Адміністрування ПС і комплексів / Опорні конспекти / Модуль 1 / 1.5-к Робота з об'єктами Active Directory
.pdf
Тема 1.5 Робота з об'єктами Active Directory.
Мета: ознайомити з підрозділами, користувачами та групами Active Directory, поняттям та призначенням групових політик.
Перелік питань для вивчення.
1.Механізм «Користувачі та комп'ютери» Active Directory.
2.Підрозділи.
3.Обліковий запис користувача.
4.Групи.
5.Групові політики Active Directory.
1. Механізм «Користувачі та комп'ютери» Active Directory.
Active Directory – найпотужніший механізм керування локальною мережею. Саме він дозволяє контролювати всі процеси, які відбуваються в локальній мережі.
Для входження мережевих користувачів в домен необхідно створити структуру облікових записів. Для цього використовується механізм «Active Directory – користу-
вачі та комп'ютери».
Головний ключовий об'єкт цього механізму – Користувач.
Користувачі можуть входити до складу Груп або Підрозділів. Це дозволяє гнучкіше керувати обліковими записами, застосовуючи групові політики.
Крім того, існують об'єкти, які описують комп'ютери користувачів, загальні ре-
сурси та ін.
Для налаштування механізму «Active Directory – користувачі та комп'юте-
ри» необхідно в головному меню вибрати пункт «Адміністрування» та скористатися одно-
йменним значком.
Зовнішній вигляд вікна «Active Directory – користувачі та комп'ютери» по-
казаний на рисунку 1.5.1
Рис. 1.5.1 Зовнішній вигляд вікна Active Directory – користувачі та комп'ютери.
У лівій частині вікна відображається деревовидна структура з назвами основних об’єк-
тів, зокрема, ім'я контроллера домену.
Якщо розкрити вітку з назвою домена, ми побачимо наступні об'єкти: Комп’ютери,
Контроллери домену, Користувачі та інші.
2. Підрозділи.
При створенні об'єктів Active Directory використовується структурований підхід,
який дозволяє швидко знайти та дістати до них доступ. Зокрема, в кореневій вітці можна ство-
рити об’єкти, які називаються Підрозділами.
Підрозділи – це контейнери, які містять багато об’єктів. В назвах підрозділів
можна використовувати імена відділів компанії, це дозволяє легко визначити зміст контейнера.
Для створення підрозділу клацніть правою кнопкою миші по назві домену та виберіть пункти «Створити – Підрозділ». Відкриється вікно, показане на рисунку 1.5.2
Рис. 1.5.2 Створення нового підрозділу.
В цьому вікні необхідно ввести назву підрозділу, наприклад Бухгалтерія.
Тут також є прапорець «Захистити контейнер від випадкового знищення», при установці якого видалення підрозділу буде неможливим без надання відповідних повноважень. Це дозволяє захистити підрозділ від випадкового знищення. Щоб відмінити захист, потрібно в Active Directory у меню «Вигляд» включити «Додаткові компоненти», а потім у вікні властивостей підрозділу перейти на вкладку «Об'єкт» і відключити захист.
Після натиснення кнопки «ОК» підрозділ з ім'ям Бухгалтерія буде створений в коре-
невій вітці.
Подальші дії, пов'язані з даним підрозділом, виконуються за допомогою контекстного меню цього рядка.
Так само можна створити будь-яку кількість підрозділів, необхідну для організації структурованої системи керування.
3. Обліковий запис користувача.
За допомогою облікового запису, який знаходиться на контроллері домену, мере-
жевий користувач може підключатися до сервера з будь-якого або зі спеціально виділеного для нього комп'ютера локальної мережі.
На етапі авторизації він отримує необхідні права доступу до ресурсів мережі. Це дозволяє
чітко обмежити та контролювати їх використання.
Розглянемо створення облікових записів користувачів всередині Підрозділу.
Відкриємо контекстне меню потрібного підрозділу та виберемо пункти «Створити – Користувач». Відкриється наступне вікно (рис. 1.5.3).
Рис. 1.5.3 Основні параметри облікового запису користувача.
Створення облікового запису користувача складається з двох етапів. Спочатку потрібно ввести ім'я, прізвище та ім'я входу користувача.
Поле «Повне ім'я» формується автоматично шляхом додавання значень полів «Ім'я»
та «Прізвище».
