Текст книги "Настройка Active Directory. Windows Server 2008"

Автор книги: Dan Holme

Соавторы: Danielle Ruest,Nelson Ruest
сообщить о нарушении

Текущая страница: 19 (всего у книги 91 страниц)

управлять членством в группе ACL_Budget_Edit.

1. Откройте диалоговое окно Свойства (Properties) группы ACL_Budget_

Edit.

2. Перейдите на вкладку Управляется (Managed By).

3. Щелкните кнопку Изменить (Change).

4. Введите имя пользователя Майк Дансеглио и щелкните ОК.

5. Установите флажок Менеджер может изменять членов группы (Manager

Can Update Membership List). Щелкните ОК.

Упражнение 3. Проверка делегирования управления членством в группе

В этом упражнении вы протестируете делегирование, выполненное в упражне-

нии 2, изменив членство в группе как пользователь Майк Дансеглио.

1. Откройте окно командной строки.

2. Введите команду runas /мег:Имя_полъзователя cmd.exe, указав имя поль-

зователя Майк Дансеглио.

180 Группы t

Глава 4

3. Введите пароль пользователя Майка Д а н с е г л и о .

Откроется новое окно командной строки в контексте учетной записи Майка

Дансеглио.

4. Введите команду

dsmod group "CN=ACl_Budget_Edit.OU=rpynnu,DC=contoso.DC=com" -addmbr

"СМ=Финаисы. 0и=Группы, DC=contoso, 0C=com"

и нажмите клавишу Enter.

5. Закройте окно командной строки.

6. В оснастке Active Directory – пользователи и к о м п ь ю т е р ы (Active Directory

Users And Computers) проанализируйте ч л е н с т в о в г р у п п е A C L _ B u d g e t _

Edit и убедитесь, что в нее включена группа Ф и н а н с ы .

Резюме

• Для документирования назначения г р у п п ы и с п о л ь з у ю т с я п о л я О п и с а н и е

(Description) и Заметки (Notes) в д и а л о г о в о м о к н е С в о й с т в а ( P r o p e r t i e s ) .

• На вкладке Управляется (Managed By) м о ж н о у к а з а т ь п о л ь з о в а т е л я или

группу, ответственную за управление д а н н о й г р у п п о й . Ч т о б ы делегировать

управление членством пользователю и л и группе, на в к л а д к е Управляет-

ся нужно установить флажок М е н е д ж е р м о ж е т и з м е н я т ь ч л е н о в группы

(Manager Can Update Membership List).

• Для делегирования управления членством в г р у п п е п р е д о с т а в л я е т с я раз-

решение записи членов в группе.

• Используйте флажок Защитить объект от с л у ч а й н о г о у д а л е н и я ( P r o t e c t

Object From Accidental Deletion), чтобы и з б е ж а т ь п о т е н ц и а л ь н ы х проблем

управления и безопасности из-за случайного у д а л е н и я г р у п п ы .

• Группы по умолчанию в Windows Server 2008 и Active D i r e c t o r y предостав-

ляют довольно высокий уровень прав и р а з р е ш е н и й доступа. Пользователей

не следует включать в группы домена по у м о л ч а н и ю , и з н а ч а л ь н о не содер-

жащие членов, например в группы О п е р а т о р ы учета ( A c c o u n t Operators),

Операторы архива (Backup Operators), О п е р а т о р ы печати ( P r i n t Operators)

и Операторы сервера (Server O p e r a t o r s ) . К р о м е того, ч л е н с т в о в д р у г и х

административных группах, включая А д м и н и с т р а т о р ы п р е д п р и я т и я (Enter-

prise Admins), Администраторы домена ( D o m a i n Admins), А д м и н и с т р а т о р ы

схемы (Schema Admins) и Администраторы ( A d m i n i s t r a t o r s ) , з н а ч и т е л ь н о

ограничено.

• Для назначения прав и разрешений доступа м о ж н о и с п о л ь з о в а т ь особые

объекты идентификации, например П р о ш е д ш и е п р о в е р к у ( A u t h e n t i c a t e d

Users), Все (Everyone), И Н Т Е Р А К Т И В Н Ы Е ( I n t e r a c t i v e ) и С Е Т Ь (Net-

work). Членство в этих группах определяется о п е р а ц и о н н о й системой. Его

нельзя просматривать или модифицировать. '

Занятие 3

Закрепление материала

Следующие в о п р о с ы м о ж н о и с п о л ь з о в а т ь для проверки знаний, полученных

на занятии 3. Э т и в о п р о с ы есть на сопроводительном компакт-диске.

