Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 6 (всего у книги 91 страниц)
Следует не забывать установить соответствующие о с н а с т к и из н а б о р а с р е д с т в
RSAT в системах, где будет использоваться консоль.
Контрольный вопрос
• Опишите разницу между сохранением консоли в пользовательском и автор-
ском режиме.
Ответ на контрольный вопрос
• Авторский режим позволяет пользователю добавлять и удалять оснастки
и настраивать консоль. Пользовательский – запрещает пользователям из-
менять консоль.
Практические занятия. Создание настраиваемой консоли ММС
и управление ею
На этом практическом занятии вы создадите н а с т р а и в а е м у ю к о н с о л ь М М С .
Для этого вы добавите оснастки, у д а л и т е н е к о т о р ы е из н и х и и з м е н и т е их
порядок. Затем вы подготовите к о н с о л ь д л я р а с п р о с т р а н е н и я с р е д и д р у г и х
администраторов.
Занятие 1
Оснастки Active Directory 41
У п р а ж н е н и е 1 . С о з д а н и е н а с т р а и в а е м о й к о н с о л и М М С
В этом у п р а ж н е н и и вы создадите н а с т р а и в а е м у ю консоль М М С с оснастками
Active D i r e c t o r y – п о л ь з о в а т е л и и к о м п ь ю т е р ы (Active Directory Users and
C o m p u t e r s ) , С х е м а Active D i r e c t o r y (Active Directory Schema) и Управление
к о м п ь ю т е р о м ( C o m p u t e r M a n a g e m e n t ) . Э т и инструменты удобны для адми-
н и с т р и р о в а н и я Active D i r e c t o r y и к о н т р о л л е р о в доменов.
1. В о й д и т е на м а ш и н у S E R V E R 0 1 как Администратор (Administrator).
2. Щ е л к н и т е к н о п к у П у с к ( S t a r t ) , в поле Начать поиск ( S t a r t Search) введите
к о м а н д у т т с . е х е и н а ж м и т е к л а в и ш у Enter.
О т к р о е т с я п у с т а я к о н с о л ь М М С . По у м о л ч а н и ю новое окно консоли не
р а з в е р н у т о в н у т р и М М С . Р а з в е р н и т е его, чтобы использовать преимущес-
тва п о л н о г о р а з м е р а о к н а п р и л о ж е н и я .
3. В м е н ю К о н с о л ь ( F i l e ) в ы б е р и т е к о м а н д у Д о б а в и т ь или удалить оснастку
( A d d / R e m o v e S n a p – i n ) .
О т к р о е т с я д и а л о г о в о е о к н о Д о б а в л е н и е и удаление оснастки (Add or Re-
m o v e S n a p – i n s ) , п о к а з а н н о е на рис. 2-3.
Е Е
*1
Можно в ы б р а т ь о с н а с т к и а ля >той консоли из д о с т у п н ы х н I к о н п и о т с р е оснасток и затеи настроить и х . Для расширяемых
оснасток нолмо н а с т р о и т ь требуемое расширение.
Д о с т у п н ы е оснастки:
Выбранные оснастки:
Оснастка
Поставщик
. Корень консоли И з н е ш т ь p a a m p e w a . . . |
Active Directory – д о . . . Microsoft Со
Active Drectory – пользовате/ .
Active Dree tor у – п о л . . . Microsoft Со
Active Directory – can... M c r o s o f t Co
x,, DNS К о р п с р а ш . "
an Анализ и настройка . . . f ^ a o s o f t Co
Ш Брандмауэр Window... Microsoft Co
Диспетчер авториза... Microsoft Co
§ & Д и с п е т ч е р сервера Корпораии..
. j Д и с п е т ч е р служб т е . . . Microsoft Со
• ^ Д и с п е т ч е р устройств Microsoft Со
Конфигурация к л и е . . . Мкз-osoft Со
^ К о н ф и г у р а ц и я с л у ж . . , Microsoft Со
^ Локальные пользой... Microsoft Со
1 Г 1
il
Допа/»»«тельк1...
Рис. 2-3. Диалоговое окно добавления и удаления оснасток
Е с л и о с н а с т к и не о т о б р а ж а ю т с я в с п и с к е справа, проверьте, установлен ли
на м а ш и н е н а б о р средств RSAT.
4. В д и а л о г о в о м о к н е Д о б а в л е н и е и у д а л е н и е оснастки (Add or Remove Snap-
i n s ) в с п и с к е Д о с т у п н ы е о с н а с т к и (Available S n a p – i n s ) в ы б е р и т е Active
D i r e c t o r y – п о л ь з о в а т е л и и к о м п ь ю т е р ы ( A c t i v e D i r e c t o r y Users and
C o m p u t e r s ) .
