Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Лабораторная работа №2 Проектирование доменов и...doc
Скачиваний:
0
Добавлен:
01.05.2025
Размер:
305.15 Кб
Скачать

Часть 3. Доступ к Active Directory

Теоретическая часть:

Теперь, имея общее представление о том, что же такое Active Directory, поговорим о доступе к объектам в каталоге и управлении ими. Как уже упоминалось, в каталоге содержится информация обо всех объектах системы: дисках, устройствах, сетевых ресурсах, пользователях, группах, доменах и т. п. Доступ к этим объектам разделен на функциональные группы, для которых созданы слепки, используемые консолью управления ММС (Microsoft Management Console). Подробно ознакомиться с использованием каждого из слепков можно и в главе б и других главах, посвященных отдельным возможностям операционной системы. А сейчас рассмотрим лишь самые общие возможности доступа к каталогу.

Управление узлами

Конфигурируя узлы, Вы управляете топологией тиражирования. Для доступа к информации об узлах необходимо загрузить в ММС слепок Microsoft Site Replication Manager. Соответствующее окно примет вид, изображенный на рисунке. Загружая этот слепок впервые, Вы увидите один узел, указанный во время установки операционной системы и имя своего собственного компьютера в этом узле.

Рисунок 10. Окно Microsoft Management Console - Microsoft Site Replication Manager

Для описания узла необходимо описать входящие в него подсети. Описание подсетей выполняется в формате www, xxx. yyy. zzz/mm, где первая часть (до косой черты) — адрес подсети, a mm — число немаскируемых разрядов, считая от начала. Например, 155.1-1.0/22. Все маскируемые разряды должны быть равны 0.

Чтобы добавить новый узел, подведите мышь к папке Sites в левой части окна, щелкните ее правой кнопкой и выберите из контекстного меню команду New и подменю Site. В поле появившегося диалогового окна укажите имя нового узла, включаемого в топологию тиражирования.

Управление службой каталогов

Загрузив слепок Directory Service Manager, Вы увидите окно, аналогичное изображенному на рисунке. В левой части окна находится дерево доменов (или один домен, если это единственный контроллер домена в сети). Для каждого домена существуют: контейнер Computers, где перечислены компьютеры и их роль в домене, контейнер System с информацией о системных сервисах и объектах, а также контейнер Users, в котором хранится информация обо всех пользователях.

Рисунок 11. Диалоговое окно Microsoft Management Console - DirectoryService Manager

Для добавления нового объекта в систему, щелкните правой кнопкой мыши контейнер, в который Вы желаете поместить новый объект. Выберите из контекстного меню команду New, а затем — тип объекта.

Список добавляемых объектов зависит от типа выбранного контейнера. Так, например, в контейнер System можно поместить:

• Computer (компьютер);

• Contact (контакт);

• DistributionList (список рассылки);

• Group (группа);

• GroupOfNames (группа имен);

• Local policy (локальная политика);

• nTDSsettings (установки NTDS);

• organizationalPerson (персона организации);

• person (персона);

• printQueueu (очередь печати);

• publicFolder (общая папка);

• remoteAddress (удаленный адрес);

• site (узел);

• storage (хранилище);

• user (пользователь);

• volume (том).

Рисунок 12. Добавление нового объекта в каталог

Для редактирования свойств любого объекта надо щелкнуть его правой кнопкой мыши и в контекстном меню выбрать команду Properties. Внешний вид диалогового окна, которое появится вслед за этим, в значительной степени зависит от типа объекта. Например, для домена в этом окне будет вкладка Trust relationships, а для пользователя — вкладка его свойств. Общими для всех объектов будут вкладки Object, где указывается путь к объекту в каталоге, и Security, где можно определять права доступа к этому конкретному объекту.

Ниже на рисунке изображено диалоговое окно, появляющееся по команде Properties с вкладками General, Managed by. Object и Security.

Вкладка General позволяет определять локальную политику, которая будет применена к данному компьютеру, а также содержит общие описательные сведения о последнем. Помните, что чем больше сведений об объекте, тем легче его будет найти в случае необходимости.

Рисунок 13. Диалоговое окно Computer Properties, вкладка General

Выбрав вкладку Object, можно просмотреть некоторые общие параметры каждого объекта в каталоге: путь к нему, его класс, даты создания и модификации, а также номер версии. Сравнив номера версий (USN) объектов на разных компьютерах, Вы отследите тиражирование каталогов.

Вкладка Security открывает доступ к информации о защите конкретного объекта. Параметры защиты зависят от типа объекта и определяются в соответствии со схемой.

На этой вкладке показаны только основные права и запреты на доступ к объекту и список учетных записей пользователей, этими правами обладающих. Как показано на рисунке, если объект — домен, то общими правами доступа являются полный доступ (Full Control), чтение (Read), запись (Write), создание (Create all child objects) и удаление дочерних объектов (Delete all child objects).

