Seega eeldame, et meil on installitud Windows 2003 Server ja sellesse on juurutatud Active Directory (edaspidi AD). AD võimaldab meil hallata arvuteid ja kasutajaid: seada piiranguid või, vastupidi, seada erinevaid soodsaid töötingimusi. Nüüd on aeg liikuda edasi kasutajate ja arvutite loomise juurde. Kõigepealt peate looma kasutaja ja me teeme seda spetsiaalses konsoolis, millele pääseb ligi järgmiselt:
- "START"? "Seaded"? "Kontrollpaneel" ? "Administratsioon"? "Aktiivne kataloog – kasutajad ja arvutid";
- Või menüüs: "START"? "Lööge välja" sisestage käsk dsa.msc.
Mõned ütlevad, et kasutajate loomine toimub kasutajakontode utiliidi abil, kuid pärast Active Directory installimist pole see utiliit meile enam saadaval. Saate seda kontrollida juhtpaneelilt vaadates.
Avaneb programm Active Directory kasutajad ja arvutid, mis koosneb kahest aknast. Vasakul näeme parameetritega kaustu ja paremal asuvad parameetrid ise nendes kaustades.
Selles etapis oleme huvitatud kaustast "Kasutajad". Paremklõpsake sellel ja valige "Loo"? "Kasutaja"
Meil on aken uue kasutaja loomiseks. Seadke vajalikud parameetrid ja liikuge edasi.
Kui kõik oli õigesti tehtud, kuvab programm teate uue kasutaja loomise kohta.
Kui näete akent Active Directory teatega: "Windows ei saanud parooli määrata Kasutajanimi sest: parool ei vasta poliitikanõuetele. Kontrollige parooli minimaalset pikkust, keerukust ja selle erinevust varem kasutatud paroolidest,“ seejärel kontrollige esmalt, nagu teatest selgub, poliitikat.
Neile, kes ei mäleta, on domeeni turvapoliitika konfigureeritud samanimelises utiliidis. Alloleval ekraanipildil on näha, kuidas ja kus seadistada loodud paroolide piiranguparameetreid.
Läheme nüüd vastloodud kasutaja omadustesse ja vaatame, mida saame selle seadetes muuta.
Vahekaart "Grupi liige": siin saate lisada meie kasutaja erinevatesse gruppidesse.
Vahekaart "Kaugjuhtimine" võimaldab lubada/keelata kasutajal kaugühenduse kaudu domeeniga ühenduse loomist.
Veel üks huvitav vahekaart on "Konto", siin saate muuta kasutajanime ja määrata parooli jaoks erinevaid parameetreid.
Arvuti lisamine domeeni
Kõik on arvuti domeeniga ühendamiseks valmis. Arvutid, milles töötab Windows 2000/XP, lisatakse serveriga ühendamisel automaatselt rühma Arvutid. Selleks tuleb iga kliendi puhul valida "Minu arvuti" ? "Omadused"? "Arvuti nimi .
Pärast seda on meil kaks võimalust: kas helistada võrgutuvastusviisardile, klõpsates nuppu "Identifitseerimine", või sisestada kohe vajalikud parameetrid, klõpsates nuppu "Muuda".
Kui teie võrgus on arvutid, milles töötab Windows 98, ühendatakse need Active Directory klientidena; sel juhul arvutikontosid ei looda. Nende töötamiseks peate installima programmi dsclient.exe, mis on saadaval Win2k3 installikettal.
Nii et määrake domeeninimi ja klõpsake nuppu OK.
Vaikimisi on ainult grupi liikmetel õigus arvutit domeeniga ühendada. "Domeeni administraatorid". Selle toimingu lubamiseks teistele kasutajatele peate valima domeenikontrolleris vajaliku kasutaja ja tegema ta grupi liikmeks "Domeeni administraatorid". Selle kohta, kus seda teha, on kirjutatud artikli alguses.
Järgmises etapis sisestame lihtsalt selle kasutaja sisselogimise ja parooli, kellel on lubatud domeeni lisada arvuti.
Kui kõik on korras, näeme akent, mis näitab edukat ühendust domeeniga.
Arvuti taaskäivitamisel saame domeeni registreerida. Selleks sisestage varem domeenikontrolleris registreeritud kasutajanimi ja parool, valige domeen ja logige sisse.
Peale esmaregistreerimist ilmub meie arvuti Arvutid konteinerisse, kus saame seda arvutit juba hallata.
See on praeguseks kõik, jätkub järgmistes artiklites...(odnaknopka)
Esialgne olukord - domeen on olemas, testfirma.local. Selle lihtsustamiseks on üks domeenikontroller, mis töötab Windows Server 2003 nimega dc01. DNS-server on samuti peal, põhitsoon on integreeritud Active Directorysse.
Kontrolleri võrgu seaded:
IP-aadress - 192.168.1.11
Mask - 255 255 255,0
Värav – 192.168.1.1
DNS-server - 192.168.1.11
Ülesanne- installige domeenikontroller teise serverisse, mis töötab Windows Server 2008 R2 all, alandage vana kontroller liikmeserveriks (ja seejärel võimaluse korral eemaldage see üldse) ja kandke kõik vana kontrolleri funktsioonid üle uude.
Ettevalmistustööd
Ettevalmistustööna peaksite käivitama käsud netdiag(see käsk on olemas ainult 2003. aasta serveris, tugitööriistades) ja dcdiag, veenduge, et vigu pole, ja kui neid on, parandage need.
Kõigepealt määrame käsuga domeenis FSMO rollide omaniku:
Kasulikkus netdom.exe Windows Server 2003 ei ole vaikimisi kaasas, seega peate installima Tugitööriistad(http://support.microsoft.com/kb/926027). Vaadeldaval juhul pole sellel mõtet, kuna on ainult üks domeenikontroller ja FSMO rollid on endiselt kõik sellel. Neile, kellel on rohkem kui üks domeenikontroller, on see kasulik teada, milliseid rolle ja kust üle kanda. Käsu väljund on umbes selline:
IP-aadress - 192.168.1.12
Mask - 255 255 255,0
Värav – 192.168.1.1
DNS-server - 192.168.1.11
ja sisestage see olemasolevasse domeeni, testfirma.local meie puhul.
Metsa ja domeeni skeemi värskendamine
Järgmine samm on metsa- ja domeeniskeemi värskendamine Windows Server 2008 R2-le, mida teeme utiliidi abil. adprep. Sisestage Windows Server 2008 R2 installiketas serverisse dc01. Kettal huvitab meid kaust X:\support\adprep (X: on DVD-ROM-i draivi täht). Kui teie Windows Server 2003 on 32-bitine, peaksite käivitama adprep32.exe, 64-bitise puhul adprep.exe.
Käsu täitmiseks pole metsa funktsionaalrežiimi nõudeid. Käsu täitmiseks adprep /domainprep Domeen peab kasutama vähemalt Windows 2000 algtaseme domeeni funktsionaalset taset.
Sisestage käsk:
X:\support\adprep>adprep32.exe /forestprep
Pärast hoiatust, et kõigil Windows 2000 domeenikontrolleritel peab olema vähemalt hoolduspakett SP4, sisestage KOOS ja vajutage sisestusklahvi: 
Käsk võtab üsna kaua aega, mitu minutit ja peaks lõppema järgmise fraasiga:
Adprep uuendas metsaülese teabe edukalt.
Pärast seda sisestage käsk:
X:\support\adprep>adprep32.exe /domainprep /gpprep
Mis töötab palju kiiremini:
Samuti tasub käsk käivitada adprep /rodcprep. Isegi kui te ei kavatse oma võrgus kasutada kirjutuskaitstud domeenikontrollereid (RODC), eemaldab see käsk sündmustelogist vähemalt mittevajalikud veateated.
Pärast skeemi värskendamise käskude lõpetamist võite alustada uue serveri reklaamimist domeenikontrollerisse.
Serveris dc02 minge serverihaldurisse, lisage roll Active Directory domeeniteenused. Pärast rolli installimist, minnes Serverihaldur> Rollid> Active Directory domeeniteenused, näeme kollast viipa "Käivita Active Directory domeeniteenuste installiviisard (dcpromo.exe)". Käivitame selle. Või võite kirjutada käsureale dcpromo, mis on samaväärne ülaltoodud toiminguga.