ПРИМЕЧАНИЕ Ответы

Ответы на эти вопросы с пояснениями, почему тот или иной вариант ответа пра-

вилен или неверен, вы найдете в разделе «Ответы» в конце книги.

1. Ваша к о м п а н и я п р о в о д и т с о в е щ а н и е по особо важному проекту. Данные

частично к о н ф и д е н ц и а л ь н ы . С о в е щ а н и е проходит в конференц-зале, и вы

о т к о н ф и г у р и р о в а л и на компьютере в конференц-зале папку, предоставляю-

щую р а з р е ш е н и я д о с т у п а ч л е н а м команды. Требуется, чтобы они получали

доступ к д а н н ы м т о л ь к о п р и л о к а л ь н о м входе на компьютер в конференц-

зале и не м о г л и о т к р ы т ь п а п к у с других компьютеров на предприятии. Что

н у ж н о сделать д л я р е ш е н и я э т о й з а д а ч и ?

A. Назначить р а з р е ш е н и е чтения (Allow Read) для группы ИНТЕРАКТИВ-

Н Ы Е ( I n t e r a c t i v e ) .

Б. Н а з н а ч и т ь р а з р е ш е н и е чтения группе команды проекта.

B. З а п р е т и т ь р а з р е ш е н и е Т р а в е р с п а п о к (Traverse Folders) для группы

к о м а н д ы п р о е к т а .

Г. З а п р е т и т ь р а з р е ш е н и е П о л н ы й доступ (Full Control) для группы СЕТЬ

( N e t w o r k ) .

2. Вам н у ж н о р а з р е ш и т ь п о л ь з о в а т е л ю М а й к у Дансеглио добавлять и удалять

п о л ь з о в а т е л е й в г р у п п е С п е ц и а л ь н ы й проект. Где можно отконфигуриро-

вать это р а з р е ш е н и е ?

A. На в к л а д к е Ч л е н ы г р у п п ы ( M e m b e r s ) диалогового окна свойств группы.

Б. На в к л а д к е Б е з о п а с н о с т ь ( S e c u r i t y ) диалогового окна свойств объекта

п о л ь з о в а т е л я М а й к а Д а н с е г л и о .

B. На в к л а д к е Ч л е н г р у п п ( M e m b e r O f ) диалогового окна свойств объекта

п о л ь з о в а т е л я М а й к а Д а н с е г л и о .

Г. На вкладке Управляется (Managed By) диалогового окна свойств группы.

3. Какую из г р у п п м о ж н о о т к л ю ч и т ь на контроллере домена? (Укажите все |

варианты.)

A. О п е р а т о р ы учета ( A c c o u n t Operators).

Б . О п е р а т о р ы п е ч а т и ( P r i n t Operators).

B. О п е р а т о р ы а р х и в а ( B a c k u p Operators).

Г. О п е р а т о р ы сервера ( S e r v e r Operators).

Д . И Н Т Е Р А К Т И В Н Ы Е ( I n t e r a c t i v e ) .

Закрепление материала главы

Для того чтобы попрактиковаться и закрепить знания, полученные при изуче-

нии представленного в этой главе материала, вам необходимо:

• ознакомиться с резюме главы;

• повторить используемые в главе основные термины;

• изучить сценарий, в котором описана реальная ситуация, требующая при-

менения полученных знаний, и предложить свое решение;

• выполнить рекомендуемые упражнения;

• сдать пробный экзамен с помощью тестов.

Резюме главы

• Области действия групп (глобальные, универсальные и л о к а л ь н ы е в доме-

не) определяют характеристики групп, связанные с членством, репликацией

и доступностью группы.

• На предприятии с управлением на основе ролей г р у п п ы рекомендуется

определять в соответствии с ролями или бизнес-правилами. Группы ролей

обычно реализуются как группы безопасности, а п р а в и л а определяются

с помощью локальных групп в домене.

• Многозначный атрибут member группы с о д е р ж и т о т л и ч и т е л ь н ы е имена

(DN) членов группы. Атрибут memberOf каждого члена группы автомати-

чески обновляется в соответствии с изменениями членства. При добавлении

пользователя в группу всегда изменяется ее атрибут member. Атрибут только

чтения memberOf называется обратной ссылкой.

