Книга Active directory

(Active Directory Certificate Services, AD CS). Учтите вероятные последствия перед переименованием компьютера. Не применяйте эти методы для переименования контроллера домена.

Отключение и включение учетных записей компьютеров

Если компьютер отключается от сети и не будет использоваться продолжительное время, отключите его учетную запись. Эта рекомендация соответствует принципу безопасности, который гласит, что хранилище объектов идентификации разрешает проверку подлинности лишь минимального числа учетных записей, необходимого для функционирования организации. Отключение учетнон записи не модифицирует SlD-идентификатор и членство этой записи в группах, и потом учетную запись можно будет включить, возобновив работу компьютера.

Компьютер можно отключить, щелкнув его объект правой кнопкой мыши н применив команду Отключить учетную запись (Disable Account). Отключенная учетная запись помечена, как видно на рис. 5-8, значком со стрелкой вниз в оснастке Active Directory — пользователи и компьютеры (Active Directory Users And Computers).

OESCTOP153

Рис, 5-8. Отключенная учетная запись компьютера

Пока учетная запись отключена, компьютер не может создать безопасный канал с доменом. В результате пользователи, которые ранее не входили на компьютер, а следовательно, не располагают кэшированными учетными данными на этом компьютере, не смогут войти в домен, пока путем включения учетной записи не будет заново установлен безопасный канал.

Чтобы включить учетную запись компьютера, выберите объект компьютера и в контекстном меню примените команду Включить учетную запись (Enable Account).

Для отключения или включения учетной записи компьютера в окне командной строки служит команда Dsmod. Далее приведен ее синтаксис:

Удаление учетных записей компьютеров

Как вы уже знаете, учетные записи компьютеров, аналогично учетным записям пользователей, поддерживают уникальный SID-идентификатор, с помощью которого администратор может предоставить разрешения доступа к компьютерам. Кроме того, подобно учетным записям пользователей, компьютеры также могут принадлежать к группам. Поэтому важно понимать, что удаление учетной записи компьютера аналогично удалению таковой пользователя. При удалении учетной записи компьютера теряется его членство в группах и SID-идентифи- катор. Если компьютер был удален случайно и вместо него была создана еще одна учетная запись компьютера, ей в любом случае будет присвоен другой

Занятие 3 Поддержка объектов и учетных записей компьютеров 2 1 9

SID -нде н тифика тор . Потребуется заново установить членство новой учетной записи в группах и назначить ей все разрешения удаленного компьютера. Удаляйте объекты компьютеров только в том случае, когда уверены, что эти атрибуты безопасности объекта больше не потребуются.

Чтобы удалить объект компьютера с помощью оснастки Active Directory — пользователи и компьютеры (Active Directory Users And Computers), щелкните правой кнопкой мыши объект компьютера и в контекстном меню выберите команду Удалить (Delete). Потребуется подтвердить удаление, а поскольку эта операция необратима, по умолчанию выбрана кнопка Нет (No). Щелкните кнопку Да (Yes), чтобы удалить объект.

С помощью команды Dsrm, описанной в главе 3, объект компьютера можно удалить в окне командной строки. Чтобы удалить объект компьютера, введите команду:

DSRM ВН_объекта

Укажите отличительное имя компьютера, как, например, "CN=Desktop154, OU=KnueHmbi,DC=contoso,DC=com". После этого вам потребуется подтвердить удаление.

Повторный ввод компьютеров в эксплуатацию

Если членство в группе, SID-идентификатор учетной записи компьютера и разрешения, назначенные этому SID-идентификатору, играют важную роль в операциях домена, учетную запись компьютера удалять нельзя. Но что делать, если компьютер заменен системой с более мощным оборудованием? Придется переустановить учетную запись.

При сбросе учетной записи компьютера сбрасывается его пароль, но все остальные свойства объекта компьютера поддерживаются. Учетная запись со сброшенным паролем доступна для использования. С помощью этой учетной записи можно присоединить к домену любой компьютер, включая обновленную систему. По сути, вы вводите эту учетную запись в повторную эксплуатацию, предоставляя ее другой машине. Вы можете даже переименовать эту учетную запись. Членство в группе и SID-идентификатор останутся теми же.

Как мы уже говорили на этом занятии, команда Переустановить учетную запись (Reset Account) доступна в контекстном меню, которое открывается при щелчке объекта компьютера правой кнопкой мыши. Для сброса учетной записи компьютера можно также воспользоваться командой Dsmod, например: dsmod computer "DN_K0Mnbi0mepa " -reset.

