Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 13 (всего у книги 91 страниц)
можно выполнять с помощью интерфейса W i n d o w s и к о м а н д н о й с т р о к и и л и
инструментов автоматизации.
Изучив материал этого занятия, вы сможете:
У Идентифицировать назначение и требования атрибутов учетной записи поль-
зователя и свойств имени пользователя.
/ Просматривать и модифицировать скрытые атрибуты объектов пользова-
телей.
У Модифицировать атрибуты множества пользователей одновременно.
S Управлять пользователями с помощью оснастки Active Directory – пользо-
ватели н компьютеры (Active Directory Users and Computers), команд DS,
Windows PowerShell и VBScript.
У Выполнять распространенные административные задачи для поддержки учет-
ных записей пользователей.
Продолжительность занятия – около 90 мин.
Управление атрибутами пользователей с помощью оснастки
Active Directory – пользователи и компьютеры
При создании учетной записи пользователя с помощью мастера Н о в ы й объект —
Пользователь (New Object – User) оснастки Active D i r e c t o r y – п о л ь з о в а т е л и
и компьютеры (Active Directory Users and C o m p u t e r s ) н у ж н о у к а з а т ь неко-
торые свойства объекта, в том числе имена входа, п а р о л ь , и м я и ф а м и л и ю
пользователя. Однако объект пользователя в Active D i r e c t o r y п о д д е р ж и в а е т
десятки дополнительных свойств, которые можно к о н ф и г у р и р о в а т ь с п о м о щ ь ю
оснастки Active Directory – пользователи и к о м п ь ю т е р ы .
Для чтения и модификации объекта п о л ь з о в а т е л я щ е л к н и т е его п р а в о й
кнопкой мыши и примените команду Свойства ( P r o p e r t i e s ) . О т к р о е т с я диа-
логовое окно свойств пользователя, показанное на рис. 3-4. А т р и б у т ы объекта
пользователя распределены по нескольким о б ш и р н ы м к а т е г о р и я м на в к л а д к а х
диалогового окна.
Занятие 3
Поддержка пользовательских объектов и учетных записей
115
В-зыяезгшяк-.'"
н а
а л я ь л з » » » , j 1
П, они»
irrc I CQM* I s^Ml/rae
JVA. ) П* IV '. ! TVMO-™ j .»– .ЧЧ-"
Рис. 3-4. Диалоговое окно свойств пользователя
• А т р и б у т ы у ч е т н о й з а п и с и : в к л а д к а Учетная запись ( A c c o u n t ) Эти свойс-
тва в к л ю ч а ю т и м е н а входа, п а р о л ь и параметры учетной записи. Многие из
этих атрибутов м о ж н о к о н ф и г у р и р о в а т ь при создании нового пользователя
с п о м о щ ь ю о с н а с т к и Active D i r e c t o r y – пользователи и компьютеры (Ас-
. tive D i r e c t o r y U s e r s a n d C o m p u t e r s ) . Атрибуты учетной записи описаны
в п о д р а з д е л е « С в о й с т в а у ч е т н о й записи» далее в этой главе.
• Л и ч н ы е с в е д е н и я : в к л а д к и О б щ и е ( G e n e r a l ) , А д р е с ( A d d r e s s ) , Телефоны
( T e l e p h o n e s ) и О р г а н и з а ц и я ( O r g a n i z a t i o n ) Вкладка Общие содержит
с в о й с т в а и м е н и , к о н ф и г у р и р у е м ы е п р и создании объекта пользователя,
а т а к ж е о с н о в н о е о п и с а н и е и к о н т а к т н ы е данные. Вкладки Адрес и Телефо-
ны содержат п о д р о б н ы е к о н т а к т н ы е сведения. На вкладке Телефоны также
р а з м е щ е н о т е к с т о в о е п о л е З а м е т к и (Notes), которое сопоставлено с атри-
бутом info и очень ч а с т о и с п о л ь з у е т с я м н о г и м и предприятиями. Вкладка
О р г а н и з а ц и я с о д е р ж и т д о л ж н о с т ь , отдел, название и связи организации.
• Управление к о н ф и г у р а ц и е й п о л ь з о в а т е л я : вкладка П р о ф и л ь (Profile) На
этой в к л а д к е м о ж н о к о н ф и г у р и р о в а т ь путь к п р о ф и л ю пользователя, сце-
н а р и й входа и д о м а ш н ю ю папку.
