Вы находитесь на странице: 1из 959

MCTS

Self-Pased TYainlng Kit

Configuring
Windows Server® 2008
Active Directory®

Dan Holme,
Nelson Ruest,
and Danielle Ruest

Mktosott- Press
Официальное пособив для самоподготовки

Учебный
курс
Microsoft'

Настройка
Active Directory*
Windows Server* 2008

Дэн Холме,
Нельсон Реет,
Даниэль Реет

экзамен 70*640
MOTS

Москве 2011

А Ш С С Ш Щ 1 Ц П
УДК 004.45
ББК 32.973.81-018.2
Х71

Холмс Д., Реет Н., Реет Д.


Х71 Настройка Active Directory®. Windows Server® 2008. Учебный курс Microsoft /
Пер. с англ. — М . : Издательство «Русская редакция», 2011. — 960 стр. : ил.

ISBN 978-5-7502-0380-2

Это подробное руководство по развертыванию и настройке службы каталогов Acti-


ve DircctotyB Windows Server 2008 — новейшей операционной системе Майкрософт.
В книге даны пошаговые инструкции для настройки доменных служб Active Directory
(Active Directory Domain Services), служб Active Directory облегченного доступа к ка-
талогам (Active Directory Lightweight Directory Services), служб сертификации Active
Directory (Active Directory Certificate Services), служб федерации Active Directory (Acti-
ve Directory Federation Services) и служб управления правами Active Directory (Active
Directory Rights Management Services) в лесу или домене. Кроме того, описаны управ-
ление конфигурацией домена с помощью групповой политики, планирование, на-
стройка и поддержка репликации данных Active Directory в узлах и между сайтами,
а также реализация новых возможностей Windows Server 2008.
Книга адресована специалистам в области информационных технологий, систем-
ным администраторам, а также всем, кто хочет научиться поддерживать доменные
службы Active Directory (Active Directory Domain Services) в Windows Server 2008. На-
стоящий учебный курс, в том числе, поможет вам самостоятельно подготовиться
к сдаче экзамена № 70-640 по программе сертификации Майкрософт (сертификат
Microsoft Certified Technology Specialist).
Книга состоит из 17 глав, содержит множество иллюстраций и примеров из прак-
тики. На прилагаемом компакт-диске находитмя электронная версия книги (на англ.
языке), вопросы пробного экзамена и другие справочные материалы.

УДК 004.45
ББК 32.973.81-018.2
Подготовлено к изданию по лицензионному договору с Microsoft Corporation, Редмонд, Ва-
шингтон, США.
Microsoft, Microsoft Press, Access, Active Directory, ActiveX, BitLocker, Excel, Hyper-V, Internet
Explorer, J Script, MSDN, Outlook, PowerPoint, SharePoinl, SQL Server, Visio, Visual Basic, Win-
dows, Windows Live, Windows NT, Windows PowerShell, Windows Server и Windows Vista являются
товарными знаками или охраняемыми товарными знаками корпорации Microsoft и С Ш А И / И Л И
других странах. Все другие товарные знаки являются собственностью соответствующих фирм.
Все влреса, названия компаний, организаций и продуктов, а также имена лиц, используемые в
примерах, вымышлены и не имеют никакого отношения к реальным компаниям, организациям,
продуктам и лицам.

© Оригинальное издание на а н г л и й с к о м я з ы к е ,
Dan Holme, 2008
О Перевод на русский я з ы к , Microsoft C o r p o r a l i o n , 2009
ISBN 978-0-7356-2513-6 (англ.) q Оформление н подготовка к и з д а н и ю , и з д а т е л ь с т в о
ISBN 978-5-7502-0380-2 .Русская р е д а к ц и я . , 2009
Краткое содержание

ВведейЙе XIX

Глава 1. Установка..... 1
Глава 2. Администрирование 33
Глава 3. Пользователи 86
Глава 4. Группы 139
Глава 5. Компьютеры 185
Глава 6. Инфраструктура групповой политики ....227
Глава 7. Параметры групповой политики 293
Глава 8. Проверка подлинности 364
Глава 9. Интеграция DNS с AD DS 405
Глава 10. Контроллеры домена 469
Глава 11. Сайты и репликация 515
Глава 12. Домены и леса 560
Глава 13. Непрерывность бизнес-процессов каталогов 611
Глава 14. Службы облегченного доступа к каталогам 692
Глава 15. Службы сертификации Active Directory
и инфраструктура открытых ключей 730
Глава 16. Службы управления правами Active Directory 791
Глава 17. Службы федерации Active Directory 837
Ответы 889
Оглавление

Введение XIX
Глава 1. Установка 1
Прежде всего 2
Занятие 1. Установка доменных служб Active Directory 2
Структура Active Directory, идентификация и доступ 3
Помимо идентификации и доступа 8
Компоненты инфраструктуры Active Directory 9
Подготовка к созданию нового леса системы Windows Server 2008 12
Добавление роли AD DS с помошыо интерфейса Windows ; 13
Создание контроллера домена 13
Практические занятия. Создание леса Windows Server 2008 14
Резюме 22
Закрепление материала 22
Занятие 2. Доменные службы Active Directory и ядро ссрисра 23
Ядро сервера 23
Установка ядра сервера 24
Начальные задачи настройки 25
Добавление роли AD DS ядру сервера : 26
Удаление контроллеров доменов 26
Практические занятия. Установка контроллера домена с ядром сервера 27
Резюме 29
Закрепление материала 30
Закрепление материала главы 30
Резюме главы 31
Основные термины 31
Сценарий, Создание леса Active Directory 32
Пробный экзамен 32
Глава 2. Администрирование 33
Прежде всего 33
Занятие 1. Оснастки Active Directory 34
Консоль управления Microsoft 34
Средства администрирования Active Directory 36
Расположение административных инструментов Active Directory 36
Добавление административных инструментов в меню Пуск 37
Запуск административных средств с использованием альтернативных
учетных данных 37
'Оглавление XI

Создание настраиваемой консоли с оснастками Active Directory 38


Сохранение и распространение настраиваемой консоли „39
Практические занятия. Создание настраиваемой консоли ММС и управление ею 40
Резюме Л5
Закрепление материала 45
Занятие 2. Создание объектов в Active Directory 46
Создание подразделения 47
Создание объекта пользователя 49
Создание объекта группы „51
Создание объекта компьютера 53
Поиск объектов в Active Directory 55
Поиск объектов с помощью команды Dsquery 61
Имена DN, RDN и CN 62
Практические занятия. Создание и поиск объектов в Active Directory 62
Резюме 69
Закрепление материала 69
Занятие 3. Делегирование и безопасность объектов Active Directory 70
Делегирование 70
Просмотр списка ACL объекта Active Directory 71
Управление доступом к объектам и свойствам 73
Назначение разрешения в диалоговом окне дополнительных
параметров безопасности 74
Наследование разрешений .75
Делегирование административных задач с помощью мастера управления
делегированием 76
Отчеты и просмотр разрешений 77
Удаление и сброс разрешений объекта 77
Действующие разрешения 77
Проектирование структуры подразделений для поддержки делегирования 79
Практические занятия. Делегирование задач администрирования 80
Резюме 81
Закрепление материала 82
Закрепление материала главы 82
Резюме главы 82
Основные термины 83
Сценарий. Подразделения и делегирование 83
Практические задания 84
Поддержка учетных записей Active Directory 84
Пробный экзамен 85
Глава 3. Пользователи 86
Прежде всего -87
Занятие 1. Автоматизация процесса создания учетных записей пользователей 87
Создание пользователей с помощью шаблонов 87
Инструменты командной строки Active Directory 89
Создание пользователей с помощью команды Dsadd -90
Импорт пользователей с помощью команды CSVDE 90
Импорт пользователей с помощью команды LDIFDE. 91
VIII Оглавление

Практические занятия. Автоматизация создания учетных записей пользователей 93


Резюме. 97
Закрепление материала...» 97
Занятие 2. Создание пользователей с помощью Windows PowerShell и VBScript 98
Введение в Windows PowerShell 99
Синтаксис, командлеты и объекты Windows PowerShell 100
Получение справочной информации 102
Переменные 102
Псевдонимы 103
Пространства имен, поставщики и PSDrive 103
Создание пользователя с помощью Windows PowerShell 104
Импорт пользователей из базы данных с помощью Windows PowerShell 106
Выполнение сценария Windows PowerShell 108
Введение в VBScript : 109
Создание пользователя с помощью VBScript 109
Сценарии VBScript и Windows PowerShell 110
Практические занятия. Создание пользователей
с помощью сценариев Windows PowerShell и VBScript 110
Резюме— 113
Закрепление материала 113
Занятие 3. Поддержка пользовательских объектов и учетных записей 114
Упра&ченне атрибутами пользователей с помощью оснастки Active Directory —
пользователи и компьютеры 114
Атрибуты имен и учетной записи 118
Управление атрибутами пользователя с помощью инструментов Dsmod и Dsget 122
Управление атрибутами пользователей
с помощью Windows PowerShell и VBScript 124
Администрирование учетных записей пользователей 125
Практические занятия. Поддержка объектов и учетных записей пользователей ;... 131
Резюме 134
Закрепление материала 135
Закрепление материала главы : 136
Резюме главы 136
Основные термины 136
Сценарий. Импорт учетных записей пользователей 137
Практические задания 137
Автоматизация создания учетных записей пользователей 137
Поддержка учетных записей Active Directory 138
Пробный экзамен 138
Глава 4. Группы 139
Прежде всего 139
Занятие 1. Создание групп и управление ими 140
Управление предприятием с помощью групп 140
Определение соглашений именования групп ;. 143
Типы групп 144
Область действия группы 144
Преобразование области действия и типа группы 149
Управление членством в группе 150
'Оглавление XI

Разработка стратегии управления группами 152


Практические занятия. Создание групп и управление ими 154
Резюме 156
Закрепление материала 156
Занятие 2. Автоматизация создания групп и контроля за ними 157
Создание групп с помощью команды Dsadd 158
Импорт групп с помощью команды CSVDE. 158
Управление группами с помощью команды LDIFDE. 159
Извлечение данных о членстве в группе с помощью команды Dsget 160
Изменение членства в группе с помощью команды Dsmod 161
Перемещение и переименование групп с помощью команды Dsmove 161
Удаление групп с помощью команды Dsrm 162
Управление членством в группе с помощью Windows PowerShell и VBScript 162
- Практические занятия. Автоматизация создания и контроля групп 163
Резюме 165
Закрепление материала 166
Занятие 3. Администрирование групп на предприятии 166
Рекомендуемые методики группирования атрибутов 167
Защита групп от случайного удаления 168
Делегирование задач управления членством в группе 170
Теневые группы ; 174
Группы по умолчанию 175
Особые объекты идентификации 177
Практические занятия. Администрирование групп на предприятии '. 178
Резюме 180
Закрепление материала 181
Закрепление материала главы 182
Резюме главы 182
Основные термины 182
Сценарий. Реализация стратегии управления группами 183
Практические задания 183
Автоматизация управления членством в группах и теневыми группами 184
Пробный экзамен 184
Глава 5. К о м п ь ю т е р ы 185
Прежде всего 186
Занятие 1. Создание компьютеров и присоединение их к домену 186
Рабочие группы, домены и доверие 187
Требования по присоединению компьютера к домену 187
Контейнер Computers 188
Создание подразделений компьютеров 188
Делегирование разрешения создания компьютеров 190
Предварительное размещение учетной записи компьютера 190
Присоединение компьютера к домену .'. 191
Причины предварительного размещения объектов компьютеров 193
Практические занятия. Создание и присоединение компьютеров к домену 197
Резюме - 200
Закрепление материала 201
VIII Оглавление

«„мння объектов компьютеров 202


З ^ е , А — ^ о м а 1 1 Д Ы CSVDE. 202
импорт компью^ров с пом о м о ш | 1 к о м а п д ы Ш Ю Е 203
Импорт коми Vй пгпеЛСТВОМ комапды Dsadd 204
— 204
С 0 3 Д а Н , , е К0
' I ^ Z c использованием Windows PowerShell 205
Создание компьютеров с | | С 1 , а VBScript 207
Г п , _ н и е компьютеров посредством VBicnpi
Создание коми к- - .„объектов компьютеров
Практические занятия. Создание ооъекто i 208
и манипулирование ими - 210

Резюме 211

Пеоемешение компьютера
Управление компьютером в оснастке Active D.rectory - пользователи ^
н компьютеры -
Вход и защищенный канал компьютера
Определение неполадок с учетными записями компьютеров 214
Сброс учетной записи компьютера 216
Переименование компьютера 217
Отключение и включение учетных записей компьютеров 218
Удаление учетных записей компьютеров 218
Повторный ввод компьютеров в эксплуатацию 219
Практические занятия. Поддержка объектов и учетных записей компьютеров 219
Резюме - 221
Закрепление материала. 222
Закрепление материала главы 223
Резюме главы 223
Основные термины 223
Сценарии 223
Сценарий 1. Создание и присоединение объектов компьютеров к домену 224
Сценарий 2. Автоматизация создания объектов компьютеров 224
Практические задания 224
Создание и поддержка учетных записей компьютеров 224
Пробный экзамен 226
Глава 6. Инфраструктура групповой политики ' 227
Прежде всего 22g
Занятие 1. Реализация групповой политики """.Ill 11111. '. 228
Обзор групповой политики 1111111111". 229
Объекты групповой политики 1111111 1111 235
Параметры политики
Административные шаблоны".
^^«•Реализация'^п'^IZ^ZZZIllZZZlZZl^
252
Закрепление материала

Наследование и п р и о р н т ^ o ^ l ^ o Z l l l Z I Z Z l Z Z Z Z l Z ^
'Оглавление XI

Модификация области действия GPO с помощью фильтров безопасности 262


Фильтры WMI 265
Включение и отключение объектов и узлов GPO 267
Нацеливание настройки 268
Обработка групповой политики 269
Обработка замыкания политики 272
Практические занятия. Настройка области действия групповой политики 273
Резюме 277
Закрепление материала 278
Занятие 3. Поддержка групповой политики 279
Результирующая политика. 280
Анализ журналов событий политики 284
Практические занятия. Настройка области действия групповой политики 285
Резюме 289
Закрепление материала 289
Закрепление материала главы 290
Резюме 290
Основные термины 290
Сценарий. Реализация групповой политики 1 291
Практические задания '. 291
Создание и применение объектов групповой политики 291
Пробный экзамен 292
Глава 7. П а р а м е т р ы групповой политики 293
Прежде всего 293
Занятие 1. Делегирование и поддержка компьютеров 294
Политики групп с ограниченным доступом 295
Делегирование административных привилегий с помощью политик групп
с ограниченным доступом и параметра членства группы Member Of 297
Практические занятия. Делегирование членства с помощью групповой политики.... 299
Резюме 302
Закрепление материала 302
Занятие 2. Управление параметрами безопасности 304
Настройка локальной политики безопасности 304
Управление конфигурацией безопасности с помощью шаблонов безопасности 306
Оснастка шаблонов безопасности 307
Мастер настройки безопасности 313
Параметры, шаблоны, политики и объекты GPO 319
Практические занятия. Управление параметрами безопасности 320
Резюме 326
Закрепление материала 327
Занятие 3. Управление установкой программного обеспечения
с помощью групповой политики 328
Установка программ в групповой политике 328
Подготовка точки SDP 332
Создание объектов GPO для развертывания программного обеспечения 332
Управление областью действия объекта GPO развертывания программ 333
Поддержка приложений, развернутых с помощью групповой политики 334
'Оглавление XI

Мггановка программ и медленные подключения ,336


Практические занятия. Управление программным обеспечением
с помощью групповой политики 336
Резюме. — 339
Закрепление материала- 340
Занятие 4. Аудит - 342
Политика аудита 342
Аудит доступа к файлам и папкам 345
Аудлт изменения службы каталогов 349
Практические занятия. Конфигурирование параметров аудита 350
Резюме - 355
Закрепление материала.™ 355
Закрепление материала главы 356
Резюме главы - 356
Основные термины 357
Сценарии - 358
Сценарий 1. Установка программного обеспечения
с помощью групповой политики 358
Сценарий 2. Настройка безопасности 359
Практические задания 360
Группы с ограниченным доступом 360
Настройка безопасности 362
Пробный экзамен 363
Глава 8. Проверка подлинности 364
Прежде всего 364
Занятие 1. Настройка политики паролей и блокировки учетных записей 365
Политики паролей 366
Политики блокировки учетной записи 368
Настройка доменной политики паролей и блокировки учетной записи 369
Гранулированные политики паролей и блокировки 370
Объекты параметров политики 370
Приоритеты объектов PSO и результирующий PSO 371
Объекты PSO н подразделения 372
Практические занятия. Настройка политики паролей и блокировки 373
Резюме 376
Закрепление материала 376
Занятие 2. Аудит проверки подлинности ; 377
Вход и события входа учетной записи : 378
Настройка политик проверки подлинности 379
Назначение области действия политики аудита 380
Просмотр событий входа 381
Практические занятия ! 382
Резюме 383
Закрепление материала 383
Занятие 3. Настройка контроллеров RODC 384
Проверка подлинности и размещение контроллера домена в филиале 385
Контроллеры домена только для чтения 386
Оглавление Xlll

Развертывание контроллера RODC 387


Проверка и настройка леса до функционального уровня
не ниже Windows Server 2003 388
Политика репликации паролей 391
Администрирование кэширования учетных данных на контроллере RODC 393
Разделение административных ролей 394
Практические занятия. Настройка контроллеров домена только для чтения 395
Резюме •• 399
Закрепление материала 399
Закрепление материала главы «400
Резюме главы 400
Основные термины 401
Сценарии 401
Сценарий 1. Повышение уровня безопасности административных
учетных записей 402
Сценарий 2. Повышение уровня безопасности и стабильности проверки
подлинности в филиале : 402
Практические задания v 403
Настройка множества объектов параметров паролей 403
Восстановление данных похищенного контроллера RODC 403
Пробный экзамен 404
Глава 9. И н т е г р а ц и я D N S с AD DS 405
DNS и IPv6 407
Протокол разрешения одноранговых имен 409
Структуры DNS 410
Синдром раздвоения личности 412
Прежде всего '. 415
Занятие 1. Установка DNS 416
Концепция DNS 417
Компоненты DNS в Windows Server 2008 424
Интеграция в AD DS 427
Практические занятия. Установка службы DNS 429
Резюме 440
Закрепление материала 440
Занятие 2. Настройка и использование DNS 441
Настройка DNS 442
Серверы пересылки и корневые ссылки 450
Управление именами из одной метки 453
DNShDHCP 455
Разделы каталога приложений 456
Администрирование DNS-серверов 459
Практические занятия. Завершение настройки DNS-серверов в лесу 462
Резюме 464
Закрепление материала : 465
Закрепление материала главы : 466
Резюме главы 466
Основные термины 467
XIV Оглаолоние

Сценарий. Блокирование конкретных DNS-имен 467


Практические задания 467 /
Работа с DNS 467.'
Пробный экзамен 408
Глава 10. Контроллеры домена 4 69
Прежде всего 469
Занятие 1. Установка контроллеров домена
Установка контроллера домена с помощью интерфейса Windows 471
Автоматизированная установка и файлы ответов i 472
Установка нового леса Windows Server 2008 473
Установка дополнительных контроллеров в домене 474
Установка нового дочернего домена Windows Server 2008 477
Установка нового доменного дерева 478
Промежуточная установка контроллера RODC 479
Установка служб AD DS с носителя 482
Удаление контроллера домена 483
Практические занятия. Установка контроллеров доменов 484
Резюме 487
Закрепление материала 487
Занятие 2. Настройка хозяев операций 488
Мастеры операций 489
Роли мастеров операций уровня леса 490
Роли мастеров операций уровня домена 490
Размещение хозяев операций 493
Идентификация хозяев операций 495
Перенос ролей хозяев операций 496
Ошибки распознавания хозяев операций 497
Отзыв ролей хозяев операций 497
Возврат роли прежнему владельцу 499
Практические занятия. Перенос ролей хозяев операций 500
Резюме 502
Закрепление материала 503
Занятие 3. Настройка репликации DFS папки SYS VOL 504
Повышение функционального уровня домена 504
Стадии миграции 505
Миграция репликации SYSVOL па механизм DFS-R 506
Практические занятия. Настройка репликации DFS папки SYSVOL 507
Резюме 512
Закрепление материала 512
Закрепление материала главы 513
Резюме главы 513
Основные термины 513
Сценарий. Обновление домена 513
Практические задания 514
Обновление домена Windows Server 2003 514
Пробный экзамен 5М
'Оглавление XI

Глава 11. С а й т ы и р е п л и к а ц и я 515


\ Прежде всего
!
Занятие 1. Настройка сайтов и подсетей
Сайты
Планирование сайтов
Определение сайтов
Управление контроллерами домена в сайтах
Размещение контроллеров домена
Практические занятия. Настройка сайтов и подсетей
Резюме
Закрепление материала
Занятие 2. Настройка глобального каталога и разделов каталогов приложений- 528
Просмотр разделов Active Directory
Глобальный каталог 529
Размещение серверов глобального каталога 530
Настройка сервера глобального каталога 530
Кэширование членства в универсальных группах 531
Разделы каталога приложений 532
Практические занятия. Репликация и разделы каталога 534
Резюме 536
Закрепление материала „...536
Занятие 3. Настройка репликации 537
Репликация Active Directory 538
Объекты подключений 539
Knowledge Consistency Checker — 540
Репликация внутри сайта 540
Связи сайтов 542
Мостовые серверы .544
Настройка репликации между сайтами 546
Мониторинг репликации 549
Практические занятия. Настройка репликации 552
Резюме 554
Закрепление материала 554
Закрепление материала главы 556
Резюме главы 556
Основные термины 557
Сценарий. Настройка сайтов и подсетей 557
Практические задания 558
558
Мониторинг и управление репликацией
559
Пробный экзамен
560
Глава 12. Д о м е н ы и л е с а ...
560
Прежде всего
561
Занятие 1. Функциональные уровни домена и леса— —
561
Функциональные уровни
562
Функциональные уровни домена
565
Функциональные уровни леса
VIII Оглавление

Практические занятия. Повышение функциональных уровней домена и леса 568 .


Резюме , 570
Закрепление материала. 570 /
Занятие 2. Управление множеством доменов н доверительными связями 571
:
Определение структуры лесов и доменов 571
Перемещение объектов между доменами и лесами 576
Доверительные связи 581
Протоколы проверки подлинности и доверительные связи 584
Доверительные связи, создаваемые вручную 587
Администрирование доверительных отношений 594
Безопасность доверительных отношений 595
Практические занятия. Администрирование доверия 600
6
Резюме "5
Закрепление материала. 606
Закрепление материала главы. 608
Резюме главы 608
Сценарий. Управление множеством доменов и лесов 609
Практические задания.» 609
Настройка леса или домеиа 609
Пробный экзамен 610

Глава 13. Непрерывность бизнес-процессов каталогов 611


Прежде всего 612
Занятие 1. Поддержка каталогов и защита хранилища данных 613
Двенадцать категорий администрирования AD DS 615
Техническая поддержка в сети 626
Автономная техническая поддержка 626
Использование встроенных механизмов защиты каталогов 627
Защита каталога с помощью архивации и восстановления Windows Server 633
Активное восстановление 643 •
Зашита контроллеров доменов как виртуальных машин 653
Практические занятая. Работа с базой данных AD DS 655
Резюме 663
Закрепление материала 664
Занятие 2. Управление производительностью каталогов 665
Управление системными ресурсами 666
Диспетчер системных ресурсов Windows 679
Практические занятия. Анализ производительности AD DS 681
Резюме ^ 688
Закрепление материала 688
Закрепление материала главы 689
Резюме главы 689
Основные термины 690
Сценарий. Работа с утерянными данными 690
Практические задания 691
Активная техническая поддержка каталогов 691
Пробный экзамен 691
Оглавление XVII

\ Глава 14. С л у ж б ы облегченного доступа к каталогам 692


^Прежде всего 694
Занятие 1. Установка AD LDS 696
Принципы работы AD LDS 696
Сценарии AD LDS 698
Установка AD LDS 701
Практические занятия. Установка AD LDS 702
Резюме 705
Закрепление материала.... ; 705
Занятие 2. Настройка и использование AD LDS 706
Инструменты AD LDS 706
Создание экземпляров AD LDS 709
Работа с экземплярами AD LDS 715
Практические занятия. Работа с экземплярами AD LDS 720
Резюме 725
Закрепление материала 726
Закрепление материала главы 726
Резюме главы 727
Основные термины 727
Сценарий. Определение предварительных реквизитов AD LDS 727
Практические задания 728
Работа с экземплярами AD LDS 728
Пробный экзамен 729
Глава 15. С л у ж б ы с е р т и ф и к а ц и и Active Directory
и инфраструктура открытых ключей 730
Прежде всего 734
Занятие 1. Установка служб сертификации Active Directory 736
Службы AD CS 737
Установка AD CS 747
Практические занятия. Установка иерархии центров сертификации 749
Резюме - 758
Закрепление материала 759
Занятие 2. Настройка и использование служб сертификации Active Directory 761
Завершение настройки конфигурации центра выдачи сертификатов 761
Завершение настройки сетевого ответчика 768
Использование и управление AD CS 773
PKI предприятия 775
Защита конфигурации AD CS 776
Практические занятия. Настройка и использование AD CS 778
Резюме 785
Закрепление материала..... 786
Закрепление материала главы 787
Резюме главы 787
Основные термины 788
Сценарий. Управление отзывом сертификатов ; 788
Практические задания 789
Работа с AD CS 789
Пробный экзамен 790
'Оглавление XI

Глава 16. Службы управления правами Active Directory 791

793
Activc Direct0
з ^ с Т ^ ^ у т ^ « Р « ^ 1:795

Практические занятия. Установка AD RMS


^ * 818
- -
01Н
Закрепление материала.- - ••••••••
Занятие 2. Настройка и использование служб управления правами Active Directory 819
820
Настройка AD RMS
Практические занятия. Создание шаблона политики прав доступа 831
8 3 2
Резюме..
Закрепление материала 833
Закрепление материала главы 833
8 3 3
Резюме главы
Основные термины 834
Сценарий. Подготовка к работе с внешним кластером AD RMS : 835
Практические задания 835
Работа с ADRMS .....835
Пробный экзамен 836
Глава 17. Службы федерации Active Directory 837
Назначение брандмауэра 838
Службы федерации Active Directory 839
Прежде всего— 841
Занятие 1. Концепция служб федерации Active Directory : 843
Проектирование AD FS .-. 847
Компоненты AD FS 850
Установка служб федерации Active Directory 857
Практические занятия. Подготовка к развертыванию AD FS 861
Резюме
- ...865
Закрепление материала. 865
Занятие 2. Настройка служб федерации Active Directory 866
Завершение настройки AD FS 867
Использование AD FS и управление ими ^ 868
П т о е с к и е занятия. Завершение настройки AD FS 869

Закрепление материала 885


Закрепление материала главы..! яя«
Резюме главы
8 8 6
Основные термины

Ответы 8 8 8

889
Введение

Это р у к о в о д с т в о предназначено д л я IT-специалистов, которые поддерживают


и л и п л а н и р у ю т поддерживать доменные службы Active Directory (Active Direc-
t o r y D o m a i n Services, AD D S ) в Windows Server 2008 и хотели бы, сдав экза-
мен 7 0 - 6 4 0 , п о л у ч и т ь з в а н и е сертифицированного технического специалиста
M i c r o s o f t ( M S T F ) . Р а б о т а я над книгой, авторы исходили из предположения,
что ч и т а т е л и х о р о ш о знают клиентские и серверные операционные системы
M i c r o s o f t W i n d o w s , а т а к ж е распространенные интернет-технологии и что они
и м е ю т о п ы т а д м и н и с т р и р о в а н и я AD DS не менее года. Причем последнее яв-
л я е т с я у с л о в и е м и д л я сдачи экзамена.
О с в о и в и з л о ж е н н ы й материал, вы подготовитесь к сдаче сертификацион-
ного э к з а м е н а 7 0 - 6 4 0 , поймете принцип реализации AD DS в распределенных
средах, в к л ю ч а ю щ и х к о м п л е к с н ы е сетевые службы, множество размещений
и к о н т р о л л е р о в д о м е н о в . В частности, вы сможете свободно выполнять сле-
дующие операции.
• Р а з в е р т ы в а т ь в лесу и л и домене Доменные службы Active Directory (Active
D i r e c t o r y D o m a i n Services), Службы Active Directory облегченного доступа
к к а т а л о г а м ( A c t i v e D i r e c t o r y Lightweight Directory Services), Службы сер-
т и ф и к а ц и и Active Directory (Active Directory Certificate Services), Службы
ф е д е р а ц и и Active Directory (Active Directory Federation Services) и Службы
у п р а в л е н и я п р а в а м и Active Directory (Active Directory Rights Management
Services).
• О б н о в л я т ь с у щ е с т в у ю щ и е контроллеры доменов, домены и леса до Win-
d o w s S e r v e r 2008.
• Э ф ф е к т и в н о а д м и н и с т р и р о в а т ь пользователей, группы и компьютеры.
• У п р а в л я т ь к о н ф и г у р а ц и е й и безопасностью домена с помощью групповой
п о л и т и к и , г р а н у л и р о в а н н ы х п о л и т и к паролей, аудита служб каталогов
и М а с т е р а н а с т р о й к и безопасности (Security Configuration Wizard).
• Р е а л и з о в а т ь э ф ф е к т и в н о е разрешение имен с помощью системы DNS (Do-
m a i n N a m e S y s t e m ) в W i n d o w s Server 2008.
• П л а н и р о в а т ь , к о н ф и г у р и р о в а т ь и поддерживать репликацию данных Active
D i r e c t o r y в у з л а х и между сайтами.
• Д о б а в л я т ь , у д а л я т ь , поддерживать и архивировать контроллеры доменов.
• В к л ю ч а т ь п р о в е р к у подлинности между доменами и лесами.
• Р е а л и з о в ы в а т ь новые возможности и функциональность Windows Server 2008.
Введение

ПРИМЕЧАНИЕ Ресурсы в Интернете


Новый или обновленный материал по данной книге будет размещен на веб-сайте
Microsoft Press Online Windows Sen- cr And Client. В зависимости от сборки Windows
Server 2008 это могут быть обновления книги, статьи, ссылки на аналогичное содер-
жимое, исправления, примеры глав и многое другое. Указанный веб-сайт доступен
по адресу hltp://«'»«>.microsoft.com/leaming/books/online/seiverclienC и периодически
обновляется.

О данном руководстве
В настоящем руководстве по подготовке к с е р т и ф и к а ц и о н н о м у э к з а м е н у 7 0 - 6 4 0
описано много концепций и приемов, касающихся р е а л и з а ц и и и а д м и н и с т р и р о -
вания AD DS в Windows Server 2008. Каждое з а н я т и е в к л ю ч а е т т е о р е т и ч е с к и й
материал, упражнения, вопросы, а также сценарии и р е к о м е н д у е м ы е п р а к т и ч е с -
кие задания. Ссылки на внешние ресурсы, а т а к ж е п р и м е р ы э к з а м е н а ц и о н н ы х
вопросов представлены на прилагаемом к книге к о м п а к т - д и с к е .
Мы рекомендуем использовать все к о м п о н е н т ы д а н н о г о р у к о в о д с т в а . И з у -
чить концепции и приобрести определенные н а в ы к и п р о щ е в с е г о в п р о ц е с с е
выполнения практических заданий и отвечая на э к з а м е н а ц и о н н ы е в о п р о с ы .
Причем отдельные концепции и рекомендации и з л о ж е н ы т о л ь к о в п р а к т и ч е с -
ких упражнениях или упоминаются в контексте э к з а м е н а ц и о н н ы х в о п р о с о в ,
то есть в основной материал занятия они не в к л ю ч е н ы . В н и м а т е л ь н о ч и т а й т е
теоретический материал и выполняйте практические з а д а н и я . Д а ж е е с л и вы не
располагаете средой для выполнения упражнений, пытайтесь з а п о м н и т ь о п и с ы -
ваемые операции — рано илн поздно вам придется р е а л и з о в а т ь все на п р а к т и к е .

Требования к оборудованию
Практические упражнения — в а ж н е й ш и й к о м п о н е н т д а н н о г о р у к о в о д с т в а .
Они позволяют непосредственно п р и м е н я т ь п р и о б р е т е н н ы е з н а н и я и н а в ы к и .
Для выполнения большинства упражнений необходим л и ш ь о д и н к о м п ь ю т е р ,
отконфигурнрованный как контроллер д о м е н а c o n t o s o . c o m , но в н е к о т о р ы х
случаях требуются дополнительные машины, в ы п о л н я ю щ и е р о л ь в т о р о г о к о н -
троллера в домене, контроллера еще одного д о м е н а в т о м же лесу, к о н т р о л л е р а
домена в еще одном лесу либо сервера, р е а л и з у ю щ е г о д р у г и е р о л и .
В главах с описанием AD DS (главы 1 - 1 3 ) т р е б у е т с я о д н о в р е м е н н о з а -
пускать не менее трех машин, а в главах с о п и с а н и е м д р у г и х р о л е й A c t i v e
Directory для обеспечения полной ф у н к ц и о н а л ь н о с т и т е х н о л о г и й н е о б х о д и м о
задействовать до семи машин.
В практических упражнениях вместо ф и з и ч е с к и х к о м п ь ю т е р о в с т р о г о р е -
комендуется использовать виртуальные машины. Б л а г о д а р я этому з н а ч и т е л ь н о
экономится время и отпадает необходимость в к о н ф и г у р а ц и и ф и з и ч е с к и х к о м -
пьютеров. Для виртуализации можно использовать Virtual PC 2007 и л и V i r t u a l
Server версии ие ниже 2005 R2 (бесплатно з а г р у ж а е т с я по адресу http://www.
microsoft.com/downloads). Вам также подойдут т а к и е с р е д с т в а в и р т у а л и з а ц и и ,
как VMware Workstation и VMware Server, которые м о ж н о з а г р у з и т ь по а д р е с у
http://www.vmware.com. Просмотрите в документации выбранного п р о г р а м м н о г о
введение XXI

о б е с п е ч е н и я д л я в и р т у а л и з а ц и и и н ф о р м а ц и ю о создании в и р т у а л ь н ы х машин
W i n d o w s S e r v e r 2008.
В т а к и х н е б о л ь ш и х средах, как домен contoso.com, м а ш и н а W i n d o w s Ser-
v e r 2 0 0 8 б у д е т н о р м а л ь н о ф у н к ц и о н и р о в а т ь с 512 М б а й т памяти. П р и исполь-
з о в а н и и в и р т у а л ь н ы х м а ш и н в ы д е л я й т е д л я каждой из н и х не менее 512 Мбайт
о п е р а т и в н о й п а м я т и . Н а ф и з и ч е с к о м компьютере, у п р а в л я ю щ е м виртуальными
м а ш и н а м и , р е к о м е н д у е т с я установить достаточный объем п а м я т и д л я операци-
о н н о й с и с т е м ы и в с е х о д н о в р е м е н н о з а п у с к а е м ы х в и р т у а л ь н ы х машин. В слу-
чае в о з н и к н о в е н и я п р о б л е м с п р о и з в о д и т е л ь н о с т ь ю п р и з а п у с к е м н о ж е с т в а
в и р т у а л ь н ы х м а ш и н н а о д н о м ф и з и ч е с к о м хосте р а с с м о т р и т е в о з м о ж н о с т ь
з а п у с к а в и р т у а л ь н ы х м а ш и н н а р а з л и ч н ы х ф и з и ч е с к и х хостах. Убедитесь, что
все в и р т у а л ь н ы е м а ш и н ы м о г у т с в я з ы в а т ь с я друг с д р у г о м по сети. Строго
р е к о м е н д у е т с я п о л н о с т ь ю о т к л ю ч и т ь среду о т п р о и з в о д с т в е н н о й сети.
А в т о р ы с о в е т у ю т с о х р а н я т ь все в и р т у а л ь н ы е м а ш и н ы , п о к а данное руко-
в о д с т в о н е б у д е т п о л н о с т ь ю п р о ч и т а н о . П о с л е з а в е р ш е н и я р а б о т ы над каждой
г л а в о й с о з д а в а й т е р е з е р в н ы е к о п и и и л и с н и м к и и с п о л ь з у е м ы х в ней виртуаль-
н ы х м а ш и н , ч т о б ы п р и н е о б х о д и м о с т и и х м о ж н о б ы л о п р и м е н я т ь в последу-
ющих упражнениях.

Требования к программному обеспечению


Д л я в ы п о л н е н и я п р а к т и ч е с к и х з а д а н и й н а с т о я щ е г о р у к о в о д с т в а необходима
к о п и я W i n d o w s S e r v e r 2008. Р я д у п р а ж н е н и й т р е б у ю т у с т а н о в к и W i n d o w s
S e r v e r 2 0 0 3 , а н е к о т о р ы е о п ц и о н а л ь н ы е у п р а ж н е н и я — W i n d o w s Vista.
О ц е н о ч н ы е в е р с и и W i n d o w s Server 2008 м о ж н о з а г р у з и т ь по адресу http://
www.microsoft.com/downloads. Д л я в ы п о л н е н и я у п р а ж н е н и й у с т а н о в и т е в ы п у с к
S t a n d a r d и л и E n t e r p r i s e и и с п о л ь з у й т е 32- л и б о 6 4 - р а з р я д н у ю версию в зависи-
м о с т и о т в ы б р а н н о й п л а т ф о р м ы оборудования и л и виртуализации. И н с т р у к ц и и
по у с т а н о в к е п е р в о г о к о н т р о л л е р а в д о м е н е contoso.com, к о т о р ы й вы будете
и с п о л ь з о в а т ь на п р о т я ж е н и и всего времени работы с руководством, содержатся
в г л а в е 1. В з а н я т и я х , где т р е б у ю т с я д о п о л н и т е л ь н ы е к о м п ь ю т е р ы , о п и с а н а
к о н ф и г у р а ц и я этих компьютеров.

Использование компакт-диска
П р и л а г а е м ы й к к н и г е компакт-диск содержит следующие материалы.
• Пробные экзамены Электронные пробные экзамены, составленные на
о с н о в е в о п р о с о в , к о т о р ы е содержатся в подразделах « З а к р е п л е н и е материа-
л а » , п о м о г у т в а м з а к р е п и т ь и систематизировать свои з н а н и я по настройке
W i n d o w s S e r v e r 2008. Н а с к о л ь к о х о р о ш о усвоена тема, м о ж н о проверить,
о т в е ч а я н а в о п р о с ы л и б о п о о п р е д е л е н н ы м главам, л и б о п о всему сертифи-
к а ц и о н н о м у э к з а м е н у 7 0 - 6 4 0 . П р о б н ы й экзамен н а с т р а и в а е т с я в р е ж и м е
о б ы ч н о г о э к з а м е н а и л и в р е ж и м е о б у ч е н и я — в последнем случае и м е е т с я
в о з м о ж н о с т ь п р о с м а т р и в а т ь п р а в и л ь н ы е ответы и о б ъ я с н е н и я .
• Э л е к т р о н н а я книга Э л е к т р о н н а я в е р с и я этой к н и г и ( е В о о к ) д а е т с я на
т о т с л у ч а й , е с л и в а м не з а х о ч е т с я носить с собой п е ч а т н ы й вариант. О н а
с о з д а н а в P D F - ф о р м а т е ( P o r t a b l e D o c u m e n t Format — ф о р м а т переносимого
XXII Введение

документа), следовательно, просматривать ее м о ж н о с п о м о щ ь ю п р о г р а м м


Adobe Acrobat и Adobe Reader.
• Примеры глав На компакт-диске вы найдете г л а в ы из д р у г и х к н и г и з -
дательства Microsoft Press, п о с в я щ е н н ы х W i n d o w s S e r v e r 2 0 0 8 ( т а к ж е
в формате PDF).

Установка заданий пробного экзамена


Вам необходимо установить с компакт-диска на ж е с т к и й д и с к з а д а н и я , к о т о р ы е
следует выполнить для подготовки к сдаче пробного э к з а м е н а .
1. Вставьте компактдиск в дисковод и п р и м и т е у с л о в и я л и ц е н з и о н н о г о со-
глашения. На экран монитора будет выведено м е н ю к о м п а к т - д и с к а .

ПРИМЕЧАНИЕ Что делать, вели меню диска не отображается


Если условия лицензионного соглашения на экране не отобразились или если не
появилось меню компакт-диска, возможно, на вашем компьютере отключена функ-
ция автозапуска. Указания относительно альтернативного способа ее установки вы
найдете на компакт-диске в файле Readme.txt.

2. Щелкните элемент Practice Tests и следуйте в ы в о д и м ы м на э к р а н е у к а з а -


ниям.

ПРИМЕЧАНИЕ Занятия и практические тесты


Если вы хотите попытаться ответить на какие-либо вопросы из подраздела «Закрепле-
ние материала», сопровождающего каждое занятие, выберите Lesson r e v i e w \ ( 7 0 - 6 4 0 )
TS: Configuring Windows Server 2008 Active Directory. Для того чтобы ответить
на любые из 200 вопросов, аналогичных вопросам сертификационного экзамена
70-640, выберите Practice test\(70-640) TS: Configuring Windows Server 2008 Ac-
tive Directory.

Закрепление материала
Чтобы закрепить пройденный материал, о т к р о й т е д и а л о г о в о е о к н о C u s t o m
Mode и настройте процедуру тестирования. Вы можете щ е л к н у т ь ОК и п р и н я т ь
параметры по умолчанию или же определить количество в о п р о с о в , р е ж и м рабо'--
ты программы, а также указать, какие экзаменационные т е м ы д о л ж н ы з а т р а г и -
вать эти вопросы и нужно ли фиксировать время, з а т р а ч и в а е м о е на п о д г о т о в к у
ответов. При повторном тестировании вы м о ж е т е о т в е т и т ь на в с е в о п р о с ы
либо лишь на те, на которые не смогли дать п р а в и л ь н ы й о т в е т в п е р в ы й р а з .
• Для того чтобы начать опрос, щелкните к н о п к у О К .
• Отвечая на вопросы теста, переходите от одного в о п р о с а к д р у г о м у с п о -
мощью кнопок Next, Previous и Go То.
« Если вы хотите выяснить, правильно ли ответили на в о п р о с , а т а к ж е п о -
лучить объяснения, щелкните Explanation.
• Чтобы узнать результаты тестирования, щ е л к н и т е Score Test. Вы у в и д и т е
краткий перечень выбранных э к з а м е н а ц и о н н ы х т е м и о б щ е е КОЛИЧбСТВО
Введение XXIII

(в п р о ц е н т а х ) п р а в и л ь н ы х ответов на тест, а т а к ж е количество п р а в и л ь н ы х


о т в е т о в по к о н к р е т н о й теме. У вас имеется возможность распечатать копию
в ы п о л н е н н о г о теста, п р о с м о т р е т ь свои ответы и л и пройти тест повторно.

Пробный э к з а м е н
В а м н е о б х о д и м о в ы б р а т ь р е ж и м п р о х о ж д е н и я пробного экзамена: Certifica-
tion M o d e ( с е р т и ф и к а ц и о н н ы й ) , Study Mode (обучающий) или Custom Mode
(настраиваемый).
• Certification Mode Д а н н ы й р е ж и м м а к с и м а л ь н о соответствует у с л о в и я м
п р о в е д е н и я с е р т и ф и к а ц и о н н о г о э к з а м е н а . Тест с о д е р ж и т о п р е д е л е н н о е
ч и с л о в о п р о с о в , в р е м я его в ы п о л н е н и я ф и к с и р у е т с я .
• Study Mode П р и п р о х о ж д е н и и теста в этом р е ж и м е в р е м я не ф и к с и р у е т -
ся, ч т о п о з в о л я е т п р о с м а т р и в а т ь п р а в и л ь н ы е ответы и о б ъ я с н е н и я после
к а ж д о г о ответа на вопрос.
• Custom Mode Р е ж и м , к о т о р ы й предоставляет вам возможность настроить
тест по своему усмотрению.
Во в с е х р е ж и м а х и с п о л ь з у е т с я ф а к т и ч е с к и один и тот же пользовательский
и н т е р ф е й с , с т о й л и ш ь р а з н и ц е й , что о т м е н я ю т с я некоторые возможности.
П р о с м а т р и в а я свой ответ н а к о н к р е т н ы й вопрос, в ы у в и д и т е раздел Refe-
r e n c e s с у к а з а н и е м т о г о , где м о ж н о н а й т и и н ф о р м а ц и ю по з а т р о н у т о й теме.
После того к а к вы щелкнете Test Results, ч т о б ы узнать результаты теста, пе-
р е й д и т е на в к л а д к у Learning P l a n и просмотрите список с с ы л о к п о каждому
вопросу.

У д а л е н и е ПО для пробного экзамена


П р и н е о б х о д и м о с т и у д а л и т ь программное обеспечение, используемое д л я сдачи
п р о б н о г о э к з а м е н а , на п а н е л и у п р а в л е н и я щелкните значок Установка и удале-
н и е ( A d d Or R e m o v e P r o g r a m s ) , если работаете в Windows ХР, либо Программы
и к о м п о н е н т ы ( P r o g r a m s A n d F e a t u r e s ) — при работе в W i n d o w s Vista.

Программа сертификации специалистов Microsoft


С е р т и ф и к а ц и я M i c r o s o f t о б е с п е ч и в а е т н а и л у ч ш и й метод п р о в е р к и того, на-
с к о л ь к о х о р о ш о с п е ц и а л и с т л и б о ч л е н ы одной команды знают продукты и тех-
н о л о г и и M i c r o s o f t . П о р я д о к с д а ч и экзаменов и механизм выдачи соответству-
ю щ и х с е р т и ф и к а т о в р а з р а б о т а н ы с целью подтверждения п р о ф е с с и о н а л ь н ы х
н а в ы к о в в о б л а с т и п р о е к т и р о в а н и я и разработки либо реализации и поддержки
р е ш е н и й с и с п о л ь з о в а н и е м н о в е й ш и х методик. Специалисты, и м е ю щ и е сер-
т и ф и к а т ы M i c r o s o f t , з а с л у ж е н н о считаются экспертами в области высоких
т е х н о л о г и й . Н а л и ч и е с е р т и ф и к а т о в предоставляет м н о ж е с т в о п р е и м у щ е с т в
к а к о т д е л ь н ы м л и ц а м , т а к и с л у ж а щ и м и организациям.

К СВЕДЕНИЮ Все сертификаты Microsoft


Полный список сертификатов Microsoft можно найти по адресу www.microsoft.com/
learning/тер/default.asp
XXIV Введение

Техническая поддержка
Свои комментарии, вопросы и предложения относительно с о д е р ж и м о г о к н и г и
и прилагаемого к ней компакт-диска о т п р а в л я й т е в и з д а т е л ь с т в о M i c r o s o f t
Press. - '
« Адрес электронной почты:
tkinput@microsoft.com
« Почтовый адрес:
Microsoft Press
Attn: MCITS Self-Paced Training Kit ( E x a m 7 0 - 6 4 0 ) : C o n f i g u r i n g W i n d o w s
Server 2008 Active Directory, Editor
One Microsoft Way
Redmond, WA 98052-6399
Дополнительную информацию по рассматриваемым в и з д а н и и т е м а м , а т а к -
же ответы на часто задаваемые вопросы об установке и и с п о л ь з о в а н и и р а з л и ч -
ных продуктов можно найтн на веб-сайте M i c r o s o f t P r e s s T e c h n i c a l S u p p o r t по
адресу http://www.microsoft.com/learning/support/books. Е с л и вы з а х о т и т е п о д -
ключиться к базе знаний Microsoft, с тем чтобы н е п о с р е д с т в е н н о в в о д и т ь с в о и
запросы, откройте страницу http://support.microsoft.com/search. Информация
о программном обеспечении Microsoft п р е д с т а в л е н а на с а й т е http://support.
microsoft.com.

Благодарности
Нельсон, Даниэль, Тони н я хотели бы в ы р а з и т ь о г р о м н у ю б л а г о д а р н о с т ь с о -
трудникам издательства Microsoft Press за р а с п р о с т р а н е н и е у ч е б н ы х м а т е р и -
алов по сертификации Windows Server 2008. Н а ч н у с Л а у р ы С о к е р м а н и К е н а
Джонса: вы собрали нас вместе в 2007 году и с о з д а л и д о в о л ь н о э ф ф е к т и в н у ю
структуру, которая подготовила, как нам кажется, в е л и к о л е п н ы й р е с у р с д л я
IT-специалистов. Спасибо вам за то, что дали нам в о з м о ж н о с т ь н а п и с а т ь к н и г у
о любимой технологии Windows! Выражаем п р и з н а т е л ь н о с т ь М о р и н З и м м е р -
ман — за ее неустанное внимание к деталям процесса, за п о д д е р ж к у и т е р п е н и е ,
а также за то, что сумела заставить нас довести д е л о до к о н ц а . Б о б Х о г а н , В а м
огромное спасибо за ценные идеи и советы! С п а с и б о К е р и н Ф о р с и т за о ф о р м -
ление издания! Выражаем благодарность Бобу Д и н за ф о р м у л и р о в к у в о п р о с о в
практических упражнений. Крис Нортон, без Вас мы не с м о г л и бы н а п и с а т ь
ни одной страницы этого руководства. С п а с и б о всем!
И, конечно же, мы благодарим свои семьи, друзей, муз, к о т о р ы е п о д д е р ж и -
вали нас во время работы над книгой.
Г Л А В А 1

Установка

Занятие 1. Установка доменных служб Active Directory 2


Занятие 2. Доменные службы Active Directory и ядро сервера 23

К о м п о н е н т A c t i v e D i r e c t o r y Domain Services (AD D S ) и связанные с ним


с л у ж б ы ф о р м и р у ю т основу корпоративных сетей Microsoft Windows. Они
х р а н я т д а н н ы е о подлинности пользователей, компьютеров и служб, а следо-
вательно, их м о ж н о использовать для проверки подлинности пользователя или
к о м п ь ю т е р а . К р о м е того, указанные средства предоставляют пользователям
и к о м п ь ю т е р а м механизм получения доступа к ресурсам предприятия. В на-
чале э т о й г л а в ы мы рассмотрим службу Active Directory системы Windows
Server 2008, р а с с к а ж е м об установке роли Доменные службы Active Directory
( A c t i v e D i r e c t o r y D o m a i n Services) и о создании контроллера домена в но-
вом лесу Active Directory. В системе Windows Server 2008 усовершенствованы
многие к о н ц е п ц и и и компоненты Active Directory, с предыдущими версиями
к о т о р ы х вы, возможно, уже знакомы.
Д а н н а я глава посвящена созданию нового леса Active Directory с одним
д о м е н о м на о д н о м контроллере домена. В ее практических упражнениях пред-
ставлен п р о ц е с с создания домена contoso.com, который будет использоваться и
в п о с л е д у ю щ и х практических упражнениях этого руководства. Позднее (в гла-
вах 8, 10 и 12) мы рассмотрим другие сценарии, включая леса с множеством
доменов, о б н о в л е н и е существующих лесов до Windows Server 2008 и допол-
н и т е л ь н ы е о п ц и и установки. Наконец, в главах 14-17 будут описаны такие
с л у ж б ы Active Directory, как службы облегченного доступа к каталогам (Acti-
ve D i r e c t o r y Lightweight Directory Services), сертификации Active Directory
(Active D i r e c t o r y Certificate Services) с инфраструктурой публичных ключей,
у п р а в л е н и я п р а в а м и Active Directory (Active Directory Rights Management
Service), ф е д е р а ц и и Active Directory (Active Directory Federated Services).

Темы экзамена:
• Н а с т р о й к а инфраструктуры Active Directory.
• Н а с т р о й к а леса либо домена.
2 Установка

Прежде всего
Для выполнения упражнений данной главы вам п о н а д о б я т с я с л е д у ю щ и е ап-
паратные и программные средства.
• Два компьютера с установленной с и с т е м о й W i n d o w s S e r v e r 2 0 0 8 . О н и
должны соответствовать м и н и м а л ь н ы м т р е б о в а н и я м с и с т е м ы W i n d o w s
Server 2008, указанным по адресу http://technet.microsoft.com/en-us/
windowsserver/2008/bb414778.aspx. Вам п о т р е б у е т с я не м е н е е 5 1 2 М б а й т
памяти, 10 Гбайт свободного пространства на ж е с т к о м д и с к е и п р о ц е с с о р
х86 с минимальной тактовой частотой 1 ГГц и л и процессор х64 с м и н и м а л ь -
ной тактовой частотой 1,4 ГГц. М о ж н о т а к ж е и с п о л ь з о в а т ь в и р т у а л ь н ы е
машины, соответствующие тем же т р е б о в а н и я м .
« Оценочная версия системы Windows Server 2008. На в р е м я н а п и с а н и я д а н -
ной книга оценочные версии были д о с т у п н ы на д о м а ш н е й с т р а н и ц е э т о й
системы по адресу http://www.microsoft.com/windowsseiver2008.

История из жизни
Дэн Холме
Контроллеры доменов проверяют подлинность и контролируют управление
доступом, что очень важно для целостности и безопасности предприятия Win-
dows. Поэтому в большинстве организаций контроллер домена выполняет лишь
функции серверов файлов и печати.
В предыдущих версиях Windows при повышении ранга рядового сервера до
контроллера домена другие службы оставались доступными независимо от их
использования. Для этих дополнительных ненужных служб надо было вносить
исправления в систему безопасности и обновлять ее, не говоря уже о дополни-
тельных угрозах безопасности для контроллера домена.
В системе Windows Server 2008 эти проблемы устранены благодаря архитек-
туре на основе ролей. При ней сервер начинает свой жизненный цикл с весьма
ограниченной установки системы Windows, в которую потом добавляются роли,
а также связанные с ними службы и компоненты. Посредством установки ядра
сервера (Server Core) системы Windows Server 2008 производится минимальная
установка системы Windows, в которой нет даже графического пользовательского
интерфейса (GUI) и есть только командная строка. В этой главе вы ознакомитесь
с этими важными характеристиками контроллеров доменов системы Windows
Server 2008. Такие изменения архитектуры и набора компонентов помогут вам
повысить безопасность, стабильность и управляемость инфраструктуры про-
верки подлинности и управления доступом.

Занятие 1. Установка доменных служб Active Directory


Доменные службы Active Directory (Active D i r e c t o r y D o m a i n Services, AD D S )
обеспечивают идентификацию и доступ ( I d e n t i t y and Access, I D A ) д л я к о р п о -
ративных сетей. На этом занятии мы рассмотрим AD DS и д р у г и е р о л и A c t i v e
Directory, поддерживаемые в системе W i n d o w s Server 2008. Мы т а к ж е о б с у д и м
Занятие 1 Установка доменных служб Active Directory ") 3

Д и с п е т ч е р с е р в е р а ( S e r v e r M a n a g e r ) , с п о м о щ ь ю которого можно конфигуриро-


в а т ь р о л и с е р в е р а , а т а к ж е у с о в е р ш е н с т в о в а н н ы й М а с т е р установки д о м е н н ы х
с л у ж б A c t i v e D i r e c t o r y ( A c t i v e D i r e c t o r y D o m a i n Services Installation Wizard).
З д е с ь т а к ж е о п и с а н ы к л ю ч е в ы е к о н ц е п ц и и I D A и Active Directory.

Изучив материал этого занятия, вы сможете:


У Описать роль идентификации и доступа в корпоративной сети.
У Понимать связь между службами Active Directory.
У Конфигурировать контроллер домена с ролыо Доменные службы Active Di-
rectory ( A D D S ) посредством интерфейса системы Windows.
Продолжительность занятия — около 60 мин.

Структура Active Directory, идентификация и доступ


К а к у ж е г о в о р и л о с ь в н а ч а л е э т о й главы, с т р у к т у р а Active D i r e c t o r y обеспечи-
вает и д е н т и ф и к а ц и ю и д о с т у п I D A д л я к о р п о р а т и в н ы х сетей Windows. Решение
I D A н е о б х о д и м о д л я п о д д е р ж к и б е з о п а с н о с т и к о р п о р а т и в н ы х ресурсов, в т о м
ч и с л е ф а й л о в , э л е к т р о н н о й почты, п р и л о ж е н и й и баз данных. И н ф р а с т р у к т у р а
I D A д о л ж н а в ы п о л н я т ь с л е д у ю щ и е задачи.
• Х р а н е н и е и н ф о р м а ц и и о пользователях, г р у п п а х , к о м п ь ю т е р а х и д р у г и х
объектах идентификации О б ъ е к т и д е н т и ф и к а ц и и ( i d e n t i t y ) — это пред-
с т а в л е н и е сущности, выполняющей какие-то действия в корпоративной
с е т и . П р е д п о л о ж и м , ч т о п о л ь з о в а т е л ь о т к р ы в а е т д о к у м е н т ы в общей папке
н а с е р в е р е . О н и з а щ и щ е н ы р а з р е ш е н и я м и списка к о н т р о л я доступа (Access
C o n t r o l List, A C L ) . Д о с т у п о м к д о к у м е н т а м у п р а в л я е т подсистема безопас-
н о с т и с е р в е р а , к о т о р ы й , с р а в н и в а я объект и д е н т и ф и к а ц и и пользователя
с о б ъ е к т а м и в с п и с к е ACL, п р е д о с т а в л я е т и л и з а п р е щ а е т п о л ь з о в а т е л ю
д о с т у п . П о с к о л ь к у к о м п ь ю т е р ы , г р у п п ы , с л у ж б ы и д р у г и е объекты т о ж е
в ы п о л н я ю т о п р е д е л е н н ы е д е й с т в и я в сети, они д о л ж н ы быть представлены
о б ъ е к т а м и и д е н т и ф и к а ц и и . С р е д и и н ф о р м а ц и и о б объекте идентификации,
к о т о р а я х р а н и т с я , есть свойства, у н и к а л ь н ы м образом и д е н т и ф и ц и р у ю щ и е
объект, н а п р и м е р и м я пользователя либо идентификатор безопасности
( S e c u r i t y Identifier, S I D ) , а т а к ж е п а р о л ь объекта и д е н т и ф и к а ц и и . Таким об-
р а з о м , хранилище объектов идентификации я в л я е т с я одним из компонентов
и н ф р а с т р у к т у р ы I D A . В х р а н и л и щ е д а н н ы х Active Directory, которое также
н а з ы в а е т с я к а т а л о г о м , х р а н я т с я объекты и д е н т и ф и к а ц и и . С а м и м хранили-
щ е м у п р а в л я е т к о н т р о л л е р д о м е н а — сервер, и г р а ю щ и й роль A D DS.
• П р о в е р к а подлинности о б ъ е к т а и д е н т и ф и к а ц и и Сервер не предоставляет
п о л ь з о в а т е л ю д о с т у п а к документу, п о к а не будет подтверждена п о д л и н -
н о с т ь о б ъ е к т а и д е н т и ф и к а ц и и , п р е д с т а в л е н н о г о в запросе доступа. Что-
б ы п о д т в е р д и т ь п о д л и н н о с т ь объекта, п о л ь з о в а т е л ь у к а з ы в а е т секретную
и н ф о р м а ц и ю , и з в е с т н у ю т о л ь к о ему и и н ф р а с т р у к т у р е IDA. Эти д а н н ы е
с р а в н и в а ю т с я с и н ф о р м а ц и е й в х р а н и л и щ е объектов и д е н т и ф и к а ц и и во
в р е м я п р о ц е с с а , к о т о р ы й н а з ы в а е т с я проверкой подлинности.
I •| g Установка Глава 1

Проверка подлинности Kerberos в д о м е н е Active Directory


В домене Active Directory для проверки подлинности объектов идентификации
используется протокол Kerberos. Когда пользователь или компьютер входит
в сеть домена, этот протокол проверяет подлинность указанных реквизитов и
выдает пакет данных, который называется билетом на получение разрешения
TGT (Ticket Granting Ticket). Перед подключением пользователя к серверу для
запроса документа на контроллер домена пересылается запрос Kerberos вместе
с билетом TGT, который идентифицирует пользователя, прошедшего проверку
подлинности. Контроллер домена выдает пользователю еще один пакет данных,
который называется билетом доступа к службе. Этот билет идентифициру-
ет прошедшего проверку подлинности пользователя на сервере. Пользователь
предоставляет билет на доступ службе на сервере, который принимает его как
подтверждение прохождения проверки подлинности.
В результате выполнения таких действий протоколу Kerberos требуется лишь
один сетевой вход. После начального входа пользователя либо компьютера и по-
лучения им билета TGT пользователь проходит проверку подлинности для всего
домена и может получать идентификационные билеты на доступ к службам.
Всеми этими операциями с билетами прозрачно для пользователя управляют
клиенты и службы Kerberos, встроенные в систему Windows.

• Управление доступом Инфраструктура IDA обеспечивает з а щ и т у к о н -


фиденциальных данных, н а п р и м е р и н ф о р м а ц и и в д о к у м е н т е . Д о с т у п
к конфиденциальным д а н н ы м д о л ж е н к о н т р о л и р о в а т ь с я в с о о т в е т с т в и и
с политиками предприятия. С п и с к и у п р а в л е н и я д о с т у п о м A C L д о к у м е н т а
отражают политику безопасности, с о с т о я щ у ю из р а з р е ш е н и й , в к о т о р ы х
для отдельных объектов и д е н т и ф и к а ц и и у к а з а н ы у р о в н и д о с т у п а . В д а н -
ном примере функции контроля доступа в и н ф р а с т р у к т у р е I D A в ы п о л н я е т
подсистема безопасности на сервере.
• Обеспечение данных аудита Предприятию может п о т р е б о в а т ь с я о т с л е ж и -
вать изменения и действия, в ы п о л н я е м ы е в и н ф р а с т р у к т у р е I D A , п о э т о м у
решение IDA должно обеспечить механизм у п р а в л е н и я а у д и т о м .
Службы AD DS представляют не единственный к о м п о н е н т I D A , п о д д е р ж и -
ваемый в системе Windows Server 2008. В версии W i n d o w s Server 2 0 0 8 к о р п о р а -
ция Microsoft объединила множество ранее р а з д е л е н н ы х к о м п о н е н т о в в и н т е г -
рированную платформу IDA. Сама структура Active D i r e c t o r y т е п е р ь в к л ю ч а е т
пять технологий, назначение которых очевидно из их н а з в а н и й ( р и с . 1 - 1 ) . Э т и
технологии полностью реализуют и д е н т и ф и к а ц и ю и д о с т у п I D A .
• Доменные службы Active D i r e c t o r y ( A c t i v e D i r e c t o r y D o m a i n S e r v i c e s ) —
Идентификация Описанные ранее д о м е н н ы е с л у ж б ы A D D S п р е д о с т а в -
ляют центральный репозиторий д л я у п р а в л е н и я и д е н т и ф и к а ц и е й в о р -
ганизации. Они проверяют п о д л и н н о с т ь и а в т о р и з а ц и ю в с е т и , а т а к ж е
поддерживают управление о б ъ е к т а м и с п о м о щ ь ю г р у п п о в о й п о л и т и к и .
Кроме того, службы AD DS обеспечивают у п р а в л е н и е и н ф о р м а ц и е й и об-
щим доступом к службам, помогая п о л ь з о в а т е л я м н а х о д и т ь в к а т а л о г е
различные компоненты: ф а й л о в ы е серверы, п р и н т е р ы , г р у п п ы и других
Занятие 1 Установка доменных служб Active Directory ") 5

п о л ь з о в а т е л е й . П о этой п р и ч и н е A D D S часто называют с л у ж б о й каталогов


с е т е в о й о п е р а ц и о н н о й системы. С л у ж б ы A D D S п р е д с т а в л я ю т основную
т е х н о л о г и ю A c t i v e Directory, поэтому о н и д о л ж н ы б ы т ь р а з в е р н у т ы в каж-
д о й с е т и с о п е р а ц и о н н о й системой W i n d o w s Server 2008. Д о м е н н ы е службы
Active D i r e c t o r y описаны в главах 1 - 1 3 .

Службы облегченного
доступа к каталогам
Active Directory
(AD LDS)

Службы управления
правами Active Directory
(AD RMS)
Легенда
Интеграция технологий Active Directory
Потенциальные связи

Рис. 1-1. Интеграция пяти технологий Active Directory

В к а ч е с т в е р у к о в о д с т в а по п р о е к т и р о в а н и ю Active D i r e c t o r y м о ж н о бес-
п л а т н о з а г р у з и т ь г л а в у 4 «Designing t h e Active Directory» к н и г и « W i n d o w s
S e r v e r 2 0 0 3 , Best P r a c t i c e s for Enterprise Deployments» по адресу http://www.
reso-net.com/Documents/007222343X_Ch03.pdf.

К СВЕДЕНИЮ Проектирование AD DS
Обновленную информацию о проектировании доменных служб Active Directory
можно найти в книге RuestD., RuestN. Windows Server 2008: The Complete Refer-
ence: McGraw-Hill Osborne.

• С л у ж б ы о б л е г ч е н н о г о доступа к каталогам (Active Directory Lightweight


D i r e c t o r y S e r v i c e s ) — П р и л о ж е н и я Р о л ь A D L D S я в л я е т с я , п о сути, не-
з а в и с и м о й в е р с и е й с л у ж б ы Active Directory. Е е называют т а к ж е р е ж и м о м
п р и л о ж е н и й A c t i v e D i r e c t o r y (Active D i r e c t o r y Application Mode, A D A M ) .
I •| g Установка Глава 1

Она обеспечивает поддержку приложений каталогов. К о м п о н е н т AD L D S


фактически является поднабором AD DS, поскольку оба к о м п о н е н т а о с н о -
ваны на одном коде ядра. Каталог AD L D S х р а н и т и р е п л и ц и р у е т т о л ь к о
данные приложений. Его часто используют п р и л о ж е н и я , к о т о р ы м н е о б х о -
димо хранилище каталогов, но не требуется р е п л и ц и р о в а т ь и н ф о р м а ц и ю
на все контроллеры доменов. Кроме того, с л у ж б ы AD L D S д а ю т в о з м о ж -
ность развернуть настраиваемую схему д л я п о д д е р ж к и п р и л о ж е н и я б е з
модификации схемы AD DS. Роль AD LDS облегченная. О н а п о д д е р ж и в а е т
множество хранилищ данных в одной системе, ч т о б ы к а ж д о е п р и л о ж е н и е
можно было развернуть с собственным к а т а л о г о м , с х е м о й , н а з н а ч е н н ы м
облегченным протоколом доступа к каталогам L D A P ( L i g h t w e i g h t D i r e c t o r y
Access Protocol), портами SSL и журналом с о б ы т и й п р и л о ж е н и я . Р о л ь AD
LDS не зависит от служб AD DS, поэтому ее м о ж н о и с п о л ь з о в а т ь в а в т о н о м -
ной среде либо рабочей группе. Однако в д о м е н н ы х с р е д а х э т а р о л ь м о ж е т
использоваться службами AD DS для проверки п р и н ц и п а л о в б е з о п а с н о с т и
системы Windows (пользователей, групп и к о м п ь ю т е р о в ) . К р о м е того, р о л ь
AD LDS можно применять для реализации с л у ж б п р о в е р к и п о д л и н н о с т и в
открытых сетях (например, в экстрасети). П р и и с п о л ь з о в а н и и д а н н о й р о л и
в такой ситуации угроза безопасности меньше, чем п р и и с п о л ь з о в а н и и AD
DS. Службы AD LDS описаны в главе 14.

