355 500 произведений, 25 200 авторов.

Электронная библиотека книг » Dan Holme » Настройка Active Directory. Windows Server 2008 » Текст книги (страница 17)
Настройка Active Directory. Windows Server 2008
  • Текст добавлен: 8 октября 2016, 16:34

Текст книги "Настройка Active Directory. Windows Server 2008"


Автор книги: Dan Holme


Соавторы: Danielle Ruest,Nelson Ruest

Жанр:

   

ОС и Сети


сообщить о нарушении

Текущая страница: 17 (всего у книги 91 страниц)

леса contoso.com.

B. Л и н д а Митчелл, пользователь в домене tailpintoys.com леса contoso.com.

Г. Д ж е ф ф Ф о р д , п о л ь з о в а т е л ь в доверенном домене fabrikam.com парт-

н е р с к о й о р г а н и з а ц и и .

Д. М а й к Д а н с е г л и о , п о л ь з о в а т е л ь в домене contoso.com.

Е. Глобальная группа Администрация отдела продаж в домене contoso.com.

Ж. Л о к а л ь н а я г р у п п а К о м м е р ч е с к и е д и р е к т о р а в домене contoso.com.

3. Универсальная группа Менеджеры по продажам в Европе в лесу contoso.com.

Занятие 2. Автоматизация создания групп

и контроля за ними

На з а н я т и и 1 мы р а с с м о т р е л и с о з д а н и е группы, выбор области ее действия

и т и п а г р у п п ы , а т а к ж е н а с т р о й к у ч л е н с т в а в группе с п о м о щ ь ю оснастки

Active D i r e c t o r y – п о л ь з о в а т е л и и к о м п ь ю т е р ы (Active Directory Users And

C o m p u t e r s ) . Ч т о б ы с о з д а в а т ь н е с к о л ь к о групп одновременно и л и автоматизи-

ровать с о з д а н и е групп, следует и с п о л ь з о в а т ь другие инструменты. В главе 3

о п и с а н ы и н с т р у м е н т ы к о м а н д н о й с т р о к и и автоматизации, включая CSVDE,

LDIFDE, Dsadd, W i n d o w s P o w e r S h e l l и V B S c r i p t . Такие инструменты можно

п р и м е н я т ь т а к ж е д л я а в т о м а т и з а ц и и создания и у п р а в л е н и я объектами групп.

Н а э т о м з а н я т и и м ы р а с с м о т р и м у п р а в л е н и е ж и з н е н н ы м ц и к л о м объектов

групп с п о м о щ ь ю и н с т р у м е н т о в к о м а н д н о й с т р о к и и автоматизации.

Изучив материалы этого занятия, вы сможете:

S Создавать группы с помощью инструментов Dsadd, CSVDE и LDIFDE.

S Модифицировать членство в группах посредством инструментов Dsmod,

LDIFDE, Windows PowerShell и VBScript.

S Перечислить членов группы с помощью команды Dsget.

• Перемещать и удалять группы командами Dsmove и Dsrm.

Продолжительность занятия – около 45 мин.

158 Группы t

Глава 4

Создание групп с помощью команды Dsadd

С помощью команды Dsadd, описанной в главе 3, м о ж н о д о б а в л я т ь объекты

в Active Directory. Для добавления объекта в. группу н у ж н о в в е с т и к о м а н д у

dsadd group DN_zpynmt, где в качестве DN_zpynnu следует у к а з а т ь отличитель-

ное имя группы, например " C N – F i n a n c e M a n a g e r s , O U , = G r o u p s , D C = c o n t o s o ,

DC="com". Если отличительное имя содержит пробелы, з а к л ю ч и т е его в кавыч-

ки. Например, чтобы создать новую глобальную группу безопасности с именем

Маркетинг в подразделении Группы домена contoso.com, в в е д и т е с л е д у ю щ у ю

команду:

dsadd group «CN=MapKeTHHr,OU=rpynnH1OC=contoso,DC=com»

-samid Маркетинг -secgrp yes -scope g

Параметр DNjtpynnbi можно также указать с л е д у ю щ и м образом:

• Поместив в конвейер список D N – и м е н из д р у г о й к о м а н д ы , н а п р и м е р

Dsquery.

« Вводя каждое DN-имя в командную строку с п р о б е л о м в к а ч е с т в е разде-

лителя.

• Оставив параметр DN пустым и в в о д я по о д н о м у D N – и м е н и в к о н с о л ь

командной строки. После ввода каждого и м е н и н у ж н о н а ж и м а т ь к л а в и ш у

Enter, а после ввода последнего DN-имени – н а ж а т ь к л а в и ш и C t r l + Z .

