Страницы: 1 .. 9 10 11 12 13 .. 16

Глава 10. Управление объектами Active Directory
Обычные задачи, которые вы будете выполнять с помощью службы каталога Microsoft Active Directory системы Windows Server 2003, вовлекут вас в управление такими объектами Active Directory как пользователи и группы. Большинство компаний создает и реализует проект Active Directory один раз. После развертывания с большинством объектов Active Directory произойдут небольшие изменения. Однако работа с объектами user (пользователь) и объектами group (группа) является исключением из этого правила. По мере того как служащие присоединяются к компании или оставляют ее, администратор тратит время на управление пользователями и группами. Служба Active Directory содержит другие объекты, такие как printer (принтер), computer (компьютер) и shared folder (общие папки), которые также требуют частого администрирования.
В этой главе обсуждаются концепции и процедуры, которые используются для управления объектами Active Directory. В ней обсуждаются типы объектов, которые можно хранить в Active Directory и объясняется, как управлять этими объектами. Показан основной интерфейс, который вы будете использовать для работы с объектами, инструмент Active Directory Users And Computers (Пользователи и компьютеры Active Directory) и некоторые усовершенствования, которые сделаны для этого инструмента в Windows Server 2003.
Управление пользователями
В службе Active Directory Windows Server 2003 существуют три объекта, которые используются для представления индивидуальных пользователей в каталоге. Два из них, объект user(пользователь) и объект inetOrgPerson, являются участниками безопасности, которые могут использоваться для назначения доступа к ресурсам вашей сети. Третий объект contact(контакт) не является участником безопасности и используется для электронной почты.
Объекты User
Один из наиболее типичных объектов в любой базе данных Active Directory — объект user. Объект user, подобно любому другому объекту
класса Active Directory, представляет собой совокупность атрибутов. Фактически, он может иметь более 250-ти атрибутов. Этим служба Active Directory Windows Server 2003 сильно отличается от службы каталога Microsoft Windows NT, в которой объекты userимеют очень мало атрибутов. Поскольку Active Directory может обеспечить эти дополнительные атрибуты, она полезна именно как служба каталога, а не просто как база данных для хранения опознавательной информации. Active Directory может стать основным местом хранения большей части пользовательской информации в вашей компании. Каталог будет содержать пользовательскую информацию: номера телефона, адреса и организационную информацию. Как только пользователи научаться делать поиск в Active Directory, они смогут найти практически любую информацию о других пользователях.
Когда вы создаете объект user, нужно заполнить некоторые из его атрибутов. Как показано на рисунке 10-1, при создании учетной записи пользователя требуется только шесть атрибутов, причем атрибуты сп и sAMAccountNameконфигурируются на основе данных, которые вы вводите при создании учетной записи. Остальные атрибуты, включая идентификатор безопасности (SID), автоматически заполняются системой безопасности.

Рис. 10-1. Обязательные атрибуты учетной записи пользователя, отображаемые инструментом Adsiedit.msc
При создании учетной записи пользователя вы можете назначить значения многим атрибутам объекта user. Некоторые из атрибутов нельзя увидеть через интерфейс пользователя (UI), например, атрибут Assistant(Помощник). Его можно заполнять, используя скрипт или инструмент
Adsiedit.msc, который обращается к атрибуту напрямую. Можно заполнять скрытые атрибуты в процессе общего импорта информации каталога с использованием утилит командной строки Csvde или Ldifde. Детальную информацию по использованию этих утилит смотрите в Help And Support Center (Центр справки и поддержки). Заполнять невидимые в UI атрибуты необходимо, так как они используются для поиска и изменения объектов. В некоторых случаях скрытый атрибут доступен через диалоговое окно Find (Поиск). Например, в инструменте Active Directory Users And Computers (Пользователи и компьютеры Active Directory) для поиска всех пользователей, которые имеют один и тот же атрибут Assistant, используйте вкладку Advanced (Дополнительно) в диалоговом окне Find, чтобы создать запрос, основанный на атрибуте Assistant(см. рис. 10-2). В этом окне щелкните на кнопке Field (Поле), выберите User (Пользователь), а затем выберите атрибут, по которому вы хотите сделать поиск. Так можно найти многие скрытые атрибуты.

