Администрирование доменов
Оснастка
Active Directory - домены и доверие(Active Directory Domains and Trusts)
С помощью оснастки Active Directory - домены и доверие администратор может просматривать все деревья доменов в лесу и управлять доменами, а также устанавливать доверительные отношения между доменами и настраивать режим работы домена (смешанный, mixed, или основной, native). Данная оснастка позволяет конфигурировать дополнительные суффиксы основных имен пользователей (User Principal Name, UPN) для всего леса, которые облегчают пользователям процесс регистрации в Active Directory. Суффиксы основных имен пользователей соответствуют стандарту RFC 822, принятому в Интернете. Иногда их называют почтовыми адресами. По умолчанию суффикс леса совпадает с его DNS-именем.
Оснастку Active Directory - домены и доверие можно запустить стандартным способом, подключив ее к консоли управления ММС, либо выбрав команду Пуск | Программы | Администрирование | Active Directory - домены и доверие (Start | Programs | Administrative Tools | Active Directory Domains and Trusts).
После загрузки оснастки Active Directory - домены и доверие появляется окно, аналогичное показанному на рис. 25.1.
Для добавления дополнительных суффиксов UPN:
1. | Укажите корневой узел оснастки Active Directory - домены и доверие и нажмите правую кнопку мыши. В появившемся контекстном меню выберите команду Свойства (Properties). |
2. | В открывшемся окне диалога введите дополнительные суффиксы UPN, нажимая кнопку Добавить (Add). |
Изменение режима работы домена
Домены Windows 2000 могут работать в одном из двух режимов:
Смешанный режим (mixed mode) предполагает возможность одновременной работы контроллеров домена, основанных как на операционной системе Windows 2000 Server, так и на более ранних версиях Windows NT Server. Этот режим позволяет выполнять некоторые функции, характерные для более ранних версий Windows NT, и запрещает выполнение некоторых функций, характерных для Windows 2000. |
Основной режим (native mode) предполагает, что все контроллеры домена работают в операционной системе Windows 2000 Server, при этом все клиентские компьютеры должны иметь поддержку (установленный на них клиент) Active Directory (это касается систем Windows 9x и Windows NT 4.0). В этом режиме можно применять такие новые средства, как универсальные группы, вложенные группы и т. д. |
По умолчанию домен Windows 2000 начинает работать в смешанном режиме. При необходимости режим работы домена можно изменить на основной. Однако обратный переход невозможен. Для перехода к основному режиму:
1. | Укажите домен, режим которого необходимо изменить, и нажмите правую кнопку мыши. В открывшемся окне диалога выберите команду Свойства. |
2. | На вкладке Общие (General) (рис. 25.2) окна свойств домена нажмите кнопку Сменить режим (Change Mode). После изменения режима перезапустите контроллер домена. |
Управление доверительными отношениями
Доверительные отношения, применявшиеся в сетях Windows NT 4.0, полностью поддерживаются в сетях Windows 2000. Они могут быть использованы для создания однонаправленного доверия между доменами Windows 2000 в дереве каталога и другими доменами, находящимися за границей вашего леса, которые могут быть образованы серверами Windows 2000, Windows NT 4.0 или более ранних версий. Это поможет вам поддерживать существующую инфраструктуру при переходе на сеть, полностью основанную на Active Directory. При создании нескольких доменов в одном дереве Active Directory автоматически устанавливаются междоменные двунаправленные доверительные отношения. Это значит, что пользователь может, зарегистрировавшись только в одном домене, получить доступ ко всем ресурсам всех доменов дерева. При объединении нескольких деревьев в лес между корневыми доменами каждого дерева также устанавливаются двунаправленные доверительные отношения. В этом случае необходимость дополнительной настройки доверительных отношений не возникает.
