

dsquery user «ои=Кадры,dc=contoso,dc=com» | dsmod user

-hmdir «\server01users%username%documents» -hmdrv «U:»

К а к мы у ж е г о в о р и л и на з а н я т и и 1, при настройке значений параметров

-email, -hmdir, -profile и -webpg с п о м о щ ь ю команды DS можно использовать

с п е ц и а л ь н ы й м а р к е р %username% д л я представления атрибута sAMAccountName

объектов п о л ь з о в а т е л е й .

К о м а н д а Dsget

К о м а н д а Dsget и з в л е к а е т и в ы в о д и т в ы б р а н н ы е атрибуты одного и л и несколь-

к и х о б ъ е к т о в . Д а л е е п о к а з а н с и н т а к с и с э т о й команды, к о т о р ы й аналогичен

с и н т а к с и с у Dsmod:

dsget user ОЫ_попьзоватепя. . . параметры

D N – и м е н а д л я множества пользователей можно указать в командной строке,

р а з д е л и в их п р о б е л а м и , в в е с т и в к о н с о л ь и л и поместить результаты команды

DSQUERY USER в к о н в е й е р . В о т л и ч и е от Dsadd и Dsmod команда Dsget при-

нимает т о л ь к о п а р а м е т р без з н а ч е н и я . В частности, она принимает параметр

samid, к а к и к о м а н д а Dsadd, о д н а к о не п р и н и м а е т значение. Вместо этого она

в ы в о д и т т е к у щ е е з н а ч е н и е атрибута. Н а п р и м е р , д л я о т о б р а ж е н и я имени вхо-

д а п р е д – W i n d o w s 2 0 0 0 п о л ь з о в а т е л я Д ж е ф ф Ф о р д в п о д р а з д е л е н и и Кадры

и с п о л ь з у й т е с л е д у ю щ у ю команду:

dsget user «сп=Джефф Форд,ои=Кадры,dc=contoso,dc=com» -samid

Д л я о т о б р а ж е н и я имен входа пред-Windows 2000 всех пользователей в ком-

нате С и д н е й и с п о л ь з у й т е с л е д у ю щ у ю команду:

dsquery user – o f f i c e «Сидней» | dsget user -samid

–) 124 Пользователи

Глава з

Управление атрибутами пользователей

с помощью Windows PowerShell и VBScript

Для чтения атрибута объекта пользователя с п о м о щ ь ю W i n d o w s PowerShell

или VBScript используется интерфейс ADSI, который подключается к объекту

пользователя. Этот процесс называется привязкой. На з а н я т и и 2 мы подклю-

чались к подразделению для создания объекта. К с у щ е с т в у ю щ е м у о б ъ е к т у

можно подключиться напрямую. Один из способов в ы п о л н е н и я этой задачи

состоит в использовании пути к службам каталогов a D S P a t h ( A c t i v e Direc-

tory Services Path) объекта, которым я в л я е т с я м о н и к е р п р о т о к о л а L D A P : / /

с отличительным именем объекта.

Далее приведена команда Windows PowerShell д л я п о д к л ю ч е н и я к учетной

записи пользователя Джефф Форд в подразделении Кадры:

$objUser=[ADSI]"LDAP://cn=fl)Ke(txt> ®opfl,ou=KaflPbi,dc=contoso, dc=com"

А вот аналогичная команда VBScript:

Set obj User=GetObject(«LDAP://сп=Джефф Форд, ои=Кадры,dc=contoso,dc=com»

Помните, что Windows PowerShell указывает и н т е р ф е й с A D S I , a V B S c r i p t

использует инструкцию GetObject. Д л я н а з н а ч е н и я о б ъ е к т н о й с с ы л к и пере-

менной в VBScript предназначена инструкция Set. В W i n d o w s P o w e r S h e l l инс-

трукция Set не используется, а все переменные п о м е ч е н ы п р е ф и к с о м в виде

знака доллара.

После получения переменной, с с ы л а ю щ е й с я на о б ъ е к т , м о ж н о и з в л е ч ь

ее свойства. Например, в Windows P o w e r S h e l l д л я и з в л е ч е н и я а т р и б у т а

sAMAccountName пользователя введите такую команду:

SobjUser.GetC'sAMAccountName")

В VBScript нужно указать на извлечение атрибута. О б ы ч н о д л я этого ис-

пользуется инструкция WScript.Echo, как показано в п р и м е р е :

WScript.Echo objUser.GetC'sAMAccountName")

Довольно часто вам будет встречаться укороченный ф о р м а т .свойство, напри-

мер: $objUser.sAMAccountName в Windows PowerShell и objUser.,sAMAccountName

в VBScript. Хотя этот метод в большинстве случаев работает, р е к о м е н д у е т с я

использовать метод Get, особенно при работе с о б ъ е к т а м и A c t i v e D i r e c t o r y

в Windows PowerShell.

Процесс модификации атрибута состоит из трех шагов. .