Рис. 10-2. Поиск учетных записей пользователя по атрибутам, которые не видны в пользовательском интерфейсе
Дополнительная информация. Вы можете просматривать и изменять любой атрибут объекта user, используя инструменты Adsiedit.msc или Ldp.exe. Более эффективный способ состоит в использовании скриптов. От этого можно получить значительную выгоду, поскольку Active Directory написана так, чтобы разрешать и поощрять использование скриптов. Информацию об использовании скриптов для автоматизации задач управления службой Active Directory смотрите в центре TechNet Script Center   по   адресу   http://www.microsoft.com/technet/scriptcenter/default.asp. TechNet Script Center содержит ресурсы для создания скриптов и типовые сценарии, используемые для расширения административных задач, которые иначе выполняются через консоли управления службой Active Directory. Смотрите также веб-сайт Microsoft Press Online по адресу http:// www.microsoft.com/mspress/, где находится бонус-глава по созданию сценариев «Introduction to ADSI Scripting Using VBScript» (Введение в ADSI сценарии на языке VBScript), написанная Майком Малкером (Mike Mulcare).
Большинство административных задач, связанных с обычными пользователями, выполняются при помощи инструмента Active Directory Users And Computers. Чтобы создать с его помощью объект user, найдите контейнер, в котором вы хотите создать объект, щелкните правой кнопкой мыши и выберите New>User (Новый>Пользователь). При создании пользователя вы должны ввести Full Name (Полное имя) и User Logon Name (Пользовательское имя для входа в систему). Данные Full Name используются для заполнения атрибута сп пользователя, данные User Logon Name становятся значением sAMAccountName. После создания пользователя можно обращаться к свойствам объекта для заполнения дополнительных атрибутов пользователя, назначение которых вполне понятно. Наиболее важная вкладка, предназначенная для управления учетной записью пользователя — это вкладка Account (Учетная запись) (см. рис. 10-3). Пользовательские параметры настройки, доступные на вкладке Account, описаны в таблице 10-1.

Рис. 10-3. Вкладка Account для объекта user
Табл. 10-1. Свойства учетной записи объекта User Параметры учетной записи      Пояснение

Именование объектов user в Active Directory
Каждый объект в Active Directory должен иметь уникальное имя, но для объекта userэто простое утверждение может стать довольно сложным, потому что объект userфактически имеет несколько возможных имен. В таблице 10-2 перечислены все имена, которые могут быть связаны с именем пользователя username, и область действия, в пределах которой это имя должно быть уникальным.
Табл. 10-2. Требования уникальности имени пользователя

UPN является очень полезным именем для пользователя. Пользователь может перейти в любой домен леса и войти в систему, используя свое UPN-имя, вместо того чтобы при входе выбирать свой домашний цомен. По умолчанию UPN-суффикс является также DNS-именем для цомена. Вы можете изменять UPN-суффикс, например, использовать различные DNS-имена внутри и вне системы для отображения в интернете. В большинстве случаев SMTP-адрес электронной почты для всех пользователей соответствует внешнему имени DNS. Ваши пользователи, возможно, захотят входить в домен, используя свои адреса SMTP. Вы можете включить эту опцию, добавляя альтернативный UPN-суффикс к лесу и назначая его всем учетным записям пользователя. Чтобы создать дополнительный UPN-суффикс, откройте инструмент Active Directory Domains And Trusts (Домены и доверительные отношения Active Directory), щелкните правой кнопкой мыши на записи Active Directory Domains And Trusts, расположенной в верхней левой области окна, и выберите Properties (Свойства) (см. рис. 10-4). Напечатайте любой альтернативный UPN-суффикс, который вы желаете использовать.

