Ka katër mënyra për të instaluar Active Directory.
- Instalimi me mjete Magjistarët e instalimit të drejtorisë aktive(Active Directory Installation Wizard); të përshtatshme në shumicën e rasteve.
- Instalimi i skedarit të përgjigjes, metoda e instalimit pa mbikëqyrje (ju lejon të instaloni AD nga distanca).
- Instalimi duke përdorur një rrjet ose burim arkivi (përdoret kur instaloni Active Directory në kontrollues shtesë të domenit).
- Instalimi me Magjistarët e konfigurimit të serverit(Konfiguro Magjistarin e Serverit tënd). (Kjo metodë është e zbatueshme vetëm kur instaloni Active Directory në kontrolluesin e parë të domenit në rrjet).
Të katër shtigjet ju lejojnë të caktoni një kompjuter në rolin e një kontrolluesi të domenit, të instaloni Active Directory dhe opsionalisht të instaloni dhe konfiguroni një server DNS.
Sidoqoftë, metoda e parë është universale, dhe ne do ta konsiderojmë atë më në detaje, duke përdorur shembullin e instalimit të Active Directory në kontrolluesin e parë të domenit në rrjet ...
Instalimi i Active Directory duke përdorur magjistarin e instalimit të Active Directory.
- Për të hapur magjistarin e instalimit të Active Directory, futni Vraponi komandë dcpromo.
- Pasi faqja e magjistarit shfaqet nën emrin Magjistari i instalimit të drejtorisë aktive klikoni butonin Me tutje.
- Në faqe Kontrollimi i përputhshmërisë së sistemit klikon gjithashtu butonin Me tutje.
- Në faqe Lloji i kontrolluesit të domenit zgjidhni Kontrolluesi i domenit në domenin e ri; pastaj klikoni Next.
- Pasi në faqe Krijo një domen të ri, zgjidhni artikullin Domen i ri në një pyll të ri dhe pastaj klikoni butonin Next.
- Në fushë Emri plotësisht i kualifikuar DNS i domenit të ri Në faqe Emri i ri i domenit shkruani emrin e domenit dhe klikoni butonin Me tutje.
- Pas një vonese të shkurtër, faqja shfaqet. Emri i domenit NetBIOS... Nuk rekomandohet ndryshimi i emrit të paracaktuar të NetBIOS. Klikoni Me tutje.
- Pas hapjes së faqes Baza e të dhënave dhe dosjet e regjistrave specifikoni vendndodhjen e bazës së të dhënave Active Directory dhe futuni në kutitë e tekstit Dosja e vendndodhjes së bazës së të dhënave dhe Regjistro dosjen e vendndodhjes përkatësisht. Mos harroni se rekomandohet të vendosni bazën e të dhënave dhe skedarin e regjistrit në disqe të veçantë me sistemin e skedarëve NTFS. Kliko butonin Me tutje.
- Në fushë Vendndodhja e dosjes faqet Ndarja e një vëllimi të sistemit ju duhet të specifikoni vendndodhjen e dosjes Sysvol... Siç mund ta imagjinoni, vëllimi i sistemit duhet të jetë i vendosur në një ndarje ose vëllim me sistemin e skedarëve NTFS. Pasi të keni përfunduar cilësimet, klikoni butonin Me tutje.
- Kur faqja shfaqet në ekran Diagnostifikimi i regjistrimit të DNS, shikoni udhëzimet e detajuara për testin diagnostik. Vendoseni çelësin në një nga tre pozicionet (në rastin tonë, DNS nuk është konfiguruar ende në rrjet, kështu që ne zgjedhim opsionin e dytë). Ne shtypim Me tutje.
- Render në faqe Lejet, zgjidhni çdo leje standarde të kërkuar për objektet e përdoruesit dhe grupit dhe më pas klikoni Me tutje.
- Në një kuti teksti Fjalëkalimi i modalitetit të rikuperimit faqet Rivendosja e fjalëkalimit të shërbimeve të drejtorisë futni fjalëkalimin e llogarisë së administratorit për situatën kur kompjuteri fillon në modalitetin e rikuperimit të shërbimit të drejtorisë. Pas konfirmimit shtypni fjalëkalimin Me tutje.
- Në faqe Përmbledhje renditen të gjitha cilësimet e bëra deri më sot. Pasi të keni shqyrtuar listën e tyre, klikoni Me tutje... (Procesi i konfigurimit të magjistarit të komponentëve të Active Directory kërkon pak kohë. Nëse një adresë IP statike nuk është vendosur në kompjuter në cilësimet, do t'ju kërkohet ta bëni këtë.
- Pas përfundimit të magjistarit, shfaqet një faqe Kompletimi i magjistarit të instalimit të Active Directory... Klikoni butonin Gati dhe menjëherë pas kësaj - Rinisni tani.
Për menaxhimin e centralizuar të rrjetit të fakultetit, duhet të krijoni një domen të bazuar në Microsoft Windows Server 2003.
shënim... Gjatë instalimit, mund t'ju duhet të futni CD-në e instalimit të Windows Server 2003 në diskun tuaj. Mund të përdorni një CD fizike ose iso-imazhi i diskut të instalimit të sistemit operativ.
Ushtrimi 1. Instaloni shërbimin e drejtorisë Active Directory në server, krijoni domenin mydomain.ru.
Udhëzime për zbatimin
1. Ekzekutoni magjistarin e instalimit të Active Directory Start - Run - dcpromo.
2. Duke ndjekur hapat e magjistarit të instalimit, zgjidhni opsionet e mëposhtme të instalimit:
Në dritaren Lloji i kontrolluesit të domenit - butoni i radios së kontrolluesit të domenit për një domen të ri;
Në dritare Krijo domen të ri (Krijo një domen të ri) - kaloni Domain në një pyll të ri (Domain në një pyll të ri);
Në dritare Instaloni ose konfiguroni DNS (Instalimi ose konfigurimi i DNS) - kaloni Jo, thjesht instaloni dhe konfiguroni DNS në këtë kompjuter (Jo, DNS është instaluar dhe konfiguruar tashmë në këtë kompjuter) nëse DNS është instaluar tashmë në server, ose Po, unë do të konfiguroj klientin DNS(Po, unë do të konfiguroj klientin DNS);
Në dritare Emri i ri i domenit (Emri i ri i domenit) lloji mydomain.ru ne rresht Emri i plotë DNS për domenin e ri (Emri plotësisht i kualifikuar DNS i domenit të ri);
Në dritare Emri i domenit NetBIOS (Emri i domenit NetBIOS) duhet të shfaqet një hyrje MYDOMAIN;
Sigurohuni që shtegu të jetë zgjedhur për të pritur bazën e të dhënave dhe protokollin. C: \ WINDOWS \ NTDS, dhe për të vendosur drejtorinë SYSVOL rruga e treguar C: \ WINDOWS \ SYSVOL;
Në dritare Lejet (Lejet) zgjidhni Lejet e përputhshme vetëm me sistemet operative Windows 2000 ose Windows Server 2003 (Lejet e përputhshme vetëm me sistemet operative Windows 2000 ose Windows Server 2003);
Në dritare Fjalëkalimi i administratorit i shërbimeve të drejtorisë së rivendosjes së modalitetit (Fjalëkalimi i administratorit për modalitetin e rikuperimit) futni fjalëkalimin që dëshironi t'i caktoni kësaj llogarie të serverit Administrator në rast se kompjuteri fillon në modalitetin e Rivendosjes së Shërbimeve të Direktorisë;
Në dritaren Përmbledhje, shqyrto listën e të zgjedhurve parametrave instalimi dhe prisni që procesi i instalimit të Active Directory të përfundojë.
3. Në dritaren Completing The Active Directory Installation Wizard, klikoni butonin Finish dhe më pas butonin Rinisni Tani.
Detyra 2... Shikoni domenin e krijuar në një nga mënyrat.
Udhëzime për zbatimin
Metoda 1.
Hap vendet e mia të rrjetit - i gjithë rrjeti – Rrjeti i Microsoft Windows (Vendet e mia të rrjetit - Të gjitha rrjetet - Rrjeti i Microsoft Windows). Sigurohuni që të shfaqet një hyrje për domenin mydomain, i cili përmban një kompjuter, Server.
Mënyra e 2-të.
1 Nga menyja Start - Programs - Administrative Tools, zgjidhni Active Directory Users And Computers. Snap-in me të njëjtin emër do të hapet.
2 Në pemën snap-in, klikoni dy herë mydomain.ru (ose emrin tuaj të domenit) për të parë përmbajtjen e nyjes mydomain.ru.
3 Në seksionin e Domain Controllers të pemës snap-in, shikoni emrin e kontrolluesit të domenit dhe emrin e tij plotësisht të kualifikuar DNS (për shembull, nëse emri i serverit të pavarur ishte server, atëherë pas instalimit të domenit ai duhet të jetë server. mydomain.ru).
4 Në seksionin Përdoruesit, shikoni listën e llogarive të integruara të përdoruesve dhe grupeve të përdoruesve për domenin.
5 Aktivizoni llogarinë e integruar Guest dhe provoni të identifikoheni. A jeni përpjekur ta bëni këtë me sukses? Vetëm administratorët e domenit lejohen të identifikohen te kontrollorët e domenit.
6 Mbyllni tastierën Active Directory Users And Computers.
Detyra 3. Testoni shërbimin DNS duke përdorur snap-in DNS.
Udhëzime për zbatimin
1. Hapni konsolën DNS duke përdorur komandën Start - Programs - Administrative Tools - DNS.
2. Në pemën e konsolës DNS, kliko me të djathtën mbi emrin e serverit dhe përzgjidh Properties. Dritarja e vetive të SERVER-it do të hapet (nëse serveri ka një emër tjetër, ai do të shfaqet në titullin e dritares).
3. Klikoni skedën Monitorimi.
4. Në listën Zgjidhni një lloj testi, kontrolloni kutitë Një pyetje e thjeshtë kundër këtij serveri DNS dhe një pyetje rekursive për serverët e tjerë DNS dhe klikoni Test Tani. Në dritaren Vetitë e Serverit, lista e rezultateve të testit duhet të shfaqë PASS ose FAIL në kolonat Simple Query dhe Recursive Query. Shpjegoni rezultatet e marra.
Detyra 4. Hiq shërbimin Active Directory.
