Gestionarea Active Directory folosind PowerShell. Termenul "relație de încredere". Obiecte de control Active Directory

Lecția 7. Administrați Active Directory.

Procesul de administrare Active Directory este de a gestiona:

• domenii Active Directory;
• structura directorului principal;
• obiecte de domeniu (utilizatori, contacte, computere, grupuri, imprimante etc.);
• site-uri și rețele Active Directory;
• replicarea datelor.

Toate aceste sarcini sunt rezolvate folosind trei console de control instalate în proces. instalarea activă Director pe controlerul de domeniu:

• Active Directory - Domenii și încredere
• Active Directory - Utilizatori și computere
• Active Directory - Site-uri și Servicii

Aceste console pot fi instalate pe alte domenii computere ca parte a pachetului de utilități administrative.

Descrierea obiectelor Active Directory.

Toate consolele de gestionare Active Directory utilizează un singur set de pictograme pentru a afișa obiecte de director. Mai jos sunt toate obiectele de bază Active Active și pictogramele corespunzătoare. Aceste informații vă vor ajuta să navigați mai ușor în directorul Active Directory.

Director activ.

Reprezintă directorul Active Directory ca întreg. În instrumentele de control, este practic nu a fost găsit, cu excepția căutării și selecției obiectelor

Reprezintă domeniul Windows. Vă permite să gestionați parametrii de domeniu global

Container, Folder.

Reprezintă un obiect simplu de container. Astfel de obiecte pot fi create numai de sistemul de operare și sunt de obicei generate atunci când este instalat directorul activ.

Diviziunea organizațională

Reprezintă OP. Acest obiect de container este utilizat pentru a construi o ierarhie a containerelor care conțin alte obiecte.

Utilizator

Reprezintă un cont de utilizator. Obiectul conține un numar mare de Atributele care descriu utilizatorul

Reprezintă un utilizator - nu este membru al domeniului. Contactele sunt utilizate pentru stocarea informațiilor despre utilizatorii externi din directorul de informații, nu sunt acreditări și nu permit utilizatorilor să se înregistreze în domeniu

Reprezintă un grup de utilizatori și este de obicei folosit pentru a simplifica gestionarea autorizațiilor și privilegiilor

Un calculator

Reprezintă un singur computer în retea locala. Pentru computerele sub controlul Windows. NT, 2000 și versiunile ulterioare ale Windows este un cont de calculator. Obiectul conține informații de bază despre computer și vă permite să o gestionați.

Controlor de domeniu

Reprezintă un controler de domeniu separat Windows. În Active Directory Snap-in, controlerele de domenii ale utilizatorilor și computerelor sunt afișate ca aceleași pictograme ca și computerele obișnuite. Pictograma specificată este utilizată pentru a afișa controalele de domeniu în snap-in-urile și serviciile Active Directory. Vă permite să gestionați parametrii controlerului de domeniu

Reprezintă o imprimantă de rețea. Obiectul este o referință la imprimanta furnizată în acces general. Obiectele de acest tip pot fi adăugate în directorul ca fiind manual și automat. Adăugarea manuală este posibilă numai pentru imprimantele conectate la computerele care rulează mai mult versiuni timpuriidecât Windows 2000.

Resurse comune

Reprezintă un dosar comun. Obiectul este o legătură cu resursa de rețea partajată și nu conține date

Parametrii de licențiere

Reprezintă setările globale de licențiere a site-ului. Permite centralizat să gestioneze licențe pentru produsele software și replicarea acestora în cadrul site-ului

Politica de domeniu.

Reprezintă o politică de domenii. Vă permite să configurați politicile la nivel de domeniu

Politica de control al domeniului

Reprezintă obiectul de politică al controlerului domeniului. Vă permite să configurați setările de politică pentru toate controlerele de domeniu

Politica de grup

Reprezintă un obiect de politică arbitrară de grup. Vă permite să gestionați politicile pentru obiectele din acel container la care

Reprezintă un loc separat Active Directory. Vă permite să controlați parametrii IT. Conține legături către obiecte de controlere de domenii, link-uri site-uri, parametrii site-ului

Compus

Reprezintă o conexiune între controalele de domeniu din cadrul site-ului. Vă permite să controlați parametrii de topologie și replicare între controalele de domeniu din cadrul site-ului

Conectarea site-ului

Reprezintă o legătură separată între site-uri. Vă permite să controlați topologia și parametrii replicării transfrontaliere

Parametrii site-ului

Reprezintă obiectul de configurare a site-ului sau controlerul de domeniu de pe site. Vă permite să gestionați parametrii replicării întregului site sau ale parametrilor pentru interacțiunea controlerului de domeniu cu site-ul

Reprezintă o subrețea separată asociată cu un anumit loc. Vă permite să specificați limitele rețelei IP

Pictograma	Un obiect	Descriere

Active Directory (AD) este programele de service dezvoltate pentru sistemul de operare. Microsoft Server.. Inițial a fost creat ca un algoritm de acces ușor la directoarele utilizatorilor. De la Version. Windows Server. 2008 a fost integrarea cu serviciile de autorizare.

Aceasta face posibilă urmărirea politicii de grup utilizând același tip de parametri și pe toate PC-urile controlate utilizând managerul de configurare al centrului de sistem.

Dacă cuvintele simple pentru începători sunt rolul unui server care vă permite să gestionați toate accesul și permisiunile din rețeaua locală dintr-un loc.

Funcții și scopuri

Microsoft Active Directory - (așa-numitul director) pachet de fonduri pentru a efectua manipulări cu utilizatorii și datele de rețea. Scopul principal Crearea este de a facilita activitatea administratorilor de sistem în rețele extinse.

Cataloagele conțin informații diferite legate de utilizatori, grupuri, dispozitive de rețea, resurse de fișiere - într-un cuvânt, obiecte. De exemplu, atributele utilizatorului stocate în director trebuie să fie după cum urmează: adresa, login, parola, numărul de telefon mobil etc. Directorul este utilizat ca puncte de autentificarecu care puteți afla informatie necesara Totul despre

Conceptele de bază care apar în timpul lucrării

Există o serie de concepte specializate care sunt utilizate la lucrul cu anunțul:

1. Serverul este un computer care conține toate datele.
2. Controlerul este un server cu rolul de anunț, care procesează cereri de la persoane care utilizează un domeniu.
3. Domeniul AD este un set de dispozitive unite sub un nume unic care utilizează simultan baza de date comună Directory.
4. Depozitul de date face parte din directorul responsabil pentru stocarea și extragerea datelor de la orice controler de domeniu.

Cum să lucrați Active Directory

Principiile de bază ale muncii sunt:

• Autorizarecu care apare ocazia de a utiliza PC-ul în rețea pur și simplu prin introducerea parola personală. În același timp, toate informațiile din cont sunt amânate.
• Securitate. Active Directory conține funcții de recunoaștere a utilizatorilor. Pentru orice obiect de rețea, puteți de la distanță, de la un dispozitiv, pentru a pune drepturile potrivite care vor depinde de categorii și de utilizatorii specifici.
• Administrarea rețelei De la un punct. În timp ce lucrați cu directorul activului, Sisadmin nu are nevoie să re-configureze întregul PC dacă trebuie să modificați drepturile de acces, de exemplu, la imprimantă. Modificările sunt efectuate la distanță și la nivel global.
• Deplin integrarea cu DNS.. Cu ajutorul său, confuzia nu apare în anunț, toate dispozitivele sunt indicate în același mod ca și în Web Worldwide.
• Scară largă. Setul de servere este capabil să monitorizeze un director activ.
• Căutare Se efectuează în funcție de diferiți parametri, cum ar fi numele computerului, autentificați-o.

Obiecte și atributes.

Obiectul este un set de atribute unite sub numele propriu, care este o resursă de rețea.

Atribut - Caracteristicile obiectului din director. De exemplu, acestea includ numele de utilizator, autentificarea acesteia. Dar atributele contului PC-ului pot fi numele acestui computer și descrierea acesteia.