Kuna see artikkel ei hõlma domeenikontrolleri installiprotsessi, keskendun ainult mõnele põhipunktile. Liikvel Täiendavad domeenikontrolleri valikud märkige mõlemad ruudud, DNS-server Ja Ülemaailmne kataloog.
Kui koit Ülemaailmne kataloog Ja DNS-server Kui te neid ei installi, peate need eraldi teisaldama. Ja 2003. aastast 2003. aastasse üle minnes tuleb seda igal juhul teha, kuna Windows 2003-l seda võimalust pole. Globaalse kataloogi ja DNS-serveri ülekandmist käsitletakse veidi allpool.
Lõpetame domeenikontrolleri installimise ja taaskäivitame serveri. Nüüd töötab meil korraga kaks domeenikontrollerit.
FSMO rollide üleandmine
Rollide üleandmine FSMO saab teha nii graafilise liidese kui ka utiliidi abil ntdsutil.exe. Selles artiklis kirjeldatakse graafilist liidest kasutavat meetodit, kuna see on visuaalsem, kui soovite, et teised meetodid oleksid huvitatud, järgige seda linki: http://support.microsoft.com/kb/255504. FSMO rollide üleandmine koosneb järgmistest sammudest:
Läheme serverisse dc02, sellele, kellele me rollid üle anname. Seadmetele juurdepääsuks Active Directory skeem, tuleb esmalt raamatukogu registreerida schmmgmt.dll. Seda tehakse käsuga:
regsvr32 schmmgmt.dll
Snap-in puus peate elemendil paremklõpsama Active Directory skeem ja valige üksus Muuda domeenikontrolleri. Seal vahetame kontrolleri vastu dc02.
Järgmisena paremklõpsake elementi uuesti Active Directory skeem ja valige üksus Operatsioonide meister. Ilmub järgmine aken:
Klõpsake Muuda > Jah > Okei ja sulgege kõik need aknad.
Avage lisandmoodul, paremklõpsake elementi Active Directory domeenid ja usaldusfondid ja valige meeskond Active Directory domeenikontrolleri muutmine. See toiming on vajalik, kui tööd ei teostata domeenikontrollerist, kuhu roll üle kantakse. Jätke see vahele, kui ühendus domeenikontrolleriga, mille rolli üle kantakse, on juba loodud. Avanevas aknas valige domeenikontroller, millele roll on määratud ( dc02 meie puhul) loendis ja vajutage nuppu Okei.
Paremklõpsake lisandmoodulis elementi Active Directory domeenid ja usaldusfondid ja valige üksus Operatsioonide meister. Ilmuvas aknas klõpsake nuppu Muuda.
Rolli üleandmise kinnitamiseks klõpsake nuppu Okei, ja siis - Sulge.
Avage varustus. Paremklõpsake elementi Active Directory kasutajad ja arvutid ja valige meeskond Muuda domeenikontrolleri. Jätke see vahele, kui ühendus domeenikontrolleriga, mille rolli üle kantakse, on juba loodud. Avanevas aknas valige domeenikontroller, millele roll on määratud ( dc02 meie puhul) loendis ja klõpsake nuppu OK.
Paremklõpsake lisandmoodulis elementi Active Directory kasutajad ja arvutid, valige üksus Kõik ülesanded, ja siis Operatsioonide meister.
Valige ülekantavale rollile vastav vahekaart ( LAHTI, PDC või Infrastruktuuri meister) ja vajutage nuppu Muuda.
Rolli üleandmise kinnitamiseks klõpsake nuppu Okei, ja siis - Sulge.
Ülemaailmne kataloogi migratsioon
Kui me ei lähe üle mitte aastasse 2008, vaid aastasse 2003, millesse täiendava domeenikontrolleri lisamisel globaalset kataloogi ei installita või te ei märkinud kasti Ülemaailmne kataloog sammus 2, siis peate uuele domeenikontrollerile käsitsi määrama globaalse kataloogi rolli. Selleks minge seadmete juurde Active Directory saidid ja teenused, avage saidid > Saidi vaike-eesnime sait > Serverid > DC02 > paremklõpsake NTDS-i sätted > Atribuudid. Avanevas aknas märkige ruut Global Catalog > OK.
Pärast seda kuvatakse kataloogiteenuse logides teade, et kontrolleri üleviimine globaalsesse kataloogi viibib 5 minutit.
Sündmuse tüüp: teave
Sündmuse allikas: NTDS General
Sündmuse kategooria: (18)
Sündmuse ID: 1110
Kuupäev: 12.07.2011
Aeg: 22:49:31
Kasutaja: TESTCOMPANY\Administrator
Kirjeldus:
Selle domeenikontrolleri üleviimine globaalsesse kataloogi lükkub järgmise ajavahemiku jooksul edasi.Intervall (minutid):
5See viivitus on vajalik selleks, et vajalikud kataloogipartitsioonid saaks ette valmistada enne globaalse kataloogi reklaamimist. Registris saate määrata, mitu sekundit kataloogisüsteemi agent ootab enne kohaliku domeenikontrolleri globaalsesse kataloogi üleviimist. Global Catalog Delay Advertisementi registriväärtuse kohta lisateabe saamiseks vaadake Ressursikomplekti hajutatud süsteemide juhendit.
http://go.microsoft.com/fwlink/events.asp.
Ootame viis minutit ja ootame sündmust 1119, et sellest kontrollerist on saanud ülemaailmne kataloog.
Sündmuse tüüp: teave
Sündmuse allikas: NTDS General
Sündmuse kategooria: (18)
Sündmuse ID: 1119
Kuupäev: 12.07.2011
Aeg: 22:54:31
Kasutaja: NT AUTHORITY\ANONYMOUS LOGON
Arvuti: dc02.testcompany.local
Kirjeldus:
See domeenikontroller on nüüd globaalne kataloog.Lisateabe saamiseks vaadake abi- ja tugikeskust aadressil http://go.microsoft.com/fwlink/events.asp.
Liideste, DNS-i ja muude installijärgsete toimingute ümberkonfigureerimine
Järgmiseks, kuna DNS-server on sisse lülitatud dc02 oleme selle installinud, nüüd tuleb määrata ennast võrguliidese atribuutides esmaseks DNS-serveriks, st. aadress 192.168.1.12. Ja edasi dc01 muuta vastavalt 192.168.1.12.
DNS-serveri atribuutides on sees dc02 kontrollige vahekaarti Ekspediitorid, 2003. aasta jaoks, erinevalt 2008. aastast, seda ei korrata. Pärast seda saate domeenikontrolleri alandada dc01 liikmeserverisse.
Kui peate jätma uuele kontrollerile vana nime ja IP-aadressi, saab seda ka probleemideta teha. Nime muudetakse nagu tavalisel arvutil või sarnase käsuga netdom renamecomputer.
Pärast IP-aadressi muutmist käivitage käsud ipconfig /registerdns Ja dcdiag/fix.
Teaduskonna võrgu tsentraliseeritud haldamiseks on vaja luua Microsoft Windows Server 2003 baasil domeen.
Märge. Installiprotsessi ajal peate võib-olla sisestama Windows Server 2003 installi-CD-i. Võite kasutada füüsilist CD-d või iso- operatsioonisüsteemi installiketta pilt.
1. harjutus. Installige serverisse Active Directory kataloogiteenus, looge domeen mydomain.ru.
