WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

   Добро пожаловать!

Pages:     | 1 |   ...   | 4 | 5 || 7 | 8 |   ...   | 11 |

«Exam 70-217 Microsoft® Windows 2000 Active Directory Services Microsoft Press Сертификационный экзамен 70-217 Microsoft® Windows 2000 Active ...»

-- [ Страница 6 ] --

5. В разделе User Limit (Предельное число пользователей) введите число пользователей, одновременно обращающихся к данной общей папке. Если будет выбран переключа тель Maximum Allowed (максимально возможное), то в Windows 2000 Professional это составит 10 соединений для всех ресурсов. В Windows 2000 Server вы можете предоста вить любое количество соединений, ограниченное только установленным числом кли ентских лицензий доступа.

6. Щелкните кнопку ОК.

Назначение разрешений на доступ к общей папке После предоставления доступа к папке надо назначить соответствующие разрешения учет ным записям пользователей и группам, ^ Назначение разрешений на доступ к общей палке пользователям и группам 1. На вкладке Sharing (Доступ) диалогового окна свойств папки щелкните кнопку Permi ssions (Разрешения).

2. В диалоговом окне Permissions For (Разрешения) (рис. 10-6) удостоверьтесь, что выб рана группа Everyone (Все), и щелкните кнопку Remove (Удалить).

РегтДОМПХ hv Apps Shaie Ful Central Change Read Рис. 10-6. Диалоговое окно общей папки Permissions For (Разрешения) 3. В диалоговом окне Permissions щелкните кнопку Add (Добавить).

4. В диалоговом окне Select Users, Computers, Or Groups (Выбор: Пользователи, Компью теры или Группы) щелкните учетные записи/группы, которым хотите назначить разре шения.

5. Щелкните кнопку Add (Добавить) или дважды щелкните нужный пункт, чтобы доба вить учетные записи/группы в список доступа к данной папке. Повторите это для всех нужных учетных записей/групп.

Глава 270 Администрирование общих папок -Select LKers, Computer* « Grwflie zl J \П Folrja N- gj raicrotofl.ccm/fl uftin ;

Admostialors rmciosoU. cc m/B uiton I Lisas mctosotl.cc m/Buftin mciosoU. cc m /B uilSri ' Backup Operators mcrotoH. cc m/B ийп (J3 Replicator f Server Operators (TUCtOiOlt 1 ' i Eii:li»i mic^osinccm/Bijinr, JJJ Дс count Opera! ws Рис. 10-7. Диалоговое окно Select Users, Computers, Or Groups (Выбор: Пользователи, Компьютеры или Группы) 6. Щелкните кнопку ОК, 7. В окне Permissions для данной общей папки щелкните учетную запись/группу и, вклю чив флажок Allow (Разрешить) или Deny (Запретить), укажите нужное разрешение.

Примечание В диалоговом окне Select Users, Computers, Or Groups (Выбор: Пользовате ли, Компьютеры или Группы) имеется список Look In (Искать в) для просмотра списка учетных записей/групп других доменов и локальных компьютеров, которым также можно задать разрешения для доступа к данной папке. Кроме этого, вы вправе просмотреть каталог службы Active Directory — для этого достаточно выбрать пункт Entire Directory.

Изменение параметров общих папок Вы можете изменять параметры общих папок: отменять к ним доступ, изменять их сете вые имена и разрешения.

> Изменение параметров общей папки 1. Перейдите на вкладку Sharing (Доступ) в диалоговом окне свойств общей папки.

2. Далее руководствуйтесь указаниями, перечисленными в табл. 10-4.

Табл. 10-4. Этапы модификации общей папки Цель Действия Отмена доступа к папке Щелкните переключатель Do Not Share This Folder (Отменить общий доступ к этой папке). Если в данный момент некий пользователь подключен к данной папке, то будет выведено предупреждение Задание дополнительных Щелкните кнопку New Share (Новый общий ресурс). Она появля сетевых имен ется только после открытия доступа к папке, Это позволяет объединять несколько общих папок в одну, чтобы пользователи могли использовать их прежние сетевые имена Доступ к папкам Табл. 10-4. Этапы модификации общей папки (окончание) Действия Цель Удаление одного из Щелкните кнопку Remove Share (Удалить общий ресурс) — она сетевых имен появляется, только если папка имеет несколько сетевых имен Изменение разрешений Щелкните кнопку Permissions (Разрешения) и затем в одноимен на доступ к общей папке ном диалоговом окне — кнопку Add (Добавить) или Remove (Удалить). В диалоговом окне Select Users. Computers, Or Groups (Выбор: Пользователи, Компьютеры или Группы) щелкните учетную запись/группу, чьи разрешения вы хотите изменить Примечание Если пользователем открыт файл в папке, к которой вы закрываете доступ, пользователь может потерять данные. Поэтому, если вы щелкнете переключатель Do Not Share This Folder (Отменить общий доступ к этой папке), а пользователь подключен к этой папке, появится сообщение об этом подключении.

Подключение к общей папке Подключаться к общей папке можно с помощью: мастера Map Network Drive {Подключе ние сетевого диска), мастера Add Network Place (Новое место в сетевом окружении), ко манды Run (Выполнить), ярлыка My Network Places (Мое сетевое окружение).

> Подключение к общей папке с помощью мастера Map Network Drive 1. На рабочем столе щелкните правой кнопкой ярлык My Network Places (Мое сетевое окружение) и выберите в контекстном меню команду Map Network Drive (Подключить сетевой диск).

2. В мастере Map Network Drive (Подключить сетевой диск) в поле Folder (Папка) внедите UNC-путь к общей папке (например, \\имя_компьютера\имя_общей_папки) (рис. 10-8).

and assign a drive letter to the connection so that you can specify the drive letter for *he eomecticn and the feifer il-il the*: you want to correct to:

I \\serverl\apps Example: V\?

Connect using a dffejentjjser nan».

• Qreafce a shortcut to a Web f^der Finish Рис. 10-8. Мастер Map Network Drive (Подключение сетевого диска) 3. В списке Drive (Диск) выберите диск для подключаемой папки.

272 Администрирование общих папок Глава 4. Установите флажок Reconnect At Logon (Восстанавливать при входе в систему), если эта папка должна автоматически подключаться при каждом вашем входе в систему.

5. Щелкните ссылку Connect Using A Different User Name (Подключение под другим име нем), чтобы подключиться к папке от имени другого пользователя, и в диалоговом окне Connect As (Подключиться как) введите нужные имя и пароль.

^ Подключение к общей папке с помощью мастера Add Network Place 1. Дважды щелкните ярлык My Network Places (Мое сетевое окружение).

2. Дважды щелкните ярлык Add Network Place (Новое место в сетевом окружении).

3. На странице \Sfelcome То The Add Network Place Wizard (Мастер добавления в сетевое окружение) введите путь к нужной обшей папке в поле Type The Location Of The Network Place (Укажите место в сетевом окружении), затем щелкните кнопку Next (Далее).

4. На странице Completing The Add Network Place Wizard (Завершение работы мастера добавления в сетевое окружение) введите имя для подключаемой папки в поле Enter A Name For This Network Place (Введите имя для этого места в сетевом окружении), за тем щелкните кнопку Finish (Готово).

5. Подключайтесь к этой папке, дважды щелкая ее ярлык в окне My Network Places (Мое сетевое окружение).

^ Подключение к общей папке посредством команды Run 1. В меню Start (Пуск) выберите команду Run (Выполнить) и в поле Open (Открыть) введи те \\имя_компьютера и щелкните кнопку ОК.

2. В окне со списком общих папок на этом компьютере дважды щелкните подключаемую папку.

^ Подключение к общей папке средствами окна My Network Places 1. Дважды щелкните значок My Network Places (Мое сетевое окружение).

2. Найдите компьютер, на котором находится нужная папка.

3. Дважды щелкните подключаемую папку.

Резюме Чтобы предоставлять доступ к папке, нужно быть членом одной из групп в зависимости от роли компьютера, на котором хранится эта папка. Можно ограничивать число одно временно подключающихся к папке пользователей, а также управлять доступом к ней и ее содержимому, назначая соответствующие разрешения. Кроме того, вы вправе корректи ровать параметры общей папки, закрывать к ней доступ, изменять ее сетевое имя и разре шения пользователей и групп. Для доступа к общей папке надо подключиться к ней по сети, имея необходимое разрешение.

Сочетание разрешений на доступ к общей папке и разрешений NTFS Занятие Занятие 4. Сочетание разрешений на доступ к общей папке и разрешений NTFS На томе NTFS пользователям и группам назначают разрешения NTFS. При сочетании разрешений доступа к обшей папке и разрешений NTFS приоритет имеет более сгрогое ограничение.

Изучив материал этого занятия, вы сможете:

S комбинировать разрешения на доступ к обшей папке и разрешения NTFS.

Продолжительность занятия — около 45 минут.

Стратегии сочетания разрешений на доступ к общей папке и разрешений NTFS Один из вариантов предоставления доступа к ресурсам на томе NTFS — открыть доступ к папкам с разрешениями по умолчанию и корректировать их через разрешения NTFS.

При этом разрешения на доступ к обшей папке и разрешения NTFS комбинируются, обес печивая нужный уровень безопасности.

Возможности разрешений на доступ к общей папке ограничены, разрешения же NTFS значительно более гибкие. К тому же, последние применяются как локально, так и при доступе по сети.

При открытии доступа к папке на томе NTFS действуют следующие правила:

• к файлам и папкам в обшей папке можно применять разрешения NTFS, в том числе разные разрешения к разным файлам и папкам;

• кроме разрешений на доступ к общей папке пользователи должны иметь разрешения NTFS для доступа к ее содержимому. На томах FAT нет других разрешений на доступ к содержащимся в общей папке файлам и папкам, кроме разрешений на доступ к содер жащей их папке;

• при сочетании разрешений на доступ к общей папке и разрешений NTFS приоритет всегда имеет более строгое ограничение.

На рис. 10-9 показано, что группа Everyone имеет разрешение Full Control (Полный доступ) для доступа к папке Public и разрешение NTFS Read для файла FileA. Результиру ющим разрешением на доступ к FileA для этой группы будет более строгое Read (Чтение), а к FileB — Full Control, так как и разрешения на доступ к общей папке, и разрешения NTFS позволяют этот доступ.

Глава Администрирование общих папок • Для доступа к томам NTFS требуются разрешения NTFS • Применяйте разрешения NTFS для ограничения доступа к файлам и папкам • Эффективным разрешением будет самое строгое Рис. 10-9. Сочетание разрешений доступа к общей папке и разрешений NTFS Практикум: управление доступом к общим папкам Сейчас вы определите результирующие разрешения пользователей, спланируете со вместное использование папок и разрешений на доступ к ним, назначите разреше ния на доступ к папке, подключитесь к ней, отмените к ней доступ и проверите эффекты от сочетания разрешений на доступ к общей папке и разрешений NTFS.

Примечание Для выполнения дополнительных упражнений (5 и 8) желателен второй компьютер с Windows 2000, работающий как сервер домена. Можно, однако, выполнить эти упражнения и на одном компьютере.

Упражнение 1: сочетание разрешений Общие папки на томе NTFS содержат вложенные папки, которым назначены разрешения NTFS (рис. 10-10). Определите результирующие разрешения пользователей в каждом случае.

Разрешение NTFS ">-A sales «g^ * =i) - Д |Д JIJToMNTFS Jj рп_т-р Разрешение N rFS _>-\Userl Р!

Г л,-.:.г.:Г Разрешение NTFS >—\ и3ег Рис. 10-10. Сочетание разрешений Занятие 4 Сочетание разрешений на доступ к общей папке и разрешений NTFS 1. В первом случае открыт доступ к папке Data. Группа Sales имеет для нее разрешение Read, а для вложенной в нее папки Sales — NTFS-разрешение Full Control.

Каким будет результирующее разрешение группы Sales для доступа к папке Sales при подключении по сети к папке Data?

2. Во втором случае папка Users содержит личные папки пользователей. Каждая личная папка содержит данные, доступные только пользователю, именем которого она назва на. Папка Users доступна группе Users с разрешением Full Control. Userl и User2 име ют разрешения NTFS Full Control только для своих личных папок и никаких разреше ний NTFS для остальных. Эти пользователи — члены группы Users.

Какими разрешениями доступа к папке Userl обладает Userl при подключении к об щей папке Users? Каковы его разрешения для папки User2?

Упражнение 2: планирование общих папок Спланируйте доступ к ресурсам на серверах главного офиса предприятия (рис. 10-11).

Выполнив упражнение, занесите ваши ответы в таблицу.

Server. _ -,~.Г.~ "| l f _i «Data Customers Management guidelines Рис. 10-11. Фрагмент структуры папок на серверах предприятия Сделайте ресурсы на этих серверах доступными пользователям ЛВС компании, опре делив, к каким папкам открыть доступ и какие разрешения назначить группам, в том чис ле встроенным.

Ваши решения должны удовлетворять следующим критериям:

• членам группы Managers надо читать и вносить исправления в документы в папке Management Guidelines. Больше никто не должен иметь доступ к этой папке;

• администраторам нужен полный доступ ко всем общим папкам, кроме папки Mana gement Guidelines;

276 Администрирование общих папок Глава • отделу по работе с клиентами требуется отдельное место в сети для хранения рабочих файлов. Все сотрудники этого отдела — члены группы Customer Service;

• всем сотрудникам компании необходимо место в сети для обмена информацией;

• всем сотрудникам требуются такие приложения, как электронные таблицы, базы дан ных и текстовые процессоры;

• только члены группы Managers должны иметь доступ к ПО управления проектами пред приятия;

• членам группы CustomerDBFull необходимо иметь право читать и вносить информа цию о клиентах в БД;

• членам группы CustomerDBRead надо предоставить право только на чтение информа ции о клиентах из БД;

• каждый пользователь сети должен иметь собственное место в сети для хранения фай лов, доступное только ему;

• имена общих ресурсов должны быть доступны с компьютеров Windows 2000/NT/98/95, а также с альтернативных платформ.

Запишите свои ответы в таблицу следующего вида.

Табл. 10-5. Общие папки и разрешения для упражнения Имя и размещение папки Сетевое имя Группы и разрешения Образец: Management Guidelines MgmtGd Managers: Full Control Упражнение З: предоставление доступа к папкам ^ Задание: предоставьте доступ к папкам 1. Зарегистрируйтесь как Administrator (Администратор).

2. Запустите Windows Explorer (Проводник), создайте папку C:\Apps (где С:\ — имя ва шего системного диска), щелкните ее правой кнопкой и выберите Sharing (Доступ).

3. Пока папка не является обшей.

4. Щелкните переключатель Share This Folder (Открыть общий доступ к этой папке).

5. Поле Share Name (Сетевое имя) по умолчанию совпадает с именем папки;

при жела нии его можно изменить.

6. В поле Comment (Комментарий) введите shared productivity applications и щелкните кнопку ОК.

Как Windows Explorer изменит значок папки Apps, иллюстрируя, что к папке открыт доступ?

Упражнение 4: назначение разрешений доступа к общей папке Определите текущие разрешения доступа к общей папке и назначьте разрешения группам в вашем домене.

^ Задание 1: определите текущие разрешения для общей папки Apps 1. В окне свойств папки Apps щелкните вкладку Sharing (Доступ) и затем— кнопку Permissions (Разрешения).

Каковы разрешения по умолчанию для этой папки?

^ Задание 2: аннулируйте разрешения для группы 1. Удостоверьтесь, что выбрана группа Everyone (Все).

