Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 14 (всего у книги 91 страниц)
1. Подключение к объекту пользователя.
2. Модификация атрибута.
3. Подтверждение изменения.
Мы уже обсуждали механизм подключения к объекту. В т о р о й шаг состоит
в изменении атрибута. Большинство атрибутов я в л я ю т с я о д н о з н а ч н ы м и . Их
можно модифицировать с помощью метода Put объекта. Д а л е е п о к а з а н п р и м е р
использования этого метода в Windows PowerShell:
SobjUser.putC'company","Contoso, Ltd.")
Занятие 3
Поддержка пользовательских объектов и учетных записей
125
А так метод Put и с п о л ь з у е т с я в V B S c r i p t :
objUser.put «company»,."Contoso, Ltd."
Е д и н с т в е н н а я р а з н и ц а з а к л ю ч а е т с я в том, что VBScript не использует круг-
л ы е с к о б к и д л я п е р е д а ч и п а р а м е т р о в методу Put.
Во втором шаге м о ж н о н а з н а ч и т ь много атрибутов. После указания всех
атрибутов н у ж н о п о д т в е р д и т ь и з м е н е н и я в каталоге с помощью метода Setlnfo.
Д а л е е п р и в е д е н а в е р с и я и с п о л ь з о в а н и я этого метода в Windows PowerShell:
SobjUser! SetlnfoC)
В е р с и я метода Setlnfo в V B S c r i p t идентична, если не считать имени пере-
менной:
objUser.SetInfo()
О б ъ е д и н и в все т р и шага вместе, мы получим сценарий Windows PowerShell:
$objUser=[ADSI]"LDAP://сп=Джефф Форд, ои=Кадры,dc=contoso,dc=com"
SobjUser.putC'company", «Contoso, Ltd.»)
{objUser.SetlnfoO
Д а л е е п о к а з а н этот же с ц е н а р и й в V B S c r i p t :
Set obj Use r=GetObj ect (« LDAP: //сп=Джефф Форд, ои=Кадры, dc=contoso, dc=com»
objUser.put «company»,"Contoso, Ltd."
objUser.SetlnfoO
К а к п о л н о с т ь ю у д а л и т ь а т р и б у т ? Вначале н у ж н о подключиться к объекту.
З а т е м с т р о к о в о м у а т р и б у т у м о ж н о п р и с в о и т ь пустую строку "", а числово-
му – з н а ч е н и е О, е с л и н у л ь я в л я е т с я соответствующим представлением зна-
ч е н и я EMPTY. О д н а к о а т р и б у т ы ( к р о м е обязательных) также можно удалять
полностью. Д л я этого н у ж н о и с п о л ь з о в а т ь метод PutEx объекта пользователя.
Д л я у д а л е н и я а т р и б у т а office, к примеру, в W i n d o w s PowerShell используется
с л е д у ю щ и й код:
SobjUser.PutEx(1, «office», 0)
SobjUser.SetlnfoO
В V B S c r i p t д л я у д а л е н и я а т р и б у т а н у ж н о ввести следующие строки кода:
objUser.PutEx 1, «office», 0
objUser.SetlnfoO
Администрирование учетных записей пользователей
О с н о в н о е н а з н а ч е н и е о б ъ е к т о в п о л ь з о в а т е л е й в Active D i r e c t o r y состоит
в п о д д е р ж к е п р о в е р к и п о д л и н н о с т и л и ц а и л и службы. Учетные записи пре-
д о с т а в л я ю т с я , а д м и н и с т р и р у ю т с я и в конечном счете аннулируются. Самые
р а с п р о с т р а н е н н ы е а д м и н и с т р а т и в н ы е задачи, с в я з а н н ы е с учетными запися-
ми пользователей, состоят в сбросе паролей, разблокировке учетной записи,
отключении, в к л ю ч е н и и , у д а л е н и и , п е р е м е щ е н и и и переименовании объектов
пользователей.
В следующих подразделах о п и с а н ы все эти задачи и методы их выполнения
с помощью интерфейса Windows, W i n d o w s PowerShell, VBScript или командной
–) 126 Пользователи
Глава з
строки. Для выполнения каждой задачи требуются с о о т в е т с т в у ю щ и е разре-
шения доступа к объектам пользователей. Делегирование а д м и н и с т р а т и в н ы х
разрешений описано в глане 2.
Сброс пароля пользователя
Если пользователь забыл свой пароль и пытается войти в сеть, он п о л у ч и т
сообщение, показанное на рис. 3-7.
