Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 20 (всего у книги 91 страниц)
в организации и выберите пользователя или группу, к о т о р о й будет разрешено
с помощью этой учетной записи присоединить к о м п ь ю т е р к домену. И м е н а
компьютера в полях Имя компьютера ( C o m p u t e r N a m e ) и И м я компьютера
(пред-Windows 2000) (Computer Name (Pre-Windows 2000)) д о л ж н ы быть оди-
наковыми. Настройка отдельных имен требуется крайне редко.
ПРИМЕЧАНИЕ Уровень разрешений, предоставляемых при делегировании
Разрешений, даваемых пользователю или группе, выбранной в окне Новый объект —
Компьютер (New Object – Computer), более чем достаточно для присоединения
компьютера к домену. Выбранному пользователю или группе также предоставляется
право на все модификации объекта компьютера.
Занятие 1
Создание компьютеров и присоединение их к домену
191
Создать в: contoso.сот^лиенты
Имя компьютера;
: |DES)CrOP123
Имя компьютера {npeo-Windows 2000):
|иЫч'!ОР123
Присоединить К домену ЗТОТ ко*ъкттер могут пользователь WIN группа
пользователем, указанные ниже.
Имя пользователя или грунты:
j 0зо1озо.сот/АдимН1ктраторы/Ге>н^еская поааеол Изнеиигь.Т
„
} Назмачмтв учетной записи crarycnpea-Windows 2000
OK j отмена j Справка ]
Рис. 5-3. Диалоговое окно нового объекта компьютера
Создание у ч е т н о й з а п и с и компьютера перед присоединением к домену на-
зывается ее предварительным размещением (prestaging). Преимущество такого
приема в том, что у ч е т н а я з а п и с ь помещается в соответствующее подразделе-
ние, а следовательно, д е л е г и р у е т с я в соответствии с политикой безопасности,
определенной в с п и с к е ACL п о д р а з д е л е н и я и подпадающей под действие объ-
екта G P O , п р и в я з а н н о г о к п о д р а з д е л е н и ю еще до присоединения компьюте-
ра к домену. П р е д в а р и т е л ь н о е р а з м е щ е н и е настоятельно рекомендуется по
причинам, у к а з а н н ы м в п о д р а з д е л е « П р и ч и н ы предварительного размещения
объектов к о м п ь ю т е р о в » .
Присоединение компьютера к домену
Предварительно р а з м е щ а я о б ъ е к т компьютера, вы выполняете первые два тре-
бования д л я п р и с о е д и н е н и я компьютера к домену: создаете объект компьютера
и назначаете р а з р е ш е н и е на присоединение компьютера с таким же именем к
домену. Теперь л о к а л ь н ы й а д м и н и с т р а т о р компьютера может изменить членс-
тво этого к о м п ь ю т е р а в д о м е н е и ввести указанные доменные учетные данные,
чтобы успешно з а в е р ш и т ь процесс. Д л я присоединения компьютера к домену
выполните с л е д у ю щ и е д е й с т в и я .
1. Войдите на к о м п ь ю т е р , и с п о л ь з у я учетные данные, принадлежащие ло-
кальной г р у п п е А д м и н и с т р а т о р ы (Administrators) компьютера.
Только л о к а л ь н ы е а д м и н и с т р а т о р ы могут менять членство компьютера
в домене и л и р а б о ч е й группе.
2. Откройте окно свойств системы с помощью одного из следующих методов.
• В W i n d o w s ХР и W i n d o w s Server 2003: щелкните правой кнопкой зна-
чок М о й к о м п ь ю т е р ( M y C o m p u t e r ) и примените команду Свойства
(Properties).
• В W i n d o w s Vista и W i n d o w s Server 2008: щелкните правой кнопкой
м ы ш и з н а ч о к К о м п ь ю т е р ( C o m p u t e r ) примените команду Свойства
• 192 Компьютеры
Глава 5
(Properties), а затем в секции И м я компьютера, и м я д о м е н а и парамет-
ры рабочей группы (Computer Name, D o m a i n , and W o r k g r o u p Settings)
щелкните ссылку Изменить параметры ( C h a n g e S e t t i n g s ) .
3. Перейдите на вкладку И м я компьютера ( C o m p u t e r N a m e ) .
4. Щелкните кнопку Изменить (Change).