Конфигурирование доверительных отношений требуется, если:
Необходимо установить однонаправленные доверительные отношения (в случае, когда соображения безопасности заставляют исключить возможность общего использования каких-либо ресурсов компьютерной сети). | |
Возникла необходимость в установлении доверительных отношений между доменами, находящимися в различных лесах (организациях). | |
Должны быть установлены доверительные отношения .между доменами Windows 2000 и Windows NT 4.0. |
Для образования однонаправленных доверительных отношений:
1. | Запустите оснастку Active Directory-домены и доверие. |
2. | Укажите домен, который должен принять участие в однонаправленном доверительном отношении, и нажмите правую кнопку мыши. В появившемся контекстном меню выберите команду Свойства. |
3. | В окне свойств домена перейдите на вкладку Доверия (Trusts). Если другой домен, участвующий в отношении, должен стать доменом-доверителем (trusting), нажмите кнопку Добавить в группе Домены, которые доверяют этому домену (Domains that trust this domain). Если другой домен должен стать доверенным (trusted), нажмите кнопку Добавить в группе Домены, которым доверяет этот домен (Domains trusted by this domain). |
4. | В окне диалога Добавление домена-доверителя (Add Trusting Domain) или Добавление доверенного домена (Add Trusted Domain), соответственно, укажите имя второго домена, принимающего участие в однонаправленном доверительном отношении, пароль для регистрации в указанном домене и затем подтвердите его. Нажмите кнопку ОК. Появится окно сообщения о том, что доверительное отношение не может быть проверено, поскольку не установлена вторая половина доверительного отношения. |
5. | Установите в окне оснастки указатель мыши на домен, который является второй стороной в доверительном отношении и имя которого было указано ранее на вкладке Доверия, и нажмите правую кнопку мыши. В появившемся контекстном меню выберите команду Свойства. |
6. | Повторите шаги 3 и 4, имея в виду, что роль домена изменилась на противоположную: если первый домен был доверителем, то второй домен должен быть доверенным, и наоборот. После окончания конфигурирования нажмите кнопку ОК. Появится окно сообщения об успешном создании однонаправленного доверительного отношения. |
Для создания двунаправленного доверительного отношения между доменами, находящимися в различных лесах, следует повторить описанную выше процедуру, но поменять роли доменов. Тот домен, который был доверенным, должен стать доверителем, и наоборот.
Для создания доверительного отношения между доменами Windows 2000 и Windows NT 4.0:
1. | На главном контроллере (PDC) существующего домена Windows NT 4.0 запустите утилиту User Manager for Domain (Диспетчер пользователей для домена) (Start | Programs | Administrative Tools | User Manager for Domain). |
2. | В меню Policies (Политики) выберите команду Trust Relationships (Доверительные отношения). |
3. | Нажмите кнопку Add, расположенную рядом со списком Trusting Domains (Домены-доверители). Появится окно диалога, содержащее имя домена, и окна, позволяющие ввести пароль и подтвердить его. |
4. | Введите необходимые данные и нажмите кнопку ОК. |
Завершите работу Диспетчера пользователей для домена. Теперь домен Windows 2000 доверяет существующему домену Windows NT 4. Однако конфигурирование доверительного отношения не завершено до тех пор, пока домен, основанный на Windows 2000 Server, не подтвердит пароль.
1. | Запустите на контроллере домена Windows 2000 оснастку Active Directory - домены и доверие. |
2. | Укажите имя домена-доверителя и нажмите правую кнопку мыши. В появившемся меню выберите команду Свойств■. |
3. | В окне свойств домена перейдите на вкладку Доверия. |
4. | Нажмите кнопку Добавить, расположенную рядом со списком Домены, которым доверяет этот домен. Откроется окно диалога Добавление доверенного домена. |
5. | Введите с клавиатуры имя существующего главного контроллера домена Windows NT 4.0 и тот же пароль, что был введен ранее. |
6. | Нажмите кнопку ОК, Откроется окно сообщения об успешности завершения установки доверительного отношения. |
Для проверки доверительного отношения зарегистрируйтесь на компьютере, входящем в домен Windows 2000, под учетной записью пользователя, существующей на главном контроллере домена Windows NT 4.0. Если этот шаг завершился успешно, доверительное отношение установлено правильно.
Оснастка
Active Directory - пользователи и компьютеры (Active Directory Users and Computers)
Оснастка Active Directory - пользователи и компьютеры предназначена для управления пользователями, группами, очередями печати и другими объектами каталога Active Directory. Этот инструмент позволяет создавать объекты, настраивать их атрибуты и выполнять с ними ряд других операций.