Поскольку в командной строке можно указать н е с к о л ь к о D N – и м е н , разде-

ленных пробелами, команда Dsadd позволяет г е н е р и р о в а т ь м н о ж е с т в о г р у п п

одновременно. Команда Dsadd также может к о н ф и г у р и р о в а т ь а т р и б у т ы созда-

ваемых групп с помощью следующих о п ц и о н а л ь н ы х п а р а м е т р о в .

• Параметр -secgrp {yes | по } указывает тип группы: б е з о п а с н о с т ь (yes) и л и

распространение (по).

• Параметр -scope {lgu} определяет область д е й с т в и я г р у п п ы : л о к а л ь н а я

в домене (/), глобальная (g) или универсальная (и).

« Параметр -samid Имя указывает атрибут sAMAccountName г р у п п ы . Е с л и

он не задан, используется и м я группы из DN. Р е к о м е н д у е т с я н а з н а ч а т ь

одно имя для sAMAccountName и группы и не и с п о л ь з о в а т ь э т от п а р а м е т р

в команде Dsadd.

• Параметр -desc Описание конфигурирует о п и с а н и е г р у п п ы ,

• Параметр -members DN_nneua добавляет ч л е н ы в группу. Ч л е н ы н а з н а ч а -

ются указанием DN-имен в списке с р а з д е л и т е л ь н ы м и п р о б е л а м и .

• Параметр -memberof DN_zpynmi назначает н о в у ю г р у п п у ч л е н о м о д н о й

или нескольких существующих групп. Группы назначаются путем у к а з а н и я

DN-имен в списке с разделительными пробелами.

Импорт групп с помощью команды CSVDE

В главе 3 также описан инструмент CSVDE, к о т о р ы й и м п о р т и р у е т д а н н ы е из

файлов .csv. Этот инструмент может и э к с п о р т и р о в а т ь д а н н ы е в ф а й л .csv.

В следующем примере показан ф а й л .csv, к о т о р ы й создает г р у п п у М а р к е т и н г

Занятие 2

Автоматизация создания групп и контроля за ними -| 57

и включает в нее двух первоначальных пользователей – Линду Митчелл и Скот-

та М и т ч е л л а :

objectClass, sAMAccountName,DN,member

group,Маркетинг,"СМ=Наркетинг,Ои=Группы,DC=contoso,DC=com",

"С^Линда Митчелл, СШ=Кадры, DC=contoso, DC=com; C N = C K O T T Митчвлл,

Ои=Кадры, DC=contoso,DC=com"

О б ъ е к т ы , п е р е ч и с л е н н ы е в а т р и б у т е member, д о л ж н ы у ж е существовать

в службе каталогов. В столбце member их DN-имена разделены точкой с запятой.

Этот ф а й л м о ж н о и м п о р т и р о в а т ь в Active Directory посредством команды:

csvde -i -f «Имя_файла» [ – k ]

Параметр -i указывает р е ж и м импорта. Без этого параметра команда CSVDE

использует р е ж и м экспорта. П а р а м е т р – / в в о д и т с я перед именем файла, а пара-

метр – k п р е д п и с ы в а е т в ы п о л н я т ь обработку даже при возникновении ошибок.

СОВЕТ К ЭКЗАМЕНУ

Инструмент CSVDE можно использовать для создания объектов, но модифицировать

существующие объекты с его помощью нельзя. Инструмент CSVDE нельзя исполь-

зовать для импорта членов в существующие группы.

Управление группами с помощью команды LDIFDE

И н с т р у м е н т LDIFDE, о п и с а н н ы й в главе 3, импортирует и экспортирует фай-

лы в ф о р м а т е L D I F ( L i g h t w e i g h t D i r e ct o ry Access Protocol Data Interchange

Format). Текстовые ф а й л ы L D I F содержат операции, которые указаны блоками

строк, р а з д е л е н н ы х п у с т о й с т р о к о й . К а ж д а я о п е р а ц и я начинается с атрибу-

т а D N о б ъ е к т а , к о т о р ы й я в л я е т с я с у б ъ е к т о м операции. Следующая строка

changeType у к а з ы в а е т т и п о п е р а ц и и : add, modify и л и delete.