Рис. 10-4. Добавление альтернативного UPN-суффикса к вашему лесу
Объекты inetOrgPerson
Одним из новых объектов Active Directory Windows Server 2003 является объект inetOrgPerson. Он является основной учетной записью пользователя, которая используется другими каталогами с применением облегченного протокола службы каталогов (Lightweight Directory Access Protocol — LDAP) и Х.500, совместимыми с требованиями документа Request for Comments (RFC) 2798. Вводя объект inetOrgPerson, Microsoft облегчил интеграцию службы Active Directory с другими каталогами и упростил перемещение из каталогов в Active Directory.
Примечание. При обновлении леса Windows 2000 до Windows Server 2003 в схеме создается объект inetOrgPerson, когда вы выполняете команду Adprep.exe с ключом /forestprep. Утилиту Adprep.exe можно найти в папке \I386 на компакт-диске Windows Server 2003.
Объект inetOrgPersonможет быть создан с помощью инструмента Active Directory Users And Computers. Для этого найдите контейнер, в котором вы хотите создать объект, щелкните на нем правой кнопкой мыши и выберите New>InetOrgPerson. При создании объекта inetOrgPersonвы должны ввести пользовательское имя входа в систему и полное имя. Объект inetOrgPersonявляется подклассом объекта user, т.е. он имеет все характеристики пользовательского класса, включая и то, что он действует как участник безопасности. Объекты inetOrgPersonуправляются и используются теми же способами, как и объект user.
Учетные записи Contact
Третий тип объектов, который может использоваться для представления пользователей в Active Directory, — это объект contact(контакт). Объекты contactотличаются от объектов userи inetOrgPersonтем, что они не является участниками безопасности (security principal). Обычно объекты contactиспользуются только для информационных целей. Чтобы создать объект contact в инструменте Active Directory Users And Computers, найдите контейнер, в котором вы хотите создать объект, щелкните на нем правой кнопкой мыши и выберите New>Contact. При создании объекта contactвы должны ввести полное имя, можно также заполнить множество атрибутов объекта, включая номера телефона и адрес.
Контакты полезны в нескольких сценариях. Например, имеется пользователь, который не является участником безопасности в вашем домене, но чья контактная информация должна быть доступной. Это могут быть консультанты, работающие в вашем офисе и не имеющие прав на вход в сеть, но их контактная информация должна храниться в компании, чтобы ее могли легко найти все сотрудники. Контактами можно пользоваться для хранения общей информации лесов. Предположим, что ваша компания слилась с другой компанией, которая уже развернула Active Directory. Можно создать доверительные отношения между двумя лесами так, чтобы совместно использовать сетевые ресурсы, но глобальный каталог (GC) каждого леса будет содержать только учетные записи этого леса. Однако ваша работа может требовать, чтобы все или некоторые учетные записи обоих лесов были видны пользователям. Для разрешения этого используется инструмент Microsoft Metadirectory Services (MMS), чтобы создать объекты contactдля каждой учетной записи пользователя из другого леса и заполнить эти объекты соответствующей контактной информацией.
Дополнительная информация. Инструмент MMS доступен через Microsoft Consulting Services (Консультационная служба) или через существующего партнера MMS. Для получения дополнительной информации смотрите веб-страницу http:// www.microsoft.com/windows2000 /technologies/directory / mms/'default, asp.
Другой вариант использования объекта contactвозникает при реализации Microsoft Exchange 2000 Server, который, в отличие от более ранних версий, не имеет своей собственной службы каталога. Вместо этого Exchange 2000 Server требует наличия Active Directory, и вся информация сервера хранится в каталоге Active Directory. В Exchange Server 5.5 и более ранних версиях вы можете создавать собственного получателя. Собственный получатель имеет адрес электронной почты, вы можете посылать ему почту, но у него нет почтового ящика на вашем Exchange-сервере. Если вы используете Exchange 2000 Server, то объект contactс поддержкой электронной почты заменит объект собственного получателя. Когда вы включаете почту для объекта contact, вы назначаете учетной записи адрес электронной почты, и он становится видимым для почтового клиента. Когда вы посылаете почту объекту contact, она доставляется по правильному адресу электронной почты.
Управление группами
Основная функция Active Directory состоит в санкционировании доступа к сетевым ресурсам. В конечном счете, доступ к сетевым ресурсам основан на индивидуальных учетных записях пользователя. В большинстве случаев вы не захотите управлять доступом к. ресурсам с их помощью. В крупной компании это может привести к слишком большой загрузке администратора, кроме того, списки управления доступом (ACL) на сетевых ресурсах быстро стали бы неуправляемыми. Поскольку управление доступом к сетевым ресурсам с помощью индивидуальных учетных записей трудно поддается обработке, вы будете создавать
объекты groupдля одновременного управления большими совокупностями пользователей.
Типы групп
В системе Windows Server 2003 имеется два типа групп, называемых группами распространения (distribution group) и группами безопасности (security group). Когда вы создаете новый объект group, вам необходимо выбрать тип создаваемой группы (см. рис. 10-5).

Рис. 10-5. Создание новой группы в инструменте Active Directory Users And Computers
Стандартным типом группы в Active Directory является группа безопасности. Группа безопасности является участником безопасности и может использоваться для назначения разрешений на сетевые ресурсы. Группа распространения не может быть участником безопасности, поэтому она не очень полезна. Вы используете данную группу, если установили Exchange 2000 Server и должны объединить пользователей вместе, чтобы можно было посылать электронную почту всей группе. Таким образом, группа распространения имеет возможность получать почту, а вы можете добавлять пользователей, поддерживающих электронную почту, и контакты к этой группе, а также посылать электронные сообщения одновременно всем пользователям группы.
Примечание. Группа распределения похожа на список рассылки в Exchange Server 5.5, но не является точным эквивалентом списка рассылки Exchange 2000 Server. В Exchange Server 5.5 вы можете использовать список рассылки, чтобы собрать группу пользователей в почтовых целях, а также для назначения разрешений на общие папки Exchange-сервера. В Exchange 2000 Server вы должны использовать группу безопасности с поддержкой электронной почты, если нужно назначить разрешения на общую папку.
Вы можете преобразовывать группы распространения в группы безопасности и обратно, пока ваш домен работает на функциональном уровне Windows 2000 native (естественный). (Для получения дополнительной информации о функциональных уровнях см. табл. 2-1, 2-2 в гл. 2.) Если группа содержит учетные записи пользователей или контакты, то объекты userили contactне изменяются, когда изменяется тип группы.
Примечание. Поскольку группы распространения имеют ограниченное использование в Active Directory, остальная часть этой главы будет посвящена группам безопасности.

Область действия группы
В Active Directory Windows Server 2003 вы можете создавать группы с тремя различными областями действия: доменной локальной, глобальной и универсальной. В таблице 10-3 перечислены характеристики каждой области действия группы.
Примечание. Универсальные группы доступны только в том случае, если домен работает на функциональном уровне Windows 2000 native. Вложенные группы (nested groups} — это группы, которые являются членами других групп. Опции, предназначенные для вложения групп, зависят от функционального уровня домена. Например, вы можете вложить глобальную группу в доменную локальную группу на любом функн|иональном уровне, но вкладывать глобальную группу внутрь другой глобальной группы можно только в том случае, если домен работает на функциональном уровне Windows 2000 native, или более высоком.
Локальные группы домена являются полнофункциональными только в том случае, когда домен поднят на уровень Windows 2000 native. Если домен выполняется на смешанном (mixed) уровне Windows 2000, локальные группы домена работают точно так же, как локальные группы на контроллерах домена в Windows NT 4. Группа может использоваться для назначения разрешений на ресурсы только контроллеров домена, но не других компьютеров, расположенных в домене. Если домен был переключен на естественный функциональный уровень Windows 2000, то локальные группы домена могут использоваться для предоставления разрешений ресурсам, расположенным на любом сервере с Windows 2000 или с Windows Server 2003.
Табл. 10-3. Область действия групп Active Directory