• Ч л е н с т в о в г р у п п а х : в к л а д к а Ч л е н групп ( M e m b e r O f ) Вы можете добав-
л я т ь и у д а л я т ь п о л ь з о в а т е л я из групп, а также изменять основную группу
пользователя. Ч л е н с т в о в группах и основную группу мы обсудим в главе 5.
• С л у ж б ы т е р м и н а л о в : П р о ф и л ь с л у ж б т е р м и н а л о в (Terminal S e r v i c e s
P r o f i l e ) , С р е д а ( E n v i r o n m e n t ) , У д а л е н н о е у п р а в л е н и е ( R e m o t e C o n t r o l )
и С е а н с ы ( S e s s i o n s ) На этих четырех вкладках можно конфигурировать
пользователей, к о т о р ы е п о д к л ю ч а ю т с я к сеансу Служб терминалов (Termi-
nal Services) и у п р а в л я т ь ими.
116 Пользователи
Глава 3
К СВЕДЕНИЮ Параметры служб терминалов
Более подробную информацию о параметрах служб терминалов можно найти в кни-
ге «MCTS: Configuring Windows Server 2008 Applications Infrastructure», авторами
которой являются Дж. С. Макин и А. Десаи (Microsoft Press, 2008).
• Удаленный доступ: вкладка В х о д я щ и е з в о н к и ( D i a l – i n ) Р а з р е ш е н и я
удаленного доступа пользователя можно в к л ю ч и т ь и к о н ф и г у р и р о в а т ь на
вкладке Входящие звонки.
• Приложения: вкладка С О М + На этой в к л а д к е м о ж н о н а з н а ч а т ь поль-
зователей для набора разделов С О М + каталогов Active Directory. Д а н н ы й
компонент упрощает управление распределенными п р и л о ж е н и я м и , в сер-
тификационный экзамен 7 0 – 6 4 0 он не включен.
Просмотр всех атрибутов
Объект пользователя обладает дополнительными с в о й с т в а м и п о м и м о у к а з а н -
ных атрибутов в диалоговом окне Свойства ( P r o p e r t i e s ) . Н е к о т о р ы е из э т и х
так называемых скрытых свойств могут оказаться д о в о л ь н о п о л е з н ы м и в ва-
шей организации. Чтобы просмотреть скрытые а т р и б у т ы п о л ь з о в а т е л я , н у ж н о
перейти на вкладку Редактор атрибутов ( A t t r i b u t e E d i t o r ) , к о т о р а я я в л я е т с я
новым компонентом Windows Server 2008. Щ е л к н и т е м е н ю В и д ( V i e w ) и ус-
тановите флажок Дополнительные к о м п о н е н т ы ( A d v a n c e d F e a t u r e s ) . З а т е м
откройте диалоговое окно Свойства ( P r o p e r t i e s ) п о л ь з о в а т е л я , где д о л ж н а
отображаться вкладка Редактор атрибутов, как п о к а з а н о на рис. 3-5.
Редактор атрибутов (Attribute Editor) отображает все с и с т е м н ы е а т р и б у т ы
выбранного объекта. С помощью кнопки Ф и л ь т р ( F i l t e r ) м о ж н о о т о б р а з и т ь
еще больше атрибутов, в том числе обратные ссылки и п о с т р о е н н ы е а т р и б у т ы .
Обратные ссылки – это атрибуты, получаемые в результате с с ы л о к на о б ъ е к т
из других объектов. Проще всего понять к о н ц е п ц и ю о б р а т н ы х с с ы л о к м о ж н о
на примере атрибута memberOf. При добавлении п о л ь з о в а т е л я в г р у п п у изме-
няется атрибут группы member — в этот м н о г о з н а ч н ы й а т р и б у т д о б а в л я е т с я
отличительное имя пользователя. Поэтому атрибут member г р у п п ы н а з ы в а е т -
ся атрибутом прямой ссылки. Атрибут memberOf п о л ь з о в а т е л я а в т о м а т и ч е с к и
обновляется в Active Directory при ссылке на п о л ь з о в а т е л я а т р и б у т о м member
группы. Вам даже не нужно выполнять п р я м у ю з а п и с ь в а т р и б у т memberOf,
поскольку он динамически поддерживается в Active Directory.
