Первый шаг навстречу Active Directory
Установка контроллера домена в Windows Server 2003 Сергей «grinder» Яремчук
🕛 28.08.2008, 14:47
Небольшие компании имеют тенденцию расти: сначала это небольшая комната с одним-двумя компьютерами, затем офис занимает уже целый этаж, здание, появляются удаленные филиалы. Увеличивается и количество компьютеров. Постепенно администрировать сеть организации становится все труднее и труднее. Ведь изначально все компьютеры входят в состав рабочих групп, где участки равны между собой. Выход один - перейти на доменную структуру, что позволит централизованно администрировать все ресурсы. Один из этапов здесь - установка и настройка контроллера домена.Установка контроллера домена
Для упрощения будем считать, что уже имеется компьютер с установленной Windows Server 2003, который и будет выполнять роль контролера домена (КД). Системные требования зависят от количества пользователей. Так, для 20-30 пользователей вполне подойдет простенький компьютер вроде Celeron 633 с 256 ОЗУ и жестким диском на 10 Гб. Хотя, учитывая важность КД (он хранит все данные каталога и управляет взаимодействием между пользователями и доменом), весьма желательно наличие второго КД.
Для работы Active Directory понадобится наличие сервера DNS, поддерживающего протокол динамического обновления и ресурсные записи Service Location. Без него функции контроллера домена (вход в домен, репликация службы каталогов и т.д.) будут не доступны. Если такого сервера пока нет, его можно установить по ходу создания КД. Естественно, что для проведения всех операций понадобятся права локального администратора, который по окончании процесса станет уже администратором домена.
Для установки контроллера домена необходимо воспользоваться мастером установки Active Directory («Пуск -> Выполнить -> dcpromo»). В первых окнах мастера будут даны некоторая информация и ссылка на справочные страницы. Так как это новый домен, то на странице «Тип контроллера домена» выбираем «Контроллер домена в новом домене». Второй вариант «Добавочный контроллер домена в существующем домене» следует выбирать, когда уже имеется один контроллер домена и планируется добавить дополнительный контроллер для увеличения доступности и надежности сетевых служб. В следующем окне «Создать новый домен», в зависимости от ситуации, необходимо остановиться на одном из трех вариантов:
* «Новый домен в новом лесу» - при создании первого (родительского) или независимого домена;
* «Новый дочерний домен в существующем доменном дереве» - если требуется создать новый дочерний домен для уже существующего домена;
* «Новое доменное дерево в существующем лесу» - для создания нового доменного дерева, которое не будет дочерним к уже существующим.
Так как ничего пока нет, выбираем первый пункт и движемся дальше. На странице «Новое имя домена» необходимо ввести полное (FQDN) DNS-имя для создаваемого нового домена леса Active Directory (например, example.com). При этом не рекомендуется применять одиночное имя вроде example. На следующей странице проверяем NetBIOS-имя, которое будет использовано для идентификации нового домена пользователями предыдущих версий Windows. Оно по возможности должно совпадать с первой меткой DNS-имени домена, что и будет установлено по умолчанию. Чтобы не перестраивать все такие системы, можно оставить старое название, применявшееся до перехода на Active Directory.
Переходим на страницу «Папки базы данных и журналов», здесь необходимо ввести путь к каталогу, в котором располагаются папки базы данных и журналов. Для лучшей производительности рекомендуется журнал и базу данных размещать на разных дисках.
Аналогично поступаем в окне «Общий доступ к системному тому», указывая раздел, в который следует установить папку SYSVOL. Этот раздел обязательно должен быть отформатирован под файловую систему NTFS 5.0. Здесь будут находиться файлы, реплицируемые между контроллерами домена в домене или лесе.
На следующем шаге «Диагностика регистрации DNS» проверяется работа DNS-сервера. Если таковой обнаружить не удается, то администратору предлагается:
* решить проблему и повторить диагностический тест;
* установить и настроить DNS-сервер на локальном компьютере, тогда сервер будет выбран в качестве предпочитаемого; другие компьютеры также могут использовать этот DNS-сервер;
* пропустить шаг и решить проблему позже.