• Управление членством в группе можно д е л е г и р о в а т ь путем назначения

разрешения записи членов (Allow Write Members), которое предоставляет

право записи в атрибут member.

• Такие инструменты Active Directory, как Dsquery, Dsget и Dsmod, можно

использовать для перечисления, создания и м о д и ф и к а ц и и групп и член-

ства в них.

• Посредством команд CSVDE и LDIFDE г р у п п ы м о ж н о и м п о р т и р о в а т ь

и экспортировать. Кроме того, при помощи команды LDIFDE можно мо-

дифицировать членство в существующих группах.

• При помощи команд Dsadd, Dsmove и Dsrm можно соответственно добавлять,

перемещать и удалять группы.

Основные термины

Запомните перечисленные далее термины, чтобы лучше понять описываемые

концепции.

• Обратная ссылка Тип атрибута только для чтения, который автомати-

чески обновляется при изменении соответствующего а т р и б у т а прямой

ссылки. Например, атрибут member группы – это атрибут прямой ссылки,

Практические задания 1 8 3

спаренный с а т р и б у т о м memberOf. П р и изменении атрибута member группы

в связи с о б н о в л е н и е м ч л е н с т в а в ней атрибут memberOf соответствующих

объектов а в т о м а т и ч е с к и о б н о в л я е т с я в Active Directory.

• Т е н е в а я г р у п п а В к л ю ч а е т всех пользователей в подразделении или всех

п о л ь з о в а т е л е й , с о о т в е т с т в у ю щ и х к о н к р е т н о м у критерию. Теневая груп-

па – это к о н ц е п ц и я , а не т и п группы-. Теневую группу нужно создать само-

му, ввести в нее всех п о л ь з о в а т е л е й и вручную обновлять членство в ней

в с о о т в е т с т в и и с и з м е н е н и я м и среды.

• О с о б ы е о б ъ е к т ы и д е н т и ф и к а ц и и Пользователи и группы, которые дина-

м и ч е с к и п о д д е р ж и в а ю т с я о п е р а ц и о н н о й системой, например Прошедшие

п р о в е р к у ( A u t h e n t i c a t e d Users), Все ( E v e r y o n e ) и А Н О Н И М Н Ы Й ВХОД

( A n o n y m o u s L o g o n ) . О с о б ы м объектам идентификации можно назначать

р а з р е ш е н и я и п р а в а доступа, но просмотреть или модифицировать членство

в т а к и х г р у п п а х вы не сможете.

Сценарий. Реализация стратегии управления группами

В этом с ц е н а р и и вы п р и м е н и т е и з у ч е н н ы е н а в ы к и администрирования групп

на п р е д п р и я т и и . О т в е т ы на в о п р о с ы м о ж н о н а йт и в разделе «Ответы» в конце

книги.

Вы р а б о т а е т е а д м и н и с т р а т о р о м в к о м п а н и и Trey Research. В компании

в н е д р я е т с я н о в а я и н и ц и а т и в а – разработка продукта Sliced Bread, и в общих

папках на трех серверах в трех р а з л и ч н ы х узлах содержится конфиденциальная

и н ф о р м а ц и я об этом проекте. П о л ь з о в а т е л я м в отделах Анализ, Маркетинг и

Ф и н а н с ы н у ж е н д о с т у п к д а н н ы м проекта. Кроме того, доступ нужен испол-

н и т е л ь н о м у д и р е к т о р у и его з а м е с т и т е л ю . Д о с т у п записи необходим только

отделам М а р к е т и н г и А н а л и з . В отделе М а р к е т и н г работает несколько стаже-

ров, к о т о р ы м н у ж н о з а п р е т и т ь доступ к д а н н ы м проекта. И наконец, аудиторам

из б а н к а W o o d g r o v e Bank, к о т о р ы й я в л я е т с я инвестором Trey Research, также

необходим д о с т у п ч т е н и я . М е ж д у д о м е н а м и Trey Research и Woodgrove Bank

у с т а н о в л е н а д о в е р и т е л ь н а я связь.

1. К а к и е о б л а с т и д е й с т в и я и т и п ы следует выбрать для групп, представляю-

щ и х р о л и п о л ь з о в а т е л е й в к о м п а н и и Trey Research? Какой тип и область

д е й с т в и я н у ж н о в ы б р а т ь а д м и н и с т р а т о р а м Woodgrove Bank для создания

г р у п п ы , п р е д с т а в л я ю щ е й р о л ь аудиторов?

