Postoje četiri načina za instaliranje Active Directoryja.
- Instalacija putem Čarobnjak za postavljanje Active Directory(Čarobnjak za instalaciju Active Directory); prikladan u većini slučajeva.
- Instalacija datoteke odgovora, metoda instalacije bez nadzora (omogućuje vam daljinsku instalaciju AD).
- Instalirajte pomoću mrežnog ili arhivskog izvora (koristi se pri instalaciji Active Directory na dodatne kontrolere domene).
- Instalacija pomoću Čarobnjaci za postavljanje poslužitelja(Čarobnjak za konfiguriranje poslužitelja). (Ova metoda je primjenjiva samo kada instalirate Active Directory na prvi kontroler domene na mreži).
Sva četiri puta omogućuju vam da dodijelite računalu ulogu kontrolora domene, instalirate Active Directory i po želji instalirate i konfigurirate DNS poslužitelj.
Međutim, prva metoda je univerzalna i razmotrit ćemo je detaljnije, koristeći primjer instaliranja Active Directory na prvi kontroler domene na mreži ...
Instaliranje Active Directory pomoću čarobnjaka za instalaciju Active Directory.
- Da biste otvorili čarobnjak za instalaciju Active Directory, upišite u dijaloški okvir Trčanje naredba dcpromo.
- Nakon što se pod imenom pojavi stranica čarobnjaka Čarobnjak za postavljanje Active Directory kliknite gumb Unaprijediti.
- Na stranici Provjera kompatibilnosti sustava također kliknite na gumb Unaprijediti.
- Na stranici Vrsta kontrolera domene Izaberi Kontroler domene u novoj domeni; zatim kliknite gumb Sljedeće.
- Jednom na stranici Napravite novu domenu, odaberite stavku Nova domena u novoj šumi, zatim kliknite gumb Dalje.
- U polju Puni DNS naziv nove domene Na stranici Novo ime domene unesite naziv domene i kliknite gumb Unaprijediti.
- Nakon kratkog odgoda, stranica će se pojaviti NetBIOS naziv domene. Ne preporučujemo promjenu zadanog NetBIOS naziva. Klik Unaprijediti.
- Nakon otvaranja stranice Baza podataka i mape dnevnika odredite lokaciju baze podataka Active Directory i prijavite se u tekstualne okvire Mapa lokacije DB i Mapa lokacije zapisnika odnosno. Imajte na umu da se preporučuje da se baza podataka i datoteka zapisnika smjeste na zasebne tvrde diskove s NTFS datotečnim sustavom. Klikne na gumb Unaprijediti.
- U polju Mjesto mape stranicama Dijeljenje volumena sustava morate odrediti mjesto mape Sysvol. Kao što razumijete, volumen sustava mora biti smješten na particiji ili volumenu s NTFS datotečnim sustavom. Nakon dovršetka postavki kliknite gumb Unaprijediti.
- Kada se stranica pojavi na ekranu Dijagnostika DNS registracije, pročitajte detaljne upute za dijagnostički test. Postavite prekidač na jedan od tri položaja (u našem slučaju DNS na mreži još nije konfiguriran, pa biramo drugu opciju). Klik Unaprijediti.
- Renderiranje po stranici Dozvole, odaberite sve standardne dozvole koje želite za objekte korisnika i grupe, a zatim kliknite Unaprijediti.
- U tekstualnom polju Lozinka za način oporavka stranicama Lozinka za način vraćanja usluga imenika unesite lozinku za administratorski račun, namijenjenu situaciji kada se računalo pokrene u načinu vraćanja usluga imenika. Potvrđivanje kliknite lozinku Unaprijediti.
- Na stranici Sažetak Navedene su sve do sada napravljene postavke. Za njihov popis kliknite Unaprijediti. (Proces konfiguriranja Active Directory Components Wizarda traje neko vrijeme. Ako računalo nema statičku IP adresu postavljenu u postavkama, od vas će se tražiti da to učinite.
- Kada čarobnjak završi, stranica će se pojaviti. Dovršavanje čarobnjaka za instalaciju Active Directory. Kliknite gumb Spreman i odmah nakon toga - Ponovno učitaj sada.
Za centralno upravljanje fakultetskom mrežom, morate stvoriti domenu temeljenu na Microsoft Windows Server 2003.
Bilješka. Kao dio instalacijskog procesa, od vas će se možda tražiti da u svoj pogon umetnete instalacijski CD Windows Server 2003. Možete koristiti fizički CD ili iso- slika instalacijskog diska operacijskog sustava.
Vježba 1. Instalirajte uslugu imenika Active Directory na poslužitelju, stvorite domenu mydomain.ru.
Upute za provedbu
1. Pokrenite čarobnjak za instalaciju Active Directory Start - Pokreni - dcpromo.
2. Slijedeći čarobnjaka za instalaciju, odaberite sljedeće opcije instalacije:
U prozoru Domain Controller Type (Vrsta kontrolera domene) - prebacite kontroler domene za novu domenu (Kontroler domene u novoj domeni);
U prozoru Napravite novu domenu (Napravite novu domenu) - sklopka Domena u novoj šumi (Domena u novoj šumi);
U prozoru Instalirajte ili konfigurirajte DNS (Instaliranje ili konfiguriranje DNS-a) - sklopka Ne, samo instalirajte i konfigurirajte DNS na ovom računalu (Ne, DNS je već instaliran i konfiguriran na ovom računalu) ako je DNS usluga već instalirana na poslužitelju, ili Da, konfigurirat ću DNS klijenta(Da, konfigurirat ću DNS klijenta);
U prozoru Novi naziv domene (Novo ime domene) biranje mojadomena.ru u redu Puni DNS naziv za novu domenu (Puni DNS naziv nove domene);
U prozoru NetBIOS naziv domene (NetBIOS naziv domene) trebao bi se pojaviti unos MOJA DOMENA;
Provjerite je li odabran put za smještaj baze podataka i protokola C:\WINDOWS\NTDS, i za postavljanje imenika SYSVOL navedeni put C:\WINDOWS\SYSVOL;
U prozoru Dozvole (Dozvole) Izaberi Dozvole kompatibilne samo s operacijskim sustavima Windows 2000 ili Windows Server 2003 (Dozvole kompatibilne samo s operacijskim sustavima Windows 2000 ili Windows Server 2003);
U prozoru Administratorska lozinka za način vraćanja usluga imenika (Administratorska lozinka za način oporavka) unesite lozinku koju želite dodijeliti ovom računu administratorskog poslužitelja u slučaju da se računalo pokrene u način vraćanja usluga imenika;
U prozoru Sažetak pregledajte popis svojih odabranih parametrima instalaciju i pričekajte da se proces instalacije Active Directory dovrši.
3. U prozoru Dovršavanje čarobnjaka za instalaciju Active Directory kliknite gumb Završi, a zatim gumb Ponovo pokreni sada.
Zadatak 2. Pregledajte kreiranu domenu na jedan od načina.
Upute za provedbu
1. način.
Otvorite Moja mrežna mjesta - Cijela mreža – Microsoft Windows mreža (Moja mrežna mjesta - Cijela mreža - Microsoft Windows mreža). Provjerite postoji li unos za domenu mydomain, koja sadrži jedno računalo - Server.
2. način.
1 Na izborniku Start - Programi - Administrativni alati odaberite Active Directory Users And Computers. Otvorit će se istoimeni alat.
2 U stablu snap-in dvaput kliknite mydomain.ru (ili naziv vaše domene) da biste vidjeli sadržaj čvora mydomain.ru.
3 U odjeljku Kontrolori domene u stablu dodatka pogledajte naziv kontrolera domene i njegovo potpuno kvalificirano DNS ime (na primjer, ako je naziv samostalnog poslužitelja bio poslužitelj, tada bi server.mydomain.ru trebao postati poslužitelj. mydomain.ru nakon postavljanja domene).
4 U odjeljku Korisnici pogledajte popis ugrađenih korisničkih računa i grupa korisnika domene.
5 Omogućite ugrađeni račun za goste i pokušajte se prijaviti. Je li pokušaj bio uspješan? Samo administratori domene smiju se prijaviti na kontrolere domene.
6 Zatvorite konzolu korisnika i računala Active Directory.
Zadatak 3. Provjerite radi li se DNS usluga pomoću DNS dodatka.
Upute za provedbu
1. Otvorite DNS konzolu naredbom Start - Programi - Administrativni alati - DNS (Start - Programi - Administrativni alati - DNS).
2. U stablu DNS konzole desnom tipkom miša kliknite naziv poslužitelja i odaberite Svojstva. Otvorit će se prozor sa svojstvima SERVER (ako poslužitelj ima drugačiji naziv, pojavit će se u naslovu prozora).
