Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 60 (всего у книги 91 страниц)
6 1 9
при м и г р а ц и и у ч е т н ы х записей из одного домена в другой и позволяет
объекту у ч е т н о й з а п и с и по лу ча ть доступ к данным исходного домена.
Тем не м е н е е в н о в ы х д о м е н а х ж у р н а л S I D недоступен, пока не будет
в ы п о л н е н а м и г р а ц и я . П о с л е этого рекомендуется сразу же отключить
S I D History, ч т о б ы и з б е ж а т ь подделки SID-идентификаторов в доме-
не. Е с л и ж у р н а л S I D включен, с п о м о щ ь ю кнопки S I D History можно
п р о в е р и т ь , что к у ч е т н ы м з а п и с я м п р и в я з а н ы л и ш ь корректные SID-
и д е н т и ф и к а т о р ы .
Е Е З В а р Н Ш Ш В Ш Ж Я
Оп^пхооэ^чмв | Член го,Tin | Репплсэшг паролей j
Bwiofc.,» x w w I OflMK, I Безсп&о,о:1ъ ] Среда | [
Умленнол гр-зален.м I Пх^мга. cr{*i лфмталпа j
j Адрес ] У«шзя аагксь | Проамгь 1 Тегсчит. I 0crarata&4,R |
COM– 1 Реоактор атрибутов Addtonal Accart Ио
Paaswoni l a * Set [Must Oanga at пвя Ьрэп 1 Ctgneti FW IrVo |
Pa® Е ч ч « [fto Exi^y iMiat Oiangel
L1»AccoutCo«rd |si2~ Ocoda . I
Locked Mo
90 [ГП^М7037№272е127<5М1М53983В-11® ' n •
GU 0 |bW9S2c4-b6b845b5-63bc-2»>13SI00834
Prooert*» On SERVERIO.treilwaeich com
lastltgon |Ho Vabe Set
Lau Logtf |No Value Sat
Last Bad logon (NoVaUSat
Logcnijx.rt F Bad Pwtvroid Count |5
Sal PW On Ste DC.. |
OK [ Oimoho | !';.. . , | . . .
Рис. 13-1. Вкладка Additional Account Info в диалоговом окне свойств
учетной записи пользователя
• О п ц и я Set PW On Site DC, которая позволяет сбросить пароль пользова-
теля иа к о н т р о л л е р е его домена, чтобы избежать задержек репликации
и п р е д о с т а в и т ь п о л ь з о в а т е л ю быстрый доступ к своему паролю. Кноп-
ка J u s t Find Site п о з в о л я е т локализовать контроллер домена в сайте
и с м е н и т ь пароль.
* ]
Uiar't Conptlet j
FTUM)
j find Ste I
Paeaword j
OK I
Cortnn fo»r*Q-'J [
I
P »ог Muat Change Pesaword At fkj] loocn
Г
DC WSERVERlOlreyTMoarchcon (Cwnpuer Net Specrtied}
Sit OafaiilFt»t-Sio-Name(PC«yo^ele)
UmtDN CH-Ci»,Kafc.OU-Hca»»
б12 Непрерывность бизнес-процессов каталогов
Глава 13
Эту динамическую б и б л и о т е к у A c c t l n f o . d l l и с п о л ь з у ю т о т д е л ы с п р а в к и
и администраторы домена.
К СВЕДЕНИЮ Утилита Account Lockout and Management
Утилиту Account Lockout and Management можно загрузить по адресу http://www.
microsoft.com/Downloads/details.aspx9Family ID = 7af2e69c-91f3-4e63-8629-b999adde0
b9e&displaylang=en.
Использование надстройки S p e c o p s G p u p d a t e
Работая с объектами к о м п ь ю т е р о в в к а т а л о г е с и с п о л ь з о в а н и е м о с н а с т к и
Active Directory – пользователи и к о м п ь ю т е р ы ( A c t i v e D i r e c t o r y U s e r s And
Computers), можно щелкнуть объект п р а в о й к н о п к о й м ы ш и , в ы б р а т ь к о м а н -
ду Управление ( M a n a g e ) и з а п у с т и т ь о с н а с т к у У п р а в л е н и е к о м п ь ю т е р о м
(Computer Management). О д н а к о п р и э т о м в ы н е п о л у ч и т е д о с т у п к б о л е е
простым функциям, таким как у д а л е н н о е о б н о в л е н и е о б ъ е к т о в G P O и л и ко-
манды запуска, завершения работы и п е р е з а г р у з к и . Тем не менее вы м о ж е т е
применять простую бесплатную н а д с т р о й к у к о м п а н и и Special O p e r a t i o n s Soft-
ware под названием Specops G p u p d a t e . Эта у т и л и т а а в т о м а т и ч е с к и д о б а в л я е т
функциональность в консоль Active D i r e c t o r y – п о л ь з о в а т е л и и к о м п ь ю т е р ы
и позволяет управлять р я д о м операций:
• удаленное обновление объектов G P O , в о б л а с т и д е й с т в и я к о т о р ы х нахо-
дится объект в каталоге;
• удаленный запуск и л и з а в е р ш е н и е р а б о т ы в ы б р а н н о г о к о м п ь ю т е р а ;
• генерирование графических отчетов о р е з у л ь т а т а х о п е р а ц и и .