Оснастка Active Directory - пользователи и компьютеры работает на контроллере домена под управлением Windows 2000 Server; оснастка не устанавливается на изолированных серверах или рабочих станциях. Отметим, что работа этого инструмента возможна на рядовом сервере (member server), являющемся членом домена, и на компьютере с Windows 2000 Professional, входящем в домен Windows 2000: для этого на них необходимо установить пакет административных оснасток Windows 2000 Administrative Tools.
Оснастку Active Directory - пользователи и компьютеры можно запустить изолированно в консоли ММС или из меню Пуск | Программы J Администрирование. Пример окна оснастки показан на рис. 25.4.
В открывшемся окне вы можете видеть встроенные папки со сгруппированными определенными объектами каталога, играющие важную роль в управлении Active Directory, такие как Builtin, Computers, System, Users и Domain Controllers (табл 25.1).
Таблица 25.1. Назначение встроенных папок оснастки Active Directory - пользователи и компьютеры
Папка | Описание |
Builtin | Содержит встроенные локальные группы: Account Operators (Операторы учета), Administrators (Администраторы), Backup Operators (Операторы архива), Guests (Гости), Pro-Windows 2000 Compatible Access (Совместимый с пред-Windows 2000 доступ), Print Operators (Операторы печати), Replicator (Репликатор), Server Operators (Операторы сервера) и Users (Пользователи) |
Computers | Содержит учетные записи всех компьютеров, подключаемых к домену. При выполнении обновления систем Windows более ранних версий служба Active Directory переносит учетные записи машин в папку Computers, откуда эти объекты могут быть перемещены |
System | Содержит информацию о системе и службах, например, DPS, DNS, FRS, RPC, Winsock и др. |
Users | Содержит информацию обо всех пользователях домена. При обновлении более ранних версий все .пользователи первоначального домена будут перенесены в эту папку. Так же, как и компьютеры, объекты этой папки могут быть перенесены в другие папки |
Domain Controllers | Содержит информацию обо всех контроллерах домена |
Примечание
Следует отметить такую деталь: если контроллер домена на базе русской версии Windows 2000 Server ставился "с нуля", то имена групп и встроенных пользователей будут выводиться по-русски. Если же этот контроллер ставился как дополнительный контроллер (реплика) и база данных Active Directory реплици-ровапась с американской версии Windows 2000 Server, то имена выводятся по-английски.
Создание подразделения (организационной единицы)
Для создания подразделения, или организационной единицы (Organizational Unit, OU):
1. | Укажите объект типа "домен" и нажмите правую кнопку мыши. В появившемся меню выберите команду Создать | Подразделение (New | Organizational Unit) либо нажмите кнопку Создание нового подразделения в текущем контейнере (Create a new organizational unit in a current container) на панели инструментов. |
2. | В открывшемся окне укажите имя создаваемого подразделения и нажмите кнопку ОК. |
В результате в выбранном вами домене будет создано подразделение с заданным именем. В дальнейшем внутри него можно создать вложенные подразделения.
Создание учетной записи пользователя
Для создания в домене учетной записи пользователя с идентификатором Sidorovl:
1. | Укажите подразделение, в котором вы хотите создать учетную запись, и нажмите правую кнопку мыши. В появившемся меню выберите команду Создать | Пользователь. |
2. | В окне диалога Новый объект - Пользователь (New Object - User) в поле Имя входа пользователя (User logon name) введите идентификатор, в поле Имя (First name) - имя пользователя, в поле Фамилия (Last name) - фамилию пользователя, в поле Полное имя (Full name) автоматически появятся имя и фамилия пользователя (рис. 25.5). При необходимости содержимое последнего поля можно откорректировать. После ввода всей необходимой информации нажмите кнопку Далее (Next). |
3. | В следующем окне в полях ввода Пароль (Password) и Подтверждение (Confirm password) введите с клавиатуры пароль учетной записи пользователя. |
4. | Если вы не хотите, чтобы пользователь принудительно сменил пароль при первой регистрации в сети, сбросьте флажок Потребовать смену пароля при следующем входе в систему (User must change password at next logon). |
5. | В случае, если пользователь может не изменять пароль в течение неограниченного времени, установите флажок Срок действия пароля не ограничен (Password never expires). |
6. | Установленный флажок Запретить смену пароля пользователем (User cannot change password) запрещает пользователю самостоятельно изменять свой пароль. |
7. | Если только что созданная учетная запись по каким-либо причинам должна быть заблокирована, установите флажок Отключить учетную запись (Account disabled). |
8. | По завершении настройки создаваемой учетной записи нажмите кнопку Далее. |
9. | В окне диалога, запрашивающего подтверждение правильности выполняемого действия, нажмите кнопку Готово (Finish). |
В результате в подразделении будет создана учетная запись пользователя с именем Sidorovl.
