АИС Лекци № 11
реклама
Лекция № 11. Основы администрирования Active Directory Ежедневно с помощью службы Active Directory вам придется создавать учетные записи компьютеров, подключать их к домену и т. д. В этой лекции вы изучите средства управления Active Directory и методы управления компьютерами, контроллерами домена и организационными подразделениями (ОП). Средства управления службами Active Directory Для управления Active Directory предназначены средства администрирования и поддержки. Средства администрирования Active Directory Перечисленные ниже инструменты реализованы в виде оснасток консоли ММС: • Active Directory — пользователи и компьютеры (Active Directory Users and Computers) позволяет управлять пользователями, группами, компьютерами и организационными подразделениями (ОП); • Active Directory —домены и доверие (Active Directory Domains and Trusts) служит для работы с доменами, деревьями доменов и лесами доменов; • Active Directory — сайты и службы (Active Directory Sites and Services) позволяет управлять сайтами и подсетями; • Результирующая политика (Resultant Set of Policy) используется для просмотра текущей политики пользователя или системы и для планирования изменений в политике. В Microsoft Windows 2003 Server можно добавить соответствующие оснастки в любую настраиваемую консоль или получить доступ к ним напрямую из меню Администрирование (Administrative Tools). Если на вашем компьютере установлена другая версия Windows и есть доступ к домену Windows 2003, средства не будут доступны, пока вы их не установите. Вы также можете создать пакет установки ПО для инструментов, которые будут распространяться и устанавливаться через Active Directory. В Windows Server 2003 эти инструменты значительно усовершенствованы. Ниже перечислены возможности, которых в Windows 2000 не было. Теперь вы можете: выделять одновременно несколько ресурсов, по очереди щелкая их левой кнопкой при нажатой клавише Ctrl; выделять группу ресурсов, щелкая первый и последний ресурс группы при нажатой клавише Shift; перетаскивать ресурсы в новые положения мышью; редактировать свойства нескольких ресурсов одновременно — выделите нужную группу объектов и щелкните ее правой кнопкой мыши, а затем выберите в контекстном меню нужную команду. Еще одно средство администрирования — оснастка Схема Active Directory (Active Directory Schema) — позволяет управлять и модифицировать схему каталога. Если вы загрузили пакет AdminPak, для добавления оснастки Схема Active Directory (Active Directory Schema) в консоль ММС нужно выполнить следующие действия. 1. Введите в командной строке regsvr32 schmmgmt.dll, чтобы зарегистрировать схему Active Directory. 2. Щелкните кнопку Пуск (Start) и выберите команду Выполнить (Run). 3. Введите mmc в поле Открыть (Open) и щелкните ОК. Откроется пустая консоль ММС. 4. Выберите в меню Консоль (Console) команду Добавить или удалить оснастку (Add/Remove Snap-In). Откроется одноименное диалоговое окно. 1 5. Перейдите на вкладку Изолированная оснастка (Standalone) и щелкните Добавить (Add). 6. В диалоговом окне Добавить изолированную оснастку (Add Standalone Snap-In) выделите оснастку Схема Active Directory (Active Directory Schema) и щелкните Добавить (Add). 7. Щелкните Закрыть (Close), а затем — ОК. Утилиты командной строки Active Directory В этом разделе кратко описаны утилиты для управления Active Directory из командной строки. Для получения более подробной справочной информации о команде введите ее с переключателем /? • DSADD — добавляет в Active Directory компьютеры, контакты, группы, ОП и пользователей. Для получения справочной информации введите dsadd <имя_обьекта> /?, например dsadd computer /?. • DSGET — отображает свойства компьютеров, контактов, групп, ОП, пользователей, сайтов, подсетей и серверов, зарегистрированных в Active Directory. Для получения справочной информации введите dsget <имя_обьекта> /?, например dsget subnet /?. • DSMOD — изменяет свойства компьютеров, контактов, групп, ОП, пользователей и серверов, зарегистрированных в Active Directory. Для получения справочной информации введите dsmod <имя_объекта> /?, например dsmod server /?. • DSMOVE — перемещает одиночный объект в новое расположение в пределах домена или переименовывает объект без перемещения. • DSQUERY — осуществляет поиск компьютеров, контактов, групп, ОП, пользователей, сайтов, подсетей и серверов в Active Directory по заданным критериям. • DSRM — удаляет объект из Active