П р и в е д е н н ы й н и ж е ф а й л L D I F создает две группы с именами Финансы

и А н а л и з в п о д р а з д е л е н и и Группы д о м е н а contoso.com:

ON: CN=«HHaHCbi,OU=rpynnbi,DC=contoso, DC=com

changeType: add

CN: Финансы

description: Пользователи финансового отдела

objectClass: group

sAMAccountName: Финансы

DN: CN=Aнaлиз, СШ=Группы,DC=contoso,DC=com

changeType: add

CN: Анализ

description: Пользователи отдела анализа

objectClass: group

sAMAccountName: Анализ

По с у щ е с т в у ю щ и м с о г л а ш е н и я м , ф а й л следует сохранить с расширением

.ldf, н а п р и м е р Groups.ldf. Д л я и м п о р т а групп в каталог выполните такую ко-

манду Ldifde.exe:

l d i f d e – i – f groups.ldf

160 Группы t

Глава 4

Модификация членства в группе посредством к о м а н д ы LDIFDE

Инструмент LDIFDE можно также применять для м о д и ф и к а ц и и существующих

объектов в Active Directory, назначая операции, в строке changeType которых

указан тип modify. Чтобы добавить два члена в группу Ф и н а н с ы , м о ж н о ис-

пользовать следующий файл LDIF:

fln: СН=Финансы, 01)=Группы, DC=contoso, DC=com

changetype: modify

add: member

member: CN=3np«n Стоарт,OU=Kaflpu,dc=contoso,dc=com

member: CN=MaiiK Фитцморис,011=Кадры,dc=contoso,dc=com

В строке changeType указан тнп modify, после чего о п р е д е л е н а о п е р а ц и я

изменения: добавление (add) объектов в атрибут member. З а т е м к а ж д ы й н о в ы й

член следует в отдельной строке, которая начинается с и м е н и а т р и б у т а member.

Операция изменения завершается строкой, с о д е р ж а щ е й о д н о д л и н н о е тире.

Если вместо третьей строки ввести

delete: menber

два указанных члена будут удалены из группы:

Извлечение данных о членстве в группе

с помощью команды Dsget

Команды Dsmod и Dsget, описанные в главе 3, м о ж н о и с п о л ь з о в а т ь д л я у п р а в -

ления членством объектов в группах. В оснастке Active D i r e c t o r y – п о л ь з о -

ватели и компьютеры (Active Directory Users And C o m p u t e r s ) нет о п ц и и д л я

перечисления всех членов группы, в к л ю ч а я в л о ж е н н ы е ч л е н ы . Вы м о ж е т е

просмотреть лишь список непосредственных членов г р у п п ы на в к л а д к е Ч л е н ы

группы (Members) диалогового окна свойств группы. В э т о й о с н а с т к е т а к ж е

нельзя просмотреть все группы, к которым п р и н ад ле ж и т пользователь, в к л ю ч а я

вложенные группы. Вы можете просмотреть л и ш ь д а н н ы е н е п о с р е д с т в е н н о г о

членства на вкладке Член групп (Member O f ) д и а л о г о в о г о о к н а с в о й с т в поль-

зователя или компьютера.

Используя следующий синтаксис, посредством к о м а н д ы Dsget м о ж н о из-

. влечь полный список членов группы, включая в л о ж е н н ы е ч л е н ы :

dsget group «0Н_группы» -members [-expand]

Опция expand извлекает члены в л о ж е н н ы х групп.

Аналогично, команду Dsget м о ж н о п р и м е н я т ь д л я и з в л е ч е н и я п о л н о г о

списка групп, к которым принадлежит п о л ь з о в а т е л ь и л и к о м п ь ю т е р , у к а з а в

опцию expand-.

dsget user " ОН_пользователя" -memberof [-expand]

dsget computer «ОН_котьмера» -memberof [-expand]

Опция memberof возвращает значение а т р и б у т а memberOf п о л ь з о в а т е л я

или компьютера, отображая группы, к к о т о р ы м о б ъ е к т п р и н а д л е ж и т непос-

редственно. При добавлении опции expand в э т и х г р у п п а х будет в ы п о л н е н

рекурсивный поиск и будет извлечен список всех г р у п п в домене, к ко т оры м

принадлежит пользователь.

Занятие 2

Автоматизация создания групп и контроля за ними -| 57

Изменение членства в группе с помощью команды Dsmod

Команда Dsmod п р и м е н я л а с ь на з а н я т и и 1 для модификации области действия

и т и п а группы. Д а л е е п р и в е д е н б а з о в ы й синтаксис этой команды:

dsmod group «0Н_группы» [ o p t i o n s ]

С п о м о щ ь ю т а к и х опций, как samid и desc, можно модифицировать атрибуты

sAMAccountName и description объекта. Однако еще удобнее опции, позволяющие

м о д и ф и ц и р о в а т ь ч л е н с т в о в группе:

• о п ц и я -addmbr "DNjweua " д о б а в л я е т члены в группу;

• о п ц и я -rmmbr 'ЪЫ_члена" у д а л я е т член из группы.

