355 500 произведений, 25 200 авторов.

Электронная библиотека книг » Dan Holme » Настройка Active Directory. Windows Server 2008 » Текст книги (страница 14)
Настройка Active Directory. Windows Server 2008
  • Текст добавлен: 8 октября 2016, 16:34

Текст книги "Настройка Active Directory. Windows Server 2008"


Автор книги: Dan Holme


Соавторы: Danielle Ruest,Nelson Ruest

Жанр:

   

ОС и Сети


сообщить о нарушении

Текущая страница: 14 (всего у книги 91 страниц)

1. Подключение к объекту пользователя.

2. Модификация атрибута.

3. Подтверждение изменения.

Мы уже обсуждали механизм подключения к объекту. В т о р о й шаг состоит

в изменении атрибута. Большинство атрибутов я в л я ю т с я о д н о з н а ч н ы м и . Их

можно модифицировать с помощью метода Put объекта. Д а л е е п о к а з а н п р и м е р

использования этого метода в Windows PowerShell:

SobjUser.putC'company","Contoso, Ltd.")

Занятие 3

Поддержка пользовательских объектов и учетных записей

125

А так метод Put и с п о л ь з у е т с я в V B S c r i p t :

objUser.put «company»,."Contoso, Ltd."

Е д и н с т в е н н а я р а з н и ц а з а к л ю ч а е т с я в том, что VBScript не использует круг-

л ы е с к о б к и д л я п е р е д а ч и п а р а м е т р о в методу Put.

Во втором шаге м о ж н о н а з н а ч и т ь много атрибутов. После указания всех

атрибутов н у ж н о п о д т в е р д и т ь и з м е н е н и я в каталоге с помощью метода Setlnfo.

Д а л е е п р и в е д е н а в е р с и я и с п о л ь з о в а н и я этого метода в Windows PowerShell:

SobjUser! SetlnfoC)

В е р с и я метода Setlnfo в V B S c r i p t идентична, если не считать имени пере-

менной:

objUser.SetInfo()

О б ъ е д и н и в все т р и шага вместе, мы получим сценарий Windows PowerShell:

$objUser=[ADSI]"LDAP://сп=Джефф Форд, ои=Кадры,dc=contoso,dc=com"

SobjUser.putC'company", «Contoso, Ltd.»)

{objUser.SetlnfoO

Д а л е е п о к а з а н этот же с ц е н а р и й в V B S c r i p t :

Set obj Use r=GetObj ect (« LDAP: //сп=Джефф Форд, ои=Кадры, dc=contoso, dc=com»

objUser.put «company»,"Contoso, Ltd."

objUser.SetlnfoO

К а к п о л н о с т ь ю у д а л и т ь а т р и б у т ? Вначале н у ж н о подключиться к объекту.

З а т е м с т р о к о в о м у а т р и б у т у м о ж н о п р и с в о и т ь пустую строку "", а числово-

му – з н а ч е н и е О, е с л и н у л ь я в л я е т с я соответствующим представлением зна-

ч е н и я EMPTY. О д н а к о а т р и б у т ы ( к р о м е обязательных) также можно удалять

полностью. Д л я этого н у ж н о и с п о л ь з о в а т ь метод PutEx объекта пользователя.

Д л я у д а л е н и я а т р и б у т а office, к примеру, в W i n d o w s PowerShell используется

с л е д у ю щ и й код:

SobjUser.PutEx(1, «office», 0)

SobjUser.SetlnfoO

В V B S c r i p t д л я у д а л е н и я а т р и б у т а н у ж н о ввести следующие строки кода:

objUser.PutEx 1, «office», 0

objUser.SetlnfoO

Администрирование учетных записей пользователей

О с н о в н о е н а з н а ч е н и е о б ъ е к т о в п о л ь з о в а т е л е й в Active D i r e c t o r y состоит

в п о д д е р ж к е п р о в е р к и п о д л и н н о с т и л и ц а и л и службы. Учетные записи пре-

д о с т а в л я ю т с я , а д м и н и с т р и р у ю т с я и в конечном счете аннулируются. Самые

р а с п р о с т р а н е н н ы е а д м и н и с т р а т и в н ы е задачи, с в я з а н н ы е с учетными запися-

ми пользователей, состоят в сбросе паролей, разблокировке учетной записи,

отключении, в к л ю ч е н и и , у д а л е н и и , п е р е м е щ е н и и и переименовании объектов

пользователей.

В следующих подразделах о п и с а н ы все эти задачи и методы их выполнения

с помощью интерфейса Windows, W i n d o w s PowerShell, VBScript или командной

–) 126 Пользователи

Глава з

строки. Для выполнения каждой задачи требуются с о о т в е т с т в у ю щ и е разре-

шения доступа к объектам пользователей. Делегирование а д м и н и с т р а т и в н ы х

разрешений описано в глане 2.

