Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 17 (всего у книги 91 страниц)
леса contoso.com.
B. Л и н д а Митчелл, пользователь в домене tailpintoys.com леса contoso.com.
Г. Д ж е ф ф Ф о р д , п о л ь з о в а т е л ь в доверенном домене fabrikam.com парт-
н е р с к о й о р г а н и з а ц и и .
Д. М а й к Д а н с е г л и о , п о л ь з о в а т е л ь в домене contoso.com.
Е. Глобальная группа Администрация отдела продаж в домене contoso.com.
Ж. Л о к а л ь н а я г р у п п а К о м м е р ч е с к и е д и р е к т о р а в домене contoso.com.
3. Универсальная группа Менеджеры по продажам в Европе в лесу contoso.com.
Занятие 2. Автоматизация создания групп
и контроля за ними
На з а н я т и и 1 мы р а с с м о т р е л и с о з д а н и е группы, выбор области ее действия
и т и п а г р у п п ы , а т а к ж е н а с т р о й к у ч л е н с т в а в группе с п о м о щ ь ю оснастки
Active D i r e c t o r y – п о л ь з о в а т е л и и к о м п ь ю т е р ы (Active Directory Users And
C o m p u t e r s ) . Ч т о б ы с о з д а в а т ь н е с к о л ь к о групп одновременно и л и автоматизи-
ровать с о з д а н и е групп, следует и с п о л ь з о в а т ь другие инструменты. В главе 3
о п и с а н ы и н с т р у м е н т ы к о м а н д н о й с т р о к и и автоматизации, включая CSVDE,
LDIFDE, Dsadd, W i n d o w s P o w e r S h e l l и V B S c r i p t . Такие инструменты можно
п р и м е н я т ь т а к ж е д л я а в т о м а т и з а ц и и создания и у п р а в л е н и я объектами групп.
Н а э т о м з а н я т и и м ы р а с с м о т р и м у п р а в л е н и е ж и з н е н н ы м ц и к л о м объектов
групп с п о м о щ ь ю и н с т р у м е н т о в к о м а н д н о й с т р о к и и автоматизации.
Изучив материалы этого занятия, вы сможете:
S Создавать группы с помощью инструментов Dsadd, CSVDE и LDIFDE.
S Модифицировать членство в группах посредством инструментов Dsmod,
LDIFDE, Windows PowerShell и VBScript.
S Перечислить членов группы с помощью команды Dsget.
• Перемещать и удалять группы командами Dsmove и Dsrm.
Продолжительность занятия – около 45 мин.
158 Группы t
Глава 4
Создание групп с помощью команды Dsadd
С помощью команды Dsadd, описанной в главе 3, м о ж н о д о б а в л я т ь объекты
в Active Directory. Для добавления объекта в. группу н у ж н о в в е с т и к о м а н д у
dsadd group DN_zpynmt, где в качестве DN_zpynnu следует у к а з а т ь отличитель-
ное имя группы, например " C N – F i n a n c e M a n a g e r s , O U , = G r o u p s , D C = c o n t o s o ,
DC="com". Если отличительное имя содержит пробелы, з а к л ю ч и т е его в кавыч-
ки. Например, чтобы создать новую глобальную группу безопасности с именем
Маркетинг в подразделении Группы домена contoso.com, в в е д и т е с л е д у ю щ у ю
команду:
dsadd group «CN=MapKeTHHr,OU=rpynnH1OC=contoso,DC=com»
-samid Маркетинг -secgrp yes -scope g
Параметр DNjtpynnbi можно также указать с л е д у ю щ и м образом:
• Поместив в конвейер список D N – и м е н из д р у г о й к о м а н д ы , н а п р и м е р
Dsquery.
« Вводя каждое DN-имя в командную строку с п р о б е л о м в к а ч е с т в е разде-
лителя.
• Оставив параметр DN пустым и в в о д я по о д н о м у D N – и м е н и в к о н с о л ь
командной строки. После ввода каждого и м е н и н у ж н о н а ж и м а т ь к л а в и ш у
Enter, а после ввода последнего DN-имени – н а ж а т ь к л а в и ш и C t r l + Z .
Поскольку в командной строке можно указать н е с к о л ь к о D N – и м е н , разде-
ленных пробелами, команда Dsadd позволяет г е н е р и р о в а т ь м н о ж е с т в о г р у п п
одновременно. Команда Dsadd также может к о н ф и г у р и р о в а т ь а т р и б у т ы созда-
ваемых групп с помощью следующих о п ц и о н а л ь н ы х п а р а м е т р о в .
• Параметр -secgrp {yes | по } указывает тип группы: б е з о п а с н о с т ь (yes) и л и
распространение (по).