Построенный атрибут получается в результате в ы ч и с л е н и я в Active Direc-
tory. В качестве примера можно привести атрибут tokenGroups, п р е д с т а в л я ю щ и й
собой список идентификаторов безопасности S I D ( S e c u r i t y I d e n t i f i e r ) в с е х
групп, к которым принадлежит пользователь, в к л ю ч а я в л о ж е н н ы е г р у п п ы .
Чтобы определить значение атрибута tokenGroups, с т р у к т у р а Active D i r e c t o r y
должна просчитать действующее членство п о л ь з о в а т е л я в группах, д л я чего
потребуется выполнить несколько циклов процессора. П о э т о м у этот а т р и б у т
не хранится как часть объекта пользователя и не п о д д е р ж и в а е т с я д и н а м и ч е с -
ки – он вычисляется лишь при необходимости. П о с к о л ь к у д л я п о л у ч е н и я
Занятие 3
Поддержка пользовательских объектов и учетных записей
117
построенных а т р и б у т о в н е о б х о д и м а обработка, Редактор атрибутов (Attribute
E d i t o r ) не о т о б р а ж а е т их по у м о л ч а н и ю . П о с т р о е н н ы е атрибуты нельзя ис-
пользовать в з а п р о с а х LDAP.
c
e
r
n
c «
e
r e
n«
«w
e
« »
»
w v
»
» 1
v
Ч
м
Чи
г
мр
иу
г г
ро
у I
I Р
«
Р г
« *
г м
* (
м *
( >
* »
> м
» v*
v v
* r
v »
r >
» '
во
в м
о и
м м
и *
м ж
о-
жм
о м
м I
м
I
O
e
O *
e *
* r
* |
|
б
е
бо
е о
о -л
о– м
л в
ме
вп
е -
п |
|
C
o
C w
o j
Э
в
щ
н
е |
Л
д
ж
с | У<*»ш яткь– ] j Ttrmo^ ! Оегагамии I
rVo««i» сгухб •чмеадм | COM. Реле***» w*
A
I
J
M
^
–
T
V
dcsJtOasiSiorv oi« »*»«»
deoatmert rfcnoaxw ~J
•iepaitraer*
N
u
m
b
e
r омшаю)
deicnptxi
М
е
н
е
д
ж
е
р no гродежлм Нидоп^м
Ь»;
ИорРпУье
M
O
S
H
O
–
.
йеияЛюгЬлсв^а oit заимок
«feptoytome
T
o
w
К
р
а
й
н
е
м
(4*JeyN«nePnr < н в зелено > delngujheriNeme CN-Tw Hp»*.* .O'J-Кец»» .DC-ecrto» ctveor dSASgriati*B Л» dSCorePropecatonD №>•{) dyr«T«e L D A P Server -ле моано> i T ... 1 «г1 •• I I I <* I I I to– I Рис. 3-5. Вкладка Редактор атрибутов К а к п о к а з а н о на рис. 3-5, н е к о т о р ы е атрибуты объекта пользователя, на- п р и м е р division, employeelD, employeeNumber и employeefype, довольно удобно и с п о л ь з о в а т ь . Х о т я э т и а т р и б у т ы не п о к а з а н ы на стандартных вкладках диа- логового о к н а с в о й с т в о б ъ е к т а п о л ь з о в а т е л я , они доступны в редакторе атри- бутов. К р о м е того, с п о м о щ ь ю W i n d o w s PowerShell и VBScript к ним можно п о л у ч и т ь п р о г р а м м н ы й д о с т у п . К СВЕДЕНИЮ Скрытые атрибуты объектов Более подробную информацию об использовании скрытых атрибутов объектов и расширении схемы путем добавления настраиваемых атрибутов можно найти в руководстве «Windows Administration Resource Kit: Productivity Solutions for IT Professionals», автором которого является Дэн Холме (Microsoft Press, 2008). Управление атрибутами множества пользователей С п о м о щ ь ю о с н а с т к и Active D i r e c t o r y – пользователи и компьютеры (Active Directory Users and C o m p u t e r s ) можно одновременно модифицировать свойства множества о б ъ е к т о в пользователей. Выберите несколько объектов пользовате- лей, н а ж а в к л а в и ш у Ctrl и щ е л к а я каждого пользователя или применив другую технологию м н о ж е с т в е н н о й выборки. Выберите объекты л и ш ь одного класса, например к л а с с а П о л ь з о в а т е л и . После выбора множества объектов щелкните правой к н о п к о й м ы ш и л ю б о й из них и примените команду Свойства (Properties). –) 118 Пользователи Глава з При выборке множества объектов пользователей д л я м о д и ф и к а ц и и досту- пен поднабор свойств. • Вкладка Общие (General) Описание (Description), К о м н а т а (Office), Н о - мер телефона (Telephone Number), Ф а к с (Fax), Веб-страница ( W e b Page), Электронная почта (E-mail). • Учетная запись ( A c c o u n t ) С у ф ф и к с U P N ( U P N Suffix), В