Juhised rakendamiseks
1. Käivitage Active Directory installiviisard Start – Run – dcpromo.
2. Järgides installiviisardi juhiseid, valige järgmised installisuvandid.
Valige aknas Domeenikontrolleri tüüp uue domeenilüliti jaoks domeenikontroller;
Aknas Looge uus domeen (Looge uus domeen) – lüliti Domeen uues metsas (Domeen uues metsas);
Aknas Installige või konfigureerige DNS (DNS-i installimine või konfigureerimine) – lüliti Ei, lihtsalt installige ja konfigureerige selles arvutis DNS (Ei, DNS on sellesse arvutisse juba installitud ja konfigureeritud), kui DNS-teenus on serverisse juba installitud, või Jah, ma konfigureerin DNS-kliendi(Jah, ma konfigureerin DNS-kliendi);
Aknas Uus domeeninimi (Uus domeeninimi) valija mydomain.ru järjekorras Uue domeeni täielik DNS-nimi (Uue domeeni täielik DNS-nimi);
Aknas NetBIOS-i domeeninimi (NetBIOS-i domeeninimi) peaks ilmuma kirje MYDOMAIN;
Veenduge, et andmebaasi ja protokolli majutamiseks on valitud tee C:\WINDOWS\NTDS ja kataloogi paigutamiseks SYSVOL tee on määratud C:\WINDOWS\SYSVOL;
Aknas load (load) valige Load ühilduvad ainult operatsioonisüsteemidega Windows 2000 või Windows Server 2003 (Load ühilduvad ainult operatsioonisüsteemidega Windows 2000 või Windows Server 2003);
Aknas Kataloogiteenuste taastamise režiimi administraatori parool (Administraatori parool taasterežiimi jaoks sisestage parool, mille soovite sellele administraatori serverikontole määrata, kui arvuti käivitub kataloogiteenuste taastamise režiimis;
Aknas Kokkuvõte vaadake üle oma valikute loend. parameetrid installi ja oodake, kuni Active Directory installiprotsess on lõpule viidud.
3. Aknas Active Directory installiviisardi lõpuleviimine klõpsake nuppu Lõpeta ja seejärel nuppu Taaskäivita kohe.
2. ülesanne. Vaadake loodud domeeni ühel järgmistest viisidest.
Juhised rakendamiseks
1. meetod.
Avage Minu võrgukohad – kogu võrk – Microsoft Windowsi võrk (My Network Neighborhood – Entire Network – Microsoft Windows Network). Veenduge, et minu domeeni domeeni jaoks oleks kirje, mis sisaldab ühte arvutit – Server.
2. meetod.
1 Valige menüüst Start – Programs – Administrative Tools Active Directory kasutajad ja arvutid. Avaneb samanimeline varustus.
2 Topeltklõpsake lisandmooduli puus failil mydomain.ru (või oma domeeni nimel), et näha sõlme mydomain.ru sisu.
3 Lisandmooduli puu jaotises Domeenikontrollerid vaadake domeenikontrolleri nime ja selle täielikku DNS-nime (näiteks kui eraldatud serveri nimi oli server, siis pärast domeeni installimist peaks sellest saama server.mydomain .ru).
4 Jaotises Kasutajad vaadake sisseehitatud kasutajakontode ja domeeni kasutajarühmade loendit.
5 Aktiveerige sisseehitatud külaliskonto ja proovige sisse logida. Kas katse seda teha oli edukas? Ainult domeeniadministraatoritel on lubatud domeenikontrolleritesse sisse logida.
6 Sulgege Active Directory kasutajate ja arvutite konsool.
3. ülesanne. Testige DNS-teenust DNS-i lisandmooduli abil.
Juhised rakendamiseks
1. Ava DNS-konsool käsuga Start – Programs – Administrative Tools – DNS (Start – Programs – Administration – DNS).
2. Paremklõpsake DNS-konsoolipuus oma serveri nimel ja valige Properties (Atribuudid). Avaneb SERVER atribuutide aken (kui serveril on erinev nimi, kuvatakse see akna pealkirjas).
3. Minge vahekaardile Jälgimine.
4. Märkige loendis Select A Test Type märkeruudud Lihtne päring selle DNS-serveri vastu ja Rekursiivne päring teistele DNS-serveritele ning klõpsake nuppu Testi kohe. Serveri atribuutide aknas peaks testitulemuste loendi veergudes Simple Query ja Recursive Query näitama PASS või FAIL. Selgitage oma tulemusi.
4. ülesanne. Eemaldage Active Directory teenus.
Juhised rakendamiseks
Käivitage Active Directory installi- ja eemaldamisviisard Start – Run – dcpromo.
Iseseisev töö
Vastavalt projekti ülesandele installige domeen nimega faculty.ru, kus domeenikontrolleriks on server.faculty.ru, mille IP-aadress on 192.168.1.1.
Küsimused enesekontrolliks
1. Kirjeldage töörühma ja domeeni erinevusi.
2. Mis on peamine erinevus Windows XP ja Windows Server 2003 vahel?
3. Kas võrgus, kus kõik võrgu arvutid töötavad Windows XP-ga, on võimalik luua domeeni?
4. Määratlege domeenikontroller.
5. Loetlege sisseehitatud domeeni kasutajate ja kasutajarühmade kontod, millest teate, ja kirjeldage nende eesmärki.
6. Mida tähendab termin "isoleeritud" server?
7. Kirjeldage töörühma ja domeeni erinevusi.
8. Miks on sisseehitatud külaliskonto tavaliselt keelatud?
Kirjandus
Laboritöö nr 4
Teema: Kasutaja- ja grupikontode loomine ja haldamine
1. harjutus. Loo dekaani domeeni konto:
- omab juurdepääsu kõigile võrguressurssidele,
- saab igasse arvutisse sisse logida.
Juhised rakendamiseks
1. Käivitage käsk Alusta–Kõik programmid–Haldustööriistad–Active Directory kasutajad ja arvutid (Start–Programmid–Administreerimine–Active Directory kasutajad ja arvutid).
2. Laiendage kausta faculty.ru Kasutajad.
3. Menüüs Tegevus (Tegevus) valige käsk Uus–Kasutaja (Loo–kasutaja).
4. Sisestage nõutav kasutajateave. Peatükis Kasutaja sisselogimisnimi (Logi sisse kasutajanimi) sisenema dekaan (dekaan). Pange tähele, et domeenikonto loomisel kuvatakse erinevalt kohalikust kontost domeeni nimi kasutajanime järel, eraldatuna viimasest @ . Nii et kasutaja täisnimi ( Kasutaja sisselogimisnimi)–[e-postiga kaitstud] .
5. Kasutaja parooli määramisel kontrollige kindlasti Kasutaja peab järgmisel sisselogimisel parooli muutma (Kasutaja peab järgmisel sisselogimisel parooli muutma).
6. Viige konto loomine lõpule.
7. Leidke parempoolselt paanilt oma konto. Lisateabe (aadress, organisatsioon jne) sisestamiseks topeltklõpsake sellel.
8. Veenduge, et dekaan saaks igal ajal sisse logida (tab Konto–Sisselogimisajad–Sissepääsuajad)).
9. Proovi dekaani kontot kasutades domeeni sisse logida. Miks katse ebaõnnestus?
10. Logige süsteemi administraatorina sisse.
11. Vaadake dekaanikonto atribuuti, käivitades käsu uuesti Alusta–Kõik programmid–Haldustööriistad–. Valige konto atribuutide aknas vahekaart Liige (Grupi liikmelisus) ja lisage dekaani konto globaalsesse gruppi Domeeni administraatorid kasutades järgmisi käske Lisama…–Täpsem…–Otsi kohe… (Lisa…–Lisaks…–Leia…) valige saadud loendist Domeeni administraatorid (Domeeni administraatorid).
12. Proovi uuesti dekaani kontot kasutades domeeni sisse logida.
13. Pärast administraatorina sisselogimist muutke Dekaani parool ja määrake uuesti parool järgmisel sisselogimisel muutuma.
2. ülesanne. Võrguturbe poliitika nõuete kohaselt ei ole soovitav administraatorite gruppi kaasata teisi domeeni kasutajaid, välja arvatud need, kes täidavad otseselt haldusfunktsioone. Eemaldage dekaani konto administraatorite rühmast.
Juhised rakendamiseks
1. Käivitage käsk Alusta–Kõik programmid–Haldustööriistad–Active Directory kasutajad ja arvutid.
2. Laiendage kausta faculty.ru akna vasakpoolses paneelis. Valige alamkaustades Kasutajad.
3. Leidke parempoolselt paanilt oma konto. Topeltklõpsake seda ja minge vahekaardile Liige. Valige rühmade loendist Domeeni administraatorid ja vajutage Eemalda.