5. В секции Является членом (Member O f ) в ы б е р и т е п а р а м е т р Д о м е н ( D o -
main).
6. Введите имя домена, к которому хотите п р и с о е д и н и т ь к о м п ь ю т е р .
ПРИМЕЧАНИЕ Применение полного DNS-имени домена
Укажите полное DNS-имя домена. Это не только требуется для успеха операции, но
н поможет избежать вероятной проблемы разрешения имен DNS, которую нужно
устранить до присоединения компьютера к домену.
7. Щелкните ОК
8. Система Windows потребует указать учетные д а н н ы е п о л ь з о в а т е л я домена.
Домен определяет, существует ли объект с и м е н е м к о м п ь ю т е р а .
• Если объект существует и компьютер с т а к и м и м е н е м у ж е присоединен
к домену, возникнет ошибка и вы не с м о ж е т е п р и с о е д и н и т ь компьютер
к домену.
• Если объект существует и предварительно р а з м е щ е н ( к о м п ь ю т е р с та-
ким же именем, не присоединенный к д о м е н у ) , д о м е н подтверждает,
что введенная учетная запись имеет р а з р е ш е н и е на п р и с о е д и н е н и е ком-
пьютера к домену.
• Если учетная запись компьютера не б ы л а п р е д в а р и т е л ь н о размещена,
Windows проверяет, имеете ли вы р а з р е ш е н и е на с о з д а н и е нового объ-
екта компьютера в контейнере к о м п ь ю т е р о в по у м о л ч а н и ю . Е с л и вы
располагаете разрешениями на создание нового о б ъ е к т а к о м п ь ю т е р а в
контейнере по умолчанию, будет создан о б ъ е к т с и м е н е м компьютера.
Этот метод присоединения к д о м е н у п о д д е р ж и в а е т с я д л я о б р а т н о й
совместимости, но использовать его не стоит. Р е к о м е н д у е т с я п р е д в а р и :
тельно разместить учётную запись, к а к у к а з а н о р а н е е и к а к подробнее
описано в подразделе «Причины п р е д в а р и т е л ь н о г о р а з м е щ е н и я объек-
тов компьютеров».
Затем компьютер присоединяется к д о м е н у п у т е м его о т о ж д е с т в л е н и я
с объектом в Active Directory. Его S I D – и д е н т и ф и к а т о р к о н ф и г у р и р у е т с я в
соответствии с SID учетной записи компыотера'в домене, а т а к ж е назнача-
ется исходный пароль. Затем компьютер р е ш а е т д р у г и е задачи, с в я з а н н ы е
с присоединением к домену. Ои добавляет г р у п п у А д м и н и с т р а т о р ы домена
(Domain Admins) в локальную группу А д м и н и с т р а т о р ы ( A d m i n i s t r a t o r s ) ,
а группу Пользователи домена (Domain Users) – в л о к а л ь н у ю группу Поль-
зователи (Users). _ _
Занятие 1
Создание компьютеров и присоединение их к домену
1 9 3
9. Вам будет п р е д л о ж е н о п е р е з а г р у з и т ь компьютер. Щ е л к н и т е О К , чтобы
закрыть окно с о о б щ е н и я .
10. Щ е л к н и т е к н о п к у З а к р ы т ь (Close) в Windows Vista или OK в Windows XP,
чтобы з а к р ы т ь д и а л о г о в о е окно свойств системы.
11. Вам вновь будет п р е д л о ж е н о в ы п о л н и т ь перезагрузку компьютера, после
которой система станет членом домена и вы сможете войти в нее с помощью
учетных д а н н ы х домена.