Ім’я входу користувача може співпадати з повним ім'ям, а може бути й іншим.
Для полегшення ідентифікації в поле «Ім'я» можна занести прізвища користувачів або прізвища з ініціалами.
Наступний етап – введення пароля доступу та задання додаткових параметрів
(рис. 1.5.4).
Рис. 1.5.4 Введення пароля доступу та задання додаткових параметрів
Введення пароля відбувається згідно існуючим правилам безпеки, тому вказати дуже короткий або простий пароль не вдасться.
Політику паролів можна змінити, але при цьому зменшується рівень безпеки.
На даному етапі можна також задати деякі додаткові параметри для облікового запису користувача.
Часто використовують параметр «Вимагати зміни пароля при наступному вході в систему». Даний параметр змушує користувача змінити свій пароль при вході в локальну мережу. Цей спосіб використовують, якщо користувачзабув свій пароль входу.
Крім того, тут можна застосувати наступні параметри:
¾заборонити зміну пароля користувачем. Користувач у будь-який момент може зміни-
ти свій поточний пароль, натиснувши комбінацію клавіш Ctrl, Alt, Delete. Даний параметр відключає цю можливість;
¾термін дії пароля не обмежений. За замовчуванням користувач може використовувати пароль протягом деякого обмеженого терміну, наприклад 30 днів. Після цього він повинен змінити пароль, інакше робота в локальній мережі буде неможлива. Даний параметр відклю-
чає необхідність зміни пароля;
¾відключити обліковий запис. Цей параметр використовується для тимчасової або по-
стійної заборони на застосування даного облікового запису.
Після необхідних налаштувань і натиснення кнопки «Далі» з'явиться результуюче вікно, яке містить інформацію про вказані параметри.
Якщо вони нас задовольняють, натискаємо кнопку «Готово» для створення облікового запису.
Так само створюється необхідна кількість облікових записів користувачів для
кожного підрозділу.
Після створення облікового запису можна виконати його детальне налаштування. Для цього необхідно двічі клацнути на потрібному записі або з контекстного меню вибрати пункт
«Властивості».
В результаті відкриється вікно (рис. 1.5.5) з багатьма вкладками, які містять різноманітні параметри.
Практично всі параметрина цих вкладках мають описовий характер.
Але деякі параметри можуть розширити можливості облікового запису.
Наприклад, для зберігання особистих даних користувача на сервері необхідно створити його домашню папку. Для цього в параметрі «Підключити» необхідно вказати шлях до папки
на сервері та ім’я мережевого диску(рис. 1.5.5).
Можна змінювати також інші важливі параметри, наприклад членство в групах,
віддалене керування, комп'ютери для входу, час роботи в мережіта багато іншого.
4. Групи.
Використання груп дозволяє швидко надати необхідні права доступу до ресурсів ло-
кальної мережі.
Особливо це зручно, коли потрібно надати права доступу багатьом користувачам або
іншим групам. Адже, налаштування доступу для кожного окремого користувача потребує багато часу.
Найчастіше групистворюють у складі підрозділів.
Наприклад, потрібно створити групупрограмістів у складі підрозділу 110-і.
В контекстному меню підрозділу110-і вибираємо пункти «Створити – Група».
Рис. 1.5.5 Детальне налаштування облікового запису користувача
Відкриється вікно створення нової групи(рис. 1.5.6).
Рис. 1.5.6 Створення нової групи
В цьому вікні потрібно ввести ім'я групи, вибрати її типі область дії.
Тип групи визначає права доступу її учасників до певних ресурсів:
¾група безпеки - користувачі мають доступ до мережевих ресурсів;
¾група поширення - користувачі мають доступ до розсилки електронної пошти.
Область дії групи визначає спосіб доступу її учасників до ресурсів:
¾локальна в домені- надає доступ учасникам групи до ресурсів свого домену;
¾глобальнаабо універсальна- надає доступучасникам групидоресурсівінших доменів.
Після створення групи її можна заповнювати обліковими записами користувачів та іншими об'єктами.
Для цього у вікні властивостей групи перейдіть на вкладку «Члени групи» та натисніть
кнопку «Додати».
Вибір потрібних об'єктів відбувається в поточному домені.
Облікові записи можна вводити вручну, набираючи їх через крапку, або автоматично,
натиснувши кнопку «Додатково».
