Книга Active directory
.pdfб12 Непрерывность бизнес-процессов каталогов |
Глава 13 |
ВНИМАНИЕ! Дополнительные сведения учетной записи
Отметим, что вкладка Additional Account Info открывается только в независимой коисолн Active Directory — пользователи и компьютеры (Active Directory Users And Computers) и не отображается в узле Active Directory — пользователи и компьютеры Диспетчера сервера (Server Manager).
Для установки вкладки Additional A c c o u n t Info в ы п о л н и т е следующую процедуру. При этом вам понадобятся учетные данные локального администратора, если вы работаете на рабочей станции или рядовом сервере, либо учетные данные администратора домена, если вы работаете на контроллере домена.
1.Убедитесь, что в системе установлены средства удаленного администрирования RSAT (Remote Server Administration Tools), в частности д л я администрирования AD DS.
2. На веб-сайте Microsoft загрузите утилиту Account Lockout And Management Tools и сохраните ее в папке Документы ( D o c u m e n t s ) системы, где хотите установить данную утилиту.
3. Извлеките инструменты из исполняемого файла .
4. После извлечения инструментов локализуйте ф а й л Acctlnfo.dll. Он должен храниться в папке Документы (Documents) .
5. В окне командной строки выполните от и м е н и администратора команду regsvr32 acctinfo.dll.
6. В сообщении об успешной регистрации щ е л к н и т е ОК и з а к р о й т е окно командной строки.
7. Если во время выполнения этих операций консоль Active Directory — пользователи и компьютеры (Active Directory Users And C o m p u t e r s ) была открыта, закройте и вновь откройте ее.
8. Локализуйте запись пользователя.
9. Откройте диалоговое окно Свойства (Properties) учетной записи пользователя.
10. Перейдите на вкладку Additional Account Info (рис. 13-1) и просмотрите информацию. Кроме нее вкладка содержит следующие сведения и опции.
• Политика паролей, назначенная для этой учетной записи . Чтобы ее отобразить следует щелкнуть кнопку Domain PW Info.
xj I I
Ртгмм PWS Kept |
/ЧрМмсгОД |
Информацию об идентификаторах безопасности учетной записи, представленную в секции SID History. Эти данные выводятся, если в домене включен журнал SID (Sid History), который обычно включается
Занятие 1 |
Поддержка каталогов и защита хранилища данных |
6 1 9 |
при миграции учетных записей из одного домена в другой и позволяет объекту учетной записи получать доступ к данным исходного домена. Тем не менее в новых доменах журнал SID недоступен, пока не будет выполнена миграция. После этого рекомендуется сразу же отключить SID History, чтобы избежать подделки SID-идентификаторов в домене. Если журнал SID включен, с помощью кнопки SID History можно проверить, что к учетным записям привязаны лишь корректные SIDидентификаторы .
Е Е З В а р Н Ш Ш В Ш Ж Я
Оп^пхооэ^чмв |
|
|
| |
Член го,Tin |
| Репплсэшг паролей |
j |
||||||||
Bwiofc.,» x w w |
I OflMK, I Безсп&о,о:1ъ ] |
Среда | |
[ |
|||||||||||
|
Умленнол гр-зален.м |
I |
Пх^мга. cr\{*i лфмталпа |
j |
||||||||||
|
j |
Адрес ] У«шзя |
аагксь | Проамгь 1 |
Тегсчит. I 0crarata&4,R | |
||||||||||
COM- |
1 |
Реоактор атрибутов |
Addtonal Accart Ио |
|
||||||||||
Paaswoni la* Set |
[Must Oanga at пвя Ьрэп |
1 Ctgneti FW IrVo | |
|
|||||||||||
Pa® |
|
Е ч ч « |
[fto Exi^y iMiat Oiangel |
|
|
|
|
|
|
|
|
|||
L1»AccoutCo«rd |
|si2~ |
|
Ocoda . |
I |
|
|
|
|
|
|
||||
Locked Mo |
|
|
|
|
|
|
|
|
|
|
|
|
||
90 |
[ГП^М7037№272е127<5М1М53983В-11® |
' n • |
|
|||||||||||
GU 0 |
|bW9S2c4-b6b845b5-63bc-2»>13SI00834 |
|
|
|
|
|
|
|
|
|||||
Prooert*» On SERVERIO.treilwaeich com |
|
|
|
|
|
|
|
|
||||||
lastltgon |
|Ho Vabe Set |
|
|
|
|
|
|
|
|
|
||||
Lau Logtf |
|No Value Sat |
|
|
|
|
|
|
|
|
|
||||
Last Bad logon |
(NoVaUSat |
|
|
|
|
|
|
|
|
|
||||
Logcnijx.rt |
F |
Bad Pwtvroid Count |
|5 |
|
|
|
|
|
||||||
|
Sal PW On Ste DC.. | |
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
OK |
[ |
Oimoho | |
!';.. |
. , | . . . |
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рис. 13-1. Вкладка Additional Account Info в диалоговом окне свойств учетной записи пользователя
• Опция Set PW On Site DC, которая позволяет сбросить пароль пользователя иа контроллере его домена, чтобы избежать задержек репликации и предоставить пользователю быстрый доступ к своему паролю. Кнопка J u s t Find Site позволяет локализовать контроллер домена в сайте и сменить пароль.