Сброс пароля пользователя

Если пользователь забыл свой пароль и пытается войти в сеть, он п о л у ч и т

сообщение, показанное на рис. 3-7.

. " ; -.!'. * .'. • .•••• 1 о ^Jiial^

•t «t • Ш view VM Turn Windo*j help

• 0 J. 2 . : Ю О З • © Й

Ш И Ш Ш Ш Ш !

* "

f X ) Н«<р«ое юм пользователя или пароль.

1 OK 1

Windows S e r v e r s

Enterprise

1 -•– j • _-.__.

J

Рис. 3-7. Сообщение входа в систему, указывающее, что введено неверное имя пользователя

(или пароль)

Для успешного входа пользователя потребуется сбросить пароль, причем

знать его старый пароль не нужно. Достаточно щелкнуть правой к н о п к о й мыши

объект пользователя в Active Directory и применить к о м а н д у С м е н а п а рол я

(Reset Password). Когда откроется показанное на рис. 3 – 8 д и а л о г о в о е окно

Смена пароля (Reset Password), необходимо з а п о л н и т ь п о л я Н о в ы й пароль

(New Password) и Подтверждение (Confirm Password). Это л у ч ш и й метод пот-

ребовать смены пароля при следующем входе – пароль будет известен только

пользователю.

твшиаявш..,.'., л*1

НшьА парам,

ПсдттС"Ди«'Я

Р Тс*6'.ег>ть о-ему лкхя» rpn слевугшем ав систол,

НеоС,01ммо1ьат1'.из»ст**ы,,еаП1мв(*пем/ «ндо.чтобы

ИЭТ«Т»«В бегут*/* s С'1Г;

Смтоаппввпгмтасвтм , четна, запий, па ftuvioc мхтроплкзп

Г разблокировать уиемро запись пользователя

| СК | Отмена j

Рис. 3-8. Окно смены пароля

Занятие 3

Поддержка пользовательских объектов и учетных записей

1 2 7

Вы т а к ж е м о ж е т е п р и м е н и т ь команду DS д л я сброса пароля пользователя

и при ж е л а н и и потребовать сменить пароль при следующем входе пользователя.

Введите т а к у ю команду:

dsmod user ОН_пользователя -pwd Новый_пароль -mustchpwd yes

В W i n d o w s PowerShell н у ж н о ввести следующие команды:

Sobj User=[ADSI]"LDAP:/ /ОЫ_пользователя"

SobjUser.SetPassword(«Новый_пароль»)

О т м е т и м , ч т о в о т л и ч и е от с и т у а ц и и с другими атрибутами метод Setlnfo

не и с п о л ь з у е т с я п о с л е п р и м е н е н и я к о м а н д ы SetPassword для настройки паро-

ля п о л ь з о в а т е л я . О д н а к о чтобы потребовать сменить пароли при следующем

входе, н у ж н о задать т а к и е команды:

SobjUser.Put («pwdLastSet»,0)

SobjUser. S e t l n f o O

В V B S c r i p t код аналогичен:

Set obj User=GetObj ect("LDAP: //0Ц_пользователя")

objUser.SetPassword «Новый_пароль»

objUser.Put «pwdLastSet»,0

o b j U s e r . S e t l n f o

П а р о л и д а ж е м о ж н о и м п о р т и р о в а т ь с п о м о щ ь ю команды LDIFDE, описанной

в з а н я т и и 1. Д о п о л н и т е л ь н ы е сведения вы найдете в статье 263991 базы знаний

Microsoft по адресу http://support.microsoft.com/default.aspx?scid=kb;enus;263991.

Разблокировка учетной записи

В г л а в е 8 о п и с а н а н а с т р о й к а п о л и т и к и паролей и блокировки учетных запи-

сей. П о л и т и к а б л о к и р о в к и п р е д н а з н а ч е н а д л я з а щ и т ы от п р о н и к н о в е н и я в

к о р п о р а т и в н у ю сеть путем м н о г о к р а т н о г о ввода р а з л и ч н ы х паролей с целью

о п р е д е л и т ь к о р р е к т н ы й . П р и п о п ы т к е входа с использованием некорректного

п а р о л я г е н е р и р у е т с я о ш и б к а входа. Е с л и в течение указанного периода време-

ни, о п р е д е л е н н о г о п о л и т и к о й б л о к и р о в к и , возникает с л и ш к о м много ошибок

входа, у ч е т н а я з а п и с ь блокируется. П р и следующей попытке входа появляется

с о о б щ е н и е о б л о к и р о в к е у ч е т н о й записи.

