355 500 произведений, 25 200 авторов.

Электронная библиотека книг » Dan Holme » Настройка Active Directory. Windows Server 2008 » Текст книги (страница 15)
Настройка Active Directory. Windows Server 2008
  • Текст добавлен: 8 октября 2016, 16:34

Текст книги "Настройка Active Directory. Windows Server 2008"


Автор книги: Dan Holme


Соавторы: Danielle Ruest,Nelson Ruest

Жанр:

   

ОС и Сети


сообщить о нарушении

Текущая страница: 15 (всего у книги 91 страниц)

л е н и е М о с к в а . К а к о е с р е д с т в о м о ж н о использовать д л я выполнения этой

з а д а ч и ?

A. К о м а н д л е т Move-Item.

Б. М е т о д MoveHere п о д р а з д е л е н и я Москва.

B. К о м а н д у Dsmove.

Г. У т и л и т у Redirusr.exe.

Д. С р е д с т в о м и г р а ц и и Active Di re c t o r y (Active Directory Migration Tool).

3. П о л ь з о в а т е л ь с о о б щ и л , что он п о л у ч и л сведения о том, что его учетная за-

п и с ь не о т к о н ф и г у р и р о в а н а д л я текущего компьютера и ему нужен другой

к о м п ь ю т е р . Ч т о следует сделать, чтобы разрешить пользователю войти на

этот к о м п ь ю т е р ?

A. Щ е л к н у т ь к н о п к у Вход на (Log On То) на вкладке Учетная запись (Ac-

c o u n t ) свойств у ч е т н о й з а п и с и пользователя.

Б. Щ е л к н у т ь к н о п к у Р а з р е ш и т ь присоединение к домену (Allowed to J o i n

D o m a i n ) в д и а л о г о в о м окне Создать компьютер (New C o m p u t e r ) .

B. И с п о л ь з о в а т ь к о м а н д у Dsmove.

Г. П р е д о с т а в и т ь п о л ь з о в а т е л ю право л о к а л ь н о г о входа с п о м о щ ь ю ло-

к а л ь н о й п о л и т и к и безопасности компьютера.

–) 36 Пользователи

Глава з

Закрепление материала главы

Для того чтобы попрактиковаться и закрепить знания, п о л у ч е н н ы е п р и изуче-

нии представленного в этой главе материала, вам необходимо:

• ознакомиться с резюме главы;

• повторить используемые в главе основные термины;

• изучить сценарий, в котором описана реальная с и т у а ц и я , т р е б у ю щ а я при-

менения полученных знаний, и предложить свое решение;

• выполнить рекомендуемые упражнения;

• сдать пробный экзамен с помощью тестов.

Резюме главы

• Для управления объектами пользователей на п р о т я ж е н и и ж и з н е н н о г о цик-

ла учетной записи можно использовать р а з л и ч н ы е и н с т р у м е н т ы .

• Административные задачи можно автоматизировать с п о м о щ ь ю V B S c r i p t

и Windows PowerShell. Хотя ни одно из этих средств не о б е с п е ч и в а е т ре-

шения всех проблем, в VBScript можно найти б о л ь ш е п р и м е р о в и ресурсов

для администрирования Active Directory, чем в W i n d o w s PowerShell. Од н а к о

будущее администрирования и автоматизации на основе к о м а н д все же за

оболочкой Windows PowerShell.

• Поскольку пользователи я в л я ю т с я п р и н ц и п а л а м и б е з о п а с н о с т и , н у ж н о

внимательно управлять учетными з а п и с я м и и в ы п о л н я т ь з а д а ч и , в т о м

числе смену паролей, разблокировку, в к л ю ч е н и е и о т к л ю ч е н и е у ч е т н ы х

записей, перемещение и переименование у ч е т н ы х з а п и с е й и в к о н е ч н о м

счете удаление учетных записей.

• Источник данных с информацией о п о л ь з о в а т е л я х м о ж н о и м п о р т и р о -

вать в Active Directory с помощью команды CSVDE, W i n d o w s P o w e r S h e l l

и VBScript.

Основные термины

Запомните перечисленные далее термины, чтобы л у ч ш е п о н я т ь о п и с ы в а е м ы е

концепции.

• Метод В контексте программирования и л и с о з д а н и я с ц е н а р и е в метод —

это действие, выполняемое с объектом. Н а п р и м е р , с п о м о щ ь ю м е т о д а

SetPassword объекта пользователя м о ж н о в ы п о л н я т ь б е з о п а с н у ю с м е н у

пароля. Воспользовавшись методом Create о б ъ е к т а к о н т е й н е р а в Active

Directory, можно создать нового пользователя, г р у п п у и л и к о м п ь ю т е р .

