Текст книги "Настройка Active Directory. Windows Server 2008"

Автор книги: Dan Holme

Соавторы: Danielle Ruest,Nelson Ruest
сообщить о нарушении

Текущая страница: 22 (всего у книги 91 страниц)

• 214 Компьютеры

Глава 5

Параметр пешате позволяет переименовать объект, а параметр newparent –

переместить. Для перемещения компьютера D E S K T O P 153,из контейнера Com-

puters в подразделение Клиенты можно использовать команду:

dsmove "CN=DESKT0P153,CN=Computers,DC=contoso,DC=com" -newparent

"Ои=Клиента, DC=contoso, DOcom"

Чтобы переместить компьютер с помощью WindowsPowerShell, нужно при-

менить метод psbase.MoveTo. Следующие две строки кода п е р е м е щ а ю т ком-

пьютер:

$obj Use r=[ ADSI ]" ЮАР: //DN_ компьютера"

SobjUser. psbase. Но/е1о(."10^Р-.//0И_конечного_подразделения")

Перемещая компьютер, учитывайте его делегирование и конфигурацию. Ко-

нечное подразделение может иметь другие разрешения, в результате чего объект

унаследует новые разрешения, что повлияет на управление этим компьютером.

Конечное подразделение также может подпадать под область д е й с т в и я других

объектов групповой политики, что может изменить к о н ф и г у р а ц и ю параметров

самой системы.

Управление компьютером в оснастке Active Directory –

пользователи и компьютеры

Одной из полезных, но редко применяемых ф у н к ц и й оснастки Active Direc-

tory – пользователи и компьютеры (Active Directory Users And C o m p u t e r s )

является команда Управление (Manage). Выберите в о с и а с т к е к о м п ь ю т е р ,

щелкните его правой кнопкой мыши и воспользуйтесь командой Управление

(Manage). Откроется консоль Управление компьютером ( C o m p u t e r M a n a g e -

ment), «сфокусированная» на выбранном компьютере; она предоставляет быс-

трый доступ к журналам событий компьютера, к л о к а л ь н ы м п о л ь з о в а т е л я м и

группам, конфигурации общих папок и другим расширениям д л я у п р а в л е н и я .

Этот инструмент запускается с учетными данными, используемыми д л я запуска

оснастки Active Directory – пользователи и компьютеры. Поэтому д л я полу-

чения максимальной функциональности консоли Управление к о м п ь ю т е р о м

(Computer Management) оснастку Active Directory – пользователи и компьюте-

ры нужно запускать от имени члена группы Администраторы ( A d m i n i s t r a t o r s )

удаленного компьютера.

Вход и защищенный канал компьютера

Каждый компьютер домена Active Directory поддерживает у ч е т н у ю з а п и с ь

компьютера с пользовательским именем (атрибут sAMAccountName) и паролем,

аналогичную учетной записи пользователя. Компьютер х р ани т свой п а р о л ь в

секрете подсистемы авторизации локальных пользователей LSA (Local Security

Authority) и меняет этот пароль в домене примерно каждые 30 дней. С л у ж б а

сетевого входа Netlogon использует эти учетные данные д л я входа в домен,

который устанавливает безопасный канал с контроллером домена.

Определение неполадок с учетными записями компьютеров

Учетные записи компьютеров и безопасные связи между компьютерами и их

доменом вполне стабильны. Тем не менее иногда возникают ситуации, когда

Занятие 3

Поддержка объектов и учетных записей компьютеров

2 1 5

компьютер ие м о ж е т п р о й т и п р о в е р к у подлинности в домене. Приведем не-

сколько примеров.

• После переустановки о п е р а ц и о н н о й системы на рабочей станции машина

не может п р о й т и п р о в е р к у п о д л и н н о с т и даже с использованием того же

имени компьютера. П о с к о л ь к у в процессе новой установки генерируется

S I D – и д е н т и ф и к а т о р и к о м п ь ю т е р не знает пароль учетной записи объекта

к о м п ь ю т е р а в д о м е н е , он не п р и н а д л е ж и т к домену и не может пройти

проверку п о д л и н н о с т и в домене.