Автоматичний спосіб введення кращий, він дозволяє вибрати відразу декілька різних
об'єктів. При цьому виключена можливість граматичних помилок у написанні.
Після натиснення кнопки «Пошук» в нижній частині вікна з'являється список всіх зареєстрованих об'єктів (рис. 1.5.7).
Рис. 1.5.7 Вибір потрібних об'єктів
Можливий як одиночний вибір потрібного запису, так і вибір декількох записів за допо-
могою натисненої клавіші «Ctrl».
Після натиснення кнопки «OK» всі вибрані записи опиняться в попередньому вікні. Після повторного натиснення кнопки «OK» вони потраплять у список членів групи.
5. Групові політики Active Directory
Зі збільшенням кількості комп'ютерів в мережі системний адміністратор витрачає більше часу на їх обслуговування.
Установка Active Directory - тільки першийкрок на шляху спрощеннякерування мережею. Одна з можливостей, яку надає Active Directory - це підтримка групових політик.
Групова політика - це набір правил для централізованого налаштування операційних систем та програмного забезпечення на робочих станціях і серверах домену.
Правила об'єднуються в об'єкти групової політики (Group Policy Object, GPO).
Системний адміністратор зв'язує групові політики з тими об’єктами Active Directory, до налаштувань яких вони будуть застосовані – доменами та підрозділами.
Групові політики дозволяють конфігурувати велику кількість параметрів Windows:
¾налаштування безпеки;
¾профілі та програми користувачів;
¾дискові квоти;
¾політика паролів;
¾робочий стіл;
¾централізована установка програм на комп'ютери користувачів;
¾керування функціями електроживлення комп’ютерів;
¾керування обліковими записами користувачів;
¾обмеження доступу до DVD-пристроїв та флеш-карт;
¾налаштування автозапуску DVD-дисків та флеш-карт;
¾автоматичне підключення мережевого принтера;
¾налаштування брандмауера Windows.
Система групових політик поставляється разом з Active Directory в серверних операційних системах, починаючи з Windows Server 2000.
Для максимальної підтримки групових політик клієнтська та серверна операційні системи повинні бути одного випуску, наприклад, Windows Server 2008 R2 та Windows 7.
Кожен комп'ютер під керуванням Windows вже має вбудований об'єкт групової політики, який зберігається локально в наступній папці:
\Windows\System32\GroupPolicy
Його можна переглянути за допомогою редактора локальної групової політики
(gpedit.msc). Це єдиний GPO, який може бути на комп'ютері, що не входить в домен. Після переходу на Active Directory з'являються дві доменні політики:
¾політика домену за замовчуванням - призначається домену та впливає на налаштування всіх користувачів і комп'ютерів домену;
¾політика за замовчуванням для контроллерів домену - діє тільки на
контроллери домену.
Групові політики Active Directory зберігаються на контроллері домену.
Вони можуть бути зв'язані з сайтом, доменом або підрозділом - це області дії політики.
Без прив'язки до певного об'єкту групова політика існувати не може.
Для роботи з груповими політиками необхідно в головному меню вибрати пункти
«Адміністрування – Керування груповою політикою». В даному вікні потрібно виді-
лити підрозділ, до якого застосовується політика, і з контекстного меню вибрати пункт
«Створити об’єкт групової політики».
Для зміни групової політики щодо об’єкта його потрібно виділити і з контекстного меню вибрати пункт «Змінити». Відкриється вікно Редактора керування груповими політиками (рис. 1.5.8).
Рис. 1.5.8 Редактор керування груповими політиками
Уцьому вікні групові політики розділені на дві групи:
¾«Конфігурація комп’ютера» - дані параметри починають діяти при запуску комп’ютера незалежно від того, який користувач підключається до домену;
¾«Конфігурація користувача» - дані параметри починають діяти при вході користувача в систему незалежно від комп'ютера, з яким він працює.
Група «Конфігурація комп'ютера» дозволяє налаштовувати наступні параметри:
¾параметри безпеки;
¾політики паролів користувачів;
¾параметри реєстру;
¾використання груп з обмеженим доступом;
¾політики обмеженого використання програм.
Група «Конфігурація користувача» використовується для налаштування його робочого оточення:
¾доступні програми;
¾Робочий стіл;
¾меню «Пуск»;
¾Панель керування;
¾параметри безпеки;
¾сценарії входу та виходу із системи;
¾перенаправлення папок;
¾налаштування Internet Explorer.
