355 500 произведений, 25 200 авторов.

Электронная библиотека книг » Dan Holme » Настройка Active Directory. Windows Server 2008 » Текст книги (страница 68)
Настройка Active Directory. Windows Server 2008
  • Текст добавлен: 8 октября 2016, 16:34

Текст книги "Настройка Active Directory. Windows Server 2008"


Автор книги: Dan Holme


Соавторы: Danielle Ruest,Nelson Ruest

Жанр:

   

ОС и Сети


сообщить о нарушении

Текущая страница: 68 (всего у книги 91 страниц)

AD LDS. Чтобы указать

имя экземпляра для диагнос-

тики, нужно использовать

переключатель /п :Контекст_

именования

DSMgmt.exe

Поддерживает управление

Командная строка

разделом приложений и поли-

тикой AD LDS

Просмотр событий

Аудит изменений AD LDS,

Программная группа Адми-

(Event Viewer)

а также запись старых

нистрирование (Administra-

и новых значений объектов

tive Tools)

и атрибутов

Файлы LDAP Data

Процедуры установки

Папка %SystemRoot%ADAM

Interchange Format

AD LDS могут динамически

(LDIF)

импортировать LDIF-файлы

(.ldp) во время установки

экземпляра, автоматически

конфигурируя таким образом

экземпляр

LDIFDE.exe

Импортирует данные в экзем-

Командная строка

пляры AD LDS

LDP.exe

Интерактивная модификация Командная строка

содержимого или экземпляров

AD LDS с помощью LDAP

NtdsutiLexe

Управляет экземплярами

Командная строка

AD LDS, но только в случае

установки AD DS. (Исполь-

зовать эту утилиту не реко-

мендуется. Вместо нее лучше

применяйте DSDBUtil.exe.)

RepAdmin.exe

Анализ репликации для выяв– Командная строка

ления потенциальных ошибок

Диспетчер сервера

Управляет существующими

Программная группа Адми-

(Server Manager)

экземплярами AD LDS

нистрирование (Administra-

tive Tools)

Занятие 2

Настройка и использование AD LDS 7 5

Табл. 14-3 ( окончание)

Инструмент Назначение Расположение

Система архивации Архивация и восстановление Программная группа Адми-

данных Windows экземпляров AD LDS и их нистрирование (Administra-

Server (Windows содержимого tive Tools)

Server Backup)

М н о г и е из и н с т р у м е н т о в , перечисленных в табл. 14-3, используются для

н а с т р о й к и и а д м и н и с т р и р о в а н и я служб AD LDS.

К СВЕДЕНИЮ Аудит AD LDS

Более подробную информацию об аудите экземпляров AD LDS и доменов AD DS

можно найти по адресу http://go.microsoft.com/fviilinli/7nnkId~94846.

Создание экземпляров AD LDS

Процесс у с т а н о в к и р о л и AD L D S очень похож на процесс установки AD DS.

Вначале и н с т а л л и р у ю т с я д в о и ч н ы е ф а й л ы AD LDS, а затем создаются экзем-

п л я р ы AD L D S д л я и с п о л ь з о в а н и я службы. При развертывании AD DS также

в н а ч а л е у с т а н а в л и в а ю т с я д в о и ч н ы е ф а й л ы , а затем для создания экземпля-

ра AD DS и с п о л ь з у е т с я мастер установки доменных служб Active Directory.

П о э т о м у м н о г и е и н с т р у м е н т ы у п р а в л е н и я в AD LDS аналогичны средствам

у п р а в л е н и я A D DS.

П о д г о т о в к а к с о з д а н и ю э к з е м п л я р а AD LDS

Д л я с о з д а н и я э к з е м п л я р о в AD L D S используется Мастер установки служб

AD L D S (Active D i r e c t o r y Lightweight Directory Services Setup Wizard). Од-

н а к о перед с о з д а н и е м э к з е м п л я р а н у ж н о подготовить несколько элементов,

в к л ю ч а я с л е д у ю щ и е .

• Д и с к д а н н ы х , с о з д а н н ы й на сервере. Поскольку сервер будет управлять

х р а н и л и щ а м и каталогов, поместите эти хранилища на диск отдельно от

диска с о п е р а ц и о н н о й системой.

• И м я , к о т о р ы м будет назван создаваемый экземпляр. Используйте для эк-

з е м п л я р о в п о н я т н ы е имена, как, например, имя приложения, которое будет

и н т е г р и р о в а н о в экземпляр: Это и м я будет служить для идентификации

э к з е м п л я р а на л о к а л ь н о м компьютере, а также для именования файлов,

с о с т а в л я ю щ и х э к з е м п л я р и службу, которая поддерживает его.

