Добавил:

AAA1 aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Харьковский национальный университет радиоэлектроники

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

Книга Active directory

.pdf

Скачиваний:

267

Добавлен:

02.02.2021

Размер:

8.2 Mб

Скачать

☆

<<< < Предыдущая 30 31 32 33 34 35 36 37 38 39 40 4142 / 9642 43 44 45 46 47 48 49 50 51 52 53 54 > Следующая >>>

I 3 8 8

Проверка подлинности

Глава 8

3. Убедитесь, что хотя бы один п и ш у щ и й к о н т р о л л е р домена работает иа функциональном уровне Windows Server 2008.

4.Установите RODC .

Далее каждая из этих операций описана детально.

Проверка и настройка леса до функционального уровня не ниже Windows Server 2003

Функциональные уровни позволяют включать уникальные возможности конкретных версий Windows и, следовательно, зависят от версий Windows на контроллерах доменов. Если все контроллеры домена работают на функциональном уровне не ниже Windows Server 2003, этот ф у н к ц и о н а л ь н ы й уровень можно назначить для домена. Если все домены работают на ф у н к ц и о н а л ь н о м уровне Windows Server 2003, этот же уровень можно назначить лесу. Функциональные уровни доменов и леса описаны в главе 12.

Для контроллеров с правом чтения R O D C необходим функциональный уровень леса не ниже Windows Server 2003. Это означает, что все контроллеры доменов во всем лесу должны иметь ф у н к ц и о н а л ь н ы й уровень не ниже Windows Server 2003. Чтобы определить ф у н к ц и о н а л ь н ы й у р о в е н ь леса, в группе Администрирование (Administrative Tools) откройте оснастку Active Directory — домены и доверие (Active Directory Domains And Trusts), щелкните правой кнопкой мыши имя леса, примените команду Свойства (Properties) и проверьте функциональный уровень (рис. 8-8). Сделать это таким способом может любой пользователь.

		wm •
		wm •	J J * J
Обшив \|£Ь&есмя \| Управляется]
J v *	contoso.coir

Имя д»->ена 'jnpefl-Wndov,'! 2СШ

jCONTOSO

Огмсакие.

Pexiti работы

V.V-dovs Serve* 20vS

Реж>т-1 работы леса. WWort* Setvw 2038

j Отмена |

f&fiP'*-

Рис. 8-8. Диалоговое окно свойств леса

Если функциональный уровень ниже Windows Server 2003, проанализируйте свойства каждого домена и отыщите домены с уровнем ниже Windows Server 2003. Обнаружив такой домен, проверьте, все ли контроллеры в нем работают на уровне Windows Server 2003. Затем в оснастке Active Directory -

Занятие 1

Настройка политики паролей и блокировки учетных записей

домены и доверие (Active Directory Domains And Trusts) щелкните этот домен правой кнопкой мыши и примените команду Изменение режима работы домена (Raise Domain Functional Level). Подняв функциональный уровень всех доменов до Windows Server 2003, щелкните правой кнопкой мыши корневой узел оснастки Active Directory — домены и доверие и примените команду Изменение режима работы леса (Raise Forest Functional Level). В раскрывающемся списке Выбор доступного функционального уровня леса (Select An Available Forest Functional Level) выберите режим Windows Server 2003 и щелкните кнопку Повысить (Raise). Повышать функциональный уровень домена может администратор домена. Чтобы повысить функциональный уровень леса, необходимо быть членом группы Администраторы домена (Domain Admins) в корневом домене леса или членом группы Администраторы предприятия (Enterprise Admins).

К о м а н д а adprep /rodcprep

Обновляя существующий лес, чтобы включить в него контроллеры домена Windows Server 2008, следует запустить команду adprep /rodcprep. Эта команда конфигурирует разрешения, благодаря чему контроллеры RODC могут реплицировать разделы каталога приложений DNS (эти разделы описаны в главе 9). При создании нового леса Active Directory лишь с контроллерами доменов Windows Server 2008 команду adprep /rodcprep запускать не нужно.