• Объект В контексте программирования и л и создания сценариев объект —

это структура данных, п р е д с т а в л я ю щ а я с и с т е м н ы й р е с у р с . Н а п р и м е р ,

объект может представлять учетную запись п о л ь з о в а т е л я в Active Direc-

tory. Объекты обладают свойствами и л и а т р и б у т а м и , а т а к ж е м е т о д а м и

или действиями.

Практические задания 37

Сценарий. Импорт учетных записей пользователей

В этом с ц е н а р и и вы п р и м е н и т е п о л у ч е н н ы е з н а н и я о создании и поддержке

учетных з а п и с е й п о л ь з о в а т е л е й . О т в е т ы на вопросы м о ж н о найти в разделе

«Ответы» в к о н ц е книги.

Б у д у ч и а д м и н и с т р а т о р о м к р у п н о г о у н и в е р с и т е т а , в ы к а ж д ы й семестр

получаете ф а й л , с о д е р ж а щ и й и н ф о р м а ц и ю о новых студентах. Ваша работа

состоит в с о з д а н и и д л я н и х у ч е т н ы х записей. Получаемый ф а й л создается в

Excel и с о д е р ж и т и м я и к о н т а к т н ы е д а н н ы е каждого студента. Учетные записи

п о л ь з о в а т е л е й д о л ж н ы и м е т ь и м е н а входа, выводимые имена и адреса элект-

ронной п о ч т ы в с о о т в е т с т в и и с у с т а н о в л е н н ы м и в университете соглашениями

по и м е н о в а н и ю . Н а п р и м е р , и м я входа состоит из ф а м и л и и и первой буквы

имени студента. Адреса э л е к т р о н н о й почты д о л ж н ы соответствовать формату

имя.фамилия@домен.ес1и. Р у к о в о д с т в о попросило создать все учетные записи за

четыре недели до начала нового семестра. Раньше вы создавали учетные записи

вручную. В этом году у ч е т н ы е з а п и с и требуется создавать автоматически.

1. К а к о й и н с т р у м е н т , о п и с а н н ы й в этой главе, следует использовать для им-

порта у ч е т н ы х з а п и с е й пользователей из базы данных? Благодаря чему этот

инструмент, по в а ш е м у м н е н и ю , л у ч ш е д р у г и х доступных средств импорта

п о л ь з о в а т е л е й ?

2. Ч т о м о ж н о сделать д л я п о в ы ш е н и я у р о в н я безопасности создаваемых учет-

н ы х з а п и с е й с у ч е т о м того, ч т о о н и будут созданы за четыре недели до

первого п р и м е н е н и я ?

3. П о с л е с о з д а н и я у ч е т н ы х з а п и с е й вы вспомнили, что не внесли в атрибут

company н а з в а н и е у н и в е р с и т е т а . Все созданные учетные записи новых сту-

д е н т о в п о м е ч е н ы о д н и м годом. К а к м о ж н о быстро заполнить этот атрибут

с п о м о щ ь ю о с н а с т к и Active Directory – пользователи и компьютеры (Active

D i r e c t o r y U s e r s and C o m p u t e r s ) и л и командной строки?

Практические задания

Д л я у с п е ш н о й п о д г о т о в к и к сдаче с е р т и ф и к а ц и о н н о г о экзамена по темам,

п р е д с т а в л е н н ы м в э т о й главе, в ы п о л н и т е предлагаемые далее упражнения.

Автоматизация создания учетных записей пользователей

В у п р а ж н е н и и 1 вы и с п о л ь з у е т е о д и н метод д л я создания большого количес-

тва у ч е т н ы х з а п и с е й п о л ь з о в а т е л е й . В ы п о л н я я у п р а ж н е н и и 2, вы по желанию

используете д л я э т о й ц е л и д р у г о й метод.

