Postoje četiri načina da instalirate Active Directory.
- Instalacija putem Čarobnjaci za instalaciju Active Directory(Čarobnjak za instalaciju Active Directory); pogodan u većini slučajeva.
- Instalacija datoteke odgovora, metoda instalacije bez nadzora (omogućava vam daljinsku instalaciju AD).
- Instalacija pomoću mrežnog ili arhivskog izvora (koristi se prilikom instaliranja Active Directory na dodatne kontrolere domena).
- Instalacija sa Čarobnjaci za konfiguraciju servera(Čarobnjak za konfigurisanje servera). (Ova metoda je primjenjiva samo kada se Active Directory instalira na prvi kontroler domene na mreži).
Sva četiri puta vam omogućavaju da računaru dodelite ulogu kontrolora domena, instalirate Active Directory i opciono instalirate i konfigurišete DNS server.
Međutim, prva metoda je univerzalna, a mi ćemo je detaljnije razmotriti, koristeći primjer instaliranja Active Directory na prvi kontroler domene u mreži ...
Instaliranje Active Directory pomoću čarobnjaka za instalaciju Active Directory.
- Da biste otvorili čarobnjak za instalaciju Active Directory, unesite Trči komanda dcpromo.
- Nakon što se pod imenom pojavljuje stranica čarobnjaka Čarobnjak za instalaciju Active Directory kliknite na dugme Dalje.
- Na stranici Provjera kompatibilnosti sistema takođe klikne na dugme Dalje.
- Na stranici Tip kontrolera domene izabrati Kontroler domene u novoj domeni; zatim kliknite na Next.
- Jednom na stranici Kreirajte novu domenu, odaberite stavku Nova domena u novoj šumi a zatim kliknite na dugme Dalje.
- Na terenu Potpuno kvalificirano DNS ime nove domene Na stranici Novo ime domene unesite naziv domene i kliknite na dugme Dalje.
- Nakon kratkog odlaganja, stranica se pojavljuje. NetBIOS naziv domene... Ne preporučuje se promjena zadanog NetBIOS imena. Kliknite Dalje.
- Nakon otvaranja stranice Baza podataka i folderi dnevnika navedite lokaciju baze podataka Active Directory i prijavite se u tekstualne okvire Mapa lokacije baze podataka i Mapa lokacije dnevnika respektivno. Ne zaboravite da je preporučljivo postaviti bazu podataka i log datoteku na odvojene čvrste diskove sa NTFS sistemom datoteka. Klikne na dugme Dalje.
- Na terenu Lokacija mape stranice Dijeljenje sistemskog volumena morate odrediti lokaciju foldera Sysvol... Kao što možete zamisliti, sistemski volumen mora biti smješten na particiji ili volumenu sa NTFS sistemom datoteka. Nakon završetka podešavanja, kliknite na dugme Dalje.
- Kada se stranica pojavi na ekranu Dijagnostika DNS registracije, pogledajte detaljna uputstva za dijagnostički test. Postavite prekidač na jednu od tri pozicije (u našem slučaju DNS još nije konfigurisan na mreži, pa biramo drugu opciju). Pritiskamo Dalje.
- Render na stranici Dozvole, odaberite sve potrebne standardne dozvole za objekte korisnika i grupe, a zatim kliknite Dalje.
- U tekstualnom polju Lozinka za način oporavka stranice Directory Services Restore Password unesite lozinku administratorskog naloga za situaciju kada se računar pokrene u režimu oporavka usluge imenika. Nakon potvrde pritisnite lozinku Dalje.
- Na stranici Sažetak sva podešavanja napravljena do danas su navedena. Nakon što pregledate njihovu listu, kliknite Dalje... (Proces konfigurisanja Active Directory Components Wizard-a traje neko vrijeme. Ako računar nema statičku IP adresu postavljenu u postavkama, od vas će biti zatraženo da to učinite.
- Nakon dovršetka čarobnjaka, pojavljuje se stranica Dovršavanje čarobnjaka za instalaciju Active Directory... Kliknite na dugme Spreman i odmah nakon toga - Ponovo pokreni sada.
Za centralizovano upravljanje fakultetskom mrežom potrebno je da kreirate domen baziran na Microsoft Windows Server 2003.
Bilješka... Tokom instalacije, možda ćete morati da ubacite instalacioni CD za Windows Server 2003 u svoju disk jedinicu. Možete koristiti fizički CD ili iso-slika instalacionog diska operativnog sistema.
Vježba 1. Instalirajte uslugu imenika Active Directory na serveru, kreirajte domenu mydomain.ru.
Uputstvo za implementaciju
1. Pokrenite čarobnjak za instalaciju Active Directory Start - Pokreni - dcpromo.
2. Prateći korake čarobnjaka za instalaciju, odaberite sljedeće opcije instalacije:
U prozoru Domain Controller Type - radio dugme za kontroler domene za novu domenu;
U prozoru Kreirajte novu domenu (Kreirajte novu domenu) - prekidač Domena u novoj šumi (Domena u novoj šumi);
U prozoru Instalirajte ili konfigurišite DNS (Instaliranje ili konfigurisanje DNS-a) - prekidač Ne, samo instalirajte i konfigurišite DNS na ovom računaru (Ne, DNS je već instaliran i konfigurisan na ovom računaru) ako je DNS već instaliran na serveru, ili Da, konfigurisaću DNS klijenta(Da, konfigurirat ću DNS klijenta);
U prozoru Novo ime domene (Novo ime domene) tip mydomain.ru U redu Puni DNS naziv za novu domenu (Potpuno kvalificirano DNS ime nove domene);
U prozoru NetBIOS ime domene (NetBIOS naziv domene) treba da se pojavi unos MYDOMAIN;
Provjerite je li odabrana staza za hostiranje baze podataka i protokola. C: \ WINDOWS \ NTDS, i za postavljanje direktorija SYSVOL put naznačen C: \ WINDOWS \ SYSVOL;
U prozoru Dozvole (Dozvole) odaberite Dozvole kompatibilne samo sa Windows 2000 ili Windows Server 2003 operativnim sistemima (Dozvole kompatibilne samo sa operativnim sistemima Windows 2000 ili Windows Server 2003);
U prozoru Administratorska lozinka Restore Mode Services Directory (Administratorska lozinka za režim oporavka) unesite lozinku koju želite da dodelite ovom nalogu administratorskog servera u slučaju da se računar pokrene u režimu vraćanja usluga direktorijuma;
U prozoru Sažetak pregledajte listu odabranih parametri instalaciju i sačekajte da se proces instalacije Active Directory dovrši.
3. U prozoru Dovršavanje čarobnjaka za instalaciju Active Directory, kliknite na dugme Završi, a zatim na dugme Ponovo pokreni.
Zadatak 2... Pregledajte kreiranu domenu na jedan od načina.
Uputstvo za implementaciju
1. metoda.
Otvorite Moja mrežna mjesta - Cijela mreža – Microsoft Windows mreža (Moja mrežna mjesta - Sva mreža - Microsoft Windows mreža). Uvjerite se da se pojavi unos za domen mydomain, koji sadrži jedan računar, Server.
2nd way.
1 Iz menija Start - Programi - Administrativni alati izaberite Active Directory Users And Computers. Otvoriće se istoimeni dodatak.
2 U stablu snap-in dvaput kliknite na mydomain.ru (ili ime vašeg domena) da vidite sadržaj čvora mydomain.ru.
3 U odjeljku Kontrolori domena stabla snap-in, pogledajte ime kontrolera domene i njegovo potpuno kvalificirano DNS ime (na primjer, ako je ime samostalnog servera bilo server, onda bi nakon instaliranja domene trebalo da bude server. mydomain.ru).
4 U odeljku Korisnici pogledajte listu ugrađenih korisničkih naloga i korisničkih grupa za domen.
5 Aktivirajte ugrađeni račun za goste i pokušajte se prijaviti. Jeste li pokušali ovo uspješno učiniti? Samo administratorima domena je dozvoljeno da se prijave na kontrolere domena.
6 Zatvorite Active Directory Users And Computers konzolu.
Zadatak 3. Testirajte DNS uslugu koristeći DNS dodatak.
Uputstvo za implementaciju
1. Otvorite DNS konzolu pomoću naredbe Start - Programi - Administrativni alati - DNS.
2. U stablu DNS konzole, kliknite desnim tasterom miša na ime vašeg servera i izaberite Svojstva. Otvoriće se prozor sa svojstvima SERVERA (ako server ima drugačije ime, pojaviće se u naslovu prozora).
3. Kliknite na karticu Monitoring.
4. Na listi Odaberi tip testa, označite polja Jednostavan upit protiv ovog DNS servera i Rekurzivni upit drugim DNS serverima i kliknite Testiraj sada. U prozoru Svojstva servera, lista rezultata testa treba da prikaže PROŠLO ili NEUSPEŠNO u kolonama Jednostavan upit i Rekurzivni upit. Objasnite dobijene rezultate.
Zadatak 4. Uklonite uslugu Active Directory.
Uputstvo za implementaciju
Pokrenite čarobnjak za instalaciju i uklanjanje Active Directory Start - Pokreni - dcpromo.
Samostalan rad
Prema projektnom zadatku, postavite domen pod nazivom faculty.ru, gdje je kontrolor domena server.faculty.ru, čija je IP adresa 192.168.1.1.
Pitanja za samokontrolu
1. Opišite razlike između radne grupe i domene.
2. Koja je glavna razlika između Windows XP i Windows Server 2003?
3. Da li je moguće kreirati domen na mreži na kojoj svi računari na mreži imaju Windows XP?
4. Definirajte kontroler domene.
5. Navedite ugrađene naloge korisnika i korisničkih grupa na domeni koja vam je poznata i opišite njihovu svrhu.
6. Šta znači pojam samostalni server?
7. Opišite razlike između radne grupe i domena.
8. Zašto je ugrađeni korisnički račun obično onemogućen?
Književnost
Laboratorijski rad br. 4
Tema: Kreiranje i administriranje korisničkih i grupnih naloga
Vježba 1. Kreirajte račun dekana domene:
- ima pristup svim mrežnim resursima,
- može se prijaviti na bilo koji računar.
Uputstvo za implementaciju
1. Pokrenite naredbu Počni–Svi programi–Administrativni alati–Korisnici i računari Active Directory (Start–Programi–Administracija–Korisnici i računari Active Directory).
2. Proširite fasciklu faculty.ru Korisnici.
3. U meniju Akcija (Akcija) izaberite komandu Novo–Korisnik (Kreiraj–korisnik).
4. Unesite potrebne korisničke podatke. U poglavlju Ime za prijavu korisnika (Korisničko ime za prijavu) enter dekan (dekan)... Imajte na umu da se prilikom kreiranja naloga domene, za razliku od lokalnog računa, ime domene prikazuje iza korisničkog imena, odvojeno od posljednjeg znakom @ ... Dakle, puno ime korisnika ( Ime za prijavu korisnika)–[email protected] .
5. Prilikom definiranja korisničke lozinke, obavezno provjerite Korisnik mora promijeniti lozinku prilikom sljedeće prijave (Korisnik mora promijeniti lozinku prilikom sljedeće prijave).
6. Završite kreiranje vašeg naloga.
7. U desnom oknu pronađite svoj nalog. Dvaput kliknite na njega da unesete dodatne informacije (adresa, organizacija, itd.).
8. Uvjerite se da se dekan može prijaviti u bilo koje vrijeme (tab Račun–Sati za prijavu–radno vrijeme)).
9. Pokušajte se prijaviti na domenu koristeći nalog dekana. Zašto je pokušaj propao?
10. Prijavite se na sistem kao administrator.
11. Pregledajte svojstvo dekanskog računa ponovnim pokretanjem naredbe Počni–Svi programi–Administrativni alati-. U prozoru sa svojstvima naloga izaberite karticu Član (Grupno članstvo) i dodajte dekanski račun u globalnu grupu Administratori domena sa sljedećim komandama Dodati ...–Napredno ...–Pronađite sada… Dodajte…–Dodatno…–Pronađite...) sa liste izaberite Administratori domena (Administratori domena).
12. Pokušajte se ponovo prijaviti na domenu pomoću naloga dekana.
13. Nakon što se prijavite sa administratorskim nalogom, promijenite lozinku dekana i postavite lozinku da se ponovo promijeni sljedeći put kada se prijavite.
Zadatak 2. U skladu sa zahtjevima politike mrežne sigurnosti, ne preporučuje se uključivanje drugih korisnika domena u grupu Administratori, osim onih koji direktno obavljaju funkcije administracije. Uklonite nalog dekana iz grupe Administratori.
Uputstvo za implementaciju
1. Pokrenite naredbu Počni–Svi programi–Administrativni alati–Korisnici i računari Active Directory.
2. Proširite fasciklu faculty.ru u lijevom oknu prozora. U podfolderima izaberite Korisnici.
3. U desnom oknu pronađite svoj nalog. Dvaput kliknite na njega i idite na karticu Član. Izaberite sa liste grupa Administratori domena i pritisnite Ukloni.
Zadatak 3. Dozvolite nalogu dekana da se prijavi na kontrolor domene bez uključivanja u grupu Administratori.
Uputstvo za implementaciju
1. Dodajte dekanski račun u grupu Operateri štampanjačiji se članovi mogu prijaviti na kontroler domene.
2. Prijavite se na domenu koristeći nalog dekana
3. Predložite drugu metodu za omogućavanje prijave na kontroler domene.
Zadatak 4. Kreirajte globalnu grupu Nastavnici (Nastavnici):
- tip grupe - sigurnosna grupa;
- nastavnici se mogu prijaviti na bilo koji računar na mreži, osim na server;
- svaki od nastavnika ima svoj nalog i postavke, koje konfiguriše lično nastavnik.
Uputstvo za implementaciju
1. Pokrenite naredbu Počni–Svi programi–Administrativni alati–Korisnici i računari Active Directory.
2. Proširite fasciklu faculty.ru u lijevom oknu prozora. U podfolderima izaberite Korisnici.
3. U meniju Akcija odaberite tim Novo–Grupa (novo–Grupa).
4. Na terenu Ime grupe (Ime grupe) enter Nastavnici.
5. Na području Grupni opseg (Grupni opseg) kliknite na radio dugme Global, i na području Tip grupe (Tip grupe) - prekidač Sigurnost.
6. Kliknite OK.
Zadatak 5. Dodaj u grupu Nastavnici (Nastavnici) član grupe - račun dekana.
Uputstvo za implementaciju
1. Uvjerite se da je kopča otvorena Korisnici i računari Active Directory i odabran je kontejner Korisnici.
2. U prozoru svojstava grupe Nastavnici odaberite karticu Članovi (Članovi grupe), a zatim sukcesivno dugmad Dodati ...–Napredno ...–Pronađite sada... sa liste izaberite račun dekana.
3. U prozoru svojstava dekanskog računa pronaći podatke o članstvu u grupi Nastavnici.
Zadatak 6. Navedite ugrađene lokalne, globalne domene, lokalne grupe domena i proučite opis svake ugrađene grupe.
Zadatak 7. Popunite tabele koje sadrže informacije o članovima domene. Tabele bi vam trebale pomoći u planiranju i kreiranju računa domene.
Primjer popunjavanja tabela za korisničku grupu Dekanat i račun Student vidi ispod.
Tabela 8
Grupno planiranje
Tabela 9
Raspored prijavljivanja
Tabela 10
Lozinke za planiranje
@ Razmislite o najmanje tri korisnika iz svake grupe i popunite tabele 8-10 prema zahtjevima projekta. Dodajte tabele svom izvještaju.
Zadatak 8. Kreirajte korisničke naloge i korisničke grupe, prema zahtevima projekta, prema vašim opcijama u tabelama 8–10.
Zadatak 9. Testirajte svoje račune. Na primjer, promijenite sistemsko vrijeme na 6:00 i pokušajte se prijaviti na domenu kao student. Pokušajte promijeniti lozinku za ovaj račun.
Pitanja za samokontrolu
1. Opišite razlike između lokalnih i domenskih naloga.
2. Koja je svrha kreiranja korisničkih grupa?
3. Objasnite svrhu lokalnih, globalnih i univerzalnih grupa.
4. Objasnite svrhu sigurnosnih grupa i grupa za distribuciju.
5. Definirajte i navedite primjere za sljedeće pojmove: "korisnička prava", "korisničke privilegije", "dozvole za pristup korisnika".
6. Navedite ugrađene naloge korisnika i korisničkih grupa na domeni koja vam je poznata i opišite njihovu svrhu.
7. U koju ugrađenu korisničku grupu, osim grupe administratora, treba uključiti nalog da bi se korisnik mogao prijaviti na radnu stanicu? Postoje li drugi načini da se to uradi?
8. Kako spriječiti prijavu vikendom i van radnog vremena?
9. Kako da ograničim period važenja mog računa?
10. Kako onemogućiti nalog zaposlenom, na primjer, tokom njegove bolesti?
12. Kako mogu promijeniti korisničku lozinku?
13. Kako spriječiti korisnika da promijeni lozinku?
14. Koje su posljedice brisanja grupe?
Književnost
Laboratorijski rad br.5
Početna situacija - postoji domena, testcompany.local... Radi jednostavnosti, imaće jedan Windows Server 2003 kontroler domene pod imenom dc01... Na njemu je i DNS server, glavna zona je integrisana u Active Directory.
Mrežne postavke kontrolera:
IP adresa - 192.168.1.11
Maska - 255.255.255.0
Gateway - 192.168.1.1
DNS server - 192.168.1.11
Zadatak- instalirati kontroler domene na drugi server, osim toga, pod Windows Server 2008 R2, stari kontroler vratiti na server člana (i onda ga eventualno potpuno izbrisati) i prenijeti sve funkcije starog kontrolera na novi.
Pripremni radovi
Kao pripremni rad, trebali biste pokrenuti komande netdiag(ova komanda postoji samo u 2003 Server, alati za podršku) i dcdiag, provjerite da nema grešaka i ako ih ima, ispravite te greške.
Prije svega, naredbom određujemo nosioca FSMO uloga u domeni:
Utility netdom.exe Windows Server 2003 nije uključen po defaultu, tako da morate da ga instalirate Alati za podršku(http://support.microsoft.com/kb/926027). U ovom slučaju, nema smisla, jer postoji samo jedan kontroler domene i FSMO uloge su još uvijek na njemu. Za one koji imaju više od jednog kontrolera domena, bit će korisno znati koje uloge prenijeti i odakle. Izlaz naredbe će izgledati otprilike ovako:
IP adresa - 192.168.1.12
Maska - 255.255.255.0
Gateway - 192.168.1.1
DNS server - 192.168.1.11
i ubaciti ga u postojeću domenu, testcompany.local u našem slučaju.
Ažuriranje šeme šume i domene
Sljedeći korak je nadogradnja šeme šume i domene na Windows Server 2008 R2, što ćemo uraditi pomoću uslužnog programa adprep... Umetnite instalacioni disk sa Windows Server 2008 R2 u server dc01... Na disku nas zanima fascikla X: \ support \ adprep (X: je slovo DVD-ROM drajva). Ako imate 32-bitni Windows Server 2003, trebali biste pokrenuti adprep32.exe, u slučaju 64-bitnog - adprep.exe.
Ne postoje zahtjevi funkcionalnog režima šume za izvršenje naredbe. Za izvršenje naredbe adprep / domainprep Zahtijeva da domen koristi funkcionalni nivo domene od najmanje Windows 2000 izvornog.
Unosimo naredbu:
X: \ support \ adprep> adprep32.exe / forestprep
Nakon upozorenja da svi Windows 2000 kontroleri domena moraju biti najmanje SP4, ulazimo WITH i pritisnite Enter: 
Naredba radi prilično dugo, nekoliko minuta, i trebala bi završiti sljedećom frazom:
Adprep je uspješno ažurirao informacije o cijeloj šumi.
Nakon toga unesite naredbu:
X: \ support \ adprep> adprep32.exe / domainprep / gpprep
Što će raditi mnogo brže:
Također je vrijedno pokrenuti naredbu adprep / rodcprep... Čak i ako nećete koristiti kontrolere domene samo za čitanje (RODC) na vašoj mreži, ova naredba će barem ukloniti nepotrebne poruke o grešci u dnevniku događaja.
Nakon što se naredbe za ažuriranje šeme dovrše, možete početi promovirati novi server u kontrolor domene.
Na serveru dc02 idite na Server Manager, dodajte ulogu Usluge domena Active Directory... Nakon instaliranja uloge, odlaskom na Server Manager> Roles> Active Directory Domain Services, vidjet ćemo žuti prompt “Pokreni čarobnjak za instalaciju Active Directory domenskih usluga (dcpromo.exe)”. Mi ga lansiramo. Alternativno, možete ukucati u komandnoj liniji dcpromo, što će biti ekvivalentno gornjoj radnji.
Pošto pokrivanje procesa instaliranja kontrolera domena nije uključeno u ovaj članak, fokusiraću se samo na nekoliko ključnih tačaka. Na stepenicama Dodatne opcije kontrolera domene provjeri obje čavke, DNS server i Globalni katalog.
Ako daw Global Catalog i DNS server ne stavljajte, morat ćete ih posebno prenijeti. A kada prelazite iz 2003. u 2003., to ćete ionako morati učiniti, jer u Windows 2003 ne postoji takva mogućnost. O prijenosu globalnog kataloga i DNS servera razgovarat ćemo nešto kasnije.
Završetak instalacije kontrolera domene, ponovno pokretanje servera. Sada imamo dva kontrolera domena koji rade u isto vrijeme.
FSMO prijenos uloga
Transfer uloga FSMO može se obaviti i putem grafičkog interfejsa i pomoću uslužnog programa ntdsutil.exe... Ovaj članak će opisati metodu pomoću grafičkog interfejsa, kao vizuelniju, koji su zainteresovani za neki drugi metod, pratite ovaj link: http://support.microsoft.com/kb/255504. Prijenos FSMO uloga sastojat će se od sljedećih koraka:
Idemo na server dc02, na onu kojoj ćemo prenijeti uloge. Za pristup snap Shema Active Directory, prvo morate registrirati biblioteku schmmgmt.dll... Ovo se radi pomoću naredbe:
regsvr32 schmmgmt.dll
U stablu uskoka kliknite desnim tasterom miša na stavku Shema Active Directory i odaberite stavku Promijenite kontroler domene... Tu mijenjamo kontroler u dc02.
Zatim ponovo kliknite desnim tasterom miša na element. Shema Active Directory i odaberite stavku Operations Master... Pojavljuje se prozor poput ovog:
Guranje Promjena > Da > uredu i zatvorite sve ove prozore.
Otvorite dodatak, kliknite desnim tasterom miša na stavku Active Directory domene i povjerenja i izaberite tim Promijenite Active Directory Domain Controller... Ovaj korak je potreban ako ne radite s kontrolora domene na koji se uloga prenosi. Preskočite ako je veza sa kontrolerom domene čija se uloga prenosi već uspostavljena. U prozoru koji se otvori odaberite kontroler domene kojem je uloga dodijeljena ( dc02 u našem slučaju) u listi i pritisnite dugme uredu.
U dodatku kliknite desnim tasterom miša na stavku Active Directory domene i povjerenja i odaberite stavku Operations Master... U prozoru koji se pojavi pritisnite dugme Promjena.
Za potvrdu prijenosa uloge pritisnite dugme uredu, i onda - Zatvori.
Otvaramo kopču. Desni klik na element Korisnici i računari Active Directory i izaberite tim Promijenite kontroler domene... Preskočite ako je veza sa kontrolerom domene čija se uloga prenosi već uspostavljena. U prozoru koji se otvori odaberite kontroler domene kojem je uloga dodijeljena ( dc02 u našem slučaju) u listi i pritisnite dugme OK.
U dodatku kliknite desnim tasterom miša na stavku Korisnici i računari Active Directory, odaberite stavku Svi zadaci, i onda Operations Master.
Odabiremo karticu koja odgovara prenesenoj ulozi ( RID, PDC ili Infrastruktura Master), i pritisnite dugme Promjena.
Za potvrdu prijenosa uloge pritisnite dugme uredu, i onda - Zatvori.
Migracija Globalnog kataloga
Ako migriramo ne u 2008, već u 2003, u kojoj prilikom dodavanja dodatnog kontrolera domene nije postavljen globalni katalog ili niste označili kućicu Global Catalog u koraku 2, tada morate ručno dodijeliti ulogu globalnog kataloga novom kontroleru domene. Da biste to učinili, idite na snimak Web lokacije i usluge Active Directory, otvorite Sites> Default-First-Site-Name> Servers> DC02> desnim klikom na NTDS Settings> Properties. U prozoru koji se otvori, stavite okvir za potvrdu Globalni katalog> OK.
Nakon toga će se pojaviti poruka u logovima usluge imenika da će promocija kontrolera u globalni katalog biti odgođena za 5 minuta.
Vrsta događaja: Informacije
Izvor događaja: NTDS General
Kategorija događaja: (18)
ID događaja: 1110
Datum: 12.07.2011
Vrijeme: 22:49:31
Korisnik: TESTCOMPANY \ Administrator
Opis:
Promocija ovog kontrolera domena u globalni katalog će biti odgođena za sljedeći interval.Interval (minuta):
5Ovo kašnjenje je neophodno kako bi se potrebne particije direktorija mogle pripremiti prije nego što se globalni katalog oglasi. U registru možete odrediti broj sekundi koje će agent sistema direktorija čekati prije nego što unaprijedi lokalni kontroler domene u globalni katalog. Za više informacija o vrijednosti registra Global Catalog Delay Advertisement, pogledajte Vodič za distribuirane sisteme kompleta resursa.
http://go.microsoft.com/fwlink/events.asp.
Čekamo pet minuta i čekamo događaj 1119 da je ovaj kontroler postao globalni katalog.
Vrsta događaja: Informacije
Izvor događaja: NTDS General
Kategorija događaja: (18)
ID događaja: 1119
Datum: 12.07.2011
Vrijeme: 22:54:31
Korisnik: NT AUTHORITY \ ANONYMOUS LOGON
Računar: dc02.testcompany.local
Opis:
Ovaj kontroler domene je sada globalni katalog.Za više informacija pogledajte Centar za pomoć i podršku na http://go.microsoft.com/fwlink/events.asp.
Ponovno konfigurisanje interfejsa, DNS-a i drugih zadataka nakon instalacije
Nadalje, pošto je DNS server uključen dc02 smo instalirali, sada se morate navesti kao primarni DNS server u svojstvima mrežnog interfejsa, tj. adresa 192.168.1.12. I dalje dc01 promijeniti u skladu s 192.168.1.12.
U svojstvima DNS servera uključeno dc02 provjerite karticu Forwarders, za 2003. godinu, za razliku od 2008. godine, nije repliciran. Tada možete degradirati kontrolora domena dc01 na server člana.
Ako trebate ostaviti staro ime i IP adresu na novom kontroleru, to se također može učiniti bez problema. Naziv se mijenja kao za običan računar, ili sa sličnom komandom netdom renamecomputer.
Nakon promjene IP adrese, pokrenite komande ipconfig / registerdns i dcdiag / fix.
Nakon ponovnog pokretanja servera, morate se uvjeriti da je glavni način dozvole (mod Windows Server 2003) uspostavljena. Da biste to uradili, morate otvoriti snap-in "Aktivan Imenik- domene i povjerenje “, “ stavite “ mišem na naziv vašeg domena i iz menija odaberite “ Promijeni način rada domene ”.
Ako Native Permissions Mode nije instaliran, morate ga instalirati.
Prilagodba DNS
Da konfigurišete kontroler domene koji je automatski kreiran tokom instalacije DNStreba preuzeti snimakDNS, kliknite desnim tasterom miša na karticu "Reverse lookup zones" i izaberite "Create a new zone" iz ponuđenog menija.
Pokrenut će se čarobnjak za novu zonu.
U prozoru "Tip zone" potrebno je odrediti koja će zona biti kreirana. Pošto se konfiguriše prvi server DNSu domeni potrebno je odabrati stavku "Glavna zona", a preporučljivo je odabrati opciju "Spremi zonu u AktivanImenik».
Odabirom u "Opseg zone replikacije integrirana uAktivanImenik„Preporučljivo je stati na tački“ Za sveDNS-serveri u domeni created_domain_name . lokalni ". Ovo će vam omogućiti prijenos zona samo unutar određene domene ako postoji šuma.
Prozor Reverse Lookup Zone Name specificira opis za koji IP-adrese će biti prikupljanje informacija i davanje imena na zahtjev kupaca. Preporučuje se da se radi jednostavnosti unese tačno mrežni kod, što je broj značajnih okteta u adresama lokalne mreže (na primjer: 192.168.1).
U obrascu "Dinamičko ažuriranje" potrebno je da odaberete kako će se informacije pohranjivati DNS-server. Za mreže koje uključuju klijenteWindows2000 i stariji, mogu biti dozvoljena samo sigurna dinamička ažuriranja. Općenito, preporučujemo da odaberete opciju "Dozvoli bilo kakva dinamička ažuriranja".
Ovim se dovršava kreiranje nove zone reverznog pregleda i pojavljuje se informativni prozor sa kratkim opisom zone koja se kreira. Ako je potrebno, možete se vratiti i izvršiti potrebne promjene.
Nakon kreiranja zone za obrnuto pretraživanje, možete vidjeti njen sadržaj i ispravno imenovanje zone.
Zatim morate konfigurirati područje prikaza uživo. Da biste to učinili, "ubacivši" u granu "Zone za pregled naprijed" na zoni sa imenom kreiranog domena, potrebno je desnom tipkom miša otvoriti meni i odabrati stavku "Svojstva".
Na kartici Općenito, kao što je učinjeno prilikom kreiranja grane obrnutog pretraživanja, također se preporučuje da opciju Dynamic Update postavite na Nesigurno i sigurno.
Ovim je dovršeno postavljanje serveraDNSzavršava, a sada trebate kreirati unose za mrežne uređaje i aktivnu mrežnu opremu.
Kreiranje zapisa vrši se na sledeći način: na zoni sa imenom domene, kliknite desnim tasterom miša i iz menija izaberite stavku "Kreiraj čvor". U obrazac za unos podataka o čvoru koji se kreira morate unijeti naziv čvora (puno ime domene se popunjava automatski) i njegov IP-adresu, a zatim stavite kvačicu na stavku „Kreiraj odgovarajuću PTR-snimanje".
Klikom na dugme Dodaj lokaciju, zapis će biti dodan direktno u zonu za traženje unapred i unazad. Ako polje za potvrdu nije označeno, zapis će se morati kreirati zasebno u zoni obrnutog pregleda.
Izričito se ne preporučuje kreiranje zapisa za računare i servere domena DNSručno. Za ispravno kreiranje unosa u meniju "Start - Run" bolje je izvršiti naredbu ipconfig / registerdns, koji će se registrovatiDNS-server.
Svi operativni sistemi povezani sa domenom moraju biti konfigurisani da koriste lokalne DNS servere (obično kontrolere domena) kao poželjnu i alternativu. Ako je TCP/IP protokol ispravno konfigurisan, operativni sistemi kreiraju zapise u domenskim zonama u automatskom režimu (sa izuzetkom Windows 9X).
Instalacija i konfiguracijaDHCP
Servisna aplikacijaDHCPpojednostavljuje mrežnu administraciju i omogućava vam da osigurate jedinstvenost onih koji se koriste u domeni IP-adrese. Za instaliranje uslugeDHCPsamo idite na "Kontrolna tabla", pokrenite "Dodaj ili ukloni programe" i odaberite karticu "Instaliraj komponente Windows"," Stanite "na liniju" Mrežne usluge " i kliknite na "Kompozicija".
Morate instalirati komponentu "DHCP».
(Komponenta " DNS"Dodano je automatski tokom instalacijeAD i ne možete ukloniti kvačicu sa njega).
Nakon završetka instalacije komponenteDHCPpotrebno je da preuzmete snap-in "DHCP", Idite na unos koji sadrži ime instaliranog servera i, proširivanjem menija desnom tipkom miša, odaberite stavku "Kreiraj područje". Pokrenut će se čarobnjak za novu regiju.
U prozoru "Naziv opsega" morate unijeti naziv kreiranog područja distribuiranih adresa i opis za njega. Ove informacije se unose radi praktičnosti, a uneseni podaci u principu nisu bitni.
U prozoru „Raspon adresa“ morate uneti početnu i krajnju adresu opsega koji će biti dostupan za automatsku distribuciju između računara u domeni i navesti masku podmreže koju ste odabrali u fazi planiranja mreže.
U dijaloškom okviru je naveden raspon koji uključuje sve moguće vrijednosti za adrese u mreži. Kako bi se spriječilo izdavanje korištenih adresa (IP-adrese servera, aktivne mrežne opreme i drugih uređaja sa statičkim adresama), morate navesti opseg adresa koje će se isključiti iz distribucije u obrascu "Dodaj izuzimanja". Adrese isključene iz distribucije možete navesti jednu po jednu unoseći ih u kolonu „Inicijal IP-adresa".
Nakon navođenja svake isključene adrese ili opsega, potrebno je potvrditi unos pritiskom na dugme "Dodaj", nakon čega će unos biti dodan na listu izuzetaka.
Prozor "Datum isteka zakupa adrese" se koristi za označavanje vremenskog perioda nakon kojeg je server izdao IP-adresa se može dati drugom primaocu dinamičkih adresa. Za mrežu čije su promjene u arhitekturi i sastavu prilično rijetke, preporučuje se postavljanje dovoljno dugog perioda zakupa.
Da biste smanjili ukupno vrijeme kreiranja domene, preporučuje se da pristanete na prijedlog čarobnjaka za kreiranje domene za konfiguraciju parametara DHCP .
Prozor "Ruter (default gateway)" se popunjava ako postoji u mreži.
Ako takav uređaj ne postoji, prozor mora ostati prazan. Dodavanje podrazumevanog gateway-a takođe zahteva klik na dugme "Dodaj", nakon čega će uneta adresa rutera biti dodata na listu.
Ime domene iDNS-serveri” zahtijeva posebnu pažnju. U kolonu "Nadređena domena" morate unijeti puni naziv kreirane domene bez ikakvih skraćenica (na primjer: "domena 1. lokalni"). Unošenje imena domene pogrešno ili nepotpuno će uzrokovati probleme s mrežom, kao što su poteškoće u povezivanju računara sa domenom.
Adrese se unose odmahDNS- mrežni serveri. Nije preporučljivo unositi adresuDNS-server, i njegov naziv, kada kliknete na dugme "Upari", adresa servera će se automatski postaviti, nakon čega je potrebno kliknuti i na dugme "Dodaj". Ako nije došlo do podudaranja imena DNS-server je ili vraćen neispravnoIP-adresa, to može ukazivati na problem sa bilo kojom uslugomDNS, ili u postavljanju mrežne veze.
Možete unijeti adrese nekolikoDNS-serveri, ako se više servera koristi istovremeno na mrežiDNS-serveri.
Ako nema servera na mrežiWINS, zatim prozor" WINS-servers” treba ostaviti praznim.
Prozor "Aktiviraj područje" omogućava vam da odgodite aktivaciju kreiranog područja za proizvoljno vrijeme (na primjer, kada je server konfiguriran u drugoj lokalnoj mreži ili adrese izdaje drugo područje, a kreirano područje još nije koristi). Ako je server prvo konfiguriran, morate odabrati "Da, želim sada aktivirati ovo područje."
Ovim se završava rad čarobnjaka za kreiranje zone, možete se, ako je potrebno, vratiti i izvršiti potrebne promjene u parametrima kreiranog područja.
Nakon što završite čarobnjak za kreiranje zone, potrebno je da se ovlastite DHCP v AD... Ako se to ne učini, klijentima se neće izdavati adrese.
Za ovo u trenDHCPpotrebno je da "ustanete" na ime servera koji se konfiguriše, proširite meni desnim tasterom miša i izaberete stavku "Ovlasti".
Za tako da se adrese koje izdaje server automatski prenose na DNS, trebali biste napraviti dodatnu konfiguraciju serveraDHCP... Za ovo u trenDHCPpotrebno je da "stanete" na naziv servera koji se konfiguriše, proširite meni desnim tasterom miša i izaberete stavku "Svojstva".
Na kartici ServisDNS»Preporučljivo je postaviti iste parametre koji su korišteni ranije. Ova postavka će omogućiti istovremeni prijenos informacija na DNSo svim izdatim adresama, bez obzira na vrstu klijenta, i automatski će izbrisati zastarjele informacije kada istekne zakup adrese.
Klijenti rade Windows9x u domenu Windows Server 2003
U domenu Windows Server2003. godine povećan je podrazumevani nivo sigurnosti, što je dovelo do pojave određenih poteškoća u radu naslijeđenih klijentskih sistema, kao npr. Windows 95, 98, NT 4.0.
Za da bi se omogućilo ovim operativnim sistemima da rade u domeni, preporučuje se instaliranje na klijentske mašine AktivanImenikDSCLIENT.EXE(nalazi se na distribucijamaWindows 2000 Serveru folderu CLIENTS \ WIN9X) i izvršite brojne modifikacije sigurnosne politike.
Da biste izvršili izmjene, morate pokrenuti dodatak za sigurnosnu politiku kontrolera domene,
zatim "Politika sigurnosti domene" i onemogućite prikazane sigurnosne postavke.
Prema informacijama Microsoft, dovoljno je onemogućiti "Mrežni serverMicrosoft: Digitalno potpisati (uvijek) "u sigurnosnoj politici domene Windows 2003.
Nakon završetka uređivanja ovih sigurnosnih politika, preporučuje se ponovno pokretanje servera.
Ovaj članak se fokusira na servis direktorija Active Directory, nove funkcije i mehanizme koje je dobio pojavom Windows Servera 2003 i kako se sva ova poboljšanja sprovode u praksi.Sav prezentirani materijal podijeljen je u šest tema. Razgovaraćemo o implementaciji Active Directory-a i integraciji sa postojećim direktorijumima, administraciji usluga, replikaciji, poverenju među šumama, upravljanju grupnim smernicama i softverskim ograničenjima.
Implementacija i integracija
U ovom poglavlju ćemo sagledati nove karakteristike Active Directory-a sa nekoliko gledišta: implementacija ove usluge, integracija sa drugim direktorijumima, migracija sa prethodne verzije (bilo nadogradnja sa Windows NT 4.0, ili jednostavno instaliranje Active Directory-a od nule ). Prije svega, treba napomenuti da su nove funkcije Active Directory-a zasnovanog na Windows 2003 uglavnom nekompatibilne sa Active Directory-om zasnovanim na Windows 2000. Na primjer, mogućnost preimenovanja domene ili vraćanja prethodno deaktiviranog objekta u šemu može samo koristiti kada se direktorij nalazi na najvišem mogućem funkcionalnom nivou: nivo domena je Windows Server 2003, a nivo šume je Windows Server 2003. Da biste dobili pristup ovim i drugim funkcijama, morate premjestiti šumu na najviši funkcionalni nivo. Hajde da razmotrimo koji su to funkcionalni nivoi.Funkcionalni nivoi
Administrator ručno povećava funkcionalni nivo
Imajte na umu da je ova klasifikacija posebno uvedena kako bi se osigurala kompatibilnost na nivou nazad nekompatibilnih sposobnosti. Čak i ako instalirate Active Directory od nule, bez ažuriranja i ne mareći za integraciju, odnosno samo instalirate novi server, a na njemu - prvi kontroler u šumi, dobićete sistem koji u početku spada u najniži nivo. Drugim rečima, nivo domena je Windows 2000 Mixed, a nivo šume Windows 2000. Dakle, u ovom režimu, instalirani sistem u potpunosti odgovara svim funkcijama koje su dostupne u Windows 2000 Active Directory. Da biste izvršili nadogradnju na viši nivo, moraju biti ispunjeni određeni uslovi, na primer, domen se može nadograditi na nivo Windows Server 2003 samo nakon što su svi kontroleri u toj domeni migrirani na ovaj operativni sistem. Ako govorimo o prelasku sa Windows 2000, onda se, naravno, proces tranzicije sastoji od fazne nadogradnje postojećih kontrolera. Nemoguće je prenijeti sve kontrolere odjednom sa Windows 2000 na Windows 2003, to se može učiniti samo jedan po jedan. Dok se proces migracije kontrolera ne završi, funkcionalni nivo domene ostaje na Windows 2000 Mixed nivou. Čim se svi kontroleri prebace, možete preći na sljedeći nivo. Administrator mijenja funkcionalni nivo koristeći namjensku konzolu Active Directory Domains Trusts. Administrator nije u mogućnosti da ga spusti, može ga samo prebaciti na viši nivo, na kojem će sistem ostati. Nakon što je administrator premjestio domenu na novi funkcionalni nivo, u Active Directoryju se pojavljuju određene nove funkcije.
Razmotrimo ove mogućnosti za jednostavnost prezentacije u modu čiste šume - Windows 2003 i svi domeni - Windows 2003. Drugim riječima, maksimalni mogući nivoi i, shodno tome, maksimalni raspon novih mogućnosti. Prva stvar na koju se vrijedi zadržati je funkcija koja se zove Particije aplikacije (na ruskom - Particije aplikacija).
Odjeljci aplikacija
Činjenica je da je Active Directory prvobitno zamišljen kao usluga imenika, ne samo da bi pružao, na primjer, mrežnu uslugu klijentima ili da bi pohranio račune tih klijenata, već i kao skladište za mrežne aplikacije. Stoga u Active Directory-u postoji mnogo informacija koje dolaze iz aplikacija. Dakle, na Windows 2000, bez obzira na to koliko aplikacija instaliramo u načinu filtriranja sa Active Directory-jem, sve informacije o njima će pasti u jedan direktorij i, u skladu s tim, ravnomjerno će se replicirati između svih kontrolera.
Windows 2003 vam omogućava da razlikujete i odvojite informacije koje pripadaju umreženim aplikacijama od ostatka direktorija kreiranjem particija za aplikacije. Na primjer, informacije koje pohranjuje DNS server ne mogu se distribuirati svim kontrolerima u domeni, već samo onima koji su eksplicitno specificirani. U stvari, to znači stvaranje particija. Prvo, možete kreirati odjeljak "direktoriji", kao da ga odvajate od opće strukture, a zatim specificirati da ovaj odjeljak treba biti pohranjen kao replika na imenovanim kontrolerima. Isto važi i za bilo koju drugu aplikaciju. Kroz ovaj mehanizam, administrator koji upravlja sistemom može najoptimalnije odvojiti i pohraniti informacije o direktoriju i aplikaciji. Na primjer, ako je unaprijed poznato da će neka aplikacija koristiti direktorij samo na ovom konkretnom kontroleru (neće kontaktirati druge kontrolere), onda je na taj način moguće smanjiti pohranu direktorija samo na ovaj kontroler kreiranjem jedinstvenog odjeljak za ovu aplikaciju.
Sljedeća karakteristika je podrška za klasu objekata InetOrgPerson (RFC 2798). Pojavio se samo u Windows 2003, a Windows 2000 ne podržava ovu klasu objekata. InetOrgPerson je potreban za integraciju sa drugim LDAP direktorijumima (Novell, Netscape). Active Directory zna kako raditi sa ovom klasom, kreirati objekte ove klase, moguća je i transparentna i glatka migracija objekata tipa InetOrgPerson iz drugih Active Directory direktorija. Shodno tome, postaje moguće prenositi aplikacije napisane za druge LDAP direktorije. Ako aplikacije koriste ovu klasu, onda se mogu bezbolno, transparentno prenijeti u Active Directory, uz zadržavanje svih funkcionalnosti.
Nadalje, postalo je moguće preimenovati domene. U ovom slučaju treba jasno shvatiti da preimenovanje domena ne znači samo promjenu naziva domene (domen se ranije zvao "abcd", a sada se zove "xyz"). U stvari, struktura direktorija je stablo, ima mnogo domena u njoj, a sami domeni su organizirani u hijerarhiju. Preimenovanje domena je zapravo restrukturiranje šuma. Možete preimenovati domenu tako da se pojavljuje u drugom stablu.
Preimenovanje domena. Rendom.exe uslužni program
Razmotrite domen Contoso koji je podređen domenu Sales u stablu WorldWideImporters.com. Možete ga preimenovati i nazvati Contoso.Fabrikam.com. Ovo nije samo preimenovanje, to je prijenos domene s jednog stabla na drugo, odnosno prilično netrivijalan postupak. Logično je pretpostaviti da preimenovanje domene može dovesti do stvaranja novog stabla. Contoso domenu koja je bila podređena domeni prodaje možete preimenovati u Contoso.com. Tada će domen postati predak drugog drveta u istoj šumi. Zbog toga se proces preimenovanja domena može smatrati veoma komplikovanom i netrivijalnom procedurom.
U Windows 2000 nije postojala opcija za preimenovanje domena u gornjem kontekstu. Ako je domen kreiran, on će ostati sa svojim imenom doživotno. Jedini način da promijenite situaciju je da izbrišete domenu, a zatim je ponovo kreirate pod novim imenom.
Windows 2003 dolazi sa uslužnim programom koji se zove Rendom, doslovno od riječi Preimenuj domenu. Uslužni program Rendom.exe je uslužni program reda za naredbe koji se može koristiti za preimenovanje domene. Istina, ovaj proces se sastoji od šest faza. Za više informacija pogledajte pomoć za Windows 2003, tehničke dokumente specifične za Microsoft .NET i MSDN. Detaljno opisuje kako modelirati, dizajnirati i provesti proces preimenovanja domene koristeći uslužni program rendom. U svakom slučaju, ovo je složen proces u više koraka koji zahtijeva pažljivu pripremu: previše je veza i pokazivača, imena i drugih međuzavisnosti koje se formiraju prilikom kreiranja domena. Nemoguće je sve uzeti u jednom potezu.
Plan implementacije Active Directory sada uključuje način za instaliranje kontrolera domene sa prenosivog medija. na šta se misli? Vrlo česta situacija je kada preduzeće implementira Active Directory u udaljenim kancelarijama: komunikacija sa udaljenom kancelarijom je slaba, loše komunikacione linije između centrale i filijala. Međutim, morate instalirati novi kontroler domene u poslovnici. Kada se kreira novi kontroler u postojećoj domeni, uslužni program DCPromo komunicira sa postojećim, radnim kontrolerima i preuzima na sebe cijelu bazu podataka i replike koje se mogu prikupiti iz kontrolera njegove domene. Ako ova baza podataka zauzima nekoliko desetina ili stotina kilobajta, odnosno prazna je (podrazumevano zauzima nekoliko stotina kilobajta), onda nema problema. Ali ako govorimo o funkcionalnom sistemu, u kojem baza podataka može zauzeti desetine ili stotine megabajta, onda se njen prijenos može pokazati jednostavno nemogućim zadatkom. Stoga u ovoj situaciji problem možete riješiti na vrlo jednostavan način. Koristeći Windows NT Backup, napravite arhivu u režimu "stanje sistema", odnosno izaberite opciju Back-up-> SystemState u Windows NT Back-up konzoli. Nakon toga zapišite sve kreirane sigurnosne kopije na medij, na primjer, na CD ili DVD, uzmite ovaj disk i dođite s njim u udaljenu kancelariju, tamo vratite sve informacije iz arhive koristeći isti Windows NT Back- gore. Samo trebate izvršiti oporavak ne prema zadanim postavkama, već u drugi direktorij, tako da su same datoteke jednostavno postavljene na disk. Naravno, nema potrebe za zamjenom sistemskih informacija koje se nalaze na postojećem računaru. Zatim pokrenite uslužni program DCPromo sa ključem "/ adv" i odredite putanju do spremišta gdje se nalazi raspakovani fajl. Nakon toga, proces instaliranja novog kontrolera će kreirati vlastitu repliku na osnovu informacija sa prenosivog medija. U tom slučaju će vam i dalje biti potrebna veza sa sjedištem, jer osim prijenosa replike, potrebno je uspostaviti i određene odnose sa postojećim domenom. Stoga bi trebala postojati veza, ali zahtjevi za njom su značajno smanjeni: čak i vrlo slaba linija će učiniti. U gore navedenom scenariju, 95% informacija koje je trebalo prenijeti na novi kontrolor prebačeno je na sistemski medij, a komunikaciona linija između centrale i filijale nije morala biti preopterećena.
Važno je napomenuti da korisnici i dalje vrlo često koriste Windows NT 4.0. Windows 2003 vam omogućava da pređete iz postojećih direktorija (NT 4 ili Windows 2000) brže, bezbolnije i efikasnije. Alat za migraciju Active Directory (ADMT) služi ovoj svrsi. ADMT će pomoći pri migraciji sa Windows NT na Windows 2003, kao i sa Windows 2000 na Windows 2003 u slučaju da je potrebna neka vrsta restrukturiranja domena, transfer naloga itd.
Active Directory Migration Tool (ADMT) Wizards v.2
Alatka za migraciju Active Directory je zbirka čarobnjaka. Svaki majstor obavlja određeni zadatak (pogledajte sliku iznad). Važno je da većina čarobnjaka ima mod pod nazivom "Testiraj postavke migracije i migriraj kasnije" - simulira proces bez stvarnog izvođenja ikakvih operacija. Drugim riječima, proces migracije se emulira, a administrator može vidjeti kakav će biti rezultat i kako će se sve dogoditi. Prave radnje se ne izvode u ovom načinu rada. Kada rezultati testnog režima budu zadovoljavajući, možete zatražiti od Active Directory Migration Tool da izvrši potpunu migraciju.
Administracija
Ovo poglavlje se fokusira na instrumentalnu administraciju. U principu, ne može se reći da su se ovdje pojavile mnoge nove vrlo korisne funkcije. Ipak, ipak postoji nešto. Na primjer, Drag & Drop podrška: prije izdavanja Windowsa 2003, nije postojala podrška za Drag & Drop. Sada možete kliknuti na objekt "korisnik" i prevući ga mišem do novog kontejnera. Veoma je zgodno. Šteta što u prethodnim verzijama nije postojao takav mehanizam.Pojavila se dodatna konzola za pohranjivanje zahtjeva direktorija. Poznato je da je Active Directory LDAP direktorij. To znači da se upiti mogu postaviti prema LDAP direktorijima koristeći standardni jezik upita. Ako se ovi zahtjevi upućuju, a ne pamte, onda je to dodatno opterećenje za administratora: svaki put kada treba prepisati zahtjev ili ga kopirati iz nekog dokumenta. Da biste pojednostavili ovaj proces, postoji odeljak pod nazivom Sačuvani upiti. Zapravo pohranjuje one zahtjeve koje je administrator ili korisnik unio u konzolu.
Konzola upita spremljenog imenika
Sada, kada je ovaj zahtjev ponovo potreban, samo ga trebate odabrati sa liste. Štaviše, rezultati upita se prikazuju na desnoj strani konzole: na lijevoj strani možete odabrati upit koji vas zanima i kliknuti na njega, a rezultat obrade će se pojaviti na desnoj strani.
Windows Server 2003 sadrži mnogo programa komandne linije. Ovo izgleda čudno i čak, možda, kontradiktorno. Čini se da Microsoft promoviše grafičko sučelje svih ovih godina, jednostavnost upravljanja pomoću grafičkog interfejsa, ali u isto vrijeme, ispostavilo se, objavljuje nove uslužne programe komandne linije. Evo samo njih šest za Active Directory.
Uslužni programi komandne linije
U tome, zapravo, nema kontradikcije. Činjenica je da je mnogo operacija koje administrator mora obaviti pogodnije za obavljanje u obliku batch datoteka. Na primjer, kada je u pitanju izmjena atributa za identične ili slične objekte, često je zgodnije to učiniti na komandnoj liniji pisanjem odgovarajuće skripte. Ako treba da promenite neki parametar, na primer telefone korisnika koji su registrovani na nalogu (svako u odeljenju može promeniti telefon), možete otići na svaki nalog i promeniti telefon. Ako to uradite preko grafičkog interfejsa, moraćete da izvršite najmanje stotinu operacija da biste promenili objekat "Account". Također možete uzeti jednu jednostavnu naredbu zvanu DSMod (izmjena objekta), formirati liniju za pisanje novih informacija, zatim napisati skriptu sa uvjetima pretraživanja i izvršiti sve kao jednu naredbu. Za takve operacije (a ima ih mnogo u svakodnevnom radu administratora) treba koristiti uslužne programe i skripte komandne linije.
Replikacija
Pitanja replikacije su vrlo relevantna u implementaciji Active Directory, dizajnu i planiranju infrastrukture.Windows 2000 ima određena ograničenja u pogledu broja lokacija na kojima se topologije mogu automatski generirati. Postoji usluga koja se zove Inter-Site Topology Generator (ISTG). Kada se kreiraju dvije ili tri, a po mogućnosti pet ili čak deset lokacija, ISTG usluga automatski generiše topologiju replikacije između lokacija, bira host servere i određuje kako će se skripta replikacije izvršiti. Sve je u redu, ali ako postoji oko dvjesto lokacija, onda se ISTG servis ne može nositi s količinom informacija i zaglavi se u petlji. Stoga, za Windows 2000 postoji vrlo jasna preporuka - broj lokacija ne bi trebao biti veći od dvije stotine, ako je potrebno da se topologija replikacije između lokacija automatski generiše. Ako ima više lokacija, automatsko generiranje mora biti onemogućeno i sve ovo mora biti konfigurirano ručno.
Problem naizgled nije očigledan, ali ljudi se zaista suočavaju s njim kada je u pitanju implementacija Active Directory-a na sistemima sa više lokacija. Windows Server 2003 uklanja ovaj problem. Ovaj sistem implementira potpuno novi Inter-Site Topology Generator, koji radi na fundamentalno drugačiji način i generiše topologiju koristeći novi algoritam. Broj sajtova koji se sada mogu automatski generisati (čija topologija se može automatski generisati pomoću ISTG servisa) bio je samo nekoliko hiljada u testovima. Ne zna se kome može trebati toliki broj lokacija, ali se, ipak, može zaboraviti na svako ograničenje samo modifikacijom ISTG mehanizma.
Osim toga, možete isključiti kompresiju prometa između web lokacija, ako, naravno, ima smisla. Omogućavanje kompresije povećava opterećenje procesora host servera. Ako mreža to dozvoljava, onda bi možda imalo smisla isključiti kompresiju kako bi se prenijelo više podataka preko mreže, ali tada će kontroleri biti manje opterećeni. Možete učiniti suprotno: ako trebate uštedjeti na mrežnom prometu, ima smisla omogućiti kompresiju.
Postoji još jedno ograničenje u načinu na koji Active Directory replicira grupe u Windows 2000. Radi se o bezbednosnoj grupi. Kada je u pitanju dodjela prava za pristup određenim objektima, obično je dobra administrativna praksa dodijeliti prava grupama. Korisnici su ili uključeni u grupu ili isključeni. Grupa je potpuno isti objekat u Active Directoryju kao i svaki drugi objekat. Objekt ima atribute. Posebnost grupe je u tome što lista članova grupe nije više atributa, to je jedan atribut sa velikim brojem vrijednosti, tzv. "Multi Value Attribute" (u stvari, to je jedan atribut sa mnogo vrijednosti). Mehanizam replikacije Active Directory je granuliran do nivoa atributa. Ako je objekat modifikovan, sistem će replicirati ove promene tačno za one atribute koji su se promenili, a ne za ceo objekat. Sada se vratimo na grupu koja ima atribut koji se sastoji od, na primjer, sto vrijednosti. Ako grupa uključuje sto ljudi, onda ovaj atribut ima sto vrijednosti. A ako 5 hiljada? Ograničenje je sljedeće: ako je članstvo u grupi 5 hiljada objekata, tada replikacija takvog objekta postaje nemoguća. Čim se pojavi 5001 član grupe, odmah se uništava proces replikacije ove grupe na Windows 2000. Postoji čak i dokumentovana metoda napada, kada administrator, uvrijeđen od nekoga, može uništiti proces replikacije u sistemu, jednostavno pisanjem skripte koja će ga ciklički smještati u koju -tu grupu od 5 hiljada članova. Zatim postoje problemi s replikacijom direktorija. Windows Server 2003 Active Directory uvodi dodatni mehanizam pod nazivom "Replikacija povezane vrijednosti".
U ovom slučaju, mehanizam je isključivo namijenjen repliciranju atributa koji imaju mnogo vrijednosti. Odnosno, sada, kada se koristi ovaj mehanizam, članstvo u grupi se replicira na nivou pojedinačnih članova. Ako u grupu uključite novu osobu, tada se replikacija neće izvršiti za cijelu listu, kao atribut, već samo za vrijednosti zbog mehanizma replikacije povezanih vrijednosti.
Još jedan problem replikacije vezan za globalni katalog. Poteškoća je bila u tome kako se globalni katalog ponaša kada administrator izmijeni takozvani Parcijalni skup atributa (PAS) – listu atributa koji treba staviti u globalni katalog.
Možda ima smisla pojasniti. Svaki atribut ima statusnu vrijednost: treba li staviti u globalni katalog ili ne. Globalni katalog je dodatni katalog koji sadrži informacije o svim objektima koji se nalaze u katalogu, ali ne u potpunosti, već tačno liste onih atributa koji su označeni kao izvezeni u globalni katalog. Tako se, na primjer, o svakom korisniku u globalnom katalogu stavlja njegovo ime, njegova email adresa, eventualno neki drugi dodatni parametar. Samo nekoliko parametara kako biste mogli brzo pronaći ovog korisnika u imeniku.
Problem nastaje kada administrator izmijeni šemu i za neki drugi atribut promijeni status, prebacivši ga u ovaj način rada. Postojao je atribut koji nije ušao u globalni katalog, administrator je otišao i promijenio shemu, uključio ovaj atribut u PAS, nakon toga, pored repliciranja cijele sheme, na Windows 2000 će doći do potpune resinhronizacije svih servera koji pohranjuju globalni katalog. Ovo će uzrokovati vrlo značajno opterećenje mrežnog saobraćaja, a neki čak i interni prekid rada usluge imenika.
Windows Server 2003 rješava ovaj problem. Globalna kataloška replikacija i sinhronizacija će se vršiti isključivo u opsegu dodanog atributa. To jest, kada se izvrši operacija dodavanja atributa u PAS, informacije se jednostavno prikupljaju od onih objekata koji imaju ovaj atribut. A onda se [atribut] dodaje u globalni katalog. Ne dolazi do pune sinhronizacije.
Još jedna dodatna karakteristika globalnog kataloga je univerzalni mehanizam grupnog keširanja. Da vas podsjetim da postoje tri vrste grupa u Active Directoryju: lokalne, globalne i univerzalne. Lokalno i globalno se pohranjuju s replikom na kontroleru, univerzalne grupe se pohranjuju u globalni katalog. Kada zaposleni u udaljenoj kancelariji želi da uđe u mrežu, sistem će registrovati korisnika na mreži i kreirati njegov bezbednosni kontekst. Da bi to učinila, ona mora saznati kojoj grupi korisnik pripada. Windows 2000 može naučiti o lokalnim i globalnim grupama na svom najbližem kontroleru, ali na osnovu dizajna mreže, globalni katalog se nalazi u glavnom uredu. Možete provjeriti članstvo korisnika u univerzalnoj grupi samo upitom u globalni katalog. Stoga je prilikom registracije potrebno poslati zahtjev u sjedište. Ako je veza prekinuta i globalni katalog nije dostupan, korisniku će biti odbijena registracija (u ovoj situaciji po defaultu). Podešavanje registra da ignoriše greške povezane sa članstvom u univerzalnoj grupi stvara bezbednosnu rupu.
Windows Server 2003 nudi univerzalni mehanizam grupnog keširanja. Sada je veza s globalnim katalogom potrebna samo pri prvoj registraciji korisnika. Ove grupe idu u kontroler i tamo se spremaju. Svaka sljedeća registracija korisnika ne zahtijeva pogodak jer je članstvo u univerzalnoj grupi već poznato. U ovom slučaju, keširanje informacija se ažurira na određeni način: u dogovorenim intervalima traže se informacije iz globalnog kataloga radi ažuriranja informacija o članstvu korisnika u univerzalnim grupama.
Poverenje između šuma
Povjerenje između šuma omogućava integraciju potpuno nezavisnih organizacija. Active Directory je struktura u kojoj može postojati stablo domena s korijenskom domenom, ili može postojati šuma koja se sastoji od nekoliko stabala. Karakteristika šume je da za sve domene uključene u nju, za sva ta stabla, postoje tri identična entiteta - ovo je jedna šema, pojedinačni konfiguracijski kontejneri i zajednički globalni katalog za šumu. Naravno, njihov nazivni prostor je drugačiji, iako možete imenovati cijelu šumu. Ako se to ne učini, tada će svako stablo imati svoju hijerarhiju imena. Možete napraviti tako da sva stabla u šumi budu poređana u istom sistemu imenovanja.
Poverenje između šuma
Kada je u pitanju integracija i interoperabilnost između dvije različite šume, obično postoje dva različita sistema izgrađena nezavisno jedan od drugog. Međutim, potrebno je da korisnici u jednoj šumi (definiranoj samo u jednoj šumi) mogu pristupiti objektima definiranim u drugoj šumi. Da biste to učinili, morate uspostaviti odnos povjerenja.
Windows 2000 vam omogućava da pravite direktne i tranzitivne odnose između određenih domena iz različitih šuma, ali ovo će raditi samo za ove domene. Windows Server 2003 uvodi novi tip povjerenja koji se zove Odnos domena među šumama. Ovi odnosi su tranzitivni za domene koje su uključene u svaku od šuma. To jest, kada su dvije šume povezane odnosom povjerenja, korisnici iz bilo koje domene u jednoj šumi mogu vidjeti i pristupiti objektima u drugoj šumi potpuno transparentno.
Možete napraviti lanac, na primjer, od tri šume A, B, C. A vjeruje B, a B povjerenje C. Iz ovoga ne slijedi da je odnos povjerenja također uspostavljen između šume A i C. To je kao Windows NT 4: netranzitivni odnosi u smislu da nisu tranzitivni u šumama. Ali između domena koji povezuju dvije šume, odnos je tranzitivan.
Upravljanje grupnim politikama
Politika grupe je primarni alat koji se koristi za upravljanje gotovo svim podsistemima i komponentama unutar Windowsa. Bilo da se radi o radnoj stanici i njenim postavkama, bilo da se radi o serveru i njegovim mrežnim uslugama, Active Directory, sigurnosnim postavkama - sve se to konfigurira putem grupnih politika.Motor grupnih politika vam omogućava da dodijelite politike kontejnerima, odnosno organizacionim jedinicama, lokacijama i domenima. Politika grupe se ne može dodijeliti određenom korisniku. Istovremeno, budući da je struktura kontejnera u Active Directory-ju hijerarhijska, možete dodijeliti različite grupne politike na različitim nivoima. Dakle, mehanizmi nasljeđivanja funkcioniraju. Administrator ima određene funkcije za blokiranje nasljeđivanja ili, obrnuto, za provođenje politike nasljeđivanja. Administrator ima mogućnost filtriranja primjene grupnih politika putem prava pristupa. U svakom slučaju, veliki broj zadataka rješava se korištenjem ništa manje alata. Za svaki zadatak postoji poseban alat. Stoga, da biste upravljali Group Policy u Windows 2000, morate znati oko šest alata i koristiti ih za različite zadatke.
Windows Server 2003 olakšava život administratoru uvođenjem posebnog alata pod nazivom Konzola za upravljanje pravilima grupe. Ovo je integrisana ili konsolidovana konzola koja uključuje interfejs za obavljanje apsolutno svih zadataka vezanih za Politiku Grupe. Više ne morate da zagonetnite gdje se ova operacija izvodi - sve je u konzoli za upravljanje grupnim politikama, dok konzola grupiše informacije na vrlo logičan, intuitivan način.
Pored toga što je konsolidovani grafički komplet alata, Konzola za upravljanje grupnim smernicama dodaje niz novih funkcija za upravljanje smernicama grupe. Na primjer, funkcije za arhiviranje i vraćanje grupnih politika, funkcije za kopiranje grupnih politika između domena u istoj šumi i uvoz/izvoz grupnih politika.
Nedostaje konzola za upravljanje pravilima grupe, kao dio Windows Servera 2003. Mora se preuzeti sa Microsoft web servera ( http://www.microsoft.com/downloads). Možete instalirati konzolu na Windows Server 2003 ili Windows XP sa servisnim paketom 1 i .NET Framework. Stoga, koristeći konzolu za upravljanje grupnim politikama, možete upravljati grupnim politikama čak i bez da ste direktno na kontroleru domena. Možete instalirati konzolu direktno na Windows XP radnu stanicu i sa te radne stanice centralno upravljati svim grupnim politikama u šumi. Pored toga, Konzola za upravljanje grupnim smernicama uključuje dva čarobnjaka koji vam omogućavaju da analizirate i modelirate proces primene smernica grupe. Prvi se zove "Čarobnjak rezultata aplikacije grupne politike" i pokazuje koje su politike primijenjene na ovaj određeni računar, koje su vrijednosti promijenjene i iz kojih politika su te vrijednosti dobijene. Ako se nešto nije primenilo, čarobnjak pokazuje zašto se nije primenilo.
Jasno je da ovaj mehanizam zahtijeva vezu sa računarom koji se analizira. Odnosno, u režimu udaljene veze, administrator se, naravno, može povezati na bilo koju radnu stanicu i tražiti da analizira kako su grupne politike primijenjene na ovu mašinu. Možete to učiniti drugačije: prije postavljanja i implementacije sistema grupnih politika, možete simulirati šta će se dogoditi korisniku ili računaru kada se na njega primjene grupna pravila.
Proces ovakvog modeliranja se izvodi pomoću konzole koja se nalazi u konzoli upravljanja grupnim politikama pod nazivom Procesno modeliranje. Simulacija ne zahtijeva vezu sa računarom koji se proučava. Radi samo s informacijama pohranjenim u Active Directory. Dovoljno je lako imati pristup Windows Server 2003 Active Directory kontroleru. Možete, na primjer, zamisliti šta će se dogoditi ako korisnik uđe u sigurnosnu grupu, možete uvjetno staviti korisnika u kontejner i vidjeti što će se dogoditi.
Neke druge nove karakteristike konzole za upravljanje grupnim smernicama su pravljenje rezervnih kopija i vraćanje smernica grupe. Sami objekti se mogu sačuvati kao fajl u određenom direktorijumu. Zatim se mogu vratiti nazad u slučaju nekog problema ili kada eksperimentišete sa domenom, Active Directory ili grupnim politikama. Važno je da možete vratiti grupnu politiku samo na istoj domeni na kojoj je napravljena sigurnosna kopija. Samo GPO se obnavlja sam od sebe: sve što mu je bilo dodatno prikačeno ne može se arhivirati, a prema tome, može se i vratiti.
Pređimo na Windows Management Instrumentations (WMI). To je tehnologija koja je sada centralna za upravljanje sistemima. WMI se koristi skoro svuda: bilo koja usluga koristi WMI na ovaj ili onaj način.
Koristeći WMI, možete dobiti informacije o svim objektima koji postoje u sistemu, bilo da su hardverski uređaji ili neka vrsta softverskih komponenti. Apsolutno sve informacije mogu se dobiti upitom u WMI bazi podataka. Pošto takav mehanizam postoji, Microsoft je razvio dodatnu funkcionalnost za primenu grupnih smernica. Sada možete filtrirati primjenu grupnih politika na osnovu pristupa WMI bazi podataka. To jest, možete doslovno dodijeliti filter u grupnim politikama. Na primjer, ako je odgovor na upit koji je poslan WMI-u potvrdan, tada se primjenjuju smjernice grupe, a ako su negativne, onda se smjernice grupe ne primjenjuju.
Politika ograničenja aplikacija
To je centralizirana politika koja se može implementirati u cijelom preduzeću. Uz njegovu pomoć, administrator ima mogućnost da ograniči listu programa koje korisnici mogu pokrenuti na svojim radnim stanicama. Administrator može, naprotiv, odrediti listu programa koje korisnici ne mogu pokrenuti na svojim mašinama ni pod kojim okolnostima.Za implementaciju ovog mehanizma koristi se princip: osnovna linija plus isključenje. Prema tome, osnovne linije mogu biti dvije vrste za različite scenarije. Prvi osnovni nivo naziva se "Disallowed": svi programi su podrazumevano zabranjeni, osim onih dozvoljenih u izuzecima, u dodatnim pravilima. Drugi se zove Unrestricted: svi programi su dozvoljeni, ali lista dodatnih pravila sadrži izuzetke, odnosno crnu listu programa koji se ne mogu pokrenuti.
Pravila mogu biti četiri tipa (rangirana po prioritetu): Certifikat (najviši prioritet), Hash, Putanja i Zona. Prioritet je relevantan kada postoji nekoliko politika koje definiraju istu aplikaciju s različitim pravilima. Na primjer, jedna politika dozvoljava pokretanje svih programa koji se nalaze u "ABCD" direktoriju, dok druga politika zabranjuje pokretanje programa koji imaju taj i takav hash. Ako se ispostavi da se ovaj program, koji je zabranjen za pokretanje, nalazi u dozvoljenom direktoriju ABCD, tada će pravilo zabrane biti jače, jer heš pravilo "pobjeđuje" pravilo duž putanje. Za to se koristi prioritet.