Утилита Adprep хранится в папке \Source\Adprep на установочном DVDдиске Windows Server 2008. Скопируйте указанную папку на контроллер домена, играющий роль мастера схемы (роль описана в главе 10). Войдите на мастер схемы как член группы Администраторы предприятия (Enterprise Admins), откройте окно командной строки, перейдите в папку Adprep и введите команду adprep /rodcprep.

Р а з м е щ е н и е п и ш у щ е г о контроллера домена Windows Server 2008

Контроллер R O D C должен реплицировать обновления домена с пишущего контроллера домена Windows Server 2008. Очень важно, чтобы контроллер R O D C мог установить соединение репликации с пишущим контроллером домена Windows Server 2008. В идеале пишущий контроллер домена Windows Server 2008 должен располагаться в ближайшем сайте — центральном узле. Репликация, сайты и связи сайтов Active Directory описаны в главе 11. Чтобы контроллер R O D C играл роль DNS-сервера, пишущий контроллер домена Windows Server 2008 также должен содержать доменную зону DNS.

Контрольный вопрос

• Ваш домен состоит из центрального узла и четырех филиалов. Центральный узел содержит два контроллера домена. Узел каждого филиала содержит один контроллер домена. Все контроллеры домена работают в режиме Windows Server 2003. Ваша компания приняла решение открыть пятый филиал и вам нужно отконфигурировать его с использованием нового контроллера RODC системы Windows Server 2008. Что следует сделать перед включением первого контроллера RODC в домен?

(см. след. стр.)

' 390

Проверка подлинности

Глава 8

Ответ на контрольный вопрос

• Вначале необходимо проверить, работает ли лес на функциональном уровне Windows Server 2003. Затем один из существующих контроллеров домена следует обновить до Windows Server 2008, чтобы получить пишущий контроллер домена Windows Server 2008. Кроме того, требуется запустить с установочного DVD-диска команду adprep /rodcprep.

Установка контроллера RODC

После выполнения п о д г о т о в и т е л ь н ы х о п е р а ц и й п р и с т у п а ю т	к у с т а н о в к е
RODC. На контроллере R O D C м о ж н о у с т а н о в и т ь я д р о сервера	(Server Core)
или осуществить полную установку W i n d o w s Server 2008. П р и	п о л н о й уста-

новке Windows Server 2008 для создания R O D C л у ч ш е и с п о л ь з о в а т ь Мастер установки доменных служб Active Directory (Active D i r e c t o r y D o m a i n Services Installation Wizard). Просто установите на с т р а н и ц е Д о п о л н и т е л ь н ы е параметры контроллера домена (Additional Domain Controller O p t i o n s ) мастера флажок Контроллер домена только д л я чтения ( R O D C ) ( R e a d - O n l y D o m a i n Controller (RODC)), как показано на рис. 8-9.

mBE5ss3aEssssssss. JSJ

Дню/ми шъгаме iiap<»-<erp«* коитролиера а м е м

ВьЛес-че згтолни№Л1.чъ« параметр».! дли данного контроллера прачка

Р СЧ£<ераер

tooopfep

;оя«лв in чг»ч«и \RODO

Дтои-иса<иич.< =

6 «остемий милеит I ONS-сервез мрегжтрммва- г хахгсгве

< Наааа	\| Далее .'	Отмена J
Рис. 8-9. Создание контроллера	RODC с	п о м о щ ь ю м а с т е р а у с т а н о в к и доменных с л у ж б
Active Directory

ПРИМЕЧАНИЕ

В упражнении 1 этого занятия приведены инструкции по созданию контроллера RODC с помощью мастера установки доменных служб Active Directory.

В качестве альтернативы для создания к о н т р о л л е р а R O D C молено использовать команду Dcpromo.exe с переключателем /unattend. На машине с установ-

Занятие 1

Настройка политики паролей и блокировки учетных записей 41

ленным ядром сервера (Server Core) Windows Server 2008 следует применять команду Dcpromo.exe /unattend.

Установку R O D C также можно делегировать, чтобы пользователь — не администратор домена мог создать RODC, добавив в филиал новый сервер и запустив команду Dcpromo.exe. Чтобы делегировать установку RODC, предварительно создайте в подразделении Domain Controllers учетную запись компьютера для R O D C и укажите учетные данные, которые будут использоваться для добавления R O D C в домен. Затем этот пользователь сможет прикрепить сервер Windows Server 2008 к учетной записи контроллера RODC. При создании контроллера R O D C путем делегирования установки сервер должен быть членом рабочей группы, а не домена.

К СВЕДЕНИЮ Опции установки RODC

Детальную информацию о других опциях установки контроллеров RODC, включая делегирование установки, можно найти в книге по адресу http://technet2.microsoft. com/windowsserver2008/en/library/ea8d253e-0646-490c-93d3-b78c5e1d9db71033. mspx?mfr=true.

Политика репликации паролей

Политика репликации паролей P R P (Password Replication Policy) определяет пользователей, учетные данные которых можно кэшировать на конкретном контроллере R O D C . Если политика репликации паролей разрешает контроллеру R O D C кэшировать учетные данные пользователя, то операции проверки подлинности и билета службы для этого пользователя будут выполняться контроллером R O D C . Если учетные данные пользователя нельзя кэшировать на контроллере R O D C , операции проверки подлинности и билета службы для этого пользователя будут направляться R O D C на пишущий контроллер домена.

Политика репликации паролей контроллера R O D C определяется двумя многозначными атрибутами учетной записи компьютера RODC: списками Разрешить (Allowed List) и Запретить (Denied List). Если учетная запись пользователя указана в списке Разрешить (Allowed), учетные данные пользователя будут кэшироваться. В список Разрешить можно включать и группы пользователей. В таком случае на контроллере R O D C будут кэшироваться учетные данные всех пользователей, принадлежащих к этой группе. Если пользователь находится в обоих списках — Разрешить и Запретить, учетные данные пользователя не будут кэшироваться, поскольку приоритет имеет список запретов.

Настройка политики репликации паролей домена

Для управления политикой репликации паролей Windows Server 2008 в контейнере Users создаются две локальные группы безопасности в домене. Группа с разрешением репликации паролей R O D C (Allowed RODC Password Replication Group) добавляется в список Разрешено (Allowed) на каждом новом контроллере RODC. По умолчанию в этой группе нет членов. Поэтому по умолчанию новый контроллер R O D C не будет кэшировать учетные записи пользователей.

I 3 9 2

Проверка подлинности

Глава 8

Если на всех контроллерах R O D C нужно кэшировать пользователей, введите этих пользователей в группу с разрешением репликации паролей RODC .

Группа с запрещением репликации паролей R O D C (Denied R O D C Password Replication Group) добавляется в список Запрещено (Denied) на каждом новом контроллере RODC. Если некоторых пользователей нельзя кэшировать на контроллерах RODC в домене, введите их в группу с запрещением репликации

Iпаролей RODC. По умолчанию эта группа включает учетные записи — члены

Jтаких групп, как Администраторы домена (Domain Admins), Администраторы I предприятия (Enterprise Admins) и Владельцы-создатели групповой политики I (Group Policy Creator Owners).

ПРИМЕЧАНИЕ Кэширование учетных записей компьютеров

Помните, что не только пользователи вызывают проверку подлинности и билетов служб. Компьютеры в филиале также выполняют такие операции. Чтобы повысить производительность систем в филиале, разрешите контроллеру RODC филиала кэшировать учетные записи компьютеров.

Настройка политики репликации паролей для к о н к р е т н о г о контроллера RODC

Две группы, описанные в предыдущем подразделе, обеспечивают метод управления политикой репликации паролей на всех контроллерах RODC . Однако для эффективной поддержки сценария с филиалом контроллеру R O D C в каждом филиале необходимо разрешить кэширование учетных данных пользователей и компьютеров в этом конкретном филиале. Поэтому нужно отконфигурировать списки разрешений и запрещений на каждом контроллере R O D C .

Для настройки политики репликации паролей R O D C в подразделении Domain Controllers откройте свойства учетной записи компьютера RODC . На вкладке Политика репликации паролей (Password Replication Policy) можно просмотреть текущие параметры политики репликации паролей, а также добавить или удалить пользователей и группы (рис. 8-10).

PejMBUtHW	I	iiTMMllM	I	Емдадквмсмо.		I
C%u-«	!			j	Чвемгитю	i
		По IV г. и ihwmmh гд»пвД
-u-o-.---ъ.:, д.'»				№
fUpiJ*ЫКМ'fit.i-. Hi •				f^in*,Янот
пимми Рег.плмхмплслзтсВДКчсг/ттмыоляэс'"
1-е"-,.!• nl'lfl . 1 l \| " i lU' l.v' hi, i*


Аа*»мстрето0ы		certaao con/BuiUi		Запрети,
Гс-,тгч с svtxuj»*		«rtoK.com/ltoen		Запретить
Гр.тгм с рвхаиаи		ссхо»сэп/и»вл		Разрез >ъ
Опращя* %UVti		cert 'xo ccnv'EuSri		Запрешт.
Опера**"		certoao can'Boibi		Зелремъ
Угсйтссы учета		CWTOK- с э т ^ г		Затсегить

Dar&n»tv**o J				т, j	Уда/wn-

	Of:	\| Отжпа	) n^aMfc j ррама

Рис. 8-10. Политика репликации паролей контроллера RODC

Занятие 1 Настройка политики паролей и блокировки учетных записей 3

Администрирование кэширования учетных данных на контроллере RODC

Если на в к л а д к е П о л и т и к а р е п л и к а ц и и паролей (Password Replication Policy), показанной на рис . 8- 10, щ е л к н у т ь к н о п к у Дополнительно (Advanced), откро-

ется диалоговое о к н о		Р а с ш и р е н н а я п о л и т и к а репликации паролей (Advanced
Password	Replication	Policy),		как в п р и м е р е на рис. 8-11.
			тштм
попиэватапвй .. конпиотеои, Жт»т				cnjj/yxui'i» <С1глл1Н
	I •••[ "Г. «отсрьаю»-агся о л		л	— !
Пот,	Поп1Чвиыв ов>е*Л1 2
	I I T O T I W H O W ^		i Пдспеа^е njMaw« \| Ск* aaigir
				17.112030 1V2S-37	23.12.2X8'
				17.112008132508	Неогр®«че

	tvcnom i	m^vcwtir ni
Рис. 8-11.		Расширенная политика репликации паролей
	В р а с к р ы в а ю щ е м с я списке в в е р х н е й части вкладки Использование поли-
т и к и (Policy Usage) м о ж н о				в ы б р а т ь о д и н из двух отчетов для R O D C .
•	Учетные з а п и с и , п а р о л и к о т о р ы х х р а н я т с я в данном контроллере домеиа
	т о л ь к о д л я ч т е н и я		( A c c o u n t s W h o s e P a s s w o r d s Are Stored O n This Read-
	o n l y D o m a i n C o n t r o l l e r )			Отображает список учетных данных пользовате-
	лей и компьютеров, которые в настоящее время кэшируются на контроллере
	R O D C . С п о м о щ ь ю этого списка м о ж н о определить кэшированные учетные
	данные, к о т о р ы е не следует к э ш и р о в а т ь на R O D C , и модифицировать со-
	о т в е т с т в у ю щ и м о б р а з о м			п о л и т и к у репликации паролей.
•	Учетные з а п и с и , п р о ш е д ш и е п р о в е р к у подлинности для данного контрол-
	л е р а д о м е и а т о л ь к о д л я			ч т е н и я ( A c c o u n t s T h a t H a v e Been Authenticated
	To This R e a d - O n l y		D o m a i n C o n t r o l l e r )			Отображает список учетных за-
	писей пользователей и компьютеров, которые направляются на пишущий
	контроллер домена д л я п р о в е р к и подлинности или обработки службы би-
	лета. Этот список и с п о л ь з у е т с я для и д е н т и ф и к а ц и и пользователей и ком-
	пьютеров, к о т о р ы е		п ы т а ю т с я п р о й т и		проверку подлинности с помощью
	этого	к о н т р о л л е р а	R O D C . Е с л и эти		учетные записи не кэшируются, их
	можно добавить в п о л и т и к у р е п л и к а ц и и					паролей.

В этом же диалоговом окне на вкладке Результирующая политика (Resultant Policy) м о ж н о оценить д е й с т в у ю щ у ю политику кэширования отдельного пользователя и л и компьютера . Щ е л к н и т е кнопку Добавить (Add), чтобы выбрать учетную запись пользователя и л и компьютера для оценки.

14 3 . . . ТТОО

' 3 9 4 Проверка подлинности Глава 8

С помощью диалогового окна Р а с ш и р е н н а я п о л и т и к а р е п л и к а ц и и паролей (Advanced Password Replication Policy) также м о ж н о п р е д в а р и т е л ь н о заполнить учетные данные в кэше R O D C . Если пользователь и л и к о м п ь ю т е р есть в списке разрешения R O D C , его учетные д а н н ы е могут к э ш и р о в а т ь с я на R O D C , но они не будут кэшироваться, пока в результате с о б ы т и я п р о в е р к и подлинности или билета службы контроллер R O D C не в ы п о л н и т р е п л и к а ц и ю этих учетных данных с пишущего контроллера домена. Н а п р и м е р , п р е д в а р и т е л ь н о заполнив учетные данные в кэше R O D C для п о л ь з о в а т е л е й и к о м п ь ю т е р о в ф и л и а л а , вы можете гарантировать локальное в ы п о л н е н и е к о н т р о л л е р о м R O D C операций проверки подлинности и билетов служб д а ж е п р и п е р в о й п р о в е р к е подлиннос - ти пользователя или компьютера. Ч т о б ы п р е д в а р и т е л ь н о з а п о л н и т ь учетные данные, щелкните кнопку Создать п р е д в а р и т е л ь н ы е п а р о л и ( P r e p o p u l a t e Pass1 words) и выберите соответствующих п о л ь з о в а т е л е й и к о м п ь ю т е р ы .

Разделение административных ролей

Контроллерам R O D C в ф и л и а л а х м о ж е т п о т р е б о в а т ь с я т а к о е т е х н и ч е с к о е обслуживание, как обновление драйвера у с т р о й с т в а . К р о м е того, в небольших филиалах контроллер R O D C м о ж е т сочетаться в о д н о й с и с т е м е с р о л ь ю файлового сервера. В таком случае в а ж н о и м е т ь в о з м о ж н о с т ь а р х и в а ц и и системы. Контроллеры R O D C поддерживают л о к а л ь н о е а д м и н и с т р и р о в а н и е путем так называемого разделения административных ролей. К а ж д ы й к о н т р о л л е р R O D C поддерживает локальную базу данных групп, и с п о л ь з у е м у ю д л я специфических

административных целей. В		эти л о к а л ь н ы е р о л и м о ж н о	д о б а в л я т ь учетные
записи	пользователей домена	д л я в к л ю ч е н и я п о д д е р ж к и	к о н к р е т н о г о конт-
роллера	R O D C .

Разделение административных ролей м о ж н о о т к о н ф и г у р и р о в а т ь с помощью

команды Dsmgmt.exe. Ч т о б ы добавить п о л ь з о в а т е л я в р о л ь								А д м и н и с т р а т о р ы
(Administrators) контроллера			R O D C ,	в ы п о л н и т е с л е д у ю щ и е				действия .
1. На контроллере R O D C откройте окно к о м а н д н о й строки .
2.	Введите команду dsmgmt и		н а ж м и т е		Enter .
3.	Введите	команду local roles	и опять		н а ж м и т е E n t e r .
	Чтобы получить список команд,			в	строку локальные		роли	(local roles) можно
	ввести знак вопроса ? и нажать			к л а в и ш у		Enter . Вы	т а к ж е		м о ж е т е ввести
	команду list roles и нажать		Enter,	чтобы и з в л е ч ь с п и с о к л о к а л ь н ы х ролей.
4. Введите		команду add	имя_пользователя			Администраторы			(Administrators),

указав имя входа пред - Windows 2000 п о л ь з о в а т е л я домена, и н а ж м и т е клавишу Enter.

