|
|
|
Страница 5 из 6
Администрирование доменов в Active Directory.
|
|||||||||||||||||||||||||
| Папка | Описание |
| Builtin |
Содержит встроенные локальные группы: Account Operators (Операторы учета), Administrators (Администраторы), Backup Operators (Операторы архива), Guests (Гости), Pro-Windows 2000 Compatible Access (Совместимый с пред-Windows 2000 доступ), Print Operators (Операторы печати), Replicator (Репликатор), Server Operators (Операторы сервера) и Users (Пользователи)
|
| Computers |
Содержит учетные записи всех компьютеров, подключаемых к домену. При выполнении обновления систем Windows более ранних версий служба Active Directory переносит учетные записи машин в папку Computers, откуда эти объекты могут быть перемещены
|
| ForeignSecurityPrincipals |
Контейнер для SID (идентификаторов безопасности) учетных записей пользователей из внешних доверенных доменов.
|
| Users |
Содержит информацию обо всех пользователях домена. При обновлении более ранних версий все .пользователи первоначального домена будут перенесены в эту папку. Так же, как и компьютеры, объекты этой папки могут быть перенесены в другие папки
|
| Domain Controllers |
Содержит информацию обо всех контроллерах домена
|
Примечание:
Следует отметить такую деталь: если контроллер домена на базе русской версии Windows 2000 Server ставился "с нуля", то имена групп и встроенных пользователей будут выводиться по-русски. Если же этот контроллер ставился как дополнительный контроллер (реплика) и база данных Active Directory реплици-ровапась с американской версии Windows 2000 Server, то имена выводятся по-английски.
Перейдем к практике, и рассмотрим основные принципы создания и управления объектами Active Directory
Создание подразделения (организационной единицы)
Для создания подразделения, или организационной единицы (Organizational Unit, OU) необходимо выполнить следующее:
1. Выбрать объект типа "домен" и нажать правую кнопку мыши. В появившемся меню выбрать команду Создать|Подразделение (New|Organizational Unit) либо нажать кнопку Создание нового подразделения в текущем контейнере (Create a new organizational unit in a current container) на панели инструментов.
2. В открывшемся окне указать имя создаваемого подразделения и нажать кнопку ОК.
В результате в выбранном вами домене будет создано подразделение с заданным именем. В дальнейшем внутри него можно создать вложенные подразделения.
Создание учетной записи пользователя
Теперь посмотрим, как создаются в домене учетные записи пользователей, например пользователя с идентификатором Sidorov:
1. Сначала необходимо указать подразделение, в котором вы хотите создать учетную запись, и нажать правую кнопку мыши. В появившемся меню выберите команду Создать|Пользователь.
2. В появившемся окне диалога Новый объект Пользователь (New Object User) в поле Имя входа пользователя (User logon name) следует указать идентификатор, в поле Имя (First name) - имя пользователя, в поле Фамилия (Last name) - фамилию пользователя, в поле Полное имя (Full name) автоматически появятся имя и фамилия пользователя.
При необходимости содержимое последнего поля можно откорректировать. После ввода всей необходимой информации в следующем окне в полях ввода Пароль (Password) и Подтверждение (Confirm password) необходимо задать пароль учетной записи пользователя.
3. Если вы не хотите, чтобы пользователь принудительно сменил пароль при первой регистрации в сети, нужно сбросить флажок Потребовать смену пароля при следующем входе в систему (User must change password at next logon).
4. В случае, если пользователь может не изменять пароль в течение неограниченного времени, нужно установить флажок Срок действия пароля не ограничен (Password never expires).
5. Установленный флажок Запретить смену пароля пользователем (User cannot change password) запрещает пользователю самостоятельно изменять свой пароль.
6. Если только что созданная учетная запись по каким-либо причинам должна быть заблокирована, необходимо установить флажок Отключить учетную запись (Account disabled).
7. В итоге настройки создаваемой учетной записи в окне диалога, запрашивающего подтверждение правильности выполняемого действия, нажимаем кнопку Готово (Finish).
И в результате в подразделении будет создана учетная запись пользователя с именем Sidorov
Если необходимо ввести какую-либо дополнительную информацию о пользователе или осуществить изменения уже существующих настроек достаточно выбрать учетную запись этого пользователя и, нажав правой кнопкой мыши, в появившемся меню выбрать Свойства.
Внести затем все необходимые изменения и нажать кнопку ОК.
Перемещение учетной записи пользователя
Учетную запись пользователя можно перемещать из одного подразделения в другое в пределах одного домена или между доменами. Для соответствующего перемещения учетной записи этого пользователя необходимо:
Щелкнуть на подразделении, откуда требуется перенести пользователя и указать учетную запись пользователя, которую следует перенести. Нажав правой кнопкой мыши в меню выбрать команду Переместить (Move), а в появившемся окне Переместить выбрать целевое подразделение.
Как правило, необходимость переноса учетных записей пользователей из папки Users в другие подразделения возникает при обновлении более ранних версий Windows NT Server на Windows 2000 Server
Создание группы
В процессе установки домена Windows 2000 в нем создается несколько встроенных групп, обладающих определенным набором прав. Их можно использовать для присвоения администраторам или пользователям определенных ролей или прав доступа в домене.
К встроенным относятся перечисленные ниже группы.
