Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 5 (всего у книги 91 страниц)
р о л ь у ч е т н о й з а п и с и а д м и н и с т р а т о р а в д о м е н е contoso.com и щелкните О К .
Б у д е т у с т а н о в л е н а и с к о н ф и г у р и р о в а н а р о л ь AD DS, после чего сервер
п е р е з а г р у з и т с я .
Упражнение 4. Удаление контроллера домена
В э т о м у п р а ж н е н и и в ы у д а л и т е р о л ь A D D S и з у с т а н о в к и я д р а сервера.
1. В о й д и т е на к о м п ь ю т е р с я д р о м сервера к ак а д ми н и с тр а т ор .
2. Введите к о м а н д у dcpromo /unattend/AdministratorPassword:napanb и укажите
с т р о г и й п а р о л ь д л я л о к а л ь н о й у ч е т н о й з а п и с и а д м и н и с т р а т о р а сервера
п о с л е у д а л е н и я р о л и A D D S . Н а ж м и т е к л а в и ш у Enter.
Резюме
• У с т а н о в к а я д р а с е р в е р а ( S e r v e r C o r e ) W i n d o w s Server 2008 представляет
собой м и н и м а л ь н у ю и н с т а л л я ц и ю системы Windows, которая поддерживает
п о д н а б о р р о л е й и к о м п о н е н т о в сервера.
• Установка я д р а сервера м о ж е т п о в ы с и т ь у р о в е н ь безопасности и у п р а в л я -
е м о с т и с е р в е р о в W i n d o w s .
30
I •| g Установка
Глава 1
• Для добавления ролен в установку ядра сервера и у д а л е н и я их и с п о л ь – ;
зуется команда Ocsetup.exe. Исключение составляет роль AD DS, к о т о р а я
инсталлируется с помощью команды Dcpromo.exe.
ш Операции автоматизированного повышения и п о н и ж е н и я р о л и с е р в е р а
можно выполнять посредством команды Dcpromo.exe /unattend с соответс-
твующими параметрами.
Закрепление материала
Знания, полученные на занятии 2, можно проверить с п о м о щ ь ю п р и в е д е н н ы х
ниже вопросов, которые есть на сопроводительном компакт-диске.
ПРИМЕЧАНИЕ Ответы
Ответы на эти вопросы с пояснениями, почему тот либо иной вариант ответа пра-
вильный или неправильный, вы найдете в разделе -«Ответы» в конце книги.
1. Вы вошли как администратор на сервер S E R V E R 0 2 с установленным я д р о м
сервера Windows Server 2008, который я в л я е т с я о д н и м из к о н т р о л л е р о в
домена contoso.com. Вам требуется п о н и з и т ь ранг к о н т р о л л е р а д о м е н а .
Какие данные нужны для этого?
A. Пароль локального администратора.
Б. Учетные данные пользователя й группе А д м и н и с т р а т о р ы д о м е н а ( D o -
main Admins).
B. Учетные данные пользователя в группе контроллеров д о м е н а D o m a i n
Controllers.
Г. Адрес DNS-сервера.
2. На машине SERVER02 установлено ядро сервера (Server Core). На сервере
уже сконфигурирована роль AD DS. Вам нужно добавить на него с л у ж б ы
сертификации Active Directory (Active Directory Certificate Services, AD
DS). Что нужно сделать для этого?
A. Установить Службы сертификации Active Di r e c t o r y (Active D i r e c t o r y
Certificate Services).
Б. Установить Службы федерации Active Directory (Active D i r e c t o r y Fede-
ration Services).
B. Установить Службы управления правами Active D i r e c t o r y ( A c t i v e Di-
rectory Rights Management Services).
Г. Переустановить на машине Windows Server 2008, выбрав п о л н у ю уста-
новку (Full Installation).
Закрепление материала главы
Для того чтобы попрактиковаться и закрепить знания, п о л у ч е н н ы е п р и изуче-
нии представленного в этой главе материала, вам необходимо:
• ознакомиться с резюме главы; I
• повторить используемые в главе основные термины; I
Основные термины 3")
• и з у ч и т ь с ц е н а р и й , в к о т о р о м описана р е а л ь н а я ситуация, требующая при-
м е н е н и я п о л у ч е н н ы х з н а н и й , и п р е д л о ж и т ь свое решение;
в в ы п о л н и т ь р е к о м е н д у е м ы е у п р а ж н е н и я ;
• сдать п р о б н ы й э к з а м е н с п о м о щ ь ю тестов.