Планирование. Вы используете группы по-разному, в зависимости от того, какие серверы развернуты в вашей среде. Если ваш домен содержит только серверы с Windows 2000 и Windows Server 2003, используйте локальные группы домена для назначения разрешений на все ресурсы, расположенные на этих серверах. Однако вы также можете использовать локальные группы на серверах-членах домена. Обратите внимание, что необходимо использовать локальные группы на серверах Windows NT. В любом случае локальные группы могут содержать глобальные группы из любого домена в лесе. Если вы создаете локальные группы на серверах с Windows 2000 или с Windows Server 2003, группы могут содержать универсальные группы из любого домена леса или из доверенного леса.
Функциональные возможности глобальных групп в Active Directory Windows Server 2003 и Active Directory Windows 2000 остаются согласующимися между собой. Если домен был переключен на функциональный уровень Windows 2000 native, вы можете вкладывать глобальные группы из того же самого домена внутрь других глобальных групп. Если ваш домен работает на функциональном уровне Windows 2000 mixed или native, вы можете использовать эту опцию, чтобы преодолеть ограничение числа пользователей в пять тысяч на группу. Если группа очень большая, можно создать несколько подгрупп и вложить их в одну группу. Вложение групп может быть полезным и в других обстоятельствах. Например, ваша компания содержит несколько уникальных деловых подразделений, в каждом из которых есть менеджеры и исполнители. Вы можете создать глобальную группу Managers для каждого подразделения, а затем вложить эти глобальные группы в единую для компании группу менеджеров.
Универсальные группы являются наиболее гибкими группами в Active Directory, но эта гибкость дается «не бесплатно». Они могут содержать любого члена домена леса и использоваться для назначения разрешений на ресурсы, расположенные в любом домене леса. Для этого список членства для всех универсальных групп должен храниться в глобальном каталоге (GC) как отдельный атрибут. Если ваш домен работает на функциональном уровне Windows 2000 native, то каждый раз после добавления к универсальной группе нового члена весь список членов должен копироваться на другие контроллеры домена. Для универсальной группы с тысячами пользователей это может привести к значительной репликации. Однако если домен был поднят на функциональный уровень Windows Server 2003, то контроллеры домена, на которых выполняется Windows Server 2003, будут реплицировать только изменения в списке членства.
Использование универсальных групп создает и другие осложнения. Поскольку они используются в любом месте леса, а члены группы могут
находится также в любой части леса, то GC-сервер должен быть доступен всякий раз, когда пользователь входит в домен, иначе вход не будет выполнен. Эта проблема решена в Active Directory Windows Server 2003. Если домен переключен на функциональный уровень Windows Server 2003, вы можете сконфигурировать все контроллеры домена сайта так, чтобы они кэшировали универсальное групповое членство, когда пользователь входит в домен. Если GC-сервер недоступен, локальный контроллер домена может использовать кэшированное универсальное групповое членство для подтверждения подлинности пользователя. Если пользователь ранее не входил на локальный контроллер домена, то эта информация будет недоступна, и пользователь не сможет войти в систему.
Предостережение. Если пользователь входит в систему, используя кэшированную информацию универсальной группы, но разрешения универсальной группы были изменены, то новые разрешения не применятся к локальному пользователю до тех пор, пока универсальная групповая информация не будет модифицирована с GC-сервера.
Active Directory Windows Server 2003 содержит большое количество встроенных учетных записей групп в контейнере Users (Пользователи) и Builtin (Встроенный). Эти группы имеют разнообразные цели и заданные по умолчанию разрешения в пределах домена. Только две группы при установке домена содержат некоторых членов - локальная группа домена Administrators (Администраторы) и глобальная группа Domain Admins (Администраторы домена). Учетная запись Administrator, под которой создавался домен, добавляется к обеим группам, а группа Domain Admins добавляется к группе Administrators. Если домен является первым доменом в лесе, то учетная запись Administrator также добавляется к глобальной группе Enterprise Admins (Администраторы предприятия) и к глобальной группе Schema Admins (Администраторы схемы).
Создание проекта группы безопасности
В реализации Active Directory проект группы безопасности является наиболее детальным в рамках всего проекта. Его создание может быть очень обстоятельной и кропотливой работой, особенно в большой организации. В данном разделе обсуждаются общие принципы создания проекта группы безопасности для вашей организации.
На первом этапе создания проекта нужно определить область действия группы. Во многих компаниях возникают серьезные дискуссии о том, как использовать различные группы. А использовать группы в Active Directory можно очень гибко. Например, в единственном домене пользователи могут быть добавлены к группе с любой областью действия в домене, группы могут использоваться для назначения разрешений на лю-
бой ресурс, находящийся в домене. В среде с несколькими доменами имеется несколько вариантов для использования универсальных, глобальных и локальных групп домена.
Для большинства компаний лучший способ использовать области действия групп состоит в выполнении следующих действий.