• Порты, которые будут использоваться для связи с экземпляром. Для комму-

никаций службы AD L D S и AD DS задействуют одни и те же порты: порт по

у м о л ч а н и ю L D A P (389) и L D A P через Secure Sockets Layer (SSL) или пор-

ты Secure L D A P (636). В AD DS используются два дополнительных порта:

порт 3268, к о т о р ы й применяет L D A P для доступа к глобальному каталогу,

и порт 3269, к о т о р ы й использует Secure LDAP для доступа к глобальному

каталогу. П о с к о л ь к у службы AD LDS и AD DS используют одни и те же

порты, эти р о л и также не рекомендуется устанавливать на одном сервере.

О д н а к о если мастер определит, что порты 389 и 636 уже используются,

I 7 1 0

Службы облегченного доступа к каталогам

Глава 14

он предложит номера 50 ООО и 50 001 д л я к а ж д о г о порта, а затем задействует

другие порты в диапазоне 50 000 д л я д о п о л н и т е л ь н ы х э к з е м п л я р о в .

Контрольные вопросы

1. Какие порты используются для работы с экземплярами AD LDS?

2. Чем порты в экземпляре AD LDS отличаются от портов, используемых служ-

бам! AD DS?

Ответы на контрольные вопросы

1. Экземпляр AD LDS может использовать стандартный LDAP-порт 389 или

порт LDAP через SSL (Secure LDAP) 636. Кроме того, службы AD LDS могут

использовать любой порт с номером больше 1025. Тем не менее рекоменду-

ется применять порты в диапазоне 50 000.

2. Службы AD DS и AD LDS могут использовать порты 389 ( L D A P ) и 636

(Secure LDAP). Кроме того, для связи со службой глобального каталога

служба AD DS задействует порты 3268 ( L D A P ) и 3269 (Secure LDAP). Ре-,

комендуется резервировать порты 389 и 636 для службы AD DS.

ВНИМАНИЕ! Использование портов 389 и 636

При создании экземпляров AD LDS в домене не занимайте порты 389 и 636, даже

если первый экземпляр вы создаете не на контроллере домена. Служба AD DS ис-

пользует эти порты по умолчанию. По этой причине некоторые консоли, например

оснастка Схема Active Directory (Active Directory Schema), не привязываются к

локальным экземплярам, поскольку по умолчанию они непосредственно привяза-

ны к AD DS. Для экземпляров AD LDS рекомендуется всегда использовать порты

с номерами в диапазоне от 50 000.

СОВЕТ К ЭКЗАМЕНУ

Запомните порты по умолчанию, поскольку они включены в темы сертификацион-

ного экзамена, хотя в производственных средах их не следует применять.

• И м я раздела п р и л о ж е н и й A c t i v e D i r e c t o r y , к о т о р ы й б у д е т п р и м е н я т ь с я

для экземпляра. Д л я с о з д а н и я р а з д е л а н у ж н о и с п о л ь з о в а т ь отличитель-

ное имя D N (Distinguished N a m e ) , как, н а п р и м е р , и м я C N – A p p P a r t i t i o n l ,

D C = C o n t o s o , D C = c o m . В з а в и с и м о с т и от н а з н а ч е н и я э к з е м п л я р а раздел

приложений может и не потребоваться. Р а з д е л ы п р и л о ж е н и й у п р а в л я ю т

областью р е п л и к а ц и и х р а н и л и щ а к а т а л о г о в . Н а п р и м е р , п р и интеграции

данных DNS в каталог с л у ж б а AD DS с о з д а е т р а з д е л п р и л о ж е н и й , что-

бы обеспечить доступ к д а н н ы м D N S д л я с о о т в е т с т в у ю щ и х контроллеров

домеиа. Разделы п р и л о ж е н и й A D L D S м о ж н о с о з д а в а т ь т р е м я способа-

ми: при создании экземпляра, п р и у с т а н о в к е п р и л о ж е н и я , которое будет

привязано к экземпляру, и л и в р у ч н у ю с п о м о щ ь ю у т и л и т ы LDP.exe. Если

приложение не создает разделы п р и л о ж е н и й а в т о м а т и ч е с к и , создайте их

с помощью мастера.

Занятие 2

Настройка и использование AD LDS 7 5

• Учетная з а п и с ь д л я запуска экземпляра. М о ж н о использовать учетную за-

пись С е т е в а я с л у ж б а (Network Service), однако в случае запуска множества

э к з е м п л я р о в л у ч ш е всего применять д л я каждого экземпляра именованные

у ч е т н ы е з а п и с и служб. Д а л е е перечислены требования и инструкции по

с о з д а н и ю у ч е т н ы х записей служб.

