Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 15 (всего у книги 91 страниц)
л е н и е М о с к в а . К а к о е с р е д с т в о м о ж н о использовать д л я выполнения этой
з а д а ч и ?
A. К о м а н д л е т Move-Item.
Б. М е т о д MoveHere п о д р а з д е л е н и я Москва.
B. К о м а н д у Dsmove.
Г. У т и л и т у Redirusr.exe.
Д. С р е д с т в о м и г р а ц и и Active Di re c t o r y (Active Directory Migration Tool).
3. П о л ь з о в а т е л ь с о о б щ и л , что он п о л у ч и л сведения о том, что его учетная за-
п и с ь не о т к о н ф и г у р и р о в а н а д л я текущего компьютера и ему нужен другой
к о м п ь ю т е р . Ч т о следует сделать, чтобы разрешить пользователю войти на
этот к о м п ь ю т е р ?
A. Щ е л к н у т ь к н о п к у Вход на (Log On То) на вкладке Учетная запись (Ac-
c o u n t ) свойств у ч е т н о й з а п и с и пользователя.
Б. Щ е л к н у т ь к н о п к у Р а з р е ш и т ь присоединение к домену (Allowed to J o i n
D o m a i n ) в д и а л о г о в о м окне Создать компьютер (New C o m p u t e r ) .
B. И с п о л ь з о в а т ь к о м а н д у Dsmove.
Г. П р е д о с т а в и т ь п о л ь з о в а т е л ю право л о к а л ь н о г о входа с п о м о щ ь ю ло-
к а л ь н о й п о л и т и к и безопасности компьютера.
–) 36 Пользователи
Глава з
Закрепление материала главы
Для того чтобы попрактиковаться и закрепить знания, п о л у ч е н н ы е п р и изуче-
нии представленного в этой главе материала, вам необходимо:
• ознакомиться с резюме главы;
• повторить используемые в главе основные термины;
• изучить сценарий, в котором описана реальная с и т у а ц и я , т р е б у ю щ а я при-
менения полученных знаний, и предложить свое решение;
• выполнить рекомендуемые упражнения;
• сдать пробный экзамен с помощью тестов.
Резюме главы
• Для управления объектами пользователей на п р о т я ж е н и и ж и з н е н н о г о цик-
ла учетной записи можно использовать р а з л и ч н ы е и н с т р у м е н т ы .
• Административные задачи можно автоматизировать с п о м о щ ь ю V B S c r i p t
и Windows PowerShell. Хотя ни одно из этих средств не о б е с п е ч и в а е т ре-
шения всех проблем, в VBScript можно найти б о л ь ш е п р и м е р о в и ресурсов
для администрирования Active Directory, чем в W i n d o w s PowerShell. Од н а к о
будущее администрирования и автоматизации на основе к о м а н д все же за
оболочкой Windows PowerShell.
• Поскольку пользователи я в л я ю т с я п р и н ц и п а л а м и б е з о п а с н о с т и , н у ж н о
внимательно управлять учетными з а п и с я м и и в ы п о л н я т ь з а д а ч и , в т о м
числе смену паролей, разблокировку, в к л ю ч е н и е и о т к л ю ч е н и е у ч е т н ы х
записей, перемещение и переименование у ч е т н ы х з а п и с е й и в к о н е ч н о м
счете удаление учетных записей.
• Источник данных с информацией о п о л ь з о в а т е л я х м о ж н о и м п о р т и р о -
вать в Active Directory с помощью команды CSVDE, W i n d o w s P o w e r S h e l l
и VBScript.
Основные термины
Запомните перечисленные далее термины, чтобы л у ч ш е п о н я т ь о п и с ы в а е м ы е
концепции.
• Метод В контексте программирования и л и с о з д а н и я с ц е н а р и е в метод —
это действие, выполняемое с объектом. Н а п р и м е р , с п о м о щ ь ю м е т о д а
SetPassword объекта пользователя м о ж н о в ы п о л н я т ь б е з о п а с н у ю с м е н у
пароля. Воспользовавшись методом Create о б ъ е к т а к о н т е й н е р а в Active
Directory, можно создать нового пользователя, г р у п п у и л и к о м п ь ю т е р .
• Объект В контексте программирования и л и создания сценариев объект —
это структура данных, п р е д с т а в л я ю щ а я с и с т е м н ы й р е с у р с . Н а п р и м е р ,
объект может представлять учетную запись п о л ь з о в а т е л я в Active Direc-
tory. Объекты обладают свойствами и л и а т р и б у т а м и , а т а к ж е м е т о д а м и
или действиями.
