Správa Active Directory pomocou Powershell. Termín "vzťah dôvery". Kontrolné objekty Active Directory

Lekcia 7. Spravujte Active Directory.

Proces správy služby Active Directory je riadiť:

• domény Active Directory;
• Štruktúra adresára domény;
• objekty domény (používatelia, kontakty, počítače, skupiny, tlačiarne atď.);
• stránky a siete Active Directory;
• replikácie údajov.

Všetky tieto úlohy sa riešia pomocou troch kontrolných konzol inštalovaných v procese. inštalácia aktívneho Directory na radič domény:

• Active Directory - domény a dôvera
• Active Directory - Používatelia a počítače
• Active Directory - stránky a služby

Tieto konzoly môžu byť inštalované na iných počítačoch v rámci balíka administratívnych nástrojov.

Popis objektov služby Active Directory.

Všetky konzisie Active Directory Management Na zobrazenie adresárových objektov použite jednu sadu ikon. Nižšie sú uvedené základné objekty Active Directory a zodpovedajúce ikony. Tieto informácie vám pomôžu jednoduchšie navigáciu v adresári Active Directory.

Aktívny adresár.

Predstavuje adresár Active Directory ako celok. V kontrolných nástrojoch sa prakticky nenašlo, s výnimkou vyhľadávania a výberu objektov

Predstavuje doménu Windows. Umožňuje spravovať globálne parametre domény

Kontajner, priečinok

Predstavuje jednoduchý objekt kontajnera. Takéto objekty môžu byť vytvorené iba operačným systémom a zvyčajne sa generuje pri inštalácii Active Directory.

Organizačná divízia

Predstavuje OP. Tento objekt kontajnera sa používa na vytvorenie hierarchie kontajnerov obsahujúcich iné objekty.

Užívateľ

Predstavuje používateľský účet. Objekt obsahuje veľký počet Atribúty opisujúce používateľa

Predstavuje používateľa - nie členom domény. Kontakty sa používajú na ukladanie informácií o externých používateľoch v informačnom adresári, nie sú povereniami a neumožňujú užívateľom zaregistrovať sa v doméne

Predstavuje skupinu používateľov a zvyčajne sa používa na zjednodušenie riadenia povolení a privilégií

Počítač

Predstavuje jeden počítač v lokálna sieť. Pre počítače pod ovládanie systému Windows NT, 2000 a neskôr verzie systému Windows je počítačový účet. Objekt obsahuje základné informácie o počítači a umožňuje ho spravovať.

Radič domény

Predstavuje samostatný ovládač domény Windows. V aplikácii Active Directory Snap-In, užívatelia a počítače sú zobrazené ako rovnaké ikony ako bežné počítače. Zadaná ikona sa používa na zobrazenie radičov domény v službách a službách služby Active Directory. Umožňuje spravovať parametre radiča domény

Predstavuje sieťovú tlačiareň. Objekt je odkaz na tlačiareň uvedenú v všeobecný prístup. Objekty tohto typu môžu byť pridané do adresára ako manuálne a automaticky. Manuálne pridanie je možné len pre tlačiarne pripojené k počítačom predčasné verzieako Windows 2000

Zdieľaný zdroj

Predstavuje spoločný priečinok. Objekt je odkaz na zdieľaný sieťový zdroj a neobsahuje žiadne údaje

Parametre licencií

Predstavuje globálne nastavenia udeľovania licencií. Umožňuje centrálne spravovať licencie na softvérové \u200b\u200bprodukty a ich replikáciu v rámci stránky

Politika domén

Predstavuje politiku domény. Umožňuje konfiguráciu politík úrovne domén

Politika radiča domény

Predstavuje objekt politiky regulátora domény. Umožňuje konfigurovať nastavenia politiky pre všetky regulátory domény

Skupinové pravidlá

Predstavuje svojvoľnú skupinovú politiku. Umožňuje spravovať politiky pre objekty tohto kontajnera, ku ktorému

Predstavuje samostatnú stránku Active Directory. Umožňuje ovládať IT parametre. Obsahuje odkazy na objekty radiče domény, odkazy stránok, parametrov lokality

Zmes

Predstavuje spojenie medzi radičmi domény v mieste. Umožňuje ovládať topológiu a replikačné parametre medzi radičmi domény v rámci stránky

Pripojenie na miesto

Predstavuje samostatný odkaz medzi miestami. Umožňuje ovládať topológiu a parametre replikácie Cross-line

Parametre lokality

Predstavuje objekt konfigurácie lokality alebo radič domény na stránke. Umožňuje spravovať parametre replikácie celého miesta alebo parametrov pre interakciu radiča domény s miestom

Predstavuje samostatnú podsiete spojenú s konkrétnym miestom. Umožňuje špecifikovať hranice IP siete

Ikona	Objekt	Popis

Active Directory (AD) je servisné programy vyvinuté pre operačný systém. Server Microsoft. Pôvodne bol vytvorený ako ľahký prístupový algoritmus k užívateľským adresárom. Z verzie Windows Server 2008 bola integrácia s autorizačnými službami.

Uľahčuje postupovať skupinovú politiku s použitím rovnakého typu parametrov a na všetkých kontrolovaných počítačoch pomocou konfiguračného manažéra systému.

Ak sú jednoduché slová pre začiatočníkov úlohou servera, ktorý vám umožní spravovať všetky prístupové a povolenia na miestnej sieti z jedného miesta.

Funkcie a účel

Microsoft Active Directory - (tzv. Directory) balík finančných prostriedkov na vykonávanie manipulácií s užívateľmi a sieťovými údajmi. Hlavným cieľom Vytvorenie je uľahčiť prácu správcov systému v rozsiahlych sieťach.

Katalógy obsahujú rôzne informácie týkajúce sa používateľov, skupín, sieťových zariadení, zdrojov súborov - v slove, objektoch. Napríklad atribúty používateľa, ktoré sú uložené v adresári, musia byť nasledovné: adresa, prihlásenie, heslo, číslo mobilného telefónu atď. Adresár sa používa ako autentifikačné bodyS ktorou môžete zistiť potrebné informácie Všetko o

Základné koncepty, ktoré sa vyskytujú počas práce

Existuje množstvo špecializovaných konceptov, ktoré sa používajú pri práci s reklamou:

1. Server je počítač obsahujúci všetky údaje.
2. Regulátor je server s úlohou AD, ktorá požiada o požiadavky od ľudí pomocou domény.
3. Domain AD je sada zariadení zjednotený pod jedným jedinečným názvom, ktorý súčasne používa spoločnú adresár databázy.
4. Dátový sklad je súčasťou adresára, ktorý je zodpovedný za ukladanie a extrahovanie údajov z akéhokoľvek radiča domény.

Ako pracovať Active Directory

Základnými princípmi práce sú:

• PovolenieKeď sa objaví možnosť používať počítač v sieti jednoducho zadaním osobné heslo. Zároveň sa odkladá všetky informácie z účtu.
• Bezpečnosť. Active Directory obsahuje funkcie rozpoznávania používateľov. Pre ľubovoľný sieťový objekt môžete z jedného zariadenia na diaľku, aby ste mohli správne práva, ktoré budú závisieť od kategórií a špecifických používateľov.
• Sieťová správa Z jedného bodu. Pri práci s riaditeľom aktív, SISADMIN nemusí znovu nakonfigurovať celý počítač, ak potrebujete zmeniť prístupové práva, napríklad do tlačiarne. Zmeny sa vykonávajú vzdialene a globálne.
• Plný integrácia s DNS.. S pomocou svojej pomoci sa zmätok nevyskytuje v reklame, všetky zariadenia sú označené rovnakým spôsobom ako na celosvetovom webe.
• Rozsiahly. Sada serverov je schopný monitorovať jeden server Active Directory.
• Vyhľadávanie Vykonáva sa podľa rôznych parametrov, ako je názov počítača, prihlásenie.

Objekty a atribúty

Objekt je súbor atribútov zjednotených pod vlastným menom, čo je sieťový zdroj.

Atribút - Charakteristiky objektu v adresári. Napríklad, napríklad obsahuje meno používateľa, jeho prihlásenie. Ale atribúty PC účtu môžu byť názov tohto počítača a jeho opis.

"Dôstojník" - objekt, ktorý má atribúty "celé meno", "pozícia" a "Tabn".

