Книга Active directory
.pdfУстановка Глава1
7. Щелкните кнопку Полная установка (дополнительные параметры) (Custom; (Advanced)). /'
8.На странице Выберите раздел для установки Windows (Where Do You WantTo Install Windows) выберите диск, на который хотите установить систему Windows Server 2008. Если вам нужно создать, удалить, расширить или форматировать разделы либо загрузить настраиваемый драйвер для получения доступа к подсистеме диска, щелкните кнопку Загрузка драйвера (Driver Options).
9.Щелкните кнопку Далее (Next).
10.После завершения установки войдите в систему. Начальный пароль учетной записи Администратор (Administrator) будет пустым.
11.Вам будет предложено изменить пароль. Введите пароль учетной записи администратора в поля Пароль (Password) и Подтверждение (Confirm Password), после чего нажмите клавишу Enter.
Пароль должен состоять как минимум из семи символов:
•символов верхнего регистра: A-Z;
•символов нижнего регистра: a-z;
•цифр: 0-9;
• д р у г и х с и м в о л о в , н а п р и м е р $, #, @ и !.
ПРИМЕЧАНИЕ Не забывать пароль
Без него вы не сможете войти на сервер для выполнения других упражнений данного руководства.
12. Щелкните ОК. Откроется окно командной строки учетной записи администратора. /
Упражнение 2. Выполнение послеустановочных задач настройки
вустановке ядра сервера
Вэтом упражнении вы выполните послеустановочные задачи настройки сервера, назначив ему имя и параметры TCP/IP, необходимые для выполнения остальных упражнений данного занятия.
1. Переименуйте сервер с помощью команды Netdom renamecomputer %сотputername% /newname:SERVER02. Вам будет предложено нажать к л а в и ш у Y, чтобы подтвердить операцию.
2. Задайте 1Ру4-адрес сервера. Для этого введите такие команды: netsh interface ipv4 set address пате-'Подключение по локальной сети" source=static address=10.0.0.12 mask=255.255.255.0
gateway=l0.0.0.1 1
netsh interface ipv4 set dns пате="Подключение по локальной сети" source=static address=10.0.0.11 primary
3. Проверьте IP-конфигурацию с помощью команды ipconfig/all.
4. Перезагрузите компьютер посредством команды shutdown -г -tO.
Занятие 2 Доменные службы Active Directory и ядро сервера 2 9
5. Войдите в систему как Администратор (Administrator).
6. Присоедините сервер к домену с помощью команды Netdomjoin %computer-
пате% /domainxontoso.com.
7. Перезагрузите компьютер командой shutdown -г -£ 0, а затем вновь войдите
в систему как администратор.
8.Отобразите установленные роли сервера с помощью команды oclist. Иден-
т и ф и к а т о р о м пакета роли сервера DNS является DNS-Server-Core-Role.
9.Введите команду ocsetup и нажмите Enter. Как видите, в установке ядра сервера все же есть некоторые элементы графического интерфейса.
10. Щ е л к н и т е О К, чтобы закрыть окно.
11.Введите команду ocsetup DNS-Server-Core-Role. Идентификаторы пакетов чувствительны к регистру.
12.Введите команду oclist и убедитесь, что роль DNS-сервера установлена.
Упражнение 3. Создание контроллера домена с ядром сервера
В этом у п р а ж н е н и и вы с помощью команды Dcpromo.exe добавите роль AD DS
вустановку ядра сервера (Server Core).
1.Введите команду dcpromo.exe /? и нажмите клавишу Enter. Просмотрите сведения об использовании этой команды.
2. Введите команду dcpromo.exe /?:Promotion и нажмите клавишу Enter. Просмотрите и н ф о р м а ц и ю об использовании этой команды.
3. Д л я д о б а в л е н и я и настройки роли AD DS введите команду
dcpromo /unattend /replicaOrNewDomain:replica /replicaDomainDNSName-.contoso. com / ConfirmGCiVes /UserName:CONTOSO\Adminsitrator /Password:» /safeModeAdminPassword: Password
4. Когда вам будет предложено ввести сетевые учетные данные, введите пароль учетной записи администратора в домене contoso.com и щелкните ОК. Б у д е т установлена и с к о н ф и г у р и р о в а н а роль AD DS, после чего сервер перезагрузится .
Упражнение 4. Удаление контроллера домена
В этом у п р а ж н е н и и вы удалите роль AD DS из установки ядра сервера. 1. Войдите на компьютер с ядром сервера как администратор.
2. Введите |
команду |
dcpromo /unattend/AdministratorPassword:napanb и |
укажите |
строгий |
п а р о л ь д л я |
л о к а л ь н о й учетной записи администратора |
сервера |
после удаления роли AD DS. Н а ж м и т е клавишу Enter. |
|
||
Резюме
•Установка ядра сервера (Server Core) Windows Server 2008 представляет собой минимальную инсталляцию системы Windows, которая поддерживает поднабор ролей и компонентов сервера.
•Установка ядра сервера может повысить уровень безопасности и управляемости серверов Windows.
30 |
I •| g Установка |
Глава 1 |
•Для добавления ролен в установку ядра сервера и удаления их исполь - ; зуется команда Ocsetup.exe. Исключение составляет роль AD DS, которая инсталлируется с помощью команды Dcpromo.exe.
ш Операции автоматизированного повышения и понижения роли сервера можно выполнять посредством команды Dcpromo.exe /unattend с соответствующими параметрами.
Закрепление материала
Знания, полученные на занятии 2, можно проверить с помощью приведенных ниже вопросов, которые есть на сопроводительном компакт-диске.
ПРИМЕЧАНИЕ Ответы
Ответы на эти вопросы с пояснениями, почему тот либо иной вариант ответа правильный или неправильный, вы найдете в разделе -«Ответы» в конце книги.
1.Вы вошли как администратор на сервер SERVER02 с установленным ядром сервера Windows Server 2008, который является одним из контроллеров домена contoso.com. Вам требуется понизить ранг контроллера домена . Какие данные нужны для этого?
A. Пароль локального администратора.
Б. Учетные данные пользователя й группе Администраторы домена ( D o - main Admins).
B.Учетные данные пользователя в группе контроллеров домена Domain Controllers.
Г.Адрес DNS-сервера.
2.На машине SERVER02 установлено ядро сервера (Server Core). На сервере уже сконфигурирована роль AD DS. Вам нужно добавить на него с л у ж б ы сертификации Active Directory (Active Directory Certificate Services, AD DS). Что нужно сделать для этого?
A.Установить Службы сертификации Active Directory (Active Directory Certificate Services).
Б. Установить Службы федерации Active Directory (Active Directory Federation Services).
B.Установить Службы управления правами Active Directory (Active Directory Rights Management Services).
Г. Переустановить на машине Windows Server 2008, выбрав полную установку (Full Installation).
Закрепление материала главы
Для того чтобы попрактиковаться и закрепить знания, полученные при изучении представленного в этой главе материала, вам необходимо:
• |
ознакомиться с резюме главы; |
I |
• |
повторить используемые в главе основные термины; |
I |
Основные термины |
3") |
•изучить сценарий, в котором описана реальная ситуация, требующая применения полученных знаний, и предложить свое решение;
ввыполнить рекомендуемые упражнения;
•сдать пробный экзамен с помощью тестов.
Резюме главы
•С л у ж б ы Active Directory выполняют функции идентификации и управле-
ни я доступом д л я поддержки сети организации.
вКонтроллер домена управляет хранилищем данных Active Directory и свя-
за н н ы м и с н и м службами . Контроллеры домена создаются посредством добавления роли AD DS и ее последующей настройки с помощью команды
Dcpromo.exe.
а Я д р о сервера (Server Core) дает возможность снизить затраты на управление и повысить уровень безопасности контроллеров доменов.
Основные термины
З а п о м н и т е представленные далее термины и понятия, чтобы лучше понимать описываемые в данной главе концепции.
в |
П р о в е р к а п о д л и н н о с т и Механизм, |
с помощью |
которого проверяется |
||
|
п о д л и н н о с т ь объекта |
и д е н т и ф и к а ц и и |
посредством |
сравнения секретной |
|
|
и н ф о р м а ц и и (скажем, паролей пользователя либо компьютера) с данными |
||||
|
в х р а н и л и щ е объектов идентификации . |
|
|||
в |
Д о м е н |
Административная единица в Active Directory. Все контроллеры |
|||
|
внутри домена реплицируют в домене информацию о пользователях, груп- |
||||
|
пах и компьютерах . |
|
|
|
|
ш |
Л е с |
Периметр экземпляра Active Directory. Содержит один или несколько |
|||
|
доменов. Все домены в лесу реплицируют разделы схемы и конфигурации |
||||
|
каталога. |
|
|
|
|
• |
К о р н е в о й д о м е н л е с а |
Первый созданный в лесу домен. |
|||
•Ф у н к ц и о н а л ь н ы й у р о в е н ь Параметр, от которого зависят возможности Active Directory в домене либо лесу. Ограничивает версии, которые можно использовать на контроллерах в домене либо лесу.
• |
Глобальный каталог (или частичный набор атрибутов) Раздел хранилища |
|
|
д а н н ы х Active |
Directory, который содержит поднабор атрибутов объектов |
|
в лесу Active |
Directory. Используется д л я эффективных запросов и лока- |
|
л и з а ц и и объектов. |
|
• |
Х р а н и л и щ е объектов идентификации База данных с информацией о поль- |
|
|
зователях, группах, компьютерах и других принципалах безопасности. Со- |
|
д е р ж и т имена и пароли пользователей.
вK e r b e r o s Стандартный протокол, используемый в Active Directory для проверки подлинности.
" С х е м а |
О п р е д е л е н и е классов атрибутов и объектов, поддерживаемых |
в Active |
Directory. |
I |
•| g |
Установка |
Глава 1 |
• |
Сайт |
Объект Active Directory, представляющий часть сети |
с н а д е ж н о й |
связью. Внутри сайта (либо узла) контроллеры домена р е п л и ц и р у ю т обновления за считанные секунды, а клиенты стараются п р и м е н я т ь с л у ж б ы внутри своего узла перед обращением к службам других сайтов.
Сценарий. Создание леса Active Directory
В этом сценарии вы проверите свои знания об установке ядра сервера и доменных служб Active Directory. Ответы на вопросы можно н а й т и в разделе «Ответы» в конце книги.
Вам нужно создать новый лес Active Directory д л я нового исследователь - ского проекта компании Trey Research. Вследствие важности проекта требуется обеспечить максимальную безопасность каталога. Вы планируете у с т а н о в и т ь ядро сервера Windows Server 2008 на двух машинах, к о т о р ы е будут и г р а т ь роль контроллеров домена.
1.Можно ли создать лес Active Directory только из машин с у с т а н о в л е н н ы м ядром сервера?
2.Какую команду следует использовать для настройки статических IP - адресов на серверах?
3.Какая команда добавит роль сервера DNS?
4.Какую команду можно применить для добавления д о м е н н ы х с л у ж б Active Directory?
Пробный экзамен
На прилагаемом к книге компакт-диске представлено |
несколько |
в а р и а н т о в |
тренировочных тестов. Проверить свои знания можно |
или т о л ь к о |
по о д н о й |
теме сертификационного экзамена 70-640, или по всем э к з а м е н а ц и о н н ы м темам. Тестирование можно организовать таким образом, чтобы оно проводилось
как экзамен, либо настроить его на режим обучения. В последнем случае |
вы |
сможете после каждого своего ответа на вопрос просмотреть п р а в и л ь н ы е |
от- |
веты и пояснения. |
|
ПРИМЕЧАНИЕ Пробный экзамен |
|
Подробнее о пробном экзамене рассказано во введении к данной книге.
Г Л А В А |
2 |
Администрирование
Занятие 1. |
Оснастки Active Directory |
34 |
Занятие 2. Создание объектов в Active Directory |
46 |
|
Занятие 3. |
Делегирование и безопасность объектов Active Directory |
70 |
Б о л ь ш и н с т во администраторов получают первый опыт работы с доменными службами Active Directory (Active Directory Domain Services, AD DS), открывая оснастку Active Directory — пользователи и компьютеры (Active Directory Users And Computers) и создавая объекты пользователей, групп и компьютеров в подразделениях (Organizational Unit, O U ) домена. Выполнение таких задач — основа работы IT-профессионала в среде Active Directory. Поэтому после создания домена можно использовать средства, советы и рекомендации, описанные и приведенные в главе 1, для создания указанных объектов. В последующих главах эти классы объектов описаны подробнее.
Сейчас же мы рассмотрим две важные высокоуровневые концепции предприятия: локализацию объектов в каталоге и безопасность Active Directory с поддержкой решения задач персоналом.
Темы экзамена:
•Создание и поддержка объектов Active Directory.
•Поддержка учетных записей Active Directory.
Прежде всего
Д л я выполнения упражнений в данной главе вам понадобится система Windows Server 2008, установленная на физическом компьютере или виртуальной машине. Машине следует назначить имя SERVER01 и повысить ее до ранга контроллера домена contoso.com. (Подробнее об этом рассказывается в главе 1.)
34 Администрирование
История из жизни
Дэн Холме
Вы определенно должны быть знакомы с таким инструментом администрирования, как оснастка Active Directory — пользователи и компьютеры (Active Directory Users And Computers), и основньипгметодами создания подразделений пользователей, компьютеров и групп. В настоящей главё описаны эти средства и методы, что поможет вам заполнить пробелы в знаниях. Кроме того, в данной главе рассмотрены способы повышения производительности труда администратора. Я знаю, что многие администраторы продолжают использоватКконсоли по умолчанию, поэтому хотел бы описать множество средств, с помощыо которых они могут выполнять свою работу, не создавая отдельно настраиваемой консоли ММС (Microsoft Management Console) со всеми необходимыми оснастками. Многие администраторы также значительно углубляются в свои структуры OU для локализации и управления объектами, вместо того чтобы использовать преимущества сохраненных запросов (Saved Queries) для виртуализации представления доменов. Хотя глава посвящена лишь экзаменационной теме «Поддержка учетных записей Active Directory», приведенные в ней советы и рекомендации помогут обеспечить более высокий уровень безопасности ежедневной работы на предприятии.
Занятие 1. Оснастки Active Directory
Административные инструменты или оснастки Active Directory обеспечивают функциональность, необходимую для поддержки службы каталогов. На этом занятии мы рассмотрим самые важные оснастки Active Directory. Мы также обсудим способы их эффективного использования, возможность применения альтернативных учетных данных и создания настраиваемых консолей, которые можно распространять среди администраторов в организации.
Изучив материал этого занятия, вы сможете:
/Работать с консолью ММС (Microsoft Management Console).
/Определить самые важные административные оснастки Active Directory.
/Установить Средства удаленного администрирования сервера RSAT (Remote Server Administration Tools) в Windows Server 2008 и Windows Vista.
SЗапускать административные средства с помощью альтернативных учетных данных и команды Запуск от имени администратора (Run As Administrator).
^Создавать, контролировать, а также распространять настраиваемые оснастки ММС.
Продолжительность занятия — около 35 мин.
Консоль управления Microsoft
Административные инструменты Windows совместно используют общую структуру Microsoft Management Console (ММС) . Консоль М М С (рис. 2-1) отобра-
Занятие 1 Оснастки Active Directory 35
жает инструменты в настраиваемом окне с деревом консоли в левой панели (аналогичном дереву проводника Windows) и центральной панелыо сведений. Панель Действия (Actions) справа выводит команды, которые в М М С называются действиями .
