Существует четрые способа установки Active Directory.
- Установка средствами Мастера установки Active Directory (Active Directory Installation Wizard); подходит в большинстве случаев.
- Установка с помощью файла ответов, методом необслуживаемой установки (позволяет удаленно установить AD).
- Установка с применением сетевого или архивного источника (исп. при установке Active Directory на дополнительные контроллеры домена).
- Установка при помощи Мастера настройки сервера (Configure Your Server Wizard). (этот метод применим только при установке Active Directory на первый контроллер домена в сети).
Все четыере пути позволяют назначить компьютер на роль контроллера домена, установить Active Directory, и при желании — установить и настроить DNS-сервер.
Однако первый способ является универсальным, его и рассмотрим подробнее, на примере установки Active Directory на первый контроллер домена в сети…
Установка Active Directory с помощью Мастера установки Active Directory.
- Для того что бы открыть Мастре установки Active Directory (Active Directory Installation Wizard), введите в диалоговом окне Выполнить (Run) команду dcpromo .
- После появления страницы мастера под именем Мастер установки Active Directory щелкните кнопку Далее .
- На странице Проверка совместимости системы также щелкниет кнопку Далее .
- На странице Тип контроллера домена выберите Контроллер домена в новом домене ; после этого щелкние кнопку Далее.
- Оказавшись на странице Создать новый домен , выберите пункт Новый домен в новом лесу , после чего щелкните кнопку Далее.
- В поле Полное DNS-имя нового домена на странице Новое имя домена введите имя домена, и щелкните кнопку Далее .
- После небольшой задержки появится страница NetBIOS-имя домена . Указанное по умолчанию имя NetBIOS менять не рекомендуется. Щелкните Далее .
- После открытия страницы Папки базы данных и журналов укажите месторасположение базы данных и журнала Active Directory в текстовых окнах Папка расположения БД и Папка расположения журнала соответственно. Не забывайте о том, что базу данных и файл журнала рекомендуется размещать на отдельных жестких дисках с файловой ситсемой NTFS. Щелкниет кнопку Далее.
- В поле Размещение папки страницы Общий доступ к системному тому нужно указать местоположение папки Sysvol . Как вы понимаете, системный том должен быть размещен в разделе или томе с файловой системой NTFS. Выполнив настройки щелкниет кнопку Далее .
- Когда на экране появится страница Диагностика регистрации DNS , ознакомтесь с подробными инструкциями диагностического теста. Установите переключатель в одно из трех положений (в нашем случае DNS в сети еще не настроен, поэтому выбираем второй вариант). Жмем Далее .
- Оказавшить на странице Разрешения , выберите все необходимые стандартные разрешения для объектов пользователей и групп, после чего щелкните Далее .
- В текстовом поле Пароль режима восстановления страницы Пароль режима восстановления служб каталогов введите пароль учетной записи администратора, предназначенный для ситуации запуска компьютера в режиме восстановления службы каталогов. Подтвердив пароль нажмите Далее .
- На странице Сводка перечисленны все выполненные к настоящему моменту настройки. Ознакомившись с их списком, щелкните Далее . (Процесс настройки мастером компонентов Active Directory занимает некоторое время. Если на компьютере в настройках не установлен статический IP адресс, то появится запрос это сделать.
- После завершения работы мастера появится сраница Завершение работы мастера установки Active Directory . Щелкните кнопку Готово и сразу после этого — Перезагрузить сейчас .
Для централизованного управления факультетской сетью необходимо создать домен на основе Microsoft Windows Server 2003.
Примечание . В процессе установки может потребоваться вставить в дисковод установочный компакт-диск Windows Server 2003. Можно использовать физический компакт-диск или iso -образ установочного диска операционной системы.
Задание 1. Установить на сервере службу каталога Active Directory, создать домен mydomain.ru.
Указания к выполнению
1. Запустите мастер установки Active Directory Start – Run – dcpromo.
2. Следуя шагам мастера установки, выберите следующие параметры установки:
В окне Domain Controller Type (Тип контроллера домена) – переключатель Domain controller for a new domain (Контроллер домена в новом домене);
В окне Create New Domain (Создать новый домен ) – переключатель Domain in a new forest (Домен в новом лесу );
В окне Install or Configure DNS (Установка или настройка DNS ) – переключатель No, just install and configure DNS on this computer (Нет, DNS уже установлена и настроена на этом компьютере ), если служба DNS уже установлена на сервере, или Yes, I will configure the DNS client (Да, я буду конфигурировать клиента DNS) ;
В окне New Domain Name (Новое доменное имя ) наберите mydomain.ru в строке Full DNS Name For New Domain (Полное DNS-имя нового домена );
В окне NetBIOS Domain Name (Доменное имя NetBIOS ) должна появиться запись MYDOMAIN ;
Убедиться, что для размещения базы данных и протокола выбран путь C:\WINDOWS\NTDS , а для размещения каталога SYSVOL указан путь C:\WINDOWS\SYSVOL ;
В окне Permissions (Разрешения ) выберите Permissions compatible only with Windows 2000 or Windows Server 2003 operating systems (Разрешения, совместимые только с операционными системами Windows 2000 или Windows Server 2003 );
В окне Directory Services Restore Mode Administrator Password (Пароль администратора для режима восстановления) введите пароль, который хотите присвоить этой учетной записи сервера Administrator в случае, если компьютер загрузится в режиме Directory Services Restore (Режим восстановления);
В окне Summary (Сводка) изучите список выбранных вами параметров установки и дождитесь завершения процесса установки Active Directory.
3. В окне Completing The Active Directory Installation Wizard (Завершение работы мастера установки Active Directory), щелкните кнопку Finish (Готово), а затем кнопку Restart Now (Перезагрузить компьютер сейчас).
Задание 2 . Просмотреть созданный домен одним из способов.
Указания к выполнению
1-й способ.
Откройте My Network Places – Entire Network – Microsoft Windows Network (Мое сетевое окружение – Вся сеть – сеть Microsoft Windows). Убедитесь, что появилась запись о домене mydomain, в котором содержится один компьютер – Server.
2-й способ.
1 В меню Start – Programs – Administrative Tools (Пуск – Программы – Администрирование) выберите Active Directory Users And Computers (Пользователи и компьютеры Active Directory). Откроется одноименная оснастка.
2 В дереве оснастки дважды щелкните на mydomain.ru (или на имени вашего домена), чтобы увидеть содержимое узла mydomain.ru.
3 В разделе Domain Controllers (Контроллеры домена) дерева оснастки просмотрите название контроллера домена и его полное имя DNS (например, если имя изолированного сервера было server, то после установки домена должно стать server.mydomain.ru).
4 В разделе Users (Пользователи) просмотрите список встроенных учетных записей пользователей и групп пользователей домена.
5 Активизируйте встроенную учетную запись Guest (Гость) и попробуйте войти в систему. Удалась ли попытка сделать это? На контроллеры домена разрешен вход только администраторам домена.
6 Закройте консоль Active Directory Users And Computers.
Задание 3. Проверить работу службы DNS с помощью оснастки DNS.
Указания к выполнению
1. Откройте консоль DNS командой Start – Programs – Administrative Tools – DNS (Пуск – Программы – Администрирование – DNS).
2. В дереве консоли DNS щелкните правой кнопкой по имени вашего сервера и выберите команду Properties (Свойства). Откроется окно свойств SERVER (если у сервера другое имя, то в заголовке окна будет значиться оно).
3. Перейдите на вкладку Monitoring (Наблюдение).