• Добавьте пользователей к глобальным или универсальным группам.
• Добавьте глобальные или универсальные группы к локальным группам домена.
• Назначьте доступ к ресурсам, используя локальные группы домена.

Некоторых компании сопротивляются созданию групп домена, даже если речь идет об одной группе, но имеются серьезные причины, по которым лучше использовать две группы.
Если нужно создать группы домена, то имейте в виду, что глобальные или универсальные группы должны включать пользователей, имеющих что-либо общее. Обычно они создаются на базе делового подразделения или на основе общей функциональной цели. Например, все члены коммерческого отдела обычно имеют больше общего друг с другом, чем с членами других отделов. Им требуется доступ к одним и тем же ресурсам и одинаковое программное обеспечение. Групповое членство часто также организуется на функциональной основе. Все менеджеры могут быть сгруппированы вместе независимо от того, к какому подразделению они принадлежат. Все члены проектной группы, вероятно, будут нуждаться в доступе к одним и тем же ресурсам проекта.
Доменные локальные группы обычно используются для назначения разрешений на доступ к ресурсам. Во многих случаях разрешения тесно связаны с деловыми отделами или функциями. Например, всем членам коммерческого отдела требуется доступ к одним и тем же общим папкам продаж, всем членам проектной группы - к одной и той же проектной информации. В других случаях доступ к ресурсам может пересекать обычные деловые или функциональные границы. Компания может использовать общую папку, к которой каждый в компании имеет доступ Read Only (Только для чтения), или нескольким отделам и проектным группам нужен доступ к одной и той же общей папке. Создавая доменную локальную группу, которая относится к определенному специфическому ресурсу, вы можете легко управлять доступом к нему: добавлять соответствующие глобальные или универсальные группы к локальной группе домена.
Часто пользователям требуется различный уровень доступа к совместно используемым папкам. Например, компания имеет общую папку Human Resource (Кадры), где хранится вся информация о полисах служащих. Все пользователи должны иметь возможность читать информацию, хранящуюся в папке, но только члены отдела кадров могут изменять эту информацию. В этом случае создаются две доменные локальные группы для общей папки. Одной группе назначается разрешение Read Only (Только для чтения), другой - Full Control (Полное управление) или Modify (Изменение). Затем глобальная группа Human Resources может быть добавлена к доменной локальной группе, которой было назначено разрешение Full Control, а все другие глобальные группы, которые нуждаются только в доступе Read Only, - к доменной локальной группе Read Only.
Использование глобальных и доменных локальных групп означает, что вы можете разделять владение глобальными группами и доменными локальными группами. Важной проблемой безопасности в любой большой корпорации является обеспечение того, чтобы только правильные пользователи имели доступ к любой общей информации. Первый шаг заключается в создании владельца (owner) группы, также известного как authorizer (уполномоченный). Только владелец может разрешать любую модификацию в конфигурации группы. Владельцем глобальной группы обычно является администратор отдела. Владельцем глобальной группы, основанной на участии в проекте, — менеджер проекта. Только они могут разрешить любое изменение в списке членов.
Владельцем доменной локальной группы является владелец данных или ресурсов*. Если каждый ресурс в вашей компании имеет владельца, являющегося единственным человеком, который может разрешить модификации к разрешениям на доступ к общему ресурсу, то он также становится владельцем доменной локальной группы, которая связана с ресурсом. Прежде чем глобальная или универсальная группа будет добавлена к доменной локальной группе, этот владелец должен одобрить модификацию.
Использование двух уровней групп особенно важно в сценариях, когда имеется несколько доменов и пользователям каждого домена требуется доступ к общему ресурсу в одном из доменов. Как показано на рисунке 10-6, вы можете создать глобальную группу в каждом домене, а затем добавить эту глобальную группу к доменной локальной группе того домена, в котором расположен ресурс.
Примечание. Windows NT использует глобальные и локальные группы, но не использует доменные локальные группы. Если в домене имеются серверы-члены домена с системой Windows NT, вы должны использовать локальные группы на каждом сервере. Если у вас имеются серверы с системами Windows 2000 или Windows Server 2003, и ваш домен работает на функциональном уровне Windows 2000 native, вы должны по возможности использовать доменные локальные группы, которые в этом случае охватывают несколько серверов. Если вы используете доменные локальные группы вместо локальных групп, вы можете переместить ресурс между серверами и использовать для назначения разрешений ту же самую доменную локальную группу.