Directory. • NTDSUTIL — позволяет просматривать информацию о сайте, домене или сервере, управлять хозяевами операций (operations masters) и обслуживать базу данных Active Directory. Средства поддержки Active Directory Вот несколько средств, которые помогут настроить, управлять и устранять 2 неполадки Active Directory (табл. 7-1). Таблица 7-1. Краткий перечень средств поддержки Active Directory _ Средство поддержки исполняемого файла Active Directory Administration Tool Ldp.exe Active Directory Replication Monitor Replmon.exe Directory Services Access Control Lists Utility Dsacls.exe Управляет списками управления доступом для объектов Active Directory Distributed File System Utility Dfsutil.exe Управляет распределенной файловой системой (Distributed File System, DFS) и отображает сведения о ее работе DNS Server Troubleshooting Tool Move Tree Dnscmd.exe Управляет свойствами серверов, зон и записей ресурсов DNS Movetree.exe Перемещает объекты из одного домена в другой Replication Diagnostics Tool Repadmin.exe Управляет репликацией и отображает ее результаты в окне командной строки Security Descriptor Check Utility Sdcheckl.exe Описание Осуществляет в Active Directory операции по протоколу LDAP (Lightweight Directory Access Protocol) Управляет репликацией и отображает ее результаты в графическом интерфейсе Анализирует распространение, репликацию и наследование списков управления доступом Sidwalker.exe Задает списки управления доступом для объектов, в прошлом принадлежавших перемещенным, удаленным или потерянным учетным записям Windows Domain Netdom.exe Позволяет управлять доменами и Manager доверительными отношениями из командной строки Security ID Checker Консоль Active Directory — пользователи и компьютеры (Active Directory Users and Computers) Это главное средство администрирования Active Directory, которое используется для выполнения всех задач, связанных с пользователями, группами и компьютерами, а также для управления ОП. Открытие консоли Для запуска Active Directory — пользователи и компьютеры (Active Directory Users and Computers) выберите одноименную команду в меню Администрирование (Administrative Tools). Также можно добавить Active Directory — пользователи и компьютеры (Active Directory Users and Computers) как оснастку в любую настраиваемую консоль. 1. В меню Файл (File) консоли ММС выберите команду Добавить или удалить оснастку (Add/Remove Snap-In). Откроется одноименное окно. 2. На вкладке Изолированная оснастка (Standalone) щелкните Добавить (Add). 3. В окне Добавить изолированную оснастку (Add Standalone Snap-In) выделите Active Directory — пользователи и компьютеры (Active Directory Users and Computers) и щелкните Добавить (Add). 4. Щелкните Закрыть (Close), а затем — ОК. 3 Основы работы с консолью По умолчанию консоль Active Directory — пользователи и компьютеры (Active Directory Users and Computers) работает с доменом, к которому относится ваш компьютер. Вы можете получить доступ к объектам компьютеров и пользователей в этом домене через дерево консоли (рис. 7-1) или подключиться к другому домену. Средства этой же консоли позволяют просматривать дополнительные параметры объектов и осуществлять их поиск. Получив доступ к домену в консоли Active Directory — пользователи и компьютеры (Active Directory Users and Computers), вы увидите стандартный набор папок: Рис. 7-1. Консоль Active Directory — пользователи и компьютеры (Active Directory Users and Computers) • Сохраненные запросы (Saved Queries) — сохраненные критерии поиска, позволяющие оперативно повторить выполненный ранее поиск в Active Directory; • Builtin — список встроенных учетных записей пользователей; • Computers — контейнер по умолчанию для учетных записей компьютеров; • Domain Controllers — контейнер по умолчанию для контроллеров домена; • ForeignSecurityPrincipals — содержит информацию об объектах из доверенного внешнего домена. Обычно эти объекты создаются при добавлении в группу текущего домена объекта из внешнего домена; • Users — контейнер по умолчанию для пользователей. Некоторые папки консоли по умолчанию не отображаются. Чтобы вывести их на экран, выберите в меню Вид (View) команду Дополнительные функции (Advanced Features). Вот эти дополнительные папки: • LostAndFound — «осиротевшие», т. е. потерявшие владельца, объекты; • NTDS Quotas — данные о квотировании службы каталогов; • Program Data — сохраненные в Active Directory данные для приложений Microsoft; • System — встроенные параметры системы. Вы также можете добавить в дерево консоли папки для ОП. Соединение с контроллером домена Соединение с контроллером домена позволяет решать несколько задач. Если после запуска Active Directory — пользователи и компьютеры (Active Directory Users and Computers) вы не видите нужного объекта, следует связаться с контроллером другого домена, чтобы проверить, нет ли этого объекта там. Вы можете также связаться с контроллером домена, если подозреваете, что репликация выполняется неправильно. Подключившись, вы выявите несоответствия в недавно обновленных объектах. Чтобы связаться с контроллером домена, выполните следующие действия. 