355 500 произведений, 25 200 авторов.

Электронная библиотека книг » Dan Holme » Настройка Active Directory. Windows Server 2008 » Текст книги (страница 60)
Настройка Active Directory. Windows Server 2008
  • Текст добавлен: 8 октября 2016, 16:34

Текст книги "Настройка Active Directory. Windows Server 2008"


Автор книги: Dan Holme


Соавторы: Danielle Ruest,Nelson Ruest

Жанр:

   

ОС и Сети


сообщить о нарушении

Текущая страница: 60 (всего у книги 91 страниц)

6 1 9

при м и г р а ц и и у ч е т н ы х записей из одного домена в другой и позволяет

объекту у ч е т н о й з а п и с и по лу ча ть доступ к данным исходного домена.

Тем не м е н е е в н о в ы х д о м е н а х ж у р н а л S I D недоступен, пока не будет

в ы п о л н е н а м и г р а ц и я . П о с л е этого рекомендуется сразу же отключить

S I D History, ч т о б ы и з б е ж а т ь подделки SID-идентификаторов в доме-

не. Е с л и ж у р н а л S I D включен, с п о м о щ ь ю кнопки S I D History можно

п р о в е р и т ь , что к у ч е т н ы м з а п и с я м п р и в я з а н ы л и ш ь корректные SID-

и д е н т и ф и к а т о р ы .

Е Е З В а р Н Ш Ш В Ш Ж Я

Оп^пхооэ^чмв | Член го,Tin | Репплсэшг паролей j

Bwiofc.,» x w w I OflMK, I Безсп&о,о:1ъ ] Среда | [

Умленнол гр-зален.м I Пх^мга. cr{*i лфмталпа j

j Адрес ] У«шзя аагксь | Проамгь 1 Тегсчит. I 0crarata&4,R |

COM– 1 Реоактор атрибутов Addtonal Accart Ио

Paaswoni l a * Set [Must Oanga at пвя Ьрэп 1 Ctgneti FW IrVo |

Pa® Е ч ч « [fto Exi^y iMiat Oiangel

L1»AccoutCo«rd |si2~ Ocoda . I

Locked Mo

90 [ГП^М7037№272е127<5М1М53983В-11® ' n •

GU 0 |bW9S2c4-b6b845b5-63bc-2»>13SI00834

Prooert*» On SERVERIO.treilwaeich com

lastltgon |Ho Vabe Set

Lau Logtf |No Value Sat

Last Bad logon (NoVaUSat

Logcnijx.rt F Bad Pwtvroid Count |5

Sal PW On Ste DC.. |

OK [ Oimoho | !';.. . , | . . .

Рис. 13-1. Вкладка Additional Account Info в диалоговом окне свойств

учетной записи пользователя

• О п ц и я Set PW On Site DC, которая позволяет сбросить пароль пользова-

теля иа к о н т р о л л е р е его домена, чтобы избежать задержек репликации

и п р е д о с т а в и т ь п о л ь з о в а т е л ю быстрый доступ к своему паролю. Кноп-

ка J u s t Find Site п о з в о л я е т локализовать контроллер домена в сайте

и с м е н и т ь пароль.

* ]

Uiar't Conptlet j

FTUM)

j find Ste I

Paeaword j

OK I

Cortnn fo»r*Q-'J [

I

P »ог Muat Change Pesaword At fkj] loocn

Г

DC WSERVERlOlreyTMoarchcon (Cwnpuer Net Specrtied}

Sit OafaiilFt»t-Sio-Name(PC«yo^ele)

UmtDN CH-Ci»,Kafc.OU-Hca»»

б12 Непрерывность бизнес-процессов каталогов

Глава 13

Эту динамическую б и б л и о т е к у A c c t l n f o . d l l и с п о л ь з у ю т о т д е л ы с п р а в к и

и администраторы домена.

К СВЕДЕНИЮ Утилита Account Lockout and Management

Утилиту Account Lockout and Management можно загрузить по адресу http://www.

microsoft.com/Downloads/details.aspx9Family ID = 7af2e69c-91f3-4e63-8629-b999adde0

b9e&displaylang=en.