Посредством к о м а н д ы Netdom.exe компьютер можно присоединить к домену
в окне к о м а н д н о й с т р о к и . Д а л е е приведен базовый синтаксис этой команды:
netdom join Имя_машины /Domain -.Имя_домена [/0U: «ОИ_подраздепент»]
[/1зог0:Имя_локального пользователя] [/PasswordO: {Локальный_пароль*) ]
[/15вг0Имя_пользователя_домена] [/PasswordD: {Доменный_пароль«} ]
[/SecurePasswordPrompt] [/REBoot[ :Время_в_секундах]]
Во-первых, п р и с о е д и н я т ь к о м п ь ю т е р к домену в командной строке удобно,
п о с к о л ь к у эту к о м а н д у м о ж н о в к л ю ч и т ь в сценарий, выполняющий другие
действия. Во-вторых, к о м а н д у Netdom.exe можно использовать для удаленного
п р и с о е д и н е н и я к о м п ь ю т е р а к домену. В-третьих, Netdom.exe позволяет указать
п о д р а з д е л е н и е д л я о б ъ е к т а к о м п ь ю т е р а . В принципе, параметры команды не
т р е б у ю т о б ъ я с н е н и й . П а р а м е т р ы UserO и PasswordO представляют учетную
запись ч л е н а л о к а л ь н о й г р у п п ы Администраторы (Administrators) компьютера
рабочей группы. Е с л и у к а з а т ь звездочку (*) вместо пароля, команда Netdom.exe
п р е д л о ж и т в в е с т и п а р о л ь в к о м а н д н о й строке. Параметры UserD и PasswordD
п р е д с т а в л я ю т у ч е т н у ю з а п и с ь с р а з р е ш е н и е м на создание объекта компьюте-
ра, если у ч е т н а я з а п и с ь не р а з м е щ е н а предварительно, и л и для присоедине-
н и я к о м п ь ю т е р а к п р е д в а р и т е л ь н о р а з м е щ е н н о й учетной записи. Параметр
REBoot у к а з ы в а е т на н е о б х о д и м о с т ь перезагрузить систему после присоедине-
н и я к домену. По у м о л ч а н и ю н а з н а ч а е т с я временной интервал 30 с. Если для
п а р а м е т р а PasswordO или PasswordD у к а з а н символ звездочки (*), параметр
SecurePasswordPrompt о т о б р а з и т в с п л ы в а ю щ е е окно ввода учетных данных.
Причины предварительного размещения объектов компьютеров
Еще до п р и с о е д и н е н и я к о м п ь ю т е р а к домену рекомендуется предварительно
р а з м е с т и т ь у ч е т н у ю з а п и с ь к о м п ь ю т е р а . К сожалению, Windows позволяет
п р и с о е д и н я т ь к о м п ь ю т е р ы к домену, не п р и м е н я я рекомендуемые методики.
Вы м о ж е т е в о й т и на к о м п ь ю т е р рабочей группы как локальный администра-
тор и и з м е н и т ь ч л е н с т в о к о м п ь ю т е р а в домене. Затем по требованию система
W i n d o w s создает о б ъ е к т к о м п ь ю т е р а в контейнере для компьютеров по умол-
чанию, р а з р е ш а е т вам п р и с о е д и н и т ь компьютер к этому объекту, после чего
п р и с о е д и н я е т с и с т е м у к домену.
С у щ е с т в у ю т т р и п р о б л е м ы , с в я з а н н ы е с таким поведением Windows. Во-
первых, учетная з а п и с ь компьютера, автоматически создаваемая системой Win-
dows, п о м е щ а е т с я в к о н т е й н е р компьютеров по умолчанию, где большинство
предприятий предпочитают не держать свои объекты компьютеров. Во-вторых,
• 217 Компьютеры
Глава 5
компьютер потребуется переместить из контейнера по у м о л ч а н и ю в соответс-
твующее подразделение – дополнительная операция, к о т о р у ю часто забывают
нить В-третьих, любой пользователь сможет п р и с о е д и н и т ь компьютер к
ломику поскольку административные привилегии у р о в н я домена не потребуют-
Поскольку объект компьютера представляет собой п р и н ц и п а л безопасности,
^создатель объекта становится его владельцем и м о ж е т и з м е н я т ь атрибуты
объекта такая методика присоединения к о м п ь ю т е р а к д о м е н у представляет
потенциальную угрозу безопасности. Д а л е е эти н е д о с т а т к и о п и с а н ы более
подробно.