Кроме того, с помощью у т и л и т ы G p u p d a t e в с е у к а з а н н ы е з а д а ч и м о ж н о
выполнять для отдельных объектов компьютеров и л и к о л л е к ц и й объектов, при-
меняя операции к целому подразделению. А д м и н и с т р а т о р ы обычно используют
эту утилиту для удаленного у п р а в л е н и я к о м п ь ю т е р а м и и с е р в е р а м и .
ПРИМЕЧАНИЕ Надстройка Specops Update
Надстройку Specops Update можно загрузить по адресу http://www.specopssoft.com/
products/specopsgpupdate/download.asp.
СОВЕТ К ЭКЗАМЕНУ
Отметим, что использование надстройки Specops Gpupdate для управления объек-
тами в AD DS не входит в темы сертификационного экзамена.
Д л я установки н а д с т р о й к и Specops G p u p d a t e в ы п о л н я е т с я с л е д у ю щ а я
процедура. На рабочей станции и л и р я д о в о м с е р в е р е п о т р е б у ю т с я учетные
данные локального администратора, а на к о н т р о л л е р е д о м е н а – реквизиты
администратора домена. Кроме того, д л я о д н о р а з о в о й р е г и с т р а ц и и Display
Specifier в лесу нужно быть ч л е н о м г р у п п ы А д м и н и с т р а т о р ы п р е д п р и я т и я
(Enterprise Admins).
Занятие 1
Поддержка каталогов и защита хранилища данных
6 2 1
1. Убедитесь в том, что в с и с т е м е установлены средства удаленного админис-
т р и р о в а н и я R S A T ( R e m o t e Server Administration Tools), в частности для
а д м и н и с т р и р о в а н и я A D DS.
2. З а г р у з и т е н а д с т р о й к у Specops G p u p d a t e с веб-сайта Special Operations Soft-
w a r e и с о х р а н и т е ее в с и с т е м н о й папке Д о к у м е н т ы (Documents).
3. И з в л е к и т е к о м п о н е н т ы из и с п о л н я е м о г о файла.
4 . П о с л е и з в л е ч е н и я к о м п о н е н т о в л о к а л и з у й т е ф а й л SpecopsGpupdate.msi
и с о х р а н и т е в п а п к е Д о к у м е н т ы ( D o c u m e n t s ) . Дважды щелкните его для
з а п у с к а у с т а н о в к и .
5. В д и а л о г о в о м о к н е п р е д у п р е ж д е н и я щ е л к н и т е кнопку Run.
6. В о к н е W e l c o m e щ е л к н и т е Next.
7. П р и м и т е у с л о в и я л и ц е н з и о н н о г о соглашения и щелкните Next.
8. Введите свое п о л н о е и м я и н а з в а н и е организации, установите флажок Any-
o n e W h o Uses This C o m p u t e r и щ е л к н и т е Next.
9. П р и м и т е р а з м е щ е н и е ф а й л о в установки по умолчанию и щелкните Next.
10. Щ е л к н и т е N e x t , ч т о б ы у с т а н о в и т ь приложение, а после завершения уста-
н о в к и – Finish.
Установка з а в е р ш е н а , о д н а к о вы д о л ж н ы добавить в лес спецификаторы
Display Specifiers. Д л я этого необходимы учетные данные администратора
п р е д п р и я т и я ( E n t e r p r i s e Admins).
11. О т к р о й т е П р о в о д н и к W i n d o w s (Windows Explorer) и локализуйте папку
% P r o g r a m F i l e s % C o m m o n F i l e s S e c o p s s o f t S p e c o p s A D U C Extension.