. " ; -.!'. * .'. • .•••• 1 о ^Jiial^
•t «t • Ш view VM Turn Windo*j help
• 0 J. 2 . : Ю О З • © Й
Ш И Ш Ш Ш Ш !
* "
f X ) Н«<р«ое юм пользователя или пароль.
1 OK 1
Windows S e r v e r s
Enterprise
1 -•– j • _-.__.
J
Рис. 3-7. Сообщение входа в систему, указывающее, что введено неверное имя пользователя
(или пароль)
Для успешного входа пользователя потребуется сбросить пароль, причем
знать его старый пароль не нужно. Достаточно щелкнуть правой к н о п к о й мыши
объект пользователя в Active Directory и применить к о м а н д у С м е н а п а рол я
(Reset Password). Когда откроется показанное на рис. 3 – 8 д и а л о г о в о е окно
Смена пароля (Reset Password), необходимо з а п о л н и т ь п о л я Н о в ы й пароль
(New Password) и Подтверждение (Confirm Password). Это л у ч ш и й метод пот-
ребовать смены пароля при следующем входе – пароль будет известен только
пользователю.
твшиаявш..,.'., л*1
НшьА парам,
ПсдттС"Ди«'Я
Р Тс*6'.ег>ть о-ему лкхя» rpn слевугшем ав систол,
НеоС,01ммо1ьат1'.из»ст**ы,,еаП1мв(*пем/ «ндо.чтобы
ИЭТ«Т»«В бегут*/* s С'1Г;
Смтоаппввпгмтасвтм , четна, запий, па ftuvioc мхтроплкзп
Г разблокировать уиемро запись пользователя
| СК | Отмена j
Рис. 3-8. Окно смены пароля
Занятие 3
Поддержка пользовательских объектов и учетных записей
1 2 7
Вы т а к ж е м о ж е т е п р и м е н и т ь команду DS д л я сброса пароля пользователя
и при ж е л а н и и потребовать сменить пароль при следующем входе пользователя.
Введите т а к у ю команду:
dsmod user ОН_пользователя -pwd Новый_пароль -mustchpwd yes
В W i n d o w s PowerShell н у ж н о ввести следующие команды:
Sobj User=[ADSI]"LDAP:/ /ОЫ_пользователя"
SobjUser.SetPassword(«Новый_пароль»)
О т м е т и м , ч т о в о т л и ч и е от с и т у а ц и и с другими атрибутами метод Setlnfo
не и с п о л ь з у е т с я п о с л е п р и м е н е н и я к о м а н д ы SetPassword для настройки паро-
ля п о л ь з о в а т е л я . О д н а к о чтобы потребовать сменить пароли при следующем
входе, н у ж н о задать т а к и е команды:
SobjUser.Put («pwdLastSet»,0)
SobjUser. S e t l n f o O
В V B S c r i p t код аналогичен:
Set obj User=GetObj ect("LDAP: //0Ц_пользователя")
objUser.SetPassword «Новый_пароль»
objUser.Put «pwdLastSet»,0
o b j U s e r . S e t l n f o
П а р о л и д а ж е м о ж н о и м п о р т и р о в а т ь с п о м о щ ь ю команды LDIFDE, описанной
в з а н я т и и 1. Д о п о л н и т е л ь н ы е сведения вы найдете в статье 263991 базы знаний
Microsoft по адресу http://support.microsoft.com/default.aspx?scid=kb;enus;263991.
Разблокировка учетной записи
В г л а в е 8 о п и с а н а н а с т р о й к а п о л и т и к и паролей и блокировки учетных запи-
сей. П о л и т и к а б л о к и р о в к и п р е д н а з н а ч е н а д л я з а щ и т ы от п р о н и к н о в е н и я в
к о р п о р а т и в н у ю сеть путем м н о г о к р а т н о г о ввода р а з л и ч н ы х паролей с целью
о п р е д е л и т ь к о р р е к т н ы й . П р и п о п ы т к е входа с использованием некорректного
п а р о л я г е н е р и р у е т с я о ш и б к а входа. Е с л и в течение указанного периода време-
ни, о п р е д е л е н н о г о п о л и т и к о й б л о к и р о в к и , возникает с л и ш к о м много ошибок
входа, у ч е т н а я з а п и с ь блокируется. П р и следующей попытке входа появляется
с о о б щ е н и е о б л о к и р о в к е у ч е т н о й записи.
ПРИМЕЧАНИЕ Подключенные диски с альтернативными учетными данными
Распространенной причиной блокировок учетных записей является подключенный
диск с альтернативными учетными записями. В случае изменения пароля альтерна-
тивной учетной записи и многократных попыток клиента Windows подключиться
к диску учетная запись блокируется.
