Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 86 (всего у книги 91 страниц)
19. Щ е л к н и т е к н о п к у Готово ( F i n i s h ) , ч т о б ы з а в е р ш и т ь о п е р а ц и ю .
Т е п е р ь W o o d g r o v e B a n k д о л ж е н б ы т ь у к а з а н к а к п а р т н е р п о у ч е т н ы м за-
п и с я м . Р е а л и з а ц и я A D F S з а в е р ш е н а .
Резюме
• П о с к о л ь к у A D F S и с п о л ь з у е т б е з о п а с н ы е к о м м у н и к а ц и и , к а ж д ы й сервер
в п а р т н е р с т в е A D F S д о л ж е н д о в е р я т ь к о р н е в о м у с е р т и ф и к а т у , к о т о р ы й
п р и м е н я л с я д л я в ы д а ч и с е р т и ф и к а т о в к а ж д о м у с е р в е р у в р а з в е р т ы в а н и и .
В с л у ч а е п р и м е н е н и я с а м о з а в е р я ю щ и х с е р т и ф и к а т о в к а ж д ы й и з н и х необ-
х о д и м о э к с п о р т и р о в а т ь , а з а т е м и м п о р т и р о в а т ь в с о о т в е т с т в у ю щ и е храни-
л и щ а д о в е р е н н ы х ц е н т р о в с е р т и ф и к а ц и и н а с е р в е р е .
• П р и н а с т р о й к е п а р т н е р с к и х о т н о ш е н и й в н а ч а л е н е о б х о д и м о создать при-
л о ж е н и я , п о д д е р ж и в а ю щ и е у т в е р ж д е н и я , и н а з н а ч и т ь к о н к р е т н ы е утверж-
д е н и я д л я к а ж д о г о п а р т н е р а .
• П о с л е с о з д а н и я у т в е р ж д е н и й н у ж н о и д е н т и ф и ц и р о в а т ь х р а н и л и щ е ката-
л о г о в , к о т о р о е б у д е т и с п о л ь з о в а т ь с я к а ж д ы м с е р в е р о м ф е д е р а ц и и в раз-
в е р т ы в а н и и .
• М е ж д у д в у м я п а р т н е р а м и с о з д а е т с я д о в е р и е ф е д е р а ц и и . Д л я этого н у ж н о
п о д г о т о в и т ь п о л и т и к у д о в е р и я н а к а ж д о м сервере, э к с п о р т и р о в а т ь поли-
т и к у д о в е р и я с с е р в е р а ф е д е р а ц и и у ч е т н ы х з а п и с е й и и м п о р т и р о в а т ь ее на
с е р в е р ф е д е р а ц и и р е с у р с о в . З а т е м п о л и т и к у д о в е р и я м о ж н о использовать
д л я н а з н а ч е н и я у т в е р ж д е н и й о р г а н и з а ц и и у ч е т н ы х записей. Ч т о б ы завер-
ш и т ь с о з д а н и е д о в е р и я ф е д е р а ц и и , н е о б х о д и м о э к с п о р т и р о в а т ь партнер-
с к у ю п о л и т и к у с с е р в е р а ф е д е р а ц и и р е с у р с о в , а з а т е м и м п о р т и р о в а т ь ее
н а с е р в е р ф е д е р а ц и и у ч е т н ы х з а п и с е й . Н а э т о м э т а п е б у д е т создана парт-
н е р с к а я с в я з ь .
Закрепление материала
П р и в е д е н н ы й д а л е е в о п р о с п р е д н а з н а ч е н д л я п р о в е р к и з н а н и й , п о л у ч е н н ы х
н а з а н я т и и 2 ( э т о т в о п р о с с о д е р ж и т с я т а к ж е н а с о п р о в о д и т е л ь н о м компакт-
д и с к е ) .
ПРИМЕЧАНИЕ Ответы
О т в е т ы на э т и в о п р о с ы с п о я с н е н и я м и , почему тот или иной вариант является
п р а в и л ь н ы м и л и н е п р а в и л ь н ы м , вы найдете в разделе «Ответы» в конце книги.
1. Вы р а б о т а е т е а д м и н и с т р а т о р о м в д о м е н е c o n t o s o . c o m . Ваша о р г а н и з а ц и я
п р и н я л а р е ш е н и е с о з д а т ь ф е д е р а т и в н о е п а р т н е р с т в о с W o o d g r o v e Bank,
ч т о б ы с п о м о щ ь ю ф е д е р а ц и и у д о с т о в е р е н и й п о л у ч а т ь д о с т у п к новому
п р и л о ж е н и ю в д е м и л и т а р и з о в а н н о й з о н е ( с е т и по п е р и м е т р у ) банка. Сер-
в е р ы ф е д е р а ц и и и п р о к с и – с е р в е р ы ф е д е р а ц и и у ж е у с т а н о в л е н ы , однако
г 36 Службы федерации Active Directory
Глава 17
д л я в к л ю ч е н и я ф е д е р а ц и и у д о с т о в е р е н и и н е о б х о д и м о о т к о н ф и г у р и р о в а т ь
д о в е р и е ф е д е р а ц и и . К а к и е д е й с т в и я с л е д у е т п р е д п р и н я т ь ? ( У к а ж и т е все
варианты.)