Udhëzime për zbatimin
Ekzekutoni magjistarin e instalimit dhe heqjes së Active Directory Start - Run - dcpromo.
Punë e pavarur
Sipas detyrës së projektit, vendosni një domen të quajtur faculty.ru, ku kontrolluesi i domenit është server.faculty.ru, adresa IP e të cilit është 192.168.1.1.
Pyetje për vetëkontroll
1. Përshkruani ndryshimet midis një grupi pune dhe një domeni.
2. Cili është ndryshimi kryesor midis Windows XP dhe Windows Server 2003?
3. A është e mundur të krijohet një domen në një rrjet ku të gjithë kompjuterët në rrjet përdorin Windows XP?
4. Përcaktoni një kontrollues domeni.
5. Rendisni llogaritë e integruara të përdoruesve dhe grupeve të përdoruesve të domenit të njohur për ju dhe përshkruani qëllimin e tyre.
6. Çfarë do të thotë termi server i pavarur?
7. Përshkruani ndryshimet midis një grupi pune dhe një domeni.
8. Pse zakonisht çaktivizohet llogaria e integruar Guest?
Letërsia
Puna laboratorike nr.4
Tema: Krijimi dhe administrimi i llogarive të përdoruesve dhe grupeve
Ushtrimi 1. Krijo një llogari të dekanit të domenit:
- ka akses në të gjitha burimet e rrjetit,
- mund të kyçet në çdo kompjuter.
Udhëzime për zbatimin
1. Ekzekutoni komandën Filloni–Të gjitha Programet–Mjete administrative–Përdoruesit dhe kompjuterët e Active Directory (Fillimi–Programet–Administrata–Përdoruesit dhe kompjuterët e Active Directory).
2. Zgjero dosjen faculty.ru Përdoruesit.
3. Në meny Veprimi (Veprimi) zgjidhni komandën I ri–Përdoruesi (Krijoni–Përdoruesi).
4. Futni informacionin e kërkuar të përdoruesit. Në kapitullin Emri i hyrjes së përdoruesit (Emri i përdoruesit për hyrje) fut dekan (dekan)... Ju lutemi vini re se kur krijoni një llogari domeni, në krahasim me një llogari lokale, emri i domenit shfaqet pas emrit të përdoruesit, i ndarë nga i fundit me një karakter @ ... Kështu, emri i plotë i përdoruesit ( Emri i hyrjes së përdoruesit)–[email i mbrojtur] .
5. Kur përcaktoni një fjalëkalim përdoruesi, sigurohuni që të kontrolloni Përdoruesi duhet të ndryshojë fjalëkalimin në hyrjen tjetër (Përdoruesi duhet të ndryshojë fjalëkalimin në hyrjen tjetër).
6. Përfundoni krijimin e llogarisë tuaj.
7. Në panelin e djathtë, gjeni llogarinë tuaj. Klikoni dy herë mbi të për të futur informacione shtesë (adresa, organizata, etj.).
8. Sigurohuni që dekani të mund të identifikohet në çdo kohë (tab Llogaria–Orari i hyrjes–Orari i hyrjes)).
9. Përpiquni të hyni në domen duke përdorur llogarinë e dekanit. Pse përpjekja dështoi?
10. Hyni në sistem si administrator.
11. Shikoni pronën e llogarisë së dekanit duke ekzekutuar sërish komandën Filloni–Të gjitha Programet–Mjete administrative-. Në dritaren e vetive të llogarisë, zgjidhni skedën Antare i (Anëtarësimet në grup) dhe shtoni llogarinë e dekanit në grupin global Administratorët e domenit me komandat e mëposhtme Shto...–E avancuar...–Gjeni tani… Shto…–Për më tepër…–Gjej…) nga lista, zgjidhni Administratorët e domenit (Administratorët e domenit).
12. Provo sërish të hysh në domen duke përdorur llogarinë e dekanit.
13. Pasi të hyni me llogarinë e administratorit, ndryshoni fjalëkalimin e dekanit dhe vendosni fjalëkalimin që të ndryshojë përsëri herën tjetër kur të hyni.
Detyra 2. Në përputhje me kërkesat e politikës së sigurisë së rrjetit, nuk rekomandohet përfshirja e përdoruesve të tjerë të domenit në grupin e Administratorëve, përveç atyre që kryejnë drejtpërdrejt funksionet e administrimit. Hiqni llogarinë e dekanit nga grupi i Administratorëve.
Udhëzime për zbatimin
1. Ekzekutoni komandën Filloni–Të gjitha Programet–Mjete administrative–Përdoruesit dhe Kompjuterët e Directory Active.
2. Zgjero dosjen faculty.ru në panelin e majtë të dritares. Në nëndosjet zgjidhni Përdoruesit.
3. Në panelin e djathtë, gjeni llogarinë tuaj. Klikoni dy herë mbi të dhe shkoni te skeda Antare i. Zgjidhni nga lista e grupeve Administratorët e domenit dhe shtypni Hiq.
Detyra 3. Lejo që llogaria e dekanit të hyjë në kontrolluesin e domenit pa e përfshirë atë në grupin e Administratorëve.
Udhëzime për zbatimin
1. Shtoni llogarinë e dekanit në grup Operatorët e printimit anëtarët e të cilit mund të hyjnë në kontrolluesin e domenit.
2. Hyni në domen duke përdorur llogarinë e dekanit
3. Sugjeroni një metodë tjetër për të lejuar hyrjen në kontrolluesin e domenit.
Detyra 4. Krijo një grup global Mësuesit (Mësuesit):
- lloji i grupit - grupi i sigurisë;
- mësuesit mund të kyçen në çdo kompjuter në rrjet, përveç serverit;
- secili nga mësuesit ka llogarinë dhe cilësimet e tij, të cilat konfigurohen personalisht nga mësuesi.
Udhëzime për zbatimin
1. Ekzekutoni komandën Filloni–Të gjitha Programet–Mjete administrative–Përdoruesit dhe Kompjuterët e Directory Active.
2. Zgjero dosjen faculty.ru në panelin e majtë të dritares. Në nëndosjet zgjidhni Përdoruesit.
3. Në meny Veprimi zgjidhni ekipin I ri–Grupi (i ri–grup).
4. Në fushë Emri i grupit (Emri i grupit) fut Mësuesit.
5. Në zonë Fushëveprimi i grupit (Shtrirja e grupit) klikoni butonin e radios globale, dhe në zonë Lloji i grupit (Lloji i grupit) - kaloni Siguria.
6. Klikoni OK.
Detyra 5. Shto në grup Mësuesit (Mësuesit) një anëtar i grupit - llogaria e dekanit.
Udhëzime për zbatimin
1. Sigurohuni që këputja të jetë e hapur Përdoruesit dhe Kompjuterët e Directory Active dhe zgjidhet një enë Përdoruesit.
2. Në dritaren e vetive të grupit Mësuesit zgjidhni skedën Anëtarët (Anëtarët e grupit), dhe pastaj butonat e njëpasnjëshme Shto...–E avancuar...–Gjeni tani... nga lista, zgjidhni llogarinë e dekanit.
3. Në dritaren e pronave të llogarisë së dekanit, gjeni informacionin e anëtarësimit në grup Mësuesit.
Detyra 6. Rendisni domenin e integruar lokal, global, grupet e domeneve lokale dhe studioni përshkrimin e secilit grup të integruar.
Detyra 7. Plotësoni tabelat që përmbajnë informacione për anëtarët e domenit. Tabelat duhet t'ju ndihmojnë të planifikoni dhe krijoni llogari domeni.
Një shembull i plotësimit të tabelave për një grup përdoruesish Dekanati dhe llogari Studenti Shikoni më poshtë.
Tabela 8
Planifikimi në grup
Tabela 9
Orari i hyrjes
Tabela 10
Planifikimi i fjalëkalimeve
@ Mendoni për të paktën tre përdorues nga secili grup dhe plotësoni tabelat 8-10 siç kërkohet nga projekti. Shtoni tabela në raportin tuaj.
Detyra 8. Krijoni llogaritë e përdoruesve dhe grupet e përdoruesve, siç kërkohet nga projekti, sipas opsioneve tuaja në Tabelat 8–10.
Detyra 9. Testoni llogaritë tuaja. Për shembull, ndryshoni orën e sistemit në 6:00 dhe përpiquni të identifikoheni në domen si student. Provoni të ndryshoni fjalëkalimin për këtë llogari.
Pyetje për vetëkontroll
1. Përshkruani ndryshimet midis llogarive lokale dhe atyre të domenit.
2. Cili është qëllimi i krijimit të grupeve të përdoruesve?
3. Shpjegoni qëllimin e grupeve lokale, globale dhe universale.
4. Shpjegoni qëllimin e grupeve të sigurisë dhe grupeve të shpërndarjes.
5. Përcaktoni dhe jepni shembuj për termat e mëposhtëm: "të drejtat e përdoruesit", "privilegjet e përdoruesit", "lejet e aksesit të përdoruesit".
6. Listoni llogaritë e integruara të përdoruesve dhe grupeve të përdoruesve të domenit të njohur për ju dhe përshkruani qëllimin e tyre.
7. Në cilin grup përdoruesish të integruar, përveç grupit të Administratorëve, duhet të përfshihet llogaria në mënyrë që përdoruesi të kyçet në stacionin e punës? A ka mënyra të tjera për ta bërë këtë?
8. Si të parandaloni hyrjen në fundjavë dhe pas orarit?
9. Si ta kufizoj periudhën e vlefshmërisë së llogarisë sime?
10. Si të çaktivizoni llogarinë e një punonjësi, për shembull, gjatë sëmundjes së tij?
12. Si mund ta ndryshoj fjalëkalimin e përdoruesit?
13. Si të parandalojmë përdoruesin të ndryshojë fjalëkalimin?
14. Cilat janë pasojat e fshirjes së një grupi?
Letërsia
Puna laboratorike nr.5
Situata fillestare - ekziston një domen, kompani testuese.vendore... Për thjeshtësi, do të ketë një kontrollues domeni të Windows Server 2003 të emërtuar dc01... Serveri DNS është gjithashtu në të, zona kryesore është e integruar në Active Directory.
Cilësimet e rrjetit të kontrolluesit:
Adresa IP - 192.168.1.11
Maskë - 255.255.255.0
Porta - 192.168.1.1
Serveri DNS - 192.168.1.11
Detyrë- instaloni një kontrollues domeni në një server tjetër, për më tepër, duke ekzekutuar Windows Server 2008 R2, zvogëloni kontrolluesin e vjetër në një server anëtar (dhe më pas mundësisht fshijeni fare) dhe transferoni të gjitha funksionet e kontrolluesit të vjetër në atë të ri.