• С о з д а й т е у ч е т н у ю запись домена, если вы работаете в домене. В про-

т и в н о м случае используйте локальную учетную запись (например, в пе-

р и м е т р е сети).

• Н а з н а ч ь т е д л я учетной з а п и с и и м я экземпляра AD LDS.

• Н а з н а ч ь т е д л я у ч е т н о й записи сложный пароль.

• В с в о й с т в а х у ч е т н о й з а п и с и задайте параметр Запретить смену пароля

п о л ь з о в а т е л е м ( U s e r C a n n o t Change Password).

• В с в о й с т в а х учетной з а п и с и задайте параметр Срок действия пароля

не о г р а н и ч е н ( P a s s w o r d Never Expires), чтобы политика паролей не

п р е п я т с т в о в а л а работе службы.

• В л о к а л ь н о й п о л и т и к е безопасности (Local Security Policy) каждого

к о м п ь ю т е р а , содержащего данный экземпляр, назначьте право пользо-

в а т е л я В х о д в качестве с л у ж б ы (Log On As A Service).

• В л о к а л ь н о й п о л и т и к е безопасности каждого компьютера, содержащего

д а н н ы й э к з е м п л я р , назначьте право пользователя Создание аудитов

б е з о п а с н о с т и ( G e n e r a t e Security Audits).

• Группа, с о д е р ж а щ а я эти учетные записи пользователей, будет админист-

р и р о в а т ь д а н н ы й э к з е м п л я р . Д л я назначения разрешений доступа лучше

всего использовать группы, даже если группа содержит всего одну учетную

запись. Д л я в н е с е н и я и з м е н е н и я можно добавлять или модифицировать

членов группы, не д о б а в л я я и не модифицируя разрешения доступа. Если

| вы работаете в домене, создайте доменную группу, иначе создайте локаль-

ную. Назначьте д л я группы такое же имя, как у экземпляра. Так будет проще

отследить н а з н а ч е н и е группы. Добавьте в эту группу свою учетную запись,

а т а к ж е у ч е т н у ю з а п и с ь службы, созданную ранее.

I • Все д о п о л н и т е л ь н ы е ф а й л ы L D I F д л я экземпляра. Поместите эти фай-

лы в п а п к у % S y s t e m R o o t % A D A M . Эти ф а й л ы будут импортированы во

в р е м я с о з д а н и я экзе м пл я р а . При импорте файлов L D I F схема экземпляра

р а с ш и р я е т с я д л я п о д д е р ж к и дополнительных операций. Например, для

с и н х р о н и з а ц и и с л у ж б AD DS со службами AD LDS импортируйте файл

MSAdamSyncMetadata.ldf. Если для приложения требуются настраиваемые

м о д и ф и к а ц и и схемы, создайте заранее ф а й л L D I F и импортируйте его при

i создании экземпляра. Отметим, что ф а й л ы L D I F всегда можно импортиро-

вать и после создания экземпляра. В табл. 14-4 перечислены файлы LDIF

по умолчанию.

З а п о м н и т е эти значения, поскольку они понадобятся для создания экзем-

пляра и у п р а в л е н и я им.

I 712 Службы облегченного доступа к каталогам

Глава 14

Табл. 14-4. Файлы LDIF служб AD LDS по умолчанию

Имя файла Назначение

MS-ADAM-Upgrade-l.Idf Для обновления схемы AD LDS до самой новой

версии

MS-adamschemaw2k3.1df Предварительный реквизит для синхронизации эк-

земпляра с Active Directory в Windows Server 2003

MS-adamschemaw2k8.1df Предварительный реквизит для синхронизации эк-

земпляра с Active Directory в Windows Server 2008

MS-AdamSyncMetadata.ldf Для синхронизации данных леса AD DS и экземп-

ляра AD LDS через ADAMSync

MS-ADLDS-DisplaySpecifiers.ldf Для операций оснастки Active Directory – сайты

и службы (Active Directory Sites And Services)

MS-AZMan.ldf Для поддержки диспетчера авторизации Windows

(Windows Authorization Manager)

MS-lnetOrgPerson.ldf Для создания пользовательских классов

и атрибутов inetOrgPerson

MS-User.ldf Для создания пользовательских классов

и атрибутов

MS-UserProxy.ldf Для создания простого класса userProxy

MS-UserProxyFull.ldf Для создания полного класса userProxy.. Вначале

следует импортировать файл MS-UserProxy.ldf

После подготовки этих элементов м о ж н о п р и с т у п а т ь к с о з д а н и ю экзем-

пляра. Используйте учетную з а п и с ь л о к а л ь н о г о а д м и н и с т р а т о р а . Е с т ь два

способа создания экземпляров: при п е р в о м п р и м е н я е т с я М а с т е р у с т а н о в к и

служб AD LDS (Active Directory L i g h t w e i g h t Services S e t u p W i z a r d ) , а при

втором – командная строка. В практических у п р а ж н е н и я х этого з а н я т и я вы

создадите экземпляр с помощью мастера, а в с л е д у ю щ е м п о д р а з д е л е описано

применение командной строки.

Автоматизированное создание э к з е м п л я р а AD L D S

Экземпляры AD LDS можно также создавать а в т о м а т и з и р о в а н о . Н а п р и м е р ,

для создания экземпляров на к о м п ь ю т е р е с у с т а н о в л е н н ы м я д р о м сервера

(Server Core) нужно использовать а в т о м а т и з и р о в а н н ы й процесс, п о с к о л ь к у

отсутствует графический интерфейс для запуска мастера. Автоматизированным

методом можно также создавать экземпляры д л я п р и л о ж е н и й , распределенных

на множестве серверов. Перед этим следует п о д г о т о в и т ь п р е д в а р и т е л ь н ы е

реквизиты, как описано в подразделе «Подготовка к с о з д а н и ю э к з е м п л я р а AD

LDS» ранее на этом занятии.

В папке %SystemRoot%ADAM есть д о п о л н и т е л ь н а я к о м а н д а Adamlnstall.

ехе, с помощью которой можно в ы п о л н я т ь а в т о м а т и з и р о в а н н у ю у с т а н о в к у

экземпляров. Как и в случае с командой Dcpromo.exe, д л я создания э к з е м п л я р а

этой команде необходим текстовый ф а й л с в в о д н ы м и п а р а м е т р а м и . Коман-

ду Adamlnstall.exe можно запускать как на компьютере с п о л н о й установкой

Windows Server 2008, так и на машине с ядром сервера (Server Core). Начнем

с создания текстового файла.

Занятие 2

Настройка и использование AD LDS 7 5

1. О т к р о й т е п р о г р а м м у Б л о к н о т (Notepad).

2. Введите текст ф а й л а ответов. Включите в него следующие элементы:

[ADAMInstall]

InstallType=Unique

1г51агсеНат=Имя_экземпляра

LocalLOAPPortToListenOn -Номвр_порта

LocalSSLPortToListenOn=WoMep_nopra

NewApplicationPartitionToCreate=0MH_pa3,^a

DataFilesPath=D:ADAMInstancesM3_3rae(mrapaData

LogFilesPath=D: AOAMInstancesM3_3rae(W73paData

5егч1Секссоип1=Имя_машины_в_доменеИмя_учетной_записи

5вг^1свРаззчюгй=Г1ароль

Мш<М5Хга10г=Имя_машины_в_д0менеИмя_группы

ImportLDIFFiles="L0IFFilename1" "LDIFFilename2" "L0IFFilename3"

5оигсеивегНате=Имя_машины_в_доменеИмя_учетной_записи

SourcePassviori=naponb

Замените все имена, выделенные курсивом, соответствующими значениями.

И д е н т и ф и к а ц и я требуемых значений описана в подразделе «Подготовка к

с о з д а н и ю э к з е м п л я р а AD L D S » ранее на этом занятии. Используйте этот

ф а й л о с т о р о ж н о , поскольку он содержит пароли, которые отображаются

о т к р ы т ы м текстом. Все эти п а р о л и удаляются сразу же после применения

ф а й л а и н с т р у м е н т о м с о з д а н и я экземпляра AD LDS.

3. С о х р а н и т е с о з д а н н ы й ф а й л в папке %SystemRoot%ADAM и присвойте

ему такое же им я, к ак у создаваемого экземпляра.

4. З а к р о й т е Б л о к н о т ( N o t e p a d ) .

К СВЕДЕНИЮ Создание экземпляра AD LDS

Более подробную информацию о создании экземпляров AD LDS можно найти по

адресу http://technet2.microsoft.com/windomserver2008/en/library/141900a7-445c-4bd3-

9ce3-5//53d70d10a1033.mspx?mfr=true.

Теперь вы г о т о в ы п р и с т у п и т ь к созданию экземпляра. Помните, что для

этого вам н у ж н ы п р а в а доступа локального администратора.

1. О т к р о й т е к о м а н д н у ю строку от имени администратора.

2. В окне к о м а н д н о й с т р о к и перейдите в папку %SystemRoot%ADAM. Вве-

дите у к а з а н н у ю н и ж е команду и нажмите клавишу Enter.

cd windowsadam

3. Введите с л е д у ю щ у ю команду (если и м я файла содержит пробелы, заклю-

чите его в к а в ы ч к и ) :

adaminstall /answer:filename.txt

4. З а к р о й т е о к н о к о м а н д н о й строки.