12. П о с л е о т о б р а ж е н и я ф а й л о в Specops на панели сведений проводника Win-
dows п е р е й д и т е к м е н ю Пуск ( S t a r t ) и щелкните команду Выполнить (Run).
О т к р о е т с я д и а л о г о в о е окно В ы п о л н и т ь ( R u n ) .
13. Оставьте о к н о В ы п о л н и т ь пустым, перейдите к окну проводника Windows,
в ы б е р и т е ф а й л p e c o p s A d u c M e n u E x t e n s i o n I n s t a l l e r . e x e и перетащите его
в д и а л о г о в о е окно В ы п о л н и т ь . Команда и путь к ней отобразятся в окне
В ы п о л н и т ь .
14. П е р е й д и т е в к о н е ц т е к с т а (ничего не меняйте) и введите параметр /add.
В результате д о л ж е н п о л у ч и т ь с я путь "C:Program FilesCommon FilesSec-
opssoftSpecops-ADUС Extension SpecopsAducMenuExtensionInstaller.exe "/add.
~ Run
Type the n a m e of a program, folder, d o c u m e n t , or Internet
resource, and Windows will open it for you.
Open:
б12 Непрерывность бизнес-процессов каталогов Глава 13
15. Нажмите клавишу Enter, чтобы з а п у с т и т ь команду.
Откроется окно командной строки с р е з у л ь т а т а м и в ы п о л н е н и я к о м а н д ы .
16. Нажмите любую клавишу, чтобы з а к р ы т ь окно.
Теперь после добавления спецификаторов д и с п л е я вы м о ж е т е п р о с т о запус-
тить файл SpecopsGpupdate.msi на к о м п ь ю т е р е д л я у с т а н о в к и Specops G p u p -
date, выполнив л и ш ь шаги 1 – 1 0 .
При работе с объектами к о м п ь ю т е р о в м о ж н о и с п о л ь з о в а т ь к о н т е к с т н о е
меню для получения доступа к н о в ы м ф у н к ц и я м а д м и н и с т р и р о в а н и я объекта
компьютера или подразделения, содержащего о б ъ е к т ы к о м п ь ю т е р о в (рис. 13-2).
Этот бесплатный инструмент я в л я е т с я п р е к р а с н ы м д о п о л н е н и е м к л ю б о й
службе каталога.
09»-u*orw >я |
(unBulcOuMTi J
««ferC»*»..
W . .
MM.
Gp
«.«XlofAn
RcHfAtvuK
Сip-e4*t
KnUn
МЫ) » С van
Sun
W.
»
ONk
Cut
Mm
topwtki
Рис. 13-2. Команды контекстного меню Specops Gpupdate
Административные средства AD DS
Для выполнения операций, с в я з а н н ы х с а д м и н и с т р и р о в а н и е м AD DS и DNS,
можно использовать различные инструменты. М н о г и е из э т и х средств описаны
на предыдущих занятиях. В табл. 13-2 п р и в е д е н с п и с о к и н с т р у м е н т о в , кото-
рые применяются для в ы п о л н е н и я а д м и н и с т р а т и в н ы х задач, а т а к ж е указано
расположение этих инструментов. О п и с а н н ы е и н с т р у м е н т ы п р и м е н я ю т с я д л я
сервиса, а не администрирования данных. М н о г и е из э т и х средств т а к ж е можно
использовать при работе со службами облегченного д о с т у п а к Active Directory
(Active Directory Lightweight D i r e c t o r y Services, AD L D S ) , п о с к о л ь к у в них '
применяется тот же код ядра, как и в AD DS.