Рис. 10-6. Конфигурирование доступа к ресурсу с помощью глобальных и доменных локальных групп с несколькими доменами
Одним из основных вопросов при создании проекта группы безопасности является вопрос о том, когда использовать глобальные группы, а когда - универсальные. В некоторых случаях у вас нет выбора. Например, в Exchange 2000 Server группы, поддерживающие электронную почту, заменяют списки рассылки, используемые в Exchange Server 5.5 для группировки получателей электронной почты и назначения доступа к общим папкам. Если вы используете группы, поддерживающие электронную почту для Exchange 2000 Server, вы должны использовать уни-
версальную группу. При переходе от Exchange Server 5.5 к Exchange 2000 Server следует заменить каждый список рассылки из Exchange Server 5.5 универсальной группой, поддерживающей электронную почту. Если имеется более одного домена, обязательно используйте универсальные группы для групп, поддерживающих электронную почту.
В большинстве случаев наилучшей практикой при создании проекта универсальной группы в Active Directory Windows 2000 являлась минимизация использования универсальных групп, особенно если имелись сайты, связанные медленными сетевыми подключениями. Причина этого была связана с проблемами репликации GC-каталога. Эта рекомендация все еще верна для леса, работающего на функциональном уровне Windows 2000. Если ваш лес Windows Server 2003 был переключен на уровень Windows Server 2003 или Windows Server 2003 interim (временный), то проблема, связанная с репликацией, больше не существует. Кроме того, опция, включающая кэширование GC-каталога, уменьшает потребность в развертывании GC-серверов в каждом сайте. Поэтому решение, касающееся использования универсальных или глобальных групп, не особо критично для Active Directory Windows Server 2003. В большинстве случаев можно использовать глобальные и универсальные группы почти взаимозаменяемо.

Управление компьютерами
Еще один тип объектов Active Directory - это объект computer(компьютер). В Active Directory имеется два типа таких объектов. Первый - это объект domaincontroller(контроллер домена), который создается при назначении сервера контроллером домена. По умолчанию объекты domain controller расположены в OU Domain Controllers. Вы можете перемещать контроллеры домена из этой OU, но делать это следует с осторожностью. Многие параметры настройки безопасности контроллера домена сконфигурированы в OU Domain Controllers, и перемещение контроллера домена из этого контейнера может серьезно изменить настройку безопасности.
Второй тип объектов computer- это объекты, представляющие все прочие компьютеры, которые являются членами домена. Учетные записи этих компьютеров создаются в Active Directory в заданном по умолчанию контейнере Computers. Обычно объекты computerиз этого контейнера перемещаются в определенные OU, чтобы вы могли управлять компьютерами разными способами. Например, будет различаться управление серверами и рабочими станциями вашей компании, поэтому нужно создать две отдельных организационных единицы (OU). Зачастую рабочие станции разбиваются на более мелкие группы. Рабочим станциям коммерческого отдела будут требоваться приложения, отличные от приложений, необходимых рабочим станциям технического отдела. Создавая две OU и помещая рабочие станции в соответствующие OU, вы
можете разными способами управлять двумя типами рабочих станций. Компьютерные учетные записи создаются в домене при присоединении компьютера к домену, но могут создаваться и предварительно.
Примечание. Все компьютеры, на которых выполняются системы Windows NT, Windows 2000, Microsoft Windows XP Professional и Windows Server 2003, должны иметь компьютерную учетную запись в домене. Компьютеры, на которых выполняются системы Microsoft Windows 95 или Microsoft Windows 98, не имеют учетных записей.
Вы будете редко управлять компьютерными объектами в Active Directory напрямую. Если щелкнуть правой кнопкой мыши на компьютерной учетной записи в Active Directory, вы увидите, что имеется совсем немного опций управления. Одна из опций - переустановка учетной записи компьютера. Используйте ее осторожно, потому что при переустановке нарушается связь компьютера с определенным доменом, и компьютер должен заново присоединяться к домену.
Очень полезная опция позволяет любому компьютеру из Active Directory обратиться к приложению Computer Management (Управление компьютером). Найдите компьютер в инструменте Active Directory Users And Computers, щелкните правой кнопкой мыши на значке нужной рабочей станции или сервера и выберите Manage (Управление). Откроется ММС-консоль Computer Management, содержащая параметры выбранной вами рабочей станции или сервера.
Примечание. Тот факт, что вы не будете сильно заняты администрированием компьютерных объектов в Active Directory, вовсе не подразумевает, что вы не будете использовать Active Directory для управления компьютерами. Главы 11, 12 и 13 рассматривают с групповые политики, обеспечивающие мощныее инструментальные средства управления компьютерами.
Управление объектами printer
Третья группа объектов Active Directory состоит из объектов printer. Вы можете создать объект printerпутем опубликования принтера в Active Directory, при этом сохраняются такие атрибуты принтера, как место его расположения, а также свойства принтера (скорость печати, возможность цветной печати и другие). Основанием для публикации объектов printerв Active Directory является облегчение для пользователей поиска и соединения с сетевыми принтерами.
Публикация принтеров в Active Directory
По умолчанию любой принтер, установленный на сервере с Windows 2000 или Windows Server 2003, к которому разрешен общий доступ, автоматически публикуется в Active Directory. Если этого не требуется, можно очистить опцию List In The Directory (Зарегистрировать в каталоге) в окне Properties (Свойства) принтера. Однако если принтер расположен на сервере с системой Windows NT или другой операционной системой, вы должны вручную опубликовать принтер в Active Directory. Чтобы выполнить это, найдите объект container, в котором вы хотите опубликовать объект printer, щелкните на нем правой кнопкой мыши и выберите New (Новый)>Printer (Принтер). Затем напечатайте UNC-путь на общедоступный компьютер.
Совет. Если вы используете серверы печати Windows NT и не хотите модернизировать их до Windows 2000 или Windows Server 2003, нужно вручную опубликовать все принтеры на серверах печати Windows NT в Active Directory. Компания Microsoft создала сценарий с именем Pubprn.vbs, предназначенный для автоматизации процесса публикации. Этот сценарий расположен в папке %systemroot %\system32.
Публикация принтера в Active Directory нужна для поиска пользователями объектов printerв Active Directory. После публикации принтера информация о нем автоматически регистрируется в окне Properties (Свойства) принтера, доступного из инструмента Active Directory Users And Computers. Эта информация нужна пользователю, который ищет определенный принтер, например, цветной принтер, который печатает, по крайней мере, шесть страниц в минуту. Если эта информация хранится в Active Directory, клиент может использовать опцию A Printer On The Network (Сетевой принтер) операции Search (Поиск), выбранной из меню Start (Пуск), чтобы найти все принтеры, удовлетворяющие этим требованиям. На рисунке 10-7 показано окно на рабочей станции с системой Windows ХР Professional. Как только сетевой принтер найден, пользователь может щелкнуть правой кнопкой мыши на принтере и выбрать Connect (Подключить), чтобы установить принтер на машине клиента.
Если объекты printerопубликованы в Active Directory, для управления ими используется редактор Group Policy Object Editor (см. рис. 10-8).
Две опции, которые вы можете конфигурировать, используя групповые политики, управляют удалением принтера. Они касаются автоматического удаления объектов printer таз Active Directory, если объект printerустаревает. Например, если принтер удален из сервера печати, или если он больше недоступен на сервере для совместного пользования, удаление принтера удалит объект printer. По умолчанию один из контроллеров домена Active Directory пробует входить в контакт с каж-
дым сервером печати каждые 8 часов, чтобы подтвердить правильность информации о принтере. Если сервер печати не отвечает, объект printerудаляется из Active Directory. При каждом запуске сервера печати Windows 2000, или более поздней версии, он автоматически повторно регистрирует общие принтеры на сервере в Active Directory. Вы можете сконфигурировать параметры удаления принтера, используя редактор Group Policy Object Editor.