2. Какие т и п ы и области д е й с т в и я выбрать д л я групп, управляющих доступом

ч т е н и я и з а п и с и к папке Sliced Bread?

3. О п и ш и т е в л о ж е н и е п о л ь з о в а т е л е й и групп, которое можно реализовать,

чтобы о б е с п е ч и т ь у р о в е н ь безопасности, необходимый д л я данного про-

екта.

Практические задания

Д л я того ч т о б ы л у ч ш е у с в о и т ь материал данной главы, выполните следующие

у п р а ж н е н и я . .

184 Группы t

Глава 4

Автоматизация управления членством в группах

и теневыми группами

В этом задании вы создадите теневую группу с учетными записями пользо-

вателей в подразделении Кадры. Для обновления членства в этой группе вы

используете команды Dsquery и Dsmod.

Для выполнения задания в домене contoso.com должны быть созданы та-

кие объекты: подразделение первого уровня Группы; подразделение Кадры;

несколько учетных записей пользователей в подразделении Кадры.

• Упражнение 1 В подразделении Группы создайте глобальную группу безо-

пасности с именем Кадры. Затем в дереве консоли Active Directory – поль-

зователи и компьютеры (Active Directory Users And Computers) выберите

подразделение Кадры. Щелкните в панели сведений учетную запись любого

пользователя и нажмите комбинацию клавиш Ctrl+A, чтобы выбрать все

учетные записи. Щелкните правой кнопкой мыши и примените к о м а н д у

Добавить в группу (Add То Group). Добавьте пользователей в группу Кадры.

Просмотрите данные на вкладке Члены группы (Members) диалогового окна

свойств группы Кадры и убедитесь, что все пользователи введены в нее.

• Упражнение 2 Откройте окно командной строки. Удалите группу Кадры,

созданную в упражнении 1. Введите две следующие команды, чтобы создать

теневую группу Кадры:

dsadd group "CN=Kaflpu,Ои=Группы,DC=contoso, DC=com" -secgrp yes -scope g

dsquery user "OU=Kaflpu,DC=contoso,DC=com" | dsmod group "СН=Кадры,Ои=Группы,

DC=contoso,DC=com" -addmbr

• Упражнение 3 В окно командной строки введите две следующие коман-

ды, чтобы удалить всех членов группы и заново заполнить ее т е к у щ и м и

пользователями подразделения Кадры:

dsget group "CN=People,OU=Groops,DC=contoso,DC=com" -members | dsmod group "CN=

People,OU=Groups,DC=contoso,DC=com" -rmmbr

dsquery user "OU=People,DC=contoso,DC=com" | dsmod group "CN=People,OU=Groups,

DC=contoso,DC=com" -addmbr

Пробный экзамен

На прилагаемом к книге компакт-диске представлено несколько в а р и а н т о в

тренировочных тестов. Проверка знаний выполняется или только по одной теме

сертификационного экзамена 70-640, или по всем экзаменационным темам.

Тестирование можно организовать таким образом, чтобы оно проводилось как

экзамен, либо настроить на режим обучения. В последнем случае вы сможете

после каждого своего ответа иа вопрос просматривать п р а в и л ь н ы е ответы

и пояснения.

ПРИМЕЧАНИЕ Пробный экзамен

Подробнее о пробном экзамене рассказано во введении к данной книге.

Г Л А В А 5

Компьютеры

Занятие 1. Создание компьютеров и присоединение их к домену 186

Занятие 2. Автоматизация создания объектов компьютеров 202

Занятие 3. Поддержка объектов и учетных записей компьютеров 211

Компьютеры в домене, как и п о л ь з о в а т е л и , я в л я ю т с я принципалами безо-

пасности. Они имеют у ч е т н ы е з а п и с и и пароли, которые система Microsoft

Windows автоматически и з м е н я е т каждые 30 дней или около того. Проверка

их подлинности в ы п о л н я е т с я с п о м о щ ь ю домена. Компьютеры могут прина-

длежать к группам, получать доступ к ресурсам и конфигурироваться группо-

вой политикой. Как и пользователи, компьютеры иногда теряют свои пароли,

и тогда требуется производить сброс пароля, а также имеют учетные записи,

которые нужно включать и л и отключать.