3. ülesanne. Lubage dekaani kontol domeenikontrollerisse sisse logida, lisamata seda gruppi Administraatorid.
Juhised rakendamiseks
1. Lisa gruppi dekaani konto Trükioperaatorid, mille liikmed saavad domeenikontrollerisse sisse logida.
2. Logi sisse domeeni kasutades dekaani kontot
3. Soovitage domeenikontrollerisse sisselogimise lubamiseks teist meetodit.
4. ülesanne. Looge globaalne grupp Õpetajad (Õpetajad):
– grupi tüüp – turvagrupp;
– õpetajad saavad sisse logida mis tahes võrgus olevasse arvutisse, välja arvatud server;
– igal õpetajal on oma konto ja seaded, mille seadistab õpetaja isiklikult.
Juhised rakendamiseks
1. Käivitage käsk Alusta–Kõik programmid–Haldustööriistad–Active Directory kasutajad ja arvutid.
2. Laiendage kausta faculty.ru akna vasakpoolses paneelis. Valige alamkaustades Kasutajad.
3. Menüüs Tegevus vali meeskond Uus–Grupp (uus–Grupp).
4. Põllul Grupi nimi (Grupi nimi) sisenema Õpetajad.
5. Piirkonnas Grupi ulatus (Grupi ulatus) klõpsake lülitil Globaalne, ja piirkonnas Grupi tüüp (Grupi tüüp) – lüliti Turvalisus.
6. Klõpsake nuppu OK.
5. ülesanne. Lisa gruppi Õpetajad (Õpetajad) rühma liige - dekaani konto.
Juhised rakendamiseks
1. Veenduge, et seade on avatud Active Directory kasutajad ja arvutid ja konteiner on valitud Kasutajad.
2. Grupi omaduste aknas Õpetajad valige vahekaart liikmed (Grupi liikmed) ja seejärel nuppe järjest Lisama…–Täpsem…–Otsi kohe… Saadud loendist valige dekaani konto.
3. Leidke aknast Dekaani konto atribuudid grupi liikmelisuse teave Õpetajad.
6. ülesanne. Koostage loendid sisseehitatud kohalikest, globaalsetest domeenidest, domeenide kohalikest rühmadest ja uurige iga sisseehitatud rühma kirjeldust.
Ülesanne 7. Täitke tabelid, mis sisaldavad teavet domeeni liikmete kohta. Tabelid peaksid aitama teil domeenikontosid planeerida ja luua.
Näide kasutajarühma tabelite täitmisest Dekaani kabinet ja konto Üliõpilane vaata allpool.
Tabel 8
Grupi ajakava koostamine
Tabel 9
Sisselogimise ajakava
Tabel 10
Parooli planeerimine
@Mõelge igast rühmast välja vähemalt kolm kasutajat ja täitke tabelid 8–10 vastavalt projekti nõuetele. Lisage oma aruandesse tabelid.
Ülesanne 8. Looge vastavalt oma valikutele tabelites 8–10 projekti jaoks vajalikud kasutaja- ja kasutajarühmakontod.
Ülesanne 9. Testige oma kontosid. Näiteks muutke süsteemiajaks 6:00 ja proovige õpilasena domeeni sisse logida. Proovige selle konto parooli muuta.
Küsimused enesekontrolliks
1. Kirjeldage kohalike ja domeenikontode erinevusi.
2. Mis on kasutajarühmade loomise eesmärk?
3. Selgitage kohalike, globaalsete ja universaalsete rühmade eesmärki.
4. Selgitage turvarühmade ja jaotusrühmade eesmärki.
5. Defineerige ja esitage näiteid järgmiste terminite kohta: "kasutaja õigused", "kasutaja õigused", "kasutaja juurdepääsuõigused".
6. Loetlege sisseehitatud domeeni kasutajate ja kasutajarühmade kontod, millest teate, ja kirjeldage nende eesmärki.
7. Millisele sisseehitatud kasutajarühmale peale administraatorite tuleb konto määrata enne, kui kasutaja saab tööjaama sisse logida? Kas selleks on muid võimalusi?
8. Kuidas keelata süsteemi sisselogimine nädalavahetustel ja töövälistel aegadel?
9. Kuidas ma saan piirata oma konto kehtivusaega?
10. Kuidas saab töötaja kontot näiteks haiguse ajal keelata?
12. Kuidas muuta kasutaja parooli?
13. Kuidas takistada kasutajal parooli muutmist?
14. Millised on grupi kustutamise tagajärjed?
Kirjandus
Laboritöö nr 5
Active Directory funktsionaalne ülevaade opsüsteemides Windows 2000 Server ja Windows Server 2003. Allikas: Microsoft.
Active Directory (AD) kataloogiteenus operatsioonisüsteemides Windows 2000 Server ja Windows Server 2003 sisaldab teavet kõigi võrgu käitamiseks vajalike ressursside kohta. See hõlmab ühendusi, rakendusi, andmebaase, printereid, kasutajaid ja rühmi. Microsoft on väga spetsiifiline, kuna Active Directory pakub standardviisi ressursside täpsustamiseks, kirjeldamiseks, haldamiseks ja juurdepääsuks.
Active Directoryt ei installita vaikimisi, kuna see pole vajalik lihtsate serveritoimingute jaoks. Kuid kui server hakkab järjest rohkemate ülesannetega hakkama saama, muutub AD üha olulisemaks. Lisakomponendid, nagu näiteks Microsofti Exchange Server, nõuavad täisfunktsionaalset Active Directory't.
Käsk dcpromo võimaldab muuta tavalise serveri Active Directory kontrolleriks. Protsess võtab aega umbes kümme minutit ja me kirjeldame seda siin lühidalt.
Eeldame, et teie võrgus pole teisi servereid ja seetõttu vajame uue Active Directory infrastruktuuri jaoks kontrollerit.
Pärast seda peame otsustama, kas uus AD domeen integreeritakse olemasolevasse süsteemi.
Active Directory kasutab teabega kõige tõhusamalt töötamiseks oma andmebaasi. Kuna teie keskkond võib kiiresti kasvada ja server saab vastu võtta lisaülesandeid, on süsteemi jõudluse maksimeerimiseks kõige parem paigutada andmebaasid ja logifailid eraldi kõvakettale.
SYSVOL kaust on Active Directory teine funktsioon, kuna selle sisu dubleerivad kõik domeeni Active Directory kontrollerid. See sisaldab sisselogimisskripte, rühmapoliitikaid ja muid valikuid, mis peavad olema saadaval kõikides serverites. Loomulikult saab selle kausta asukohta muuta.
See valik on oluline ainult siis, kui teil on domeenistruktuuriga Windows NT arvutid.
Installimise ajal kurdab AD viisard, et DNS-serverid ei tööta. Seetõttu on vaja ka see paigaldada.
|
|||
|
| |||
Kogu esitatud materjal on jagatud kuueks teemaks. Räägime Active Directory juurutamisest ja integreerimisest olemasolevate kataloogidega, teenuse haldamisest, replikatsioonist, metsaülesest usaldusest, rühmapoliitika haldamisest ja programmipiirangutest.