Если DNS-сервера еще нет, выбираем второй вариант и переходим к странице «Разрешения», на которой определяются разрешения, устанавливаемые по умолчанию для объектов, являющихся пользователями или группами. Эти параметры влияют на совместимость приложений с компьютерами, которые работают под управлением операционных систем, предшествующих Windows 2000. Возможны два варианта совместимости приложений с операционными системами. Мы остановимся на Windows 2000/2003. На странице «Пароль администратора для режима восстановления» вводим пароль, который понадобится для восстановления резервной копии состояния системы данного контроллера домена в режиме восстановления Active Directory. И наконец, в «Сводке» проверяем сведения по установке, после чего последует сам процесс установки Active Directory и создание контроллера домена, а также инсталляция DNS-сервера, если эта процедура была разрешена. По окончании потребуется перезагрузка, чтобы изменения вступили в силу.
Создание пользователей в глобальном каталоге Active Directory
Контроллер домена создан, и после перезагрузки уже потребуется не только ввести имя пользователя и пароль, но и выбрать домен, доступ к которому планируется осуществить.
Для дальнейшей работы необходимо создать пользователей, это придется делать вручную. Если пользователей не много, то можно ограничиться стандартной группой Users, в большинстве же случаев для упрощения дальнейшей работы лучше сразу их систематизировать. Для этих целей будем использовать возможность создания подгрупп домена - организационных подразделений (ОП), представляющих собой логические контейнеры, размещающие учетные записи, общие ресурсы и другие ОП.
Для администрирования Active Directory в Windows 2003 имеется несколько оснасток mmc:
* «Active Directory - пользователи и компьютеры» - для создания и управления пользователями, группами, организационными подразделениями и другими объектами Active Directory;
* «Active Directory - домены и доверие» - для работы с доменами, деревьями и лесами доменов, установки доверительных отношений;
* «Active Directory - сайты и службы» - для управления сайтами, службами и подсетями, репликацией;
* «Политика безопасности домена» и «Политика безопасности контроллера домена» - для просмотра и изменения политик безопасности домена и контроллера домена, прав пользователей и аудита.
Они доступны в «Панели управления -> Администрирование». Альтернативный вариант - после вызова mmc выбрать «File -> Add/Remove Snap-In», нажать кнопку «Добавить» и указать необходимую оснастку из списка. Последний способ удобнее тем, что все инструменты всегда будут под рукой.
Итак, вызываем «Active Directory - пользователи и компьютеры», по умолчанию будет произведено подключение к домену, к которому относится компьютер. Для подключения к другому домену, например, если есть подозрение, что репликация еще не произведена и поэтому информация об объектах неправильна, щелкаем по заголовку «Active Directory - пользователи и компьютеры», нажимаем «Подключение к контроллеру домена»; доступные КД будут выведены в списке.
Подключившись к нужному КД, первым делом создадим новое ОП, для чего нажимаем правой кнопкой мыши на название домена, выбираем «New/Создать -> Подразделение (Organisation Unit)» и вводим название организационного подразделения. Аналогичным путем в сделанном контейнере можно создать произвольное количество вложенных ОП. Для подключения к ресурсам домена локальная учетная запись не подойдет, необходима доменная учетная запись. Для ее создания в этом же меню выбираем «Пользователь». В появившемся окне «Новый объект -> Пользователь» вводим имя и фамилию пользователя, а также имя для входа в домен (сам домен указывается, если их несколько). Нажимаем «Далее» и переходим к следующей странице, где вбиваем пароль пользователя. Здесь же можно установить некоторые флаги для управления этой учетной записью:
* «Требовать смены пароля при следующем входе в систему» - установлено по умолчанию, необходимо для того, чтобы пароль знал только пользователь; при первом входе от него обязательно потребуют сменить пароль, иначе в систему он не попадет;
* «Запретить смену пароля пользователя» - этот флажок полезен в том случае, если одной учетной записью пользуются несколько пользователей, чтобы случайное или умышленное изменение пароля не блокировало доступ остальным;
* «Срок действия пароля неограничен» - любой пароль следует периодически менять, а этот флаг стоит использовать в случае, указанном выше, а также в сетях, не требующих серьезной защиты;
* «Отключить учетную запись» - может пригодиться, если пользователь пока не собирается или не должен входить в сеть.