К а к и в с л у ч а е со в с е м и к о м а н д а м и DS, параметр DN_4nena представляет

отличительное и м я еще одного объекта Active Directory (если это имя содержит

пробелы, его н у ж н о з а к л ю ч и т ь в кавычки). В команде можно указать множество

D N – и м е н , р а з д е л е н н ы х п р о б е л а м и . Н а п р и м е р , чтобы добавить пользователя

М а й к а Д а н с е г л и о в г р у п п у Анализ, м о ж н о использовать команду Dsmod:

dsmod group «С^Анализ,011=Группы,DC=contoso,pC=com»

-addmbr «СЫ=Найк Дансеглио,СШ=Кадры,DC=contoso,DC=com»

К о м а н д у Dsget м о ж н о и с п о л ь з о в а т ь в комбинации с командой Dsmod для

к о п и р о в а н и я д а н н ы х ч л е н с т в а г р у п п ы . В следующем примере команда Dsget

и с п о л ь з у е т с я д л я и з в л е ч е н и я и н ф о р м а ц и и обо всех членах группы Продажи,

а затем, путем п о м е щ е н и я п о л у ч е н н о г о списка в конвейер команды Dsmod, эти

п о л ь з о в а т е л и д о б а в л я ю т с я в г р у п п у Маркетинг:

dsget group «СМ=Продажи,Ои=Группы,DC=contoso,DC=com» -members |

dsmod group "CN=MapKe™Hr,OU=rpynnbi,DC=contoso,DC=com" -addmbr

Перемещение и переименование групп

с помощью команды Dsmove

С п о м о щ ь ю к о м а н д ы Dsmove, т а к ж е о п и с а н н о й в главе 3, можно переместить

и л и п е р е и м е н о в а т ь о б ъ е к т в домене. Э т у к о м а н д у нельзя использовать д л я

п е р е м е щ е н и я о б ъ е к т о в из одного д о м е н а в другой: Далее приведен базовый

с и н т а к с и с э т о й к о м а н д ы :

dsmove 0Ы_объекта [-newname Новое_имя] [-newparent ОИ_конечного_подразделения]

Вместо п а р а м е т р а DN_o6beuma н у ж н о указать отличительное имя объекта.

Д л я п е р е и м е н о в а н и я о б ъ е к т а ' у к а ж и т е его новое имя в параметре newname. Что-

бы п е р е м е с т и т ь о б ъ е к т в н о в о е место, у к а ж и т е отличительное имя конечного

к о н т е й н е р а в п а р а м е т р е newparent.

Н а п р и м е р , ч т о б ы н а з н а ч и т ь г р у п п е Маркетинг новое имя Отдел рекламы,

введите с л е д у ю щ у ю к о м а н д у :

dsmove «С^Маркетинг, Ои=Группы, DC=contoso, DC=com»

-newname «Отдел рекламы» :

Ч т о б ы затем п е р е м е с т и т ь эту группу в подразделение Маркетинг, введите

т а к у ю команду:

dsmove «СМ=0тдел рекламы, СШ=Группы,DC=contoso,DC=com»

-newparent «ОЦ=Маркетинг,DC=contoso,DC=com»

1 6 2 Группы t

Глава 4

ПРИМЕЧАНИЕ Перемещение и переименование групп

Группу можно переместить или переименовать также в оснастке Active Directo-

r y - пользователи и компьютеры (Active Directory Users And Computers), щелкнув

группу право Л кнопкой мышн н выбрав в контекстном меню команду Переместить

(Move) или Переименовать (Rename).

Удаление групп с помощью команды Dsrm

С помощью команды Dsrm можно удалить группу и л ю б о й объект Active Direc-

tor)'- Далее приведен базовый синтаксис команды Dsrm:

as г» ок.обшт» [-subtree [-exclude]] [-noproapt] [ – с ]

В качестве параметра йМ_обьекта следует указать о т л и ч и т е л ь н о е и м я объ-

екта. Если не указать параметр noprompt, к о м а н д а п р е д л о ж и т п о д т в е р ж д а т ь

удаление каждого объекта. Переключатель -с запускает к о м а н д у Dsrm в р е ж и -

ме операций, в котором выводятся сообщения об о ш и б к а х , о д н а к о п р и этом

команда продолжает обработку дополнительных объектов. Б е з п е р е к л ю ч а т е л я

–с обработка остановится при первой ошибке.

Чтобы удалить группу Отдел рекламы, введите с л е д у ю щ у ю к о м а н д у :

dsn «СК'О'деп реклам*.ОИ'Маркетииг, DOcontoso, DOcon»

Удалить группу можно также в оснастке Active D i r e c t o r y – п о л ь з о в а т е л и

и компьютеры (Active Directory Users And C o m p u t e r s ) , щ е л к н у в г р у п п у правой

кнопкой мыши и применив команду Удалить ( D e l e t e ) .