Rakendamine ja integreerimine
Selles peatükis vaatleme Active Directory uusi funktsioone mitmest vaatenurgast: selle teenuse juurutamine, teiste kataloogidega integreerimine, eelmisest versioonist üleminek (kas Windows NT 4.0 versiooni uuendamine või lihtsalt Active Directory nullist installimine). Esimese asjana tuleb märkida, et Windows 2003-põhise Active Directory uued funktsioonid ei ühildu Windows 2000-põhise Active Directoryga. Näiteks saab kasutada ainult domeeni ümbernimetamise või skeemis varem deaktiveeritud objekti taastamise võimalusi kui kataloog on kõrgeimal võimalikul funktsionaalsel tasemel: domeenitase - Windows Server 2003 ja metsatase - Windows Server 2003. Nende ja muude funktsioonide kasutamiseks peate oma metsa viima kõrgeimale võimalikule funktsionaalsele tasemele. Mõelgem, millised on need funktsionaalsed tasemed.Funktsionaalsed tasemed
Administraator suurendab funktsionaalset taset käsitsi
Märgin, et see klassifikatsioon võeti kasutusele spetsiaalselt ühilduvuse tagamiseks tagasiühildumatute võimaluste tasemel. Isegi kui installite Active Directory nullist, ilma värskendusi tegemata ja integratsiooni pärast muretsemata, st installides lihtsalt uue serveri ja sellele esimese kontrolleri metsas, saate lõpuks süsteemiga, mis esialgu kukub madalaim tase. Teisisõnu, domeeni tase on Windows 2000 Mixed ja metsatase on Windows 2000. Seega vastab installitud süsteem selles režiimis täielikult kõigile Windows 2000 Active Directory pakutavatele võimalustele. Kõrgemale tasemele ülendamiseks peavad olema täidetud teatud tingimused, näiteks saab domeeni ülendada Windows Server 2003 tasemele alles pärast seda, kui kõik selle domeeni kontrollerid on sellele operatsioonisüsteemile üle viidud. Kui me räägime üleminekust Windows 2000-lt, siis loomulikult koosneb üleminekuprotsess olemasolevate kontrollerite järkjärgulisest värskendamisest. Kõiki kontrollereid korraga Windows 2000-st Windows 2003-sse üle kanda on võimatu. Seda saab teha ainult ükshaaval. Kuni kontrolleri migratsiooniprotsessi lõpuni jääb domeeni funktsionaalne tase Windows 2000 Mixed tasemele. Kui kõik kontrollerid on üle viidud, saate liikuda järgmisele tasemele. Administraator vahetab funktsionaalset taset spetsiaalse Active Directory Domains Trustsi konsooli abil. Administraator ei saa taset langetada, ta saab selle üle kanda ainult kõrgemale tasemele, millele süsteem jääb. Pärast seda, kui administraator on domeeni ülendanud uuele funktsionaalsele tasemele, on Active Directorys saadaval teatud uued funktsioonid.
Vaatleme neid võimalusi esitluse lihtsuse tagamiseks puhtas metsarežiimis - Windows 2003 ja kõik domeenid - Windows 2003. Teisisõnu, maksimaalsed võimalikud tasemed ja vastavalt ka maksimaalne uute võimaluste vahemik. Esimene asi, millele tasub keskenduda, on funktsioon nimega Application Partitions (vene keeles - Application Sections).
Rakenduse jaotised
Fakt on see, et Active Directory töötati algselt välja kataloogiteenusena mitte ainult klientidele näiteks võrguteenuste pakkumiseks või nende klientide kontode salvestamiseks, vaid ka võrgurakenduste salvestusruumina. Seetõttu sisaldab Active Directory palju teavet, mis pärineb rakendustest. Seega, olenemata sellest, kui palju rakendusi me Active Directoryga filtreerimisrežiimis installime, jõuab Windows 2000-s kogu teave nende kohta ühte kataloogi ja vastavalt sellele kopeeritakse kõigi kontrollerite vahel võrdselt.
Windows 2003 võimaldab teil eristada ja eraldada võrgurakendustele kuuluvat teavet ülejäänud kataloogist, luues rakenduse partitsioonid. Näiteks DNS-serveri salvestatud teavet ei pruugita levitada kõigile domeenis olevatele kontrolleritele, vaid ainult neile, mis on selgelt määratletud. Tegelikult tähendabki seda partitsioonide loomine. Esiteks saate luua jaotise "kataloogid", justkui eraldades selle üldisest struktuurist, ja seejärel näidata, et see jaotis tuleks salvestada nimega kontrolleritele koopiana. Sama kehtib ka kõigi muude rakenduste kohta. Tänu sellele mehhanismile saab süsteemi haldav administraator optimaalselt eraldada ja salvestada teavet kataloogi ja rakenduste kohta. Näiteks kui teate, et mõni rakendus kasutab kataloogi ainult sellel konkreetsel kontrolleril (ei pääse juurde teistele kontrolleritele), saate sel viisil kataloogi salvestada ainult sellele kontrollerile, luues selle rakenduse jaoks ainulaadse partitsiooni.
Järgmine funktsioon on objektiklassi InetOrgPerson tugi (RFC 2798). See ilmus ainult operatsioonisüsteemis Windows 2003 ja Windows 2000 seda objektiklassi ei toeta. InetOrgPerson on vajalik integreerimiseks teiste LDAP-kataloogidega (Novell, Netscape). Active Directory saab selle klassiga töötada, luua selle klassi objekte ning võimalik on ka InetOrgPerson tüüpi objektide läbipaistev ja sujuv migreerimine teistest Active Directory kataloogidest. Sellest tulenevalt on võimalik portida ka teistele LDAP-kataloogidele kirjutatud rakendusi. Kui rakendused kasutavad seda klassi, saab need valutult ja läbipaistvalt Active Directorysse teisaldada, säilitades samal ajal kõik funktsioonid.
Järgmisena sai võimalikuks domeenide ümbernimetamine. Sel juhul tuleks selgelt mõista, et domeeni ümbernimetamise all ei pea me silmas ainult domeeni nime muutmist (varem nimetati domeeni nimeks “abcd”, nüüd aga “xyz”). Tegelikult on kataloogistruktuur puu, selles on palju domeene ja domeenid ise on ühendatud hierarhiaks. Domeeni ümbernimetamine on tegelikult metsa ümberstruktureerimine. Saate domeeni ümber nimetada nii, et see oleks teises puus.
Domeeni ümbernimetamine. rendom.exe utiliit
Mõelge domeenile Contoso, mis on puu WorldWideImporters.com müügidomeeni alamdomeen. Saate selle ümber nimetada ja nimetada Contoso.Fabrikam.com. See ei ole lihtsalt ümbernimetamine, see on domeeni ülekandmine ühest puust teise, st üsna mittetriviaalne protseduur. Loogiline on eeldada, et domeeni ümbernimetamine võib viia uue puu loomiseni. Saate ümber nimetada Contoso domeeni, mis oli allutatud müügidomeenile ja anda sellele nimeks Contoso.com. Siis saab domeen sama metsa teise puu esivanemaks. Seetõttu võib domeeni ümbernimetamise protsessi pidada väga keeruliseks ja mittetriviaalseks protseduuriks.
Windows 2000 puhul ei olnud ülaltoodud kontekstis sellist võimalust nagu domeeni ümbernimetamine. Kui domeen on loodud, jääb see oma nimega kogu eluks. Ainus võimalus olukorda muuta on domeen kustutada ja seejärel uue nimega uuesti luua.
Windows 2003-ga on kaasas utiliit Rendom, mis sõna otseses mõttes pärineb domeeni ümbernimetamisest. Rendom.exe utiliit on käsurea utiliit, mida saab kasutada domeeni ümbernimetamiseks. Tõsi, see protsess koosneb kuuest etapist. Üksikasjalikku teavet selle kohta leiate Windows 2003 spikriteenusest, Microsoft .NET-i spetsiaalsetest tehnilistest dokumentidest ja MSDN-i veebisaidilt. Selles kirjeldatakse üksikasjalikult, kuidas modelleerida, kujundada ja rakendada domeeni ümbernimetamise protsessi renderdamisutiliidi abil. Igal juhul on tegemist keeruka, mitmeetapilise protsessiga, mis nõuab hoolikat ettevalmistust: domeenide loomisel tekib liiga palju linke ja viiteid, nimesid ja muid vastastikuseid sõltuvusi. On võimatu seda kõike lihtsalt võtta ja ühe hoobiga liigutada.