Использование надстройки S p e c o p s G p u p d a t e

Работая с объектами к о м п ь ю т е р о в в к а т а л о г е с и с п о л ь з о в а н и е м о с н а с т к и

Active Directory – пользователи и к о м п ь ю т е р ы ( A c t i v e D i r e c t o r y U s e r s And

Computers), можно щелкнуть объект п р а в о й к н о п к о й м ы ш и , в ы б р а т ь к о м а н -

ду Управление ( M a n a g e ) и з а п у с т и т ь о с н а с т к у У п р а в л е н и е к о м п ь ю т е р о м

(Computer Management). О д н а к о п р и э т о м в ы н е п о л у ч и т е д о с т у п к б о л е е

простым функциям, таким как у д а л е н н о е о б н о в л е н и е о б ъ е к т о в G P O и л и ко-

манды запуска, завершения работы и п е р е з а г р у з к и . Тем не менее вы м о ж е т е

применять простую бесплатную н а д с т р о й к у к о м п а н и и Special O p e r a t i o n s Soft-

ware под названием Specops G p u p d a t e . Эта у т и л и т а а в т о м а т и ч е с к и д о б а в л я е т

функциональность в консоль Active D i r e c t o r y – п о л ь з о в а т е л и и к о м п ь ю т е р ы

и позволяет управлять р я д о м операций:

• удаленное обновление объектов G P O , в о б л а с т и д е й с т в и я к о т о р ы х нахо-

дится объект в каталоге;

• удаленный запуск и л и з а в е р ш е н и е р а б о т ы в ы б р а н н о г о к о м п ь ю т е р а ;

• генерирование графических отчетов о р е з у л ь т а т а х о п е р а ц и и .

Кроме того, с помощью у т и л и т ы G p u p d a t e в с е у к а з а н н ы е з а д а ч и м о ж н о

выполнять для отдельных объектов компьютеров и л и к о л л е к ц и й объектов, при-

меняя операции к целому подразделению. А д м и н и с т р а т о р ы обычно используют

эту утилиту для удаленного у п р а в л е н и я к о м п ь ю т е р а м и и с е р в е р а м и .

ПРИМЕЧАНИЕ Надстройка Specops Update

Надстройку Specops Update можно загрузить по адресу http://www.specopssoft.com/

products/specopsgpupdate/download.asp.

СОВЕТ К ЭКЗАМЕНУ

Отметим, что использование надстройки Specops Gpupdate для управления объек-

тами в AD DS не входит в темы сертификационного экзамена.

Д л я установки н а д с т р о й к и Specops G p u p d a t e в ы п о л н я е т с я с л е д у ю щ а я

процедура. На рабочей станции и л и р я д о в о м с е р в е р е п о т р е б у ю т с я учетные

данные локального администратора, а на к о н т р о л л е р е д о м е н а – реквизиты

администратора домена. Кроме того, д л я о д н о р а з о в о й р е г и с т р а ц и и Display

Specifier в лесу нужно быть ч л е н о м г р у п п ы А д м и н и с т р а т о р ы п р е д п р и я т и я

(Enterprise Admins).

Занятие 1

Поддержка каталогов и защита хранилища данных

6 2 1

1. Убедитесь в том, что в с и с т е м е установлены средства удаленного админис-

т р и р о в а н и я R S A T ( R e m o t e Server Administration Tools), в частности для

а д м и н и с т р и р о в а н и я A D DS.

2. З а г р у з и т е н а д с т р о й к у Specops G p u p d a t e с веб-сайта Special Operations Soft-

w a r e и с о х р а н и т е ее в с и с т е м н о й папке Д о к у м е н т ы (Documents).

3. И з в л е к и т е к о м п о н е н т ы из и с п о л н я е м о г о файла.

4 . П о с л е и з в л е ч е н и я к о м п о н е н т о в л о к а л и з у й т е ф а й л SpecopsGpupdate.msi

и с о х р а н и т е в п а п к е Д о к у м е н т ы ( D o c u m e n t s ) . Дважды щелкните его для

з а п у с к а у с т а н о в к и .

5. В д и а л о г о в о м о к н е п р е д у п р е ж д е н и я щ е л к н и т е кнопку Run.

6. В о к н е W e l c o m e щ е л к н и т е Next.

7. П р и м и т е у с л о в и я л и ц е н з и о н н о г о соглашения и щелкните Next.

8. Введите свое п о л н о е и м я и н а з в а н и е организации, установите флажок Any-

o n e W h o Uses This C o m p u t e r и щ е л к н и т е Next.

9. П р и м и т е р а з м е щ е н и е ф а й л о в установки по умолчанию и щелкните Next.

10. Щ е л к н и т е N e x t , ч т о б ы у с т а н о в и т ь приложение, а после завершения уста-

н о в к и – Finish.

Установка з а в е р ш е н а , о д н а к о вы д о л ж н ы добавить в лес спецификаторы

Display Specifiers. Д л я этого необходимы учетные данные администратора

п р е д п р и я т и я ( E n t e r p r i s e Admins).