Повторяя этот процесс, вы можете д о б а в и т ь д р у г и х пользователей в различные локальные роли на контроллере R O D C .

К СВЕДЕНИЮ

Повышение уровня проверки подлинности и безопасности

Контроллеры RODC станут ценным дополнением, позволяющим повысить уровень проверки подлинности и безопасности в филиалах. Подробную документацию можно найти на веб-сайте Microsoft по адресу http://technet2.microsoft.com/ windowsserver2008/en/library/ea8d253e-0646-490c-93d3-b78c5e1d9db71033.mspx.

Занятие 1

Настройка политики паролей и блокировки учетных записей

Практические занятия. Настройка контроллеров домена только для чтения

В предложенных далее упражнениях вы реализуете в сценарии филиала контроллеры домена только для чтения. Вы установите RODC, отконфигурируете политику репликации паролей, проведете мониторинг кэширования учетных данных и предварительно заполните учетные данные иа контроллере RODC. Но прежде чем приступать к упражнениям, нужно выполнить подготовительные задания.

•Установите второй сервер Windows Server 2008 и присвойте ему имя В RANCH - SERVER. Задайте для сервера IP конфигурацию:

• IP-адрес ( I P Address): 10.0.0.12;

•Маска подсети (Subnet Mask): 255.255.255.0;

•Основной шлюз (Default Gateway): 10.0.0.1;

•DNS-сервер (DNS Server): 10.0.0.11 (адрес машины SERVER01).

•Создайте следующие объекты Active Directory:

•глобальная группа безопасности Пользователи филиала;

•пользователи Джеймс Файн и Адам Картер — члены группы Пользователи филиала;

•пользователь Майк Дансеглио, не входящий в группу Пользователи филиала.

•Включите группу Пользователи домена (Domain Users) в группу Операторы печати (Print Operators).

ВНИМАНИЕ! Уровни разрешений

Пользователи домена вводятся в группу операторов печати лишь для того, чтобы стандартные учетные записи пользователей позволяли входить на контроллеры домена, которые задействуются в этих упражнениях. В производственной среде рекомендуется не разрешать стандартным пользователям входить на контроллеры домена.

Уп р а ж н е н ие 1. Установка контроллера RODC

Вэтом упражнении вы отконфигурируете сервер BRANCHSERVER как кон-

троллер R O D C в домене contoso.com.

1. Войдите на машину B R A N C H S E R V E R как Администратор (Administrator).

2.Откройте главное меню Пуск (Start) и щелкните команду Выполнить (Run).

3.Введите команду depromo и щелкните ОК.

Откроется окно с сообщением проверки установки двоичных файлов доменных служб Active Directory (Active Directory Domain Services). После этого запустится Мастер установки доменных служб Active Directory (Active Directory Domain Services Installation Wizard).

4. Щелкните кнопку Далее (Next).

' 3 96

Проверка подлинности

Глава 8

5.На странице Совместимость операционных систем (Operating System Compatibility) щелкните кнопку Далее (Next).

6.На странице Выберите конфигурацию развертывания (Choose A Deployment Configuration) выберите опцию Существующий лес (Existing Forest),

азатем опцию Добавить контроллер домена в существующий лес (Add A Domain Controller То An Existing Forest). Щелкните Далее (Next).

7.На странице Сетевые учетные данные (Network Credentials) введите имя домена contoso.com.

8.Щелкните кнопку Задать (Set).

9.В поле Имя пользователя (User Name) введите имя Администратор (Administrator).

10.В поле Пароль (Password) введите пароль учетной записи Администратор (Administrator). Щелкните ОК.

И. Щелкните кнопку Далее (Next).

12.На странице Выберите домен (Select A Domain) укажите домен contoso.com и щелкните кнопку Далее (Next).

13.На странице Выбор сайта (Select A Site) выберите сайт Default-First-Site- Name и щелкните Далее (Next).