Active Directory juurutamise osas on ilmunud režiim domeenikontrolleri installimiseks irdkandjalt. Mida mõeldakse? Väga levinud olukord tekib siis, kui ettevõte juurutab Active Directory kaugkontorites: side kaugkontoriga on nõrk, sideliinid peakontori ja filiaalide vahel kehvad. Siiski peate harukontorisse installima uue domeenikontrolleri. Kui olemasolevas domeenis luuakse uus kontroller, võtab utiliit DCPromo ühendust olemasolevate, töötavate kontrolleritega ning laadib alla kogu andmebaasi ja koopiad, mida saab selle domeenikontrollerist koguda. Kui see andmebaas võtab enda alla mitukümmend või sadu kilobaiti ehk on tühi (vaikimisi kulub mitusada kilobaiti), siis pole probleemi. Aga kui me räägime töötavast süsteemist, milles andmebaas võib hõivata kümneid või sadu megabaite, siis võib selle allalaadimine olla lihtsalt võimatu ülesanne. Seetõttu saate selles olukorras probleemi lahendada väga lihtsal viisil. Windows NT Back-up abil tehke arhiiv "süsteemi olek" režiimis, st valige Windows NT varunduskonsoolis suvand Back-up->SystemState. Pärast seda kirjutage kogu loodud varukoopia andmekandjale, näiteks CD-le või DVD-le, võtke see ketas ja viige see kaugkontorisse, et taastada kogu teave arhiivist, kasutades sama Windows NT Back- üles. Peate lihtsalt taastama mitte vaikimisi, vaid mõnda teise kataloogi, nii et failid ise paigutatakse lihtsalt kettale. Loomulikult ei ole vaja olemasolevas arvutis olevat süsteemiteavet asendada. Järgmisena peaksite käivitama DCPromo utiliidi lülitiga "/adv" ja määrama tee salvestuskohani, kus pakimata fail asub. Pärast seda loob uue kontrolleri installiprotsess irdkandja teabe põhjal oma koopia. Sel juhul on endiselt vaja suhelda peakontoriga, sest lisaks koopia allalaadimisele on vaja luua ka teatud seosed olemasoleva domeeniga. Seetõttu peaks ühendus olema, kuid nõuded sellele on oluliselt vähenenud: isegi väga nõrk liin sobib. Ülaltoodud stsenaariumi korral kanti 95% teabest, mis vajas uude kontrollerit ülekandmist süsteemimeediale ning peakontori ja filiaali vaheline sideliin ei pidanud olema üle koormatud.
Oluline on märkida, et Windows NT 4.0 on klientide poolt endiselt väga levinud. Windows 2003 võimaldab teil migreeruda olemasolevatest kataloogidest (NT 4-st või Windows 2000-st) kiiremini, valutumalt ja tõhusamalt. Active Directory migratsioonitööriista (ADMT) utiliit teenib seda eesmärki. ADMT aitab migreerumisel Windows NT-lt Windows 2003-le, aga ka Windows 2000-lt Windows 2003-le juhul, kui on vaja mingit domeeni ümberstruktureerimist, konto ülekandmist vms.
Active Directory migratsioonitööriist (ADMT) v.2 viisardid
Active Directory migratsioonitööriist on viisardiprogrammide komplekt. Iga meister täidab kindlat ülesannet (vt ülaltoodud pilti). On oluline, et enamikul viisardiprogrammidel oleks režiim nimega "Testi migreerimisseadeid ja migreeruge hiljem" - protsessi modelleerimine ilma toiminguid tegemata. Teisisõnu, migratsiooniprotsess on emuleeritud ja administraator näeb, milline on tulemus ja kuidas kõik juhtub. Selles režiimis tegelikke toiminguid ei tehta. Kui testrežiimi tulemused on rahuldavad, võite paluda Active Directory migratsioonitööriistal täielik migratsioon läbi viia.
Administreerimine
See peatükk on pühendatud instrumentaalsele manustamisele. Põhimõtteliselt ei saa öelda, et siin oleks palju uusi väga kasulikke funktsioone ilmunud. Midagi siiski on. Näiteks Drag&Drop tugi: enne Windows 2003 Drag&Drop tugi puudus. Nüüd saate klõpsata "kasutaja" objektil ja lohistada see hiirega uude konteinerisse. See on väga mugav. Kahju, et eelmistes versioonides sellist mehhanismi polnud.Ilmunud on lisakonsool päringute salvestamiseks kataloogi. On teada, et Active Directory on LDAP-kataloog. See tähendab, et LDAP-kataloogidesse saab päringuid teha standardset päringukeelt kasutades. Kui need päringud tehakse ja neid ei mäletata, siis on see administraatorile lisakoormus: iga kord on vaja päring uuesti kirjutada või mõnest dokumendist kopeerida. Selle protsessi lihtsustamiseks pakume jaotist Salvestatud päringud. See salvestab tegelikult päringud, mille administraator või kasutaja konsooli sisestas.
Salvestatud kataloogipäringu konsool
Nüüd, kui seda taotlust uuesti vaja läheb, peate selle lihtsalt loendist valima. Veelgi enam, päringu tulemused kuvatakse konsooli paremas servas: vasakul saate valida teid huvitava päringu ja sellel klõpsata ning paremale ilmub töötlemise tulemus.
Windows Server 2003 sisaldab palju käsureaprogramme. See tundub kummaline ja võib-olla isegi vastuoluline. Näib, et Microsoft on kõik need aastad propageerinud graafilist liidest, haldamise lihtsust graafilise liidese abil, kuid samal ajal selgub, et ta annab välja uusi käsurea utiliite. Ainult Active Directory jaoks on neid kuus.
Käsurea utiliidid
Tegelikult pole selles vastuolu. Fakt on see, et paljusid toiminguid, mida administraator peab tegema, on mugavam teha pakifailide kujul. Näiteks kui tegemist on identsete või sarnaste objektide mõne atribuudi muutmisega, on sageli mugavam seda teha käsureal, kirjutades vastava skripti. Kui teil on vaja mõnda parameetrit muuta, näiteks kontol registreeritud kasutajate telefoninumbreid (igaüks osakonnas saab oma telefoninumbrit muuta), võite minna igale kontole ja muuta telefoninumbrit. Kui teete seda graafilise liidese kaudu, peate objekti "Konto" muutmiseks tegema vähemalt sada toimingut. Võite võtta ühe lihtsa käsu nimega DSMod (objekti muutmine), luua rea uue teabe salvestamiseks, seejärel kirjutada otsingutingimustega skript ja käivitada kõik ühe käsuna. Selliste toimingute jaoks (ja neid on administraatori igapäevatöös palju) tuleks kasutada käsurea utiliite ja skripte.
Replikatsioon
Replikatsiooniprobleemid on Active Directory juurutamisel, infrastruktuuri kujundamisel ja planeerimisel väga olulised.Windows 2000-l on teatud piirangud saitide arvule, kus topoloogiat saab automaatselt luua. Seal on teenus nimega Inter-Site Topology Generator (ISTG). Kui luuakse kaks või kolm või veel parem viis või isegi kümme saiti, loob ISTG-teenus saitide vahel automaatselt replikatsioonitopoloogia, valib jaoturiserverid ja määrab, kuidas seda replikatsiooniskripti käivitatakse. Kõik on korras, aga kui saite on umbes kakssada, siis ISTG-teenus ei saa infomahuga hakkama ja käib tsüklitena. Seetõttu on Windows 2000 jaoks väga selge soovitus – saitide arv ei tohiks olla suurem kui kakssada, kui see on vajalik saitidevahelise replikatsiooni topoloogia automaatseks genereerimiseks. Kui saite on rohkem, tuleb automaatne genereerimine keelata ja kõik see käsitsi seadistada.
Probleem ei pruugi tunduda ilmne, kuid inimesed seisavad sellega silmitsi, kui tegemist on Active Directory rakendamisega mitme saidi süsteemides. Windows Server 2003 eemaldab selle probleemi. See süsteem rakendab täiesti uut saitidevahelist topoloogiageneraatorit, mis töötab põhimõtteliselt erinevalt ja genereerib topoloogiat uue algoritmi abil. Nüüdseks automaatselt genereeritavate saitide arv (mille topoloogiat saab ISTG-teenuse abil automaatselt genereerida) oli ainuüksi testides mitu tuhat. Pole teada, kes võib nii palju saite vajada, kuid sellegipoolest võite piirangud unustada ainult ISTG mehhanismi muutmisega.
Lisaks saate saitidevahelise liikluse tihendamise keelata, kui see on muidugi mõttekas. Tihendamise lubamine suurendab sõlmeserveri protsessorite koormust. Kui võrk seda võimaldab, siis võib olla mõttekas pakkimine keelata, et üle võrgu rohkem andmeid edastada, kuid siis on kontrollerid vähem koormatud. Saate teha vastupidist: kui teil on vaja võrguliiklust säästa, on mõistlik lubada tihendus.