ПРИМЕЧАНИЕ Подключенные диски с альтернативными учетными данными

Распространенной причиной блокировок учетных записей является подключенный

диск с альтернативными учетными записями. В случае изменения пароля альтерна-

тивной учетной записи и многократных попыток клиента Windows подключиться

к диску учетная запись блокируется.

П о л и т и к а б л о к и р о в к и у ч е т н ы х записей устанавливает период времени, по

и с т е ч е н и и к о т о р о г о в ы п о л н я е т с я а в то ма т ич ес к о е р а з б л о к и р о в а н и е учетной

записи. О д н а к о п о л ь з о в а т е л ь , п ы т а ю щ и й с я войти в сеть и обнаруживающий,

что его у ч е т н а я з а п и с ь заблокирована, н а в е р н я к а обратится в группу техни-

ческой п о д д е р ж к и . Ч т о б ы р а з б л о к и р о в а т ь учетную запись, щелкните ее правой

кнопкой м ы ш и , в ы б е р и т е п у н к т С в о й с т в а (Properties), перейдите на вкладку

Учетная з а п и с ь ( A c c o u n t ) и установите ф л а ж о к Разблокировать учетную за-

пись ( U n l o c k A c c o u n t ) .

–) 128 Пользователи

Глава з

В Windows Server 2008 учетную запись пользователя также м о ж н о раз-

блокировать с помошыо команды Смена пароля (Reset Password). Установите

флажок Разблокировать учетную запись пользователя (Unlock T h e User's Ac-

count), показанный на рис. 3-8. Этот метод удобен при блокировке учетной

записи по причине того, что пользователь забыл пароль. Теперь вы можете в

одном диалоговом окне назначить новый пароль, потребовать смены п а р о л я

пользователем при следующем входе и разблокировать учетную запись.

К сожалению, командная строка и оболочка PowerShell не обеспечивают

средство разблокировки учетных записей. Для разблокировки учетной з а п и с и

пользователя используется специальный код VBScript:

Set objUser = GetObject("LDAP ://DH_пользователя")

objUser.IsAccountLocked = False

objUser.Setlnfo

Отключение и включение учетной записи пользователя

Учетные записи пользователей являются принципалами безопасности, то есть

объектами идентификации, которым можно предоставить доступ к с е т е в ы м

ресурсам. Поскольку каждый пользователь является членом групп П о л ь з о -

ватели домена (Domain Users) и Прошедшие проверку ( A u t h e n t i c a t e d Users),

каждая учетная запись пользователя имеет хотя бы доступ чтения к о б ш и р н о й

информации в Active Directory и файловым системам, пока не будут в в е д е н ы

'ограничения списков контроля доступа ACL (Access Control Lists):

Поэтому важно не оставлять учетные записи открытыми. Это означает, ч т о

вы должны отконфигурировать политики паролей и аудита, описанные в главе

8, а также процедуры, гарантирующие корректное использование у ч е т н ы х за-

писей. Если учетная запись подготовлена до того, как она станет необходимой,

например перед приемом служащих в компанию, отключите учетную запись.

Чтобы отключить учетную запись, в оснастке Active Directory – пользо-

ватели и компьютеры (Active Directory Users and Computers) щ е л к н и т е и м я

пользователя правой кнопкой мыши и примените команду Отключить учётную

запись (Disable). В командной строке для этого можно использовать к о м а н д у

Dsmod.exe, как показано в примере:

dsmod user 0Н_пользователя -disabled yes

В оболочке Windows PowerShell, описанной в з а н я т и и 2, д л я у с т а н о в к и

флага требуется использовать обходной метод:

Sobj User=[ ADSI ]" LDAP: / /0Н_пользователя"

SobjUser. psbase. InvokeSet( 'Account Disabled', St rue)

SobjUser.SetlnfoO

В VBScript все гораздо проще:

Set objUser = GetObject(«LDAP://0„_no/Jb3OBare.ro“)

objUser.AccountDisabled=TRUE

Включение учетной записи означает, выбор параметра yes и л и по д л я ко-

манды Dsmod.exe:

dsmod user 0Н_пользователя -disabled no

Занятие 3

Поддержка пользовательских объектов и учетных записей

129

В к о м а н д а х W i n d o w s P o w e r S h e l l з а м е н и т е Strue на $ false, а в VBScript

замените TRUE на FALSE.

У д а л е н и е у ч е т н о й з а п и с и п о л ь з о в а т е л я

Когда необходимость в у ч е т н о й записи отпадает, ее можно удалить из каталога.