Punë përgatitore
Si punë përgatitore, duhet të ekzekutoni komandat netdiag(kjo komandë ekziston vetëm në Serverin 2003, Mjetet Mbështetëse) dhe dcdiag, sigurohuni që të mos ketë gabime dhe nëse ka, korrigjoni këto gabime.
Para së gjithash, ne përcaktojmë mbajtësin e roleve FSMO në domen me komandën:
Shërbimet netdom.exe Windows Server 2003 nuk përfshihet si parazgjedhje, kështu që ju duhet ta instaloni Mjetet Mbështetëse(http://support.microsoft.com/kb/926027). Në këtë rast, nuk ka kuptim, pasi ekziston vetëm një kontrollues i domenit dhe rolet FSMO janë ende të gjitha në të. Për ata që kanë më shumë se një kontrollues domeni, do të jetë e dobishme të dinë se cilat role të transferohen dhe nga ku. Dalja e komandës do të duket diçka si kjo:
Adresa IP - 192.168.1.12
Maskë - 255.255.255.0
Porta - 192.168.1.1
Serveri DNS - 192.168.1.11
dhe injektojeni atë në një domen ekzistues, kompani testuese.vendore në rastin tonë.
Përditësimi i skemës së pyllit dhe domenit
Hapi tjetër është përmirësimi i skemës së pyllit dhe domenit në Windows Server 2008 R2, të cilin do ta bëjmë duke përdorur programin adprep... Fusni diskun e instalimit me Windows Server 2008 R2 në server dc01... Në disk, ne jemi të interesuar për dosjen X: \ support \ adprep (X: është shkronja e diskut DVD-ROM). Nëse keni Windows Server 2003 32-bit, duhet të ekzekutoni adprep32.exe, në rastin e 64-bit - adprep.exe.
Nuk ka kërkesa për modalitetin funksional të pyllit për të ekzekutuar komandën. Për të ekzekutuar komandën adprep / domainprep Kërkon një domen për të përdorur një nivel funksional domeni të paktën Windows 2000 amtare.
Fusim komandën:
X: \ support \ adprep> adprep32.exe / forestprep
Pas paralajmërimit se të gjithë kontrolluesit e domenit të Windows 2000 duhet të jenë të paktën SP4, ne hyjmë ME dhe shtypni Enter: 
Komanda funksionon për një kohë mjaft të gjatë, disa minuta dhe duhet të përfundojë me frazën e mëposhtme:
Adprep përditësoi me sukses informacionin në të gjithë pyllin.
Pas kësaj, futni komandën:
X: \ support \ adprep> adprep32.exe / domainprep / gpprep
E cila do të funksionojë shumë më shpejt:
Vlen gjithashtu të ekzekutoni komandën adprep / rodcprep... Edhe nëse nuk do të përdorni kontrolluesit e domenit vetëm për lexim (RODC) në rrjetin tuaj, kjo komandë të paktën do të heqë mesazhet e panevojshme të gabimit në regjistrin e ngjarjeve.
Pasi të kenë përfunduar komandat për përditësimin e skemës, mund të filloni të promovoni serverin e ri në një kontrollues domeni.
Në server dc02 shkoni te Menaxheri i Serverit, shtoni një rol Shërbimet e Domenit të Drejtorisë Aktive... Pas instalimit të rolit, duke shkuar te Menaxheri i Serverit> Rolet> Shërbimet e Domainit të Drejtorisë Active, do të shohim një kërkesë të verdhë “Run the Active Directory Domain Services Installation Wizard (dcpromo.exe)”. Ne e nisim atë. Përndryshe, mund të shkruani në vijën e komandës dcpromo, i cili do të jetë i barabartë me veprimin e mësipërm.
Meqenëse mbulimi i procesit të instalimit të një kontrolluesi domeni nuk përfshihet në këtë artikull, unë do të fokusohem vetëm në disa pika kyçe. Në një hap Opsione shtesë të kontrolluesit të domenit kontrolloni të dy xhaketë, Server DNS dhe Katalogu global.
Nëse agimi Katalogu Global dhe Server DNS mos vendosni, do t'ju duhet t'i transferoni ato veç e veç. Dhe kur migroni nga 2003 në 2003, do të duhet ta bëni këtë gjithsesi, pasi nuk ka një mundësi të tillë në Windows 2003. Lëvizja e katalogut global dhe serverit DNS do të diskutohet më poshtë.
Përfundimi i instalimit të kontrolluesit të domenit, rinisja e serverit. Tani kemi dy kontrollues domenesh që punojnë në të njëjtën kohë.
Transferimi i rolit të FSMO
Transferimi i roleve FSMO mund të bëhet si përmes një ndërfaqe grafike ashtu edhe duke përdorur një program ntdsutil.exe... Ky artikull do të përshkruajë një metodë duke përdorur një ndërfaqe grafike, si më vizuale, të cilët janë të interesuar për një metodë tjetër, ndiqni këtë lidhje: http://support.microsoft.com/kb/255504. Transferimi i roleve të FSMO do të përbëhet nga hapat e mëposhtëm:
Shkojmë te serveri dc02, atij të cilit do t'i transferojmë rolet. Për të hyrë në snap Skema e drejtorisë aktive, fillimisht duhet të regjistroni bibliotekën schmmgmt.dll... Kjo bëhet duke përdorur komandën:
regsvr32 schmmgmt.dll
Në pemën snap-in, kliko me të djathtën mbi artikullin Skema e drejtorisë aktive dhe zgjidhni artikullin Ndryshoni kontrolluesin e domenit... Aty e ndryshojmë kontrolluesin në dc02.
Tjetra, kliko me të djathtën përsëri mbi elementin. Skema e drejtorisë aktive dhe zgjidhni artikullin Master i Operacioneve... Shfaqet një dritare si kjo:
Shtyni Ndryshimi > po > Ne rregull dhe mbyllni të gjitha këto dritare.
Hapni snap-in, kliko me të djathtën mbi artikullin Domenet dhe Trustet e Drejtorisë Aktive dhe zgjidhni një ekip Ndrysho kontrolluesin e domenit të Active Directory... Ky hap kërkohet nëse nuk jeni duke punuar nga kontrolluesi i domenit tek i cili po transferohet roli. Kalojeni nëse lidhja me kontrolluesin e domenit, roli i të cilit po transferohet është vendosur tashmë. Në dritaren që hapet, zgjidhni kontrolluesin e domenit të cilit i është caktuar roli ( dc02 në rastin tonë), në listë dhe shtypni butonin Ne rregull.
Në snap-in, kliko me të djathtën mbi artikullin Domenet dhe Trustet e Drejtorisë Aktive dhe zgjidhni artikullin Master i Operacioneve... Në dritaren që shfaqet, shtypni butonin Ndryshimi.
Për të konfirmuar transferimin e rolit, shtypni butonin Ne rregull, dhe pastaj - Mbylle.
Ne hapim kapakun. Klikoni me të djathtën mbi një artikull Përdoruesit dhe Kompjuterët e Directory Active dhe zgjidhni një ekip Ndryshoni kontrolluesin e domenit... Kalojeni nëse lidhja me kontrolluesin e domenit, roli i të cilit po transferohet është vendosur tashmë. Në dritaren që hapet, zgjidhni kontrolluesin e domenit të cilit i është caktuar roli ( dc02 në rastin tonë), në listë dhe shtypni butonin OK.
Në snap-in, kliko me të djathtën mbi artikullin Përdoruesit dhe Kompjuterët e Directory Active, zgjidhni artikullin Të gjitha detyrat, dhe pastaj Master i Operacioneve.
Ne zgjedhim skedën që korrespondon me rolin e transferuar ( RID, PDC ose Master i Infrastrukturës), dhe shtypni butonin Ndryshimi.
Për të konfirmuar transferimin e rolit, shtypni butonin Ne rregull, dhe pastaj - Mbylle.
Migrimi i Katalogut Global
Nëse po migrojmë jo në 2008, por në 2003, në të cilin kur shtojmë një kontrollues shtesë të domenit, katalogu global nuk është vendosur, ose nuk e keni zgjedhur kutinë Katalogu Global në hapin 2, atëherë duhet t'i caktoni manualisht rolin e katalogut global kontrolluesit të ri të domenit. Për ta bërë këtë, shkoni te snap Faqet dhe shërbimet e drejtorisë aktive, hapni Sites> Default-First-Site-Name> Servers> DC02> kliko me të djathtën mbi Cilësimet NTDS> Karakteristikat. Në dritaren që hapet, vendosni kutinë e kontrollit Global Catalog> OK.
Pas kësaj, një mesazh do të shfaqet në regjistrat e Shërbimit të Drejtorisë se promovimi i kontrolluesit në katalogun global do të shtyhet për 5 minuta.
Lloji i ngjarjes: Informacion
Burimi i ngjarjes: NTDS General
Kategoria e ngjarjes: (18)
ID-ja e ngjarjes: 1110
Data: 12.07.2011
Ora: 22:49:31
Përdoruesi: TESTCOMPANY \ Administrator
Përshkrim:
Promovimi i këtij kontrolluesi të domenit në një katalog global do të vonohet për intervalin vijues.Intervali (minuta):
5Kjo vonesë është e nevojshme në mënyrë që ndarjet e kërkuara të drejtorive të mund të përgatiten përpara se të reklamohet katalogu global. Në regjistër, mund të specifikoni numrin e sekondave që agjenti i sistemit të drejtorive do të presë përpara se të promovojë kontrolluesin lokal të domenit në një katalog global. Për më shumë informacion në lidhje me vlerën e regjistrit të Reklamave të Vonesës së Katalogut Global, shihni Udhëzuesin e Sistemeve të Shpërndara të Kompletit të Burimeve.
http://go.microsoft.com/fwlink/events.asp.
Ne presim pesë minuta dhe presim ngjarjen 1119 që ky kontrollues është bërë një katalog global.