A. С в я з а т ь с я с к о л л е г о й в W o o d g r o v e B a n k и у с т а н о в и т ь с п о с о б о б м е н а
и н ф о р м а ц и е й .
Б . Э к с п о р т и р о в а т ь п а р т н е р с к у ю п о л и т и к у и з W o o d g r o v e B a n k и и м п о р -
т и р о в а т ь ее в C o n t o s o .
B. Экспортировать п а р т н е р с к у ю п о л и т и к у из C o n t o s o и и м п о р т и р о в а т ь ее
в Woodgrove Bank.
Г. Э к с п о р т и р о в а т ь п о л и т и к у д о в е р и я из C o n t o s o и и м п о р т и р о в а т ь ее
в Woodgrove Bank.
Д. Создать и о т к о н ф и г у р и р о в а т ь в W o o d g r o v e B a n k с о п о с т а в л е н и е у т в е р -
ждений.
Е. Экспортировать п о л и т и к у д о в е р и я из W o o d g r o v e B a n k и и м п о р т и р о в а т ь
ее в Contoso.
Закрепление материала главы
Д л я того чтобы п о п р а к т и к о в а т ь с я и з а к р е п и т ь з н а н и я , п о л у ч е н н ы е п р и и з у ч е -
н и и представленного в этой г л а в е м а т е р и а л а , в а м н е о б х о д и м о :
• ознакомиться с р е з ю м е г л а в ы ;
• повторить и с п о л ь з у е м ы е в г л а в е о с н о в н ы е т е р м и н ы ;
• изучить сценарий, в к о т о р о м о п и с а н а р е а л ь н а я с и т у а ц и я , т р е б у ю щ а я п р и -
менения п о л у ч е н н ы х з н а н и й , и п р е д л о ж и т ь с в о е р е ш е н и е ;
• в ы п о л н и т ь р е к о м е н д у е м ы е у п р а ж н е н и я ;
• сдать пробный экзамен с п о м о щ ь ю т е с т о в .
Резюме главы
• Как с л у ж б а каталогов сетевой о п е р а ц и о н н о й с и с т е м ы AD DS в о с н о в н о м
п р е д н а з н а ч е н а д л я р а б о т ы в п р е д е л а х с е т и о р г а н и з а ц и и . Д л я р а с ш и р е -
ния с л у ж б и д е н т и ф и к а ц и и и д о с т у п а ( I D A ) в о в н е ш н и й м и р н е о б х о д и м о
и с п о л ь з о в а т ь д о п о л н и т е л ь н ы е т е х н о л о г и и , в к л ю ч а я A D F S . С п о м о щ ь ю
A D F S п р е д о с т а в л я е т с я в н е ш н я я п о д д е р ж к а д л я в н у т р е н н и х с л у ж б IDA,
а поскольку о т к р ы в а т ь д о п о л н и т е л ь н ы е п о р т ы б р а н д м а у э р а п е т н е о б х о д и -
мости, A D F S представляет собой в е л и к о л е п н ы й и н с т р у м е н т д л я о с н о в а н и я
партнерства. В к о н е ч н о м счете, п а р т н е р с т в о о р г а н и з а ц и й о с н о в а н о на AD
FS, однако нередко о н и п р о д о л ж а ю т у п р а в л я т ь т о л ь к о с в о е й в н у т р е н н е й
службой AD DS.
• Структура AD FS составляется из ч е т ы р е х с л у ж б р о л е й : С л у ж б а ф е д е р а ц и и
(Federation Service), П р о к с и – а г е н т с л у ж б ы ф е д е р а ц и и ( F e d e r a t i o n Service
Proxy), Агент, п о д д е р ж и в а ю щ и й у т в е р ж д е н и я ( C l a i m s – A w a r e A g e n t ) и Агент
W i n d o w s н а основе м а р к е р о в ( W i n d o w s T o k e n – B a s e d A g e n t ) . О т м е т и м , что
Сценарий 8 8 7
с л у ж б а ф е д е р а ц и и и п р о к с и – а г е н т с л у ж б ы ф е д е р а ц и и не могут сосущест-
в о в а т ь н а о д н о м сервере.
• П о м и м о о с н о в н ы х т е х н о л о г и й , в к л ю ч е н н ы х в AD FS, процессы федерации
и с п о л ь з у ю т у т в е р ж д е н и я д л я и д е н т и ф и к а ц и и доступа, предоставляемого
п о л ь з о в а т е л я м , ф а й л ы cookie д л я у п р о щ е н и я процесса входа н поддержки
е д и н о г о в х о д а S S O , а т а к ж е с е р т и ф и к а т ы д л я подтверждения всех тран-
з а к ц и й и о б е с п е ч е н и я безопасности всех коммуникаций.