Управление компьютерами, которые,представляют собой объекты в домен-

ных службах Active Directory (Active Directory Domain Services) и одновремен-

но физические устройства, входит в повседневные обязанности большинства

IT-профессионалов. В организации появляются новые системы, компьютеры

отключаются от сети д л я ремонта, а также передаются пользователям или

ролям, а старое оборудование удаляется и л и обновляется, в результате чего

нужно приобретать новые или менять существующие системы. Все это требует

управления идентификацией компьютера, представленного в качестве объекта

или учетной записи.

К сожалению, большинство предприятий не производят инвестиций в со-

здание и управление к о м п ь ю т е р н ы м и учетными записями в той же мере, как

в учетные записи пользователей, хотя и те и другие представляют собой при-

нципалы безопасности. В этой главе мы рассмотрим процесс создания объектов

компьютеров, которые содержат атрибуты, необходимые для представления

объекта в качестве учетной записи. Будет также описана поддержка учетных

записей компьютеров на п р о т я ж е н и и их жизненного цикла, включающая на-

стройку, устранение неполадок, восстановление и повторную инициализацию

объектов компьютеров. Наконец, мы обсудим процесс присоединения компью-

тера к домену, чтобы вы могли в ы я в и т ь потенциальные ошибки и избежать

их в будущем.

186 Компьютеры

Глава 5

Темы экзамена:

• Создание и поддержка объектов Active Directory.

а Автоматизация создания учетных записей Active Directory.

Q Поддержка учетных записей Active Directory.

Прежде всего

В данной главе для автоматизации процесса с о з д а н и я у ч е т н ы х записей ком-

пьютеров используются средства M i c r o s o f t W i n d o w s P o w e r S h e l l , M i c r o s o f t

VBScript, CSVDE и LDIFDE. Поэтому, п р и с т у п а я к ее и з у ч е н и ю , перечитайте

занятия 1 и 2 главы 3.

История из жизни

Дэн Холме

«Компьютеры тоже люди» – по крайней мере, так они воспринимаются в Active

Directory. Компьютеры имеют атрибут objectClass пользователя. Как и пользо-

ватели, компьютеры имеют учетные записи. Подобно пользователям, компью-

теры могут забывать свои пароли. Поскольку компьютеры – это принципалы

безопасности и могут подпадать под действие групповой политики (как описано

в следующей главе), учетные записи компьютеров следует интерпретировать

аналогично учетным записям пользователей.

Многим из вас наверняка приходилось удалять компьютер из домена, а затем

заново присоединять его к домену. Как описано на занятии 3, такая методика

аналогична удалению и воссозданию учетных записей пользователей, поэтому

применять ее не рекомендуется. Я привел лишь один из примеров пренебрежи-

тельного отношения администраторов к учетным записям компьютеров.

В этой главе мы обсудим рекомендуемые методы поддержки учетных записей

компьютеров в домене на уровне поддержки остальных принципалов безопас-

ности (включая пользователей и группы). Кроме того, мы рассмотрим способы

применения инструментов командной строки, а.также сценариев VBScript и

Windows PowerShell для автоматизации создания объектов компьютеров и управ-

ления ими. Многие из этих процедур похожи на описанные в главе 3. Почему?

Потому, что, как сказано в начале врезки, «компьютеры тоже люди».

Занятие 1. Создание компьютеров и присоединение

их к домену

В конфигураций Windows Server 2008 по умолчанию, как и в Microsoft Windows

Server 2003, Windows Vista, Windows XP и W i n d o w s 2000, к о м п ь ю т е р принад-

лежит к рабочей группе. Перед входом иа к о м п ь ю т е р с п о м о щ ь ю д о м е н н о й

учетной записи нужно присоединить компьютер к домену. Д л я п р и с о е д и н е н и я

к домену компьютер должен располагать учетной з а п и с ь ю в домене, которая,

аналогично пользбйательской учетной записи,1 с о д е р ж и т и м я входа (атрибут

sAMAccountName), пароль и идентификатор безопасности ( S I D ) , к о т о р ы й уни-

кальным образом представляет компьютер в домене к а к п р и н ц и п а л безопаснос-

ти. Эти учетные данные позволяют компьютеру п р о х о д и т ь п р о в е р к у подлин-

ности в домене и создать безопасную связь, с п о м о щ ь ю к о т о р о й пользователи

Занятие 1

Создание компьютеров и присоединение их к домену

1 8 7

затем смогут в о й т и в с и с т е м у с п р и м е н е н и е м у ч е т н ы х записей домена. На

этом з а н я т и и мы р а с с м о т р и м подготовку домена д л я присоединения нового

компьютера, а т а к ж е само п р и с о е д и н е н и е компьютера к домену.