р е м я входа (Logon Hours), Ограничения компьютера ( C o m p u t e r Restrictions) (рабочие станции входа), все Параметры учетной записи ( A c c o u n t O p t i o n s ) , С р о к действия учетной записи (Account Expires). • Адрес (Address) Улица (Street), Почтовый я щ и к (P.O. Box), Город ( C i t y ) , Область, кран (State/Province), Почтовый индекс ( Z I P / P o s t a l Code), Стра- на пли регион (Country/Region). • Профиль (Profile) Путь к профилю (Profile Path), С ц е н а р и й входа (Logon Script) и Домашняя папка (Home Folder). • Организация (Organization) Должность (Title), Отдел ( D e p a r t m e n t ) , О р - ганизация (Company), Руководитель (M an a g er ) . СОВЕТ К ЭКЗАМЕНУ Вы должны знать, какие свойства можно одновременно модифицировать для мно- жества пользователей. В сценариях и задачах на сертификационном экзамене вам по- требуется быстро менять многие свойства объектов пользователей для'тестирования навыков в множественной выборке. В реальных средах всегда следует использовать такие инструменты автоматизации, как Dsmod, Windows PowerShell и VBScript. Атрибуты имен и учетной записи На сертификационном экзамене потребуется знать два набора атрибутов: атри- буты имен и атрибуты учетной записи. Имена объектов пользователей Некоторые атрибуты связаны с именами объекта пользователя и учетной запи- си. Важно понимать разницу между ними. • Атрибут sAMAccountName (имя входа п р е д – W i n o o w s 2 0 0 0 ) д о л ж е н б ы т ь уникальным во всем домене. Для генерирования атрибута sAMAccountName многие организации используют инициалы и л и н е к о т о р у ю к о м б и н а ц и ю из имени и фамилии пользователя. Эта методика может создавать о п р е д е л е н - ные трудности, поскольку в организации любых размеров всегда н а й д у т с я пользователи с одинаковыми именем и ф а м и л и е й . Ч т о б ы не г е н е р и р о в а т ь одинаковые значения атрибута sAMAccountName, в систему н у ж н о в н е д р я т ь исключения. Эта проблема решается, если д л я sAMAccountName и с п о л ь з у - ется номер служащего или другой у н и к а л ь н ы й атрибут. Е с л и вы м о ж е т е контролировать соглашения организации об именовании, рекомендуется ис- пользовать уникальное имя входа, не зависящее от и м е н и п о л ь з о в а т е л я . • Атрибут userPrincipalName ( U P N ) состоит из и м е н и в х о д а и с у ф ф и к с а UPN, которым по умолчанию является DNS-имя домена, где создан объект. Атрибут UPN должен быть уникальным д л я всего леса. О б ы ч н о э т о м у Занятие 3 Поддержка пользовательских объектов и учетных записей 1 1 9 _ требованию с о о т в е т с т в у ю т адреса э ле к тр о нн о й почты, которые д о л ж н ы б ы т к . у н н к а л ь н ы м и во всем мире. Рассмотрим использование электронных адресов в качестве и м е н U P N . Если и м я вашего домена Active Directory отличается от и м е н и д о м е н а в а ш е й электронной почты, в качестве доступ- ного с у ф ф и к с а н у ж н о д о б а в и т ь и м я домена электронной почты. Д л я этого откройте, оснастку Active Di r e ct o r y – домены и доверие (Active Directory D o m a i n s And T r u s t s ) , щ е л к н и т е п р а в о й кнопкой м ы ш и корень оснастки и п р и м е н и т е к о м а н д ы С в о й с т в а (Properties). • О т н о с и т е л ь н о е о т л и ч и т е л ь н о е и м я R D N д о л ж н о быть уникальным в под- р а з д е л е н и и ( O U ) . Д л я п о л ь з о в а т е л е й это означает, что атрибут сп должен быть у н и к а л ь н ы м в п о д р а з д е л е н и и . Здесь может понадобиться пойти на хитрость. Н а п р и м е р , е с л и у вас есть одно плоское подразделение ( O U ) д л я п о л ь з о в а т е л е й , у ж е с о д е р ж а щ е е п о л ь з о в а т е л я Скотт Митчелл, и вы н а н и м а е т е на р а б о т у в т о р о г о сотрудника Скотт Митчелл, объект второго п