Занятие 4 Сочетание разрешений на доступ к общей папке и разрешений NTFS 2. Щелкните кнопку Remove (Удалить).

^ Задание 3: назначьте разрешение Full Control группе Administrators 1. Щелкните кнопку Add (Добавить).

Откроется диалоговое окно Select Users, Computers, Or Groups (Выбор: Пользователи, Компьютеры или Группы).

2. В списке Look In (Искать в) выберите ваш домен, в поле Name (Имя) щелкните Administrators, а затем — кнопку Add (Добавить).

3. Щелкните кнопку ОК.

Группа Administrators добавится в список групп, имеющих разрешения.

Какой вид доступа будет назначен группе Administrators по умолчанию?

4. В столбце Allow (Разрешить) окна Permissions (Разрешения) установите флажок Full Control (Полный доступ).

Почему также стало действующим разрешение Change (Изменение)?

5. Щелкните кнопку ОК.

6. Щелкните кнопку ОК, чтобы закрыть окно свойств Apps.

Упражнение 5 (дополнительное): подключение к общей папке Подключитесь к общей папке. Опробуйте два способа.

Внимание! Дополнительное упражнение 5 желательно выполнять на двух компьютерах (второй — с Windows 2000, работающий как сервер домена). Можно, однако, выполнить эти упражнения и на одном компьютере.

*• Задание 1: подключите сетевой диск с помощью команды Run 1. Зарегистрируйтесь на втором компьютере как Administrator.

2. В меню Start (Пуск) выберите команду Run (Выполнить).

3. В поле Open (Открыть) наберите \\SERVER1 (если у контроллера вашего домена дру гое имя, используйте его здесь и далее) и щелкните кнопку ОК.

Откроется окно SERVER1. Заметьте, что пользователям сети видны только общие лапки.

Какие папки доступны в данный момент?

4. Дважды щелкните папку Apps, чтобы убедиться, что вы можете получить доступ к ее содержимому.

5. Закройте окно Apps On SERVER!.

^ Задание 2: подключите общую папку как сетевой диск командой Map Network Dri>e 1. Щелкните правой кнопкой значок My Network Places (Мое сетевое окружение) и вы берите в контекстном меню команду Map Network Drive (Подключить сетевой диск).

2. В поле Folder (Папка) окна мастера Map Network Drive (Подключить сетевой диск), введите \\SERVERl\Apps (если у контроллера вашего домена другое имя, далее ис пользуйте именно его).

3. В списке Drive (Диск) выберите Р:.

4. Сбросьте флажок Reconnect At Logon (Восстанавливать при входе в систему).

Вам нужен доступ к данной папке только в этом упражнении. Выключение данного режима не позволит Windows 2000 снова подключаться к этой папке в дальнейшем.

5. Для завершения подключения щелкните кнопку Finish (Готово).

6. Закройте окно Apps On 'SERVER1 1 (Р:).

Администрирование общих папок Глава 7. Чтобы проверить, что сетевой диск успешно подключен, дважды щелкните значок My Computer (Мой компьютер) на рабочем столе — вы увидите, что появился новый логи ческий диск Р: Apps On Server 1.

Как Windows Explorer обозначает, чт о этот диск соответствует удаленной общей папке?

*• Задание 3: отключите сетевой диск в Windows Explorer 1. В Windows Explorer щелкните правой кнопкой Apps On 'ServerГ (Р:) и выберите в кон текстном меню команду Disconnect (Отключить).

Windows 2000 удалит Apps On 'ServerГ (Р:) из окна My Computer.

2. Закройте Windows Explorer.

^ Задание 4: попытайтесь подключиться к общей палке на контроллере домена 1. Завершите сеанс и войдите в ваш домен под именем UserSl.

2. Щелкните кнопку Start (Пуск), затем выберите команду Run (Выполнить).

В поле Open (Открыть) наберите \\SERVER1 (если у контроллера вашего домена дру 3.

гое имя, далее используйте именно его) и щелкните кнопку ОК.

Появится сообщение, что доступ закрыт. Почему?

4. Закройте все окна.

^ Задание 5: подключитесь к обшей папке от имени другого пользователя 1. Щелкните правой кнопкой значок My Network Places (Мое сетевое окружение) и вы берите в контекстном меню команду Map Network Drive (Подключить сетевой диск).

2. В окне мастера Map Network Drive (Подключить сетевой диск) в поле Folder (Папка) введите \\SERVERl\Apps (если у контроллера вашего домена другое имя, далее ис пользуйте именно его).

3. В списке Drive (Диск) выберите J:.

4. Щелкните ссылку Connect Using A Different User Name (Подключение под другим именем).

В окне Connect As (Подключиться как) задаются параметры учетной записи для под ключения к общей папке, в том числе для подключения к другим доменам (в ранних версиях Windows). Когда следует использовать этот режим?

5. В окне Connect As (Подключиться как) в поле User Name наберите domain I \administrator (где domain 1 — имя вашего домена).

6. В поле Password (Пароль) наберите password и щелкните кнопку ОК.

7. Удостоверьтесь, что флажок Reconnect At Logon (Восстанавливать при входе в систему) сброшен, и щелкните Finish (Готово).

8. Закройте все окна и завершите сеанс.

Упражнение 6: прекращение доступа к папке ^ Задание: закройте доступ к папке 1. Зарегистрируйтесь в домене как Administrator на контроллере домена и запустите Windows Explorer.

2. Щелкните правой кнопкой папку C:\Apps и выберите в контекстном меню команду Properties (Свойства).

3. В диалоговом окне свойств Apps перейдите на вкладку Sharing (Доступ).

4. Щелкните переключатель Do Not Share This Folder (Отменить общий доступ к этой папке), затем — кнопку ОК.

Сочетание разрешений на доступ к общей папке и разрешений NTFS Занятие 4 Под Apps больше нет «руки», означавшей, что папка была общей. Возможно, вам сна чала понадобится обновить окно — в этом случае нажмите клавишу F5.

5. Закройте Windows Explorer.

Упражнение 7: назначение разрешений NTFS и открытие доступа к папкам Вы назначите разрешения NTFS папкам Apps, Wordprocessing, Database, Public и Manuals и откроете доступ к Apps и Public.

Создайте с помощью Windows Explorer папки и назначьте им разрешения NTFS со гласно таблице, приведенной ниже. Не допускайте наследования разрешений для вложен ных объектов и снимите все ранее существовавшие разрешения NTFS.

Табл. 10-6. Папки и разрешения NTFS для упражнения Путь Группа или учетная запись Разрешения NTFS C:\Apps Administrators Full Control Users Read & Execute C:\Apps\Word- Administrators Full Control prosessing Users Read & Execute C:\Apps\Database Administrators Read & Execute C:\Public Administrators Full Control Users Modify C:\Public\Manuals Administrators Full Control Users Read & Execute User83 Full Control Откройте доступ к папкам и назначьте разрешения пользователям сети согласно таб лице, приведенной ниже. Снимите все остальные разрешения на сетевой доступ.

Табл. 10-7. Папки и разрешения на доступ к общим папкам для упражнения Путь и сетевое Группа или учетная запись Разрешения имя папки доступа C:\Apps. сетевое Administrators Read имя — Apps Users Read Administrators Full Control C:\Public, сетевое имя — Public Users Full Control Упражнение 8 (дополнительное): проверка разрешений NTFS и разрешений на доступ к общей папке Войдите в систему под разными именами, чтобы проверить разрешения, назначенные в упражнении 1. Для ответов на вопросы данного упражнения ссылайтесь на таблицы уп ражнения 7.

внимание! Для выполнения дополнительного упражнения 8 вам потребуется второй ком пьютер с Windows 2000, работающий как сервер домена. Можно, однако, выполнить эти упражнения и на одном компьютере.

Администрирование общих папок Глава ^ Задание 1: проверьте разрешения для папки Manuals при локальном входе в систему под именем User 1. Зарегистрируйтесь в домене как User82 на контроллере домена.

2. В Windows Explorer раскройте папку C:\Public\Manuals.

3. В папке Manuals попытайтесь создать какой-либо файл.

Удалось ли вам это? Почему?

4. Закройте Windows Explorer, ^ Задание 2: проверьте разрешения для папки Manuals при подключении к ней по сети 1. Зарегистрируйтесь в домене как User82 на втором компьютере (не контроллере домена).

2. Щелкните кнопку Start (Пуск) и выберите команду Run (Выполнить).

3. В поле Open (Открыть) введите \\serverl\public (где serverl— имя контроллера домена) и щелкните кнопку ОК.

4. В окне Public On Serverl дважды щелкните папку Manuals, 5. Попробуйте создать в ней какой-либо файл.

Удалось ли вам это? Почему?

6. Закройте все окна и завершите сеанс.

*• Задание 3: проверьте разрешения для папки Manuals при локальном доступе 1. Зарегистрируйтесь при входе в ваш домен как User83 на контроллере домена, 2. В Windows Explorer раскройте папку C:\Public\Manuals.

3. В папке Manuals попытайтесь создать какой-либо файл.

Удалось ли вам это? Почему?

4. Закройте все окна и завершите сеанс.

Резюме К папкам можно открыть доступ пользователям сети. На томе FAT разрешения доступа к общим папкам — единственное средство защитить их. На томе NTFS можно назначать отдельным пользователям и группам разрешения NTFS для более гибкого управления до ступом к файлам и папкам в обших папках. При сочетании разрешений доступа к общей папке и разрешений NTFS результирующим будет более строгое из них.

Выполняя упражнения, вы создав;

ши папки, открывали и закрывали к ним доступ, а также создавали папки и сначала назначали разрешения NTFS, а затем открывали к ним доступ.

Занятие 5 Настройка DFS Настройка DFS Распределенная файловая система — Distributed file system, DFS — в Windows 2000 Server обеспечивает удобный доступ к общим папкам. Общая папка DFS является точкой входа к остальным общим папкам, распределенным по всей сети.

Изучив материал этого занятия, вы сможете:

•/ настраивать DFS в Windows 2000 Server.

Продолжительность занятия — около 40 минут.

Знакомство с DFS Система Microsoft DFS в Windows 2000 Server облегчает пользователям сети доступ к фай лам, находящимся в физически разных фрагментах сети. В этой системе распределенные по разным серверам файлы как бы находятся в одном месте (рис, 10-12). Пользователи легко перемещаются по общим папкам, даже не зная, где реально эти папки размещены.

Соответственно упрощается и администрирование общих папок.

Server!

User!

Организует ресурсы Упрощает навигацию Users Упрощает администрирование Поддерживает имеющиеся ghx _J User разрешения Рис. 10-12. Схема работы DFS DFS реализует несколько функций.

• Организует иерархию ресурсов. Иерархия сетевых ресурсов в DFS состоит из общих па пок DFS (DFS share). Первый этап при ее организации — создание корня DFS (DFS root). В него будут помещаться файлы и DFS-ссылки, которые указывают на общие папки, реально размещенные на разных серверах. Возможны два типа корней DFS, они описаны в таблице.

1 ', - Администрирование общих папок Глава Табл. 10-8. Типы корней DFS Тип Описание Доменный Хранит топологию DFS в Active Directory. Ссылки могут указывать на несколько одинаковых папок, что увеличивает устойчивость при сбоях.

Поддерживает службу формирования имен узлов Domain Name System (DNS), многоуровневые DFS-ссылки и репликацию файлов Изолированный Хранит топологию DFS на отдельном компьютере. Не обеспечивает устойчивости при сбоях компьютера, где размешен данный корень, а также тех компьютеров, на которых находятся используемые системой DFS обшие папки. Поддерживает DFS-ссылки только первого уровня • Облегчает навигацию по сети. Вместо соединения с каждым сервером пользователи подключаются только к корню DFS и перемещаются по его ресурсам, лаже не зная имен серверов, на которых эти ресурсы реально находятся.

• Облегчает администрирование сети. В случае сбоя сервера достаточно в DFS-ссылке за дать новый сервер. Для пользователей имя этого ресурса в системе DFS не изменится.

• Сохраняет разрешения доступа. При соединении, через DFS проверяются разрешения пользователей для общих папок и NTFS.

На компьютере клиента необходимо установить ПО клиента DFS. Этот кли ент входит в состав Windows 98/NT 4.0/2000 и дополнительно устанавливается в Windows 95.

Использование DFS DFS стоит применять в следующих случаях:

• пользователи подключаются к общим папкам через один или несколько узлов сети;

• большинству пользователей требуется доступ ко многим общим папкам;

• надо улучшить баланс загрузки серверов, перераспределив по ним общие папки;

• пользователям нужен непрерывный доступ к общим папкам;

• в вашей организации имеются Wfeb-узлы для внутреннего или внешнего использования.

Топология DFS Топология DFS состоит из корня DFS, одной или нескольких DFS-ссылок и соответству ющих каждой ссылке общих папок DFS (называемых также репликами).

В случае доменной DFS сервер домена, на котором размещен корень DFS, называется несущим сервером. Можно создать реплики корня на других серверах для случаев, когда несущий сервер занят.

Для пользователей такая топология DFS предоставляет однотипный и простой доступ к сетевым ресурсам. Для администраторов такая топология представляет собой как еди ное пространство имен DNS. В случае доменной DFS имена DNS корней DFS являются подпространствами для несущего сервера.

Так как несущий сервер доменной DFS является членом домена, топология DFS по умолчанию автоматически публикуется в службе Active Directory. Это обеспечивает синх ронизацию топологий DFS для всех несущих серверов и, следовательно, отказоустойчи вость для корня DFS, а также оптимальную репликацию общих папок DFS.

Занятие 5 Настройка DFS Создание системы DFS Система DFS создается следующим образом:

• создается корень DFS;

• создается DFS-ссылка;

• добавляются общие папки DFS (если нужно);

• задается политика репликации.

Создание корня DFS Корень DFS в Windows 2000 можно создавать и в разделе FAT, и в разделе NTFS (4TFS имеет дополнительные преимущества при настройке защиты). При создании корня ука зывается его тип — доменный или изолированный.

^ Создание корня DFS 1. Щелкните кнопку Start (Пуск), выберите пункт Programs (Программы), затем — пункт Administrative Tools, затем — команду Distributed File System (Распределенная фийло вая система DFS).

2. В меню Action (Действие) щелкните пункт New DFS Root (Создать новый корень DFS) для запуска мастера New DFS Root Wizard (Мастер создания нового корня DFSK Его параметры описаны ниже.

Табл. 10-9. Параметры мастера создания корня DFS Параметр Описание Select The DFS Root Type Задает тип корня DFS — доменный или изолированный (Выбор типа корня DFS) Specify The Host Domain For Задает несущий домен для доменного корня DFS The DFS Root (Выбор несущего домена для корня DFS) Задает несущий сервер (начальное соединение для реиур Specify The Host Server For The DFS Root (Выбор несущего сов в дереве DFS). Это может быть любой компьютер с Windows 2000 Server сервера для корня DFS) Задает общую папку для размещения корня DFS. Мо:кно Specify The DFS Root Share использовать существующую или создать новую папку (Выбор общего ресурса для корня DFS) Задает имя для корня DFS Name The DFS Root (Выбор имени для корня DFS) Создание DFS-ссылки После создания корня DFS генерируются DFS-ссылки. Их не может быть больше 1 в одном корне.

" *• Создание DFS-ссылки 1. Щелкните кнопку Start (Пуск), выберите пункт Programs (Программы), затем — пункт Administrative Tools, затем — команду Distributed File System (Распределенная файло вая система DFS).

2. Щелкните корень DFS, в котором хотите поместить новую ссылку. Затем в меню Action (Действие) укажите пункт New DFS Link (Создать ссылку DFS).

