Файловый архив студентов. Файловый архив студентов.
1268 вузов, 4652 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Белорусский государственный университет информатики и радиоэлектроники
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:

Книга Active directory

.pdf
Скачиваний:
565
Добавлен:
16.03.2016
Размер:
8.2 Mб
Скачать

• 198

Компьютеры

Глава 5

Упражнение 1. Создание подразделений для объектов компьютеров клиентов и серверов

Прежде чем создавать учетные записи компьютеров, нужно создать подразделения для этих объектов. В этом упражнении вы создадите подразделения для объектов серверов и компьютеров.

1.Войдите на машину SERVER01 как администратор.

2.Откройте оснастку Active Directory — пользователи и компьютеры (Active Directory Users And Computers) и разверните домен.

3.Щелкните правой кнопкой мыши домен contoso.com, выберите опцию Создать (New) и примените команду Подразделение (Organizational Unit).

4.Введите имя Клиенты и щелкните ОК.

5.Щелкните правой кнопкой мыши домен contoso.com, выберите опцию Создать (New) и примените команду Подразделение (Organizational Unit).

6.Введите имя Серверы и щелкните ОК.

Упражнение 2. Создание объектов компьютеров

После создания подразделений для объектов компьютеров можно заняться предварительным размещением учетных записей для компьютеров, которые будут присоединены к домену. В этом упражнении вы предварительно разместите учетную запись для клиента и учетную запись для сервера, после чего делегируете разрешение на присоединение компьютера к домену.

1.Щелкните правой кнопкой мыши подразделение Клиенты, выберите опцию Создать (New) и примените команду Компьютер (Computer) .

2.Откроется диалоговое окно Новый объект — Компьютер (New Object — Computer), показанное на рис. 5-3.

3.В поле Имя компьютера (Computer Name) введите'DESKTOP101.

4.Щелкните кнопку Изменить (Change) возле поля Имя пользователя или группы (User Or Group).

5.В открывшемся диалоговом окне Выбор: "Пользователь" или "Группа" (Select User Or Group) нужно указать имя пользователя или группы, которой будет разрешено присоединить компьютер к домену. Введите имя Справка. Щелкните ОК.

6.Щелкните ОК, чтобы закрыть диалоговое окно Новый объект — Компьютер (New Object — Computer).

7.Щелкните правой кнопкой мыши подразделение Серверы, выберите опцию Создать (New) и примените команду Компьютер (Computer) .

8.Откроется диалоговое окно Новый объект — Компьютер.

9.В поле Имя компьютера (Computer Name) введите SERVER02.

10.Щелкните Изменить (Change) возле поля Имя пользователя или группы (User Or Group).

11.В открывшемся диалоговом окне Выбор: "Пользователь" или "Группа" (Select User Or Group) введите имя Администраторы сервера. Щелкните ОК .

Занятие 1

Создание компьютеров и присоединение их к домену

1 9 9

12. Щелкните ОК, чтобы закрыть диалоговое окно Новый объект — Компьютер (New Object — Computer).

Упражнение 3. Делегирование разрешения на создание объектов компьютеров

Для создания учетных записей нужно иметь разрешение на создание объектов компьютеров. Учетная запись Администратор (Administrator) располагает такими разрешениями, а другим группам разрешение создавать учетные записи компьютеров можно делегировать. В этом упражнении вы делегируете минимальный уровень разрешений на создание объектов компьютеров.

1.На машине SERVER01 откройте оснастку Active Directory — пользователи и компьютеры (Active Directory Users And Computers)?

2.Щелкните меню Вид (View) и установите флажок Дополнительные компоненты (Advanced Features).

3.Щелкните правой кнопкой мыши подразделение Клиенты и примените команду Свойства (Properties).

4.Перейдите на вкладку Безопасность (Security).

5.Щелкните кнопку Дополнительно (Advanced).

6.Щелкните кнопку Добавить (Add).

7.Введите имя Справка и щелкните ОК.

8.В открывшемся окне перейдите на вкладку Объект (Object).

9.В раскрывающемся списке Применять (Apply То) выберите уровень Этот объект и все дочерние объекты (This Object And All Descendant Objects).