П о л и т и к а б л о к и р о в к и у ч е т н ы х записей устанавливает период времени, по
и с т е ч е н и и к о т о р о г о в ы п о л н я е т с я а в то ма т ич ес к о е р а з б л о к и р о в а н и е учетной
записи. О д н а к о п о л ь з о в а т е л ь , п ы т а ю щ и й с я войти в сеть и обнаруживающий,
что его у ч е т н а я з а п и с ь заблокирована, н а в е р н я к а обратится в группу техни-
ческой п о д д е р ж к и . Ч т о б ы р а з б л о к и р о в а т ь учетную запись, щелкните ее правой
кнопкой м ы ш и , в ы б е р и т е п у н к т С в о й с т в а (Properties), перейдите на вкладку
Учетная з а п и с ь ( A c c o u n t ) и установите ф л а ж о к Разблокировать учетную за-
пись ( U n l o c k A c c o u n t ) .
–) 128 Пользователи
Глава з
В Windows Server 2008 учетную запись пользователя также м о ж н о раз-
блокировать с помошыо команды Смена пароля (Reset Password). Установите
флажок Разблокировать учетную запись пользователя (Unlock T h e User's Ac-
count), показанный на рис. 3-8. Этот метод удобен при блокировке учетной
записи по причине того, что пользователь забыл пароль. Теперь вы можете в
одном диалоговом окне назначить новый пароль, потребовать смены п а р о л я
пользователем при следующем входе и разблокировать учетную запись.
К сожалению, командная строка и оболочка PowerShell не обеспечивают
средство разблокировки учетных записей. Для разблокировки учетной з а п и с и
пользователя используется специальный код VBScript:
Set objUser = GetObject("LDAP ://DH_пользователя")
objUser.IsAccountLocked = False
objUser.Setlnfo
Отключение и включение учетной записи пользователя
Учетные записи пользователей являются принципалами безопасности, то есть
объектами идентификации, которым можно предоставить доступ к с е т е в ы м
ресурсам. Поскольку каждый пользователь является членом групп П о л ь з о -
ватели домена (Domain Users) и Прошедшие проверку ( A u t h e n t i c a t e d Users),
каждая учетная запись пользователя имеет хотя бы доступ чтения к о б ш и р н о й
информации в Active Directory и файловым системам, пока не будут в в е д е н ы
'ограничения списков контроля доступа ACL (Access Control Lists):
Поэтому важно не оставлять учетные записи открытыми. Это означает, ч т о
вы должны отконфигурировать политики паролей и аудита, описанные в главе
8, а также процедуры, гарантирующие корректное использование у ч е т н ы х за-
писей. Если учетная запись подготовлена до того, как она станет необходимой,
например перед приемом служащих в компанию, отключите учетную запись.
Чтобы отключить учетную запись, в оснастке Active Directory – пользо-
ватели и компьютеры (Active Directory Users and Computers) щ е л к н и т е и м я
пользователя правой кнопкой мыши и примените команду Отключить учётную
запись (Disable). В командной строке для этого можно использовать к о м а н д у
Dsmod.exe, как показано в примере:
dsmod user 0Н_пользователя -disabled yes
В оболочке Windows PowerShell, описанной в з а н я т и и 2, д л я у с т а н о в к и
флага требуется использовать обходной метод:
Sobj User=[ ADSI ]" LDAP: / /0Н_пользователя"
SobjUser. psbase. InvokeSet( 'Account Disabled', St rue)
SobjUser.SetlnfoO
В VBScript все гораздо проще:
Set objUser = GetObject(«LDAP://0„_no/Jb3OBare.ro“)
objUser.AccountDisabled=TRUE
Включение учетной записи означает, выбор параметра yes и л и по д л я ко-
манды Dsmod.exe:
dsmod user 0Н_пользователя -disabled no
Занятие 3
Поддержка пользовательских объектов и учетных записей
129
В к о м а н д а х W i n d o w s P o w e r S h e l l з а м е н и т е Strue на $ false, а в VBScript
замените TRUE на FALSE.
У д а л е н и е у ч е т н о й з а п и с и п о л ь з о в а т е л я
Когда необходимость в у ч е т н о й записи отпадает, ее можно удалить из каталога.
О д н ако п о с л е у д а л е н и я у ч е т н о й з а п и с и в а ж н о полностью очистить от нее ка-
талог. Вы не м о ж е т е просто воссоздать новую учетную запись с тем же именем,
как у у д а л е н н о й у ч е т н о й з а п и с и , ч т о б ы п о л у ч и т ь такое же членство в группах
и доступ к ресурсам. Утеря S I D – и д е н т и ф и к а т о р а пользователя и сведений о его
членстве в группах м о ж е т п р и в е с т и к серьезным проблемам, если впоследствии
потребуется з а н о в о р е а л и з о в а т ь его учетную запись.