• Параметр -scope {lgu} определяет область д е й с т в и я г р у п п ы : л о к а л ь н а я
в домене (/), глобальная (g) или универсальная (и).
« Параметр -samid Имя указывает атрибут sAMAccountName г р у п п ы . Е с л и
он не задан, используется и м я группы из DN. Р е к о м е н д у е т с я н а з н а ч а т ь
одно имя для sAMAccountName и группы и не и с п о л ь з о в а т ь э т от п а р а м е т р
в команде Dsadd.
• Параметр -desc Описание конфигурирует о п и с а н и е г р у п п ы ,
• Параметр -members DN_nneua добавляет ч л е н ы в группу. Ч л е н ы н а з н а ч а -
ются указанием DN-имен в списке с р а з д е л и т е л ь н ы м и п р о б е л а м и .
• Параметр -memberof DN_zpynmi назначает н о в у ю г р у п п у ч л е н о м о д н о й
или нескольких существующих групп. Группы назначаются путем у к а з а н и я
DN-имен в списке с разделительными пробелами.
Импорт групп с помощью команды CSVDE
В главе 3 также описан инструмент CSVDE, к о т о р ы й и м п о р т и р у е т д а н н ы е из
файлов .csv. Этот инструмент может и э к с п о р т и р о в а т ь д а н н ы е в ф а й л .csv.
В следующем примере показан ф а й л .csv, к о т о р ы й создает г р у п п у М а р к е т и н г
Занятие 2
Автоматизация создания групп и контроля за ними -| 57
и включает в нее двух первоначальных пользователей – Линду Митчелл и Скот-
та М и т ч е л л а :
objectClass, sAMAccountName,DN,member
group,Маркетинг,"СМ=Наркетинг,Ои=Группы,DC=contoso,DC=com",
"С^Линда Митчелл, СШ=Кадры, DC=contoso, DC=com; C N = C K O T T Митчвлл,
Ои=Кадры, DC=contoso,DC=com"
О б ъ е к т ы , п е р е ч и с л е н н ы е в а т р и б у т е member, д о л ж н ы у ж е существовать
в службе каталогов. В столбце member их DN-имена разделены точкой с запятой.
Этот ф а й л м о ж н о и м п о р т и р о в а т ь в Active Directory посредством команды:
csvde -i -f «Имя_файла» [ – k ]
Параметр -i указывает р е ж и м импорта. Без этого параметра команда CSVDE
использует р е ж и м экспорта. П а р а м е т р – / в в о д и т с я перед именем файла, а пара-
метр – k п р е д п и с ы в а е т в ы п о л н я т ь обработку даже при возникновении ошибок.
СОВЕТ К ЭКЗАМЕНУ
Инструмент CSVDE можно использовать для создания объектов, но модифицировать
существующие объекты с его помощью нельзя. Инструмент CSVDE нельзя исполь-
зовать для импорта членов в существующие группы.
Управление группами с помощью команды LDIFDE
И н с т р у м е н т LDIFDE, о п и с а н н ы й в главе 3, импортирует и экспортирует фай-
лы в ф о р м а т е L D I F ( L i g h t w e i g h t D i r e ct o ry Access Protocol Data Interchange
Format). Текстовые ф а й л ы L D I F содержат операции, которые указаны блоками
строк, р а з д е л е н н ы х п у с т о й с т р о к о й . К а ж д а я о п е р а ц и я начинается с атрибу-
т а D N о б ъ е к т а , к о т о р ы й я в л я е т с я с у б ъ е к т о м операции. Следующая строка
changeType у к а з ы в а е т т и п о п е р а ц и и : add, modify и л и delete.
П р и в е д е н н ы й н и ж е ф а й л L D I F создает две группы с именами Финансы
и А н а л и з в п о д р а з д е л е н и и Группы д о м е н а contoso.com:
ON: CN=«HHaHCbi,OU=rpynnbi,DC=contoso, DC=com
changeType: add
CN: Финансы
description: Пользователи финансового отдела
objectClass: group
sAMAccountName: Финансы
DN: CN=Aнaлиз, СШ=Группы,DC=contoso,DC=com
changeType: add
CN: Анализ
description: Пользователи отдела анализа
objectClass: group
sAMAccountName: Анализ
По с у щ е с т в у ю щ и м с о г л а ш е н и я м , ф а й л следует сохранить с расширением
.ldf, н а п р и м е р Groups.ldf. Д л я и м п о р т а групп в каталог выполните такую ко-
манду Ldifde.exe:
l d i f d e – i – f groups.ldf
160 Группы t
Глава 4
Модификация членства в группе посредством к о м а н д ы LDIFDE
Инструмент LDIFDE можно также применять для м о д и ф и к а ц и и существующих
объектов в Active Directory, назначая операции, в строке changeType которых
указан тип modify. Чтобы добавить два члена в группу Ф и н а н с ы , м о ж н о ис-
пользовать следующий файл LDIF:
fln: СН=Финансы, 01)=Группы, DC=contoso, DC=com
changetype: modify
add: member
member: CN=3np«n Стоарт,OU=Kaflpu,dc=contoso,dc=com
member: CN=MaiiK Фитцморис,011=Кадры,dc=contoso,dc=com
В строке changeType указан тнп modify, после чего о п р е д е л е н а о п е р а ц и я
изменения: добавление (add) объектов в атрибут member. З а т е м к а ж д ы й н о в ы й
член следует в отдельной строке, которая начинается с и м е н и а т р и б у т а member.
