Администрирование Active Directory [Занятие 7.]
Развертывание и администрирование сети с выделенным сервером на базе Windows Server 2003
vsit, Friday 11 August 2006 - 00:00:00
[newpage=Описание объектов Active Directory]
Занятие 7. Администрирование Active Directory.
Процесс администрирования Active Directory заключается в управлении:
Все эти задачи решаются при помощи трех консолей управления, устанавливаемых в процессе установки Active Directory на контроллер домена:
На другие компьютеры домена эти консоли могут быть установлены в составе пакета административных утилит.
Описание объектов Active Directory.
Все консоли управления Active Directory используют единый набор значков для отображения объектов каталога. Ниже представлены все основные объекты Active Directory и соответствующие им значки. Эта информация поможет вам легче ориентироваться в каталоге Active Directory.
[newpage=Структура каталога и создаваемые по умолчанию объекты]
Управление каталогом Active Directory.
Для выполнения большинства задач по управлению доменом Active Directory используется консоль управления Active Directory - пользователи и компьютеры. Чтобы запустить ее, в меню Пуск -> Программы -> Администрирование щелкните Active Directory - пользователи и компьютеры.
Консоль управления Active Directory - пользователи и компьютеры позволяет управлять отдельным доменом Active Directory, для управления другим доменом вам придется выбрать его вручную.
Структура каталога и создаваемые по умолчанию объекты.
После установки первого контроллера домена Active Directory структура объектов домена должна выглядеть аналогично приведенной ниже. При установке контроллера дочернего домена или дополнительного контроллера домена структура может незначительно отличаться.
Полный список учетных записей и групп, создаваемых при установке Active Directory, приведен в таблице.
[newpage=Управление доменами - Свойства домена]
Управление доменами.
Домен является самым старшим объектом в иерархии объектов домена и в дереве консоли управления Active Directory - пользователи и компьютеры. Начинать настройку Active Directory рекомендуется с изменения параметров домена.
Свойства домена.
Чтобы просмотреть и изменить свойства домена, в дереве Консоли управления щелкните правой кнопкой мыши объект домена и в контекстном меню выберите Свойства.
На вкладке Общие отображается полное DNS-имя домена, а также его NetBIOS-имя. Так как оба имени задаются при установке Active Directory, изменить их нельзя.
В поле Описание можно указать произвольное описание домена. Обычно это область ответственности домена.
В поле Режим работы домена указывается режим работы домена. О том, как его изменить, - см. ниже.
На вкладке Управляется указывается пользователь, управляющий доменом.
На вкладке Групповая политика (Group Policy) вы можете управлять групповыми политиками уровня домена. Работа с ними будет рассмотрена позже.
[newpage=Управление доменами - Изменение режима работы домена]
Изменение режима работы домена.
Режимы работы домена
Домен, реализованный в Active Directory Windows Server 2003 может работать в четырех режимах: Windows 2000 Mixed (смешанный режим), Windows 2000 Native (основной режим), Windows Server 2003 Interim (промежуточный Windows Server 2003) и Windows Server 2003. После установки Active Directory всегда работает в смешанном режиме. Переключение в основной режим может потребоваться при необходимости использовать все новые возможности, заложенные в Active Directory.
Смешанный режим Windows 2000
Смешанный режим работы Active Directory позволяет использовать в домене контроллеры не только под управлением Windows Server 2003 / Windows 2000, но и под управлением Windows NT 3.51 или 4.0. В этом режиме контроллер под управлением Windows Server 2003 / Windows 2000 эмулирует главный контроллер домена, а контроллеры под управлением Windows NT являются резервными контроллерами домена. Домен, работающий в смешанном режиме, необходим любому клиенту, использующему службу каталога Windows NT и NTLM для аутентификации. Кроме того, для разрешения имен для таких клиентов на сервере должна быть установлена служба WINS. Выполнение этих функций создает дополнительную нагрузку на сервер Windows Server 2003.
Основной режим Windows 2000
Основной режим работы Active Directory позволяет использовать в домене контроллеры только под управлением Windows Server 2003 и Windows 2000. В этом режиме все контроллеры домена являются равноправными и изменения могут вноситься на любом из них. Для нормального функционирования домена не требуется служба WINS. Домен Windows Server 2003 / Windows 2000 в основном режиме нормально поддерживает работу любых Windows-клиентов (Windows 9x, NT, 2000, XP). Если вы используете в качестве контроллеров домена только серверы Windows Server 2003 и/или Windows 2000, рекомендуется перевести домен в основной режим - это значительно снизит нагрузку на контроллеры домена и добавит много новых возможностей по управлению доменом.
Промежуточный режим Windows Server 2003
Промежуточный режим работы Active Directory позволяет использовать в домене контроллеры под управлением Windows Server 2003 и Windows NT 4.0. В этом режиме, как и в смешанном, контроллер под управлением Windows Server 2003 эмулирует главный контроллер домена, а контроллеры под управлением Windows NT являются резервными контроллерами домена.
Режим Windows Server 2003
Режим работы Windows Server 2003 позволяет использовать в домене только контроллеры только под управлением семейства Windows Server 2003. При повышении режима работы домена до Windows Server 2003, становятся доступны дополнительные возможности Active Directory.
Переключение режима
Для переключения режима работы домена щелкните правой кнопкой мышки по имени домена в консоли Active Directory - домены и доверие и в контекстном меню выберите Изменение режима работы домена. В открывшемся окне отображается текущий режим работы домена. В поле со списком Выберите режим работы домена выберите необходимый режим и нажмите кнопку Изменить.
Для окончания операции переключения режима работы домена может потребоваться до 15 минут - все необходимые изменения должны быть реплицированы на все контроллеры домена.
Вы не обязаны переводить все домены в дереве в основной режим: часть доменов может работать в смешанном режиме. Однако наиболее полно возможности Active Directory будут реализованы, только если все домены дерева и леса будут работать в основном режиме.
Операция переключения режима работы домена является необратимой. Нельзя переключить домен в режим более низкого уровня (например, из основного режима в смешанный).
После повышения режима работы домена добавление контроллеров домена, работающих под управлением более ранних операционных систем, невозможно. Например, если повысить режим работы домена до Windows Server 2003, в этот домен нельзя будет добавить контроллеры домена, работающие под управлением Windows 2000 Server.
В следующей таблице описаны функциональные возможности доменов.
Режимы работы леса
Режим работы леса влияет на все домены данного леса. В Active Directory Windows Server 2003 доступны три режима работы леса: Windows 2000, Windows Server 2003 Interim (промежуточный Windows Server 2003) и Windows Server 2003. По умолчанию лес работает в режиме Windows 2000. Режим работы леса можно повысить до Windows Server 2003.
Особенности каждого из режимов работы леса аналогичны особенностям соответствующих режимов работы домена (см. выше).
Переключение режима
Для переключения режима работы леса щелкните правой кнопкой мышки на корне (вершине) дерева в консоли Active Directory - домены и доверие и в контекстном меню выберите Изменение режима работы леса. В открывшемся окне отображается текущий режим работы леса. В поле со списком Выберите режим работы леса выберите необходимый режим и нажмите кнопку Изменить.
Для окончания операции переключения режима работы леса может потребоваться до 15 минут - все необходимые изменения должны быть реплицированы на все контроллеры доменов леса.
В следующей таблице описаны функциональные возможности уровня леса.
[newpage=Управление доменами -Хозяева операций]
Хозяева операций.
Active Directory поддерживает репликацию хранилища данных каталога с несколькими хозяевами между всеми контроллерами домена. Некоторые изменения не рекомендуется выполнять в этом режиме, тем не менее только один контроллер домена, называемый хозяином операции, принимает запросы на такие изменения.
Так как роли хозяина операций могут перемещаться на другие контроллеры в составе домена или леса, их иногда называются FSMO (Flexible Single Master Operations). Некоторые роли должны быть в составе каждого леса, остальные - в каждом домене леса.
Лес Active Directory содержит пять ролей хозяина операций, назначаемых одному или нескольким контроллерам домена:
Данные роли должны быть уникальными в пределах каждого домена. Это означает, что в каждом домене в составе леса может быть только один хозяин относительных идентификаторов, один эмулятор основного контроллера домена и один хозяин инфраструктуры.
Чтобы просмотреть и изменить хозяев операций домена, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект домена правой кнопкой мыши и в контекстном меню выберите Хозяева операций.
Хозяин относительных идентификаторов
На вкладке RID вы можете указать, какой контроллер домена будет отвечать за размещение пулов относительных идентификаторов для других контроллеров домена.
Каждый раз при создании объекта пользователя, группы или компьютера контроллер домена назначает данному объекту уникальный идентификатор безопасности (SID). Он состоит из идентификатора безопасности домена (который одинаков для всех объектов, созданных в этом домене) и относительного идентификатора безопасности (RID), уникального для каждого созданного в домене объекта. Генерация новых относительных идентификаторов безопасности осуществляется хозяином относительных идентификаторов, что гарантирует их уникальность.
Передачу роли хозяина относительных идентификаторов другому компьютеру необходимо выполнять с того контроллера, который должен стать новым хозяином относительных идентификаторов. На вкладке RID окна хозяев операций домена щелкните кнопку Изменить. После репликации необходимых изменений на другие контроллеры домена роль хозяина относительных идентификаторов будет выполнять указанный контроллер.
Эмулятор основного контроллера домена
На вкладке PDC вы можете указать, какой контроллер домена будет эмулировать функции главного контроллера домена.
Если в домене есть компьютеры без установленного клиентского ПО Windows 2000 или резервные контроллеры домена Windows NT, эмулятор основного контроллера домена работает как основной контроллер домена Windows NT. Он обрабатывает изменения паролей от клиентов и реплицирует обновления на резервные контроллеры домена.
При работе домена Windows Server 2003 в основном режиме эмулятор основного контроллера получает преимущественную репликацию изменений пароля, выполненных другими контроллерами в данном домене. При изменении пароля репликация этих изменений на каждый контроллер домена занимает некоторое время. Если проверка подлинности при входе в сеть заканчивается неудачно из-за неверно введенного пароля на одном контроллере домена, прежде чем отказать в доступе, он пересылает запрос на проверку подлинности на эмулятор основного контроллера домена.
Передачу роли эмулятора основного контроллера домена другому компьютеру необходимо выполнять с того контроллера, который должен стать новым эмулятором основного контроллера. На вкладке PDC окна хозяев операций домена щелкните кнопку Изменить.
Хозяин инфраструктуры
На вкладке Инфраструктура вы можете указать, какой контроллер домена будет осуществлять согласование объектов домена. Хозяин инфраструктуры отвечает за обновление ссылок "группа - пользователь" при переименовании или изменении членов группы.
При переименовании или перемещении члена группы (и его размещении в другом домене, отличном от домена этой группы) он может временно не отображаться в группе. Хозяин инфраструктуры домена, содержащего данную группу, отвечает за обновление группы и обладает сведениями об имени и расположении данного члена. Хозяин инфраструктуры распространяет обновленные сведения с помощью репликации с несколькими хозяевами.
Безопасность не подвергается риску в период между переименованием члена группы и ее обновлением. Только администратор, просматривающий участие в отдельной группе, может заметить временное несоответствие.
Передачу роли хозяина инфраструктуры другому компьютеру необходимо выполнять с того контроллера, который должен стать новым хозяином инфраструктуры. На вкладке Инфраструктура окна хозяев операций домена щелкните кнопку Изменить. После репликации необходимых изменений на другие контроллеры домена роль хозяина инфраструктуры будет выполнять указанный контроллер.
Хозяин схемы
Роль хозяина схемы присваивается первому контроллеру домена в первом домене леса. Лес может иметь только одного хозяина схемы. Модификация схемы может осуществляться только с контроллера - хозяина схемы.
Для передачи роли хозяина схемы другому контроллеру откройте оснастку Active Directory Schema, щелкните правой кнопкой мышки на Active Directory Schema в дереве консоли и выберите в контекстном меню Change Domain Controller (Изменить контроллер домена). Из списка контроллеров выберите тот, которому вы хотите передать роль хозяина схемы. Затем щелкните правой кнопкой мышки на Active Directory Schema в дереве консоли и выберите в контекстном меню Operations Master (Хозяин операций). Нажмите кнопки Change и OK.
Хозяин именования доменов
Так как хозяин именования доменов управляет добавлением и удалением доменов, он создается на первом домене и эта роль остается у него независимо от масштабов леса. Только один сервер леса выполняет роль именования доменов.
Для передачи роли хозяина именования доменов откройте консоль Active Directory - домены и доверия из меню Администрирование. Щелкните правой кнопкой мышки на Active Directory Domains and Trusts и выберите в контекстном меню Подключение к контроллеру домена. Из списка контроллеров выберите тот, которому вы хотите передать роль хозяина именования доменов и нажмите кнопку OK.
Затем снова щелкните правой кнопкой мышки на Active Directory Domains and Trusts и выберите в контекстном меню Хозяин операций. В открывшемся окне нажмите кнопку Изменить и укажите контроллер, которому вы передаете роль хозяина именования доменов.
[newpage=Управление доменами - Приемы]
Подключение к домену.
При работе с несколькими доменами очень часто возникает необходимость перейти от администрирования одного домена к администрированию другого. К сожалению, инструменты управления Active Directory не предоставляют возможность просмотра всего пространства имен каталога Active Directory в единой консоли управления. Поэтому при работе в консоли Active Directory - пользователи и компьютеры вы можете переключиться на управление другим доменом.
Чтобы управлять объектами другого домена, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект домена правой кнопкой мыши и в контекстном меню выберите Подключение к домену.
В появившемся окне поле Домен вы можете ввести полное DNS-имя интересующего вас домена или найти его, щелкнув кнопку Обзор .
Если вы установите флажок Сохранить этот параметр домена для этой консоли, то при следующем запуске консоли управления автоматически будет осуществлено подключение к указанному домену. В противном случае при запуске консоли подключение осуществляется к тому домену, в котором вы зарегистрировались при входе в систему.
Подключение к контроллеру домена.
При наличии нескольких контроллеров домена вы можете вносить изменения на любом из них - все изменения автоматически реплицируются на остальные контроллеры. Однако иногда нужно внести изменения на определенном контроллере домена, допустим, при:
Чтобы управлять объектами домена на определенном контроллере домена, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект домена правой кнопкой мыши и в контекстном меню выберите Подключение к контроллеру домена.
В появившемся окне вы можете видеть текущий администрируемый домен и текущий контроллер домена. Вы можете ввести полное DNS-имя контроллера домена в поле Выберите имя другого контроллера домена или выбрать интересующий контроллер домена из списка доступных контроллеров. Обратите внимание, что в списке есть пункт Любой контроллер домена с возможностью записи, который позволяет подключиться к наименее загруженному контроллеру домена, на котором разрешена запись. В списке доступных контроллеров также указывается сайт, в котором расположен этот контроллер. Это позволит вам выбрать контроллер согласно его местоположению.
В отличие от подключения к домену, параметры подключения к контроллеру домена не сохраняются в консоли управления. При следующем запуске консоли управления будет осуществлено подключение к любому контроллеру домена с возможностью записи.
Переименование контроллера домена.
В домене под управлением Windows 2000, чтобы переименовать контроллер домена, необходимо было выполнить три операции (понижение роли контроллера домена, переименование компьютера, повышение роли контроллера домена), каждая из которых заканчивалась перезагрузкой сервера. Windows Server 2003 позволяет выполнить этот процесс всего с одной перезагрузкой, значительно упростив работу администратора.
Для переименования контроллера домена необходимо, чтобы все контроллеры домена были серверами Windows Server 2003 (режим работы домена Windows Server 2003).
Чтобы переименовать контроллер домена войдите на контроллер с правами администратора, откройте окно командной строки и выполните следующие команды:
Для распространения по сети сделанного вами изменения потребуется некоторое время, зависящее от конфигурации вашей сети.
Переименование домена.
В Active Directory Windows Server 2003 появилась совершенно новая возможность - переименование всего домена с реструктурированием леса. В качестве инструмента используются две утилиты Rendom.exe и Gpfixup.exe, находящиеся на дистрибутивном компакт-диске Windows Server 2003 в папке valueadd\msft\mgmt\domren. Документацию по этим средствам и полную инструкцию по переименованию доменов можно получить по адресу: http://www.microsoft.com/windows2000/downloads/tools/domainrename.
[newpage=Управление ОП - Управление пользователями]
Управление ОП.
Организационные подразделения являются средством для построения иерархии объектов в домене Active Directory. Это единственный контейнерный объект, который вы можете создавать в домене.
Создание ОП
Чтобы создать новое ОП, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект домена правой кнопкой мыши или родительского подразделения и в контекстном меню выберите Создать -> Подразделение.
В появившемся окне достаточно ввести имя нового подразделения и щелкнуть кнопку OK.
Свойства ОП
Чтобы просмотреть и изменить свойства ОП, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните нужный объект подразделения правой кнопкой мыши и в контекстном меню выберите Свойства.
На вкладке Общие вы можете изменить ряд описывающих ОП атрибутов.
В поле Описание вы можете ввести произвольное описание, характеризующее деятельность подразделения, в поле Улица - полный адрес офиса (улица, дом, корпус, строение и т. п.), где располагается подразделение. В поля Город, Область, Почтовый индекс и Страна вводятся соответствующие части адреса подразделения. Заполнение этих полей имеет смысл только в том случае, если подразделения организации размещены в нескольких офисах и/или на большой территории - эта информация должна помочь пользователям локальной сети найти сотрудников подразделения.
На вкладке Управляется указывается пользователь, управляющий ОП.
На вкладке Групповая политика (Group Policy) вы можете управлять групповыми политиками уровня подразделения. Работа с ними будет рассмотрена позднее.
Управление пользователями.
Учетная запись пользователя является одним из основных объектов системы безопасности. В отличие от Windows NT, где учетные записи пользователей обладали только свойствами, необходимыми для регистрации и работы пользователя в системе, в Active Directory объект пользователя предназначен для хранения любой информации, связанной с пользователем.
[newpage=Управление ОП - Создание учетной записи]
Создание учетной записи.
Чтобы создать новую учетную запись пользователя, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект родительского контейнера (ОП или один из системных контейнеров) правой кнопкой мыши в контекстном меню выберите Создать -> Пользователь. Также контекстное меню можно вызвать, выбрав интересующий объект в дереве и щелкнув правой кнопкой мыши пустое место в списке объектов слева. Запустится соответствующий мастер.
На первом шаге мастера введите основные сведения о пользователе.
Обязательно заполните поля Полное имя, Имя входа пользователя и Имя входа пользователя (пред-Windows 2000). Кроме того, рекомендуется заполнить поля Имя, Инициалы и Фамилия. Значения этих полей отображаются только в свойствах пользователя, однако могут быть полезны при поиске пользователя в каталоге. Также на основании информации, введенной в эти поля, генерируется значение поля Полное имя.
При указании имени, которое будет использоваться для входа в систему, вы можете выбрать в раскрывающемся списке один из доступных доменов. Это имя может быть использовано пользователем для входа, помимо образуемого из имени его учетной записи и имени домена, в котором она создана.
На следующем шаге вы можете задать пароль пользователя и ряд параметров его учетной записи.
На следующем шаге мастера выводятся сводные данные о создаваемой учетной записи.
Если вы хотите изменить какие-либо параметры новой учетной записи, щелкните кнопку Назад. По щелчку кнопки Готово учетная запись будет создана в выбранном вами контейнере.
[newpage=Управление ОП - Изменение свойств учетной записи]
Изменение свойств учетной записи.
Чтобы просмотреть и изменить свойства учетной записи пользователя, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните нужный объект пользователя правой кнопкой мыши и в контекстном меню выберите Свойства.
На вкладке Общие вы можете просмотреть и изменить основные атрибуты пользователя.
Поля Имя, Инициалы и Фамилия соответствуют полям, заполненным при создании учетной записи. Поле Выводимое имя по умолчанию соответствует полному имени. В нем указывается имя в том виде, в каком оно будет выводиться в различных списках. В поле Описание вы можете ввести произвольное описание учетной записи пользователя. В поле Комната можно указать комнату, в которой работает пользователь.
В поля Номер телефона, Электронная почта и Веб-страница введите контактную информацию пользователя. Обычно на этой вкладке указывается рабочая контактная информация, о том, как указать личные контактные сведения, см. ниже. Если вы хотите указать более одного номера телефона или более одной Web-страницы, щелкните кнопку Другой рядом с соответствующим полем. В появившемся окне вы можете ввести любое количество телефонов или адресов.
Если вы используете Microsoft Exchange Server 2000 в администрируемом домене, то не изменяйте значение поля Электронная почта у пользователей, имеющих почтовые ящики на Exchange-сервере - значение этого поля устанавливается Exchange-сервером автоматически.
На вкладке Адрес вы можете указать домашний (или любой другой) адрес пользователя. Имейте в виду, что данные адреса пользователя являются публичной информацией и доступны при просмотре каталога Active Directory.
На вкладке Учетная запись вы можете настроить различные параметры учетной записи пользователя. Как и при создании учетной записи пользователя, вы можете изменить Имя входа пользователя и выбрать домен, который будет использован для построения полного имени пользователя.
Кроме того, вы можете ограничить Срок действия учетной записи, установив переключатель в положение Истекает и указав желаемую дату. Учетная запись будет действовать до 23:59:59 указанного дня включительно.
Все параметры учетной записи собраны в отдельный список. Для включения одного из параметров вы должны установить флажок рядом с его названием. Рассмотрим некоторые параметры учетной записи подробнее.
Кроме этих параметров вы можете задать часы, в которые пользователю разрешен вход в систему. Для этого щелкните кнопку Время входа. В появившемся окне можно указать, в какие дни и часы пользователю разрешен вход в систему.
Чтобы разрешить или запретить вход в определенные дни и часы, выделите интересующую вас прямоугольную область ячеек и установите переключатель Вход разрешен/Вход запрещен в нужное положение. При настройке сложного графика входа пользователя может потребоваться неоднократное выполнение этой операции. После настройки времени входа щелкните кнопку ОК.