П о э т о м у м н о г и е о р г а н и з а ц и и п р е д п о ч и т а ю т поэтапно удалять учетные
записи. В н а ч а л е у ч е т н а я з а п и с ь отключается. По истечении некоторого пери-
ода в р е м е н и она у д а л я е т с я . По у м о л ч а н и ю в течение 60 дней так называемой
жизни памятника в Active D i r e c t o r y поддерживается поднабор свойств учетной
записи, с р е д и к о т о р ы х о с о б у ю ц е н н о с т ь представляет SID-идентификатор.
По о к о н ч а н и и э т о г о п е р и о д а в р е м е н и д а н н ы е учетной записи удаляются из
каталога.
Учетную з а п и с ь т а к ж е м о ж н о ввести в ц и к л повторно. Если пользователь
покидает о р г а н и з а ц и ю , о б ы ч н о его требуется заменить сотрудником, которому
следует п р е д о с т а в и т ь а н а л о г и ч н ы е п р а в а доступа к ресурсам, членство в груп-
пах и р а з р е ш е н и я . У ч е т н у ю з а п и с ь м о ж н о отключить, пока не будет найдена
замена у в о л и в ш е м у с я р а б о т н и к у , а затем переименовать учетную запись для
нового с л у ж а щ е г о . Т а к и м о б р а з о м , S I D – и д е н т и ф и к а т о р предыдущего пользо-
вателя, ч л е н с т в о в г р у п п а х и п р а в а доступа к ресурсам будут перенесены для
нового с о т р у д н и к а .
Ч т о б ы у д а л и т ь у ч е т н у ю з а п и с ь пользователя в Active Directory, укажите
этого п о л ь з о в а т е л я и н а ж м и т е к л а в и ш у Delete и л и щелкните правой кнопкой
м ы ш и с о о т в е т с т в у ю щ у ю у ч е т н у ю запись и примените команду Удалить (De-
lete). Вам будет п р е д л о ж е н о п о д т в е р д и т ь действие, поскольку при удалении
п р и н ц и п а л а б е з о п а с н о с т и в ы п о л н я е т с я множество операций.
О б ъ е к т ы м о ж н о у д а л и т ь из A c t i v e Di r e ct o r y и с помощью DS-команды
Dsrm. Эта к о м а н д а и м е е т т а к о й синтаксис:
dsrm Ш_попьзователя
О б р а т и т е в н и м а н и е на то, ч т о д л я команды Dsrm не задается класс объекта
user, как в с л у ч а е с д р у г и м и к о м а н д а м и DS.
Д л я у д а л е н и я п о л ь з о в а т е л я из Active Directory с помощью Windows Power-
Shell в ы п о л н я е т с я п о д к л ю ч е н и е к родительскому контейнеру (подразделению)
и п р и м е н я е т с я метод Delete. Это может показаться несколько странным, однако
вспомним, что с о з д а н и е п о л ь з о в а т е л я выполняется с помощью метода Create
родительского контейнера. Д а л е е приведены две команды Windows PowerShell,
п о з в о л я ю щ и е у д а л и т ь п о л ь з о в а т е л я :
SobjOU = [ ADSI ]" LDAP: //D/V_ подразделения"
SobjOU. DeleteC'.user", «СН=СН_пользователя»)
–) 130 Пользователи
Глава з
В VBScript используется тот же метод со своим у н и к а л ь н ы м синтаксисом:
Set objOU = GetObject(LDAP://0Л^_лoдpa:вдeлeшя'•)
objOU.Delete «user», «<Х-С11_пользователя»
Перемещение учетной записи
Если вам требуется переместить объект пользователя в Active Directory, можете
просто перетащить его в оснастке Active Directory – п о л ь з о в а т е л и и компьюте-
ры (Active Directory Users and Computers). О д н ак о д л я б о л ь ш е й аккуратности
лучше щелкнуть правой кнопкой мыши объект п о л ь з о в а т е л я и п р и м е н и т ь
команду Переместить (Move). Помните, что при п е р е м е щ е н и и п о л ь з о в а т е л я
могут быть изменены применяемые к нему объекты г р у п п о в о й п о л и т и к и G P O
(Group Policy Object). Объекты групповой п о л и т и к и о п и с ы в а ю т с я в главе 6.