Операция изменения завершается строкой, с о д е р ж а щ е й о д н о д л и н н о е тире.
Если вместо третьей строки ввести
delete: menber
два указанных члена будут удалены из группы:
Извлечение данных о членстве в группе
с помощью команды Dsget
Команды Dsmod и Dsget, описанные в главе 3, м о ж н о и с п о л ь з о в а т ь д л я у п р а в -
ления членством объектов в группах. В оснастке Active D i r e c t o r y – п о л ь з о -
ватели и компьютеры (Active Directory Users And C o m p u t e r s ) нет о п ц и и д л я
перечисления всех членов группы, в к л ю ч а я в л о ж е н н ы е ч л е н ы . Вы м о ж е т е
просмотреть лишь список непосредственных членов г р у п п ы на в к л а д к е Ч л е н ы
группы (Members) диалогового окна свойств группы. В э т о й о с н а с т к е т а к ж е
нельзя просмотреть все группы, к которым п р и н ад ле ж и т пользователь, в к л ю ч а я
вложенные группы. Вы можете просмотреть л и ш ь д а н н ы е н е п о с р е д с т в е н н о г о
членства на вкладке Член групп (Member O f ) д и а л о г о в о г о о к н а с в о й с т в поль-
зователя или компьютера.
Используя следующий синтаксис, посредством к о м а н д ы Dsget м о ж н о из-
. влечь полный список членов группы, включая в л о ж е н н ы е ч л е н ы :
dsget group «0Н_группы» -members [-expand]
Опция expand извлекает члены в л о ж е н н ы х групп.
Аналогично, команду Dsget м о ж н о п р и м е н я т ь д л я и з в л е ч е н и я п о л н о г о
списка групп, к которым принадлежит п о л ь з о в а т е л ь и л и к о м п ь ю т е р , у к а з а в
опцию expand-.
dsget user " ОН_пользователя" -memberof [-expand]
dsget computer «ОН_котьмера» -memberof [-expand]
Опция memberof возвращает значение а т р и б у т а memberOf п о л ь з о в а т е л я
или компьютера, отображая группы, к к о т о р ы м о б ъ е к т п р и н а д л е ж и т непос-
редственно. При добавлении опции expand в э т и х г р у п п а х будет в ы п о л н е н
рекурсивный поиск и будет извлечен список всех г р у п п в домене, к ко т оры м
принадлежит пользователь.
Занятие 2
Автоматизация создания групп и контроля за ними -| 57
Изменение членства в группе с помощью команды Dsmod
Команда Dsmod п р и м е н я л а с ь на з а н я т и и 1 для модификации области действия
и т и п а группы. Д а л е е п р и в е д е н б а з о в ы й синтаксис этой команды:
dsmod group «0Н_группы» [ o p t i o n s ]
С п о м о щ ь ю т а к и х опций, как samid и desc, можно модифицировать атрибуты
sAMAccountName и description объекта. Однако еще удобнее опции, позволяющие
м о д и ф и ц и р о в а т ь ч л е н с т в о в группе:
• о п ц и я -addmbr "DNjweua " д о б а в л я е т члены в группу;
• о п ц и я -rmmbr 'ЪЫ_члена" у д а л я е т член из группы.