• Службы сертификации Active D i r e c t o r y ( A c t i v e D i r e c t o r y C e r t i f i c a t e S e r -


vices) — Доверие Организации могут использовать с л у ж б ы с е р т и ф и к а ц и и
AD CS в инфраструктуре открытых ключей P K I ( P u b l i c Key I n f r a s t r u c t u r e ) ,
чтобы создать центр сертификации д л я в ы д а ч и ц и ф р о в ы х с е р т и ф и к а т о в ,
которые привязывают объект и д е н т и ф и к а ц и и п о л ь з о в а т е л я , у с т р о й с т в а
либо службы к соответствующему ч а с т н о м у ключу. С е р т и ф и к а т ы м о ж н о
использовать для проверки п о д л и н н о с т и п о л ь з о в а т е л е й , к о м п ь ю т е р о в и
веб-прнложений, поддержки п р о в е р к и п о д л и н н о с т и с м а р т - к а р т , а т а к ж е
для поддержки таких приложений: з а щ и щ е н н ы х б е с п р о в о д н ы х с е т е й , в и р -
туальных частных сетей V P N ( V i r t u a l P r i v a t e N e t w o r k ) , п р о т о к о л о в д л я
обеспечения защиты данных (IPsec), ш и ф р у ю щ е й ф а й л о в о й с и с т е м ы E F S
(Encrypting File System), ц и ф р о в ы х п о д п и с е й и м н о г и х д р у г и х . С л у ж б ы
AD CS предоставляют э ф ф е к т и в н ы й и б е з о п а с н ы й с п о с о б в ы д а ч и с е р т и -
фикатов и управления ими. С их п о м о щ ь ю м о ж н о д е л а т ь э т о д л я в н е ш н и х
сообществ. В таких случаях следует связать с л у ж б ы AD CS с к а к и м - н и б у д ь
известным внешним центром с е р т и ф и к а ц и и ( С А ) , к о т о р ы й п о д т в е р д и т
вашу подлинность. Роль AD CS п р е д н а з н а ч е н а д л я с о з д а н и я « о с т р о в к о в
доверия» в ненадежном мире, поэтому она д о л ж н а и с п о л ь з о в а т ь н а д е ж н ы е
процессы, которые подтверждают, что п о д л и н н о с т ь в с е х п е р с о н и к о м -
пьютеров, получивших сертификат, т щ а т е л ь н о п р о в е р е н а и п о д т в е р ж д е н а .
Во внутренних сетях службы AD CS м о ж н о и н т е г р и р о в а т ь со с л у ж б а м и
AD DS, чтобы пользователи и компьютеры а в т о м а т и ч е с к и п о л у ч а л и с е р -
тификаты. Роль AD CS описана в главе 15. Б о л е е п о д р о б н ы е с в е д е н и я
об инфраструктуре P K I и ее п р и м е н е н и и в о р г а н и з а ц и и м о ж н о н а й т и по
Занятие 1 Установка доменных служб Active Directory ") 7

а д р е с у http://www.reso-net.com/articles.asp7m~8 в разделе «Advanced Public


Key Infrastructures».
• С л у ж б ы у п р а в л е н и я правами A c t i v e D i r e c t o r y ( A c t i v e D i r e c t o r y R i g h t s
Management Services) — Целостность Хотя сервер Windows может запре-
щ а т ь и р а з р е ш а т ь д о с т у п к д о к у м е н т у на основе списка к о н т р о л я доступа
ACL, м о ж н о н е с к о л ь к и м и с п о с о б а м и следить з а д а л ь н е й ш и м и о п е р а ц и я м и
с д о к у м е н т о м и его с о д е р ж и м ы м после о т к р ы т и я документа пользователем.
С л у ж б ы у п р а в л е н и я п р а в а м и Active D i r e c t o r y ( A D R M S ) предоставляют
т е х н о л о г и ю з а щ и т ы и н ф о р м а ц и и , с п о м о щ ь ю к о т о р о й м о ж н о реализовать
ш а б л о н ы у с т о й ч и в ы х п о л и т и к использования, задающих разрешенное и
н е а в т о р и з о в а н н о е п р и м е н е н и е в сети, вне ее, а т а к ж е в н у т р и и вне пери-
метра брандмауэра. Например, для пользователей можно сконфигуриро-
в а т ь ш а б л о н , к о т о р ы й р а з р е ш а е т ч и т а т ь документ, н о запрещает печатать
и к о п и р о в а т ь его с о д е р ж и м о е . Т а к и м образом м о ж н о гарантировать целос-
т н о с т ь г е н е р и р у е м ы х д а н н ы х , з а щ и т и т ь и н т е л л е к т у а л ь н у ю собственность
и к о н т р о л и р о в а т ь операции, выполняемые с документами организации.
Д л я р о л и A D R M S н е о б х о д и м д о м е н Active D i r e c t o r y с к о н т р о л л е р а м и ,
где у с т а н о в л е н ы в е р с и я с и с т е м ы не н и ж е W i n d o w s 2000 Server с пакетом
о б н о в л е н и й S e r v i c e Pack 3 ( S P 3 ) , в е б - с е р в е р IIS, сервер баз д а н н ы х типа
M i c r o s o f t S Q L S e r v e r 2008, к л и е н т A D R M S (он доступен в центре загрузок
M i c r o s o f t , а т а к ж е по у м о л ч а н и ю в к л ю ч е н в в е р с и и W i n d o w s Vista и Win-
d o w s S e r v e r 2 0 0 8 ) , а т а к ж е о б о з р е в а т е л ь и л и п р и л о ж е н и е R M S , например
M i c r o s o f t I n t e r n e t Explorer, M i c r o s o f t Office, M i c r o s o f t W o r d , Microsoft O u t -
l o o k и л и M i c r o s o f t P o w e r P o i n t . В с л у ж б а х A D R M S м о ж е т использоваться
р о л ь A D C S д л я в л о ж е н и я с е р т и ф и к а т о в в документы, а т а к ж е роль A D D S
д л я у п р а в л е н и я д о с т у п о м . Р о л ь A D R M S о п и с а н а в главе 16.
• С л у ж б ы ф е д е р а ц и и A c t i v e D i r e c t o r y (Active Directory Federation Ser-
vices) — Партнерские отношения С п о м о щ ь ю с л у ж б AD FS о р г а н и з а ц и я
м о ж е т р а с ш и р и т ь инфраструктуру IDA на множестве платформ, включая
с р е д ы W i n d o w s и д р у г и е , а т а к ж е о б е с п е ч и т ь д л я д о в е р е н н ы х партнеров
з а щ и т у п р а в и д е н т и ф и к а ц и и и доступа вне периметра безопасности. В среде
ф е д е р а ц и и о р г а н и з а ц и и п о д д е р ж и в а ю т и к о н т р о л и р у ю т собственные объек-
т ы и д е н т и ф и к а ц и и , о д н а к о могут т а к ж е безопасно п р о е к т и р о в а т ь объекты
и п р и н и м а т ь и х и з д р у г и х о р г а н и з а ц и й . П о л ь з о в а т е л и п р о х о д я т проверку
п о д л и н н о с т и в о д н о й сети, но могут п о л у ч а т ь д о с т у п к ресурсам в другой.
Э т о т п р о ц е с с н а з ы в а е т с я е д и н ы м входом S S O (Single S i g n - O n ) . Р о л ь A D
F S п о д д е р ж и в а е т п а р т н е р с к и е о т н о ш е н и я , п о с к о л ь к у она дает р а з л и ч н ы м
о р г а н и з а ц и я м в о з м о ж н о с т ь п о л у ч а т ь о б щ и й доступ к п р и л о ж е н и я м в экс-
т р а с е т и , п р и э т о м и с п о л ь з у я д л я реальной проверки подлинности свои внут-
р е н н и е с т р у к т у р ы A D D S . С этой ц е л ы о д а н н а я р о л ь р а с ш и р я е т внутрен-
н ю ю с т р у к т у р у A D D S в о в н е ш н и й мир через T C P / I P - п о р т ы (Transmission
C o n t r o l P r o t o c o l / I n t e r n e t P r o t o c o l ) 8 0 ( H T T P ) и 4 4 3 (Secure H T T P л и б о
H T T P S ) . О б ы ч н о р о л ь A D F S р а з м е щ е н а вдоль п е р и м е т р а сети. С л у ж б ы
A D F S м о г у т и с п о л ь з о в а т ь р о л ь A D C S д л я создания д о в е р е н н ы х серверов,
I •| g Установка Глава 1

а также роль AD RMS для обеспечения внешней з а щ и т ы и н т е л л е к т у а л ь н о й


собственности. Роль AD FS описана в главе 17.
В совокупности роли Active Directory реализуют и н т е г р и р о в а н н о е р е ш е н и е
IDA:
• AD DS и AD LDS — поддерживают основные с л у ж б ы к а т а л о г о в в д о м е н н о й
и независимой реализации;
• AD CS — предоставляет надежные учетные д а н н ы е в в и д е ц и ф р о в ы х с е р -
тификатов PKI;
• AD RMS — защищает целостность и н ф о р м а ц и и в д о к у м е н т а х ;
• AD FS — поддерживает партнерские о т н о ш е н и я , и з б а в л я я от н е о б х о д и м о с -
ти создавать множество отдельных о б ъ е к т о в и д е н т и ф и к а ц и и д л я о д н о г о
прпнципала безопасности в средах ф е д е р а ц и и .

Помимо идентификации и доступа


Структура Active Directory поддерживает не т о л ь к о и д е н т и ф и к а ц и ю и д о с т у п ,
но и механизмы поддержки, у п р а в л е н и я и н а с т р о й к и р е с у р с о в в р а с п р е д е л е н -
ных сетевых средах.
Набор правил, называемый схемой, з а д а е т к л а с с ы о б ъ е к т о в и а т р и б у т ы ,
которые могут храниться в каталоге. Н а п р и м е р , в к а т а л о г е A c t i v e D i r e c t o r y
можно хранить объекты пользователей, в к л ю ч а ю щ и е их и м е н а и п а р о л и , п о с -
кольку схемой задан класс объектов user, д в а их а т р и б у т а , а т а к ж е с в я з ь м е ж д у
классом объекта и атрибутами.
Администрирование на основе п о л и т и к и у п р о щ а е т у п р а в л е н и е д а ж е в с а -
мых больших сложнейших сетях, предоставляя е д и н у ю точку, в к о т о р о й м о ж н о
развернуть параметры настройки в о м н о ж е с т в е с и с т е м . Э т и п о л и т и к и ( г р у п -
повая, политики аудита и гранулированные п о л и т и к и п а р о л е й ) о п и с а н ы в г л а -
вах 6 - 8 .
Службы репликации распространяют по сети д а н н ы е к а т а л о г о в , в ч а с т н о с -
ти само хранилище данных, а т а к ж е и н ф о р м а ц и ю д л я р е а л и з а ц и и п о л и т и к и
и конфигурации вместе со с ц е н а р и я м и входа. В г л а в а х 8, 10 и 11 о п и с а н а р е п -
ликация Active Directory. Д л я х р а н и л и щ а д а н н ы х с у щ е с т в у е т д а ж е о т д е л ь н ы й
раздел конфигурации, который содержит и н ф о р м а ц и ю о с е т е в о й к о н ф и г у р а ц и и ,
топологии и службах.
Запрашивать каталог Active D i r e c t o r y и л о к а л и з о в ы в а т ь о б ъ е к т ы в х р а -
нилище данных можно с п о м о щ ь ю н е с к о л ь к и х к о м п о н е н т о в и т е х н о л о г и й .
Информация обо всех объектах в каталоге с о д е р ж и т с я в р а з д е л е х р а н и л и щ а
данных, называемом глобальным каталогом ( и л и частичпъм набором атрибу-
тов), который дает возможность л о к а л и з о в а т ь о б ъ е к т ы в к а т а л о г е . Д л я ч т е н и я
информации из хранилища данных м о ж н о п р и м е н я т ь , н а п р и м е р , п р о г р а м м н ы й
интерфейс ADSI (Active Directory Services I n t e r f a c e ) и п р о т о к о л L D A P .
Хранилище данных Active D i r e c t o r y м о ж н о и с п о л ь з о в а т ь т а к ж е д л я п о д -
держки приложений и служб, н а п р я м у ю не с в я з а н н ы х с AD D S . В н у т р и б а з ы
данных в разделах приложений может х р а н и т ь с я и н ф о р м а ц и я д л я п о д д е р ж к и
приложений, которым необходимы д а н н ы е репликации, Система ДОМеПНЫХ
Занятие 1 Установка доменных служб Active Directory ") 9

имен DNS (Domain Name System) на сервере Windows Server 2008 может хра-
нить и н ф о р м а ц и ю в базе данных, которая называется интегрированной зоной
Active Directory. О н а поддерживается в AD DS как раздел приложения и реп-
л и ц и р у е т с я с помощью служб репликации Active Directory.

Компоненты инфраструктуры Active Directory


В главах 1 - 1 3 этого руководства описаны установка и настройка доменных
служб Active Directory ( A D DS), а также управление ими. Роль AD DS обес-
печивает инфраструктуру IDA и управление корпоративной сетью. Поэтому
стоит потратить некоторое время на изучение компонентов инфраструктуры
Active Directory.

ПРИМЕЧАНИЕ Дополнительные сведения о структуре Active Directory


Более подробно структура Active Directory описана в справочном руководстве к сис-
теме Windows Server 2008 и на сайте TechCenter по адресу http://technet.microsoft.
com/en-us/windowsserver/2008/default.aspx.

• Хранилище данных Active Directory Как уже говорилось в предыдущем


подразделе, структура AD DS хранит свои объекты идентификации в ка-
талоге ( х р а н и л и щ е д а н н ы х ) на контроллерах домена. Каталог состоит из
одного ф а й л а Ntds.dit, который по умолчанию находится в папке %System-
Root% \Ntds на к о н т р о л л е р е домена. База данных состоит из нескольких
разделов: схемы, к о н ф и г у р а ц и и , глобального каталога и контекста имено-
в а н и я домена, содержащего данные об объектах внутри домена (например,
п о л ь з о в а т е л я х , группах и компьютерах).
• К о н т р о л л е р ы д о м е н а Так называют серверы, играющие роль AD DS —
в частности, запускающие службу Центр распространения ключей Kerberos
( K e r b e r o s Key Distribution Center, K D C ) , которая проверяет подлинность,
а т а к ж е другие службы Active Directory. Роли контроллеров домена опи-
саны в главе 10.
• Д о м е н Д л я с о з д а н и я домена Active Directory необходим один или не-
с к о л ь к о контроллеров. Домен представляет собой административную еди-
ницу, внутри которой совместно используются определенные возможности
и характеристики. Прежде всего, контроллеры домена реплицируют раздел
х р а н и л и щ а данных, который помимо всего прочего содержит данные иден-
т и ф и к а ц и и пользователей, групп и компьютеров домена. Поскольку все
к о н т р о л л е р ы домена поддерживают одно хранилище объектов идентифи-
кации, то любой такой контроллер может проверить подлинность всякого
объекта и д е н т и ф и к а ц и и в домене. Кроме того, домен является областью
д е й с т в и я а д м и н и с т р а т и в н ы х политик (например, политики сложности па-
ролей и блокировки учетных записей). Такие политики, конфигурируемые в
одном домене, влияют на все учетные записи в нем и не оказывают влияния
на учетные записи в других доменах. Объекты в базе данных Active Direc-
t o r y м о ж н о и з м е н я т ь на любом контроллере домена, и такие изменения
р е п л и ц и р у ю т с я на все остальные такие контроллеры. Поэтому в сетях, где
не поддерживается репликация всех данных среди контроллеров домена.

2 Зак. 3399
•| о Установка Глава 1

может потребоваться более одного домена, чтобы у п р а в л я т ь р е п л и к а ц и е й


поднаборов объектов идентификации. Д о м е н ы о п и с а н ы в г л а в е 12.
Л е с Это набор из одного либо н е с к о л ь к и х д о м е н о в A c t i v e D i r e c t o r y .
Первый установленный в лесу домен н а з ы в а е т с я корневым. Л е с с о д е р ж и т
единственное описание сетевой к о н ф и г у р а ц и и и о д и н э к з е м п л я р к а т а л о г а
схемы. Это единственный замкнутый э к з е м п л я р каталога, то есть д а н н ы е не
реплицируются за его пределы. Поэтому лес задает п е р и м е т р б е з о п а с н о с т и .
Концепция леса более подробно описана в главе 12.
Дерево Пространство доменных имен D N S в л е с у с о д е р ж и т д е р е в ь я л е с а .
Если домен является дочерним д л я другого домена, то э т и д в а д о м е н а и н -
терпретируются как дерево. Например, если л е с t r e y r e s e a r c h . n e t с о д е р ж и т
два домена treyresearch.net и antarctica.treyresearch.net, то п о с л е д н и е о б р а -
зуют непрерывную область именного п р о с т р а н с т в а D N S и п р е д с т а в л я ю т
одно дерево. Если же домеиы treyresearch.net и p r o s e w a r e . c o m не о б р а з у ю т
непрерывной области в пространстве имен D N S , то о н и п р е д с т а в л я ю т д в а
дерева. Деревья составляются из D N S - и м е н д о м е н о в в лесу.
На рис. 1-2 показан лес Active Directory к о м п а н и и T r e y R e s e a r c h , к о т о р ы й
поддерживает небольшую п о л я р н у ю с т а н ц и ю в А н т а р к т и д е . П о с к о л ь к у
связь между Антарктикой и ш т а б - к в а р т и р о й д о р о г о с т о я щ а я , м е д л е н н а я
н ненадежная, то полярная с т а н ц и я с к о н ф и г у р и р о в а н а к а к о т д е л ь н ы й д о -
мен. Лесу назначено DNS-имя treyresearch.com. Д о м е н A n t a r c t i c a с и м е н е м
antarctica.treyresearch.net в именном п р о с т р а н с т в е D N S и н т е р п р е т и р у е т с я
в доменном дереве как дочерний домен.

Рис. 1-2. Лес Active Directory с двумя доменами

• Функциональный уровень Возможности д о м е н а Active D i r e c t o r y з а в и с я т


от его функционального уровня. Этот п а р а м е т р д а е т в о з м о ж н о с т ь в в е с т и
дополнительные компоненты AD DS у р о в н я д о м е н а л и б о леса. С у щ е с т в у е т
три функциональных уровня домена ( W i n d o w s 2000, W i n d o w s 2 0 0 3 и W i n -
Занятие 1 Установка доменных служб Active Directory ") 1

d o w s 2 0 0 8 ) , а т а к ж е два ф у н к ц и о н а л ь н ы х у р о в н я л е с а ( M i c r o s o f t W i n d o w s
Server 2003 и W i n d o w s Server 2008). При повышении функционального
у р о в н я д о м е н а л и б о л е с а с т а н о в я т с я д о с т у п н ы м и компоненты, предостав-
л я е м ы е соответствующей версией системы Windows. Например, функ-
ц и о н а л ь н о м у у р о в н ю с и с т е м ы W i n d o w s Server 2008 с в о й с т в е н н ы новые
а т р и б у т ы , у к а з ы в а ю щ и е в р е м я п о с л е д н е г о у с п е ш н о г о входа пользователя,
к о м п ь ю т е р , на к о т о р ы й он в х о д и л , а т а к ж е к о л и ч е с т в о неудачных попыток
п о с л е у с п е ш н о г о в х о д а . С л е д у е т отметить, что о т ф у н к ц и о н а л ь н о г о уров-
ня зависит, какие версии системы Windows разрешены на контроллерах
д о м е н а . П р и п о в ы ш е н и и ф у н к ц и о н а л ь н о г о у р о в н я д о системы W i n d o w s
S e r v e r 2 0 0 8 н а всех к о н т р о л л е р а х д о м е н о в следует у с т а н о в и т ь именно эту
в е р с и ю . Ф у н к ц и о н а л ь н ы е у р о в н и д о м е н а и леса более подробно описаны
в г л а в е 12.
• П о д р а з д е л е н и я (организационные единицы) Б а з а д а н н ы х Active Direc-
t o r y я в л я е т с я и е р а р х и ч е с к о й . О б ъ е к т ы в х р а н и л и щ е д а н н ы х м о ж н о соби-
р а т ь в к о н т е й н е р ы . О д н и м и з т и п о в к о н т е й н е р о в я в л я е т с я к л а с с объектов
container. О т к р ы в о с н а с т к у Active D i r e c t o r y — п о л ь з о в а т е л и и компьютеры
( A c t i v e D i r e c t o r y Users and C o m p u t e r s ) , в ы увидите заданные п о умолчанию
к о н т е й н е р ы , в ч а с т н о с т и Users, C o m p u t e r s и Builtin. Е щ е о д и н тип контей-
н е р а — п о д р а з д е л е н и е ( о р г а н и з а ц и о н н а я е д и н и ц а ) . О н о предоставляет не
т о л ь к о к о н т е й н е р д л я о б ъ е к т о в , н о и область д е й с т в и я у п р а в л е н и я объек-
т а м и . П о д р а з д е л е н и е ( O r g a n i z a t i o n a l Unit, O U ) может х р а н и т ь так называ-
е м ы е объекты групповой политики, которые автоматически применяются
к п о л ь з о в а т е л я м и к о м п ь ю т е р а м в подразделении. В главе 2 более подробно
о п и с а н ы п о д р а з д е л е н и я , а в главе 6 — о б ъ е к т ы групповой п о л и т и к и .
• Сайты П р и п р о е к т и р о в а н и и сетевой топологии распределенного предпри-
я т и я п р и х о д и т с я р а с с м а т р и в а т ь с а й т ы сети. О д н а к о в Active D i r e c t o r y и м
п р и д а е т с я в е с ь м а с п е ц и ф и ч е с к и й с м ы с л б л а г о д а р я особому классу объек-
т о в site. С а й т ( и л и у з е л ) Active D i r e c t o r y — это объект, п р е д с т а в л я ю щ и й
ч а с т ь п р е д п р и я т и я с х о р о ш е й сетевой к о м м у н и к а ц и е й . С а й т создает пе-
р и м е т р р е п л и к а ц и и и и с п о л ь з о в а н и я служб. К о н т р о л л е р ы д о м е н а внутри
с а й т а р е п л и ц и р у ю т и з м е н е н и я в т е ч е н и е н е с к о л ь к и х секунд. И з м е н е н и я
м е ж д у с а й т а м и р е п л и ц и р у ю т с я и а основе д о п у щ е н и я , что п о д к л ю ч е н и я
м е ж д у с а й т а м и м е д л е н н ы е , д о р о г о с т о я щ и е л и б о н е н а д е ж н ы е п о сравнению
с п о д к л ю ч е н и я м и в н у т р и сайта. Кроме того, клиенты предпочитают исполь-
з о в а т ь р а с п р е д е л е н н ы е с л у ж б ы , п р е д о с т а в л я е м ы е с е р в е р а м и в своем и л и
с о с е д н е м у з л е . Н а п р и м е р , когда п о л ь з о в а т е л ь в х о д и т в домен, к л и е н т сис-
т е м ы W i n d o w s в н а ч а л е п ы т а е т с я п р о й т и проверку п о д л и н н о с т и с помощью
к о н т р о л л е р а д о м е н а в своем узле. Если же там нет доступного контроллера,
к л и е н т п р о б у е т с д е л а т ь это с п о м о щ ь ю к о н т р о л л е р а д о м е н а в д р у г о м узле.
В г л а в е 11 о п и с а н ы к о н ф и г у р а ц и я и ф у н к ц и о н а л ь н ы е в о з м о ж н о с т и сайтов
Active Directory.

В с е э т и к о м п о н е н т ы п о д р о б н о о п и с а н ы в руководстве. Если вы еще мало


з н а к о м ы с A c t i v e D i r e c t o r y , то вам н у ж н о и з у ч и т ь о с н о в н у ю т е р м и н о л о г и ю ,
к о м п о н е н т ы п их с в я з и .
Установка глава 1

Подготовка к созданию нового леса системы


Windows Server 2008
Перед установкой роли AD DS на сервере и п о в ы ш е н и е м его р а н г а до к о н т -
роллера домена нужно спланировать структуру Active Directory. П р и с о з д а н и и
контроллера домена потребуется некоторая и н ф о р м а ц и я , в ч а с т н о с т и т а к а я .
• Имя домена и DNS-имя. Домен д о л ж е н и м е т ь у н и к а л ь н о е D N S - и м я , на-
пример contoso.com, а также короткое имя, с к а ж е м CONTOSO ( т а к н а з ы -
ваемое имя NetBIOS). Сетевой протокол N e t B I O S и с п о л ь з о в а л с я е щ е в
первых версиях Microsoft Windows NT и все еще п р и м е н я е т с я н е к о т о р ы м и
приложениями.
• Должен ли домен поддерживать к о н т р о л л е р ы с п р е д ы д у щ и м и в е р с и я м и
Windows? При создании нового леса Active D i r e c t o r y н у ж н о с к о н ф и г у -
рировать функциональный уровень. Если в д о м е н б у д у т в к л ю ч е н ы л и ш ь
контроллеры системы Windows Server 2008, то м о ж н о у с т а н о в и т ь с о о т в е т с -
твующий функциональный уровень д л я и с п о л ь з о в а н и я у с о в е р ш е н с т в о в а н -
ных компонентов этой версии Windows.
• Детали реализации DNS для поддержки Active Directory. С т р у к т у р у D N S
лучше всего реализовать для доменных зон с п о м о щ ь ю с л у ж б ы D N S ( D N S
Service) системы Windows, как описано в главе 9, о д н а к о с т о р о н н я я с л у ж б а
DNS также может поддерживать домен Windows.
• Конфигурация I Р-контроллера домена. Д л я к о н т р о л л е р о в д о м е н а т р е б у ю т -
ся статические IP-адреса и маски подсети. Кроме того, в ц е л я х р а з р е ш е н и я
имен нужно сконфигурировать контроллер домена с и с п о л ь з о в а н и е м а д р е с а
DNS-сервера. В случае создания нового леса и з а п у с к а на к о н т р о л л е р е
домена DNS-службы Windows в качестве D N S - а д р е с а м о ж н о у к а з а т ь с о б с -
твенный IP-адрес сервера. После установки D N S - с т р у к т у р ы с е р в е р с а м
может разрешать DNS-имена.
• Пользовательское имя и пароль учетной записи в г р у п п е А д м и н и с т р а т о р ы
(Administrators) сервера. Для учетной записи н у ж н о н а з н а ч и т ь н е п у с т о й
пароль.
« Место установки хранилища данных (включая ф а й л N t d s . d i t ) и с и с т е м н о г о
тома (SYSVOL). По умолчанию эти х р а н и л и щ а с о з д а ю т с я в п е р е м е н н о й
%SystemRoot% (например, C:\Windows) с о о т в е т с т в е н н о в п а п к а х NTDS
и SYSVOL. При создании контроллера домена эти х р а н и л и щ а м о ж н о п е р е -
направить на другие диски.

К СВЕДЕНИЮ развертывание AD DS
Данный список содержит параметры, которые потребуется сконфигурировать при
создании контроллера домена. Существует много дополнительных параметров
развертывания AD DS на предприятии. Более подробную информацию об этом
можно найти в технической библиотеке системы Windows Server 2008 по адресу
Занятие 1 Установка доменных служб Active Directory ") 3

Добавление роли AD DS с помощью интерфейса Windows


П о с л е сбора у п о м я н у т о й в ы ш е п р е д в а р и т е л ь н о й и н ф о р м а ц и и можно присту-
пать к д о б а п л е п и ю р о л и AD DS. Э т о м о ж н о сделать несколькими способами.
Н а д а н н о м з а н я т и и м ы р а с с м о т р и м создание к о н т р о л л е р а домена посредством
и н т е р ф е й с а W i n d o w s , а па с л е д у ю щ е м — с п о м о щ ь ю к о м а н д н о й строки.
В с и с т е м е W i n d o w s Server 2008 в о з м о ж н а к о н ф и г у р а ц и я на основе р о л е й
с у с т а н о в к о й т о л ь к о т е х с л у ж б и компонентов, которые н у ж н ы д л я выполня-
е м ы х р о л е й с е р в е р а . У п р а в л я т ь с е р в е р о м на основе ролей м о ж н о с помощью
н о в о й а д м и н и с т р а т и в н о й к о н с о л и Д и с п е т ч е р сервера (Server Manager), пока-
з а н н о й н а р и с . 1-3. Д и с п е т ч е р с е р в е р а о б ъ е д и н я е т и н ф о р м а ц и ю , инструменты
и р е с у р с ы , н е о б х о д и м ы е д л я п о д д е р ж к и р о л е й сервера.

Рис. 1-3. Диспетчер сервера

Р о л и м о ж н о д о б а в л я т ь на сервер с п о м о щ ь ю с с ы л к и Д о б а в и т ь роли (Add


R o l e s ) н а д о м а ш н е й с т р а н и ц е д и с п е т ч е р а сервера л и б о щ е л к н у в правой кноп-
к о й м ы ш и у з е л Р о л и ( R o l e s ) в д е р е в е к о н с о л и и п р и м е н и в команду Д о б а в и т ь
р о л и ( A d d R o l e s ) . М а с т е р д о б а в л е н и я р о л е й ( A d d Roles W i z a r d ) предоставит
с п и с о к д о с т у п н ы х д л я у с т а н о в к и р о л е й и в ы п о л н и т шаги у с т а н о в к и тех и з
иих, к о т о р ы е б ы л и в ы б р а н ы .

ПРИМЕЧАНИЕ
В упражнении 3 в конце этого замятия добавляется роль AD DS с помощью ин
терфейса Windows.

Создание контроллера домена


П о с л е д о б а в л е н и я р о л и AD DS иа сервере устанавливаются ф а й л ы , необходи-
м ы е д л я ее в ы п о л н е н и я , но при этом сервер еще не становится контроллером
I •| g Установка Глава 1

домена. Затем надо запустить Мастер установки д о м е н н ы х с л у ж б A c t i v e Di-


rectory (Active Directory Domain Services Installation W i z a r d ) , к о т о р ы й м о ж н о
открыть с помощью команды Dcpromo.exe, чтобы с к о н ф и г у р и р о в а т ь , и н и ц и а -
лизировать и запустить Active Directory.

ПРИМЕЧАНИЕ
В упражнении 4 в конце этого занятия выполняется настройка AD DS с помощью
мастера установки доменных служб Active Directory.

Контрольный вопрос
• Вы хотите использовать новый сервер Windows Server 2008 в качестве кон-
троллера домена Active Directory. Какую команду следует применить для
запуска процесса настройки контроллера домена?

Ответ на контрольный вопрос


• Dcpromo.exe

Практические занятия. Создание леса Windows Server 2008


В предложенных далее упражнениях вы создадите л е с AD DS д л я к о м п а н и и
Contoso, Ltd. Он будет использоваться во всех о с т а л ь н ы х у п р а ж н е н и я х э т о г о
руководства. Вы начнете с установки системы W i n d o w s S e r v e r 2 0 0 8 и в ы п о л -
ните послеустановочные задачи, а затем добавите р о л ь AD DS и с п о м о щ ь ю
мастера установки доменных служб Active D i r e c t o r y п о в ы с и т е р а н г с е р в е р а до
контроллера домена в лесу contoso.com.

Упражнение 1. Установка системы Windows Server 2008


В этом упражнении вы установите систему Windows Server 2008 на к о м п ь ю т е р е
либо виртуальной машине.
1. Вставьте в DVD-привод установочный диск с и с т е м ы W i n d o w s S e r v e r 2008.
При использовании виртуальной машины ( V M ) м о ж н о с м о н т и р о в а т ь I S O -
образ установочного DVD. Справочная и н ф о р м а ц и я об э т о м е с т ь в д о к у -
ментации виртуальной машины.
2. Запустите установку системы. Если ж е с т к и й с и с т е м н ы й д и с к п у с т о й , то
следует загрузить систему с DVD. Когда же на д и с к е е с т ь д а н н ы е , в а м
может быть предложено нажать клавишу д л я з а г р у з к и с D V D . Е с л и с и с -
тема не загружается с DVD, то откройте п а р а м е т р ы B I O S к о м п ь ю т е р а и
сконфигурируйте порядок загрузки с DVD. З а п у с т и т с я М а с т е р у с т а н о в к и
Windows (Install Windows Wizard), показанный на рис. 1-4.
3. Выберите язык, региональные п а р а м е т р ы и р а с к л а д к у к л а в и а т у р ы д л я
системы, после чего щелкните кнопку Д а л е е ( N e x t ) .
4. Щелкните кнопку Установить (Install Now). О т р о е т с я с п и с о к д о с т у п н ы х
для установки выпусков, показанный на рис. 1-5. '
Занятие 1 Установка доменных служб Active Directory ") 5

Рис. 1-4. Мастер установки Windows

Рис. 1-5. Страница выбора операционной системы для установки

5. В ы б е р и т е в а р и а н т у с т а н о в к и системы W i n d o w s Server 2008, п у н к т Полная


у с т а н о в к а ( F u l l I n s t a l l a t i o n ) , и щелкните кнопку Д а л е е (Next).
6. У с т а н о в и т е ф л а ж о к Я п р и н и м а ю у с л о в и я л и ц е н з и и (I Accept t h e License
Terms') и щ е л к н и т е к н о п к у Д а л е е (Next).
I •| g Установка Глава 1

7. Щелкните пушсг Полная установка (дополнительные п а р а м е т р ы ) ( C u s t o m


(Advanced)).
8. Па странице Выберите раздел для установки Windows ( W h e r e Do You W a n t
to Install Windows) выберите диск, на который хотите у с т а н о в и т ь с и с т е -
му. Чтобы создать, расширить или ф о р м а т и р о в а т ь р а з д е л ы л и б о з а г р у -
зить настраиваемый драйвер массового храпения д л я п о л у ч е н и я д о с т у п а
к подсистеме диска, щелкните кнопку Загрузка д р а й в е р а ( D r i v e r O p t i o n s
(Advanced)).
9. Щелкните кнопку Далее (Next). Откроется д и а л о г о в о е о к н о У с т а н о в к а
Windows (Installing Windows), показанное на рис. 1-6. В нем о т о б р а ж а е т с я
ход выполнения установки. Инсталляция версии W i n d o w s S e r v e r 2008, к а к
и Windows Vista, основана на образе, поэтому она в ы п о л н я е т с я з н а ч и т е л ь н о
быстрее, чем для предыдущих версий Windows, х о т я с а м а о п е р а ц и о н н а я
система занимает больше места, чем более ранние версии. В п р о ц е с с е у с т а -
новки компьютер перезагрузнтся один или н е с к о л ь к о раз. П о с л е ее з а в е р -
шения будет указано, что перед первым входом в с и с т е м у н а д о и з м е н и т ь
пароль пользователя.

Рис. 1-6. Окно Установка Windows (Installing Windows)

10. Щелкните ОК.


П. В поля Новый пароль (New Password) и П о д т в е р ж д е н и е ( C o n f i r m P a s s -
word) введите пароль для учетной записи А д м и н и с т р а т о р ( A d m i n i s t r a t o r )
и нажмите клавишу Enter. Пароль должен с о д е р ж а т ь к а к м и н и м у м с е м ь
символов, относящихся хотя бы к трем из четырех в о з м о ж н ы х т и п а м :
• символы в верхнем регистре: A - Z ;
• символы в нижнем регистре: a - z ;
Занятие 1 Установка доменных служб Active Directory ") 17

я цифры: 0-9;

• д р у г и е с и м в о л ы , н а п р и м е р $, #, @ и !.

ПРИМЕЧАНИЕ Не забывайте пароль


Без него вы не сможете войти на сервер для выполнения других упражнений дан-
ного руководства.

12. Щ е л к н и т е О К . О т к р о е т с я р а б о ч и й стол учетной з а п и с и Администратор


(Administrator).

Упражнение 2. Выполнение послеустановочных задач настройки


В э т о м у п р а ж н е н и и в ы о с у щ е с т в и т е п о с л е у с т а н о в о ч н у ю н а с т р о й к у сервера
и у к а ж е т е и м я , а т а к ж е параметры T C P / I P , необходимые для выполнения
у п р а ж н е н и й данного руководства.
1. Д о ж д и т е с ь п о я в л е н и я р а б о ч е г о стола учетной записи Администратор (Ad-
m i n i s t r a t o r ) . О т к р о е т с я о к н о З а д а ч и начальной настройки (Initial Configu-
r a t i o n T a s k s ) , п о к а з а н н о е н а рис. 1-7. Этот и н с т р у м е н т предназначен для
в ы п о л н е н и я р е к о м е н д у е м ы х п о с л е у с т а н о в о ч н ы х задач настройки.

Й сервера
Выполните следующие задачи дая начальной настройки данного t ' Windows Servers
' ыярте
Ух«з*ме сесвпмй о
I » "Р щ
' ' Vr.reHOTMTh И
' СППОЙ поас

•К>* Нас трои п. сеть

А!
у ОК...,;,,,,,. Обиившям» «.ороц» WruVwi
СЛ Гжгю-vih аг)1ом.11ичго<м ОФишмлмя
оСиопяп«»ч и обре imjw опяаь Обил нл* •

Нестойка сервер!
^ • . Ло&ямгъ роли

k по*лаыг»»' > >гомм цаи sxc.vee еясгаму

Рис. 1-7. Задачи начальной настройки

2. В о к н е з а д а ч н а ч а л ь н о й настройки сконфигурируйте следующие параметры:


• Ч а с о в о й п о я с ( T i m e Zone): в соответствии с вашей средой;
• И м я к о м п ь ю т е р а ( C o m p u t e r Name): SERVER01. Не перезагружайте сис-
тему, п о к а в у п р а ж н е н и и не будут д а н ы соответствующие указания.
3. В о к н е з а д а ч н а ч а л ь н о й н а с т р о й к и щ е л к н и т е ссылку Настроить сеть (Con-
f i g u r e N e t w o r k i n g ) и п р о в е р ь т е с о о т в е т с т в и е к о н ф и г у р а ц и и IP с в а ш е й
средой.
18 I •| g Установка Глава 1

4. Если сервер подключен к Интернету, то строго р е к о м е н д у е т с я щ е л к н у т ь


ссылку Загрузить и установить обновления ( D o w n l o a d and Install U p d a t e s ) ,
чтобы установить на сервере последние о б н о в л е н и я M i c r o s o f t .
5. После установки обновлений перезагрузите сервер. В о с т а л ь н ы х у п р а ж -
нениях этого руководства будет создан домен с I P - а д р е с а м и в д и а п а з о н е
10.0.0.11-10.0.0.20 и маской подсети 255.255.255.0. Е с л и э т и а д р е с а и с п о л ь -
зуются в вашей производственной среде и сервер п о д к л ю ч е н к к о р п о р а -
тивной сети, то надо соответствующим образом и з м е н и т ь I P - а д р е с а , ч т о б ы
создаваемый домен contoso.com не к о н ф л и к т о в а л с в а ш е й к о р п о р а т и в н о й
сетью.
6. В окне Задачи начальной настройки (Initial C o n f i g u r a t i o n T a s k s ) щ е л к н и т е
ссылку Настроить сеть (Configure Networking). О т к р о е т с я д и а л о г о в о е о к н о
Сетевые подключения (Network Connections).
7. Выберите Подключение по локальной сети (Local Area C o n n e c t i o n ) .
8. На панели инструментов щелкните команду Н а с т р о й к а п а р а м е т р о в п о д -
ключения (Change Settings of This Connection).
9. Выберите пункт Протокол Интернета версии 4 ( T C P / I P v 4 ) ( I n t e r n e t P r o -
tocol Version 4 ( T C P / I P v 4 ) ) н щелкните к н о п к у С в о й с т в а ( P r o p e r t i e s ) .
В системе Windows Server 2008 реализована т а к ж е в с т р о е н н а я п о д д е р ж к а
протокола Интернета версии 6 ( T C P / l P v 6 ) .
10. Щелкните пункт Использовать следующий I P - а д р е с ( U s e t h e F o l l o w i n g IP
Address). Введите такие параметры конфигурации:
• IP-адрес ( I P Address): 10.0.0.11;
• маска подсети (Subnet Mask): 255.255.255.0;
• основной шлюз (Default Gateway): 10.0.0.11;
ш предпочитаемый DNS-сервер (Preferred D N S S e r v e r ) : 10.0.0.11.
И. Щелкиите OK, а затем — кнопку З а к р ы т ь (Close).
12. Обратите внимание на ссылки Добавить роли ( A d d Roles) и Д о б а в и т ь к о м -
поненты (Add Features) в окне задач начальной н а с т р о й к и . В с л е д у ю щ е м
упражнении вы будете использовать Диспетчер с е р в е р а ( S e r v e r M a n a g e r )
для добавления ролей и компонентов на S E R V E R 0 1 . С п о м о щ ь ю э т и х
ссылок можно выполнить те же задачи еще о д н и м с п о с о б о м . О к н о з а д а ч
начальной настройки открывается каждый раз п р и в х о д е на с е р в е р .
13. Установите флажок Не показывать это окно при входе в с и с т е м у ( D o N o t
Show This Window at Logon), чтобы это окно б о л ь ш е не п о я в л я л о с ь п р и
загрузке. Чтобы в будущем открыть окно задач н а ч а л ь н о й н а с т р о й к и , и с -
пользуйте команду Oobe.exe.
14. Щелкните кнопку Закрыть (Close) в н и ж н е й части о к н а з а д а ч н а ч а л ь н о й
настройки. Откроется Диспетчер сервера (Server M a n a g e r ) . С его п о м о щ ь ю
Занятие 1 Установка доменных служб Active Directory ") 19

м о ж н о к о н ф и г у р и р о в а т ь и а д м и н и с т р и р о в а т ь р о л и и к о м п о н е н т ы сервера
W i n d o w s S e r v e r 2008. Вы будете п р и м е н я т ь этот диспетчер в следующем
упражнении.

' ПРИМЕЧАНИЕ Создание копии состояния виртуальной машины


Если для выполнения этого упражнения вы используете виртуальную машину, ко-
торая дает возможность создавать копии состояния на определенный момент, то
сделайте это. Такую базовую установку системы Windows можно использовать для
выполнения упражнений в данной главе, а также для того, чтобы попрактиковаться
в применении различных методов добавления роли AD DS.

Упражнение 3. Установка леса Windows Server 2008


с помощью интерфейса Windows
В э т о м у п р а ж н е н и и вы д о б а в и т е роль AD DS на сервер, установленный и скон-
ф и г у р и р о в а н н ы й в у п р а ж н е н и я х 1 и 2.
1. В г р у п п е п р о г р а м м А д м и н и с т р и р о в а н и е ( A d m i n i s t r a t i v e Tools) откройте
Д и с п е т ч е р сервера (Server Manager).
2. В р а з д е л е С о с т о я н и е р о л и (Roles S u m m a r y ) д о м а ш н е й страницы щелкните
к н о п к у Д о б а в и т ь р о л и ( A d d Roles). Б у д е т з а п у щ е н М а с т е р д о б а в л е н и я
ролей (Add Roles Wizard).
3. Щ е л к н и т е к н о п к у Далее (Next).
4 . Н а с т р а н и ц е В ы б о р р о л е й сервера (Select Server Roles) установите ф л а ж о к
Д о м е н н ы е с л у ж б ы A c t i v e D i r e c t o r y ( A c t i v e D i r e c t o r y D o m a i n Services).
Щ е л к н и т е к н о п к у Далее (Next).
5 . Н а с т р а н и ц е Д о м е н н ы е с л у ж б ы Active D i r e c t o r y (Active Directory Domain
Services) щ е л к н и т е кнопку Далее (Next).
6. На с т р а н и ц е П о д т в е р д и т е в ы б р а н н ы е элементы (Confirm Installation Selec-
t i o n s ) щ е л к н и т е к н о п к у Установить (Install). Процесс в ы п о л н е н и я задач
у с т а н о в к и о т о б р а ж а е т с я н а с т р а н и ц е Ход в ы п о л н е н и я установки (Instal-
lation Progress).
7 . Н а с т р а н и ц е Р е з у л ь т а т ы у с т а н о в к и (Installation Results) просмотрите ре-
з у л ь т а т ы у с т а н о в к и и щ е л к н и т е к н о п к у З а к р ы т ь (Close). В разделе Со-
с т о я н и е р о л и ( R o l e s S u m m a r y ) д о м а ш н е й с т р а н и ц ы Д и с п е т ч е р а сервера
( S e r v e r M a n a g e r ) в ы у в и д и т е сообщение о б ошибке, помеченное красным
к р у ж к о м с б е л ы м к р е с т и к о м . В разделе Доменные службы Active Directory
( A c t i v e D i r e c t o r y D o m a i n Services) также появится сообщение. Обе ссылки
о т к р ы в а ю т п о к а з а н н у ю н а рис. 1 - 8 страницу р о л и доменных служб Active
D i r e c t o r y в д и с п е т ч е р е сервера. С о о б щ е н и е напоминает о том, что надо
з а п у с т и т ь к о м а н д у Dcpromo.exe. Э т и м мы з а й м е м с я в следующем упраж-
нении.
I •| g Установка Глава 1

- li
V 0J(1MW CSCBVEBOU
M —
I. Каш»»'»
• ft Дьл-носг»^
• ^кь+пн».
Д wiur
" flu

**' 1Чр«МТН к fyxKMtpy tw.iv


Lf twi^iponjl Ь :.'an

J ii . " [ < l O JOCa 31:00:43 Ккчххп, АОУПИ

Рис. 1-8. Страница доменных служб Active Directory в диспетчере сервера


Упражнение 4. Установка леса Windows Server 2 0 0 8
В этом упражнении вы воспользуетесь мастером установки д о м е н н ы х с л у ж б Ac-
tive Directory (Dcpromo.exe) для создания нового л е с а W i n d o w s S e r v e r 2 0 0 8 .
1. Щелкните кнопки Пуск (Start) и Выполнить ( R u n ) , введите к о м а н д у Dcpro-
mo.exe и нажмите клавишу Enter.

ПРИМЕЧАНИЕ Добавление роли AD DS посредством команды Dcpromo


В предыдущем упражнении вы добавили роль AD DS с помощью диспетчера сервера.
Однако если запустить команду Dcpromo.exe на сервере без установленной роли AD
DS, то мастер добавит эту роль автоматически.

Откроется Мастер установки доменных с л у ж б A c t i v e D i r e c t o r y ( A c t i v e


Directory Domain Services Installation Wizard). Его р а с ш и р е н н ы е р е ж и м ы
описаны в главе 10.
2. Щелкните кнопку Далее (Next).
3. На странице Совместимость о п е р а ц и о н н ы х с и с т е м ( O p e r a t i n g S y s t e m
Compatibility) ознакомьтесь с предупреждением о з а д а н н ы х по у м о л ч а н и ю
параметрах безопасности для к о н т р о л л е р о в д о м е н о в с и с т е м ы W i n d o w s
Server 2008, а затем щелкните кнопку Далее ( N e x t ) .
4. На странице Выберите конфигурацию развертывания ( C h o o s e a D e p l o y m e n t
Configuration) остановите свой выбор на к о н ф и г у р а ц и и С о з д а т ь н о в ы й
домен в новом лесу (Create a New Domain in a N e w F o r e s t ) и щ е л к н и т е
кнопку Далее (Next).
5. На странице Укажите имя корневого домена леса ( N a m e t h e F o r e s t R o o t
Domain) введите в поле имя contoso.com и щ е л к н и т е к н о п к у Д а л е е ( N e x t ) .
Система проверит уникальность имен DNS и N e t B I O S в сети.
Занятие 1 Установка доменных служб Active Directory ") 21

6. Иа с т р а н и ц е З а д а н и е р е ж и м а работы леса (Set Forest Functional Level) вы-


б е р и т е ф у н к ц и о н а л ь н ы й у р о в е н ь W i n d o w s Server 2008 и щелкните кнопку
Далее (Next).
В с е ф у н к ц и о н а л ь н ы е у р о в н и о п и с а н ы в окне П о д р о б н о с т и ( D e t a i l s )
с т р а н и ц ы . П р и в ы б о р е ф у н к ц и о н а л ь н о г о уровня леса Windows Server 2008
все д о м е н ы в л е с у б у д у т работать иа уровне Windows Server 2008, обеспе-
ч и в а ю щ е м н е с к о л ь к о н о в ы х возможностей системы W i n d o w s Server 2008.
Ф у н к ц и о н а л ь н ы е у р о в н и подробно описаны в главе 12.
О т к р о е т с я с т р а н и ц а П а р а м е т р ы дополнительного контроллера домена (Ad-
d i t i o n a l D o m a i n C o n t r o l l e r O p t i o n s ) . П о у м о л ч а н и ю будет выбран D N S -
с е р в е р . М а с т е р у с т а н о в к и д о м е н н ы х служб Active Directory создаст инфра-
с т р у к т у р у D N S в п р о ц е с с е установки AD DS. Первый контроллер домена
в л е с у д о л ж е н б ы т ь с е р в е р о м глобального каталога GC (Global Catalog) и
н е м о ж е т б ы т ь к о н т р о л л е р о м домена только д л я чтения R O D C ( R e a d - O n l y
Domain Controller).
7. Щ е л к н и т е к н о п к у Д а л е е ( N e x t ) . П о я в и т с я предупреждение о назначении
с т а т и ч е с к о г о I P - а д р е с а . П о с к о л ь к у конфигурация IPv6 не описана в данном
р у к о в о д с т в е , в у п р а ж н е н и и 2 д л я сервера не б ы л назначен статический
1 Р у 6 - а д р е с . В у п р а ж н е н и и 2 вы назначили статический 1Ру4-адрес, который
б у д е т и с п о л ь з о в а т ь с я в п о с л е д у ю щ и х упражнениях. В контексте текущего
у п р а ж н е н и я д а н н о е п р е д у п р е ж д е н и е можно проигнорировать.
8. Щ е л к н и т е к н о п к у Д а , к о м п ь ю т е р будет использовать динамически назнача-
е м ы й I P - а д р е с ( н е р е к о м е н д у е т с я ) (Yes, the Computer Will Use a Dynamically
A s s i g n e d IP A d d r e s s ( N o t R e c o m m e n d e d ) ) . Появится предупреждение о том,
ч т о д л я э т о г о D N S - с е р в е р а не будет делегирования. В контексте данного
у п р а ж н е н и я в ы м о ж е т е п р о и г н о р и р о в а т ь эту ошибку. Делегирование до-
м е н о в D N S о п и с а н о в г л а в е 9.
9 . Щ е л к н и т е к н о п к у Д а (Yes), ч т о б ы закрыть окно предупреждения мастера
у с т а н о в к и д о м е н н ы х с л у ж б Active Directory.
10. На с т р а н и ц е Р а с п о л о ж е н и е д л я базы данных, файлов ж у р н а л а и SYSVOL
( L o c a t i o n f o r D a t a b a s e , Log Files and SYSVOL) примите заданное по умол-
ч а н и ю р а з м е щ е н и е , д л я ф а й л а базы данных, файлов журнала службы ка-
т а л о г о в и S Y S V O L , а з а т е м щ е л к н и т е кнопку Далее (Next). В производс-
т в е н н о й с р е д е э т и ф а й л ы л у ч ш е всего хранить в трех отдельных томах, где
нет п р и л о ж е н и й и д р у г и х ф а й л о в , которые не имеют отношения к AD DS.
Б л а г о д а р я э т о м у п о в ы с и т с я производительность, а также э ф ф е к т и в н о с т ь
архивации и восстановления.
И . Н а с т р а н и ц е П а р о л ь а д м и н и с т р а т о р а д л я режима восстановления служб
к а т а л о г о в ( D i r e c t o r y Services Restore Mode Administrator Password) введите
с т р о г и й п а р о л ь в п о л я П а р о л ь ( P a s s w o r d ) и Подтверждение ( C o n f i r m e d
P a s s w o r d ) . Щ е л к н и т е к н о п к у Д а л е е (Next).
12. На с т р а н и ц е С в о д к а ( S u m m a r y ) просмотрите выбранные параметры. Если
к а к и е - л и б о и з н и х н е к о р р е к т н ы , т о щелкните кнопку Назад (Back), чтобы
внести м о д и ф и к а ц и и .
I •| g Установка Глава 1

13. Дважды щелкните кнопку Далее (Next). Н а ч н е т с я п р о ц е с с н а с т р о й к и AD


DS. После его завершения потребуется перезагрузить сервер. П р и ж е л а н и и
вы можете установить флажок Перезагрузка по з а в е р ш е н и и ( R e b o o t on
Completion). j

Резюме I
• Службы Active Directory обеспечивают интегрированную р е а л и з а ц и ю иден-
тификации и доступа в корпоративных сетях.
• Доменные службы Active Directory (Active D i r e c t o r y D o m a i n S e r v i c e s ) пре-
доставляют компоненты служб каталогов и проверки п о д л и н н о с т и р е ш е н и я
IDA. Кроме того, они упрощают управление д а ж е в б о л ь ш и х и с л о ж н ы х
распределенных сетях.
• Системы Windows Server 2008 к о н ф и г у р и р у ю т с я на о с н о в е в ы п о л н я е м ы х
ими ролей. Роль AD DS можно добавить с п о м о щ ь ю Д и с п е т ч е р а с е р в е р а
(Server Manager).
• Для настройки AD DS и создания контроллера д о м е н а и с п о л ь з у е т с я к о -
манда Dcpromo.exe.

Закрепление материала
Знания, полученные на занятии 1, можно проверить с п о м о щ ь ю п р и в е д е н н ы х
ниже вопросов, которые есть на сопроводительном к о м п а к т - д и с к е .

ПРИМЕЧАНИЕ Ответы
Ответы на данные вопросы с пояснениями, почему тот либо иной вариант ответа
правильный или неправильный, вы найдете в разделе -«Ответы» в конце книги.

1. Какие из приведенных ниже параметров требуются д л я у с п е ш н о г о с о з д а н и я


контроллера домена? Укажите все варианты.
A. Действительное DNS-имя домена.
Б. Действительное имя NetBIOS.
B. Сервер D H C P для назначения IP-адреса к о н т р о л л е р у д о м е н а .
Г. Сервер DNS.
2. Компания Trey Research недавно приобрела к о м п а н и ю L i t w a r e , Inc. И з - з а
проблем, возникших в связи с регулированием р е п л и к а ц и и , б ы л о п р и н я т о
решение сконфигурировать дочерний домен в лесу д л я п о л ь з о в а т е л е й и
компьютеров Litware. Лес Trey Research в настоящее в р е м я с о д е р ж и т л и ш ь
контроллеры доменов Windows Server 2008. Н о в ы й д о м е н б у д е т с о з д а н
посредством повышения ранга рядового сервера до к о н т р о л л е р а д о м е н а
Windows Server 2008, однако в качестве к о н т р о л е р о в в д о м е н е L i t w a r e в а м ,
возможно, придется использовать существующие с и с т е м ы W i n d o w s S e r -
ver 2003. Какие функциональные уровни следует с к о н ф и г у р и р о в а т ь в т а к о й
ситуации?
А. Леса Windows Server 2008 и домена W i n d o w s Server 2 0 0 8 д л я L i t w a r e .
Б. Леса Windows Server 2008 и домена W i n d o w s Server 2 0 0 3 д л я L i t w a r e .
Занятие 2 Доменные службы Active Directory и ядро сервера 23

В. Л е с а W i n d o w s Server 2003 и домена Windows Server 2008 д л я Litware.


F. Л е с а W i n d o w s S e r v e r 2003 и домена W i n d o w s Server 2003 д л я Litware.

Занятие 2. Доменные службы Active Directory


^ ядро сервера
М н о г и е о р г а н и з а ц и и с т а р а ю т с я реализовать все доступные средства безопас-
ности д л я с е р в е р о в , я в л я ю щ и х с я к о н т р о л л е р а м и доменов, поскольку данные,
к о т о р ы е х р а н я т с я в к а т а л о г е (в частности, пользовательские п а р о л и ) уязвимы.
Хотя в к о н ф и г у р а ц и и W i n d o w s Server 2008 на основе ролей уменьшается фронт
атак с е р в е р а , т а к к а к и н с т а л л и р у ю т с я л и ш ь те компоненты и службы, кото-
рые н е о б х о д и м ы д л я его ролей, это м о ж н о сделать и посредством установки
ядра с е р в е р а ( S e r v e r C o r e ) . Э т о м и н и м а л ь н а я установка, в которой нет даже
г р а ф и ч е с к о г о п о л ь з о в а т е л ь с к о г о и н т е р ф е й с а Проводник Windows ( W i n d o w s
E x p l o r e r ) и к о м п о н е н т а M i c r o s o f t . N E T Framework. И н с т а л л я ц и ю ядра сервера
м о ж н о а д м и н и с т р и р о в а т ь у д а л е н н о с п о м о щ ь ю инструментов G U I (Graphical
User I n t e r f a c e ) , о д н а к о д л я л о к а л ь н о й настройки и управления сервером нужно
и с п о л ь з о в а т ь и н с т р у м е н т ы к о м а н д н о й строки. Н а этом з а н я т и и м ы опишем
п р о ц е с с с о з д а н и я к о н т р о л л е р а д о м е н а из к о м а н д н о й строки на компьютере с
у с т а н о в л е н н ы м я д р о м с е р в е р а W i n d o w s Server 2008. Кроме того, мы обсудим
удаление к о н т р о л л е р о в из домена.

Изучив материалы этого занятия, вы сможете:


Оценить преимущества и функциональные возможности установки ядра
сервера.
S Установить и сконфигурировать ядро сервера.
S Добавить и удалить роль доменных служб Active Directory (AD DS) с помо-
щью инструментов командной строки.
Продолжительность занятия — около 35 мин.

Ядро сервера
Я д р о с е р в е р а ( S e r v e r C o r e ) W i n d o w s Server 2008 представляет собой минималь-
н у ю у с т а н о в к у с и с т е м ы W i n d o w s , к о т о р а я занимает около 3 Гбайт на жестком
диске и т р е б у е т м е н ь ш е 256 М б а й т оперативной памяти. Установка ядра сервера
о г р а н и ч и в а е т р о л и и к о м п о н е н т ы , которые м о ж н о добавлять, зато повышает
у р о в е н ь б е з о п а с н о с т и и у п р а в л я е м о с т и сервера, с н и ж а я ф р о н т его атаки. Ко-
л и ч е с т в о о д н о в р е м е н н о з а п у щ е н н ы х служб и компонентов при этом ограни-
чено, п о э т о м у в о з м о ж н о с т и з л о у м ы ш л е н н и к о в атаковать сервер сокращаются.
К р о м е т о г о , в я д р е с е р в е р а ослабевает административная нагрузка, связанная
с у п р а в л е н и е м с е р в е р о м , п о с к о л ь к у сокращается потребность в обновлениях
и технической поддержке.
Я д р о с е р в е р а ( S e r v e r C o r e ) поддерживает девять ролей сервера:
• Д о м е н н ы е с л у ж б ы Active Directory (Active Directory Domain Services, AD DS);
• С л у ж б ы A c t i v e D i r e c t o r y облегченного доступа к каталогам (Active Direc-
t o r y L i g h t w e i g h t D i r e c t o r y Services, A D LDS);
24 I •| g Установка Глава 1

• DHCP-сервер (Dynamic Host Configuration Protocol ( D H C P ) S e r v e r ) ;


• DNS-сервер (DNS Server);
• Файловые службы (File Services);
• Сервер печати (Print Server); I
• Службы потокового мультимедиа (Streaming Media Services); I
• Веб-сервер (IIS) (Web Server ( I I S ) ) — статический в е б - с е р в е р без в о з м о ж -
ности установить ASP.NET;
• Hyper-V (виртуализацию Windows Server). '
Кроме того, в ядре сервера поддерживаются с л е д у ю щ и е д о п о л н и т е л ь н ы е
компоненты: I
• Средство отказоустойчивости кластеров ( M i c r o s o f t Failover C l u s t e r ) ;
• Балансировка сетевой нагрузки (Network Load Balancing);
• Подсистема для UNIX-приложений ( S u b s y s t e m for U N I X - b a s e d a p p l i -
cations);
• Архивация Windows (Windows Backup);
• Многопутевой ввод-вывод (Multipath I / O ) ;
• Диспетчер съемных носителей (Removable Storage M a n a g e m e n t ) ;
• Шифрование диска BitLocker (Windows BitLocker D r i v e E n c r y p t i o n ) ;
• Службы SNMP (Simple Network Management P r o t o c o l ( S N M P ) ) ;
• WINS-сервер (Windows Internet Naming Service ( W I N S ) ) ;
• Клиент Telnet (Telnet client);
• Качество обслуживания QoS (Quality of Service ( Q o S ) ) .

Установка ядра сервера


Ядро сервера (Server Core) можно установить с п о м о щ ь ю о п е р а ц и й , к о т о р ы е
описаны в первом упражнении занятия 1. Р а з н и ц а между п о л н о й у с т а н о в к о й
и инсталляцией ядра сервера состоит в том, что после в ы б о р а и в ы п о л н е н и я
установки ядра сервера (Server Core) в Мастере у с т а н о в к и W i n d o w s ( I n s t a l l -
ing Windows Wizard), показанном на рис. 1-9, при входе в с и с т е м у в м е с т о и н -
терфейса Проводник Windows (Windows E x p l o r e r ) о т к р ы в а е т с я к о м а н д н а я
строка.

ПРИМЕЧАНИЕ Пустой начальный пароль администратора


При установке системы Windows Server 2008 с загрузочного DVD начальный пароль
учетной записи Администратор (Administrator) является пустым. При первом входе
в систему вам будет предложено изменить пароль.

ПРИМЕЧАНИЕ
Установка ядра сервера пошагово описана в упражнении 1 в конце этого занятия.
Рис. 1-9. Страница выбора операционной системы Мастера установки Windows

Начальные задачи настройки


П р и п о л н о й у с т а н о в к е с и с т е м ы W i n d o w s Server 2008 о т к р ы в а е т с я окно З а д а ч и
н а ч а л ь н о й н а с т р о й к и ( I n i t i a l C o n f i g u r a t i o n Tasks), в котором м о ж н о в ы п о л н я т ь
п о с л е у с т а н о в о ч н ы е з а д а ч и на с е р в е р е . Я д р о с е р в е р а ( S e r v e r C o r e ) не предо- '
ставляет г р а ф и ч е с к о г о интерфейса, поэтому нужно использовать командную
строку. О с н о в н ы е з а д а ч и н а с т р о й к и и к о м а н д ы , к о т о р ы е м о ж н о п р и м е н я т ь
д л я и х в ы п о л н е н и я , п р и в е д е н ы в т а б л . 1-1. Ч т о б ы п о л у ч и т ь б о л ь ш е и н ф о р -
м а ц и и о б э т и х к о м а н д а х , о т к р о й т е к о м а н д н у ю с т р о к у и введите и м я к о м а н д ы
с параметром / ? .

Табл. 1-1. Команды для настройки ядра сервера


Задача Команда
Изменение пароля администратора При входе в систему с помощью сочетания
клавиш Ctrl+Alt+Del будет предложено из-
менить пароль. Можно также ввести команду
Net user administrator *
Задать статическую конфигурацию Netsh interface ipv4
IPv4
Активация системы Windows Server Cscript c:\windows\system32\slmgr.vbs -ato
Присоединение к домену Netdom
Добавление ролей, компонентов Ocsetup.exe, после чего нужно указать имя
и средств в установку ядра сервера пакета либо компонента. Эти имена чувстви-
тельны к регистру
Отображение установленных ролей, Oclist.exe
компонентов и возможностей
(см. след. стр.)
I •| g Установка Глава 1

Табл.1-1 (окончание)
Задача Команда j
Включение удаленного рабочего Cscript c:\xmndows\system32\scregedit.wsf /AR О I
стола j
Повышение ранга сервера Dcpromo.exe (
до контроллера домена ;
Настройка DNS Dnscmd.exe
Настройка DFS Dfscmd.exe

ПРИМЕЧАНИЕ
В упражнении 2 в конце этого занятия пошагово описана начальная настройка
установки ядра сервера Windows Server 2008.

Для добавления поддерживаемых ролей и к о м п о н е н т о в я д р а с е р в е р а и с -


пользуется команда Ocsetup.exe. Исключением из этого п р а в и л а я в л я е т с я р о л ь
доменных служб Active Directory (AD DS) — д л я ее д о б а в л е н и я и у д а л е н и я
используется команда Dcpromo.exe.

Добавление роли AD DS ядру сервера


Поскольку в установке ядра сервера (Server C o r e ) нет к о м п о н е н т а М а с т е р у с -
тановки доменных служб Active Directory (Active Directory D o m a i n Services I n -
stallation Wizard), требуется из командной строки з а п у с т и т ь к о м а н д у Dcpromo.
ехе с параметрами настройки роли AD DS. Ч т о б ы б о л ь ш е у з н а т ь о п а р а м е т р а х
Dcpromo.exe, откройте командную строку и введите команду dcpromo.exe /?. Д л я
всех сценариев конфигурации необходима д о п о л н и т е л ь н а я и н ф о р м а ц и я . Н а -
пример, для повышения ранга сервера до у р о в н я к о н т р о л л е р а д о м е н а в в е д и т е
команду dcpromo.exe /?:Promotion.

К СВЕДЕНИЮ Параметры автоматизированной установки


Список параметров автоматизированной установки можно найти по адресу http://
technet2.microsoft.com/windowsserver2008/en/library/bcd89659-402d-46fb-8535-
8da 1feb8d4111033.mspx.

ПРИМЕЧАНИЕ
Вы добавите роль AD DS в установку ядра сервера в упражнении 3 в конце этого
занятия.

Удаление контроллеров доменов


Иногда может потребоваться отключить контроллер д о м е н а от сети д л я п р о -
ведения капитального технического обслуживания л и б о навсегда у д а л и т ь его.
Делать это нужно корректно, чтобы удалить и н ф о р м а ц и ю об этом к о н т р о л л е р е
домена из Active Directory.
Занятие 2 Доменные службы Active Directory и ядро сервера 27

Д л я у д а л е н и я к о н т р о л л е р а д о м е н а и с п о л ь з у е т с я команда Dcpromo.exe. П р и
ее з а п у с к е на к о н т р о л л е р е д о м е н а с п о м о щ ь ю и н т е р ф е й с а W i n d o w s запустится
М а с т е р у с т а н о в к и д о м е н н ы х с л у ж б Active D i r e c t o r y (Active D i r e c t o r y Domain
\Services I n s t a l l a t i o n W i z a r d ) . Ч т о б ы у д а л и т ь р о л ь AD DS в установке ядра сер-
в е р а из к о м а н д н о й с т р о к и , в в е д и т е dcpromo.exe /?:Demotion. О т к р о е т с я список
п а р а м е т р о в д л я о п е р а ц и и п о н и ж е н и я р о л и к о н т р о л л е р а домена,
j

ПРИМЕЧАНИЕ
В упражнении 4 в конце этого занятия описан процесс удаления контроллера домена
с помощью команды Dcpromo.exe.

П р и п о н и ж е н и и р о л и к о н т р о л л е р а д о м е н а т р е б у е т с я у к а з а т ь пароль, кото-
р ы й б у д е т н а з н а ч е н л о к а л ь н о й у ч е т н о й з а п и с и а д м и н и с т р а т о р а сервера после
выполнения этой операции.