Глава 284 Администрирование общих папок 3. В поле Link Name (Имя ссылки) окна Create A New DFS Link (Создание новой ссылки DFS) (рис. 10-13) введите имя, пол которым ссылка будет доступна пользователям.

4. В поле Send The User To This Shared Folder (Переадресовать пользователя на эту общую папку) введите или найдите с помощью кнопки Browse (Просмотр) сетевой адрес пап ки, которой должна соответствовать эта ссылка.

,T 1)141 hitidlDd hit' 4yil.-tn вь whws e uj^-.ij9?|^ i L'^rtbriie _ JWord Piocessing Sena*heu!ei|eifr4si*«edrDfdei:

. „Л.-- Рис. 10-13. Окно Create A New DFS Link 5. В поле Comment (Комментарий) укажите любую дополнительную информацию о дан ной общей папке (например, ее действительное сетевое имя).

6. В поле Clients Cache This Referral For X Seconds (Клиенты кэшируют ссылку каждые х секунд) введите временной интервал, в течение которого клиенты кэшируют информа цию о DFS-ссылке. По истечении этого времени клиент еще раз запросит сервер DFS об адресе ссылки, даже если соединение уже установлено.

7. Щелкните кнопку ОК.

Ссылка появится под соответствующим корнем в дереве консоли DFS.

Добавление общей папки DFS Для каждой DFS-ссылки можно задать одну или несколько общих папок DFS. Первая папка генерируется средствами консоли DFS при создании DFS-ссылки. Остальные пап ки добавляются в диалоговом окне Add A New Replica. Для одной ссылки можно задать не более 32 общих папок. Папку DFS разрешается реплицировать. В этом случае необходимо задать политику репликации.

> Добавление общей папки DFS 1. Щелкните кнопку Start (Пуск), »ыберите пункт Programs (Программы), затем — пункт Administrative Tools, затем — команду Distributed File System (Распределенная файло вая система DFS).

2. В дереве консоли DFS правой кнопкой щелкните DFS-ссылку, к которой добавляется папка, и в контекстном меню выберите пункт New Replica (Создать реплику).

3. В поле Send The User To This Shared Folder (Переадресовать пользователя на эту общую папку) диалогового окна Add A New Replica (Добавить новую реплику) введите или найдите с помощью кнопки Browse (Просмотр) имя нужной общей папки (рис. 10-14).

Занятие 5 Настройка DFS Add a New Replica Whena user сдает» mMlCROSQFT\More Shaped AppsWustoms seivfce QK Рис. 10-14. Диалоговое окно Add A New Replica 4. В окне Replication Policy (Политика репликации):

• выберите переключатель Manual Replication, если нужно, чтобы файлы из данной папки не участвовали в репликации;

• установите переключатель Automatic Replication (этот режим недоступен для изо лированных DFS), чтобы файлы из данной папки участвовали в репликации. Фай лы необходимо расположить на томе NTFS сервера Windows 2000.

5. Щелкните кнопку ОК.

Настройка политики репликации Репликация содержимого корней и общих папок DFS в другие корни или папки DFS по зволяет сделать их постоянно доступными для пользователей.

Репликация корня DFS При репликации корня DFS связанная с ним структура DFS будет доступна для пользова телей, даже если несущий сервер в момент соединения недоступен.

>• Репликация корня DFS 1. Щелкните кнопку Start (Пуск), выберите пункт Programs (Программы), затем — пункт Administrative Tools, затем — команду Distributed File System (Распределенная файло вая система DFS).

2. В дереве консоли DFS правой кнопкой щелкните корень DFS, который надо реплици ровать, и в контекстном меню выберите пункт New Root Replica (Создать корневую реплику).

3. Следуйте инструкциям мастера New DFS Root Wizard (Мастер создания нового корня DFS).

Настройка политики репликации для общей папки DFS При репликации общей папки DFS ее содержимое копируется в другую общую папку.

Этот процесс состоит из двух стадий — сначала к DFS-ссылке добавляется общая папка с указанием, что она будет участвовать в репликации, а затем задается политика реплика ции для общих папок, связанных с данной ссылкой. Репликация бывает ручной и автома гической. Не устанавливайте разные типы репликации внутри одной DFS-ссылки, иначе содержимое папок может оказаться не синхронным.

Глава Администрирование общих папок Автоматическая репликация разрешена только для доменных корней DFS. Она осуще ствляет автоматическую синхронизацию копий общих папок DFS при их изменении. Ав томатическая репликация не реализуется для изолированной DFS и для томов FAT. DFS использует службу репликации файлов (File Replication Service, FRS). Именно эта служба синхронизирует содержимое папок DFS. По умолчанию это происходит один раз в минут. При задании политики репликации одна или несколько общих папок DFS объяв ляются главными. Затем их содержимое копируется в остальные общие папки DFS.

Если управление доменной DFS не было передано FRS, то синхронизировать содер жимое общих папок DFS придется вручную.

> Настройка политики репликации 1. Щелкните кнопку Start (Пуск), выберите пункт Programs (Программы), затем — пункт Administrative Tools, затем — команду Distributed File System System (Распределенная файловая система DFS).

2. В дереве консоли DFS правой кнопкой щелкните DFS-ссылку, содержащую папки, которые надо реплицировать, и выберите команду Replication Policy (Политика репли кации).

3. В диалоговом окне Replication Policy (Политика репликации) щелкните папку, которую вы хотите сделать главной при репликации, затем — кнопку Set Master (рис. 10-15).

.Sstfor ]ЧМдаШЭГПМ9* dFaldei | RagheatoB^ j^D mm eivei2 \eust. No Enable Рис. 10-15. Диалоговое окно Replication Policy (Политика репликации) 4. Щелкая каждую папку в списке, установите для них режим ЕпаЫе. Затем щелкните кнопку ОК.

Примечание Не устанавливайте разные типы репликации внутри одной DFS-ссылки, иначе содержимое папок синхронизируется не всегда.

Практикум: использование DFS Сейчас вы откроете общий доступ к существующим папкам, создадите новые и от кроете к ним доступ. Кроме того, вы создадите новый корень DFS и DFS-ссылки.

Примечание Для дополнительных упражнений требуется два компьютера с Windows Server — один контроллер домена, другой — сервер-член домена.

Занятие 5 Настройка DFS ^ Задание 1: открытие доступа к существующим папкам 1. Зарегистрируйтесь в домене на контроллере домена как администратор.

2. Запустите Windows Explorer и откройте общий доступ с полномочиями по умолчанию к папкам, созданным вами в упражнении 7 занятия 4.

Табл. 10-10. Общие папки для практикума Папка Сетевое имя C:\Apps\Database DB C:\Apps\W>rdprocessing Word > Задание 2: создание обшей папки на удаленном компьютере В Windows Explorer создайте папки согласно следующей таблице (где С:\ — имя системно го диска) и откройте к ним общий доступ с полномочиями по умолчанию.

Табл. 10-11. Новые общие лапки для практикума Папка Сетевое имя C:\MoreApps\Maintenance Maint C:\MoreApps\CustomerService Custom ^ Задание 3: создание нового корня DFS 1. На контроллере домена щелкните кнопку Start (Пуск), выберите пункт Programs (Про граммы), затем — пункт Administrative Tools, затем — команду Distributed File System (Распределенная файловая система DFS).

Откроется консоль Distributed File System (Распределенная файловая система DFS).

2. В меню Action (Действие) выберите пункт New DFS Root (Создать новый корень DFS).

Запустится мастер New DFS Root Wizard (Мастер создания нового корня DFS).

3. Щелкните Next.

Мастер откроет страницу Select The DFS Root Type (Выбор типа корня DFS).

4. Щелкните переключатель Create A Domain DFS Root (Создать доменный корень, DFS) для создания доменного корня, затем — Next.

Мастер откроет страницу Select The Host Domain For The DFS Root.

5. Удостоверьтесь, что в поле Domain Name указано microsoft.com (или имя вашего доме на) и щелкните Next.

Мастер откроет страницу Specify The Host Server For The DFS Root (Выбор несущего сервера для корня DFS).

6. Для создания корня DFS на вашем сервере введите его имя в поле Server Name и щел кните Next.

Мастер откроет страницу Specify The DFS Root Share (Выбор общего ресурса для кор ня DFS).

7. Можно использовать существующую общую папку или создать новую. Для создания новой корневой папки выберите переключатель Create A New Share. При этом надо задать и путь к папке на данном компьютере и ее сетевое имя. Введите c:\apps-DFS (где с:\ — имя вашего системного диска) в поле Path To Share и Shared Apps — в поле Share Name.

288 Администрирование общих лапок Глава 8. Щелкните кнопку ОК.

Появится окно сообщения системы DFS с запросом подтверждения о создании папки C:\App-DFS.

9. Щелкните кнопку Yes (Да).

Мастер откроет страницу Name The DFS Root (Выбор имени для корня DFS). Поле DFS Root Name будет уже заполнено.

10. Щелкните Next.

Мастер откроет страницу Completing The New DFS Root Wizard (Завершение работы мастера создания нового корня DFS) со сводкой выбранных параметров.

И. Удостоверьтесь, что все правильно, и щелкните Finish (Готово).

Обратите внимание, что в дереве консоли DFS появился корень \\microsoft.com\Shared (где microsoft.com — имя вашего домена).

Теперь создайте DFS-ссылки, пользуясь следующей таблицей (где С:\ — имя вашего системного диска).

Табл. 10-12. DFS-ссылки для практикума Ссылка Общая папка Имя папки Database \\Serverl\DB С :\Apps\ Database \Vbrd Processing \\Serverl\W>rd С : \Apps\W> rdprocessing Maintenance \\second_computer\Maint C:\MoreApps\Maintenance Customer Service \\second_computer\Custom C:\MoreApps\CustomerService > Задание 4: добавьте DFS-ссылки на контроллер домена 1. В дереве консоли DFS щелкните \\microsoft.com\Shared Apps (где microsoft.com — имя вашего домена).

2. В меню Action (Действие) выберите пункт New DFS Link (Создать ссылку DFS).

Откроется диалоговое окно Create A New DFS Link (Создание новой ссылки DFS).

3. В поле Link Name (Имя ссылки) введите Database.

4. В поле Send The User To This Shared Folder (Переадресовать пользователя на эту общую папку) введите \\serverl\DB (где server! — имя вашего контроллера домена).

5. Щелкните кнопку ОК..

6. Повторите пункты 1 — 5 и добавьте еще одну ссылку с именем \Vbrd Processing, указыва ющую на общую папку \\Serverl \Wird (где server! — имя вашего контроллера домена).

*• Задание 5: добавьте ссылки на удаленный компьютер 1. В дереве консоли DFS щелкните \\microsoft.com\Shared Apps (где microsoft.com — имя вашего домена).

2. В меню Action (Действие) выберите пункт New DFS Link (Создать ссылку DFS).

Откроется диалоговое окно Create A New DFS Link (Создание новой ссылки DFS).

3. В поле Link Name (Имя ссылки) введите Maintenance.

4. В поле Send The User To This Shared Folder (Переадресовать пользователя на эту общую папку) введите \\второй_компьютер\таЫ (где второй_компьютер — имя компьютера, отличного от контроллера домена) и щелкните кнопку ОК.

Настройка DFS Занят«е 5. Повторите пункты 1 — 4 и добавьте еще одну ссылку с именем Customer Service, указыва ющую на общую папку \\второй_компьютер\Си51от (где второй_компьютер — имя компь ютера, отличного от контроллера домена).

6. Закройте консоль DFS.

^ Задание 6: доступ к корню DFS 1. На контроллере домена или другом компьютере последовательно дважды щелкните:

значок My Network Places (Мое сетевое окружение), Entire Network (Вся сеть), Microsoft Windows Network (Сеть Microsoft Windows), имя вашего домена.

2. Дважды щелкните компьютер SERVER1.

Windows Explorer выведет список всех общих папок на контроллере вашего домена.

Одна из них — Shared Apps, созданный вами корень DFS.

Обозначает ли как-либо Windows 2000, что Shared Apps не является обычной общей папкой?

3. Для просмотра DFS-ссылок дважды щелкните папку Shared Apps.

Windows Explorer откроет окно Shared Apps On Serverl со списком всех ссылок этого корня.

Обозначает ли как-либо Windows 2000, что DFS-ссылки в Shared Apps не являются обычными общими папками?

4. Закройте все окна.

Резюме Распределенная файловая система Microsoft DFS в Windows 2000 Server обеспечивает удоб ный доступ к общим папкам, расположенным в разных местах сети. Ресурсы DFS состоят из корня и дерева ссылок, указывающих на общие папки в сети. DFS делает структуру сети незаметной для пользователей — им не нужно знать имена серверов и имена общих папок. В случае сбоя сервера достаточно в DFS-ссылке задать новый сервер. Для пользо вателей имя этого ресурса в системе DFS не изменится.

Выполняя задания практикума, вы открыли доступ к существующим и к новым пап кам, создали корень DFS и DFS-ссылки.

Администрирование общих папок Глава Закрепление материала 9i Приведенные ниже вопросы помогут вам лучше усвоить основные темы данной гла ^ вы. Если вы не сумеете ответить на вопрос, повторите материал соответствующего занятия. Правильные ответы см. и приложении А «Вопросы и ответы» в конце книги.

1. Общая папка расположена на томе FAT, и пользователь имеет для нее разрешение Full Control. К каким объектам в этой папке получит доступ пользователь?

2. Назовите разрешения доступа к обшей папке.

3. Какие разрешения назначаются общей папке по умолчанию?

4. Общая папка расположена на томе NTFS, и пользователь имеет для нее разрешение Full Control. К. каким объектам в этой папке получит доступ пользователь?

5. Почему рекомендуется централизованно хранить общие папки данных?

6. Каков наилучший способ защиты общих файлов и папок на томе NTFS?

7. Как система DFS облегчает навигацию пользователей по сети?

ГЛАВА Администрирование Active Directory Поиск объектов Active Directory Занятие 2, Управление доступом к объектам Active Directory Занятие 3. Публикация ресурсов в Active Directory Занктие 4, Перемещение объектов Active Directory Занятие 5 Делегирование управления объектами Active Directory Занятие 6 Резервное копирование Active Directory Восстановление Active Directory Устранение неполадок Active Directory Закрепление материала В этой главе Администрирование Active Directory включает не только установку и настройку, но также поиск объектов, назначение им разрешений, публикацию ресурсов, перемещение объек тов между доменами и в их пределах, делегирование административных полномочий орга низационным подразделениям (ОП), резервное копирование и восстановление БД, а так же устранение проблем. Здесь подробно рассматриваются задачи администрирования Active Directory.

Прежде всего Для изучения материалов этой главы необходимо:

• настроить компьютеры в соответствии с инструкциями вводной главы;

• настроить компьютер в качестве контроллера домена;

• установить пакет утилит Windows 2000 Support Tools в соответствии с инструкциями главы 3;

• изучить материалы глав 7, 8, 9 и 10 и выполнить упражнения из них.

Глава t 292 Администрирование Active Directory !. Поиск объектов Active Directory Active Directory хранит информацию об объектах сети. Каждый объект — это определен ный поименованный набор атрибутов, представляюших конкретный объект сети. Active Directory разработана для предоставления пользователям и приложениям информации об объектах каталога. Здесь рассказывается о поиске объектов Active Directory с помощью команды Find (Найти) консоли Active Directory Users and Computers (Active Directory — пользователи и компьютеры).

Изучив материал этого занятия, вы сможете:

^ описать типы объектов Active Directory;

S найти объект Active Directory любого типа с помощью команды Find.

Продолжительность занятия — около 15 минут.

Наиболее распространенные объекты Active Directory При добавлении в сеть новых ресурсов создаются представляющие их объекты Active Directory. Вам надо знать наиболее часто используемые типы объектов Active Directory.

Они описаны в табл. 11-1.

Табл. 11-1. Наиболее часто используемые объекты Active Directory Объект Описание Сведения, позволяющие пользователю входить в систему Windows Учетная запись пользователя (например, имя пользователя для входа в систему). Данные сведения могут также включать имя, фамилию и отображаемое имя пользователя, номер телефона, адрес электронной почты, адрес домашней страницы и т. п.

Контакт Сведения о пользователе, обращающемся в организацию: номер телефо на, адрес электронной почты, домашний адрес, адрес домашней стра ницы и т. п.

Группа Набор учетных записей пользователей, групп или компьютеров, упро щающий администрирование Общая папка Указатель (pointer) на общую папку компьютера. Содержит не сами данные, но путь к ним. Общая папка и указатели представлены в реестре компьютера. В результате публикации общей папки в Active Directory создается объект, содержащий указатель на нее Принтер Указатель на притер компьютера. Принтеры компьютеров, не входящих в Active Directory, необходимо опубликовать вручную. Microsoft Windows 2000 автоматически добавляет в Active Directory принтеры, подключае мые к контроллеру домена Компьютер Информация о компьютере — члене домена Контроллер Информация о контроллере домена, включающая необязательное домена описание, DNS-имя, имя, которое контроллер имел, когда работал под управлением предыдущей версии Windows, сведения о версии уста новленной ОС, местоположении и администраторе контроллера домена Организацией ное Содержит объекты, в том числе и другие ОП, подразделение (ОП) позволяет структурировать объекты Active Directory Занятие 1 Поиск объектов Active Directory Команда Find Для поиска объектов откройте консоль Active Directory Users and Computers (Active Directory — пользователи и компьютеры), щелкните домен или контейнер дерева консоли правой кнопкой и выберите в контекстном меню команду Find (Найти). Откроется диало говое окно Find (Поиск), позволяющие искать объекты в глобальном каталоге (рис. 11-1).

Здесь можно создать LDAP-запрос к каталогу или специальному ОП. В глобальном ката логе хранится частичная реплика всего каталога с информацией обо всех объектах дерева доменов/леса. Таким образом, пользователь может найти необходимую информацию не зависимо от того, какой домен дерева/леса содержит требуемые данные. Active Directory автоматически генерирует содержимое глобального каталога на основе данных доменов, составляющих каталог.

Ниже описываются элементы диалогового окна Find (Поиск).

Табл. 11-2. Элементы диалогового окна Find Элемент Описание Список доступных для поиска мест, включая весь каталог Active Список In (в) Directory, конкретные домены и ОП Кнопка Browse Позволяет указать путь для поиска (Обзор) Список доступных для поиска типов объектов, включая пользоиате Список Find (Найти) лей, контакты, группы, компьютеры, принтеры, общие папки, ОП, а также дополнительные параметры. В последнем случае система позволяет пользователю создать LDAP-запрос на основе введенных им параметров. Так, LDAP-запрос ОП=*ег* (введенный на вкладке Advanced) вернет имена ОП, содержащие комбинацию символов «ег».

например Domain Controllers Контекстно-зависимая вкладка для определения условий поиска, Вкладка Advanced предоставляющая множество параметров отбора пользователей, (Дополнительно) контактов, групп, компьютеров, общих папок и ОП. При поиске по дополнительным параметрам вкладка Advanced позволяет со дать запрос вручную или на основе атрибутов, распределенных по типам объектов на вкладке Custom Search (Особый поиск). Вкладка Custom Search предоставляет те же параметры поиска, что и вкладка Advanced Контекстно-зависимый перечень атрибутов для поиска выбранного Список Field (Поле) типа объектов. Расположен на вкладке Advanced Контекстно-зависимый перечень способов дальнейшей настрой ки Список Condition поиска по атрибутам. Расположен на вкладке Advanced (Условие) Позволяет указать значение поля (атрибута), используемого Поле Value (Значение) для поиска объекта в Active Directory. Находится на вкладке Advanced.

Для поиска объекта по атрибуту необходимо указать значение этого атрибута. Например, при поиске пользователей, имя которых начина ется с буквы R, необходимо в списке Field выбрать поле First ISame (Имя), в списке Condition выбрать условие Starts With (начинается) и в поле \klue ввести R Инициирует поиск с заданными параметрами Кнопка Find Now (Найти) Останавливает поиск. Когда вы щелкнете эту кнопку, будут вымедены Кнопка Stop элементы, найденные на текущий момент (Остановить) Глава Администрирование Active Directory Табл. 11-2. Элементы диалогового окна Find (окончание) Описание Элемент В списке в нижней части вкладки Advanced перечислены все задан Список условий ные вами условия поиска. Для задания условия поиска используются поиска списки Field и Condition, а также поле Value. Чтобы удалить условие поиска, выберите его из списка и щелкните кнопку Remove (Уда лить). Добавляя или удаляя условия, можно расширить или сузить область поиска Отменяет заданные параметры поиска Кнопка Clear All (Очистить все) Панель в нижней части окна Find, где отображаются результаты Панель результатов поиска fi find Users. Curtails. ai«l Groups Рис. 11-1. Поиск объектов Active Directory с помощью команды Find Практикум: поиск в Active Directory Сейчас вы попробуете найти в Active Directory объекты, соответствующие задан ным вами параметрам. Вы создадите учетные записи пользователей и попробуете найти их по номеру телефона. Затем вы найдете принтер, позволяющий брошю ровать печатаемые страницы.

Внимание! На вашем компьютере необходимо установить локальный принтер. Впро чем, реальное устройство печати вам не потребуется. Если локальный принтер еще не установлен, сделайте это. Помните, что термин «устройство печати» означает физическое устройство печати, а термин «локальный принтер» — программное обеспечение, необходи мое Windows 2000 для передачи данных на печать.

Занятие 1 Поиск объектов Active Directory ^ Задание 1;

создайте учетные записи пользователей 1. Зарегистрируйтесь в домене как Administrator (Администратор) и откройте оснастку Active Directory Users and Computers (Active Directory — пользователи и компьютеры).

2. В дереве консоли щелкните Users.

3. В меню Action (Действие) выберите команду New\User (Создать\Пользователь).

Обратите внимание — диалоговое окно New Object — User (Новый объект — пользова тель) сообщает, что новая учетная запись пользователя создается в папке Users вашего домена.

4. Создайте учетные записи, пользуясь данными табл. 11-3.

Табл. 11-3. Учетные записи пользователей для данного упражнения Change Pass First Name Last Name User Logon Name Password (Имя) (Фамилия) (Имя входа (Пароль) word (Изменить пользователя) пароль) User User20 Password Twenty По умолчанию User По умолчанию User21 Password Twentyone User По умолчанию User Twentytwo Password Включите всех пользователей в группу Print Operators (Операторы печати) или в дру гую группу, обладающую правом локально регистрироваться на котроллере домена.

5. Откройте окно свойств учетной записи User20 и на вкладке General (Общие) в поле Telephone Number (Номер телефона) наберите 555-1234.

>- Задание 2: найдите учетную запись пользователя в домене 1. В дереве консоли щелкните свой домен правой кнопкой и выберите команду Find (Найти).

Откроется диалоговое окно Find (Поиск).

Какие типы объектов доступны для поиска?

2. Убедитесь, что в поле Find выбран элемент Users, Contacts, And Groups (Пользователи, контакты и группы), и щелкните кнопку Find Now (Найти). Что вы увидите?

Заметьте, что в Windows 2000 можно выполнять поиск объектов, например учетных записей пользователей, независимо от их размещения.

3. В диалоговом окне Find Users, Contacts. And Groups (Поиск: Пользователи, контакты и группы) щелкните кнопку Clear All (Очистить все) и затем — ОК, чтобы подтвердить от мену результатов поиска.

4. В списке In (в) выберите свой домен.

5. Перейдите на вкладку Advanced (Дополнительно).

6. Щелкните список Field, выберите элемент User (Пользователь), при необходимости про крутите список и щелкните Telephone Number (Номер телефона).

Заметьте: Windows 2000 выберет в списке Condition (Условие) элемент Starts With (на чинается).

7. В поле Value (Значение) наберите 555 и щелкните кнопку Add (Добавить).

8. Щелкните кнопку Find Now (Найти).

В диалоговом окне Find Users, Contacts, And Groups появится учетная запись пользо вателя User20, для которого был задан номер телефона 555-1234.

9. Закройте диалоговое окно Find Users, Contacts, And Groups.

Администрирование Active Directory Глава ^ Задание 3: просмотрите сведения о принтерах в оснастке Active Directory Users and Computers 1. В меню View (Вид) выберите команду Users, Groups, And Computers As Containers (Пользователи, группы и компьютеры как контейнеры).

По умолчанию оснастка Active Directory Users and Computers не отображает принтеры.

Вам придется изменить параметры просмотра.

2. В дереве консоли раскройте узел Domain Controllers, чтобы увидеть свой компьютер.

Оснастка Active Directory Users and Computers отобразит ваш компьютер в дереве кон соли. Заметьте, что узел компьютера можно раскрыть, поскольку компьютер представ лен в виде контейнера.

3. В дереве консоли щелкните имя своего компьютера.

Оснастка Active Directory Users and Computers отобразит все принтеры вашего компь ютера как связанные с ним объекты.

4. Для просмотра свойств принтера дважды щелкните требуемый принтер.

5. В диалоговом окне свойств принтера щелкните флажок Staple (Сшиватель), чтобы ука зать, что данный принтер может брошюровать печатаемые страницы, и затем щелкни те ОК.

6. Сверните оснастку Active Directory Users and Computers.

7. Раскройте меню Start\Search\For Printers (Пуск\Поиск\Принтеры).

8. В диалоговом окне Find Printers (Поиск: Принтеры) перейдите на вкладку Features (Воз можности).

9. Щелкните флажок Can Staple (Сшивка).

10. В списке In (в) выберите свой домен и затем щелкните кнопку Find Now.

На панели результатов появятся сведения о принтере, свойства которого вы изменили.

11. Закройте диалоговое окно Find Printers.

Резюме Наиболее распространенные объекты Active Directory — это учетные записи пользовате лей, контакты, группы, обшие папки, принтеры, компьютеры, контроллеры домена и ОП.

Для поиска объектов надо открыть оснастку Active Directory Users and Computers, щелк нуть элемент дерева консоли правой кнопкой мыши и выбрать команду Properties (Свой ства). Диалоговое окно Find (Поиск) позволяет искать объекты Active Directory.

В практической части занятия вы выполнили поиск объектов Active Directory по за данным вами условиям.

Управление доступом к объектам Active Directory Занятие Занятие 2. Управление доступом к объектам Active Directory Для управления доступом к объектам Active Directory в Windows 2000 используется осно ванная на объектах модель безопасности, аналогичная применяемой Windows 2000 при реализации защиты NTFS. У каждого объекта Active Directory имеется дескриптор безо пасности, который определят список обладающих доступом лиц и предоставленный им тип доступа. Windows 2000 использует эти дескрипторы для управления доступом к ибъек там. Здесь обсуждается назначение разрешений объектам Active Directory.

Изучив материал этого занятия, вы сможете:

S назначать разрешения для управления доступом к объектам Active Directory.

Продолжительность занятия — около 20 минут.

Основы разрешений Active Directory Разрешения Active Directory обеспечивают защиту ресурсов, позволяя вам управлять дос тупом пользователей к отдельным объектам и их атрибутам.

Безопасность Active Directory Для определения круга лиц, обладающих доступом к объекту, а также типа предоставляе мого доступа воспользуйтесь разрешениями Active Directory. Чтобы пользователи могли обращаться к объекту, администратор или владелец объекта должен настроить разреше ния доступа. Windows 2000 хранит список разрешений доступа, называемый списком уп равления доступом (access control list, ACL) для каждого объекта. Список ACL объекта со держит перечень лип, обладающих доступом к объекту, а также перечень прав каждого из этих пользователей.

Разрешения применяются для предоставления пользователю или группе прав управле ния ОП, иерархией ОП или отдельным объекта без назначения административных разре шений на управление другими объектами Active Directory.

Разрешения для объектов Предоставляемые разрешения зависят от типа объекта. Разрешения, назначаемые различ ным типам объектов, иногда отличаются. Например, объекту-пользователю можно назна чить разрешение Reset Password, а объекту-принтеру — нельзя.

Пользователь может состоять в нескольких группах, каждая из которых обладает раз ными разрешениями, предоставляющими разные уровни доступа к объектам. Если вы назначаете пользователю разрешение для доступа к объекту и он является членом группы, которой было назначено другое разрешение, для доступа к объекту пользователи» будет предоставлена совокупность разрешений группы и его собственных. Например, если пользователь с разрешением Read состоит в группе, обладающей разрешением Write для того же объекта, действительными разрешениями пользователя будут Read и Write.

Разрешения можно активизировать или блокировать. Заблокированное разрешение пе рекрывает любые другие разрешения, которые позволили бы пользователю обратиться к объекту. Если вы заблокируете доступ к объекту, пользователь не сможет обратиться к нему, даже если он состоит в полномочной группе. Блокирование следует применять, толь ко если действительно необходимо запретить доступ к объекту пользователю, входящему в полномочную группу.

298 Администрирование Active Directory Глаш Примечание Убедитесь, что для каждого объекта определен хотя бы один пользователь с разрешением Full Control. Иначе возможна ситуация, когда пользователь (даже админист ратор) не сможет обратиться к объекту с помощью оснастки Active Directory Users and Com puters, пока не сменится владелец объекта.

Обычные и специальные разрешения Разрешения бывают обычные и специальные. Как правило, объектам присваиваются стан дартные разрешения, состоящие из специальных. Специальные разрешения позволяют более тонко настраивать доступ к объектам.

Например, стандартное разрешение Write состоит из специальных разрешений Write All Properties (Запись всех свойств), Add/Remove Self As Member (Добавить или удалить самого себя как члена) и Read (Чтение).

Ниже перечислены применяемые к большинству объектов обычные разрешения (у многих объектов также имеются специальные разрешения) и вид доступа, предоставля емого каждым из разрешений.

Табл. 11-4. Обычные разрешения для объектов и предоставляемый ими вид доступа Разрешение для объекта Права пользователя Full Control (Полный доступ) Позволяет изменять разрешения и становиться владельцем объекта, а также выполнять задачи, допускаемые остальными обычными разрешениями Read (Чтение) Позволяет просматривать объект, его атрибуты, сведения о владельце и разрешения Active Directory Write (Запись) Позволяет изменять атрибуты объекта Create All Child Objects Позволяет добавлять в ОП дочерние объекты любых типов (Создание всех дочерних объектов) Delete All Child Objects Позволяет удалять из ОП дочерние объекты любых типов (Удаление всех дочерних объектов) Назначение разрешений Active Directory Для задания атрибутов и стандартных разрешений объектам применяется оснастка Active Directory Users and Computers. Разрешения назначаются на вкладке Security (Безопасность) диалогового окна свойств объекта (рис. 11-2). Диалоговые окна свойств для каждого типа объектов различны.

Внимание! Для доступа к вкладке Security и назначения атрибутов стандартных разреше ний необходимо выбрать в меню View (Вид) команду Advanced Features (Дополнительные функции).

Если флажки в списке Permissions, (Разрешения) выделены серым цветом, значит объект унаследовал соответствующие разрешения от родительского объекта. Чтобы запре тить наследование разрешений от родительской папки, снимите флажок Allow Inheritable Permissions From Parent To Propagate To This Object (Переносить наследуемые от роди тельского объекта разрешения на этот объект).

Занятие 2 Управление доступом к объектам Active Directory Sara* ЙИТДИЧИВИИИШИШНМЮШШИЦ fJjAdmmisliatoi! (MICROSOFT\A*irdirjalois) {JI Authenticated U sets (5 Domain Adirms (MICROSOFT\Domam Adrmn fjl Enterprise AdmnsiMICROSOFTVEnterpfise A.

ППППП Ful Contid Reed Write CieateAIIChJdObiBils Ddele All Chid Objects Рис. 11-2. Задание разрешений Active Directory > Назначение объекту стандартных разрешений 1. Убедитесь, что в меню View (Вид) оснастки Active Directory Users and Computers ко манда Advanced Features (Дополнительные функции) помечена галочкой.

2. Щелкните объект, выберите в меню Action команду Properties и затем перейдите на вкладку Security (Безопасность) открывшегося окна свойств объекта.

3. Чтобы:

• добавить новое обычное разрешение, щелкните кнопку Add (Добавить), выберите требуемую учетную запись пользователя или группу, шелкните кнопку Add и затем шелкните ОК.;

• изменить существующее обычное разрешение, шелкните учетную запись пользова теля или группы.

4. В списке Permissions пометьте для каждого добавляемого или удаляемого разрешени я фла жок Allow (Разрешить) или Deny (Запретить).

Обычные разрешения позволяют выполнять большинство административных задач. Тем не менее иногда требуется просмотреть составляющие обычное разрешение специальные разрешения. На вкладке Security отображаются пользователи или группы, для которых не разрешены и не отменены стандартные разрешения;

это означает, что пользователю/груп пе предоставлены специальные разрешения. Для их просмотра следует щелкнуть кнопку Advanced (Дополнительно).

^ Просмотр специальных разрешений 1. На вкладке Security диалогового окна свойств щелкните кнопку Advanced.

2. В диалоговом окне Access Control Settings For (Параметры управления доступом для), аналогичном показанному на рис. 11-3, на вкладке Permissions (Разрешения) щелкни те элемент, который вы хотите просмотреть в списке Permission Entries (Элементы раз решений), и затем шелкните кнопку View/Edit (Показать/Изменить).

Администрирование Active Directory Глава птстэт1дтглгпьтз»1га1тшш j^emnsisis j Atdtomj: O^rer | Prameaof Er.jjtef Ejomar Acmirs IM U!. Special Ihisobje SYSTEM Full Contlol this ctiec Account Dpeialors (Ml. Special this objec Accamt Operator? (M Special this obiec Atow PiHDpaatori(MOO. Special thisobjec Admmstrators (MICROS. Special this objec Erterpliie Admins |M)Q. FullContiol (Ьвофс ' ;

-,,,.-,!-..,.,!•• Рис. 11-3. Диалоговое окно Access Control Settings For Users 3. В диалоговом окне Permission Entry For (Элемент разрешения для) данного объекта изучите специальные разрешения на следующих вкладках (рис. 11-4):

• Object (Объект) — специальные разрешения объекта, назначенные отдельному пользователю/группе;

• Properties (Свойства) — тип доступа (чтение или запись) пользователя/группы к кон кретным свойствам объекта.

Примечание Избегайте назначать разрешения доступа к специальным свойствам объекта — это усложняет администрирование сисгемы, так как возникают разного рода ошибки (на пример, не удается просмотреть объекты Active Directory и т.п.), не позволяющие поль зователям выполнять свои задачи.

Cfc*?cl j Propaiies j Hans. " • ', !.» = Alow Doty » D El Ful Conlrol a D List Contents и П ReadAJIPnperlies и D Write All Properlies...

El Detote 0 Delete Subtree 3 D Read Permissions ;

„: D Modily Permissions П В Modiljj Own» В i!

Al Validated Writes В All Extended RigHs iJ a El Create All CNd Otiecls a„ El Detele All Chid ObiecB Рис. 11-4. Диалоговое окно Permission Entry For Users Занятие 2 доступом к объектам Active Directory Использование наследования разрешений Аналогично наследованию разрешений папок и файлов, наследование разрешений объек тов Active Directory позволяет упростить назначение необходимых разрешений доступа.

Назначаемые разрешения распространяются на дочерние объекты, то есть наследуются всеми дочерними объектами от данного родительского объекта (рис. 11-5). Флажки насле дуемых разрешений затенены.

Например, группе можно назначить разрешение Full Control для доступа к содержаще му принтеры ОН и распространить это разрешение на все дочерние объекты группы. В результате все члены группы смогут администрировать все принтеры данного ОП.

Можно указать, что разрешения для данного объекта распространяются на все его до черние объекты или запретить наследование разрешений. При копировании унаследован ных разрешений объект изначально получает все разрешения родителя. Тем не менее лю бые разрешения для родительского объекта, измененные после запрета наследования, уже не распространяются на дочерние объекты. При удалении унаследованных разрешений Windows 2000 удаляет существующие разрешения для объекта и не назначает ему допол нительных разрешений. Вам потребуется вручную задать все необходимые разрешения.

• Наследование разрешений дочерними объектами Запрет наследования отменяет распространение разрешений i Allow inheritable permissions from parent to propagate to this object.

| OK 11 СапсеП j Apply] Рис. 11-5. Наследование разрешений и запрет наследования Запрет наследования разрешений Если флажок Allow Inheritable Permissions From Parent To Propagate To This Object снят, наследование разрешений блокируется, то есть дочерние объекты не получают никаких разрешений от родителя. При запрете наследования действуют лишь те разрешения, кото рые вы явно назначили объекту. Запретить наследование разрешений можно в диалого вом окне свойств на вкладке Security.

При запрете наследования Windows 2000 позволяет:

• скопировать для объекта унаследованные разрешения. Новые явные разрешения — это копия унаследованных разрешений для родительского объекта. После копирования вы сможете изменить разрешения согласно собственным требованиям;

• удалить унаследованные разрешения для объекта. Windows 2000 удаляет все унаследо ванные разрешения, и у объекта не остается каких-либо разрешений. Затем вы вправе назначить все необходимые разрешения.

Администрирование Active Directory Глава Практикум: управление доступом к объектам Active Directory Сейчас вы создадите ОП, включающее двух пользователей, и изучите параметры зашиты по умолчанию для этих объектов Active Directory.

Внимание! Во избежание потери доступа к разделам Active Directory не изменяйте какие либо параметры безопасности Active Directory при выполнении данного упражнения.

^ Задание 1: создайте ОП, включающее две учетные записи пользователей 1. Зарегистрируйтесь в домене как Administrator и откройте оснастку Active Directory Users and Computers.

2. В дереве консоли щелкните свой домен.

3. В меню Action выберите команду New\Organizational Unit (Создать\Подразделение).

4. В диалоговом окне New Object — Organizational Unit (Новый объект — Подразделе ние) в поле Name (Имя) наберите security 1 и щелкните ОК.

5. Создайте в ОП Security 1 учетную запись пользователя, набрав в поле First Name (Имя) и в поле User Logon Name (Имя входа пользователя) слово Assistant 1. Наберите пароль password и примите остальные значения по умолчанию.

6. В том же ОП создайте еще одну учетную запись, набрав в поле First Name и в поле User Logon Name слово Secretaryl. Наберите пароль password и примите остальные значе ния по умолчанию.

7. Добавьте обоих пользователей в группу Print Operators (Операторы печати) или другую группу, обладающую правом локального входа на контроллер домена.

> Задание 2: просмотрите разрешения, заданные Active Directory по умолчанию для ОП 1. В меню View (Вид) выберите команду Advanced Features (Дополнительные функции).

После этого вы сможете просматривать и настраивать разрешения Active Directory.

2. В дереве консоли щелкните объект Security! правой кнопкой и выберите в контекст ном меню команду Properties (Свойства).

3. Перейдите на вкладку Security (Безопасность).

4. Запишите в приведенную ниже таблицу группы, обладающие разрешениями доступа к ОП Security 1. Эта информация понадобится на занятии 5.

Табл. 11-5. Группы, обладающие разрешениями доступа к ОП Securityl Учетная запись или группа Установленные разрешения Как узнать, не наследуются ли какие-либо разрешения от домена (родительского объекта)?

Задание 3: просмотрите специальные разрешения ОП В диалоговом окне свойств ОП Securityl на вкладке Security (Безопасность) щелкните кнопку Advanced (Дополнительно).

Откроется диалоговое окно Access Control Settings For Securityl (Параметры управле ния доступом для Securityl).

Чтобы просмотреть специальные разрешения группы Account Operators (Операторы уче та), в списке Permission Entries (Элементы разрешений) выделите каждый элемент, отно сящийся к данной группе, и затем щелкните кнопку View/Edit (Показать/Изменить).

Занятие 2 Управление доступом к объектам Active Directory Откроется окно Permission Entry For Security! (Элемент разрешения для Securityl).

Какие разрешения объекта назначены группе Account Operators? Какие действия могут выполнять члены группы Account Operators в данном ОП? (Совет: проверьте в поле Permission Entries каждую запись разрешения, относящуюся к группе Account Operators).

Все ли объекты данного ОП наследуют разрешения, назначенные для группы Account Operators? Почему?

3. Закройте все диалоговые окна;

оснастку Active Directory Users and Computers не закры вайте.

^ Задание 4: просмотрите разрешения, назначаемые Active Directory по умолчанию для объек та-пользователя 1. В дереве консоли оснастки Active Directory Users and Computers щелкните Securityl.

2. В правой панеди щелкните Securityl правой кнопкой и выберите команду Properties.

3. Перейдите на вкладку Security.

4. Запишите в приведенную ниже таблицу группы, обладающие разрешениями доступа к учетной записи Secretaryl. Эта информация понадобится вам на занятии 5. Если в ди алоговом окне для какой-либо группы отображаются специальные разрешения, не включайте в список разрешения, для просмотра которых необходимо щелкнуть кноп ку Advanced.

Табл. 11-6. Разрешения для объекта Securityl Труппа Установленные разрешения Одинаковы ли обычные разрешения для объекта-пользователя и объекта-ОП? Почему?

Унаследованы ли какие-нибудь разрешения от родительского объекта Securityl? Как это узнать?

Какими правами обладают члены группы Account Operators в отношении объекта пользователя?

5. Закройте все программы и завершите рабочий сеанс.

Резюме У каждого объекта Active Directory имеется дескриптор безопасности, который определя ет список обладающих доступом лиц и предоставленный им тип доступа. Чтобы пользова тели могли обращаться к объекту, администратор или владелец объекта должен настроить разрешения доступа. Windows 2000 хранит список разрешений доступа, называемый спис ком управления доступом (access control list, ACL) для каждого объекта Active Directory.

Вы научились назначать объектам обычные и специальные разрешения. Стандартные разрешения — Full Control, Write, Read, Create All Child Objects и Delete All Child Objects.

Специальные разрешения позволяют более тонко настраивать доступ к объектам. Меха низм наследования разрешений объектов Active Directory позволяет упростить назначе ние необходимых разрешений доступа. Назначаемые разрешения распространяются и на дочерние объекты, то есть они наследуются всеми дочерними объектами данного роди тельского объекта. Наследование разрешений можно запретить.

Выполняя практикум, Вы создали ОП, включающее двух пользователей, и изучили стан дартные параметры безопасности этих объектов.

Администрирование Active Directory Глааа 3. Публикация ресурсов в Active Directory Как администратору, вам надо обеспечить безопасную и выборочную публикацию сете вых ресурсов пользователям сети, а также упростить пользователям поиск информации.

Каталог содержит необходимую информацию, позволяет быстро ее искать, а также при меняет встроенные механизмы безопасности Windows 2000 для управления доступом. Здесь рассказывается о публикации ресурсов в Active Directory.

Изучив материал этого занятия, вы сможете:

•S публиковать общие папки, принтеры и сетевые службы.

Продолжительность занятия — около 10 минут.

Публикация ресурсов в Active Directory К ресурсам, которые можно опубликовать в Active Directory, относятся такие объекты, как учетные записи пользователей, компьютеры, принтеры, папки, файлы и сетевые службы.

Публикация учетных записей пользователей и компьютеров Для добавления в каталог учетных записей пользователей и компьютеров применяется кон соль Active Directory Users and Computers (Active Directory — пользователи и компьютеры).

Сведения об учетных записях, полезных другим пользователям сети, публикуются автома тически. Прочая информация, например о системе безопасности, доступна лишь опреде ленным административным группам.

Публикация общих ресурсов Публикация данных об общих ресурсах (принтерах, папках и файлах) упрощает пользовате лям поиск этих ресурсов в сети. Сетевые принтеры Windows 2000 автоматически публику ются в каталоге при установке. Для публикации сведений о принтерах и общих папках Windows NT применяется консоль Active Directory Users and Computers.

^ Публикация обшей папки 1. Раскройте меню Start\Programs\Administrative Tools (Пуск\Программы\Администриро вание) и щелкните Active Directory Users And Computers (Active Directory — пользова тели и компьютеры).

2. В дереве консоли дважды щелкните узел домена.

3. Щелкните правой кнопкой контейнер, в который требуется добавить общую папку, и выберите команду New\Shared Folder (Создать\Общая папка).

4. В диалоговом окне New Object-Shared Folder (Новый объект — Общая папка) введите в поле Name (Имя) имя папки.

5. В поле Network Path (Сетевой путь) введите UNC-имя (\\cepeep \общий_ресурс\), кото рое требуется опубликовать в каталоге, и щелкните ОК.

Общая папка отобразится в выбранном вами контейнере каталога.

^ Публикация принтера Windows NT Примечание Перед публикацией в Active Directory необходимо установить принтер Win dows NT. Для этого раскройте меню Slart\Settings\ Printers (Пуск\Настройка\Принтеры).

Занятие 3 Публикация ресурсов в Active Directory 1. Раскройте меню Start\Programs\Administrative Tools и щелкните Active Directory Users And Computers.

2. В дереве консоли дважды щелкните узел домена.

3. В дереве консоли щелкните правой кнопкой контейнер, в котором требуется опублико вать принтер, выберите в контекстном меню команду New\Printer (Создать\Принтер).

4. В диалоговом окне New Object-Printer (Новый объект — Принтер) в поле Network Path Of The Pre-Windows 2000 Print Share (Сетевой путь к пред-Windows 2000 общему ресур су печати) наберите UNC-имя, которое требуется опубликовать в каталоге, и щелкни те ОК.

Принтер Windows NT отобразится в выбранном вами контейнере каталога.

Публикация сетевых служб Публикация сетевых служб (например, служб сертификации) в каталоге позволит адми нистраторам находить и управлять ими с помощью консоли Active Directory Sites and Services (Active Directory — сайты и службы). Публикуя службу, а не компьютер или сер вер, администраторы получают возможность управлять этой службой независимо оттого, какой компьютер ее предоставляет и где он расположен. Для публикации в каталоге до полнительных служб и приложений можно воспользоваться API-интерфейсами Active Directory.

Далее рассказано, как выполнить публикацию в каталоге. Постарайтесь уяснить, как Active Directory работает со службами.

Типы сведений о службе Наиболее часто в Active Directory публикуются сведения о привязке и конфигурации.

• Сведения о привязке позволяют пользователям подключаться к службам, не имеющим известных привязок. Публикуя привязки для таких служб, Windows 2000 получает воз можность автоматически к ним подключаться. Службы, ассоциируемые с конкретны ми машинами, обычно управляются в индивидуальном порядке и не должны публико ваться в каталоге.

• Конфигурационные сведения могут совместно использоваться клиентскими приложе ниями. Публикация этой информации позволяет знакомить с текущей конфигурацией этих приложений всех клиентов домена. Клиентские приложения по мере необходи мости обращаются к конфигурационным сведениям. Это упрощает пользователям на стройку приложения и позволяет администратору более эффективно управлять его работой.

Параметры сведений о службе Публикуемые в каталоге сведения о службе наиболее эффективны, если они:

• полезны многим клиентам. Информацию, полезную лишь небольшому кругу пользова телей или пользователям отдельных сегментов сети, публиковать не стоит;

• относительно стабильны и неизменны. Конечно, бывают и исключения из этого прави ла, однако в большинстве случаев рекомендуется публиковать сведения, изменяющие ся за три и более интервалов репликации. Для внутрисайтовой репликации максималь ный временной интервал составляет 15 минут, а для межсайтовой репликации OF зада ется в соответствии с интервалом репликации используемой связи сайтов. Репликация часто меняющихся свойств объектов требует дополнительных сетевых ресурсов. Зна чения свойств остаются неизменными, пока не будут опубликованы обновления. Иног да публикация осуществляется лишь по прошествии максимального времени реплика Администрирование Active Directory Глава ции. Соответственно, наличие устаревших значений свойств в этот период не должно вызывать проблем. Например, некоторые сетевые службы при каждом запуске выби рают для себя действительный TCP-порт. Далее служба обновляет соответствующую информацию в каталоге Active Directory и сохраняет новые сведения как объект Service Connection Point (SCP). Если клиенту необходимо воспользоваться данной службой, он обращается к объекту SCP. Тем не менее, если к этому моменту новый объект SCP не был реплицирован, клиент получит устаревший номер порта, при подключении по которому сообщается о временной недоступности службы;

• четко определены и обоснованы. Согласованность представления сведений упрощает их использование службами. Объем информации должен быть относительно небольшим.

Пример публикации службы *• Настройка разрешений безопасности и делегирование управления шаблонами сертификатов 1. Зарегистрируйтесь в системе как Administrator.

2. Раскройте меню Start\Programs\Administrative Tools и щелкните Active Directory Sites And Services (Active Directory — сайты и службы).

3. В дереве консоли щелкните Active Directory Sites And Services (Active Directory — сайты и службы).

4. В меню View (Вид) выберите команду Show Services Node (Показать узел служб).

5. В дереве консоли раскройте узел Active Directory Sites And Services\Services\Public Key Services и щелкните Certificate Templates.

6. Дважды щелкните каждый шаблон сертификата, для которого требуется настроить раз решения безопасности. Откроется соответствующее окно свойств.

7. В окне свойств шаблона сертификата перейдите на вкладку Security (Безопасность) и задайте необходимые разрешения.

8. Щелкните ОК.

Изменения распространяются лишь на шаблоны сертификатов текущего домена.

Резюме Вы научились публиковать общие папки, принтеры и сетевые службы в Active Directory.

Перемещение объектов Active Directory Занятие 4. Перемещение объектов Active Directory При изменении организационной или административной структуры, например при пере ходе сотрудника из одного отдела в другой, вам приходится перемешать объекты Active Directory. Сейчас мы расскажем о перемещении объектов Active Directory в пределах до мена и между доменами.

Изучив материал этого занятия, вы сможете:

S перемещать объекты в пределах домена и между доменами;

S перемешать рабочие станции и рядовые серверы между доменами;

•S перемешать контроллеры домена между сайтами.

Продолжительность занятия — приблизительно 20 минут.

Перемещение объектов В логической среде объекты службы Active Directory можно перемещать в пределах доме на и между доменами. В физической среде разрешается перемещать контроллеры доменов между сайтами.

Перемещение объектов в пределах домена Для упрощения администрирования объекты домена с идентичными требованиями безо пасности можно поместить в единый контейнер или ОП. После этого Вы вправе назна чать разрешения этому контейнеру или ОП и всем расположенным в них объектам.

^ Перемещение объектов в пределах домена 1. В оснастке Active Directory Users and Computers выделите перемещаемый объект и выбери те в меню Action команду Move (Переместить).

2. В одноименном окне выберите ОП или контейнер, в который требуется переместить объект, и щелкните ОК (рис. 11-6).

Помните, что при перемещении:

• разрешения, назначенные непосредственно объектам, не изменяются;

• объекты наследуют разрешения нового ОП или контейнера. Разрешения старого кон тейнера или ОП перестают действовать;

• можно работать с несколькими объектами.

< гШ Action V-P !

*, Ш O ;

^f Е *etuf*y'l 'jobiett «S«ln«rto««a»ebJK*1s Рис. 11-6. Диалоговое окно Move (Переместить) Администрирование Active Directory Глава Примечание Чтобы упростить назначение разрешений принтерам, переместите принтеры, подключенные к разным серверам печати и требующие одинаковых разрешений, в одно ОП или контейнер. Принтеры сервера печати находятся в объекте Computer. Чтобы просмотреть принтеры, в меню View выберите команду Users, Groups, And Computres As Containers (Поль зователи, группы и компьютеры как контейнеры).

Перемещение объектов между доменами Для поддержки консолидации доменов или отражения изменений в структуре предприятия Windows 2000 позволяет перемещать объекты между доменами. Средствами утилиты команд ной строки MOVETREE вы сможете с некоторыми исключениями перемещать различные объекты Active Directory, например ОП, учетные записи пользователей и группы, между до менами одного леса. Утилита MOVETREE входит в состав набора утилит Windows 2000 Support Tools, расположенного в папке \SUPPORT\TOOLS компакт-диска Windows 2000. Подробнее об установке Windows 2000 Support Tools — в главе 3.

Процедура перемещения объекта (подчиненного или корневого) подразумевает выде ление существующего объекта и перемещение его в существующий корень. Составное имя объекта отражает его новое положение в иерархии. Глобально уникальный идентификатор (globally unique identifier, GUID) объекта при перемещении или переименовании не изме няется.

После перемещения из одного домена в другой объектам пользователей и групп при сваивается новый идентификатор безопасности (security identifier, SID). Для сохранения реквизитов безопасности учетной записи, перемещаемой между доменами, Windows поддерживает SIDHistory — атрибут безопасности, доступный только в основном режиме Windows 2000. Чтобы упростить изменение списков управления доступом (access control list, ACL) и повторное назначение прав доступа к ресурсам при перемещении пользователей и групп из одного домена в другой, прежний SID добавляется к атрибуту SIDHistory нового объекта. При входе пользователя в систему все идентификаторы безопасности из его журнала SID (SID history), а также все идентификаторы из журнала SID его группы добав ляются к маркеру доступа, и пользователю назначаются все ранее имевшиеся у него раз решения и права собственности на ресурсы.

Утилита MOVETREE позволяет переместить ОП в другой домен, не затрагивая при этом связанные объекты групповой политики (group policy object, GPO) старого домена. Ссылка на прежний GPO также перемещается и продолжает работать, и клиенты получают пара метры групповой политики от объектов GPO в старом домене. Подробнее о групповой политике — в главе 12.

Операции, поддерживаемые утилитой MOVETREE • Перемещение объекта или непустого контейнера в другой домен в пределах одного леса.

• Перемещение локальных и глобальных групп домена между доменами без перемеще ния их членов и в пределах домена с перемещением членов;

возможно лишь в пределах одного леса.

• Перемещение универсальных групп со всеми членами в пределах и между доменами одного леса.

Занятие 4 Перемещение объешю Active Directory Операции, не поддерживаемые утилитой MOVETREE Некоторые объекты и сведения не перемещаются. Такие объекты называются потерянны ми (orphaned) и помещаются в соответствующий подконтейнер контейнера LostAndFound исходного домена. Чтобы увидеть данный контейнер, включите в меню View оснасти и Ас tiveDirectory Users and Computers отображение дополнительных сведений. Имя контей нера для потерянных объектов соответствует GUID перемещаемого родительского кон тейнера, последний содержит объекты, перемещенные с помощью MOVETREE. В част ности, MOVETREE не способна перемещать:

• локальные и глобальные группы домена. Универсальные группы перемешаются вместе со всеми членами, и поэтому проблем с системой безопасности не возникает;

• сведения о членстве в домене для объектов Computer. Утилита MOVETREE способна переместить объект Computer из одного домена в другой вместе с подчиненными объек тами. Тем не менее MOVETREE не отключает компьютер от исходного и не делает его членом конечного домена. В связи с этим для перемещения объектов Computer реко мендуется использовать утилиту NETDOM;

• данные, связанные с объектом, в том числе групповые политики, профили пользова телей, сценарии входа в систему, личные данные пользователей, зашифрованные фай лы, смарт-карты и сертификаты открытого ключа. Групповые политики должны рас пространяться на пользователей, группы и компьютеры. Обязательное условие, чтобы новые смарт-карты и сертификаты были выданы центром сертификации в новом до мене. Для этого утилиту MOVETREE рекомендуется использовать совместно с допол нительными сценариями или административными утилитами, например с Remote Administration Scipts;

• системные объекты — объекты, атрибут objectClass которых помечен как systemOnly;

• объекты в контекстах конфигурации и схем именования;

• объекты из специальных контейнеров домена (Builtin, ForeignSecurityPrincipals и LostAndFound);

• контроллеры домена, а также их прямых потомков;

• объекты с именами, идентичными имеющимся в конечном домене.

Ниже описываются ситуации, вызывающие сбои в работе MOVETREE:

• контроллер исходного домена не может перенести владельца роли хозяина относитель ных идентификаторов;

• исходный объект заблокирован другой операцией. Например, пользователь в теку щий момент создает дочерние объекты для перемещаемого объекта;

• реквизиты исходного или конечного домена неверны;

• в отличие от исходного домена, конечный домен знаег, что исходный объект удален, Например, исходный объект был удален на контроллере другого домена, однако из-за задержек в репликации контроллер исходного домена еще не извещен об этом;

• сбой на контроллере конечного домена. Например, диск заполнен;

• не совпадают схемы на исходном и конечном доменах.

Перемещение объектов пользователей Помните, что перемещение не выполняется:

• если объект User содержит какие-либо вложенные объекты. Данный объект не должен иметь потомков;

• если не соблюдены ограничения, накладываемые диспетчером учетных записей безо пасности (security accounts manager, SAM). Например, samAccountName пользователя уже существует в конечном домене или длина пароля пользователя не соответствует требо ваниям конечного домена;

310 Администрирование Active Directory Глава • объект User является членом глобальной группы исходного домена. При этом также аннулируется членство пользователя в группе. Настоящее ограничение вызвано тем, что глобальная группа не может включать членов из других доменов.

Тем не менее существует и одно исключение: если пользователь состоит в группе Domain Users (не являясь одновременно членом других глобальных групп) и та входит в основную группу объекта User, перемещение выполняется. Это связано с тем, что при создании объекта User система автоматически помещает его в группу Domain Users и на значает ее основной группой для данного пользователя.

Перемещение групп Помните, что перемещение не выполняется, если:

• объект Group содержит вложенные объекты;

• прямое и обратное членство группы не соответствуют требованиям к ее типу;

• идентичный атрибут samAccountName группы уже существует в конечном домене.

Перемещение объектов между доменами с помощью утилиты MOVETREE Прежде чем воспользоваться утилитой MOVETREE, убедитесь, что вы обладаете всеми необходимыми разрешениями. Например, проверьте, есть ли у вас права на создание объектов в исходном и конечном доменах. С утилитой MOVETREE можно работать из командной строки;

кроме того, ее разрешается вызывать в пакетных файлах для разработ ки сценариев создания учетных записей пользователей и групп.

^ Перемещение объектов между доменами с помощью MOVETREE 1. Откройте сеанс MS-DOS и наберите в командной строке movetree {/start | /startnocheck | /continue | /check} /s SrcDSA /d DstDSA /sdn SrcDN /ddn DstDN [/u [Domain\] Username /p Password] [/verbose] [{/? [/help}] Используемые параметры:

• /start — запускает операцию перемещения. По умолчанию также используется пара метр /check. Чтобы выполнить перемещение объекта без проверки, запустите MOVET REE с параметром /startnocheck;

• /continue — продолжает выполнение ранее приостановленной или отказавшей опера ции MOVETREE;

• /check — тестирует операцию MOVETREE (проверяет дерево без перемещения каких либо объектов);

• /s SrcDSA — полное основное DNS-имя исходного сервера;

• /s DstDSA — полное основное DNS-имя конечного сервера;

• /snd SrcDN — составное имя объекта, контейнера или поддерева, перемещаемого из исходного домена;

• /snd DstDN — составное имя объекта, контейнера или поддерева, перемещаемого в конечный домен;

• /u [Domam\\Username /p Password — запускает утилиту MOVETREE с переданными именем пользователя (Username) и паролем (Password}. Также можно указать домен (Domain}. Если эти аргументы не заданы, MOVETREE работает с реквизитами текуще го пользователя;

• /verbose — запускает MOVETREE в режиме вывода информации о выполняемой опе рации (необязательный параметр);

• /? или /help — выводит справку по синтаксису.

Занятие 4 Перемещение объектов Active Directory Пример использования команды MOVETREE В домене Marketing имеется сервер Server! и ОП Promotions. В домене Sales существует сервер Server2. Вам необходимо переместить ОП Promotions из домена Marketing в домен Sales и переименовать его в Sales Promotions. Утилита MOVETREE выполняет предвари тельную проверку и при отсутствии ошибок выполняет требуемую операцию:

•novetree /start /s Server"!.Marketing, Reskit.Com /d Server2. Sales. Reskit. cor / sdn OU=Promotions, DC=Marketing,DOReskit,DC=Com /ddn OU-Sales Promotions, QC=Sales. DC=Reskit ! DOCom Файлы журнала MOVETREE При работе MOVETREE в папке, где выполнялась операция, создаются следующие фай лы журнала:

• MOVETREE.ERR — содержит сведения обо всех ошибках в процессе перемещения;

• MOVETREE.LOG — содержит статистические данные о результатах перемещения;

• MOVETREE.CHK — содержит сведения обо всех ошибках и конфликтах, выявленных в ходе предварительной проверки.

Перемещение рабочих станций и рядовых серверов между доменами Для перемещения рабочих станций и рядовых серверов между доменами можно воспользо ваться приложением NETDOM: Windows 2000 Domain Manager. NETDOM входит в состав комплекта утилит Windows 2000 Support Tools, записанного в папке \SUPPORT\TOOLS ком пакт-диска Windows 2000. Подробнее об установке Windows 2000 Support Tools — в главе 3.

>- Перемещение рабочих станций и рядовых серверов между доменами 1. Откройте сеанс MS-DOS и наберите в командной строке netdom move /D:domain [/OU:ou_ path] [/Ы-.User/Pu:{Ptassward\*}] [/Uo:t^er/Po:{Password|*}] [/Reboot:[time_in_seconds]] Используемые параметры:

• /domain — имя домена, в который перемещается рабочая станция или рядовой сервер;

• /OU:ou_porA — имя конечного ОП в новом домене (/D:domain);

• /Vd:User — учетная запись пользователя для подключения к домену, указываемому в параметре /D. Если данный параметр не задан, применяется учетная запись текущего пользователя;

• /Pd: {password]*} — пароль пользователя, чья учетная запись указана в параметре /Ud.

