Текст книги "Настройка Active Directory. Windows Server 2008"

Автор книги: Dan Holme

Соавторы: Danielle Ruest,Nelson Ruest
сообщить о нарушении

Текущая страница: 8 (всего у книги 91 страниц)

"CN-Janes Fine,OU-People,DC=contoso,DC=con"

"CN-James Hendergart,OU-Employees, OU-People, DC-con to so, DC-co m"

"CN-James R. Hamilt on, OU-Employe es,0U -People, DC-con t o s o , DC-con"

"CN=James wan Eaton,OU=Employees,OU=People,DC=contoso.DC=con>"

"CN=Jamie Redingr,OUBEmployees,OU-People,DC=contoso,DC-corn"

Рис. 2-14. Команда Dsquery

Если р а с п о з н а в а е м ы е и м е н а D N н е у д о б н ы д л я п р о с м о т р а р е з у л ь т а т о в , д о -

бавьте в команду. Dsquery п е р е к л ю ч а т е л ь – о . Н а п р и м е р , вы м о ж е т е д о б а в и т ь

п е р е к л ю ч а т е л ь – о samid, ч т о б ы в е р н у т ь р е з у л ь т а т ы с и м е н а м и в х о д а п р е д -

Windows 2000, и л и п е р е к л ю ч а т е л ь – о ирп, ч т о б ы в е р н у т ь с п и с о к U P N – и м е н

g2 Администрирование

Глава 2

Имена DN, RDN и CN

Параметр DN представляет тип пути к объекту в Active Directory. Каждый

объект в Active Directory имеет уникальный параметр DN. Например, пользо-

ватель Джеймс Файи имеет DN-путь CN—James Fine,OU=People,DC=contoso,

DC=com.

Как видите, DN-путь начинается с объекта и доходит до домена верхнего

уровня в пространстве DNS-имен contoso.com. Как мы уже говорили, CN озна-

чает общее имя (Common Name). При создании пользователя данные поля

Полное имя (Full Name) используются для создания общего имени CN объекта

пользователя. Параметр 0U означает подразделение (Organizational Unit),

a DC – компонент домена (Domain Component).

Секция DN до первого 0U или контейнера называется относительным

отличительным именем, или RDN (Relative Distinguished Name). В случае с

Джеймсом Файном именем RDN объекта будет С N "James Fine. Не каждое

RDN-имя становится CN-именем. Именем RDN подразделения People соот-

ветственно станет OU=People.

Поскольку имя DN объекта должно быть уникальным в службе каталогов,

RDN-имя объекта должно быть уникальным внутри своего контейнера. Поэ-

тому при приеме на работу еще одного служащего с именем Джеймс Ф а й н и

размещении объектов обоих пользователей в одном подразделении ( O U ) вто-

рой пользователь получит другое имя CN. Та же логика применяется к файлам

в папке: в одной папке не может быть двух файлов с идентичными именами.

При работе с Active Directory вам часто придется иметь дело с именами DN,

как н в случае с файловыми путями при работе с файлами и папками. Поэтому

нужно уметь читать и интерпретировать имена DN.

Практические занятия. Создание и поиск объектов

в Active Directory

В предложенных далее упражнениях вы создадите и отыщете объекты в Active

Directory. Вы создадите подразделения, пользователей, группы и компьютеры.

Затем вы создадите сохраненный запрос и настроите представление этого со-

храненного запроса. Объекты, созданные в этом упражнении, будут использо-

ваться на других практических занятиях этого руководства.

Упражнение 1. Создание подразделений

Контейнеры Users и Computers, создаваемые по умолчанию, упрощают установ-

ку домена Active Directory и миграцию в него. Рекомендуется создавать под-

разделения в соответствии с моделью управления компанией и использовать

эти подразделения для создания объектов в службе каталогов и управления

ими. В этом упражнении вы создадите подразделения для домена contoso.com.

Они будут использоваться на последующих практических занятиях данного

руководства.

1. Войдите на машину SERVER01 как администратор.

2. Откройте оснастку Active Directory – пользователи и компьютеры (Active

Directory Users And Computers).

Занятие 2

Создание объектов в Active Directory

63" т

3. Разверните у з е л домена.

4. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и у з е л домена, выберите опцию Создать

(New) и п р и м е н и т е к о м а н д у П о д р а з д е л е н и е (Organizational U n i t ) .

5. Введите д л я п о д р а з д е л е н и я и м я Кадры.

6. Установите ф л а ж о к З а щ и т и т ь к о н т е й н е р от случайного у д а л е н и я ( P r o t e c t

Cont ainer F r o m A c c i d e n t a l D e l e t i o n ) .

7. Щ е л к н и т е О К .