10.В списке Разрешения (Permissions).установите флажок Разрешить (Allow) напротив Создание объектов: Компьютер (Create Computer Objects).

11.Трижды щелкните OK, чтобы закрыть все диалоговые окна.

12.Можете проверить делегирование, запустив командную строку под именем пользователя Линды Митчелл и выполнив упражнение 1 занятия 2.

Упражнение 4. Перенаправление контейнера компьютеров по умолчанию

Рекомендуется перенаправить контейнер компьютеров по умолчанию, чтобы все новые объекты компьютеров, генерируемые в случае присоединения компьютеров к домену без предварительного размещения учетной записи, создавались в управляемом подразделении, а не в контейнере Computers. В этом упражнении вы используете команду Redircmp.exe для перенаправления контейнера компьютеров по умолчанию.

1.На машине SERVER01 откройте окно командной строки.

2.Введите следующую команду и нажмите клавишу Enter:

redircmp "Ои=Клиенты,DC=contoso,DC=com"

Упражнение 5 (по желанию). Присоединение компьютера к домену

В этом упражнении вы присоедините компьютер к домену. Для этого необходим еще один компьютер: сервер SERVER02 с системой Windows Server 2008

• 200

Компьютеры

Глава 5

или клиентская машина DESKTOPlOl с системой Windows Vista. Если компьютеру присвоено другое имя, нужно переименовать его или создать объект для этого компьютера в подразделении Кадры в соответствии с инструкциями упражнения 2.

1.Войдите на компьютер рабочей группы с учетными данными, принадлежащими к локальной группе Администраторы (Administrators) компьютера.

2.Откройте окно свойств системы, применив один из следующих методов:

откройте апплет Система (System) в панели управления;

в меню Пуск (Start) щелкните правой кнопкой мыши ссылку Компьютер (Computer);

нажмите клавишу Windows и клавишу Pause.

3.В секции Имя компьютера, имя домена и параметры рабочей группы (Computer Name, Domain, and Workgroup Settings) щелкните ссылку Изменить параметры (Change Settings).

4.Перейдите на вкладку Имя компьютера (Computer Name).

5.Щелкните кнопку Изменить (Change).

6.В секции Является членом (Member Of) выберите опцию Домен (Domain).

7.Введите имя домена contoso.com, к которому хотите присоединить компьютер.

8.Щелкните ОК. Компьютер попытается связаться с доменом. Система Windows предложит ввести учетные данные пользователя домена.

9.Введите учетные данные и щелкните ОК ..

Если вы присоединяете к домену машину SERVER02, введите учетные данные пользователя Джеффа Форда, входящего в группу Администраторы сервера.

Если вы присоединяете к домену машину D E S K T O P l O l , введите учетные данные пользователя Линды Митчелл из группы Справка.

10. Вам будет предложено перезагрузить компьютер. Щ е л к н и т е О К, чтобы закрыть это окно сообщения.

11.Щелкните кнопку Закрыть (Close), чтобы закрыть диалоговое окно свойств системы.

12.Перезагрузите компьютер.

Резюме

Контейнер Computers не поддерживает связывание объектов групповой политики и создание дочерних подразделений. Поэтому рекомендуется создать структуру подразделений, соответствующую модели управления организации.

Всегда предварительно размещайте учетные записи компьютеров: перед присоединением системы к домену нужно создать в Active Directory объект для этого компьютера.

Для успешного присоединения компьютера к домену необходимо следующее: вы должны быть локальным администратором компьютера, должна

Занятие 1

Создание компьютеров и присоединение их к домену

2 0 1

быть создана учетная запись компьютера и требуется предоставить доменные учетные данные с разрешением на присоединение объекта компьютера

к домену.

Команда Redircmp.exe используется для перенаправления контейнера компьютера по умолчанию в подразделение, которое можно делегировать и конфигурировать в соответствии с требованиями предприятия.

• Атрибут ms-DS-MachineAccountQuota позволяет всем прошедшим проверку подлинности пользователям присоединить до десяти систем к домену. Система Windows будет создавать объекты компьютеров для этих систем в контейнере компьютеров по умолчанию. Чтобы запретить неадминистративным пользователям создавать принципалы безопасности, установите для этой квоты значение 0.