3 Зак. 3399
42 Администрирование
Глава 2
5. Щелкните кнопку Добавить (Add), чтобы д о б а в и т ь о с н а с т к у в с п и с о к В ы -
бранные оснастки (Selected Snap-ins). О б р а т и т е в н и м а н и е , ч т о о с н а с т к а
Схема Active Directory (Active Directory S c h e m a ) н е д о с т у п н а . О н а у с т а -
навливается вместе с ролыо Д о м е н н ы е с л у ж б ы Active D i r e c t o r y ( A c t i v e
Directory Domain Services) с набором средств RSAT, но не р е г и с т р и р у е т с я
и не отображается.
6. Щелкните ОК, чтобы закрыть диалоговое окно д о б а в л е н и я и у д а л е н и я
оснасток.
7. Щелкните кнопку Пуск (Start). В поле Начать п о и с к ( S t a r t S e a r c h ) в в е д и т е
команду cmd.exe.
8. В окно командной строки введите команду regsvr32.exe schmmgmt.dll.
Эта команда регистрирует динамически п о д к л ю ч а е м у ю . б и б л и о т е к у D L L
(Dynamic Link Library) оснастки Схема Active D i r e c t o r y ( A c t i v e D i r e c t o r y
Schema). Данную операцию следует в ы п о л н и т ь в с и с т е м е о д и н р а з п е р е д I
добавлением этой оснастки в консоль.
9. Появится строка с информацией об успешной р е г и с т р а ц и и . Щ е л к н и т е О К .
10. Вернитесь к настраиваемой консоли М М С и п о в т о р и т е ш а г и 2 – 6 , ч т о б ы
добавить оснастку Схема Active Directory (Active D i r e c t o r y S c h e m a ) .
11. В меню Консоль (File) выберите команду Д о б а в и т ь и л и у д а л и т ь о с н а с т к у
(Add/Remove Snap-in).
12. В диалоговом окне Добавление и удаление оснастки ( A d d or R e m o v e S n a p -
ins) выберите в списке доступных оснасток Управление к о м п ь ю т е р о м ( C o m -
puter Management).
13. Щелкните кнопку Добавить (Add), чтобы д о б а в и т ь о с н а с т к у в с п и с о к В ы -
бранные оснастки (Selected Snap-ins). I
Если оснастка поддерживает удаленное а д м и н и с т р и р о в а н и е , в а м б у д е т
предложено выбрать компьютер, которым вы хотите у п р а в л я т ь ( р и с . 2-4).
С
Во^ерите коигъютер, которым датам управлять эта осхастка
Этв оснастке всвгдя управляет– – – – – – – -
; Г Ц р ш ь н ь ^ компьютером (тем. на котором вьполнавтся эта консоль)
Г " £«решается и з д а т ь выбранный для управления к о м п о с т е р п р и запуске и з
«смандной строки Применяется то/ъко при сохранении консоли
Рис. 2-4. Выбор компьютера, которым будет управлять оснастка
Занятие 1
Оснастки Active Directory 43
• Д л я у п р а в л е н и я компьютером, на котором запускается консоль, выбери-
те о п ц и ю Л о к а л ь н ы м к о м п ь ю т е р о м (Local Computer). Этот не означает,
ч т о у п р а в л я т ь п о с р е д с т в о м к о н с о л и м о ж н о будет л и ш ь тем компьюте-
ром, на к о т о р о м она б ы л а создана. Если запустить эту консоль с другого
к о м п ь ю т е р а , о н а будет у п р а в л я т ь им.
ш Ч т о б ы у к а з а т ь д р у г о й к о н к р е т н ы й компьютер, которым должна управ-
л я т ь эта оснастка, в ы б е р и т е о п ц и ю Д р у г и м компьютером (Another Com-
p u t e r ) . З а т е м в в е д и т е и м я к о м п ь ю т е р а и л и щ е л к н и т е кнопку Обзор
( B r o w s e ) , ч т о б ы у к а з а т ь к о м п ь ю т е р .
14. В ы б е р и т е о п ц и ю у п р а в л е н и я д р у г и м компьютером и введите имя компью-
т е р а – SERVER01.
15. Щ е л к н и т е к н о п к у Готово ( F i n i s h ) .
16. Щ е л к н и т е О К , ч т о б ы з а к р ы т ь д и а л о г о в о е о к н о д о б а в л е н и я и удаления
о с н а с т о к .