• С у щ е с т в у е т т р и т и п а р а з в е р т ы в а н и я AD FS: Единый вход федерации для
И н т е р н е т – р е ш е н и й ( F e d e r a t e d W e b S S O ) , Единый вход федерации для Ин-
т е р н е т – р е ш е н и й с д о в е р и е м лесов ( F e d e r a t e d Web S S O With Forest Trust)
и Е д и н ы й в х о д д л я И н т е р н е т – р е ш е н и й ( W e b SSO). Из них чаще всего ис-
п о л ь з у е т с я р а з в е р т ы в а н и е единого входа федерации для интернет-решений.
С а м о с у щ е с т в о в а н и е A D F S п о м о ж е т избежать требований для доверия
л е с о в ч е р е з б р а н д м а у э р ы .
Основные термины
З а п о м н и т е у к а з а н н ы е д а л е е т е р м и н ы , чтобы лучше понять описываемые кон-
ц е п ц и и .
• С о п о с т а в л е н и е у т в е р ж д е н и й Обработка входящего утверждения и его
ф и л ь т р а ц и я с е р в е р о м ф е д е р а ц и и д л я извлечения соответствующей авто-
р и з а ц и и п о л ь з о в а т е л я .
• Д о в е р и е ф е д е р а ц и и О д н о с т о р о н н е е доверие между организацией ресур-
с о в и о р г а н и з а ц и я м и у ч е т н ы х записей.
• А р х и т е к т у р а , о р и е н т и р о в а н н а я на с л у ж б ы S O A ( S e r v i c e – O r i e n t e d Archi-
t e c t u r e ) А р х и т е к т у р а SOA основана на стандартах, не зависит от языка
и и с п о л ь з у е т в е б – с л у ж б ы д л я поддержки распределенных служб в Интернете.
• В е б – с л у ж б ы С л у ж б ы И н т е р н е т а па основе стандартов, формирующие
ч а с т ь а р х и т е к т у р ы SOA. В качестве известных веб-служб можно привести
п р о т о к о л S O A P ( S i m p l e O b j e c t Access Protocol), расширяемый язык раз-
м е т к и X M L , а т а к ж е у н и в е р с а л ь н ы й метод описания, обнаружения и интег-
р а ц и и в е б – с л у ж б U D D I ( U n i v e r s a l Description, Discovery, And Integration).
В е б – с л у ж б ы не з а в и с я т от я з ы к а и взаимодействуют между различными
и н ф р а с т р у к т у р а м и IT, т а к и м и к а к U N I X , Linux и Windows.
• W S – F e d e r a t i o n P a s s i v e R e q u e s t o r P r o f i l e ( W S – F P R P ) Компонент WS-
F e d e r a t i o n с о п и с а н и е м с т а н д а р т н о г о протокола, который будет использо-
в а т ь с я п р и п о л у ч е н и и п а с с и в н ы м клиентом доступа к приложению с по-
м о щ ь ю с л у ж б ы ф е д е р а ц и и .
Сценарий. Выбор соответствующей технологии
Active Directory
В с л е д у ю щ е м с ц е н а р и и н е о б х о д и м о п р и м е н и т ь полученные знания об AD FS.
О т в е т ы на в о п р о с ы н а х о д я т с я в разделе «Ответы» в конец книги.
8 8 8 Службы федерации Active Directory
Глава 17
Вы работаете с и с т е м н ы м а д м и н и с т р а т о р о м в к о м п а н и и C o n t o s o I cd В-
организация п р и н я л а р е ш е н и е р а з в е р н у т ь W i n d o w s S e r v e r 2 0 0 8 и ' ж е л а е т " " "
ализовать н е с к о л ь к о т е х н о л о г и й из э т о г о в ы п у с к а . В ч а с т н о с т и , р е а л и . т и ' н я
преследует с л е д у ю щ и е цели. ' ' а ц и я
• О б н о в л е н и е ц е н т р а л ь н о г о х р а н и л и щ а п р о в е р к и п о д л и н н о с т и и а в т о р и з а -
ции.
• Гарантия з а щ и т ы и н т е л л е к т у а л ь н о й с о б с т в е н н о с т и , в ч а с т н о с т и п р и р а б о т е
с партнерами.
• Поддержка пяти п р и л о ж е н и й в э к с т р а с е т и :
• два п р и л о ж е н и я W i n d o w s с п р о в е р к о й п о д л и н н о с т и W i n d o w s NT;
о три в е б – п р и л о ж е н и я , и с п о л ь з у ю щ и е м о д е л и п р о в е р к и п о д л и н н о с т и ,
поддерживаемые в I IS.
• Клиенты п р и л о ж е н и й э к с т р а с е т и р а с п о л о ж е н ы в т р е х м е с т а х : в н у т р е н н е й
сети, партнерских о р г а н и з а ц и я х и И н т е р н е т е .