Настройка контейнера компьютеров по у м о л ч а н и ю
Если компьютер присоединяется к домену, когда о б ъ е к т к о м п ь ю т е р а еще не
существует в Active Directory, система W i n d o w s а в т о м а т и ч е с к и создает учет-
ную запись компьютера в контейнере по у м о л ч а н и ю с и м е н е м C o m p u t e r s (по
умолчанию CN-Computers,DC-домен). Проблема, с в я з а н н а я с этим, упомина-
лась ранее на данном занятии. Используя р е к о м е н д у е м ы й метод, вы получите
делегированные разрешения для а д м и н и с т р и р о в а н и я о б ъ е к т а к о м п ь ю т е р а в
конкретных подразделениях клиентов и серверов. К р о м е того, ч т о б ы управ-
лять конфигурацией этих объектов компьютеров, вы м о ж е т е п р и в я з а т ь к их
подразделениям объекты групповой п о л и т и к и G P O . Е с л и н о в ы й объект ком-
пьютера создан вне этих подразделений – в к о н т е й н е р е по у м о л ч а н и ю , его
разрешения и конфигурация, унаследованные от р о д и т е л ь с к о г о контейнера,
не удовлетворяют требуемым параметрам. К т о м у же, п о с л е п р и с о е д и н е н и я к
домену нужно не забыть переместить компьютер из к о н т е й н е р а по у м о л ч а н и ю
в соответствующее подразделение. ,
Чтобы снизить вероятность появления т а к о й п р о б л е м ы , р е к о м е н д у е т с я вы-
полнить два действия. Во-первых, всегда старайтесь п р е д в а р и т е л ь н о размещать
учетные записи компьютеров. Если учетную з а п и с ь к о м п ь ю т е р а предваритель-
но разместить в соответствующем подразделении, то к о м п ь ю т е р , п р и с о е д и н я -
емый к домену, будет использовать с у щ е с т в у ю щ у ю у ч е т н у ю з а п и с ь , а т а к ж е
будет субъектом делегирования и настройки.
Во-вторых, чтобы уменьшить в л и я н и е систем, п р и с о е д и н я е м ы х к домену
без предварительного размещения учетной з а п и с и к о м п ь ю т е р а , и з м е н и т е кон-
тейнер по умолчанию, чтобы им был не C o m p u t e r s , а п о д р а з д е л е н и е – субъект
делегирования и настройки. Например, если у вас есть п о д р а з д е л е н и е Клиенты,
вы можете указать Windows использовать его как к о н т е й н е р к о м п ь ю т е р о в по
умолчанию. Тогда, в случае присоединения к о м п ь ю т е р о в к д о м е н у без пред-
варительного размещения учетных записей, о б ъ е к т ы б у д у т с о з д а в а т ь с я в под-
разделении Клиенты.
Команда Redircmp.exe, доступная на к о н т р о л л е р а х доменов, перенаправляет
контейнер компьютеров по умолчанию; с и н т а к с и с к о м а н д ы с л е д у ю щ и й :
red! rcmp подразделения для новых объектов компьютеров"
Теперь в случае присоединения компьютера к д о м е н у без предварительно-
го размевдеиия учетной записи система W i n d o w s создает о б ъ е к т компьютера
в указанном подразделении.
Занятие 1
Создание компьютеров и присоединение их к домену
1 9 5
Перенаправление контейнера пользователей по умолчанию
Тот же подход применим и к созданию учетных записей пользователей. По
умолчанию, если учетная запись пользователя создается по упомянутому методу,
когда подразделение для учетной записи не указывается, объект создается в кон-
тейнере пользователей по умолчанию (CN-Users,ОС-Зсшеи)– Посредством ко-
манды Redirusr.exe, доступной на контроллерах доменов, можно перенаправлять
контейнер по умолчанию в реальное подразделение – субъект делегирования
и настройки. Аналогично Redircmp команда Redirusr принимает один параметр:
отличительное имя подразделения, которое станет контейнером пользователей
по умолчанию.
СОВЕТ К ЭКЗАМЕНУ
Команда Resdircmp.exe перенаправляет контейнер компьютеров по умолчанию в ука-
занное подразделение. Команда Redirsur.exe выполняет то же для контейнера поль-
зователей по умолчанию. Эти две команды могут служить дистракторами, пред-
ставляющими допустимые (не неправильные) ответы на вопросы о контейнерах
компьютеров или пользователей по умолчанию. Отвечая на любой вопрос экзамена,
оцените возможные ответы и определите, какие ответы предлагают реальные ко-
манды и какие предлагают неправильное применение этих команд.