Windows 2000 Active Directory rühmade replikatsioonil on veel üks piirang. See on turvarühm. Juurdepääsuõiguste määramisel objektidele on üldiselt hea haldustava õiguste määramine rühmadele. Kasutajad on kas gruppi kaasatud või välja arvatud. Rühm on Active Directorys täpselt sama objekt nagu kõik teised objektid. Objektil on atribuudid. Grupi eripära on see, et grupiliikmete loend ei koosne mitmest atribuudist, see on üks suure hulga väärtustega atribuut, nn "Multi Value Attribute" (tegelikult on see üks atribuut, millel on palju väärtusi) . Active Directory replikatsioonimehhanism on üksikasjalikult kirjeldatud kuni atribuudi tasemeni. Kui objekti muudetakse, kordab süsteem neid muudatusi täpselt nende atribuutide jaoks, mis on muutunud, mitte kogu objekti jaoks. Nüüd läheme tagasi rühma juurde, millel on atribuut, mis koosneb näiteks sajast väärtusest. Kui rühma kuulub sada inimest, on sellel atribuudil sada väärtust. Mis siis, kui 5 tuhat? Piirang on järgmine: kui rühma kuuluvus on 5 tuhat objekti, muutub sellise objekti replikatsioon võimatuks. Niipea kui grupis on 5001 liiget, hävitatakse selle rühma replikatsiooniprotsess Windows 2000-s kohe. On isegi dokumenteeritud ründemeetod, kus administraator võib kellegi peale solvunud replikatsiooniprotsessi lihtsalt kirjutades hävitada. skript, mis tsükliliselt paigutatakse - 5 tuhande liikmeline rühm. Siis tekivad probleemid kataloogi replikatsiooniga. Windows Server 2003 Active Directory tutvustab lisamehhanismi nimega "Lingitud väärtuse replikatsioon".
Sel juhul on mehhanism mõeldud ainult paljude väärtustega atribuutide kopeerimiseks. See tähendab, et nüüd, seda mehhanismi kasutades, korratakse grupi liikmelisust üksikute liikmete tasemel. Kui kaasate rühma uue inimese, siis replikatsiooni ei teostata atribuudina kogu loendist, vaid ainult väärtusi, mis tulenevad lingitud väärtuse replikatsioonimehhanismist.
Teine replikatsiooniprobleem oli seotud globaalse kataloogiga. Raskus seisnes selles, kuidas globaalne kataloog käitus, kui administraator muutis niinimetatud osalist atribuutide komplekti (PAS) - atribuutide loendit, mis tuleks paigutada globaalsesse kataloogi.
Võib-olla on mõtet selgitada. Igal atribuudil on olekuväärtus: kas paigutada see globaalsesse kataloogi või mitte. Globaalne kataloog on lisakataloog, mis sisaldab teavet kõigi kataloogis olevate objektide kohta, kuid mitte täielikult, vaid täpselt nende atribuutide loendeid, mis on märgitud globaalsesse kataloogi ekspordituks. Nii on globaalsesse kataloogi pandud näiteks iga kasutaja kohta tema nimi, meiliaadress ja võib-olla mõni muu lisaparameeter. Sõna otseses mõttes mitu parameetrit, et saaksite selle kasutaja kataloogist kiiresti leida.
Probleem ilmneb siis, kui administraator muudab skeemi ja muudab sellesse režiimi lülitamiseks mõne muu atribuudi olekut. Seal oli atribuut, mida globaalses kataloogis ei sisaldunud, administraator läks ja muutis skeemi, lisas selle atribuudi PAS-i, misjärel toimub lisaks kogu skeemi replikatsioonile Windows 2000-s kõigi kõigi elementide täielik uuesti sünkroonimine. serverid, mis salvestavad globaalset kataloogi. See põhjustab üsna märkimisväärse võrguliikluse koormuse ja mõningaid sisemisi kataloogiteenuse seisakuid.
Windows Server 2003 lahendab selle probleemi. Globaalse kataloogi replikatsioon ja sünkroonimine toimub ainult lisatud atribuudi ulatuses. See tähendab, et kui PAS-ile atribuudi lisamine toimub, kogutakse teavet lihtsalt nendelt objektidelt, millel on see atribuut. Ja seejärel lisatakse see [atribuut] globaalsesse kataloogi. Täielikku sünkroonimist ei toimu.
Teine globaalse kataloogiga seotud lisafunktsioon on universaalne grupi vahemällu salvestamise mehhanism. Tuletan meelde, et Active Directorys on kolme tüüpi rühmi: kohalik, globaalne ja universaalne. Kohalikud ja globaalsed salvestatakse koos kontrolleri koopiaga, universaalsed rühmad salvestatakse globaalsesse kataloogi. Kui kaugkontori töötaja soovib võrku sisse logida, registreerib süsteem kasutaja võrku ja loob tema turvakonteksti. Selleks peab ta välja selgitama, millistesse rühmadesse kasutaja kuulub. Windows 2000 saab kohalike ja globaalsete gruppide kohta teada oma lähimast kontrollerist, kuid vastavalt võrgu kujundusele asub globaalne kataloog peakontoris. Kasutaja kuulumist universaalsetesse gruppidesse saate kinnitada ainult globaalsest kataloogist päringu abil. Seetõttu tuleb registreerimisel saata päring peakontorisse. Kui ühendus katkeb ja globaalne kataloog pole saadaval, keelatakse kasutaja registreerimine (selles olukorras vaikimisi). Registri seadistamine universaalse grupi liikmelisuse tõrgete ignoreerimiseks loob turvaaugu.
Windows Server 2003 pakub universaalsete rühmade vahemällu salvestamise mehhanismi. Ühenduse loomine globaalse kataloogiga on nüüd vajalik ainult esimesel sisselogimisel. Need rühmad lähevad kontrollerile ja salvestatakse seal. Iga järgmine kasutaja registreerimine ei nõua helistamist, kuna universaalne grupi liikmelisus on juba teada. Sel juhul värskendatakse teabe vahemällu teatud viisil: määratud ajavahemike järel päritakse globaalse kataloogi teavet, et värskendada kasutaja universaalse rühma liikmelisuse teavet.
Usaldus metsade vahel
Metsadevaheline usaldus võimaldab integreeruda täiesti sõltumatutel organisatsioonidel. Active Directory on struktuur, millel võib olla juurdomeeniga domeenipuu või mitmest puust koosnev mets. Metsale on iseloomulik, et kõigi sellesse kuuluvate domeenide jaoks on kõigi nende puude jaoks kolm identset olemit – üks skeem, üksikud konfiguratsioonikonteinerid ja metsa ühine globaalne kataloog. Loomulikult on nende nimeruumid erinevad, kuigi võite nimetada kogu metsa. Kui seda ei tehta, on igal puul oma nimede hierarhia. Saate veenduda, et kõik metsa puud on reastatud ühte nimesüsteemi.
Usaldus metsade vahel
Kui rääkida kahe erineva metsa integreerimisest ja koostoimest, siis on tavaliselt kaks erinevat süsteemi, mis on ehitatud üksteisest sõltumatult. Siiski on vajalik, et ühe metsa kasutajad (määratletud ainult ühes metsas) pääseksid juurde teises metsas määratletud objektidele. Selleks tuleb luua usalduslik suhe.
Windows 2000 võimaldab teil luua otseseid ja transitiivseid seoseid erinevatest metsadest pärit konkreetsete domeenide vahel, kuid see toimib ainult nende domeenide puhul. Windows Server 2003 pakub uut tüüpi usaldust, mida nimetatakse metsadevaheliseks domeenisuhteks. Need seosed on transitiivsed igas metsas sisalduvate domeenide lõikes. See tähendab, et kui kaks metsa on usaldussuhtega ühendatud, saavad kasutajad ühest metsast mis tahes domeenist täiesti läbipaistvalt näha teise metsa objekte ja pääseda neile juurde mis tahes domeenist.
