355 500 произведений, 25 200 авторов.

Электронная библиотека книг » Dan Holme » Настройка Active Directory. Windows Server 2008 » Текст книги (страница 5)
Настройка Active Directory. Windows Server 2008
  • Текст добавлен: 8 октября 2016, 16:34

Текст книги "Настройка Active Directory. Windows Server 2008"


Автор книги: Dan Holme


Соавторы: Danielle Ruest,Nelson Ruest

Жанр:

   

ОС и Сети


сообщить о нарушении

Текущая страница: 5 (всего у книги 91 страниц)

р о л ь у ч е т н о й з а п и с и а д м и н и с т р а т о р а в д о м е н е contoso.com и щелкните О К .

Б у д е т у с т а н о в л е н а и с к о н ф и г у р и р о в а н а р о л ь AD DS, после чего сервер

п е р е з а г р у з и т с я .

Упражнение 4. Удаление контроллера домена

В э т о м у п р а ж н е н и и в ы у д а л и т е р о л ь A D D S и з у с т а н о в к и я д р а сервера.

1. В о й д и т е на к о м п ь ю т е р с я д р о м сервера к ак а д ми н и с тр а т ор .

2. Введите к о м а н д у dcpromo /unattend/AdministratorPassword:napanb и укажите

с т р о г и й п а р о л ь д л я л о к а л ь н о й у ч е т н о й з а п и с и а д м и н и с т р а т о р а сервера

п о с л е у д а л е н и я р о л и A D D S . Н а ж м и т е к л а в и ш у Enter.

Резюме

• У с т а н о в к а я д р а с е р в е р а ( S e r v e r C o r e ) W i n d o w s Server 2008 представляет

собой м и н и м а л ь н у ю и н с т а л л я ц и ю системы Windows, которая поддерживает

п о д н а б о р р о л е й и к о м п о н е н т о в сервера.

• Установка я д р а сервера м о ж е т п о в ы с и т ь у р о в е н ь безопасности и у п р а в л я -

е м о с т и с е р в е р о в W i n d o w s .

30

I •| g Установка

Глава 1

• Для добавления ролен в установку ядра сервера и у д а л е н и я их и с п о л ь – ;

зуется команда Ocsetup.exe. Исключение составляет роль AD DS, к о т о р а я

инсталлируется с помощью команды Dcpromo.exe.

ш Операции автоматизированного повышения и п о н и ж е н и я р о л и с е р в е р а

можно выполнять посредством команды Dcpromo.exe /unattend с соответс-

твующими параметрами.

Закрепление материала

Знания, полученные на занятии 2, можно проверить с п о м о щ ь ю п р и в е д е н н ы х

ниже вопросов, которые есть на сопроводительном компакт-диске.

ПРИМЕЧАНИЕ Ответы

Ответы на эти вопросы с пояснениями, почему тот либо иной вариант ответа пра-

вильный или неправильный, вы найдете в разделе -«Ответы» в конце книги.

1. Вы вошли как администратор на сервер S E R V E R 0 2 с установленным я д р о м

сервера Windows Server 2008, который я в л я е т с я о д н и м из к о н т р о л л е р о в

домена contoso.com. Вам требуется п о н и з и т ь ранг к о н т р о л л е р а д о м е н а .

Какие данные нужны для этого?

A. Пароль локального администратора.

Б. Учетные данные пользователя й группе А д м и н и с т р а т о р ы д о м е н а ( D o -

main Admins).

B. Учетные данные пользователя в группе контроллеров д о м е н а D o m a i n

Controllers.

Г. Адрес DNS-сервера.

2. На машине SERVER02 установлено ядро сервера (Server Core). На сервере

уже сконфигурирована роль AD DS. Вам нужно добавить на него с л у ж б ы

сертификации Active Directory (Active Directory Certificate Services, AD

DS). Что нужно сделать для этого?

A. Установить Службы сертификации Active Di r e c t o r y (Active D i r e c t o r y

Certificate Services).

Б. Установить Службы федерации Active Directory (Active D i r e c t o r y Fede-

ration Services).

B. Установить Службы управления правами Active D i r e c t o r y ( A c t i v e Di-

rectory Rights Management Services).

Г. Переустановить на машине Windows Server 2008, выбрав п о л н у ю уста-

новку (Full Installation).