Пароль должен удовлетворять требованиям политик. Чтобы их просмотреть, вызываем редактор групповых политик, набрав «gpedit.msc», затем переходим в «Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики учетных записей -> Политика паролей». В домене и контроллере домена политика паролей устанавливается в «Политике безопасности домена» и «Политике безопасности контроллера домена» («Параметры безопасности -> Политики учетных записей -> Политика паролей»). Здесь же настраиваются политики блокировки учетной записи и Kerberos. Учти, что политики доменов, сайтов, подразделений имеют более высокий приоритет, чем локальные.
После нажатия на «Далее» будет выведена результирующая информация. На этом создание учетной записи пользователя закончено. Новый пользователь появится во вкладке справа. Если необходимо создать несколько учетных записей с одинаковыми свойствами, проще сделать одну, а остальные копировать. Для этого в меню, вызываемом щелчком по имени пользователя, выбираем «Копировать»; откроется мастер «Копировать объект - пользователь».
Редактирование свойств учетной записи
Посмотрим свойства созданной учетной записи. Двойным щелчком мыши вызываем окно свойств пользователя. В 13 вкладках можно установить все параметры, относящиеся к характеру деятельности этого пользователя и его контактной информации. Например, вкладка «Учетная запись» похожа на первый шаг мастера создания пользователя, за исключением нескольких новых функций. Нажав на кнопку «Время входа», можно указать дни неделя и время, когда пользователю разрешено входить в сеть. Кнопка «Вход на» позволит определить компьютеры, на которые можно входить пользователю. Обрати внимание на флажок «Хранить пароль, используя обратимое шифрование» - его активация отключает шифрование хэшированием, что отрицательно сказывается на безопасности. Поле «Срок действия учетной записи» позволяет задать дату окончания действия учетной записи - весьма полезная возможность при предоставлении временного доступа.
Группы, в которые входит пользователь, устанавливаются во вкладке «Член групп». Выбираем «Добавить -> Дополнительно» и нажимаем «Поиск». В появившемся списке выбираем группу или группы, в которые должен входить пользователь, и жмем «ОК». В следующем окне проверяем имена, соглашаемся с выбором и давим «Применить». Таким же способом можно найти и остальные объекты: пользователей, компьютеры, опубликованные ресурсы.
Если требуется одновременно установить одинаковые параметры для нескольких пользователей, чтобы не прибегать к использованию скриптов, можно выделить пользователей, а затем выбрать их свойства. Причем некоторые операции можно произвести из контекстного меню, вызываемого щелчком мыши по имени пользователя. Поддерживается Drag&Drop, поэтому при передаче пользователя или компьютера в другое ОП их можно просто перетащить в нужную папку.
Подключение компьютеров
Компьютеры, работающие под управлением Windows 2000/XP, при подключении к серверу будут добавляться автоматически в группу Computers. Для этого на каждом клиенте нужно выбрать «Мой Компьютер -> Свойства -> Имя компьютера», затем либо вызвать мастера сетевой идентификации, нажав кнопку «Идентификация», либо сразу ввести необходимые параметры, нажав кнопку «Изменить». Если есть системы, работающие под Windows 98, они подключаются как клиенты Active Directory; в этом случае учетные записи компьютера не создаются. Для их работы необходимо установить программу dsclient.exe, которая имеется на установочном диске Win2k3.
Однако здесь есть один нюанс. Право добавлять компьютеры автоматически предоставляется всем зарегистрированным в домене пользователям, но количество автоматических регистраций под одной учетной записью ограничено. Поэтому учетные записи некоторых компьютеров, возможно, придется добавлять вручную. Для этого достаточно щелкнуть правой кнопкой на контейнере, в который необходимо поместить запись, затем выбрать «New -> Компьютер» и в появившемся окне ввести имя компьютера.
По умолчанию присоединять компьютер к домену имеют право только члены группы «Администраторы домена». Чтобы разрешить это действие другим пользователям или группам, необходимо нажать кнопку «Изменить» и выбрать их из списка, как это показано ранее.
Действия над группами
Группы - более крупное понятие в иерархии объектов Active Directory, они содержат пользователей и компьютеры. Главное удобство здесь - возможность одновременного задания разрешений всем членам группы, а все установки, действительные для группы, распространяются на все объекты, входящие в ее состав. После установки контроллера домена в списке объектов появится несколько групп, предназначенных для самых разнообразных задач, таких как создание учетных записей, публикация ресурсов, управление DNS. Есть и группа «Гости домена», обладающая минимальными правами. Скорее всего, этих групп не будет хватать, поэтому придется создавать группы под специфические задачи: по подразделениям (бухгалтерия, отдел продаж, склад), по должностным лицам (руководители, обычные пользователи, специалисты по безопасности, администраторы), по приложениям.
Создаются группы также из контекстного меню «Создать (New) -> Группа (Group)» (тут ведь стрелочка? ага). В появившемся окне «Новый объект -> Группа» задается имя, тип и область действия группы. Возможен выбор одного из трех типов. Группы распространения (distribution groups) применяются в том случае, когда необходимо объединить несколько пользователей в список рассылки электронной почты. А группам безопасности (security groups), кроме того, можно назначать доступ к ресурсам. Есть еще локальная группа, которая используется только на локальном компьютере, но она нас сейчас не интересует. Область действия группы определяет, каким образом входящим в нее объектам назначаются разрешения для доступа. Здесь можно указать один из следующих вариантов:
* «Локальная в домене» - для установки разрешений на доступ к ресурсам домена, в котором они определены, например, для управления доступа к общим папкам, принтерам;
* «Глобальная» - применяется для предоставления доступа в любом дереве или лесе домена, подходит при организации совместной работы служащих нескольких подразделений; в группу этого типа входят только учетные записи домена, в котором они определены;
* «Универсальная» - применяется для управления разрешениями во всех деревьях и лесах домена; сюда включаются учетные записи или группы из любого дерева или леса домена; любое изменение здесь необходимо реплицировать во все глобальные каталоги, поэтому сюда рекомендуется включать группы, а не пользователей.
Для большинства случаев достаточно группы с областью действия «Локальная в домене». Аналогично пользователям и другим объектам, группы имеют свойства, доступ к которым можно получить из контекстного меню.
Общий доступ к папкам
Просмотреть доступные общие ресурсы, как локальные, так и удаленные, можно в консоли «Управление компьютером» (запускается из папки «Администрирование»). Исходно в «Общие папки -> Общие ресурсы» будут показаны ресурсы локальной системы. Для просмотра ресурсов на удаленной системе к ней сначала следует подключиться, вызвав пункт меню «Подключиться к другому компьютеру» и выбрав его из списка. При этом для доступа будут использованы стандартные права. Общий доступ для локальных папок может быть предоставлен обычным способом из проводника: выбираем «Свойства -> Доступ», устанавливаем переключатель в «Открыть общий доступ для этой папки» и во вкладке «Безопасность» указываем разрешения.
Теперь созданный ресурс требуется опубликовать в Active Directory. Это можно сделать в «Управление компьютером», выбрав в «Общие ресурсы» созданную общую папку и установив в окне «Свойства -> Публикация» флажок «Опубликовать этот общий ресурс в Active Directory». После этого во вкладках «Разрешения для общего доступа» и «Безопасность» необходимо уточнить разрешения.
Вот, собственно, и все. Мы установили и настроили контроллер домена, создали пользователей и группы, научились публиковать общие ресурсы.
Преимущества AD перед одноранговой сетью
Несмотря на то что планирование, установка, настройка контроллера домена и поддержание AD в рабочем состоянии потребуют дополнительных затрат, в том числе и временных, администратор и пользователи получат при этом несомненные преимущества. В первую очередь, повысится управляемость сети, особенно это будет заметно в сетях со сложной топологией. Администратору не нужно будет бегать по этажам, чтобы разобраться с проблемами доступа к общим ресурсам. Плюс интеграция с множеством продуктов, в том числе и с Unix-системами. Все настройки производятся в одном месте, что упрощает задачу и уменьшает вероятность конфликтов. Снижаются затраты при расширении сети. Повышается безопасность - теперь каждый получит то, что ему действительно нужно для работы, а не хочется. При этом пароль будет введен только один раз при регистрации, что скажется еще и на удобстве использования. Администратор получает возможность централизованно управлять политикой паролей и другими функциями, позволяющими повысить защищенность сети.