Отображение/Скрытие дерева консоли
Оснастка-
й Domar. Contnlcs
3 ForfipnStuiWhcpait
Отображение/Скрытие панели действий
|
Гр>т»а6е»-ч. . |
|
rpftrie беюпа . |
4Ь»л«»«ст ратсэы асяеиа ffcims 6exrj.~ |
|
АЛ-их-СТ»! nptenp. |
. Гркп* 6* •>-!*. , |
Аллмчгс-аторы си» |
|
Л?, Или сы»< <oia»Tt -л rp |
|
гости дсмеп* |
гр>т(*гопл |
Гость |
Пол, хваля. г-гтроо-узд » |
S*. Групп* с и и д а о* .. ГОУТЖИбсюГ»... |
|
|
Групп* ьею-а .. |
|
Гргтабеюг* . |
|
П>утм6е>о"а . |
S.ijKaf роллеры до |
. Гргооа 6 |
Гр>ти бемпа.. |
|
^Пзсъюмтст а< |
Группа бе юла... |
% Сежры RAS и 1 |
|
|
i t o |
|
J i J |
|
|
|
|
|
Дерево консоли |
Панель сведений |
Панель действий |
|
|
|
|
Рис. 2-1. |
Консоль ММС с оснасткой |
|
|
|
|
|
|
Д л я |
у п р а в л е н и я о т о б р а ж е н и е м левой и |
правой |
панелей |
служат кнопки |
|||
О т о б р а ж е н и е / С к р ы т и е дерева консоли ( S h o w / H i d e |
Console |
Tree) |
и Отоб- |
||||
р а ж е н и е / С к р ы т и е п а н е л и |
действий ( S h o w / H i d e Action Pane) |
или |
команда |
||||
Настроить (Customize) в меню Вид (View). |
|
|
|
|
|
||
А д м и н и с т р а т и в н ы е инструменты, называемые оснастксичи, |
используют |
||||||
дерево консоли и панель сведений консоли для обеспечения административных функций . Консоль М М С — это что-то вроде поясного ремня монтажника, к которому можно прикрепить один или несколько инструментов (оснасток). Большинство средств в папке Администрирование (Administrative Tools) запускаются в виде одной консоли с единственной оснасткой, как, например, Просмотр событий ( E v e n t Viewer), Службы (Services) и Планировщик заданий (Task Scheduler). Другие инструменты, включая Управление компьютером ( C o m p u t e r M a n a g e m e n t ) , открываются в виде консолей со множеством оснасток — некоторые из них могут запускаться как независимые консоли. Например, консоль Управление компьютером содержит оснастки Просмотр событий ( E v e n t Viewer), С л у ж б ы (Services) и Планировщик заданий (Task Scheduler).
При администрировании Windows с помощью оснасток вы будете выполнять команды, которые в М М С называются действиями и отображаются в панели Действия (Actions) в правой части консоли. Большинство опытных администраторов предпочитают выполнять действия в оснастке М М С с помощью
• 36 |
Администрирование |
Глава 2 |
контекстного меню. Если вы используете только контекстное меню, можете отключить панель Действия, чтобы область для отображения информации в панели сведений была больше.
Существует два типа консолей ММС: предварительно с к о н ф и г у р и р о в а н - ные и настраиваемые. Предварительно отконфигурированные консоли устанавливаются автоматически при добавлении роли или компонента для администрирования этой роли или компонента. Они функционируют в пользовательском режиме и их нельзя модифицировать или сохранять, зато пользователь может создавать настраиваемые консоли с теми же инструментами и ф у н к ц и я м и . В следующих подразделах мы рассмотрим предварительно отконфигуриро - ванные и настраиваемые консоли.
Средства администрирования Active Directory
Вбольшинстве случаев администрирование Active Directory осуществляется
спомощью следующих оснасток и консолей.
• Active Directory — пользователи и компьютеры (Active D i r e c t o r y U s e r s and Computers) Управление ежедневно используемыми ресурсами, включая пользователей, группы, компьютеры, принтеры и общие папки . Эта оснастка чаще всего применяется администраторами Active Directory.
•Active Directory — сайты и службы (Active D i r e c t o r y Sites and S e r v i c e s ) Управление репликацией, сетевой топологией и соответствующими службами. Эта оснастка подробно описана в главе 11.