Практические задания 37
Сценарий. Импорт учетных записей пользователей
В этом с ц е н а р и и вы п р и м е н и т е п о л у ч е н н ы е з н а н и я о создании и поддержке
учетных з а п и с е й п о л ь з о в а т е л е й . О т в е т ы на вопросы м о ж н о найти в разделе
«Ответы» в к о н ц е книги.
Б у д у ч и а д м и н и с т р а т о р о м к р у п н о г о у н и в е р с и т е т а , в ы к а ж д ы й семестр
получаете ф а й л , с о д е р ж а щ и й и н ф о р м а ц и ю о новых студентах. Ваша работа
состоит в с о з д а н и и д л я н и х у ч е т н ы х записей. Получаемый ф а й л создается в
Excel и с о д е р ж и т и м я и к о н т а к т н ы е д а н н ы е каждого студента. Учетные записи
п о л ь з о в а т е л е й д о л ж н ы и м е т ь и м е н а входа, выводимые имена и адреса элект-
ронной п о ч т ы в с о о т в е т с т в и и с у с т а н о в л е н н ы м и в университете соглашениями
по и м е н о в а н и ю . Н а п р и м е р , и м я входа состоит из ф а м и л и и и первой буквы
имени студента. Адреса э л е к т р о н н о й почты д о л ж н ы соответствовать формату
имя.фамилия@домен.ес1и. Р у к о в о д с т в о попросило создать все учетные записи за
четыре недели до начала нового семестра. Раньше вы создавали учетные записи
вручную. В этом году у ч е т н ы е з а п и с и требуется создавать автоматически.
1. К а к о й и н с т р у м е н т , о п и с а н н ы й в этой главе, следует использовать для им-
порта у ч е т н ы х з а п и с е й пользователей из базы данных? Благодаря чему этот
инструмент, по в а ш е м у м н е н и ю , л у ч ш е д р у г и х доступных средств импорта
п о л ь з о в а т е л е й ?
2. Ч т о м о ж н о сделать д л я п о в ы ш е н и я у р о в н я безопасности создаваемых учет-
н ы х з а п и с е й с у ч е т о м того, ч т о о н и будут созданы за четыре недели до
первого п р и м е н е н и я ?
3. П о с л е с о з д а н и я у ч е т н ы х з а п и с е й вы вспомнили, что не внесли в атрибут
company н а з в а н и е у н и в е р с и т е т а . Все созданные учетные записи новых сту-
д е н т о в п о м е ч е н ы о д н и м годом. К а к м о ж н о быстро заполнить этот атрибут
с п о м о щ ь ю о с н а с т к и Active Directory – пользователи и компьютеры (Active
D i r e c t o r y U s e r s and C o m p u t e r s ) и л и командной строки?
Практические задания
Д л я у с п е ш н о й п о д г о т о в к и к сдаче с е р т и ф и к а ц и о н н о г о экзамена по темам,
п р е д с т а в л е н н ы м в э т о й главе, в ы п о л н и т е предлагаемые далее упражнения.
Автоматизация создания учетных записей пользователей
В у п р а ж н е н и и 1 вы и с п о л ь з у е т е о д и н метод д л я создания большого количес-
тва у ч е т н ы х з а п и с е й п о л ь з о в а т е л е й . В ы п о л н я я у п р а ж н е н и и 2, вы по желанию
используете д л я э т о й ц е л и д р у г о й метод.
• У п р а ж н е н и е 1 С о з д а й т е т а б л и ц у Excel, которая будет в ы п о л н я т ь роль
б а з ы д а н н ы х у ч е т н ы х з а п и с е й п о л ь з о в а т е л е й . В п е р в о й строке таблицы
в в е д и т е с л е д у ю щ и е L D A P – и м е н а а т р и б у т о в по одному атрибуту в стол-
бец: distinguishedName, objectClass, givenName, sn, sAMAccountName. Запол-
н и т е ф а й л д а н н ы м и . П о м н и т е , что а т р и б у т givenName представляет и м я
п о л ь з о в а т е л я , а а т р и б у т сп – его ф а м и л и ю . И с п о л ь з у й т е инструкции из
–) 138 Пользователи
Глава з
упражнения 3 занятия 1. Сохраните эти д а н н ы е в виде текстового ф а й л а
с разделительными запятыми. И м п о р т и р у й т е ф а й л с п о м о щ ь ю к о м а н д ы
CSVDE.