К а к и в с л у ч а е со в с е м и к о м а н д а м и DS, параметр DN_4nena представляет
отличительное и м я еще одного объекта Active Directory (если это имя содержит
пробелы, его н у ж н о з а к л ю ч и т ь в кавычки). В команде можно указать множество
D N – и м е н , р а з д е л е н н ы х п р о б е л а м и . Н а п р и м е р , чтобы добавить пользователя
М а й к а Д а н с е г л и о в г р у п п у Анализ, м о ж н о использовать команду Dsmod:
dsmod group «С^Анализ,011=Группы,DC=contoso,pC=com»
-addmbr «СЫ=Найк Дансеглио,СШ=Кадры,DC=contoso,DC=com»
К о м а н д у Dsget м о ж н о и с п о л ь з о в а т ь в комбинации с командой Dsmod для
к о п и р о в а н и я д а н н ы х ч л е н с т в а г р у п п ы . В следующем примере команда Dsget
и с п о л ь з у е т с я д л я и з в л е ч е н и я и н ф о р м а ц и и обо всех членах группы Продажи,
а затем, путем п о м е щ е н и я п о л у ч е н н о г о списка в конвейер команды Dsmod, эти
п о л ь з о в а т е л и д о б а в л я ю т с я в г р у п п у Маркетинг:
dsget group «СМ=Продажи,Ои=Группы,DC=contoso,DC=com» -members |
dsmod group "CN=MapKe™Hr,OU=rpynnbi,DC=contoso,DC=com" -addmbr
Перемещение и переименование групп
с помощью команды Dsmove
С п о м о щ ь ю к о м а н д ы Dsmove, т а к ж е о п и с а н н о й в главе 3, можно переместить
и л и п е р е и м е н о в а т ь о б ъ е к т в домене. Э т у к о м а н д у нельзя использовать д л я
п е р е м е щ е н и я о б ъ е к т о в из одного д о м е н а в другой: Далее приведен базовый
с и н т а к с и с э т о й к о м а н д ы :
dsmove 0Ы_объекта [-newname Новое_имя] [-newparent ОИ_конечного_подразделения]
Вместо п а р а м е т р а DN_o6beuma н у ж н о указать отличительное имя объекта.
Д л я п е р е и м е н о в а н и я о б ъ е к т а ' у к а ж и т е его новое имя в параметре newname. Что-
бы п е р е м е с т и т ь о б ъ е к т в н о в о е место, у к а ж и т е отличительное имя конечного
к о н т е й н е р а в п а р а м е т р е newparent.
Н а п р и м е р , ч т о б ы н а з н а ч и т ь г р у п п е Маркетинг новое имя Отдел рекламы,
введите с л е д у ю щ у ю к о м а н д у :
dsmove «С^Маркетинг, Ои=Группы, DC=contoso, DC=com»
-newname «Отдел рекламы» :
Ч т о б ы затем п е р е м е с т и т ь эту группу в подразделение Маркетинг, введите
т а к у ю команду:
dsmove «СМ=0тдел рекламы, СШ=Группы,DC=contoso,DC=com»
-newparent «ОЦ=Маркетинг,DC=contoso,DC=com»
1 6 2 Группы t
Глава 4
ПРИМЕЧАНИЕ Перемещение и переименование групп
Группу можно переместить или переименовать также в оснастке Active Directo-
r y - пользователи и компьютеры (Active Directory Users And Computers), щелкнув
группу право Л кнопкой мышн н выбрав в контекстном меню команду Переместить
(Move) или Переименовать (Rename).
Удаление групп с помощью команды Dsrm
С помощью команды Dsrm можно удалить группу и л ю б о й объект Active Direc-
tor)'- Далее приведен базовый синтаксис команды Dsrm:
as г» ок.обшт» [-subtree [-exclude]] [-noproapt] [ – с ]
В качестве параметра йМ_обьекта следует указать о т л и ч и т е л ь н о е и м я объ-
екта. Если не указать параметр noprompt, к о м а н д а п р е д л о ж и т п о д т в е р ж д а т ь
удаление каждого объекта. Переключатель -с запускает к о м а н д у Dsrm в р е ж и -
ме операций, в котором выводятся сообщения об о ш и б к а х , о д н а к о п р и этом
команда продолжает обработку дополнительных объектов. Б е з п е р е к л ю ч а т е л я
–с обработка остановится при первой ошибке.
Чтобы удалить группу Отдел рекламы, введите с л е д у ю щ у ю к о м а н д у :
dsn «СК'О'деп реклам*.ОИ'Маркетииг, DOcontoso, DOcon»
Удалить группу можно также в оснастке Active D i r e c t o r y – п о л ь з о в а т е л и
и компьютеры (Active Directory Users And C o m p u t e r s ) , щ е л к н у в г р у п п у правой
кнопкой мыши и применив команду Удалить ( D e l e t e ) .
ПРИМЕЧАНИЕ Последствия удаления группы
При удалении группы удаляется точка управления и организации. Поэтому убеди-
тесь, что в среде нет разрешений доступа или других ресурсов, ссылающихся на эту
группу. Удаление группы представляет собой серьезную операцию с возможными
последствиями. Перед удалением группы рекомендуется записать данные о членстве
в ней н в течение некоторого периода времени удалить все члены группы, чтобы
проверить, потеряют ли эти члены (оставшиеся в других группах) доступ к каким-
либо ресурсам. Если что-то пойдет не так, добавьте удаленные члены заново. Если
доступ всех членов останется неизменным, можете удалить группу.