1. В дереве консоли щелкните правой кнопкой элемент Active Directory — 4 пользователи и компьютеры (Active Directory Users and Computers) и выберите команду Подключение к контроллеру домена (Connect to Domain Controller). Откроется одноименное окно (рис. 7-2). Рис. 7-2. Выбор контроллера домена в окне Подключение к контроллеру домена (Connect to Domain Controller) 2. В списке Доступные контроллеры (Available Controllers) перечислены доступные контроллеры заданного домена. По умолчанию выбран вариант Любой контроллер домена с возможностью записи (Any writable domain controller). Если вы сохраните этот параметр, то свяжетесь с контроллером, который первым ответит на запрос. При необходимости выберите конкретный контроллер, с которым нужно связаться. 3. Щелкните ОК. Соединение с доменом Если у вас есть соответствующие права доступа, в консоли Active Directory — пользователи и компьютеры (Active Directory Users and Computers) разрешается работать с любым доменом в лесу. Вот как связаться с доменом. 1. В дереве консоли щелкните правой кнопкой элемент Active Directory — пользователи и компьютеры (Active Directory Users and Computers) и выберите Подключение к домену (Connect to Domain). 2. В одноименном окне отображается текущий или принятый по умолчанию домен. Введите имя нового домена и щелкните ОК или щелкните Обзор (Browse), а потом укажите домен в диалоговом окне. Поиск учетных записей и общих ресурсов В консоли Active Directory — пользователи и компьютеры (Active Directory Users and Computers) предусмотрена встроенная функция поиска учетных записей, общих ресурсов и других объектов каталога в текущем или указанном домене или во всем каталоге. 1. В дереве консоли щелкните правой кнопкой текущий домен или конкретный контейнер, в котором хотите вести поиск, и выберите команду Найти (Find). Откроется окно Поиск (Find), подобное показанному на рис. 7-3. 5 2. Выберите в списке Найти (Find) нужный вариант: • Пользователи, контакты и группы (Users, Contacts, and Groups) — учетные записи пользователей и групп, а так же контакты, перечисленные в службе каталогов; • Компьютеры (Computers) — учетные записи компьютеров, отсортированные по типу, имени и владельцу; • Принтеры (Printers) — принтеры, отсортированные по имени, модели и свойствам; Рис. 7-3. Это диалоговое окно предназначено для поиска ресурсов в Active Directory Общие папки (Shared Folders) — общие папки, отсортированные по имени или ключевому слову; Организационные подразделения (Organizational Units) — ОП, отсортированные по имени; Пользовательский поиск (Custom Search) — углубленный поиск или запрос по протоколу LDAP; Общие запросы (Common Queries) — упрощенный поиск имен и описаний учетных записей, отключенных учетных записей, паролей с неограниченным сроком действия и др. 3. Задайте область поиска в списке В (In). Если вы до этого щелкнули правой кнопкой контейнер, например Computers, он будет выбран по умолчанию. Чтобы искать все объекты в каталоге, выберите в списке вариант Целиком Active Directory (Entire Directory). 4. Введя параметры поиска, щелкните Найти (Find Now). Все отвечающие условиями поиска разделы отображаются в нижней части окна (рис. 7-4). Дважды щелкните объект для просмотра или изменения его свойств. Щелкните объект правой кнопкой для отображения меню команд управления объектом. Примечание Тип поиска определяет, какие поля и вкладки доступны в диалоговом окне Поиск (Find). Как правило, вы просто вводите имя искомого объекта в поле Имя (Name), но есть и другие параметры поиска. Например, вы можете искать цветной принтер, принтер, который может печатать на обеих сторонах листа, и т. п. 6 Рис. 7-4. Отвечающие условиями поиска объекты отображаются в нижней части окна Управление учетными записями компьютеров Учетные записи компьютеров хранятся как объекты Active