Резюме главы
• С л у ж б ы Active D i r e c t o r y в ы п о л н я ю т ф у н к ц и и и д е н т и ф и к а ц и и и управле-
н и я д о с т у п о м д л я п о д д е р ж к и сети организации.
в К о н т р о л л е р д о м е н а у п р а в л я е т х р а н и л и щ е м д а н н ы х Active Directory и свя-
з а н н ы м и с н и м с л у ж б а м и . К о н т р о л л е р ы д о м е н а создаются посредством
д о б а в л е н и я р о л и AD DS и ее п о с л е д у ю щ е й настройки с помощью команды
Dcpromo.exe.
а Я д р о с е р в е р а ( S e r v e r C o r e ) дает в о з м о ж н о с т ь снизить затраты на управле-
н и е и п о в ы с и т ь у р о в е н ь б е з о п а с н о с т и к о н т р о л л е р о в доменов.
Основные термины
З а п о м н и т е п р е д с т а в л е н н ы е далее т е р м и н ы и п о н я т и я , чтобы лучше понимать
о п и с ы в а е м ы е в д а н н о й главе к о н ц е п ц и и .
в П р о в е р к а п о д л и н н о с т и М е х а н и з м , с п о м о щ ь ю к о т о р о г о п р о в е р я е т с я
п о д л и н н о с т ь о б ъ е к т а и д е н т и ф и к а ц и и п о с р е д с т в о м с р а в н е н и я секретной
и н ф о р м а ц и и ( с к а ж е м , п а р о л е й п о л ь з о в а т е л я л и б о компьютера) с данными
в х р а н и л и щ е о б ъ е к т о в и д е н т и ф и к а ц и и .
в Д о м е н А д м и н и с т р а т и в н а я е д и н и ц а в Active Directory. Все контроллеры
в н у т р и д о м е н а р е п л и ц и р у ю т в д о м е н е и н ф о р м а ц и ю о пользователях, груп-
п а х и к о м п ь ю т е р а х .
ш Л е с П е р и м е т р э к з е м п л я р а Active Directory. Содержит один или несколько
д о м е н о в . Все д о м е н ы в л е с у р е п л и ц и р у ю т разделы схемы и конфигурации
к а т а л о г а .
• К о р н е в о й д о м е н л е с а П е р в ы й с о з д а н н ы й в лесу домен.
• Ф у н к ц и о н а л ь н ы й у р о в е н ь П а р а м е т р , от которого зависят возможности
Active D i r e c t o r y в д о м е н е л и б о лесу. О г р а н и ч и в а е т версии, которые можно
и с п о л ь з о в а т ь на к о н т р о л л е р а х в д о м е н е л и б о лесу.
• Г л о б а л ь н ы й к а т а л о г ( и л и ч а с т и ч н ы й н а б о р атрибутов) Раздел хранилища
д а н н ы х A c t i v e Directory, к о т о р ы й с о д е р ж и т поднабор атрибутов объектов
в л е с у Active Directory. И с п о л ь з у е т с я д л я э ф ф е к т и в н ы х запросов и лока-
л и з а ц и и о б ъ е к т о в .
• Х р а н и л и щ е о б ъ е к т о в и д е н т и ф и к а ц и и База данных с информацией о поль-
з о в а т е л я х , г р у п п а х , к о м п ь ю т е р а х и д р у г и х п р и н ц и п а л а х безопасности. Со-
д е р ж и т и м е н а и п а р о л и п о л ь з о в а т е л е й .
в K e r b e r o s С т а н д а р т н ы й п р о т о к о л , и с п о л ь з у е м ы й в Active Directory д л я
п р о в е р к и п о д л и н н о с т и .
" С х е м а О п р е д е л е н и е к л а с с о в а т р и б у т о в и объектов, п о д д е р ж и в а е м ы х
в Active Directory.
I •| g Установка
Глава 1
• Сайт Объект Active Directory, п р е д с т а в л я ю щ и й часть сети с н а д е ж н о й
связью. Внутри сайта (либо узла) контроллеры д о м е н а р е п л и ц и р у ю т о б -
новления за считанные секунды, а клиенты стараются п р и м е н я т ь с л у ж б ы
внутри своего узла перед обращением к службам д р у г и х сайтов.
Сценарий. Создание леса Active Directory
В этом сценарии вы проверите свои з н а н и я об установке я д р а с е р в е р а и д о -
менных служб Active Directory. Ответы на в о п р о с ы м о ж н о н а й т и в р а з д е л е
«Ответы» в конце книги.