• |
Active Directory — домены и доверие (Active D i r e c t o r y D o m a i n s a n d |
|
|
Trusts) |
Настройка и поддержка доверительных отношений, а также функ - |
|
циональных уровней домена и леса. Этот инструмент детально о п и с а н |
|
|
в главе 13. |
|
• |
Схема Active Directory (Active Directory S c h e m a ) Анализ и м о д и ф и - |
|
|
кация определения классов объектов и атрибутов. Эта схема — проектная |
|
|
модель Active Directory. Она редко просматривается и еще реже м о д и ф и - |
|
|
цируется. Поэтому такая оснастка не устанавливается по умолчанию . |
|
|
Оснастки |
и консоли Active Directory устанавливаются при д о б а в л е н и и |
роли AD DS на сервер. При установке роли AD DS в Диспетчер сервера (Server Manager) добавляются два административных средства Active Directory: оснастка Active Directory — пользователи и компьютеры (Active Directory Users and Computers) и оснастка Active Directory — сайты и службы (Active Dirctory Sites and Services). Тем не менее для администрирования Active Directory из системы, не служащей контроллером домена, необходимо установить средства удаленного администрирования сервера RSAT, для чего в Диспетчере сервера (Server Manager) системы Windows Server 2008 нужно выбрать узел Компоненты (Features). Средства удаленного администрирования сервера RSAT можно загрузить на сайте Microsoft и установить на клиентах Windows Vista Service Pack 1.
Расположение административных инструментов Active Directory
В Диспетчере сервера (Server Manager) находятся две оснастки Active Directory. Чтобы открыть их, нужно развернуть узел Роли (Roles), а затем узел Доменные
• Занятие 1 |
Оснастки Active Directory |
37 |
службы Active Directory (Active Directory Domain Services). Все остальные административные средства находятся в папке Администрирование (Administrative Tools), которая расположена в Панели управления (Control Panel). Папка Администрирование отображается в классическом виде панели управления. В представлении домашней страницы панели управления административные инструменты находятся в категории Система и ее обслуживание (System And Maintenance).
Добавление административных инструментов в меню Пуск
По умолчанию административные средства не включены в меню Пуск (Start) клиентов W i n d o w s Vista. Доступ к административным инструментам можно упростить, добавив их в меню Пуск.
1. Щелкните правой кнопкой мыши кнопку Пуск (Start) и примените команду Свойства (Properties) .
2. Щ е л к н и т е кнопку Настроить (Customize).
3. Если вы используете меню Пуск по умолчанию, найдите папку Администрирование (System Administration Tools) и выберите опцию Отображать в меню "Все программы" и "Пуск" (Display On The All Programs Menu And The Start M e n u ) или Отображать в меню "Все программы" (Display On The All Programs Menu) . Если вы используете классическое меню Пуск, выберите опцию Отображать меню "Администрирование" (Display Administrative Tools).
4 . Д в а ж д ы щелкните О К .
Запуск административных средств с использованием альтернативных учетных данных
Многие администраторы входят на свои компьютеры с использованием административных учетных данных. Это небезопасно, поскольку административная учетная запись имеет более высокий уровень привилегий и прав сетевого доступа, чем стандартная пользовательская учетная запись. Поэтому вредоносные программы, которые запускаются с административными учетными данными, могут принести з н а ч и т е л ь н ы й ущерб. Чтобы такие проблемы не возникали, не входите в систему как администратор. Вместо этого входите как стандартный пользователь и п р и м е н я й т е ф у н к ц и ю Запуск от имени администратора ( R u n
As A d m i n i s t r a t o r ) д л я а д м и н и с т р а т и в н ы х инструментов, |
чтобы обеспечить |
безопасность административной учетной записи. |
|
1. Щ е л к н и т е правой кнопкой м ы ш и значок запускаемого |
апплета в панели |
управления и примените команду Запуск от имени администратора ( R u n As Administrator). Если эта команда не отображается, попробуйте щелкнуть правой к н о п к о й м ы ш и при нажатой клавише Shift.
Откроется диалоговое окно Контроль учетных записей пользователей (User Account Control), показанное на рис. 2-2.
2. Введите и м я и пароль административной учетной записи. 3. Щ е л к н и т е О К .