|
|
|
|
* ] |
|
|
|
|
|
|
|
|
|
|
Uiar't Conptlet |
j |
FTUM) |
j find |
Ste I |
Paeaword |
j |
|
OK |
I |
|
|
|
|
|
Cortnn fo»r*Q-'J |
[ |
|
|
I |
P »ог Muat Change Pesaword At fkj] loocn
Г
DC WSERVERlOlreyTMoarchcon (Cwnpuer Net Specrtied} Sit OafaiilFt»t-Sio-Name(PC«yo^ele)
UmtDN CH-Ci»,Kafc.OU-Hca»»
б12 Непрерывность бизнес-процессов каталогов Глава 13
Эту динамическую библиотеку Acctlnfo.dll используют отделы справки и администраторы домена.
К СВЕДЕНИЮ Утилита Account Lockout and Management
Утилиту Account Lockout and Management можно загрузить по адресу http://www. microsoft.com/Downloads/details.aspx9Family ID = 7af2e69c-91f3-4e63-8629-b999adde0 b9e&displaylang=en.
Использование надстройки Specops G p u p d a t e
Работая с объектами компьютеров в каталоге с и с п о л ь з о в а н и е м оснастки Active Directory — пользователи и компьютеры (Active Directory Users And Computers), можно щелкнуть объект правой кнопкой мыши, выбрать коман-
ду Управление (Manage) и запустить оснастку |
У п р а в л е н и е компьютером |
|
(Computer Management). Однако при этом вы не |
п о л у ч и т е доступ |
к более |
простым функциям, таким как удаленное обновление объектов G P O |
или ко- |
манды запуска, завершения работы и перезагрузки. Тем не менее вы можете применять простую бесплатную надстройку компании Special Operations Software под названием Specops Gpupdate. Эта утилита автоматически добавляет функциональность в консоль Active Directory — пользователи и компьютеры и позволяет управлять рядом операций:
• удаленное обновление объектов G P O , в области действия которых находится объект в каталоге;
•удаленный запуск или завершение работы выбранного компьютера;
•генерирование графических отчетов о результатах операции.
Кроме того, с помощью утилиты G p u p d a t e все у к а з а н н ы е задачи можно выполнять для отдельных объектов компьютеров или коллекций объектов, применяя операции к целому подразделению. Администраторы обычно используют эту утилиту для удаленного управления компьютерами и серверами.
ПРИМЕЧАНИЕ Надстройка Specops Update
Надстройку Specops Update можно загрузить по адресу http://www.specopssoft.com/ products/specopsgpupdate/download.asp.
СОВЕТ К ЭКЗАМЕНУ
Отметим, что использование надстройки Specops Gpupdate для управления объектами в AD DS не входит в темы сертификационного экзамена.
Для установки надстройки Specops G p u p d a t e в ы п о л н я е т с я следующая процедура. На рабочей станции или рядовом сервере потребуются учетные данные локального администратора, а на контроллере домена — реквизиты администратора домена. Кроме того, д л я одноразовой регистрации Display Specifier в лесу нужно быть членом группы Администраторы предприятия (Enterprise Admins).