Управление членством в группе
с помощью Windows PowerShell и VBScript
На сертификационном экзамене вряд ли потребуется з н а т ь все т о н к о с т и уп-
равления членством в группах, поэтому их у гл у б ле н н о е о п и с а н и е не в к л ю ч е н о
в это руководство.
Тем не менее основы знать не помешает. В V B S c r i p t и W i n d o w s P o w e r S h e l l
существует несколько способов м а н и п у л и р о в а н и я ч л е н с т в о м в г р у п п а х (ат-
рибутом member), однако чаще всего используется с л е д у ю щ а я э ф ф е к т и в н а я
методика.
Определите атрибут aDSPath члена. Атрибут aDSPath п р е д с т а в л я ю т в ф о р -
мате LDAP ://
2– Подключитесь к группе.
Занятие 2
Автоматизация создания групп и контроля за ними -| 57
3. И с п о л ь з у й т е м е т о д Add и л и Remove о б ъ е к т а группы, указав параметр
aDSPath.
Д а л е е п о к а з а н п р и м е р с ц е н а р и я W i n d o w s PowerShell, который добавляет
пользователя М а й к а Д а н с е г л и о в группу Анализ:
JMemberADSPath = "LDAP://CN=HaiiK Дансеглио,OU=Kaflpbi,DC=contoso,DC=com"
JobjGroup = [ADSI]"LDAP://СМ=Анализ, Ои=Группы,DC=contoso,DC=com"
JobjGroup, Add ($MemDerADSPath)
А н а л о г и ч н ы й с ц е н а р и й V B S c r i p t в ы г л я д и т следующим образом:
HemberADSPath = «LDAP://CN=MaiiK Дансеглио,OU=Kaflpu,DC=contoso,DC=com»
Set ObjGroup = GetObject(«LDAP: //СИ=Анализ, Ои=Группы, DC=contoso, DC=com»)
objGroup.Add MemberADSPath
Ч т о б ы у д а л и т ь ч л е н ы г р у п п ы , в м е с т о Add и с п о л ь з у й т е метод Remove.
В о с т а л ь н о м с ц е н а р и й не м е н я е т с я .
Практические занятия. Автоматизация создания
и контроля групп
В п р е д л о ж е н н ы х д а л е е у п р а ж н е н и я х вы и с п о л ь з у е т е команды DS, CSVDE
и LDIFDE д л я р е ш е н и я задач у п р а в л е н и я группами. Перед выполнением уп-
р а ж н е н и й в д о м е н е c o n t o s o . c o m н у ж н о создать следующие объекты:
• п о д р а з д е л е н и е п е р в о г о у р о в н я Группы;
• п о д р а з д е л е н и е п е р в о г о у р о в н я Кадры;
• объекты в п о д р а з д е л е н и и Кадры для пользователей Линды Митчелл, Скотта
М и т ч е л л а , Д ж е ф ф а Ф о р д а , М а й к а Фитцмориса, Майка Дансеглио, Эприл
С т ю а р т и Т о н и К р а й н е н а .
К р о м е того, у д а л и т е все г р у п п ы с им е на ми Ф и н а н с ы и Бухгалтерия.
Упражнение 1. Создание группы с помощью команды Dsadd
В этом у п р а ж н е н и и вы с о з д а д и т е группу посредством команды Dsadd. Исполь-
зуя эту команду, м о ж н о создать группу и даже назначить членство в этой группе.
1. В о й д и т е на м а ш и н у S E R V E R 0 1 как администратор.
2. О т к р о й т е о к н о к о м а н д н о й строки, введите приведенную ниже команду
в о д н о й строке. З а т е м н а ж м и т е к л а в и ш у Enter.
dsadd group «CN=®HHaHca,OU=rpynnu,DC=contoso,DC=com»
-samid Финансы -secgrp yes -scope g
3. О т к р о й т е о с н а с т к у Active D i r e c to r y – пользователи и компьютеры (Active
Directory Users And C o m p u t e r s ) и убедитесь, что группа успешно создана.
Если во в р е м я в ы п о л н е н и я шага 2 эта оснастка была открыта, обновите
представление.
Упражнение 2. Импорт групп с помощью команды CSVDE
1. Войдите на м а ш и н у S E R V E R 0 1 как администратор.