Для ввода дополнительной информации о пользователе или изменения уже существующих настроек:
1. | Укажите учетную запись пользователя, информацию которой следует изменить, и нажмите правую кнопку мыши. В появившемся меню выберите команду Свойства. |
2. | Внесите необходимые изменения и нажмите кнопку ОК. |
Перемещение учетной записи пользователя
Учетную запись пользователя можно перемещать из одного подразделения в другое в пределах одного домена или между доменами. Для соответствующего перемещения учетной записи этого пользователя:
1. | Щелкните на подразделении, откуда требуется перенести пользователя. |
2. | Укажите учетную запись пользователя, которую следует перенести, и нажмите правую кнопку мыши. В контекстном меню выберите команду Переместить (Move). |
3. | В окне Переместить выберите целевое подразделение и нажмите кнопку ОК. Как правило, необходимость переноса учетных записей пользователей из папки Users в другие подразделения возникает при обновлении более ранних версий Windows NT Server на Windows 2000 Server. |
Создание группы
В процессе установки домена Windows 2000 в нем создается несколько встроенных групп, обладающих определенным набором прав. Их можно использовать для присвоения администраторам или пользователям определенных ролей или прав доступа в домене.
См. примечание после табл. 25.1.
К встроенным относятся перечисленные ниже группы. Эти группы служат для назначения разрешений доступа пользователям, на которых возложено выполнение в данном домене каких-либо административных функций.
Локальные группы в домене:
Администраторы (Administrators) | |
Гости (Guests) | |
Операторы архива (Backup Operators) | |
Операторы печати (Print Operators) | |
Операторы сервера (Server Operators) | |
Операторы учета (Account Operators) | |
Пользователи (Users) | |
Репликатор (Replicator) | |
Совместимый с пред-Windows 2000 доступ (Pre-Windows 2000 CompatibleAccess) |
Глобальные группы:
Администраторы домена (Domain Admins) | |
Владельцы-создатели групповой политики (Group Policy Creator Owners) | |
Гости домена (Domain Guests) | |
Издатели сертификатов (Cert Publishers) | |
Компьютеры домена (Domain Computers) | |
Контроллеры домена (Domain Controllers) | |
Пользователи домена (Domain Users) |
Универсальные группы:
Администраторы предприятия (Enterprise Admins) | |
Администраторы схемы (Schema Admins) |
Универсальные группы создаются только на контроллерах корневого (первого в лесе) домена. В зависимости от установленных на сервере служб могут быть и дополнительные встроенные группы, локальные в домене или глобальные. По умолчанию все встроенные локальные группы домена находятся в папке Builtin объекта домена. Все встроенные глобальные группы находятся в папке Users. Встроенные группы можно переносить в другие контейнеры или подразделения в пределах домена.
По умолчанию каждая созданная в домене учетная запись автоматически становится членом группы Пользователи домена. Кроме того, группа Пользователи домена является членом локальной в домене группы Пользователи.
Любой объект типа Компьютер (Computer) при создании по умолчанию автоматически включается в группу Компьютеры домена.
Группа Администраторы домена объединяет всех пользователей, имеющих полный административный доступ в домене. По умолчанию Администраторы домена являются членами локальной в домене группы Администраторы.
Группа Гости домена объединяет все учетные записи, с помощью которых можно зарегистрироваться в домене без пароля и получить минимальные права доступа. По умолчанию Гости домена являются членами локальной в домене группы Гости.