ПРИМЕЧАНИЕ Последствия удаления группы

При удалении группы удаляется точка управления и организации. Поэтому убеди-

тесь, что в среде нет разрешений доступа или других ресурсов, ссылающихся на эту

группу. Удаление группы представляет собой серьезную операцию с возможными

последствиями. Перед удалением группы рекомендуется записать данные о членстве

в ней н в течение некоторого периода времени удалить все члены группы, чтобы

проверить, потеряют ли эти члены (оставшиеся в других группах) доступ к каким-

либо ресурсам. Если что-то пойдет не так, добавьте удаленные члены заново. Если

доступ всех членов останется неизменным, можете удалить группу.

Управление членством в группе

с помощью Windows PowerShell и VBScript

На сертификационном экзамене вряд ли потребуется з н а т ь все т о н к о с т и уп-

равления членством в группах, поэтому их у гл у б ле н н о е о п и с а н и е не в к л ю ч е н о

в это руководство.

Тем не менее основы знать не помешает. В V B S c r i p t и W i n d o w s P o w e r S h e l l

существует несколько способов м а н и п у л и р о в а н и я ч л е н с т в о м в г р у п п а х (ат-

рибутом member), однако чаще всего используется с л е д у ю щ а я э ф ф е к т и в н а я

методика.

Определите атрибут aDSPath члена. Атрибут aDSPath п р е д с т а в л я ю т в ф о р -

мате LDAP ://ia>.

2– Подключитесь к группе.

Занятие 2

Автоматизация создания групп и контроля за ними -| 57

3. И с п о л ь з у й т е м е т о д Add и л и Remove о б ъ е к т а группы, указав параметр

aDSPath.

Д а л е е п о к а з а н п р и м е р с ц е н а р и я W i n d o w s PowerShell, который добавляет

пользователя М а й к а Д а н с е г л и о в группу Анализ:

JMemberADSPath = "LDAP://CN=HaiiK Дансеглио,OU=Kaflpbi,DC=contoso,DC=com"

JobjGroup = [ADSI]"LDAP://СМ=Анализ, Ои=Группы,DC=contoso,DC=com"

JobjGroup, Add ($MemDerADSPath)

А н а л о г и ч н ы й с ц е н а р и й V B S c r i p t в ы г л я д и т следующим образом:

HemberADSPath = «LDAP://CN=MaiiK Дансеглио,OU=Kaflpu,DC=contoso,DC=com»

Set ObjGroup = GetObject(«LDAP: //СИ=Анализ, Ои=Группы, DC=contoso, DC=com»)

objGroup.Add MemberADSPath

Ч т о б ы у д а л и т ь ч л е н ы г р у п п ы , в м е с т о Add и с п о л ь з у й т е метод Remove.

В о с т а л ь н о м с ц е н а р и й не м е н я е т с я .

Практические занятия. Автоматизация создания

и контроля групп

В п р е д л о ж е н н ы х д а л е е у п р а ж н е н и я х вы и с п о л ь з у е т е команды DS, CSVDE

и LDIFDE д л я р е ш е н и я задач у п р а в л е н и я группами. Перед выполнением уп-

р а ж н е н и й в д о м е н е c o n t o s o . c o m н у ж н о создать следующие объекты:

• п о д р а з д е л е н и е п е р в о г о у р о в н я Группы;

• п о д р а з д е л е н и е п е р в о г о у р о в н я Кадры;

• объекты в п о д р а з д е л е н и и Кадры для пользователей Линды Митчелл, Скотта

М и т ч е л л а , Д ж е ф ф а Ф о р д а , М а й к а Фитцмориса, Майка Дансеглио, Эприл

С т ю а р т и Т о н и К р а й н е н а .

К р о м е того, у д а л и т е все г р у п п ы с им е на ми Ф и н а н с ы и Бухгалтерия.

Упражнение 1. Создание группы с помощью команды Dsadd

В этом у п р а ж н е н и и вы с о з д а д и т е группу посредством команды Dsadd. Исполь-

зуя эту команду, м о ж н о создать группу и даже назначить членство в этой группе.

1. В о й д и т е на м а ш и н у S E R V E R 0 1 как администратор.

2. О т к р о й т е о к н о к о м а н д н о й строки, введите приведенную ниже команду

в о д н о й строке. З а т е м н а ж м и т е к л а в и ш у Enter.

dsadd group «CN=®HHaHca,OU=rpynnu,DC=contoso,DC=com»

-samid Финансы -secgrp yes -scope g

3. О т к р о й т е о с н а с т к у Active D i r e c to r y – пользователи и компьютеры (Active

Directory Users And C o m p u t e r s ) и убедитесь, что группа успешно создана.

Если во в р е м я в ы п о л н е н и я шага 2 эта оснастка была открыта, обновите

представление.

Упражнение 2. Импорт групп с помощью команды CSVDE

1. Войдите на м а ш и н у S E R V E R 0 1 как администратор.