2. Откройте программу Б л о к н о т (Notepad) и введите следующие строки (каж-
д ы й абзац н у ж н о ввести в о т д е л ь н у ю строку текста без знаков абзаца):
• objectClass.sAMAccountName,DN,member
164 Группы t
Глава 4
• group, Бухгалтерия, "СН=Бухгалтерия, ОИ=Группы, DC=contoso, DC=com",
"СМ=Линда Митчелл, 011=Кадры, DC=contoso, DC=com; C N = C K O T T Митчелл,
01)=Кадры, DC=contoso, DC=com"
3. Сохраните этот ф а й л в п а п к е Д о к у м е н т ы ( D o c u m e n t s ) п о д и м е н е м
"Importgroups.csv", заключенным в кавычки, чтобы п р о г р а м м а Б л о к н о т не
добавила расширение .txt.
4. Откройте окно командной строки и введите с л е д у ю щ у ю к о м а н д у :
csvde -i -f "%userprofile%importgroups.csv"
5. Откройте оснастку Active Directory – п о л ь з о в а т е л и и к о м п ь ю т е р ы (Active
Directory Users And Computers) и убедитесь, что г р у п п а у с п е ш н о создана.
Если во время выполнения шага 4 эта оснастка б ы л а о т к р ы т а , обновите
представление.
Упражнение 3. Модификация членства в г р у п п е с п о м о щ ь ю к о м а н д ы LDIFDE
Инструмент CSVDE не может модифицировать членство в с у щ е с т в у ю щ и х груп-
пах, зато такие изменения можно вносить с п о м о щ ь ю к о м а н д ы LDIFDE. В этом
упражнении вы используете инструмент LDIFDE д л я м о д и ф и к а ц и и членства
в группе Бухгалтерия, импортированной в у п р а ж н е н и и 2.
1. Откройте программу Блокнот (Notepad) и в в е д и т е с л е д у ю щ и е с т р о к и :
dn: CN=ByxranTepKH,OU=rpynnbi,DC=contoso,DC=com j
changetype: modify j
add: member j
member: СМ=Эприл Стюарт,ои=Кадры,dc=contoso,dc=com
member: CN=MaiK ®HTUMopHC,OU=Kaflpu,dc=contoso,dc=com f
i S i E
dn: CN=ByxranTepHa,OU=rpynnu,DC=contoso,DC=com I
changetype: modify ^
delete: member |
member: СМ=Линда Митчелл,OU=KaflpH,dc=contoso,dc=com j
•
Обязательно вставляйте тире после каждого блока и п у с т у ю с т р о к у между Ь
двумя блоками строк. |
2. Сохраните файл в папке Документы ( D o c u m e n t s ) под именем "Membership– J
change.ldf", заключенным в кавычки, чтобы программа Б л о к н о т не добавила •
расширение .txt. f
3. Откройте окно командной строки. ;;
4. Введите следующую команду и нажмите к л а в и ш у Enter. J,
Idifde -i -f "%userprofile%documentsmembershipchange.ldf"
5. Откройте оснастку Active Directory – пользователи и к о м п ь ю т е р ы (Activet
Directory Users And Computers) и убедитесь в и з м е н е н и и ч л е н с т в а в группе f»'
Бухгалтерия в соответствии с инструкциями ф а й л а LDIF. Теперь группа
должна включать членов Э п р и л Стюарт, М а й к а Ф и т ц м о р и с а и Скотта^
Митчелла – ^
Занятие 2
Автоматизация создания групп и контроля за ними -| 57
Упражнение 4. Модификация членства в группе командой Dsmod
В этом упражнении с помощью команды Dsmod вы добавите группу и пользо-
вателя в группу Финансы.
1. Откройте окно командной строки.
2. Введите следующую команду для изменения членства в группе Финансы:
dsmod group "CN=®MHaHcu,OU=rpynnbi,DC=contoso1DC=com" -addmbr "CN=Tom Крайней,
Ои=Кадры, DC=contoso! ОС=сот'.'"С^=Бухгалтерия, 011=Группы, DC=contoso,DC=com"
3. В оснастке Active Directory – пользователи и компьютеры (Active Directory
Users And Computers) убедитесь, что группа Финансы теперь содержит
пользователя Тони Крайнена и группу Бухгалтерия.
Упражнение 5. Подтверждение членства в группе с помощью команды Dsget
Посредством оснастки Active Directory – пользователи и компьютеры (Active
Directory Users And Computers) оценить членство в группе сложно, зато просто
сделать это при помощи команды Dsget. В этом упражнении вы просмотрите
все данные о членстве в группе и членстве пользователя в группах.
1. Откройте окно командной строки.