3. Kliknite karticu Monitoring.
4. Na popisu Odaberite vrstu testa potvrdite okvire Jednostavan upit protiv ovog DNS poslužitelja i Rekurzivni upit drugim DNS poslužiteljima i kliknite Testiraj sada (Testiraj). U prozoru svojstava poslužitelja, popis rezultata testa trebao bi pokazati PROŠLO (uspješno prošlo) ili FAIL (nije prošlo) u stupcima Jednostavan upit i Rekurzivni upit. Objasnite svoje rezultate.
Zadatak 4. Izbrišite uslugu Active Directory.
Upute za provedbu
Pokrenite čarobnjak za instalaciju i uklanjanje Active Directory Start - Pokreni - dcpromo.
Samostalan rad
Prema projektnom zadatku, postavite domenu pod nazivom faculty.ru, gdje je kontroler domene server.faculty.ru, čija je IP adresa 192.168.1.1.
Pitanja za samokontrolu
1. Opišite razlike između radne grupe i domene.
2. Koja je glavna razlika između Windows XP i Windows Server 2003?
3. Je li moguće stvoriti domenu na mreži na kojoj sva računala na mreži imaju Windows XP?
4. Definirajte kontroler domene.
5. Navedite ugrađene račune korisnika i grupe korisnika domene koje su Vam poznate i opišite njihovu svrhu.
6. Što znači pojam "izolirani" poslužitelj?
7. Opišite razlike između radne grupe i domene.
8. Zašto je ugrađeni korisnički račun obično onemogućen?
Književnost
Laboratorij br. 4
Tema: Kreiranje i administriranje korisničkih i grupnih računa
Vježba 1. Napravite račun dekanske domene:
- ima pristup svim mrežnim resursima,
- može se prijaviti na bilo koje računalo.
Upute za provedbu
1. Pokrenite naredbu Početak–Svi programi–Administrativni alati–Korisnici i računala Active Directory (Start–Programi–administracija–Korisnici i računala Active Directory).
2. Proširite mapu fakultet.ru Korisnici.
3. Izbornik Akcijski (Akcijski) odaberite naredbu Novi–Korisnik (Kreiraj–Korisnik).
4. Unesite potrebne podatke o korisniku. U poglavlju Ime za prijavu korisnika (Korisničko ime za prijavu) Unesi dekan (dekan). Imajte na umu da se prilikom kreiranja računa domene, za razliku od lokalnog računa, nakon korisničkog imena prikazuje naziv domene, odvojen od zadnjeg znakom @ . Dakle, puno korisničko ime ( korisničko ime za prijavu)–[e-mail zaštićen] .
5. Prilikom definiranja korisničke lozinke, svakako označite okvir Korisnik mora promijeniti lozinku pri sljedećoj prijavi (Korisnik mora promijeniti lozinku pri sljedećoj prijavi).
6. Dovršite izradu računa.
7. U desnom oknu pronađite račun. Dvaput kliknite na njega za unos dodatnih podataka (adresa, organizacija itd.).
8. Pobrinite se da se dekan u svakom trenutku može prijaviti (tab račun–Radno vrijeme prijave (račun–ulazno vrijeme)).
9. Pokušajte se prijaviti na domenu s dekanskim računom. Zašto je pokušaj propao?
10. Prijavite se u sustav kao administrator.
11. Pregledajte svojstvo dekanskog računa ponovnim pokretanjem naredbe Početak–Svi programi–Administrativni alati–. U prozoru svojstava računa odaberite karticu Član (Članstvo u grupi) i dodajte dekanski račun u globalnu grupu Administratori domene sa sljedećim naredbama Dodati...–Napredna...–Pronađite sada… (Dodaj…–Dodatno…–Pronaći…) odaberite s rezultirajućeg popisa Administratori domene (Administratori domene).
12. Pokušajte se ponovo prijaviti na domenu s dekanskim računom.
13. Nakon prijave s administratorskim računom, promijenite lozinku dekana i postavite lozinku da se ponovno promijeni prilikom sljedeće prijave.
Zadatak 2. U skladu sa zahtjevima politike mrežne sigurnosti, ne preporuča se uključivanje drugih korisnika domene u grupu Administratori, osim osoba koje izravno obavljaju administrativne funkcije. Isključite račun dekana iz grupe administratora.
Upute za provedbu
1. Pokrenite naredbu Početak–Svi programi–Administrativni alati–Korisnici i računala Active Directory.
2. Proširite mapu fakultet.ru u lijevom oknu prozora. U podmapama odaberite Korisnici.
3. U desnom oknu pronađite račun. Dvaput kliknite na njega i idite na karticu Član (članstvo u grupama). S popisa grupa odaberite Administratori domene i pritisnite Ukloniti.
Zadatak 3. Dopustite dekanovom računu da se prijavi na kontrolor domene bez da ga postane član grupe administratora.
Upute za provedbu
1. Dodajte dekanski račun u grupu Operateri ispisa A čiji se članovi mogu prijaviti na kontroler domene.
2. Prijavite se na domenu s dekanskim računom
3. Predložite drugi način dopuštanja prijave na kontroler domene.
Zadatak 4. Napravite globalnu grupu učitelji (učitelji):
– tip grupe – sigurnosna grupa;
- nastavnici se mogu prijaviti na bilo koje računalo na mreži, osim na poslužitelj;
- za svakog od nastavnika postoji osobni račun i postavke koje konfigurira osobno učitelj.
Upute za provedbu
1. Pokrenite naredbu Početak–Svi programi–Administrativni alati–Korisnici i računala Active Directory.
2. Proširite mapu fakultet.ru u lijevom oknu prozora. U podmapama odaberite Korisnici.
3. Izbornik Akcijski odaberite tim Novi–Grupa (novo–Skupina).
4. Na terenu grupno ime (Grupno ime) Unesi učitelji.
5. Na području Grupni opseg (Grupni opseg) kliknite radio gumb globalno (globalno), i na tom području Vrsta grupe (Grupni tip) - sklopka sigurnost.
6. Kliknite OK.
Zadatak 5. Dodaj u grupu učitelji (učitelji) član grupe - dekanski račun.
Upute za provedbu
1. Provjerite je li kopča otvorena Korisnici i računala Active Directory i odabrani spremnik Korisnici.
2. U prozoru svojstava grupe učitelji odaberite karticu Članovi (Članovi grupe), a zatim uzastopno gumbe Dodati...–Napredna...–Pronađite sada… s dobivenog popisa odaberite račun dekana.
3. U prozoru svojstava računa dekana pronađite podatke o članstvu u grupi učitelji.
Zadatak 6. Napravite popise ugrađenih lokalnih, domenskih globalnih, domenskih lokalnih grupa i proučite opis svake ugrađene grupe.
Zadatak 7. Dopunite tablice koje sadrže informacije o članovima domene. Tablice bi trebale pomoći pri planiranju i stvaranju računa domene.
Primjer popunjavanja tablica za grupu korisnika dekanat i račun Student Pogledaj ispod.
Tablica 8
Grupno planiranje
Tablica 9
Raspored prijave
Tablica 10
Planiranje lozinke
@ Razmislite o najmanje tri korisnika iz svake grupe i ispunite tablice 8-10 prema zahtjevima projekta. Unesite tablice u izvješće.
Zadatak 8. Kreirajte, u skladu s vašim opcijama za tablice 8-10, korisničke račune i korisničke grupe potrebne za projekt.
Zadatak 9. Testirajte svoje račune. Na primjer, promijenite vrijeme sustava na 6:00 i pokušajte se prijaviti na domenu sa studentskim računom. Pokušajte promijeniti lozinku za ovaj račun.
Pitanja za samokontrolu
1. Opišite razlike između lokalnih računa i računa domene.
2. Koja je svrha stvaranja korisničkih grupa?
3. Objasnite svrhu lokalnih, globalnih i univerzalnih grupa.
4. Objasnite svrhu sigurnosnih grupa i distribucijskih grupa.
5. Definirajte i navedite primjere za sljedeće pojmove: "korisnička prava", "korisničke privilegije", "dopuštenja za pristup korisnika".
6. Navedite ugrađene račune korisnika i grupe korisnika domene koje su Vam poznate i opišite njihovu svrhu.
7. U koju ugrađenu korisničku grupu, osim grupe administratora, mora biti uključen račun da bi se korisnik mogao prijaviti na radnu stanicu? Postoje li drugi načini za to?
8. Kako onemogućiti prijavu tijekom vikenda i neradnog vremena?
9. Kako mogu ograničiti datum isteka računa?
10. Kako onemogućiti račun zaposlenika, primjerice, tijekom njegove bolesti?
12. Kako promijeniti korisničku lozinku?
13. Kako spriječiti korisnika da promijeni lozinku?
14. Koje su posljedice brisanja grupe?
Književnost
Laboratorij br. 5
Početna situacija - postoji domena, testcompany.lokalni. Radi pojednostavljenja, imat će jedan kontroler domene koji pokreće Windows Server 2003, pod nazivom dc01. Na njemu je i DNS poslužitelj, glavna zona je integrirana u Active Directory.