Directory и используются для управления доступом к сети и ее ресурсам. Вы можете добавлять учетные записи компьютеров в любой контейнер консоли Active Directory — пользователи и компьютеры (Active Directory Users and Computers). Лучше всего использовать контейнеры Computers, Domain Controllers и любые созданные вами ОП. Примечание Компьютеры с Windows 9x получают доступ к сети как клиенты Active Directory, но у них нет учетных записей компьютера. Создание учетных записей компьютера на рабочей станции или сервере Простейший способ создать учетную запись для данного компьютера — зарегистрироваться на нем и присоединиться к домену, как описано в разделе «Присоединение компьютера к домену или рабочей группе» этой лекции. Когда вы это сделаете, нужная учетная запись компьютера автоматически создается и помещается в папку Computers или Domain Controllers. Можно также создавать учетные записи компьютеров непосредственно в консоли Active Directory — пользователи и компьютеры (Active Directory Users and Computers). Создание учетной записи компьютера Вот как создать учетную запись компьютера с помощью консоли Active Directory — пользователи и компьютеры (Active Directory Users and Computers). 1. В дереве консоли Active Directory — пользователи и компьютеры (Active Directory Users and Computers) щелкните правой кнопкой контейнер, в котором хотите разместить учетную запись компьютера. 2. Щелкните Создать (New), а потом — Компьютер (Computer). Будет запущен мастер Новый объект — компьютер (New Object — Computer), первое окно которого показано на рис. 7-5. Введите имя клиентского компьютера. 7 Рис. 7-5. Создание новой учетной записи компьютера 3. По умолчанию присоединять компьютеры к домену вправе только члены группы Администраторы домена. Чтобы разрешить это другим пользователям или группам, щелкните Изменить (Change) и укажите их учетные записи. Примечание Вы можете выбрать любую существующую учетную запись пользователя или группы. Это позволяет делегировать полномочия на присоединение учетной записи компьютера к домену. 4. Если с этой учетной записью будут работать системы Windows NT, установите флажок Назначить учетной записи статус пред-Windows 2000 компьютера (Assign this computer account as a pre- Windows 2000 computer). 5. Два раза щелкните Далее (Next), а потом — Готово (Finish). Просмотр и редактирование свойств учетной записи компьютера 1. Запустите Active Directory — пользователи и компьютеры (Active Directory Users and Computers). 2. В дереве консоли раскройте узел домена, щелкнув значок «плюс» (+) рядом с его именем. 3. Найдите контейнер или ОП, в котором расположена учетная запись компьютера. 4. Щелкните правой кнопкой нужную учетную запись и выберите Свойства (Properties). Удаление, отключение и включение учетных записей компьютера Если вам больше не нужна учетная запись какого-то компьютера, вы можете навсегда удалить ее из Active Directory или временно отключить, чтобы активизировать ее позднее. 1. В меню Администрирование (Administrative Tools) выберите команду Active Directory — пользователи и компьютеры (Active Directory Users and Computers). 2. В дереве консоли щелкните контейнер, где расположена учетная запись компьютера. Затем щелкните правой кнопкой саму запись компьютера. 3. Выберите одну из команд контекстного меню: • Удалить (Delete), чтобы навсегда удалить учетную запись; • Отключить учетную запись (Disable Account), чтобы временно отключить учетную запись (отключенные записи отмечены красным крестиком); • Включить учетную запись (Enable Account), чтобы разрешить вновь использовать выключенную учетную запись. 8 Внимание! Отключить используемую учетную запись невозможно. Следует предварительно выключить компьютер или прервать рабочий сеанс средствами папки Сеансы (Sessions) консоли Управление компьютером (Computer Management). Сброс заблокированных учетных записей компьютера У учетных записей компьютеров, как и у учетных записей пользователей, есть пароли. Разница в том, что работа с компьютерными паролями полностью автоматизирована. Каждой учетной записи компьютера назначен простой пароль и пароль закрытого ключа, необходимый для безопасной связи с контроллерами домена. Оба пароля по умолчанию меняются каждые 30 дней и должны быть синхронизированы. Без синхронизации компьютеру не удастся зарегистрироваться в домене. Если эта рассинхронизация всё же случилась, сбросьте учетную запись компьютера, выполнив следующие действия. 