О д н ако п о с л е у д а л е н и я у ч е т н о й з а п и с и в а ж н о полностью очистить от нее ка-

талог. Вы не м о ж е т е просто воссоздать новую учетную запись с тем же именем,

как у у д а л е н н о й у ч е т н о й з а п и с и , ч т о б ы п о л у ч и т ь такое же членство в группах

и доступ к ресурсам. Утеря S I D – и д е н т и ф и к а т о р а пользователя и сведений о его

членстве в группах м о ж е т п р и в е с т и к серьезным проблемам, если впоследствии

потребуется з а н о в о р е а л и з о в а т ь его учетную запись.

П о э т о м у м н о г и е о р г а н и з а ц и и п р е д п о ч и т а ю т поэтапно удалять учетные

записи. В н а ч а л е у ч е т н а я з а п и с ь отключается. По истечении некоторого пери-

ода в р е м е н и она у д а л я е т с я . По у м о л ч а н и ю в течение 60 дней так называемой

жизни памятника в Active D i r e c t o r y поддерживается поднабор свойств учетной

записи, с р е д и к о т о р ы х о с о б у ю ц е н н о с т ь представляет SID-идентификатор.

По о к о н ч а н и и э т о г о п е р и о д а в р е м е н и д а н н ы е учетной записи удаляются из

каталога.

Учетную з а п и с ь т а к ж е м о ж н о ввести в ц и к л повторно. Если пользователь

покидает о р г а н и з а ц и ю , о б ы ч н о его требуется заменить сотрудником, которому

следует п р е д о с т а в и т ь а н а л о г и ч н ы е п р а в а доступа к ресурсам, членство в груп-

пах и р а з р е ш е н и я . У ч е т н у ю з а п и с ь м о ж н о отключить, пока не будет найдена

замена у в о л и в ш е м у с я р а б о т н и к у , а затем переименовать учетную запись для

нового с л у ж а щ е г о . Т а к и м о б р а з о м , S I D – и д е н т и ф и к а т о р предыдущего пользо-

вателя, ч л е н с т в о в г р у п п а х и п р а в а доступа к ресурсам будут перенесены для

нового с о т р у д н и к а .

Ч т о б ы у д а л и т ь у ч е т н у ю з а п и с ь пользователя в Active Directory, укажите

этого п о л ь з о в а т е л я и н а ж м и т е к л а в и ш у Delete и л и щелкните правой кнопкой

м ы ш и с о о т в е т с т в у ю щ у ю у ч е т н у ю запись и примените команду Удалить (De-

lete). Вам будет п р е д л о ж е н о п о д т в е р д и т ь действие, поскольку при удалении

п р и н ц и п а л а б е з о п а с н о с т и в ы п о л н я е т с я множество операций.

О б ъ е к т ы м о ж н о у д а л и т ь из A c t i v e Di r e ct o r y и с помощью DS-команды

Dsrm. Эта к о м а н д а и м е е т т а к о й синтаксис:

dsrm Ш_попьзователя

О б р а т и т е в н и м а н и е на то, ч т о д л я команды Dsrm не задается класс объекта

user, как в с л у ч а е с д р у г и м и к о м а н д а м и DS.

Д л я у д а л е н и я п о л ь з о в а т е л я из Active Directory с помощью Windows Power-

Shell в ы п о л н я е т с я п о д к л ю ч е н и е к родительскому контейнеру (подразделению)

и п р и м е н я е т с я метод Delete. Это может показаться несколько странным, однако

вспомним, что с о з д а н и е п о л ь з о в а т е л я выполняется с помощью метода Create

родительского контейнера. Д а л е е приведены две команды Windows PowerShell,

п о з в о л я ю щ и е у д а л и т ь п о л ь з о в а т е л я :

SobjOU = [ ADSI ]" LDAP: //D/V_ подразделения"

SobjOU. DeleteC'.user", «СН=СН_пользователя»)

–) 130 Пользователи

Глава з

В VBScript используется тот же метод со своим у н и к а л ь н ы м синтаксисом:

Set objOU = GetObject(LDAP://0Л^_лoдpa:вдeлeшя'•)

objOU.Delete «user», «<Х-С11_пользователя»

Перемещение учетной записи

Если вам требуется переместить объект пользователя в Active Directory, можете

просто перетащить его в оснастке Active Directory – п о л ь з о в а т е л и и компьюте-

ры (Active Directory Users and Computers). О д н ак о д л я б о л ь ш е й аккуратности

лучше щелкнуть правой кнопкой мыши объект п о л ь з о в а т е л я и п р и м е н и т ь

команду Переместить (Move). Помните, что при п е р е м е щ е н и и п о л ь з о в а т е л я

могут быть изменены применяемые к нему объекты г р у п п о в о й п о л и т и к и G P O

(Group Policy Object). Объекты групповой п о л и т и к и о п и с ы в а ю т с я в главе 6.