"Ofițer" - un obiect care are atributele "numele complet", "poziția" și "tabn".

Numele containerului și LDAP

Container - tip de obiecte care pot constau din alte obiecte. Domeniul, de exemplu, poate include obiecte de cont.

Numirea lor principală - comandarea obiectelor După tipul de semne. Cel mai adesea, containerele sunt utilizate pentru a grupa obiecte cu aceleași atribute.

Aproape toate recipientele afișează un set de obiecte, iar resursele sunt afișate printr-un obiect unic Active Active. Unul dintre principalele tipuri de containere de anunțuri este un modul de organizare sau ou (unitate organizează). Obiectele care sunt plasate în acest container apar doar domeniului în care sunt create.

Protocolul de acces al directorului ușor (Protocolul de acces la directorul ușor, LDAP) este algoritmul principal de conectare TCP / IP. Acesta este conceput pentru a reduce numărul de nuanțe în timp ce accesați serviciile de catalog. De asemenea, în acțiunile instalate LDAP utilizate pentru a solicita și edita datele directorului.

Copac și sit.

Arborele de domeniu este o structură, un set de domenii având schema generală și configurația care formează spațiul de nume general și sunt asociate cu relațiile de încredere.

Pădurea de domeniu este o totalitate de copaci asociați între ei înșiși.

Site-ul este un set de dispozitive în subrețele IP reprezentând un model de rețea fizică a cărui planificare este făcută indiferent de reprezentarea logică a construcției sale. Active Directory are capacitatea de a crea un număr N-număr de site-uri sau unitate de domenii N-numere sub un singur site.

Instalarea și configurarea Active Directory

Acum ne întoarcem direct la configurația Active Directory exemplu de ferestre Server 2008 (pe alte versiuni ale procedurii identice):

Apăsați butonul "OK". Este demn de remarcat faptul că aceste valori nu sunt necesare. Puteți utiliza adresa IP și DNS din rețeaua dvs.

• Apoi, trebuie să mergeți la meniul "Start", selectați "Administrare" și "".
  
• Mergeți la "Rolul", selectați câmpul " Adăugați un rol”.
  
• Selectați elementul "Active Directory Domain Services" de două ori "Următorul" și după "Instalare".
  
• Așteptați instalarea.
  
• Deschideți meniul "Start" - " A executa". În câmpul introduceți dcpromo.exe.
  
• Faceți clic pe "Next".
  
• Selectați elementul " Crea domeniul nou În noua pădure"Și apăsați din nou" Următorul ".
  
• În fereastra următoare, introduceți numele, faceți clic pe "Next".
  
• Alege mod de compatibilitate (Windows Server 2008).
  
• În fereastra următoare, lăsați totul în mod implicit.
  
• Alerga fereastra de configurareDNS.. Deoarece nu a fost folosit pe server înainte, delegația nu a fost creată.
  
• Selectați un director pentru instalare.
  
• După acest pas, trebuie să întrebați parola de administrare.

Pentru fiabilitate, parola trebuie să respecte astfel de cerințe:

După efectuarea anunțului, procesul de configurare a componentelor, trebuie să reporniți serverul.

Configurația este completă, echipată și rolul este setat la sistem. Puteți instala anunțul numai pe Familia Windows Server, versiuni obișnuite, cum ar fi 7 sau 10, pot fi instalate numai pentru a instala consola de control.

Administrare în Active Directory

În mod implicit, în Windows Server, utilizatorii Active Directory și Consola Calculatoare funcționează cu un domeniu la care aparține computerul. Puteți accesa obiectele de computere și utilizatori în acest domeniu prin arborele consolei sau conectați-vă la un alt controler.

Mijloacele aceleiași console vă permit să vizualizați opțiuni suplimentare Obiectele și căutarea acestora, puteți crea noi utilizatori, grupuri și modificări de la permisiune.

Apropo, există 2 tipuri de grupuri În directoarele de active - siguranță și distribuție. Grupurile de securitate sunt responsabile pentru delimitarea drepturilor de acces la obiecte, ele pot fi utilizate ca grupuri de distribuție.

Grupurile de distribuție nu pot distinge între drepturi, dar sunt utilizate în principal pentru a distribui mesaje în rețea.

Ce este anunțul delegației

Delegația în sine este transferul unei părți din permisiuni și control de la obiectul părinte o altă parte responsabilă.

Se știe că fiecare organizație are mai mulți administratori de sistem la sediul său. Sarcini diferite Trebuie să fie goi pe diferite umeri. Pentru a aplica modificări, este necesar să existe drepturi și permisiuni care sunt împărțite în standard și special. Special - aplicabil unui obiect specific și standardului reprezintă un set format din permisiuni existente care fac funcții individuale disponibile sau inaccesibile.

Instalarea relațiilor de încredere

În AD există două tipuri de relații de încredere: "unidirecțională" și "bidirecțională". În primul caz, un domeniu are încredere în altul, dar nu opusul, respectiv, primul are acces la resursele celui de-al doilea, iar al doilea nu are acces. În a doua formă de încredere "reciprocă". Există, de asemenea, relații "ieșire" și "primite". În ieșire - primul domeniu are încredere în cea de-a doua, permițând astfel utilizatorilor să utilizeze resursele primului.

La instalare, trebuie efectuate proceduri:

• Verifica Legături de rețea între kotrolari.
• Verificați setările.
• Ton Rezoluție de rezoluție pentru domeniile externe.
• Creați comunicare din domeniul încrederii.
• Creați o conexiune de la controler la care se adresează încrederea.
• Verificați relația cu o singură cale creată.
• În cazul în care un se produce În stabilirea relațiilor bilaterale - pentru a face instalarea.

Catalog global

Acesta este un controler de domeniu care stochează copii ale tuturor obiectelor forestiere. Oferă utilizatorilor și programează capacitatea de a căuta obiecte în orice domeniu al pădurii actuale cu instrumente de detectare a atributuluiincluse în directorul global.

Catalogul global (GC) include un set limitat de atribute pentru fiecare obiect forestier din fiecare domeniu. Datele pe care le primește din toate partițiile din catalogul de domeniu din pădure, acestea sunt copiate utilizând procesul de replicare a serviciului Active Active.

Schema determină dacă atributul va fi copiat. Există o oportunitate configurare caracteristici suplimentare Acest lucru va fi creat re-în directorul global utilizând schema Active Directory. Pentru a adăuga un atribut unui director global, trebuie să selectați atributul de replicare și să utilizați opțiunea "Copiere". După aceasta, replicarea atributului va fi creată în directorul global. Valoarea parametrului atributului ismemberfpartialattributet. va fi adevărul.

Pentru a locație Global Directory, trebuie să introduceți în promptul de comandă:

Server dsquery -isgc.

Replicarea datelor în Active Directory

Replicarea este o procedură de copiere, care se efectuează dacă aveți nevoie să stocați aceleași informații locale care există pe orice controler.

Produce fără participarea operatorului. Există astfel de tipuri de conținut de replica:

• Replicile de date sunt create din toate domeniile existente.
• Replica scheme de date. Deoarece schema de date este una pentru toate obiectele forestiere ale directorului activ, replicile sale sunt stocate pe toate domeniile.
• Datele de configurare. Afișează construcția copiilor între controlori. Detaliile sunt distribuite tuturor domeniilor forestiere.

Principalele tipuri de replici sunt intracelain și intersloval.

În primul caz, după schimbări, sistemul așteaptă, apoi notifică partenerul despre crearea unei replici pentru a finaliza modificările. Chiar și în absența schimbării, procesul de replicare are loc automat după o anumită perioadă de timp. După aplicarea modificărilor critice la cataloage, replicarea are loc imediat.

Procedura de replicare între noduri apare în intervale Încărcarea minimă a rețelei, evită pierderea informațiilor.

În numărul din noiembrie al calculatorului, vă familiarizați cu oportunități cheie Windows PowerShell - Linie de comandă nouă și a scenariului microsoft.. Astăzi vom lua în considerare utilizarea acestui mediu pentru administrarea directorului corporativ al Active Directory (AD).