• Упражнение 2 В главе 2 был рассмотрен сценарий, к о т о р ы й м о ж е т созда-
вать пользователей с помощью файла .csv. М о д и ф и ц и р у й т е этот с ц е н а р и й
для импорта пользователей из вашего ф а й л а .csv. П о с т р о й т е в с ц е н а р и и
атрибуты userPrincipalName и displayName, как описано в главе 2.
Поддержка учетных записей Active Directory
В этом упражнении вы займетесь управлением у ч е т н ы м и з а п и с я м и п о л ь з о в а -
телей с помощью методов, упоминаемых в настоящей главе.
• Упражнение В настоящей главе описано много в о з м о ж н о с т е й д л я вы-
полнения административных задач с целью п о д д е р ж к и у ч е т н ы х з а п и с е й
пользователей. Вы получите очень ценный опыт, если и з у ч и т е все п р и м е -
ры, приведенные в этой главе, и примените их в своей среде. П о п р о б у й т е
использовать на практике все описанные к о м а н д ы и с ц е н а р и и .
Пробный экзамен
На прилагаемом к книге компакт-диске п р е д с т а в л е н о н е с к о л ь к о в а р и а н т о в
тренировочных тестов. Проверка знаний выполняется и л и т о л ь к о по одной теме
сертификационного экзамена 7 0 – 6 4 0 , или по всем э к з а м е н а ц и о н н ы м темам.
Тестирование можно организовать таким образом, ч т о б ы о н о п р о в о д и л о с ь к а к
экзамен, либо настроить на режим обучения. В п о с л е д н е м с л у ч а е вы с м о ж е т е
после каждого своего ответа на вопрос п р о с м а т р и в а т ь п р а в и л ь н ы е о т в е т ы
и пояснения.
ПРИМЕЧАНИЕ Пробный экзамен
Подробнее о пробном экзамене рассказано во введении к данной книге.
Г Л А В А 4
Группы
Занятие 1. Создание групп и управление ими
140
Занятие 2. Автоматизация создания групп и контроля за ними
157
Занятие 3. Администрирование групп на предприятии
166
Хотя пользователи, компьютеры и даже службы со временем меняются, бизнес-
роли и правила обычно более стабильны. На предприятии может применяться
финансовая роль, которой требуются определенные возможности. Пользователь
или пользователи, в ы п о л н я ю щ и е данную роль, могут сменяться, однако роль
остается. По этой п р и ч и н е на предприятии не принято назначать права и раз-
решения доступа отдельному пользователю, компьютеру или объектам иден-
тификации служб. Задачи, связанные с управлением, должны быть привязаны
к группам. Мы применим группы д л я идентификации ролей пользователей и
администраторов, ф и л ь т р а ц и и групповой политики, назначения уникальных
политик паролей, прав и р а з р е ш е н и й доступа и т. д. Д л я решения подобных
задач нужно знать, как создавать, модифицировать, удалять и поддерживать
объекты групп в домене Active Directory.
Темы э к з а м е н а :
• Создание и поддержка объектов Active Directory.
• Автоматизация создания учётных записей Active Directory.
• Поддержка учетных записей Active Directory.
Прежде всего
В настоящей главе д л я автоматизации процесса создания учетных записей ком-
пьютеров используются компоненты Microsoft Windows PowerShell, Microsoft
VBScript, C o m m a – S e p a r a t e d Values D a t a Exchange ( C S V D E ) и L D A P Data
Interchange F o r m a t D a t a Exchange ( L D I F D E ) . Излагаемый материал непо-
средственно связан с материалом занятий 1 и 2 главы 3, поэтому его обяза-
тельно нужно прочитать. Кроме того, для выполнения упражнений понадобится
контроллер S E R V E R 0 1 домена contoso.com. Как создается контроллер домена,
описано в главе 1.
140 Группы t
Глава 4
История ИЗ ЖИЗНИ
Дэн Холме
Эффективное управление группами позволяет обеспечить безопасность целос-
тность и продуктивность в среде IT. В качестве консультанта я много работал
с клиентами, конфигурируя технологию в соответствии с бизнес-требованиями.