Перемещение пользователя в окне командной строки о с у щ е с т в л я е т с я с по-
мощью команды Dsmove. Эта команда имеет такой синтаксис:
dsmove 0Н_пользователя -newparent ОН_конечного_подразделения
Команда Dsmove не указывает класс объекта user. Вместо этого она указы-
вает DN-имя перемещаемого пользователя и о т л и ч и т е л ь н о е и м я к о н е ч н о г о
подразделения, в которое будет перемещен пользователь.
Чтобы переместить пользователя с помощью W i n d o w s P o w e r S h e l l , н у ж н о
применить метод psbase.MoveTo:
Sobj Use г-[ ADSI ]" LDAP: //0H_ пользова тел я"
SobjUser. psbase. MoveTot "LDAP •• //ОН_конечного_подразделения")
Это еще один пример, доказывающий потребность в о б х о д н о м пути, по-
скольку данная версия Windows PowerShell не обеспечена п о с т а в щ и к о м Ac-
tive Directory. В будущем предполагается использовать к о м а н д л е т Move-Item,
как в случае с поставщиками файловой системы и реестра, о д н а к о п о к а т а к о й
возможности нет.
В VBScript используется методика, которая может показаться старомодной.
Вначале выполняется подключение к конечному контейнеру, после чего объект
пользователя захватывается и перемещается в д а н н ы й контейнер. Этот х и т р ы й
метод продемонстрирован в следующих двух строках кода:
Set objOU = ве10Ь)есН"1Ш//ВМ_конечного_подразделения")
objOU.MoveHere 'ЮАР://Ш_лользовагеля", vbNullString
Внутренняя константа vbNullString передает значение Null методу MoveHere,
указывая, что требуется сохранить текущее общее C N – и м я объекта.
Переименование учетной записи
В подразделе «Имена объектов пользователя» мы о п и с а л и м н о г и е имена, свя-
занные с учетной записью пользователя. При п е р е и м е н о в а н и и учетной з а п и с и
пользователя может потребоваться изменить один и л и н е с к о л ь к о атрибутов.
Чтобы переименовать пользователя в Active Directory, щ е л к н и т е его правой
кнопкой мыши и примените команду Переименовать ( R e n a m e ) . Введите новое
общее имя CN пользователя и нажмите клавишу Enter. О т к р о е т с я д и а л о г о в о е
окно Переименование пользователя (Rename User), где будет п р е д л о ж е н о за-
полнить поля Полное имя (Full Name) (сопоставляется а т р и б у т а м сп и name),
Занятие 3
Поддержка пользовательских объектов и учетных записей
131
Имя ( F i r s t N a m e ) , Ф а м и л и я ( L a s t N a m e ) , Выводимое имя (Display Name), И м я
входа п о л ь з о в а т е л я ( U s e r Logon N a m e ) и И м я входа пользователя (пред-Win-
dows 2000) ( U s e r Logon N a m e ( P r e – W i n d o w s 2000)).
В к о м а н д н о й строке м о ж н о использовать команду Dsmod.exe со следующим
синтаксисом:
dsmod user 0Ы_пользователя [-upn UPN_HMn][-fn Имя][-mi Инициалы][-In Фамилия]
[-dn Выводимое_имя][-email Электронный_адрес]
Атрибут sAMAccountName и общее и м я ( C N ) объекта нельзя изменить с по-
мощью к о м а н д ы Dsmod.exe.
Ч т о б ы и з м е н и т ь о б щ е е и м я ( C N ) объекта в командной оболочке, нужно
использовать W i n d o w s P o w e r S h e l l и л и V B S c r i p t . В Windows PowerShell рабо-
тают д в е с т р о к и кода:
$obj User=[ADSI]"LDAP: /I0Н_пользователя"
SobjUser. psbase. гепат(«Си=Новое_имя_СН_пользователя»)
Д р у г и е а т р и б у т ы и м е н и т а к ж е м о ж н о изменить, воспользовавшись методом
Put объекта п о л ь з о в а т е л я .
Д л я п е р е и м е н о в а н и я п о л ь з о в а т е л я в V B S c r i p t существует вариация метода
MoveHere, о п и с а н н о г о в п р е д ы д у щ е м разделе:
Set objOU = 6еМЬ]еа(«.0АР://0Ы_текущего_лодразделения»)
objOU. MoveHere "LDAP:/ /0Ы_пользователя", «Си=Новое_имя_СИ_пользователя» •
В э т и х д в у х с т р о к а х в ы п о л н я е т с я подключение к текущему подразделению
п о л ь з о в а т е л я и з а д е й с т в у е т с я метод MoveHere подразделения для применения
нового C N – и м е н и п о л ь з о в а т е л я .