Табл. 13-2. Распространенные средства сервисного администрирования
Инструмент Описание Расположение
Active Directory – Администрирование доверительных Программная группа
домены идоверие отношений, функционального уров– Администрирование
(Active Directory Do– ня леса и домена, а также суффиксов (Administrative Tools)
mains And Trusts) основных имен пользователей
Занятие 1
Поддержка каталогов и защита хранилища данных
6 2 3
Табл. 13-2 ( продолжение)
Инструмент
Описание
Расположение
Схема Active Direc-
Модифицирует схему каталогов AD Настраиваемая консоль
tory (Active Directory DS или экземпляров AD LDS. Для
ММС
Schema)
использования этой оснастки нужно
вначале зарегистрировать библиоте-
ку Schmmgmt.dll с помощью коман-
ды Regsvr32.exe
Active Directory —
Конфигурирует и управляет облас-
Программная группа
сайты и службы
тями действия репликации катало-
Администрирование
(Active Directory
гов AD DS и экземпляров AD LDS
(Administrative Tools)
Sites And Services)
Active Directory —
Конфигурирует и управляет домен-
Программная группа
пользователи
ными ролями FSMO, а также компо– Администрирование
и компьютеры
нентами RODC
(Administrative Tools)
(Active Directory
Users And Computers)
Редактирование ADSI Запрашивание, просмотр и редак-
Программная группа
(ADSI Edit)
тирование объектов и атрибутов
Администрирование
каталогов
(Administrative Tools)
CSVDE.exe
Импортирует данные в каталоги AD Командная строка
DS или экземпляры AD LDS
DCDiag.exe
Выполняет диагностику каталогов Командная строка
AD DS и экземпляров AD LDS
Dcpromo.exe
Добавляет и удаляет службу ката-
Главное меню (Start),
логов
Поиск (Search)
DFSRadmin.exe
Управляет репликацией распреде-
Командная строка
ленной файловой системы (Distri-
buted File System Replication),
которая используется в лесу
в полном режиме работы Windows
Server 2008
Диспетчер DNS
Выполняет общую поддержку
Программная группа
(DNS Manager)
DNS-серверов
Администрирование
(Administrative Tools)
и Диспетчер сервера
(Server Manager)
Dnscmd.exe
Управляет всеми аспектами
DNS-серверов
Командная строка
DSACLS.exe
Управляет списками контроля до-
ступа объектов каталогов
Командная строка
Dsadd.exe
Добавляет типы объектов (пользова-
тели, группы, компьютеры)
Командная строка
Dsamain.exe
Монтирует резервные или мгновен-
ные копни хранилища Active Direc-
Командная строка
tory (файл .dit) для идентификации
их содержимого
(см. след. стр.)
б12 Непрерывность бизнес-процессов каталогов
Глава 13
Табл. 13-2 ( продолжение)
Инструмент
Описание
Расположение
Dsbutil.exe (устанав-
Поддержка хранилища AD DS. На-
Командная строка
ливается вместе
стройка портов AD LDS. Просмотр
с AD LDS и AD DS)
экземпляров AD LDS
Dsget.exe
Просмотр выбранных свойств кон-
Командная строка
кретного объекта (пользователь,
компьютер)
Dsmgmt.exe
Управляет разделами приложений
Командная строка
и ролями хозяев операций
Dsmod.exe
Модифицирует существующий объ-
Командная строка
ект конкретного типа (пользователь,
компьютер)
Dsmove.exe
Перемещает объект в другое место
Командная строка
внутри каталога. Также использует-
ся для переименования объекта
Dsquery.exe
Запрашивает в каталоге конкретный Командная строка
тип объекта в соответствии с указан-
ным критерием
Dsrm.exe
Удаляет объект или коллекцию объ-
Командная строка
«
ектов конкретного типа
Просмотр событий
Выполняет аудит изменений AD
Программная группа
(Event Viewer)
DS и AD LDS, а также записывает
Администрирование
в журнал старые и новые значения
(Administrative Tools)
объектов и атрибутов
GPfixup.exe
Восстанавливает зависимости до-
Командная строка
менных имен в объектах групповой
политики. После переименования
домена заново связывает объекты
групповой политики .
Group Policy
Просмотр конфигурации объекта
Веб-сайт microsoft.com
Diagnostic Best
GPO, а также потенциальных оши-
Practices Analyzer
бок зависимостей
Управление груп-
Создание, управление, архивация
Программная группа
повой политикой
и восстановление объектов G P O
Администрирование
(Group Policy
(Administrative Tools)
Management)
Ipconfig
Отображает и модифицирует пара-
Командная строка
метры конфигурации IP
Ksetup.exe
Конфигурирует клиента, чтобы тот
вместо домена AD DS использовал
Командная строка
Kerberos v5
Ktpass.exe
Конфигурирует службу Kerberos не Командная строка
на платформе Windows, как принци-
пала, безопасности в AD DS
LDIFDE.exe
Импортирует данные в экземпляры
Командная строка
AD LDS
Ldp.exe
Выполняет операции LDAP в ката-
Главное меню (Start),
логе
Поиск (Search)
Занятие 1
Поддержка каталогов и защита хранилища данных
6 2 5
Табл.13-2 ( окончание)
Инструмент
Описание
Расположение
Movetree.exe
Перемещает объекты между домена– Веб-сайт microsoft.com
ми в лесу
Netdom.exe
Управляет учетными записями ком– Командная.строка
пыотеров, доменами и доверитель-
ными отношениями
Nltest.exe
Запрашивает состояние репликации Командная строка
и выполняет проверку доверитель-
ных отношений
Ntdsutil.exe (устанав– Выполняет поддержку баз данных Командная строка
ливается вместе с AD в хранилище AD DS
DS, но не инсталли-
руется, вместе с AD
LDS)
Repadmin.exe
Устраняет и диагностирует неполад– Командная строка
ки репликации между контроллера-
ми доменов, использующих службу
репликации файлов FRS (File Repli-
cation Service), которая применяется
в лесу, не работающем в полном
функциональном режиме Windows
Server 2008
Диспетчер сервера
Управляет существующими домена-
Программная группа
(Server Manager)
ми AD DS и экземплярами AD LDS Администрирование
(Administrative Tools)
Системный монитор Создает диаграммы и графики трен– Диспетчер сервера
(System Monitor)
дов производительности сервера.