Практические занятия. Поддержка объектов

иучетных записей компьютеров

Впредложенных далее упражнениях вы займетесь поддержкой и устранением неполадок учетных записей компьютеров. Для выполнения этих упражнений

в домене contoso.com д о л ж н ы быть созданы следующие объекты:

•подразделение первого уровня Клиенты;

•два объекта компьютеров D E S K T O P 1 5 4 и DESKTOP155 в подразделении Клиенты;

Глава 5

•дочерние подразделения Desktops и Laptops в подразделении Клиенты;

•подразделение первого уровня Кадры;

•учетные записи пользователей Линды Митчелл и Скотта Митчелла в подразделении Кадры с такой контактной информацией, как адрес, телефон

иэлектронная почта;

•подразделение первого уровня Группы;

•группа Sales Desktops в подразделении Группы.

Упражнение 1. Управление объектами компьютеров

В этом упражнении вы решите несколько распространенных задач администрирования для поддержки компьютеров двух менеджеров по'продажам компании Contoso, Ltd, а именно Линды Митчелл и Скотта Митчелла.

1.Войдите на машину SERVER01 как администратор.

2.Откройте оснастку Active Directory — пользователи и компьютеры (Active Directory Users And Computers).

3.Выберите подразделение Клиенты.

4.В панели сведений щелкните правой кнопкой мыши объект компьютера DESKTOP154 и примените команду Свойства (Properties).

5.Перейдите на вкладку Управляется (Managed By).

6.Щелкните кнопку Изменить (Change).

7.Введите имя пользователя Скотт Митчелл и щелкните ОК .

Вкладка Управляется (Managed By) отображает контактную информацию объекта пользователя Скотта Митчелла.

8. Щелкните кнопку Свойства (Properties).

Откроется окно свойств объекта, на который с с ы л а е т с я а т р и б у т managedBy.

9.Щелкните ОК, чтобы закрыть все диалоговые окна.

10.Повторите шаги 4-9, чтобы связать компьютер D E S K T O P 1 5 5 с пользователем Линдой Митчелл.

11.Откройте подразделение Клиенты и в панели сведений выберите оба компьютера - DESKTOP154 и DESKTOP155..

12.Перетащите оба объекта в подразделение Desktops. Щелкните кнопку Да (Yes), чтобы подтвердить операцию.

13.В дереве консоли выберите подразделение Desktops.

14. В панели сведений выберите оба компьютера — D E S K T O P 1 5 4 и D E S K - T O P S .

15.Щелкните правой кнопкой мыши один из выбранных компьютеров и примените команду Свойства (Properties).,

Откроется диалоговое окно Свойства множественных элементов (Properties For Multiple Items).

16.Установите флажок Изменить текст описания у всех выбранных объектов (Change The Description Text For All Selected Objects) и введите описание

Sales Desktops. Щелкните ОК.

17.Выберите оба компьютера, щелкните правой кнопкой один из них и примените команду Добавить в группу (Add То A Group).

18.Введите мя группы Sales Desktops и щелкните ОК.

На экран будет выведено сообщение об успешном выполнении операции.

19.Щелкните ОК.

20.В дереве консоли выберите подразделение Domain Controllers.

21.В панели сведений щелкните правой кнопкой мыши объект SERVER01 и примените команду Управление (Manage).

22.Откроется консоль Управление компьютером (Computer Management), сфокусированная на компьютере SERVER01.

Упражнение 2. Устранение неполадок учетных записей компьютеров

Вданном упражнении вы имитируете сброс безопасного канала члена домена. Если к домену contoso.com присоединен еще один компьютер, вы можете использовать его имя в шаге 4 этого упражнения, чтобы на самом деле сбросить безопасный канал.

1 Откройте окно командной строки.

2.Команда Nltest может тестировать безопасный канал и выполнять различные тесты в домене. Введите команду nltest/? и просмотрите опции, поддерживаемые утилитой Nltest.exe.

3.Команда Netdom решает множество задач, связанных с управлением компьютерами и доменом. Введите команду netdom /? и просмотрите опции, поддерживаемые утилитой Netdom.exe.

4.С помощью команды netdom reset desktop154 имитируйте сброс безопасного канала компьютера. Вы увидите сообщение о недоступности сервера RPC, j поскольку система отключена от сети.

Резюме

•Свойства компьютера можно конфигурировать с помощью инструментов Active Directory — пользователи и компьютеры (Active Directory Users And Computers), Dsmod, Windows PowerShell и VBScript.