• У п р а ж н е н и е 1 С о з д а й т е т а б л и ц у Excel, которая будет в ы п о л н я т ь роль

б а з ы д а н н ы х у ч е т н ы х з а п и с е й п о л ь з о в а т е л е й . В п е р в о й строке таблицы

в в е д и т е с л е д у ю щ и е L D A P – и м е н а а т р и б у т о в по одному атрибуту в стол-

бец: distinguishedName, objectClass, givenName, sn, sAMAccountName. Запол-

н и т е ф а й л д а н н ы м и . П о м н и т е , что а т р и б у т givenName представляет и м я

п о л ь з о в а т е л я , а а т р и б у т сп – его ф а м и л и ю . И с п о л ь з у й т е инструкции из

–) 138 Пользователи

Глава з

упражнения 3 занятия 1. Сохраните эти д а н н ы е в виде текстового ф а й л а

с разделительными запятыми. И м п о р т и р у й т е ф а й л с п о м о щ ь ю к о м а н д ы

CSVDE.

• Упражнение 2 В главе 2 был рассмотрен сценарий, к о т о р ы й м о ж е т созда-

вать пользователей с помощью файла .csv. М о д и ф и ц и р у й т е этот с ц е н а р и й

для импорта пользователей из вашего ф а й л а .csv. П о с т р о й т е в с ц е н а р и и

атрибуты userPrincipalName и displayName, как описано в главе 2.

Поддержка учетных записей Active Directory

В этом упражнении вы займетесь управлением у ч е т н ы м и з а п и с я м и п о л ь з о в а -

телей с помощью методов, упоминаемых в настоящей главе.

• Упражнение В настоящей главе описано много в о з м о ж н о с т е й д л я вы-

полнения административных задач с целью п о д д е р ж к и у ч е т н ы х з а п и с е й

пользователей. Вы получите очень ценный опыт, если и з у ч и т е все п р и м е -

ры, приведенные в этой главе, и примените их в своей среде. П о п р о б у й т е

использовать на практике все описанные к о м а н д ы и с ц е н а р и и .

Пробный экзамен

На прилагаемом к книге компакт-диске п р е д с т а в л е н о н е с к о л ь к о в а р и а н т о в

тренировочных тестов. Проверка знаний выполняется и л и т о л ь к о по одной теме

сертификационного экзамена 7 0 – 6 4 0 , или по всем э к з а м е н а ц и о н н ы м темам.

Тестирование можно организовать таким образом, ч т о б ы о н о п р о в о д и л о с ь к а к

экзамен, либо настроить на режим обучения. В п о с л е д н е м с л у ч а е вы с м о ж е т е

после каждого своего ответа на вопрос п р о с м а т р и в а т ь п р а в и л ь н ы е о т в е т ы

и пояснения.

ПРИМЕЧАНИЕ Пробный экзамен

Подробнее о пробном экзамене рассказано во введении к данной книге.

Г Л А В А 4

Группы

Занятие 1. Создание групп и управление ими

140

Занятие 2. Автоматизация создания групп и контроля за ними

157

Занятие 3. Администрирование групп на предприятии

166

Хотя пользователи, компьютеры и даже службы со временем меняются, бизнес-

роли и правила обычно более стабильны. На предприятии может применяться

финансовая роль, которой требуются определенные возможности. Пользователь

или пользователи, в ы п о л н я ю щ и е данную роль, могут сменяться, однако роль

остается. По этой п р и ч и н е на предприятии не принято назначать права и раз-

решения доступа отдельному пользователю, компьютеру или объектам иден-

тификации служб. Задачи, связанные с управлением, должны быть привязаны

к группам. Мы применим группы д л я идентификации ролей пользователей и

администраторов, ф и л ь т р а ц и и групповой политики, назначения уникальных

политик паролей, прав и р а з р е ш е н и й доступа и т. д. Д л я решения подобных

задач нужно знать, как создавать, модифицировать, удалять и поддерживать

объекты групп в домене Active Directory.

Темы э к з а м е н а :

• Создание и поддержка объектов Active Directory.

• Автоматизация создания учётных записей Active Directory.

• Поддержка учетных записей Active Directory.

Прежде всего

В настоящей главе д л я автоматизации процесса создания учетных записей ком-

пьютеров используются компоненты Microsoft Windows PowerShell, Microsoft

VBScript, C o m m a – S e p a r a t e d Values D a t a Exchange ( C S V D E ) и L D A P Data

Interchange F o r m a t D a t a Exchange ( L D I F D E ) . Излагаемый материал непо-

средственно связан с материалом занятий 1 и 2 главы 3, поэтому его обяза-

тельно нужно прочитать. Кроме того, для выполнения упражнений понадобится

контроллер S E R V E R 0 1 домена contoso.com. Как создается контроллер домена,

описано в главе 1.