Lloji i ngjarjes: Informacion
Burimi i ngjarjes: NTDS General
Kategoria e ngjarjes: (18)
ID e ngjarjes: 1119
Data: 12.07.2011
Ora: 22:54:31
Përdoruesi: NT AUTHORITY \ LOGON ANONIMO
Kompjuteri: dc02.testcompany.local
Përshkrim:
Ky kontrollues domeni tani është një katalog global.Për më shumë informacion, shihni Qendrën e Ndihmës dhe Mbështetjes në http://go.microsoft.com/fwlink/events.asp.
Rikonfigurimi i ndërfaqeve, DNS dhe detyra të tjera pas instalimit
Më tej, pasi serveri DNS është i ndezur dc02 ne kemi instaluar, tani ju duhet të specifikoni veten si serveri kryesor DNS në vetitë e ndërfaqes së rrjetit, d.m.th. adresa 192.168.1.12. Dhe me radhë dc01 ndryshoni në përputhje me rrethanat në 192.168.1.12.
Në vetitë e serverit DNS në dc02 kontrolloni skedën Përcjellësit, për vitin 2003, ndryshe nga viti 2008, nuk është përsëritur. Pastaj mund të ulni kontrolluesin e domenit dc01 te një server anëtar.
Nëse duhet të lini emrin e vjetër dhe adresën IP në kontrolluesin e ri, atëherë kjo gjithashtu mund të bëhet pa probleme. Emri është ndryshuar si për një kompjuter të rregullt, ose me një komandë të ngjashme riemërtimi i kompjuterit të rrjetit.
Pas ndryshimit të adresës IP, ekzekutoni komandat ipconfig / registerdns dhe dcdiag / rregulloj.
Pas rinisjes së serverit, duhet të siguroheni që modaliteti i lejes kryesore (modaliteti Dritaret Serveri 2003) themeluar. Për ta bërë këtë, ju duhet të hapni snap-in "Aktiv Drejtoria- domenet dhe besimi "," qëndroni "me miun në emrin e domenit tuaj dhe zgjidhni" Ndrysho mënyrën e funksionimit të domenit "nga menyja.
Nëse modaliteti i lejeve amtare nuk është i instaluar, duhet ta instaloni.
Përshtatje DNS
Për të konfiguruar një kontrollues domeni që u krijua automatikisht gjatë instalimit DNSduhet të shkarkojë snapDNS, kliko me të djathtën në skedën "Zonat e kërkimit të kundërt" dhe zgjidhni "Krijo një zonë të re" nga menyja e ofruar.
Magjistari i Zonës së Re do të lançohet.
Në dritaren "Lloji i zonës", duhet të specifikoni se cila zonë do të krijohet. Meqenëse serveri i parë është duke u konfiguruar DNSnë domen, duhet të zgjidhni artikullin "Zona kryesore" dhe rekomandohet të zgjidhni "Ruaj zonën në AktivDrejtoria».
Zgjedhja në "Fusha e zonës së replikimit të integruar nëAktivDrejtoria“Rekomandohet ndalimi në pikë” Për të gjithëDNS-serverët në domen emri_domain i krijuar . lokal ". Kjo do t'ju lejojë të transferoni zona vetëm brenda një domeni specifik nëse ka një pyll.
Dritarja Reverse Lookup Zone Name specifikon përshkrimin për të cilin IP-adresat do të jenë grumbullimi i informacionit dhe dhënia e emrave me kërkesë të klientëve. Rekomandohet për thjeshtësi të vendosni saktësisht kodin e rrjetit, që është numri i okteteve të rëndësishme në adresat e rrjetit lokal (Për shembull: 192.168.1).
Në formularin "Përditësimi dinamik" ju duhet të zgjidhni se si ruhet informacioni DNS-server. Për rrjetet që përfshijnë klientëDritaret2000 dhe më të vjetra, mund të lejohen vetëm përditësime të sigurta dinamike. Në përgjithësi, ju rekomandojmë të zgjidhni opsionin "Lejo çdo përditësim dinamik".
Kjo përfundon krijimin e zonës së re të kërkimit të kundërt dhe shfaqet një dritare informacioni me një përshkrim të shkurtër të zonës që krijohet. Nëse është e nevojshme, mund të ktheheni dhe të bëni ndryshimet e nevojshme.
Pasi të jetë krijuar zona e kërkimit të kundërt, mund të shikoni përmbajtjen e saj dhe emërtimin e saktë të zonës.
Pastaj ju duhet të konfiguroni zonën e pamjes së drejtpërdrejtë. Për ta bërë këtë, "pasi të keni futur" në degën "Zonat e shikimit përpara" në zonën me emrin e domenit të krijuar, duhet të hapni menunë me butonin e djathtë të miut dhe të zgjidhni artikullin "Properties".
Në skedën e Përgjithshme, siç u bë gjatë krijimit të degës së kërkimit të kundërt, rekomandohet gjithashtu të vendosni opsionin "Përditësimi dinamik" në "I pasigurt" dhe "i sigurt".
Kjo përfundon konfigurimin e serveritDNSpërfundon, dhe tani ju duhet të krijoni hyrje për pajisjet e rrjetit dhe pajisjet aktive të rrjetit.
Krijimi i një regjistrimi kryhet si më poshtë: në zonën me emrin e domenit, kliko me të djathtën dhe zgjidhni artikullin "Krijo nyjen" nga menyja. Në formularin për futjen e informacionit në lidhje me nyjen që krijohet, duhet të vendosni emrin e nyjes (emri i plotë i domenit plotësohet automatikisht) dhe IP-adresa, më pas vendosni një shenjë në artikullin "Krijo të përshtatshmen PTR-rekord".
Duke klikuar butonin Shto sitin, regjistrimi do të shtohet drejtpërdrejt në zonat e kërkimit përpara dhe të kundërt. Nëse kutia e kontrollit nuk zgjidhet, rekordi do të duhet të krijohet veçmas në zonën e kërkimit të kundërt.
Dekurajohet fuqimisht krijimi i regjistrimeve për kompjuterët dhe serverët e domenit DNSme dorë. Për krijimin e saktë të një hyrje në menunë "Start - Run", është më mirë të ekzekutoni komandën ipconfig / të regjistruardns, e cila do të regjistrohet nëDNS-server.
Të gjitha sistemet operative të lidhura me domenin duhet të konfigurohen për të përdorur serverët lokalë DNS (zakonisht kontrolluesit e domenit) si të preferuar dhe alternativ. Nëse protokolli TCP / IP është konfiguruar saktë, sistemet operative krijojnë regjistrime në zonat e domenit në modalitetin automatik (me përjashtim të Dritaret 9X).
Instalimi dhe konfigurimiDHCP
Aplikimi i shërbimitDHCPthjeshton administrimin e rrjetit dhe ju lejon të siguroni uniken e atyre që përdoren në domen IP-adresat. Për të instaluar shërbiminDHCPthjesht shkoni te "Paneli i Kontrollit", ekzekutoni "Shto ose Hiq Programet" dhe zgjidhni skedën "Instalo komponentët Dritaret"," Qëndroni "në linjë" Shërbimet e rrjetit ", dhe klikoni "Përbërja".
Ju duhet të instaloni komponentin "DHCP».
(Komponent" DNS"U shtua automatikisht gjatë instalimitpas Krishtit dhe ju nuk mund ta hiqni shenjën e kontrollit prej tij).
Pas përfundimit të instalimit të komponentitDHCPju duhet të shkarkoni snap-in "DHCP", Shkoni te hyrja që përmban emrin e serverit të instaluar dhe, duke zgjeruar menynë me butonin e djathtë të miut, zgjidhni artikullin "Krijo zonën". Magjistari i Rajonit të Ri do të lansohet.
Në dritaren "Emri i fushëveprimit" duhet të futni emrin e zonës së krijuar të adresave të shpërndara dhe një përshkrim për të. Ky informacion futet për lehtësi, dhe të dhënat e futura nuk kanë rëndësi në parim.
Në dritaren "Address Range", duhet të futni adresat fillestare dhe mbaruese të gamës që do të jenë të disponueshme për shpërndarje automatike midis kompjuterëve në domen dhe të specifikoni maskën e nënrrjetit që keni zgjedhur gjatë fazës së planifikimit të rrjetit.
Në kutinë e dialogut, specifikohet një gamë që përfshin të gjitha vlerat e mundshme për adresat në rrjet. Për të parandaluar lëshimin e adresave të përdorura (IP-adresat e serverëve, pajisjeve aktive të rrjetit dhe pajisjeve të tjera me adresa statike), duhet të specifikoni gamën e adresave që do të përjashtohen nga shpërndarja në formularin "Shto përjashtime". Ju mund të listoni adresat e përjashtuara nga shpërndarja, një nga një duke i futur ato në kolonën "Initial IP-adresa".
Pasi të specifikoni secilën adresë ose varg të përjashtuar, duhet të konfirmoni hyrjen duke shtypur butonin "Shto", pas së cilës hyrja do të shtohet në listën e përjashtimeve.
Dritarja "Adresa data e skadimit të qirasë" përdoret për të treguar periudhën kohore pas së cilës është lëshuar serveri IP-adresa mund t'i jepet një marrësi tjetër të adresave dinamike. Për një rrjet, ndryshimet në arkitekturën dhe përbërjen e të cilit janë mjaft të rralla, rekomandohet të vendosni një periudhë qiraje mjaft të gjatë.
Për të zvogëluar kohën totale të krijimit të domenit, rekomandohet të pajtoheni me propozimin e magjistarit të krijimit të domenit për të konfiguruar parametrat DHCP .
Dritarja "Router (default gateway)" plotësohet nëse ka një të tillë në rrjet.
Nëse nuk ka një pajisje të tillë, atëherë dritarja duhet të lihet bosh. Shtimi i një porte të paracaktuar kërkon gjithashtu klikim në butonin "Shto", pas së cilës adresa e futur e ruterit do të shtohet në listë.
Emri i Domenit dheDNS-serverët ”kërkon vëmendje të veçantë. Në kolonën "Domeni prind" duhet të vendosni emrin e plotë të domenit të krijuar pa ndonjë shkurtim (për shembull: "domain 1. lokal"). Futja e gabuar ose jo e plotë e emrit të domenit do të shkaktojë probleme në rrjet, të tilla si vështirësi në lidhjen e kompjuterit me domenin.