17. В м е н ю К о н с о л ь ( F i l e ) в ы б е р и т е команду Сохранить (Save) и сохраните
к о н с о л ь п о д и м е н е м M y C o n s o l e . m s c на рабочем столе. Закройте консоль.
Упражнение 2. Добавление оснастки в консоль ММС
В э т о м у п р а ж н е н и и вы д о б а в и т е оснастку П р о с м о т р событий (Event Viewer)
в к о н с о л ь , с о з д а н н у ю в у п р а ж н е н и и 1. Э т у оснастку удобно применять для
о т с л е ж и в а н и я о п е р а ц и й н а к о н т р о л л е р а х домена.
1. О т к р о й т е к о н с о л ь M y C o n s o l e . m s c .
Е с л и в у п р а ж н е н и и 1 вы с о х р а н и л и консоль не на рабочем столе, а сохрани-
ли ее в п а п к е по у м о л ч а н и ю , то можете найти ее в папке Главное мешоПро-
г р а м м ы А д м и н и с т р и р о в а н и е ( S t a r t A l l ProgramsAdministrativeTools).
2. В м е н ю К о н с о л ь ( F i l e ) в ы б е р и т е к о м а н д у Добавить или удалить оснастку
( A d d / R e m o v e S n a p – i n ) .
3. В д и а л о г о в о м о к н е Д о б а в л е н и е и у д а л е н и е оснастки (Add or Remove Snap-
i n s ) в ы б е р и т е о с н а с т к у П р о с м о т р с о б ы т и й ( E v e n t Viewer).
4. Щ е л к н и т е к н о п к у Д о б а в и т ь ( A d d ) , чтобы добавить оснастку в список вы-
б р а н н ы х о с н а с т о к .
В а м б у д е т п р е д л о ж е н о в ы б р а т ь к о м п ь ю т е р для управления.
5. В ы б е р и т е о п ц и ю Д р у г и м к о м п ь ю т е р о м ( A n o t h e r C o mp ut e r) и введите имя
к о м п ь ю т е р а – SERVER01.
6 . Щ е л к н и т е О К .
7. Щ е л к н и т е О К , ч т о б ы з а к р ы т ь д и а л о г о в о е окно добавления и удаления
о с н а с т о к .
8. С о х р а н и т е и з а к р о й т е консоль.
Упражнение 3. Управление оснастками в консоли ММС
В э т о м у п р а ж н е н и и вы п о м е н я е т е п о р я д о к оснасток и удалите одну из них. Вы
т а к ж е и з у ч и т е р а с ш и р е н и я оснасток.
44 Администрирование Глава 2
1. Откройте консоль MyConsole.msc.
2. В меню Консоль (File) выберите команду Д о б а в и т ь и л и у д а л и т ь о с н а с т к у
(Add/Remove Snap-in).
3. В списке выбранных оснасток выберите Просмотр с о б ы т и й ( E v e n t V i e w e r ) .
4. Щелкните кнопку Вверх (Move Up).
5. Выберите оснастку Схема Active Directory (Active D i r e c t o r y S c h e m a ) .
6. Щелкните кнопку Удалить (Remove).
7. В списке Выбранные оснастки (Selected Snap-ins) в ы б е р и т е о с н а с т к у Управ-
ление компьютером (Computer Management).
8. Щелкнете кнопку Изменить расширения ( E d i t E x t e n s i o n s ) .
Расширения представляют собой оснастки в еще о д н о й о с н а с т к е и о б е с п е -
чивают дополнительную функциональность. О с н а с т к а У п р а в л е н и е к о м -
пьютером (Computer Management) содержит в качестве р а с ш и р е н и й м н о г о
других оснасток, каждую из которых можно в к л ю ч а т ь и о т к л ю ч а т ь по от-
дельности.
9. Выберите Включать только выбранные р а с ш и р е н и я ( E n a b l e O n l y S e l e c t e d
Extensions).
10. Сбросьте флажок Просмотр событий ( E v e n t V i e w e r ) . Вы у ж е д о б а в и л и
Просмотр событий в консоль в качестве н е з а в и с и м о й о с н а с т к и .
11. Щелкните ОК, чтобы закрыть диалоговое о к н о У п р а в л е н и е к о м п ь ю т е -
ром – расширения (Extensions For Computer M a n a g e m e n t ) .
12. Щелкните OK, чтобы закрыть диалоговое о к н о Д о б а в л е н и е и у д а л е н и е
оснастки (Add or Remove Snap-in).
13. Сохраните и закройте консоль.