Ваш э к з е м п л я р готов. Вы можете открыть конечную папку и просмотреть

созданные ф а й л ы .

24 Зак. 3399

I 7 1 4 Службы облегченного доступа к каталогам

Глава 14

Миграция экземпляра LDAP в AD LDS

В AD LDS также можно мигрировать с у щ е с т в у ю щ и е к а т а л о г и L D A P и о б н о в -

лять экземпляры A D A M д о A D L D S . Д л я этого с о д е р ж и м о е с т а р ы х э к з е м п л я -

ров импортируется в новый э к з е м п л я р AD L D S .

Импорт данных в ы п о л н я е т с я при с о з д а н и и э к з е м п л я р а и л и п о с л е его со-

здания. В обоих процессах методы о д и н а к о в ы , п о с к о л ь к у в о б о и х с л у ч а я х

применяются ф а й л ы LDIF, или ф а й л ы с р а с ш и р е н и е м .ldf. Е с л и д а н н ы е и м п о р -

тируются после создания экземпляра, н у ж н о и с п о л ь з о в а т ь к о м а н д у LDIFDE.

ехе. Помните, что перед импортом д а н н ы е в н а ч а л е с л е д у е т э к с п о р т и р о в а т ь из

предыдущего экземпляра и поместить в ф а й л ф о р м а т а L D I F .

Содержимое старых э к з е м п л я р о в м о ж н о э к с п о р т и р о в а т ь с п о м о щ ь ю к о -

манды LDIFDE. Д л я выполнения этих о п е р а ц и й н е о б х о д и м ы п р а в а л о к а л ь н о г о

администратора, а также право а д м и н и с т р и р о в а н и я э к з е м п л я р а . К р о м е того,

командную строку требуется запустить от и м е н и а д м и н и с т р а т о р а . И с п о л ь з у й т е

следующую командную структуру:

Idifde -f тя_файла -s имя_сервераномер_порта -m -b имя_пользоватвля имя_домена пароль

Укажите в этой команде имя создаваемого ф а й л а ( з а к л ю ч и т е его в к а в ы ч к и ,

если оно содержит пробелы), имя сервера, с о д е р ж а щ е г о э к з е м п л я р , и м я п о р т а

для коммуникаций с экземпляром и у ч е т н ы е д а н н ы е а д м и н и с т р а т о р а э к з е м п -

ляра (имя пользователя, и м я домена и п а р о л ь ) .

Д л я импорта данных в новый э к з е м п л я р и с п о л ь з у е т с я к о м а н д а :

Idifde -i -f иня_файла -s имя_сервера:номер_порта -m -b имя_пользователя имя_домена пароль

Отметим, что д л я импорта п а р о л е й и з с т а р о г о э к з е м п л я р а н е о б х о д и м о

использовать переключатель – к Этот п е р е к л ю ч а т е л ь ш и ф р у е т все п а р о л и ,

применяя шифрование SASL (Simple A u t h e n t i c a t i o n And S e c u r i t y L a y e r ) .

Контрольные вопросы

1. Какими способами можно создавать разделы приложений для экземпляров

AD LDS?

2. В чем назначение файлов LDIF, включенных в службы AD LDS?

3. Как можно отладить процесс создания экземпляра AD LDS?

Ответы на контрольные вопросы

1. Существует три способа создания разделов приложений для экземпляров

AD LDS:

• в процессе создания экземпляра AD LDS с помощью мастера установки

служб AD LDS;

• в процессе установки приложения, которое будет привязано к экземп-

ляру AD LDS;

• вручную с помощью инструмента LDP.exe.

2. Файлы LDIF, включенные в AD LDS, служат различным целям, но обычно

они применяются для расширения схемы экземпляра ради поддержки до-

полнительной функциональности.

Занятие 2 Настройка и использование AD LDS 7 5

3. В процессе создания э к з е м п л я р а службы AD LDS создают файлы журналов.

Эти ф а й л ы A D A M S e t u p . l o g и ADAMSetup_loader.log локализованы в папке

% S y s t e m R o o t % D e b u g . Их можно просматривать и устранять ошибки в про-

цессе создания экземпляра.

К СВЕДЕНИЮ Утилита LDIFDE

Б о л е е п о д р о б н у ю и н ф о р м а ц и ю о команде LDIFDE.exe можно найти по адресу

http://technet2.microsoft.com/windowsserver/en/library/32872283-3722-4d9b-925a-

82c516a1ca141033.mspx?mfr-true. И н ф о р м а ц и я о команде LDIFDE также приведена

в главе 3.