Практические занятия. Установка контроллера домена


с ядром сервера
В п р е д л о ж е н н ы х д а л е е у п р а ж н е н и я х вы д о б а в и т е к о н т р о л л е р д о м е н а в лес
c o n t o s o . c o m , с о з д а н н ы й в у п р а ж н е н и я х з а н я т и я 1. Ч т о б ы п о в ы с и т ь у р о в е н ь
б е з о п а с н о с т и и у м е н ь ш и т ь а д м и н и с т р а т и в н у ю н а г р у з к у нового к о н т р о л л е р а
д о м е н а , вы н а з н а ч и т е на! эту р о л ь к о м п ь ю т е р с у с т а н о в л е н н ы м я д р о м сервера
(Server Core). Перед в ы п о л н е н и е м приведенных ниже упражнений нужно
в ы п о л н и т ь у п р а ж н е н и я занятия 1.

Упражнение 1. Установка ядра сервера


В этом у п р а ж н е н и и вы установите ядро сервера на компьютер или виртуаль-
ную машину.
1 . В с т а в ь т е у с т а н о в о ч н ы й д и с к с и с т е м ы W i n d o w s Server 2008. П р и использо-
в а н и и в и р т у а л ь н о й м а ш и н ы в ы м о ж е т е с м о н т и р о в а т ь I S O - о б р а з установоч-
н о г о D V D . С о о т в е т с т в у ю щ и е и н с т р у к ц и и есть в с п р а в о ч н о й д о к у м е н т а ц и и
виртуальной машины.
2 . З а п у с т и т е у с т а н о в к у с и с т е м ы . П р и п у с т о м ж е с т к о м с и с т е м н о м д и с к е сле-
д у е т з а г р у з и т ь с и с т е м у с D V D . Когда на д и с к е есть данные, вам может быть
п р е д л о ж е н о н а ж а т ь к л а в и ш у д л я з а г р у з к и с D V D . Е с л и система н е загру-
жается с DVD, откройте параметры BIOS компьютера и сконфигурируйте
порядок загрузки с DVD.
3. Выберите д л я системы язык, региональные параметры и раскладку клави-
атуры, после чего щ е л к н и т е кнопку Далее (Next).
4 . Щ е л к н и т е к н о п к у У с т а н о в и т ь ( I n s t a l l N o w ) . О т р о е т с я список д о с т у п н ы х
д л я у с т а н о в к и в ы п у с к о в , п о к а з а н н ы й н а рис. 1-5.
5. В ы б е р и т е в а р и а н т W i n d o w s Server 2008 (Установка я д р а сервера) ( W i n d o w s
Server 2008 (Server Core Installation)) и щелкните кнопку Далее (Next).
6. У с т а н о в и т е ф л а ж о к Я п р и н и м а ю у с л о в и я л и ц е н з и и (I Accept t h e License
Terms) и щелкните кнопку Далее (Next).
Установка Глава 1

7. Щелкните кнопку Полная установка (дополнительные параметры) ( C u s t o m ;


(Advanced)). /'
8. На странице Выберите раздел для установки Windows ( W h e r e Do You Want-
To Install Windows) выберите диск, на который хотите у с т а н о в и т ь с и с т е м у
Windows Server 2008. Если вам нужно создать, удалить, р а с ш и р и т ь и л и ф о р -
матировать разделы либо загрузить настраиваемый д р а й в е р д л я п о л у ч е н и я
доступа к подсистеме диска, щелкните кнопку З а г р у з к а д р а й в е р а ( D r i v e r
Options).
9. Щелкните кнопку Далее (Next).
10. После завершения установки войдите в систему. Н а ч а л ь н ы й п а р о л ь у ч е т н о й
записи Администратор (Administrator) будет пустым.
11. Вам будет предложено изменить пароль. Введите п а р о л ь у ч е т н о й з а п и с и
администратора в поля Пароль (Password) и Подтверждение ( C o n f i r m Pass-
word), после чего нажмите клавишу Enter.
Пароль должен состоять как минимум из семи символов:
• символов верхнего регистра: A - Z ;
• символов нижнего регистра: a - z ;
• цифр: 0 - 9 ;

• д р у г и х с и м в о л о в , н а п р и м е р $, #, @ и !.

ПРИМЕЧАНИЕ Не забывать пароль


Без него вы не сможете войти на сервер для выполнения других упражнений дан-
ного руководства.

12. Щелкните ОК. Откроется окно командной строки учетной з а п и с и а д м и -


нистратора. /

Упражнение 2. Выполнение послеустановочных задач настройки


в установке ядра сервера
В этом упражнении вы выполните послеустановочные задачи н а с т р о й к и сер-
вера, назначив ему имя и параметры T C P / I P , необходимые д л я в ы п о л н е н и я
остальных упражнений данного занятия.
1. Переименуйте сервер с помощью команды Netdom renamecomputer %сот-
putername% /newname:SERVER02. Вам будет п р е д л о ж е н о н а ж а т ь к л а в и ш у
Y, чтобы подтвердить операцию.
2. Задайте 1Ру4-адрес сервера. Для этого введите т а к и е к о м а н д ы :
netsh interface ipv4 set address пате-'Подключение по локальной сети"
source=static address=10.0.0.12 mask=255.255.255.0
gateway=l0.0.0.1 1

netsh interface ipv4 set dns пате="Подключение по локальной сети"


source=static address=10.0.0.11 primary
3. Проверьте IP-конфигурацию с помощью команды ipconfig/all.
4. Перезагрузите компьютер посредством команды shutdown -г -tO.
Занятие 2 Доменные службы Active Directory и ядро сервера 29

5. В о й д и т е в с и с т е м у к а к А д м и н и с т р а т о р ( A d m i n i s t r a t o r ) .
6. П р и с о е д и н и т е сервер к д о м е н у с п о м о щ ь ю к о м а н д ы Netdomjoin %computer-
пате% /domainxontoso.com.
7. П е р е з а г р у з и т е к о м п ь ю т е р к о м а н д о й shutdown -г -£ 0, а затем вновь войдите
в систему как администратор.
8. О т о б р а з и т е у с т а н о в л е н н ы е р о л и с е р в е р а с п о м о щ ь ю к о м а н д ы oclist. Иден-
т и ф и к а т о р о м п а к е т а р о л и с е р в е р а D N S я в л я е т с я DNS-Server-Core-Role.
9. В в е д и т е к о м а н д у ocsetup и н а ж м и т е E n t e r . К а к видите, в у с т а н о в к е я д р а
с е р в е р а все ж е есть н е к о т о р ы е э л е м е н т ы г р а ф и ч е с к о г о и н т е р ф е й с а .
10. Щ е л к н и т е О К, ч т о б ы з а к р ы т ь о к н о .
11. В в е д и т е к о м а н д у ocsetup DNS-Server-Core-Role. Идентификаторы пакетов
ч у в с т в и т е л ь н ы к регистру.
12. В в е д и т е к о м а н д у oclist и у б е д и т е с ь , что р о л ь D N S - с е р в е р а установлена.

Упражнение 3. Создание контроллера домена с ядром сервера


В э т о м у п р а ж н е н и и вы с п о м о щ ь ю к о м а н д ы Dcpromo.exe добавите р о л ь AD DS
в установку ядра сервера (Server Core).
1. В в е д и т е к о м а н д у dcpromo.exe /? и н а ж м и т е к л а в и ш у E n t e r . П р о с м о т р и т е
сведения об использовании этой команды.
2. В в е д и т е к о м а н д у dcpromo.exe /?:Promotion и н а ж м и т е к л а в и ш у E n t e r . Про-
смотрите и н ф о р м а ц и ю об использовании этой команды.
3. Д л я д о б а в л е н и я и настройки роли AD DS введите команду
dcpromo /unattend /replicaOrNewDomain:replica /replicaDomainDNSName-.contoso. com /
ConfirmGCiVes /UserName:CONTOSO\Adminsitrator /Password:» /safeModeAdminPassword:
Password
4 . К о г д а в а м б у д е т п р е д л о ж е н о в в е с т и с е т е в ы е у ч е т н ы е д а н н ы е , введите па-
р о л ь у ч е т н о й з а п и с и а д м и н и с т р а т о р а в д о м е н е contoso.com и щелкните О К .
Б у д е т у с т а н о в л е н а и с к о н ф и г у р и р о в а н а р о л ь A D D S , п о с л е чего сервер
перезагрузится.

Упражнение 4. Удаление контроллера домена


В э т о м у п р а ж н е н и и в ы у д а л и т е р о л ь A D D S и з у с т а н о в к и я д р а сервера.
1. В о й д и т е на к о м п ь ю т е р с я д р о м с е р в е р а к а к а д м и н и с т р а т о р .
2. В в е д и т е к о м а н д у dcpromo /unattend/AdministratorPassword:napanb и у к а ж и т е
строгий п а р о л ь д л я л о к а л ь н о й учетной з а п и с и администратора сервера
после удаления роли AD DS. Н а ж м и т е клавишу Enter.

Резюме
• У с т а н о в к а я д р а с е р в е р а ( S e r v e r C o r e ) W i n d o w s S e r v e r 2008 п р е д с т а в л я е т
с о б о й м и н и м а л ь н у ю и н с т а л л я ц и ю с и с т е м ы W i n d o w s , к о т о р а я поддерживает
поднабор ролей и компонентов сервера.
• Установка ядра сервера может повысить уровень безопасности и управля-
емости серверов Windows.
30 I •| g Установка Глава 1

• Для добавления ролен в установку ядра сервера и у д а л е н и я их и с п о л ь - ;


зуется команда Ocsetup.exe. Исключение составляет р о л ь AD DS, к о т о р а я
инсталлируется с помощью команды Dcpromo.exe.
ш Операции автоматизированного п о в ы ш е н и я и п о н и ж е н и я р о л и с е р в е р а
можно выполнять посредством команды Dcpromo.exe /unattend с с о о т в е т с -
твующими параметрами.

Закрепление материала
Знания, полученные на занятии 2, можно проверить с п о м о щ ь ю п р и в е д е н н ы х
ниже вопросов, которые есть на сопроводительном к о м п а к т - д и с к е .

ПРИМЕЧАНИЕ Ответы
Ответы на эти вопросы с пояснениями, почему тот либо иной вариант ответа пра-
вильный или неправильный, вы найдете в разделе -«Ответы» в конце книги.

1. Вы вошли как администратор на сервер S E R V E R 0 2 с у с т а н о в л е н н ы м я д р о м


сервера Windows Server 2008, который я в л я е т с я о д н и м из к о н т р о л л е р о в
домена contoso.com. Вам требуется п о н и з и т ь р а н г к о н т р о л л е р а д о м е н а .
Какие данные нужны для этого?
A. Пароль локального администратора.
Б. Учетные данные пользователя й группе А д м и н и с т р а т о р ы д о м е н а ( D o -
main Admins).
B. Учетные данные пользователя в группе к о н т р о л л е р о в д о м е н а D o m a i n
Controllers.
Г. Адрес DNS-сервера.
2. На машине SERVER02 установлено ядро сервера (Server C o r e ) . На с е р в е р е
уже сконфигурирована роль AD DS. Вам н у ж н о д о б а в и т ь на него с л у ж б ы
сертификации Active Directory (Active D i r e c t o r y C e r t i f i c a t e Services, AD
DS). Что нужно сделать для этого?
A. Установить Службы сертификации Active D i r e c t o r y ( A c t i v e D i r e c t o r y
Certificate Services).
Б. Установить Службы федерации Active Directory (Active D i r e c t o r y F e d e -
ration Services).
B. Установить Службы управления правами Active D i r e c t o r y ( A c t i v e D i -
rectory Rights Management Services).
Г. Переустановить на машине Windows Server 2008, в ы б р а в п о л н у ю уста-
новку (Full Installation).

Закрепление материала главы


Для того чтобы попрактиковаться и закрепить знания, п о л у ч е н н ы е п р и и з у ч е -
нии представленного в этой главе материала, вам необходимо:
• ознакомиться с резюме главы; I
• повторить используемые в главе основные термины; I
Основные термины 3")

• и з у ч и т ь с ц е н а р и й , в к о т о р о м о п и с а н а р е а л ь н а я с и т у а ц и я , т р е б у ю щ а я при-
м е н е н и я п о л у ч е н н ы х з н а н и й , и п р е д л о ж и т ь свое решение;
в выполнить рекомендуемые упражнения;
• сдать п р о б н ы й э к з а м е н с п о м о щ ь ю тестов.

Резюме главы
• С л у ж б ы A c t i v e D i r e c t o r y в ы п о л н я ю т ф у н к ц и и и д е н т и ф и к а ц и и и управле-
н и я доступом д л я поддержки сети организации.
в К о н т р о л л е р д о м е н а у п р а в л я е т х р а н и л и щ е м д а н н ы х Active D i r e c t o r y и свя-
з а н н ы м и с н и м службами. Контроллеры домена создаются посредством
д о б а в л е н и я р о л и AD DS и ее п о с л е д у ю щ е й н а с т р о й к и с п о м о щ ь ю команды
Dcpromo.exe.
а Я д р о с е р в е р а ( S e r v e r C o r e ) д а е т в о з м о ж н о с т ь с н и з и т ь з а т р а т ы н а управле-
н и е и п о в ы с и т ь у р о в е н ь б е з о п а с н о с т и к о н т р о л л е р о в доменов.

Основные термины
З а п о м н и т е п р е д с т а в л е н н ы е д а л е е т е р м и н ы и п о н я т и я , чтобы л у ч ш е понимать
о п и с ы в а е м ы е в данной главе концепции.
в Проверка подлинности Механизм, с помощью которого проверяется
п о д л и н н о с т ь о б ъ е к т а и д е н т и ф и к а ц и и п о с р е д с т в о м с р а в н е н и я секретной
и н ф о р м а ц и и (скажем, паролей пользователя либо компьютера) с данными
в хранилище объектов идентификации.
в Домен А д м и н и с т р а т и в н а я е д и н и ц а в Active Directory. Все к о н т р о л л е р ы
в н у т р и д о м е н а р е п л и ц и р у ю т в д о м е н е и н ф о р м а ц и ю о пользователях, груп-
пах и компьютерах.
ш Лес П е р и м е т р э к з е м п л я р а Active Directory. С о д е р ж и т один или несколько
д о м е н о в . Все д о м е н ы в л е с у р е п л и ц и р у ю т р а з д е л ы схемы и к о н ф и г у р а ц и и
каталога.
• Корневой домен леса П е р в ы й с о з д а н н ы й в лесу домен.
• Функциональный уровень П а р а м е т р , о т которого з а в и с я т в о з м о ж н о с т и
A c t i v e D i r e c t o r y в д о м е н е л и б о лесу. О г р а н и ч и в а е т версии, к о т о р ы е м о ж н о
и с п о л ь з о в а т ь на к о н т р о л л е р а х в д о м е н е л и б о лесу.
• Глобальный каталог (или частичный набор атрибутов) Раздел хранилища
д а н н ы х A c t i v e D i r e c t o r y , к о т о р ы й с о д е р ж и т поднабор атрибутов объектов
в л е с у A c t i v e D i r e c t o r y . И с п о л ь з у е т с я д л я э ф ф е к т и в н ы х запросов и лока-
лизации объектов.
• Хранилище объектов идентификации База д а н н ы х с и н ф о р м а ц и е й о поль-
з о в а т е л я х , г р у п п а х , к о м п ь ю т е р а х и д р у г и х п р и н ц и п а л а х безопасности. Со-
держит имена и пароли пользователей.
в Kerberos С т а н д а р т н ы й п р о т о к о л , и с п о л ь з у е м ы й в Active D i r e c t o r y д л я
проверки подлинности.
" Схема О п р е д е л е н и е классов атрибутов и объектов, поддерживаемых
в Active Directory.
I •| g Установка Глава 1

• Сайт Объект Active Directory, п р е д с т а в л я ю щ и й ч а с т ь с е т и с н а д е ж н о й


связью. Внутри сайта (либо узла) к о н т р о л л е р ы д о м е н а р е п л и ц и р у ю т о б -
новления за считанные секунды, а к л и е н т ы с т а р а ю т с я п р и м е н я т ь с л у ж б ы
внутри своего узла перед обращением к с л у ж б а м д р у г и х с а й т о в .

Сценарий. Создание леса Active Directory


В этом сценарии вы проверите свои з н а н и я об у с т а н о в к е я д р а с е р в е р а и д о -
менных служб Active Directory. Ответы на в о п р о с ы м о ж н о н а й т и в р а з д е л е
«Ответы» в конце книги.
Вам нужно создать новый лес Active D i r e c t o r y д л я н о в о г о и с с л е д о в а т е л ь -
ского проекта компании Trey Research. Вследствие в а ж н о с т и п р о е к т а т р е б у е т с я
обеспечить максимальную безопасность каталога. Вы п л а н и р у е т е у с т а н о в и т ь
ядро сервера Windows Server 2008 на двух м а ш и н а х , к о т о р ы е б у д у т и г р а т ь
роль контроллеров домена.
1. Можно ли создать лес Active Directory т о л ь к о из м а ш и н с у с т а н о в л е н н ы м
ядром сервера?
2. Какую команду следует использовать д л я настройки с т а т и ч е с к и х I P - а д р е с о в
на серверах?
3. Какая команда добавит роль сервера D N S ?
4. Какую команду можно применить для д о б а в л е н и я д о м е н н ы х с л у ж б A c t i v e
Directory?

Пробный экзамен
На прилагаемом к книге компакт-диске п р е д с т а в л е н о н е с к о л ь к о в а р и а н т о в
тренировочных тестов. Проверить свои з н а н и я м о ж н о и л и т о л ь к о по о д н о й
теме сертификационного экзамена 7 0 - 6 4 0 , и л и по всем э к з а м е н а ц и о н н ы м т е -
мам. Тестирование можно организовать таким образом, ч т о б ы о н о п р о в о д и л о с ь
как экзамен, либо настроить его на режим о б у ч е н и я . В п о с л е д н е м с л у ч а е вы
сможете после каждого своего ответа на вопрос п р о с м о т р е т ь п р а в и л ь н ы е о т -
веты и пояснения.

ПРИМЕЧАНИЕ Пробный экзамен


Подробнее о пробном экзамене рассказано во введении к данной книге.
Г Л А В А 2

Администрирование

Занятие 1. Оснастки Active Directory 34


Занятие 2. Создание объектов в Active Directory 46
Занятие 3. Делегирование и безопасность объектов Active Directory 70

Б о л ь ш и н с т в о а д м и н и с т р а т о р о в получают первый опыт работы с доменными


с л у ж б а м и Active D i r e c t o r y (Active Directory Domain Services, AD DS), откры-
в а я оснастку Active D i r e c t o r y — пользователи и компьютеры (Active Directory
Users And C o m p u t e r s ) и с о з д а в а я объекты пользователей, групп и компьюте-
ров в п о д р а з д е л е н и я х ( O r g a n i z a t i o n a l Unit, O U ) домена. Выполнение таких
задач — о с н о в а р а б о т ы I T - п р о ф е с с и о н а л а в среде Active Directory. Поэтому
после с о з д а н и я д о м е н а м о ж н о и с п о л ь з о в а т ь средства, советы и рекомендации,
описанные и п р и в е д е н н ы е в главе 1, д л я создания указанных объектов. В после-
д у ю щ и х г л а в а х э т и к л а с с ы объектов описаны подробнее.
С е й ч а с же мы р а с с м о т р и м две в а ж н ы е высокоуровневые концепции пред-
п р и я т и я : л о к а л и з а ц и ю о б ъ е к т о в в каталоге и безопасность Active Directory
с п о д д е р ж к о й р е ш е н и я задач персоналом.

Темы экзамена:
• С о з д а н и е и п о д д е р ж к а объектов Active Directory.
• П о д д е р ж к а у ч е т н ы х записей Active Directory.

Прежде всего
Д л я в ы п о л н е н и я у п р а ж н е н и й в данной главе вам понадобится система Win-
dows Server 2008, у с т а н о в л е н н а я на физическом компьютере или виртуальной
машине. М а ш и н е следует назначить и м я S E R V E R 0 1 и повысить ее до ранга
контроллера домена contoso.com. (Подробнее об этом рассказывается в главе 1.)
34 Администрирование

История из ж и з н и
Дэн Холме
Вы определенно должны быть знакомы с таким инструментом администри-
рования, как оснастка Active Directory — пользователи и компьютеры (Active
Directory Users And Computers), и основньипгметодами создания подразделений
пользователей, компьютеров и групп. В настоящей главё описаны эти средства
и методы, что поможет вам заполнить пробелы в знаниях. Кроме того, в данной
главе рассмотрены способы повышения производительности труда администра-
тора. Я знаю, что многие администраторы продолжают использоватКконсоли по
умолчанию, поэтому хотел бы описать множество средств, с помощыо которых
они могут выполнять свою работу, не создавая отдельно настраиваемой консоли
ММС (Microsoft Management Console) со всеми необходимыми оснастками.
Многие администраторы также значительно углубляются в свои структуры OU
для локализации и управления объектами, вместо того чтобы использовать пре-
имущества сохраненных запросов (Saved Queries) для виртуализации представ-
ления доменов. Хотя глава посвящена лишь экзаменационной теме «Поддержка
учетных записей Active Directory», приведенные в ней советы и рекомендации
помогут обеспечить более высокий уровень безопасности ежедневной работы
на предприятии.

Занятие 1. Оснастки Active Directory


Административные инструменты или оснастки Active D i r e c t o r y о б е с п е ч и в а ю т
функциональность, необходимую д л я поддержки с л у ж б ы к а т а л о г о в . Н а э т о м
занятии мы рассмотрим самые важные оснастки Active Directory. Мы т а к ж е
обсудим способы их эффективного использования, в о з м о ж н о с т ь п р и м е н е н и я
альтернативных учетных данных и создания настраиваемых консолей, к о т о р ы е
можно распространять среди администраторов в о р г а н и з а ц и и .

Изучив материал этого занятия, вы сможете:


/ Работать с консолью ММС (Microsoft Management Console).
/ Определить самые важные административные оснастки Active Directory.
/ Установить Средства удаленного администрирования сервера RSAT (Remote
Server Administration Tools) в Windows Server 2008 и Windows Vista.
S Запускать административные средства с помощью альтернативных учет-
ных данных и команды Запуск от имени администратора (Run As Admini-
strator).
^ Создавать, контролировать, а также распространять настраиваемые оснастки
ММС.
Продолжительность занятия — около 35 мин.

Консоль управления Microsoft


Административные инструменты Windows совместно используют общую струк-
туру Microsoft Management Console ( М М С ) . Консоль М М С (рис. 2-1) о т о б р а -
Занятие 1 Оснастки Active Directory 35

жает и н с т р у м е н т ы в н а с т р а и в а е м о м окне с деревом консоли в л е в о й панели


( а н а л о г и ч н о м д е р е в у п р о в о д н и к а W i n d o w s ) и центральной панелыо сведений.
П а н е л ь Д е й с т в и я ( A c t i o n s ) с п р а в а в ы в о д и т команды, которые в М М С назы-
ваются действиями.

Отображение/Скрытие Отображение/Скрытие
дерева консоли панели действий

Оснастка-
Гр>т»а6е»-ч. .
rpftrie беюпа .
й Domar. Contnlcs
3 ForfipnStuiWhcpait 4Ь»л«»«ст ратсэы асяеиа ffcims 6exrj.~
АЛ-их-СТ»! nptenp. . Гркп* 6* •>-!*. ,
Аллмчгс-аторы си»
Л?, Или сы»< <oia»Tt -л rp
гости дсмеп* гр>т(*гопл
Гость Пол, хваля. г-гтроо-узд »

S*. Групп* с и и д а о* .. ГОУТЖИбсюГ»...


Групп* ьею-а ..
Гргтабеюг* .
П>утм6е>о"а .
. Гргооа 6
S.ijKaf роллеры до Гр>ти бемпа..
^Пзсъюмтст а< Группа бе юла...
% Сежры RAS и 1

ito JiJ

Дерево консоли Панель сведений Панель действий


Рис. 2-1. Консоль ММС с оснасткой

Д л я у п р а в л е н и я о т о б р а ж е н и е м левой и правой панелей служат кнопки


О т о б р а ж е н и е / С к р ы т и е д е р е в а к о н с о л и ( S h o w / H i d e Console Tree) и Отоб-
р а ж е н и е / С к р ы т и е п а н е л и д е й с т в и й ( S h o w / H i d e A c t i o n P a n e ) и л и команда
Настроить (Customize) в меню Вид (View).
А д м и н и с т р а т и в н ы е и н с т р у м е н т ы , н а з ы в а е м ы е оснастксичи, и с п о л ь з у ю т
д е р е в о к о н с о л и и п а н е л ь с в е д е н и й к о н с о л и д л я о б е с п е ч е н и я административ-
н ы х ф у н к ц и й . К о н с о л ь М М С — это что-то вроде поясного ремня монтажника,
к к о т о р о м у м о ж н о п р и к р е п и т ь о д и н и л и н е с к о л ь к о инструментов (оснасток).
Б о л ь ш и н с т в о с р е д с т в в п а п к е А д м и н и с т р и р о в а н и е (Administrative Tools) за-
п у с к а ю т с я в в и д е о д н о й к о н с о л и с е д и н с т в е н н о й оснасткой, как, например,
П р о с м о т р с о б ы т и й ( E v e n t V i e w e r ) , С л у ж б ы (Services) и П л а н и р о в щ и к зада-
н и й (Task S c h e d u l e r ) . Д р у г и е и н с т р у м е н т ы , в к л ю ч а я Управление компьюте-
р о м ( C o m p u t e r M a n a g e m e n t ) , о т к р ы в а ю т с я в в и д е к о н с о л е й со м н о ж е с т в о м
о с н а с т о к — н е к о т о р ы е и з н и х м о г у т з а п у с к а т ь с я к а к н е з а в и с и м ы е консоли.
Н а п р и м е р , к о н с о л ь У п р а в л е н и е к о м п ь ю т е р о м с о д е р ж и т оснастки Просмотр
с о б ы т и й ( E v e n t V i e w e r ) , С л у ж б ы ( S e r v i c e s ) и П л а н и р о в щ и к з а д а н и й (Task
Scheduler).
П р и а д м и н и с т р и р о в а н и и W i n d o w s с п о м о щ ь ю оснасток вы будете в ы п о л -
н я т ь к о м а н д ы , к о т о р ы е в М М С н а з ы в а ю т с я действиями и отображаются в па-
н е л и Д е й с т в и я ( A c t i o n s ) в п р а в о й части консоли. Б о л ь ш и н с т в о опытных адми-
н и с т р а т о р о в п р е д п о ч и т а ю т в ы п о л н я т ь д е й с т в и я в оснастке М М С с помощью
• 36 Администрирование Глава 2

контекстного меню. Если вы используете только контекстное меню, м о ж е т е


отключить панель Действия, чтобы область д л я о т о б р а ж е н и я и н ф о р м а ц и и
в панели сведений была больше.
Существует два типа консолей М М С : предварительно с к о н ф и г у р и р о в а н -
ные и настраиваемые. Предварительно отконфигурированные консоли устанав-
ливаются автоматически при добавлении роли и л и компонента д л я а д м и н и с т -
рирования этой роли или компонента. Они ф у н к ц и о н и р у ю т в пользовательском
режиме и их нельзя модифицировать или сохранять, зато п о л ь з о в а т е л ь м о ж е т
создавать настраиваемые консоли с теми же и н с т р у м е н т а м и и ф у н к ц и я м и .
В следующих подразделах мы рассмотрим п р е д в а р и т е л ь н о о т к о н ф и г у р и р о -
ванные и настраиваемые консоли.

Средства администрирования Active Directory


В большинстве случаев администрирование Active D i r e c t o r y о с у щ е с т в л я е т с я
с помощью следующих оснасток и консолей.
• Active Directory — п о л ь з о в а т е л и и к о м п ь ю т е р ы ( A c t i v e D i r e c t o r y U s e r s
and Computers) Управление ежедневно и с п о л ь з у е м ы м и р е с у р с а м и , в к л ю -
чая пользователей, группы, к о м п ь ю т е р ы , п р и н т е р ы и о б щ и е п а п к и . Эта
оснастка чаще всего применяется а д м и н и с т р а т о р а м и Active Directory.
• Active Directory — сайты и с л у ж б ы ( A c t i v e D i r e c t o r y S i t e s a n d S e r v i c e s )
Управление репликацией, сетевой т о п о л о г и е й и с о о т в е т с т в у ю щ и м и с л у ж -
бами. Эта оснастка подробно описана в главе 11.
• Active D i r e c t o r y — д о м е н ы и д о в е р и е ( A c t i v e D i r e c t o r y D o m a i n s a n d
Trusts) Настройка и поддержка доверительных о т н о ш е н и й , а т а к ж е ф у н к -
циональных уровней д о м е н а и леса. Этот и н с т р у м е н т д е т а л ь н о о п и с а н
в главе 13.
• Схема Active D i r e c t o r y ( A c t i v e D i r e c t o r y S c h e m a ) Анализ и модифи-
кация определения классов объектов и атрибутов. Э т а с х е м а — п р о е к т н а я
модель Active Directory. Она редко п р о с м а т р и в а е т с я и е щ е р е ж е м о д и ф и -
цируется. Поэтому такая оснастка не у с т а н а в л и в а е т с я по у м о л ч а н и ю .
Оснастки и консоли Active D i r e c t o r y у с т а н а в л и в а ю т с я п р и д о б а в л е н и и
роли AD DS на сервер. При установке роли AD DS в Д и с п е т ч е р с е р в е р а ( S e r v e r
Manager) добавляются два административных средства Active D i r e c t o r y : оснас-
тка Active Directory — пользователи и компьютеры ( A c t i v e D i r e c t o r y U s e r s and
Computers) и оснастка Active Directory — сайты и с л у ж б ы (Active D i r c t o r y Sites
and Services). Тем не менее для администрирования Active D i r e c t o r y из системы,
не служащей контроллером домена, необходимо у с т а н о в и т ь с р е д с т в а у д а л е н -
ного администрирования сервера RSAT, д л я чего в Д и с п е т ч е р е с е р в е р а ( S e r v e r
Manager) системы Windows Server 2008 нужно выбрать у з е л К о м п о н е н т ы (Fea-
tures). Средства удаленного а д м и н и с т р и р о в а н и я сервера R S A T м о ж н о загру-
зить на сайте Microsoft и установить на клиентах W i n d o w s V i s t a Service P a c k 1.

Расположение административных инструментов Active Directory


В Диспетчере сервера (Server Manager) находятся две оснастки Active Directory.
Чтобы открыть их, нужно развернуть узел Роли (Roles), а затем узел Д о м е н н ы е
• Занятие 1 Оснастки Active Directory 37

с л у ж б ы Active D i r e c t o r y ( A c t i v e D i r e c t o r y D o m a i n Services). Все остальные ад-


м и н и с т р а т и в н ы е средства н а х о д я т с я в п а п к е А д м и н и с т р и р о в а н и е (Administra-
tive Tools), к о т о р а я р а с п о л о ж е н а в П а н е л и у п р а в л е н и я ( C o n t r o l Panel). П а п к а
А д м и н и с т р и р о в а н и е о т о б р а ж а е т с я в к л а с с и ч е с к о м виде п а н е л и у п р а в л е н и я .
В представлении домашней страницы панели управления административные
и н с т р у м е н т ы н а х о д я т с я в к а т е г о р и и Система и ее о б с л у ж и в а н и е (System And
Maintenance).

Добавление административных инструментов в меню Пуск


По у м о л ч а н и ю а д м и н и с т р а т и в н ы е средства не в к л ю ч е н ы в меню Пуск ( S t a r t )
клиентов W i n d o w s Vista. Доступ к административным инструментам можно
у п р о с т и т ь , д о б а в и в их в м е н ю П у с к .
1. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и к н о п к у П у с к ( S t a r t ) и примените команду
Свойства (Properties).
2. Щелкните кнопку Настроить (Customize).
3 . Е с л и в ы и с п о л ь з у е т е м е н ю П у с к п о у м о л ч а н и ю , н а й д и т е п а п к у Админист-
р и р о в а н и е ( S y s t e m A d m i n i s t r a t i o n Tools) и в ы б е р и т е о п ц и ю О т о б р а ж а т ь в
м е н ю "Все п р о г р а м м ы " и " П у с к " ( D i s p l a y On T h e All P r o g r a m s M e n u And
T h e S t a r t M e n u ) и л и О т о б р а ж а т ь в м е н ю "Все п р о г р а м м ы " (Display O n T h e
All P r o g r a m s M e n u ) . Е с л и в ы и с п о л ь з у е т е к л а с с и ч е с к о е меню Пуск, выбери-
те о п ц и ю О т о б р а ж а т ь меню "Администрирование" (Display Administrative
Tools).
4. Дважды щелкните ОК.

Запуск административных средств с использованием


альтернативных учетных данных
М н о г и е а д м и н и с т р а т о р ы в х о д я т н а с в о и к о м п ь ю т е р ы с и с п о л ь з о в а н и е м адми-
н и с т р а т и в н ы х у ч е т н ы х д а н н ы х . Э т о небезопасно, п о с к о л ь к у а д м и н и с т р а т и в н а я
у ч е т н а я з а п и с ь и м е е т б о л е е в ы с о к и й у р о в е н ь п р и в и л е г и й и прав сетевого до-
ступа, чем с т а н д а р т н а я п о л ь з о в а т е л ь с к а я у ч е т н а я запись. П о э т о м у вредоносные
программы, которые запускаются с административными учетными данными,
могут п р и н е с т и з н а ч и т е л ь н ы й у щ е р б . Ч т о б ы т а к и е п р о б л е м ы н е в о з н и к а л и , н е
входите в с и с т е м у к а к а д м и н и с т р а т о р . В м е с т о этого в х о д и т е к а к с т а н д а р т н ы й
пользователь и п р и м е н я й т е ф у н к ц и ю Запуск от имени администратора (Run
As A d m i n i s t r a t o r ) д л я а д м и н и с т р а т и в н ы х инструментов, чтобы обеспечить
безопасность а д м и н и с т р а т и в н о й учетной записи.
1. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и з н а ч о к з а п у с к а е м о г о а п п л е т а в п а н е л и
управления и примените команду Запуск от имени администратора (Run
As Administrator). Если эта команда не отображается, попробуйте щелкнуть
п р а в о й к н о п к о й м ы ш и п р и н а ж а т о й к л а в и ш е Shift.
О т к р о е т с я д и а л о г о в о е о к н о К о н т р о л ь у ч е т н ы х з а п и с е й пользователей (User
A c c o u n t C o n t r o l ) , п о к а з а н н о е н а рис. 2-2.
2. В в е д и т е и м я и п а р о л ь а д м и н и с т р а т и в н о й у ч е т н о й з а п и с и .
3. Щ е л к н и т е О К .
38 Администрирование
Рлава 2

Рис. 2-2. Ввод административных учетных данных


в диалоговом окне контроля учетных записей пользователей

Если вы регулярно запускаете п р и л о ж е н и я от и м е н и а д м и н и с т р а т о р а , с о -


здайте новый ярлык для команды Запуск от и м е н и а д м и н и с т р а т о р а ( R u n As
Administrator). Создайте ярлык и откройте д и а л о г о в о е о к н о С в о й с т в а ( P r o p e r -
ties) этого ярлыка. Щелкните кнопку Д о п о л н и т е л ь н о ( A d v a n c e d ) и у с т а н о в и т е
флажок Запуск от имени администратора ( R u n As A d m i n i s t r a t o r ) . П р и щ е л ч к е
на этом ярлыке откроется диалоговое окно к о н т р о л я у ч е т н ы х з а п и с е й п о л ь -
зователей.

Создание настраиваемой консоли с оснастками Active Directory


Систему Windows проще администрировать, когда все н е о б х о д и м ы е и н с т р у м е н -
ты находятся в одном месте, где их можно н а с т р а и в а т ь в с о о т в е т с т в и и с т р е б о -
ваниями. Для этого лучше создать настраиваемую а д м и н и с т р а т и в н у ю к о н с о л ь
ММС, к которой, как к поясному ремню монтажника, и б у д у т к р е п и т ь с я и н с т р у -
менты. Настраиваемая консоль М М С обеспечивает т а к и е в о з м о ж н о с т и :
• добавить множество оснасток, чтобы не п е р е к л ю ч а т ь с я м е ж д у к о н с о л я м и
при выполнении заданий и запускать л и ш ь о д н у к о н с о л ь от и м е н и а д м и -
нистратора;
• сохранить консоль для постоянного и с п о л ь з о в а н и я ;
• распространить консоль среди других а д м и н и с т р а т о р о в ;
• централизовать консоли в общем ресурсе д л я у н и ф и ц и р о в а н н о г о н а с т р а -
иваемого администрирования.
Чтобы создать настраиваемую консоль М М С , о т к р о й т е п у с т у ю к о н с о л ь
ММС. Для этого откройте меню Пуск ( S t a r t ) , в поле Н а ч а т ь п о и с к ( S e a r c h )
введите команду т т с . е х е и нажмите к л а в и ш у Enter. С п о м о щ ь ю к о м а н д ы Д о -
бавить или удалить оснастку ( A d d / R e m o v e S n a p - i n ) в м е н ю К о н с о л ь ( F i l e )
можно добавлять оснастки в консоль, у д а л я т ь их, и з м е н я т ь их п о р я д о к и у п -
равлять ими.
Занятие 1 Оснастки Active Directory 39

ПРИМЕЧАНИЕ
В упражнениях 1, 2 и 3 в конце этого занятия пошагово описано создание настра-
иваемой консоли М М С с множеством оснасток.

Сохранение и распространение настраиваемой консоли


Е с л и в ы п л а н и р у е т е р а с п р о с т р а н и т ь к о н с о л ь , р е к о м е н д у е т с я сохранить е е
в п о л ь з о в а т е л ь с к о м р е ж и м е . Ч т о б ы и з м е н и т ь р е ж и м консоли, в меню Консоль
( F i l e ) щ е л к н и т е П а р а м е т р ы ( O p t i o n s ) . П о у м о л ч а н и ю новые консоли сохра-
н я ю т с я в а в т о р с к о м р е ж и м е , п о з в о л я ю щ е м д о б а в л я т ь и у д а л я т ь оснастки,
п р о с м а т р и в а т ь в с е с е к ц и и д е р е в а к о н с о л и и с о х р а н я т ь настройки. Пользова-
т е л ь с к и й р е ж и м о г р а н и ч и в а е т ф у н к ц и о н а л ь н о с т ь к о н с о л и , чтобы е е нельзя
б ы л о и з м е н я т ь . С у щ е с т в у е т т р и т и п а пользовательского р е ж и м а — они описаны
в т а б л . 2-1. Р е ж и м П о л ь з о в а т е л ь с к и й — п о л н ы й доступ ( U s e r M o d e — Full Ac-
cess) ч а с т о п р и м е н я е т с я д л я к о н с о л е й о п ы т н ы м и администраторами, которые
в ы п о л н я ю т с в о ю работу, ш и р о к о и с п о л ь з у я оснастки консоли. Режим Пользо-
в а т е л ь с к и й — о г р а н и ч е н н ы й д о с т у п ( U s e r M o d e — Limited Access) с множест-
в о м о к о н и л и с о д н и м о к н о м — это р е ж и м с ограниченной функциональностью,
п о э т о м у о н п р и м е н я е т с я д л я к о н с о л е й а д м и н и с т р а т о р а м и с ограниченным
набором задач.

Табл. 2-1. Режимы консоли ММС


Режим Особенности применения
Авторский (Author) Можно продолжать настраивать консоль
Пользовательский — полный Пользователи консоли могут переключать и применять
доступ (User Mode — Full все оснастки, но не могут добавлять оснастки в кон-
Access) соль, удалять их или изменять их свойства
Пользовательский — Огра- Пользователи могут переключать и применять только
ниченный доступ, много те оснастки, которые отконфигурированы для отобра-
окон (User Mode — Limited жения в дереве консоли. Для этого режима предвари-
Access, multiple windows) тельно конфигурируются окна, сфокусированные на
конкретных оснастках. Пользователи не могут откры-
вать новые окна
Пользовательский — огра- Пользователи могут переключать и применять лишь
ниченный доступ, одно окно те оснастки, которые видимы в дереве консоли, и могут
(User Mode — Limited Access, открывать их только в одном окне
single window)

К о г д а к о н с о л ь б о л ь ш е не х р а н и т с я в а в т о р с к о м режиме, вы как автор кон-


с о л и м о ж е т е в н е с т и и з м е н е н и я , щ е л к н у в сохраненную консоль правой кнопкой
м ы ш и и применив команду Автор (Author).

ПРИМЕЧАНИЕ
В упражнении 4 в конце этого занятия пошагово описано, как сохранить консоль
в пользовательском режиме для ограничения ее функциональности при распростра-
нении среди других администраторов.
г
I Глаоа 2

I Консоли сохраняются с ф а й л о в ы м р а с ш и р е н и е м .msc, по у м о л ч а н и ю —


I в папке Administrative Tools, но на самом деле это не папка, а а п п л е т п а н е л и
| управления. Если сказать точнее, сохраняются к о н с о л и в п а п к е г л а в н о г о м е н ю
I (Start) профиля пользователя % « i e ^ o r o / z 7 e % \ A p p D a t a \ R o a m i n g \ M i c r o s o f t \
J \Vindo\vs\S tart Menu.
I Указанная папка защищена, так что т о л ь к о в а ш а у ч е т н а я з а п и с ь и м е е т
I доступ к консоли. Лучше всего входить на к о м п ь ю т е р с и с п о л ь з о в а н и е м у ч е т -
I ной записи без привилегий, а затем запускать а д м и н и с т р а т и в н ы е и н с т р у м е н -
ты, включая настраиваемую консоль, с а л ь т е р н а т и в н ы м и у ч е т н ы м и д а н н ы м и ,
I обеспечивающими достаточные права д л я задач а д м и н и с т р и р о в а н и я . Но и з - з а
I участия двух учетных записей в работе при с о х р а н е н и и к о н с о л и в ггодпапке
главного меню пользовательского п р о ф и л я одной у ч е т н о й з а п и с и п о т р е б у е т с я
дополнительная навигация, что может п р и в е с т и к о ш и б к а м о т к а з а в д о с т у п е .
Сохраните свою консоль в папке, доступ к к о т о р о й м о ж н о п о л у ч и т ь с п о л ь -
зовательскими или административными у ч е т н ы м и д а н н ы м и . Р е к о м е н д у е т с я со-
хранять консоли в общей сетевой папке, чтобы п о л у ч а т ь к н и м д о с т у п с д р у г и х
компьютеров. Как вариант можно открыть доступ к п а п к е д л я д р у г и х а д м и н и с -
траторов, создав таким образом ц е н т р а л и з о в а н н о е х р а н и л и щ е н а с т р а и в а е м ы х
консолей. Консоли также можно сохранять на т а к о м п е р е н о с н о м у с т р о й с т в е ,
как USB-диск, а также пересылать как в л о ж е н и я э л е к т р о н н о й п о ч т ы .
Важно не забывать, что консоли, по сути,— это н а б о р и н с т р у к ц и й , к о т о р ы е
интерпретируются программой т т с . е х е . Э т и и н с т р у к ц и и у к а з ы в а ю т д о б а в л я -
емые оснастки и компьютеры, у п р а в л е н и е к о т о р ы м и о с у щ е с т в л я е т с я с п о м о -
щью этих оснасток. Консоли не содержат с а м и о с н а с т к и . П о э т о м у к о н с о л ь не
будет функционировать, если п р е д у с м о т р е н н а я в ней о с н а с т к а не у с т а н о в л е н а .
Следует не забывать установить с о о т в е т с т в у ю щ и е о с н а с т к и из н а б о р а с р е д с т в
RSAT в системах, где будет и с п о л ь з о в а т ь с я к о н с о л ь .

Контрольный вопрос
• Опишите разницу между сохранением консоли в пользовательском и автор-
ском режиме.

Ответ на контрольный вопрос


• Авторский режим позволяет пользователю добавлять и удалять оснастки
и настраивать консоль. Пользовательский — запрещает пользователям из-
менять консоль.

Практические занятия. Создание настраиваемой консоли ММС


и управление ею
Н а этом практическом з а н я т и и в ы с о з д а д и т е н а с т р а и в а е м у ю к о н с о л ь М М С .
Для этого вы добавите оснастки, у д а л и т е н е к о т о р ы е из н и х и и з м е н и т е их
порядок. Затем в ы подготовите к о н с о л ь д л я р а с п р о с т р а н е н и я с р е д и д р у г и х
администраторов.
Занятие 1 Оснастки Active Directory 41

Упражнение 1. Создание настраиваемой консоли ММС


В э т о м у п р а ж н е н и и вы с о з д а д и т е н а с т р а и в а е м у ю консоль М М С с оснастками
Active D i r e c t o r y — п о л ь з о в а т е л и и к о м п ь ю т е р ы (Active Directory Users and
C o m p u t e r s ) , С х е м а Active D i r e c t o r y ( A c t i v e D i r e c t o r y Schema) и Управление
к о м п ь ю т е р о м ( C o m p u t e r M a n a g e m e n t ) . Э т и и н с т р у м е н т ы удобны для адми-
н и с т р и р о в а н и я A c t i v e D i r e c t o r y и к о н т р о л л е р о в доменов.
1. Войдите на м а ш и н у S E R V E R 0 1 как Администратор (Administrator).
2. Щ е л к н и т е к н о п к у П у с к ( S t a r t ) , в п о л е Н а ч а т ь поиск ( S t a r t Search) введите
команду т т с . е х е и н а ж м и т е клавишу Enter.
О т к р о е т с я п у с т а я к о н с о л ь М М С . П о у м о л ч а н и ю н о в о е окно консоли н е
р а з в е р н у т о в н у т р и М М С . Р а з в е р н и т е его, ч т о б ы и с п о л ь з о в а т ь преимущес-
тва полного размера окна приложения.
3. В м е н ю К о н с о л ь ( F i l e ) в ы б е р и т е к о м а н д у Д о б а в и т ь и л и удалить оснастку
( A d d / R e m o v e Snap-in).
О т к р о е т с я д и а л о г о в о е о к н о Д о б а в л е н и е и у д а л е н и е оснастки (Add or Re-
m o v e S n a p - i n s ) , п о к а з а н н о е н а рис. 2-3.

ЕЕ *1
М о ж н о в ы б р а т ь о с н а с т к и а ля >той к о н с о л и из д о с т у п н ы х н I к о н п и о т с р е оснасток и затеи настроить и х . Для расширяемых
о с н а с т о к н о л м о н а с т р о и т ь т р е б у е м о е расширение.

Доступные оснастки: Выбранные о с н а с т к и :


Оснастка Поставщик . Корень консоли Изнешть paampewa... |
Active Directory - д о . . . Microsoft Со Active D r e c t o r y - пользовате/ .
Active D r e e tor у - п о л . . . Microsoft Со
Active Directory - c a n . . . M c r o s o f t Co
x,, DNS Корпсраш."
an Анализ и н а с т р о й к а . . . f ^ a o s o f t Co
Ш Брандмауэр W i n d o w . . . Microsoft Co
Диспетчер авториза... Microsoft Co
§ & Д и с п е т ч е р сервера Корпораии..
. j Диспетчер служб те... Microsoft Со
• ^ Д и с п е т ч е р устройств Microsoft С о
Конфигурация клие... Мкз-osoft Со
^ К о н ф и г у р а ц и я служ.., Microsoft С о
^ Локальные пользой... Microsoft Со
1Г1 il Допа/»»«тельк1...

Рис. 2-3. Диалоговое окно добавления и удаления оснасток

Е с л и о с н а с т к и не о т о б р а ж а ю т с я в с п и с к е справа, проверьте, установлен ли


н а м а ш и н е н а б о р с р е д с т в RSAT.
4. В д и а л о г о в о м о к н е Д о б а в л е н и е и у д а л е н и е о с н а с т к и ( A d d or Remove Snap-
i n s ) в с п и с к е Д о с т у п н ы е о с н а с т к и ( A v a i l a b l e S n a p - i n s ) в ы б е р и т е Active
D i r e c t o r y — п о л ь з о в а т е л и и к о м п ь ю т е р ы ( A c t i v e D i r e c t o r y U s e r s and
Computers).

3 Зак. 3399
42 Администрирование Глава 2

5. Щелкните кнопку Добавить (Add), чтобы д о б а в и т ь о с н а с т к у в с п и с о к В ы -


бранные оснастки (Selected Snap-ins). О б р а т и т е в н и м а н и е , ч т о о с н а с т к а
Схема Active Directory (Active Directory S c h e m a ) н е д о с т у п н а . О н а у с т а -
навливается вместе с ролыо Д о м е н н ы е с л у ж б ы A c t i v e D i r e c t o r y ( A c t i v e
Directory Domain Services) с набором средств RSAT, но не р е г и с т р и р у е т с я
и не отображается.
6. Щелкните ОК, чтобы закрыть д и а л о г о в о е о к н о д о б а в л е н и я и у д а л е н и я
оснасток.
7. Щелкните кнопку Пуск (Start). В поле Н а ч а т ь п о и с к ( S t a r t S e a r c h ) в в е д и т е
команду cmd.exe.
8. В окно командной строки введите команду regsvr32.exe schmmgmt.dll.
Эта команда регистрирует динамически п о д к л ю ч а е м у ю . б и б л и о т е к у D L L
(Dynamic Link Library) оснастки Схема Active D i r e c t o r y ( A c t i v e D i r e c t o r y
Schema). Данную операцию следует в ы п о л н и т ь в с и с т е м е о д и н р а з п е р е д I
добавлением этой оснастки в консоль.
9. Появится строка с информацией об успешной р е г и с т р а ц и и . Щ е л к н и т е О К .
10. Вернитесь к настраиваемой консоли М М С и п о в т о р и т е ш а г и 2 - 6 , ч т о б ы
добавить оснастку Схема Active Directory ( A c t i v e D i r e c t o r y S c h e m a ) .
11. В меню Консоль (File) выберите команду Д о б а в и т ь и л и у д а л и т ь о с н а с т к у
(Add/Remove Snap-in).
12. В диалоговом окне Добавление и удаление о с н а с т к и ( A d d or R e m o v e S n a p -
ins) выберите в списке доступных оснасток Управление к о м п ь ю т е р о м ( C o m -
puter Management).
13. Щелкните кнопку Добавить (Add), чтобы д о б а в и т ь о с н а с т к у в с п и с о к В ы -
бранные оснастки (Selected Snap-ins). I
Если оснастка поддерживает у д а л е н н о е а д м и н и с т р и р о в а н и е , в а м б у д е т
предложено выбрать компьютер, которым вы х о т и т е у п р а в л я т ь ( р и с . 2 - 4 ) .

С
Во^ерите коигъютер, которым датам управлять эта о с х а с т к а

Этв оснастке всвгдя управляет - — ----- -

; Г Ц р ш ь н ь ^ компьютером (тем. на котором вьполнавтся эта к о н с о л ь )

Г " £«решается и з д а т ь выбранный для управления к о м п о с т е р п р и з а п у с к е и з


«смандной строки Применяется то/ъко при сохранении к о н с о л и

Рис. 2-4. Выбор компьютера, которым будет управлять оснастка


Занятие 1 Оснастки Active Directory 43

• Д л я у п р а в л е н и я к о м п ь ю т е р о м , на котором запускается консоль, выбери-


т е о п ц и ю Л о к а л ь н ы м к о м п ь ю т е р о м (Local C o m p u t e r ) . Этот н е означает,
ч т о у п р а в л я т ь п о с р е д с т в о м к о н с о л и м о ж н о будет л и ш ь тем компьюте-
р о м , на к о т о р о м о н а б ы л а создана. Если запустить эту консоль с другого
к о м п ь ю т е р а , о н а б у д е т у п р а в л я т ь им.
ш Ч т о б ы у к а з а т ь д р у г о й к о н к р е т н ы й к о м п ь ю т е р , к о т о р ы м д о л ж н а управ-
л я т ь эта о с н а с т к а , в ы б е р и т е о п ц и ю Д р у г и м компьютером (Another Com-
p u t e r ) . З а т е м в в е д и т е и м я к о м п ь ю т е р а и л и щ е л к н и т е к н о п к у Обзор
(Browse), чтобы указать компьютер.
14. В ы б е р и т е о п ц и ю у п р а в л е н и я д р у г и м к о м п ь ю т е р о м и введите и м я компью-
т е р а - SERVER01.
15. Щ е л к н и т е к н о п к у Готово ( F i n i s h ) .
16. Щ е л к н и т е О К , ч т о б ы з а к р ы т ь д и а л о г о в о е о к н о д о б а в л е н и я и удаления
оснасток.
17. В м е н ю К о н с о л ь ( F i l e ) в ы б е р и т е к о м а н д у С о х р а н и т ь ( S a v e ) и сохраните
к о н с о л ь п о д и м е н е м M y C o n s o l e . m s c н а р а б о ч е м столе. З а к р о й т е консоль.

Упражнение 2. Добавление оснастки в консоль ММС


В э т о м у п р а ж н е н и и в ы д о б а в и т е о с н а с т к у П р о с м о т р событий ( E v e n t Viewer)
в к о н с о л ь , с о з д а н н у ю в у п р а ж н е н и и 1. Э т у о с н а с т к у удобно применять для
о т с л е ж и в а н и я о п е р а ц и й н а к о н т р о л л е р а х домена.
1. О т к р о й т е к о н с о л ь MyConsole.msc.
Е с л и в у п р а ж н е н и и 1 вы с о х р а н и л и к о н с о л ь не на рабочем столе, а сохрани-
ли ее в п а п к е по у м о л ч а н и ю , то м о ж е т е найти ее в папке Главное мешо\Про-
г р а м м ы \ А д м и н и с т р и р о в а н и е ( S t a r t \ A l l Programs\AdministrativeTools).
2. В м е н ю К о н с о л ь ( F i l e ) в ы б е р и т е к о м а н д у Д о б а в и т ь и л и удалить оснастку
( A d d / R e m o v e Snap-in).
3. В д и а л о г о в о м о к н е Д о б а в л е н и е и у д а л е н и е о с н а с т к и (Add or Remove Snap-
i n s ) в ы б е р и т е о с н а с т к у П р о с м о т р с о б ы т и й ( E v e n t Viewer).
4. Щ е л к н и т е к н о п к у Д о б а в и т ь ( A d d ) , ч т о б ы д о б а в и т ь оснастку в список вы-
бранных оснасток.
В а м б у д е т п р е д л о ж е н о в ы б р а т ь к о м п ь ю т е р д л я управления.
5. В ы б е р и т е о п ц и ю Д р у г и м к о м п ь ю т е р о м ( A n o t h e r C o m p u t e r ) и введите имя
к о м п ь ю т е р а - SERVER01.
6. Щелкните ОК.
7 . Щ е л к н и т е О К , ч т о б ы з а к р ы т ь д и а л о г о в о е о к н о д о б а в л е н и я и удаления
оснасток.
8. С о х р а н и т е и з а к р о й т е к о н с о л ь .

Упражнение 3. Управление оснастками в консоли ММС


В э т о м у п р а ж н е н и и вы п о м е н я е т е п о р я д о к оснасток и удалите одну из них. Вы
т а к ж е и з у ч и т е р а с ш и р е н и я оснасток.
44 Администрирование Глава 2

1. Откройте консоль MyConsole.msc.


2. В меню Консоль (File) выберите команду Д о б а в и т ь и л и у д а л и т ь о с н а с т к у
(Add/Remove Snap-in).
3. В списке выбранных оснасток выберите П р о с м о т р с о б ы т и й ( E v e n t V i e w e r ) .
4. Щелкните кнопку Вверх (Move Up).
5. Выберите оснастку Схема Active Directory ( A c t i v e D i r e c t o r y S c h e m a ) .
6. Щелкните кнопку Удалить (Remove).
7. В списке Выбранные оснастки (Selected Snap-ins) в ы б е р и т е о с н а с т к у У п р а в -
ление компьютером (Computer M a n a g e m e n t ) .
8. Щелкнете кнопку Изменить расширения ( E d i t E x t e n s i o n s ) .
Расширения представляют собой оснастки в еще о д н о й о с н а с т к е и о б е с п е -
чивают дополнительную функциональность. О с н а с т к а У п р а в л е н и е к о м -
пьютером (Computer Management) содержит в к а ч е с т в е р а с ш и р е н и й м н о г о
других оснасток, каждую из которых м о ж н о в к л ю ч а т ь и о т к л ю ч а т ь по о т -
дельности.
9. Выберите Включать только выбранные р а с ш и р е н и я ( E n a b l e O n l y S e l e c t e d
Extensions).
10. Сбросьте флажок Просмотр событий ( E v e n t V i e w e r ) . Вы у ж е д о б а в и л и
Просмотр событий в консоль в качестве н е з а в и с и м о й о с н а с т к и .
11. Щелкните ОК, чтобы закрыть диалоговое о к н о У п р а в л е н и е к о м п ь ю т е -
ром — расширения (Extensions For C o m p u t e r M a n a g e m e n t ) .
12. Щелкните OK, чтобы закрыть диалоговое о к н о Д о б а в л е н и е и у д а л е н и е
оснастки (Add or Remove Snap-in).
13. Сохраните и закройте консоль.

Упражнение 4. Подготовка консоли к распространению среди пользователей


В этом упражнении вы сохраните консоль в п о л ь з о в а т е л ь с к о м р е ж и м е , ч т о б ы
пользователи не могли добавлять, удалять и м о д и ф и ц и р о в а т ь о с н а с т к и . Не
забывайте, что пользователями М М С , как п р а в и л о , с т а н о в я т с я с а м и а д м и -
нистраторы.
1. Откройте консоль MyConsole.msc.
2. В меню Консоль (File) выберите команду П а р а м е т р ы ( O p t i o n s ) .
3. В раскрывающемся списке Режим консоли (Console M o d e ) в ы б е р и т е р е ж и м
Пользовательский — полный доступ ( U s e r M o d e — Full Access).
4. Щелкните ОК.
5. Сохраните и закройте консоль.
6. Откройте консоль, дважды щелкнув ее значок.
7. Щелкните меню Консоль (File). Как видите, в меню н е т к о м а н д ы Д о б а в и т ь
или удалить оснастку (Add/Remove Snap-in).
8. Закройте консоль.
Занятие 1 Оснастки Active Directory 45

9 . Щ е л к н и т е п р а в о й к н о п к о й м ы ш и з н а ч о к к о н с о л и и п р и м е н и т е команду
Автор (Author).
10. Щ е л к н и т е м е н ю К о н с о л ь ( F i l e ) . В авторском р е ж и м е отображается команда
Д о б а в и т ь и л и у д а л и т ь оснастку ( A d d / R e m o v e Snap-in).
11. З а к р о й т е к о н с о л ь .

Резюме
ш А д м и н и с т р а т и в н ы е с р е д с т в а W i n d o w s п р е д с т а в л я ю т собой оснастки, кото-
р ы е м о ж н о д о б а в л я т ь в к о н с о л ь М М С . О с н а с т к и Active Directory — поль-
з о в а т е л и и к о м п ь ю т е р ы ( A c t i v e D i r e c t o r y Users And C o m p u t e r s ) и другие
о с и а с т к и д л я у п р а в л е н и я A c t i v e D i r e c t o r y т а к ж е д о б а в л я ю т с я в Диспетчер
с е р в е р а ( S e r v e r M a n a g e r ) и с о д е р ж а т с я в п р е д в а р и т е л ь н о отконфигуриро-
в а н н ы х к о н с о л я х в п а п к е А д м и н и с т р и р о в а н и е ( A d m i n i s t r a t i v e Tools).
• А д м и н и с т р а т о р ы не д о л ж н ы в х о д и т ь на свои компьютеры с использованием
а д м и н и с т р а т и в н ы х у ч е т н ы х д а н н ы х . В м е с т о этого л у ч ш е п р и м е н я т ь для
в х о д а с т а н д а р т н у ю п о л ь з о в а т е л ь с к у ю учетную запись, а административные
и н с т р у м е н т ы з а п у с к а т ь к о м а н д о й З а п у с к о т и м е н и администратора ( R u n
As A d m i n i s t r a t o r ) .
• С о з д а й т е н а с т р а и в а е м у ю к о н с о л ь М М С , с о д е р ж а щ у ю все оснастки, не-
о б х о д и м ы е д л я р е ш е н и я а д м и н и с т р а т и в н ы х задач. Такую консоль можно
с о х р а н и т ь в п а п к е , где вы и д р у г и е а д м и н и с т р а т о р ы можете получать к ней
д о с т у п и з а п у с к а т ь ее с а д м и н и с т р а т и в н ы м и привилегиями. В идеале лучше
с о з д а т ь о д н у к о н с о л ь со в с е м и н у ж н ы м и о с н а с т к а м и и запускать только ее
от имени администратора.
• Н а с т р а и в а е м у ю к о н с о л ь р е к о м е н д у е т с я с о х р а н и т ь в пользовательском ре-
ж и м е , ч т о б ы в к о н с о л ь и ее о с н а с т к и н е л ь з я б ы л о вносить изменения.
• Д л я р а б о т ы к о н с о л и с л е д у е т у с т а н о в и т ь соответствующие административ-
н ы е с р е д с т в а , и н а ч е о с н а с т к и к о н с о л и н е будут действовать.

Закрепление материала
С л е д у ю щ и й в о п р о с м о ж н о и с п о л ь з о в а т ь д л я п р о в е р к и знаний, полученных н а
з а н я т и и 1 . Э т о т в о п р о с есть н а с о п р о в о д и т е л ь н о м компакт-диске.

ПРИМЕЧАНИЕ Ответы
Ответ на это вопрос с пояснениями, почему тот или иной вариант ответа правилен
или неверен, вы найдете в разделе -«Ответы» в конце книги.

1. Вы п р о ф е с с и о н а л из г р у п п ы п о д д е р ж к и в к о м п а н и и Contoso, Ltd. Адми-


н и с т р а т о р ы д о м е н а р а с п р о с т р а н и л и н а с т р а и в а е м у ю к о н с о л ь с оснасткой
A c t i v e D i r e c t o r y — п о л ь з о в а т е л и и к о м п ь ю т е р ы ( A c t i v e D i r e c t o r y Users
A n d C o m p u t e r s ) . П р и о т к р ы т и и к о н с о л и и п о п ы т к е сбросить пароль поль-
. з о в а т е л я вы п о л у ч а е т е о ш и б к и отказа в доступе. Вы точно знаете, что вам
46 Администрирование Глава 2

делегированы разрешения на сброс паролей пользователей. Как л у ч ш е всего


выйти из такой ситуации?
A. Закрыть настраиваемую консоль и о т к р ы т ь Д и с п е т ч е р с е р в е р а ( S e r v e r
Manager). Применить оснастку Active D i r e c t o r y — п о л ь з о в а т е л и и ком-
пьютеры (Active Directory Users And C o m p u t e r s ) в д и с п е т ч е р е сервера.
Б. Закрыть настраиваемую консоль и о т к р ы т ь к о м а н д н у ю строку. В в е с т и
команду dsa.msc.
B. Закрыть настраиваемую консоль, а затем щ е л к н у т ь ее з н а ч о к п р а в о й
кнопкой мыши и применить команду З а п у с к от и м е н и а д м и н и с т р а т о р а
(Run As Administrator). Ввести учетные данные а л ь т е р н а т и в н о й у ч е т н о й
записи администратора.
Г. Закрыть настраиваемую консоль, а затем о т к р ы т ь к о м а н д н у ю строку.
Для изменения пароля пользователя п р и м е н и т ь к о м а н д у DSMOD USER
с переключателем -р.

Занятие 2. Создание объектов в Active Directory


Роль Active Directory как службы каталогов с о с т о и т в п о д д е р ж к е и н ф о р м а -
ции о ресурсах предприятия, в к л ю ч а я п о л ь з о в а т е л е й , г р у п п ы и к о м п ь ю т е р ы .
С целыо упрощения ф у н к ц и й у п р а в л е н и я и о т о б р а ж е н и я , то есть д л я у п р о щ е -
ния поиска объектов, ресурсы распределены среди п о д р а з д е л е н и й O U ( O r g a -
nizational Unit). На этом з а н я т и и мы и з у ч и м , к а к с о з д а в а т ь п о д р а з д е л е н и я ,
пользователей, группы и компьютеры. Мы т а к ж е р а с с м о т р и м м е т о д ы п о и с к а
и локализации необходимых объектов.
Если вы знакомы с Active Directory, то можете пропустить первые подраз-
делы этого занятия, однако, возможно, вам стоит у д е л и т ь в н и м а н и е п о с л е д у ю -
щим, начиная с «Поиска объектов в Active Directory», поскольку и н ф о р м а ц и я
в этих подразделах поможет э ф ф е к т и в н е е использовать инструменты Active
Directory.
Важно выполнить все п р а к т и ч е с к и е у п р а ж н е н и я э т о г о з а н я т и я , п о с к о л ь -
ку в них создаются объекты, к о т о р ы е б у д у т и с п о л ь з о в а т ь с я на п о с л е д у ю щ и х
занятиях.

