Часть 3. Доступ к Active Directory
Теоретическая часть:
Теперь, имея общее представление о том, что же такое Active Directory, поговорим о доступе к объектам в каталоге и управлении ими. Как уже упоминалось, в каталоге содержится информация обо всех объектах системы: дисках, устройствах, сетевых ресурсах, пользователях, группах, доменах и т. п. Доступ к этим объектам разделен на функциональные группы, для которых созданы слепки, используемые консолью управления ММС (Microsoft Management Console). Подробно ознакомиться с использованием каждого из слепков можно и в главе б и других главах, посвященных отдельным возможностям операционной системы. А сейчас рассмотрим лишь самые общие возможности доступа к каталогу.
Управление узлами
Конфигурируя узлы, Вы управляете топологией тиражирования. Для доступа к информации об узлах необходимо загрузить в ММС слепок Microsoft Site Replication Manager. Соответствующее окно примет вид, изображенный на рисунке. Загружая этот слепок впервые, Вы увидите один узел, указанный во время установки операционной системы и имя своего собственного компьютера в этом узле.
Рисунок 10. Окно Microsoft Management Console - Microsoft Site Replication Manager
Для описания узла необходимо описать входящие в него подсети. Описание подсетей выполняется в формате www, xxx. yyy. zzz/mm, где первая часть (до косой черты) — адрес подсети, a mm — число немаскируемых разрядов, считая от начала. Например, 155.1-1.0/22. Все маскируемые разряды должны быть равны 0.
Чтобы добавить новый узел, подведите мышь к папке Sites в левой части окна, щелкните ее правой кнопкой и выберите из контекстного меню команду New и подменю Site. В поле появившегося диалогового окна укажите имя нового узла, включаемого в топологию тиражирования.
Управление службой каталогов
Загрузив слепок Directory Service Manager, Вы увидите окно, аналогичное изображенному на рисунке. В левой части окна находится дерево доменов (или один домен, если это единственный контроллер домена в сети). Для каждого домена существуют: контейнер Computers, где перечислены компьютеры и их роль в домене, контейнер System с информацией о системных сервисах и объектах, а также контейнер Users, в котором хранится информация обо всех пользователях.
Рисунок 11. Диалоговое окно Microsoft Management Console - DirectoryService Manager
Для добавления нового объекта в систему, щелкните правой кнопкой мыши контейнер, в который Вы желаете поместить новый объект. Выберите из контекстного меню команду New, а затем — тип объекта.
Список добавляемых объектов зависит от типа выбранного контейнера. Так, например, в контейнер System можно поместить:
• Computer (компьютер);
• Contact (контакт);
• DistributionList (список рассылки);
• Group (группа);
• GroupOfNames (группа имен);
• Local policy (локальная политика);
• nTDSsettings (установки NTDS);
• organizationalPerson (персона организации);
• person (персона);
• printQueueu (очередь печати);
• publicFolder (общая папка);
• remoteAddress (удаленный адрес);
• site (узел);
• storage (хранилище);
• user (пользователь);
• volume (том).
Рисунок 12. Добавление нового объекта в каталог
Для редактирования свойств любого объекта надо щелкнуть его правой кнопкой мыши и в контекстном меню выбрать команду Properties. Внешний вид диалогового окна, которое появится вслед за этим, в значительной степени зависит от типа объекта. Например, для домена в этом окне будет вкладка Trust relationships, а для пользователя — вкладка его свойств. Общими для всех объектов будут вкладки Object, где указывается путь к объекту в каталоге, и Security, где можно определять права доступа к этому конкретному объекту.
Ниже на рисунке изображено диалоговое окно, появляющееся по команде Properties с вкладками General, Managed by. Object и Security.
Вкладка General позволяет определять локальную политику, которая будет применена к данному компьютеру, а также содержит общие описательные сведения о последнем. Помните, что чем больше сведений об объекте, тем легче его будет найти в случае необходимости.
Рисунок 13. Диалоговое окно Computer Properties, вкладка General
Выбрав вкладку Object, можно просмотреть некоторые общие параметры каждого объекта в каталоге: путь к нему, его класс, даты создания и модификации, а также номер версии. Сравнив номера версий (USN) объектов на разных компьютерах, Вы отследите тиражирование каталогов.
Вкладка Security открывает доступ к информации о защите конкретного объекта. Параметры защиты зависят от типа объекта и определяются в соответствии со схемой.
На этой вкладке показаны только основные права и запреты на доступ к объекту и список учетных записей пользователей, этими правами обладающих. Как показано на рисунке, если объект — домен, то общими правами доступа являются полный доступ (Full Control), чтение (Read), запись (Write), создание (Create all child objects) и удаление дочерних объектов (Delete all child objects).