Практические занятия. Поддержка объектов и учетных записей
пользователей
В п р е д л о ж е н н ы х д а л е е у п р а ж н е н и я х вы в ы п о л н и т е распространенные задачи
д л я п о д д е р ж к и п о л ь з о в а т е л е й в корпоративной среде. Д л я выполнения упраж-
нений этого з а н я т и я н у ж н о в ы п о л н и т ь у п р а ж н е н и я з а н я т и й 1 и 2, а в подраз-
д е л е н и и К а д р ы д о л ж н ы б ы т ь с л е д у ю щ и е объекты пользователей:
• Тони К р а й н е й ;
• Л и н д а М и т ч е л л ;
• С к о т т т М и т ч е л л ;
• Э п р и л Стюарт.
У п р а ж н е н и е 1 . П р о с м о т р всех а т р и б у т о в пользователя
В этом у п р а ж н е н и и вы о т к р о е т е р е д а к т о р а т р и б у т о в и с его помощью про-
смотрите и м о д и ф и ц и р у е т е а т р и б у т ы пользователя, которые не отображаются
в оснастке Active D i r e c t o r y – п о л ь з о в а т е л и и к о м п ь ю т е р ы (Active Directory
Users and C o m p u t e r s ) .
1. Войдите на м а ш и н у S E R V E R 0 1 ка к а д м и н и с т р а т о р и откройте оснастку
Active Directory – п о л ь з о в а т е л и и к о м п ь ю т е р ы (Active Directory Users and
C o m p u t e r s ) .
–) 132 Пользователи
Глава з
2. В подразделении Кадры щелкните правой к н о п к о й у ч е т н у ю з а п и с ь поль-
зователя Тони Крайнена и примените к о м а н д у С в о й с т в а ( P r o p e r t i e s ) .
3. Просмотрите содержимое вкладок диалогового окна свойств.
Какие атрибуты отображаются в оснастке? Есть ли среди них атрибуты,
которых вы раньше не видели? Отображаются ли к а к и е – л и б о атрибуты, на-
стройка которых может обеспечить полезную и н ф о р м а ц и ю в п р е д п р и я т и и ?
4. Перейдите на вкладку Телефоны (Telephones) и введите и н ф о р м а ц и ю в поле
Заметки (Notes). Щелкните О К .
5. Щелкните меню Вид (View) и установите ф л а ж о к Д о п о л н и т е л ь н ы е ком-
поненты (Advanced Features).
6. Вновь откройте свойства п о л ь з о в а т е л я Т о н и К р а й н е н а и п е р е й д и т е на
вкладку Редактор атрибутов ( A t t r i b u t e Editor).
7. Найдите атрибут info.
Какое значение он содержит?
8. Локализуйте атрибут division, дважды щ е л к н и т е его, в в е д и т е з н а ч е н и е До-
черняя структура и щелкните ОК.
9. Локализуйте атрибут employeelD, дважды щ е л к н и т е его, в в е д и т е з н а ч е н и е
104839 и щелкните ОК.
10. Просмотрите другие атрибуты в редакторе атрибутов.
Какие атрибуты отображаются, а какие не в и д н ы в оснастке Active Directo-
ry – пользователи и компьютеры (Active D i r e c t o r y U s e r s and C o m p u t e r s ) ?
Могут ли скрытые атрибуты обеспечивать полезную и н ф о р м а ц и ю д л я орга-
низации?
11. Щелкните ОК, чтобы закрыть диалоговое окно свойств.
Упражнение 2. Управление атрибутами м н о ж е с т в а объектов
В этом упражнении вы выберете множество объектов и о т к о н ф и г у р и р у е т е их
свойства.
1. В подразделении Кадры выберите пользователя С к о т т М и т ч е л л .
2. Нажмите клавишу Ctrl и выберите пользователей Л и н д у М и т ч е л л и Эприла
Стюарт.
Должны быть выбраны три учетные записи.
3. Щелкните правой кнопкой мыши любую из у к а з а н н ы х в а м и у ч е т н ы х за-
писей и выберите Свойства (Properties).
Откроется диалоговое окно с поднабором свойств п о л ь з о в а т е л я , к о т о р ы е
можно одновременно применить к множеству п о л ь з о в а т е л е й .
4. На вкладке Общие (General) установите ф л а ж о к Комната (Office) и в соот-
ветствующее текстовое поле введите значение Майами.
5. Перейдите на вкладку Учетная запись (Account).
В данном сценарии эти три пользователя работают по будням. Им нельзя
входить в сеть в выходные.
