- •1. Присоединение компьютера к домену
- •Dsmove dn_объекта [-newname новое_имя] [-newparent dn_родителя]
- •2. Управление учетными записями компьютеров
- •3. Устранение неполадок с учетными записями компьютеров
- •О возможных проблемах с учетной записью компьютера
- •Создание объекта computer
- •Присоединение компьютера к домену
- •Перемещение объекта computer
- •Переименование компьютера
- •Переустановка учетной записи компьютера
О возможных проблемах с учетной записью компьютера
• сообщения об ошибках или записи в журнале событий о подобных проблемах или предположения об ошибке паролей, доверительных отношений, безопасных каналов или отношений с доменом или контроллером домена;
• отсутствие учетной записи компьютера в Active Directory.
В каждой из таких ситуаций необходимо устранить проблему с учетной записью. Вы уже знаете, как удалять, отключать и переустанавливать учетную запись компьютера, а также как присоединять компьютер к домену.
При устранении неполадок с учетными записями компьютеров придерживайтесь следующих правил.
A. Если данная учетная запись компьютера существует в Active Directory, ее нужно переустановить.
B. Если данной учетной записи компьютера нет в Active Directory, ее нужно создать.
C. Если компьютер еще принадлежит домену, его нужно удалить из домена, включив в какую-либо рабочую группу. Имя рабочей группы не имеет значения. Лучше всего методом проб найти имя, которое точно не используется.
D. Снова присоединить этот компьютер к домену; или присоединить другой компьютер, но его имя должно совпадать с именем данной учетной записи.
Для устранения любой неполадки с учетной записью компьютера применяйте все четыре правила. Они могут применяться в произвольном порядке, за исключением правила D, связанного с присоединением компьютера к домену, — эту операцию выполняйте в последнюю очередь.
Рассмотрим две ситуации.
В первой ситуации пользователь жалуется: при попытке входа в систему выдается сообщение, что учетная запись для данного компьютера, возможно, отсутствует. Применяя правило А, вы открываете консоль Active Directory — пользователи и компьютеры (Active Directory Users And Computers) и обнаруживаете, что данная учетная запись существует. Вы переустанавливаете учетную запись. Правило В не применяется — учетная запись существует. Затем, согласно правилу С, вы отсоединяете данную систему от домена, после чего по правилу D снова присоединяете ее.
Во второй ситуации предположим, что учетная запись компьютера переустановлена случайно, тогда сначала применим правило А. Хотя переустановка и случайна, необходимо продолжить восстановление согласно остальным трем правилам. Правило В не применяется, поскольку данная учетная запись существует в домене. Правило С говорит, что раз компьютер еще присоединен к домену, его нужно удалить из домена, а затем, по правилу D, снова присоединить.
По этим четырем правилам вы сможете принять осознанное решение о том, как поступить в каждой ситуации сбоя функционирования учетной записи компьютера.
В Active Directory представление компьютеров во многом подобно представлению пользователей: это объекты в составе каталога, для удобства администрирования объединенные в группы и подразделения. Равно как и объектам user, им предоставляются разрешения на доступ к ресурсам, к ним применяются групповые политики. Класс computer, к которому относятся эти объекты, наследует класс user, благодаря чему он в дополнение к нескольким собственным атрибутам включает все атрибуты данного класса.
Для того чтобы компьютеры могли входить в состав доменов, каждый из них должен иметь защищенный канал связи с контроллером домена. Такого рода канал представляет собой аутентифицируемое подключение, через которое можно передавать зашифрованные данные. Для его создания компьютер должен сообщить контроллеру домена свой пароль, который будет сверяться с паролем, хранящимся в учетной записи этого компьютера в Active Directory. Без такой учетной записи (представленной объектом computer) аутентификация компьютера просто невозможна.
Анатомия объекта computer
По умолчанию объекты computer помещаются в контейнер cn=Computers (Компьютеры), который находится в корневом каталоге домена. Однако при желании такие объекты можно создавать в любом месте дерева каталога в пределах домена. Более того, в Windows Server 2003 можно изменить задаваемое по умолчанию местоположение объектов computer. Список важнейших атрибутов объекта computer приведен в табл. 1.
Таблица 1. Атрибуты объекта computer
Атрибут |
Описание |
cn |
Относительное отличительное имя объекта computer |
dnsHostName |
Полное DNS-имя компьютера |
lastLogonTimestamp
|
Приблизительные значения даты и времени последнего подключения компьютера к домену. Этот атрибут был введен в Windows Server 2003 |
managedBy |
Отличительное имя пользователя (или группы), отвечающего за управление данным компьютером |
memberOf |
Список отличительных имен групп, в которые входит данный компьютер |
operatingSystem |
Текстовое описание операционной системы, под управлением которой работает компьютер |
operatingSystemHotFix |
В настоящее время не используется |
operatingSystemServicePack
|
Версия установленного на компьютере пакета обновлений (service pack) |
operatingSystemVersion |
Версия операционной системы, под управлением которой работает компьютер |
pwdLastSet |
Большое целое число, представляющее время последней установки пароля данного компьютера |
sAMAccountName |
NetBIOS-имя компьютера. Обычно это имя компьютера с символом «$» на конце |
userAccountControl |
Набор битовых флагов, представляющих свойства учетной записи |