140 Группы t

Глава 4

История ИЗ ЖИЗНИ

Дэн Холме

Эффективное управление группами позволяет обеспечить безопасность целос-

тность и продуктивность в среде IT. В качестве консультанта я много работал

с клиентами, конфигурируя технологию в соответствии с бизнес-требованиями.

Используя технологии Microsoft Windows, следует определить и реализовать

бизнес-роли и правила для определения, документирования и автоматизации

задач администрирования. Для этого часто приходится повышать уровень управ-

ления клиентскими группами, технологиями и процессами. Многие 1Т-профес-

сионалы в Active Directory версии Windows Server 2008 применяют устаревшие

методики, не пытаясь воспользоваться всеми преимуществами групп. Я столько

раз сталкивался со случаями снижения уровня производства и безопасности из-

за неправильного управления группами, что посвятил вопросам автоматизации

и повышения уровня управления группами две главы своей книги « Windows

Administration Resource Kit: Productivity Solutions for IT Professionals» (Microsoft

Press, 2008). На этом занятии мы рассмотрим указанные темы сертификацион-

ного экзамена, а также ознакомимся с некоторыми дополнительными рекомен-

дациями и методами управления группами в производственной среде.

Занятие 1. Создание групп и управление ими

Как известно, группы содержат элементы, а у п р а в л я ю т г р у п п а м и к а к о д н и м

объектом. Реализация управления группами в Active D i r e c t o r y не т а к проста,

поскольку структура Active Directory п р е д н а з н а ч е н а д л я п о д д е р ж к и круп-

ных распределенных сред и включает семь т и п о в групп: д в е г р у п п ы д о м е н а

с тремя областями действия в каждой и л о к а л ь н ы е г р у п п ы б е з о п а с н о с т и . На

этом занятии речь пойдет о назначении каждой группы, а т а к ж е о в ы п о л н е н и и

бизнес-требований с помощью сложных опций Active Directory.

Изучив материал этого занятия, вы сможете:

/ Создавать группы с помощью оснастки Active Directory – пользователи

и компьютеры (Active Directory Users And Computers).

/ Идентифицировать типы объектов, которые могут быть членами групп с раз-

личными областями действия.

/ Управлять членством в группах.

У Разработать стратегию управления группами.

Продолжительность занятия – около 45 мин.

Управление предприятием с помощью групп

3

Группы представляют собой п р и н ц и п а л ы без.опасности с и д е н т и ф и к а т о р о м j

безопасности SID (Security Identifier), к о т о р ы е с о д е р ж а т в с в о е м а т р и б у т е

member другие принципалы безопасности ( п о л ь з о в а т е л и , к о м п ь ю т е р ы , кон– !

такты и прочие группы), позволяя таким образом п о в ы с и т ь э ф ф е к т и в н о с т ь

управления. . 0

Занятие 1

Создание групп и управление ими

141

Р а с с м о т р и м ситуацию, когда всем 100 пользователям в отделе продаж тре-

буется доступ ч т е н и я к о б щ е й п а п к е на сервере. Не т смысла назначать раз-

решения доступа к а ж д о м у о т д е л ь н о м у пользователю, поскольку при приеме

на работу н о в ы х м е н е д ж е р о в по п р о д а ж а м в с п и с о к контроля доступа ACL

(Access C o n t r o l List) п а п к и п р и д е т с я д о б а в л я т ь новые учетные записи. При

удалении у ч е т н ы х з а п и с е й из с п и с к а ACL понадобится удалить разрешения

доступа, и н а ч е в ACL о с т а н е т с я о т с у т с т в у ю щ а я учетная запись (рис. 4-1), ведь

S I D – и д е н т и ф и к а т о р в ACL с с ы л а е т с я на учетную запись, которую невозможно

разрешить. П р е д с т а в и м , что всем 100 п о л ь з о в а т е л я м в отделе продаж потре-

буется доступ к 10 о б щ и м п а п к а м на трех серверах. Управление этими поль-

з о в а т е л я м и з н а ч и т е л ь н о у с л о ж н и т с я .

р «I

fleet*. j>tL*e версии I НьгроАса |

(Яшм | .ОоЬц/г Бемадснестъ

Имя объаста CiXltoai'-JHjblc'JT&wuwx

Гр)ПГ.ы нпи по гь зева теп-:

4)3при л С поют topd s!ev.e(1(?oortoio com) 3

^ПАКЕТНЫЕ <РАЙЛЫ

Д.:,:-: £ U ! jJ

чтобы измени разрецжиня,

Рагашении дп« Неизвестны Peice^n. Загре г. г.

