Книга Active directory

3.Сохраните файл в папке Документы (Documents) под именем "Computers.csv", заключив его в кавычки, чтобы программа Блокнот не добавила расширение .txt.

4. Откройте окно командной строки.

5. Введите следующую команду и нажмите клавишу Enter: csvde -i -f "%userprofile%\documents\computers.csv"

6.В оснастке Active Directory — пользователи и компьютеры (Active Directory Users And Computers) проверьте, созданы ли объекты компьютеров.

У п р а ж н е н и е 3. И м п о р т к о м п ь ю т е р о в из ф а й л а LDIF

Файлы L D I F не так широко используются администраторами, как файлы .csv, но эти мощные ф а й л ы довольно легко создавать. В этом упражнении вы создадите файл L D I F и импортируете его с помощью команды Ldifde.exe.

1. Откройте программу Блокнот (Notepad).

2.В окно программы введите следующий код и не забудьте добавить пустую строку между двумя операциями (перед строкой dn для SERVER11):

dn: CN=SERVER10,ои=Серверы,DC=contoso,DC=com changetype: add

objectClass: top objectClass: person

objectClass: organizationalPerson objectClass: user

objectClass: computer cn: SERVER10 userAccountControl: 4096

sAMAccountName: SERVER10S

dn: CN= SERVER11,0U=CepBepbi,DC=contoso,DC=com changetype: add

objectClass: top

objectClass: person

objectClass.: organizationalPerson objectClass: user

objectClass: computer

cn: SERVER11 userAccountControl: 4096 sAMAccountName: SERVER11$

3. С о х р а н и т е этот ф а й л в папке Д о к у м е н т ы ( D o c u m e n t s ) под именем "Computers.Idf", заключив его в кавычки, чтобы программа Блокнот не добавила расширение .txt.

4. Откройте окно командной строки.

5. Введите следующую команду и нажмите клавишу Enter:

Idifde -i -f "%userprofile%\documents\computers.ldf"

6.Откройте оснастку Active Directory — пользователи и компьютеры (Active Directory Users And Computers) и проверьте, созданы ли объекты компьютеров.

Упражнение 4. Создание компьютера с применением Windows PowerShell

Оболочка Windows PowerShell позволяет использовать интерфейс ADSI для создания объектов Active Directory и манипулирования ими. В этом упражнении вы создадите компьютер с помощью Windows PowerShell.

1.Откройте Windows PowerShell.

2.Введите следующие команды, нажимая клавишу Enter после каждой:

SobjOU = [ADSI ] "LDAP: //ои=Клиенты, DC=contoso, DC=com"

SobjComputer = SobjOU. CreateC'computer", "CN=DESKT0P154")

SobjComputer. PutC'sAHAccountName", "DESKT0P154S")

3.Откройте оснастку Active Directory — пользователи и компьютеры (Active Directory Users And Computers) и проверьте, создан ли объект компьютера DESKTOP154 в подразделении Клиенты.

Упражнение 5. Создание компьютера с помощью VBScript

Компьютер можно создать и с помощью VBScript. В этом упражнении вы создадите компьютер, написав и выполнив сценарий VBScript.

1.Откроите программу Блокнот (Notepad).

2.В окно программы введите следующий код:

Set objOU = GetObject( "LDAP: //ои=Клиенты, DC=contoso, DC=com") Set objComputer = objOU.CreateC'computer","CN=DESKT0P155") objComputer.Put "sAMAccountName", " DESKT0P155S" objComputer.Put "userAccountControl", 4096

objComputer. Setlnfo

3. Сохраните этот файл в папке Документы ( D o c u m e n t s ) под . именем "CreateComputer.vbs", заключив его в кавычки, чтобы программа Блокнот не добавила расширение .txt.

4.Откройте окно командной строки и введите следующую, команду: cscript "%userprofile%\documents\createcomputer.vbs"

5.Откройте оснастку Active Directory — пользователи и компьютеры (Active Directory Users And Computers) и проверьте, создан ли объект компьютера.