о л ь з о в а т е л я не с м о ж е т о б л а д а т ь таким же общим именем, как у объекта первого п о л ь з о в а т е л я . К с о ж а л е н и ю , идеального решения этой проблемы д л я всех о р г а н и з а ц и й н е существует. Р е к о м е н д у е т с я внедрить стандарт и м е н о в а н и я , п р и м е н я ю щ и й единое п р а в и л о д л я всех имен CN. Имя CN мо- жет в к л ю ч а т ь в себя н о м е р служащего, например Скотт Митчелл (645928). Е с л и с т р у к т у р а п о д р а з д е л е н и я у ч е т н ы х записей пользователей является плоской, н у ж н о б ы т ь г о т о в ы м к р е ш е н и ю таких проблем. К р о м е того, м н о г и е о р г а н и з а ц и и предпочитают конфигурировать атрибут сп в в и д е к о м б и н а ц и и Ф а м и л и я ( L a s t Name), И м я (First Name), поскольку в т а к о м с л у ч а е п о л ь з о в а т е л е й м о ж н о сортировать по фамилии в оснастке Active D i r e c t o r y – п о л ь з о в а т е л и и компьютеры (Active Directory Users And C o m p u t e r s ) . Этот метод не рекомендуется использовать для решения данной п р о б л е м ы . В м е с т о п р и м е н е н и я ф о р м а т а из ф а м и л и и и имени д л я атрибута сп л у ч ш е д о б а в ь т е в п р е д с т а в л е н и е о с н а с т к и Active Directory – пользо- в а т е л и и к о м п ь ю т е р ы с т о л б е ц Ф а м и л и я (Last Name), щелкнув меню Вид ( V i e w ) и п р и м е н и в к о м а н д у Д о б а в и т ь и л и удалить столбцы ( A d d / R e m o v e C o l u m n s ) . З а т е м щ е л к н и т е з а г о л о в о к столбца Ф а м и л и я , чтобы выполнить с о р т и р о в к у с п и с к а п о л ь з о в а т е л е й п о ф а м и л и я м . • А т р и б у т displayName о т о б р а ж а е т с я в г л о б а л ь н о й адресной книге GAL ( G l o b a l Address List) сервера Exchange. Пользователей иногда проще ло- к а л и з о в а т ь в к н и г е GAL, если о н и отсортированы по фамилии. Вы може- те создать в о р г а н и з а ц и и с о г л а ш е н и е об именовании, согласно которому а т р и б у т displayName и с п о л ь з у е т ф о р м а т И м я (First Name), Ф а м и л и я (Last N a m e ) . Свойства у ч е т н о й з а п и с и Н а в к л а д к е У ч е т н а я з а п и с ь ( A c c o u n t ) диалогового окна Свойства (Properties) пользователя, п о к а з а н н о й на рис. 3-6, находятся атрибуты, прямо указывающие, что п о л ь з о в а т е л ь я в л я е т с я п р и н ц и п а л о м безопасности, то есть представляет собой объект и д е н т и ф и к а ц и и , к о т о р о м у м о ж н о назначать разрешения и права доступа. Д р у г и м и п р и н ц и п а л а м и безопасности выступают компьютеры, группы и класс объектов inetOrgPerson. –) 120 Пользователи Глава з В а м ш а м м о м | O t v e t i | Ё е а с п к м х * j С м » | U » i с ы | У я и т Щ у п ( * а н * т | Г Ъ э л и * я ч я £ | С О М – Р е л в п с в т » < е г т : е O f e * I > ' « » * • » * » € » | П р с о с ъ ] T e n w c r » I jsrvh^tn jeartMocar JJ t w . м м П М Ы О М Ч О h * t W V 4 7 – » 2 Ю * ( С 0 Н Г С 5 0 - i Г " F a h W M t u n n r * ( I t w i n f C N i i n a p T t w f e » » ! * о щ – t г а р с п » ц з » Г Ч И ^ И f с и с т » м } J t | F C w i » i : i i w n < w i 4 i r ( m i i » ' С о * а Ы к в и » w w – ' – • С Н * о г м г.*-» 1» • ^J ; o* | j 1 crp-w j Рис. 3-6. Свойства учетной записи объекта пользователя Некоторые свойства учетной записи требуют о т д е л ь н о г о в н и м а н и я , пос- кольку они могут оказаться весьма полезными, но не всегда п о н я т н ы м и . Э т и свойства описаны в табл. 3-2. Табл. 3-2. Свойства учетной записи пользователя Свойство Описание Время входа (Logon Hours) Щелкните эту кнопку, чтобы отконфигурировать время, в течение которого пользователю разрешено входить в сеть Вход на (Log On То) Щелкните эту кнопку, чтобы ограничить число рабочих станций, на которых пользователь