Вам нужно создать новый лес Active Directory д л я н о в о г о и с с л е д о в а т е л ь -
ского проекта компании Trey Research. Вследствие в а ж н о с т и п р о е к т а т р е б у е т с я
обеспечить максимальную безопасность каталога. Вы п л а н и р у е т е у с т а н о в и т ь
ядро сервера Windows Server 2008 на двух м а ш и н а х , к о т о р ы е б у д у т и г р а т ь
роль контроллеров домена.
1. Можно ли создать лес Active Directory только из м а ш и н с у с т а н о в л е н н ы м
ядром сервера?
2. Какую команду следует использовать для настройки с т а т и ч е с к и х I P – а д р е с о в
на серверах?
3. Какая команда добавит роль сервера DNS?
4. Какую команду можно применить для д о б а в л е н и я д о м е н н ы х с л у ж б A c t i v e
Directory?
Пробный экзамен
На прилагаемом к книге компакт-диске п р е д с т а в л е н о н е с к о л ь к о в а р и а н т о в
тренировочных тестов. Проверить свои з н а н и я м о ж н о и л и т о л ь к о по о д н о й
теме сертификационного экзамена 7 0 – 6 4 0 , и л и по всем э к з а м е н а ц и о н н ы м т е -
мам. Тестирование можно организовать таким образом, ч т о б ы о н о п р о в о д и л о с ь
как экзамен, либо настроить его на режим обучения. В п о с л е д н е м с л у ч а е вы
сможете после каждого своего ответа на вопрос п р о с м о т р е т ь п р а в и л ь н ы е от-
веты и пояснения.
ПРИМЕЧАНИЕ Пробный экзамен
Подробнее о пробном экзамене рассказано во введении к данной книге.
Г Л А В А 2
Администрирование
Занятие 1. Оснастки Active Directory
34
Занятие 2. Создание объектов в Active Directory
46
Занятие 3. Делегирование и безопасность объектов Active Directory
70
Б о л ь ш и н с т в о а д м и н и с т р а т о р о в получают первый опыт работы с доменными
с л у ж б а м и Active Directory (Active Directory Domain Services, AD DS), откры-
вая оснастку Active Directory – пользователи и компьютеры (Active Directory
Users And C o m p u t e r s ) и создавая объекты пользователей, групп и компьюте-
ров в п о д р а з д е л е н и я х (Organizational Unit, O U ) домена. Выполнение таких
задач – основа р а б о т ы I T – п р о ф е с с и о н а л а в среде Active Directory. Поэтому
после с о з д а н и я д о м е н а м о ж н о использовать средства, советы и рекомендации,
описанные и приведенные в главе 1, для создания указанных объектов. В после-
д у ю щ и х главах эти к л а с с ы объектов описаны подробнее.
Сейчас же мы рассмотрим две важные высокоуровневые концепции пред-
п р и я т и я : л о к а л и з а ц и ю объектов в каталоге и безопасность Active Directory
с п о д д е р ж к о й р е ш е н и я задач персоналом.
Темы экзамена:
• Создание и п о д д е р ж к а объектов Active Directory.
• П о д д е р ж к а учетных записей Active Directory.
Прежде всего
Д л я в ы п о л н е н и я у п р а ж н е н и й в данной главе вам понадобится система Win-
dows Server 2008, установленная на физическом компьютере или виртуальной
машине. М а ш и н е следует назначить имя SERVER01 и повысить ее до ранга
контроллера домена contoso.com. (Подробнее об этом рассказывается в главе 1.)
34 Администрирование
История из жизни
Дэн Холме
Вы определенно должны быть знакомы с таким инструментом администри-
рования, как оснастка Active Directory – пользователи и компьютеры (Active
Directory Users And Computers), и основньипгметодами создания подразделений
пользователей, компьютеров и групп. В настоящей главё описаны эти средства
и методы, что поможет вам заполнить пробелы в знаниях. Кроме того, в данной
главе рассмотрены способы повышения производительности труда администра-
тора. Я знаю, что многие администраторы продолжают использоватКконсоли по
умолчанию, поэтому хотел бы описать множество средств, с помощыо которых
они могут выполнять свою работу, не создавая отдельно настраиваемой консоли
ММС (Microsoft Management Console) со всеми необходимыми оснастками.