• Компьютер полностью восстановлен из резервной копии и не может пройти

проверку п о д л и н н о с т и . В о з м о ж н о , после а р х и в а ц и и объект компьютера

изменил свой п а р о л ь в домене. Компьютеры изменяют свои пароли каждые

30 дней, а с т р у к т у р а Active Di r e c t o r y помнит текущий и предыдущий па-

роль. Если б ы л а в о с с т а н о в л е н а р е з е р в н а я копия компьютера с давно уста-

ревшим паролем, к о м п ь ю т е р не сможет пройти проверку подлинности.

• Секрет LSA компьютера давно не синхронизировался с паролем, известным

домену. То есть к о м п ь ю т е р не з а б ы л пароль – просто этот пароль не соот-

ветствует р е а л ь н о м у п а р о л ю в домене. В таком случае компьютер не может

пройти п р о в е р к у п о д л и н н о с т и и безопасный канал не будет создан.

Далее о п и с ы в а ю т с я о с н о в н ы е п р и з н а к и во з мо ж н ых неполадок учетной

записи компьютера.

• Сообщения п р и входе в домен указывают, что компьютеру не удается уста-

новить связь с к о н т р о л л е р о м домена, отсутствует учетная запись компьюте-

ра, введен н е п р а в и л ь н ы й пароль учетной записи компьютера или потеряно

доверие ( б е з о п а с н а я с в я з ь ) между компьютером и доменом. Пример такого

сообщения п о к а з а н на рис. 5-7.

Рис. 5-7. Сообщение об ошибке безопасного канала

• Сообщения и л и с о б ы т и я в ж у р н а л е событий, указывающие аналогичные

ошибки и л и п р е д п о л а г а ю щ и е неполадки паролей, доверительных отноше-

ний, безопасных к а н а л о в л и б о с в я з и с доменом или контроллером домена.

Одна из таких ошибок – отказ проверки подлинности с кодом ошибки 3210

(Failed То A u t h e n t i c a t e ) в ж у р н а л е событий компьютера.

• Учетная з а п и с ь к о м п ь ю т е р а в Active Directory отсутствует.

• 216 Компьютеры

Глава 5

Сброс учетной записи компьютера

В случае отказа безопасного канала его нужно переустановить. Д л я этого мно-

гие администраторы удаляют компьютер из домена, помещают его в рабочую

группу, а затем вновь присоединяют к домену. Эту методику не рекомендуется

использовать, поскольку может быть удалена учетная запись компьютера, в ре-

зультате чего будет потерян SID-ндентификатор и, что еще важнее, членство

компьютера в рабочей группе. При повторном присоединении к д о м е н у даже

с использованием того же имени компьютера потребуется заново создать учет-

ную запись для этого компьютера с новым S I D – и д е н т и ф и к а т о р о м и восстано-

вить членство предыдущего объекта компьютера во всех группах.

ПРИМЕЧАНИЕ Не удаляйте компьютер из домена,

чтобы повторно присоединить его

При потере доверительных отношений с доменом не у д а л я й т е к о м п ь ю т е р из домена

для повторного присоединения. Вместо этого переустановите б е з о п а с н ы й канал.

Для сброса безопасного канала между компьютером и д о м е н о м использу-

ется оснастка Active Directory —.пользователи и компьютеры (Active Direc-

tory Users and Computers), инструменты Dsmod.exe, Netdom.exe и Nltest.exe.

При сбросе учетной записи SID-идентификатор остается тем же, не меняется

и членство объекта компьютера в группах.

• Оснастка Active Directory – п о л ь з о в а т е л и и к о м п ь ю т е р ы Щ е л к н и т е

объект компьютера правой кнопкой мыши и примените команду Переуста-

новить учетную запись (Reset Account). Щ е л к н и т е к н о п к у Да (Yes), чтобы

подтвердить операцию. После этого компьютер следует заново присоеди-

нить к домену и перезагрузить.

• Команда Dsmod Введите команду dsmod computer "DN^компьютера " -reset.

Вам потребуется заново присоединить компьютер к домену и перезагру-

зить его.

• Команда Netdom Введите команду netdom reset Имя_машины /domain

Имя_домена /UserO Имя пользователя /PasswordO {Пароль | *} с у ч е т н ы м и

данными, относящимися к локальной группе Администраторы (Administra-

tors) компьютера. Эта команда сбрасывает безопасный канал, п ы т а я с ь сбро-

сить пароль на компьютере и в домене, поэтому она не требует повторного

присоединения к домену или перезагрузки компьютера.