• Поскольку п р и л о ж е н и я з а п у щ е н ы в э к с т р а с е т и , н е о б х о д и м о в с е г д а и с п о л ь -
зовать безопасные к о м м у н и к а ц и и .
Вы должны определить, какие т е х н о л о г и и W i n d o w s S e r v e r 2 0 0 8 н е о б х о д и м ы
и как реализовать их в к о м п а н и и . Ч т о вы п о р е к о м е н д у е т е ?
Практические задания
Чтобы успешно справиться с т е м а м и с е р т и ф и к а ц и о н н о г о э к з а м е н а , в ы п о л н и т е
необходимые у п р а ж н е н и я .
Подготовка к развертыванию AD FS
Самый л у ч ш и й способ п о д г о т о в к и к с е р т и ф и к а ц и о н н о м у э к з а м е н у AD FS —
выполнить практические у п р а ж н е н и я .
Также р е к о м е н д у е т с я в ы п о л н и т ь у п р а ж н е н и я и з р у к о в о д с т в а « M i c r o s o f t
Stcp-by-Step Guide for Active D i r e c t o r y F e d e r a t i o n Services», к о т о р о е р а з м е щ е н о
по адресу http://www.tnicrosoft.com/downloads/details.aspx7familyid-062F7382-
A82F-4428-9l}BD-A103B9F27654&displaylang-en.
Помните, что A D F S н е р е к о м е н д у е т с я у с т а н а в л и в а т ь и а к о н т р о л л е р а х
доменов AD FS, х о т я этот метод и с п о л ь з у е т с я в п о ш а г о в о м р у к о в о д с т в е па
веб-сайте Microsoft.
Пробный экзамен
Н а прилагаемом к к н и г е к о м п а к т – д и с к е п р е д с т а в л е н о н е с к о л ь к о в а р и а н т о в
тренировочных тестов. П р о в е р к а з н а н и й в ы п о л н я е т с я и л и т о л ь к о п о о д н о й
теме с е р т и ф и к а ц и о н н о г о э к з а м е н а 7 0 – 6 4 0 , и л и п о в с е м э к з а м е н а ц и о н н ы м те-
мам. Тестирование м о ж н о о р г а н и з о в а т ь т а к и м о б р а з о м , ч т о б ы о н о п р о в о д и л о с ь
как экзамен, л и б о н а с т р о и т ь н а р е ж и м о б у ч е н и я , ч т о б ы п о с л е к а ж д о г о о т в е т а
на вопрос п р о с м а т р и в а т ь п р а в и л ь н ы е о т в е т ы и п о я с н е н и я .
ПРИМЕЧАНИЕ Пробный экзамен
Подробнее о пробном экзамене рассказано во введении к данной книге.
Ответы
Глава 1. Ответы на вопросы занятий
Занятие 1
1. Правильные ответы: А н Б.
Л. Правильный Д л я с о з д а н и я и л и присоединения контроллера домена
н е о б х о д и м о д о п у с т и м о е D N S – и м я домена.
Б. Правильный Д л я д о м е и а необходимо указать имя N e t B I O S с целью
п о д д е р ж к и с т а р ы х п р и л о ж е н и й , использующих имена NetBIOS.
В. Н е п р а в и л ь н ы й D H C P – с е р в е р указывать необязательно. Контроллеру
д о м е н а с л е д у е т н а з н а ч и т ь статический IP-адрес.
Г. Н е п р а в и л ь н ы й Х о т я D N S – с е р в е р необходим д л я функционирования
д о м е н а , в с л у ч а е его о т с у т с т в и я мастер установки Active Directory ав-
т о м а т и ч е с к и и н с т а л л и р у е т и о т к о н ф и г у р и р у е т службу DNS на конт-
р о л л е р е д о м е и а .
2. Правильный ответ: Г.
A. Н е п р а в и л ь н ы й Д л я в к л ю ч е н и я функционального уровня леса Win-
d o w s S e r v e r 2 0 0 8 необходимо, чтобы все домены оперировали и режиме
д о м е н а W i n d o w s Server 2008. Поскольку домен Litware может содержать
к о н т р о л л е р ы W i n d o w s Server 2003, он должен оставаться на функцио-
н а л ь н о м у р о в н е д о м е н а W i n d o w s Server 2003. Поэтому лес также должен
р а б о т а т ь на у р о в н е W i n d o w s Server 2003.
Б. Неправильный Д л я в к л ю ч е н и я функционального уровня леса Win-
d o w s S e r v e r 2 0 0 8 необходимо, чтобы все домены оперировали в режиме
д о м е н а W i n d o w s Server 2008. Поскольку домен Litware может содержать
к о н т р о л л е р ы W i n d o w s Server 2003, он должен оставаться на функцио-
н а л ь н о м у р о в н е д о м е н а Windows Server 2003. Поэтому лес также должен
р а б о т а т ь на у р о в н е W i n d o w s Server 2003.