может входить в сеть. В пользовательском интерфей- се эти параметры называются компьютерными ограничениями и сопоставляются с атрибутом userWorkstations. Для ограничения пользователям потребуется включить NetBIOS через TCP/IP, поскольку для ограничения входа этот компонент использует имя компьютера, а не МАС-адрес (Media Access Control) его сетевой карты Требовать смену пароля при Установите этот флажок, чтобы пользователь сме- следующем входе в систему нил пароль, введенный при первом входе в систему. (User Must Change Password At Эта опция неактивна в случае установки флажка Next Logon) Срок действия пароля не ограничен (Password Nev- er Expires). При установке данного флажка автома- тически снимается флажок Запретить смену пароля пользователем (User Cannot Change Password) Занятие 3 Поддержка пользовательских объектов и учетных записей 121 Табл. 3-2 ( окончание) Свойство 1 Описание Запретить* с мену пароля поль- Установите этот флажок, если данную учетную за- зователем (User Cannot Change пись (например, учетную запись гостя) будет Password) v использовать множество лиц, либо если вам тре- буется контроль над паролями учетных записей пользователей. Эта опция обычно используется для управления паролями учетных записей служб. Данная опция неактивна, если установлен флажок Требовать смену пароля при следующем входе в систему Срок действия пароля не огра- Установите этот флажок, чтобы указать неограни- ничен (Password Never Expires) ченный срок действия пароля. При этом будет снят флажок Требовать смену пароля при следующем входе в систему, поскольку эти опции являются вза- имоисключающими. Данная опция обычно исполь- зуется для управления учетными записями служб Отключить учетную запись Установите этот флажок для отключения учетной (Account Is Disabled) записи, например, при создании объекта для нового служащего, которому пока не требуется доступ в сеть Хранить пароль, используя Эта опция, позволяющая хранить пароль в Ac- обратимое шифрование (Store tive Directory без применения мощного алгоритма Password Using Reversible необратимого шифрования хэша Active Directory, Encryption) предназначена для приложений, которым требуется знать пароль пользователя. Если вы не используете такие приложения, не устанавливайте этот флажок, поскольку уровень безопасности пароля значи- тельно снизится. Хранение паролей с обратимым шифрованием аналогично хранению паролей в от- крытом текстовом виде Для интерактивного входа Смарт-карты представляют собой переносные в сеть нужна смарт-карта (Smart защищенные аппаратные устройства, которые Card Is Required For Interactive хранят уникальную информацию для идентифи- Logon) кации пользователя. Они подключаются к систе- ме и обеспечивают дополнительный физический компонент идентификации для процесса проверки подлинности Учетная запись важна и не мо- Эта опция позволяет учетной записи службы оли- жет быть делегирована (Account цетворять пользователя для получения доступа к Is Trusted For Delegation) ресурсам от его имени. Как правило, эта опция не включена для объектов пользователей, представ- ляющих людей. Она используется для учетных записей служб в инфраструктуре многоярусных приложений Срок действия учетной записи Эти элементы управления используются для указа- (Account Expires) ния срока действия учетной записи –) 122 Пользователи Глава з ПРИМЕЧАНИЕ Настройка очень сложных паролей для учетных записей служб Для получения доступа к системным ресурсам службам нужны учетные данные. Многим службам для прохождения проверки подлинности требуется учетная за- пись пользователя домена, которой обычно назначается пароль без истечения срока действия. В таких ситуациях следует применять длинный и сложный/пароль. Если учетная запись используется службами лишь в некоторых системах, уровень безо- пасности учетной