• Команда Nltest На компьютере, где утрачены доверительные отношения,

введите команду nltest /$етег:Имя_сервера /sc_reset:MOMEHKoumpojinep_

'домена (например, nltest/server:SERVER02 /sc_reset:CONTOSOSERVER()1)•

Эта команда, аналогично Netdom.exe, пытается сбросить безопасный канал,

сбрасывая пароли на компьютере и в домене, поэтому она не требует повтор-

ного присоединения к домену или перезагрузки компьютера.

Поскольку команды Nltest.exe и Netdom.exe сбрасывают безопасный канал,

не требуя перезагрузки, попытайтесь вначале использовать их. И т о л ь к о если

они не решат проблемы, применяйте команду Переустановить учетную запись

(Reset Account) или Dsmod, чтобы сбросить учетную запись компьютера.

Занятие 3

Поддержка объектов и учетных записей компьютеров

2 1 7

К о н т р о л ь н ы й вопрос

• Пользователь жалуется, что при попытках войти в домен он получает со-

общение о потере доверительных отношений с доменом. Вы хотите переус-

тановить безопасный канал, не перезагружая систему пользователя. Какие

две команды м о ж н о использовать д л я этого?

Ответ на к о н т р о л ь н ы й вопрос

• К о м а н д ы NItest.exe и Netelom.exe сбрасывают безопасный канал, не требуя

заново присоединять компьютер к домену и перезагружать его.

Переименование компьютера

П е р е и м е н о в а н и е к о м п ь ю т е р а – это операция, которую нужно выполнять кор-

ректно. П о м н и т е , что к о м п ь ю т е р и с п о л ь з у е т свое и м я д л я проверки подлин-

ности в домене, т а к что если п е р е и м е н о в а т ь л и ш ь объект компьютера или сам

компьютер, и м я не будет синхронизировано. Переименовать компьютер нужно

так, чтобы б ы л и и з м е н е н ы и компьютер, и соответствующий объект в домене.

Ч т о б ы к о р р е к т н о п е р е и м е н о в а т ь компьютер, можно войти в систему само-

го к о м п ь ю т е р а л о к а л ь н о и л и в сеансе удаленного рабочего стола. В панели

у п р а в л е н и я о т к р о й т е о к н о свойств системы и в секции И м я компьютера, имя

домена и п а р а м е т р ы рабочей г р у п п ы ( C o m p u t e r Name, Domain, and Workgroup

Settings) щ е л к н и т е с с ы л к у И з м е н и т ь параметры (Change Settings). На вкладке

И м я к о м п ь ю т е р а ( C o m p u t e r N a m e ) щелкните кнопку Изменить (Change).

В окне к о м а н д н о й с т р о к и м о ж н о использовать команду Netdom со следу-

ю щ и м с и н т а к с и с о м :

netdom renamecomputer Имй_машины /ЫеиЫше:Новое_имя

[/15егО:Локальное_имй_пользователя] [/PasswordO: {Локапьный_пароль *} ]

[/Us егО:Доменное_имя_пользователя'] [/PasswordD: {Доменный_пароль •} ]

[/SecurePasswordPrompt] [/REBoot[ :Времй_в_секундах]]

П о м и м о т е к у щ е г о и м е н и компьютера ( Имя_машины) и нового имени (Яо-

вое_имя) следует указать учетные данные члена локальной группы администра-

торов компьютера, а т а к ж е у ч е т н ы е данные с разрешением на переименование

объекта к о м п ь ю т е р а в домене. По умолчанию команда Netdom.exe применяет

учетные данные, с п о м о щ ь ю которых была запущена команда. Учетные данные

члена л о к а л ь н о й г р у п п ы а д м и н и с т р а т о р о в можно указать с помощью пара-

метров UserO и PasswordO, а д л я у к а з а н и я доменных учетных данных с раз-

р е ш е н и е м на п е р е и м е н о в а н и е объекта компьютера служат параметры UserD

и PasswordD. Е с л и в м е с т о п а р о л я ввести звездочку (*), команда Netdom.exe

потребует в в е с т и п а р о л ь в к о м а н д н у ю строку. Если д л я параметра PasswordO

или PasswordD у к а з а н а звездочка (*), параметр SecurePasswordPrompt отобра-

жает в с п л ы в а ю щ е е окно д л я ввода учетных данных. После переименования

компьютер необходимо перезагрузить. Параметр REBoot назначает перезагрузку

системы через 30 секунд, если не указано другое значение в секундах.