Используя технологии Microsoft Windows, следует определить и реализовать
бизнес-роли и правила для определения, документирования и автоматизации
задач администрирования. Для этого часто приходится повышать уровень управ-
ления клиентскими группами, технологиями и процессами. Многие 1Т-профес-
сионалы в Active Directory версии Windows Server 2008 применяют устаревшие
методики, не пытаясь воспользоваться всеми преимуществами групп. Я столько
раз сталкивался со случаями снижения уровня производства и безопасности из-
за неправильного управления группами, что посвятил вопросам автоматизации
и повышения уровня управления группами две главы своей книги « Windows
Administration Resource Kit: Productivity Solutions for IT Professionals» (Microsoft
Press, 2008). На этом занятии мы рассмотрим указанные темы сертификацион-
ного экзамена, а также ознакомимся с некоторыми дополнительными рекомен-
дациями и методами управления группами в производственной среде.
Занятие 1. Создание групп и управление ими
Как известно, группы содержат элементы, а у п р а в л я ю т г р у п п а м и к а к о д н и м
объектом. Реализация управления группами в Active D i r e c t o r y не т а к проста,
поскольку структура Active Directory п р е д н а з н а ч е н а д л я п о д д е р ж к и круп-
ных распределенных сред и включает семь т и п о в групп: д в е г р у п п ы д о м е н а
с тремя областями действия в каждой и л о к а л ь н ы е г р у п п ы б е з о п а с н о с т и . На
этом занятии речь пойдет о назначении каждой группы, а т а к ж е о в ы п о л н е н и и
бизнес-требований с помощью сложных опций Active Directory.
Изучив материал этого занятия, вы сможете:
/ Создавать группы с помощью оснастки Active Directory – пользователи
и компьютеры (Active Directory Users And Computers).
/ Идентифицировать типы объектов, которые могут быть членами групп с раз-
личными областями действия.
/ Управлять членством в группах.
У Разработать стратегию управления группами.
Продолжительность занятия – около 45 мин.
Управление предприятием с помощью групп
3
Группы представляют собой п р и н ц и п а л ы без.опасности с и д е н т и ф и к а т о р о м j
безопасности SID (Security Identifier), к о т о р ы е с о д е р ж а т в с в о е м а т р и б у т е
member другие принципалы безопасности ( п о л ь з о в а т е л и , к о м п ь ю т е р ы , кон– !
такты и прочие группы), позволяя таким образом п о в ы с и т ь э ф ф е к т и в н о с т ь
управления. . 0
Занятие 1
Создание групп и управление ими
141
Р а с с м о т р и м ситуацию, когда всем 100 пользователям в отделе продаж тре-
буется доступ ч т е н и я к о б щ е й п а п к е на сервере. Не т смысла назначать раз-
решения доступа к а ж д о м у о т д е л ь н о м у пользователю, поскольку при приеме
на работу н о в ы х м е н е д ж е р о в по п р о д а ж а м в с п и с о к контроля доступа ACL
(Access C o n t r o l List) п а п к и п р и д е т с я д о б а в л я т ь новые учетные записи. При
удалении у ч е т н ы х з а п и с е й из с п и с к а ACL понадобится удалить разрешения
доступа, и н а ч е в ACL о с т а н е т с я о т с у т с т в у ю щ а я учетная запись (рис. 4-1), ведь
S I D – и д е н т и ф и к а т о р в ACL с с ы л а е т с я на учетную запись, которую невозможно
разрешить. П р е д с т а в и м , что всем 100 п о л ь з о в а т е л я м в отделе продаж потре-
буется доступ к 10 о б щ и м п а п к а м на трех серверах. Управление этими поль-
з о в а т е л я м и з н а ч и т е л ь н о у с л о ж н и т с я .
р «I
fleet*. j>tL*e версии I НьгроАса |
(Яшм | .ОоЬц/г Бемадснестъ
Имя объаста CiXltoai'-JHjblc'JT&wuwx
Гр)ПГ.ы нпи по гь зева теп-:
4)3при л С поют topd s!ev.e(1(?oortoio com) 3
^ПАКЕТНЫЕ <РАЙЛЫ
Д.:,:-: £ U ! jJ
чтобы измени разрецжиня,
Рагашении дп« Неизвестны Peice^n. Загре г. г.