ГдмЛ

З

Р

С

Т

р

т

Чтение и веге J

0*ыж ешкртмогэ паго, У

Зяж» . Zi

йсслт*те. лыю |

Рис. 4-1. Список ACL с SID-идентификатором, ссылающимся на учетную запись,

которую невозможно разрешить

Вместо р а з р е ш е н и й доступа к ресурсу отдельным объектам идентификации

( н а п р и м е р , п о л ь з о в а т е л я м и к о м п ь ю т е р а м ) рекомендуется назначить одно

р а з р е ш е н и е д о с т у п а группе, а з а т е м у п р а в л я т ь доступом к ресурсу, изменяя

членство в э т о й г р у п п е .

Д л я п р и м е р а мы м о ж е м с о з д а т ь г р у п п у П р о д а ж и и назначить ей доступ

чтения (Allow R e a d ) к 10 о б щ и м п а п к а м на трех серверах. Таким образом мы

получаем в свое р а с п о р я ж е н и е единую точку управления. Группа Продажи ста-

нет э ф ф е к т и в н ы м с р е д с т в о м у п р а в л е н и я доступом к общим папкам. В группу

м о ж н о д о б а в л я т ь н о в ы х м е н е д ж е р о в п о продажам, которые получат доступ

к 10 о б щ и м п а п к а м . П р и у д а л е н и и у ч е т н о й записи автоматически удаляется и

ее членство в группе, так ч т о в с п и с к а х ACL не п о я в я т с я неразрешимые SID-

и д е н т и ф и к а т о р ы . К р о м е того, м ы п о л у ч а е м д о п о л н и т е л ь н о е преимущество:

поскольку с п и с о к ACL о с т а е т с я с т а б и л ь н ы м вместе с группой Продажи, кото-

рой назначен д о с т у п чтения, будет п р о щ е в ы п о л н я т ь архивацию. Изменение

списка ACL п а п к и р а с п р о с т р а н я е т с я на все дочерние ф а й л ы и папки и требует

архивации всех ф а й л о в , д а ж е если с о д е р ж и м о е этих ф а й л о в не изменялось.

142 Группы t

Глава 4

Представим, что доступ чтения к этим папкам требуется не т о л ь к о менед-

жерам по продажам. Служащим отдела маркетинга и консультантам, н а н и м а -

емым организацией, также нужен доступ чтения к тем же папкам. Эти группы,

конечно, можно добавить в списки ACL папок, о д н а к о в к о н е ч н о м счете вы

столкнетесь с той же ситуацией, как и с пользователями, т о л ь к о с п и с к и ACL

будут переполнены не пользователями, а группами. Ч т о б ы п р е д о с т а в и т ь трем

группам доступ чтения к 10 папкам на трех серверах, п о т р е б у е т с я д о б а в и т ь

30 разрешений! Для следующей группы, которой п о н а д о б и т с я д о с т у п к 10 пап-

кам, потребуется добавить еще 10 изменений в списки ACL д е с я т и о б щ и х папок.

А что если еще восьми пользователям, не п р и н а д л е ж а щ и м к э т и м группам,

также потребуется доступ чтения к 10 общим п а п к а м ? С л е д у е т ли д о б а в л я т ь

эти отдельные учетные записи пользователей в с п и с к и A C L ?

Как видите, применение лишь одного типа группы, о п р е д е л я ю щ е г о бизнес-

роли пользователей, не позволяет эффективно у п р а в л я т ь доступом к 10 папкам.

Решение – использовать в этом сценарии два типа у п р а в л е н и я . П о л ь з о в а т е -

лями следует управлять как коллекциями на основе их б и з н е с – р о л е й . К р о м е

того, нужно управлять доступом к 10 папкам. Эти 10 п а п о к т а к ж е б у д у т кол-

лекцией элементов, представляя единый ресурс, р а с п р е д е л е н н ы й в 10 п а п к а х

на трех серверах. Нам требуется управлять доступом ч т е н и я к э т о й к о л л е к ц и и

ресурсов, то есть необходима единая точка у п р а в л е н и я , п о з в о л я ю щ а я к о н т р о -

лировать доступ к коллекции ресурсов.