При использовании в локальной сети протокола NetBIOS вы можете ограничить набор рабочих станций, с которых пользователь может регистрироваться в домене. Для этого щелкните кнопку Вход на.
Чтобы ограничить компьютеры, на которые может входить пользователь, установите переключатель в положение только на указанные компьютеры, введите в поле Имя компьютера NetBIOS-имя компьютера и щелкните кнопку Добавить. Повторите эту операцию, чтобы добавить все необходимые компьютеры. Вы также можете удалить компьютер из списка, выбрав его и щелкнув кнопку Удалить. Если вы хотите разрешить пользователю вход на все компьютеры, установите переключатель в положение на все компьютеры.
Ограничение компьютеров, с которых пользователю разрешен вход в систему, действует только для NetBIOS-клиентов при условии установки этого протокола на контроллере домена. Компьютеры, использующие только протокол TCP/IP, не попадают под это ограничение.
На вкладке Профиль вы можете настроить параметры профиля пользователя. В папке профиля пользователя (%homedrive%\Documents and Settings ) сохраняются его личные файлы, персонифицированные файлы приложений, временные файлы пользователя, его рабочий стол и сетевое окружение, данные системного реестра.
Windows Server 2003 поддерживает три типа профилей:
Указав в поле Путь к профилю сетевой путь к перемещаемому или обязательному профилю, вы укажете Windows копировать профиль из указанной папки, а не создавать его на основании стандартного профиля пользователя.
В поле Сценарий входа вы можете указать имя командного файла, содержащего сценарий, выполняемый при каждом входе пользователя в систему. Сценарии должны располагаться в папке {ХХХХХХХХХХХХ}, которая доступна по сети под именем NETLOGON .
Вы также можете указать домашнюю папку пользователя, которая может быть как локальной (полный путь задается в поле Локальный путь), так и сетевой (вы задаете букву диска и полный сетевой путь в поле Подключить). Если ни один из этих параметров не указан, то домашней папкой считается папка его локального профиля (%homedrive%\Documents and Settings\%username% или %userprofile%). При задании сетевого пути к домашней папке Windows 2000 проверяет ее наличие. Если папки нет, она будет создана по щелчку кнопки ОК или Применить. На создаваемую домашнюю папку пользователя устанавливаются следующие разрешения:
Если домашняя папка уже существует, Windows Server 2003 проверяет, чтобы у пользователя был к ней Полный доступ. При необходимости это разрешение добавляется.
На вкладке Телефоны вы можете указать номера других телефонов пользователя. Кроме того, на этой вкладке в поле Заметки вы можете ввести произвольные сведения относительно пользователя.
На вкладке Организация вы можете указать сведения о должности пользователя. Для этого заполните поля Должность, Отдел и Организация.
Вы также можете указать непосредственного руководителя пользователя - для этого в группе элементов Руководитель щелкните кнопку Изменить и выберите в каталоге нужного пользователя. При помощи кнопки Показать вы сможете просмотреть свойства руководителя, а при помощи кнопки Очистить убрать информацию о руководителе.
На основании информации о руководителях Windows Server 2003 автоматически строит список Прямые подчиненные для пользователя. Свойства конкретного подчиненного пользователя можно просмотреть при помощи двойного щелчка его имени в списке.
На вкладке Член групп вы можете управлять членством пользователя в группах. Обычно группы используются для более удобного управления разрешениями и привилегиями пользователей. Как правило, все пользователи входят в группу Пользователи домена (в домене Windows Server 2003) или в группу Пользователи (на рабочих станциях). Это обеспечивает им базовые права, например возможность входить в домен с рабочих станций.
Чтобы добавить пользователя в одну или несколько групп, щелкните кнопку Добавить. В появившемся окне выберите или введите имена нужных групп и щелкните кнопку ОК. Чтобы удалить группу из списка, выберите ее в списке и щелкните кнопку Удалить . Для просмотра свойств группы дважды щелкните ее имя.
Для совместимости с не-Windows клиентами может потребоваться указать основную группу пользователя. Это требуется для нормальной работы клиентов, не поддерживающих членство пользователей в нескольких группах, к таким клиентам относятся компьютеры под управлением UNIX, Mac OS и т. п. Для указания основной группы пользователя выберите ее в списке и щелкните кнопку Задать основную группу.
Для нормального функционирования сетевых клиентов Windows задание основной группы не требуется. Тем не менее не рекомендуется изменять основную группу пользователя, если это не требуется для обеспечения взаимодействия с клиентами POSIX и Macintosh.
На вкладке Входящие звонки вы можете задать параметры удаленного доступа для пользователя. Они действуют при организации удаленного доступа средствами Windows Server 2003.
Вы можете глобально разрешить или запретить пользователю использование удаленного доступа к домену посредством модема или виртуальной частной сети (Virtual Private Network, VPN). Для этого установите переключатель в положение Разрешить доступ или Запретить доступ. Несмотря на возможность непосредственно управлять удаленным доступом пользователя, рекомендуется установить переключатель в положение Управление на основе политики удаленного доступа и осуществлять управление удаленным доступом посредством групповых политик.
При организации удаленного доступа через модем сервер удаленного доступа Windows Server 2003 может осуществлять обратный звонок для экономии средств пользователей. Вы можете выбрать один из вариантов организации ответного вызова сервера.
Кроме того, вы можете настроить некоторые параметры TCP/IP для удаленных соединений, осуществляемых пользователем. К ним относятся статический IP-адрес, указываемый в поле Статический IP-адрес пользователя и статическая таблица маршрутизации, которая может быть включена установкой флажка Использовать статическую маршрутизацию. Статические маршруты могут быть определены по щелчку кнопки Статические маршруты.
На вкладке Среда вы можете настроить ряд индивидуальных параметров пользователя для терминального режима.
Установив флажок При входе в систему запускать следующую программу, вы сможете указать полный путь к файлу запускаемой программы в поле Имя файла программы и ее рабочую папку в поле Рабочая папка. Эта программа будет запускаться каждый раз при входе пользователя на сервер в терминальном режиме, но не будет запускаться при обычном входе.
Кроме того, вы можете настроить индивидуальные параметры подключения устройств клиента. Установив флажок Подключение дисков клиента при входе, вы укажете серверу терминалов, что при каждом входе пользователя в терминальном режиме необходимо подключить локальные диски его компьютера, чтобы они могли использоваться во время терминальной сессии. Установив флажок Подключение принтеров клиента при входе, вы укажете серверу терминалов, что при каждом входе пользователя в терминальном режиме необходимо подключить все локальные принтеры пользователя, чтобы они могли использоваться во время терминальной сессии. Подключение осуществляется только для принтеров, предоставленных в совместное использование. Установив флажок По умолчанию выбрать основной принтер клиента, вы укажете серверу терминалов, что в качестве принтера по умолчанию должен быть установлен тот же принтер, что и на компьютере клиента. Принтер по умолчанию не изменяется, если не удалось подключить другой.
На вкладке Сеансы вы можете настроить индивидуальные параметры пользователя для терминального режима. Эти параметры позволяют эффективнее использовать ресурсы сервера, отключая ненужные сеансы пользователей.
Параметр Завершение отключенного сеанса отвечает за время, через которое сервер принудительно завершит отключенный сеанс пользователя. Отключенные сеансы появляются в результате сбоев связи или некорректного завершения сеанса пользователем. Параметры Ограничение активного сеанса и Ограничение бездействующего сеанса ограничивают время активной работы пользователя в терминальном режиме. Первый параметр ограничивает продолжительность любого сеанса пользователя, второй - время, в течение которого пользователь может не выполнять никаких действий. По истечении отведенного времени предпринимается действие, устанавливаемое переключателем При превышении ограничений или разрыве подключения. При выборе варианта Отключить сеанс остается возможность повторно подключиться к серверу и продолжить работу в своем сеансе, при выборе Завершить сеанс - сервер завершает сеанс пользователя.
Переключатель Разрешать переподключение определяет, с каких компьютеров пользователь может подключиться к своему отключенному сеансу. При выборе варианта От любого клиента пользователь может подключиться к своей сессии с любого компьютера, при выборе Только от прежнего клиента - только с того компьютера, с которого сеанс был отключен.
На вкладке Удаленное управление вы можете настроить параметры управления сеансом одного пользователя другим пользователем. Параметры, устанавливаемые на этой вкладке, действуют только на терминальные сессии пользователя.
Чтобы разрешить подключение к сессии пользователя, установите флажок Разрешить удаленное управление. Если вы хотите, чтобы пользователь мог принять решение относительно подключения к его сеансу, установите флажок Запрашивать разрешение пользователя - при попытке подключения к сеансу пользователь получит уведомление об этом и сможет отклонить попытку подключения.
Вы также можете настроить уровень управления сеансом пользователя. Установка переключателя в положение Только наблюдение за сеансом пользователя позволит осуществлять наблюдение за действиями пользователя, но не позволит выполнять какие-либо действия в рамках его сеанса. Установка переключателя в положение Взаимодействие с этим сеансом позволит не только наблюдать, но и активно вмешиваться в действия пользователя.
На вкладке Профиль служб терминалов вы можете настроить параметры профиля пользователя, используемые в терминальном режиме. Эти параметры аналогичны параметрам на вкладке Профиль и замещают их при работе пользователя в терминальном режиме.
Кроме того, при помощи флажка Разрешить вход на сервер терминалов вы можете запретить или разрешить пользователю вход и работу на сервере терминалов.
Окно свойств пользователя может содержать дополнительные вкладки, добавляемые различными программными продуктами, ориентированными на Active Directory. Например, Microsoft Exchange Server 2000 добавляет к свойствам пользователя еще четыре вкладки, предназначенные для управления параметрами почтового ящика пользователя.
[newpage=Управление ОП - Копирование учетных записей]
Копирование учетных записей.
Чтобы скопировать учетную запись пользователя, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните нужную учетную запись правой кнопкой мыши и в контекстном меню выберите Копировать.
При копировании учетной записи пользователя заполните те же поля, что и при создании новой учетной записи. Мастер копирования пользователя внешне очень похож на мастер создания нового пользователя.
Основное отличие операции копирования учетной записи от создания новой в том, что значения многих параметров новой учетной записи не задаются по умолчанию, а копируются из исходной записи. Это позволяет использовать некоторые учетные записи в качестве шаблонов при создании новых.
Использование шаблонов.
Функция копирования учетных записей предоставляет широкие возможности по созданию учетных записей на основе шаблонов. Шаблоны удобны при необходимости создавать однотипные учетные записи, наделенные равными полномочиями.
В общем создание учетных записей на основе шаблонов выглядит следующим образом:
Смена пароля пользователя.
Очень часто пользователи домена забывают свои пароли, однако система безопасности Windows Server 2003 построена таким образом, что никто, даже администратор, не может узнать пароль пользователя. Кроме того, очень часто требуется смена паролей пользователей из соображений безопасности, например, после попытки несанкционированного проникновения в сеть. Во всех этих случаях требуется смена пароля. Большинство клиентов позволяют пользователю самостоятельно изменить свой пароль, но необходимо соблюдение следующих условий:
Далеко не всегда эти условия могут быть соблюдены, поэтому администраторы домена Windows Server 2003 могут изменять пароль пользователя, не зная старый пароль.
Чтобы изменить пароль пользователя, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните нужный объект пользователя правой кнопкой мыши и в контекстном меню выберите Смена пароля.
В появившемся окне дважды введите новый пароль пользователя. Установив флажок Требовать смену пароля при следующем входе в систему, вы обяжете пользователя установить новый пароль при очередном входе в систему.
Включение/отключение учетной записи.
Для включения или отключения учетной записи совсем необязательно открывать окно ее свойств и устанавливать или сбрасывать соответствующий флажок на вкладке Учетная запись. В дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект пользователя правой кнопкой мыши и в контекстном меню выберите Отключить учетную запись или Включить учетную запись (в зависимости от ее текущего состояния).
Добавление пользователя в группу.
Для включения отдельного пользователя (или нескольких пользователей) в группу совсем необязательно открывать окно свойств пользователя и добавлять пользователя в нужные группы на вкладке Член групп. В дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект пользователя правой кнопки мыши и в контекстном меню выберите Добавить участников в группу. В появившемся окне укажите группу, в которую должен быть добавлен пользователь (пользователи).
[newpage=Управление ОП - Управление контактами]
Управление контактами.
Контакт во многом похож на учетную запись пользователя, однако предназначен только для хранения информации о пользователях, которым не требуется регистрация в домене. Контакты создаются для удобства других пользователей, т. к. позволяют им получать всю необходимую информацию из каталога Active Directory и не требуют ведения личных адресных книг. Ключевым отличием контакта от пользователя является невозможность регистрации в домене.
Создание контакта.
Чтобы создать новый контакт, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект родительского контейнера (ОП или один из системных контейнеров) правой кнопкой мыши и в контекстном меню выберите Создать -> Контакт. Также можно выбрать в дереве интересующий объект и щелкнуть правой кнопкой мыши пустое место в списке объектов слева.
В появившемся окне заполните поля Имя, Инициалы, Фамилия и Полное имя по аналогии с полями учетной записи пользователя. Других сведений для создания контакта не требуется.
Изменение свойств контакта.
Чтобы просмотреть и изменить свойства контакта, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните нужный объект контакта правой кнопкой мыши и в контекстном меню выберите Свойства.
Вкладки Общие, Адрес, Телефоны и Организация идентичны вкладкам учетной записи пользователя.
На вкладке Член групп вы можете по аналогии с учетными записями пользователей указывать, членом каких групп является контакт.
Возможность членства в группах не дает контакту никаких прав в рамках домена Windows Server 2003 и предназначена для более удобной организации групп рассылки. Эта возможность становится востребованной после установки Microsoft Exchange Server 2000 или другого почтового сервера, использующего каталог Active Directory. По этой же причине у контактов отсутствует возможность указать основную группу - это не требуется для функционирования групп рассылки.
Добавление контакта в группу.
Для включения отдельного контакта (или нескольких контактов) в группу совсем необязательно открывать окно свойств контакта и добавлять его в нужные группы на вкладке Член групп. В дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект контакта правой кнопки мыши и в контекстном меню выберите Добавить участников в группу. В появившемся окне укажите группу, в которую должен быть добавлен контакт (контакты).
[newpage=Управление ОП - Управление группами.]
Управление группами.
Группы предназначены для упрощения администрирования ресурсов домена. Используя группы, можно назначать разрешения, привилегии и другие права доступа группам, а для предоставления аналогичных прав пользователям включать их в соответствующие группы. Кроме того, Windows Server 2003 поддерживает не только группы безопасности, но и группы рассылки, которые могут использоваться почтовыми серверами.
Типы и области действия групп.
Windows Server 2003 поддерживает не только группы безопасности, но и группы рассылки, которые не предназначены для использования системой безопасности, а служат для объединения пользователей и контактов в группы, облегчающие коллективную рассылку сообщений.
По аналогии с Windows 2000, Windows Server 2003 поддерживает несколько типов групп, различающихся по области действия и видимости.
Влияние типа и области действия группы на производительность сети.
При входе пользователя в сеть Windows Server 2003, контроллер домена определяет, каким группам принадлежит данный пользователь. Windows Server 2003 создает маркер доступа и назначает его пользователю. Маркер доступа содержит идентификатор безопасности учетной записи пользователя и идентификаторы безопасности всех групп безопасности, к которым принадлежит данный пользователь. Участие в группах может оказывать влияние на:
Вход в систему
Построение маркера доступа занимает время, таким образом, чем в большее число групп безопасности входит данный пользователь, тем больше времени требуется на построение маркера доступа для данного пользователя и входа в сеть. Это время зависит от пропускной способности сети, а также от параметров настройки контроллера домена, на котором выполняется процесс входа в сеть.
Иногда может понадобиться создать группу только для электронной почты, без использования ее для назначения прав и разрешений ее членам. Для увеличения производительности входа в сеть следует создавать подобные группы как группы распространения вместо групп безопасности. Так как группы распространения игнорируются при построении Windows Server 2003 маркера доступа пользователя при входе, это уменьшает размер маркера и время, затрачиваемое на его построение.
Репликация универсальных групп
Изменения данных, сохраненных в глобальном каталоге, реплицируются на каждый сервер глобального каталога в составе леса. Группы с универсальной областью действия и их члены содержатся в глобальном каталоге, чтобы информация о них была доступна в любом домене леса. Так как список членов группы является одним из атрибутов объекта группы, то при его изменении требуется репликация атрибута целиком на все серверы глобального каталога в лесе.
Группы с глобальной или доменной локальной областью действия также содержатся в глобальном каталоге. Однако в глобальном каталоге не хранится информация о членах этих групп. Это уменьшает размер глобального каталога и существенно уменьшает трафик репликации, необходимый для постоянного обновления глобального каталога. Можно повысить производительность сети путем использования групп с глобальной или доменной локальной областью действия для часто изменяемых объектов каталога.
Пропускная способность сети
Маркер доступа отправляется каждому компьютеру, к которому пользователь имеет доступ, таким образом, конечный компьютер может определить, имеет ли пользователь права или разрешения на данном компьютере, сравнивая все идентификаторы безопасности, содержащиеся в маркере, с разрешениями, установленными для всех ресурсов данного компьютера. Конечный компьютер также проверяет принадлежность идентификаторов безопасности, содержащихся в маркере доступа, к любым локальным группам.
Чем в большее число групп входит пользователь, тем больше будут его маркеры доступа. Если сеть имеет большое количество пользователей, влияние данных маркеров доступа большого размера на пропускную способность сети и производительность контроллера домена может быть существенным.
Например, некий домен содержит 500 общих файлов, каждый с соответствующим назначением для отдельной группы с доменной локальной областью действия, используемой для предоставления права доступа на чтение. Если большинство пользователей имеют доступ на чтение к большинству общих ресурсов, то к их маркеру доступа добавится около 500 идентификаторов безопасности групп. Передача таких маркеров и проверка прав доступа таких пользователей может существенно увеличить не только нагрузку на локальную сеть, но и на компьютеры, содержащие эти файлы.
Создание группы.
Чтобы создать новую группу, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект родительского контейнера (ОП или один из системных контейнеров) правой кнопкой мыши и в контекстном меню выберите Создать -> Группа. Также можно в дереве выбрать интересующий объект и щелкнуть правой кнопкой мыши пустое место в списке объектов слева.
В появившемся окне введите имя группы. Для совместимости с предыдущими версиями Windows оно генерируется автоматически, но вы можете изменить его по своему усмотрению.
Кроме того, вы должны указать тип и область действия группы, установив переключатели в соответствующие положения.
Изменение свойств группы.
Чтобы просмотреть и изменить свойства группы, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните нужный объект группы правой кнопкой мыши и в контекстном меню выберите Свойства.
На вкладке Общие вы можете изменить основные параметры группы.
В поле Описание укажите произвольное описание, характеризующее цели, для которых создавалась группа. В поле Имя группы (пред-Windows 2000) вы можете изменить имя группы, используемое для совместимости с предыдущими версиями Windows. В поле Заметки введите произвольные комментарии относительно группы.
Кроме того, вы можете изменить тип группы и область ее действия. При изменении области действия группы действуют следующие ограничения:
Если вы используете Microsoft Exchange Server 2000 в администрируемом домене, то не изменяйте значение поля Электронная почта у групп, являющихся списками рассылки Exchange - значение этого поля устанавливается Exchange-сервером автоматически.
На вкладке Члены группы вы можете указать учетные записи пользователей и группы, являющиеся членами группы.
Для добавления членов в группу щелкните кнопку Добавить. Для удаления выбранного члена группы - кнопку Удалить . Двойным щелчком вы можете открыть окно для просмотра свойств соответствующего объекта.
На вкладке Член групп вы можете изменить список групп, членом которых является группа.
На вкладке Управляется указывается пользователь, осуществляющий управление группой.
[newpage=Управление ОП - Управление компьютерами.]
Управление компьютерами.
Учетная запись компьютера во многом схожа с учетной записью пользователя. Каждый компьютер домена под управлением Windows Server 2003 должен иметь свою учетную запись, которая необходима для регистрации в домене с этого компьютера. Кроме того, учетные записи компьютеров также могут использоваться для разграничения доступа и предоставления специальных прав компьютерам, а не работающим на них пользователям. По аналогии с объектом пользователя, объект компьютера предназначен для хранения различных сведений о компьютере.
Создание учетной записи компьютера.
В большинстве случаев создание учетной записи компьютера осуществляется автоматически при присоединении компьютера к домену или его установки с использованием служб удаленной установки. Тем не менее вы можете добавить учетную запись компьютера вручную, например, для компьютеров под управлением Windows 9x, которые не создают учетные записи при присоединении компьютера к домену.
Чтобы создать новую учетную запись компьютера, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект родительского контейнера (ОП или один из системных контейнеров) правой кнопкой мыши и в контекстном меню выберите Создать -> Компьютер. Также можно выбрать в дереве интересующий вас объект и щелкнуть правой кнопкой мыши пустое место в списке объектов слева.
На первом шаге мастера введите имя нового компьютера в поле Имя компьютера. Мастер сам формирует его для совместимости с предыдущими версиями Windows в поле Имя компьютера (пред-Windows 2000) , но вы можете изменить его самостоятельно.
Вы можете указать, какие пользователи могут присоединить указанный компьютер к домену. По умолчанию это могут сделать только члены группы Администраторы домена. Щелкнув кнопку Изменить, вы можете выбрать группу или пользователя, которым будет разрешено добавление указанного компьютера к домену.
По умолчанию создаваемая учетная запись может использоваться компьютерами под управлением Windows 2000 или более поздней версии. Если вы хотите, чтобы учетная запись могла быть использована компьютерами под управлением Windows 9x или NT, установите флажок Назначить учетной записи статус пред-Windows 2000 компьютера.
На следующем шаге вы можете задать уникальный идентификатор компьютера, если он является управляемым.
Для этого установите флажок Это управляемый компьютер и введите его уникальный идентификатор компьютера в поле Уникальный код компьютера (GUID/UUID). Этот код используется службами удаленной установки.