Изучив материал этого занятия, вы сможете:


У Создавать пользователей, компьютеры и подразделения.
У Отключать защиту, чтобы удалить подразделение.
У Настроить оснастку Active Directory — пользователи и компьютеры (Active
Directory Users And Computers) и воспользоваться ее преимуществами для
эффективной работы с объектами в каталоге.
У Создавать сохраненные запросы для представления объектов в каталоге на
основе правил.
Продолжительность занятия — около 45 мин.
Занятие 2 Создание объектов в Active Directory 47" т

Создание подразделения
П о д р а з д е л е н и я ( O r g a n i z a t i o n a l U n i t , O U ) в Active D i r e c t o r y п р е д с т а в л я ю т
собой а д м и н и с т р а т и в н ы е к о н т е й н е р ы , к о т о р ы е с л у ж а т д л я г р у п п и р о в а н и я
объектов с о б щ и м и требованиями администрирования, конфигурации или
видимости. С м ы с л с к а з а н н о г о станет п о н я т н ы м п р и изучении дизайна и управ-
л е н и я О U . А сейчас п р о с т о н у ж н о знать, что подразделения ( O U ) обеспечивают
а д м и н и с т р а т и в н у ю и е р а р х и ю , а н а л о г и ч н у ю и е р а р х и и н а диске: подразделения
п р е д с т а в л я ю т собой коллекции объектов, к о т о р ы е предназначены д л я админис-
т р и р о в а н и я . В д а н н о м с л у ч а е д е л а е т с я а к ц е н т на слове «администрирование»,
п о с к о л ь к у п о д р а з д е л е н и я н е и с п о л ь з у ю т с я д л я н а з н а ч е н и я разрешений досту-
па к р е с у р с а м — д л я этого с у щ е с т в у ю т г р у п п ы . П о л ь з о в а т е л и помещаются в
группы, к о т о р ы м н а з н а ч а ю т с я р а з р е ш е н и я д о с т у п а к ресурсам. Подразделения
ж е ( O U ) п р е д с т а в л я ю т с о б о й а д м и н и с т р а т и в н ы е контейнеры, внутри которых
а д м и н и с т р а т о р ы у п р а в л я ю т э т и м и п о л ь з о в а т е л я м и и группами. Д а л е е описан
процесс создания подразделения.
1. О т к р о й т е о с н а с т к у Active D i r e c t o r y — п о л ь з о в а т е л и и к о м п ь ю т е р ы (Active
Directory Users and Computers).
2 . Щ е л к н и т е п р а в о й к н о п к о й м ы ш и у з е л д о м е н а и л и п о д р а з д е л е н и я , в кото-
рое х о т и т е д о б а в и т ь н о в о е п о д р а з д е л е н и е , в ы б е р и т е о п ц и ю Создать ( N e w )
и щелкните команду Подразделение (Organizational Unit).
3. В в е д и т е и м я п о д р а з д е л е н и я в с о о т в е т с т в и и с п р а в и л а м и и м е н о в а н и я вашей
организации.
4. Установите ф л а ж о к З а щ и т и т ь контейнер от случайного удаления (Protect
Container From Accidental Deletion).
Э т о т п а р а м е т р м ы р а с с м о т р и м п о д р о б н е е далее.
5. Щелкните О К .
П о д р а з д е л е н и я и м е ю т и д р у г и е свойства, к о т о р ы е м о ж н о конфигурировать;
определить их м о ж н о после создания объекта.
6. Щ е л к н и т е п о д р а з д е л е н и е правой кнопкой м ы ш и и примените команду
Свойства (Properties).
С о б л ю д а й т е п р а в и л а и м е н о в а н и я , а т а к ж е д р у г и е с т а н д а р т ы и процедуры
вашей организации.
В п о л е О п и с а н и е ( D e s c r i p t i o n ) м о ж н о у к а з а т ь н а з н а ч е н и е подразделения.
Если подразделение представляет физическое пространство, например
о ф и с , в с в о й с т в а х м о ж н о у к а з а т ь п о ч т о в ы й адрес п о д р а з д е л е н и я .
В к л а д к у У п р а в л я е т с я ( M a n a g e d B y ) м о ж н о п р и м е н и т ь д л я п р и в я з к и к поль-
зователю и л и группе, которая несет ответственность за подразделение.
Щ е л к н и т е к н о п к у И з м е н и т ь ( C h a n g e ) п о д полем И м я ( N a m e ) . О т к р о е т с я
д и а л о г о в о е о к н о В ы б о р : " П о л ь з о в а т е л ь " , " К о н т а к т " и л и "Группа" (Select
User, C o n t a c t , o r G r o u p ) ; п о у м о л ч а н и ю о н о н е в ы п о л н я е т п о и с к групп.
Д л я п о и с к а н у ж н о в н а ч а л е щ е л к н у т ь к н о п к у Т и п ы объектов ( O b j e c t Types)
48 Администрирование Глава 2

и выбрать т и п объектов Группы ( G r o u p s ) . ( П о з ж е н а э т о м з а н я т и и м ы рас-


смотрим д и а л о г о в о е о к н о Выбор: " П о л ь з о в а т е л ь " , " К о н т а к т " и л и "Груп-
па".) Остальная контактная и н ф о р м а ц и я н а в к л а д к е У п р а в л я е т с я ( M a n a g e d
By) заполняется д а н н ы м и у ч е т н о й з а п и с и , у к а з а н н о й в п о л е И м я ( N a m e ) .
Вкладка Управляется используется и с к л ю ч и т е л ь н о д л я к о н т а к т н о й и н ф о р -
мации. Указанные п о л ь з о в а т е л и и г р у п п ы н е п о л у ч а ю т р а з р е ш е н и я и л и
доступ к подразделению. Щ е л к н и т е О К .
В административных средствах W i n d o w s Server 2 0 0 8 п о я в и л а с ь н о в а я оп-
ция — З а щ и т и т ь контейнер о т с л у ч а й н о г о у д а л е н и я ( P r o t e c t C o n t a i n e r F r o m
Accidental Deletion). О н а п р е д у с м а т р и в а е т д л я п о д р а з д е л е н и я ( O U ) в о з м о ж -
ность использовать п е р е к л ю ч а т е л ь безопасности, п о з в о л я ю щ и й и з б е ж а т ь слу-
чайного удаления O U . В подразделение д о б а в л я ю т с я д в а р а з р е ш е н и я : Everyone::
Deny::Delete и Everyone::Deny::Delete S u b t r e e . П о э т о м у п о л ь з о в а т е л и и д а ж е
администраторы не могут с л у ч а й н о у д а л и т ь п о д р а з д е л е н и е и его с о д е р ж и м о е .
Настоятельно рекомендуется в к л ю ч а т ь эту з а щ и т у д л я в с е х н о в ы х п о д р а з д е -
лений.
Д л я того чтобы все ж е у д а л и т ь п о д р а з д е л е н и е , в н а ч а л е с л е д у е т о т к л ю ч и т ь
переключатель безопасности. Ч т о б ы у д а л и т ь з а щ и щ е н н о е п о д р а з д е л е н и е , вы-
полните следующие д е й с т в и я .
1. В оснастке Active D i r e c t o r y — п о л ь з о в а т е л и и к о м п ь ю т е р ы ( A c t i v e D i r e c -
tory Users and C o m p u t e r s ) щ е л к н и т е м е н ю В и д ( V i e w ) и в ы б е р и т е к о м а н д у
Дополнительные к о м п о н е н т ы ( A d v a n c e d F e a t u r e s ) .
2. Щелкните подразделение правой кнопкой м ы ш и и п р и м е н и т е к о м а н д у
Свойства (Properties).
3. Перейдите на вкладку О б ъ е к т ( O b j e c t ) .
Если вкладка Объект н е о т о б р а ж а е т с я , з н а ч и т , в ы н е в к л ю ч и л и д о п о л н и -
тельные компоненты в шаге 1.
4 . Сбросьте ф л а ж о к З а щ и т и т ь к о н т е й н е р о т с л у ч а й н о г о у д а л е н и я ( P r o t e c t
Container From Accidental D e l e t i o n ) .
5. Щ е л к н и т е О К .
6. Щелкните подразделение правой к н о п к о й м ы ш и и п р и м е н и т е к о м а н д у
Удалить (Delete).
7. Вам будет предложено подтвердить удаление O U . Щ е л к н и т е к н о п к у Да (Yes).
8. Если подразделение содержит д р у г и е о б ъ е к т ы , в д и а л о г о в о м о к н е П о д т в е р -
дить удаление поддерева ( C o n f i r m S u b t r e e D e l e t i o n ) в а м б у д е т п р е д л о ж е н о
подтвердить удаление п о д р а з д е л е н и я и всех с о д е р ж а щ и х с я в н е м о б ъ е к т о в .
Щ е л к н и т е к н о п к у Да (Yes).

Контрольный вопрос
• Вы пытаетесь удалить подразделение и получаете, сообщение о недостаточ-
ном уровне прав. Вы вошли в систему как член группы Администраторы до-
мена (Domain Admins) и определенно должны располагать правом удаления
OU. В чем состоит проблема и что сделать для удаления подразделения?
Занятие 2 Создание объектов в Active Directory 49" т

Ответ на контрольный вопрос


• Подразделение защищено от случайного удаления. Вы должны сбросить
флажок опции защиты от случайного удаления. Этот флажок находится в
диалоговом окне Свойства (Properties) подразделения на вкладке Объект
(Object), которая отображается только при включении параметра Дополни-
тельные компоненты (Advanced Features).

Создание объекта пользователя


Ч т о б ы в A c t i v e D i r e c t o r y с о з д а т ь нового пользователя, выполните следую-
щ и е д е й с т в и я . С о б л ю д а й т е п р а в и л а именования и процедуры вашей органи-
зации.
1. О т к р о й т е о с н а с т к у Active Directory — пользователи и компьютеры (Active
D i r e c t o r y U s e r s And C o m p u t e r s ) .
2. В д е р е в е к о н с о л и р а з в е р н и т е узел, представляющий ваш домен (например,
c o n t o s o . c o m ) , и н а й д и т е подразделение или контейнер (например, Users),
в к о т о р о м х о т и т е создать учетную запись пользователя.
3. Щ е л к н и т е п о д р а з д е л е н и е или контейнер правой кнопкой мыши, выберите
о п ц и ю С о з д а т ь ( N e w ) и п р и м е н и т е команду Пользователь (User).
О т к р о е т с я д и а л о г о в о е о к н о Н о в ы й объект — Пользователь (New Object —
U s e r ) , п р е д с т а в л е н н о е на рис. 2-5.

«**оло сот/Кмры/Спужащи*

Mud

>|Петрович
Г^з/woe mi: |Ивам Петрович

Има (»одв пол>зователя


|ra>ef j@corfoso com
Ии» вхраа пользователя Цкд-Wndow» 200(5
|CONTOSO\

Рис. 2-5. Диалоговое окно нового объекта пользователя

4. В п о л е И м я ( F i r s t N a m e ) введите имя пользователя, в поле Инициалы


( I n i t i a l s ) — его и н и ц и а л ы , а в поле Ф а м и л и я (Last Name) — фамилию.
5. П о л е П о л н о е и м я ( F u l l N a m e ) заполняется автоматически. При необходи-
м о с т и вы м о ж е т е внести изменения. Поле Полное имя используется для
с о з д а н и я н е с к о л ь к и х атрибутов объекта пользователя, включая основное
50 Администрирование Глава 2

имя CN (Common Name), а также для отображения свойств имени. И м я


CN пользователя отображается в панели сведений оснастки. О н о д о л ж н о
быть уникальным в контейнере или подразделении. Поэтому при создании
объекта пользователя для лица с тем же именем, что и у существующего
пользователя в том же подразделении, вам потребуется ввести у н и к а л ь н о е
имя в поле Полное имя (Full Name).
6. В поле Имя входа пользователя (User Logon Name) введите и м я входа
пользователя и в раскрывающемся списке выберите с у ф ф и к с основного
имени пользователя UPN (User Principle Name), который будет прикреплен
к имени входа пользователя с символом
Имена пользователей в Active Directory могут содержать некоторые особые
символы (включая точки, дефисы и апострофы), что п о з в о л я е т генери-
ровать точные имена пользователей, например О ' Х а р а и л и С м и т - Б е й т с .
Тем не менее определенные приложения могут иметь другие ограничения,
поэтому рекомендуется использовать только стандартные б у к в ы и ц и ф р ы ,
пока все приложения на предприятии не будут тщательно п р о т е с т и р о в а н ы
на совместимость с особыми символами в именах входа.
Списком доступных суффиксов UPN можно управлять с помощью оснастки
Active Directory — домены п доверие (Active Directory Domains And Trusts).
Щелкните правой кнопкой мыши корень оснастки Active D i r e c t o r y — до-
мены и доверие, примените команду Свойства ( P r o p e r t i e s ) и на в к л а д к е
Суффиксы UPN (UPN Suffixes) добавьте или удалите с у ф ф и к с ы . И м я DNS
домена Active Directory всегда будет доступно в качестве с у ф ф и к с а и не
может быть удалено.
7. В поле Имя входа пользователя (пред-Windows 2000) ( U s e r Logon N a m e
(Pre-Windows 2000)) оснастки Active Directory — п о л ь з о в а т е л и и к о м п ь ю -
теры (Active Directory Users And Computers) введите и м я входа д л я систем,
предшествовавших Windows 2000, которое часто называется н и з к о у р о в н е -
вым именем входа. В главе 3 мы рассмотрим эти два различных и м е н и входа.
8. Щелкните кнопку Далее (Next).
9. Введите начальный пароль пользователя в поля П а р о л ь ( P a s s w o r d ) и П о д -
тверждение (Confirm Password).
10. Установите флажок Требовать смену пароля при следующем входе в систему
(User Must Change Password At Next Logon).
Рекомендуется всегда устанавливать этот флажок, чтобы пользователь мог
создать новый пароль, неизвестный персоналу IT. С о о т в е т с т в у ю щ и е чле-
ны группы поддержки всегда могут сбросить пароль пользователя, чтобы,
к примеру, войти в систему как пользователь или получить доступ к ресур-
сам пользователя. Но только пользователи д о л ж н ы знать свои е ж е д н е в н ы е
пароли.
11. Щелкните кнопку Далее (Next).
12. Просмотрите введенные параметры и щелкиите кнопку Готово ( F i n i s h ) .
Интерфейс Новый объект — Пользователь (New O b j e c t — User) п о з в о л я е т
конфигурировать лишь немногие свойства учетной записи, н а п р и м е р и м я
Занятие 2 Создание объектов в Active Directory 51" т

и пароль. Но объект п о л ь з о в а т е л я в Active D i r e c t o r y поддерживает десятки


д о п о л н и т е л ь н ы х с в о й с т в — к о н ф и г у р и р о в а т ь их м о ж н о после с о з д а н и я
объекта.
13. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и с о з д а н н ы й объект п о л ь з о в а т е л я и при-
мените команду Свойства (Properties).
14. ( С к о н ф и г у р и р у й т е с в о й с т в а п о л ь з о в а т е л я .
Соблюдайте правила именования и другие стандарты вашей организации.
П о д р о б н е е мы р а с с м о т р и м с в о й с т в а п о л ь з о в а т е л я в главах 3 и 8.
15. Щ е л к н и т е О К .

Создание объекта группы


Группы — это в а ж н ы й к л а с с объектов, п о с к о л ь к у о н и с л у ж а т д л я единого управ-
ления к о л л е к ц и я м и пользователей, компьютеров и других групп. Простейший
пример п р и м е н е н и я г р у п п ы — предоставление разрешений доступа к общей
папке. Н а п р и м е р , е с л и г р у п п е п р е д о с т а в и т ь д о с т у п ч т е н и я к п а п к е , все ч л е н ы
г р у п п ы с м о г у т ч и т а т ь с о д е р ж и м о е э т о й п а п к и . В а м н е п о н а д о б и т с я предостав-
лять доступ чтения непосредственно д л я каждого отдельного члена группы.
Д л я управления доступом проще всего добавлять пользователей в группы или
удалять их. Чтобы создать группы, в ы п о л н и т е следующие действия.
1. О т к р о й т е о с н а с т к у A c t i v e D i r e c t o r y — п о л ь з о в а т е л и и к о м п ь ю т е р ы ( A c t i v e
Directory Users And Computers).
2. В дереве консоли разверните узел, п р е д с т а в л я ю щ и й ваш домен (например,
contoso.com) и найдите подразделение и л и контейнер (например, Users),
в к о т о р о м х о т и т е с о з д а т ь группу.
3. Щелкните правой кнопкой мыши подразделение или контейнер, выберите
о п ц и ю С о з д а т ь ( N e w ) и п р и м е н и т е к о м а н д у Группа ( G r o u p ) .
О т к р о е т с я д и а л о г о в о е о к н о Н о в ы й о б ъ е к т — Группа ( N e w O b j e c t — G r o u p ) ,
п о к а з а н н о е н а рис. 2-6.

С о з д а т ь в; cDntoea.com/npynrw

Инн г р у п п ы (пред-Windows 2000);

Область д е й с т в и я г р у н т ы "Гил г р у п г ы — ; .
Поклгы-ля и д о и г т ^ Группа б е з о л а о ю с т *
Гпобальная С Группа р а с п р о с т р а н е н »
Универсальна*

Рис. 2-6. Диалоговое окно нового объекта группы


52 Администрирование Глава 2

4. В поле Имя группы (Group Name) введите имя новой группы.


Большинство организаций используют соглашения об именовании групп.
Соблюдайте эти инструкции и стандарты вашей организации.
По умолчанию введенное имя также вводится как имя пред-Windows 2000
новой группы. Настоятельно рекомендуется, чтобы эти два имени были иден-
тичны, поэтому не меняйте имя в поле Имя группы (пред-Windows 2000)
(Group name (Pre-Windows 2000)).
5. Выберите тип группы.
• Группе безопасности (Security) можно предоставлять разрешения, до-
ступа к ресурсам. Ее также можно отконфигурировать как список рас-
пространения электронной почты.
• Группа распространения (Distribution) — это группа электронной поч-
ты, которой нельзя предоставлять разрешения доступа к ресурсам; она
используется только для распространения электронной почты.
6. Выберите область действия группы (Group Scope).
• Глобальная (Global) группа используется для и д е н т и ф и к а ц и и пользо-
вателей на основе такого критерия, как рабочая ф у н к ц и я или, скажем,
расположение.
• Локальная группа в домене (Domain Local) содержит п о л ь з о в а т е л е й
и группы с идентичными потребностями в доступе к ресурсам, н а п р и - i
мер всех пользователей, которым необходимо м о д и ф и ц и р о в а т ь отчет
проекта.
• Универсальная (Universal) группа включает пользователей и г р у п п ы
из множества доменов.
Область действия группы подробно описана в главе 4.
Отметим, что если домен, где создается объект группы, работает на смешан-
ном или промежуточном функциональном уровне, выбрать м о ж н о будет
только области действия Глобальная (Global) и Л о к а л ь н а я в домене ( D o -
main Local). Функциональные уровни домена описаны в главе 13.
7. Щелкните ОК.
Объекты групп имеют множество свойств, которые можно к о н ф и г у р и р о -
вать. Назначить их можно после создания объекта.
8. Щелкните группу правой кнопкой мыши и примените команду Свойства
(Properties).
9. Задайте свойства для группы.
Соблюдайте соглашения об именовании и другие стандарты в а ш е й орга-
низации.
На вкладках Члены группы (Members) и Ч л е н групп ( M e m b e r O f ) указано,
кто принадлежит к группе и в какие другие группы входит сама эта группа.
Членство в группах описано в главе 4.
В поле Описание (Description) группы можно ввести сведения о ее назна-
чении и контактную информацию лиц, принимающих решение о членстве
в группе. I
Занятие 2 Создание объектов в Active Directory 53" т

В поле З а м е т к и (Notes) группы можно указать дополнительные сведения


о ней.
Вкладку Управляется (Managed By) можно использовать д л я привязки к
пользователю и л и группе, которая управляет данной группой. Щелкните
кнопку И з м е н и т ь ( C h a n g e ) под полем И м я (Name). Д л я поиска группы
н у ж н о в н а ч а л е щ е л к н у т ь к н о п к у Т и п ы о б ъ е к т о в ( O b j e c t Types) и в ы б р а т ь
Группы ( G r o u p s ) . Д и а л о г о в о е о к н о В ы б о р : " П о л ь з о в а т е л ь " , " К о н т а к т " и л и
"Группа" ( S e l e c t User, C o n t a c t , o r G r o u p ) о п и с а н о д а л е е н а э т о м з а н я т и и .
Остальная контактная и н ф о р м а ц и я на вкладе Управляется (Managed By)
заполняется данными учетной записи, указанной в поле И м я (Name).
Вкладка Управляется, как правило, используется для хранения контактной
и н ф о р м а ц и и , ч т о б ы п о л ь з о в а т е л ь , ж е л а ю щ и й п р и с о е д и н и т ь с я к группе, мог
о б р а т и т ь с я к лицу, о т в е т с т в е н н о м у з а а в т о р и з а ц и ю ч л е н о в г р у п п ы . О д н а к о
если установить флажок Менеджер может изменять членов группы (Man-
ager C a n U p d a t e M e m b e r s h i p L i s t ) , у ч е т н а я з а п и с ь , у к а з а н н а я в п о л е И м я
(Name), получит право добавлять и удалять членов группы. Это один из
способов делегирования административного контроля над группой. Другие
в о з м о ж н о с т и делегирования о п и с а н ы в з а н я т и и 3.
10. Щ е л к н и т е О К .

Создание объекта компьютера


В Active Directory к о м п ь ю т е р ы представлены в качестве учетных записей
и о б ъ е к т о в а н а л о г и ч н о п о л ь з о в а т е л я м . К о м п ь ю т е р в х о д и т в сеть д о м е н а т о ч н о
так же, как и пользователь. К о м п ь ю т е р располагает именем с п р и к р е п л е н н ы м
знаком доллара (например, D E S K T O P I O I S ) и паролем, который устанавлива-
ется при присоединении компьютера к домену и автоматически меняется как
минимум каждые тридцать дней. Далее описан механизм создания объекта
компьютера в Active Directory.
1. О т к р о й т е о с н а с т к у A c t i v e D i r e c t o r y — п о л ь з о в а т е л и и к о м п ь ю т е р ы ( A c t i v e
Directory Users And Computers).
2. В дереве консоли разверните узел, п р е д с т а в л я ю щ и й ваш домен (например,
c o n t o s o . c o m ) и н а й д и т е п о д р а з д е л е н и е и л и к о н т е й н е р ( п р е д п о л о ж и м , Users),
в котором хотите создать компьютер.
3. Щелкните правой кнопкой мыши подразделение или контейнер, выберите
опцию Создать (New) и примените команду Компьютер (Computer).
Откроется диалоговое окно Н о в ы й объект — Компьютер (New Object —
C o m p u t e r ) , п о к а з а н н о е н а р и с . 2-7.
4. В поле И м я компьютера ( C o m p u t e r Name) введите и м я компьютера.
Введенные данные автоматически заполнят поле И м я компьютера (пред-
Windows 2000) (Computer Name (Pre-Windows 2000)). Не меняйте имя
в э т о м поле.
5. Учетная запись, указанная в поле И м я пользователя или группы (User Or
G r o u p ) , с м о ж е т п р и с о е д и н и т ь к о м п ь ю т е р к домену. П о у м о л ч а н и ю у к а з а н ы
Администраторы домена (Domain Admins). Щелкните кнопку Изменить
(Change), чтобы выбрать еще одну группу или пользователя.
Администрирование Глава 2

JL Сонеты согаяа.сож/Computers

JCOfTOPlOl

»» KOKtegrtpa (прьд-HVxto^ 2000):

Гкэсоеа»»»''» к доиему этот к о и г ь ю т е р могут п о л ъ з о е а т е л . h t v группа

кУы rjC/ЫОвателв и/V груты:


Р

Отмена Справка

Рис. 2-7. Диалоговое окно нового объекта компьютера

Обычно принято выбирать группу, представляющую команду р а з в е р т ы в а -


ния, поддержки настольных систем или справки. Вы т а к ж е м о ж е т е у к а з а т ь
пользователя, для которого предназначен компьютер. П р и с о е д и н е н и е к о м -
пьютера к домену описано в главе 5.
6. На устанавливайте флажок Н а з н а ч и т ь у ч е т н о й з а п и с и с т а т у с п р е д -
Windows 2000 (Assign This C o m p u t e r A c c o u n t As A P r e - W i n d o w s 2 0 0 0
Computer), если эта учетная запись не п р е д н а з н а ч е н а д л я к о м п ь ю т е р а
Microsoft Windows NT 4.0.
7. Щелкните ОК.
Многие свойства объектов компьютеров подлежат к о н ф и г у р и р о в а н и ю . Их
можно назначить после создания объекта.
8. Щелкните компьютер правой кнопкой мыши и п р и м е н и т е к о м а н д у С в о й с -
тва (Properties).
9. Укажите свойства компьютера.
Соблюдайте соглашения об именовании и другие с т а н д а р т ы в а ш е й орга-
низации.
В поле Описание (Description) компьютера м о ж н о указать л и ц о , д л я кото-
рого предназначен компьютер, его роль (например, к о м п ь ю т е р в у ч е б н о м
кабинете) и другую информацию. П о с к о л ь к у о п и с а н и е о т о б р а ж а е т с я в
панели сведений оснастки Active Directory — пользователи и к о м п ь ю т е р ы
(Active Directory Users And Computers), в это поле следует в в е с т и данные,
которые необходимо знать о компьютере.
Существует несколько свойств для описания компьютера, в к л ю ч а я D N S -
имя (DNS Name), Типы DC ( D C Туре), Сайт (Site), И м я о п е р а ц и о н н о й
системы (Operating System Name), Версия (Version) и П а к е т о б н о в л е н и я
(Service Pack). Эти свойства будут автоматически з а п о л н е н ы п р и присо-
единении компьютера к домену.
Занятие 2 Создание объектов в Active Directory 55" т

, Вкладку У п р а в л я е т с я ( M a n a g e d By) м о ж н о п р и м е н и т ь д л я п р и в я з к и поль-


зователя и л и группы, ответственной за компьютер. Щ е л к н и т е к н о п к у Изме-
н и т ь ( C h a n g e ) п о д п о л е м И м я ( N a m e ) . Д л я п о и с к а г р у п п ы н у ж н о вначале
> щ е л к н у т ь к н о п к у Т и п ы объектов ( O b j e c t Types) и выбрать Группы ( G r o u p s ) .
' Д и а л о г о в о е о к н о Выбор: " П о л ь з о в а т е л ь " , " К о н т а к т " и л и "Группа" (Select
User, C o n t a c t , o r G r o u p ) о п и с а н о д а л е е н а этом з а н я т и и .
О с т а л ь н а я к о н т а к т н а я и н ф о р м а ц и я н а в к л а д е У п р а в л я е т с я ( M a n a g e d By)
з а п о л н я е т с я д а н н ы м и у ч е т н о й з а п и с и , у к а з а н н о й в поле И м я (Name). Вклад-
ка Управляется, как правило, используется для контактной информации.
Н е к о т о р ы е о р г а н и з а ц и и и с п о л ь з у ю т эту в к л а д к у д л я у к а з а н и я г р у п п ы под-
д е р ж к и , о т в е т с т в е н н о й за к о м п ь ю т е р . В д р у г и х к о м п а н и и эта в к л а д к а слу-
жит для отслеживания пользователей, которым выделяются компьютеры.
10. Щ е л к н и т е О К .

Поиск объектов в Active Directory


И т а к , м ы о б с у д и л и , к а к с о з д а в а т ь о б ъ е к т ы в Active D i r e c t o r y , н о к а к о й с м ы с л
в и н ф о р м а ц и и с л у ж б ы каталогов, если ее нельзя извлечь из каталога? Поиск
объектов в Active D i r e c t o r y требуется во многих случаях.
• Предоставление разрешений доступа П р и настройке разрешений доступа
к файлу или папке нужно выбрать группу (или пользователя), которой
будут назначены разрешения.
• Добавление членов в группу Ч л е н а м и группы могут стать пользователи,
к о м п ь ю т е р ы , г р у п п ы и их к о м б и н а ц и и . П р и д о б а в л е н и и о б ъ е к т а в к а ч е с т в е
члена г р у п п ы понадобится выбрать этот объект.
• Создание привязок С в я з а н н ы е свойства одного объекта ссылаются на
другой объект. Ч л е н с т в о в группе — это связанное свойство. Д р у г и е свя-
з а н н ы е с в о й с т в а , т а к и е к а к а т р и б у т У п р а в л я е т с я ( M a n a g e d By), о п и с а н н ы й
ранее, т а к ж е п р е д с т а в л я ю т с о б о й п р и в я з к и . П р и у к а з а н и и и м е н и н а в к л а д к е
У п р а в л я е т с я н у ж н о в ы б р а т ь с о о т в е т с т в у ю щ е г о п о л ь з о в а т е л я и л и группу.
Поиск объектов в Active Directory может потребоваться и в других ситуаци-
ях; д л я н е г о п р е д у с м о т р е н о н е с к о л ь к о п о л ь з о в а т е л ь с к и х и н т е р ф е й с о в . В э т о м
разделе мы р а с с м о т р и м н е к о т о р ы е т е х н о л о г и и поиска.

Управление представлением объектов в оснастке Active Directory —


пользователи и компьютеры
Панель сведений оснастки Active Directory — пользователи и компьютеры
(Active Directory Users And C o m p u t e r s ) м о ж н о настроить д л я э ф ф е к т и в н о й
работы с объектами в каталоге. С п о м о щ ь ю к о м а н д ы Добавить и л и удалить
столбцы ( A d d / R e m o v e Columns) меню Вид (View) в панель сведений можно
д о б а в и т ь с т о л б ц ы . В с т о л б ц а х м о ж н о о т о б р а ж а т ь н е все а т р и б у т ы , н о в ы о п р е -
деленно-оцените преимущество отображения таких столбцов, как И м я входа
п о л ь з о в а т е л я ( U s e r L o g o n N a m e ) . В ы т а к ж е м о ж е т е и с к л ю ч и т ь н е н у ж н ы е столб-
цы. Е с л и в а ш е п о д р а з д е л е н и е с о д е р ж и т т о л ь к о о д и н т и п о б ъ е к т о в ( н а п р и м е р ,
пользователи или компьютеры), столбец Тип (Туре) можно исключить.
56 Администрирование Глава 2

Порядок расположения видимых столбцов м о ж н о менять, п е р е т а с к и в а я '


заголовки столбцов влево и вправо. Вы также можете сортировать представлен
ние в панели сведений, щелкнув столбец. При первом щелчке будет в ы п о л н е н ^
сортировка в порядке возрастания, при втором — по убыванию, а н а л о г и ч н а я
производимой в Проводнике Windows (Windows Explorer). О б ы ч н о в пред-
ставление добавляется столбец Фамилия (Last Name) д л я п р о с м о т р а п о л ь з о -
вателей с сортировкой по фамилиям. Поиск пользователей п р о щ е в ы п о л н я т ь
по фамилии, а не имени в столбце Имя (Name), которое я в л я е т с я о с н о в н ы м
именем CN (Common Name).

Использование сохраненных запросов


В оснастке Active Directory — пользователи и компьютеры (Active Directory Users
and Computers) системы Windows Server 2003 п о я в и л с я у з е л С о х р а н е н н ы е
запросы (Saved Queries). Эта функция позволяет создавать у п р а в л я е м ы е п р а в и -
лами представления домена, отображающие объекты из одного и л и н е с к о л ь к и х
подразделений (OU). Далее описано создание сохраненного з а п р о с а .
1. Откройте оснастку Active Directory — пользователи и к о м п ь ю т е р ы ( A c t i v e
Directory Users and Computers).
Узел Сохраненные запросы (Saved Queries) недоступен в о с н а с т к е A c t i v e
Directory — пользователи и компьютеры в Диспетчере сервера (Server M a n a -
ger). Вы должны использовать консоль Active D i r e c t o r y — п о л ь з о в а т е л и
и компьютеры или настраиваемую консоль М М С с этой о с н а с т к о й .
2. Щелкните правой кнопкой мыши узел С о х р а н е н н ы е з а п р о с ы ( S a v e d
Queries), выберите опцию Создать (New) и п р и м е н и т е к о м а н д у З а п р о с
(Query).
3. Введите имя запроса. (При желании введите его описание.)
4. Щелкните кнопку Обзор (Browse), чтобы отыскать к о р е н ь з а п р о с а .
Понск будет ограничен выбранным доменом и л и п о д р а з д е л е н и е м . Д л я
ускорения запроса рекомендуется максимально о г р а н и ч и т ь поиск.
5. Щелкните кнопку Запрос (Define Query), чтобы о п р е д е л и т ь запрос.
6. В диалоговом окне Поиск: Общие запросы ( F i n d C o m m o n Q u e r i e s ) в ы б е -
рите тип запрашиваемого объекта. Вкладки диалогового о к н а и э л е м е н т ы
управления вводом данных на каждой вкладке и з м е н я ю т с я в з а в и с и м о с т и
от выбранного типа запроса.
7. Щелкните ОК.
Созданный запрос сохраняется в экземпляре оснастки Active D i r e c t o r y —
пользователи и компьютеры (Active Directory Users and C o m p u t e r s ) , т а к ч т о
при следующем открытии одноименной консоли (dsa.msc) ваш з а п р о с б у д е т
доступен. Если сохраненный запрос создается в настраиваемой к о н с о л и , он
доступен в этой консоли. Для переноса сохраненных запросов в другие к о н с о л и
или другим пользователям эти запросы можно экспортировать в в и д е X M L -
файлов, а затем импортировать в конечную оснастку.
Представление сохраненного запроса в панели сведений м о ж н о н а с т р о и т ь ,
как описано ранее, выбрав конкретные столбцы и т и п с о р т и р о в к и , ВаЖНОС
Занятие 2 Создание объектов в Active Directory 57" т

^преимущество с о х р а н е н н ы х з а п р о с о в в т о м , ч т о н а с т р а и в а е м о е п р е д с т а в л е -
ние с п е ц и ф и ч н о д л я к а ж д о г о с о х р а н е н н о г о з а п р о с а . П р и д о б а в л е н и и с т о л б ц а
Ф а м и л и я ( L a s t N a m e ) в с т а н д а р т н о е п р е д с т а в л е н и е п о д р а з д е л е н и я ( O U ) этот
с т о л б е ц д о б а в л я е т с я в п р е д с т а в л е н и е каждого п о д р а з д е л е н и я , и вы у в и д и т е
пустой с т о л б е ц Ф а м и л и я д а ж е д л я п о д р а з д е л е н и й к о м п ь ю т е р о в и г р у п п . В со-
храненные запросы м о ж н о добавить столбец Ф а м и л и я для поиска объектов
пользователей, а также другие столбцы.
Сохраненные запросы — это важное средство виртуализации представле-
ния к а т а л о г а , а т а к ж е о т с л е ж и в а н и я о т к л ю ч е н н ы х и б л о к и р о в а н н ы х у ч е т н ы х
записей. С о х р а н е н н ы е з а п р о с ы п о з в о л я ю т з н а ч и т е л ь н о э к о н о м и т ь в р е м я а д м и -
нистратора.

К СВЕДЕНИЮ Сохраненные запросы


Подробные сведения и п р и м е р ы сохраненных запросов можно найти по адресу
http://www.petri.co.il/saved_queries_in_windows_2003_dsa.htm.

Диалоговое о к н о выбора пользователей, контактов, компьютеров и групп


П р и д о б а в л е н и и ч л е н а в группу, н а з н а ч е н и и р а з р е ш е н и я д о с т у п а и с о з д а н и и
связанного свойства и с п о л ь з у е т с я диалоговое окно Выбор: "Пользователи",
" К о н т а к т ы " , " К о м п ь ю т е р ы " и л и "Группы" ( S e l e c t Users, C o n t a c t s , C o m p u t e r s ,
or G r o u p s ) , п о к а з а н н о е на р и с . 2-8. В д а н н о м р у к о в о д с т в е это д и а л о г о в о е окно
будет н а з ы в а т ь с я диалоговым окном выбора. Е с л и вам н у ж е н п р и м е р , о т к р о й т е
свойства объекта группы, перейдите на вкладку Ч л е н ы группы (Members)
и щелкните кнопку Добавить (Add).

Выбор: "Пользователи", "Контакты", •2Ш


£Ьберит® тип объекта:
^'Пользователи", Труппы" или "Другие объекты" TWibt объектов.

В следующем месте; _______


jc0rt03o.com

Введите имена выбираемых объекте® (примеры):


Игорь .Света {Доверить имена

Дополнительно.

Рис. 2-8. Выбор пользователей, контактов, компьютеров и групп

Е с л и в а м и з в е с т н ы и м е н а н у ж н ы х о б ъ е к т о в , м о ж е т е в в е с т и и х п р я м о в тек-
стовое п о л е В в е д и т е и м е н а в ы б и р а е м ы х о б ъ е к т о в ( E n t e r T h e O b j e c t N a m e s
To Select). Вы можете ввести м н о ж е с т в о имен, разделенных точкой с запя-
той ( с м . р и с . 2 - 8 ) . К о г д а в ы щ е л к н е т е О К , с и с т е м а W i n d o w s в ы п о л н и т п о и с к
каждого э л е м е н т а в с п и с к е и п р е о б р а з у е т его в с с ы л к у на объект, п о с л е чего
закроет д и а л о г о в о е о к н о . Щ е л ч к о м к н о п к и П р о в е р и т ь и м е н а ( C h e c k N a m e s )
каждое и м я т а к ж е п р е о б р а з у е т с я в ссылку, о д н а к о д и а л о г о в о е о к н о о с т а е т с я
о т к р ы т ы м (рис. 2 - 9 ) .
58 Администрирование Глава 2

Рис. 2-9. Имена, разрешенные в ссылки с помощью кнопки проверки имен

Вам не нужно вводить полное имя. Вы можете вводить т о л ь к о н е п о л н ы е


имена. Например, на рис. 2-8 показаны имена Игорь н Света. Е с л и щ е л к н у т ь
кнопку ОК или Проверить имена (Check Names), система Windows п о п ы т а е т с я
преобразовать неполное имя в корректный объект. Если найден л и ш ь о д и н
соответствующий объект, например имя входа Игорь, оно будет р а з р е ш е н о
(см. рис. 2-9). Если же найдено несколько соответствующих объектов, к а к в
случае с именем Света, откроется диалоговое окно Н а й д е н о н е с к о л ь к о и м е н
(Multiple Names Found), показанное на рис. 2-10. Выберите к о р р е к т н о е и м я
(имена) и щелкните ОК. Выбранное имя будет разрешено (см. рис. 2-9).

Е JJ4
^ввп слветств>вт6(Ы1«чемод»10въ«т Вьйвситеолтихнихиэамсхаилн

•'f .'w г с* ! Эл^тр^зипэ j Bna.-v.fr


& CeeTi Ив»<ял Svw«/ jvttav^ccmcn Бухгалтер cortoitjCTm/Ka
& Свата Пстрэаа ivcuprt flvtta&etgcGrto Бухгалтер corto» сопт/Ка .
IS

Рис. 2-10. Диалоговое окно Найдено несколько имен

По умолчанию диалоговое окно выбора выполняет поиск во всем домене.


Если вам нужно ограничить область поиска или искать в другом домене, щ е л к -
ните кнопку Размещение (Locations).
Кроме того, диалоговое окно выбора пользователей, контактов, к о м п ь ю т е -
ров или групп редко выполняет поиск всех четырех типов объектов. Н а п р и -
мер, при добавлении членов в группу поиск компьютеров не в ы п о л н я е т с я по
умолчанию. Если ввести имя компьютера, оно не будет корректно р а з р е ш е н о .
При указании имени на вкладке Управляется (Managed By) поиск групп не
выполняется по умолчанию. Чтобы корректно разрешать объекты, вы ДОЛЖНЫ
Занятие 2 Создание объектов в Active Directory 59"
т

у к а з а т ь т и п о б ъ е к т о в д л я о б л а с т и п о и с к а в д и а л о г о в о м окне выбора. Щ е л к -
ните к н о п к у Т и п ы о б ъ е к т о в ( O b j e c t Types), в д и а л о г о в о м окне Т и п ы объектов
(рис. 2 - 1 1 ) в ы б е р и т е к о р р е к т н ы е т и п ы и щ е л к н и т е О К .

Выбермтв типы объектов. к о т с р ы в меобхо;ммо и с к а т ь

Титы объектов

В . i Др>тпе о б ъ е к т ы
• Контакты
П*1.|.1.ЧШ)ЛВ1
0 Группы
13 ?> Погъзовэтелм

OK j Отмена |

Рис. 2-11. Диалоговое окно Типы объектов

Е с л и отыскать н у ж н ы е объекты не удалось, в диалоговом окне выбора


щелкните кнопку Дополнительно (Advanced). В расширенном представлении
(рис. 2 - 1 2 ) д л я п о и с к а м о ж н о и с п о л ь з о в а т ь два п о л я — и м е н и и о п и с а н и я , а так-
же отключенные учетные записи, пароли с неограниченным сроком действия
и у с т а р е в ш и е у ч е т н ы е з а п и с и , в х о д в с и с т е м у с п о м о щ ь ю к о т о р ы х не в ы п о л -
н я л с я в т е ч е н и е у к а з а н н о г о п е р и о д а в р е м е н и . В з а в и с и м о с т и от т и п а и с к о м о г о
объекта н е к о т о р ы е п о л я на вкладке О б щ и е запросы ( C o m m o n Queries) могут '
б ы т ь о т к л ю ч е н ы . Щ е л к н и т е к н о п к у Т и п ы о б ъ е к т о в ( O b j e c t Types), ч т о б ы т о ч н о
указать тип объекта, который вам нужен.

[выбор* " П о л ь з о в а т е л я " , " К о н т а к т ы " , " К о м п ь ю т е р ы " « в

Выберите тип объекта:


"Пользователи" Типы объектов,, j |

1 В следующем месте:
!: jcoitoso.com Размещение... j j

Общие запросы j

:: Имя. {начинается j v j j Столбцы... j

Поиск |
Описке {начинается jJ j

.. |
Г~ Отхяюченньй учетные записи
Г" Пароли с неограничег*>ым сроком действия

Число со времени последнего « о д а е систему: j ~ ~ 3

Отмена
Результаты поиска: _J 1

• Имя (RON) : В папке Электронная почта

Рис. 2-12. Расширенное представление диалогового окна выбора объектов


60 Администрирование Глава 2

Команды п о и с к а
Системы Windows также обеспечивают средство з а п р о с о в Active D i r e c t o r y ,
которое многие администраторы называют окном п о и с к а ( F i n d ) . О д и н из
способов запустить окно Поиск (Find) — щелкнуть к н о п к у П о и с к о б ъ е к т о в
в доменных службах Active Directory (Find Objects in Active D i r e c t o r y D o m a i n
Services) в панели инструментов оснастки Active D i r e c t o r y — п о л ь з о в а т е л и
и компьютеры (Active Directory Users and C o m p u t e r s ) . На рис. 2 - 1 3 п о к а з а н а
эта кнопка и соответствующее окно поиск ( F i n d ) .

i . "Eh
J MwcQrectnry-г»Л|Ювател«и
Co»oадше мпросы
« " " О Е Я Э ШШШ -101 х|
. Сояри* С * * » Ъ и в ^ ВИ£ Справка
, Oonter
Fofegn i: ^То<ьзоеате>у иомтакть! и грутт Где [ V' cortosao Обзор .
__ LoetV* и груггы j Дзпоп»«тел>но |
. Progr»
System
. User»
NTDSQ
. Грутгь

Т9.

Рис. 2-13. Окно поиска

С помощью раскрывающегося списка Н а й т и ( F i n d ) у к а ж и т е т и п ( т и п ы )


объектов, поиск которых хотите выполнить, или в ы б е р и т е П о л ь з о в а т е л ь с к и й
поиск (Custom Search) или Общие запросы ( C o m m o n Q u e r i e s ) . В р а с к р ы в а ю -
щемся списке Где (In) укажите область поиска. Рекомендуется по в о з м о ж н о с т и
ограничивать поиск, поскольку его быстродействие на уровне к р у п н о г о д о м е н а
будет снижено. В совокупности раскрывающиеся с п и с к и Н а й т и ( F i n d ) и Где
(In) определяют область поиска.
Затем отконфигурируйте критерий поиска. Поля, д о с т у п н ы е д л я к р и т е р и я ,
зависят от типа выполняемого запроса. Чтобы получить р а с ш и р е н н ы й к о н т р о л ь
над запросом, в раскрывающемся списке Н а й т и ( F i n d ) в ы б е р и т е П о л ь з о в а -
тельский поиск (Custom Search). Если выбрать этот т и п п о и с к а и п е р е й т и на
вкладку Дополнительно (Advanced), можно создавать м о щ н ы е з а п р о с ы LDAP.
Например, запрос OU=*main* выполняет поиск п о д р а з д е л е н и я с и м е н е м , со-
держащим слово main, и возвращает подразделение D o m a i n Controllers. Д р у г и е
типы поиска используют только текст в начале имени. П о л ь з о в а т е л ь с к и й п о и с к
с групповыми символами позволяет создавать запросы с о д е р ж и м о г о .
Указав область и критерий поиска, щелкните к н о п к у Н а й т и ( F i n d N o w ) .
Отобразятся результаты поиска. Вы можете щелкнуть п р а в о й к н о п к о й м ы ш и
любой элемент в списке результатов и выполнить такие к о м а н д ы , как П е р е -
местить (Move), Удалить (Delete) и Свойства (Properties).
Занятие 2 Создание объектов в Active Directory 61" т

О к н о п о и с к а ( F i n d ) т а к ж е о т о б р а ж а е т с я в д р у г и х к о м п о н е н т а х Windows,
в том числе в м а с т е р е У с т а н о в к а п р и н т е р а ( A d d P r i n t e r W i z a r d ) п р и л о к а л и з а -
ции сетевого п р и н т е р а . П а п к а С е т ь ( N e t w o r k ) т а к ж е с о д е р ж и т к н о п к у Поиск в
Active Directory ( S e a r c h Active D i r e c t o r y ) . Д л я удобства поиска можно добавить
на рабочий стол и л и в г л а в н о е м е н ю н а с т р а и в а е м ы й я р л ы к . К о н е ч н ы м объектом
я р л ы к а д о л ж н а б ы т ь к о м а н д а rundll32 dsquery,OpenQueryWindow.

Поиск объектов с помощью команды Dsquery


В W i n d o w s есть у т и л и т ы к о м а н д н о й с т р о к и с ф у н к ц и я м и , а н а л о г и ч н ы м и ф у н -
к ц и я м т а к и х п о л ь з о в а т е л ь с к и х и н т е р ф е й с о в , к а к о с н а с т к а Active D i r e c t o r y —
п о л ь з о в а т е л и и к о м п ь ю т е р ы ( A c t i v e D i r e c t o r y U s e r s and C o m p u t e r s ) . М н о г и е
из этих к о м а н д н а ч и н а ю т с я с б у к в D S , п о э т о м у о н и н а з ы в а ю т с я командами DS.
Команда Dsquery м о ж е т л о к а л и з о в а т ь о б ъ е к т ы в A c t i v e Directory.
А н а л о г и ч н о д р у г и м к о м а н д а м D S , Dsquery п о д р о б н о д о к у м е н т и р о в а н а .
Введите к о м а н д у dsquery.exe/?, ч т о б ы п о л у ч и т ь с в е д е н и я о ее синтаксисе и при-
менении. Д л я б о л ь ш и н с т в а к о м а н д D S т р е б у е т с я у к а з а т ь к л а с с объекта, к кото-
рому н у ж н о п р и м е н и т ь к о м а н д у . Н а п р и м е р , в ы м о ж е т е в в е с т и к о м а н д у dsquery
д л я п о и с к а п о л ь з о в а т е л я , а т а к ж е Dsquery computer, Dsquery group и Dsquery ou
для поиска соответствующих типов объектов. В соответствии с указателем
типа объекта м о ж н о и с п о л ь з о в а т ь п е р е к л ю ч а т е л и д л я н а з н а ч е н и я критерия
запроса. Н а п р и м е р , к а ж д ы й о б ъ е к т м о ж н о л о к а л и з о в а т ь , о т ы с к а т ь п о и м е н и с
помощью переключателя - п а т е . Б о л ь ш и н с т в о объектов можно запрашивать
н а основе о п и с а н и я ( п е р е к л ю ч а т е л ь -desc). П р и н ц и п а л ы б е з о п а с н о с т и м о ж -
но также отыскать на основе имен входа п р е д - W i n d o w s 2000 (переключатель
-samid). Ч т о б ы у з н а т ь , к а к и е с в о й с т в а м о ж н о з а п р а ш и в а т ь , в в е д и т е к о м а н д у
dsquery objecttype/?.

Например, д л я л о к а л и з а ц и и всех пользователей, имена которых начинают-


ся с J a m , м о ж н о в в е с т и з а п р о с dsquery user -name jam*. П о с л е п е р е к л ю ч а т е л я
свойства ( в д а н н о м с л у ч а е п а т е ) м о ж н о в в е с т и к р и т е р и й ( б е з у ч е т а р е г и с т р а )
с такими г р у п п о в ы м и с и м в о л а м и , к а к звездочка, к о т о р а я представляет все
ч и с л о в ы е и д р у г и е с и м в о л ы . П о у м о л ч а н и ю к о м а н д а Dsquery в о з в р а щ а е т н а й -
денные объекты с р а с п о з н а в а е м ы м и и м е н а м и DN ( D i s t i n g u i s h e d Name), как
видно на рис. 2-14.

c:4>dsquerv user -name jam*


"CN-James D. Krcin«i',OU-Enplo^o«s,OU=P«Dplo,DC-cuntoso,DG=con"
"CN-Janes Fine,OU-People,DC=contoso,DC=con"
"CN-James Hendergart,OU-Employees, OU-People, DC-con to so, DC-co m"
"CN-James R. Hamilt on, OU-Employe es,0U -People, DC-con t o s o , DC-con"
"CN=James wan Eaton,OU=Employees,OU=People,DC=contoso.DC=con>"
"CN=Jamie Redingr,OUBEmployees,OU-People,DC=contoso,DC-corn"

Рис. 2-14. Команда Dsquery

Если р а с п о з н а в а е м ы е и м е н а D N н е у д о б н ы д л я п р о с м о т р а р е з у л ь т а т о в , д о -
бавьте в команду. Dsquery п е р е к л ю ч а т е л ь - о . Н а п р и м е р , в ы м о ж е т е д о б а в и т ь
п е р е к л ю ч а т е л ь - о samid, ч т о б ы в е р н у т ь р е з у л ь т а т ы с и м е н а м и в х о д а п р е д -
W i n d o w s 2000, и л и п е р е к л ю ч а т е л ь - о ирп, ч т о б ы в е р н у т ь с п и с о к U P N - и м е н
g2 Администрирование Глава 2

Имена DN, RDN и CN


Параметр DN представляет тип пути к объекту в Active Directory. Каждый
объект в Active Directory имеет уникальный параметр DN. Например, пользо-
ватель Джеймс Файи имеет DN-путь CN—James Fine,OU=People,DC=contoso,
DC=com.
Как видите, DN-путь начинается с объекта и доходит до домена верхнего
уровня в пространстве DNS-имен contoso.com. Как мы уже говорили, CN озна-
чает общее имя (Common Name). При создании пользователя данные поля
Полное имя (Full Name) используются для создания общего имени CN объекта
пользователя. Параметр 0U означает подразделение (Organizational U n i t ) ,
a DC — компонент домена (Domain Component).
Секция DN до первого 0U или контейнера называется относительным
отличительным именем, или RDN (Relative Distinguished Name). В случае с
Джеймсом Файном именем RDN объекта будет С N "James Fine. Не каждое
RDN-имя становится CN-именем. Именем RDN подразделения People соот-
ветственно станет OU=People.
Поскольку имя DN объекта должно быть уникальным в службе каталогов,
RDN-имя объекта должно быть уникальным внутри своего контейнера. Поэ-
тому при приеме на работу еще одного служащего с именем Д ж е й м с Ф а й н и
размещении объектов обоих пользователей в одном подразделении ( O U ) вто-
рой пользователь получит другое имя CN. Та же логика применяется к файлам
в папке: в одной папке не может быть двух файлов с идентичными именами.
При работе с Active Directory вам часто придется иметь дело с именами DN,
как н в случае с файловыми путями при работе с файлами и папками. Поэтому
нужно уметь читать и интерпретировать имена DN.

Практические занятия. Создание и поиск объектов


в Active Directory
В предложенных далее упражнениях вы создадите и отыщете объекты в Active
Directory. Вы создадите подразделения, пользователей, группы и компьютеры.
Затем вы создадите сохраненный запрос и настроите представление этого со-
храненного запроса. Объекты, созданные в этом упражнении, будут использо-
ваться на других практических занятиях этого руководства.

Упражнение 1. Создание подразделений


Контейнеры Users и Computers, создаваемые по умолчанию, упрощают установ-
ку домена Active Directory и миграцию в него. Рекомендуется создавать под-
разделения в соответствии с моделью управления компанией и использовать
эти подразделения для создания объектов в службе каталогов и управления
ими. В этом упражнении вы создадите подразделения для домена contoso.com.
Они будут использоваться на последующих практических занятиях данного
руководства.
1. Войдите на машину SERVER01 как администратор.
2. Откройте оснастку Active Directory — пользователи и компьютеры (Active
Directory Users And Computers).
Занятие 2 Создание объектов в Active Directory 63" т

3. Р а з в е р н и т е у з е л д о м е н а .
4 . Щ е л к н и т е п р а в о й к н о п к о й м ы ш и у з е л д о м е н а , в ы б е р и т е о п ц и ю Создать
(New) и примените команду Подразделение (Organizational Unit).
5. Введите д л я п о д р а з д е л е н и я и м я Кадры.
6 . Установите ф л а ж о к З а щ и т и т ь к о н т е й н е р о т с л у ч а й н о г о у д а л е н и я ( P r o t e c t
Container From Accidental Deletion).
7. Щелкните О К .
8. Щелкните подразделение правой к н о п к о й м ы ш и и примените команду
Свойства (Properties).
9. В п о л е Описание (Description) введите Неадминистратиеные пользова-
тельские объекты идентификации.
10. Щ е л к н и т е О К .
11. П о в т о р и т е ш а г и 2 - 1 0 , ч т о б ы с о з д а т ь с л е д у ю щ и е п о д р а з д е л е н и я .

Имя Описание
Клиенты Клиентские компьютеры
Группы Неадминистративные группы
Администраторы Административные объекты
идентификации и группы
Серверы Серверы

Упражнение 2. Создание пользователей


Теперь с о з д а н н ы е в д о м е н е c o n t o s o . c o m п о д р а з д е л е н и я м о ж н о з а п о л н и т ь объек-
тами. В э т о м у п р а ж н е н и и в ы с о з д а д и т е н е с к о л ь к о п о л ь з о в а т е л е й в д в у х п о д -
разделениях, созданных в у п р а ж н е н и и 1. Э т и о б ъ е к т ы пользователей будут
применяться на последующих практических з а н я т и я х данного руководства.
1. Войдите на м а ш и н у S E R V E R 0 1 как а д м и н и с т р а т о р и откройте оснастку
Active D i r e c t o r y — п о л ь з о в а т е л и и к о м п ь ю т е р ы ( A c t i v e D i r e c t o r y U s e r s And
Computers).
2. Следуйте инструкциям из подраздела «Создание объекта пользователя»
(см. р а н е е в э т о й г л а в е ) и с о з д а й т е в п о д р а з д е л е н и и Кадры у к а з а н н ы х н и ж е
п о л ь з о в а т е л е й . Д л я к а ж д о г о п о л ь з о в а т е л я п р е д у с м о т р и т е с л о ж н ы й безопас-
ный пароль. З а п о м н и т е н а з н а ч е н н ы е пароли, поскольку вы будете входить
в систему с п о м о щ ь ю этих у ч е т н ы х з а п и с е й на п о с л е д у ю щ и х практических
занятиях данного руководства.
3. В д е р е в е к о н с о л и р а з в е р н и т е у з е л д о м е н а c o n t o s o . c o m и в ы б е р и т е п о д р а з -
деление Кадры.
4. Щелкните правой кнопкой мыши подразделение Кадры, выберите опцию
Создать ( N e w ) и п р и м е н и т е к о м а н д у П о л ь з о в а т е л ь ( U s e r ) .
Откроется диалоговое окно Н о в ы й объект — пользователь (New Object —
User).
5 . В п о л е И м я ( F i r s t N a m e ) в в е д и т е д л я п о л ь з о в а т е л я и м я Дэн.
64 Администрирование Глава 2

6. В поле Фамилия (Last Name) введите ф а м и л и ю Холме.


7. В поле Имя входа пользователя (User Logon Name) введите и м я dholme.
8. В поле Имя входа пользователя (пред-Windows 2000) ( U s e r L o g o n N a m e
(Pre-Windows 2000)) введите имя dholme.
9. Щелкните кнопку Далее (Next).
10. Введите начальный пароль пользователя в поля Пароль ( P a s s w o r d ) и П о д -
тверждение (Confirm Password). Политика паролей домена Active D i r e c t o r y
по умолчанию требует назначить пароль как м и н и м у м из семи с и м в о л о в .
Кроме того, пароль должен содержать т р и из ч е т ы р е х т и п о в с и м в о л о в :
прописные буквы ( A - Z ) , строчные буквы ( a - z ) , ц и ф р ы ( 0 - 9 ) и о с о б ы е
символы (такие, как, например, I, #, $, %). П а р о л ь не может с о д е р ж а т ь
атрибуты имени пользователя.
Запомните пароль, назначенный пользователю, п о с к о л ь к у эта у ч е т н а я за-
пись понадобится вам на практических з а н я т и я х далее в этом р у к о в о д с т в е .
Во многих руководствах рекомендуется и с п о л ь з о в а т ь г р у п п о в о й п а р о л ь ,
например, P@ssword. Такой пароль можно использовать на п р а к т и ч е с к и х
занятиях данного руководства, но рекомендуется с о з д а в а т ь у н и к а л ь н ы е
пароли даже в упражнениях, чтобы следовать корректным м е т о д и к а м и в л а -
бораторной среде.
11. Установите флажок Требовать смену пароля при следующем входе в с и с т е м у
(User Must Change Password At Next Logon).
12. Щелкните кнопку Далее (Next).
13. Просмотрите введенные параметры и щелкните к н о п к у Готово ( F i n i s h ) .
14. Щелкните правой кнопкой мыши созданный объект п о л ь з о в а т е л я и п р и -
мените команду Свойства (Properties).
15. Просмотрите атрибуты, которые можно к о н ф и г у р и р о в а т ь в д и а л о г о в о м
окне свойств. Не изменяйте пока свойства пользователя.
16. Щелкните ОК.
17. Повторите шаги 3 - 1 2 и создайте следующих пользователей в п о д р а з д е л е -
нии Кадры.
• Джеймс Файн
• Имя (First Name): Джеймс;
• Фамилия (Last Name): Файн;
• Полное имя (Full Name): Джеймс Файн;
• Имя входа пользователя (User Logon Name): jfine.
• Барбара Майер
• Имя: Барбара;
• Фамилия: Майер;
• Полное имя: Барбара Майер;
• Имя входа пользователя: bmayer;
• Имя входа пользователя пред-Windows 2000: bmayer.
Занятие 2 Создание объектов в Active Directory 65" т

ш Барбара Морленд
• Имя: Барбара;
• Фамилия: Морленд;
• Полное имя: Барбара Морленд;
а И м я входа пользователя: bmorelend;
а И м я в х о д а п о л ь з о в а т е л я п р е д - W i n d o w s 2000: b m o r e l e n d .
18. Еще раз п о в т о р и т е ш а г и 3 - 1 2 : с о з д а й т е в п о д р а з д е л е н и и К а д р ы учетную
з а п и с ь д л я с е б я . С о з д а й т е с л о ж н ы й б е з о п а с н ы й п а р о л ь и з а п о м н и т е его,
п о с к о л ь к у э т а у ч е т н а я з а п и с ь б у д е т и с п о л ь з о в а т ь с я в других у п р а ж н е н и я х
данного руководства.
19. Снова п о в т о р и т е ш а г и 3 - 1 2 и с о з д а й т е д л я себя административную учетную
з а п и с ь в п о д р а з д е л е н и и А д м и н и с т р а т о р ы . Э т о й у ч е т н о й з а п и с и будут пре-
доставлены а д м и н и с т р а т и в н ы е привилегии. Создайте объект пользователя
в п о д р а з д е л е н и и А д м и н и с т р а т о р ы , а не в п о д р а з д е л е н и и Кадры. В качестве
и м е н и в х о д а п о л ь з о в а т е л я д л я а д м и н и с т р а т и в н о й у ч е т н о й з а п и с и возьмите
и м я и ф а м и л и ю с с у ф ф и к с о м _ a d m i n , н а п р и м е р d h o l m e _ a d m i n . Создайте
с л о ж н ы й б е з о п а с н ы й п а р о л ь и з а п о м н и т е его, п о с к о л ь к у эта у ч е т н а я запись
будет задействована в д р у г и х у п р а ж н е н и я х данного руководства.

Упражнение 3. Создание компьютеров


Учетные з а п и с и к о м п ь ю т е р о в н у ж н о с о з д а т ь д о п р и с о е д и н е н и я м а ш и н к до-
мену. В э т о м у п р а ж н е н и и вы с о з д а д и т е н е с к о л ь к о к о м п ь ю т е р о в в д в у х под-
разделениях, с о з д а н н ы х в у п р а ж н е н и и 1. Э т и о б ъ е к т ы компьютеров будут
использоваться в других у п р а ж н е н и я х данного руководства.
1. Войдите на м а ш и н у S E R V E R 0 1 к а к администратор и откройте оснастку
Active D i r e c t o r y — п о л ь з о в а т е л и и к о м п ь ю т е р ы ( A c t i v e D i r e c t o r y Users and
Computers).
2. В д е р е в е к о н с о л и р а з в е р н и т е у з е л д о м е н а c o n t o s o . c o m и в ы б е р и т е п о д р а з -
деление Серверы.
3. Щелкните правой кнопкой м ы ш и подразделение Серверы, выберите опцию
Создать (New) и п р и м е н и т е к о м а н д у К о м п ь ю т е р (Computer).
Откроется диалоговое окно Н о в ы й объект — Компьютер (New Object —
Computer).
4. В поле И м я компьютера ( C o m p u t e r N a m e ) введите д л я компьютера имя
FILESER VER01.
Данные автоматически будут введены в поле И м я компьютера (пред-Win-
dows 2 0 0 0 ) ( C o m p u t e r N a m e ( P r e - W i n d o w s 2 0 0 0 ) ) .
5 . H e м е н я й т е и м я в п о л е И м я к о м п ь ю т е р а ( п р е д - W i n d o w s 2000).
6. О б р а т и т е в н и м а н и е на у ч е т н у ю з а п и с ь , у к а з а н н у ю в т е к с т о в о м п о л е И м я •
п о л ь з о в а т е л я и л и г р у п п ы ( U s e r O r G r o u p F i e l d ) . H e м е н я й т е п о к а эту учет-
ную запись.
7. Не устанавливайте ф л а ж о к Н а з н а ч и т ь учетной записи статус пред-Win-
dows 2000 (Assign T h i s C o m p u t e r A c c o u n t As A P r e - W i n d o w s 2 0 0 0 C o m p u t e r ) .
66 Администрирование Глава 2

8. Щелкните ОК.
9. Щелкните правой кнопкой мыши компьютер и п р и м е н и т е к о м а н д у С в о й с -
тва (Properties).
10. Просмотрите доступные свойства компьютера. Не м е н я й т е п о к а д а н н ы е
атрибуты.
И. Щелкните ОК.
12. Повторите шаги 3 - 8 и создайте два объекта компьютеров:
• SHAREPOINT02;
• EXCHANGE03.
13. Повторите шаги 3 - 8 и создайте еще три объекта к о м п ь ю т е р о в в п о д р а з д е -
лении Клиенты:
• DESKTOPlOl;
« DESKTOP102;
• LAPTOP103.
Упражнение 4. Создание групп
Объектами лучше всего управлять с помощью групп. В д а н н о м у п р а ж н е н и и
вы создадите несколько групп в двух п о д р а з д е л е н и я х , с о з д а н н ы х в у п р а ж -
нении 1. Эти группы будут использоваться на п р а к т и ч е с к и х з а н я т и я х д а л е е
в настоящем руководстве.
1. Войдите на машину SERVER01 как администратор и о т к р о й т е о с н а с т к у
Active Directory — пользователи и компьютеры (Active D i r e c t o r y Users And
Computers).
2. В дереве консоли разверните узел домена contoso.com и в ы б е р и т е п о д р а з -
деление Группы.
3. Щелкните подразделение Группы правой к н о п к о й м ы ш и , в ы б е р и т е о п ц и ю
Создать (New) и примените команду Группа ( G r o u p ) .
Откроется диалоговое окно Новый объект — Группа ( N e w O b j e c t — G r o u p ) .
4. В текстовое поле Имя группы (Group Name) введите д л я г р у п п ы и м я Фи-
нансы.
5. Не меняйте имя в поле Имя группы ( п р е д - W i n d o w s 2 0 0 0 ) ( G r o u p N a m e
(Pre-Windows 2000)).
6. Выберите для группы тип Группа безопасности ( S e c u r i t y ) .
7. Выберите область действия Глобальная (Global).
8. Щелкните ОК.
Многие свойства объектов групп можно к о н ф и г у р и р о в а т ь . Э т и с в о й с т в а
можно определить после создания объекта.
9. Щелкните группу правой кнопкой мыши и п р и м е н и т е к о м а н д у С в о й с т в а
(Properties).
10. Просмотрите доступные свойства группы. Не м е н я й т е п о к а э т и а т р и б у т ы .
11. Щелкните ОК.
Занятие 2 Создание объектов в Active Directory 67" т

12. Повторите ш а г и 3 - 8 д л я с о з д а н и я с л е д у ю щ и х г л о б а л ь н ы х групп безопас-


ности в п о д р а з д е л е н и и Группы:
• Финансовые менеджеры;
• Продажи;
• A P P _ O f f i c e 2007.
13. Повторите ш а г и 3 - 8 и с о з д а й т е две г л о б а л ь н ы е г р у п п ы безопасности в под-
разделении Администраторы:
• Справка;
• Администраторы Windows.

Упражнение 5. Добавление пользователей и компьютеров в группы


Теперь в с о з д а н н ы е г р у п п ы м о ж н о д о б а в л я т ь объекты в качестве членов. В этом
у п р а ж н е н и и вы д о б а в и т е в г р у п п ы к о м п ь ю т е р ы и п о л ь з о в а т е л е й . З а о д н о вы
п о п р а к т и к у е т е с ь в п о и с к е о б ъ е к т о в A c t i v e D i r e c t o r y с п о м о щ ь ю диалогового
окна в ы б о р а о б ъ е к т о в .
1. В о й д и т е на м а ш и н у S E R V E R 0 1 к а к а д м и н и с т р а т о р и о т к р о й т е оснастку
Active D i r e c t o r y — п о л ь з о в а т е л и и к о м п ь ю т е р ы ( A c t i v e D i r e c t o r y Users and
Computers).
2. О т к р о й т е с в о й с т в а с в о е й а д м и н и с т р а т и в н о й у ч е т н о й з а п и с и в подразделе-
нии Администраторы.
3. Перейдите на вкладку Ч л е н групп (Member Of).
4. Щелкните кнопку Добавить (Add).
5. В д и а л о г о в о е о к н о В ы б о р : " Г р у п п ы " ( S e l e c t G r o u p s ) введите имя Админис-
траторы домена (Domain Admins).
6. Щелкните О К .
7. В н о в ь щ е л к н и т е О К, ч т о б ы з а к р ы т ь о к н о с в о й с т в у ч е т н о й з а п и с и .
8. О т к р о й т е с в о й с т в а г р у п п ы С п р а в к а в п о д р а з д е л е н и и А д м и н и с т р а т о р ы .
9. Перейдите на вкладку Ч л е н ы группы (Members).
10. Щ е л к н и т е к н о п к у Д о б а в и т ь ( A d d ) .
11. В д и а л о г о в о е о к н о В ы б о р ( S e l e c t ) в в е д и т е и м я Барб.
12. Щ е л к н и т е к н о п к у П р о в е р и т ь и м е н а ( C h e c k N a m e s ) .
Откроется диалоговое окно Н а й д е н о несколько имен (Multiple Names
Found).
13. В ы б е р и т е и м я Б а р б а р а М а й е р и щ е л к н и т е О К .
14. Щ е л к н и т е О К , ч т о б ы з а к р ы т ь д и а л о г о в о е о к н о В ы б о р ( S e l e c t ) .
15. В н о в ь щ е л к н и т е О К, ч т о б ы з а к р ы т ь о к н о с в о й с т в г р у п п ы .
16. О т к р о й т е с в о й с т в а г р у п п ы A P P _ O f f i c e 2 0 0 7 в п о д р а з д е л е н и и Группы.
17. П е р е й д и т е н а в к л а д к у Ч л е н ы г р у п п ы ( M e m b e r s ) .
18. Щ е л к н и т е к н о п к у Д о б а в и т ь ( A d d ) .
19. В д и а л о г о в о е о к н о В ы б о р ( S e l e c t ) в в е д и т е и м я DESKTOP1Q1.
68 Администрирование Глава 2

20. Щ е л к н и т е к н о п к у П р о в е р и т ь и м е н а ( C h e c k N a m e s ) . •
Откроется диалоговое о к н о И м я н е н а й д е н о ( N a m e N o t F o u n d ) с с о о б щ е -
нием о том, что у к а з а н н ы й объект н е л ь з я р а з р е ш и т ь .
21. Щ е л к н и т е к н о п к у О т м е н а ( C a n c e l ) , чтобы з а к р ы т ь д и а л о г о в о е о к н о И м я
не найдено.
22. В окне Выбор (Select) щ е л к н и т е к н о п к у Т и п ы о б ъ е к т о в ( O b j e c t T y p e s ) .
23. Выберите т и п объектов К о м п ь ю т е р ы ( C o m p u t e r s ) и щ е л к н и т е О К .
24. Щ е л к н и т е к н о п к у П р о в е р и т ь и м е н а ( C h e c k N a m e s ) . Т е п е р ь и м я б у д е т раз-
решено в окне Выбор (Select).
25. Щ е л к н и т е О К .