•Компьютеры поддерживают учетные записи, которые, аналогично учетным записям пользователей, включают SID-идентификаторы и членство в группах. Удалять объекты компьютеров нужно со всеми мерами предосторожности. Отключенный объект компьютера можно включить вновь, когда компьютер потребуется включить в домен.

•При разрыве доверительных отношений с доменом для сброса безопасного канала можно использовать команду Переустановить учетную запись (Reset Account) в оснастке Active Directory — пользователи и компьютеры (Active

Глава 5

Directory Users And Computers), команду Dsmod, а также команды Netdom.exe

и Nltest.exe.

Закрепление материала

Приведенные ниже вопросы можно использовать для проверки знаний, полученных на занятии 3. Эти вопросы можно найти и на сопроводительном компакт-диске.

ПРИМЕЧАНИЕ Ответы

Ответы на эти вопросы с пояснениями, почему тот или иной вариант ответа правилен или неверен, вы найдете в разделе «Ответы» в конце книги.

1.Администратор сервера обнаружил ошибки отказа проверки подлинности (Failed То Authenticate) в журнале событий файлового сервера. Что нужно сделать?

A. Переустановить учетную запись.

Б. Переустановить пароль сервера администратора.

B. Отключить и вновь включить учетную запись сервера.

Г.Удалить учетную запись администратора сервера.

2.Учетной записи компьютера предоставлены разрешения на поддержку системной службы. Эта учетная запись принадлежит к 15 группам. Компьютер заменен новой машиной. Ей присвоен новый инвентарный номер, который, по правилам именования, должен служить именем'компьютера. Что нужно сделать? (Укажите все варианты. Каждый правильный ответ — лишь часть полного решения.)

A. Удалить учетную запись существующей системы.

Б. Создать учетную запись компьютера для новой системы.

B.Переустановить учетную запись для существующей системы.

Г.Переименовать учетную запись компьютера для существующей системы.

Д.Присоединить новую систему к домену.

3.Ваше предприятие недавно создало дочерний домен д л я поддержки исследовательского проекта в удаленном размещении. В этот новый домен перемещены учетные записи компьютеров участников проекта. В оснастке Active Directory — пользователи и компьютеры (Active Directory Users And Computers) объекты этих компьютеров помечены значком со стрелкой вниз. Что следует сделать с учетными записями?

A.Переустановить.

Б.Отключить. B. Включить.

Г. Удалить.

Сценарий 1. Создание и присоединение объектов компьютеров к домену

При аудите безопасности вы обнаружили много компьютеров в контейнере Computers, что противоречит правилам, по которым учетные записи для компьютеров требуется предварительно размещать в подразделении Клиенты. Вас это беспокоит, поскольку контейнер Computers ие подпадает под действие объектов групповой политики с корпоративными параметрами безопасности. Вы хотите запретить администраторам и пользователям добавлять компьютеры

вконтейнер Computers.

1.При каких обстоятельствах компьютеры добавляются в контейнер Computers?

2.Как проверить, добавляются ли по умолчанию компьютеры в подразделение Клиенты?

3.Что можно сделать, чтобы запретить неадминистративным пользователям присоединять компьютеры к домену?

Сценарий 2. Автоматизация создания объектов компьютеров

Недавно вы заказали для удаленных менеджеров по продажам 100 ноутбуков. Поставщик прислал в файле Excel список их инвентарных номеров. Как создать учетные записи для этих систем, используя инвентарные номера в качестве имен компьютеров?

1.Какой инструмент следует использовать для импорта компьютеров?

2.Вы импортируете компьютеры в новое подразделение. Как отключить все учетные записи в одной команде?

3.В оснастке Active Directory — пользователи и компьютеры (Active Directory Users and Computers) вы открыли один из импортированных объектов и обнаружили, что забыли отконфигурировать атрибут Описание (Description) для группы Sales Laptop. Как отконфигурировать описание для 100 систем в оснастке Active Directory — пользователи и компьютеры?

Практические задания

Чтобы успешно подготовиться к сертификационному экзамену, выполните следующие задания.

Создание и поддержка учетных записей компьютеров

В этом упражнении вы выполните ключевые административные задачи для поддержки жизненного цикла компьютера в Домене.

Для выполнения упражнения в домене contoso.com должны быть созданы следующие объекты:

•подразделения первого уровня Клиенты; Серверы; Кадры;

•подразделение первого уровня Администраторы с'Дочерним подразделением Группы;

•группа Справка в подразделении Администраторы;

•учетные записи пользователей Линды Митчелл и Эприла Стюарта в подразделении Кадры;

• пользователь Л и н д а Митчелл входит в группу Справка.