Переименование компьютера может неблагоприятно повлиять на его службы.

Например, и м я сервера используется Службами сертификации Active Directory

• 218 Компьютеры

Глава 5

(Active Directory Certificate Services, AD CS). Учтите вероятные последствия

перед переименованием компьютера. Не применяйте эти методы д л я переиме-

нования контроллера домена.

Отключение и включение учетных записей компьютеров

Если компьютер отключается от сети и не будет использоваться п р о д о л ж и -

тельное время, отключите его учетную запись. Эта рекомендация соответствует

принципу безопасности, который гласит, что хранилище объектов и д е н т и ф и -

кации разрешает проверку подлинности лишь минимального ч и с л а у ч е т н ы х

записей, необходимого для функционирования организации. Отключение учет-

нон записи не модифицирует SlD-идентификатор и членство этой з а п и с и в

группах, и потом учетную запись можно будет включить, в о з о б н о в и в работу

компьютера.

Компьютер можно отключить, щелкнув его объект п р а в о й к н о п к о й м ы ш и

н применив команду Отключить учетную запись (Disable Account). Отключен-

ная учетная запись помечена, как видно на рис. 5-8, з н а ч к о м со стрелкой вниз

в оснастке Active Directory – пользователи и компьютеры (Active Di re c to ry

Users And Computers).

OESCTOP153

Рис, 5-8. Отключенная учетная запись компьютера

Пока учетная запись отключена, компьютер не может создать б е зо п а с н ы й

канал с доменом. В результате пользователи, которые ранее не в х о д и л и на ком-

пьютер, а следовательно, не располагают к э ш и р о ва н н ыми у ч е т н ы м и д а н н ы м и

на этом компьютере, не смогут войти в домен, пока путем в к л ю ч е н и я учетной

записи не будет заново установлен безопасный канал.

Чтобы включить учетную запись компьютера, выберите объект компьютера

и в контекстном меню примените команду Включить учетную з а п и с ь ( E n a b l e

Account).

Для отключения или включения учетной записи компьютера в окне коман-

дной строки служит команда Dsmod. Далее приведен ее синтаксис:

DSMOD COMPUTER 0Н_тпьОТера – D I S A B L E D YES

DSMOD COMPUTER ОН_коипыотера – D I S A B L E D NO

Удаление учетных записей компьютеров

Как вы уже знаете, учетные записи компьютеров, аналогично учетным записям

пользователей, поддерживают уникальный S I D – и д е н т и ф и к а т о р , с п о м о щ ь ю

которого администратор может предоставить разрешения доступа к компьюте-

рам. Кроме того, подобно учетным записям пользователей, к о м п ь ю т е р ы также

могут принадлежать к группам. Поэтому важно понимать, что удаление учетной

записи компьютера аналогично удалению таковой пользователя. П р и удалении

учетной записи компьютера теряется его членство в группах и S I D – и д е н т и ф и -

катор. Если компьютер был удален случайно и вместо него б ы л а создана еще

одна учетная запись компьютера, ей в любом случае будет присвоен другой

Занятие 3

Поддержка объектов и учетных записей компьютеров

2 1 9

S I D – н д е н т и ф и к а т о р . П о т р е б у е т с я з а н о в о у с т а н о в и т ь членство новой учет-

ной записи в группах и н а з н а ч и т ь ей все разрешения удаленного компьютера.

Удаляйте объекты к о м п ь ю т е р о в т о л ь к о в том случае, когда уверены, что эти

атрибуты безопасности объекта больше не потребуются.

Чтобы у д а л и т ь объект компьютера с помощью оснастки Active Directory —

пользователи и к о м п ь ю т е р ы (Active Directory Users And Computers), щелкните

правой к н о п к о й м ы ш и о б ъ е к т к о м п ь ю т е р а и в контекстном меню выберите

команду Удалить ( D e l e t e ) . П о т р е б у е т с я подтвердить удаление, а поскольку

эта операция необратима, по у м о л ч а н и ю выбрана кнопка Нет (No). Щелкните

кнопку Да (Yes), ч т о б ы у д а л и т ь объект.