Упражнение 6. Поиск объектов в Active Directory


Чтобы отыскать объекты в службе каталогов домена, и н о г д а э ф ф е к т и в н е е
использовать ф у н к ц и и поиска, чем о т к р ы в а т ь с т р у к т у р у п о д р а з д е л е н и й и ис-
кать объект вручную. В этом у п р а ж н е н и и вы з а д е й с т в у е т е т р и и н т е р ф е й с а д л я
поиска объектов в Active Directory.
1. Войдите на м а ш и н у S E R V E R 0 1 и о т к р о й т е о с н а с т к у A c t i v e D i r e c t o r y —
пользователи и компьютеры ( A c t i v e D i r e c t o r y Users a n d C o m p u t e r s ) .
2. Щелкните к н о п к у П о и с к объектов в д о м е н н ы х с л у ж б а х A c t i v e D i r e c t o r y
(Find Objects In Active D i r e c t o r y D o m a i n S e r v i c e s ) .
3. В раскрывающемся списке Где ( I n ) в ы б е р и т е д о м е н c o n t o s o . c o m .
4. В поле И м я (Name) введите Барб.
5. Щ е л к н и т е кнопку Н а й т и ( F i n d N o w ) .
6. В результатах п о и с к а о т о б р а з я т с я д в а п о л ь з о в а т е л я с и м е н е м Б а р б а р а .
7. Закройте окно поиска.
8. В главном меню откройте о к н о Сеть ( N e t w o r k ) .
9. Щ е л к н и т е к н о п к у П о и с к в Active D i r e c t o r y ( S e a r c h A c t i v e D i r e c t o r y ) .
10. Повторите ш а г и 3 - 7 .
11. В оснастке Active Directory — пЬльзователи и к о м п ы о т е р ы ( A c t i v e D i r e c t o r y
Users and C o m p u t e r s ) щ е л к н и т е п р а в о й к н о п к о й м ы ш и у з е л С о х р а н е н н ы е
поиски (Saved Queries), в ы б е р и т е о п ц и ю С о з д а т ь ( N e w ) и п р и м е н и т е ко-
манду З а п р о с ( Q u e r y ) .
Если узел сохраненных з а п р о с о в не о т о б р а ж а е т с я , з а к р о й т е к о н с о л ь и от-
кройте оснастку Active D i r e c t o r y — п о л ь з о в а т е л и и к о м п ь ю т е р ы в п а п к е
Администрирование ( A d m i n i s t r a t i v e Tools) п а н е л и у п р а в л е н и я .
12. В поле И м я (Name) введите Все пользователи.
13. В поле Описание (Description) введите о п и с а н и е Пользователи всего домена.
14. Щ е л к н и т е кнопку З а п р о с ( D e f i n e Q u e r y ) .
15. Н а вкладке П о л ь з о в а т е л и ( U s e r s ) в ы б е р и т е в п о л е И м я ( N a m e ) п а р а м е т р
И м е е т значение ( H a s A Value).
16. Д в а ж д ы щелкните OK, чтобы з а к р ы т ь д и а л о г о в ы е о к н а .
Занятие 2

О т о б р а з я т с я р е з у л ь т а т ы сохраненного запроса с данными пользователей


п о д р а з д е л е н и й К а д р ы и Администраторы.
17. В м е н ю В и д ( V i e w ) п р и м е н и т е команду Добавить или удалить столбцы
. ( A d d / R e m o v e Columns).
18. В с п и с к е И м е ю щ и е с я с т о л б ц ы (Available Columns) выберите столбец Фа-
м и л и я ( L a s t N a m e ) и щ е л к н и т е кнопку Добавить (Add).
19. В с п и с к е О т о б р а ж а е м ы е столбцы (Displayed Columns) выберите Тип (Туре)
и щ е л к н и т е к н о п к у Удалить (Remove).
20. Щ е л к н и т е О К .
21. П е р е т а щ и т е з а г о л о в о к с т о л б ц а Ф а м и л и я (Last Name) и расположите его
м е ж д у с т о л б ц а м и И м я ( N a m e ) и Описание (Description).
22. Щ е л к н и т е з а г о л о в о к с т о л б ц а Ф а м и л и я (Last Name), чтобы автоматически
отсортировать пользователей по фамилии.

Резюме
• П о д р а з д е л е н и я о р г а н и з а ц и и ( O r g a n i z a t i o n a l U n i t ) представляют собой
а д м и н и с т р а т и в н ы е контейнеры, содержащие объекты с идентичными требо-
в а н и я м и а д м и н и с т р и р о в а н и я , к о н ф и г у р а ц и и н видимости. Подразделения
о б е с п е ч и в а ю т д о с т у п к к о л л е к ц и я м пользователей, групп, компьютеров и
д р у г и х о б ъ е к т о в и у п р а в л е н и е ими. Подразделению нельзя предоставлять
р а з р е ш е н и я д о с т у п а к ресурсам, например к общей папке.
• П р и с о з д а н и и т а к о г о объекта, как пользователь, компьютер пли группа,
м о ж н о к о н ф и г у р и р о в а т ь л и ш ь н е м н о г и е его свойства. После создания
о б ъ е к т а м о ж н о о т к р ы т ь его свойства и отконфигурировать атрибуты, не-
доступные при создании.
• Т а к и е с в о й с т в а объекта, как Описание (Description), Управляется (Managed
B y ) и З а м е т к и ( N o t e s ) , м о ж н о применять для документирования важных
сведений об объекте.
• По у м о л ч а н и ю п о д р а з д е л е н и я создаются с защитой от случайного удаления.
Ч т о б ы о т м е н и т ь з а щ и т у , н у ж н о включить Дополнительные компоненты
( A d v a n c e d F e a t u r e s ) в м е н ю Вид (View), а затем в окне свойств подразде-
л е н и я п е р е й т и на в к л а д к у Объект ( O b j e c t ) н отключить защиту.

Закрепление материала
С л е д у ю щ и й в о п р о с м о ж н о использовать для проверки знаний, полученных на
з а н я т и и 2. Э т о т в о п р о с есть на сопроводительном компакт-диске.

ПРИМЕЧАНИЕ Ответы
Ответ на этот вопрос с пояснениями, почему тот или иной вариант ответа правилен
или неверен, вы найдете в разделе «Ответы» в конце книги.

1. Вы о т к р ы л и к о м а н д н у ю строку с помощью команды Запуск от имени ад-


м и н и с т р а т о р а ( R u n As A d m i n i s t r a t o r ) и учетных данных в группе Адми-
н и с т р а т о р ы д о м е н а ( D o m a i n Admins). Вы используете команду Dsrm для
70 Администрирование Глава 2

удаления подразделения, случайно созданного Джеймсом — членом г р у п п ы


Администраторы (Administrators) домена, но получаете ошибку из-за отказа
в доступе. Какова причина ошибки?
A. Для выполнения задач Active Directory вы д о л ж н ы з а п у с т и т ь о к н о ко-
мандной строки как член группы Администраторы ( A d m i n i s t r a t o r s ) .
Б. Только администраторы могут удалять подразделения.
B. Только владелец может удалить подразделение.
Г. Подразделение защищено от удаления.

Занятие 3. Делегирование и безопасность объектов


Active Directory
На предыдущих занятиях в этой главе мы говорили, как создавать о б ъ е к т ы
пользователей, компьютеров, групп и подразделений, а т а к ж е к а к п о л у ч а т ь
доступ к свойствам этих объектов. Ваши возможности в ы п о л н я т ь э т и з а д а н и я
зависят от того, входите ли вы в группу Администраторы ( A d m i n i s t r a t o r s ) в до-
мене. Каждому пользователю в группе технической поддержки не о б я з а т е л ь н о
быть членом группы администраторов в домене, ч т о б ы в ы п о л н я т ь п р о с т ы е
задания, такие как сброс пользовательских паролей и р а з б л о к и р о в а н и е учет-
ных записей пользователей. Вместо этого следует каждой роли в о р г а н и з а ц и и
предоставить разрешение выполнять задачи этой роли без д о п о л н и т е л ь н ы х
привилегий. На этом занятии мы обсудим, как делегировать к о н к р е т н ы е ад-
министративные задачи в Active Directory путем и з м е н е н и я с п и с к о в к о н т р о л я
доступа ACL (Access Control List) для объектов Active Directory.

Изучив материал этого занятия, вы сможете:


S Описать цели делегирования при выполнении бизнес-задач.
S Назначать разрешения доступа к объектам Active Directory с помощью поль-
зовательских интерфейсов редактора безопасности, а также Мастера делеги-
рования и управления (Delegation of Control Wizard).
S Просматривать н создавать отчеты по разрешениям доступа к объектам Acti-
ve Directory с помощью пользовательских интерфейсов и инструментов ко-
мандной строки.
S Оценивать действующие разрешения доступа для пользователя и группы.
Сбрасывать разрешения доступа к объекту и восстанавливать параметры по
умолчанию.
S Описывать связь между делегированием и проектированием подразделений.
Продолжительность занятия — около 35 мин.

Делегирование
В большинстве организаций администраторов несколько, и по м е р е р о с т а ор-
ганизации административные задачи распределяются среди а д м и н и с т р а т о р о в
или служб поддержки. Например, во многих организациях служба т е х н и ч е с к о й
Занятие 3 Делегирование и безопасность объектов Active Directory 71

п о д д е р ж к и м о ж е т с б р а с ы в а т ь п а р о л и и с н и м а т ь б л о к и р о в к у у ч е т н ы х записей
пользователей. Э т и ф у н к ц и и с л у ж б ы п о д д е р ж к и — д е л е г и р о в а н н ы е админист-
р а т и в н ы е задачи. О б ы ч н о с л у ж б а т е х н и ч е с к о й п о д д е р ж к и н е м о ж е т создавать
н о в ы е у ч е т н ы е з а п и с и п о л ь з о в а т е л е й , з а т о м о ж е т в н о с и т ь и з м е н е н и я в сущес-
твующие учетные записи пользователей.
Все о б ъ е к т ы A c t i v e D i r e c t o r y , н а п р и м е р п о л ь з о в а т е л и , к о м п ь ю т е р ы и груп-
пы, с о з д а н н ы е н а п р е д ы д у щ е м з а н я т и и , м о г у т б ы т ь з а щ и щ е н ы с п о м о щ ь ю
списка разрешений. Таким образом, службе группы технической поддержки
п р е д о с т а в л я е т с я р а з р е ш е н и е с б р о с а п а р о л е й п о л ь з о в а т е л ь с к и х объектов. Эти
р а з р е ш е н и я д л я о б ъ е к т а н а з ы в а ю т с я записями контроля доступа АСЕ (Access
C o n t r o l E n t r y ) и н а з н а ч а ю т с я п о л ь з о в а т е л я м , г р у п п а м и к о м п ь ю т е р а м ( т а к на-
з ы в а е м ы м принципалам безопасности). З а п и с и АСЕ х р а н я т с я в д и с к р е ц и о н н о м
с п и с к е к о н т р о л я д о с т у п а D A C L ( D i s c r e t i o n a r y Access C o n t r o l List). С п и с о к
DACL — это с о с т а в л я ю щ а я списка ACL объекта, который также содержит
с и с т е м н ы й с п и с о к к о н т р о л я д о с т у п а S A C L ( S y s t e m Access C o n t r o l List) с пара-
метрами аудита. Эта модель похожа на модель разрешений доступа к файлам
и п а п к а м , по к р а й н е й м е р е ее т е р м и н ы и к о н ц е п ц и и и д е н т и ч н ы .
Делегирование административного контроля, которое также называется
д е л е г и р о в а н и е м к о н т р о л я и л и п р о с т о д е л е г и р о в а н и е м , о з н а ч а е т л и ш ь назначе-
ние р а з р е ш е н и й у п р а в л я т ь д о с т у п о м к о б ъ е к т а м и с в о й с т в а м в Active Directory.
А н а л о г и ч н о п р е д о с т а в л е н и ю г р у п п е п р а в а и з м е н я т ь ф а й л ы в папке, ч л е н ы
группы получают разрешение сбрасывать пароли объектов пользователей.

Просмотр списка ACL объекта Active Directory


На нижнем уровне находится список ACL отдельного объекта пользователя
в Active Directory. Вы м о ж е т е просмотреть список ACL объекта, выполнив
такие действия.
1. О т к р о й т е о с н а с т к у A c t i v e D i r e c t o r y — п о л ь з о в а т е л и и к о м п ь ю т е р ы ( A c t i v e
Directory Users And Computers).
2. Щ е л к н и т е меню Вид ( V i e w ) и выберите Д о п о л н и т е л ь н ы е компоненты
(Advanced Features).
3. Щ е л к н и т е объект правой к н о п к о й м ы ш и и примените команду Свойства
(Properties).
4. Перейдите на вкладку Безопасность (Security).
Если дополнительные компоненты не включены, вы не увидите вкладку
Безопасность в диалоговом окне Свойства объекта (рис. 2-15).
5. Щелкните кнопку Дополнительно (Advanced).
Вкладка Безопасность содержит высокоуровневые данные принципалов
б е з о п а с н о с т и с р а з р е ш е н и я м и д о с т у п а к объекту, но в с л у ч а е со с п и с к а м и
ACL на в к л а д к е б е з о п а с н о с т и о ч е н ь р е д к о есть д о с т а т о ч н о п о д р о б н ы е сведе-
н и я , н е о б х о д и м ы е д л я и н т е р п р е т а ц и и и у п р а в л е н и я с п и с к о м ACL. П о э т о м у
следует щелкнуть кнопку Дополнительно, чтобы открыть диалоговое окно
Дополнительные параметры безопасности (Advanced Security Settings).
Глаоа 2

Рис. 2-15. Вкладка Безопасность (Security) диалогового окна свойств обьекта

Па рис. 2-16 показано диалоговое окно с д о п о л н и т е л ь н ы м и п а р а м е т р а м и


безопасности объекта.

Рис. 2-16. Дополнительные параметры безопасности объекта Active Directory

Вкладка Разрешения (Permissions) диалогового окна д о п о л н и т е л ь н ы х па-


раметров безопасности содержит список DACL объекта. Как п о к а з а н о на
рис. 2.16, в ней перечислены записи АСЕ. В этом д и а л о г о в о м о к н е не отоб-
ражаются отдельные записи АСЕ списка DACL. Например, запись разреше-
ния, выбранная на рис. 2-16, на самом деле состоит из двух з а п и с е й АСЕ.
6. Чтобы просмотреть отдельную запись АСЕ разрешения, выберите ее и щелк-
ните кнопку Изменить (Edit). Откроется диалоговое окно Э л е м е н т разре-
шения (Permission Entry) с записями АСЕ, которые с о с т а в л я ю т э л е м е н т
разрешения (рис. 2-17).
Занятие 3 Делегирование и безопасность объектов Active Directory 73

(ЕЗПЕЯШ
OliHt 'l»«T«Ur> I

N«nw, J SUP Ch«ng< ^J

ApptyU. f n « 06*t city "Б


Al
ow (•Viny
~PMDT>WIOF>4IRTORM*UON • • .]
W i M p«r tonal rV с» melon • 0 - J
P*ed pbor* and m«J option* EL 0
0 •
P u d pivat« Hormetlon • •
WrM privaU rformrflon • •
P«*dpubfc »Vc*m«tJon П •
Wrte put* r/oxTMtiofi • •
t'Md r«not« accvM mtofrneuon • •
• •
r • E 1
П n - i l
C l m *l 1
" '' • v.

_ I' 1 —

Рис. 2-17. Диалоговое окно элемента разрешения

Контрольный вопрос
ш Вам требуется просмотреть разрешения доступа, назначенные подразде-
лению. Вы открыли диалоговое окно свойств подразделения и не увидели
вкладку безопасности. Что нужно сделать в такой ситуации?

Ответ на контрольный вопрос


• В оснастке Active Directory — пользователи и компьютеры (Active Directory
Users And Computers) щелкните меню Вид (View) и выберите Дополнитель-
ные компоненты (Advanced Feature).

Управление доступом к объектам и свойствам


Список DACL объекта позволяет назначать разрешения доступа к конкретным
свойствам о б ъ е к т о в . К а к в и д н о на рис. 2-17, вы м о ж е т е р а з р е ш а т ь и з а п р е щ а т ь
п р а в о и з м е н е н и я п а р а м е т р о в т е л е ф о н а и э л е к т р о н н о й почты, то есть не о д н о
свойство, а н а б о р к о н к р е т н ы х с в о й с т в . Н а б о р ы с в о й с т в у п р о щ а ю т у п р а в л е н и е
р а з р е ш е н и я м и д о с т у п а к ш и р о к о и с п о л ь з у е м ы м к о л л е к ц и я м свойств объектов.
Тем н е м е н е е в ы м о ж е т е п о л у ч и т ь е щ е б о л е е г р а н у л и р о в а н н ы й у р о в е н ь разре-
шения и запрета доступа — л и ш ь мобильного телефона или только домашнего
адреса.
Разрешения также можно назначать для управления правами контроля
доступа, т а к и м и к а к с б р о с и л и и з м е н е н и е п а р о л я . В а ж н о п о н и м а т ь р а з н и ц у
между э т и м и п р а в а м и . Е с л и в ы и м е е т е п р а в о и з м е н я т ь п а р о л ь , н у ж н о з н а т ь
т е к у щ и й п а р о л ь и в в е с т и его п е р е д в н е с е н и е м и з м е н е н и й . Е с л и же вы имеете
право сброса п а р о л я , з н а т ь т е к у щ и й п а р о л ь в а м н е п о н а д о б и т с я .
И, наконец, разрешения м о ж н о назначать д л я объектов. Например, разрешение
на изменение объекта управляется АСЕ-записыо разрешения модификаций.
74 Администрирование Глава 2

Разрешения объектов дают право создавать дочерние объекты. Н а п р и м е р , груп-


пе технической поддержки можно назначить р а з р е ш е н и я создавать о б ъ е к т ы
компьютеров в подразделении для настольных систем и н о у т б у к о в . Группе
технической поддержки подразделения можно назначить А С Е - з а п н с ь разре-
шения создания объектов компьютеров.
Типом и областью действия разрешении можно у п р а в л я т ь с п о м о щ ь ю д в у х
вкладок — Объект (Object) и Свойства (Properties), а т а к ж е при п о м о щ и рас-
крывающихся списков Применять (Apply То) на каждой в к л а д к е .

Назначение разрешения в диалоговом окне дополнительных


параметров безопасности
Рассмотрим сценарий, где службе технической п о д д е р ж к и т р е б у е т с я р а з р е -
шить изменять пароль учетной записи пользователя Д ж е й м с а Ф а й н а . В э т о м
подразделе мы вначале рассмотрим самый с л о ж н ы й с п о с о б — п о с р е д с т в о м
назначения записи АСЕ в списке DACL объекта п о л ь з о в а т е л я . З а т е м р а с с к а -
жем, как с помощью Мастера делегирования управления ( D e l e g a t i o n of C o n t r o l
Wizard) выполнять делегирование для целого п о д р а з д е л е н и я п о л ь з о в а т е л е й ,
и обсуднм преимущества последнего метода.
1. Откройте оснастку Active Directory — пользователи и к о м п ь ю т е р ы ( A c t i v e
Director)' Users and Computers).
2. Щелкните меню Вид (View) и выберите Д о п о л н и т е л ь н ы е к о м п о н е н т ы
(Advanced Features).
3. Щелкните объект правой кнопкой мыши и п р и м е н и т е к о м а н д у С в о й с т в а
(Properties).
4. Перейдите на вкладку Безопасность (Security).
5. Щелкните кнопку Дополнительно (Advanced).
6. Щелкните кнопку Добавить (Add).
Если включен Контроль учетных записей ( U s e r A c c o u n t C o n t r o l ) , м о ж е т
потребоваться щелкнуть кнопку Изменить ( E d i t ) и ввести а д м и н и с т р а т и в -
ные учетные данные, чтобы отобразить кнопку Добавить.
7. В диалоговом окне Выбор (Select) выберите п р и н ц и п а л б е з о п а с н о с т и , к о -
торому будут назначены разрешения.
Лучше всего назначать разрешения группам, а не отдельным пользователям.
Выберите группу технической поддержки.
8. Щелкните ОК.
Откроется диалоговое окно Элемент разрешения ( P e r m i s s i o n E n t r y ) .
9. Отконфигурируйте разрешения.
На вкладке Объект (Object) прокрутите список Р а з р е ш е н и я ( P e r m i s s i o n s )
и выберите разрешение Сброс пароля (Reset Password),
10. Щелкните OK, чтобы закрыть все диалоговые окна.
Занятие 3 Делегирование и безопасность объектов Active Directory 75

Наследование разрешений
Очевидно, что н а з н а ч а т ь г р у п п е т е х н и ч е с к о й п о д д е р ж к и р а з р е ш е н и я сброса
паролей д л я каждого о т д е л ь н о г о о б ъ е к т а п о л ь з о в а т е л я с л и ш к о м утомительно и
это может привести к о ш и б к а м , В м е с т о этого р а з р е ш е н и я м о ж н о назначать под-
разделениям. Р а з р е ш е н и я , н а з н а ч е н н ы е п о д р а з д е л е н и ю , будут н а с л е д о в а т ь с я
всеми о б ъ е к т а м и в нем. Т а к и м о б р а з о м , е с л и предоставить группе т е х н и ч е с к о й
поддержки р а з р е ш е н и е с б р о с а п а р о л е й о б ъ е к т о в п о л ь з о в а т е л е й и п р и к р е п и т ь
это р а з р е ш е н и е к п о д р а з д е л е н и ю , с о д е р ж а щ е м у п о л ь з о в а т е л е й , р а з р е ш е н и е
у н а с л е д у ю т все о б ъ е к т ы п о л ь з о в а т е л е й в п о д р а з д е л е н и и . Так д е л е г и р у е т с я
административная задача.
В к о н ц е п ц и и н а с л е д о в а н и я н и ч е г о с л о ж н о г о нет. Д о ч е р н и е объекты насле-
дуют р а з р е ш е н и я р о д и т е л ь с к о г о к о н т е й н е р а и л и п о д р а з д е л е н и я . Этот контей-
нер и л и п о д р а з д е л е н и е , в с в о ю очередь, наследует р а з р е ш е н и я от родительского
к о н т е й н е р а и л и п о д р а з д е л е н и я , и т а к п р о д о л ж а е т с я до контейнера или под-
разделения в ы с ш е г о у р о в н я с а м о г о д о м е н а . П р и ч и н а н а с л е д о в а н и я дочерними
о б ъ е к т а м и р а з р е ш е н и й р о д и т е л ь с к и х о б ъ е к т о в в том, что по у м о л ч а н и ю каж-
дый н о в ы й о б ъ е к т с о з д а е т с я с в к л ю ч е н н ы м п а р а м е т р о м Д о б а в и т ь разрешения,
н а с л е д у е м ы е о т р о д и т е л ь с к и х о б ъ е к т о в ( I n c l u d e I n h e r i t a b l e Permissions From
This O b j e c t ' s P a r e n t ) . Э т о т ф л а ж о к п о к а з а н н а рис. 2-16.
Д о ч е р н и й о б ъ е к т п о л у ч а е т т о л ь к о н а с л е д у е м ы е р а з р е ш е н и я , н о н е все раз-
решения наследуемы. Н а п р и м е р , р а з р е ш е н и е сброса паролей, назначенное
подразделению, не б у д е т н а с л е д о в а т ь с я о б ъ е к т а м и группы, поскольку объекты
группы не р а с п о л а г а ю т а т р и б у т о м п а р о л я . Н а с л е д о в а н и е п р и м е н и м о к специ-
ф и ч е с к и м к л а с с а м о б ъ е к т о в , а п а р о л и п р и м е н и м ы к о б ъ е к т а м пользователей,
по не к г р у п п а м . К р о м е т о г о , о б л а с т ь н а с л е д о в а н и я р а з р е ш е н и я м о ж н о указать
с помощью поля П р и м е н я т ь (Apply То) диалогового окна Элемент разрешения
( P e r m i s s i o n E n t r y ) . П о у м о л ч а н и ю н о в ы й о б ъ е к т н а с л е д у е т о т родительского
( о б ы ч н о п о д р а з д е л е н и я и л и к о н т е й н е р а ) р а з р е ш е н и я , к о т о р ы е м о ж н о унас-
ледовать.
Что, е с л и н а с л е д у е м о е р а з р е ш е н и е н е с о о т в е т с т в у е т с и т у а ц и и ? Д л я моди-
ф и к а ц и и р а з р е ш е н и й , н а с л е д у е м ы х д о ч е р н и м о б ъ е к т о м , м о ж н о в ы п о л н и т ь две
операции. В о - п е р в ы х , в ы м о ж е т е о т к л ю ч и т ь н а с л е д о в а н и е , с и я в в д и а л о г о в о м
окне Д о п о л н и т е л ь н ы е п а р а м е т р ы б е з о п а с н о с т и ( A d v a n c e d S e c u r i t y S e t t i n g s )
ф л а ж о к Д о б а в и т ь р а з р е ш е н и я , н а с л е д у е м ы е о т р о д и т е л ь с к и х объектов (Include
Inheritable P e r m i s s i o n s F r o m T h i s O b j e c t ' s P a r e n t ) . П о с л е этого объект б о л ь ш е
не будет н а с л е д о в а т ь р а з р е ш е н и я р о д и т е л я . Все р а з р е ш е н и я будут я в н ы м обра-
зом о п р е д е л е н ы д л я д о ч е р н е г о о б ъ е к т а . О б ы ч н о э т о т способ н е рекомендуется,
поскольку возникает и с к л ю ч е н и е из правила, создаваемого разрешениями
родительских контейнеров.
Второй с п о с о б — р а з р е ш и т ь н а с л е д о в а н и е и з а м е н и т ь у н а с л е д о в а н н о е раз-
решение я в н о н а з н а ч е н н ы м и р а з р е ш е н и я м и д л я дочернего объекта. Явные
р а з р е ш е н и я всегда з а м е н я ю т н а с л е д у е м ы е о т р о д и т е л ь с к и х о б ъ е к т о в . В а ж н о
76 Администрирование Глава 2

отметить, что явное разрешение, позволяющее доступ, п е р е п и с ы в а е т унасле-


дованное разрешение, запрещающее тот же доступ. Т а к и м о б р а з о м , родитель-
ский объект определяет правило (запрет доступа), по д л я д о ч е р н е г о объекта
создается исключение (разрешение доступа).

СОВЕТ К ЭКЗАМЕНУ
Изучите сценарии, где доступ или делегирование не выполняется корректно из-за
разрыва цепочки наследования, а также явного назначения объекту разрешении,
заменяющих разрешения родителя.

Делегирование административных задач


с помощью мастера управления делегированием
Как видите, управление разрешениями с п о м о щ ь ю д и а л о г о в о г о о к н а Элемент
разрешения (Permission Entry) представляет собой н е п р о с т у ю задачу. Поэтому
вместо интерфейсов безопасности для у п р а в л е н и я р а з р е ш е н и я м и л у ч ш е при-
менять Мастер делегирования управления ( D e l e g a t i o n of C o n t r o l W i z a r d ) .
1. Откройте оснастку Active Directory — п о л ь з о в а т е л и и к о м п ь ю т е р ы ( A c t i v e '
Directory Users And Computers). ?
2. Щелкните правой кнопкой мыши узел д о м е н а и л и п о д р а з д е л е н и я , для
которого хотите делегировать административные з а д а ч и и л и у п р а в л е н и е ,
и примените команду Делегирование у п р а в л е н и я ( D e l e g a t e C o n t r o l ) .
В зтом примере мы задействуем подразделение, в к о т о р о е в х о д я т пользо-
ватели.
Откроется Мастер делегирования управления (Delegation of C o n t r o l Wizard).!
3. Щелкните кнопку Далее (Next).
Вначале выберите административную группу, которой б у д у т предоставлены <
привилегии.
4. На странице Пользователи или группы (Users or G r o u p s ) щ е л к н и т е к н о п к у {
Добавить (Add). j
5. В диалоговом окне Выбор (Select) выберите г р у п п у и щ е л к н и т е О К . •
6. Щелкните кнопку Далее (Next).
Теперь вы укажете конкретную задачу, к о т о р у ю х о т и т е н а з н а ч и т ь этой i
группе.
7. На странице Делегируемые задачи (Tasks То D e l e g a t e ) в ы б е р и т е задачу.
В этом примере выберите задачу П е р е у с т а н о в и т ь п а р о л и п о л ь з о в а т е л е й I
и установить изменение пароля при следующей п е р е з а г р у з к е ( R e s e t U s e r !
Passwords and Force Password Change at N e x t Logon). ;
8. Щелкните кнопку Далее (Next). •
9. Просмотрите выбранные действия и щ е л к н и т е к н о п к у Готово ( F i n i s h ) , j
Мастер делегирования управления п р и м е н и т н е о б х о д и м ы е з а п и с и АСЕ, I
чтобы разрешить выбранной группе выполнять у к а з а н н у ю задачу. f
Занятие 3 Делегирование и безопасность объектов Active Directory 77

Отчеты и просмотр разрешений


Существует н е с к о л ь к о д р у г и х способов с о з д а н и я отчетов и просмотра разреше-
ний, п о з в о л я ю щ и х к о н т р о л и р о в а т ь д е й с т в и я пользователей. Вы уже знаете, как
просмотреть р а з р е ш е н и я в с п и с к е D A C L в д и а л о г о в ы х о к н а х Д о п о л н и т е л ь н ы е
параметры б е з о п а с н о с т и ( A d v a n c e d S e c u r i t y S e t t i n g s ) и Э л е м е н т р а з р е ш е н и я
(Permission E n t r y ) .
Средство Dsacls.exe т а к ж е д о с т у п н о в в и д е и н с т р у м е н т а к о м а н д н о й стро-
ки, с о з д а ю щ е г о о т ч е т ы об о б ъ е к т а х с л у ж б к а т а л о г о в . Е с л и в в е с т и эту коман-
ду вместе с о т л и ч и т е л ь н ы м и м е н е м о б ъ е к т а , б у д е т выведен отчет с д а н н ы м и
р а з р е ш е н и й о б ъ е к т а . Н а п р и м е р , э т а к о м а н д а г е н е р и р у е т отчет о р а з р е ш е н и я х
подразделения Кадры:
dsacls.ехе "ои=Кадры,dc=contoso,dc=com"

Команду Dsacb т а к ж е м о ж н о и с п о л ь з о в а т ь д л я н а з н а ч е н и я разрешений, т о


есть д е л е г и р о в а н и я . Ч т о б ы п о л у ч и т ь с в е д е н и я о с и н т а к с и с е и методах исполь-
з о в а н и я у т и л и т ы Dsacls, в к о м а н д н у ю с т р о к у введите к о м а н д у dsacls.exe /?.

Удаление и сброс разрешений объекта


Как удалить и л и с б р о с и т ь д е л е г и р о в а н н ы е р а з р е ш е н и я ? К сожалению, команды
д л я о т м е н ы д е л е г и р о в а н и я н е с у щ е с т в у е т . Д л я у д а л е н и я р а з р е ш е н и й следу-
е т и с п о л ь з о в а т ь д и а л о г о в ы е о к н а Д о п о л н и т е л ь н ы е п а р а м е т р ы безопасности
(Advanced S e c u r i t y S e t t i n g s ) и Э л е м е н т р а з р е ш е н и я ( P e r m i s s i o n E n t r y ) . Чтобы
в о с с т а н о в и т ь р а з р е ш е н и я о б ъ е к т о в п о у м о л ч а н и ю , о т к р о й т е д и а л о г о в о е окно
д о п о л н и т е л ь н ы х п а р а м е т р о в б е з о п а с н о с т и и щ е л к н и т е к н о п к у Восстановить
умолчания (Restore Defaults). Р а з р е ш е н и я для класса объекта по умолчанию
определяются с х е м о й Active Directory. П о с л е в о с с т а н о в л е н и я у м о л ч а н и й можно
заново о т к о н ф и г у р и р о в а т ь я в н ы е р а з р е ш е н и я , к о т о р ы е т р е б у е т с я добавить в
с п и с о к D A C L . У т и л и т а Dsacls т о ж е о б е с п е ч и в а е т п е р е к л ю ч а т е л ь / s д л я сброса
р а з р е ш е н и й и в о с с т а н о в л е н и я у м о л ч а н и й , о п р е д е л е н н ы х схемой, а с помо-
щ ь ю п е р е к л ю ч а т е л я / t м о ж н о в н о с и т ь и з м е н е н и я д л я целого дерева объекта
с о в с е м и его д о ч е р н и м и о б ъ е к т а м и . Н а п р и м е р , ч т о б ы с б р о с и т ь р а з р е ш е н и я
п о д р а з д е л е н и я К а д р ы и в с е х его д о ч е р н и х п о д р а з д е л е н и й и объектов, введите
следующую команду:
dsacls "ou=People,dc=contoso,dc=com" /resetDefaultDACL

Действующие разрешения
Действующие разрешения — это результирующие разрешения принципала
безопасности, н а п р и м е р п о л ь з о в а т е л я и л и г р у п п ы , п о л у ч е н н ы е в итоге п р и -
м е н е н и я к а ж д о й у н а с л е д о в а н н о й и я в н о й з а п и с и А С Е . Н а п р и м е р , в а ш е раз-
решение сброса п а р о л е й м о ж е т б ы т ь п о л у ч е н о б л а г о д а р я ч л е н с т в у в группе,
которой н а з н а ч е н о р а з р е ш е н и е С б р о с п а р о л е й ( R e s e t P a s s w o r d ) подразделения,
стоящего н а н е с к о л ь к о у р о в н е й в ы ш е в и е р а р х и и . Э т о у н а с л е д о в а н н о е разре-
шение, н а з н а ч е н н о е г р у п п е , к к о т о р о й вы п р и н а д л е ж и т е , п о л у ч е н о на основе
действующего р а з р е ш е н и я Allow::Reset P a s s w o r d . О п р е д е л е н и е д е й с т в у ю щ и х
р а з р е ш е н и й м о ж е т б ы т ь з а т р у д н е н о изгза с о ч е т а н и я р а з р е ш е н и й и з а п р е т о в
78 Администрирование Глава 2

доступа, явных и унаследованных записей АСЕ и членства во м н о ж е с т в е групп,


каждой из которых могут быть назначены разные р а з р е ш е н и я .
Разрешения, назначаемые учетной записи пользователя и группе, к которой
принадлежит пользователь, равнозначны. Рекомендуется назначать р а з р е ш е н и я
группам, но вы также можете назначать записи АСЕ о т д е л ь н ы м п о л ь з о в а т е л я м
н компьютерам. Непосредственное назначение р а з р е ш е н и я п о л ь з о в а т е л ю не
приведет к тому, что это разрешение получит к а к о й - л и б о п р и о р и т е т п е р е д
разрешением, назначенным группе, в которую входит п о л ь з о в а т е л ь .
Разрешения, подтверждающие право доступа ( р а з р е ш е н и я allow), — н а к о -
пительные. Если вы принадлежите к нескольким группам и им р а з р е ш е н о в ы -
полнять разные задания, вы сможете выполнять все задания, н а з н а ч е н н ы е всем
этим группам, а также назначенные непосредственно в а ш е й у ч е т н о й з а п и с и .
Разрешения, запрещающие доступ ( р а з р е ш е н и я d e n y ) з а м е н я ю т р а в н о -
значные разрешения доступа. Если вы принадлежите к о д н о й г р у п п е , к о т о р о й
разрешено сбрасывать пароли, и к другой, которой это з а п р е щ е н о , в а м т а к ж е
будет запрещено сбрасывать пароли.

ПРИМЕЧАНИЕ Запрет доступа


Обычно необходимости в разрешениях deny нет. Если разрешение доступа попросту
не назначить, пользователь не сможет выполнять задание. Прежде чем запретить
доступ, выясните, можно ли достичь той же цели, удалив разрешения allow. Запрет
доступа следует использовать редко и осторожно.

Каждое разрешение можно добавлять и удалять по о т д е л ь н о с т и . Д а ж е е с л и


вам запрещено сбрасывать пароли, вы, имея другие р а з р е ш е н и я доступа, с м о ж е -
те менять, к примеру, имя входа пользователя и л и адрес э л е к т р о н н о й п о ч т ы .
И, наконец, как мы уже говорили ранее в этой главе, д о ч е р н и е о б ъ е к т ы по
умолчанию наследуют от родительских объектов р а з р е ш е н и я , к о т о р ы е м о ж н о
унаследовать, но явные разрешения могут з а м е н я т ь н а с л е д у е м ы е .
К сожалению, сложное взаимодействие разрешений п о л ь з о в а т е л я , г р у п п ы ,
явных, унаследованных разрешений и запретов доступа может п р е в р а т и т ь опре-
деление действующих разрешений в очень утомительное з а н я т и е . В д и а л о г о в о м
окне Дополнительные параметры безопасности ( A d v a n c e d S e c u r i t y S e t t i n g s )
объекта Active Directory есть вкладка Д е й с т в у ю щ и е р а з р е ш е н и я ( E f f e c t i v e
Permissions), но она практически бесполезна, п о с к о л ь к у не о т о б р а ж а е т д о -
статочно подробную информацию. Оценку д е й с т в у ю щ и х р а з р е ш е н и й м о ж н о
начать с вкладки Разрешения (Permissions) диалогового окна Д о п о л н и т е л ь н ы е
параметры безопасности (Advanced Security Settings) и л и с п о м о щ ь ю и н с т р у -
мента Dsacls, но эту оценку придется выполнять вам самому.

К СВЕДЕНИЮ Управление доступом на основе ролей


Наилучший способ управления делегированием в Active Directory — контроль досту-
па на основе ролей. Хотя эта методика не включена в сертификационный экзамен,
ее стоит изучить для применения в реальной среде.
Занятие 3 Делегирование и безопасность объектов Active Directory 79

Проектирование структуры подразделений


для поддержки делегирования
Подразделения п р е д с т а в л я ю т собой а д м и н и с т р а т и в н ы е контейнеры. О н и содер-
жат объекты с а н а л о г и ч н ы м и т р е б о в а н и я м и а д м и н и с т р и р о в а н и я , конфигурации
и видимости. Мы р а с с м о т р е л и п е р в о е требование: а д м и н и с т р и р о в а н и е . Объек-
ты, а д м и н и с т р и р о в а н и е к о т о р ы х б у д е т п р о и з в о д и т ь с я а н а л о г и ч н о и о д н и м и
администраторами, д о л ж н ы содержаться в одном подразделении. Разместив
п о л ь з о в а т е л е й в о д н о м п о д р а з д е л е н и и К а д р ы , вы м о ж е т е д е л е г и р о в а т ь служ-
б е т е х н и ч е с к о й п о д д е р ж к и р а з р е ш е н и я и з м е н я т ь п а р о л и всех пользователей,
назначив одно р а з р е ш е н и е о д н о м у п о д р а з д е л е н и ю . Все о с т а л ь н ы е р а з р е ш е н и я
д е й с т в и я с о б ъ е к т о м п о л ь з о в а т е л я д л я а д м и н и с т р а т о р а м о ж н о н а з н а ч и т ь в са-
мом п о д р а з д е л е н и и К а д р ы . Н а п р и м е р , в ы м о ж е т е р а з р е ш и т ь отделу к а д р о в
отключать у ч е т н ы е з а п и с и п о л ь з о в а т е л е й п р и у в о л ь н е н и и с л у ж а щ и х . Э т о раз-
решение опять-таки м о ж н о делегировать подразделению Кадры.
П о м н и т е , что а д м и н и с т р а т о р ы д о л ж н ы в х о д и т ь в с в о и с и с т е м ы с учетными
д а н н ы м и п о л ь з о в а т е л я и з а п у с к а т ь а д м и н и с т р а т и в н ы е средства при п о м о щ и
дополнительной учетной записи, располагающей соответствующими приви-
легиями на выполнение заданий администрирования. Эти дополнительные
учетные з а п и с и я в л я ю т с я у ч е т н ы м и з а п и с я м и а д м и н и с т р а т о р о в н а п р е д п р и -
ятии. Группе т е х н и ч е с к о й п о д д е р ж к и не следует сбрасывать пароли таких
п р и в и л е г и р о в а н н ы х у ч е т н ы х з а п и с е й , а р у к о в о д и т е л и отдела кадров не д о л ж н ы
отключать а д м и н и с т р а т и в н ы е учетные записи. Поэтому мы создали отдельное
подразделение А д м и н и с т р а т о р ы д л я объектов административных пользовате-
лей. В этом п о д р а з д е л е н и и д е л е г и р о в а н и е будет в ы п о л н я т ь с я н е с к о л ь к о иначе,
чем в п о д р а з д е л е н и и К а д р ы .
А н а л о г и ч н ы м о б р а з о м в ы м о ж е т е д е л е г и р о в а т ь г р у п п е т е х н и ч е с к о й под-
д е р ж к и п р а в о д о б а в л я т ь о б ъ е к т ы к о м п ь ю т е р о в в п о д р а з д е л е н и е К л и е н т ы , со-
держащее объекты н а с т о л ь н ы х систем и ноутбуков. Право создания объектов
компьютеров и у п р а в л е н и я и м и в п о д р а з д е л е н и и С е р в е р ы следует делегировать
только группе а д м и н и с т р а ц и и серверов.
О с н о в н а я з а д а ч а п о д р а з д е л е н и я ( O U ) — э ф ф е к т и в н о е о п р е д е л е н и е области
д е л е г и р о в а н и я д л я п р и м е н е н и я р а з р е ш е н и я к о б ъ е к т а м и д о ч е р н и м подразде-
лениям. Проектирование Active Directory всегда следует начинать с проекти-
р о в а н и я с т р у к т у р ы п о д р а з д е л е н и й с ц е л ь ю э ф ф е к т и в н о г о д е л е г и р о в а н и я . Эта
структура должна отражать модель у п р а в л е н и я организации. Как правило,
все с т а н д а р т н ы е у ч е т н ы е з а п и с и п о л ь з о в а т е л е й п о д д е р ж и в а ю т с я одинаково с
п о м о щ ь ю о д н о й к о м а н д ы . П о э т о м у о б ъ е к т ы п о л ь з о в а т е л е й часто п о м е щ а ю т с я
в одно п о д р а з д е л е н и е . Д о в о л ь н о ч а с т о о р г а н и з а ц и я р е а л и з у е т ц е н т р а л и з о в а н -
ную с л у ж б у т е х н и ч е с к о й п о д д е р ж к и п о л ь з о в а т е л е й и п о м е щ а е т все объекты
к л и е н т с к и х к о м п ь ю т е р о в в о д н о п о д р а з д е л е н и е . Если же в о р г а н и з а ц и и нет
централизованной службы технической поддержки, подразделение Клиенты
может р а з б и в а т ь с я н а д о ч е р н и е п о д р а з д е л е н и я , п р е д с т а в л я ю щ и е г е о г р а ф и -
ческое р а с п о л о ж е н и е , ч т о б ы д е л е г и р о в а т ь л о к а л ь н ы м г р у п п а м технической
поддержки р а з р е ш е н и е д о б а в л я т ь о б ъ е к т ы к о м п ь ю т е р о в в д о м е н .
gO Администрирование Глава 2

Подразделения следует проектировать в первую очередь д л я э ф ф е к т и в н о г о


делегирования объектов в каталоге. Затем н у ж н о с п о м о щ ь ю г р у п п о в о й п о л и -
тики определить в проекте конфигурацию компьютеров и п о л ь з о в а т е л е й , к а к
описано в главе 6. Проектирование Active Directory — это ц е л о е и с к у с с т в о .

Практические занятия. Делегирование задач


администрирования
В предложенных далее упражнениях вы займетесь д е л е г и р о в а н и е м а д м и н и с -
тративных задач в домене contoso.com и просмотрите п о л у ч е н н ы е и з м е н е н и я
в списках ACL объектов Active Directory. Перед в ы п о л н е н и е м у п р а ж н е н и й
этого занятия вы должны выполнить у п р а ж н е н и я з а н я т и я 2, п о с к о л ь к у вам
потребуется подразделение, созданное на этом з а н я т и и .
Упражнение 1. Делегирование управления и поддержки учетных записей
пользователей
В этом упражнении вы разрешите группе Справка с б р а с ы в а т ь п а р о л и п о л ь з о -
вателей и снимать блокировку учетных записей в п о д р а з д е л е н и и К а д р ы .
1. Войдите на машину SERVER01 как а д м и н и с т р а т о р и о т к р о й т е о с н а с т к у
Active Directory — пользователи и компьютеры ( A c t i v e D i r e c t o r y Users and
Computers).
2. Разверните узел домена contoso.com, щелкните правой к н о п к о й м ы ш и под-
разделение Кадры и примените команду Д е л е г и р о в а н и е у п р а в л е н и я ( D e l e -
gate Control), запуская Мастер делегирования у п р а в л е н и я ( D e l e g a t i o n of
Control Wizard).
3. Щелкните кнопку Далее (Next).
4. На странице Пользователи или группы (Users or G r o u p s ) щ е л к н и т е к н о п к у
Добавить (Add).
5. В диалоговом окне Выбор (Select) введите и м я Справка и щ е л к н и т е О К .
6. Щелкните кнопку Далее (Next).
7. На странице Делегируемые задачи (Tasks to D e l e g a t e ) в ы б е р и т е з а д а ч у
Переустановить пароли пользователей и установить и з м е н е н и е п а р о л я п р и
следующей перезагрузке (Reset User Passwords and Force P a s s w o r d C h a n g e
at Next Logon).
8. Щелкните кнопку Далее (Next).
9. Просмотрите выбранные действия и щелкните к н о п к у Готово ( F i n i s h ) .
Упражнение 2. Просмотр делегированных разрешений
В этом упражнении вы просмотрите разрешения, н а з н а ч е н н ы е д л я п о д р а з д е -
ления Справка.
1. Войдите иа машину SERVER01 как администратор и о т к р о й т е о с н а с т к у
Active Directory — пользователи и компьютеры (Active D i r e c t o r y Users and
Computers).
2. Щелкните правой кнопкой мыши подразделение К а д р ы и п р и м е н и т е ко-
манду Свойства (Properties).
Занятие 3 Делегирование и безопасность объектов Active Directory 81

Вкладка Б е з о п а с н о с т ь ( S e c u r i t y ) не б у д е т о т о б р а ж а т ь с я , е с л и не в к л ю ч е н ы
Дополнительные компоненты (Advanced Features).
3. Щелкните ОК, чтобы закрыть диалоговое окно Свойства (Properties).
4. Щ е л к н и т е м е н ю В и д ( V i e w ) и у с т а н о в и т е ф л а ж о к Д о п о л н и т е л ь н ы е пара-
метры к о м п о н е н т ы ( A d v a n c e d F e a t u r e s ) .
5. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и п о д р а з д е л е н и е К а д р ы и п р и м е н и т е ко-
манду С в о й с т в а ( P r o p e r t i e s ) .
6. П е р е й д и т е на в к л а д к у б е з о п а с н о с т ь ( S e c u r i t y ) .
7. Щелкните кнопку Д о п о л н и т е л ь н о (Advanced).
8. В списке Э л е м е н т ы р а з р е ш е н и й ( P e r m i s s i o n E n t r i e s ) в ы б е р и т е первое раз-
решение, н а з н а ч е н н о е п о д р а з д е л е н и ю С п р а в к а .
9. Щелкните кнопку И з м е н и т ь (Edit).
10. В диалоговом о к н е Э л е м е н т р а з р е ш е н и я ( P e r m i s s i o n E n t r y ) отыщите назна-
ченное р а з р е ш е н и е , а з а т е м щ е л к н и т е О К, ч т о б ы з а к р ы т ь диалоговое окно.
11. Повторите ш а г и 8 - 1 0 , ч т о б ы п р о с м о т р е т ь второе р а з р е ш е н и е подразделения
Справка.
12. П о в т о р и т е ш а г и 2 - 1 1 , ч т о б ы п р о с м о т р е т ь с п и с о к ACL п о л ь з о в а т е л я в под-
разделении К а д р ы и п р о а н а л и з и р о в а т ь у н а с л е д о в а н н ы е разрешения, назна-
ченные п о д р а з д е л е н и ю С п р а в к а .
13. О т к р о й т е о к н о к о м а н д н о й с т р о к и , в в е д и т е dsacls "ow Кадры,dc^contoso,
dc-com" и н а ж м и т е к л а в и ш у E n t e r .
14. П р о с м о т р и т е р а з р е ш е н и я , н а з н а ч е н н ы е п о д р а з д е л е н и ю С п р а в к а .

Резюме
м Д е л е г и р о в а н и е у п р а в л е н и я в A c t i v e D i r e c t o r y п о з в о л я е т о р г а н и з а ц и и на-
значать к о н к р е т н ы е а д м и н и с т р а т и в н ы е з а д а ч и с о о т в е т с т в у ю щ и м подраз-
делениям и отдельным лицам.
• Делегирование представляет собой результат применения разрешений или
з а п и с е й А С Е в с п и с к е D A C L о б ъ е к т о в A c t i v e Directory.
• С п и с о к D A C L м о ж н о п р о с м о т р е т ь и м о д и ф и ц и р о в а т ь в д и а л о г о в о м окне
Д о п о л н и т е л ь н ы е п а р а м е т р ы б е з о п а с н о с т и ( A d v a n c e d Security S e t t i n g s ) , ко-
торое о т к р ы в а е т с я п р и щ е л ч к е к н о п к и Д о п о л н и т е л ь н о ( A d v a n c e d ) в д и а л о -
говом о к н е С в о й с т в а ( P r o p e r t i e s ) о б ъ е к т а .
• Мастер д е л е г и р о в а н и я у п р а в л е н и я ( D e l e g a t i o n of C o n t r o l W i z a r d ) у п р о щ а е т
делегирование задач группам.
• Разрешения объекта м о ж н о сбросить, чтобы восстановить настройки по
умолчанию, в д и а л о г о в о м о к н е Д о п о л н и т е л ь н ы е п а р а м е т р ы б е з о п а с н о с т и
(Advanced S e c u r i t y S e t t i n g s ) и л и п р и п о м о щ и к о м а н д ы Dsacls с п е р е к л ю -
чателем /resetDefaultDACL.
ш Для делегирования управления рекомендуется использовать подразделения
(OU). Объекты в подразделениях наследуют разрешения родительских
подразделений.
82 Администрирование Глава 2

• Наследование для дочернего объекта можно отключить, а м о ж н о и з м е н и т ь ,


назначив дочернему объекту явное разрешение, з а м е н я ю щ е е у н а с л е д о в а н -
ное разрешение.
• Действующие разрешения — это результат п р и м е н е н и я р а з р е ш е н и й п о л ь -
зователя, групп, разрешении и запретов доступа, а т а к ж е у н а с л е д о в а н н ы х и
явных разрешений. Запреты доступа отменяют р а з р е ш е н и я доступа, а я в н ы е
разрешения отменяют унаследованные. Поэтому я в н о е р а з р е ш е н и е д о с т у п а
отменит унаследованный запрет доступа.

Закрепление материала
Следующий вопрос можно использовать д л я п р о в е р к и з н а н и й , п о л у ч е н н ы х на
занятии 3. Этот вопрос есть на сопроводительном к о м п а к т - д и с к е .

ПРИМЕЧАНИЕ Ответы
Ответ на этот вопрос с пояснениями, почему тот или иной вариант ответа правилен
или неверен, вы найдете в разделе «Ответы» в конце книги.

1. Вы хотите разрешить подразделению справки с б р а с ы в а т ь п а р о л и п о л ь з о -


вателей и разблокировать учетные записи п о л ь з о в а т е л е й . К а к о й из и н с -
трументов использовать для этого? (Укажите все в а р и а н т ы . )
A. Мастер делегирования управления ( D e l e g a t i o n of C o n t r o l W i z a r d ) .
Б. Утилита dsacls.
B. Утилита dsutil.
Г. Диалоговое окно Дополнительные параметры б е з о п а с н о с т и ( A d v a n c e d
Security Settings).

Закрепление материала главы


Для того чтобы попрактиковаться и закрепить з н а н и я , п о л у ч е н н ы е п р и и з у ч е -
нии представленного в этой главе материала, вам н е о б х о д и м о :
• ознакомиться с резюме главы;
• ш повторить используемые в главе основные т е р м и н ы ;
• изучить сценарий, в котором описана р е а л ь н а я с и т у а ц и я , т р е б у ю щ а я п р и -
менения полученных знаний, и предложить свое р е ш е н и е ;
• выполнить рекомендуемые упражнения;
• сдать пробный экзамен с помощью тестов.

Резюме главы
• Оснастку Active Directory — пользователи и к о м п ь ю т е р ы ( A c t i v e D i r e c t o r y
Users And Computers), включенную в Диспетчер с е р в е р а ( S e r v e r M a n a g e r )
в виде отдельной консоли, можно использовать д л я д о б а в л е н и я н а с т р а и в а -
емых консолей и распространения их среди а д м и н и с т р а т о р о в .
• При создании объектов в оснастке Active D i r e c t o r y — п о л ь з о в а т е л и и ком-
пьютеры нужно конфигурировать л и ш ь о г р а н и ч е н н ы й н а б о р н а ч а л ь н ы х
параметров. После создания объекта можно з а п о л н и т ь м н о г о д р у г и х пара-
Сценарий 83

метров. Э т и с в о й с т в а и с п о л ь з у ю т с я в с о х р а н е н н ы х запросах д л я с о з д а н и я
настраиваемых представлений объектов предприятия.
• Д л я д е л е г и р о в а н и я п о л н о м о ч и й а д м и н и с т р и р о в а н и я следует и с п о л ь з о в а т ь
подразделения (Organizational Unit), чтобы отделы предприятия играли
соответствующие р о л и в о р г а н и з а ц и и . П р и в к л ю ч е н н о м н а с л е д о в а н ™ объек-
ты наследуют р а з р е ш е н и я своих родительских подразделений.

Основные термины
Запомните перечисленные далее термины, чтобы лучше понять описываемые
концепции.
• Делегирование Н а з н а ч е н и е административной задачи. Делегирование
в Active D i r e c t o r y п р о и з в о д и т с я п у т е м м о д и ф и к а ц и и списка D A C L объекта.
В качестве р а с п р о с т р а н е н н о г о п р и м е р а д е л е г и р о в а н и я м о ж н о привести раз-
решение с л у ж б е т е х н и ч е с к о й п о д д е р ж к и сбрасывать п а р о л и пользователей.
• Сохраненный запрос П р е д с т а в л е н и е о б ъ е к т о в Active D i r e c t o r y на основе
к р и т е р и я п о и с к а . С п о м о щ ь ю у з л а С о х р а н е н н ы е з а п р о с ы (Saved Queries) в
оснастке A c t i v e D i r e c t o r y — п о л ь з о в а т е л и и к о м п ь ю т е р ы (Active D i r e c t o r y
Users And C o m p u t e r s ) м о ж н о у к а з а т ь т и п и с в о й с т в а объектов, к о т о р ы е
т р е б у е т с я н а й т и . Р е з у л ь т а т ы в ы в о д я т с я в п а н е л и с в е д е н и й оснастки.

Сценарий. Подразделения и делегирование


В с л е д у ю щ е м с ц е н а р и и в ы п р и м е н и т е и з у ч е н н у ю и н ф о р м а ц и ю о б оснастках
Active D i r e c t o r y , а т а к ж е с о з д а н и и о б ъ е к т о в , д е л е г и р о в а н и и и безопасности.
О т в е т ы на в о п р о с ы м о ж н о н а й т и в р а з д е л е « О т в е т ы » в к о н ц е книги.
В ы р а б о т а е т е а д м и н и с т р а т о р о м к о м п а н и и C o n t o s o , Ltd. С т р у к т у р а Active
Directory к о м п а н и и б ы л а с о з д а н а , когда она б ы л а е щ е очень мала. Б ы л о создано
одно п о д р а з д е л е н и е д л я п о л ь з о в а т е л е й и о д н о д л я к о м п ь ю т е р о в . В н а с т о я щ е е
в р е м я о р г а н и з а ц и я о х в а т ы в а е т п я т ь г е о г р а ф и ч е с к и х с а й т о в и в н е й работает
более 1000 с л у ж а щ и х . Н а к а ж д о м с а й т е о д и н и л и д в а с о т р у д н и к а обеспечи-
вают т е х н и ч е с к у ю п о д д е р ж к у п о л ь з о в а т е л е й , а т а к ж е о т в е ч а ю т за у с т а н о в к у
с и с т е м и их п р и с о е д и н е н и е к д о м е н у . К р о м е того; и н о г д а н е б о л ь ш а я груп-
па сотрудников в главном о ф и с е устанавливает системы, присоединяет их
к д о м е н у и р а с п р о с т р а н я е т на с а й т . Е с л и п о л ь з о в а т е л ь з а б ы л с в о й пароль,
з в о н о к в с л у ж б у т е х н и ч е с к о й п о д д е р ж к и п е р е в о д и т с я на одного из с о т р у д н и -
ков п е р с о н а л а п о д д е р ж к и н е з а в и с и м о о т с а й т а , где р а с п о л о ж е н п о л ь з о в а т е л ь .
Ответьте н а с л е д у ю щ и е в о п р о с ы р у к о в о д и т е л я , к о т о р ы й ведает у п р а в л я е м о с -
тью и о б е с п е ч е н и е м м и н и м а л ь н о г о у р о в н я п р и в и л е г и й , и о б ъ я с н и т е , к а к уп-
равлять делегированием.
1. О с т а в и т ь ли о б ъ е к т ы к о м п ь ю т е р о в в о д н о м п о д р а з д е л е н и и и л и их следует
распределить по с а й т а м ? В с л у ч а е р а с п р е д е л е н и я д о л ж н ы ли подразделения
сайтов быть д о ч е р н и м и к о н т е й н е р а м и одного родительского подразделения?
2. Д е л е г и р о в а т ь Ли п р а в о у п р а в л е н и я о б ъ е к т а м и к о м п ь ю т е р о в в у з л а х непо-
средственно у ч е т н ы м з а п и с я м п о л ь з о в а т е л е й п е р с о н а л а т е х н и ч е с к о й под-
д е р ж к и и л и все ж е л у ч ш е с о з д а т ь г р у п п ы , д а ж е е с л и о н и будут с о д е р ж а т ь
по одному ч л е н у ?
84 Администрирование Глава 2

3. Распределить ли пользователей в соответствии с с а й т а м и и л и все же оста-


вить их в одном подразделении?

Практические задания
Чтобы успешно подготовиться к с е р т и ф и к а ц и о н н о м у э к з а м е н у , в ы п о л н и т е
следующие задания.

Поддержка учетных записей Active Directory


В этом задании вы проверите успех делегирования и в ы я с н и т е , ч т о п р о и з о й -
дет, если администратор попытается выполнить задание, к о т о р о е не б ы л о ему
делегировано. Вы также проанализируете результаты н а с л е д о в а н и я и з а щ и т у
подразделения.
Перед выполнением этих упражнений нужно в ы п о л н и т ь у п р а ж н е н и я за-
нятий 2 и 3. В частности, проверьте следующее.
• Подразделение Администраторы должно содержать у ч е т н у ю з а п и с ь п о л ь -
зователя и группу Справка.
• Должна быть учетная запись для Барбары М а й е р и х о т я бы о д н а у ч е т н а я
запись в подразделении Кадры.
• Пользователю Барбаре Майер следует быть ч л е н о м г р у п п ы С п р а в к а .
• Группе Справка должны быть делегированы р а з р е ш е н и я П е р е у с т а н о в и т ь
пароли пользователей и установить изменение п а р о л я п р и с л е д у ю щ е й пе-
резагрузке (Reset User Passwords and Force Password C h a n g e at N e x t L o g o n )
для подразделения Кадры.
Кроме того, необходимо, чтобы группа Пользователи домена ( D o m a i n Users)
была членом группы Операторы печати ( P r i n t O p e r a t o r s ) , к о т о р а я н а х о д и т с я
в контейнере Builtin, с тем чтобы все пользователи в у ч е б н о м д о м е н е м о г л и
входить на контроллер домена S E R V E R 0 1 . Это т р е б у е т с я д л я в ы п о л н е н и я
практических занятий настоящего руководства, но р а з р е ш а т ь п о л ь з о в а т е л я м
входить на контроллеры домена в производственной среде н е л ь з я . П о э т о м у
в производственной среде не следует включать г р у п п у П о л ь з о в а т е л и д о м е н а
в группу Операторы печати.
• Упражнение 1 Войдите на машину S E R V E R 0 1 к а к п о л ь з о в а т е л ь Б а р б а -
ра Майер (она входит в группу Справка). Убедитесь, что Б а р б а р а м о ж е т
сбрасывать пароли других пользователей и с о б с т в е н н ы й п а р о л ь в п о д -
разделении Кадры. Затем попытайтесь и з м е н и т ь п а р о л ь у ч е т н о й з а п и с и
в подразделении Администраторы. Проанализируйте результат.
• Упражнение 2 Войдите на машину S E R V E R 0 1 как А д м и н и с т р а т о р ( A d -
ministrator). В подразделении Кадры создайте новое п о д р а з д е л е н и е Ф и л и -
ал. При создании подразделения Ф и л и а л проверьте, у с т а н о в л е н ли ф л а ж о к
Защитить контейнер от случайного удаления ( P r o t e c t C o n t a i n e r F r o m Acci-
dental Deletion). В конце занятия вы удалите это подразделение. С о з д а й т е в
этом подразделении учетную запись пользователя. О т к р о й т е с п и с о к D A C L
объекта пользователя в диалоговом окне Д о п о л н и т е л ь н ы е п а р а м е т р ы бе-
зопасности (Advanced Security Settings). Просмотрите разрешения, ШЗПсГ
Пробный экзамен 85

ченные п о д р а з д е л е н и ю С п р а в к а : о и и я в н ы е и л и у н а с л е д о в а н н ы е ? Е с л и эти
р а з р е ш е н и я у н а с л е д о в а н ы , то о т к у д а ? В д и а л о г о в о м о к н е Д о п о л н и т е л ь н ы е
параметры б е з о п а с н о с т и о т к р о й т е с п и с о к D A C L п о д р а з д е л е н и я Ф и л и а л .
Сбосьте ф л а ж о к Д о б а в и т ь р а з р е ш е н и я , н а с л е д у е м ы е о т р о д и т е л ь с к и х объ-
ектов ( I n c l u d e I n h e r i t a b l e P e r m i s s i o n s F r o m T h i s O b j e c t ' s P a r e n t ) .
Выйдите из системы и вновь войдите как пользователь Барбара Майер.
Убедитесь, что Б а р б а р а м о ж е т с б р о с и т ь п а р о л ь п о л ь з о в а т е л я в подразделе-
нии Кадры. П о с л е этого п о п ы т а й т е с ь с б р о с и т ь этот п а р о л ь в подразделении
Филиал. В доступе будет отказано.
Выйдите из с и с т е м ы и в н о в ь в о й д и т е к а к администратор. Устраните ошибку
доступа Барбары, восстановив наследование для подразделения Филиал.
Выйдите из с и с т е м ы и в н о в ь войдите к а к пользователь Барбара, чтобы
п р о в е р и т ь результат. М о ж е т л и о н а с б р о с и т ь п а р о л ь п о л ь з о в а т е л я в под-
разделении Ф и л и а л ?
• Упражнение 3 В о й д и т е на м а ш и н у S E R V E R 0 1 к а к п о л ь з о в а т е л ь Барбара
Майер. П о п ы т а й т е с ь у д а л и т ь п о д р а з д е л е н и е Ф и л и а л . В доступе будет отка-
зано. В ы й д и т е из с и с т е м ы и в н о в ь в о й д и т е к а к администратор. Попытайтесь
удалить п о д р а з д е л е н и е Ф и л и а л . В д о с т у п е будет отказано. О т к р о й т е свойс-
тва п о д р а з д е л е н и я Ф и л и а л . П е р е й д и т е н а в к л а д к у О б ъ е к т ( O b j e c t ) . Если
эта в к л а д к а н е о т о б р а ж а е т с я , в к л ю ч и т е п р е д с т а в л е н и е Д о п о л н и т е л ь н ы е
к о м п о н е н т ы ( A d v a n c e d F e a t u r e s ) в о с н а с т к е Active D i r e c t o r y — пользова-
т е л и и к о м п ь ю т е р ы ( A c t i v e D i r e c t o r y U s e r s And C o m p u t e r s ) . Н а в к л а д -
к е О б ъ е к т с н и м и т е з а щ и т у п о д р а з д е л е н и я Ф и л и а л . И , наконец, у д а л и т е
подразделение Ф и л и а л вместе с с о д е р ж а щ е й с я в нем учетной записью
пользователя.

Пробный экзамен
На прилагаемом к книге к о м п а к т - д и с к е представлено несколько вариантов
т р е н и р о в о ч н ы х тестов. П р о в е р к а з н а н и й в ы п о л н я е т с я и л и т о л ь к о п о одной теме
с е р т и ф и к а ц и о н н о г о э к з а м е н а 7 0 - 6 4 0 , и л и п о в с е м э к з а м е н а ц и о н н ы м темам.
Т е с т и р о в а н и е м о ж н о о р г а н и з о в а т ь т а к и м о б р а з о м , ч т о б ы о н о п р о в о д и л о с ь как
экзамен, л и б о н а с т р о и т ь н а р е ж и м о б у ч е н и я . В п о с л е д н е м с л у ч а е в ы сможете
после каждого своего ответа на в о п р о с просматривать правильные ответы
и пояснения.