B. Н е п р а в и л ь н ы й Д о м е н , о п е р и р у ю щ и й на ф у н к ц и о н а л ь н о м уровне
W i n d o w s Server 2008, не м о ж е т содержать контроллеры Windows Ser-
ver 2003.
Г. Правильный Д о м е н Litware может содержать контроллеры Windows
Server 2 0 0 3 и поэтому д о л ж е н оперировать на функциональном уровне
W i n d o w s Server 2003. Ф у н к ц и о н а л ь н ы й уровень леса нельзя повысить,
пока все д о м е н ы не будут работать в режиме Windows Server 2008.
I 8 9 0 Ответы
Занятие 2
1. П р а в и л ь н ы й о т в е т : Л.
A . П р а в и л ь н ы й П а р о л ь н е о б х о д и м д л я н а з н а ч е н и я л о к а л ь н о й у ч е т н о й
записи а д м и н и с т р а т о р а н а с е р в е р е п о с л е у д а л е н и я A D DS.
Б . Н е п р а в и л ь н ы й М а ш и н а S E R V E R 0 2 в н а с т о я щ е е в р е м я с л у ж и т к о н т -
роллером домена, и вы в о ш л и иа нее к а к а д м и н и с т р а т о р . Т а к и м о б р а з о м ,
в ы у ж е р а с п о л а г а е т е п р и в и л е г и я м и , н е о б х о д и м ы м и д л я п о н и ж е н и я
ранга контроллера д о м е н а д о у р о в н я р я д о в о г о с е р в е р а .
B . Н е п р а в и л ь н ы й М а ш и н а S E R V E R 0 2 в н а с т о я щ е е в р е м я с л у ж и т к о н т -
роллером домена, и вы в о ш л и на нее к а к а д м и н и с т р а т о р . Т а к и м о б р а з о м ,
в ы у ж е р а с п о л а г а е т е п р и в и л е г и я м и , н е о б х о д и м ы м и д л я п о н и ж е н и я
ранга контроллера д о м е н а д о у р о в н я р я д о в о г о с е р в е р а . Группа D o m a i n
Controllers с о д е р ж и т у ч е т н ы е з а п и с и к о м п ь ю т е р о в д л я к о н т р о л л е р о в
доменов.
2. Правильный ответ: Г.
A. Н е п р а в и л ь н ы й Т е х н о л о г и я AD CS не п о д д е р ж и в а е т с я в я д р е с е р в е р а
(Server Core).
Б . Н е п р а в и л ь н ы й Т е х н о л о г и я A D F S н е п о д д е р ж и в а е т с я в я д р е с е р в е р а .
B . Н е п р а в и л ь н ы й Т е х н о л о г и я A D R M S н е п о д д е р ж и в а е т с я в я д р е сер-
вера.
Г. П р а в и л ь н ы й Т е х н о л о г и я AD CS не п о д д е р ж и в а е т с я в я д р е с е р в е р а ,
поэтому н а сервере н у ж н о и н с т а л л и р о в а т ь п о л н у ю у с т а н о в к у W i n d o w s
Server 2008.
Глава 1. Ответы на вопросы сценария
Сценарий. Создание леса Active Directory
1 . Да, ядро сервера ( S e r v e r C o r e ) п о д д е р ж и в а е т д о м е н н ы е с л у ж б ы A c t i v e Di-
rectory. П о л н а я у с т а н о в к а W i n d o w s S e r v e r 2 0 0 8 д л я с о з д а н и я к о н т р о л л е р а
домена не нужна.
2. Использовать к о м а н д у Netsh д л я н а с т р о й к и I P – а д р е с о в .
3. Использовать команду Ocsetup.exe д л я д о б а в л е н и я р о л е й сервера. В к а ч е с т в е
альтернативы д л я у с т а н о в к и D N S – с е р в е р а м о ж н о п р и м е н и т ь п а р а м е т р ы
команды Dcpromo.exe /unattend.
4. Использовать к о м а н д у Dcpromo.exe д л я д о б а в л е н и я и н а с т р о й к и AD DS.
Глава 2. Ответы на вопросы занятий
Занятие 1
1, П р а в и л ь н ы й ответ: В.
А. Н е п р а в и л ь н ы й О с н а с т к а A c t i v e D i r e c t o r y – п о л ь з о в а т е л и и к о м п ь ю -
теры (Active Directory Users A n d C o m p u t e r s ) в д и с п е т ч е р е с е р в е р а будет
запущена с теми же у ч е т н ы м и д а н н ы м и , что и н а с т р а и в а е м а я к о н с о л ь .
Возникнет о ш и б к а отказа в д о с т у п е (Access D e n i e d ) .
Ответы 8 9 1
Б. Н е п р а в и л ь н ы й Х о т я оснастку Active Directory – пользователи и ком-
п ь ю т е р ы м о ж н о з а п у с т и т ь с п о м о щ ь ю я р л ы к а dsa.msc, она будет запу-
щ е н а с т е м и же п р и в и л е г и я м и , что и настраиваемая консоль. Возникнет
о ш и б к а о т к а з а в д о с т у п е (Access Denied).