С помощью к о м а н д ы Dsrm, описанной в главе 3, объект компьютера можно

удалить в окне к о м а н д н о й строки. Ч т о б ы удалить объект компьютера, введите

команду:

DSRM ВН_объекта

Укажите о т л и ч и т е л ь н о е и м я компьютера, как, например, "CN=Desktop154,

OU=KnueHmbi,DC=contoso,DC=com". После этого вам потребуется подтвердить

удаление.

Повторный ввод компьютеров в эксплуатацию

Если членство в группе, S I D – и д е н т и ф и к а т о р учетной записи компьютера и раз-

решения, н а з н а ч е н н ы е этому SID-идентификатору, играют важную роль в опе-

р а ц и я х домена, у ч е т н у ю з а п и с ь компьютера удалять нельзя. Но что делать,

если компьютер з а м е н е н системой с более м о щ н ы м оборудованием? Придется

переустановить у ч е т н у ю запись.

П р и сбросе у ч е т н о й з а п и с и компьютера сбрасывается его пароль, но все

остальные свойства объекта компьютера поддерживаются. Учетная запись со

сброшенным п а р о л е м д о с т у п н а д л я использования. С помощью этой учетной

записи можно п р и с о е д и н и т ь к домену любой компьютер, включая обновленную

систему. По сути, вы вводите эту учетную запись в повторную эксплуатацию,

предоставляя ее д р у г о й м а ш и н е . Вы можете даже переименовать эту учетную

запись. Ч л е н с т в о в группе и S I D – и д е н т и ф и к а т о р останутся теми же.

Как мы у ж е г о в о р и л и на э т о м занятии, команда Переустановить учетную

запись ( R e s e t A c c o u n t ) д о с т у п н а в контекстном меню, которое открывается

при щелчке объекта к о м п ь ю т е р а правой кнопкой мыши. Д л я сброса учетной

записи к о м п ь ю т е р а м о ж н о т а к ж е воспользоваться командой Dsmod, например:

dsmod computer "DN_K0Mnbi0mepa " -reset.

Практические занятия. Поддержка объектов

и учетных записей компьютеров

В п р е д л о ж е н н ы х далее у п р а ж н е н и я х вы займетесь поддержкой и устранением

неполадок у ч е т н ы х записей компьютеров. Д л я выполнения этих упражнений

в домене contoso.com д о л ж н ы б ы т ь созданы следующие объекты:

• подразделение первого у р о в н я Клиенты;

• два объекта к о м п ь ю т е р о в D E S K T O P 1 5 4 и D E S K T O P 1 5 5 в подразделении

Клиенты;

Глава 5

• дочерние подразделения Desktops и Laptops в подразделении Клиенты;

• подразделение первого уровня Кадры;

• учетные записи пользователей Линды Митчелл и Скотта М и т ч е л л а в под-

разделении Кадры с такой контактной информацией, как адрес, т е л е ф о н

и электронная почта;

• подразделение первого уровня Группы;

• группа Sales Desktops в подразделении Группы.

Упражнение 1. Управление объектами компьютеров

В этом упражнении вы решите несколько распространенных задач администри-

рования для поддержки компьютеров двух менеджеров по'продажам к о м п а н и и

Contoso, Ltd, а именно Линды Митчелл и Скотта Митчелла.

1. Войдите на машину SERVER01 как администратор.

2. Откройте оснастку Active Directory – пользователи и к о м п ь ю т е р ы (Active

Directory Users And Computers).

3. Выберите подразделение Клиенты.

4. В панели сведений щелкните правой кнопкой м ы ш и объект к о м п ь ю т е р а

DESKTOP154 и примените команду Свойства (Properties).

5. Перейдите на вкладку Управляется (Managed By).

6. Щелкните кнопку Изменить (Change).

7. Введите имя пользователя Скотт Митчелл и щ е л к н и т е О К .

Вкладка Управляется (Managed By) отображает к о н т а к т н у ю и н ф о р м а ц и ю

объекта пользователя Скотта Митчелла.

8. Щелкните кнопку Свойства (Properties).

Откроется окно свойств объекта, на к о т о р ы й с с ы л а е т с я а т р и б у т

managedBy.