Многие администраторы также значительно углубляются в свои структуры OU
для локализации и управления объектами, вместо того чтобы использовать пре-
имущества сохраненных запросов (Saved Queries) для виртуализации представ-
ления доменов. Хотя глава посвящена лишь экзаменационной теме «Поддержка
учетных записей Active Directory», приведенные в ней советы и рекомендации
помогут обеспечить более высокий уровень безопасности ежедневной работы
на предприятии.
Занятие 1. Оснастки Active Directory
Административные инструменты или оснастки Active Directory о б е с п е ч и в а ю т
функциональность, необходимую для поддержки службы каталогов. На э т о м
занятии мы рассмотрим самые важные оснастки Active Directory. Мы т а к ж е
обсудим способы их эффективного использования, в о з м о ж н о с т ь п р и м е н е н и я
альтернативных учетных данных и создания настраиваемых консолей, к о т о р ы е
можно распространять среди администраторов в организации.
Изучив материал этого занятия, вы сможете:
/ Работать с консолью ММС (Microsoft Management Console).
/ Определить самые важные административные оснастки Active Directory.
/ Установить Средства удаленного администрирования сервера RSAT (Remote
Server Administration Tools) в Windows Server 2008 и Windows Vista.
S Запускать административные средства с помощью альтернативных учет-
ных данных и команды Запуск от имени администратора (Run As Admini-
strator).
^ Создавать, контролировать, а также распространять настраиваемые оснастки
ММС.
Продолжительность занятия – около 35 мин.
Консоль управления Microsoft
Административные инструменты Windows совместно используют общую струк-
туру Microsoft Management Console ( М М С ) . Консоль М М С (рис. 2-1) отобра-
Занятие 1 Оснастки Active Directory 35
жает и н с т р у м е н т ы в н а с т р а и в а е м о м окне с деревом консоли в левой панели
( а н а л о г и ч н о м дереву п р о в о д н и к а W i n d o w s ) и центральной панелыо сведений.
П а н е л ь Д е й с т в и я ( A c t i o n s ) справа в ы в о д и т команды, которые в М М С назы-
ваются д е й с т в и я м и .
Отображение/Скрытие Отображение/Скрытие
дерева консоли панели действий
Оснастка-
Гр>т»а6е»-ч. .
rpftrie беюпа .
й Domar. Contnlcs
3 ForfipnStuiWhcpait 4Ь»л«»«ст ратсэы асяеиа ffcims 6exrj.~
АЛ-их-СТ»! nptenp.
. Гркп* 6* •>-!*. ,
Аллмчгс-аторы си»
Л?, Или сы»<
гости дсмеп*
г р>т(*гопл
Гость
Пол, хваля. г-гтроо-узд »
S*. Групп* с и и д а о* . ГОУТЖИбсюГ»...
Групп* ьею-а ..
Гргтабеюг* .
П>утм6е>о"а .
. Гргооа 6
S.ijKaf роллеры до
Гр>ти бемпа..
^Пзсъюмтст а<
Группа бе юла..
% Сежры RAS и 1
i t o
J i J
Дерево консоли Панель сведений
Панель действий
Рис. 2-1. Консоль ММС с оснасткой
Д л я у п р а в л е н и я о т о б р а ж е н и е м л е в о й и п р а в о й панелей служат кнопки
О т о б р а ж е н и е / С к р ы т и е д е р е в а к о н с о л и ( S h o w / H i d e Console Tree) и Отоб-
р а ж е н и е / С к р ы т и е п а н е л и д е й с т в и й ( S h o w / H i d e Action Pane) или команда
Н а с т р о и т ь ( C u s t o m i z e ) в м е н ю В и д ( V i e w ) .
А д м и н и с т р а т и в н ы е и н с т р у м е н т ы , н а з ы в а е м ы е оснастксичи, используют
д е р е в о к о н с о л и и п а н е л ь с в е д е н и й к о н с о л и д л я обеспечения административ-
ных ф у н к ц и й . К о н с о л ь М М С – это что-то вроде поясного ремня монтажника,
к к о т о р о м у м о ж н о п р и к р е п и т ь о д и н и л и н е с к о л ь к о инструментов (оснасток).
Б о л ь ш и н с т в о с р е д с т в в п а п к е А д м и н и с т р и р о в а н и е (Administrative Tools) за-
п у с к а ю т с я в в и д е о д н о й к о н с о л и с е д и н с т в е н н о й оснасткой, как, например,
П р о с м о т р с о б ы т и й ( E v e n t V i e w e r ) , С л у ж б ы (Services) и П л а н и р о в щ и к зада-
н и й (Task S c h e d u l e r ) . Д р у г и е и н с т р у м е н т ы , в к л ю ч а я Управление компьюте-
ром ( C o m p u t e r M a n a g e m e n t ) , о т к р ы в а ю т с я в виде консолей со множеством
о с н а с т о к – н е к о т о р ы е из н и х м о г у т з а п у с к а т ь с я как независимые консоли.
