Dsmove dn_объекта [-newname новое_имя] [-newparent dn_родителя]

Параметр -newname позволяет переименовать объект. Параметр -newparent позволяет перемещать объект. Для перемещения компьютера DesktopABC из контейнера Computers в ОП Desktops введите следующую команду:

dsmove “CN=DesktopABC, CN=Computers, DC=povtas, DC=com” –newparent “OU=Desktops, DC=povtas, DC=com”

В этой команде вы вновь видите отличие контейнера (CN) Computers от организационного подразделения (OU) Desktops.

Для перемещения объектов в Active Directory необходимы соответствующие разрешения. По умолчанию членам группы Операторы учета (Account Operators) разрешается перемещать компьютеры между контейнерами, включая контейнер Computers, и любыми ОП, за исключением ОП Domain Controllers. Администраторы, включая членов групп Администраторы домена (Domain Admins) и Администраторы предприятия (Enterprise Admins), вправе перемещать объекты компьютеров между любыми контейнерами, включая контейнер Computers, ОП Domain Controllers и любые другие ОП.

2. Управление учетными записями компьютеров

Управление разрешениями для объекта компьютера

Вы узнали, что могли бы присоединить компьютер к домену, введя реквизиты администратора домена в ответ на запрос компьютера. Однако соображения безопасности требуют использовать для достижения конкретной цели минимальных полномочий.

Active Directory позволяет определить с высокой точностью, какие группы или пользователи вправе сопоставлять компьютер его доменной учетной записи. Хотя по умолчанию такой группой является Администраторы домена (Domain Admins), присоединять компьютер к доменной учетной записи можно разрешить любой группе, например с названием Installers. Легче всего это делать во время создания объекта компьютера.

При создании объекта компьютера на первом шаге в окне Новый объект — Компьютер (New Object—Computer), показанном на рис. 6_1, отображается поле Присоединить к домену этот компьютер могут пользователь или группа пользователей, указанные ниже (The Following User Or Group Can Join This Computer To A Domain). Щелкните Изменить (Change), и вы сможете выбрать любого пользователя или группу и изменить для данного объекта набор разрешений.

Если компьютер, который будет использовать создаваемую учетную запись, работает под управлением версии Windows младше 2000, установите флажок Назначить учетной записи статус пред-Windows 2000 компьютера (Assign This Computer Account As A PreWindows 2000 Computer). Если эта учетная запись предназначена для резервного контроллера домена Windows NT, установите флажок Назначить учетной записи статус резервного контроллера домена (Assign This Computer Account As A Backup Domain Controller).

Помните, что принадлежать домену могут только компьютеры, на которых установлена ОС на основе технологий Windows NT, поэтому компьютеры под управлением Windows 9x/Me не могут присоединяться к доменным учетным записям компьютеров или обрабатывать их. Поэтому данный флажок фактически подразумевает наличие Windows NT 4.

Настройка свойств объекта компьютера

Объекты компьютеров обладают некоторыми свойствами, которые не отображаются в пользовательском интерфейсе во время создания учетной записи компьютера. Откройте окно свойств для объекта компьютера, чтобы задать его расположение и описание, настроить членство в группах и разрешение удаленного доступа или связать его с объектом пользователя — владельцем данного компьютера. Страница свойств Операционная система (Operating System) доступна только для чтения. Эта информация публикуется в Active Directory автоматически. Данная страница остается незаполненной, пока компьютер не присоединится к домену по этой учетной записи.

Несколько классов объектов в Active Directory поддерживают свойство Manager, которое отображается на странице Управляется (Managed By) в окне свойств объекта компьютера. Это связанное свойство создает перекрестную ссылку на объект пользователя.

Все остальные свойства (адреса и номера телефонов) не хранятся в самом объекте компьютера, а берутся напрямую из этого объекта пользователя.

Команда DSMOD также может изменять некоторые свойства объекта компьютера.

Поиск и подключение к объектам в Active Directory

При обращении пользователя вам может понадобиться информация о том, какая ОС и какой пакет обновления установлены на его компьютере. Эта информация хранится в свойствах объекта компьютера. Так что остается только найти этот объект, что, впрочем, может быть непросто в структуре Active Directory с несколькими именами и множеством ОП.

Консоль Active Directory — пользователи и компьютеры (Active Directory Users And Computers) предоставляет удобный доступ к мощному средству поиска с графическим интерфейсом. Это средство позволяет находить объекты многих типов. Здесь вы будете искать объект типа Computer. Щелкните кнопку Поиск объектов в службе каталогов Active Directory (Find Objects In Active Directory) на панели инструментов консоли. Откроется окно, показанное на рис. 6_4. Перед тем как щелкнуть Найти (Find Now), вы можете выбрать тип объекта в списке Найти (Find), область поиска в списке в (In) и указать условия поиска.

Рис. 6_4. Диалоговое окно Поиск: Компьютеры с результатами успешного поиска

Перечень результатов позволяет выбрать объект и посредством меню Файл (File) или контекстного меню выполнить с выделенным объектом типичные операции. Многим администраторам нравится возможность открыть консоль Управление компьютером (Computer Management) по команде Управление (Manage) контекстного меню и напрямую подключиться к этому компьютеру, после чего работать на нем с журналами событий, диспетчером устройств, информацией о системе, конфигурациями дисков и служб, а также локальными учетными записями пользователей и групп.