1. В меню Администрирование (Administrative Tools) выберите Active Directory — пользователи и компьютеры (Active Directory Users and Computers). 2. В дереве консоли щелкните контейнер, где расположена учетная запись компьютера. Затем щелкните правой кнопкой саму запись. 3. Выберите Переустановить учетную запись (Reset Account).Если операция удалась, вы увидите окно подтверждения. Щелкните ОК. Перемещение учетных записей компьютера Учетные записи компьютера обычно хранятся в контейнерах Computers, Domain Controllers или в созданных вами ОП. Чтобы переместить учетную запись в другой контейнер, в Windows Server 2003 вы можете просто перетащить ее мышью. Если этот способ вам почему-либо не подходит, выполните следующие действия. 1. В меню Администрирование (Administrative Tools) выберите Active Directory — пользователи и компьютеры (Active Directory Users and Computers). 2. В дереве консоли щелкните контейнер, где расположена учетная запись. 3. Щелкните правой кнопкой учетную запись компьютера, которую хотите переместить, и выберите Переместить (Move). Откроется одноименное окно (рис. 7-6). 4. Щелкните узел домена, а затем — контейнер, куда хотите переместить компьютер. Щелкните ОК Рис. 7-6. Это диалоговое окно предназначено для перемещения учетных записей компьютеров в контейнеры Управление компьютерами Из консоли Active Directory — пользователи и компьютеры (Active Directory Users and Computers) вы можете открыть консоль Управление компьютером (Computer 9 Management) для нужного компьютера, щелкнув правой кнопкой его учетную запись и выбрав команду Управление (Manage). Присоединение компьютера к домену или рабочей группе Эта операция позволяет компьютерам с Windows NT/2000/XP и Windows Server 2003 входить в сеть и получать доступ к домену. Компьютеры с Windows 95/98 не нуждаются в учетных записях компьютера и не присоединяются к сети этим методом, а настраиваются как клиенты Active Directory Сначала убедитесь, что на компьютере корректно установлены сетевые компоненты. Это, как правило, происходит одновременно с ОС. Если службы DHCP, WINS и DNS правильно установлены в сети, рабочим станциям не потребуются постоянные IP-адреса или специальная настройка. Единственные обязательные параметры — имя компьютера и имя домена, которые вы можете задать непосредственно в процессе присоединения к домену. Совет В Windows Server 2003 право добавлять рабочие станции в домен автоматически предоставлено всем пользователям, зарегистрировавшимся в домене. Однако в целях защиты информации количество рабочих станций, которые данный пользователь может добавить в домен, ограничено десятью. Это значение можно изменить посредством утилиты Ldp.exe из набора инструментов поддержки Windows Server 2003 (атрибут ms-DS-MachineAccountQuota), но с точки зрения безопасности делать этого не следует. Надежнее создавать нужные учетные записи компьютеров заранее или назначить избранным пользователям специальное разрешение на создание объектовкомпьютеров. Сетевое соединение для компьютера скорее всего уже было настроено во время установки ОС. Также вы могли ранее присоединить компьютер к домену или рабочей группе. Если так, вам удастся присоединить компьютер к новому домену или рабочей группе (последовательность действий в Windows 2000 Professional, Windows 2000 Server, Windows XP Professional и Windows Server 2003 практически одна и та же). 1. Войдите в систему на рабочей станции или сервере, который хотите сконфигурировать. 2. Откройте панель управления и дважды щелкните значок Система (System). В окне свойств системы перейдите на вкладку Имя компьютера (Computer Name), показанную на рис. 7-7. 3. Щелкните кнопку Изменить (Change). 4. Чтобы переименовать компьютер, введите новое имя в поле Имя компьютера (Computer Name), например Zeta. Рис. 7-7. Изменение сетевой идентификации компьютера 10 5. Чтобы присоединиться к новому домену, в области Является членом (Member of) выберите вариант Домена (Domain) и введите локальную часть имени домена, например Npdom для домена npdom.samara.cbr.ru. 6. Чтобы присоединиться к новой рабочей группе, в области Является членом (Member of) выберите Рабочей группы (Workgroup) и введите имя группы, например TestDevGroup. 7. Закончив внесение изменений, щелкните ОК. В ответ на запрос введите имя и пароль учетной записи администратора, имеющего полномочия на такие коррективы. Снова щелкните ОК. 8. Если изменения успешны, вы увидите на экране окно подтверждения. Щелкните ОК, чтобы перезагрузить компьютер. 