Názov kontajnera a LDAP

Kontajner - typ objektov, ktoré môžu pozostávajú z iných objektov. Doména, napríklad, môže zahŕňať objekty účtu.

Ich hlavné stretnutie - objednanie objektov Podľa typu značiek. Najčastejšie sa kontajnery používajú na skupinové objekty s rovnakými atribútami.

Takmer všetky kontajnery zobrazujú súbor objektov a zdroje sú zobrazené jedinečným objektom Active Directory. Jedným z hlavných typov kontajnerov reklám je organizačný modul alebo OU (organizačná jednotka). Objekty, ktoré sú umiestnené v tejto nádobe patria len do domény, v ktorej sú vytvorené.

Lightweight Directory Access Protocol (Lightweight Directory Access Protocol, LDAP) je hlavným algoritmom pripojenia TCP / IP. Je navrhnutý tak, aby znížil počet nuans pri prístupe k službám katalógu. Tiež v LDAP nainštalovaných akcií použitých na vyžiadanie a úpravu údajov adresára.

Strom a miesto

Doménový strom je štruktúra, súbor domén všeobecná schéma a konfigurácia, ktorá tvorí celkový men priestor a sú spojené s dôveryhodnými vzťahmi.

Doménový les je celkom stromov spojených medzi sebou.

Stránka je sada zariadení v IP podsiete, ktoré predstavujú fyzický sieťový model, ktorého plánovanie je vykonané bez ohľadu na logické zastúpenie jeho výstavby. Active Directory má možnosť vytvoriť číslo n-počtu stránok alebo zjednotiť n-number domény pod jednou stránkou.

Inštalácia a konfigurácia Active Directory

Teraz sa otáčame priamo do konfigurácie služby Active Directory príklad Windows Server 2008 (na iných verziách zhody identické):

Stlačte tlačidlo "OK". Stojí za zmienku, že takéto hodnoty sa nevyžadujú. Môžete použiť IP adresu a DNS z vašej siete.

• Ďalej musíte prejsť na menu "Štart", vyberte možnosť "Administration" a "".
  
• Prejdite na "Role", vyberte pole " Pridať úlohu”.
  
• Vyberte položku "Active Directory Domain Services" Dvakrát "Ďalej" a po inštalácii "Inštalácia".
  
• Počkajte na inštaláciu.
  
• Otvorte menu "Štart" - " Hrať". V poli zadajte DCPROMO.EXE.
  
• Kliknite na tlačidlo "Ďalej".
  
• Vybrať položku " Vytvárať nová doména V novom lese"A znova stlačte" Ďalej ".
  
• V ďalšom okne zadajte názov, kliknite na tlačidlo "Ďalej".
  
• Vyberať režim kompatibility (Windows Server 2008).
  
• V ďalšom okne opustíte všetko štandardne.
  
• Spustiť konfiguračné oknoDNS.. Keďže predtým nebol použitý na serveri, delegácia nebola vytvorená.
  
• Vyberte adresár pre inštaláciu.
  
• Po tomto kroku sa musíte opýtať heslo správy.

Pre spoľahlivosť musí heslo dodržiavať tieto požiadavky:

Po dokončení reklamy proces konfigurácií komponentov musíte server reštartovať.

Konfigurácia je kompletná, vybavená a úloha je nastavená do systému. Môžete nainštalovať AD len na family servera systému Windows, pravidelné verzie, napríklad 7 alebo 10, môžu byť nainštalované len na inštaláciu ovládacej konzoly.

Administrácia v službe Active Directory

V predvolenom nastavení v systéme Windows Server, používatelia služby Active Directory a Console Console pracuje s doménou, na ktorú patrí počítač. Môžete pristupovať k objektom počítačov a používateľov v tejto doméne prostredníctvom stromu konzoly alebo sa pripojiť k inému regulátoru.

Prostriedky tej istej konzoly vám umožňujú zobraziť extra možnosti Objekty a vyhľadávanie pre nich, môžete vytvoriť nových používateľov, skupín a zmeny z povolenia.

Mimochodom, je tam 2 typy skupín V adresáre aktív - Bezpečnosť a distribúcia. Bezpečnostné skupiny sú zodpovedné za vymedzenie práv na prístup k objektom, môžu byť použité ako distribučné skupiny.

Distribučné skupiny nemôžu rozlišovať medzi právami, ale používajú sa hlavne na distribúciu správ v sieti.

Čo je delegovanie ad

Samotná delegácia je prevod časti povolení a kontroly z rodičovského objektu inej zodpovednej strany.

Je známe, že každá organizácia má v ústredí niekoľko administrátorov systému. RÔZNE ÚLOHY Musí byť nahý na rôznych ramenách. Aby sa uplatňovali zmeny, je potrebné mať práva a povolenia, ktoré sú rozdelené do štandardného a špeciálneho. ŠPECIÁLNE - UPLATNOSTI NA ŠPECIFICKÝM OBJEDNÁVKU A STANDARDUJÚCICH sú prispôsobené existujúcim povoleniam, ktoré sú dostupné jednotlivé funkcie alebo neprístupné.

Inštalácia vzťahov dôvery

V reklame existujú dva typy vzťahov dôvery: "Uniidesclectional" a "obojsmerné". V prvom prípade jedna doména dôveruje ďalšie, ale nie opak, resp. Prvá má prístup k zdrojom druhej, a druhý nemá prístup. V druhej forme dôvery "vzájomné". Existujú aj "odchádzajúce" a "prichádzajúce" vzťahy. Vo výbere - prvá doména dôveruje druhé, čím umožňuje používateľom používať zdroje prvého.

Pri inštalácii by sa mali vykonať postupy:

• Skontrolovať Sieťové prepojenia medzi KOTROLLARS.
• Skontrolujte nastavenia.
• Naladiť Uznesenie o mene pre externé domény.
• Vytvoriť komunikáciu z domény Trust.
• Vytvorte pripojenie od regulátora, na ktorý je adresovaná dôvera.
• Skontrolujte vytvorený jednosmerný vzťah.
• Ak vzniká nevabilita Pri zriaďovaní bilaterálnych vzťahov - vykonať inštaláciu.

Globálny katalóg

Toto je radič domény, ktorý ukladá kópie všetkých lesných objektov. Poskytuje používateľom a programom možnosť hľadať objekty v akejkoľvek doméne súčasného lesa nástroje detekcie atribútovzahrnuté do globálneho adresára.

Globálny katalóg (GC) obsahuje obmedzený súbor atribútov pre každý lesný objekt v každej doméne. Údaje, ktoré prijíma zo všetkých oddielov katalógu domény v lese, sú skopírované pomocou štandardného procesu replikácie služby Active Directory.

Schéma určuje, či sa atribút bude kopírovať. Existuje príležitosť konfigurácia pridané vlastnosti To bude vytvorené re-v globálnom adresári pomocou schémy Active Directory. Ak chcete pridať atribút do globálneho adresára, musíte vybrať atribút replikácie a použiť možnosť "Kopírovať". Potom bude replikácia atribútov vytvorená v globálnom adresári. Hodnota parametra atribútu ismemberfpartilattributeset. bude pravda.

Za účelom miesto Globálny adresár, musíte zadať príkazový riadok:

DSQUERY SERVER -ISGC.

Replikácia dát v službe Active Directory

Replikácia je postup kopírovania, ktorý sa vykonáva, ak potrebujete uložiť rovnaké aktuálne informácie, ktoré existujú na akomkoľvek regulátore.

Produkuje bez účasti operátora. Tam sú také typy obsahu repliky:

• Repliky údajov sú vytvorené zo všetkých existujúcich domén.
• Replika dátové schémy. Keďže dátový systém je jeden pre všetky lesné objekty Active Directory, jeho repliky sú uložené na všetkých doménach.
• Konfiguračné údaje. Ukazuje výstavbu kópií medzi regulátormi. Podrobnosti sú distribuované všetkým lesným doménam.

Hlavnými typmi repliky sú intracelain a intertersloval.

V prvom prípade, po zmenách, systém čaká, potom informuje partner o vytvorení repliky na dokončenie zmien. Aj v neprítomnosti zmeny sa proces replikácie vyskytuje po určitom časovom období. Po uplatnení kritických zmien v katalógoch sa replikácia okamžite vyskytuje.