Занятие 3
Поддержка пользовательских объектов и учетных записей
1 3 3
6. Установите ф л а ж о к В р е м я входа (Logon H o u r s ) и щелкните кнопку Время
входа ( L o g o n H o u r s ) .
7. В ы б е р и т е д е н ь н е д е л и Воскресенье ( S u n d a y ) и щелкните опцию Вход за-
п р е щ е н ( L o g o n D e n i e d ) .
8. В ы б е р и т е д е н ь н е д е л и Суббота ( S a t u r d a y ) и щ е л к н и т е опцию Вход запре-
щен. З а т е м щ е л к н и т е О К .
К р о м е того, э т и м т р е м п о л ь з о в а т е л я м разрешено входить только на конк-
р е т н ы е к о м п ь ю т е р ы н а п р е д п р и я т и и .
9. Установите ф л а ж о к О г р а н и ч е н и я компьютера ( C o m p u t e r Restrictions), а за-
т е м щ е л к н и т е к н о п к у Вход на (Log On То).
10. В ы б е р и т е о п ц и ю Т о л ь к о на у к а з а н н ы е компьютеры (Following Computers).
11. В п о л е И м я компьютера ( C o m p u t e r Name) введите имя DESKTOPW1 и щелк-
ните к н о п к у Д о б а в и т ь ( A d d ) .
12. П о в т о р и т е э т о т п р о ц е с с д л я д о б а в л е н и я к о м п ь ю т е р о в D E S K T O P 1 0 2
и D E S K T O P 1 0 3 . З а т е м щ е л к н и т е О К .
13. На вкладке Адрес (Address) установите ф л а ж к и Улица (Street), Город (City),
О б л а с т ь , к р а й ( S t a t e / P r o v i n c e ) и П о ч т о в ы й и н д е к с ( Z I P / P o s t a l Code).
В в е д и т е в э т и п о л я с о о т в е т с т в у ю щ и е данные.
14. П е р е й д и т е на в к л а д к у П р о ф и л ь (Profile) и отконфигурируйте домашнюю
п а п к у s e r v e r 0 1 % u s e r n a m e % d o c u m e n t s .
15. П е р е й д и т е на в к л а д к у О р г а н и з а ц и я (Organizational) и отконфигурируйте
и м я к о м п а н и и C o n t o s o , Ltd. Щ е л к н и т е О К .
16. О т к р о й т е о б ъ е к т ы п о л ь з о в а т е л е й и проверьте, применены ли изменения.
Упражнение 3. Управление атрибутами пользователей с помощью команд DS
В с л е д у ю щ е м с ц е н а р и и Л и н д а и Скотт М и т ч е л л переедут из Майами в Сидней.
На переезд о т в е д е н о т р и недели. В течение этого процесса вы будете управлять
и х у ч е т н ы м и з а п и с я м и .
1. О т к р о й т е W i n d o w s PowerShell.
О б о л о ч к а W i n d o w s P o w e r S h e l l м о ж е т запускать исполняемые ф а й л ы ана-
л о г и ч н о к о м а н д н о й строке.
2. В ы я с н и т е , к а к м о ж н о с п о м о щ ь ю о д н о й команды изменить атрибут office
д в у х п о л ь з о в а т е л е й и о т к л ю ч и т ь эти учетные записи, чтобы их нельзя было
и с п о л ь з о в а т ь в о в р е м я о т с у т с т в и я сотрудников. Какую команду следует
и с п о л ь з о в а т ь ?
3. В в е д и т е с л е д у ю щ у ю команду, после чего н а ж м и т е к л а в и ш у Enter,
dsquery user -name «„ Митчелл“ | dsmod user – o f f i c e „Сидней“ – d i s a b l e d yes
4. В оснастке Active Directory – пользователи и компьютеры (Active Directory
Users And C o m p u t e r s ) о т к р о й т е учетные записи пользователей и проверьте
в н е с е н и е и з м е н е н и й .
5. Вам н у ж н о записать имена входа пользователей пред-Windows 2000 и имена
| U P N . Какую одну команду можно ввести д л я отображения этой информации?
134 Пользователи
Глава 3
6. Введите команду
dsquery user -name «• Митчелл» | dsget user -samid -upn
и нажмите клавишу Enter. Семья Митчелл прибыла в Сидней. Теперь нужно
включить их учетные записи.
7. В Windows PowerShell введите такие строки:
SobjUser = [ADSI]"LDAP://СЫ=Линда Митчелл,Ои=Кадры, DC=contoso, DC=com"
SobjUser. psbase. InvokeSet('AccountDisabled' , $ f a l s e )
SobjUser. SetlnfoO
8. В оснастке Active Directory – пользователи и к о м п ь ю т е р ы (Active Directory
Users And Computers) проверьте включение учетной записи Л и н д ы Митчелл.