Помимо перечисленных выше встроенных групп, при установке домена Windows 200G создаются особые группы, обладающие дополнительными свойствами; среди них группы:
ВСЕ (Everyone) - объединяет всех существующих и создаваемых пользователей сети, включая гостей и пользователей других доменов. | |
СЕТЬ (Network) - объединяет всех пользователей, получивших доступ к данному ресурсу по сети (в отличие от пользователей, получивших доступ к ресурсу локально). | |
ИНТЕРАКТИВНЫЕ (Interactive) - объединяет всех пользователей, получивших доступ к данному ресурсу, зарегистрировавшись локально на компьютере, где находится этот ресурс. |
Состав членов указанных трех групп нельзя просмотреть или модифицировать. Однако любой из групп можно предоставить различные полномочия.
Помимо перечисленных выше встроенных групп администратор может создать любое количество групп пользователей и предоставить им необходимый набор прав и разрешений. Для создания группы:
1. | Выберите подразделение, где следует создать группу, и нажмите правую кнопку мыши. Выберите в появившемся меню команду Создать | Группа (Group), либо нажмите кнопку Создание новой группы в текущем контейнере (Create New Group in a Current Container) на панели инструментов. |
2. | В открывшемся окне диалога Новый объект - Группа в поле Имя группы (Group name) введите имя создаваемой группы. По умолчанию вводимое имя группы автоматически заносится в поле Имя группы (пред-Windows 2000) (Group name (pre-Windows 2000)). |
3. | Установите переключатель Тип группы (Group type) в одно из положений, соответствующее типу создаваемой группы: Группа безопасности (Security) или Группа распространения (Distribution). Первый тип группы служит для предоставления пользователям определенного набора прав доступа к таким ресурсам сети, как файлы и принтеры. Второй тип группы служит только для распространения информации в сети, например в качестве списков рассылки электронной почты. Следует отметить, что группы безопасности могут использоваться в качестве групп распространения. |
4. | Установив в одно из положений переключатель Область действия группы (Group scope), выберите подходящую область действия создаваемой группы. Область действия группы определяет, где может быть видна данная группа (уровень доступности) и какие типы объектов могут быть ее членами (табл. 25.2). |
Таблица 25.2. Соответствие области действия и других свойств группы
Область действия | Уровень доступности группы | Тип объектов, допустимых в качестве членов группы |
Локальная в домене (Domain Local) | Отдельный домен | Пользователи, а также глобальные и универсальные группы из всего леса, другие локальные группы из этого же домена (последнее - только в основном, native, режиме домена) |
Глобальная (Global) | Лес | Пользователи, а также глобальные и универсальные группы |
Универсальная (Universal) | Лес | Пользователи и глобальные группы (только в основном режиме домена) |
Добавление пользователя в группу
Для добавления пользователя в группу:
1. | Укажите группу, в которую вы хотите добавить пользователя, и нажмите правую кнопку мыши. В появившемся меню выберите команду Свойства. Появится окно свойств группы. |
2. | Перейдите на вкладку Члены группы (Members) окна свойств и нажмите кнопку Добавить. |
3. | Появится окно Выбор: Пользователи, Контакты или Компьютеры (Select Users, Contacts, or Computers). Здесь можно задать область выполнения запроса: весь каталог, определенный домен или определенная часть дерева подразделения внутри домена. Обратите внимание, что каталог может состоять из множества доменов. |
4. | Щелкните на имени добавляемого пользователя и нажмите кнопку Добавить. Обратите внимание, что, нажав клавишу |
В результате все выбранные объекты станут членами соответствующей группы.
Публикация общей папки
Любая папка, для которой организован общий доступ, включая папку DFS, может быть опубликована в Active Directory. Публикация заключается в создании в Active Directory объекта типа "общая папка". Сама публикация не подразумевает автоматическое обеспечение общего доступа к папке, поэтому процесс публикации состоит из двух этапов:
1. | Обеспечение общего доступа к папке. |
2. | Ее публикация в Active Directory в виде объекта каталога. |
Публикация общего ресурса в виде объекта каталога
Для публикации общего ресурса в виде объекта каталога:
1. | В оснастке Active Directory - пользователи и компьютеры укажите подразделения, где необходимо опубликовать общую папку, и нажмите правую кнопку мыши. В появившемся меню выберите команду Создать | Общую папку (New | Shared Folder). |
2. | В открывшемся окне в поле Имя (Name) введите с клавиатуры имя, которое получит опубликованная папка. |
3. | Введите значение в формате <имя_компьютера>\имя_оещего_ресурса в поле Сетевой путь к общему ресурсу (\\сервер\ресурс) (Network Path (\\server \share)). |
Внимание
Определенным неудобством является то, что система не проверяет существование указанного общего ресурса и не позволяет выбрать его в диалоговом режиме.