Резюме

•Команда CSVDE служит для импорта компьютеров из текстовых файлов (с разделительными запятыми), которые можно редактировать с помощью программ Блокнот (Notepad) и Excel.

•Команда LDIFDE используется для импорта файлов LDIF, содержащих операции добавления компьютеров.

•Компьютер можно добавить в домен с помощью одной команды Dsadd.

• Сценарии VBScript и Windows PowerShell могут добавлять компьютеры посредством интерфейса ADSI.

Закрепление материала

Следующие вопросы можно использовать для проверки знаний, полученных на занятии 2. Эти вопросы есть и на сопроводительном компакт-диске.

ПРИМЕЧАНИЕ Ответы

Ответы на эти вопросы с пояснениями, почему тот или иной вариант ответа правилен или неверен, вы найдете в разделе «Ответы» в конце книги. •

1. Ваш м е н е д ж е р п о п р о с и л с о з д а т ь учетную запись д л я компьютера D E S K T O P 2 3 4 . Какое из следующих средств позволяет сделать это с помощью одной операции?

A.CSVDE.

Б.LDIFDE.

B.Dsadd.

Г.Windows PowerShell.

Д. VBScript.

2. Поставщик оборудования переслал вам таблицу Excel с инвентарными номерами компьютеров, которые будут доставлены на следующей неделе. Вы хотите заранее создать объекты для этих компьютеров. В соответствии с правилами именования в качестве имен компьютеров нужно указать их инвентарные номера. Какое из следующих средств можно использовать для импорта этих компьютеров?

A.CSVDE.

Б.LDIFDE.

B.Dsadd.

Г.Windows PowerShell.

Д. VBScript.

Занятие 3. Поддержка объектов и учетных записей

компьютеров

Учетная запись компьютера начинает свой жизненный цикл при создании и присоединении компьютера к домену. В ежедневные задачи администратора входит настройка свойств компьютера, перемещение его между подразделениями, управление им, переименование, смена пароля, отключение, включение и, в конечном счете, удаление объекта компьютера. На этом занятии вы ближе познакомитесь со свойствами компьютеров и процедурами, используемыми для администрирования компьютеров в домене. •

212 Компьютеры

Глава 5

Изучив материал этого занятия, вы сможете:

У Настраивать свойства компьютера Active Directory.

S Перемещать компьютер из одного подразделения в другое.

/Переименовывать компьютер.

/Отключать и включать учетные записи компьютеров.

/Сбрасывать безопасный канал компьютера домена.

У Решать задачи администрирования с помощью оснастки Active Directory — пользователи и компьютеры (Active Directory Users And Computers), инструментов командной строки, VBScript и Windows PowerShell.

Продолжительность занятия — около 45 мин.

Настройка свойств компьютеров

При создании объекта компьютера необходимо отконфигурировать лишь самые важные атрибуты, включая имя компьютера и делегирование права присоединения компьютера к домену. Компьютеры имеют несколько свойств, которые не отображаются при создании объекта. Эти свойства следует отконфигурировать при предварительном размещении учетной записи компьютера.

Откройте диалоговое окно Свойства (Properties) объекта, чтобы указать его расположение и описание, отконфигурировать членство в группах и разрешения доступа к сети, а также привязать компьютер к объекту пользователя, для которого предназначен этот компьютер.

Несколько классов объектов в Active Directory поддерживают атрибут managedBy, который отображается на вкладке Управляется (Managed By). Этот связанный атрибут создает перекрестную ссылку на объект пользователя. Все остальные свойства, включая адреса и номера телефонов, извлекаются непосредственно из объекта пользователя. Они не хранятся в самом объекте компьютера.

На вкладке Член групп (Member Of) диалогового окна Свойства (Properties) компьютера вы можете добавить компьютер в группы. Возможность управления компьютерами в группах играет важную роль и часто недооценивается администраторами Active Directory. Группу, к которой принадлежат компьютеры, можно использовать для назначения им разрешений доступа к ресурсам или фильтрации области действия объектов групповой политики.