11. О т к р о й т е П р о в о д н и к W i n d o w s (Windows Explorer) и локализуйте папку

% P r o g r a m F i l e s % C o m m o n F i l e s S e c o p s s o f t S p e c o p s A D U C Extension.

12. П о с л е о т о б р а ж е н и я ф а й л о в Specops на панели сведений проводника Win-

dows п е р е й д и т е к м е н ю Пуск ( S t a r t ) и щелкните команду Выполнить (Run).

О т к р о е т с я д и а л о г о в о е окно В ы п о л н и т ь ( R u n ) .

13. Оставьте о к н о В ы п о л н и т ь пустым, перейдите к окну проводника Windows,

в ы б е р и т е ф а й л p e c o p s A d u c M e n u E x t e n s i o n I n s t a l l e r . e x e и перетащите его

в д и а л о г о в о е окно В ы п о л н и т ь . Команда и путь к ней отобразятся в окне

В ы п о л н и т ь .

14. П е р е й д и т е в к о н е ц т е к с т а (ничего не меняйте) и введите параметр /add.

В результате д о л ж е н п о л у ч и т ь с я путь "C:Program FilesCommon FilesSec-

opssoftSpecops-ADUС Extension SpecopsAducMenuExtensionInstaller.exe "/add.

~ Run

Type the n a m e of a program, folder, d o c u m e n t , or Internet

resource, and Windows will open it for you.

Open:

б12 Непрерывность бизнес-процессов каталогов Глава 13

15. Нажмите клавишу Enter, чтобы з а п у с т и т ь команду.

Откроется окно командной строки с р е з у л ь т а т а м и в ы п о л н е н и я к о м а н д ы .

16. Нажмите любую клавишу, чтобы з а к р ы т ь окно.

Теперь после добавления спецификаторов д и с п л е я вы м о ж е т е п р о с т о запус-

тить файл SpecopsGpupdate.msi на к о м п ь ю т е р е д л я у с т а н о в к и Specops G p u p -

date, выполнив л и ш ь шаги 1 – 1 0 .

При работе с объектами к о м п ь ю т е р о в м о ж н о и с п о л ь з о в а т ь к о н т е к с т н о е

меню для получения доступа к н о в ы м ф у н к ц и я м а д м и н и с т р и р о в а н и я объекта

компьютера или подразделения, содержащего о б ъ е к т ы к о м п ь ю т е р о в (рис. 13-2).

Этот бесплатный инструмент я в л я е т с я п р е к р а с н ы м д о п о л н е н и е м к л ю б о й

службе каталога.

09»-u*orw >я |

(unBulcOuMTi J

««ferC»*»..

W . .

MM.

Gp

«.«XlofAn

RcHfAtvuK

Сip-e4*t

KnUn

МЫ) » С van

Sun

W.

»

ONk

Cut

Mm

topwtki

Рис. 13-2. Команды контекстного меню Specops Gpupdate

Административные средства AD DS

Для выполнения операций, с в я з а н н ы х с а д м и н и с т р и р о в а н и е м AD DS и DNS,

можно использовать различные инструменты. М н о г и е из э т и х средств описаны

на предыдущих занятиях. В табл. 13-2 п р и в е д е н с п и с о к и н с т р у м е н т о в , кото-

рые применяются для в ы п о л н е н и я а д м и н и с т р а т и в н ы х задач, а т а к ж е указано

расположение этих инструментов. О п и с а н н ы е и н с т р у м е н т ы п р и м е н я ю т с я д л я

сервиса, а не администрирования данных. М н о г и е из э т и х средств т а к ж е можно

использовать при работе со службами облегченного д о с т у п а к Active Directory

(Active Directory Lightweight D i r e c t o r y Services, AD L D S ) , п о с к о л ь к у в них '

применяется тот же код ядра, как и в AD DS.

Табл. 13-2. Распространенные средства сервисного администрирования

Инструмент Описание Расположение

Active Directory – Администрирование доверительных Программная группа

домены идоверие отношений, функционального уров– Администрирование

(Active Directory Do– ня леса и домена, а также суффиксов (Administrative Tools)

mains And Trusts) основных имен пользователей

Занятие 1

Поддержка каталогов и защита хранилища данных

6 2 3

Табл. 13-2 ( продолжение)

Инструмент

Описание

Расположение

Схема Active Direc-

Модифицирует схему каталогов AD Настраиваемая консоль

tory (Active Directory DS или экземпляров AD LDS. Для

ММС

Schema)

использования этой оснастки нужно

вначале зарегистрировать библиоте-

ку Schmmgmt.dll с помощью коман-

ды Regsvr32.exe

Active Directory —

Конфигурирует и управляет облас-

Программная группа

сайты и службы

тями действия репликации катало-

Администрирование

(Active Directory

гов AD DS и экземпляров AD LDS

(Administrative Tools)

Sites And Services)

Active Directory —

Конфигурирует и управляет домен-

Программная группа

пользователи

ными ролями FSMO, а также компо– Администрирование

и компьютеры

нентами RODC

(Administrative Tools)

(Active Directory

Users And Computers)

Редактирование ADSI Запрашивание, просмотр и редак-

Программная группа

(ADSI Edit)

тирование объектов и атрибутов

Администрирование

каталогов

(Administrative Tools)

CSVDE.exe

Импортирует данные в каталоги AD Командная строка

DS или экземпляры AD LDS

DCDiag.exe

Выполняет диагностику каталогов Командная строка

AD DS и экземпляров AD LDS

Dcpromo.exe

Добавляет и удаляет службу ката-

Главное меню (Start),

логов

Поиск (Search)

DFSRadmin.exe

Управляет репликацией распреде-

Командная строка

ленной файловой системы (Distri-

buted File System Replication),

которая используется в лесу

в полном режиме работы Windows

Server 2008

Диспетчер DNS

Выполняет общую поддержку

Программная группа

(DNS Manager)

DNS-серверов

Администрирование

(Administrative Tools)

и Диспетчер сервера

(Server Manager)

Dnscmd.exe

Управляет всеми аспектами

DNS-серверов

Командная строка

DSACLS.exe

Управляет списками контроля до-

ступа объектов каталогов

Командная строка

Dsadd.exe

Добавляет типы объектов (пользова-

тели, группы, компьютеры)

Командная строка

Dsamain.exe

Монтирует резервные или мгновен-

ные копни хранилища Active Direc-

Командная строка

tory (файл .dit) для идентификации

их содержимого

(см. след. стр.)

б12 Непрерывность бизнес-процессов каталогов

Глава 13

Табл. 13-2 ( продолжение)

Инструмент

Описание

Расположение

Dsbutil.exe (устанав-

Поддержка хранилища AD DS. На-

Командная строка

ливается вместе

стройка портов AD LDS. Просмотр

с AD LDS и AD DS)

экземпляров AD LDS

Dsget.exe

Просмотр выбранных свойств кон-

Командная строка

кретного объекта (пользователь,

компьютер)

Dsmgmt.exe

Управляет разделами приложений

Командная строка

и ролями хозяев операций

Dsmod.exe

Модифицирует существующий объ-

Командная строка

ект конкретного типа (пользователь,

компьютер)

Dsmove.exe

Перемещает объект в другое место

Командная строка

внутри каталога. Также использует-

ся для переименования объекта

Dsquery.exe

Запрашивает в каталоге конкретный Командная строка

тип объекта в соответствии с указан-

ным критерием

Dsrm.exe

Удаляет объект или коллекцию объ-

Командная строка

«

ектов конкретного типа

Просмотр событий

Выполняет аудит изменений AD

Программная группа

(Event Viewer)

DS и AD LDS, а также записывает

Администрирование

в журнал старые и новые значения

(Administrative Tools)

объектов и атрибутов

GPfixup.exe

Восстанавливает зависимости до-

Командная строка

менных имен в объектах групповой

политики. После переименования

домена заново связывает объекты

групповой политики .

Group Policy

Просмотр конфигурации объекта

Веб-сайт microsoft.com

Diagnostic Best

GPO, а также потенциальных оши-

Practices Analyzer

бок зависимостей

Управление груп-

Создание, управление, архивация

Программная группа

повой политикой

и восстановление объектов G P O

Администрирование

(Group Policy

(Administrative Tools)

Management)

Ipconfig

Отображает и модифицирует пара-

Командная строка

метры конфигурации IP

Ksetup.exe

Конфигурирует клиента, чтобы тот

вместо домена AD DS использовал

Командная строка

Kerberos v5

Ktpass.exe

Конфигурирует службу Kerberos не Командная строка

на платформе Windows, как принци-

пала, безопасности в AD DS

LDIFDE.exe

Импортирует данные в экземпляры

Командная строка

AD LDS

Ldp.exe

Выполняет операции LDAP в ката-

Главное меню (Start),

логе

Поиск (Search)

Занятие 1

Поддержка каталогов и защита хранилища данных

6 2 5

Табл.13-2 ( окончание)

Инструмент

Описание

Расположение

Movetree.exe

Перемещает объекты между домена– Веб-сайт microsoft.com

ми в лесу

Netdom.exe

Управляет учетными записями ком– Командная.строка

пыотеров, доменами и доверитель-

ными отношениями

Nltest.exe

Запрашивает состояние репликации Командная строка

и выполняет проверку доверитель-

ных отношений

Ntdsutil.exe (устанав– Выполняет поддержку баз данных Командная строка

ливается вместе с AD в хранилище AD DS

DS, но не инсталли-

руется, вместе с AD

LDS)

Repadmin.exe

Устраняет и диагностирует неполад– Командная строка

ки репликации между контроллера-

ми доменов, использующих службу

репликации файлов FRS (File Repli-

cation Service), которая применяется

в лесу, не работающем в полном

функциональном режиме Windows

Server 2008

Диспетчер сервера

Управляет существующими домена-

Программная группа

(Server Manager)

ми AD DS и экземплярами AD LDS Администрирование

(Administrative Tools)

Системный монитор Создает диаграммы и графики трен– Диспетчер сервера

(System Monitor)

дов производительности сервера.

(Server Manager),

Определяет критерии производи-

Диагностика (Diagnos-

тельности

tics), Стабильность

и производитель-

ность (Reliability And

Performance)

Ultrasound

Графический инструмент для устра– Можно загрузить на

(Ultrasound.exe)

нения неполадок и диагностики

веб-сайте microsoft.com

репликации между контроллерами

доменов, применяющих механизм

репликации RFS. Использует инс-

трументарий управления Windows

(Windows Management Instrumenta-

tion, W M I )

W32tm.exe

Просмотр параметров, управление Командная строка

конфигурацией и диагностика непо-

ладок времени Windows (Windows

Time)

Возможности систе-

Архивация и восстановление катало– Программная группа

мы архивации дан-

гов AD DS и экземпляров AD LDS

Администрирование

ных Windows Server

с содержимым

(Administrative Tools)

(Windows Server

Backup)

6 2 6

б12 Непрерывность бизнес-процессов каталогов

Глава 13

К СВЕДЕНИЮ Поиск и загрузка инструментов

Для локализации инструмента Movetree.exe откройте страницу, находящуюся по

адресу http://www.microsoft.com/downloads/details.aspxPFamilyID~96a35011-fd83-419d-

939b-9a772ea2df90&DisplayLang=en. Загрузите файл .cab и извлеките из него все

файлы movetree.*. Отметим, что не все инструменты в данном файле работают с

Windows Server 2008. Средства поддержки Windows Server 2003 не способны фун-

кционировать в Windows Server 2008. Например, инструмент ReplMon.exe просто

не запустится.

Для того чтобы получить инструмент Ultrasound, откройте страницу, которая нахо-

дится по адресу http://tvww.microsoft.com/Downloads/details.aspx7Family ID" 61 асЬ9Ь9-

c354-4f98-a823-24cc0da73b50&displaylang=en. Чтобы получить инструмент G P O

Diagnostic Best Practices Analyzer для платформы х86, откройте страницу http://

www.microsoft.com/downloads/details.aspx7FamilyID~47f11b02-8ee4-450b-bf13-

880b91ba4566&DisplayLang=en. Версию для платформы х64 можно получить по

адресу http://www.microsoft.com/downloads/details.aspx9familyid~70E0EDEC-66F7-

4499-83 В 7-4F2009DF2314 & display la ng=en.

Техническая поддержка в сети

На других занятиях вы в ы п о л н я л и м н о г и е задачи, п е р е ч и с л е н н ы е в табл. 13-1.

В табл. 13-3 указано, где искать и н ф о р м а ц и ю о к а ж д о й из 12 з а д а ч AD DS,

описанных в данном руководстве.

Табл. 13-3. Административные задачи AD DS

Задача

Описание

Администрирование учетных записей пользователей и групп Главы 2 – 4

Администрирование конечных устройств

Глава 5

Администрирование сетевых служб

Главы 4, 7,10, И

Управление объектами групповой политики (Group Policy

Главы 6, 7

Object, GPO)

Администрирование службы доменных имен (Domain Name Глава 9

Service, DNS)

Управление топологией и репликацией Active Directory

Главы 10, 11

Управление конфигурацией Active Directory

Главы 1 , 2 , 8 , 1 0 – 1 2

Управление схемой Active Directory

Глава 14

Управление информацией

Главы 2 – 5 , 1 1

Администрирование безопасности

Главы 2,7, 8,12

Управление базами данных

Глава 13

Отчетность Active Directory

Главы 2, 6-8,10, И, 13

Автономная техническая поддержка

Значительное отличие AD DS от п р е д ы д у щ и х в е р с и й состоит в трансформа-