9. Если изменения не удались, вы увидите сообщение об ошибке, например, что учетная запись уже используется. Последнее означает, что вы изменяете имя компьютера, уже подключенного к домену и имеющего в этом домене активные сеансы. Закройте приложения, которые могут соединяться с доменом, например Проводник (Windows Explorer), подключенный к общей папке в сети, и повторите процесс. Управление контроллерами домена, ролями и каталогами Установка и понижение контроллеров домена Чтобы создать контроллер домена, нужно установить Active Directory на рядовом сервере. Если затем вы решите, что сервер больше не должен выполнять задачи контроллера, его можно понизить обратно до уровня рядового сервера. Операции установки Active Directory и понижения контроллера схожи. Перед выполнением этих задач проанализируйте их влияние на сеть. Как вы помните, когда вы устанавливаете контроллер домена, требуется передать роли хозяина операций и переконфигурировать структуру глобального каталога. Кроме того, перед установкой Active Directory в сети должна работать DNS, а целевой жесткий диск — иметь формат NTFS 5.0 или более поздний. Перед понижением контроллера нужно передать все его ключевые обязанности другим контроллерам домена, т. е. при необходимости переместить глобальный каталог с сервера и передать все его роли хозяина операций. Примечание В Windows Server 2003 допускается переименование контроллера домена без понижения до рядового сервера. Единственная возможная проблема в том, что во время переименования сервер недоступен пользователям. Не исключено, что 11 вам придется вручную обновить каталог, чтобы восстановить соединения с сервером. Переместить контроллер домена в другой домен нельзя. Сначала его придется понизить. 1. 2. 3. 4. 5. Вот как установить или понизить контроллер домена. Войдите на сервер, который хотите настроить. В меню Пуск (Start) выберите команду Выполнить (Run). Наберите dcpromo и щелкните ОК. Запустится мастер установки Active Directory. Если компьютер — рядовой сервер, то запускается мастер установки службы каталогов Active Directory. Вам нужно указать, будет ли это контроллер нового домена или дополнительный контроллер существующего домена. Если компьютер — контроллер домена, тот же мастер понизит его до рядового сервера. Примечание В Windows Server 2003 появилась возможность установки контроллера домена с резервного носителя. На одном из контроллеров домена создайте резервную копию состояния системы (System State) и восстановите её на другом сервере под управлением Windows Server 2003. При этом вы избавляетесь от необходимости реплицировать базу данных каталога по сети — немаловажное преимущество, если в базе данных тысячи записей, а у сети невысокая пропускная способность. Просмотр и передача доменных ролей Консоль Active Directory — пользователи и компьютеры (Active Directory Users and Computers) позволяет просмотреть или изменить расположение доменных ролей хозяина операций. На уровне домена вы можете работать с ролями хозяина относительных идентификаторов (Relative ID, RID), эмулятора PDC и хозяина инфраструктуры. Примечание Для настройки роли хозяина именования служит консоль Active Directory — домены и доверие (Active Directory Domains and Trusts), а для изменения роли хозяина схемы — Схема Active Directory (Active Directory Schema). Вот как передать роль хозяина операций. 1. В дереве консоли щелкните правой кнопкой элемент Active Directory — пользователи и компьютеры (Active Directory Users and Computers) и выберите Хозяева операций (Operations Masters). Откроется окно, показанное на рис. 7-8. Рис. 7-8. Это диалоговое окно позволяет передавать роль хозяев операций 12 2. На вкладке RID показано местоположение текущего хозяина относительных идентификаторов. Щелкните Изменить (Change) и выберите новый контроллер домена для передачи роли. 3. На вкладке PDC показано местоположение текущего эмулятора PDC. Щелкните Изменить (Change) и выберите новый контроллер домена для передачи роли. 4. На вкладке Инфраструктура (Infrastructure) показано местоположение текущего хозяина инфраструктуры. Щелкните Изменить (Change) и выберите новый контроллер домена для передачи роли. Щелкните ОК. Просмотр и передача роли хозяина именования домена Консоль Active Directory — домены и доверие (Active Directory Domains and Trusts) позволяет просмотреть или изменить расположение хозяина именования домена в лесу. В ней корневой уровень дерева консоли соответствует выбранному домену. Вот как передать роль хозяина именования домена. 