Postup replikácie medzi uzlami vyskytuje v intervaloch Minimálne sieťové zaťaženie, vyhýba sa strate informácií.

V novembrovom čísle počítača vás zoznámili s kľúčovými príležitosťami Windows Powershell - nový príkazový riadok a jazyk scenára microsoft.. Dnes budeme zvážiť použitie tohto prostredia na spravovanie firemného adresára Active Directory (AD).

Stručne o Powershell

Windows Powershell je nový príkazový riadok a jazyk skriptu od spoločnosti Microsoft. Powershell je súčasťou systému Windows Server 2008 (stačí ho vybrať v Server Manager) a je k dispozícii na stiahnutie z www.microsoft.com/powershell stránky pre Windows XP, Windows Server 2003 a Windows Vista.

Ak nie ste oboznámení s Windows Powershell, odporúčame, aby ste si najprv prečítali článok "Windows Powershell. Stručne o hlavnej veci. "V počítačovej ploche č. 11'2007. V tejto publikácii sa obmedzíme na krátke opakovanie základov a my sa okamžite prejdeme k hlavnej téme článku.

Takže, Príkazy Powershell sa nazývajú cmdlets (cmdlet) a pozostávajú z slovesa (napríklad get, set, nové, odstrániť, pohyb, pripojenie) a podstatné meno v jednom počte, ktoré opisujú predmet akcie. Medzi nimi je pomlčka. Ukazuje sa niečo ako: get-procesu, stop-service, atď.

Tímy sú spravidla spojené s dopravníkom označeným vertikálnou vlastnosťou (|). Toto znamenie znamená, že celá kolekcia objektov z predchádzajúceho príkazu sa prenáša na nasledujúci.

Takáto orientácia objektov je veľmi pohodlná, pretože to uľahčuje obsluhovanie objektov a prepojte tímy spolu. V tomto článku povieme, ako tento prístup uľahčuje riadenie firemného adresára založeného na Active Directory.

Spôsoby práce s Active Directory

Directory Active Directory je základom firemných sietí databáza systému Windows Server 2000, 2003 a 2008. Je to všetko uložené Účtovníctvo Používatelia, informácie o skupinách, sieťových počítačoch, e-mailových schránok a mnohých ďalších veciach.

Všetky tieto bohatstvo musia byť riadené, pre ktoré je určený zodpovedajúci nástroj Toolkit, ktorý je súčasťou systému Windows Server, je to, ale je to Powershell, ktorý uľahčuje automatizáciu masových akcií zameraných na veľký počet objektov.

Existujú tri hlavné spôsoby, ako pracovať s Active Directory v systéme Windows Powershell:

• pomocou rozhrania servisného rozhrania služby Active Directory (ADSI) je táto metóda najťažšia, ale funguje v akejkoľvek inštalácii PowerShell a nevyžaduje ďalšie moduly. Je tiež najbližšie k metóde riadenia, ktorá bola použitá v jazyku scenára VBScript;
• pomocou poskytovateľa služby Active Directory, ktorý je súčasťou rozšírenia PowerShell, táto metóda vám umožňuje pripojiť adresár vo forme disku na vašom počítači a navigovať ho pomocou príslušných príkazov: DIR, CD atď. Táto metóda Vyžaduje inštaláciu prídavného modulu z kódového coodplex;
• pomocou cmdlets Active Directory to je najpohodlnejší spôsob manipulácie s objektmi adresára, ale vyžaduje tiež dodatočnú inštaláciu zodpovedajúcich modulov.

Adsi

Interpiss služby Active Directory (ADSI) je známe všetkým, ktorí sa pokúsili písať skripty v jazyku VBScript. V Powershell sa toto rozhranie implementuje pomocou tzv. Adaptéra. Pri špecifikácii v štvorcových konzolách Názov adaptéra (ADSI) a cesta k objektu v adresári Query LDAP (Lightweight Directory Access Protocol - protokol práce s adresármi, ktorý podporuje obidva reklamu), dostaneme prístup k objektu adresár a môže ďalej nazývať metódy IT.

Napríklad byť pripojený k jednému z adresárových kontajnerov a vytvoriť nový používateľský účet v ňom.

$ Objou \u003d "LDAP: // MYDC: 389 / OU \u003d CTO, DC \u003d zamestnanci, DC \u003d testDomain, DC \u003d lokálne"

Takže teraz máme $ Objou variabilný obsahuje informácie o kontajneri (mená premenných v Powershell začínajú z ikony dolára).

Zavolajte metódu Vytvoriť. A vytvoriť nový používateľ v kontajneri:

$ Objuser \u003d $ objou.create ("User", "CN \u003d Dmitry Sotnikov")

Teraz môžeme nastaviť rôzne atribúty:

$ objusser.put ("SAMACCOUNTNAME", "DSOTNIKOV")

Nakoniec špecifikujeme adresár, že tieto zmeny by sa mali uplatňovať:

$ objuser.setinfo ()

Výhody používania ADSI adaptéra sú:

• jeho prítomnosť v akejkoľvek dodávke Powershell. Ak máte nainštalovaný Powershell a je tu adresár, s ktorým potrebujete pracovať - \u200b\u200bmáte všetko, čo potrebujete;
• aplikujte prístup v blízkosti VBScript. Ak máte bohaté skúsenosti s adresárom v jazyku scenára VBScript alebo v prílohách.net, môžete sa cítiť s istotou pomocou tohto prístupu.

Bohužiaľ, metóda má chyby:

• obtiažnosť je najťažším spôsobom pracovať s adresárom. Napíšte cestu k objektu vo forme požiadavky LDAP je netriviálna. Pre akúkoľvek prácu s atribútmi, musíte zadať svoje vnútorné mená, a preto je potrebné si uvedomiť, že atribút označujúci mesto mesta sa nazýva "mesto", ale "l" atď.;
• upozornenie - Ako je zrejmé z príkladu, najjednoduchšia prevádzka vytvárania jedného účtu zaberá najmenej štyri riadky vrátane servisných operácií na pripojenie k kontajnerovi a uplatňovaniu zmien. Aj relatívne jednoduché operácie sa teda stanú podobnými komplexnými scenármi.

Poskytovateľ reklamy

Powershell vám umožňuje reprezentovať rôzne systémy vo forme ďalších diskov počítača pomocou takzvaných poskytovateľov. Napríklad dodávka Powershell obsahuje poskytovateľa registra a môžeme sa presunúť na registri pomocou známych a obľúbených príkazov CD a DIR (pre milovníkov UNIX, je podporovaný aj tím LS).

Poskytovateľ služby Active Directory nie je v Powershell, ale môžete ho nainštalovať, ísť do internetovej stránky Powershell Extensions - Powershell komunity rozšírenia: http://www.codeplex.com/powershellcx.

Ide o projekt Open Source, ktorý pridáva veľký počet tímov do systému PowerShell, a navyše nastaví poskytovateľa reklamy.

Používanie poskytovateľa služby Active Directory

Po inštalácii rozšírení, písanie get-psdrive, vidíme to bývalé disky Pridané disk na aktuálnom adresári Active.

Teraz môžeme ísť do tohto adresára zadaním CD a zadanie názvu domény a v ľubovoľnom kontajneri použite príkaz DIR, aby ste videli jeho obsah.

Okrem toho môžete volať iné známe príkazy správy súborov (napríklad del).

Nepochybné výhody používania poskytovateľa možno pripísať:

prirodzenosť reprezentácie štruktúry adresára je adrenár reklamy podľa jeho prírody hierarchylebny a je podobný systému súborov;

pohodlnou hľadaním objektov je aplikovať CD a DIR oveľa pohodlnejšie, než robiť dotaz v LDAP.

Nevýhody sú pozoruhodné:

• zložitosť vykonania zmien objektov - poskytovateľ pomáha ľahko dosiahnuť objekt, ale aby sme niečo zmenili, museli sme opäť používať všetky tie isté adresáre ako v metóde ADSI, a pre to musíte pracovať na nízkej úrovni služby Metódy a atribúty AD;
• potreba dodatočnej inštalácie - Poskytovateľ nie je zahrnutý do Powershell, a je potrebné stiahnuť a inštalovať rozšírenia Powershell;
• tretí deň pôvodu - Prípony Powershell nie sú produktom Microsoft. Sú vytvorené projektovými nadšencami. Môžete ich použiť, ale pre technická podpora Budeme musieť kontaktovať spoločnosť Microsoft, ale na stránku projektu.

Reklamné cmdlets

Okrem vyššie opísaného poskytovateľa je súbor cmdlets na prácu s reklamou (často nazývanou reklamnými cmdlets alebo CMDlets QAD), ktoré sú k dispozícii na adrese http://www.quest.com/AcTiverres_server/arms.aspx.

Kamces pozostávajú zo štandardných slovesá operácií (get-, set-, premenovať-, odstrániť-, nové, pohyb-, connect-) a podstatné mená s predponou QAD (-QADUSER, -qAdgroup, -qadcomputer, -qadobject).

Ak chcete napríklad vytvoriť nový čítač, budete musieť vykonať taký príkaz:

Výhody tohto prístupu sú:

• jednoduché - použitie cmdletov skrýva zložitosť adresára, jeho schém a vnútorných atribútov. Pracujete s adresárovými objektmi na úrovni zrozumiteľných mien objektov (používateľ, skupina, počítač), ich vlastnosti (meno, heslo, mesto, oddelenie) a akcie na nich (dostať, nastaviť, odstrániť, presunúť, nové);
• stručnosť a expresivita - Ako sme videli, väčšina opatrení pomocou CMDlets môže byť vyjadrená vo forme jednoduchých a prirodzených jednorazových operácií.

• potreba dodatočnej inštalácie - CMDlets, ako je poskytovateľ, nie sú zahrnuté v Powershell a musíte prevziať a nainštalovať príslušnú knižnicu;
• tretí deň pôvodu - CMDlets na prácu s reklamou nie sú produktom spoločnosti Microsoft. Sú vytvorené spoločnosťou Microsoft Partner - Quest Software. Môžete ich použiť, ale technická podpora bude musieť kontaktovať spoločnosť Microsoft, ale na fórach Active Directory na webovej stránke PowerGui.org.

Podľa nášho názoru tieto nevýhody s viac ako kompenzáciou jednoduchosti a prirodzenosti, tak praktické príklady Tento konkrétny prístup.

Správa Active Directory.

Pozrime sa, ako vám Powershell umožňuje vykonávať základné operácie na prácu s adresárom reklamy:

• informácie;
• zmena vlastností;
• práca so skupinami;
• vytvorenie nových objektov;
• zmena štruktúry adresára

Prijímanie informácií

Získanie informácií sa vykonáva v Powershell pomocou CMDlets Geti Glagol.

Ak chcete získať zoznam všetkých používateľov, skóre:

Pre skupiny:

Pre záznamy počítačov:

Ak nemusíte nie všetky záznamy, ale niektoré špecifické, môžete si vybrať s parametrami príkazov.

Získanie zoznamu používateľov

Všetky skupiny z užívateľov kontajnerov:

Get-qadgroup -searchroot scorpio.Local / užívatelia

Všetci používatelia z obchodného oddelenia Moskvy kancelárie, ktorých mená začínajú na písmene A:

Get-qaduser -City Moskva -Department predaj -Name a *

Zároveň môžete povedať Powershell'y, v akej forme chcete vidieť prijaté informácie.

Tabuľka s menami, mestámi a oddeleniami zamestnancov:

GET-QADUSER | Formát-tabuľka Názov, mesto, oddelenie

Rovnaké s triedením podľa miest:

GET-QADUSER | Zoradiť mesto Formát-tabuľka displayName, mesto, oddelenie

Triedenie hodnôt a výber výstupných polí

Pre zobrazenie zoznamu o rovnakých informáciách jednoducho používame príkaz Format-List:

GET-QADUSER | Formát-List Názov, mesto, oddelenie

Export informácií do súboru CSV (hodnoty oddelené čiarkami - hodnoty prostredníctvom čiarky):

GET-QADUSER | Vyberte meno, mesto, oddelenie | OUT-CSV USERS.CSV

Vytvorte správu vo formáte HTML:

GET-QADUSER | Vyberte meno, mesto, oddelenie | CONVERTTO-HTML | User-File Users.html

Tak, jeden riadok jednoduchého príkazu Powershell môžete vytvoriť komplexné prehľady vo vhodnom formáte pre vás.

Powershell vám umožňuje zmeniť atribúty sady
Záznamy jedného príkazu

Zmeniť vlastnosti

Potom, čo sme zvládli informácie z adresára, je čas v ňom niečo zmeniť.

Vlastnosti objektov je možné manipulovať pomocou príkazov SET-*.

Napríklad zmeňte svoj telefón:

SET-QADUSER 'Dmitry Sotnikov' -Phone '111-111-111'

Ale samozrejme, masívne zmeny sú zaujímavejšie. Aby sme to mohli urobiť, môžeme použiť Dopravník PowerShell, to znamená, že dostanete zoznam objektov, ktoré potrebujete pomocou príkazov Get-Commands a pošlite ich do príkazu SET, aby ste vykonali zmeny.

Napríklad naša kancelária pre presunutú do novej miestnosti. Vezmite im všetkých užívateľov, a priradiť im nové telefónne číslo:

Get-Qadser -City Perm | SET-QADUSER -FONENMUME '+ 7-342-1111111'

Pre zložitejšie manipulácie môžete použiť CMDlet Foreach-object. Každý užívateľ napríklad priradí popis pozostávajúci z jej oddelenia a mesto:

GET-QADUSER | Forcha-objekt (set-qaduser $ _ -description (s_.city + "" + $ _. Oddelenie))

Premenná $ _ v tomto príklade označuje aktuálny objekt zberu.

Powershell poskytuje príležitosti pre pohodlnú prácu.
S skupinami užívateľov

Práca so skupinami

Práca so skupinami a členstva v nich je ďalšia masová prevádzka, ktorú často chcete automatizovať. Powershell poskytuje takúto príležitosť.

Získanie členov skupiny sa vykonávajú pomocou get-qadgroupMember cmdlet:

Manažéri get-QadgrbMember

Pridať objekt do skupiny je tiež jednoduché:

Add-QadgroupMeber Scorpio Manažéri -member Dsotnikov

Podobne, odstránenie zo skupiny sa vykonáva pomocou cmdlets odstrániť-qadgroupm.

Samozrejme, samozrejme, masové manipulácie sú najužitočnejšie. Pridajte všetkých manažérov príslušnej skupine:

GET-QADUSER -TITLE Manager | Add-QadgroupMember Scorpio Manažéri

Skopírujte členstvo v skupine:

Get-QadgroupMember Scorpio Manažéri | Add-QadgroupMember Scorpio \\ Managers_copy

Použite filter na kopírovanie všetkých členov skupiny, ale len tí, ktorí sú zodpovední určité kritérium (Napríklad sa nachádza v správnom regióne):

Get-QadgroupMember Scorpio Manažéri | Kde ($ _. Mesto -EQ 'ekaterinburg') Add-QadgroupMember Scorpio \\ ekaterinburg_managers

Upozorňujeme, ako sme filtrovali používateľov pomocou miesta, kde a logický stav (Logický operátor -EQ je prevádzkovateľom rovnosti v Powershell, z angličtiny.rovná).

Vytvorenie objektov

Vytvorenie objektov, ako sme už videli, vykonávali tímy nové:

New-Qaduser -parentcontainer Scorpio.Local / Zamestnanci -Name 'Dmitry Sotnikov'

NEW-QADGROUP -PARENTCONTAINER SCORPIO.LOCAL / Zamestnanci -Name 'Managers' -Type Security -Scope Global

Môžete nainštalovať akékoľvek iné atribúty v procese vytvorenia záznamu:

NEW-QADUSER -PARENTCONTAINER SCORPIO.LOCAL / Zamestnanci -Name 'Dmitry Sotnikov' -samaccountName Dsotnikov -City 'Saint-Petrohrad' -password ' [Chránené e-mail]’

Ak chcete aktivovať záznam, jednoducho ho odoslať na dopravník v aplikácii Enable-QADUSER (nezabudnite nastaviť heslo - inak operácia nebude prejsť):

NEW-QADUSER -PAENTCONTAINER SCORPIO.LOCAL / Zamestnanci -Name 'Dmitry Sotnikov' -password ' [Chránené e-mail]'| Enable-QADUSER.

Import-csv new_users.csv | FOREACH-CODEUS (NEW-QADUSER -PARENTCONTAINER SCORPIO.LOCAL / POUŽÍVATEĽOV --Name ($ _. Familia + ',' + $ _. IMYA) -samaccountName ($ _. IMYA + $ _. -Title $ _. Názov)

Upozorňujeme, že sme na letisku na meno účtu z priezviska a používateľského mena.

Príklad použitia importu
Záznam

Zmena štruktúry adresára

Nakoniec, samozrejme, môžete spravovať štruktúru adresára.

Môžete napríklad vytvoriť nové kontajnery:

New-Qadobject -Type OrganizationUnit -parentcontainer Scorpio.Local -Name Newou

a presunúť objekty v nich jeden po druhom:

Move-Qadobject MyServer -to Scorpio.Local / servery

alebo veľkoobchod:

Get-qaduser -disbart | Presun-Qadobject -To Scorpio.LOCAL / INBOOD

Importovať súbor a vytvorte nové účty

Môžeme ľahko vybrať účty, ktoré spĺňajú
určité kritérium a presuňte ich na inú kontajner

A oveľa viac

MMA preskúmala len malú časť skriptov na správu služby Active Directory. Získať Úplný zoznam CLAMM pre reklamu, spustite príkaz:

Get-príkaz * -qad *

Ak chcete získať certifikát pre každý tím:

Get-help get-qaduser

Ak chcete zistiť, ktoré vlastnosti je objektívny objekt s príkazom:

Užívateľ | Získajte člen.

Funkcie Powershell sú prakticky nekonečné, ale zároveň ich nájsť dosť.

Záver

KCAK sme videli Powershell je vynikajúci Active Directory. Časť vlastností (ADSI) je k dispozícii v akomkoľvek prostredí PowerShell. Niektoré (poskytovateľ a cmdlets) vyžadujú ďalšie moduly. Všetky z nich poskytujú obrovské príležitosti na automatizáciu riadenia vášho firemného adresára, a preto znížiť riziká, zbaviť sa rutiny a zvýšiť svoju efektívnosť pri práci.

Hlavná vec je, že tieto technológie sú už k dispozícii a schopné vám pomôcť pri správe poverených systémov dnes. Na záver, citujeme správcu systému CJSC EVRASFINANCE CJSC Vasily Guseva: "V našej spoločnosti, rovnako ako všade, Active Directory je jedným z najpoužívanejších a kritických služieb. S Powershell a AD CMDlets, mnohé úlohy sa uľahčilo vykonávať cez príkazový riadok ako prostredníctvom ADUC (používatelia a počítače Active Directory. - Približne. Červený,).). Nikdy stále Automation Active Directory bol tak jednoduchý a prístupný. "

Alexander Emelyranov

Spravovať účty v doméne Active Directory

Jednou z najdôležitejších úloh administrátora je riadiť miestne a doménové účty: audit, citácia a vymedzenie práv používateľov v závislosti od ich potrieb a firemných politík. Čo môže v tomto ohľade ponúknuť Active Directory?

V pokračovaní cyklu cyklu služby Active Directory Dnes budeme hovoriť o centrálnom prepojení v procese administrácie - správu údajov o užívateľských účtovníctve v rámci domény. Zvážime:

• vytváranie účtov a ich riadenia;
• typy užívateľských profilov a ich použitie;
• bezpečnostné skupiny v reklamných domén a ich kombinácie.

Nakoniec môžete použiť tieto materiály na vybudovanie pracovnej infraštruktúry alebo zjemnenia existujúceho, ktoré spĺňajú vaše požiadavky.

Pri pohľade dopredu budem hovoriť, že téma úzko súvisí s uplatňovaním skupinových politík na administratívne účely. Ale kvôli rozsiahlosti materiálu určeného pre nich, bude zverejnené v nasledujúcom článku.

Oznámenie s Active Directory - Používatelia a počítače

Po nainštalovaní prvého ovládača v doméne (skutočne organizujete doménu), v časti Administrácia sa zobrazí päť nových prvkov (pozri obr. 1).

Ak chcete spravovať objekty reklamy, použije sa Active Directory - Používatelia a počítače (ADUC - AD užívatelia a počítače, pozri obr. 2), ktorý môže byť tiež nazývaný cez menu "RUN" pomocou DSA.MSC.

Pomocou ADUC môžete vytvárať a odstrániť používateľov, priradiť prihlasovacie skripty účtovať, spravovať členstvo v skupinách a skupinových politikách.

K dispozícii je tiež možnosť spravovať reklamné objekty bez prístupu k serveru priamo. Poskytuje balík adminpak.msi, ktorý sa nachádza v adresári% System_Drive% System32. Otáčaním sa na jeho auto a obdržali sa práva administrátora domény (ak sa tam nebudú), môžete spravovať doménu.

Pri otváraní ADUC uvidíme pobočku našej domény obsahujúcej päť kontajnerov a organizačných jednotiek.

• Zabudovaný.. To obsahuje vstavané lokálne skupiny, ktoré sú na akomkoľvek serverovom stroji, vrátane radičov domény.
• Používatelia a počítače. Jedná sa o kontajnery, v ktorých pri inštalácii systému cez Windows NT. Ak chcete vytvoriť a ukladať nové účty, nie je potrebné používať iba tieto kontajnery, môžete vytvoriť používateľa aj v kontajneri domény. Keď zapnete počítač do domény, zobrazí sa v kontajneri počítačov.
• Radiče domény.. Táto organizačná jednotka (OU, organizačná jednotka) obsahujúca predvolené radiče domény. Pri vytváraní nového ovládača sa tu zobrazí.
• Cudzinca.. Toto je predvolená kontajner pre objekty z externých dôveryhodných domén.

Je dôležité si uvedomiť, že politiky skupiny sú zviazané výlučne na doménu, ou alebo stránku. Toto musí byť zohľadnené pri vytváraní administratívnej hierarchie vašej domény.

V doméne vstupujeme do počítača

Postup sa vykonáva priamo na miestnom stroji, ktorý sa chceme pripojiť.

Zvoľte "My Computer -\u003e Vlastnosti -\u003e Názov počítača," Stlačte tlačidlo "Zmeniť" av menu "Člen" vyberte "Doména". Zadajte názov domény, v ktorom chceme pridať náš počítač, a potom dokážeme, že máme práva pridať pracovné stanice do domény zadaním autentifikácie administrátora domény.

Vytvorte používateľa domény

Ak chcete vytvoriť používateľa, musíte vybrať ľubovoľný kontajner, v ktorom bude umiestnený, kliknite na ňu pravým tlačidlom myši a zvoľte "Create -\u003e User". Otvorí sa Sprievodca tvorbou používateľa. Tu môžete zadať rôzne atribúty, počnúc užívateľským menom a dočasnými protokolmi v doméne a ukončenie nastavení terminálových služieb a vzdialený prístup. Po dokončení sprievodcu dostanete nový užívateľ domény.

Treba poznamenať, že v procese vytvárania používateľa môže systém "prisahať" na nedostatočnú zložitosť hesla alebo jeho stručnosti. Požiadavky môžete zmierniť otvorením politiky zabezpečenia domény (predvolené nastavenia zabezpečenia domény) a potom "Nastavenia zabezpečenia -\u003e Politiky účtu -\u003e Heslo Politika.

Nech sme vytvorili používateľa Ivan Ivanov v kontajneri používateľov (Názov prihlásenia používateľa: [Chránené e-mail]). Ak je v systéme NT 4, len úloha dekorácie, potom v reklame je súčasťou názvu vo formáte LDAP, ktorý vyzerá úplne takto:

cN \u003d "Ivan Ivanov", CN \u003d "užívatelia", DC \u003d "HQ", DC \u003d "Miestne"

Tu CN - kontajnerový názov, DC - Doména. Popisy objektov LDAP sa používajú na vykonanie WSH skriptov (Windows Script Hosts) alebo pre programy pomocou protokolu LDAP na komunikáciu s Active Directory.

Ak chcete vstúpiť do domény, Ivan Ivanov bude musieť použiť názov v UPN formáte (Universal Henesation Name): [Chránené e-mail] Aj v reklamných doménach bude jasné písať meno v starom formáte NT 4 (pred Win2000), v našom prípade HQ Ivanov.

Pri vytváraní používateľského účtu sa automaticky priraďuje identifikátor zabezpečenia (SID, identifikátor bezpečnosti) je jedinečné číslo, ktorým systém a definuje používateľov. Je veľmi dôležité pochopiť, pretože keď odstránite účet, jeho SID sa vymaže a nikdy sa nepoužije. A každý nový účet bude mať svoj nový SID, čo je dôvod, prečo to nebude môcť získať práva a privilégiá starého.

Účet je možné presunúť na iný kontajner alebo ou, vypnúť alebo naopak, povoliť, kopírovať alebo swap heslo. Kópia sa často používa na vytvorenie viacerých používateľov s rovnakými parametrami.

Pracovné prostredie užívateľa

Poverenia uložené centrálne na serveri umožňujú používateľom jednoznačne identifikovať sa v doméne a získať relevantné práva a prístup do pracovného prostredia. Všetky operačné systémy rodiny Windows NT sa používajú na vytvorenie pracovného prostredia na užívateľskom profile klienta.

Miestny profil

Zvážte hlavné komponenty užívateľského profilu:

• Oddiel registra zodpovedajúci konkrétnemu používateľovi ("HII" alebo "HIVE").V skutočnosti sú údaje tohto riadka registra uložené v súbore NTUSER.DAT. Nachádza sa v priečinku% SystemDrive% Dokumenty a Nastavenia User_name, ktorý obsahuje užívateľský profil. Tak, keď špecifické užívateľské protokoly v systéme v sekcii databázy Registry HKEY_CURRENT_USER, "úľ" NTUSER.DAT je vložený z priečinka obsahujúceho jeho profil. A všetky zmeny v nastaveniach prostredia používateľa pre reláciu budú udržiavané v tomto "úľnom". Súbor NTUSER.DAT.LOG je protokol transakcií, ktorý existuje na ochranu súboru NTUSER.DAT. Avšak, pre predvolený používateľ používateľa, môžete ho sotva nájsť, pretože je to šablóna. O tom ďalšie. Správca má možnosť upravovať "úľ" konkrétneho používateľa priamo z pracovného prostredia. Ak to chcete urobiť, s použitím RegEdit32 Registry Editor, musí načítať "úľ" v sekcii HKEY_USERS, a potom po vykonaní zmien na vyloženie.
• Priečinky systém súborovobsahujúce súbory vlastného nastavenia. Nachádzajú sa v špeciálnom katalógu% SystemDrive% Dokumenty a Nastavenia Uster_Name, kde User_name je názov prihláseného používateľa. Je tu uložená prvky pracovnej plochy, prvky spúšťania, dokumentov atď.

Ak užívateľ najprv vstupuje do systému, nasledujúce sa stane:

1. Systém kontroluje, či existuje miestny profil tohto používateľa.
2. Pošlite ho, systém sa vzťahuje na radič domény vo vyhľadávaní predvoleného profilu domény, ktorý by mal byť umiestnený v predvolenom priečinku používateľa spoločný zdroj Netlogon; Ak tento profil zistí tento profil, je skopírovaný lokálne na stroj v priečinku% SystemDrive% Dokumenty a Nastavenia s menom používateľa, inak sa skopíruje z lokálneho systému% SystemDrive% Dokumenty a nastavenia predvolený používateľ.
3. Registry Registry používateľa "Hive" je načítaný v sekcii databázy Registry HKEY_CURRENT_USER.
4. Pri opustení systému sa všetky zmeny uložia lokálne.

V konečnom dôsledku je užívateľské pracovné prostredie kombináciou pracovného profilu a profilu všetkých používateľov, ktorý obsahuje spoločné pre všetkých používateľov tohto stroja.

Teraz niekoľko slov o vytvorení predvoleného profilu pre doménu. Vytvorte fiktívny profil na vašom vozidle, nakonfigurujte ho podľa vašich potrieb buď s požiadavkami politiky. Potom nechať systém a vrátiť sa ako administrátor domény. Na zdieľanom zdroji siete NETLOGON vytvorte predvolený priečinok používateľa. Ďalej, pomocou karty používateľských profilov v systémovom aplet (pozri obr. 3) Skopírujte svoj profil do tohto priečinka a poskytnite práva na používanie skupiny používateľov domény alebo iné vhodná skupina bezpečnosť. Všetko, predvolený profil vašej domény je vytvorený.

Prenesený profil

Active Directory ako flexibilná a škálovateľná technológia vám umožní pracovať v prostredí vášho podniku s pohybovanými profilmi, o ktorých sa budeme ďalej pozerať.

Zároveň bude vhodné povedať o presmerovaní priečinkov ako jednu z funkcií technológie Intellimerror, aby sa zabezpečila tolerancia poruchy a centralizované ukladanie užívateľských dát.

Prenestené profily sú uložené na serveri. Cesta k nim je zadaná v nastaveniach používateľa domény (pozri obr. 4).

Ak si želáte, môžete zadať presunuté profily pre viacerých používateľov, zvýraznenie viacerých používateľov a vo vlastnostiach v karte Profile zadajte% používateľské meno% namiesto priečinka s používateľským menom (pozri obr. 5).

Proces prvého prihlásenia do systému, ktorý má presunutý profil, podobne ako vyššie opísané vyššie pre miestne, pre niektoré výnimky.

Po prvé, pretože cesta k profilu v objekte užívateľa je zadaná, systém kontroluje prítomnosť lokálnej kópie profilu v pamäti cache, potom všetko, ako je opísané.

Po druhé, po dokončení, všetky zmeny sú skopírované na server, a ak sa skupinové politiky nebudú špecifikované na odstránenie lokálnej kópie, uloženej na tomto zariadení. Ak už užívateľ mal lokálnu profilovú kópiu, server a miestne kópie profilu sú porovnané a kombinované.

Technológia Intellimirror B. systémy Windows Nedávne verzie umožňuje presmerovanie definované priečinky Používatelia, ako sú "Moje dokumenty", "Moje obrázky", atď., Na sieťovom zdroji.

Pre užívateľa teda všetky vykonané zmeny sú absolútne transparentné. Uložením dokumentov do priečinka "Moje dokumenty", ktorý bude zámerne presmerovaný na sieťový zdroj, nebude ani podozrenie, že všetko je uložené na server.

Pre každého používateľa a pomocou politiky skupiny môžete konfigurovať presmerovanie ako manuálne.

V prvom prípade musíte kliknúť na ikonu "Moje dokumenty" na pracovnej ploche alebo v ponuke "Štart" pomocou pravého tlačidla myši a vyberte položku Vlastnosti. Ďalej je všetko veľmi jednoduché.

V druhom prípade musíte otvoriť politiku skupiny OU alebo doménu, pre ktorú chceme aplikovať presmerovanie, a zverejniť hierarchiu "User Configuration -\u003e Konfigurácia systému Windows"(Pozri obr. 6). Ďalej je presmerovanie nakonfigurované alebo pre všetkých používateľov alebo pre určité bezpečnostné skupiny ou alebo doménu, na ktorú sa bude uplatňovať táto politika skupiny.

Používanie presmerovania priečinkov Ak chcete pracovať s pohyblivými užívateľskými profilmi, môžete napríklad dosiahnuť čas načítania profilu. To je za predpokladu, že pohyblivý profil je vždy načítaný zo servera bez použitia lokálnej kópie.

Príbeh technológie presmerovania priečinkov by bol neúplný bez zmienkovacích súborov. Umožňujú používateľom pracovať s dokumentmi aj v neprítomnosti sieťového pripojenia. Synchronizácia so serverovými kópiami dokumentov nastane, keď je počítač ďalej pripojený k sieti. Takýto systém organizácie bude užitočný napríklad používatelia notebookov pracujúcich v rámci lokálnej siete a doma.

Nevýhody pohyblivých profilov zahŕňajú nasledovné:

• môžu existovať situácia, keď napríklad na pracovnej ploche používateľa budú štítky niektorých programov a na inom stroji, kde si všimne, že vlastník pohybujúceho profilu takýchto programov, resp. Časť skratiek nebude práca;
• mnohí používatelia majú zvyk ukladania dokumentov, ako aj fotografie a dokonca aj video na pracovnej ploche, ako výsledok, pri načítaní pohybujúceho profilu zo servera, zakaždým, keď je vytvorený dodatočná doprava v sieti a samotný profil je naložený na veľmi dlhú dobu; Na vyriešenie problému použite povolenia NTFS na obmedzenie zachovania "odpadu" na pracovnej ploche;
• zakaždým, keď užívateľ vstúpi do systému, je pre to vytvorený lokálny profil (presnejšie, profil zo servera sa skopíruje lokálne), a ak sa pracovné stroje zmenia, potom každý z nich zostáva taký "odpadkový"; Možno vám to vyhnúť konfiguráciou viacerých skupinových politík ("Computer Configuration -\u003e Administratívne šablóny -\u003e Systém -\u003e Používateľské profily", "Odstránenie kópií profilov roamingu").

Zavedenie existujúceho používateľa v doméne

Často, keď je adresárová služba nasadená v už existujúcom sieti na základe pracovných skupín, otázka zavedenia používateľa do domény bez straty nastavení svojho pracovného média. To možno dosiahnuť pomocou pohyblivých profilov.

Vytvorte si sieťový zdroj (napríklad profily) na priečinku Server s používateľským menom a nastavte povolenie na zápis pre IT pre všetkých skupín. Nechajte ho nazvať HOPER, a úplná cesta k tomu vyzerá takto: serverové profily HQUSER.

Vytvorte používateľa domény, ktorý sa bude zhodovať s používateľom vašej lokálnej siete, a ako cesta k profilu, zadajte serverové profily HQUSER.

Na počítači obsahujúcom miestneho profilu nášho používateľa musíte zadať účet administrátora a pomocou kariet používateľských profilov systému Applet Skopírujte do priečinka Serverové profily Hquser.

Je ľahké pochopiť, že pri ďalšom zadaní systému v rámci nového doménového účtu, náš užívateľ načíta svoj pracovný profil zo servera a administrátor zostane len na rozhodnutie, či sa má tento profil opustiť alebo vykonať miestne.

Prestať

Veľmi často sa používatelia načítajú nepotrebnými sieťovými diskami. Aby sa predišlo trvalým požiadavkám na čistenie vašich osobných priečinkov z nepotrebného odpadu (z nejakého dôvodu sa to vždy ukáže, môžete použiť mechanizmus kvót. Počnúc systémom Windows 2000 to môže byť vytvorené štandardnými prostriedkami na objemu NTFS.

Ak chcete povoliť mechanizmus kvóty a konfigurácie, musíte prejsť na lokálne vlastnosti hlasitosti a otvoriť kartu kvót (kvóty) (pozri obr. 7).

Môžete tiež vidieť údaje na obsadenom mieste na disku a konfigurujte kvóty samostatne pre každého používateľa (pozri obr. 8). Systém vypočíta obsadené miesto na disku založené na údajoch vlastníka objektu, sčítanie množstva súborov patriacich do nej a priečinky.

Skupiny používateľov v reklame

Manažment používateľov v rámci domény - úloha je jednoduchá. Ale keď potrebujete konfigurovať prístup k určitým zdrojom pre niekoľko desiatok (alebo stoviek) používateľov, veľa času môže odísť na distribúciu prístupových práv.

A ak je potrebné jemne vymedziť práva účastníkom z viacerých domén v strome alebo lese, úloha úlohy z teórie súborov vzniká pred správcom. Použitie skupín prichádza na záchranu.

Hlavná charakteristika skupín, s ktorými sa vyskytla v rámci domény, bola uvedená v poslednom článku o architektúre služby Directory.

Dovoľte mi pripomenúť, že miestne skupiny domén môžu zahŕňať používateľov svojej domény a iných domén v lese, ale jeho oblasť je obmedzená na doménu, na ktorú patrí.

Globálne skupiny môžu zahŕňať iba používateľov svojej domény, ale existuje možnosť ich využitia, aby poskytli prístup k zdrojom v ich vlastnej aj inej oblasti v lese.

Univerzálne skupiny, ktoré zodpovedajú ich menom, môžu obsahovať používateľov z akejkoľvek domény a tiež sa používajú na poskytovanie prístupu v rámci celého lesa. Nezáleží na tom, či bude vytvorená Doména Universal Group, jediný, to stojí za to, že keď sa pohybuje, prístupové práva sa stratia a budú musieť znovu prijímať novo.

Ak chcete pochopiť vyššie uvedené a základné princípy skupín skupín opísaných vyššie, zvážte príklad. Dovoľte nám, aby sme mali les obsahujúci dva HQ.LOCAL a SD.LOCAL domény (ktoré z nich je root v tomto prípade, nezáleží na tom). Každá z domén obsahuje zdroje, ku ktorému je potrebné poskytnúť prístup a užívatelia musia byť poskytnuté (pozri obr. 9).

Z obr. Je možné vidieť, že všetci užívatelia v lese (zelené a červené čiary) musia mať prístup k dokumentom a distribučným prostriedkom, takže môžeme vytvoriť univerzálnu skupinu obsahujúcu používateľov z oboch domén a používať ho pri špecifikovaní povolení pre prístup k oboch zdrojov. Buď môžeme vytvoriť dve globálne skupiny v každej doméne, že používatelia budú obsahovať iba svoju doménu, a zahrnúť ich do univerzálnej skupiny. Každá z týchto globálnych skupín možno použiť aj na pridelenie práv.

Prístup do základného adresára musí mať používateľov len z domény HQ.LOCAL (modré čiary), takže ich budeme obsahovať v miestnej skupine domén a táto skupina poskytne prístup.

Diskovský katalóg bude mať právo používať členovia HQ.LOCAL domény a členov domény SD.LOCAL (oranžové čiary na obr. 9). Používatelia manažéra a platov preto môžu pridať HQ.LOCAL do Global Domain Group, a potom pridať túto skupinu do lokálnej skupiny SD.LOCAL domény spolu s IT používateľom. Potom táto lokálna skupina a poskytne prístup k distribučnému zdroju.

Teraz sa pozrieme na hniezdenie týchto skupín viac a zvážime ďalší typ skupiny - vstavaných skupín miestnych domén.

Tabuľka ukazuje, ktoré skupiny, ku ktorým môžu byť vložené. Tu sú horizontály nachádzajúce sa skupiny, v ktorých sú investované skupiny umiestnené vertikálne. Navyše to znamená, že jeden typ skupín možno investovať do iného, \u200b\u200bnie je mínus.

Na zdroji na internete na skúškach Microsoft Certification som videl zmienku o takomto vzorec - AGUDLP, čo znamená: Účty sú umiestnené v globálnych skupinách (globálne), ktoré sú umiestnené v univerzálnom (univerzálnom), ktoré sú umiestnené v miestnom stave Skupiny domén (lokálne), na ktoré sú povolenia). Tento vzorec plne opisuje možnosť hniezdenia. Treba dodať, že všetky tieto druhy môžu byť zakotvené v miestnych skupinách jedného vozidla (miestne domény výlučne v rámci ich domény).

Skupina domén

Hniezdenie	Miestne skupiny	Globálne skupiny	Univerzálne skupiny
Účet
Miestne skupiny	+ (S výnimkou vstavaných miestnych skupín a len v rámci svojej vlastnej domény)
Globálne skupiny		+ (len vo svojej vlastnej doméne)
Univerzálne skupiny

Vstavané lokálne skupiny domén sa nachádzajú v nasledujúcej kontajneri a sú vlastne miestnymi skupinami strojov, ale len pre radiče domény. A na rozdiel od miestnych skupín domén nemožno kontajner používateľov presunúť na iné organizačné jednotky.

Správne pochopenie procesu správy účtu vám umožní vytvoriť jasne nakonfigurované pracovné prostredie podniku, zabezpečenie flexibility riadenia, a čo je najdôležitejšie - tolerancia poruchy a bezpečnosť domény. V nasledujúcom článku budeme hovoriť o skupinových politikov ako nástroj na vytvorenie užívateľského prostredia.

žiadosť

Nuansy overovania domény

Pri používaní lokálnych profilov sa môže vyskytnúť situácia, keď sa používateľ domény pokúsi zadať pracovná stanicaktorý má svoj miestny profil, ale z nejakého dôvodu nemá prístup k regulátoru. Prekvapivo užívateľ úspešne absolvuje autentifikáciu a bude môcť pracovať.

Takáto situácia vzniká v dôsledku uloženia mandátu používateľa a môže byť opravená vykonaním zmien v registri. Ak to chcete urobiť, v HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT Software Microsoft Windows NT Aktuálna verzia WinLogon (ak nie je) Záznam s názvom CachedlogonCount, typ údajov REG_DWORD a nastavte svoju hodnotu na nulu. Podobný výsledok je možné dosiahnuť pomocou skupinových politík.

1. Emelyranov A. Zásady Výstavba domén Active Directory, // " Systémový administrátor", №2, 2007 - P. 38-43.

V kontakte s

Po inštalácii Active Directory môžete pokračovať v vytváraní objektov a ovládať ich.

6.5.1. Vytvorenie divízií a objektov v nich

6.5.1.1. Vytvorenie organizačných divízií (OP)

OP môže vytvoriť v doméne, objekt radiča domény alebo iný OP (Obr. 6.3). Vo vytvorenom OP môžete pridať objekty.

Ak chcete vytvoriť OP, je potrebné mať oprávnenie pridať divízie materskej op, doméne alebo doménu regulátora uzla, kde bude vytvorený OP. Štandardne sa takéto právomoci uvádzajú skupine administrátorov.

osoby).

Nemôžete vytvoriť OP vo väčšine štandardných kontajnerov

nerkov, ako sú počítače alebo používatelia.

Obr. 6.3. OP Katedra OTI v uzle radiča domény

OP sú vytvorené na zjednodušenie správy siete. Štruktúra OP by mala byť založená na Špecifické úlohy pekla-

ministerstvo. Môžete ľahko zmeniť štruktúru OP alebo presunúť objekty medzi OP.

OP sú vytvorené v nasledujúcich prípadoch:

poskytnúť administratívne právomoci iným používateľom alebo administrátorom;

na skupinové objekty, počas ktorých sa vykonávajú podobné administratívne operácie; To uľahčuje vyhľadávanie podobné sieťové zdroje a ich služba - tak možno kombinovať v jednom ops všetky objektyUžívateľ pre dočasných zamestnancov;

ak chcete obmedziť viditeľnosť sieťových zdrojov do služby Active Directory, užívatelia uvidia iba tie objekty, ku ktorému prístup; Povolenia pre OP možno ľahko zmeniť obmedzením prístupu k dôverným informáciám.

6.5.1.2. Pridanie objektov v OP

Ak chcete pridať objekty do OP, musíte mať v ňom s príslušným orgánom. Štandardne takéto práva poskytované skupine administrátorov. Odrody objektov, ktoré sa vytvárajú, závisia od pravidiel schémy, ktoré používa sprievodca alebo snap. Niektoré atribúty objektov môžu byť definované len po jeho vytvorení.

6.5.2. Kontrolné objekty Active Directory

Riadenie objektov Active Directory obsahuje vyhľadávanie objektov, zmeňte ich, zničenie alebo pohyb. V posledných dvoch prípadoch musíte mať vhodné povolenia pre objekt alebo pre OP, kde pohybujete objekt. Štandardne majú všetci členovia skupiny administrátorov tieto právomoci.

6.5.2.1. Hľadať objekty

Globálny katalóg (GC) obsahuje čiastočnú repliku celého katalógu a ukladá informácie o všetkých objektoch v doméne alebo lesnom strome. Preto môže užívateľ nájsť objekt bez ohľadu na jeho umiestnenie v doméne alebo lese. Obsah GC je automaticky generovaný informáciami z domén, ktoré tvoria adresár.

Ak chcete vyhľadať objekty, otvorte snap-in, ktorá je skratka, ktorej je v skupine programov programov. V strome konzoly

pomocou tlačidla Domain alebo OP a vyberte príkaz Hľadať (Hľadať) v kontextovej ponuke. Otvorí sa dialógové okno

(Vyhľadávanie) (Obr. 6.4).

Obr. 6.4. Nájsť dialógové okno

Ak odhalíte kontextové menu objektu Zdieľaný priečinok (zdieľaný priečinok)a vyberte si CommandFind

(Nájdite), Windows Explorer vyhľadávanie sa spustí a môžete vyhľadávať zdieľaný priečinok Súborov a podpriečinkov.

Dialógové okno vyhľadávania obsahuje možnosti vyhľadávania v GC, čo vám umožní nájsť účty, skupiny a tlačiarne.

6.5.2.2. Zmeniť hodnoty atribútov

a odstránenie objektov

Ak chcete zmeniť hodnoty atribútov, otvorte AC

používatelia a počítače TIVE a vyberte inštanciu objektu

to. V ponuke Akcia vyberte ComperOseries. V dialógovom okne Vlastnosti

eCTA Zmena požadovaných atribútov objektu. Potom vykonajte zmeny a doplnenia popisu objektu, napríklad upraviť objekt používateľa, aby ste zmenili názov, umiestnenie a e-mailovú adresu používateľa. Ak už nie sú potrebné objekty, vymažte ich na bezpečnostné účely: Otvorenie zariadenia užívateľov adresára a

Počítače, zvýraznite inštanciu odstránenej inštalácie a potom v ponuke Nástroje vyberte položku Odstrániť

(Odstrániť).

6.5.2.3. Presunúť objekty

V úložisku Active Directory môžete presunúť objekty, napríklad medzi OP, aby ste odrážali zmeny v štruktúre podniku, keď je zamestnanec prevedený z jedného oddelenia

goy. Aby to bolo možné otvoriť Používatelia služby Active Directory a Com-

puvery, vyberte pohyblivý objekt, vyberte možnosť Presunúť (Presunúť) a

zadajte nové umiestnenie objektu.

6.5.3. Ovládanie prístupu do objektov Active Directory

Na ovládanie prístupu k objektom Active Directory sa používa model ochrany orientovaného na objekt, takýto model ochrany NTFS.

Každý objekt Active Directory má bezpečnostný deskriptor, ktorý určuje, kto má právo na prístup k objektu a typu prístupu. Windows Server používa deskriptory zabezpečenia na ovládanie prístupu k objektom.

Na zjednodušenie správy je možné zoskupovať objekty s rovnakými bezpečnostnými požiadavkami v OP a priradiť prístupové povolenia pre celý OP a všetky objekty v ňom.

6.5.3.1. Manažment oprávnení Active Directory

Active Directory Povolenia poskytujú ochranu zdrojov, čo vám umožní spravovať prístup k inštanciám objektov alebo atribútov objektov a určiť pohľad na poskytovaný prístup.

Active Directory Ochrana

Správca alebo vlastník objektu musí pred užívateľom pristupovať k tomuto objektu objekt Authorization Authorization. Server Server Windows Ukladá zoznam prístupu Access Control (Riadiaci zoznam prístupov, ACL) pre každého

objekt Active Directory.

Objekt ACL obsahuje zoznam používateľov, ktorí majú prístup k objektu, ako aj súbor prípustných objektov.

Môžete použiť povolenia pre cieľ správny orgán špecifický používateľ alebo skupina vo vzťahu k OP, hierarchii OP alebo samostatný objekt bez vymenovania administratívnych povolení pre

objekty Anctive Directory.

Prístupové oprávnenia na objekt

Závisí od typu objektu - napríklad rozlíšenie hesla resetovania je prípustné pre objectsuser, ale nie pre objekty

Počítač.

Užívateľ môže byť členom niekoľkých skupín s rôznymi oprávneniami pre každého z nich rôzne úrovne Prístup k objektom. Keď priradíte povolenie na prístup k objektu, člen skupiny, obdarený inými oprávneniami, efektívne práva užívateľa sa budú vyvíjať z jeho oprávnenia a povolenia skupiny.

Môžete poskytnúť alebo zrušiť povolenia. Zrušené povolenia pre užívateľov a skupín viac prioritných povolení.

Ak je užívateľ zakázaný prístup k objektu, nedostáva prístup k nemu aj ako člena splnomocnentnej skupiny.

Priradenie oprávnení Active Directory

Nakonfigurujte povolenia objektov a ich atribúty umožňuje nástroj Používatelia a počítače služby Active Directory. Vymenovať

riešenia môžu byť tiež na karte. Bezpečnosťdialógové okno Vlastnosti objektu.

Na splnenie väčšiny administratívnych úloh existuje dostatok štandardných povolení.