Закрепление материала главы

Для того чтобы попрактиковаться и закрепить знания, п о л у ч е н н ы е п р и изуче-

нии представленного в этой главе материала, вам необходимо:

• ознакомиться с резюме главы; I

• повторить используемые в главе основные термины; I

Основные термины 3")

• и з у ч и т ь с ц е н а р и й , в к о т о р о м описана р е а л ь н а я ситуация, требующая при-

м е н е н и я п о л у ч е н н ы х з н а н и й , и п р е д л о ж и т ь свое решение;

в в ы п о л н и т ь р е к о м е н д у е м ы е у п р а ж н е н и я ;

• сдать п р о б н ы й э к з а м е н с п о м о щ ь ю тестов.

Резюме главы

• С л у ж б ы Active D i r e c t o r y в ы п о л н я ю т ф у н к ц и и и д е н т и ф и к а ц и и и управле-

н и я д о с т у п о м д л я п о д д е р ж к и сети организации.

в К о н т р о л л е р д о м е н а у п р а в л я е т х р а н и л и щ е м д а н н ы х Active Directory и свя-

з а н н ы м и с н и м с л у ж б а м и . К о н т р о л л е р ы д о м е н а создаются посредством

д о б а в л е н и я р о л и AD DS и ее п о с л е д у ю щ е й настройки с помощью команды

Dcpromo.exe.

а Я д р о с е р в е р а ( S e r v e r C o r e ) дает в о з м о ж н о с т ь снизить затраты на управле-

н и е и п о в ы с и т ь у р о в е н ь б е з о п а с н о с т и к о н т р о л л е р о в доменов.

Основные термины

З а п о м н и т е п р е д с т а в л е н н ы е далее т е р м и н ы и п о н я т и я , чтобы лучше понимать

о п и с ы в а е м ы е в д а н н о й главе к о н ц е п ц и и .

в П р о в е р к а п о д л и н н о с т и М е х а н и з м , с п о м о щ ь ю к о т о р о г о п р о в е р я е т с я

п о д л и н н о с т ь о б ъ е к т а и д е н т и ф и к а ц и и п о с р е д с т в о м с р а в н е н и я секретной

и н ф о р м а ц и и ( с к а ж е м , п а р о л е й п о л ь з о в а т е л я л и б о компьютера) с данными

в х р а н и л и щ е о б ъ е к т о в и д е н т и ф и к а ц и и .

в Д о м е н А д м и н и с т р а т и в н а я е д и н и ц а в Active Directory. Все контроллеры

в н у т р и д о м е н а р е п л и ц и р у ю т в д о м е н е и н ф о р м а ц и ю о пользователях, груп-

п а х и к о м п ь ю т е р а х .

ш Л е с П е р и м е т р э к з е м п л я р а Active Directory. Содержит один или несколько

д о м е н о в . Все д о м е н ы в л е с у р е п л и ц и р у ю т разделы схемы и конфигурации

к а т а л о г а .

• К о р н е в о й д о м е н л е с а П е р в ы й с о з д а н н ы й в лесу домен.

• Ф у н к ц и о н а л ь н ы й у р о в е н ь П а р а м е т р , от которого зависят возможности

Active D i r e c t o r y в д о м е н е л и б о лесу. О г р а н и ч и в а е т версии, которые можно

и с п о л ь з о в а т ь на к о н т р о л л е р а х в д о м е н е л и б о лесу.

• Г л о б а л ь н ы й к а т а л о г ( и л и ч а с т и ч н ы й н а б о р атрибутов) Раздел хранилища

д а н н ы х A c t i v e Directory, к о т о р ы й с о д е р ж и т поднабор атрибутов объектов

в л е с у Active Directory. И с п о л ь з у е т с я д л я э ф ф е к т и в н ы х запросов и лока-

л и з а ц и и о б ъ е к т о в .

• Х р а н и л и щ е о б ъ е к т о в и д е н т и ф и к а ц и и База данных с информацией о поль-

з о в а т е л я х , г р у п п а х , к о м п ь ю т е р а х и д р у г и х п р и н ц и п а л а х безопасности. Со-

д е р ж и т и м е н а и п а р о л и п о л ь з о в а т е л е й .

в K e r b e r o s С т а н д а р т н ы й п р о т о к о л , и с п о л ь з у е м ы й в Active Directory д л я

п р о в е р к и п о д л и н н о с т и .

" С х е м а О п р е д е л е н и е к л а с с о в а т р и б у т о в и объектов, п о д д е р ж и в а е м ы х

в Active Directory.

I •| g Установка

Глава 1

• Сайт Объект Active Directory, п р е д с т а в л я ю щ и й часть сети с н а д е ж н о й

связью. Внутри сайта (либо узла) контроллеры д о м е н а р е п л и ц и р у ю т о б -

новления за считанные секунды, а клиенты стараются п р и м е н я т ь с л у ж б ы

внутри своего узла перед обращением к службам д р у г и х сайтов.