Как и в случае с пользователями и группами, вы можете выбрать несколько объектов компьютеров одновременно и точно так же одновременно управлять свойствами всех выбранных компьютеров.

Настройка атрибутов компьютера командой Dsmod

Команда Dsmod, описанная в главах 3 и 4, может модифицировать лишь атрибуты описания description и размещения location. В ней используется следующий синтаксис:

компьютер ие может пройти проверку подлинности в домене. Приведем несколько примеров.

•После переустановки операционной системы на рабочей станции машина не может пройти проверку подлинности даже с использованием того же имени компьютера. Поскольку в процессе новой установки генерируется SID-идентификатор и компьютер не знает пароль учетной записи объекта компьютера в домене, он не принадлежит к домену и не может пройти проверку подлинности в домене.

•Компьютер полностью восстановлен из резервной копии и не может пройти проверку подлинности. Возможно, после архивации объект компьютера изменил свой пароль в домене. Компьютеры изменяют свои пароли каждые 30 дней, а структура Active Directory помнит текущий и предыдущий пароль. Если была восстановлена резервная копия компьютера с давно устаревшим паролем, компьютер не сможет пройти проверку подлинности.

•Секрет LSA компьютера давно не синхронизировался с паролем, известным домену. То есть компьютер не забыл пароль — просто этот пароль не соответствует реальному паролю в домене. В таком случае компьютер не может пройти проверку подлинности и безопасный канал не будет создан.

Далее описываются основные признаки возможных неполадок учетной

записи компьютера.

•Сообщения при входе в домен указывают, что компьютеру не удается установить связь с контроллером домена, отсутствует учетная запись компьютера, введен неправильный пароль учетной записи компьютера или потеряно доверие (безопасная связь) между компьютером и доменом. Пример такого сообщения показан на рис. 5-7.

Рис. 5-7. Сообщение об ошибке безопасного канала

•Сообщения или события в журнале событий, указывающие аналогичные ошибки или предполагающие неполадки паролей, доверительных отношений, безопасных каналов либо связи с доменом или контроллером домена. Одна из таких ошибок — отказ проверки подлинности с кодом ошибки 3210 (Failed То Authenticate) в журнале событий компьютера.

•Учетная запись компьютера в Active Directory отсутствует.

Сброс учетной записи компьютера

В случае отказа безопасного канала его нужно переустановить. Для этого многие администраторы удаляют компьютер из домена, помещают его в рабочую группу, а затем вновь присоединяют к домену. Эту методику не рекомендуется использовать, поскольку может быть удалена учетная запись компьютера, в результате чего будет потерян SID-ндентификатор и, что еще важнее, членство компьютера в рабочей группе. При повторном присоединении к домену даже с использованием того же имени компьютера потребуется заново создать учетную запись для этого компьютера с новым SID-идентификатором и восстановить членство предыдущего объекта компьютера во всех группах.

ПРИМЕЧАНИЕ Не удаляйте компьютер из домена, чтобы повторно присоединить его

При потере доверительных отношений с доменом не удаляйте компьютер из домена для повторного присоединения. Вместо этого переустановите безопасный канал.

Для сброса безопасного канала между компьютером и доменом используется оснастка Active Directory —.пользователи и компьютеры (Active Directory Users and Computers), инструменты Dsmod.exe, Netdom.exe и Nltest.exe. При сбросе учетной записи SID-идентификатор остается тем же, не меняется и членство объекта компьютера в группах.

• Оснастка Active Directory — пользователи и к о м п ь ю т е р ы Щ е л к н и т е объект компьютера правой кнопкой мыши и примените команду Переустановить учетную запись (Reset Account). Щелкните кнопку Да (Yes), чтобы подтвердить операцию. После этого компьютер следует заново присоединить к домену и перезагрузить.

•Команда Dsmod Введите команду dsmod computer "DN^компьютера " -reset.

Вам потребуется заново присоединить компьютер к домену и перезагрузить его.