Упражнение 4. Подготовка консоли к распространению среди пользователей
В этом упражнении вы сохраните консоль в п о л ь з о в а т е л ь с к о м р е ж и м е , ч т о б ы
пользователи не могли добавлять, удалять и м о д и ф и ц и р о в а т ь о с н а с т к и . Не
забывайте, что пользователями М М С , как п р а в и л о , с т а н о в я т с я с а м и а д м и -
нистраторы.
1. Откройте консоль MyConsole.msc.
2. В меню Консоль (File) выберите команду П а р а м е т р ы ( O p t i o n s ) .
3. В раскрывающемся списке Режим консоли (Console M o d e ) в ы б е р и т е р е ж и м
Пользовательский – полный доступ (User M o d e – Full Access).
4. Щелкните ОК.
5. Сохраните и закройте консоль.
6. Откройте консоль, дважды щелкнув ее значок.
7. Щелкните меню Консоль (File). Как видите, в меню н е т к о м а н д ы Д о б а в и т ь
или удалить оснастку (Add/Remove Snap-in).
8. Закройте консоль.
Занятие 1
Оснастки Active Directory 45
9. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и з н а ч о к к о н с о л и и п р и м е н и т е команду
А в т о р ( A u t h o r ) .
10. Щ е л к н и т е м е н ю К о н с о л ь (File). В авторском режиме отображается команда
Д о б а в и т ь и л и у д а л и т ь о с н а с т к у ( A d d / R e m o v e Snap-in).
11. З а к р о й т е к о н с о л ь .
Резюме
ш А д м и н и с т р а т и в н ы е с р е д с т в а W i n d o w s представляют собой оснастки, кото-
р ы е м о ж н о д о б а в л я т ь в к о н с о л ь М М С . О с н а с т к и Active Directory – поль-
з о в а т е л и и к о м п ь ю т е р ы ( A c t i v e D i r e c t o r y Users And Computers) и другие
о с и а с т к и д л я у п р а в л е н и я Active D i r e c t o r y т а к ж е добавляются в Диспетчер
с е р в е р а ( S e r v e r M a n a g e r ) и с о д е р ж а т с я в предварительно отконфигуриро-
в а н н ы х к о н с о л я х в п а п к е А д м и н и с т р и р о в а н и е (Administrative Tools).
• А д м и н и с т р а т о р ы не д о л ж н ы входить на свои компьютеры с использованием
а д м и н и с т р а т и в н ы х у ч е т н ы х д а н н ы х . Вместо этого лучше применять для
в х о д а с т а н д а р т н у ю п о л ь з о в а т е л ь с к у ю учетную запись, а административные
и н с т р у м е н т ы з а п у с к а т ь к о м а н д о й З а п у с к о т имени администратора (Run
As A d m i n i s t r a t o r ) .
• С о з д а й т е н а с т р а и в а е м у ю к о н с о л ь М М С , с о д е р ж а щ у ю все оснастки, не-
о б х о д и м ы е д л я р е ш е н и я а д м и н и с т р а т и в н ы х задач. Такую консоль можно
с о х р а н и т ь в папке, где вы и д р у г и е администраторы можете получать к ней
д о с т у п и з а п у с к а т ь ее с а д м и н и с т р а т и в н ы м и привилегиями. В идеале лучше
с о з д а т ь о д н у к о н с о л ь со в с е м и н у ж н ы м и оснастками и запускать только ее
о т и м е н и а д м и н и с т р а т о р а .
• Н а с т р а и в а е м у ю к о н с о л ь р е к о м е н д у е т с я сохранить в пользовательском ре-
ж и м е , ч т о б ы в к о н с о л ь и ее о с н а с т к и н е л ь з я было вносить изменения.
• Д л я р а б о т ы к о н с о л и следует у с т а н о в и т ь соответствующие административ-
н ы е с р е д с т в а , и н а ч е о с н а с т к и к о н с о л и н е будут действовать.
Закрепление материала
С л е д у ю щ и й в о п р о с м о ж н о и с п о л ь з о в а т ь д л я п р о в е р к и знаний, полученных н а
з а н я т и и 1. Э т о т в о п р о с есть на с о п р о в о д и т е л ь н о м компакт-диске.
ПРИМЕЧАНИЕ Ответы
Ответ на это вопрос с пояснениями, почему тот или иной вариант ответа правилен
или неверен, вы найдете в разделе -«Ответы» в конце книги.