Закрепление материала

Следующие вопросы можно использовать для проверки знаний, полученных на занятии 1. Эти вопросы есть и на сопроводительном компакт-диске.

ПРИМЕЧАНИЕ Ответы

Ответы на этн вопросы с пояснениями, почему тот или иной вариант ответа правилен или неверен, вы найдете в разделе «Ответы» в конце книги.

1. Требуется, чтобы все новые учетные записи компьютеров, создаваемых в процессе присоединения компьютеров к домену, помещались в подразделение Клиенты. Какую команду использовать для решения этой задачи?

A.Dsmove.

Б.Move-Item. B. Netdom.

Г.Redircmp.

2. Необходимо запретить неадминистративным пользователям присоединять компьютеры к домену. Какую команду применить для этого?

A. Задать атрибуту ms-DS-MachineAccountQuota значение 0. Б. Задать атрибуту ms-DS-DefaultQuota значение 0.

B. Отменить в группе Прошедшие проверку (Authenticated Users) разрешение Добавление рабочих станций в домен (Add Workstations То Domain).

Г. В домене запретить группе Прошедшие проверку (Authenticated Users) создавать объекты компьютеров.

3.Требуется присоединить удаленный компьютер к домену. Какую команду использовать?

A.Dsadd.exe.

Б.Netdom.exe.

B.Dctest.exe.

Г.System.cpl.

8 Зак. 3399

2 0 2

Компьютеры

Занятие 2. Автоматизация создания объектов

компьютеров

Методами, описанными на занятии 1, неудобно создавать десятки, а то и сотни учетных записей компьютеров одновременно. Такие команды, как CSVDE, LDIFDE и Dsadd, а также сценарии VBScript и Windows PowerShell могут импортировать и автоматизировать создание объектов компьютеров. Сценарии также позволяют подготовить объекты компьютеров, то есть внедрить такую бизнес-логику, как правила именования компьютеров. На этом занятии мы рассмотрим импорт, автоматизацию и подготовку объектов компьютеров. Эти команды описаны на занятиях 1, 2 и 3 главы 3.

Изучив материал этого звнятия, вы сможете:

* Импортировать компьютеры с помощью команд CSVDE и LDIFDE.

•f Создавать компьютеры посредством команд Dsadd, Netdom, а также воспользовавшись Windows PowerShell и VBScript.

Продолжительность занятия — около 30 мин,

Импорт компьютеров с помощью команды CSVDE

Команда CSVDE (Comma-Separated Values Data Exchange) описана на занятии 1 главы 3. Инструмент командной строки CSVDE импортирует и экспортирует объекты Active Directory из текстового файла значений с разделительными запятыми (файл .csv). Далее приведен базовый синтаксис команды CSVDE: csvde [-i] (-f "Иня_файла"] [-k]

Параметр -i указывает режим импорта. Без него команда CSVDE по умолчанию работает в режиме экспорта. Параметр -/ идентифицирует имя файла для импорта или экспорта. Параметр -k удобно применять для импорта, поскольку он указывает команде CSVDE игнорировать ошибки, включая Объект уже существует (Object Already Exists), Нарушение ограничений (Constraint Violation) и Атрибут или значение уже существует (Attribute Or Value Already Exists).

Файлы с разделительными запятыми можно создавать, модифицировать и открывать с помощью программ Блокнот (Notepad) и Microsoft Office Excel. Первая строка файла определяет атрибуты на основе LDAP-имен атрибутов (Lightweight Directory Access Protocol). Каждый объект представлен в одной строке и должен содержать атрибуты, перечисленные в первой строке файла. Образец такого файла показан на рис. 5-5.

И

Ui

..

