Active Directory kezelése PowerShell segítségével. A "bizalmi kapcsolat" kifejezés. Vezérlő objektumok Active Directory

7. lecke Active Directory Adminisztráció.

Az Active Directory adminisztrációs folyamata a következők:

• active Directory domainek;
• tartománykönyvtár szerkezet;
• domain objektumok (felhasználók, kapcsolatok, számítógépek, csoportok, nyomtatók stb.);
• helyszínek és hálózatok Active Directory;
• az adatok replikációja.

Mindezen feladatokat a folyamatban telepített három vezérlő konzol segítségével oldják meg. az aktív telepítés. Könyvtár a tartományvezérlőn:

• Active Directory - Domain és Trust
• Active Directory - Felhasználók és számítógépek
• Active Directory - webhelyek és szolgáltatások

Ezek a konzolok telepíthetők más számítógépek tartományaira az adminisztrációs segédprogram részeként.

Az Active Directory objektumok leírása.

Az összes Active Directory Management konzolok egyetlen ikonkészletet használnak a könyvtári objektumok megjelenítéséhez. Az alábbiakban az alapvető Active Directory objektumok és a megfelelő ikonok. Ez az információ megkönnyíti az Active Directory könyvtárban történő navigálás lehetőséget.

Active Directory.

Az Active Directory könyvtár egészét képviseli. A vezérlőkészülékekben gyakorlatilag nem található, kivéve az objektumok keresését és kiválasztását

Egy Windows-tartományt képvisel. Lehetővé teszi a globális domainparaméterek kezelését

Konténer, mappa

Egyszerű konténerobjektumot képvisel. Ezeket az objektumokat csak az operációs rendszer hozhatja létre, és általában az Active Directory telepítésével keletkezik.

Szervezeti osztály

Képviseli az OP-t. Ez a konténerobjektum más objektumokat tartalmazó tartályok hierarchiájának kialakítására szolgál.

Felhasználó

Felhasználói fiókot jelent. Az objektum tartalmazza nagyszámú A felhasználót leíró attribútumok

Egy felhasználó - nem tagja a tartománynak. Kapcsolatok tárolására használt információkat külső felhasználók az információs könyvtár, nem adatait, és nem teszik lehetővé a felhasználók számára, hogy regisztrálni a domain

Képviseli a felhasználók csoportját, és általában az engedélyek és kiváltságok kezelésének egyszerűsítésére szolgál

Egy számítógép

Egyetlen számítógépet jelent helyi hálózat. Számítógépek számára windows vezérlés Az NT, 2000 és a Windows későbbi verziói számítógépes fiók. Az objektum alapvető információkat tartalmaz a számítógépről, és lehetővé teszi, hogy kezelje.

Tartományvezérlő

Egy külön Windows tartományvezérlőt jelent. Az Active Directory beépülő modulban a felhasználók és a számítógépek tartományvezérlők azonos ikonokként jelennek meg rendszeres számítógépként. A megadott ikon az Active Directory beépülő webhelyek és szolgáltatások tartományvezérlők megjelenítésére szolgál. Lehetővé teszi a tartományvezérlő paramétereinek kezelését

Hálózati nyomtatót jelent. Az objektum hivatkozik a megadott nyomtatóra általános hozzáférés. Az ilyen típusú objektumok kézzel és automatikusan hozzáadhatók a könyvtárhoz. A kézi adagolás csak a számítógépekhez csatlakoztatott számítógépekhez csatlakoztatott nyomtatók számára lehetséges korai verziókmint Windows 2000

Megosztott erőforrás

Egy közös mappát jelent. Az objektum egy hivatkozás a megosztott hálózati erőforráshoz, és nem tartalmaz adatokat

Engedélyezési paraméterek

A globális webhely licencelési beállításait jelenti. Lehetővé teszi, hogy központilag kezelje az engedélyeket a szoftver termékek és azok replikációja a webhelyen belül

Tartománypolitika

Domain-politikát jelent. Lehetővé teszi a tartományi szintű házirendek konfigurálását

Tartományvezérlő házirend

A tartományvezérlő házirend-objektumát jelenti. Lehetővé teszi az összes tartományvezérlő házirendbeállításainak konfigurálását

Csoportházirend

Önkényes csoportpolitikai objektumot képvisel. Lehetővé teszi, hogy kezelje a konténer objektumait, amelyekre

Egy különálló Active Directory webhelyet képvisel. Lehetővé teszi az informatikai paraméterek ellenőrzését. A tartományvezérlők objektumaihoz, a webhelyek linkjeihez, a webhelyparaméterekhez kapcsolódó linkeket tartalmaz

Összetett

A helyszínen belüli tartományvezérlők közötti kapcsolatot képviseli. Lehetővé teszi a honlapon belüli tartományvezérlők közötti topológia és replikációs paraméterek vezérlését

Helyszíni kapcsolat

Külön kapcsolatot képvisel a helyszínek között. Lehetővé teszi a keresztvonali replikáció topológiájának és paramétereinek ellenőrzését

Site paraméterek

Képviseli a webhely konfigurációs objektumát vagy tartományvezérlőjét a webhelyen. Lehetővé teszi, hogy kezelje az egész webhely replikációjának paramétereit vagy a tartományvezérlő interakciójához szükséges paramétereket

Egy adott webhelyhez társított külön alhálózat. Lehetővé teszi az IP hálózat határainak meghatározását

Ikon	Egy tárgy	Leírás

Az Active Directory (AD) az operációs rendszerhez kifejlesztett szolgáltatási programok. Microsoft szerver. Eredetileg könnyű hozzáférési algoritmusként jött létre a felhasználói könyvtárakhoz. Változatból Windows szerver 2008-ban integráció volt az engedélyezési szolgáltatásokkal.

Lehetővé teszi a csoportházirendet ugyanolyan típusú paraméterekkel és az összes vezérelt számítógép segítségével a System Center Configuration Manager segítségével.

Ha az egyszerű szavak a kezdőknek a szerver szerepe, amely lehetővé teszi, hogy az összes hozzáférést és engedélyt kezelje a helyi hálózaton egy helyről.

Funkciók és célok

Microsoft Active Directory - (úgynevezett könyvtár) pénztárcsomag a felhasználók és a hálózati adatok manipulációinak elvégzéséhez. A fő cél A létrehozás az, hogy megkönnyítse a rendszergazdák munkáját kiterjedt hálózatokban.

A katalógusok különböző információkat tartalmaznak a felhasználók, a csoportok, a hálózati eszközök, a fájlforrások - egy szó, tárgyak. Például a könyvtárban tárolt felhasználói attribútumoknak a következők: Cím, bejelentkezés, jelszó, mobiltelefonszám stb. A könyvtárat használják hitelesítési pontokamivel megtudhatja szükséges információ Mindent

A munka során előforduló alapvető fogalmak

Számos speciális fogalom van, amelyeket a hirdetéssel való munka során használnak:

1. A kiszolgáló az összes adatot tartalmazó számítógép.
2. A vezérlő egy kiszolgáló, amelynek szerepe van a hirdetésben, amely a tartományt használó személyek kéréseit feldolgozza.
3. A domain hirdetés egy olyan eszközkészlet, amely egy egyedi név alatt egyesül, amely egyidejűleg használja a közös könyvtáradatbázisokat.
4. Az adatraktár része az adatok tárolásáért és kivonásáért bármely tartományvezérlőből.

Hogyan működik az Active Directory

A munka alapelvei:

• Engedélyezésamellyel az a lehetőség, hogy a számítógépet a hálózaton egyszerűen használja személyes jelszó. Ugyanakkor a fiók összes információját elhalasztják.
• Biztonság. Az Active Directory felhasználói felismerési funkciókat tartalmaz. Minden hálózati objektumhoz távolról, egy eszközről, hogy a megfelelő jogokat, amelyek a kategóriáktól és az adott felhasználóktól függenek.
• Hálózati adminisztráció Egy pontból. Munka közben az eszköz rendező, Sisadmin nem kell újra beállítani a teljes PC, ha kell változtatni a hozzáférési jogokat, például a nyomtatóhoz. A változásokat távolról és globálisan végzik.
• Teljes integráció a DNS-vel.. Segítségével a Confusion nem jelentkezik a hirdetésben, az összes eszköz ugyanúgy jelenik meg, mint a világhálóban.
• Nagy léptékű. A szerverek készlete képes egy aktív könyvtár megfigyelésére.
• Keresés Ez a különböző paraméterek, például a számítógép neve, bejelentkezés.

Tárgyak és attribútumok

Az objektum egy olyan attribútumcsoport, amely a saját nevében egyesül, amely hálózati erőforrás.