ГдмЛ
З
Р
С
Т
р
т
Чтение и веге J
0*ыж ешкртмогэ паго, У
Зяж» . Zi
йсслт*те. лыю |
Рис. 4-1. Список ACL с SID-идентификатором, ссылающимся на учетную запись,
которую невозможно разрешить
Вместо р а з р е ш е н и й доступа к ресурсу отдельным объектам идентификации
( н а п р и м е р , п о л ь з о в а т е л я м и к о м п ь ю т е р а м ) рекомендуется назначить одно
р а з р е ш е н и е д о с т у п а группе, а з а т е м у п р а в л я т ь доступом к ресурсу, изменяя
членство в э т о й г р у п п е .
Д л я п р и м е р а мы м о ж е м с о з д а т ь г р у п п у П р о д а ж и и назначить ей доступ
чтения (Allow R e a d ) к 10 о б щ и м п а п к а м на трех серверах. Таким образом мы
получаем в свое р а с п о р я ж е н и е единую точку управления. Группа Продажи ста-
нет э ф ф е к т и в н ы м с р е д с т в о м у п р а в л е н и я доступом к общим папкам. В группу
м о ж н о д о б а в л я т ь н о в ы х м е н е д ж е р о в п о продажам, которые получат доступ
к 10 о б щ и м п а п к а м . П р и у д а л е н и и у ч е т н о й записи автоматически удаляется и
ее членство в группе, так ч т о в с п и с к а х ACL не п о я в я т с я неразрешимые SID-
и д е н т и ф и к а т о р ы . К р о м е того, м ы п о л у ч а е м д о п о л н и т е л ь н о е преимущество:
поскольку с п и с о к ACL о с т а е т с я с т а б и л ь н ы м вместе с группой Продажи, кото-
рой назначен д о с т у п чтения, будет п р о щ е в ы п о л н я т ь архивацию. Изменение
списка ACL п а п к и р а с п р о с т р а н я е т с я на все дочерние ф а й л ы и папки и требует
архивации всех ф а й л о в , д а ж е если с о д е р ж и м о е этих ф а й л о в не изменялось.
142 Группы t
Глава 4
Представим, что доступ чтения к этим папкам требуется не т о л ь к о менед-
жерам по продажам. Служащим отдела маркетинга и консультантам, н а н и м а -
емым организацией, также нужен доступ чтения к тем же папкам. Эти группы,
конечно, можно добавить в списки ACL папок, о д н а к о в к о н е ч н о м счете вы
столкнетесь с той же ситуацией, как и с пользователями, т о л ь к о с п и с к и ACL
будут переполнены не пользователями, а группами. Ч т о б ы п р е д о с т а в и т ь трем
группам доступ чтения к 10 папкам на трех серверах, п о т р е б у е т с я д о б а в и т ь
30 разрешений! Для следующей группы, которой п о н а д о б и т с я д о с т у п к 10 пап-
кам, потребуется добавить еще 10 изменений в списки ACL д е с я т и о б щ и х папок.
А что если еще восьми пользователям, не п р и н а д л е ж а щ и м к э т и м группам,
также потребуется доступ чтения к 10 общим п а п к а м ? С л е д у е т ли д о б а в л я т ь
эти отдельные учетные записи пользователей в с п и с к и A C L ?
Как видите, применение лишь одного типа группы, о п р е д е л я ю щ е г о бизнес-
роли пользователей, не позволяет эффективно у п р а в л я т ь доступом к 10 папкам.
Решение – использовать в этом сценарии два типа у п р а в л е н и я . П о л ь з о в а т е -
лями следует управлять как коллекциями на основе их б и з н е с – р о л е й . К р о м е
того, нужно управлять доступом к 10 папкам. Эти 10 п а п о к т а к ж е б у д у т кол-
лекцией элементов, представляя единый ресурс, р а с п р е д е л е н н ы й в 10 п а п к а х
на трех серверах. Нам требуется управлять доступом ч т е н и я к э т о й к о л л е к ц и и
ресурсов, то есть необходима единая точка у п р а в л е н и я , п о з в о л я ю щ а я к о н т р о -
лировать доступ к коллекции ресурсов.
Для этого нужна еще одна группа, предоставляющая доступ ч т е н и я к 10 пап-
кам на трех серверах. Допустим, что этой группе п р и с в о е н о и м я ACL_^Sales
Folders_Read и назначается доступ чтения к 10 п а п к а м . Группы п р о д а ж , мар-
кетинга, консультантов, а также восемь отдельных п о л ь з о в а т е л е й могут б ы т ь
членами группы ACL_Sales Folder_Read. Если д о с т у п к п а п к а м п о т р е б у е т с я
дополнительным группам или пользователям, их м о ж н о д о б а в и т ь в д а н н у ю
группу. Кроме того, значительно проще определить, кто р а с п о л а г а е т д о с т у п о м
чтения к этим папкам. Вместо анализа списков ACL к а ж д о й из 10 п а п о к н у ж н о
просто просмотреть список членов группы ACL_Sales F o l d e r _ R e a d .