На последнем шаге мастера выводится информация о параметрах создаваемого объекта компьютера.
По щелчку кнопки Готово учетная запись компьютера будет создана в указанном контейнере Active Directory.
Изменение свойств учетной записи компьютера.
Чтобы просмотреть и изменить свойства учетной записи компьютера, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните нужный объект группы правой кнопкой мыши и в контекстном меню выберите Свойства.
На вкладке Общие вы можете просматривать общие параметры учетной записи компьютера.
В поле DNS-имя указывается полное DNS-имя компьютера, которое формируется и добавляется к атрибутам учетной записи компьютера после его первого входа в домен. В поле Роль указывается текущая роль компьютера, которая автоматически заносится в свойства учетной записи компьютера после каждого его входа в домен. В поле Описание вы можете ввести произвольное описание компьютера и/или выполняемых им функций.
Установив флажок Доверять компьютеру делегирование, вы разрешите службам, запущенным на этом компьютере выполнять запросы к службам других компьютеров сети, представляясь при этом удаленными клиентами. Обычно этот флажок устанавливается только на серверах и контроллерах домена, которым эта возможность требуется для нормальной работы некоторых служб. Не устоит устанавливать этот флажок для учетных записей рабочих станций.
На вкладке Операционная система можно узнать, какая версия ОС установлена на данном компьютере.
В поле Имя указано название ОС и ее редакция, в поле Версия - номер версии и номер сборки, а в поле Пакет обновления - номер пакета обновления, установленного на компьютере. Информация, указанная на этой вкладке, носит исключительно информационный характер. Соответствующие атрибуты учетной записи компьютера обновляются при каждой его регистрации в домене.
На вкладке Член групп вы можете управлять списком групп, в которые входит компьютер.
По умолчанию все новые компьютеры, добавленные или созданные в домене, являются членами группы Компьютеры домена. Серверы после повышения до уровня контроллеров домена становятся членами группы Контроллеры домена.
Для добавления компьютера в одну или несколько групп щелкните кнопку Добавить. В появившемся окне выберите или введите имена нужных групп и щелкните кнопку ОК. Для удаления группы из списка выберите ее и щелкните кнопку Удалить, а для просмотра ее свойств -дважды щелкните ее имя в списке.
Для обеспечения совместимости с не-Windows клиентами может потребоваться указать основную группу компьютера. Это необходимо для нормальной работы клиентов, не поддерживающих членство учетных записей в нескольких группах - к таким клиентам относятся компьютеры под управлением UNIX, Mac OS и т. п. Для указания основной группы компьютера выберите ее в списке и щелкните кнопку Задать основную группу.
На вкладке Размещение вы можете указать данные о том, где размещен компьютер.
Рекомендуется использовать следующие данные:
На вкладке Управляется указывается пользователь, управляющий компьютером.
Вкладка Входящие звонки стандартна для всех объектов Active Directory (см. Изменение свойств учетной записи).
Включение/отключение учетной записи компьютера.
Учетная запись компьютера по аналогии с учетной записью пользователя может быть отключена. С компьютера с отключенной учетной записью невозможен вход и работа в домене. Отключение учетной записи компьютера можно рассматривать как временную меру блокировки работы пользователей с определенного компьютера.
Чтобы включить или отключить учетную запись компьютера, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект компьютера правой кнопки мыши и в контекстном меню выберите Отключить учетную запись или Включить учетную запись.
Переустановка учетной записи компьютера.
Учетная запись компьютера, как и учетная запись пользователя, содержит идентификатор безопасности, который используется Windows Server 2003 для ссылки на компьютер. Изменение идентификатора безопасности учетной записи пользователя приведет к тому, что будет потеряна информация о его членстве во всех группах, поэтому изменить идентификатор безопасности пользователя в Windows нельзя. Однако может возникнуть необходимость изменения идентификатора безопасности учетной записи компьютера, допустим, когда компьютер должен быть повторно включен в домен после неудачного включения. Для этого производится генерация нового идентификатора безопасности учетной записи компьютера. Эта операция называется переустановкой учетной записи.
Чтобы переустановить учетную запись компьютера, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект компьютера правой кнопкой мыши и в контекстном меню выберите Переустановить учетную запись. Для учетной записи компьютера будет сгенерирован новый идентификатор безопасности, после чего он не сможет входить в домен и процедура добавления этого компьютера к домену должна быть повторена.
Изменение параметров отображения имен.
Связывание сертификатов X.509 с учетной записью компьютера и настройка отображения имен Kerberos осуществляется так же, как и для учетных записей пользователей.
Управление компьютером.
Windows Server 2003 предоставляет все необходимые инструменты для удаленного управления компьютерами. Например, не обязательно работать непосредственно с консолью компьютера для того, чтобы изменить параметры настройки его оборудования или управлять запущенными на нем службами. Это можно сделать удаленно, в консоли управления Active Directory - пользователи и компьютеры.
Чтобы удаленно управлять компьютером, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект компьютера правой кнопкой мыши и в контекстном меню выберите Управление. Будет запущена консоль управления Управление компьютером, подключенная к выбранному вами компьютеру.
Удаленное управление поддерживается только для компьютеров под управлением Windows 2000 или более поздней версии. Возможно ограниченное управление компьютерами под управлением Windows NT 4.0. Удаленное управление компьютерами под управлением Windows NT 3.5x, 3.x, 9x, ME и других ОС не поддерживается.
[newpage=Управление ОП - Управление принтерами.]
Управление принтерами.
Публикация принтеров в Active Directory не является необходимой, хотя и облегчает поиск и использование принтеров. Принтеры, установленные на компьютерах под управлением Windows 2000 или более поздней версии, публикуются в каталоге Active Directory автоматически. Принтеры, подключенные к компьютерам под управлением предыдущих версий Windows, должны добавляться в каталог вручную.
Создание подключения к принтеру.
Чтобы создать новое подключение к принтеру, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект родительского контейнера (ОП или один из системных контейнеров) правой кнопкой мыши и в контекстном меню выберите Создать -> Принтер. Также можно в дереве выбрать интересующий вас объект и щелкнуть правой кнопкой мыши пустое место в списке объектов слева.
В появившемся окне введите полный сетевой путь к принтеру. К моменту добавления принтера в каталог Active Directory он уже должен быть установлен и предоставлен в общий доступ.
Здесь нет кнопки Обзор, поэтому придется вводить полное сетевое имя принтера вручную.
По щелчку кнопки ОК Windows Server 2003 установит связь с принтером и получит все необходимые сведения о нем. Эти данные будут опубликованы в каталоге.
Изменение свойств принтера.
Чтобы просмотреть и изменить свойства принтера, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните нужный объект принтера правой кнопкой мыши и в контекстном меню выберите Свойства.
В каталоге Active Directory публикуются и изменяются сведения, предназначенные для быстрого поиска принтера по различным критериям. Эти свойства не имеют ничего общего с параметрами принтера, которые отвечают за процесс печати.
На вкладке Общие вы можете указать основные сведения о принтере, которые облегчат его поиск. Начальные значения атрибутов объекта принтера получаются автоматически при опросе принтера в момент его публикации или создания, но вы можете изменять эти сведения по своему усмотрению.
В поле Модель указывается полное название модели принтера. Необходимости изменять это поле обычно не бывает, но вы можете исправить значение поля по своему усмотрению. В поле Размещение укажите номер комнаты и/или этаж, на котором расположен принтер. Эта информация позволит пользователям находить принтеры, расположенные рядом с их рабочими местами. В поле Описание вы можете указать произвольное описание принтера. Например, если на принтере могут печатать только сотрудники определенного отдела, можно указать это в описании принтера, чтобы пользователи не устанавливали принтеры, на которые они все равно не смогут ничего напечатать.
Если принтер поддерживает печать в цвете, установите флажок Цвет. Если принтер оборудован устройством для сшивания копий, установите флажок Сшиватель. Если принтер поддерживает автоматическую двустороннюю печать, установите флажок Двусторонний.
В поле Скорость печати вы можете изменить максимальную скорость печати. Начальное значение этого атрибута получается от принтера автоматически, но часто не отражает реальную скорость. Вы можете указать в этом поле значение, полученное опытным путем. В поле Максимальное разрешение вы можете изменить максимальное разрешение печати, поддерживаемое принтером. Эта информация также получается от принтера автоматически и обычно не нуждается в корректировке.
На вкладке Управляется указывается пользователь, управляющий принтером.
Вкладки Объект и Безопасность стандартны для всех объектов Active Directory.
Подключение принтера.
Вы можете подключить и установить принтер непосредственно из консоли управления Active Directory - пользователи и компьютеры - щелкните объект принтера правой кнопки мыши и в контекстном меню выберите Подключить. Принтер будет автоматически установлен на вашем компьютере.
Просмотр очереди принтера.
Вы можете управлять очередью принтера, опубликованного в Active Directory, не устанавливая его на своем компьютере. В дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект принтера правой кнопки мыши и в контекстном меню выберите Открыть. Необходимые драйверы принтера будут установлены на ваш компьютер, после чего появится окно управления очередью принтера.
[newpage=Управление ОП - Управление общими папками.]
Управление общими папками.
Публикация общих папок в Active Directory не является необходимой, хотя и облегчает их поиск и использование. Возможность публикации позволяет размещать папки в ОП в соответствии с тем, пользователи какого подразделения за какие общие ресурсы отвечают.
Создание общей папки.
Чтобы создать новую общую папку, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект родительского контейнера (ОП или один из системных контейнеров) правой кнопкой мыши и в контекстном меню выберите Создать -> Общая папка. Также можно выбрать в дереве нужный объект и щелкнуть правой кнопкой мыши пустое место в списке объектов слева.
В появившемся окне введите имя папки, под которым она будет фигурировать в каталоге Active Directory (поле Имя ) и полный сетевой путь к общей папке.
При указании полного сетевого пути рекомендуется использовать полное DNS-имя компьютера, на котором расположен общий ресурс, т. к. к ресурсам, размещенным в каталоге одного домена, могут обращаться пользователи других доменов Active Directory. Здесь нет кнопки Обзор, поэтому придется вводить полное сетевое имя ресурса вручную.
Изменение свойств общей папки.
Чтобы просмотреть и изменить свойства общей папки, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните нужный объект общей папки правой кнопкой мыши и в контекстном меню выберите Свойства.
В каталоге Active Directory публикуются и изменяются сведения, предназначенные для быстрого поиска общей папки. Эти свойства не имеют ничего общего с параметрами общей папки, которые отвечают за доступ к ней.
На вкладке Общие вы можете изменить основные сведения об общей папке.
Можно изменить полный путь, например, если она была перемещена с одного компьютера на другой, введите новый полный путь в поле UNC-имя. В поле Описание вы можете ввести произвольное описание данных общей папки и названия подразделений, которым она предназначена.
Щелкнув кнопку Ключевые слова, вы можете изменить список ключевых слов, связанных с общей папкой. Благодаря этому можно осуществлять поиск общих папок не только по имени, но и по ключевым словам.
Ключевым словом может быть целая фраза (хотя это снижает вероятность ее нахождения). После ввода отдельного ключевого слова щелкните кнопку Добавить, чтобы внести его в список. С помощью кнопок Изменить и Удалить вы можете соответственно отредактировать ключевое слово или удалить его из списка.
На вкладке Управляется указывается пользователь, управляющий общей папкой.
Просмотр содержимого общей папки.
Чтобы просмотреть содержимое общей папки с помощью Проводника, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект общей папки правой кнопкой мыши и в контекстном меню выберите Открыть или Проводник. Откроется новое окно Проводника, в котором будет показано содержимое общей папки.
Подключение сетевого диска.
Чтобы подключить общую папку как сетевой диск, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект общей папки правой кнопкой мыши и в контекстном меню выберите Подключить сетевой диск. Откроется окно подключения сетевого диска, в котором уже будет заполнено поле Папка.
[newpage=Управление ОП - Общие операции.]
Общие операции.
Практически все объекты Active Directory поддерживают стандартный набор операций: создание, удаление, изменение свойств, переименование, перемещение в другой контейнер и т. п. Часть этих операций была рассмотрена выше, т. к. их выполнение существенным образом зависит от типа объекта (создание, свойства и т. п.). В этом разделе будут рассмотрены те операции, выполнение которых не зависит от типа объекта.
Помимо общих операций, окна свойств большинства объектов Active Directory содержат стандартный набор вкладок. Внешний вид вкладки Общие зависит от типа объекта, поэтому изменяемые на ней атрибуты были рассмотрены выше. Вкладка Управляется для всех объектов Active Directory идентична и будет рассмотрена в этом разделе.
Включение режима дополнительных функций.
По умолчанию вкладки Объект и Безопасность не отображаются в окнах свойств объектов Active Directory. Чтобы получить к ним доступ, необходимо включить режим дополнительных функций - в меню Вид консоли управления Active Directory - пользователи и компьютеры установите флажок Дополнительные функции.
Режим дополнительных функций сохраняется при закрытии консоли управления, и при следующем запуске консоли его включение не требуется.
Общие свойства.
Окна свойств всех объектов Active Directory, за исключением учетных записей пользователей и контактов, содержат вкладку Управляется, которая предназначена для указания пользователя, ответственного за управление объектом.
При помощи сведений, приведенных на этой вкладке, пользователи могут узнать, с кем и как можно связаться по поводу изменения свойств или управления объектом. Если указан пользователь или контакт, ответственный за управление объектом, то основные сведения, необходимые для того, чтобы связаться с ним, выводятся на вкладке Управляется. Полные сведения о пользователе можно просмотреть, щелкнув кнопку Свойства.
Для изменения пользователя, ответственного за управление объектом, щелкните кнопку Изменить и выберите нужного пользователя в появившемся окне. Чтобы удалить информацию об управлении объектом, щелкните кнопку Удалить.
Если у объекта нет сведений об управляющем им пользователе, то принято считать, что это пользователь, управляющий родительским объектом.
Вкладка Объект присутствует у всех объектов Active Directory при включенном режиме дополнительных функций и позволяет узнать, когда был создан и изменен объект, а также его полное имя в каталоге Active Directory.
Поля Исходный USN и Текущий USN отвечают за репликацию объекта на другие контроллеры домена. Каждый контроллер домена имеет свой собственный счетчик USN (Update Sequence Number, последовательный номер обновления). При создании объекта ему присваивается текущий USN контроллера домена, после чего последний увеличивается на 1. При изменении значения атрибута объекта USN контроллера домена увеличивается на 1 и записывается как текущий USN объекта. При изменении нескольких свойств USN увеличивается на единицу при изменении каждого свойства.
Каждый контроллер домена имеет информацию о последнем USN всех остальных контроллеров домена, полученном во время последней репликации. При очередной репликации запрашивается текущий USN контроллера домена. Если значение USN изменилось с момента последней репликации, то запрашивается репликация всех изменений с USN больше предыдущего. Это позволяет значительно уменьшить трафик репликации, т. к. реплицируются только те атрибуты объектов, которые были изменены.
Вкладка Безопасность присутствует у всех объектов Active Directory при включенном режиме дополнительных функций и позволяет управлять разрешениями для объекта.
Переименование.
Имена объектов каталога Active Directory нельзя изменить через окна их свойств. Чтобы переименовать объект, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните нужный объект правой кнопкой мыши и в контекстном меню выберите Переименовать. Также можно выделить объект и нажать клавишу F2.
Процесс переименования осуществляется в два этапа. На первом вы изменяете или вводите заново имя объекта и нажимаете клавишу Enter. На втором этапе для большинства объектов будет предложено исправить ряд атрибутов, связанных с именем объекта.
Например, для учетной записи пользователя будет предложено исправить Фамилию, Имя, Имя для входа. Обычно окно, отображаемое при переименовании объекта, аналогично окну, отображаемому при создании нового объекта того же типа.
Переименование объекта абсолютно безопасно, т. к. при этом не изменяется ни один из внутренних идентификаторов объекта. Так как при ссылке одних объектов каталога на другие (допустим, при включении пользователей в группы) используются идентификаторы безопасности или GUID, то при переименовании объект не теряет своих связей с другими объектами.
Перемещение в контейнер.
При реструктуризации каталога возникает необходимость перемещения объектов из одного контейнера Active Directory в другой. Для этого в дереве консоли управления Active Directory - пользователи и компьютеры щелкните нужный объект (или несколько объектов) правой кнопкой мыши и в контекстном меню выберите Переместить.
В появившемся окне отображаются все контейнеры текущего домена, выберите нужный и щелкните кнопку ОК.
Перемещение объекта абсолютно безопасно, т. к. при этом не изменяется ни один из внутренних идентификаторов объекта. Так как при ссылке одних объектов каталога на другие (допустим, при включении пользователей в группы) используются идентификаторы безопасности или GUID, то при перемещении объект не теряет своих связей с другими объектами. Однако при выборе контейнера, в который будут перемещены объекты, принимайте во внимание системные политики, действующие в нем на объекты.
Удаление.
Чтобы удалить объект каталога, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните нужный объект правой кнопкой мыши и в контекстном меню выберите Удалить. Также можно выделить объект и нажать клавишу Delete. После дополнительного подтверждения объект будет удален.
Будьте внимательны при удалении объектов - в Active Directory это необратимый процесс.
Будьте осторожны при удалении учетных записей пользователей, компьютеров и групп - эти объекты имеют уникальный идентификатор системы безопасности, который используется при назначении разрешений и привилегий. При удалении пользователя и создании нового пользователя с тем же именем и теми же атрибутами будет утеряна вся информация о его членстве в группах и разрешениях, назначенных непосредственно пользователю. Поэтому не удаляйте учетные записи пользователей, которые давно не регистрировались в сети. Если есть вероятность того, что пользователь может продолжить работать в сети, отключите его бюджет - при необходимости вы сможете его включить.
Прочие операции.
Каталог Active Directory является расширяемым, поэтому при установке различных программных продуктов в нем могут появляться не только новые объекты, но и новые классы объектов. Кроме того, различные продукты могут добавлять функции в консоли управления Active Directory. Например, Microsoft Exchange Server 2000 не только расширяет схему Active Directory (внося в нее порядка 800 изменений), но и добавляет новую функциональность в консоль управления Active Directory - пользователи и компьютеры - в контекстные меню добавляются новые команды, а в окна свойств - новые вкладки.
Обычно все операции, изменяющиеся в зависимости от типа объекта и установленных дополнительных программных продуктов, сгруппированы в верхней части контекстного меню, вызываемого щелчком объекта правой кнопкой мыши. Кроме того, все возможные операции над объектом, включая реализуемые дополнительными программными продуктами, сгруппированы в подменю Все задачи.
Поиск объектов.
Для упрощения работы с каталогом Active Directory консоль управления Active Directory - пользователи и компьютеры позволяет осуществлять поиск объектов по различным критериям в пределах определенного контейнера. Чтобы вызвать окно поиска объекта каталога, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните контейнер, с которого хотите бы начать поиск, правой кнопкой мыши и в контекстном меню выберите Найти.
В появившемся окне задайте часть имени объекта (в поле Имя) и/или описания объекта (в поле Описание). Поиск осуществляется по начальным символам введенной строки. В раскрывающемся списке Найти вы можете указать, объекты каких типов требуется увидеть в результатах поиска.
По умолчанию поиск осуществляется в контейнере (включая подчиненные), для которого вы вызвали операцию поиска, но можно изменить область поиска при помощи раскрывающегося списка В или кнопки Обзор.
При необходимости можно задать расширенные условия поиска, перейдя на вкладку Дополнительно окна поиска.
Для задания условия поиска щелкните кнопку Поле, после чего выберите интересующее вас поле объекта, которое должно быть включено в условие. В раскрывающемся списке Условие выберите условие, по которому будет проверяться значение выбранного поля. В поле Значение введите значение, на соответствие которому будет проверяться выбранное поле. После того как условие поиска сформировано, щелкните кнопку Добавить. При поиске все условия в списке объединяются логической операцией И.
После того как вы задали все необходимые условия и область поиска, щелкните кнопку Найти. В зависимости от того, осуществляется поиск в пределах одного домена или нет и задействованы ли в условиях поиска атрибуты объектов, публикуемые в ГК, процесс поиска может занять от нескольких секунд до нескольких минут. В процессе поиска найденные объекты отображаются списком в нижней части окна поиска.
Вы можете остановить поиск, щелкнув кнопку Остановить. Кнопка Очистить все очищает список результатов поиска и все условия поиска, возвращая окно поиска в исходное состояние.
Вы можете выполнять многие операции над найденными объектами, не покидая окна поиска, прямо из списка с результатами поиска. Все необходимые для этого операции содержатся в контекстном меню найденных объектов.
[newpage=Управление деревом доменов]
Управление деревом доменов.
При наличии в дереве Active Directory хотя бы двух доменов появляется необходимость управления их взаимодействием. Для этих целей используется консоль управления Active Directory - домены и доверие - в меню Пуск выберите Администрирование -> Active Directory - домены и доверие.
Консоль управления Active Directory - домены и доверие позволяет управлять всем лесом доменов Active Directory, никаких дополнительных переключений не требуется.
Управление доменами.
Управление доменами в консоли Active Directory - домены и доверие практически аналогично управлению доменами в консоли управления Active Directory - пользователи и компьютеры. Однако консоль Active Directory - домены и доверие позволяет управлять параметрами доверительных отношений между доменами.
Свойства домена.
Чтобы просмотреть и изменить свойства домена, в дереве консоли управления Active Directory - домены и доверие щелкните нужный объект домена правой кнопкой мыши и в контекстном меню выберите Свойства.
На вкладке Общие показано полное DNS-имя домена, а также его NetBIOS-имя. Так как оба имени задаются при установке Active Directory, вы не можете их изменить.
В поле Описание вы можете указать произвольное описание домена. Обычно - область ответственности домена.
В поле Режим работы домена указывается режим работы домена.
На вкладке Доверия указываются параметры доверительных отношений между доменами дерева.