Изучив материал этого занятия, вы сможете:

У Проектировать структуру подразделений компьютеров.

У Создавать объекты компьютеров в домене.

У Делегировать создание объектов компьютеров.

У Присоединять компьютеры к домену.

У Перенаправлять контейнер компьютеров по умолчанию.

/ Запрещать иеадминистративным пользователям создавать компьютеры

и присоединять их к домену.

Продолжительность занятия – около 45 мин.

Рабочие группы, домены и доверие

В р а б о ч е й г р у п п е к а ж д а я система поддерживает хранилище учетных записей

п о л ь з о в а т е л е й и г р у п п . Л о к а л ь н о е х р а н и л и щ е объектов идентификации на

к а ж д о м к о м п ь ю т е р е н а з ы в а е т с я базой д а н н ы х диспетчера безопасности учет-

ных з а п и с е й S A M ( S e c u r i t y A c c o u n t s Manager). Если пользователь входит на

к о м п ь ю т е р р а б о ч е й г р у п п ы , система в ы п о л н я е т проверку подлинности этого

п о л ь з о в а т е л я в с в о е й л о к а л ь н о й базе данных SAM. Если пользователь под-

к л ю ч а е т с я к еще о д н о й системе, н а п р и м е р д л я получения доступа к файлу,

вновь в ы п о л н я е т с я проверка п о д л и н н о с т и пользователя в хранилище объектов

и д е н т и ф и к а ц и и у д а л е н н о й с и с т е м ы . В отношении безопасности компьютер

рабочей г р у п п ы по всем п а р а м е т р а м – независимая автономная система.

К о м п ь ю т е р , п р и с о е д и н я е м ы й к домену, делегирует ему задачу проверки

п о д л и н н о с т и п о л ь з о в а т е л е й . Х о т я компьютер продолжает поддерживать свою

базу д а н н ы х S A M у ч е т н ы х з а п и с е й л о к а л ь н ы х пользователей и групп, учетные

з а п и с и п о л ь з о в а т е л е й , к а к правило, будут создаваться в центральном каталоге

домена. П о л ь з о в а т е л ь , в х о д я щ и й на компьютер посредством доменной учетной

записи, т е п е р ь п р о х о д и т п р о в е р к у п о д л и н н о с т и на контроллере домена, а не в

базе д а н н ы х SAM. Д р у г и м и словами, компьютер доверяет контроллеру домена

и д е н т и ф и к а ц и ю п о л ь з о в а т е л я . Д о в е р и т е л ь н ы е отношения обычно рассмат-

р и в а ю т с я в к о н т е к с т е д в у х доменов, к а к описано в главе 12, однако доверие

у с т а н а в л и в а е т с я т а к ж е м е ж д у к а ж д ы м рядовым компьютером и его доменом;

это п р о и с х о д и т п р и п р и с о е д и н е н и и компьютера к домену.

Требования по присоединению компьютера к домену

Д л я п р и с о е д и н е н и я к д о м е н у Active Directory, компьютер д о л ж е н соответс-

твовать трем т р е б о в а н и я м :

• В с л у ж б е к а т а л о г о в д о л ж е н быть создан объект компьютера.

• Вы д о л ж н ы и м е т ь соответствующие разрешения доступа к объекту ком-

пьютера, в к л ю ч а я п р а в о п р и с о е д и н е н и я к д о м е н у к о м п ь ю т е р а с т е м же

именем, что у объекта в домене.

• 188 Компьютеры

Глава 5

• Чтобы изменить членство компьютера в домене и л и рабочей группе, нужно

быть членом локальной группы Администраторы (Administrators).

В следующих подразделах описаны все эти требования.