Такой способ управления предприятием с помощью групп называется управ-
лением на основе ролей. Роли пользователей о п р е д е л я ю т с я на о с н о в а н и и биз-
нес-функций, например принадлежности к отделу п р о д а ж , м а р к е т и н г а и т. д.,
и соответствия бизнес-правилам, например р о л и и о т д е л ь н ы е п о л ь з о в а т е л и
могут получать доступ к 10 папкам.
Обе задачи управления можно решить при п о м о щ и г р у п п в каталоге. Р о л и
представлены группами, которые содержат пользователей, к о м п ь ю т е р ы и дру-
гие роли. Да, именно так: одни роли могут в к л ю ч а т ь другие. Н а п р и м е р , роль
Руководство может включать роли Коммерческие р у к о в о д и т е л и , Ф и н а н с о в ы е
руководители и Руководители производства. Такие правила, к а к о п р е д е л е н и е
права доступа чтения к 10 папкам, также представлены г р у п п а м и . Группы пра-
вил содержат группы ролей и, иногда, отдельных п о л ь з о в а т е л е й – т а к и х к а к
восемь пользователей в рассматриваемом примере, и л и к о м п ь ю т е р ы .
Для управления предприятием любого масштаба требуется э ф ф е к т и в н о руко-
водить группами и создать инфраструктуру групп с единым п у н к т о м управления
Занятие 1
Создание групп и управление ими 1 4 3
ролями и правилами. Технически это означает, что потребуются группы, члена-
ми которых могут быть пользователи, компьютеры, другие группы и, возможно,
принципалы б е з о п а с н о с т и из д р у г и х доменов.
Определение соглашений именования групп
Чтобы создать г р у п п у с п о м о щ ь ю о с н а с т к и Active Directory – пользователи
и компьютеры ( A c t i v e D i r e c t o r y Users And Computers), достаточно щелкнуть
правой кнопкой м ы ш и подразделение, в котором хотите создать группу, выбрать
опцию Создать ( N e w ) и п р и м е н и т ь команду Группа (Group). В диалоговом окне
Н о в ы й объект – Группа ( N e w O b j e c t – Group), представленном на рис. 4-2,
можно у к а з а т ь о с н о в н ы е с в о й с т в а д л я новой группы.
*J
'4 ^ Создать в: сопЮю.сот/Группы/Роли
Имя группы {лред-vyndows 3300):
–j Консультанты
" О б л а с т ь действия г р у п п ы – Т ^ п г р у п л ы —
j Г Локальна» в донене Г? Груша безопасности
i <* Глобальная f Группа распространения
j С Универсальная
Рис. 4-2. Создание новой группы
Вначале н у ж н о указать имена группы. Группа пользователей или компьюте-
ров может иметь н е с к о л ь к о имен. Первое и м я в поле И м я группы (Group Name)
и с п о л ь з у е т с я W i n d o w s 2000 и более п о з д н и м и системами для идентификации
объекта (см. рис. 4-2). Э т о и м я пр е о б р аз у ет с я в атрибуты сп и пате объекта.
Второе и м я п р е д – W i n d o w s 2000 представляет атрибут sAMAccountName, служа-
щ и й д л я и д е н т и ф и к а ц и и г р у п п ы на компьютерах Microsoft Windows NT 4.0 и в
некоторых у с т р о й с т в а х , т а к и х к а к сетевые хранилища данных NAS (Network
Attached Storage), в о п е р а ц и о н н ы х системах не из семейства Windows. Атрибу-
ты сп и пате не могут п о в т о р я т ь с я только внутри контейнера (подразделения),
где создана группа.
Атрибут sAMAccountName д о л ж е н быть у н и к а л ь н ы м во всем домене. Тех-
нически д а н н ы й а т р и б у т sAMAccountName может содержать значение, отли-
ч а ю щ е е с я от сп и пате, о д н а к о д е л а т ь т а к не рекомендуется. И с п о л ь з у й т е
имя, у н и к а л ь н о е в домене, и в в е д и т е его в оба п о л я диалогового окна Н о в ы й
объект – Группа ( N e w O b j e c t – G r o u p ) .