Adresat futen menjëherëDNS- serverët e rrjetit. Nuk rekomandohet të futni një adresëDNS-server, dhe emrin e tij, kur klikoni në butonin "Match", adresa e serverit do të vendoset automatikisht, pas së cilës është e nevojshme të klikoni edhe në butonin "Shto". Nëse nuk ka ndodhur asnjë përputhje emri DNS-serveri ose u kthye i pasaktëIP-adresa, kjo mund të tregojë një problem me cilindo shërbimDNS, ose në konfigurimin e një lidhjeje rrjeti.
Ju mund të futni adresat e disaDNS-serverët, nëse disa serverë përdoren njëkohësisht në rrjetDNS-serverët.
Nëse nuk ka serverë në rrjetFITON, pastaj dritarja" FITON-serverët ”duhet të lihen bosh.
Dritarja "Aktivizo zonën" ju lejon të shtyni aktivizimin e zonës së krijuar për një kohë arbitrare (për shembull, kur serveri është konfiguruar në një rrjet tjetër lokal, ose adresat lëshohen nga një zonë tjetër, dhe zona e krijuar nuk është ende përdorur). Nëse serveri është konfiguruar së pari, duhet të zgjidhni "Po, dua ta aktivizoj këtë zonë tani".
Kjo përfundon punën e magjistarit të krijimit të zonës, nëse është e nevojshme, mund të ktheheni dhe të bëni ndryshimet e kërkuara në parametrat e zonës së krijuar.
Pas përfundimit të magjistarit të krijimit të zonës, duhet të autorizoni DHCP v pas Krishtit... Nëse kjo nuk bëhet, adresat nuk do t'u jepen klientëve.
Për këtë në një momentDHCPju duhet të "çoheni" në emrin e serverit që po konfigurohet, të zgjeroni menunë me butonin e djathtë të miut dhe të zgjidhni artikullin "Autorize".
Për në mënyrë që adresat e lëshuara nga serveri të transmetohen automatikisht në DNS, duhet të bëni konfigurim shtesë të serveritDHCP... Për këtë në një momentDHCPju duhet të "qëndroni" në emrin e serverit që po konfigurohet, të zgjeroni menunë me butonin e djathtë të miut dhe të zgjidhni artikullin "Properties".
Në skedën ShërbimiDNS»Rekomandohet të vendosni të njëjtat parametra që janë përdorur më parë. Ky cilësim do të sigurojë transmetimin e njëkohshëm të informacionit në DNSpër të gjitha adresat e lëshuara, pavarësisht nga lloji i klientit, dhe automatikisht do të fshijë informacionin e vjetëruar kur skadon kontrata e qirasë.
Klientët punojnë Dritaret9x në domen Dritaret Serveri 2003
Në domenin Dritaret ServeriNë vitin 2003, niveli i sigurisë së paracaktuar u rrit, gjë që çoi në shfaqjen e disa vështirësive në funksionimin e sistemeve të klientëve të trashëguar, si p.sh. Dritaret 95, 98, NT 4.0.
Për për të lejuar që këto sisteme operative të punojnë në domen, rekomandohet instalimi në makinat e klientit AktivDrejtoriaDSCLIENT.EXE(e vendosur në shpërndarjeDritaret 2000 Serverinë dosjen CLIENTS \ WIN9X) dhe bëni një sërë modifikimesh të politikës së sigurisë.
Për të kryer modifikimet, duhet të ekzekutoni snap-in e Politikës së Sigurisë së Domain Controller,
pastaj "Domain Security Policy" dhe çaktivizoni cilësimet e sigurisë të paraqitura.
Sipas informacioneve Microsoft, mjafton të çaktivizoni "Serverin e RrjetitMicrosoft: Nënshkruani në mënyrë dixhitale (gjithmonë) "në politikën e sigurisë së domenit Dritaret 2003.
Pas përfundimit të redaktimit të këtyre politikave të sigurisë, rekomandohet të rindizni serverin.
Ky artikull fokusohet në shërbimin e drejtorisë Active Directory, veçoritë dhe mekanizmat e rinj që ai ka fituar me ardhjen e Windows Server 2003 dhe mënyrën se si të gjitha këto përmirësime janë vënë në praktikë.I gjithë materiali i paraqitur është i ndarë në gjashtë tema. Ne do të flasim për zbatimin e Active Directory dhe integrimin me drejtoritë ekzistuese, administrimin e shërbimit, riprodhimin, besimin ndër-pyjor, menaxhimin e politikave të grupit dhe kufizimin e softuerit.
Zbatimi dhe integrimi
Në këtë kapitull, ne do të shikojmë veçoritë e reja të Active Directory nga disa këndvështrime: zbatimi i këtij shërbimi, integrimi i tij me drejtoritë e tjera, migrimi nga një version i mëparshëm (ose përmirësimi nga Windows NT 4.0, ose thjesht instalimi i Active Directory nga e para. ). Para së gjithash, duhet theksuar se veçoritë e reja të Active Directory me bazë Windows 2003 janë kryesisht të papajtueshme me Active Directory të bazuar në Windows 2000. Për shembull, aftësia për të riemërtuar një domen ose për të rivendosur një objekt të çaktivizuar më parë në një skemë mundet vetëm të përdoret kur drejtoria ndodhet në nivelin më të lartë funksional të mundshëm: niveli i domenit është Windows Server 2003 dhe niveli i pyllit është Windows Server 2003. Për të fituar akses në këto dhe veçori të tjera, duhet ta zhvendosni pyllin në nivelin më të lartë funksional. Le të shqyrtojmë se cilat janë këto nivele funksionale.Nivelet funksionale
Administratori rrit manualisht nivelin funksional
Vini re se ky klasifikim u prezantua në mënyrë specifike për të siguruar përputhshmërinë në nivelin e aftësive të papajtueshme me prapavijën. Edhe nëse instaloni Active Directory nga e para, pa kryer ndonjë përditësim dhe pa u kujdesur për integrimin, domethënë thjesht instaloni një server të ri, dhe mbi të - kontrolluesin e parë në pyll, do të merrni një sistem që fillimisht bie në niveli më i ulët. Me fjalë të tjera, niveli i domenit është Windows 2000 Mixed dhe niveli i pyllit është Windows 2000. Kështu, në këtë mënyrë, sistemi i instaluar përputhet plotësisht me të gjitha veçoritë që janë të disponueshme në Windows 2000 Active Directory. Për të përmirësuar në një nivel më të lartë, duhet të plotësohen disa kushte, për shembull, një domen mund të përmirësohet në një nivel Windows Server 2003 vetëm pasi të gjithë kontrollorët në atë domen të jenë migruar në këtë sistem operativ. Nëse flasim për kalimin nga Windows 2000, atëherë, natyrisht, procesi i tranzicionit konsiston në një përmirësim në faza të kontrolluesve ekzistues. Është e pamundur të transferohen të gjithë kontrollorët menjëherë nga Windows 2000 në Windows 2003, mund të bëhet vetëm një nga një. Derisa procesi i migrimit të kontrolluesit të përfundojë, niveli funksional i domenit mbetet në nivelin e Windows 2000 Mixed. Sapo të transferohen të gjithë kontrollorët, mund të shkoni në nivelin tjetër. Administratori ndërron nivelin funksional duke përdorur një tastierë të dedikuar Active Directory Domains Trusts. Administratori nuk është në gjendje të ulë, ai mund ta transferojë atë vetëm në një nivel më të lartë, në të cilin sistemi do të qëndrojë. Pasi një administrator ka zhvendosur një domen në një nivel të ri funksional, disa veçori të reja shfaqen në Active Directory.
Le të shqyrtojmë këto mundësi për thjeshtësinë e prezantimit në modalitetin e pyllit të pastër - Windows 2003 dhe të gjitha domenet - Windows 2003. Me fjalë të tjera, nivelet maksimale të mundshme dhe, në përputhje me rrethanat, gamën maksimale të veçorive të reja. Gjëja e parë që ia vlen të ndalemi është një funksion i quajtur Ndarjet e Aplikimit (në Rusisht - Ndarjet e aplikacionit).
Seksionet e aplikimit
Fakti është se Active Directory fillimisht u krijua si një shërbim drejtorie, jo vetëm për të ofruar, për shembull, shërbimin e rrjetit për klientët ose për të ruajtur llogaritë e këtyre klientëve, por edhe si ruajtje për aplikacionet e rrjetit. Prandaj, ka shumë informacione në Active Directory që vijnë nga aplikacionet. Kështu, në Windows 2000, pavarësisht sa aplikacione instalojmë në modalitetin e filtrimit me Active Directory, të gjitha informacionet rreth tyre do të bien në një direktori të vetme dhe, në përputhje me rrethanat, do të përsëriten në mënyrë të barabartë midis të gjithë kontrollorëve.
Windows 2003 ju lejon të dalloni dhe ndani informacionin që u përket aplikacioneve të lidhura në rrjet nga pjesa tjetër e drejtorisë duke krijuar ndarje për aplikacionet. Për shembull, informacioni i ruajtur nga serveri DNS mund të mos shpërndahet tek të gjithë kontrollorët në domen, por vetëm tek ata që janë specifikuar në mënyrë eksplicite. Në fakt, kjo nënkupton krijimin e ndarjeve. Së pari, mund të krijoni një seksion "drejtoritë", sikur ta ndani atë nga struktura e përgjithshme, dhe më pas të specifikoni që ky seksion duhet të ruhet si një kopje në kontrollorët e emërtuar. E njëjta gjë vlen edhe për çdo aplikacion tjetër. Nëpërmjet këtij mekanizmi, administratori që menaxhon sistemin mund të ndajë dhe ruajë në mënyrë më optimale informacionin e drejtorisë dhe aplikacionit. Për shembull, nëse dihet apriori që një aplikacion do të përdorë direktorinë vetëm në këtë kontrollues të veçantë (nuk do të kontaktojë me kontrollues të tjerë), atëherë në këtë mënyrë është e mundur të zvogëlohet ruajtja e drejtorisë vetëm në këtë kontrollues duke krijuar një unik seksion për këtë aplikacion.
Tipari tjetër është mbështetja për klasën e objektit InetOrgPerson (RFC 2798). Ai u shfaq vetëm në Windows 2003 dhe Windows 2000 nuk e mbështet këtë klasë të objektit. InetOrgPerson nevojitet për t'u integruar me drejtoritë e tjera LDAP (Novell, Netscape). Active Directory di të punojë me këtë klasë, të krijojë objekte të kësaj klase, është gjithashtu i mundur migrimi transparent dhe i qetë i objekteve të llojit InetOrgPerson nga drejtoritë e tjera Active Directory. Prandaj, bëhet e mundur portimi i aplikacioneve të shkruara për drejtoritë e tjera LDAP. Nëse aplikacionet përdorin këtë klasë, atëherë ato mund të transferohen pa dhimbje, në mënyrë transparente në Active Directory, duke ruajtur të gjithë funksionalitetin.