Ограничение возможности создания компьютеров пользователями
При предварительном размещении учетной записи компьютера разрешения
этой учетной записи определяют, кому разрешено присоединить этот компью-
тер к домену. Если учетная запись не была размещена предварительно, система
Windows по умолчанию разрешает любому прошедшему проверку подлинности
пользователю создать объект компьютера в контейнере по умолчанию. Система
Windows разрешает любому прошедшему проверку подлинности пользовате-
лю создавать до десяти объектов компьютеров в контейнере компьютеров по
умолчанию. Создатель объекта компьютера по умолчанию получает разрешение
присоединить этот компьютер к домену. Таким образом, посредством этого
механизма любой прошедший проверку подлинности пользователь может при-
соединить к домену до десяти компьютеров без явных разрешений.
Квота в д е с я т ь к о м п ь ю т е р о в конфигурируется атрибутом ms-DS-
MachineAccount Quota домена. Она позволяет любому прошедшему проверку
подлинности пользователю присоединить компьютер к домену, не задавая
никаких вопросов. Это неприемлемо с точки зрения безопасности, поскольку
компьютеры – принципалы безопасности, а создатель принципала безопаснос-
ти может управлять свойствами этого компьютера. В некотором отношении эта
квота аналогична разрешению любому пользователю домена создать десять
учетных записей пользователей без какого-либо контроля.
Настоятельно рекомендуется закрыть эту брешь безопасности, чтобы неад-
министративные пользователи не могли присоединять компьютеры к домену.
Для изменения атрибута ms-DS-MachineAccountQuota выполните следующее.
• 196 Компьютеры
Глава 5
1. В группе Администрирование (Administrative Tools) откройте оснастку
Редактирование ADSI (ADSI Edit).
2. Щелкните правой кнопкой мыши узел Редактирование ADSI (ADSI Edit)
и примените команду Подключение к (Connect То).
3. В секции Точка подключения (Connection Point) выберите опцию Выберите
известный контекст подключения (Select A Well Known Naming Context),
а в раскрывающемся списке выберите Контекст именования по умолчанию
(Default Naming Context).
4. Щелкните ОК.
5. Разверните Контекст именования по умолчанию (Default Naming Context).
6. Щелкните правой кнопкой мыши, к примеру, папку домена dc=contoso,dc=com
и примените команду Свойства (Properties).
7. Выберите атрибут ms-DS-MachineAccountQuota и щелкните кнопку Изме-
нить (Edit).
8. Введите значение 0.
9. Щелкните ОК.
Группе Прошедшие проверку (Authenticated Users) также назначается раз-
решение на добавление рабочих станций в домеи, но это разрешение моди-
фицировать не потребуется, если изменить значение по умолчанию атрибута
ms-DS-MachineAccountQuota.
После присвоения атрибуту ms-DS-MachineAccountQuota значения 0 право
присоединять компьютеры к домену будут иметь только те пользователи, ко-
торым явным образом делегированы разрешения на присоединение к предва-
рительно размещенным объектам компьютеров или создание новых объектов
компьютеров.
Контрольный вопрос
• Какие два параметра определяют возможность присоединения учетной за-
писи компьютера к домену?
Ответ на контрольный вопрос
• Чтобы присоединить компьютер к предварительно размещенной учетной за-
писи, нужно иметь разрешение на присоединение к домену. Если учетная за-
пись не была предварительно размещена, атрибут ms-DS-MachineAccountQuota
определяет число компьютеров, которое можно присоединить к домену
(в контейнер компьютеров по умолчанию) без явного разрешения.
Устранив эту брешь безопасности, дайте соответствующим администрато-
рам явное разрешение создавать объекты компьютеров в подразделениях, как
описано в подразделе «Делегирование разрешения создания компьютеров»,
иначе появится сообщение об ошибке (рис. 5-4).
Занятие 1
Создание компьютеров и присоединение их к домену
1 9 7
*J
При присоединении к домену "caitoso.awn* произошла
следующая ошибка:
Компьютер не может быть присоединен к домену. На 5тон
домеме гренылвно максимальное допустимое число устных
загысен. Обратитесь к системному администратору с
просьбой отменить это ограничение или увеличить значение.