Локальные группы в домене:
Администраторы (Administrators)
Гости (Guests)
Операторы архива (Backup Operators)
Операторы печати (Print Operators)
Операторы сервера (Server Operators)
Операторы учета (Account Operators)
Пользователи (Users)
Репликатор (Replicator)
Совместимый с пред-Windows 2000 доступ (Pre-Windows 2000 CompatibleAccess)
Глобальные группы:
Администраторы домена (Domain Admins)
Владельцы-создатели групповой политики (Group Policy Creator Owners)
Гости домена (Domain Guests)
Издатели сертификатов (Cert Publishers)
Компьютеры домена (Domain Computers)
Контроллеры домена (Domain Controllers)
Пользователи домена (Domain Users)
Универсальные группы:
Администраторы предприятия (Enterprise Admins)
Администраторы схемы (Schema Admins)
Все эти группы служат для назначения разрешений доступа пользователям, на которых возложено выполнение в данном домене каких-либо административных функций.
Универсальные группы создаются только на контроллерах корневого (первого в лесе) домена. В зависимости от установленных на сервере служб могут быть и дополнительные встроенные группы, локальные в домене или глобальные.
По умолчанию все встроенные локальные группы домена находятся в папке Builtin объекта домена.
Все встроенные глобальные группы находятся в папке Users.
Встроенные группы можно переносить в другие контейнеры или подразделения в пределах домена.
По умолчанию каждая созданная в домене учетная запись автоматически становится членом группы Пользователи домена. Кроме того, группа Пользователи домена является членом локальной в домене группы Пользователи.
Любой объект типа Компьютер (Computer) при создании по умолчанию автоматически включается в группу Компьютеры домена.
Группа Администраторы домена объединяет всех пользователей, имеющих полный административный доступ в домене. По умолчанию Администраторы домена являются членами локальной в домене группы Администраторы.
Группа Гости домена объединяет все учетные записи, с помощью которых можно зарегистрироваться в домене без пароля и получить минимальные права доступа. По умолчанию Гости домена являются членами локальной в домене группы Гости.
Помимо перечисленных выше встроенных групп, при установке домена Windows 2000 создаются особые группы, обладающие дополнительными свойствами; среди них группы
- ВСЕ (Everyone)
- объединяет всех существующих и создаваемых пользователей сети, включая гостей и пользователей других доменов.
- СЕТЬ (Network)
- объединяет всех пользователей, получивших доступ к данному ресурсу по сети (в отличие от пользователей, получивших доступ к ресурсу локально).
- ИНТЕРАКТИВНЫЕ (Interactive)
- объединяет всех пользователей, получивших доступ к данному ресурсу, зарегистрировавшись локально на компьютере, где находится этот ресурс
Состав членов указанных трех групп нельзя просмотреть или модифицировать. Однако любой из групп можно предоставить различные полномочия.
Помимо перечисленных выше встроенных групп администратор может создать любое количество групп пользователей и предоставить им необходимый набор прав и разрешений. Посмотрим, что необходимо выполнить для создания группы:
1. Выбирается подразделение, где следует создать группу, по нажатию правой кнопкой мыши выбирается команда Создать|Группа (Group), либо можно воспользоваться кнопкой Создание новой группы в текущем контейнере (Create New Group in a Current Container) на панели инструментов.
2. В открывшемся окне диалога Новый объект Группа в поле Имя группы (Group name) нужно ввести имя создаваемой группы.
По умолчанию вводимое имя группы автоматически заносится в поле Имя группы (пред-Windows 2000) (Group name (pre-Windows 2000)).
3. Теперь нужно с помощью переключателя Тип группы (Group type) выбрать соответствующий типу создаваемой группы:
Группа безопасности (Security)
Группа распространения (Distribution) .
Первый тип группы служит для предоставления пользователям определенного набора прав доступа к таким ресурсам сети, как файлы и принтеры.
Второй тип группы служит только для распространения информации в сети, например в качестве списков рассылки электронной почты. Следует отметить, что группы безопасности могут использоваться в качестве групп распространения.
Затем выбрать подходящую область действия создаваемой группы, установив в одно из положений переключатель Область действия группы (Group scope). Область действия группы определяет, где может быть видна данная группа (уровень доступности) и какие типы объектов могут быть ее членами. Следующая таблица показывает нам соответствие области действия и других свойств группы.
| Область действия | Уровень доступности группы | Тип объектов, допустимых в качестве членов группы |
| Локальная в домене (Domain Local) | отдельный домен | Пользователи, а также глобальные и универсальные группы из всего леса, другие локальные группы из этого же домена (последнее - только в основном, native, режиме домена) |
| Глобальная (Global) | Лес | Пользователи, а также глобальные и универсальные группы |
| Универсальная (Universal) | Лес | Пользователи и глобальные группы (только в основном режиме домена) |
Итак, мы создали новую группу в домене, тем необходимо добавить пользователя в эту группу.
Для добавления пользователя в группу необходимо:
Указать группу, в которую вы хотите добавить пользователя, и по правой кнопке мыши в меню выберите команду Свойства.
Появится окно свойств группы. Переходим на вкладку Члены группы (Members) окна свойств и нажимаем кнопку Добавить. Появится окно Выбор: Пользователи, Контакты или Компьютеры (Select Users, Contacts, or Computers). Здесь можно задать область выполнения запроса: весь каталог, определенный домен или определенная часть дерева подразделения внутри домена. Обратите внимание, что каталог может состоять из множества доменов.
Щелкнув мышкой на имени добавляемого пользователя нажимаем кнопку Добавить.
Нажав клавишу Ctrl и одновременно выполняя щелчки на нужных объектах, в этом диалоговом окне можно одновременно выбрать несколько пользователей или групп. В результате все выбранные объекты станут членами соответствующей группы.
Итак, учетные записи пользователей домена созданы, они включены в соответствующие группы домена, теперь необходимо раздать пользователям ресурсы.