б12 Непрерывность бизнес-процессов каталогов |
Глава13 |
15. Нажмите клавишу Enter, чтобы запустить команду.
Откроется окно командной строки с результатами в ы п о л н е н и я команды. 16. Нажмите любую клавишу, чтобы закрыть окно.
Теперь после добавления спецификаторов дисплея вы можете просто запустить файл SpecopsGpupdate.msi на компьютере д л я установки Specops Gpupdate, выполнив лишь шаги 1 - 10 .
При работе с объектами компьютеров можно использовать контекстное меню для получения доступа к новым ф у н к ц и я м администрирования объекта компьютера или подразделения, содержащего объекты компьютеров (рис. 13-2). Этот бесплатный инструмент является п р е к р а с н ы м д о п о л н е н и е м к любой службе каталога.
09»-u*orw >я | |
|
(unBulcOuMTi J |
|
««ferC»*».. |
|
W . . |
|
MM. |
|
|
|
Gp |
|
RcHfAttvuK |
|
«.«XlofAn |
|
||
|
|
Сip-e4*t |
|
|
|
KnUn |
|
МЫ) |
» |
С van |
|
Sun |
|||
W. |
|
||
|
» |
||
|
|
||
ONk |
|
Cut |
|
Mm |
|
topwtki |
Рис. 13-2. Команды контекстного меню Specops Gpupdate
Административные средства AD DS
Для выполнения операций, связанных с администрированием AD DS и DNS, можно использовать различные инструменты. Многие из этих средств описаны на предыдущих занятиях. В табл. 13-2 приведен список инструментов, которые применяются для выполнения административных задач, а также указано расположение этих инструментов. Описанные инструменты применяются для сервиса, а не администрирования данных. Многие из этих средств также можно использовать при работе со службами облегченного доступа к Active Directory (Active Directory Lightweight Directory Services, AD LDS), поскольку в них ' применяется тот же код ядра, как и в AD DS.
Табл. 13-2. Распространенные средства сервисного администрирования
Инструмент |
|
Описание |
Расположение |
||
|
|
|
|
|
|
Active Directory — |
Администрирование доверительных |
Программная группа |
|||
домены идоверие |
отношений, функционального уров- |
Администрирование |
|||
(Active Directory Do- |
ня леса и домена, а также суффиксов |
(Administrative Tools) |
|||
mains And Trusts) |
|
основных имен пользователей |
|
6 2 6 |
б12 Непрерывность бизнес-процессов каталогов |
Глава 13 |
|
К СВЕДЕНИЮ |
Поиск и загрузка инструментов |
|
Для локализации инструмента Movetree.exe откройте страницу, находящуюся по адресу http://www.microsoft.com/downloads/details.aspxPFamilyID~96a35011-fd83-419d- 939b-9a772ea2df90&DisplayLang=en. Загрузите файл .cab и извлеките из него все файлы movetree.*. Отметим, что не все инструменты в данном файле работают с Windows Server 2008. Средства поддержки Windows Server 2003 не способны функционировать в Windows Server 2008. Например, инструмент ReplMon.exe просто не запустится.