8. Щ е л к н и т е п о д р а з д е л е н и е п р а в о й к н о п к о й м ы ш и и п р и м е н и т е к о м а н д у

Свойства ( P r o p e r t i e s ) .

9. В п о л е О п и с а н и е ( D e s c r i p t i o n ) в в е д и т е Неадминистратиеные пользова-

тельские объекты идентификации.

10. Щ е л к н и т е О К .

11. П о в т о р и т е ш а г и 2 – 1 0 , ч т о б ы с о з д а т ь с л е д у ю щ и е п о д р а з д е л е н и я .

Имя Описание

Клиенты Клиентские компьютеры

Группы Неадминистративные группы

Администраторы Административные объекты

идентификации и группы

Серверы Серверы

Упражнение 2. Создание пользователей

Теперь созданные в д о м е н е c o n t o s o . c o m п о д р а з д е л е н и я м о ж н о з а п о л н и т ь объек-

тами. В э т о м у п р а ж н е н и и вы с о з д а д и т е н е с к о л ь к о п о л ь з о в а т е л е й в д в у х под-

р а з д е л е н и я х , с о з д а н н ы х в у п р а ж н е н и и 1. Э т и о б ъ е к т ы п о л ь з о в а т е л е й будут

п р и м е н я т ь с я н а п о с л е д у ю щ и х п р а к т и ч е с к и х з а н я т и я х д а н н о г о р у к о в о д с т в а .

1. В о й д и т е на м а ш и н у S E R V E R 0 1 к а к а д м и н и с т р а т о р и о т к р о й т е о с н а с т к у

Active D i r e c t o r y – п о л ь з о в а т е л и и к о м п ь ю т е р ы ( A c t i v e D i r e c t o r y Users And

C o m p u t e r s ) .

2 . С л е д у й т е и н с т р у к ц и я м и з п о д р а з д е л а « С о з д а н и е о б ъ е к т а п о л ь з о в а т е л я »

(см. ранее в э т о й г л а в е ) и с о з д а й т е в п о д р а з д е л е н и и Кадры у к а з а н н ы х н и ж е

пользователей. Д л я к а ж д о г о п о л ь з о в а т е л я п р е д у с м о т р и т е с л о ж н ы й безопас-

н ы й п а р о л ь . З а п о м н и т е н а з н а ч е н н ы е п а р о л и , п о с к о л ь к у в ы будете в х о д и т ь

в систему с п о м о щ ь ю э т и х у ч е т н ы х з а п и с е й на п о с л е д у ю щ и х п р а к т и ч е с к и х

з а н я т и я х д а н н о г о р у к о в о д с т в а .

3. В дереве к о н с о л и р а з в е р н и т е у з е л д о м е н а c o n t o s o . c o m и в ы б е р и т е п о д р а з -

д е л е н и е К а д р ы .

4 . Щ е л к н и т е п р а в о й к н о п к о й м ы ш и п о д р а з д е л е н и е К а д р ы , в ы б е р и т е о п ц и ю

Создать ( N e w ) и п р и м е н и т е к о м а н д у П о л ь з о в а т е л ь ( U s e r ) .

О т к р о е т с я д и а л о г о в о е о к н о Н о в ы й о б ъ е к т – п о л ь з о в а т е л ь ( N e w O b j e c t —

User).

5. В поле И м я ( F i r s t N a m e ) в в е д и т е д л я п о л ь з о в а т е л я и м я Дэн.

64 Администрирование

Глава 2

6. В поле Фамилия (Last Name) введите фамилию Холме.

7. В поле Имя входа пользователя (User Logon Name) введите и м я dholme.

8. В поле Имя входа пользователя (пред-Windows 2000) ( U s e r Logon N a m e

(Pre-Windows 2000)) введите имя dholme.

9. Щелкните кнопку Далее (Next).

10. Введите начальный пароль пользователя в поля Пароль ( P a s s w o r d ) и Под-

тверждение (Confirm Password). Политика паролей домена Active D i r e c tor y

по умолчанию требует назначить пароль как м и н и м у м из семи с и м в о л о в .

Кроме того, пароль должен содержать три из четырех т и п о в с и м в о л о в :

прописные буквы ( A – Z ) , строчные буквы ( a – z ) , ц и ф р ы ( 0 – 9 ) и о с о б ы е

символы (такие, как, например, I, #, $, %). Пароль не может с о д е р ж а т ь

атрибуты имени пользователя.

Запомните пароль, назначенный пользователю, поскольку эта у ч е т н а я за-

пись понадобится вам на практических занятиях далее в этом р у к о в о д с т в е .