Если указана звездочка (*), вам будет предложено ввести пароль;

• /Uv.Llser — учетная запись пользователя для подключения к перемещаемому объекту.

Если данный параметр не задан, применяется учетная запись текущего пользователя;

• /Pd:{password]*} — пароль пользователя, чья учетная запись указана в параметре /Uo.

Если указана звездочка (*), вам будет предложено ввести пароль;

• /Reboot:[time_in_seconds] — интервал времени в секундах, по истечении которого пере мещаемый компьютер после завершения операции перезагрузится. По умолчанию — 20 секунд.

Пример использования команды NETDOM Следующая команда перемещает рабочую станцию mywksta из текущего домена в домен mydomain.

netdom move /d:mydomain mywksta /ud:mydomain\admin /pd:password Глава Администрирование Active Directory Если конечный домен является доменом Windows 2000, журнал SID рабочей станции обновляется, и за учетной записью компьютера сохраняются все старые разрешения.

Перемещение контроллеров домена между сайтами В большинстве случаев контроллер домена устанавливается в дополнение к имеющимся в сайте контроллерам. Исключением является ситуация, когда вы устанавливаете первый контроллер домена;

при этом автоматически создается сайт с именем Default-First-Site Name. Первый контроллер домена нельзя создать в каком-либо сайте, кроме Default-First Site-Name;

тем не менее вы вправе создать контроллер домена в сайте с имеющимися кон троллерами и затем переместить его в другой сайт. Таким образом, после установки пер вого контроллера домена и создания сайта Default-First-Site-Name разрешается создавать дополнительные контроллеры и перемещать их в другие сайты.

Аналогичную процедуру используют и для перемещения рядовых серверов между до менами.

Перемещение контроллеров домена между сайтами В оснастке Active Directory Sites and Services выделите требуемый контроллер домена и в меню Action выберите команду Move (Переместить).

В диалоговом окне Move Server (Перемещение сервера) выберите сайт, куда требует ся переместить контроллер, и щелкните ОК (рис. 11-7).

i G.-it? Cpnscfe tjSSndew ТЗЙ* - т, •• 1 &№ S*W :! *=* ** 1 t •,jik 5 efect iHs ato if al ihcdd coruain tre уЩЗШВ ' JJ Active Directory Sites and 5eri ;

: i^3 Sites f) Chic s- | Chicago "*' ^"^ servers !t -l Subnets il !

•'j ;

JU Рис. И-7. Диалоговое окно Move Server (Перемещение сервера) Практикум: перемещение объектов в пределах домена Вы переместите три учетных записи пользователей из одного ОП в другое и затем # ~ ^ попытаетесь зарегистрироваться в системе под новой учетной записью.

^ Задание 1: переместите объекты в пределах домена 1. Зарегистрируйтесь в системе как Administrator и запустите оснастку Active Directory Users and Computers.

2. В дереве консоли щелкните узел Users.

3. Выделите учетные записи User20, User21, User22, созданные вами на занятии 1. Для этого удерживайте клавишу Ctrl и поочередно щелкните все три записи.

Занятие 4 Перемещение объектов Active Directory 4. В меню Action выберите команду Move (Переместить).

5. В одноименном окне раскройте узел своего домена, выделите Securityl (ОП, создан ное на занятии 2) и щелкните ОК.

Заметьте, что перемещенные учетные записи больше не отображаются в контейнере Users.

6. Убедитесь, что учетные записи перемешены, раскрыв в дереве консоли узел Securityl.

Заметьте, что учетные записи теперь находятся в ОП Securityl.

7. Закройте окно оснастки Active Directory Users and Computers.

^ Задание 2: зарегистрируйтесь в системе как пользователь, состоящий в нестандартном ОП 1. Зарегистрируйтесь в системе как User21.

Потребовала ли Windows 2000 указать ОП, к которому относится данная учетная за пись? Почему?

2. Завершите рабочий сеанс.

Резюме Вы научились перемешать объекты в пределах доменов службы Active Directory с помощью диалогового окна Move, объекты между доменами средствами утилиты командной сфоки MOVETREE, а также рабочие станции и рядовые серверы между доменами с применением УТИЛИТЫ NETDOM. Кроме того, вы узнали, как перемещать контроллеры домена между сайтами с помощью диалогового окна Move Server.

Выполняя практикум, вы переместили объект домена, воспользовавшись диалоговым окном Move оснастки Active Directory Users and Computers, из одного контейнера в другой.

12-43- 314 Администрирование Active Directory Глава Делегирование управления объектами Active Directory Здесь рассказано о делегировании управления объектами пользователям. Вы научитесь работать с мастером Delegation Of Control, а также изучите рекомендации по делегирова нию управления.

Изучив материал этого занятия, вы сможете:

•S делегировать управление ОП и объектами.

Продолжительность занятия — около 20 минут.

Рекомендации по делегированию управления Для делегирования управления объектом вы назначаете ему разрешения, позволяющие пользователям и группам администрировать это объект. Администратор вправе назначить пользователю разрешение на:

• изменение свойств определенного контейнера;

• создание, изменение или удаление объектов определенного типа в конкретном ОП или контейнере;

• изменение определенных свойств объектов заданного типа в специальном ОП или кон тейнере.

Поскольку контролировать разрешения на уровне ОП или контейнера проще, чем на уровне объектов или их атрибутов, наиболее распространенный метод делегирования уп равления — назначение разрешений на уровне ОП или контейнера. Это позволит вам де легировать управление объектами, содержащимися в ОП или в контейнере. Для назначе ния разрешений на уровне ОП или контейнера применяется мастер Delegation Of Control.

Например, для делегирования управления можно назначить администратору разреше ние Full Control для ОП, причем только в пределах его ответственности. Делегируя управ ление ОП администраторам, вы децентрализуете администрирование, что помогает сни зить связанные с ним затраты времени и денег.

Для делегирования управления рекомендуется:

• при каждой возможности назначать управление на уровне ОП или контейнера — это упрощает контроль разрешений. Контроль разрешений для объектов и их атрибутов сложен;

• использовать мастер Delegation Of Control, назначающий разрешения исключительно на уровне ОП или контейнера. Его применение упростит процесс назначения разре шений для объектов;

• контролировать делегирование назначений разрешений. Это позволит вести журнал, в котором можно быстро выяснить параметры безопасности;

• придерживаться бизнес-требований. Следуйте всем существующим в компании пра вилам делегирования управления.

Мастер Delegation Of Control Мастер Delegation Of Control (Мастер делегирования управления) шаг за шагом проведет вас через все этапы назначения разрешений на уровне ОП или контейнера. Более слож ные разрешения придется назначать вручную.

Занятие 5 Делегирование управления объектами Active Directory В окне Active Directory Users and Computers щелкните ОП или контейнер, для которо го требуется делегировать управление, и выберите в меню Action команду Delegate Control (Делегирование управления). Запустится мастер Delegation Of Control, параметры которо го описаны в табл. 11-7.

Табл. 11-7. Параметры мастера Delegation Of Control Параметр Назначение Users Or Groups Позволяет выбрать учетные записи или группы, которым (Пользователи или группы) требуется делегировать управление Tasks To Delegate Позволяет выбрать обычные задачи из списка или создать (Делегируемые задачи) собственные делегируемые задачи Active Directory Object Type Позволяет выбрать область действия делегируемых задач:

(Тип объекта Active Direc- This Folder, Existing Objects In This Folder, And Creation Of New tory) (параметр доступен, Objects In This Folder (Этой папкой и существующими в ней только если выбраны конк- объектами, созданием новых объектов в новой папке) ретные делегируемые задачи) или Only The Following Objects In This Folder (Только следую щими объектами в этой папке) Permissions (Разрешения) Позволяет выбрать одно из следующих разрешений (параметр доступен, только для делегирования: General (Общие) — обычно назначаемые если выбраны конкретные разрешения, доступные для данного объекта;

делегируемые задачи) Property-Specific (Разрешения для свойств) — разрешения, которые можно назначить атрибутам объекта;

Creation/Deletion Of Specific Child Objects (Разрешения для создания или удаления дочерних объектов) — разрешения для создания и удаления дочерних объектов Рекомендации по администрированию Active Directory • В больших организациях координируйте структуру Active Directory с другими админи страторами. Вы можете переместить объекты и позже, однако это, скорее всего, при ведет к лишней работе.

• При создании объектов Active Directory (учетных записей пользователей и т. п.) укажи те все значимые для вашей организации атрибуты. Это значительно расширит вошож ности поиска объектов.

• Избегайте блокировать разрешения. Если разрешения назначены правильно, блоки ровать их не придется. В большинстве случаев необходимость блокирования разреше ний указывает на ошибки распределения пользователей по группам.

• Убедитесь, что для каждого объекта определен хотя бы один пользователь с разрешени ем Full Control (Полный доступ). Иначе могут появиться недоступные объекты.

• Убедитесь, что пользователи, которым делегировано управление,— ответственные люди и на них можно положиться. Вы, как администратор, в конечном счете, несете ответ ственность за все административные изменения. Если пользователи, которым делеги ровано управление, не выполняют административных задач, вам придется исправлять их ошибки.

• Обеспечьте обучение пользователей, управляющих объектами. Добейтесь, чтобы поль зователи, которым делегирована ответственность, понимали свои обязанности и зна ли, как выполнять задачи администрирования.

316 Администрирование Aciive Directory Глава Практикум: делегирование управления в Active Directory Сейчас вы попробуете делегировать пользователю управление объектами, содер жащимися в ОП. Для ответов на вопросы данного упражнения обратитесь к таб лицам, заполненным на занятии 2.

Задание 1: проверьте текущие разрешения >• 1. Зарегистрируйтесь в домене, используя учетную запись Assistant! и пароль password.

2. Откройте консоль Active Directory Users and Computers.

3. В дереве консоли раскройте свой домен и щелкните Securityl.

Какие объекты-пользователи отображаются в ОП Securityl?

Какие разрешения позволяют вам видеть эти объекты? (Совет: см. таблицы, заполнен ные вами на занятии 2.) Для учетной записи Secretary! измените время входа в систему. Удалось ли вам -это?

Почему?

Измените время входа в систему для учетной записи Assistant!. Удалось ли вам это?

Почему?

4. Закройте консоль Active Directory Users and Computers и завершите рабочий сеанс.

^ Задание 2: назначьте разрешения Active Directory с помощью мастера Delegation Of Control 1. Зарегистрируйтесь в домене как Administrator и откройте консоль Active Directory Users and Computers.

2. В дереве консоли разверните свой домен.

3. Щелкните Securityl и выберите в меню Action команду Delegate Control (Делегирова ние управления).

4. В окне мастера Delegation Of Control щелкните Next.

Откроется окно Users Or Groups (Пользователи или группы).

Обратите внимание, что мастер не отображает какие-либо учетные записи или груп пы. Вы добавите учетную запись и затем делегируете ей управление.

5. Щелкните кнопку Add.

Откроется диалоговое окно Select Users, Computers, Or Groups.

6. Выберите Assistant!, щелкните кнопку Add и затем — ОК.

7. Щелкните Next.

Откроется окно Tasks To Delegate (Делегируемые задачи). Здесь можно выбрать для делегирования обычные задачи или создать собственную.

8. Убедитесь, что выбран переключатель Delegate The Following Common Tasks (Делеги ровать следующие обычные задачи) (это необходимо только для данного упражнения), пометьте флажок Create, Delete, And Manage User Accounts (Создание, удаление и уп равление учетными записями пользователей) и шелкните Next.

Откроется окно Completing The Delegation Of Control Wizard (Завершение работы мас тера делегирования управления).

9. Изучите данные.

• Если все параметры указывают, что пользователю Assistant! делегировано управле ние всеми объектами, щелкните кнопку Finish (Готово).

• Для изменения параметров щелкните Back (Назад).

10. Закройте консоль Active Directory Users and Computers и завершите рабочий сеанс.

Занятие 5 Делегирование управлений объектами Active Directory ^ Задание 3: проверьте делегированные разрешения 1. Зарегистрируйтесь в домене как Assistant 1 с паролем password.

2. Откройте консоль Active Directory Users and Computers.

3. В дереве консоли раскройте свой домен и щелкните Security!.

4. Попытайтесь изменить время входа в систему для учетных записей из ОП Securilyl.

Удалось ли вам это? Почему?

5. Попытайтесь изменить время входа в систему для учетной записи из контейнера Users.

Удалось ли вам это? Почему?

Резюме Вы можете делегировать административный контроль над объектами пользователям, что бы разрешить им выполнение административных задач.

Назначение разрешений на уровне ОП или контейнера позволяет делегировать адми нистрирование над содержащимися в ОП или в контейнере объектами. Вы научились ис пользовать мастер Delegation Of Control для делегирования управления объектами. Также вы изучили рекомендации по делегированию контроля. Выполняя практикум, вы исполь зовали мастер Delegation Of Control для делегирования пользователю контроля над о(уьек тами в ОП.

318 Администрирование Active Directory Глава Занятие 6, Резервное копирование Active Directory Это занятие посвящено резервному копированию данных. Для архивации необходимо выполнить некоторые подготовительные операции, а затем воспользоваться мастером Backup. На этом занятии вы также научитесь планировать и применять автоматическое резервное копирование.

Изучив материал этого занятия, вы сможете:

S создать резервную копию Active Directory на локальном компьютере;

S спланировать резервное копирование Active Directory.

Продолжительность занятия — около 20 минут.

Подготовительные операции Важная часть резервного копирования Active Directory — выполнение подготовительных операций. Например, следует проверить, закрыты ли файлы, которые вы собираетесь ар хивировать. Прежде чем начать резервное копирование, отправьте пользователям сооб щение с просьбой закрыть файлы. Сеансы приложений, запущенных системами или пользователями, известить которых не представляется возможным (например, пользова тель подключился через Интернет), будут завершены, Windows Backup не архивирует фай лы, заблокированные приложениями. Для рассылки административных сообщений стоит воспользоваться электронной почтой или диалоговым окном Send Console Message (От правка сообщения консоли);

последнее доступно в оснастках Computer Management (Уп равление компьютером). Services (Службы) и Shared Folders (Общие папки).

При использовании съемных носителей убедитесь, что:

• устройство резервного копирования подсоединено к компьютеру сети и включено. При архивировании на ленту ленточный накопитель следует подключить к системе, на ко торой запушено приложение Windows Backup;

• соответствующее устройство перечислено в списке совместимых с Windows 2000 уст ройств (Hardware Compatibility List, HCL);

• носитель вставлен в устройство. Например, кассета магнитной ленты — в ленточный накопитель.

Мастер архивации Завершив подготовительные операции, можно архивировать Active Directory с помощью мастера Backup.

** Запуск мастера архивации 1. Зарегистрируйтесь в домене как Administrator. Раскройте меню Start\Programs\Accesso ries\System Tools (Пуск\Программы\Стандартные\Служебные) и щелкните Backup (Ар хивация данных).

2. Щелкните кнопку Backup (Мастер архивации) на вкладке Welcome (Добро пожаловать).

3. Щелкните Next, чтобы начать работу с мастером. Укажите требуемые параметры в ок нах What To Back Up (Что следует архивировать). Where To Store The Backup (Rie хра нить архив) и при необходимости задайте дополнительные параметры архивации.

4. В окне Completing The Backup Wizard (Завершение работы мастера архивации) щелк ните кнопку Finish (Готово).

Занятие 6 Резервное копирование Active Directory Окно What to Back Up Первое, что надо сделать, начав резервное копирование Active Directory с помощью масте ра архивации, — указать, что вы собираетесь архивировать лишь данные состояния системы (System State) (рис. 11-8).