Më tej, u bë i mundur riemërtimi i domeneve. Në këtë rast, duhet kuptuar qartë se riemërtimi i një domeni nuk do të thotë thjesht ndryshim i emrit të domain-it (domeni quhej më parë "abcd", por tani quhet "xyz"). Në fakt, struktura e drejtorisë është një pemë, ka shumë domene në të dhe vetë domenet janë të organizuar në një hierarki. Riemërtimi i domenit është në fakt ristrukturim pyjor. Ju mund të riemërtoni një domen në mënyrë që të shfaqet në një pemë tjetër.
Riemërtimi i domenit. Shërbimi Rendom.exe
Konsideroni domenin Contoso në vartësi të domenit Sales në pemën WorldWideImporters.com. Mund ta riemërtoni dhe ta emërtoni Contoso.Fabrikam.com. Ky nuk është thjesht një riemërtim, është një transferim i një domeni nga një pemë në tjetrën, domethënë një procedurë mjaft jo e parëndësishme. Është logjike të supozohet se riemërtimi i një domeni mund të çojë në krijimin e një peme të re. Ju mund ta riemërtoni domenin Contoso që ishte në varësi të domenit Sales në Contoso.com. Atëherë domeni do të bëhet paraardhësi i një peme tjetër në të njëjtin pyll. Kjo është arsyeja pse procesi i riemërtimit të domenit mund të konsiderohet një procedurë shumë e ndërlikuar dhe jo e parëndësishme.
Në Windows 2000, nuk kishte një mundësi të tillë për të riemërtuar një domen në kontekstin e mësipërm. Nëse krijohet një domen, atëherë ai do të mbetet me emrin e tij gjatë gjithë jetës. Mënyra e vetme për të ndryshuar situatën është të fshini domenin dhe më pas ta rikrijoni atë me një emër të ri.
Windows 2003 vjen me një mjet të quajtur Rendom, fjalë për fjalë nga fjalët Rename Domain. Shërbimi Rendom.exe është një mjet i linjës së komandës që mund të përdoret për të riemërtuar një domen. Vërtetë, ky proces përbëhet nga gjashtë faza. Për më shumë informacion, shihni Ndihmën e Windows 2003, dokumentet teknike specifike të Microsoft .NET dhe MSDN. Ai përshkruan në detaje se si të modelohet, dizajnohet dhe kryhet procesi i riemërtimit të domenit duke përdorur mjetin random. Në çdo rast, ky është një proces kompleks, me shumë hapa që kërkon përgatitje të kujdesshme: ka shumë lidhje dhe tregues, emra dhe ndërvarësi të tjera që formohen kur krijohen domenet. Është e pamundur t'i marrësh të gjitha me një goditje.
Plani i zbatimit të Active Directory tani përfshin një mënyrë për instalimin e një kontrolluesi të domenit nga media e lëvizshme. Çfarë nënkuptohet? Një situatë shumë e zakonshme është kur një ndërmarrje zbaton Active Directory në zyra të largëta: komunikimi me një zyrë në distancë është i dobët, linja të dobëta komunikimi midis zyrave qendrore dhe degëve. Sidoqoftë, duhet të instaloni një kontrollues të ri domeni në zyrën e degës. Kur krijohet një kontrollues i ri në një domen ekzistues, programi DCPromo komunikon me kontrollorët ekzistues që punojnë dhe shkarkon në vete të gjithë bazën e të dhënave dhe kopjet që mund të mblidhen nga kontrolluesi i tij i domenit. Nëse kjo bazë të dhënash zë disa dhjetëra ose qindra kilobajt, domethënë është bosh (zë disa qindra kilobajt si parazgjedhje), atëherë nuk ka asnjë problem. Por nëse flasim për një sistem pune, në të cilin baza e të dhënave mund të zërë dhjetëra ose qindra megabajt, atëherë transferimi i tij mund të rezultojë të jetë thjesht një detyrë e pamundur. Prandaj, në këtë situatë, ju mund ta zgjidhni problemin në një mënyrë shumë të thjeshtë. Duke përdorur Windows NT Back-up, krijoni një arkiv në modalitetin "System State", domethënë zgjidhni opsionin Back-up-> SystemState në panelin e Windows NT Back-up. Pas kësaj, shkruani të gjitha kopjet rezervë të krijuar në një medium, për shembull, në një CD ose DVD, merrni këtë disk dhe ejani me të në një zyrë të largët, atje rivendosni të gjitha informacionet nga arkivi duke përdorur të njëjtin Windows NT Back- lart. Thjesht duhet të bëni rikuperimin jo si parazgjedhje, por në një drejtori tjetër, në mënyrë që vetë skedarët të vendosen thjesht në disk. Natyrisht, nuk ka nevojë të zëvendësoni informacionin e sistemit që është në kompjuterin ekzistues. Më pas, ekzekutoni programin DCPromo me tastin "/ adv" dhe specifikoni shtegun për në depo ku ndodhet skedari i papaketuar. Pas kësaj, procesi i instalimit të një kontrolluesi të ri do të krijojë kopjen e tij bazuar në informacionin nga media të lëvizshme. Në këtë rast, do t'ju duhet ende një lidhje me zyrën qendrore, sepse përveç transferimit të një kopjeje, duhet të vendosni edhe marrëdhënie të caktuara me domenin ekzistues. Prandaj, duhet të ketë një lidhje, por kërkesat për të janë ulur ndjeshëm: edhe një linjë shumë e dobët do të bëjë. Në skenarin e mësipërm, 95% e informacionit që duhej të transferohej në kontrolluesin e ri u transferua në median e sistemit dhe linja e komunikimit ndërmjet zyrës qendrore dhe degës nuk duhej të mbingarkohej.
Është e rëndësishme të theksohet se klientët vazhdojnë të përdorin Windows NT 4.0 shumë shpesh. Windows 2003 ju lejon të migroni nga drejtoritë ekzistuese (NT 4 ose Windows 2000) më shpejt, më pa dhimbje dhe me efikasitet. Vegla e Migrimit Active Directory (ADMT) i shërben këtij qëllimi. ADMT do të ndihmojë me migrimin nga Windows NT në Windows 2003, si dhe nga Windows 2000 në Windows 2003 në rast se kërkohet një lloj ristrukturimi i domenit, transferimi i llogarisë, etj.
Mjeti i Migrimit të Drejtorisë aktive (ADMT) Wizards v.2
Vegla e Migrimit Active Directory është një koleksion magjistarësh. Secili mjeshtër kryen një detyrë specifike (shih figurën e mësipërme). Është e rëndësishme që shumica e magjistarëve të kenë një modalitet të quajtur "Testoni cilësimet e migrimit dhe migroni më vonë" - duke simuluar procesin pa kryer në të vërtetë asnjë operacion. Me fjalë të tjera, procesi i migrimit imitohet dhe administratori mund të shohë se cili do të jetë rezultati dhe si do të ndodhë gjithçka. Veprimet reale nuk kryhen në këtë mënyrë. Kur rezultatet e modalitetit të testimit janë të kënaqshme, mund t'i kërkoni Veglës së Migrimit Active Directory të kryejë një migrim të plotë.
Administrata
Ky kapitull fokusohet në administrimin instrumental. Në parim, nuk mund të thuhet se këtu janë shfaqur shumë veçori të reja shumë të dobishme. Megjithatë, ka ende diçka. Për shembull, mbështetje Drag & Drop: përpara lëshimit të Windows 2003, nuk kishte mbështetje Drag & Drop. Tani mund të klikoni mbi objektin "përdorues" dhe ta tërhiqni me miun në kontejnerin e ri. Është shumë komode. Është për të ardhur keq që nuk kishte një mekanizëm të tillë në versionet e mëparshme.Një tastierë shtesë është shfaqur për ruajtjen e kërkesave të drejtorisë. Active Directory dihet se është një direktori LDAP. Kjo do të thotë që pyetjet mund të bëhen në drejtoritë LDAP duke përdorur gjuhën standarde të pyetjeve. Nëse këto kërkesa bëhen dhe nuk memorizohen, atëherë kjo është një barrë shtesë për administratorin: sa herë që ai duhet të rishkruajë kërkesën ose ta kopjojë atë nga ndonjë dokument. Për të thjeshtuar këtë proces, ekziston një seksion i quajtur Saved Queries. Në fakt ruan ato kërkesa që administratori ose përdoruesi ka futur në tastierë.
Konsola e pyetjeve të drejtorisë së ruajtur
Tani, kur kjo kërkesë kërkohet përsëri, ju vetëm duhet ta zgjidhni atë nga lista. Për më tepër, rezultatet e pyetjes shfaqen në anën e djathtë të tastierës: në të majtë, mund të zgjidhni pyetjen me interes dhe të klikoni mbi të, dhe rezultati i përpunimit do të shfaqet në të djathtë.
Windows Server 2003 përmban shumë programe të linjës së komandës. Kjo duket e çuditshme dhe madje, ndoshta, kontradiktore. Duket se Microsoft ka promovuar një ndërfaqe grafike gjatë gjithë këtyre viteve, lehtësinë e menaxhimit duke përdorur një ndërfaqe grafike, por në të njëjtën kohë, rezulton, po lëshon shërbime të reja të linjës së komandës. Këtu janë vetëm gjashtë prej tyre për Active Directory.
Shërbimet e linjës së komandës
Në fakt, nuk ka asnjë kontradiktë në këtë. Fakti është se shumë operacione që duhet të kryejë një administrator janë më të përshtatshme për t'u bërë në formën e skedarëve të grupit. Për shembull, kur bëhet fjalë për modifikimin e një atributi për objekte identike ose të ngjashme, shpesh është më e përshtatshme për ta bërë këtë në vijën e komandës duke shkruar një skript të përshtatshëm. Nëse keni nevojë të ndryshoni disa parametra, për shembull, telefonat e përdoruesve që janë regjistruar në llogari (të gjithë në departament mund të ndryshojnë telefonin), mund të shkoni në secilën llogari dhe të ndryshoni telefonin. Nëse e bëni këtë përmes ndërfaqes grafike, do t'ju duhet të kryeni të paktën njëqind operacione për të ndryshuar objektin "Llogaria". Ju gjithashtu mund të merrni një komandë të thjeshtë të quajtur DSMod (modifikimi i objektit), të formoni një rresht për të shkruar informacione të reja, më pas të shkruani një skript me kushtet e kërkimit dhe të ekzekutoni gjithçka si një komandë. Për operacione të tilla (dhe ka shumë prej tyre në punën e përditshme të një administratori), duhet të përdoren shërbimet dhe skriptet e linjës së komandës.