Attribútum - Az objektum jellemzői a könyvtárban. Például például a felhasználónevet, a bejelentkezést tartalmazza. De a PC-fiók tulajdonságai lehetnek a számítógép neve és leírása.

"Tisztviselő" - olyan objektum, amely "teljes név", "pozíció" és "tabn" attribútumokkal rendelkezik.

Konténer és LDAP név

Konténer - olyan tárgyak típusa, amelyek képesek más tárgyakból áll. Például tartalmazhat fiókobjektumokat.

Fő kinevezése - objektumok megrendelése A jelek típusa szerint. Leggyakrabban a tartályokat ugyanazokkal az attribútumokkal rendelkező objektumok csoportjához használják.

Majdnem minden konténer egy objektumkészletet jelenít meg, és az erőforrásokat egy egyedülálló Active Directory objektum jelzi. A hirdetési konténerek egyik fő típusa egy szervezet modul, vagy OU (szervezett egység). A tartályba helyezett objektumok csak a létrehozott tartományhoz tartoznak.

Lightweight Directory Access Protocol (Lightweight Directory Access Protocol, LDAP) a fő TCP / IP kapcsolatot algoritmus. Úgy tervezték, hogy csökkentse a nuangyok számát a katalógusszolgáltatások elérése során. A könyvtáradatok kérésére és szerkesztéséhez használt LDAP telepített műveletekben is.

Fa és webhely

A tartományfa egy szerkezet, amelynek tartománya van Általános rendszer és az átfogó névteret alkotó konfigurációt, és a bizalmi kapcsolatokhoz kapcsolódik.

A domain-erdő a maguk között társított fák összessége.

A webhely egy olyan olyan eszközkészlet, amely olyan fizikai hálózati modellt képvisel, amelynek tervezése az építési logikai ábrázolásától függetlenül. Az Active Directory képes olyan webhelyek számát létrehozni, amelyek egy helyszínen N-szám-számú webhelyet hoznak létre.

Active Directory telepítése és konfigurálása

Most közvetlenül az Active Directory konfigurációra fordulunk példa ablakok Szerver 2008 (az eljárás más változatain azonos):

Nyomja meg az "OK" gombot. Érdemes megjegyezni, hogy ezek az értékek nem szükségesek. Használhatja az IP-címet és a DNS-t a hálózatról.

• Ezután el kell mennie a "Start" menübe, válassza az "Adminisztráció" és a "" lehetőséget.
  
• Menjen a "Szerep", válassza ki a mezőt " Adjon hozzá szerepet”.
  
• Válassza az "Active Directory Domain Services" elemet kétszer "Tovább" és "Telepítés" után.
  
• Várja meg a telepítést.
  
• Nyissa meg a "Start" menüt - " Végez". A mezőbe írja be a dcpromo.exe-t.
  
• Kattintson a "Tovább" gombra.
  
• Tárgy kiválasztása " Teremt Új domain Az új erdőben- Nyomja meg újra a "Tovább" gombot.
  
• A következő ablakban írja be a nevet, kattintson a "Tovább" gombra.
  
• Választ kompatibilitási módban (Windows Server 2008).
  
• A következő ablakban hagyja el mindent alapértelmezés szerint.
  
• Fuss konfigurációs ablakDNS.. Mivel a kiszolgálón nem használták, a küldöttség nem jött létre.
  
• Válasszon ki egy könyvtárat a telepítéshez.
  
• Ezt a lépést követően meg kell kérdezned adminisztrációs jelszó.

A megbízhatóság érdekében a jelszónak meg kell felelnie az ilyen követelményeknek:

A hirdetés után befejezi a komponensek konfigurálását, újra kell indítania a kiszolgálót.

A konfiguráció befejeződött, felszerelt és szerep van a rendszerre. A hirdetést csak a Windows Server családon telepítheti, rendszeres verziókat, például 7 vagy 10, csak telepíthető a vezérlő konzol telepítéséhez.

Adminisztráció az Active Directoryban

Alapértelmezés szerint az Active Directory felhasználók és a számítógépes konzol egy olyan tartományban működik, amelyhez a számítógép tartozik. A konzolfán keresztül csatlakoztathatja a számítógépek és a felhasználók objektumait a konzolfán keresztül, vagy csatlakozhat egy másik vezérlőhöz.

Az azonos konzol eszköze lehetővé teszi, hogy nézze meg extra lehetőségek Tárgyak és keressük őket, új felhasználókat, csoportokat és az engedélytől való váltásokat hozhat létre.

By the way, van 2 típusú csoport Az eszközkönyvtárakban - biztonság és terjesztés. A biztonsági csoportok felelősek az objektumokhoz való hozzáférés jogainak elzáródásáért, elosztási csoportként használhatók.

Az elosztócsoportok nem tudnak megkülönböztetni a jogokat, de elsősorban a hálózaton lévő üzenetek terjesztésére használják.

Mi a küldöttség hirdetése

Maga a küldöttség engedélyek és ellenőrzés részének átadása A szülő tárgyából egy másik felelős oldal.

Ismeretes, hogy minden szervezetnek több rendszergazdája van a székhelyén. Különböző feladatok Más vállakon kell meztelenül. A változások alkalmazása érdekében szükség van olyan jogokra és engedélyekre, amelyek szabványosnak és különlegesnek minősülnek. Különleges célra alkalmazható egy adott objektumra, és a szabvány olyan meglévő jogosultságokból áll, amelyek egyedi funkciókat elérhetnek vagy elérhetetlenek.

A bizalmi kapcsolatok telepítése

A hirdetésben kétféle bizalmi kapcsolat van: "egyirányú" és "kétirányú". Az első esetben egy domain megbízhat egy másik, de nem az ellenkezőjét, az elsőnek hozzáférést biztosít a második forrásokhoz, és a második nem fér hozzá. A "kölcsönös" második formájában. Vannak "kimenő" és "bejövő" kapcsolatok is. A kimenő - az első domain megbízható a második, így lehetővé teszi a felhasználók számára az első forrásait.

A telepítés során az eljárásokat végre kell hajtani:

• Jelölje be Hálózati kapcsolatok a kotrollárok között.
• Ellenőrizze a beállításokat.
• Dallam Névfelbontás külső tartományok számára.
• Kommunikáció létrehozása a bizalmi tartományból.
• Hozzon létre egy kapcsolatot a vezérlőtől, amelyre a bizalom foglalkozik.
• Ellenőrizze a létrehozott egyirányú kapcsolatot.
• Ha egy felmerül a nép A kétoldalú kapcsolatok létrehozásában - a telepítés érdekében.

Globális katalógus

Ez egy olyan tartományvezérlő, amely tárolja az összes erdészeti objektum másolatát. Ez biztosítja a felhasználókat és programokat, hogy a jelenlegi erdő bármely tartományában tárgyakat keressen attribútum érzékelő eszközöka globális könyvtárba tartozik.

A Global Catalog (GC) korlátozott tulajdonságot tartalmaz minden egyes tartományban az egyes erdei objektumok számára. Az erdőkatalógus összes partíciójából származó adatok az erdőben található, azokat a szabványos Active Directory Service replikációs folyamat segítségével másolja.

A rendszer meghatározza, hogy az attribútum másolódik-e. Van egy lehetőség konfiguráció további jellemzők Ez az Active Directory sémával újra létrejön a globális könyvtárba. Az attribútum hozzáadása egy globális könyvtárhoz, ki kell választania a replikációs attribútumot, és használja a "Másolás" opciót. Ezt követően az attribútum replikáció jön létre a globális könyvtárban. Attribútum paraméterérték ismemberfpartialattributeset. lesz az igazság.

Azért, hogy elhelyezkedés Globális könyvtár, meg kell adnia a parancssorba:

Dsquery Server -isGC.

Adat-replikáció az Active Directoryban

A replikáció egy másolási eljárás, amelyet elvégeznek, ha ugyanazokat a topikális információkat kell tárolni, amelyek bármelyik vezérlőn léteznek.

Termel az üzemeltető részvétele nélkül. Vannak ilyen típusú replika tartalma:

• Az adatok replikáit az összes meglévő területről hozták létre.
• Replika adatrendek. Mivel az adatok rendszere az Active Directory összes erdei objektuma, a replikáit minden tartományon tárolják.
• Konfigurációs adatok. Megmutatja a vezérlők közötti példányok építését. A részleteket az összes erdészeti tartományra osztják.

A replikák fő típusai az intracelain és az interszlováció.

Az első esetben a módosítások után a rendszer várja, majd értesíti a partnert a másolatok létrehozásáról a változások befejezéséhez. Még a változás hiányában is a replikációs folyamat automatikusan egy bizonyos idő után következik be. A katalógusok kritikus változásainak alkalmazása után a replikáció azonnal bekövetkezik.

Replikációs eljárás a csomópontok között az intervallumokban fordul elő Minimális hálózati terhelés, elkerüli az információs veszteséget.

A számítógép novemberi kérdésében kulcsfontosságú lehetőségekkel ismerkedtünk meg Windows PowerShell - Új parancssor és forgatókönyv nyelv microsoft.. Ma megvizsgáljuk a környezet használatát az Active Directory (AD) vállalati könyvtárának adminisztrációjában.

Röviden a PowerShellről

A Windows PowerShell egy új parancssor és egy script nyelv a Microsofttól. A PowerShell a Windows Server 2008 rendszerösszetevője (csak ki kell választania a kiszolgálókezelőben), és letölthető a www.microsoft.com/powershell oldalról a Windows XP, a Windows Server 2003 és a Windows Vista rendszerről.

Ha nem ismeri a Windows PowerShell-t, javasoljuk, hogy először olvassa el a cikket "Windows PowerShell. Röviden a fő dologról. "A 11'2007 számítógépen. Ebben a kiadványban korlátozni fogjuk magunkat az alapok rövid ismétléséhez, és azonnal továbblépünk a cikk fő témájához.

Tehát a PowerShell parancsokat cmdlets (cmdlet) nevezik, és egy igékből áll (például kap, beállít, új, eltávolítunk, mozgassa, csatlakoztassa) és egy főnevet egyetlen számban, amely leírja az akció tárgyát. Van közöttük kötőjel. Kiderül valami, mint: Get-Process, Stop-Service stb.

A csapatok általában függőleges funkcióval rendelkező szállítószalaggal vannak társítva (|). Ez a jel azt jelenti, hogy az előző parancs teljes gyűjteményét a következőre továbbítják.

Az ilyen objektumorientáció nagyon kényelmes, mert könnyűvé teszi az objektumok működtetését, és összekapcsolja a csapatot. Ebben a cikkben megmondjuk, hogy ez a megközelítés hogyan segíti az Active Directory alapú vállalati könyvtár kezelését.

Az Active Directory használatának módjai

Az Active Directory címtár a vállalati hálózatok alapja windows adatbázis Szerver 2000, 2003 és 2008. Ez az, hogy mindent tárolnak fiókok Felhasználók, Információk a csoportokról, a hálózati számítógépekről, az e-mail dobozokról és sok más dologról.

Mindezen gazdagságot kell kezelni, amelyre a Windows Server részét képező megfelelő eszközkészletet kell kezelni, de a PowerShell, amely megkönnyíti a tömeges intézkedések automatizálását nagyszámú tárgyat.

Három fő módja van az Active Directory használatához a Windows PowerShell-ban:

• az Active Directory Service interface interfész (ADSI) segítségével ez a módszer a legnehezebb, de bármely PowerShell telepítésben működik, és nem igényel további modulokat. A VBSRIPT forgatókönyv nyelvén használt kontroll módszerhez is legközelebb van;
• a PowerShell kiterjesztésben szereplő Active Directory szolgáltató használatával ez a módszer lehetővé teszi, hogy egy könyvtárat csatlakozzon a számítógépen lévő lemez formájában, és navigáljon rajta keresztül a megfelelő parancsok: Dir, CD stb. Ez a módszer szükség van egy kiegészítő modul telepítésére a codeplexből;
• az Active Directory Cmdlets használatával ez a legkényelmesebb módja a könyvtári objektumok manipulálására, de a megfelelő modulok további telepítését is igényli.

ADSI

Az Active Directory Service interfészek (ADSI) ismerősek mindenkinek, aki megpróbált írni szkripteket a vbscript nyelven. A Powerhell-ban ez az interfész az úgynevezett adapter segítségével valósul meg. A négyszögletes zárójelben az adapter (ADSI) neve és az objektum elérési útja az LDAP lekérdezési könyvtárban (Lightweight Directory Access Protocol - A könyvtárakkal való együttműködés protokollja, amely támogatja mind a hirdetés), hozzáférhetünk egy objektumhoz és további hívja meg az IT módszereket.

Például csatlakoztassa az egyik könyvtár tartályhoz, és hozzon létre egy új felhasználói fiókot.

$ Objou \u003d "LDAP: // mydc: 389 / ou \u003d cto, dc \u003d alkalmazottak, dc \u003d testdomain, dc \u003d helyi"

Tehát most van egy $ objou változó, amely tartalmazza a konténerre vonatkozó információkat (változó nevek a PowerShellben a dollár ikonról).

Hívja a módszert Teremt. És hozzon létre egy új felhasználót a tartályban:

$ Objuser \u003d $ objou.Create ("felhasználó", "cn \u003d dmitry sotnikov")

Most különböző attribútumokat állíthatunk be:

$ objuser.put ("samaccountname", "dsotnikov")

Végül megadjuk azt a könyvtárat, amelyet a módosításokat alkalmazni kell:

$ objuser.setinfo ()

Az ADSI adapter használatának előnyei:

• jelenléte bármely szállítási powerhell. Ha telepítette a PowerShell-ot, és van egy olyan könyvtár, amellyel dolgozni kell - van mindent, amire szüksége van;
• alkalmazzon megközelítést a VBScript közelében. Ha gazdag tapasztalattal rendelkezik a VBScript forgatókönyv nyelvével vagy a mellékletekben található könyvtárral, akkor magabiztosan érezheti ezt a megközelítést.

Sajnos a módszer hibái vannak:

• nehézség a legnehezebb módja a könyvtárral. Írja be az utat az objektumhoz az LDAP kérés formájában nem triviális. Az attribútumokkal kapcsolatos munkákhoz meg kell adnia belső nevét, ezért meg kell emlékezni, hogy a város várost jelző attribútumot nem "város", hanem "L", stb.
• bulkness - Amint a példa alapján látható, az egyik fiók létrehozásának legegyszerűbb működése legalább négy sort foglal el, beleértve a tartályhoz való csatlakozáshoz és a változtatásokat. Így a viszonylag egyszerű műveletek hasonlóak a komplex forgatókönyvekhez.

Hirdetési szolgáltató

A PowerShell lehetővé teszi, hogy különböző rendszereket képviseljen a számítógép további lemezeinek formájában az úgynevezett szolgáltatókkal. Például a PowerShell szállítás tartalmazza a rendszerleíró adatbázis-szolgáltatót, és a rendszerleíró adatbázisban ismerkedhet meg az ismerős és kedvenc CD és Dir parancsokkal (UNIX szerelmesek számára, az LS csapat is támogatott).

Az Active Directory szolgáltató nem a Powerhell-ban van, de telepítheti azt, a PowerShell kiterjesztések projektje webhelyére - PowerShell közösségi kiterjesztések: http://www.codeplex.com/powershellcx.

Ez egy nyílt forráskódú projekt, amely nagyszámú csapatot ad hozzá a PowerShell rendszerhez, és ezenkívül beállítja a hirdetési szolgáltatót.

Az Active Directory szolgáltató használata

A bővítmények telepítése után a Get-PsDrive beírása után ezt látjuk korábbi lemezek Hozzáadott lemez az aktuális aktív könyvtárban.

Most meg tudjuk menni erre a könyvtárba CD beírásával és meghatározva a tartomány nevét, és bármely tartályban használja a dir parancsot, hogy megtekinthesse tartalmát.

Ezenkívül más ismerős fájlkezelési parancsokat (például DEL) hívhat.

A szolgáltató használatának kétségtelen előnyei tulajdoníthatók:

a könyvtár szerkezetének ábrázolásának természetessége az AD könyvtár a természet hierarchichnyjével, és hasonló a fájlrendszerhez;

az objektumok megtalálásának kényelme a CD és a DIR sok kényelmesebb alkalmazása, mint az LDAP lekérdezése.

A hátrányok feltűnőek:

• a komplexitás a változtatások tárgyak - a szolgáltató segít, hogy könnyen eléri a tárgyat, de a változás valamit, akkor újra kell használni minden ugyanabba a könyvtárba, mint az ADSI módszer, ehhez meg kell működtetni alacsony szintű szolgáltatást Módszerek és attribútumok hirdetése;
• a további telepítés szükségessége - a szolgáltató nem szerepel a PowerShellben, és a PowerShell kiterjesztéseket letölteni és telepíteni kell;
• harmadik napos eredetű - A PowerShell kiterjesztések nem Microsoft termék. Ezeket a projekt rajongók hozták létre. Ön szabadon használhatja őket, de mert műszaki támogatás Kapcsolatba kell lépnünk a Microsoft, hanem a projekt webhelyére.

Hirdetés cmdlets

A fent leírt szolgáltató mellett van egy sor cmdlets, hogy dolgozzon az AD-vel (gyakran nevezett hirdetési cmdlets vagy qad cmdlets), elérhető a http://www.quest.com/activerres_server/ars.aspx.

A cdamlák standard igékből állnak (Get-, Set-, Rename-, Remove-, Új, Mozgás, Connect-) és főnevek QAD PREFIX (-qaduser, -qadgroup, -qadcomputer, -qadobject).

Például egy új olvasási felhasználó létrehozásához ilyen parancsot kell végrehajtania:

Ennek a megközelítésnek az előnyei:

• könnyű - A cmdletek használata elrejti a könyvtár komplexitását, annak rendszereit és belső tulajdonságait. Az érthető objektumnevek (felhasználó, csoport, számítógép), tulajdonságai (név, jelszó, város, osztály) és akciójuk szintjén dolgozik a könyvtári objektumokkal (név, jelszó, város, osztály) és akciójuk (Get, Set, Eltávolítás, Mozgás, Új);
• rövidség és expresszivitás - Amint láttuk, a cmdlets-eket használó műveletek nagy részét egyszerű és természetes egysoros műveletek formájában fejezhetjük ki.

• a PowerShell-ban nem szerepelnek a kiegészítő telepítés - cmdlets szükségessége, és letöltenie kell és telepítenie kell a megfelelő könyvtárat;
• harmadik napos eredetű - Cmdlets A hirdetéshez való munkavégzés nem a Microsoft terméke. Ezek a Microsoft Partner - Quest szoftver által készítettek. Ön szabadon alkalmazhatja őket, de a technikai támogatást a Microsoft, de az Active Directory fórumokon kell a PowerGui.org weboldalon.

Véleményünk szerint ezek a hátrányok több mint kompenzálják az egyszerűséget és a természetességet, így gyakorlati példák Ezt az adott megközelítést alkalmazzák.

Az Active Directory kezelése.

Lássuk, hogy a Powershell lehetővé teszi az alapműveletek elvégzését az AD könyvtárral való munkavégzéshez:

• az információ fogadása;
• tulajdonságok módosítása;
• csoportokkal dolgozik;
• Új objektumok létrehozása;
• a könyvtár szerkezetének megváltoztatása

Az információ fogadása

Az információ megszerzését a Powerhellben végezzük a Geti Glagol Cmdlets segítségével.

Például, hogy megkapja az összes felhasználó listáját, pontszám:

Csoportok számára:

Számítógépek rögzítése:

Ha nem minden rekordra van szüksége, de néhány specifikus, kiválaszthatja őket parancsparaméterekkel.

A felhasználók listája

Minden csoport a tartályhasználóktól:

Get-qadgroup -searchroot skorpio.local / felhasználók

A Moszkvai Irodai Értékesítési Osztály minden felhasználója, akinek neve az A betűn kezdődik:

Get-Qaduser -City Moszkva -Feum-értékesítés -name A *

Ugyanakkor elmondhatja PowerShell'y-t, milyen formában szeretné látni a kapott információkat.

Táblázat nevekkel, városokkal és osztályokkal foglalkozik:

Get-Qaduser | Formátum-asztal neve, város, osztály

Ugyanez a városok válogatásával:

Get-Qaduser | Rendezés város | Formátum-asztali kijelzőnév, város, osztály

A kimeneti mezők rendezése és kiválasztása

Az ugyanazon információk listájának megtekintéséhez egyszerűen csak a formátum-lista parancsot használjuk:

Get-Qaduser | Formátumlista név, város, osztály

Információk exportálása a CSV-fájlba (vesszővel elválasztott értékek - értékek vesszővel):

Get-Qaduser | Válassza ki a nevet, a várost, az osztály | Out-CSV felhasználók.csv

Jelentés létrehozása HTML formátumban:

Get-Qaduser | Válassza ki a nevet, a várost, az osztály | Converto-html | Out-File felhasználók.html

Így egy egyszerű PowerShell parancs egyik sora komplex jelentéseket hozhat létre az Ön számára.

A PowerShell lehetővé teszi, hogy megváltoztassa a készlet attribútumait
Egy parancs bejegyzései

Tulajdonságok módosítása

Miután elsajátítottuk az információkat a könyvtárból, itt az ideje, hogy megváltoztassunk valamit.

Az objektumok tulajdonságai manipulálhatók a set- * parancsokkal.

Például módosítsa a telefonomat:

Set-Qaduser 'Dmitry Sotnikov' - 111-111-111 '

Természetesen a hatalmas változások sokkal érdekesebbek. Ehhez használhatjuk a PowerShell szállítószalagot, azaz az objektumok listáját kaphatjuk, amelyre szüksége van a Get- parancsok használatával, és elküldi azokat a Set parancshoz, hogy módosítsa.

Például Perm Office egy új szobába költözött. Vegye ki az összes felhasználót, és hozzárendeljen nekik egy új telefonszámot:

Get-Qaduser -City Perm | Set-Qaduser -Phonenumber '+ 7-342-111111' '

A bonyolultabb manipulációkért használhatja a Cmdlet forage objektumot. Például minden felhasználó hozzárendel egy leírást, amely a részlegéből és a városból áll:

Get-Qaduser | Foreach objektum (SET-QADUSER $ _ -Description (S_.City + "" + $ _. Osztály)))

A $ _ változó ebben a példában a gyűjtemény aktuális objektumát jelzi.

A PowerShell lehetőséget kínál a kényelmes munkára.
Felhasználói csoportokkal

Csoportokkal dolgozik

A csoportokkal és a tagsággal való együttműködés egy másik tömeges művelet, amelyet gyakran automatizálni kíván. A PowerShell ilyen lehetőséget biztosít.

A csoport tagjainak megszerzése a Get-QadgroupMember Cmdlet használatával történik:

Get-QadgrubMember vezetők

Az objektum hozzáadása a csoporthoz is könnyű:

Add-QadgroupMember Scorpio \\ Managers -Member dsotnikov

Hasonlóképpen, a csoport eltávolítása az eltávolítás-Qadgroupmember cmdlets segítségével történik.

Természetesen a tömeges manipulációk a leghasznosabbak. Adja meg az összes vezetőt a megfelelő csoporthoz:

Get-Qaduser -Title Manager | Add-QadgroupMember Scorpio \\ Managers

Másolja a tagságot a csoportban:

Get-QadgroupMember Scorpio \\ Managers | Add-QadgroupMember Scorpio \\ Managers_Copy

Használja a szűrőt, hogy ne másolja az összes csoporttagot, de csak azok, akik felelősek bizonyos kritérium (Például a jobb régióban található):

Get-QadgroupMember Scorpio \\ Managers | Hol ($ _. City -Eq 'Ekaterinburg ") | Add-QadgroupMember Scorpio \\ Ekaterinburg_managers

Kérjük, vegye figyelembe, hogyan szűrtük a felhasználókat a hol és logikai állapot (A logikai operátor -EQ PowerShell egyenlőségi szolgáltató, angolról.egyenlő).

Tárgyak létrehozása

Objektumok létrehozása, amint azt már láttuk, a csapatok új:

Új-qaduser -parentcontainer scorpio.local / alkalmazottak -Name 'Dmitry Sotnikov'

Új-qadgroup -parentcontainer scorpio.local / alkalmazottak -Name 'menedzserek "-Type Security -scope globális

Bármely más attribútumot telepíthet a rekord létrehozásának folyamatában:

Új-Qaduser -ParentContainer Scorpio.Local / Munkavállalók -name 'Dmitry Sotnikov' -samaccountname dsotnikov -város 'Szentpétervár' -Jelszó " [E-mail védett]’

A rekord aktiválásához egyszerűen küldje el a szállítószalagnak az Enable-Qaduser (Ne felejtse el beállítani a jelszót - egyébként a művelet nem fog továbbítani):

Új-qaduser -parentcontainer scorpio.local / alkalmazottak -Name 'Dmitry Sotnikov' -password ' [E-mail védett]"| Enable-Qaduser.

Import-CSV New_Users.csv | Foreach-objektum (új-qaduser -parentcontainer scorpio.local / felhasználók -name ($ _. Familia + ',' + $ _. Imya) -SamaccountName ($ _. Imya + $ _. Familia) -Title $ _. Cím)

Felhívjuk figyelmét, hogy a fiók nevében repülünk a vezetéknév és a felhasználónév néven.

Példa az importfájl használatára
Rekord

A könyvtár szerkezetének megváltoztatása

Végül természetesen kezelheti a könyvtár szerkezetét.

Például új konténereket hozhat létre:

Új-QADOBECT -TYPEANUNIT-PARENTCONTAINER SCORPIO.LOCAL -NAME NEWOU

és mozgassa az objektumokat egymás mellett:

Move-Qadobject MyServer - Scorpio.Local / Szerverek

vagy nagykereskedelem:

Get-Qaduser -diLabled | Move-QadObject -to Scorpio.Local / Disabled

Fájl importálása és új fiókok létrehozása

Könnyen kiválaszthatunk olyan fiókokat, amelyek kielégíthetők
egy bizonyos kritérium, és áthelyezi őket egy másik tartályba

És még sok más

Az MMA csak egy kis részét adta meg az Active Directory kezeléséhez. Megszerezni teljes lista Clamm a hirdetéshez futtassa a parancsot:

Get-Command * -qad *

A tanúsítvány megszerzése bármely csapat számára:

Get-Súgó Get-Qaduser

Annak érdekében, hogy megtudja, melyik tulajdonság van egy objektív objektum a parancs segítségével:

Get-User | Kapótag.

A PowerShell funkciók gyakorlatilag végtelenek, de ugyanakkor találják meg őket.

Következtetés

A Kcak láttuk, hogy a PowerShell kiváló Active Directory. A tulajdonságok egy része (ADSI) bármely PowerShell beállításban érhető el. Néhány (szolgáltató és cmdlet) további modulokat igényel. Mindegyikük óriási lehetőségeket kínál a vállalati könyvtár irányításának automatizálására, ezért csökkenti a kockázatokat, megszabaduljon a rutinból, és növelje a munka hatékonyságát.

A legfontosabb dolog az, hogy ezek a technológiák már rendelkezésre állnak, és képesek segíteni a megbízott rendszerek adminisztrációjában ma. Összefoglalva, idézzük a rendszergazdát CJSC EVRASSFINANCE CJSC VASILY GUSEVA: "Cégünkben, valamint mindenhol, az Active Directory az egyik leggyakrabban használt és kritikus szolgáltatás. PowerShell és Ad Cmdlets segítségével sok feladat könnyebbé vált a parancssoron keresztül, mint az ADUC (Active Directory felhasználók és számítógépek. - Kb. Piros.).). Soha még mindig az Active Directory soha nem volt könnyű és elérhető. "

Alexander Emelyanov

Az Active Directory tartományban lévő fiókok kezelése

Az adminisztrátor egyik legfontosabb feladata a helyi és domain számlák kezelése: a felhasználói jogok ellenőrzése, idézete és elhatárolása az igényeik és a vállalati politikák függvényében. Mit kínálhat az Active Directory e tekintetben?

Az Active Directory ciklus ciklusának folytatásában ma beszélünk az adminisztrációs folyamat központi kapcsolatáról - a felhasználói számviteli adatok kezelése a tartományon belül. Figyelembe fogjuk venni:

• számlák létrehozása és kezelése;
• a felhasználói profilok típusai és azok használata;
• biztonsági csoportok hirdetési területeken és kombinációiban.

Végül alkalmazhatjuk ezeket az anyagokat, hogy felépíthessenek egy olyan meglévő munkainfrastruktúrát vagy finomítást, amely megfelel az Ön igényeinek.

Előre nézve azt mondom, hogy a téma szorosan kapcsolódik a csoportpolitikák adminisztratív célokra történő alkalmazásához. De az általuk elkötelezett anyag hatalmasságának köszönhetően a következő cikkben nyilvánosságra kerül.

Ismerkedés az Active Directory - Felhasználók és számítógépek

Miután telepítette az első vezérlőt a tartományban (ténylegesen szervez egy tartományt), öt új elem jelenik meg az adminisztrációs részben (lásd az 1. ábrát).

Kezeléséhez AD objektumok, Active Directory használata esetén - a felhasználók és számítógépek (ADUC - ad a felhasználók és számítógépek, ld. 2.), amely szintén az úgynevezett a „Run” menü segítségével Dsa.msc.

Az ADUC használatával létrehozhatja és törölheti a felhasználókat, hozzárendelheti a bejelentkezési parancsfájlokat a csoportok és a csoportos házirendek tagság kezeléséhez.

A hirdetésobjektumok kezelésének módja is van, anélkül, hogy közvetlenül elérné a kiszolgálót. Ez biztosítja az Adminpak.msi csomagot, amely a% System_Drive% \\ Windows \\ System32 könyvtárban található. Az autójára fordítva, és a domain rendszergazda jogai (ha nincs), a domaint is beadhatja.

Az ADUC megnyitásakor megtekintjük az öt tartályt és a szervezeti egységet tartalmazó domainünk ágát.

• Beépített.. Ez olyan beépített helyi csoportokat tartalmaz, amelyek bármely kiszolgálógépen vannak, beleértve a tartományvezérlőket is.
• Felhasználók és számítógépek. Ezek olyan konténerek, amelyekben az alapértelmezett felhasználók, csoportok és számítógépek számlái a rendszer telepítése a Windows NT. De új fiókok létrehozásához és tárolásához nem kell csak ezeket a tartályokat használni, akkor még egy tartománytartályban is létrehozhat egy felhasználót. Amikor bekapcsolja a számítógépet a tartományba, megjelenik a számítógépes tartályban.
• Tartományvezérlők.. Ez a szervezeti egység (OU, szervezeti egység), amely az alapértelmezett tartományvezérlőket tartalmazza. Új vezérlő létrehozásakor itt jelenik meg.
• Külsejesség-principals.. Ez az alapértelmezett tartály a külső megbízható domainek objektumai számára.

Fontos megjegyezni, hogy a csoportpolitikák kizárólag a tartományra, ou vagy webhelyre vannak kötve. Ezt figyelembe kell venni a domain adminisztratív hierarchiájának létrehozásakor.

Adunk meg egy számítógépet a tartományban

Az eljárást közvetlenül a csatlakozni kívánt helyi gépen végezzük.

Válassza a "Sajátgép -\u003e Tulajdonságok -\u003e Számítógép neve", nyomja meg a "Change" gombot és a "Tag" menüben válassza a "Domain" menüpontot. Adjuk meg a tartománynevet, amelyben hozzá szeretnénk hozzáadni a számítógépünket, és aztán azt bizonyítjuk, hogy joga van a munkaállomások hozzáadásához a tartományba a tartományi rendszergazdai hitelesítési adatok megadásával.

Hozzon létre egy tartományfelhasználót

A felhasználó létrehozásához ki kell választania bármely olyan tartályt, amelyben található, kattintson rá a jobb egérgombbal, és válassza a "Létrehozás -\u003e Felhasználó" lehetőséget. Megnyílik a felhasználó létrehozása varázsló. Itt megadhatja az attribútumok számos attribútumát, kezdve a tartomány felhasználónevével és ideiglenes naplózási keretével, és befejeződik a terminálszolgáltatások és a távoli hozzáférés beállításával. A varázsló befejezése után új tartományfelhasználót kap.

Meg kell jegyezni, hogy a felhasználó létrehozása során a rendszer "esküszik" a jelszó elégtelen összetettségére vagy annak rövidségére. A tartománybiztonsági házirend (alapértelmezett tartománybiztonsági beállítások) megnyitásával enyhítheti a követelményeket, majd a "Biztonsági beállítások -\u003e Fiókpolitikák -\u003e Jelszóiroda.

Hagyjuk létrehoztuk a felhasználót Ivan Ivanov a felhasználói konténerben (felhasználói bejelentkezési név: [E-mail védett]). Ha NT 4 rendszerben csak a dekoráció szerepe, akkor a hirdetésben az LDAP formátumban szereplő név része, amely teljesen így néz ki:

cN \u003d "Ivan Ivanov", CN \u003d "Felhasználók", DC \u003d "HQ", DC \u003d "Helyi"

Itt a CN - konténer neve, DC - domain összetevője. Az LDAP objektumok leírása a WSH parancsfájlok (Windows Script-host) vagy az LDAP protokoll használatával történő végrehajtására szolgál az Active Directory kommunikálásához.

A domainbe való belépéshez Ivan Ivanovnak UPN formátumban kell használnia a nevet (univerzális főnév): [E-mail védett] A hirdetési területeken is világossá válik, hogy írja a nevet a régi formátumban NT 4 (Win2000 előtt), ügyünkben hq \\ Ivanov.

Felhasználói fiók létrehozásakor automatikusan hozzárendeli a biztonsági azonosítót (SID, biztonsági azonosító) egy egyedi szám, amellyel a rendszer és a felhasználókat határozza meg. Nagyon fontos megérteni, hiszen egy fiók törlése esetén az SID törlődik, és soha többé nem használja. És minden új fióknak új SID-je lesz, ezért nem lesz képes a régi jogok és jogosultságok megszerzésére.

Egy fiókot át lehet mozgatni egy másik tartályba, vagy ou, letiltja, vagy éppen ellenkezőleg, engedélyezze, másolhatja vagy swap jelszó. A másolatot gyakran használják ugyanazon paraméterekkel rendelkező több felhasználó létrehozására.

A felhasználó munkakörnyezete

A szerveren központilag tárolt hitelesítő adatok lehetővé teszik a felhasználók számára, hogy egyértelműen azonosítsák magukat a tartományban, és releváns jogokat és hozzáférést kapjanak a munkakörnyezethez. A Windows NT család összes operációs rendszere a munkakörnyezet létrehozására szolgál az ügyfélgép felhasználói profiljában.

Helyi profil

Tekintsük a felhasználói profil fő összetevőit:

• A nyilvántartási partíció megfelel egy adott felhasználónak ("kaptár" vagy "kaptár").Valójában a rendszerleíró adatbázis ezen vonalának adatai az NTUSER.DAT fájlban vannak tárolva. A% SystemDrive% \\ Dokumentumok és Beállítások \\ user_name mappában található, amely felhasználói profilt tartalmaz. Így, amikor az adott felhasználó bejelentkezik a rendszerbe a HKEY_CURRENT_USER részben a „kaptár” A Ntuser.dat kerül betöltésre a mappát, amelyben a profil. És a felhasználói környezeti beállítások összes módosítása a munkamenetre vonatkozóan ebben a "kaptárban" tartja fenn. Az ntuser.dat.log fájl egy tranzakciós napló, amely az NTUSER.DAT fájl védelme érdekében létezik. Azonban a Felhasználói alapértelmezett felhasználó számára aligha találja meg, mert ez egy sablon. Ez a következő. Az adminisztrátor képes egy adott felhasználó "kaptárát" szerkeszteni a munkakörnyezetétől. Ehhez a Regedit32 Rendszerleíróadatbázis-szerkesztő használatával a HKEY_USERS szakaszban "kaptár" -t kell betöltenie, majd a változtatásokat a kirakodás után.
• Mappák fájlrendszeregyedi beállítási fájlokat tartalmaz. Ezek egy speciális katalógus% SystemDrive% \\ Documents és Settings \\ user_name, ahol a felhasználó_neve a bejelentkezett felhasználó neve. Itt tárolják az asztal elemeit, az indítás elemeit, a dokumentumokat stb.

Ha a felhasználó először belép a rendszerbe, az alábbiak történnek:

1. A rendszer ellenőrzi, hogy létezik-e a felhasználó helyi profilja.
2. Miután megtalálta, a rendszer a tartományvezérlőre utal az alapértelmezett domainprofil keresésére, amely az alapértelmezett felhasználói mappában kell lennie közös erőforrás Netlogon; Ha a rendszer észlelte ezt a profilt, akkor helyileg másolódik a géphez a% SystemDrive% \\ Documents and Settings mappában a felhasználónevével, különben a helyi rendszerben a SystemDrive% \\ Documents and Settings \\ Alapértelmezett felhasználó másolódik.
3. A "Hive" rendszerleíró adatbázis-munkamenet a HKEY_CURRENT_USER rendszerleíró részlegben van betöltve.
4. A rendszer elhagyásakor minden változtatás helyileg mentésre kerül.

Végül a felhasználó munkakörnyezete a munkaprofil és az összes felhasználó profil kombinációja, amely közösen tartalmazza a beállítási gép összes felhasználóját.

Most néhány szó egy domain alapértelmezett profiljának létrehozásáról. Hozzon létre egy fiktív profilt az autóján, konfigurálja az Ön igényeinek megfelelően a vállalati politikai követelmények. Ezután hagyja el a rendszert, és menjen vissza egy domain rendszergazdaként. A megosztott Netlogon szerver erőforráson alapértelmezett felhasználói mappát hozhat létre. Ezután a System Applet felhasználói profilok lapján (lásd a 3. ábrát) másolja át a profilját erre a mappára, és adja meg a tartományfelhasználók csoportjának vagy bármely más használatának jogait alkalmas csoport Biztonság. Minden, a domain alapértelmezett profilja létrejön.

Átadott profil

Az Active Directory, mint rugalmas és skálázható technológia lehetővé teszi, hogy a vállalkozás környezetében dolgozzon mozgatott profilokkal, amelyeket tovább fogunk nézni.

Ugyanakkor helyénvaló lesz elmondani a mappák átirányítását az Intellimirror technológia egyik jellemzőjeként, hogy biztosítsák a felhasználói adatok hibakűrűségét és központosított tárolását.

Az átvitt profilokat a kiszolgálón tárolja. A rájuk elérési útja a tartományfelhasználó beállításai (lásd a 4. ábrát).

Ha szeretné, megadhatja a mozgott profilokat több felhasználó számára egyidejűleg, kiemelheti több felhasználót, és a Profil fül tulajdonságaiban adja meg a% felhasználónév% -ot a felhasználónévvel rendelkező mappa helyett (lásd 5. ábra).

Az első bejelentkezés folyamata a rendszerhez, amely egy mozgatott profilú, hasonlít a fent leírt helyi, bizonyos kivételek esetén.

Először is, mivel a felhasználói objektum profiljának elérési útja meg van adva, a rendszer ellenőrzi a profil gyorsítótárazott helyi példányát autóval, majd mindent, amit a leírtak szerint ellenőrzi.

Másodszor, a befejezés után minden változtatás másolódik a kiszolgálóra, és ha a csoport-házirendek nincsenek megadva a helyi másolat törléséhez, a készüléken tárolva. Ha a felhasználó már rendelkezik helyi profil másolattal, a profil szerverét és helyi példányait összehasonlítja és kombinálja őket.

Technológia Intellimirror B. windows rendszerek A legújabb verziók lehetővé teszik az átirányítás meghatározott mappák A felhasználók, például a "Saját dokumentumok", "My képek" stb., Hálózati erőforrás.

Így a felhasználó számára az összes változtatás teljesen átlátható. A dokumentumok mentésével a "Saját dokumentumok" mappába, amelyet szándékosan átirányítanak a hálózati erőforrásra, még akkor sem fogja gyanítani, hogy minden a szerverre kerül.

Az átirányításokat manuálisan konfigurálhatja minden felhasználó számára, és csoportos házirendeket használhat.

Az első esetben a jobb egérgombbal vagy a "START" menüben a "START" menüben kattintson a "START" menüben, és válassza a Tulajdonságok lehetőséget. További minden nagyon egyszerű.

A második esetben meg kell nyitnia egy OU csoportházirendet vagy olyan tartományt, amelyre átirányítást kívánunk alkalmazni, és közzéteszi a hierarchiát "Felhasználói konfiguráció -\u003e Windows konfiguráció"(Lásd a 6. ábrát). Ezután az átirányítás konfigurálva van, vagy minden felhasználónak vagy bizonyos OU biztonsági csoportoknak vagy olyan tartománynak, amelyre a csoportházirendet alkalmazzák.

A mappa átirányítása használata a mozgatható felhasználói profilokkal való munkához, például a profil betöltési idejének csökkentése érdekében. Ez azt állítja, hogy a mozgó profil mindig a szerverről van betöltve, anélkül, hogy helyi másolatot használna.

A mappa átirányítási technológiája története hiányos lenne az önálló fájlok megemlítése nélkül. Lehetővé teszik, hogy a felhasználók hálózati kapcsolat hiányában is dokumentálják a dokumentumokat. Szinkronizálás a kiszolgálói másolatokkal, amikor a számítógép a hálózathoz csatlakozik. Az ilyen szervezeti rendszer hasznos, például a helyi hálózaton és otthoni laptopok felhasználói számára.

A mozgó profilok hátrányai a következők:

• lehetséges, hogy például a felhasználó asztalánál, néhány program címkéi lesznek, és egy másik gépen, ahol az ilyen programok mozgó profiljának tulajdonosát fogja észlelni, a parancsikonok egy része nem lesz munka;
• számos felhasználónak van szokása, hogy tárolja a dokumentumokat, valamint fotókat és még videókat az asztalon, ennek eredményeként, amikor a mozgó profil betöltése a szerverről, minden alkalommal létrejön további forgalom a hálózaton, és maga a profil nagyon hosszú ideig töltődik be; A probléma megoldásához használja az NTFS jogosultságokat, hogy korlátozza a "szemét" megőrzését az asztalon;
• minden alkalommal, amikor a felhasználó belép a rendszerbe, létrehoz egy helyi profil (pontosabban, a szerver profilját helyileg másolják), és ha a munka gépek megváltoznak, akkor mindegyikük továbbra is ilyen "szemét" marad; Ezzel elkerülhető több csoportpolitika konfigurálásával ("számítógépes konfiguráció -\u003e adminisztratív sablonok -\u003e rendszer -\u003e felhasználói profilok", "Roaming profilok törlése").

Egy meglévő felhasználó bevezetése a tartományban

Gyakran, amikor a címtárszolgáltatás a már meglévő hálózaton dolgozik munkacsoportok alapján, a felhasználónak a tartományhoz való bevezetésének kérdése anélkül, hogy elvesztené a munkaközeg beállításait. Ez mozgó profilok segítségével érhető el.

Hálózati erőforrás (például profilok) létrehozása a Felkondó mappában a Felhasználónévvel, és állítsa be az írási engedélyt a mindenki számára. Hagyja, hogy HQUSER-nek nevezzük, és a teljes útja úgy néz ki, mint ez: \\\\ kiszolgáló \\ profilok \\ hquser.

Hozzon létre olyan tartományfelhasználót, aki megfelel a helyi hálózat felhasználójának, és a profil elérési útjaként adja meg a kiszolgáló \\ profilokat \\ hquser.

A felhasználó helyi profilját tartalmazó számítógépen be kell írnia az adminisztrátori fiókot, és a rendszer Applet felhasználói profilok lapján másolja át a \\\\ kiszolgáló \\ profilok \\ hquser mappába.

Könnyen érthető, hogy a következő alkalommal, amikor a rendszert új domain-fiók alatt adja meg, a felhasználóunk betölti munkaprofilját a szerverről, és az adminisztrátor csak eldöntheti, hogy elhagyja-e ezt a profilt, vagy a helyi lehetőséget.

Kilép

Nagyon gyakran, a felhasználók felesleges hálózati lemezekkel vannak betöltve. Annak érdekében, hogy elkerüljék az állandó kérelmeket, hogy tisztítsák meg személyes mappáit a felesleges szemétből (valamilyen oknál fogva mindig szükség van rá), használhatja a kvótamechanizmust. A Windows 2000 rendszerrel kezdődően ez az NTFS kötetekben szabványos eszközökkel történhet.

A kvóták és a konfigurációs mechanizmus engedélyezéséhez a helyi kötet tulajdonságokra kell mennie, és nyissa meg a kvótát (kvóta) (lásd a 7. ábrát).

A foglalt lemezterületen található adatokat is megtekintheti, és minden felhasználó számára külön-külön konfigurálhatja a kvótákat (lásd a 8. ábrát). A rendszer kiszámítja a foglalt lemezterületet az objektumtulajdonos adatok alapján, összegezve az IT-hez és mappákhoz tartozó fájlok mennyiségét.

Felhasználói csoportok a hirdetésben

Felhasználói menedzsment a tartományon belül - A feladat egyszerű. De ha be kell állítania a hozzáférést bizonyos erőforrásokhoz több tucat felhasználó számára, sok idő hagyhatja el a hozzáférési jogok elosztását.

És ha szükség van, hogy finoman körülhatárolja a jogot, hogy a résztvevők több területen belül a fa, vagy erdő, a feladat a feladatokat a halmazelmélet felmerül előtt a rendszergazda. A csoportok használata a mentéshez jön.

A domainben felmerült csoportok fő jellemzője az utolsó cikkben szerepelt a címtárszolgáltatás architektúrájában.

Hadd emlékeztessem Önt arra, hogy a helyi tartománycsoportok magukban foglalhatják a tartományuk és más domainek felhasználói számára az erdőben, de területe csak a tartományra korlátozódik.

A globális csoportok magukban foglalhatják a domainükre vonatkozó felhasználókat, de lehetőség van arra, hogy felhasználják őket, hogy hozzáférjenek az erőforrásokhoz, mind az erdőben, mind az erdőben lévő más területükön.

A nevüknek megfelelő univerzális csoportok bármely tartományból származó felhasználókat tartalmazhatnak, és az egész erdőben való hozzáférést is biztosítanak. Nem számít, hogy a Domain Universal Group létrehozása, az egyetlen, érdemes megfontolni, hogy amikor mozog, a hozzáférési jogok elvesznek, és újra kell hozniuk.

A fent leírt csoportcsoportok fenti és alapelveinek megértése érdekében fontolja meg a példát. Legyen egy erdünk, amely két hq.local és sd.local domént tartalmaz (melyikük gyökér ebben az esetben, nem számít). A tartományok mindegyike olyan erőforrásokat tartalmaz, amelyekhez hozzáférést és felhasználókat kell biztosítani (lásd a 9. ábrát).

Az 1. ábrából. 9 Látható, hogy minden felhasználó az erdőben (zöld és piros vonalak) számára hozzáférést kell biztosítani Docs és DISTRIB források, így mi is létrehozhatunk egy univerzális csoport, amely a felhasználók mindkét területen, és használja azt, amikor meghatározza engedélyeket hozzáférést mindkét források. Vagy két globális csoportot hozhatunk létre minden olyan tartományban, amelyet a felhasználók csak a saját tartományát tartalmaznak, és magukban foglalják őket egy univerzális csoportba. A globális csoportok bármelyike \u200b\u200bis felhasználható a jogok hozzárendelésére.

Az alapkönyvtárhoz való hozzáférésnek csak a HQ.Local Domain (kék vonalak) felhasználóként kell rendelkeznie, ezért magukban foglaljuk őket a helyi tartománycsoportba, és ez a csoport hozzáférést biztosít.

A disztribúciós katalógusnak jogában áll mind a hq.local domain tagjait, mind az SD.Local domain tagjait (narancssárga vonalak 9). Ezért a menedzser és a fizetéshasználók hozzáadhatják a HQ.Local-t a globális tartománycsoporthoz, majd hozzáadhatják ezt a csoportot a helyi SD.Local Domain csoporthoz. Ezután ez a helyi csoport, és hozzáférést biztosít a Distribus forráshoz.

Most meg fogjuk vizsgálni ezeknek a csoportoknak a fészkelődését, és fontolunk meg egy másik típusú csoportot - beépített helyi tartományi csoportokat.

A táblázat azt mutatja, hogy mely csoportok beágyazhatók. Itt a vízszintes csoportok olyan csoportok találhatók, amelyekben a függőleges csoportok fektetnek be. Ráadásul azt jelenti, hogy az egyik típusú csoportok befektethetnek egy másikba, nincs mínusz.

Az interneten az interneten a Microsoft tanúsítási vizsgákon láttam egy ilyen képlet említését - az Agudlp, ami azt jelenti, hogy a számlákat globális csoportokban (globális) helyezik el, amelyek az Univerzális (univerzális), amelyek helyiekba kerülnek Domaincsoportok (domain helyi), amelyekre engedélyt alkalmaznak). Ez a képlet teljesen leírja a fészkelés lehetőségét. Hozzá kell tenni, hogy mindezek a fajok egyetlen autó helyi csoportjaiba ágyazódhatnak (kizárólag a saját tartományon belüli helyi tartományok).

Domain csoport fészkelő

Fészkelő	Helyi csoportok	Globális csoportok	Univerzális csoportok
Számla
Helyi csoportok	+ (kivéve a beépített helyi csoportokat, és csak saját tartományán belül)
Globális csoportok		+ (csak saját tartományában)
Univerzális csoportok

A beépített helyi tartománycsoportok a beépített tartályban találhatók, és valójában helyi gépcsoportok, de csak a tartományvezérlők számára. És a helyi tartományi csoportoktól eltérően a felhasználók tartályát nem lehet más szervezeti egységekbe költözni.

A fiókadminisztráció helyes megértése lehetővé teszi, hogy a vállalkozás világosan konfigurált munkakörnyezetét hozza létre, biztosítva a menedzsment rugalmasságot, és ami a legfontosabb - a domain hibatűrése és biztonsága. A következő cikkben a csoportpolitikákról beszélünk, mint egy felhasználói környezet létrehozására szolgáló eszköz.

Alkalmazás

A domain hitelesítés árnyalatai

Helyi profilok használata esetén egy helyzet akkor fordulhat elő, ha a tartományfelhasználó megpróbálja belépni munkaállomásMelyik helyi profilja van, de valamilyen oknál fogva nincs hozzáférése a vezérlőhöz. Meglepő módon a felhasználó sikeresen átadja a hitelesítést, és megengedhető, hogy dolgozzon.

Az ilyen helyzet a felhasználó megbízatásának gyorsítótárazása miatt merül fel, és a rendszerleíró adatbázis módosításával korrigálható. Ehhez a HKEY_LOCAL_MACHINE \\ SOFTWARE \\ Microsoft \\ Windows NT \\ Software \\ Microsoft \\ Windows NT \\ Current Version \\ Winlogon (ha nincs) bejegyzés a CachedlogonCount névvel, a REG_DWORD adattípust, és állítsa be értékét nullára. Hasonló eredmény érhető el a csoportpolitikák segítségével.