Работа с экземплярами AD LDS

В т а б л . 1 4 – 3 п е р е ч и с л е н ы в с е и н с т р у м е н т ы , к о т о р ы е м о ж н о и с п о л ь з о в а т ь

д л я р а б о т ы с э к з е м п л я р а м и A D L D S . С а м ы е у д о б н ы е и з н и х – графические

и н с т р у м е н т ы Р е д а к т и р о в а н и е A D S I ( A D S I E d i t ) , LDP.exe, Схема Active Direc-

t o r y ( A c t i v e D i r e c t o r y S c h e m a ) и A c t i v e D i r e c t o r y – с а й т ы и службы (Active

D i r e c t o r y Sites A n d S e r v i c e s ) . Э т и и н с т р у м е н т ы у п р а в л я ю т просмотром и редак-

т и р о в а н и е м с о д е р ж и м о г о э к з е м п л я р о в . И н с т р у м е н т ы командной строки удобно

и с п о л ь з о в а т ь д л я а в т о м а т и з а ц и и п р о ц е с с о в и в в о д а д а н н ы х д л я экземпляров

A D L D S .

Работа с экземплярами с помощью ADSI

Д л я а д м и н и с т р и р о в а н и я э к з е м п л я р о в A D L D S часто используется оснастка

Р е д а к т и р о в а н и е A D S I ( A D S I E d i t ) . Д л я р а б о т ы с э к з е м п л я р о м к а ж д ы й раз

н е о б х о д и м о п о д к л ю ч и т ь с я и п р и в я з а т ь с я к э т о м у экземпляру. Помните, что для

в ы п о л н е н и я а д м и н и с т р а т и в н ы х о п е р а ц и й с э к з е м п л я р а м и A D L D S требуются

п р а в а а д м и н и с т р а т о р а э к з е м п л я р а . И с п о л ь з у й т е с л е д у ю щ у ю процедуру.

1. В п р о г р а м м н о й г р у п п е А д м и н и с т р и р о в а н и е (Administrative Tools) запустите

о с н а с т к у Р е д а к т и р о в а н и е A D S I ( A D S I E d i t ) .

2 . В п а н е л и д е р е в а щ е л к н и т е п р а в о й к н о п к о й м ы ш и у з е л Редактирование

A D S I ( A D S I E d i t ) и п р и м е н и т е к о м а н д у П о д к л ю ч е н и е к ( C o n n e c t То).

О т к р о е т с я д и а л о г о в о е о к н о П а р а м е т р ы п о д к л ю ч е н и я (Connection Settings).

В в е д и т е с л е д у ю щ и е з н а ч е н и я ( р и с . 14-5).

• И м я ( N a m e ) – у к а ж и т е и м я экземпляра, к которому хотите подключиться.

• Т о ч к а п о д к л ю ч е н и я ( C o n n e c t i o n P o i n t ) – щ е л к н и т е о п ц и ю Выберите

и л и в в е д и т е р а з л и ч а е м о е и м я и л и к о н т е к с т и м е н о в а н и я (Select O r Type

A D i s t i n g u i s h e d N a m e Or N a m i n g C o n t e x t ) и введите различаемое имя

э к з е м п л я р а .

• К о м п ь ю т е р ( C o m p u t e r ) – щ е л к н и т е о п ц и ю Выберите или введите домен

и л и с е р в е р ( S e l e c t Or Type A D o m a i n Or Server) и введите имя сервера

с н о м е р о м п о р т а , н а п р и м е р S E R V E R 0 3 : 5 0 0 0 0 .

I 716

Службы облегченного доступа к каталогам

Глава 14

• Если вы задействуете порт Secure LDAP, в секции Компьютер (Computer)

установите также флажок Использовать ш и ф р о в а н и е на базе SSL ( U s e

SSL-Based Encryption).

| Instanced

– Точке подклочмш – – – • – – – – -

(• Вв)6<{чте введите ра)ш.чае«ж имя или контекст иненованмд;

I CN-IrtslanceOl,DC -Contoso ,ОС -com 3

<~ Вьберите нвестпьй контекст инемоеанмя:

|к»1текст ннеиое«*м по умолчанию ' ~

KowwoTep – – –

<* Бызерите нли введите домен и™ сервер: (сервер | домен [lhoct])

15еия03:М0Ю 3

По уно/мв»ю (аомея и/wсервер,накогорьйоыполнен вкод)

Г иакчъхяатъ шифрование на баэе SSL

Допоянительнр... | | OK j Отисна j

Рис. 14-5. Подключение к экземпляру AD LDS в оснастке Редактирование ADSI

3. Щелкните ОК.