Во многих руководствах рекомендуется использовать г р у п п о в о й п а р о л ь ,

например, P@ssword. Такой пароль можно использовать на п р а к т и ч е с к и х

занятиях данного руководства, но рекомендуется создавать у н и к а л ь н ы е

пароли даже в упражнениях, чтобы следовать корректным методикам и в ла-

бораторной среде.

11. Установите флажок Требовать смену пароля при следующем входе в систему

(User Must Change Password At Next Logon).

12. Щелкните кнопку Далее (Next).

13. Просмотрите введенные параметры и щелкните кнопку Готово ( F i n i s h ) .

14. Щелкните правой кнопкой мыши созданный объект п о л ь з о в а т е л я и при-

мените команду Свойства (Properties).

15. Просмотрите атрибуты, которые можно к о н ф и г у р и р о в а т ь в д и а л о г о в о м

окне свойств. Не изменяйте пока свойства пользователя.

16. Щелкните ОК.

17. Повторите шаги 3 – 1 2 и создайте следующих пользователей в п о д р а з д е л е -

нии Кадры.

• Джеймс Файн

• Имя (First Name): Джеймс;

• Фамилия (Last Name): Файн;

• Полное имя (Full Name): Джеймс Файн;

• Имя входа пользователя (User Logon Name): jfine.

• Барбара Майер

• Имя: Барбара;

• Фамилия: Майер;

• Полное имя: Барбара Майер;

• Имя входа пользователя: bmayer;

• Имя входа пользователя пред-Windows 2000: bmayer.

Занятие 2

Создание объектов в Active Directory

65" т

ш Барбара М о р л е н д

• И м я : Б а р б а р а ;

• Ф а м и л и я : М о р л е н д ;

• П о л н о е и м я : Б а р б а р а М о р л е н д ;

а И м я в х о д а п о л ь з о в а т е л я : bmorelend;

а И м я в х о д а п о л ь з о в а т е л я п р е д – W i n d o w s 2000: bmorelend.

18. Еще раз п о в т о р и т е ш а г и 3 – 1 2 : с о з д а й т е в подразделении Кадры учетную

запись д л я себя. С о з д а й т е с л о ж н ы й б е з о п а с н ы й пароль и запомните его,

п о с к о л ь к у эта у ч е т н а я з а п и с ь будет и с п о л ь з о в а т ь с я в других упражнениях

данного р у к о в о д с т в а .

19. Снова повторите ш а г и 3 – 1 2 и создайте д л я себя административную учетную

з а п и с ь в п о д р а з д е л е н и и А д м и н и с т р а т о р ы . Этой учетной записи будут пре-

д о с т а в л е н ы а д м и н и с т р а т и в н ы е п р и в и л е г и и . Создайте объект пользователя

в п о д р а з д е л е н и и А д м и н и с т р а т о р ы , а не в подразделении Кадры. В качестве

имени входа п о л ь з о в а т е л я д л я а д м и н и с т р а т и в н о й учетной записи возьмите

и м я и ф а м и л и ю с с у ф ф и к с о м _ a d m i n , н а п р и м е р d h o l m e _ a d m i n . Создайте

с л о ж н ы й б е з о п а с н ы й п а р о л ь и з а п о м н и т е его, поскольку эта учетная запись

будет з а д е й с т в о в а н а в д р у г и х у п р а ж н е н и я х д а н н о г о руководства.

Упражнение 3. Создание компьютеров

Учетные з а п и с и к о м п ь ю т е р о в н у ж н о с о з д а т ь до п р и с о е д и н е н и я м а ш и н к до-

мену. В э т о м у п р а ж н е н и и вы с о з д а д и т е н е с к о л ь к о к о м п ь ю т е р о в в двух под-

р а з д е л е н и я х , с о з д а н н ы х в у п р а ж н е н и и 1. Э т и о б ъ е к т ы к о м п ь ю т е р о в будут

и с п о л ь з о в а т ь с я в д р у г и х у п р а ж н е н и я х д а н н о г о р у к о в о д с т в а .

1. В о й д и т е на м а ш и н у S E R V E R 0 1 к а к а д м и н и с т р а т о р и о т к р о й т е оснастку

Active D i r e c t o r y – п о л ь з о в а т е л и и к о м п ь ю т е р ы (Active D i r e c t o r y Users and

C o m p u t e r s ) .

2. В дереве к о н с о л и р а з в е р н и т е у з е л д о м е н а c o n t o s o . c o m и в ы б е р и т е подраз-

д е л е н и е С е р в е р ы .

3 . Щ е л к н и т е п р а в о й к н о п к о й м ы ш и п о д р а з д е л е н и е Серверы, выберите о п ц и ю

Создать ( N e w ) и п р и м е н и т е к о м а н д у К о м п ь ю т е р ( C o m p u t e r ) .