ПРИМЕЧАНИЕ Пробный экзамен


Подробнее о пробном экзамене рассказано во введении к данной книге.
Г Л А В А 3

Пользователи

Занятие 1. Автоматизация процесса создания учетных записей пользователей 87


Занятие 2. Создание пользователей с помощью Windows PowerShell и VBScript 98
Занятие 3. Поддержка пользовательских объектов и учетных записей 114

В главе 1 доменные службы Active Directory AD DS ( A c t i v e D i r e c t o r y D o m a i n


Services) представлены как решения, с в я з а н н ы е с и д е н т и ф и к а ц и е й и д о с т у -
пом. Учетные записи пользователей, которые х р а н я т с я в к а т а л о г е , я в л я ю т с я
основополагающими компонентами процесса и д е н т и ф и к а ц и и . П о э т о м у з н а -
ние принципов выполнения задач, связанных с п о д д е р ж к о й у ч е т н ы х з а п и с е й
пользователей, играет очень важную роль в у с п е ш н о м а д м и н и с т р и р о в а н и и
предприятия. '
Навыки, необходимые для создания и м о д и ф и к а ц и и о т д е л ь н о й "учетной
записи, описаны в главе 2. Однако эти методы могут о к а з а т ь с я н е э ф ф е к т и в -
ными при работе с большим количеством учетных з а п и с е й , в ч а с т н о с т и п р и
создании учетных записей новых служащих.
В настоящей главе речь пойдет о п р и м е н е н и и р а з л и ч н ы х с р е д с т в и т е х н о -
логий для автоматизации процесса создания п о л ь з о в а т е л е й и у п р а в л е н и я и м и ,
а также для локализации объектов пользователей и в ы п о л н е н и я м а н и п у л я ц и й
с их атрибутами. Кроме того, вы ознакомитесь с командной о б о л о ч к о й M i c r o s o f t
Windows PowerShell, которая в будущем будет и с п о л ь з о в а т ь с я т е х н о л о г и я м и
Windows для автоматизации администрирования с п о м о щ ь ю к о м а н д н о й строки.
Также будут рассмотрены различные в а р и а н т ы в ы п о л н е н и я всех р а с п р о с т р а -
ненных административных задач.
На сертификационном экзамене требуется л и ш ь з н а н и е о с н о в н о г о с и н т а к -
сиса и назначения утилит командной строки, W i n d o w s P o w e r S h e l l и M i c r o s o f t
Visual Basic Script (VBScript). Однако в данной главе д а е т с я б о л е е о б ш и р н о е
введение в основы сценариев и автоматизации. П о п р а к т и к о в а в ш и с ь в с о з д а н и и
сценариев, вы сможете не только качественно п о д г о т о в и т ь с я к с е р т и ф и к а ц и -
онному экзамену, но и повысить свои навыки в а в т о м а т и з а ц и и у т о м и т е л ь н ы х
административных задач и, соответственно, э ф ф е к т и в н о с т ь с в о е й р а б о т ы .
Темы экзамена:
• Создание и поддержка объектов Active Directory.
• Автоматизация создания учетных записей Active Directory.
• Поддержка учетных записей Active Directory.
g-f
Занятие 1 Автоматизация процесса создания учетных записей пользователей

Прежде всего
Д л я в ы п о л н е н и я у п р а ж н е н и й в э т о й главе н у ж е н к о н т р о л л е р S E R V E R 0 1 до-
мена contoso.com. С о з д а н и е д о м е н а и к о н т р о л л е р а д о м е н а описано в главе 1.

История из ж и з н и
Дэн Холме
Администраторы Windows тратят очень много времени на выполнение базовых
задач, связанных с объектами пользователей. Каждый день в корпоративной сети
нужно решать множество проблем, связанных с управлением пользователями.
Служащие приходят в организацию, перемещаются из отдела в отдел, женятся
или выходят замуж, разводятся и, в конце концов, покидают компанию. Адми-
нистраторы — тоже люди и могут допускать ошибки, например забывать пароли
или некорректными действиями блокировать свои учетные записи.
Администраторы должны реагировать не все эти изменения, а пользователь-
ские учетные записи обладают таким количеством свойств, что даже опытные
администраторы часто нарушают собственноручно установленные процедуры и
соглашения. Я уверен, что ключом к обеспечению эффективных, согласованных
и безопасных пользовательских сред служит повышение навыков администра-
торов.

Занятие 1. Автоматизация процесса создания


учетных записей пользователей
В г л а в е 2 мы о б с у ж д а л и , к а к с о з д а т ь у ч е т н у ю з а п и с ь пользователя в оснастке
A c t i v e D i r e c t o r y — п о л ь з о в а т е л и и к о м п ь ю т е р ы ( A c t i v e D i r e c t o r y Users and
C o m p u t e r s ) . П о с к о л ь к у о п и с а н н ы е там п р о ц е д у р ы м о ж н о применять для созда-
н и я н е б о л ь ш о г о ч и с л а п о л ь з о в а т е л е й , в а м п о т р е б у ю т с я расширенные техноло-
г и и д л я а в т о м а т и з а ц и и п р о ц е с с а с о з д а н и я у ч е т н ы х записей пользователей при
д о б а в л е н и и з н а ч и т е л ь н о г о к о л и ч е с т в а пользователей в домен. На этом занятии
в ы и з у ч и т е н е к о т о р ы е п р е д н а з н а ч е н н ы е д л я этого технологии.

Изучив материал этого занятия, вы сможете:


•S Создавать пользователей с помощью шаблонов пользовательских учетных
записей.
S Импортировать пользователей с помощью утилиты CSVDE.
S Импортировать пользователей с помощью утилиты LDIFDE.
Продолжительность занятия — около 30 мин.

Создание пользователей с помощью шаблонов


П о л ь з о в а т е л и в д о м е н е ч а с т о о б л а д а ю т с х о д н ы м и свойствами. Н а п р и м е р , все
м е н е д ж е р ы по п р о д а ж а м могут п р и н а д л е ж а т ь к о д н и м группам безопасности,
в х о д и т ь в с е т ь п р и м е р н о в о д н о и то же рабочее в р е м я , х р а н и т ь д о м а ш н и е
п а п к и и п е р е м е щ а е м ы е п р о ф и л и н а о д н о м сервере. П о э т о м у п р и с о з д а н и и
н о в о г о п о л ь з о в а т е л я , в м е с т о того ч т о б ы с о з д а в а т ь п у с т у ю у ч е т н у ю з а п и с ь
88 Пользователи Глава 3

и задавать каждое свойство, можно скопировать с у щ е с т в у ю щ у ю у ч е т н у ю за-


пись пользователя.
Со времен Windows NT 4.0 системы Windows п о д д е р ж и в а л и к о н ц е п ц и ю
шаблонов учетных записей пользователей. Шаблон учетной записи пользова-
теля — это типовая учетная запись, предварительно з а п о л н е н н а я о с н о в н ы м и
свойствами. Например, вы можете создать ш а б л о н н у ю у ч е т н у ю з а п и с ь д л я
менеджеров по продажам, которая предварительно з а п о л н е н а п а р а м е т р а м и
членства в группах, времени входа в систему, д о м а ш н е й п а п к и и п у т е й к пе-
ремещаемому профилю.

ПРИМЕЧАНИЕ Отключение шаблонных учетных записей


Шаблонную учетную запись нельзя использовать для входа в сеть, поэтому ее сле-
дует отключить.

Чтобы создать учетную запись пользователя на о с н о в е ш а б л о н а , в к о н -


текстном меню выберите команду Копировать ( С о р у ) . Когда о т к р о е т с я мас-
тер Копировать объект — Пользователь ( C o p y O b j e c t — U s e r W i z a r d ) , в а м
потребуется ввести имя, имя входа и пароль д л я нового п о л ь з о в а т е л я . М н о г и е
свойства шаблона копируются в новую учетную запись п о л ь з о в а т е л я . П о с л е
создания учетной записи пользователя ее свойства м о ж н о п р о с м о т р е т ь на
вкладках диалогового окна Свойства (Properties). Н е к о т о р ы е из э т и х в к л а д о к
и свойств описаны далее.
• Общие (General) Свойства на вкладке О б щ и е не к о п и р у ю т с я .
• Адрес (Address) Почтовый ящик, город, область и л и к р а й , п о ч т о в ы й и н -
декс, а также страна или регион. Отметим, что адрес у л и ц ы не к о п и р у е т с я .
• Учетная запись (Account) Время входа, рабочие с т а н ц и и д л я входа, па-
раметры учетной записи и срок действия учетной з а п и с и .
• Профиль (Profile) Путь к профилю, с ц е н а р и й входа, д о м а ш н я я п а п к а
и путь к диску домашней папки.
• Организация (Organization) Отдел, о р г а н и з а ц и я и р у к о в о д и т е л ь .
• Член групп (Member Of) Членство в группах и о с н о в н а я г р у п п а .

ПРИМЕЧАНИЕ Дополнительные свойства учетных записей пользователей


Пользовательские учетные записи обладают дополнительными свойствами, которые
не отображаются на стандартных вкладках оснастки Active Directory — пользователи
и компьютеры (Active Directory Users and Computers). Среди этих скрытых атрибу-
тов есть такие полезные свойства, как assistant, division, employee type и employeelD.
Для их просмотра в оснастке Active Directory — пользователи и компьютеры щел-
кните меню Вид (View) и установите флажок Дополнительные компоненты (Ad-
vanced Features). Затем откройте свойства учетной записи пользователя и перейдите
на вкладку Редактор атрибутов (Attribute Editor). Некоторые из этих атрибутов,
включая assistant, division и employeeType, также копируются из шаблона в новую
учетную запись.
g-f
Занятие 1 Автоматизация процесса создания учетных записей пользователей

Что, если к о п и р о в а н и я н е д о с т а т о ч н о
Многие администраторы считают список копируемых атрибутов несколько огра-
ниченным. Например, вам может потребоваться скопировать название задания
и .адрес улицы. Вы можете модифицировать схему Active Directory и вклю-
чить дополнительные атрибуты при дублировании пользователя. Инструкции
можно найти в статье 827832 базы знаний по адресу http://support.microsoft.
com/kb/827832.
Тем не менее в вашем распоряжении будут расширенные методы автомати-
зации процесса создания учетных записей пользователей. Позже в этой главе
мы обсудим принципы использования команд служб каталогов (DS), Comma-
Separated Values Data Exchange ( C S V D E ) , L D A P Data Interchange Format Data
Exchange ( L D I F D E ) и Windows PowerShell для автоматизации административ-
ных задач. С помощью этих инструментов можно обеспечить полный контроль
над процессом создания новой учетной записи.

Инструменты командной строки Active Directory


В главе 2 мы о п и с а л и и н с т р у м е н т Dsquery.exe, к о т о р ы й в х о д и т в н а б о р у т и л и т
к о м а н д н о й с т р о к и A c t i v e D i r e c t o r y , н а з ы в а е м ы й командами DS. В W i n d o w s
Server 2008 п о д д е р ж и в а ю т с я с л е д у ю щ и е к о м а н д ы D S .
• Dsadd Создает объект в каталоге.
• Dsget В о з в р а щ а е т у к а з а н н ы е а т р и б у т ы объекта.
• Dsmod М о д и ф и ц и р у е т у к а з а н н ы е а т р и б у т ы объекта.
• Dsmove Перемещает объект в н о в ы й контейнер или подразделение.
• Dsrm У д а л я е т о б ъ е к т и все его д о ч е р н и е о б ъ е к т ы .
• Dsquery В ы п о л н я е т з а п р о с на о с н о в е п а р а м е т р о в , у к а з а н н ы х в команд-
ной строке, и в о з в р а щ а е т с п и с о к о б ъ е к т о в с а н а л о г и ч н ы м и п а р а м е т р а м и .
По у м о л ч а н и ю р е з у л ь т и р у ю щ и й набор содержит отличительные имена
DN (Distinguished N a m e ) каждого объекта, однако вы можете использо-
вать п а р а м е т р -о с т а к и м и м о д и ф и к а т о р а м и , к а к dn, rdn, ирп и л и samid,
д л я п о л у ч е н и я р е з у л ь т а т о в с и м е н а м и D N , о т н о с и т е л ь н ы м и и м е н а м и DN,
о с н о в н ы м и и м е н а м и п о л ь з о в а т е л е й U P N и л и и м е н а м и входа п р е д ы д у щ и х
в е р с и й W i n d o w s ( и д е н т и ф и к а т о р ы д и с п е т ч е р а б е з о п а с н о с т и у ч е т н ы х за-
писей S A M ) .
Б о л ь ш и н с т в о к о м а н д D S п р и н и м а ю т д в а м о д и ф и к а т о р а после самой коман-
ды: т и п о б ъ е к т а и и м я D N о б ъ е к т а . Н а п р и м е р , с л е д у ю щ а я к о м а н д а д о б а в л я е т
учетную запись пользователя Mike Fitzmaurice:
dsadd user "cn=Mike Fitzmaurice,ou=People,dc=contoso,dc=com"

С р а з у п о с л е к о м а н д ы у к а з ы в а е т с я т и п о б ъ е к т а user. П о с л е т и п а о б ъ е к т а
в в о д и т с я и м я D N о б ъ е к т а . Е с л и в и м е н и D N о б ъ е к т а есть п р о б е л ы , з а к л ю ч и т е
D N в к а в ы ч к и . С л е д у ю щ а я к о м а н д а у д а л я е т того ж е п о л ь з о в а т е л я :
dsrm user "cn=Mike Fitzmaurice, ou=People,dc-contoso,dc=com"
90 Пользователи Глава 3

Для чтения или манипуляций с атрибутами объектов и с п о л ь з у ю т с я D S - K O -


манды Dsquery.exe, Dsget.exe и Dsmod.exe. Чтобы указать атрибут, в к л ю ч и т е его
в качестве параметра после имени DN объекта. Например, с л е д у ю щ а я к о м а н д а
извлекает путь к домашней папке пользователя Mike Fitzmaurice:
dsget user "cn=Mike Fitzmaurice.ou=People,dc=contoso,dc=com" -hmdir
Параметр DS-команды, представляющий т а к о й атрибут, как, н а п р и м е р ,
hmdir, не всегда соответствует имени атрибута в оснастке Active D i r e c t o r y —
пользователи и компьютеры или схеме.

Создание пользователей с помощью команды Dsadd


Для создания объектов в Active Directory используется команда Dsadd. К о м а н д а
DSADD USER UserDN создает объект пользователя и п р и н и м а е т п а р а м е т р ы ,
указывающие его свойства. Следующая команда с о д е р ж и т п а р а м е т р ы , необ-
ходимые для создания учетной записи пользователя:
dsadd user "User DH~ -samid pre-Windows 2000 logon name
-pwd (Password | •) -mustchpwd yes
Параметр pwd определяет пароль. Если указать с и м в о л з в е з д о ч к и (*), будет
предложено ввести пароль пользователя. Параметр mustchpwd у к а з ы в а е т , ч т о
пользователь должен изменить свой пароль при с л е д у ю щ е м в х о д е в систему.
Команда DSADD USER принимает много параметров со с в о й с т в а м и о б ъ е к т а
пользователя. Большинство названий параметров очевидны, н а п р и м е р -email,
-profiler -company. Вы можете получить соответствующую и н ф о р м а ц и ю , в в е д я
команду DSADD USER/? или выполнив поиск в центре с п р а в к и и п о д д е р ж к и
Windows Server 2008.
Специальный маркер $usemame$ представляет и д е н т и ф и к а т о р S A M в зна-
чениях параметров -email, -hmdir, -profile и -webpg. Н а п р и м е р , ч т о б ы о т к о н -
фигурировать домашнюю папку пользователя при с о з д а н и й п о л ь з о в а т е л ь с к о й
учетной записи с помощью команды DSADD USER, добавьте с л е д у ю щ и й па-
раметр:
-hmdir \\server01\users\$username$\documents

Импорт пользователей с помощью команды CSVDE


Утилита командной строки CSVDE импортирует и экспортирует о б ъ е к т ы Active
Directory в виде текстового файла с разделительными з а п я т ы м и ( т е к с т о в ы й
файл разделенных запятыми значений или ф а й л ..csv). Ф а й л ы с р а з д е л и т е л ь -
ными запятыми можно создавать, модифицировать и о т к р ы в а т ь с п о м о щ ь ю
таких инструментов, как Блокнот (Notepad) и M i c r o s o f t Office Excel. У т и л и т а
CSVDE обеспечивает способ автоматизации создания у ч е т н ы х з а п и с е й п о л ь з о -
вателей на основе информации пользователей из баз д а н н ы х Excel и M i c r o s o f t
Office Access.
Далее приведен базовый синтаксис команды CSVDE:
csvde [ - i ] [ - f ит_файла] [-k]
Занятие 1 Автоматизация процесса создания учетных записей пользователей g-f

Параметр i у к а з ы в а е т р е ж и м и м п о р т а . Е с л и не у к а з а т ь этот п а р а м е т р , по
у м о л ч а н и ю к о м а н д а CSVDE б у д е т и с п о л ь з о в а т ь р е ж и м экспорта. П а р а м е т р - /
и д е н т и ф и ц и р у е т и м я ф а й л а д л я и м п о р т а и л и экспорта. П а р а м е т р - k у д о б н о
и с п о л ь з о в а т ь д л я о п е р а ц и й и м п о р т а , п о с к о л ь к у он у к а з ы в а е т к о м а н д е CSVDE
игнорировать ошибки.
К о м а н д а и м п о р т и р у е т т е к с т о в ы й ф а й л с р а з д е л и т е л ь н ы м и з а п я т ы м и (.csv
или .txt), в котором первая строка определяет атрибуты импорта с помощью
и х имен L D A P ( L i g h t w e i g h t D i r e c t o r y Access P r o t o c o l ) . К а ж д ы й объект пред-
ставлен одной с т р о к о й и д о л ж е н с о д е р ж а т ь а т р и б у т ы , п е р е ч и с л е н н ы е в п е р в о й
строке. Д а л е е п р и в е д е н п р и м е р т а к о г о ф а й л а :
DN,objectClass, sAMAccountName,sn.givenName,userPrincipalName
"cn=Lisa Andrews, ou=People, d c = c o n t o s o , d c = c o m " , u s e r , l i s a . a n d r e w s ,
Lisa,Andrews, l i s a . a n d rews@contoso.com\
П р и и м п о р т е э т о г о ф а й л а с п о м о щ ь ю к о м а н д ы CSVDE в п о д р а з д е л е н и и
People ( Л ю д и ) с о з д а е т с я о б ъ е к т п о л ь з о в а т е л я Lisa A n d r e w s . Ф а й л к о н ф и г у р и -
рует и м я и ф а м и л и ю п о л ь з о в а т е л я . К о м а н д у CSVDE н е л ь з я и с п о л ь з о в а т ь д л я
и м п о р т а п а р о л е й , а б е з п а р о л я у ч е т н а я з а п и с ь и з н а ч а л ь н о будет отключена.
После сброса п а р о л я м о ж н о в к л ю ч и т ь объект.
В г л а в а х 4 и 5 мы и с п о л ь з у е м к о м а н д у CSVDE д л я и м п о р т а компьютеров
и групп. Более п о д р о б н у ю и н ф о р м а ц и ю о ней, в том числе о параметрах и
п р и н ц и п а х и с п о л ь з о в а н и я д л я э к с п о р т а о б ъ е к т о в каталога, м о ж н о получить,
введя к о м а н д у csvde /? и л и в о с п о л ь з о в а в ш и с ь с п р а в к о й и п о д д е р ж к о й W i n -
dows Server 2008.

Импорт пользователей с помощью команды LDIFDE


С п о м о щ ь ю к о м а н д ы Ldifde.exe м о ж н о и м п о р т и р о в а т ь и э к с п о р т и р о в а т ь объек-
ты Active D i r e c t o r y , в т о м ч и с л е и п о л ь з о в а т е л е й . Д л я в ы п о л н е н и я г р у п п о в ы х
операций с к а т а л о г а м и , с о о т в е т с т в у ю щ и м и с т а н д а р т а м LDAP, м о ж н о использо-
вать с т а н д а р т И н т е р н е т а ф а й л о в о г о ф о р м а т а L D I F ( L i g h t w e i g h t D i r e c t o r y Ac-
cess P r o t o c o l D a t a I n t e r c h a n g e F o r m a t ) . Ф о р м а т L D I F п о д д е р ж и в а е т о п е р а ц и и
и м п о р т а и э к с п о р т а , а т а к ж е г р у п п о в ы е о п е р а ц и и , м о д и ф и ц и р у ю щ и е объекты
в каталоге. К о м а н д а LDIFDE р е а л и з у е т э т и г р у п п о в ы е о п е р а ц и и с п о м о щ ь ю
ф а й л о в LDIF.
Ф а й л о в ы й ф о р м а т L D I F с о с т о и т и з б л о к а строк, к о т о р ы е в м е с т е образуют
одну о п е р а ц и ю . О п е р а ц и и в о д н о м ф а й л е р а з д е л е н ы п у с т о й с т р о к о й . К а ж -
д а я строка, с о с т а в л я ю щ а я о п е р а ц и ю , с о д е р ж и т и м я а т р и б у т а , п о с л е которого
следуют двоеточие и з н а ч е н и е атрибута. П р е д п о л о ж и м , что вам требуется
импортировать объекты пользователей д л я двух менеджеров по продажам,
Эприл Стюарт и Тони Крайней. Содержимое ф а й л а L D I F может быть при-
мерно т а к и м :
ON: CN=3npnn Стюарт,СШ=Кадры,DC=contoso,DC=com
changeType: add
CN: Эприл Стюарт
92 Пользователи Глава 3

objectClass: user
sAMAccountName: april.Stewart
userPrincipalName: april.stewart@contoso.com
givenName: Эприл
sn: Стоарт
displayName: Стоарт. Эприл
mail: april.stewart§contoso.com
description: Менеджер no продажам США
t i t l e : Менеджер no продажам
department: Продажи
company: Contoso. Ltd.

DN: CN=TOHH Крайней,01)=Кадры, DC=Contoso.DC=Com


changeType: add
CN: Тони Крайней
objectClass: user
sAHAccountNaee: tony.krijnen
userPrincipalName: tony.krijnengcontoso.com
givenName: Тони
sn: Крайней
displayNane: Крайней, Тони
mail: tony.krijnengcontoso.com
description: Менеджер no продажам Нидерланды
title: Менеджер no продажам
department: Продажи
соврапу: Contoso, Ltd.

Каждая операция начинается с атрибута DN объекта, к о т о р ы й я в л я е т с я


целью операции. Следующая строка changeType у к а з ы в а е т т и п о п е р а ц и и : add,
modify или delete.
Файловый формат LDIF не настолько очевиден и п о н я т е н , к а к т е к с т о в ы й
с разделительными запятыми. Тем не менее, п о с к о л ь к у ф о р м а т L D I F т а к ж е
является стандартом, многие службы каталогов и б а з ы д а н н ы х могут э к с п о р -
тировать файлы LDIF.
После создания или получения файла L D I F команду LDIFDE м о ж н о и с п о л ь -
зовать для выполнения операций, указанных в файле. Д л я п о л у ч е н и я с в е д е н и й
о синтаксисе и методах использования в командную строку в в е д и т е к о м а н д у
Idifde/?. Далее описаны два самых важных п е р е к л ю ч а т е л я к о м а н д ы L D I F D E .
• -;' Включает режим импорта. Без этого параметра к о м а н д а LDIFDE в ы -
полняет экспорт информации.
• -/ имя_файла Файл для импорта или экспорта.
Так, следующая команда импортирует объекты из ф а й л а Newusers.ldf:
Idifde -i -f newusers.ldf

Эта команда принимает множество модификаций с п о м о щ ь ю п а р а м е т р о в ,


самые удобные из которых описаны в табл. 3-1.
g-f
Занятие 1 Автоматизация процесса создания учетных записей пользователей

Табл. 3-1. Параметры LDIFDE


Команда Применение
Общие параметры
-1 Режим импорта (по умолчанию используется режим экспорта)
-/имя_файла Импорт или экспорт указанного файла
-s имя_сервера Контроллер домена, привязываемый к запросу
-5 FromDN ToDN Преобразует вхождения FromDN в ToDN. Например, этот параметр
удобно использовать при импорте объектов из еще одного домена
-v Включает режим подробной информации Verbose
-j путь Расположение файла журнала
-? Справка
Параметры экспорта
-d RootDN Корень поиска LDAP. По умолчанию им является корень домена
-гFilter Фильтр поиска LDAP. По умолчанию используется фильтр
(objectClass=*), означающий все объекты
-р SearchScope Область или глубина поиска. Для области поиска можно указать
значение subtree (контейнер со всеми дочерними контейнерами),
base (только непосредственные дочерние объекты контейнера) и
onelevel (контейнер и все его непосредственные дочерние объекты)
-I list Список атрибутов с разделительными запятыми, который будет
включен в экспорт результирующих объектов. Этот параметр удоб-
но использовать для экспорта ограниченного числа атрибутов
-о list Список атрибутов (разделенных запятыми), которые не будут вклю-
чены в экспорт результирующих объектов. Этот параметр удобно
использовать для экспорта всех атрибутов, за исключением лишь
некоторых
Атрибуты импорта
-k Игнорирует ошибки и продолжает обработку в случае возникнове-
ния ошибок Constraint Violation и Object Already Exists

СОВЕТ К Э К З А М Е Н У
Для сдачи с е р т и ф и к а ц и о н н о г о экзамена 7 0 - 6 4 0 нужно понимать, что команды
CSVDE и LDIFDE могут импортировать и экспортировать объекты, используя со-
ответствующие файловые форматы. Обе команды по умолчанию работают в режиме
экспорта и требуют параметр -i для указания режима импорта. Только команда
LDIFDE может модифицировать существующие объекты и удалять их. Ни одна из
этих команд не позволяет импортировать пароль пользователя. Только команда
Dsadd поддерживает назначение пароля. В случае импорта пользователей с помощью
команды CSVDE или LDIFDE учетные записи будут отключены, пока вы не сбросите
их пароли и не включите эти учетные записи.

Практические занятия. Автоматизация создания учетных


записей пользователей
В процессе в ы п о л н е н и я п р е д л о ж е н н ы х д а л е е у п р а ж н е н и й в ы с о з д а д и т е учет-
ные з а п и с и п о л ь з о в а т е л е й с п о м о щ ь ю а в т о м а т и з и р о в а н н ы х методов, к о т о р ы е
94 Пользователи Глава 3

были рассмотрены на этом занятии. Для этого необходимы с л е д у ю щ и е о б ъ е к т ы


в домене contoso.com:
• подразделение первого уровня Кадры;
• подразделение первого уровня Группы;
• глобальная группа безопасности Продажи в п о д р а з д е л е н и и Группы.
Упражнение 1. Создание пользователей с помощью ш а б л о н а
пользовательской учетной записи
В этом упражнении вы создадите для менеджеров по п р о д а ж а м ш а б л о н п о л ь -
зовательской учетной записи, предварительно з а п о л н е н н ы й с в о й с т в а м и . З а т е м
вы создадите учетную запись пользователя д л я нового менеджера по п р о д а ж а м ,
скопировав шаблон пользовательской учетной записи.
1. Войдите на машину SERVER01 как администратор.
2. Откройте оснастку Active Directory — п о л ь з о в а т е л и и к о м п ь ю т е р ы ( A c t i v e
Directory Users and Computers) и разверните у з е л д о м е н а .
3. Щелкните правой кнопкой мыши подразделение К а д р ы , в ы б е р и т е о п ц и ю
Создать (New) и примените команду Пользователь ( U s e r ) .
4. В поле Имя (First Name) введите имя _Продажи с с и м в о л о м п о д ч е р к и в а н и я .
5. В поле Фамилия (Last Name) введите имя Шаблон.
6. В поле Имя входа пользователя (User Logon N a m e ) в в е д и т е и м я _шаблон_
продаж с символами подчеркивания. Щ е л к н и т е к н о п к у Д а л е е ( N e x t ) .
7. В поля Пароль (Password) и Подтверждение ( C o n f i r m P a s s w o r d ) в в е д и т е
сложный пароль.
8. Установите флажок Отключить учетную запись (Account Is Disabled). Щ е л к -
ните кнопку Далее (Next), а затем кнопку Готово ( F i n i s h ) .
Благодаря символу подчеркивания в начале и м е н и у ч е т н о й з а п и с и ш а б л о н
следует первым в списке пользователей в п о д р а з д е л е н и и К а д р ы . К р о м е
того, обратите внимание, что значок объекта п о л ь з о в а т е л я с о д е р ж и т стрел-
ку, направленную вниз. Это означает, что у ч е т н а я з а п и с ь о т к л ю ч е н а .
9. Дважды щелкните шаблонную учетную запись, чтобы о т к р ы т ь ее д и а л о г о -
вое окно Свойства (Properties).
10. Перейдите на вкладку Организация (Organization).
11. В поле Отдел (Department) введите имя Продаэюи.
12. В поле Организация (Company) введите и м я Contoso, Ltd.
13. Перейдите на вкладку Член групп ( M e m b e r of).
14. Щелкните кнопку Добавить (Add).
15. Введите имя Продажи и щелкните ОК.
16. Перейдите на вкладку Профиль (Profile).
17. В поле Путь к профилю (Profile Path) введите \\server01\profiles\%u$ername%.
18. Щелкните ОК. Вы создали шаблонную учетную запись, к о т о р у ю м о ж н о
копировать с целыо генерирования учетных записей д л я н о в ы х м е н е д ж е р о в
по продажам. Далее вы создадите учетную запись на ОСНОВе ШабЛОНЯ,
Занятие 1 А в т о м а т и з а ц и я п р о ц е с с а с о з д а н и я у ч е т н ы х з а п и с е й пользователей g-f

19. Щ е л к н и т е п р а в о й к н о п к о й м ы ш и у ч е т н у ю з а п и с ь _ П р о д а ж и Ш а б л о н и при-
мените к о м а н д у К о п и р о в а т ь ( С о р у ) . О т к р о е т с я д и а л о г о в о е о к н о К о п и р о -
вать объект — П о л ь з о в а т е л ь ( C o p y O b j e c t — U s e r ) .
20. В поле И м я ( F i r s t N a m e ) в в е д и т е Джефф.
21. В поле Ф а м и л и я ( L a s t N a m e ) в в е д и т е Форд.
22. В поле И м я в х о д а п о л ь з о в а т е л я ( U s e r Logon N a m e ) введите / е / / . f o r d . Щ е л к -
ните к н о п к у Д а л е е ( N e x t ) .
23. В п о л я П а р о л ь ( P a s s w o r d ) и П о д т в е р ж д е н и е ( C o n f i r m P a s s w o r d ) введите
сложный пароль.
24. Сбросьте ф л а ж о к О т к л ю ч и т ь у ч е т н у ю з а п и с ь ( A c c o u n t i s Disabled).
25. Щ е л к н и т е к н о п к у Д а л е е ( N e x t ) , а з а т е м к н о п к у Готово ( F i n i s h ) .
26. О т к р о й т е с в о й с т в а у ч е т н о й з а п и с и п о л ь з о в а т е л я Д ж е ф ф Ф о р д и убеди-
тесь, ч т о о т к о н ф и г у р и р о в а н н ы е в ш а б л о н е а т р и б у т ы с к о п и р о в а н ы в н о в у ю
учетную запись.

Упражнение 2. Создание пользователя с помощью команды Dsadd


В этом у п р а ж н е н и и вы и с п о л ь з у е т е к о м а н д у Dsadd д л я с о з д а н и я учетной за-
п и с и п о л ь з о в а т е л я М а й к Ф и т ц м о р и с в п о д р а з д е л е н и и Кадры.
1. О т к р о й т е к о м а н д н у ю строку.
2. В в е д и т е с л е д у ю щ у ю к о м а н д у в о д н о й с т р о к е и н а ж м и т е к л а в и ш у Enter,
dsadd user "cn=Mike Fitzmaurice,ou=People,dc=contoso,dc=com"
-samid m i k e . f i t z -pwd * -mustchpwd yes -hmdir
\\server01\users\%username%\documents -hmdrv U:
3 . В а м б у д е т п р е д л о ж е н о д в а ж д ы в в е с т и п а р о л ь д л я п о л ь з о в а т е л я . Введите
сложный пароль, состоящий м и н и м у м из семи символов.
4. О т к р о й т е о с н а с т к у A c t i v e D i r e c t o r y — п о л ь з о в а т е л и и к о м п ь ю т е р ы (Active
D i r e c t o r y Users and C o m p u t e r s ) и о т к р о й т е свойства у ч е т н о й записи пользо-
в а т е л я М а й к . Убедитесь, ч т о у ч е т н а я з а п и с ь с о д е р ж и т свойства, введенные
в к о м а н д н у ю строку.

Упражнение 3. Импорт пользователей с помощью команды CSVDE


В д в у х п р е д ы д у щ и х у п р а ж н е н и я х в ы с о з д а в а л и п о л ь з о в а т е л е й п о отдельнос-
ти. С е й ч а с в ы и с п о л ь з у е т е т е к с т о в ы й ф а й л с р а з д е л и т е л ь н ы м и з а п я т ы м и д л я
импорта двух пользователей.
1. Откройте Б л о к н о т ( N o t e p a d ) и введите следующие три строки (каждый
абзац представляет отдельную строку текста):
• DN, o b j e c t C l a s s , sAMAccountName,sn,givenName,userPrincipalName
• "сп=Лиза Эндрюс, о и = К а д р ы , d c = c o n t o s o , d c = c o m " , u s e r , l i s a . a n d r e w s , Э н д р ю с , Лиза
lisa.andrews@contoso.com
• "сп=Дзвид Д ж о н с , о и = К а д р ы , d c = c o n t o s o , d c = c o m " , u s e r , d a v i d . j o n e s , Д ж о н с , Д з в и д ,
david.jones@contoso.com
2. С о х р а н и т е ф а й л в п а п к е Д о к у м е н т ы ( D o c u m e n t s ) под и м е н е м Newusers.txt.
3. Откройте окно командной строки.
96 Пользователи Глава 3

4. Введите команду cd %userprofile%\Documents и н а ж м и т е к л а в и ш у E n t e r .


5. Введите команду csvde -i -f newusars.txt -к и н а ж м и т е к л а в и ш у E n t e r .
Будут импортированы три пользователя. В случае в о з н и к н о в е н и я о ш и б о к
исправьте синтаксические ошибки в текстовом ф а й л е .
6. Откройте оснастку Active Directory — п о л ь з о в а т е л и и к о м п ь ю т е р ы ( A c t i v e
Directory Users and Computers) и убедитесь в у с п е ш н о м с о з д а н и и п о л ь з о -
вателей.
Если во время выполнения данного у п р а ж н е н и я оснастка Active D i r e c t o r y —
пользователи и компьютеры была открыта, о б н о в и т е п р е д с т а в л е н и е д л я
отображения новых учетных записей.
7. Проанализируйте учетные записи и проверьте с о о т в е т с т в и е и м е н и , ф а м и -
лии, основного имени пользователя U P N и и м е н и входа п р е д - W i n d o w s 2 0 0 0
параметрам в текстовом файле NewUsers.txt.
Упражнение 4. Импорт пользователей с п о м о щ ь ю к о м а н д ы LDIFDE
Как и CSVDE, команду LDIFDE можно и с п о л ь з о в а т ь д л я и м п о р т а п о л ь з о в а т е -
лей. Однако команда LDIFDE не использует текстовый ф а й л с р а з д е л и т е л ь н ы м и
запятыми, а вместо него применяет ф а й л о в ы й ф о р м а т L D I F . ' B э т о м у п р а ж н е -
нии вы импортируете двух пользователей с п о м о щ ь ю к о м а н д ы LDIFDE.
1. Откройте Блокнот ( N o t e p a d ) и введите с л е д у ю щ и е с т р о к и ( н е з а б у д ь т е
между двумя операциями добавить пустую с т р о к у ) :
DN: СИ=Эприл Стоарт,OU=KaflPbi,DC=contoso,DC=com
changeType: add
CN: Эприл Стоарт
objectClass: user
sAMAccountName: april.Stewart
userPrincipalName: april.stewart@contoso.com
givenName: Эприл
sn: Стоарт
displayName: Стюарт, Эприл
mail: april.stewart@contoso.com
description: Менеджер no продажам США
t i t l e : Менеджер no продажам
department: Продажи
company; Contoso, Ltd.

DN: CN=TOHH Крайней,OU=KaflpH,DC=contoso,DC=com


changeType: add
CN: Тони Крайней
objectClass: user
sAMAccountName: tony.krijnen
userPrincipalName: tony.krijnen@contoso.com
givenName: Тони
sn: Крайнен
displayName: Крайнен, Тони
mail: tony.krijnen@contoso.com
g-f
Занятие 1 Автоматизация процесса создания учетных записей пользователей

description: Менеджер по продажам Нидерланды


t i t l e : Менеджер по продажам
department: Продажи
company: Contoso, Ltd.
2. С о х р а н и т е ф а й л в п а п к е Д о к у м е н т ы ( D o c u m e n t s ) под именем NewUsers.ldf.
З а к л ю ч и т е и м я ф а й л а в к а в ы ч к и , поскольку в противном случае программа
Б л о к н о т ( N o t e p a d ) д о б а в и т р а с ш и р е н и е .txt.
Х о т я ф а й л ы L D I F м о ж н о и м п о р т и р о в а т ь с л ю б ы м расширением, мы следу-
ем с о г л а ш е н и ю , в с о о т в е т с т в и и с к о т о р ы м используется расширение .ldf.
3 . О т к р о й т е о к н о к о м а н д н о й строки.
4. В в е д и т е к о м а н д у cd %userprofile%\Documents и н а ж м и т е к л а в и ш у Enter.
5. В в е д и т е к о м а н д у Idifde -i -/ newusers.ldf -k и н а ж м и т е к л а в и ш у Enter.
Б у д у т и м п о р т и р о в а н ы д в а п о л ь з о в а т е л я . В случае в о з н и к н о в е н и я ошибок
и с п р а в ь т е с и н т а к с и ч е с к и е о ш и б к и в текстовом файле.
6. О т к р о й т е о с н а с т к у Active D i r e c t o r y — п о л ь з о в а т е л и и компьютеры (Active
D i r e c t o r y U s e r s a n d C o m p u t e r s ) и убедитесь в успешном создании пользо-
вателей.
Если во в р е м я в ы п о л н е н и я данного у п р а ж н е н и я оснастка Active Directory —
п о л ь з о в а т е л и и к о м п ь ю т е р ы б ы л а о т к р ы т а , обновите представление д л я
отображения н о в ы х учетных записей.
7. П р о а н а л и з и р у й т е у ч е т н ы е з а п и с и и проверьте их соответствие параметрам
в текстовом ф а й л е NewUsers.ldf.

Резюме
• Вы м о ж е т е с к о п и р о в а т ь у ч е т н у ю з а п и с ь в Active D i r e c t o r y д л я создания
н о в о й у ч е т н о й з а п и с и . К о п и р у е т с я л и ш ь небольшой поднабор свойств учет-
н о й з а п и с и . Ч т о б ы с о з д а т ь ш а б л о н у ч е т н о й з а п и с и пользователя, создайте
п о л ь з о в а т е л я и п р е д в а р и т е л ь н о з а п о л н и т е с о о т в е т с т в у ю щ и е атрибуты.
З а т е м о т к л ю ч и т е ш а б л о н н у ю у ч е т н у ю запись, чтобы е е нельзя б ы л о ис-
п о л ь з о в а т ь д л я п р о х о ж д е н и я п р о в е р к и п о д л и н н о с т и . Копируйте шаблон
к а к о с н о в у д л я с о з д а н и я н о в ы х у ч е т н ы х записей.
• К о м а н д а Dsadd п о з в о л я е т с о з д а в а т ь о б ъ е к т ы п о л ь з о в а т е л е й с п о м о щ ь ю
к о м а н д н о й с т р о к и и п а р а м е т р о в , у к а з ы в а ю щ и х свойства пользователя.
• С п о м о щ ь ю к о м а н д ы CSVDE м о ж н о и м п о р т и р о в а т ь п о л ь з о в а т е л е й и их
свойства в текстовом файле с разделительными запятыми.
• К о м а н д а LDIFDE и с п о л ь з у е т с я д л я в ы п о л н е н и я операций в Active Directory,
в ч а с т н о с т и т а к и х , к а к д о б а в л е н и е , и з м е н е н и е и удаление пользователей.
Д л я н а з н а ч е н и я этих о п е р а ц и й и с п о л ь з у е т с я ф а й л LDIF, который обеспе-
чивает обмен д а н н ы м и между каталогами.

Закрепление материала
П р и в е д е н н ы е д а л е е в о п р о с ы м о ж н о и с п о л ь з о в а т ь д л я проверки знаний, полу-
ч е н н ы х на з а н я т и и 1. Э т и в о п р о с ы есть на с о п р о в о д и т е л ь н о м компакт-диске.
98 Пользователи Глава 3

ПРИМЕЧАНИЕ Ответы
Ответы на эти вопросы с пояснениями к каждому варианту ответа помещены в раз-
деле «Ответы» в конце книги.

1. Вы являетесь администратором в крупном у н и в е р с и т е т е и т о л ь к о ч т о по-


лучили по почте файл Excel, содержащий и н ф о р м а ц и ю о 2 0 0 0 с т у д е н т а х ,
которые через две недели переступят порог этого учебного з а в е д е н и я . В а м
нужно как можно быстрее создать учетные з а п и с и п о л ь з о в а т е л е й д л я н о в ы х
студентов. Какую из следующих задач требуется в ы п о л н и т ь ?
A. Создать шаблон учетной записи п о л ь з о в а т е л я и с к о п и р о в а т ь его д л я
каждого студента.
Б. Запустить команду LDIFDE -i.
B. Использовать команду CSVDE -i.
Г. Запустить команду DSADD USER.
2. Вы являетесь администратором в крупном у н и в е р с и т е т е . К а к у ю к о м а н д у
можно использовать для удаления учетных з а п и с е й у ж е в ы п у с т и в ш и х с я
студентов?
A. LDIFDE.
Б. Dsmod.
B. DEL.
Г. CSVDE.

Занятие 2. Создание пользователей с помощью


Windows PowerShell и VBScript
На занятии 1 мы обсудили принцип использования и н с т р у м е н т о в к о м а н д н о й
строки для добавления и импорта учетных з а п и с е й п о л ь з о в а т е л е й . На э т о м
занятии мы рассмотрим два самых мощных и н с т р у м е н т а д л я в ы п о л н е н и я и
автоматизации административных задач: W i n d o w s P o w e r S h e l l и V B S c r i p t . О б а
инструмента позволяют создавать сценарии, которые могут а в т о м а т и з и р о в а т ь
создание учетных записей пользователей. Инструмент W i n d o w s P o w e r S h e l l так-
же позволяет создавать пользователей в новой о б о л о ч к е к о м а н д н о й с т р о к и .

Изучив материал этого занятия, вы сможете:


/ Установить компонент Windows PowerShell в системе Windows Server 2008.
/ Идентифицировать ключевые элементы синтаксиса Windows PowerShell,
включая командные структуры cmdlets, переменные, псевдонимы, пространс-
тва имен и поставщиков.
/ Создать пользователя в Windows PowerShell.
/ Создать пользователя в VBScript.
Продолжительность занятия — около 75 мин.
Занятие 2 Создание пользователей с помощью Windows PowerShell и VBScript •) Q3

Введение в Windows PowerShell


Инструмент Windows PowerShell предназначен для выполнения и автомати-
зации а д м и н и с т р а т и в н ы х з а д а ч в W i n d o w s Server 2008.

СОВЕТ К Э К З А М Е Н У
В этом разделе описаны основы Windows PowerShell. На сертификационном экза-
мене 7 0 - 6 4 0 от вас не потребуется создавать сценарии Windows PowerShell, однако
вы должны знать командные структуры cmdlets, используемые для выполнения
основных задач Active Directory, таких как, например, в упражнениях, описанных
в данном руководстве. Подробную информацию об администрировании с помощью
Windows PowerShell можно найти в руководстве «Windows PowerShell Scripting
Guide», написанном Эдом Уилсоном (Microsoft Press, 2008).

О б о л о ч к а к о м а н д н о й с т р о к и и я з ы к сценариев W i n d o w s PowerShell включа-


ют с в ы ш е 130 и н с т р у м е н т о в к о м а н д н о й строки, к о т о р ы е н а з ы в а ю т с я командле-
тами ( c m d l e t s от c o m m a n d - l e t s ) , с п о л н о с т ь ю с о г л а с о в а н н ы м с и н т а к с и с о м
и с о г л а ш е н и я м и и м е н о в а н и я , к о т о р ы е м о ж н о р а с ш и р и т ь с п о м о щ ь ю настраива-
емых к о м а н д л е т о в . В о т л и ч и е от т р а д и ц и о н н ы х к о м а н д н ы х оболочек, например
Cmd.exe в W i n d o w s и B A S H в U n i x , к о т о р ы е п е р е с ы л а ю т т е к с т о в у ю команду
о т д е л ь н о м у п р о ц е с с у и л и у т и л и т е и в о з в р а щ а ю т р е з у л ь т а т ы этой к о м а н д ы
в т е к с т о в о м виде, о б о л о ч к а W i n d o w s P o w e r S h e l l н е п о с р е д с т в е н н о м а н и п у л и -
рует о б ъ е к т а м и M i c r o s o f t . N E T F r a m e w o r k в к о м а н д н о й строке.
О б о л о ч к а W i n d o w s P o w e r S h e l l у с т а н а в л и в а е т с я в качестве компонента Win-
dows Server 2008. П о с л е у с т а н о в к и ее м о ж н о о т к р ы т ь в м е н ю П у с к ( S t a r t ) . Вы
т а к ж е м о ж е т е п о м е с т и т ь я р л ы к W i n d o w s P o w e r S h e l l в более доступное место.
В г р у п п е п р о г р а м м W i n d o w s P o w e r S h e l l щ е л к н и т е п р а в о й к н о п к о й м ы ш и зна-
чок W i n d o w s P o w e r S h e l l и п р и м е н и т е к о м а н д у З а к р е п и т ь в м е н ю "Пуск" ( P i n
Т о S t a r t M e n u ) . К о м а н д н а я о б о л о ч к а W i n d o w s PowerShell в ы г л я д и т аналогично
к о м а н д н о й о б о л о ч к е Cmd.exe, за и с к л ю ч е н и е м того, что по у м о л ч а н и ю в W i n -
d o w s P o w e r S h e l l и с п о л ь з у е т с я т е м н о - с и н и й ф о н , а к о м а н д н а я строка начина-
ется с PS. На рис. 3 - 1 п о к а з а н а к о м а н д н а я о б о л о ч к а W i n d o w s PowerShell.

Windows 1'owert.heii
Windows PoucrShe11
<C) 20Ш6 Корпорации Майкрософт. Все права защицены.

PS C:\Uscro\Пдмнннстратор> „

тттгяттШ/Ш
щ ш ш ш м а и ш ш н ш ш в ш п в
Рис. 3-1. Консоль Windows PowerShell
100 Пользователи
— Главаз

ПРИМЕЧАНИЕ Одна оболочка в Windows


Оболочку Windows PowerShell можно использовать для запуска программ и выпол-
нения команд, идентичных командам, применяемым в командной оболочке. Поэтому
оболочка Windows PowerShell обратно совместима для администраторов. В Windows
PowerShell можно выполнять административные задачи, аналогичные командам
Cmd.exe, либо использовать директивы Windows PowerShell.

Синтаксис, командлеты и объекты Windows PowerShell


В традиционных оболочках наподобие Cmd.exe з а п у с к а ю т с я т а к и е к о м а н д ы ,
как dir и сору, которые получают доступ к у т и л и т а м , в с т р о е н н ы м в оболочку,
а также выполняются такие программы, к а к attrib.exe и xcopy.exe, м н о г и е из
которых принимают параметры из командной строки и обеспечивают о б р а т н у ю
связь в виде выходных данных, ошибок и кодов о ш и б о к .
В Windows PowerShell директивы в ы п о л н я ю т с я с п о м о щ ь ю к о м а н д л е т о в .
Командлет представляет собой команду с одной ф у н к ц и е й , к о т о р а я м а н и -
пулирует объектом. Командлеты используют с и н т а к с и с V e r b - N o u n , то е с т ь
указывают действие и объект, разделенные д е ф и с о м . В к а ч е с т в е п р и м е р о в
командлетов можно привести Get-Service и Start-Service.

ПРИМЕЧАНИЕ Поддержка прямого ввода данных и сценариев


Командлеты можно вводить в Windows PowerShell интерактивно или сохранять
в файлах сценариев (VPS1), которые потом выполняются в Windows PowerShell.

Понятие объекта
Объект - это программная конструкция. В техническом отношении объект
.NET представляет собой экземпляр класса .NET, который состоит из данных и
операций, связанных с этими данными. В определенном смысле объект — это
виртуальное представление ресурса. Например, при использовании командлета
Get-Service в оболочке Windows PowerShell возвращается один или несколько
объектов, представляющих службы. Объекты также могут обладать свойствами,
представляющими данные или атрибуты, поддерживаемые ресурсом. Например,
объект, представляющий службу, содержит свойства, представляющие имя и тип
запуска службы. При извлечении свойства извлекаются данные ресурса. При
назначении свойства выполняется запись этих данных в ресурс.
Кроме того, объекты обладают методами, то есть действиями, которые мож-
но с ними выполнять. Например, объект службы располагает методами start и
stop. При реализации метода с объектом, представляющим ресурс, выполняется
действие с самим ресурсом.

Эти командлеты не пересылают команды и п а р а м е т р ы д р у г и м у т и л и т а м


или программам, а непосредственно оперируют с объектами .NET. Е с л и в в е с т и
командлет Get-Service, оболочка Windows PowerShell вернет коллекцию объектов
всех служб. Результат выполнения командлета представлен в в и д е т а б л и ц ы ,
где указаны служба, ее имя и выводимое и м я (рис. 3-2).
Занятие 2 Создание пользователей с помощью Windows PowerShell и VBScript •) Q3 101

Uiiulows PouerShe 11
(С) 200f« Корпорации М<«йкрш:иф1. Иск up а на 1тии№ны.
*| f> С:чизегз\Пшшнистраюр> get-seruico
43
fioLookupSwc Информация о совместимости приложений
ftLG Служка илюза уронил при/1 оке ими
flppinfo Сведения о приложении
fipjjMynt Управление приложениями
AudioEndpointBu. Сридстио П О С Т Р О Е Н И Я конечных точек . . .
ftudiosru Windows Audio
DPE СлужвД «АЭО&ОЙ ОИЛЬТрйиИИ
BITS Фоновая интеллектуальная служба лер...
Browser 0к<Пр«!ПЛ!ОЛЬ к о м п ь ю т е р о м
CcrtPropSwc Распространение сертификата
cli\_optiniz:atio. Microsoft .НЕТ Francwork NCEN u2.G
COMSysflpp Системное прнлоксимо СОМ*
CryptSvc Служсы криптографии
CscService Автономные Ф й Й Л Ы
DcomLauncli Модуль запуска процессов DCOfl-серввра
Dfs Прас1р<<нс1ми имен DPS
DFSR Репликации DPS
DJicp DHCP-клнен!
DNS DNl>~ccpocp
Dnscache DNS-клиент
dot3svc Проводная аотонастройка
DPS Служба политики диагностики
EapHost Расширяемый протокол прооерки подли...
EvcntLosf Журнал сосытий Windows
EuentSysten Система событий СОМ*
FCRegSvc Служеа регистрации платформы Fibre . . .
UL j
Рис. 3-2. Командлет Get-Service

Э т и п р о с т ы е к о м а н д ы м о ж н о и с п о л ь з о в а т ь в к о м б и н а ц и и и л и в конвейере
д л я с о з д а н и я б о л е е с л о ж н ы х д и р е к т и в . Н а п р и м е р , к о н в е й е р Get-Service или
Format-List г е н е р и р у е т , к а к п о к а з а н о на рис. 3-3, д р у г о й результат.

ИЩИ
PS С:\иееге\Адмимистратор> got-se»*vico ! format-lice I"
fleLoukupSuc
DisplayNaroe Информации о сиипесгигюсти приложений
Stains Пшнпиц
<>
0cpcndentScroice3
Se rwic с s Dc ре nde dOnО
CanPauacfindContinuc False
CanSbutdown False
CanStop True
Soryicolype
lfin32Sliape Process
Nane flLC
DisjplayNcune СЛОЖНА КЛЕИЛ у р о и н и п р и л о ж е н и и
Status Stopped
Dependent Sis ru ices <}
ScrviccsDcpendcdOn
CanPauscAndCantinuc False
CanShutdown False
CanStop False
ServiceTypo Uin320wnProccos
Nane Appinfo
DioplayNane
Status Сведения о приложении
DependentSeruices Stopped
Seru icesDependedOn <P,-ufSoi:. lip,:S=>
CanPauscflndCnntinue False
CanS hut down False
CanStop False
SoruicoType Min32Shai.oProcess
EL J J'1
Рис. 3-3. Командлет Format-List оперирует с коллекцией объектов,
сгенерированной командлетом Get-Service

К о м а н д л е т Format-List г е н е р и р у е т б о л е е д е т а л ь н ы е р е з у л ь т а т ы , чем Get-


Service. Это в а ж н ы й момент. К о м а н д л е т Get-Sewice в о з в р а щ а е т не статичес-
кий список трех а т р и б у т о в с л у ж б , а о б ъ е к т ы , п р е д с т а в л я ю щ и е с л у ж б ы . П р и
-) 102 Пользователи Глава з

помещении таких объектов в конвейер Format-List командлет Format-List может


работать непосредственно с ними и отображать все а т р и б у т ы служб.

ПРИМЕЧАНИЕ Тонкое, но важное отличие


Эта концепция отличается от принципов командной оболочки Windows, где выход-
ные данные одной команды могут помещаться в конвейер другой команды только
в текстовом виде. В случае использования Cmd.exe команда format-list лишь пере-
форматирует три элемента информации в результатах команды get-seruice.

Командлет Format-List принимает решение об о т о б р а ж е н и и а т р и б у т о в . Вы


можете указать отображение всех атрибутов, д о б а в и в п а р а м е т р property со
звездочкой, представляющей все в о з м о ж н ы е з н а ч е н и я . С л е д у ю щ а я к о м а н д а
перечисляет все доступные параметры всех служб:
get-service | format-list -property •

Получение справочной информации


Поиск информации в Windows PowerShell л у ч ш е всего н а ч а т ь с к о м а н д л е т а
Get-Help, особенно если вы только знакомитесь с W i n d o w s P o w e r S h e l l . Ч т о б ы
получить самую простую справку, введите командлет Get-Help, а з а т е м у к а ж и т е
имя командлета, сведения о котором хотите получить. Н а п р и м е р :
get-help get-service
Более детальную информацию можно получить, добавив п а р а м е т р ы detailed
или full, например:
help-get-command -detailed
или
get-help get-command - f u l l

Переменные
Если вам постоянно нужно указывать путь или определение объекта, вы м о ж е т е
присвоить его переменной, чтобы сэкономить время. П е р е м е н н ы е в W i n d o w s
PowerShell всегда начинаются со знака д о л л а р а ( $ ) . Н а п р и м е р , вы м о ж е т е
назначить переменную SDNS для представления объекта, и з в л е к а е м о г о ко-
мандлетом Get-Service DNS:
$DNS=get-service DNS
При присвоении объекта переменной создается объектная ссылка. С в о й с т в а
этого объекта можно извлечь, указав свойство с т о ч к о й (.). Н а п р и м е р , ч т о б ы
вернуть состояние службы DNS, введите следующую команду:
SDNS.status
В качестве заполнителя для текущего объекта в т е к у щ е м к о н в е й е р е м о ж н о
использовать особую переменную конвейера ($_)• Н а п р и м е р , д л я и з в л е ч е н и я
списка всех запущенных служб введите следующую команду:
get-service | where-object { $_.status -eq "Running" }
Эта директива извлекает все службы и передает о б ъ е к т ы в к о н в е й е р ко-
мандлета Where-Object, который оценивает к а ж д ы й объект в к о н в е й е р е , чтобы
определить, присвоено ли значение Running свойству с о с т о я н и я объекта, пред-
ставленного переменной конвейера $_.
Занятие 2 Создание пользователей с помощью Windows PowerShell и VBScript •) Q3

Псевдонимы
И с п о л ь з о в а н и е псевдонима — это а л ь т е р н а т и в н ы й способ с с ы л к и на командлет.
Н а п р и м е р , ранее о п и с а н н ы й к о м а н д л е т Where-Object имеет псевдоним Where,
при и с п о л ь з о в а н и и к о т о р о г о п р е д ы д у щ и й к о д м о ж н о сократить так:
g e t - s e r v i c e | where { $ _ . s t a t u s , - e q "Running" }
М н о г и е к о м а н д л е т ы W i n d o w s P o w e r S h e l l у ж е и м е ю т псевдонимы. Н а п р и -
мер, д л я о т о б р а ж е н и я с о д е р ж и м о г о п а п к и н а д и с к е и с п о л ь з у е т с я командлет
Get-Childltem. Э т о т к о м а н д л е т и м е е т п с е в д о н и м Dir, а н а л о г и ч н ы й к о м а н д е
в о б о л о ч к е W i n d o w s ( C m d . e x e ) , а т а к ж е п с е в д о н и м Ls, п р е д н а з н а ч е н н ы й для
пользователей оболочки UNIX.
К а к о п р е д е л и т ь командлет, к о т о р ы й «прячется» за псевдонимом? Д л я этого
в к о м а н д н у ю с т р о к у в в е д и т е alias:
alias dir
В в ы х о д н ы х д а н н ы х б у д е т у к а з а н о , что Dir — это псевдоним командлета
Get-Childltem.
Х о т я в W i n d o w s P o w e r S h e l l о б е с п е ч е н ы п с е в д о н и м ы д л я команд оболочки,
к о м а н д л е т ы W i n d o w s P o w e r S h e l l и с п о л ь з у ю т другие параметры, отличные о т
к о м а н д о б о л о ч к и Cmd.exe. Н а п р и м е р , д л я и з в л е ч е н и я каталога папок и всех
п о д п а п о к в к о м а н д н у ю с т р о к у в в о д и т с я к о м а н д а dir/s, а в Windows PowerShell
н у ж н о в в е с т и к о м а н д у dir -recurse.

Пространства имен, поставщики и PSDrive


К о м а н д л е т ы о п е р и р у ю т с о б ъ е к т а м и в п р о с т р а н с т в е имен. П а п к а на д и с к е
я в л я е т с я п р и м е р о м и м е н н о г о п р о с т р а н с т в а — иерархии, в которой м о ж н о осу-
щ е с т в л я т ь н а в и г а ц и ю . П р о с т р а н с т в а и м е н создаются поставщиками. Оболочка
W i n d o w s P o w e r S h e l l м о ж е т п о л у ч а т ь п р я м о й д о с т у п и м а н и п у л и р о в а т ь объек-
тами в пространствах имен этих провайдеров.
В ы н а в е р н я к а з н а к о м ы с к о н ц е п ц и е й п р о с т р а н с т в а и м е н тома н а д и с к е
с б у к в о й и л и п р о с т р а н с т в а и м е н о б щ е й сетевой п а п к и в в и д е подключенного
сетевого д и с к а . В W i n d o w s P o w e r S h e l l п р о с т р а н с т в а и м е н л ю б о г о провайдера
могут б ы т ь п р е д с т а в л е н ы к а к PSDrive. О б о л о ч к а W i n d o w s PowerShell авто-
м а т и ч е с к и с о з д а е т п р о с т р а н с т в о и м е н P S D r i v e д л я к а ж д о й буквы диска, уже
определенной в Windows.
О б о л о ч к а W i n d o w s P o w e r S h e l l в ы в о д и т эту к о н ц е п ц и ю н а с л е д у ю щ и й уро-
вень, с о з д а в а я д о п о л н и т е л ь н ы е п р о с т р а н с т в а и м е н P S D r i v e д л я распростра-
н е н н ы х р е с у р с о в . Н а п р и м е р , она создает два диска, HKCU и HKLM, д л я ульев
реестра H K E Y _ C U R R E N T _ U S E R и H K E Y _ L O C A L _ M A C H I N E . После этого в
реестре м о ж н о о с у щ е с т в л я т ь н а в и г а ц и ю и м а н и п у л я ц и и , как в ф а й л о в о й систе-
ме. В к о м а н д н у ю с т р о к у W i n d o w s P o w e r S h e l l введите с л е д у ю щ у ю команду:
cd h k l m : \ s o f t w a r e
dir
Д и с к и т а к ж е с о з д а ю т с я д л я п с е в д о н и м о в , среды, с е р т и ф и к а т о в , ф у н к ц и й
и переменных. Д л я п е р е ч и с л е н и я с о з д а н н ы х пространств имен PSDrive введите
команду get-psdrive.
-) 104 Пользователи Глава з

Создание пользователя с помощью Windows PowerShell


Далее мы применим Windows PowerShell д л я с о з д а н и я п о л ь з о в а т е л я в Active
Directory. Основной сценарий Windows PowerShell д л я с о з д а н и я п о л ь з о в а т е л я
выглядит примерно так:
$obj 0U=[ADSI]"LDAP: //0U=Peop1 е, DC=contoso, DC=com"
$objUser=$objOU.Create("user","CN=Mary North")
SobjUser.Put("sAMAccountName", "тагу.north")
SobjUser.SetlnfoO
Э Т О Т К О Д демонстрирует четыре основных шага п о с о з д а н и ю о б ъ е к т а в Ac-

tive Directory с помощью Windows PowerShell.


1. Подключение к контейнеру (например, п о д р а з д е л е н и ю ) , в к о т о р о м будет
создан объект.
2. Применение метода Create контейнера вместе с у к а з а н н ы м к л а с с о м и от-
носительным отличительным именем R D N ( R e l a t i v e D i s t i n g u i s h e d N a m e )
нового объекта.
3. Заполнение атрибутов объекта с помощью метода Put.
4. Подтверждение изменений в Active D i r e c t o r y с п о м о щ ь ю м е т о д а Setlnfo
объекта.

В следующих разделах эти четыре шага о п и с а н ы более д е т а л ь н о .

Подключение к контейнеру Active Directory


Чтобы создать такой объект, как пользователь, н у ж н о з а п р о с и т ь с о з д а н и е объек-
та у контейнера объекта. Таким образом, п р о ц е с с н а ч и н а е т с я с в ы п о л н е н и я
действия (метода) с контейнером. Первый шаг состоит в п о д к л ю ч е н и и к это-
му контейнеру. Для работы с объектами Active D i r e c t o r y о б о л о ч к а W i n d o w s
PowerShell использует библиотеку адаптеров Active D i r e c t o r y Services I n t e r f a c e
(ADSI). Адаптер — это преобразователь между с л о ж н о й и и н о г д а п р и ч у д л и в о й
природой .NET Framework и упрощенной и согласованной с т р у к т у р о й W i n d o w s
PowerShell. Для подключения к объекту Active D i r e c t o r y в ы п о л н я е т с я с т р о к а
запроса LDAP, представляющая собой п р о с т о м о н и к е р п р о т о к о л а L D A P : / /
с именем DN объекта. Первая строка кода в ы г л я д и т с л е д у ю щ и м о б р а з о м :
$obj 0U=[ADSI]"LDAP://0U=Peop1е, DC=contoso, DC=com"
Оболочка Windows PowerShell использует а д а п т е р т и п о в A D S I д л я созда-
ния объектной ссылки на подразделение People и п р и с в а и в а е т ее п е р е м е н н о й .
Имя переменной objOU соответствует стандартам п р о г р а м м и р о в а н и я , с о г л а с н о
которым для идентификации типа переменной и с п о л ь з у е т с я п р е ф и к с из т р е х
букв, а имена переменных могут быть л ю б о й д л и н ы и н а ч и н а т ь с я со з н а к а
доллара.

Применение метода Create


На этом этапе переменная $objOU я в л я е т с я с с ы л к о й на п о д р а з д е л е н и е People.
Вы можете запросить создание объекта с п о м о щ ь ю метода к о н т е й н е р а Create.
Метод Create требует два параметра, передаваемых в качестве аргументов: класс
и RDN-имя объекта, которое является частью и м е н и о б ъ е к т а в р о д и т е л ь с к о м
Занятие 2 Создание пользователей с помощью Windows PowerShell и VBScript •) Q3

контейнере. Б о л ь ш и н с т в о к л а с с о в объектов используют в качестве своих R D N -


имен ф о р м а т СЫ=имя_обьекта. И м я R D N п о д р а з д е л е н и я ( O U ) у к а з ы в а е т с я
р ф о р м а т е 0\5=имя_подразделения, а и м я R D N д о м е н а — в ф о р м а т е D C = z ш я _
домена. З а т е м с л е д у ю щ а я с т р о к а создает о б ъ е к т п о л ь з о в а т е л я х R D N - и м е н е м ,
у к а з а н н ы м в ф о р м а т е CN^Mary North:
SobjUser=$objOU.Create("user","CN=Mary North")
П о л у ч е н н ы й о б ъ е к т п р и с в а и в а е т с я п е р е м е н н о й SobjUser, к о т о р а я предста-
в и т объект и п о з в о л и т м а н и п у л и р о в а т ь с ним.

Заполнение атрибутов пользователя


В а ж н о п о м н и т ь , ч т о н о в ы й о б ъ е к т и и з м е н е н и я н е будут сохранены, пока
вы не п о д т в е р д и т е их, а д л я п о д т в е р ж д е н и я и з м е н е н и й требуется заполнить
все н е о б х о д и м ы е а т р и б у т ы . Н е о б х о д и м ы м а т р и б у т о м о б ъ е к т о в пользовате-
л е й я в л я е т с я и м я в х о д а п р е д - W i n d o w s 2000. И м я L D A P этого атрибута —
sAMAccountName, п о э т о м у п р и в е д е н н а я н и ж е строка кода присваивает объекту
а т р и б у т sAMAccountName с п о м о щ ь ю метода Put. С т а н д а р т н ы й метод Put ис-
п о л ь з у е т с я д л я з а п и с и с в о й с т в а объекта. Д л я извлечения свойства применяется
с т а н д а р т н ы й м е т о д Get. Д а л е е п о к а з а н а строка кода:
SobjUser.Put("sAMAccountName", "тагу, n o r t h " )
Подтверждение изменения с помощью метода Setlnfo
Д л я п о д т в е р ж д е н и я и з м е н е н и й и с п о л ь з у й т е м е т о д Setlnfo объектов Active
Directory, к а к п о к а з а н о в коде:
SobjUser. S e t l n f o O

Заполнение дополнительных атрибутов пользователя


П р е д ы д у щ и е к о м а н д ы с о з д а ю т п о л ь з о в а т е л я л и ш ь с конфигурацией обязатель-
ного а т р и б у т а sAMAccountName. П р и с о з д а н и и объекта пользователя нужно за-
п о л н и т ь и д р у г и е а т р и б у т ы . З а п и с ь свойства объекта пользователя выполняется
с п о м о щ ь ю м е т о д а Put. В а м н у ж н о м н о г о к р а т н о и с п о л ь з о в а т ь один метод, ука-
зав к а ж д ы й атрибут, к о т о р ы й т р е б у е т с я добавить. Рассмотрим следующий код:
SobjUser.put("sAMAccountName",SsamAccountName)
SobjUser. put("userPrincipalName",SuserPrincipalName)
SobjUser.put("displayName", SdisplayName)
SobjUser.put("givenName",SgivenName)
SobjUser. putC'sn", Ssn)
SobjUser.put("description",Sdescription)
SobjUser.put("company", Scompany)
Sobj User.put("department", Sdepartment)
SobjUser.put("title", S t i t l e )
S o b j U s e r . p u t ( " m a i l " , Smail)
SobjUser. S e t l n f o O
К а ж д а я из э т и х .команд з а п о л н я е т а т р и б у т пользователя значением, которое
х р а н и т с я в п е р е м е н н о й . Не з а б ы в а й т е и с п о л ь з о в а т ь метод SetlnfoQ объекта
пользователя д л я п о д т в е р ж д е н и я в н е с е н н ы х и з м е н е н и й в Active Directory. Пока
не будет п р и м е н е н м е т о д SetlnfoQ, в н е с е н н ы е и з м е н е н и я будут в ы п о л н я т ь с я

5 Зак. 3399
-) 106 Пользователи Глава з

только в локальной копии объекта. Метод SetlnfoQ о ц е н и в а е т с в о й с т в а объек-


та для подтверждения. Если атрибуту присвоено н е д е й с т в и т е л ь н о е з н а ч е н и е ,
вы получите ошибку в строке SetlnfoQ. С п о м о щ ь ю метода GetlnfoQ о б ъ е к т а
пользователя можно перезагрузить исходный объект, о т м е н и в т а к и м о б р а з о м
все изменения.
Чтобы узнать имя атрибута LDAP, в оснастке Active D i r e c t o r y — п о л ь з о в а -
тели и компьютеры (Active Directory Users and C o m p u t e r s ) о т к р о й т е в к л а д к у
Редактор атрибутов (Attribute Editor) диалогового окна свойств учетной з а п и с и
пользователя. Эта вкладка отображается при у с т а н о в к е ф л а ж к а Д о п о л н и т е л ь -
ные компоненты (Advanced Features) в меню В и д ( V i e w ) . Р е д а к т о р а т р и б у т о в
выводит все атрибуты объекта, включая их L D A P - и м е н а и з н а ч е н и я . Ч т о б ы
отобразить свойства, заполненные для объекта п о л ь з о в а т е л я , м о ж н о т а к ж е
использовать любую из следующих команд:
SobjUser. psbase.properties
SobjUser | get-member

ПРИМЕЧАНИЕ Многозначные атрибуты


Хотя большинство атрибутов пользователя являются однозначными, некоторые
из них многозначные. Если атрибут принимает множество значений, используйте
метод PutExQ объекта пользователя. В Интернете выполните поиск ключевых слов
PowerShell user array PutEx, чтобы получить адреса ресурсов многочисленных сооб-
ществ, где описывается работа с многозначными атрибутами.