Теперь при просмотре дерева Active Directory пользователи могут видеть опубликованную папку.
Для того чтобы просмотреть общую папку:
1. | На рабочем столе откройте папку Мое сетевое окружение (My Network Places). |
2. | Выберите значок Вся сеть (Entire Network), а затем - Directory. |
3. | Щелкните на имени вашего домена и затем на папке, где расположена необходимая общая папка (в данном случае подразделение Office). |
4. | В открывшемся окне укажите общую папку (в данном случае Документы аудита) и нажмите правую кнопку мыши. В появившемся меню выберите команду Открыть (Open). Вы увидите все файлы, находящиеся в выбранной папке. |
Публикация принтеров
Принтеры, подключенные к системам Windows 2000
Принтер, общий доступ к которому осуществляется через компьютер с Windows 2000, публикуется с помощью вкладки Доступ (Sharing) окна свойств принтера. По умолчанию принтер, к которому организуется общий доступ, публикуется автоматически. Он находицся в каталоге в соответствующем контейнере компьютера. При обращении к нему нужно указать имя в формате <Имя_сервера>-<Имя_принтера>.
Подсистема печати будет автоматически распространять в Active Directory информацию обо всех изменениях атрибутов принтера (местоположения, описания, загруженной бумаги и т. д.).
Для того чтобы обеспечить общий доступ к принтеру, а затем опубликовать его в каталоге:
1. | С помощью обычной процедуры (Пуск | Настройка | Принтеры | Установка принтера (Start | Settings | Printers | Add Printer)) создайте новый принтер и разрешите общий доступ к нему. |
2. | После успешного завершения создания принтера автоматически выполняется его публикация в Active Directory. |
Принтеры, работающие в других системах
В каталоге Active Directory могут быть опубликованы общие принтеры, работающие в системах, отличных от Windows 2000 (например, Windows NT или Windows 9x). Такие принтеры проще всего опубликовать с помощью сценария pubprn, который публикует все общие принтеры, находящиеся на указанном сервере. Сценарий расположен в каталоге %SystemRoot%\System32. Его синтаксис:
cscript pubprn.vbs сервер путь [trace]
Например:
cscript pubprn.vbs prservl "LDAP://ou=Office, dc=BHV, dc=ru"
В данном случае все принтеры на сервере \\prservl будут опубликованы в подразделении Office. Этот сценарий копирует только следующее подмножество атрибутов принтера:
Местоположение (Location) | |
Модель (Model) | |
Комментарий (Comment) | |
Путь UNC (UNCPath) |
Другие атрибуты можно добавить с помощью оснастки Active Directory -пользователи и компьютеры. Обратите внимание, что сценарий pubprn может быть выполнен повторно. В этом случае информация о существующем принтере будет обновлена.
Другой способ публикации принтеров, работающих в других (не-Windows 2000) системах, - с помощью оснастки Active Directory - пользователи и компьютеры:
1. | Выберите подразделение, в котором вы хотите опубликовать принтер, и нажмите правую кнопку мыши. В появившемся меню выберите команду Создать (New) | Принтер (Printer); |
2. | В поле Сетевой путь к пред-Windows 2000 общему ресурсу печати (Network path of the pre-Windows 2000 print share) введите полный путь к принтеру. |
3. | В окне Имя (Name) введите с клавиатуры имя принтера, под которым он будет опубликован. |
4. | Нажмите кнопку ОК. |
Чтобы увидеть опубликованный принтер в каталоге и подключиться к нему:
1. | На рабочем столе откройте папку Мое сетевое окружение. | <