Почему запрет на доступ к объекту оговаривается отдельно? Казалось бы достаточно не предоставлять нужного права доступа к нему, и цель достигнута. Попытаемся ответить на этот вопрос, рассмотрев пример. Допустим, существует некий пользователь, входящий в группу Creators. обладающую правом создания дочерних объектов. Вы хотите предоставить этому пользователю право на создание дочерних объектов для всех типов объектов, кроме нескольких доменов. Отсутствие явного запрещения приведет к тому, что пользователя придется исключить из группы Creators, и включить в новую, обладающую требуемыми правами. Учитывая, что подобных «исключений из правил» в большой организации множество, практика создания отдельных групп для каждого из них может превратить администрирование в кошмар. Так что явные запрещения существенно облегчают работу и позволяют нашему пользователю оставаться членом группы Creators.

Рисунок 14. Диалоговое окно Computer Properties, вкладка Object

Рисунок 15. Диалоговое окно Computer Properties, вкладка Security

Если Вам требуется более тонкая настройка доступа к объекту, щелкните кнопку Advanced. Появится диалоговое окно Access Control Setting for Computer со списком контроля доступа к объекту.

Рисунок 16. Редактор списка контроля доступа к объекту

В списке перечислены разрешения на доступ, и для каждого из них указаны:

• тип (разрешен или запрещен);

• имя учетной записи (в формате имя домена/имя учетной записи);

• вид доступа (зависит от типа объекта; если доступ сложный, указывается Special Access);

• к чему применим (только для контейнерных объектов; в зависимости от типа объекта Вам может встретиться один из следующих вариантов: «только к этому контейнеру», «к этому контейнеру и всем вложенным в него>>, «только к вложенным контейнерам», «только ко вложенным неконтейнерным объектам» и т. д.).

По умолчанию объект наследует свойства родительского объекта. Если этого не требуется, то надо выключить флажок Inherit permissions from parent.

Чтобы отредактировать выделенную строку в списке контроля доступа (назначить сложные права доступа или изменить глубину воздействия), щелкните View/Edit. На экране появится диалоговое окно PermissionEntry for Computer.

В этом диалоговом окне две вкладки. Первая — Object — содержит разрешения доступа, характерные только для конкретного выбранного объекта. Вторая — Properties — общий список разрешений для объектов.

Рисунок 17. Диалоговое окно Permission Entry for Computer

Поиск в каталоге

Для поиска объекта в каталоге (или в любой его ветви) надо в меню диалогового окна Microsoft Directory Service Manager выбрать команду Find. Появится диалоговое окно Find, знакомое как пользователям Windows NT 4.0, так и пользователям Windows 95. Однако внешний вид окна немного изменился. Теперь можно выбрать и предопределенные категории объектов, и выполнить более сложный запрос. В первом случае список категорий содержит:

• Users and Groups (пользователи и группы);

• Computers (компьютеры);

• Shared file folders (совместно используемые папки файлов);

• Directory folders (папки каталога).

Стандартный поиск, в каталоге

В поле In можно выбрать ту ветвь в каталоге, где будет выполняться поиск. Результаты поиска будут стандартным образом выведены в поле в нижней части окна. Указав на любой элемент в списке результатов поиска, Вы увидите его полное LDAP-имя.

Помимо стандартных запросов, можно формировать более сложные, комбинированные из нескольких простых. Для этого в поле Find выберите пункт Custom Search. В появившемся диалоговом окне Find Custom Search Вы увидите три новых поля: Field, Condition, Value.

Рисунок 19. Сложный поиск в каталоге

Поле Field позволяет выбрать имя объекта каталога. Для этого щелкните одноименную кнопку, в появившемся меню выберите класс объектов, а затем — свойство объекта. Перечень свойств стандартных объектов приведен в Приложении А. Если Вы хотите задать класс, отличный от перечисленного в меню, то выберите в нем пункт More. На экране появится список всех доступных классов.

В поле Condition нужно выбрать из списка условие поиска. Для каждого свойства появляется список только тех условий поиска, которые применимы к нему. Нельзя, например для имени пользователя задать математическое условие «больше чем».

В поле Value при необходимости вводится значение, являющееся составной частью критерия поиска. Для некоторых условий значений просто не существует. В этом случае поле Value остается неактивным.

Например, если Вы хотите найти всех пользователей, общие имена (сп) которых начинаются с буквы U, то в этом случае Вам надо выбрать класс users, для него свойство — сп. Условием станет строка Begin from, а в качестве значения укажите U. Щелкните Add, и запрос появится в списке запросов. Кстати, Вы можете добавить в этот список дополнительные запросы или удалить запросы, включенные туда ранее. Когда все необходимые запросы будут сформированы, нажмите кнопку Find.

Контрольные вопросы

  1. Управление узлами.

  2. Управление службой каталогов.

  3. Почему запрет на доступ к объекту оговаривается отдельно?

  4. Диалоговое окно определяющее локальную политику. Назначение полей.

  5. Как назначить сложные права доступа?

  6. Как найти объект в каталоге?