Н а п р и м е р , к о н с о л ь У п р а в л е н и е к о м п ь ю т е р о м содержит оснастки Просмотр
с о б ы т и й ( E v e n t V i e w e r ) , С л у ж б ы ( S e r v i c e s ) и П л а н и р о в щ и к заданий (Task
S c h e d u l e r ) .
П р и а д м и н и с т р и р о в а н и и W i n d o w s с п о м о щ ь ю оснасток вы будете выпол-
н я т ь к о м а н д ы , к о т о р ы е в М М С н а з ы в а ю т с я действиями и отображаются в па-
нели Д е й с т в и я (Actions) в правой части консоли. Большинство опытных адми-
н и с т р а т о р о в п р е д п о ч и т а ю т в ы п о л н я т ь д е й с т в и я в оснастке М М С с помощью
• 36 Администрирование
Глава 2
контекстного меню. Если вы используете только контекстное меню, можете
отключить панель Действия, чтобы область для о т о б р аж е н и я и н ф о р м а ц и и
в панели сведений была больше.
Существует два типа консолей М М С : предварительно с к о н ф и г у р и р о в а н -
ные и настраиваемые. Предварительно отконфигурированные консоли устанав-
ливаются автоматически при добавлении роли или компонента д л я админист-
рирования этой роли или компонента. Они функционируют в пользовательском
режиме и их нельзя модифицировать или сохранять, зато п о л ь з о в а т е л ь м о ж е т
создавать настраиваемые консоли с теми же и н с т р у м е н т а м и и ф у н к ц и я м и .
В следующих подразделах мы рассмотрим п р е д в а р и т е л ь н о о т к о н ф и г у р и р о -
ванные и настраиваемые консоли.
Средства администрирования Active Directory
В большинстве случаев администрирование Active D i r e c t o r y о с у щ е с т в л я е т с я
с помощью следующих оснасток и консолей.
• Active Directory – пользователи и к о м п ь ю т е р ы ( A c t i v e D i r e c t o r y U s e r s
and Computers) Управление ежедневно используемыми ресурсами, в к л ю -
чая пользователей, группы, компьютеры, п р и н т е р ы и о б щ и е п а п к и . Эта
оснастка чаще всего применяется администраторами Active Directory.
• Active Directory – сайты и с л у ж б ы ( A c t i v e D i r e c t o r y S i t e s a n d S e r v i c e s )
Управление репликацией, сетевой топологией и с о о т в е т с т в у ю щ и м и с л у ж -
бами. Эта оснастка подробно описана в главе 11.
• Active D i r e c t o r y – д о м е н ы и д о в е р и е ( A c t i v e D i r e c t o r y D o m a i n s a n d
Trusts) Настройка и поддержка доверительных отношений, а т а к ж е ф у н к -
циональных уровней домена и леса. Этот и н с т р у м е н т д е т а л ь н о о п и с а н
в главе 13.
• Схема Active Di rect ory (Active D i r e c t o r y S c h e m a ) А н а л и з и м о д и ф и -
кация определения классов объектов и атрибутов. Эта схема – п р о е к т н а я
модель Active Directory. Она редко просматривается и еще р е ж е м о д и ф и -
цируется. Поэтому такая оснастка не устанавливается по у м о л ч а н и ю .
Оснастки и консоли Active Directory у с т а н а в л и в а ю т с я п р и д о б а в л е н и и
роли AD DS на сервер. При установке роли AD DS в Диспетчер сервера (Server
Manager) добавляются два административных средства Active Directory: оснас-
тка Active Directory – пользователи и компьютеры (Active D i r e c t o r y Users and
Computers) и оснастка Active Directory – сайты и службы (Active D i r c t o r y Sites
and Services). Тем не менее для администрирования Active Directory из системы,
не служащей контроллером домена, необходимо установить средства у д а л е н -
ного администрирования сервера RSAT, для чего в Диспетчере сервера ( S e r v e r
Manager) системы Windows Server 2008 нужно выбрать узел К о м п о н е н т ы (Fea-
tures). Средства удаленного администрирования сервера R S A T м о ж н о загру-
зить на сайте Microsoft и установить на клиентах W i n d o w s Vista Service P a c k 1.