1. Вы п р о ф е с с и о н а л из г р у п п ы п о д д е р ж к и в компании Contoso, Ltd. Адми-
н и с т р а т о р ы д о м е н а р а с п р о с т р а н и л и настраиваемую консоль с оснасткой
Active D i r e c t o r y – п о л ь з о в а т е л и и к о м п ь ю т е р ы (Active Directory Users
And C o m p u t e r s ) . П р и о т к р ы т и и к о н с о л и и попытке сбросить пароль поль-
. з о в а т е л я вы п о л у ч а е т е о ш и б к и отказа в доступе. Вы точно знаете, что вам
46 Администрирование
Глава 2
делегированы разрешения на сброс паролей пользователей. Как л у ч ш е всего
выйти из такой ситуации?
A. Закрыть настраиваемую консоль и открыть Д и с п е т ч е р сервера ( S e r v e r
Manager). Применить оснастку Active Directory – п о л ь з о в а т е л и и ком-
пьютеры (Active Directory Users And Computers) в д и с п е т ч е р е сервера.
Б. Закрыть настраиваемую консоль и открыть к о м а н д н у ю строку. Ввести
команду dsa.msc.
B. Закрыть настраиваемую консоль, а затем щ е л к н у т ь ее з н а ч о к п р а в о й
кнопкой мыши и применить команду З а п у с к от и м е н и а д м и н и с т р а т о р а
(Run As Administrator). Ввести учетные данные альтернативной учетной
записи администратора.
Г. Закрыть настраиваемую консоль, а затем о т к р ы т ь к о м а н д н у ю строку.
Для изменения пароля пользователя применить к о м а н д у DSMOD USER
с переключателем -р.
Занятие 2. Создание объектов в Active Directory
Роль Active Directory как службы каталогов состоит в п о д д е р ж к е и н ф о р м а -
ции о ресурсах предприятия, включая пользователей, г р у п п ы и к о м п ь ю т е р ы .
С целыо упрощения функций управления и о т о б р а ж е н и я , то есть д л я у п р о щ е -
ния поиска объектов, ресурсы распределены среди п о д р а з д е л е н и й OU ( O r g a -
nizational Unit). На этом занятии мы изучим, к ак с о з д а в а т ь п о д р а з д е л е н и я ,
пользователей, группы и компьютеры. Мы т а к ж е р а с с м о т р и м м е т о д ы п о и с к а
и локализации необходимых объектов.
Если вы знакомы с Active Directory, то можете п р о п у с т и т ь п е р в ы е п о д р а з -
делы этого занятия, однако, возможно, вам стоит у д е л и т ь в н и м а н и е п о с л е д у ю -
щим, начиная с «Поиска объектов в Active Directory», п о с к о л ь к у и н ф о р м а ц и я
в этих подразделах поможет э ф ф е к т и в н е е и с п о л ь з о в а т ь и н с т р у м е н т ы Active
Directory.
Важно выполнить все практические у п р а ж н е н и я этого з а н я т и я , п о с к о л ь -
ку в них создаются объекты, которые будут и с п о л ь з о в а т ь с я на п о с л е д у ю щ и х
занятиях.
Изучив материал этого занятия, вы сможете:
У Создавать пользователей, компьютеры и подразделения.
У Отключать защиту, чтобы удалить подразделение.
У Настроить оснастку Active Directory – пользователи и компьютеры (Active
Directory Users And Computers) и воспользоваться ее преимуществами для
эффективной работы с объектами в каталоге.
У Создавать сохраненные запросы для представления объектов в каталоге на
основе правил.
Продолжительность занятия – около 45 мин.
Занятие 2
Создание объектов в Active Directory
47" т
Создание подразделения
П о д р а з д е л е н и я ( O r g a n i z a t i o n a l U n i t , O U ) в Active D i r e ct o ry представляют
собой а д м и н и с т р а т и в н ы е к о н т е й н е р ы , к о т о р ы е с л у ж а т д л я группирования
о б ъ е к т о в с о б щ и м и т р е б о в а н и я м и а д м и н и с т р и р о в а н и я , к о н ф и г у р а ц и и и л и
видимости. С м ы с л сказанного станет п о н я т н ы м при изучении дизайна и управ-
ления О U . А сейчас просто н у ж н о знать, что подразделения ( O U ) обеспечивают
а д м и н и с т р а т и в н у ю и е р а р х и ю , а н а л о г и ч н у ю иерархии на диске: подразделения
п р е д с т а в л я ю т собой коллекции объектов, которые предназначены для админис-
тр ир ования. В д а н н о м случае д е л а е т с я а к ц е н т на слове «администрирование»,
поскольку п о д р а з д е л е н и я не и с п о л ь з у ю т с я д л я назначения разрешений досту-
па к р е с у р с а м – д л я этого с у щ е с т в у ю т группы. Пользователи помещаются в
группы, к о т о р ы м н а з н а ч а ю т с я р а з р е ш е н и я доступа к ресурсам. Подразделения
ж е ( O U ) п р е д с т а в л я ю т собой а д м и н и с т р а т и в н ы е контейнеры, внутри которых
а д м и н и с т р а т о р ы у п р а в л я ю т э т и м и п о л ь з о в а т е л я м и и группами. Далее описан
процесс с о з д а н и я п о д р а з д е л е н и я .