Будет установлено подключение к экземпляру. Р а з в е р н и т е все элементы,

чтобы просмотреть содержимое экземпляра. И з у ч и т е в к о н т е к с т н о м меню опе-

рации, которые можно выполнять в экземплярах AD L D S с п о м о щ ь ю оснастки

Редактирование ADSI (ADSI Edit).

После привязки к экземпляру можно создавать в нем о б ъ е к т ы и управлять

ими. Используйте следующую процедуру.

1. Щелкните правой кнопкой мыши различаемое и м я р а з д е л а приложений,

примените команду Создать (New) и выберите э л е м е н т О б ъ е к т (Object).

Откроется диалоговое окно, в котором будут п е р е ч и с л е н ы все доступные

классы объектов в схеме экземпляра.

2. Начните с создания группы пользователей. Н а й д и т е в списке объект Группа

(Group), выберите его и щелкните кнопку Д а л е е ( N e x t ) .

3. Введите имя группы, например Пользователи AD LDS, а затем щелкните

Далее (Next).

4. На следующей странице можете щелкнуть кнопку Д о п о л н и т е л ь н ы е атрибу-

ты (More Attributes), чтобы назначить объекту д о п о л н и т е л ь н ы е значения.

Например, вы можете указать описание группы. В р а с к р ы в а ю щ е м с я списке

Выберите свойство для просмотра (Select A P r o p e r t y То View) выберите

свойство adminDescription. Введите о п и с а н и е в п о л е И з м е н и т ь атрибут

(Edit Attribute), например Группа пользователей AD LDS, щелкните кнопку

Установить (Set), а затем щелкните О К .

5. Щелкните кнопку Готово (Finish), чтобы создать группу. По умолчанию

создается группа безопасности.

Занятие 2

Настройка и использование AD LDS 7 5 7 1 7

6. Теперь создайте пользователя. Щ е л к н и т е правой кнопкой мыши различае-

мое и м я раздела п р и л о ж е н и й , примените команду Создать (New) и щелк-

ните элемент О б ъ е к т ( O b j e c t ) .

7. Н а й д и т е и в ы б е р и т е объект Пользователь (User), а затем щелкните кнопку

Д а л е е ( N e x t ) .

8. Введите и м я пользователя, а затем щелкните Далее (Next).

9. Вы вновь м о ж е т е щелкнуть к н о п к у Дополнительные атрибуты (More Attri-

b u t e s ) , ч т о б ы н а з н а ч и т ь новому объекту дополнительные значения.

10. Щ е л к н и т е к н о п к у Готово (Finish), чтобы создать пользователя.

11. Теперь добавьте этого п о л ь з о в а т е л я в группу. Отыщите группу в панели

сведений, щ е л к н и т е ее правой кнопкой м ы ш и и примените команду Свойс-

тва ( P r o p e r t i e s ) .

12. В д и а л о г о в о м окне Свойства (Properties) найдите свойство member и щел-

к н и т е к н о п к у И з м е н и т ь ( E d i t ) .

13. В д и а л о г о в о м о к н е Р е д а к т о р многозначных строк (Multi-Valued Distin-

guished N a m e W i t h Security Principal Editor) щелкните Добавить различа-

емое и м я D N ( A d d D N ) .

14. В д и а л о г о в о м о к н е Д о б а в л е н и е различаемого имени (Add Distinguished

N a m e ) в в е д и т е р а з л и ч а е м о е и м я созданного пользователя. Например, вве-

дите и м я сп =Джон Kewi,cn=Instance01,dc=contoso,dc=com. Щелкните ОК.

П о л ь з о в а т е л ь будет добавлен в список членов группы.

15. Щ е л к н и т е О К , чтобы з а в е р ш и т ь операцию.

Е с л и вновь открыть свойства группы, пользователь будет перечислен среди

ее членов. Д о б а в л я т ь пользователей и группы в экземпляр таким методом до-

вольно утомительно, но так можно вносить отдельные модификации. В идеале

н у ж н о создавать с п и с к и пользователей и групп, а затем добавлять их в паке-

тах с п о м о щ ь ю к о м а н д CSVDE.exe или LDIFDE.exe. В главе 3 рассказано, как

а в т о м а т и з и р о в а т ь создание пользователей, а в главе 4 описана автоматизация

создания групп.

Работа с э к з е м п л я р а м и с п о м о щ ь ю утилиты LDP.exe

А н а л о г и ч н ы м о б р а з о м с п о м о щ ь ю к о н с о л и LDP.exe можно просматривать

и р е д а к т и р о в а т ь с о д е р ж и м о е экземпляров AD LDS. Как и в случае с инстру-

ментом Р е д а к т и р о в а н и е A D S I ( A D S I Edit), вначале следует подключиться

и п р и в я з а т ь с я к э к з е м п л я р у . Д л я в ы п о л н е н и я административных операций

в э к з е м п л я р е н у ж н о б ы т ь администратором этого экземпляра. Используйте

с л е д у ю щ у ю процедуру.