4. В списке Select A Test Type (Выберите тип теста) пометьте флажки A Simple Query Against This DNS Server (Простой запрос к этому DNS-серверу) и A Recursive Query To Other DNS Servers (Рекурсивный запрос к другим DNS-серверам) и щелкните Test Now (Протестировать). В окне свойств Server в списке результатов тестирования должна появиться надпись PASS (Пройден успешно) или FAIL (Не пройден) – в столбцах Simple Query (Простой запрос) и Recursive Query (Рекурсивный запрос). Объясните полученные результаты.
Задание 4. Удалить службу Active Directory.
Указания к выполнению
Запустите мастер установки и удаления Active Directory Start – Run – dcpromo.
Самостоятельная работа
Согласно заданию проекта установите домен с именем faculty.ru, где контроллером домена является server.faculty.ru, IP-адрес которого 192.168.1.1.
Вопросы для самоконтроля
1. Опишите различия между рабочей группой и доменом.
2. Каково основное различие между ОС Windows XP и Windows Server 2003?
3. Возможно ли создать домен в сети, где все компьютеры сети работают под управлением ОС Windows XP?
4. Дайте определение контроллера домена.
5. Перечислите известные Вам встроенные учетные записи пользователей и групп пользователей домена и опишите их назначение.
6. Что означает термин «изолированный» сервер?
7. Опишите различия между рабочей группой и доменом.
8. Почему встроенная учетная запись Guest (Гость), как правило, бывает отключена?
Литература
Лабораторная работа № 4
Тема: Создание и администрирование учетных записей пользователей и групп
Задание 1. Создайте доменную учетную запись декана:
– имеет доступ ко всем ресурсам сети,
– может осуществлять вход на любой компьютер.
Указания к выполнению
1. Выполните команду Start –All Programs –Administrative Tools –Active Directory Users and Computers (Пуск –Программы –Администрирование –Пользователи и компьютеры Active Directory) .
2. Раскройте папку faculty.ru Users (Пользователи) .
3. В меню Action (Действие ) выберите команду New –User (Создать –Пользователь) .
4. Введите необходимые сведения о пользователе. В разделе User logon name (Имя пользователя при входе в систему ) введите dean (декан) . Обратите внимание на то, что при создании доменной учетной записи, в отличие от локальной, после имени пользователя отображается имя домена, отделенное от последнего знаком @ . Таким образом, полное имя пользователя (User logon name) –[email protected] .
5. При определении пароля пользователя обязательно установите флажок User must change password at next logon (Пользователь должен сменить пароль при следующем входе в систему ).
6. Завершите создание учетной записи.
7. В правой панели найдите учетную запись. Дважды щелкните по ней, чтобы внести дополнительные сведения (адрес, организация и т. д.).
8. Убедитесь в том, что декан может входить в систему в любое время (вкладка Account –Logon Hours (Учетная запись –Часы входа) ).
9. Попробуйте войти в домен под учетной записью декана. Почему попытка не удалась?
10. Зарегистрируйтесь в системе как администратор.
11. Посмотрите свойство учетной записи декана, снова выполнив команду Start –All Programs –Administrative Tools –. В окне свойств учетной записи выберите вкладку Member of (Членство в группах ) и добавьте учетную запись декана в глобальную группу Администраторы домена с помощью следующих команд Add… –Advanced… –Find now… (Добавить… –Дополнительно… –Найти…) из полученного списка выберите Domain Admins (Администраторы домена ).
12. Повторите попытку войти в домен под учетной записью декана.
13. После входа в систему под учетной записью администратора смените пароль декана и снова задайте необходимость смены пароля при следующем входе в систему.
Задание 2. В соответствии с требованиями политики безопасности сети, в группу администраторов не рекомендуется включать других пользователей домена, кроме лиц, непосредственно выполняющих функции администрирования. Исключите учетную запись декана из группы администраторов.
Указания к выполнению
1. Выполните команду Start –All Programs –Administrative Tools –Active Directory Users and Computers .
2. Раскройте папку faculty.ru в левой панели окна. Во вложенных папках выберите Users .
3. В правой панели найдите учетную запись. Дважды щелкните по ней, и перейдите на вкладку Member of (Членство в группах). Среди списка групп выберите Domain Admins и нажмите Remove .
Задание 3. Разрешить учетной записи декана осуществлять вход на контроллер домена, не включая его в группу администраторов.
Указания к выполнению
1. Добавить учетную запись декана в группу Print Operators , члены которой могут осуществлять вход на контроллер домена.
2. Войдите в домен под учетной записью декана
3. Предложите другой способ, разрешающий вход на контроллер домена.
Задание 4. Создайте глобальную группу Teachers (Преподаватели ):
– тип группы – группа безопасности;
– преподаватели могут осуществлять вход на любой компьютер сети, кроме сервера;
– для каждого из преподавателей существует собственная учетная запись и настройки, которые конфигурируется лично преподавателем.
Указания к выполнению
1. Выполните команду Start –All Programs –Administrative Tools –Active Directory Users and Computers .
2. Раскройте папку faculty.ru в левой панели окна. Во вложенных папках выберите Users .
3. В меню Action выберите команду New –Group (Новое –Группа) .
4. В поле Group Name (Имя группы ) введите Teachers .
5. В области Group Scope (Область действия группы ) щелкните переключатель Global (Глобальная) , а в области Group Type (Тип группы ) – переключатель Security (Безопасность) .
6. Щелкните OK.
Задание 5. Добавьте в группу Teachers (Преподаватели ) члена группы – учетную запись декана.
Указания к выполнению
1. Убедитесь, что открыта оснастка Active Directory Users and Computers и выбран контейнер Users .
2. В окне свойств группы Teachers выберите вкладку Members (Члены группы ), а затем последовательно кнопки Add… –Advanced… –Find now… из полученного списка выберите учетную запись декана.
3. В окне свойств учетной записи декана найдите информацию о членстве в группе Teachers .
Задание 6. Составьте списки встроенных локальных, глобальных доменных, локальных доменных групп и изучите описание каждой встроенной группы.
Задание 7. Заполните таблицы, содержащие сведения о членах домена. Таблицы должны помогать планировать и создавать учетные записи домена.
Пример заполнения таблиц для группы пользователей Деканат и учетной записи Студент смотрите ниже.
Таблица 8
Планирование групп
Таблица 9
Расписание входа в систему
Таблица 10
Планирование паролей
@ Придумайте не менее трех пользователей из каждой группы и в соответствии с требованиями проекта заполните таблицы 8–10. Внесите таблицы в отчет.
Задание 8. Создайте в соответствии со своими вариантам таблиц 8–10 необходимые по заданию проекта учетные записи пользователей и групп пользователей.
Задание 9. Проведите тестирование учетных записей. Например, измените системное время на 6.00 и попытайтесь войти в домен под учетной записью студента. Попытайтесь сменить пароль данной учетной записи.
Вопросы для самоконтроля
1. Опишите различия между локальной и доменной учетными записями.
2. С какой целью создают группы пользователей?
3. Объясните назначение локальных, глобальных и универсальных групп.
4. Объясните назначение групп безопасности и групп распространения.
5. Дайте определение и приведите примеры для следующих терминов: «права пользователей», «привилегии пользователей», «разрешения доступа пользователей».
6. Перечислите известные Вам встроенные учетные записи пользователей и групп пользователей домена и опишите их назначение.
7. В какую встроенную группу пользователей, отличную от группы администраторов, нужно включить учетную запись, чтобы пользователь мог осуществлять вход на рабочую станцию? Существуют ли другие способы сделать это?
8. Как запретить вход в систему в выходные дни и нерабочее время?
9. Как ограничить срок действия учетной записи?
10. Как отключить учетную запись сотрудника, например, во время его болезни?
12. Как изменить пароль пользователя?
13. Как запретить изменение пароля пользователем?
14. Каковы последствия удаления группы?