С п о м о щ ь ю в ы б р а н н о г о и м е н и вы будете ежедневно управлять группой
и предприятием. Рекомендуется следовать соглашению именования, по которому
144 Группы t
Глава 4
имя идентифицирует тип и назначение группы. В к а ч е с т в е п р и м е р а м о ж н о
привести имя группы ACL_Sales F o l d e r _ R e a d из п р е д ы д у щ е г о подраздела.
Префикс означает, что группа служит для н а з н а ч е н и я прав доступа к папке и
используется в списках контроля доступа ACL. О с н о в н а я часть и м е н и описы-
вает ресурс, управляемый группой. С у ф ф и к с указывает, что группа управляет
доступом чтения. Разделитель (в данном случае с и м в о л п о д ч е р к и в а н и я ) слу-
жит для разделения составляющих имени. Отметим, что р а з д е л и т е л ь не ставят
между словами Sales и Folder. В именах групп м о ж н о и с п о л ь з о в а т ь пробелы.
Для ссылки на эти группы в командной строке такие и м е н а н у ж н о заключать
в кавычки. Вы можете создать сценарии, к о т о р ы е и с п о л ь з у ю т р а з д е л и т е л ь
для разложения имен групп на составляющие с ц е л ы о а у д и т а и отчетности.
Помните, что группы ролей, определяющие р о л и п о л ь з о в а т е л е й , часто будут
применяться неопытными в техническом о т н о ш е н и и с о т р у д н и к а м и . Н а п р и -
мер, группе продаж можно назначить электронный адрес д л я р а с п р о с т р а н е н и я
электронной почты. Поэтому рекомендуется не и с п о л ь з о в а т ь в и м е н а х групп
ролей префиксы и назначать понятные пользователю имена.
Типы групп
Существует два типа групп: безопасности и р а с п р о с т р а н е н и я . П р и создании
группы нужно выбрать ее тип в диалоговом окне Н о в ы й объект – Группа (New
Object – Group).
Группы распространения изначально и с п о л ь з у ю т с я п р и л о ж е н и я м и элек-
тронной почты. Эти группы – не субъекты б е з о п а с н о с т и и не с о д е р ж а т S I D -
идентификаторы. Поэтому им нельзя назначать р а з р е ш е н и я доступа к ресурсам.
Сообщение, отправленное группе распространения, будет п е р е с л а н о всем ее
членам.
Группы безопасности представляют собой п р и н ц и п а л ы безопасности с SID-
идентификаторами. Поэтому такие группы м о ж н о и с п о л ь з о в а т ь к а к э л е м е н т ы
разрешений в списках ACL для управления безопасностью д о с т у п а к,ресурсам.
Группы безопасности могут также служить п р и л о ж е н и я м э л е к т р о н н о й почты
в качестве групп распространения. Если группа будет и с п о л ь з о в а т ь с я д л я управ-
ления безопасностью, она должна быть группой б е з о п а с н о с т и .
Поскольку группы безопасности можно п р и м е н я т ь и д л я доступа к ресур-
сам, и для распространения электронной почты, многие о р г а н и з а ц и и использу-
ют только группы безопасности. Тем не менее если г р у п п а будет п р и м е н я т ь с я
только для распространения электронной почты, р е к о м е н д у е т с я создать группу
распространения. Иначе группе будет назначен S I D – и д е н т и ф и к а т о р , к о т о р ы й
добавляется в маркер безопасности доступа п о л ь з о в а т е л я , у в е л и ч и в а я таким
образом его размер.
Область действия группы
Группы содержат пользователей, компьютеры и ц е л ы е г р у п п ы . Группы могут
быть членами других групп. На группы могут с с ы л а т ь с я с п и с к и ACL, ф и л ь -
тры объектов групповой политики и другие к о м п о н е н т ы у п р а в л е н и я . Область
действия влияет на все эти характеристики группы: к а к и е ч л е н ы могут в нее
Занятие 1
Создание групп и управление ими
145
входить, к к а к и м г р у п п а м она м о ж е т п р и н а д л е ж а т ь и где использоваться. Су-
ществует четыре области д е й с т в и я : глобальная, локальная в домене, локальная
и универсальная.
Характеристики, о п р е д е л я ю щ и е к а ж д у ю область действия, распределены
по следующим к а т е г о р и я м .