1. Откройте консоль Active Directory — домены и доверие (Active Directory Domains and Trusts). 2. В дереве консоли щелкните правой кнопкой элемент Active Directory — домены и доверие (Active Directory Domains and Trusts) и выберите Хозяин операций (Operations Master). Откроется окно Изменение хозяина операций (Change Operations Master). 3. В поле Хозяин именования доменов (Domain Naming Operations Master) отображается текущий хозяин именования домена. Щелкните Изменить (Change), а затем укажите новый контроллер. Роль будет передана этому контроллеру. 4. Щелкните Закрыть (Close). Просмотр и передача роли хозяина схемы Консоль Схема Active Directory (Active Directory Schema) позволяет просмотреть или изменить расположение хозяина схемы. Делается это так. 1. Добавьте оснастку Схема Active Directory (Active Directory Schema) в консоль ММС. 2. В дереве консоли щелкните правой кнопкой элемент Схема Active Directory (Active Directory Schema) и выберите Изменение контроллера домена (Change Domain Controller). 3. Установите переключатель Любой контроллер (Any Domain Controller), чтобы позволить Active Directory выбрать новый хозяин схемы автоматически, или переключатель Укажите имя (Specify Name), чтобы указать конкретный сервер. 4. Щелкните ОК. 5. В дереве консоли щелкните правой кнопкой элемент Схема Active Directory (Active Directory Schema) и выберите Хозяин операций (Operations Master). 6. Щелкните Сменить (Change) и задайте в качестве хозяина другую систему. 13 7. Щелкните Закрыть (Close) Передача ролей с помощью командной строки В этом разделе рассказано, как передать роли с помощью утилиты командной строки Ntdsutil.exe. 1. Локально или с помощью удаленного рабочего стола зарегистрируйтесь на сервере, которому хотите назначить роль нового хозяина операций. 2. Щелкните кнопку Пуск (Start), выберите команду Выполнить (Run), введите cmd в поле Открыть (Open) и щелкните ОК. 3. В командной строке введите ntdsutil. 4. В командной строке утилиты Ntdsutil введите roles. Утилита перейдет в режим обслуживания хозяев операций. 5. После приглашения Fsmo Maintenance введите connections. Затем после приглашения Server Connections введите connect to server и полное доменное имя текущего хозяина схемы для данной роли, например: connect to server engdc01.technology.adatum.com 6. Когда соединение будет установлено, введите quit, чтобы покинуть приглашение Server Connections, а затем в строке приглашения Fsmo Maintenance введите transfer и идентификатор переносимой роли: pdc — роль эмулятора PDC; : rid master — роль хозяина относительных идентификаторов; infrastructure master — роль хозяина инфраструктуры; schema master — роль хозяина схемы; domain naming master — роль хозяина именования доменов. 7. Введите quit в строках приглашения Fsmo Maintenance и Ntsdutil. Захват ролей с помощью командной строки Изредка возникают ситуации, когда обычная передача роли невозможна. Например, у контроллера домена, который исполнял роль хозяина RID, может выйти из строя жесткий диск. Просто передать роль другому серверу уже не удастся — ее придется захватить. Внимание! Захват роли — это очень серьезное действие, и прибегать к нему следует лишь в безвыходной ситуации, когда сервер, исполнявший роль, окончательно и бесповоротно вышел из строя. После захвата роли сервера на нем придется переформатировать жесткий диск. 1. 2. 3. 4. 5. Вот как захватить роль сервера. Убедитесь, что сервер, роль которого вы хотите захватить, действительно нельзя вернуть к жизни. Если сервер может продолжать работу, захватывайте его роль, только если вы собираетесь полностью переустанавливать на нем ОС. Зарегистрируйтесь на сервере, который хотите сделать новым хозяином операций, локально или через удаленный рабочий стол. Щелкните кнопку Пуск (Start), выберите команду Выполнить (Run), введите cmd в поле Открыть (Open) и щелкните ОК. В командной строке введите ntdsutil. В командной строке утилиты Ntdsutil введите roles. Утилита перейдет в режим обслуживания хозяев операций. 14 6. После приглашения Fsmo Maintenance введите connections. Затем после приглашения Server Connections введите connect to server и полное доменное имя текущего хозяина схемы для данной роли, например: connect to server engdc01.technology.adatum.com 7. Когда соединение будет установлено, введите quit, чтобы покинуть приглашение Server Connections, а затем в строке приглашения Fsmo Maintenance введите seize и идентификатор захватываемой роли (один из тех, что перечислены в предыдущем разделе). 