Для этого нужна еще одна группа, предоставляющая доступ ч т е н и я к 10 пап-

кам на трех серверах. Допустим, что этой группе п р и с в о е н о и м я ACL_^Sales

Folders_Read и назначается доступ чтения к 10 п а п к а м . Группы п р о д а ж , мар-

кетинга, консультантов, а также восемь отдельных п о л ь з о в а т е л е й могут б ы т ь

членами группы ACL_Sales Folder_Read. Если д о с т у п к п а п к а м п о т р е б у е т с я

дополнительным группам или пользователям, их м о ж н о д о б а в и т ь в д а н н у ю

группу. Кроме того, значительно проще определить, кто р а с п о л а г а е т д о с т у п о м

чтения к этим папкам. Вместо анализа списков ACL к а ж д о й из 10 п а п о к н у ж н о

просто просмотреть список членов группы ACL_Sales F o l d e r _ R e a d .

Такой способ управления предприятием с помощью групп называется управ-

лением на основе ролей. Роли пользователей о п р е д е л я ю т с я на о с н о в а н и и биз-

нес-функций, например принадлежности к отделу п р о д а ж , м а р к е т и н г а и т. д.,

и соответствия бизнес-правилам, например р о л и и о т д е л ь н ы е п о л ь з о в а т е л и

могут получать доступ к 10 папкам.

Обе задачи управления можно решить при п о м о щ и г р у п п в каталоге. Р о л и

представлены группами, которые содержат пользователей, к о м п ь ю т е р ы и дру-

гие роли. Да, именно так: одни роли могут в к л ю ч а т ь другие. Н а п р и м е р , роль

Руководство может включать роли Коммерческие р у к о в о д и т е л и , Ф и н а н с о в ы е

руководители и Руководители производства. Такие правила, к а к о п р е д е л е н и е

права доступа чтения к 10 папкам, также представлены г р у п п а м и . Группы пра-

вил содержат группы ролей и, иногда, отдельных п о л ь з о в а т е л е й – т а к и х к а к

восемь пользователей в рассматриваемом примере, и л и к о м п ь ю т е р ы .

Для управления предприятием любого масштаба требуется э ф ф е к т и в н о руко-

водить группами и создать инфраструктуру групп с единым п у н к т о м управления

Занятие 1

Создание групп и управление ими 1 4 3

ролями и правилами. Технически это означает, что потребуются группы, члена-

ми которых могут быть пользователи, компьютеры, другие группы и, возможно,

принципалы б е з о п а с н о с т и из д р у г и х доменов.

Определение соглашений именования групп

Чтобы создать г р у п п у с п о м о щ ь ю о с н а с т к и Active Directory – пользователи

и компьютеры ( A c t i v e D i r e c t o r y Users And Computers), достаточно щелкнуть

правой кнопкой м ы ш и подразделение, в котором хотите создать группу, выбрать

опцию Создать ( N e w ) и п р и м е н и т ь команду Группа (Group). В диалоговом окне

Н о в ы й объект – Группа ( N e w O b j e c t – Group), представленном на рис. 4-2,

можно у к а з а т ь о с н о в н ы е с в о й с т в а д л я новой группы.

*J

'4 ^ Создать в: сопЮю.сот/Группы/Роли

Имя группы {лред-vyndows 3300):

–j Консультанты

" О б л а с т ь действия г р у п п ы – Т ^ п г р у п л ы —

j Г Локальна» в донене Г? Груша безопасности

i <* Глобальная f Группа распространения

j С Универсальная

Рис. 4-2. Создание новой группы

Вначале н у ж н о указать имена группы. Группа пользователей или компьюте-

ров может иметь н е с к о л ь к о имен. Первое и м я в поле И м я группы (Group Name)

и с п о л ь з у е т с я W i n d o w s 2000 и более п о з д н и м и системами для идентификации

объекта (см. рис. 4-2). Э т о и м я пр е о б р аз у ет с я в атрибуты сп и пате объекта.

Второе и м я п р е д – W i n d o w s 2000 представляет атрибут sAMAccountName, служа-

щ и й д л я и д е н т и ф и к а ц и и г р у п п ы на компьютерах Microsoft Windows NT 4.0 и в

некоторых у с т р о й с т в а х , т а к и х к а к сетевые хранилища данных NAS (Network

Attached Storage), в о п е р а ц и о н н ы х системах не из семейства Windows. Атрибу-

ты сп и пате не могут п о в т о р я т ь с я только внутри контейнера (подразделения),

где создана группа.

Атрибут sAMAccountName д о л ж е н быть у н и к а л ь н ы м во всем домене. Тех-

нически д а н н ы й а т р и б у т sAMAccountName может содержать значение, отли-

ч а ю щ е е с я от сп и пате, о д н а к о д е л а т ь т а к не рекомендуется. И с п о л ь з у й т е

имя, у н и к а л ь н о е в домене, и в в е д и т е его в оба п о л я диалогового окна Н о в ы й

объект – Группа ( N e w O b j e c t – G r o u p ) .