ь

 

 

l

>•

1

 

objtdClmn»m»

utt'AccourflControl iAMActountNime

' I

CM4$rTCriD1.0>4i«Ml,OCWoio.DC^oo(«mpul«r

DfS*TC»101

 

«96 DESKTOPIOSS

1 O^MMTorlROMJ.tmi.C^^firtMg DOrancompatr

DtSrTOPKX

 

4096 DESKTOP1045

«

 

 

COMPUW

UMROJ

 

 

AOH SIRVIROJS

Рис. 5-5. Открытый в Excel файл .csv, который создает три учетных записи компьютеров

Занятие 2

Автоматизация создания объектов компьютеров

2 0 3

При импорте компьютеров необходимо обязательно включить атрибут userAccountControl и присвоить ему значение 4096. Этот атрибут обеспечивает возможность присоединения компьютера к домену. Кроме того, включите в файл имя входа пред - Windows 2000 д л я компьютера, которое представлено атрибутом sAMAccountName со знаком доллара (см. рис. 5-5).

КСВЕДЕНИЮ

Вглавах 3 и 4 рассматривалось применение команды CSVDE для импорта пользователей и групп. Чтобы получить подробную информацию о команде CSVDE, в том числе о параметрах и экспорте объектов каталогов, введите команду csvde/? или выполните поиск в центре справки и поддержки Windows Server 2008 (Windows Server 2008 Help and Support Center).

Импорт компьютеров при помощи команды LDIFDE

В главе 3 также описана команда Ldifde.exe, которая импортирует данные из файлов в формате L D I F (Lightweight Directory Access Protocol Data Interchange Format). В текстовых файлах L D I F операции указываются в виде блоков строк, разделенных пустой строкой. Каждая операция начинается с атрибута DN объекта, который является субъектом операции. Следующая строка, changeType, указывает тип операции: add, modify или delete.

Далее приведен пример ф а й л а LDIF, который может создать две учетные записи серверов:

dn: CN=SERVER10,ои=Серверы,DC=contoso,DC=com changetype: add

objectClass: top objectClass: person

objectClass: organizationalPerson objectClass: user

objectClass: computer cn: SERVER10 userAccountControl: 4096

sAMAccountName: SERVER10S

dn: CN=SERVER11,0и=Серверы,DC=contoso,DC=com changetype: add

objectClass: top objectClass: person

objectClass: organizationalPerson . objectClass: user

objectClass: computer cn: SERVER 11 . userAccountControl: 4096 sAMAccountName:

204

Компьютеры

Глава 5

Базовый синтаксис команды LDIFDE аналогичен синтаксису команды

CSVDE:

ldifde [-1] [-f "Иня_файла"] [-k]

По умолчанию команда LDIFDE работает в режиме экспорта. Параметр -г указывает режим импорта. Параметр -/ идентифицирует файл д л я импорта или экспорта. Если не указать значение - k, команда LDIFDE остановит выполнение при ошибке. Если же указать параметр -k, команда LDIFDE будет игнорировать возникающие ошибки.

СОВЕТ К ЭКЗАМЕНУ

Помните, что по умолчанию команды CSVDE и LDIFDE работают в режиме экспорта. Для импорта объектов нужно задействовать параметр -i.

Создание компьютеров посредством команды Dsadd

В предыдущих главах говорилось об использовании команды Dsadd для создания объектов в Active Directory. Чтобы создать объект компьютера, просто введите команду dsadd computer DNjcoMmiomepa, указав отличительное имя (DN) компьютера, например CN=Desktopl23,OU=Desktops,DC=contoso,DC=com.

Если отличительное имя компьютера содержит символ пробела, заключите все имя в кавычки. Параметр DN_компыотера может содержать несколько отличительных имен новых объектов компьютеров, так что команду Dsadd Computers удобно применять для одновременного генерирования множества объектов. Ввести этот параметр можно так:

поместить в конвейер Dsadd список DN-имен, извлеченный другой командой, например Dsquery;

ввести отличительные имена в командную строку, разделив их пробелами;

оставить параметр DA!_компъютера пустым и вводить отличительные имена в окно командной строки по отдельности. После ввода каждого имени следует нажимать клавишу Enter. Введя последнее отличительное имя, нажмите комбинацию клавиш Ctrl+Z, а затем Enter.

Команда Dsadd Computer может принимать опциональные параметры, следующие за отличительным именем:

• -samid SAM_umx;

-desc Описание;

-loc Размещение.