записи службы можно повысить, отконфигурировав свойство Вход на (Log On То) и указав список систем, использующих учетную запись службы. Управление атрибутами пользователя с помощью инструментов Dsmod и Dsget Команды Dsmod и Dsget представляют две утилиты командной строки Active Directory, которые называются DS-командами. Команду Dsquery мы обсуждали в главе 2, а команда Dsadd описана на занятии 1 этой главы. Команда Dsmod Команда Dsmod модифицирует атрибуты одного или нескольких существующих объектов. Команды DS описаны на занятии 1. Синтаксис Dsmod аналогичен другим командам DS: dsmod user ОН пользователя ... параметры В качестве параметра DN^пользователя нужно указать отличительное имя пользователя. Остальные параметры указывают изменяемые атрибуты и новые значения. Например, следующая команда меняет атрибут Office (Комната) пользователя Тони Крайнен: dsmod user «сп=Тони Крайней,ou=Kaflpu,dc=contoso,dc=com» – o f f i c e «Амстердам» Параметры атрибутов не сопоставляются непосредственно с именами атри- бутов LDAP объекта пользователя. Например, параметр dept команды DSMOD USER модифицирует атрибут department объекта пользователя. Кроме того, команда DSMOD USER может модифицировать только поднабор атрибутов пользователей. Чтобы получить справочные сведения и список поддерживае- мых параметров, введите команду DSMOD USER /?. Помещение множества DN-имен в конвейер Dsmod Параметр DNпользователя команды Dsmod не нужно вводить непосредственно в командную строку. Существует два способа помещения DN-имен в конвейер этой команды. При первом способе DN вводится в консоль. Предположим, что вам нужно изменить атрибут office двух пользователей – Л и н д ы Митчелл и Скотта Митчелл – и переместить их в офис Сидней. Введите в командную строку следующую команду: dsmod user -office «Сидней» Параметр DN Пользователя отсутствует. Консоль (командная строка) ожи- дает ввод DN пользователей. Введите по одному DN-имени в каждой строке, заключив его в кавычки, и нажимайте клавишу Enter в конце каждого имени Занятие 3 Поддержка пользовательских объектов и учетных записей 123 DN. После ввода последнего DN и н а ж а т и я E n t e r нажмите комбинацию кла- виш C t r l + Z в н а ч а л е с л е д у ю щ е й строки, а затем к л а в и ш у Enter, чтобы указать завершение к о м а н д ы . К о м а н д а будет в ы п о л н е н а д л я каждого введенного DN. Б о л е е с л о ж н ы й способ состоит в передаче DN-имен команде Dsmod путем их п о м е щ е н и я в к о н в е й е р результатов команды Dsquery. Команда Dsquery опи- сана в главе 2. О н а в ы п о л н я е т в Active Directory поиск согласно указанному к р и т е р и ю и в о з в р а щ а е т D N – и м е н а соответствующих объектов. Например, д л я и з м е н е н и я а т р и б у т а office ( К о м н а т а ) учетных записей пользователей Линда и С к о т т М и т ч е л л и их п е р е м е щ е н и я в о ф и с Сидней используйте следующую команду: dsquery user -name «• Митчелл» | dsmod user – o f f i c e «Сидней» К о м а н д а DSMOD USER в ы п о л н я е т в Active Directory поиск пользователей, имена к о т о р ы х з а к а н ч и в а ю т с я с л о в о м Митчелл. Затем DN-имена найденных объектов п о м е щ а ю т с я в к о н в е й е р к о м а н д ы DSMOD USER, которая назначает д л я а т р и б у т а office з н а ч е н и е Сидней. В к а ч е с т в е еще одного п р и м е р а п р е д п о л о ж и м , что для всех пользователей т р е б у е т с я н а з н а ч и т ь д о м а ш н ю ю п а п к у н а м а ш и н е S E R V E R 0 1 . Следующая к о м а н д а м е н я е т а т р и б у т ы homeDirectory и homeDrive объектов пользователей в п о д р а з д е л е н и и К а д р ы : dsquery user «ои=Кадры,dc=contoso,dc=com» | dsmod user -hmdir «\server01users%username%documents» -hmdrv «U:» К а к мы у ж е г о в о р и л и на з а н я т и и 1, при настройке