С п о м о щ ь ю в ы б р а н н о г о и м е н и вы будете ежедневно управлять группой

и предприятием. Рекомендуется следовать соглашению именования, по которому

144 Группы t

Глава 4

имя идентифицирует тип и назначение группы. В к а ч е с т в е п р и м е р а м о ж н о

привести имя группы ACL_Sales F o l d e r _ R e a d из п р е д ы д у щ е г о подраздела.

Префикс означает, что группа служит для н а з н а ч е н и я прав доступа к папке и

используется в списках контроля доступа ACL. О с н о в н а я часть и м е н и описы-

вает ресурс, управляемый группой. С у ф ф и к с указывает, что группа управляет

доступом чтения. Разделитель (в данном случае с и м в о л п о д ч е р к и в а н и я ) слу-

жит для разделения составляющих имени. Отметим, что р а з д е л и т е л ь не ставят

между словами Sales и Folder. В именах групп м о ж н о и с п о л ь з о в а т ь пробелы.

Для ссылки на эти группы в командной строке такие и м е н а н у ж н о заключать

в кавычки. Вы можете создать сценарии, к о т о р ы е и с п о л ь з у ю т р а з д е л и т е л ь

для разложения имен групп на составляющие с ц е л ы о а у д и т а и отчетности.

Помните, что группы ролей, определяющие р о л и п о л ь з о в а т е л е й , часто будут

применяться неопытными в техническом о т н о ш е н и и с о т р у д н и к а м и . Н а п р и -

мер, группе продаж можно назначить электронный адрес д л я р а с п р о с т р а н е н и я

электронной почты. Поэтому рекомендуется не и с п о л ь з о в а т ь в и м е н а х групп

ролей префиксы и назначать понятные пользователю имена.

Типы групп

Существует два типа групп: безопасности и р а с п р о с т р а н е н и я . П р и создании

группы нужно выбрать ее тип в диалоговом окне Н о в ы й объект – Группа (New

Object – Group).

Группы распространения изначально и с п о л ь з у ю т с я п р и л о ж е н и я м и элек-

тронной почты. Эти группы – не субъекты б е з о п а с н о с т и и не с о д е р ж а т S I D -

идентификаторы. Поэтому им нельзя назначать р а з р е ш е н и я доступа к ресурсам.

Сообщение, отправленное группе распространения, будет п е р е с л а н о всем ее

членам.

Группы безопасности представляют собой п р и н ц и п а л ы безопасности с SID-

идентификаторами. Поэтому такие группы м о ж н о и с п о л ь з о в а т ь к а к э л е м е н т ы

разрешений в списках ACL для управления безопасностью д о с т у п а к,ресурсам.

Группы безопасности могут также служить п р и л о ж е н и я м э л е к т р о н н о й почты

в качестве групп распространения. Если группа будет и с п о л ь з о в а т ь с я д л я управ-

ления безопасностью, она должна быть группой б е з о п а с н о с т и .

Поскольку группы безопасности можно п р и м е н я т ь и д л я доступа к ресур-

сам, и для распространения электронной почты, многие о р г а н и з а ц и и использу-

ют только группы безопасности. Тем не менее если г р у п п а будет п р и м е н я т ь с я

только для распространения электронной почты, р е к о м е н д у е т с я создать группу

распространения. Иначе группе будет назначен S I D – и д е н т и ф и к а т о р , к о т о р ы й

добавляется в маркер безопасности доступа п о л ь з о в а т е л я , у в е л и ч и в а я таким

образом его размер.

Область действия группы

Группы содержат пользователей, компьютеры и ц е л ы е г р у п п ы . Группы могут

быть членами других групп. На группы могут с с ы л а т ь с я с п и с к и ACL, ф и л ь -

тры объектов групповой политики и другие к о м п о н е н т ы у п р а в л е н и я . Область

действия влияет на все эти характеристики группы: к а к и е ч л е н ы могут в нее

Занятие 1

Создание групп и управление ими

145

входить, к к а к и м г р у п п а м она м о ж е т п р и н а д л е ж а т ь и где использоваться. Су-

ществует четыре области д е й с т в и я : глобальная, локальная в домене, локальная

и универсальная.

Характеристики, о п р е д е л я ю щ и е к а ж д у ю область действия, распределены

по следующим к а т е г о р и я м .