9. Щелкните ОК, чтобы закрыть все диалоговые окна.

10. Повторите шаги 4-9, чтобы связать компьютер D E S K T O P 1 5 5 с пользова-

телем Линдой Митчелл.

11. Откройте подразделение Клиенты и в панели сведений в ы б е р и т е оба ком-

пьютера – DESKTOP154 и DESKTOP155..

12. Перетащите оба объекта в подразделение Desktops. Щ е л к н и т е к н о п к у Да

(Yes), чтобы подтвердить операцию.

13. В дереве консоли выберите подразделение Desktops.

14. В панели сведений выберите оба компьютера – D E S K T O P 1 5 4 и D E S K -

T O P S .

15. Щелкните правой кнопкой мыши один из выбранных к о м п ь ю т е р о в и при-

мените команду Свойства (Properties).,

Откроется диалоговое окно Свойства множественных элементов (Properties

For Multiple Items).

Занятие 3

Поддержка объектов и учетных записей компьютеров

2 2 1

16. Установите флажок Изменить текст описания у всех выбранных объектов

(Change The Description Text For All Selected Objects) и введите описание

Sales Desktops. Щелкните ОК.

17. Выберите оба компьютера, щелкните правой кнопкой один из них и при-

мените команду Добавить в группу (Add То A Group).

18. Введите мя группы Sales Desktops и щелкните ОК.

На экран будет выведено сообщение об успешном выполнении операции.

19. Щелкните ОК.

20. В дереве консоли выберите подразделение Domain Controllers.

21. В панели сведений щелкните правой кнопкой мыши объект SERVER01

и примените команду Управление (Manage).

22. Откроется консоль Управление компьютером (Computer Management),

сфокусированная на компьютере SERVER01.

Упражнение 2. Устранение неполадок учетных записей компьютеров

В данном упражнении вы имитируете сброс безопасного канала члена домена.

Если к домену contoso.com присоединен еще один компьютер, вы можете ис-

пользовать его имя в шаге 4 этого упражнения, чтобы на самом деле сбросить

безопасный канал.

1 Откройте окно командной строки.

2. Команда Nltest может тестировать безопасный канал и выполнять различные

тесты в домене. Введите команду nltest/? и просмотрите опции, поддержи-

ваемые утилитой Nltest.exe.

3. Команда Netdom решает множество задач, связанных с управлением ком-

пьютерами и доменом. Введите команду netdom /? и просмотрите опции,

поддерживаемые утилитой Netdom.exe.

4. С помощью команды netdom reset desktop154 имитируйте сброс безопасного

канала компьютера. Вы увидите сообщение о недоступности сервера RPC, j

поскольку система отключена от сети.

Резюме

• Свойства компьютера можно конфигурировать с помощью инструментов

Active Directory – пользователи и компьютеры (Active Directory Users And

Computers), Dsmod, Windows PowerShell и VBScript.

• Компьютеры поддерживают учетные записи, которые, аналогично учет-

ным записям пользователей, включают SID-идентификаторы и членство

в группах. Удалять объекты компьютеров нужно со всеми мерами предо-

сторожности. Отключенный объект компьютера можно включить вновь,

когда компьютер потребуется включить в домен.

• При разрыве доверительных отношений с доменом для сброса безопасного

канала можно использовать команду Переустановить учетную запись (Reset

Account) в оснастке Active Directory – пользователи и компьютеры (Active

Глава 5

Directory Users And Computers), команду Dsmod, а также команды Netdom.exe

и Nltest.exe.

Закрепление материала

Приведенные ниже вопросы можно использовать д л я п р о в е р к и знаний, по-

лученных на занятии 3. Эти вопросы можно найти и на с о п р о в о д и т е л ь н о м

компакт-диске.

ПРИМЕЧАНИЕ Ответы

Ответы на эти вопросы с пояснениями, почему тот и л и и н о й в а р и а н т ответа пра-

вилен или неверен, вы найдете в разделе «Ответы» в конце книги.

1. Администратор сервера обнаружил ошибки отказа п р о в е р к и п о д л и н н о с т и

(Failed То Authenticate) в журнале событий файлового сервера. Ч т о н у ж н о

сделать?

A. Переустановить учетную запись.

Б. Переустановить пароль сервера администратора.