ции роли контроллера домена в у п р а в л я е м у ю службу. В п р е д ы д у щ и х версиях

Windows Server роль контроллера домена была м о н о л и т н о й , то есть для того,

чтобы остановить службу, п р и х о д и л о с ь п о л н о с т ь ю в ы к л ю ч а т ь контроллер

домена, и для технического о б с л у ж и в а н и я базы д а н н ы х Ntds.dit, содержащей

Занятие 1

Поддержка каталогов и защита хранилища данных 6 2 7

х р а н и л и щ е каталогов, к онтро л л ер домена требовалось перезагружать в режиме

в о с с т а н о в л е н и я с л у ж б к а т а л о г о в ( D i r e c t o r y Services Repair Mode). По этой

п р и ч и н е отсутствовал способ автоматизации операций технической поддержки

базы д а н н ы х . В р е з у л ь т а т е б о л ь ш и н с т в о администраторов доменов вообще

н и к о г д а не в ы п о л н я л и з а д а ч и т е х н и ч е с к о й п о д д е р ж к и баз данных, а такой

подход н е п р и е м л е м в у п р а в л е н и и системами.

Всё б а з ы д а н н ы х р а б о т а ю т по о д н и м и тем же принципам. Когда добавля-

ется н о в а я з а п и с ь , база д а н н ы х п р е д о с т а в л я е т дополнительное пространство

для х р а н е н и я и н ф о р м а ц и и , с в я з а н н о й с записью. Однако при удалении записи

выделенное п р о с т р а н с т в о не возвращается – необходимо выполнить операции

по с ж а т и ю б а з ы д а н н ы х . С л у ж б а AD DS выполняет некоторые автоматические

о п е р а ц и и с ж а т и я , о д н а к о о н и н е в о с с т а н а в л и в а ю т утерянное пространство

в н у т р и б а з ы д а н н ы х , а всего л и ш ь перемещают данные с целыо ускорения до-

ступа. Ч т о б ы в о с с т а н о в и т ь у т е р я н н о е пространство, базу данных необходимо

п е р е к л ю ч и т ь в а в т о н о м н ы й р е ж и м и з а п у с т и т ь последовательно операции

с ж а т и я и д е ф р а г м е н т а ц и и .

И все же в W i n d o w s Server 2008 служба AD DS является управляемой, то

есть ее м о ж н о з а п у с к а т ь и останавливать, как и все остальные службы Windows

Server. Т а к и м о б р а з о м , ч т о б ы в ы п о л н и т ь операции технической поддержки,

к о н т р о л л е р д о м е н а б о л ь ш е не н у ж н о перезагружать в режиме восстановления

служб каталогов. К р о м е того, поскольку служба AD DS теперь ведет себя точно

так же, к а к и л ю б а я в н у т р е н н я я служба, для нее с помощью основных инс-

т р у м е н т о в к о м а н д н о й с т р о к и м о ж н о писать сценарии с целью автоматизации

о п е р а ц и й д е ф р а г м е н т а ц и и и сжатия.

О т м е т и м , ч т о д л я о с т а н о в к и с л у ж б ы AD DS контроллер домена должен

с в я з а т ь с я с е щ е о д н и м к о н т р о л л е р о м домена, на котором запущена данная

служба, иначе о с т а н о в и т ь работу с л у ж б ы AD DS невозможно. Служба AD DS

автоматически проверяет, имеется ли в наличии хотя бы один доступный конт-

роллер д о м е н а , п о с к о л ь к у в п р о т и в н о м случае никто не сможет войти в сеть.

В п р а к т и ч е с к и х у п р а ж н е н и я х этого занятия вы займетесь дефрагментацией

и сжатием.

СОВЕТ К Э К З А М Е Н У

Дефрагментация и сжатие в автономном режиме, а также служба AD DS с воз-

можностью многократного запуска являются важными темами сертификационного

экзамена.