9. Щелкните правой кнопкой мыши учетную з а п и с ь п о л ь з о в а т е л я С к о т т а
Митчелла и примените к о м а н д у В к л ю ч и т ь у ч е т н у ю з а п и с ь ( E n a b l e
Account).
Упражнение 4. Смена пароля и разблокировка у ч е т н о й з а п и с и
Переезжая из Майами в Сидней, Скотт М и т ч е л л з а б ы л с в о й п а р о л ь . П о с л е
включения учетной записи он несколько раз попытался в о й т и с использованием
неправильного пароля, в результате чего учетная з а п и с ь б ы л а з а б л о к и р о в а н а .
В этом упражнении вы смените пароль и р а з б л о к и р у е т е у ч е т н у ю запись.
1. В оснастке Active Directory – пользователи и к о м п ь ю т е р ы (Active Directory
Users and Computers) выберите подразделение К а д р ы .
2. В панели сведений щелкните правой кнопкой м ы ш и у ч е т н у ю з а п и с ь С к о т т
Митчелл и примените команду Смена п а р о л я ( R e s e t P a s s w o r d ) .
3. В поля Новый пароль (New Password) и По дт в ер ж де н и е ( C o n f i r m Password)
введите пароль.
4. Установите флажок Требовать смену пароля при следующем входе в систему
(User Must Change Password At Next Logon).
5. Установите флажок Разблокировать учетную з а п и с ь п о л ь з о в а т е л я ( U n l o c k
The User's Account). Щелкните ОК.
Резюме
• Для просмотра и модификации всех атрибутов о б ъ е к т а п о л ь з о в а т е л я при-
меняется Редактор атрибутов ( A t t r i b u t e E d i t o r ) .
• Свойства учетных записей пользователей с п о с о б н ы о г р а н и ч и в а т ь рабочие
станции, с которых пользователь может входить в сеть, в р е м я , в течение
которого разрешен вход, а также срок д е й с т в и я у ч е т н о й з а п и с и .
• Атрибуты множества объектов можно одновременно м о д и ф и ц и р о в а т ь с по-
мощью команды Dsmod.exe или путем м н о ж е с т в е н н о й в ы б о р к и объектов
в оснастке Active Directory – пользователи и к о м п ь ю т е р ы (Active Directory
Users and Computers). Однако набор свойств, к о т о р ы е м о ж н о м о д и ф и ц и -
ровать с помощью каждого метода, ограничен. Д л я м о д и ф и к а ц и и атрибу-
тов объектов также можно использовать сценарий V B S c r i p t и л и W i n d o w s
PowerShell,
Занятие 3
Поддержка пользовательских объектов и учетных записей 1 3 5
• П р и удалении учетной записи пользователя нельзя создать учетную запись
с тем же именем. Кроме того, н о в а я учетная запись не будет принадлежать
тем же г р у п п а м и не получит тот же доступ к ресурсам. Членство в группах
и разрешения доступа новой учетной записи нужно конфигурировать заново.
Закрепление материала
П р и в е д е н н ы е н и ж е в о п р о с ы м о ж н о использовать для проверки знаний, полу-
ченных на з а н я т и и 3. Э т и в о п р о с ы есть на сопроводительном компакт-диске.
ПРИМЕЧАНИЕ Ответы
Ответы на эти вопросы с пояснениями к каждому варианту ответа помещены в раз-
деле «Ответы» в конце книги.
1. Вам н у ж н о у с т а н о в и т ь свойство Комната (Office) для десяти пользователей
в д в у х р а з н ы х п о д р а з д е л е н и я х . В настоящее время для этого свойства ус-
т а н о в л е н о з н а ч е н и е М а й а м и . Н е д а в н о вы нашли грамматическую ошибку
и х о т и т е з а д а т ь з н а ч е н и е М а й а м и . К а к и м образом внести это изменение?
( У к а ж и т е все в а р и а н т ы . )
A. В ы б р а т ь всех д е с я т е р ы х пользователей, держа нажатой клавишу Ctrl,
и о т к р ы т ь д и а л о г о в о е о к н о Свойства (Properties).
Б. И с п о л ь з о в а т ь к о м а н д ы Dsget и Dsmod.
B. И с п о л ь з о в а т ь к о м а н д ы Dsquery и Dsmod.
Г. И с п о л ь з о в а т ь к о м а н д л е т ы Get-Item и Mve-Item.
2. Вы х о т и т е п е р е м е с т и т ь п о л ь з о в а т е л я из подразделения Париж в подразде-