Создание компьютеров с помощью команды Netdom

Благодаря команде Netdom можно также решать различные задачи безопасности и управления учетной записью в командной строке. На занятии 1 мы использовали команду Netdom для присоединения компьютера к домену. Эту команду можно также применять для создания учётной записи компьютера:

netdom add Иня_конпыотера /domain-.Имя_домена [/ои\ОН_подразделения]

[/userd-.Пользователь /PasswordD:Пароль]

Занятие 2

Автоматизация создания объектов компьютеров

205

Эта команда создает учетную запись компьютера с указанным именем в указанном домене, используя учетные данные, представленные параметрами UserD и PasswordD. Параметр ои назначает создание объекта в подразделении, отличительное имя которого указано после этого параметра. Если отличительное имя подразделения не указано, учетная запись компьютера создается в контейнере компьютеров по умолчанию. Учетная запись пользователя должна иметь разрешение на создание объектов компьютеров.

Создание компьютеров с использованием Windows PowerShell

В главе 3 описана новая оболочка Windows PowerShell для администрирования и автоматизации на платформах Windows. В этой главе мы рассматриваем создание пользователей. Объекты компьютеров, как и объекты пользователей, можно создавать, в ы п о л н я я следующие действия.

1.Подключитесь к контейнеру (подразделению), в котором хотите создать компьютер.

2.Воспользовавшись методом Create контейнера, создайте компьютер.

3. Заполните обязательные атрибуты.

4. Подтвердите внесенные изменения.

Д л я подключения к подразделению в Windows PowerShell введите в командную строку PowerShell команду:

SobjOU = [ADSI]" LDAP ://ОА/_лодразделешя"

Эта команда создает объектную ссылку, которая хранится в переменной SobjOU, представляющей подразделение.

Теперь с помощью переменной SobjOU можно инициировать методы подразделения. Д л я создания компьютера используйте метод Create:

SobjComputer = SobjOU. Create("computer", "(М=СИ_компьютера")

Затем необходимо отконфигурировать два атрибута. Первый из них — sAMAccountName, представляющий имя входа пред-Windows 2000 для компьютера со знаком доллара ($). Вторым будет атрибут userAccountControl компьютера, которому следует присвоить значение 4096 (01000 в шестнадцатеричном формате). Атрибут userAccountControl представляет собой набор битовых флагов. Этот бит указывает, что данная учетная запись предназначена для члена домена. Без него компьютер не сможет присоединиться к домену с помощью выбранной учетной записи. Ч т о б ы задать эти два атрибута, введите такую команду: SobjComputer.Put("sAMAccountName", "Иня_компьютера$")

$objComputeг.Put("userAccountControl", 4096)

Вы можете одновременно задать и другие атрибуты, например description или info. После настройки атрибутов подтвердите изменения посредством команды:

SobjComputer. SetlnfoO

• 206

Компьютеры

Глава 5

Импорт компьютеров из базы данных с помощью Windows PowerShell

На сертификационном экзамене 70-640 у вас вряд ли спросят о способах подключения к базе данных и создания компьютеров с помощью Windows PowerShell. Тем не менее наличие подобных знаний обеспечит реальное преимущество при работе в производственной среде. Предположим, что вы получили список компьютеров от поставщика. Вам нужно предварительно разместить учетные записи для этих систем. Сделать это без труда можно, воспользовавшись Windows PowerShell. С помощью сценариев также можно реализовать такую бизнес-логику, как внедрение стандартов именования. В этом подразделе мы опишем способы решения таких задач.

Командная оболочка Windows PowerShell может подключаться и открывать такие источники данных, как файлы .csv, которые создаются в программах Excel и Блокнот (Notepad). Например, вы можете вставить в таблицу Excel инвентарные номера (asset tag) из списка полученных компьютеров и сохранить эту таблицу как файл .csv с именем Assets.csv.