Pe scurt despre PowerShell

Windows PowerShell este o nouă linie de comandă și o limbă de script de la Microsoft. PowerShell este o componentă a Windows Server 2008 (trebuie doar să o selectați în Server Manager) și este disponibilă pentru descărcare de pe pagina www.microsoft.com/powershell pentru Windows XP, Windows Server 2003 și Windows Vista.

Dacă nu sunteți familiarizat cu Windows PowerShell, vă recomandăm să citiți mai întâi articolul "Windows PowerShell. Pe scurt despre principalul lucru. "În ComputerPress Nr. 11'2007. În această publicație, ne vom limita la o scurtă repetare a elementelor de bază și vom trece imediat la subiectul principal al articolului.

Deci, comenzile PowerShell sunt numite cmdlete (Cmdlet) și constau dintr-un verb (de exemplu, obțineți, setați, noi, eliminați, mutați, conectați) și un substantiv într-un singur număr care descrie un obiect de acțiune. Există o cratimă între ele. Se dovedește ceva de genul: obțineți-vă proces, stop-service etc.

Echipele, de regulă, sunt asociate cu un transportor notat de o caracteristică verticală (|). Acest semn înseamnă că întreaga colecție de obiecte din comanda anterioară este transmisă la următoarea.

O astfel de orientare a obiectului este foarte convenabilă deoarece facilitează operarea obiectelor și conectați împreună echipele. În acest articol vom spune modul în care această abordare facilitează gestionarea directorului corporativ bazat pe Active Directory.

Modalități de a lucra cu Active Directory

Directorul Active Directory este baza rețelelor corporative baza de date Windows. Server 2000, 2003 și 2008. Există ca totul să fie stocat conturi Utilizatori, informații despre grupuri, computere de rețea, casete de e-mail și multe alte lucruri.

Toate aceste bogății trebuie gestionate, pentru care setul de instrumente corespunzător, care face parte din serverul Windows, dar este PowerShell care facilitează automatizarea acțiunilor de masă destinate unui număr mare de obiecte.

Există trei modalități principale de a lucra cu Directory Active în Windows PowerShell:

• folosind interfața interfețelor Active Directory (ADSI), această metodă este cea mai dificilă, dar funcționează în orice instalare PowerShell și nu necesită module suplimentare. Este, de asemenea, cea mai apropiată de metoda de control care a fost utilizată în limba scenariului VBScript;
• folosind furnizorul Active Directory inclus în extensia PowerShell, această metodă vă permite să conectați un director sub formă de disc pe computerul dvs. și să navigați prin intermediul comenzilor corespunzătoare: dir, CD etc. Aceasta metoda necesită instalarea unui modul suplimentar de la CODEPLEX;
• folosind cmdlets Active Directory, acesta este cel mai convenabil mod de a manipula obiectele de director, dar necesită, de asemenea, instalarea suplimentară a modulelor corespunzătoare.

ADSI.

Interfețele active Active Directory (ADSI) sunt familiare tuturor celor care au încercat să scrie script-uri în limba VBScript. În PowerShell, această interfață este implementată utilizând așa-numitul adaptor. Când specificați în paranteze pătrate numele adaptorului (ADSI) și calea către obiectul din directorul de interogare LDAP (protocolul de acces la directorul ușor - protocolul de lucru cu directoare, care acceptă atât anunțul), obținem acces la un obiect de la un obiect de la un obiect directorul și poate numi în continuare metode.

De exemplu, să fie conectat la unul dintre containerele de directoare și să creați un nou cont de utilizator în acesta.

$ Objou \u003d "LDAP: // mydc: 389 / ou \u003d CTO, DC \u003d angajați, DC \u003d Testdomain, DC \u003d local"

Deci, acum avem o variabilă de $ Objou conține informații despre container (nume variabile în PowerShell încep de la pictograma dolarului).

Apelați metoda Crea. Și creați un nou utilizator în container:

$ Objuser \u003d $ objou.create ("utilizator", "cn \u003d dmitri sotnikov")

Acum putem seta diverse atribute:

$ objuser.put ("SamaccountName", "dsotnikov")

În cele din urmă, specificăm directorul că trebuie aplicate aceste modificări:

$ objuser.setinfo ()

Avantajele utilizării adaptorului ADSI sunt:

• prezența sa în orice PowerShell de Livrare. Dacă ați instalat PowerShell și există un director cu care aveți nevoie pentru a lucra - aveți tot ce aveți nevoie;
• aplicați o abordare aproape de VBScript. Dacă aveți o experiență bogată cu directorul din limba scenariului VBScript sau în anexe.net, vă puteți simți cu încredere utilizarea acestei abordări.

Din păcate, metoda are defecte:

• dificultatea este cea mai dificilă modalitate de a lucra cu directorul. Scrieți calea către obiect sub forma unei cereri LDAP este nontrivială. Pentru orice lucrare cu atribute, trebuie să specificați numele lor interne și, prin urmare, este necesar să vă amintiți că atributul care denotă orașul orașului nu este numit "oraș", ci "L" etc.;
• bULKNESS - După cum se vede din exemplu, cea mai simplă funcționare a creării unui cont ocupă cel puțin patru linii, inclusiv operațiuni de service pentru conectarea la container și aplicarea modificărilor. Astfel, chiar și operațiunile relativ simple devin similare cu scenariile complexe.

Furnizor de anunțuri

PowerShell vă permite să reprezentați diverse sisteme sub formă de discuri suplimentare ale computerului utilizând așa-numitele furnizori. De exemplu, livrarea PowerShell include un furnizor de registri și putem trece la registru folosind comenzi CD și dir preferate (pentru iubitorii Unix, echipa LS este de asemenea acceptată).

Furnizorul Active Directory nu este în PowerShell, dar îl puteți instala, mergi la site-ul proiectului PowerShell Extensions - PowerShell Community Extensions: http://www.codeplex.com/powershellcx.

Acesta este un proiect open source, care adaugă un număr mare de echipe la sistemul PowerShell și, în plus, stabilește furnizorul de anunțuri.

Utilizarea furnizorului Active Directory

După instalarea extensiilor, tastarea obține-PSDrive, vedem asta foste discuri A fost adăugat disc pe directorul activ activ.

Acum putem merge în acest director introducând un CD și specificând numele de domeniu și, în orice container, utilizați comanda dir pentru a vedea conținutul său.

În plus, puteți apela alte comenzi familiare de gestionare a fișierelor (de exemplu, Del).

Avantajele fără îndoite ale utilizării furnizorului pot fi atribuite:

naturalitatea reprezentării structurii directorului este directorul de anunțuri prin ierarhyhnia sa naturală și este similar cu sistemul de fișiere;

comoditatea de a găsi obiecte este aplicarea CD-ului și DIR mult mai convenabil decât a face o interogare în LDAP.

Dezavantajele sunt izbitoare:

• complexitatea de a face schimbări la obiecte - Furnizorul ajută la atingerea cu ușurință a obiectului, dar pentru a schimba ceva, trebuie să folosim din nou toate aceleași directoare ca în metoda ADSI și pentru că trebuie să funcționeze la un nivel scăzut de serviciu Metode și atribute AD;
• nevoia de instalare suplimentară - Furnizorul nu este inclus în PowerShell și este necesar să se descărcați și să instalați extensiile PowerShell;
• originea zilei de origine - Extensiile PowerShell nu sunt un produs Microsoft. Ele sunt create de entuziaștii de proiect. Sunteți liber să le folosiți, dar pentru suport tehnic Va trebui să contactăm Microsoft, ci la site-ul proiectului.

Plicduri de anunțuri

În plus față de furnizorul descris mai sus, există un set de cmdlete pentru a lucra cu AD (numiți adesea cmdleturi de anunțuri sau cmdleți QAD), disponibilă de la http://www.quest.com/activerres_server/arms.aspx.

Camalele constau din verbe standard de operații (obțineți-, setați, redenumiți, eliminați, noi, mutați, conectați) și substantive cu prefixul QAD (-Qaduser, -QadGroup, -Qadomputer, -Qadobject).

De exemplu, pentru a crea un nou utilizator citit, va trebui să executați o astfel de comandă:

Avantajele acestei abordări sunt:

• ușor - Utilizarea cmdlets ascunde complexitatea directorului, schemele sale și atributele interne. Lucrați cu obiecte de director la nivelul de nume de obiecte ușor de înțeles (utilizator, grup, calculator), proprietățile lor (nume, parolă, oraș, departament) și acțiuni asupra lor (obțineți, setați, eliminați, mutați, noi);
• brienita și expresivitatea - După cum am văzut, majoritatea acțiunilor care utilizează cmdlete pot fi exprimate sub formă de operații simple și naturale cu o singură linie.

• nevoia de instalare suplimentară - cmdlete, cum ar fi furnizorul, nu sunt incluse în PowerShell și trebuie să descărcați și să instalați biblioteca corespunzătoare;
• originea zilei de a treia zi - cmdlets pentru lucrul cu anunțul nu sunt un produs al Microsoft. Acestea sunt create de Microsoft Partner - Quest Software. Sunteți liber să le aplicați, dar suportul tehnic va trebui să contacteze Microsoft, dar pe forumurile Active Directory de pe site-ul WebsGui.org.

În opinia noastră, aceste dezavantaje cu mai mult decât compensați simplitatea și naturalitatea în utilizare, deci exemple practice Va fi acordată utilizând această abordare particulară.

Gestionarea directorului activ.

Să vedem cum PowerShell vă permite să efectuați operații de bază pentru lucrul cu directorul AD:

• primirea informațiilor;
• schimbarea proprietăților;
• lucrul cu grupuri;
• crearea de obiecte noi;
• schimbarea structurii directorului

Primind informațiile.

Obținerea de informații se desfășoară în PowerShell utilizând cmdletele GETI GLAGOL.

De exemplu, pentru a obține o listă a tuturor utilizatorilor, scor:

Pentru grupuri:

Pentru înregistrările computerelor:

Dacă nu aveți nevoie de toate înregistrările, dar unele specifice, le puteți alege cu parametrii de comandă.

Obținerea unei liste de utilizatori

Toate grupurile de la utilizatorii de containere:

Get-QadGroup -searchroot Scorpio.Local / Utilizatori

Toți utilizatorii de la Departamentul de Vânzări de Office Moscova, ale cărui nume încep pe litera A:

Get-Qaduser -City Moscova -Departamentul Vanzari -name A *

În același timp, puteți spune Powershell'y, în ce formă doriți să vedeți informațiile primite.

Tabel cu nume, orașe și departamente de angajați:

Get-Qaduser | Numele tabelului de format, oraș, departament

La fel cu sortarea de către orașe:

Get-Qaduser | Sortare orașul Numele de afișare a mesei de format, oraș, departament

Valorile de sortare și selectarea câmpurilor de ieșire

Pentru lista de listă a acelorași informații, pur și simplu folosim comanda de listă de format:

Get-Qaduser | Numele listei de format, oraș, departament

Exportați informații în fișierul CSV (valori separate prin virgulă - valori prin virgulă):

Get-Qaduser | Selectați numele, orașul, departamentul | Utilizatorii OUT-CSV.CSV

Creați un raport în format HTML:

Get-Qaduser | Selectați numele, orașul, departamentul | Convertto-HTML | Utilizatori de fișiere Out-File.html

Astfel, o linie de comandă simplă PowerShell puteți crea rapoarte complexe într-un format convenabil pentru dvs.

PowerShell vă permite să modificați atributele setului
Intrările unei comenzi

Schimbați proprietățile

După ce am stăpânit informații din director, este timpul să schimbăm ceva în ea.

Proprietățile obiectelor pot fi manipulate utilizând comenzile SET- *.

De exemplu, schimbați telefonul:

Set-Qaduser 'Dmitri Sotnikov' -phone '111-111-111'

Dar, desigur, schimbările masive sunt mai interesante. Pentru a face acest lucru, putem folosi transportorul PowerShell, adică să primim o listă de obiecte de care aveți nevoie să utilizați comenzile Get-și să le trimiteți la comanda setată pentru a efectua modificări.

De exemplu, biroul nostru permis sa mutat într-o nouă cameră. Luați toți utilizatorii Perm și alocați-i un nou număr de telefon:

Get-Qaduser-Mity Perm | Set-Qaduser -fonenumber '+ 7-342-1111111'

Pentru manipulări mai complexe, puteți utiliza cmdletul de obiecte foreach-obiect. De exemplu, fiecare utilizator va atribui o descriere formată din departamentul său și orașul:

Get-Qaduser | Foreach-obiect (set-Qaduser $ _ -Decription (s_.city + "" + $ _ departament)))

Variabila $ _ în acest exemplu indică obiectul curent al colecției.

PowerShell oferă oportunități pentru o muncă convenabilă.
Cu grupurile de utilizatori

Lucrul cu grupurile

Lucrul cu grupuri și membru în ele este o altă operațiune de masă pe care doriți să o automatizați adesea. PowerShell oferă o astfel de oportunitate.

Obținerea membrilor grupului se face folosind cmdletul Get-QadGroupMemer:

Get-QadgrubMemer Managers

Adăugați un obiect grupului este, de asemenea, ușor:

Add-QadGroupMemer Scorpion \\ Managers-Member Dsotnikov

În mod similar, îndepărtarea din grup este efectuată utilizând cmdletele de eliminare-QadgroupMemer.

Dar, desigur, manipulările în masă sunt cele mai utile. Adăugați toți managerii la grupul corespunzător:

Get-Qaduser -title Manager | Add-QadGroupMemer Scorpion \\ Managers

Copiați calitatea de membru în grup:

Get-QadGroupMemer Scorpion \\ Managers | Add-qadgroupmember scorpion \\ managers_copy

Utilizați filtrul pentru a copia nu toți membrii grupului, ci numai cei care sunt responsabili un anumit criteriu (De exemplu, situat în regiunea dreaptă):

Get-QadGroupMemer Scorpion \\ Managers | Unde ($ _. OQ-Ekaterinburg ") | Add-qadgroupmember scorpion \\ ekaterinburg_managers

Rețineți cum am filtrat utilizatorii folosind unde și condiție logică (Operatorul logic -Eq este un operator de egalitate la PowerShell, din engleza.egale).

Crearea obiectelor

Crearea obiectelor așa cum am văzut deja, realizate de echipe noi:

New-Qaduser -ParentContainer Scorpio.Local / Angajați -naName 'Dmitry Sotnikov'

Nou-QadGroup -ParentContainer Scorpio.Local / Angajați -Name "Manageri" -Type Security -Scope Global

Puteți instala orice alte atribute în procesul de creare a unei înregistrări:

NEW-QADUSER -ParentContainer Scorpio.Local / Angajați -Name 'Dmitri Sotnikov' -samaccountname Dsotnikov -City 'Saint-Petersburg' -Password " [E-mail protejat]’

Pentru a activa înregistrarea, trimiteți-o pur și simplu transportorului în Activare-Qaduser (nu uitați să setați parola - în caz contrar operația nu va trece):

New-Qaduser -ParentContainer Scorpio.Local / angajați -name "Dmitri Sotnikov" -Password " [E-mail protejat]"| Activare-Qaduser.

Import-CSV New_users.csv | Foreach-obiect (New-Qaduser -ParentContainer Scorpio.Local / Utilizatori -name ($ _. Familia + ',' + $ _. Imya) -samaccountName ($ _. IMYA + $ _ FAMILIA) -Departamentul $ _. Departamentul -Itle $ _. Titlu)

Rețineți că suntem în zbor pe numele contului din numele de familie și numele de utilizator.

Exemplu de utilizare a fișierului de import
Record

Schimbarea structurii directorului

În cele din urmă, desigur, puteți gestiona structura directorului.

De exemplu, puteți crea containere noi:

NEW-QADOBJECT -TYPE ORGANIZAREUMITURAS -PREARECCONTAINER SCORPIO.LOCAL -NAME NEWOU

și să mutați obiectele în ele câte unul:

Mutare-Qadobject Myserver -to Scorpio.Local / Servers

sau en-gros:

Obține-qaduser -disabled | Mutare-Qadobject - Pentru Scorpio.Local / Dezactivat

Importați fișierul și creați conturi noi

Putem selecta cu ușurință conturile care satisfac
un anumit criteriu și le mutați într-un alt container

Și mult mai mult

MMA a revizuit doar o mică parte a scripturilor pentru gestionarea unui director activ. A obtine lista plina Clamm pentru anunț, executați comanda:

Obțineți-comandă * -qad *

Pentru a obține un certificat pentru orice echipă:

Get-Ajutor Get-Qaduser

Pentru a afla care proprietăți există un obiect obiectiv cu comanda:

Get-utilizator | Obțineți membru.

Caracteristicile PowerShell sunt practic nesfârșite, dar în același timp le găsesc destul.

Concluzie

Kcak Am văzut PowerShell este un excelent director activ. O parte din proprietăți (ADSI) este disponibilă în orice setare PowerShell. Unii (furnizori și cmdleți) necesită module suplimentare. Toate acestea oferă oportunități uriașe de a automatiza gestionarea directorului dvs. corporativ și, prin urmare, reduceți riscurile, scăpați de rutină și creșteți eficiența la locul de muncă.

Principalul lucru este că aceste tehnologii sunt deja disponibile și capabile să vă ajute astăzi în administrarea sistemelor încredințate. În concluzie, cităm administratorul de sistem CJSC Evrasfinance CJSc Vasily Guseva: "În compania noastră, precum și peste tot, Active Directory este unul dintre cele mai utilizate și critice servicii. Cu PowerShell și Cmdlets de anunțuri, multe sarcini au devenit mai ușor de efectuat prin linia de comandă decât prin ADUC (utilizatorii Active Directory și computerele. - Aproximativ. roșu.). Niciodată direct automatizarea Active Director a fost atât de ușor și accesibil. "

Alexander Emelyanov.

Administrați conturi în Domeniul Active Directory

Una dintre cele mai importante sarcini ale administratorului este de a gestiona conturile locale și de domeniu: auditul, cotarea și delimitarea drepturilor utilizatorilor în funcție de nevoile și politicile companiei. Ce poate oferi Active Directory în acest sens?

În continuarea ciclului ciclu activ Astăzi, vom vorbi despre legătura centrală din procesul de administrare - gestionarea datelor contabile ale utilizatorului în domeniu. Vom lua în considerare:

• crearea de conturi și gestionarea acestora;
• tipuri de profiluri de utilizator și utilizarea acestora;
• grupuri de securitate în domeniile publicitare și combinațiile acestora.

În cele din urmă, puteți aplica aceste materiale pentru a construi o infrastructură de lucru sau rafinament a unui cel existent care vă va îndeplini cerințele.

Privind înainte, voi spune că subiectul este strâns legat de aplicarea politicilor de grup în scopuri administrative. Dar, datorită vastării materialului dedicat acestora, acesta va fi dezvăluit în următorul articol.

Cunoașterea cu Active Directory - Utilizatori și computere

După ce ați instalat primul controler în domeniu (de fapt, organizați un domeniu), în secțiunea de administrare apar cinci elemente noi (vezi figura 1).

Pentru a gestiona obiectele AD, Active Directory este utilizat - utilizatorii și computerele (utilizatorii ADUC - AD și computerele, vezi figura 2), care pot fi, de asemenea, numiți prin meniul "Run" prin intermediul DSA.MSC.

Folosind ADUC, puteți crea și șterge utilizatorii, puteți atribui script-uri de conectare, gestionează calitatea de membru în grupuri și politicile de grup.

Există, de asemenea, posibilitatea de a gestiona obiectele AD fără a accesa direct serverul. Acesta oferă pachetul AdminPak.msi, situat în directorul% sistem_drive% \\ Windows \\ System32. Întorcându-l pe mașina lui și s-au înălțat drepturile administratorului de domeniu (dacă nu există), puteți administra domeniul.

La deschiderea ADUC, vom vedea filiala domeniului nostru care conține cinci containere și unități organizaționale.

• Incorporat.. Aceasta conține grupuri locale încorporate care se află pe orice mașină de server, inclusiv controlere de domenii.
• Utilizatori și computere. Acestea sunt containere în care de către utilizatorii, grupurile și conturile implicite ale computerelor la instalarea sistemului pe Windows NT. Dar pentru a crea și stoca conturi noi, nu este nevoie să utilizați numai aceste containere, puteți crea un utilizator chiar într-un container de domenii. Când porniți computerul la domeniu, acesta apare în containerul computerelor.
• Controlere de domenii.. Această unitate organizațională (OU, unitate organizațională), care conține controlorii de domeniu implicit. Când creați un nou controler, apare aici.
• ForaceCurityPrincipals.. Acesta este recipientul implicit pentru obiecte din domenii externe de încredere.

Este important să vă amintiți că politicile grupului sunt legate exclusiv la domeniu, ou sau site-ul. Acest lucru trebuie luat în considerare la crearea unei ierarhii administrative a domeniului dvs.

Introducem un computer în domeniu

Procedura se efectuează direct pe mașina locală pe care vrem să o conectăm.

Alegeți "Computerul meu -\u003e Proprietăți -\u003e Numele computerului," Apăsați butonul "Schimbare" și în meniul "Membru" selectați "Domeniul". Introducem numele de domeniu în care dorim să adăugăm computerul nostru și apoi dovedim că avem drepturi de a adăuga stații de lucru în domeniu prin introducerea datelor de autentificare a administratorului de domeniu.

Creați un utilizator de domeniu

Pentru a crea un utilizator, trebuie să selectați orice container în care acesta va fi localizat, faceți clic pe acesta cu butonul din dreapta al mouse-ului și selectați "Creare -\u003e Utilizator". Se deschide expertul Creare de utilizator. Aici puteți specifica o varietate de atribute, pornind de la numele de utilizator și cadrele temporare de înregistrare în domeniu și terminând cu setările pentru serviciile terminale și accesul la distanță. La finalizarea expertului, veți primi un nou utilizator de domeniu.

Trebuie remarcat faptul că, în procesul de creare a unui utilizator, sistemul poate "jura" pe complexitatea insuficientă a parolei sau a conciziei sale. Puteți atenua cerințele prin deschiderea politicii de securitate a domeniului (setări de securitate a domeniului implicit) și apoi "Setări de securitate -\u003e Politici de cont -\u003e Politica parolei.

Să fi creat utilizatorul Ivan Ivanov în recipientul utilizatorilor (numele de conectare al utilizatorului: [E-mail protejat]). Dacă în sistemele NT 4, numai rolul decorului a jucat, apoi în AD Este parte a numelui în format LDAP, care arată în întregime ca acesta:

cN \u003d "Ivan Ivanov", CN \u003d "Utilizatori", DC \u003d "HQ", DC \u003d "local"

Aici CN - Numele containerului, DC - componentă de domeniu. Descrierile obiectelor LDAP sunt utilizate pentru a executa scripturi WSH (Windows Script Hosts) sau pentru programe utilizând protocolul LDAP pentru a comunica cu Active Directory.

Pentru a intra în domeniu, Ivan Ivanov va trebui să utilizeze numele în format UPN (numele universal principal): [E-mail protejat] De asemenea, în domeniile publicitare vor fi clare pentru a scrie numele în format vechi NT 4 (înainte de Win2000), în cazul nostru HQ \\ Ivanov.

La crearea unui cont de utilizator, acesta este atribuit automat identificatorul de securitate (SID, identificatorul de securitate) este un număr unic prin care sistemul și definește utilizatorii. Este foarte important să înțelegeți, deoarece atunci când ștergeți un cont, SID-ul său este șters și nu este utilizat niciodată. Și fiecare cont nou va avea noul său SID, motiv pentru care nu va fi capabil să obțină drepturile și privilegiile vechiului.

Un cont poate fi mutat în alt recipient sau ou, dezactivat sau, dimpotrivă, activați, copiați sau swap parola. Copierea este adesea utilizată pentru a crea mai mulți utilizatori cu aceiași parametri.

Mediul de lucru al utilizatorului

Acreditările stocate centralizat pe server permit utilizatorilor să se identifice fără echivoc în domeniu și să primească drepturi relevante și acces la mediul de lucru. Toate sistemele de operare ale familiei Windows NT sunt utilizate pentru a crea un mediu de lucru pe profilul de utilizator al mașinii client.

Profilul local

Luați în considerare principalele componente ale profilului de utilizator:

• Partiția de registru corespunzătoare unui anumit utilizator ("stup" sau "stup").De fapt, datele acestei linii ale registrului sunt stocate în fișierul Ntuser.dat. Acesta este situat în folderul% sistemDrive% \\ documente și setări \\ user_name, care conține un profil de utilizator. Astfel, atunci când utilizatorul specific de utilizator în sistemul din secțiunea de registry HKEY_CURRENT_USER, "stupul" Ntuser.dat este încărcat din folderul care conține profilul său. Și toate modificările la setările mediului utilizator pentru sesiune vor fi menținute în acest "stup". Fișierul Ntuser.dat.log este un jurnal de tranzacții care există pentru a proteja fișierul Ntuser.dat. Cu toate acestea, pentru utilizatorul implicit utilizator, nu o puteți găsi cu greu pentru că este un șablon. Despre acest lucru următor. Administratorul are capacitatea de a edita "stupul" unui anumit utilizator direct din mediul său de lucru. Pentru a face acest lucru, folosind Regedit32 Registry Editor, trebuie să încarce "stup" în secțiunea HKEY_USERS și apoi după efectuarea de modificări pentru ao descărca.
• Dosare sistemul de fișiereconținând fișiere de setări personalizate. Acestea sunt situate într-un catalog special% sistemDrive% \\ documente și setări \\ user_name, unde utilizator_name este numele utilizatorului conectat. Este stocat aici elementele desktopului, elementele de pornire, documente etc.

Dacă utilizatorul intră în primul rând în sistem, se întâmplă următoarele:

1. Sistemul verifică dacă există profilul local al acestui utilizator.
2. După ce a găsit-o, sistemul se referă la controlerul de domeniu din căutarea profilului de domeniu implicit, care ar trebui să fie localizat în folderul de utilizator implicit resurse comune Netlogon; Dacă sistemul a detectat acest profil, acesta este copiat local la aparatul în dosarul% sistemDrive% \\ documente și setări cu numele de utilizator, altfel este copiat din sistemul local% SystemDrive% \\ Documents și Setări \\ Utilizator implicit.
3. Sesiunea de registry a utilizatorului "Hive" este încărcată în secțiunea de registry HKEY_CURRENT_USER.
4. Când părăsiți sistemul, toate modificările sunt salvate local.

În cele din urmă, mediul de lucru al utilizatorului este combinația profilului său de lucru și profilul tuturor utilizatorilor, care conține comun tuturor utilizatorilor acestei mașini de setare.

Acum câteva cuvinte despre crearea unui profil implicit pentru un domeniu. Creați un profil fictiv pe mașina dvs., configurați-l în funcție de nevoile dvs. fie cu cerințe privind politica corporativă. Apoi părăsiți sistemul și reveniți ca administrator de domeniu. În resursa serverului netlogon partajat, creați un folder de utilizator implicit. Apoi, utilizând fila Profiluri utilizator din Appletul de sistem (vezi Fig.3) Copiați profilul dvs. în acest dosar și furnizați drepturile de utilizare a grupului de utilizatori de domenii sau alții grup adecvat Securitate. Totul, profilul implicit pentru domeniul dvs. este creat.

Profilul transferat.

Active Directory ca tehnologie flexibilă și scalabilă vă permite să lucrați într-un mediu al întreprinderii dvs. cu profilele mutate pe care le vom uita mai departe.

În același timp, va fi adecvat să se spună despre redirecționarea dosarelor ca una dintre caracteristicile tehnologiei IntelliMirror pentru a asigura toleranța la defecțiuni și stocarea centralizată a datelor de utilizator.

Profilele transferate sunt stocate pe server. Calea către ei este specificată în setările utilizatorului de domeniu (vezi figura 4).

Dacă doriți, puteți specifica profilurile mutate pentru mai mulți utilizatori, evidențiind mai mulți utilizatori și în Proprietățile din fila Profil, specificați% Nume de utilizator în loc de dosarul cu numele de utilizator (vezi figura 5).

Procesul primei autentificare la sistemul care are un profil mutat, asemănător cu cel descris mai sus pentru locale, pentru unele excepții.

În primul rând, deoarece este specificată calea către profilul din obiectul utilizatorului, sistemul verifică prezența unei copii locale în cache a profilului cu mașina, apoi totul așa cum este descris.

În al doilea rând, la finalizare, toate modificările sunt copiate pe server, iar dacă politicile de grup nu sunt specificate pentru a șterge o copie locală, stocată pe această mașină. Dacă utilizatorul a avut deja un proces de profil local, serverul și copii locale ale profilului sunt comparate și le-au combinat.

Tehnologie IntelliMirror B. sisteme Windows. Versiunile recente permit redirecționarea dosare definite Utilizatori, cum ar fi "documentele mele", "imaginile mele" etc., pe o resursă de rețea.

Astfel, pentru utilizator, toate modificările făcute sunt absolut transparente. Prin salvarea documentelor la dosarul "Documentele mele", care va fi redirecționat în mod deliberat la resursa de rețea, nici măcar nu va bănui că totul este salvat pe server.

Puteți configura redirecționarea ca fiind manual pentru fiecare utilizator și utilizând politicile de grup.

În primul caz, trebuie să faceți clic pe pictograma "Documente My" de pe desktop sau în meniul "Start" cu butonul din dreapta al mouse-ului și selectați Proprietăți. În plus, totul este extrem de simplu.

În cel de-al doilea caz, trebuie să deschideți o politică OU de grup sau un domeniu pentru care dorim să aplicăm redirecționarea și să dezvăluim ierarhia "Configurația utilizatorului -\u003e Configurarea Windows."(Vezi figura 6). Apoi, redirecționarea este configurată sau pentru toți utilizatorii sau pentru anumite grupuri de securitate OU sau un domeniu la care va fi aplicată această politică de grup.

Utilizând redirecționarea folderului Pentru a lucra cu profilurile de utilizatori mobili, puteți obține, de exemplu, reducerea timpului de încărcare a profilului. Acest lucru este cu condiția ca profilul de mișcare să fie încărcat întotdeauna de pe server fără a utiliza o copie locală.

Povestea tehnologiei de redirecționare a dosarului ar fi incompletă fără a menționa fișiere independente. Acestea permit utilizatorilor să lucreze cu documente chiar și în absența unei conexiuni la rețea. Sincronizarea cu copiile de server ale documentelor apare atunci când computerul este conectat următor la rețea. O astfel de schemă de organizare va fi utilă, de exemplu, utilizatorii de laptopuri care lucrează atât în \u200b\u200bcadrul rețelei locale, cât și la domiciliu.

Dezavantajele profilurilor mobile includ următoarele:

• este posibil să existe o situație în care, de exemplu, pe desktopul utilizatorului, vor exista etichete ale unor programe și pe o altă mașină, unde va observa proprietarul unui profil în mișcare a unor astfel de programe, o parte din comenzile rapide nu va muncă;
• mulți utilizatori au obiceiul de a depozita documente, precum și fotografii și chiar video pe desktop, ca rezultat, atunci când se încarcă un profil în mișcare de pe server, de fiecare dată când este creat trafic suplimentar. În rețea, și profilul în sine este încărcat pentru o perioadă foarte lungă de timp; Pentru a rezolva problema, utilizați permisiunile NTFS pentru a limita conservarea "gunoiului" pe desktop;
• de fiecare dată când utilizatorul intră în sistem, este creat un profil local (mai precis, profilul de pe server este copiat local), iar dacă mașinile de lucru se schimbă, fiecare dintre ele rămâne astfel "gunoi"; Acest lucru poate fi evitat prin configurarea multiplelor politici de grup ("Configurare a computerului -\u003e Șabloane administrative -\u003e Sistem -\u003e Profiluri de utilizator", "Ștergeți copii de profil ale profilurilor de roaming").

Introducerea unui utilizator existent în domeniu

Adesea, atunci când serviciul de director este implementat în rețeaua deja existentă pe baza grupurilor de lucru, problema introducerii unui utilizator în domeniu fără a pierde setările mediului său de lucru. Acest lucru poate fi realizat utilizând profiluri în mișcare.

Creați pe o resursă de rețea (de exemplu, profiluri) din folderul server cu numele de utilizator și setați o permisiune de scriere pentru grupul tuturor. Lăsați-o să fie numită Hquser, iar calea completă la el arată astfel: \\\\ server \\ profiles \\ hquser.

Creați un utilizator de domeniu care se va potrivi cu utilizatorul rețelei dvs. locale și ca o cale către profil, specificați \\\\ server \\ profiles \\ hquser.

Pe un computer care conține profilul local al utilizatorului nostru, trebuie să introduceți contul Administrator și să utilizați fila Profilul utilizatorului din Appletul de sistem Copiați-l în folderul \\\\ server \\ profiles \\ hquser.

Este ușor de înțeles că data viitoare când introduceți sistemul într-un cont de domeniu nou, utilizatorul nostru va încărca profilul de lucru de pe server, iar administratorul va rămâne doar pentru a decide dacă să părăsească acest profil sau să facă local.

Renunțarea la

Foarte des, utilizatorii sunt încărcați cu discuri de rețea inutile. Pentru a evita cererile permanente de curățare a dosarelor dvs. personale de la gunoi inutil (din anumite motive, se dovedește întotdeauna a fi necesar), puteți utiliza mecanismul de cote. Începând cu Windows 2000, acest lucru poate fi realizat prin mijloace standard pe volumele NTFS.

Pentru a activa mecanismul de contingent și de configurare, trebuie să mergeți la proprietățile volumului local și să deschideți fila Cota (Cota) (vezi figura 7).

De asemenea, puteți vedea datele despre spațiul de disc ocupat și configurați cotele separat pentru fiecare utilizator (vezi figura 8). Sistemul calculează spațiul ocupat pe disc pe baza datelor proprietarului obiectului, însumând cantitatea de fișiere aparținând acesteia și folderele.

Grupuri de utilizatori din AD

Gestionarea utilizatorilor în domeniu - sarcina este simplă. Dar când trebuie să configurați accesul la anumite resurse pentru mai multe 10 utilizatori (sau sute de sute), se poate lăsa o mulțime de timp pentru distribuirea drepturilor de acces.

Și dacă este necesar să delimiteze subtile drepturile participanților din mai multe domenii din arbore sau din pădure, sarcina sarcinilor de la teoria seturilor apare în fața administratorului. Utilizarea grupurilor vine la salvare.

Principala caracteristică a grupurilor întâlnite în domeniu a fost dată în ultimul articol despre arhitectura serviciului de director.

Permiteți-mi să vă reamintesc că grupurile de domenii locale pot include utilizatori ai domeniului lor și alte domenii din pădure, dar zona sa este limitată la domeniul la care aparține.

Grupurile globale pot include numai utilizatorii domeniului lor, dar există posibilitatea utilizării acestora pentru a oferi acces la resurse atât în \u200b\u200bpropriul lor, cât și în alte domenii din pădure.

Grupurile universale, care corespund numelui lor, pot conține utilizatori din orice domeniu și pot fi, de asemenea, utilizați pentru a oferi acces în întreaga pădure. Nu contează dacă grupul universal de domeniu va fi creat, singurul, merită considerat că atunci când se mișcă, drepturile de acces vor fi pierdute și vor trebui să reasigneze recent.

Pentru a înțelege principiile de mai sus și de bază ale grupurilor de grupuri descrise mai sus, ia în considerare un exemplu. Să avem o pădure care conține două domenii HQ.Local și SD.Local (care dintre ele este rădăcină în acest caz, nu contează). Fiecare dintre domeniile conține resurse pentru care accesul, iar utilizatorii trebuie să fie furnizați (a se vedea figura 9).

Din fig. 9 Se poate observa că toți utilizatorii din pădure (linii verzi și roșii) trebuie să aibă acces la Docs și DIST Resurse, astfel încât să putem crea un grup universal care să conțină utilizatori din ambele domenii și să îl folosesc atunci când specifică permisiunile pentru accesul la ambele resurse. Fie putem crea două grupuri globale din fiecare domeniu pe care utilizatorii le vor conține numai domeniile lor și le includ într-un grup universal. Oricare dintre aceste grupuri globale poate fi, de asemenea, utilizată pentru alocarea drepturilor.

Accesul la directorul de bază trebuie să aibă utilizatorii numai din domeniul hq.local (linii albastre), astfel încât să le includem în grupul de domenii locale, iar acest grup va oferi acces.

Catalogul de distribuție va avea dreptul de a utiliza atât membrii domeniului HQ.local, cât și membrilor domeniului SD.Local (linii portocalii din figura 9). Prin urmare, utilizatorii managerului și salariilor pot adăuga hq.local grupului de domenii globale și apoi adaugă acest grup la grupul local de domenii SD.Local împreună cu utilizatorul IT. Apoi acest grup local și oferă acces la resursa DIST.

Acum ne vom uita la cuibarea acestor grupuri mai mult și vom lua în considerare un alt tip de grupuri de domenii locale încorporate.

Tabelul arată care grupuri pot fi încorporate. Aici, orizontalele sunt situate în grupuri în care sunt investite grupuri situate pe verticală. În plus, înseamnă că un tip de grupuri poate fi investit în altul, nu există minus.

Pe o resursă de pe Internet pe examenele de certificare Microsoft, am văzut o mențiune a unei astfel de formule - AgudLP, ceea ce înseamnă: conturile sunt plasate în grupuri globale (globale), care sunt plasate în universale (universale), care sunt plasate la nivel local Grupurile de domenii (domeniu local) la care sunt aplicate permisiuni). Această formulă descrie pe deplin posibilitatea cuiburilor. Trebuie adăugat că toate aceste specii pot fi încorporate în grupurile locale dintr-o singură mașină (domenii locale exclusiv în domeniul lor).

Cositor de grup de domenii

Cuibărit	Grupuri locale	Grupuri globale	Grupuri universale
Cont
Grupuri locale	+ (cu excepția grupurilor locale încorporate și numai în propriul domeniu)
Grupuri globale		+ (numai în propriul său domeniu)
Grupuri universale

Grupurile de domenii locale încorporate sunt situate în recipientul încorporat și sunt de fapt grupuri de mașini locale, dar numai pentru controlorii de domenii. Și, spre deosebire de grupurile de domenii locale, recipientul utilizatorilor nu pot fi mutate în alte unități organizaționale.

Înțelegerea corectă a procesului de administrare a contului vă va permite să creați un mediu de lucru clar configurat al întreprinderii, asigurând flexibilitatea managementului și, cel mai important, toleranța la defecțiuni și securitatea domeniului. În articolul următor vom vorbi despre politicienii de grup ca instrument de creare a unui mediu de utilizator.

aplicație

Nuanțele autentificării domeniului

Când se utilizează profiluri locale, poate apărea o situație atunci când utilizatorul de domeniu încearcă să intre stație de lucrucare are profilul său local, dar din anumite motive nu are acces la controler. În mod surprinzător, utilizatorul trece cu succes autentificarea și va fi permis să funcționeze.

O astfel de situație apare din cauza cache-ului mandatului utilizatorului și poate fi corectată prin modificarea registrului. Pentru a face acest lucru, în HKEY_LOCAL_MACHINE \\ Software \\ Microsoft \\ Windows NT \\ Software \\ Microsoft \\ Windows NT \\ Versiunea curentă \\ Winlogon (dacă nu există) Intrare cu numele CABLOGONCOUNT, tipul de date Reg_DWord și setați valoarea acestuia la zero. Un rezultat similar poate fi realizat utilizând politicile de grup.

1. Emelyanov A. Principii Construcție de domenii Active Directory, // " Administrator de sistem", №2, 2007 - P. 38-43.

În contact cu

După instalarea Active Directory, puteți continua să creați obiecte și să le controlați.

6.5.1. Creând diviziuni și obiecte în ele

6.5.1.1. Crearea diviziilor organizaționale (OP)

OP poate crea în domeniu, obiectul controlerului de domeniu sau altul (figura 6.3). În OP creat, puteți adăuga obiecte.

Pentru a crea un OP, este necesar să aveți autoritatea de a adăuga diviziuni părintelor PO, un domeniu sau nodului controlerului de domeniu, unde opțiunea va fi creată. În mod implicit, aceste puteri sunt date grupului administratorilor.

persoane).

Nu puteți crea un OP în cele mai multe containere standard

nerkov, cum ar fi computerele sau utilizatorii.

Smochin. 6.3. Departamentul OP al OTI în nodul de control al domeniului

OP sunt create pentru a simplifica administrarea rețelei. Structura OP ar trebui să se bazeze pe sarcini specifice iad-

ministerul. Puteți schimba cu ușurință structura OP sau puteți muta obiecte între op.

OP sunt create în următoarele cazuri:

să furnizeze competențe administrative altor utilizatori sau administratori;

să grupeze obiecte asupra cărora se efectuează operațiuni administrative similare; Acest lucru facilitează căutarea pentru similare resurse de rețea și serviciul lor - deci, pot fi combinate într-o singură obiecteUtilizator pentru angajați temporari;

pentru a limita vizibilitatea resurselor de rețea în spațiul de stocare Active Directory, utilizatorii vor vedea numai acele obiecte la care accesul; Permisiunile pentru PO pot fi ușor modificate prin limitarea accesului la informații confidențiale.

6.5.1.2. Adăugarea obiectelor în op

Pentru a adăuga obiecte la PO, trebuie să aveți în ea cu autoritatea competentă. În mod implicit, aceste drepturi furnizate Grupului Administratorilor. Soiurile obiectelor care sunt create depind de regulile schemei utilizate de expert sau de fixare. Unele atribute ale obiectului pot fi definite numai după crearea sa.

6.5.2. Obiecte de control Active Directory

Gestionarea obiectelor Active Directory include căutarea obiectelor, schimbarea lor, distrugerea sau mișcarea. În ultimele două cazuri, trebuie să aveți permisiuni adecvate pentru obiect sau pentru PO, unde mutați obiectul. În mod implicit, toți membrii grupului administratorilor au aceste competențe.

6.5.2.1. Căutați obiecte

Catalogul global (GC) conține o replică parțială a întregului catalog și stochează informații despre toate obiectele din domeniu sau copacul forestier. Prin urmare, utilizatorul poate găsi un obiect indiferent de locația sa în domeniu sau în pădure. Conținutul GC este generat automat de informații din domeniile care alcătuiesc directorul.

Pentru a căuta obiecte, deschideți instantaneu, a cărui comandă rapidă este în grupul de instrumente programate. În arborele consolei, faceți clic dreapta

utilizați butonul Domain sau Op Mouse și selectați comanda Găsire (Găsire) din meniul contextual. Se deschide o casetă de dialog

(Căutare) (figura 6.4).

Smochin. 6.4. Găsiți caseta de dialog

Dacă dezvăluie meniul contextual al obiectului Folder partajat (folder partajat)Și alegeți comanda

(Găsiți), căutarea Windows Explorer va fi lansată și puteți căuta folder impartit Fișiere și subfoldere.

Caseta de dialog Găsire include opțiunile de căutare în GC, permițându-vă să găsiți conturi, grupuri și imprimante.

6.5.2.2. Schimbați valorile atributului

și Îndepărtarea obiectelor

Pentru a schimba valorile atributului, deschideți AC

users și computere de directoare și selectați o instanță de obiect

acea. În meniul de acțiune, selectați compoperii. În caseta de dialog Proprietăți

eCTA Schimbați atributele obiectului dorit. Apoi, efectuați amendamente la descrierea obiectului, de exemplu, modificați obiectul utilizatorului pentru a modifica numele, locația și adresa de e-mail a utilizatorului. Dacă obiectele nu mai sunt necesare, le ștergeți în scopuri de securitate: deschiderea echipamentului utilizatorilor de directoare de conducere și

Computerele, evidențiați o instanță a obiectului care este șters și apoi în meniul Instrumente, selectați Ștergere

(Șterge).

6.5.2.3. Mutați obiecte

În stocarea Active Directory, puteți muta obiecte, de exemplu, între OP pentru a reflecta modificările structurii întreprinderii atunci când angajatul este transferat de la un departament la

goy. Pentru a face acest lucru, deschiderea snap-ului Utilizatorii Active Directory și Com-

puters, selectați obiectul în mișcare, selectați Mutare (Mutare) și

specificați noua locație a obiectului.

6.5.3. Controlul accesului la obiectele Active Directory

Pentru a controla accesul la obiectele Active Directory, se utilizează un model de protecție orientat spre obiect, un astfel de model de protecție NTFS.

Fiecare obiect Active Directory are un descriptor de securitate care determină cine are dreptul de a accesa obiectul și tipul de acces. Serverul Windows utilizează descriptori de securitate pentru a controla accesul la obiecte.

Pentru a simplifica administrarea, este posibilă gruparea obiectelor cu aceleași cerințe de securitate în op și atribuirea permisiunilor de acces pentru întregul PO și toate obiectele din acesta.

6.5.3.1. Active Directory Management Permisiuni

Permisiunile Active Directory oferă protecția resurselor, permițându-vă să gestionați accesul la cazuri de obiecte sau atribute obiect și să determinați vizualizarea accesului furnizat.

Protecție Active Directory.

Administratorul sau proprietarul obiectului trebuie să atribuie un obiect de autorizare de acces înainte ca utilizatorii să poată accesa acest obiect. Windows Server Stores Lista de control al accesului (Lista de control al accesului, ACL) pentru fiecare

directorul Active obiect.

Obiectul ACL include o listă de utilizatori care au permisiunea de a accesa obiectul, precum și un set de obiecte admise.

Puteți utiliza permisiuni pentru destinație autoritatea administrativă un anumit utilizator sau un grup în raport cu OP, ierarhia OP sau obiect separat Fără numirea permiselor administrative pentru

obiecte de director anctant.

Permisiuni de acces la obiect

Depinde de tipul de obiect - de exemplu, rezoluția parolei de resetare este permisă pentru obiecte de obiecte, dar nu pentru obiecte

Calculator.

Utilizatorul poate fi membru al mai multor grupuri cu permisiuni diferite pentru fiecare dintre ele diferite nivele Accesul la obiecte. Atunci când atribuiți permisiunea de a accesa obiectul, un membru al grupului, înzestrat cu alte permisiuni, drepturile eficiente ale utilizatorului se vor dezvolta din permisiunile și permisiunile grupului.

Puteți oferi sau anula permisiunile. Permisele anulare pentru utilizatori și grupuri de autorizații mai prioritare emise.

Dacă utilizatorul este interzis să acceseze obiectul, acesta nu va primi acces la acesta chiar ca membru al grupului plenipotențiar.

Alocarea permisiunilor Active Directory

Configurați permisiunile obiectelor și atributele acestora permite sculele Active Directory Utilizatori și computere. Numi

soluțiile pot fi, de asemenea, pe fila. Securitatecaseta de dialog Proprietăți obiect.

Pentru a îndeplini cele mai multe sarcini administrative, există suficiente permisiuni standard.