Сценарий. Создание леса Active Directory

В этом сценарии вы проверите свои з н а н и я об установке я д р а с е р в е р а и д о -

менных служб Active Directory. Ответы на в о п р о с ы м о ж н о н а й т и в р а з д е л е

«Ответы» в конце книги.

Вам нужно создать новый лес Active Directory д л я н о в о г о и с с л е д о в а т е л ь -

ского проекта компании Trey Research. Вследствие в а ж н о с т и п р о е к т а т р е б у е т с я

обеспечить максимальную безопасность каталога. Вы п л а н и р у е т е у с т а н о в и т ь

ядро сервера Windows Server 2008 на двух м а ш и н а х , к о т о р ы е б у д у т и г р а т ь

роль контроллеров домена.

1. Можно ли создать лес Active Directory только из м а ш и н с у с т а н о в л е н н ы м

ядром сервера?

2. Какую команду следует использовать для настройки с т а т и ч е с к и х I P – а д р е с о в

на серверах?

3. Какая команда добавит роль сервера DNS?

4. Какую команду можно применить для д о б а в л е н и я д о м е н н ы х с л у ж б A c t i v e

Directory?

Пробный экзамен

На прилагаемом к книге компакт-диске п р е д с т а в л е н о н е с к о л ь к о в а р и а н т о в

тренировочных тестов. Проверить свои з н а н и я м о ж н о и л и т о л ь к о по о д н о й

теме сертификационного экзамена 7 0 – 6 4 0 , и л и по всем э к з а м е н а ц и о н н ы м т е -

мам. Тестирование можно организовать таким образом, ч т о б ы о н о п р о в о д и л о с ь

как экзамен, либо настроить его на режим обучения. В п о с л е д н е м с л у ч а е вы

сможете после каждого своего ответа на вопрос п р о с м о т р е т ь п р а в и л ь н ы е от-

веты и пояснения.

ПРИМЕЧАНИЕ Пробный экзамен

Подробнее о пробном экзамене рассказано во введении к данной книге.

Г Л А В А 2

Администрирование

Занятие 1. Оснастки Active Directory

34

Занятие 2. Создание объектов в Active Directory

46

Занятие 3. Делегирование и безопасность объектов Active Directory

70

Б о л ь ш и н с т в о а д м и н и с т р а т о р о в получают первый опыт работы с доменными

с л у ж б а м и Active Directory (Active Directory Domain Services, AD DS), откры-

вая оснастку Active Directory – пользователи и компьютеры (Active Directory

Users And C o m p u t e r s ) и создавая объекты пользователей, групп и компьюте-

ров в п о д р а з д е л е н и я х (Organizational Unit, O U ) домена. Выполнение таких

задач – основа р а б о т ы I T – п р о ф е с с и о н а л а в среде Active Directory. Поэтому

после с о з д а н и я д о м е н а м о ж н о использовать средства, советы и рекомендации,

описанные и приведенные в главе 1, для создания указанных объектов. В после-

д у ю щ и х главах эти к л а с с ы объектов описаны подробнее.

Сейчас же мы рассмотрим две важные высокоуровневые концепции пред-

п р и я т и я : л о к а л и з а ц и ю объектов в каталоге и безопасность Active Directory

с п о д д е р ж к о й р е ш е н и я задач персоналом.

Темы экзамена:

• Создание и п о д д е р ж к а объектов Active Directory.

• П о д д е р ж к а учетных записей Active Directory.

Прежде всего

Д л я в ы п о л н е н и я у п р а ж н е н и й в данной главе вам понадобится система Win-

dows Server 2008, установленная на физическом компьютере или виртуальной

машине. М а ш и н е следует назначить имя SERVER01 и повысить ее до ранга

контроллера домена contoso.com. (Подробнее об этом рассказывается в главе 1.)

34 Администрирование

История из жизни

Дэн Холме

Вы определенно должны быть знакомы с таким инструментом администри-

рования, как оснастка Active Directory – пользователи и компьютеры (Active

Directory Users And Computers), и основньипгметодами создания подразделений

пользователей, компьютеров и групп. В настоящей главё описаны эти средства

и методы, что поможет вам заполнить пробелы в знаниях. Кроме того, в данной

главе рассмотрены способы повышения производительности труда администра-

тора. Я знаю, что многие администраторы продолжают использоватКконсоли по

умолчанию, поэтому хотел бы описать множество средств, с помощыо которых

они могут выполнять свою работу, не создавая отдельно настраиваемой консоли

ММС (Microsoft Management Console) со всеми необходимыми оснастками.