Почему запрет на доступ к объекту оговаривается отдельно? Казалось бы достаточно не предоставлять нужного права доступа к нему, и цель достигнута. Попытаемся ответить на этот вопрос, рассмотрев пример. Допустим, существует некий пользователь, входящий в группу Creators. обладающую правом создания дочерних объектов. Вы хотите предоставить этому пользователю право на создание дочерних объектов для всех типов объектов, кроме нескольких доменов. Отсутствие явного запрещения приведет к тому, что пользователя придется исключить из группы Creators, и включить в новую, обладающую требуемыми правами. Учитывая, что подобных «исключений из правил» в большой организации множество, практика создания отдельных групп для каждого из них может превратить администрирование в кошмар. Так что явные запрещения существенно облегчают работу и позволяют нашему пользователю оставаться членом группы Creators.
Рисунок 14. Диалоговое окно Computer Properties, вкладка Object
Рисунок 15. Диалоговое окно Computer Properties, вкладка Security
Если Вам требуется более тонкая настройка доступа к объекту, щелкните кнопку Advanced. Появится диалоговое окно Access Control Setting for Computer со списком контроля доступа к объекту.
Рисунок 16. Редактор списка контроля доступа к объекту
В списке перечислены разрешения на доступ, и для каждого из них указаны:
• тип (разрешен или запрещен);
• имя учетной записи (в формате имя домена/имя учетной записи);
• вид доступа (зависит от типа объекта; если доступ сложный, указывается Special Access);
• к чему применим (только для контейнерных объектов; в зависимости от типа объекта Вам может встретиться один из следующих вариантов: «только к этому контейнеру», «к этому контейнеру и всем вложенным в него>>, «только к вложенным контейнерам», «только ко вложенным неконтейнерным объектам» и т. д.).
По умолчанию объект наследует свойства родительского объекта. Если этого не требуется, то надо выключить флажок Inherit permissions from parent.
Чтобы отредактировать выделенную строку в списке контроля доступа (назначить сложные права доступа или изменить глубину воздействия), щелкните View/Edit. На экране появится диалоговое окно PermissionEntry for Computer.
В этом диалоговом окне две вкладки. Первая — Object — содержит разрешения доступа, характерные только для конкретного выбранного объекта. Вторая — Properties — общий список разрешений для объектов.
Рисунок 17. Диалоговое окно Permission Entry for Computer
Поиск в каталоге
Для поиска объекта в каталоге (или в любой его ветви) надо в меню диалогового окна Microsoft Directory Service Manager выбрать команду Find. Появится диалоговое окно Find, знакомое как пользователям Windows NT 4.0, так и пользователям Windows 95. Однако внешний вид окна немного изменился. Теперь можно выбрать и предопределенные категории объектов, и выполнить более сложный запрос. В первом случае список категорий содержит:
• Users and Groups (пользователи и группы);
• Computers (компьютеры);
• Shared file folders (совместно используемые папки файлов);
• Directory folders (папки каталога).
Стандартный поиск, в каталоге
В поле In можно выбрать ту ветвь в каталоге, где будет выполняться поиск. Результаты поиска будут стандартным образом выведены в поле в нижней части окна. Указав на любой элемент в списке результатов поиска, Вы увидите его полное LDAP-имя.
Помимо стандартных запросов, можно формировать более сложные, комбинированные из нескольких простых. Для этого в поле Find выберите пункт Custom Search. В появившемся диалоговом окне Find Custom Search Вы увидите три новых поля: Field, Condition, Value.
Рисунок 19. Сложный поиск в каталоге
Поле Field позволяет выбрать имя объекта каталога. Для этого щелкните одноименную кнопку, в появившемся меню выберите класс объектов, а затем — свойство объекта. Перечень свойств стандартных объектов приведен в Приложении А. Если Вы хотите задать класс, отличный от перечисленного в меню, то выберите в нем пункт More. На экране появится список всех доступных классов.
В поле Condition нужно выбрать из списка условие поиска. Для каждого свойства появляется список только тех условий поиска, которые применимы к нему. Нельзя, например для имени пользователя задать математическое условие «больше чем».
В поле Value при необходимости вводится значение, являющееся составной частью критерия поиска. Для некоторых условий значений просто не существует. В этом случае поле Value остается неактивным.
Например, если Вы хотите найти всех пользователей, общие имена (сп) которых начинаются с буквы U, то в этом случае Вам надо выбрать класс users, для него свойство — сп. Условием станет строка Begin from, а в качестве значения укажите U. Щелкните Add, и запрос появится в списке запросов. Кстати, Вы можете добавить в этот список дополнительные запросы или удалить запросы, включенные туда ранее. Когда все необходимые запросы будут сформированы, нажмите кнопку Find.
Контрольные вопросы
Управление узлами.
Управление службой каталогов.
Почему запрет на доступ к объекту оговаривается отдельно?
Диалоговое окно определяющее локальную политику. Назначение полей.
Как назначить сложные права доступа?
Как найти объект в каталоге?