Расположение административных инструментов Active Directory
В Диспетчере сервера (Server Manager) находятся две оснастки Active Directory.
Чтобы открыть их, нужно развернуть узел Роли (Roles), а затем узел Д о м е н н ы е
• Занятие 1
Оснастки Active Directory 37
службы Active Di rec t ory (Active Directory Domain Services). Все остальные ад-
м и н и с т р а т и в н ы е средства находятся в папке Администрирование (Administra-
tive Tools), к о т о р а я р а с п о л о ж е н а в П а н е л и у п р а в л е н и я ( C o n t r o l Panel). Папка
А д м и н и с т р и р о в а н и е о т о б р а ж а е т с я в классическом виде п а н е л и управления.
В п р е д с т а в л е н и и д о м а ш н е й с т р а н и ц ы п а н е л и у п р а в л е н и я административные
и н с т р у м е н т ы н а х о д я т с я в к а т е г о р и и Система и ее обслуживание (System And
M a i n t e n a n c e ) .
Добавление административных инструментов в меню Пуск
По у м о л ч а н и ю а д м и н и с т р а т и в н ы е средства не в к л ю ч е н ы в меню Пуск ( S t a r t )
к л и е н т о в W i n d o w s Vista. Д о с т у п к а д м и н и с т р а т и в н ы м инструментам можно
упростить, д о б а в и в их в м е н ю Пуск.
1. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и кнопку Пуск ( S t a r t ) и примените команду
С в о й с т в а ( P r o p e r t i e s ) .
2 . Щ е л к н и т е к н о п к у Н а с т р о и т ь ( C u s t o m i z e ) .
3. Е с л и вы и с п о л ь з у е т е м е н ю П у с к по у м о л ч а н и ю , н а й д и т е папку Админист-
р и р о в а н и е ( S y s t e m A d m i n i s t r a t i o n Tools) и в ы б е р и т е о п ц и ю Отображать в
м е н ю "Все п р о г р а м м ы " и "Пуск" ( D i s p l a y On T h e All Programs M e n u And
T h e S t a r t M e n u ) и л и О т о б р а ж а т ь в меню "Все программы" (Display On T h e
All P r o g r a m s M e n u ) . Е с л и вы используете классическое меню Пуск, выбери-
т е о п ц и ю О т о б р а ж а т ь м е н ю " А д м и н и с т р и р о в а н и е " (Display Administrative
Tools).
4 . Д в а ж д ы щ е л к н и т е О К .
Запуск административных средств с использованием
альтернативных учетных данных
М н о г и е а д м и н и с т р а т о р ы в х о д я т на свои к о м п ь ю т е р ы с и с п о л ь з о в а н и е м адми-
н и с т р а т и в н ы х у ч е т н ы х д а н н ы х . Э т о небезопасно, поскольку административная
учетная з а п и с ь и м е е т б о л е е в ы с о к и й у р о в е н ь п р и в и л е г и й и прав сетевого до-
ступа, чем с т а н д а р т н а я п о л ь з о в а т е л ь с к а я учетная запись. Поэтому вредоносные
п р о г р а м м ы , к о т о р ы е з а п у с к а ю т с я с а д м и н и с т р а т и в н ы м и у ч е т н ы м и данными,
могут п р и н е с т и з н а ч и т е л ь н ы й ущерб. Ч т о б ы т а к и е п р о б л е м ы не возникали, не
входите в с и с т е м у к а к а д м и н и с т р а т о р . Вместо этого входите к а к стандартный
п о л ь з о в а т е л ь и п р и м е н я й т е ф у н к ц и ю З а п у с к о т и м е н и а д м и н и с т р а т о р а ( R u n
A s A d m i n i s t r a t o r ) д л я а д м и н и с т р а т и в н ы х и н с т р у м е н т о в , чтобы о б е с п е ч и т ь
безопасность а д м и н и с т р а т и в н о й у ч е т н о й з а п и с и .
1. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и з н а ч о к з а п у с к а е м о г о апплета в панели
у п р а в л е н и я и п р и м е н и т е к о м а н д у З а п у с к о т и м е н и а д м и н и с т р а т о р а ( R u n
As A d m i n i s t r a t o r ) . Е с л и эта к о м а н д а не отображается, попробуйте щелкнуть
п р а в о й к н о п к о й м ы ш и п р и н а ж а т о й к л а в и ш е Shift.