Перемещение пользователя в окне командной строки о с у щ е с т в л я е т с я с по-

мощью команды Dsmove. Эта команда имеет такой синтаксис:

dsmove 0Н_пользователя -newparent ОН_конечного_подразделения

Команда Dsmove не указывает класс объекта user. Вместо этого она указы-

вает DN-имя перемещаемого пользователя и о т л и ч и т е л ь н о е и м я к о н е ч н о г о

подразделения, в которое будет перемещен пользователь.

Чтобы переместить пользователя с помощью W i n d o w s P o w e r S h e l l , н у ж н о

применить метод psbase.MoveTo:

Sobj Use г-[ ADSI ]" LDAP: //0H_ пользова тел я"

SobjUser. psbase. MoveTot "LDAP •• //ОН_конечного_подразделения")

Это еще один пример, доказывающий потребность в о б х о д н о м пути, по-

скольку данная версия Windows PowerShell не обеспечена п о с т а в щ и к о м Ac-

tive Directory. В будущем предполагается использовать к о м а н д л е т Move-Item,

как в случае с поставщиками файловой системы и реестра, о д н а к о п о к а т а к о й

возможности нет.

В VBScript используется методика, которая может показаться старомодной.

Вначале выполняется подключение к конечному контейнеру, после чего объект

пользователя захватывается и перемещается в д а н н ы й контейнер. Этот х и т р ы й

метод продемонстрирован в следующих двух строках кода:

Set objOU = ве10Ь)есН"1Ш//ВМ_конечного_подразделения")

objOU.MoveHere 'ЮАР://Ш_лользовагеля", vbNullString

Внутренняя константа vbNullString передает значение Null методу MoveHere,

указывая, что требуется сохранить текущее общее C N – и м я объекта.

Переименование учетной записи

В подразделе «Имена объектов пользователя» мы о п и с а л и м н о г и е имена, свя-

занные с учетной записью пользователя. При п е р е и м е н о в а н и и учетной з а п и с и

пользователя может потребоваться изменить один и л и н е с к о л ь к о атрибутов.

Чтобы переименовать пользователя в Active Directory, щ е л к н и т е его правой

кнопкой мыши и примените команду Переименовать ( R e n a m e ) . Введите новое

общее имя CN пользователя и нажмите клавишу Enter. О т к р о е т с я д и а л о г о в о е

окно Переименование пользователя (Rename User), где будет п р е д л о ж е н о за-

полнить поля Полное имя (Full Name) (сопоставляется а т р и б у т а м сп и name),

Занятие 3

Поддержка пользовательских объектов и учетных записей

131

Имя ( F i r s t N a m e ) , Ф а м и л и я ( L a s t N a m e ) , Выводимое имя (Display Name), И м я

входа п о л ь з о в а т е л я ( U s e r Logon N a m e ) и И м я входа пользователя (пред-Win-

dows 2000) ( U s e r Logon N a m e ( P r e – W i n d o w s 2000)).

В к о м а н д н о й строке м о ж н о использовать команду Dsmod.exe со следующим

синтаксисом:

dsmod user 0Ы_пользователя [-upn UPN_HMn][-fn Имя][-mi Инициалы][-In Фамилия]

[-dn Выводимое_имя][-email Электронный_адрес]

Атрибут sAMAccountName и общее и м я ( C N ) объекта нельзя изменить с по-

мощью к о м а н д ы Dsmod.exe.

Ч т о б ы и з м е н и т ь о б щ е е и м я ( C N ) объекта в командной оболочке, нужно

использовать W i n d o w s P o w e r S h e l l и л и V B S c r i p t . В Windows PowerShell рабо-

тают д в е с т р о к и кода:

$obj User=[ADSI]"LDAP: /I0Н_пользователя"

SobjUser. psbase. гепат(«Си=Новое_имя_СН_пользователя»)

Д р у г и е а т р и б у т ы и м е н и т а к ж е м о ж н о изменить, воспользовавшись методом

Put объекта п о л ь з о в а т е л я .

Д л я п е р е и м е н о в а н и я п о л ь з о в а т е л я в V B S c r i p t существует вариация метода

MoveHere, о п и с а н н о г о в п р е д ы д у щ е м разделе:

Set objOU = 6еМЬ]еа(«.0АР://0Ы_текущего_лодразделения»)

objOU. MoveHere "LDAP:/ /0Ы_пользователя", «Си=Новое_имя_СИ_пользователя» •

В э т и х д в у х с т р о к а х в ы п о л н я е т с я подключение к текущему подразделению

п о л ь з о в а т е л я и з а д е й с т в у е т с я метод MoveHere подразделения для применения

нового C N – и м е н и п о л ь з о в а т е л я .