2. Перечислите непосредственных членов группы Бухгалтерия, набрав сле-
дующую команду и нажав клавишу Enter:
dsget group "CN=Byx^TepMq,OU=rpynnu,DC=contoso,DC=com" -members
3. Перечислите непосредственных членов группы Финансы, набрав следую-
щую команду и нажав клавишу Enter:
dsget group "CN=®MHaHCbi,OU=rpynnbi,DC=contoso,DC=com" -members
4. Извлеките полный список членов группы Финансы, набрав следующую
•команду и нажав клавишу Enter:
dsget group "CN=®HHaHCbi,OU=rpynnu,DC=contoso,DC=com" -members -expand
5. Перечислите группы, непосредственным членом которых является поль-
зователь Скотт Митчелл, набрав следующую команду и нажав клавишу
Enter:
d s g e t u s e r "CN=CKOTT Митчелл,ОИ=Кадры,DC=contoso,DC=com" -memberof
6. Перечислите все группы, членом которых непосредственно или в составе
других групп является пользователь Скотт Митчелл, набрав следующую
команду и нажав клавишу Enter:
dsget user "CN=CKOTT Митчёлл,:Ои=Кадры, DC=contoso, DC=com" -memberof -expand
Резюме
• Группы можно создавать с помощью команд Dsadd, CSVDE и LDIFDE.
• Командами LDIFDE и Dsmod можно модифицировать членство в сущест-
вующих группах. .
• Посредством команды Dsget можно извлечь полный список всех членов
группы, а также полный список групп, к которым принадлежит пользова-
тель, включая вложенные группы.
1 6 6 Группы t
Глава 4
Закрепление материала
Следующие вопросы можно использовать д л я п р о в е р к и з н а н и й , п о л у ч е н н ы х
на занятии 2. Эти вопросы есть на сопроводительном к о м п а к т – д и с к е .
ПРИМЕЧАНИЕ Ответы
Ответы на эти вопросы с пояснениями, почему тот или иной вариант ответа пра-
вилен или неверен, вы найдете в разделе «Ответы» в конце книги.
1. Какую из следующих команд можно и с п о л ь з о в а т ь д л я у д а л е н и я ч л е н о в из
группы? (Укажите все варианты.)
A. Remove-Item.
Б. Dsrm.
B. Dsmod.
Г. LDIFDE.
Д. CSVDE.
2. Вы используете команду Dsmod д л я д о б а в л е н и я л о к а л ь н о й г р у п п ы А доме-
на в глобальную группу Б. При в ы п о л н е н и и к о м а н д ы в о з н и к а ю т о ш и б к и .
Какая команда поможет решить проблему, ч т о б ы г р у п п у А м о ж н о б ы л о
добавить в группу Б? (Укажите все в а р и а н т ы . )
A. Dsrm.exe.
Б. Dsmod.exe.
B. Dsquery.exe.
Г. Dsget.exe.
3. Ваш руководитель потребовал список всех п о л ь з о в а т е л е й , п р и н а д л е ж а щ и х
к группе Специальный проект, в том ч и с л е ч л е н о в г р у п п , в к л ю ч е н н ы х в
группу Специальный проект. Какую из с л е д у ю щ и х к о м а н д м о ж н о и с п о л ь -
зовать для извлечения такого списка?
A. Get-Members.
Б. Dsquery.exe.
B. LDIFDE.
Г. Dsget.exe.
Занятие 3. Администрирование групп
на предприятии
На занятиях 1 и 2 вы подготовились к решению е ж е д н е в н ы х задач а д м и н и с т р и -
рования групп в Active Directory. Мы обсудили, как создавать, м о д и ф и ц и р о в а т ь
и удалять группы с помощью различных и н с т р у м е н т о в и п р о ц е д у р . ,
На этом занятии мы рассмотрим и с п о л ь з о в а н и е а т р и б у т о в групп, приме-
няемых для документирования групп, д е л е г и р о в а н и я . у п р а в л е н и я ч л е н с т в о м
в них другим администраторам, а также о т к л ю ч е н и е н е к о т о р ы х г р у п п Active
Directory и Windows по умолчанию.
Занятие 3
Администрирование групп на предприятии 190
Изучив материал этого занятия, вы сможете:
/ Документировать назначение группы с помощью атрибутов группы.
/ Предотвратить случайное удаление группы.
/ Делегировать управление членством в группе.
/ Создать теневую группу.
• Определять группы домена по умолчанию и управлять ими.
/ Назначать разрешения доступа особым объектам идентификации.
Продолжительность занятия – около 45 мин.