• Р е п л и к а ц и я Где о п р е д е л е н а группа и на какие системы выполняется ее

р е п л и к а ц и я .

• Ч л е н с т в о Какие т и п ы п р и н ц и п а л о в безопасности группа может содержать

в качестве ч л е н о в . М о ж е т ли группа включать п р и н ц и п а л ы безопасности

из д о в е р е н н ы х д о м е н о в .

В главе 12 о п и с а н ы д о в е р и т е л ь н ы е с в я з и , и л и так называемые доверия.

Д о в е р и е п о з в о л я е т д о м е н у с с ы л а т ь с я на другой домен д л я проверки под-

л и н н о с т и п о л ь з о в а т е л я , в к л ю ч а т ь п р и н ц и п а л ы безопасности и з другого

д о м е н а в к а ч е с т в е ч л е н о в г р у п п ы и н а з н а ч а т ь р а з р е ш е н и я доступа д л я

п р и н ц и п а л о в б е з о п а с н о с т и в д р у г о м домене. Используемая терминология

может с б и т ь с толку. Е с л и д о м е н А доверяет домену Б, то домен А назы-

вается доверяющим, а д о м е н Б доверенным. Д о м е н А принимает учетные

д а н н ы е п о л ь з о в а т е л е й в д о м е н е Б. Он пересылает запросы пользователей

домена Б д л я п р о в е р к и п о д л и н н о с т и этих пользователей на контроллере до-

мена Б, п о с к о л ь к у д о в е р я е т х р а н и л и щ у объектов идентификации и службе

п р о в е р к и п о д л и н н о с т и в д о м е н е Б. Д о м е н А может добавлять принципалы

безопасности д о м е н а Б в г р у п п ы и списки ACL в домене А. Более подробные

с в е д е н и я м о ж н о н а й т и в главе 12.

СОВЕТ К Э К З А М Е Н У

В отношении членства в группе нужно помнить, что если домен А доверяет домену

Б, то домен Б называется доверенным, а его пользователи и глобальные группы могут

быть членами локальных групп в домене А. Кроме того, пользователям и глобальным

группам домена Б можно назначать разрешения доступа к ресурсам в домене А.

• Д о с т у п н о с т ь Где будет и с п о л ь з о в а т ь с я группа. М о ж н о ли включить эту

группу в д р у г у ю группу. М о ж н о ли добавить группу в список ACL.

Эти х а р а к т е р и с т и к и следует продумать при определении области действия

к а ж д о й г р у п п ы .

Л о к а л ь н ы е г р у п п ы

Л о к а л ь н ы е г р у п п ы о п р е д е л е н ы и д о с т у п н ы только на одном компьютере. Ло-

к а л ь н ы е г р у п п ы с о з д а ю т с я в базе д а н н ы х диспетчера безопасности учетных

записей S A M ( S e c u r i t y A c c o u n t s M a n a g e r ) рядового компьютера домена. Л о -

к а л ь н ы е г р у п п ы с о д е р ж а т с я на серверах и рабочих станциях. В рабочей груп-

пе л о к а л ь н ы е г р у п п ы и с п о л ь з у ю т с я д л я у п р а в л е н и я безопасностью ресурсов

в системе. Управление л о к а л ь н ы м и группами отдельных компьютеров в домене

слишком громоздко и по большей части не нужно. На рядовых членах домена не

рекомендуется создавать н а с т р а и в а е м ы е л о к а л ь н ы е группы. В доменной среде

нужно у п р а в л я т ь т о л ь к о л о к а л ь н ы м и г р у п п а м и в оснастке Active Directory —

146 Группы t

Глава 4

пользователи и компьютеры (Active Directory Users And C o m p u t e r s ) . Подведем

краткие итоги.

• Репликация Локальная группа о п р е д е л я е т с я т о л ь к о в л о к а л ь н о й базе

данных SAM рядового сервера домена. Эта группа и ее ч л е н с т в о не реп-

лицируются в другие системы.

• Членство Локальная группа может содержать с л е д у ю щ и е члены:

о все принципалы безопасности в домене: п о л ь з о в а т е л и , к о м п ь ю т е р ы ,

глобальные группы и локальные группы в домене;

о пользователи, компьютеры и г л о б а л ь н ы е г р у п п ы из л ю б о г о д о м е н а

в лесу;

о пользователи, компьютеры и глобальные г р у п п ы из лю б о го доверенного


    Ваша оценка произведения:

Популярные книги за неделю