2. Откройте программу Б л о к н о т (Notepad) и введите следующие строки (каж-

д ы й абзац н у ж н о ввести в о т д е л ь н у ю строку текста без знаков абзаца):

• objectClass.sAMAccountName,DN,member

164 Группы t

Глава 4

• group, Бухгалтерия, "СН=Бухгалтерия, ОИ=Группы, DC=contoso, DC=com",

"СМ=Линда Митчелл, 011=Кадры, DC=contoso, DC=com; C N = C K O T T Митчелл,

01)=Кадры, DC=contoso, DC=com"

3. Сохраните этот ф а й л в п а п к е Д о к у м е н т ы ( D o c u m e n t s ) п о д и м е н е м

"Importgroups.csv", заключенным в кавычки, чтобы п р о г р а м м а Б л о к н о т не

добавила расширение .txt.

4. Откройте окно командной строки и введите с л е д у ю щ у ю к о м а н д у :

csvde -i -f "%userprofile%importgroups.csv"

5. Откройте оснастку Active Directory – п о л ь з о в а т е л и и к о м п ь ю т е р ы (Active

Directory Users And Computers) и убедитесь, что г р у п п а у с п е ш н о создана.

Если во время выполнения шага 4 эта оснастка б ы л а о т к р ы т а , обновите

представление.

Упражнение 3. Модификация членства в г р у п п е с п о м о щ ь ю к о м а н д ы LDIFDE

Инструмент CSVDE не может модифицировать членство в с у щ е с т в у ю щ и х груп-

пах, зато такие изменения можно вносить с п о м о щ ь ю к о м а н д ы LDIFDE. В этом

упражнении вы используете инструмент LDIFDE д л я м о д и ф и к а ц и и членства

в группе Бухгалтерия, импортированной в у п р а ж н е н и и 2.

1. Откройте программу Блокнот (Notepad) и в в е д и т е с л е д у ю щ и е с т р о к и :

dn: CN=ByxranTepKH,OU=rpynnbi,DC=contoso,DC=com j

changetype: modify j

add: member j

member: СМ=Эприл Стюарт,ои=Кадры,dc=contoso,dc=com

member: CN=MaiK ®HTUMopHC,OU=Kaflpu,dc=contoso,dc=com f

i S i E

dn: CN=ByxranTepHa,OU=rpynnu,DC=contoso,DC=com I

changetype: modify ^

delete: member |

member: СМ=Линда Митчелл,OU=KaflpH,dc=contoso,dc=com j

Обязательно вставляйте тире после каждого блока и п у с т у ю с т р о к у между Ь

двумя блоками строк. |

2. Сохраните файл в папке Документы ( D o c u m e n t s ) под именем "Membership– J

change.ldf", заключенным в кавычки, чтобы программа Б л о к н о т не добавила •

расширение .txt. f

3. Откройте окно командной строки. ;;

4. Введите следующую команду и нажмите к л а в и ш у Enter. J,

Idifde -i -f "%userprofile%documentsmembershipchange.ldf"

5. Откройте оснастку Active Directory – пользователи и к о м п ь ю т е р ы (Activet

Directory Users And Computers) и убедитесь в и з м е н е н и и ч л е н с т в а в группе f»'

Бухгалтерия в соответствии с инструкциями ф а й л а LDIF. Теперь группа

должна включать членов Э п р и л Стюарт, М а й к а Ф и т ц м о р и с а и Скотта^

Митчелла – ^

Занятие 2

Автоматизация создания групп и контроля за ними -| 57

Упражнение 4. Модификация членства в группе командой Dsmod

В этом упражнении с помощью команды Dsmod вы добавите группу и пользо-

вателя в группу Финансы.

1. Откройте окно командной строки.

2. Введите следующую команду для изменения членства в группе Финансы:

dsmod group "CN=®MHaHcu,OU=rpynnbi,DC=contoso1DC=com" -addmbr "CN=Tom Крайней,

Ои=Кадры, DC=contoso! ОС=сот'.'"С^=Бухгалтерия, 011=Группы, DC=contoso,DC=com"

3. В оснастке Active Directory – пользователи и компьютеры (Active Directory

Users And Computers) убедитесь, что группа Финансы теперь содержит

пользователя Тони Крайнена и группу Бухгалтерия.

Упражнение 5. Подтверждение членства в группе с помощью команды Dsget

Посредством оснастки Active Directory – пользователи и компьютеры (Active

Directory Users And Computers) оценить членство в группе сложно, зато просто

сделать это при помощи команды Dsget. В этом упражнении вы просмотрите

все данные о членстве в группе и членстве пользователя в группах.

1. Откройте окно командной строки.