Предположим, что вам нужно импортировать эти компьютеры в домен с соблюдением двух правил. Во-первых, ноутбуки и настольные системы должны располагаться в отдельных дочерних подразделениях Laptops и Desktops подразделения Клиенты. Во-вторых, в соответствии с соглашениями об именовании, к инвентарному номеру требуется добавлять п р е ф и к с ы L или D, означающие соответственно ноутбуки и настольные системы. Например, имя компьютера, первого в списке на рис. 5-6, — DA849XD. Эти два простых правила — примеры так называемой логики в контексте программирования.

W i

. A

в

 

1 ' A l j e t T a g T y p e •.

 

1,2

IA849XD

D e s k t o p

 

, s | 0 8 2 K E 8

D e s k t o p

 

,STELW938

L a p t o p

 

'5 IXKO0GO _L?HisEL.

 

6

93JXS0

l a p t o p

 

 

 

 

 

' 7

J0GJ3

Laptop

 

Рис. 5-6.

Пример источника данных Excel с инвентарными номерами компьютеров

Для импорта компьютеров из файла можно использовать следующий сценарий (чтобы упростить последующее описание кода, мы добавили номера строк):

1.$dataSource=import-csv "Assets.csv"

2.foreach($dataRecord In Sdatasource) {

3.«map variables to data source

4.SAssetTag = SdataRecord.AssetTag

5.$Type = SdataRecord.Type

6.((determine name

7.SComputerName = SType.substrings, 1) + SAssetTag

8.$sAMAccountName=$ComputerName + "S"

9.«determine OU

Занятие 2

Автоматизация создания объектов компьютеров

2 0 7

10.SstrOUADsPath = "LDAP://0U=" + $Туре + "s" + "

11.", Ои=Клиенты, DC=contoso, DC=com"

12.«create the computer object

13.$objOU=[ADSI]$strOUADsPath

14.$objComputer=$objOU.Create("computer","CN="+$ComputerName)

15.SobjComputer. Put("sAMAccountName",SsAMAccountName)

16.JobjComputer.Put("userAccountControl".4096)

17.SobJComputer. SetlnfoO

18. }

Строки 1 3 - 1 7 аналогичны командам, показанным в предыдущем подразделе, за исключением того, что в строке 13 вместо жестко кодированного пути к подразделению используется переменная. Эти строки представляют собой часть блока кода в строках 2 - 1 8 и повторяются для каждой записи в источнике данных. Источник данных определен в строке 1 с помощью того самого командлета Import-Csv, который описан в главе 3. В строке 2 для выполнения цикла по всем записям в источнике данных используется коллекция foreach (Joreach — это псевдоним командлета ForEach-Object).

В строках 4 и 5 два поля в каждой записи назначаются переменным. В строках 6 - 1 1 выполняется бизнес-логика. В строке 7 создается имя компьютера с использованием первого символа в поле Type (D или L) и прикреплением AssetTag. В строке 8 создается атрибут sAMAccountName путем добавления знака доллара к имени компьютера. В строке 10 создается путь к подразделению объекта. Обратная кавычка в конце строки 10 представляет собой символ продолжения строки и означает, что код продолжает выполняться в строке 11. Поэтому строки 10 и 11 на самом деле составляют одну строку кода. Логика указывает, что компьютеры с т и п о м Desktop помещаются в подразделение Desktops.

Как продемонстрировано в этом сценарии, не так уж и сложно предварительно подготовить систему д л я новых объектов компьютеров. Определите источники данных и бизнес-логику, а сценарии Windows PowerShell сделают все остальное.

Создание компьютеров посредством VBScript

В VBScript д л я м а н и п у л и р о в а н и я объектами Active Directory используется тот же интерфейс ADSI (Active Directory Services Interface), что и в Windows PowerShell, так что создание компьютера происходит аналогично: подключение к контейнеру, создание объекта, заполнение его атрибутов и подтверждение изменений. Следующий код создает компьютер в домене:

Set objOU = Get0bject("LDAP://D«_подразделений")

Set objComputer = objOU.Create("computer","Cti-CN_KombBTepa") objComputer. Put "sAMAccountName", "Имй_компыотера$" objComputer. Put "userAccountControl", 4096

objComputer. Setlnf.o

Этот код очень похож на команды Winsdows PowerShell в строках 13-17 сценария, показанного в предыдущем подразделе.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности