![](/user_photo/2706_HbeT2.jpg)
Книга Active directory
.pdfЗанятие 2 |
Автоматизация создания объектов компьютеров |
2 0 9 |
3.Сохраните файл в папке Документы (Documents) под именем "Computers.csv", заключив его в кавычки, чтобы программа Блокнот не добавила расширение .txt.
4. Откройте окно командной строки.
5. Введите следующую команду и нажмите клавишу Enter: csvde -i -f "%userprofile%\documents\computers.csv"
6.В оснастке Active Directory — пользователи и компьютеры (Active Directory Users And Computers) проверьте, созданы ли объекты компьютеров.
У п р а ж н е н и е 3. И м п о р т к о м п ь ю т е р о в из ф а й л а LDIF
Файлы L D I F не так широко используются администраторами, как файлы .csv, но эти мощные ф а й л ы довольно легко создавать. В этом упражнении вы создадите файл L D I F и импортируете его с помощью команды Ldifde.exe.
1. Откройте программу Блокнот (Notepad).
2.В окно программы введите следующий код и не забудьте добавить пустую строку между двумя операциями (перед строкой dn для SERVER11):
dn: CN=SERVER10,ои=Серверы,DC=contoso,DC=com changetype: add
objectClass: top objectClass: person
objectClass: organizationalPerson objectClass: user
objectClass: computer cn: SERVER10 userAccountControl: 4096
sAMAccountName: SERVER10S
dn: CN= SERVER11,0U=CepBepbi,DC=contoso,DC=com changetype: add
objectClass: top
objectClass: person
objectClass.: organizationalPerson objectClass: user
objectClass: computer
cn: SERVER11 userAccountControl: 4096 sAMAccountName: SERVER11$
3. С о х р а н и т е этот ф а й л в папке Д о к у м е н т ы ( D o c u m e n t s ) под именем "Computers.Idf", заключив его в кавычки, чтобы программа Блокнот не добавила расширение .txt.
4. Откройте окно командной строки.
5. Введите следующую команду и нажмите клавишу Enter:
Idifde -i -f "%userprofile%\documents\computers.ldf"
6.Откройте оснастку Active Directory — пользователи и компьютеры (Active Directory Users And Computers) и проверьте, созданы ли объекты компьютеров.
• 210 |
Компьютеры |
Глава 5 |
Упражнение 4. Создание компьютера с применением Windows PowerShell
Оболочка Windows PowerShell позволяет использовать интерфейс ADSI для создания объектов Active Directory и манипулирования ими. В этом упражнении вы создадите компьютер с помощью Windows PowerShell.
1.Откройте Windows PowerShell.
2.Введите следующие команды, нажимая клавишу Enter после каждой:
SobjOU = [ADSI ] "LDAP: //ои=Клиенты, DC=contoso, DC=com"
SobjComputer = SobjOU. CreateC'computer", "CN=DESKT0P154")
SobjComputer. PutC'sAHAccountName", "DESKT0P154S")
SobjComputer.Put("userAccountControl", |
4096) |
SobjComputer.Setlnfof) |
, |
3.Откройте оснастку Active Directory — пользователи и компьютеры (Active Directory Users And Computers) и проверьте, создан ли объект компьютера DESKTOP154 в подразделении Клиенты.
Упражнение 5. Создание компьютера с помощью VBScript
Компьютер можно создать и с помощью VBScript. В этом упражнении вы создадите компьютер, написав и выполнив сценарий VBScript.
1.Откроите программу Блокнот (Notepad).
2.В окно программы введите следующий код:
Set objOU = GetObject( "LDAP: //ои=Клиенты, DC=contoso, DC=com") Set objComputer = objOU.CreateC'computer","CN=DESKT0P155") objComputer.Put "sAMAccountName", " DESKT0P155S" objComputer.Put "userAccountControl", 4096
objComputer. Setlnfo
3. Сохраните этот файл в папке Документы ( D o c u m e n t s ) под . именем "CreateComputer.vbs", заключив его в кавычки, чтобы программа Блокнот не добавила расширение .txt.
4.Откройте окно командной строки и введите следующую, команду: cscript "%userprofile%\documents\createcomputer.vbs"
5.Откройте оснастку Active Directory — пользователи и компьютеры (Active Directory Users And Computers) и проверьте, создан ли объект компьютера.