В производственной среде нужно выбрать сайт филиала, где будет установлен контроллер RODC . Сайты описаны в главе 11.

14.На странице Дополнительные параметры контроллера домена (Additional Domain Controller Options) установите флажок Контроллер домена только для чтения (RODC) (Read-Only Domain Controller ( R O D C ) ) . Убедитесь также, что установлены флажки DNS-сервер ( D N S Server) и Глобальный каталог (Global Catalog). Затем щелкните кнопку Далее (Next).

15.На странице Делегирование установки и администрирования R O D C (Delegation Of RODC Installation And Administration) щелкните Далее (Next).

16.На странице Расположение для базы данных, файлов журнала и SYSVOL (Location For Database, Log Files, And SYSVOL) щелкните кнопку Далее (Next).

17.На странице пароль администратора для режима восстановления служб

каталогов (Directory Services Restore Mode Administrator Password) введите пароль в поля Пароль (Password) и Подтверждение (Confirm Password)

и щелкните Далее (Next).

18.На странице Сводка (Summary) щелкните Далее (Next).

19.В окне выполнения установите флажок Перезагрузка по завершении (Reboot On Completion).

Упражнение 2. Настройка политики репликации паролей

Вэтом упражнении вы отконфигурируете политику репликации паролей на уровне домена и для отдельных контроллеров R O D C . Политика репликации

Занятие 1

Настройка политики паролей и блокировки учетных записей

паролей определяет кэширование учетных данных пользователей и компьютеров на контроллере R O D C .

1.Войдите на машину SERVER01 как администратор.

2.Откройте оснастку Active Directory — пользователи и компьютеры (Active Directory Users And Computers).

3.Разверните домен и выберите контейнер Users.

4.Проанализируйте членство по умолчанию группы с разрешением репли-

кации паролей R O D C (Allowed R O D C Password Replication Group).

5. Откройте окно свойств группы с запрещением репликации паролей RODC (Denied R O D C Password Replication Group).

6. Включите группу DnsAdmins в состав группы с запрещением репликации паролей R O D C .

7. Выберите подразделение Domain Controllers.

8. Откройте свойства объекта компьютера BRANCHSERVER.

9.Перейдите на вкладку Политика репликации паролей (Password Replication Policy).

10.Просмотрите параметры политики репликации паролей для группы с раз-

решением репликации паролей R O D C и группы с запрещением репликации паролей R O D C .

11.Щелкните кнопку Добавить (Add).

12.Выберите опцию Разрешить репликацию паролей учетной записи на этот

R O D C (Allow Passwords For The Account To Replicate To This RODC)

ищелкните OK.

13.В диалоговом окне Выбор: "Пользователи", "Компьютеры" или "Группы" (Select Users, Computers, Or Groups) введите имя группы Пользователи филиала и щелкните ОК.

14.Щелкните ОК .

Уп р а ж н е н и е 3. Мониторинг кэширования учетных данных

Вэтом упражнении вы эмулируете вход нескольких пользователей на сервер филиала. Затем вы оцените кэширование учетных данных на этом сервере.

1.Войдите на машину B R A N C H S E R V E R как пользователь Джеймс Файн

ивыйдите из системы.

2.Войдите на машину B R A N C H S E R V E R как пользователь Майк Дансеглио

ивыйдите из системы.

3.Войдите на машину BRANCHSERVER как администратор и откройте оснастку Active Directory — пользователи и компьютеры (Active Directory Users And Computers).

4.В подразделении Domain Controllers откройте свойства объекта компьютера

iBRANCHSERVER .

<<< < Предыдущая 30 31 32 33 34 35 36 37 38 39 40 4142 / 9642 43 44 45 46 47 48 49 50 51 52 53 54 > Следующая >>>

Соседние файлы в папке ЛБ

#
02.02.20218.2 Mб267Книга Active directory.pdf
#
02.02.2021368.32 Кб190Методичні вказівки з оформлення робіт.pdf
#
02.02.2021121.86 Кб186Шаблон звіту.doc