Вы можете управлять двумя списками доменов:
Процесс установления доверительными отношениями между доменами выполняется в следующей последовательности:
Чтобы добавить домен в любой из списков, щелкните кнопку Создать доверие. Запустится Мастер создания отношений доверия, который поможет вам создать доверие.
В появившемся окне введите полное DNS-имя домена и дважды - пароль, используемый для установления доверительных отношений. При установлении отношений между доменами вы должны использовать одинаковый пароль при добавлении обоих доменов.
После установления доверительных отношений вы увидите сообщение об успешном окончании операции.
При добавлении домена в дерево во время установки дочернего домена при помощи Мастера установки Active Directory все необходимые доверительные отношения между доменами устанавливаются автоматически. Необходимость в ручной установке может возникнуть при добавлении существующего домена к лесу или объединении двух доменных деревьев.
При объединении двух доменных деревьев в один лес необходимо установить двухсторонние доверительные отношения только между корневыми доменами деревьев.
На вкладке Управляется указывается пользователь, управляющий доменом.
Хозяева операций.
Active Directory поддерживает репликацию хранилища данных каталога с несколькими хозяевами между всеми контроллерами домена. Некоторые изменения не рекомендуется выполнять в данном режиме, тем не менее только один контроллер домена, называемый хозяином операции, принимает запросы на такие изменения.
Так как роли хозяина операций могут перемещаться на другие контроллеры в составе домена или леса, их иногда называют FSMO (Flexible Single Master Operations).
Лес Active Directory содержит пять ролей хозяина операций, назначаемых одному или нескольким контроллерам домена. В каждом лесе Active Directory один контроллер домена должен выполнять роль хозяина именования домена.
Чтобы просмотреть и изменить хозяина именования домена, в дереве консоли управления Active Directory - домены и доверие щелкните корневой узел правой кнопкой мыши и в контекстном меню выберите Хозяин операций.
В появившемся окне укажите, какой контроллер домена будет отвечать за добавление и удаление доменов в лесе Active Directory.
Передачу роли хозяина именования домена другому компьютеру необходимо выполнять с того контроллера, который должен стать новым хозяином именования домена. Вызвав окно изменения хозяина именования домена, щелкните кнопку Изменить.
После репликации необходимых изменений на другие контроллеры домена роль хозяина именования домена будет выполнять указанный контроллер.
[newpage=Управление сайтами и службами]
Управление сайтами и службами.
При размещении леса Active Directory в нескольких отдельных, территориально распределенных сетях, появляется необходимость управления репликацией данных между доменами леса и оптимизацией трафика, создаваемого службами Active Directory. Для этих целей используется консоль управления Active Directory - сайты и службы - в меню Пуск выберите Администрирование -> Active Directory - сайты и службы.
Консоль управления Active Directory - сайты и службы позволяет управлять параметрами сайтов и репликации всего леса доменов Active Directory.
Структура сайтов по умолчанию.
После установки первого контроллера первого домена леса Active Directory автоматически создается новый сайт с именем Default-First-Site. Все контроллеры любых доменов леса после установки автоматически добавляются в этот сайт. После установки первого контроллера домена структура объектов в консоли Active Directory - сайты и службы должна выглядеть следующим образом:
Дерево консоли Active Directory - сайты и службы может содержать две ветви:
Ветви, которые содержит узел Sites, приведены в таблице.
Создание сайта.
Чтобы создать новый сайт, в дереве консоли управления Active Directory - сайты и службы щелкните ветвь Sites правой кнопкой мыши и в контекстном меню выберите Новый сайт. Также можно выбрать ветвь Sites и щелкнуть правой кнопкой мыши пустое место в списке объектов слева.
В появившемся окне введите имя нового сайта (в поле Имя ) и укажите, какой объект межсайтовой связи будет использоваться для связи с новым сайтом (он уже должен быть создан к этому моменту).
При задании имен сайтов следует придерживаться требований к именам DNS, т. к. каждый объект сайта регистрируется в DNS-зоне.
Изменение свойств сайта.
Чтобы просмотреть и изменить свойства сайта, в дереве консоли управления Active Directory - сайты и службы щелкните нужный объект сайта правой кнопкой мыши и в контекстном меню выберите Свойства.
На вкладке Сайт вы можете ввести или изменить произвольное описание сайта. Обычно здесь указывается, какие сети и домены обслуживает сайт.
На вкладке Размещение можно указать данные о том, где размещаются контроллеры доменов, составляющие сайт.
Рекомендуется использовать следующие данные:
Вкладки Объект и Безопасность стандартны для всех объектов Active Directory.
На вкладке Групповая политика вы можете управлять групповыми политиками уровня сайта. Работа с ними будет рассмотрена позже.
Изменение параметров лицензирования сайта.
Администратор может убедиться в соблюдении организацией лицензионных соглашений по использованию программных продуктов, входящих в состав Microsoft BackOffice, путем наблюдения за покупками лицензий, их использованием и удалением. Эти сведения о лицензиях собираются на сервере службой учета лицензий Windows Server 2003.
Эта служба, расположенная на каждом сервере сайта, реплицирует сведения о лицензиях в централизованную базу данных на сервере, который называется Сервером лицензий сайта. Администратор сайта или администратор сервера лицензий сайта может использовать программу Лицензирование из папки Пуск -> Администрирование для просмотра истории лицензирования всего сайта, хранящейся на сервере лицензий сайта.
Сервером лицензий сайта обычно назначается первый контроллер домена, который был для него создан. В больших организациях с несколькими сайтами сведения о лицензиях для каждого сайта обычно собираются отдельно каждым сервером лицензий сайта.
Чтобы просмотреть и изменить свойства лицензирования сайта, в дереве консоли управления Active Directory - сайты и службы выберите объект сайта, в списке справа щелкните объект лицензирования Licensing Site Settings правой кнопкой мыши и в контекстном меню выберите Свойства.
На вкладке Лицензированные параметры вы можете указать произвольное описание объекта лицензирования сайта (в поле Описание ) и указать, какой компьютер выполняет функции сервера лицензирования в сайте.
Для изменения сервера лицензирования сайта щелкните кнопку Изменить. В окне выбора укажите нужный сервер. При изменении сервера лицензирования придерживайтесь следующих правил:
Если при изменении сервера лицензирования вы хотите сохранить историю лицензирования организации, непосредственно перед изменением выполните следующее:
Вкладки Объект и Безопасность стандартны для всех объектов Active Directory.
Изменение параметров сайта.
Чтобы просмотреть и изменить параметры сайта, в дереве консоли управления Active Directory - сайты и службы выберите нужный объект сайта, в списке справа щелкните объект NTDS Site Settings правой кнопкой мыши и в контекстном меню выберите Свойства.
На вкладке Параметры сайта вы можете указать произвольное описание объекта параметров сайта (в поле Описание) и указать расписание внутрисайтовой репликации (щелкнув кнопку Изменить расписание). Вы также можете узнать, какой сервер сайта отвечает за автоматическую генерацию топологии репликации между сайтами.
В появившемся по щелчку кнопки Изменить расписание окне вы можете задать время, когда будет осуществляется репликация данных между контроллерами доменов в сайте, и периодичность репликации.
Вкладки Объект и Безопасность стандартны для всех объектов Active Directory.
Перемещение контроллеров домена между сайтами.
При создании или удалении сайтов, добавлении новых доменов или контроллеров доменов возникает необходимость в перемещении контроллеров домена между сайтами. По умолчанию все контроллеры домена попадают в сайт Default-First-Site.
Чтобы просмотреть и изменить параметры сайта, в дереве консоли управления Active Directory - сайты и службы щелкните нужный объект контроллера домена правой кнопкой мыши и в контекстном меню выберите Переместить.
В появившемся окне выберите сайт, в который хотите переместить контроллер домена, и щелкните кнопку ОК. После перемещения контроллера домена проверьте соблюдение следующих условий:
После перемещения контроллера домена необходимо выждать некоторое время, необходимое для репликации изменений в конфигурации Active Directory. Кроме того, это позволит вам проверить, что репликация данных между перенесенным контроллером домена и другими контроллерами домена работает.
Удаление сайта.
Перед удалением сайта:
Объект сайта является контейнером, поэтому его удаление приведет к удалению всех подчиненных объектов. Рекомендуется все необходимые объекты перенести в другие сайты.
После выполнения всех подготовительных операций выждите время, достаточное для репликации изменений, внесенных в ходе подготовительных операций, на другие контроллеры доменов.
Чтобы удалить сайт, в дереве консоли управления Active Directory - сайты и службы щелкните нужный объект сайта правой кнопкой мыши и в контекстном меню выберите Удалить. После дополнительного подтверждения сайт будет удален.
Вы не можете удалить сайт Default-First-Site
[newpage=Управление подсетями]
Управление подсетями.
Подсеть Active Directory - объект, позволяющий определять принадлежность компьютеров к тому или иному сайту. Подсеть описывает отдельную IP-сеть и связывает ее с сайтом Active Directory, таким образом, при регистрации компьютера в домене можно сказать, в каком сайте он находится. Это позволяет обслуживать пользователей компьютера тому контроллеру домена, который находится к ним ближе всего.
Процесс управления подсетями внутри леса Active Directory сводится к описанию IP-сетей и связыванию их с сайтами Active Directory.
Создание подсети.
Чтобы создать новую подсеть, в дереве консоли управления Active Directory - сайты и службы щелкните ветвь Subnets правой кнопкой мыши и в контекстном меню выберите Создание подсети. Также можно выбрать ветвь Subnets и щелкнуть правой кнопкой мыши пустое место в списке объектов слева.
В появившемся окне задайте параметры создаваемой сети. В поле Адрес введите IP-адрес сети, в поле Маска - маску сети. Windows Server 2003 автоматически формирует имя создаваемой подсети в поле Имя. При формировании имени вычисляется реальный адрес IP-сети. Например, если вы ввели адрес 172.16.209.14 и маску 255.255.240.0, то имя сети будет 172.16.208.0/20.
Кроме того, в списке в нижней части окна вы должны выбрать сайт, с которым будет связана создаваемая сеть.
После заполнения всех полей щелкните кнопку ОК.
Подсеть может быть связана только с одним объектом сайта.
Изменение свойств подсети.
Чтобы просмотреть и изменить свойства подсети, в дереве консоли управления Active Directory - сайты и службы щелкните нужный объект подсети правой кнопкой мыши и в контекстном меню выберите Свойства.
На вкладке Подсеть вы можете ввести или изменить произвольное описание подсети. Обычно здесь указывается, какие помещения офиса охватывает сеть, если офис имеет несколько IP сетей, или название офиса, если сеть в офисе одна. В раскрывающемся списке Сайт вы можете выбрать сайт, которому соответствует подсеть. Адрес и маску сети изменить нельзя.
На вкладке Размещение можно указать данные о том, в каком офисе размещается подсеть.
Рекомендуется использовать следующие данные:
Вкладки Объект и Безопасность стандартны для всех объектов Active Directory.
Удаление подсети.
Подсеть не является контейнерным объектом, поэтому ее создание и удаление не влияет на работу Active Directory.
Чтобы удалить подсеть, в дереве консоли управления Active Directory - сайты и службы щелкните нужный объект подсети правой кнопкой мыши и в контекстном меню выберите Удалить. После дополнительного подтверждения подсеть будет удалена.
Управление репликацией.
Для передачи данных с одного контроллера домена на другой службы Active Directory используют репликацию, в ходе которой на контроллер домена передаются только те данные, которые были изменены с момента последней репликации. Различают два вида репликации Active Directory:
При настройке параметров репликации рекомендуется использовать значения, устанавливаемые системой по умолчанию. При необходимости настройки параметров репликации используйте рекомендации и инструкции, изложенные в справочной системе Windows Server 2003.
эта статья с Компьютерные сети и технологии
( http://xnets.ru/plugins/content/content.php?content.145 )
Развертывание и администрирование сети с выделенным сервером на базе Windows Server 2003
vsit, Friday 11 August 2006 - 00:00:00
[newpage=Описание объектов Active Directory]
Занятие 7. Администрирование Active Directory.
Процесс администрирования Active Directory заключается в управлении:
- доменами Active Directory;
- структурой каталога домена;
- объектами домена (пользователями, контактами, компьютерами, группами, принтерами и т. п.);
- сайтами и сетями Active Directory;
- репликацией данных.
Все эти задачи решаются при помощи трех консолей управления, устанавливаемых в процессе установки Active Directory на контроллер домена:
- Active Directory - домены и доверие
- Active Directory - пользователи и компьютеры
- Active Directory - сайты и службы
На другие компьютеры домена эти консоли могут быть установлены в составе пакета административных утилит.
Описание объектов Active Directory.
Все консоли управления Active Directory используют единый набор значков для отображения объектов каталога. Ниже представлены все основные объекты Active Directory и соответствующие им значки. Эта информация поможет вам легче ориентироваться в каталоге Active Directory.
Значок | Объект | Описание |
| Active Directory | Представляет каталог Active Directory в целом. В инструментах управления практически не встречается, за исключением окон поиска и выбора объектов |
| Домен | Представляет домен Windows. Позволяет управлять глобальными параметрами домена |
| Контейнер, папка | Представляет простой контейнерный объект. Такие объекты могут создаваться только операционной системой и обычно генерируются при установке Active Directory |
| Организационное подразделение | Представляет ОП. Этот контейнерный объект служит для построения иерархии контейнеров, содержащих другие объекты |
| Пользователь | Представляет учетную запись пользователя. Объект содержит большое количество атрибутов, описывающих пользователя |
| Контакт | Представляет пользователя — не члена домена. Контакты используются для хранения в каталоге информации о внешних пользователях, не являются учетными записями и не позволяют пользователям регистрироваться в домене |
| Группа | Представляет группу пользователей и обычно используется для упрощения управления разрешениями и привилегиями |
| Компьютер | Представляет одиночный компьютер в локальной сети. Для компьютеров под управлением Windows NT, 2000 и более поздних версий Windows, является учетной записью компьютера. Объект содержит основные сведения о компьютере и позволяет управлять им |
| Контроллер домена | Представляет отдельный контроллер домена Windows. В оснастке Active Directory — пользователи и компьютеры контроллеры домена отображаются такими же значками, что и обычные компьютеры. Указанный значок используется для отображения контроллеров домена в оснастке Active Directory — сайты и службы . Позволяет управлять параметрами контроллера домена |
| Принтер | Представляет сетевой принтер. Объект является ссылкой на принтер, предоставленный в общий доступ. Объекты этого типа могут добавляться в каталог как вручную, так и автоматически. Ручное добавление возможно только для принтеров, подключенных к компьютерам под управлением более ранних версий, чем Windows 2000 |
| Общий ресурс | Представляет общую папку. Объект является ссылкой на общий сетевой ресурс и не содержит никаких данных |
| Параметры лицензирования | Представляет глобальные параметры лицензирования сайта. Позволяет централизованно управлять лицензиями на программные продукты и их репликацией в пределах сайта |
| Доменная политика | Представляет объект доменной политики. Позволяет настраивать параметры политики уровня домена |
| Политика контроллера домена | Представляет объект политики контроллера домена. Позволяет настраивать параметры политики для всех контроллеров домена |
| Групповая политика | Представляет произвольный объект групповой политики. Позволяет управлять параметрами политики для объектов того контейнера, к которому применена |
| Сайт | Представляет отдельный сайт Active Directory. Позволяет управлять его параметрами. Содержит ссылки на объекты контроллеров доменов, связи сайтов, параметры сайта |
| Соединение | Представляет соединение между контроллерами доменов в пределах сайта. Позволяет управлять топологией и параметрами репликации между контроллерами домена внутри сайта |
| Связь сайтов | Представляет отдельную связь между сайтами. Позволяет управлять топологией и параметрами межсайтовой репликации |
| Параметры сайта | Представляет объект конфигурации сайта или контроллера домена в сайте. Позволяет управлять параметрами репликации всего сайта или параметрами взаимодействия контроллера домена с сайтом |
| IP-сеть | Представляет отдельную подсеть, связанную с определенным сайтом. Позволяет указать границы IP-сети |
[newpage=Структура каталога и создаваемые по умолчанию объекты]
Управление каталогом Active Directory.
Для выполнения большинства задач по управлению доменом Active Directory используется консоль управления Active Directory - пользователи и компьютеры. Чтобы запустить ее, в меню Пуск -> Программы -> Администрирование щелкните Active Directory - пользователи и компьютеры.
Консоль управления Active Directory - пользователи и компьютеры позволяет управлять отдельным доменом Active Directory, для управления другим доменом вам придется выбрать его вручную.
Структура каталога и создаваемые по умолчанию объекты.
После установки первого контроллера домена Active Directory структура объектов домена должна выглядеть аналогично приведенной ниже. При установке контроллера дочернего домена или дополнительного контроллера домена структура может незначительно отличаться.
Полный список учетных записей и групп, создаваемых при установке Active Directory, приведен в таблице.
Имя | Тип | Контейнер | Описание |
Администраторы | Локальная группа домена | BuiltIn | Члены этой группы имеют полные, ничем не ограниченные права доступа к контроллеру домена, любому компьютеру в домене и до-мену в целом |
Гости | Локальная группа домена | BuiltIn | Члены этой группы по умолчанию имеют те же права, что и пользователи, за исключением учетной записи Гость , еще более ограниченной в правах |
Операторы архива | Локальная группа домена | BuiltIn | Члены этой группы могут перекрывать ограничения доступа только для копирования и восстановления файлов |
Операторы печати | Локальная группа домена | BuiltIn | Члены этой группы имеют права на администрирование принтеров домена |
Операторы сервера | Локальная группа домена | BuiltIn | Члены этой группы имеют права на администрирование серверов домена |
Операторы учета | Локальная группа домена | BuiltIn | Члены этой группы имеют права на администрирование учетных записей пользователей и групп в домене |
Пользователи | Локальная группа домена | BuiltIn | Члены этой группы имеют достаточно прав для работы на компьютерах домена, но не для изменение параметров системы. Они не могут запускать несертифицированные приложения |
Пред-Windows 2000 доступ | Локальная группа домена | BuiltIn | Группа для поддержки более ранних версий Windows, разрешающая доступ на чтение для всех пользователей и групп в этом домене |
Репликатор | Локальная группа домена | BuiltIn | Поддержка репликации файлов в домене |
Имя_контроллера_домена | Компьютер | Domain Controllers | Учетная запись компьютера - контроллера домена |
DnsAdmins | Локальная группа домена | Users | Члены этой группы могут администрировать службу DNS на компьютерах домена |
DnsUpdateProxy | Глобальная группа домена | Users | Члены этой группы (обычно DNS-клиенты) могут выполнять динамическое обновление по запросу других клиентов (например DHCP-серверов) |
IUSR_имя_сервера | Пользователь | Users | Встроенная учетная запись для анонимного доступа к IIS |
IWAM_имя_сервера | Пользователь | Users | Встроенная учетная запись для запуска сер-верных приложений IIS |
krbtgt | Пользователь | Users | Учетная запись службы KDC |
TsInternetUser | Пользователь | Users | Встроенная учетная запись, используемая службами терминалов (Terminal Services) |
Администратор | Пользователь | Users | Встроенная учетная запись администратора, имеющая неограниченные права |
Администраторы DHCP | Локальная группа домена Users | Users | Члены этой группы могут администрировать службу DHCP на компьютерах доменов системе даже после исключения ее из группы Администраторы |
Администраторы домена | Глобальная группа домена | Users | Члены этой группы являются администраторами домена |
Администраторы предприятия | Универсальная группа | Users | Члены этой группы являются администраторами леса Active Directory |
Администраторы схемы | Универсальная группа | Users | Члены этой группы могут изменять схему Active Directory |
Владельцы-создатели групповой политики | Глобальная группа домена | Users | Члены этой группы могут управлять групповой политикой домена |
Гости домена | Глобальная группа домена | Users | Члены этой группы являются "гостями" домена |
Гость | Пользователь | Users | Встроенная учетная запись для регистрации гостей в домене. Обычно пароль этой учетной записи известен большинству пользователей и она используется для регистрации в домене с минимальными правами. Однако из соображений безопасности после установки эта учетная запись отключена |
Издатели сертификатов | Глобальная группа домена | Users | Агенты обновления и сертификации предприятия |
Компьютеры домена | Глобальная группа домена | Users | Все рабочие станции и серверы присоединились к домену |
Контроллеры домена | Глобальная группа домена | Users | Все контроллеры домена |
Пользователи DHCP | Локальная группа домена | Users | Члены этой группы могут работать в режиме просмотра со службой DHCP |
Пользователи домена | Глобальная группа домена | Users | Все пользователи домена |
Серверы RAS и IAS | Локальная группа домена | Users | Серверы - члены этой группы могут получать доступ к параметрам удаленного доступа пользователей домена |
[newpage=Управление доменами - Свойства домена]
Управление доменами.
Домен является самым старшим объектом в иерархии объектов домена и в дереве консоли управления Active Directory - пользователи и компьютеры. Начинать настройку Active Directory рекомендуется с изменения параметров домена.
Свойства домена.
Чтобы просмотреть и изменить свойства домена, в дереве Консоли управления щелкните правой кнопкой мыши объект домена и в контекстном меню выберите Свойства.
На вкладке Общие отображается полное DNS-имя домена, а также его NetBIOS-имя. Так как оба имени задаются при установке Active Directory, изменить их нельзя.
В поле Описание можно указать произвольное описание домена. Обычно это область ответственности домена.
В поле Режим работы домена указывается режим работы домена. О том, как его изменить, - см. ниже.
На вкладке Управляется указывается пользователь, управляющий доменом.
На вкладке Групповая политика (Group Policy) вы можете управлять групповыми политиками уровня домена. Работа с ними будет рассмотрена позже.
[newpage=Управление доменами - Изменение режима работы домена]
Изменение режима работы домена.
Режимы работы домена
Домен, реализованный в Active Directory Windows Server 2003 может работать в четырех режимах: Windows 2000 Mixed (смешанный режим), Windows 2000 Native (основной режим), Windows Server 2003 Interim (промежуточный Windows Server 2003) и Windows Server 2003. После установки Active Directory всегда работает в смешанном режиме. Переключение в основной режим может потребоваться при необходимости использовать все новые возможности, заложенные в Active Directory.