(Server Manager),
Определяет критерии производи-
Диагностика (Diagnos-
тельности
tics), Стабильность
и производитель-
ность (Reliability And
Performance)
Ultrasound
Графический инструмент для устра– Можно загрузить на
(Ultrasound.exe)
нения неполадок и диагностики
веб-сайте microsoft.com
репликации между контроллерами
доменов, применяющих механизм
репликации RFS. Использует инс-
трументарий управления Windows
(Windows Management Instrumenta-
tion, W M I )
W32tm.exe
Просмотр параметров, управление Командная строка
конфигурацией и диагностика непо-
ладок времени Windows (Windows
Time)
Возможности систе-
Архивация и восстановление катало– Программная группа
мы архивации дан-
гов AD DS и экземпляров AD LDS
Администрирование
ных Windows Server
с содержимым
(Administrative Tools)
(Windows Server
Backup)
6 2 6
б12 Непрерывность бизнес-процессов каталогов
Глава 13
К СВЕДЕНИЮ Поиск и загрузка инструментов
Для локализации инструмента Movetree.exe откройте страницу, находящуюся по
адресу http://www.microsoft.com/downloads/details.aspxPFamilyID~96a35011-fd83-419d-
939b-9a772ea2df90&DisplayLang=en. Загрузите файл .cab и извлеките из него все
файлы movetree.*. Отметим, что не все инструменты в данном файле работают с
Windows Server 2008. Средства поддержки Windows Server 2003 не способны фун-
кционировать в Windows Server 2008. Например, инструмент ReplMon.exe просто
не запустится.
Для того чтобы получить инструмент Ultrasound, откройте страницу, которая нахо-
дится по адресу http://tvww.microsoft.com/Downloads/details.aspx7Family ID" 61 асЬ9Ь9-
c354-4f98-a823-24cc0da73b50&displaylang=en. Чтобы получить инструмент G P O
Diagnostic Best Practices Analyzer для платформы х86, откройте страницу http://
www.microsoft.com/downloads/details.aspx7FamilyID~47f11b02-8ee4-450b-bf13-
880b91ba4566&DisplayLang=en. Версию для платформы х64 можно получить по
адресу http://www.microsoft.com/downloads/details.aspx9familyid~70E0EDEC-66F7-
4499-83 В 7-4F2009DF2314 & display la ng=en.
Техническая поддержка в сети
На других занятиях вы в ы п о л н я л и м н о г и е задачи, п е р е ч и с л е н н ы е в табл. 13-1.
В табл. 13-3 указано, где искать и н ф о р м а ц и ю о к а ж д о й из 12 з а д а ч AD DS,
описанных в данном руководстве.
Табл. 13-3. Административные задачи AD DS
Задача
Описание
Администрирование учетных записей пользователей и групп Главы 2 – 4
Администрирование конечных устройств
Глава 5
Администрирование сетевых служб
Главы 4, 7,10, И
Управление объектами групповой политики (Group Policy
Главы 6, 7
Object, GPO)
Администрирование службы доменных имен (Domain Name Глава 9
Service, DNS)
Управление топологией и репликацией Active Directory
Главы 10, 11
Управление конфигурацией Active Directory
Главы 1 , 2 , 8 , 1 0 – 1 2
Управление схемой Active Directory
Глава 14
Управление информацией
Главы 2 – 5 , 1 1
Администрирование безопасности
Главы 2,7, 8,12
Управление базами данных
Глава 13
Отчетность Active Directory
Главы 2, 6-8,10, И, 13
Автономная техническая поддержка
Значительное отличие AD DS от п р е д ы д у щ и х в е р с и й состоит в трансформа-
ции роли контроллера домена в у п р а в л я е м у ю службу. В п р е д ы д у щ и х версиях
Windows Server роль контроллера домена была м о н о л и т н о й , то есть для того,
чтобы остановить службу, п р и х о д и л о с ь п о л н о с т ь ю в ы к л ю ч а т ь контроллер
домена, и для технического о б с л у ж и в а н и я базы д а н н ы х Ntds.dit, содержащей
Занятие 1
Поддержка каталогов и защита хранилища данных 6 2 7
х р а н и л и щ е каталогов, к онтро л л ер домена требовалось перезагружать в режиме
в о с с т а н о в л е н и я с л у ж б к а т а л о г о в ( D i r e c t o r y Services Repair Mode). По этой
п р и ч и н е отсутствовал способ автоматизации операций технической поддержки
базы д а н н ы х . В р е з у л ь т а т е б о л ь ш и н с т в о администраторов доменов вообще
н и к о г д а не в ы п о л н я л и з а д а ч и т е х н и ч е с к о й п о д д е р ж к и баз данных, а такой
подход н е п р и е м л е м в у п р а в л е н и и системами.
Всё б а з ы д а н н ы х р а б о т а ю т по о д н и м и тем же принципам. Когда добавля-
ется н о в а я з а п и с ь , база д а н н ы х п р е д о с т а в л я е т дополнительное пространство
для х р а н е н и я и н ф о р м а ц и и , с в я з а н н о й с записью. Однако при удалении записи
выделенное п р о с т р а н с т в о не возвращается – необходимо выполнить операции
по с ж а т и ю б а з ы д а н н ы х . С л у ж б а AD DS выполняет некоторые автоматические
о п е р а ц и и с ж а т и я , о д н а к о о н и н е в о с с т а н а в л и в а ю т утерянное пространство
в н у т р и б а з ы д а н н ы х , а всего л и ш ь перемещают данные с целыо ускорения до-
ступа. Ч т о б ы в о с с т а н о в и т ь у т е р я н н о е пространство, базу данных необходимо
п е р е к л ю ч и т ь в а в т о н о м н ы й р е ж и м и з а п у с т и т ь последовательно операции
с ж а т и я и д е ф р а г м е н т а ц и и .
И все же в W i n d o w s Server 2008 служба AD DS является управляемой, то
есть ее м о ж н о з а п у с к а т ь и останавливать, как и все остальные службы Windows
Server. Т а к и м о б р а з о м , ч т о б ы в ы п о л н и т ь операции технической поддержки,
к о н т р о л л е р д о м е н а б о л ь ш е не н у ж н о перезагружать в режиме восстановления
служб каталогов. К р о м е того, поскольку служба AD DS теперь ведет себя точно
так же, к а к и л ю б а я в н у т р е н н я я служба, для нее с помощью основных инс-
т р у м е н т о в к о м а н д н о й с т р о к и м о ж н о писать сценарии с целью автоматизации
о п е р а ц и й д е ф р а г м е н т а ц и и и сжатия.
О т м е т и м , ч т о д л я о с т а н о в к и с л у ж б ы AD DS контроллер домена должен
с в я з а т ь с я с е щ е о д н и м к о н т р о л л е р о м домена, на котором запущена данная
служба, иначе о с т а н о в и т ь работу с л у ж б ы AD DS невозможно. Служба AD DS
автоматически проверяет, имеется ли в наличии хотя бы один доступный конт-
роллер д о м е н а , п о с к о л ь к у в п р о т и в н о м случае никто не сможет войти в сеть.
В п р а к т и ч е с к и х у п р а ж н е н и я х этого занятия вы займетесь дефрагментацией
и сжатием.
СОВЕТ К Э К З А М Е Н У
Дефрагментация и сжатие в автономном режиме, а также служба AD DS с воз-
можностью многократного запуска являются важными темами сертификационного
экзамена.