WhalloBackUp You can specify the item? you want to back up Seied wiiai you want to back up:

<" 8«&upp«rylhinganrr4«CQm f'- Back-yp selected lilesvdaves, ot naiwoik data Рис. 11-8. Окно What To Back Up (Что следует архивировать) мастера архивации В серверных ОС Windows 2000 данные о состоянии системы включают реестр, базу дан ных регистрации классов СОМ+, системные загрузочные файлы и базу данных служб сер тификации (если это сервер сертификации), Если сервер — контроллер домена, данные о состоянии системы также содержат Active Directory и каталог SYSVOL. Архивирование или восстановление данных о состоянии системы касается всего локального компьютера;

нельзя выполнить эти операции только для отдельных данных, так как они взаимосвязаны. Разре шено архивировать данные о состоянии только локальной, но не удаленной системы, Окно Where to Store the Backup Сейчас мы расскажем о носителях для резервного копирования (рис. 11-9).

Where to Store the Backup Youi backed-ц] data is stcied on the media in the destination you specily ^ndthen enter (ha name of ihemeAa и lecew?

Рис. 11-9, Окно Where To Store The Backup (Где хранить архив) мастера архивации Администрирование Active Directory Глава В табл. 11-8 описаны параметры носителя, которые следует указать.

Табл. 11-8. Параметры носителя для резервного копирования Параметр Описание Backup Media Type Используемый носитель (например, лента или файл). Файл (Тип носителя архива) может находиться на любом дисковом носителе, включая жесткий диск, общую сетевую папку или съемный диск Backup Media Or File Name Место, где Windows Backup сохранит данные. При использова (Носитель архива или нии ленты введите имя ленты. Иначе введите путь к файлу имя файла) резервного копирования После того как вы предоставите сведения о носителе, мастер архивации отобразит от чет о параметрах и предложит:

• начать резервное копирование. Если вы щелкнете кнопку Finish (Готово), в процессе архивирования мастер будет выводить в диалоговом окне Backup Progress (Ход архива ции) сведения о ходе резервного копирования;

• задать дополнительные параметры резервного копирования. Щелкнув кнопку Advanced (До полнительно), вы сможете задать дополнительные параметры резервного копирования.

По завершении архивирования вы можете просмотреть отчет — файл журнала резервного копирования. Это хранимый на жестком диске текстовый файл, в который зано сятся сведения о резервном копировании.

Задание дополнительных параметров резервного копирования Настраивая дополнительные параметры резервного копирования, вы изменяете стандарт ные,параметры только для текущего задания копирования. Дополнительные параметры описаны в табл. 11-9.

Табл. 11-9. Дополнительные параметры резервного копирования Страница Дополнительный Описание дополнитель- параметр ных параметров Type Of Backup Select The Type Of Backup Перечень типов создаваемого архива: Normal (Тип архива) Operation To Perform (Вы- (Обычный), Сору (Копирующий), Incremental берите нужный тип опе- (Добавочный), Differential (Разностный) или рации архивирования) Daily (Ежедневный) Backup Migrated Remote Если этот флажок помечен, выполняется резерв Storage Data (Архивиро- ное копирование данных, перемещенных диспет вать данные из внешних чером HSM в удаленное хранилище хранилищ) How To Backup Verify Data After Backup Флажок, подтверждающий корректное архивиро (Способы (Проверить данные после вание файлов. Если он помечен, Windows Backup архивации) архивации) сравнивает сохраненные данные с источником, проверяя их идентичность. Microsoft рекомендует помечать этот флажок Занятие 6 Резервное копирование Active Directory Табл. 11-9. Дополнительные параметры резервного копирования (продолжение) Страница Дополнительный Описание дополнитель- параметр ных параметров Use Hardware Compres- Флажок, включающий поддержку аппаратного сжатия для ленточных накопителей. Если ваше sion, If Available (Исполь устройство не поддерживает аппаратное зовать аппаратное сжатие, если возможно) сжатие, флажок недоступен Параметр, определяющий, будет ли хранимая If The Archive Media Al Media Options на носителе резервная копия дополнена ready Contains Backups (Параметры носителей) (Если носитель уже со- или перезаписана. Выберите Append This Hackup держит архивы) То Media (Дозаписьтвать этот архив к данным носителя), чтобы хранить множество резервных копий. Выберите Replace The Data On The Media With This Backup (Затереть данные носи теля этим архивом), если вам не нужны устарев шие резервные копии и вы хотите сохранить только самую новую резервную копию Allow Only The Owner And Флажок, ограничивающий круг лиц, обладаю The Administrator Access щих доступом к файлу или ленте с резервной копией. Флажок доступен только при переза To The Backup Data And писи существующих резервных копий. Пометьте To Any Backups Appended этот флажок при резервном копировании реестра To This Media (Разрешать или Active Directory, чтобы предотвратить несанк доступ к данным этого ционированное получение копий сохраненных архива и всем дозаписы данных ваемым на этот носитель архивам только владельцу и администратору) Поле, в котором можно указать имя и описа Backup Label Backup Label ние операции резервного копирования. Ичя (Метка архива) (Метка архива) и описание появятся в регистрационном файле сохранения. Содержание по умолчанию: Set Created Дата At Время. Вы можете изменить имя и описание на более понятные (например Active Directory backup 09-12-00) Поле, в котором указывают имя носителе Media Label (Метка носителя) резервной копии (например, имя ленты). Имя по умолчанию: Media Created Дата At Время.

Если резервное копирование на новый носитель осуществляется впервые или вы перезаписываете имеющийся архив, можно указать имя носителя, например Active Directory Допустимые значения этого параметра: Now When To Back Up When To Back (Сейчас) и Later (Позже). Если вы выбрали (Когда архивировать) Up (Когда Later, укажите имя и дату начала выполнения архивировать) задания резервного копирования. Кроме: того, можно задать расписание архивирования Администрирование Active Directory 322 Глава Табл. 11-9. Дополнительные параметры резервного копирования (окончание) Страница Дополнительный Описание дополнитель- параметр ных параметров Job Name (Имя задания) Имя задания резервного копирования Start Date (Дата запуска) Дата запуска задания резервного копирования Set Schedule (Установить Кнопка для настройки расписания резервного расписание) копирования В зависимости от выбранного вами времени запуска задания резервного копирования (сейчас или позже) мастер архивации:

• отображает параметры и предлагает немедленно начать архивирование. В процессе резервного копирования будут выводиться сведения о ходе выполнения задания;

• открывает дополнительные диалоговые окна для настройки расписания резервного ко пирования. Подробности см. в разделе ниже.

Настройка расписания резервного копирования Active Directory Позволяет автоматически проводить архивирование файлов в периоды низкой нагрузки на систему. Кроме того, задания резервного копирования Active Directory можно настроить для выполнения через регулярные интервалы времени, Для этого Windows 2000 интегрирует приложение Windows Backup со службой Task Scheduler (Планировщик заданий).

*• Настройка расписания резервного копирования 1. В окне мастера архивации When To Back Up (Когда архивировать) щелкните кнопку Later (Позже).

Служба Task Scheduler открывает диалоговое окно Set Account Information (Указание учетной записи), запрашивая пароль. Для выполнения задания резервного копирова ния учетная запись должна обладать соответствующими полномочиями.

Примечание Если служба Task Scheduler не выполняется или не настроена для авто матического запуска, Windows 2000 открывает диалоговое окно с предложением запус тить эту службу. Щелкните ОК. Откроется диалоговое окно Set Account Information.

2. Введите в полях Password (Пароль) и Confirm Password (Подтверждение) свой пароль и щелкните ОК.

Откроется окно When To Back Up, где необходимо указать имя задания резервного копирования. По умолчанию мастер в качестве даты и времени запуска назначает те кущие дату и время.

3. Введите в поле Job Name (Имя задания) имя задания.

4. Щелкните кнопку Set Schedule (Установить расписание), чтобы задать другие начальные дату и время запуска. Служба Task Scheduler откроет диалоговое окно Schedule Job (Зап ланированное задание).

Например, настройте задание для выполнения в 22:00 по пятницам. Кроме того, мож но отобразить все задания, назначенные для данного компьютера, пометив флажок Show Multiple Schedules (Показывать несколько расписаний). Так вы предотвратите на значение на одно и то же время нескольких задач.

Занятие 6 Резервное хеширование Active Directory Щелкнув кнопку Advanced (Дополнительно), вы можете указать, как долго должно продолжаться резервное копирование и какой период времени будет действовать рас писание.

После того как вы назначите задание резервного копирования и завершите работу с мастером архивации, приложение Windows Backup поместит созданное задание в кален дарь на вкладке Schedule Jobs (Запланированные задания) своего окна. Резервное копиро вание будет автоматически начато в указанное вами время.

Резюме Теперь вы знаете, что следует проверить, закрыты ли файлы, резервные копии которых вы собираетесь создать, поскольку Windows Backup не архивирует файлы, заблокированные приложениями. Вы также узнали, что первый этап резервного копирования с помощью ма стера архивации — выбор архивируемых объектов. Для резервного копирования Active Directory необходимо указать, что вы собираетесь архивировать данные о состоянии систе мы. После этого надо выбрать устройство резервного копирования и указать имя носителя или файла. Затем можно задать дополнительные параметры или начать архивирование.

Используя службу Task Scheduler, Windows Backup позволяет создавать расписания запусков заданий резервного копирования.

Глава Администрирование Active Directory Занятие 7. Восстановление Active Directory Существует два способа восстановления Active Directory: принудительное (authoritative) и непринудительное (nonauthoritative). На этом занятии вы научитесь восстанавливать Active Directory.

Изучив материал этого занятия, вы сможете:

S объяснить различие между принудительным и непринудительным восстановлением;

S восстановить Active Directory.

Продолжительность занятия — около 25 минут.

Подготовка к восстановлению Active Directory Как и в процессе резервного копирования, когда вы восстанавливаете Active Directory, разрешается восстановить только все данные о состоянии системы, которые были скопи рованы, включая системный реестр, базу данных регистрации классов СОМ+, каталог SYSVOL, Active Directory и базу данных служб сертификации (если это сервер сертифика ции). Вы не можете восстановить отдельные компоненты системы (например, только Active Directory).

Если вы восстанавливаете данные о состоянии системы на контроллере домена, следу ет выбрать между принудительным и непринудительным восстановлением. По умолча нию на контроллере домена выполняется непринудительное восстановление системы.

Непринудительное восстановление Любой компонент состояния системы, реплицируемый другим контроллером домена, типа службы каталогов Active Directory, обновляется репликацией после того, как вы восстано вите данные. Например, если последняя резервная копия сделана неделю назад и система восстановлена непринудительно, любые изменения, выполненные после резервного ко пирования, будут реплицированы с других контроллеров домена. Система репликации Active Directory обновит восстановленные данные, воспользовавшись более новыми дан ными с других ваших серверов.

Принудительное восстановление Если вы не хотите реплицировать изменения, сделанные после последнего архивирова ния, используйте принудительное восстановление. Например, именно этим способом сле дует воспользоваться, если вы по неосторожности удалили учетные записи пользователей, группы или ОП из Active Directory и хотите восстановить систему так, чтобы удаленные объекты были перезаписаны и реплицированы.

Для принудительного восстановления данных Active Directory необходимо после вос становления данных о состоянии системы (но до перезагрузки сервера) запустить служеб ную программу Ntdsutil. Она позволяет отметить объекты Active Directory для принуди тельного восстановления. Если объект отмечен для принудительного восстановления, его порядковый номер обновления (update sequence number, USN) меняется и становится боль ше всех остальных номеров последовательного обновления в системе репликации Active Directory. Это гарантирует, что все реплицируемые или распространяемые восстанавлива емые данные будут реплицированы правильно или распространены внутри данной орга Занятие 7 Восстановление Active Directory низации. Утилита NTDSUTIL расположена в папке systemroof\system32, а соответствую щая документация — в справочной системе Windows 2000 (доступна из меню Start).

Предположим, вы заархивировали систему в понедельник, а затем во вторник создали учетную запись нового пользователя с именем Максим, сведения о котором были реплици рованы на другие контроллеры домена. В среду вы случайно удалили учетную запись друго го пользователя — Алексея. Чтобы полномочно восстановить учетную запись Алексея без повторного ввода информации, можно непринудительно восстановить контроллер домена из архива, созданного в понедельник. Далее, используя NTDSUTIL, надо пометить учетную запись Алексея для принудительного восстановления. В результате учетная запись Алексея будет восстановлена, никоим образом не затронув учетную запись Максима.

Выполнение непринудительного восстановления Для восстановления данных о состоянии системы контроллера домена необходимо запус тить компьютер в специальном безопасном режиме — режиме восстановления службы каталогов. Это позволит восстановить каталог SYSVOL и базу данных службы каталогов Active Directory. Разрешается восстановить состояние системы только на локальном ком пьютере. Вы не можете выполнить эту операцию на удаленном компьютере.

Примечание Если при восстановлении состояния системы вы не определили альтерна тивного места для восстановленных данных, резервная копия сотрет сведения о текущем состоянии системы и заменит их данными о восстановленном состоянии системы. Если же вы восстанавливаете состояние системы в другое место, в него восстанавливаются только файлы системного реестра, файлы каталога SYSVOL и системные загрузочные файлы, Базы данных службы каталогов Active Directory, службы сертификации и регистрации классов СОМ+ в таком случае не восстанавливаются.

^ Непринудительное восстановление Active Directory 1. Перезагрузите компьютер.

2. На стадии загрузки, когда обычно выбирается операционная система, нажмите F8.

3. В меню загрузки Windows 2000 выберите режим восстановления службы каталогов и нажмите Enter. В результате контроллер домена будет изолирован от сети.

4. Выберите для запуска Microsoft Windows 2000 Server и нажмите Enter.

5. Зарегистрируйтесь в системе как Administrator (Администратор).

6. Появится сообщение, что Windows работает в безопасном режиме. Щелкните ОК.

Примечание Перезагружая компьютер в режиме восстановления службы каталогов, вы должны войти как Administrator, используя соответствующие учетную запись SAM и пароль, а не имя и пароль администратора Active Directory. Это вызвано тем, что служба Active Directory автономна и проверка учетной записи невозможна. Вместо этого для управления доступом к Active Directory применяется база данных учетных записей SAM.

Настройка пароля SAM выполнялась при установке Active Directory.

7. Раскройте меню Start\Programs\Accessories\System Tools (Пуск\Программы\Стандарт ные\Служебные) и щелкните Backup (Архивация данных).

8. В окне утилиты Backup щелкните кнопку Restore Wizard (Мастер восстановления).

9. Щелкните Next.

10. В окне What To Restore (Что следует восстановить) раскройте узел типа носителя, со держащий данные, которые вы хотите восстановить или щелкните Import File (Файл импорта). Это может быть файловый или ленточный носитель (рис. 11-10).

Глава 326 Администрирование Active Directory 1 1. Раскройте набор носителей до данных, которые вы хотите восстановить. Вы можете восстановить набор целиком или определенные файлы и папки.

12. Выберите данные, которые вы хотите восстановить, и щелкните Next.

What to Restore You can restore any combirialion of drives, (oldere, и NIes k*. iofdsr. or (te thai you Рис. 11-10. Окно What To Restore (Что следует восстановить) 13. Выполните одно из следующих действий:

Pages:     | 1 |   ...   | 4 | 5 || 7 | 8 |   ...   | 11 |



© 2011 www.dissers.ru - «Бесплатная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.