Смешанный режим Windows 2000
Смешанный режим работы Active Directory позволяет использовать в домене контроллеры не только под управлением Windows Server 2003 / Windows 2000, но и под управлением Windows NT 3.51 или 4.0. В этом режиме контроллер под управлением Windows Server 2003 / Windows 2000 эмулирует главный контроллер домена, а контроллеры под управлением Windows NT являются резервными контроллерами домена. Домен, работающий в смешанном режиме, необходим любому клиенту, использующему службу каталога Windows NT и NTLM для аутентификации. Кроме того, для разрешения имен для таких клиентов на сервере должна быть установлена служба WINS. Выполнение этих функций создает дополнительную нагрузку на сервер Windows Server 2003.
Основной режим Windows 2000
Основной режим работы Active Directory позволяет использовать в домене контроллеры только под управлением Windows Server 2003 и Windows 2000. В этом режиме все контроллеры домена являются равноправными и изменения могут вноситься на любом из них. Для нормального функционирования домена не требуется служба WINS. Домен Windows Server 2003 / Windows 2000 в основном режиме нормально поддерживает работу любых Windows-клиентов (Windows 9x, NT, 2000, XP). Если вы используете в качестве контроллеров домена только серверы Windows Server 2003 и/или Windows 2000, рекомендуется перевести домен в основной режим - это значительно снизит нагрузку на контроллеры домена и добавит много новых возможностей по управлению доменом.
Промежуточный режим Windows Server 2003
Промежуточный режим работы Active Directory позволяет использовать в домене контроллеры под управлением Windows Server 2003 и Windows NT 4.0. В этом режиме, как и в смешанном, контроллер под управлением Windows Server 2003 эмулирует главный контроллер домена, а контроллеры под управлением Windows NT являются резервными контроллерами домена.
Режим Windows Server 2003
Режим работы Windows Server 2003 позволяет использовать в домене только контроллеры только под управлением семейства Windows Server 2003. При повышении режима работы домена до Windows Server 2003, становятся доступны дополнительные возможности Active Directory.
Переключение режима
Для переключения режима работы домена щелкните правой кнопкой мышки по имени домена в консоли Active Directory - домены и доверие и в контекстном меню выберите Изменение режима работы домена. В открывшемся окне отображается текущий режим работы домена. В поле со списком Выберите режим работы домена выберите необходимый режим и нажмите кнопку Изменить.
Для окончания операции переключения режима работы домена может потребоваться до 15 минут - все необходимые изменения должны быть реплицированы на все контроллеры домена.
Вы не обязаны переводить все домены в дереве в основной режим: часть доменов может работать в смешанном режиме. Однако наиболее полно возможности Active Directory будут реализованы, только если все домены дерева и леса будут работать в основном режиме.
Операция переключения режима работы домена является необратимой. Нельзя переключить домен в режим более низкого уровня (например, из основного режима в смешанный).
После повышения режима работы домена добавление контроллеров домена, работающих под управлением более ранних операционных систем, невозможно. Например, если повысить режим работы домена до Windows Server 2003, в этот домен нельзя будет добавить контроллеры домена, работающие под управлением Windows 2000 Server.
В следующей таблице описаны функциональные возможности доменов.
| Возможность режима домена | Смешанный режим Windows 2000 | Основной режим Windows 2000 | Windows Server 2003 |
Средство переименования контроллера домена | Отключено | Отключено | Включено |
Обновление штампа времени входа | Отключено | Отключено | Включено |
Пароль пользователя для объекта InetOrgPerson | Отключен | Отключен | Включен |
Универсальные группы | Включены для групп распространения. Отключены для групп безопасности. | Включены Включены для групп безопасности и распространения | Включены Включены для групп безопасности и распространения |
Вложенность групп | Включена для групп распространения. Отключена для групп безопасности кроме локальных групп безопасности домена, членами которых могут быть глобальные группы. | Включена Допускает полную вложенность групп. | Включена Допускает полную вложенность групп. |
Преобразование групп | Отключено Преобразование групп запрещено. | Включено Включено между группами безопасности и группами распространения. | Включено Включено между группами безопасности и группами распространения. |
Журнал SID | Отключен | Включен Включен для миграции участников безопасности из одного домена в другой. | Включен Включен для миграции участников безопасности из одного домена в другой. |
Режимы работы леса
Режим работы леса влияет на все домены данного леса. В Active Directory Windows Server 2003 доступны три режима работы леса: Windows 2000, Windows Server 2003 Interim (промежуточный Windows Server 2003) и Windows Server 2003. По умолчанию лес работает в режиме Windows 2000. Режим работы леса можно повысить до Windows Server 2003.
Особенности каждого из режимов работы леса аналогичны особенностям соответствующих режимов работы домена (см. выше).
Переключение режима
Для переключения режима работы леса щелкните правой кнопкой мышки на корне (вершине) дерева в консоли Active Directory - домены и доверие и в контекстном меню выберите Изменение режима работы леса. В открывшемся окне отображается текущий режим работы леса. В поле со списком Выберите режим работы леса выберите необходимый режим и нажмите кнопку Изменить.
Для окончания операции переключения режима работы леса может потребоваться до 15 минут - все необходимые изменения должны быть реплицированы на все контроллеры доменов леса.
В следующей таблице описаны функциональные возможности уровня леса.
| Возможность режима леса | Windows 2000 | Windows Server 2003 |
Улучшенная репликация глобального каталога | Включена, если оба партнера репликации работают под управлением Windows Server 2003. В противном случае отключена. | Включена |
Объекты схемы Defunct | Отключены | Включены |
Доверие лесов | Отключено | Включено |
Репликация связанного значения | Отключена | Включена |
Переименование доменов | Отключено | Включено |
Улучшенные алгоритмы репликации Active Directory | Отключены | Включены |
Динамические дополнительные классы. | Отключены | Включены |
Изменение класса объектов InetOrgPerson | Отключено | Включено |
[newpage=Управление доменами -Хозяева операций]
Хозяева операций.
Active Directory поддерживает репликацию хранилища данных каталога с несколькими хозяевами между всеми контроллерами домена. Некоторые изменения не рекомендуется выполнять в этом режиме, тем не менее только один контроллер домена, называемый хозяином операции, принимает запросы на такие изменения.
Так как роли хозяина операций могут перемещаться на другие контроллеры в составе домена или леса, их иногда называются FSMO (Flexible Single Master Operations). Некоторые роли должны быть в составе каждого леса, остальные - в каждом домене леса.
Лес Active Directory содержит пять ролей хозяина операций, назначаемых одному или нескольким контроллерам домена:
- хозяин схемы - управляет всеми изменениями схемы;
- хозяин именования доменов - управляет добавлением и удалением доменов;
- хозяин относительных идентификаторов (RID) - устанавливает относительные идентификаторы для каждого контроллера домена;
- эмулятор основного контроллера домена (PDC) - является главным контроллером домена с резервными контроллерами (BDC) под управлением Windows NT;
- хозяин инфраструктуры - распространяет изменения в группах на другие домены.
Данные роли должны быть уникальными в пределах каждого домена. Это означает, что в каждом домене в составе леса может быть только один хозяин относительных идентификаторов, один эмулятор основного контроллера домена и один хозяин инфраструктуры.
Чтобы просмотреть и изменить хозяев операций домена, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект домена правой кнопкой мыши и в контекстном меню выберите Хозяева операций.
Хозяин относительных идентификаторов
На вкладке RID вы можете указать, какой контроллер домена будет отвечать за размещение пулов относительных идентификаторов для других контроллеров домена.
Каждый раз при создании объекта пользователя, группы или компьютера контроллер домена назначает данному объекту уникальный идентификатор безопасности (SID). Он состоит из идентификатора безопасности домена (который одинаков для всех объектов, созданных в этом домене) и относительного идентификатора безопасности (RID), уникального для каждого созданного в домене объекта. Генерация новых относительных идентификаторов безопасности осуществляется хозяином относительных идентификаторов, что гарантирует их уникальность.
Передачу роли хозяина относительных идентификаторов другому компьютеру необходимо выполнять с того контроллера, который должен стать новым хозяином относительных идентификаторов. На вкладке RID окна хозяев операций домена щелкните кнопку Изменить. После репликации необходимых изменений на другие контроллеры домена роль хозяина относительных идентификаторов будет выполнять указанный контроллер.
Эмулятор основного контроллера домена
На вкладке PDC вы можете указать, какой контроллер домена будет эмулировать функции главного контроллера домена.
Если в домене есть компьютеры без установленного клиентского ПО Windows 2000 или резервные контроллеры домена Windows NT, эмулятор основного контроллера домена работает как основной контроллер домена Windows NT. Он обрабатывает изменения паролей от клиентов и реплицирует обновления на резервные контроллеры домена.
При работе домена Windows Server 2003 в основном режиме эмулятор основного контроллера получает преимущественную репликацию изменений пароля, выполненных другими контроллерами в данном домене. При изменении пароля репликация этих изменений на каждый контроллер домена занимает некоторое время. Если проверка подлинности при входе в сеть заканчивается неудачно из-за неверно введенного пароля на одном контроллере домена, прежде чем отказать в доступе, он пересылает запрос на проверку подлинности на эмулятор основного контроллера домена.
Передачу роли эмулятора основного контроллера домена другому компьютеру необходимо выполнять с того контроллера, который должен стать новым эмулятором основного контроллера. На вкладке PDC окна хозяев операций домена щелкните кнопку Изменить.
Хозяин инфраструктуры
На вкладке Инфраструктура вы можете указать, какой контроллер домена будет осуществлять согласование объектов домена. Хозяин инфраструктуры отвечает за обновление ссылок "группа - пользователь" при переименовании или изменении членов группы.
При переименовании или перемещении члена группы (и его размещении в другом домене, отличном от домена этой группы) он может временно не отображаться в группе. Хозяин инфраструктуры домена, содержащего данную группу, отвечает за обновление группы и обладает сведениями об имени и расположении данного члена. Хозяин инфраструктуры распространяет обновленные сведения с помощью репликации с несколькими хозяевами.
Безопасность не подвергается риску в период между переименованием члена группы и ее обновлением. Только администратор, просматривающий участие в отдельной группе, может заметить временное несоответствие.
Передачу роли хозяина инфраструктуры другому компьютеру необходимо выполнять с того контроллера, который должен стать новым хозяином инфраструктуры. На вкладке Инфраструктура окна хозяев операций домена щелкните кнопку Изменить. После репликации необходимых изменений на другие контроллеры домена роль хозяина инфраструктуры будет выполнять указанный контроллер.
Хозяин схемы
Роль хозяина схемы присваивается первому контроллеру домена в первом домене леса. Лес может иметь только одного хозяина схемы. Модификация схемы может осуществляться только с контроллера - хозяина схемы.
Для передачи роли хозяина схемы другому контроллеру откройте оснастку Active Directory Schema, щелкните правой кнопкой мышки на Active Directory Schema в дереве консоли и выберите в контекстном меню Change Domain Controller (Изменить контроллер домена). Из списка контроллеров выберите тот, которому вы хотите передать роль хозяина схемы. Затем щелкните правой кнопкой мышки на Active Directory Schema в дереве консоли и выберите в контекстном меню Operations Master (Хозяин операций). Нажмите кнопки Change и OK.
Хозяин именования доменов
Так как хозяин именования доменов управляет добавлением и удалением доменов, он создается на первом домене и эта роль остается у него независимо от масштабов леса. Только один сервер леса выполняет роль именования доменов.
Для передачи роли хозяина именования доменов откройте консоль Active Directory - домены и доверия из меню Администрирование. Щелкните правой кнопкой мышки на Active Directory Domains and Trusts и выберите в контекстном меню Подключение к контроллеру домена. Из списка контроллеров выберите тот, которому вы хотите передать роль хозяина именования доменов и нажмите кнопку OK.
Затем снова щелкните правой кнопкой мышки на Active Directory Domains and Trusts и выберите в контекстном меню Хозяин операций. В открывшемся окне нажмите кнопку Изменить и укажите контроллер, которому вы передаете роль хозяина именования доменов.
[newpage=Управление доменами - Приемы]
Подключение к домену.
При работе с несколькими доменами очень часто возникает необходимость перейти от администрирования одного домена к администрированию другого. К сожалению, инструменты управления Active Directory не предоставляют возможность просмотра всего пространства имен каталога Active Directory в единой консоли управления. Поэтому при работе в консоли Active Directory - пользователи и компьютеры вы можете переключиться на управление другим доменом.
Чтобы управлять объектами другого домена, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект домена правой кнопкой мыши и в контекстном меню выберите Подключение к домену.
В появившемся окне поле Домен вы можете ввести полное DNS-имя интересующего вас домена или найти его, щелкнув кнопку Обзор .
Если вы установите флажок Сохранить этот параметр домена для этой консоли, то при следующем запуске консоли управления автоматически будет осуществлено подключение к указанному домену. В противном случае при запуске консоли подключение осуществляется к тому домену, в котором вы зарегистрировались при входе в систему.
Подключение к контроллеру домена.
При наличии нескольких контроллеров домена вы можете вносить изменения на любом из них - все изменения автоматически реплицируются на остальные контроллеры. Однако иногда нужно внести изменения на определенном контроллере домена, допустим, при:
- изменении хозяев операций (см. выше);
- размещении контроллера домена в другом сайте (репликация между такими контроллерами осуществляется медленнее);
- невозможности внесения изменений на один из контроллеров домена по причине программных сбоев.
Чтобы управлять объектами домена на определенном контроллере домена, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект домена правой кнопкой мыши и в контекстном меню выберите Подключение к контроллеру домена.
В появившемся окне вы можете видеть текущий администрируемый домен и текущий контроллер домена. Вы можете ввести полное DNS-имя контроллера домена в поле Выберите имя другого контроллера домена или выбрать интересующий контроллер домена из списка доступных контроллеров. Обратите внимание, что в списке есть пункт Любой контроллер домена с возможностью записи, который позволяет подключиться к наименее загруженному контроллеру домена, на котором разрешена запись. В списке доступных контроллеров также указывается сайт, в котором расположен этот контроллер. Это позволит вам выбрать контроллер согласно его местоположению.
В отличие от подключения к домену, параметры подключения к контроллеру домена не сохраняются в консоли управления. При следующем запуске консоли управления будет осуществлено подключение к любому контроллеру домена с возможностью записи.
Переименование контроллера домена.
В домене под управлением Windows 2000, чтобы переименовать контроллер домена, необходимо было выполнить три операции (понижение роли контроллера домена, переименование компьютера, повышение роли контроллера домена), каждая из которых заканчивалась перезагрузкой сервера. Windows Server 2003 позволяет выполнить этот процесс всего с одной перезагрузкой, значительно упростив работу администратора.
Для переименования контроллера домена необходимо, чтобы все контроллеры домена были серверами Windows Server 2003 (режим работы домена Windows Server 2003).
Чтобы переименовать контроллер домена войдите на контроллер с правами администратора, откройте окно командной строки и выполните следующие команды:
- netdom computername <текущее_имя> /add:<новое_имя> (добавление нового имени машины с контроллером домена);
- netdom computername <текущее_имя> /makeprimary:<новое_имя> (установка нового имени в качестве первичного имени);
- перезагрузите компьютер;
- netdom computername <новое_имя> /remove:<текущее_имя> (удаление исходного имени).
Для распространения по сети сделанного вами изменения потребуется некоторое время, зависящее от конфигурации вашей сети.
Переименование домена.
В Active Directory Windows Server 2003 появилась совершенно новая возможность - переименование всего домена с реструктурированием леса. В качестве инструмента используются две утилиты Rendom.exe и Gpfixup.exe, находящиеся на дистрибутивном компакт-диске Windows Server 2003 в папке valueadd\msft\mgmt\domren. Документацию по этим средствам и полную инструкцию по переименованию доменов можно получить по адресу: http://www.microsoft.com/windows2000/downloads/tools/domainrename.
[newpage=Управление ОП - Управление пользователями]
Управление ОП.
Организационные подразделения являются средством для построения иерархии объектов в домене Active Directory. Это единственный контейнерный объект, который вы можете создавать в домене.
Создание ОП
Чтобы создать новое ОП, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект домена правой кнопкой мыши или родительского подразделения и в контекстном меню выберите Создать -> Подразделение.
В появившемся окне достаточно ввести имя нового подразделения и щелкнуть кнопку OK.
Свойства ОП
Чтобы просмотреть и изменить свойства ОП, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните нужный объект подразделения правой кнопкой мыши и в контекстном меню выберите Свойства.
На вкладке Общие вы можете изменить ряд описывающих ОП атрибутов.
В поле Описание вы можете ввести произвольное описание, характеризующее деятельность подразделения, в поле Улица - полный адрес офиса (улица, дом, корпус, строение и т. п.), где располагается подразделение. В поля Город, Область, Почтовый индекс и Страна вводятся соответствующие части адреса подразделения. Заполнение этих полей имеет смысл только в том случае, если подразделения организации размещены в нескольких офисах и/или на большой территории - эта информация должна помочь пользователям локальной сети найти сотрудников подразделения.
На вкладке Управляется указывается пользователь, управляющий ОП.
На вкладке Групповая политика (Group Policy) вы можете управлять групповыми политиками уровня подразделения. Работа с ними будет рассмотрена позднее.
Управление пользователями.
Учетная запись пользователя является одним из основных объектов системы безопасности. В отличие от Windows NT, где учетные записи пользователей обладали только свойствами, необходимыми для регистрации и работы пользователя в системе, в Active Directory объект пользователя предназначен для хранения любой информации, связанной с пользователем.
[newpage=Управление ОП - Создание учетной записи]
Создание учетной записи.
Чтобы создать новую учетную запись пользователя, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект родительского контейнера (ОП или один из системных контейнеров) правой кнопкой мыши в контекстном меню выберите Создать -> Пользователь. Также контекстное меню можно вызвать, выбрав интересующий объект в дереве и щелкнув правой кнопкой мыши пустое место в списке объектов слева. Запустится соответствующий мастер.
На первом шаге мастера введите основные сведения о пользователе.
Обязательно заполните поля Полное имя, Имя входа пользователя и Имя входа пользователя (пред-Windows 2000). Кроме того, рекомендуется заполнить поля Имя, Инициалы и Фамилия. Значения этих полей отображаются только в свойствах пользователя, однако могут быть полезны при поиске пользователя в каталоге. Также на основании информации, введенной в эти поля, генерируется значение поля Полное имя.
При указании имени, которое будет использоваться для входа в систему, вы можете выбрать в раскрывающемся списке один из доступных доменов. Это имя может быть использовано пользователем для входа, помимо образуемого из имени его учетной записи и имени домена, в котором она создана.
На следующем шаге вы можете задать пароль пользователя и ряд параметров его учетной записи.
- Потребовать смену пароля при следующем входе в систему - при установке этого флажка после первой регистрации в системе Windows сразу предложить пользователю изменить его пароль. Такой вариант удобен при задании начального пароля пользователя. Если помечен этот флажок, вы не сможете установить два следующих флажка.
- Запретить смену пароля пользователем - при установке этого флажка пользователь не может самостоятельно изменить свой пароль. Сделать это может только администратор. Обычно этот флажок устанавливается для учетных записей пользователей, которые все равно не будут иметь возможности изменить пароль, например, для учетных записей, используемых для запуска служб.
- Срок действия пароля не ограничен - при установке этого флажка не действует ограничение, накладываемое любой политикой безопасности на срок действия пароля пользователя. Обычно этот флажок устанавливается для учетных записей пользователей, которые все равно не будут иметь возможности изменить пароль, например, для учетных записей, используемых для запуска служб.
- Отключить учетную запись - при установке этого флажка учетная запись не может использоваться для входа пользователя в систему.
На следующем шаге мастера выводятся сводные данные о создаваемой учетной записи.
Если вы хотите изменить какие-либо параметры новой учетной записи, щелкните кнопку Назад. По щелчку кнопки Готово учетная запись будет создана в выбранном вами контейнере.
[newpage=Управление ОП - Изменение свойств учетной записи]
Изменение свойств учетной записи.
Чтобы просмотреть и изменить свойства учетной записи пользователя, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните нужный объект пользователя правой кнопкой мыши и в контекстном меню выберите Свойства.
На вкладке Общие вы можете просмотреть и изменить основные атрибуты пользователя.
Поля Имя, Инициалы и Фамилия соответствуют полям, заполненным при создании учетной записи. Поле Выводимое имя по умолчанию соответствует полному имени. В нем указывается имя в том виде, в каком оно будет выводиться в различных списках. В поле Описание вы можете ввести произвольное описание учетной записи пользователя. В поле Комната можно указать комнату, в которой работает пользователь.
В поля Номер телефона, Электронная почта и Веб-страница введите контактную информацию пользователя. Обычно на этой вкладке указывается рабочая контактная информация, о том, как указать личные контактные сведения, см. ниже. Если вы хотите указать более одного номера телефона или более одной Web-страницы, щелкните кнопку Другой рядом с соответствующим полем. В появившемся окне вы можете ввести любое количество телефонов или адресов.
Если вы используете Microsoft Exchange Server 2000 в администрируемом домене, то не изменяйте значение поля Электронная почта у пользователей, имеющих почтовые ящики на Exchange-сервере - значение этого поля устанавливается Exchange-сервером автоматически.
На вкладке Адрес вы можете указать домашний (или любой другой) адрес пользователя. Имейте в виду, что данные адреса пользователя являются публичной информацией и доступны при просмотре каталога Active Directory.
На вкладке Учетная запись вы можете настроить различные параметры учетной записи пользователя. Как и при создании учетной записи пользователя, вы можете изменить Имя входа пользователя и выбрать домен, который будет использован для построения полного имени пользователя.
Кроме того, вы можете ограничить Срок действия учетной записи, установив переключатель в положение Истекает и указав желаемую дату. Учетная запись будет действовать до 23:59:59 указанного дня включительно.