Литература
Лабораторная работа №5
Иходная ситуация - существует домен, testcompany.local . Для упрощения в нем будет один контроллер домена под Windows Server 2003, с именем dc01 . DNS-сервер также на нем, основная зона интегрирована в Active Directory.
Сетевые настройки контроллера:
IP-адрес - 192.168.1.11
Маска - 255.255.255.0
Шлюз - 192.168.1.1
DNS-сервер - 192.168.1.11
Задача - установить контроллер домена на другом сервере, причем работающем под Windows Server 2008 R2, старый контроллер понизить до рядового сервера (а затем возможно, удалить вообще), а все функции старого контроллера передать новому.
Подготовительные работы
В качестве подготовительных работ следует запустить команды netdiag (эта команда существует только в 2003 Server, Support Tools) и dcdiag , убедиться в отсутствии ошибок, а при их наличии исправить эти ошибки.
В первую очередь определяем держателя FSMO-ролей в домене, командой:
Утилита netdom.exe в состав Windows Server 2003 по умолчанию не входит, поэтому нужно установить Support Tools (http://support.microsoft.com/kb/926027). В рассматриваемом случае от нее смысла никакого нет, так как контроллер домена всего один и роли FSMO все равно все на нем. Тем же, у кого контроллеров домена больше одного, это будет полезно, чтобы знать, какие именно роли и откуда переносить. Результат команды будет примерно таким:
IP-адрес - 192.168.1.12
Маска - 255.255.255.0
Шлюз - 192.168.1.1
DNS-сервер - 192.168.1.11
и вводим его в существующий домен, testcompany.local в нашем случае.
Обновление схемы леса и домена
Следующий этап - обновление схемы леса и домена до Windows Server 2008 R2, что мы будем делать с помощью утилиты adprep . Вставляем установочный диск с Windows Server 2008 R2 в сервер dc01 . На диске нас интересует папка X:\support\adprep (X: - буква диска DVD-ROM). Если windows Server 2003 у вас 32-х битная, следует запускать запускать adprep32.exe, в случае 64-х битной - adprep.exe .
Для выполнения команды никаких требований к функциональному режиму леса нет. Для выполнения команды adprep /domainprep требуется, чтобы в домене использовался функциональный уровень домена не ниже Windows 2000 native.
Вводим команду:
X:\support\adprep>adprep32.exe /forestprep
После предупреждения о том, что все контроллеры домена Windows 2000 должны быть минимум с SP4 вводим С
и нажимаем Enter:
Команда отрабатывает довольно долго, несколько минут и должна завершиться следующей фразой:
Adprep successfully updated the forest-wide information.
После этого вводим команду:
X:\support\adprep>adprep32.exe /domainprep /gpprep
Которая отработает не в пример быстрее:
Также стоит выполнить команду adprep /rodcprep . Даже если вы и не собираетесь использовать в вашей сети контроллеры домена только для чтения (Read Only Domain Controller - RODC), эта команда как минимум уберет ненужные сообщения об ошибках в журнале событий.
После завершения действия команд по обновлению схемы можно приступать к повышению роли нового сервера до контроллера домена.
На сервере dc02
заходим в Server Manager, добавляем роль Active Directory Domain Services
. После установки роли, зайдя в Server Manager > Roles > Active Directory Domain Services, мы увидим желтую подсказку «Run the Active Directory Domain Services Installation Wizard (dcpromo.exe
)». Ее и запускаем. Либо можно в командной строке набрать dcpromo
, что будет равноценно вышеприведенному действию.
Так как освещение процесса установки контроллера домена в эту статью не входит, остановлюсь лишь на некоторых ключевых моментах. На шаге Additional Domain Controller Options поставьте обе галки, DNS Server и Global catalog .
Если галку Global Catalog и DNS Server не поставить, придется их переносить отдельно. А при миграции с 2003 на 2003 это придется делать в любом случае, так как в Windows 2003 такой возможности нет. О переносе глобального каталога и DNS-сервера будет немного ниже.
Завершаем установку контроллера домена, перезагружаем сервер. Теперь у нас есть два контроллера домена, работающих одновременно.
Передача ролей FSMO
Передачу ролей FSMO можно производить как через графический интерфейс, так и с помощью утилиты ntdsutil.exe . В этой статье будет описан способ с использованием графического интерфейса, как более наглядный, кого интересует другой способ, он по этой ссылке: http://support.microsoft.com/kb/255504 . Передача ролей FSMO будет состоять из следующих шагов:
Заходим на сервер dc02 , на тот, на который будем передавать роли. Для того, чтобы получить доступ к оснастке Active Directory Schema , сначала необходимо зарегистрировать библиотеку schmmgmt.dll . Это делается с помощью команды:
regsvr32 schmmgmt.dll
В дереве оснастки нужно щелкнуть правой кнопкой мыши элемент Active Directory Schema
и выбрать пункт Change Domain Controller
. Там меняем контроллер на dc02
.
Далее опять нажимаем правой кнопкой мыши элемент Active Directory Schema
и выбираем пункт Operations Master
. Появляется вот такое окно:
Нажимаем Change > Yes > OK и закрываем все эти окна.
Открываем оснастку , щелкаем правой кнопкой мыши элемент Active Directory Domains and Trusts
и выбираем команду Change Active Directory Domain Controller
. Это действие необходимо, если работа ведется не с контроллера домена, которому передается роль. Пропустите его, если подключение к контроллеру домена, чья роль передается, уже установлено. В открывшемся окне выбираем контроллер домена, которому присваивается роль (dc02
в нашем случае), в списке и нажимаем кнопку ОК
.
В оснастке щелкаем правой кнопкой мыши элемент Active Directory Domains and Trusts
и выбираем пункт Operations Master
. В появившемся окне нажимаем кнопку Change
.
Чтобы подтвердить передачу роли, нажимаем кнопку ОК , а затем - Close .
Открываем оснастку . Щелкаем правой кнопкой мыши элемент Active Directory Users and Computers и выбираем команду Change Domain Controller . Пропустите его, если подключение к контроллеру домена, чья роль передается, уже установлено. В открывшемся окне выбираем контроллер домена, которому присваивается роль (dc02 в нашем случае), в списке и нажимаем кнопку ОК.
В оснастке щелкаем правой кнопкой мыши элемент Active Directory Users and Computers , выбираем пункт All Tasks , а затем Operations Master .
Выбираем вкладку, соответствующую передаваемой роли (RID
, PDC
или Infrastructure Master
), и нажимаем кнопку Change
.
Чтобы подтвердить передачу роли, нажимаем кнопку ОК
, а затем - Close
.
Перенос глобального каталога
Если мы делаем миграцию не на 2008, а на 2003, в котором при добавлении добавочного контроллера домена глобальный каталог не ставиться, либо вы не поставили галку Global Catalog в шаге 2, тогда нужно назначить роль глобального каталога новому контроллеру домена вручную. Для этого, заходим в оснастку Active Directory Sites and Services , ракрываем Sites > сайт Default-First-Site-Name > Servers > DC02 > щелкаем правой кнопкой мыши по NTDS Settings > Properties. В открывшемся окне ставим галку Global Catalog > OK.
После этого, в логах Directory Service появится сообщение, что повышение роли контроллера до глобального каталога будет отложено на 5 минут.
Event Type: Information
Event Source: NTDS General
Event Category: (18)
Event ID: 1110
Date: 12.07.2011
Time: 22:49:31
User: TESTCOMPANY\Administrator
Description:
Promotion of this domain controller to a global catalog will be delayed for the following interval.Interval (minutes):
5This delay is necessary so that the required directory partitions can be prepared before the global catalog is advertised. In the registry, you can specify the number of seconds that the directory system agent will wait before promoting the local domain controller to a global catalog. For more information about the Global Catalog Delay Advertisement registry value, see the Resource Kit Distributed Systems Guide.
http://go.microsoft.com/fwlink/events.asp .