Replikimi
Çështjet e riprodhimit janë shumë të rëndësishme në zbatimin e Active Directory, projektimin dhe planifikimin e infrastrukturës.Windows 2000 ka kufizime të caktuara në numrin e vendeve në të cilat topologjitë mund të gjenerohen automatikisht. Ekziston një shërbim i quajtur Gjeneruesi i Topologjisë Ndër-Site (ISTG). Kur krijohen dy ose tre, dhe mundësisht pesë ose edhe dhjetë, faqe, shërbimi ISTG gjeneron automatikisht një topologji replikimi midis sajteve, zgjedh serverët pritës dhe përcakton se si do të ekzekutohet skripti i replikimit. Gjithçka është në rregull, por nëse ka rreth dyqind faqe, atëherë shërbimi ISTG nuk mund të përballojë vëllimin e informacionit dhe ai ngec në një lak. Prandaj, për Windows 2000 ekziston një rekomandim shumë i qartë - numri i faqeve nuk duhet të jetë më shumë se dyqind, nëse është e nevojshme që topologjia e replikimit ndërmjet sajteve të gjenerohet automatikisht. Nëse ka më shumë sajte, gjenerimi automatik duhet të çaktivizohet dhe e gjithë kjo duhet të konfigurohet manualisht.
Problemi në dukje nuk është i dukshëm, por njerëzit me të vërtetë përballen me të kur bëhet fjalë për zbatimin e Active Directory në sistemet me shumë faqe. Windows Server 2003 e fshin këtë problem. Ky sistem implementon një gjenerator krejtësisht të ri të topologjisë ndër-site, i cili funksionon në një mënyrë krejtësisht të ndryshme dhe gjeneron topologji duke përdorur një algoritëm të ri. Numri i vendeve që tani mund të gjenerohen automatikisht (topologjia e të cilave mund të gjenerohet automatikisht duke përdorur shërbimin ISTG) ishte vetëm disa mijëra në teste. Nuk dihet se kujt mund t'i duhen kaq shumë site, por, megjithatë, mund të harrohet çdo kufizim vetëm duke modifikuar mekanizmin ISTG.
Për më tepër, mund të çaktivizoni ngjeshjen e trafikut midis faqeve, nëse, natyrisht, ka kuptim. Aktivizimi i kompresimit rrit ngarkesën në procesorët e serverëve pritës. Nëse rrjeti e lejon atë, atëherë mund të ketë kuptim të fikni kompresimin në mënyrë që të transferoni më shumë të dhëna në rrjet, por atëherë kontrollorët do të jenë më pak të ngarkuar. Ju mund të bëni të kundërtën: nëse keni nevojë të kurseni në trafikun e rrjetit, ka kuptim të aktivizoni kompresimin.
Ekziston një kufizim tjetër në mënyrën se si Active Directory përsërit grupet në Windows 2000. Bëhet fjalë për një grup sigurie. Kur bëhet fjalë për caktimin e të drejtave për qasje në objekte të caktuara, zakonisht është praktikë e mirë administrative t'u caktohet të drejta grupeve. Përdoruesit ose përfshihen në grup ose përjashtohen. Një grup është saktësisht i njëjti objekt në Active Directory si çdo objekt tjetër. Objekti ka atribute. E veçanta e grupit është se lista e anëtarëve të grupit nuk është disa atribute, është një atribut me një numër të madh vlerash, i ashtuquajturi "Atribut me shumë vlera" (në fakt, është një atribut me shumë vlera). Mekanizmi i replikimit të Active Directory është i grimcuar deri në nivelin e atributeve. Nëse objekti modifikohet, sistemi do t'i përsërisë këto ndryshime pikërisht për ato atribute që kanë ndryshuar, dhe jo për të gjithë objektin. Tani le të kthehemi te një grup që ka një atribut të përbërë, për shembull, nga njëqind vlera. Nëse grupi përfshin njëqind njerëz, atëherë ky atribut ka njëqind vlera. Dhe nëse 5 mijë? Kufizimi është si më poshtë: nëse anëtarësimi në grup është 5 mijë objekte, atëherë përsëritja e një objekti të tillë bëhet i pamundur. Sapo shfaqen 5001 anëtarë të grupit, procesi i riprodhimit të këtij grupi në Windows 2000 shkatërrohet menjëherë. Madje ekziston një metodë e dokumentuar sulmi kur një administrator, i ofenduar ndaj dikujt, mund të shkatërrojë procesin e riprodhimit në sistem, thjesht duke shkruar një skenar që do ta vendosë në mënyrë ciklike në të cilin - grupi prej 5 mijë anëtarësh. Pastaj ka probleme me replikimin e drejtorisë. Windows Server 2003 Active Directory prezanton një mekanizëm shtesë të quajtur "Linked Value Replication".
Në këtë rast, mekanizmi synon vetëm të përsërisë atributet që kanë shumë vlera. Kjo do të thotë, tani, kur përdoret ky mekanizëm, anëtarësimi në grup përsëritet në nivelin e anëtarëve individualë. Nëse përfshini një person të ri në grup, atëherë replikimi nuk do të kryhet për të gjithë listën, si atribut, por vetëm për vlerat për shkak të mekanizmit të Replikimit të vlerave të lidhura.
Një çështje tjetër e përsëritjes në lidhje me katalogun global. Vështirësia ishte se si sillet katalogu global kur administratori modifikon të ashtuquajturin Partial Atribute Set (PAS) - një listë e atributeve që duhet të vendosen në katalogun global.
Ndoshta ka kuptim të sqarohet. Çdo atribut ka një vlerë statusi: nëse duhet vendosur në katalogun global apo jo. Katalogu global është një katalog shtesë që përmban informacion për të gjitha objektet që janë në katalog, por jo plotësisht, por saktësisht lista të atyre atributeve që janë shënuar si të eksportuara në katalogun global. Kështu, për shembull, për çdo përdorues në katalogun global vendoset emri i tij, adresa e emailit, mundësisht ndonjë parametër tjetër shtesë. Vetëm disa parametra në mënyrë që të mund ta gjeni shpejt këtë përdorues në drejtori.
Problemi lind kur administratori modifikon skemën dhe për ndonjë atribut tjetër ndryshon statusin, duke e kaluar në këtë modalitet. Kishte një atribut që nuk hyri në katalogun global, administratori shkoi dhe ndryshoi skemën, e përfshiu këtë atribut në PAS, pas kësaj, përveç riprodhimit të të gjithë skemës, në Windows 2000 do të ketë një risinkronizim të plotë të të gjithë serverëve që ruajnë katalogun global. Kjo do të shkaktojë një ngarkesë shumë të konsiderueshme të trafikut të rrjetit dhe disa edhe ndërprerje të brendshme të shërbimit të drejtorisë.
Windows Server 2003 e rregullon këtë problem. Replikimi dhe sinkronizimi i katalogut global do të bëhet vetëm në masën e atributit të shtuar. Kjo do të thotë, kur kryhet operacioni i shtimit të një atributi në PAS, informacioni thjesht mblidhet nga ato objekte që kanë këtë atribut. Dhe më pas ai [atributi] shtohet në katalogun global. Sinkronizimi i plotë nuk ndodh.
Një tjetër veçori shtesë e katalogut global është mekanizmi universal i memorizimit të grupeve. Më lejoni t'ju kujtoj se ekzistojnë tre lloje grupesh në Active Directory: lokale, globale dhe universale. Lokale dhe globale ruhen me kopjen në kontrollues, grupet universale ruhen në katalogun global. Kur një punonjës i zyrës në distancë dëshiron të hyjë në rrjet, sistemi do të regjistrojë përdoruesin në rrjet dhe do të krijojë kontekstin e tij të sigurisë. Për ta bërë këtë, ajo duhet të zbulojë se cilit grup i përket përdoruesi. Windows 2000 mund të mësojë rreth grupeve lokale dhe globale në kontrolluesin e tij më të afërt, por bazuar në dizajnin e rrjetit, katalogu global ndodhet në zyrën qendrore. Ju mund të kontrolloni anëtarësimin universal të një përdoruesi në grup vetëm duke kërkuar në katalogun global. Prandaj, në momentin e regjistrimit, është e nevojshme të dërgoni një kërkesë në zyrën qendrore. Nëse lidhja prishet dhe katalogu global nuk është i disponueshëm, atëherë përdoruesit do t'i mohohet regjistrimi (si parazgjedhje në këtë situatë). Vendosja e regjistrit për të injoruar gabimet që lidhen me anëtarësimin në grup universal krijon një vrimë sigurie.
Windows Server 2003 ofron një mekanizëm universal të memorizimit të grupeve. Tani një lidhje me katalogun global kërkohet vetëm në regjistrimin e parë të përdoruesit. Këto grupe shkojnë te kontrolluesi dhe ruhen atje. Çdo regjistrim i mëpasshëm i përdoruesit nuk kërkon një goditje sepse anëtarësimi universal në grup është tashmë i njohur. Në këtë rast, memoria e informacionit përditësohet në një mënyrë të caktuar: në intervale të dakorduara, kërkohet informacion nga katalogu global për të përditësuar informacionin rreth anëtarësimit të përdoruesve në grupe universale.
Besimi mes pyjeve
Besimi midis pyjeve lejon integrimin e organizatave plotësisht të pavarura. Active Directory është një strukturë në të cilën mund të ketë një pemë domenesh me një domen rrënjë, ose mund të ketë një pyll të përbërë nga disa pemë. Një karakteristikë e një pylli është se për të gjitha domenet e përfshira në të, për të gjitha ato pemë, ekzistojnë tre entitete identike - kjo është një skemë e vetme, kontejnerë të vetëm konfigurimi dhe një katalog i përbashkët global për pyllin. Natyrisht, hapësira e tyre e emrave është e ndryshme, megjithëse mund të emërtoni të gjithë pyllin. Nëse kjo nuk bëhet, atëherë çdo pemë do të ketë hierarkinë e vet të emrave. Ju mund ta bëni atë në mënyrë që të gjitha pemët në pyll të rreshtohen në të njëjtin sistem emërtimi.