А как насчет пароля пользователя? Команда Put не п р и м е н я е т с я д л я н а з н а -


чения пароля пользователя. Вместо нее и с п о л ь з у е т с я м е т о д SetPassword, к а к
показано ниже:
$obj User.SetPasswo rd ("COmp! exP@sswO rd")
К сожалению, метод SetPassword м о ж н о и с п о л ь з о в а т ь т о л ь к о после с о з д а -
ния пользователя и активизации метода SetlnfoQ. Э т о означает, что у ч е т н а я
запись создается до назначения пароля. З д е с ь д е л о не в о ш и б к е и л и о г р а -
ничении Windows PowerShell, а в сути п р о т о к о л о в K e r b e r o s и L D A P . Тем не
менее данная методика вполне безопасна, поскольку у ч е т н а я з а п и с ь с о з д а е т с я
в отключенном состоянии.
После этого нужно включить учетную запись. Ф л а г о м с о с т о я н и я у ч е т н о й
записи также нельзя манипулировать с п о м о щ ь ю к о м а н д ы Put. В м е с т о н е е
используется следующая команда:
SobjUser. psbase. InvokeSet("AccountDisabled",Sfalse)
SobjUser. SetlnfoO

Импорт пользователей из базы данных


с помощью Windows PowerShell
Хотя на сертификационном экзамене от вас не п о т р е б у е т с я п р и м е н е н и е ме-
тодов импорта из базы данных с помощью W i n d o w s P o w e r S h e l l , з н а н и е э т и х
концепций обеспечит значительные преимущества в а в т о м а т и з а ц и и п р о ц е с с а
создания пользователей. Импорт выполняется с п о м о щ ь ю н е с к о л ь к и х с т р о к
дополнительного кода с мощными командлетами W i n d o w s P o w e r S h e l l .
Занятие 2 Создание пользователей с помощью Windows PowerShell и VBScript •) Q3

П р е д п о л о ж и м , что вы п о л у ч и л и из отдела кадров т а б л и ц у Excel с д а н н ы м и


0 новых с о т р у д н и к а х . П р о г р а м м а Excel м о ж е т с о х р а н и т ь эти данные в виде
текстового ф а й л а с р а з д е л и т е л ь н ы м и з а п я т ы м и (.csv), который затем м о ж н о
и м п о р т и р о в а т ь с п о м о щ ь ю W i n d o w s P o w e r S h e l l . П е р в а я строка ф а й л а .csv
д о л ж н а с о д е р ж а т ь и м е н а п о л е й ; п о с л е нее следуют д а н н ы е о к а ж д о м пользо-
вателе. В к а ч е с т в е п р о с т о г о п р и м е р а р а с с м о т р и м ф а й л .csv, сохраненный под
и м е н е м Newusers.csv:
cn,sAMAccountName, Fi rstName,LastName
John Woods, john.woods, Johnathan,Woods
Kim A k e r s , k i m . a k e r s , K i m b e r l y , A k e r s
О б р а т и т е в н и м а н и е н а то, ч т о и м е н а п о л е й необязательно соответствуют
L D A P - и м е н а м а т р и б у т о в . Э т и и м е н а б у д у т с о п о с т а в л е н ы именам атрибутов
с помощью сценария.
О б о л о ч к а W i n d o w s P o w e r S h e l l м о ж е т импортировать этот источник данных
с помощью одной команды:
$dataSource=import-csv "newusers.csv"
П о с л е и м п о р т а и с т о ч н и к а д а н н ы х в н е м н у ж н о п р о й т и циклом по каждой
записи. Э т а о п е р а ц и я в ы п о л н я е т с я б л о к о м foreach, использующим формат
foreach($dataRecord in $datasource)
(
tt выполнение действий
1 — ' ''
К о м а н д л е т ForEach п р о х о д и т ц и к л о м по к а ж д о м у объекту и л и записи в ис-
т о ч н и к е д а н н ы х , п р и с в а и в а я т е к у щ и й о б ъ е к т п е р е м е н н о й SdataRecord, так
что т е к у щ у ю з а п и с ь п р е д с т а в л я е т п е р е м е н н а я SdataRecord. Теперь вы можете
п р о с м о т р е т ь р е а л ь н ы е п о л я в к а ж д о й з а п и с и , к о т о р ы е становятся свойствами
п е р е м е н н о й SdataRecord. Н а п р и м е р , р а с с м о т р и м и м я первого пользователя:
SdataRecord.FirstName
Его м о ж н о п р и с в о и т ь п е р е м е н н о й :
SgivenName = SdataRecord.FirstName
О п я т ь - т а к и , п е р е м е н н а я и л и и м я п о л я н е о б я з а т е л ь н о д о л ж н ы соответство-
вать L D A P - и м е н и а т р и б у т а . С о п о с т а в л е н и е в ы п о л н я е т с я при записи перемен-
ной со з н а ч е н и е м в с а м а т р и б у т :
$obj User.Put("givenName", SgivenName)
L D A P - а т р и б у т givenName з а к л ю ч е н в к а в ы ч к и . К о р р е к т н о использовать
и м я т р е б у е т с я т о л ь к о п р и с с ы л к е на р е а л ь н ы й атрибут объекта. Тем не менее
код п р о щ е п о н я т ь , е с л и и м е н а п о л е й и с т о ч н и к а д а н н ы х и переменных соот-
ветствуют и м е н а м а т р и б у т о в .
С л о ж и в все ф р а г м е н т ы к о д а вместе, п о л у ч и м с ц е н а р и й импорта пользова-
теля (сценарий Userimport.psl):
$objOU=[ADSI]"LDAP://OU=People,DC=contoso,DC=com"
SdataSource=import-csv "NewUsers.csv"
foreach($dataRecord in $datasource) {
ttmap v a r i a b l e s to data source
-) 08 Пользователи Глава з

$cn=$dataRecord.cn
SsAMAccountName=SdataRecord. sAMAccountName
$givenName=SdataRecord. Fi rstName
Ssn=SdataRecord.LastName
SdisplayName=Ssn + ", " + SgivenName
SuserPrincipalName=SgivenName + "." + $sn + "©contoso. com"
«create the user object
SobjUser=SobjOU.Create("user","CN="+Scn)
SobjUser. Put ("sAMAccountName", SsAMAccountName)
SobjUser. Put("userPrincipalName",SuserPrincipalName)
SobjUser.Put("displayName",SdisplayNamB)
SobjUser. PutCgivenName", SgivenName)
SobjUser. Put("sn",Ssn)
SobjUser. SetlnfoO
SobjUser.SetPassword("COmp!exP@sswOrd")
SobjUser. psbase. InvokeSetC'AccountDisabled", S f a l s e )
SobjUser. SetlnfoO
}
Первая строка сценария подключается к к о н т е й н е р у OU ( п о д р а з д е л е н и е ) ,
в котором будут созданы все новые пользователи. С л е д у ю щ и е д в е с т р о к и п о д -
ключаются к источнику данных и выполняют ц и к л по всем з а п и с я м , п р и с в а и в а я
каждую запись переменной SdataRecord. Б л о к foreach в ы п о л н я е т д в е о п е р а ц и и .
Во-первых, он сопоставляет поля в источнике д а н н ы х с п е р е м е н н ы м и . З а т е м
он создает пользователя.
Обратите внимание на то, что некоторые п е р е м е н н ы е к о н с т р у и р у ю т с я пу-
тем конкатенации (объединения) двух полей. П е р е м е н н а я SdisplayName и с п о л ь -
зует формат LastName, FirstName, а переменная SuserPrincipalName — ф о р м а т
FirstName, LastName@contoso.com.
Пользователь создается с помощью метода Create п о д р а з д е л е н и я . А т р и б у т ы
пользователя заполняются и подтверждаются, п о с л е чего н а з н а ч а е т с я п а р о л ь
и выполняется включение учетной записи.

.Выполнение сценария Windows PowerShell


По умолчанию Windows PowerShell запрещает в ы п о л н е н и е с ц е н а р и е в из со-
ображений безопасности. Д л я запуска сценария т р е б у е т с я и з м е н и т ь п о л и т и к у
выполнения Windows PowerShell с помощью с л е д у ю щ е й к о м а н д ы :
set-executionpolicy remotesigned
Политика выполнения указывает с ц е н а р и и , к о т о р ы е м о ж н о з а п у с к а т ь .
Вышеприведенная команда конфигурирует W i n d o w s P o w e r S h e l l д л я з а п у с к а
локальных сценариев и требования подписи сценариев из у д а л е н н ы х и с т о ч н и -
ков. Изменение политики выполнения в л и я е т на безопасность, п о э т о м у р е к о -
мендуется прочитать информацию о запуске с ц е н а р и е в W i n d o w s P o w e r S h e l l ,
находящуюся по адресу http://www.microsoft.com/technet/scriptcenter/topics/
winpsh/manual/run.mspx#EXC.
После назначения политики выполнения м о ж н о з а п у с т и т ь с ц е н а р и й , од-
нако если указать для запуска л и ш ь и м я сценария, в о з н и к н е т о ш и б к а . Н у ж н о
Занятие 2 Создание пользователей с помощью Windows PowerShell и VBScript •) Q3

указать путь к с ц е н а р и ю . Вы м о ж е т е и с п о л ь з о в а т ь н о т а ц и ю \имя_сценария,


к о т о р а я о з н а ч а е т т е к у щ и й каталог. Н а п р и м е р , с л е д у ю щ а я команда в ы п о л н я е т
сценарий импорта пользователей:
. \ U s e r I m p o r t . ps1

Введение в VBScript
Я з ы к с ц е н а р и е в V B S c r i p t п о д д е р ж и в а е т а в т о м а т и з а ц и ю административных за-
дач во всех т е к у щ и х в е р с и я х W i n d o w s . С ц е н а р и и V B S c r i p t представляют собой
т е к с т о в ы е ф а й л ы , к о т о р ы е , к а к п р а в и л о , р е д а к т и р у ю т с я с помощью программы
Блокнот (Notepad) или редактора сценариев и сохраняются с расширением
.vbs. Д л я в ы п о л н е н и я с ц е н а р и я м о ж н о д в а ж д ы щ е л к н у т ь его значок. Сцена-
р и й о т к р о е т с я с п р и м е н е н и е м к о м а н д ы Wsctipt.exe. В качестве альтернативы
с ц е н а р и й м о ж н о з а п у с т и т ь в к о м а н д н о й с т р о к е с п о м о щ ь ю команды Cscript.
ехе, п р и м е н и в с л е д у ю щ и й с и н т а к с и с :
cscript.exe имя_сценария
О б е к о м а н д ы , Wscript.exe и Cscript.exe, я в л я ю т с я к о м п о н е н т а м и сервера
с ц е н а р и е в W S H ( W i n d o w s S c r i p t i n g H o s t ) , п р е д с т а в л я ю щ е г о собой структуру
а в т о м а т и з а ц и и , у с т а н о в л е н н у ю в о всех т е к у щ и х в е р с и я х Windows, которая
п о д д е р ж и в а е т н е с к о л ь к о я з ы к о в с ц е н а р и е в , в том ч и с л е и VBScript.

Создание пользователя с помощью VBScript


П о с к о л ь к у V B S c r i p t т а к ж е и с п о л ь з у е т и н т е р ф е й с A D S I д л я манипулирова-
н и я о б ъ е к т а м и в A c t i v e D i r e c t o r y , п р о ц е с с с о з д а н и я п о л ь з о в а т е л я в VBScript
и д е н т и ч е н с о з д а н и ю п о л ь з о в а т е л я в W i n d o w s PowerShell. Приведем простой
пример сценария создания пользователя:
' Set objOU=GetObject("LDAP://OU=People,DC=contoso, DC=com")
Set objUser=objOU.Create("user","CN=Mary N o r t h " )
objUser.Put "sAMAccountName","тагу.north"
objUser.SetlnfoO
В н а ч а л е с ц е н а р и й п о д к л ю ч а е т с я к к о н т е й н е р у OU (подразделение), в ко-
т о р о м б у д е т с о з д а н п о л ь з о в а т е л ь . С ц е н а р и й V B S c r i p t п р и м е н я е т инструкцию
GetObject д л я п о д к л ю ч е н и я к о б ъ е к т у A D S I в с о о т в е т с т в и и с его отличитель-
ным именем. П р и п р и с в о е н и и объекта переменной в VBScript для создания
о б ъ е к т н о й с с ы л к и и с п о л ь з у е т с я и н с т р у к ц и я Set.
В т о р а я с т р о к а кода а к т и в и з и р у е т м е т о д Create подразделения д л я создания
о б ъ е к т а к о н к р е т н о г о к л а с с а с к о н к р е т н ы м о т л и ч и т е л ь н ы м именем точно так
же, к а к в п р и м е р е W i n d o w s P o w e r S h e l l . П о с к о л ь к у результатом в ы п о л н е н и я
метода я в л я е т с я объект, д л я п р и с в о е н и я о б ъ е к т н о й с с ы л к и переменной м о ж н о
в н о в ь и с п о л ь з о в а т ь и н с т р у к ц и ю Set.
Т р е т ь я с т р о к а к о д а и с п о л ь з у е т м е т о д Put о б ъ е к т а п о л ь з о в а т е л я , о д н а к о
в V B S c r i p t а р г у м е н т не з а к л ю ч а е т с я в к р у г л ы е скобки. Ч е т в е р т а я строка кода
и д е н т и ч н а W i n d o w s P o w e r S h e l l : она п о д т в е р ж д а е т и з м е н е н и я . Сохраните сце-
н а р и й в в и д е ф а й л а N e w u s e r . v b s и в ы п о л н и т е его в к о м а н д н о й оболочке или
о б о л о ч к е W i n d o w s P o w e r S h e l l с п о м о щ ь ю с л е д у ю щ е й команды:
cscript.exe newusers.vbs
-) 110 Пользователи Глава з

Сценарии VBScript и Windows PowerShell


Сценарии VBScript имеют два з н а ч и т е л ь н ы х п р е и м у щ е с т в а п о с р а в н е н и ю
с Windows PowerShell. Первое п р е и м у щ е с т в о с о с т о и т в т о м , что с ц е н а р и и
VBScript можно запускать во всех текущих в е р с и я х W i n d o w s с п о м о щ ь ю сер-
вера сценариев WSH, а оболочку Windows PowerShell н у ж н о з а г р у ж а т ь и уста-
навливать во всех версиях Windows до W i n d o w s S e r v e r 2 0 0 8 в м е с т е с п л а т -
формой .NET Framework не ниже версии 2.0. Второе п р е и м у щ е с т в о V B S c r i p t
заключается в том, что этот я з ы к используется у ж е м н о г о л е т и в И н т е р н е т е
существует множество наработок, советов, р е к о м е н д а ц и й и д р у г о й п о л е з н о й
информации сообществ.
Тем не менее сервер сценариев W S H не о б е с п е ч и в а е т о б о л о ч к у д л я н е п о -
средственного выполнения команд. Кроме того, я з ы к V B S c r i p t не н а с т о л ь к о
богат и не полностью использует структуру . N E T F r a m e w o r k . Х о т я в W i n d o w s
Server 2008 есть сервер сценариев W S H и п о д д е р ж и в а е т с я V B S c r i p t , б у д у щ е е
все же за Windows PowerShell. Поэтому оболочка W i n d o w s P o w e r S h e l l п р е д -
ставлена первой на этом занятии.
Недостатки Windows PowerShell я в л я ю т с я п р о т и в о п о л о ж н о с т ь ю п р е и м у -
ществ VBScript. Сам факт того, что оболочка W i n d o w s P o w e r S h e l п р е д с т а в -
ляет собой новый продукт, означает, что она все е щ е п р е б ы в а е т в п р о ц е с с е
разработки. В предыдущих разделах мы о б с у д и л и с о з д а н и е у ч е т н ы х з а п и с е й
с помощью Windows PowerShell. О п и с а н н ы е т е х н о л о г и и и к о д д о с т а т о ч н о
сложные и практически идентичны VBScript.
Дело в том, что текущая версия W i n d o w s P o w e r S h e l l о б е с п е ч и в а е т в е с ь м а
ограниченную поддержку администрирования Active Directory. В о т л и ч и е от
интерфейса управления Windows W M I ( W i n d o w s M a n a g e m e n t I n t e r f a c e ) и
Microsoft Exchange Server с очень богатым н а б о р о м п о с т а в щ и к о в W i n d o w s
PowerShell, поддержка Active D i r e c t o r y о г р а н и ч е н а н е у к л ю ж и м а д а п т е р о м
ADSI и в конечном счете полагается на ADSI, к а к и в с ц е н а р и я х V B S c r i p t .
В будущих версиях Windows PowerShell будет о б е с п е ч е н п о с т а в щ и к A c t i v e
Directory, который упростит работу с объектами Active D i r e c t o r y а н а л о г и ч н о
работе с файлами в файловой системе.
Помните, что на сертификационном экзамене 7 0 - 6 4 0 в а м не п о т р е б у е т с я
создавать сценарии Windows PowerShell и л и V B S c r i p t . О д н а к о в ы д о л ж н ы
распознавать сценарии, в которых выполняется п р о ц е с с с о з д а н и я п о л ь з о в а т е -
ля: подключение к подразделению, создание объекта, з а п о л н е н и е его с в о й с т в
и подтверждение изменений.

Практические занятия. Создание пользователей с помощью


сценариев Windows PowerShell и VBScript
В предложенных далее упражнениях вы создадите множество п о л ь з о в а т е л ь с к и х
учетных записей с помощью автоматизированных методов, о п и с а н н ы х на э т о м
занятии. Для выполнения упражнений вам п о н а д о б и т с я о б ъ е к т OU ( п о д р а з -
деление) первого уровня с именем Кадры в домене contoso.com.
Занятие 2 Создание пользователей с помощью Windows PowerShell и VBScript i 11

Упражнение 1. Установка Windows PowerShell


Ч т о б ы и с п о л ь з о в а т ь W i n d o w s P o w e r S h e l l д л я в ы п о л н е н и я административных
задач, в э т о м у п р а ж н е н и и вы у с т а н о в и т е к о м п о н е н т W i n d o w s PowerShell.
1. О т к р о й т е Д и с п е т ч е р с е р в е р а ( S e r v e r M a n a g e r ) .
2. В д е р е в е к о н с о л и щ е л к н и т е у з е л К о м п о н е н т ы ( F e a t u r e s ) .
3 . Щ е л к н и т е с с ы л к у Д о б а в и т ь к о м п о н е н т ы ( A d d Features).
4. В с п и с к е К о м п о н е н т ы ( F e a t u r e s ) в ы б е р и т е W i n d o w s PowerShell. Щ е л к н и т е
кнопку Далее (Next).
5. Щелкните кнопку Установить (Install).
6 . П о с л е з а в е р ш е н и я у с т а н о в к и щ е л к н и т е к н о п к у З а к р ы т ь (Close).
7 . Щ е л к н и т е п р а в о й к н о п к о й м ы ш и з н а ч о к W i n d o w s PowerShell в группе
п р о г р а м м W i n d o w s P o w e r S h e l l и п р и м е н и т е к о м а н д у З а к р е п и т ь в меню
"Пуск" (Pin То Start M e n u ) .
Упражнение 2. Создание пользователя с помощью Windows PowerShell
Д а л е е в ы будете и с п о л ь з о в а т ь W i n d o w s P o w e r S h e l l д л я создания пользователя
в Active Directory.
1. О т к р о й т е W i n d o w s P o w e r S h e l l .
2. П о д к л ю ч и т е с ь к п о д р а з д е л е н и ю Кадры, в о с п о л ь з о в а в ш и с ь командой:
$obj 0U=[ADSI]"LDAP://0U=Кадры,DC=contoso,DC=com"
3. С о з д а й т е о б ъ е к т п о л ь з о в а т е л я в п о д р а з д е л е н и и с п о м о щ ь ю команды:
$objUser=$objOU.Create("user","CN=M3PM Норт")
4. П о с р е д с т в о м у к а з а н н о й д а л е е к о м а н д ы задайте обязательный атрибут име-
ни входа пред-Windows 2000 пользователя:
$obj User.Put("sAMAccountName","тагу.north")
5. П о д т в е р д и т е и з м е н е н и я в A c t i v e D i r e c t o r y с п о м о щ ь ю команды:
$objUser.SetInfo()
6 . П о д т в е р д и т е ф а к т с о з д а н и е объекта, в о с п о л ь з о в а в ш и с ь командой:
SobjUser.distinguishedName
К о м а н д а д о л ж н а в е р н у т ь о т л и ч и т е л ь н о е и м я пользователя.
7. С п о м о щ ь ю у к а з а н н о й н и ж е к о м а н д ы п р о а н а л и з и р у й т е а т р и б у т ы пользо-
в а т е л я , а в т о м а т и ч е с к и о т к о н ф и г у р и р о в а н н ы е в Active Directory:
SobjUser | get-member
Эта к о м а н д а п р о п у с к а е т через к о н в е й е р объект, п р е д с т а в л я ю щ и й пользова-
т е л я к о м а н д л е т у Get-Memver, к о т о р ы й п е р е ч и с л я е т з а п о л н е н н ы е атрибуты.

Упражнение 3. Создание нового пользователя с помощью Windows PowerShell


В у п р а ж н е н и и 2 вы с о з д а л и п о л ь з о в а т е л я , н е п о с р е д с т в е н н о н а б и р а я команды
в W i n d o w s P o w e r S h e l l . В э т о м у п р а ж н е н и и вы создадите с ц е н а р и й Windows
PowerShell, к о т о р ы й а в т о м а т и з и р у е т с о з д а н и е п о л ь з о в а т е л я .
-) 112 Пользователи Глава з

1. Откройте программу Блокнот (Notepad). Введите т а к о й код.


Sob J O U = [ ADSI ]" LDAP: //011=Кадри, DOcontoso, DC=Com"
SobjUser=$obJOU.Create("user", " C N = C K O T T Митчелл")
SobjUser. Put ("sAMAccountName", " s c o t t . m i t c h e l l " )
SobjUser.SetlnfoO
2. Сохраните сценарий под и м е н е м « N e w u s e r . p s l » в п а п к е Д о к у м е н т ы
(Documents), включая кавычки, чтобы п р о г р а м м а Б л о к н о т н е д о б а в и л а
расширение .txt.
3. Откройте Windows PowerShell.
4. Введите команду get-childitem и нажмите к л а в и ш у E n t e r . К о м а н д л е т Get-
Childltem перечисляет все текущие д о ч е р н и е о б ъ е к т ы в к о н в е й е р е . П а п к а ,
указанная в командной строке Windows PowerShell, н а х о д и т с я в к о н в е й е р е .
5. Введите команду dir и нажмите к л а в и ш у E n t e r .
Псевдоним dir ссылается на командлет Get-Childltem.
6. Введите команду cd documents и нажмите к л а в и ш у E n t e r .
Вы должны перейти к папке Документы ( D o c u m e n t s ) .
7. Запустите сценарии на выполнение с п о м о щ ь ю к о м а н д ы
set-executionpolicy remotesigned
8. Чтобы выполнить сценарий, введите .\newuser.ps1 и н а ж м и т е к л а в и ш у Enter.
Нотация. \ указывает текущий путь в качестве п у т и к с ц е н а р и ю . Б е з д а н н о й
нотации возникнет ошибка.
9. Проверьте, создан ли в Active D i r e c t o r y п о л ь з о в а т е л ь .

Упражнение 4. Создание нового пользователя с п о м о щ ь ю V B S c r i p t


В этом упражнении вы создадите сценарий V B S c r i p t , к о т о р ы й а в т о м а т и з и р у е т
процесс создания пользователя.
1. Откройте программу Блокнот (Notepad).
2. Введите следующие строки кода:
Set obj0U=Get0bject("LDAP://0U=Кадры,DC=contoso,DC=com")
Set objUser=objOU.Create("user","CN=JtoHfla Митчелл")
objUser.Put "sAMAccountName","linda.mitchell"
objUser.SetlnfoO
3. Сохраните сценарий под и м е н е м « N e w u s e r . v b s » в п а п к е Д о к у м е н т ы
(Documents), включая кавычки, ч т о б ы п р о г р а м м а Б л о к н о т н е д о б а в и л а
расширение .txt.
4. Откройте окно командной строки.
5. Введите команду cd %userprofile%\documents и н а ж м и т е к л а в и ш у E n t e r .
6. Выполните сценарий с помощью команды cscript.exe newuser.vbs.
7. Проверьте, был ли создан пользователь в Active Directory.
Занятие 2 Создание пользователей с помощью Windows PowerShell и VBScript •) Q3

Резюме
• Оболочка W i n d o w s P o w e r S h e l l о б е с п е ч и в а е т п о д д е р ж к у в ы п о л н е н и я адми-
н и с т р а т и в н ы х з а д а ч в к о м а н д н о й с т р о к е и с п о м о щ ь ю сценариев. Оболочка
W i n d o w s P o w e r S h e l l я в л я е т с я к о м п о н е н т о м W i n d o w s Server 2008. Ее также
м о ж н о з а г р у з и т ь д л я W i n d o w s Server 2003, W i n d o w s Vista и Windows XP.
• Я з ы к сценариев V B S c r i p t м о ж н о обрабатывать сервером сценариев Windows
Scripting H o s t . Э т о т к о м п о н е н т есть в о всех т е к у щ и х версиях Windows.
• Д л я с о з д а н и я о б ъ е к т а Active D i r e c t o r y с п о м о щ ь ю W i n d o w s PowerShell и л и
VBScript в н а ч а л е в ы п о л н я е т с я п о д к л ю ч е н и е к контейнеру (например, к под-
р а з д е л е н и ю ) , з а т е м с о з д а е т с я объект, з а п о л н я ю т с я его свойства, после чего
и з м е н е н и я п о д т в е р ж д а ю т с я в Active D i r e c t o r y с помощью команды Setlnfo.

Закрепление материала
П р и в е д е н н ы е н и ж е в о п р о с ы м о ж н о и с п о л ь з о в а т ь д л я проверки знаний, полу-
ченных на з а н я т и и 2. Э т и в о п р о с ы есть на с о п р о в о д и т е л ь н о м компакт-диске.

ПРИМЕЧАНИЕ Ответы
Ответы на эти вопросы с пояснениями к каждому варианту ответа помещены в разде-
ле «Ответы» в конце книги.

1. В а м н у ж н о с о з д а т ь о б ъ е к т п о л ь з о в а т е л я с п о м о щ ь ю W i n d o w s PowerShell.
Какую операцию следует выполнить?
A. И с п о л ь з о в а т ь к о м а н д л е т C r e a t e - U s e r .
Б. И с п о л ь з о в а т ь м е т о д NewUser и н т е р ф е й с а A D S I .
B. А к т и в и з и р о в а т ь м е т о д Create к о н т е й н е р а п о д р а з д е л е н и я ( O U ) .
Г. П р и м е н и т ь и н с т р у к ц и ю set objUser=CreateObject.
2. В а м н у ж н о с о з д а т ь о б ъ е к т п о л ь з о в а т е л я с п о м о щ ь ю одной команды. Какую
команду следует использовать?
A. К о м а н д л е т C r e a t e - I t e m .
Б. М е т о д Setlnfo.
B. М е т о д Create п о д р а з д е л е н и я ( O U ) .
Г. К о м а н д у Dsadd.
3. К а к и е из с л е д у ю щ и х с т р о к кода н е о б х о д и м ы д л я создания объекта пользо-
в а т е л я в п о д р а з д е л е н и и К а д р ы ? ( У к а ж и т е все варианты. К а ж д ы й правиль-
н ы й в а р и а н т я в л я е т с я ч а с т ь ю п о л н о г о ответа.)
A. $ о ^ и 5 е г = $ о Ь ] О и . С г е а 1 е ( " ш е г " , " С Н = Д ж е ф ф Ф о р д " ) .
Б. $ o b j User. S e t I n f o ( ) .
B. $о^и5ег=Сгеа1еОЬ]ес1("ЬОАР://СН=Джефф Форд,Ои=Кадры,ОС=
contoso,DC=cdm").
Г. $objOU=[ADSI]"LDAP://OU=Kaflpbi,DC=contoso,DC=com".
-) 4 Пользователи Глава з

Занятие 3. Поддержка пользовательских объектов


и учетных записей
На первых двух занятиях в этой главе описаны методы, с п о м о щ ь ю к о т о р ы х
можно создавать учетные записи п о л ь з о в а т е л е й . О д н а к о это л и ш ь п е р в ы й
шаг жизненного цикла пользователя в домене. П о с л е с о з д а н и я п о л ь з о в а т е л я
нужно отконфигурировать атрибуты, о п р е д е л я ю щ и е с в о й с т в а п р и н ц и п а л а бе-
зопасности (учетной записи), а также свойства, у п р а в л я ю щ и е п о л ь з о в а т е л е м .
Кроме того, нужно знать, когда и как а д м и н и с т р и р о в а т ь у ч е т н у ю з а п и с ь д л я
сброса паролей и разблокировки. И наконец, н у ж н о у м е т ь п е р е м е щ а т ь п о л ь з о -
вателя между подразделениями, а также о т к л ю ч а т ь и у д а л я т ь у ч е т н у ю запись.
На этом занятии мы рассмотрим процедуры, и с п о л ь з у е м ы е для- п о д д е р ж к и
объектов пользователей на протяжении их ж и з н е н н о г о ц и к л а . Э т и п р о ц е д у р ы
можно выполнять с помощью интерфейса W i n d o w s и к о м а н д н о й с т р о к и и л и
инструментов автоматизации.

Изучив материал этого занятия, вы сможете:


У Идентифицировать назначение и требования атрибутов учетной записи поль-
зователя и свойств имени пользователя.
/ Просматривать и модифицировать скрытые атрибуты объектов пользова-
телей.
У Модифицировать атрибуты множества пользователей одновременно.
S Управлять пользователями с помощью оснастки Active Directory — пользо-
ватели н компьютеры (Active Directory Users and Computers), команд DS,
Windows PowerShell и VBScript.
У Выполнять распространенные административные задачи для поддержки учет-
ных записей пользователей.
Продолжительность занятия — около 90 мин.

Управление атрибутами пользователей с помощью оснастки


Active Directory — пользователи и компьютеры
При создании учетной записи пользователя с п о м о щ ь ю мастера Н о в ы й объект —
Пользователь (New Object — User) оснастки Active D i r e c t o r y — п о л ь з о в а т е л и
и компьютеры (Active Directory Users and C o m p u t e r s ) н у ж н о у к а з а т ь н е к о -
торые свойства объекта, в том числе имена входа, п а р о л ь , и м я и ф а м и л и ю
пользователя. Однако объект пользователя в Active D i r e c t o r y п о д д е р ж и в а е т
десятки дополнительных свойств, которые м о ж н о к о н ф и г у р и р о в а т ь с п о м о щ ь ю
оснастки Active Directory — пользователи и к о м п ь ю т е р ы .
Для чтения и модификации объекта п о л ь з о в а т е л я щ е л к н и т е его п р а в о й
кнопкой мыши и примените команду С в о й с т в а ( P r o p e r t i e s ) . О т к р о е т с я д и а -
логовое окно свойств пользователя, показанное на рис. 3-4. А т р и б у т ы о б ъ е к т а
пользователя распределены по нескольким о б ш и р н ы м к а т е г о р и я м на в к л а д к а х
диалогового окна.
Занятие 3 Поддержка пользовательских объектов и учетных записей 115

В-зыяезгшяк-.'" на
аляьлз»»», j
1
П, они» irrc I CQM* I s^Ml/rae
JVA. ) П* IV '. ! TVMO-™ j ..»- .ЧЧ-"

Рис. 3-4. Диалоговое окно свойств пользователя

• Атрибуты учетной записи: вкладка Учетная запись (Account) Эти свойс-


тва в к л ю ч а ю т и м е н а входа, п а р о л ь и параметры учетной записи. Многие из
этих а т р и б у т о в м о ж н о к о н ф и г у р и р о в а т ь при создании нового пользователя
с п о м о щ ь ю о с н а с т к и A c t i v e D i r e c t o r y — п о л ь з о в а т е л и и компьютеры (Ас-
. tive D i r e c t o r y U s e r s a n d C o m p u t e r s ) . А т р и б у т ы учетной записи описаны
в п о д р а з д е л е « С в о й с т в а у ч е т н о й з а п и с и » далее в этой главе.
• Л и ч н ы е сведения: в к л а д к и О б щ и е (General), Адрес (Address), Телефоны
(Telephones) и Организация (Organization) Вкладка О б щ и е содержит
с в о й с т в а и м е н и , к о н ф и г у р и р у е м ы е п р и с о з д а н и и объекта пользователя,
а т а к ж е о с н о в н о е о п и с а н и е и к о н т а к т н ы е данные. Вкладки Адрес и Телефо-
н ы с о д е р ж а т п о д р о б н ы е к о н т а к т н ы е сведения. Н а вкладке Телефоны также
р а з м е щ е н о т е к с т о в о е п о л е З а м е т к и ( N o t e s ) , которое сопоставлено с атри-
б у т о м info и о ч е н ь ч а с т о и с п о л ь з у е т с я м н о г и м и предприятиями. Вкладка
О р г а н и з а ц и я с о д е р ж и т д о л ж н о с т ь , отдел, н а з в а н и е и связи организации.
• Управление конфигурацией пользователя: вкладка Профиль (Profile) На
э т о й в к л а д к е м о ж н о к о н ф и г у р и р о в а т ь п у т ь к п р о ф и л ю пользователя, сце-
н а р и й в х о д а и д о м а ш н ю ю папку.
• Ч л е н с т в о в г р у п п а х : в к л а д к а Ч л е н групп ( M e m b e r O f ) Вы можете добав-
л я т ь и у д а л я т ь п о л ь з о в а т е л я из групп, а т а к ж е и з м е н я т ь основную группу
п о л ь з о в а т е л я . Ч л е н с т в о в группах и основную группу мы обсудим в главе 5.
• С л у ж б ы т е р м и н а л о в : П р о ф и л ь с л у ж б терминалов (Terminal Services
Profile), Среда ( E n v i r o n m e n t ) , Удаленное управление (Remote Control)
и Сеансы (Sessions) На этих четырех вкладках можно конфигурировать
п о л ь з о в а т е л е й , к о т о р ы е п о д к л ю ч а ю т с я к сеансу С л у ж б терминалов (Termi-
nal Services) и у п р а в л я т ь и м и .
116 Пользователи Глава 3

К СВЕДЕНИЮ Параметры служб терминалов


Более подробную информацию о параметрах служб терминалов можно найти в кни-
ге «MCTS: Configuring Windows Server 2008 Applications Infrastructure», авторами
которой являются Дж. С. Макин и А. Десаи (Microsoft Press, 2008).

• Удаленный доступ: в к л а д к а В х о д я щ и е з в о н к и ( D i a l - i n ) Разрешения


удаленного доступа пользователя м о ж н о в к л ю ч и т ь и к о н ф и г у р и р о в а т ь на
вкладке Входящие звонки.
• Приложения: вкладка С О М + На этой в к л а д к е м о ж н о н а з н а ч а т ь п о л ь -
зователей для набора разделов С О М + каталогов Active Directory. Д а н н ы й
компонент упрощает управление р а с п р е д е л е н н ы м и п р и л о ж е н и я м и , в сер-
тификационный экзамен 7 0 - 6 4 0 он не в к л ю ч е н .

Просмотр всех атрибутов


Объект пользователя обладает д о п о л н и т е л ь н ы м и с в о й с т в а м и п о м и м о у к а з а н -
ных атрибутов в диалоговом окне Свойства ( P r o p e r t i e s ) . Н е к о т о р ы е из э т и х
так называемых скрытых свойств могут о к а з а т ь с я д о в о л ь н о п о л е з н ы м и в ва-
шей организации. Чтобы просмотреть скрытые а т р и б у т ы п о л ь з о в а т е л я , н у ж н о
перейти на вкладку Редактор атрибутов ( A t t r i b u t e E d i t o r ) , к о т о р а я я в л я е т с я
новым компонентом Windows Server 2008. Щ е л к н и т е м е н ю В и д ( V i e w ) и ус-
тановите флажок Дополнительные к о м п о н е н т ы ( A d v a n c e d F e a t u r e s ) . З а т е м
откройте диалоговое окно Свойства ( P r o p e r t i e s ) п о л ь з о в а т е л я , где д о л ж н а
отображаться вкладка Редактор атрибутов, к а к п о к а з а н о на рис. 3-5.
Редактор атрибутов (Attribute Editor) о т о б р а ж а е т все с и с т е м н ы е а т р и б у т ы
выбранного объекта. С помощью к н о п к и Ф и л ь т р ( F i l t e r ) м о ж н о о т о б р а з и т ь
еще больше атрибутов, в том числе обратные с с ы л к и и п о с т р о е н н ы е а т р и б у т ы .
Обратные ссылки — это атрибуты, получаемые в р е з у л ь т а т е с с ы л о к на о б ъ е к т
из других объектов. Проще всего понять к о н ц е п ц и ю о б р а т н ы х с с ы л о к м о ж н о
на примере атрибута memberOf. При д о б а в л е н и и п о л ь з о в а т е л я в г р у п п у и з м е -
няется атрибут группы member — в этот м н о г о з н а ч н ы й а т р и б у т д о б а в л я е т с я
отличительное имя пользователя. Поэтому а т р и б у т member г р у п п ы н а з ы в а е т -
ся атрибутом прямой ссылки. Атрибут memberOf п о л ь з о в а т е л я а в т о м а т и ч е с к и
обновляется в Active Directory при ссылке на п о л ь з о в а т е л я а т р и б у т о м member
группы. Вам даже не нужно выполнять п р я м у ю з а п и с ь в а т р и б у т memberOf,
поскольку он динамически поддерживается в Active Directory.
Построенный атрибут получается в результате в ы ч и с л е н и я в A c t i v e Direc-
tory. В качестве примера можно привести атрибут tokenGroups, п р е д с т а в л я ю щ и й
собой список идентификаторов безопасности S I D ( S e c u r i t y I d e n t i f i e r ) в с е х
групп, к которым принадлежит пользователь, в к л ю ч а я в л о ж е н н ы е г р у п п ы .
Чтобы определить значение атрибута tokenGroups, с т р у к т у р а A c t i v e D i r e c t o r y
должна просчитать действующее членство п о л ь з о в а т е л я в г р у п п а х , д л я чего
потребуется выполнить несколько циклов процессора. П о э т о м у э т о т а т р и б у т
не хранится как часть объекта пользователя и не п о д д е р ж и в а е т с я д и н а м и ч е с -
ки — он вычисляется лишь при необходимости. П о с к о л ь к у д л я п о л у ч е н и я
Занятие 3 Поддержка пользовательских объектов и учетных записей 117

п о с т р о е н н ы х а т р и б у т о в н е о б х о д и м а обработка, Редактор атрибутов ( A t t r i b u t e


E d i t o r ) н е о т о б р а ж а е т и х п о у м о л ч а н и ю . П о с т р о е н н ы е атрибуты нельзя ис-
пользовать в запросах LDAP.

c
er
n«e
«w»
»v1Чми
гру
го I Р«г*м(*>»м v*vr»> '
вомим* жо
-мм I Oe**r | беоо-лмвеп- | Cow j

Эв
щ н
е|Лд
ж с|У<*
»ш яткь- ] j Ttrmo^ ! Оегагамии I
rVo««i» с
губ •чмеадм | COM.
х Реле***» w*
AI
J
M ^
-
TV

dcsJtOasiSiorv oi« »*»«»


deoatmert rfcnoaxw ~J
•iepaitraer* Numb
er омшаю)
deicnpttxi Менедж ер no гро
дежл
м Нидоп^м
Ь »И
;о р РпУье M O SHO.-
йеияЛюгЬлсв^а oit заимок
«feptoytome TowК ра
йнем
(4*JeyN«nePnr<ebie <нв зелено >
delngujheriNeme CN-Tw Hp»*.* .O J
'-Кец»» .DC-ecrto»
ctveor <nt мааио^
dSASgriati*B Л»
dSCorePropecatonD №>•{)
dyr«T «eL DAP Server -ле моано
>

i T ... 1 «г1
•• I I

I <* I I I to— I
Рис. 3-5. Вкладка Редактор атрибутов

К а к п о к а з а н о н а р и с . 3-5, н е к о т о р ы е а т р и б у т ы объекта пользователя, на-


п р и м е р division, employeelD, employeeNumber и employeefype, довольно удобно
и с п о л ь з о в а т ь . Х о т я э т и а т р и б у т ы н е п о к а з а н ы н а стандартных вкладках диа-
л о г о в о г о о к н а с в о й с т в о б ъ е к т а п о л ь з о в а т е л я , о н и д о с т у п н ы в редакторе атри-
бутов. К р о м е того, с п о м о щ ь ю W i n d o w s P o w e r S h e l l и VBScript к ним можно
получить программный доступ.

К СВЕДЕНИЮ Скрытые атрибуты объектов


Более подробную и н ф о р м а ц и ю об использовании скрытых атрибутов объектов
и р а с ш и р е н и и схемы путем добавления настраиваемых атрибутов можно найти
в руководстве «Windows Administration Resource Kit: Productivity Solutions for IT
Professionals», автором которого является Дэн Холме (Microsoft Press, 2008).

Управление атрибутами множества пользователей


С п о м о щ ь ю о с н а с т к и A c t i v e D i r e c t o r y — п о л ь з о в а т е л и и к о м п ь ю т е р ы (Active
Directory Users and C o m p u t e r s ) м о ж н о одновременно модифицировать свойства
множества о б ъ е к т о в п о л ь з о в а т е л е й . В ы б е р и т е несколько объектов пользовате-
лей, н а ж а в к л а в и ш у C t r l и щ е л к а я каждого пользователя и л и п р и м е н и в другую
т е х н о л о г и ю м н о ж е с т в е н н о й в ы б о р к и . В ы б е р и т е о б ъ е к т ы л и ш ь одного класса,
например к л а с с а П о л ь з о в а т е л и . П о с л е в ы б о р а м н о ж е с т в а объектов щ е л к н и т е
правой к н о п к о й м ы ш и л ю б о й из них и примените команду Свойства (Properties).
-) 118 Пользователи Глава з

При выборке множества объектов пользователей д л я м о д и ф и к а ц и и досту-


пен поднабор свойств.
• Вкладка Общие (General) Описание (Description), К о м н а т а (Office), Н о -
мер телефона (Telephone Number), Ф а к с (Fax), В е б - с т р а н и ц а ( W e b Page),
Электронная почта (E-mail).
• Учетная запись ( A c c o u n t ) Суффикс U P N ( U P N Suffix), Время входа
(Logon Hours), Ограничения компьютера ( C o m p u t e r R e s t r i c t i o n s ) ( р а б о ч и е
станции входа), все Параметры учетной з а п и с и ( A c c o u n t O p t i o n s ) , С р о к
действия учетной записи (Account Expires).
• Адрес (Address) Улица (Street), Почтовый я щ и к (P.O. Box), Город ( C i t y ) ,
Область, кран (State/Province), Почтовый и н д е к с ( Z I P / P o s t a l C o d e ) , Стра-
на пли регион (Country/Region).
• Профиль (Profile) Путь к профилю (Profile Path), С ц е н а р и й входа ( L o g o n
Script) и Домашняя папка ( H o m e Folder).
• Организация (Organization) Должность (Title), О т д е л ( D e p a r t m e n t ) , О р -
ганизация (Company), Руководитель ( M a n a g e r ) .

СОВЕТ К ЭКЗАМЕНУ
Вы должны знать, какие свойства можно одновременно модифицировать для мно-
жества пользователей. В сценариях и задачах на сертификационном экзамене вам по-
требуется быстро менять многие свойства объектов пользователей для'тестирования
навыков в множественной выборке. В реальных средах всегда следует использовать
такие инструменты автоматизации, как Dsmod, Windows PowerShell и VBScript.

Атрибуты имен и учетной записи


На сертификационном экзамене потребуется знать два н а б о р а а т р и б у т о в : атри-
буты имен и атрибуты учетной записи.

Имена объектов пользователей


Некоторые атрибуты связаны с именами объекта п о л ь з о в а т е л я и у ч е т н о й з а п и -
си. Важно понимать разницу между ними.
• Атрибут sAMAccountName (имя входа п р е д - W i n o o w s 2 0 0 0 ) д о л ж е н б ы т ь
уникальным во всем домене. Для генерирования а т р и б у т а sAMAccountName
многие организации используют и н и ц и а л ы и л и н е к о т о р у ю к о м б и н а ц и ю из
имени и фамилии пользователя. Эта методика м о ж е т с о з д а в а т ь о п р е д е л е н -
ные трудности, поскольку в организации л ю б ы х р а з м е р о в всегда н а й д у т с я
пользователи с одинаковыми именем и ф а м и л и е й . Ч т о б ы не г е н е р и р о в а т ь
одинаковые значения атрибута sAMAccountName, в с и с т е м у н у ж н о в н е д р я т ь
исключения. Эта проблема решается, если д л я sAMAccountName и с п о л ь з у -
ется номер служащего или другой у н и к а л ь н ы й атрибут. Е с л и вы м о ж е т е
контролировать соглашения организации об именовании, р е к о м е н д у е т с я ис-
пользовать уникальное имя входа, не з а в и с я щ е е от и м е н и п о л ь з о в а т е л я .
• Атрибут userPrincipalName ( U P N ) состоит из и м е н и в х о д а и с у ф ф и к с а
UPN, которым по умолчанию является D N S - и м я домена, где создан объект.
Атрибут UPN должен быть у н и к а л ь н ы м д л я всего л е с а . О б ы ч н о э т о м у
Занятие 3 Поддержка пользовательских объектов и учетных записей 119
_
т р е б о в а н и ю с о о т в е т с т в у ю т адреса э л е к т р о н н о й почты, к о т о р ы е д о л ж н ы
б ы т к . у н н к а л ь н ы м и в о в с е м мире. Р а с с м о т р и м и с п о л ь з о в а н и е э л е к т р о н н ы х
адресов в к а ч е с т в е и м е н U P N . Е с л и и м я вашего домена Active D i r e c t o r y
отличается от и м е н и д о м е н а в а ш е й э л е к т р о н н о й почты, в качестве доступ-
ного с у ф ф и к с а н у ж н о д о б а в и т ь и м я д о м е н а э л е к т р о н н о й почты. Д л я этого
откройте, о с н а с т к у Active D i r e c t o r y — д о м е н ы и доверие (Active D i r e c t o r y
D o m a i n s A n d T r u s t s ) , щ е л к н и т е п р а в о й к н о п к о й м ы ш и корень о с н а с т к и
и примените команды Свойства (Properties).
• О т н о с и т е л ь н о е о т л и ч и т е л ь н о е и м я R D N д о л ж н о быть у н и к а л ь н ы м в под-
р а з д е л е н и и ( O U ) . Д л я п о л ь з о в а т е л е й это означает, что атрибут с п д о л ж е н
быть у н и к а л ь н ы м в п о д р а з д е л е н и и . З д е с ь м о ж е т понадобиться пойти на
х и т р о с т ь . Н а п р и м е р , е с л и у вас есть о д н о п л о с к о е подразделение ( O U )
д л я п о л ь з о в а т е л е й , у ж е с о д е р ж а щ е е п о л ь з о в а т е л я Скотт Митчелл, и в ы
н а н и м а е т е н а р а б о т у в т о р о г о с о т р у д н и к а С к о т т Митчелл, объект второго
п о л ь з о в а т е л я не с м о ж е т о б л а д а т ь т а к и м же о б щ и м именем, как у объекта
п е р в о г о п о л ь з о в а т е л я . К с о ж а л е н и ю , идеального р е ш е н и я этой проблемы
д л я всех о р г а н и з а ц и й н е с у щ е с т в у е т . Р е к о м е н д у е т с я внедрить стандарт
и м е н о в а н и я , п р и м е н я ю щ и й е д и н о е п р а в и л о д л я всех имен CN. И м я CN мо-
ж е т в к л ю ч а т ь в с е б я н о м е р с л у ж а щ е г о , например Скотт Митчелл (645928).
Е с л и с т р у к т у р а п о д р а з д е л е н и я у ч е т н ы х з а п и с е й пользователей является
п л о с к о й , н у ж н о б ы т ь г о т о в ы м к р е ш е н и ю т а к и х проблем.
К р о м е того, м н о г и е о р г а н и з а ц и и п р е д п о ч и т а ю т конфигурировать атрибут
сп в в и д е к о м б и н а ц и и Ф а м и л и я ( L a s t Name), И м я ( F i r s t Name), поскольку
в т а к о м с л у ч а е п о л ь з о в а т е л е й м о ж н о сортировать по ф а м и л и и в оснастке
Active D i r e c t o r y — п о л ь з о в а т е л и и к о м п ь ю т е р ы (Active Directory Users And
C o m p u t e r s ) . Э т о т метод не рекомендуется использовать д л я решения данной
п р о б л е м ы . В м е с т о п р и м е н е н и я ф о р м а т а из ф а м и л и и и имени д л я атрибута
сп л у ч ш е д о б а в ь т е в п р е д с т а в л е н и е о с н а с т к и Active D i r e c t o r y — пользо-
в а т е л и и к о м п ь ю т е р ы с т о л б е ц Ф а м и л и я ( L a s t Name), щ е л к н у в меню Вид
( V i e w ) и п р и м е н и в к о м а н д у Д о б а в и т ь и л и у д а л и т ь столбцы ( A d d / R e m o v e
C o l u m n s ) . З а т е м щ е л к н и т е з а г о л о в о к с т о л б ц а Ф а м и л и я , чтобы в ы п о л н и т ь
сортировку списка пользователей по фамилиям.

• А т р и б у т displayName о т о б р а ж а е т с я в г л о б а л ь н о й а д р е с н о й к н и г е G A L
( G l o b a l A d d r e s s L i s t ) с е р в е р а E x c h a n g e . П о л ь з о в а т е л е й иногда проще ло-
к а л и з о в а т ь в к н и г е G A L , е с л и о н и о т с о р т и р о в а н ы по ф а м и л и и . Вы може-
те с о з д а т ь в о р г а н и з а ц и и с о г л а ш е н и е об и м е н о в а н и и , согласно которому
а т р и б у т displayName и с п о л ь з у е т ф о р м а т И м я ( F i r s t Name), Ф а м и л и я (Last
Name).

Свойства учетной з а п и с и
Н а в к л а д к е У ч е т н а я з а п и с ь ( A c c o u n t ) д и а л о г о в о г о о к н а Свойства ( P r o p e r t i e s )
пользователя, п о к а з а н н о й на рис. 3-6, находятся атрибуты, прямо указывающие,
что п о л ь з о в а т е л ь я в л я е т с я п р и н ц и п а л о м безопасности, т о есть представляет
собой о б ъ е к т и д е н т и ф и к а ц и и , к о т о р о м у м о ж н о н а з н а ч а т ь р а з р е ш е н и я и права
доступа. Д р у г и м и п р и н ц и п а л а м и безопасности выступают компьютеры, группы
и к л а с с о б ъ е к т о в inetOrgPerson.
-) 120 Пользователи Глава з

Вамшаммом | Otveti | Ёеаспкмх* j С м » |


U»iсы | У я и т Щу п ( * а н * т |
ГЪэли*ячя£ | СОМ- Р е л в п с вт»<егт:е
Ofe* I >'«»*•»*»€» | Прсосъ ] Tenwcr» I

jsrvh^tn jeartMocar JJ
tw. м м П М Ы О М Ч О h * t WV47-» 2 Ю *
(С0НГС50-

\ i
Г" F a h W M t unnr*

( I t w i n f C N i i n a
p Ttwfe»»!* о щ - t гарсп» цз» Г Ч И ^ И f сист»м} Jt|

FCwi»i:iiwn<wi4ir(mii»'

С о *аЫкви» ww — ' —•
С Н*огм
г.*-» 1» • ^J

1
; o* | j crp-w j

Рис. 3-6. Свойства учетной записи объекта пользователя

Некоторые свойства учетной записи т р е б у ю т о т д е л ь н о г о в н и м а н и я , пос-


кольку они могут оказаться весьма полезными, но не всегда п о н я т н ы м и . Э т и
свойства описаны в табл. 3-2.

Табл. 3-2. Свойства учетной записи пользователя


Свойство Описание
Время входа (Logon Hours) Щелкните эту кнопку, чтобы отконфигурировать
время, в течение которого пользователю разрешено
входить в сеть
Вход на (Log On То) Щелкните эту кнопку, чтобы ограничить число
рабочих станций, на которых пользователь может
входить в сеть. В пользовательском интерфей-
се эти параметры называются компьютерными
ограничениями и сопоставляются с атрибутом
userWorkstations. Для ограничения пользователям
потребуется включить NetBIOS через TCP/IP,
поскольку для ограничения входа этот компонент
использует имя компьютера, а не МАС-адрес
(Media Access Control) его сетевой карты
Требовать смену пароля при Установите этот флажок, чтобы пользователь сме-
следующем входе в систему нил пароль, введенный при первом входе в систему.
(User Must Change Password At Эта опция неактивна в случае установки флажка
Next Logon) Срок действия пароля не ограничен (Password Nev-
er Expires). При установке данного флажка автома-
тически снимается флажок Запретить смену пароля
пользователем (User Cannot Change Password)
Занятие 3 П о д д е р ж к а п о л ь з о в а т е л ь с к и х объектов и учетных записей 121

Табл. 3-2\ (окончание)


Свойство 1 Описание
Запретить* с мену пароля поль- Установите этот флажок, если данную учетную за-
зователем (User Cannot Change пись (например, учетную запись гостя) будет
Password) v использовать множество лиц, либо если вам тре-
буется контроль над паролями учетных записей
пользователей. Эта опция обычно используется
для управления паролями учетных записей служб.
Данная опция неактивна, если установлен флажок
Требовать смену пароля при следующем входе
в систему
Срок действия пароля не огра- Установите этот флажок, чтобы указать неограни-
ничен (Password Never Expires) ченный срок действия пароля. При этом будет снят
флажок Требовать смену пароля при следующем
входе в систему, поскольку эти опции являются вза-
имоисключающими. Данная опция обычно исполь-
зуется для управления учетными записями служб
Отключить учетную запись Установите этот флажок для отключения учетной
(Account Is Disabled) записи, например, при создании объекта для нового
служащего, которому пока не требуется доступ в
сеть
Хранить пароль, используя Эта опция, позволяющая хранить пароль в Ac-
обратимое шифрование (Store tive Directory без применения мощного алгоритма
Password Using Reversible необратимого шифрования хэша Active Directory,
Encryption) предназначена для приложений, которым требуется
знать пароль пользователя. Если вы не используете
такие приложения, не устанавливайте этот флажок,
поскольку уровень безопасности пароля значи-
тельно снизится. Хранение паролей с обратимым
шифрованием аналогично хранению паролей в от-
крытом текстовом виде
Для интерактивного входа Смарт-карты представляют собой переносные
в сеть нужна смарт-карта (Smart защищенные аппаратные устройства, которые
Card Is Required For Interactive хранят уникальную информацию для идентифи-
Logon) кации пользователя. Они подключаются к систе-
ме и обеспечивают дополнительный физический
компонент идентификации для процесса проверки
подлинности
Учетная запись важна и не мо- Эта опция позволяет учетной записи службы оли-
жет быть делегирована (Account цетворять пользователя для получения доступа к
Is Trusted For Delegation) ресурсам от его имени. Как правило, эта опция не
включена для объектов пользователей, представ-
ляющих людей. Она используется для учетных
записей служб в инфраструктуре многоярусных
приложений
Срок действия учетной записи Эти элементы управления используются для указа-
(Account Expires) ния срока действия учетной записи
-) 122 Пользователи Глава з

ПРИМЕЧАНИЕ Настройка очень сложных паролей для учетных записей служб


Для получения доступа к системным ресурсам службам нужны учетные данные.
Многим службам для прохождения проверки подлинности требуется учетная за-
пись пользователя домена, которой обычно назначается пароль без истечения срока
действия. В таких ситуациях следует применять длинный и сложный/пароль. Если
учетная запись используется службами лишь в некоторых системах, уровень безо-
пасности учетной записи службы можно повысить, отконфигурировав свойство Вход
на (Log On То) и указав список систем, использующих учетную запись службы.

Управление атрибутами пользователя


с помощью инструментов Dsmod и Dsget
Команды Dsmod и Dsget представляют две утилиты командной строки Active
Directory, которые называются DS-командами. Команду Dsquery мы обсуждали
в главе 2, а команда Dsadd описана на занятии 1 этой главы.

Команда Dsmod
Команда Dsmod модифицирует атрибуты одного или нескольких существующих
объектов. Команды DS описаны на занятии 1. Синтаксис Dsmod аналогичен
другим командам DS:
dsmod user ОН пользователя ... параметры
В качестве параметра DN^пользователя нужно указать отличительное имя
пользователя. Остальные параметры указывают изменяемые атрибуты и новые
значения. Например, следующая команда меняет атрибут Office ( К о м н а т а )
пользователя Тони Крайнен:
dsmod user "сп=Тони Крайней,ou=Kaflpu,dc=contoso,dc=com" - o f f i c e "Амстердам"
Параметры атрибутов не сопоставляются непосредственно с именами атри-
бутов LDAP объекта пользователя. Например, параметр dept команды DSMOD
USER модифицирует атрибут department объекта пользователя. Кроме того,
команда DSMOD USER может модифицировать только поднабор атрибутов
пользователей. Чтобы получить справочные сведения и список поддерживае-
мых параметров, введите команду DSMOD USER /?.

Помещение множества DN-имен в конвейер Dsmod


Параметр DNпользователя команды Dsmod не нужно вводить непосредственно
в командную строку. Существует два способа помещения DN-имен в конвейер
этой команды. При первом способе DN вводится в консоль. Предположим, что
вам нужно изменить атрибут office двух пользователей — Л и н д ы М и т ч е л л
и Скотта Митчелл — и переместить их в офис Сидней. Введите в командную
строку следующую команду:
dsmod user - o f f i c e "Сидней"
Параметр DN Пользователя отсутствует. Консоль (командная строка) ожи-
дает ввод DN пользователей. Введите по одному DN-имени в каждой строке,
заключив его в кавычки, и нажимайте клавишу Enter в конце каждого имени
Занятие 3 Поддержка пользовательских объектов и учетных записей 123

DN. П о с л е ввода п о с л е д н е г о DN и н а ж а т и я E n t e r н а ж м и т е к о м б и н а ц и ю кла-


в и ш C t r l + Z в н а ч а л е с л е д у ю щ е й с т р о к и , а з а т е м к л а в и ш у Enter, чтобы указать
з а в е р ш е н и е к о м а н д ы . К о м а н д а будет в ы п о л н е н а д л я каждого введенного DN.
Б о л е е с л о ж н ы й с п о с о б с о с т о и т в передаче D N - и м е н команде Dsmod путем
их п о м е щ е н и я в к о н в е й е р р е з у л ь т а т о в к о м а н д ы Dsquery. Команда Dsquery опи-
сана в г л а в е 2. О н а в ы п о л н я е т в Active D i r e c t o r y поиск согласно указанному
к р и т е р и ю и в о з в р а щ а е т D N - и м е н а с о о т в е т с т в у ю щ и х объектов. Например, д л я
и з м е н е н и я а т р и б у т а office ( К о м н а т а ) учетных записей пользователей Л и н д а
и С к о т т М и т ч е л л и их п е р е м е щ е н и я в о ф и с С и д н е й используйте следующую
команду:
dsquery user -name "• Митчелл" | dsmod user - o f f i c e "Сидней"
К о м а н д а DSMOD USER в ы п о л н я е т в Active Directory поиск пользователей,
и м е н а к о т о р ы х з а к а н ч и в а ю т с я с л о в о м Митчелл. З а т е м D N - и м е н а найденных
о б ъ е к т о в п о м е щ а ю т с я в к о н в е й е р к о м а н д ы DSMOD USER, которая назначает
д л я а т р и б у т а office з н а ч е н и е Сидней.
В к а ч е с т в е е щ е о д н о г о п р и м е р а п р е д п о л о ж и м , что для всех пользователей
требуется н а з н а ч и т ь д о м а ш н ю ю папку на машине SERVER01. Следующая
к о м а н д а м е н я е т а т р и б у т ы homeDirectory и homeDrive объектов пользователей
в подразделении Кадры:
dsquery user "ои=Кадры,dc=contoso,dc=com" | dsmod user
-hmdir "\\server01\users\%username%\documents" -hmdrv "U:"
К а к м ы у ж е г о в о р и л и н а з а н я т и и 1 , п р и н а с т р о й к е значений параметров
-email, -hmdir, -profile и -webpg с п о м о щ ь ю к о м а н д ы DS м о ж н о использовать
с п е ц и а л ь н ы й м а р к е р %username% д л я п р е д с т а в л е н и я атрибута sAMAccountName
объектов пользователей.

Команда Dsget
К о м а н д а Dsget и з в л е к а е т и в ы в о д и т в ы б р а н н ы е а т р и б у т ы одного и л и несколь-
к и х о б ъ е к т о в . Д а л е е п о к а з а н с и н т а к с и с э т о й к о м а н д ы , к о т о р ы й аналогичен
с и н т а к с и с у Dsmod:
dsget user ОЫ_попьзоватепя. . . параметры
D N - и м е н а д л я м н о ж е с т в а п о л ь з о в а т е л е й м о ж н о указать в командной строке,
р а з д е л и в и х п р о б е л а м и , в в е с т и в к о н с о л ь и л и п о м е с т и т ь результаты команды
DSQUERY USER в к о н в е й е р . В о т л и ч и е от Dsadd и Dsmod команда Dsget при-
н и м а е т т о л ь к о п а р а м е т р без з н а ч е н и я . В частности, она п р и н и м а е т параметр
samid, к а к и к о м а н д а Dsadd, о д н а к о не п р и н и м а е т значение. Вместо этого она
в ы в о д и т т е к у щ е е з н а ч е н и е а т р и б у т а . Н а п р и м е р , д л я о т о б р а ж е н и я имени вхо-
да пред-Windows 2000 п о л ь з о в а т е л я Д ж е ф ф Ф о р д в подразделении Кадры
используйте следующую команду:
dsget user "сп=Джефф Форд,ои=Кадры,dc=contoso,dc=com" -samid
Д л я о т о б р а ж е н и я и м е н входа п р е д - W i n d o w s 2000 всех пользователей в ком-
нате С и д н е й и с п о л ь з у й т е с л е д у ю щ у ю к о м а н д у :
dsquery user - o f f i c e "Сидней" | dsget user -samid
-) 124 Пользователи Глава з

Управление атрибутами пользователей


с помощью Windows PowerShell и VBScript
Для чтения атрибута объекта пользователя с п о м о щ ь ю W i n d o w s P o w e r S h e l l
или VBScript используется интерфейс ADSI, к о т о р ы й п о д к л ю ч а е т с я к объекту
пользователя. Этот процесс называется привязкой. На з а н я т и и 2 мы п о д к л ю -
чались к подразделению для создания объекта. К с у щ е с т в у ю щ е м у о б ъ е к т у
можно подключиться напрямую. Один из способов в ы п о л н е н и я этой з а д а ч и
состоит в использовании пути к службам к а т а л о г о в a D S P a t h ( A c t i v e Direc-
tory Services Path) объекта, которым я в л я е т с я м о н и к е р п р о т о к о л а L D A P : / /
с отличительным именем объекта.
Далее приведена команда Windows PowerShell д л я п о д к л ю ч е н и я к у ч е т н о й
записи пользователя Джефф Форд в п о д р а з д е л е н и и К а д р ы :
$objUser=[ADSI]"LDAP://cn=fl)Ke(txt> ®opfl,ou=KaflPbi,dc=contoso, dc=com"
А вот аналогичная команда VBScript:
Set obj User=GetObject("LDAP://сп=Джефф Форд, ои=Кадры,dc=contoso,dc=com"
Помните, что Windows PowerShell у к а з ы в а е т и н т е р ф е й с A D S I , a V B S c r i p t
использует инструкцию GetObject. Д л я н а з н а ч е н и я о б ъ е к т н о й с с ы л к и п е р е -
менной в VBScript предназначена и н с т р у к ц и я Set. В W i n d o w s P o w e r S h e l l и н с -
трукция Set не используется, а все переменные п о м е ч е н ы п р е ф и к с о м в в и д е
знака доллара.
После получения переменной, с с ы л а ю щ е й с я н а о б ъ е к т , м о ж н о и з в л е ч ь
ее свойства. Например, в W i n d o w s P o w e r S h e l l д л я и з в л е ч е н и я а т р и б у т а
sAMAccountName пользователя введите т а к у ю к о м а н д у :
SobjUser.GetC'sAMAccountName")
В VBScript нужно указать на извлечение атрибута. О б ы ч н о д л я э т о г о ис-
пользуется инструкция WScript.Echo, как п о к а з а н о в п р и м е р е :
WScript.Echo objUser.GetC'sAMAccountName")
Довольно часто вам будет встречаться укороченный ф о р м а т .свойство, напри-
мер: $objUser.sAMAccountName в Windows PowerShell и objUser.,sAMAccountName
в VBScript. Хотя этот метод в большинстве с л у ч а е в работает, р е к о м е н д у е т с я
использовать метод Get, особенно при работе с о б ъ е к т а м и A c t i v e D i r e c t o r y
в Windows PowerShell.
Процесс модификации атрибута состоит из т р е х шагов. .
1. Подключение к объекту пользователя.
2. Модификация атрибута.
3. Подтверждение изменения.
Мы уже обсуждали механизм п о д к л ю ч е н и я к объекту. В т о р о й ш а г с о с т о и т
в изменении атрибута. Большинство атрибутов я в л я ю т с я о д н о з н а ч н ы м и . Их
можно модифицировать с помощью метода Put объекта. Д а л е е п о к а з а н п р и м е р
использования этого метода в Windows PowerShell:
SobjUser.putC'company","Contoso, L t d . " )
Занятие 3 Поддержка пользовательских объектов и учетных записей 125

А т а к м е т о д Put и с п о л ь з у е т с я в V B S c r i p t :
objUser.put "company",."Contoso, Ltd."
Е д и н с т в е н н а я р а з н и ц а з а к л ю ч а е т с я в том, что V B S c r i p t не использует круг-
л ы е с к о б к и д л я п е р е д а ч и п а р а м е т р о в методу Put.
В о в т о р о м шаге м о ж н о н а з н а ч и т ь м н о г о атрибутов. П о с л е у к а з а н и я всех
атрибутов н у ж н о п о д т в е р д и т ь и з м е н е н и я в каталоге с помощью метода Setlnfo.
Д а л е е п р и в е д е н а в е р с и я и с п о л ь з о в а н и я этого метода в W i n d o w s PowerShell:
SobjUser!SetlnfoC)
В е р с и я м е т о д а Setlnfo в V B S c r i p t и д е н т и ч н а , если не считать имени пере-
менной:
objUser.SetInfo()
О б ъ е д и н и в все т р и шага вместе, мы п о л у ч и м сценарий Windows PowerShell:
$objUser=[ADSI]"LDAP://сп=Джефф Форд, ои=Кадры,dc=contoso,dc=com"
SobjUser.putC'company", "Contoso, Ltd.")
{objUser.SetlnfoO
Далее показан этот же сценарий в VBScript:
Set obj Use r=GetObj ect (" LDAP: //сп=Джефф Форд, ои=Кадры, dc=contoso, dc=com"
objUser.put "company","Contoso, Ltd."
objUser.SetlnfoO
К а к п о л н о с т ь ю у д а л и т ь а т р и б у т ? В н а ч а л е н у ж н о подключиться к объекту.
З а т е м с т р о к о в о м у а т р и б у т у м о ж н о п р и с в о и т ь п у с т у ю строку "", а числово-
му — з н а ч е н и е О, е с л и н у л ь я в л я е т с я с о о т в е т с т в у ю щ и м представлением зна-
ч е н и я EMPTY. О д н а к о а т р и б у т ы ( к р о м е о б я з а т е л ь н ы х ) т а к ж е м о ж н о удалять
п о л н о с т ь ю . Д л я э т о г о н у ж н о и с п о л ь з о в а т ь метод PutEx объекта пользователя.
Д л я у д а л е н и я а т р и б у т а office, к примеру, в W i n d o w s PowerShell используется
с л е д у ю щ и й код:
SobjUser.PutEx(1, " o f f i c e " , 0)
SobjUser.SetlnfoO
В V B S c r i p t д л я у д а л е н и я а т р и б у т а н у ж н о ввести следующие строки кода:
objUser.PutEx 1, " o f f i c e " , 0
objUser.SetlnfoO

Администрирование учетных записей пользователей


Основное н а з н а ч е н и е о б ъ е к т о в п о л ь з о в а т е л е й в Active Directory состоит
в п о д д е р ж к е п р о в е р к и п о д л и н н о с т и л и ц а и л и с л у ж б ы . Учетные з а п и с и пре-
д о с т а в л я ю т с я , а д м и н и с т р и р у ю т с я и в к о н е ч н о м счете а н н у л и р у ю т с я . Самые
р а с п р о с т р а н е н н ы е а д м и н и с т р а т и в н ы е задачи, с в я з а н н ы е с у ч е т н ы м и з а п и с я -
ми п о л ь з о в а т е л е й , с о с т о я т в с б р о с е п а р о л е й , р а з б л о к и р о в к е учетной записи,
о т к л ю ч е н и и , в к л ю ч е н и и , у д а л е н и и , п е р е м е щ е н и и и п е р е и м е н о в а н и и объектов
пользователей.
В с л е д у ю щ и х п о д р а з д е л а х о п и с а н ы все э т и задачи и методы их выполнения
с п о м о щ ь ю и н т е р ф е й с а W i n d o w s , W i n d o w s PowerShell, VBScript или командной
-) 126 Пользователи Глава з

строки. Для выполнения каждой задачи требуются с о о т в е т с т в у ю щ и е р а з р е -


шения доступа к объектам пользователей. Д е л е г и р о в а н и е а д м и н и с т р а т и в н ы х
разрешений описано в глане 2.