Рис. 10-7. Поиск принтеров в Active Directory

Рис. 10-8. Конфигурирование параметров настройки принтера с помощью редактора Group Policy Object Editor
Одна из наиболее интересных опций Active Directory, предназначенная для управления объектами printer — это опция, позволяющая автоматически показывать местоположение принтера для пользователей, выполняющих поиск принтера. Во многих компаниях, имеющих несколько офисов, есть служащие, которые путешествуют между ними. Большинство компаний имеет комнаты для собраний, которые находятся в различных частях здания. Всякий раз, когда пользователи перемещаются из одной части компании в другую, они должны иметь возможность печатать. Если пользователь не знает, где находятся принтеры, предназначенные для печати в данном месте, то поиск ближайшего принтера может занять некоторое время.
Поиск принтеров можно упростить, назначая каждому принтеру место в Active Directory, а затем используя расположение пользователя для предоставления списка принтеров, расположенных близко к нему. Эти функциональные возможности основаны на конфигурации сайта в вашей сети.
Чтобы включить мониторинг места расположения принтера, выполните следующие действия.

1. Откройте инструмент Active Directory Sites And Services и найдите объект subnet(подсеть), в котором включите мониторинг местоположения принтеров. Щелкните правой кнопкой мыши на объекте subnetи выберите Properties (Свойства). Щелкните на вкладке Location (Местоположение) и введите значение location(место расположения) для этой подсети. Запись места расположения должна иметь формат: location/sublocation(Общее расположение/детализированное расположение) (например, Главный офис/Третий этаж).
2. Используйте редактор Group Policy Object Editor для включения политики Pre-Popula-te Printer Search Location Text (Предварительно заполнить текст, указывающий место расположения принтера при поиске) для выбранного контейнера. В большинстве случаев это делается на уровне домена.
3. На вашем сервере печати обратитесь к окну Properties для каждого принтера. На вкладке General (Общее) вы можете заполнить место расположения принтера. Если первые два шага этой процедуры завершены, можете щелкнуть на Browse (Просмотр), чтобы найти место расположения принтера. Можно добавить больше деталей к описанию места расположения принтера, чтобы оно было лучше определено (например, Главный офис/Третий этаж/Внешняя комната для собраний 5).
4. После того как вы включили мониторинг места расположения принтеров, пользователи могут легко находить ближайший к ним принтер. Когда пользователь запускает Add Printer Wizard (Мастер добавления принтера) и ищет принтер в каталоге, атрибут Location (Место расположения) заполняется в соответствии с текущим сайтом пользователя. На рисунке 10-9 показано окно клиента Windows ХР Professional. Пользователь может щелкнуть Browse для нахождения более точного места расположения принтера.