B. Отключить и вновь включить учетную запись сервера.

Г. Удалить учетную запись администратора сервера.

2. Учетной записи компьютера предоставлены разрешения на поддержку сис-

темной службы. Эта учетная запись принадлежит к 15 группам. К о мп ь ют е р

заменен новой машиной. Ей присвоен новый инвентарный номер, который,

по правилам именования, должен служить именем'компьютера. Что н у ж н о

сделать? (Укажите все варианты. Каждый правильный ответ – л и ш ь часть

полного решения.)

A. Удалить учетную запись существующей системы.

Б. Создать учетную запись компьютера для новой системы.

B. Переустановить учетную запись для существующей системы.

Г. Переименовать учетную запись компьютера для существующей системы.

Д. Присоединить новую систему к домену.

3. Ваше предприятие недавно создало дочерний домен д л я п о д д е р ж к и ис-

следовательского проекта в удаленном размещении. В этот н о в ы й домен

перемещены учетные записи компьютеров участников проекта. В оснастке

Active Directory – пользователи и компьютеры (Active Directory Users And

Computers) объекты этих компьютеров помечены значком со стрелкой вниз.

Что следует сделать с учетными записями?

A. Переустановить.

Б. Отключить.

B. Включить.

Г. Удалить.

Сценарии 2 2 3

Закрепление материала главы

Д л я того чтобы п о п р а к т и к о в а т ь с я и закрепить знания, полученные при изуче-

нии представленного в э т о й главе материала, вам необходимо:

• ознакомиться с р е з ю м е главы;

• повторить и с п о л ь з у е м ы е в главе основные термины;

• изучить сценарий, в к о т о р о м описана р е а л ь н а я ситуация, требующая при-

менения п о л у ч е н н ы х знаний, и п р е д л о ж и т ь свое решение;

• в ы п о л н и т ь р е к о м е н д у е м ы е у п р а ж н е н и я ;

• сдать п р о б н ы й э к з а м е н с п о м о щ ь ю тестов.

Резюме главы

• К о м п ь ю т е р ы п о д д е р ж и в а ю т у ч е т н ы е записи, которые, подобно пользо-

в а т е л ь с к и м у ч е т н ы м з а п и с я м , с о д е р ж а т и м я входа, идентификатор безо-

пасности ( S I D ) и п а р о л ь . П о э т о м у учетные записи компьютеров следует

создавать и п о д д е р ж и в а т ь на т а к о м же уровне, как и учетные записи поль-

зователей.

• Учетные з а п и с и к о м п ь ю т е р о в м о ж н о создавать с помощью инструментов

Active D i rect ory – п о л ь з о в а т е л и и компьютеры (Active Directory Users and

C o m p u t e r s ) , Dsadd, Netdom.exe, W i n d o w s PowerShell и VBScript.

• Перед п р и с о е д и н е н и е м к о м п ь ю т е р о в к домену нужно предварительно раз-

местить д л я них у ч е т н ы е записи.

• Д л я с о з д а н и я о б ъ е к т а к о м п ь ю т е р а необходимы соответствующие разре-

ш е н и я в п о д р а з д е л е н и и Active Directory, а д л я присоединения объекта

к о м п ь ю т е р а к д о м е н у н у ж н о иметь соответствующие разрешения объекта

компьютера.

• В случае потери безопасного канала и доверительных отношений с доменом

следует п е р е у с т а н о в и т ь у ч е т н у ю запись с помощью команды Netdom.exe,

Nltest.exe и л и о с н а с т к и Active D i r e c t o r y – пользователи и компьютеры

(Active D i r e c t o r y Users a n d C o m p u t e r s ) .

Основные термины

З а п о м н и т е у к а з а н н ы й далее термин, чтобы лучше понять описываемые кон-

цепции.

• Б е з о п а с н ы й к а н а л З а ш и ф р о в а н н ы й к о м м у н и к а ц и о н н ы й поток между

компьютером и д о м е н о м . Б е з о п а с н ы й канал устанавливается службой се-

тевого входа Netlogon, к о т о р а я проходит проверку подлинности в домене

с и с п о л ь з о в а н и е м п о л ь з о в а т е л ь с к о г о имени и пароля компьютера.