Кожна група має свої пункти меню та підменю. Наприклад, меню Політики містить наступні пункти:
¾конфігурація програм;
¾конфігурація Windows;
¾адміністративні шаблони.
Будь-який параметр групової політики може мати наступний стан:
¾не задана;
¾ввімкнена;
¾вимкнена.
На додатковій вкладці в розширеному режимі перегляду дається коротке пояснення для кожного параметру політики.
Системний адміністратор може також самостійно налаштувати Редактор керуван-
ня груповими політиками.
Зміни, внесені в параметри групової політики, зберігаються в реальному часі.
Команда «Зберегти» відсутня.
Щоб перевірити параметри політики конкретного об'єкту, необхідно його виділити у
вікні «Active Directory - користувачі та комп'ютери» та в контекстному меню вибрати пункти «Всі задачі – Результуюча політика».
Необхідно пам’ятати, що політики застосовуються по черзі в наступному порядку:
¾локальна політика;
¾політика сайту;
¾політика домену;
¾політика підрозділу.
Політики підрозділу теж застосовуються по черзі, починаючи з найбільшого підрозділу до найменшого, якому належить користувач або комп'ютер.
Необхідно зазначити, що в процесі роботи з періодичністю 90 хв (варіація ±30 хв) відбу-
вається оновлення політик.
Для контроллерів домену інтервал оновлень складає 5 хв.
Примусово оновити політику можна за допомогою утиліти GPUpdate
Контрольні запитання.
1.Чому Active Directory є найпотужнішим механізмом керування локальною мережею?
2.Назвіть механізм для створення структури облікових записів користувачів?
3. Який ключовий об'єкт механізму Active Directory – користувачі та комп'ютери?
4.До складу яких структур можуть входити користувачі?
5.З якою метою користувачів включають у склад підрозділів і груп?
6.Які об’єкти, крім користувачів, входять у склад Active Directory – користувачі та комп'ютери?
7.Які дії потрібно виконати для відкриття вікна Active Directory – користувачі та комп'ютери?
8.Дайте визначення підрозділу.
9.Яким чином в Active Directory створюється новий підрозділ?
10.Яке призначення облікового запису користувача?
11.Опишіть механізм створення облікового запису користувача?
12.Які параметри розширюють можливості облікового запису користувача?
13.З якою метою створюють групи?
14.Всередині яких об'єктів найчастіше створюють групи?
15.Яке призначення групи безпеки?
16.Яке призначення групи поширення?
17.Яке призначення групи, локальної в домені?
18.Яке призначення глобальної та універсальної груп?
19.Опишіть механізм додання користувачів у групу.
20.Дайте визначення групової політики.
21.З якими об'єктами адміністратор зв'язує групову політику?
22.Які налаштування можна здійснювати за допомогою групової політики?
23.Яке призначення політики домену за замовчуванням?
24. Яке призначення політики за замовчуванням для контроллерів домена?
25.Яким чином створюється об’єкт групової політики?
26.Яким чином можна змінити групову політику щодо даного об’єкту?
27.На які групи розділені політики у вікні Редактора керування груповими політиками?
28.Назвіть призначення групи політик «Конфігурація користувача».
29.Назвіть призначення групи політик «Конфігурація комп’ютера».
30.Які пункти меню та підменю має вікно Редактора керування груповими політиками?
31.Який стан можуть мати параметри політики?
32.Яким чином можна перевірити параметри політики конкретного об'єкту?
33.Назвіть порядок застосування політик.
34.Яка періодичність оновлення групових політик?
35.За допомогою якої утиліти можна примусово оновити політику?
Література.
1.А. Ватаманюк. Создание, обслуживание и администрирование сетей на 100%: Питер; СанктПетербург; 2010.
2.Яремчук C., Матвеев А. Системное администрирование Windows 7 и Windows Server 2008 R2
на 100 %. - СПб.: Питер, 2011. - 384 с.: ил.- (Серия на 100 %).
3.Холме Д., Рест Н., Рест Д. Настройка Active Directory. Windows Server 2008. Учебный курс
Microsoft / Пер. с англ. - М. : Издательство «Русская редакция», 2009. - 960 стр. : ил.