Использование встроенных механизмов защиты каталогов
З а щ и т а д а н н ы х – о д и н из в а ж н е й ш и х аспектов активного управления сис-
темами, в к л ю ч а я AD D S . К а ж д а я учетная запись, которая хранится в базе
д а н н ы х AD DS, – у н и к а л ь н ы й объект, поскольку привязана к уникально-
му и д е н т и ф и к а т о р у безопасности SID (Security Identifier). Это означает, что
удаленную у ч е т н у ю запись н е л ь з я просто воссоздать заново. Хотя повторно
созданная учетная запись на глаз ничем не отличается от исходной, для AD
DS она я в л я е т с я абсолютно другим объектом и, следовательно, не дублирует
б12 Непрерывность бизнес-процессов каталогов
Глава 13
свойства и атрибуты ранее удаленного объекта. Членство в группах, пароли,
параметры атрибутов и другие свойства будут иными. По этой и д р у г и м при-
чинам рекомендуется переназначать учетные записи, а не создавать их заново
прн изменении пользователями своего расположения в сети. Автоматическое
переназначение записи означает, что новый пользователь п о л у ч и т те же пра-
ва, что и предыдущий обладатель учетной записи. П р и п о в т о р н о м создании
учетной записи достаточно идентифицировать все права доступа, необходимые
для данной роли в сети, а при создании учетной записи в ы п о л н я е т с я намного
больше операций.
Благодаря модели репликации с равноправными у ч а с т н и к а м и данные, со-
держащиеся в каталоге, достаточно надежно сохраняются, поскольку изменение
в одном месте автоматически реплшД-фуется во все остальные места. Тем не
менее эта же модель репликации иногда создает проблемы. Е с л и оператор по
ошибке удалит объект, то этот объект будет удален и во всем каталоге, а чтобы
восстановить его, нужна резервная копия. Однако в AD DS м о ж н о восстанав-
ливать информацию без использования архивов, д л я чего и п р е д у с м о т р е н ы
следующие четыре компонента.
• Новая опция защиты объекта от удаления.
• Новый компонент аудита доступа к AD DS, который записывает старые и
новые значения и позволяет вернуть исходное значение п о с л е м о д и ф и к а -
ции свойств объекта.
• Контейнер памятника. Каждый объект, у д а л я е м ы й из каталога, на опреде-
ленный период времени оставляет памятник. Пока данные объекта хранятся
в контейнере памятника, объект можно восстановить.
• Возможности архивации и восстановления W i n d o w s Server.
Каждый из этих компонентов обеспечивает возможности з а щ и т ы и восста-
новления информации в базе данных каталогов.
Защита объектов AD DS
По умолчанию любой новый объект в AD DS м о ж н о з а щ и т и т ь от у д а л е н и я
в процессе создания. Каждый раз эту защиту д л я объекта следует включать
самому. При создании объектов с помощью командных ф а й л о в и л и в процес-
се миграции защита от удаления не включается, пока вы сами не назначите
защиту в процессе создания. При интерактивном создании объекта защиту от
удаления также необходимо назначить явным образом. Защита объекта включа-
ется и снимается на показанной на рис. 13-3 вкладке Объект ( O b j e c t ) , которая
отображается только при установке флажка Дополнительные компоненты (Ad-
vanced Features) в меню Вид (View) консоли Active Directory – пользователи
и компьютеры (Active Directory Users And Computers). Отметим, что для таких
контейнеров, как подразделения, защита включена по умолчанию, поскольку
они формируют часть структуры каталогов.
После включения защиты вы уже не сможете с л у ч а й н о удалить объект.
Кроме того, его нельзя будет перемещать из одного места в другое.
Эта опция защиты запрещает два разрешения доступа для группы Все (Eve-
ryone): Запретить удаление (Deny Delete) и З а п р е т и т ь удаление поддерева
Занятие 1
( D e n y Delete S u b t r e e ) . П о м н и т е , что в AD DS запрет доступа заменяет все
разрешения доступа. Д л я п е р е м е щ е н и я и л и у д а л е н и я защищенного объекта
необходимо с б р о с и т ь ф л а ж о к з а щ и т ы от случайного удаления. Данную фун-
кцию удобно и с п о л ь з о в а т ь в о р г а н и з а ц и я х , где администрирование объектов
делегируется п е р с о н а л у т е х н и ч е с к о й п о д д е р ж к и , ее можно также включить
в шаблон учетной з а п и с и .
тттлт.ч-тл * i
<у5ртуч«*а-ы j Чпсмгруп j Р«лг»кааиЛ паролей
Удаленноеупр«,-юм*е i Прскгил* cryrt5 те^мкнагов
COW-» j 'Реактор атрибутов j Adcfeorai Account kio
Общие | Aapec | запкъ j Прэфмпь j Тепетемы | Органиглха
Вш&яцие звон** Объект | Безопасность | Среда | Сеансы
Кэиоикческов ими объект».