Рис. 10-9. Поиск объекта printerв Active Directory с помощью атрибута Location
Управление опубликованными общими папками
Еще один объект, который можно публиковать в Active Directory - это объект sharedfolder(общая папка). Чтобы опубликовать общую папку в Active Directory, найдите нужный контейнер. Щелкните правой кнопкой мыши на контейнере и выберите New (HoBbm)>Shared Folder (Общая папка). Затем напечатайте имя объекта Active Directory, а также UNC-путь для общей папки. После того как в Active Directory будет создан объект shared folder, пользователи могут просматривать и искать его в Active Directory. Найдя объект sharedfolder, пользователи щелчком правой кнопкой мыши на объекте могут отобразить диск на общую папку.
Основное преимущество публикации общей папки в Active Directory состоит в том, что пользователи могут искать общие ресурсы, основываясь на разнообразных свойствах. Когда вы создаете объект sharedfolder, вы можете дать описание общей папки (см. рис. 10-10). После создания общей папки откройте окно Properties (Свойства) для указания ключевых слов, связанных с общей папкой. Когда клиентам потребуется найти общую папку, они могут сделать поиск в Active Directory, используя параметр, основанный на имени объекта, ключевых словах или описании.

Рис. 10-10. Публикация общей папки в Active Directory
Ограничение, связанное с публикацией общих папок в Active Directory, состоит в том, что, если общая папка переместится на другой сервер, то все клиенты, имеющие диски, отображенные на эту общую папку, обнаружат, что отображение больше не работает. Это произойдет, потому что при отображении клиентского диска на общую папку в Active Directory используется UNC-путь к ресурсу. Например, вы можете создать и опубликовать общую папку по имени Saleslnfo, которая указывает на \\Server1\SalesInfo. Когда пользователь находит эту общую папку в Active Directory и отображает диск, то для отображения диска используется синтаксис \\Serverl\SalesInfo. Если папка переместится, отображение диска перестанет действовать, даже если вы сделаете изменения в Active Directory так, чтобы объект указывал на новое место расположения.
Административные усовершенствования службы Active Directory Windows Server 2003
Система Windows 2000 содержала первый выпуск Active Directory, и многие из средств администрирования, которые поставлялись с Windows 2000, имели ограничения в некоторых важных аспектах. Средства администрирования Windows Server 2003 обеспечивают усовершенствованные функциональные возможности.

• Функциональность Drag and drop. Наиболее популярной новой функцией Active Directory Windows Server 2003 является перетаскивание объектов в пределах инструментов администрирования Active Directory. Теперь вы можете перемещать пользователя из одной OU в другую путем перетаскивания значка учетной записи пользователя. Вы можете добавить существующего пользователя к группе перемещением значка учетной записи пользователя в учетную запись группы.
• Одновременное редактирование нескольких элементов. Еще одна новая функция — возможность редактировать несколько объектов одновременно. В Active Directory Windows 2000 вы можете изменять только один объект за раз. С помощью инструмента администрирования Active Directory Users And Computers Windows Server 2003 можно изменять одновременно большое число объектов. Предположим, что все пользователи отдела Marketing (Маркетинг) переезжают в другое офисное здание, и вы должны заменить адрес для всех учетных записей пользователей. Используйте средство поиска, чтобы найти учетные записи пользователей, у которых атрибут Departmentустановлен на значение Marketing. Затем выделите все учетные записи в окне результатов поиска, щелкните на них правой кнопкой мыши и выберите Properties (Свойства). Теперь вы можете изменять общие атрибуты для всех учетных записей одновременно. Ваш домен должен работать на функциональном уровне Windows Server 2003, чтобы позволить одновременное редактирование нескольких элементов.
• Сохранение запросов. В больших организациях с тысячами пользователей администраторы всегда находят объекты Active Directory с помощью поиска, а не просмотра. Опция сохранения запросов означает, что вы можете однажды создать запрос на поиск, а затем сохранить его для повторного использования в другое время. Возможно, вы захотите выполнять ежемесячную проверку, чтобы узнать, какие учетные записи пользователя не использовались для входа в домен в последние 30 дней. Щелкните правой кнопкой мыши на контейнере Saved Query (Сохраненные запросы) и выберите New (Новый)><Querу (Запрос), чтобы создать запрос для поиска этой информации, а затем один раз в месяц просто щелкните на запросе, чтобы увидеть самый последний список.
• Инструменты командной строки Active Directory Windows Server 2003 включают множество новых средств, предназначенных для управления объектами Active Directory: утилиты Dsadd и Dsmod (для добавления или изменения объектов Active Directory соответственно), Dsrm (для удаления объектов Active Directory), Dsmove (для перемещения объектов из одного контейнера в другой), Dsquery (для поиска списка объектов) и Dsget (для отображения атрибутов объекта). Смотрите Help And Support Center (Центр справки и поддержки) для получения детальной информации о том, как использовать эти инструменты.

Резюме
В этой главе приведен краткий обзор стандартных объектов Active Directory Windows Server 2003 и процедур, позволяющих ими управлять. Наибольшие административные усилия вы потратите на управление этими объектами. В частности, вы будете управлять учетными записями пользователей и групп по мере притока и оттока служащих из вашей компании или по мере создания новых групп для защиты сетевых ресурсов. Одно из осложнений, с которыми вы столкнетесь, - у вас может быть три различных объекта, представляющих индивидуальных пользователей: объекты user, inetOrgPersonи contact. Кроме того, имеется два типа групп и три области действия, с которыми вам придется работать. Ваше время будет также занято управлением такими объектами как computer, printerили sharedfolder.

1 .. 9 10 11 12 13 .. 16