1. З а п у с т и т е у т и л и т у LDP.exe в командной строке или Диспетчере сервера

(Server M a n a g e r ) в секции Дополнительные инструменты (Advanced Tools)

р о л и С л у ж б ы Active Directory облегченного доступа к каталогам (Active

Dire ctory Lightweight Directory Service).

2. В м е н ю П о д к л ю ч е н и е ( C o n n e c t ) щелкните команду Подключить (Con-

nection).

I 7 1 8 Службы облегченного доступа к каталогам

Глава 14

3. Введите имя сервера, к которому хотите подключиться, и у к а ж и т е номер

используемого порта. Если вы задействуете порт Secure LDAP, установите

флажок SSL. Щелкните ОК.

4. В меню Подключение (Connect) щелкните к о м а н д у П р и в я з к а (Bind).

5. Если ваша учетная запись располагает н е о б х о д и м ы м и р а з р е ш е н и я м и до-

ступа, выберите опцию П р и в я з а т ь как т е к у щ е г о п о л ь з о в а т е л я (Bind As

Currently Logged On User). В противном случае выберите о п ц и ю Привязать

с учетными данными (Bind W i t h Credentials) и в в е д и т е соответствующие

учетные данные. Щелкните ОК.

6. В меню Вид (View) щелкните параметр Д е р е в о (Tree), ч т о б ы заполнить

панель дерева.

7. В диалоговом окне Базовое расширяемое и м я ( D N ) ( B a s e D N ) щ е л к н и т е

раскрывающийся список, чтобы просмотреть р а з л и ч а е м ы е имена, и выбе-

рите имя экземпляра. Щелкните ОК.

На этом этапе панель дерева можно использовать д л я р а б о т ы в н у т р и эк-

земпляра. Разверните различные меню, чтобы просмотреть д о с т у п н ы е опе-

рации, которые можно выполнять с п о м о щ ь ю у т и л и т ы LDP.exe, а затем

закройте окно LDP.exe.

К СВЕДЕНИЮ Использование утилиты LDP.exe для работы с экземплярами AD LDS

Более подробную информацию об утилите LDP.exe можно найти по адресу http://

technet2.microsoft.com/windowsserver2008/en/library/141900a7-445c-4bd3-9ce3-

5ff53d70d10a 1033.mspx.

Работа с экземплярами с помощью схемы Active Directory

С помощью оснастки Схема Active Directory (Active D i r e c t o r y Schema) м о ж н о

создавать настраиваемые консоли для у п р а в л е н и я с х е м а м и э к з е м п л я р о в AD

LDS. Помните, что для использования этой о с н а с т к и в н а ч а л е н е о б х о д и м о

зарегистрировать ее на сервере. Откройте к о м а н д н у ю с т р о к у от и м е н и адми-

нистратора и введите следующую команду:

regsvr32 schmmgmt.dll

Теперь можно загрузить оснастку Схема и просмотреть схему экземпляров.

Используйте учетные данные администратора э к з е м п л я р а .

1. Щелкните меню Пуск (Start) и в окно поиска введите ттс. Н а ж м и т е кла-

вишу Enter.

2. В меню Консоль (File) пустой консоли М М С щ е л к н и т е команду Добавить

или удалить оснастку ( A d d / R e m o v e Snap-in).

3. В списке Доступные оснастки (Available Snap-ins) л о к а л и з у й т е оснастку

Схема Active Directory (Active Directory Schema), щ е л к н и т е кнопку Доба-

вить (Add), а затем щелкните О К .

4. Сохраните консоль под соответствующим именем в необходимом место-

расположении.

'Занятие 2 • пастраикаи-использованиёАо LDS 7 1 9

5. Оснастка Схема по у м о л ч а н и ю привязывается к каталогу доменных служб

Active Directory. Ч т о б ы п р и в я з а т ь ее к экземпляру AD LDS, в панели де-

рева щ е л к н и т е у з е л С х е м а Active D i r e c t o r y (Active Directory Schema)

и примените команду Сменить контроллер домена Active Directory (Change

Active D i r e c t o r y D o m a i n Controller).

6. В диалоговом окне Смена сервера каталогов (Change Directory Server) выбе-

р и т е о п ц и ю Этот к о н т р о л л е р домена или экземпляр AD LDS (This Domain


    Ваша оценка произведения:

Популярные книги за неделю