Сброс пароля пользователя


Если пользователь забыл свой пароль и пытается в о й т и в сеть, он п о л у ч и т
сообщение, показанное на рис. 3-7.

. " ; -.!'. * .'. • .•••• 1 о ^Jiial^


•t «t • Ш view VM Turn Windo*j help
• 0 J. 2. : Ю О З •© Й
ШИШШШШ!

* "

f X ) Н«<р«ое юм пользователя или пароль.

1 OK 1

Windows S e r v e r s
Enterprise

1 -•- j • _-.__. J

Рис. 3-7. Сообщение входа в систему, указывающее, что введено неверное имя пользователя
(или пароль)

Для успешного входа пользователя потребуется с б р о с и т ь п а р о л ь , п р и ч е м


знать его старый пароль не нужно. Достаточно щелкнуть правой к н о п к о й м ы ш и
объект пользователя в Active Directory и п р и м е н и т ь к о м а н д у С м е н а п а р о л я
(Reset Password). Когда откроется показанное на рис. 3 - 8 д и а л о г о в о е окно
Смена пароля (Reset Password), необходимо з а п о л н и т ь п о л я Н о в ы й п а р о л ь
(New Password) и Подтверждение (Confirm Password). Э т о л у ч ш и й м е т о д пот-
ребовать смены пароля при следующем входе — пароль будет и з в е с т е н т о л ь к о
пользователю.

твшиаявш..,.'., л\*1
НшьА парам,

ПсдттС"Ди«
Я'

Р Тс*6'.ег>ть о-ему лкхя» rpn слевугшем ав систол,


НеоС,01ммо1ьат1'.из»ст**ы,,еаП1мв(*пем/ «ндо.чтобы
ИЭТ«Т»«В бегут*/* s С1
' Г;
Смтоаппввпгмтасвтм , четна, запий, па ftuvioc мхтроплкзп
Г разблокировать уиемро запись пользователя

| СК | Отмена j

Рис. 3-8. Окно смены пароля


Занятие 3 Поддержка пользовательских объектов и учетных записей 127

В ы т а к ж е м о ж е т е п р и м е н и т ь к о м а н д у D S д л я сброса п а р о л я п о л ь з о в а т е л я
и при ж е л а н и и потребовать сменить пароль п р и следующем входе пользователя.
Введите такую команду:
dsmod user ОН_пользователя -pwd Новый_пароль -mustchpwd yes
В W i n d o w s P o w e r S h e l l н у ж н о в в е с т и с л е д у ю щ и е команды:
Sobj User=[ADSI]"LDAP://ОЫ_пользователя"
SobjUser.SetPassword("Новый_пароль")
О т м е т и м , ч т о в о т л и ч и е от с и т у а ц и и с д р у г и м и атрибутами метод Setlnfo
не и с п о л ь з у е т с я п о с л е п р и м е н е н и я к о м а н д ы SetPassword для настройки паро-
л я п о л ь з о в а т е л я . О д н а к о ч т о б ы п о т р е б о в а т ь с м е н и т ь п а р о л и при следующем
входе, н у ж н о з а д а т ь т а к и е к о м а н д ы :
SobjUser.Put ("pwdLastSet",0)
SobjUser. S e t l n f o O
В VBScript код аналогичен:
Set obj User=GetObj ect("LDAP://0Ц_пользователя")
objUser.SetPassword "Новый_пароль"
objUser.Put "pwdLastSet",0
objUser.Setlnfo
П а р о л и д а ж е м о ж н о и м п о р т и р о в а т ь с п о м о щ ь ю команды LDIFDE, описанной
в з а н я т и и 1. Д о п о л н и т е л ь н ы е с в е д е н и я вы найдете в статье 263991 базы знаний
Microsoft по адресу http://support.microsoft.com/default.aspx?scid=kb;enus;263991.

Разблокировка учетной записи


В г л а в е 8 о п и с а н а н а с т р о й к а п о л и т и к и п а р о л е й и б л о к и р о в к и учетных запи-
сей. П о л и т и к а б л о к и р о в к и п р е д н а з н а ч е н а д л я з а щ и т ы о т п р о н и к н о в е н и я в
к о р п о р а т и в н у ю сеть п у т е м м н о г о к р а т н о г о ввода р а з л и ч н ы х паролей с целью
о п р е д е л и т ь к о р р е к т н ы й . П р и п о п ы т к е входа с и с п о л ь з о в а н и е м некорректного
п а р о л я г е н е р и р у е т с я о ш и б к а входа. Е с л и в т е ч е н и е указанного периода време-
ни, о п р е д е л е н н о г о п о л и т и к о й б л о к и р о в к и , в о з н и к а е т с л и ш к о м много ошибок
входа, у ч е т н а я з а п и с ь б л о к и р у е т с я . П р и с л е д у ю щ е й п о п ы т к е входа п о я в л я е т с я
сообщение о блокировке учетной записи.

ПРИМЕЧАНИЕ Подключенные диски с альтернативными учетными данными


Распространенной причиной блокировок учетных записей является подключенный
диск с альтернативными учетными записями. В случае изменения пароля альтерна-
тивной учетной записи и многократных попыток клиента Windows подключиться
к диску учетная запись блокируется.

П о л и т и к а б л о к и р о в к и у ч е т н ы х з а п и с е й у с т а н а в л и в а е т п е р и о д времени, п о
истечении которого в ы п о л н я е т с я автоматическое разблокирование учетной
записи. О д н а к о п о л ь з о в а т е л ь , п ы т а ю щ и й с я в о й т и в сеть и о б н а р у ж и в а ю щ и й ,
что его у ч е т н а я з а п и с ь з а б л о к и р о в а н а , н а в е р н я к а о б р а т и т с я в группу техни-
ческой п о д д е р ж к и . Ч т о б ы р а з б л о к и р о в а т ь учетную запись, щ е л к н и т е ее правой
к н о п к о й м ы ш и , в ы б е р и т е п у н к т С в о й с т в а ( P r o p e r t i e s ) , перейдите н а в к л а д к у
Учетная з а п и с ь ( A c c o u n t ) и у с т а н о в и т е ф л а ж о к Р а з б л о к и р о в а т ь учетную за-
пись ( U n l o c k A c c o u n t ) .
-) 128 Пользователи Глава з

В Windows Server 2008 учетную запись пользователя т а к ж е м о ж н о раз-


блокировать с помошыо команды Смена пароля (Reset Password). Установите
флажок Разблокировать учетную запись пользователя (Unlock T h e User's Ac-
count), показанный на рис. 3-8. Этот метод удобен при б л о к и р о в к е у ч е т н о й
записи по причине того, что пользователь забыл пароль. Теперь вы м о ж е т е в
одном диалоговом окне назначить новый пароль, потребовать с м е н ы п а р о л я
пользователем при следующем входе и разблокировать учетную запись.
К сожалению, командная строка и оболочка PowerShell не о б е с п е ч и в а ю т
средство разблокировки учетных записей. Для разблокировки у ч е т н о й з а п и с и
пользователя используется специальный код VBScript:
Set objUser = GetObject("LDAP://DH_пользователя")
objUser.IsAccountLocked = False
objUser.Setlnfo

Отключение и включение учетной записи пользователя


Учетные записи пользователей являются принципалами безопасности, то есть
объектами идентификации, которым можно предоставить д о с т у п к с е т е в ы м
ресурсам. Поскольку каждый пользователь я в л я е т с я ч л е н о м г р у п п П о л ь з о -
ватели домена (Domain Users) и Прошедшие проверку ( A u t h e n t i c a t e d U s e r s ) ,
каждая учетная запись пользователя имеет хотя бы доступ ч т е н и я к о б ш и р н о й
информации в Active Directory и файловым системам, пока не будут в в е д е н ы
'ограничения списков контроля доступа ACL (Access C o n t r o l Lists):
Поэтому важно не оставлять учетные записи открытыми. Это означает, ч т о
вы должны отконфигурировать политики паролей и аудита, о п и с а н н ы е в г л а в е
8, а также процедуры, гарантирующие корректное и с п о л ь з о в а н и е у ч е т н ы х за-
писей. Если учетная запись подготовлена до того, как она станет н е о б х о д и м о й ,
например перед приемом служащих в компанию, отключите у ч е т н у ю з а п и с ь .
Чтобы отключить учетную запись, в оснастке Active D i r e c t o r y — п о л ь з о -
ватели и компьютеры (Active Directory Users and C o m p u t e r s ) щ е л к н и т е и м я
пользователя правой кнопкой мыши и примените команду О т к л ю ч и т ь у ч ё т н у ю
запись (Disable). В командной строке для этого м о ж н о и с п о л ь з о в а т ь к о м а н д у
Dsmod.exe, как показано в примере:
dsmod user 0Н_пользователя -disabled yes
В оболочке Windows PowerShell, описанной в з а н я т и и 2, д л я у с т а н о в к и
флага требуется использовать обходной метод:
Sobj User=[ ADSI ]" LDAP: //0Н_пользователя"
SobjUser. psbase. InvokeSet( 'Account Disabled', St rue)
SobjUser.SetlnfoO
В VBScript все гораздо проще:
Set objUser = GetObject("LDAP://0«_no/Jb3OBare.ro")
objUser.AccountDisabled=TRUE
Включение учетной записи означает, выбор параметра yes и л и по д л я ко-
манды Dsmod.exe:
dsmod user 0Н_пользователя -disabled no
Занятие 3 Поддержка пользовательских объектов и учетных записей 129

В к о м а н д а х W i n d o w s P o w e r S h e l l з а м е н и т е Strue на $ false, а в V B S c r i p t
з а м е н и т е TRUE на FALSE.

Удаление учетной записи пользователя


Когда н е о б х о д и м о с т ь в у ч е т н о й з а п и с и отпадает, ее м о ж н о удалить из каталога.
О д н а к о п о с л е у д а л е н и я у ч е т н о й з а п и с и в а ж н о полностью очистить от нее ка-
талог. Вы не м о ж е т е п р о с т о в о с с о з д а т ь н о в у ю учетную запись с тем же именем,
как у у д а л е н н о й у ч е т н о й з а п и с и , ч т о б ы п о л у ч и т ь такое же членство в группах
и доступ к ресурсам. У т е р я S I D - и д е н т и ф и к а т о р а пользователя и сведений о его
членстве в г р у п п а х м о ж е т п р и в е с т и к с е р ь е з н ы м проблемам, если впоследствии
п о т р е б у е т с я з а н о в о р е а л и з о в а т ь его у ч е т н у ю запись.
П о э т о м у м н о г и е о р г а н и з а ц и и п р е д п о ч и т а ю т п о э т а п н о у д а л я т ь учетные
записи. В н а ч а л е у ч е т н а я з а п и с ь о т к л ю ч а е т с я . П о истечении некоторого пери-
ода в р е м е н и она у д а л я е т с я . По у м о л ч а н и ю в т е ч е н и е 60 дней так называемой
жизни памятника в Active D i r e c t o r y п о д д е р ж и в а е т с я поднабор свойств учетной
записи, среди к о т о р ы х особую ценность представляет SID-идентификатор.
П о о к о н ч а н и и э т о г о п е р и о д а в р е м е н и д а н н ы е у ч е т н о й з а п и с и удаляются и з
каталога.
У ч е т н у ю з а п и с ь т а к ж е м о ж н о в в е с т и в ц и к л повторно. Если пользователь
п о к и д а е т о р г а н и з а ц и ю , о б ы ч н о его т р е б у е т с я заменить сотрудником, которому
следует п р е д о с т а в и т ь а н а л о г и ч н ы е п р а в а доступа к ресурсам, членство в груп-
пах и р а з р е ш е н и я . У ч е т н у ю з а п и с ь м о ж н о отключить, пока не будет найдена
замена у в о л и в ш е м у с я р а б о т н и к у , а з а т е м переименовать учетную запись для
нового с л у ж а щ е г о . Т а к и м о б р а з о м , S I D - и д е н т и ф и к а т о р предыдущего пользо-
вателя, ч л е н с т в о в г р у п п а х и п р а в а д о с т у п а к ресурсам будут перенесены для
нового с о т р у д н и к а .
Ч т о б ы у д а л и т ь у ч е т н у ю з а п и с ь п о л ь з о в а т е л я в Active Directory, укажите
этого п о л ь з о в а т е л я и н а ж м и т е к л а в и ш у Delete и л и щелкните правой кнопкой
м ы ш и с о о т в е т с т в у ю щ у ю у ч е т н у ю з а п и с ь и п р и м е н и т е команду Удалить (De-
lete). В а м б у д е т п р е д л о ж е н о п о д т в е р д и т ь действие, поскольку при удалении
п р и н ц и п а л а б е з о п а с н о с т и в ы п о л н я е т с я м н о ж е с т в о операций.
О б ъ е к т ы м о ж н о у д а л и т ь из A c t i v e D i r e c t o r y и с п о м о щ ь ю DS-команды
Dsrm. Э т а к о м а н д а и м е е т т а к о й с и н т а к с и с :
dsrm Ш_попьзователя
О б р а т и т е в н и м а н и е на то, ч т о д л я к о м а н д ы Dsrm не задается класс объекта
user, к а к в с л у ч а е с д р у г и м и к о м а н д а м и DS.
Д л я у д а л е н и я п о л ь з о в а т е л я из Active Directory с помощью Windows Power-
Shell в ы п о л н я е т с я п о д к л ю ч е н и е к родительскому контейнеру (подразделению)
и п р и м е н я е т с я м е т о д Delete. Это м о ж е т показаться несколько странным, однако
вспомним, ч т о с о з д а н и е п о л ь з о в а т е л я в ы п о л н я е т с я с помощью метода Create
родительского к о н т е й н е р а . Д а л е е п р и в е д е н ы две команды Windows PowerShell,
позволяющие удалить пользователя:
SobjOU = [ ADSI ]" LDAP: //D/V_ подразделения"
SobjOU. DeleteC'.user", "СН=СН_пользователя")
-) 130 Пользователи Глава з

В VBScript используется тот же метод со с в о и м у н и к а л ь н ы м с и н т а к с и с о м :


Set objOU = GetObject(LDAP://0Л^_лoдpa:вдeлeшя'•)
objOU.Delete "user", "<Х-С11_пользователя"

Перемещение учетной записи


Если вам требуется переместить объект пользователя в Active Directory, можете
просто перетащить его в оснастке Active Directory — п о л ь з о в а т е л и и компьюте-
ры (Active Directory Users and Computers). О д н а к о д л я б о л ь ш е й а к к у р а т н о с т и
лучше щелкнуть правой кнопкой м ы ш и о б ъ е к т п о л ь з о в а т е л я и п р и м е н и т ь
команду Переместить (Move). Помните, что при п е р е м е щ е н и и п о л ь з о в а т е л я
могут быть изменены применяемые к нему объекты г р у п п о в о й п о л и т и к и G P O
(Group Policy Object). Объекты групповой п о л и т и к и о п и с ы в а ю т с я в главе 6.
Перемещение пользователя в окне командной с т р о к и о с у щ е с т в л я е т с я с по-
мощью команды Dsmove. Эта команда имеет т а к о й с и н т а к с и с :
dsmove 0Н_пользователя -newparent ОН_конечного_подразделения
Команда Dsmove не указывает класс объекта user. В м е с т о э т о г о она у к а з ы -
вает DN-имя перемещаемого пользователя и о т л и ч и т е л ь н о е и м я к о н е ч н о г о
подразделения, в которое будет перемещен п о л ь з о в а т е л ь .
Чтобы переместить пользователя с п о м о щ ь ю W i n d o w s P o w e r S h e l l , н у ж н о
применить метод psbase.MoveTo:
Sobj Use г-[ ADSI ]" LDAP: //0H_ пользова тел я"
SobjUser. psbase. MoveTot "LDAP •• //ОН_конечного_подразделения")
Это еще один пример, доказывающий п о т р е б н о с т ь в о б х о д н о м п у т и , по-
скольку данная версия Windows PowerShell не о б е с п е ч е н а п о с т а в щ и к о м Ac-
tive Directory. В будущем предполагается и с п о л ь з о в а т ь к о м а н д л е т Move-Item,
как в случае с поставщиками файловой системы и реестра, о д н а к о п о к а т а к о й
возможности нет.
В VBScript используется методика, которая может п о к а з а т ь с я с т а р о м о д н о й .
Вначале выполняется подключение к конечному контейнеру, п о с л е чего объект
пользователя захватывается и перемещается в д а н н ы й к о н т е й н е р . Э т о т х и т р ы й
метод продемонстрирован в следующих двух с т р о к а х кода:
Set objOU = ве10Ь)есН"1Ш\//ВМ_конечного_подразделения")
objOU.MoveHere 'ЮАР://Ш_лользовагеля", vbNullString
Внутренняя константа vbNullString передает значение Null м е т о д у MoveHere,
указывая, что требуется сохранить текущее о б щ е е C N - и м я о б ъ е к т а .

Переименование учетной записи


В подразделе «Имена объектов пользователя» мы о п и с а л и м н о г и е и м е н а , с в я -
занные с учетной записью пользователя. При п е р е и м е н о в а н и и у ч е т н о й з а п и с и
пользователя может потребоваться изменить о д и н и л и н е с к о л ь к о а т р и б у т о в .
Чтобы переименовать пользователя в Active Directory, щ е л к н и т е его п р а в о й
кнопкой мыши и примените команду Переименовать ( R e n a m e ) . В в е д и т е н о в о е
общее имя CN пользователя и нажмите к л а в и ш у Enter. О т к р о е т с я д и а л о г о в о е
окно Переименование пользователя ( R e n a m e User), где будет п р е д л о ж е н о за-
полнить поля Полное имя (Full Name) ( с о п о с т а в л я е т с я а т р и б у т а м сп и name),
Занятие 3 Поддержка пользовательских объектов и учетных записей 131

И м я ( F i r s t N a m e ) , Ф а м и л и я ( L a s t N a m e ) , В ы в о д и м о е и м я (Display Name), И м я
входа п о л ь з о в а т е л я ( U s e r L o g o n N a m e ) и И м я входа пользователя (пред-Win-
dows 2 0 0 0 ) ( U s e r L o g o n N a m e ( P r e - W i n d o w s 2 0 0 0 ) ) .
В к о м а н д н о й с т р о к е м о ж н о и с п о л ь з о в а т ь команду Dsmod.exe со следующим
синтаксисом:
dsmod user 0Ы_пользователя [ - u p n UPN_HMn][-fn Имя][-mi Инициалы][-In Фамилия]
[-dn Выводимое_имя][-email Электронный_адрес]
А т р и б у т sAMAccountName и о б щ е е и м я ( C N ) объекта нельзя изменить с по-
м о щ ь ю к о м а н д ы Dsmod.exe.
Ч т о б ы и з м е н и т ь о б щ е е и м я ( C N ) о б ъ е к т а в командной оболочке, н у ж н о
и с п о л ь з о в а т ь W i n d o w s P o w e r S h e l l и л и V B S c r i p t . В W i n d o w s PowerShell рабо-
тают д в е с т р о к и кода:
$obj User=[ADSI]"LDAP:/I0Н_пользователя"
SobjUser. psbase. гепат("Си=Новое_имя_СН_пользователя")
Д р у г и е а т р и б у т ы и м е н и т а к ж е м о ж н о изменить, воспользовавшись методом
Put о б ъ е к т а п о л ь з о в а т е л я .
Д л я п е р е и м е н о в а н и я п о л ь з о в а т е л я в V B S c r i p t существует вариация метода
MoveHere, о п и с а н н о г о в п р е д ы д у щ е м разделе:
Set objOU = 6еМЬ]еа("\.0АР://0Ы_текущего_лодразделения")
objOU. MoveHere "LDAP://0Ы_пользователя", "Си=Новое_имя_СИ_пользователя" •
В э т и х д в у х с т р о к а х в ы п о л н я е т с я п о д к л ю ч е н и е к текущему подразделению
п о л ь з о в а т е л я и з а д е й с т в у е т с я м е т о д MoveHere п о д р а з д е л е н и я д л я применения
нового C N - и м е н и п о л ь з о в а т е л я .

Практические занятия. Поддержка объектов и учетных записей


пользователей
В п р е д л о ж е н н ы х д а л е е у п р а ж н е н и я х вы в ы п о л н и т е р а с п р о с т р а н е н н ы е задачи
д л я п о д д е р ж к и п о л ь з о в а т е л е й в к о р п о р а т и в н о й среде. Д л я в ы п о л н е н и я упраж-
н е н и й этого з а н я т и я н у ж н о в ы п о л н и т ь у п р а ж н е н и я з а н я т и й 1 и 2, а в подраз-
д е л е н и и К а д р ы д о л ж н ы б ы т ь с л е д у ю щ и е о б ъ е к т ы пользователей:
• Тони Крайней;
• Линда Митчелл;
• Скоттт Митчелл;
• Эприл Стюарт.

У п р а ж н е н и е 1. П р о с м о т р всех атрибутов пользователя


В э т о м у п р а ж н е н и и вы о т к р о е т е р е д а к т о р а т р и б у т о в и с его п о м о щ ь ю про-
с м о т р и т е и м о д и ф и ц и р у е т е а т р и б у т ы п о л ь з о в а т е л я , к о т о р ы е не отображаются
в о с н а с т к е A c t i v e D i r e c t o r y — п о л ь з о в а т е л и и к о м п ь ю т е р ы (Active Directory
Users and C o m p u t e r s ) .
1. В о й д и т е на м а ш и н у S E R V E R 0 1 к а к а д м и н и с т р а т о р и откройте оснастку
Active D i r e c t o r y — п о л ь з о в а т е л и и к о м п ь ю т е р ы (Active Directory Users and
Computers).
-) 132 Пользователи Глава з

2. В подразделении Кадры щелкните п р а в о й к н о п к о й у ч е т н у ю з а п и с ь поль-


зователя Тони Крайнена и п р и м е н и т е к о м а н д у С в о й с т в а ( P r o p e r t i e s ) .
3. Просмотрите содержимое вкладок д и а л о г о в о г о о к н а с в о й с т в .
Какие атрибуты отображаются в оснастке? Есть ли с р е д и н и х а т р и б у т ы ,
которых вы раньше не видели? О т о б р а ж а ю т с я ли к а к и е - л и б о а т р и б у т ы , на-
стройка которых может обеспечить полезную и н ф о р м а ц и ю в п р е д п р и я т и и ?
4. Перейдите на вкладку Телефоны (Telephones) и введите и н ф о р м а ц и ю в поле
Заметки (Notes). Щелкните О К .
5. Щелкните меню Вид (View) и установите ф л а ж о к Д о п о л н и т е л ь н ы е ком-
поненты (Advanced Features).
6. Вновь откройте свойства п о л ь з о в а т е л я Т о н и К р а й н е н а и п е р е й д и т е на
вкладку Редактор атрибутов ( A t t r i b u t e E d i t o r ) .
7. Найдите атрибут info.
Какое значение он содержит?
8. Локализуйте атрибут division, д в а ж д ы щ е л к н и т е его, в в е д и т е з н а ч е н и е До-
черняя структура и щелкните О К .
9. Локализуйте атрибут employeelD, д в а ж д ы щ е л к н и т е его, в в е д и т е з н а ч е н и е
104839 и щелкните ОК.
10. Просмотрите другие атрибуты в редакторе а т р и б у т о в .
Какие атрибуты отображаются, а какие не в и д н ы в о с н а с т к е A c t i v e D i r e c t o -
ry — пользователи и компьютеры (Active D i r e c t o r y U s e r s a n d C o m p u t e r s ) ?
Могут ли скрытые атрибуты обеспечивать п о л е з н у ю и н ф о р м а ц и ю д л я орга-
низации?
11. Щелкните ОК, чтобы закрыть диалоговое о к н о с в о й с т в .

Упражнение 2. Управление атрибутами м н о ж е с т в а о б ъ е к т о в


В этом упражнении вы выберете множество о б ъ е к т о в и о т к о н ф и г у р и р у е т е их
свойства.
1. В подразделении Кадры выберите п о л ь з о в а т е л я С к о т т М и т ч е л л .
2. Нажмите клавишу Ctrl и выберите пользователей Л и н д у М и т ч е л л и Э п р и л а
Стюарт.
Должны быть выбраны три учетные записи.
3. Щелкните правой кнопкой мыши л ю б у ю из у к а з а н н ы х в а м и у ч е т н ы х за-
писей и выберите Свойства (Properties).
Откроется диалоговое окно с поднабором с в о й с т в п о л ь з о в а т е л я , к о т о р ы е
можно одновременно применить к множеству п о л ь з о в а т е л е й .
4. На вкладке Общие (General) установите ф л а ж о к К о м н а т а ( O f f i c e ) и в соот-
ветствующее текстовое поле введите значение Майами.
5. Перейдите на вкладку Учетная запись ( A c c o u n t ) .
В данном сценарии эти три пользователя работают по б у д н я м . Им н е л ь з я
входить в сеть в выходные.
Занятие 3 Поддержка пользовательских объектов и учетных записей 133

6. Установите ф л а ж о к В р е м я входа ( L o g o n H o u r s ) и щ е л к н и т е к н о п к у Время


входа (Logon Hours).
7. В ы б е р и т е д е н ь н е д е л и В о с к р е с е н ь е ( S u n d a y ) и щ е л к н и т е о п ц и ю Вход за-
прещен (Logon Denied).
8. В ы б е р и т е д е н ь н е д е л и С у б б о т а ( S a t u r d a y ) и щ е л к н и т е о п ц и ю Вход запре-
щен. З а т е м щелкните О К .
К р о м е того, э т и м т р е м п о л ь з о в а т е л я м р а з р е ш е н о входить т о л ь к о н а конк-
ретные компьютеры на предприятии.
9. Установите ф л а ж о к О г р а н и ч е н и я компьютера ( C o m p u t e r Restrictions), а за-
т е м щ е л к н и т е к н о п к у Вход н а ( L o g O n То).
10. В ы б е р и т е о п ц и ю Т о л ь к о на у к а з а н н ы е к о м п ь ю т е р ы (Following Computers).
11. В п о л е И м я к о м п ь ю т е р а ( C o m p u t e r N a m e ) введите и м я DESKTOPW1 и щелк-
ните кнопку Добавить (Add).
12. П о в т о р и т е э т о т п р о ц е с с д л я д о б а в л е н и я к о м п ь ю т е р о в D E S K T O P 1 0 2
и D E S K T O P 1 0 3 . Затем щелкните ОК.
13. На в к л а д к е А д р е с ( A d d r e s s ) установите ф л а ж к и Улица (Street), Город (City),
О б л а с т ь , к р а й ( S t a t e / P r o v i n c e ) и П о ч т о в ы й и н д е к с ( Z I P / P o s t a l Code).
Введите в эти поля соответствующие данные.
14. П е р е й д и т е на в к л а д к у П р о ф и л ь ( P r o f i l e ) и о т к о н ф и г у р и р у й т е домашнюю
папку \\server01\%username%\documents.
15. П е р е й д и т е на в к л а д к у О р г а н и з а ц и я ( O r g a n i z a t i o n a l ) и о т к о н ф и г у р и р у й т е
и м я к о м п а н и и C o n t o s o , Ltd. Щ е л к н и т е О К .
16. О т к р о й т е о б ъ е к т ы п о л ь з о в а т е л е й и проверьте, п р и м е н е н ы ли изменения.

Упражнение 3. Управление атрибутами пользователей с помощью команд DS


В с л е д у ю щ е м с ц е н а р и и Л и н д а и С к о т т М и т ч е л л переедут из М а й а м и в Сидней.
На п е р е е з д о т в е д е н о т р и недели. В т е ч е н и е этого процесса вы будете управлять
их учетными записями.
1. О т к р о й т е W i n d o w s P o w e r S h e l l .
О б о л о ч к а W i n d o w s P o w e r S h e l l м о ж е т з а п у с к а т ь и с п о л н я е м ы е ф а й л ы ана-
логично к о м а н д н о й строке.
2. В ы я с н и т е , к а к м о ж н о с п о м о щ ь ю о д н о й к о м а н д ы и з м е н и т ь атрибут office
д в у х п о л ь з о в а т е л е й и о т к л ю ч и т ь э т и учетные записи, чтобы их н е л ь з я б ы л о
и с п о л ь з о в а т ь в о в р е м я о т с у т с т в и я с о т р у д н и к о в . К а к у ю к о м а н д у следует
использовать?
3. В в е д и т е с л е д у ю щ у ю команду, п о с л е чего н а ж м и т е к л а в и ш у Enter,
dsquery user -name "« Митчелл" | dsmod user - o f f i c e "Сидней" - d i s a b l e d yes
4. В о с н а с т к е Active D i r e c t o r y — пользователи и компьютеры (Active Directory
Users And C o m p u t e r s ) о т к р о й т е у ч е т н ы е з а п и с и п о л ь з о в а т е л е й и проверьте
внесение изменений.
5. Вам н у ж н о з а п и с а т ь и м е н а входа пользователей пред-Windows 2000 и имена
| U P N . К а к у ю одну команду м о ж н о ввести д л я отображения этой информации?
134 Пользователи Глава 3

6. Введите команду
dsquery user -name "• Митчелл" | dsget user -samid -upn
и нажмите клавишу Enter. Семья Митчелл п р и б ы л а в С и д н е й . Теперь н у ж н о
включить их учетные записи.
7. В Windows PowerShell введите такие строки:
SobjUser = [ADSI]"LDAP://СЫ=Линда Митчелл,Ои=Кадры, DC=contoso, DC=com"
SobjUser. psbase. InvokeSet('AccountDisabled' , $ f a l s e )
SobjUser. SetlnfoO
8. В оснастке Active Directory — пользователи и к о м п ь ю т е р ы ( A c t i v e D i r e c t o r y
Users And Computers) проверьте включение учетной з а п и с и Л и н д ы М и т ч е л л .
9. Щелкните правой кнопкой м ы ш и у ч е т н у ю з а п и с ь п о л ь з о в а т е л я С к о т т а
Митчелла и примените к о м а н д у В к л ю ч и т ь у ч е т н у ю з а п и с ь ( E n a b l e
Account).

Упражнение 4. Смена пароля и р а з б л о к и р о в к а у ч е т н о й з а п и с и


Переезжая из Майами в Сидней, Скотт М и т ч е л л з а б ы л с в о й п а р о л ь . П о с л е
включения учетной записи он несколько раз п о п ы т а л с я в о й т и с и с п о л ь з о в а н и е м
неправильного пароля, в результате чего у ч е т н а я з а п и с ь б ы л а з а б л о к и р о в а н а .
В этом упражнении вы смените пароль и р а з б л о к и р у е т е у ч е т н у ю з а п и с ь .
1. В оснастке Active Directory — пользователи и к о м п ь ю т е р ы ( A c t i v e D i r e c t o r y
Users and Computers) выберите подразделение К а д р ы .
2. В панели сведений щелкните правой к н о п к о й м ы ш и у ч е т н у ю з а п и с ь С к о т т
Митчелл и примените команду Смена п а р о л я ( R e s e t P a s s w o r d ) .
3. В поля Новый пароль (New Password) и П о д т в е р ж д е н и е ( C o n f i r m P a s s w o r d )
введите пароль.
4. Установите флажок Требовать смену п а р о л я п р и с л е д у ю щ е м входе в систему
(User Must Change Password At Next Logon).
5. Установите флажок Разблокировать учетную з а п и с ь п о л ь з о в а т е л я ( U n l o c k
The User's Account). Щелкните О К .

Резюме
• Для просмотра и модификации всех атрибутов о б ъ е к т а п о л ь з о в а т е л я п р и -
меняется Редактор атрибутов ( A t t r i b u t e E d i t o r ) .
• Свойства учетных записей пользователей с п о с о б н ы о г р а н и ч и в а т ь р а б о ч и е
станции, с которых пользователь может в х о д и т ь в сеть, в р е м я , в т е ч е н и е
которого разрешен вход, а также срок д е й с т в и я у ч е т н о й з а п и с и .
• Атрибуты множества объектов можно о д н о в р е м е н н о м о д и ф и ц и р о в а т ь с по-
мощью команды Dsmod.exe или путем м н о ж е с т в е н н о й в ы б о р к и о б ъ е к т о в
в оснастке Active Directory — пользователи и к о м п ь ю т е р ы ( A c t i v e D i r e c t o r y
Users and Computers). Однако набор свойств, к о т о р ы е м о ж н о м о д и ф и ц и -
ровать с помощью каждого метода, ограничен. Д л я м о д и ф и к а ц и и а т р и б у -
тов объектов также можно использовать с ц е н а р и й V B S c r i p t и л и W i n d o w s
PowerShell,
Занятие 3 Поддержка пользовательских объектов и учетных записей 135

• П р и у д а л е н и и у ч е т н о й з а п и с и пользователя нельзя создать учетную запись


с т е м же и м е н е м . К р о м е того, н о в а я у ч е т н а я з а п и с ь не будет принадлежать
т е м же г р у п п а м и не п о л у ч и т тот же доступ к ресурсам. Ч л е н с т в о в группах
и р а з р е ш е н и я доступа н о в о й учетной записи нужно конфигурировать заново.

Закрепление материала
П р и в е д е н н ы е н и ж е в о п р о с ы м о ж н о и с п о л ь з о в а т ь д л я п р о в е р к и знаний, полу-
ч е н н ы х на з а н я т и и 3. Э т и в о п р о с ы есть на с о п р о в о д и т е л ь н о м компакт-диске.

ПРИМЕЧАНИЕ Ответы
Ответы на эти вопросы с пояснениями к каждому варианту ответа помещены в раз-
деле «Ответы» в конце книги.

1. Вам н у ж н о у с т а н о в и т ь с в о й с т в о К о м н а т а (Office) д л я десяти пользователей


в д в у х р а з н ы х п о д р а з д е л е н и я х . В н а с т о я щ е е в р е м я для этого свойства ус-
т а н о в л е н о з н а ч е н и е М а й а м и . Н е д а в н о в ы н а ш л и грамматическую ошибку
и х о т и т е з а д а т ь з н а ч е н и е М а й а м и . К а к и м образом внести это изменение?
( У к а ж и т е все в а р и а н т ы . )
A. В ы б р а т ь всех д е с я т е р ы х п о л ь з о в а т е л е й , держа нажатой клавишу Ctrl,
и о т к р ы т ь диалоговое окно Свойства (Properties).
Б. И с п о л ь з о в а т ь к о м а н д ы Dsget и Dsmod.
B. И с п о л ь з о в а т ь к о м а н д ы Dsquery и Dsmod.
Г. И с п о л ь з о в а т ь к о м а н д л е т ы Get-Item и Mve-Item.
2. Вы х о т и т е п е р е м е с т и т ь п о л ь з о в а т е л я из п о д р а з д е л е н и я П а р и ж в подразде-
л е н и е М о с к в а . К а к о е с р е д с т в о м о ж н о и с п о л ь з о в а т ь д л я в ы п о л н е н и я этой
задачи?
A. К о м а н д л е т Move-Item.
Б. М е т о д MoveHere п о д р а з д е л е н и я М о с к в а .
B. К о м а н д у Dsmove.
Г. У т и л и т у Redirusr.exe.
Д. С р е д с т в о м и г р а ц и и A c t i v e D i r e c t o r y (Active D i r e c t o r y M i g r a t i o n Tool).
3. П о л ь з о в а т е л ь с о о б щ и л , ч т о он п о л у ч и л с в е д е н и я о том, что его учетная за-
п и с ь не о т к о н ф и г у р и р о в а н а д л я т е к у щ е г о компьютера и ему н у ж е н другой
к о м п ь ю т е р . Ч т о с л е д у е т сделать, ч т о б ы р а з р е ш и т ь п о л ь з о в а т е л ю войти н а
этот к о м п ь ю т е р ?
A. Щ е л к н у т ь к н о п к у Вход на ( L o g On То) на вкладке Учетная запись (Ac-
c o u n t ) свойств учетной записи пользователя.
Б. Щ е л к н у т ь к н о п к у Р а з р е ш и т ь п р и с о е д и н е н и е к д о м е н у (Allowed to J o i n
Domain) в диалоговом окне Создать компьютер (New Computer).
B. И с п о л ь з о в а т ь к о м а н д у Dsmove.
Г. П р е д о с т а в и т ь п о л ь з о в а т е л ю п р а в о л о к а л ь н о г о входа с п о м о щ ь ю ло-
кальной п о л и т и к и безопасности компьютера.
-) 36 Пользователи Глава з

Закрепление материала главы


Для того чтобы попрактиковаться и закрепить з н а н и я , п о л у ч е н н ы е п р и изуче-
нии представленного в этой главе материала, вам н е о б х о д и м о :
• ознакомиться с резюме главы;
• повторить используемые в главе основные т е р м и н ы ;
• изучить сценарий, в котором описана р е а л ь н а я с и т у а ц и я , т р е б у ю щ а я п р и -
менения полученных знаний, и п р е д л о ж и т ь свое р е ш е н и е ;
• выполнить рекомендуемые упражнения;
• сдать пробный экзамен с помощью тестов.

Резюме главы
• Для управления объектами пользователей на п р о т я ж е н и и ж и з н е н н о г о ц и к -
ла учетной записи можно использовать р а з л и ч н ы е и н с т р у м е н т ы .
• Административные задачи можно а в т о м а т и з и р о в а т ь с п о м о щ ь ю V B S c r i p t
и Windows PowerShell. Хотя ни одно из э т и х с р е д с т в не о б е с п е ч и в а е т ре-
шения всех проблем, в VBScript можно н а й т и б о л ь ш е п р и м е р о в и р е с у р с о в
для администрирования Active Directory, чем в W i n d o w s PowerShell. О д н а к о
будущее администрирования и а в т о м а т и з а ц и и на о с н о в е к о м а н д все же за
оболочкой Windows PowerShell.
• Поскольку пользователи я в л я ю т с я п р и н ц и п а л а м и б е з о п а с н о с т и , н у ж н о
внимательно управлять у ч е т н ы м и з а п и с я м и и в ы п о л н я т ь з а д а ч и , в т о м
числе смену паролей, разблокировку, в к л ю ч е н и е и о т к л ю ч е н и е у ч е т н ы х
записей, перемещение и переименование у ч е т н ы х з а п и с е й и в к о н е ч н о м
счете удаление учетных записей.
• Источник данных с и н ф о р м а ц и е й о п о л ь з о в а т е л я х м о ж н о и м п о р т и р о -
вать в Active Directory с помощью к о м а н д ы CSVDE, W i n d o w s P o w e r S h e l l
и VBScript.

Основные термины
Запомните перечисленные далее термины, ч т о б ы л у ч ш е п о н я т ь о п и с ы в а е м ы е
концепции.
• Метод В контексте программирования и л и с о з д а н и я с ц е н а р и е в метод —
это действие, в ы п о л н я е м о е с объектом. Н а п р и м е р , с п о м о щ ь ю м е т о д а
SetPassword объекта п о л ь з о в а т е л я м о ж н о в ы п о л н я т ь б е з о п а с н у ю с м е н у
пароля. Воспользовавшись методом Create о б ъ е к т а к о н т е й н е р а в A c t i v e
Directory, можно создать нового п о л ь з о в а т е л я , г р у п п у и л и к о м п ь ю т е р .
• Объект В контексте программирования и л и с о з д а н и я с ц е н а р и е в объект —
это структура данных, п р е д с т а в л я ю щ а я с и с т е м н ы й р е с у р с . Н а п р и м е р ,
объект может представлять учетную з а п и с ь п о л ь з о в а т е л я в A c t i v e Direc-
tory. Объекты обладают свойствами и л и а т р и б у т а м и , а т а к ж е м е т о д а м и
или действиями.
Практические задания 37

Сценарий. Импорт учетных записей пользователей


В этом с ц е н а р и и вы п р и м е н и т е п о л у ч е н н ы е з н а н и я о с о з д а н и и и поддержке
у ч е т н ы х з а п и с е й п о л ь з о в а т е л е й . О т в е т ы на в о п р о с ы м о ж н о н а й т и в разделе
«Ответы» в конце книги.
Б у д у ч и а д м и н и с т р а т о р о м к р у п н о г о университета, вы каждый семестр
п о л у ч а е т е ф а й л , с о д е р ж а щ и й и н ф о р м а ц и ю о н о в ы х студентах. Ваша работа
состоит в с о з д а н и и д л я н и х у ч е т н ы х з а п и с е й . П о л у ч а е м ы й ф а й л создается в
Excel и с о д е р ж и т и м я и к о н т а к т н ы е д а н н ы е каждого студента. Учетные записи
п о л ь з о в а т е л е й д о л ж н ы и м е т ь и м е н а входа, в ы в о д и м ы е имена и адреса элект-
р о н н о й п о ч т ы в с о о т в е т с т в и и с у с т а н о в л е н н ы м и в университете соглашениями
по и м е н о в а н и ю . Н а п р и м е р , и м я в х о д а с о с т о и т из ф а м и л и и и первой буквы
и м е н и с т у д е н т а . А д р е с а э л е к т р о н н о й п о ч т ы д о л ж н ы соответствовать формату
имя.фамилия@домен.ес1и. Р у к о в о д с т в о п о п р о с и л о создать все учетные записи за
четыре н е д е л и до н а ч а л а н о в о г о семестра. Р а н ь ш е вы создавали учетные записи
в р у ч н у ю . В э т о м году у ч е т н ы е з а п и с и т р е б у е т с я создавать автоматически.
1. К а к о й и н с т р у м е н т , о п и с а н н ы й в э т о й главе, следует использовать д л я им-
порта у ч е т н ы х з а п и с е й п о л ь з о в а т е л е й из базы данных? Благодаря чему этот
и н с т р у м е н т , п о в а ш е м у м н е н и ю , л у ч ш е д р у г и х д о с т у п н ы х средств импорта
пользователей?
2 . Ч т о м о ж н о с д е л а т ь д л я п о в ы ш е н и я у р о в н я безопасности создаваемых учет-
н ы х з а п и с е й с у ч е т о м того, ч т о о н и б у д у т с о з д а н ы за ч е т ы р е недели до
первого п р и м е н е н и я ?
3. П о с л е с о з д а н и я у ч е т н ы х з а п и с е й вы в с п о м н и л и , что не внесли в атрибут
company н а з в а н и е у н и в е р с и т е т а . Все с о з д а н н ы е учетные записи новых сту-
д е н т о в п о м е ч е н ы о д н и м годом. К а к м о ж н о быстро з а п о л н и т ь этот атрибут
с п о м о щ ь ю о с н а с т к и Active D i r e c t o r y — пользователи и компьютеры (Active
Directory Users and C o m p u t e r s ) или командной строки?

Практические задания
Д л я у с п е ш н о й п о д г о т о в к и к с д а ч е с е р т и ф и к а ц и о н н о г о э к з а м е н а п о темам,
п р е д с т а в л е н н ы м в э т о й главе, в ы п о л н и т е п р е д л а г а е м ы е далее упражнения.

Автоматизация создания учетных записей пользователей


В у п р а ж н е н и и 1 вы и с п о л ь з у е т е о д и н м е т о д д л я с о з д а н и я большого количес-
тва у ч е т н ы х з а п и с е й п о л ь з о в а т е л е й . В ы п о л н я я у п р а ж н е н и и 2 , в ы п о желанию
и с п о л ь з у е т е д л я э т о й ц е л и д р у г о й метод.
• Упражнение 1 С о з д а й т е т а б л и ц у Excel, к о т о р а я будет в ы п о л н я т ь р о л ь
б а з ы д а н н ы х у ч е т н ы х з а п и с е й п о л ь з о в а т е л е й . В п е р в о й строке т а б л и ц ы
в в е д и т е с л е д у ю щ и е L D A P - и м е н а а т р и б у т о в п о одному атрибуту в стол-
бец: distinguishedName, objectClass, givenName, sn, sAMAccountName. З а п о л -
н и т е ф а й л д а н н ы м и . П о м н и т е , ч т о а т р и б у т givenName представляет и м я
п о л ь з о в а т е л я , а а т р и б у т сп — его ф а м и л и ю . И с п о л ь з у й т е и н с т р у к ц и и из
-) 138 Пользователи Глава з

упражнения 3 занятия 1. Сохраните эти д а н н ы е в в и д е т е к с т о в о г о ф а й л а


с разделительными запятыми. И м п о р т и р у й т е ф а й л с п о м о щ ь ю к о м а н д ы
CSVDE.
• Упражнение 2 В главе 2 был рассмотрен сценарий, к о т о р ы й м о ж е т созда-
вать пользователей с помощью ф а й л а .csv. М о д и ф и ц и р у й т е э т о т с ц е н а р и й
для импорта пользователей из вашего ф а й л а .csv. П о с т р о й т е в с ц е н а р и и
атрибуты userPrincipalName и displayName, к а к о п и с а н о в г л а в е 2.

Поддержка учетных записей Active Directory


В этом упражнении вы займетесь у п р а в л е н и е м у ч е т н ы м и з а п и с я м и п о л ь з о в а -
телей с помощью методов, упоминаемых в н а с т о я щ е й главе.
• Упражнение В настоящей главе о п и с а н о м н о г о в о з м о ж н о с т е й д л я в ы -
полнения административных задач с ц е л ь ю п о д д е р ж к и у ч е т н ы х з а п и с е й
пользователей. Вы получите очень ц е н н ы й опыт, е с л и и з у ч и т е все п р и м е -
ры, приведенные в этой главе, и п р и м е н и т е их в своей среде. П о п р о б у й т е
использовать на практике все описанные к о м а н д ы и с ц е н а р и и .

Пробный экзамен
На прилагаемом к книге компакт-диске п р е д с т а в л е н о н е с к о л ь к о в а р и а н т о в
тренировочных тестов. Проверка знаний в ы п о л н я е т с я и л и т о л ь к о по о д н о й теме
сертификационного экзамена 7 0 - 6 4 0 , и л и по всем э к з а м е н а ц и о н н ы м т е м а м .
Тестирование можно организовать т а к и м образом, ч т о б ы о н о п р о в о д и л о с ь к а к
экзамен, либо настроить на режим обучения. В п о с л е д н е м с л у ч а е вы с м о ж е т е
после каждого своего ответа на вопрос п р о с м а т р и в а т ь п р а в и л ь н ы е о т в е т ы
и пояснения.

ПРИМЕЧАНИЕ Пробный экзамен


Подробнее о пробном экзамене рассказано во введении к данной книге.
Г Л А В А 4

Группы

Занятие 1. Создание групп и управление ими 140


Занятие 2. Автоматизация создания групп и контроля за ними 157
Занятие 3. Администрирование групп на предприятии 166

Хотя пользователи, компьютеры и даже службы со временем меняются, бизнес-


роли и п р а в и л а о б ы ч н о более стабильны. На предприятии может применяться
финансовая роль, которой требуются определенные возможности. Пользователь
или пользователи, в ы п о л н я ю щ и е данную роль, могут сменяться, однако роль
остается. По этой п р и ч и н е на п р е д п р и я т и и не принято назначать права и раз-
решения доступа о т д е л ь н о м у пользователю, компьютеру или объектам иден-
т и ф и к а ц и и служб. Задачи, с в я з а н н ы е с управлением, должны быть привязаны
к группам. Мы п р и м е н и м г р у п п ы д л я идентификации ролей пользователей и
администраторов, ф и л ь т р а ц и и групповой политики, назначения уникальных
политик паролей, прав и р а з р е ш е н и й доступа и т. д. Д л я решения подобных
задач нужно знать, как создавать, модифицировать, удалять и поддерживать
объекты групп в д о м е н е Active Directory.

Темы э к з а м е н а :
• Создание и п о д д е р ж к а объектов Active Directory.
• А в т о м а т и з а ц и я с о з д а н и я учётных записей Active Directory.
• Поддержка учетных записей Active Directory.

Прежде всего
В настоящей главе д л я автоматизации процесса создания учетных записей ком-
пьютеров используются к о м п о н е н т ы Microsoft Windows PowerShell, Microsoft
VBScript, C o m m a - S e p a r a t e d Values D a t a Exchange ( C S V D E ) и L D A P Data
I n t e r c h a n g e F o r m a t D a t a E x c h a n g e ( L D I F D E ) . И з л а г а е м ы й материал непо-
средственно связан с м а т е р и а л о м з а н я т и й 1 и 2 главы 3, поэтому его обяза-
тельно нужно прочитать. Кроме того, д л я выполнения упражнений понадобится
контроллер S E R V E R 0 1 домена contoso.com. Как создается контроллер домена,
описано в главе 1.
140 Группы t Глава 4

История ИЗ ЖИЗНИ

Дэн Холме
Эффективное управление группами позволяет обеспечить безопасность целос-
тность и продуктивность в среде IT. В качестве консультанта я много работал
с клиентами, конфигурируя технологию в соответствии с бизнес-требованиями.
Используя технологии Microsoft Windows, следует определить и реализовать
бизнес-роли и правила для определения, документирования и автоматизации
задач администрирования. Для этого часто приходится повышать уровень управ-
ления клиентскими группами, технологиями и процессами. Многие 1Т-профес-
сионалы в Active Directory версии Windows Server 2008 применяют устаревшие
методики, не пытаясь воспользоваться всеми преимуществами групп. Я столько
раз сталкивался со случаями снижения уровня производства и безопасности из-
за неправильного управления группами, что посвятил вопросам автоматизации
и повышения уровня управления группами две главы своей книги «Windows
Administration Resource Kit: Productivity Solutions for IT Professionals» (Microsoft
Press, 2008). На этом занятии мы рассмотрим указанные темы сертификацион-
ного экзамена, а также ознакомимся с некоторыми дополнительными рекомен-
дациями и методами управления группами в производственной среде.

Занятие 1. Создание групп и управление ими


Как известно, группы содержат элементы, а у п р а в л я ю т г р у п п а м и к а к о д н и м
объектом. Реализация управления группами в A c t i v e D i r e c t o r y не т а к проста,
поскольку структура Active D i r e c t o r y п р е д н а з н а ч е н а д л я п о д д е р ж к и к р у п -
ных распределенных сред и включает семь т и п о в г р у п п : д в е г р у п п ы д о м е н а
с тремя областями действия в каждой и л о к а л ь н ы е г р у п п ы б е з о п а с н о с т и . На
этом занятии речь пойдет о назначении к а ж д о й г р у п п ы , а т а к ж е о в ы п о л н е н и и
бизнес-требований с помощью с л о ж н ы х о п ц и й A c t i v e D i r e c t o r y .

Изучив материал этого занятия, вы сможете:


/ Создавать группы с помощью оснастки Active Directory — пользователи
и компьютеры (Active Directory Users And Computers).
/ Идентифицировать типы объектов, которые могут быть членами групп с раз-
личными областями действия.
/ Управлять членством в группах.
У Разработать стратегию управления группами.
Продолжительность занятия — о к о л о 45 мин.

Управление предприятием с помощью групп 3


Группы представляют собой п р и н ц и п а л ы без.опасности с и д е н т и ф и к а т о р о м j
безопасности SID (Security Identifier), к о т о р ы е с о д е р ж а т в с в о е м а т р и б у т е \
member другие принципалы безопасности ( п о л ь з о в а т е л и , к о м п ь ю т е р ы , кон- !
такты и прочие группы), позволяя т а к и м о б р а з о м п о в ы с и т ь э ф ф е к т и в н о с т ь
управления. . 0
Занятие 1 Создание групп и управление ими 141

Р а с с м о т р и м с и т у а ц и ю , к о г д а всем 100 п о л ь з о в а т е л я м в отделе продаж тре-


буется д о с т у п ч т е н и я к о б щ е й п а п к е на сервере. Н е т с м ы с л а назначать раз-
р е ш е н и я д о с т у п а к а ж д о м у о т д е л ь н о м у п о л ь з о в а т е л ю , поскольку при приеме
на р а б о т у н о в ы х м е н е д ж е р о в по п р о д а ж а м в с п и с о к к о н т р о л я доступа ACL
(Access C o n t r o l L i s t ) п а п к и п р и д е т с я д о б а в л я т ь новые учетные записи. При
у д а л е н и и у ч е т н ы х з а п и с е й и з с п и с к а ACL п о н а д о б и т с я удалить р а з р е ш е н и я
доступа, и н а ч е в A C L о с т а н е т с я о т с у т с т в у ю щ а я у ч е т н а я запись (рис. 4-1), ведь
S I D - и д е н т и ф и к а т о р в A C L с с ы л а е т с я на учетную запись, которую невозможно
р а з р е ш и т ь . П р е д с т а в и м , ч т о в с е м 100 п о л ь з о в а т е л я м в отделе продаж потре-
буется д о с т у п к 10 о б щ и м п а п к а м на т р е х серверах. Управление э т и м и поль-
зователями значительно усложнится.

р «I
fleet*. j>tL*e версии I НьггроАса |
(Яшм | .ОоЬц/г Бемадснестъ
Имя объаста CiXltoai-'JHjblcJ'T&wuwx
Гр)ПГы. нпи по гь зева теп-:
4)3при л С поют topd s!ev.e(1(?oortoio com) 3
^ПАКЕТНЫЕ <РАЙЛЫ
Д.:,:-: £ U ! jJ
ч
тоб
ы измени разрецжиня,

Рагашении дп« Неизвестны


Peice^n. Загре г. г.
ГдмЛ З
РСТ
рт

Чт
ение и веге J
0*ыж ешкртмогэ пагго, У
Зяж» . Zi

йсслт*те.лыю |

Рис. 4-1. Список ACL с SID-идентификатором, ссылающимся на учетную запись,


которую невозможно разрешить

Вместо р а з р е ш е н и й д о с т у п а к ресурсу о т д е л ь н ы м объектам идентификации


( н а п р и м е р , п о л ь з о в а т е л я м и к о м п ь ю т е р а м ) р е к о м е н д у е т с я н а з н а ч и т ь одно
р а з р е ш е н и е д о с т у п а г р у п п е , а з а т е м у п р а в л я т ь доступом к ресурсу, и з м е н я я
членство в этой группе.
Д л я п р и м е р а м ы м о ж е м с о з д а т ь г р у п п у П р о д а ж и и назначить е й доступ
ч т е н и я (Allow R e a d ) к 10 о б щ и м п а п к а м на трех серверах. Таким образом мы
получаем в свое р а с п о р я ж е н и е е д и н у ю т о ч к у у п р а в л е н и я . Группа П р о д а ж и ста-
нет э ф ф е к т и в н ы м с р е д с т в о м у п р а в л е н и я д о с т у п о м к общим папкам. В группу
м о ж н о д о б а в л я т ь н о в ы х м е н е д ж е р о в п о п р о д а ж а м , к о т о р ы е получат доступ
к 10 о б щ и м п а п к а м . П р и у д а л е н и и у ч е т н о й з а п и с и а в т о м а т и ч е с к и удаляется и
ее ч л е н с т в о в группе, т а к ч т о в с п и с к а х ACL не п о я в я т с я н е р а з р е ш и м ы е SID-
и д е н т и ф и к а т о р ы . К р о м е того, м ы п о л у ч а е м д о п о л н и т е л ь н о е преимущество:
поскольку с п и с о к A C L о с т а е т с я с т а б и л ь н ы м вместе с г р у п п о й Продажи, кото-
рой н а з н а ч е н д о с т у п ч т е н и я , б у д е т п р о щ е в ы п о л н я т ь архивацию. И з м е н е н и е
списка ACL п а п к и р а с п р о с т р а н я е т с я на все д о ч е р н и е ф а й л ы и папки и требует
а р х и в а ц и и всех ф а й л о в , д а ж е е с л и с о д е р ж и м о е э т и х ф а й л о в н е изменялось.
142 Группы t Глава 4

Представим, что доступ чтения к этим папкам т р е б у е т с я не т о л ь к о менед-


жерам по продажам. Служащим отдела маркетинга и к о н с у л ь т а н т а м , н а н и м а -
емым организацией, также нужен доступ чтения к тем же п а п к а м . Э т и группы,
конечно, можно добавить в списки ACL папок, о д н а к о в к о н е ч н о м счете вы
столкнетесь с той же ситуацией, как и с п о л ь з о в а т е л я м и , т о л ь к о с п и с к и ACL
будут переполнены не пользователями, а группами. Ч т о б ы п р е д о с т а в и т ь т р е м
группам доступ чтения к 10 папкам на трех серверах, п о т р е б у е т с я д о б а в и т ь
30 разрешений! Для следующей группы, которой п о н а д о б и т с я д о с т у п к 10 пап-
кам, потребуется добавить еще 10 изменений в списки ACL д е с я т и о б щ и х папок.
А что если еще восьми пользователям, не п р и н а д л е ж а щ и м к э т и м г р у п п а м ,
также потребуется доступ чтения к 10 о б щ и м п а п к а м ? С л е д у е т ли д о б а в л я т ь
эти отдельные учетные записи пользователей в с п и с к и A C L ?
Как видите, применение лишь одного типа группы, о п р е д е л я ю щ е г о бизнес-
роли пользователей, не позволяет эффективно у п р а в л я т ь д о с т у п о м к 10 папкам.
Решение — использовать в этом сценарии д в а т и п а у п р а в л е н и я . П о л ь з о в а т е -
лями следует управлять как к о л л е к ц и я м и на о с н о в е их б и з н е с - р о л е й . К р о м е
того, нужно управлять доступом к 10 папкам. Э т и 10 п а п о к т а к ж е б у д у т к о л -
лекцией элементов, представляя единый ресурс, р а с п р е д е л е н н ы й в 10 п а п к а х
на трех серверах. Нам требуется управлять д о с т у п о м ч т е н и я к э т о й к о л л е к ц и и
ресурсов, то есть необходима единая точка у п р а в л е н и я , п о з в о л я ю щ а я к о н т р о -
лировать доступ к коллекции ресурсов.
Для этого нужна еще одна группа, предоставляющая д о с т у п ч т е н и я к 10 пап-
кам на трех серверах. Допустим, что этой г р у п п е п р и с в о е н о и м я ACL_^Sales
Folders_Read и назначается доступ чтения к 10 п а п к а м . Г р у п п ы п р о д а ж , м а р -
кетинга, консультантов, а также восемь о т д е л ь н ы х п о л ь з о в а т е л е й м о г у т б ы т ь
членами группы ACL_Sales Folder_Read. Е с л и д о с т у п к п а п к а м п о т р е б у е т с я
дополнительным группам или пользователям, их м о ж н о д о б а в и т ь в д а н н у ю
группу. Кроме того, значительно проще о п р е д е л и т ь , к т о р а с п о л а г а е т д о с т у п о м
чтения к этим папкам. Вместо анализа списков A C L к а ж д о й из 10 п а п о к н у ж н о
просто просмотреть список членов группы A C L _ S a l e s F o l d e r _ R e a d .
Такой способ управления предприятием с п о м о щ ь ю групп н а з ы в а е т с я управ-
лением на основе ролей. Роли пользователей о п р е д е л я ю т с я на о с н о в а н и и биз-
нес-функций, например принадлежности к о т д е л у п р о д а ж , м а р к е т и н г а и т. д.,
и соответствия бизнес-правилам, н а п р и м е р р о л и и о т д е л ь н ы е п о л ь з о в а т е л и
могут получать доступ к 10 папкам.
Обе задачи управления можно решить п р и п о м о щ и г р у п п в к а т а л о г е . Р о л и
представлены группами, которые содержат п о л ь з о в а т е л е й , к о м п ь ю т е р ы и д р у -
гие роли. Да, именно так: одни р о л и могут в к л ю ч а т ь д р у г и е . Н а п р и м е р , р о л ь
Руководство может включать роли К о м м е р ч е с к и е р у к о в о д и т е л и , Ф и н а н с о в ы е
руководители и Руководители производства. Т а к и е п р а в и л а , к а к о п р е д е л е н и е
права доступа чтения к 10 папкам, также п р е д с т а в л е н ы г р у п п а м и . Группы пра-
вил содержат группы ролей и, иногда, о т д е л ь н ы х п о л ь з о в а т е л е й — т а к и х к а к
восемь пользователей в рассматриваемом п р и м е р е , и л и к о м п ь ю т е р ы .
Для управления предприятием любого масштаба требуется э ф ф е к т и в н о руко-
водить группами и создать инфраструктуру групп с е д и н ы м п у н к т о м у п р а в л е н и я
Занятие 1 Создание групп и управление ими 143

ролями и п р а в и л а м и . Т е х н и ч е с к и это означает, что потребуются группы, члена-


ми которых могут б ы т ь п о л ь з о в а т е л и , компьютеры, другие группы и, возможно,
принципалы безопасности из других доменов.

Определение соглашений именования групп


Ч т о б ы создать г р у п п у с п о м о щ ь ю о с н а с т к и Active D i r e c t o r y — пользователи
и к о м п ь ю т е р ы ( A c t i v e D i r e c t o r y Users And C o m p u t e r s ) , достаточно щелкнуть
правой к н о п к о й м ы ш и п о д р а з д е л е н и е , в котором хотите создать группу, выбрать
опцию Создать ( N e w ) и п р и м е н и т ь к о м а н д у Группа ( G r o u p ) . В диалоговом окне
Н о в ы й объект — Группа ( N e w O b j e c t — G r o u p ) , представленном на рис. 4-2,
можно у к а з а т ь о с н о в н ы е с в о й с т в а д л я н о в о й группы.

*J

'4 ^ Создать в: сопЮю.сот/Группы/Роли

Имя группы {лред-vyndows 3300):


-j Консультанты

"Область действия г р у п п ы — Т ^ п г р у п л ы —

j Г Локальна» в донене Г? Груша безопасности


i <* Глобальная f Группа распространения
j С Универсальная

Рис. 4-2. Создание новой группы

Вначале н у ж н о у к а з а т ь и м е н а группы. Группа пользователей или компьюте-


ров м о ж е т и м е т ь н е с к о л ь к о имен. П е р в о е и м я в поле И м я группы (Group Name)
и с п о л ь з у е т с я W i n d o w s 2 0 0 0 и более п о з д н и м и с и с т е м а м и д л я и д е н т и ф и к а ц и и
объекта (см. р и с . 4 - 2 ) . Э т о и м я п р е о б р а з у е т с я в атрибуты сп и пате объекта.
Второе и м я п р е д - W i n d o w s 2 0 0 0 п р е д с т а в л я е т атрибут sAMAccountName, служа-
щ и й д л я и д е н т и ф и к а ц и и г р у п п ы на компьютерах Microsoft Windows NT 4.0 и в
н е к о т о р ы х у с т р о й с т в а х , т а к и х к а к с е т е в ы е х р а н и л и щ а данных NAS (Network
A t t a c h e d S t o r a g e ) , в о п е р а ц и о н н ы х системах не из семейства Windows. Атрибу-
ты сп и пате не могут п о в т о р я т ь с я т о л ь к о в н у т р и контейнера (подразделения),
где создана г р у п п а .
А т р и б у т sAMAccountName д о л ж е н б ы т ь у н и к а л ь н ы м во всем домене. Тех-
н и ч е с к и д а н н ы й а т р и б у т sAMAccountName м о ж е т содержать значение, отли-
ч а ю щ е е с я от сп и пате, о д н а к о д е л а т ь т а к не р е к о м е н д у е т с я . И с п о л ь з у й т е
имя, у н и к а л ь н о е в д о м е н е , и в в е д и т е его в оба п о л я диалогового окна Н о в ы й
объект — Группа ( N e w O b j e c t — G r o u p ) .
С п о м о щ ь ю в ы б р а н н о г о и м е н и вы будете е ж е д н е в н о у п р а в л я т ь г р у п п о й
и предприятием. Р е к о м е н д у е т с я следовать соглашению именования, по которому
144 Группы t Глава 4

имя идентифицирует тип и назначение г р у п п ы . В к а ч е с т в е п р и м е р а м о ж н о


привести имя группы ACL_Sales F o l d e r _ R e a d из п р е д ы д у щ е г о п о д р а з д е л а .
Префикс означает, что группа служит д л я н а з н а ч е н и я п р а в д о с т у п а к папке и
используется в списках контроля доступа ACL. О с н о в н а я часть и м е н и описы-
вает ресурс, управляемый группой. С у ф ф и к с у к а з ы в а е т , что г р у п п а у п р а в л я е т
доступом чтения. Раздел