Практические занятия. Поддержка объектов и учетных записей

пользователей

В п р е д л о ж е н н ы х д а л е е у п р а ж н е н и я х вы в ы п о л н и т е распространенные задачи

д л я п о д д е р ж к и п о л ь з о в а т е л е й в корпоративной среде. Д л я выполнения упраж-

нений этого з а н я т и я н у ж н о в ы п о л н и т ь у п р а ж н е н и я з а н я т и й 1 и 2, а в подраз-

д е л е н и и К а д р ы д о л ж н ы б ы т ь с л е д у ю щ и е объекты пользователей:

• Тони К р а й н е й ;

• Л и н д а М и т ч е л л ;

• С к о т т т М и т ч е л л ;

• Э п р и л Стюарт.

У п р а ж н е н и е 1 . П р о с м о т р всех а т р и б у т о в пользователя

В этом у п р а ж н е н и и вы о т к р о е т е р е д а к т о р а т р и б у т о в и с его помощью про-

смотрите и м о д и ф и ц и р у е т е а т р и б у т ы пользователя, которые не отображаются

в оснастке Active D i r e c t o r y – п о л ь з о в а т е л и и к о м п ь ю т е р ы (Active Directory

Users and C o m p u t e r s ) .

1. Войдите на м а ш и н у S E R V E R 0 1 ка к а д м и н и с т р а т о р и откройте оснастку

Active Directory – п о л ь з о в а т е л и и к о м п ь ю т е р ы (Active Directory Users and

C o m p u t e r s ) .

–) 132 Пользователи

Глава з

2. В подразделении Кадры щелкните правой к н о п к о й у ч е т н у ю з а п и с ь поль-

зователя Тони Крайнена и примените к о м а н д у С в о й с т в а ( P r o p e r t i e s ) .

3. Просмотрите содержимое вкладок диалогового окна свойств.

Какие атрибуты отображаются в оснастке? Есть ли среди них атрибуты,

которых вы раньше не видели? Отображаются ли к а к и е – л и б о атрибуты, на-

стройка которых может обеспечить полезную и н ф о р м а ц и ю в п р е д п р и я т и и ?

4. Перейдите на вкладку Телефоны (Telephones) и введите и н ф о р м а ц и ю в поле

Заметки (Notes). Щелкните О К .

5. Щелкните меню Вид (View) и установите ф л а ж о к Д о п о л н и т е л ь н ы е ком-

поненты (Advanced Features).

6. Вновь откройте свойства п о л ь з о в а т е л я Т о н и К р а й н е н а и п е р е й д и т е на

вкладку Редактор атрибутов ( A t t r i b u t e Editor).

7. Найдите атрибут info.

Какое значение он содержит?

8. Локализуйте атрибут division, дважды щ е л к н и т е его, в в е д и т е з н а ч е н и е До-

черняя структура и щелкните ОК.

9. Локализуйте атрибут employeelD, дважды щ е л к н и т е его, в в е д и т е з н а ч е н и е

104839 и щелкните ОК.

10. Просмотрите другие атрибуты в редакторе атрибутов.

Какие атрибуты отображаются, а какие не в и д н ы в оснастке Active Directo-

ry – пользователи и компьютеры (Active D i r e c t o r y U s e r s and C o m p u t e r s ) ?

Могут ли скрытые атрибуты обеспечивать полезную и н ф о р м а ц и ю д л я орга-

низации?

11. Щелкните ОК, чтобы закрыть диалоговое окно свойств.

Упражнение 2. Управление атрибутами м н о ж е с т в а объектов

В этом упражнении вы выберете множество объектов и о т к о н ф и г у р и р у е т е их

свойства.

1. В подразделении Кадры выберите пользователя С к о т т М и т ч е л л .

2. Нажмите клавишу Ctrl и выберите пользователей Л и н д у М и т ч е л л и Эприла

Стюарт.

Должны быть выбраны три учетные записи.

3. Щелкните правой кнопкой мыши любую из у к а з а н н ы х в а м и у ч е т н ы х за-

писей и выберите Свойства (Properties).

Откроется диалоговое окно с поднабором свойств п о л ь з о в а т е л я , к о т о р ы е

можно одновременно применить к множеству п о л ь з о в а т е л е й .

4. На вкладке Общие (General) установите ф л а ж о к Комната (Office) и в соот-

ветствующее текстовое поле введите значение Майами.

5. Перейдите на вкладку Учетная запись (Account).

В данном сценарии эти три пользователя работают по будням. Им нельзя

входить в сеть в выходные.