Mrežne postavke kontrolera:
IP adresa - 192.168.1.11
Maska - 255.255.255.0
Pristupnik - 192.168.1.1
DNS poslužitelj - 192.168.1.11
Zadatak- instalirajte kontroler domene na drugi poslužitelj sa sustavom Windows Server 2008 R2, stari kontroler vratite na poslužitelj člana (a zatim ga eventualno potpuno izbrišite) i prenesite sve funkcije starog kontrolera na novi.
Pripremni radovi
Kao pripremni rad, trebali biste pokrenuti naredbe netdiag(ova naredba postoji samo u 2003 Server, alati za podršku) i dcdiag, provjerite da nema pogrešaka, a ako ih ima, ispravite te pogreške.
Prije svega odredimo nositelja FSMO uloga u domeni naredbom:
Korisnost netdom.exe Windows Server 2003 nije uključen prema zadanim postavkama, pa ga morate instalirati Alati za podršku(http://support.microsoft.com/kb/926027). U slučaju koji se razmatra, to nema smisla, jer postoji samo jedan kontroler domene i FSMO uloge su ionako na njemu. Za one koji imaju više od jednog kontrolera domene, bit će korisno znati koje uloge i gdje prenijeti. Rezultat naredbe bit će otprilike ovako:
IP adresa - 192.168.1.12
Maska - 255.255.255.0
Pristupnik - 192.168.1.1
DNS poslužitelj - 192.168.1.11
i unesite ga u postojeću domenu, testcompany.lokalni u našem slučaju.
Ažuriranje sheme šume i domene
Sljedeći korak je ažuriranje sheme šume i domene na Windows Server 2008 R2, što ćemo učiniti pomoću uslužnog programa adprep. Instalacijski disk sa Windows Server 2008 R2 ubacujemo u poslužitelj dc01. Na disku nas zanima mapa X:\support\adprep (X: je slovo pogona DVD-ROM-a). Ako imate 32-bitni Windows Server 2003, trebali biste pokrenuti adprep32.exe, u slučaju 64-bitnog - adprep.exe .
Ne postoje zahtjevi za funkcionalni način šume za izvođenje naredbe. Za izvršenje naredbe adprep /domainprep domena zahtijeva funkcionalnu razinu domene od najmanje Windows 2000 izvorne.
Unosimo naredbu:
X:\support\adprep>adprep32.exe /forestprep
Nakon upozorenja da svi Windows 2000 kontroleri domene moraju imati najmanje SP4, upišite S i pritisnite Enter: 
Naredba radi dosta dugo, nekoliko minuta, i trebala bi završiti sljedećom frazom:
Adprep je uspješno ažurirao informacije o cijeloj šumi.
Nakon toga unesite naredbu:
X:\support\adprep>adprep32.exe /domainprep /gpprep
Što će raditi brže od primjera:
Također je vrijedno izvršiti naredbu adprep /rodcprep. Čak i ako ne namjeravate koristiti kontrolere domene samo za čitanje (RODC-ove) na svojoj mreži, ova će naredba barem ukloniti nepotrebne poruke o pogrešci u zapisniku događaja.
Nakon dovršetka naredbi za nadogradnju sheme, možete nastaviti promovirati novi poslužitelj u kontroler domene.
Na serveru dc02 idite na Upravitelj poslužitelja, dodajte ulogu Usluge domene Active Directory. Nakon instaliranja uloge, odlaskom na Upravitelj poslužitelja > Uloge > Usluge domene Active Directory, vidjet ćemo žuti upit "Pokreni čarobnjak za instalaciju domenskih usluga Active Directory (dcpromo.exe)". Pokrećemo ga. Ili možete upisati u naredbeni redak dcpromo, što će biti ekvivalentno gornjoj radnji.
Budući da u ovom članku nije obuhvaćen proces instaliranja kontrolera domene, usredotočit ću se samo na neke ključne točke. U pokretu Dodatne opcije kontrolera domene označite oba okvira DNS poslužitelj i globalni katalog.
Ako je potvrdni okvir Globalni katalog i DNS poslužitelj nemojte instalirati, morat ćete ih prenijeti zasebno. A prilikom migracije iz 2003. u 2003., to će se ipak morati učiniti, jer u Windows 2003 takva mogućnost ne postoji. O prijenosu globalnog kataloga i DNS poslužitelja bit će malo niže.
Dovršavamo instalaciju kontrolera domene, ponovno pokrećemo poslužitelj. Sada imamo dva kontrolera domene koja rade u isto vrijeme.
Prijenos FSMO uloga
Prijenos uloga FSMO može se izvršiti i putem grafičkog sučelja i pomoću uslužnog programa ntdsutil.exe. Ovaj članak će opisati metodu pomoću grafičkog sučelja, kao vizualnije, za one koje zanima neki drugi način, nalazi se na ovoj poveznici: http://support.microsoft.com/kb/255504. Prijenos FSMO uloga sastojat će se od sljedećih koraka:
Idemo na server dc02, na onu kojoj ćemo prenijeti uloge. Za pristup snap Shema Active Directory, prvo morate registrirati knjižnicu schmmgmt.dll. To se radi naredbom:
regsvr32 schmmgmt.dll
U stablu uskoka kliknite desnom tipkom miša na stavku Shema Active Directory i odaberite stavku Promjena kontrolera domene. Tu mijenjamo kontroler u dc02.
Zatim ponovno kliknite element desnom tipkom miša. Shema Active Directory i odaberite stavku Majstor operacija. Pojavljuje se sljedeći prozor:
Klik promijeniti > Da > u redu i zatvori sve ove prozore.
Otvorite dodatak, kliknite desnom tipkom miša na element Active Directory domene i povjerenja i odaberite tim Promijenite Active Directory kontroler domene. Ovaj je korak potreban ako ne radite s kontrolora domene kojem se prenosi uloga. Preskočite ako je veza s kontrolorom domene čija se uloga prenosi već uspostavljena. U prozoru koji se otvori odaberite kontroler domene kojem je uloga dodijeljena ( dc02 u našem slučaju) na popisu i pritisnite gumb u redu.
Desnom tipkom miša kliknite element u dodatku Active Directory domene i povjerenja i odaberite stavku Majstor operacija. U prozoru koji se pojavi pritisnite gumb promijeniti.
Za potvrdu prijenosa uloge kliknite gumb u redu, i onda - Zatvoriti.
Otvaranje alata. Desnim klikom na element Korisnici i računala Active Directory i odaberite tim Promjena kontrolera domene. Preskočite ako je veza s kontrolorom domene čija se uloga prenosi već uspostavljena. U prozoru koji se otvori odaberite kontroler domene kojem je uloga dodijeljena ( dc02 u našem slučaju) na popisu i kliknite OK.
Desnom tipkom miša kliknite element u dodatku Korisnici i računala Active Directory, odaberite stavku Svi zadaci, i onda Majstor operacija.
Odaberite karticu koja odgovara prenesenoj ulozi ( OSLOBODITI, PDC ili Majstor infrastrukture), i pritisnite tipku promijeniti.
Za potvrdu prijenosa uloge kliknite gumb u redu, i onda - Zatvoriti.
Prijenos globalnog kataloga
Ako migriramo ne u 2008., već na 2003. u kojoj, prilikom dodavanja dodatnog kontrolera domene, globalni katalog nije postavljen ili niste provjerili Globalni katalog u koraku 2, tada morate ručno dodijeliti ulogu globalnog kataloga novom kontroleru domene. Da biste to učinili, idite na alat Web-mjesta i usluge Active Directory, otvorite Sites > Default-First-Site-Name web > Servers > DC02 > desnom tipkom miša kliknite NTDS Settings > Properties. U prozoru koji se otvori potvrdite okvir Globalni katalog > U redu.
Nakon toga će se u zapisnicima usluge imenika pojaviti poruka da će promocija kontrolera u globalni katalog biti odgođena 5 minuta.
Vrsta događaja: Informacije
Izvor događaja: NTDS General
Kategorija događaja: (18)
ID događaja: 1110
Datum: 12.07.2011
Vrijeme: 22:49:31
Korisnik: TESTCOMPANY\Administrator
Opis:
Promocija ovog kontrolera domene u globalni katalog bit će odgođena za sljedeći interval.Interval (minuta):
5Ovo kašnjenje je neophodno kako bi se potrebne particije direktorija mogle pripremiti prije nego što se globalni katalog oglašava. U registru možete odrediti broj sekundi koje će agent sustava imenika čekati prije nego što lokalni kontroler domene promovira u globalni katalog. Za više informacija o vrijednosti registra Global Catalog Delay Advertisement pogledajte Vodič za distribuirane sustave Resource Kit.
http://go.microsoft.com/fwlink/events.asp.
Čekamo pet minuta i čekamo događaj 1119 da je ovaj kontroler postao globalni katalog.