Все параметры учетной записи собраны в отдельный список. Для включения одного из параметров вы должны установить флажок рядом с его названием. Рассмотрим некоторые параметры учетной записи подробнее.
- Требовать смену пароля при следующем входе в систему - действие этого параметра было рассмотрено в ранее.
- Запретить смену пароля пользователем - действие этого параметра было рассмотрено в ранее.
- Срок действия пароля не ограничен - действие этого параметра было рассмотрено в ранее.
- Хранить пароль, используя обратимое шифрование - обычно Windows Server 2003 хранит пароли, используя необратимую хэш-функцию, что не позволяет никому получить пароль пользователя в незашифрованном виде. Если учетная запись пользователя не является важной, вы можете хранить пароль, используя обратимый алгоритм шифрования, что позволяет легко получить пароль пользователя в незашифрованном виде. Использование этого параметра не рекомендуется из соображений безопасности. Этот флажок не может быть установлен для учетной записи администратора.
- Отключить учетную запись - действие этого параметра было рассмотрено в ранее.
- Для интерактивного входа в систему нужна смарт-карта - указывает, что пользователь может войти в систему только с использованием смарт-карты. Все остальные способы регистрации в системе для этого пользователя будут недоступны.
- Учетная запись доверена для делегирования - учетная запись может использоваться службами сервера для представления пользователя при доступе к различным ресурсам сети.
- Учетная запись важна и не может быть делегирована - учетная запись не может использоваться для делегирования. Обычно этот флажок установлен у учетной записи администратора, т. к. его учетная запись обладает слишком широкими полномочиями.
- Применять DES-шифрование для этой учетной записи - для хранения пароля учетной записи используется алгоритм DES вместо необратимой хэш-функции. Обычно устанавливается при использовании обратимого шифрования.
- Без предварительной проверки подлинности Kerberos - при использовании учетной записи не осуществляется проверка подлинности пользователя при помощи протокола Kerberos. Этот флажок следует устанавливать, только если ОС не поддерживает протокол Kerberos. Для ОС семейства Windows этот флажок устанавливать не требуется.
Кроме этих параметров вы можете задать часы, в которые пользователю разрешен вход в систему. Для этого щелкните кнопку Время входа. В появившемся окне можно указать, в какие дни и часы пользователю разрешен вход в систему.
Чтобы разрешить или запретить вход в определенные дни и часы, выделите интересующую вас прямоугольную область ячеек и установите переключатель Вход разрешен/Вход запрещен в нужное положение. При настройке сложного графика входа пользователя может потребоваться неоднократное выполнение этой операции. После настройки времени входа щелкните кнопку ОК.
При использовании в локальной сети протокола NetBIOS вы можете ограничить набор рабочих станций, с которых пользователь может регистрироваться в домене. Для этого щелкните кнопку Вход на.
Чтобы ограничить компьютеры, на которые может входить пользователь, установите переключатель в положение только на указанные компьютеры, введите в поле Имя компьютера NetBIOS-имя компьютера и щелкните кнопку Добавить. Повторите эту операцию, чтобы добавить все необходимые компьютеры. Вы также можете удалить компьютер из списка, выбрав его и щелкнув кнопку Удалить. Если вы хотите разрешить пользователю вход на все компьютеры, установите переключатель в положение на все компьютеры.
Ограничение компьютеров, с которых пользователю разрешен вход в систему, действует только для NetBIOS-клиентов при условии установки этого протокола на контроллере домена. Компьютеры, использующие только протокол TCP/IP, не попадают под это ограничение.
На вкладке Профиль вы можете настроить параметры профиля пользователя. В папке профиля пользователя (%homedrive%\Documents and Settings ) сохраняются его личные файлы, персонифицированные файлы приложений, временные файлы пользователя, его рабочий стол и сетевое окружение, данные системного реестра.
Windows Server 2003 поддерживает три типа профилей:
- Локальный профиль - создается на основе стандартного профиля пользователя при первом входе в систему и хранится в указанной выше папке.
- Перемещаемый профиль - создается путем преобразования локального профиля и хранится в папке на сервере; копируется в локальную папку при входе пользователя в систему и обратно при выходе.
- Обязательный профиль - создается путем преобразования перемещаемого профиля и хранится в папке на сервере, как и перемещаемый; копируется в локальную папку при входе пользователя в систему, но не копируется обратно при выходе.
Указав в поле Путь к профилю сетевой путь к перемещаемому или обязательному профилю, вы укажете Windows копировать профиль из указанной папки, а не создавать его на основании стандартного профиля пользователя.
В поле Сценарий входа вы можете указать имя командного файла, содержащего сценарий, выполняемый при каждом входе пользователя в систему. Сценарии должны располагаться в папке {ХХХХХХХХХХХХ}, которая доступна по сети под именем NETLOGON .
Вы также можете указать домашнюю папку пользователя, которая может быть как локальной (полный путь задается в поле Локальный путь), так и сетевой (вы задаете букву диска и полный сетевой путь в поле Подключить). Если ни один из этих параметров не указан, то домашней папкой считается папка его локального профиля (%homedrive%\Documents and Settings\%username% или %userprofile%). При задании сетевого пути к домашней папке Windows 2000 проверяет ее наличие. Если папки нет, она будет создана по щелчку кнопки ОК или Применить. На создаваемую домашнюю папку пользователя устанавливаются следующие разрешения:
- отменяется наследование разрешений от родительской папки;
- группа Администраторы получает разрешение Полный доступ;
- пользователь получает разрешение Полный доступ.
Если домашняя папка уже существует, Windows Server 2003 проверяет, чтобы у пользователя был к ней Полный доступ. При необходимости это разрешение добавляется.
На вкладке Телефоны вы можете указать номера других телефонов пользователя. Кроме того, на этой вкладке в поле Заметки вы можете ввести произвольные сведения относительно пользователя.
На вкладке Организация вы можете указать сведения о должности пользователя. Для этого заполните поля Должность, Отдел и Организация.
Вы также можете указать непосредственного руководителя пользователя - для этого в группе элементов Руководитель щелкните кнопку Изменить и выберите в каталоге нужного пользователя. При помощи кнопки Показать вы сможете просмотреть свойства руководителя, а при помощи кнопки Очистить убрать информацию о руководителе.
На основании информации о руководителях Windows Server 2003 автоматически строит список Прямые подчиненные для пользователя. Свойства конкретного подчиненного пользователя можно просмотреть при помощи двойного щелчка его имени в списке.
На вкладке Член групп вы можете управлять членством пользователя в группах. Обычно группы используются для более удобного управления разрешениями и привилегиями пользователей. Как правило, все пользователи входят в группу Пользователи домена (в домене Windows Server 2003) или в группу Пользователи (на рабочих станциях). Это обеспечивает им базовые права, например возможность входить в домен с рабочих станций.
Чтобы добавить пользователя в одну или несколько групп, щелкните кнопку Добавить. В появившемся окне выберите или введите имена нужных групп и щелкните кнопку ОК. Чтобы удалить группу из списка, выберите ее в списке и щелкните кнопку Удалить . Для просмотра свойств группы дважды щелкните ее имя.
Для совместимости с не-Windows клиентами может потребоваться указать основную группу пользователя. Это требуется для нормальной работы клиентов, не поддерживающих членство пользователей в нескольких группах, к таким клиентам относятся компьютеры под управлением UNIX, Mac OS и т. п. Для указания основной группы пользователя выберите ее в списке и щелкните кнопку Задать основную группу.
Для нормального функционирования сетевых клиентов Windows задание основной группы не требуется. Тем не менее не рекомендуется изменять основную группу пользователя, если это не требуется для обеспечения взаимодействия с клиентами POSIX и Macintosh.
На вкладке Входящие звонки вы можете задать параметры удаленного доступа для пользователя. Они действуют при организации удаленного доступа средствами Windows Server 2003.
Вы можете глобально разрешить или запретить пользователю использование удаленного доступа к домену посредством модема или виртуальной частной сети (Virtual Private Network, VPN). Для этого установите переключатель в положение Разрешить доступ или Запретить доступ. Несмотря на возможность непосредственно управлять удаленным доступом пользователя, рекомендуется установить переключатель в положение Управление на основе политики удаленного доступа и осуществлять управление удаленным доступом посредством групповых политик.
При организации удаленного доступа через модем сервер удаленного доступа Windows Server 2003 может осуществлять обратный звонок для экономии средств пользователей. Вы можете выбрать один из вариантов организации ответного вызова сервера.
- Ответный вызов не выполняется - клиент самостоятельно устанавливает связь с сервером удаленного доступа.
- Устанавливается вызывающим - сервер удаленного доступа определяет номер телефона, с которого осуществляется вызов, и автоматически осуществляет звонок по этому номеру. Для работы этого режима модем и его драйвер должны поддерживать функцию автоматического определения номера вызывающего абонента (АОН). Кроме того, эта функция может быть реализована только средствами службы маршрутизации и удаленного доступа Windows Server 2003.
- Всегда по этому номеру - сервер удаленного доступа не определяет номер телефона, с которого идет вызов, а осуществляет звонок по фиксированному номеру. Этот режим требует указания номера телефона каждого пользователя и не совсем удобен для мобильных пользователей.
Кроме того, вы можете настроить некоторые параметры TCP/IP для удаленных соединений, осуществляемых пользователем. К ним относятся статический IP-адрес, указываемый в поле Статический IP-адрес пользователя и статическая таблица маршрутизации, которая может быть включена установкой флажка Использовать статическую маршрутизацию. Статические маршруты могут быть определены по щелчку кнопки Статические маршруты.
На вкладке Среда вы можете настроить ряд индивидуальных параметров пользователя для терминального режима.
Установив флажок При входе в систему запускать следующую программу, вы сможете указать полный путь к файлу запускаемой программы в поле Имя файла программы и ее рабочую папку в поле Рабочая папка. Эта программа будет запускаться каждый раз при входе пользователя на сервер в терминальном режиме, но не будет запускаться при обычном входе.
Кроме того, вы можете настроить индивидуальные параметры подключения устройств клиента. Установив флажок Подключение дисков клиента при входе, вы укажете серверу терминалов, что при каждом входе пользователя в терминальном режиме необходимо подключить локальные диски его компьютера, чтобы они могли использоваться во время терминальной сессии. Установив флажок Подключение принтеров клиента при входе, вы укажете серверу терминалов, что при каждом входе пользователя в терминальном режиме необходимо подключить все локальные принтеры пользователя, чтобы они могли использоваться во время терминальной сессии. Подключение осуществляется только для принтеров, предоставленных в совместное использование. Установив флажок По умолчанию выбрать основной принтер клиента, вы укажете серверу терминалов, что в качестве принтера по умолчанию должен быть установлен тот же принтер, что и на компьютере клиента. Принтер по умолчанию не изменяется, если не удалось подключить другой.
На вкладке Сеансы вы можете настроить индивидуальные параметры пользователя для терминального режима. Эти параметры позволяют эффективнее использовать ресурсы сервера, отключая ненужные сеансы пользователей.
Параметр Завершение отключенного сеанса отвечает за время, через которое сервер принудительно завершит отключенный сеанс пользователя. Отключенные сеансы появляются в результате сбоев связи или некорректного завершения сеанса пользователем. Параметры Ограничение активного сеанса и Ограничение бездействующего сеанса ограничивают время активной работы пользователя в терминальном режиме. Первый параметр ограничивает продолжительность любого сеанса пользователя, второй - время, в течение которого пользователь может не выполнять никаких действий. По истечении отведенного времени предпринимается действие, устанавливаемое переключателем При превышении ограничений или разрыве подключения. При выборе варианта Отключить сеанс остается возможность повторно подключиться к серверу и продолжить работу в своем сеансе, при выборе Завершить сеанс - сервер завершает сеанс пользователя.
Переключатель Разрешать переподключение определяет, с каких компьютеров пользователь может подключиться к своему отключенному сеансу. При выборе варианта От любого клиента пользователь может подключиться к своей сессии с любого компьютера, при выборе Только от прежнего клиента - только с того компьютера, с которого сеанс был отключен.
На вкладке Удаленное управление вы можете настроить параметры управления сеансом одного пользователя другим пользователем. Параметры, устанавливаемые на этой вкладке, действуют только на терминальные сессии пользователя.
Чтобы разрешить подключение к сессии пользователя, установите флажок Разрешить удаленное управление. Если вы хотите, чтобы пользователь мог принять решение относительно подключения к его сеансу, установите флажок Запрашивать разрешение пользователя - при попытке подключения к сеансу пользователь получит уведомление об этом и сможет отклонить попытку подключения.
Вы также можете настроить уровень управления сеансом пользователя. Установка переключателя в положение Только наблюдение за сеансом пользователя позволит осуществлять наблюдение за действиями пользователя, но не позволит выполнять какие-либо действия в рамках его сеанса. Установка переключателя в положение Взаимодействие с этим сеансом позволит не только наблюдать, но и активно вмешиваться в действия пользователя.
На вкладке Профиль служб терминалов вы можете настроить параметры профиля пользователя, используемые в терминальном режиме. Эти параметры аналогичны параметрам на вкладке Профиль и замещают их при работе пользователя в терминальном режиме.
Кроме того, при помощи флажка Разрешить вход на сервер терминалов вы можете запретить или разрешить пользователю вход и работу на сервере терминалов.
Окно свойств пользователя может содержать дополнительные вкладки, добавляемые различными программными продуктами, ориентированными на Active Directory. Например, Microsoft Exchange Server 2000 добавляет к свойствам пользователя еще четыре вкладки, предназначенные для управления параметрами почтового ящика пользователя.
[newpage=Управление ОП - Копирование учетных записей]
Копирование учетных записей.
Чтобы скопировать учетную запись пользователя, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните нужную учетную запись правой кнопкой мыши и в контекстном меню выберите Копировать.
При копировании учетной записи пользователя заполните те же поля, что и при создании новой учетной записи. Мастер копирования пользователя внешне очень похож на мастер создания нового пользователя.
Основное отличие операции копирования учетной записи от создания новой в том, что значения многих параметров новой учетной записи не задаются по умолчанию, а копируются из исходной записи. Это позволяет использовать некоторые учетные записи в качестве шаблонов при создании новых.
Использование шаблонов.
Функция копирования учетных записей предоставляет широкие возможности по созданию учетных записей на основе шаблонов. Шаблоны удобны при необходимости создавать однотипные учетные записи, наделенные равными полномочиями.
В общем создание учетных записей на основе шаблонов выглядит следующим образом:
- Создайте учетную запись, которая будет использоваться в качестве шаблона. Удобно, когда имя учетной записи начинается с символов _ (подчерк) или !, чтобы при просмотре списка учетных записей шаблоны размещались в самом начале списка. В качестве пароля учетной записи можете задать любую комбинацию символов - эта учетная запись не будет использоваться для входа в систему и будет отключена.
- Настройте параметры учетной записи на вкладках Учетная запись, Профиль, Организация, Член групп, Входящие звонки, Среда, Сеансы, Удаленное управление, Профиль служб терминалов - эти значения не изменяются при копировании учетных записей. При задании путей к домашним папкам используйте переменные среды, например %USERNAME%, - при копировании учетной записи Windows Server 2003 подставляет вместо переменных их реальные значения.
- В поле Описание на вкладке Общие укажите, что учетная запись является шаблоном.
- Отключите полученную учетную запись, чтобы она не могла использоваться для взлома системы.
- Для создания учетной записи на основе шаблона скопируйте учетную запись, используемую в качестве шаблона. В мастере копирования учетной записи заполните все необходимые поля. Не забудьте снять флажок Отключить учетную запись, если это необходимо.
- При необходимости внесите изменения в параметры полученной учетной записи.
Смена пароля пользователя.
Очень часто пользователи домена забывают свои пароли, однако система безопасности Windows Server 2003 построена таким образом, что никто, даже администратор, не может узнать пароль пользователя. Кроме того, очень часто требуется смена паролей пользователей из соображений безопасности, например, после попытки несанкционированного проникновения в сеть. Во всех этих случаях требуется смена пароля. Большинство клиентов позволяют пользователю самостоятельно изменить свой пароль, но необходимо соблюдение следующих условий:
- пользователь должен зарегистрироваться в домене;
- пользователь должен знать свой предыдущий пароль.
Далеко не всегда эти условия могут быть соблюдены, поэтому администраторы домена Windows Server 2003 могут изменять пароль пользователя, не зная старый пароль.
Чтобы изменить пароль пользователя, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните нужный объект пользователя правой кнопкой мыши и в контекстном меню выберите Смена пароля.
В появившемся окне дважды введите новый пароль пользователя. Установив флажок Требовать смену пароля при следующем входе в систему, вы обяжете пользователя установить новый пароль при очередном входе в систему.
Включение/отключение учетной записи.
Для включения или отключения учетной записи совсем необязательно открывать окно ее свойств и устанавливать или сбрасывать соответствующий флажок на вкладке Учетная запись. В дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект пользователя правой кнопкой мыши и в контекстном меню выберите Отключить учетную запись или Включить учетную запись (в зависимости от ее текущего состояния).
Добавление пользователя в группу.
Для включения отдельного пользователя (или нескольких пользователей) в группу совсем необязательно открывать окно свойств пользователя и добавлять пользователя в нужные группы на вкладке Член групп. В дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект пользователя правой кнопки мыши и в контекстном меню выберите Добавить участников в группу. В появившемся окне укажите группу, в которую должен быть добавлен пользователь (пользователи).
[newpage=Управление ОП - Управление контактами]
Управление контактами.
Контакт во многом похож на учетную запись пользователя, однако предназначен только для хранения информации о пользователях, которым не требуется регистрация в домене. Контакты создаются для удобства других пользователей, т. к. позволяют им получать всю необходимую информацию из каталога Active Directory и не требуют ведения личных адресных книг. Ключевым отличием контакта от пользователя является невозможность регистрации в домене.
Создание контакта.
Чтобы создать новый контакт, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект родительского контейнера (ОП или один из системных контейнеров) правой кнопкой мыши и в контекстном меню выберите Создать -> Контакт. Также можно выбрать в дереве интересующий объект и щелкнуть правой кнопкой мыши пустое место в списке объектов слева.
В появившемся окне заполните поля Имя, Инициалы, Фамилия и Полное имя по аналогии с полями учетной записи пользователя. Других сведений для создания контакта не требуется.
Изменение свойств контакта.
Чтобы просмотреть и изменить свойства контакта, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните нужный объект контакта правой кнопкой мыши и в контекстном меню выберите Свойства.
Вкладки Общие, Адрес, Телефоны и Организация идентичны вкладкам учетной записи пользователя.
На вкладке Член групп вы можете по аналогии с учетными записями пользователей указывать, членом каких групп является контакт.
Возможность членства в группах не дает контакту никаких прав в рамках домена Windows Server 2003 и предназначена для более удобной организации групп рассылки. Эта возможность становится востребованной после установки Microsoft Exchange Server 2000 или другого почтового сервера, использующего каталог Active Directory. По этой же причине у контактов отсутствует возможность указать основную группу - это не требуется для функционирования групп рассылки.
Добавление контакта в группу.
Для включения отдельного контакта (или нескольких контактов) в группу совсем необязательно открывать окно свойств контакта и добавлять его в нужные группы на вкладке Член групп. В дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект контакта правой кнопки мыши и в контекстном меню выберите Добавить участников в группу. В появившемся окне укажите группу, в которую должен быть добавлен контакт (контакты).
[newpage=Управление ОП - Управление группами.]
Управление группами.
Группы предназначены для упрощения администрирования ресурсов домена. Используя группы, можно назначать разрешения, привилегии и другие права доступа группам, а для предоставления аналогичных прав пользователям включать их в соответствующие группы. Кроме того, Windows Server 2003 поддерживает не только группы безопасности, но и группы рассылки, которые могут использоваться почтовыми серверами.
Типы и области действия групп.
Windows Server 2003 поддерживает не только группы безопасности, но и группы рассылки, которые не предназначены для использования системой безопасности, а служат для объединения пользователей и контактов в группы, облегчающие коллективную рассылку сообщений.
По аналогии с Windows 2000, Windows Server 2003 поддерживает несколько типов групп, различающихся по области действия и видимости.
Тип группы | Область действия | Правила использования |
Локальная | Компьютер -член домена, не контроллер домена | Используются для разграничения доступа к ресурсам, расположенным на компьютерах домена. Могут быть включены только в локальные группы на том же компьютере. В локальные группы могут быть включены пользователи, но не группы домена |
Локальная в домене | Домен Active Directory | Используются для разграничения доступа к ресурсам в рамках домена и недоступны из других доменов. В локальные группы могут включаться локальные, глобальные и универсальные группы домена |
Глобальная | Дерево доменов Active Directory | Используются для разграничения доступа к ресурсам в рамках доменов, объединенных доверительными отношениями (в Windows Server 2003 - в рамках дерева доменов) и доступны из всех доменов дерева. В глобальные группы могут включаться только глобальные группы и учетные записи из того же домена |
Универсальная | Лес Active Directory | Впервые появились в Windows 2000 и предназначены для разграничения доступа в рамках всего леса Active Directory. Доступны в любом домене леса, могут включаться в любые группы домена. В универсальные группы могут включаться глобальные и универсальные группы домена. Для использования универсальных групп домен должен быть переведен в основной режим |
Влияние типа и области действия группы на производительность сети.
При входе пользователя в сеть Windows Server 2003, контроллер домена определяет, каким группам принадлежит данный пользователь. Windows Server 2003 создает маркер доступа и назначает его пользователю. Маркер доступа содержит идентификатор безопасности учетной записи пользователя и идентификаторы безопасности всех групп безопасности, к которым принадлежит данный пользователь. Участие в группах может оказывать влияние на:
- вход в систему;
- репликацию групп с универсальной областью действия;
- пропускную способность сети.
Вход в систему
Построение маркера доступа занимает время, таким образом, чем в большее число групп безопасности входит данный пользователь, тем больше времени требуется на построение маркера доступа для данного пользователя и входа в сеть. Это время зависит от пропускной способности сети, а также от параметров настройки контроллера домена, на котором выполняется процесс входа в сеть.