Ждем пять минут и дожидаемся события 1119 о том, что этот контроллер стал глобальным каталогом.
Event Type: Information
Event Source: NTDS General
Event Category: (18)
Event ID: 1119
Date: 12.07.2011
Time: 22:54:31
User: NT AUTHORITY\ANONYMOUS LOGON
Computer: dc02.testcompany.local
Description:
This domain controller is now a global catalog.For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp .
Перенастройка интерфейсов, DNS и другие послеустановочные задачи
Далее, так как DNS-сервер на dc02 мы установили, теперь нужно в свойствах сетевого интерфейса первичным DNS-сервером указать самого себя, т.е. адрес 192.168.1.12. И на dc01 соответственно поменять на 192.168.1.12.
В свойствах DNS-сервера на dc02 проверьте вкладку Forwarders , на 2003, в отличие от 2008, она не реплицируется. После этого можно понижать контроллер домена dc01 до рядового сервера.
Если вам необходимо у нового контроллера оставить старое имя и IP-адрес, то это также делается без проблем. Имя меняется как для обычного компьютера, либо подобной командойnetdom renamecomputer .
После смены IP-адреса выполните команды ipconfig /registerdns и dcdiag /fix .
После перезагрузки сервера необходимо убедиться, что Основной режим разрешений (режим Windows Server 2003) установился. Для этого необходимо открыть оснастку « Active Directory – домены и доверие», «встать» мышкой на название своего домена и из меню выбрать «Изменение режима работы домена».
Если Основной режим разрешений не установлен, его необходимо установить.
Настройка DNS
Для настройки автоматически созданного при установке контроллера домена DNS следует загрузить оснастку DNS , нажать правой кнопкой мыши на вкладке «Зоны обратного просмотра» и из предложенного меню выбрать пункт «Создать новую зону».
Будет выполнен запуск Мастера создания новой зоны.
В окне «Тип зоны» нужно указать, какая зона будет создана. Поскольку производится настройка первого сервера DNS в домене, требуется выбрать пункт «Основная зона», и рекомендуется выбрать параметр «Хранить зону в Active Directory ».
Выбор в окне «Область репликации зоны, интегрированной в Active Directory » рекомендуется остановить на пункте «На все DNS -серверы в домене имя_созданного_домена . local ». Это позволит передавать зоны только в пределах конкретного домена в случае наличия леса.
Окно «Имя зоны обратного просмотра» задает описание, для каких IP -адресов будет вестись накопление информации и предоставление имен по запросу клиентов. Рекомендуется для простоты вводить именно код сети, представляющий собой количество значащих октетов в адресах локальной сети (Например: 192.168.1).
В форме «Динамическое обновление» требуется выбрать, каким образом может быть изменена информация, хранимая DNS -сервером. Для сетей, в состав которых входят клиенты Windows 2000 и старше, можно разрешать только безопасные динамические обновления. В общем же случае рекомендуется выбирать параметр «Разрешать любые динамические обновления».
После этого создание новой зоны обратного просмотра будет завершено, и появится информационное окно с кратким описанием создаваемой зоны. При необходимости можно вернуться назад и внести необходимые изменения.
После того, как создание зоны обратного просмотра будет завершено, можно просмотреть ее содержимое и корректность именования зоны.
Затем нужно произвести настройку зоны прямого просмотра. Для этого, «встав» в ветви «Зоны прямого просмотра» на зону с именем созданного домена, требуется правой кнопкой мыши вызвать меню и выбрать пункт «Свойства».
На вкладке «Общие», как было проделано при создании ветви обратного просмотра, так же рекомендуется задать параметр «Динамическое обновление» в значение «Небезопасные и безопасные».
На этом настройка сервера DNS заканчивается, и теперь необходимо создать записи для сетевых устройств и активного сетевого оборудования.
Создание записи выполняется следующим образом: на зоне с именем домена следует нажать правую кнопку мыши, и выбрать в меню пункт «Создать узел». В форме ввода информации о создаваемом узленужно ввести имя узла (полное доменное имя заполняется автоматически) и его IP -адрес, после чего проставить галочку на пункте «Создать соответствующую PTR -запись».
По нажатию кнопки «Добавить узел» запись будет внесена сразу в зоны прямого и обратного просмотра. Если галочка не стоит, в зоне обратного просмотра запись придется создавать отдельно.
Настоятельно не рекомендуется создавать записи для компьютеров и серверов домена в DNS вручную. Для корректного создания записи в меню «Пуск - Выполнить» лучше выполнить команду ipconfig / registerdns , которая выполнит регистрацию на DNS -сервере.
Все операционные системы, подключенные к домену должны быть настроены на использование локальных DNS-серверов (обычно ими являются доменные контроллеры) в качестве предпочитаемых и альтернативных. Если конфигурация протокола TCP/IP настроена верно, операционные системы выполняют создание записей в доменных зонах в автоматическом режиме (за исключением Windows 9X).
Установка и настройка DHCP
Применение службы DHCP упрощает администрирование сети и позволяет обеспечить уникальность используемых в домене IP -адресов. Для установки службы DHCP достаточно зайти в«Панель управления», запустить «Установка и удаление программ», и выбрать вкладку «Установка компонентов Windows », «встать» на строку «Сетевые службы», и нажать «Состав».
Нужно установить компонент « DHCP ».
(Компонент « DNS » был добавлен автоматически в ходе установки AD и снимать с него галочку нельзя).
По завершению установки компонента DHCP нужно загрузить оснастку « DHCP », встать на запись, содержащую имя установленного сервера, и, развернув правой кнопкой мыши меню, выбрать пункт «Создать область». Будет запущен Мастер создания области.
В окне «Имя области» требуется ввести имя создаваемой области раздаваемых адресов и описание к ней. Данная информация вводится для удобства, и принципиального значения введенные данные не имеют значения.
В окне «Диапазон адресов» следует ввести начальный и конечный адреса диапазона, который будет доступен для автоматического распределения между компьютерами домена, и задать маску подсети, выбранную на этапе планирования сети.
В диалоговом окне задан диапазон, включающий в себя все возможные значения адресов в сети. Для того, чтобы не происходила выдача используемых адресов (IP -адреса серверов, активного сетевого оборудования и другие устройства со статическими адресами) необходимо на форме «Добавление исключений» указать исключаемый из распределения диапазон адресов. Можно перечислить адреса, исключаемые из распределения, по одному вводя их в графу «Начальный IP -адрес».
После указания каждого исключаемого адреса либо диапазона требуется подтверждать ввод нажатием кнопки «Добавить», после чего запись будет добавлена в список исключений.
Окно «Срок действия аренды адреса» служит для указания периода времени, спустя который выданный сервером IP -адрес может быть выдан другому получателю динамических адресов. Для сети, в архитектуре и составе которой изменения достаточно редки, рекомендуется устанавливать достаточно длительный срок аренды.
Для уменьшения общего времени создания домена, рекомендуется ответить согласием на предложение мастера создания области произвести настройку параметров DHCP .
Окно «Маршрутизатор (основной шлюз)» заполняется при наличии такового в составе сети.
Если подобного устройства нет, то окно нужно оставить незаполненным. Добавление основного шлюза так же требует нажатия на кнопку «Добавить», после чего введенный адрес маршрутизатора будет добавлен в список.
Окно «Имя домена и DNS -серверы» требует особого внимания. В графу «Родительский домен» требуется ввести без каких-либо сокращений полное имя созданного домена (например: « domain 1. local »). Ошибка или неполный ввод имени домена повлечет за собой проблемы в работе сети, например, сложности с подключением компьютера к домену.