1. О т к р о й т е о с н а с т к у Active D i r e c t o r y – п о л ь з о в а т е л и и компьютеры (Active
D i r e c t o r y U s e r s and C o m p u t e r s ) .
2. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и у з е л д о м е н а и л и подразделения, в кото-
рое х о т и т е д о б а в и т ь н о в о е п о д р а з д е л е н и е , выберите о п ц и ю Создать (New)
и щ е л к н и т е к о м а н д у П о д р а з д е л е н и е (Organizational U n i t ) .
3. Введите и м я п о д р а з д е л е н и я в соответствии с правилами именования вашей
о р г а н и з а ц и и .
4 . У с т а н о в и т е ф л а ж о к З а щ и т и т ь к о н т е й н е р о т случайного у д а л е н и я ( P r o t e c t
C o n t a i n e r F r o m A c c i d e n t a l D e l e t i o n ) .
Э т о т п а р а м е т р м ы р а с с м о т р и м п о д р о б н е е далее.
5 . Щ е л к н и т е О К .
П о д р а з д е л е н и я и м е ю т и другие свойства, которые можно конфигурировать;
о п р е д е л и т ь и х м о ж н о п о с л е с о з д а н и я объекта.
6. Щ е л к н и т е п о д р а з д е л е н и е п р а в о й к н о п к о й м ы ш и и п р и м е н и т е к о м а н д у
С в о й с т в а ( P r o p e r t i e s ) .
С о б л ю д а й т е п р а в и л а и м е н о в а н и я , а т а к ж е другие стандарты и процедуры
в а ш е й о р г а н и з а ц и и .
В п о л е О п и с а н и е ( D e s c r i p t i o n ) м о ж н о у к а з а т ь назначение подразделения.
Е с л и п о д р а з д е л е н и е п р е д с т а в л я е т ф и з и ч е с к о е п р о с т р а н с т в о , н а п р и м е р
о ф и с , в с в о й с т в а х м о ж н о у к а з а т ь п о ч т о в ы й адрес подразделения.
В к л а д к у У п р а в л я е т с я ( M a n a g e d B y ) можно применить д л я привязки к поль-
з о в а т е л ю и л и г р у п п е , к о т о р а я несет о т в е т с т в е н н о с т ь з а подразделение.
Щ е л к н и т е к н о п к у И з м е н и т ь ( C h a n g e ) под полем И м я (Name). Откроется
д и а л о г о в о е о к н о Выбор: "Пользователь", "Контакт" и л и "Группа" (Select
User, C o n t a c t , o r G r o u p ) ; п о у м о л ч а н и ю о н о н е в ы п о л н я е т поиск групп.
Д л я п о и с к а н у ж н о вначале щ е л к н у т ь к н о п к у Т и п ы объектов (Object Types)
48 Администрирование
Глава 2
и выбрать т и п объектов Группы ( G r o u p s ) . ( П о з ж е на э т о м з а н я т и и мы рас-
смотрим диалоговое окно Выбор: " П о л ь з о в а т е л ь " , " К о н т а к т " и л и "Груп-
па".) Остальная контактная и н ф о р м а ц и я на вкладке У п р а в л я е т с я ( M a n a g e d
By) заполняется д а н н ы м и учетной записи, у к а з а н н о й в п о л е И м я ( N a m e ) .
Вкладка Управляется используется и с к л ю ч и т е л ь н о д л я к о н т а к т н о й и н ф о р -
мации. Указанные пользователи и г р у п п ы не п о л у ч а ю т р а з р е ш е н и я и л и
доступ к подразделению. Щ е л к н и т е О К .
В административных средствах W i n d o w s Server 2 0 0 8 п о я в и л а с ь н о в а я оп-
ция – Защитить контейнер от случайного у д а л е н и я ( P r o t e c t C o n t a i n e r F r o m
Accidental Deletion). Она предусматривает д л я п о д р а з д е л е н и я ( O U ) в о з м о ж -
ность использовать переключатель безопасности, п о з в о л я ю щ и й и з б е ж а т ь слу-
чайного удаления O U . В подразделение д о б а в л я ю т с я два р а з р е ш е н и я : Everyone::
Deny::Delete и Everyone::Deny::Delete Subtree. П о э т о м у п о л ь з о в а т е л и и д а ж е
администраторы не могут случайно у д а л и т ь п о д р а з д е л е н и е и его с о д е р ж и м о е .