Рис. 5-4. Сообщение об ошибке, которое появляется при превышении пользователем квоты
учетных записей компьютеров по умолчанию, указанной атрибутом ms-DS-MachineAccountQuota
Практические занятия. Создание и присоединение компьютеров
к домену
В п р е д л о ж е н н ы х д а л е е у п р а ж н е н и я х вы примените рекомендуемые методы
с о з д а н и я к о м п ь ю т е р о в и п р и с о е д и н е н и я систем к домену. Вы начнете с созда-
н и я с т р у к т у р ы п о д р а з д е л е н и й д л я н о в ы х объектов компьютеров. Затем вы
п р е д в а р и т е л ь н о р а з м е с т и т е о б ъ е к т ы компьютеров и делегируете разрешение
на п р и с о е д и н е н и е к о м п ь ю т е р о в к домену. Вы делегируете разрешение на со-
здание о б ъ е к т о в к о м п ь ю т е р о в с п о м о щ ь ю команды Dsacls.exe и перенаправите
к о н т е й н е р к о м п ь ю т е р о в по у м о л ч а н и ю .
П е р е д в ы п о л н е н и е м э т и х у п р а ж н е н и й в домене contoso.com должны быть
созданы с л е д у ю щ и е объекты:
• п о д р а з д е л е н и е п е р в о г о у р о в н я Администраторы с дочерним подразделе-
н и е м Группы;
• г л о б а л ь н а я г р у п п а безопасности Администраторы сервера в дочернем под-
р а з д е л е н и и Группы;
• глобальная группа безопасности Справка в дочернем подразделении Группы;
• п о д р а з д е л е н и е первого у р о в н я Кадры;
• п о л ь з о в а т е л ь Д ж е ф ф Ф о р д в подразделении Кадры, который будет членом
г р у п п П о л ь з о в а т е л и д о м е н а ( D o m a i n Users) и Администраторы сервера
( S e r v e r A d m i n s ) ;
• п о л ь з о в а т е л ь Л и н д а М и т ч е л л в подразделении Кадры, которая будет чле-
ном г р у п п П о л ь з о в а т е л и д о м е н а ( D o m a i n Users) и Справка.
К р о м е того, г р у п п а П о л ь з о в а т е л и д о м е н а ( D o m a i n Users) д о л ж н а б ы т ь
членом г р у п п ы О п е р а т о р ы печати ( P r i n t Operators), которая находится в кон-
тейнере Builtin. Таким образом, все пользователи в учебном домене смогут вхо-
дить на к о н т р о л л е р д о м е н а S E R V E R 0 1 . Это нужно для практических занятий
в д а н н о м р у к о в о д с т в е , но в производственной среде разрешать пользователям
входить на к о н т р о л л е р ы доменов нельзя. Поэтому в производственной среде
не следует в к л ю ч а т ь г р у п п у П о л ь з о в а т е л и домена ( D o m a i n Users) в группу
О п е р а т о р ы печати ( P r i n t Operators).
• 198 Компьютеры
Глава 5
Упражнение 1. Создание подразделений для объектов компьютеров клиентов
и серверов
Прежде чем создавать учетные записи компьютеров, нужно создать подразде-
ления для этих объектов. В этом упражнении вы создадите подразделения для
объектов серверов и компьютеров.
1. Войдите на машину SERVER01 как администратор.
2. Откройте оснастку Active Directory – пользователи и компьютеры (Active
Directory Users And Computers) и разверните домен.
3. Щелкните правой кнопкой мыши домен contoso.com, выберите о п ц и ю Со-
здать (New) и примените команду Подразделение (Organizational U n i t ) .
4. Введите имя Клиенты и щелкните ОК.
5. Щелкните правой кнопкой мыши домен contoso.com, выберите о п ц и ю Со-
здать (New) и примените команду Подразделение (Organizational U n i t ) .
6. Введите имя Серверы и щелкните ОК.
Упражнение 2. Создание объектов компьютеров
После создания подразделений для объектов компьютеров м о ж н о з а н я т ь с я
предварительным размещением учетных записей д л я компьютеров, к о т о р ы е
будут присоединены к домену. В этом упражнении вы п р е д в а р и т е л ь н о раз-
местите учетную запись для клиента и учетную запись д л я сервера, после чего
делегируете разрешение на присоединение компьютера к домену.
1. Щелкните правой кнопкой мыши подразделение Клиенты, выберите опцию
Создать (New) и примените команду Компьютер ( C o m p u t e r ) .
2. Откроется диалоговое окно Новый объект – К о мп ь ю т е р ( N e w O b j e c t —
Computer), показанное на рис. 5-3.
3. В поле Имя компьютера (Computer Name) введите'DESKTOP101.
4. Щелкните кнопку Изменить (Change) возле поля И м я п о л ь з о в а т е л я и л и
группы (User Or Group).