2. Перечислите непосредственных членов группы Бухгалтерия, набрав сле-

дующую команду и нажав клавишу Enter:

dsget group "CN=Byx^TepMq,OU=rpynnu,DC=contoso,DC=com" -members

3. Перечислите непосредственных членов группы Финансы, набрав следую-

щую команду и нажав клавишу Enter:

dsget group "CN=®MHaHCbi,OU=rpynnbi,DC=contoso,DC=com" -members

4. Извлеките полный список членов группы Финансы, набрав следующую

•команду и нажав клавишу Enter:

dsget group "CN=®HHaHCbi,OU=rpynnu,DC=contoso,DC=com" -members -expand

5. Перечислите группы, непосредственным членом которых является поль-

зователь Скотт Митчелл, набрав следующую команду и нажав клавишу

Enter:

d s g e t u s e r "CN=CKOTT Митчелл,ОИ=Кадры,DC=contoso,DC=com" -memberof

6. Перечислите все группы, членом которых непосредственно или в составе

других групп является пользователь Скотт Митчелл, набрав следующую

команду и нажав клавишу Enter:

dsget user "CN=CKOTT Митчёлл,:Ои=Кадры, DC=contoso, DC=com" -memberof -expand

Резюме

• Группы можно создавать с помощью команд Dsadd, CSVDE и LDIFDE.

• Командами LDIFDE и Dsmod можно модифицировать членство в сущест-

вующих группах. .

• Посредством команды Dsget можно извлечь полный список всех членов

группы, а также полный список групп, к которым принадлежит пользова-

тель, включая вложенные группы.

1 6 6 Группы t

Глава 4

Закрепление материала

Следующие вопросы можно использовать д л я п р о в е р к и з н а н и й , п о л у ч е н н ы х

на занятии 2. Эти вопросы есть на сопроводительном к о м п а к т – д и с к е .

ПРИМЕЧАНИЕ Ответы

Ответы на эти вопросы с пояснениями, почему тот или иной вариант ответа пра-

вилен или неверен, вы найдете в разделе «Ответы» в конце книги.

1. Какую из следующих команд можно и с п о л ь з о в а т ь д л я у д а л е н и я ч л е н о в из

группы? (Укажите все варианты.)

A. Remove-Item.

Б. Dsrm.

B. Dsmod.

Г. LDIFDE.

Д. CSVDE.

2. Вы используете команду Dsmod д л я д о б а в л е н и я л о к а л ь н о й г р у п п ы А доме-

на в глобальную группу Б. При в ы п о л н е н и и к о м а н д ы в о з н и к а ю т о ш и б к и .

Какая команда поможет решить проблему, ч т о б ы г р у п п у А м о ж н о б ы л о

добавить в группу Б? (Укажите все в а р и а н т ы . )

A. Dsrm.exe.

Б. Dsmod.exe.

B. Dsquery.exe.

Г. Dsget.exe.

3. Ваш руководитель потребовал список всех п о л ь з о в а т е л е й , п р и н а д л е ж а щ и х

к группе Специальный проект, в том ч и с л е ч л е н о в г р у п п , в к л ю ч е н н ы х в

группу Специальный проект. Какую из с л е д у ю щ и х к о м а н д м о ж н о и с п о л ь -

зовать для извлечения такого списка?

A. Get-Members.

Б. Dsquery.exe.

B. LDIFDE.

Г. Dsget.exe.

Занятие 3. Администрирование групп

на предприятии

На занятиях 1 и 2 вы подготовились к решению е ж е д н е в н ы х задач а д м и н и с т р и -

рования групп в Active Directory. Мы обсудили, как создавать, м о д и ф и ц и р о в а т ь

и удалять группы с помощью различных и н с т р у м е н т о в и п р о ц е д у р . ,

На этом занятии мы рассмотрим и с п о л ь з о в а н и е а т р и б у т о в групп, приме-

няемых для документирования групп, д е л е г и р о в а н и я . у п р а в л е н и я ч л е н с т в о м

в них другим администраторам, а также о т к л ю ч е н и е н е к о т о р ы х г р у п п Active

Directory и Windows по умолчанию.

Занятие 3

Администрирование групп на предприятии 190

Изучив материал этого занятия, вы сможете:

/ Документировать назначение группы с помощью атрибутов группы.

/ Предотвратить случайное удаление группы.

/ Делегировать управление членством в группе.

/ Создать теневую группу.

• Определять группы домена по умолчанию и управлять ими.

/ Назначать разрешения доступа особым объектам идентификации.

Продолжительность занятия – около 45 мин.