Настоятельно рекомендуется в к л ю ч а т ь эту з а щ и т у д л я в с е х н о в ы х п о д р а з д е -
лений.
Д л я того чтобы все же удалить подразделение, в н а ч а л е с л е д у е т о т к л ю ч и т ь
переключатель безопасности. Ч т о б ы у д а л и т ь з а щ и щ е н н о е п о д р а з д е л е н и е , вы-
полните следующие действия.
1. В оснастке Active Directory – п о л ь з о в а т е л и и к о м п ь ю т е р ы ( A c t i v e Direc-
tory Users and Computers) щ е л к н и т е м е н ю В и д ( V i e w ) и в ы б е р и т е к о м а н д у
Дополнительные компоненты ( A d v a n c e d F e a t u r e s ) .
2. Щелкните подразделение п р а в о й к н о п к о й м ы ш и и п р и м е н и т е к о м а н д у
Свойства (Properties).
3. Перейдите на вкладку Объект ( O b j e c t ) .
Если вкладка Объект не отображается, значит, вы не в к л ю ч и л и д о п о л н и -
тельные компоненты в шаге 1.
4 . Сбросьте ф л а ж о к З а щ и т и т ь к о н т е й н е р о т с л у ч а й н о г о у д а л е н и я ( P r o t e c t
Container From Accidental Deletion).
5. Щелкните О К .
6. Щ е л к н и т е подразделение п р а в о й к н о п к о й м ы ш и и п р и м е н и т е к о м а н д у
Удалить (Delete).
7. Вам будет предложено подтвердить удаление O U . Щ е л к н и т е к н о п к у Да (Yes).
8. Если подразделение содержит другие объекты, в д и а л о г о в о м о к н е П о д т в е р -
дить удаление поддерева (Confirm S u b t r e e D e l e t i o n ) в а м б у д е т п р е д л о ж е н о
подтвердить удаление подразделения и всех с о д е р ж а щ и х с я в н е м объектов.
Щелкните кнопку Да (Yes).
Контрольный вопрос
• Вы пытаетесь удалить подразделение и получаете, сообщение о недостаточ-
ном уровне прав. Вы вошли в систему как член группы Администраторы до-
мена (Domain Admins) и определенно должны располагать правом удаления
OU. В чем состоит проблема и что сделать для удаления подразделения?
Занятие 2
Создание объектов в Active Directory
49" т
Ответ н а к о н т р о л ь н ы й вопрос
• Подразделение защищено от случайного удаления. Вы должны сбросить
флажок опции защиты от случайного удаления. Этот флажок находится в
диалоговом окне Свойства (Properties) подразделения на вкладке Объект
(Object), которая отображается только при включении параметра Дополни-
тельные компоненты (Advanced Features).
Создание объекта пользователя
Ч т о б ы в A c t i v e D i r e c t o r y создать нового пользователя, выполните следую-
щ и е д е й с т в и я . С о б л ю д а й т е правила именования и процедуры вашей органи-
зации.
1. О т к р о й т е о с н а с т к у Active Directory – пользователи и компьютеры (Active
D i r e c t o r y U s e r s And Computers).
2. В д е р е в е к о н с о л и разверните узел, представляющий ваш домен (например,
c o n t o s o . c o m ) , и н а й д и т е подразделение или контейнер (например, Users),
в к о т о р о м х о т и т е создать учетную запись пользователя.
3. Щ е л к н и т е п о д р а з д е л е н и е или контейнер правой кнопкой мыши, выберите
о п ц и ю С о з д а т ь ( N e w ) и примените команду Пользователь (User).
О т к р о е т с я д и а л о г о в о е окно Новый объект – Пользователь (New Object —
U s e r ) , п р е д с т а в л е н н о е на рис. 2-5.
«**оло сот/Кмры/Спужащи*
Mud
>|Петрович
Г^з/woe mi:
|Ивам Петрович
Има (»одв пол>зователя
|ra>ef j@corfoso com
Ии» вхраа пользователя Цкд-Wndow» 200(5
|CONTOSO
Рис. 2-5. Диалоговое окно нового объекта пользователя
4. В п о л е И м я ( F i r s t N a m e ) введите имя пользователя, в поле Инициалы
( I n i t i a l s ) – его и н и ц и а л ы , а в поле Фамилия (Last Name) – фамилию.