Использование встроенных механизмов защиты каталогов

З а щ и т а д а н н ы х – о д и н из в а ж н е й ш и х аспектов активного управления сис-

темами, в к л ю ч а я AD D S . К а ж д а я учетная запись, которая хранится в базе

д а н н ы х AD DS, – у н и к а л ь н ы й объект, поскольку привязана к уникально-

му и д е н т и ф и к а т о р у безопасности SID (Security Identifier). Это означает, что

удаленную у ч е т н у ю запись н е л ь з я просто воссоздать заново. Хотя повторно

созданная учетная запись на глаз ничем не отличается от исходной, для AD

DS она я в л я е т с я абсолютно другим объектом и, следовательно, не дублирует

б12 Непрерывность бизнес-процессов каталогов

Глава 13

свойства и атрибуты ранее удаленного объекта. Членство в группах, пароли,

параметры атрибутов и другие свойства будут иными. По этой и д р у г и м при-

чинам рекомендуется переназначать учетные записи, а не создавать их заново

прн изменении пользователями своего расположения в сети. Автоматическое

переназначение записи означает, что новый пользователь п о л у ч и т те же пра-

ва, что и предыдущий обладатель учетной записи. П р и п о в т о р н о м создании

учетной записи достаточно идентифицировать все права доступа, необходимые

для данной роли в сети, а при создании учетной записи в ы п о л н я е т с я намного

больше операций.

Благодаря модели репликации с равноправными у ч а с т н и к а м и данные, со-

держащиеся в каталоге, достаточно надежно сохраняются, поскольку изменение

в одном месте автоматически реплшД-фуется во все остальные места. Тем не

менее эта же модель репликации иногда создает проблемы. Е с л и оператор по

ошибке удалит объект, то этот объект будет удален и во всем каталоге, а чтобы

восстановить его, нужна резервная копия. Однако в AD DS м о ж н о восстанав-

ливать информацию без использования архивов, д л я чего и п р е д у с м о т р е н ы

следующие четыре компонента.

• Новая опция защиты объекта от удаления.

• Новый компонент аудита доступа к AD DS, который записывает старые и

новые значения и позволяет вернуть исходное значение п о с л е м о д и ф и к а -

ции свойств объекта.

• Контейнер памятника. Каждый объект, у д а л я е м ы й из каталога, на опреде-

ленный период времени оставляет памятник. Пока данные объекта хранятся

в контейнере памятника, объект можно восстановить.

• Возможности архивации и восстановления W i n d o w s Server.

Каждый из этих компонентов обеспечивает возможности з а щ и т ы и восста-

новления информации в базе данных каталогов.

Защита объектов AD DS

По умолчанию любой новый объект в AD DS м о ж н о з а щ и т и т ь от у д а л е н и я

в процессе создания. Каждый раз эту защиту д л я объекта следует включать

самому. При создании объектов с помощью командных ф а й л о в и л и в процес-

се миграции защита от удаления не включается, пока вы сами не назначите

защиту в процессе создания. При интерактивном создании объекта защиту от

удаления также необходимо назначить явным образом. Защита объекта включа-

ется и снимается на показанной на рис. 13-3 вкладке Объект ( O b j e c t ) , которая

отображается только при установке флажка Дополнительные компоненты (Ad-

vanced Features) в меню Вид (View) консоли Active Directory – пользователи

и компьютеры (Active Directory Users And Computers). Отметим, что для таких

контейнеров, как подразделения, защита включена по умолчанию, поскольку

они формируют часть структуры каталогов.

После включения защиты вы уже не сможете с л у ч а й н о удалить объект.

Кроме того, его нельзя будет перемещать из одного места в другое.

Эта опция защиты запрещает два разрешения доступа для группы Все (Eve-

ryone): Запретить удаление (Deny Delete) и З а п р е т и т ь удаление поддерева

Занятие 1

( D e n y Delete S u b t r e e ) . П о м н и т е , что в AD DS запрет доступа заменяет все

разрешения доступа. Д л я п е р е м е щ е н и я и л и у д а л е н и я защищенного объекта

необходимо с б р о с и т ь ф л а ж о к з а щ и т ы от случайного удаления. Данную фун-

кцию удобно и с п о л ь з о в а т ь в о р г а н и з а ц и я х , где администрирование объектов

делегируется п е р с о н а л у т е х н и ч е с к о й п о д д е р ж к и , ее можно также включить

в шаблон учетной з а п и с и .

тттлт.ч-тл * i

<у5ртуч«*а-ы j Чпсмгруп j Р«лг»кааиЛ паролей

Удаленноеупр«,-юм*е i Прскгил* cryrt5 те^мкнагов

COW-» j 'Реактор атрибутов j Adcfeorai Account kio

Общие | Aapec | запкъ j Прэфмпь j Тепетемы | Органиглха

Вш&яцие звон** Объект | Безопасность | Среда | Сеансы

Кэиоикческов ими объект».