Многие администраторы также значительно углубляются в свои структуры OU

для локализации и управления объектами, вместо того чтобы использовать пре-

имущества сохраненных запросов (Saved Queries) для виртуализации представ-

ления доменов. Хотя глава посвящена лишь экзаменационной теме «Поддержка

учетных записей Active Directory», приведенные в ней советы и рекомендации

помогут обеспечить более высокий уровень безопасности ежедневной работы

на предприятии.

Занятие 1. Оснастки Active Directory

Административные инструменты или оснастки Active Directory о б е с п е ч и в а ю т

функциональность, необходимую для поддержки службы каталогов. На э т о м

занятии мы рассмотрим самые важные оснастки Active Directory. Мы т а к ж е

обсудим способы их эффективного использования, в о з м о ж н о с т ь п р и м е н е н и я

альтернативных учетных данных и создания настраиваемых консолей, к о т о р ы е

можно распространять среди администраторов в организации.

Изучив материал этого занятия, вы сможете:

/ Работать с консолью ММС (Microsoft Management Console).

/ Определить самые важные административные оснастки Active Directory.

/ Установить Средства удаленного администрирования сервера RSAT (Remote

Server Administration Tools) в Windows Server 2008 и Windows Vista.

S Запускать административные средства с помощью альтернативных учет-

ных данных и команды Запуск от имени администратора (Run As Admini-

strator).

^ Создавать, контролировать, а также распространять настраиваемые оснастки

ММС.

Продолжительность занятия – около 35 мин.

Консоль управления Microsoft

Административные инструменты Windows совместно используют общую струк-

туру Microsoft Management Console ( М М С ) . Консоль М М С (рис. 2-1) отобра-

Занятие 1 Оснастки Active Directory 35

жает и н с т р у м е н т ы в н а с т р а и в а е м о м окне с деревом консоли в левой панели

( а н а л о г и ч н о м дереву п р о в о д н и к а W i n d o w s ) и центральной панелыо сведений.

П а н е л ь Д е й с т в и я ( A c t i o n s ) справа в ы в о д и т команды, которые в М М С назы-

ваются д е й с т в и я м и .

Отображение/Скрытие Отображение/Скрытие

дерева консоли панели действий

Оснастка-

Гр>т»а6е»-ч. .

rpftrie беюпа .

й Domar. Contnlcs

3 ForfipnStuiWhcpait 4Ь»л«»«ст ратсэы асяеиа ffcims 6exrj.~

АЛ-их-СТ»! nptenp.

. Гркп* 6* •>-!*. ,

Аллмчгс-аторы си»

Л?, Или сы»< -л rp

гости дсмеп*

г р>т(*гопл

Гость

Пол, хваля. г-гтроо-узд »

S*. Групп* с и и д а о* . ГОУТЖИбсюГ»...

Групп* ьею-а ..

Гргтабеюг* .

П>утм6е>о"а .

. Гргооа 6

S.ijKaf роллеры до

Гр>ти бемпа..

^Пзсъюмтст а<

Группа бе юла..

% Сежры RAS и 1

i t o

J i J

Дерево консоли Панель сведений

Панель действий

Рис. 2-1. Консоль ММС с оснасткой

Д л я у п р а в л е н и я о т о б р а ж е н и е м л е в о й и п р а в о й панелей служат кнопки

О т о б р а ж е н и е / С к р ы т и е д е р е в а к о н с о л и ( S h o w / H i d e Console Tree) и Отоб-

р а ж е н и е / С к р ы т и е п а н е л и д е й с т в и й ( S h o w / H i d e Action Pane) или команда

Н а с т р о и т ь ( C u s t o m i z e ) в м е н ю В и д ( V i e w ) .

А д м и н и с т р а т и в н ы е и н с т р у м е н т ы , н а з ы в а е м ы е оснастксичи, используют

д е р е в о к о н с о л и и п а н е л ь с в е д е н и й к о н с о л и д л я обеспечения административ-

ных ф у н к ц и й . К о н с о л ь М М С – это что-то вроде поясного ремня монтажника,

к к о т о р о м у м о ж н о п р и к р е п и т ь о д и н и л и н е с к о л ь к о инструментов (оснасток).

