Рабочее задание:

1. Установить на сервере службу каталогов Active Directory.

2. Настроить доверительные отношения между двумя соседними доменами

Хода работы:

Для образования однонаправленных доверительных отношенийнеобходимо:

1. Запустить оснастку Active Directory-домены и доверие.

2. Нажмите правую кнопку мыши на своем домене. В появившемся контекстном меню выберите команду Свойства.

3. В окне свойств домена перейдите на вкладку Доверия (Trusts) (рис. 7). Если другой домен, участвующий в отношении, должен стать доменом-доверителем (trusting), нажмите кнопку Добавить в группе Домены, которые доверяют этому домену (Domains that trust this domain). Если другой домен должен стать доверенным (trusted), нажмите кнопку Добавить в группе Домены, которым доверяет этот домен (Domains trusted by this domain).

Рисунок 7. Вкладка Доверия (Trusts) окна диалога свойств домена

4. В окне диалога Добавление домена-доверителя (Add Trusting Domain) или Добавление доверенного домена (Add Trusted Domain), соответственно, укажите имя второго домена, принимающего участие в однонаправленном доверительном отношении, пароль для регистрации в указанном домене и затем подтвердите его. Нажмите кнопку ОК. Появится окно сообщения о том, что доверительное отношение не может быть проверено, поскольку не установлена вторая половина доверительного отношения.

5. Установите в окне оснастки указатель мыши на домен, который является второй стороной в доверительном отношении и имя которого было указано ранее на вкладке Доверия, и нажмите правую кнопку мыши. В появившемся контекстном меню выберите команду Свойства.

6. Повторите шаги 3 и 4, имея в виду, что роль домена изменилась на противоположную: если первый домен был доверителем, то второй домен должен быть доверенным, и наоборот. После окончания конфигурирования нажмите кнопку ОК. Появится окно сообщения об успешном создании однонаправленного доверительного отношения.

Для создания двунаправленного доверительного отношения между доменами, находящимися в различных лесах, следует повторить описанную выше процедуру, но поменять роли доменов. Тот домен, который был доверенным, должен стать доверителем, и наоборот.

Лабораторная работа № 5 "Управление пользователями и группами." Цель работы:

Научится:

• управлять учетными записями пользователей, создавать подразделения, и организационные единицы с помощью оснастки Active Directory - пользователи и компьютеры (Active Directory Users and Computers);

• назначать пользователю или группе выдавать разрешения на доступ к определенному файлу или папке.

• управлять рабочей средой пользователя, создавать профили пользователей.

Краткая теория Учетные записи пользователей и групп

Любой пользователь Windows 2000 Server характеризуется определенной учетной записью. Под учетной записью понимается совокупность прав и дополнительных параметров, ассоциированных с определенным пользователем. Кроме того, пользователь принадлежит к одной или нескольким группам. Принадлежность к группе позволяет быстро и эффективно назначать права доступа и полномочия.

В Windows 2000 Server, имеется несколько встроенных учетных записей пользователей и групп. Эти учетные записи наделены определенными полномочиями и могут использоваться в качестве основы для новых учетных записей.

К встроенным учетным записям пользователей относятся:

• Guest — учетная запись, фиксирующая минимальные привилегии гостя;

• Administrator — встроенная учетная запись для пользователей, наделенных максимальными привилегиями;

• Krbtgt — встроенная учетная запись, используемая при начальной аутентификации Kerberos.

Кроме них имеются две скрытые встроенные учетные записи:

• System — учетная запись, используемая операционной системой;

• Creator owner — создатель (файла или каталога).

Встроенные группы:

• локальные (оставлены для совместимости)

— Account operators; — Administrators; — Backup operators; — Guests; — Print operators; — Replicator; — Server operators; — Users;

• и глобальные

— Domain guests — гости домена;

— Domain Users — пользователи домена;

— Domain Admins — администраторы домена.

Помимо этих встроенных групп имеется еще ряд специальных групп:

• Everyone — в эту группу по умолчанию включаются вообще все пользователи в системе;

• Authenticated users — в эту группу включаются только аутентифицированные пользователи домена;

• Self — сам объект.

Диалоговое окно Microsoft Management Console, слепок, Directory Service Manager, контейнер Users

Учетные записи пользователей, групп и машин могут быть организованы в виде контейнеров каталога, называемых, организационными единицами OU. В домене допустимо произвольное число OU, организованных в виде древовидного пространства имен в соответствии со структурой организации пользователя. Также как и OU, учетные записи отдельных пользователей являются объектами каталога. При изменении сотрудниками места работы или должности учетные записи внутри дерева доменов могут быть легко перемещены, и, таким образом, приведены в соответствие с новым положением.

Между Active Directory и службами безопасности Windows NT существуют фундаментальные отношения. В Active Directory хранятся правила безопасности домена, определяющие порядок использования системы (ограничения паролей, ограничения на доступ к системе и др.). Объекты каталога, относящиеся к безопасности, должны быть защищены от несанкционированного доступа. В Windows NT реализована объектная модель безопасности и контроля за доступом ко всем объектам в каталоге Active Directory. У каждого объекта есть свой уникальный дескриптор защиты, определяющий разрешения на чтение или обновление свойств объекта.