Контейнер Computers

Перед созданием объекта компьютера в службе к а т а л о г о в ( п е р в о е из трех

требований для присоединения компьютера к д о м е н у ) н у ж н о о п р е д е л и т ь с я

с контейнером, в который будет помещен этот объект. П р и создании д о м е н а по

умолчанию создается контейнер Computers (CN=Computers,...). Э т о т контей-

нер – не подразделение, а именно объект класса container. М е ж д у к о н т е й н е р о м

и подразделением существует тонкое, но важно отличие. В к о н т е й н е р е н е л ь з я

создать подразделение (то есть не вы можете разбить к о н т е й н е р C o m p u t e r s на

подразделения), и к контейнеру нельзя привязать объект групповой п о л и т и к и .

Поэтому для управления компьютерами настоятельно рекомендуется создавать

настраиваемые подразделения, а не использовать к о н т е й н е р C o m p u t e r s .

Создание подразделений компьютеров

Большинство организаций создают как минимум два подразделения д л я объек-

тов компьютеров: одно для учетных записей к о м п ь ю т е р о в – к л и е н т о в ( н а с т о л ь -

ные системы, ноутбуки и другие пользовательские с и с т е м ы ) и одно д л я сер-

веров. Этн два подразделения дополняют подразделение D o m a i n Controllers,

которое создается по умолчанию при установке Active Directory. К о м п ь ю т е р ы

создаются в каждом из этих подразделений. Между о б ъ е к т а м и к о м п ь ю т е р о в в

подразделении клиентов и в подразделении серверов и л и контроллеров д о м е н а

никакой технической разницы нет – они в любом случае о с т а ю т с я о б ъ е к т а м и

компьютеров. Однако особые подразделения обеспечивают у н и к а л ь н ы е области

управления, чтобы управление объектам клиентов м о ж н о б ы л о д е л е г и р о в а т ь

одной команде, а управление серверами – другой команде а д м и н и с т р а т о р о в .

В административно й^мо дел и неизбежно потребуется распределять к л и е н т ы

и серверы по разным подразделениям. Многие о р г а н и з а ц и и с о з д а ю т в под-

разделении сервера дочерние подразделения д л я у п р а в л е н и я к о н к р е т н ы м и

типами серверов, например одно подразделение д л я ф а й л о в ы х с е р в е р о в и

серверов печати, второе – для серверов баз данных. Таким образом, коман-

де администраторов каждого типа серверов можно делегировать у п р а в л е н и е

объектами компьютеров в соответствующем п о д р а з д е л е н и и . А н а л о г и ч н ы м

образом географически распределенные организации с л о к а л ь н ы м и командами

поддержки часто разбивают родительское подразделение кли е н т ов на дочерние

подразделения для каждого сайта местонахождения. Этот подход п о з в о л я е т

команде поддержки каждого сайта создавать объекты компьютеров в узле д л я

клиентов и с помощью этих объектов присоединять компьютеры к домену. Мы

привели лишь один пример. Итак, структура подразделений д о л ж н а соответс-

твовать модели управления, чтобы подразделения о б е с п е ч и в а л и о т д е л ь н ы е

точки управления для делегирования задач администрирования.

На рис. 5-1 показана типичная структура подразделений организации, в ко-

торой команды администраторов управляют о т д е л ь н ы м и т и п а м и серверов,

Занятие 1

Создание компьютеров и присоединение их к домену

189

а локальные к о м а н д ы технической поддержки занимаются клиентами в отдель-

ных географических регионах.

||| Active Directory -пользователя и компьютеры яшюаштшшштт ЯШщ

J S J i l

Консоль Действие Вид Справка

Шк ф : i ! •Га I X Г ! 0 ; г ]

J*. Щ ¥ 2

И Acbve Directory – пользователи и Иня

Тип

] Огнсаже

Ф . С о х р а н е н н ы е запросы

SJ BOS

Подразделение

Бостон

Б conloso.com

Шсн1

Подразделение

ч^саго

S

Buiibn

ijCFT

Подразделение

Кейптаун

ей

Computers

Ш DCA

Подразделение

BauftrTTOH

1*1 Ш Domain Controlers

DEN

Подразделение

Денвер

s

ForeignSecurityPrinapals

iJLAS

Подразделение

Лас-вегас

а

LostAridFound

53 ш Program Data

S

System

Ш

Users

а ш Адм^ктраторы

а ш Группы

а ш Кадры

ш Test

ш Testl

а

NTDS Quotas

а ш Q2ESSS

в ш Серверы

Application

ш Otrix

Ш Database

Ш Exchange

Файловые серверы

J J U

jJ

Рис. 5-1. Структура подразделений с администрированием клиентов на основе сайтов

и серверов на основе ролей

Кроме того, п о д р а з д е л е н и я позволяют создавать различные типы конфигу-