5. П о л е П о л н о е и м я (Full Name) заполняется автоматически. При необходи-
м о с т и вы м о ж е т е внести изменения. Поле Полное имя используется для
с о з д а н и я н е с к о л ь к и х атрибутов объекта пользователя, включая основное
50 Администрирование
Глава 2
имя CN (Common Name), а также для отображения свойств имени. И м я
CN пользователя отображается в панели сведений оснастки. Оно должно
быть уникальным в контейнере или подразделении. Поэтому при создании
объекта пользователя для лица с тем же именем, что и у существующего
пользователя в том же подразделении, вам потребуется ввести уникальное
имя в поле Полное имя (Full Name).
6. В поле Имя входа пользователя (User Logon Name) введите и м я входа
пользователя и в раскрывающемся списке выберите с у ф ф и к с основного
имени пользователя UPN (User Principle Name), который будет прикреплен
к имени входа пользователя с символом
Имена пользователей в Active Directory могут содержать некоторые особые
символы (включая точки, дефисы и апострофы), что позволяет генери-
ровать точные имена пользователей, например О'Хара или С м и т – Б е й т с .
Тем не менее определенные приложения могут иметь другие ограничения,
поэтому рекомендуется использовать только стандартные буквы и ц и ф р ы ,
пока все приложения на предприятии не будут тщательно протестированы
на совместимость с особыми символами в именах входа.
Списком доступных суффиксов UPN можно управлять с помощью оснастки
Active Directory – домены п доверие (Active Directory Domains And Trusts).
Щелкните правой кнопкой мыши корень оснастки Active Directory – до-
мены и доверие, примените команду Свойства ( P r o p e r t i e s ) и на в к л а д к е
Суффиксы UPN (UPN Suffixes) добавьте или удалите суффиксы. И м я DNS
домена Active Directory всегда будет доступно в качестве с у ф ф и к с а и не
может быть удалено.
7. В поле Имя входа пользователя (пред-Windows 2000) ( U s e r Logon Name
(Pre-Windows 2000)) оснастки Active Directory – пользователи и компью-
теры (Active Directory Users And Computers) введите и м я входа для систем,
предшествовавших Windows 2000, которое часто называется н и з к о у р о в н е -
вым именем входа. В главе 3 мы рассмотрим эти два различных имени входа.
8. Щелкните кнопку Далее (Next).
9. Введите начальный пароль пользователя в поля Пароль (Password) и Под-
тверждение (Confirm Password).
10. Установите флажок Требовать смену пароля при следующем входе в систему
(User Must Change Password At Next Logon).
Рекомендуется всегда устанавливать этот флажок, чтобы пользователь мог
создать новый пароль, неизвестный персоналу IT. Соответствующие чле-
ны группы поддержки всегда могут сбросить пароль пользователя, чтобы,
к примеру, войти в систему как пользователь или получить доступ к ресур-
сам пользователя. Но только пользователи должны знать свои ежедневные
пароли.
11. Щелкните кнопку Далее (Next).
12. Просмотрите введенные параметры и щелкиите кнопку Готово (Finish).
Интерфейс Новый объект – Пользователь (New Object – User) позволяет
конфигурировать лишь немногие свойства учетной записи, например имя
Занятие 2
Создание объектов в Active Directory 51" т
и пароль. Но объект п о л ь з о в а т е л я в Active Directory поддерживает десятки
д о п о л н и т е л ь н ы х с в о й с т в – к о н ф и г у р и р о в а т ь их м о ж н о после создания
объекта.
13. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и с о з д а н н ы й объект пользователя и при-
мените к о м а н д у С в о й с т в а ( P r o p e r t i e s ) .
14. ( С к о н ф и г у р и р у й т е с в о й с т в а п о л ь з о в а т е л я .
С о б л ю д а й т е п р а в и л а и м е н о в а н и я и д р у г и е стандарты в а ш е й организации.
П о д р о б н е е мы р а с с м о т р и м с в о й с т в а п о л ь з о в а т е л я в главах 3 и 8.
15. Щ е л к н и т е О К .
Создание объекта группы
Группы – это в а ж н ы й класс объектов, поскольку они служат д л я единого управ-
л е н и я к о л л е к ц и я м и п о л ь з о в а т е л е й , к о м п ь ю т е р о в и д р у г и х групп. П р о с т е й ш и й
п р и м е р п р и м е н е н и я г р у п п ы – п р е д о с т а в л е н и е р а з р е ш е н и й д о с т у п а к общей
папке. Н а п р и м е р , если г р у п п е п р е д о с т а в и т ь д о с т у п ч т е н и я к папке, все ч л е н ы
г р у п п ы смогут ч и т а т ь с о д е р ж и м о е э т о й п а п к и . Вам н е п о н а д о б и т с я предостав-