Тут же вводятся адреса DNS -серверов сети. Рекомендуется вводить не адрес DNS -сервера, а его имя, при нажатии на кнопку «Сопоставить» адрес сервера будет проставлен автоматически, после чего так же необходимо нажать на кнопку «Добавить». Если не произошло сопоставление имени DNS -сервера либо был возвращен неверный IP -адрес, это может означать наличие проблем либо в службе DNS , либо в настройке сетевого соединения.
Можно вводить адреса нескольких DNS -серверов, если в сети используется одновременно несколько DNS -серверов.
Если в сети нет серверов WINS , то окно « WINS -серверы» следует оставить пустым.
Окно «Активировать область» позволяет отложить активацию создаваемой области на произвольное время (например, когда настройка сервера производится в другой локальной сети, либо выдача адресов производится другой зоной, и создаваемая зона еще не используется). Если сервер настраивается первым необходимо выбрать пункт «Да, я хочу активизировать эту область сейчас».
На этом работа мастера создания зоны завершается, можно при необходимости вернуться и произвести требуемые изменения в параметрах создаваемой области.
После завершения работы мастера создания зоны требуется авторизовать DHCP в AD . Если этого не проделать, адреса клиентам выдаваться не будут.
Для этого в оснастке DHCP нужно «встать» на имя настраиваемого сервера, развернуть правой кнопкой мыши меню, и выбрать пункт «Авторизовать».
Для того, чтобы выданные сервером адреса автоматически передавались в DNS , следует произвести дополнительную настройку сервера DHCP . Для этого в оснастке DHCP нужно «встать» на имя настраиваемого сервера, развернуть правой кнопкой мыши меню, и выбрать пункт «Свойства».
На вкладке «Служба DNS » рекомендуется выставить те же параметры, что использовались ранее. Данная настройка обеспечит одновременно и передачу информации в DNS обо всех выданных адресах, вне зависимости от типа клиента, и будет выполнять автоматическое удаление устаревшей информации при истечении срока аренды адреса.
Работа клиентов Windows 9х в домене Windows Server 2003
В домене Windows Server 2003 был повышен уровень безопасности по умолчанию, что привело к появлению определенных сложностей в работе устаревших клиентских систем, таких как Windows 95, 98, NT 4.0.
Для того, чтобы позволить данным операционным системам производить работу в домене, рекомендуется выполнить установку на машины клиента Active Directory DSCLIENT.EXE (располагается на дистрибутивах Windows 2000 Server в папке CLIENTS\WIN9X), и произвести ряд модификаций политик безопасности.
Для выполнения модификаций следует запустить оснастки «Политика безопасности контроллера домена»,
затем «Политика безопасности домена», и отключить показанные параметры безопасности.
По информации Microsoft , достаточным является отключение параметра "Сервер сети Microsoft : использовать цифровую подпись (всегда)" в политике безопасности домена Windows 2003.
После завершения редактирования данных политик безопасности рекомендуется произвести перезагрузку сервера.
Данная статья посвящена службе каталогов Active Directory, тем новым возможностям и механизмам, что она обрела с появлением Windows Server 2003, а также использованию всех этих улучшений на практике.Весь представленный материал разбит на шесть тем. Мы поговорим о внедрении Active Directory и интеграции с уже существующими каталогами, администрировании службы, репликации, доверии между лесами, управлении групповыми политиками и ограничении на использование программ.
Внедрение и интеграция
В данной главе мы рассмотрим новые возможности Active Directory с нескольких точек зрения: внедрения этой службы, ее интеграции с другими каталогами, перехода с предыдущей версии (либо обновление с Windows NT 4.0, либо просто установка Active Directory с нуля). Прежде всего, необходимо отметить, что новые возможности Active Directory на базе Windows 2003 по большей части не совместимы с Active Directory на базе Windows 2000. Например, возможности переименовать домен или восстановить ранее деактивированный объект в схеме могут быть использованы только тогда, когда каталог находится на максимально возможном функциональном уровне: уровень домена - Windows Server 2003 и уровень леса - Windows Server 2003. Чтобы получить доступ к этим и другим возможностям, следует перевести лес на максимально функциональный уровень. Рассмотрим, что собой представляют эти самые функциональные уровни.Функциональные уровни
Администратор вручную повышает функциональный уровень
Замечу, что такая классификация была специально введена для обеспечения совместимости на уровне обратно-несовместимых возможностей. Даже если установить Active Directory с нуля, не выполняя никаких обновлений и не заботясь об интеграции, то есть просто установить новый сервер, а на него - первый контроллер в лесе, то получится система, которая изначально попадает на самый низкий уровень. Другими словами, уровень домена - Windows 2000 Mixed (смешанный) и уровень леса - Windows 2000. Таким образом, в этом режиме установленная система полностью соответствует всем тем возможностям, которые есть в Windows 2000 Active Directory. Чтобы перейти на более высокий уровень, необходимо выполнение определенных условий, например, домен может быть переведен на уровень Windows Server 2003 только после того, как все контроллеры этого домена будут переведены на эту операционную систему. Если говорить о переходе с Windows 2000, то, естественно, процесс перехода заключается в поэтапном обновлении существующих контроллеров. Невозможно все контроллеры разом перевести с Windows 2000 на Windows 2003, это можно делать только по очереди. Пока процесс перевода контроллеров не завершен, функциональный уровень домена остается на уровне Windows 2000 Mixed. Как только будут переведены все контролеры, можно перейти на следующий уровень. Администратор переключает функциональный уровень с помощью специальной консоли Active Directory Domains Trusts. Администратор не в состоянии понизить уровень, он может только перевести его на более высокую ступень, на котором система останется. После того, как администратор перевел домен на новый функциональный уровень, в Active Directory появляются определенные новые возможности.
Рассмотрим эти возможности для простоты изложения в режиме чистый лес - Windows 2003 и все домены - Windows 2003. Другими словами, максимально возможные уровни и, соответственно, максимальный спектр новых возможностей. Первое, на чем стоит остановиться - это функция, которая называется Application Partitions (по-русски - Разделы Приложений).
Разделы для приложений
Дело в том, что Active Directory изначально разрабатывалась, как служба каталога не просто для обеспечения, например, сетевого обслуживания клиентов или для хранения учетных записей этих клиентов, но и как хранилище для сетевых приложений. Поэтому в Active Directory очень много информации, которая поступает от приложений. Таким образом, на Windows 2000, сколько бы приложений мы не установили в режиме фильтрации с Active Directory, вся информация о них попадет в единый каталог и, соответственно, реплицируется между всеми контроллерами равноправно.
Windows 2003 позволяет дифференцировать и отделить информацию, которая принадлежит сетевым приложениям от остального каталога путем создания разделов для приложений. Например, информация, которую хранит сервер DNS, может быть распределена не на все контроллеры, которые есть в домене, а только на те, которые были явно указаны. Фактически, это и означает создание разделов. Сначала можно создать раздел "каталоги", как бы отделяя его от общей структуры, а потом указать, что этот раздел в качестве реплики должен храниться на поименных контроллерах. Это же касается любого другого приложения. За счет такого механизма администратор, управляющий системой, может наиболее оптимально отделить и хранить информацию о каталоге и о приложениях. Например, если заведомо известно, что какое-то приложение будет использовать каталог только на данном конкретном контроллере (не будет обращаться к другим контроллерам), то можно таким способом свести хранилище каталога только к этому контроллеру за счет создания уникального раздела для этого приложения.