рекомендуемые методики группирования атрибутов
Создать г р у п п у в Active Directory не составляет труда. Намного сложнее гаран-
тировать к о р р е к т н о е и с п о л ь з о в а н и е группы. Управление группой и ее приме-
нение м о ж н о подкорректировать, указав ее назначение, чтобы администраторы
знали, как и когда и с п о л ь з о в а т ь эту группу.. Существует несколько рекоменду-
емых методик, к о т о р ы е вряд ли будут включены в сертификационный экзамен,
но помогут в а м в а д м и н и с т р и р о в а н и и групп предприятия.
• У с т а н о в л е н и е и в ы п о л н е н и е с о г л а ш е н и я с т р о г о г о и м е н о в а н и я Реко-
м е н д у е м о е с о г л а ш е н и е об и м е н о в а н и и описано на занятии 1. Следование
с т а н д а р т а м и м е н о в а н и я групп п о в ы с и т э ф ф е к т и в н о с т ь работы админист-
раторов. П р е ф и к с д л я у к а з а н и я н а з н а ч е н и я группы и согласованный раз-
д е л и т е л ь м е ж д у п р е ф и к с о м и описательной частью имени группы поможет
п р а в и л ь н о в ы б р а т ь г р у п п у д л я о п р е д е л е н н о й цели. Например, префикс
А Р Р м о ж н о и с п о л ь з о в а т ь д л я назначения групп, управляющих приложе-
н и я м и , а с п о м о щ ь ю п р е ф и к с а ACL м о ж н о и д е н т и ф и ц и р о в а т ь группы,
к о т о р ы м н а з н а ч е н ы р а з р е ш е н и я доступа к спискам контроля доступа ACL
(Access C o n t r o l List). Б л а г о д а р я э т и м префиксам легче понять назначение
групп с т а к и м и и м е н а м и , ка к A P P _ A c c o u n t i n g и ACL_Accounting_Read,
и л и о т ы с к а т ь э т и г р у п п ы . П е р в а я группа используется д л я управления
р а з в е р т ы в а н и е м бухгалтерского программного обеспечения, а вторая предр-
ставляет д о с т у п ч т е н и я к спискам ACL папки Accounting. Префиксы также
п о з в о л я ю т г р у п п и р о в а т ь имена групп в пользовательском интерфейсе, как
показано в п р и м е р е на рис. 4-7. Ч т о б ы отыскать группу, с помощью которой
н а з н а ч а ю т с я р а з р е ш е н и я доступа к папке, вы можете ввести в диалоговое
окно В ы б о р ( S e l e c t ) п р е ф и к с ACL_ и щелкнуть ОК. Откроется диалоговое
окно Н а й д е н о н е с к о л ь к о и м е н ( M u l t i p l e Names Found) со списком имен
групп с п р е ф и к с о м ACL_, в котором можно сразу выбрать группу для уп-
р а в л е н и я д о с т у п о м к ресурсу.
• У к а з а н и е н а з н а ч е н и я г р у п п ы с п о м о щ ь ю атрибута description Д л я указа-
ния цели г р у п п ы м о ж н о п р и м е н я т ь атрибут описания description.. Поскольку
в панель с в е д е н и й оснастки Active Directory – пользователи и компьютеры
(Active D i r e c t o r y U s e r s and C o m p u t e r s ) по у м о л ч а н и ю включен столбец
О п и с а н и е ( D e s c r i p t i o n ) , а д м и н и с т р а т о р ы сразу смогут определить в нем
н а з н а ч е н и е г р у п п ы .
191 Группы t
Глава 4
jJzJ
I В nxma
L соПсмз can/! га
AG_Acc АО._Ссоег_лрв*гчхв cortoto confi • ACi^fiUduet_Pe4S«n«ic coftoto com't- *CL_Bulj«<_4re«* cortoeo c c W T ACL_Compjny£har«_4T« cortooo с«пЛ I J j Рис. 4-7. Выбор группы no префиксу с целью с о к р а щ е н и я с п и с к а г р у п п в п о и с к е • Подробные сведения о назначении группы в з а м е т к а х П о л е З а м е т к и (Notes) в нижней части вкладки Общие ( G e n e r a l ) д и а л о г о в о г о о к н а С в о й с - тва (Properties) группы можно использовать д л я д о к у м е н т и р о в а н и я н а - значения группы. Например, вы можете п е р е ч и с л и т ь п а п к и , р а з р е ш е н и я доступа к которым имеет группа (рис. 4-8). 1 С 'ifTTI а*зх« Ф М Ш а budMpXT] н/п/юяг» [UMT] Оп-г– I ГЪмв»*, Рис. 4-8. Диалоговое окно свойств группы с полем з а м е т о к , где указаны данные о назначении группы Защита групп от случайного удаления Удаление группы серьезно влияет на а д м и н и с т р и р о в а н и е и б е з о п а с н о с т ь . Р а с -