Vrsta događaja: Informacije
Izvor događaja: NTDS General
Kategorija događaja: (18)
ID događaja: 1119
Datum: 12.07.2011
Vrijeme: 22:54:31
Korisnik: NT AUTHORITY\ANONIMNA PRIJAVA
Računalo: dc02.testcompany.local
Opis:
Ovaj kontroler domene sada je globalni katalog.Za više informacija pogledajte Centar za pomoć i podršku na http://go.microsoft.com/fwlink/events.asp.
Rekonfiguracija sučelja, DNS i drugi zadaci nakon instalacije
Nadalje, budući da je DNS poslužitelj uključen dc02 smo instalirali, sada se trebate navesti kao primarni DNS poslužitelj u svojstvima mrežnog sučelja, t.j. adresa 192.168.1.12. I dalje dc01 promijeniti u skladu s 192.168.1.12.
U svojstvima DNS poslužitelja na dc02 kartica provjeri špediteri, 2003. godine, za razliku od 2008., nije repliciran. Nakon toga možete degradirati kontrolora domene dc01 na poslužitelj člana.
Ako trebate ostaviti staro ime i IP adresu za novi kontroler, onda se i to radi bez problema. Naziv se mijenja kao za obično računalo, ili sličnom naredbom netdom preimenujračunalo.
Nakon promjene IP adrese, pokrenite naredbe ipconfig /registerdns i dcdiag /popravak.
Nakon ponovnog pokretanja poslužitelja, morate biti sigurni da je osnovni način dopuštenja (način Windows poslužitelju 2003) uspostavljena. Da biste to učinili, morate otvoriti "Aktivan Imenik- domene i povjerenje", "stati" mišem na naziv svoje domene i iz izbornika odabrati "Promijeni način rada domene".
Ako Osnovni način dopuštenja nije instaliran, mora biti instaliran.
Postavljanje DNS
Za konfiguriranje kontrolera domene koji se automatski kreira tijekom instalacije DNSmorate učitati alatDNS, desnom tipkom miša kliknite karticu "Reverse Lookup Zones" i odaberite "Create New Zone" s ponuđenog izbornika.
Pokrenut će se čarobnjak za kreiranje nove zone.
U prozoru Vrsta zone morate odrediti koja će zona biti kreirana. Budući da se prvi poslužitelj konfigurira DNSu domeni morate odabrati Primarnu zonu, a preporuča se da odaberete Zadrži zonu u AktivanImenik».
Odabir u "Području replikacije zone integrirane uAktivanImenik"Preporuča se stati na točki" Za sveDNS- poslužitelji u domeni stvoreno_ime_domene . lokalni ". To će omogućiti prijenos zona samo unutar određene domene ako postoji šuma.
Okvir "Naziv zone obrnutog pretraživanja" navodi opis za koji IP-adrese će biti prikupljanje informacija i davanje imena na zahtjev kupaca. Radi jednostavnosti, preporuča se unijeti točno mrežni kod, a to je broj značajnih okteta u adresama lokalne mreže (na primjer: 192.168.1).
U obrascu "Dinamičko ažuriranje" trebate odabrati način na koji će se informacije pohraniti DNS-poslužitelj. Za mreže koje uključuju klijenteWindows2000 i stariji, možete dopustiti samo sigurna dinamička ažuriranja. Općenito, preporuča se odabrati opciju "Dopusti bilo kakva dinamička ažuriranja".
Nakon toga će se dovršiti izrada nove reverse lookup zone i pojavit će se informativni prozor s kratkim opisom zone koja se kreira. Ako je potrebno, možete se vratiti i napraviti potrebne promjene.
Nakon što je stvorena zona obrnutog pretraživanja, možete vidjeti njezin sadržaj i provjeriti je li zona ispravno imenovana.
Zatim morate konfigurirati zonu prikaza uživo. Da biste to učinili, "umetanjem" u granu "Zone za prosljeđivanje" na zoni s nazivom stvorene domene, potrebno je desnom tipkom miša otvoriti izbornik i odabrati stavku "Svojstva".
Na kartici "Općenito", kao što je učinjeno prilikom izrade grane obrnutog pretraživanja, također se preporuča postaviti opciju "Dinamičko ažuriranje" na "Nesiguran i siguran".
Na ovom postavljanju poslužiteljaDNSzavršava, a sada trebate kreirati unose za mrežne uređaje i aktivnu mrežnu opremu.
Izrada unosa se vrši na sljedeći način: desnom tipkom miša kliknite zonu s nazivom domene i iz izbornika odaberite stavku "Kreiraj čvor". U obrazac za unos podataka o čvoru koji se kreira morate unijeti naziv čvora (potpuno kvalificirani naziv domene se popunjava automatski) i njegov IP-adresu, a zatim stavite kvačicu na stavku „Stvori odgovarajuću PTR-snimiti".
Pritiskom na tipku "Dodaj čvor" zapis će se odmah unijeti u zonu traženja naprijed i nazad. Ako potvrdni okvir nije označen, zapis će se morati kreirati zasebno u zoni obrnutog pretraživanja.
Strogo se preporučuje da ne stvarate unose za računala i poslužitelje u domeni u DNSručno. Da biste ispravno kreirali unos u izborniku Start - Run, bolje je izvršiti naredbu ipconfig / registerdns, koji će se registriratiDNS-poslužitelj.
Svi operacijski sustavi povezani s domenom moraju biti konfigurirani da koriste lokalne DNS poslužitelje (obično kontrolere domene) kao svoje preferirane i zamjenske. Ako je konfiguracija TCP/IP protokola ispravno konfigurirana, operativni sustavi automatski stvaraju zapise u domenskim zonama (s izuzetkom Windows 9X).
Instalacija i postavljanjeDHCP
Aplikacija za usluguDHCPpojednostavljuje mrežnu administraciju i osigurava jedinstvenost onih koji se koriste u domeni IP-adrese. Za instaliranje uslugeDHCPsamo idite na "Upravljačku ploču", pokrenite "Dodaj ili ukloni programe" i odaberite karticu "Instaliraj komponente Windows“, “stati” na liniji “Mrežne usluge” i kliknite “Sastav”.
Morate instalirati komponentuDHCP».
(Komponenta " DNS» je automatski dodan tijekom instalacijeOGLAS i ne možete ga poništiti).
Po završetku ugradnje komponenteDHCPmorate preuzeti alat "DHCP“, idite na unos koji sadrži naziv instaliranog poslužitelja i proširivanjem izbornika desnom tipkom miša odaberite stavku “Kreiraj područje”. Pokrenut će se čarobnjak za stvaranje područja.
U prozoru "Naziv regije" morate unijeti naziv stvorenog područja distribuiranih adresa i opis za njega. Ove informacije se unose radi praktičnosti, a uneseni podaci nisu od temeljne važnosti.
U prozoru "Raspon adresa" unesite početnu i završnu adresu raspona koji će biti dostupan za automatsku distribuciju između računala u domeni i postavite masku podmreže odabranu u fazi planiranja mreže.
Dijaloški okvir navodi raspon koji uključuje sve moguće vrijednosti mrežnih adresa. Kako bi se spriječilo izdavanje korištenih adresa (IP-adrese poslužitelja, aktivne mrežne opreme i ostalih uređaja sa statičkim adresama) potrebno je u obrascu "Dodaj izuzimanja" navesti raspon adresa koje će se isključiti iz distribucije. Možete navesti adrese koje će se isključiti iz distribucije unoseći jednu po jednu u polje "Početak IP-adresa".
Nakon navođenja svake isključene adrese ili raspona, potrebno je potvrditi unos pritiskom na tipku "Dodaj", nakon čega će unos biti dodan na listu isključenja.
Prozor "Razdoblje valjanosti zakupa adrese" koristi se za određivanje vremenskog razdoblja nakon kojeg adresa koju izdaje poslužitelj IP-adresa se može izdati drugom primatelju dinamičke adrese. Za mrežu čije su promjene arhitekture i sastava prilično rijetke, preporuča se postaviti dovoljno dugo razdoblje zakupa.
Kako biste smanjili ukupno vrijeme za izradu domene, preporuča se pristati na prijedlog čarobnjaka za kreiranje domene za konfiguraciju postavki DHCP .
Prozor "Router (default gateway)" se popunjava ako postoji u mreži.
Ako takav uređaj ne postoji, prozor mora ostati prazan. Dodavanje zadanog pristupnika također zahtijeva klik na gumb "Dodaj", nakon čega će unesena adresa usmjerivača biti dodana na popis.
"Naziv domene iDNSposlužitelji" zahtijeva posebnu pažnju. U stupac "Matična domena" potrebno je unijeti puni naziv kreirane domene bez ikakvih kratica (na primjer: "domena 1. lokalni"). Pogreška ili nepotpuni unos naziva domene uzrokovat će probleme s mrežom, kao što su poteškoće u povezivanju računala s domenom.
Ovdje se unose adrese.DNSmrežni poslužitelji. Preporučljivo je unijeti ne adresuDNS-server, i njegov naziv, kada kliknete na gumb "Upari", automatski će se unijeti adresa poslužitelja, nakon čega također trebate kliknuti na gumb "Dodaj". Ako podudaranje imena ne uspije DNS-poslužitelj ili je vraćen nevažećiIP-adresa, to može ukazivati na problem bilo u servisuDNS, ili u postavkama mrežne veze.
Može se unijeti više adresa.DNS-poslužitelji, ako se nekoliko istovremeno koristi u mrežiDNS- poslužitelji.
Ako na mreži nema poslužiteljaPOBJEĐUJE, zatim prozor POBJEĐUJE-servers" treba ostaviti prazno.
Prozor "Aktiviraj područje" omogućuje vam da odgodite aktivaciju područja koje se kreira za proizvoljno vrijeme (na primjer, kada je poslužitelj konfiguriran u drugoj lokalnoj mreži ili adrese izdaje druga zona, a zona koja se stvara nije još u upotrebi). Ako je poslužitelj prvi konfiguriran, morate odabrati stavku "Da, želim sada aktivirati ovo područje."
Time je dovršen rad čarobnjaka za kreiranje zone.Ako je potrebno, možete se vratiti i napraviti potrebne promjene u parametrima područja koje se stvara.
Nakon dovršetka čarobnjaka za kreiranje zone, morate se ovlastiti DHCP v OGLAS. Ako se to ne učini, klijentima se neće izdavati adrese.
Da biste to učinili, u trenuDHCPtrebate "ustati" na naziv poslužitelja koji se konfigurira, proširiti izbornik desnom tipkom miša i odabrati stavku "Ovlastiti".
Za tako da se adrese koje izdaje poslužitelj automatski prenose na DNS, potrebno je izvršiti dodatnu konfiguraciju poslužiteljaDHCP. Da biste to učinili, u trenuDHCPmorate "ustati" na naziv poslužitelja koji se konfigurira, proširiti izbornik desnom tipkom miša i odabrati stavku "Svojstva".
Na kartici UslugaDNS» preporuča se postaviti iste parametre koji su korišteni ranije. Ova postavka će istovremeno osigurati prijenos informacija na DNSo svim izdanim adresama, bez obzira na vrstu klijenta, te će automatski izbrisati zastarjele podatke kada istekne zakup adrese.
Rad s klijentima Windows9x u domeni Windows poslužitelju 2003
U domeni Windows poslužitelju2003. povećana je zadana razina sigurnosti, što je dovelo do određenih poteškoća u radu naslijeđenih klijentskih sustava, kao npr. Windows 95, 98, NT 4.0.
Za kako bi se omogućilo tim operativnim sustavima da rade u domeni, preporuča se instalirati na klijentske strojeve AktivanImenikDSCLIENT.EXE(nalazi se na distribucijamaWindows 2000 poslužiteljuu mapi CLIENTS\WIN9X) i napravite neke izmjene sigurnosnih pravila.
Da biste izvršili izmjene, morate pokrenuti dodatak "Sigurnosna politika kontrolera domene",
zatim "Politika sigurnosti domene" i onemogućite prikazane sigurnosne opcije.
Prema informacijama Microsoft, dovoljno je onemogućiti parametar "Mrežni poslužiteljMicrosoft: digitalno potpisati (uvijek)" u sigurnosnoj politici domene Windows 2003.
Nakon završetka uređivanja ovih sigurnosnih pravila, preporučuje se ponovno pokretanje poslužitelja.
Ovaj se članak usredotočuje na uslugu imenika Active Directory, nove značajke i mehanizme koje je dobila s pojavom Windows Servera 2003, kao i na korištenje svih ovih poboljšanja u praksi.Sav prezentirani materijal podijeljen je u šest tema. Razgovarat ćemo o implementaciji i integraciji Active Directory s već postojećim imenicima, administraciji usluga, replikaciji, povjerenju među šumama, upravljanju grupnim politikama i softverskim ograničenjima.
Implementacija i integracija
U ovom ćemo poglavlju pogledati nove značajke Active Directoryja iz nekoliko perspektiva: implementacija ove usluge, integracija s drugim direktorijima, migracija s prethodne verzije (bilo nadogradnja sa Windows NT 4.0 ili samo instalacija Active Directory od nule). Prije svega, treba napomenuti da su nove značajke Active Directory-a temeljenog na sustavu Windows 2003 većinom nekompatibilne s Active Directory-jem baziranim na sustavu Windows 2000. Najviša moguća funkcionalna razina: razina domene je Windows Server 2003, a razina šume je Windows Server 2003. Da biste dobili pristup ovim i drugim značajkama, morate nadograditi šumu na maksimalnu funkcionalnu razinu. Razmotrimo koje su to vrlo funkcionalne razine.Funkcionalne razine
Administrator ručno podiže funkcionalnu razinu
Napominjem da je takva klasifikacija posebno uvedena kako bi se osigurala kompatibilnost na razini unatrag nekompatibilnih značajki. Čak i ako instalirate Active Directory od nule, bez ažuriranja i bez brige o integraciji, odnosno jednostavno instaliranjem novog poslužitelja, a na njemu prvog kontrolera u šumi, dobit ćete sustav koji u početku pada na najnižu razinu . Drugim riječima, razina domene je Windows 2000 Mixed (mješoviti), a razina šume je Windows 2000. Dakle, u ovom načinu rada, instalirani sustav u potpunosti odgovara svim značajkama koje se nalaze u Windows 2000 Active Directory. Za nadogradnju moraju biti ispunjeni određeni uvjeti, na primjer, domena se može nadograditi na Windows Server 2003 tek nakon što su svi kontroleri domene u toj domeni nadograđeni na taj operativni sustav. Kada je u pitanju migracija sa Windows 2000, proces migracije prirodno je nadogradnja postojećih kontrolera u fazama. Nije moguće prenijeti sve kontrolere odjednom sa Windows 2000 na Windows 2003, to se može učiniti samo redom. Dok se proces prijevoda kontrolera ne završi, funkcionalna razina domene ostaje na razini Windows 2000 Mixed. Čim su svi kontroleri prevedeni, možete prijeći na sljedeću razinu. Administrator mijenja funkcionalnu razinu pomoću posebne konzole Active Directory Domains Trusts. Administrator nije u mogućnosti downgrade, može ga samo nadograditi na višu razinu gdje će sustav ostati. Nakon što je administrator nadogradio domenu na novu funkcionalnu razinu, u Active Directoryju su dostupne određene nove značajke.
Razmotrimo ove značajke radi jednostavnosti prezentacije u načinu čistog šuma - Windows 2003 i sve domene - Windows 2003. Drugim riječima, maksimalne moguće razine i, sukladno tome, maksimalni raspon novih značajki. Prva stvar na kojoj se treba zaustaviti je značajka pod nazivom Particije aplikacije (na ruskom - Particije aplikacije).
Odjeljci za aplikacije
Činjenica je da je Active Directory izvorno razvijen kao usluga imenika ne samo za pružanje, na primjer, mrežne korisničke usluge ili za pohranu računa tih korisnika, već i kao skladište za mrežne aplikacije. Stoga u Active Directoryju postoji mnogo informacija koje dolaze iz aplikacija. Dakle, u sustavu Windows 2000, bez obzira na to koliko aplikacija instaliramo u načinu filtriranja s Active Directoryom, sve informacije o njima će pasti u jedan direktorij i, u skladu s tim, jednako se repliciraju između svih kontrolera.
Windows 2003 omogućuje vam da razlikujete i odvojite informacije koje pripadaju mrežnim aplikacijama od ostatka direktorija stvaranjem particija za aplikacije. Na primjer, informacije koje DNS poslužitelj pohranjuje ne smiju se distribuirati svim kontrolerima koji su u domeni, već samo onima koji su izričito navedeni. Zapravo, to je ono što particioniranje znači. Prvo, možete stvoriti odjeljak "direktorije", kao da ga odvajate od opće strukture, a zatim odrediti da ovaj odjeljak, kao replika, treba biti pohranjen na kontrolerima imena. Isto vrijedi i za bilo koju drugu aplikaciju. Pomoću ovog mehanizma administrator koji upravlja sustavom može najoptimalnije odvojiti i pohraniti informacije o imeniku i aplikaciji. Na primjer, ako sigurno znate da će neka aplikacija koristiti katalog samo na ovom konkretnom kontroleru (neće pristupiti drugim kontrolerima), tada možete smanjiti pohranu kataloga samo na ovaj kontroler na ovaj način stvaranjem jedinstvene particije za ovu aplikaciju .
Sljedeća značajka je podrška za klasu objekata InetOrgPerson (RFC 2798). Pojavio se samo u sustavu Windows 2003, a Windows 2000 ne podržava ovu klasu objekata. InetOrgPerson je potreban za integraciju s drugim LDAP imenicima (Novell, Netscape). Active Directory može raditi s ovom klasom, stvarati objekte ove klase, a moguća je i transparentna i glatka migracija objekata tipa InetOrgPerson iz drugih direktorija Active Directory. Sukladno tome, postaje moguće migrirati aplikacije napisane za druge LDAP imenike. Ako aplikacije koriste ovu klasu, tada se mogu bezbolno, transparentno prenijeti u Active Directory, zadržavajući svu funkcionalnost.
Nadalje, postojala je mogućnost preimenovanja domena. U ovom slučaju treba jasno razumjeti da preimenovanje domene ne znači samo promjenu naziva domene (domena se prije zvala "abcd", a sada se zove "xyz"). Zapravo, struktura imenika je stablo, u njoj se nalazi mnogo domena, a same domene su kombinirane u hijerarhiju. Preimenovanje domene zapravo je restrukturiranje šume. Možete preimenovati domenu tako da se pojavljuje u drugom stablu.
Preimenovanje domene. rendom.exe uslužni program
Razmislite o domeni Contoso, koja je podređena domeni Sales u stablu WorldWideImporters.com. Možete ga preimenovati i nazvati Contoso.Fabrikam.com. Ovo nije samo preimenovanje, to je prijenos domene s jednog stabla na drugo, odnosno prilično netrivijalan postupak. Logično je pretpostaviti da preimenovanje domene može dovesti do stvaranja novog stabla. Contoso domenu koja je bila pod domenom prodaje možete preimenovati u Contoso.com. Tada će domena postati predak drugog stabla u istoj šumi. Zato se proces preimenovanja domene može smatrati vrlo složenim i netrivijalnim postupkom.
U sustavu Windows 2000 nije postojala takva mogućnost da se domena preimenuje u gornjem kontekstu. Nakon što je domena stvorena, ostat će sa svojim imenom do kraja života. Jedini način da promijenite situaciju je brisanje domene, a zatim ponovno stvaranje s novim imenom.
Windows 2003 dolazi s uslužnim programom koji se zove Rendom, doslovno od riječi Preimenuj domenu. Uslužni program Rendom.exe je uslužni program retka za naredbe koji se može koristiti za preimenovanje domene. Istina, ovaj proces se sastoji od šest faza. Detaljne informacije o tome mogu se pronaći u pomoći za Windows 2003, specifičnim bijelim knjigama za Microsoft .NET, na MSDN stranici. Detaljno opisuje kako modelirati, dizajnirati i pokrenuti proces preimenovanja domene pomoću uslužnog programa rendom. U svakom slučaju, ovo je složen, višestupanjski proces koji zahtijeva pažljivu pripremu: previše je poveznica i pokazivača, imena i drugih međuovisnosti koje nastaju prilikom kreiranja domena. Nemoguće je jednostavno sve uzeti u jednom zamahu.
U planu implementacije Active Directory pojavio se način za instaliranje kontrolera domene s prijenosnog medija. na što se misli? Vrlo često postoji situacija kada poduzeće implementira Active Directory u udaljenim uredima: komunikacija s udaljenim uredom je slaba, loše komunikacijske linije između sjedišta i podružnica. Međutim, morate instalirati novi kontroler domene u poslovnici. Kada je novi kontroler kreiran u već postojećoj domeni, uslužni program DCPromo kontaktira postojeće, pokrenute kontrolere i preuzima cijelu bazu podataka i replike koje se mogu prikupiti s njegovog kontrolera domene. Ako ova baza podataka zauzima nekoliko desetaka ili stotina kilobajta, odnosno prazna je (standardno zauzima nekoliko stotina kilobajta), onda nema problema. Ali ako govorimo o radnom sustavu u kojem baza podataka može zauzeti desetke ili stotine megabajta, tada bi njezin prijenos mogao biti jednostavno nemoguć zadatak. Stoga u ovoj situaciji problem možete riješiti na vrlo jednostavan način. Koristeći Windows NT Back-up, napravite arhivu u načinu "stanje sustava", odnosno odaberite opciju Back-up->SystemState u Windows NT Back-up konzoli. Nakon toga zapišite cijelu stvorenu sigurnosnu kopiju na medij, na primjer, na CD ili DVD, uzmite ovaj disk i dođite s njim u udaljeni ured, tamo možete vratiti sve podatke iz arhive koristeći isti Windows NT Back -gore. Samo trebate vratiti ne na zadani, već u drugi direktorij, tako da su same datoteke jednostavno postavljene na disk. Naravno, ne morate mijenjati podatke o sustavu koji se nalaze na postojećem računalu. Zatim pokrenite uslužni program DCPromo s ključem "/adv" i navedite put do spremišta gdje se nalazi raspakirana datoteka. Nakon toga, proces instaliranja novog kontrolera će stvoriti vlastitu repliku na temelju informacija s prijenosnog medija. To će i dalje zahtijevati vezu sa sjedištem, jer je osim prijenosa replike potrebno uspostaviti i određene odnose s postojećom domenom. Stoga bi trebala postojati veza, ali zahtjevi za to su značajno smanjeni: čak i vrlo slaba linija će učiniti. U navedenom scenariju, 95% informacija koje je trebalo prenijeti novom kontroloru prebačeno je na medij sustava, a komunikacijska linija između glavnog ureda i poslovnice nije morala biti preopterećena.
Važno je napomenuti da korisnici i dalje vrlo često koriste Windows NT 4.0. Windows 2003 čini premještanje iz postojećih direktorija (bilo iz NT 4 ili iz Windows 2000) bržim, bezbolnijim i učinkovitijim. U tu svrhu služi Active Directory Migration Tool (ADMT). ADMT će pomoći pri prelasku s Windows NT na Windows 2003, kao i sa Windows 2000 na Windows 2003 u slučaju da je potrebna neka vrsta restrukturiranja domene, prijenos računa itd.
Čarobnjaci alata za migraciju Active Directory (ADMT) v.2
Alat za migraciju Active Directory skup je čarobnjaka. Svaki čarobnjak obavlja određeni zadatak (vidi sliku iznad). Važno je da većina čarobnjaka ima način rada pod nazivom "Test migration settings and migrate later" - simulacija procesa bez stvarnog izvođenja operacija. Drugim riječima, proces migracije se emulira, a administrator može vidjeti kakav će biti rezultat i kako će sve funkcionirati. Prave radnje se ne izvode u ovom načinu rada. U slučaju kada su rezultati testnog načina rada zadovoljavajući, možete zatražiti od Active Directory Migration Tool da izvrši potpunu migraciju.
administracija
Ovo poglavlje govori o instrumentalnoj administraciji. U principu, ne može se reći da su se ovdje pojavile mnoge nove vrlo korisne značajke. Međutim, ipak postoji nešto. Na primjer, Drag&Drop podrška: Prije Windows 2003 nije postojala podrška za Drag&Drop. Sada možete kliknuti na objekt "korisnik" i povući ga mišem do novog spremnika. Vrlo je udoban. Šteta što u prethodnim verzijama nije postojao takav mehanizam.Postojala je dodatna konzola za pohranjivanje zahtjeva u imenik. Poznato je da je Active Directory LDAP imenik. To znači da možete ispitivati LDAP direktorije koristeći standardni jezik upita. Ako se ti zahtjevi upućuju, a ne pamte, onda je to dodatni teret za administratora: svaki put kada treba prepisati zahtjev ili ga kopirati iz nekog dokumenta. Kako bi se ovaj proces pojednostavio, predviđen je odjeljak pod nazivom Spremljeni upiti. Zapravo sprema one zahtjeve koje je administrator ili korisnik unio u konzolu.
Konzola sa spremljenim zahtjevima u imeniku
Sada, kada je ovaj zahtjev ponovno potreban, samo ga odaberite s popisa. Štoviše, rezultati upita prikazani su na desnoj strani konzole: s lijeve strane možete odabrati upit koji vas zanima i kliknuti na njega, a s desne strane će se već pojaviti rezultat obrade.
Windows Server 2003 sadrži mnogo programa naredbenog retka. Ovo se čini čudnim, a možda čak i kontradiktornim. Čini se da je Microsoft svih ovih godina promovirao grafičko sučelje, praktičnost upravljanja korištenjem grafičkog sučelja, ali u isto vrijeme ispada da objavljuje nove uslužne programe naredbenog retka. Evo samo njih šest za Active Directory.
Uslužni programi naredbenog retka
U tome, zapravo, nema kontradikcije. Činjenica je da je prikladnije napraviti puno operacija koje administrator mora izvesti u obliku batch datoteka. Na primjer, kada je u pitanju izmjena istih ili sličnih objekata nekog atributa, često je prikladnije to učiniti u naredbenom retku pisanjem odgovarajuće skripte. Ako trebate promijeniti neki parametar, npr. telefone korisnika koji su prijavljeni na nalog (svatko u odjelu može promijeniti telefon), možete otići na svaki račun i promijeniti telefon. Ako se to radi putem grafičkog sučelja, tada će se morati izvesti najmanje stotinu operacija za promjenu objekta "Račun". Također možete uzeti jednu jednostavnu naredbu zvanu DSMod (izmjena objekta), formirati redak za snimanje novih informacija, zatim napisati skriptu s uvjetima pretraživanja i izvršiti sve kao jednu naredbu. Za takve operacije (a ima ih mnogo u svakodnevnom radu administratora) trebali bi se koristiti uslužni programi i skripte naredbenog retka.
replikacija
Problemi s replikacijom vrlo su relevantni prilikom implementacije Active Directoryja, projektiranja i planiranja infrastrukture.Windows 2000 ima određena ograničenja u pogledu broja stranica na kojima se topologija može automatski generirati. Postoji usluga koja se zove Inter-Site Topology Generator (ISTG). Kada se kreiraju dvije ili tri, a po mogućnosti pet ili čak deset web-mjesta, ISTG usluga automatski generira topologiju replikacije između web-mjesta, odabire host poslužitelje i određuje kako će se ova skripta replikacije izvršiti. Sve je u redu, ali ako postoji dvjestotinjak stranica, onda se ISTG usluga ne može nositi s količinom informacija i zapne u petlji. Stoga, za Windows 2000 postoji vrlo jasna preporuka - broj stranica ne smije prelaziti dvije stotine, ako je potrebno, tako da se topologija replikacije između stranica automatski generira. Ako postoji više stranica, automatsko generiranje mora biti onemogućeno i sve se to mora konfigurirati ručno.
Problem se možda ne čini očitim, ali to je pravi problem s kojim se ljudi suočavaju kada je u pitanju implementacija Active Directoryja na sustavima s više lokacija. Windows Server 2003 uklanja ovaj problem. Ovaj sustav implementira potpuno novi Inter-Site Topology Generator, koji radi na bitno drugačiji način i generira topologiju koristeći novi algoritam. Broj stranica koje se sada mogu automatski generirati (čija se topologija može automatski generirati pomoću usluge ISTG) bio je nekoliko tisuća samo u testovima. Ne zna se kome može trebati toliko stranica, ali se, ipak, može zaboraviti na svako ograničenje samo modifikacijom ISTG mehanizma.
Osim toga, možete onemogućiti kompresiju prometa između web-mjesta, ako, naravno, to ima smisla. Omogućavanje kompresije povećava opterećenje procesora host poslužitelja. Ako mreža to dopušta, tada bi možda imalo smisla onemogućiti kompresiju kako bi se prenijelo više podataka preko mreže, ali tada će kontroleri biti manje opterećeni. Možete učiniti suprotno: ako trebate uštedjeti na mrežnom prometu, ima smisla omogućiti kompresiju.
Postoji još jedno ograničenje u načinu na koji Windows 2000 Active Directory replicira grupe. Riječ je o sigurnosnom timu. Kada je riječ o dodjeli prava pristupa nekim objektima, obično je dobra administrativna praksa dodijeliti prava grupama. Korisnici su ili uključeni u grupu ili isključeni. Grupa je potpuno isti objekt u Active Directoryju kao i svi drugi objekti. Objekt ima atribute. Posebnost grupe je da popis članova grupe nije nekoliko atributa, to je jedan atribut s velikim brojem vrijednosti, tzv. "Multi Value Attribute" (zapravo, ovo je jedan atribut koji ima mnogo vrijednosti) . Mehanizam replikacije Active Directory je granuliran do razine atributa. Ako je objekt izmijenjen, tada će sustav replicirati te promjene točno za one atribute koji su se promijenili, a ne za cijeli objekt. Vratimo se sada grupi koja ima atribut koji se sastoji od, na primjer, sto vrijednosti. Ako u grupi ima 100 ljudi, onda ovaj atribut ima 100 vrijednosti. A ako 5 tisuća? Ograničenje je sljedeće: ako je članstvo u grupi 5 tisuća objekata, tada je replikacija takvog objekta postala nemoguća. Čim se pojavi 5001 član grupe, proces repliciranja ove grupe na Windows 2000 je odmah uništen. Grupa od 5000 članova. Zatim postoje problemi s replikacijom direktorija. Windows Server 2003 Active Directory uvodi dodatni mehanizam pod nazivom "Replikacija povezane vrijednosti".
U ovom slučaju, mehanizam je isključivo za repliciranje atributa koji imaju mnogo vrijednosti. Odnosno, sada, kada se koristi ovaj mehanizam, članstvo u grupi se replicira na razini pojedinačnih članova. Ako u grupu uključite novu osobu, tada se neće replicirati cijeli popis kao atribut, već samo vrijednosti zbog mehanizma replikacije povezanih vrijednosti.
Drugo pitanje vezano uz replikaciju bilo je povezano s globalnim katalogom. Poteškoća je bila u tome kako se globalni katalog ponaša kada administrator mijenja takozvani Parcijalni skup atributa (PAS) - popis atributa koji se trebaju smjestiti u globalni katalog.
Možda ima smisla objasniti. Svaki atribut ima statusnu vrijednost: treba li ga staviti u globalni katalog ili ne. Globalni katalog je dodatni katalog koji sadrži podatke o svim objektima koji se nalaze u katalogu, ali ne u potpunosti, već točno popise onih atributa koji su označeni kao izvozni u globalni katalog. Tako se, primjerice, o svakom korisniku u globalnom katalogu stavlja njegovo ime, njegova email adresa, možda neki drugi dodatni parametar. Doslovno nekoliko parametara tako da možete brzo pronaći ovog korisnika u imeniku.
Problem nastaje kada administrator izmijeni shemu i promijeni status za neki drugi atribut tako što ga prebaci u ovaj način rada. Postojao je atribut koji nije ušao u globalni katalog, administrator je otišao i promijenio shemu, uključio ovaj atribut u PAS, nakon toga, osim repliciranja cijele sheme, na Windows 2000 će biti potpuna resinkronizacija svih poslužitelja koji pohranjuju globalni katalog. To će uzrokovati dosta mrežnog prometa, a neke čak i zastoje unutar usluge imenika.
Windows Server 2003 uklanja ovaj problem. Replikacija i sinkronizacija globalnog kataloga vršit će se isključivo u opsegu dodanog atributa. To jest, kada se izvrši operacija dodavanja atributa u PAS, informacije se jednostavno prikupljaju od onih objekata koji imaju ovaj atribut. A zatim se [atribut] dodaje u globalni katalog. Ne dolazi do potpune sinkronizacije.
Još jedna dodatna značajka povezana s globalnim katalogom je univerzalni mehanizam grupnog predmemoriranja. Dopustite mi da vas podsjetim da postoje tri vrste grupa u Active Directoryju: lokalne, globalne i univerzalne. Lokalne i globalne grupe pohranjene su s replikom na kontroleru, univerzalne grupe su pohranjene u globalnom katalogu. Kada se zaposlenik udaljenog ureda želi prijaviti na mrežu, sustav će registrirati korisnika na mreži i kreirati njegov sigurnosni kontekst. Da bi to učinila, ona mora saznati kojoj skupini korisnik pripada. Windows 2000 može naučiti o lokalnim i globalnim grupama na svom najbližem kontroleru, ali na mrežnom uređaju, globalni imenik se nalazi u glavnom uredu. Možete provjeriti članstvo korisnika u univerzalnim grupama samo upitom u globalni katalog. Stoga je prilikom registracije potrebno poslati zahtjev u središnjicu. Ako je veza prekinuta i globalni katalog nije dostupan, tada će korisniku biti odbijena registracija (zadana vrijednost u ovoj situaciji). Postavljanje vrijednosti registra na "ignoriranje pogrešaka univerzalnog članstva u grupi" otvara sigurnosnu rupu.
Windows Server 2003 uvodi univerzalni mehanizam grupnog predmemoriranja. Sada je veza s globalnim katalogom potrebna samo pri prvoj prijavi korisnika. Ove grupe dolaze do kontrolera i tamo se pohranjuju. Svaka sljedeća registracija korisnika neće zahtijevati poziv jer je univerzalno članstvo u grupi već poznato. Istodobno, predmemorija informacija ažurira se na određeni način: u određenim intervalima traže se informacije globalnog kataloga kako bi se ažurirale informacije o članstvu korisnika u univerzalnim grupama.
Povjerenje između šuma
Povjerenje između šuma omogućuje integraciju potpuno neovisnih organizacija. Active Directory je struktura koja može imati stablo domena s korijenskom domenom ili može biti šuma koja se sastoji od nekoliko stabala. Karakteristika šume je da za sve domene uključene u nju, za sva ta stabla, postoje tri identična entiteta - to je jedna shema, pojedinačni konfiguracijski kontejneri i zajednički globalni katalog za šumu. Naravno, imaju drugačiji nazivni prostor, iako možete imenovati cijelu šumu. Ako se to ne učini, tada će svako stablo imati svoju hijerarhiju imenovanja. Možete napraviti tako da će sva stabla u šumi biti poredana u istom sustavu naziva.
Povjerenje između šuma
Kada je riječ o integraciji i interakciji između dvije različite šume, obično postoje dva različita sustava izgrađena neovisno jedan o drugom. Međutim, korisnici u jednoj šumi (definiranoj samo u jednoj šumi) moraju moći pristupiti objektima definiranim u drugoj šumi. Da biste to učinili, morate uspostaviti odnos povjerenja.
Windows 2000 vam omogućuje da uspostavite izravne i tranzitivne odnose između određenih domena iz različitih šuma, ali to će raditi samo za te domene. Windows Server 2003 uvodi novu vrstu povjerenja pod nazivom Odnos među-šumske domene. Ovi su odnosi tranzitivni za domene koje su dio svake od šuma. To jest, kada su dvije šume povezane odnosom povjerenja, korisnici iz bilo koje domene u jednoj šumi mogu vidjeti i pristupiti objektima u drugoj šumi s apsolutnom transparentnošću iz bilo koje domene.
Možete napraviti lanac, na primjer, od tri šume A, B, C. A vjeruje B, a B povjerenje C. Iz ovoga ne proizlazi da je odnos povjerenja također uspostavljen između šume A i C. To je kao u Windows NT 4: netranzitivni odnosi u smislu da nisu tranzitivni između šuma. Ali između domena koje povezuju dvije šume, odnos je tranzitivan.
Upravljanje grupnim politikama
Grupna pravila su glavni alat koji se koristi za kontrolu gotovo svih podsustava i komponenti unutar Windowsa. Bilo da se radi o radnoj stanici i njezinim postavkama, bilo da se radi o poslužitelju i njegovim mrežnim uslugama, Active Directoryju, sigurnosnim postavkama – sve se to konfigurira putem grupnih politika.Mehanizam grupnih pravila omogućuje vam da dodijelite pravila spremnicima, odnosno organizacijskim jedinicama, stranicama i domenama. Pravila grupe ne mogu se dodijeliti određenom korisniku. U isto vrijeme, budući da je struktura spremnika u Active Directory hijerarhijska, moguće je dodijeliti različite grupne politike na različitim razinama. Stoga mehanizmi nasljeđivanja funkcioniraju. Administrator ima određene funkcije za blokiranje nasljeđivanja ili, obrnuto, za provođenje politike nasljeđivanja. Administrator ima mogućnost filtriranja primjene grupnih politika putem prava pristupa. U svakom slučaju, velik broj zadataka rješava se uz pomoć ništa manje alata. Za svaki zadatak postoji poseban alat. Dakle, da biste upravljali grupnim politikama u sustavu Windows 2000, morate znati oko šest alata i koristiti ih za različite zadatke.
Windows Server 2003 omogućuje vam da značajno pojednostavite život administratora zbog pojave posebnog alata pod nazivom Konzola za upravljanje pravilima grupe. Ovo je integrirana ili konsolidirana konzola koja uključuje sučelje za obavljanje apsolutno svih zadataka vezanih uz grupna pravila. Više ne morate razmišljati o tome gdje se ova operacija izvodi - sve je u konzoli za upravljanje grupnim pravilima, dok konzola grupira informacije na vrlo logičan, intuitivan način.
Osim što je konsolidirani grafički alat, Konzola za upravljanje grupnim pravilima dodaje niz novih značajki za upravljanje grupnim politikama. Na primjer, funkcije sigurnosnog kopiranja i vraćanja grupne politike, funkcije kopiranja grupne politike između domena u istoj šumi i uvoz/izvoz grupnih politika.
Ne postoji konzola za upravljanje pravilima grupe kao dio Windows Server 2003. Mora se preuzeti s Microsoftovog web poslužitelja ( http://www.microsoft.com/downloads). Konzolu možete instalirati na Windows Server 2003 ili Windows XP ako imate servisni paket 1 i .NET Framework. Stoga, koristeći konzolu za upravljanje grupnim pravilima, možete upravljati grupnim politikama, a da ne budete izravno na kontroloru domene. Možete instalirati konzolu izravno na Windows XP radnu stanicu i centralno upravljati svim grupnim pravilima u šumi s te radne stanice. Osim toga, Konzola za upravljanje pravilima grupe uključuje dva čarobnjaka koji vam omogućuju analizu i modeliranje procesa primjene pravila grupe. Prvi se zove "Čarobnjak za rezultate grupnih politika" i pokazuje koje su politike primijenjene na ovo konkretno računalo, koje su vrijednosti promijenjene i iz kojih politika su te vrijednosti dohvaćene. Ako nešto nije primjenjivo, čarobnjak pokazuje zašto se nije primjenjivo.
Jasno je da ovaj mehanizam zahtijeva povezivanje s računalom koje se analizira. To jest, u načinu daljinskog povezivanja, administrator se, naravno, može spojiti na bilo koju radnu stanicu i zatražiti analizu kako su grupna pravila primijenjena na ovaj stroj. Možete to učiniti i na drugi način: prije postavljanja i implementacije sustava grupnih politika, možete simulirati što će se dogoditi korisniku ili računalu kada se na njega primijeni grupna politika.
Proces takvog modeliranja izvodi se pomoću konzole koja se nalazi u konzoli za upravljanje pravilima grupe i naziva se Procesno modeliranje. Simulacija ne zahtijeva povezivanje s računalom koje se proučava. Radi samo s informacijama koje su pohranjene u Active Directory. Dovoljan je samo pristup Windows Server 2003 Active Directory kontroleru. Možete, na primjer, zamisliti što će se dogoditi ako korisnik uđe u neku vrstu sigurnosne grupe, možete uvjetno staviti korisnika u nekakav kontejner i vidjeti što će se dogoditi.
Postoje još neke nove značajke konzole za upravljanje grupnim pravilima - arhiviranje i vraćanje grupnih pravila. Sami objekti mogu se spremiti kao datoteka u određeni direktorij. Zatim se mogu vratiti natrag u slučaju neke vrste problema ili kada eksperimentirate s domenom, Active Directory ili grupnim pravilima. Važno je da grupnu politiku možete vratiti samo na istu domenu na kojoj je napravljena sigurnosna kopija. Obnavlja se samo sam GPO: ono što mu je dodatno priloženo ne može se arhivirati, pa se stoga ni obnoviti.
Prijeđimo na Windows Management Instrumentations (WMI). To je tehnologija koja je sada glavni oslonac u upravljanju sustavima. WMI se koristi gotovo posvuda: bilo koja usluga koristi WMI na ovaj ili onaj način.
Koristeći WMI, možete dobiti informacije o svim objektima koji postoje u sustavu, bilo da se radi o hardverskim uređajima ili nekim softverskim komponentama. Apsolutno sve informacije mogu se dobiti upitom u WMI bazi podataka. Budući da takav mehanizam postoji, Microsoft je razvio dodatnu funkcionalnost za primjenu grupnih pravila. Sada možete filtrirati primjenu grupnih politika na temelju pristupa WMI bazi podataka. To jest, doslovno možete dodijeliti filtar u pravilima grupe. Na primjer, ako je odgovor na upit koji je poslan WMI pozitivan, tada se primjenjuje grupno pravilo, a ako je negativno, onda se pravilo grupe ne primjenjuje.
Politika ograničenja softvera
Ovo je centralizirana politika koja se može provoditi na razini cijelog poduzeća. Uz njegovu pomoć, administrator ima mogućnost ograničiti popis programa koje korisnici mogu pokretati na svojim radnim stanicama. Administrator može, naprotiv, odrediti popis programa koje korisnici ne mogu pokrenuti na svojim strojevima ni pod kojim okolnostima.Za implementaciju ovog mehanizma koristi se princip: osnovna razina, plus iznimka. Sukladno tome, osnovne razine mogu biti dvije vrste za različite scenarije. Prva osnovna razina naziva se "Disallowed": svi su programi onemogućeni prema zadanim postavkama, osim onih dopuštenih u iznimkama, u dodatnim pravilima. Drugi se zove Unrestricted: svi su programi dopušteni, ali popis dodatnih pravila sadrži iznimke, odnosno crni popis programa koji se ne mogu pokrenuti.
Pravila mogu biti četiri vrste (rangirana po prioritetu): Certifikat (najviši prioritet), Hash, Put i Zona. Prioritet je relevantan kada postoji nekoliko politika koje definiraju istu aplikaciju s različitim pravilima. Na primjer, jedno pravilo vam dopušta pokretanje svih programa koji se nalaze u direktoriju "ABCD", a drugo pravilo zabranjuje pokretanje programa koji imaju taj i takav hash. Ako se pokaže da se ovaj program, koji je zabranjen za pokretanje, nalazi u dopuštenom direktoriju ABCD, tada će pravilo zabrane biti jače, jer hash pravilo "pobjeđuje" pravilo na putu. Za to je prioritet.