О т к р о е т с я д и а л о г о в о е о к н о Н о в ы й о б ъ е к т – К о м п ь ю т е р ( N e w O b j e c t —

C o m p u t e r ) .

4 . В п о л е И м я к о м п ь ю т е р а ( C o m p u t e r N a m e ) в в е д и т е д л я к о м п ь ю т е р а и м я

FILESER VER01.

Д а н н ы е а в т о м а т и ч е с к и б у д у т в в е д е н ы в п о л е И м я к о м п ь ю т е р а ( п р е д – W i n -

dows 2000) ( C o m p u t e r N a m e ( P r e – W i n d o w s 2 0 0 0 ) ) .

5. He м е н я й т е и м я в п о л е И м я к о м п ь ю т е р а ( п р е д – W i n d o w s 2000).

6. О б р а т и т е в н и м а н и е на у ч е т н у ю з а п и с ь , у к а з а н н у ю в т е к с т о в о м п о л е И м я •

п о л ь з о в а т е л я и л и г р у п п ы ( U s e r O r G r o u p Field). H e м е н я й т е п о к а эту учет-

н у ю запись.

7 . Н е у с т а н а в л и в а й т е ф л а ж о к Н а з н а ч и т ь у ч е т н о й з а п и с и статус п р е д – W i n -

dows 2000 (Assign This C o m p u t e r A c c o u n t As A P r e – W i n d o w s 2000 C o m p u t e r ) .

66

Администрирование

Глава 2

8. Щелкните ОК.

9. Щелкните правой кнопкой мыши компьютер и примените команду Свойс-

тва (Properties).

10. Просмотрите доступные свойства компьютера. Не м е н я й т е пока д а н н ы е

атрибуты.

И. Щелкните ОК.

12. Повторите шаги 3 – 8 и создайте два объекта компьютеров:

• SHAREPOINT02;

• EXCHANGE03.

13. Повторите шаги 3 – 8 и создайте еще три объекта к о м п ь ю т е р о в в подразде-

лении Клиенты:

• DESKTOPlOl;

« DESKTOP102;

• LAPTOP103.

Упражнение 4. Создание групп

Объектами лучше всего управлять с помощью групп. В д а н н о м у п р а ж н е н и и

вы создадите несколько групп в двух подразделениях, с о з д а н н ы х в у п р а ж -

нении 1. Эти группы будут использоваться на п р а к т и ч е с к и х з а н я т и я х д а л е е

в настоящем руководстве.

1. Войдите на машину SERVER01 как администратор и о т к р о й т е оснастку

Active Directory – пользователи и компьютеры (Active Directory Users And

Computers).

2. В дереве консоли разверните узел домена contoso.com и в ы б е р и т е п о д р а з -

деление Группы.

3. Щелкните подразделение Группы правой кнопкой мыши, в ы б е р и т е о п ц и ю

Создать (New) и примените команду Группа ( G r o u p ) .

Откроется диалоговое окно Новый объект – Группа (New O b j e c t – G r o u p ) .

4. В текстовое поле Имя группы (Group Name) введите д л я г р у п п ы и м я Фи-

нансы.

5. Не меняйте имя в поле Имя группы (пред-Windows 2 0 0 0 ) ( G r o u p N a m e

(Pre-Windows 2000)).

6. Выберите для группы тип Группа безопасности (Security).

7. Выберите область действия Глобальная (Global).

8. Щелкните ОК.

Многие свойства объектов групп можно конфигурировать. Э т и свойства

можно определить после создания объекта.

9. Щелкните группу правой кнопкой мыши и примените к о м а н д у С в о й с т в а

(Properties).

10. Просмотрите доступные свойства группы. Не меняйте пока эти атрибуты.

11. Щелкните ОК.

Занятие 2

Создание объектов в Active Directory 67" т

12. Повторите ш а г и 3 – 8 д л я с о з д а н и я с л е д у ю щ и х г л о б а л ь н ы х групп безопас-

ности в п о д р а з д е л е н и и Группы:

• Ф и н а н с о в ы е м е н е д ж е р ы ;

• Продажи;

• A P P _ O f f i c e 2007.

13. Повторите ш а г и 3 – 8 и с о з д а й т е две г л о б а л ь н ы е г р у п п ы безопасности в под-

разделении А д м и н и с т р а т о р ы :

• Справка;

• А д м и н и с т р а т о р ы W i n d o w s .

Упражнение 5. Добавление пользователей и компьютеров в группы

Теперь в созданные г р у п п ы м о ж н о д о б а в л я т ь объекты в качестве членов. В этом

у п р а ж н е н и и вы д о б а в и т е в г р у п п ы к о м п ь ю т е р ы и пользователей. З а о д н о вы

попрактикуетесь в п о и с к е о б ъ е к т о в Active D i r e c t o r y с п о м о щ ь ю диалогового

окна в ы б о р а о б ъ е к т о в .

1. В о й д и т е на м а ш и н у S E R V E R 0 1 к а к а д м и н и с т р а т о р и откройте оснастку

Active D i r e c t o r y – п о л ь з о в а т е л и и к о м п ь ю т е р ы (Active Directory Users and

C o m p u t e r s ) .

2. О т к р о й т е с в о й с т в а с в о е й а д м и н и с т р а т и в н о й учетной записи в подразделе-

н и и А д м и н и с т р а т о р ы .

3 . П е р е й д и т е н а в к л а д к у Ч л е н г р у п п ( M e m b e r O f ) .

4 . Щ е л к н и т е к н о п к у Д о б а в и т ь ( A d d ) .

5. В д и а л о г о в о е о к н о В ы б о р : "Группы" (Select G r o u p s ) введите имя Админис-

траторы домена (Domain Admins).

6. Щ е л к н и т е О К .

7. Вновь щ е л к н и т е О К, ч т о б ы з а к р ы т ь о к н о свойств учетной записи.

8. О т к р о й т е с в о й с т в а г р у п п ы С п р а в к а в п о д р а з д е л е н и и Администраторы.

9 . П е р е й д и т е н а в к л а д к у Ч л е н ы г р у п п ы ( M e m b e r s ) .

10. Щ е л к н и т е к н о п к у Д о б а в и т ь ( A d d ) .

11. В д и а л о г о в о е о к н о В ы б о р ( S e l e c t ) в в е д и т е и м я Барб.

12. Щ е л к н и т е к н о п к у П р о в е р и т ь и м е н а ( C h e c k N a m e s ) .

О т к р о е т с я д и а л о г о в о е о к н о Н а й д е н о н е с к о л ь к о и м е н ( M u l t i p l e N a m e s

F o u n d ) .

13. В ы б е р и т е и м я Б а р б а р а М а й е р и щ е л к н и т е О К .

14. Щ е л к н и т е О К , ч т о б ы з а к р ы т ь д и а л о г о в о е о к н о Выбор (Select).

15. Вновь щ е л к н и т е О К, ч т о б ы з а к р ы т ь о к н о с в о й с т в г р у п п ы .

16. О т к р о й т е с в о й с т в а г р у п п ы A P P _ O f f i c e 2007 в п о д р а з д е л е н и и Группы.

17. П е р е й д и т е н а в к л а д к у Ч л е н ы г р у п п ы ( M e m b e r s ) .

18. Щ е л к н и т е к н о п к у Д о б а в и т ь ( A d d ) .

19. В д и а л о г о в о е о к н о В ы б о р ( S e l e c t ) в в е д и т е и м я DESKTOP1Q1.

6 8

Администрирование

Глава 2

20. Щелкните кнопку Проверить име н а ( C h e c k N a m e s ) . •

Откроется диалоговое окно И м я не найдено ( N a m e N o t F o u n d ) с сообще-

нием о том, что указанный объект нельзя р а з р е ш и т ь .

21. Щелкните кнопку Отмена (Cancel), чтобы з а к р ы т ь д и а л о г о в о е о к н о И м я

не найдено.

22. В окне Выбор (Select) щ е л к н и т е к н о п к у Т и п ы о б ъ е к т о в ( O b j e c t Types).

23. Выберите тип объектов К о м п ь ю т е р ы ( C o m p u t e r s ) и щ е л к н и т е О К .

24. Щелкните кнопку П р о в е р и т ь имена ( C h e c k N a m e s ) . Т е п е р ь и м я б у д е т раз-

решено в окне Выбор (Select).

25. Щелкните О К .

Упражнение 6. Поиск объектов в Active Directory

Чтобы отыскать о б ъ е к т ы в с л у ж б е к а т а л о г о в д о м е н а , и н о г д а э ф ф е к т и в н е е

использовать ф у н к ц и и поиска, чем о т к р ы в а т ь с т р у к т у р у п о д р а з д е л е н и й и ис-

кать объект вручную. В этом у п р а ж н е н и и вы з а д е й с т в у е т е т р и и н т е р ф е й с а д л я

поиска объектов в Active Directory.

1. Войдите на машину S E R V E R 0 1 и о т к р о й т е о с н а с т к у A c t i v e D i r e c t o r y —

пользователи и компьютеры (Active D i r e c t o r y Users a n d C o m p u t e r s ) .

2. Щелкните кнопку П о и с к объектов в д о м е н н ы х с л у ж б а х A c t i v e D i r e c t o r y

(Find Objects In Active Directory D o m a i n Services).

3. В раскрывающемся списке Где ( I n ) в ы б е р и т е д о м е н c o n t o s o . c o m .

4. В поле И м я (Name) введите Барб.

5. Щелкните кнопку Н а й т и ( F i n d N o w ) .

6. В результатах поиска отобразятся два п о л ь з о в а т е л я с и м е н е м Б а р б а р а .

7. Закройте окно поиска.

8. В главном меню откройте окно Сеть ( N e t w o r k ) .

9. Щелкните кнопку П о и с к в Active D i r e c t o r y ( S e a r c h Active D i r e c t o r y ) .

10. Повторите шаги 3 – 7 .

11. В оснастке Active Directory – пЬльзователи и к о м п ы о т е р ы ( Active Directory

Users and Computers) щ е л к н и т е п р а в о й к н о п к о й м ы ш и у з е л С о х р а н е н н ы е

поиски (Saved Queries), выберите о п ц и ю С о з д а т ь ( N e w ) и п р и м е н и т е ко-

манду Запрос ( Q u e r y ) .

Если узел сохраненных запросов не отображается, з а к р о й т е к о н с о л ь и от-

кройте оснастку Active D i r e c t o r y – п о л ь з о в а т е л и и к о м п ь ю т е р ы в папке

Администрирование (Administrative Tools) п а н е л и у п р а в л е н и я .

12. В поле И м я (Name) введите Все пользователи.

13. В поле Описание (Description) введите описание Пользователи всего домена.

14. Щелкните кнопку Запрос ( D e f i n e Q u e r y ) .

15. На вкладке Пользователи ( U s e r s ) в ы б е р и т е в п о л е И м я ( N a m e ) п а р а м е т р

Имеет значение ( H a s A Value).

16. Дважды щелкните OK, чтобы з а к р ы т ь д и а л о г о в ы е окна.

Занятие 2

О т о б р а з я т с я р е з у л ь т а т ы сохраненного запроса с данными пользователей

п о д р а з д е л е н и й К а д р ы и Администраторы.

17. В м е н ю В и д ( V i e w ) п р и м е н и т е команду Добавить или удалить столбцы

. ( A d d / R e m o v e C o l u m n s ) .

18. В с п и с к е И м е ю щ и е с я столбцы (Available Columns) выберите столбец Фа-

м и л и я ( L a s t N a m e ) и щ е л к н и т е кнопку Добавить (Add).

19. В с п и с к е О т о б р а ж а е м ы е столбцы (Displayed Columns) выберите Тип (Туре)

и щ е л к н и т е к н о п к у Удалить (Remove).

20. Щ е л к н и т е О К .

21. П е р е т а щ и т е з а г о л о в о к столбца Ф а м и л и я (Last Name) и расположите его

м е ж д у с т о л б ц а м и И м я ( N a m e ) и Описание (Description).

22. Щ е л к н и т е з а г о л о в о к столбца Ф а м и л и я (Last Name), чтобы автоматически

о т с о р т и р о в а т ь п о л ь з о в а т е л е й по фамилии.

Резюме

• П о д р а з д е л е н и я о р г а н и з а ц и и (Organizational Unit) представляют собой

а д м и н и с т р а т и в н ы е контейнеры, содержащие объекты с идентичными требо-

в а н и я м и а д м и н и с т р и р о в а н и я , конфигурации н видимости. Подразделения

о б е с п е ч и в а ю т д о с т у п к к о л л е к ц и я м пользователей, групп, компьютеров и

д р у г и х о б ъ е к т о в и у п р а в л е н и е ими. Подразделению нельзя предоставлять

р а з р е ш е н и я д о с т у п а к ресурсам, например к общей папке.

• П р и с о з д а н и и т а к о г о объекта, как пользователь, компьютер пли группа,

м о ж н о к о н ф и г у р и р о в а т ь л и ш ь немногие его свойства. После создания

о б ъ е к т а м о ж н о о т к р ы т ь его свойства и отконфигурировать атрибуты, не-

д о с т у п н ы е п р и с о з д а н и и .

• Т а к и е с в о й с т в а объекта, как Описание (Description), Управляется (Managed

B y ) и З а м е т к и ( N o t e s ) , м о ж н о применять для документирования важных

с в е д е н и й о б о б ъ е к т е .

• По у м о л ч а н и ю подразделения создаются с защитой от случайного удаления.

Ч т о б ы о т м е н и т ь защиту, н у ж н о включить Дополнительные компоненты

( A d v a n c e d F e a t u r e s ) в меню Вид (View), а затем в окне свойств подразде-

л е н и я п е р е й т и на в к л а д к у Объект (Object) н отключить защиту.

Закрепление материала

С л е д у ю щ и й в о п р о с м о ж н о использовать для проверки знаний, полученных на

з а н я т и и 2. Э т о т в о п р о с есть на сопроводительном компакт-диске.

П Р И М Е Ч А Н И Е Ответы

Ответ на этот вопрос с пояснениями, почему тот или иной вариант ответа правилен

или неверен, вы найдете в разделе «Ответы» в конце книги.

1. Вы о т к р ы л и к о м а н д н у ю строку с помощью команды Запуск от имени ад-

м и н и с т р а т о р а ( R u n As Administrator) и учетных данных в группе Адми-

н и с т р а т о р ы д о м е н а ( D o m a i n Admins). Вы используете команду Dsrm для

70 Администрирование Глава 2

удаления подразделения, случайно созданного Джеймсом – членом группы

Администраторы (Administrators) домена, но получаете ошибку из-за отказа

в доступе. Какова причина ошибки?

A. Для выполнения задач Active Directory вы должны запустить окно ко-

мандной строки как член группы Администраторы ( A d m i n i s t r a t o r s ) .

Б. Только администраторы могут удалять подразделения.

B. Только владелец может удалить подразделение.

Г. Подразделение защищено от удаления.

Занятие 3. Делегирование и безопасность объектов

Active Directory

На предыдущих занятиях в этой главе мы говорили, как создавать о б ъ е к т ы

пользователей, компьютеров, групп и подразделений, а также как п о л у ч а т ь

доступ к свойствам этих объектов. Ваши возможности в ы п о л н я т ь эти з а д а н и я

зависят от того, входите ли вы в группу Администраторы (Administrators) в до-

мене. Каждому пользователю в группе технической поддержки не о б я з а т е л ь н о

быть членом группы администраторов в домене, чтобы в ы п о л н я т ь п р о с т ы е

задания, такие как сброс пользовательских паролей и р а з б л о к и р о в а н и е учет-

ных записей пользователей. Вместо этого следует каждой роли в о р г а н и з а ц и и

предоставить разрешение выполнять задачи этой роли без д о п о л н и т е л ь н ы х

привилегий. На этом занятии мы обсудим, как делегировать к о н к р е т н ы е ад-

министративные задачи в Active Directory путем изменения списков к о н т р о л я

доступа ACL (Access Control List) для объектов Active Directory.

Изучив материал этого занятия, вы сможете:

S Описать цели делегирования при выполнении бизнес-задач.

S Назначать разрешения доступа к объектам Active Directory с помощью поль-

зовательских интерфейсов редактора безопасности, а также Мастера делеги-

рования и управления (Delegation of Control Wizard).

S Просматривать н создавать отчеты по разрешениям доступа к объектам Acti-

ve Directory с помощью пользовательских интерфейсов и инструментов ко-

мандной строки.

S Оценивать действующие разрешения доступа для пользователя и группы.

Сбрасывать разрешения доступа к объекту и восстанавливать параметры по

умолчанию.

S Описывать связь между делегированием и проектированием подразделений.

Продолжительность занятия – около 35 мин.

Делегирование

В большинстве организаций администраторов несколько, и по мере роста ор-

ганизации административные задачи распределяются среди а д м и н и с т р а т о р о в

или служб поддержки. Например, во многих организациях служба технической

Занятие 3

Делегирование и безопасность объектов Active Directory

7 1

поддержки м о ж е т с б р а с ы в а т ь п а р о л и и с н и м а т ь б л о к и р о в к у у ч е т н ы х записей

пользователей. Э т и ф у н к ц и и с л у ж б ы п о д д е р ж к и – делегированные админист-

ративные задачи. О б ы ч н о с л у ж б а т е х н и ч е с к о й п о д д е р ж к и не может создавать

новые у ч е т н ы е з а п и с и п о л ь з о в а т е л е й , зато может вносить и з м е н е н и я в сущес-

т в у ю щ и е у ч е т н ы е з а п и с и п о л ь з о в а т е л е й .

Все о б ъ е к т ы Active Directory, н а п р и м е р пользователи, компьютеры и груп-

пы, с о з д а н н ы е на п р е д ы д у щ е м з а н я т и и , м о г у т б ы т ь з а щ и щ е н ы с п о м о щ ь ю

списка р а з р е ш е н и й . Т а к и м о б р а з о м , с л у ж б е г р у п п ы т е х н и ч е с к о й п о д д е р ж к и

п р е д о с т а в л я е т с я р а з р е ш е н и е сброса п а р о л е й п о л ь з о в а т е л ь с к и х объектов. Эти

р а з р е ш е н и я д л я о б ъ е к т а н а з ы в а ю т с я записями контроля доступа АСЕ (Access

Control E n t r y ) и н а з н а ч а ю т с я п о л ь з о в а т е л я м , г р у п п а м и компьютерам ( т а к на-

з ы в а е м ы м принципалам безопасности). З а п и с и АСЕ х р а н я т с я в дискреционном

списке к о н т р о л я д о с т у п а D A C L ( D i s c r e t i o n a r y Access C o n t r o l List). С п и с о к

D A C L – э т о с о с т а в л я ю щ а я с п и с к а A C L о б ъ е к т а , к о т о р ы й т а к ж е с о д е р ж и т

с и с т е м н ы й с п и с о к к о н т р о л я д о с т у п а S A C L ( S y s t e m Access C o n t r o l List) с пара-

метрами аудита. Э т а м о д е л ь п о х о ж а на м о д е л ь р а з р е ш е н и й доступа к ф а й л а м

и папкам, по к р а й н е й мере ее т е р м и н ы и к о н ц е п ц и и и д е н т и ч н ы .

Д е л е г и р о в а н и е а д м и н и с т р а т и в н о г о к о н т р о л я , к о т о р о е т а к ж е н а з ы в а е т с я

д е л е г и р о в а н и е м к о н т р о л я и л и просто д е л е г и р о в а н и е м , означает л и ш ь назначе-

ние р а з р е ш е н и й у п р а в л я т ь д о с т у п о м к объектам и свойствам в Active Directory.

А н а л о г и ч н о п р е д о с т а в л е н и ю г р у п п е п р а в а и з м е н я т ь ф а й л ы в папке, ч л е н ы

г р у п п ы п о л у ч а ю т р а з р е ш е н и е с б р а с ы в а т ь п а р о л и о б ъ е к т о в пользователей.

Просмотр списка ACL объекта Active Directory

Н а н и ж н е м у р о в н е н а х о д и т с я с п и с о к A C L о т д е л ь н о г о объекта п о л ь з о в а т е л я

в Active D i r e c t o r y . В ы м о ж е т е п р о с м о т р е т ь с п и с о к A C L объекта, в ы п о л н и в

такие д е й с т в и я .

1. О т к р о й т е о с н а с т к у Active D i r e c t o r y – п о л ь з о в а т е л и и к о м п ь ю т е р ы (Active

D i r e c t o r y U s e r s And C o m p u t e r s ) .

2 . Щ е л к н и т е м е н ю В и д ( V i e w ) и в ы б е р и т е Д о п о л н и т е л ь н ы е к о м п о н е н т ы

( A d v a n c e d F e a t u r e s ) .

3. Щ е л к н и т е о б ъ е к т п р а в о й к н о п к о й м ы ш и и п р и м е н и т е к о м а н д у С в о й с т в а

( P r o p e r t i e s ) .

4. П е р е й д и т е на в к л а д к у Б е з о п а с н о с т ь ( S e c u r i t y ) .

Е с л и д о п о л н и т е л ь н ы е к о м п о н е н т ы н е в к л ю ч е н ы , в ы н е у в и д и т е в к л а д к у

Б е з о п а с н о с т ь в д и а л о г о в о м о к н е С в о й с т в а о б ъ е к т а (рис. 2-15).

5 . Щ е л к н и т е к н о п к у Д о п о л н и т е л ь н о ( A d v a n c e d ) .

В к л а д к а Б е з о п а с н о с т ь с о д е р ж и т в ы с о к о у р о в н е в ы е д а н н ы е п р и н ц и п а л о в

б е з о п а с н о с т и с р а з р е ш е н и я м и д о с т у п а к объекту, но в случае со с п и с к а м и

ACL на вкладке безопасности очень редко есть достаточно подробные сведе-

ния, н е о б х о д и м ы е д л я и н т е р п р е т а ц и и и у п р а в л е н и я с п и с к о м ACL. Поэтому

следует щ е л к н у т ь к н о п к у Д о п о л н и т е л ь н о , ч т о б ы о т к р ы т ь д и а л о г о в о е о к н о

Д о п о л н и т е л ь н ы е п а р а м е т р ы б е з о п а с н о с т и ( A d v a n c e d S e c u r i t y S e t t i n g s ) .

Глаоа 2

Рис. 2-15. Вкладка Безопасность (Security) диалогового окна свойств обьекта

Па рис. 2-16 показано диалоговое окно с д о п о л н и т е л ь н ы м и п а р а м е т р а м и

безопасности объекта.

Рис. 2-16. Дополнительные параметры безопасности объекта Active Directory

Вкладка Разрешения (Permissions) диалогового окна д о п о л н и т е л ь н ы х па-

раметров безопасности содержит список DACL объекта. Как п о к а з а н о на

рис. 2.16, в ней перечислены записи АСЕ. В этом диалоговом окне не отоб-

ражаются отдельные записи АСЕ списка DACL. Например, запись разреше-

ния, выбранная на рис. 2-16, на самом деле состоит из двух записей АСЕ.