Б о л ь ш и н с т в о с р е д с т в в п а п к е А д м и н и с т р и р о в а н и е (Administrative Tools) за-

п у с к а ю т с я в в и д е о д н о й к о н с о л и с е д и н с т в е н н о й оснасткой, как, например,

П р о с м о т р с о б ы т и й ( E v e n t V i e w e r ) , С л у ж б ы (Services) и П л а н и р о в щ и к зада-

н и й (Task S c h e d u l e r ) . Д р у г и е и н с т р у м е н т ы , в к л ю ч а я Управление компьюте-

ром ( C o m p u t e r M a n a g e m e n t ) , о т к р ы в а ю т с я в виде консолей со множеством

о с н а с т о к – н е к о т о р ы е из н и х м о г у т з а п у с к а т ь с я как независимые консоли.

Н а п р и м е р , к о н с о л ь У п р а в л е н и е к о м п ь ю т е р о м содержит оснастки Просмотр

с о б ы т и й ( E v e n t V i e w e r ) , С л у ж б ы ( S e r v i c e s ) и П л а н и р о в щ и к заданий (Task

S c h e d u l e r ) .

П р и а д м и н и с т р и р о в а н и и W i n d o w s с п о м о щ ь ю оснасток вы будете выпол-

н я т ь к о м а н д ы , к о т о р ы е в М М С н а з ы в а ю т с я действиями и отображаются в па-

нели Д е й с т в и я (Actions) в правой части консоли. Большинство опытных адми-

н и с т р а т о р о в п р е д п о ч и т а ю т в ы п о л н я т ь д е й с т в и я в оснастке М М С с помощью

• 36 Администрирование

Глава 2

контекстного меню. Если вы используете только контекстное меню, можете

отключить панель Действия, чтобы область для о т о б р аж е н и я и н ф о р м а ц и и

в панели сведений была больше.

Существует два типа консолей М М С : предварительно с к о н ф и г у р и р о в а н -

ные и настраиваемые. Предварительно отконфигурированные консоли устанав-

ливаются автоматически при добавлении роли или компонента д л я админист-

рирования этой роли или компонента. Они функционируют в пользовательском

режиме и их нельзя модифицировать или сохранять, зато п о л ь з о в а т е л ь м о ж е т

создавать настраиваемые консоли с теми же и н с т р у м е н т а м и и ф у н к ц и я м и .

В следующих подразделах мы рассмотрим п р е д в а р и т е л ь н о о т к о н ф и г у р и р о -

ванные и настраиваемые консоли.

Средства администрирования Active Directory

В большинстве случаев администрирование Active D i r e c t o r y о с у щ е с т в л я е т с я

с помощью следующих оснасток и консолей.

• Active Directory – пользователи и к о м п ь ю т е р ы ( A c t i v e D i r e c t o r y U s e r s

and Computers) Управление ежедневно используемыми ресурсами, в к л ю -

чая пользователей, группы, компьютеры, п р и н т е р ы и о б щ и е п а п к и . Эта

оснастка чаще всего применяется администраторами Active Directory.

• Active Directory – сайты и с л у ж б ы ( A c t i v e D i r e c t o r y S i t e s a n d S e r v i c e s )

Управление репликацией, сетевой топологией и с о о т в е т с т в у ю щ и м и с л у ж -

бами. Эта оснастка подробно описана в главе 11.

• Active D i r e c t o r y – д о м е н ы и д о в е р и е ( A c t i v e D i r e c t o r y D o m a i n s a n d

Trusts) Настройка и поддержка доверительных отношений, а т а к ж е ф у н к -

циональных уровней домена и леса. Этот и н с т р у м е н т д е т а л ь н о о п и с а н

в главе 13.

• Схема Active Di rect ory (Active D i r e c t o r y S c h e m a ) А н а л и з и м о д и ф и -

кация определения классов объектов и атрибутов. Эта схема – п р о е к т н а я

модель Active Directory. Она редко просматривается и еще р е ж е м о д и ф и -

цируется. Поэтому такая оснастка не устанавливается по у м о л ч а н и ю .

Оснастки и консоли Active Directory у с т а н а в л и в а ю т с я п р и д о б а в л е н и и

роли AD DS на сервер. При установке роли AD DS в Диспетчер сервера (Server

Manager) добавляются два административных средства Active Directory: оснас-

тка Active Directory – пользователи и компьютеры (Active D i r e c t o r y Users and

Computers) и оснастка Active Directory – сайты и службы (Active D i r c t o r y Sites

and Services). Тем не менее для администрирования Active Directory из системы,

не служащей контроллером домена, необходимо установить средства у д а л е н -

ного администрирования сервера RSAT, для чего в Диспетчере сервера ( S e r v e r

Manager) системы Windows Server 2008 нужно выбрать узел К о м п о н е н т ы (Fea-

tures). Средства удаленного администрирования сервера R S A T м о ж н о загру-

зить на сайте Microsoft и установить на клиентах W i n d o w s Vista Service P a c k 1.