значений параметров -email, -hmdir, -profile и -webpg с п о м о щ ь ю команды DS можно использовать с п е ц и а л ь н ы й м а р к е р %username% д л я представления атрибута sAMAccountName объектов п о л ь з о в а т е л е й . К о м а н д а Dsget К о м а н д а Dsget и з в л е к а е т и в ы в о д и т в ы б р а н н ы е атрибуты одного и л и несколь- к и х о б ъ е к т о в . Д а л е е п о к а з а н с и н т а к с и с э т о й команды, к о т о р ы й аналогичен с и н т а к с и с у Dsmod: dsget user ОЫ_попьзоватепя. . . параметры D N – и м е н а д л я множества пользователей можно указать в командной строке, р а з д е л и в их п р о б е л а м и , в в е с т и в к о н с о л ь и л и поместить результаты команды DSQUERY USER в к о н в е й е р . В о т л и ч и е от Dsadd и Dsmod команда Dsget при- нимает т о л ь к о п а р а м е т р без з н а ч е н и я . В частности, она принимает параметр samid, к а к и к о м а н д а Dsadd, о д н а к о не п р и н и м а е т значение. Вместо этого она в ы в о д и т т е к у щ е е з н а ч е н и е атрибута. Н а п р и м е р , д л я о т о б р а ж е н и я имени вхо- д а п р е д – W i n d o w s 2 0 0 0 п о л ь з о в а т е л я Д ж е ф ф Ф о р д в п о д р а з д е л е н и и Кадры и с п о л ь з у й т е с л е д у ю щ у ю команду: dsget user «сп=Джефф Форд,ои=Кадры,dc=contoso,dc=com» -samid Д л я о т о б р а ж е н и я имен входа пред-Windows 2000 всех пользователей в ком- нате С и д н е й и с п о л ь з у й т е с л е д у ю щ у ю команду: dsquery user – o f f i c e «Сидней» | dsget user -samid –) 124 Пользователи Глава з Управление атрибутами пользователей с помощью Windows PowerShell и VBScript Для чтения атрибута объекта пользователя с п о м о щ ь ю W i n d o w s PowerShell или VBScript используется интерфейс ADSI, который подключается к объекту пользователя. Этот процесс называется привязкой. На з а н я т и и 2 мы подклю- чались к подразделению для создания объекта. К с у щ е с т в у ю щ е м у о б ъ е к т у можно подключиться напрямую. Один из способов в ы п о л н е н и я этой задачи состоит в использовании пути к службам каталогов a D S P a t h ( A c t i v e Direc- tory Services Path) объекта, которым я в л я е т с я м о н и к е р п р о т о к о л а L D A P : / / с отличительным именем объекта. Далее приведена команда Windows PowerShell д л я п о д к л ю ч е н и я к учетной записи пользователя Джефф Форд в подразделении Кадры: $objUser=[ADSI]"LDAP://cn=fl)Ke(txt> ®opfl,ou=KaflPbi,dc=contoso, dc=com" А вот аналогичная команда VBScript: Set obj User=GetObject(«LDAP://сп=Джефф Форд, ои=Кадры,dc=contoso,dc=com» Помните, что Windows PowerShell указывает и н т е р ф е й с A D S I , a V B S c r i p t использует инструкцию GetObject. Д л я н а з н а ч е н и я о б ъ е к т н о й с с ы л к и пере- менной в VBScript предназначена инструкция Set. В W i n d o w s P o w e r S h e l l инс- трукция Set не используется, а все переменные п о м е ч е н ы п р е ф и к с о м в виде знака доллара. После получения переменной, с с ы л а ю щ е й с я на о б ъ е к т , м о ж н о и з в л е ч ь ее свойства. Например, в Windows P o w e r S h e l l д л я и з в л е ч е н и я а т р и б у т а sAMAccountName пользователя введите такую команду: SobjUser.GetC'sAMAccountName") В VBScript нужно указать на извлечение атрибута. О б ы ч н о д л я этого ис- пользуется инструкция WScript.Echo, как показано в п р и м е р е : WScript.Echo objUser.GetC'sAMAccountName") Довольно часто вам будет встречаться укороченный ф о р м а т .свойство, напри- мер: $objUser.sAMAccountName в Windows PowerShell и objUser.,sAMAccountName в VBScript. Хотя этот метод в большинстве случаев работает, р е к о м е н д у е т с я использовать метод Get, особенно при работе с о б ъ е к т а м и A c t i v e D i r e c t o r y в Windows PowerShell. Процесс модификации атрибута состоит из трех шагов. .