1. Emelyanov A. A domainek Active Directory elvei, // " Rendszergazda", 2007. ábra - P. 38-43.

Kapcsolatban áll

Az Active Directory telepítése után folytathatja az objektumok létrehozását és az ellenőrzést.

6.5.1. Megosztottságok és tárgyak létrehozása rájuk

6.5.1.1. Szervezeti megosztások létrehozása (OP)

Az OP létrehozhat a tartományban, a tartományvezérlő objektumban vagy más op (6.3 ábra). A létrehozott OP-ban objektumokat adhat hozzá.

Op létrehozásához szükség van olyan jogosultságra, hogy felosztást adjon a szülő op, a tartomány vagy a tartományvezérlő csomóponthoz, ahol az OP létrehozásra kerül. Alapértelmezés szerint az ilyen hatásköröket a rendszergazdák csoportja adja meg.

személyek).

Nem hozhat létre OP-t a legtöbb szabványos tartályban

nerkov, például számítógépek vagy felhasználók.

Ábra. 6.3. OT OTI Osztály a tartományvezérlő csomópontjában

OP-t hoznak létre a hálózati adminisztráció egyszerűsítése érdekében. Az OP szerkezete alapulnia kell különleges feladatok pokol-

minisztérium. Könnyedén megváltoztathatja az OP szerkezetét, vagy mozgathatja az objektumokat az OP között.

Az OP a következő esetekben jön létre:

adminisztratív hatásköröket más felhasználóknak vagy adminisztrátoroknak;

csoportos tárgyakat, amelyekre hasonló adminisztratív műveleteket hajtanak végre; Ez megkönnyíti a hasonló keresést hálózati erőforrások és a szolgáltatásuk - így kombinálható az összes objektumbanAz ideiglenes alkalmazottak felhasználója;

a hálózati erőforrások láthatóságának korlátozása az Active Directory tárolásához, a felhasználók csak azokat a tárgyakat fogják látni, amelyekhez hozzáférnek; Az OP engedélyei könnyen megváltoztathatók a bizalmas információkhoz való hozzáférés korlátozásával.

6.5.1.2. Tárgyak hozzáadása az OP-ben

Az OP objektumok hozzáadásához megfelelő hatósággal kell rendelkeznie. Alapértelmezés szerint az adminisztrátorok csoportja számára biztosított ilyen jogok. A létrehozandó tárgyak fajtái függenek a varázsló által használt séma szabályaitól. Néhány objektum attribútum csak a létrehozása után definiálható.

6.5.2. Vezérlő objektumok Active Directory

Az Active Directory objektumok kezelése magában foglalja az objektumok keresését, megváltoztatását, megsemmisítését vagy mozgást. Az utolsó két esetben megfelelő jogosultságokkal kell rendelkeznie az objektumhoz vagy az OP-hez, ahol az objektumot mozgatja. Alapértelmezés szerint az adminisztrátorok csoportjának minden tagja van ezek a hatalmak.

6.5.2.1. Tárgyak keresése

A globális katalógus (GC) a teljes katalógus részleges másolatát tartalmazza, és információt tárol a tartományban vagy az erdei fa összes objektumáról. Ezért a felhasználó megtalálhatja az objektumot, függetlenül a tartományban vagy az erdőben található helyétől. A GC tartalmát automatikusan generálja a könyvtárat alkotó doménekről.

Keressen tárgyak, nyissa meg a beépülő modul a parancsikont, amely a csoport programAdnistrative Tools. A konzolfán, kattintson jobb gombbal

használja a tartományt vagy az OP egérgombot, és válassza ki a Keresés (Keresés) parancsot a helyi menüben. Megnyílik egy párbeszédpanel

(Keresés) (6.4. Ábra).

Ábra. 6.4. Keressen párbeszédpanelt

Ha feltárja az objektum helyi menüjét Megosztott mappa (megosztott mappa)És válassza ki a parancsfindot

(Keresés), a Windows Intéző keresése elindul, és kereshet megosztott mappa Fájlok és almappák.

A Keresés párbeszédpanel tartalmazza a GC keresési opcióit, lehetővé téve számú fiókokat, csoportokat és nyomtatókat.

6.5.2.2. Az attribútum értékek módosítása

és az objektumok eltávolítása

Az attribútum értékek megváltoztatásához nyissa meg az AC-t

tives Directory felhasználók és számítógépek és válasszon egy objektum példányát

hogy. A Művelet menüben válassza a Kompressziák lehetőséget. A Tulajdonságok párbeszédpanelen

eTA módosítsa a kívánt objektum attribútumokat. Ezután módosítsa az objektum leírását, például módosítsa a felhasználói objektumot a felhasználó nevét, helyét és e-mail címét. Ha az objektumok már nem szükségesek, törölje őket biztonsági célokra: az aktív könyvtár felhasználók felszerelésének megnyitása és

Számítógépek, jelölje ki a törölt objektum példányát, majd az Eszközök menüben válassza a Törlés lehetőséget

(Töröl).

6.5.2.3. Mozgassa az objektumokat

Az Active Directory tárolásában olyan objektumokat mozgathat, például az OP között, hogy tükrözze a vállalkozás struktúrájának változásait, amikor a munkavállaló átkerül egy osztályból

goy. Ehhez, megnyitja a snapot Active Directory felhasználók és a

a Puters, válassza ki a mozgó objektumot, válassza a Mozgás (Move) és

adja meg az objektum új helyét.

6.5.3. Hozzáférésvezérlés az Active Directory objektumokhoz

Az Active Directory objektumokhoz való hozzáférés ellenőrzéséhez egy objektumorientált védelmi modellt alkalmazunk, egy ilyen NTFS védelmi modellt.

Minden Active Directory objektumnak van egy biztonsági leírása, amely meghatározza, hogy ki rendelkezik hozzáférni az objektumhoz és a hozzáférés típusához. A Windows Server biztonsági leírókat használ az objektumokhoz való hozzáférés ellenőrzéséhez.

Az adminisztráció egyszerűsítése érdekében ugyanazon biztonsági követelményekkel rendelkező objektumokat lehet csoportosítani az OP-ben, és hozzárendelhet hozzáférési jogosultságokat az egész OP és az összes objektumhoz.

6.5.3.1. Active Directory engedélyek kezelése

Az Active Directory-engedélyek erőforrás-védelmet nyújtanak, lehetővé téve az objektumok vagy objektum-attribútumok eseteinek elérését, és meghatározhatják a rendelkezésre álló hozzáférés nézetét.

Active Directory védelem

Az objektum adminisztrátorának vagy tulajdonosának hozzáférési engedélyezési objektumot kell rendelnie, mielőtt a felhasználók hozzáférhetnek az objektumhoz. A Windows Server mindegyikhez hozzáférést biztosít (Access Control List, ACL)

az Active Directory objektum.

Az ACL objektum tartalmazza a felhasználók listáját, amelyek hozzáférhetnek az objektumhoz, valamint egy megengedett tárgyakhoz.

A célállomás engedélyeit használhatja közigazgatási hatóság egy adott felhasználó vagy csoport az OP-hez, az OP vagy a hierarchiájával kapcsolatban különálló objektum anélkül, hogy adminisztratív engedélyeket kinevezne

aNCTIVE könyvtári objektumok.

Engedélyek az objektumhoz

Az objektum típusától függ - például a reset jelszó felbontása megengedett az objektumok számára, de nem az objektumokhoz

Számítógép.

A felhasználó több csoport tagja lehet, akik különböző jogosultságokkal rendelkeznek mindegyik számára különböző szintek Az objektumokhoz való hozzáférés. Ha engedélyt ad az objektum eléréséhez, a csoport tagja, amely más jogosultságokkal rendelkezik, a felhasználó hatékony jogai a csoport jogosultságaiból és engedélyeiből származnak.

Engedélyek megadása vagy törlése. Megszakított engedélyek a felhasználók és a több prioritású kibocsátott engedélyek csoportjai számára.

Ha a felhasználó tilos az objektumhoz való hozzáféréshez, akkor még a meghatalmazott csoport tagjaként sem kap hozzáférést.

Az Active Directory jogosultságok hozzárendelése

Konfigurálja az objektumok engedélyeit, és attribútumaik lehetővé teszik a szerszámozáshoz Active Directory felhasználók és számítógépek. Kinevez

megoldások is vannak a lapon is. Biztonságaz Objektum tulajdonságai párbeszédpanel.

A legtöbb adminisztratív feladat teljesítéséhez elegendő szabványos engedély.