[«yreieartti сот/Мемедкеры/Новые попь зовате/W Джон Keft-t

Класс объекта: Пользователь

Соаазн 87.12 ДКЙ 13.07:01

Изменен 07.122О08 U WM

Номера послеязда телы-ы* обновлений »,U3N):

Текущий* 1$4€7

Йгаедой: 16413

F Защитить oCvsktot спу^аЛюго у дален**

| ОК { Отмена j Прю-tertra» j Ораека

.

Рис. 13-3. Защита объекта от случайного удаления в AD DS

Аудит и з м е н е н и й к а т а л о г о в

При в ы п о л н е н и и а у д и т а и з м е н е н и й каталогов в Windows Server 2008 каждый

раз при м о д и ф и к а ц и и о б ъ е к т о в записываются старое и новое значения атрибу-

та. Кроме того, поскольку п о л и т и к а аудита в Windows Server 2008 регистрирует

четыре подкатегории доступа к службе, ее можно назначать на более детальном

уровне, чем в п р е д ы д у щ и х в е р с и я х W i n d o w s Server. Изменения атрибутов

контролируются п о д к а т е г о р и е й И з м е н е н и я службы каталогов (Directory Ser-

vice Changes). Эта п о л и т и к а р е г и с т р и р у е т операции создания, модификации,

перемещения и в о с с т а н о в л е н и я объектов. В журнале событий служб каталогов

(Directory Services Event Log) каждой операции присваивается определенный ксщ.

Благодаря э т о м у к о м п о н е н т у ж у р н а л событий преобразуется в систему

хранения записей об и з м е н е н и я х каталога, позволяя поддерживать множест-

во записей об и з м е н е н и я х , в н е с е н н ы х в каталог. Эту функцию также удобно

использовать д л я и с п р а в л е н и я некорректно выполненных модификаций.

При м о д и ф и к а ц и и объекта в ж у р н а л записываются два события. В первом

из них указывается с т а р о е значение, во втором – новое. Эти события исполь-

зуются для отмены н е к о р р е к т н ы х м о д и ф и к а ц и й .

630

б12 Непрерывность бизнес-процессов каталогов

Глава 13

Восстановление объектов Active Directory

Случайно удаленный объект Active Directory восстанавливается с п о м о щ ь ю

утилиты Ldp.exe. Для этого необходимо открыть контейнер удаленных объектов

каталога (нужны учетные данные администратора домена).

1. В командной строке введите команду Ldp.exe.

2. В меню Подключение (Connection) щелкните команду Подключить (Connect),

введите полное доменное FQDN-имя, например Server10.TreyResearch.net,

и щелкните ОК.

3. В меню Подключение щелкните команду Привязка (Bind), выберите опцию

Привязать как текущего пользователя (Bind As C u r r e n t l y Logged On User)

и щелкните ОК.

4. В меню Параметры (Options) щелкните Э л е м е н т ы у п р а в л е н и я ( C o n t r o l s ) ,

в раскрывающемся списке Предопределенная загрузка (Load Predefined) вы-

берите элемент Return Deleted Objects, в секции Т и п элемента у п р а в л е н и я

(Control Type) диалогового окна выберите тип Сервер (Server) и щелкните ОК.

5. В меню Вид (View) щелкните команду Дерево (Tree), в в е д и т е базовое рас-

ширяемое имя (DN) контейнера объекта и щ е л к н и т е О К .

Например, DN-именем контейнера в д о м е н е T r e y R e s e a r c h я в л я е т с я

cn=deleted Objects,dc=TreyResearch,dc=net.

6. Дважды щелкните контейнер удаленных объектов на п а н е л и дерева, чтобы

развернуть его содержимое.

Помните, что утилита Ldp.exe по умолчанию возвращает только 1 ООО объектов.

7. На панели дерева локализуйте объект, который хотите восстановить, и дваж-

ды щелкните его.

На панели сведений отобразится и н ф о р м а ц и я об о б ъ е к т е . Н а п р и м е р ,

если объектом является учетная запись пользователя, его и м я начинается

с а=имя пользователя.

8. На панели дерева щелкните имя объекта правой к н о п к о й м ы ш и и приме-

ните команду Изменить (Modify).

9. В поле Атрибут (Attribute) секции Изменить запись ( E d i t E n t r y ) диалогово-

го окна Изменение (Modify) введите значение isDeleted, в секции О п е р а ц и я

(Operation) выберите тип операции Удалить ( D e l e t e ) и щ е л к н и т е к н о п к у

Ввод (Enter).

10. В поле Атрибут (Attribute) секции Изменить запись ( E d i t E n t r y ) диалого-


    Ваша оценка произведения:

Популярные книги за неделю