Besimi mes pyjeve
Kur bëhet fjalë për integrimin dhe ndërveprimin midis dy pyjeve të ndryshëm, zakonisht ekzistojnë dy sisteme të ndryshme të ndërtuara në mënyrë të pavarur nga njëri-tjetri. Megjithatë, kërkohet që përdoruesit në një pyll (të përcaktuar vetëm në një pyll) të kenë akses në objektet e përcaktuara në pyllin tjetër. Për ta bërë këtë, ju duhet të krijoni një marrëdhënie besimi.
Windows 2000 ju lejon të krijoni marrëdhënie të drejtpërdrejta dhe kalimtare midis domeneve specifike nga pyje të ndryshëm, por kjo do të funksionojë vetëm për këto fusha. Windows Server 2003 prezanton një lloj të ri besimi të quajtur Marrëdhënie me Domenin Ndër-Pyjor. Këto marrëdhënie janë kalimtare për domenet që përfshihen në secilin prej pyjeve. Kjo do të thotë, kur dy pyje janë të lidhur me një marrëdhënie besimi, përdoruesit nga çdo domen në një pyll mund të shohin dhe aksesojnë objektet në pyllin tjetër në mënyrë plotësisht transparente.
Ju mund të bëni një zinxhir, për shembull, nga tre pyje A, B, C. A beson B dhe B beson C. Nga kjo nuk rezulton se një marrëdhënie besimi është krijuar gjithashtu midis pyllit A dhe C. Është si Windows NT 4: marrëdhënie jo kalimtare në kuptimin që ato nuk janë kalimtare nëpër pyje. Por midis domeneve që lidhin dy pyjet, marrëdhënia është kalimtare.
Menaxhimi i politikave të grupit
Politika e Grupit është mjeti kryesor që përdoret për të menaxhuar pothuajse të gjitha nënsistemet dhe komponentët brenda Windows. Qoftë një stacion pune dhe cilësimet e tij, qoftë një server dhe shërbimet e tij të rrjetit, Active Directory, cilësimet e sigurisë - e gjithë kjo konfigurohet përmes politikave të grupit.Motori i Politikës së Grupit ju lejon të caktoni politika për kontejnerët, domethënë njësitë organizative, faqet dhe domenet. Politika e grupit nuk mund t'i caktohet një përdoruesi specifik. Në të njëjtën kohë, duke qenë se struktura e kontejnerëve në Active Directory është hierarkike, mund të caktoni politika të ndryshme grupi në nivele të ndryshme. Prandaj, mekanizmat e trashëgimisë funksionojnë. Administratori ka disa funksione për të bllokuar trashëgiminë ose, anasjelltas, për të zbatuar politikën e trashëgimisë. Administratori ka aftësinë për të filtruar aplikimin e politikave të grupit përmes të drejtave të aksesit. Në çdo rast, një numër i madh detyrash zgjidhen duke përdorur jo më pak mjete. Ekziston një mjet specifik për çdo detyrë. Kështu, për të menaxhuar Politikën e Grupit në Windows 2000, duhet të dini rreth gjashtë mjete dhe t'i përdorni ato për detyra të ndryshme.
Windows Server 2003 e bën jetën më të lehtë për një administrator duke prezantuar një mjet të posaçëm të quajtur Paneli i Menaxhimit të Politikave të Grupit. Kjo është një tastierë e integruar ose e konsoliduar që përfshin një ndërfaqe për të kryer absolutisht të gjitha detyrat që lidhen me Politikën e Grupit. Nuk keni më nevojë të shqetësoheni se ku kryhet ky operacion - gjithçka është në panelin e menaxhimit të politikave të grupit, ndërsa tastiera grupon informacionin në një mënyrë shumë logjike dhe intuitive.
Përveç të qenit një paketë veglash grafike e konsoliduar, Paneli i Menaxhimit të Politikave të Grupit shton një sërë veçorish të reja në menaxhimin e Politikave të Grupit. Për shembull, funksionet për arkivimin dhe rivendosjen e politikave të grupit, funksionet për kopjimin e politikave të grupit midis domeneve në të njëjtin pyll dhe import/eksportim të politikave të grupit.
Konsola e menaxhimit të politikave të grupit, si pjesë e Windows Server 2003, mungon. Duhet të shkarkohet nga serveri i uebit i Microsoft ( http://www.microsoft.com/downloads). Mund ta instaloni konsolën ose në Windows Server 2003 ose në Windows XP me Service Pack 1 dhe .NET Framework. Kështu, duke përdorur panelin e menaxhimit të politikave të grupit, mund të menaxhoni Politikat e Grupit pa qenë as drejtpërdrejt në kontrolluesin e domenit. Mund ta instaloni konsolën direkt në një stacion pune Windows XP dhe nga ai stacion pune të menaxhoni në mënyrë qendrore të gjitha Politikat e Grupit në pyll. Përveç kësaj, paneli i menaxhimit të politikave të grupit përfshin dy magjistarë që ju lejojnë të analizoni dhe modeloni procesin e aplikimit të Politikës së Grupit. E para quhet "Group Policy Application Results Wizard" dhe tregon se cilat politika janë aplikuar në këtë kompjuter të veçantë, cilat vlera kanë ndryshuar dhe nga cilat politika janë marrë këto vlera. Nëse diçka nuk zbatohet, magjistari tregon pse nuk zbatohet.
Është e qartë se ky mekanizëm kërkon lidhje me kompjuterin që analizohet. Kjo do të thotë, në modalitetin e lidhjes në distancë, administratori, natyrisht, mund të lidhet me çdo stacion pune dhe të kërkojë të analizojë se si janë zbatuar politikat e grupit në këtë makinë. Mund ta bëni ndryshe: përpara se të vendosni dhe zbatoni sistemin e Politikës së Grupit, mund të simuloni se çfarë do të ndodhë me përdoruesin ose me kompjuterin kur politika e grupit zbatohet në të.
Procesi i një modelimi të tillë kryhet duke përdorur një tastierë të vendosur në panelin e menaxhimit të politikave të grupit të quajtur Modelimi i procesit. Simulimi nuk kërkon lidhje me kompjuterin në studim. Punon vetëm me informacionin e ruajtur në Active Directory. Është mjaft e lehtë të kesh akses në kontrolluesin e Windows Server 2003 Active Directory. Për shembull, mund të imagjinoni se çfarë do të ndodhë nëse përdoruesi hyn në një grup sigurie, mund ta vendosni me kusht përdoruesin në një kontejner dhe të shihni se çfarë ndodh.
Disa veçori të tjera të reja të panelit të menaxhimit të politikave të grupit janë kopjet rezervë dhe rikthimet e politikës së grupit. Vetë objektet mund të ruhen si skedar në një drejtori specifike. Më pas ato mund të rikthehen në rast të ndonjë problemi ose kur eksperimentoni me një domen, Active Directory ose politika grupi. Është e rëndësishme që ju mund të riktheni vetëm një politikë grupi në të njëjtin domen në të cilin është rezervuar. Vetëm GPO-ja restaurohet vetvetiu: çdo gjë që i është bashkangjitur shtesë nuk mund të arkivohet, dhe në përputhje me rrethanat, ajo gjithashtu mund të restaurohet.
Le të kalojmë te Instrumentet e Menaxhimit të Windows (WMI). Është një teknologji që tani është qendrore për menaxhimin e sistemeve. WMI përdoret pothuajse kudo: çdo shërbim përdor WMI në një mënyrë ose në një tjetër.
Duke përdorur WMI, mund të merrni informacione për të gjitha objektet që ekzistojnë në sistem, qofshin ato pajisje harduerike ose ndonjë lloj komponenti softuerësh. Absolutisht çdo informacion mund të merret duke kërkuar në bazën e të dhënave WMI. Për shkak se ekziston një mekanizëm i tillë, Microsoft ka zhvilluar funksionalitet shtesë për aplikimin e Politikës së Grupit. Tani mund të filtroni aplikimin e politikave të grupit bazuar në aksesin në bazën e të dhënave WMI. Kjo do të thotë, ju mund të caktoni fjalë për fjalë një filtër në Politikën e Grupit. Për shembull, nëse përgjigja ndaj një pyetjeje që i dërgohet WMI është po, atëherë aplikohet Politika e Grupit dhe nëse është negative, atëherë Politika e Grupit nuk zbatohet.
Politika e kufizimit të aplikimit
Është një politikë e centralizuar që mund të zbatohet në të gjithë ndërmarrjen. Me ndihmën e tij, administratori ka aftësinë të kufizojë listën e programeve që përdoruesit mund të ekzekutojnë në stacionet e tyre të punës. Përkundrazi, administratori mund të specifikojë një listë të programeve që përdoruesit nuk mund t'i ekzekutojnë në makinat e tyre në asnjë rrethanë.Për të zbatuar këtë mekanizëm, përdoret parimi: bazë plus përjashtim. Prandaj, linjat bazë mund të jenë dy llojesh për skenarë të ndryshëm. Niveli i parë bazë quhet "I pa lejuar": të gjitha programet janë të ndaluara si parazgjedhje, përveç atyre të lejuara në përjashtimet, në rregullat shtesë. E dyta quhet e pakufizuar: të gjitha programet lejohen, por lista e rregullave shtesë përmban përjashtime, domethënë një listë të zezë të programeve që nuk mund të hapen.
Rregullat mund të jenë katër llojesh (të renditura sipas përparësisë): Certifikata (përparësia më e lartë), Hash, Shtegu dhe Zona. Prioriteti është i rëndësishëm kur ka disa politika që përcaktojnë të njëjtin aplikim me rregulla të ndryshme. Për shembull, një politikë lejon të ekzekutohen të gjitha programet që ndodhen në drejtorinë "ABCD", ndërsa një politikë tjetër ndalon ekzekutimin e programeve që kanë një hash të tillë. Nëse rezulton se ky program, i cili është i ndaluar të ekzekutohet, ndodhet në direktorinë e lejuar ABCD, atëherë rregulli i ndalimit do të jetë më i fortë, sepse rregulli hash "fiton" rregullin përgjatë rrugës. Për këtë përdoret prioriteti.