Следующей возможностью является поддержка класса объектов InetOrgPerson (RFC 2798). Она появилась только в Windows 2003, а Windows 2000 этот класс объектов не поддерживает. InetOrgPerson нужен для интеграции с другими LDAP-каталогами (Novell, Netscape). Active Directory умеет работать с этим классом, создавать объекты этого класса, возможна также прозрачная и плавная миграция объектов типа InetOrgPerson из других каталогов Active Directory. Соответственно, становится возможным перенос приложений, написанных для других LDAP-каталогов. Если приложения используют данный класс, то их можно безболезненно, прозрачно портировать на Active Directory, сохраняя всю функциональность.
Далее, появилась возможность переименования доменов. В данном случае, следует четко понимать, что под переименованием домена имеется в виду не просто смена названия домена (назывался раньше домен "abcd", а теперь называется "xyz"). На самом деле, структура каталога является деревом, в нем много доменов, а сами домены объединены в иерархию. Переименование домена, это, на самом деле, реструктуризация леса. Можно переименовать домен таким образом, что он окажется в другом дереве.
Переименование домена. Утилита rendom.exe
Рассмотрим домен Contoso, подчиненный домену Sales в дереве WorldWideImporters.com. Его можно переименовать и назвать Contoso.Fabrikam.com. Это не просто переименование, это перенесение домена из одного дерева в другое, то есть достаточно нетривиальная процедура. Логично предположить, что переименование домена может привести к созданию нового дерева. Можно переименовать домен Contoso, который был подчинен домену Sales, и назвать его Contoso.com. Тогда домен станет родоначальником другого дерева в этом же лесе. Именно поэтому процесс переименования домена можно считать весьма сложной и нетривиальной процедурой.
В Windows 2000 такой возможности, как переименовать домен в приведенном выше контексте, не было в принципе. Если домен создан, то на всю жизнь он останется со своим именем. Единственный способ изменить ситуацию - это удалить домен, а потом создать его заново с новым именем.
Вместе с Windows 2003 поставляется утилита, которая называется Rendom, буквально от слов Rename Domain. Утилита Rendom.exe - это утилита командной строки, которая может использоваться для переименования домена. Правда, этот процесс состоит из шести этапов. Подробную информацию о нем можно отыскать в службе справки Windows 2003, специальных технических документах для Microsoft .NET, на сайте MSDN. Там подробно описано, как моделировать, проектировать и проводить процесс переименования домена, с использованием утилиты rendom. В любом случае, это сложный, многоэтапный процесс, требующий тщательной подготовки: слишком много связок и указателей, имен и прочих взаимозависимостей, которые формируются при создании доменов. Просто взять и одним махом все это перенести - невозможно.
В плане внедрения Active Directory появился режим установки контроллера домена со съемного носителя. Что имеется в виду? Очень часто встречается ситуация, когда предприятие внедряет Active Directory в удаленных офисах: связь с удаленным офисом слабая, плохие линии связи между головными офисами и филиалами. Тем не менее нужно в филиале установить новый контроллер доменов. Когда создается новый контроллер в уже существующем домене, утилита DCPromo связывается с существующими, работающими контроллерами и перекачивает себе всю базу данных и реплики, которые можно собрать с контроллера её домена. Если эта база занимает несколько десятков или сотен килобайт, то есть пустая (она по-умолчанию занимает несколько сот килобайт), то проблем нет. Но если говорить о работающей системе, в которой база может занимать десятки или сотни мегабайт, то её перекачка может оказаться просто невыполнимой задачей. Поэтому в этой ситуации можно решить проблему очень простым способом. С помощью Windows NT Back-up сделать архив в режиме "system state", то есть выбрать в консоли Windows NT Back-up опцию Back-up->SystemState. После этого весь созданный Back-up записать на носитель, например, на CD или DVD, взять этот диск и приехать с ним в удаленный офис, там восстановить всю информацию из архива с помощью той же самой Windows NT Back-up. Только нужно сделать восстановление не по умолчанию, а в другой каталог, чтобы сами файлы были просто выложены на диск. Естественно, не нужно заменять ту системную информацию, которая есть на существующем компьютере. Далее следует запустить утилиту DCPromo с ключом "/adv" и указать путь к тому хранилищу, где находится распакованный файл. После этого процесс инсталляции нового контроллера будет создавать свою реплику на основании информации со съемного носителя. При этом все равно потребуется связь с головным офисом, потому что помимо перекачки реплики, требуется еще установление определенных отношений с существующим доменом. Поэтому связь должна быть, но требования к ней существенно снижены: подойдет даже очень слабая линия. В приведенном сценарии 95% информации, которые нужно было перекачивать на новый контроллер, были перенесены на системный носитель, а линию связи между головным офисом и филиалом не пришлось перегружать.
Важно отметить, что у заказчиков по-прежнему очень часто используется Windows NT 4.0. Windows 2003 позволяет перейти с существующих каталогов (с NT 4 или с Windows 2000) быстрее, более безболезненно и эффективно. Этой цели служит утилита Active Directory Migration Tool (ADMT) . ADMT поможет с миграцией с Windows NT на Windows 2003, а также с Windows 2000 на Windows 2003 в том случае, если потребуется какая-то реструктуризация доменов, перенесение учетных записей и т.д.
Мастера Active Directory Migration Tool (ADMT) v.2
Active Directory Migration Tool представляет собой набор программ-мастеров. Каждый мастер выполняет определенную задачу (см. картинку выше). Важно, что большинство программ-мастеров имеет режим, который называется "Test migration settings and migrate later" - моделирование процесса без реального выполнения операций. Другими словами, процесс миграции эмулируется, и администратор может посмотреть, каков будет результат и как все будет происходить. Реальные действия в этом режиме не выполняются. В случае, когда результаты работы тестового режима удовлетворительны, можно попросить Active Directory Migration Tool выполнить полноценную миграцию.
Администрирование
Данная глава посвящена инструментальному администрированию. В принципе, нельзя сказать, что здесь появилось много новых очень полезных возможностей. Однако кое-что все-таки есть. Например, поддержка Drag&Drop: до выхода Windows 2003 поддержки Drag&Drop не было. Теперь можно кликнуть на объект "пользователь" и перетащить его мышкой в новый контейнер. Это очень удобно. Жаль, что такого механизма в предыдущих версиях не было.Появилась дополнительная консоль для хранения запросов к каталогу. Известно, что Active Directory - это LDAP-каталог. Значит, к LDAP-каталогам можно делать запросы на стандартном языке запросов. Если эти запросы делать и не запоминать, то это является дополнительной нагрузкой на администратора: каждый раз ему нужно запрос писать заново или копировать его из какого-то документа. Для упрощения данного процесса предлагается раздел, который называется Saved Queries. В нем собственно и сохраняются те запросы, которые администратор или пользователь ввели в консоли.
Консоль сохраненных запросов к каталогу
Теперь, когда этот запрос потребуется вновь, достаточно просто выбрать его из списка. Более того, в правой части консоли отображаются результаты запроса: слева можно выбрать интересующий запрос и щелкнуть на нем, а справа уже появится результат отработки.
Windows Server 2003 содержит очень много программ командной строки. Это кажется странным и даже, может быть, противоречащим. Казалось бы, Microsoft все эти годы продвигает графический интерфейс, удобство управления с помощью графического интерфейса, но в то же время, оказывается, выпускает новые утилиты командной строки. Вот только для Active Directory их целых шесть штук.
Утилиты командной строки
В этом нет, на самом деле, никакого противоречия. Дело в том, что очень много операций, которые приходится выполнять администратору, удобнее делать в виде командных файлов. Например, когда речь идет о модификации у одинаковых или похожих объектов какого-то атрибута, это часто удобнее сделать в командной строке, написав соответствующий скрипт. Если необходимо изменить какой-то параметр, например, телефоны пользователей, которые прописаны в учетной записи (у всех в подразделении может поменяться телефон), можно зайти в каждую учетную запись и изменить телефон. Если это делать через графический интерфейс, то придется произвести как минимум сто операций по изменению объекта "Учетная запись". Можно же взять одну простую команду, которая называется DSMod (модификация объекта), сформировать строчку для записи новой информации, после чего написать скрипт с условиями поиска и выполнить всё в виде одной команды. Для таких операций (а в повседневной работе администратора их множество) следует использовать утилиты командной строки и скрипты.
Репликация
Вопросы репликации очень актуальны при внедрении Active Directory, проектировании и планировании инфраструктуры.В Windows 2000 есть определенные ограничения по количеству сайтов, в которых можно было бы автоматически сгенерировать топологию. Существует служба, которая называется Inter-Site Topology Generator (ISTG) . Когда создаются два или три, а лучше пять или даже десять сайтов, служба ISTG автоматически генерирует топологию репликаций между сайтами, сама выбирает узловые серверы, сама определяет, как будет выполняться сценарий этой репликации. Всё хорошо, но если сайтов порядка двухсот, то служба ISTG не справляется с объемом информации и зацикливается. Поэтому для Windows 2000 есть совершенно четкая рекомендация - количество сайтов не должно быть более двухсот, если необходимо, чтобы топология репликации между сайтами генерировалась автоматически. Если же сайтов больше - автоматическую генерацию надо отключить и настраивать все это вручную.
Проблема, казалось бы, не очевидна, но с ней люди реально сталкиваются, когда доходит до внедрения Active Directory на многосайтные системы. Windows Server 2003 снимает этот вопрос. В этой системе реализован абсолютно новый Inter-Site Topology Generator, который работает принципиально по-другому и генерирует топологию, используя новый алгоритм. Количество сайтов, которое может теперь автоматически генерироваться (топология которых может генерироваться автоматически с помощью службы ISTG), только на тестах было несколько тысяч. Неизвестно, кому может потребоваться столько сайтов, но, тем не менее, можно забыть о каком-либо ограничении только за счет модификации механизма ISTG.
Дополнительно можно отключить компрессию трафика между сайтами, если, конечно, это имеет смысл. Включение компрессии повышает нагрузку на процессоры узловых серверов. Если сеть позволяет, то, возможно, имеет смысл отключить компрессию с тем, чтобы передавать больше данных по сети, но тогда менее загружены будут контроллеры. Можно сделать наоборот: если необходимо сэкономить на сетевом трафике, имеет смысл включить компрессию.
Есть еще одно ограничение в том, как Active Directory в Windows 2000 реплицирует группы. Речь идет о группе безопасности. Когда дело касается назначения прав для доступа к каким-то объектам, обычно правильная практика администрирования подразумевает, что права назначаются группам. Пользователи либо включаются в группу, либо исключаются. Группа - это точно такой же объект в Active Directory, как и все остальные объекты. Объект же имеет атрибуты. Особенность группы заключается в том, что список членов группы - это не несколько атрибутов, это один атрибут с большим количеством значений, так называемый "Multi Value Attribute" (на самом деле, это один атрибут, у которого много значений). Механизм репликации Active Directory детализирован до уровня атрибута. Если объект модифицируется, то система будет реплицировать эти изменения ровно для тех атрибутов, которые изменились, а не для всего объекта целиком. Теперь вернемся к группе, у которой есть атрибут, состоящий, например, из ста значений. Если в группу входит сто человек, значит у этого атрибута сто значений. А если 5 тысяч? Ограничение заключается в следующем: если членство в группе составляет 5 тысяч объектов, то репликация такого объекта становилась невозможна. Как только появится 5001 член группы, сразу же разрушается процесс репликации этой группы на Windows 2000. Есть даже документированный способ атаки, когда администратор, обиженный на кого-то, может разрушить процесс репликации в системе, просто написав скрипт, который циклическим образом поместит в какую-то группу 5 тыс. членов. После чего возникают проблемы с репликацией каталога. Windows Server 2003 Active Directory вводит дополнительный механизм, который называется "Репликация присоединенных значений" ("Linked Value Replication").
В этом случае механизм предназначен исключительно для репликации атрибутов, у которых есть много значений. То есть теперь, при использовании этого механизма членство в группе реплицируется на уровне отдельных членов. Если включить нового человека в группу, то репликация будет вестись не всего списка, как атрибут, а только значения за счет механизма Linked Value Replication.
Еще одна проблема, связанная с репликацией, имела отношение к глобальному каталогу. Трудность заключалась в том, как ведет себя глобальный каталог, когда администратор модифицирует, так называемый, Partial Attribute Set (PAS) - список атрибутов, которые должны быть помещены в глобальный каталог.
Возможно, имеет смысл пояснить. У каждого атрибута есть статусное значение: помещать в глобальный каталог или нет. Глобальный каталог - это дополнительный каталог, который содержит информацию обо всех объектах, которые есть в каталоге, но не полностью, а ровно списки тех атрибутов, которые помечены, как экспортируемые в глобальный каталог. Таким образом, например, о каждом пользователе в глобальный каталог помещается его имя, его электронный адрес, возможно, еще какой-нибудь дополнительный параметр. Буквально несколько параметров, для того, чтобы можно было быстро найти этого пользователя в каталоге.
Проблема возникает, когда администратор модифицирует схему и для какого-то еще одного атрибута изменяет статус, переключая его в этот режим. Был атрибут, который в глобальный каталог не попадал, администратор пошел и изменил схему, включил этот атрибут в PAS, после этого, помимо репликации всей схемы, на Windows 2000 произойдет полная ресинхронизация всех серверов, которые хранят глобальный каталог. Это вызовет весьма существенную загрузку сетевым трафиком и некоторый, даже внутренний простой службы каталогов.
Windows Server 2003 снимает эту проблему. Репликация и синхронизация глобального каталога будет проводиться исключительно в объеме добавленного атрибута. То есть когда проводится операция добавления атрибута к PAS, происходит просто сбор информации у тех объектов, у которых этот атрибут есть. А затем он [атрибут] добавляется к глобальному каталогу. Полной синхронизации не происходит.
Еще одна дополнительная функция, касающаяся глобального каталога - это механизм кэширования универсальных групп. Напомню, группы в Active Directory бывают трех типов: локальные, глобальные и универсальные. Локальные и глобальные хранятся вместе с репликой на контроллере, универсальные группы хранятся в глобальном каталоге. Когда сотрудник удаленного офиса хочет войти в сеть, система провести регистрацию пользователя в сети и создать его контекст безопасности. Для этого ей необходимо узнать, в какие группы входит пользователь. Узнать о локальных и глобальных группах Windows 2000 может на своем ближайшем контроллере, но по устройству сети, глобальный каталог находится в головном офисе. Проверить членство пользователя в универсальных группах можно только, сделав запрос к глобальному каталогу. Поэтому на момент регистрации необходимо послать запрос в головной офис. Если связь оборвана и глобальный каталог не доступен, то пользователю будет отказано в регистрации (по умолчанию в этой ситуации). Если в реестре поставить значение "игнорировать ошибки, связанные с членством в универсальных группах", в системе безопасности образуется дыра.
Windows Server 2003 предлагает механизм кэширования универсальных групп. Теперь требуется подключение к глобальному каталогу только при самой первой регистрации пользователя. Эти группы попадают на контроллер и там сохраняются. Каждая последующая регистрация пользователя не потребует обращения, потому что членство в универсальных группах уже известно. При этом кэширование информации определенным образом обновляется: через условленные промежутки времени информация глобального каталога запрашивается для обновления информации о членстве пользователей в универсальных группах.