рации с п р и м е н е н и е м р а з н ы х объектов групповой политики GPO (Group Policy

Object), п р и в я з ы в а е м ы х к п о д р а з д е л е н и я м клиентов и серверов. Групповая

политика, о п и с а н н а я в главе 6, позволяет указать конфигурацию для подраз-

деления к о м п ь ю т е р о в путем п р и в я з к и объектов G P O с инструкциями конфи-

гурации к п о д р а з д е л е н и я м . В организациях клиенты часто распределяются по

подразделениям н а с т о л ь н ы х систем и ноутбуков. Затем к соответствующим

подразделениям п р и в я з ы в а ю т с я объекты групповой политики, указывающие

конфигурацию н а с т о л ь н ы х систем и л и ноутбуков.

Если в о р г а н и з а ц и и р е а л и з о в а н о децентрализованное администрирование

на основе сайтов и т р е б у е т с я у п р а в л я т ь уникальными типами конфигурации

настольных и м о б и л ь н ы х систем, вы столкнетесь с дилеммой проектирования.

Разбить ли п о д р а з д е л е н и е к л и е н т о в на основе администрирования, а затем

распределить их по п о д р а з д е л е н и я м настольных систем и ноутбуков, или на-

оборот – в н а ч а л е р а з д е л и т ь к л и е н т ы на настольные и мобильные системы,

а уже потом р а с п р е д е л и т ь их на основе администрирования? Эти варианты

представлены на рис. 5-2. Поскольку изначально подразделения в Active Direc-

tory предназначены д л я д е л е г и р о в а н и я административных задач посредством

наследования с п и с к о в к о н т р о л я доступа ACL (Access Control List), рекомен-

дуется п р и м е н я т ь методику, показанную на рисунке слева.

190 Компьютеры

Глава 5

В gj К л и е н т

В Ш Клиенты

В S3 80S

Е Ш Ноутбуки

Настольные сиаемы

B f f l B O S

53 Ноутбуки

в Ш сн|

вШсн!

и ЗЗСРТ

Настольные сиаемы

в Настольные системы

Ноутбуки

Ш 50 BOS

в Ш С Р Т

Ш Щ С Н 1

•й] Настольные системы,

В ШОТ

Ш Ноутбуки

Рис. 5-2. Варианты структуры подразделений

Делегирование разрешения создания компьютеров

По умолчанию группы Администраторы п р е д п р и я т и я ( E n t e r p r i s e A d m i n s ) ,

Администраторы домена (Domain Admins), Администраторы ( A d m i n i s t r a t o r s )

и Операторы учета (Account Operators) получают разрешение создавать объек-

ты компьютеров в любом новом подразделении. Тем не менее, к а к г о в о р и л о с ь

в главе 4, рекомендуется строго ограничивать членство в п е р в ы х трех группах

и не вводить администраторов в группу Операторы учета.

Вместо этого делегируйте разрешение с о з д а н и я о б ъ е к т о в к о м п ь ю т е р о в

соответствующим администраторам или персоналу т е х н и ч е с к о й п о д д е р ж к и .

Разрешение Создание объектов: Компьютер ( C r e a t e C o m p u t e r O b j e c t s ) , на-

значенное группе подразделения, позволяет членам группы создавать объекты

компьютеров в этом подразделении. Например, вы можете разрешить персоналу

технической поддержки настольных систем создавать о б ъ е к т ы к о м п ь ю т е р о в

в подразделении клиентов, а администраторам ф а й л о в ы х серверов р а з р е ш и т ь

создавать объекты компьютеров в подразделении ф а й л о в ы х серверов.

ПРИМЕЧАНИЕ

В упражнении 3 в конце этого занятия делегирование создания объектов компью-

теров описано пошагово.

Предварительное размещение учетной записи компьютера

Получив разрешение на создание объектов компьютеров, вы м о ж е т е щ е л к н у т ь

подразделение правой кнопкой мыши и в меню Создать (New) выбрать команду

Компьютер (Computer). Откроется диалоговое окно Н о в ы й объект – Компью-

тер (New Object – Computer), изображенное на рис. 5-3.

Введите имя компьютера в соответствии с с о г л а ш е н и я м и об и м е н о в а н и и