Võid teha ahela näiteks kolmest metsast A, B, C. A usaldab B-d ja B usaldab C-d. Sellest ei järeldu, et metsa A ja C vahel oleks ka usaldussuhe tekkinud. See on nagu Windows NT 4: mittetransitiivsed suhted selles mõttes, et need ei ole metsade vahel transitiivsed. Kuid kahte metsa ühendavate domeenide vahel on suhe transitiivne.
Grupipoliitika haldamine
Grupipoliitikad on peamine tööriist, mida kasutatakse peaaegu kõigi Windowsi alamsüsteemide ja komponentide haldamiseks. Olgu selleks siis tööjaam ja selle seaded, server ja selle võrguteenused, Active Directory, turvaseaded – kõik see konfigureeritakse grupipoliitikate kaudu.Grupipoliitika mehhanism võimaldab teil määrata poliitikaid konteineritele, st organisatsiooniüksustele, saitidele ja domeenidele. Grupipoliitikat ei saa konkreetsele kasutajale määrata. Lisaks, kuna Active Directory konteinerite struktuur on hierarhiline, saate erinevatel tasanditel määrata erinevaid rühmapoliitikaid. Seetõttu toimivad pärimismehhanismid. Administraatoril on teatud funktsioonid pärimise blokeerimiseks või, vastupidi, pärimispoliitika jõustamiseks. Administraatoril on juurdepääsuõiguste kaudu võimalus filtreerida rühmapoliitika rakendamist. Igal juhul lahendatakse suur hulk probleeme mitte vähemate tööriistade abil. Iga ülesande jaoks on konkreetne tööriist. Seega peate Windows 2000 rühmapoliitika haldamiseks teadma kuut tööriista ja kasutama neid erinevate ülesannete jaoks.
Windows Server 2003 muudab administraatorite elu palju lihtsamaks, võttes kasutusele spetsiaalse tööriista nimega Group Policy Management Console. See on integreeritud või konsolideeritud konsool, mis sisaldab liidest absoluutselt kõigi rühmapoliitikaga seotud ülesannete täitmiseks. Te ei pea enam pead murdma, kus seda toimingut tehakse – kõik asub rühmapoliitika halduskonsoolis ning konsool rühmitab teabe väga loogiliselt ja intuitiivselt.
Lisaks sellele, et Group Policy Management Console on konsolideeritud graafiline tööriistakomplekt, lisab see rühmapoliitika haldamisse ka mitmeid uusi funktsioone. Näiteks funktsioonid rühmapoliitikate arhiveerimiseks ja taastamiseks, rühmapoliitikate kopeerimiseks sama metsa domeenide vahel ning rühmapoliitikate importimiseks/eksportimiseks.
Rühmapoliitika halduskonsool pole Windows Server 2003 osana saadaval. See tuleb alla laadida Microsofti veebiserverist ( http://www.microsoft.com/downloads). Saate installida konsooli kas Windows Server 2003-sse või Windows XP-sse, kui teil on hoolduspakett Service Pack 1 ja .NET Framework. Seega saate rühmapoliitika halduskonsooli kasutades hallata rühmapoliitikaid ilma, et oleksite otse domeenikontrolleris. Saate installida konsooli otse Windows XP tööjaama ja sellest tööjaamast tsentraalselt hallata kõiki metsa rühmapoliitikaid. Lisaks on rühmapoliitika halduskonsoolil kaks viisardit, mis võimaldavad analüüsida ja simuleerida rühmapoliitika rakendamise protsessi. Esimest nimetatakse rühmapoliitika tulemuste viisardiks ja see näitab, milliseid poliitikaid sellele konkreetsele arvutile rakendati, milliseid väärtusi muudeti ja millistest poliitikatest need väärtused saadi. Kui midagi ei rakendata, näitab viisard, miks seda ei rakendatud.
On selge, et see mehhanism nõuab ühendust analüüsitava arvutiga. See tähendab, et kaugühendusrežiimis saab administraator loomulikult luua ühenduse mis tahes tööjaamaga ja paluda analüüsida, kuidas sellele masinale rühmapoliitikaid rakendati. Saate seda teha ka muul viisil: enne rühmapoliitika süsteemi juurutamist ja juurutamist saate modelleerida, mis juhtub kasutaja või arvutiga, kui sellele rühmapoliitikat rakendatakse.
Sellise modelleerimise protsess viiakse läbi konsooli abil, mis asub rühmapoliitika halduskonsoolis ja mida nimetatakse protsesside modelleerimiseks. Simulatsioon ei nõua ühendamist uuritava arvutiga. See töötab ainult Active Directorysse salvestatud teabega. Piisab lihtsalt juurdepääsust Windows Server 2003 Active Directory kontrollerile. Võite näiteks ette kujutada, mis juhtub, kui kasutaja siseneb mõnda turvagruppi, saate tinglikult paigutada kasutaja mõnda konteinerisse ja vaadata, mis juhtub.
Grupipoliitika halduskonsoolis on ka mõned uued funktsioonid – rühmapoliitikate arhiveerimine ja taastamine. Objektid ise saab salvestada failina kindlasse kataloogi. Seejärel saab need mõne probleemi korral või domeeni, Active Directory või rühmapoliitikaga katsetades taastada. On oluline, et saate rühmapoliitika taastada ainult samas domeenis, kuhu see arhiiviti. Taastatakse ainult GPO ise: sellele täiendavalt lisatud ei saa arhiveerida ja seega ei saa ka taastada.
Liigume nüüd edasi Windowsi haldusinstrumentide (WMI) juurde. See on tehnoloogia, mis on nüüdseks süsteemihalduses peavoolus. WMI-d kasutatakse peaaegu kõikjal: iga teenus kasutab ühel või teisel viisil WMI-d.
WMI abil saate teavet kõigi süsteemis olevate objektide kohta, olgu need siis riistvaraseadmed või mõned tarkvarakomponendid. WMI andmebaasi päringuid tehes saab absoluutselt igasugust teavet. Kuna selline mehhanism on olemas, on Microsoft välja töötanud lisafunktsioonid rühmapoliitika rakendamiseks. Nüüd on võimalik filtreerida rühmapoliitika rakendamist WMI andmebaasi juurdepääsu alusel. See tähendab, et saate rühmapoliitikas filtri sõna otseses mõttes määrata. Näiteks kui vastus WMI-le saadetud päringule on positiivne, rakendatakse rühmapoliitikat ja kui see on negatiivne, siis rühmapoliitikat ei rakendata.
Tarkvarapiirangute poliitika
See on tsentraliseeritud poliitika, mida saab rakendada kogu ettevõtte tasandil. Selle abiga on administraatoril võimalus piirata programmide loendit, mida kasutajad saavad oma tööjaamades käivitada. Administraator võib vastupidi määrata programmide loendi, mida kasutajad ei saa mingil juhul oma masinates käivitada.Selle mehhanismi rakendamiseks kasutatakse põhimõtet: algtase pluss erand. Sellest lähtuvalt võivad eri stsenaariumide jaoks olla kahte tüüpi lähtejooned. Esimest baastaset nimetatakse "Keelatud": kõik programmid on vaikimisi keelatud, välja arvatud need, mis on lubatud erandites, lisareeglites. Teist nimetatakse piiramatuks: kõik programmid on lubatud, kuid lisareeglite loend sisaldab erandeid, st musta nimekirja programmidest, mida ei saa käivitada.
Reegleid võib olla nelja tüüpi (järjestatud prioriteedi järgi): sertifikaat (maksimaalne prioriteet), räsi, tee ja tsoon. Tähtsus on asjakohane, kui on mitu poliitikat, mis määratlevad sama rakenduse erinevate reeglitega. Näiteks üks reegel lubab käivitada kõik programmid, mis asuvad kataloogis "ABCD", samas kui teine reegel keelab selliste programmide käitamise, millel on selline ja selline räsi. Kui selgub, et see programm, mille käivitamine on keelatud, asub lubatud kataloogis ABCD, siis on keelamisreegel tugevam, kuna räsireegel “lüüab” teereegli. Selleks kasutatakse prioriteeti.