Резюме
•Команда CSVDE служит для импорта компьютеров из текстовых файлов (с разделительными запятыми), которые можно редактировать с помощью программ Блокнот (Notepad) и Excel.
•Команда LDIFDE используется для импорта файлов LDIF, содержащих операции добавления компьютеров.
•Компьютер можно добавить в домен с помощью одной команды Dsadd.
![](/html/2706/349/html_cn15BhlxZE.7Nnv/htmlconvd-6IA88J234x1.jpg)
Занятие 3 |
Поддержка объектов и учетных записей компьютеров |
2 1 1 |
• Сценарии VBScript и Windows PowerShell могут добавлять компьютеры посредством интерфейса ADSI.
Закрепление материала
Следующие вопросы можно использовать для проверки знаний, полученных на занятии 2. Эти вопросы есть и на сопроводительном компакт-диске.
ПРИМЕЧАНИЕ Ответы
Ответы на эти вопросы с пояснениями, почему тот или иной вариант ответа правилен или неверен, вы найдете в разделе «Ответы» в конце книги. •
1. Ваш м е н е д ж е р п о п р о с и л с о з д а т ь учетную запись д л я компьютера D E S K T O P 2 3 4 . Какое из следующих средств позволяет сделать это с помощью одной операции?
A.CSVDE.
Б.LDIFDE.
B.Dsadd.
Г.Windows PowerShell.
Д. VBScript.
2. Поставщик оборудования переслал вам таблицу Excel с инвентарными номерами компьютеров, которые будут доставлены на следующей неделе. Вы хотите заранее создать объекты для этих компьютеров. В соответствии с правилами именования в качестве имен компьютеров нужно указать их инвентарные номера. Какое из следующих средств можно использовать для импорта этих компьютеров?
A.CSVDE.
Б.LDIFDE.
B.Dsadd.
Г.Windows PowerShell.
Д. VBScript.
Занятие 3. Поддержка объектов и учетных записей
компьютеров
Учетная запись компьютера начинает свой жизненный цикл при создании и присоединении компьютера к домену. В ежедневные задачи администратора входит настройка свойств компьютера, перемещение его между подразделениями, управление им, переименование, смена пароля, отключение, включение и, в конечном счете, удаление объекта компьютера. На этом занятии вы ближе познакомитесь со свойствами компьютеров и процедурами, используемыми для администрирования компьютеров в домене. •
212 Компьютеры
Глава 5
Изучив материал этого занятия, вы сможете:
У Настраивать свойства компьютера Active Directory.
S Перемещать компьютер из одного подразделения в другое.
/Переименовывать компьютер.
/Отключать и включать учетные записи компьютеров.
/Сбрасывать безопасный канал компьютера домена.
У Решать задачи администрирования с помощью оснастки Active Directory — пользователи и компьютеры (Active Directory Users And Computers), инструментов командной строки, VBScript и Windows PowerShell.
Продолжительность занятия — около 45 мин.
Настройка свойств компьютеров
При создании объекта компьютера необходимо отконфигурировать лишь самые важные атрибуты, включая имя компьютера и делегирование права присоединения компьютера к домену. Компьютеры имеют несколько свойств, которые не отображаются при создании объекта. Эти свойства следует отконфигурировать при предварительном размещении учетной записи компьютера.
Откройте диалоговое окно Свойства (Properties) объекта, чтобы указать его расположение и описание, отконфигурировать членство в группах и разрешения доступа к сети, а также привязать компьютер к объекту пользователя, для которого предназначен этот компьютер.
Несколько классов объектов в Active Directory поддерживают атрибут managedBy, который отображается на вкладке Управляется (Managed By). Этот связанный атрибут создает перекрестную ссылку на объект пользователя. Все остальные свойства, включая адреса и номера телефонов, извлекаются непосредственно из объекта пользователя. Они не хранятся в самом объекте компьютера.
На вкладке Член групп (Member Of) диалогового окна Свойства (Properties) компьютера вы можете добавить компьютер в группы. Возможность управления компьютерами в группах играет важную роль и часто недооценивается администраторами Active Directory. Группу, к которой принадлежат компьютеры, можно использовать для назначения им разрешений доступа к ресурсам или фильтрации области действия объектов групповой политики.