5. В открывшемся диалоговом окне Выбор: "Пользователь" и л и "Группа" (Se-
lect User Or Group) нужно указать имя пользователя и л и группы, к о т о р о й
будет разрешено присоединить компьютер к домену. Введите и м я Справка.
Щелкните ОК.
6. Щелкните ОК, чтобы закрыть диалоговое окно Н о в ы й объект – К ом п ь ю т е р
(New Object – Computer).
7. Щелкните правой кнопкой мыши подразделение Серверы, выберите опцию
Создать (New) и примените команду Компьютер ( C o m p u t e r ) .
8. Откроется диалоговое окно Новый объект – Компьютер.
9. В поле Имя компьютера (Computer Name) введите SERVER02.
10. Щелкните Изменить (Change) возле поля И м я пользователя и л и г р у п п ы
(User Or Group).
11. В открывшемся диалоговом окне Выбор: "Пользователь" или "Группа" (Se-
lect User Or Group) введите имя Администраторы сервера. Щ е л к н и т е О К .
Занятие 1
Создание компьютеров и присоединение их к домену
1 9 9
12. Щелкните ОК, чтобы закрыть диалоговое окно Новый объект – Компьютер
(New Object – Computer).
Упражнение 3. Делегирование разрешения на создание объектов
компьютеров
Для создания учетных записей нужно иметь разрешение на создание объектов
компьютеров. Учетная запись Администратор (Administrator) располагает та-
кими разрешениями, а другим группам разрешение создавать учетные записи
компьютеров можно делегировать. В этом упражнении вы делегируете мини-
мальный уровень разрешений на создание объектов компьютеров.
1. На машине SERVER01 откройте оснастку Active Directory – пользователи
и компьютеры (Active Directory Users And Computers)?
2. Щелкните меню Вид (View) и установите флажок Дополнительные ком-
поненты (Advanced Features).
3. Щелкните правой кнопкой мыши подразделение Клиенты и примените
команду Свойства (Properties).
4. Перейдите на вкладку Безопасность (Security).
5. Щелкните кнопку Дополнительно (Advanced).
6. Щелкните кнопку Добавить (Add).
7. Введите имя Справка и щелкните ОК.
8. В открывшемся окне перейдите на вкладку Объект (Object).
9. В раскрывающемся списке Применять (Apply То) выберите уровень Этот
объект и все дочерние объекты (This Object And All Descendant Objects).
10. В списке Разрешения (Permissions).установите флажок Разрешить (Allow)
напротив Создание объектов: Компьютер (Create Computer Objects).
11. Трижды щелкните OK, чтобы закрыть все диалоговые окна.
12. Можете проверить делегирование, запустив командную строку под именем
пользователя Л и н д ы Митчелл и выполнив упражнение 1 занятия 2.
Упражнение 4. Перенаправление контейнера компьютеров по умолчанию
Рекомендуется перенаправить контейнер компьютеров по умолчанию, чтобы
все новые объекты компьютеров, генерируемые в случае присоединения ком-
пьютеров к домену без предварительного размещения учетной записи, созда-
вались в управляемом подразделении, а не в контейнере Computers. В этом
упражнении вы используете команду Redircmp.exe для перенаправления кон-
тейнера компьютеров по умолчанию.
1. На машине S E R V E R 0 1 откройте окно командной строки.
2. Введите следующую команду и нажмите клавишу Enter:
redircmp "Ои=Клиенты,DC=contoso,DC=com"
Упражнение 5 (по желанию). Присоединение компьютера к домену
В этом упражнении вы присоедините компьютер к домену. Для этого необхо-
дим еще один компьютер: сервер SERVER02 с системой Windows Server 2008
• 200 Компьютеры
Глава 5
или клиентская машина DESKTOPlOl с системой Windows Vista. Если ком-
пьютеру присвоено другое имя, нужно переименовать его и л и создать объект
для этого компьютера в подразделении Кадры в соответствии с и н с т р у к ц и я м и
упражнения 2.
1. Войдите на компьютер рабочей группы с учетными данными, принадлежа-
щими к локальной группе Администраторы (Administrators) компьютера.
2. Откройте окно свойств системы, применив один из с л е д у ю щ и х методов:
• откройте апплет Система (System) в панели управления;
• в меню Пуск (Start) щелкните правой кнопкой м ы ш и с с ы л к у Компью-
тер (Computer);
• нажмите клавишу Windows и клавишу Pause.