О т к р о е т с я д и а л о г о в о е окно К о н т р о л ь учетных записей пользователей (User
A c c o u n t C o n t r o l ) , п о к а з а н н о е на рис. 2-2.
2. В в е д и т е и м я и п а р о л ь а д м и н и с т р а т и в н о й у ч е т н о й записи.
3. Щ е л к н и т е О К .
38 Администрирование
Рлава 2
Рис. 2-2. Ввод административных учетных данных
в диалоговом окне контроля учетных записей пользователей
Если вы регулярно запускаете приложения от и м е н и а д м и н и с т р а т о р а , со-
здайте новый ярлык для команды Запуск от и м е н и а д м и н и с т р а т о р а ( R u n As
Administrator). Создайте ярлык и откройте диалоговое о к н о С в о й с т в а ( P r o p e r -
ties) этого ярлыка. Щелкните кнопку Дополнительно ( A d v a n c e d ) и у с т а н о в и т е
флажок Запуск от имени администратора ( R u n As A d m i n i s t r a t o r ) . П р и щ е л ч к е
на этом ярлыке откроется диалоговое окно к о н т р о л я у ч е т н ы х з а п и с е й п о л ь -
зователей.
Создание настраиваемой консоли с оснастками Active Directory
Систему Windows проще администрировать, когда все н е о б х о д и м ы е и н с т р у м е н -
ты находятся в одном месте, где их можно настраивать в с о о т в е т с т в и и с т р е б о -
ваниями. Для этого лучше создать настраиваемую а д м и н и с т р а т и в н у ю к о н с о л ь
ММС, к которой, как к поясному ремню монтажника, и будут к р е п и т ь с я и н с т р у -
менты. Настраиваемая консоль М М С обеспечивает т а к и е в о з м о ж н о с т и :
• добавить множество оснасток, чтобы не п е р е к л ю ч а т ь с я м е ж д у к о н с о л я м и
при выполнении заданий и запускать л и ш ь одну к о н с о л ь от и м е н и а д м и -
нистратора;
• сохранить консоль для постоянного и с п о л ь з о в а н и я ;
• распространить консоль среди других а д м и н и с т р а т о р о в ;
• централизовать консоли в общем ресурсе для у н и ф и ц и р о в а н н о г о н а с т р а -
иваемого администрирования.
Чтобы создать настраиваемую консоль М М С , о т к р о й т е п у с т у ю к о н с о л ь
ММС. Для этого откройте меню Пуск ( S t a r t ) , в поле Н а ч а т ь п о и с к ( S e a r c h )
введите команду ттс.ехе и нажмите клавишу Enter. С п о м о щ ь ю к о м а н д ы Д о -
бавить или удалить оснастку ( A d d / R e m o v e S n a p – i n ) в м е н ю К о н с о л ь ( F i l e )
можно добавлять оснастки в консоль, удалять их, и з м е н я т ь их п о р я д о к и уп-
равлять ими.
Занятие 1
Оснастки Active Directory 39
ПРИМЕЧАНИЕ
В упражнениях 1, 2 и 3 в конце этого занятия пошагово описано создание настра-
иваемой консоли М М С с множеством оснасток.
Сохранение и распространение настраиваемой консоли
Е с л и в ы п л а н и р у е т е р а с п р о с т р а н и т ь к о н с о л ь , р е к о м е н д у е т с я сохранить е е
в п о л ь з о в а т е л ь с к о м р е ж и м е . Ч т о б ы и з м е н и т ь р е ж и м консоли, в меню Консоль
( F i l e ) щ е л к н и т е П а р а м е т р ы ( O p t i o n s ) . П о у м о л ч а н и ю новые консоли сохра-
н я ю т с я в а в т о р с к о м р е ж и м е , п о з в о л я ю щ е м д о б а в л я т ь и удалять оснастки,
п р о с м а т р и в а т ь все с е к ц и и д е р е в а к о н с о л и и сохранять настройки. Пользова-
т е л ь с к и й р е ж и м о г р а н и ч и в а е т ф у н к ц и о н а л ь н о с т ь консоли, чтобы е е нельзя
б ы л о и з м е н я т ь . С у щ е с т в у е т т р и т и п а пользовательского режима – они описаны
в т а б л . 2-1. Р е ж и м П о л ь з о в а т е л ь с к и й – п о л н ы й доступ (User Mode – Full Ac-
cess) ч а с т о п р и м е н я е т с я д л я к о н с о л е й о п ы т н ы м и администраторами, которые
в ы п о л н я ю т с в о ю работу, ш и р о к о и с п о л ь з у я оснастки консоли. Режим Пользо-
в а т е л ь с к и й – о г р а н и ч е н н ы й д о с т у п ( U s e r M o d e – Limited Access) с множест-
вом о к о н и л и с о д н и м о к н о м – это р е ж и м с ограниченной функциональностью,
п о э т о м у о н п р и м е н я е т с я д л я к о н с о л е й а д м и н и с т р а т о р а м и с ограниченным
н а б о р о м з а д а ч .