Как и в случае с пользователями и группами, вы можете выбрать несколько объектов компьютеров одновременно и точно так же одновременно управлять свойствами всех выбранных компьютеров.
Настройка атрибутов компьютера командой Dsmod
Команда Dsmod, описанная в главах 3 и 4, может модифицировать лишь атрибуты описания description и размещения location. В ней используется следующий синтаксис:
dsmod computer "ОИ_котьотера" [-desc Описание] [-loc Размещение] |
|
_____ |
Занятие 3 |
Поддержка объектов и учетных записей компьютеров |
215 |
|
|
компьютер ие может пройти проверку подлинности в домене. Приведем несколько примеров.
•После переустановки операционной системы на рабочей станции машина не может пройти проверку подлинности даже с использованием того же имени компьютера. Поскольку в процессе новой установки генерируется SID-идентификатор и компьютер не знает пароль учетной записи объекта компьютера в домене, он не принадлежит к домену и не может пройти проверку подлинности в домене.
•Компьютер полностью восстановлен из резервной копии и не может пройти проверку подлинности. Возможно, после архивации объект компьютера изменил свой пароль в домене. Компьютеры изменяют свои пароли каждые 30 дней, а структура Active Directory помнит текущий и предыдущий пароль. Если была восстановлена резервная копия компьютера с давно устаревшим паролем, компьютер не сможет пройти проверку подлинности.
•Секрет LSA компьютера давно не синхронизировался с паролем, известным домену. То есть компьютер не забыл пароль — просто этот пароль не соответствует реальному паролю в домене. В таком случае компьютер не может пройти проверку подлинности и безопасный канал не будет создан.
Далее описываются основные признаки возможных неполадок учетной
записи компьютера.
•Сообщения при входе в домен указывают, что компьютеру не удается установить связь с контроллером домена, отсутствует учетная запись компьютера, введен неправильный пароль учетной записи компьютера или потеряно доверие (безопасная связь) между компьютером и доменом. Пример такого сообщения показан на рис. 5-7.
Рис. 5-7. Сообщение об ошибке безопасного канала
•Сообщения или события в журнале событий, указывающие аналогичные ошибки или предполагающие неполадки паролей, доверительных отношений, безопасных каналов либо связи с доменом или контроллером домена. Одна из таких ошибок — отказ проверки подлинности с кодом ошибки 3210 (Failed То Authenticate) в журнале событий компьютера.
•Учетная запись компьютера в Active Directory отсутствует.
• 216 |
Компьютеры |
Глава 5 |
Сброс учетной записи компьютера
В случае отказа безопасного канала его нужно переустановить. Для этого многие администраторы удаляют компьютер из домена, помещают его в рабочую группу, а затем вновь присоединяют к домену. Эту методику не рекомендуется использовать, поскольку может быть удалена учетная запись компьютера, в результате чего будет потерян SID-ндентификатор и, что еще важнее, членство компьютера в рабочей группе. При повторном присоединении к домену даже с использованием того же имени компьютера потребуется заново создать учетную запись для этого компьютера с новым SID-идентификатором и восстановить членство предыдущего объекта компьютера во всех группах.
ПРИМЕЧАНИЕ Не удаляйте компьютер из домена, чтобы повторно присоединить его
При потере доверительных отношений с доменом не удаляйте компьютер из домена для повторного присоединения. Вместо этого переустановите безопасный канал.
Для сброса безопасного канала между компьютером и доменом используется оснастка Active Directory —.пользователи и компьютеры (Active Directory Users and Computers), инструменты Dsmod.exe, Netdom.exe и Nltest.exe. При сбросе учетной записи SID-идентификатор остается тем же, не меняется и членство объекта компьютера в группах.
• Оснастка Active Directory — пользователи и к о м п ь ю т е р ы Щ е л к н и т е объект компьютера правой кнопкой мыши и примените команду Переустановить учетную запись (Reset Account). Щелкните кнопку Да (Yes), чтобы подтвердить операцию. После этого компьютер следует заново присоединить к домену и перезагрузить.