рекомендуемые методики группирования атрибутов

Создать г р у п п у в Active Directory не составляет труда. Намного сложнее гаран-

тировать к о р р е к т н о е и с п о л ь з о в а н и е группы. Управление группой и ее приме-

нение м о ж н о подкорректировать, указав ее назначение, чтобы администраторы

знали, как и когда и с п о л ь з о в а т ь эту группу.. Существует несколько рекоменду-

емых методик, к о т о р ы е вряд ли будут включены в сертификационный экзамен,

но помогут в а м в а д м и н и с т р и р о в а н и и групп предприятия.

• У с т а н о в л е н и е и в ы п о л н е н и е с о г л а ш е н и я с т р о г о г о и м е н о в а н и я Реко-

м е н д у е м о е с о г л а ш е н и е об и м е н о в а н и и описано на занятии 1. Следование

с т а н д а р т а м и м е н о в а н и я групп п о в ы с и т э ф ф е к т и в н о с т ь работы админист-

раторов. П р е ф и к с д л я у к а з а н и я н а з н а ч е н и я группы и согласованный раз-

д е л и т е л ь м е ж д у п р е ф и к с о м и описательной частью имени группы поможет

п р а в и л ь н о в ы б р а т ь г р у п п у д л я о п р е д е л е н н о й цели. Например, префикс

А Р Р м о ж н о и с п о л ь з о в а т ь д л я назначения групп, управляющих приложе-

н и я м и , а с п о м о щ ь ю п р е ф и к с а ACL м о ж н о и д е н т и ф и ц и р о в а т ь группы,

к о т о р ы м н а з н а ч е н ы р а з р е ш е н и я доступа к спискам контроля доступа ACL

(Access C o n t r o l List). Б л а г о д а р я э т и м префиксам легче понять назначение

групп с т а к и м и и м е н а м и , ка к A P P _ A c c o u n t i n g и ACL_Accounting_Read,

и л и о т ы с к а т ь э т и г р у п п ы . П е р в а я группа используется д л я управления

р а з в е р т ы в а н и е м бухгалтерского программного обеспечения, а вторая предр-

ставляет д о с т у п ч т е н и я к спискам ACL папки Accounting. Префиксы также

п о з в о л я ю т г р у п п и р о в а т ь имена групп в пользовательском интерфейсе, как

показано в п р и м е р е на рис. 4-7. Ч т о б ы отыскать группу, с помощью которой

н а з н а ч а ю т с я р а з р е ш е н и я доступа к папке, вы можете ввести в диалоговое

окно В ы б о р ( S e l e c t ) п р е ф и к с ACL_ и щелкнуть ОК. Откроется диалоговое

окно Н а й д е н о н е с к о л ь к о и м е н ( M u l t i p l e Names Found) со списком имен

групп с п р е ф и к с о м ACL_, в котором можно сразу выбрать группу для уп-

р а в л е н и я д о с т у п о м к ресурсу.

• У к а з а н и е н а з н а ч е н и я г р у п п ы с п о м о щ ь ю атрибута description Д л я указа-

ния цели г р у п п ы м о ж н о п р и м е н я т ь атрибут описания description.. Поскольку

в панель с в е д е н и й оснастки Active Directory – пользователи и компьютеры

(Active D i r e c t o r y U s e r s and C o m p u t e r s ) по у м о л ч а н и ю включен столбец

О п и с а н и е ( D e s c r i p t i o n ) , а д м и н и с т р а т о р ы сразу смогут определить в нем

н а з н а ч е н и е г р у п п ы .

191 Группы t

Глава 4

jJzJ

I В nxma

L соПсмз can/! га

AG_Acc

АО._Ссоег_лрв*гчхв cortoto confi •

ACi^fiUduet_Pe4S«n«ic coftoto com't-

*CL_Bulj«<_4re«* cortoeo

c

c

W

T

ACL_Compjny£har«_4T« cortooo с«пЛ I

J j

Рис. 4-7. Выбор группы no префиксу с целью с о к р а щ е н и я с п и с к а г р у п п в п о и с к е

• Подробные сведения о назначении группы в з а м е т к а х П о л е З а м е т к и

(Notes) в нижней части вкладки Общие ( G e n e r a l ) д и а л о г о в о г о о к н а С в о й с -

тва (Properties) группы можно использовать д л я д о к у м е н т и р о в а н и я н а -

значения группы. Например, вы можете п е р е ч и с л и т ь п а п к и , р а з р е ш е н и я

доступа к которым имеет группа (рис. 4-8).

1 С 'ifTTI а*зх«

Ф

М

Ш а

budMpXT]

н/п/юяг» [UMT]

Оп-г– I ГЪмв»*,

Рис. 4-8. Диалоговое окно свойств группы с полем з а м е т о к ,

где указаны данные о назначении группы

Защита групп от случайного удаления

Удаление группы серьезно влияет на а д м и н и с т р и р о в а н и е и б е з о п а с н о с т ь . Р а с -


    Ваша оценка произведения:

Популярные книги за неделю