• Р е п л и к а ц и я Где о п р е д е л е н а группа и на какие системы выполняется ее
р е п л и к а ц и я .
• Ч л е н с т в о Какие т и п ы п р и н ц и п а л о в безопасности группа может содержать
в качестве ч л е н о в . М о ж е т ли группа включать п р и н ц и п а л ы безопасности
из д о в е р е н н ы х д о м е н о в .
В главе 12 о п и с а н ы д о в е р и т е л ь н ы е с в я з и , и л и так называемые доверия.
Д о в е р и е п о з в о л я е т д о м е н у с с ы л а т ь с я на другой домен д л я проверки под-
л и н н о с т и п о л ь з о в а т е л я , в к л ю ч а т ь п р и н ц и п а л ы безопасности и з другого
д о м е н а в к а ч е с т в е ч л е н о в г р у п п ы и н а з н а ч а т ь р а з р е ш е н и я доступа д л я
п р и н ц и п а л о в б е з о п а с н о с т и в д р у г о м домене. Используемая терминология
может с б и т ь с толку. Е с л и д о м е н А доверяет домену Б, то домен А назы-
вается доверяющим, а д о м е н Б доверенным. Д о м е н А принимает учетные
д а н н ы е п о л ь з о в а т е л е й в д о м е н е Б. Он пересылает запросы пользователей
домена Б д л я п р о в е р к и п о д л и н н о с т и этих пользователей на контроллере до-
мена Б, п о с к о л ь к у д о в е р я е т х р а н и л и щ у объектов идентификации и службе
п р о в е р к и п о д л и н н о с т и в д о м е н е Б. Д о м е н А может добавлять принципалы
безопасности д о м е н а Б в г р у п п ы и списки ACL в домене А. Более подробные
с в е д е н и я м о ж н о н а й т и в главе 12.
СОВЕТ К Э К З А М Е Н У
В отношении членства в группе нужно помнить, что если домен А доверяет домену
Б, то домен Б называется доверенным, а его пользователи и глобальные группы могут
быть членами локальных групп в домене А. Кроме того, пользователям и глобальным
группам домена Б можно назначать разрешения доступа к ресурсам в домене А.
• Д о с т у п н о с т ь Где будет и с п о л ь з о в а т ь с я группа. М о ж н о ли включить эту
группу в д р у г у ю группу. М о ж н о ли добавить группу в список ACL.
Эти х а р а к т е р и с т и к и следует продумать при определении области действия
к а ж д о й г р у п п ы .
Л о к а л ь н ы е г р у п п ы
Л о к а л ь н ы е г р у п п ы о п р е д е л е н ы и д о с т у п н ы только на одном компьютере. Ло-
к а л ь н ы е г р у п п ы с о з д а ю т с я в базе д а н н ы х диспетчера безопасности учетных
записей S A M ( S e c u r i t y A c c o u n t s M a n a g e r ) рядового компьютера домена. Л о -
к а л ь н ы е г р у п п ы с о д е р ж а т с я на серверах и рабочих станциях. В рабочей груп-
пе л о к а л ь н ы е г р у п п ы и с п о л ь з у ю т с я д л я у п р а в л е н и я безопасностью ресурсов
в системе. Управление л о к а л ь н ы м и группами отдельных компьютеров в домене
слишком громоздко и по большей части не нужно. На рядовых членах домена не
рекомендуется создавать н а с т р а и в а е м ы е л о к а л ь н ы е группы. В доменной среде
нужно у п р а в л я т ь т о л ь к о л о к а л ь н ы м и г р у п п а м и в оснастке Active Directory —
146 Группы t
Глава 4
пользователи и компьютеры (Active Directory Users And C o m p u t e r s ) . Подведем
краткие итоги.
• Репликация Локальная группа о п р е д е л я е т с я т о л ь к о в л о к а л ь н о й базе
данных SAM рядового сервера домена. Эта группа и ее ч л е н с т в о не реп-
лицируются в другие системы.
• Членство Локальная группа может содержать с л е д у ю щ и е члены:
о все принципалы безопасности в домене: п о л ь з о в а т е л и , к о м п ь ю т е р ы ,
глобальные группы и локальные группы в домене;
о пользователи, компьютеры и г л о б а л ь н ы е г р у п п ы из л ю б о г о д о м е н а
в лесу;
о пользователи, компьютеры и глобальные г р у п п ы из лю б о го доверенного