В. П р а в и л ь н ы й О ш и б к а отказа в доступе означает недостаточный уро-
в е н ь п р и в и л е г и й д л я в ы п о л н е н и я запрашиваемого действия. В вопросе
ч е т к о указано, что вы имеете необходимые привилегии. В ответе предпо-
л а г а е т с я , что у вас есть д о п о л н и т е л ь н а я учетная запись. Даже если это
не у ч е т н а я з а п и с ь А д м и н и с т р а т о р (Administrator), она в любом случае
б у д е т а д м и н и с т р а т и в н о й .
Г . Н е п р а в и л ь н ы й Д л я с м е н ы п а р о л я м о ж н о использовать команду
DSMOD USER с п е р е к л ю ч а т е л е м -р, однако вопрос относится к ошиб-
ке о т к а з а в д о с т у п е . В ответе не сказано, что командная строка будет
з а п у щ е н а с и с п о л ь з о в а н и е м д р у г и х учетных данных, поэтому ошибки
о т к а з а в д о с т у п е б у д у т в о з н и к а т ь и дальше.
Занятие 2
1. П р а в и л ь н ы й о т в е т : Г.
A. Н е п р а в и л ь н ы й З а д а ч а Active Directory может быть выполнена с по-
м о щ ь ю к о м а н д н о й с т р о к и , с ц е н а р и е в или средств удаленного адми-
н и с т р и р о в а н и я с е р в е р а л ю б ы м пользователем, которому делегировало
р а з р е ш е н и е н а в ы п о л н е н и е этой задачи.
Б . Н е п р а в и л ь н ы й А д м и н и с т р а т о р ы домена (Domain Admins) входят
в г р у п п у А д м и н и с т р а т о р ы (Administrators) в домене. Поэтому все раз-
р е ш е н и я , н а з н а ч а е м ы е группе Администраторы, будут также присвоены
в а м к а к ч л е н у г р у п п ы А д м и н и с т р а т о р ы домена.
B. Н е п р а в и л ь н ы й В о з м о ж н о с т ь у д а л е н и я подразделения или любого
о б ъ е к т а в Active D i r e c t o r y связана с разрешениями, а не владением.
Г. П р а в и л ь н ы й Н о в ы е подразделения создаются с защитой от случайно-
го у д а л е н и я . П е р е д у д а л е н и е м подразделения эту защиту необходимо
с и я т ь . У д а л и т ь з а щ и т у м о ж н о с п о м о щ ь ю оснастки Active Directory —
п о л ь з о в а т е л и и к о м п ь ю т е р ы (Active Directory Users And Computers),
е с л и в ее м е н ю Вид ( V i e w ) установлен ф л а ж о к Дополнительные компо-
н е н т ы ( A d v a n c e d Features) – д л я отображения вкладки Объект (Object)
д и а л о г о в о г о о к н а с в о й с т в подразделения.
Занятие 3
1. П р а в и л ь н ы е о т в е т ы : А, Б и Г.
А. П р а в и л ь н ы й Д л я н а з н а ч е н и я а д м и н и с т р а т и в н о й задачи необходи-
мо м о д и ф и ц и р о в а т ь список DACL такого объекта, как подразделение.
В д и а л о г о в о м окне Д о п о л н и т е л ь н ы е параметры безопасности (Advanced
S e c u r i t y S e t t i n g s ) п р е д о с т а в л я е т с я п р я м о й доступ к разрешениям в
с п и с к е DACL. Мастер делегирования управления (Delegation of Control
W i z a r d ) у п р о щ а е т эту задачу, позволяя пошагово назначать разрешения
группам. Д л я у п р а в л е н и я р а з р е ш е н и я м и Active Directory в командной
с т р о к е м о ж н о и с п о л ь з о в а т ь у т и л и т у DSACLS.
I 8 9 2
Ответы
Б . П р а в и л ь н ы й Д л я н а з н а ч е н и я а д м и н и с т р а т и в н о й з а д а ч и н е о б х о д и -
м о м о д и ф и ц и р о в а т ь список D A C L т а к о г о объекта, к а к п о д р а з д е л е н и е .
В д и а л о г о в о м о к н е Д о п о л н и т е л ь н ы е п а р а м е т р ы б е з о п а с н о с т и ( A d -
vanced Security Settings) п р е д о с т а в л я е т с я п р я м о й д о с т у п к р а з р е ш е -
ниям в списке DACL. М а с т е р д е л е г и р о в а н и я у п р а в л е н и я ( D e l e g a t i o n
of Control Wizard) упро щ а е т эту задачу, п о з в о л я я п о ш а г о в о н а з н а ч а т ь
разрешения группам. Д л я у п р а в л е н и я р а з р е ш е н и я м и A c t i v e D i r e c t o r y
в командной строке м о ж н о и с п о л ь з о в а т ь у т и л и т у D S A C L S .
В. Неправильный Утилита DSUTIL и с п о л ь з у е т с я д л я у п р а в л е н и я с в о й с -
твами домена и службы каталогов и не п р и м е н я е т с я д л я у п р а в л е н и я
разрешениями объектов.
Г. П р а в и л ь н ы й Д л я н а з н а ч е н и я а д м и н и с т р а т и в н о й з а д а ч и н е о б х о д и -
м о модифицировать список D A C L т а к о г о о б ъ е к т а , к а к п о д р а з д е л е н и е .
В диалоговом окне Д о п о л н и т е л ь н ы е п а р а м е т р ы б е з о п а с н о с т и ( A d v a n c e d
Security Settings) п р е д о с т а в л я е т с я п р я м о й д о с т у п к р а з р е ш е н и я м в
списке DACL. Мастер д е л е г и р о в а н и я у п р а в л е н и я ( D e l e g a t i o n of C o n t r o l
Wizard) упрощает эту задачу, п о з в о л я я п о ш а г о в о н а з н а ч а т ь р а з р е ш е н и я
группам. Д л я у п р а в л е н и я р а з р е ш е н и я м и A c t i v e D i r e c t o r y в к о м а н д н о й
строке можно использовать у т и л и т у DSACLS.
Глава 2. Ответы на вопросы сценария
Сценарий. П о д р а з д е л е н и я и д е л е г и р о в а н и е
1. Для объектов компьютеров C o n t o s o л у ч ш е всего с о з д а т ь о т д е л ь н о е п о д -
разделение и внутри него п р ед у с м о т р е т ь д о ч е р н и е п о д р а з д е л е н и я д л я к а ж -
дого сайта. Команде т е х н и ч е с к о й п о д д е р ж к и в к а ж д о м у з л е д е л е г и р у е т с я
контроль над объектами к о м п ь ю т е р о в в п о д р а з д е л е н и и д а н н о г о у з л а . Р о -
дительское подразделение и с п о л ь з у е т с я д л я д е л е г и р о в а н и я р а з р е ш е н и й ,
чтобы команда в главном о ф и с е могла у п р а в л я т ь о б ъ е к т а м и к о м п ь ю т е р о в
в любом узле.
2. Несмотря на то что в каждом узле есть л и ш ь о д и и – д в а с о т р у д н и к а с л у ж б ы
технической поддержки, р е к о м е н д у е т с я с о з д а т ь г р у п п у из них, в к л ю ч и т ь в
нее пользователей и делегировать э т о й г р у п п е н е о б х о д и м ы е р а з р е ш е н и я .
Из-за роста организации и ее с л у ж б ы т е х н и ч е с к о й п о д д е р ж к и , а т а к ж е из-
за смены пользователей из персонала т е х н и ч е с к о й п о д д е р ж к и у п р а в л е н и е
разрешениями, назначенными у ч е т н ы м з а п и с я м э т и х п о л ь з о в а т е л е й , станет
очень сложным и н е э ф ф е к т и в н ы м . Н а з н а ч и в р а з р е ш е н и я группе, п е р с о н а л
технической поддержки можно просто д о б а в л я т ь и у д а л я т ь в к а ч е с т в е чле-
нов этой группы.
3. Поскольку пользователи в л ю б о м у з л е могут з а п р а ш и в а т ь п о д д е р ж к у ко-
манды технического о б с л у ж и в а н и я в д р у г о м узле, п о л ь з о в а т е л и д о л ж н ы
оставаться в одном подразделении, р а с п р е д е л я т ь их по р а з н ы м п о д р а з д е -
лениям в узлах на основе д е л е г и р о в а н и я и л и у п р а в л я е м о с т и не н у ж н о .
Подразделение, содержащее пользователей, д е л е г и р у е т с я группе, в к л ю ч а -
ющей весь персонал технической п о д д е р ж к и . Вы м о ж е т е с о з д а т ь г р у п п у ,
содержащую группы команд т е х н и ч е с к о й п о д д е р ж к и в к а ж д о м узле.
Ответы 8 9 3
Глава 3. Ответы на вопросы занятий
Занятие 1
1 . П р а в и л ь н ы й о т в е т : В .
A. Н е п р а в и л ь н ы й Х о т я ш а б л о н учетной з а п и с и пользователя позволяет
к о п и р о в а т ь н е с к о л ь к о десятков атрибутов в новую учетную запись поль-
з о в а т е л я , д л я в ы п о л н е н и я этой задачи шаблон потребуется скопировать
2 0 0 0 раз.
Б. Н е п р а в и л ь н ы й К о м а н д а LDIFDE и м п о р т и р у е т объекты из файлов
L D I F , ф о р м а т к о т о р ы х не п о д д е р ж и в а е т с я в Microsoft Office Excel.
B. П р а в и л ь н ы й К о м а н д а CSVDE и м п о р т и р у е т объекты из текстовых
ф а й л о в с р а з д е л и т е л ь н ы м и з а п я т ы м и ; эти ф а й л ы можно открывать,
р е д а к т и р о в а т ь и с о х р а н я т ь в Excel.
Г. Н е п р а в и л ь н ы й С п о м о щ ь ю к о м а н д ы Dsadd учетную запись пользо-
в а т е л я м о ж н о с о з д а т ь в к о м а н д н о й строке, но д л я выполнения такой
з а д а ч и эту к о м а н д у п р и д е т с я з а п у с к а т ь 2000 раз.
2 . П р а в и л ь н ы й о т в е т : А .
A. П р а в и л ь н ы й С п о м о щ ь ю к о м а н д ы LDIFDE можно добавлять, моди-
ф и ц и р о в а т ь и у д а л я т ь о б ъ е к т ы Active Directory.
Б. Н е п р а в и л ь н ы й К о м а н д а Dsmod м о д и ф и ц и р у е т свойства существую-
щ е г о о б ъ е к т а .
B. Н е п р а в и л ь н ы й К о м а н д а DEL удаляет файл.
Г. Н е п р а в и л ь н ы й К о м а н д а CSVDE может импортировать пользователей,
н о н е у д а л я т ь их.
Занятие 2
1 . П р а в и л ь н ы й о т в е т : В .
A. Н е п р а в и л ь н ы й Д л я с о з д а н и я пользователей в Windows PowerShell
н е т с о о т в е т с т в у ю щ е г о командлета.
Б. Н е п р а в и л ь н ы й В оснастке A D S I отсутствует метод NewUser.
B. П р а в и л ь н ы й Т а к о й контейнер, как подразделение или домен, распо-
л а г а е т м е т о д о м Create д л я создания объектов указанного класса.
Г. Н е п р а в и л ь н ы й И н с т р у к ц и я Set указывает на использование синтак-
сиса V B S c r i p t .
2. П р а в и л ь н ы й о т в е т : Г.
A. Н е п р а в и л ь н ы й Д л я с о з д а н и я пользователей в Windows PowerShell
нет с о о т в е т с т в у ю щ е г о командлета.
Б. Н е п р а в и л ь н ы й М е т о д Setlnfo представляет нового пользователя и его
с в о й с т в а в Active Directory, но использовать Setlnfo следует вместе с
к о м а н д а м и создания объектов и их атрибутов, а применять его отдельно
н е л ь з я .
B. Н е п р а в и л ь н ы й Такой контейнер, как подразделение или домен, рас-
п о л а г а е т м е т о д о м Create д л я создания объектов указанного класса, но
1894 Ответы
i
I д л я с о х р а н е н и я о б ъ е к т а в A c t i v e D i r e c t o r y н е о б х о д и м о и с п о л ь з о в а т ь
' метод Setlnfo. П о э т о м у о д н о г о м е т о д а Create н е д о с т а т о ч н о .
Г. П р а в и л ь н ы й К о м а н д а Dsadd м о ж е т с о з д а т ь п о л ь з о в а т е л я б е з д о п о л -
нительных м е т о д о в и к о м а н д .
3. П р а в и л ь н ы е о т в е т ы : А, Б и Г.
A. П р а в и л ь н ы й О б ъ е к т с о з д а е т с я с п о м о щ ь ю м е т о д а Create т а к о г о к о н -
тейнера, как п о д р а з д е л е н и е .
Б. П р а в и л ь н ы й М е т о д Setlnfo п р е д с т а в л я е т н о в о г о п о л ь з о в а т е л я и его
свойства в Active Directory. Е с л и не и с п о л ь з о в а т ь м е т о д Setlnfo, н о в ы й
объект и и з м е н е н и я его с в о й с т в б у д у т п р е д с т а в л е н ы л и ш ь л о к а л ь н о .
B . Н е п р а в и л ь н ы й Э т о т к о д н е д е й с т в и т е л е н . О н п о х о ж н а к о д V B S c r i p t ,
а не на с о з д а н и е о б ъ е к т о в п о л ь з о в а т е л е й .
Г. Правильный Н е о б х о д и м о п о д к л ю ч и т ь с я к к о н т е й н е р у , в к о т о р о м будет
создан п о л ь з о в а т е л ь .
Занятие 3
1. Правильный о т в е т : В.
A . Н е п р а в и л ь н ы й К л а в и ш у C t r l м о ж н о п р и м е н я т ь д л я в ы б о р а м н о ж е с -
тва п о л ь з о в а т е л е й , н о т о л ь к о е с л и о и и в х о д я т в о д н о п о д р а з д е л е н и е .
Д е с я т ь п о л ь з о в а т е л е й в э т о м с ц е н а р и и р а с п р е д е л е н ы п о р а з л и ч н ы м
подразделениям.
Б. Н е п р а в и л ь н ы й К о м а н д а Dsmod п о з в о л я е т и з м е н и т ь с в о й с т в о К о м н а т а