Доверие между лесами
Доверие между лесами позволяет интегрировать совершенно независимые организации. Active Directory представляет собой структуру, в которой может быть дерево доменов с корневым доменом, а может быть лес, состоящий из нескольких деревьев. Характеристикой леса является то, что для всех доменов, входящих в него, для всех тех деревьев, есть три одинаковые сущности - это единая схема, единые контейнеры конфигурации и общий глобальный каталог для леса. Естественно, пространство имен у них разное, хотя можно дать имя лесу целиком. Если это не сделано, то у каждого дерева будет своя иерархия имен. Можно сделать так, что все деревья в лесе будут выстроены в одну систему имен.
Доверие между лесами
Когда речь идет об интеграции и взаимодействии между двумя разными лесами, обычно имеются две разные системы, построенные независимо друг от друга. Тем не менее, необходимо, чтобы пользователи одного леса (определенные только в одном лесе) могли обращаться к объектам, определенным в другом лесе. Для этого нужно установить доверительные отношения.
Windows 2000 позволяет сделать прямые и транзитивные отношения между конкретными доменами из разных лесов, но работать это будет только для данных доменов. Windows Server 2003 предлагает новый тип доверия, который называется "Отношение доменов между лесами". Эти отношения являются транзитивными для доменов, которые входят в каждый из лесов. То есть, когда два леса соединяются доверительными отношениями, пользователи из любого домена одного леса абсолютно прозрачно могут видеть объекты другого леса и обращаться к ним из любых доменов.
Можно сделать цепочку, например, из трех лесов A, B, C. A доверяет В, а В доверяет С. Из этого не следует, что между лесом А и С тоже установились доверительные отношения. Это как в Windows NT 4: не транзитивные отношения в том смысле, что они не транзитивны между лесами. Но между доменами, которые связывают два леса, отношения являются транзитивными.
Управление групповыми политиками
Групповые политики - это основной инструмент, который используется для управления практически всеми подсистемами и компонентами в рамках Windows. Будь то рабочая станция и ее настройки, будь то сервер и его сетевые службы, Active Directory, параметры безопасности - все это настраивается через групповые политики.Механизм групповых политик позволяет назначать политики контейнерам, то есть организационным подразделениям, сайтам и доменам. Групповую политику нельзя назначить конкретному пользователю. При этом, поскольку структура контейнеров в Active Directory иерархична, можно на разных уровнях назначать разные групповые политики. Следовательно, работают механизмы наследования. У администратора есть определенные функции по блокировке наследования или, наоборот, по принудительному применению политики наследования. Администратор имеет возможность фильтровать применение групповых политик через права доступа. В любом случае, большое количество задач решается с помощью не меньшего количества инструментов. Для каждой задачи есть определенный инструмент. Таким образом, чтобы управлять групповыми политиками в Windows 2000, требуется знать порядка шести инструментов и использовать их для различных задач.
Windows Server 2003 позволяет существенно упростить жизнь администратору за счет появления специального инструмента, который называется Group Policy Management Console. Это интегрированная или консолидированная консоль, которая включает в себя интерфейс для выполнения абсолютно всех задач, связанных с групповыми политиками. Больше не нужно ломать голову, где делается данная операция - все в Group Policy Management Console, при этом консоль группирует информацию очень логично, интуитивно понятно.
Помимо того, что Group Policy Management Console является консолидированным графическим инструментарием, она еще и добавляет ряд новых функций к управлению групповыми политиками. Например, функции архивирования и восстановления групповых политик, функции копирования групповых политик между доменами одного леса и импорт/экспорт групповых политик.
Group Policy Management Console, как составная часть Windows Server 2003, отсутствует. Ее нужно скачивать с web-сервера Microsoft (http://www.microsoft.com/downloads ). Установить консоль можно либо на Windows Server 2003, либо на Windows XP при наличии Service Pack 1 и.NET Framework. Таким образом, с помощью Group Policy Management Console можно управлять групповыми политиками, даже не находясь непосредственно на контроллере домена. Можно установить консоль прямо на рабочую станцию Windows XP и с этой рабочей станции централизованно управлять всеми групповыми политиками леса. Кроме того, в составе Group Policy Management Console есть два мастера, которые позволяют анализировать и моделировать процесс применения групповых политик. Первый называется "Мастер результатов применения групповых политик" и он показывает, какие политики применялись к данному конкретному компьютеру, какие значения изменились и с каких политик эти значения были получены. Если что-то не применилось, мастер показывает, почему это не применилось.
Понятно, что данный механизм требует подключения к тому компьютеру, который подвергается анализу. То есть в режиме удаленного подключения администратор, конечно, может подключиться к любой рабочей станции и попросить проанализировать, как применялись групповые политики к этой машине. Можно поступить другим образом: прежде чем разворачивать и внедрять систему групповых политик, можно смоделировать, а что будет происходить с пользователем, или с компьютером, когда к нему применится групповая политика.
Процесс такого моделирования выполняется с помощью консоли, которая расположена в Group Policy Management Console и называется Process Modeling. Моделирование не требует подключения к исследуемому компьютеру. Оно работает только с информацией, которая хранится в Active Directory. Достаточно просто иметь доступ к контроллеру Windows Server 2003 Active Directory. Можно, например, представить, что случится, если пользователь войдет в какую-то группу безопасности, можно условно поместить пользователя в какой-то контейнер и посмотреть, что произойдет.
Есть еще некоторые новые возможности Group Policy Management Console - это архивирование и восстановление групповых политик. Сами объекты можно сохранить в виде файла в определенном каталоге. Потом их можно восстановить обратно в случае какой-то проблемы или при экспериментах с доменом, Active Directory или групповыми политиками. Важно, что восстановить групповую политику можно только в том же домене, в котором она была заархивирована. Восстанавливается только объект групповой политики сам по себе: то, что было к нему дополнительно привязано, нельзя поместить в архив, соответственно, восстановить тоже.
Перейдем теперь к Windows Management Instrumentations (WMI). Это технология, которая сейчас является основной в управлении системами. WMI используется практически везде: любая служба так или иначе задействует WMI.
С помощью WMI можно получать информацию обо всех объектах, которые существуют в системе, будь то аппаратные устройства или какие-то программные компоненты. Абсолютно любая информация может быть получена путем запроса к базе данных WMI. Поскольку такой механизм существует, Microsoft разработала дополнительную функциональность к применению групповых политик. Появилась возможность фильтровать применение групповых политик на основании обращения к базе WMI. То есть можно буквально в групповой политике назначить фильтр. Например, если ответ на запрос, который посылается к WMI, будет положительным, то групповая политика применяется, а если будет отрицательным, то групповая политика не применяется.
Политика ограничения на использование программ
Это централизованная политика, которая может реализовываться на уровне всего предприятия. С её помощью администратор имеет возможность ограничить список программ, которые могут запускать пользователи на своих рабочих станциях. Администратор может, наоборот, указать список программ, которые пользователи на своих машинах ни при каких условиях запускать не могут.Для реализации этого механизма используется принцип: базовый уровень, плюс исключение. Соответственно, базовые уровни могут быть двух типов для разных сценариев. Первый базовый уровень называется "Disallowed": все программы по-умолчанию запрещены, кроме тех, которые разрешены в исключениях, в дополнительных правилах. Второй называется Unrestricted: разрешены все программы, но в списке дополнительных правил указаны исключения, то есть черный список программ, которые нельзя запускать.
Правила могут быть четырех типов (ранжированы по приоритету): Certificate (максимальный приоритет), Hash, Path и Zone. Приоритет актуален, когда есть несколько политик, определяющих одно и то же приложение разными правилами. Например, одна политика разрешает запускать все программы, которые расположены в каталоге "ABCD", а другая политика запрещает запускать программы, имеющие такой-то хэш. Если окажется, что эта программа, которую запрещено запускать, находится в разрешенном каталоге ABCD, то сильнее окажется правило запрета, потому что правило по хэшу "побеждает" правило по пути. Именно для этого используется приоритет.