Табл. 2-1. Режимы консоли ММС
Режим Особенности применения
Авторский (Author) Можно продолжать настраивать консоль
Пользовательский – полный Пользователи консоли могут переключать и применять
доступ (User Mode – Full все оснастки, но не могут добавлять оснастки в кон-
Access) соль, удалять их или изменять их свойства
Пользовательский – Огра– Пользователи могут переключать и применять только
ниченный доступ, много те оснастки, которые отконфигурированы для отобра-
окон (User Mode – Limited жения в дереве консоли. Для этого режима предвари-
Access, multiple windows) тельно конфигурируются окна, сфокусированные на
конкретных оснастках. Пользователи не могут откры-
вать новые окна
Пользовательский – огра– Пользователи могут переключать и применять лишь
ниченный доступ, одно окно те оснастки, которые видимы в дереве консоли, и могут
(User Mode – Limited Access, открывать их только в одном окне
single window)
К о г д а к о н с о л ь б о л ь ш е не х р а н и т с я в авторском режиме, вы как автор кон-
соли м о ж е т е в н е с т и и з м е н е н и я , щ е л к н у в сохраненную консоль правой кнопкой
м ы ш и и п р и м е н и в к о м а н д у Автор ( A u t h o r ) .
ПРИМЕЧАНИЕ
В упражнении 4 в конце этого занятия пошагово описано, как сохранить консоль
в пользовательском режиме для ограничения ее функциональности при распростра-
нении среди других администраторов.
I г
Глаоа 2
I Консоли сохраняются с файловым расширением .msc, по у м о л ч а н и ю —
I в папке Administrative Tools, но на самом деле это не папка, а а п п л е т п а н е л и
| управления. Если сказать точнее, сохраняются консоли в папке главного меню
I (Start) профиля пользователя % « i e ^ o r o / z 7 e % A p p D a t a R o a m i n g M i c r o s o f t
J VindovsS tart Menu.
I Указанная папка защищена, так что только в а ш а у ч е т н а я з а п и с ь и м е е т
I доступ к консоли. Лучше всего входить на компьютер с и с п о л ь з о в а н и е м учет-
I ной записи без привилегий, а затем запускать а д м и н и с т р а т и в н ы е и н с т р у м е н -
ты, включая настраиваемую консоль, с альтернативными у ч е т н ы м и д а н н ы м и ,
I обеспечивающими достаточные права для задач а д м и н и с т р и р о в а н и я . Но и з – з а
I участия двух учетных записей в работе при с о х р а н е н и и к о н с о л и в ггодпапке
главного меню пользовательского п р о ф и л я одной учетной з а п и с и п о т р е б у е т с я
дополнительная навигация, что может привести к о ш и б к а м о т к а з а в д о с т у п е .
Сохраните свою консоль в папке, доступ к которой м о ж н о п о л у ч и т ь с поль-
зовательскими или административными учетными д а н н ы м и . Р е к о м е н д у е т с я со-
хранять консоли в общей сетевой папке, чтобы по лу ча ть к н и м д о с т у п с д р у г и х
компьютеров. Как вариант можно открыть доступ к папке д л я д р у г и х а д м и н и с -
траторов, создав таким образом централизованное х р а н и л и щ е н а с т р а и в а е м ы х
консолей. Консоли также можно сохранять на т а к о м п е р е н о с н о м у с т р о й с т в е ,
как USB-диск, а также пересылать как в л о ж е н и я э л е к т р о н н о й п о ч т ы .
Важно не забывать, что консоли, по сути,– это н а б о р и н с т р у к ц и й , к о т о р ы е
интерпретируются программой т т с . е х е . Эти и н с т р у к ц и и у к а з ы в а ю т д о б а в л я -
емые оснастки и компьютеры, управление к о т о р ы м и о с у щ е с т в л я е т с я с п о м о -
щью этих оснасток. Консоли не содержат сами о с н а с т к и . П о э т о м у к о н с о л ь не
будет функционировать, если предусмотренная в ней о с н а с т к а не у с т а н о в л е н а .