И, наконец, вам понадобится второй компьютер, который можно присоединять к домену. На этом компьютере должна быть установлена система Windows Server 2008 или Windows Vista. Компьютер должен быть членом рабочей группы. Задайте д л я него имя DESKTOP555.

•Упражнение 1 Войдите на машину SERVER01 как администратор и создайте в подразделении Клиенты учетную запись для компьютера DESKТОР555 . В секции Пользователь или группа (User Or Group) щелкните кнопку Изменить (Change) и укажите группу Справка, чтобы члены этой группы могли присоединить компьютер к домену.

•У п р а ж н е н и е 2 Войдите на машину D E S K T O P 5 5 5 как администратор. Присоедините компьютер к домену. В окно ввода учетных данных введите имя и пароль пользователя Л и н д ы Митчелл. Перезагрузите систему и войдите в домен как пользователь Эприл Стюарт.

• У п р а ж н е н и е 3 О т к р о й т е оснастку Active Directory — пользователи

икомпьютеры (Active Directory Users and Computers), щелкните правой кнопкой м ы ш и объект компьютера D E S K T O P 5 5 5 и примените команду Переустановить учетную запись (Reset Account). Таким образом будет полностью разорван безопасный канал между компьютером DESKTOP555

идоменом. Попробуйте войти на машину D E S K T O P 5 5 5 как пользователь Линда Митчелл. Появится сообщение о том, что установить доверительные отношения с доменом не удается. Поскольку для разрыва безопасного канала вы использовали команду Переустановить учетную запись (Reset Account), вы не сможете восстановить такой канал с помощью команд Netdom.exe и Nltest.exe. В обычных сценариях устранения неполадок в первую очередь нужно использовать эти инструменты. В данном случае заново присоедините компьютер к домену.

• Упражнение 4 Удалите объект D E S K T O P 5 5 5 из домена и поместите его в рабочую группу. Убедитесь, что учетная запись объекта удалена в Active Directory. С помощью команды Redircmp.exe выполните перенаправление контейнера компьютеров по умолчанию в подразделение Клиенты. Войдите на машину D E S K T O P 5 5 5 как администратор и присоедините компьютер к домену. В окне ввода учетных данных введите имя и пароль пользователя Эприла Стюарта. Компьютер будет присоединен к домену с помощью нового объекта в подразделении Клиенты. Вновь удалите компьютер из домена. Атрибуту ms-DS-MachineAccountQuota присвойте значение 0, как описано в подразделе «Ограничение возможности создания компьютеров пользователями» на занятии 1. Затем вновь попытайтесь присоединить компьютер D E S K T O P 5 5 5 к домену, применив учетные данные пользователя Эприла Стюарта. Должно появиться сообщение об ошибке (см. рис. 5-4).

Пробный экзамен

На прилагаемом к книге компакт-диске представлено несколько вариантов тренировочных тестов. Проверка знаний выполняется или только по одной теме сертификационного экзамена 70-640, или по всем э к з а м е н а ц и о н н ы м темам. Тестирование можно организовать таким образом, чтобы оно проводилось как экзамен, либо настроить на режим обучения. В последнем случае вы сможете

Инфраструктура групповой политики

В главе 1 мы обсуждали Доменные службы Active Directory (Active Directory Domain Services, AD DS), которые обеспечивают службы для идентификации и управления доступом в корпоративных сетях Microsoft Windows, а также предоставляют возможности поддержки управления и конфигурации даже в очень крупных и сложных сетях. В главах 2 - 5 описаны методы администрирования принципалов безопасности служб каталогов Active Directory, включая пользователей, группы и компьютеры. Далее речь пойдет об управлении и настройке пользователей и компьютеров с помощью групповой политики. Групповая политика обеспечивает инфраструктуру, в которой можно централизованно определять и развертывать пользователей и компьютеры на предприятии.

В среде, у п р а в л я е м о й четко определенной инфраструктурой групповой политики, непосредственная конфигурация рабочих столов практически не выполняется. Вся конфигурация определяется, внедряется и обновляется с помощью параметров объектов групповой политики GPO (Group Policy Object), которые управляют структурами предприятия, как, например, сайты, домены, а также отдельные подразделения и группы. В этой главе мы рассмотрим групповую политику, принципы ее работы и рекомендуемые методики реализации групповой политики в организаций. В последующих главах настоящего руководства групповая политика будет применяться для выполнения конкретных задач управления, таких как настройка безопасности, развертывание программного обеспечения, политика паролей и аудит.

Темы экзамена:

•Создание и поддержка объектов Active Directory.

•Создание и применение объектов групповой политики (GPO).

•Настройка шаблонов GPO .