Расположение административных инструментов Active Directory

В Диспетчере сервера (Server Manager) находятся две оснастки Active Directory.

Чтобы открыть их, нужно развернуть узел Роли (Roles), а затем узел Д о м е н н ы е

• Занятие 1

Оснастки Active Directory 37

службы Active Di rec t ory (Active Directory Domain Services). Все остальные ад-

м и н и с т р а т и в н ы е средства находятся в папке Администрирование (Administra-

tive Tools), к о т о р а я р а с п о л о ж е н а в П а н е л и у п р а в л е н и я ( C o n t r o l Panel). Папка

А д м и н и с т р и р о в а н и е о т о б р а ж а е т с я в классическом виде п а н е л и управления.

В п р е д с т а в л е н и и д о м а ш н е й с т р а н и ц ы п а н е л и у п р а в л е н и я административные

и н с т р у м е н т ы н а х о д я т с я в к а т е г о р и и Система и ее обслуживание (System And

M a i n t e n a n c e ) .

Добавление административных инструментов в меню Пуск

По у м о л ч а н и ю а д м и н и с т р а т и в н ы е средства не в к л ю ч е н ы в меню Пуск ( S t a r t )

к л и е н т о в W i n d o w s Vista. Д о с т у п к а д м и н и с т р а т и в н ы м инструментам можно

упростить, д о б а в и в их в м е н ю Пуск.

1. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и кнопку Пуск ( S t a r t ) и примените команду

С в о й с т в а ( P r o p e r t i e s ) .

2 . Щ е л к н и т е к н о п к у Н а с т р о и т ь ( C u s t o m i z e ) .

3. Е с л и вы и с п о л ь з у е т е м е н ю П у с к по у м о л ч а н и ю , н а й д и т е папку Админист-

р и р о в а н и е ( S y s t e m A d m i n i s t r a t i o n Tools) и в ы б е р и т е о п ц и ю Отображать в

м е н ю "Все п р о г р а м м ы " и "Пуск" ( D i s p l a y On T h e All Programs M e n u And

T h e S t a r t M e n u ) и л и О т о б р а ж а т ь в меню "Все программы" (Display On T h e

All P r o g r a m s M e n u ) . Е с л и вы используете классическое меню Пуск, выбери-

т е о п ц и ю О т о б р а ж а т ь м е н ю " А д м и н и с т р и р о в а н и е " (Display Administrative

Tools).

4 . Д в а ж д ы щ е л к н и т е О К .

Запуск административных средств с использованием

альтернативных учетных данных

М н о г и е а д м и н и с т р а т о р ы в х о д я т на свои к о м п ь ю т е р ы с и с п о л ь з о в а н и е м адми-

н и с т р а т и в н ы х у ч е т н ы х д а н н ы х . Э т о небезопасно, поскольку административная

учетная з а п и с ь и м е е т б о л е е в ы с о к и й у р о в е н ь п р и в и л е г и й и прав сетевого до-

ступа, чем с т а н д а р т н а я п о л ь з о в а т е л ь с к а я учетная запись. Поэтому вредоносные

п р о г р а м м ы , к о т о р ы е з а п у с к а ю т с я с а д м и н и с т р а т и в н ы м и у ч е т н ы м и данными,

могут п р и н е с т и з н а ч и т е л ь н ы й ущерб. Ч т о б ы т а к и е п р о б л е м ы не возникали, не

входите в с и с т е м у к а к а д м и н и с т р а т о р . Вместо этого входите к а к стандартный

п о л ь з о в а т е л ь и п р и м е н я й т е ф у н к ц и ю З а п у с к о т и м е н и а д м и н и с т р а т о р а ( R u n

A s A d m i n i s t r a t o r ) д л я а д м и н и с т р а т и в н ы х и н с т р у м е н т о в , чтобы о б е с п е ч и т ь

безопасность а д м и н и с т р а т и в н о й у ч е т н о й з а п и с и .

1. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и з н а ч о к з а п у с к а е м о г о апплета в панели

у п р а в л е н и я и п р и м е н и т е к о м а н д у З а п у с к о т и м е н и а д м и н и с т р а т о р а ( R u n

As A d m i n i s t r a t o r ) . Е с л и эта к о м а н д а не отображается, попробуйте щелкнуть

п р а в о й к н о п к о й м ы ш и п р и н а ж а т о й к л а в и ш е Shift.