Занятие 3

Поддержка пользовательских объектов и учетных записей

1 3 3

6. Установите ф л а ж о к В р е м я входа (Logon H o u r s ) и щелкните кнопку Время

входа ( L o g o n H o u r s ) .

7. В ы б е р и т е д е н ь н е д е л и Воскресенье ( S u n d a y ) и щелкните опцию Вход за-

п р е щ е н ( L o g o n D e n i e d ) .

8. В ы б е р и т е д е н ь н е д е л и Суббота ( S a t u r d a y ) и щ е л к н и т е опцию Вход запре-

щен. З а т е м щ е л к н и т е О К .

К р о м е того, э т и м т р е м п о л ь з о в а т е л я м разрешено входить только на конк-

р е т н ы е к о м п ь ю т е р ы н а п р е д п р и я т и и .

9. Установите ф л а ж о к О г р а н и ч е н и я компьютера ( C o m p u t e r Restrictions), а за-

т е м щ е л к н и т е к н о п к у Вход на (Log On То).

10. В ы б е р и т е о п ц и ю Т о л ь к о на у к а з а н н ы е компьютеры (Following Computers).

11. В п о л е И м я компьютера ( C o m p u t e r Name) введите имя DESKTOPW1 и щелк-

ните к н о п к у Д о б а в и т ь ( A d d ) .

12. П о в т о р и т е э т о т п р о ц е с с д л я д о б а в л е н и я к о м п ь ю т е р о в D E S K T O P 1 0 2

и D E S K T O P 1 0 3 . З а т е м щ е л к н и т е О К .

13. На вкладке Адрес (Address) установите ф л а ж к и Улица (Street), Город (City),

О б л а с т ь , к р а й ( S t a t e / P r o v i n c e ) и П о ч т о в ы й и н д е к с ( Z I P / P o s t a l Code).

В в е д и т е в э т и п о л я с о о т в е т с т в у ю щ и е данные.

14. П е р е й д и т е на в к л а д к у П р о ф и л ь (Profile) и отконфигурируйте домашнюю

п а п к у s e r v e r 0 1 % u s e r n a m e % d o c u m e n t s .

15. П е р е й д и т е на в к л а д к у О р г а н и з а ц и я (Organizational) и отконфигурируйте

и м я к о м п а н и и C o n t o s o , Ltd. Щ е л к н и т е О К .

16. О т к р о й т е о б ъ е к т ы п о л ь з о в а т е л е й и проверьте, применены ли изменения.

Упражнение 3. Управление атрибутами пользователей с помощью команд DS

В с л е д у ю щ е м с ц е н а р и и Л и н д а и Скотт М и т ч е л л переедут из Майами в Сидней.

На переезд о т в е д е н о т р и недели. В течение этого процесса вы будете управлять

и х у ч е т н ы м и з а п и с я м и .

1. О т к р о й т е W i n d o w s PowerShell.

О б о л о ч к а W i n d o w s P o w e r S h e l l м о ж е т запускать исполняемые ф а й л ы ана-

л о г и ч н о к о м а н д н о й строке.

2. В ы я с н и т е , к а к м о ж н о с п о м о щ ь ю о д н о й команды изменить атрибут office

д в у х п о л ь з о в а т е л е й и о т к л ю ч и т ь эти учетные записи, чтобы их нельзя было

и с п о л ь з о в а т ь в о в р е м я о т с у т с т в и я сотрудников. Какую команду следует

и с п о л ь з о в а т ь ?

3. В в е д и т е с л е д у ю щ у ю команду, после чего н а ж м и т е к л а в и ш у Enter,

dsquery user -name «„ Митчелл“ | dsmod user – o f f i c e „Сидней“ – d i s a b l e d yes

4. В оснастке Active Directory – пользователи и компьютеры (Active Directory

Users And C o m p u t e r s ) о т к р о й т е учетные записи пользователей и проверьте

в н е с е н и е и з м е н е н и й .

5. Вам н у ж н о записать имена входа пользователей пред-Windows 2000 и имена

| U P N . Какую одну команду можно ввести д л я отображения этой информации?

134 Пользователи

Глава 3

6. Введите команду

dsquery user -name «• Митчелл» | dsget user -samid -upn

и нажмите клавишу Enter. Семья Митчелл прибыла в Сидней. Теперь нужно

включить их учетные записи.

7. В Windows PowerShell введите такие строки:

SobjUser = [ADSI]"LDAP://СЫ=Линда Митчелл,Ои=Кадры, DC=contoso, DC=com"

SobjUser. psbase. InvokeSet('AccountDisabled' , $ f a l s e )

SobjUser. SetlnfoO

8. В оснастке Active Directory – пользователи и к о м п ь ю т е р ы (Active Directory

Users And Computers) проверьте включение учетной записи Л и н д ы Митчелл.