•Команда Dsmod Введите команду dsmod computer "DN^компьютера " -reset.
Вам потребуется заново присоединить компьютер к домену и перезагрузить его.
•Команда Netdom Введите команду netdom reset Имя_машины /domain Имя_домена /UserO Имя пользователя /PasswordO {Пароль | *} с учетными данными, относящимися к локальной группе Администраторы (Administrators) компьютера. Эта команда сбрасывает безопасный канал, пытаясь сбросить пароль на компьютере и в домене, поэтому она не требует повторного присоединения к домену или перезагрузки компьютера.
•Команда Nltest На компьютере, где утрачены доверительные отношения, введите команду nltest /$етег:Имя_сервера /sc_reset:MOMEH\Koumpojinep_
'домена (например, nltest/server:SERVER02 /sc_reset:CONTOSO\SERVER()1)•
Эта команда, аналогично Netdom.exe, пытается сбросить безопасный канал, сбрасывая пароли на компьютере и в домене, поэтому она не требует повторного присоединения к домену или перезагрузки компьютера.
Поскольку команды Nltest.exe и Netdom.exe сбрасывают безопасный канал,
не требуя перезагрузки, попытайтесь вначале использовать их. И только если они не решат проблемы, применяйте команду Переустановить учетную запись (Reset Account) или Dsmod, чтобы сбросить учетную запись компьютера.
Занятие 3 |
Поддержка объектов и учетных записей компьютеров |
2 1 7 |
К о н т р о л ь н ый вопрос
• Пользователь жалуется, что при попытках войти в домен он получает сообщение о потере доверительных отношений с доменом. Вы хотите переустановить безопасный канал, не перезагружая систему пользователя. Какие две команды можно использовать для этого?
Ответ на к о н т р о л ь н ы й вопрос
•Команды NItest.exe и Netelom.exe сбрасывают безопасный канал, не требуя заново присоединять компьютер к домену и перезагружать его.
Переименование компьютера
Переименование компьютера — это операция, которую нужно выполнять корректно. Помните, что компьютер использует свое имя для проверки подлинности в домене, так что если переименовать лишь объект компьютера или сам компьютер, имя не будет синхронизировано. Переименовать компьютер нужно так, чтобы были изменены и компьютер, и соответствующий объект в домене.
Чтобы корректно переименовать компьютер, можно войти в систему самого компьютера локально или в сеансе удаленного рабочего стола. В панели управления откройте окно свойств системы и в секции Имя компьютера, имя домена и параметры рабочей группы (Computer Name, Domain, and Workgroup Settings) щелкните ссылку Изменить параметры (Change Settings). На вкладке И м я компьютера ( C o m p u t e r Name) щелкните кнопку Изменить (Change).
В окне командной строки можно использовать команду Netdom со следующим синтаксисом:
netdom renamecomputer Имй_машины /ЫеиЫше:Новое_имя [/\15егО:Локальное_имй_пользователя] [/PasswordO: {Локапьный_пароль\ *} ] [/UsегО:Доменное_имя_пользователя'] [/PasswordD: {Доменный_пароль\ •} ]
[/SecurePasswordPrompt] [/REBoot[:Времй_в_секундах]]
Помимо текущего имени компьютера (Имя_машины) и нового имени (Яо- вое_имя) следует указать учетные данные члена локальной группы администраторов компьютера, а также учетные данные с разрешением на переименование объекта компьютера в домене. По умолчанию команда Netdom.exe применяет учетные данные, с помощью которых была запущена команда. Учетные данные члена локальной группы администраторов можно указать с помощью параметров UserO и PasswordO, а д л я указания доменных учетных данных с разрешением на переименование объекта компьютера служат параметры UserD и PasswordD. Если вместо пароля ввести звездочку (*), команда Netdom.exe потребует ввести пароль в командную строку. Если для параметра PasswordO или PasswordD указана звездочка (*), параметр SecurePasswordPrompt отображает всплывающее окно д л я ввода учетных данных. После переименования компьютер необходимо перезагрузить. Параметр REBoot назначает перезагрузку системы через 30 секунд, если не указано другое значение в секундах.
Переименование компьютера может неблагоприятно повлиять на его службы. Например, имя сервера используется Службами сертификации Active Directory