[«yreieartti сот/Мемедкеры/Новые попь зовате/W Джон Keft-t
Класс объекта: Пользователь
Соаазн 87.12 ДКЙ 13.07:01
Изменен 07.122О08 U WM
Номера послеязда телы-ы* обновлений »,U3N):
Текущий* 1$4€7
Йгаедой: 16413
F Защитить oCvsktot спу^аЛюго у дален**
| ОК { Отмена j Прю-tertra» j Ораека
.
Рис. 13-3. Защита объекта от случайного удаления в AD DS
Аудит и з м е н е н и й к а т а л о г о в
При в ы п о л н е н и и а у д и т а и з м е н е н и й каталогов в Windows Server 2008 каждый
раз при м о д и ф и к а ц и и о б ъ е к т о в записываются старое и новое значения атрибу-
та. Кроме того, поскольку п о л и т и к а аудита в Windows Server 2008 регистрирует
четыре подкатегории доступа к службе, ее можно назначать на более детальном
уровне, чем в п р е д ы д у щ и х в е р с и я х W i n d o w s Server. Изменения атрибутов
контролируются п о д к а т е г о р и е й И з м е н е н и я службы каталогов (Directory Ser-
vice Changes). Эта п о л и т и к а р е г и с т р и р у е т операции создания, модификации,
перемещения и в о с с т а н о в л е н и я объектов. В журнале событий служб каталогов
(Directory Services Event Log) каждой операции присваивается определенный ксщ.
Благодаря э т о м у к о м п о н е н т у ж у р н а л событий преобразуется в систему
хранения записей об и з м е н е н и я х каталога, позволяя поддерживать множест-
во записей об и з м е н е н и я х , в н е с е н н ы х в каталог. Эту функцию также удобно
использовать д л я и с п р а в л е н и я некорректно выполненных модификаций.
При м о д и ф и к а ц и и объекта в ж у р н а л записываются два события. В первом
из них указывается с т а р о е значение, во втором – новое. Эти события исполь-
зуются для отмены н е к о р р е к т н ы х м о д и ф и к а ц и й .
630
б12 Непрерывность бизнес-процессов каталогов
Глава 13
Восстановление объектов Active Directory
Случайно удаленный объект Active Directory восстанавливается с п о м о щ ь ю
утилиты Ldp.exe. Для этого необходимо открыть контейнер удаленных объектов
каталога (нужны учетные данные администратора домена).
1. В командной строке введите команду Ldp.exe.
2. В меню Подключение (Connection) щелкните команду Подключить (Connect),
введите полное доменное FQDN-имя, например Server10.TreyResearch.net,
и щелкните ОК.
3. В меню Подключение щелкните команду Привязка (Bind), выберите опцию
Привязать как текущего пользователя (Bind As C u r r e n t l y Logged On User)
и щелкните ОК.
4. В меню Параметры (Options) щелкните Э л е м е н т ы у п р а в л е н и я ( C o n t r o l s ) ,
в раскрывающемся списке Предопределенная загрузка (Load Predefined) вы-
берите элемент Return Deleted Objects, в секции Т и п элемента у п р а в л е н и я
(Control Type) диалогового окна выберите тип Сервер (Server) и щелкните ОК.
5. В меню Вид (View) щелкните команду Дерево (Tree), в в е д и т е базовое рас-
ширяемое имя (DN) контейнера объекта и щ е л к н и т е О К .
Например, DN-именем контейнера в д о м е н е T r e y R e s e a r c h я в л я е т с я
cn=deleted Objects,dc=TreyResearch,dc=net.
6. Дважды щелкните контейнер удаленных объектов на п а н е л и дерева, чтобы
развернуть его содержимое.
Помните, что утилита Ldp.exe по умолчанию возвращает только 1 ООО объектов.
7. На панели дерева локализуйте объект, который хотите восстановить, и дваж-
ды щелкните его.
На панели сведений отобразится и н ф о р м а ц и я об о б ъ е к т е . Н а п р и м е р ,
если объектом является учетная запись пользователя, его и м я начинается
с а=имя пользователя.
8. На панели дерева щелкните имя объекта правой к н о п к о й м ы ш и и приме-
ните команду Изменить (Modify).
9. В поле Атрибут (Attribute) секции Изменить запись ( E d i t E n t r y ) диалогово-
го окна Изменение (Modify) введите значение isDeleted, в секции О п е р а ц и я
(Operation) выберите тип операции Удалить ( D e l e t e ) и щ е л к н и т е к н о п к у
Ввод (Enter).
10. В поле Атрибут (Attribute) секции Изменить запись ( E d i t E n t r y ) диалого-