О т к р о е т с я д и а л о г о в о е окно К о н т р о л ь учетных записей пользователей (User

A c c o u n t C o n t r o l ) , п о к а з а н н о е на рис. 2-2.

2. В в е д и т е и м я и п а р о л ь а д м и н и с т р а т и в н о й у ч е т н о й записи.

3. Щ е л к н и т е О К .

38 Администрирование

Рлава 2

Рис. 2-2. Ввод административных учетных данных

в диалоговом окне контроля учетных записей пользователей

Если вы регулярно запускаете приложения от и м е н и а д м и н и с т р а т о р а , со-

здайте новый ярлык для команды Запуск от и м е н и а д м и н и с т р а т о р а ( R u n As

Administrator). Создайте ярлык и откройте диалоговое о к н о С в о й с т в а ( P r o p e r -

ties) этого ярлыка. Щелкните кнопку Дополнительно ( A d v a n c e d ) и у с т а н о в и т е

флажок Запуск от имени администратора ( R u n As A d m i n i s t r a t o r ) . П р и щ е л ч к е

на этом ярлыке откроется диалоговое окно к о н т р о л я у ч е т н ы х з а п и с е й п о л ь -

зователей.

Создание настраиваемой консоли с оснастками Active Directory

Систему Windows проще администрировать, когда все н е о б х о д и м ы е и н с т р у м е н -

ты находятся в одном месте, где их можно настраивать в с о о т в е т с т в и и с т р е б о -

ваниями. Для этого лучше создать настраиваемую а д м и н и с т р а т и в н у ю к о н с о л ь

ММС, к которой, как к поясному ремню монтажника, и будут к р е п и т ь с я и н с т р у -

менты. Настраиваемая консоль М М С обеспечивает т а к и е в о з м о ж н о с т и :

• добавить множество оснасток, чтобы не п е р е к л ю ч а т ь с я м е ж д у к о н с о л я м и

при выполнении заданий и запускать л и ш ь одну к о н с о л ь от и м е н и а д м и -

нистратора;

• сохранить консоль для постоянного и с п о л ь з о в а н и я ;

• распространить консоль среди других а д м и н и с т р а т о р о в ;

• централизовать консоли в общем ресурсе для у н и ф и ц и р о в а н н о г о н а с т р а -

иваемого администрирования.

Чтобы создать настраиваемую консоль М М С , о т к р о й т е п у с т у ю к о н с о л ь

ММС. Для этого откройте меню Пуск ( S t a r t ) , в поле Н а ч а т ь п о и с к ( S e a r c h )

введите команду ттс.ехе и нажмите клавишу Enter. С п о м о щ ь ю к о м а н д ы Д о -

бавить или удалить оснастку ( A d d / R e m o v e S n a p – i n ) в м е н ю К о н с о л ь ( F i l e )

можно добавлять оснастки в консоль, удалять их, и з м е н я т ь их п о р я д о к и уп-

равлять ими.

Занятие 1

Оснастки Active Directory 39

ПРИМЕЧАНИЕ

В упражнениях 1, 2 и 3 в конце этого занятия пошагово описано создание настра-

иваемой консоли М М С с множеством оснасток.

Сохранение и распространение настраиваемой консоли

Е с л и в ы п л а н и р у е т е р а с п р о с т р а н и т ь к о н с о л ь , р е к о м е н д у е т с я сохранить е е

в п о л ь з о в а т е л ь с к о м р е ж и м е . Ч т о б ы и з м е н и т ь р е ж и м консоли, в меню Консоль

( F i l e ) щ е л к н и т е П а р а м е т р ы ( O p t i o n s ) . П о у м о л ч а н и ю новые консоли сохра-

н я ю т с я в а в т о р с к о м р е ж и м е , п о з в о л я ю щ е м д о б а в л я т ь и удалять оснастки,

п р о с м а т р и в а т ь все с е к ц и и д е р е в а к о н с о л и и сохранять настройки. Пользова-

т е л ь с к и й р е ж и м о г р а н и ч и в а е т ф у н к ц и о н а л ь н о с т ь консоли, чтобы е е нельзя

б ы л о и з м е н я т ь . С у щ е с т в у е т т р и т и п а пользовательского режима – они описаны

в т а б л . 2-1. Р е ж и м П о л ь з о в а т е л ь с к и й – п о л н ы й доступ (User Mode – Full Ac-

cess) ч а с т о п р и м е н я е т с я д л я к о н с о л е й о п ы т н ы м и администраторами, которые

в ы п о л н я ю т с в о ю работу, ш и р о к о и с п о л ь з у я оснастки консоли. Режим Пользо-

в а т е л ь с к и й – о г р а н и ч е н н ы й д о с т у п ( U s e r M o d e – Limited Access) с множест-

вом о к о н и л и с о д н и м о к н о м – это р е ж и м с ограниченной функциональностью,

п о э т о м у о н п р и м е н я е т с я д л я к о н с о л е й а д м и н и с т р а т о р а м и с ограниченным

н а б о р о м з а д а ч .