3. В секции Имя компьютера, имя домена и параметры рабочей группы ( C o m -
puter Name, Domain, and Workgroup Settings) щ е л к н и т е с с ы л к у И з м е н и т ь
параметры (Change Settings).
4. Перейдите на вкладку Имя компьютера ( C o m p u t e r N a m e ) .
5. Щелкните кнопку Изменить (Change).
6. В секции Является членом (Member Of) выберите о п ц и ю Д о м е н ( D o m a i n ) .
7. Введите имя домена contoso.com, к которому хотите присоединить компьютер.
8. Щелкните ОК. Компьютер попытается связаться с доменом. С и с т е м а Win-
dows предложит ввести учетные данные пользователя домена.
9. Введите учетные данные и щелкните О К . .
• Если вы присоединяете к домену машину S E R V E R 0 2 , введите учетные
данные пользователя Джеффа Форда, входящего в г р у п п у Администра-
торы сервера.
• Если вы присоединяете к домену машину D E S K T O P l O l , в в е д и т е учет-
ные данные пользователя Линды Митчелл из г р у п п ы С п р а в к а .
10. Вам будет предложено перезагрузить компьютер. Щ е л к н и т е О К, ч т о б ы
закрыть это окно сообщения.
11. Щелкните кнопку Закрыть (Close), чтобы закрыть диалоговое окно свойств
системы.
12. Перезагрузите компьютер.
Резюме
• Контейнер Computers не поддерживает с в я з ы в а н и е о б ъ е к т о в г р у п п о в о й
политики и создание дочерних подразделений. П о э т о м у р е к о м е н д у е т с я
создать структуру подразделений, соответствующую м о д е л и у п р а в л е н и я
организации.
• Всегда предварительно размещайте учетные з а п и с и к о м п ь ю т е р о в : перед
присоединением системы к домену нужно создать в Active Directory объект
для этого компьютера.
• Для успешного присоединения компьютера к домену необходимо следу-
ющее: вы должны быть локальным администратором компьютера, должна
Занятие 1
Создание компьютеров и присоединение их к домену 2 0 1
быть создана учетная з а п и с ь к о м п ь ю т е р а и требуется предоставить домен-
ные учетные д а н н ы е с р а з р е ш е н и е м на присоединение объекта компьютера
к домену.
• Команда Redircmp.exe и с п о л ь з у е т с я д л я перенаправления контейнера ком-
пьютера по у м о л ч а н и ю в подразделение, которое можно делегировать и кон-
ф и г у р и р о в а т ь в с о о т в е т с т в и и с т р е б о в а н и я м и предприятия.
• Атрибут ms-DS-MachineAccountQuota позволяет всем прошедшим провер-
ку п о д л и н н о с т и п о л ь з о в а т е л я м п р и с о е д и н и т ь до десяти систем к домену.
С и с т е м а W i n d o w s будет с о з д а в а т ь объекты компьютеров д л я этих систем
в к о н т е й н е р е к о м п ь ю т е р о в по у м о л ч а н и ю . Чтобы запретить неадминист-
р а т и в н ы м п о л ь з о в а т е л я м с о з д а в а т ь п р и н ц и п а л ы безопасности, установите
для этой к в о т ы з н а ч е н и е 0.
Закрепление материала
Следующие в о п р о с ы м о ж н о и с п о л ь з о в а т ь д л я проверки знаний, полученных
на з а н я т и и 1. Э т и в о п р о с ы есть и на сопроводительном компакт-диске.
ПРИМЕЧАНИЕ Ответы
Ответы на этн вопросы с пояснениями, почему тот или иной вариант ответа пра-
вилен или неверен, вы найдете в разделе «Ответы» в конце книги.
1. Требуется, ч т о б ы все н о в ы е у ч е т н ы е з а п и с и компьютеров, создаваемых
в процессе п р и с о е д и н е н и я к о м п ь ю т е р о в к домену, помещались в подразде-
л е н и е К л и е н т ы . К а к у ю к о м а н д у использовать д л я решения этой задачи?
A. Dsmove.
Б. Move-Item.
B. Netdom.
Г. Redircmp.
2. Н е о б х о д и м о з а п р е т и т ь н е а д м и н и с т р а т и в н ы м пользователям присоединять