9. Щелкните правой кнопкой мыши учетную з а п и с ь п о л ь з о в а т е л я С к о т т а

Митчелла и примените к о м а н д у В к л ю ч и т ь у ч е т н у ю з а п и с ь ( E n a b l e

Account).

Упражнение 4. Смена пароля и разблокировка у ч е т н о й з а п и с и

Переезжая из Майами в Сидней, Скотт М и т ч е л л з а б ы л с в о й п а р о л ь . П о с л е

включения учетной записи он несколько раз попытался в о й т и с использованием

неправильного пароля, в результате чего учетная з а п и с ь б ы л а з а б л о к и р о в а н а .

В этом упражнении вы смените пароль и р а з б л о к и р у е т е у ч е т н у ю запись.

1. В оснастке Active Directory – пользователи и к о м п ь ю т е р ы (Active Directory

Users and Computers) выберите подразделение К а д р ы .

2. В панели сведений щелкните правой кнопкой м ы ш и у ч е т н у ю з а п и с ь С к о т т

Митчелл и примените команду Смена п а р о л я ( R e s e t P a s s w o r d ) .

3. В поля Новый пароль (New Password) и По дт в ер ж де н и е ( C o n f i r m Password)

введите пароль.

4. Установите флажок Требовать смену пароля при следующем входе в систему

(User Must Change Password At Next Logon).

5. Установите флажок Разблокировать учетную з а п и с ь п о л ь з о в а т е л я ( U n l o c k

The User's Account). Щелкните ОК.

Резюме

• Для просмотра и модификации всех атрибутов о б ъ е к т а п о л ь з о в а т е л я при-

меняется Редактор атрибутов ( A t t r i b u t e E d i t o r ) .

• Свойства учетных записей пользователей с п о с о б н ы о г р а н и ч и в а т ь рабочие

станции, с которых пользователь может входить в сеть, в р е м я , в течение

которого разрешен вход, а также срок д е й с т в и я у ч е т н о й з а п и с и .

• Атрибуты множества объектов можно одновременно м о д и ф и ц и р о в а т ь с по-

мощью команды Dsmod.exe или путем м н о ж е с т в е н н о й в ы б о р к и объектов

в оснастке Active Directory – пользователи и к о м п ь ю т е р ы (Active Directory

Users and Computers). Однако набор свойств, к о т о р ы е м о ж н о м о д и ф и ц и -

ровать с помощью каждого метода, ограничен. Д л я м о д и ф и к а ц и и атрибу-

тов объектов также можно использовать сценарий V B S c r i p t и л и W i n d o w s

PowerShell,

Занятие 3

Поддержка пользовательских объектов и учетных записей 1 3 5

• П р и удалении учетной записи пользователя нельзя создать учетную запись

с тем же именем. Кроме того, н о в а я учетная запись не будет принадлежать

тем же г р у п п а м и не получит тот же доступ к ресурсам. Членство в группах

и разрешения доступа новой учетной записи нужно конфигурировать заново.

Закрепление материала

П р и в е д е н н ы е н и ж е в о п р о с ы м о ж н о использовать для проверки знаний, полу-

ченных на з а н я т и и 3. Э т и в о п р о с ы есть на сопроводительном компакт-диске.

ПРИМЕЧАНИЕ Ответы

Ответы на эти вопросы с пояснениями к каждому варианту ответа помещены в раз-

деле «Ответы» в конце книги.

1. Вам н у ж н о у с т а н о в и т ь свойство Комната (Office) для десяти пользователей

в д в у х р а з н ы х п о д р а з д е л е н и я х . В настоящее время для этого свойства ус-

т а н о в л е н о з н а ч е н и е М а й а м и . Н е д а в н о вы нашли грамматическую ошибку

и х о т и т е з а д а т ь з н а ч е н и е М а й а м и . К а к и м образом внести это изменение?

( У к а ж и т е все в а р и а н т ы . )

A. В ы б р а т ь всех д е с я т е р ы х пользователей, держа нажатой клавишу Ctrl,

и о т к р ы т ь д и а л о г о в о е о к н о Свойства (Properties).

Б. И с п о л ь з о в а т ь к о м а н д ы Dsget и Dsmod.

B. И с п о л ь з о в а т ь к о м а н д ы Dsquery и Dsmod.

Г. И с п о л ь з о в а т ь к о м а н д л е т ы Get-Item и Mve-Item.

2. Вы х о т и т е п е р е м е с т и т ь п о л ь з о в а т е л я из подразделения Париж в подразде-


    Ваша оценка произведения:

Популярные книги за неделю