•Команда Netdom Введите команду netdom reset Имя_машины /domain Имя_домена /UserO Имя пользователя /PasswordO {Пароль | *} с учетными данными, относящимися к локальной группе Администраторы (Administrators) компьютера. Эта команда сбрасывает безопасный канал, пытаясь сбросить пароль на компьютере и в домене, поэтому она не требует повторного присоединения к домену или перезагрузки компьютера.

•Команда Nltest На компьютере, где утрачены доверительные отношения, введите команду nltest /$етег:Имя_сервера /sc_reset:MOMEH\Koumpojinep_

'домена (например, nltest/server:SERVER02 /sc_reset:CONTOSO\SERVER()1)•

Эта команда, аналогично Netdom.exe, пытается сбросить безопасный канал, сбрасывая пароли на компьютере и в домене, поэтому она не требует повторного присоединения к домену или перезагрузки компьютера.

Поскольку команды Nltest.exe и Netdom.exe сбрасывают безопасный канал,

не требуя перезагрузки, попытайтесь вначале использовать их. И только если они не решат проблемы, применяйте команду Переустановить учетную запись (Reset Account) или Dsmod, чтобы сбросить учетную запись компьютера.

К о н т р о л ь н ый вопрос

• Пользователь жалуется, что при попытках войти в домен он получает сообщение о потере доверительных отношений с доменом. Вы хотите переустановить безопасный канал, не перезагружая систему пользователя. Какие две команды можно использовать для этого?

Ответ на к о н т р о л ь н ы й вопрос

•Команды NItest.exe и Netelom.exe сбрасывают безопасный канал, не требуя заново присоединять компьютер к домену и перезагружать его.

Переименование компьютера

Переименование компьютера — это операция, которую нужно выполнять корректно. Помните, что компьютер использует свое имя для проверки подлинности в домене, так что если переименовать лишь объект компьютера или сам компьютер, имя не будет синхронизировано. Переименовать компьютер нужно так, чтобы были изменены и компьютер, и соответствующий объект в домене.

Чтобы корректно переименовать компьютер, можно войти в систему самого компьютера локально или в сеансе удаленного рабочего стола. В панели управления откройте окно свойств системы и в секции Имя компьютера, имя домена и параметры рабочей группы (Computer Name, Domain, and Workgroup Settings) щелкните ссылку Изменить параметры (Change Settings). На вкладке И м я компьютера ( C o m p u t e r Name) щелкните кнопку Изменить (Change).

В окне командной строки можно использовать команду Netdom со следующим синтаксисом:

netdom renamecomputer Имй_машины /ЫеиЫше:Новое_имя [/\15егО:Локальное_имй_пользователя] [/PasswordO: {Локапьный_пароль\ *} ] [/UsегО:Доменное_имя_пользователя'] [/PasswordD: {Доменный_пароль\ •} ]

[/SecurePasswordPrompt] [/REBoot[:Времй_в_секундах]]

Помимо текущего имени компьютера (Имя_машины) и нового имени (Яо- вое_имя) следует указать учетные данные члена локальной группы администраторов компьютера, а также учетные данные с разрешением на переименование объекта компьютера в домене. По умолчанию команда Netdom.exe применяет учетные данные, с помощью которых была запущена команда. Учетные данные члена локальной группы администраторов можно указать с помощью параметров UserO и PasswordO, а д л я указания доменных учетных данных с разрешением на переименование объекта компьютера служат параметры UserD и PasswordD. Если вместо пароля ввести звездочку (*), команда Netdom.exe потребует ввести пароль в командную строку. Если для параметра PasswordO или PasswordD указана звездочка (*), параметр SecurePasswordPrompt отображает всплывающее окно д л я ввода учетных данных. После переименования компьютер необходимо перезагрузить. Параметр REBoot назначает перезагрузку системы через 30 секунд, если не указано другое значение в секундах.

Переименование компьютера может неблагоприятно повлиять на его службы. Например, имя сервера используется Службами сертификации Active Directory