Иногда может понадобиться создать группу только для электронной почты, без использования ее для назначения прав и разрешений ее членам. Для увеличения производительности входа в сеть следует создавать подобные группы как группы распространения вместо групп безопасности. Так как группы распространения игнорируются при построении Windows Server 2003 маркера доступа пользователя при входе, это уменьшает размер маркера и время, затрачиваемое на его построение.
Репликация универсальных групп
Изменения данных, сохраненных в глобальном каталоге, реплицируются на каждый сервер глобального каталога в составе леса. Группы с универсальной областью действия и их члены содержатся в глобальном каталоге, чтобы информация о них была доступна в любом домене леса. Так как список членов группы является одним из атрибутов объекта группы, то при его изменении требуется репликация атрибута целиком на все серверы глобального каталога в лесе.
Группы с глобальной или доменной локальной областью действия также содержатся в глобальном каталоге. Однако в глобальном каталоге не хранится информация о членах этих групп. Это уменьшает размер глобального каталога и существенно уменьшает трафик репликации, необходимый для постоянного обновления глобального каталога. Можно повысить производительность сети путем использования групп с глобальной или доменной локальной областью действия для часто изменяемых объектов каталога.
Пропускная способность сети
Маркер доступа отправляется каждому компьютеру, к которому пользователь имеет доступ, таким образом, конечный компьютер может определить, имеет ли пользователь права или разрешения на данном компьютере, сравнивая все идентификаторы безопасности, содержащиеся в маркере, с разрешениями, установленными для всех ресурсов данного компьютера. Конечный компьютер также проверяет принадлежность идентификаторов безопасности, содержащихся в маркере доступа, к любым локальным группам.
Чем в большее число групп входит пользователь, тем больше будут его маркеры доступа. Если сеть имеет большое количество пользователей, влияние данных маркеров доступа большого размера на пропускную способность сети и производительность контроллера домена может быть существенным.
Например, некий домен содержит 500 общих файлов, каждый с соответствующим назначением для отдельной группы с доменной локальной областью действия, используемой для предоставления права доступа на чтение. Если большинство пользователей имеют доступ на чтение к большинству общих ресурсов, то к их маркеру доступа добавится около 500 идентификаторов безопасности групп. Передача таких маркеров и проверка прав доступа таких пользователей может существенно увеличить не только нагрузку на локальную сеть, но и на компьютеры, содержащие эти файлы.
Создание группы.
Чтобы создать новую группу, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект родительского контейнера (ОП или один из системных контейнеров) правой кнопкой мыши и в контекстном меню выберите Создать -> Группа. Также можно в дереве выбрать интересующий объект и щелкнуть правой кнопкой мыши пустое место в списке объектов слева.
В появившемся окне введите имя группы. Для совместимости с предыдущими версиями Windows оно генерируется автоматически, но вы можете изменить его по своему усмотрению.
Кроме того, вы должны указать тип и область действия группы, установив переключатели в соответствующие положения.
Изменение свойств группы.
Чтобы просмотреть и изменить свойства группы, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните нужный объект группы правой кнопкой мыши и в контекстном меню выберите Свойства.
На вкладке Общие вы можете изменить основные параметры группы.
В поле Описание укажите произвольное описание, характеризующее цели, для которых создавалась группа. В поле Имя группы (пред-Windows 2000) вы можете изменить имя группы, используемое для совместимости с предыдущими версиями Windows. В поле Заметки введите произвольные комментарии относительно группы.
Кроме того, вы можете изменить тип группы и область ее действия. При изменении области действия группы действуют следующие ограничения:
- область действия группы можно изменить, только если домен работает в основном режиме;
- вы можете изменить область действия с глобальной на универсальную, если группа не является членом другой группы с глобальной областью действия;
- вы можете изменить область действия с локальной доменной на универсальную, если группа не содержит в качестве члена другую группу с локальной областью действия.
Если вы используете Microsoft Exchange Server 2000 в администрируемом домене, то не изменяйте значение поля Электронная почта у групп, являющихся списками рассылки Exchange - значение этого поля устанавливается Exchange-сервером автоматически.
На вкладке Члены группы вы можете указать учетные записи пользователей и группы, являющиеся членами группы.
Для добавления членов в группу щелкните кнопку Добавить. Для удаления выбранного члена группы - кнопку Удалить . Двойным щелчком вы можете открыть окно для просмотра свойств соответствующего объекта.
На вкладке Член групп вы можете изменить список групп, членом которых является группа.
На вкладке Управляется указывается пользователь, осуществляющий управление группой.
[newpage=Управление ОП - Управление компьютерами.]
Управление компьютерами.
Учетная запись компьютера во многом схожа с учетной записью пользователя. Каждый компьютер домена под управлением Windows Server 2003 должен иметь свою учетную запись, которая необходима для регистрации в домене с этого компьютера. Кроме того, учетные записи компьютеров также могут использоваться для разграничения доступа и предоставления специальных прав компьютерам, а не работающим на них пользователям. По аналогии с объектом пользователя, объект компьютера предназначен для хранения различных сведений о компьютере.
Создание учетной записи компьютера.
В большинстве случаев создание учетной записи компьютера осуществляется автоматически при присоединении компьютера к домену или его установки с использованием служб удаленной установки. Тем не менее вы можете добавить учетную запись компьютера вручную, например, для компьютеров под управлением Windows 9x, которые не создают учетные записи при присоединении компьютера к домену.
Чтобы создать новую учетную запись компьютера, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект родительского контейнера (ОП или один из системных контейнеров) правой кнопкой мыши и в контекстном меню выберите Создать -> Компьютер. Также можно выбрать в дереве интересующий вас объект и щелкнуть правой кнопкой мыши пустое место в списке объектов слева.
На первом шаге мастера введите имя нового компьютера в поле Имя компьютера. Мастер сам формирует его для совместимости с предыдущими версиями Windows в поле Имя компьютера (пред-Windows 2000) , но вы можете изменить его самостоятельно.
Вы можете указать, какие пользователи могут присоединить указанный компьютер к домену. По умолчанию это могут сделать только члены группы Администраторы домена. Щелкнув кнопку Изменить, вы можете выбрать группу или пользователя, которым будет разрешено добавление указанного компьютера к домену.
По умолчанию создаваемая учетная запись может использоваться компьютерами под управлением Windows 2000 или более поздней версии. Если вы хотите, чтобы учетная запись могла быть использована компьютерами под управлением Windows 9x или NT, установите флажок Назначить учетной записи статус пред-Windows 2000 компьютера.
На следующем шаге вы можете задать уникальный идентификатор компьютера, если он является управляемым.
Для этого установите флажок Это управляемый компьютер и введите его уникальный идентификатор компьютера в поле Уникальный код компьютера (GUID/UUID). Этот код используется службами удаленной установки.
На последнем шаге мастера выводится информация о параметрах создаваемого объекта компьютера.
По щелчку кнопки Готово учетная запись компьютера будет создана в указанном контейнере Active Directory.
Изменение свойств учетной записи компьютера.
Чтобы просмотреть и изменить свойства учетной записи компьютера, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните нужный объект группы правой кнопкой мыши и в контекстном меню выберите Свойства.
На вкладке Общие вы можете просматривать общие параметры учетной записи компьютера.
В поле DNS-имя указывается полное DNS-имя компьютера, которое формируется и добавляется к атрибутам учетной записи компьютера после его первого входа в домен. В поле Роль указывается текущая роль компьютера, которая автоматически заносится в свойства учетной записи компьютера после каждого его входа в домен. В поле Описание вы можете ввести произвольное описание компьютера и/или выполняемых им функций.
Установив флажок Доверять компьютеру делегирование, вы разрешите службам, запущенным на этом компьютере выполнять запросы к службам других компьютеров сети, представляясь при этом удаленными клиентами. Обычно этот флажок устанавливается только на серверах и контроллерах домена, которым эта возможность требуется для нормальной работы некоторых служб. Не устоит устанавливать этот флажок для учетных записей рабочих станций.
На вкладке Операционная система можно узнать, какая версия ОС установлена на данном компьютере.
В поле Имя указано название ОС и ее редакция, в поле Версия - номер версии и номер сборки, а в поле Пакет обновления - номер пакета обновления, установленного на компьютере. Информация, указанная на этой вкладке, носит исключительно информационный характер. Соответствующие атрибуты учетной записи компьютера обновляются при каждой его регистрации в домене.
На вкладке Член групп вы можете управлять списком групп, в которые входит компьютер.
По умолчанию все новые компьютеры, добавленные или созданные в домене, являются членами группы Компьютеры домена. Серверы после повышения до уровня контроллеров домена становятся членами группы Контроллеры домена.
Для добавления компьютера в одну или несколько групп щелкните кнопку Добавить. В появившемся окне выберите или введите имена нужных групп и щелкните кнопку ОК. Для удаления группы из списка выберите ее и щелкните кнопку Удалить, а для просмотра ее свойств -дважды щелкните ее имя в списке.
Для обеспечения совместимости с не-Windows клиентами может потребоваться указать основную группу компьютера. Это необходимо для нормальной работы клиентов, не поддерживающих членство учетных записей в нескольких группах - к таким клиентам относятся компьютеры под управлением UNIX, Mac OS и т. п. Для указания основной группы компьютера выберите ее в списке и щелкните кнопку Задать основную группу.
На вкладке Размещение вы можете указать данные о том, где размещен компьютер.
Рекомендуется использовать следующие данные:
- код страны (если необходимо);
- код города (если необходимо);
- название или код офиса, в котором расположен компьютер;
- номер этажа и номер помещения.
На вкладке Управляется указывается пользователь, управляющий компьютером.
Вкладка Входящие звонки стандартна для всех объектов Active Directory (см. Изменение свойств учетной записи).
Включение/отключение учетной записи компьютера.
Учетная запись компьютера по аналогии с учетной записью пользователя может быть отключена. С компьютера с отключенной учетной записью невозможен вход и работа в домене. Отключение учетной записи компьютера можно рассматривать как временную меру блокировки работы пользователей с определенного компьютера.
Чтобы включить или отключить учетную запись компьютера, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект компьютера правой кнопки мыши и в контекстном меню выберите Отключить учетную запись или Включить учетную запись.
Переустановка учетной записи компьютера.
Учетная запись компьютера, как и учетная запись пользователя, содержит идентификатор безопасности, который используется Windows Server 2003 для ссылки на компьютер. Изменение идентификатора безопасности учетной записи пользователя приведет к тому, что будет потеряна информация о его членстве во всех группах, поэтому изменить идентификатор безопасности пользователя в Windows нельзя. Однако может возникнуть необходимость изменения идентификатора безопасности учетной записи компьютера, допустим, когда компьютер должен быть повторно включен в домен после неудачного включения. Для этого производится генерация нового идентификатора безопасности учетной записи компьютера. Эта операция называется переустановкой учетной записи.
Чтобы переустановить учетную запись компьютера, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект компьютера правой кнопкой мыши и в контекстном меню выберите Переустановить учетную запись. Для учетной записи компьютера будет сгенерирован новый идентификатор безопасности, после чего он не сможет входить в домен и процедура добавления этого компьютера к домену должна быть повторена.
Изменение параметров отображения имен.
Связывание сертификатов X.509 с учетной записью компьютера и настройка отображения имен Kerberos осуществляется так же, как и для учетных записей пользователей.
Управление компьютером.
Windows Server 2003 предоставляет все необходимые инструменты для удаленного управления компьютерами. Например, не обязательно работать непосредственно с консолью компьютера для того, чтобы изменить параметры настройки его оборудования или управлять запущенными на нем службами. Это можно сделать удаленно, в консоли управления Active Directory - пользователи и компьютеры.
Чтобы удаленно управлять компьютером, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект компьютера правой кнопкой мыши и в контекстном меню выберите Управление. Будет запущена консоль управления Управление компьютером, подключенная к выбранному вами компьютеру.
Удаленное управление поддерживается только для компьютеров под управлением Windows 2000 или более поздней версии. Возможно ограниченное управление компьютерами под управлением Windows NT 4.0. Удаленное управление компьютерами под управлением Windows NT 3.5x, 3.x, 9x, ME и других ОС не поддерживается.
[newpage=Управление ОП - Управление принтерами.]
Управление принтерами.
Публикация принтеров в Active Directory не является необходимой, хотя и облегчает поиск и использование принтеров. Принтеры, установленные на компьютерах под управлением Windows 2000 или более поздней версии, публикуются в каталоге Active Directory автоматически. Принтеры, подключенные к компьютерам под управлением предыдущих версий Windows, должны добавляться в каталог вручную.
Создание подключения к принтеру.
Чтобы создать новое подключение к принтеру, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект родительского контейнера (ОП или один из системных контейнеров) правой кнопкой мыши и в контекстном меню выберите Создать -> Принтер. Также можно в дереве выбрать интересующий вас объект и щелкнуть правой кнопкой мыши пустое место в списке объектов слева.
В появившемся окне введите полный сетевой путь к принтеру. К моменту добавления принтера в каталог Active Directory он уже должен быть установлен и предоставлен в общий доступ.
Здесь нет кнопки Обзор, поэтому придется вводить полное сетевое имя принтера вручную.
По щелчку кнопки ОК Windows Server 2003 установит связь с принтером и получит все необходимые сведения о нем. Эти данные будут опубликованы в каталоге.
Изменение свойств принтера.
Чтобы просмотреть и изменить свойства принтера, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните нужный объект принтера правой кнопкой мыши и в контекстном меню выберите Свойства.
В каталоге Active Directory публикуются и изменяются сведения, предназначенные для быстрого поиска принтера по различным критериям. Эти свойства не имеют ничего общего с параметрами принтера, которые отвечают за процесс печати.
На вкладке Общие вы можете указать основные сведения о принтере, которые облегчат его поиск. Начальные значения атрибутов объекта принтера получаются автоматически при опросе принтера в момент его публикации или создания, но вы можете изменять эти сведения по своему усмотрению.
В поле Модель указывается полное название модели принтера. Необходимости изменять это поле обычно не бывает, но вы можете исправить значение поля по своему усмотрению. В поле Размещение укажите номер комнаты и/или этаж, на котором расположен принтер. Эта информация позволит пользователям находить принтеры, расположенные рядом с их рабочими местами. В поле Описание вы можете указать произвольное описание принтера. Например, если на принтере могут печатать только сотрудники определенного отдела, можно указать это в описании принтера, чтобы пользователи не устанавливали принтеры, на которые они все равно не смогут ничего напечатать.
Если принтер поддерживает печать в цвете, установите флажок Цвет. Если принтер оборудован устройством для сшивания копий, установите флажок Сшиватель. Если принтер поддерживает автоматическую двустороннюю печать, установите флажок Двусторонний.
В поле Скорость печати вы можете изменить максимальную скорость печати. Начальное значение этого атрибута получается от принтера автоматически, но часто не отражает реальную скорость. Вы можете указать в этом поле значение, полученное опытным путем. В поле Максимальное разрешение вы можете изменить максимальное разрешение печати, поддерживаемое принтером. Эта информация также получается от принтера автоматически и обычно не нуждается в корректировке.
На вкладке Управляется указывается пользователь, управляющий принтером.
Вкладки Объект и Безопасность стандартны для всех объектов Active Directory.
Подключение принтера.
Вы можете подключить и установить принтер непосредственно из консоли управления Active Directory - пользователи и компьютеры - щелкните объект принтера правой кнопки мыши и в контекстном меню выберите Подключить. Принтер будет автоматически установлен на вашем компьютере.
Просмотр очереди принтера.
Вы можете управлять очередью принтера, опубликованного в Active Directory, не устанавливая его на своем компьютере. В дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект принтера правой кнопки мыши и в контекстном меню выберите Открыть. Необходимые драйверы принтера будут установлены на ваш компьютер, после чего появится окно управления очередью принтера.
[newpage=Управление ОП - Управление общими папками.]
Управление общими папками.
Публикация общих папок в Active Directory не является необходимой, хотя и облегчает их поиск и использование. Возможность публикации позволяет размещать папки в ОП в соответствии с тем, пользователи какого подразделения за какие общие ресурсы отвечают.
Создание общей папки.
Чтобы создать новую общую папку, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект родительского контейнера (ОП или один из системных контейнеров) правой кнопкой мыши и в контекстном меню выберите Создать -> Общая папка. Также можно выбрать в дереве нужный объект и щелкнуть правой кнопкой мыши пустое место в списке объектов слева.
В появившемся окне введите имя папки, под которым она будет фигурировать в каталоге Active Directory (поле Имя ) и полный сетевой путь к общей папке.
При указании полного сетевого пути рекомендуется использовать полное DNS-имя компьютера, на котором расположен общий ресурс, т. к. к ресурсам, размещенным в каталоге одного домена, могут обращаться пользователи других доменов Active Directory. Здесь нет кнопки Обзор, поэтому придется вводить полное сетевое имя ресурса вручную.
Изменение свойств общей папки.
Чтобы просмотреть и изменить свойства общей папки, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните нужный объект общей папки правой кнопкой мыши и в контекстном меню выберите Свойства.
В каталоге Active Directory публикуются и изменяются сведения, предназначенные для быстрого поиска общей папки. Эти свойства не имеют ничего общего с параметрами общей папки, которые отвечают за доступ к ней.
На вкладке Общие вы можете изменить основные сведения об общей папке.
Можно изменить полный путь, например, если она была перемещена с одного компьютера на другой, введите новый полный путь в поле UNC-имя. В поле Описание вы можете ввести произвольное описание данных общей папки и названия подразделений, которым она предназначена.
Щелкнув кнопку Ключевые слова, вы можете изменить список ключевых слов, связанных с общей папкой. Благодаря этому можно осуществлять поиск общих папок не только по имени, но и по ключевым словам.
Ключевым словом может быть целая фраза (хотя это снижает вероятность ее нахождения). После ввода отдельного ключевого слова щелкните кнопку Добавить, чтобы внести его в список. С помощью кнопок Изменить и Удалить вы можете соответственно отредактировать ключевое слово или удалить его из списка.
На вкладке Управляется указывается пользователь, управляющий общей папкой.
Просмотр содержимого общей папки.
Чтобы просмотреть содержимое общей папки с помощью Проводника, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект общей папки правой кнопкой мыши и в контекстном меню выберите Открыть или Проводник. Откроется новое окно Проводника, в котором будет показано содержимое общей папки.
Подключение сетевого диска.
Чтобы подключить общую папку как сетевой диск, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните объект общей папки правой кнопкой мыши и в контекстном меню выберите Подключить сетевой диск. Откроется окно подключения сетевого диска, в котором уже будет заполнено поле Папка.
[newpage=Управление ОП - Общие операции.]
Общие операции.
Практически все объекты Active Directory поддерживают стандартный набор операций: создание, удаление, изменение свойств, переименование, перемещение в другой контейнер и т. п. Часть этих операций была рассмотрена выше, т. к. их выполнение существенным образом зависит от типа объекта (создание, свойства и т. п.). В этом разделе будут рассмотрены те операции, выполнение которых не зависит от типа объекта.
Помимо общих операций, окна свойств большинства объектов Active Directory содержат стандартный набор вкладок. Внешний вид вкладки Общие зависит от типа объекта, поэтому изменяемые на ней атрибуты были рассмотрены выше. Вкладка Управляется для всех объектов Active Directory идентична и будет рассмотрена в этом разделе.
Включение режима дополнительных функций.
По умолчанию вкладки Объект и Безопасность не отображаются в окнах свойств объектов Active Directory. Чтобы получить к ним доступ, необходимо включить режим дополнительных функций - в меню Вид консоли управления Active Directory - пользователи и компьютеры установите флажок Дополнительные функции.
Режим дополнительных функций сохраняется при закрытии консоли управления, и при следующем запуске консоли его включение не требуется.
Общие свойства.
Окна свойств всех объектов Active Directory, за исключением учетных записей пользователей и контактов, содержат вкладку Управляется, которая предназначена для указания пользователя, ответственного за управление объектом.
При помощи сведений, приведенных на этой вкладке, пользователи могут узнать, с кем и как можно связаться по поводу изменения свойств или управления объектом. Если указан пользователь или контакт, ответственный за управление объектом, то основные сведения, необходимые для того, чтобы связаться с ним, выводятся на вкладке Управляется. Полные сведения о пользователе можно просмотреть, щелкнув кнопку Свойства.
Для изменения пользователя, ответственного за управление объектом, щелкните кнопку Изменить и выберите нужного пользователя в появившемся окне. Чтобы удалить информацию об управлении объектом, щелкните кнопку Удалить.
Если у объекта нет сведений об управляющем им пользователе, то принято считать, что это пользователь, управляющий родительским объектом.
Вкладка Объект присутствует у всех объектов Active Directory при включенном режиме дополнительных функций и позволяет узнать, когда был создан и изменен объект, а также его полное имя в каталоге Active Directory.
Поля Исходный USN и Текущий USN отвечают за репликацию объекта на другие контроллеры домена. Каждый контроллер домена имеет свой собственный счетчик USN (Update Sequence Number, последовательный номер обновления). При создании объекта ему присваивается текущий USN контроллера домена, после чего последний увеличивается на 1. При изменении значения атрибута объекта USN контроллера домена увеличивается на 1 и записывается как текущий USN объекта. При изменении нескольких свойств USN увеличивается на единицу при изменении каждого свойства.
Каждый контроллер домена имеет информацию о последнем USN всех остальных контроллеров домена, полученном во время последней репликации. При очередной репликации запрашивается текущий USN контроллера домена. Если значение USN изменилось с момента последней репликации, то запрашивается репликация всех изменений с USN больше предыдущего. Это позволяет значительно уменьшить трафик репликации, т. к. реплицируются только те атрибуты объектов, которые были изменены.
Вкладка Безопасность присутствует у всех объектов Active Directory при включенном режиме дополнительных функций и позволяет управлять разрешениями для объекта.
Переименование.