Табл. 2-1. Режимы консоли ММС

Режим Особенности применения

Авторский (Author) Можно продолжать настраивать консоль

Пользовательский – полный Пользователи консоли могут переключать и применять

доступ (User Mode – Full все оснастки, но не могут добавлять оснастки в кон-

Access) соль, удалять их или изменять их свойства

Пользовательский – Огра– Пользователи могут переключать и применять только

ниченный доступ, много те оснастки, которые отконфигурированы для отобра-

окон (User Mode – Limited жения в дереве консоли. Для этого режима предвари-

Access, multiple windows) тельно конфигурируются окна, сфокусированные на

конкретных оснастках. Пользователи не могут откры-

вать новые окна

Пользовательский – огра– Пользователи могут переключать и применять лишь

ниченный доступ, одно окно те оснастки, которые видимы в дереве консоли, и могут

(User Mode – Limited Access, открывать их только в одном окне

single window)

К о г д а к о н с о л ь б о л ь ш е не х р а н и т с я в авторском режиме, вы как автор кон-

соли м о ж е т е в н е с т и и з м е н е н и я , щ е л к н у в сохраненную консоль правой кнопкой

м ы ш и и п р и м е н и в к о м а н д у Автор ( A u t h o r ) .

ПРИМЕЧАНИЕ

В упражнении 4 в конце этого занятия пошагово описано, как сохранить консоль

в пользовательском режиме для ограничения ее функциональности при распростра-

нении среди других администраторов.

I г

Глаоа 2

I Консоли сохраняются с файловым расширением .msc, по у м о л ч а н и ю —

I в папке Administrative Tools, но на самом деле это не папка, а а п п л е т п а н е л и

| управления. Если сказать точнее, сохраняются консоли в папке главного меню

I (Start) профиля пользователя % « i e ^ o r o / z 7 e % A p p D a t a R o a m i n g M i c r o s o f t

J VindovsS tart Menu.

I Указанная папка защищена, так что только в а ш а у ч е т н а я з а п и с ь и м е е т

I доступ к консоли. Лучше всего входить на компьютер с и с п о л ь з о в а н и е м учет-

I ной записи без привилегий, а затем запускать а д м и н и с т р а т и в н ы е и н с т р у м е н -

ты, включая настраиваемую консоль, с альтернативными у ч е т н ы м и д а н н ы м и ,

I обеспечивающими достаточные права для задач а д м и н и с т р и р о в а н и я . Но и з – з а

I участия двух учетных записей в работе при с о х р а н е н и и к о н с о л и в ггодпапке

главного меню пользовательского п р о ф и л я одной учетной з а п и с и п о т р е б у е т с я

дополнительная навигация, что может привести к о ш и б к а м о т к а з а в д о с т у п е .

Сохраните свою консоль в папке, доступ к которой м о ж н о п о л у ч и т ь с поль-

зовательскими или административными учетными д а н н ы м и . Р е к о м е н д у е т с я со-

хранять консоли в общей сетевой папке, чтобы по лу ча ть к н и м д о с т у п с д р у г и х

компьютеров. Как вариант можно открыть доступ к папке д л я д р у г и х а д м и н и с -

траторов, создав таким образом централизованное х р а н и л и щ е н а с т р а и в а е м ы х

консолей. Консоли также можно сохранять на т а к о м п е р е н о с н о м у с т р о й с т в е ,

как USB-диск, а также пересылать как в л о ж е н и я э л е к т р о н н о й п о ч т ы .

Важно не забывать, что консоли, по сути,– это н а б о р и н с т р у к ц и й , к о т о р ы е

интерпретируются программой т т с . е х е . Эти и н с т р у к ц и и у к а з ы в а ю т д о б а в л я -

емые оснастки и компьютеры, управление к о т о р ы м и о с у щ е с т в л я е т с я с п о м о -

щью этих оснасток. Консоли не содержат сами о с н а с т к и . П о э т о м у к о н с о л ь не

будет функционировать, если предусмотренная в ней о с н а с т к а не у с т а н о в л е н а .


    Ваша оценка произведения:

Популярные книги за неделю