Сценарии

В следующих сценариях вы примените навыки создания и поддержки объектов

компьютеров, а в т о м а т и з а ц и и их создания и присоединения к доменам. Ответы

на вопросы м о ж н о н а й т и в разделе «Ответы» в конце книги.

224 Компьютеры

Глава 5

Сценарий 1. Создание и присоединение объектов компьютеров

к домену

При аудите безопасности вы обнаружили много компьютеров в контейнере

Computers, что противоречит правилам, по которым учетные записи д л я ком-

пьютеров требуется предварительно размещать в подразделении К л и е н т ы .

Вас это беспокоит, поскольку контейнер Computers ие подпадает под действие

объектов групповой политики с корпоративными параметрами безопасности.

Вы хотите запретить администраторам и пользователям добавлять компьютеры

в контейнер Computers.

1. При каких обстоятельствах компьютеры добавляются в контейнер Com-

puters?

2. Как проверить, добавляются ли по умолчанию компьютеры в подразделение

Клиенты?

3. Что можно сделать, чтобы запретить неадминистративным пользователям

присоединять компьютеры к домену?

Сценарий 2. Автоматизация создания объектов компьютеров

Недавно вы заказали для удаленных менеджеров по продажам 100 ноутбуков.

Поставщик прислал в файле Excel список их инвентарных номеров. Как создать

учетные записи для этих систем, используя инвентарные номера в качестве

имен компьютеров?

1. Какой инструмент следует использовать для импорта компьютеров?

2. Вы импортируете компьютеры в новое подразделение. Как о т к л ю ч и т ь все

учетные записи в одной команде?

3. В оснастке Active Directory – пользователи и компьютеры (Active Direc-

tory Users and Computers) вы открыли один из импортированных объектов

и обнаружили, что забыли отконфигурировать атрибут Описание (Descrip-

tion) для группы Sales Laptop. Как отконфигурировать описание д л я 100 сис-

тем в оснастке Active Directory – пользователи и компьютеры?

Практические задания

Чтобы успешно подготовиться к сертификационному экзамену, в ы п о л н и т е

следующие задания.

Создание и поддержка учетных записей компьютеров

В этом упражнении вы выполните ключевые административные задачи д л я

поддержки жизненного цикла компьютера в Домене.

Для выполнения упражнения в домене contoso.com д о л ж н ы быть созданы

следующие объекты:

• подразделения первого уровня Клиенты; Серверы; Кадры;

• подразделение первого уровня Администраторы с'Дочерним подразделе-

нием Группы;

Практические задания 2 2 5

• группа С п р а в к а в подразделении Администраторы;

• учетные з а п и с и п о л ь з о в а т е л е й Л и н д ы М и т ч е л л и Э п р и л а Стюарта в под-

разделении Кадры;

• пользователь Л и н д а М и т ч е л л входит в группу Справка.

И, наконец, вам понадобится второй компьютер, который можно присоеди-

н я т ь к домену. На этом к о м п ь ю т е р е д о л ж н а быть установлена система Win-

dows Server 2008 и л и W i n d o w s Vista. Компьютер должен быть членом рабочей

группы. З а д а й т е д л я него и м я DESKTOP555.

• У п р а ж н е н и е 1 В о й д и т е на м а ш и н у S E R V E R 0 1 как администратор и со-

здайте в п о д р а з д е л е н и и К л и е н т ы учетную запись д л я компьютера DESK-

Т О Р 5 5 5 . В с е к ц и и П о л ь з о в а т е л ь и л и группа (User Or G r o u p ) щелкните

кнопку И з м е н и т ь ( C h a n g e ) и у к а ж и т е группу Справка, чтобы члены этой

группы м о г л и п р и с о е д и н и т ь к о м п ь ю т е р к домену.

• У п р а ж н е н и е 2 В о й д и т е на м а ш и н у D E S K T O P 5 5 5 как администратор.

П р и с о е д и н и т е к о м п ь ю т е р к домену. В окно ввода учетных данных введите

и м я и п а р о л ь п о л ь з о в а т е л я Л и н д ы Митчелл. Перезагрузите систему и вой-

дите в д о м е н к а к п о л ь з о в а т е л ь Э п р и л Стюарт.

• У п р а ж н е н и е 3 О т к р о й т е о с н а с т к у Active D i r e c t o r y – пользователи