Для того чтобы получить инструмент Ultrasound, откройте страницу, которая находится по адресу http://tvww.microsoft.com/Downloads/details.aspx7Family ID" 61 асЬ9Ь9- c354-4f98-a823-24cc0da73b50&displaylang=en. Чтобы получить инструмент GPO Diagnostic Best Practices Analyzer для платформы х86, откройте страницу http:// www.microsoft.com/downloads/details.aspx7FamilyID~47f11b02-8ee4-450b-bf13- 880b91ba4566&DisplayLang=en. Версию для платформы х64 можно получить по
адресу |
http://www.microsoft.com/downloads/details.aspx9familyid~70E0EDEC-66F7- |
4499-83 В 7-4F2009DF2314 & display la ng=en. |
Техническая поддержка в сети
На других занятиях вы выполняли многие задачи, перечисленные в табл. |
13-1. |
||
В табл. 13-3 указано, где искать и н ф о р м а ц и ю о каждой из 12 задач AD |
DS, |
||
описанных в данном руководстве. |
|
|
|
Табл. 13-3. Административные задачи AD DS |
|
|
|
|
|
|
|
Задача |
Описание |
|
|
Администрирование учетных записей пользователей и групп |
Главы 2 - 4 |
|
|
Администрирование конечных устройств |
Глава 5 |
|
|
Администрирование сетевых служб |
Главы 4, 7,10, И |
|
|
Управление объектами групповой политики (Group Policy |
Главы 6, 7 |
|
|
Object, GPO) |
|
|
|
Администрирование службы доменных имен (Domain Name |
Глава 9 |
|
|
Service, DNS) |
|
|
|
Управление топологией и репликацией Active Directory |
Главы 10, 11 |
|
|
Управление конфигурацией Active Directory |
Главы 1,2,8,10-12 |
|
|
Управление схемой Active Directory |
Глава 14 |
|
|
Управление информацией |
Главы 2 - 5,11 |
|
|
Администрирование безопасности |
Главы 2,7, 8,12 |
|
|
Управление базами данных |
Глава 13 |
|
|
Отчетность Active Directory |
Главы 2, 6-8,10, И, 13 |
|
Автономная техническая поддержка
Значительное отличие AD DS от предыдущих версий состоит в трансформации роли контроллера домена в управляемую службу. В предыдущих версиях Windows Server роль контроллера домена была монолитной, то есть для того, чтобы остановить службу, приходилось полностью выключать контроллер домена, и для технического обслуживания базы данных Ntds.dit, содержащей
Занятие 1 |
Поддержка каталогов и защита хранилища данных |
6 2 7 |
хранилище каталогов, контроллер домена требовалось перезагружать в режиме восстановления служб каталогов (Directory Services Repair Mode). По этой причине отсутствовал способ автоматизации операций технической поддержки базы данных . В результате большинство администраторов доменов вообще никогда не в ы п о л н я л и задачи технической поддержки баз данных, а такой подход неприемлем в управлении системами.
Всё базы данных работают по одним и тем же принципам. Когда добавляется новая запись, база данных предоставляет дополнительное пространство для хранения информации, связанной с записью. Однако при удалении записи выделенное пространство не возвращается — необходимо выполнить операции по сжатию базы данных. Служба AD DS выполняет некоторые автоматические операции сжатия, однако они не восстанавливают утерянное пространство внутри базы данных, а всего л и ш ь перемещают данные с целыо ускорения доступа. Ч т о б ы восстановить утерянное пространство, базу данных необходимо переключить в а в т о н о м н ы й р е ж и м и запустить последовательно операции сжатия и дефрагментации .
И все же в Windows Server 2008 служба AD DS является управляемой, то есть ее можно запускать и останавливать, как и все остальные службы Windows Server. Таким образом, чтобы выполнить операции технической поддержки, контроллер домена больше не нужно перезагружать в режиме восстановления служб каталогов. Кроме того, поскольку служба AD DS теперь ведет себя точно так же, как и любая внутренняя служба, для нее с помощью основных инструментов командной строки можно писать сценарии с целью автоматизации операций дефрагментации и сжатия.
Отметим, что д л я остановки службы AD DS контроллер домена должен связаться с еще о д н и м контроллером домена, на котором запущена данная служба, иначе остановить работу службы AD DS невозможно. Служба AD DS автоматически проверяет, имеется ли в наличии хотя бы один доступный контроллер домена, поскольку в противном случае никто не сможет войти в сеть.
Впрактических упражнениях этого занятия вы займетесь дефрагментацией
исжатием.
СОВЕТ К Э К З А М Е Н У
Дефрагментация и сжатие в автономном режиме, а также служба AD DS с возможностью многократного запуска являются важными темами сертификационного экзамена.
Использование встроенных механизмов защиты каталогов
Защита данных — один из важнейших аспектов активного управления системами, включая AD DS. Каждая учетная запись, которая хранится в базе данных AD DS, — у н и к а л ь н ы й объект, поскольку привязана к уникальному идентификатору безопасности SID (Security Identifier). Это означает, что удаленную учетную запись нельзя просто воссоздать заново. Хотя повторно созданная учетная запись на глаз ничем не отличается от исходной, для AD DS она является абсолютно другим объектом и, следовательно, не дублирует