8. Введите quit в строках приглашения Fsmo Maintenance и Ntdsutil. Настройка глобальных каталогов Глобальные каталоги играют в сети важную роль. Иногда их требуется добавлять для ускорения операций поиска, а иногда — удалять. Так, если в сайте два или более глобальных каталога, желательно оставить только один из них. Вот как включить или отключить глобальный каталог. 1. Откройте консоль Active Directory — сайты и службы (Active Directory Sites and Services). 2. В дереве консоли раскройте сайт, с которым хотите работать, щелкнув значок «плюс» (+) рядом с его именем. 3. Раскройте папку Servers и щелкните сервер, который хотите использовать для хранения глобального каталога. 4. Щелкните правой кнопкой элемент NTDS Settings и выберите команду Свойства (Properties). 5. Чтобы активизировать глобальный каталог, установите флажок Глобальный каталог (Global Catalog) на вкладке Общие (General), как показано на рис. 7-9. 6. Чтобы отключить глобальный каталог, сбросьте этот флажок. 15 Рис. 7-9. Включение или отключение глобального каталога через NTDS-параметры сервера Настройка кэширования членства в универсальных группах Кэширование членства в универсальных группах позволяет регистрироваться в системе независимо от доступности сервера глобального каталога. Если в домене Windows Server 2003 разрешено кэширование членства, любой контроллер домена способен разрешать запросы на регистрацию, не обращаясь к серверу глобального каталога. Чтобы разрешить или запретить кэширование членства в универсальных группах на сервере Windows Server 2003, который в данный момент не является сервером глобального каталога, выполните следующие действия. 1. Откройте консоль Active Directory — сайты и службы (Active Directory Sites and Services). 2. В дереве консоли раскройте нужный сайт. 3. Раскройте папку Servers и щелкните нужный сервер. 4. Щелкните правой кнопкой элемент NTDS Settings и выберите команду Свойства (Properties). 5. Чтобы разрешить кэширование, установите флажок Разрешить кэширование членства в универсальных группах (Enable Universal Group Membership Caching) на вкладке Общие (General). Чтобы запретить кэширование, этот флажок нужно сбросить. Управление организационным подразделением Как говорилось, организационные подразделения (ОП) помогают организовывать объекты, применять групповую политику в ограниченной области и т. п. Создание ОП Обычно ОП создают для отражения функциональной или организационной структуры организации. Вы можете создавать ОП как подгруппы домена или дочерние подразделения внутри существующего ОП. 1. Откройте консоль Active Directory — пользователи и компьютеры (Active Directory Users and Computers). 2. В дереве консоли раскройте узел домена, щелкнув значок «плюс» (+) рядом с его именем. 3. Щелкните правой кнопкой узел домена или папку существующего ОП, в которую хотите добавить ОП. Выберите в контекстном меню команду Создать (New), а затем — Подразделение (Organizational Unit). 4. Введите название ОП и щелкните ОК. Теперь вы можете перемещать в подразделение учетные записи и общие ресурсы. 16 Просмотр и изменение свойств ОП 1. Откройте консоль Active Directory — пользователи и компьютеры (Active Directory Users and Computers). 2. В дереве консоли раскройте узел домена, щелкнув значок «плюс» (+) рядом с именем домена. 3. Щелкните правой кнопкой нужное ОП и выберите команду Свойства (Properties). Откроется окно свойств, позволяющее просматривать и изменять параметры. Переименование и удаление ОП 1. В консоли Active Directory — пользователи и компьютеры (Active Directory Users and Computers) щелкните правой кнопкой ОП, с которым хотите работать. 2. Чтобы удалить ОП, выберите Удалить (Delete). Затем подтвердите действие, щелкнув Да (Yes). 3. Чтобы переименовать ОП, выберите Переименовать (Rename). Введите новое имя для ОП и нажмите Enter. Перемещение ОП Чтобы переместить ОП в другое положение в пределах домена, в Windows Server 2003 можно просто перетащить его мышью. Если этот способ вам почему-либо не подходит, выполните следующие действия. 1. В консоли Active Directory — пользователи и компьютеры (Active Directory Users and Computers) щелкните правой кнопкой ОП, которое хотите переместить, и выберите Переместить (Move). 2. В открывшемся диалоговом окне щелкните узел домена, а затем — контейнер, куда хотите переместить ОП. Щелкните ОК. 17