Имена объектов каталога Active Directory нельзя изменить через окна их свойств. Чтобы переименовать объект, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните нужный объект правой кнопкой мыши и в контекстном меню выберите Переименовать. Также можно выделить объект и нажать клавишу F2.
Процесс переименования осуществляется в два этапа. На первом вы изменяете или вводите заново имя объекта и нажимаете клавишу Enter. На втором этапе для большинства объектов будет предложено исправить ряд атрибутов, связанных с именем объекта.
Например, для учетной записи пользователя будет предложено исправить Фамилию, Имя, Имя для входа. Обычно окно, отображаемое при переименовании объекта, аналогично окну, отображаемому при создании нового объекта того же типа.
Переименование объекта абсолютно безопасно, т. к. при этом не изменяется ни один из внутренних идентификаторов объекта. Так как при ссылке одних объектов каталога на другие (допустим, при включении пользователей в группы) используются идентификаторы безопасности или GUID, то при переименовании объект не теряет своих связей с другими объектами.
Перемещение в контейнер.
При реструктуризации каталога возникает необходимость перемещения объектов из одного контейнера Active Directory в другой. Для этого в дереве консоли управления Active Directory - пользователи и компьютеры щелкните нужный объект (или несколько объектов) правой кнопкой мыши и в контекстном меню выберите Переместить.
В появившемся окне отображаются все контейнеры текущего домена, выберите нужный и щелкните кнопку ОК.
Перемещение объекта абсолютно безопасно, т. к. при этом не изменяется ни один из внутренних идентификаторов объекта. Так как при ссылке одних объектов каталога на другие (допустим, при включении пользователей в группы) используются идентификаторы безопасности или GUID, то при перемещении объект не теряет своих связей с другими объектами. Однако при выборе контейнера, в который будут перемещены объекты, принимайте во внимание системные политики, действующие в нем на объекты.
Удаление.
Чтобы удалить объект каталога, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните нужный объект правой кнопкой мыши и в контекстном меню выберите Удалить. Также можно выделить объект и нажать клавишу Delete. После дополнительного подтверждения объект будет удален.
Будьте внимательны при удалении объектов - в Active Directory это необратимый процесс.
Будьте осторожны при удалении учетных записей пользователей, компьютеров и групп - эти объекты имеют уникальный идентификатор системы безопасности, который используется при назначении разрешений и привилегий. При удалении пользователя и создании нового пользователя с тем же именем и теми же атрибутами будет утеряна вся информация о его членстве в группах и разрешениях, назначенных непосредственно пользователю. Поэтому не удаляйте учетные записи пользователей, которые давно не регистрировались в сети. Если есть вероятность того, что пользователь может продолжить работать в сети, отключите его бюджет - при необходимости вы сможете его включить.
Прочие операции.
Каталог Active Directory является расширяемым, поэтому при установке различных программных продуктов в нем могут появляться не только новые объекты, но и новые классы объектов. Кроме того, различные продукты могут добавлять функции в консоли управления Active Directory. Например, Microsoft Exchange Server 2000 не только расширяет схему Active Directory (внося в нее порядка 800 изменений), но и добавляет новую функциональность в консоль управления Active Directory - пользователи и компьютеры - в контекстные меню добавляются новые команды, а в окна свойств - новые вкладки.
Обычно все операции, изменяющиеся в зависимости от типа объекта и установленных дополнительных программных продуктов, сгруппированы в верхней части контекстного меню, вызываемого щелчком объекта правой кнопкой мыши. Кроме того, все возможные операции над объектом, включая реализуемые дополнительными программными продуктами, сгруппированы в подменю Все задачи.
Поиск объектов.
Для упрощения работы с каталогом Active Directory консоль управления Active Directory - пользователи и компьютеры позволяет осуществлять поиск объектов по различным критериям в пределах определенного контейнера. Чтобы вызвать окно поиска объекта каталога, в дереве консоли управления Active Directory - пользователи и компьютеры щелкните контейнер, с которого хотите бы начать поиск, правой кнопкой мыши и в контекстном меню выберите Найти.
В появившемся окне задайте часть имени объекта (в поле Имя) и/или описания объекта (в поле Описание). Поиск осуществляется по начальным символам введенной строки. В раскрывающемся списке Найти вы можете указать, объекты каких типов требуется увидеть в результатах поиска.
По умолчанию поиск осуществляется в контейнере (включая подчиненные), для которого вы вызвали операцию поиска, но можно изменить область поиска при помощи раскрывающегося списка В или кнопки Обзор.
При необходимости можно задать расширенные условия поиска, перейдя на вкладку Дополнительно окна поиска.
Для задания условия поиска щелкните кнопку Поле, после чего выберите интересующее вас поле объекта, которое должно быть включено в условие. В раскрывающемся списке Условие выберите условие, по которому будет проверяться значение выбранного поля. В поле Значение введите значение, на соответствие которому будет проверяться выбранное поле. После того как условие поиска сформировано, щелкните кнопку Добавить. При поиске все условия в списке объединяются логической операцией И.
После того как вы задали все необходимые условия и область поиска, щелкните кнопку Найти. В зависимости от того, осуществляется поиск в пределах одного домена или нет и задействованы ли в условиях поиска атрибуты объектов, публикуемые в ГК, процесс поиска может занять от нескольких секунд до нескольких минут. В процессе поиска найденные объекты отображаются списком в нижней части окна поиска.
Вы можете остановить поиск, щелкнув кнопку Остановить. Кнопка Очистить все очищает список результатов поиска и все условия поиска, возвращая окно поиска в исходное состояние.
Вы можете выполнять многие операции над найденными объектами, не покидая окна поиска, прямо из списка с результатами поиска. Все необходимые для этого операции содержатся в контекстном меню найденных объектов.
[newpage=Управление деревом доменов]
Управление деревом доменов.
При наличии в дереве Active Directory хотя бы двух доменов появляется необходимость управления их взаимодействием. Для этих целей используется консоль управления Active Directory - домены и доверие - в меню Пуск выберите Администрирование -> Active Directory - домены и доверие.
Консоль управления Active Directory - домены и доверие позволяет управлять всем лесом доменов Active Directory, никаких дополнительных переключений не требуется.
Управление доменами.
Управление доменами в консоли Active Directory - домены и доверие практически аналогично управлению доменами в консоли управления Active Directory - пользователи и компьютеры. Однако консоль Active Directory - домены и доверие позволяет управлять параметрами доверительных отношений между доменами.
Свойства домена.
Чтобы просмотреть и изменить свойства домена, в дереве консоли управления Active Directory - домены и доверие щелкните нужный объект домена правой кнопкой мыши и в контекстном меню выберите Свойства.
На вкладке Общие показано полное DNS-имя домена, а также его NetBIOS-имя. Так как оба имени задаются при установке Active Directory, вы не можете их изменить.
В поле Описание вы можете указать произвольное описание домена. Обычно - область ответственности домена.
В поле Режим работы домена указывается режим работы домена.
На вкладке Доверия указываются параметры доверительных отношений между доменами дерева.
Вы можете управлять двумя списками доменов:
- Домены, которым доверяет этот домен - список содержит домены, пользователи и группы которых могут использоваться при задании разрешений на ресурсы домена.
- Домены, которые доверяют этому домену - список содержит домены, к ресурсам которого могут обращаться пользователи домена.
Процесс установления доверительными отношениями между доменами выполняется в следующей последовательности:
- В домене А добавить домен Б в список доверенных доменов. При добавлении задать пароль, необходимый для установления отношений.
- В домене Б добавить домен А в список доверяемых доменов. Указать пароль, заданный на предыдущем шаге.
- Для установления доверительных отношений в обратном направлении (домен Б доверяет домену А) необходимо повторить предыдущие шаги для домена Б.
Чтобы добавить домен в любой из списков, щелкните кнопку Создать доверие. Запустится Мастер создания отношений доверия, который поможет вам создать доверие.
В появившемся окне введите полное DNS-имя домена и дважды - пароль, используемый для установления доверительных отношений. При установлении отношений между доменами вы должны использовать одинаковый пароль при добавлении обоих доменов.
После установления доверительных отношений вы увидите сообщение об успешном окончании операции.
При добавлении домена в дерево во время установки дочернего домена при помощи Мастера установки Active Directory все необходимые доверительные отношения между доменами устанавливаются автоматически. Необходимость в ручной установке может возникнуть при добавлении существующего домена к лесу или объединении двух доменных деревьев.
При объединении двух доменных деревьев в один лес необходимо установить двухсторонние доверительные отношения только между корневыми доменами деревьев.
На вкладке Управляется указывается пользователь, управляющий доменом.
Хозяева операций.
Active Directory поддерживает репликацию хранилища данных каталога с несколькими хозяевами между всеми контроллерами домена. Некоторые изменения не рекомендуется выполнять в данном режиме, тем не менее только один контроллер домена, называемый хозяином операции, принимает запросы на такие изменения.
Так как роли хозяина операций могут перемещаться на другие контроллеры в составе домена или леса, их иногда называют FSMO (Flexible Single Master Operations).
Лес Active Directory содержит пять ролей хозяина операций, назначаемых одному или нескольким контроллерам домена. В каждом лесе Active Directory один контроллер домена должен выполнять роль хозяина именования домена.
Чтобы просмотреть и изменить хозяина именования домена, в дереве консоли управления Active Directory - домены и доверие щелкните корневой узел правой кнопкой мыши и в контекстном меню выберите Хозяин операций.
В появившемся окне укажите, какой контроллер домена будет отвечать за добавление и удаление доменов в лесе Active Directory.
Передачу роли хозяина именования домена другому компьютеру необходимо выполнять с того контроллера, который должен стать новым хозяином именования домена. Вызвав окно изменения хозяина именования домена, щелкните кнопку Изменить.
После репликации необходимых изменений на другие контроллеры домена роль хозяина именования домена будет выполнять указанный контроллер.
[newpage=Управление сайтами и службами]
Управление сайтами и службами.
При размещении леса Active Directory в нескольких отдельных, территориально распределенных сетях, появляется необходимость управления репликацией данных между доменами леса и оптимизацией трафика, создаваемого службами Active Directory. Для этих целей используется консоль управления Active Directory - сайты и службы - в меню Пуск выберите Администрирование -> Active Directory - сайты и службы.
Консоль управления Active Directory - сайты и службы позволяет управлять параметрами сайтов и репликации всего леса доменов Active Directory.
Структура сайтов по умолчанию.
После установки первого контроллера первого домена леса Active Directory автоматически создается новый сайт с именем Default-First-Site. Все контроллеры любых доменов леса после установки автоматически добавляются в этот сайт. После установки первого контроллера домена структура объектов в консоли Active Directory - сайты и службы должна выглядеть следующим образом:
Дерево консоли Active Directory - сайты и службы может содержать две ветви:
- Sites - здесь сосредоточены объекты, предназначенные для управления сайтами Active Directory и параметрами репликации;
- Services - здесь сосредоточены объекты, предназначенные для управления параметрами различных служб, использующих Active Directory для хранения данных, либо интегрирующихся в службу каталога, например, Microsoft Exchange Server 2000.
Ветви, которые содержит узел Sites, приведены в таблице.
Ветвь | Описание |
Одна или более ветвей, представляющих отдельные сайты, например, Default-First-Site | Каждая такая ветвь описывает отдельный сайт. Содержит в себе объекты Licensing Site Settings , NTDS Site Settings и один и более объектов контроллеров домена, собранных в узле Servers. Объекты этой ветви определяют, какие сайты какие контроллеры доменов содержат. Также они определяют параметры репликации внутри сайта |
Inter-Site Transports | Содержит в себе два контейнера: IP и SMTP . В этих контейнерах сгруппированы объекты, определяющие параметры репликации между отдельными сайтами |
Subnets | Содержит в себе объекты подсетей, определяющих IP-сети, покрываемые сайтами Active Directory. Каждый объект подсети содержит ссылку на единственный объект сайта |
Создание сайта.
Чтобы создать новый сайт, в дереве консоли управления Active Directory - сайты и службы щелкните ветвь Sites правой кнопкой мыши и в контекстном меню выберите Новый сайт. Также можно выбрать ветвь Sites и щелкнуть правой кнопкой мыши пустое место в списке объектов слева.
В появившемся окне введите имя нового сайта (в поле Имя ) и укажите, какой объект межсайтовой связи будет использоваться для связи с новым сайтом (он уже должен быть создан к этому моменту).
При задании имен сайтов следует придерживаться требований к именам DNS, т. к. каждый объект сайта регистрируется в DNS-зоне.
Изменение свойств сайта.
Чтобы просмотреть и изменить свойства сайта, в дереве консоли управления Active Directory - сайты и службы щелкните нужный объект сайта правой кнопкой мыши и в контекстном меню выберите Свойства.
На вкладке Сайт вы можете ввести или изменить произвольное описание сайта. Обычно здесь указывается, какие сети и домены обслуживает сайт.
На вкладке Размещение можно указать данные о том, где размещаются контроллеры доменов, составляющие сайт.
Рекомендуется использовать следующие данные:
- код страны (если необходимо);
- код города (если необходимо);
- название или код офиса, в котором расположены компьютеры;
- номер этажа и номер помещения.
Вкладки Объект и Безопасность стандартны для всех объектов Active Directory.
На вкладке Групповая политика вы можете управлять групповыми политиками уровня сайта. Работа с ними будет рассмотрена позже.
Изменение параметров лицензирования сайта.
Администратор может убедиться в соблюдении организацией лицензионных соглашений по использованию программных продуктов, входящих в состав Microsoft BackOffice, путем наблюдения за покупками лицензий, их использованием и удалением. Эти сведения о лицензиях собираются на сервере службой учета лицензий Windows Server 2003.
Эта служба, расположенная на каждом сервере сайта, реплицирует сведения о лицензиях в централизованную базу данных на сервере, который называется Сервером лицензий сайта. Администратор сайта или администратор сервера лицензий сайта может использовать программу Лицензирование из папки Пуск -> Администрирование для просмотра истории лицензирования всего сайта, хранящейся на сервере лицензий сайта.
Сервером лицензий сайта обычно назначается первый контроллер домена, который был для него создан. В больших организациях с несколькими сайтами сведения о лицензиях для каждого сайта обычно собираются отдельно каждым сервером лицензий сайта.
Чтобы просмотреть и изменить свойства лицензирования сайта, в дереве консоли управления Active Directory - сайты и службы выберите объект сайта, в списке справа щелкните объект лицензирования Licensing Site Settings правой кнопкой мыши и в контекстном меню выберите Свойства.
На вкладке Лицензированные параметры вы можете указать произвольное описание объекта лицензирования сайта (в поле Описание ) и указать, какой компьютер выполняет функции сервера лицензирования в сайте.
Для изменения сервера лицензирования сайта щелкните кнопку Изменить. В окне выбора укажите нужный сервер. При изменении сервера лицензирования придерживайтесь следующих правил:
- сервер лицензирования должен работать под управлением Windows 2000 Server или более поздней версии серверной редакции Windows;
- сервер лицензирования должен быть расположен в том же сайте для оптимизации быстродействия службы лицензирования.
Если при изменении сервера лицензирования вы хотите сохранить историю лицензирования организации, непосредственно перед изменением выполните следующее:
- остановите Службу учета лицензий на новом сервере лицензирования;
- скопируйте следующие файлы со старого сервера в те же папки на новом:
Файл
Описание
%systemroot%\system32\cpl.cfg
Содержит историю покупки лицензий для организации
%systemroot%\Lls\Llsuser.lls
Содержит сведения пользователя о числе подключений
%systemroot%\Lls\Llsmap.lls
Содержит сведения о лицензионной группе
- запустите Службу учета лицензий на новом сервере лицензирования;
- измените сервер лицензирования сайта.
Вкладки Объект и Безопасность стандартны для всех объектов Active Directory.
Изменение параметров сайта.
Чтобы просмотреть и изменить параметры сайта, в дереве консоли управления Active Directory - сайты и службы выберите нужный объект сайта, в списке справа щелкните объект NTDS Site Settings правой кнопкой мыши и в контекстном меню выберите Свойства.
На вкладке Параметры сайта вы можете указать произвольное описание объекта параметров сайта (в поле Описание) и указать расписание внутрисайтовой репликации (щелкнув кнопку Изменить расписание). Вы также можете узнать, какой сервер сайта отвечает за автоматическую генерацию топологии репликации между сайтами.
В появившемся по щелчку кнопки Изменить расписание окне вы можете задать время, когда будет осуществляется репликация данных между контроллерами доменов в сайте, и периодичность репликации.
Вкладки Объект и Безопасность стандартны для всех объектов Active Directory.
Перемещение контроллеров домена между сайтами.
При создании или удалении сайтов, добавлении новых доменов или контроллеров доменов возникает необходимость в перемещении контроллеров домена между сайтами. По умолчанию все контроллеры домена попадают в сайт Default-First-Site.
Чтобы просмотреть и изменить параметры сайта, в дереве консоли управления Active Directory - сайты и службы щелкните нужный объект контроллера домена правой кнопкой мыши и в контекстном меню выберите Переместить.
В появившемся окне выберите сайт, в который хотите переместить контроллер домена, и щелкните кнопку ОК. После перемещения контроллера домена проверьте соблюдение следующих условий:
- каждый сайт должен содержать не менее одного сервера глобального каталога;
- каждый сайт должен содержать не менее одного сервера лицензирования;
- каждый сайт должен быть соединен как минимум еще с одним сайтом.
После перемещения контроллера домена необходимо выждать некоторое время, необходимое для репликации изменений в конфигурации Active Directory. Кроме того, это позволит вам проверить, что репликация данных между перенесенным контроллером домена и другими контроллерами домена работает.
Удаление сайта.
Перед удалением сайта:
- переместите все контроллеры домена в другие сайты;
- исключите сайт из всех объектов межсайтовой репликации, при необходимости удалите пустые объекты межсайтовой репликации;
- при необходимости сохраните параметры лицензирования сайта (см. выше).
Объект сайта является контейнером, поэтому его удаление приведет к удалению всех подчиненных объектов. Рекомендуется все необходимые объекты перенести в другие сайты.
После выполнения всех подготовительных операций выждите время, достаточное для репликации изменений, внесенных в ходе подготовительных операций, на другие контроллеры доменов.
Чтобы удалить сайт, в дереве консоли управления Active Directory - сайты и службы щелкните нужный объект сайта правой кнопкой мыши и в контекстном меню выберите Удалить. После дополнительного подтверждения сайт будет удален.
Вы не можете удалить сайт Default-First-Site
[newpage=Управление подсетями]
Управление подсетями.
Подсеть Active Directory - объект, позволяющий определять принадлежность компьютеров к тому или иному сайту. Подсеть описывает отдельную IP-сеть и связывает ее с сайтом Active Directory, таким образом, при регистрации компьютера в домене можно сказать, в каком сайте он находится. Это позволяет обслуживать пользователей компьютера тому контроллеру домена, который находится к ним ближе всего.
Процесс управления подсетями внутри леса Active Directory сводится к описанию IP-сетей и связыванию их с сайтами Active Directory.
Создание подсети.
Чтобы создать новую подсеть, в дереве консоли управления Active Directory - сайты и службы щелкните ветвь Subnets правой кнопкой мыши и в контекстном меню выберите Создание подсети. Также можно выбрать ветвь Subnets и щелкнуть правой кнопкой мыши пустое место в списке объектов слева.
В появившемся окне задайте параметры создаваемой сети. В поле Адрес введите IP-адрес сети, в поле Маска - маску сети. Windows Server 2003 автоматически формирует имя создаваемой подсети в поле Имя. При формировании имени вычисляется реальный адрес IP-сети. Например, если вы ввели адрес 172.16.209.14 и маску 255.255.240.0, то имя сети будет 172.16.208.0/20.
Кроме того, в списке в нижней части окна вы должны выбрать сайт, с которым будет связана создаваемая сеть.
После заполнения всех полей щелкните кнопку ОК.
Подсеть может быть связана только с одним объектом сайта.
Изменение свойств подсети.
Чтобы просмотреть и изменить свойства подсети, в дереве консоли управления Active Directory - сайты и службы щелкните нужный объект подсети правой кнопкой мыши и в контекстном меню выберите Свойства.
На вкладке Подсеть вы можете ввести или изменить произвольное описание подсети. Обычно здесь указывается, какие помещения офиса охватывает сеть, если офис имеет несколько IP сетей, или название офиса, если сеть в офисе одна. В раскрывающемся списке Сайт вы можете выбрать сайт, которому соответствует подсеть. Адрес и маску сети изменить нельзя.
На вкладке Размещение можно указать данные о том, в каком офисе размещается подсеть.
Рекомендуется использовать следующие данные:
- код страны (если необходимо);
- код города (если необходимо);
- название или код офиса, в котором расположены компьютеры.
Вкладки Объект и Безопасность стандартны для всех объектов Active Directory.
Удаление подсети.
Подсеть не является контейнерным объектом, поэтому ее создание и удаление не влияет на работу Active Directory.
Чтобы удалить подсеть, в дереве консоли управления Active Directory - сайты и службы щелкните нужный объект подсети правой кнопкой мыши и в контекстном меню выберите Удалить. После дополнительного подтверждения подсеть будет удалена.
Управление репликацией.
Для передачи данных с одного контроллера домена на другой службы Active Directory используют репликацию, в ходе которой на контроллер домена передаются только те данные, которые были изменены с момента последней репликации. Различают два вида репликации Active Directory:
- внутрисайтовую - данные реплицируются между контроллерами доменов в пределах одного сайта. Внутрисайтовая репликация осуществляется с небольшим интервалом времени;
- межсайтовую - данные реплицируются между сайтами (между одним контроллером одного сайта и одним контроллером другого сайта) через связи сайтов. Межсайтовая репликация осуществляется с большим интервалом времени, чем внутрисайтовая.
При настройке параметров репликации рекомендуется использовать значения, устанавливаемые системой по умолчанию. При необходимости настройки параметров репликации используйте рекомендации и инструкции, изложенные в справочной системе Windows Server 2003.
эта статья с Компьютерные сети и технологии
( http://xnets.ru/plugins/content/content.php?content.145 )